Lausunto toisesta hallituksen esitysluonnoksesta sähköisen viestinnän tietosuojalaiksi

Tämä lausunto on saatavana myös muissa formaateissa:

• Portable Document Format
  (pdf) (tulostettava versio)
• OpenOffice Writer
  (sxw)
• Rich Text Format
  (rtf)

Muita dokumentteja:

• Hallituksen
  esitysluonnos sähköisen viestinnän tietosuojalaiksi
• EFFIn 7.2.2003 antama
  lausunto aikaisemmasta esitysluonnoksesta

---

Lausunto toisesta hallituksen
esitysluonnoksesta sähköisen viestinnän tietosuojalaiksi

6.5.2003
Kai Puolamäki
FT, tutkija
Teknillinen korkeakoulu
Electronic Frontier Finland – EFFI ry

PL 9800 – 02015 TKK – 050 522 8111 – (09)
755 4892 (faksi)

Kai.Puolamaki@iki.fi– http://www.iki.fi/kaip/

Filosofian tohtori, tutkija Kai
Puolamäki on työskennellyt Fysiikan tutkimuslaitoksella ja
hoitanut vuodesta 2001 lähtien opettavan tutkijan virkaa
Teknillisen korkeakoulun Informaatiotekniikan laboratoriossa.
Kai Puolamäki on EFFIn hallituksen jäsen ja hän on toiminut
yhdistyksen puolesta asiantuntijana ja avustanut viranomaisia
muun muassa ei-toivottua sähköistä viestintää ja
joukkoviestinnän vastuulakia koskevissa asioissa.

Electronic Frontier
Finland – EFFI ry on perustettu käyttäjien ja kansalaisten
oikeuksien puolustamiseksi Internetissä. Yhdistys pyrkii
vaikuttamaan muun muassa lainsäädäntöhankkeisiin
sananvapaudesta, yksityisyydestä, tekijänoikeudesta,
tietokoneohjelmien patentoinnista ja ei-toivotusta sähköisestä
viestinnästä Suomessa ja Euroopassa. Lisätietoja EFFIn
kotisivulta osoitteesta http://www.effi.org/.

Johdanto

Liikenne- ja viestintäministeriö pyysi
Electronic Frontier Finland ry:ltä (EFFI) 9.5.2003 mennessä
lausuntoa uudesta hallituksen esitysluonnoksesta sähköisen
viestinnän tietosuojalaiksi. Lakiehdotus toteuttaa sähköisen
viestinnän tietosuojadirektiivin
2000/58/EY (jäljempänä “direktiivi”). EFFI on antanut
7.2.2003 ministeriölle lausunnon aikaisemmasta
esitysluonnoksesta.¹

Lausumme yksittäisistä pykälistä
seuraavaa:

4 § Viestin ja liikennetietojen
luottamuksellisuus

4 § tarkoitetun viestin ja
liikennetietojen luottamuksellisuuden tarkoituksena ei liene
estää viestinnän osapuolta halutessaan julkaisemasta tietoja
viestinnän sisällöstä. Eiväthän normaalielämänkään keskustelut
ole oletusarvoisesti salaisia, ellei tästä ole erikseen sovittu
tai ellei muu laki niin määrä. Direktiivin 5.1 artiklassa
säädetyn viestinnän ja siihen liittyvien liikennetietojen
luottamuksellisuus koskee nimenomaan tapauksia, joissa muut
kuin viestinnän osapuolet saavat haltuunsa tietoja viestinnän
sisällöstä. Perusteluihin tulisi lisätä maininta tästä,
esimerkiksi seuraavasti:

Viestinnän osapuoli voi tämän pykälän
estämättä julkaista tietoja viestinnän sisällöstä. Tällaisten
tietojen julkaisun voi luonnollisesti estää muu syy, kuten
tekijänoikeuslain säännökset, muusta laista tai sopimuksesta
johtuva salassapitovelvollisuus tai rikoslain yksityiselämän ja
kunnian suojaa koskevat säännökset.

