Jyrki Kasvi /vihr:
Arvoisa puhemies! Tietoverkot eivät tunnusta valtakunnanrajoja
eikä etenkään tietoverkkoja hyödyntävä rikollisuus, joka
käyttää niitä pikemminkin hyväkseen.
Rikoksen jäljet on helppo hävittää,
kun temppu tehdään viidessä eri maassa
sijaitsevien tietokoneiden kautta.
Tietoverkkoja hyödyntävää rikollisuutta
vastaan voi taistella vain kansainvälisessä yhteistyössä,
ja siksi tämä Euroopan neuvoston tietoverkkorikollisuutta
koskeva yleissopimus on niin tervetullut. En sano, että se
on täydellinen, mutta haluan olla optimisti ja uskoa, että sopimukseen liittyvät
särmät vaativat vain hiomista. Uutta sopimusta
meillä ei ole enää aikaa kirjoittaa.
Tästä sopimuksesta tekee erityisen haastavan se,
että sillä on vaikutuksia moneen eri lakiin esitutkintalaista
pakkokeinolakiin ja rikoslaista lakiin kansainvälisestä oikeusavusta.
Siksi tämän sopimuksen ja sitä toimeenpanevien
lakien yhteisvaikutusten arvioiminen on haastava tehtävä, ja
toivonkin, että valiokuntakäsittelyyn pystytään
varaamaan riittävästi aikaa vaalikauden lopun
kiireistä huolimatta.
Joitain huomioita tästä esityksestä.
Teen parhaani pysyäkseni 10 minuutin rajassa, mutta asiaa
on paljon.
Ensiksi on pakko ihmetellä, miksei tieto- ja tietoliikennetekniikan
sanastoa saada lainsäädännössä yhtenäistettyä.
Kutsumme itseämme maailman johtavaksi tietoyhteiskunnaksi,
mutta emme pysty päättämään,
puhummeko liikennetiedoista, kuten tässä esityksessä,
vai tunnistamistiedoista, kuten sähköisen viestinnän
tietosuojalaissa, vai kenties tunnistetiedoista, joiksi niitä kaikkialla
muualla kutsutaan. Erityisen varovainen olisin tässäkin
laissa mainitun sijaintitieto-käsitteen kanssa, sillä sitä käytetään
jo nyt eri laeissa hyvin sekavasti. Sähköisen
viestinnän tietosuojalaissa samaa asiaa kutsutaan paikkatiedoksi,
meripelastuslaissa paikantamistiedoksi ja ainoastaan Rajavartiolaitosta
koskevassa laissa sijaintitiedoksi. Hämmennystä lisää se,
että sanalla paikkatieto on aivan oma merkityksensä, jossa
sitä käytetään ainoastaan laissa
Geodeettisesta laitoksesta ja Maanmittauslaitoksesta.
Ei voi olla niin, että eri ministeriöt käyttävät eri
sanakirjoja lakeja valmistellessaan. Ei ole mikään
ihme, jos ihmiset eivät tiedä, mikä on
sallittua, mikä kiellettyä ja mikä pakollista,
jos lakien peruskäsitteistö on sekaisin. Ei kansalaisen
voida olettaa opiskelevan joka lakia varten uutta, yleiskielen kanssa
ristiriidassa olevaa sanastoa. Nyt tilanne on sama kuin jos alkoholiverolaissa kutsuttaisiin
viinaa viiniksi ja sahtia pilsneriksi.
Tämän esityksen kunniaksi on todettava, että se
kiinnittää huomiota niin kutsuttuun kaksikäyttöisyyteen
eli siihen, että samoja työkaluja voidaan käyttää sekä rikollisiin
että laillisiin tarkoituksiin. Ei olisi mitään
mieltä kieltää tietoturvallisuuden testaamiseen
käytettävää ohjelmistoa, koska
sitä voi käyttää myös
tietomurtoihin. Ei sorkkaraudankaan myynti, maahantuonti, luovuttaminen
tai omistaminen ole rikos, vaan sen käyttäminen
naapurin kellarikomeron oven avaamiseen. Perustelutekstissä tämä periaate
todetaan, kun sanotaan, että esimerkiksi virusohjelman
valmistaminen on täysin laillista, kunhan sitä ei
käytä rikolliseen tarkoitukseen.
