LiVM 13/2004 vp HE 125/2003 vp
Hallituksen esitys sähköisen viestinnän tietosuojalaiksi ja eräiksi siihen liittyviksi laeiksi

LiVM 13/2004 vp - HE 125/2003 vp Hallituksen esitys sähköisen viestinnän tietosuojalaiksi ja eräiksi siihen liittyviksi laeiksi

JOHDANTO

Vireilletulo

Eduskunta on 7 päivänä marraskuuta 2003 lähettänyt liikenne- ja viestintävaliokuntaan valmistelevasti käsiteltäväksi hallituksen esityksen sähköisen viestinnän tietosuojalaiksi ja eräiksi siihen liittyviksi laeiksi ( HE 125/2003 vp).

Lausunnot

Eduskunnan päätöksen mukaisesti perustuslakivaliokunta ja hallintovaliokunta ovat antaneet asiasta lausuntonsa (PeVL 9/2004 vp ja HaVL 9/2004 vp), jotka on otettu tämän mietinnön liitteiksi.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

  • kansanedustaja Jyrki Kasvi , eduskunta
  • neuvotteleva virkamies Juhapekka Ristola , liikenne- ja viestintäministeriö
  • lainsäädäntöneuvos Leena Vettenranta , oikeusministeriö
  • lainsäädäntöneuvos Kimmo Hakonen , neuvotteleva virkamies Kaarlo Korvola , sisäasiainministeriö
  • tietosuojavaltuutettu Reijo Aarnio , Tietosuojavaltuutetun toimisto
  • lakimies Miina Ojajärvi , Kuluttajavirasto
  • johtaja Tapani Rantanen , tietoturvallisuusyksikön päällikkö Timo Lehtimäki , Viestintävirasto
  • rikostarkastaja Ari Määttä , keskusrikospoliisi
  • lakimies Heli Malmi , suojelupoliisi
  • tietoturvallisuuspäällikkö Antti Järvinen , Yleisradio
  • osastonjohtaja Kari Wirman , Elisa Communications
  • teknologiajohtaja Ari Hyppönen , F-Secure Oyj
  • tietohallintojohtaja Jouni Keronen , Fortum Oyj
  • toimitusjohtaja Kari Taskinen , Hand Held Systems Oy
  • johtaja, tietoyhteiskunta-asiat Mikael Jungner , Microsoft Oy
  • director corporate relations, chief security officer Urho Ilmonen , Nokia Oyj
  • pankkilakimies Esa Kainulainen , Nordea Pankki Suomi Oyj
  • pankkilakimies Taina Kallio-Miettinen , Osuuspankkikeskus
  • kehitysjohtaja Marja-Liisa Virtanen , TeliaSonera Finland Oyj
  • lakimies Eeva Laatikainen , FiCom
  • lakimies Minna Aalto-Setälä , Finnet-liitto ry
  • toimitusjohtaja Jari Perko , Suomen Suoramarkkinointiliitto
  • lainopillinen asiamies Riikka Tähtivuori , Suomen Yrittäjät
  • projektipäällikkö Antti Kotilainen , Internet-tarkastaja Ilkka Vuorenmaa , Tekijänoikeuden tiedotus- ja valvontakeskus
  • osastopäällikkö Hannele Pohjola , Teollisuuden ja Työnantajain Keskusliitto TT
  • johtaja Valtteri Niiranen , Viestinnän Keskusliitto
  • lakimies Elli Myllylä , Suomen Pankkiyhdistys
  • hallituksen puheenjohtaja Arto Kangas , Tietoturva ry
  • professori Arto Karila
  • OTT, perheoikeuden dosentti Kirsti Kurki-Suonio
  • diplomi-insinööri Hannu Haaranen

Lisäksi kirjallisen lausunnon on antanut

  • MTV Oy.

HALLITUKSEN ESITYS

Hallituksen esitys

Esityksessä ehdotetaan säädettäväksi uusi sähköisen viestinnän tietosuojalaki sekä muutettavaksi eräitä muita lakeja. Ehdotetulla lailla kumottaisiin yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annettu laki ja sen nojalla annetut asetukset. Ehdotetulla lailla pantaisiin täytäntöön henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annettu Euroopan parlamentin ja neuvoston direktiivi sekä kuluttajille tarkoitettujen rahoituspalvelujen etämyynnistä annetun Euroopan parlamentin ja neuvoston direktiivin 10 artikla.

Esityksellä toteutettaisiin yksityisyyden suojan sääntelyn kokonaistarkistus sähköisessä viestinnässä. Esityksen tavoitteena on turvata sähköisen viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen sekä edistää sähköisen viestinnän tietoturvaa ja monipuolisten sähköisen viestinnän palvelujen tasapainoista kehittymistä.

Esityksellä pyrittäisiin täsmentämään ja selkeyttämään tunnistamistietojen käsittelyä koskevia säännöksiä voimassa olevan televiestinnän tietosuojalain keskeiset periaatteet säilyttäen. Esityksessä ehdotetaan, että tunnistamistietojen käsittelyoikeudet ja velvollisuudet koskisivat myös viestinnän osapuolten kannalta sivullista yhteisötilaajaa, jolla tarkoitetaan viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yhteisöä, joka käsittelee viestintäverkossaan käyttäjien luottamuksellisia viestejä, tunnistamistietoja tai paikkatietoja. Yhteisötilaajan aseman täsmentämisellä ei vähennetä oikeushenkilöille viestinnän osapuolina kuuluvia oikeuksia. Lisäksi ehdotetaan, että teleyrityksen olisi tallennettava tunnistamistietojen käsittelyä koskevat yksityiskohtaiset tapahtumatiedot kahden vuoden ajaksi.

Esityksessä ehdotetaan uusia säännöksiä evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentamisesta käyttäjän päätelaitteelle ja näiden tietojen käytöstä.

Esityksessä ehdotetaan uusia paikkatietojen käsittelyä koskevia säännöksiä. Esityksen mukaan tilaajaan tai käyttäjään yhdistettävissä oleviin paikkatietoihin perustuvan palvelun toteuttamiseksi tilaajalla tulisi olla mahdollisuus kieltää paikkatietojen käsittely ja paikannettavalta tulisi hankkia palvelukohtainen suostumus paikkatietojen käsittelyyn.

Teleyrityksellä, lisäarvopalvelun tarjoajalla tai yhteisötilaajalla olisi esityksen mukaan oikeus tietyin edellytyksin ryhtyä tietoturvaloukkausten torjumiseksi ja tietoturvaan kohdistuvien häiriöiden poistamiseksi välttämättömiin toimiin estämällä sähköpostiviestien, tekstiviestien ja muiden vastaavien viestien vastaanottaminen, poistamalla haittaohjelmat viesteistä sekä toteuttamalla muut välttämättömät toimenpiteet.

Teleyrityksen olisi esityksen mukaan annettava käyttäjän sitä pyytäessä täydellinen laskun yhteyskohtainen erittely.

Esityksessä ehdotetaan täsmennettäväksi useita suoramarkkinointia koskevia säännöksiä. Samalla ehdotetaan, että teleyrityksellä ja yhteisötilaajalla olisi käyttäjän suostumuksella oikeus estää ei-toivotun suoramarkkinoinnin vastaanottaminen.

Käyttäjälle ehdotetaan säädettäväksi oikeus saada teleyritykseltä käyttäjän liittymän tai päätelaitteen tunnistamistiedot, jotka ilmaisevat liittymän tai päätelaitteen sijainnin tietyllä hetkellä.

Esityksessä ehdotetaan, että ilmoituksenvaraista tai toimiluvanvaraista toimintaa harjoittava teleyritys olisi velvollinen suorittamaan Viestintävirastolle vuotuisen tietoturvamaksun.

Esityksessä ehdotetaan, että tietoyhteiskunnan palvelun tarjoaja voisi käsitellä teleyrityksen hallinnoiman viestintäverkon välityksellä tarjottavien kuvatallenteiden, äänitallenteiden ja muiden maksullisten palvelujensa laskutusta varten välttämättömiä tunnistamistietoja ja muita laskutuksen kannalta välttämättömiä tietoja, jos tilaaja tai käyttäjä, jota tiedot koskevat, on antanut siihen suostumuksensa. Ehdotetun säännöksen mukaan tietoyhteiskunnan palvelun tarjoajalla on oikeus saada teleyritykseltä edellä tarkoitetut tiedot. Tietojen käsittelyyn sovellettaisiin lisäarvopalveluntarjoajaa koskevia säännöksiä.

Poliisilain tiedonsaantia koskevaa pykälää ehdotetaan täydennettäväksi siten, että salaisten puhelinnumeroiden lisäksi poliisi saisi teleyrityksiltä ja yhteisötilaajilta telepäätelaitteiden tai liittymien yksilöivät tiedot, jos näitä tietoja yksittäistapauksissa tarvittaisiin poliisille kuuluvien tehtävien suorittamiseksi.

Esityksessä ehdotetaan tehtäväksi ehdotetun lain nimen mukaiset säädöstekniset muutokset rikoslakiin, viestintämarkkinalakiin, hätäkeskuslakiin, viestintähallinnosta annettuun lakiin, meripelastuslakiin ja henkilötietojen käsittelystä poliisitoimessa annettuun lakiin.

Ehdotetut lait on tarkoitettu tulemaan voimaan mahdollisimman pian sen jälkeen, kun ne on hyväksytty ja vahvistettu. Sähköisen viestinnän tietosuojadirektiivi tulisi panna täytäntöön 31 päivänä lokakuuta 2003.

VALIOKUNNAN KANNANOTOT

Yleisperustelut

Hallituksen esityksen perusteluista ilmenevistä syistä ja saamansa selvityksen perusteella valiokunta pitää esitystä tarpeellisena ja tarkoituksenmukaisena. Valiokunta puoltaa lakiehdotuksen hyväksymistä seuraavin huomautuksin ja muutosehdotuksin.

Yleistä

Lakiesityksessä on kysymys yleislaista sähköisen viestinnän alueella ja toisaalta erityislaista esimerkiksi henkilötietojen käsittelystä sähköisessä viestinnässä. Lakiesityksellä on siten liittymäkohtia monia elämänalueita koskevaan erityissääntelyyn, ja sillä on keskeinen merkitys myös perustuslain 22 §:n julkisen vallan perusoikeuksien turvaamisvelvollisuuden toteuttamisen kannalta. Sääntely kohdistuu uuteen ja monimuotoiseen teknissosiaaliseen toimintaympäristöön, jossa samankaltaisia toimintoja toteutetaan hyvinkin erilaisin teknisin välinein ja sovelluksin. Lisäksi nämä välineet ja sovellukset kehittyvät poikkeuksellisen nopeasti, joten sääntely on laadittava mahdollisimman teknologianeutraaliksi. Tämä nostaa väistämättä sääntelyn abstraktiotasoa.

