Tämä lausunto on saatavissa myös muissa formaateissa:

Hallituksen esitysluonnos sähköisen viestinnän tietosuojalaiksi


Lausunto hallituksen esitysluonnoksesta sähköisen viestinnän tietosuojalaiksi

7.2.2003

Kai Puolamäki

FT, tutkija

Teknillinen korkeakoulu

Electronic Frontier Finland – EFFI ry



PL 9800 – 02015 TKK – 050 522 8111 – (09) 755 4892 (faksi)

Kai.Puolamaki@iki.fihttp://www.iki.fi/kaip/



Filosofian tohtori, tutkija Kai Puolamäki on työskennellyt Fysiikan tutkimuslaitoksella ja hoitanut vuodesta 2001 lähtien opettavan tutkijan virkaa Teknillisen korkeakoulun Informaatiotekniikan laboratoriossa. Kai Puolamäki on EFFIn hallituksen jäsen ja hän on toiminut yhdistyksen puolesta asiantuntijana ja avustanut viranomaisia muun muassa ei-toivottua sähköistä viestintää ja joukkoviestinnän vastuulakia koskevissa asioissa.

Electronic Frontier Finland – EFFI ry on perustettu käyttäjien ja kansalaisten oikeuksien puolustamiseksi Internetissä. Yhdistys pyrkii vaikuttamaan muun muassa lainsäädäntöhankkeisiin sananvapaudesta, yksityisyydestä, tekijänoikeudesta, tietokoneohjelmien patentoinnista ja ei-toivotusta sähköisestä viestinnässä Suomessa ja Euroopassa. Lisätietoja EFFIn kotisivulta osoitteesta http://www.effi.org/.



Johdanto

Liikenne- ja viestintäministeriö pyysi 13.12.2002 päivätyssä kirjeessä EFFIltä lausuntoa hallituksen esitysluonnoksesta sähköisen viestinnän tietosuojalaiksi.

Sähköistä viestintää koskevan lainsäädännön tulee suojata ensisijaisesti yksityisiä ihmisiä. Käytännössä tämä tarkoittaa esimerkiksi seuraavia asioita:

  • Ihmisillä on oikeus luottamukselliseen viestintään. Viestin sisältö ja tieto viestintätapahtumasta kuuluu vain viestinnän osapuolille, elleivät nämä itse informoidusti toisin päätä. Ihmisillä on oikeus salata viestiensä sisältö ja esiintyä halutessaan nimettömänä.

  • Ihmisillä on oikeus tietää, mihin tarkoituksiin ja miten heitä koskevia tietoja käsitellään viestintäverkoissa. Ihmisillä on myös lähtökohtaisesti oikeus määrätä itseään koskevien tietojen käsittelystä.

  • Ihmisillä on oikeus päättää, minkälaista viestintää he haluavat vastaanottaa. Erityisesti tämä koskee ei-toivottua sähköistä mainosviestintää ja muuta häiritsevää tai loukkaavaa viestintää.

Sääntely tulee kuitenkin rajoittaa siihen, mikä on tarpeen edellä kuvattujen etujen turvaamiseksi.

Esitysluonnos toteuttaa pääsääntöisesti edellä mainitut periaatteet. Lain sisältö vaikuttaa kokonaisuutena järkevältä. Lakiteksti on selkeästi ja ymmärrettävästi kirjoitettua ja hyvin jäsenneltyä. Lain valmistelutyön aikana eri osapuolia on kuunneltu laajalti ja avoimesti jo pykäläluonnoksia kirjoitettaessa. Esitysluonnoksesta on pyydetty runsaasti lausuntoja ja yksityishenkilöille on annettu mahdollisuus kommentoida luonnosta sähköpostitse.

