Lausunto eduskunnan hallintovaliokunnalle sähköisen viestinnän tietosuojalaista

Tämä lausunto on saatavana myös muissa formaateissa:

Muita dokumentteja:


LAUSUNTO

28.11.2003


ASIA: Hallituksen esitys 125/2003 vp sähköisen viestinnän tietosuojalaiksi ja eräiksi siihen liittyviksi laeiksi



Yleistä

Sähköisellä viestinnällä ja erityisesti Internetillä on nykyään suuri yhteiskunnallinen merkitys. Internet tarjoaa ennenkuulumattoman tehokkaan tavan viestiä ja levittää in­formaatiota. Sähköisen viestinnän kehittymistä viimeisen kymmenen vuoden aikana on perustellusti pidetty teolliseen vallankumoukseen verrattavissa olevana yhteiskunnalli­sena muutoksena.

Lausuttavana oleva lakiehdotus on pääosiltaan hyvin valmisteltu. Lain vaikutuksien analysoiminen on kuitenkin vaikeaa johtuen alan laajuudesta ja nopeasta kehitystahdis­ta. Kaikkia esitetyllä lailla säädeltäviä asioita ei ole vielä edes keksitty. Onkin hyvä, et­tä lakia valmisteltaessa on kuunneltu laajalti eri alojen asiantuntijoita ja erilaisten etu­järjestöjen edustajia ja yksittäisiä kansalaisia. Myös EFFI ry:tä on kuultu lakiehdotuk­sen eri valmisteluvaiheissa.1

Lakiehdotus toteuttaa sähköisen viestinnän tietosuojadirektiivin 2002/58/EY, jäljempä­nä ”direktiivi”.



Viestinnän luottamuksellisuus

Perustuslain 10 § suojaama viestinnän luottamuksellisuus on yksi kansanvaltaisen oi­keusvaltion tärkeimmistä periaatteista ja lausuttavana olevan esityksen keskeisimmistä asioista. Viestinnän luottamuksellisuuteen voidaan puuttua erityisistä syistä, mutta täl­laisten puuttumiskeinojen on perusoikeusoppien mukaan oltava täsmällisiä ja tarkkara­jaisia sekä välttämättömiä ja oikeassa suhteessa tavoiteltavaan intressiin nähden.



Rikosten selvittäminen

Rikosten selvittäminen muodostaa joissain tapauksissa erityisen syyn puuttua viestin­nän luottamuksellisuuteen.2

Erilaiset viestinnän tai tunnistamistietojen yleiset tallentamisvelvollisuudet eivät ole hyväksyttäviä.3 Viestinnän luottamuksellisuuteen tulee puuttua vain, jos on perusteltu syy epäillä rikosta. Eihän normaalielämässäkään ole säädetty velvollisuutta nauhoittaa kahvilakeskusteluja tai pitää rekisteriä kadulla keskustelemassa nähdyistä ihmisistä sil­tä varalta, että tällaisista tiedoista voisi olla joskus myöhemmin apua rikoksen selvittä­misessä. Tällaisten tietomassojen kerääminen johtaa ennen pitkää itsessään väärinkäy­töksiin. Yleinen tallennusvelvollisuus olisi saavutettuun hyötyyn nähden kohtuuttoman kallis ratkaisu ja joissain tapauksissa jopa mahdoton toteuttaa – puhumattakaan siitä, että tällainen seuranta on yleensä suhteellisen helposti kierrettävissä (mm. anonyymi­palvelimet, nettikahvilat).

