Esityksessä ehdotetaan muutettavaksi yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annettua lakia.

Viestintävirastolle annettaisiin toimivaltuudet toimia jatkossa kansallisena tietoturvaan ja tietoturvaloukkauksiin keskittyvänä vastuuviranomaisena. Uusina tehtävinä virastolle kuuluisivat tiedonkeruu tietoturvaloukkauksista, niiden ratkaiseminen ja torjuminen sekä tietoturvallisuusasioista tiedottaminen. Lisäksi lain tasolla säädettäisiin aiemmin määräyksen tasolla olleesta teleyrityksen velvollisuudesta ilmoittaa Viestintävirastolle televerkkojen ja -palveluiden vika- ja häiriötapauksista. Ilmoitusvelvollisuus laajenisi myös tietoturvallisuusloukkauksiin ja niiden uhkiin.

Laki on tarkoitettu tulemaan voimaan mahdollisimman pian sen jälkeen, kun se on hyväksytty ja vahvistettu.

---

Suomessa ei aiemmin ole ollut kansallista CERT (Computer Emergency Response Team) -toimintoa. Muutamat kaupalliset yritykset ovat tarjonneet CERT:iin liittyviä palveluita rajoitetuille ryhmille. Lisäksi CSC - Tieteellinen laskenta Oy ylläpitää FUNET CERT -palvelua tutkimusverkko FUNETin käyttäjille.

Tietoturvauhat, -loukkaukset ja verkkorikollisuus ovat kuitenkin siinä määrin lisääntyneet yhteiskunnassa, että on tarpeen asettaa vastuuviranomainen varmistamaan ja kehittämään normaaliolojen tietoturvallisuutta ja tietoturvaloukkauksiin varautumista sekä tiedottamaan tietoturvaan liittyvistä uhkista ja loukkauksista.

Viestintäviraston CERT-toiminnan ei voida katsoa heikentävän kaupallisten tietoturvatoimijoiden toimintamahdollisuuksia, koska Viestintäviraston tarkoituksena ei ole tarjota samoja palveluja. CERT-toiminto saattaa jopa edistää kaupallisten tietoturvallisuuspalveluiden kysyntää, kun yhteydenottaneita tahoja ohjataan parantamaan oman tietoturvallisuuden tasoa ja kääntymään tietoturvallisuusratkaisuja tarjoavien yritysten puoleen.

Asian valmistelussa oli esillä vaihtoehtoisiakin malleja, joissa CERT -tehtävä olisi jaettu useammalle organisaatiolle. Lopulta päädyttiin selkeyden vuoksi esittämään vastuuviranomaiseksi Viestintävirastoa. CERT -toimintaan liittyviä ja tietoturvallisuutta edistäviä tehtäviä hoidetaan lisäksi muun muassa poliisin ja puolustusvoimien piirissä. Poliisilla tietoturvallisuuteen liittyvät tehtävät käsittävät pääosin rikosten selvittämisen, mutta huomiota kiinnitetään myös ennaltaehkäisevään rikostutkintaan. Varsinkin suojelupoliisia kiinnostaa tietoverkoissa tapahtuva valtakunnan turvallisuutta uhkaava toiminta. Puolustusvoimien tehtävät tietoturvallisuuden varmistamisessa ovat rajoittuneet niiden omien tietoverkkojen suojaamiseen informaatiosodankäynnissä. Poliisin piirissä on perustettu uusi CERT -tulosyksikkö, jonka toimintaan palkataan uutta henkilöstöä. Poliisin CERT -toiminnan kustannukset vuoden 2002 osalta on arvioitu noin 675 000 euroksi.

Viestintävirasto tulisi luonnollisesti tekemään yhteistyötä näiden muiden tahojen kanssa.

CERT-FI tulee aluksi keräämään tietoa tietoturvauhkista ja -loukkauksista. Toimintaa laajennetaan asteittain kohti monipuolisempaa tietoturvaloukkausten ja -ongelmien havainnointia, ratkaisemista ja ennaltaehkäisemistä. Toiminnon käyttäjinä voivat olla niin yritykset, hallinto kuin yksittäiset kansalaisetkin. Nyky-yhteiskunnassa erityisen haavoittuvassa asemassa ovat yksityiset ihmiset ja pienet yritykset, jotka ovat hankkineet verkkoyhteydet, mutta joilla ei ole tarvittavia resursseja ja/tai tietoja tietoturvallisuutensa tason pitämiseksi riittävän korkealla. Näillä ryhmillä on tarvetta sekä kaupallisille että julkisille CERT -palveluille.

Tietoturvallisuusongelmien kansainvälisestä luonteesta johtuen CERT-FI tulee lisäksi seuraamaan tarkoin kehitystä ja tekemään yhteistyötä myös kansainvälisellä tasolla.