Lakiesityksen soveltamisala on varsin laaja, ja se kattaa kaikenlaiset välineet, joilla viestejä välitetään tai lähetetään tilanteesta riippuen joko yleisissä viestintäverkoissa tai myös muissa kuin yleisissä viestintäverkoissa. Viestinnän ja tunnistamistietojen luottamuksellisuus koskee viestintäverkoissa välitettäviä viestejä ja käyttäjien päätelaitteella fyysisesti sijaitsevia viestejä, esimerkiksi vastaanotettuja sähköpostiviestejä. Valiokunta korostaa, että luottamuksellisen viestin suoja ulottuu myös päätelaitteelle vastaanotettaviksi tallentuneisiin viesteihin. Myöskään ehdotetun 4 ja 5 §:n sanamuoto ei rajaa miltään osin luottamuksellisen viestin suojaa pelkästään verkoissa liikkuviin viesteihin.

Valtaosa esityksessä käytetyistä käsitteistä ja lähestymistavoista tulee suoraan toisista laeista, kuten yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annetusta laista (esimerkiksi soveltamisala, tunnistamistieto, tietoturva, tilaaja, käyttäjä, tilaajaluettelo), viestintämarkkinalaista (kuten teleyritys, viestintäpalvelu, verkkopalvelu, viestintäverkko, yleinen viestintäverkko), henkilötietolaista (käsittely laajassa merkityksessään) ja tietoyhteiskunnan palvelujen tarjoamisesta annetusta laista (tietoyhteiskunnan palvelun tarjoaja).

Sääntelyllä pannaan kansallisesti täytäntöön sähköisen viestinnän tietosuojadirektiivi, joka on sanamuodoltaan monin paikoin hyvinkin vaikeaselkoinen ja monimutkainen sekä osin termistöltään vieras ainakin suomalaiselle yleiskielelle. Tästä esimerkkinä voidaan mainita, että direktiivin määrittelemä sähköpostiviesti kattaa myös tekstiviestin, jota on Suomessa totuttu käsittelemään eri viestimuotona. Vastaava ongelma muodostuu termistä lisäarvopalvelu, joka direktiivin mukaan tarkoitti lähinnä paikkatietoihin perustuvia palveluja. Saatettaessa voimaan ns. sähkökauppadirektiivi lailla tietoyhteiskunnan palvelujen tarjoamisesta (458/2002) suomalaisen yleiskielen mukainen lisäarvopalvelu otettiin Suomessa sisällöllisesti käyttöön terminä tietoyhteiskunnan palvelu. Nyt käsiteltävänä olevassa esityksessä on säänneltävien ilmiöiden runsaudesta johtuen käytetty rinnan sekä käsitettä lisäarvopalvelu että tietoyhteiskunnan palvelu.

Lain käsitteistö

Hallintovaliokunta on lausunnossaan HaVL 9/2004 vpHE 125/2003 vp todennut, että käsitteiden määrittelyyn lakitekstissä tulee kiinnittää erityistä huomiota varsinkin, kun on kysymys termeistä, jotka eivät ole vielä levinneet yleiskieleen. Liikenne- ja viestintävaliokunta toteaa, että sääntelyn kohteena on tekninen kokonaisuus, jonka erityispiirteet asettavat korkeat vaatimukset esityksen muotoilulle. Hallituksen esityksessä käsitteet on pyritty lakiteksteissä määrittelemään sekä perusteluissa selittämään hyvinkin seikkaperäisesti. Lain käsitteistö avautuukin alan erityissanaston hallitseville, mutta valiokunta korostaa, että tulee kuitenkin pyrkiä siihen, että lakiteksti on selkeä myös tavallisen kansalaisen kannalta. Valiokunta katsookin saamiensa lausuntojen ja asiantuntijakuulemisen perusteella, että joitain lakitekstin muotoiluja on tarpeen täsmentää ja että joitain käsitteitä on syytä selventää mietinnön yleisperusteluissa.

Tunnistamistieto.

Esityksen keskeisimpiä käsitteitä on tunnistamistieto. Tunnistamistiedolla tarkoitetaan tilaajaan tai käyttäjään yhdistettävissä olevaa tietoa, jota viestintäverkoissa käsitellään viestien siirtämiseksi, jakelemiseksi tai tarjolla pitämiseksi. Tunnistamistietoihin voi kuulua tietoja, jotka viittaavat muun muassa viestinnän reititykseen, kestoon, ajankohtaan tai siirrettävän tiedon määrään, käytettyyn protokollaan, lähettäjän tai vastaanottajan päätelaitteen sijaintiin tietyn tukiaseman alueella, lähettävään tai vastaanottavaan verkkoon ja yhteyden alkuun, loppuun tai kestoon. Tiedot voivat myös koskea muotoa, jossa viesti välitetään verkossa. Olennaista on, että näiden tietojen tulee olla yhdistettävissä tilaajaan tai käyttäjään. Tunnistamistiedon käsitteen kannalta on huomattava, että tilaaja, johon tunnistamistieto voidaan yhdistää, voi olla luonnollisen henkilön lisäksi myös oikeushenkilö.

Tunnistamistiedon käsitettä ei ole rajattu pelkästään viestintäverkoissa käsiteltäviin tietoihin, vaan sillä tarkoitetaan myös viestintäverkoissa olevia tietoja, joita käsitellään tiettyihin tarkoituksiin eli viestien siirtämiseen, jakeluun ja tarjolla pitämiseen. Käyttötarkoituksen avulla tehty rajaus rajaa tunnistamistiedon käsitteen tarkoituksenmukaisella tavalla; liian tarkkarajainen rajaus tässä kohtaa saattaisi mahdollistaa ehdotetun sääntelyn vaivattoman kiertämisen ja aiheuttaa sen, että lakia jouduttaisiin teknologian kehityksen myötä muuttamaan hyvinkin pian. Erilaisten käyttötarkoitusten toteuttamisen monimuotoisuudesta johtuen on täysin mahdotonta määritellä konkreettisin esimerkein ja kattavasti tunnistamistiedon käsitteen yhteydessä täsmällisiä rajapintoja palveluihin, verkkoihin ja päätelaitteisiin. Sääntelyssä on välttämätöntä pyrkiä teknologianeutraaliuteen, eikä esimerkiksi yksittäisellä teknisellä toteuttamistavalla voi olla olennaista merkitystä tunnistamistietojen määritelmän kannalta. Jo esityksen antamisen jälkeen on tullut harkittavaksi muiden muassa se, tulisiko uusi laki sovellettavaksi ns. blue tooth -teknologialla toteutettuun suoramarkkinointiin, mikä on esimerkki siitä, että uusia teknologisia toimintatapoja otetaan käyttöön kuukausittain.

Tunnistamistiedon määritelmää on äärimmäisen vaikea selkeyttää olennaisesti nyt esitetystä määritelmästä. Tunnistamistieto vastaa jo voimassa olevan televiestinnän tietosuojalain tunnistamistiedon käsitettä, jolla tarkoitetaan tilaajan tai käyttäjän liittymän numeroa tai teleyhteyden toteuttamisessa syntynyttä tai tallentunutta muuta tunnistetta tai tietoa. Nyt esitetyssä laissa tunnistamistiedolla tarkoitetaan tilaajaan tai käyttäjään yhdistettävissä olevaa tietoa, jota viestintäverkoissa käsitellään viestien siirtämiseksi, jakelemiseksi tai tarjolla pitämiseksi. Sähköisen viestinnän tietosuojadirektiivin liikennetiedon käsite on määritelty laajasti koskemaan kaikkia tietoja, joita käsitellään sähköisessä viestintäverkossa välitettävää viestintää tai sen laskutusta varten. Esityksen mukaista tunnistamistiedon käsitettä on pyritty huomattavan laajasti kuvaamaan myös hallituksen esityksen yksityiskohtaisissa perusteluissa.

Paikkatieto.

Tunnistamistiedot ja myös osa liittymän tai päätelaitteen sijainnin ilmaisevista viesteihin liittyvistä tiedoista ovat tarpeen viestintäpalvelun tai verkkopalvelun toteuttamiselle. Nämä sijainnin ilmaisevat tiedot ovat käsitteellisesti tunnistamistietoja, koska niitä käytetään samaan käyttötarkoitukseen. Sen sijaan sellaiset sijainnin ilmaisevat tiedot, joita käytetään muuhun tarkoitukseen kuin viestintä- tai verkkopalvelun toteuttamiseen, eivät erilaisen käyttötarkoituksensa vuoksi ole tunnistamistietoja vaan paikkatietoja.

Ehdotettu käyttötarkoituksen perusteella tehtävä erottelu on erittäin tärkeä, koska paikkatiedot voivat olla niiden kohteen yksityisyyden suojan tarpeen kannalta kriittisempiä kuin tunnistamistiedot. Paikkatiedot liittyvätkin keskeisesti yksityisyyden suojaan, kun taas tunnistamistiedot kuuluvat nimenomaan luottamuksellisen viestin suojan piiriin. Paikkatietoihin perustuvat palvelut tarvitsevat välttämättä palvelujen käyttäjien yksityisyyden suojan turvaamiseksi ja toisaalta palvelujen kehittämisen mahdollistamiseksi erillistä sääntelyä, jota ei käytännössä voida toteuttaa ilman tunnistamistietojen ja paikkatietojen käsitteellistä erottelua. Kyseinen erottelu vastaa myös sähköisen viestinnän tietosuojadirektiivin käsitteitä.

Yhteisötilaaja.

Yhteisötilaajalla tarkoitetaan viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yritystä tai yhteisöä, joka käsittelee viestintäverkossaan käyttäjien luottamuksellisia viestejä, tunnistamistietoja tai paikkatietoja. Ehdotetussa 10 §:n 2 momentissa käytetty yhteisötilaajan käsite kattaa varsinaisten yritysten lisäksi myös yliopistoja ja erilaisia julkishallinnon yhteisöjä, joilla on sisäistä laskutusta. Tällaisia ovat esimerkiksi elinkeinonharjoittaja, osuuskunta, osakeyhtiö, yhdistys, yliopisto tai valtion virasto.

