Yleisperustelut
Yleistä
Hallituksen esityksessä ehdotetaan rikoslakia muutettavaksi
niin sanotun tietoverkkorikosdirektiivin (2013/40/EU)
täytäntöönpanemiseksi. Direktiivi
korvaa tietoverkkorikoksia koskevan aiemman puitepäätöksen
(2005/222/YOS), joka on Suomessa pantu täytäntöön
vuonna 2007 samassa yhteydessä Euroopan neuvoston tietoverkkorikollisuutta
koskevan yleissopimuksen kanssa. Direktiivin tavoitteena on entisestään
lähentää jäsenvaltioiden rikosoikeudellisia
säännöksiä ja parantaa jäsenvaltioiden
viranomaisten välistä yhteistyötä verkkorikollisuuden
tehokkaaksi torjumiseksi.
Suomen rikoslainsäädäntö vastaa
jo nykyisin varsin kattavasti direktiivin vaatimuksia. Eräitä uusia
kvalifiointiperusteita on kuitenkin tarpeen lisätä joidenkin
tietoverkkorikosten törkeisiin tekomuotoihin. Myös
eräitä enimmäisrangaistusten tasoja tulee
korottaa. Lisäksi ehdotetaan uusia rangaistussäännöksiä datavahingonteosta ja
identiteettivarkaudesta.
Lakivaliokunta pitää tärkeänä,
että tietoverkkorikoksia koskeva lainsäädäntö on
kattavaa ja ajantasaista, koska tietoverkkorikosten toimintaympäristö muuttuu
nopeasti. Verkossa tapahtuva rikollisuus on viime aikoina ollut
myös voimakkaassa kasvussa. Valiokunta pitää esitystä tarpeellisena
ja puoltaa lakiehdotusten hyväksymistä seuraavin
huomautuksin ja muutosehdotuksin.
Enimmäisrangaistusten korottaminen
Esityksessä ehdotetaan viestintäsalaisuuden loukkauksen
(rikoslain 38 luvun 3 §) ja tietomurron (rikoslain
38 luvun 8 §) enimmäisrangaistuksen korottamista
nykyisestä vuodesta kahteen vuoteen vankeutta. Myös
uuden datavahingonteon (rikoslain 35 luvun 3 a §)
enimmäisrangaistukseksi ehdotetaan kahta vuotta vankeutta.
Viestintäsalaisuuden loukkauksen ja tietomurron osalta
kyse on nykyisen enimmäisrangaistuksen kaksinkertaistamisesta,
joten kyse on rangaistustason varsin merkittävästä ankaroittamisesta.
Sen seurauksena myös nykyistä laajemmat pakkokeinot
tulevat mahdollisiksi. Lakivaliokunta toteaa, että kyseisten
rangaistussäännösten rangaistustasojen
korottaminen perustuu yksinomaan direktiivin vaatimusten toteuttamiseen.
Valiokunta pitääkin tärkeänä,
että pakkokeinojen käytössä kiinnitetään
erityistä huomiota suhteellisuusperiaatteen toteutumiseen.
Esityksessä ehdotetaan samalla direktiivin vaatimusten
vuoksi törkeän tietoliikenteen häirinnän
(rikoslain 38 luvun 6 §) ja törkeän
tietojärjestelmän häirinnän
(rikoslain 38 luvun 7 b §) enimmäisrangaistuksen
korottamista nykyisestä neljästä vuodesta
viiteen vuoteen vankeutta. Lisäksi uuden törkeän
datavahingonteon (rikoslain 35 luvun 3 b §)
enimmäisrangaistukseksi ehdotetaan viittä vuotta
vankeutta.
Viiden vuoden enimmäisrangaistus poikkeaa vakiintuneesta
rikoslain sääntelytavasta. Se ei siten ole ongelmaton
Suomen rikoslaissa noudatetun suhteellisuusperiaatteen eikä rikoslain
sisäisen johdonmukaisuuden kannalta. Lakivaliokunta kiinnitti
asiaan huomiota jo direktiiviehdotuksesta neuvoteltaessa (LaVL
18/2010 vp ja LaVL 4/2011 vp).
Vastaavia kannanottoja valiokunta on viime vuosina tehnyt myös
muissa EU:n rikosoikeudellista sääntelyä koskevissa säädösehdotuksissa
(esim. LaVL 10/2010 vp, LaVL
13/2009 vp). Viiden vuoden enimmäisrangaistuksia
on sisältynyt unionin tason sääntelyyn
jo aikaisemmin, mutta kansallisessa täytäntöönpanossa
on päädytty käyttämään
vakiintunutta kuuden vuoden enimmäisrangaistusta. Kyse
on tosin tähän mennessä ollut rikoksista, joita
voidaan pitää nyt tarkoitettuja tietoverkkorikoksia
vakavampina (ihmiskauppa ja törkeä sukupuolisiveellisyyttä loukkaavan
lasta esittävän kuvan levittäminen).