CERT -toimintaan liittyy kiinteästi aktiivinen tiedotustoiminta. Ajantasaisella informaatiolla uusimmista tietoturvaa parantavista toimista ja tuotteista voidaan lisätä käyttäjien luottamusta televiestintään, mikä puolestaan edistää tietoyhteiskunnan uusien palvelujen käyttöä. Nykyisinkin tietoa mm. tietoverkkojen turvallisuusuhkista on saatavissa, mutta se on poimittava eri lähteistä, eikä se aina ole saatavissa omalla äidinkielellä. CERT-FI:n tarjoaman tiedon tulee olla virheetöntä ja riittävän nopeasti saatavissa.

Valmisteltaessa yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annettua lakia, hallituksen esityksessä (HE 85/1998 vp) ennakoitiin, että televiestinnän merkityksen kasvaessa ja käytettyjen tekniikkojen monipuolistuessa, yhteiskunta ja käyttäjät tulevat yhä haavoittuvammiksi televiestinnän tietoturvan suhteen. Esityksessä todettiin tarve seurata viestintämuotojen teknistä kehitystä ja niiden käytössä ilmeneviä mahdollisia uhkia, tarvittaessa puuttumalla niihin vähimmäisturvatason aikaansaamiseksi.

Kaikissa pohjoismaissa on pohdittu ja saatu aikaan tietoturvallisuuspoliittisia linjauksia ja päämääriä. Samoin kehitystä tapahtuu jatkuvasti tieto- ja viestintäteknologian käytössä julkisen hallinnon alalla. Yleistä tietoturvallisuuslakia ei kuitenkaan ole säädetty missään pohjoismaassa, ei siis Suomessakaan. Muista maista Saksaa ja Ranskaa pidetään ainakin Euroopan Unionin alueella johtavina maina tietoturvallisuutta koskevan lainsäädännön osalta sekä tietoturvallisuustyön organisoinnin toteuttamisessa. Englanti puolestaan on erikoistunut tietoturvallisuuden standardien ja laatusertifioinnin kehitykseen. Maailmanlaajuisesti tarkasteltuna Yhdysvaltoja ja Kanadaa pidetään johtavina maina tietoturvallisuussääntelyn ja tietoturvallisuustyön organisoinnin osalta.

Euroopan tasolla toimii useita kymmeniä CERT -toimijoita. Maiden välillä on eroavaisuutta siinä, ovatko kussakin maassa toimivat yksiköt kansallisia CERT -toimijoita vai CERT -yksiköitä, jotka ovat erikoistuneet yliopistojen tietoturvallisuuteen tai vaihtoehtoisesti kaupalliseen CERT tarjontaan, vai löytyykö maasta useamman tyyppisiä CERT -toimijoita. Pohjoismaista ainakin Tanskassa toimii kansallinen CERT, jonka tehtäväkenttä ja valtuudet vastaavat pitkälti Suomeen esitettyä mallia.

Perustettava CERT-FI -toiminto on sijoitettu Viestintäviraston tietoturvallisuusyksikköön. Toiminnan järjestämiseksi yksikköön on perustettu kolme uutta virkaa, ja taloudelliset vaikutukset CERT -toiminnasta vuoden 2002 osalta on arvioitu 350 000 euroksi. Summa koostuu seuraavista eristä: CERT-FI testauskeskuksen (kiinteä internet-yhteys, testijärjestelmissä tarvittavat laitteistot ja ohjelmistot) investointeihin ja ylläpitoon 25 000 euroa, CERT-FI teknisten järjestelmien (ATK-järjestelmät, sähköpostilistajärjestelmä ja puhepostipalvelu) investointeihin ja ylläpitoon 25 000 euroa sekä suurimpana yksittäisenä eränä henkilöstön palkkaus (palkat sivukuluineen, osuus yhteiskustannuksista sekä erilliskustannukset) 100 000 euroa / henkilö. Koostuva summa 350 000 euroa on mainitun vuoden osalta tarkoitus kattaa Viestintäviraston muiden toimintojen ylijäämällä, joten lailla ei ole välittömiä vaikutuksia valtiontalouteen. Vuoden 2002 jälkeen tarvittava toiminnan rahoitus tullaan kattamaan maksutuloilla, joista säädettäisiin 26 a §:ssä. Viestintäviraston CERT -toiminnan oli alunperin tarkoitus olla ympärivuorokautinen palvelu mutta tällä hetkellä toimintaa hoidetaan minimiresurssein virka-aikana, kunnes toiminnan laajentamisen rahoittamisvaihtoehdot on saatu selvitettyä.

Liikenne- ja viestintäministeriö on syksyllä 2001 teettänyt selvityksen CERT-toiminnasta Suomessa. Selvityksessä tarkasteltiin eri viranomaisten ja kaupallisten tahojen rooleja CERT -palveluiden tuottajina. Viestintäviraston julkisen CERT -tehtävän ei katsottu muodostavan estettä rinnakkaiselle kaupalliselle toiminnalle. CERT-FI:n toiminnassa tiedotus tulee muodostamaan pääosan tehtäväkentästä. Tietoturvallisuusyritykset ja muut tietotekniikkapalveluita tarjoavat yritykset kokevat tämänkaltaisen koordinoidun tiedotustoiminnan myönteisenä, sillä se saattaisi vähentää painetta niiden omaan tiedottamiseen. Näiden yritysten pääasialliset tehtävät muodostuvat joko palveluista, jotka liittyvät järjestelmien ja organisaatioiden havaitsemien tietoturvallisuusrikkeiden jälkihoitoon ja/tai tietoturvallisuuskonsultointiin. CERT-FI tulee ainakin jossain määrin ohjaamaan tietoturvarikkeistä ilmoituksia tehneitä pyytämään näiden yritysten palveluita.

