Täysistunnon pöytäkirja 95/2006 vp

PTK 95/2006 vp

95. KESKIVIIKKONA 4. LOKAKUUTA 2006 kello 15 (15.05)

Tarkistettu versio 2.0

2) Hallituksen esitys Euroopan neuvoston tietoverkkorikollisuutta koskevan yleissopimuksen hyväksymisestä, laiksi sen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta sekä laeiksi rikoslain, pakkokeinolain 4 luvun, esitutkintalain 27 ja 28 §:n ja kansainvälisestä oikeusavusta rikosasioissa annetun lain 15 ja 23 §:n muuttamisesta

 

Jyrki Kasvi /vihr:

Arvoisa puhemies! Tietoverkot eivät tunnusta valtakunnanrajoja eikä etenkään tietoverkkoja hyödyntävä rikollisuus, joka käyttää niitä pikemminkin hyväkseen. Rikoksen jäljet on helppo hävittää, kun temppu tehdään viidessä eri maassa sijaitsevien tietokoneiden kautta.

Tietoverkkoja hyödyntävää rikollisuutta vastaan voi taistella vain kansainvälisessä yhteistyössä, ja siksi tämä Euroopan neuvoston tietoverkkorikollisuutta koskeva yleissopimus on niin tervetullut. En sano, että se on täydellinen, mutta haluan olla optimisti ja uskoa, että sopimukseen liittyvät särmät vaativat vain hiomista. Uutta sopimusta meillä ei ole enää aikaa kirjoittaa.

Tästä sopimuksesta tekee erityisen haastavan se, että sillä on vaikutuksia moneen eri lakiin esitutkintalaista pakkokeinolakiin ja rikoslaista lakiin kansainvälisestä oikeusavusta. Siksi tämän sopimuksen ja sitä toimeenpanevien lakien yhteisvaikutusten arvioiminen on haastava tehtävä, ja toivonkin, että valiokuntakäsittelyyn pystytään varaamaan riittävästi aikaa vaalikauden lopun kiireistä huolimatta.

Joitain huomioita tästä esityksestä. Teen parhaani pysyäkseni 10 minuutin rajassa, mutta asiaa on paljon.

Ensiksi on pakko ihmetellä, miksei tieto- ja tietoliikennetekniikan sanastoa saada lainsäädännössä yhtenäistettyä. Kutsumme itseämme maailman johtavaksi tietoyhteiskunnaksi, mutta emme pysty päättämään, puhummeko liikennetiedoista, kuten tässä esityksessä, vai tunnistamistiedoista, kuten sähköisen viestinnän tietosuojalaissa, vai kenties tunnistetiedoista, joiksi niitä kaikkialla muualla kutsutaan. Erityisen varovainen olisin tässäkin laissa mainitun sijaintitieto-käsitteen kanssa, sillä sitä käytetään jo nyt eri laeissa hyvin sekavasti. Sähköisen viestinnän tietosuojalaissa samaa asiaa kutsutaan paikkatiedoksi, meripelastuslaissa paikantamistiedoksi ja ainoastaan Rajavartiolaitosta koskevassa laissa sijaintitiedoksi. Hämmennystä lisää se, että sanalla paikkatieto on aivan oma merkityksensä, jossa sitä käytetään ainoastaan laissa Geodeettisesta laitoksesta ja Maanmittauslaitoksesta.

Ei voi olla niin, että eri ministeriöt käyttävät eri sanakirjoja lakeja valmistellessaan. Ei ole mikään ihme, jos ihmiset eivät tiedä, mikä on sallittua, mikä kiellettyä ja mikä pakollista, jos lakien peruskäsitteistö on sekaisin. Ei kansalaisen voida olettaa opiskelevan joka lakia varten uutta, yleiskielen kanssa ristiriidassa olevaa sanastoa. Nyt tilanne on sama kuin jos alkoholiverolaissa kutsuttaisiin viinaa viiniksi ja sahtia pilsneriksi.

Tämän esityksen kunniaksi on todettava, että se kiinnittää huomiota niin kutsuttuun kaksikäyttöisyyteen eli siihen, että samoja työkaluja voidaan käyttää sekä rikollisiin että laillisiin tarkoituksiin. Ei olisi mitään mieltä kieltää tietoturvallisuuden testaamiseen käytettävää ohjelmistoa, koska sitä voi käyttää myös tietomurtoihin. Ei sorkkaraudankaan myynti, maahantuonti, luovuttaminen tai omistaminen ole rikos, vaan sen käyttäminen naapurin kellarikomeron oven avaamiseen. Perustelutekstissä tämä periaate todetaan, kun sanotaan, että esimerkiksi virusohjelman valmistaminen on täysin laillista, kunhan sitä ei käytä rikolliseen tarkoitukseen.

