Lex Nokia jakaa mielipiteet vastaan ja enemmän vastaanHei, meitä valvotaan

2000-luvun alussa Nokia epäili tietovuotoa oululaiseen Microcelliin ja alkoi seurata työntekijöittensä sähköpostiliikennettä. Viisi vuotta myöhemmin yritys epäili yrityssalaisuuksia vuotaneen kiinalaiselle verkkolaitevalmistajalle Huaweille. Nokia teki rikosilmoitukset molemmissa tapauksissa, mutta sähköpostien tunnistamistiedoilla hankittu näyttö ei riittänyt Microcell-jutussa edes esitutkinnan käynnistämiseen. Huawei-tapauksessa näyttö ei ollut riittävää jutun siirtämiseksi syyteharkintaan.

Ei siis mikään ihme, että Nokia on jo pitkään ajanut muutosta sähköisen viestinnän tietosuojalakiin, joka nykyisessä muodossaan ei anna yrityksille oikeutta analysoida sähköpostiliikenteen tunnistetietoja muun muassa viestin lähettäjästä, vastaanottajasta, aiheesta, koosta tai lähetyksen kestoajasta.

Niin sanottu Lex Nokia on herättänyt kiivasta keskustelua siitä, miten laki rajoittaa perustuslain turvaamaa yksityisyyden suojaa. Vaikka oikeusoppineiden mielipiteet ovat poikkeuksetta lakia vastaan, hanke etenee joutuisasti eduskunnassa. Siitä osoituksena on perustuslakivaliokunnan marraskuinen kannanotto, jonka mukaan muutos voidaan käsitellä tavallisena lakina.

Yksityisyyden ja omaisuuden suoja vastakkain

Perustuslakivaliokunnan puheenjohtaja Kimmo Sasi pitää tietosuojalain muutosta tarpeellisena. Hänen mukaansa sillä paikataan nykyisessä laissa esiintyviä puutteellisuuksia.

– Kun työnantajalla ei ole oikeutta tutkia sähköpostien tunnistamistietoja laillisin keinoin, ei sillä ole käytännössä mitään keinoja estää yrityssalaisuuksien vuotamista, Sasi toteaa.

– On parempi, että tietojen selvittämiselle asetetaan tiukat menettelytavat, joita tietosuojavaltuutettu valvoo, kuin että toimittaisiin laittomasti, ilman kenenkään valvontaa.

Yrityssalaisuusrikoksen uhriksi joutunut yritys ei voi nykyään luovuttaa rikoksen selvittämiseksi tarvittavia todisteita poliisille. Todisteet saadakseen poliisin tulisi hakea tuomioistuimelta televalvontalupa, mutta yrityssalaisuusrikoksissa valvonnan edellytykset eivät täyty.

Sähköisen viestinnän tietosuojalain muutos sisältää toki reunaehtoja tietoliikenteen seuraamiselle. Ennen seurannan aloittamista yrityksen on parannettava tietoturvaa, tiedotettava seurannan aloittamisesta työntekijöille ja tehtävä ilmoitus tietosuojavaltuutetulle. Yrityksen on myös raportoitava tietosuojavaltuutetulle vuosittain seurannan tuloksista. Kun valvonta on aloitettu, sähköpostiviestien tunnistetietoja voidaan seuloa automaattisesti ja jos tarvetta ilmenee, epäluotettavien viestien tunnistetietoja voidaan tutkia manuaalisesti.

Kansanedustaja Ville Niinistö hyväksyi perustuslakivaliokunnan jäsenenä normaalin käsittelytavan, vaikka pitääkin tietosuojalakia monin tavoin huonosti valmisteltuna ja perusoikeuksia tarpeettomasti rajoittavana.

– Perustuslakivaliokunta oli yksimielinen säätämisjärjestyksestä, mutta mielestäni kyse on rajatapauksesta, Niinistö toteaa.

