web commit by http://www.asiantuntijat.org/~avs/
[.git] / sahkoaanestysfaq.mdwn
index 5b4702c..f5741d5 100644 (file)
@@ -1,36 +1,29 @@
 ## Ohjeita
 
-
 Huomaa, että tähän dokumenttiin kirjoitettu voidaan julkaista [Public Domain -lisenssillä](http://creativecommons.org/licenses/publicdomain/).
 Versio tästä dokumentista on julkaistu osoitteessa
 <http://www.effi.org/sahkoaanestys-faq.html>
 
-
-
-
 # Sähköäänestys-FAQ
 
 Alkuperäinen versio tästä tekstistä julkaistiin alunperin Effin blogissa 
-24.8.2007 osoitteessa 
-<http://www.effi.org/blog/kai-2007-08-24.html>. Tätä 
+24.8.2007 osoitteessa <http://www.effi.org/blog/kai-2007-08-24.html>. Tätä 
 alunperin blogiartikkeliksi tarkoitettua tekstiä päivitettiin sittemmin useampaan
 otteeseen, mistä syystä päätimme siirtää sen tähän osoitteeseen.
 
 Sähköistä äänestystä koskevissa keskusteluissa samat argumentit tuntuvat toistuvan.
-Tässä dokumentissa on koottu näitä argumentteja yhteen kommentoituna.
+Tässä dokumentissa on koottu näitä argumentteja yhteen kommentoituna. Vastaukset on alun perin kirjoitettu vastauksiksi nettikeskusteluihin, josta syystä niiden tyyli on usein naseva.
 
-Tämän dokumentin ohella hyviä - ja osin ajantasaisempia - tiivistelmiä
-ovat erityisesti Effin kesäkuussa 2008 julkaisemat
-[lausunto raporttiin sähköisen kuulemisen kehittämisestä valtionhallinnossa, II vaihe][52], sekä
-[Effin raportti Suomen järjestelmästä][53].
+Tämän dokumentin ohella hyviä - ja erityisesti Suomen järjestelmän osalta osin ajantasaisempia - tiivistelmiä
+ovat erityisesti Effin kesäkuussa 2008 julkaisemat [lausunto raporttiin sähköisen kuulemisen kehittämisestä valtionhallinnossa, II vaihe][52], sekä [Effin raportti Suomen järjestelmästä][53] sekä sen uudempi englanninkielinen versio[60].
 
 Tämä dokumentti on [Public Domainia](http://creativecommons.org/licenses/publicdomain/).
 
-
 ### Sisällys
 
 *   Effi sähköisestä äänestämisestä
 *   Yleistä
+*   Sähköisen äänestyksen "business case"
 *   Viron nettiäänestyskokeilu oli ongelmaton
 *   Sähköistyminen on tulevaisuutta
 *   Nettiäänestys aktivoi äänestämään
@@ -45,6 +38,7 @@ Tämä dokumentti on [Public Domainia](http://creativecommons.org/licenses/publi
 *   Äänestyslaitteiden lähdekoodin pitäisi olla avointa
 *   Sähköinen äänestysmenetelmä X olisi hyvä
 *   Tekniikan kehitystä ei saa estää
+*   Yritetään sähköäänestystä ja otetaan käyttöön, jos se toimii hyvin
 *   Sähköäänestyksen vastustaminen estää demokratian toteutumisen tai laajentumisen
 *   Onko sähköinen äänestys aina huono juttu keskeisissä valtiollisissa vaaleissa?
 *   Lähteistä
@@ -52,42 +46,52 @@ Tämä dokumentti on [Public Domainia](http://creativecommons.org/licenses/publi
 
