Viimeksi julkaistu 24.1.2023 16.51

Valiokunnan lausunto HaVL 35/2022 vp HE 243/2022 vp Hallintovaliokunta Hallituksen esitys eduskunnalle laeiksi sähköisen viestinnän palveluista annetun lain, henkilötietojen käsittelystä Puolustusvoimissa annetun lain 29 §:n ja henkilötietojen käsittelystä poliisitoimessa annetun lain 22 §:n muuttamisesta

Liikenne- ja viestintävaliokunnalle

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle laeiksi sähköisen viestinnän palveluista annetun lain, henkilötietojen käsittelystä Puolustusvoimissa annetun lain 29 §:n ja henkilötietojen käsittelystä poliisitoimessa annetun lain 22 §:n muuttamisesta (HE 243/2022 vp): Asia on saapunut hallintovaliokuntaan lausunnon antamista varten. Lausunto on annettava liikenne- ja viestintävaliokunnalle. 

Asiantuntijat

Valiokunta on kuullut: 

  • erityisasiantuntija Outi Slant 
    liikenne- ja viestintäministeriö
  • erityisasiantuntija Veikko Vauhkonen 
    liikenne- ja viestintäministeriö
  • lainsäädäntöneuvos Tiina Ferm 
    sisäministeriö
  • tiedonhallintapäällikkö Päivi Pösö 
    Poliisihallitus
  • erikoistutkija Sari Kajantie 
    suojelupoliisi
  • johtava asiantuntija Olli Lehtilä 
    Kyberturvallisuuskeskus

Valiokunta on saanut kirjallisen lausunnon: 

  • oikeusministeriö
  • puolustusministeriö
  • keskusrikospoliisi
  • Finnish Information Security Cluster - Kyberala ry
  • Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry

VALIOKUNNAN PERUSTELUT

Esityksen lähtökohdat

Hallituksen esityksessä ehdotetaan muutettaviksi sähköisen viestinnän palveluista annettua lakia (917/2014), henkilötietojen käsittelystä Puolustusvoimissa annetun lain (332/2019) 29 §:ää ja henkilötietojen käsittelystä poliisitoimessa annetun lain (616/2019) 22 §:ää. 

Esityksen tavoitteena on parantaa yhteiskunnan turvallisuutta ja perusoikeuksien, erityisesti luottamuksellisen viestinnän suojan, toteutumista parantamalla viranomaisten toimintaedellytyksiä sellaisten tietoturvaloukkausten selvittämisessä, joiden haitalliset vaikutukset voivat vakavissa tilanteissa kohdistua laajalle yhteiskunnan toiminnan kannalta keskeisiin toimintoihin. Hallituksen esityksen tavoitteena on myös parantaa viranomaisten yhteistoimintaa virka-apusääntelyä ja tiedonvaihtoa kehittämällä merkittävien ja vaikutuksiltaan vakavien tietoturvaloukkausten ja -uhkien selvittämisessä ja niiden vaikutusten poistamisessa. 

Esitys on osa laajempaa kyberturvallisuuden kehittämiseen tähtäävää kokonaisuutta, jolla on tarkoitus kattaa sellaiset välittömät puutteet lainsäädännössä, jotka voidaan katsoa välttämättömiksi viranomaisten yhteistoiminnan mahdollistamiseksi yhteiskunnan toiminnan kannalta merkittävän tietoturvaloukkauksen selvittämisessä. Tietoturvaloukkaustilanteisiin liittyy myös laajempia, esimerkiksi viranomaisten tehtäväkenttiin tai laajamittaisen tilanneymmärryksen muodostamiseen liittyviä kysymyksiä, jotka osaltaan vaativat laajamittaisempaa selvittämistä ja joihin etsitään ratkaisuja sisäministeriön ja puolustusministeriön käynnissä olevassa selvityshankkeessa viranomaisten toimintaedellytyksistä kyberturvallisuudessa. 

