rafræn auðkenning og traustþjónusta fyrir rafræn viðskipti.

Herra forseti. Eftir að 2. umr. lauk og eiginlega áður en við fórum í atkvæðagreiðslur komu upp nokkrar spurningar varðandi það hvort ákvæði 4. gr. gætu verið aðeins of víð og þá í því samhengi hver skilgreiningin væri nákvæmlega á traustþjónustu. Ég kem hingað til að reyna að gera örlítið grein fyrir þessu vegna þess að frumvarpstextinn sem slíkur er ekki algjörlega augljós nema hann sé lesinn í samhengi við reglugerðina sem er vísað í og er innleidd í lög með tilvísunaraðferð samkvæmt frumvarpinu.

Það eru nokkur tækniatriði sem þarf að gera grein fyrir og ráða skil á og það er kannski fyrst og fremst að til eru tvenns konar traustþjónustur samkvæmt bæði reglugerðinni og frumvarpinu sem hér er til umræðu, annars vegar fullgildar traustþjónustur og þá um leið fullgildir greiðsluþjónustuveitendur og hins vegar almennar traustþjónustur. Ákvæði 4. gr. eru frekar víðtæk. Þau heimila ýmislegt á borð við húsleitir án dómsúrskurðar í ákveðnum tilfellum, þau heimila töluvert ríkuleg inngrip af hálfu Neytendastofu varðandi það að framfylgja reglum um traustþjónustur. En þegar þetta er lesið í samhengi við ýmsar greinar reglugerðarinnar, mig minnir 2. og 7. gr. og svo 19. gr. og 17. gr., eru settar ákveðnar takmarkanir. Takmarkanirnar sjálfar eru þess eðlis að mikilvægt er að við skiljum þær vegna þess að í fyrsta lagi eru takmarkanir á því hversu virkt eftirlit Neytendastofu má vera. Neytendastofa á að vera aðili sem stundar eftirlit að fyrra bragði, þ.e. fyrir fram, eingöngu af hálfu fullgildra traustþjónusta og það að geta orðið fullgildur þjónustuveitandi samkvæmt þessum lögum er mjög hátt mark. Eingöngu eitt fyrirtæki á Íslandi er í þeim geira, en til að ná því þarf að uppfylla mjög strangar öryggiskröfur. Menn þurfa um leið að undirgangast það að fara með gríðarlega mikilvægt trausthlutverk gagnvart samfélaginu.

Nú er það orðið þannig að fólk getur skráð sig inn á vefsíðu ríkisskattstjóra, inn á heimabankann sinn, inn á lífeyrissjóðinn, inn á hjá heilsugæslu o.s.frv., allt með sömu rafrænu skilríkjunum. Fyrir vikið gætu komið upp tilfelli, ef öryggið væri ekki í lagi hjá traustþjónustuveitandanum, þar sem hægt væri að gefa út fölsk skilríki sem tengjast persónueinkennum einhvers aðila og þá er mjög eðlilegt að mjög ríkulegar heimildir séu hjá eftirlitsaðilanum, sem er þá Neytendastofa í þessu tilviki, að geta tryggt að þetta sé vel framkvæmt. En að sama skapi er mikilvægt með þessar mjög svo víðtæku heimildir, sem Neytendastofa fær, að við skiljum í hvaða samhengi þær falla og pössum upp á þær, að þær gilda flestar hverjar ekki um almenna traustþjónustuveitendur og sér í lagi gilda þær ekki um ýmsa aðila sem einhverjir gætu talið vera traustþjónustuveitendur í ljósi þess að þeir eru að gera hluti sem líta mjög svo út eins og traustþjónusta. Þá er ég að tala um — t.d. ef ég rek vefsíðu með innskráningarformi þar sem hægt er að skrá sig inn á vefsíðuna er ég ekki sjálfkrafa traustþjónustuveitandi í skilningi þessara laga.

