Effin lausunto puolustusministeriölle tiedonhankintalakityöryhmän mietinnöstä

7.4.2015
Electronic Frontier Finland ry
www.effi.org

Effin lausunto puolustusministeriölle tiedonhankintalakityöryhmän mietinnöstä Suomalaisen tiedustelulainsäädännön suuntaviivoja

Electronic Frontier Finland – Effi ry kiittää mahdollisuudesta lausunnon antamiseen. Tiedustelulakimietintö liittyy Effin alaan lähinnä siltä osin kuin se koskettaa perusoikeuksia, ja keskitymme tässä lausunnossa erityisesti tähän puoleen. Tämän lisäksi Effillä on muutamia yleisempiä kommentteja.

Effi vastustaa puolustusministeriön työryhmän mietinnön esittämää tietoliikennetiedustelumallia, joka antaisi tiedusteluorganisaatiolle tosiasiallisen pääsyn kaikkeen tietoliikenteeseen. Tosiasiallisesti kaiken tietoliikenteen avaaminen tiedustelulle 1) olisi ristiriidassa perustuslain ja kansainvälisten ihmisoikeussopimusten takaamien perusoikeuksien eli yksityisyydensuojan, henkilötietojen suojan ja luottamuksellisen viestinnän suojan kanssa ja 2) loisi kansalaisille tunteen jatkuvasta valvonnasta.

Effin näkökulmasta työryhmän mietintö asettaa vastakkain kaksi tärkeää eettistä kysymystä. On selvää, että erilaiset tiedustelutoimet ovat osa maanpuolustusta, myös rauhan aikana. Parhaimmillaan hyvälaatuinen tiedustelutieto voi kriisitilanteessa säästää ihmishenkiä sekä Suomessa että muissa maissa. Toisaalta huonosti toteutettuna tällainen tiedustelu voi olla, ja käytännössä usein on ollut, räikeää ihmisoikeuksien loukkausta, erityisesti länsimaisesta demokraattisesta arvomaailmasta katsottuna. Effin mielestä tiedustelua tulee pitää työkaluna, ei itseisarvoisena tavoitteena.
Tiedustelutoiminnassa täytyy myös pitää selvästi erillään sotilastiedustelu ja poliisin siviilitiedustelun tiedonhankinta. Esimerkiksi SuPolle ei tule myöntää oikeuksia muuhun kuin rikosperusteiseen tiedonhankintaan. Luottamuksellisen viestinnän seuraaminen poliisin toimesta ilman selvää rikosepäilyä ei saa olla sallittua Suomessa.

Selvästikin tiedustelutoimien on edellä mainituista syistä oltava tarkoituksenmukaisia, erittäin tarkasti rajattuja ja tarkoin valvottuja. On hyvä, että toiminta tulee lainsäädännön piiriin, jotta pelisäännöt tulevat huolellisesti harkituiksi ja toiminnan valvonta rakennetaan vakaalle pohjalle. Tietoyhteiskunnan turvallisuutta edistävä lainsäädäntö on Suomelle tärkeä ja mietinnössä on paljon hyviä kohtia, kuten se, että yrityksiltä ei aiota jatkossakaan vaatia takaportteja tietojärjestelmiin viranomaisia varten. Lisäksi mietinnössä ei haluta heikentää kansalaisten mahdollisuuksia valvonnalta suojautumiseen, esimerkiksi kieltämällä tietoliikenteen salaamista.

Mikäli tietoliikennetiedustelusta katsotaan tarpeelliseksi aloittaa lakivalmistelu, Effi katsoo, että valmistelutyössä on huomioitava erityisesti seuraavat asiat.

1. Ristiriita perus- ja ihmisoikeuksien kanssa

Ehdotettu tietoliikennetiedustelu puuttuisi yksityisyyden suojaa ja sananvapautta koskeviin perusoikeuksiin, joita suojaavat sekä perustuslaki, Euroopan unionin perusoikeuskirja että Euroopan ihmisoikeussopimus. Ehdotetuista toimivaltuuksista säätäminen edellyttää, että toimivaltuudet ovat välttämättömiä, tehokkaita, oikeasuhtaisia ja täyttävät muutkin perusoikeuksien rajoittamisedellytykset.
Ehdotettu tosiasiallisesti kaikkeen tietoliikenteesen kohdistuva tiedustelu olisi hyvin laajaa ja kohdistuisi lukuisiin ihmisiin ja kaikkeen heidän verkkoviestintäänsä. Mietinnössä kuvataan tietoliikennetiedustelun tarpeellisuutta ja käyttökohteita vain yleisellä tasolla, joten jää epäselväksi, onko kyseessä todellakin välttämätön puuttuminen perusoikeuksiin.

