FiComin lausunto valtioneuvoston kirjelmään komission e-Evidence-asetusehdotuksesta

Eduskunnan liikenne- ja viestintävaliokunta sekä lakivaliokunta ovat pyytäneet FiComilta lausuntoa valtioneuvoston kirjelmästä eduskunnalle ehdotuksista Euroopan parlamentin ja neuvoston asetukseksi ja direktiiviksi (lainvalvontaviranomaisen rajat ylittävä pääsy sähköiseen todistusaineistoon). FiCom kiittää mahdollisuudesta tulla kuulluksi ja esittää kunnioittavasti seuraavaa:

FiComin keskeiset viestit

  • Asetuksen soveltamisala on epäselvä, ja ehdotus sisältää useita merkittäviä oikeudellisia epävarmuustekijöitä.
  • Viranomaistoimivaltaa määräyksen oikeellisuuden varmistamisesta ei tule siirtää palveluntarjoajille – yritys ei ole tuomioistuin.
  • Esittämis- ja säilyttämismääräyksen saaja tulee ensisijaisesti olla asiakasyritys, ei palveluntarjoaja.
  • Määräyksille asetetut aikarajat ovat epärealistiset.
  • Ehdotuksen velvoitteista aiheutuu yrityksille merkittävää hallinnollista taakkaa sekä kustannuksia, joista on saatava korvaus sijaintivaltion lainsäädännön mukaisesti.

Yleiset huomiot

Palveluntarjoajat ovat tottuneet tekemään yhteistyötä kotimaisten viranomaisten kanssa sekä toimimaan tehokkaasti kansallisella tasolla, mutta asetusehdotuksen myötä minkä tahansa jäsenvaltion lainvalvontaviranomainen voi antaa esittämismääräyksen missä tahansa jäsenvaltiossa. Palveluntarjoajien odotetaan siis luottavan kaikkien 28 jäsenvaltion kansallisiin oikeusjärjestelmiin sekä lainvalvontaviranomaisten vaikuttimiin.

Ehdotetun viranomaisten ja palveluntarjoajien välisen menettelyn on asetusehdotuksessa todettu perustuvan vastavuoroisen tunnustamisen periaatteseen. Kyseinen periaate on kuitenkin varattu Euroopan unionin toiminnasta tehdyn sopimuksen 82 artiklan 1 kohdan mukaisesti vain oikeusviranomaisten väliselle yhteistyölle. Myöskään samaisen sopimuksen 67 artiklan 3 kohdan sanamuoto ei sisällä viranomaisten ja yksityisen välistä yhteistyötä vaan rajoittaa vastavuoroisuuden tunnustamisen ainoastaan poliisiviranomaisten, oikeusviranomaisten sekä muiden toimivaltaisten viranomaisten väliseksi. Muun muassa Meijersin komitea on kiinnittänyt tähän huomiota ehdotuksesta laatimassaan analyysissä.[1] Viestinnän luottamuksellisuuden loukkaamattomuus on turvattu Suomen perustuslaissa, joten tulisi vielä erikseen selvittää, millä perusteilla ulkomaisten viranomaisten pääsy perustuslain suojaamaan viestintään ulkomaisia rikostapauksia selvitettäessä lopulta oikeutettaisiin.

Asetusehdotus ei myöskään huomioi kaksoisrangaistavuuden periaatetta riittävästi palveluntarjoajan jäsenvaltion eikä määräyksen antavan jäsenvaltion osalta. Ehdotukseen tulisikin sisällyttää tarkemmat säännökset sen selvittämiseksi, vastaavatko osallisten jäsenvaltioiden esittämismääräyksen antamisen ja toimeenpanon edellytykset toisiaan, mikä lisäisi palveluntarjoajien oikeudellista selkeyttä esittämismääräyksiä noudatettaessa. Asetusehdotuksessa tulee huomioida tältä osin myös EU:n perusoikeuskirjan 49 artiklan mukaisen laillisuusperiaatteen edellyttämä oikeutus kansallisen rikosoikeudellisen menettelyn mukaan.

Ehdotuksen määritelmien mukaan sähköisen viestinnän metadata sisältyy niin verkkoyhteystietoihin kuin transaktiotietoihinkin. Tämä ei ole linjassa ePrivacy-asetusehdotuksessa esitetyn luokittelun kanssa, mikä aiheuttaa epävarmuutta ehdotusten keskinäisestä suhteesta. Tällainen metadatan luokittelu edellyttää lisäksi yrityksiltä esittämismääräysten noudattamisen varmistamiseksi verkkoyhteys- ja transaktiotietojen käsittelyn uudistamista, mikä entisestään lisää hallinnollista taakkaa ja kustannuksia. Eri tietojen määritelmien tulisi olla EU-lainsäädännössä yhdenmukaisia.

