FiComin lausunto tiedustelulainsäädäntöä koskevasta valtioneuvoston selonteosta

Hallintovaliokunta on pyytänyt FiComilta lausuntoa tiedustelulainsäädäntöä koskevasta valtioneuvoston selonteosta (VNS 11/2021 vp). FiCom kiittää mahdollisuudesta tulla kuulluksi ja esittää lausuntonaan kunnioittavasti seuraavaa:

FiComin pääviestit

• FiCom pitää tiedustelulainsäädäntöä tarpeellisena. Säädäntö on toimivaa, eikä siinä ole merkittäviä muutostarpeita.
• Teleyritykset ovat tehneet ja tekevät jatkossakin omalta osaltaan kaikki tarvittavat toimenpiteet kansallisen turvallisuuden ja maanpuolustuksen uhkiin varautumisessa. Lainsäädännössä nämä on huomioitu muun muassa sähköisen viestinnän palvelulain 244 a ja b §:ssä ja Traficomin määräyksessä viestintäverkon kriittisistä osista.
• Teleyrityksellä tulee olla samanlainen oikeus täyteen korvaukseen viranomaisten avustamisesta kuin tiedonsiirtäjällä, myös henkilötyöstä (LiVL 26/2018 vp, s. 4 ja LiVL 1/2022 vp). Toissijaisesti kustannusten tasoa on seurattava tiiviisti ja ryhdyttävä viipymättä toimenpiteisiin korvaussääntelyn muuttamiseksi, jos kustannukset nousevat merkittävästi nykyisestä.
• Tiedusteluviranomaisilla ei tule olla itsenäistä ja salaista pääsyä teleyrityksen laitetiloihin, järjestelmiin ja ohjelmistoihin, koska se muodostaa huomattavan uhan palveluiden häiriöttömyydelle ja tietoturvalle. Laitteen tai ohjelmiston asentamisen on perustuttava tuomioistuimen päätökseen.
• Yritysten tietojen edelleenluovutukset viranomaisten kesken ja erityisesti ulkomaille voivat heikentää yrityssalaisuuksien ja yritysten liiketoimintaa koskevien tietojen luottamuksellisuutta sekä viestinnän luottamuksellisuutta ja yksityisyyden suojaa.

Teleyritykset ovat varautuneet kansallisen turvallisuuden ja maanpuolustuksen uhkiin

Teleyritykset ovat tehneet ja tekevät jatkossakin omalta osaltaan kaikki tarvittavat toimenpiteet kansallisen turvallisuuden ja maanpuolustuksen uhkiin varautumisessa. Teleyritykset ovat jatkuvasti lisänneet toimia ja panostaneet entistä enemmän viestintäverkkojen ja -palveluiden kyberturvallisuuteen, joten niiden kyvykkyys tunnistaa kyberturvallisuusuhkia lisääntyy ja kehittyy koko ajan.

FiCom toteaa, että se pitää tiedustelulainsäädäntöä tarpeellisena ja se on toimivaa. Sääntelyn tarpeellisuus ja vastavuoroisuus ilmenee myös teleyritysten suuntaan, sillä tiedustelutiedon saaminen uhkista voi hyödyttää kriittistä yksityisen sektorin toimijaa (s. 10). Sääntelyssä ei ole kokonaisuuden kannalta huomattavia muutostarpeita, muutamia jäljempänä esitettyjä teleyrityksille merkittäviä asioita lukuun ottamatta.

FiCom viittaa selonteon ehdotukseen, jossa määriteltäisiin kansallinen kriittinen infrastruktuuri ja sitä koskevan lainsäädännön muutostarpeet (s. 30). Viestinverkkojen osalta tämä ei ole tarpeellista, koska niiden osalta asiat jo toteutettu sähköisen viestinnän palvelulain (SVPL) 244 a §:ssä ja sen nojalla annetulla Liikenne- ja viestintäviraston määräyksellä viestintäverkon kriittisistä osista. Selonteon kirjaus tiedonvaihdon kansallisesta poikkihallinnollisen yhteistyön kehittämisestä on myös huomioitu SVPL:ssä (244 b §), jossa säädetään valtioneuvoston asettamasta verkkoturvallisuuden neuvottelukunnasta, joka arvioi kokonaisvaltaisesti kansallisen turvallisuuden toteutumista viestintäverkoissa.

FiCom kuitenkin toteaa, että yleisesti ottaen ne haasteet, jotka teleyritykset tunnistivat jo tiedustelulainsäädäntöä valmisteltaessa, ovat vieläkin ajankohtaisia eivätkä ole käytännön toiminnan myötä muuttuneet.