Tältä osin tekstissä on kuitenkin
epäselvyyksiä, joita toivon valiokuntakäsittelyssä selkeytettävän.
Jopa kahdessa peräkkäisessä lauseessa voidaan
antaa ristiriitaista tietoa. Esimerkiksi sanakirjahyökkäystä käsittelevässä luvussa
todetaan, että siihen käytettävä ohjelma
on kaksikäyttöinen, jolloin sitä voidaan
käyttää paitsi tietoverkkojärjestelmään
murtautumiseen myös järjestelmän suojauksen
testaamiseen. Heti perään kuitenkin todetaan,
että kyseessä on tietoverkkorikosväline,
jonka hallussapito, maahantuonti, tekeminen, myyminen, luovuttaminen,
ja ilmeisesti unennäkökin siitä,
on rikos. Toivon, että valiokunta ehtii perehtyä tähän
esitykseen pinsettien ja suurennuslasin kanssa.
Esityksen suhde tekijänoikeuslakiin on sikäli mielenkiintoinen,
että tekijänoikeusrikosten osalta sopimus vaatii
rangaistavaksi vain sellaiset rikokset, jotka tehdään
kaupallisessa tarkoituksessa. Ristiriita tuoreen tekijänoikeuslakimme
kanssa on ilmeinen.
Toinen ristiriita löytyy suhteessa liikennetietojen
säilyttämiseen. Siinä, missä meille äskettäin
vakuutettiin, että nykyaikainen rikostutkinta vaatii ja
edellyttää kaiken sähköisen
tietoliikenteen kaikkien liikennetietojen tallentamista, tämän
sopimuksen mukaan riittääkin hukkaamiskielto eli
tallennetun datan säilyttämisen nopea varmistaminen.
Miksi tämän sopimuksen neuvottelijat ja lakiesityksen
valmistelijat ovat näin täydellisesti eri mieltä kuin
esimerkiksi Suomen sisäministeriö ajaessaan EU:lle
kaikkien liikennetietojen tallentamista vaativaa direktiiviä?
Säilyttämismääräyksen
ongelmana on sen määrääminen
salassapidettäväksi. Liikeyrityksille, esimerkiksi
teleoperaattorille, tämä ei ole ongelma, mutta
yksityishenkilöille kyllä. Suomessa on paljon
yksityishenkilöiden ylläpitämiä palvelimia
ja palveluita, joissa on muita henkilöitä koskevaa
tietoa. Ei kai säilyttämismääräyksen salassapito
tarkoita sitä, ettei tällainen yksityishenkilö saisi
keskustella asiasta edes asianajajansa kanssa? Ainakin jos minä joutuisin
tällaisen menettelyn kohteeksi, siis jonkun muun henkilön
törttöilyn vuoksi, haluaisin mieluusti keskustella
asiasta lakimieheni kanssa.
Esityksestä löytyy myös muita oikeusturvakysymyksiä.
Esimerkiksi 19 artiklan väitetään perustelutekstissä mahdollistavan
palvelintietokoneiden laajamittaisen takavarikoinnin, vaikka kyseisillä tietokoneilla
olisi paljon myös muita käyttäjiä. Ääriesimerkki
tästä saatiin äskettäin Ruotsissa,
jossa Pirate Bay -sivuston tutkimiseksi tehdyn ratsian yhteydessä takavarikoitiin
kaikki kyseisen palveluntarjoajan palvelintietokoneet. Tällöin
200—300 Pirate Bay -sivustoon täysin liittymätöntä www-sivustoa
lakkasi toimimasta. Näiden sivustojen omistajille aiheutuneet tulonmenetykset
olivat merkittävät, ja nyt ihmetelläänkin,
kuka korvaa tappiot näille yrityksille.