Luottamuksellisten viestintätietojen käsittely vaatii erityistä varovaisuutta ja sääntelyä. Käytännössä vain viranomaisten toiminta on riittävän säänneltyä ja valvottua, jotta tä­mä ehto voi täyttyä rikosepäilyä tutkittaessa. Jos esimerkiksi EFFI epäilee jonkun vuo­taneen julkisuuteen jäsentensä luottamuksellista viestintää, ei EFFIlle pidä ilman vies­tinnän kaikkien osapuolien lupaa an­taa luottamuksellisia teletunnis­tamistietoja tutkin­taa var­ten, vaan tutkinta kuuluu tieto­suojavaltuutetulle tai poliisille. Tutkinta kuuluu poliisille myös silloin, jos lastensuoje­luliitto epäilee lapsen oikeuksia loukatun puhe­linsoitoin tai jos tekijänoikeusetujärjestö epäilee yksityishenkilöä tieto­verkon avulla tehdystä teki­jänoikeusrikkomuksesta. Luot­tamuksellista tietoja viestin­nästä ei tule luo­vuttaa tutkin­taa varten muille kuin viran­omaisille. Joka epäilee rikok­sen tapahtuneen tai oikeuk­siaan loukatun voi antaa asian viranomaisten tutkitta­vaksi.

Esityksessä ehdotetaan muutettavaksi poliisilain 36 § siten, että poliisilla olisi oikeus saada haltuunsa myös yhteyskohtaisia tunnistamistietoja (esim. dynaamiset IP-osoit­teet), jos se on yksittäistapauksessa tarpeen poliisille kuuluvan tehtävän suorittamisek­si. Tällä hetkellä poliisilla on vastaava tiedonsaantioikeus pysyvistä tunnistamistiedois­ta (esim. staattiset IP-osoitteet). Tämä on edellä luetelluin perustein sinänsä hyväksyt­tävää, mutta poliisilain 36 § tulisi perusoikeusnäkökulmasta vahvistaa vaatimalla tuomioistuimen hyväksynnän tietojen luovutukselle.



Viestinnän salaaminen

6 § mukaan ihmisillä on halutessaan oikeus salata viestintänsä. Tehokkaat salausmene­telmät ja oikeus niiden käyttöön ovatkin välttämättömiä uskottavan tietoturvan takaa­miseksi.

6 § 2 momentissa kielletään salauksen purkuvälineen hallussapito tai levittäminen, jos järjestelmän ensisijaisena käyttötarkoituksena on suojauksen oikeudeton purkaminen. Tämä muotoilu voi kuitenkin johtaa väärinkäsityksiin: kyseessä voisi käsittää olevan esi­merkiksi tekijänoikeudellisesti ”oikeudettomasta” purkamisesta, jota koskevat sään­nökset kuuluvat tekijänoikeuslakiin, ei sähköisen viestinnän tietosuojalaissa. Lakiteks­tin tai ainakin perustelujen tasolla olisi syytä muuttaa 6 § ilmaisu ”oikeudeton purkaminen” yksiselitteisempään muotoon ”ilman viestinnän osapuolen hyväk­syntää tapahtuva purkaminen”.

2 momentti voi olla perusteltu esimerkiksi GSM-matkapuhelinverkoille, joiden suo­jausjärjestelmä on kryptografisesti murrettavissa. 2 momentti on kuitenkin lähtökohtai­sesti tarpeeton Internet-ympäristössä. Nykyään yleisesti käytössä olevat avoimiin stan­dardeihin perustuvat salaustekniikat on toteutettu siten, että niiden murtaminen on käy­tännössä mahdotonta eivätkä tällaiset järjestelmät siten tarvitse 2 momentissa annettua suojaa.

2 momentti voi olla ongelmallinen myös siksi, että erilaisilla ohjelmallisilla purkuväli­neillä on melkein aina myös laillinen käyttötarkoitus. Esimerkkinä tietojärjestelmien ylläpidossa käytetään yleisesti ohjelmia, jotka murtavat salasanoja. Kun käyttäjä valit­see itselleen uuden salasanan, yrittää ohjelma murtaa sen. Jos murtaminen onnistuu, varoitetaan käyttäjää heikosta salasanasta ja kehotetaan häntä valitsemaan vaikeammin murrettava salasana. Ohjelman tekijä tai levittäjä eivät voi etukäteen mitenkään tietää, tullaanko ohjelmaa käyttämään tietoturvan edistämiseen vai viestinnän suojauksen murtamiseen. Näistä syistä olisi riittävää, jos purkuvälineiden käyttö ilman viestinnän osapuolen hyväksyntää tapahtuvaa purkamista varten kiellettäisiin.