CERT -toiminnan aloittamiseksi Viestintävirasto on palkannut uutta henkilöstöä, joten esityksen asiallisen sisällön toteuttamisesta aiheutuu henkilöstön määrää kasvattavia vaikutuksia. Toiminnan luonne edellyttää, että uusi henkilöstö koostuu alansa parhaista asiantuntijoista ja heidän tietojensa jatkuvasta ylläpidosta huolehditaan. Mikäli CERT -toiminta laajennetaan ympärivuorokautiseksi palveluksi, CERT-toiminnon henkilöstön määrää on lisättävä huomattavasti nykyisestään.

Yritysten ja kuluttajien asemaan luotettavan viranomaisominaisuudessa toimivan uuden tietoturvatoimijan palvelujen tarjonta tuo lisäarvoa. CERT-FI:n menestyksellinen toiminta edellyttää kuitenkin sitä, että tietoa tietoturvauhista ja -loukkauksista saadaan kerättyä samaan paikkaan. Tämän vuoksi teleyritysten osalta jo voimassaoleviin säädöksiin pohjautuvaa ilmoitusvelvollisuutta esitetään laajennettavaksi.

Esityksestä ei aiheudu haitallisia ympäristövaikutuksia.

Esitys on valmisteltu liikenne- ja viestintäministeriössä virkatyönä yhteistyössä Viestintäviraston kanssa. Esityksestä pyydettiin lausuntoja 162 alan toimijalta. Lausuntoja saatiin yhteensä 27 taholta. Näitä olivat ministeriöistä: oikeusministeriö, sisäasiainministeriö ja valtiovarainministeriö sekä muista viranomaisista keskusrikospoliisi, kilpailu- ja kuluttajavirastot, suojelupoliisi, tietosuoja-valtuutetun toimisto ja Viestintävirasto. Teleoperaattoreista lausuntonsa antoivat Elisa Communications Oyj, Finnet-liitto ry, Radiolinja Oy, Sonera Oyj ja Telia Mobile Ab, järjestöistä Tietoliikenteen ja tietotekniikan keskusliitto ry, Kaupan keskusliitto, Keskuskauppakamari, Suomen suoramarkkinointiliitto ry, Suomen Yrittäjät ry ja Teollisuuden ja työantajain keskusliitto. Muita lausunnonantavia tahoja olivat CSC-Tieteellinen laskenta Oy, Helsingin yliopisto, HM&V Research Oy, Huoltovarmuuskeskus, Nordea Pankki Suomi Oyj, Suomen Posti Oyj ja Tampereen teknillinen korkeakoulu.

Vastaanotetuista lausunnoista valmistui 24 päivänä tammikuuta 2002 päivätty lausuntoyhteenveto. Lausunnoissa suhtauduttiin yleisesti erittäin positiivisesti kansallisen CERT -viranomaisen perustamiseen ja tehtävän antamiseen Viestintävirastolle. Yleisesti toivottiin myös määritelmien ja käytettyjen käsitteiden tarkempaa määrittelyä. Teleyritykset kritisoivat lähes yksimielisesti lausunnoissaan esitettyä mallia, joissa teleyritysten velvollisuus ilmoittaa vika- ja häiriötilanteista Viestintävirastolle nostettaisiin aiemmalta viraston määräystasolta lakiin. Samat tahot kokivat ongelmalliseksi toiminnan rahoituksen, erityisesti vuoden 2002 osalta Viestintäviraston muun toiminnan ylijäämällä. Myös muut tahot kiinnittivät huomiota jatkorahoitussuunnitelmiin ja toivat esiin toiveen tarkentavista laskelmista ja mahdollisesta budjettirahoituksesta toiminnan hyötyjen jakaantuessa laajasti yhteiskunnan eri lohkoille. Poliisiviranomaiset toivat lausunnoissaan esiin huolensa poliisiviranomaisten ja Viestintäviraston tehtävien välisistä rajoista, yhteistyöstä näiden tahojen välillä sekä poliisin erilaisista tiedonsaantioikeuksista suhteessa Viestintävirastoon. Liikenne- ja viestintäministeriö on käynyt poliisia edustavien tahojen kanssa kahdenkeskisen neuvottelun, jonka tuloksena päästiin yhteisymmärrykseen siitä, että esitettävänä olevalla lailla järjestetään CERT -toiminnan hallinnollinen kehys. Kevään aikana perustetaan erillinen työryhmä pohtimaan muun muassa tiedonsaantioikeuksiin liittyviä kysymyksiä.

Esitys pohjautuu hallitusohjelmassa olevaan päätökseen siitä, että tietoliikenteen ja tietoverkkojen turvallisuus- ja suojausteknisten kysymysten hallinnolliset järjestelyt tulisi selvittää.

