Artikkeli

ma 21. kesäkuu 2021

Kirjoittaja: Mia Hoffrén, Siviilioikeuden professori, Itä-Suomen yliopisto

Täyttämis- vai vahingonkorvausvastuuta?

Tunnistusvälineen haltijan vastuu tunnistusvälineen oikeudettoman käyttäjän tekemästä sopimuksesta

1. Johdanto

1.1 Sopimusosapuolen vahva sähköinen tunnistaminen

Merkittävä määrä sopimuksia tehdään nykyään verkkoympäristössä. Verkossa tehtäviä sopimuksia koskevat pääsääntöisesti samat peruslähtökohdat kuin muitakin sopimuksia: Sopimus syntyy osapuolten tahdonilmaisujen tai muun sopimukseen sitoutumista osoittavan toiminnan perusteella. Ellei laissa ole säädetty sopimustyyppiä koskevia muotovaatimuksia, osapuolet voivat tehdä sopimuksen haluamassaan muodossa. Sopimus voi syntyä esimerkiksi sähköpostitse käytyjen neuvottelujen tuloksena tai siten, että asiakas tekee tilauksen myyjän ylläpitämässä verkkokaupassa.

Koska sopimussidonnaisuus syntyy nimenomaan sopimukseen sitoutuneiden osapuolten välille, sopimuksen tekemiseen osallistuvan osapuolen on yleensä olennaista tietää, kenen kanssa hän on sopimusta tekemässä. Lisäksi osapuolella on tarve pystyä jälkeenpäin mahdollisessa riitatilanteessa osoittamaan juuri tietyn henkilön sitoutuminen sopimukseen. Verkkoympäristössä näitä tarkoituksia palvelevat erilaiset sähköisen tunnistamisen ja allekirjoittamisen menetelmät.

Vastapuoli voidaan tunnistaa hyvin monenlaisilla ja luotettavuudeltaan eritasoisilla menetelmillä. Varsinkin vähäarvoisia sopimuksia tehtäessä saatetaan esimerkiksi luottaa sähköpostiviestin lähettäjätietoihin tai tunnistaa asiakas verkkopalvelussa käyttäjätunnuksen ja salasanan avulla. Näitä varmempi tunnistamisen tapa on vahva sähköinen tunnistaminen, josta säädetään vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009; jatkossa tunnistuslaki tai TunnL).  Vahvalla sähköisellä tunnistamisella tarkoitetaan henkilön yksilöimistä tavalla, joka täyttää sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa eIDAS-asetuksessa[1] määritellyt korotetun tai korkean varmuustason vaatimukset (TunnL 2 §:n 1 kohta). Pankkitunnukset ovat Suomessa käytännössä yleisimmin käytetty vahvan sähköisen tunnistamisen menetelmä.[2]

Sähköisellä allekirjoituksella puolestaan tarkoitetaan sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköiseen tietoon ja jota käytetään allekirjoittajan henkilöllisyyden todentamisen välineenä.[3] Yksinkertaisimmillaan sähköinen allekirjoitus voi olla esimerkiksi sähköpostiviestin loppuun kirjoitettu nimi: se liittyy sähköpostiviestiin ja siitä ilmenee allekirjoittajan henkilöllisyys – joskaan ei kovin luotettavasti. Silloin, kun tällainen luotettavuudeltaan heikko sähköinen allekirjoitus ei riitä, voidaan käyttää varmuustasoltaan korkeampia menetelmiä, esimerkiksi eIDAS-asetuksen 26 artiklan mukaiset vaatimukset täyttävää kehittynyttä sähköistä allekirjoitusta.[4] Kehittynyttä sähköistä allekirjoitusta, joka on luotu hyväksytyllä sähköisen allekirjoituksen luontivälineellä ja joka perustuu sähköisten allekirjoitusten hyväksyttyyn varmenteeseen, kutsutaan eIDAS asetuksessa hyväksytyksi allekirjoitukseksi.[5] eIDAS-asetuksen 25 artiklan 2 kohdan mukaan hyväksytyllä sähköisellä allekirjoituksella on oltava samanlaiset oikeusvaikutukset kuin käsin kirjoitetulla allekirjoituksella.

Muotovapauden periaatteen mukaisesti verkkoympäristössä tehdyn oikeustoimen pätevyys ei edellytä sähköistä allekirjoitusta, saati tietyt laatuvaatimukset täyttävää allekirjoitusta. Usein oikeustoimi tehdäänkin ilman sähköistä allekirjoitusta, mutta vastapuoli tunnistetaan vahvan sähköisen tunnistamisen menetelmää käyttäen, esimerkiksi pankkitunnuksilla. Tämän kirjoituksen aiheena ovat nimenomaan tällaiset oikeustoimet.

1.2 Tunnistusvälineen haltijan vastuu oikeudettomasta käytöstä

Vahvakaan sähköinen tunnistaminen ei anna täyttä varmuutta siitä, että vastapuoli on se, joka hän ilmoittaa olevansa. Yhden epävarmuustekijän aiheuttaa se, että vahvaan tunnistamiseen tarkoitettu tunnistusväline voi joutua vääriin käsiin. Henkilökohtaiseksi tarkoitetun tunnistusvälineen käsiinsä saanut henkilö voi onnistua tekemään oikeustoimia toisena henkilönä esiintyen. Tällöin voi muiden vastuukysymysten ohella tulla arvioitavaksi kysymys siitä, vastaako tunnistusvälineen oikea haltija nimissään tehdystä oikeustoimesta.[6]

Tunnistusvälineen haltijan vastuu voi tulla arvioitavaksi esimerkiksi seuraavanlaisessa asetelmassa: Tunnistuspalvelun tarjoaja (esimerkiksi pankki) on myöntänyt tunnistusvälineen (esimerkiksi verkkopankkitunnukset) asiakkaalleen (tunnistusvälineen haltija). Kolmas henkilö (oikeudeton käyttäjä) on saanut haltuunsa tunnistusvälineen haltijalle kuuluvan tunnistusvälineen ja tunnistautuu sen avulla asioidessaan verkossa palvelujaan tarjoavan tahon (luottava osapuoli) kanssa. Oikeudeton käyttäjä tekee tunnistusvälineen haltijana esiintyen oikeustoimen luottavan osapuolen kanssa. Luottava osapuoli voi olla esimerkiksi myyjä, jolta oikeudeton käyttäjä tilaa tavaraa, tai luotonantaja, joka myöntää oikeudettoman käyttäjän hakemuksen perusteella rahaluoton. Luottava osapuoli on täyttänyt oman sopimusvelvoitteensa, esimerkiksi toimittanut tilatun tavaran oikeudettoman käyttäjän ilmoittamaan osoitteeseen tai siirtänyt luoton pääoman oikeudettoman käyttäjän ilmoittamalle tilille.  Kun luottava osapuoli vaatii tunnistusvälineen haltijalta sopimuksenmukaista suoritusta, esimerkiksi kauppahintaa tai luoton pääoman ja luottokustannusten suorittamista, käy ilmi, että tunnistusvälineen haltija ei olekaan itse tehnyt sopimusta.

Vahvaan sähköiseen tunnistamiseen käytettävän tunnistusvälineen haltijan vastuusta säädetään tunnistuslain 27 §:ssä.  Lähtökohtana on – samoin kuin sähköisen ympäristön ulkopuolellakin –, että tunnistusvälineen haltija ei joudu vastuuseen sellaisista oikeustoimista, jotka joku toinen on tehnyt oikeudettomasti hänen nimissään. Tunnistusvälineen haltija voi kuitenkin joutua vastuuseen silloin, kun hän on omalla toiminnallaan mahdollistanut väärinkäytön. Tunnistuslain 27 §:n 1 momentin mukaan tunnistusvälineen haltija vastaa tunnistusvälineen oikeudettomasta käytöstä vain, jos 1) hän on luovuttanut tunnistusvälineen toiselle, 2) tunnistusvälineen katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu hänen huolimattomuudestaan, joka ei ole lievää, tai 3) hän on laiminlyönyt ilmoittaa tunnistuspalvelun tarjoajalle tai sen ilmoittamalle muulle taholle tunnistusvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivytystä sen havaittuaan. Tunnistusvälineen haltija ei kuitenkaan 2 momentin mukaan vastaa tunnistusvälineen oikeudettomasta käytöstä 1) siltä osin kuin tunnistusvälinettä on käytetty sen jälkeen, kun hän on ilmoittanut tunnistuspalvelun tarjoajalle tunnistusvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä, 2) jos tunnistusvälineen haltija ei ole voinut tehdä ilmoitusta välineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivytystä sen havaittuaan sen johdosta, että tunnistuspalvelun tarjoaja on laiminlyönyt velvollisuutensa huolehtia siitä, että tunnistusvälineen haltijalla on milloin tahansa mahdollisuus tehdä kyseinen ilmoitus, tai 3) tunnistuspalvelua käyttävä palveluntarjoaja on laiminlyönyt velvollisuutensa tarkastaa tunnistusvälineeseen liittyvän käyttörajoituksen olemassaolon tai tiedon välineen käytön estämisestä tai sulkemisesta.