Alle 15-vuotiaiden paikkatiedot

16 § mukaan alle 15-vuotiaan paikkatietojen käsittelystä vastaa lapsen huoltaja. Tästä voi aiheutua ongelmia. Lapsen vanhetessa hän saa asteittain lisää vastuuta ja oikeuksia. 14-vuotias voi olla jo monessa suhteessa hyvin itsenäinen ja hänellä voi olla elämän­aloja, joista hän ei halua vanhempiensa tietävän. Tästä syystä esitämme harkittavak­si, että 16 § 4 momenttia muutettaisiin siten, että jo 12 vuotta täyttäneillä lapsilla olisi erikseen oikeus kieltää operaattoria luovuttamasta paikkatietoja.



Ei-toivottu sähköinen suoramarkkinointi

Ei-toivotusta sähköisestä suoramarkkinoinnista (”spämmi”) on tullut todellinen ongel­ma. Eräiden arvioiden mukaan jo yli puolet sähköpostiviestinnästä on spämmiä. Myös Suomesta ja muista EU-maista tulee sähköpostispämmiä nykyään merkittäviä määriä. Suurin osa sähköpostiroskapostista tulee kuitenkin EU:n ulkopuolelta, varsinkin Yh­dysvalloista ja Aasiasta. Yksi ilmeinen syy kotimaisen roskapostin pienempään mää­rään on nimenomaan tehokas suomalainen lainsäädäntö, erityisesti kuluttajansuojalaki, henkilötietolaki ja teletoiminnan tietosuojalaki, jonka esitetty laki korvaa.

Monen sähköpostilaatikko on muuttunut käyttökelvottomaksi roskapostin takia. Lisäk­si on nähtävissä, että spämmi haittaa vakavasti sähköisen viestinnän käyttöä myös toi­sella tapaa: ihmiset eivät uskalla roskapostin saamisen pelossa antaa yhteystietojaan silloinkaan kuin se olisi aiheellista. Jos ihmisillä on pienikin epäilys, että sähköposti­osoitetta tullaan käyttämään ei-toivottujen mainosten lähettämiseen, ei osoitetta anneta yhteystiedoksi. Tämä uhkaa koko sähköposti- ja tekstiviestijärjestelmän toimivuutta. Sähköisen asioinnin ja kaupankäynnin kehittymiselle on tärkeää, että ihmiset uskalta­vat antaa sähköiset yhteystietonsa suomalaisille elinkeinonharjoittajille.

Näistä syistä ehdotuksen 7 luvun ei-toivottua sähköistä mainontaa koskevat säännökset ovat kannatettavia ja välttämättömiä.

Lainsäädännön lisäksi oleellinen osa spämmäyksen vastustamista ovat Internet-palve­luntarjoajien käyttöehdot, joissa yleensä kielletään kaikenlainen spämmäys – myös sel­lainen, joka muuten olisi laillista (esim. yhteisöspämmi). Jotta tällaisia käyttöehtoja voi­daan valvoa, tulee palveluntarjoajilla olla yksittäistapauksessa oikeus tarkastaa lii­kennetiedoista spämmiä lähettäneen asiakkaan henkilöllisyys 13 § oikeuttamalla taval­la.



Lupapyyntöspämmi

Direktiivi kieltää luonnollisille henkilöille lähetetyt ei-toivotut sähköpostimainokset. Useat mainostajien edustajat kampanjoivat lain valmistelun aikana voimakkaasti sen puolesta, että heillä olisi – jossain olosuhteissa – oikeus kiertää direktiivin späm­mäystä koskeva kielto.

Yksi tällainen kiertotapa koskee niin sanottua lupapyyntöspämmiä. Joidenkin mainos­tajien mielestä sähköiset viestit, joissa pyydetään lupaa mainosten lähettämiseen, eivät olisi suoramarkkinointia eikä niiden lähettämiseen siten tarvitsisi vastaanottajan ennak­kosuostumusta. Lupapyyntöviestit ovat kuitenkin suoramarkkinointia: myös mai­nosten mainostaminen on mainostamista. Vastaanottajan kannalta on yhdenteke­vää, täyttyykö hänen sähköpostilaatikkonsa tai kännykkänsä tekstiviestimuisti mainok­sista tai lupa­pyynnöiksi muotoilluista mainoksista.