Yhteisötilaaja on teleyrityksen tapaan sivullinen suhteessa viestinnän osapuoliin. Yhteisötilaaja tilaa viestintäpalvelun tai lisäarvopalvelun käyttäjiensä, esimerkiksi työntekijöidensä käytettäväksi. Tätä tarkoitusta varten yhteisötilaaja hallinnoi samalla järjestelmää, jossa käsitellään käyttäjien luottamuksellisia tunnistamistietoja ja paikkatietoja erilaisin palvelimin ja päätelaittein. Yhteisötilaajalle kertyy teknisiin järjestelmiin käyttäjien luottamuksellisia tunnistamistietoja ja esimerkiksi sähköpostijärjestelmissä myös luottamuksellisia viestejä. Yhteisötilaajat, kuten yritykset ja yliopistot, käsittelevätkin täsmälleen samoja luottamuksellisia tietoja ja samanlaisin teknisin järjestelmin kuin teleyrityksetkin. Teleyrityksille kertyy näin ollen viestintäpalveluja toteutettaessa täysin samanlaisia tietoja kuin yhteisötilaajalle viestintäpalveluja käytettäessä. Siten yhteisötilaajan mahdollisuudet väärinkäytöksiin ja tarve yhtäläisiin käsittelyoikeuksiin ja velvollisuuksiin eivät poikkea teleyrityksen mahdollisuuksista ja tarpeesta. Yhteisötilaajan toiminnan mahdollistamiseksi sekä yksityisyyden ja luottamuksellisen viestin suojan turvaamiseksi yhteisötilaajalle on välttämätöntä asettaa teleyrityksiä vastaavat tietoturvavelvoitteet sekä tunnistamistietojen ja paikkatietojen käsittelysäännöt.

Eduskunnan perustuslakivaliokunta on lausunnossaan (PeVL 9/2004 vp) todennut, että julkiselle vallalle perustuslain 22 §:ssä säädetty perus- ja ihmisoikeuksien turvaamisvelvollisuus koskee oikeuksien toteutumista myös yksityisten keskinäisissä suhteissa. Velvollisuus kohdistuu säännöksen esitöiden mukaan käytännössä lähinnä lainsäätäjään, jonka tehtävänä on täsmentää perustuslaissa yleisellä tasolla ilmaistuja perusoikeuksia niin, että niiden vaikutus ulottuu myös yksityisiin suhteisiin ( HE 309/1993 vp , s. 75). Ehdotetulla lailla on tarkoitus taata julkisen vallan turvaamisvelvollisuus lähinnä sananvapauden ja luottamuksellisen viestinnän turvaamiseksi sähköisen viestinnän alalla. Liikenne- ja viestintäministeriö on asiantuntijakuulemisessa pitänyt yhteisötilaajan toiminnan sääntelyä ehdotetulla tavalla välttämättömänä perustuslain 22 §:ssä säädetyn turvaamisvelvollisuuden toteuttamiseksi nykyaikaisessa yhteiskunnassa. Valiokunta toteaa, että myöskään perustuslakivaliokunta ei lausunnossaan pitänyt tarpeellisena tehdä eroa teleyrityksen ja yhteisötilaajan kesken käsitellessään ehdotettuja tunnistamistietojen käsittelysäännöksiä.

Tunnistamistietojen tallentaminen

Hallintovaliokunta kiinnittää lausunnossaan HaVL 9/2004 vp huomiota siihen, että ehdotus sähköisen viestinnän tietosuojalaiksi ei sisällä yleisiä säännöksiä viestinnän tunnistamistietojen tallentamisvelvollisuudesta. Edelleen se katsoi, että joka tapauksessa asiasta on syytä säätää lakitasoiset normit erillisen valmistelun pohjalta.

Asiantuntijakuulemisen mukaan yleinen tallentamisvelvollisuus kohdistuisi ennalta lähes kaiken sähköisen viestinnän tunnistamistietoihin ja aiheuttaisi Suomessa ensimmäisen vuoden aikana arviolta 75 miljoonan euron ylimääräiset investointikustannukset ja ensimmäisen sekä kunkin seuraavan vuoden aikana arviolta noin 17 miljoonan euron ylläpitokustannukset. Tallennettavien tietojen suuruusluokasta antaa jonkinlaisen kuvan se, että yksin SoneraPlaza-porttaalin pääsivustolla kävi vuoden 2003 elokuussa 1 900 000 eri kävijää 10 000 000 eri kertaa ja sieltä ladattiin 111 000 000 eri sivua. Jokaisesta kävijästä, käyntikerrasta ja sivun latauksesta muodostui tunnistamistietoja. Samoin tunnistamistietoja kertyy muun muassa ihmisten välisestä sähköpostiviestinnästä, tekstiviesteistä ja puheluista. Keskusrikospoliisin mukaan vuonna 2002 poliisille ilmoitettiin lapsipornon ja rasistisen materiaalin kolme levittämistapausta, joista yksikään ei johtanut syytteen nostamiseen. Euroopan neuvoston verkkorikosyleissopimuksen kansallisen voimaansaattamisen yhteydessä on oikeusministeriössä luonnosteltu säännöksiä tietojen säilyttämisvelvollisuudesta verkkorikosten selvittämisen varmistamiseksi. Tämä pakkokeinolakiin mahdollisesti sisällytettävä säilyttämisvelvollisuus kohdistuisi yksittäisiin tapauksiin ja jo valmiiksi tietojärjestelmän ylläpitäjän hallussa oleviin tietoihin, eikä siten edellyttäisi erityisiä ylimääräisiä investointeja.

Liikenne- ja viestintäministeriön mukaan edellä esitetyin perustein hallituksen esityksen valmistelussa päädyttiin siihen, että verkkorikosyleissopimuksen mukainen ja pelkästään jo olemassa oleviin tietoihin kohdistuva säilyttämisvelvollisuus on olennaisesti oikeasuhtaisempi tapa turvata verkkorikosten selvittämistä kuin yleinen tallentamisvelvollisuus.

Vaikka esitykseen ei sisälly yleistä tunnistamistietojen tallentamisvelvollisuutta, teleyritykset, lisäarvopalvelun tarjoajat ja yhteisötilaajat voivat tallentaa tunnistamistietoja ehdotetussa laissa yksilöityjen tarkoitusten toteuttamiseksi, kuten palvelun väärinkäytösten selvittämiseksi ja laskutuksen mahdollistamiseksi. Tosiasiassa useimmissa tapauksissa teleyrityksellä on ollut poliisin kannalta tarvittavat tunnistamistiedot hallussaan ilman erityistä tallentamisvelvollisuuttakin. Asiantuntijakuulemisen mukaan ehdotukseen sisältyvän kokonaisuuden arvioidaan luovan hyvät ja nykyistä selkeämmät mahdollisuudet puuttua sellaiseen rikolliseen toimintaan, jota ei voida pitää hyväksyttävänä viestintäpalvelujen käyttönä.

Valiokunta kiinnittää huomiota siihen, että yleisen tunnistamistietojen tallentamisvelvollisuuden säätämisen osalta on tärkeää arvioida myös sen vaikutuksia käyttäjien luottamukseen sähköistä viestintää kohtaan. Tähän mennessä käyttäjät ovat luottaneet siihen, että heidän viestintänsä on luottamuksellista eikä siitä kertyneitä tietoja tallenneta enempää kuin on ehdottoman välttämätöntä. Erityisen tallentamisvelvoitteen säätäminen muuttaisi nykyistä oikeustilaa keskeisimmän periaatteen osalta, ja sen vaikutukset ihmisten käyttäytymiseen saattavat olla arvaamattomat.

Edelleen on huomattava, että tallentamisen seurauksena muodostuisi lähinnä koti- ja ulkomaisille teleyrityksille sekä näiden monikansallisille alihankkijoille valtava tietoaineisto suomalaisen julkishallinnon, elinkeinoelämän ja yksityisten henkilöiden viestinnästä. Tällaisen tietoaineiston tietoturvallisuuden varmistamisesta muodostuisi koko yhteiskunnan kannalta kriittinen kohde, miltä osin asiaa on arvioitava huolellisesti.

Liikenne- ja viestintäministeriö on asettanut asiantuntijatyöryhmän selvittämään, mitä etuja, kustannuksia ja muita vaikutuksia yleisestä tallentamisvelvollisuudesta todellisuudessa seuraisi. Asiaa arvioidaan parhaillaan liikenne- ja viestintäministeriön asettaman erillisen työryhmän lisäksi Euroopan unionissa oikeus- ja sisäasioiden neuvostossa. Valiokunta toteaa, että kansalliselle sääntely-ympäristölle ja erityisesti alalla toimiville yrityksille saattaisi olla haitallista, jos jo tässä vaiheessa omaksuttaisiin kantoja, jotka olisivat ristiriidassa vasta myöhemmin hahmotettavien sellaisten kansallisten tai EU-tason näkemysten kanssa, joilla voi olla lainsäädännöllisiä vaikutuksia. Hallintovaliokunnan lausuman johdosta valiokunta korostaa, että erillisessä selvityksessä on tarkoin arvioitava tarve asian lakitasoiselle säätämiselle.

Tietoturvamaksu

Valiokunta toteaa, että tietoturvallisuuden tekninen hallitseminen ja osaaminen on tänä päivänä melkoinen haaste. Tietoturvallisuuden onnistunut hallinta on ensiarvoisen tärkeää talouselämän menestykselliseksi harjoittamiseksi, kansainvälisen kilpailukyvyn ylläpitämiseksi ja lisäämiseksi sekä kansalaisten oikeuksien ja hyvinvoinnin turvaamiseksi. Asiantuntijakuulemisessa todettiin, että valtaosalle yhteisöitä ja yksityisiä ihmisiä tietoturvallisuuden hallinta on vaikeaa tai liki mahdotonta, koska on kyse hyvin teknisistä ja monimutkaisista asioista. Vain suurimmat yritykset, jotka voivat panostaa lukuisten asiantuntijoiden työpanoksen tietoturvallisuuden ylläpitoon, sekä pieni joukko tietoturvallisuuden alalla toimivia tutkijoita ja tuotekehittäjiä tietävät, mistä tietoturvallisuudessa, sen ylläpidossa ja kehittämisessä on oikeasti kyse. Tämän vuoksi kansallisen tietoturvallisuudesta vastaavan viranomaisen tulee kyetä selkeiden ja tavallisen kansalaisen ymmärrettävissä olevien tietoturvallisuutta koskevien käytännön ohjeiden laatimiseen ja vieläpä hyvin nopealla aikajänteellä, koska esimerkiksi maailmanlaajuisesti leviävät haittaohjelmat saastuttavat valtavia määriä tietokoneita muutamassa vuorokaudessa, jopa tunneissa.