Asetusehdotuksessa esitetyn yhteistyökehyksen tulisi ylipäätään olla johdonmukaisempi tietopyyntöjä koskevien kansainvälisten standardien, kuten kansainvälistä tietoverkkorikollisuutta koskevan Budapestin yleissopimuksen, kanssa.

Oikeudellinen epävarmuus

Asetusta sovelletaan laajaan joukkoon erilaisia palveluntarjoajia, joista osalle asetuksessa säädetyn kaltainen viranomaisten avustaminen on kokonaan uusi toiminto. Laveasti määritellystä soveltamisalasta ei voi kaikissa tilanteissa selkeästi tulkita, minkä palvelujen tuottamisen ketjussa toimivan yrityksen vastuulla määräyksen tietojen hankkiminen on, joten asetusehdotuksessa tulisi tarkentaa eri tahojen vastuita.  

Jäsenvaltioiden välillä on huomattavia eroja rikoksissa, joista voidaan tuomita vähintään kolmen vuoden vankeusrangaistus. Liikenne- ja sisältötietoja koskevan esittämismääräyksen osalta tulisi eurooppalaisen tutkintamääräyksen tavoin esittää tyhjentävä lista rikoksista, joissa määräys voisi tulla kysymykseen.

Viranomaisten velvollisuus valvoa pyyntöjen oikeutusta

Keskinäistä oikeusapua koskevassa EU:n ja Yhdysvaltojen välisessä sopimuksessa lainvalvontaviranomaisten tulee osoittaa tietopyynnön lähettämisen kynnysarvojen ylittyneen siten, että kohteen osallisuudesta rikokseen on riittävä epäilys ja että palveluntarjoajalla on todennäköisesti hallussaan oleellista tietoa. Asetusehdotuksessa esittämismääräyksiä antaville lainvalvontaviranomaisille ei ole asetettu tällaista selkeää velvoitetta, joten suhteellisuus- ja välttämättömyysperiaatteiden noudattaminen tulee taata riippumattomalla valvonnalla. Yritysten ei ole mahdollista suorittaa tällaista arviointia, joten kansallisten tuomioistuinten tulee taata oikeusvarmuus. Kohdemaan viranomaisen tulee tutkia erikseen pyyntö toisen valtion sähköiseen aineistoon pääsyyn.

Palveluntarjoajille määräysten yhteydessä annetut tiedot eivät ole riittäviä määräyksen laillisuuden, tarpeellisuuden tai oikeasuhteisuuden arvioimiseksi. Palveluntarjoajat eivät voi olla se taho, jonka vastuulla on varmistaa määräysten olevan niin määräyksen antavan jäsenvaltion kuin vastaanottavankin jäsenvaltion lainsäädännön mukaisia tai arvioida, ovatko ne puutteellisia tai EU:n perusoikeuskirjan vastaisia. Viranomaisille kuuluvaa työtä ei tule siirtää palveluntarjoajien vastuulle.

Perusoikeuskirja ei ole Suomessa suoraan sovellettavaa oikeutta. Luottamuksellisen viestin salaisuuden suojan rajoittamisessa yrityksiä velvoittaa perusoikeuskirjaa tiukempi perusoikeusjärjestelmämme lainsäädäntöineen. Asetusehdotuksen mukaan palveluntarjoaja ei kuitenkaan voi kieltäytyä luovuttamasta tietoja Suomen perustuslain vastaisuuden vuoksi vaan vedota ainoastaan perusoikeuskirjaan. Jotta määräyksen Euroopan unionin peruskirjan vastaisuutta tai perusteettomuutta voi arvioida, asetukseen tulisi sisällyttää selventäviä tietoja esimerkiksi määräyksen aiheesta, sen lähettäjästä sekä edellytykset täyttävästä, rikosta koskevasta kansallisesta lainsäädännöstä pykälätasolla.

Tietojen salaus, luottamuksellisuus ja sopimusehtojen mukainen käsittely otettava huomioon

Ehdotuksen resitaalin 19 mukaan tiedot on toimitettava riippumatta siitä, onko ne salattu vai ei. Salatun tiedon antaminen on kuitenkin hyödytöntä ilman salauksen purkamiseen soveltuvaa salausavainta.  Sääntelyyn tulee tämän vuoksi sisällyttää selkeät säännökset salatun tiedon suojaamisesta sekä siitä, ettei palveluntarjoajalta voi vaatia salauksen purkamista. Kyseinen resitaali tulee poistaa ehdotuksesta.

