LIIKENNEVALIOKUNNAN MIETINTÖ 8/2002 vp

LiVM 8/2002 vp - HE 57/2002 vp

Tarkistettu versio 2.0

Hallituksen esitys laiksi yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annetun lain muuttamisesta

JOHDANTO

Vireilletulo

Eduskunta on 23 päivänä huhtikuuta 2002 lähettänyt liikennevaliokuntaan valmistelevasti käsiteltäväksi hallituksen esityksen laiksi yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annetun lain muuttamisesta (HE 57/2002 vp).

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

ylitarkastaja Tia Laine-Ylijoki, liikenne- ja viestintäministeriö

tietosuojavaltuutettu Reijo Aarnio, Tietosuojavaltuutetun toimisto, OM

erikoistutkija Arttu Juutti, Kilpailuvirasto

lakimies Miina Ojajärvi, Kuluttajavirasto

toimistopäällikkö Antti Turkama ja rikoskomisario Pasi Paananen, keskusrikospoliisi

ylitarkastaja Harri Sarvanto, suojelupoliisi

yhteyspäällikkö Kari Wirman, Elisa Communications

tutkija Petteri Järvinen, Jippii Group Oyj

kehitysjohtaja Martin Andersson, Sonera Oyj

tekninen johtaja Tapio Halkola, Finnet-liitto ry

Lisäksi kirjallisen lausunnon on antanut

  • Keskuskauppakamari.

HALLITUKSEN ESITYS

Esityksessä ehdotetaan muutettavaksi yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annettua lakia.

Viestintävirastolle annettaisiin toimivaltuudet toimia jatkossa kansallisena tietoturvaan ja tietoturvaloukkauksiin keskittyvänä vastuuviranomaisena. Uusina tehtävinä virastolle kuuluisivat tiedonkeruu tietoturvaloukkauksista, niiden ratkaiseminen ja torjuminen sekä tietoturvallisuusasioista tiedottaminen. Lisäksi lain tasolla säädettäisiin aiemmin määräyksen tasolla olleesta teleyrityksen velvollisuudesta ilmoittaa Viestintävirastolle televerkkojen ja -palveluiden vika- ja häiriötapauksista. Ilmoitusvelvollisuus laajenisi myös tietoturvallisuusloukkauksiin ja niiden uhkiin.

Laki on tarkoitettu tulemaan voimaan mahdollisimman pian sen jälkeen, kun se on hyväksytty ja vahvistettu.

VALIOKUNNAN KANNANOTOT

Yleisperustelut

Hallituksen esityksen perusteluista ilmenevistä syistä ja saamansa selvityksen perusteella valiokunta pitää esitystä tarpeellisena ja tarkoituksenmukaisena. Valiokunta puoltaa lakiehdotuksen hyväksymistä seuraavin huomautuksin ja muutosehdotuksin.

Valiokunta pitää hyvänä, että esityksellä luotaisiin Suomeen vastuullinen viranomaistaho, joka vastaisi tietoturvallisuuteen liittyvästä tilanneseurannasta, avustaisi loukkauksen kohteeksi joutuneita yleisten televerkkojen kautta tietojärjestelmiin tai televiestintään kohdistuvissa tietoturvan loukkaustapauksissa ja huolehtisi tietoturvallisuusasioiden asianmukaisesta tiedottamisesta. Tarjottavan palvelun asiakkaina voivat olla yksittäiset kansalaiset, yritykset ja hallintokin. Viestintävirasto on tehtävää varten organisoinut uuden, nk. CERT-toiminnon (computer emergency response team -toiminnon) tietoturvallisuusyksikköönsä, jossa se toimii nimellä CERT-FI.

