Yleistä

(1) Käsiteltävänä olevassa hallituksen esityksessä on kyse alueidenkäytön tiedoista sekä rakennetun ympäristön tietojärjestelmästä. Tässä hallituksen esityksessä ei säädetä rakentamisen tiedoista, niiden rakenteesta tai niiden julkaisemisesta. Näistä seikoista ehdotetaan säädettäväksi hallituksen esityksessä HE 139/2022 vp. 

(2) Valiokunnan saaman selvityksen mukaan ehdotetut säädökset ovat välttämätön perusta kohti kokonaisturvallisuuden lisäämistä rakennetun tiedon osalta. Ehdotetuilla säädöksillä harmonisoidaan alueidenkäytön tiedon muoto ja yhtenäistetään toimintatapoja. Rakennetun ympäristön tietojärjestelmän merkitys korostuu yhteiskunnan kokonaisturvallisuuden riskien varautumisessa ja hallinnassa, sillä valtakunnallinen järjestelmä mahdollistaa varautumisen nopeasti muuttuvissa tilanteissa verrattuna hajanaiseen nykytilanteeseen. Rakennetun ympäristön tietojärjestelmä toteutetaan digitaalisen turvallisuuden vaatimusten mukaisesti huomioiden eri turvallisuusluokkiin kuuluvien tietojen asianmukainen käsittely. Turvaluokiteltu aineisto ja salassa pidettävä tieto on saatavilla vain niille toimijoille, joilla on oikeus tietoon. 

(3) Puolustusvaliokunta arvioi tässä lausunnossaan hallituksen esitystä siitä näkökulmasta, miten esityksessä on huomioitu kansallinen turvallisuus ja erityisesti puolustushallinnon erityistarpeet. Esityksessä on valiokunnan mielestä positiivista se, että alueiden käyttöön ja rakentamiseen liittyvien tietojen saaminen valtakunnallisesti yhdestä järjestelmästä mahdollistaisi myös Puolustusvoimille nykyistä helpommin ajantasaisen alueidenkäytön ja rakentamisen tiedon käyttämisen ja hyödyntämisen sen omassa toiminnassa. Tältä kannalta tarkasteltuna järjestelmä olisi, oikein toteutettuna ja turvallisuusnäkökulmat huomioiden, hyödyllinen myös Puolustusvoimille. 

(4) Valiokunnan saaman selvityksen perusteella on kuitenkin selvää, ettei esitys ehdotetussa muodossa varmista kansallisen turvallisuuden huomioimista riittävällä tavalla. Tämä koskee yleisesti ottaen monia säädöshankkeita, joilla pyritään edistämään yhteiskunnan digitalisaatiota. Digitalisaation voimakas edistäminen on kirjattu hallitusohjelmaan. Valiokunta huomauttaa, että hallitusohjelman linjauksia tehtäessä ei ole voitu huomioida voimakkaasti heikentynyttä turvallisuusympäristöä. Ukrainan sota ja sen seurannaisvaikutukset sekä turvallisuusympäristön muutoksen pitkäkestoisuus johtavat puolustusvaliokunnan näkemyksen mukaan tarpeeseen tarkastella kaikkia kansalliseen turvallisuuteen suoranaisesti tai epäsuorasti liittyviä lakihankkeita uudessa valossa. 

(5) Puolustusministeriön esittelyvastuulle kuuluvan lainsäädännön valmistelussa kansallisen turvallisuuden näkökulma tulee luonnollisesti asianmukaisesti huomioitua, ja usein esityksen lähtökohtana ovatkin kansallisen turvallisuuden tarpeet tai tavoitteena on kansallisen turvallisuuden parantaminen. Muissa kuin ulkoisesta ja sisäisestä turvallisuudesta vastaavissa ministeriöissä voi olla vaikea tunnistaa kansalliseen turvallisuuteen vaikuttavia tekijöitä. Usein niihin liittyy myös salassapitokysymyksiä, eivätkä vaikutukset ole välttämättä laajalti muun kuin asioita käsittelevän toimivaltaisen viranomaisen tiedossa. Valiokunta toteaa, että Suomessa eri hallinnonaloilla on ylipäätään taipumusta siiloutumiseen toiminnassaan, ja poikkihallinnollinen valmistelu ja tiedonvaihto eivät kaikin osin toteudu riittävässä laajuudessa. 

