Parandamist vajavad augud e-valimise seaduses

8. märtsil 2017 algatas Jüri Ratase valitsuses e-valimiste korraldamist puudutava seaduse. Eelnõu SE 400 ainus sisu on lühendada 7 päeva pealt e-valimised 3 päeva peale, nagu need toimusid 2007. aastal. See ei lahenda ühtegi tõsist probleemi, millest on kirjutatud järgnevalt. Esmakordselt sai see nimekiri saadetud veebruaris 2016 seaduseelnõu SE 160 menetlemisega seoses. Selle sisu oli kaotada elektroonilise Hääletamise komisjon, võtta ära Vabariigi Valimiskomisjoni töö (anda see Riigi valimisteenistusel) ning kaotada maakondlikud valimiskomisjonid(asemele projektijuhid, kes palkavad personali = kergem äraostmine).

Virgo Kruve ettepanekud said: Martin Kukk(tookord seadusemuudatuse eestvedaja aga lahkus suvel arusaamatul ettekäändel), Jüri Adams, Andres Anvelt, Peeter Ernits, Kalle Laanet, Mart Nutt, Anneli Ott, Andre Sepp, Mihhail Stalnuhhing ja komisjoni välised fraktsioonide juhid Kadri Simson, Urve Tiidus, Priit Sibul, Martin Helme, Andres Herkel

1) Vastavalt põhiseadusele on valimispäev alati pühapäev. Elektrooniline
hääletamine viiakse läbi 10. kuni 4. päevani enne valimispäeva. Põhiseadus
ei keela eelhääletust. Põhiseadus annab hääletuse võimaluse valimispäevaks
ja see peab olema ka elektrooniliselt hääletada soovijatel. Mõistan selle
läbiviimise tehnilisi probleeme ja selle pärast teen ettepaneku piiratud
ulatuses elektrooniliseks hääletamiseks valimispäeval.  1) lubada
valimispäeval elektrooniliselt hääletada ainult elektroonilise hääle
muutmiseks(esmakordselt e-häält anda ei saa); 2) valimispäeval on
elektroonilise hääletamise süsteem avatud koos jaoskondadega avamisega aga
kasutatav lühema aja (3-5 tundi); 3) eelhääletanud valija ei saa hääletada
jaoskonnas paberil (sest ta on eelhääletuse järel märgitud juba valinuks
paberil või elektrooniliselt).
Kulud: väiksed ja on seotud serverite transpordiga tagasi majutuskohta ja
töölepanekuga. Umbes 3 ametniku töö ja lepinguline audiitor ning kaameraga
filmija tasu.

2) Elektroonilise hääletamise tarkvara on siiani auditeerimata. Senised
auditid ja praegune eelnõu sätestavad vaid süsteemi auditeerimise ehk
selle ülesseadmise vastavuse juhenditele. Eelnõus 23) paragrahvid
482–484 muudetakse ja sõnastatakse järgmiselt:
ˮ§ 482. 4) korraldab elektroonilise hääletamise süsteemi
auditeerimise…)
Ettepanek: Lisada juurde nõue: 1) auditeerida valimisrakenduse tarkvara
(hääle andmise tarkvara) ja 2) auditeerida hääle talletamise serveri
tarkvara ja häälte lugemise tarkvara selle lepingupartnerilt tellitud
ulatuses(välja jääb operatsioonisüsteem, antud juhul Debian)
Kulud: ettepanekul on rahaline kulu töö tellimiseks aga see on vajalik
teadmiseks, et valimisrakenduses ei olnud hääletaja petmise funktsiooni ja
tulemuse muutmiseks serveris tagauksi. Valimisrakenduse kood on siiani
salajane, seda ei ole avalikustatud ja keelduti vaatlejale näitamast
kohapeal(2014.). Heiki Sibula juhitud komisjon tellis 2011. aastal
töölepingu alusel valimisrakenduse auditeerimise Martinilt, kes enda
sõnade järgi jäi haigeks ja mingit tööd ei toimunud(audit jäi koostamata).
Alo Heinsalu juhtimisel 2013.-2015. tarkvara auditeerimist isegi ei
tellitud.