Talouspoliittinen ministerivaliokunta teki päätöksen tietoturvallisuuden hallinnollisista vastuista Suomessa 12 päivänä kesäkuuta 2001. Päätöksen mukaan poikkeusolojen tietoturvallisuuden hallinnointi on viranomaisten työnjaon suhteen jo varsin selkeä, sen sijaan normaalioloissa hallinnolliset vastuut ovat epäselvät. Tällaisissa oloissa tapahtuvat tietoturvallisuusloukkaukset voivat muodostaa selkeän uhan yhteiskunnan toimivuudelle. Päätöksessä annettiin liikenne- ja viestintäministeriön tehtäväksi valmistella CERT -toiminnon vastuuttaminen Viestintävirastolle ja sen edellyttämät säädösmuutosesitykset eduskunnalle syksyn 2001 aikana. Päätöksen mukaan Viestintäviraston vastuu tietoturvaloukkausten tiedonkeruusta ja ratkaisemisesta alkaisi 1 päivänä tammikuuta 2002.

Kaupallisten CERT -yksiköiden toimintaan ei tulla puuttumaan CERT-FI:n perustamisella. Viraston päätehtävänä olevaan tietojen keräämiseen tietoturvaloukkauksista ja niiden ratkaisuun tulevat kuulumaan muun muassa valtakunnallinen tapahtumaseuranta, dokumentointi ja tilastointi, havainnoista tiedottaminen, suositusten, neuvonnan ja ohjeistuksen antaminen tietoturvallisuuden kehittämiseksi, tietoturvaratkaisujen tutkiminen, testaaminen ja kehittäminen, ennaltaehkäisevä konsultointi ja varoittaminen tietoturvaongelmista, nopean avun tarjoaminen välittömiin ongelmiin, tietoturvallisuusyhteistyö, kansainvälisen kehityksen seuranta ja kansainväliset viranomaisyhteydet.

CERT -toiminnan kautta Viestintäviraston tietojärjestelmiin kertyvän tiedon luottamuksellisuudesta tullaan pitämään erityistä huolta. Julkisuuslain 24 §:ssä ei tosin ole nimenomaista salassapitoperustetta, joka sopisi suoraan tunnistamistietoihin tai muihin vastaaviin tietoihin, joita CERT -viranomaisen puoleen kääntyvä saattaa ilmoittaa palvelua saadakseen. Kyse on kuitenkin yksityisinä etuina suojattavista oikeushyvistä, kuten yksityiselämän suojasta ja liike- ja ammattisalaisuuksista. Perustuslain 10 §:n 2 momentissa on suojattu luottamuksellinen viestintä. Suojan on katsottu ulottuvan viestin sisällön ohella myös muihin viestiä koskeviin tietoihin, joilla voi olla merkitystä viestin säilymiselle luottamuksellisina. Tällaisia tietoja ovat muun muassa viestinnässä syntyneet tunnistamistiedot. Erityisesti yritysten kohdalla annettujen tietojen salassapidon varmistaminen on tärkeää, sillä jo pelkkä tieto siitä, että luotettavana pidetty yritys on joutunut tietoturvahyökkäysten tai -loukkausten kohteeksi voi aiheuttaa yritykselle taloudellisia haittoja uskottavuuden heikentymisenä. Tällaisissa tapauksissa Viestintäviraston velvollisuus pitää CERT -toiminnassa saadut tiedot salaisina voidaan perustaa joko julkisuuslain 24 §:n 7 kohtaan, jonka mukaan tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevat ja niiden toteuttamiseen vaikuttavat asiakirjat on pidettävä salassa tai 24 §:n 20 kohtaan, jossa salassapitoperusteena ovat liike- ja ammattisalaisuudet tai vastaavat tiedot, joista voi aiheutua elinkeinonharjoittajalle taloudellista vahinkoa. CERT -toimintaan liittyvistä tiedonsaantioikeuksista viranomaisten välillä tullaan neuvottelemaan tarkemmin kevään 2002 aikana.

3 § Määritelmät

Pykälään ehdotetaan lisättäväksi uusi 4 a kohta, jossa määriteltäisiin muualla laissa esiin tuleva tietoturvaloukkaus. Määritelmä on johdettu teletoiminnan tietoturvan käsitteestä, joka on kuvattu pykälän edellisessä kohdassa. Tietoturvaloukkauksena pidettäisiin tekoa tai tapahtumaa, jonka seurauksena tietojen, televiestinnän tai tietojärjestelmien tietoturvan elementit vaarantuisivat. Määritelmän mukaisena tekona pidettäisiin ensisijaisesti ihmisen syyksi luettavaa tekoa kuten esimerkiksi tunkeutumista tietojärjestelmään tai siellä olevien tietojen muuttamista. Tekona ymmärrettäisiin myös ihmisen syyksi luettavan konkreettisen teon uhka. Tapahtumana pidettäisiin teon uhkaa tai loukkausta, jotka syntyisivät ilman ihmisen välitöntä aiheuttamista.

