FiComin lausunto tiedustelulainsäädäntöä koskevasta valtioneuvoston selonteosta

FiComin pääviestit

• Teleyrityksellä tulee olla samanlainen oikeus täyteen korvaukseen viranomaisten avustamisesta kuin tiedonsiirtäjällä, myös henkilötyöstä (LiVL 26/2018 vp, s. 4 ja LiVL 1/2022 vp). Toissijaisesti kustannusten tasoa on seurattava tiiviisti ja ryhdyttävä viipymättä toimenpiteisiin korvaussääntelyn muuttamiseksi, jos kustannukset nousevat merkittävästi nykyisestä.
• Tiedusteluviranomaisilla ei tule olla itsenäistä ja salaista pääsyä teleyrityksen laitetiloihin, järjestelmiin ja ohjelmistoihin, koska se muodostaa huomattavan uhan palveluiden häiriöttömyydelle ja tietoturvalle. Laitteen tai ohjelmiston asentamisen on perustuttava tuomioistuimen päätökseen.

Teleyritykset ovat varautuneet kansallisen turvallisuuden ja maanpuolustuksen uhkiin

Teleyritykset ovat tehneet ja tekevät jatkossakin omalta osaltaan kaikki tarvittavat toimenpiteet kansallisen turvallisuuden ja maanpuolustuksen uhkiin varautumisessa. Teleyritykset ovat jatkuvasti lisänneet toimia ja panostaneet entistä enemmän viestintäverkkojen ja -palveluiden kyberturvallisuuteen, joten niiden kyvykkyys tunnistaa kyberturvallisuusuhkia lisääntyy ja kehittyy koko ajan.

FiCom toteaa, että se pitää tiedustelulainsäädäntöä tarpeellisena ja se on toimivaa. Sääntelyn tarpeellisuus ja vastavuoroisuus ilmenee myös teleyritysten suuntaan, sillä tiedustelutiedon saaminen uhkista voi hyödyttää kriittistä yksityisen sektorin toimijaa (s. 10). Sääntelyssä ei ole kokonaisuuden kannalta huomattavia muutostarpeita, muutamia jäljempänä esitettyjä teleyrityksille merkittäviä asioita lukuun ottamatta.

FiCom viittaa selonteon ehdotukseen, jossa määriteltäisiin kansallinen kriittinen infrastruktuuri ja sitä koskevan lainsäädännön muutostarpeet (s. 30). Viestinverkkojen osalta tämä ei ole tarpeellista, koska niiden osalta asiat jo toteutettu sähköisen viestinnän palvelulain (SVPL) 244 a §:ssä ja sen nojalla annetulla Liikenne- ja viestintäviraston määräyksellä viestintäverkon kriittisistä osista. Selonteon kirjaus tiedonvaihdon kansallisesta poikkihallinnollisen yhteistyön kehittämisestä on myös huomioitu SVPL:ssä (244 b §), jossa säädetään valtioneuvoston asettamasta verkkoturvallisuuden neuvottelukunnasta, joka arvioi kokonaisvaltaisesti kansallisen turvallisuuden toteutumista viestintäverkoissa. Neuvottelukunta on toiminut jo reilun vuoden.

FiCom kuitenkin toteaa, että yleisesti ottaen ne haasteet, jotka teleyritykset tunnistivat jo tiedustelulainsäädäntöä valmisteltaessa, ovat vieläkin ajankohtaisia eivätkä ole käytännön toiminnan myötä muuttuneet.

Yrityksille aiheutuvien kustannusten korvaaminen

Kustannusten korvaamisten osalta selonteossa (s. 19) todetaan seuraavaa:

”Poliisilain 5 a luvun 52 §:ssä ja sotilastiedustelusta annetun lain 99 §:ssä säädetään kustannusten korvaamisesta teleyritykselle tiedusteluviranomaisen avustamisesta ja tietojen antamisesta. Sotilastiedustelusta annetun lain 100 §:n nojalla tiedonsiirtäjillä on oikeus saada korvaus lain 97 §:n tarkoitetusta sotilastiedusteluviranomaisen avustamisesta tietoliikennetiedusteluun liittyen ja 98 §:ssä tarkoitetusta tietojen antamisesta koskien Suomen rajan ylittävää viestintäverkkoa. Kustannusten korvaamisen osalta ei ole ilmennyt lainsäädännön soveltamisen aikana uusia perusteita muuttaa tehtyä ratkaisua lainsäädännön suhteen. Kokonaisuutta on arvioitava jatkossa teknologinen kehitys huomioiden.”

Säännöksistä koituu teleyrityksille kustannuksia, joiden suuruus riippuu vaadittavien toimenpiteiden kokonaismäärästä. Asia ei ole teleyritysten ennakoitavissa tai kontrolloitavissa. Teleyrityksillä on oikeus saada sähköisen viestinnän palvelulain (917/2014) 299 §:n mukainen korvaus valtion varoista yksinomaan viranomaisen avustamiseksi hankittujen järjestelmien, laitteistojen ja ohjelmistojen investoinneista ja ylläpidosta aiheutuneista välittömistä kustannuksista, muttei työ- eli henkilöstön käytöstä aiheutuvista kustannuksista. Tämä poikkeaa esimerkiksi Itävallassa, Saksassa, Ranskassa, Italiassa, Alankomaissa, Ruotsissa ja Isossa-Britanniassa vallitsevasta käytännöstä, jossa operaattorit saavat korvauksen myös henkilöstökustannuksista.