(6) Valiokunta pitää erittäin tärkeänä, että vaikutuksia kansalliseen turvallisuuteen arvioidaan nykyistä systemaattisemmin ja kattavammin myös muissa kuin ulkoisen ja sisäisen turvallisuuden alalla toimivien hallinnonalojen valmistelemissa hankkeissa. Erityisen tärkeää tämä on nyt, kun tarve kriittisen infrastruktuurin suojaamiseen korostuu. Esimerkiksi paikkatiedoilla on merkittävä kansalliseen turvallisuuteen vaikuttava ulottuvuus, ja paikkatietoja voidaan käyttää myös kansallista turvallisuutta heikentävällä tavalla. Valiokunta viittaa tässä yhteydessä myös EU:n energiatehokkuusdirektiivistä antamaansa lausuntoon (PuVL 9/2021 vp) ja huomauttaa, että EU-tason sääntelyllä on merkittäviä suoria ja epäsuoria vaikutuksia kansallisen puolustuksen järjestelyihin. 

(7) Valiokunta näkee tarpeellisena, että lakihankkeita, joihin voi arvioida sisältyvän vaikutuksia kansalliseen turvallisuuteen, tarkastellaan säännönmukaisesti myös Turvallisuuskomiteassa tai muussa tarkoitukseen sopivassa poikkihallinnollisessa ohjaus- tai koordinaatioryhmässä. Turvallisuuskomitea on kokonaisturvallisuuteen liittyvä ennakoivan varautumisen pysyvä ja laajapohjainen yhteistoimintaelin, joten sen käyttö tällaiseen arviointiin olisi monella tavalla luontevaa. 

Puolustusvoimien toimintojen ja kriittisen infrastruktuurin suojaaminen

(8) Hallituksen esitys eduskunnalle laeiksi rakennetun ympäristön tietojärjestelmästä ja maankäyttö- ja rakennuslain muuttamisesta muodostaa toteutuessaan laajan tietoaineiston, ja se siten sisältää tietoja yhteiskunnan elintärkeistä toiminnoista ja toimijoista sekä kotimaisesta infrastruktuurista ja rakenteista. Puolustushallinnon alueiden ja toimitilojen lisäksi tällaisia kriittisen infrastruktuurin kohteita ovat esimerkiksi vesi- ja energia- ja elintarvikehuolto, jakeluliikenne, yleishyödylliset laitokset sekä asukkaiden terveyteen, hyvinvointiin ja toimeentuloon liittyvät toiminnot. Suojelupoliisi on määritellyt kriittiseksi infrastruktuuriksi näiden lisäksi muun muassa tietoliikenneverkot, tietovarannot, ruoka- ja lääkehuollon, liikenneverkostot, maksuliikenteen ja pankit. 

(9) Valiokunta yhtyy puolustushallinnon asiantuntijoiden esittämään näkemykseen siitä, että kaavoihin ja tietojärjestelmiin tulisi jatkossa merkitä vain sellaista tietoa, joka on koottunakin julkista tietoa. Valiokunnan saaman selvityksen mukaan Puolustusvoimat soveltaa periaatetta, jonka mukaan käsiteltäessä julkista tai turvaluokittelematonta kokonaisuutta massana siitä muodostuu vähintään turvallisuusluokkaan TL IV (käyttö rajoitettu) kuuluva kokonaisuus. Tällöin kokonaisuuden sisällyttäminen julkiseen tietojärjestelmään ei ole mahdollista. 

(10) Valiokunnan kuulemien asiantuntijoiden mukaan Puolustusvoimien käytössä olevia kiinteistöjä koskeva kiinteistötieto muodostaa kokonaisuuden, josta pelkästään julkistakin tietoa analysoimalla kyetään tekemään pitkälle meneviä päätelmiä Puolustusvoimien toiminnasta. Julkisten lähteiden tiedustelun (Open source intelligence, OSINT) sekä tiedon kasautumisvaikutuksen vuoksi tämä koskee muitakin kuin salassa pidettäviksi määriteltyjä kohteita. Kaavaan esitetyistä Puolustusvoimien alueita ja toimintoja koskevista yksittäisistä aluetiedoista voi muodostua yhteen tietojärjestelmään koottuna valtakunnallisena kokonaisuutena TL IV -tason tietoa.  