Lisäksi pykälän 13 kohtaa muutettaisiin ministeriön nimen osalta. Liikenneministeriö on ollut 1 päivänä syyskuuta 2000 alkaen liikenne- ja viestintäministeriö.

6 § Teleyrityksen velvollisuudet

Pykälään esitetään lisättäväksi uusia 3 ja 4 momentteja. Erityisesti 3 momentti tulee laajentamaan teleyrityksillä olemassa olevaa ilmoitusvelvollisuutta Viestintävirastolle. Aiemmin velvollisuus on perustunut Viestintäviraston määräykseen (THK 41/1997) ja sisältänyt muun muassa raportointivelvollisuuden televerkkojen ja -palvelujen erittäin merkittävistä vika- ja häiriötapauksista. Nyt esitetään tämän velvollisuuden nostamista lain tasolle sekä sen laajentamista niin, että merkittävien vika- ja häiriötilanteiden ohella olisi ilmoitettava myös merkittävistä tietoturvaloukkauksista ja niiden uhkista. Teleyrityksen tulee lisäksi ilmoittaa edelleen myös niistä toimenpiteitä, joilla tapausten toistuminen pyritään estämään. Viestintävirasto tulee antamaan uuden määräyksen televerkkojen ja -palvelujen tietoturvaloukkausten sekä vika- ja häiriötilanteiden ilmoittamisvelvollisuudesta.

4 momentissa nostetaan lain tasolle aiemmin määräyksessä ollut teleyritystä koskeva velvollisuus ilmoittaa yleiselle hätäkeskukselle merkittävistä televerkkojen ja -palvelujen vika- ja häiriötilanteista. Määräystä täydentää edelleen Viestintäviraston suositus tiedottamisesta hätäliikenteen häiriöistä (THK 2/95). Suosituksen mukaiset menettelytavat ovat edelleen käyttökelpoisia.

Molemmissa momenteissa esitetään ilmoituskynnykseksi merkittävää tapahtumaa. Merkittävyyttä arvioitaessa tulisi kiinnittää huomiota vian tai häiriön vaikutukseen teleyrityksen palvelutasoon, palvelun käytettävyyteen, maantieteelliseen kattavuuteen tai yhdysliikenteeseen taikka tietoturvaloukkauksen tapauksessa vaaraan yleiselle televerkolle tai yleisten telepalvelujen käytettävyydelle, eheydelle tai televiestinnän luottamuksellisuudelle. Ilmoitukset on tehtävä viipymättä.

Nyt muutettavana olevan lain (ns. televiestinnän tietosuojalain) 3 §:n 3 kohdassa on määritelty teleyrityksen käsite, eikä sitä ole tarkoitus tässä yhteydessä muuttaa. Määritelmän mukaan teleyritykseksi katsotaan luonnollinen tai oikeushenkilö, joka tarjoaa telemarkkinalaissa tarkoitettuja teletoimintaan kuuluvia itse tuottamiaan suoritteita yleisesti käytettäväksi. Teleyrityksen määritelmässä viitataan soveltamisalaltaan suppeampaan telemarkkinalakiin. Koska televiestinnän tietosuojalain soveltamisalaa ei ole rajoitettu vastaavalla tavalla, on sen säännöksiä noudatettava myös tarjottaessa sellaisia teletoimintaan kuuluvia suoritteita, jotka on rajattu telemarkkinalain soveltamisalan ulkopuolelle. Tästä seuraa, että televiestinnän tietosuojalakia sovelletaan muun muassa Internet-palvelujen, sähköpostipalvelujen ja yleisten datasiirtopalvelujen tarjontaan. Liikenne- ja viestintäministeriössä on parhaillaan vireillä telemarkkinalain kaksivaiheinen uudistustyö viestintämarkkinalaiksi, missä yhteydessä tullaan palaamaan määritelmiin ja selkiyttämään käsitteitä. Ministeriö on myös aloittanut valmistelut, jotka tähtäävät todennäköisesti kevään 2002 aikana lopullisesti EU:ssa hyväksyttävän henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annettavan direktiivin kansalliseen täytäntöönpanoon. Direktiivi tulee edellyttämään muutoksia televiestinnän tietosuojalakiin, joten epäselviin käsitteisiin ja määritelmiin voidaan palata vielä siinäkin yhteydessä.

18 § Tietojen luovutus viranomaiselle

Esityksessä ehdotetaan pykälän 4 momentin muuttamista siten, että laissa jo olevan pakkokeinolakiin osoittavan viittauksen lisäksi momentissa viitattaisiin myös poliisilakiin. Molempien lakien perusteella viranomaisella on ollut oikeus saada tunnistamistietoja rikoksiin liittyen. Poliisilaki on säädetty vuonna 1995 ja pakkokeinolaki vuonna 1987. Momentin muutoksella siis korjattaisiin puute, ettei laissa ole viitattu tyhjentävästi niihin lakeihin, joiden pohjalta tunnistamistietoja luovutetaan.