Kuuden vuoden enimmäisrangaistusta ei siten tässä yhteydessä ole perusteltua
käyttää. Kun myöskään
neljän vuoden enimmäisrangaistus ei täytä direktiivin
vaatimuksia, tulee ehdotettu viiden vuoden enimmäisrangaistus
tässä yhteydessä hyväksyä.
Valiokunta pitääkin tärkeänä,
että tällaisiin kansallisen rikosoikeuden kannalta
kielteisiin vaikutuksiin kiinnitetään jatkossa
erityistä huomiota unionin säädösehdotuksista
neuvoteltaessa.
Koska tietomurron enimmäisrangaistus ehdotetaan direktiivin
mukaisesti nostettavaksi kahteen vuoteen vankeutta, ehdotetaan johdonmukaisuussyistä
samalla,
että törkeän tietomurron enimmäisrangaistus
korotetaan nykyisestä kahdesta vuodesta kolmeen vuotta
vankeutta. Tämä merkitsee samalla sitä,
ettei kyseistä rikosta voida enää jatkossa
käsitellä yhden tuomarin kokoonpanossa.
Lakivaliokunta ei pidä tällaista seurannaisvaikutusta
asian käsittelyn eikä tuomioistuinten voimavarojen
kannalta myönteisenä ottaen huomioon, että valiokunnan
saaman selvityksen mukaan kyseiset tapaukset ovat tähän
mennessä olleet verraten yksinkertaisia ja rinnastuneet
esimerkiksi törkeään kavallukseen ja
törkeään petokseen. Edellä esitetyn
perusteella valiokunta ehdottaa, että törkeä tietomurto
lisätään vastaavasti kuin esimerkiksi
törkeä kavallus, törkeä petos
ja törkeä maksuvälinepetos sellaiseksi
oikeudenkäymiskaaren 2 luvun 6 §:n 1 momentissa
olevassa listassa nimenomaisesti mainituksi rikokseksi, jonka käsittely
on mahdollista yhden tuomarin kokoonpanossa. Muutoksen toteuttamiseksi
valiokunta ehdottaa jäljempänä uuden
lakiehdotuksen hyväksymistä. Jos törkeä tietomurto
osoittautuu kuitenkin vaikeaksi asiaksi, se voidaan nykyisten säännösten perusteella
siirtää vahvennetun kokoonpanon käsiteltäväksi
(oikeudenkäymiskaaren 2 luvun 7 §).
Identiteettivarkaus
Rikoslakiin ehdotetaan lisättäväksi
uusi identiteettivarkautta koskeva rangaistussäännös
(rikoslain 38 luvun 9 b §). Seuraamukseksi
ehdotetaan sakkorangaistusta.
Esityksen taustalla oleva direktiivi antaa tältä osin
jäsenvaltioille varsin laajan kansallisen harkintavallan,
ja hallituksen esityksessä on seikkaperäisesti
käsitelty eri vaihtoehtoja direktiivin vaatimusten täyttämiseksi
(s. 25 ja 26). Lakivaliokunta kannattaa identiteettivarkauden
itsenäistä kriminalisointia hallituksen ehdottamalla tavalla.
Vaikka toisen identiteetin käyttäminen on jo nykyisin
varsin laajasti kriminalisoitu ja kyseeseen voivat tulla muun muassa
petos, väärennys, henkilörekisteri- ja
rekisterimerkintärikos samoin kuin kunnianloukkaus ja yksityiselämää loukkaavan
tiedon levittäminen, käytännössä on
saadun selvityksen mukaan syntynyt tilanteita, joissa vakavamman
rikoksen tunnusmerkistö on jäänyt täyttymättä,
mutta tekijä olisi voitu tuomita identiteettivarkaudesta.
Nyt ehdotetulle nykylainsäädäntöä täydentävälle
kriminalisoinnille voidaan siten katsoa olevan kansallisestikin
tarvetta. Erityisen myönteistä on, että uusi
säännös selkeyttää ja
parantaa sen uhrin asemaa, jonka henkilötietojen väärinkäyttämisestä on
kyse.
Jos identiteettivarkaus tapahtuu jonkin muun vakavamman rikoksen
yhteydessä, käytettävissä ovat
kyseisen rikoksen tutkinnassa mahdolliset pakkokeinot. Sen sijaan,
jos kyse on yksinomaan identiteettivarkauden tutkinnasta, sen selvittämisessä ei
voida käyttää esimerkiksi pakkokeinolain
(806/2011) 10 luvun 6 §:ssä tarkoitettua
televalvontaa, koska kyse ei ole vakavasta rikoksesta. Yleinen
edellytys televalvonnan käyttämiselle on, että rikoksesta
säädetty ankarin rangaistus on vähintään
neljä vuotta vankeutta. Teleosoitetta tai telepäätelaitetta
käyttäen tehdyn rikoksen osalta yleinen televalvonnan edellytys
vuorostaan on vähintään kahden vuoden
enimmäisrangaistus. Selvyyden vuoksi lakivaliokunta toteaakin,
että perustuslakivaliokunnan käytännön
valossa sakonuhkaisen identiteettivarkauden lisääminen
televalvonnan perusterikokseksi ei ole mahdollista (ks. PeVL
66/2010 vp). Koska kyse on vähäisestä rikoksesta,
joka toteutuu suhteellisen vähäisissä tilanteissa, myöskään
rangaistusasteikon korottaminen ei olisi oikeasuhtaista eikä perusteltua.
Saadun selvityksen mukaan itsenäisesti esiintyvän
identiteettivarkauden tutkinnassa on kuitenkin käytettävissä muita
tutkintakeinoja ja -valtuuksia. Näitä ovat
esimerkiksi sananvapauden käyttämisestä joukkoviestinnässä säädetyn lain
(460/2003) 17 §:n
mukaiset mahdollisuudet verkkoviestin tunnistamistietojen selvittämiseen.
Jos teko on tehty teleosoitetta tai telepäätelaitetta
käyttäen, käytettävissä on
myös pakkokeinolain 10 luvun 7 §:ssä tarkoitettu
teleosoitteen tai telepäätelaitteen haltijan suostumuksella
tapahtuva televalvonta. Tosin jos televalvonta on tehty useamman
päätelaitteen kautta, suostumus tulee pyytää useammalta
taholta. Lisäksi käytettävissä ovat
poliisilain (872/2011) 4 luvun 3 §:ssä tarkoitetut
poliisin toimivaltuudet saada teleyritykseltä tehtäviensä suorittamiseksi julkisessa
luettelossa mainitsemattoman teleosoitteen yhteystiedot taikka teleosoitteen
tai telepäätelaitteen yksilöivät
tiedot.
Lakivaliokunta pitää asianomistajan oikeuksien
asianmukaisen turvaamisen kannalta tärkeänä,
että viranomaisilla on riittävät tutkintakeinot
ja -valtuudet selvittää identiteettivarkauksia.
Riittävät tutkintakeinot ja -valtuudet ovat olennaisia
myös kansainvälisen yhteistyön kannalta,
sillä tietoverkkorikokset ovat usein rajat ylittävää rikollisuutta.
Vaikka itsenäisesti esiintyvän identiteettivarkauden
tutkinnassa on edellä kuvatuin tavoin käytettävissä useita
eri tutkintakeinoja ja -valtuuksia, valiokunta kantaa huolta niiden
riittävyydestä. Tämän vuoksi
valiokunta katsoo, että asiantilaa tulee jatkossa seurata,
ja jos aihetta ilmenee, asiassa on pikaisesti ryhdyttävä toimenpiteisiin
kyseisten rikosten torjunnan ja selvittämisen tehostamiseksi. Valiokunta
ehdottaa lausuman hyväksymistä asiasta (Valiokunnan
lausumaehdotus).
Yksityiskohtaiset perustelut
1. Laki rikoslain muuttamisesta
34 luku. Yleisvaarallisista rikoksista.
9 a §. Vaaran aiheuttaminen tietojenkäsittelylle.
Pykälän 1 momentin 1 kohtaan ehdotetaan
lisättäväksi uusi tekotapa, joka koskee "käyttöön hankkimista".
Lisäyksen myötä vaaran aiheuttamisesta
tietojenkäsittelylle voidaan tuomita se, joka aiheuttaakseen
haittaa tai vahinkoa tieto- tai viestintäjärjestelmän
toiminnalle tai turvallisuudelle, "hankkii käyttöön" säännöksessä tarkoitetun
laitteen tai tietokoneohjelman taikka salasanan tai pääsykoodin.
Hallituksen esityksen perusteluista ilmenee, että "tunnusmerkistö käyttöön
hankkimisen osalta täyttyisi vasta silloin, kun väline
on saatu haltuun". Selvyyden vuoksi lakivaliokunta kuitenkin
toteaa, että tunnusmerkistö voi täyttyä jo
sillä, että väline tai ohjelma on selvästi
henkilön käytettävissä ja määräysvallassa,
vaikka se fyysisesti sijaitsikin aivan muualla (kuten HE 153/2006
vp, s. 62).
Lainkohdan rangaistusmaksimi on jo nykyisin direktiivin edellyttämä kaksi
vuotta vankeutta, joten sitä ei ole tarpeen korottaa. Tietoverkkorikosvälineen
hallussapito (rikoslain 34 luvun 9 b §),
jonka enimmäisrangaistus on kuusi kuukautta vankeutta,
säilyy ennallaan. Muutoksen myötä tietoverkkorikosvälineen
käyttöön hankkiminen on ankarammin rangaistu
kuin kyseisen välineen hallussapito. Tämä perustuu
siihen, että käyttöön hankkimisen
katsotaan olevan moitittavampaa kuin pelkkä hallussapito,
koska haittaamis- ja vahingoittamistarkoitusta varten hankkiminen
edellyttää aktiivisia toimia välineen
haltuun saamiseksi, kuten aktiivista tiedon etsimistä ja
hankkimista ja esimerkiksi välineen tilaamista internetistä.
35 luku. Vahingonteosta
7 §. Toimenpiteistä luopuminen.
Pykälä on muutettu lailla 673/2014,
joka on tullut voimaan 1.1.2015. Esityksessä ehdotettu
7 § tulee siten sovittaa yhteen voimassa olevan
lain kanssa. Myös johtolausetta tulee tarkistaa.
38 luku. Tieto- ja viestintärikoksista
9 b §. Identiteettivarkaus.
Ehdotettu säännös edellyttää muun
muassa toisen henkilötietojen, tunnistamistietojen tai
muun vastaavan yksilöivän tiedon oikeudetonta
käyttöä kolmannen osapuolen erehdyttämiseksi.
Pykälän yksityiskohtaisten perustelujen mukaan
(s. 36) ilmaisulla "henkilötieto, tunnistamistieto
tai muu yksilöivä tieto" on tarkoitus
kattaa kaikki tiedot, joiden perusteella kolmas osapuoli voi erehtyä luulemaan
tiedon käyttäjää siksi, jota
tieto koskee. Lisäksi todetaan, että "tunnistamistiedolla" tarkoitetaan
esimerkiksi pakkokeinolain 10 luvun 6 §:n mukaan
tilaajaan tai käyttäjään yhdistettävissä olevaa
tietoa, jota viestintäverkossa käsitellään
viestin siirtämiseksi, jakelemiseksi tai tarjolla pitämiseksi.
Täydennyksenä perusteluissa esitettyyn lakivaliokunta
toteaa, että pykälässä tarkoitetuilla
tiedoilla voidaan tarkoittaa myös tietoyhteiskuntakaaren
(917/2014) 1 luvun 3 §:n
40 kohdassa tarkoitettuja välitystietoja.
2. Laki pakkokeinolain 10 luvun 3 ja 6 §:n muuttamisesta
10 luku. Salaiset pakkokeinot
6 §. Televalvonta ja sen edellytykset.
Pykälän 2 momentti on muutettu
lailla 1069/2014, joka on tullut voimaan
1.1.2015. Esityksessä ehdotettu 6 §:n
2 momentti tulee siten sovittaa yhteen voimassa olevan lain kanssa.
Myös johtolausetta tulee tarkistaa.
3. Laki poliisilain 5 luvun 8 §:n muuttamisesta
5 luku. Salaiset tiedonhankintakeinot
8 §. Televalvonta ja sen edellytykset.
Pykälän 2 momentti on muutettu
lailla 1070/2014, joka on tullut voimaan
1.1.2015. Esityksessä ehdotetun 8 §:n
2 momentin yhteensovittamiseksi voimassa olevan lain kanssa momenttia
tulee tarkistaa. Myös johtolausetta on tarpeen
tarkistaa.
5. Laki oikeudenkäymiskaaren 2 luvun 6 §:n muuttamisesta
(Uusi lakiehdotus)
2 luku. Päätösvaltaisuudesta
6 §.
Edellä yleisperusteluissa esittämäänsä viitaten
lakivaliokunta ehdottaa, että rikoslain 38 luvun 8 a §:ssä säädetty
törkeä tietomurto lisätään
nyt käsillä olevan pykälän 1 momentissa olevaan
listaan niistä rikoksista, jotka voidaan käsitellä yhden
tuomarin kokoonpanossa. Lisäyksen vuoksi kohtien numerointi
muuttuu.