– Valiokunnan vakiintuneen tulkinnan mukaan sähköpostiviestin tunnistetiedot eivät kuulu viestintäsalaisuuden ydinalueeseen, jolloin tunnistetietojen luottamuksellisuuteen voidaan puuttua, kun esimerkiksi yrityksen omaisuuden suoja on vaakalaudalla.

Mutta mitä hyötyä on tunnistetiedoilla, kun viestin sisältöä ei ole ennenkään saanut selvittää kuin törkeimmissä rikosepäilyissä.­

– Laki mahdollistaa sen, että työnantaja voi tehdä uskottavan rikosilmoituksen yrityssalaisuuden loukkaamisesta ilman pelkoa perättömästä ilmiannosta. Mutta jos poliisi ei saa avata näitä viestejä, herää tietenkin kysymys siitä, ovatko poliisin nykyiset tutkintavaltuudet riittävät rikosten selvittämiseksi, Sasi toteaa.

Niinistön mukaan viranomaisvaltuuksia yksityisille siirtävä laki lisää tietoyhteiskunnan valvontaa ja voi johtaa kehitykseen, jossa muitakin perusoikeuksia on jatkossa helpompi rajata.

– Kukapa lähettäisi yrityksen salaisuuksia sähköpostissa? Niinistö kysyy.

Ehkä lain tarkoitus löytyy siitä, että se rajaa amatöörimäisiä yrityksiä ja pitää sijoittajat tyytyväisinä.

Takaportti totaaliselle seurannalle

Yrityssalaisuuden suojan lisäksi laki antaa mahdollisuuden valvoa verkon luvatonta käyttöä. Parhaimmillaan tämä tarkoittaa sitä, että tietoverkkojen omistajat yrityksistä yleishyödyllisiin yhteisöihin, yliopistot, kirjastot ja jopa taloyhtiöt mukaan lukien, voivat seurata käyttäjiään. Seurannan aloittamisen kriteerit ovat samat kuin yrityssalaisuustapauksissa, mutta kuinka vakava epäilys oikeuttaa valvomaan tietoliikennettä, sitä laki ei määrittele.

– Lain rajaaminen vain tiettyihin tietoverkon ylläpitäjiin on äärimmäisen vaikeaa, Sasi toteaa.

– Tietosuojalain logiikka pitää kuitenkin huolen siitä, ettei valvontaan ryhdytä kuin erittäin painavissa tapauksissa – sisältäähän laki raskaat menettelytavat ja velvollisuuden tiedottaa tietosuojavaltuutetun lisäksi myös verkon käyttäjille valvonnan aloittamisesta.

– Olisi väärin, ellei kalliin tietoverkon ylläpitäjällä olisi mahdollisuutta puuttua sen luvattomaan käyttöön, Niinistö myöntää. Olen kuitenkin sitä mieltä, että valvonnasta olisi pitänyt säätää pakkokeinolaissa tietosuojalain sijaan.

Sasin mukaan sillä ei ole väliä, missä laissa pykälät sijaitsevat. Tärkeintä on se, että ongelmatapauksiin voidaan puuttua.

Yrityssalaisuuksien liiketaloudellisen merkityksen pitää siis olla tarpeeksi suuri, jotta seuranta voidaan aloittaa. Mutta onko tietosuojavaltuutetulla käytännössä resursseja kriittiseen arviointiin tilanteessa, jossa hakijana on esimerkiksi globaali suuryritys? Entä, jos yritys valvoo viestiliikennettä perustellusta syystä, mutta kerää samalla tietoa työntekijöittensä muistakin sähköposteista? Esimerkkeinä yhteydenotot luottamusmiehiin, lehdistöön tai kilpailevassa yrityksessä työskentelevään perhetuttuun?

Sasin ja Niinistön mukaan laki on selkeä ja seuranta on toteutettava siten, että esimerkiksi luottamusmiehet ja kontaktit tiedotusvälineisiin jätetään pois tietojen automaattisesta hausta eikä valvontaa aloiteta aivan turhissa tapauksissa. Paljon kriteereitä on siis jätetty valvojien hyvän tahdon varaan. Mutta eihän ketään turhaan valvota – näinhän meille vakuutetaan.