Tunnistuslain 27 §:n säännökselle ei ole vastinetta ”perinteisessä” ympäristössä, jossa vastapuoli tunnistetaan esimerkiksi käsin kirjoitetun allekirjoituksen avulla. Ajatellaan esimerkiksi, että V tilaa tavaraa L:ltä tilauslomakkeella, johon hän on kirjoittanut O:n henkilö- ja yhteystiedot ja väärentänyt O:n allekirjoituksen. Jos O ei ole osallistunut oikeustoimen tekemiseen, hän jää sen ulkopuolelle, ja ainoa taho, jolle L voi esittää vaatimuksia oikeustoimen perusteella, on V.[1]

1.3 Vaihtoehtoiset tulkinnat tunnistusvälineen haltijan vastuun sisällöstä

Tunnistusvälineen haltija siis vastaa välineen oikeudettomasta käytöstä edellä esitettyjen edellytysten täyttyessä. Tunnistuslaissa ei ole kuitenkaan säädetty vastuun sisällöstä yhtä seikkaperäisesti kuin sen edellytyksistä, eikä vastuun sisältöä ole täsmennetty lain esitöissäkään.[7] Tunnistuslain 27 §:n sanamuoto ”vastaa tunnistusvälineen oikeudettomasta käytöstä” mahdollistaa erilaisia tulkintoja siitä, mitä vaatimuksia luottava osapuoli voi esittää tunnistusvälineen haltijalle silloin, kun oikeudeton käyttäjä on tehnyt oikeustoimen tunnistusvälineen haltijan nimissä ja tunnistuslain 27 §:n mukaiset vastuun edellytykset täyttyvät. 

Säännöksen sanamuotoa on mahdollista tulkita yhtäältä siten, että tunnistusvälineen haltija tulee 27 §:n mukaisten edellytysten täyttyessä sidotuksi oikeustoimeen samalla tavalla kuin jos hän olisi itse siihen sitoutunut. Tällöin luottava osapuoli voisi vaatia tunnistusvälineen haltijalta sopimuksen mukaista suoritusta, ja jos tunnistusvälineen haltija ei täytä sopimusvelvoitteita asianmukaisesti, sopimustyypin mukaisia sopimusrikkomuksen seurauksia. Edellä jaksossa 1.2  esitetyissä esimerkkitapauksissa tunnistusvälineen haltija voisi olla velvollinen maksamaan sopimuksenmukaisen kauppahinnan oikeudettoman käyttäjän tilaamasta tavarasta tai maksamaan takaisin oikeudettoman käyttäjän nostaman luoton sopimuksen mukaisine luottokustannuksineen.

Toisaalta sanamuoto mahdollistaa myös tulkinnan, että tunnistusvälineen haltijan vastuu on korvausvastuuta luottavalle osapuolelle aiheutuvasta vahingosta. Tämän tulkinnan mukaan luottava osapuoli ei voisi vaatia tunnistusvälineen haltijalta sopimuksen mukaista suoritusta vaan pelkästään korvausta kärsimästään vahingosta. Tässä vaihtoehdossa on vielä erikseen arvioitava, mitkä luottavan osapuolen menetykset tunnistusvälineen haltijan olisi korvattava. Toisistaan voidaan erottaa karkeasti luottavan osapuolen kulujen korvaaminen (niin sanottu negatiivinen sopimusetu) ja sopimuksen sitomattomuuden vuoksi saamatta jääneen sopimushyödyn korvaaminen (ns. positiivinen sopimusetu). Negatiivisen sopimusedun käsittävällä korvauksella pyritään asettamaan luottava osapuoli siihen asemaan, jossa hän olisi ollut, jos sopimusta ei olisi lainkaan tehty. Positiivisen sopimusedun käsittävällä korvauksella hänet taas asetettaisiin siihen asemaan, jossa hän olisi ollut, jos sopimus olisi täytetty oikein.[8] Negatiivisen sopimusedun korvaaminen liittyy tyypillisesti tilanteisiin, joissa sitovaa sopimusta ei ole syntynyt, esimerkiksi sopimuksen ollessa pätemätön tai vastuun perustuessa tuottamukselliseen menettelyyn sopimusneuvotteluissa.[9] Positiivinen sopimusetu taas tulee korvattavaksi tyypillisesti silloin, kun rikotaan sitovaa sopimusta.[10]

Oikeuskirjallisuudessa on aiemmin katsottu, että tunnistusvälineen haltijan vastuu olisi vahingonkorvausvastuuta luottavalle osapuolelle aiheutuneesta vahingosta.[11] Tällainen tulkinta lienee tehty myös maakaaren (540/1995; MK) 5 luvun sähköistä asiointijärjestelmää koskevien säännösten esitöissä, vaikka niissä ei nimenomaisesti mainitakaan tunnistuslain 27 §:ää.[12] Korkein oikeus on kuitenkin ratkaisussaan KKO 2016:73 päätynyt toisenlaiseen tulkintaan ja katsonut, että tunnistusvälineen haltija vastasi oikeudettoman käyttäjän tekemästä luottosopimuksesta samalla tavalla kuin itse tekemästään sopimuksesta. Oikeuskirjallisuudessa on tulkittu ratkaisun tarkoittavan, että oikeudettoman käytön seurauksena syntyneet oikeustoimet ovat haltijaa sitovia, ja pidetty tällaista tahdosta riippumatonta sopimussitovuutta merkittävänä poikkeuksena sopimusvapauden periaatteeseen.[13] Vastuun sisällön tarkastelu oikeuskirjallisuudessa on kuitenkin jäänyt vähäiseksi.[14]

1.4 Tämän kirjoituksen kysymyksenasettelu ja rakenne

Tämän kirjoituksen tarkoituksena on arvioida tunnistusvälineen haltijan tunnistuslain 27 §:n mukaisen vastuun sisältöä ja erityisesti kysymystä siitä, onko vastuu täyttämisvastuuta vai vahingonkorvausvastuuta.

Kirjoituksen aluksi esitellään lyhyesti tunnistuslain taustaa. Sen jälkeen tarkastellaan tunnistuslain 27 §:n kanssa samankaltaisia säännöksiä, joista osa on tunnistuslain esitöistä ilmenevien tavoin ollut mallina 27 §:lle ja joista yhtä myös korkein oikeus on hyödyntänyt 27 §:ää tulkitessaan. Näiden säännösten ja niistä tehtyjen johtopäätösten jälkeen käsitellään ainoaa tunnistuslain 27 §:ää koskevaa prejudikaattia, ratkaisua KKO 2016:73. Tarkastelussa havaitaan, että eri oikeuslähteet puoltavat erisuuntaisia tulkintoja säännöksestä. Näitä tulkintavaihtoehtoja vertaillaan vielä siitä näkökulmasta, johtavatko ne tasapainoon toisaalta tunnistusvälineen haltijan ja toisaalta luottavan osapuolen suojaamisessa. Lopuksi esitetään johtopäätös tunnistusvälineen haltijan vastuun sisällöstä gde lege lata sekä suositus de lege ferenda. Kirjoituksen päättää lyhyt loppujakso, jossa kiinnitetään huomiota tunnistusvälineen haltijan vastuuta koskevien sääntöjen ankaruuteen sekä niitä koskeviin kehittämistarpeisiin.

 

2. Onko tunnistusvälineen haltijan vastuu täyttämis- vai vahingonkorvausvastuuta?

2.1 Tunnistuslain taustasta

Tunnistuslaki koskee vahvaa sähköistä tunnistamista sekä luottamuspalveluita. Kuten edellä on todettu, vahvalla sähköisellä tunnistamisella tarkoitetaan henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista tietyt vaatimukset täyttävää sähköistä menetelmää käyttäen. Luottamuspalveluilla taas tarkoitetaan erilaisia muun muassa sähköisiin allekirjoituksiin ja sähköisiin leimoihin liittyviä palveluita, joita koskevat säännökset sisältyvät suurelta osin eIDAS-asetukseen.[15] 

Tunnistuslain säätämisen taustalla olivat vahvan sähköisen tunnistamisen yleistyminen ja sitä koskevien säännösten puuttuminen. Tunnistuslakia edeltäneeseen sähköisistä allekirjoituksista annettuun lakiin (14/2003; jäljempänä SähkAllekL) sisältyi pelkästään sähköistä allekirjoitusta koskevaa sääntelyä.[16] Näiden säännösten merkitys oli jäänyt vähäiseksi, koska yleensä oikeustoimia sähköisessä ympäristössä ei tehty sähköisten allekirjoitusten avulla, vaan tuolloin laissa säätelemätöntä vahvaa sähköistä tunnistamista, erityisesti pankkitunnuksia, hyödyntäen. Käytännössä näin saatiin aikaan samat oikeusvaikutukset kuin sähköisen allekirjoituksen avulla.  Sähköistä tunnistamista koskevien säännösten puuttuminen aiheutti kuitenkin epävarmuutta ja johti tarpeeseen hakea sääntöjä toiminnalle sähköisiä allekirjoituksia koskevista säännöksistä, joiden soveltaminen johti toisinaan asettamaan palveluntarjoajille liian raskaita vaatimuksia.[17]  Tunnistuslain tarkoituksena oli edistää vahvan sähköisen tunnistamisen palveluiden tarjontaa ja luoda niitä koskevat perussäännökset.[18]