Hallintovaliokunta pitää esityksen tavoitteita kannatettavina ja katsoo, että esityksessä yksilöityjen toimijoiden välisen tiedonvaihdon ja virka-avun toimivuus on tärkeää tietoturvaloukkausten havainnoinnissa, torjunnassa ja selvittämisessä. Valiokunnan saaman selvityksen mukaan valmistelulle asetetun ajan puitteissa ei kuitenkaan ole voitu ratkaista kaikkia tiedonvaihtoon liittyviä haasteita. Valiokunta pitää kuitenkin välttämättömänä, että työtä viranomaisten yhteistoiminnan ja tiedonvaihdon parantamiseksi muuttuneessa kybertuvallisuusympäristössä ja nykyisessä turvallisuusympäristössä jatketaan. 

Tiedonvaihto viranomaisten kesken

Esityksen 1. lakiehdotuksen virka-apua koskevaan 309 §:ään ehdotetaan lisättäväksi Liikenne- ja viestintäviraston oikeus saada virka-apuna poliisilta, suojelupoliisilta ja Puolustusvoimilta asiantuntija-apua, välineistöä, tiloja ja laitteita merkittävän tietoturvaloukkauksen tai sen vakavan uhkan selvittämiseksi sekä niistä aiheutuvien vaikutusten poistamiseksi. Samoin Liikenne- ja viestintävirasto voi antaa pyynnöstä samalla tavoin virka-apua toiselle viranomaiselle. Hallintovaliokunta pitää virka-apua koskevia ehdotuksia perusteltuina ja oikeansuuntaisina. 

Valiokunta kuitenkin toteaa, että ehdotettu virka-avun antaminen ei oikeuta Liikenne- ja viestintävirastoa antamaan toiselle viranomaiselle tietoja viesteistä, välitystiedoista tai sijaintitiedoista. Valiokunta toteaa saamansa selvityksen perusteella, että tapausten selvittelyssä tarvitaan nimenomaisesti näitä tietoja ja esimerkiksi asiantuntija-avun yhteydessä tällaiselle tiedonvaihdolle voi olla nimenomainen tarve. Sekä virka-apua koskevassa säännöksessä 309 § että tiedonvaihdon mahdollistavan 319 a §:n tilanteissa on kyse merkittävistä tietoturvaloukkauksista. 

Esityksen 1. lakiehdotuksessa ehdotetaan laajennettavaksi 319 §:ää niiden tahojen osalta, joille Liikenne- ja viestintävirasto voi luovuttaa salassapitovelvollisuuden rajoittamatta tietoturvaloukkauksen yhteydessä saamiaan välitystietoja ja muita tietoa. Tietoja voidaan luovuttaa useille tahoille, kuten ulkomaisille hallintoviranomaisille, Euroopan unionin tai Pohjois-Atlantin liiton toimielimelle, elimelle tai virastolle, jotka selvittävät tietoturvaloukkauksia. Valiokunnan asiantuntijakuulemisissa on tuotu esiin, että tietoja ei pääsääntöisesti kuitenkaan voida luovuttaa poliisiviranomaiselle ja että tätä voidaan pitää epäsuhtana tiedon luovutussäännöksissä, ottaen huomioon poliisin roolin sisäisen turvallisuuden vastuuviranomaisena näiden tekojen selvittämisessä sekä estämisessä. 

Esityksen 1. lakiehdotus sisältää myös uuden 319 a §:n, jonka mukaan Liikenne- ja viestintävirastolla, poliisilla, suojelupoliisilla ja Puolustusvoimilla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa toisilleen välttämättömiä tietoja merkittävän tietoturvaloukkauksen tai sen uhkan selvittämiseksi, ennalta ehkäisemiseksi tai vaikutusten poistamiseksi. Uusi säännös mahdollistaa tietojen vaihdon silloin, kun merkittävällä tietoturvaloukkauksella tai sen vakavalla uhalla on tai uhkaa olla vakavia haitallisia vaikutuksia pykälässä tarkemmin säädettyihin yhteiskunnan toiminnan kannalta elintärkeisiin toimintoihin, palveluihin tai niihin liittyviin tietoaineistoihin. 

