FiComin lausunto sähköisen viestinnän palvelulain muuttamiseksi

Hallintovaliokunta on pyytänyt lausuntoa hallituksen esityksestä sähköisen viestinnän palveluista annetun lain, henkilötietojen käsittelystä Puolustusvoimissa annetun lain ja henkilötietojen käsittelystä poliisitoimessa annetun lain muuttamiseksi (HE 243/2022 vp). FiCom kiittää mahdollisuudesta lausua asiasta ja toteaa seuraavaa: 

FiComin pääviestit:

• Ehdotetut muutokset ovat lähtökohtaisesti kannatettavia ja perusteltuja.
• Kun viranomaiset luovuttavat tietoja toisilleen, niiden tulee ilmoittaa siitä yritykselle, jonka tietoja on luovutettu. Suomen sisällä tehdyistä luovutuksista ilmoitusvelvollinen voisi olla tiedot vastaanottava viranomainen, jonka tulee tehdä ilmoitus yritykselle 30 vuorokauden sisällä tiedon vastaanottamisesta. Ulkomaille tehdyistä luovutuksista ilmoitusvelvollinen olisi luovuttava viranomainen, jonka tulee kertoa asiasta 30 vuorokauden sisällä luovutuksesta.
• Viranomaisten tietojenluovutussäännöstöä tulee täydentää lisäyksellä, ettei luovutettua tietoa saa luovuttaa edelleen muille kuin pykälässä mainituille suomalaisille viranomaisille (319 a §).
• Edellytyksiä, joilla Liikenne- ja viestintävirastolla on oikeus luovuttaa tietoja ulkomaiselle viranomaiselle, on tiukennettava huomattavasti tai vähintään sellaisiksi kuin ehdotetussa 319 a §:ssä säädetään edelleenluovutusoikeudesta (319 §).
• Sähköisen viestinnän palvelulaissa on runsaasti tietojen käsittely- ja luovutusedellytyksiä koskevia säännöksiä eri viranomaisille, eikä kokonaisuus ole enää selkeä. FiCom esittää, että käsittely- ja luovutusedellytyksistä tehdään lähiaikoina kokonaisarviointi.

1. Yleiset kommentit viranomaisten toimintamahdollisuuksista tietoturvaloukkauksien selvittämiseksi

Esitys koskee viranomaisten yhteistoimintaa yhteiskunnan kriittisten toimintojen kannalta merkittävissä tietoturvaloukkaustilanteissa. Tavoitteena on luoda edellytykset viranomaisten tiedonvaihdolle ja virka-avulle vakavissa tietoturvaloukkaustilanteissa ja -uhkissa säätämällä loukkausten selvittämisen kannalta keskeisten viranomaisten keskinäisestä oikeudesta vaihtaa tietoturvaloukkauksen selvittämiseksi välttämättömiä tietoja. Keskeiset edellytykset jakaantuvat neljään osaan:

1. Viranomaisten (Liikenne- ja viestintävirasto, poliisi, suojelupoliisi ja Puolustusvoimat) tiedonvaihto-oikeuksien laajentaminen vakavissa tietoturvaloukkaustilanteissa tai uhkissa mukaan lukien henkilötietosääntely,
2. Liikenne- ja viestintäviraston mahdollisuus saada poliisilta, suojelupoliisilta ja puolustusvoimilta virka-apua,
3. viestinnän välittäjien oikeus oma-aloitteiseen tiedonluovutukseen Liikenne- ja viestintävirastolle viestien sisällön ja välitystietojen osalta sekä
4. päätöksentekomenettelyjen keventäminen Liikenne- ja viestintäviraston antaman virka-avun ja ulkomaille luovutettavan tiedon osalta.

FiCom pitää esityksen tavoitteita kannatettavina ja tarpeellisina. Esityksessä on kuitenkin muutamia kohtia, joihin FiCom haluaa kiinnittää valiokunnan huomion.

2. Edelleenluovutettujen tietojen ilmoittamisesta yritykselle

Luovutettaessa tietoja viranomaisten kesken tulee näiden ilmoittaa luovutuksesta yritykselle, jonka tietoja on luovutettu. Teleyrityksen toiminta perustuu luottamukseen. Tämän vuoksi teleyrityksen hallinnoimat luottamukselliset tiedot ovat hyvin kriittistä omaisuusdataa, jota hallinnoidaan erittäin huolellisesti. Luovuttavalla teleyrityksellä on selkein kokonaisymmärrys luovutetusta datasta. Luovuttava teleyritys on asianosainen, ja sillä on intressi ymmärtää, mihin sen luottamuksellinen tieto päätyy. Tästä syystä yritykselle on keskeistä tiedostaa ja ymmärtää, millä viranomaisilla sen dataa on.

