Yleisperustelut
Hallituksen esityksen perusteluista ilmenevistä syistä ja
saamansa selvityksen perusteella valiokunta pitää esitystä tarpeellisena
ja tarkoituksenmukaisena. Valiokunta puoltaa lakiehdotuksen hyväksymistä seuraavin
huomautuksin ja muutosehdotuksin.
Valiokunta pitää hyvänä,
että esityksellä luotaisiin Suomeen vastuullinen
viranomaistaho, joka vastaisi tietoturvallisuuteen liittyvästä tilanneseurannasta,
avustaisi loukkauksen kohteeksi joutuneita yleisten televerkkojen
kautta tietojärjestelmiin tai televiestintään
kohdistuvissa tietoturvan loukkaustapauksissa ja huolehtisi tietoturvallisuusasioiden
asianmukaisesta tiedottamisesta. Tarjottavan palvelun asiakkaina voivat
olla yksittäiset kansalaiset, yritykset ja hallintokin.
Viestintävirasto on tehtävää varten organisoinut
uuden, nk. CERT-toiminnon (computer emergency response team -toiminnon)
tietoturvallisuusyksikköönsä, jossa se
toimii nimellä CERT-FI.
Viestintäviraston tehtävien hoitamisessa syntyneiden
tietojen säilyttäminen on järjestetty
siten kuin viranomaisten tietojen säilyttämisestä arkistolaissa
(831/1994) ja sen nojalla on säädetty
ja määrätty. Näin ollen, mikäli
kysymyksessä ei ole arkistolaitoksen pysyvästi
säilytettäväksi määräämä asiakirja,
määrittelee Viestintävirasto arkistonmuodostajana
tehtäviensä hoidon tuloksena syntyvien asiakirjojen
säilytysajat ottaen huomioon, mitä niistä on
erikseen säädetty ja määrätty.
Tällä hetkellä Viestintäviraston
arkiston muodostamissuunnitelman mukaan CERT-ilmoituksia säilytetään
20 vuotta.
Viestintävirastosta saatujen tietojen mukaan CERT-toiminnan
yhteydessä kerättävät tiedot eivät
merkittävästi poikkea viraston muista asiakirjoista,
joihin myös sisältyy henkilötietoja ja viestinnän
tunnistamistietoja. Tietosuojavaltuutettu on valiokunnalle antamassaan
lausunnossa painottanut perustuslakivaliokunnan kantaa (mm. PeVL
14/1998 vp), jonka mukaan henkilötietojen suojaa
koskevan perusoikeussäännöksen kannalta
tärkeitä sääntelykohteita ovat
ainakin rekisteröinnin tavoite, rekisteröitävien
henkilötietojen sisältö, tietojen sallitut
käyttötarkoitukset, tietojen luotettavuus ja tietojen
säilytysaika. Esityksessä erityisiä sääntelykohteita
henkilötietojen käsittelyn kannalta ovat ainakin
teleyritysten tietojen ilmoittamiseen (6 §), tietojen
luovutukseen viranomaisille (18 §) ja tiedoksisaantioikeuteen
ja tietojen luovuttamiseen (24 §) liittyvät
säädökset. Esittämäänsä sekä esitykseen
liittyviin viranomaisten toiminnan julkisuudesta annetun lain (621/1999)
salassapitosäännöksiä koskeviin
perusteluihin viitaten tietosuojavaltuutettu on katsonut, että yleisesti
ottaen ehdotetulla sääntelyllä päästään
CERT-toiminnan osalta riittävään tarkkuuteen.
Valiokunta toteaa, että tietoturvaloukkauksia koskevat
ilmoitukset eivät sinänsä muodosta henkilörekisteriä,
vaan henkilöllisyyttä koskevat tiedot ovat useimmiten
vain osa ilmoituksen sisällöstä. Valiokunta
painottaa, että mikäli ilmoitusten pohjalta on
tarpeen laatia henkilöstörekistereitä,
on tarkoin harkittava tarvetta säätää erikseen
näissä säilytettävien tietojen
säilytysajasta.
Valiokunta korostaa, että tietoyhteiskunnan kehittyminen
edellyttää riittävää tietoturvallisuutta.
Muun muassa sähköisen kaupankäynnin edistymisen
suurimpia esteitä on kuluttajien luottamuksenpuute kaupankäynnin
turvallisuuteen. Tämän vuoksi on tärkeätä säätää teleyrityksille
lakisääteinen velvollisuus ilmoittaa Viestintävirastolle
merkittävistä tietoturvaloukkauksista ja niiden
uhkista sekä toimenpiteistä, joilla tapausten
toistuminen pyritään estämään. Tämän
vuoksi esityksellä nostetaan lain tasolle aiemmin Viestintäviraston
määräykseen perustunut raportointivelvollisuus
merkittävistä vika- ja häiriötilanteista.
Yksityiskohtaiset perustelut
6 §.
Asiantuntijakuulemisessa on kritisoitu ilmoitusvelvollisuutta
merkittävistä tietoturvauhista ja todettu, että uhkatilanteet
eivät aina ole tiedossa tai ne voivat olla epäselviä.
Valiokunta korostaa, että teleyrityksellä ei voi
olla ilmoitusvelvollisuutta sellaisesta uhasta, josta se ei voi tietää.
Tällaisesta uhasta ilmoittamatta jättäminen
ei myöskään siten voi olla rangaistava
teko. Toisaalta on selvää, että teleyrityksen
tiedossa olevasta uhasta ilmoittamatta jättäminen
saattaa aiheuttaa vahinkoa käyttäjille. Tästä syystä ei ole
perusteltua muuttaa hallituksen esityksen rangaistussäännöstä asiantuntijakuulemisessa
esitetyn
mukaisesti siten, että tällaisesta uhasta ilmoittamatta
jättäminen ei olisi rangaistavaa. Valiokunta pitää kuitenkin
tarkoituksenmukaisena rajata 6 §:ssä säädettyä ilmoitusvelvollisuutta
koskemaan teleyrityksen tiedossa olevia tietoturvauhkia ja esittää sen
vuoksi vastaavaa täsmennystä pykälän
muotoiluun.
26 a §.
Eduskunnan vastauksella EV 66/2002 vp telemarkkinalain
nimike on muutettu viestintämarkkinalaiksi. Valiokunta
on tehnyt vastaavan muutoksen pykälän muotoiluun.
Valvontamaksupykälän ulkopuolelle on esityksessä jäänyt toimiluvanvarainen
teletoiminta. Valvontamaksu on tarkoituksenmukaista periä tasapuolisuuden
vuoksi myös viestintämarkkinalain mukaisen toimiluvan
haltijoilta, koska kysymyksessä on samankaltainen teletoiminta,
josta on kysymys teletoimintailmoituksen alaisessa toiminnassa.
Viestintämarkkinalain mukaan toimilupaa edellyttävästä teletoiminnasta
ei ole tarpeen tehdä teletoimintailmoitusta, ja siksi on
syytä säätää maksuvelvollisiksi
myös toimiluvan saaneet yritykset.
Valiokunta esittää muutettavaksi valvontamaksupykälää 26
a § vastaavasti.