 ### Effi sähköisestä äänestämisestä
 
-*   [Jäitä hattuun sähköisessä äänestämisessä][1] (Effi 21.8.2007)
-*   [Sähköinen äänestys uhkaa johtaa kansanvallasta harvainvaltaan][40] (Effin blogi/Antti Honkela 16.3.2006 ja lausunto oikeusministeriölle)
-*   [Äänestysjärjestelmä ei saa olla liikesalaisuus][45] (Effi 25.1.2008)
-*   [Oikeusministeriön vaalipäällikkö julistautuu marttyyriksi][29] (Effin blogi/Kai Puolamäki 26.1.2008)
-*   [Sähköisen äänestyksen eteneminen - Oikeusministeriö tyrmää myös akateemisten tahojen kritiikin][47] (Effin blogi/Jyri Luostarinen 28.2.2008)
-*   [Dokumentoimattomia salaisuuksia][48] (Effin blogi/Antti Vähä-Sipilä 10.3.2008)
-*   [Effi valmis osallistumaan sähköäänestyspilotin auditointiin][49] (Effin blogi/Tapani Tarvainen 12.3.2008)
-*   [Salassapitosopimuksen anatomia][50] (Effin blogi/Tapani Tarvainen 20.3.2008)
-*   [Sähköäänestysjärjestelmän vaatimusdokumentteja][51] (Effin blogi/Antti Vähä-Sipilä 21.5.2008)
-*   [Lausunto raporttiin sähköisen kuulemisen kehittämisestä valtionhallinnossa, II vaihe][52] (Effi 10.6.2008)
-*   [Suomen sähköinen äänestysjärjestelmä ei täytä suosituksia][53] (Effi 19.6.2008)
+*   [Finnish E-Voting Fiasco: Votes Lost][56] (Effin blogi/Antti Vähä-Sipilä 28.10.2008)
+*   [EFFI: Aika pistää piste sähköäänestysfarssille][61] (Effi 28.10.2008)
+*   [Effi: Sähköisen äänestyksen pilotti ei todista mitään][62] (Effi 26.10.2008)
+*   [Radiohaastattelu sähköisestä äänestyksestä][57] (Effin blogi/Timo Karjalainen 16.10.2008)
+*   [Sähkö äänestää omapäisesti maailmalla, meillä OM ei näe ongelmia][58] (Effin blogi/Tapani Tarvainen 3.10.2008)
+*   [Oikeusministeri: sähköisen äänestyksen auditointiraportti tieteisfantasiaa][59] (Effin blogi/Kai Puolamäki 4.9.2008)
+*   [Effi's e-voting 'shadow report' in English][60] (Effin blogi/Antti Vähä-Sipilä 1.9.2008)
 *   [Sähköinen äänestysjärjestelmä rikkoo sekä lakia että vaalisalaisuuden][54] (Effi 24.6.2008)
+*   [Suomen sähköinen äänestysjärjestelmä ei täytä suosituksia][53] (Effi 19.6.2008)
+*   [Lausunto raporttiin sähköisen kuulemisen kehittämisestä valtionhallinnossa, II vaihe][52] (Effi 10.6.2008)
+*   [Sähköäänestysjärjestelmän vaatimusdokumentteja][51] (Effin blogi/Antti Vähä-Sipilä 21.5.2008)
+*   [Salassapitosopimuksen anatomia][50] (Effin blogi/Tapani Tarvainen 20.3.2008)
+*   [Effi valmis osallistumaan sähköäänestyspilotin auditointiin][49] (Effin blogi/Tapani Tarvainen 12.3.2008)
+*   [Dokumentoimattomia salaisuuksia][48] (Effin blogi/Antti Vähä-Sipilä 10.3.2008)
+*   [Sähköisen äänestyksen eteneminen - Oikeusministeriö tyrmää myös akateemisten tahojen kritiikin][47] (Effin blogi/Jyri Luostarinen 28.2.2008)
+*   [Oikeusministeriön vaalipäällikkö julistautuu marttyyriksi][29] (Effin blogi/Kai Puolamäki 26.1.2008)
+*   [Äänestysjärjestelmä ei saa olla liikesalaisuus][45] (Effi 25.1.2008)
+*   [Sähköinen äänestys uhkaa johtaa kansanvallasta harvainvaltaan][40] (Effin blogi/Antti Honkela 16.3.2006 ja lausunto oikeusministeriölle)
+*   [Jäitä hattuun sähköisessä äänestämisessä][1] (Effi 21.8.2007)
+
+
 
 ### Yleistä
 
-Aluksi on syytä muistuttaa, mitä äänestysjärjestelmältä vaaditaan:
+Aluksi on syytä muistuttaa, mitä äänestysjärjestelmältä vaaditaan. Nämä vaatimukset perustuvat demokraattisen valtion vaatimuksiin.
 
