FiComin lausunto siviilitiedustelulain säännöksistä

Hallintovaliokunnalle
Asia: HE 202/2017 vp

Pääviestit

• FiCom pitää esitystä tarpeellisena ja kannattaa esityksen tavoitteita.
• Teleyrityksellä tulee olla samanlainen oikeus täyteen korvaukseen viranomaisten avustamisesta kuin tiedonsiirtäjällä. Toissijaisesti kustannusten tasoa on seurattava tiiviisti ja ryhdyttävä viipymättä toimenpiteisiin korvaussääntelyn muuttamiseksi, jos kustannukset nousevat merkittävästi nykyisestä. Lisäksi FiCom viittaa korvauskysymyksessä liikenne- ja viestintävaliokunnan lausuntoon LiVL 26/2018 vp.
• Tiedusteluviranomaisilla ei tule olla itsenäistä ja salaista pääsyä teleyrityksen laitetiloihin, järjestelmiin ja ohjelmistoihin. Ulkoisen seurantalaiteen asentamisen pitää perustua tuomioistuimen päätökseen eikä laitteesta tai sen asentamisesta saa aiheutua vaaraa verkon toiminnalle tai sivullisten yksityisyydensuojalle. Asennuskielto on syytä laajentaa myös tietoyhteiskunnan palvelun tarjoajiin.
• Tiedonsiirtäjän tiedonantovelvoitteen pykälän (22 §) perusteluja on tarkoituksenmukaista ja tarpeellista oikaista valiokunnan mietinnön perusteluissa vastaamaan sotilastiedustelulain perusteluja, kuten myös liikenne- ja viestintävaliokunta on ehdottanut.

FiCom pitää esitystä tarpeellisena ja sen tavoitteita kannatettavina

Esityksen valmistelussa on tehty tiivistä yhteistyötä valmistelijoiden sekä FiComin ja sen jäsenyritysten välillä. Useita säännösehdotuksia on kehitetty yhteistyössä, ja muutosten myötä esitys on selkeytynyt ja parantunut. Esitys on tarpeellinen ja sen tavoitteet kannatettavia.

Yrityksille aiheutuvien kustannusten korvaaminen

Ehdotetuista säännöksistä koituisi teleyrityksille kustannuksia, joiden määrä riippuisi poliisilain 5 a luvussa tarkoitettujen menetelmien sekä siviilitiedustelulaeissa vaadittavien toimenpiteiden kokonaismäärästä. Tiedustelumenetelmien tai -toimenpiteiden kokonaismäärä ei ole teleyritysten ennakoitavissa eikä kontrolloitavissa. Esityksen perusteella ei liioin pysty ennakoimaan, minkälaisiksi tiedustelutoimenpiteistä johtuvat kustannukset tulisivat teleyrityksille muodostumaan.

Korvauskäytäntö määräytyisi esityksen mukaan vuoden 2015 alusta muuttuneen sähköisen viestinnän palvelulain (917/2014) 299 §:n perusteella. Tämän mukaan teleyritykset eivät ole enää saaneet korvausta viranomaisten avustamisesta aiheutuneista työ- eli henkilöstön käytöstä aiheutuvista kustannuksista, mutta järjestelmäkustannukset on edelleen korvattu.

Liikenne- ja viestintävaliokunta on lausunnossaan (LiVL 26/2018 vp, s. 4) todennut, että se ei lähtökohtaisesti pidä hyvänä, että teleyrityksille säädetään sellaisia uusia viranomaisten avustamista koskevia tehtäviä, joista aiheutuvia kustannuksia ei pystytä etukäteen arvioimaan. Lisäksi valiokunta toteaa, että kyse on tiedusteluviranomaisten toiminnasta aiheutuvista kustannuksista, joista huolehtiminen tulisi myös kuulua viranomaiselle. Valiokuntaa pitää hyvänä, että esityksen mukaan tiedonsiirtäjällä on oikeus saada valtion varoista korvaus viranomaisen avustamisesta aiheutuneista välittömistä kustannuksista.

FiCom on samaa mieltä lausunnon toteamuksen kanssa. Kustannusten korvauksen sääntelyä tulee muuttaa siten, että teleyrityksillä on aina oikeus täysimääräiseen korvaukseen viranomaisten avustamisesta aiheutuneista kustannuksista kuten tiedonsiirtäjällä. Nykyinen käytäntö on omiaan johtamaan tehottomiin toimintatapoihin, kun järjestelmien kehittämisen asemesta tyydyttäisiin ei-korvattaviin manuaalisesti tehtäviin toimenpiteisiin.

Lisäksi liikenne- ja viestintävaliokunta pitää erittäin tärkeänä, että kustannusten tasoa seurataan tiiviisti ja ryhdytään viipymättä toimenpiteisiin korvaussääntelyn muuttamiseksi, jos kustannukset nousevat merkittävästi nykyisestä.

Toissijaisesti FiCom esittää, että jos hallintovaliokunta ei tässä yhteydessä muuta kustannuksia koskevaa sääntelyä, se toteaisi mietinnössään, että kustannusten tasoa seurataan tiiviisti liikenne- ja viestintävaliokunnan lausunnon mukaisesti.

Itsenäinen pääsy laitetiloihin

Esityksen poliisilain 5 luvun 16 §:n mukaan tiedusteluviranomaisilla olisi oikeus salaa asentaa ja poistaa valvontaan, seurantaan tai tarkkailuun soveltuva laite toimenpiteen kohteena olevaan esineeseen tai tilaan.