Hallintovaliokunta pitää uutta säännöstä tärkeänä edistysaskeleena viranomaisyhteistyön tiivistämisessä. Valiokunta pitää myös perusteltuna, että tiedonvaihtoon liittyvästä salassapitosääntelystä ja muista tiedon luovutuksen rajoituksista poikkeamisen kynnys pidetään laajassa tietojen vaihdossa verrattain korkeana, jotta muun muassa perustuslaissa turvattu yksityiselämän suoja ja luottamuksellisen viestin suoja sekä tietosuojalainsäädännön käyttötarkoitussidonnaisuuden periaate toteutuvat asianmukaisesti. Valiokunta kuitenkin toteaa, että esitys mahdollistaa kattavan tiedonvaihdon vasta hyvin laajalle eskaloituneessa tilanteessa ja vain yhteiskunnan elintärkeiden toimintojen kannalta merkityksellisissä tilanteissa. Valiokunnan saaman selvityksen mukaan tiedon vaihtamiselle asetettu korkea soveltamiskynnys voi rajoittaa uusien säännösten hyödynnettävyyttä ja jättää tiedonvaihdon ulkopuolelle sellaisia tietoturvaloukkauksia, joiden osalta yhteiskunnalla on selkeä selvittämis- ja estämisintressi. 

Hallintovaliokunta toteaa, että kokonaisuudessaan esityksellä mahdollistetaan kyllä nykyistä laajempi tiedonvaihto ja yhteistyö viranomaisten välillä yhteiskunnan elintärkeiden toimintojen kannalta merkittävissä tietoturvaloukkaustilanteissa ja vakavan uhan selvittämisessä. Valiokunta pitää kuitenkin edellä 309, 319 ja 319 a §:ssä esiin nostamiinsa huomioihin viitaten välttämättömänä, että työtä tiedonvaihdon parantamiseksi viranomaisten välillä edelleen jatketaan. 

Valiokunta tuo esiin esityksessäkin todetun seikan, että sääntelyn kohteena olevilla viranomaisilla on jo toiminnassaan laajat tiedonsaantioikeudet. Tehtäviensä luonteesta johtuen viranomaisilla on kuitenkin erilaiset keinot hankkia tietoa velvoitteidensa hoitamiseksi ja tiedonhankintaan saattaa liittyä myös erilaisia rajoitteita ja reunaehtoja, jotka joissain tilanteissa muodostavat kuitenkin haasteita viranomaisten väliselle tiedonvaihdolle.  

Hallintovaliokunta tunnistaa, että tietojen luovuttamisessa on kyse hyvin haastavasta kokonaisuudesta ottaen huomioon viranomaisten eri roolit ja tehtävät, yksityiselämän suoja ja viestinnän luottamuksellisuus. Tästä syystä hallintovaliokunta korostaakin, että toimintaedellytyksiä ja tiedonvaihtoa tulee tarkastella yksittäisten pykälien sijasta uudella tavalla kokonaisuutena, jotta viranomaisilla on tehokkaat, nopeasti käyttöön otettavissa ja toteutettavissa olevat keinot toimia vakavissa häiriötilanteissa tai niiden selvästi uhatessa. 

Eräitä huomioita

Hallintovaliokunnan saamassa selvityksessä on kiinnitetty huomiota siihen, että esityksen 1. lakiehdotuksen 319 a §:n 3 momentissa säädettyä Liikenne- ja viestintäviraston oikeutta luovuttaa tietoja edelleen, tulisi täsmentää siten, että poliisilta sekä mahdollisesti muilta turvallisuusviranomaisilta saatuja tietoja saisi luovuttaa edelleen vain tiedot luovuttaneen tahon suostumuksella. Valiokunnan saaman arvion mukaan edellytys ei hidasta tietojen luovutusprosessia merkittävästi. Hallintovaliokunta esittää liikenne- ja viestintävaliokunnan harkittavaksi säännöksen täsmentämistä edellä todetulla tavalla. 