 *   Järjestelmän pitää valvoa, että kukin äänioikeutettu voi äänestää vain kerran.
 *   Äänestäjää lukuunottamatta kukaan ei saa tietää, ketä kukin on äänestänyt.
-*   Äänestäjän pitää voida luottaa, että äänet on laskettu tuloksessa oikein ja että ääniä ei katoa tai ilmesty tyhjästä.
+*   Äänestäjän ja myös hävinneiden ehdokkaiden pitää voida luottaa, että äänet on laskettu tuloksessa oikein ja että ääniä ei katoa tai ilmesty tyhjästä.
 *   Äänestäjä ei saa pystyä todistamaan muille äänestäneensä tietyillä tavoilla. Näin estetään äänten ostaminen tai äänestäjien painostus. Samasta syystä äänestämisen on tapahduttava henkilökohtaisesti.
+*   Järjestelmän on toimittava luetettavasti myös epävakaissa yhteiskunnallisissa oloissa, siis sellaisissa, joissa tyypillisesti YK lähettäisi vaalitarkkailijoita.
+*   Järjestelmän on paitsi oltava luotettava, myös näytettävä luotettavalta, jotta luottamus vaalitulosten oikeellisuuteen säilyy. Tämä vaatimus johtaa siihen, että "tavallisen kadunmiehen" on ymmärrettävä järjestelmän toiminta; muutoin epäilyt väärinkäytöksistä voivat johtaa epävakaissa oloissa jopa yhteiskuntajärjestyksen kaatumiseen.
 
-Järjestelmän on toimittava luetettavasti myös epävakaissa yhteiskunnallisissa oloissa, siis sellaisissa, joissa tyypillisesti YK lähettäisi vaalitarkkailijoita.
+Jos tarkastellaan nykyistä paperilippuja käyttävää äänestystä näiden vaatimusten valossa, se täyttää kaikki nämä vaatimukset erittäin hyvin. Suomessahan ääntenlasku tehdään hajautetusti (jokaisella äänestyspaikalla) kilpailevien puolueiden edustajien toimesta, ja laskennat tarkistetaan keskitetysti. Jokaisen äänestyspaikan tulos julkistetaan erikseen, jotta vaalilautakunnat voivat varmistua omien laskujensa oikeasta huomioimisesta.
 
-Esimerkiksi riittävän turvallisen sähköisen pankkijärjestelmän toteuttaminen on vaalijärjestelmään verrattuna hyvin yksinkertaista.
+Nykyinen järjestelmä otettiinkin käyttöön aikana, jolloin ihmiset eivät luottaneet toisiinsa. Tästä huolimatta haluttiin luottaa siihen, että vaalitulos on laskettu oikein ja että kukaan ei pääse valtaan vaalivilpillä.
 
-Lisäksi:
+Nykyisessä järjestelmässä äänestystuloksen laajamittainen huomaamaton väärentäminen vaatisi maantieteellisesti laajan ja puoluerajat ylittävän salaliiton. Järjestelmä myös mahdollistaa äänten tarkastuslaskennan, koska äänestyslippuja voidaan laskea uudelleen niin mona kertaa, kuin halutaan.
 