 

Lain hyödyllisyys kyseenalainen

Valtiosääntöoikeuden professori Veli-Pekka Viljanen, mitä mieltä olette sähköisen tietosuojalain muutoksesta perustuslakinäkökulmasta?

Jo sähköpostien tunnistamistietojen selvittämisellä puututaan perustuslain takaamaan luottamuksellisen viestinnän suojaan. Esimerkiksi tiedot viestinnän osapuolista, ajankohdasta ja viestin otsikosta voivat välillisesti paljastaa myös viestin sisällön. Luottamukselliseen viestintään puuttumista on ylipäätään viestinnän seuraaminen, vaikka itse viestiä ei avattaisikaan. Perustuslakivaliokunnan käytännön mukaan viestien tunnistamistiedot eivät kuulu luottamuksellisen viestin ydinalueelle. Tästä ei voi kuitenkaan päätellä, että ne eivät saisi kyseisen säännöksen antamaa turvaa. Myös tällaisen puuttumisen tulee täyttää perusoikeuksien rajoittamisen yleiset edellytykset, muun muassa vaatimukset rajoituksen riittävästä täsmällisyydestä ja tarkkarajaisuudesta, oikeasuhtaisuudesta ja oikeusturvan antamisesta rajoituksen kohteelle. Esimerkiksi pakkokeinolaissa esitutkintaviranomaisten oikeus televalvontaan on kytketty tuomioistuimen lupaan ja se on mahdollista vain erikseen joko rikosnimikkeen tai rangaistusasteikon avulla määriteltyihin varsin vakaviin rikoksiin.

Entäpä lain säätämisjärjestyksestä?

Oman arvioni mukaan eduskunnan käsiteltävänä oleva lakiehdotus on perustuslain 10 §:n kannalta ongelmallinen. Sääntelyä olisi käsitykseni mukaan tullut merkittävästi rajata ja täsmentää sekä sen sisältämiä oikeusturvajärjestelyjä parantaa, jotta se olisi ollut käsiteltävissä tavallisena lakina. Eduskunnan perustuslakivaliokunta päätyi lievempään tulkintaan. Valiokunnan kanta ratkaisee eduskuntaa sitovasti käsittelyjärjestyksen, eikä valiokunta luonnollisesti ole sidottu yksittäisten asiantuntijoiden näkemyksiin. Katson kuitenkin, että valiokunnan omaksumaa tulkintaa ja säätämisjärjestyskannanottoa voidaan perustellusti kritisoida yksityiselämän ja luottamuksellisen viestinnän suojan näkökulmasta.

Muutosta perustellaan muun muassa sillä, että se parantaa olemassa olevaa lakia. Koska sähköpostin tunnistetietoja ei saa laillisesti tutkia, sitä tehdään salaa.

Lain muuttaminen sillä perusteella, että yritykset ovat valvoneet sähköpostiliikennettä lainvastaisesti, ei ole kestävä peruste lainsäädäntötoimiin ryhtymiselle. Yrityksillä on luonnollisesti hyväksyttävä intressi suojata yrityssalaisuuksiaan. Yrityssalaisuuksien turvaamiseksi käytettäviä keinoja arvioitaessa ne olisi kuitenkin suhteutettava muihin painaviin yhteiskunnallisiin intresseihin ja yksilön perusoikeuksiin. Sähköisen viestinnän tietosuojalain muutosehdotuksessa yritysten taloudelliset intressit ovat saaneet käsitykseni mukaan suhteettoman painoarvon verrattuna perustuslaissa turvattuun yksityiselämän ja luottamuksellisen viestinnän suojaan.

Uusi laki takaa sen, että yritys pystyy tekemään perustellun esitutkintapyynnön poliisille esimerkiksi yrityssalaisuuden vuotoa epäiltäessä.