Jos annetaan oikeuksia, samalla syntyy myös vastuuta ja velvollisuuksia. FiComin mielestä viranomaisen ilmoitusvelvollisuus luo läpinäkyvyydellään luottamusta. Tällöin voidaan valvoa, että edelleenluovutukset ovat perusteltuja ja lainmukaisia. Jos mukana on esimerkiksi välitystietoja, myös rekisterinpitäjän roolissa teleoperaattoreilla on suotavaa olla tieto edelleenluovutuksista jo läpinäkyvyyden vuoksi.

Teleyritykset antavat todella suuria datamassoja valvoville viranomaisille näiden lakiin perustuvaa tarkoitusta varten. Jos viranomaisen ei tarvitse ilmoittaa yritykselle tietojen luovutuksesta, miten yritys varmistuu, että viranomaiskentässä ei tarpeettomasti välitetä yritysten tietoja, jotka on kerätty jotain tiettyä tarkoitusta varten? Jos vastaanottavalla viranomaisella on toimivalta käsitellä luovutettuja tietoja, viranomainen voisi pyytää ne suoraan yritykseltä. Erityisesti sijainti- ja välitystietoihin liittyen on tarpeen varmistaa, että viranomaisella on varmasti ymmärrys siitä, miten teleoperaattoritietoja voi lukea ja tulkita, ettei niiden pohjilta tehdä vääriä päätelmiä. Tulkintaohjeistusta ja -tukea on vaikea tarjota, elleivät teleoperaattorit tiedä, kenelle viranomaisille tietoa on jaettu. Yrityksellä on paras tietämys luovutettavasta datasta ja sen alkuperäisestä asiayhteydestä.

Esityksen perusteluissa todetaan, että yksityisille toimijoille voidaan luovuttaa tietoa sähköisen viestinnän palvelulain nojalla laajasti silloin, kun tietoturvaloukkaus koskee heitä itseään (s. 38). FiComin mielestä tätä ei voida pitää riittävänä, koska tietojen anto ei ole velvoittavaa, vaan edelleenluovutus jää viranomaisen omaan harkintaan.

Ulkomaille luovutettavan tiedon osalta esityksen perusteluissa todetaan, että tällä hetkellä tietojen luovuttamiselle pyydetään käytännössä lupa ennakollisesti, eikä tähän periaatteeseen ole tarkoitus tehdä normaalitilanteessakaan muutosta (s. 39). FiComin jäsenyrityksiltään saaman tiedon mukaan niiltä ei kysytä lupaa etu- tai jälkikäteen. Selvyyden vuoksi ilmoitusvelvollisuus tulee kirjata lakiin.

FiComin näkemyksen mukaan ilmoitusvelvollisuus ei juurikaan lisäisi viranomaisen hallinnollisia kuluja, koska perusteluiden mukaan erittäin vakavia tietoturvaloukkauksia on Suomessa tähän mennessä havaittu ja koettu verrattain vähän (s. 23). Ilmoitusvelvollisuudesta seuraavaa hallinnollista taakkaa ja kuluriskiä voisi hajauttaa esimerkiksi säätämällä ilmoitusvelvollisuus tiedon vastaanottavalle viranomaiselle.

Ilmoituksen määräaika voisi olla, että Suomen sisällä tehdyistä luovutuksista tietoja vastaanottava viranomainen tekee ilmoituksen 30 päivän kuluessa niiden vastaanottamisesta. Tämä määräaika on linjassa yleisen tietosuoja-asetuksen (GDPR:n) kanssa. GDPR:n mukaan rekisterinpitäjän on ilmoitettava viimeistään 30 päivän kuluessa, mikäli se on vastaanottanut henkilötietoja silloin, kun tiedot on saatu muualta kuin henkilöltä itseltään. Ulkomaille tehdyistä luovutuksista ilmoitusvelvollinen olisi luovuttava viranomainen 30 vuorokauden sisällä luovutuksesta.

3. Viranomaisten välinen tiedonvaihto (319 a §)

Ehdotus on pääosin kannatettava ja perusteltu. Tiedonvaihdon edellytykselle on asetettu ehdotetussa säännöksessä useita kriteereitä, kuten merkittävyys- ja välttämättömyyskriteerit. Lisäedellytyksiä ovat loukkauksen tai uhkan vakavat ja haitalliset vaikutukset kansalliseen turvallisuuteen, maanpuolustukseen, kansainvälisiin suhteisiin, julkisen vallan päätöksentekokykyyn, yhteiskunnan kriittiseen infrastruktuurin

taikka yleiseen järjestykseen ja turvallisuuteen. Esitys näyttäisi täyttävän myös suhteellisuusperiaatteen edellytykset, sillä kyse on yksittäistapausta koskevasta tiedonvaihdosta eikä esimerkiksi massaluovutuksista.