-*   Järjestelmän on paitsi oltava luotettava, myös näytettävä luotettavalta, jotta luottamus vaalitulosten oikeellisuuteen säilyy. Sopivissa oloissa pelkkä uskottavasti esitetty epäily äänestystuloksen oikeellisuudesta voi johtaa yhteiskuntajärjestyksen kaatumiseen.
-*   Kansalaisten on kyettävä ymmärtämään järjestelmän toimintaperiaate sekä mekanismit, joilla tuloksen oikeellisuus taataan. Sähköisen äänestysjärjestelmän tapauksessa luotettavuuden toteaminen vaatii usein huomattavaa asiantuntemusta, mitä tavallisilla kansalaisilla ei ole.
+Vaatimusten toteuttaminen täysin sähköisesti taas on hyvin hankalaa. Perinteiset tietojärjestelmäturvallisuuden menetelmät eivät yleensä pysty vastaamaan kaikkiin vaatimuksiin samalla kertaa. Esimerkiksi pankkijärjestelmät voidaan rakentaa suurelta osin lokimekanismien, kirjanpidon ja vastaavien varaan. Sähköäänestyksessä esimerkiksi sen tiedon, kuka äänesti ketä, kirjaaminen on jo liikaa. Pankkijärjestelmien turvallisuus perustuu myöskin siihen, että väärinkäytösten riski on riittävän pieni rahassa mitattuna. Demokraattisissa vaaleissa päätetään lainsäädäntövallasta, jota taas ei voi rahassa mitata.
 
-Nykyinen ääntenlasku hajautettuna ja kilpailevien puolueiden edustajien suorittamana toteuttaa edellä kuvatut vaatimukset - toisin kuin monet ehdotetut sähköiset äänestysjärjestelmät. Nykyinen järjestelmä otettiinkin käyttöön aikana, jolloin ihmiset eivät luottaneet toisiinsa. Tästä huolimatta haluttiin luottaa siihen, että vaalitulos on laskettu oikein ja että kukaan ei pääse valtaan vaalivilpillä.
+Tämän vuoksi Effin kanta on, että täysin sähköistä äänestysjärjestelmää ei pidä ottaa käyttöön. Effin kannan sähköäänestysasiassa tiivistää hyvin äänestysjärjestelmästä vastaavan oikeusministeri Tuija Braxin (vihr) oman [puoluehallituksen kanta 2.12.2005][21]:
 
-Nykyisessä järjestelmässä äänestystuloksen laajamittainen huomaamaton väärentäminen vaatisi maantieteellisesti laajan ja puoluerajat ylittävän salaliiton. Järjestelmä myös mahdollistaa äänten tarkastuslaskennan.
+> "Edellä kuvatun perusteella Vihreä liitto ei kannata tehtyä esitystä vaalilain muuttamisesta. Jos kuitenkin sähköinen äänestys halutaan mahdollistaa, on ehdoton vaatimus sisällyttää järjestelmään äänikohtainen äänestäjän varmentama paperituloste."
 
-Vaikka vain pieni vähemmistö äänestäisi sähköisesti, riittäisi sen väärentäminen usein kääntämään vaalien tuloksen kokonaan toiseksi - esimerkkinä edelliset eduskunta- ja presidentinvaalit.
+### Sähköisen äänestyksen tarve
 
 Oikeusministeriö toteaakin [hallituksen esityksessä 14/2006 eduskunnalle vaalilain muuttamisesta][18]:
 
@@ -101,9 +105,6 @@ kaikki äänestyspaikalla tapahtuvan täyssähköisen äänestämisen riskit
 ja sen lisäksi vielä useita muita riskejä, jotka äänestyspaikalla voitaisiin eliminoida.
 
 
-Effin kannan sähköäänestysasiassa tiivistää hyvin äänestysjärjestelmästä vastaavan oikeusministeri Tuija Braxin (vihr) oman [puoluehallituksen kanta 2.12.2005][21]:
-
-> "Edellä kuvatun perusteella Vihreä liitto ei kannata tehtyä esitystä vaalilain muuttamisesta. Jos kuitenkin sähköinen äänestys halutaan mahdollistaa, on ehdoton vaatimus sisällyttää järjestelmään äänikohtainen äänestäjän varmentama paperituloste."
 