Tältä osin tekstissä on kuitenkin epäselvyyksiä, joita toivon valiokuntakäsittelyssä selkeytettävän. Jopa kahdessa peräkkäisessä lauseessa voidaan antaa ristiriitaista tietoa. Esimerkiksi sanakirjahyökkäystä käsittelevässä luvussa todetaan, että siihen käytettävä ohjelma on kaksikäyttöinen, jolloin sitä voidaan käyttää paitsi tietoverkkojärjestelmään murtautumiseen myös järjestelmän suojauksen testaamiseen. Heti perään kuitenkin todetaan, että kyseessä on tietoverkkorikosväline, jonka hallussapito, maahantuonti, tekeminen, myyminen, luovuttaminen, ja ilmeisesti unennäkökin siitä, on rikos. Toivon, että valiokunta ehtii perehtyä tähän esitykseen pinsettien ja suurennuslasin kanssa.

Esityksen suhde tekijänoikeuslakiin on sikäli mielenkiintoinen, että tekijänoikeusrikosten osalta sopimus vaatii rangaistavaksi vain sellaiset rikokset, jotka tehdään kaupallisessa tarkoituksessa. Ristiriita tuoreen tekijänoikeuslakimme kanssa on ilmeinen.

Toinen ristiriita löytyy suhteessa liikennetietojen säilyttämiseen. Siinä, missä meille äskettäin vakuutettiin, että nykyaikainen rikostutkinta vaatii ja edellyttää kaiken sähköisen tietoliikenteen kaikkien liikennetietojen tallentamista, tämän sopimuksen mukaan riittääkin hukkaamiskielto eli tallennetun datan säilyttämisen nopea varmistaminen. Miksi tämän sopimuksen neuvottelijat ja lakiesityksen valmistelijat ovat näin täydellisesti eri mieltä kuin esimerkiksi Suomen sisäministeriö ajaessaan EU:lle kaikkien liikennetietojen tallentamista vaativaa direktiiviä?

Säilyttämismääräyksen ongelmana on sen määrääminen salassapidettäväksi. Liikeyrityksille, esimerkiksi teleoperaattorille, tämä ei ole ongelma, mutta yksityishenkilöille kyllä. Suomessa on paljon yksityishenkilöiden ylläpitämiä palvelimia ja palveluita, joissa on muita henkilöitä koskevaa tietoa. Ei kai säilyttämismääräyksen salassapito tarkoita sitä, ettei tällainen yksityishenkilö saisi keskustella asiasta edes asianajajansa kanssa? Ainakin jos minä joutuisin tällaisen menettelyn kohteeksi, siis jonkun muun henkilön törttöilyn vuoksi, haluaisin mieluusti keskustella asiasta lakimieheni kanssa.

Esityksestä löytyy myös muita oikeusturvakysymyksiä. Esimerkiksi 19 artiklan väitetään perustelutekstissä mahdollistavan palvelintietokoneiden laajamittaisen takavarikoinnin, vaikka kyseisillä tietokoneilla olisi paljon myös muita käyttäjiä. Ääriesimerkki tästä saatiin äskettäin Ruotsissa, jossa Pirate Bay -sivuston tutkimiseksi tehdyn ratsian yhteydessä takavarikoitiin kaikki kyseisen palveluntarjoajan palvelintietokoneet. Tällöin 200—300 Pirate Bay -sivustoon täysin liittymätöntä www-sivustoa lakkasi toimimasta. Näiden sivustojen omistajille aiheutuneet tulonmenetykset olivat merkittävät, ja nyt ihmetelläänkin, kuka korvaa tappiot näille yrityksille.

Tässä kohdassa valiokunnan tulisi kiinnittää erityistä huomiota siihen, ettei takavarikko tarpeettomasti vahingoita sivullisten oikeuksia, enkä sitä paitsi löydä sopimustekstin 19 artiklasta oikeutusta näin laajamittaiseen sivullisten osapuolten omistamaan tietoon kohdistuvaan takavarikkoon.