Luovuttaessaan salattua tietoa palveluntarjoajat voivat joutua tahtomattaan lähettämään toimivaltaiselle viranomaiselle enemmän tietoa kuin on tarpeen tai ylipäätään on pyydetty, koska palveluntarjoaja ei voi tietää, mitä tietoja on salattu. Luovutetut tiedot voivat sisältää luottamukselliseksi säädettyä, esimerkiksi lääkärin tai asianajajan salassapitovelvollisuuden alaista tietoa. Palveluntarjoajan toimipaikan kansallisen sääntelyn ohella luovutettavaksi vaadittuun tietoon voi kohdistua salassapitovaatimuksia myös esimerkiksi sopimuksen tai kolmannen maan sääntelyyn perustuen. Palveluntarjoajien vastuulla on usein asiakkaan informoiminen viranomaispyynnöistä, jolloin päätöksentekovalta tietojen luovuttamisesta siirtyy asiakkaalle itselleen. Asetusehdotuksessa ei kuitenkaan oteta kantaa palveluntarjoajan toimintaan suhteessa asiakkaisiinsa. Kun määräys koskee yritysasiakasta, on tarpeellisuus- ja suhteellisuusvaatimuksen vuoksi osana prosessia ja palveluntarjoajalle annettavaa informaatiota perusteltava, miksi määräys osoitetaan palveluntarjoajalle eikä suoraan asiakkaalle, jonka tulee olla pyynnön ensisijainen kohde.

Ainoastaan tiettyjen ammattien vapaudet ja erioikeudet sekä vastaanottajan jäsenvaltion turvallisuuteen tai puolustukseen liittyvät olennaiset edut on mainittu asetusehdotuksessa huomioon otettavaksi, ja nekin ainoastaan johdantokappaleessa. Asetusehdotuksessa tulee varmistaa, ettei pyydetyt tiedot luovuttava palveluntarjoaja joudu vastuuseen muun lainsäädännön perusteella noudattaessaan viranomaisen määräystä. Myös pyydettyjen tietojen luovutuksen tietoturvallisuuteen tulee kiinnittää huomiota. Eri jäsenvaltioiden eri lainvalvontaviranomaisilla on erilaisia, hyvin kirjavia salausohjelmia ja -käytäntöjä. Asetuksessa pitää nimenomaisesti säätää, ettei ole olemassa minkäänlaisia takaportteja tai muita tapoja taikka teknologioita heikentää palvelun turvallisuutta. Lisäksi tulee edellyttää, ettei tieto ole ollut saatavissa muilla keinoilla.

Hallinnollinen taakka

Asetus aiheuttaa yrityksille kustannuksia sekä merkittävää hallinnollista taakkaa, koska niillä ei välttämättä ole kykyä tai resursseja tutkia pyyntöjen lainmukaisuutta. Vastatakseen asetuksessa säänneltyihin määräyksiin sekä selvittääkseen niiden lainmukaisuuden palveluntarjoajan tulisi nimetä erillinen oikeudellinen edustaja, mitä useissa yrityksissä ei välttämättä ole valmiiksi saatavilla.

Määräyksessä asetetut aikarajat epärealistisia

Eurooppalaisiin esittämis- ja säilyttämismääräyksiin vastaamiselle asetetut aikarajat ovat tiukkoja ja epärealistisia. Kiireellisten tilanteiden kuuden tunnin aikaraja edellyttäisi yrityksiltä käytännössä jatkuvaa päivystysvelvollisuutta, eikä pyydetty tieto ole välttämättä edes suoraan ladattavissa palveluntarjoajan järjestelmistä vaan sen hakeminen edellyttää manuaalista asiantuntijatyötä. Tämä aiheuttaa merkittäviä kustannuksia. Asetusehdotuksen 8 artiklan mukaisesti eurooppalaisen esittämis- ja säilyttämismääräyksen vahvistavat todistukset on käännettävä jollekin sen jäsenvaltion viralliselle kielelle, jossa vastaanottaja sijaitsee. Toimenpiteen tarpeellisuuden ja oikeasuhteisuuden perusteluja ei kuitenkaan sisällytetä käännettävään todistukseen. On epäselvää, mikä taho vastaa perustelujen kääntämisestä.