 ### "Viron nettiäänestyskokeilu oli ongelmaton"
 
@@ -242,7 +243,7 @@ Joitakin [esimerkkejä Yhdysvalloista][35]:
 *   Vuonna 2001 Kaliforniassa, äänet oli pakko laskea käsin ohjelmointivirheen vuoksi.
 *   Vuonna 2000 Floridassa, Al Gore sai eräässä piirikunnassa presidentinvaaleissa -16.022 ääntä, siis negatiivisen äänimäärän.
 *   Vuonna 2003 Indianassa, Boonen piirikunnasta, jossa oli noin 20.000 äänioikeutettua, oli annettu yhteensä yli 140.000 ääntä.
-*   Vuonna 2008 amerikkalainen äänestyslaitevalmistaja [varoitti](http://seattletimes.nwsource.com/html/nationworld/2008131168_voting22.html), että heidän 34 osavaltiossa käytössä oleva äänestysjärjestelmä hukkaa ääniä ([Sähköisen äänestysjärjestelmän myyjä myönsi virheet USA:ssa](http://www.digitoday.fi/p/200821993), Digitoday 26.8.2008). Hupsista.
+*   Vuonna 2008 amerikkalainen äänestyslaitevalmistaja [varoitti](http://seattletimes.nwsource.com/html/nationworld/2008131168_voting22.html), että heidän 34 osavaltiossa käytössä oleva äänestysjärjestelmä hukkaa ääniä ([Sähköisen äänestysjärjestelmän myyjä myönsi virheet USA:ssa](http://www.digitoday.fi/p/200821993), Digitoday 26.8.2008; [Kansanedustaja Kasvi: Sähköisessä äänestyksessä tietoturvaongelmia](http://www.hs.fi/politiikka/artikkeli/Kansanedustaja+Kasvi+S%C3%A4hk%C3%B6isess%C3%A4+%C3%A4%C3%A4nestyksess%C3%A4+tietoturvaongelmia/1135239103437), HS 1.9.2008). Hupsista.
 
 Samanlaisia tarinoita on satoja lisää, [Effinkin lausunnossa][31] on lisää viitteitä. Voi vain arvailla, kuinka usein ongelmia ei ole huomattu ja vaalin tulos on ollut virheellinen. Huomattavaa on myös, että ongelmat eivät ole yleensä koskeneet yhtäläisesti kaikkia ehdokkaita, vaan ne ovat lisänneet tai vähentäneet tietyn ehdokkaan äänimääriä.
 
@@ -306,6 +307,14 @@ Tärkeä kysymys on myös, että miksi pitäisi siirtyä monimutkaiseen sähköi
 
 *Mitä tulee nykyisen vaalilain valmisteluun, niin verrattuna siihen, miten esimerkiksi tietoliikennejärjestelmien standardeja luodaan standardiorganisaatioiden laajoilla kuulemismenettelyillä, sähköisen äänestyksen valmistelu on Suomessa ollut hyvin suljettua. Kuvaavaa on, että esimerkiksi äskettäisessä sähköistä äänestystä koskevassa vaalilain uudistuksessa oikeusministeriö ei edes katsonut tarpeelliseksi pyytää lausuntoa tekniikan asiantuntijoilta ([2006:3 Sähköinen äänestys][39], ks. lausuntopyyntökirje). Effi antoi pyytämättä [lausuntonsa][31], jonka ministeriö jätti oleellisilta osiltaan [huomioon ottamatta][40]. Myöskään oikeusministeriön aikaisemmin (ks. kohta ["Suomalainen järjestelmä on täydellinen"][10]) mainitut kommentit "täydellisesti tietomurroilta suojatusta" ([HE 14/2006 vp][18]) vaalitietojärjestelmästä eivät ole omiaan herättämään luottamusta (on mahdollista tehdä hyvin turvallisia järjestelmiä, mutta tietoturvassa on käytännössä mahdotonta päästä täydellisyyteen).]*
 