Lakiehdotukseen liittyvät asiat

EFFI on pyrkinyt vaikuttamaan muun muassa seuraaviin sähköisen viestinnän tietosuojalakiin liittyviin asioihin:

  • EFFI on kritisoinut joukkoviestinnän vastuulakiehdotusta (HE 54/2002 vp) ja mm. lausunut asiasta perustuslakivaliokunnassa. Lain määritelmät ovat epäselviä, päätoimittaja- ja vahingonkorvausvastuu voivat haitata muun muassa keskustelupalstoja ja ehdotetut verkkojulkaisujen ja ohjelmien ja tunnistamistietojen tallentamisvelvollisuudet ovat varsin laajoja ja huolestuttavia. Lakiehdotus on tätä kirjoittaessa vielä perustuslakivaliokunnan käsiteltävänä. Lisätietoja EFFIn kotisivuilta: http://www.effi.org/sananvapaus/

  • EFFIltä pyydettiin ja myös annoimme lausunnon sisäasiainministeriön Internet-työryhmälle (”Itälän työryhmä”). Lausunto on luettavissa EFFIn kotisivuilta ja se on myös liitteenä työryhmän raportissa: http://www.effi.org/sananvapaus/internet-2002-12-12.html

  • EFFI on seurannut aktiivisesti yksityisyyden suojaan liittyviä aloitteita Euroopan Unionissa, esimerkiksi: http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2002-11-25.html

  • EFFI on pyrkinyt vaikuttamaan aktiivisesti ei-toivottua sähköistä viestintää koskevien käytännesääntöihin ja lakeihin Suomessa ja Euroopan Unionissa. Ks.: http://www.effi.org/roskaposti/

Lakipykälistä

Haluamme selventää EFFIn kantaa yksittäisiin lakipykäliin ja lausua niistä seuraavaa:

2 § Määritelmät

Kolmannessa kohdassa määritellään teleyritys, verkkoyritys ja viestintäpalveluyritys. ”Verkkoyritys” tai ”viestintäpalveluyritys” ei kuitenkaan ole välttämättä yritys. Esimerkkinä tästä ovat FUNET ja suomalaiset yliopistot ja korkeakoulut, jotka tarjoavat opiskelijoille, opettajille ja tutkijoille verkkopalveluita, mutta eivät kuitenkaan ole yrityksiä. Määritelmiä olisi syytä selventää siten, että niistä ilmenisi, että teleyrityksen ei välttämättä tarvitse olla yhtiö. Esimerkiksi:

- - Verkkoyritys on oikeushenkilö, joka tarjoaa - -

9 kohdassa määritellään ”viestintä” oleellisesti samalla tavalla kuin sähköisen viestinnän tietosuojadirektiivissä (2002/58/EY). Viestinnän määritelmää voisi selkeyttää siten, että se kattaisi selvästi myös tilanteet, joissa viestinnän osapuoli on kone (esimerkiksi webbipankin ja käyttäjän välinen viestintä).

11 kohdassa määritellään ”tunnistamistieto” oleellisesti sellaiseksi liikennetiedoksi, joka on samalla henkilötietolain tarkoittama henkilötieto. 4 § perusteluissa (s. 33) sanotaan, että etukäteen maksettujen liittymien liikennetiedot eivät kuitenkaan olisi tunnistamistietoja, koska niitä ei voi yhdistää luonnollisiin henkilöihin. Tämä ei kuitenkaan pidä paikkaansa: vaikka etukäteen maksettujen liittymien liikennetietoja ei sillä hetkellä voitaisikaan yhdistää luonnolliseen henkilöön, voi se olla mahdollista myöhemmin, jos liittymän haltija selviää tavalla tai toisella – esimerkiksi henkilön soittaessa äidilleen tai puolisolleen. Siksi myös etukäteen maksettujen liittymien liikennetietoja olisi pidettävä tunnistamistietoina. Tämän asian selventämiseksi ehdotamme 11 kohtaa muutettavaksi seuraavasti:

    - - tunnistamistiedolla sellaista liikennetietoa, joka voi olla yhdistettävissä viestinnän yhteen tai useampaan osapuolena olevaan luonnolliseen henkilöön taikka luonnolliseen henkilöön, joka käyttää viestintäverkkoja tai lisäarvopalveluita; - -

7 § Liikennetietojen käsittely väärinkäytösten ja rikosten havaitsemiseksi ja estämiseksi

1 momentti oikeuttaa teleyritykset ja lisäarvopalvelujen tarjoajat käsittelemään ja luovuttamaan toisilleen tunnistamistietoja palvelujen käytettävyyttä koskevien väärinkäytösten ja oikeudetonta käyttöä koskevien rikosten havaitsemiseksi ja estämiseksi.

