Suomen Internet-yhdistys - SIY ry

SIY:n lausunto siviilitiedustelua koskevaan lakiehdotukseen

Lausunto  siviilitiedustelulainsäädäntöön

SIY ry kiittää mahdollisuudesta saada lausua siviilitiedustelulakityöryhmän mietintöön ja lakiehdotukseen.

 

Yleistä

 

Tiedustelutiedon hankkimisen ja käyttämisen pelisäännöt ovat nousseet kansainväliseen keskusteluun kesän 2013 jälkeen ja kiihtyneet uusien tiedustelutapausten julkitulon myötä sekä myös turvallisuusympäristön muutosten myötä. SIY ry pitää kannatettavana, että oikeusvaltion periaatteita noudattaen luodaan myös Suomeen lakiin perus- tuva sääntely tiedustelusta, sen oikeutuksesta yleensä sekä toimijoiden oikeuksista ja velvoitteista.

 

Siviilitiedustelulakityöryhmän mietintö ja lakiehdotuksen perustelut ovat osittain epätarkkoja ja jopa harhaanjohta- via. Ryhmässä ei ollut edustettuna varsinaisia tietoliikenne- ja internet –toimialan asiantuntijoita joita olisi ollut käytettävissä koko valmistelun ajan. Lainvalmistelun laatu ei välttämättä näin vastaa sitä tasoa jota voisi odottaa perusoikeuksia ja viranomaisten salassa pidettävää toimintaa käsittelevässä ehdotuksessa. Vastuun ja vallan tasa- paino on jäänyt epäsuhtaiseksi ja pitkälti ehdotetun uuden valvontaelimen varaan (tiedusteluvaltuutettu).

 

Tuomioistuimen kyky arvioida tiedustelutoiminnan oikeasuhtaisuutta, tarpeellisuutta ja lainmukaisuutta tulee ole- maan koetuksella mikäli lakiehdotuksen laatua ei kohenneta. Tuomioistuimen tulisi lainmukaisuuden lisäksi kyetä arvioimaan onko pyydetty toimi perusteltu ja tehokas sekä riittävän tarkkarajainen ettei perusoikeuksia loukattaisi tarpeettomasti. Tehtävä on haasteellinen vaatien sekä juridisen osaamisen laista että ymmärryksen tietoverkkojen ja järjestelmien rakenteesta. Harkinta sen suhteen onko sovellettavissa muita tiedonhankintakeinoja vaatii jo koke- musta teleyritys tai yhdysliikennetoiminnasta tai ulkopuolista asiantuntijaosaamista.

 

Tiedonhankinta tietoliikenteestä, sekä tiedon tallennus, vaatii laitteistoja ja ohjelmia toteutukseen. Näiden laitteiden ja ohjelmistojen turvallisuutta Suomi ei kykene varmuudella varmistamaan mikäli niitä ei alisteta kansallisen tieto- turvasertifioinnin alaiseksi. Laissa tulisi edellyttää tiedusteluun käytettäviltä laitteistoilta ja ohjelmistoilta sellaista turvatasoa jotka VAHTI –ohjeet ja suositukset asettavat yleisesti henkilötietojen ja salassa pidettävien tietojen käy- tölle, tallennukselle ja hävittämiselle.

 

SIY ry:n keskeiset huomiot ja viestit Poliisilaki

Muutokset poliisilakiin ja eräisiin muihin lakeihin ovat pitkälti teknisiä ja liittyvät Suojelupoliisin tehtävien ja oi- keuksien tarkempaan rinnastamiseen esitutkintaviranomaisiin. Lakiehdotuksissa ei ole säädetty rajoituksista sala- ukseen, salausavaimiin tai ohjelmistojen tai laitteiden ns. takaporteista jota voidaan pitää hyvänä linjauksena. Sala- uksen tai luottamuksen murtaminen tai purkaminen olisi tuhoisaa modernille digitaaliselle yhteiskunnalle ja uhkaisi myös yritystoimintaa vakavasti.

Ehdotetut muutokset ovat sinänsä mittavia mutta keskeisten uusien oikeuksien osalta tuomioistuinkäsittelyn alaisia ja määräaikaisia joka ohjaa harkittuun oikeuksien soveltamiseen. SIY ry pitää hyvänä, että toiminnan valvontaan on kiinnitetty erityistä huomiota lakiehdotuksen muodossa tiedusteluvaltuutetun toimesta kanteluoikeuksineen.

 

Poliisilain 15 §:n mukaan suojelupoliisille tulisi oikeus sijoittaa ja poistaa tekniseen tarkkailuun käytettävä laite, menetelmä tai ohjelmisto tietojärjestelmään menemällä salaa kohteeseen kaipaa tarkennusta. Lain perusteissa tulisi määritellä miltä tahoilta toimenpide voidaan salata jotta tuomioistuin kykenee arvioimaan luvan perusteet. Salaa tietojärjestelmään asetettu ohjelmisto sisältää aina riskin järjestelmän toiminnalle ja on omiaan heikentämään sen turvallisuutta. Toimenpidelupa-anomuksen tulisikin sisältää analyysi mitä vahinkoa tarkkailuohjelma voi aiheuttaa tietojärjestelmälle tai sen ohjaamalle prosessille, sekä myös uskottava kuvaus miten ohjelmisto poistetaan vaaraa aiheuttamatta. Tietojärjestelmän toimimattomuus tällaisen toimenpiteen seurauksena voi johtaa tilanteeseen jossa keskeisiä yhteiskunnan palveluita keskeytyy, esimerkiksi lentoliikenne tai keskeinen elintarvike- tai energiantuo- tanto.