Sömuleiðis gildir það að það er ekki einu sinni nóg fyrir aðila, eins og Facebook, sem veita töluverða traustþjónustu samkvæmt mínum skilningi, tæknilegum skilningi þess hugtaks, en veita samkvæmt þessu frumvarpi og þessari reglugerð ekki traustþjónustu, þar sem þeir veita ekki traustþjónustu sem slíka sem sína kjarnaþjónustu í hagnaðarskyni.

Það er kannski fínt að reyna að aðskilja þetta vegna þess að þetta er frekar flókið. Varðandi þær heimildir sem Neytendastofa hefur gagnvart öðrum en fullgildum traustþjónustuveitendum, þ.e. öðrum en þeim sem eru með hæsta stig fullgildingar, er í 19. gr. reglugerðarinnar að finna öryggiskröfur sem gilda bæði um fullgilda traustþjónustuveitendur og þá sem eru ekki fullgildir en öryggiskröfur sem gerðar eru til traustþjónustuveitenda sem eru ekki fullgildir eru ekki jafn strangar og þær sem eru gerðar til fullgildra þjónustuveitenda.

Samkvæmt b-lið 3. mgr. 17. gr. reglugerðarinnar, þ.e. Evrópureglugerðarinnar sem er innleidd í lög hér, er hlutverk eftirlitsstofnunar að grípa til aðgerða eftir á ef nauðsyn krefur varðandi traustþjónustuveitendur sem ekki eru fullgildir og hafa staðfest yfirráðasvæði tilnefningar aðildarríkisins með eftirliti þegar hún fær upplýsingar um að talið sé að þessir traustþjónustuveitendur sem eru ekki fullgildir eða traustþjónustan sem þeir veita uppfylli ekki kröfurnar sem mælt er fyrir um í reglugerðinni. Þetta er flókið.

Í 1. mgr. 17. gr. reglugerðarinnar segir að eftirlitsstofnanirnar skuli, með leyfi forseta, „fá nauðsynlegar valdheimildir og fullnægjandi bolmagn til að inna af hendi verkefni sín“.

Það er ljóst að eftirlitsskyldan er bæði með fullgildum og almennum traustþjónustuveitendum en hún er af aðeins öðruvísi toga. Ég ætla ekki að eyða meiri tíma í að reyna að gera grein fyrir þessu nema að því leyti að segja: Við erum að tala um þrennt, við erum að tala um fullgilda traustþjónustuveitendur í skilningi þessara laga, sem er þá útskýrt nánar í Evrópureglugerðinni. Við erum að tala um almenna traustþjónustuveitendur sem veita traustþjónustu en þurfa ekki fullgildingu vegna þess að öryggisstigið sem þeir veita er ekki komið á það stig. Svo erum við að tala um aðra aðila sem veita innskráningarmekanisma, til að mynda kosningakerfi Pírata eða innskráningarformið í Spotify og þar fram eftir götunum, þar er vissulega verið að auðkenna fólk og er vissulega verið að veita ákveðið traust, en þau eru ekki traustþjónusta í skilningi þessara laga.

Að því sögðu vona ég að þessi ræða verði höfð til skýringar ef einhvern tímann kemur upp vafi um þetta mál vegna þess að þetta er vissulega flókið og það er margt sem getur farið úrskeiðis og örugglega margir staðir þar sem tiltekinn aðili gæti verið talinn vera traustþjónustuaðili. Satt að segja þætti mér eðlilegt að þeir aðilar sem bjóða upp á almenna einskiptisinnskráningarkerfi eða, með leyfi forseta, „single sign-on“-mekanisma eins og t.d. Twitter, Facebook, Google o.fl. sem eru til almennra nota ættu að falla með einhverju móti undir svona lagaákvæði. Að því sem ég kemst næst gera þau það samt ekki í dag. Það er því mál sem við þurfum væntanlega að taka upp við tækifæri.