(11) Valiokunta korostaa, että hallituksen esityksen eduskuntakäsittelyssä on tärkeää tunnistaa kiinteistötiedon kasautumisvaikutus, suhtautua paikkatiedon suojaamiseen vakavasti ja ulottaa suojaamistoimenpiteet koko kiinteistö- ja paikkatietoa käsittelevään toimitusketjuun. Mikäli elintärkeiden toimintojen tiedot digitoidaan ja tallennetaan tietojärjestelmään, tällaisen järjestelmän tietoturvaan tulee kiinnittää erityistä huomiota. Myös tiedonsaantioikeuksien tarkkarajainen määrittäminen edellyttää ensin suojattavan kriittisen infrastruktuurin sekä siihen liittyvien suojattavien ominaisuuksien määrittelyä yhteismitallisesti ja valtakunnallisesti. 

(12) Yleisessä tiedossa olevat haavoittuvuudet, kuten infrastruktuurin solmukohdat, on huomioitava suunnittelussa. Sama koskee vaarantunutta tai jo menetettyä kiinteistötietoa. Kiinteän infrastruktuurin, kuten erityissuojattavien kohteiden tai keskeisten runkoverkostojen, osalta kriittinen paikkatieto voidaan menettää vain kerran. Tästä syystä on tärkeää suojata tällaisen infrastruktuurin paikka- ja käyttötiedot. 

(13) Yhteiskunnan elintärkeiden toimintojen kehittämisestä, ylläpidosta ja varmistamisesta sekä tietojärjestelmistä ja niiden teknisistä rajapinnoista vastaavat jatkossa aiempaa laajemmin kaupalliset toimijat. Yrityksillä on lisäksi keskeinen ja yhä kasvava rooli myös rakennetun ympäristön tiedon (mm. rakennussuunnitelmien ja kaavojen) tuottajina. Uusien innovaatio- ja liiketoimintamahdollisuuksien kasvaessa kasvaa myös viranomaisten riippuvuus yksityisen sektorin toimijoista ja niiden toimitusketjuista. Tämä lisää entisestään yhteiskunnan elintärkeiden toimintojen haavoittuvuutta kyberuhkien ja -hyökkäysten kohteena.  

(14) Kiinteistötiedon hallinnan kaupallistuminen asettaa yritysten turvallisuudelle, jatkuvuuden hallinnalle ja häiriötilanteisiin varautumiselle sellaisia uusia yhteiskunnallisia huoltovarmuudellisia vaatimuksia, joiden valvontaa, ylläpitoa, koulutusta ja yhteistoiminnan harjoittelua eri tilanteissa tulee tarkastella nykyistä tarkemmin. Kaupallisiin toimijoihin liittyy myös yrityskaupan riski. Uuden omistajan arvot ja turvallisuuskulttuuri tai liiketoimintamalli saattavat poiketa alkuperäisestä tarkoituksesta ja vaarantaa yhteiskunnan elintärkeät toiminnot. Riskien realisoituessa tietovuotojen havaitseminen, laajuuden arviointi sekä jäljittäminen on vaikeaa ja vastuukysymykset ovat vaikeita. 

Puolustusvoimien rakennukset ja rakenteet

(15) Puolustusvoimien alueilla on sekä julkisia että ei-julkisia rakennuksia ja rakenteita. Valiokunta pitää perusteltuna sen välttämistä, että Puolustusvoimien rakennuksia ja rakenteita koskevia tietoja ei ilman välttämätöntä tarvetta viedä valtakunnallisiin tietojärjestelmiin. Puolustusvoimien alueilla olevista rakennuksista ja rakenteista sekä muualla sijaitsevista pelkästään Puolustusvoimien toimintaa palvelevista rakenteista ei tule sisällyttää mitään tietoa rakennetun ympäristön tietojärjestelmään. Lisäksi jos jossain rakennuksessa tai rakenteessa (masto tms.) on Puolustusvoimien toimintaa tai laitteita, tietoa siitä ei tule sisällyttää rakennetun ympäristön tietojärjestelmään, ellei tieto ole julkinen. Tietosuojasyistä myöskään Puolustusvoimien muusta julkisesta rekisterinpidosta eriytettyä kiinteistö- ja rakennustunnusjärjestelmää ei tule yhdenmukaistaa valtakunnallisten rekistereiden kanssa eikä asettaa saataville rakennetun ympäristön tietojärjestelmään. 