Lisäksi valiokunnan asiantuntijakuulemisissa on kiinnitetty huomiota siihen, että rekisteröidyn omien tietojen suoraa tarkastusoikeutta on rajoitettu henkilötietojen käsittelystä poliisitoimessa annetun lain (616/2019) 42 §:ssä, jotta tarkastusoikeus ei vaaranna poliisin lakisääteisten tehtävien suorittamista. Huomioiden nyt esitetyt käsiteltävät tiedot ja jo olemassa olevat turvallisuusviranomaisten tarkastusoikeuden rajoittamista koskevat säännökset, hallintovaliokunta esittää liikenne- ja viestintävaliokunnan arvioitavaksi, olisiko perusteltua lisätä lakiin tarkastusoikeuden rajoitus edellä mainitulla tavalla siten, että rekisteröidyn oikeus tarkastaa tietonsa tapahtuisi tietosuojavaltuutetun välityksellä, eikä suoraa tarkastusoikeutta olisi. Tällä tavoin voidaan välttää poliisin lakisääteisten tehtävien suorittamisen vaarantuminen siitä syystä, että henkilö saisi toisen viranomaisen kautta pääsyn poliisin luovuttamiin tietoihin, joihin kohdistuu poliisissa tarkastusoikeuden rajoituksia. 

Esityksen 3. lakiehdotuksen 22 §:n muutoksella on täsmennetty ja nimenomaisesti todettu poliisin oikeus luovuttaa tietoja Liikenne- ja viestintävirastolle. Hallintovaliokunnan saamassa selvityksessä on tuotu esiin, että poliisin pyynnöstä tapahtuva ja oma-aloitteinen tietojen luovuttaminen toiselle viranomaiselle on pohjautunut poliisilain 7 luvun 2 §:ään. Selvityksen mukaan oikeuskäytännössä on esiintynyt näkemyksiä, joiden mukaan tietojen oma-aloitteiden luovuttaminen ei kuitenkaan ole mahdollista kyseessä olevan säännöksen nojalla. Oma-aloitteinen tietojen luovuttaminen mahdollistuu poliisille esityksen uuden 319 a §:n mukaisissa tilanteissa. Näin ollen muissa kuin 319 a §:n mukaisissa tilanteissa Liikenne- ja viestintäviraston olisi aina nimenomaisesti tunnistettava ensin tapaus ja tämän jälkeen tiedusteltava tietoja poliisilta ennen tietojen luovuttamisen mahdollistumista. Poliisi ei voi näissä tilanteissa luovuttaa tietoja, ellei Liikenne- ja viestintävirasto niitä osaisi tiedustella. Hallintovaliokunta esittää liikenne- ja viestintävaliokunnalle harkittavaksi, onko poliisilain 7 luvun 2 §:ssä syytä huomioida vastaava säännös oma-aloitteisesta tietojen luovuttamisesta. 

Henkilötietojen suoja

Hallintovaliokunta toteaa, että EU:n tietosuojasääntely jättää jäsenvaltioille kansallista liikkumavaraa säätää tietosuojasääntelyä täsmällisemmin henkilötietojen käsittelystä ja mahdollisuuden myös rajoittaa tiettyjä rekisteröidylle kuuluvia oikeuksia ja vapauksia. On kuitenkin tärkeää, että annettaessa tällaista kansallista erityissääntelyä, huomioidaan samalla EU:n tietosuojasääntelyn asettamat reunaehdot. Tällä varmistetaan se, että ehdotettavassa sääntelyssä noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja että sääntely on demokraattisessa yhteiskunnassa välttämätöntä ja oikeasuhteista. Hallintovaliokunta katsoo, että liikenne- ja viestintävaliokunnan tulee varmistua henkilötietojen suojan näkökulmasta siitä, että ehdotettavassa sääntelyssä on huomioitu EU:n tietosuojasääntelyssä ja perustuslakivaliokunnan lausuntokäytännössä asetetut reunaehdot. Henkilötietojen suojan osalta valiokunta kiinnittää erityistä huomiota esityksen 1. lakiehdotuksen 316 a §:ään sekä 319 a §:ään. 