Tunnistuslakia on viimeisen kymmenen vuoden kuluessa muutettu useita kertoja. Muutoksia on tapahtunut sekä lain sisällössä että terminologiassa. Viimeisimmät isommat muutokset on tehty eIDAS-asetuksen vuoksi.[19] Kansallista alkuperää oleva tunnistuslain 27 § on kuitenkin pysynyt näistä muutoksista huolimatta saman sisältöisenä.[20]

2.2 Tunnistuslain oikeudetonta käyttöä koskevat säännökset

Tämän artikkelin aiheen kannalta keskeistä on, että tunnistuslakiin sisältyy kaksi varsin samanlaista säännöstä oikeudetonta käyttöä koskevasta vastuusta. Tunnistuslain 40 §:ssä säädetään sähköisen allekirjoituksen ja sähköisen leiman luomistietojen haltijan vastuusta luomistietojen oikeudettomasta käytöstä pääpiirteissään samoin kuin lakia edeltäneen SähkAllekL:n 17 §:ssä.[21] Vahvaan tunnistautumiseen käytettävän tunnistusvälineen haltijan vastuuta taas koskee edellä kuvattu tunnistuslain 27 §, jolle ei ollut esikuvaa aikaisemmassa lainsäädännössä, jossa ei ylipäätään ollut vahvaa sähköistä tunnistamista koskevia sääntöjä. Tunnistuslain esitöissä todetaan tunnistuslain 27 §:n vastaavan pääperiaatteiltaan tunnistuslain 40 §:n säännöstä. Esitöissä ei oteta kantaa siihen, onko säännöksissä sisällöllisiä eroja, mutta niissä todetaan, että tunnistuslain 27 § on tarkempi ja että se, toisin kuin tunnistuslain 40 §, on pyritty ilmaisemaan ”nykyisen lainkirjoitustavan” mukaisesti.[22]

Vastaavasti kuin tunnistuslain 27 § koskee vain vahvaa sähköistä tunnistamista, myös tunnistuslain 40 § koskee ainoastaan tietyt laatuvaatimukset täyttäviä sähköisiä allekirjoituksia. Alun perin 40 §:n soveltamisalaan kuuluivat laatuvarmenteella varmennetut kehittyneet sähköiset allekirjoitukset[23] ja eIDAS-asetuksen vuoksi tehtyjen muutosten jälkeen hyväksytyllä varmenteella varmennetut kehittyneet sähköiset allekirjoitukset ja sähköiset leimat.[24] Jäljempänä tässä kirjoituksessa allekirjoituksesta puhuttaessa tarkoitetaan juuri TunnL 40 §:ssä tarkoitettuja hyväksytyllä varmenteella varmennettuja kehittyneitä sähköisiä allekirjoituksia.

Tunnistuslain 40 §:n 1 momentin mukaan allekirjoittaja ja sähköisen leiman haltija vastaa luomistietojen oikeudettomasta käytöstä aiheutuneesta vahingosta, kunnes varmenteen peruuttamispyyntö on saapunut varmentajalle. Kuluttajan vastuuta rajoitetaan kuitenkin 2 momentissa siten, että hänellä on 1 momentissa säädetty vastuu vain, jos 1) hän on luovuttanut luomistiedot toiselle; 2) luomistietojen joutuminen niiden käyttöön oikeudettomalle on aiheutunut hänen huolimattomuudestaan, joka ei ole lievää; tai 3) hän menetettyään luomistietojen hallinnan muulla kuin 2 kohdassa mainitulla tavalla on laiminlyönyt pyytää varmenteen peruuttamista.

Tunnistuslain 40 § muistuttaa kuluttajan vastuun edellytysten osalta pitkälti 27 §:ää, mutta vastuun sisällön osalta sanamuodossa on ero: vastuu on säännöksen sanamuodon mukaan vastuuta luomistietojen oikeudettomasta käytöstä aiheutuneesta vahingosta. Oikeuskirjallisuudessa on katsottu vahingonkorvaukseksi muotoillun seuraamuksen merkitsevän, että väärinkäytöksen perusteella lähetetty tahdonilmaisu jää luomistietojen oikeaa haltijaa sitomattomaksi.[25] Sitä, että oikeudettoman käyttäjän tekemä sähköinen allekirjoitus ei sido oikeaa haltijaa sopimukseen, on perusteltu toteamalla tällaisen allekirjoituksen rinnastuvan täysin väärennettyyn ”perinteiseen” allekirjoitukseen.[26]

Lähtökohtaisesti vaikuttaisi perustellulta tukeutua tunnistuslain 27 §:n tulkinnassa samaan lakiin sisältyvään ja soveltamistilanteiltaan samankaltaiseen tunnistuslain 40 §:ään. Myös esityölausumat tunnistuslain 27 §:n ja 40 §:n vastaavuudesta puoltavat tulkintaa, että myös 27 §:ssä tarkoitettaisiin vahingonkorvausvastuuta. Tunnistusvälineen haltija ei tulisi sidotuksi oikeudettoman käyttäjän tekemiin oikeustoimiin, mutta olisi 27 §:n mukaisten edellytysten täyttyessä velvollinen korvaaman oikeudettomasta käytöstä luottavalle osapuolelle aiheutuneen vahingon.

Myös tunnistuslain sisäiseen johdonmukaisuuteen liittyvät näkökohdat puoltaisivat tunnistuslain 27 §:n mukaisen vastuun tulkitsemista vahingonkorvausvastuuksi. Sekä vahvaa sähköistä tunnistamista että hyväksytyllä varmenteella varmennettua kehittynyttä sähköistä allekirjoitusta hyödynnetään näet yleisesti tehtäessä oikeustoimia verkossa, ja vahvaa sähköistä tunnistamista voidaan pitää näistä menetelmistä kevyempänä. Kumpaankin menetelmään sisältyy tietyt laatuvaatimukset täyttävä henkilön tunnistaminen, jonka onnistumiseksi tunnistusvälineen tai sähköisen allekirjoituksen luomistietojen tulee olla tietyn henkilön yksinomaisessa hallinnassa. Vahvan sähköisen tunnistamisen ei kuitenkaan tarvitse perustua varmenteeseen, toisin kuin hyväksytyllä varmenteella varmennetun kehittyneen sähköisen allekirjoituksen. Lisäksi tunnistuslain 40 §:ssä tarkoitettuun allekirjoitukseen kuuluu allekirjoituksen liittäminen allekirjoitettuun tietoon siten, että tiedon mahdolliset muutokset voidaan havaita.[27]

Siihen nähden, että kumpaakin menetelmä voidaan käyttää oikeustoimia tehtäessä, olisi ristiriitaista, jos oikeudettoman käytön tilanteessa kyseisenlaiseen allekirjoitukseen luottaneella olisi tunnistuslain 40 §:n nojalla oikeus vain vahingonkorvaukseen luomistietojen oikealta haltijalta, mutta kevyempää menetelmää eli pelkkää sähköistä tunnistamista käyttäen tehty oikeustoimi sitoisi tunnistuslain 27 §:n nojalla sellaisenaan tunnistusvälineen haltijaa. Tunnistuslain sisäinen koherenssi puoltaisi sitä, että tunnistuslain 27 §:n mukainen vastuu katsottaisiin vahingonkorvausvastuuksi.

Argumenttia voidaan havainnollistaa esimerkillä. Elinkeinonharjoittaja L:lle on aiheutunut ongelmia siitä, että osa sen verkkokaupan asiakkaista on antanut väärät henkilötiedot ostaessaan tavaraa luotolla. Vastapuolen henkilöllisyydestä varmistumiseksi L voi ensinnäkin päättää ottaa käyttöön 1) asiakkaiden vahvan sähköisen tunnistamisen ennen tilauksen tekemistä. Jos joku (V) tämän jälkeen asioisi L:n verkkokaupassa toisen henkilön tunnistusvälinettä käyttäen, tunnistusvälineen haltija (O) voisi olla tunnistuslain 27 §:n mukaisessa vastuussa sellaisista oikeustoimista, joita oikeudeton käyttäjä tekee L:n kanssa. Toisaalta L voisi myös päättää, ettei pelkkä vahva sähköinen tunnistaminen riitä, vaan että 2) asiakkaan on allekirjoitettava verkkokaupassa tekemänsä tilaus sellaisella sähköisellä allekirjoituksella, jonka osalta vastuu määräytyy tunnistuslain 40 §:n mukaan.