(16) Puolustusvoimien alueiden ja toimintaan liittyvien vaikutusalueiden (melu- ja suoja-alueet) merkitseminen kaavoihin on hyödyllistä ja joiltain osin jopa välttämätöntä. Vaikutusalueet tulisi merkitä kaavoihin, jos Puolustusvoimien toiminnasta aiheutuu vaikutuksia Puolustusvoimien alueen ulkopuolelle tai jos jollain Puolustusvoimien alueen ulkopuolelle tehtävällä rakentamisella voi olla vaikutusta Puolustusvoimien alueella olevaan tai sijoitettavaksi suunniteltuun toimintaan. Alueiden merkitseminen kaavoihin turvaa Puolustusvoimien toimintaedellytykset. Kaavoilla vaikutetaan Puolustusvoimien alueiden ulkopuolisilla alueilla tapahtuvaan rakentamiseen. Alueita kaavoihin merkittäessä tulee kuitenkin huomioida tiedon kasaumavaikutus, jotta tiedon julkisuusluokka säilyy julkisena.  

Jatkotoimista

(17) Ennen rakennetun ympäristön tietojärjestelmän käyttöönottoa digitaalisen kiinteistötiedon turvallisuuden ulottuvuuksia tulee edelleen tarkentaa tunnistamalla ja määrittämällä yhteiskunnan elintärkeiden toimintojen kannalta kriittinen infrastruktuuri. Tässä työssä tulee huomioida myös CER-direktiivin (Critical Entities Resilience) vaatimukset sekä direktiivin täytäntöönpanon yhteydessä tehtävä kriittisen infrastruktuurin määrittelytyö. Komissio julkaisi CER-direktiiviehdotuksen 16.12.2020 osana laajempaa pakettia, johon kuuluu uusi kyberturvallisuusstrategia sekä verkko- ja tietoturvadirektiivin (NIS) päivitys. 

(18) Valiokunta katsoo, että ennen lainsäädännön voimaantuloa paikkatiedon kansallisen turvallisuuden riskiarvion laatiminen olisi perusteltua, ja tässä työssä tulisi huomioida myös yhtymäkohdat CER-direktiiviin. Tehtävän riskiarvion tulisi kattaa koko toimitusketju: valtionhallinto, kuntasektori sekä yritykset. Riskiarvion tulisi myös sisältää kattava tarkastelu nykyisestä paikkatiedon hallinnan kansallisesta ja EU-säädösympäristöstä, sen muutostarpeista sekä muista oikeudellisista kysymyksistä. Lisäksi sen tulisi sisältää Nato-jäsenyyden vaikutusten tarkastelu sekä paikkatiedon johtamisen ja koordinaatioon liittyvien vastuiden tarkastelu. 

Säännösmuutosehdotuksia

(20) Valiokunnan kuulemat asiantuntijat toivat esiin tarpeen tarkentaa tiettyjä esityksen säännöksiä. Valiokunta ehdottaa 1. lain 1 §:n 2 momenttia tarkennettavaksi, jotta Puolustusvoimat voi päättää Puolustusvoimien alueita koskevan tiedon salassapidon perusteista tapauskohtaisen harkinnan sekä tietojärjestelmän teknisen toteutuksen ja suojauksen perusteella. Salassapidon perusteena voivat olla esimerkiksi julkisuuslain 24 §:n 1 momentin perusteella turvajärjestelyihin, poikkeusoloihin varautumiseen, sotilastiedusteluun, Puolustusvoimien varustamiseen, kokoonpanoon, sijoitukseen tai käyttöön liittyvät tiedot. Valiokunta korostaa, että esitetty muutos ei saa vaikeuttaa muiden viranomaisten tarpeita saada järjestelmästä tarvitsemiansa tietoja.  

1. Laki rakennetun ympäristön tietojärjestelmästä

(21) Valiokunta kiinnittää lisäksi huomiota hallituksen esityksen 1. lain 11 §:n 3 momenttiin, jonka muotoilu voi olla ongelmallinen. Vaikka tiedonhakuja on tietoturvasyistä esitetty rajattaviksi yksittäishakuihin, on erittäin oleellista arvioida, mihin tarkoituksiin tietoja luovutettaisiin ja onko rekisterinpitäjällä tosiasiallisia teknisiä keinoja rajoittaa esimerkiksi ohjelmistobottien avulla tehtävien tietohakujen määrää. Hallituksen esityksessä todetaan tietojen yhdistelystä, ettei Suomen ympäristökeskuksella rekisterinpitäjänä ole mahdollisuutta valvoa luovuttamiensa tietojen jatkokäyttöä enää sen jälkeen, kun tiedot on luovutettu. Tällöin on todennäköistä, ettei muillakaan viranomaisilla ole riittävää kykyä tai toimivaltaa suorittaa tällaista valvontaa.