23 § Ohjaus ja valvonta

Pykälän 1, 2 ja 4 momenttiin tehtäisiin muutokset johtuen 1 päivänä syyskuuta 2001 tapahtuneesta Telehallintokeskuksen nimen muuttumisesta Viestintävirastoksi.

Pykälän varsinaisena asiasisällöllisenä muutoksena esitettäisiin 2 momentin uutta 3 kohtaa. Muutos olisi samalla koko lain kannalta keskeinen. Uudella 3 kohdalla annettaisiin Viestintävirastolle uudeksi tehtäväksi hoitaa tietoturvaloukkausten tiedonkeruuta ja selvittämistä sekä tiedottaa tietoturvallisuusasioista. Tietojen kerääminen tietoturvaloukkauksista ja niiden uhkista käsittäisi tietojen keräämisen oma-aloitteisesti kontaktien avulla sekä puhelimitse, telefaxilla tai sähköpostitse vastaanotettavien ilmoitusten kirjaamisen ja käsittelyn. Tietoturvaloukkausten ja -ongelmien selvittäminen käsittäisi asiakkaan neuvontaa ja ohjeistamista. Tarvittaessa Viestintävirasto voisi olla yhteydessä palveluntarjoajaan.

CERT-FI -toimielimen tehtäväkenttään kuuluisivat pykälässäkin kuvatun mukaisesti yleisten televerkkojen kautta tietojärjestelmiin ja televiestintään kohdistuvat ongelmatapaukset. Näin ollen CERT-FI ottaisi selvittääkseen ilmoituksia, joissa on kyse tietojärjestelmän ulkopuolelta, yleisen televerkon kautta siihen kohdistuvasta loukkauksesta tai tietoturvaongelmasta.

24 § Tiedonsaantioikeus ja tietojen luovuttaminen

Pykälää muutettaisiin Telehallintokeskuksen nimen osalta. Lisäksi säännöksen otsikkoon lisättäisiin tietojen luovuttaminen ja säännökseen lisättäisiin uusi 2 momentti, jonka mukaan Viestintävirastolla olisi oikeus luovuttaa tietoturvaloukkausten tiedonkeruussa ja selvittämisessä saatuja tunnistamistietoja niille teleyrityksille, joiden verkkoja tai palveluita on käytetty hyväksi tietoturvaloukkauksessa.

Tunnistamistietojen luovuttamisen tarve on tullut esille esimerkiksi tilanteissa, joissa Viestintävirasto on saanut tietoonsa oma-aloitteisesti, teleyritykseltä tai muulta taholta tiedon esimerkiksi ip -osoitteesta, josta harjoitetaan verkkoliikenteen tahallista tai tahatonta häirintää tai yritetään tunkeutua järjestelmiin. Tällöin Viestintäviraston tulisi voida kertoa tämä ip -osoite sellaiselle teleyritykselle, jolla on mahdollisuus puuttua häiritsevään toimintaan esimerkiksi estämällä liikenne tästä osoitteesta tai sulkemalla palvelu. Lähde- ja kohdeosoitteiden luovutusmahdollisuus on tärkeää tilanteissa joissa verkkoliikenteen häirintää tai järjestelmiin tunkeutumista pyritään tekemään väärennetyillä verkko-osoitteilla ja tarvitaan teleyritysten välistä koordinointia häirinnän lähteiden todellisten verkko-osoitteiden jäljittämiseksi. Mikäli tunnistamistiedot on saatu hyökkäyksen kohteena olevalta yritykseltä, jolle saattaisi aiheutua taloudellista vahinkoa hyökkäyksen paljastumisesta, tai kysymyksessä olisi muutoin julkisuuslain nojalla salassa pidettävä tieto, edellyttäisi tunnistamistietojen luovuttaminen teleyritykselle myös tietojen luovuttajana olevan hyökkäyksen kohteen suostumusta.

Viestintävirastoa velvoittavat julkisuuslain salassapitosäännökset ovat osoittautuneet ongelmallisiksi CERT-toiminnan kannalta ja siksi on katsottu välttämättömäksi säätää rajoitettu mahdollisuus luovuttaa CERT -toiminnassa kerättyjä tai saatuja viestinnän tunnistamistietoja teleyrityksille, joita loukkaus koskee. Kyseinen tietojen luovutusoikeus on välttämätön, jotta CERT-yksikkö voisi hoitaa sille laissa säädettyä tietoturvaloukkausten selvittämistehtävää tehokkaasti ja nopeasti ja siten ehkäistä tietoturvaloukkauksista aiheutuvia haitallisia vaikutuksia. Lisäksi on syytä ottaa huomioon, että teleyrityksillä on yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annetun lain 12 §:n mukaan oikeus luovuttaa tunnistamistietoja toisilleen määriteltyjä tarkoituksia varten, joihin kuuluu muun muassa väärinkäytösten ehkäiseminen.

Koska tunnistamistietoja olisi oikeus luovuttaa ainoastaan teleyrityksille ja siinä laajuudessa kuin se on tarpeen tietoturvaloukkausten ehkäisemiseksi tai torjumiseksi, voidaan säännöksen katsoa olevan sopusoinnussa julkisuuslain salassa pidettävien tietojen luovuttamista koskevan 26 §:n kanssa, jonka mukaan viranomainen voi antaa salassa pidettävästä asiakirjasta tiedon, jos tiedon antamisesta on laissa erikseen nimenomaisesti säädetty.