Viestintäviraston tehtäväksi on määritelty toimia kansallisena tietoturvallisuusviranomaisena. Asiantuntijakuulemisen mukaan tähän uuteen toimintaan osoitetut resurssit eivät ole olleet riittäviä ja ovat mahdollistaneet käytännössä vain muualta maailmasta sekä kotimaasta tulleiden tietoturvallisuuden loukkauksia koskevien ilmoitusten tilastoinnin sekä näitä koskevien varoitusten julkaisemisen nettisivuilla. Edelleen asiantuntijakuulemisen mukaan nykyisellä organisoinnilla, resursseilla ja tavoitteenasettelulla Viestintävirasto ei selviä nykyisistä tietoturvallisuuden ylläpitoon välttämättömistä tavoitteista, ja tämän vuoksi nykyisestä lisättyä panostusta on pidettävä välttämättömänä. Valiokunta korostaa, että se, että Viestintäviraston tietoturvatoimintaa toisaalta asiantuntijakuulemisessa on pidetty hyvänä ja runsaasti tunnustusta saaneena, ei vähennä panostuksen tarvetta tietoturvallisuuden kehittämiseen hyvän tason ylläpitämiseksi. Valiokunta katsookin, että Viestintäviraston toiminta ja sen resurssien, mukaan lukien tiedonsaantioikeuksien, riittävä varmistaminen on ensiarvoisen tärkeää tietoturvallisen tietoyhteiskuntakehityksen varmistamiseksi ja kansalaisten perusoikeuksien turvaamiseksi.

Valvontaviranomaisten resurssien tarvetta on arvioitu hallituksen esityksen vaikutusten arviointiosuudessa. Tältä osin on selvää, että valvontaviranomaisilla tulee olla riittävät toimintamahdollisuudet. Viestintävirasto on hiljattain saanut hieman lisää henkilöstöresursseja tietoturvatehtäviensä hoitamista varten, mutta jatkossa lisäresurssien tarpeen arvioiminen saattaa hyvinkin osoittautua tarpeelliseksi. Liikenne- ja viestintäministeriössä on suunniteltu lain voimaantulon jälkeen toteutettava jalkauttamissuunnitelma, jonka lain soveltamisen kannalta keskeiset toimijat toteuttavat. Suunnitelmaan kuuluu mm. erilaista tiedotus- ja koulutustoimintaa. Lisäksi liikenne- ja viestintäministeriö on asettanut lain toimeenpanon seurantaryhmän, joka tulee arvioimaan täytäntöönpanoon mahdollisesti liittyviä ongelmia.

Esityksessä ehdotetaan, että ilmoituksenvaraista tai toimiluvanvaraista toimintaa harjoittava teleyritys olisi velvollinen suorittamaan Viestintävirastolle vuotuisen tietoturvamaksun kansallisen CERT-toiminnan rahoittamiseksi. Maksuvelvollisuus ei koske lainkaan sellaisia vähäisen yleisen teletoiminnan harjoittajia, joiden ei tarvitse tehdä ilmoitusta. Ehdotetun sääntelyn mukainen maksurasite jakautuu toimialan yritysten kesken tasapuolisesti, ja siinä otetaan huomioon myös erisuuruisten yritysten Viestintäviraston toiminnalle asettamat vaatimukset. Liikevaihdoltaan merkittävillä yrityksillä on tyypillisesti useampia toimintoja, ja tällaiset yritykset harjoittavat toimintaa laajemmilla maantieteellisillä markkinoilla Suomessa kuin pienyritykset. Näiden yritysten toiminta asettaa näin ollen Viestintäviraston toiminnalle suurempia vaatimuksia kuin pienyritysten toiminta, mikä heijastuu maksurasitteen nousemisena liikevaihdon suhteessa. Nämä kokonaiskustannukset on tarkoitus kattaa tähän esitykseen sisältyvällä tietoturvamaksulla.

Teleyrityksiin kohdistuva maksurasitus säilyy suunnilleen nykyisen suuruisena. Ehdotettu tietoturvamaksu vastaa jo teletoiminnan tietosuojalakiin sisältyvää maksua. Tietoturvamaksujen kokonaiskertymä vuonna 2004 on arviolta noin 540 000 euroa.

Tietoyhteiskuntakehityksen edetessä voi olla mahdollista, että verkko- ja viestintäpalvelujen lisäksi myös muiden tämän kehityksen kannalta keskeisten palvelujen tietoturvallisuuteen tulee kiinnittää entistä enemmän huomiota myöskin viranomaisten toimesta. Tällöin tietoturvamaksun kaltaisten elinkeinoverojen kohdentuminenkin tulee harkita uudestaan. Kehityssuunnan asianmukaiseksi ennakoimiseksi liikenne- ja viestintäministeriö on jo asettanut päätöksellään 15.12.2003 Viestintäviraston maksuja kokonaisuudessaan pohtivan selvitystyöryhmän, joka tulee jatkossa arvioimaan myös tietoturvamaksuun liittyviä eri vaihtoehtoja. Työryhmä on asetettu aikavälille 1.1.—30.11.2004, ja sen toimikautta voidaan tarvittaessa jatkaa.

Valiokunta korostaa, että tietoturvamaksua koskevat säännökset vastaavat rakenteellisesti viestintämarkkinalain mukaista viestintämarkkinamaksua, ja viittaa perustuslakivaliokunnan lausuntoon PeVL 61/2002 vp, jonka mukaan viestintämarkkinamaksua pidettiin veronluonteisena. Tässä yhteydessä valiokunta ehdotti hyväksyttäväksi lausuman, jossa edellytettiin, että viestintämarkkina- ja teleurakointimaksulla kerättävät varat ohjataan lyhentämättöminä kattamaan Viestintäviraston toiminnasta aiheutuvia kuluja. Valiokunta pitää myös tässä yhteydessä välttämättömänä, että kyseinen budjettiin tuloutettava maksu käytetään lyhentämättömänä kattamaan nimenomaan Viestintäviraston tietoturvatoiminnasta aiheutuvat kulut (Valiokunnan lausumaehdotus).

Hallintovaliokunta toteaa lausunnossaan, että myös tietosuojavaltuutetun valvontatehtävät laajenevat, ja pitää tärkeänä, että tietosuojavaltuutetulle kuuluvien tehtävien hoitamiseen on käytettävissä asianmukaiset voimavarat. Liikenne- ja viestintäministeriön ilmoituksen mukaan valvontaviranomaisten riittävien resurssien tarve on tiedostettu ehdotuksen valmistelun aikana. Ministeriö on edelleen ilmoittanut, että tietosuojavaltuutetun osalta asia on syytä arvioida erillisen valmistelun pohjalta valtion tulo- ja menoarvion yhteydessä. Valiokunta korostaa tässä yhteydessä, että viranomaisten lakisääteisiä tehtäviä lisättäessä on myös pidettävä huolta siitä, että viranomaisilla on riittävät voimavarat tehtäviensä asianmukaiseen hoitamiseen. Tämän vuoksi budjettiin on muiden kuin Viestintäviraston toimien osalta varattava tietoturvamaksun lisäksi muutakin rahoitusta tietoturvasta vastaavien viranomaisten tehtävien hoitamiseksi.

Yksityiskohtaiset perustelut

Lain nimike.

Perustuslakivaliokunta kiinnittää lausunnossaan huomiota siihen, että hallituksen esityksessä oleva lain nimike tulee tarkistaa hyvän lain kirjoittamistavan vaatimuksia vastaavaksi. Valiokunta ehdottaa poistettavaksi ylimääräisen sanan "laki" siten, että lain nimike kuuluisi: "sähköisen viestinnän tietosuojalaki". Valiokunta on tehnyt vastaavan muutoksen lain nimikkeeseen.

4 §. Viestin, tunnistamistietojen ja paikkatietojen luottamuksellisuus.

Perustuslakivaliokunnan lausunnon mukaan lakiehdotuksen 4 §:n 2 momentin säännös on julkaistujen viestien tunnistamistietojen osalta ristiriidassa perustuslain 12 §:n 1 momentin sananvapaussääntöjen kanssa. Tämän vuoksi perustuslakivaliokunta on edellyttänyt, että maininta tunnistamistiedoista on poistettava säännöksestä. Perustuslakivaliokunta on todennut, että perustuslaissa turvattu sananvapaus suojaa myös anonyymia viestintää. Tämän vuoksi valiokunta ehdottaa säännökselle muotoa, jonka mukaan viestiin liittyvät tunnistamistiedot ovat myös yleisesti vastaanotettavaksi saatetun viestin osalta luottamuksellisia. Perustuslakivaliokunnan lausunnon mukaisesti valiokunta ehdottaa lisättäväksi maininnan siitä, että verkkoviestin tunnistamistietojen luovuttamisesta säädetään sananvapauden käyttämisestä joukkoviestinnässä annetun lain 17 §:ssä. Valiokunta on tehnyt vastaavat muutokset pykälän 2 momenttiin.

7 §. Palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö.

Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että pykälän 1 ja 2 momentit ovat epäselviä. Pykälän 1 momentista voi sen sanamuodon mukaan saada kuvan, että säännös koskisi myös käyttäjää itseään. Valiokunta ehdottaa, että momenttia täsmennetään siten, että tietojen tallentaminen ja näiden tietojen käyttö on sallittua palvelun tarjoajalle.

Perustuslakivaliokunnan mukaan 2 momentissa jää epäselväksi, mitä kielletään tai sallitaan. Tämän vuoksi valiokunta toteaa, että 2 momentti kaipaa selkeyttämistä sekä 1 momenttiin kohdistuvan viittauksen osalta että siltä osin, keneen säännös kohdistuu. Tämä selkeyttää olennaisesti myös sitä, mikä 2 momentissa kielletään ja mikä sallitaan. Valiokunta ehdottaakin, että viittausta 1 momenttiin täsmennetään koskemaan palvelun tarjoajan tietojen antamisvelvollisuutta ja käyttäjän kielto-oikeutta.

Perustuslakivaliokunnan mukaan 3 momenttia on aiheellista tarkistaa niin, ettei siinä käytetystä sanonnasta "suojaa tarpeettomasti vaarantamatta" tehtävä vastakohtaispäätelmä viittaa oikeuksien tarpeellisen vaarantamisen mahdollisuuteen. Valiokunta ehdottaa tämän vuoksi, että momentti muotoillaan siten, että pykälässä tarkoitetulla tallentamisella ja käytöllä ei saa rajoittaa yksityisyyden suojaa enempää kuin on välttämätöntä.