Kansallinen liikkumavara. Hallintovaliokunta korostaa kansallisen liikkumavaran käytön osalta, että henkilötietojen käsittely kuuluu osittain tietosuoja-asetuksen ((EU) 2016/679) ja osittain henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (1054/2018, jäjempänä rikosasioiden tietosuojalain) soveltamisalaan. Esityksestä ei kuitenkaan käy selkeästi ilmi, milloin tietojenvaihto perustuu tietosuoja-asetuksen ja milloin rikosasioiden tietosuojalain soveltamisalaan. Siltä osin, kun kyse on tietosuoja-asetusta täsmentävän kansallisen sääntelyn antamisesta, esityksestä puuttuu selostus, mihin tietosuoja-asetuksen kohtiin liikkumavaran käyttö perustuu. Hallintovaliokunnan käsityksen mukaan esityksen henkilötietojen käsittelyä koskevaa sääntelyä sisältyy tai voi sisältyä esityksen 1. lakiehdotuksen 316, 316 a, 319, ja 319 a §:ään, 2. lakiehdotuksen 29 §:ään sekä 3. lakiehdotuksen 22 §:ään. Valiokunta toteaa, että siltä osin kuin kyse on tietosuoja-asetuksen soveltamisalaan kuuluvasta henkilötietojen käsittelystä, esityksessä käytetään näin ollen ainakin tietosuoja-asetuksen 6 artiklan 2 ja 3 kohdissa tarkoitettua kansallista liikkumavaraa. 

Hallintovaliokunta toteaa, että esityksessä ei ole selkeästi mainittu, mihin tietosuoja-asetuksen 23 artiklan 1 kohdan a-j alakohdan tavoitteiden turvaamiseksi sääntelyä ehdotetaan. Perusteluiden mukaan kyse voi olla ainakin 23 artiklan 1 kohdan a alakohdasta (kansallinen turvallisuus), mutta myös d alakohdasta (rikosten ennalta ehkäiseminen). Esitys jättää tietyiltä osin epäselväksi, voiko kyse olla myös muiden tavoitteiden turvaamisesta (esimerkiksi 23 artiklan 1 kohdan c alakohta yleinen turvallisuus), johon on sähköisen viestinnän tietosuojan osalta viitattu säätämisjärjestysperusteluissa (s. 63). Esitys jättää epäselväksi myös, onko sääntelyssä otettu huomioon tietosuoja-asetuksen 23 artiklan 2 kohdan reunaehdot. 

Arkaluonteisten tietojen käsittely. Hallintovaliokunta toteaa, että esitys jättää avoimeksi, miltä osin esityksen 1. lakiehdotuksen 316 a §:ssä ja 319 a §:ssä vaihdetaan erityisiin henkilötietoryhmiin kuuluvia tietoja, rikoksiin ja rikostuomioihin liittyviä tietoja sekä muita arkaluonteisina pidettäviä tietoja. Esityksen säätämisjärjestysperusteluissa (s. 61) on esimerkiksi todettu, että 1.lakiehdotuksen 319 a § sinällään mahdollistaa kaiken välttämättömän tiedon vaihtamisen, mikä ei kategorisesti sulje pois mahdollisuutta erityisiin henkilötietoryhmiin kuuluvien henkilötietojen vaihtamiselle. Tietosuoja-asetus ja rikosasioiden tietosuojalaki sisältävät tiukat reunaehdot erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelylle. Tietosuoja-asetus sallii erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn vain, kun käsittelylle on 6 artiklan 1 kohdassa luetellun käsittelyperusteen ohella jokin 9 artiklan 2 kohdassa mainittu käsittelyperuste. Valiokunta toteaa, että esimerkiksi asetuksen 9 artiklan 2 kohdan g alakohdan mukaan erityisiä henkilötietoryhmiä voidaan käsitellä, kun se on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Alakohta edellyttää, että sääntely on oikeasuhtaista, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan sekä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.  

VALIOKUNNAN PÄÄTÖSESITYS

Hallintovaliokunta esittää,

että liikenne- ja viestintävaliokunta ottaa edellä olevan huomioon
Helsingissä 24.1.2023 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Mari Rantanen ps 
 