3) Elektrooniliselt hääletas kolmandik valijatest. Nende e-hääli saab
lugeda ainult valimispäeval praeguse seaduse ja eelnõu järgi.
Ettepanek: Näha ette elektrooniliste häälte korduslugemine (valimistele
järgneval päeval) kui eksiti seaduse nõuete vastu toimingute läbiviimise
järjekorras, teostajas või ajas. Näiteks olukord, kus logifailide kontroll
annab veateate, korraldajad lähevad edasi tulemuse selgitamisega, sest
üldsus ootab valimistulemust ja piiratud aja tõttu ei ole võimalik leida
logifailide vea põhjust. Või jätab valimisteenistuse juht tulemuse
allkirjastamata ja laseb selle sisestada infosüsteemi(nii ei tehtud 2013.
ja 2014. aga toimus 2015.)
Kulud: peaksid puuduma, sest töötajate palk on ajaperioodi põhine, mitte
päevade alusel. Samuti ei arvestata eraldi kuluna serverite hoidmist ja
transportimist.

Järgnevad ettepanekud puudutavad e-häälte lugemist valimispäeval ja
kulusid ei tekita.
4) Ettepanek: Elektrooniliste häälte lugemist alustada mitte kell 19 vaid
kell 20 (Viide eelnõu 30) paragrahvi 601 tekst muudetakse ja
sõnastatakse järgmiselt: ˮ(1) 
Viimastel Riigikogu valimistel tekkis probleem, et Elektroonilise
hääletamise komisjon(EHK) ei lubanud toimingut pildistada ega filmida.
Ilma selleta ei saa fikseerida võimalikku rikkumist. Näen motiivina katset
varjata vigu. Näiteks 2014. Eeuroopa Parlamendi valimistel sain teha foto,
kus logifailide kontroll andis kriitilise vea teate, sest siis ei
takistatud pildistamist ja filmimist.
Kulud: ettepanek ei tekita kulusid. Ainus mõju on hääletuse tulemuse
avalikustamise viibimine umbes 45 minuti võrra, sest niipalju kulus
viimati häälte kokkulugemiseks ja valimiste infosüsteemi sisestamiseks.

5) Ettepanek: Kontrollida elektrooniliste häälte logifailide terviklust
valimispäeval enne tulemuse sisestamist infosüsteemi ja avalikustamist.
(Viide eelnõu 30) paragrahvi 601 punkt (9) 
See toimus nii 2013. kohalikel kui 2014. Euroopa Parlamendi valimistel
(logifailis oli kriitiline viga aga seda ei uuritud ega selgitatud
kohapeal) aga mitte enam 2015. Riigikogu valimistel. Ilma selleta ei saa
teada, et loeti kõik kehtivaks tunnistatud hääled ja mõnda ei loetud
topelt või jäetud lugemata. Selle tegemata jätmine oli ka minu kaebuse
põhjuseks EHK tegevuse kohta.
Kulud: ettepanek ei tekita kulusid. Vajalik tarkvara on olemas, viimati
tehti logifailide esmakordne kontroll pärast valimispäeva kui tulemus oli
juba infosüsteemi sisestatud ja avalikustatud. Tõsi, selle kontrolli järel
võib selguda probleem logifailis(juhtus 2014) ja tekkida küsimus, kas see
takistab tulemuse sisestamist infosüsteemi. Ometigi on tähtsam probleem
tuvastada enne tulemuse avalikustamist kui olla olukorras, et tulemus on
avalikustatud aga logifailide andmed häälte kohta ei klappinud. Näiteks
loeti kehtivana hääli, mida ei olnudki vastu võetud ja keegi
hääkis/sisestas need serverisse.

6) Ettepanek: Elektrooniliste häälte tulemuse allkirjastab
valimisteenistuse juht valimispäeval peale logifailide tervikluse
kontrolli ja enne tulemuse infosüsteemi sisestamist. (Viide eelnõu
30) paragrahvi 601 punkt (10) 
Nii toimusid 2013. ja 2014. valimised, et komisjoni juht kinnitas
allkirjaga hääletuse tulemuse ja alles siis sisestati see valimiste
infosüsteemi. Nii ei tehtud 2015. ja see oli minu kaebuse teine osa, sest
järgmisel päeval puudusid allkirjastamise juurest Vabariigi
Valimiskomisjoni kõik liikmed.
Kulud: ID-kaardi kasutamisel ei ole kulusid.