Vahva sähköinen tunnistaminen voidaan toteuttaa esimerkiksi verkkopankkitunnuksilla tai Digi- ja väestötietoviraston kansalaisvarmenteella, joka sisältyy poliisin myöntämään henkilökorttiin. Kansalaisvarmenteella voidaan tehdä myös 40 §:ssä tarkoitettu sähköinen allekirjoitus.[28] Jos sivullinen V saa käsiinsä toisen henkilön pankkitunnukset, hän voi tunnistautua kyseisenä henkilönä, mutta ei tehdä sähköistä allekirjoitusta. Henkilökortin ja siihen liittyvät tunnusluvut haltuunsa saava V taas voisi sekä tunnistautua O:na että tehdä tämän nimissä sähköisen allekirjoituksen. Ei olisi kovin johdonmukaista, että O tulisi sidotuksi oikeustoimeen, jos L edellyttäisi pelkkää sähköistä tunnistamista, mutta hänen vastuunsa olisi vain vahingonkorvausvastuuta, jos L edellyttäisi sähköistä allekirjoitusta.

Yhteenvetona voidaan todeta, että tunnistuslain 40 § ja tunnistuslain systematiikka tukevat tulkintaa, että tunnistuslain 27 §:n mukainen vastuu on vahingonkorvausvastuuta.

2.3 Muiden lakien oikeudetonta käyttöä koskevat vastuusäännökset

Tunnistuslain esitöistä ilmenee, että tunnistuslain 27 §:ään on otettu mallia paitsi tunnistuslain 40 §:stä myös eräistä muiden lakien säännöksistä, jotka koskevat vastuuta oikeudettomasta käytöstä. Esitöissä viitataan tunnistuslain valmistelun aikaan voimassa olleeseen kuluttajansuojalain (38/1978; jäljempänä KSL) 7:19:ään (385/1986; jäljempänä myös ”vanha KSL 7:19”), joka koski tilinhaltijan vastuuta luottokortin tai muun tililuoton käyttöön oikeuttavan tunnisteen oikeudettomasta käytöstä, ja pyritään selostamaan kunkin tunnistuslain 27 §:n säännöksen osalta erikseen, miltä osin se vastaa mainittua pykälää tai poikkesi siitä.[29] Esitöissä ei kuitenkaan oteta kantaa siihen, vastaako tunnistuslain 27 § kyseistä säännöstä vastuun sisällön osalta.[30] Esitöissä todetaan lisäksi, että vastaavia säännöksiä sisältyy muihin lakeihin, kuten viestintämarkkinalakiin (393/2003), ja että tunnistuslain 27 § vastasi sisällöltään pitkälti maksupalveludirektiivin vaatimuksia, joita Suomessa oltiin panemassa täytäntöön tunnistuslain kanssa samaan aikaan valmisteltavana olleella maksupalvelulailla.[31] Tunnistuslain 27 §:ää tulkittaessa on siksi perusteltua tukeutua myös näihin esitöissä mainittuihin säännöksiin sekä ne myöhemmin korvanneisiin, pääpiirteissään vastaavan sisältöisiin säännöksiin. Korkein oikeus on jäljempänä käsiteltävässä ratkaisussa KKO 2016:73 tukeutunut erityisesti vanhaan KSL 7:19:ään arvioidessaan tunnistuslain 27 §:n mukaisen vastuun sisältöä.

Vanhaa KSL 7:19:ää voidaan pitää eri lakeihin sisältyvien oikeudetonta käyttöä koskevien säännösten kantaäitinä. Se on toiminut mallina paitsi tunnistuslain 27 §:lle ja 40 §:lle myös viestintäpalvelun oikeudetonta käyttöä koskeneelle viestintämarkkinalain (393/2003) 79 a §:lle (759/2006) ja sen korvanneelle sähköisen viestinnän palveluista annetun lain (917/2014; jäljempänä viestintäpalvelulaki) 125 §:lle. Vanhan KSL 7:19:n mukainen malli on nähtävissä myös KSL 7:40:n (899/2017) ja maksupalvelulain (290/2010) 62 §:n (898/2017) taustalla, vaikka kyseisissä, osin toiseen maksupalveludirektiiviin[32] perustuvissa säännöksissä onkin säädetty vastuun edellytyksistä osin vanhasta KSL 7:19:stä poikkeavasti. Tarkastelen tässä edellä mainittuja säännöksiä tämän artikkelin kysymyksenasettelun kannalta relevanteilta osin: minkä sisältöisestä vastuusta säännöksissä on kysymys?

Vanhan KSL 7:19:n sanamuoto vastasi pitkälti tunnistuslain 27 §:n sanamuotoa: sen mukaan tilinhaltija vastaa luottokortin tai muun tililuoton käyttöön oikeuttavan tunnisteen oikeudettomasta käytöstä vain, jos 1) hän on luovuttanut tunnisteen toiselle; 2) tunnisteen joutuminen sen käyttöön oikeudettomalle johtuu tilinhaltijan huolimattomuudesta, joka ei ole lievää; taikka 3) hän menetettyään tunnisteen hallinnan muulla kuin 2 kohdassa mainitulla tavalla on laiminlyönyt ilmoittaa tästä luotonantajalle viipymättä sen havaittuaan. Vastuun sisältö on kuitenkin asiayhteyden perusteella selvempi kuin tunnistuslain 27 §:n mukainen vastuun sisältö: ei liene epäselvyyttä siitä, että vastuu kortin tai muun luoton käyttöön oikeuttavan tunnisteen käytöstä tarkoittaa sitä, että kuluttaja vastaa oikeudettoman käyttäjän kortin käytöstä samalla tavalla kuin kuin omasta käytöstään.[33] Toisin kuin tunnistusvälineellä, jota voi käyttää tunnistautumiseen hyvin erilaisissa käyttöyhteyksissä, myös monenlaisten oikeustoimien yhteydessä, luoton käyttöön oikeuttavan tunnisteen käyttötarkoitus on hyvin rajattu: sillä voi käyttää luotonantajan myöntämää luottoa enintään luottorajan määrään asti. Säännöksessä on kysymys kuluttajan maksuvastuussa suhteessa luotonantajaan, eikä sen nojalla voi syntyä sidonnaisuutta ulkopuolisten kanssa tehtyihin oikeustoimiin. Säännöksen mukaisen vastuun enimmäismäärää rajoittaa käytännössä kortin luottoraja, ja riski on siten kuluttajan ennakoitavissa.

Vanhan KSL 7:19:n ovat nyttemmin korvanneet KSL 7:40 ja maksupalvelulain 62 §.[34] Maksupalvelulain 62 §:ssä säädetään maksupalvelulain soveltamisalaan kuuluvan maksupalvelun käyttäjän vastuusta oikeudettomista maksuista, kun taas KSL 7:40 koskee kuluttajan vastuuta luottokortin tai muun luoton käyttöön oikeuttavan tunnisteen oikeudettomasta käytöstä sellaisissa luottosopimuksissa, jotka eivät kuulu maksupalvelulain soveltamisalaan (KSL 7:4.1).[35] Näistä KSL 7:40 vastaa sanamuodoltaan tunnistuslain 27 §:ää sikäli, että sen mukaan kuluttaja ”vastaa” kadonneen tai oikeudettomasti toisen haltuun joutuneen luottokortin tai luoton käyttöön oikeuttavan muun tunnisteen käytöstä pykälästä ilmenevin edellytyksin.[36] Vastuun sisältö on epäilemättä samanlainen kuin vanhassa KSL 7:19:ssä.

Maksupalvelulain 62 §:n mukaisen vastuun sisällön hahmottamiseksi pykälää on luettava yhdessä maksupalvelulain 63 §:n kanssa. Maksupalvelulain 63 §:n mukaisen pääsäännön mukaan maksupalvelun tarjoaja kantaa lähtökohtaisesti riskin oikeudettomasta maksutapahtumasta: jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta. Jos oikeudeton käyttö on johtunut asiakkaan menettelystä ja 62 §:n mukaiset edellytykset täyttyvät, palveluntarjoajalla joko ei ole palautusvelvollisuutta lainkaan tai palveluntarjoaja on velvollinen palauttamaan asiakkaalle vain 50 euroa ylittävän osan oikeudettomasta maksusta.[37] Maksupalvelulain säännöksessä on siis kysymys siitä, jääkö oikeudettomasta maksutapahtumasta aiheutuva rahamääräinen menetys maksupalvelun tarjoajan vai asiakkaan vastuulle. Maksupalvelulain säännöksen perusteella asiakas ei voi tulla sidotuksi oikeudettoman käyttäjän tekemiin sopimuksiin. Asiakkaan riski on sikäli hyvin ennakoitavissa, että jos kysymys on luotottomasta tilistä, hän voi menettää enimmillään tilillä olevien varojen määrän, ja jos kysymys on luotollisesta tilistä, riskiä rajoittaa tilin luottoraja. Riskiä voi vielä pienentää erilaisilla tilin käyttöön liittyvillä rajoituksilla.