Koska ehdotuksessa on kyse massamuotoisesta viestinnän valvonnasta, tietoliikennetiedustelusta yksilöiden perusoikeuksille aiheutuva haitta olisi merkittävä. Mietinnössä on vain yleisluontoisesti perusteltu tällä saavutettavaa hyötyä. Tässä valossa ehdotettu perusoikeusrajoitus ei olisi oikeasuhtainen. Siinä määrin kuin ehdotettu tiedustelu kohdistuisi viestinnän sisältöön, kyseessä olisi puuttuminen viestintäsalaisuuden ydinalueeseen, mikä on perusoikeuksien rajoitusedellytysten mukaan kiellettyä.

Ehdotettu tietoliikennetiedustelu vaikuttaisi myös olevan vastoin Euroopan unionin perusoikeuskirjan sääntelyä. Digital Rights Ireland -tuomiossaan Euroopan unionin tuomioistuin piti oikeasuhtaisuusedellytyksen vastaisena sellaista viestintätietojen tallentamista, joka kohdistui laajaan ihmisjoukkoon ilman perusteltua rikosepäilyä.

2. Luvanvarainen pääsy tietoliikenteeseen

Mietinnössä esitetään tiedusteluorganisaatiolle pääsyä tosiasiallisesti kaikkeen Suomen rajojen yli kulkevaan tietoliikenteeseen, josta tiedusteluorganisaatio itse seuloisi tarkemmilla hakuehdoilla tietoa. Mikäli katsotaan välttämättömäksi sallia tietoliikennetiedustelua joissain olosuhteissa, Effi ehdottaa mietinnössä esitettyä toteuttamistapaa muutettavaksi siten, että operaattori tarjoaisi tiedusteluorganisaatiolle luvanvaraisesti pääsyn vain luvan piiriin lankeavaan liikenteeseen. Operaattori suorittaisi siis mietinnössä mainitun tunnistetietoihin perustuvan ensimmäisen tason seulonnan. Tämä menettely ei rajoita mietinnössä mainitun tyyppistä tietoverkkotiedustelun tarkoitusta/tapaa/prosessia, mutta lieventäisi yhtä suurimmista tietoliikennetiedustelun ongelmista. Toisin sanoen haluttu toimintakyky säilyy, mutta ristiriita kansalaisten perusoikeuksien kanssa pienenee. Ratkaisu toisi mukanaan myös saumattomasti yhden kontrollin lisää, koska tietoliikennepalveluja tarjoava taho toteaisi luvan olemassaolon ennen viestinnän tarkkailua. Effi katsoo, että tämä toteutustapa ei ratkaisevasti haittaisi tiedusteluprosessia.

3. Valvonnan valvoja

Effi pitää tietoliikennetiedustelun valvonnan huolellista järjestämistä välttämättömänä ja toivoo, että valvonnassa kiinnitettäisiin oikeudellisten ja poliittisten arvojen lisäksi huomiota eettisiin arvoihin. Eettisen valvonnan mahdollistamiseksi on tärkeää, että “miksi” ja “mitä” on kuvattu lupaprosessissa, koska valvonnan sisältö on pitkälti näiden kahden asian tasapainon arviointia. Tällainen valvontaelin voisi koostua esimerkiksi oikeuslaitoksen, poliittisen edustuksen sekä tietosuojavaltuutetun muodostamasta ryhmästä. Valvonnan tärkeyden puolesta puhuu myös viimeaikainen julkinen keskustelu poliisin salaisen epäiltyjen rekisterin väärinkäytöksistä.