Viestintäviraston tehtävien hoitamisessa syntyneiden tietojen säilyttäminen on järjestetty siten kuin viranomaisten tietojen säilyttämisestä arkistolaissa (831/1994) ja sen nojalla on säädetty ja määrätty. Näin ollen, mikäli kysymyksessä ei ole arkistolaitoksen pysyvästi säilytettäväksi määräämä asiakirja, määrittelee Viestintävirasto arkistonmuodostajana tehtäviensä hoidon tuloksena syntyvien asiakirjojen säilytysajat ottaen huomioon, mitä niistä on erikseen säädetty ja määrätty. Tällä hetkellä Viestintäviraston arkiston muodostamissuunnitelman mukaan CERT-ilmoituksia säilytetään 20 vuotta.

Viestintävirastosta saatujen tietojen mukaan CERT-toiminnan yhteydessä kerättävät tiedot eivät merkittävästi poikkea viraston muista asiakirjoista, joihin myös sisältyy henkilötietoja ja viestinnän tunnistamistietoja. Tietosuojavaltuutettu on valiokunnalle antamassaan lausunnossa painottanut perustuslakivaliokunnan kantaa (mm. PeVL 14/1998 vp), jonka mukaan henkilötietojen suojaa koskevan perusoikeussäännöksen kannalta tärkeitä sääntelykohteita ovat ainakin rekisteröinnin tavoite, rekisteröitävien henkilötietojen sisältö, tietojen sallitut käyttötarkoitukset, tietojen luotettavuus ja tietojen säilytysaika. Esityksessä erityisiä sääntelykohteita henkilötietojen käsittelyn kannalta ovat ainakin teleyritysten tietojen ilmoittamiseen (6 §), tietojen luovutukseen viranomaisille (18 §) ja tiedoksisaantioikeuteen ja tietojen luovuttamiseen (24 §) liittyvät säädökset. Esittämäänsä sekä esitykseen liittyviin viranomaisten toiminnan julkisuudesta annetun lain (621/1999) salassapitosäännöksiä koskeviin perusteluihin viitaten tietosuojavaltuutettu on katsonut, että yleisesti ottaen ehdotetulla sääntelyllä päästään CERT-toiminnan osalta riittävään tarkkuuteen.

Valiokunta toteaa, että tietoturvaloukkauksia koskevat ilmoitukset eivät sinänsä muodosta henkilörekisteriä, vaan henkilöllisyyttä koskevat tiedot ovat useimmiten vain osa ilmoituksen sisällöstä. Valiokunta painottaa, että mikäli ilmoitusten pohjalta on tarpeen laatia henkilöstörekistereitä, on tarkoin harkittava tarvetta säätää erikseen näissä säilytettävien tietojen säilytysajasta.

Valiokunta korostaa, että tietoyhteiskunnan kehittyminen edellyttää riittävää tietoturvallisuutta. Muun muassa sähköisen kaupankäynnin edistymisen suurimpia esteitä on kuluttajien luottamuksenpuute kaupankäynnin turvallisuuteen. Tämän vuoksi on tärkeätä säätää teleyrityksille lakisääteinen velvollisuus ilmoittaa Viestintävirastolle merkittävistä tietoturvaloukkauksista ja niiden uhkista sekä toimenpiteistä, joilla tapausten toistuminen pyritään estämään. Tämän vuoksi esityksellä nostetaan lain tasolle aiemmin Viestintäviraston määräykseen perustunut raportointivelvollisuus merkittävistä vika- ja häiriötilanteista.

Yksityiskohtaiset perustelut

6 §.

Asiantuntijakuulemisessa on kritisoitu ilmoitusvelvollisuutta merkittävistä tietoturvauhista ja todettu, että uhkatilanteet eivät aina ole tiedossa tai ne voivat olla epäselviä. Valiokunta korostaa, että teleyrityksellä ei voi olla ilmoitusvelvollisuutta sellaisesta uhasta, josta se ei voi tietää. Tällaisesta uhasta ilmoittamatta jättäminen ei myöskään siten voi olla rangaistava teko. Toisaalta on selvää, että teleyrityksen tiedossa olevasta uhasta ilmoittamatta jättäminen saattaa aiheuttaa vahinkoa käyttäjille. Tästä syystä ei ole perusteltua muuttaa hallituksen esityksen rangaistussäännöstä asiantuntijakuulemisessa esitetyn mukaisesti siten, että tällaisesta uhasta ilmoittamatta jättäminen ei olisi rangaistavaa. Valiokunta pitää kuitenkin tarkoituksenmukaisena rajata 6 §:ssä säädettyä ilmoitusvelvollisuutta koskemaan teleyrityksen tiedossa olevia tietoturvauhkia ja esittää sen vuoksi vastaavaa täsmennystä pykälän muotoiluun.