FiCom pitää hyvänä säännöksen 2 momentin tiedon käyttötarkoituksen täsmennystä, jossa luovutettuja tietoja saa käyttää vain tietoturvaloukkausten ja -uhkien selvittämiseksi, ennalta ehkäisemiseksi tai niiden vaikutusten poistamiseksi, eikä tietoa saa käyttää muussa tarkoituksessa. Ehdotuksen mukaan sillä ei muodosteta viranomaisille varsinaista uutta tapaa hankkia tietoja muiden lakisääteisten tehtäviensä hoitamiseksi, vaan tietoa käytetään vain tietoturvaloukkausten selvittämisen yhteydessä.

Selvyyden vuoksi FiCom ehdottaa, että säännökseen lisätään, ettei luovutettua tietoa saa luovuttaa edelleen muille tahoille kuin pykälässä mainituille suomalaisille viranomaisille.

Edellä lausunnon kohtaan 2 viitaten FiCom ehdottaa, että viranomaisten luovuttaessa tietoja toisilleen niiden tulee ilmoittaa 30 vuorokauden määräajassa sille yritykselle, jonka tietoja on luovutettu, mitä tietoa ja milloin on luovutettu ja kenelle.

FiCom pitää positiivisena, että esitykseen on valmistelun aikana lisätty tietojen hävittämistä koskeva velvoite (319 a § 2 mom.)

FiCom toteaa, että tiedonvaihtoa koskevat rajoitukset ovat perusteltuja erityisesti luottamuksellisen viestin ja yksityisyyden suojaan kohdistuvan perusoikeussuojan vuoksi. Pykälässä säädetyt edellytykset kokonaisuutena arvioiden luovat asianmukaiset lainsäädännölliset raamit ja riittävän korotetun tason mainituille oikeussuojille, jos siihen lisätään mainitut edelleenluovutus- ja ilmoitussäännökset.

Tietojen luovuttaminen ulkomaille (319 § 2 mom 2 kohta)

 Esityksessä ehdotetaan päätöksentekomenettelyn keventämistä ulkomaille luovutettavan tiedon osalta siten, että jatkossa asiasta päättäisi Liikenne- ja viestintävirasto ilman liikenne- ja viestintäministeriön myötävaikutusta tai päätöstä. Voimassa oleva laki (319 § 2 ja 3 mom) mahdollistaa muun muassa massaluovutuksen. Siitä puuttuvat myös merkittävyys-, vaikutus- ja välttämättömyyskriteerit, edelleenluovutuskielto sekä ehdoton käyttötarkoitus. Lisäksi luovutuksen kohde on hyvin avoin. Säännöksestä puuttuvat kaikki ehdotetun 319 a §:n mukaiset edellytykset. Ei voi olla niin, että ulkomaiselle toimijalle voidaan luovuttaa tietoja huomattavasti kevyemmillä perusteilla kuin rajoitetulle joukolle kotimaisia viranomaisia.

Säännöksen 2 momentin mukaan Liikenne- ja viestintävirastolla on salassapitovelvollisuuden tai muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tietoturvaloukkauksia koskevan tiedonkeruun ja selvittämisen yhteydessä saamiaan välitystietoja ja muita tietoja muussa valtiossa toimivalle viranomaiselle tai muulle vastaavalle taholle, jonka tehtävänä on ennalta ehkäistä tai selvittää viestintäverkkoihin ja -palveluihin kohdistuvia tietoturvaloukkauksia.

Liikenne- ja viestintävirastolla on 3 momentin mukaan oikeus luovuttaa tietoja ainoastaan siinä laajuudessa kuin se on tarpeen tietoturvaloukkausten ehkäisemiseksi ja selvittämiseksi. Tietojen luovuttamisella ei saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä.

Sinänsä menettelyn keventäminen on ymmärrettävää, mutta luovuttamisen edellytykset ovat huomattavasti kevyempiä kuin nyt ehdotetussa 319 a §:ssä, jossa edellytyksinä ovat merkittävyys sekä vakavat ja haitalliset vaikutukset muun muassa kansalliseen turvallisuuteen. Esitystä tulee täydentää siten, että tietojen luovutusedellytykset ulkomaille ovat vaativampia tai vähintään samalla tasolla kuin kotimaisille viranomaisille tietoja luovutettaessa. Lähtökohtana tulee pitää ehdotetun 319 a §:n edellytyksiä, kuten merkittävyyttä, vaikuttavuutta, välttämättömyyttä, suhteellisuutta ja käyttötarkoitusta.

Yritysten on viestinnän luottamuksellisuuden takia saatava tietoa luovutuksista, joten Liikenne- ja viestintäviraston tulee tehdä yhteistyötä niiden yritysten kanssa, joiden tietoja luovutetaan. Tämänkaltainen säännös viraston ja liikenne- ja viestintäministeriön kesken on poistettavaksi ehdotetussa 5 momentissa.