Liikenne- ja viestintävaliokunnan aiemman lausunnon (LiVL 26/2018 vp, s. 4) mukaisesti viranomaisen tulee huolehtia muidenkin kuin vain tiedonsiirtäjien kustannuksista, jos ne aiheutuvat tiedusteluviranomaisten toiminnasta. Lisäksi valiokunta on tuoreessa lausunnossaan todennut, että palveluntarjoajilla tulee aina olla oikeus täysimääräiseen korvaukseen viranomaisen avustamisesta, myös henkilötyön osalta (LiVL 1/2022 vp). Viime aikoina on tullut ja on tulossa yhä lisääntyvässä määrin sääntelyä, joka edellyttää teleyrityksiä avustamaan viranomaisia.

FiCom uudistaa usein lausumansa siitä, että kansallinen kustannusten korvaamista koskeva lainsäädäntö vaatii päivittämistä siten, että kaikki viranomaistyöstä aiheutuvat kustannukset korvataan täysimääräisesti, myös henkilötyön osalta. Nykyinen käytäntö on omiaan johtamaan tehottomiin toimintatapoihin, kun järjestelmien kehittämisen asemesta tyydyttäisiin ei-korvattaviin manuaalisesti tehtäviin toimenpiteisiin. Ellei korvaussääntelyä päätetä muuttaa, kustannusten tasoa tulee seurata tiiviisti ja ryhtyä viipymättä toimenpiteisiin sääntelyn muuttamiseksi, jos kustannukset nousevat merkittävästi nykyisestä.

Salaisten pakkokeinojen käyttäminen

Kytkennän suorittamisesta viestintäverkkoon selonteossa (s. 19) todetaan seuraavaa:

”Tietoliikennetiedustelun osalta tiedustelumenetelmälle olennaisen kytkennän yleisen viestintäverkon osaan tekee kytkennän suorittaja. Kytkentöjen tekeminen on sujunut hyvin. Kyse on kuitenkin uusimuotoisesta toiminnasta, mikä vaatii jatkokehittämistä. Kytkennän suorittamisen jatkuvuus on turvattava kaikissa tilanteissa, ja lainsäädännön on oltava selkeää varautumisen kannalta.”

Poliisilain 5 luvun 26 §:n sekä sotilastiedustelulain 42 §:n mukaan tiedusteluviranomaisilla on oikeus salaa asentaa, ottaa käyttöön ja poistaa tekniseen tarkkailuun käytettävä laite, menetelmä tai ohjelmisto toimenpiteen kohteena olevaan esineeseen, aineeseen, omaisuuteen, tilaan tai muuhun paikkaan taikka tietojärjestelmään, jos tarkkailun toteuttaminen sitä edellyttää.

Teleyritysten on vaikea huolehtia sähköisen viestinnän palvelulain 29 luvun mukaisista viestintäverkkojen laatuvaatimuksista, kun viranomaisilla on oikeus mennä omatoimisesti teleyritysten laitetiloihin ja kytkeä laitteita ja ohjelmistoja verkkoihin sekä poistaa niitä sieltä teleyritysten tietämättä.

Laitteiden asentamisen salaa teleyritysten ja tietoyhteiskunnan palvelujen tarjoajien laitetiloihin on oltava kiellettyä, jotta viestintäinfrastruktuurin toimintavarmuus, palveluiden laatu ja palveluiden käyttäjien yksityisyyden suoja voidaan turvata. Laitteiden asentamisen tulee perustua tuomioistuimen päätökseen. Ulkopuolisen salaa asentamat laitteet ja ohjelmistot verkkolaitteisiin tai -järjestelmiin olisi huomattava uhka palveluiden häiriöttömyydelle. Salaiset asennukset voivat aiheuttaa vakavia ongelmia palvelujen toimivuudelle ja tietoturvallisuudelle sekä pahimmillaan vaarantaa kansallista turvallisuutta. Verkkojen kyberturvallisuus ei saa vaarantua missään tilanteissa, vaikka kytkennälle olisi sinänsä tiedustelutoiminnan kannalta hyväksyttävä peruste. Menettelyjä on voitava käyttää vain tilanteissa, joissa ne ovat erityisistä syistä välttämättömiä. Näissäkin tilanteissa laitteesta tai sen asentamisesta ei saa aiheutua vaaraa verkon toiminnalle tai toiminnan kannalta sivullisten yksityisyydensuojalle.

Palveluiden käyttäjien yksityisyyden suoja ja sen tietoturva ovat ehdottoman tärkeitä, ja niiden loukkaamisesta aiheutuu vakavia seuraamuksia.  Ulkopuolisten yksityisyyden suojaamiseksi kielto on tarpeen ulottaa koskemaan myös tietoyhteiskunnan palveluiden tarjoajia, koska Suomi on pilvipalvelujen käytössä EU:n kärkeä.