Lain hyödyllisyys yrityssalaisuuksien turvaamiseksi on kyseenalainen. Viestintäverkon käyttäminen on vain yksi menetelmä, jolla yrityssalaisuutta voidaan loukata. Yhteisötilaajan oma viestintäverkko tai verkkopalvelut tuskin yleisesti ottaen ovat säännönmukaisia menetelmiä, joita käytetään yrityssalaisuuksia paljastettaessa. Pelkkä tunnistamistietoihin perustuva poikkeama tai viestintä määrättyihin kohdeosoitteisiin ei myöskään riitä rikosoikeudellisesti pitäväksi näytöksi yrityssalaisuuden paljastamisesta. Lainsäädännöllisesti ei tässä yhteydessä ole huolehdittu esitutkintaviranomaisten toimivaltuuksien laajentamisesta kattamaan epäilyttävien viestien mahdollisen avaamisen. Yritykset eivät yleensä ole kovin halukkaita saattamaan epäilyjä yrityssalaisuuksien paljastamisesta normaaliin esitutkintaan, vaan asiat tavataan hoitaa omin toimenpitein ja muin kuin rikosoikeudellisin sanktioin. Lainmuutos tuskin aiheuttaa tältä osin muutoksia käytäntöihin. Oman käsitykseni mukaan lakiehdotus ei ole tehokas keino yrityssalaisuuksien vuotamisen estämiseksi eikä paljastamiseksi, eikä se siten täytä perusoikeusrajoituksille asetettavaa suhteellisuusvaatimusta.

Lainmuutos sisältää mahdollisuuden lukuiselle joukolle yhteisöjä valvoa tietoverkkojen liikennettä luvattoman käytön varalta. Mitä mieltä olette asiasta?

Luvattoman käytön osalta pidän lakiehdotusta niin ikään liian väljästi kirjoitettuna. Tämä liittyy ensinnäkin juuri yhteisötilaajan käsitteen laaja-alaisuuteen. Se on lähes kaiken kattava. Lisäksi luvaton käyttö on käsitteenä hyvin epämääräinen ja laaja-alainen. Pelkästään yhteisötilaajan itse antamien ohjeiden vastainen verkon käyttö ei mielestäni riitä perusteeksi tunnistamistietojen käsittelylle, kuten hallituksen esityksessä ehdotetaan. Sinänsä yhteisötilaajalla voidaan katsoa olevan perusteltu intressi tunnistamistietojen käsittelylle esimerkiksi tilanteissa, joissa on kyse sellaisesta palvelujen väärinkäytöstä, joiden käyttämisen kustannuksista yhteisötilaaja on vastuussa. Kyse voi olla myös siitä, että käyttäjä on asettanut verkkoon luvatta laitteita tai ohjelmia. Ehdotettu käsittelyoikeus olisi kuitenkin rajattava selvästi tällaisiin väärinkäytöstapauksiin.

Riittääkö tietosuojavaltuutetun toiminta estämään turhan valvonnan?

Tietosuojavaltuutetun varaan liittyvä valvonta ei ole riittävää ­oikeusturvan takaamiseksi. Tietosuojavaltuutetulle osoitettu jälkikäteinen yleisluonteinen selvitys tunnistamistietojen manuaalisesta käsittelystä ei ole riittävä oikeusturvatae. Jotta tietosuojavaltuutetun valvontamahdollisuudet olisivat reaalisia, tulisi selvitysvelvollisuuden liittyä yksittäisiin tunnistamistietojen käsittelytilanteisiin. Huomionarvoista on, että tunnistamistietojen käsittelyn aloittamisesta ja lain tarkoittaman käsittelykynnyksen ylittymisestä päättäisi yhteisötilaaja eli yksityinen toimija itse. Vertailun vuoksi mainittakoon, että pakkokeinolaissa esitutkintaviranomaisen televalvontaoikeus on pääsääntöisesti sidottu tuomioistuimen antamaan lupaan.