jäsen 
Tiina Elo vihr 
 
jäsen 
Eveliina Heinäluoma sd 
 
jäsen 
Hanna Holopainen vihr 
 
jäsen 
Mika Kari sd 
 
jäsen 
Mikko Kärnä kesk 
 
jäsen 
Mats Löfström 
 
jäsen 
Mauri Peltokangas ps 
 
jäsen 
Piritta Rantanen sd 
 
jäsen 
Matti Semi vas 
 
jäsen 
Jenna Simula ps 
 
jäsen 
Kari Tolvanen kok 
 
Heikki Vestman kok 
 
varajäsen 
Ben Zyskowicz kok 
 

Valiokunnan sihteerinä on toiminut

istuntoasiainneuvos Sanna Helopuro 
 

Eriävä mielipide

Perustelut

Hallituksen esityksessä ehdotetaan muutettavaksi sähköisen viestinnän palveluista annettua lakia, henkilötietojen käsittelystä Puolustusvoimissa annettua lakia ja henkilötietojen käsittelystä poliisitoimessa annettua lakia. Lakeihin ehdotetaan muutoksia, jotka mahdollistaisivat sujuvamman viranomaisten välisen tiedonvaihdon yhteiskunnan elintärkeiden toimintojen kannalta merkittävissä tietoturvaloukkaustilanteissa ja niiden uhkissa. Ehdotuksessa Puolustusvoimien ja poliisin Liikenne- ja viestintävirastolle antamaa virka-apua ehdotetaan laajennettavaksi koskemaan merkittäviä tietoturvaloukkauksia ja -uhkia. Lisäksi ehdotetaan säädettäväksi viestinnän välittäjän oikeudesta oma-aloitteisesti luovuttaa Liikenne- ja viestintävirastolle tietoja viesteistä ja välitystiedoista tietoturvaloukkausten selvittämiseksi tai ennaltaehkäisemiseksi.  

Ennakoitavuutta uhkiin varautumisessa

Perussuomalaisten valiokuntaryhmä pitää esityksen tavoitteita kannatettavina ja yhtyy muutoin hallintovaliokunnan mietintöön, mutta kiinnittää asiantuntijalausunnoista ilmenevin tavoin huomiota, että lakiehdotus mahdollistaa kattavan tiedonvaihdon vasta laajalle eskaloituneessa tilanteessa ja vain yhteiskunnan elintärkeiden toimintojen kannalta merkityksellisissä tilanteissa. Esityksessä tuodaan myös esille tarve kattavaan tilannekuvaan kyberuhkien ennakoimiseksi ja poikkeamien havaitsemiseksi mahdollisimman aikaisessa vaiheessa. Tiedonvaihdolle asetettu korkea kynnys ei kuitenkaan perussuomalaisten valiokuntaryhmän mielestä tue aikaista reagointia sekä vahinkojen ja vaikutusten estämistä.  

Asiantuntijalausunnoista ilmenee myös, että nyt ehdotettu virka-avun antaminen ei myöskään mahdollista Liikenne- ja viestintävirastoa luovuttamaan toiselle viranomaiselle tietoja viesteistä, välitystiedoista tai sijaintitiedoista. Perussuomalaisten valiokuntaryhmän mielestä edellä mainittu puute tulee korjata, sillä virka-avun pyytäminen liittyy yleensä vakavamman ja monimutkaisen tapauksen selvittämiseen, jossa apuna tarvitaan toisen viranomaisen kyvykkyyksiä. 

Tiedonvaihdolla matalampi kynnys

Perussuomalaisten valiokuntaryhmä jakaa asiantuntijalausunnoissa esitetyn näkemyksen, että esityksessä vaitiolovelvollisuutta ja viesteihin liittyvien tietojen luovuttamista koskeva pykälä on tärkeä edistysaskel viranomaisyhteistyön tiivistämisessä. Perussuomalaisten valiokuntaryhmä pitää kuitenkin välttämättömänä täsmentää esitystä asiantuntijalausunnoista ilmenevin tavoin. Keskusrikospoliisi on nimittäin tuonut lausunnossaan esiin, että jotta tilanne voitaisiin tunnistaa esitetyssä lainkohdassa tarkoitetulla tavalla riittävän laajamittaiseksi ja vakavaksi, sen vaikutusten tulisi olla jo laajahkolle levinneitä ja suhteellisen täsmällisesti tunnistettuja. Vakavien tietoturvaloukkausten selvittelyn alkuvaiheissa tällaista täsmällistä tietoa ei ole välttämättä saatavilla ja tilannekuva täsmentyy asian selvittämisen edetessä. Lainkohdan perusteluissa todetaan vielä lisäksi, että merkittävän tietoturvaloukkauksen tai sen uhkan vaikutukset tulee kohdistua yhteiskunnan kannalta elintärkeisiin toimintoihin ja niihin liittyviin tietoaineistoihin. Perusteluilla on näin hieman nostettu soveltamiskynnystä siitä, mitä varsinaisen pykälän sanamuodosta voisi muutoin päätellä. 