25 § Pakkokeinot

Pykälän ensimmäistä momenttia muutettaisiin Telehallintokeskuksen nimen muuttamiseksi Viestintävirastoksi.

26 a § Valvontamaksu

Esityksessä ehdotetaan säädettäväksi uusi 26 a §, jolla oikeutettaisiin Viestintävirasto perimään valvontamaksua CERT-FI -toiminnan rahoittamiseksi vuoden 2003 alusta. Maksu tultaisiin perimään kaikilta niiltä teleyrityksiltä, jotka ovat telemarkkinalain mukaan velvollisia tekemään teletoimintailmoituksen liikenne- ja viestintäministeriölle. Valvontamaksuista tultaisiin säätämään tarkemmin liikenne- ja viestintäministeriön Viestintäviraston maksuista antamassa asetuksessa.

Käytännössä maksuperusteeksi säädettäisiin tietty prosentuaalinen osuus yrityksen harjoittaman ilmoitusvelvollisuuden alaisen teletoiminnan liikevaihdosta. Suuruusluokaltaan maksun tulisi olla sellainen, että sillä pystytään kattamaan CERT -toiminnan kustannukset. CERT -toiminnan kustannukset vuodelle 2002 on arvioitu 350 000 euroksi eli noin 2,1 miljoonaksi markaksi. Liikenne- ja viestintäministeriön julkaiseman vuoden 2001 televiestintätilaston mukaan kaikkien noin 60 aktiivisesti toimivan teleyritysten ilmoitusvelvollisuuden alaisen teletoiminnan liikevaihdoksi vuonna 2000 voidaan arvioida 2700 miljoonaa euroa. Mikäli liikevaihto arvioidaan yhtä suureksi vuonna 2003, täytyisi 300 000 euron kustannusten kattamiseksi säätää maksun prosentuaaliseksi osuudeksi noin 0,011 % jokaisen teleyrityksen ilmoitusvelvollisuuden alaisen teletoiminnan liikevaihdosta.

Pykälän osalta lain ehdotetaan tulevan voimaan aikaisintaan 1 päivänä tammikuuta 2003.

27 § Yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annettujen säännösten rikkominen

Pykälän ensimmäisen momentin 2 kohtaan lisättäisiin viittaus 6 §:n uusiin 3 ja 4 momentteihin niin, että niidenkin mukaisten teleyritysten ilmoittamisvelvoitteiden laiminlyönnistä seuraisi sakkorangaistus, jollei rikkomusta olisi pidettävä vähäisenä. Rikkomukset ovat asianomistajan syyteoikeutta koskevien säännösten puuttuessa virallisen syytteen alaisia.

28 § Muutoksenhaku

Pykälään esitettävät muutokset johtuvat Telehallintokeskuksen nimenmuutoksesta.

Lain voimaantulon jälkeen muutettaisiin valtioneuvoston viestintähallinnosta antaman asetuksen 1 §:ää, niin että siihen lisättäisiin uusi 7 kohta, jossa täsmennettäisiin Viestintäviraston tehtäviä CERT -toiminnan osalta. Tehtäväkuvaus on samansuuntainen kuin esitettävän lain 23 §:ssä, joskin hieman laajemmin kuvattu.

Samassa yhteydessä viestintähallintoasetuksen muutoksen kanssa on tarkoitus muuttaa valtioneuvoston ohjesääntöä. Muutoksella lisättäisiin 22 §:ään uusi 12 a kohta. Lisäys johtuu Viestintävirastolle annettavasta CERT -tehtävästä. Viraston toimiessa liikenne- ja viestintäministeriön alaisena laitoksena, on virastolle tulevien uusien tehtävien yleinen kehittäminen ja ohjaus nostettava ministeriön toimialaa koskeviin säädöksiin. 22 §:ää muutettaisiin lisäksi 2 momentin osalta korvaamalla toimialaluettelossa Telehallintokeskuksen nimi Viestintävirastolla.

Viestintävirasto on valmistellut määräyksen, jolla on tarkoitus osittain korvata aiemmin annettu määräys vika- ja häiriötilanteiden raportoinnista (THK 41/1997). Uudella määräyksellä täsmennettäisiin lakiin esitettyä teleyritysten ilmoitusvelvollisuuden laajennusta.

Laki ehdotetaan tulevaksi voimaan mahdollisimman pian sen jälkeen, kun se on hyväksytty ja vahvistettu. Valvontamaksuja koskevan 26 a §:n ehdotetaan kuitenkin tulevan voimaan aikaisintaan 1 päivänä tammikuuta 2003.

Lakiesitykseen sisältyy säännöksiä, joilla laajennetaan teleyritysten velvollisuuksia suhteessa Viestintävirastoon. Yksityisiä henkilöitä, yhteisöjä ja viranomaisia sitovien yleisten oikeussääntöjen antaminen kuuluu eduskunnalle, joten esitys on annettava lailla.