6 § Viestin ja liikennetietojen
suojaaminen

Pykälän toisessa
momentissa kielletään sähköisen viestinnän teknisen suojauksen
purkavan järjestelmän hallussapito. Momentti koskee ilmeisesti
myös salausohjelmilla (mm. OpenSSL, http://www.openssl.org/, PGP ja
GnuPG, http://www.gnupg.org/) toteutettuja
suojauksia. Tällaiset avoimiin standardeihin perustuvat
suojaukset on mahdollista tehdä niin vahvoiksi, että niiden
murtaminen on käytännössä mahdotonta. Tällaiset järjestelmät
eivät siten tarvitse toisessa momentissa annettua suojaa.
Toisaalta salauksen purkutapojen tutkiminen on oleellinen osa
salausjärjestelmiä koskevaa tieteellistä tutkimusta. Samaten
oleellinen osa Viestintävirastonkin tukemaa ns. CERT-toimintaa
(ks. http://www.cert.fi/) on, että mm.
viestinnän suojana olevien järjestelmien puutteista
keskustellaan ja tiedotetaan avoimesti. Monilla arvostetuilla
tietoturvafoorumeilla (esim. Bugtraq, ks. http://securityfocus.com/) on
käytäntönä joissain tapauksissa julkaista tietomurron
mahdollistavia esimerkkiohjelmia (“eksploitteja”), jotta
tietoturva-aukkojen korjaaminen helpottuisi.² Suojausten
purkujärjestelmien hallussapito ja joskus julkaisu voi siis
olla edellytyksenä aihetta koskevalle tutkimustyölle ja
tietoturvan edistämiselle. 2 momentin mukaan tällainen
toiminta voisi vaatia Viestintäviraston luvan, mikä ei ole
hyväksyttävää. (Momentissa ei edes sanota mitään perusteista,
joiden mukaan Viestintävirasto myöntäisi tällaisia lupia.)

2 momentti on kirjoitettu muutenkin
liian rajoittavasti. Esimerkiksi omaan tietokoneeseeni on
asennettu käyttöjärjestelmän mukana useita suojausjärjestelmiä
(IPv6, OpenSSL-kirjasto, …), joiden avulla voi suojata
viestintää ja purkaa suojauksia ja joista kaikkia tuskin tulen
koskaan käyttämään. Lakitekstiä kirjaimellisesti tulkiten 2
momentin 1 kohdan edellytys (purkujärjestelmän käyttö
viestinnän osapuolen suostumuksella) ei siis täyty niiden
purkujärjestelmien osalta, joita en käytä mihinkään. Minun
pitäisi siis poistaa nämä käyttöjärjestelmän osat
kovalevyltäni, ellen saisi niiden hallussapitoon
Viestintävirastolta erikseen lupaa. Perustelujen (s. 40) mukaan
purkujärjestelmien “hallussapito” sisältää myös levityksen.
Tämäkin on ongelmallista, koska käyttöjärjestelmäni tekijä ei
voi mitenkään etukäteen tietää, tulenko käyttämään
purkujärjestelmiä luvalliseen vai luvattomaan
tarkoitukseen.

Edellä mainituista syistä 6.2 §
tulisikin selvästi rajoittaa koskemaan vain tapauksia, joissa
viestinnän teknisen suojauksen purkavaa järjestelmää käytetään
tai yritetään käyttää tarkoituksena seurata luvatta toisten
viestintää, esimerkiksi seuraavasti:

6.2 § Viestinnän liikennetietojen
suojaaminen

Sähköisen viestinnän teknisen suojauksen
purkavan järjestelmän käyttö sähköisen viestinnän teknisen
suojauksen ilman viestinnän osapuolen suostumusta tapahtuvaa
purkamista varten on kielletty, ellei laissa toisin
säädetä.