Tulemus. Ükski kirja saanud inimene ei vastanud. Ainus ettepanek sai muudatusettepanekuks EKRE fraktsioonilt, et valimispäeval algaks e-häälte lugemine alles jaoskondade sulgemise järel (kell 20) aga seda ei toetatud.

Praeguseks loodud Riigi Valimisteenistus on ilmselt ebapädevam kui varasem Vabariigi Valimiskomisjon. Selle juhi Priit Vinkeli huvi oli eelmistel valimistel seotud ainult sellega, et mis kellaks tuleb USB-võtmed saavad inimesed kohale kutsuda.

Virgo Kruve: Silmakirjalikult salajased e-valimised

Presidendi valimine on toimunud Toompeal pabersedelitega. Kuigi Riigikogus on tööalaselt olemas elektroonilise hääletamise süsteem ja sellel on ka salajase hääletamise funktsioon, usaldatakse salajaseks hääletamiseks ainult pabersedeleid.

Eliit on alati targem kui keskmine valija. Nemad on loonud seadused ja teavad ka võimalikke nõrkusi. Nende eelistus paberil hääletada ei olnud tehniline, vaid põhiseaduse järgi peavad valimised olema salajased. Seda tagavad ainult pabersedelitega valimised.

Presidenti valiti paberist sedelitega

Seaduste hääletamine on avalik ja see võib toimuda elektrooniliselt. Saadikute igapäevaseks tööks loodud infosüsteem lubab hääletada ka anonüümselt – tehtud valikut ei kuvata saalis oleval ekraanil vastava värviga. Ometigi on nupulevajutamine avalik nii lähedalistujatele kui ka saali rõdudel olijatele. See välistab salajasuse.

Nii juhtuski, et 29. ja 30. augustil toodi saali plastmassist kast. Valimisametnikud tõstsid selle üles ja näitasid saalile, et kast oli seest tühi. Pärast turvaplommide lisamist viidi kast saalist välja. Isikut tõendava pildiga dokumendi alusel sai iga nimekirja kantud saadik pabersedeli ja ümbriku, mille sisse sedel panna. Erinevalt rahvale korraldatud valimistest ei pandud valimisametnike poolt templijäljendit mitte sedelile, vaid seda sisaldavale ümbrikule. See loob salajasuseks veelgi kõrgema taseme.

Esimese Riigikogus toimunud presidendivalimiste päeva järel puhkes debatt valimise salajasuse teemal. EKRE liige Jaak Madisson ning reformierakondlased Kristjan Kõljalg ja Aivar Sõerd olid internetis avaldanud foto enda valimissedelist, kus oli näha tehtud valik. See rikkus valimiste salajasuse põhimõtet, sest nad tõestasid oma hääletamist.

Valimiste salajasus seisnebki selles, et valija ei saa tõestada, kelle poolt ta hääletas, ja hääl sedelil jääb anonüümseks lõpuni. Nii välditakse tema meelitamist hüve lubamisega (häälte ostmine) või survestamist (karistusega ähvardades).

Õiguskantsler Ülle Madise märkis Facebooki kontol: „Presidendivalimised on põhiseaduse kohaselt salajased. See tähendab, et hääletatakse oma südametunnistuse järgi. Kui pidada lubatavaks valiku avaldamist, viib see lõpuks salajasuse põhimõtte murdmiseni. Seepärast tuleks hääletajatele südamele panna, et nad salajasuse põhimõttest kinni peaksid.“

Justiitsminister Urmas Reinsalu toetas: „Riigikogu peab kaitsma põhiseadust. Kutsun üles kõiki poliitikuid sellistest tegevustest ühemõtteliselt hoiduma, sest see on õigusriigi põhimõtte vastane. /…/ Põhiseaduse rikkumine presidendivalimistel on lubamatu.“ (Postimees, 30. august)

Tsiteeritud ametnikud jätavad kõrvale täpselt samasuguse salajasuse nõude parlamendi ja omavalitsuste valimisel ning rahvahääletustel, sest alates 2005. aastast on võimalik oma hääl anda elektrooniliselt ja väljaspool valimisametnike nägemisala. Seega on meil salajase valimise puhul erinevad tingimused, kuigi põhiseadus sellist erinevust ei tunnista. Toompea hääletab salajaselt, aga inimestele pakub silmakirjalikku salajasust.