Asiantuntijalausunnoissa nousee esille myös viranomaisten tarve oma-aloitteiseen tietojen luovuttamiseen, joten epäselvyyksien välttämiseksi asian tulisi perussuomalaisten valiokuntaryhmän näkemyksen mukaan ilmetä suoraan esitetystä laista, eikä ainoastaan perustelutekstistä. Samoin Liikenne- ja viestintäviraston oikeutta luovuttaa tietoja edelleen tulisi myös täsmentää siten, että poliisilta sekä mahdollisesti muilta turvallisuusviranomaisilta saatuja tietoja saisi luovuttaa edelleen vain tiedot luovuttaneen tahon suostumuksella.  

Perussuomalaisten valiokuntaryhmä pitää huolestuttavana asiantuntijalausunnoissa esitettyä havaintoa siitä, että nykyisen ehdotuksen pohjalta viesteihin liittyviä tietoja voitaisiin luovuttaa ulkomaiselle hallintoviranomaiselle tai NATO:lle mutta ei Suomessa poliisille. Tätä voidaan pitää merkittävänä epäsuhtana tiedon luovutussäännöksissä. Poliisille luovuttamisesta tulisi laissa olla nimenomainen säännös. Perussuomalaisten valiokuntaryhmän näkemyksen mukaan asia edellyttää kiireellistä jatkovalmistelua.  

Eriävän mielipiteen muutosehdotukset

(6) Valiokunta kuitenkin toteaa, että ehdotettu virka-avun antaminen ei oikeuta Liikenne- ja viestintävirastoa antamaan toiselle viranomaiselle tietoja viesteistä, välitystiedoista tai sijaintitiedoista. Valiokunta toteaa saamansa selvityksen perusteella, että tapausten selvittelyssä tarvitaan nimenomaisesti näitä tietoja ja esimerkiksi asiantuntija-avun yhteydessä tällaiselle tiedonvaihdolle voi olla nimenomainen tarve. Valiokunta pitää perusteltuna, että 309 §:n 2 ja 3 momentin mukaisessa virka-avun tilanteessa Liikenne ja viestintävirastolla tulee oikeus luovuttaa poliisille, suojelupoliisille ja Puolustusvoimille tapauksen selvittämisen kannalta välttämättömät tiedot viesteistä sekä välitystiedoista ja sijaintitiedoista taikka luottamuksellisen radiolähetyksen sisällöstä ja olemassaolosta. Tietojen luovuttamisella ei saa kuitenkaan rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä. Sekä virka-apua koskevassa säännöksessä 309 § että tiedonvaihdon mahdollistavan 319 a §:n tilanteissa on kyse merkittävistä tietoturvaloukkauksista. 

(9) Hallintovaliokunta pitää uutta säännöstä tärkeänä edistysaskeleena viranomaisyhteistyön tiivistämisessä. Valiokunta pitää myös perusteltuna, että tiedonvaihtoon liittyvästä salassapitosääntelystä ja muista tiedon luovutuksen rajoituksista poikkeamisen kynnys pidetään laajassa tietojen vaihdossa verrattain korkeana, jotta muun muassa perustuslaissa turvattu yksityiselämän suoja ja luottamuksellisen viestin suoja sekä tietosuojalainsäädännön käyttötarkoitussidonnaisuuden periaate toteutuvat asianmukaisesti. Valiokunta kuitenkin toteaa, että esitys mahdollistaa kattavan tiedonvaihdon vasta hyvin laajalle eskaloituneessa tilanteessa ja vain yhteiskunnan elintärkeiden toimintojen kannalta merkityksellisissä tilanteissa. Esityksessä tuodaan myös esille tarve kattavaan tilannekuvaan kyberuhkien ennakoimiseksi ja poikkeamien havaitsemiseksi mahdollisimman aikaisessa vaiheessa. Tiedonvaihdolle asetettu korkea kynnys ei kuitenkaan tässä mielessä tue aikaista reagointia ja vahinkojen ja vaikutusten estämistä. Valiokunnan saaman selvityksen mukaan tiedon vaihtamiselle asetettu korkea soveltamiskynnys voi rajoittaa uusien säännösten hyödynnettävyyttä ja jättää tiedonvaihdon ulkopuolelle sellaisia erittäin vakavia tietoturvaloukkauksia, joiden osalta yhteiskunnalla on selkeä selvittämis- ja estämisintressi. 

