Väite, konteksti ja mitä faktoja kannattaa tarkistaa ennen johtopäätöksiä

Truth11:n tuore mielipidekirjoitus väittää, että digitaalinen henkilöllisyys (digital ID, e-ID) olisi viimeinen askel “täyteen alistamiseen”: lupakulku kaikkeen – mutta vain, jos noudatat sääntöjä ja QR-koodeja. Teksti on retorisesti kärkevä ja näkee e-ID:n ensisijaisesti valvontakoneistona. (Truth11.com)

Mitä Euroopassa oikeasti päätettiin?

EU:ssa eIDAS 2.0 tuli voimaan 2024. Jäsenmaille asetettiin velvoite tarjota Eurooppalainen digitaalinen henkilöllisyyslompakko (EUDI Wallet), mutta käyttö kansalaiselle on vapaaehtoista, eikä palveluihin pääsyn saa heikentyä, jos et käytä lompakkoa. Tämä on kirjattu sekä poliittisiin tiedotteisiin että sääntelytekstiä selittäviin kysymys–vastauksinostoihin. (Euroopan unionin neuvosto)

Teknisesti EU-lompakko on rakennettu valikoivaan paljastamiseen: voit todistaa esim. “olen yli 18” ilman syntymäajan tai nimen luovuttamista; arkkitehtuuriin kuuluu myös zero-knowledge-todisteiden tuki. Toteutusta ohjaavat viralliset spesit ja ETSI:n ohjeet. (European Commission)

Missä kriitikot ovat oikeassa?

  • Funktioryöminnän riski (function creep). Kun digitaalisesta tunnistuksesta tulee helppoa, vaatimusta voi alkaa valua aloille, joille sitä ei alun perin tarkoitettu (esim. yleinen ikävarmennus nettiin). Kansalaisjärjestöt ovat varoittaneet nopeasta toimeenpanosta ja tietosuojariskeistä. (European Digital Rights (EDRi))
  • “ID-portti kaikkialle” – tosielämän esimerkkejä. Nigeriassa SIM-kortit kytkettiin kansalliseen henkilötunnisteeseen (NIN), ja miljoonia liittymiä uhkasi katkaisu määräajan jälkeen. Se havainnollistaa, miten ID-sidonta voi realisoitua arjessa. EU ei päätä Nigeriasta, mutta tapaus näyttää voimapolitiikan mekanismin. (guardian.ng)
  • Luottamus ei synny lupauksista vaan tarkastettavuudesta. Avoimen lähdekoodin komponentit, sertifiointi ja kolmansien osapuolten auditoinnit on vietävä käytäntöön – ei vain papereihin. (EU:n oma viestintä lupaa mm. avoimen lähdekoodin ja ZKP-tuetun arkkitehtuurin.) (diconium.com)

Missä alkuperäinen kirjoitus oikaisee mutkia?

  • “Pakko” vs. vapaaehtoisuus: EU-mallissa lompakon tarjonta on pakollista valtioille, ei kansalaisille; käytön vapaaehtoisuus ja syrjimättömyys kirjattiin nimenomaisesti. Jos tulevaisuudessa syntyy de facto pakko (esim. jättialustat edellyttävät vain yhtä tunnistustapaa), se olisi sääntelyn vastaista ja altis oikeudelliselle arvostelulle. (Euroopan digitaalinen identiteetti)
  • “Kaikki kulkee yhden QR-koodin kautta”: EU-viitekehys painottaa valikoivaa attribuuttien paljastusta juuri sitä vastaan, että “kaikki tiedot” lävähtäisivät joka kerta. Tekniset spesit tähtäävät siihen, ettei palveluntarjoaja näe enempää kuin on välttämätöntä. (ETSI)

Mitä kannattaa vaatia – riippumatta kannastasi e-ID:hen

  1. Vapaaehtoisuus & vaihtoehtoreitit laissa ja käytännössä. Ei syrjintää, jos et käytä lompakkoa; vaihtoehtoiset tunnistustavat säilyvät. (Tämä on kirjattu – valvotaan, että se myös toteutuu.) (Euroopan digitaalinen identiteetti)
  2. Minimitiedon periaate oletuksena. Valikoiva paljastus/zk-todisteet käyttöön oikeasti (ei vain tekninen mahdollisuus). (eu-digital-identity-wallet.github.io)
  3. Avoin lähdekoodi + ulkopuolinen auditointi. Lompakkojen ydinkomponentit ja toteutus julkisesti tarkastettaviksi. (diconium.com)
  4. Offline-todistaminen & hajautus. Vältä keskitettyjä “kaikki munat yhdessä korissa” -rekistereitä; tue offline-todistuksia ja “verifiable credentials” -mallia. (ID-suunnittelun periaatteet: WB ID4D.) (id4d.worldbank.org)
  5. Tiukat rajat poikkikäyttöön. Ei SIM-kytköspakkoja ilman demokraattista prosessia ja vaikutusarvioita; sääntöihin “korkean kynnyksen” menettelyt uusille pakollisille käyttökohteille. (guardian.ng)
  6. Käyttäjäpuolelle oikeudet: lokit, valitukset, vahingonkorvaus. Jos dataa käytetään väärin, polku korvauksiin on oltava selkeä.

Iso kuva (Publication-X)

Truth11:n teksti toimii varoituksena mitä voi tapahtua, jos e-ID rakennetaan huolimattomasti ja pakottavasti. Euroopassa lainsäädäntö tällä hetkellä nojaa vapaaehtoisuuteen, minimitiedon jakoon ja teknisiin yksityisyyssuojakeinoihin. Samalla kriitikoiden huomio “funktioryöminnästä” on aiheellinen – erityisesti, kun rinnalle nousee uusia hankkeita (esim. EU-tason ikävarmennusratkaisut), jotka voivat epäsuorasti normalisoida ID-perusteista pääsyä verkkoon. Näitä onkin perustellusti kyseenalaistettu. (reclaimthenet.org)

Bottom line: Digitaalinen henkilöllisyys on työkalu. Se voi toteutettuna oikein vähentää tietovuotoja (vähemmän turhaa dataa, parempi kryptografia) – tai rakennettuna väärin se voi liukua kohti arjen “ID-korttia kaikkialle”. Siksi kannattaa vaatia toteennäytettyjä yksityisyysratkaisuja, ei vain lupauksia.

Lähteet

  • Truth11 – mielipidekirjoitus: The Digital ID | The Last Step Toward Full Enslavement. (Truth11.com)
  • EU:n neuvosto – eIDAS 2.0 / EUDI-lompakon oikeudellinen kehys (26.3.2024). (Euroopan unionin neuvosto)
  • Euroopan komissio – EUDI Wallet: vapaaehtoisuus, turvallisuus & yksityisyys; FAQ ja arkkitehtuuri. (European Commission)
  • EU EUDI -arkkitehtuuri: zero-knowledge ja valikoiva paljastus (viralliset sivut + ETSI TR 119 476-1:2025). (eu-digital-identity-wallet.github.io)
  • EDRi – kriittinen katsaus EU:n ikävarmennus-/eID-hankkeisiin ja tietosuojariskeihin. (European Digital Rights (EDRi))
  • Reclaim The Net – ajankohtaiset uutiset EU:n ID-pohjaisista ikävarmennusaloitteista. (reclaimthenet.org)
  • Nigeria (NIN–SIM) – esimerkki ID-sidonnan pakollisuudesta ja seurauksista. (guardian.ng)