Iga saadik sellest lühikesest nimekirjast sai teha salajase või avalikustatud valiku, aga see oli garanteeritult vaba. Ametnikud jälgisid, et saadik täitis sedeli kardina taga üksinda, teda ei mõjutanud teine inimene. Valimisjaoskonnas hääletamine on pabersedelite kasutamise tõttu salajane kuni lõpuni ning mitte keegi ei saa teada valija isikut. Valimiskomisjoni liikmed tagavad ka vabaduse, et hääletajat ei sunnita ning tema identiteeti ei kuritarvitata.

Uks häälteostuks e-valimistel avatud

Elektroonilisel hääletusel on saladus kokkuleppeline, seda saab rikkuda. Elektroonilise hääle krüpteeringu murdmine on kõigest infotehnoloogiline väljakutse. Valija isikuandmed on samas failis, milles sisaldub ka tema valik. Suurim oht on valija jätmine saladuse kaitseta, sest tema ümber võib olla mitu inimest, kes käsivad või meelitavad teda hääletama nii, nagu nemad tahavad.

Elektroonilisest hääletamisest jääb jälg serveri logifaili, ja soovi korral saavad ametnikud avada konkreetse hääletaja välimise ümbriku ning selle sees oleva krüpteeritud hääle. Saladuse rikkumist kaaluti 2011. aastal, kui esmakordselt elektroonilise hääletamise ajaloos esines kehtetu hääl.

Elektroonilise hääletamise komisjon ei saa mingil viisil tagada, et arvutiga hääletab isikukoodide tegelik omanik, mitte tema identiteedi kuritarvitaja. See võib olla pereliige, kes hääletajat abistab, või toimub hääleostmine, mis kumbki ei ole seaduslik. See rikub nii valimiste salajasuse kui ka vabaduse nõuet. Valijatelt hääletamata jätmise vabaduse võtmist või nende tahte vastaselt ID-kaardi ja paroolidega e-hääletamist korraldajad ei avasta. Samamoodi ei avastata logifailist e-hääli, mis ei ole valija enda antud.

Lugesin anonüümsete logifailide analüüsi ja imestasin sügavalt hääletamiseks kulunud sekundite graafiku puhul. Kuidas olid Eesti nobedaimad näpud 104-aastasel naisel, kes andis e-hääle alla 35 sekundiga, kui kuni 32-aastastel hääletajatel oli keskmine aeg ligi 3 minutit ehk 175 sekundit? Mis nipiga jäid 101- ja 102-aastased temast maha kuni 60 sekundiga ning olid omakorda kuni 75 sekundit kiiremad valijatest, kes olid neist 60 aastat nooremad? Muidugi räägime statistilisest keskmisest, aga mina pole lugenud, et vanadusega kiirus tõuseks, silmanägemine paraneks ja tekstilugemine läheks lennult.

Presidendi valimine on hea võimalus debatiks internetis valimise salajasuse ja vabaduse teemal. Äkki see viib tippametnikud järeldusele, et elektrooniline hääletus internetis ja väljaspool jaoskonda ei täida salajasuse ja vabaduse nõudeid?

Ühtegi seatud eesmärki ei ole e-valimised täitnud. Osavõtt ei ole kasvanud (valimisi ignoreerib 35%), valimiste kulud on hoopis mitmekordistunud (elektrooniline on ülikallis lisavõimalus) ning noorte valijate asemel möllavad neist 70 aastat vanemad inimesed (arvuliselt oli 91-aastaseid rohkem kui 18-aastaseid).