Pykälää ei kuitenkaan tarvitsisi sitoa maksuun. Esimerkiksi yliopistojen tietoverkkoja voi käyttää oikeudettomasti, vaikka verkkojen käyttö on opiskelijoille ilmaista. Siksi ”ilman asianmukaisen maksun suorittamista” voisi muuttaa muotoon ”oikeudettomasti”.

Pykälän oikeuttama anonymisoimattomien tunnistamistietojen käsittely ja luovuttaminen yritysten kesken on ongelmallista. Käytännössä pykälä oikeuttaisi esimerkiksi Internet-palveluntarjoajat, (webbi)pankit, (webbi)vakuutusyhtiöt, (webbi)kaupat, (webbi)lehdet ja muut lisäarvopalvelujen tarjoajat (jotka voivat olla hyvinkin pieniä yrityksiä) vaihtamaan keskenään arkaluonteisia tunnistamistietoja – joita poliisillakaan ei välttämättä ole oikeutta nähdä – ilman käyttäjien lupaa. Tunnistamistietoja voitaisiin käsitellä ja vaihtaa esimerkiksi henkilöistä, jotka ovat jättäneet liittymismaksuja tms. maksamatta tai joiden käyttäytymisprofiili vastaa tällaista käyttäjää. Pahimmillaan pykälä voisi esimerkiksi oikeuttaa luottotietorekisteristä riippumattomat yritysten ylläpitämät mustat listat. 7 § antaa teleyrityksille ja lisäarvopalvelujen tarjoajille liian avoimen ja valvomattoman valtakirjan arkaluontoisten tunnistamistietojen käsittelyyn, mistä syystä 7 § ei ole mielestämme nykyisellään hyväksyttävä.

9 § Tunnistamistietojen käsittely ja luovutus markkinointia varten

9 § mukaan tunnistamistietoja voi tilaajan suostumuksella luovuttaa markkinointitarkoituksia varten. 9.3 § mukaan tilaajalla ja käyttäjällä on kuitenkin oltava oikeus kieltää tämä suostumus. Katsomme, että tämä oikeus on annettava tilaajille ja käyttäjille maksutta. Siksi ehdotamme kolmatta momenttia muutettavan seuraavasti:

Tilaajalla ja käyttäjällä on oltava mahdollisuus helposti ja maksutta perua edellä 1 momentissa tarkoitettu tunnistamistietojen käsittelyä, luovuttamista ja tallentamista koskeva suostumus.

11 § Teleyrityksen velvollisuudet sijaintitietojen käsittelyssä

11 § oikeuttaa palveluntarjoajan tallentamaan sijaintitietoja, jos tilaaja (esimerkiksi työnantaja) on antanut siihen luvan. Käyttäjällä tulisi olla aina oikeus perua tällainen suostumus. Ehdotamme 4 momenttia muutettavan seuraavasti:

Tilaajalla ja käyttäjällä on oltava mahdollisuus helposti ja ilman erillistä maksua peruuttaa 1 momentissa tarkoitettu suostumus.

14 § Tietoturvailmoitukset

14 § kolmas momentti velvoittaa ilmoittamaan mm. hätäkeskuksille merkittävistä viestintäverkon ja -palvelujen vika- ja häiriötilanteista. Ehdotamme, että lakitekstiä selvennetään siten, että käy selvästi ilmi, että ilmoitusvelvollisuus on vain, jos vialla on vaikutusta esimerkiksi hätäviestien kulkuun:

Teleyrityksen ja 13 §:n 2 momentissa tarkoitetun kolmannen osapuolen on viipymättä ilmoitettava hätäkeskukselle, meripelastuskeskukselle, lohkokeskukselle ja poliisin hälytyskeskukselle näiden toimintaan vaikuttavista merkittävistä viestintäverkon ja viestintäpalvelujen vika- ja häiriötilanteista.