23 § Automaattinen soitonsiirto

Pykälän sanamuodosta saa käsityksen,
että viestintäpalvelun tarjoaja omistaisi päätelaitteen.
Pykälän sanamuotoa tulisi korjata esimerkiksi seuraavasti:

23 § Automaattinen soitonsiirto

Viestintäpalvelun tarjoajan on käyttäjän
pyynnöstä maksutta poistettava sellainen automaattinen
soitonsiirto, jonka kolmas osapuoli on tehnyt käyttäjän
päätelaitteeseen.

7 luku, Suoramarkkinointi ja muu vastaava
viestintä

Toukokuussa 2003 ensimmäisen tunnetun
ei-toivotun mainossähköpostiviestin (spämmin) lähettämisestä
tuli kuluneeksi tasan 25 vuotta. Spämmin määrä on viime vuosina
kasvanut räjähdysmäisesti. Brightmailin arvion mukaan nykyään
jopa noin 40 % kaikesta sähköpostiliikenteestä on spämmiä, kun
vielä kaksi vuotta sitten määrä oli 8 %.³ Spämmistä ei pidetä: Gartner
Groupin vuonna 1999 tekemän tutkimuksen mukaan vain 3 %
Internetin käyttäjistä pitää ei-toivotuista
sähköpostimainoksista.⁴
Tietoturvayhtiö Symantecin muun muassa MikroBitti-lehden kanssa
vuonna 2002 teettämä selvitys päätyi samankaltaisiin tuloksiin:
96 % suomalaisista ei pidä minkäänlaista spämmiä kiinnostavana
ja 64 % haluaisi spämmin pysähtyvän jo
Internet-palveluntarjoajan suodattimiin.⁵

EFFI kommentoi ensimmäistä
esitysluonnosta laajasti aikaisemmassa lausunnossaan
suoramarkkinointia koskevien säännösten osalta. 7 luku on
mielestämme hyväksyttävä direktiivin sallimissa puitteissa,
7.2.2003 lausunnossamme annetuin kommentein ja alla mainituin
varauksin.

Direktiivin 13.5 artikla velvoittaa
jäsenvaltiot ryhtymään riittäviin toimiin yritysten ja
yhteisöjen suojaamiseksi ei-toivotulta sähköiseltä
markkinoinnilta. Lakiehdotuksen ongelma on, että lakiteksti ei
anna yrityksille ja yhteisöille kovin hyvää mahdollisuutta
suojata itseään ei-toivotulta sähköiseltä markkinoinnilta.
Olemme ehdottaneet tätä varten domainkohtaista
sähköpostikieltorekisteriä Internet-domainin omistaville
oikeushenkilöille. Viranomaisen ylläpitämä kieltorekisteri ei
sisältäisi yksittäisiä sähköpostiosoitteita, vaan
Internet-domaineja (esim. “yritys.fi”, “oppilaitos.fi”), ja se
olisi mainostajia velvoittava (ks. http://www.iki.fi/kaip/spam/yritys-robinson.html).

Lisäksi olisi toivottavaa, että
Viestintävirastolla olisi mahdollisuus määrätä 28.1 §
tarkoitetun sähköisen mainosviestin tunnisteen teknisestä
standardoinnista. Aikaisemmassa esitysluonnoksessa tästä
säädettiin 22.2 § 9 kohdassa.

Direktiivin 13.2
artikla edellyttää, että yrityksen asiakkaalle annetaan
mahdollisuus kieltää yritystä käyttämästä yhteystietoja
ei-toivottuun sähköiseen suoramarkkinointiin jo yhteystietojen
ottamisen yhteydessä. Tämä sanotaan esitysluonnoksen
perusteluissa (s. 58), mutta direktiivin selkeä vaatimus tulisi
sisällyttää myös lakitekstiin, esimerkiksi seuraavasti:

26.2 § Suoramarkkinointi ja muu vastaava viestintä
luonnollisille henkilöille

– – Palvelun tarjoajan tai tuotteen myyjän
on annettava asiakkaana olevalle luonnolliselle henkilölle
mahdollisuus maksutta ja helposti kieltää yhteystiedon
käyttö yhteystiedon ottamisen ja jokaisen sähköpostiviestin ja muun vastaavan viestin
yhteydessä. Palvelun tarjoajan tai tuotteen myyjän on selkeästi
tiedotettava kieltomahdollisuudesta.

