18. aprill 2017

Intellektuaalne testament e-hääletuse teemal

Võib vaielda, kas algelise ja lihtsa e-hääletuse süsteemi eelistamine otsast lõpuni kontrollitavuse nõuetele vastava süsteemi kasuks pärast 2003. aastat oli õigustatud või kes selle eest tagantjärele vastutab, kuid hetkel on oluline, et kui nüüd lõpuks on valmisolek viia e-hääletus vastavusse välisekspertide ja -organisatsioonide soovituste ning vabade valimiste põhimõtetega, siis tehtaks seda õigesti ning me ei seoks end taas järgmiseks kümneks aastaks ebarahuldava lahendusega.

E-hääletuse süsteemi uuendamisega plaanitakse valimissüsteemi olulisi täiendusi, mille läbiarutamise ja otsustamise vastutuse peab võtma seadusandja. Nii arutati e-hääletuse süsteem riigikogus läbi enne sellega alustamist 2005. aastal ning enne hääle individuaalse kontrolli mehhanismi sisseviimist 2013. aastal. On mõeldamatu, et praegu plaanitavad muudatused viiakse läbi ilma vähemalt sama selge ja ühemõttelise poliitilise vastutuseta seadusandja poolt. Riigikogu peab arutama läbi ning võtma vastu otsuse otsast lõpuni kontrollitavuse nõuete osas, mis tagab, et need nõuded a) oleks sõnastatud ja ellu viidud sisuliselt korrektselt ning b) vastaks informeeritud ja aktiivselt valimisprotsessi jälgivate kodanike ootustele:

  • Hääle individuaalse kontrolli mehhanism peab tagama igale valijale võimaluse veenduda, et tema hääl anti, võeti vastu, talletati ning läks lugemisele vastavalt valija algsele tahteavaldusele.
  • Hääle universaalse kontrolli mehhanism peab tagama kõigile valijatele ning valimiste vaatlejatele võimaluse isiklikult veenduda, et valijate hääled loeti kokku korrektselt.
  • Individuaalse ja universaalse kontrolli mehhanismid peavad koos tagama e-hääletuse süsteemi vastavuse otsast lõpuni kontrollitavuse nõuetele, nagu need on määratletud e-hääletuse lähteuuringutes ja nende põhjal koostatud tehnilistes kirjeldustes, rahvusvaheliste organisatsioonide soovitustes ning teaduskirjanduses.

Nõuame huvigruppe kaasavat ja rahvusvahelisele üldsusele avatud arutelu Eesti e-hääletuse plaanitavate uuenduste üle, mis tipneks e-hääletamisele seatavate nõuete ühemõttelise seadusandliku määratlemise ning sellega kaasenva poliitilise vastutuse võtmisega parlamendi poolt!

Põhjendus

E-hääletuse uue süsteemi arendamisega [1] plaanitakse viia tarkvara 2017. aasta KOV valimisteks vastavusse otsast lõpuni kontrollitavuse (end-to-end verifiability) nõuetega [2], mis seati e-hääletuse jaoks kriteeriumiks juba 2001. aasta lähteuuringutes ning mille eesmärgiks on tagada vabade valimiste põhimõtete järgimine e-valimistel [3].

Kontrollitavuse kriteeriumide rakendamist alustati 2013. aasta e-hääletuse täiendustega, millega sooviti realiseerida hääle individuaalne kontroll [4]. Uue süsteemi raames peaks viidama e-hääletus vastavusse ka hääle universaalse kontrolli põhimõttega nii, et kahe kontrollitavuse komponendi omavahelises kombinatsioonis vastaks süsteem otsast lõpuni kontrollitavuse nõuetele.