Tunnistuslain 27 §:ää muistuttaa myös viestintäpalvelulain 125 §:n 2 momentti, jonka mukaan tilaaja vastaa viestintäpalvelun oikeudettomasta käytöstä vain, jos laitteen katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö on johtunut tilaajan tai käyttäjän huolimattomuudesta, joka ei ole lievää. Säännöksessä tarkoitetun vastuun sisältöä ei ole täsmennetty viestintäpalvelulaissa eikä sen esitöissä. Esitöissä todetaan kuitenkin, että pykälään on yhdistetty viestintämarkkinalain 76 ja 79 a §:n sääntely. Viestintämarkkinalain 79 a §:ssä on sen esitöiden mukaan kysymys vastuun jaosta teleyrityksen ja asiakkaan välisessä suhteessa silloin, kun joku kolmas henkilö on käyttänyt viestintäpalvelua oikeudettomasti. Säännöksen nojalla ratkaistaan kumpi sopimusosapuolista kantaa taloudellisen riskin esimerkiksi matkapuhelimen varkauden yhteydessä, jos väärinkäyttäjä ei jää kiinni tai osoittautuu maksukyvyttömäksi. Jos vastuun katsotaan kuuluvan asiakkaalle, kuluttaja joutuu maksamaan puheluista, joita ei ole soittanut. Jos vastuun katsotaan kuuluvan teleyritykselle, yritys jää vaille korvausta puheluista. Säännös koskee myös tilanteita, joissa puhelinliittymää on käytetty muiden palvelujen kuin puhelinpalvelujen maksamiseen.[38] Säännöksen mukaisessa vastuussa on siis kysymys siitä, että viestintäpalvelun tilaajalle syntyy palvelua koskevan sopimuksen mukainen maksuvelvollisuus siltä osin kuin oikeudeton käyttäjä on käyttänyt palvelua. Riskiä voi ennakolta rajoittaa asettamalla viestintäpalvelulain 112.1 §:ssä tarkoitetun euromääräisen käyttörajan.

Kokoavasti voidaan todeta, että edellä käsiteltyjen säännösten mukaan asiakkaan vastuu oikeudettomasta maksusta, luoton käyttämiseen oikeuttavan tunnisteen oikeudettomasta käytöstä ja viestintäpalvelun oikeudettomasta käytöstä tarkoittaa, että asiakas vastaa oikeudettoman käyttäjän toiminnasta kuin omastaan: hänen tiliään veloitetaan, hän on velvollinen maksamaan luoton tai hänen on maksettava oikeudettomasti käytetystä palvelusta sopimuksen mukainen hinta. Tältä osin nämä säännökset tukisivat osaltaan tulkintaa, että myös niiden kanssa samankaltaisen ja samantapaista menettelyä koskevan tunnistuslain 27 §:n mukainen vastuu tarkoittaisi, että tunnistusvälineen haltija vastaa oikeudettoman käyttäjän toiminnasta kuin omastaan eli tulee sidotuksi oikeudettoman käyttäjän tekemisiin oikeustoimiin. On kuitenkin huomattava, että kaikissa vertailukohtana käsitellyissä säännöksissä on kysymys rahamääräisestä vastuusta omaa sopimuskumppania kohtaan sellaisissa sopimustyypeissä, joihin liittyvää väärinkäytöksen riskiä voidaan pienentää euromääräisillä luotto- ja käyttörajoilla. Niiden nojalla asiakas ei voi tulla sidotuksi mihin tahansa oikeudettoman käyttäjän kolmannen henkilön kanssa tekemään oikeustoimeen. 

2.4 Oikeuskäytäntö

Tunnistuslain 27 §:n tulkinnasta on yksi korkeimman oikeuden prejudikaatti, KKO 2016:73. Siinä arvioitavana oli tunnistusvälineen haltija B:n vastuu, kun B:n puoliso oli käyttänyt kuluttajaluottoa hakiessaan B:n verkkopankkitunnuksia ja ottanut B:n nimissä luoton ilman tämän lupaa. Ratkaisussa katsottiin, että B oli tunnistuslain 27 §:n mukaisessa vastuussa tunnistusvälineen oikeudettomasta käytöstä, koska hän oli säilyttänyt vahvaan sähköiseen tunnistamiseen käytettyjä tunnistusvälineitä huolimattomasti eikä hänen huolimattomuutensa ollut lievää.

Kuluttajaluoton myöntänyt A Oy oli vaatinut, että B velvoitetaan suorittamaan velan pääoma, käsittelykuluja, luottoaikaista korkoa ja viivästyskorkoa. Vaatimus koski siis luottosopimuksen mukaisten velvoitteiden täyttämistä. Korkein oikeus katsoi ratkaisussaan, että tunnistuslain 27 §:n mukaisten vastuun edellytysten täyttyessä tunnistusvälineen haltijan vastuu oli samanlaista kuin hänen itse tekemässään luottosopimuksessa (kohta 28). Sen vuoksi B velvoitettiin suorittamaan maksamatta olleen luoton pääoma (kohta 29). B ei kuitenkaan ollut velvollinen suorittamaan luottosopimuksen mukaisia käsittelymaksuja, luottoaikaista korkoa eikä luottoaikaiseen korkoon perustuvaa viivästyskorkoa, koska luottosopimusta ei ollut tehty KSL 7:17:n[39] mukaisesti (kohta 36). Ratkaisun perusteluista on pääteltävissä, että B olisi ollut vastuussa myös näistä luottosopimukseen perustuvista kustannuksista, jos luottosopimus olisi täyttänyt KSL 7:17:ssa asetetut vaatimukset.

Korkein oikeus toteaa ratkaisun perusteluissa, ettei tunnistuslain 27 §:n mukaisen vastuun sisältö erilaisten oikeustoimien ja asioiden yhteydessä käy ilmi säännöksestä tai sen esitöistä (kohta 26). Siitä, että tunnistuslain 27 § oli laadittu pitkälti vastaamaan sen säätämisen aikaan voimassa ollutta vanhaa KSL 7:19:ää säännöstä ja että esitöissä on pyritty selostamaan näiden säännösten välisiä eroja ja yhtäläisyyksiä, oli kuitenkin pääteltävissä, että tunnistusvälineen haltijan vastuu oli tarkoitettu ”lopputulokseltaan samankaltaiseksi” kuin vanhan KSL 7:19:n mukainen vastuu luotto- ja maksuvälineiden oikeudettomasta käytöstä (kohta 27). Korkeimman oikeuden mukaan tilanne, jossa luotonantaja on myöntänyt luoton käyttäen luotonhakijan tunnistamiseen vahvan sähköisen tunnistamisen menetelmää, oli pitkälti verrattavissa luottokortin käyttöön. Tällä perusteella korkein oikeus katsoi tunnistusvälineen haltijan vastaavan nimissään tehdystä luotosta samoin kuin jos hän olisi itse tehnyt luottosopimuksen (kohta 28).

Ratkaisun perusteluissa on nimenomaisesti mainittu, että sähköistä tunnistamista voidaan käyttää erilaisten oikeustoimien yhteydessä, ja keskitytty sen jälkeen perustelemaan vastuun sisältöä vain luottosopimusten osalta. Keskeisenä perusteluna tältä osin on sähköistä tunnistamista hyödyntäen tehdyn luottosopimuksen rinnastaminen luottokortin käyttöön. Tarkoituksena näyttäisi siis olleen lausua vastuun sisällöstä vain luottosopimusten osalta eikä ottaa laajemmin kantaa tunnistusvälineen haltijan vastuuseen oikeudettomasta käytöstä muunlaisissa oikeustoimissa. Näistä rajoittavista lausumista huolimatta ratkaisu puoltaa tunnistusvälineen haltijan vastuun tulkitsemista täyttämisvastuuksi paitsi luottosopimuksissa myös muun tyyppisissä sopimuksissa. Tunnistuslain 27 §:n sanamuodosta tai muista oikeuslähteistä ei näet saada tukea sellaiselle tulkinnalle, että tunnistusvälineen haltijan vastuu oikeudettoman käyttäjän tekemästä luottosopimuksesta olisi perustavaa laatua olevalla tavalla erilaista kuin vastuu jonkin muun tyyppisestä sopimuksesta.

2.5 Osapuolten tasapainoinen suojaaminen

Kuten edellä käy ilmi, oikeuslähteistä on saatavissa tukea erilaisille tunnistuslain 27 §:n tulkinnoille. Tällöin tulkintavaihtoehdon valinnassa on syytä kiinnittää huomiota myös asia-argumentteihin. Koska tunnistuslain 27 § koskee sitä, miten luottavan osapuolen ja tunnistusvälineen haltijan välillä jaetaan riski oikeudettoman käyttäjän moitittavasta menettelystä, tulkintavaihtoehtojen vertailussa on syytä kiinnittää huomiota siihen, kuinka hyvin niiden avulla voidaan saavuttaa tasapaino toisaalta luottavan osapuolen ja toisaalta tunnistusvälineen haltijan suojaamisessa.

Luottavan osapuolen mahdollisuudet väärinkäytösten estämiseen lienevät yleensä melko rajalliset, sillä hän luottaa tunnistuspalvelun tarjoajan palveluun. Tunnistusvälineen haltijalla taas on omalla menettelyllään mahdollisuus estää tunnistusvälineen joutuminen oikeudettomalle käyttäjälle, ja tunnistuslain 27 §:n mukainen vastuu tulee kysymykseen vain, jos tunnistusvälineen haltija on velvollisuuksiaan laiminlyömällä mahdollistanut oikeudettoman käytön. Tästä näkökulmasta näyttäisi perustellulta asettaa riski pääosin tunnistusvälineen haltijan kannettavaksi. Täysimääräisimmin luottavaa osapuolta suojaisi oikeus vaatia tunnistusvälineen haltijalta sopimuksen mukaista suoritusta ja käyttää sopimusvelkojan oikeuskeinoja, jos sopimusta ei täytetä asianmukaisesti.