Lupapyyntöspämmi

Esitysluonnoksen perusteluissa on vakava
epäkohta. Perustelujen sivulla 58 sanotaan seuraavasti:

Ehdotetussa [26 §] 1 momentissa
tarkoitettu suostumus on käytävä ilmi yksiselitteisesti.
Luonnolliselta henkilöltä tulee aina pyytää etukäteinen
suostumus. Pelkkää suostumuksen pyytämistä
suoramarkkinointiin ei pidettäisi markkinointina, jos
suostumuksen pyytämiseen ei sisälly samanaikaisesti
markkinointia. Suostumusta ei siten voi kysyä sellaisella
tavalla, joka itsessään on jo markkinointia.

Kappaleen jälkimmäisessä osassa esitetty
tulkinta on käsittämätön ja se avaa porsaanreiän, joka voi
vesittää koko 7 luvun tarkoituksen. Tulkinta oikeuttaisi ns.
lupapyyntöspämmin. Toisin sanoen, sähköposti- tai tekstiviesti
“Haluatko tilata 8 päivää -lehden!” olisi kiellettyä mainontaa,
mutta “Haluatko vastaanottaa tarjouksia 8 päivää -lehden
tilauksesta?” ei ilmeisesti olisikaan suoramarkkinointia.

Sähköinen viesti, jonka pääasiallisena
tarkoituksena on pyytää lupaa markkinointiaineiston
lähettämiseen, on varsin ilmeisesti jo itsessään markkinointia
ja siten direktiivin kieltämää mainontaa. Myös mainosten
mainostaminen on mainostamista. Markkinointina on pidetty
toimintaa, jonka tarkoituksena on elinkeinonharjoittajan
myynnin edistäminen. Eikö suostumuspyyntöviestien lähettämisen
tarkoitus ole nimenomaan saada mainoksille mahdollisimman laaja
levikki ja siten edistää elinkeinonharjoittajan myyntiä tai
muuta toimintaa?

Perusteluosassa ei anneta yhtään
konkreettista esimerkkiä sellaisesta suostumuspyynnöstä, joka
sisältäisi tarpeelliset tiedot informoidun suostumuksen
antamiseen, mutta joka ei kuitenkaan olisi itsessään
markkinointia. Olisiko “Haluatko vastaanottaa tarjouksia 8
päivää -lehden tilauksesta?” hyväksyttävä suostumuspyyntö? Vai
pitäisikö pyyntö ehkä muotoilla “Eräs lehti on kiinnostunut
sinusta, lisätietoja numerosta XXXX”⁶?
Suomen suoramarkkinointiliiton (SSML) Sähköisen kuluttajakaupan
käytännesäännöissään ajaman tulkinnan mukaan
suostumuspyyntöviesteissä voitaisiin kuvata millaisia palveluja
tai tavaroita yritys markkinoisi kuluttajalle.⁷ Jos tällaiset viestit eivät
olisi elinkeinonharjoittajan kuluttajalle suuntaamaa
markkinointia, niin ilmeisesti niitä eivät myöskään koskisi
kuluttajansuojalain säännökset (kuluttajansuojalaki koskee vain
markkinoinniksi tulkittavia viestejä, kuluttajansuojalaki 1:1
§). Tämä olisi hyvin laajakantoinen ja erikoinen tulkinta. Entä
onko mitään rajaa sille, kuinka usein suostumuspyyntöjä saisi
lähettää?