Otsast lõpuni kontrollitavuse rakendamine on olnud OSCE/ODIHR valimisvaatlejate soovitustest olulisim e-hääletuse arhitektuuri ning õiguslikke aluseid puudutav soovitus [5], mille nad esitasid 2011. aastal. Kontrollitavuse tagamine on oodanud oma aega juba e-hääletuse lähteuuringutest saadik 2001. aastal [6], see kajastus e-hääletuse tehnilises dokumentatsioonis kuni 2003. aastani [7] ning selle puudumist on seejärel aastate jooksul rõhutanud eri sõltumatud väliseksperdid [8]. Valimisvaatlejad ise andsid 2015. aasta riigikogu valimiste järel tagasiside, et kontrollitavusega on muudatuste raames tegeldud ainult “osaliselt” [9], kuigi põhiseaduskomisjoni poolt kinnitati 2012. aastal riigikogus, et soovitustest “arvestati peaaegu kõike, mis puudutas elektroonilist hääletust” [10]. Parlament pole seega teinud otsust otsast lõpuni kontrollitavuse rakendamiseks, andud ette suuniseid, missugustest põhimõtetest lähtuvalt seda teha ega ole võtnud seega ka vastutust protsessi eest.

Võib vaielda, kas algelise ja lihtsa e-hääletuse süsteemi eelistamine otsast lõpuni kontrollitavuse nõuetele vastava süsteemi kasuks pärast 2003. aastat oli õigustatud või kes selle eest tagantjärele vastutab, kuid hetkel on oluline, et kui nüüd lõpuks on valmisolek viia e-hääletus vastavusse välisekspertide ja -organisatsioonide soovituste ning vabade valimiste põhimõtetega, siis tehtaks seda õigesti ning me ei seoks end taas järgmiseks kümneks aastaks ebarahuldava lahendusega.

[1] http://www.vvk.ee/uudised/cybernetica-as-uuendab-elektroonilise-haaletamise-susteemi, https://riigihanked.riik.ee/register/hange/171780, http://vvk.ee/public/EHS/IVXV-UK-0.99-est.pdf
[2] https://research.cyber.ee/~jan/publ/ivxv-evoteid.pdf
[3] https://et.wikipedia.org/wiki/Otsast_lõpuni_kontrollitavus
[4] https://www.riigikogu.ee/tegevus/eelnoud/eelnou/abc6bd69-0c8f-4012-8616-9277a7cbfec8/Riigikogu%20valimise%20seaduse%20ja%20teiste%20seaduste%20muutmise%20seadus
[5] http://www.osce.org/odihr/77557
[6] http://vvk.ee/public/dok/lipmaamyrk.pdf
[7] http://vvk.ee/public/dok/Kontsept-03.pdf
[8] http://boamaod.github.io/blog/2015/03/30/rohkem-kryptot-v2hem-usaldust/
[9] http://www.osce.org/odihr/elections/estonia/160131
[10] http://stenogrammid.riigikogu.ee/et/201205081000#PKP-10289

Probleemid arusaamaga kontrollitavusest

  • Uue e-hääletuse süsteemi spetsifikatsioon [1] lähtub kitsast otsast lõpuni kontrollitavuse määratlusest [2] ning kitsendab seda omakorda veelgi. Selle tulemusel ei pruugi loodav lahendus vastata otsast lõpuni kontrollitavuse nõuetele [3] ning Eesti e-hääletus võib jääda jätkuvalt rahvusvahelise tunnustuseta. Kuigi kontrollitavuse kitsale määratlusele vastavad süsteemid võivad sobida kasutamiseks ettevõtetes vmt organisatsioonides, ei pruugi need vastata vabade valimiste nõuetele demokraatlikes riikides.
  • Uue süsteemi spetsifikatsiooni järgi saab valija hääle individuaalse kontrolli mehhanismi abil endiselt veenduda ainult tahteavalduse soovikohases talletamises, aga mitte selle lugemisele minemises vastavalt algsele tahteavaldusele. See ei vasta käibivale arusaamale individuaalsest kontrollitavusest ning võib tekitada olukorra, kus universaalse kontrollitavuse rakendamisel ei ole hääle individuaalse kontrolli mehhanismi puuduste tõttu täidetud e-valimiste otsast lõpuni kontrollitavuse nõuded.
  • Hääle individuaalse kontrolli mehhanism avaldab valija tahteavalduse sisu. Kuigi 2012. aastal riigikogu otsusega kasutusele võetud lahendus [4] on tehniliselt leidurlik, võib see teha takistuse süsteemi vastavusse viimisele otsast lõpuni kontrollitavuse nõuetega, sest ei võimalda hääle individuaalse kontrolli laiendamist häälte kokkulugemise momendini.
  • Häälte kokkulugemise universaalne kontroll on plaanitava süsteemi spetsifikatsiooni järgi avatud ainult andmeaudiitorile, mis on vastuolus käibivate otsast lõpuni kontrollitavuse määratlustega teaduskirjanduses [5] ning ambivalentses seoses e-hääletuse riigihanke ning e-hääletuse süsteemi uue raamistiku üldkirjeldusega [6]. Ka on vastuoluline informatsioon sellest, kas universaalse kontrollitavuse mehhanism valmib 2017. aasta KOV valimisteks ning kas selle selle kasutamine on uues süsteemis nõutud või ainult valikuline [7].