Eri jäsenvaltioiden lainvalvontaviranomaisten sekä muiden tahojen olisi helppo väärinkäyttää nopeutettua menettelyä, koska pyynnön kohteina olevien henkilötietojen käsittelyssä ja suojaamisessa tulee jo yleisen tietosuoja-asetuksenkin myötä noudattaa erityistä huolellisuutta ja tietosuojasääntelyn asiantuntijan ympärivuorokautinen päivystys on erittäin vaikea järjestää. Tietosuojan lisäksi myös asetusehdotuksen muotoilusta johtuvien mahdollisien oikeudellisten ristiriitatilanteiden analysoinnin vuoksi kuuden tunnin määräaika on riittämätön. Vähintäänkin nimellinen maksu esittämismääräyksen antamisesta voisi rajoittaa kiireellisten tilanteiden määräysten antamisen tilanteisiin, joissa se on todella tarpeen.

Yrityksen on säilytettävä tietoja vastaanottamansa säilyttämispyynnön toimeenpanemiseksi yli 60 päivää, mikäli lainvalvontaviranomainen vahvistaa määräajassa laatineensa esittämispyynnön. Säilyttämispyynnön kohteena olleiden tietojen säilyttämiselle ei ole kuitenkaan asetettu ehdotuksessa minkäänlaista aikarajaa, mikäli lainvalvontaviranomainen ei jostain syystä annakaan vahvistetusti laatimaansa esittämispyyntöä.  Kuvatun lainen tilanne tulee huomioida asetusehdotuksen jatkoneuvotteluissa.

Määräysten todentaminen tehtävä luotettavaksi

Ehdotetut säännökset määräysten todentamiseksi eivät ole riittäviä. Palveluntarjoajan on mahdotonta varmistua jokaisen kansallisen lainvalvontaviranomaisen leiman ja allekirjoituksen aitoudesta, minkä vuoksi vahvempi todentamisjärjestelmä on välttämätön. Tällaisenaan asetusehdotus mahdollistaa tilanteen, jossa ulkopuolisen tahon väärentämän määräyksen johdosta palveluntarjoajalta pyydettyjä tietoja voi päätyä vääriin käsiin. Tällä hetkellä Suomessa kotimaisten lainvalvontaviranomaisten käyttämä SALPA-järjestelmä on hyvä ja toimiva, mutta asetusehdotuksen myötä palattaisiin jo aiemmin ongelmalliseksi koettuun hajautettuun järjestelmään, jossa eri viranomaisilta tulevien pyyntöjen oikeellisuus vaihtelee merkittävästi. Ehdotetut säännökset eivät ainoastaan heikennä tietoliikenteen alalla noudatettavia korkeatasoisia tietoturvavaatimuksia vaan voivat jopa johtaa järjestelmän väärinkäyttöön, mikä on omiaan heikentämään käyttäjien luottamusta ICT-alan infrastruktuuriin ja haitata digitalisaatiota. Ehdotukseen tulee tämän vuoksi sisällyttää säännökset esittämismääräyksen toimeenpanemiseksi annettujen tietojen turvallisuuden ja koskemattomuuden varmistamiseksi.

Kustannukset korvattava sijaintivaltion lainsäädännön mukaan

Palveluntarjoajalla on asetusehdotuksen mukaan oikeus vaatia korvausta kustannuksistaan ainoastaan silloin, kun se on määräyksen antavan valtion kansallisen lainsäädännön mukaan mahdollista. Muotoilu on myönteinen askel, mutta mahdollisilla kustannuksilla ei voida torjua lainvalvontaviranomaisten aiheettomia tai mahdollisesti vilpillisiä määräyksiä, koska asetusehdotuksella ei yhdenmukaisteta kustannusten korvaamista ja jäsenvaltiot ovat tehneet siltä osin hyvin erilaisia valintoja. Palveluntarjoajien olisi käytännössä hyvin vaikea saada korvausta pyydettyjen tietojen toimittamisesta ja koska annettujen esittämismääräysten tai niistä aiheutuvan työn määrää olisi hyvin vaikea ennakoida, asetusehdotus aiheuttaisi merkittävän kuluriskin. Palveluntarjoajilla tulee olla oikeus korvaukseen viranomaisen avustamisesta sijaintivaltionsa lainsäädännön mukaisesti, jolloin sekä vastuu että riski aiheutuvista kustannuksista olisi ensisijaisesti määräyksen antaneella viranomaisella. Kansallinen kustannusten korvaamista koskeva lainsäädäntö vaatii kuitenkin edelleen päivittämistä siten, että viranomaistyöstä aiheutuvat kustannukset korvataan täysimääräisesti – myös henkilötyön osalta.