Toisaalta ei voida jättää huomiotta myöskään tunnistusvälineen haltijan suojan tarvetta. Tunnistusvälineet ovat hyvin laajasti käytössä, koska monien julkisten ja yksityisten palvelujen käyttäminen edellyttää sähköistä tunnistamista[40] ja pankkitunnuksiin kuuluu vakio-ominaisuutena myös vahva sähköinen tunnistaminen. Tunnistusvälinettä tiettyjä palveluja varten tarvitsevalla ei ole mahdollisuutta rajoittaa riskiä välineen oikeudettomasta käytöstä asettamalla etukäteen rajoja välineen käytölle, vaan hänen asemansa on tässä suhteessa heikompi kuin esimerkiksi maksu- tai viestintäpalvelun asiakkaalla.[41]

Tunnistusvälineiden käyttökerrat ovat lisääntyneet muun muassa sen vuoksi, että maksupalveludirektiivissä (97 §) edellytetään asiakkaan vahvaa tunnistamista sähköisten maksutapahtumien yhteydessä. Vaikka tämä vaatimus sinänsä parantaa yksittäisten maksutapahtumien luotettavuutta, liittyy tunnistusvälineiden lisääntyvään käyttöön myös riskejä. Mitä enemmän tunnistusvälineitä arjessa käytetään, sitä todennäköisempää on, että tunnistusvälineiden haltijat ajoittain laiminlyövät huolellisen säilyttämisen velvollisuutta joko tietämättään tai ainakaan tiedostamatta kaikkia siihen liittyviä riskejä.[42] Väärinkäytösriski voi kasvaa erityisesti, jos tunnistusvälineitä joudutaan usein – esimerkiksi matkoja tai muita kodin ulkopuolella käytettäviä palveluja hankittaessa – käyttämään julkisissa tiloissa, joissa on paljon muita ihmisiä.

Tunnistusvälineen käytön arkipäiväistyminen on omiaan vaikuttamaan siihen, että tunnistusvälineen säilyttämisessä kiinnitetään turvallisuusnäkökohtia enemmän huomiota siihen, että väline on helposti saatavilla. Käytännössä suhteellisen yleistä lienee esimerkiksi tunnistusvälineiden säilyttäminen perheenjäsenten saatavilla tai jopa luovuttaminen perheenjäsenen käyttöön. Vaikka tällainen menettely on tunnistusvälineen haltijan velvollisuuksien vastaista ja huolimatonta, täyttämisvastuu mistä tahansa oikeudettoman käyttäjän tekemästä sopimuksesta voi olla osoitettuun huolimattomuuteen nähden kohtuuton seuraus.

Kohtuullista riskinjakoa arvioitaessa on syytä verrata oikeudettoman käytön vuoksi syntynyttä tilannetta siihen, mitä olisi tapahtunut, jos tunnistusvälineen haltija ei olisi laiminlyönyt velvollisuuksiaan eikä oikeudeton käyttäjä olisi voinut toimia hänen nimissään. Oikeudeton käyttö voi johtaa siihen, että luottava osapuoli uskoo tehneensä sopimuksen tunnistusvälineen haltijan kanssa. Luottavalla osapuolelle voi aiheutua kustannuksia esimerkiksi sopimuksen tekemisestä sekä oman suoritusvelvollisuutensa täyttämisestä. Jos sitovaa sopimusta ei synny, luottava osapuoli ei saa sopimuksella tavoittelemaansa hyötyä ja sille aiheutuneet kustannukset käyvät hyödyttömiksi. Jos oikeudeton käyttäjä ei olisi voinut esiintyä tunnistusvälineen haltijana, sopimusta ei olisi lainkaan tehty. Tällöin luottavalle osapuolelle ei olisi aiheutunut kustannuksia, mutta se ei toisaalta olisi saanut sopimuksen mukaista hyötyäkään. Luottavan osapuolen saattamiseen siihen asemaan, jossa se olisi ilman oikeudetonta käyttöä ollut, riittäisi siis negatiivisen sopimusedun eli sopimuksen tekemisestä ja täyttämisesta aiheutuneiden kustannusten korvaaminen. Jos tunnistusvälineen haltija olisi velvollinen täyttämään sopimuksen, luottava osapuoli saisi sopimuksen mukaisen hyödyn eli voisi päästä parempaan asemaan kuin ilman oikeudetonta käyttöä.

Parhaiten eri osapuolten edut tasapainottavalta ratkaisulta vaikuttaisi se, että tunnistusvälineen haltija olisi velvollinen korvaamaan luottavalle osapuolelle ne kustannukset, joita tälle on aiheutunut oikeudettoman käyttäjän kanssa tehdystä sopimuksesta. Tällöin luottava osapuoli pääsisi siihen asemaan, jossa se olisi ollut, jos oikeudetonta käyttöä ei olisi lainkaan tapahtunut, eikä tunnistusvälineen haltija tulisi sidotuksi sopimukseen, jota ei ole tehnyt.[43]

2.6 Johtopäätös vastuun sisällöstä

Edellä on etsitty tukea tunnistuslain 27 §:n tulkintaan tunnistuslain sisällöstä ja esitöistä, muita samankaltaisia vastuuasetelmia koskevista säännöksistä, oikeuskäytännöstä ja asia-argumenteista. Säännöksen sanamuodosta tai sen esitöistä ei suoraan käy ilmi, tarkoitetaanko säännöksessä vahingonkorvausvastuuta vai täyttämisvastuuta oikeudettoman käyttäjän tekemistä sopimuksista. Samankaltaisia vastuuasetelmia koskevissa säännöissä, joihin myös tunnistuslain 27 §:n esitöissä on viitattu, on omaksuttu keskenään erilaisia ratkaisuja. Tunnistuslain systematiikkaan perustuvat näkökohdat puoltavat kuitenkin sitä, että mallia tulkintaan haettaisiin pikemminkin tunnistuslain 40 §:stä kuin muiden lakien vastaavista säännöksistä ja katsottaisiin kysymys olevan vahingonkorvausvastuusta. Tällaista tulkintaa puoltaisi myös se, että näin voitaisiin saattaa luottava osapuoli siihen asemaan, jossa hän olisi ollut ilman oikeudetonta käyttöä, mutta hän ei hyötyisi oikeudettoman käyttäjän menettelystä tunnistusvälineen haltijan kustannuksella.

Korkeimman oikeuden ratkaisu KKO 2016:73 on kuitenkin vahva argumentti sen puolesta, että tunnistuslain 27 §:n mukaisen vastuun katsottaisiin tarkoittavan tunnistusvälineen haltijan sidonnaisuutta oikeudettoman käyttäjän tekemään sopimukseen. Edellä esitetyt, toisenlaista tulkintaa puoltavat argumentit eivät ehkä ole riittävän vahvoja perustelemaan prejudikaatista poikkeavaa tulkintaa. Kyseisten argumenttien perusteella pidän kuitenkin negatiivisin sopimusedun korvausta de lege ferenda parempana vaihtoehtona. Yleensäkin varallisuusoikeudessa sopimussidonnaisuus syntyy vain tahdonilmaisun tai muun oman sitoutumisen perusteella, kun taas huolellisuusvelvollisuuksien laiminlyönti johtaa vahingonkorvausvastuuseen.

 

3. Lopuksi

Edellä on tuotu esiin sekä argumentteja, jotka puoltavat tunnistusvälineen haltijan vastuun katsomista vahingonkorvausvastuuksi, että argumentteja, jotka puoltavat tunnistusvälineen haltijan täyttämisvastuuta oikeudettoman käyttäjän tekemistä sopimuksista. Omaksuttiinpa kumpi tulkinta tahansa, vastuu on varsin ankara: sähköistä tunnistamista voidaan hyödyntää taloudelliselta arvoltaan hyvinkin suurissa sopimuksissa, jolloin sekä velvollisuus sopimuksen mukaiseen suoritukseen että velvollisuus korvata luottavalle osapuolelle aiheutunut vahinko voivat johtaa selvästi tunnistusvälineen haltijan taloudellisen kantokyvyn ylittävään vastuuseen. Tunnistusvälineen haltija on usein kuluttaja, ja luottavat osapuolet elinkeinonharjoittajia.

Tunnistusvälineen haltijan vastuu oikeudettomasta käytöstä on ankarampaa kuin esimerkiksi maksu- tai luottokortin haltijan vastuu, sillä maksupalvelulain 62 §:n ja KSL 7:40:n mukainen vastuu rajoittuu muutoin kuin eräiden törkeiden laiminlyöntien yhteydessä 50 euroon. Lisäksi maksu- ja luottokorteille voidaan etukäteen asettaa väärinkäyttömahdollisuuksia rajoittavia käyttörajoituksia, kun taas tunnistusvälineiden kohdalla tämä ei ole tällä hetkellä mahdollista.