Lausuntokierrosten jo päätyttyä markkinaoikeus antoi päätöksen, joka koski Aller Jul­kaisut Oy:n lähettämiä seuraavanlaisia tekstiviestejä: ”Hei! Saanko lähettää sinulle Seiskan tarjouksen? Vastaa tähän tarjoukseen sanoilla TARJOUS KYLLÄ (norm.hint.tekstiviesti) Kiitos! Nina/Seiskan asiakaspalvelu” EFFI on tyytyväinen markkinaoikeuden päätökseen (MAO:119/03), jonka mukaan tällaiset viestit ovat suo­ramarkkinointia, johon teletoiminnan tietosuojalain mukaan tarvitaan vastaanottajalta ennalta saatu suostumus.



Yritys- ja yhteisöspämmi

Esityksen 27 § mukaan yrityksille ja yhteisöille saisi lähettää sähköistä suoramarkki­nointimateriaalia ilman vastaanottajien ennakkosuostumusta. Välttyäkseen spämmiltä yhteisöjen pitää kieltää jokaista mainostajaa erikseen lähettämästä heille mainoksia. Tämä voi osoittautua mahdottomaksi tai ainakin hyvin työlääksi, koska sähköposti­viestinnän kustannusrakenteen vuoksi (mainosten lähettäminen on käytännössä ilmais­ta) potentiaalisia lähettäjiä on hyvin paljon.

Esityksen perusteluosassa (s. 80) esitetyn tulkinnan mukaan yhteisöjen (esim. etunimi.sukunimi@yritys.example, etunimi.sukunimi@yliopisto.example) osoitteet kuuluisivat lähtökohtaisesti luonnollisille henkilöille eikä näihin osoitteisiin siten saisi lähettää ei-toivottuja sähköpostimainoksia. Tämä on erittäin tervetullut parannus: voi­massa olevassa tele­toiminnan tietosuojalaissa mainosten lähettämisen laillisuuden kan­nalta on oleellista onko tilaaja luonnollinen henkilö, mistä seuraa, että yritysten työnte­kijät ja esimerkiksi yliopistojen opiskelijat ovat spämmin suhteen suojaamattomassa asemas­sa.

Direktiivin 13.5 artikla velvoittaa jäsenmaat ryhtymään riittäviin toimiin yritysten ja yhteisöjen suojaamiseksi ei-toivotulta sähköiseltä markkinoinnilta. 13.5 artiklan toteut­tamiseksi ehdotammekin ensisijaisesti, että 27 § muutetaan siten, että yhteisöille saa lähettää sähköistä suoramarkkinointia vain ennakkosuostumuksen perusteel­la Tämä ei estä suoramarkkinointia haluavia yhteisöjä vastaanottamasta mainoksia, koska esimerkiksi suoramarkkinoijia edustava järjestö voinee halutessaan helposti pe­rustaa ”opt-in-listan”, jolle yhteisöt, jotka haluavat vastaanottaa ei-toivottuja sähköisiä mainoksia voivat ilmoittaa osoitteensa.

Sähköpostiosoitteita (esim. etunimi.sukunimi@yritys.example) sisältävät kieltolistat ovat osoittautuneet pettymyksiksi. Niiden ylläpito on vaikeaa (sähköpostiosoitteita on paljon) ja yrityksen kaikki osoitteet sisältävä lista on tietoturvariski. Tämän vuoksi olemme ehdottaneet domain-kohtaista kieltorekisteriä Internet-domainin omistaville yhteisöille. Viestintäviraston ylläpitämä kieltorekisteri ei sisältäisi lainkaan yksittäisiä sähköpostiosoitteita, vaan Internet-domaineja (esim. ”yritys.fi”, ”oppilaitos.fi”), ja se olisi mainostajia velvoittava. Listan ylläpito olisi suhteellisen yksinkertaista, koska do­maineja on suhteellisen vähän. Listaa voisi pitää julkisesti saatavilla Viestintäviraston verkkosivuilla.4

Tällaisen kieltolistan mahdollistamiseksi ehdotamme toissijaisesti, että 27 § lisättäi­siin seuraava momentti: ”Viestintävirasto voi tarvittaessa antaa tarkempia mää­räyksiä siitä, miten yhteisöt voivat käyttää tässä pykälässä tarkoitettua kielto-oi­keuttaan.”