Valiokunta on tehnyt vastaavat muutokset pykälän muotoiluihin.

8 §. Yleiset käsittelysäännöt.

Perustuslakivaliokunnan mukaan laaja-alaiseen käsittelyn määritelmään liittyviä ongelmia lieventää ehdotuksen 8 §:n 3 momentissa oleva vaatimus käsittelyn tarkoitussidonnaisuudesta. Käsittely on momentin mukaan sallittua ainoastaan 9—14 §:ssä erikseen ilmenevien eri käsittelytarkoitusten vaatimassa laajuudessa. Käsiteltävien tietojen salassapidosta ja hyväksikäyttökiellosta sisältyvät asianmukaiset säännökset 5 §:ään. Ongelmallista on kuitenkin, että käsittelymääritelmä sisältää myös tietojen luovuttamisen. Esityksen perustelujen mukaan tietoja voidaan 8 §:n 3 momentin takia luovuttaa ainoastaan niille tahoille, joilla on oikeus käsitellä tietoja asianomaisessa tilanteessa. Perustuslakivaliokunta pitää sääntelyn tarkkuuden takia tärkeänä, että tästä seikasta lisätään lakiin nimenomainen säännös. Liikenne- ja viestintävaliokunta katsoo, että 3 momenttiin on sääntelyn tarkkuuden lisäämiseksi hyvä lisätä nimenomainen säännös luovuttamisen osalta. Tämän vuoksi valiokunta ehdottaa momenttiin lisättäväksi toisen virkkeen siitä, että tunnistamistietoja on sallittua luovuttaa ainoastaan niille tahoille, joilla on oikeus käsitellä tietoja asianomaisessa tilanteessa.

Pykälän 3 momentin ensimmäistä virkettä on perustuslakivaliokunnan mukaan aiheellista tarkistaa niin, ettei siinä käytetystä sanonnasta "suojaa tarpeettomasti vaarantamatta" tehtävä vastakohtaispäätelmä viittaa oikeuksien tarpeellisen vaarantamisen mahdollisuuteen. Tämän vuoksi valiokunta ehdottaa virkettä muutettavaksi niin, että sen mukaan käsittelyllä ei saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä.

Valiokunta on tehnyt vastaavat muutokset momentin muotoiluihin.

10 §. Käsittely laskutusta varten.

Ehdotettu 3 momentin sääntely mahdollistaa tietoyhteiskunnan palvelujentarjoajille tunnistamistietojen saamisen teleyrityksiltä ja tietojen käsittelyn laskutusta varten. Voimassa olevan lain mukaan tietoyhteiskunnan palvelujentarjoajilla ei ole ollut mahdollisuutta saada näitä tietoja teleyritykseltä, vaan laskutus on ollut pakko toteuttaa teleyrityksen kautta. Sääntely siis tuo toimijoille uusia toimintamahdollisuuksia, eikä se miltään osin rajoita näiden palveluntarjoajien toteuttamaa muuta tunnistamistietojen käsittelyä. Ehdotetun lain tunnistamistietojen käsittelyä koskeva sääntely koskee muilta osin vain teleyrityksiä, lisäarvopalveluntarjoajia (lain tarkoittamassa suppeassa merkityksessä) ja yhteisötilaajia. Valiokunta toteaa, että tämän lisäksi viestinnän osapuoli saa käsitellä omaan viestintäänsä liittyviä tunnistamistietoja. Myös tietoyhteiskunnan palveluntarjoaja voi olla viestinnän osapuoli, kun siltä tilataan jokin palvelu viestinnän avulla, jolloin se saa käsitellä myös palvelun tilaajan eli viestinnän toisen osapuolen tunnistamistietoja muihin kuin laskutustarkoituksiin. Valiokunta korostaa, että sääntely ei miltään osin vaikeuta tai hankaloita nykyisten palvelujen tarjontaa tai toteuttamista. Yhteydestään irrotettuna lienee kuitenkin mahdollista ymmärtää ehdotettu säännös siten, että se rajoittaisi myös muiden kuin teleyritykseltä saatujen tunnistamistietojen käsittelyä, mikä ei asiantuntijakuulemisen mukaan ole ehdotetun säännöksen tarkoitus.

Valiokunta katsoo, että huomioon ottaen säännöksen tarkoitus on syytä täsmentää 3 momenttia siten, että tietoyhteiskunnan palveluntarjoajan oikeus käsitellä välttämättömiä tunnistamistietoja ja muita laskutuksen kannalta välttämättömiä tietoja rajataan koskemaan teleyritykseltä saatuja tunnistamistietoja ja tietoja. Valiokunta ehdottaakin, että momenttia muutettaisiin vastaavasti.

Valiokunta on tehnyt vastaavat muutokset momentin muotoiluihin.

13 §. Käsittely väärinkäytöstapauksissa.

Ehdotetun pykälän mukaan teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja voi käsitellä tunnistamistietoja, jos se on tarpeen verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun käyttöä koskevien väärinkäytösten havaitsemiseksi, estämiseksi ja selvittämiseksi sekä esitutkintaan saattamiseksi. Esimerkkinä tällaisesta käyttöä koskevasta väärinkäytöksestä voi olla yhteyden ottaminen maksulliseen palveluun oikeudettomasti hankitulla salasanalla tai sinänsä maksuttoman palvelun käyttäminen olennaisesti muuhun tarkoitukseen kuin palvelun tarjoajan kanssa on sovittu. Kysymykseen ei kuitenkaan voi tulla palvelun sisältöön liittyvä mahdollinen sopimuksenvastaisuus, kuten puhelimitse toteutettu rikoslaissa rangaistavaksi säädetty kunnian loukkaus, vaikka tällainen olisikin kielletty teleyrityksen ja tilaajan välisessä sopimuksessa. Ehdotettu momentti oikeuttaa havainnoimaan ja estämään väärinkäytöksiä, mutta jättää rikoksen esitutkinnan yksinomaan esitutkintaviranomaisille.

Väärinkäytösten havaitsemista voidaan käytännössä toteuttaa vain mm. automaattisin kapasiteetin käyttömittarein tai tunkeutumisenestosovelluksin, joilla voidaan esimerkiksi päätellä, jos joku on ottanut luvatta käyttöönsä koko kerrostalolle varatun tietoliikennekapasiteetin siten, että muiden yhteydet eivät toimi sovitulla tavalla. Sinänsä samoja teknisiä sovelluksia käytetään myös automaattiseen vika- ja häiriötilanteiden havaitsemiseen. Vasta havainnon syyn täsmällisemmällä selvittämisellä voidaan arvioida, onko kysymys ollut väärinkäytöksestä vai vikatilanteesta. Väärinkäytösten havaitseminen edellyttää tunnistamistietojen käsittelyä, joten tunnistamistietojen käsittely on välttämätöntä väärinkäytösten havaitsemiseksi etukäteen. Tunnistamistietojen luovutusoikeus on joissakin tilanteissa välttämätön. Esimerkiksi tilanteissa, joissa väärinkäytökset koskevat usean palvelun tarjoajan palveluja ja viestintäverkkoja tai yhteisötilaajien sisäisiä verkkoja, palvelun tarjoajat ja yhteisötilaajat pystyvät käytännössä vastaamaan väärinkäytöksiin ainoastaan yhteisin toimin. On kuitenkin huomattava, että tunnistamistietojen luovutus voi näissä tilanteissa tapahtua ainoastaan niille tahoille, joilla on oikeus käsitellä tunnistamistietoja kyseisessä tilanteessa. On erityisen tärkeää huomata, että ehdotetussa pykälässä käsittely rajautuu vain pykälän sallimaan tarkoitukseen ja luovutuskin on siten sallittua vain tässä tarkoituksessa. Tietojen käsittelijän on varmistuttava siitä, ettei käsittelyllä saa rajoittaa yksityisyyden suojaa enemmän kuin on välttämätöntä kuten ehdotetussa 8 §:n 3 momentissa edellytetään.

Koska säännöksen muotoilu on epäselvä ja saattaa antaa aihetta väärinkäsityksille valiokunta ehdottaa, että käyttöä koskevat väärinkäytökset täsmennetään koskemaan yksittäisten maksullisten palvelujen käyttöä maksutta, tai muita siihen rinnastuvia käyttöä koskevia väärinkäytöksiä.

Valiokunta on tehnyt vastaavat muutokset pykälän muotoiluun.

16 §. Paikkatietojen käsittely ja luovutus.

Perustuslakivaliokunnan lausunnon mukaan 3 momentin ensimmäistä virkettä on aiheellista tarkistaa niin, ettei siinä käytetystä sanonnasta "suojaa tarpeettomasti vaarantamatta" tehtävä vastakohtaispäätelmä viittaa oikeuksien tarpeellisen vaarantamisen mahdollisuuteen. Tämän vuoksi valiokunta ehdottaa, että säännöstä täsmennetään siten, että käsittelyllä ei saa rajoittaa yksityisyyden suojaa enemmän kuin on välttämätöntä. Valiokunta on tehnyt vastaavan muutoksen momentin muotoiluun.

19 §. Velvollisuus huolehtia tietoturvasta.

Perustuslakivaliokunnan mukaan tietoturvasta huolehtimiseksi tarpeelliset hallinnolliset ja tekniset toimet voivat esityksen perustelujen mukaan kohdistua toiminnan turvallisuuteen, tietoliikenneturvallisuuteen, laitteisto- ja ohjelmistoturvallisuuteen sekä tietoaineistoturvallisuuteen. Tämän kaltaisista velvollisuussisältöä täsmentävistä ja samalla viraston määräyksenantovaltaa rajaavista seikoista on lausunnon mukaan asianmukaista lisätä maininnat lakiin. Tämän vuoksi valiokunta ehdottaa pykälää täsmennettäväksi siten, että palvelun ja käsittelyn tietoturvasta huolehtiminen tarkoittaa toimia toiminnan turvallisuuden, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden sekä tietoaineistoturvallisuuden varmistamiseksi. Valiokunta on tehnyt vastaavan muutoksen momentin muotoiluun.

20 §. Toimenpiteet tietoturvan toteuttamiseksi.

Perustuslakivaliokunnan lausunnon mukaan pykälään on asianmukaista lisätä maininta sananvapaudesta johtuvien huolellisuusvaatimusten huomioon ottamisesta toimenpiteitä toteutettaessa samoin kuin siitä, että toimenpiteiden tulee olla oikeassa suhteessa torjuttavan häiriön vakavuuteen. Suhteellisuusvaatimuksen kannalta vähäisenä puutteena voidaan edelleen pitää sitä, ettei säännöksessä ole mainintaa toimenpiteiden tilapäisyydestä. Toisaalta edellytys toimenpiteiden välttämättömyydestä sisältää vaatimuksen toimien lopettamisesta tai keskeyttämisestä heti, kun niille ei enää ole tarvetta. Tästä on kuitenkin perustuslakivaliokunnan mukaan asianmukaista ottaa säännökseen nimenomainen maininta.