21 § Suoramarkkinointi

Yleistä ei-toivotusta sähköisestä suoramarkkinoinnista

”Spämmillä” tai roskapostilla tarkoitetaan ei-toivottuja sähköisiä massapostituksia. Internetissä spämmi määritellään usein sisältöriippumattomasti: ”Spämmäys tarkoittaa oleellisesti samansisältöisen viestin lähettämistä usealle vastaanottajalle tai useaan uutisryhmään ilman vastaanottajien ennakkosuostumusta tai hyväksyntää, viestin sisällöstä riippumatta.”

Ei-toivotut sähköiset massapostitukset ovat suuri ongelma Internetissä. Suomesta ja muista EU-maista tulee sähköpostispämmiä nykyään merkittäviä määriä. Suurin osa sähköpostiroskapostista tulee kuitenkin EU:n ulkopuolelta, varsinkin Yhdysvalloista ja Aasiasta. Yksi ilmeinen syy kotimaisen roskapostin pienempään määrään on nimenomaan tehokas suomalainen lainsäädäntö, erityisesti kuluttajansuojalaki, henkilötietolaki ja teletoiminnan tietosuojalaki.

Roskapostista aiheutuu ilmeistä haittaa ei-toivottujen ja ärsyttäväksi1 koettujen viestien täyttäessä ihmisten sähköpostilaatikot ja kännyköiden pienet tekstiviestimuistit. Ihmiset hankkivat yleensä sähköpostilaatikon tai kännykän henkilökohtaista viestintää varten, eivät siksi, että ne olisivat joillekin edullisia mainosvälineitä.

Monen sähköpostilaatikko on muuttunut käyttökelvottomaksi roskapostin takia. Lisäksi on nähtävissä, että spämmi haittaa vakavasti sähköisen viestinnän käyttöä myös toisella tapaa: ihmiset eivät uskalla roskapostin saamisen pelossa antaa yhteystietojaan silloinkaan kuin se olisi aiheellista. Jos ihmisillä on pienikin epäilys, että sähköpostiosoitetta tullaan käyttämään ei-toivottujen mainosten lähettämiseen, ei osoitetta helposti anneta, vaikka se olisi muuten aiheellista. Tämä uhkaa koko sähköposti- ja tekstiviestijärjestelmän toimivuutta. Sähköisen asioinnin ja kaupankäynnin kehittymiselle on tärkeää, että ihmiset uskaltavat antaa sähköiset yhteystietonsa eurooppalaisille elinkeinonharjoittajille.

Hyvänä esimerkkinä tästä kännyköiden tekstiviestijärjestelmää yritettiin 1990-luvulla käyttää seksiviihdepalvelujen ei-toivottuun markkinointiin. Kuluttaja-asiamiehen ja markkinatuomioistuimen puuttuminen asiaan lopetti kuitenkin tämän toiminnan alkuunsa, mahdollistaen tekstiviestien käytön yleistymisen ja taloudellisen hyödyntämisen, kun ihmiset eivät lakanneet käyttämästä tekstiviestejä spämmistä kyllästyneenä (ks. esim. markkinatuomioistuimen ratkaisu 1998:021).

Sähköpostimainosten lähettäminen on käytännössä ilmaista. Kulut maksaa vastaanottaja. Pienenkin yrittäjän kannattaa siis lähettää mainos vaikka toiselle puolelle Eurooppaa, se kun ei maksa mitään. Tästä seuraa spämmille tyypillinen volyymiongelma. Potentiaalisia lähettäjiä on valtava määrä ja tuhansien tai jopa miljoonien sähköpostiviestien lähettäminen kerralla on teknisesti suhteellisen yksinkertaista ja valitettavasti arkipäiväistä Internetissä. EFFIn mielestä on tärkeää, että lakiin ei jätetä ”porsaanreikiä”, jotka mahdollistaisivat ei-toivottujen sähköisten mainosten lähettämisen. Jos tällaisia aukkoja lakiin jätetään, on varmaa, että löytyy mainostajia, jotka niitä hyödyntävät.