Mietinnössä tuodaan esille (s. 53) esimerkki Iso-Britannian puolustusministeriön alaisen signaalitiedustelulaitoksen lain kirjaimen mukaan toteuttamasta luvanvaraisesta ja kohdistetusta laajamittaisesta tiedustelusta, jonka puitteissa kuunneltiin samanaikaisesti jopa 10.000 puhelinlinjaa. Kyseisessä tapauksessa sisäministeri saattoi antaa eri turvallisuusviranomaisille luvan “kohdistaa” tiedonhankintaa Iso-Britannian ja ulkomaiden välisiin viestiyhteyksiin hyvin yleisellä tasolla, kuten “kaikki Iso-Britannian ja muun Euroopan välisten merikaapelien kautta välittyvät viestit”. Euroopan ihmisoikeustuomioistuin (EIT) totesikin Iso-Britannian rikkoneen Euroopan ihmisoikeussopimusta (EIS 8(2)). Tilanne Iso-Britanniassa olisi vältetty, mikäli paikallinen laki olisi määritellyt tarkemmin tiedustelutoiminnan rajat.

4. Tilastojen julkaisu

Mahdollisesta tiedustelutoiminnasta olisi ehdottoman tärkeää julkaista tilastoja. Tilastot mahdollistaisivat julkisen keskustelun tiedustelun hyödyistä ja tehokkuudesta. Tilastojen tulisi sisältää ainakin seuraavat asiat:

  • Seulontalupien määrä tilastointiväliä kohden
  • Kuinka isoon verkkoalueeseen, datamäärään, henkilömäärään ja ajanjaksoon kullakin luvalla suoritettu tietoliikennetiedustelu on kohdistunut
  • Kuinka pitkäkestoisia luvat ovat olleet

Näiden tilastojen lisäksi tiedustelutoiminnan toteutukseen osallistuvien tahojen tulisi pitää tiedustelutoiminnasta seurantatietoja, joihin valvontaorganisaatiolla olisi myös tarkempi tarkastusoikeus. Valvontaorganisaation jatkuviin tehtäviin tulee myös kuulua esitettyjen tilastojen oikeellisuuden tarkastaminen seurantatietoja vastaan siten, että niistä voidaan myös tarvittaessa tehdä yhteinen esimerkiksi vuotuinen julkilausuma. Tarkastusvelvollisuus on tärkeä, koska tilastoja voidaan muuten kaunistella liian helposti, jos väitteiden oikeellisuutta on vaikea tarkastaa. Esimerkiksi USA:ssa NSA on väittänyt torjuneensa massavalvonnan avulla 54 terrori-iskua, mutta Valkoisen talon asettamat kaksi riippumatonta toimikuntaa joutuivat perumaan väitteet, koska niille ei ollutkaan todisteita.

5. Tiedustelutiedon vaihdon säänteleminen

Yksi tiedustelutoiminnan tavoitteista on mahdollistaa tiedustelutiedon vaihto muiden maiden kanssa. Tiedustelutiedon vaihtoa tulisi myös säännellä ja valvoa, jotta vältyttäisiin tilanteelta, jossa esimerkiksi Suomi vakoilisi Ruotsin kansalaisia ja Ruotsi Suomen kansalaisia, ja kerättyjä tietoja vaihdettaisiin ristiin. Tällöin tiedusteluorganisaatio voisi ulkoistaa muutoin laittoman kotimaan tiedustelun ystävällismieliselle maalle ja saada täten tietoa myös oman maan sisäisestä liikenteestä. Näin on käynyt esimerkiksi USA:n ja Iso-Britannian välillä.

6. SuPon tiedonhankintaluvat pidettävä edelleen rikosperusteisina

Työryhmän mietinnössä ehdotetaan, että SuPolla olisi mahdollisuus tehdä tiedustelupyyntöjä tiedusteluorganisaatiolle. SuPolla on kuitenkin jo nykyisellään varsin kattavat oikeudet hankkia tietoa, mikäli kyseessä on rikosepäily.