Pykälän kirjoitusasua on edelleen perustuslakivaliokunnan mukaan tarpeen kohentaa. Sääntelyn selkeyden kannalta olisi eduksi, jos esimerkiksi maininnat toimenpiteiden toteuttamisen tarkoituksista eivät olisi pykälässä ehdotetulla tavalla hajallaan.

Perustuslakivaliokunta toteaa edelleen, että esityksen perustelujen mukaan pykälän 1 momentin nojalla on mahdollista estää viestin vastaanottamisen lisäksi myös viestin välittäminen. Tästä on perustuslakivaliokunnan mukaan sääntelyn tarkkuuden takia tarpeen ottaa säännökseen nimenomainen maininta, minkä vuoksi valiokunta ehdottaa välittämisen lisättäväksi 1 momenttiin vastaanottamisen lisäksi.

Haittaohjelman käsitteelle voidaan perustuslakivaliokunnan mukaan viestinnän sääntelyn yhteydessä antaa monenlaisia merkityssisältöjä. Siksi ei ole sääntelyn tarkkuuden kannalta aivan ongelmatonta säätää viestinnän osapuoliin nähden kolmannen tahon oikeudesta poistaa haittaohjelmat viesteistä. Vaikka käsillä olevassa sääntely-yhteydessä ei ehkä ole epäselvyyttä siitä, minkälaista haittaa aiheuttavasta ohjelmasta on kysymys, on sääntelyä perustuslakivaliokunnan mielestä syytä tältäkin osin vielä täsmentää. Valiokunta ehdottaakin, että haittaohjelmat täsmennetään koskemaan tietoturvaa vaarantavia haittaohjelmia.

Perustuslakivaliokunnan mukaan sääntelyn täsmällisyys- ja tarkkarajaisuusvaatimuksen kannalta ehdotus on pulmallinen siltä osin kuin siinä oikeutetaan viestin vastaanoton estämisen ja viesteihin sisältyvän ohjelman poistamisen lisäksi toteuttamaan "muut välttämättömät toimenpiteet". Ilmaisu on varsin avoin rajatessaan toimenpidevalikoimaa vain välttämättömyysedellytyksen avulla. Sanamuodon perusteella kysymykseen näyttäisivät voivan tulla muunkinlaiset kuin säännöksessä erikseen mainittuihin toimenpiteisiin rinnastettavat, viestintään kohdistuvat teknisluonteiset toimet. Sääntelyä on tältä osin täsmennettävä esimerkiksi rinnastettavuusmaininnoin, jotta lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Perustuslakivaliokunnan vaatimaa täsmennystä muiden välttämättömien toimenpiteiden osalta valiokunta ehdottaa toteutettavaksi siten, että tietoturvan varmistaminen voitaisiin myös suorittaa toteuttamalla muut edellisiin kohtiin rinnastettavat teknisluontoiset toimet.

Perustuslakivaliokunnan mukaan 2 momentin viimeistä virkettä on aiheellista tarkistaa niin, ettei siinä käytetystä sanonnasta "suojaa tarpeettomasti vaarantamatta" tehtävä vastakohtaispäätelmä viittaa oikeuksien tarpeellisen vaarantamisen mahdollisuuteen. Valiokunta ehdottaa perustuslakivaliokunnan esittämää muotoilua sekä selvyyden vuoksi sitä, että 2 momentin kolme eri virkettä jaettaisiin kolmeksi eri momentiksi, jolloin kolmannesta virkkeestä tulisi neljäs momentti sen muotoisena kuin perustuslakivaliokunta on esittänyt. Tällöin lakiehdotuksen 3 momentista tulee 5 momentti.

Maininta viestin sisältöön puuttumisesta pykälän 2 momentissa on perustuslakivaliokunnan mukaan ongelmallisen tulkinnanvarainen. Maininnassa on epäselvää, viitataanko puuttumisella teknisin keinoin toteutettavaan viestin tarkastamiseen ja poistamiseen vai voidaanko viesti säännöksen perusteella myös avata sen mahdollisen haitallisuuden selville saamiseksi. Valiokunta ehdottaa, että säännöstä täsmennettäisiin siten, että viestin sisältöön saa puuttua ainoastaan teknisin keinoin viestin tarkastamiseksi ja poistamiseksi.

Perustuslakivaliokunnan mukaan 2 momentissa tarkoitettu epäilykynnys "jos on todennäköisiä syitä epäillä" ei säännöksen sanamuodon perusteella näytä koskevan momentissa mainittua rikoslain 38 luvun 5 §:ssä säädettyä rikosta. Valiokunta ehdottaa tämän vuoksi, että epäilykynnys "on todennäköisiä syitä epäillä" toistetaan myös rikoslain 38 luvun 5 §:ssä tarkoitetun rikoksen kohdalla.

Valiokunta ehdottaa lakiehdotuksen 3 momentissa olevaa viittausta 1 momenttiin laajennettavaksi koskemaan tässä pykälässä tarkoitettua teknistä torjumista ja tietoturvaan kohdistuvien häiriöiden poistamista.

Valiokunta on tehnyt vastaavat muutokset pykälän muotoiluun.

21 §. Tietoturvailmoitukset.

Pykälän tarkoituksena on, että jos palvelun tietoturvaan kohdistuu erityinen uhka, teleyrityksen ja lisäarvopalvelun tarjoajan on viipymättä ilmoitettava uhasta tilaajalle ja samalla kerrottava tilaajan ja käyttäjän käytettävissä olevista toimenpiteistä uhan torjumiseksi sekä niiden todennäköisistä kustannuksista. Säännökseen ei ole haluttu sisällyttää vain yhtä tiettyä tapaa informoida tilaajaa, koska on olemassa myös sellaisia tilanteita, jolloin julkinen tiedottaminen olisi omiaan vaarantamaan viestinnän luottamuksellisuuden. Ilmoittamisen tapa on harkittavissa yksittäistapauksessa, mutta se ei ole harkittavissa, tekeekö ylipäänsä ilmoituksen ja koska tämä ilmoitus tehdään. Sanamuodolla viipymättä on haluttu korostaa, että asiasta tulisi informoida tilaajaa heti, kun ilmoittaminen on mahdollista ja turvallista.

Perustuslakivaliokunnan mielestä on aiheellista vielä harkita sääntelyä, jonka perusteella tilaajille ja käyttäjille on — esimerkiksi häiriön tai loukkauksen torjumisen jälkeen — ilmoitettava myös teleyrityksen toimenpiteistä tietoturvaan kohdistuneen erityisen uhan torjumiseksi samoin kuin niiden mahdollisista vaikutuksista viestintään.

Valiokunnan näkemyksen mukaan perustuslakivaliokunnan esittämä jälkikäteinen tiedottamisvelvollisuus on tarpeellinen siksi, että se on perussisällöltään perinteiseen asianmukaiseen asiakaspalveluun kuuluvaa toimintaa. Mahdollinen sääntely tulisi kuitenkin toteuttaa vain tarkoitustaan vastaavassa laajuudessa aiheuttamatta erityisiä tavanomaisesta poikkeavia velvollisuuksia teleyrityksille. Valiokunta katsoo, että informointivelvollisuuden tulisi olla luonteeltaan yleistä ja nimenomaan jälkikäteistä tiedottamista, jotta toimijoille mahdollistetaan välttämättömät toimintamahdollisuudet nopeaa reagointia vaativissa tilanteissa. Tarkoituksena on kuitenkin, että toimenpiteistä tiedotetaan niin reaaliaikaisina kuin mahdollista. On selvää, ettei teleyritykselle saa syntyä velvollisuutta tiedottaa liikesalaisuuksien piiriin kuuluvista asioista tai asioista, joista tiedottaminen voisi osaltaan vaikeuttaa torjuttavan ongelman ratkaisemista. Lisäksi on syytä kiinnittää huomiota siihen, että kyseinen velvollisuus voisi kohdistua ainoastaan teleyrityksiin. Lisäarvopalvelun tarjoajiin ja yhteisötilaajiin kyseistä velvoitetta ei tulisi nykytilanteessa ulottaa. Valiokunta ehdottaa, että tästä lisätään pykälään 1 ja 2 momentin jälkeen uusi 3 momentti.

Tällöin lakiehdotuksen 3 momentista tulee 4 momentti ja siihen on lisättävä viittaus myös 3 momenttiin.

Hallintovaliokunta on lausunnossaan katsonut, että myös asiakkaalle aiheutuvien välittömien vahinkojen korvaamiselle olisi säädettävä laissa määriteltävät pelisäännöt. Liikenne- ja viestintäministeriön mukaan vahingonkorvauksen osalta ei valmistelun aikana esitetty perusteltuja väitteitä sen puolesta, että normaalit vahingonkorvausoikeudelliset ja sopimusoikeudellista korvausvastuuta koskevat periaatteet eivät olisi riittäviä asiakkaiden oikeuksien turvaamiseksi. Asiantuntijakuulemisessa ei myöskään ole esitetty perusteita sille, miksi normaalit korvausoikeudelliset säännökset eivät kyseisissä tilanteissa riittäisi. Valiokunta katsoo sen vuoksi, että edellä mainitulla informointivelvollisuutta koskevalla lisäyksellä esitetty sääntelykehys turvaa asianmukaisesti asiakkaiden oikeusturvan ja mahdollisten vahinkojen osalta heidän oikeuksiensa toteutumisen.

Valiokunta on tehnyt vastaavat muutokset pykälän muotoiluihin.

29 §. Suoramarkkinoinnin vastaanottamisen estäminen.

Perustuslakivaliokunnan lausunnon mukaan pykälän viimeistä virkettä on aiheellista tarkistaa niin, ettei siinä käytetystä sanonnasta "suojaa tarpeettomasti vaarantamatta" tehtävä vastakohtaispäätelmä viittaa oikeuksien tarpeellisen vaarantamisen mahdollisuuteen. Tämän vuoksi valiokunta ehdottaa, että säännöstä täsmennetään niin, että toimenpiteet on toteutettava huolellisesti eikä niillä saa rajoittaa sananvapautta taikka luottamuksellisen viestin tai yksityisyyden suojaa enemmän kuin on välttämätöntä. Valiokunta on tehnyt vastaavat muutokset pykälän muotoiluun.