Liikenne- ja viestintävaliokunnan lausunnonmukaan (s. 4 ja 5) ulkopuolisen salaa asentamat laitteet ja ohjelmistot voivat aiheuttaa vakavia ongelmia palvelujen toiminnan ja tietoturvallisuuden kannalta, joten valiokunnan näkemyksen mukaan tämän kaltaisia menettelyjä tulee voida käyttää vain tilanteissa, joissa se on erityisistä syistä välttämätöntä.

Teleyritysten on käytännössä hyvin vaikea huolehtia sähköisen viestinnän palvelulain 29 luvun mukaisista viestintäverkkojen laatuvaatimuksista, jos viranomaisilla on oikeus omatoimisesti päästä teleyritysten tietämättä niiden laitetiloihin ja kytkeä sekä poistaa verkkoihin laitteita teleyritysten tietämättä. Laitteiden asentaminen salaa teleyritysten ja tietoyhteiskunnan palvelujen tarjoajien laitetiloihin on oltava kiellettyä, jotta koko viestintäinfrastruktuurin toimintavarmuus, palveluiden laatu ja palveluiden käyttäjien yksityisyyden suoja voidaan turvata. Toiminnan tulee olla yksikäsitteistä, läpinäkyvää ja dokumentoitua, joten laitteiden asentamisen tulee perustua tuomioistuimen päätökseen.

Lisäksi viestintälainsäädännön ja palveluiden käyttäjien yksityisyyden suojan, myös toukokuussa 2018 voimaantulleen yleisen henkilötietoasetuksen, tietoturvaloukkauksien seuraamusten vuoksi on ehdottoman tärkeää, että tiedusteluviranomaisilla ei ole mahdollisuutta päästä salaa yleisten viestintäverkkojen laitetiloihin. Laite ja sen asentaminen ei saa aiheuttaa missään tilanteissa aiheuttaa vaaraa sivullisten yksityisyydensuojalle. Ulkopuolisten yksityisyyden suojaamiseksi kielto on tarpeen ulottaa koskemaan myös tietoyhteiskunnan palveluiden tarjoajia, koska Suomi on pilvipalvelujen käytössä EU:n kärkeä. 

FiCom esittää, että valiokunta mietinnössään toteaisi, että laitteiden asentaminen salaa teleyritysten ja tietoyhteiskunnan palvelujen tarjoajien laitetiloihin on kiellettyä ja laitteen asentamisen pitää perustua tuomioistuimen päätökseen eikä laitteesta tai sen asentamisesta ei saa aiheutua vaaraa verkon toiminnalle tai toiminnan kannalta sivullisten yksityisyydensuojalle.

Tiedonsiirtäjän tiedonantovelvollisuus – yhdenmukaisuus siviili- ja sotilasesityksissä

FiComin, sen jäsenyritysten ja lakiesitysten valmistelijoiden kesken kehitettiin tiedonsiirtäjien tiedonantovelvollisuuden yksityiskohtia, joiden perusteella muotoutuivat sotilastiedusteluehdotuksen 9 luvun 95 § perustelut (s. 328). Niiden mukaan tiedonsiirtäjällä ei ole velvollisuutta luovuttaa tiedusteluviranomaisille asiakaskohtaisia tietoja, vaan tietoja verkon teknisestä toteuttamistavasta ja topologiasta.

Sen sijaan siviilitiedustelulakiehdotuksen 22 §:n yksityiskohtaisiin perusteluihin (s. 261) on jäänyt, ilmeisesti epähuomiossa, lausuntoversiossa ollut kirjaus, jonka mukaan tiedonantovelvollisuuden piiriin kuuluvat tiedot koskisivat ennen kaikkea sitä, mitkä asiakasorganisaatiot ovat varanneet tiedonsiirtäjältä siirtokapasiteettia käyttöönsä, ja mitä tiedonsiirtäjän hallitsemia, rajan ylittävän viestintäverkon osia tällaiset varaukset koskevat.

Liikenne- ja viestintävaliokunnan lausunnosta käy ilmi, että esittelevältä ministeriöltä saadun selvityksen mukaan säännöksen tarkoituksena on antaa tietoja vain verkon teknisestä toteuttamistavasta ja topologiasta. Asiakkaana olevista luonnollisista henkilöistä tai oikeushenkilöistä tietoja ei sen sijaan kyseisen säännöksen perusteella annettaisi. Edelleen liikenne- ja viestintävaliokunta toteaa lausunnossaan, että säännöksen keskeisen merkityksen vuoksi se ehdottaa, että hallintovaliokunta täsmentää mietintönsä perusteluissa kyseisen säännöksen tulkintaa yhtenäiseksi sotilastiedustelusta annetun lakiehdotuksen kanssa.

FiCom esittää, että hallintovaliokunta korjaa edellä tarkoitetun ristiriidan mietinnössään esimerkiksi seuraavasti:

Valiokunta toteaa hallituksen esityksen siviilitiedustelulain 22 §:n yksityiskohtaisista perusteluista poiketen, että siviilitiedustelulain 22 §:ssä tarkoitetuilla Suomen rajan ylittävän viestintäverkon rakenteeseen ja verkossa kulkevan tietoliikenteen reitittymiseen liittyvillä teknisillä tiedoilla tarkoitetaan tietoja, jotka koskevat verkon teknistä toteuttamistapaa ja topologiaa esimerkiksi tietyn maantieteellisen alueen osalta. Pykälän mukaan tiedonsiirtäjää ei voitaisi velvoittaa luovuttamaan asiakkaana olevaan yksittäiseen luonnolliseen tai oikeushenkilöön liittyviä tietoja.