On aeg sulgeda uks liberaliseeritud häälteostule ja taastada salajased valimised, loobudes e-valimistest.

Artikkel ilmus ajalehes “Kesknädal” 21. septembril 2016.
http://www.kesknadal.ee/est/uudised?id=27497

Sarnane artikkel sai saadetud ajalehe “Postimees” portaalile üle 2 nädala tagasi aga see pole siiani ilmunud ega pole teatatud ka keeldumisest. Saatsin nädala möödudes ka korduse. Ma ei esita identseid artikleid, ainult faktid ja järeldused on neis samad. Järelikult saab valitsusmeediast lugeda ainult ühekülgseid lugusid. Nad ei avalda e-valimiste salajasuses puudumise ja valimiste vabaduse teemal.

Parlamendis ei ole presidendi e-valimist

Panite tähele, et presidendi valimine on Riigikogus jätkuvalt paberi ja valimiskastiga? Neil on tööalaselt infosüsteem, kus antakse elektrooniliselt hääli eelnõudele ja see võimaldab ka salajast valimist (saali tablool kuvatakse valikute summat, mitte toolide värvi). Maksis kindlasti sadu tuhandeid. Tegelikult on paber ainus viis salajaselt hääletada ja valimiskabiin tagab valijale vabaduse (teda ei meelitata ega ähvardata, sest ta ei saa oma valikut tõestada). Sedeleid ja valimiskasti saab lõpmatult lugeda ja filmida, ilma turvariski põhjustamata(valija vabadust, salajasust), tulemust avalikult lugeda ja korduslugeda ning see on palju kordi odavam arvutiga valimisest.

Toon välja peamised eelised presidendi hääletamiseks paberist sedelitega:
1. Jaoskonnas toimub valimine valimisametnike nähes ja see välistab hääletaja mõjutamise.
2. Jaoskonnas paberil valimine on lõpuni salajane. Keegi ei näe valija poolt sedelile tehtud valikut. Pärast kasti laskmist on sedel anonüümne ehk seda ei saa seostada valijaga.
3. Jaoskonnas antud häälte lugemine on avalikult jälgitav ja tulemuse kujunemine seeläbi aus. Hääletaja jääb anonüümseks kogu protsessi jooksul.
4. Jaoskonnas loetud tulemus selgub avalikult ja selle põhjal koostatakse valimistulemuse protokoll. Elektroonilisel hääletamisel tuleb usaldada tarkvara, et see arvutas õigesti tulemused ja tal ei olnud koostaja poolt antud eesmärki, et mõni kandidaat saab endale ka mõne teise kandidaadi hääled.
5. Jaoskonnas paberil antud hääl on odavam kui elektrooniliselt antud hääl.
6. Eeltoodust lähtudes on igati põhjendatud, et parlament ise ei kasuta elektroonilist hääletamist salajaseks valimiseks ja kasutavad paberit hääletajale vabaduse ning hääle salajasuse tagamiseks.

Kirjutasin sellest ka ERR-i jaoks pikema loo “Kiri: miks riigikogu ei e-hääleta presidenti?
http://uudised.err.ee/v/arvamus/202faaa8-f2ed-4452-bb3b-9f0ca4ae4d7c/kiri-miks-riigikogu-ei-e-haaleta-presidenti

Eelnevatel aastatel on olnud vähemalt 1 kord, kus istung katkestati korduvalt vaheajaga, sest seaduseelnõu sai poolthääli ka tühjalt kohalt. Kahjuks ei fikseerinud selle toimumise aega. Pärast hääletust kuvatakse tehtud valikud tablool ka toolide ridade järgi ja nii märkaski üks Rahvaliidu või SDE liikmetest (vist oli Marrandi), et tema kõrval on ka hääl antud, kuigi tool oli tühi inimese puudumise tõttu. Juhataja võttis vaheaja, hääletust korrati ja jälle ilmus see fantoomhääl seaduseelnõule välja. Võeti uuesti tehniline vaheaeg. Kas järgmisel või ülejärgmisel korral prooviti nii, et see saadik pandi istuma hoopis teise tühja laua taha ja alles siis õnnestus tal hääletada ilma selle fantoomhääleta.