33 §. Ohjaus- ja valvontaviranomaisten tiedonsaantioikeus.

Perustuslakivaliokunta on lausunnossaan pitänyt pykälän 1 momenttia vaikeaselkoisena ja on katsonut, että asianmukaisinta on täsmentää sääntelyä. Se on tosin todennut, että sääntely ei muodostu perustuslain 10 §:n kannalta ongelmalliseksi, jos 1 momentin ei tulkita sisältävän 2 ja 3 momentin säännöksiin Viestintäviraston ja tietosuojavaltuutetun itsenäistä oikeutta saada tietoja luottamuksellisista viesteistä ja niiden sisällöistä. Valiokunta ehdottaa tämän vuoksi sanojen "Viestintäviraston ja tietosuojavaltuutetun" lisäämistä 1 momentin viimeiseen virkkeeseen. Perustuslakivaliokunnan mukaan on lisäksi asianmukaista tarkistaa momenttia niin, että viranomaisen tietojensaantioikeus ulottuu vain sen tehtävien hoitamisen kannalta välttämättömiin tietoihin, vaikka sääntelyssä onkin ensisijaisesti kysymys muista kuin henkilötietojen suojan kannalta merkityksellisistä tiedoista. Tämän vuoksi valiokunta ehdottaa, että 1 momentin 1. virkkeen sana "tarpeelliset" korvataan sanalla "välttämättömät".

Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että pykälän 3 momentin 4 kohdasta puuttuu sana "vahingonteko", mitä sanaa valiokunta ehdottaa lisättäväksi kohtaan.

Perustuslakivaliokunnan mukaan sääntelyn johdonmukaisuuden kannalta ei ole asianmukaista, että pykälän 3 momentin nojalla saatujen tietojen hävittämisvelvollisuus sidotaan 5 momentissa myös riita- ja hallintoasiain käsittelyyn. Tämän vuoksi valiokunta esittää sanojen "riita-asia tai hallintoasia" poistamista 5 momentista.

Valiokunta on tehnyt vastaavat muutokset pykälän muotoiluihin.

36 §. Eräiden muiden viranomaisten tiedonsaantioikeus.

Hallintovaliokunta kiinnittää lausunnossaan huomiota ehdotettuun sähköisen viestinnän tietosuojalain 36 §:ään, jossa säädetään eräiden muiden viranomaisten kuin ohjaus- ja valvontaviranomaisten tiedonsaantioikeudesta. Pykälän 2 momentin 2 kohdassa mainitaan ainoastaan tilaajan suostumukseen perustuva tietojensaanti, mutta käytännössä on tullut ilmi, että matkaviestimeen vaihdetaan anastuksen jälkeen usein uusi liittymäkortti, jolloin päätelaitteen omistajaa ei voitane pitää tällaisessa tilanteessa enää tilaajana. Hallintovaliokunta esittääkin kyseisen kohdan muuttamista siten, että päätelaitteen omistajalle annetaan samat oikeudet kuin tilaajalle.

Asiantuntijakuulemisessa on todettu, että poliisin oikeus saada telesalaisuuden alaisia tietoja on lakisystemaattisesti hajanaisesti säännelty. Poliisin oikeuksista saada tietoja säädetään pakkokeinolaissa, poliisilaissa ja ehdotetussa sähköisen viestinnän tietosuojalaissa. Pakkokeinolaissa säädetään telekuuntelusta, televalvonnasta ja matkaviestimien sijaintitietojen hankkimisesta rikoksen selvittämiseksi. Telekuuntelussa on kysymys televiestin sisällön selvittämisestä. Televalvonnassa on kysymys tunnistamistietojen hankkimisesta televiesteistä, matkaviestimen sijaintitiedon hankkimisesta ja teleliittymän tai telepäätelaitteen tilapäisestä sulkemisesta. Matkaviestimien sijaintitietojen hankkimisessa on kysymys televalvontaan liittymättömien tietojen hankkimisesta siitä, mistä matkaviestimistä on tiettynä aikana kirjautunut tieto tietyn paikan läheisyydessä sijaitsevan tukiaseman kautta telejärjestelmään. Poliisilaissa säädetään televalvonnasta rikoksen estämiseksi ja julkisessa luettelossa mainitsemattomien yhteystietojen ja nyt ehdotetussa muodossaan myös muiden telepäätelaitteen tai teleliittymän yksilöivien tietojen saannista poliisille kuuluvan tehtävän suorittamiseksi. Ehdotetussa sähköisen viestinnän tietosuojalaissa säädetään käyttäjän tai vastaavan suostumukseen perustuvasta televiestien tunnistamistietojen saannista rikoksen selvittämiseksi. Asiantuntijakuulemisen mukaan lakisystematiikan selkeyttämiseksi sääntelyrakenne voisi olla jatkossa sellainen, että pakkokeinolaissa säädettäisiin telekuuntelusta, kaikesta televiestien tunnistamistietojen saannista ja matkaviestimien sijaintitietojen hankkimisesta rikoksen selvittämiseksi. Poliisilaissa säädettäisiin telekuuntelusta ja mahdollisesti matkaviestimien sijaintitietojen hankkimisesta rikoksen estämiseksi sekä muiden telesalaisuuden alaisten tietojen saannista rikoksen estämiseksi ja selvittämiseksi ja muiden poliisille kuuluvien tehtävien suorittamiseksi.

Asiantuntijakuulemisessa on ilmennyt tarpeita laajentaa poliisin oikeuksia saada telesalaisuuden alaisia tietoja. Valiokunta toteaa kuitenkin, että laajentamistarvetta arvioitaessa on paitsi kartoitettava uudet yksittäiset tiettyjen rikosten tutkintaan liittyvät tiedonsaantitarpeet, myös tarkasteltava laajemmin sitä, mikä merkitys on sillä, onko kysymys nimenomaan sähköistä viestintää hyväksi käyttäen tehdystä rikoksesta vai muusta rikoksesta, jonka ennalta estämiseen tai selvittämiseen tarvitaan sähköiseen viestintään liittyviä tietoja. Samoin on arvioitava laajemmin käyttäjän tai vastaavan suostumuksen vaikutusta viranomaisten tiedonsaantioikeuteen. Valiokunta kiinnittää huomiota myös viestien erilaiseen luottamuksellisuusasteeseen.

Ehdotetun sähköisen viestinnän tietosuojalain 36 §:n 2 momentin 2 kohdassa on mainittu ainoastaan tilaajan suostumukseen perustuva tietojen saanti. Käytännössä on tullut ilmi, että matkaviestimen anastuksen jälkeen päätelaitteeseen vaihdetaan usein liittymäkortti. Valiokunta katsoo hallintovaliokunnan tavoin, että päätelaitteen omistajaa ei voitane pitää tällaisessa tilanteessa enää tilaajana. Tämän vuoksi valiokunta ehdottaa, että 2 momentti muutetaan siten, että tilaajan lisäksi päätelaitteen omistaja voi antaa suostumuksensa 2 kohdassa esitettyihin toimenpiteisiin.

Valiokunta katsoo asiantuntijakuulemisen perusteella, että muut poliisin tiedonsaantioikeuden laajennukset ja muutokset tulisi toteuttaa poliisin tiedonsaantioikeuksia koskevan kokonaisarvion yhteydessä poliisilakia kokonaisuudessaan uudistettaessa.

Valiokunta on tehnyt vastaavan muutoksen momentin muotoiluun.

Päätösehdotus

Edellä esitetyn perusteella liikenne- ja viestintävaliokunta ehdottaa,

että 2—8 lakiehdotukset hyväksytään muuttamattomina,

että 1. lakiehdotus hyväksytään muutettuna (Valiokunnan muutosehdotukset), ja

että hyväksytään lausuma (Valiokunnan lausumaehdotus).

Valiokunnan muutosehdotukset

1.

(Poist.)

Sähköisen viestinnän tietosuojalaki

Eduskunnan päätöksen mukaisesti säädetään:

1 luku

Yleiset säännökset

1—3 §

(Kuten HE)

2 luku

Yksityisyyden ja luottamuksellisen viestin suoja

4 §

Viestin, tunnistamistietojen ja paikkatietojen luottamuksellisuus

(1 mom. kuten HE)

Viesti ei ole luottamuksellinen, jos se on saatettu yleisesti vastaanotettavaksi. Viestiin liittyvät tunnistamistiedot ovat kuitenkin luottamuksellisia. Verkkoviestin tunnistamistietojen luovuttamisesta säädetään sananvapauden käyttämisestä joukkoviestinnässä annetun lain (460/2003) 17 §:ssä.

(3 mom. kuten HE)

5 ja 6 §

(Kuten HE)

7 §

Palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö

Viestintäverkkojen avulla toteutettu evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta. Samalla palvelun käyttäjälle on annettava mahdollisuus kieltää tässä momentissa tarkoitettu tallentaminen tai käyttö.

Edellä 1 momentissa säädetty palvelun tarjoajan tietojen antamisvelvollisuus ja käyttäjän kielto-oikeus ei koske tietojen sellaista tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa tai helpottaa viestin välittämistä viestintäverkoissa tai joka on välttämätöntä sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.

Edellä tässä pykälässä tarkoitettu tallentaminen ja käyttö on sallittua ainoastaan palvelun vaatimassa laajuudessa, eikä sillä saa rajoittaa yksityisyyden suojaa enempää kuin on välttämätöntä.

3 luku

Viestien ja tunnistamistietojen käsittely

8 §

Yleiset käsittelysäännöt

(1 ja 2 mom. kuten HE)

Jäljempänä 9—14 §:ssä tarkoitettu käsittely on sallittua ainoastaan käsittelyn tarkoituksen vaatimassa laajuudessa, eikä sillä saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä. Tunnistamistietoja on sallittua luovuttaa ainoastaan niille tahoille, joilla on oikeus käsitellä tietoja asianomaisessa tilanteessa. Käsittelyn jälkeen viestit ja tunnistamistiedot on hävitettävä tai tehtävä sellaisiksi, ettei niitä voi yhdistää tilaajaan tai käyttäjään, ellei laissa toisin säädetä.

9 §

(Kuten HE)

10 §

Käsittely laskutusta varten

(1 ja 2 mom. kuten HE)

Tietoyhteiskunnan palvelujen tarjoamisesta annetussa laissa (458/2002) tarkoitettu tietoyhteiskunnan palvelun tarjoaja voi käsitellä teleyrityksen hallinnoiman viestintäverkon välityksellä tarjottavien kuvatallenteiden, äänitallenteiden ja muiden maksullisten palvelujensa laskutusta varten välttämättömiä teleyritykseltä saamiaan tunnistamistietoja ja muita laskutuksen kannalta välttämättömiä tietoja, jos tilaaja tai käyttäjä, jota tiedot koskevat, on antanut siihen suostumuksensa.