Oikeuteen asettaa valvontaohjelmistoja tietojärjestelmiin tulisi asettaa myös korvausvelvollisuus vahingon varalta. Asiattomien ohjelmistojen poisto ja turvallisuusjärjestelmien tarkistus aiheuttavat kustannuksia ja liiketoiminnan haittaa. Olisi kohtuutonta edellyttää, että näiden aiheuttaja ei olisi korvausvelvollinen johtuen virka-asemastaan.

 

Poliisilaki §16 ja §22 Peitetoimintaa sekä tietolähteen ohjattua käyttöä koskevat esitykset ja suunnitelmat tulisivat sisältää myös peitetoiminnan tai tietolähteen ohjatun käytön purkamisen suunnitelman. Tietotoverkossa toteutettava

 

 

peitetoiminta tai ohjattu käyttö voi vaarantaa tietoverkon asiallisen käytön tai kriittisen viestinnän ja siksi sen lopet- tamiseen tai purkamiseen pitäisi olla velvoite sekä tosiasiallinen mahdollisuus.

 

Poliisilaki §52 tietojen käytöstä tulisi olla tarkkarajaisempi. Tietojen käyttö tulisi liittää Suojelupoliisin tehtävien toteuttamiseen ja tietojen luovutuksesta oltava erillinen sääntely. Kansainvälistä käyttöä (§54) ei ole rajattu viran- omaisiin tai yleensäkään vieraan valtion lukuun toimiviin tahoihin joten niitä voitaisiin käyttää myös tietojen tai hyödykkeiden ostamiseen rikollisista tai vihamielisistä lähteistä. Kansainvälisen käytön ja luovuttamisen voisi tar- kemmin rajata tai asettaa luvanvaraiseksi (valvontaviranomainen).

 

Laki tietoliikennetiedustelusta siviilitiedustelussa

 

Lakiehdotuksessa rajataan tiedustelu Suomen rajat ylittävään tietoliikenteeseen ja perusteluissa todetaan, että Inter- netin luonteesta johtuen Suomen sisäinen liikenne voi sattumanvaraisesti kiertää ulkomaisen viestintäverkon kautta. Tosiasiallisesti osa Suomen sisäisestä liikenteestä välittyy ulkomaisten viestintäverkkojen kautta pääasiallisesti ja jatkuvasti. Perustelu on tosiasiallisesti virheellinen väittämä ja se tulisi korjata.

 

Verkkoliikenteenne ml. sähköpostit välitetään valtaosin salattuna. Mietinnössä useasti mainittu tuloksellisuus ja tuloksellisuusodotus ovat siten lähtökohtaisesti erittäin huonoja koska kykyä salauksen murtamiseen ei liene ole- massa. [Viite salauksen yleisyyteen: "A forecast that 70% of global Internet traffic will be encrypted in 2016, with many networks exceeding 80%" (https://www.sandvine.com/trends/encryption.html)].

Mietinnössä mainitut muut tunnistetiedot ovat niin ikään kyseenalaisia, koska mitään järkevää tunniste- tai ohjaus- tietoa ei ole saatavissa edes Facebookin, Googlen, TOR:n tai VPN-palveluiden tapauksissa.

 

Lakiehdotuksessa tietoliikennetiedustelusta siviilitiedustelussa ei riittävän tarkkarajaisesti määritellä tiedustelun kohdentamisesta, ainoastaan seikasta että toiminnan tulee kohdistua Suomen rajat ylittävään liikenteeseen. Määrit- telyn epätarkkuus on omiaan rinnastamaan toiminnan massatiedusteluun jonka kansainvälinen standardointijärjestö IETF on dokumentissään RFC7258 määritellyt, ja yhteisö hyväksynyt, tekniseksi hyökkäykseksi yksityisyyttä vas- taan (https://tools.ietf.org/html/rfc7258).

Jotta riittävä tarkkarajaisuus saavutettaisiin tulisi laissa määritellä, että luvassa jolla tiedusteluoikeutta haetaan tulee määritellä yhteysväli tai -välit josta tiedustelu toteutetaan. Valvontaviranomaiselle jäisi valvontavelvollisuus ja harkinta siitä täyttääkö haettu ja saatu lupa massavalvonnan tunnusmerkit vai voidaanko sitä perustellusti pitää riittävän kohdennettuna siihen uhkaan joka lupa-anomuksessa on kuvattu.

 

Helsingissä, 15.6.2017

 

 

 

Suomen Internet-yhdistys, SIY ry Hallituksen puolesta

 

 

Jorma Mellin Varapuheenjohtaja

Artikkelilaji: