HALLINTOVALIOKUNNAN LAUSUNTO 9/2004 vp

HaVL 9/2004 vp - HE 125/2003 vp

Tarkistettu versio 2.1

Hallituksen esitys sähköisen viestinnän tietosuojalaiksi ja eräiksi siihen liittyviksi laeiksi

Liikenne- ja viestintävaliokunnalle

JOHDANTO

Vireilletulo

Eduskunta on 7 päivänä marraskuuta 2003 lähettäessään hallituksen esityksen sähköisen viestinnän tietosuojalaiksi ja eräiksi siihen liittyviksi laeiksi (HE 125/2003 vp) valmistelevasti käsiteltäväksi liikenne- ja viestintävaliokuntaan samalla määrännyt, että hallintovaliokunnan on annettava asiasta lausunto liikenne- ja viestintävaliokunnalle.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

neuvotteleva virkamies Juhapekka Ristola, liikenne- ja viestintäministeriö

lainsäädäntöneuvos Leena Vettenranta, oikeusministeriö

lainsäädäntöneuvos Kimmo Hakonen, sisäasiainministeriö

neuvotteleva virkamies Mikael Kiviniemi, valtiovarainministeriö

lakimies Miina Ojajärvi, Kuluttajavirasto

johtaja Tapani Rantanen, Viestintävirasto

tietosuojavaltuutettu Reijo Aarnio

tietoturva-asiantuntija Sami Koskinen, Teknillinen korkeakoulu

erityisasiantuntija Pekka Kopra, Suomen Kuntaliitto

osastojohtaja Kari Wirman, Elisa Oyj

Senior Manager Elise Lepinsalo-Harju, Nokia Oyj

kehitysjohtaja Marja-Liisa Virtanen, TeliaSonera Finland Oyj

hallituksen jäsen, filosofian tohtori Kai Puolamäki, Electronic Frontier Finland - EFFI ry

lainsäädäntöjohtaja Eeva Laatikainen, FiCom ry

projektipäällikkö Antti Kotilainen ja Internet-tarkastaja Ilkka Vuorenmaa, Tekijänoikeuden tiedotus- ja valvontakeskus

professori Olli Mäenpää

professori Kaarlo Tuori

Lisäksi kirjallisen lausunnon ovat antaneet

  • Finnet-liitto ry
  • Palkansaajajärjestö Pardia ry
  • Julkisalan koulutettujen neuvottelujärjestö JUKO ry
  • Valtion yhteisjärjestö VTY ry.

HALLITUKSEN ESITYS

Esityksessä ehdotetaan säädettäväksi uusi sähköisen viestinnän tietosuojalaki sekä muutettavaksi eräitä muita lakeja. Ehdotetulla lailla kumottaisiin yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annettu laki ja sen nojalla annetut asetukset. Ehdotetulla lailla pantaisiin täytäntöön henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annettu Euroopan parlamentin ja neuvoston direktiivi sekä kuluttajille tarkoitettujen rahoituspalvelujen etämyynnistä annetun Euroopan parlamentin ja neuvoston direktiivin 10 artikla.

Esityksellä toteutettaisiin yksityisyyden suojan sääntelyn kokonaistarkistus sähköisessä viestinnässä. Esityksen tavoitteena on turvata sähköisen viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen sekä edistää sähköisen viestinnän tietoturvaa ja monipuolisten sähköisen viestinnän palvelujen tasapainoista kehittymistä.

Esityksellä pyrittäisiin täsmentämään ja selkeyttämään tunnistamistietojen käsittelyä koskevia säännöksiä voimassa olevan televiestinnän tietosuojalain keskeiset periaatteet säilyttäen. Esityksessä ehdotetaan, että tunnistamistietojen käsittelyoikeudet ja velvollisuudet koskisivat myös viestinnän osapuolten kannalta sivullista yhteisötilaajaa, jolla tarkoitetaan viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yhteisöä, joka käsittelee viestintäverkossaan käyttäjien luottamuksellisia viestejä, tunnistamistietoja tai paikkatietoja. Yhteisötilaajan aseman täsmentämisellä ei vähennetä oikeushenkilöille viestinnän osapuolina kuuluvia oikeuksia. Lisäksi ehdotetaan, että teleyrityksen olisi tallennettava tunnistamistietojen käsittelyä koskevat yksityiskohtaiset tapahtumatiedot kahden vuoden ajaksi.

Esityksessä ehdotetaan uusia säännöksiä evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentamisesta käyttäjän päätelaitteelle ja näiden tietojen käytöstä.

Esityksessä ehdotetaan uusia paikkatietojen käsittelyä koskevia säännöksiä. Esityksen mukaan tilaajaan tai käyttäjään yhdistettävissä oleviin paikkatietoihin perustuvan palvelun toteuttamiseksi tilaajalla tulisi olla mahdollisuus kieltää paikkatietojen käsittely ja paikannettavalta tulisi hankkia palvelukohtainen suostumus paikkatietojen käsittelyyn.

Teleyrityksellä, lisäarvopalvelun tarjoajalla tai yhteisötilaajalla olisi esityksen mukaan oikeus tietyin edellytyksin ryhtyä tietoturvaloukkausten torjumiseksi ja tietoturvaan kohdistuvien häiriöiden poistamiseksi välttämättömiin toimiin estämällä sähköpostiviestien, tekstiviestien ja muiden vastaavien viestien vastaanottaminen, poistamalla haittaohjelmat viesteistä sekä toteuttamalla muut välttämättömät toimenpiteet.

Teleyrityksen olisi esityksen mukaan annettava käyttäjän sitä pyytäessä täydellinen laskun yhteyskohtainen erittely.

Esityksessä ehdotetaan täsmennettäväksi useita suoramarkkinointia koskevia säännöksiä. Samalla ehdotetaan, että teleyrityksellä ja yhteisötilaajalla olisi käyttäjän suostumuksella oikeus estää ei-toivotun suoramarkkinoinnin vastaanottaminen.

Käyttäjälle ehdotetaan säädettäväksi oikeus saada teleyritykseltä käyttäjän liittymän tai päätelaitteen tunnistamistiedot, jotka ilmaisevat liittymän tai päätelaitteen sijainnin tietyllä hetkellä.

Esityksessä ehdotetaan, että ilmoituksenvaraista tai toimiluvanvaraista toimintaa harjoittava teleyritys olisi velvollinen suorittamaan Viestintävirastolle vuotuisen tietoturvamaksun.

Esityksessä ehdotetaan, että tietoyhteiskunnan palvelun tarjoaja voisi käsitellä teleyrityksen hallinnoiman viestintäverkon välityksellä tarjottavien kuvatallenteiden, äänitallenteiden ja muiden maksullisten palvelujensa laskutusta varten välttämättömiä tunnistamistietoja ja muita laskutuksen kannalta välttämättömiä tietoja, jos tilaaja tai käyttäjä, jota tiedot koskevat, on antanut siihen suostumuksensa. Ehdotetun säännöksen mukaan tietoyhteiskunnan palvelun tarjoajalla on oikeus saada teleyritykseltä edellä tarkoitetut tiedot. Tietojen käsittelyyn sovellettaisiin lisäarvopalveluntarjoajaa koskevia säännöksiä.

Poliisilain tiedonsaantia koskevaa pykälää ehdotetaan täydennettäväksi siten, että salaisten puhelinnumeroiden lisäksi poliisi saisi teleyrityksiltä ja yhteisötilaajilta telepäätelaitteiden tai liittymien yksilöivät tiedot, jos näitä tietoja yksittäistapauksissa tarvittaisiin poliisille kuuluvien tehtävien suorittamiseksi.

Esityksessä ehdotetaan tehtäväksi ehdotetun lain nimen mukaiset säädöstekniset muutokset rikoslakiin, viestintämarkkinalakiin, hätäkeskuslakiin, viestintähallinnosta annettuun lakiin, meripelastuslakiin ja henkilötietojen käsittelystä poliisitoimessa annettuun lakiin.

Ehdotetut lait on tarkoitettu tulemaan voimaan mahdollisimman pian sen jälkeen, kun ne on hyväksytty ja vahvistettu.

VALIOKUNNAN KANNANOTOT

Perustelut

Esityksen tavoitteet

Hallituksen esityksen tarkoituksena on ajantasaistaa sähköistä viestintää koskevaa lainsäädäntöä ja panna kansallisesti täytäntöön sähköisen viestinnän tietosuojadirektiivi (2002/58/EY). Henkilötietojen käsittelyyn sähköisen viestinnän alalla sovelletaan lisäksi yleisen henkilötietodirektiivin (95/46/EY) määräyksiä. Kansallisesti henkilötietojen käsittelyyn sovelletaan säädettävän sähköisen viestinnän tietosuojalain rinnalla täydentävästi henkilötietolain (523/1999) säännöksiä.

Ajankohtaisena ja erittäin tärkeänä tavoitteena sähköisen viestinnän tietosuojalailla on kohentaa yleistä luottamusta sähköiseen viestintään ja erityisesti luottamuksellisten viestien suojaan sekä vahvistaa tietoturvallisuutta ja rajoittaa sähköisen viestinnän väärinkäyttöä.

Vaikeaselkoisuus

Ehdotetun sähköisen viestinnän tietosuojalain suurimmat ongelmat liittyvät sen vaikeaselkoisuuteen. Lakiehdotuksen normatiivisen sisällön hahmottamista vaikeuttavat kieliasu, omaksutut systemaattiset ratkaisut ja myös se seikka, että asiakokonaisuus on monimutkainen. Ehdotus sääntelee asioita, joilla on nykyisessä tietoyhteiskunnassa merkitystä laajalti kansalaisille. Lisäksi lain sisältämiä valtuuksia, jotka kytkeytyvät läheisesti perustuslaissa taattuun yksityiselämän suojaan, luottamuksellisen viestin salaisuuteen ja sananvapauteen, käyttävät paljolti muut kuin viranomaiset — teleyritysten ja yhteisötilaajien palveluksessa olevat.

Valiokunta toteaa myös, että käsitteiden määrittelyyn lakitekstissä tulee kiinnittää erityistä huomiota varsinkin, kun on kysymys termeistä, jotka eivät ole vielä levinneet yleiskieleen.

Esityksen kielelliset ongelmat johtunevat ainakin osittain siitä, että kysymys on direktiivin implementoinnista kansalliseen lainsäädäntöön. Tähän seikkaan, jossa on ollut havaittavissa kaksi yleistä ongelmaa, on syytä kiinnittää tässä yhteydessä laajemminkin huomiota. Joissakin tapauksissa direktiivit on implementoitu siten, että kansalliseen lainsäädäntöön on otettu vain yleinen viittaus direktiivin määräyksiin. Implementointi on toisinaan taas toteutettu siten, että direktiivi on artikloittain käännetty suomeksi ilman, että määräyksiä olisi sopeutettu oikeusjärjestyksemme systematiikkaan tai kansallisiin lakitekstien muotoilua ja systematiikkaa koskeviin traditioihin. Kuitenkin direktiivit mahdollistavat — ja itse asiassa niiden tarkoituksena onkin mahdollistaa — kansallisten oikeusjärjestysten erityispiirteiden huomioon ottaminen, kun niiden normatiivinen sisältö siirretään osaksi jäsenvaltion oikeutta. Hallintovaliokunta esittääkin, että liikenne- ja viestintävaliokunta kiinnittää lausuman muodossa huomiota tähän ongelmakenttään.

Hallinnolliset vaikutukset

Lakiehdotuksella sähköisen viestinnän tietosuojalaiksi ei ole suoranaisia hallinnollisia vaikutuksia. Säädettävä laki kuitenkin edistää ja varmistaa sähköistä asiointia hallinnossa. Esityksen perustelujen mukaan sähköisen asioinnin lisääntyminen voisi hillitä henkilöstötarpeen kasvua julkishallinnossa.

Uusi laki sääntelee paljolti teleyritysten ja asiakkaiden välisiä suhteita, minkä vuoksi sen säännökset eivät välittömästi kohdistu hallintoviranomaisten toimintaan. Koska sähköinen viestintä tapahtuu keskeisesti viestintämarkkinoilla yksityisten teleyritysten ja palveluntarjoajien yritystoiminnan perusteella, on luontevaa, että laissa ei juurikaan määritellä viranomaisten toimivaltuuksia — vaan ainoastaan niiden valvontatehtäviä. Myöskin merkittävimmät toimivaltuudet tulevat lakiehdotuksen perusteella yksityisten teleyritysten käytettäviksi, esimerkiksi toimenpiteet tietoturvan toteuttamiseksi.

Sähköisen viestinnän tietosuojalain noudattamisen valvonnassa keskeinen asema tulee olemaan Viestintävirastolla. Myös tietosuojavaltuutetun valvontatehtävät laajenevat. Nämä uuden lain välilliset hallinnolliset vaikutukset ovat perusteltuja. Toimialansa perusteella valiokunta pitää tärkeänä, että tietosuojavaltuutetulle kuuluvien tehtävien hoitamiseen on käytettävissä asianmukaiset voimavarat.

Asiakkaan asema ja oikeusturva

Lakiehdotuksessa on kiinnitetty varsin vähän huomiota teleyrityksen asiakkaan oikeuksiin ja oikeusturvaan erityisesti silloin, kun teleyritys käyttää sähköisen viestinnän tietosuojalain 20 §:n nojalla toimivaltuuksiaan tietoturvaloukkausten torjumiseksi ja tietoturvaan kohdistuvien häiriöiden poistamiseksi.

Asiakkaalla ei lakiehdotuksen perusteella ole mahdollisuutta riitauttaa hänen viestintäänsä kohdistuvia varsin ankariakin rajoituksia eikä hän voi saattaa menettelyn lainmukaisuutta tuomioistuimen arvioitavaksi — ainakaan nopealla ja joustavalla tavalla. Asiakkaalle ei edes tarvitsisi ilmoittaa, että häntä estetään vastaanottamasta viestejä tai että hänelle tulevien viestien sisältöön puututaan. Tämä seikka on erityisen ongelmallinen yritystoiminnan kannalta, koska yritykset ovat merkittävässä määrin riippuvaisia muun muassa sähköpostiliikenteen moitteettomasta toimivuudesta. Todennäköisesti Viestintävirastolle ja tietosuojavaltuutetulle kuuluva valvontatehtävä ei takaa riittävästi asiakkaan oikeusturvaa. Myös asiakkaalle aiheutuvien välittömien vahinkojen korvaamiselle olisi säädettävässä laissa määriteltävä pelisäännöt.

Suoramarkkinoinnista

Luonnolliselle henkilölle sähköisen viestinnän avulla suunnattu suoramarkkinointi edellyttää ehdotetun sähköisen viestinnän tietosuojalain 26 §:n 1 momentin nojalla henkilön nimenomaista suostumusta. Tältä osin valiokunta tähdentää sitä, ettei suoramarkkinointia toteuteta tavalla, joka saattaa johtaa vahingossa tai huomaamattomuudesta annettuun suostumukseen.

Suoramarkkinointia yhteisölle saa 27 §:n 1 momentin perusteella harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt. Yhteisölle on annettava pykälän 2 momentin mukaisesti mahdollisuus helposti ja ilman erillistä maksua kieltää sähköinen suoramarkkinointi. Saadun selvityksen mukaan sääntelyllä on haluttu asettaa suomalaiset suoramarkkinoijat samaan asemaan muiden EU-maiden suoramarkkinoijien kanssa.

Valiokunta toteaa, että sääntelyä ollaan nyt selkeyttämässä niin, että kaikkiin yritysosoitteisiin ei sähköistä suoramarkkinointia voida lähettää, vaan ainoastaan sellaisiin, joissa henkilön asemavaltuuden perusteella voidaan olettaa vastaavan kyseessä olevan tuotteen tai palvelun hankinnasta.

Viranomaisten tiedonsaantioikeudesta

Ehdotetun sähköisen viestinnän tietosuojalain 36 §:ssä säädetään eräiden muiden viranomaisten kuin ohjaus- ja valvontaviranomaisten tiedonsaantioikeudesta. Pykälän 2 momentin 2 kohdassa mainitaan ainoastaan tilaajan suostumukseen perustuva tietojensaanti. Käytännössä on tullut ilmi, että matkaviestimeen vaihdetaan anastuksen jälkeen usein uusi liittymäkortti. Päätelaitteen omistajaa ei voitane pitää tällaisessa tilanteessa enää tilaajana. Hallintovaliokunta esittääkin kyseisen kohdan muuttamista seuraavasti: "tilaajan tai päätelaitteen omistajan suostumuksella matkaviestimestä lähetettyjä viestejä koskevat tunnistamistiedot siltä osin kuin se on tarpeen sellaisen rikoksen selvittämiseksi, jonka johdosta matkaviestin tai siinä käytetty liittymä on oikeudettomasti toisen hallussa."

Tunnistamistietojen tallettamisesta

Sähköisen viestinnän tietosuojadirektiiviä valmisteltaessa lainvalvontaviranomaiset ovat kiinnittäneet huomiota tunnistamistietojen säilyttämisaikoihin. Niistä säätäminen on kuitenkin jätetty jäsenvaltioiden kansallisten toimenpiteiden varaan. Oikeus- ja sisäasiainneuvosto on sittemmin kehottanut komissiota laatimaan ehdotuksia, joiden tarkoituksena on varmistaa, että lainvalvontaviranomaisilla on mahdollisuus tutkia rikoksia, joissa on käytetty sähköisen viestinnän järjestelmiä, sekä ryhtyä toimiin tekijöitä vastaan.

Ehdotus sähköisen viestinnän tietosuojalaiksi ei sisällä yleisiä säännöksiä viestinnän tunnistamistietojen tallettamisvelvollisuudesta. Hallituksen esityksen valmistelun yhteydessä asia on ollut esillä törkeiden rikosten ennalta ehkäisemisen ja jälkikäteisen selvittämisen näkökulmasta. Esimerkinomaisina rikostyyppeinä on mainittu lapsipornon ja rasistisen materiaalin levittäminen sekä terrorismirikokset. Nyttemmin liikenne- ja viestintäministeriö on asettanut (9.2.2004) sähköisen viestinnän tunnistamistietojen tallettamista arvioivan työryhmän, jonka työn tavoitteena on luoda säädösympäristö, jossa on muun muassa otettu huomioon turvallisuusviranomaisten tarpeet rikosten selvittämisessä ja ennaltaehkäisyssä sekä kansallisen turvallisuuden osalta.