26 a §.

Eduskunnan vastauksella EV 66/2002 vp telemarkkinalain nimike on muutettu viestintämarkkinalaiksi. Valiokunta on tehnyt vastaavan muutoksen pykälän muotoiluun. Valvontamaksupykälän ulkopuolelle on esityksessä jäänyt toimiluvanvarainen teletoiminta. Valvontamaksu on tarkoituksenmukaista periä tasapuolisuuden vuoksi myös viestintämarkkinalain mukaisen toimiluvan haltijoilta, koska kysymyksessä on samankaltainen teletoiminta, josta on kysymys teletoimintailmoituksen alaisessa toiminnassa. Viestintämarkkinalain mukaan toimilupaa edellyttävästä teletoiminnasta ei ole tarpeen tehdä teletoimintailmoitusta, ja siksi on syytä säätää maksuvelvollisiksi myös toimiluvan saaneet yritykset.

Valiokunta esittää muutettavaksi valvontamaksupykälää 26 a § vastaavasti.

Päätösehdotus

Edellä esitetyn perusteella liikennevaliokunta kunnioittavasti ehdottaa,

että lakiehdotus hyväksytään muutoin hallituksen esityksen mukaisena paitsi 6 § ja 26 a § muutettuina seuraavasti:

6 §

Teleyrityksen velvollisuudet

(1 ja 2 mom. kuten HE)

Teleyrityksen on ilmoitettava Viestintävirastolle televerkkojen ja -palvelujen merkittävistä tietoturvaloukkauksista ja sellaisista televerkkoihin ja -palveluihin kohdistuvista tietoturvauhkista, joista teleyritys on tietoinen, sekä merkittävistä vika- ja häiriötilanteista televerkoissa ja -palveluissa samoin kuin toimenpiteistä, joilla tällaisten tietoturvaloukkausten ja niiden uhkien sekä vika- ja häiriötilanteiden toistuminen pyritään estämään. Viestintävirasto antaa tarkemmat määräykset televerkkojen ja -palvelujen tietoturvaloukkauksista sekä vika- ja häiriötilanteista Viestintävirastolle tehtävistä ilmoituksista.

(4 ja 5 mom. kuten HE)

26 a §

Valvontamaksu

Edellä 23 §:n 2 momentin 3 kohdan mukaisista Viestintäviraston valvonta- ja muista suoritteista peritään viestintämarkkinalain 5 §:n nojalla teletoimintailmoituksen tehneiltä tai toimiluvan saaneilta yrityksiltä niiden liikevaihdon perusteella määräytyvä valvontamaksu. Valvontamaksun suuruudesta säädetään liikenne- ja viestintäministeriön asetuksella siten, että maksut kattavat viranomaistoiminnasta aiheutuneet kustannukset. Muutoin maksuja koskee, mitä valtion maksuperustelaissa (150/1992) säädetään.

_______________

Helsingissä 30 päivänä toukokuuta 2002

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Erkki Pulliainen /vihr
  • vpj. Annika Lapintie /vas
  • jäs. Klaus Bremer /r
  • Jyri Häkämies /kok
  • Erkki Kanerva /sd
  • Saara Karhu /sd
  • Risto Kuisma /sd
  • Eero Lämsä /kesk
  • Raimo Mähönen /sd
  • Markku Rossi /kesk
  • Ismo Seivästö /kd
  • Timo Seppälä /kok
  • vjäs. Kari Myllyniemi /kesk

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Mika Boedeker