(4—6 mom. kuten HE)

11 ja 12 §

(Kuten HE)

13 §

Käsittely väärinkäytöstapauksissa

Teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja voi käsitellä tunnistamistietoja, jos se on tarpeen verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun yksittäisten maksullisten palvelujen käyttöä maksutta tai muiden siihen rinnastuvien käyttöä koskevien väärinkäytösten havaitsemiseksi, estämiseksi ja selvittämiseksi sekä esitutkintaan saattamiseksi.

14 ja 15 §

(Kuten HE)

4 luku

Paikkatiedot

16 §

Paikkatietojen käsittely ja luovutus

(1 ja 2 mom. kuten HE)

Käsittely on sallittua ainoastaan käsittelyn tarkoituksen vaatimassa laajuudessa, eikä sillä saa rajoittaa yksityisyyden suojaa enemmän kuin on välttämätöntä. Käsittelyn jälkeen paikkatiedot on hävitettävä tai tehtävä sellaisiksi, ettei niitä voi yhdistää tilaajaan tai käyttäjään, ellei laissa toisin säädetä.

(4 mom. kuten HE)

17 ja 18 §

(Kuten HE)

5 luku

Viestinnän tietoturva

19 §

Velvollisuus huolehtia tietoturvasta

Teleyrityksen ja lisäarvopalvelun tarjoajan on huolehdittava palvelujensa tietoturvasta. Yhteisötilaajan on huolehdittava käyttäjiensä tunnistamistietojen ja paikkatietojen käsittelyn tietoturvasta. Palvelun ja käsittelyn tietoturvasta huolehtiminen tarkoittaa toimia toiminnan turvallisuuden, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden sekä tietoaineistoturvallisuuden varmistamiseksi. Nämä toimet on suhteutettava uhkien vakavuuteen, tekniseen kehitystasoon ja kustannuksiin.

(2 ja 3 mom. kuten HE)

20 §

Toimenpiteet tietoturvan toteuttamiseksi

Tietoturvaloukkausten torjumiseksi ja tietoturvaan kohdistuvien häiriöiden poistamiseksi teleyrityksellä, lisäarvopalvelun tarjoajalla tai yhteisötilaajalla ja näiden lukuun toimivalla on oikeus ryhtyä välttämättömiin toimiin 19 §:ssä tarkoitetun tietoturvan varmistamiseksi

1) estämällä sähköpostiviestien, tekstiviestien ja muiden vastaavien viestien välittäminen ja vastaanottaminen;

2) poistamalla tietoturvaa vaarantavat haittaohjelmat viesteistä; sekä

3) toteuttamalla muut näihin rinnastettavat teknisluonteiset toimet.

Edellä 1 momentissa tarkoitettuihin toimiin saa ryhtyä vain, jos toimet ovat välttämättömiä verkkopalvelujen tai viestintäpalvelujen taikka viestin vastaanottajan viestintämahdollisuuksien turvaamiseksi. (Poist.)

Viestin sisältöön saa puuttua ainoastaan teknisin keinoin viestin tarkastamiseksi ja poistamiseksi, jos on todennäköisiä syitä epäillä viestin sisältävän sellaisen tietokoneohjelman tai ohjelmakäskyjen sarjan, jota tarkoitetaan rikoslain (39/1889) 34 luvun 9 a §:n 1 kohdassa, tai jos on todennäköisiä syitä epäillä, että viestiä käytetään rikoslain 38 luvun 5 §:ssä säädettyyn tietoliikenteen häirintään.

Toimenpiteet on toteutettava huolellisesti ja ne on mitoitettava torjuttavan häiriön vakavuuteen. Toimenpiteitä toteutettaessa ei saa rajoittaa sananvapautta taikka luottamuksellisen viestin tai yksityisyyden suojaa enempää kuin on välttämätöntä verkkopalvelujen tai viestintäpalvelujen taikka viestin vastaanottajan viestintämahdollisuuksien turvaamiseksi. Toimenpiteet on lopetettava heti, kun niiden toteuttamiselle ei enää ole tässä pykälässä säädettyjä edellytyksiä.

Viestintävirasto voi antaa tarkempia määräyksiä (poist.) tietoturvaloukkausten tässä pykälässä tarkoitetusta teknisestä torjumisesta ja tietoturvaan kohdistuvien häiriöiden poistamisesta.

21 §

Tietoturvailmoitukset

(1 ja 2 mom. kuten HE)

Teleyrityksen on torjuttuaan palveluunsa kohdistuneen merkittävän tietoturvaloukkauksen tai -uhkan taikka poistettuaan häiriön tiedotettava tarkoituksenmukaisella tavalla toteuttamistaan toimista ja niiden mahdollisista vaikutuksista palvelun käyttöön. (Uusi)

Viestintävirasto voi antaa tarkempia määräyksiä 1 ja 2 momentissa tarkoitettujen ilmoitusten sisällöstä, muodosta ja Viestintävirastolle toimittamisesta tai ohjeita 3 momentissa tarkoitetun tiedottamisen sisällöstä ja muodosta.

6 luku

Puhelupalvelut

22—25 §

(Kuten HE)

7 luku

Suoramarkkinointi

26—28 §

(Kuten HE)

29 §

Suoramarkkinoinnin vastaanottamisen estä­minen

Käyttäjän pyynnöstä teleyrityksellä ja yhteisötilaajalla on oikeus estää 26—28 §:ssä tarkoitetun suoramarkkinoinnin vastaanottaminen. Toimenpiteet on toteutettava huolellisesti, eikä niillä saa rajoittaa sananvapautta taikka luottamuksellisen viestin tai yksityisyyden suojaa enemmän kuin on välttämätöntä.

8 luku

Ohjaus ja valvonta

30—32 §

(Kuten HE)

9 luku

Tiedonsaantioikeus

33 §

Ohjaus- ja valvontaviranomaisten tiedonsaantioikeus

Liikenne- ja viestintäministeriöllä, Viestintävirastolla ja tietosuojavaltuutetulla on oikeus saada tässä laissa säädettyjen tehtäviensä hoitamiseksi välttämättömät tiedot salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten estämättä teleyritykseltä, lisäarvopalvelun tarjoajalta, yhteisötilaajalta, teleurakoitsijalta, palvelun tarjoajalta, joka käsittelee palvelun käyttöä kuvaavia tietoja, suoramarkkinoinnin harjoittajalta, tilaajaluettelopalvelun ja numerotiedotuspalvelun tarjoajalta sekä näiden lukuun toimivilta niiden harjoittamasta tässä laissa tarkoitetusta toiminnasta. Liikenne- ja viestintäministeriön, Viestintäviraston ja tietosuojavaltuutetun tiedonsaantioikeus ei koske tietoja luottamuksellisista viesteistä, tunnistamistiedoista tai paikkatiedoista.

(2 mom. kuten HE)

Viestintävirastolla ja tietosuojavaltuutetulla on oikeus saada tässä laissa säädettyjen tehtävien hoitamiseksi tunnistamistiedot, paikkatiedot ja 20 §:n 2 momentissa tarkoitetut viestit, jos ne ovat tarpeen käsittelyä, 7 §:ssä tarkoitettujen tietojen käyttöä tai suoramarkkinointia koskevien säännösten noudattamisen valvomiseksi tai merkittävien tietoturvaloukkausten ja -uhkien selvittämiseksi ja jos Viestintäviraston tai tietosuojavaltuutetun arvion mukaan on syytä epäillä, että jokin seuraavista tunnusmerkistöistä täyttyy:

(1—3 kohdat kuten HE)

4) rikoslain 35 luvun 1 §:n 2 momentissa tarkoitettu vahingonteko;

(5—10 kohdat kuten HE)

(4 mom. kuten HE)

Viestintäviraston ja tietosuojavaltuutetun on hävitettävä 3 momentin nojalla saamansa tiedot luottamuksellisista viesteistä, tunnistamistiedoista ja paikkatiedoista, kun ne eivät enää ole tarpeen 3 momentissa säädettyjen tehtävien tai niitä koskevan rikosasian (poist.) käsittelemiseksi. Tiedot luottamuksellisista viesteistä, tunnistamistiedoista ja paikkatiedoista on hävitettävä viimeistään kahden vuoden tai, jos on kysymys tietoturvaloukkausten selvittämistä koskevista tiedoista, viimeistään kymmenen vuoden kuluttua sen kalenterivuoden päättymisestä, jonka aikana tiedot saatiin tai päätös taikka tuomio tässä momentissa tarkoitetuissa asioissa sai lainvoiman.

(6 mom. kuten HE)

34 ja 35 §

(Kuten HE)

36 §

Eräiden muiden viranomaisten tiedonsaanti­oikeus

(1 mom. kuten HE)

Poliisilla on 5 §:ssä säädetyn vaitiolovelvollisuuden estämättä oikeus saada teleyritykseltä:

(1 kohta kuten HE)

2) tilaajan tai päätelaitteen omistajan suostumuksella matkaviestimestä lähetettyjä viestejä koskevat tunnistamistiedot siltä osin kuin se on tarpeen sellaisen rikoksen selvittämiseksi, jonka johdosta matkaviestin tai siinä käytetty liittymä on oikeudettomasti toisen hallussa.

(3 mom. kuten HE)

37 §

(Kuten HE)

10 luku

Tietoturvamaksu

38—40 §

(Kuten HE)

11 luku

Erinäiset säännökset

41—44 §

(Kuten HE)

Valiokunnan lausumaehdotus

Eduskunta edellyttää, että tietoturvamaksulla kerättävät varat ohjataan lyhentämättöminä kattamaan Viestintäviraston toiminnasta aiheutuvia kuluja.

Helsingissä 19 päivänä toukokuuta 2004

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

pj. Markku Laukkanen /kesk
vpj. Matti Kangas /vas
jäs. Leena Harkimo /kok
Saara Karhu /sd
Marjukka Karttunen /kok
Risto Kuisma /sd
Reino Ojala /sd
Erkki Pulliainen /vihr
Pertti Salovaara /kesk
Arto Seppälä /sd
Timo Seppälä /kok
Harry Wallin /sd
Lasse Virén /kok
Raimo Vistbacka /ps
vjäs. Reijo Paajanen /kok
Lyly Rajala /kok

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Mika Boedeker