Esimerkkinä tällaisesta porsaanreiästä jotkut mainostajat ovat tulkinneet suoramarkkinoinnin käsitettä hyvin suppeasti. Heidän mukaansa suostumuspyynnön pyytäminen mainontaan ei olisi suoramarkkinointia ja siten tällaiset suostumuspyyntöviestit olisivat nykyisen lainsäädännön perusteella sallittuja. Esimerkki tällaisesta tulkinnasta ovat 1.12.2002 voimaan astuneet Suomen Suoramarkkinointiliiton, Kaupan Keskusliiton, Keskuskauppakamarin ja FiComin sähköisen kuluttajakaupan käytännesäännöt. Ks. EFFIn tiedote asiasta 28.11.2002: http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2002-11-28.html Mainosten vastaanottajalle on yhdentekevää, täyttyykö hänen postilaatikkonsa mainoksista tai suostumuspyynnöistä mainosten lähettämiseen. Mainoksethan on helppo muotoilla uudelleen lupapyynnöiksi: ”Tilaa 8 päivää -lehti!” on suostumuspyynnöksi muotoiltuna ”Haluatko vastaanottaa tarjouksia 8 päivää -lehden tilauksesta?”.

Sähköpostiviesti, jossa pyydetään lupaa mainosten lähettämiseen, on varsin selvästi itsessään ei-toivottua sähköistä suoramarkkinointia ja siten laitonta nykyisen teletoiminnan tietosuojalain 21 § perusteella. Lisäksi on huomattava, että sähköisen viestinnän tietosuojadirektiivi (2002/58/EY) kieltää sähköisten viestien käytön suoramarkkinointitarkoituksessa ilman ennakkosuostumusta. Kielto ei siis koske pelkästään "suoramarkkinointia", vaan kaikkea suoramarkkinointitarkoituksissa tehtävää viestintää. Vaikka suostumuspyyntöjä ei pidettäisikään suoramarkkinointina, niin ne ovat silti selvästi suoramarkkinointitarkoituksessa lähetettyjä viestejä ja siten direktiivin kieltämiä.

EFFIn mielestä suostumus markkinointiin voidaan pyytää esimerkiksi henkilötietoja kerätessä, muun asiakasviestinnän yhteydessä tai muita medioita käyttämällä. Mielestämme esimerkiksi autokorjaamo voi ilmoittaa sähköpostitse muun viestinnän ohessa (esimerkiksi ilmoittaessaan, että auton voi hakea huollosta), että heillä on öljynvaihtoa koskeva tarjous. Tällöin viestin pääasiallinen tarkoitus on ollut normaali asiakasviestintä ja viesti olisi lähetetty muutenkin, myös ilman mainosta. Suostumusta voi EFFIn mielestä pyytää myös asiakasviestinnän yhteydessä paluuviestillä, jos viestinnän pääasiallinen tarkoitus on normaali asiakasviestintä ja jos pyyntö ei varsinaiseen viestiin mahdu ja jos tämä paluuviesti lähetetään välittömästi asiakasviestinnän yhteydessä. Sähköisen viestinnän tietosuojadirektiivin valmistelun yhteydessä ehdotimme lisäksi, että eurooppalaiset suoramarkkinointiliitot voisivat kerätä ”opt-in-listan”, johon voisivat ilmoittaa yhteystietonsa ne ihmiset ja yhteisöt, jotka haluavat vastaanottaa sähköistä suoramarkkinointia niiltä suoramarkkinointiliittojen jäseniltä, joilta he eivät ole tällaista mainontaa erikseen kieltäneet, ks.: http://www.effi.org/julkaisut/kirjeet/kirje1.html Näin ne, jotka haluavat vastaanottaa sähköistä mainontaa, voisivat antaa siihen suostumuksensa helposti ja keskitetysti. Täsmälleen miten sähköiseen markkinointiin pyydetään lupaa riippuu tietysti pitkälti mainostajien omasta aloitteellisuudesta.

EFFIn mielestä ei siis ole hyväksyttävää, että suostumusta pyydetään yksittäisenä tapahtumana, kuten esitysluonnoksen perusteluissakin todetaan (s. 48).

21.1 §

1 momentin mukaan ei-toivottu sähköinen suoramainonta on kiellettyä, jos käyttäjä on luonnollinen henkilö. Perustelujen mukaan tämä koskee myös esimerkiksi yritysten työntekijöilleen tai oppilaitosten opiskelijoilleen antamia osoitteita (etunimi.sukunimi@yritys.example), mikä on huomattava parannus nykytilanteeseen verrattuna.