(Uusi 9 a) Valiokunta on saamansa selvityksen perusteella havainnut, että 319 a §:n osalta puutteena sen, että jotta tilanne voitaisiin tunnistaa riittävän laajamittaiseksi ja vakavaksi, sen vaikutusten tulisi olla jo laajahkolle levinneitä ja suhteellisen täsmällisesti tunnistettuja. Vakavien tietoturvaloukkausten selvittelyn alkuvaiheissa tällaista täsmällistä tietoa ei ole asiantuntijalausunnoista ilmenevällä tavalla välttämättä saatavilla ja tilannekuva täsmentyy asian selvittämisen edetessä. Edellä mainitun pykälän nojalla tapahtuva tiedonvaihto olisi näissä tilanteissa aina jossakin määrin jälkikäteistä Myös säädöksen perusteluissa todetaan, että merkittävän tietoturvaloukkauksen tai sen uhkan vaikutukset tulee kohdistua yhteiskunnan kannalta elintärkeisiin toimintoihin ja niihin liittyviin tietoaineistoihin. Perusteluilla on valiokunnan käsityksen mukaan hieman nostettu soveltamiskynnystä siitä, mitä varsinaisen pykälän sanamuodon perusteella voi päätellä. Valiokunnan käsityksen mukaan viranomaisen oikeus luovuttaa tietoja omaehtoisesti tulisi ilmetä suoraan ehdotetun lain 319 a §:n 1 momentista eikä ainoastaan perustelutekstissä. Liikenne- ja viestintäviraston oikeutta luovuttaa tietoja edelleen tulisi täsmentää siten, että poliisilta sekä mahdollisesti muilta turvallisuusviranomaisilta saatuja tietoja saisi luovuttaa edelleen vain tiedot luovuttaneen tahon suostumuksella 

(10) Hallintovaliokunta toteaa, että kokonaisuudessaan esityksellä mahdollistetaan kyllä nykyistä laajempi tiedonvaihto ja yhteistyö viranomaisten välillä yhteiskunnan elintärkeiden toimintojen kannalta merkittävissä tietoturvaloukkaustilanteissa ja vakavan uhan selvittämisessä. Valiokunta pitää kuitenkin edellä 309, 319 ja 319 a §:ssä esiin nostamiinsa huomioihin viitaten välttämättömänä, että työtä tiedonvaihdon parantamiseksi viranomaisten välillä edelleen jatketaan. Erityistä huomiota valiokunta kiinnittää poliisin oikeuteen saada tietoja 319 a §:n nojalla. Valiokunnan näkemyksen mukaan poliisin osalta kyseessä merkittävä epäsuhta tiedon luovutussäännöksissä. Asia edellyttää viesteihin liittyvien tietojen poliisille luovuttamisen osalta kiireellistä jatkovalmistelua. Valiokunnan näkemyksen mukaan lainsäädännön tulee kyetä vastaaman nopeasti ja ennalta-arvaamattomalla tavalla muuttuvaan turvallisuustilanteeseen mahdollisimman tehokkaalla tavalla. 

Mielipide

Ponsiosa 

Edellä olevan perusteella esitämme

että liikenne- ja viestintävaliokunta ottaa edellä olevan huomioon. 
Helsingissä 24.11.2023
Mari Rantanen ps 
 
Jenna Simula ps 
 
Mauri Peltokangas ps 
 
Ben Zyskowicz kok 
 
Heikki Vestman kok 
 
Kari Tolvanen kok