Edellä lausunnon kohtaan 2 viitaten FiCom ehdottaa, että Liikenne- ja viestintäviraston tulee vähintäänkin ilmoittaa yritykselle, jonka tietoja on luovutettu, mitä tietoa ja milloin on luovutettu ja kenelle.

4. Viestinnän välittäjän oikeus luovuttaa tietoja viesteistä ja välitystiedoista

Ehdotus on kannatettava ja perusteltu, koska viestinnän välittäjä voisi vapaaehtoisesti ja oma-aloitteisesti luovuttaa tietoa Liikenne- ja viestintävirastolle tilanteissa, joissa se voi olla tarpeen tietoturvaloukkausten tai -uhkien selvittämiseksi taikka ennalta ehkäisemiseksi. Ehdotus koskee 272 §:n mukaisia tilanteita, joissa viestinnän välittäjällä ja lisäarvopalvelun tarjoajalla sekä niiden lukuun toimivalla taholla on oikeus ryhtyä pykälän 2 momentissa tarkoitettuihin välttämättömiin toimiin tietoturvasta huolehtimiseksi.

Ehdotus on systematiikaltaan looginen 272 §:n kanssa: molemmissa tilanteissa on kysymys viestinnän välittäjän oikeudesta ryhtyä säännöksissä mainittuihin toimenpiteisiin, eivätkä ne luo velvoitetta. Vapaaehtoisuus on yksi keskeisimmistä soveltamiskeinoista, eikä siitä saa tulla myöhemmin velvoittavaa. Jos yrityksillä ei tällä hetkellä ole menetelmiä ja keinoja ryhtyä selvittämään 272 §:n mukaisia tilanteita ja tapauksia, ei näitä keinoja tule luoda nyt ehdotetun säännöksen toteuttamiseksi.

Toisaalta viestinnän välittäjä harkitessaan luovutuksen käyttöoikeuttaan joutuu arvioimaan, onko kyse 272 §:n mukaisista tilanteista. Esityksen mukaan tietojen luovuttamisessa olisi kyse tilanteesta, jossa viestinnän välittäjällä olisi jo valmiiksi laissa säädetty käsittelyperuste SVPL 272 §:n 1 momentin nojalla, eikä kyse olisi uudesta oikeudesta käsitellä välitystietoja ja tietoja viesteistä. Luovuttajan kannalta ongelmaksi voi muodostua se, että tietojen luovuttaminen viranomaiselle voi nostaa luovutuskynnystä, koska tällöin viranomainen tutkii, onko 272 §:n käsittelyoikeus syntynyt. Tällainen kynnys saattaa olla enemmän pk-yritysten haaste.

Ehdotuksen mukaan pykälässä tarkoitetut tiedot viestin sisällöstä tarkoittaisivat lähtökohtaisesti sellaisia tietoja, jotka eivät olisi luottamuksellisen viestinnän kannalta merkityksellisiä, vaan lähinnä haittaohjelmia sisältäviä tai levittäviä, automaattisesti luotuja viestin sisältöjä tai muuten haitallisia käskyjä. Säännös mahdollistaisi myös automatisoidun tiedon luovuttamisen tapauksissa, joissa viestinnän välittäjän määrittelemät kriteerit tietojen luovuttamiselle sen SVPL 272 §:n nojalla toteuttamien toimenpiteiden kohdalla täyttyvät.

Toisaalta ehdotus voi paikata sääntelyssä olevan mahdollisen aukon tilanteissa, joissa kyse ei ole ilmoitusvelvollisuuden kynnyksen ylittävästä merkittävästä tietoturvaloukkaustilanteesta ja viestinnän välittäjä haluaisi tehdä ilmoituksen Kyberturvallisuuskeskukselle. Näissä ei-merkittävissä tilanteissa viestinnän välittäjä voi tarvita Kyberturvallisuuskeskuksen tukea havaitsemansa tietoturvaloukkauksen, kuten haittaohjelman, toimintaperiaatteen selvittämiseen, sillä näiden tietojen luovuttaminen Liikenne- ja viestintävirastolle on aiheuttanut haasteita. 

5. SVPL:n käsittely- ja luovutustietosäännösten kokonaisarviointi

 FiCom haluaa kiinnittää huomiota siihen, että sähköisen viestinnän palvelulaissa on useita eri viranomaisille tietojen luovutusta koskevia velvollisuuksia. Lisäksi laissa on runsaasti säännöksiä tietojen käsittelystä eri viranomaisissa. Luovutus- ja käsittelysäännösten edellytykset poikkeavat toisistaan useassa kohtaa, sillä säännöksiä on lisätty ja muutettu vuosien saatossa, eikä kokonaisuus ole enää selkeä. FiCom esittää, että käsittely- ja luovutusedellytyksistä tehdään lähiaikoina kokonaisarviointi.