Oikeusministeriössä on parhaillaan suunnitteilla kuluttajaluottoja koskevan lainsäädännön tarkistamishanke, jossa on tarkoituksena arvioida muun muassa sitä, miten henkilöllisyyden todentaminen voitaisiin laajentaa koskemaan kaikkien kuluttajaluottosopimusten tekemistä.[44] Tämän hankkeen yhteydessä voisi olla syytä selvittää myös sitä, tulisiko tunnistusvälineen oikeudetonta käyttöä koskevia sääntöjä tarkistaa tunnistusvälineen haltijan kannalta kohtuullisemmiksi. Lisäksi olisi mahdollista selventää tunnistuslain 27 §:n sanamuotoa tavalla, joka poistaisi tässä artikkelissa käsitellyn, vastuun sisältöä koskevan tulkinnanvaraisuuden.

 

 

[1] Tämä periaate ilmenee esimerkiksi velkakirjalain (622/1947) 17 §:stä, jonka mukaan velallinen on oikeutettu väittämään vilpittömässäkin mielessä olevaa uutta velkojaa kohtaan, että velkakirja on väärennetty tai että sen on velallisen puolesta antanut joku, jolta on siihen puuttunut laillinen oikeutus. Oikeuskirjallisuudessa on kuitenkin esitetty, että henkilö, jonka nimissä väärennetty sitoumus on tehty, voisi olla korvausvastuussa aiheutuneista kuluista, jos hän olisi omalla huolimattomalla menettelyllään tehnyt väärentämisen helpoksi (Mika Hemmo: Sopimusoikeus I, toinen, uudistettu painos, Talentum 2003 s. 384–385).

 

[1] Neuvoston asetus 910/2014 sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta.

[2] Esimerkiksi julkishallinnon sähköisissä palveluissa 95 % tunnistamisista tehdään pankkitunnuksilla. Ks. Mitrunen, Juha – Salovaara, Timo – Viskari, Janne: Sähköinen tunnistaminen. Selvitys nykytilasta sekä -kehittämistarpeista, Valtiovarainministeriön julkaisuja 2019:20, s. 11. Saatavissa https://julkaisut.valtioneuvosto.fi/bitstream/handle/10024/161432/20_2019_Sahkoinen%20tunnistaminen.pdf (viitattu 12.3.2021).

[3] Ks. eIDAS-asetuksen 3 artiklan 10 kohta.

[4] eIDAS asetuksen 26 artiklan mukaan sähköisen allekirjoituksen on täytettävä seuraavat vaatimukset: a) se liittyy yksilöivästi allekirjoittajaansa; b) sillä voidaan yksilöidä allekirjoittaja; c) se on luotu käyttäen sähköisen allekirjoituksen luontitietoja, joita allekirjoittaja voi korkealla varmuustasolla käyttää yksinomaisessa valvonnassaan; ja d) se on liitetty sillä allekirjoitettuun tietoon siten, että tiedon mahdollinen myöhempi muuttaminen voidaan havaita.

[5] Ks. eIDAS asetuksen 3 artiklan 12 kohta.

[6] Tunnistusvälineen haltija ei ole ainoa mahdollinen vastuutaho. Oikeudeton käyttäjä olisi periaatteessa rikokseen perustuvassa korvausvastuussa aiheuttamastaan vahingosta, sillä hänen menettelynsä täyttänee yleensä rikoslain (39/1889) 36:1:n (769/1990) mukaisen petoksen tunnusmerkistön. Korvausvastuulla lienee kuitenkin vain harvoin käytännön merkitystä luottavalle osapuolelle, sillä oikeudeton käyttäjä voi jäädä kokonaan tuntemattomaksi tai olla maksukyvytön. Tunnistusvälineen tai tunnistusvälityspalvelun tarjoaja voi myös olla korvausvelvollinen, jos se on laiminlyönyt velvollisuuksiaan tavalla, joka on mahdollistanut tunnistusvälineen oikeudettoman käytön.  Arvioitavaksi tulee, onko luottavalla osapuolella oikeus esittää vaatimuksia tunnistusvälineen haltijalle (ks. TunnistusL 41.1 § ja eIDAS-asetuksen 13 artikla). Näiden tahojen vastuun edellytysten tarkastelu jää kuitenkin tämän kirjoituksen kysymyksenasettelun ulkopuolelle.

[7] Ks. HE 36/2009 laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista sekä eräiksi siihen liittyviksi laeiksi sekä liikenne- ja viestinvaliokunnan mietintö 12/2009.

[8] Ks. negatiivisen ja positiivisen sopimusedun käsitteistä esim. Juha Pöyhönen: Sopimusoiekuden järjestelmä ja sopimusten sovittelu, Suomalainen Lakimiesyhdistys 1988 s. 218–220 ja Mika Hemmo: Vahingonkorvauksen määräytymisestä sopimussuhteissa, Suomalainen Lakimiesyhdistys 1994 s. 88–89.

[9] Ks. esim. Hemmo 1994 s. 91 ja Mika Hemmo: Sopimus ja delikti, Lakimiesliiton Kustannus 1998 s. 198 ja KKO 2009:45, kohta 2.

[10] Ks. esim. Hemmo 1994 s. 89–90.

[11] Ks. Ilja Ponka: Sähköinen tunnistaminen ja allekirjoitus Suomen velvoiteoikeudessa, Unigrafia Oy 2013 s. 305–306, 414, 419 ja 484 av. 232.

[12] MK 5:1.1:n mukaan asiointijärjestelmän käyttö edellyttää vahvaa sähköistä tunnistamista. MK 5:3.2:n mukaan valtio on velvollinen korvaamaan vahingon, joka on aiheutunut asiointijärjestelmässä laadittuun sähköiseen asiakirjaan tai sen johdosta tehtyyn kirjaukseen luottaneelle siitä, että asiointijärjestelmää on oikeudettomasti käyttänyt joku muu kuin sen käyttäjäksi tunnistettu, ja pykälän 3 momentissa viitatun MK 13:7.1:n nojalla valtiolle siirtyy sen maksaman korvauksen osalta korvauksensaajan oikeus saada korvausta sopimuksen tai muun perusteen nojalla. Hallituksen esityksessä todetaan, että oikeudettoman käyttäjän tekemä kiinteistönkauppa ei sido osapuolia, koska kysymys on väärennöksestä, mutta se, joka on omalla huolimattomuudellaan mahdollistanut järjestelmän oikeudettoman käyttämisen, voi joutua korvausvastuuseen järjestelmää oikeudettomasti käyttäneen ohella (HE 146/2010 sähköistä kiinteistön kauppaa, panttausta ja kirjaamismenettelyä koskevaksi lainsäädännöksi s. 14–15 ja 34).

[13] Ks. Jenna Päläs – Mirva Salminen: Alustan asiakkaan vastuusta ja vastuuttamisesta yksilöturvallisuuden tuottamisessa – sopimusoikeudellinen näkökulma kyberturvallisuuteen jakamistaloudessa, teoksessa Päläs, Jenna – Määttä, Kalle (toim.): Jakamistalousjuridiikan käsikirja, Alma Talent 2019 s. 319–408, s. 363.

[14] Vastuun edellytykset ovat saaneet osakseen jonkin verran enemmän huomiota kuin vastuun sisältö. Ratkaisua laajimmin kommentoinut Norio-Timonen keskittyy kommentissaan toisaalta siihen, mitä ratkaisun perusteella voidaan päätellä vastuun edellytyksistä, ja toisaalta ratkaisussa esille nousseeseen kysymykseen kuluttajaluottosopimuksen muotovaatimuksista (Jaana Norio-Timonen: KKO 2016:73. Identiteettivarkaus ja vastuu pikaluotosta, teoksessa Pekka Timonen (toim.): Korkeimman oikeuden ratkaisut kommentein 2016:II, Alma Talent 2017, s. 223–227).

Norros näyttäisi katsovan, että tunnistuslain 27 §:n mukainen vastuu tarkoittaa nimenomaan sidonnaisuutta oikeudettoman käyttäjän tekemään oikeustoimeen. Hän tuo tämän tulkinnan kuitenkin esiin vain esikysymyksenä eräiden muiden vastuukysymysten tarkastelulle, eikä perustele sitä (ks. Olli Norros: Selvitys tunnistamiseen liittyvistä vahingonkorvauskysymyksistä, Viestintäviraston julkaisuja 004/2016, s. 30. Saatavissa https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Selvitys_tunnistamiseen_liittyvista_vahingonkorvauskysymyksista_004_2016__J.pdf (viitattu 3.5.2021).

[15] Luottamuspalvelun käsite määritellään eIDAS-asetuksen 3 artiklan 16 kohdassa.

[16] SähkAllekL:lla pantiin täytäntöön ns. sähköallekirjoitusdirektiivi (Euroopan parlamentin ja neuvoston direktiivi 1999/93/EY sähköisiä allekirjoituksia koskevista yhteisön puitteista), mutta siihen sisältyi myös puhtaasti kansallisia säännöksiä, kuten sähköisen allekirjoituksen luomistietojen oikeudetonta käyttöä koskeva SähkAllekL 17 §.