Yrityksille aiheutuvien kustannusten korvaaminen

Kustannusten korvaamisten osalta selonteossa (s. 19) todetaan seuraavaa:

”Poliisilain 5 a luvun 52 §:ssä ja sotilastiedustelusta annetun lain 99 §:ssä säädetään kustannusten korvaamisesta teleyritykselle tiedusteluviranomaisen avustamisesta ja tietojen antamisesta. Sotilastiedustelusta annetun lain 100 §:n nojalla tiedonsiirtäjillä on oikeus saada korvaus lain 97 §:n tarkoitetusta sotilastiedusteluviranomaisen avustamisesta tietoliikennetiedusteluun liittyen ja 98 §:ssä tarkoitetusta tietojen antamisesta koskien Suomen rajan ylittävää viestintäverkkoa. Kustannusten korvaamisen osalta ei ole ilmennyt lainsäädännön soveltamisen aikana uusia perusteita muuttaa tehtyä ratkaisua lainsäädännön suhteen. Kokonaisuutta on arvioitava jatkossa teknologinen kehitys huomioiden.”

 Säännösten toteuttamisesta koituu teleyrityksille kustannuksia, joiden suuruus riippuu vaadittavien toimenpiteiden kokonaismäärästä. Asia ei ole teleyritysten ennakoitavissa tai kontrolloitavissa. Teleyrityksillä on oikeus saada sähköisen viestinnän palvelulain, SVPL (917/2014) 299 §:n mukainen korvaus valtion varoista yksinomaan viranomaisen avustamiseksi hankittujen järjestelmien, laitteistojen ja ohjelmistojen investoinneista ja ylläpidosta aiheutuneista välittömistä kustannuksista, muttei työ- eli henkilöstön käytöstä aiheutuvista kustannuksista. Tämä poikkeaa esimerkiksi Itävallassa, Saksassa, Ranskassa, Italiassa, Alankomaissa, Ruotsissa ja Isossa-Britanniassa vallitsevasta käytännöstä, jossa operaattorit saavat korvauksen myös henkilöstökustannuksista.

Liikenne- ja viestintävaliokunta on pitänyt erittäin tärkeänä, että kustannusten tasoa seurataan tiiviisti ja ryhdytään viipymättä toimenpiteisiin korvaussääntelyn muuttamiseksi, jos kustannukset nousevat merkittävästi nykyisestä (LiVL 13/2022 vp kohta 19).  Liikenne- ja viestintävaliokunnan lausunnon (LiVL 26/2018 vp s. 4) mukaan viranomaisen tulee huolehtia muidenkin kuin vain tiedonsiirtäjien kustannuksista, jos ne aiheutuvat tiedusteluviranomaisten toiminnasta. Lisäksi valiokunta on tuoreessa lausunnossaan todennut, että palveluntarjoajilla tulee aina olla oikeus täysimääräiseen korvaukseen viranomaisen avustamisesta, myös henkilötyön osalta (LiVL 1/2022 vp). Viime aikoina on tullut ja on tulossa yhä lisääntyvässä määrin sääntelyä, joka edellyttää teleyrityksiä avustamaan viranomaisia. SVPL:n 299 § voimaantulon jälkeen on muutettu muun muassa lukuisia kertoja poliisilakia ja pakkokeinolakia sekä tullilakia, rajavartiolaitoslakia. Lisäksi EU-sääntelystä on tullut tai tulossa uutta sääntelyä muun muassa asetus (2021/784) verkossa tapahtuvaan terroristisen sisällön levittämiseen puuttumisesta, asetus sähköistä todistusaineistoa rikosoikeudellisissa asioissa koskevista eurooppalaisista esittämis- ja säilyttämismääräyksistä (ns. e-Evidence) ja tietoverkkorikollisuutta koskevan Euroopan neuvoston yleissopimuksen (ns. Budapestin sopimus) toinen lisäpöytäkirja.

FiCom uudistaa usein lausumansa siitä, että kansallinen kustannusten korvaamista koskeva lainsäädäntö vaatii päivittämistä siten, että kaikki viranomaistyöstä aiheutuvat kustannukset korvataan täysimääräisesti, myös henkilötyön osalta. Nykyinen käytäntö on omiaan johtamaan tehottomiin toimintatapoihin, kun järjestelmien kehittämisen asemesta tyydyttäisiin ei-korvattaviin manuaalisesti tehtäviin toimenpiteisiin. Ellei korvaussääntelyä päätetä muuttaa, kustannusten tasoa tulee seurata tiiviisti ja ryhtyä viipymättä toimenpiteisiin sääntelyn muuttamiseksi, jos kustannukset nousevat merkittävästi nykyisestä.