Pykälän mukaan yrityksillä ja muilla yhteisöillä on oikeus kieltää tällainen suoramarkkinointi. Toinen asia on, että miten yritykset ja yhteisöt voisivat tätä kielto-oikeuttaan tehokkaimmin toteuttaa. Viestintävirastolle pitäisi antaa 22 §:ssä mahdollisuus antaa tarkempia määräyksiä tämän kielto-oikeuden toteuttamisesta. Olemme ehdottaneet viranomaisen ylläpitämää domaineista koostuvaa mainostajia velvoittavaa yritys-Robinson rekisteriä, ks.: http://www.effi.org/spam/yritys-robinson.html Tätä varten 22 § voisi lisätä seuraavan kohdan:

Viestintäviraston tehtävänä on: - - 11) antaa tarvittaessa tarkempia määräyksiä siitä, miten yritykset ja muut yhteisöt voivat käyttää 21 §:n 1 momentissa tarkoitettua kielto-oikeuttaan.

21.2 §

2 momentin mukaan asiakkaille saa lähettää mainoksia samankaltaisista tuotteista tai palveluista, jos asiakas ei ole sitä kieltänyt. Tämä tarkoittaisi käytännössä, että esimerkiksi ostaessaan kännykkään logon tai soittoäänen tai maksaessaan kännykällä virvoitusjuoman, autonpesun tai raitiovaunumatkan, saisi tuotteen tai palvelun myyjä automaattisesti oikeuden lähettää tekstiviestimainoksia samankaltaisista tuotteista tai palveluista. Perustelujen mukaan (s. 48) asiakkaalle on kerrottava selkeästi tietoja kerätessä, että tietoja tullaan käyttämään suoramarkkinointiin ja annettava hänelle mahdollisuus kieltää tietojen käyttö. EFFIn mielestä olisi selkeämpää ja kuluttajien etu, että elinkeinonharjoittaja pyytäisi tietojen keräämisen yhteydessä kuluttajalta lupaa mainosten lähettämiseen. Siksi ensisijaisesti 2 momentin voisi poistaa kokonaan, joskaan tämä ei välttämättä ole mahdollista sähköisen viestinnän tietosuojadirektiivin (2002/58/EY) puitteissa.

Toissijaisesti 2 momenttia tulisi selventää siten, että siitä ilmenisi selvästi, että asiakasta on informoitava tietojen käytöstä suoramarkkinointiin direktiivin 13.2 artiklan edellyttämällä tavalla.

2 momentissa on esitetty periaate, jonka mukaan mainosten vastaanottajalla on oltava mahdollisuus jokaisen ei-toivotun viestin yhteydessä kieltää suoramarkkinointi, jos se on teknisesti mahdollista. Sähköisen viestinnän tietosuojadirektiivin 13.2 artikla ei kuitenkaan salli 2 momenttiin kirjattua poikkeusta: jos kieltomahdollisuutta ei ole, ei-toivottua mainosta ei saa lähettää. Mainostajien on syytä kehittää ei-toivottuun mainontaan käytetyt menetelmät sellaisiksi, että tällainen kieltomahdollisuus on aina olemassa (jopa tekstiviestin 160 merkkiin lyhyt maininta kielto-oikeuden käytöstä mahtunee). Jos mainostaja haluaa käyttää kuluttajan päätelaitetta luvatta omiin mainostarkoituksiinsa, tulisi helpon kieltomahdollisuuden olla ehdoton minimivaatimus.

Ensisijaisesti siis ehdotamme 2 momentin poistamista ja toissijaisesti sen muuttamista direktiivin edellyttämällä tavalla seuraavasti:

Jos palvelun tarjoaja tai tuotteen myyjä saa asiakkaana olevalta tilaajalta tai käyttäjältä tallentuvaan viestiin liittyvän yhteystiedon tuotteen tai palvelun myynnin yhteydessä, sama palvelun tarjoaja tai tuotteen myyjä voi sen estämättä, mitä 1 momentissa säädetään, käyttää tätä yhteystietoa omien samankaltaisten tuotteiden ja palvelujen suoramarkkinoinnissa edellyttäen, että asiakas ei ole tällaista yhteystietojensa käyttöä alun perin kieltänyt ja että asiakkaalle annetaan selkeästi ja selvästi yhteystietojen ottamisen ja jokaisen viestin yhteydessä mahdollisuus maksutta ja helposti kieltää tällainen yhteystietojensa käyttö.