+### "Yritetään sähköäänestystä ja otetaan käyttöön, jos se toimii hyvin"
+
+Joidenkin mielestä sähköistä äänestystä voi hyvin kokeilla rajoitetusti. Sähköäänestys voitaisiin ottaa laajempaan käyttöön, jos kokemukset olisivat hyviä.
+
+Sähköisen äänestyksen kokeilussa havaitaan vain tietyntyyppiset puutteet (esim. äänestyslaite jumiutuu), kun vakavampia ovat ne puutteet, joita <em>ei</em> huomata. Täyssähköisessä äänestyksessä, jollaista Suomeen ollaan puuhaamassa, ei esimerkiksi voida mitenkään tietää, onko äänet laskettu oikein (pitää vain luottaa kokeiltavaan äänestysjärjestelmään, koska järjestelmästä riippumatonta tarkastuslaskentaa ei voida tehdä).
+
+Toisaalta jos kokeilu sujuu hyvin, se ei tarkoita, että järjestelmässä ei voisi olla sellaisia heikkouksia, joita kukaan vain ei kokeilun aikana viitsinyt hyödyntää. Kolmanneksi, tietotekniset järjestelmät vanhenevat nopeasti ja viimeistään parin vaalin jälkeen merkittävä osa äänestystekniikasta on luultavasti jo täysin uutta - tästä syystä vanhat kokeilut ja auditoinnit ovat muuttuneet merkittäviltä osiltaan merkityksettömiksi. 
+
 ### "Tekniikan kehitystä ei saa estää"
 
 Joidenkin mielestä tekniikan kehitys ja "nykyaikaisiin" järjestelmiin siirtyminen on jo sinällään hyvä asia. "Vanhanaikaista" paperijärjestelmää hyvänä pitäviä pidetään kehityksen jarruina.
@@ -338,9 +347,10 @@ useampia,
 jolloin käsin suoritettava ääntenlasku olisi hitaampaa ja virhealttiimpaa. 
 Silloinkin olisi hyvä miettiä tarkkaan, kuinka tärkeää *oikeasti* olisi saada
 tulokset nopeasti äänestyksen päättymisen jälkeen verrattuna sähköisen järjestelmän
-implementoinnista aiheutuviin tietoturvauhkiin ja kustannuksiin. Käytännössä
+implementoinnista aiheutuviin tietoturvauhkiin ja kustannuksiin - vai olisiko parempi
+ratkaisu esimerkiksi käyttää optisia lukijoita vaalilippujen laskentaan.  Käytännössä
 edellytyksenä turvalliselle sähköiselle äänestykselle olisi
-kuitenkin paperivarmistuksen käyttö (järjestelmä tulostaa äänestä tositteen äänestäjälle, 
+joka tapauksessa paperivarmistuksen käyttö (järjestelmä tulostaa äänestä tositteen äänestäjälle, 
 joka laittaa sen vaalipaikalla normaaliin uurnaan tarkastettuaan sen; ks. kohtia "Mikä on paperivarmistus?" ja
 "Sähköinen äänestysmenetelmä X olisi hyvä").
 Maailmalta löytyy useita esimerkkejä siitä, että täyssähköiseen järjestelmään ei
@@ -424,4 +434,10 @@ Tyypillisiä argumentteja on etsitty esimerkiksi seuraavista keskusteluista:
  [53]: http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2008-06-19.html
  [54]: http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2008-06-24.html
  [55]: http://www.digitoday.fi/yhteiskunta/2008/05/28/Hollanti+kielt%E4%E4+s%E4hk%F6iset+%E4%E4nestykset/200814428/66?rss=6
-
+ [56]: http://www.effi.org/blog/2008-10-28-finnish-evoting-votes-lost.html
+ [57]: http://www.effi.org/blog/2008-10-16-Timo-Karjalainen.html
+ [58]: http://www.effi.org/blog/2008-10-03-Tapani-Tarvainen.html
+ [59]: http://www.effi.org/blog/kai-2008-09-04.html
+ [60]: http://www.effi.org/blog/2008-09-01-evoting-report-in-english.html
+ [61]: http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2008-10-28.html
+ [62]: http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2008-10-26.html