Kolmas hankala kysymys liittyy linkittämiseen. Sopimuksen mukaan jo linkki haittaohjelman sisältäville www-sivuille on haittaohjelman saataville asettamista. Internetin luonteen tuntien näin voi käydä helposti jopa vahingossa. Tältä osin tulisikin korostaa teon tahallisuutta ja arvioida myös sen tarkoitusta. Toivon valiokunnan myös arvioivan tämän kohdan suhdetta sananvapauteen. On mielestäni aika erikoista, että Suomessa voi esimerkiksi vapaasti julkaista kannabispiparireseptejä, mutta linkki haittaohjelman, mahdollisesti jopa kaksikäyttöisen haittaohjelman, julkistamissivulle on rikos.

Tietojärjestelmän haltijan tietojenantovelvollisuuteen on pakkokeinolain 4 luvun 4 a §:ään tehty onneksi rajaus, jonka perusteella epäiltyä ei voida pakottaa luovuttamaan omia salasanojaan viranomaisille, siis todistamaan itseään vastaan. Aiemmissa keskusteluissa on esitetty myös sitä, että tätä rajausta ei olisi.

Lakiin yleisvaarallisista rikoksista esitys toisi huolestuttavan lisäyksen, eli sähköisen viestinnän teknisen suojauksen tai tietojärjestelmäsuojauksen murtamiseen tarkoitetun laitteen tai tietokoneohjelman maahantuonti, valmistus jne. kielletään. Periaatteessa tämä kuulostaa hyvältä, mutta osa käytössä olevista suojauksista on niin naurettavan yksinkertaisia, ettei niitä oikeastaan tarvitse edes murtaa. Onneksi kielto esityksessä rajoitetaan koskemaan vain haittaa tai vahinkoa aiheuttamaan pyrkiviä tekoja, mutta olen jo oppinut, miten helposti yhdessä laissa käyttöön otettu periaate leviää muihin lakeihin. Kaipaisinkin näihin purkulaite- ja purkuohjelmakieltoihin aina lisäystä, joka edellyttäisi purettavalta suojaukselta jotain uskottavuutta, ettei jotain rot-13-koodausta, jota itse asiassa jo muinaiset roomalaiset käyttivät, voisi pitää suojauksena.

Perusteluteksti suhtautuu pelottavan myönteisesti vakoiluohjelmien käyttöön työntekijöiden valvontaan. Juuri äskettäin esitettiin sähköisen viestinnän tietosuojalakiin muutosta, joka olisi antanut työnantajalle väljät oikeudet valvoa työntekijöiden sähköpostiliikennettä. Onneksi esitys vedettiin pois eduskunnan oikeusasiamiehen annettua siitä kriittisen lausunnon. Uskon ja toivon, että valiokunta tulee kiinnittämään mietinnössään myös tähän asiaan huomiota.

Arvoisa puhemies! Lopuksi haluan kiinnittää positiivista huomiota perustelutekstissä hyvin esiin nostettuun periaatteeseen, että tietoturva-aukkojen julkistaminen ei ole rikos. Tästä on väännetty maailmalla kättä pitkään, kun ohjelmistoyhtiöt ovat halunneet pitää asiakkaansa tietämättöminä ohjelmiensa tietoturvaongelmista. Usein tietoturva-aukon julkistaminen onkin ollut ainoa keino, jolla ohjelmatalot on saatu paikkaamaan kyseiset aukot.

Erkki Pulliainen  /vihr:

Arvoisa puhemies! On varsin hyvä, että ed. Kasvi pääsi pitämään tuon puheenvuoron. Minä olen vähän hämmennyksen vallassa nyt. Minä olen ymmärtänyt tämän koko asian sillä tavalla, että me olemme hyväksymässä Euroopan neuvoston tietoverkkorikollisuutta koskevan yleissopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisen eli kolme pykälää ja se on niin kuin ota tai jätä. Siihen liittyen on Suomen rikoslakiin, pakkokeinolakiin, esitutkintalakiin ja lakiin kansainvälisestä oikeusavusta rikosasioissa sisältyviä pykäliä. Toisin sanoen, tässä aika kovan tehtävän ed. Kasvi antoi meille, että on tehtävä seuraavaa yleissopimusta varten kokonainen uusi mietelmys, ja se on aika kova juttu. Ei muuta.

Keskustelu päättyy.

​​​​