Effin mielestä nykyinen rikosperusteinen tiedonhankintaoikeus ei kaipaa lisäoikeuksia poliisille mahdolliseen tiedustelulakiin, koska ehdotetut lisäoikeudet liittyisivät muuhun kuin rikosperusteisiin tiedonhankintaoikeuksiin. Poliisin oikeuksia tiedusteluun tulisi siten käsitellä esimerkiksi pakkokeino- ja esitutkintalaissa, missä muitakin salaisia pakkokeinoja on käsitelty.
SuPon mietinnön ulkopuolella esille tuomat esimerkit keskustelufoorumien seurantaan ottamisesta sekä tuntemattomien uhkien seulonta ilman rikosperusteita kuulostavat huolestuttavalta perusoikeuksien loukkaamiselta, jollaista ei voida sallia demokraattisessa yhteiskunnassa.

7. Kovenevien tiedustelumenetelmien kierteen ennaltaehkäisy

Tiedustelulakimietinnössä tiedostetaan, että osa verkkoliikenteestä on salattua ja että se ei nykyisellään estä tiedustelun tavoitteiden saavuttamista. Tietoliikenteen ja päätelaitteiden salaus kuitenkin yleistyy vauhdilla, ja suuryritykset kuten Apple ja Google ovat panostaneet merkittävästi asiakkaidensa suojelemiseen salauksen avulla. Tekniseen tiedusteluun merkittävästi panostaneissa maissa tämä on johtanut tiedustelun ulottamiseen päätelaitteisiin ja taustapalvelujärjestelmiin pelkän tietoliikenteen lisäksi. Tämäntyyppiset toimet ovat omiaan vaarantamaan sekä teknisen tietoturvan että yritysten ja kansalaisten luottamuksen teknologiaan ja yksityisyyden suojaan. Mikäli Suomessa päätetään sallia tiedusteluorganisaatiolle jonkinasteinen pääsy tietoliikenteeseen, tulisi tämä rajata pelkkään siirron aikaiseen liikenteeseen niin, että viestinnän osapuolina toimivat henkilöt ja laitteet itsessään nauttivat suojaa kohdistetuilta tiedustelutoimilta jatkossakin.

8. Tietoturva ei parane

Mietinnössä tuodaan hyvin esille, että tiedustelun ensisijainen tavoite on tiedon kerääminen. Tämän painotuksen kääntöpuolena esitetyssä mallissa ei ole huomioitu tietoturvallisuuden tarpeita Suomessa. Esitetyt valvontakeinot eivät ole pelkästään eettisesti ongelmallisia, vaan myös teknisesti hankalia. Esitetyin toimin ei todennäköisesti voitaisi suojautua esimerkiksi viimeaikaisilta Osuuspankin palvelunestohyökkäyksen kaltaisilta toimilta, eikä niistä välttämättä olisi ollut apua ulkoministeriön taannoisen tietomurron tapauksessa. Sen sijaan esitetyn kaltainen kaiken tietoliikenteen valvonnalle avaava mekanismi on altis vahingoille ja väärinkäytöksille, ja siten omiaan aiheuttamaan uusia uhkia. Täydellistä tietoturvaa ei olekaan, mutta se tiedetään, että mitä enemmän tietoa kerätään ja analysoidaan, sitä enemmän sitä myös joutuu vääriin käsiin. Effi korostaa, että tietoturvaa pitää kehittää laaja-alaisesti eikä monimutkaisiin ongelmiin pidä tarjota näennäisratkaisuksi verkkovalvontaa.

Kaiken kaikkiaan tiedustelun täytyy olla työkalu, ei itseisarvoinen päämäärä. Ihmisten yksityisyyteen, perusoikeuksiin ja turvallisuuteen vaikuttavana työkaluna tiedustelun tulee olla valvottua, kohdistettua ja luvanvaraista. Tiedustelun luvituksen, toteutuksen ja valvonnan tulee jakautua useammalle eri toimijalle turvamekanismina virheitä ja väärinkäytöksiä vastaan. Tiedustelun rinnalla tulee muistaa myös vaihtoehtoiset työkalut kuten uhkien ennaltaehkäisy. Tiedustelua toteuttaessa täytyy noudattaa erityistä huolellisuutta, ettei se itsessään lisää turvattomuutta. Tällainen turvattomuuden tunne voi estää tehokkaasti myös Suomen lanseeraamista kansainvälisenä tietoturvasatamana, jollaiseksi sitä on hallituksen ohjelmassa aiottu.

Effi ry:n puolesta
Mikko Kenttälä
Hallituksen jäsen