Vaikka esitykseen ei sisälly yleistä tunnistamistietojen tallettamisvelvollisuutta teleyritykset, lisäarvopalvelun tarjoajat ja yhteisötilaajat voivat tallettaa tunnistamistietoja ehdotetussa laissa yksilöityjen tarkoitusten toteuttamiseksi, kuten palvelun väärinkäytösten selvittämiseksi ja laskutuksen mahdollistamiseksi. Tosiasiassa useimmissa tapauksissa teleyrityksillä ovatkin olleet poliisin kannalta tarvittavat tunnistamistiedot hallussaan ilman erityistä tallentamisvelvollisuuttakin. Joka tapauksessa asiasta on syytä säätää lakitasoiset normit erillisen valmistelun pohjalta.

Telepäätelaitteen tai liittymän yksilöivät tiedot

Hallituksen esitykseen sisältyvän poliisilain (493/1995) muutoksen myötä poliisilla on oikeus saada sekä teleyritykseltä että yhteisötilaajalta telepäätelaitteen tai liittymän yksilöivät tiedot, jos tietoja yksittäistapauksessa tarvitaan poliisille kuuluvan tehtävän hoitamiseksi. Telepääte voi olla esimerkiksi kiinteän liittymän puhelin, matkapuhelin tai tietokone.

Lakiehdotus poliisilain muuttamiseksi on tarpeellinen ja perusteltu. Nykyisin käytännön ongelmaksi on muodostunut se, että niin sanottujen dynaamisten eli yhteyskohtaisesti muodostettavien IP-osoitteiden tietoja tai niiden haltijoiden yhteystietoja poliisi ei ole voimassa olevan poliisilain 36 §:n 2 momentin nojalla saanut. Ehdotuksen hyväksymisen myötä sääntely selkiytyy ja poliisilla on oikeus saada tiedot puhelinliittymien yhteystiedoista sekä staattisten ja dynaamisten IP-osoitteiden haltijatiedoista. Tämän lisäksi poliisi saa yhteystiedot myös telepäätelaitteiden IMEI-koodeista. Poliisin suorittaman televalvonnan välttämiseksi rikolliset käyttävät teleliittymiä, joiden numerot tai yksilöintitiedot eivät ole vapaasti saatavilla. Tällaisia ovat esimerkiksi ennaltamaksetut niin sanotut prepaid-liittymät, joita Suomessa ei rekisteröidä. IMEI-koodin avulla päätelaitteen yksilöinti on mahdollista.

Valiokunta huomauttaa, että säädettävä poliisilain 36 §:n 2 momentti ei oikeuta televalvontaan, vaikka liittymän tai päätelaitteen tilaajan tai käyttäjän selvittämiseksi olisikin tarpeen käsitellä tunnistamistietoja. Poliisilain muutos helpottaa kuitenkin pakkokeinolain (450/1987) mukaisen hakemuksen kohdistamista vain niihin päätelaitteisiin, joita epäillään käytettävän rikolliseen toimintaan. Yksilöintitietojen perusteella poliisi voi tarvittaessa hakea esimerkiksi erillistä telekuuntelulupaa tuomioistuimelta. Kyseisiä tietoja on mahdollista käyttää myös henkilöiden tavoittamisen tarkoituksessa, erityisesti kadonneen tai onnettomuuden uhriksi joutuneen etsinnässä.

Lausunto

Lausuntonaan hallintovaliokunta esittää,

että liikenne- ja viestintävaliokunta ottaa huomioon, mitä edellä on esitetty.

Helsingissä 5 päivänä toukokuuta 2004

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Matti Väistö /kesk
  • vpj. Veijo Puhjo /vas
  • jäs. Sirpa Asko-Seljavaara /kok
  • Nils-Anders Granvik /r
  • Lasse Hautala /kesk
  • Hannu Hoskonen /kesk
  • Esko Kurvinen /kok
  • Kari Kärkkäinen /kd
  • Rosa Meriläinen /vihr
  • Heli Paasio /sd
  • Juha Rehula /kesk
  • Satu Taiveaho /sd
  • Tapani Tölli /kesk
  • Ahti Vielma /kok

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos  Ossi Lantto