Kuluttaja-asiamiehen asema

Esityksessä ei juuri mainita kuluttaja-asiamiestä. Voimassa olevan teletoiminnan tieto­suojalain 21 § mukaan markkinoinnista kuluttajalle on lisäksi voimassa, mitä kulutta­jansuojalaissa säädetään.

Kuluttaja-asiamiestä tarvitaan viestintäpalvelujen käytön lisääntyessä myös niiden pe­lisääntöjen valvomiseen ja siksi kuluttaja-asiamiehen toimivaltuudet tulee taata myös sähköisessä viestinnässä. Jos kansalainen esimerkiksi saa sähköpostimainoksen tai pu­helinsoiton, niin on tärkeää, että kuluttaja-asiamiehellä on toimivalta niiltä osin (harhaanjohtava mainonta jne.), joilta asia ei erityisesti kuulu tietosuojavaltuutetun toi­mialaan (henkilörekisterit, ennakkosuostumukset jne.). Vain kuluttaja-asiamiehellä on tarvittava asiantuntemus, oikeudelliset keinot (markkinaoikeus, uhkasakot) ja henkilö­resurssit kuluttajansuojalain valvomiseen.

Siksi ehdotamme, että 3 § lisätään seuraava selventävä momentti: ”Markkinoinnista kuluttajalle on lisäksi voimassa, mitä kuluttajansuojalaissa (38/1978) säädetään, jollei tästä laista muuta johdu.” 3 § 4 momentissa on jo vas­taava maininta henkilötietolaista.







Helsingissä 28.11.2003





Kunnioittavasti







Kai Puolamäki
Teknillinen korkeakoulu
EFFI ry



Filosofian tohtori, tutkija Kai Puolamäki hoitaa opettavan tutkijan virkaa Teknillisen korkeakoulun Informaatioteknii­kan laboratoriossa. Kai Puolamäki on EFFIn hallituksen jäsen ja hän on toiminut yhdistyksen puolesta asiantuntijana muun muassa sähköistä viestintää koskevissa asioissa.

Electronic Frontier Finland- EFFI ry on perustettu käyttäjien ja kansalaisten oikeuksien puolustamiseksi Internetis­sä. Yhdistys pyrkii vaikuttamaan muun muassa lainsäädäntöhankkeisiin sananvapaudesta, yksityisyydestä, tekijänoi­keudesta, tietokoneohjelmien patentoinnista ja ei-toivotusta sähköisestä viestinnässä Suomessa ja Euroopassa. Lisätie­toja EFFIn kotisivulta osoitteesta http://www.effi.org/.

2Ks. Kai Puolamäki, EFFI: Lausunto puuttumisesta Internetissä ilmenevään rikolliseen sisältöön, 11.12.2002; sisäl­tyy pyydettynä lausuntona sisäasianministeriön poliisiosaston julkaisuun, Internetissä julkaistavan rikollisen mate­riaalin rajoittamista selvittäneen työryhmän raportti, 2/2003, http://www.effi.org/sananvapaus/internet-2002-12-12.html.

3Hallituksen esitys 66/2002 vp laiksi sananvapauden käyttämisestä joukkoviestinnässä ja eräiksi siihen liittyviksi laeiksi sisälsi tällaisen yleisen tallennusvelvollisuuden, jonka eduskunta kuitenkin lakitekstistä poisti. 20.11.2002 päivätyssä EU:n jäsenmaiden kantoja kattaneessa selvityksessä Suomi kannatti teletunnistamistiedoille kahden vuo­den tallentamisvalvollisuutta, http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2002-11-25.html.

4Kai Puolamäki, Yritys-Robinson-rekisteri, http://www.iki.fi/kaip/spam/yritys-robinson.html.

5 / 5