Seuraamusmaksu kohtuuton vaade

Asetuksessa velvoitetaan jäsenvaltioita säätämään palveluntarjoajiin kohdistuvia seuraamusmaksuja, mikäli nämä eivät luovuta eurooppalaisessa esittämis- tai säilyttämismääräyksessä pyydettyjä tietoja. Ottaen huomioon palveluntarjoajille asetusehdotuksesta aiheutuvat huomattavat kustannukset, hallinnollisen taakan sekä oikeudellisen asemaan liittyvät epävarmuustekijät, FiCom pitää rikosoikeudellisten seuraamusten rinnalle asetusehdotuksessa esitettyjä taloudellisia seuraamuksia kohtuuttomina. Asetus ja direktiivi vaativat palveluntarjoajia noudattamaan esittämismääräystä ja muita oikeudellisia prosesseja seuraamusmaksun uhalla ilman, että palveluntarjoajaa suojataan siinä tapauksessa, että noudattaminen loukkaa muita EU:n tai sen jäsenvaltion lakeja. Mahdollisessa seuraamusjärjestelmässä tulee huomioida määräysten noudattamiseen sisältyvät merkittävät tekniset ja laintulkinnalliset haasteet ja esitetyn mukaisen sakon tulisi olla mahdollinen ainoastaan täysin tahallisesta toiminnasta. Resitaali 46 toteaa, että palveluntarjoajan pitäisi olla vapautettu vastuusta sen noudattaessa vilpittömässä mielessä esittämis- ja säilyttämismääräyksiä. Tämä immuniteetti tulee sisällyttää myös asetuksen varsinaisiin säännöksiin.

Lopuksi

Valtioneuvosto on kiinnittänyt kirjelmässään asianmukaisesti huomiota lukuisiin asetusehdotukseen sisältyviin ongelmiin ja epätarkkuuksiin. Mikäli asiasta halutaan säätää suoraan sovellettavalla asetuksella, palveluntarjoajille asetettujen vaatimusten ristiriidat muusta sääntelystä tulevien velvoitteiden kanssa on selvitettävä oikeusvarmuuden takaamiseksi. Asetuksessa tulisi varmistaa myös palveluntarjoajan oikeus korvaukseen sille aiheutuneista kustannuksista sekä riittävät oikeussuojakeinot muihin velvoitteisiin nähden. Lähtökohtaisesti todistusaineiston saatavuus tulisi kuitenkin varmistaa kehittämällä jo olemassa olevia jäsenvaltioiden välisiä prosesseja, jolloin palveluntarjoajat asioisivat ainoastaan kansallisen viranomaisen kanssa. Viranomaisten tulee tiivistää ja terävöittää omaa yhteistyöverkostoaan tarpeettoman ja ongelmallisen lisäsääntelyn sijaan.

Vaikka asetusehdotuksessa edellytetäänkin jäsenvaltioiden keräävän asianomaisilta viranomaisilta kattavia tilastotietoja asetuksen mukaisten määräysten käytöstä, siihen ei ole sisällytetty säännöksiä tämän velvoitteen täytäntöönpanon varmistamiseksi. Esittämis- ja säilyttämismääräysten vastaanottamista ja antamista koskevat tilastot ovat avainasemassa palveluntarjoajien ja viranomaisten välisen yhteistyön läpinäkyvyydessä, ja komission tulisi siksi pystyä valvomaan velvoitteen noudattamista. Ehdotukseen sisältyvien salassapitovelvollisuuksien ei tulisi myöskään estää yrityksiä julkaisemasta vapaaehtoisia avoimuusraportteja vastaanottamistaan pyynnöistä.

Neuvoston työryhmäkokouksissa ehdotetut ns. suoraa pääsyä ja reaaliaikaista telekuuntelua koskevat säännökset eivät sovellu sisällytettäviksi asetusehdotuksen jo tallennetun tiedon luovuttamista koskevaan sääntelyyn. Ehdotetussa sääntelyssä on jo nykyisellään merkittäviä ongelmia, joiden vaikutuksia tulisi tarkastella entistä tarkemmin, mikäli asetuksen soveltamisalaa haluttaisiin laajentaa koskemaan reaaliaikaista telekuuntelua.

[1] https://www.commissie-meijers.nl/sites/all/files/cm1809_e-evidence_note.pdf

Asko Metsola, lakimies, FiCom