Millaisia suostumuspyyntöviestejä
esitysluonnoksessa oikeastaan tarkoitetaan ja mitkä säännökset
– jos mitkään – niitä koskisivat jää siis täysin epäselväksi.
Ehkä esimerkkejä tällaisista suostumuspyynnöistä ei voikaan
antaa, koska koko ajatus on ristiriitainen.

Direktiivin johdanto-osan 17 kohdassa
sanotaan, että suostumus sähköiseen suoramarkkinointiin voidaan
antaa myös sähköisesti. Direktiivissä annetaan esimerkkinä
sähköisestä suostumuksesta ruudun rastittaminen vierailtaessa
Internet-sivustolla, mikä onkin tyypillinen ja yleisesti
hyväksytty nykykäytäntö. Direktiivissä ei missään kohtaa anneta
ymmärtää, että suostumusta pitäisi voida pyytää sähköisillä
massapostituksilla, eikä tämä olekaan ollut direktiivin
kirjoittajan tarkoitus. Direktiivin 13.1 artikla nimenomaan
kieltää sähköisten viestien käytön suoramarkkinointitarkoituksiin ilman vastaanottajien
ennakkosuostumusta. Vaikka ei-toivottuja sähköisiä
suostumuspyyntöviestejä ei jostain tuntemattomasta syystä
pidettäisikään itsessään suoramarkkinointina, ovat ne silti
selvästi suoramarkkinointitarkoituksessalähetettyjä viestejä (suostumuspyyntöviestien
pääasiallinen tarkoituson luvan
pyytäminen suoramarkkinoinnin lähettämistävarten) ja siten direktiivin kieltämiä.
Esitysluonnoksessa esitetty tulkinta
suostumuspyyntöviesteistä on siis direktiivin
vastainen.

Julkisuudessa on esitetty kommentteja,
joiden mukaan suomalaisten pienyritysten markkinointi
esimerkiksi Kreikkaan vaikeutuisi, jos suomalaiset eivät voi
lähettää sikäläisille kuluttajille suostumuspyynnöiksi
muotoiltuja mainoksia. Pitäisikö jokaisella eurooppalaisella
yrittäjällä siis olla oikeus lähettää mainoksia ympäri
Eurooppaa vastaanottajien kustannuksella⁸? Eikö direktiivin
tarkoituksena ole nimenomaan estää tällainen toiminta?
Perusteluissa esitetty tulkinta oikeuttaisi jokaisen
eurooppalaisen pienyrittäjän täyttämään suomalaisten
sähköpostilaatikot ja tekstiviestimuistit lupapyynnöiksi
muotoilluilla mainoksilla.

Viestien vastaanottajille on
yhdentekevää, että täyttyykö heidän sähköpostilaatikkonsa tai
tekstiviestimuistinsa mainoksista tai lupapyynnöiksi
muotoilluista mainoksista. Tämän vuoksi lupapyyntöjen
massapostituksia ei tule sallia.

EFFIn mielestä lupaa markkinointiin voi
pyytää esimerkiksi muun kampanjan, tietojen keräämisen,
tuotteiden ostamisen tai normaalin asiakasviestinnän
yhteydessä, mutta ei erillisinä tapahtumina. Tätä varten
ehdotamme, että edellä lainattu kappale muutetaan direktiivin
mukaiseksi ja vastaamaan ensimmäistä esitysluonnosta,
esimerkiksi seuraavasti:

Ehdotetussa [26 §] 1 momentissa
tarkoitettu suostumus on käytävä ilmi yksiselitteisesti.
Luonnolliselta henkilöltä tulee aina pyytää etukäteinen
suostumus. Suostumuksen pyytäminen voisi tapahtua
esimerkiksi tuotteen tilaamisen tai muun asiakasviestinnän
yhteydessä. Suostumuksen pyytäminen muutoin yksittäisenä
tapahtumana ilman olemassa olevaa asiakassuhdetta olisi tämän
säännöksen mukaan kiellettyä (ns. lupapyyntöspämmi).