[17] HE 36/2009 s. 27.

[18] HE 36/2009 s. 29.

[19] Ks. laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta (533/2016) ja HE 74/2016 laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta sekä eräiksi siihen liittyviksi laeiksi.

[20] Tunnistuslakiin eri aikoina tehtyjen, osin varsin teknisten muutosten kattava esittely tässä artikkelissa ei ole mahdollista tai tarpeen. Sen vuoksi tunnistuslain tarkastelussa keskitytään vain niihin seikkoihin, jotka ovat merkityksellisiä tunnistuslain 27 §:n tulkinnan kannalta.

[21] HE 36/2009 s. 75.

[22] HE 36/2009 s. 64.

[23] Kehittyneellä sähköisellä allekirjoituksella tarkoitettiin laissa sähköistä allekirjoitusta, joka liittyy yksiselitteisesti sen allekirjoittajaan; b) jolla voidaan yksilöidä allekirjoittaja; c) joka on luotu menetelmällä, jonka allekirjoittaja voi pitää yksinomaisessa valvonnassaan; ja d) joka on liitetty muuhun sähköiseen tietoon siten, että tiedon mahdolliset muutokset voidaan havaita (TunnL 2 §:n 10 kohta (617/2009). Laatuvarmenteella tarkoitettiin tunnistuslain 30 §:n mukaiset vaatimukset täyttävää varmennetta.

[24] Hyväksytyllä varmenteella tarkoitetaan eIDAS-asetuksen mukaisesti varmennetta, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää asetuksen liitteessä säädetyt vaatimukset (eIDAS-asetuksen 3 artiklan 15 ja 30 kohta). Kehittynyt sähköinen allekirjoitus määritellään eIDAS-asetuksen 26 artiklassa vastaavalla tavalla kuin aiemmin TunnL 2 §:n 10 kohdassa.

[25] Ks. Ponka 2013 s. 305 – 306 sekä TunnL 40 §:n kanssa samansisältöisen SähkAllekL 17 §:n osalta Hemmo  2003 s. 388.

[26] Ks. Ari Saarnilehto – Vesa Annola: Sopimusoikeuden perusteet, 8., uudistettu painos, Alma Talent 2018 s. 111.

[27] Ks. kehittyneen sähköisen allekirjoituksen määritelmä eIDAS-asetuksen 26 artiklassa. Sähköisen tunnistamisen ja allekirjoituksen vertailusta ks. Ponka 2013 s. 234–236.

[28] Kansalaisvarmenteesta säädetään väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista annetun lain (661/2009) 6  luvussa. Ks. myös Digi- ja väestötietoviraston kansalaisvarmentta koskeva ohje, https://dvv.fi/kansalaisvarmenne (viitattu 29.4.2021).

[29] Ks. HE 36/2009 s. 63.

[30] Ponka on katsonut, ettei säännösten välillä niiden erilaisesta kirjoitustavasta huolimatta liene aineellisia eroja. Kantansa tueksi hän on viitannut esityölausumiin, joissa joista ei ilmene, että erot esitystavassa tarkoittaisivat aineellisia eroja (Ponka 2013 s. 482).

[31] HE 36/2009 s. 63–64.

[32] Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/2366 maksupalveluista sisämarkkinoilla, direktiivien 2002/65/EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta.

[33] Ratkaisussa KKO 1994:82 luottokortin haltija velvoitettiin maksamaan luottokorttiyhtiölle oikeudettoman käyttäjän kortilla tekemien ostosten määrä korkoineen. Ratkaisussa KKO 2006:81 hylättiin luottokortin haltija vaatimus saada luotonantajalta takaisin määrä, jonka hän oli maksanut luotonantajalle oikeudettoman käyttämän tekemien ostojen perusteella.

[34] Maksupalvelulailla on saatettu kansallisesti voimaan ensin vanha maksupalveludirektiivi (Euroopan parlamentin ja neuvoston direktiivi 2007/64/EY maksupalveluista sisämarkkinoilla, direktiivien 97/7/EY, 2002/65/EY, 2005/60/EY ja 2006/48/EY muuttamisesta ja direktiivin 97/5/EY kumoamisesta) ja sittemmin sen korvannut uusi maksupalveludirektiivi. Mainitut direktiivit ovat myös KSL 7:40:n muutosten taustalla.

[35] Maksupalvelulain soveltamisalasta säädetään lain 1 ja 2 §:ssä. Maksupalvelulain soveltamisalan ulkopuolelle ja KSL 7:40 soveltamisalaan jäävät lähinnä sellaiset maksupalvelulain 2 §:n 3 kohdassa mainitut maksuvälineet, joita voidaan käyttää tavaran, palvelun tai muun hyödykkeen hankkimiseksi ainoastaan välineen liikkeeseenlaskijan käyttämissä tiloissa taikka liikkeeseenlaskijan kanssa suoraan tehdyn sopimuksen nojalla hyödykkeen tarjoajien rajatussa verkossa, esimerkiksi tietyn myymäläketjun liikkeissä käyvä luottokortti (ks. HE 169/2009 s. 93).

[36] Keskeinen ero vanhaan KSL 7:19:ään verrattuna on, että säännökseen sisältyy samanlainen kuluttajan vastuuta rajoittava 50 euron raja kuin seuraavaksi käsiteltävään maksupalvelulain 62 §:ään.

[37] Maksupalvelulain 62.2 §:n mukaan palautusvelvollisuutta ei ole lainkaan silloin, kun oikeudeton käyttö on aiheutunut siitä, että asiakas on luovuttanut maksuvälineen sen käyttöön oikeudettomalle, eikä silloin, kun asiakas on tahallaan tai törkeästä huolimattomuudesta laiminlyönyt maksuvälineestä huolehtimisen tai sen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilmoittamisen. Muissa tapauksissa asiakkaan vastuu rajoittuu 50 euroon ja palveluntarjoajan on palautettava yli menevä osa maksusta.

[38] HE 231/2005 viestintämarkkinalain ja eräiden markkinaoikeudellisten asioiden käsittelystä annetun lain muuttamisesta s. 31.

[39] KSL 7:17.1:n mukaan kuluttajaluottosopimus on tehtävä kirjallisesti ja kuluttajalle on annettava kappale sopimusta. Sopimus voidaan tehdä myös sähköisesti siten, että kuluttaja voi tallentaa ja toisintaa sopimuksen muuttumattomana. Pykälän 2 momentin mukaan sopimuksessa on mainittava tietyt vähimmäistiedot. Pykälän 3 momentin mukaan kuluttajalta ei saa luottosuhteen perusteella periä korkoa tai maksuja, josta ei ole sovittu 1 momentissa tarkoitetussa sopimuksessa.  

[40] Tietyissä tilanteissa sähköistä asiointia tarjoavalla taholla on lakiin perustuva velvollisuus edellyttää vahvaa sähköistä tunnistamista (esim. KSL 6:15.1 ja maksupalvelulaki 85 c §). Vahva sähköinen tunnistaminen kuuluu peruspankkipalveluihin, joita talletuspankit ovat luottolaitostoiminnasta annetun lain (610/2014) 15 luvun 6 ja 6 a §:n nojalla velvollisia tarjoamaan yhdenvertaisesti ja syrjimättömästi kaikille ETA-valtiossa laillisesti asuville.

[41] Ainakin osa suomalaisista pankeista myöntää tarvittaessa pelkkää pankkiasiointia varten on rajoitettuja pankkitunnuksia, joita ei voi käyttää tunnistuslaissa tarkoitettuna tunnistusvälineenä. Silloin, kun pankkitunnuksiin sisältyy tunnistusvälineominaisuus, asiakkaalla ei kuitenkaan ole mahdollisuuksia rajoittaa ennalta kyseisen ominaisuuden käyttömahdollisuuksia. (Tieto perustuu suurimmille Suomessa toimiville pankeille huhtikuussa 2021 lähetettyyn tiedusteluun.)

[42] Esimerkiksi pankkitunnusten haltija voi mieltää, että tunnusten huolimaton säilyttäminen tai luovuttaminen toiselle voi johtaa tilillä olevien rahojen menettämiseen, mutta ei välttämättä tiedosta, että tunnuksilla voidaan myös tehdä sopimuksia kolmansien kanssa, esimerkiksi sopia määrältään huomattavasta luotosta.

[43] Joissakin tapauksissa kysymykseen voisi tulla myös vahingonkorvauksen sovittelu joko kohtuusperusteella tai luottavan osapuolen myötävaikutuksen vuoksi. Koska kysymys on erityslaissa säädetystä vahingonkorvausvastuusta, sovellettavaksi eivät tulisi vahingonkorvauslain (412/1974) sovittelua koskevat säännökset, vaan yleiset vahingonkorvauksen sovittelua koskevat periaatteet (ks. KKO 2006:56, kohdat 12–13).

[44] Kuluttajaluottoja koskevan lainsäädännön tarkistaminen (OM085:00/2020), https://oikeusministerio.fi/hanke?tunnus=OM085:00/2020 (viitattu 6.5.2021).