[1] https://research.cyber.ee/~jan/publ/ivxv-evoteid.pdf
[2] https://www.usenix.org/legacy/event/evtwote10/tech/full_papers/Popoveniuc.pdf
[3] https://et.wikipedia.org/wiki/Otsast_lõpuni_kontrollitavus
[4] http://www.vvk.ee/public/otsused/2013/Mis_on_haale_kontrollimine.pdf
[5] https://arxiv.org/abs/1504.03778, https://eprint.iacr.org/2016/287.pdf
[6] http://vvk.ee/public/EHS/IVXV-UK-0.99-est.pdf
[7] http://epl.delfi.ee/news/eesti/halva-onne-korral-voivad-e-valimised-toimuda-12-aasta-vanuse-tarkvaraga?id=77579756, http://www.pealinn.ee/tagid/koik/it-eksperdid-ulistatud-e-haaletusest-valijate-haali-saab-voltsida-n191310, http://p6drad-teel.net/~p6der/20170418-heiberg-ut-en.pdf

Probleemid protsessiga, sh läbipaistvuse ja vastutusega

  • Riigikogu ega selle põhiseaduskomisjon pole arutanud otsast lõpuni kontrollitavuse küsimusi ega võtnud vastu otsust plaanitava lahenduse kasuks. E-hääletuse süsteemi eest otsustamise on ilma poliitilist vastutust kandmata võtnud enda peale elektroonilise hääletuse komisjon, mille mantlipärijaks peaks 2017. aastast olema riigi valimisteenistus, kuid mille seotusest e-hääletuse süsteemi kavandamisega puudub avalikult kättesaadav teave.
  • Vastupidiselt kodanikuühiskonna nõudmistele protsessi mh rahvusavahelise üldsusele avamiseks ja OSCE/ODIHR valimisvaatlejate 2011. aasta ettepanekule “moodustada avatud töörühm, et kaaluda võimalust võtta kasutusele kontrollitav internetihääletus” [1] on süsteemi uuendusi ametlikult, aga ilma protsessi dokumenteerimata arutatud elektroonilise hääletamise komisjoni suletud ringis, riigikogu ega selle komisjone ei ole kaasatud, uuenduste üle puudub avalik ja parlamentaarne debatt.
  • Kuigi võib nentida, et riigikogu ega selle komisjonid pole suutnud teha endale piisaval tasemel selgeks e-hääletuse tehnilisi ega õiguslikke küsimusi, siiski on arutelud seadusandja tasemel tähendanud parlamentaarse vastutuse võtmist olulise muudatuse eest valimisõigusse. Kuna otsast lõpuni kontrollitavuse küsimused on olnud probleemide allikaks juba 2001. aasta lähteuuringutest ja 2003. aasta tehnilistest dokumentidest saadik [2] ning on siiani vastuolude allikaks, siis ei saa pidada e-hääletuse süsteemi uuendusi triviaalseks küsimuseks, mida delegeerida poliitilist vastutust võtmata e-hääletuse komisjonile või valimisteenistusele.
  • Elektroonilise hääletamise komisjonis toimunud arutelud pole olnud läbipaisvad, avalikkusele pole teada arutelude sisu, osalejad ega nende avaldatud seisukohad, ka puudub avalikkusel informatsioon sellest, mis on tehtud valikute põhjused, mh on valimiskomisjoni veebist kadunud elektroonilise hääletamise komisjoni lehekülg [3], kus olid toodud komisjoni protokollid aprillini 2015, mis siiski ei kajastanud arutelusid e-hääletuse süsteemi uuenduste üle.
  • Põhiseaduskomisjoni juurde 2011. aastal loodud e-hääletamise töörühma protokollid, töörühmale ja põhiseaduskomisjonile esitatud eksperdihinnangud [4] jm materjalid ning töörühma aruanne [5] pole avalikud. See on seni ainuke ametlik töörühm, mis on teadaolevalt arutanud e-hääle kontrollimise mehhanisme ja töörühma tegevusest saab aimu ainult pressimaterjalidest ning riigikogu stenogrammidest. Avalikes materjalides ei kajastu, et oleks arutatud otsast lõpuni kontrollitavuse küsimusi või kaalutud eri lahendusi hääle individuaalse kontrolli mehhanismide või häälte kokkulugemise universaalse kontrolli jaoks.

[1] http://www.osce.org/odihr/77557
[2] http://vvk.ee/public/dok/lipmaamyrk.pdf, http://vvk.ee/public/dok/Kontsept-03.pdf, https://helger.wordpress.com/2011/03/05/paper-voted-and-why-i-did-so/
[3] http://web.archive.org/web/20161110013526/http://www.vvk.ee/valimiste-korraldamine/elektroonilise-haaletamise-komisjon/
[4] https://www.riigikogu.ee/download/cfe3b465-57ea-4853-b40b-1c5250f738b2, http://stenogrammid.riigikogu.ee/et/201304251000#PKP-12881, https://www.riigikogu.ee/download/c79e1805-8354-4dd0-a8db-ddfa792c8e60
[5] http://www.vvk.ee/uudised/valmis-elektroonilise-haaletamise-tooruhma-aruanne/

Probleemid vastavusega vabade valimiste põhimõtetele

Kuigi otsast lõpuni kontrollitavus on abistav kontseptsioon, millega kirjeldatakse vabade valimiste põhimõtete ülekandmist digitaalsesse keskkonda [1] ning see on aluseks võetud ka e-hääletuse süsteemi uuendamisel [2], siiski ei lahenda see kõiki e-hääletuse õiguslikke ja tehnilisi küsimusi. See ei ole küll otseselt käesoleva petitsiooni fookus, aga väärib siiski tähelepanu, et senini puudub terviklik analüüs e-hääletuse vastavuse üle vabade valimiste põhimõtetele seadusandlikku järelevalvet teostava institutsiooni poolt.

  • Riigikohus on küll arutanud hääle salajasuse põhimõtet, aga ainult valimissunni aspektist ega ole sj arutanud valija tahteavalduse salajasuse passiivse rikkumise aspekti. Riigikohus on küll arutanud e-hääletuse ühetaolisuse põhimõtet, aga ainult valimiste perioodi aspektist ega ole sj arutanud valija õigust ühetaolistele garantiidele häälte kokkulugemisel ja valimiste vaatlemisel. [3]
  • Õiguskantsler on küll 2011. aastal kinnitanud riigikohtu seniste otsuste korrektsust, aga jättis põhiseaduspärasuse tervikuna analüüsimata, kuigi avaldas lootust, et e-hääletuse küsimused lahendatakse tulevikus põhiseaduspäraselt: “Tehnilise lahenduse probleemid, mis vajavad lahendamist, ei tähenda veel automaatselt, et e-hääletamise idee ei ole üldse põhiseaduspäraselt teostatav.” [4]
  • E-hääletuse turvaanalüüsides märgitakse paljud potentsiaalsed riived vabade valimiste põhimõtetele “aktsepteerimist vajavateks riskideks”, kuid need tähelepanekud on jäänud tehnilistesse dokumentidesse [5] ega ole viinud avalike aruteludeni sellest, mida võiks nende riivete kompenseerimiseks teha õiguslike jm vahenditega.

[1] https://et.wikipedia.org/wiki/Otsast_lõpuni_kontrollitavus
[2] https://research.cyber.ee/~jan/publ/ivxv-evoteid.pdf
[3] http://www.nc.ee/?id=11&tekst=RK/3-4-1-13-05
[4] http://stenogrammid.riigikogu.ee/201106131500#PKP-8652
[5] http://www.vvk.ee/public/dok/EH-02-02_2011-01-13.pdf

Lõppsõna usaldusest

Usaldust e-hääletuse vastu saab luua kampaania korras, aga sellel on piirid. Valimised on demokraatliku ühiskonnakorralduse alusprotsess, mille korrektsusele, arusaadavusele ja läbipaistvusele on nii avalikkusel kui valimistel konkureerivatel osapooltel õigustatud ootus. Kui aga seda ootust sisuliselt ei täideta, siis hakkab kampaania usaldust õõnestama. [1]

Valimistel võimu nimel konkureerivad jõud saavad tunnistada edu saavutanute legitiimsust vaid juhul, kui nad on veendunud, et kõigil olid selles protsessis võrdsed võimalused. Seesama on eelduseks ka valijate ja valimiste vaatlejate usaldusele demokraatliku protsessi vastu. Valimissüsteemi alused peavad olema kõigile üheselt mõistetavad, valimiste korraldus läbipaistev ning rikkumiste ja manipulatsiooni esinemine ühemõtteliselt tuvastatav. Nii on ka praegune valitsus koalitsioonileppes lubanud asuda seda usaldust tagama: “Tagame e-hääletamise turvalisuse ja läbipaistvuse.” [2]

Kui väita, et e-hääletus on nii keeruline teema, et selle arutamise peab jätma paari erialaspetsialisti ülesandeks ning teistel ei jää üle muud, kui neid lihsalt uskuda, siis see pole viis, kuidas tagada usaldust demokraatia alusprotsesside vastu ning kehtestada ühiskondlikke baaskokkuleppeid. Seetõttu on demokraatia proovikiviks, kas vähemalt riigi kõrgeim valitud esinduskogu suudab omavahel selgeks rääkida e-hääletuse põhimõttelised küsimused ning teha informeeritud ning ühiselt läbitunnetatud otsuse, et valitud põhimõtted ning nende baasil loodud süsteem on õiglane ja tagab kõigile valimistel osalejatele konkureerimiseks võrdsed võimalused.

Püüe meelitada kodanikke kampaania korras usaldama hääletusmehhanismi, mille põhimõtteid ei suuda endale selgeks teha ning läbi arutada isegi mitte riigikogu, on täiesti vastuvõetamatu!

[1] http://www.ohtuleht.ee/665537/mart-poder-kohustus-usaldada-e-haaletust
[2] https://valitsus.ee/sites/default/files/content-editors/arengukavad/eesti_keskerakonna_sotsiaaldemokraatliku_erakonna_ning_isamaa_ja_res_publica_liidu_valitsusliidu_aluspohimotted_2016-2019.pdf

Kuulnuna 2017. aasta aprillis raadiost uudist, et e-hääletuse süsteemi uuendamisega on kõik suurepärases korras, kuigi Improving the verifiability of the Estonian Internet Voting scheme oli nii avalikkuses kui vastutavate poliitikute poolt täiesti läbiarutamata, vormistasin oma vaimse testamendi neil teemadel portaalis Rahvaalgatus. Tuleb siiski tõdeda, et testamendi tõlgendamise vaidlused seisavad alles ees.