Tässä kohdassa valiokunnan tulisi kiinnittää erityistä huomiota
siihen, ettei takavarikko tarpeettomasti vahingoita sivullisten
oikeuksia, enkä sitä paitsi löydä sopimustekstin
19 artiklasta oikeutusta näin laajamittaiseen sivullisten
osapuolten omistamaan tietoon kohdistuvaan takavarikkoon.
Kolmas hankala kysymys liittyy linkittämiseen. Sopimuksen
mukaan jo linkki haittaohjelman sisältäville www-sivuille
on haittaohjelman saataville asettamista. Internetin luonteen tuntien
näin voi käydä helposti jopa vahingossa. Tältä osin
tulisikin korostaa teon tahallisuutta ja arvioida myös
sen tarkoitusta. Toivon valiokunnan myös arvioivan tämän
kohdan suhdetta sananvapauteen. On mielestäni
aika erikoista, että Suomessa voi esimerkiksi vapaasti
julkaista kannabispiparireseptejä, mutta linkki haittaohjelman,
mahdollisesti jopa kaksikäyttöisen haittaohjelman,
julkistamissivulle on rikos.
Tietojärjestelmän haltijan tietojenantovelvollisuuteen
on pakkokeinolain 4 luvun 4 a §:ään tehty
onneksi rajaus, jonka perusteella epäiltyä ei voida
pakottaa luovuttamaan omia salasanojaan viranomaisille, siis todistamaan
itseään vastaan. Aiemmissa keskusteluissa on esitetty
myös sitä, että tätä rajausta
ei olisi.
Lakiin yleisvaarallisista rikoksista esitys toisi huolestuttavan
lisäyksen, eli sähköisen viestinnän
teknisen suojauksen tai tietojärjestelmäsuojauksen
murtamiseen tarkoitetun laitteen tai tietokoneohjelman maahantuonti,
valmistus jne. kielletään. Periaatteessa tämä kuulostaa
hyvältä, mutta osa käytössä olevista
suojauksista on niin naurettavan yksinkertaisia, ettei niitä oikeastaan tarvitse
edes murtaa. Onneksi kielto esityksessä rajoitetaan koskemaan
vain haittaa tai vahinkoa aiheuttamaan pyrkiviä tekoja,
mutta olen jo oppinut, miten helposti yhdessä laissa käyttöön
otettu periaate leviää muihin lakeihin. Kaipaisinkin näihin
purkulaite- ja purkuohjelmakieltoihin aina lisäystä,
joka edellyttäisi purettavalta suojaukselta jotain uskottavuutta,
ettei jotain rot-13-koodausta, jota itse asiassa jo muinaiset roomalaiset käyttivät,
voisi pitää suojauksena.
Perusteluteksti suhtautuu pelottavan myönteisesti vakoiluohjelmien
käyttöön työntekijöiden valvontaan.
Juuri äskettäin esitettiin sähköisen viestinnän
tietosuojalakiin muutosta, joka olisi antanut työnantajalle
väljät oikeudet valvoa työntekijöiden
sähköpostiliikennettä. Onneksi esitys
vedettiin pois eduskunnan oikeusasiamiehen annettua siitä kriittisen
lausunnon. Uskon ja toivon, että valiokunta tulee kiinnittämään
mietinnössään myös tähän
asiaan huomiota.
Arvoisa puhemies! Lopuksi haluan kiinnittää positiivista
huomiota perustelutekstissä hyvin esiin nostettuun periaatteeseen,
että tietoturva-aukkojen julkistaminen ei ole rikos. Tästä on väännetty
maailmalla kättä pitkään, kun
ohjelmistoyhtiöt ovat halunneet pitää asiakkaansa
tietämättöminä ohjelmiensa tietoturvaongelmista. Usein
tietoturva-aukon julkistaminen onkin ollut ainoa keino, jolla ohjelmatalot
on saatu paikkaamaan kyseiset aukot.
Keskustelu päättyy.