Salaisten pakkokeinojen käyttäminen

Kytkennän suorittamisesta viestintäverkkoon selonteossa (s. 19) todetaan seuraavaa:

 ”Tietoliikennetiedustelun osalta tiedustelumenetelmälle olennaisen kytkennän yleisen viestintäverkon osaan tekee kytkennän suorittaja. Kytkentöjen tekeminen on sujunut hyvin. Kyse on kuitenkin uusimuotoisesta toiminnasta, mikä vaatii jatkokehittämistä. Kytkennän suorittamisen jatkuvuus on turvattava kaikissa tilanteissa, ja lainsäädännön on oltava selkeää varautumisen kannalta.”

Poliisilain 5 luvun 26 §:n sekä sotilastiedustelulain 42 §:n mukaan tiedusteluviranomaisilla on oikeus salaa asentaa, ottaa käyttöön ja poistaa tekniseen tarkkailuun käytettävä laite, menetelmä tai ohjelmisto toimenpiteen kohteena olevaan esineeseen, aineeseen, omaisuuteen, tilaan tai muuhun paikkaan taikka tietojärjestelmään, jos tarkkailun toteuttaminen sitä edellyttää.

Teleyritysten on vaikea huolehtia sähköisen viestinnän palvelulain 29 luvun mukaisista viestintäverkkojen laatuvaatimuksista, kun viranomaisilla on oikeus mennä omatoimisesti teleyritysten laitetiloihin ja kytkeä laitteita ja ohjelmistoja verkkoihin sekä poistaa niitä sieltä teleyritysten tietämättä.

Laitteiden asentamisen salaa teleyritysten ja tietoyhteiskunnan palvelujen tarjoajien laitetiloihin on oltava kiellettyä, jotta viestintäinfrastruktuurin toimintavarmuus, palveluiden laatu ja palveluiden käyttäjien yksityisyyden suoja voidaan turvata. Laitteiden asentamisen tulee perustua tuomioistuimen päätökseen. Ulkopuolisen salaa asentamat laitteet ja ohjelmistot verkkolaitteisiin tai -järjestelmiin olisi huomattava uhka palveluiden häiriöttömyydelle. Salaiset asennukset voivat aiheuttaa vakavia ongelmia palvelujen toimivuudelle ja tietoturvallisuudelle sekä pahimmillaan vaarantaa kansallista turvallisuutta. Verkkojen kyberturvallisuus ei saa vaarantua missään tilanteissa, vaikka kytkennälle olisi sinänsä tiedustelutoiminnan kannalta hyväksyttävä peruste. Menettelyjä on voitava käyttää vain tilanteissa, joissa ne ovat erityisistä syistä välttämättömiä. Näissäkin tilanteissa laitteesta tai sen asentamisesta ei saa aiheutua vaaraa verkon toiminnalle tai toiminnan kannalta sivullisten yksityisyydensuojalle. Lisäksi FiCom viittaa laitetiloihin pääsyn osalta liikenne- ja viestintävaliokunnan lausuntoihin (LiVL 26/2018 vp ja LiVL 13/2022vp kohta 4).

Palveluiden käyttäjien yksityisyyden suoja ja sen tietoturva ovat ehdottoman tärkeitä, ja niiden loukkaamisesta aiheutuu vakavia seuraamuksia. Ulkopuolisten yksityisyyden suojaamiseksi kielto on tarpeen ulottaa koskemaan myös tietoyhteiskunnan palveluiden tarjoajia, koska Suomi on pilvipalvelujen käytössä EU:n kärkeä.

Yritysten tietojen edelleen luovuttaminen ulkomaille

FiCom näkemyksen mukaan viranomaisten toimintaedellytykset vakavissa tietoturvaloukkaustilanteissa tai niiden uhkissa tulee taata muun muassa riittävillä keskinäisillä tiedonvaihto-oikeuksilla. Asiaa koskeva hallituksen esitys on parhaillaan hallintovaliokunnan käsittelyssä (HE 243/2022 vp), johon liittyen FiCom on toimittanut valiokunnalle kirjallisen lausunnon. FiCom viittaa lausunnossaan ulkomaisille viranomaisille luovutettavia tietoja koskevia kommentteja ja erityisesti kansallisten viranomaisten keskinäisen ja ulkomaiselle viranomaiselle koskevien luovutusedellytysten epätasapainon. Yrityksen, jonka tietoja luovutetaan edelleen kotimaiselle tai ulkomaiselle viranomaiselle tulee saada tällaisesta luovutuksesta tieto. Edelleenluovutukset voivat heikentää yrityssalaisuuksien ja yritysten liiketoimintaa koskevien tietojen luottamuksellisuutta sekä viestinnän luottamuksellisuutta ja yksityisyyden suojaa. Lisäksi FiCom viittaa asiassa liikenne- ja viestintävaliokunnan lausuntoon (LiVL 13/2022 vp kohdat 4, 20, 28 ja 29).