8 luku, Ohjaus ja valvonta

Lain valvonta on keskitetty
Viestintävirastolle. Ennakkosuostumuksen noudattamista
sähköisessä markkinoinnissa valvoisi tietosuojavaltuutettu,
kuten tähänkin asti. Erityisesti ei-toivottua
markkinointiviestintää koskevien tapausten käsittelyn
tehostamiseksi onkin toivottavaa, että tapauksia varten olisi
olemassa keskitetty käsittelyosoite, jonka kautta kautta
kuluttajat voivat hoitaa asiansa ja luottaa siihen, että tapaus
hoidetaan asianmukaisesti. Tämä “yhden luukun periaate” ei
kuitenkaan saa johtaa turhiin byrokraattisiin esteisiin ja
esimerkiksi siihen, että kaikkien kuluttaja-asiamiehen
toimialaan kuuluvien sähköiseen viestintään liittyvien asioiden
pitäisi kiertää Viestintäviraston kautta. Viestintävirastolla
on uuden lain myötä muitakin tehtäviä, joita varten he
toivottavasti myös saavat tarvittavat lisäresurssit.

Laki tarjoaa puitteet viranomaisten
yhteistyön pohjaksi ja viranomaisten tulisikin ensisijaisesti
pyrkiä toimimaan yhteistyössä ja yhtenäistämään käytäntönsä
uuden lain pohjalta.

Henkilötietolaista ja
tietosuojavaltuutetun toimi-alasta annetaan lakitekstissä ja
perusteluissa kattava kuva. Ehdotusluonnoksessa sanotaan
selvästi, että henkilötietojen käsittelyssä on noudatettava
henkilötietolakia, mikä on hyvä asia.

Kuluttajansuojalain ja
kuluttaja-asiamiehen roolia tulisi sen sijaan selkeyttää.
Valtiovalta ei missään nimessä saa antaa sellaista viestiä,
että kuluttajansuojalaki ei kaikilta osin pätisikään tai että
kuluttaja-asiamiehellä ei olisi toimivaltaa, kun kyse on
sähköisten viestimien avulla toteutetusta markkinoinnista
kuluttajille. EFFIn mielestä on äärimmäisen tärkeää, että
kuluttaja-asiamies voi vastaisuudessakin valvoa
kuluttajansuojan toteutumista tehokkaasti myös silloin, kun
kyse on puhelimitse, tekstiviestein tai Internetin välityksellä
tapahtuvasta markkinoinnista ja kaupankäynnistä. Lain
perusteluja tulisi selkeyttää näiltä osin lisäämällä niihin
maininta, että tietosuojavaltuutetulla ja
kuluttaja-asiamiehellä on oikeus myös oma-aloitteisesti – ei
pelkästään Viestintäviraston pyynnöstä – puuttua sähköistä
viestintää käyttävään markkinointiin niiltä osin, kun kyse on
henkilötietojen käsittelystä tai markkinoinnista
kuluttajille.

3 § sisältää jo maininnan, että
henkilötietojen käsittelyyn sovelletaan henkilötietolakia,
ellei ehdotetusta laista muuta johdu. Saman pitää päteä myös
kuluttajansuojalakiin. Ehdotamme, että 3 § lisätään vastaava
momentti kuluttajansuojalaista:

3 § Soveltamisala

– – Markkinoinnista kuluttajalle on
lisäksi voimassa, mitä kuluttajansuojalaissa (38/1978)
säädetään, jollei tästä laista muuta johdu. – –

Lisäksi 7 luvun perusteluihin olisi
selvyyden vuoksi syytä lisätä nimenomainen maininta, että
henkilötietolain ja kuluttajansuojalain säännökset koskevat
myös sähköistä markkinointia, jollei tästä laista muuta
johdu.

Helsingissä 6.5.2003
Kai Puolamäki

---

Olen saanut sähköpostitse ja EFFIn
keskusteluryhmässä (finet.toiminta.effi) hyödyllisiä ehdotuksia
tämän lausunnon kirjoittamista varten, joista kiitokset.