21.4-5 §

Neljännessä momentissa säädetään, että markkinointiviesti on voitava heti sitä vastaanotettaessa tunnistaa markkinoinniksi ja 22 §:n yhdeksännessä kohdassa annetaan Viestintävirastolle mahdollisuus määrätä tällaisen tunnisteen teknisestä standardoinnista. 5 momentissa kielletään sellainen suoramarkkinointi, jossa lähettäjän yhteystiedot on peitetty tai jossa ei ole voimassa olevaa osoitetta, johon voi lähettää pyynnön siitä, että viestintä lopetetaan. Nämä kohdat ovat erittäin kannatettavia.

21.6 §

6 momentti antaa ylläpitäjille oikeuden suodattaa suoramarkkinointia ja suoramarkkinointiin rinnastuvia viestejä käyttäjän informoidulla suostumuksella. Käyttäjä voi antaa tällaisen suostumuksen esimerkiksi osana palvelun käyttöehtosopimusta. Käyttöehtosopimuksen hyväksyminen voidaan asettaa ehdoksi liittymän käytölle: jos käyttäjä ei sopimusta ja roskapostisuodatusta hyväksy, voi hän viime kädessä valita toisen palveluntarjoajan. Palveluntarjoaja ei välttämättä halua tarjota käyttäjäkohtaista suodatuspalvelua, koska usein kaikkien käyttäjien postin suodattaminen on huomattavasti halvempaa kuin vain joidenkin käyttäjien postin suodattaminen.2 Momentti on EFFIn mielestä sellaisenaan nykytilannetta selventävä ja hyväksyttävä.

Joskus käyttäjä voi haluta tehdä suodatusta muillakin kriteereillä (esimerkiksi estetään viestintä kaikilta muilta kuin omilta kavereilta, virussuodattimet, suodatetaan viestejä aiheen perusteella jne.). Lisäksi on muistettava, että suodattimet tekevät aina virheitä. Täydellistä roskapostisuodatinta ei ole keksitty. Siksi 6 momentin voisi kirjoittaa laajemminkin, esimerkiksi:

Käyttäjän suostumuksella teleyrityksellä, lisäarvopalvelujen tarjoajalla ja tilaajalla, joka hallinnoi käyttäjien liikennetietoja oman toimintansa mahdollistamiseksi, on oikeus estää viestinnän vastaanottaminen. Toimenpiteet on toteutettava huolellisesti ja viestinnän ja luottamuksellisuutta ja yksityisyyden suojaa tarpeettomasti vaarantamatta ja siten, että käyttäjä on tietoinen viestinnän eston periaatteista.

Valvonnasta ja seuraamuksista

Lain valvonta keskitettäisiin Viestintävirastolle. Viestintävirastolle kuuluisi myös ensisijaisesti roskapostitapausten hoitaminen. Viestintävirasto voisi tarpeen vaatiessa antaa asian edelleen esimerkiksi tietosuojavaltuutetun tai kuluttajaviranomaisten käsiteltäväksi. Tämä selkeyttäisi nykytilannetta antamalla ihmisille selkeän valitusosoitteen spämmitapauksissa (”yhden luukun periaate”). Ongelma tästä voi syntyä, jos Viestintävirastolle ei anneta tarpeellisia lisäresursseja tehtävän hoitamiseen. Siksi on erityisen tärkeää, että Viestintäviraston resursseja laajennetaan perustelujen (s. 26) kuvaamalla tavalla.

EFFIn mielestä on kuitenkin myös tärkeää, että tietosuojavaltuutetun ja kuluttaja-asiamiehen toimivaltaa ei rajoiteta henkilötietolain ja kuluttajansuojalain piiriin kuuluvissa asioissa. Kuluttaja-asiamiehellä on esimerkiksi oltava oikeus puuttua sähköpostimainontaan kuluttajansuojalain perusteella itsenäisestikin. Viranomaisten tulisi toki ensisijaisesti pyrkiä kehittämään sähköisen suoramarkkinoinnin säätelymekanismi yhteistyössä, mihin esitysluonnos antaakin hyvät puitteet.

Voimassa olevan lainsäädännön mukaan spämmäyksestä on seurauksena sakkoa. Sakkoa ei kuitenkaan tuomita, jos rikkomus on vähäinen. Ongelmana on ollut, että syyttäjäviranomaiset ovat johdonmukaisesti jättäneet spämmitapaukset syyttämättä vedoten rikkomuksen vähäisyyteen ja siihen, että todennäköinen rangaistus olisi vain sakkoa. Käytännössä spämmäyksestä ei siis ole saanut Suomessa rangaistusta, vaikka sellainen muodollisesti onkin laissa määrätty. (Voi arvioida, että Internetin mittakaavassa hyvin pienestä 10.000 spämmiviestin lähetyksestä aiheutuu vastaanottajalle suuruusluokaltaan yhteensä 1.000 euron kulut.3 Ilmeisesti syyttäjäviranomaiset ovat ottanut syyteharkinnassaan huomioon vain ne vastaanottajat, jotka ovat spämmitapauksista tehneet rikosilmoituksen.) Toisaalta myös tietosuojavaltuutetun, joka valvoo teletoiminnan tietosuojalain 21 § ennakkosuostumuksen noudattamista, toimintamahdollisuudet ovat olleet rajoitetut. Käytännössä ainoa pakkokeino tietosuojavaltuutetun arsenaalissa on ollut asian vieminen esitutkintaan ja sitä kautta syyteharkintaan. Toisaalta kuluttaja-asiamies on puuttunut tekstiviestispämmitapauksiin menestyksellisesti määräämällä kuluttajansuojalain perusteella uhkasakkoja. Joissain tapauksissa uhkasakot on myös langetettu maksettaviksi.

Yllä olevan vuoksi onkin erittäin kannatettavaa, että 22 § antaa tietosuojavaltuutetulle oikeuden antaa määräyksiä suoramarkkinoinnin edellytykseksi annetusta etukäteisestä suostumuksesta ja että 27 § antaa Viestintävirastolle ja tietosuojavaltuutetulle mahdollisuuden antaa uhkasakko määräyksensä tehosteeksi. Tämä toivottavasti tehostaa roskapostitapausten käsittelyä.

Vieläkin tehokkaampi seuraus voisi olla esimerkiksi spämmäyksestä aiheutuva vakioitu vahingonkorvausvelvollisuus. Esimerkiksi Kaliforniassa roskapostin lähettäjä voi joutua maksamaan 50 dollaria per viesti.4 Italiassa roskapostin lähettämisestä voi ilmeisesti joutua maksamaan vastaanottajalle 500 euroa vahingonkorvausta per viesti ja sakkoa 500-5000 euroa, enemmän toistuvista tai vakavista rikkomuksista.5 Suomalaisenkin oikeudenkäytön tehostumisen edellytyksenä olisi, että täälläkin roskapostin lähettämisestä seuraisi todellinen mahdollisuus saada teosta laissa säädetty rangaistus.











Helsingissä 7.2.2003





Kai Puolamäki

1Gartner Groupin tekemän tutkimuksen mukaan vain 3 % Internetin käyttäjistä pitää spämmistä. Gartner Group, ISPs and spam: the impact of spam on customer retention and acquisition, 1999.

2Kustannustehokkaimmat sähköpostin suodatusmenetelmät suodattavat viestin jo ennen kuin se ladataan palveluntarjoajan postipalvelimelle ja ennen kuin on selvillä, kuka tai ketkä palvelimen käyttäjistä olisivat olleet viestin vastaanottajia. Mm. tästä syystä suodatusta ei voi tehdä vastaanottajakohtaiseksi ilman lisäkustannuksia.

3Yhden spämmiviestin vastaanottamisesta voi nyrkkisääntönä arvioida aiheutuvan vastaanottajille suuruusluokaltaan 10 sentin kulut per viesti, ks.: http://www.effi.org/spam/tekosyyt.html#SPAMMI-ON-HALPAA