Edellä esitetyn perusteella annetaan Eduskunnan hyväksyttäväksi seuraava lakiehdotus:

Lakiehdotus

Eduskunnan päätöksen mukaisesti

muutetaan 22 päivänä huhtikuuta 1999 yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta (565/1999) annetun lain 3 §:n 13 kohta, 6 §, 18 §:n 4 momentti, 23 ja 24 §, 25 §:n 1 momentti, 27 §:n 1 momentin 2 kohta ja 28 §,

sellaisena kuin niistä ovat 18 §:n 4 momentti laissa 1148/2001 ja 27 §:n 1 momentin 2 kohta laissa 1120/2001, sekä

lisätään 3 §:ään uusi 4 a kohta ja lakiin uusi 26 a § seuraavasti:

3 §
Määritelmät

Tässä laissa tarkoitetaan:

4 a) tietoturvaloukkauksella tekoa tai tapahtumaa, jonka seurauksena tiedon, televiestinnän tai tietojärjestelmän luottamuksellisuus, eheys tai käytettävyys vaarantuu;

---

13) ministeriöllä liikenne- ja viestintäministeriötä, jollei valtioneuvoston asetuksella toisin säädetä.

6 §
Teleyrityksen velvollisuudet

Teleyrityksen tulee huolehtia harjoittamansa teletoiminnan tietoturvasta. Teleyritysten tulee toteuttaa tarvittaessa yhteistyössä muiden teleyritysten kanssa turvataso, joka on tekniseen kehitykseen nähden riittävä ja kustannuksiltaan kohtuullinen.

Teleyrityksen on tiedotettava tilaajilleen telepalveluidensa turvallisuuteen liittyvistä erityisistä riskeistä sekä mahdollisuuksista niiden poistamiseen ja tähän liittyvien toimenpiteiden kustannuksista.

Teleyrityksen on ilmoitettava Viestintävirastolle televerkkojen ja -palvelujen merkittävistä tietoturvaloukkauksista ja niiden uhkista sekä merkittävistä vika- ja häiriötilanteista televerkoissa ja -palveluissa samoin kuin toimenpiteistä, joilla tällaisten tietoturvaloukkausten ja niiden uhkien sekä vika- ja häiriötilanteiden toistuminen pyritään estämään. Viestintävirasto antaa tarkemmat määräykset televerkkojen ja -palvelujen tietoturvaloukkauksista sekä vika- ja häiriötilanteista Viestintävirastolle tehtävistä ilmoituksista.

Teleyrityksen on ilmoitettava myös hätäkeskukselle merkittävistä vika- ja häiriötilanteista televerkoissa ja -palveluissa.

Ministeriön asetuksella annetaan tarvittaessa säännökset siitä, mitä on otettava huomioon 1 momentin mukaista turvatason riittävyyttä ja kustannusten kohtuullisuutta arvioitaessa.

18 §
Tietojen luovutus viranomaiselle

---

Viranomaisen oikeudesta saada tunnistamistietoja rikoksen esitutkinnassa säädetään pakkokeinolaissa (450/1987). Viranomaisen oikeudesta tunnistamistietoihin rikosten estämiseksi säädetään poliisilaissa (493/1995).

23 §
Ohjaus ja valvonta

Teletoiminnan yleinen ohjaus ja kehittäminen kuuluu ministeriölle. Sen tulee yhteistyössä Viestintäviraston, tietosuojaviranomaisten, teleyritysten, telelaitteita valmistavan teollisuuden ja käyttäjiä edustavien yhteisöjen kanssa edistää yksityisyyden suojaa televiestinnässä ja teletoiminnan tietoturvaa.

Viestintäviraston tehtävänä on:

1) valvoa tämän lain sekä sen nojalla annettujen säännösten ja määräysten noudattamista siltä osin kuin 3 momentista ei muuta johdu;

2) antaa tarvittaessa teknisiä määräyksiä teleyritysten toiminnasta sekä telelaitteiden, televerkkojen ja telepalveluiden varustamisesta tässä laissa edellytetyllä tavalla;

3) hoitaa yleisten televerkkojen kautta tietojärjestelmiin ja televiestintään kohdistuvien tietoturvaloukkausten tiedonkeruuta ja selvittämistä sekä tiedottaa tietoturvallisuusasioista.

Tietosuojavaltuutetun tehtävänä on valvoa, että noudatetaan, mitä 20 ja 21 §:ssä säädetään tilaajan kielto-oikeudesta ja tilaajan ennakkosuostumuksesta.

Jos Viestintäviraston käsiteltävänä oleva asia koskee menettelyä, joka saattaa rikkoa henkilötietolain (523/1999) säännöksiä, Viestintävirasto voi siirtää asian siltä osin käsiteltäväksi henkilötietolain mukaisesti.

24 §
Tiedonsaantioikeus ja tietojen luovuttaminen

Sen estämättä, mitä salassapidosta muualla laissa säädetään, ministeriöllä, Viestintävirastolla ja tietosuojavaltuutetulla on oikeus 23 §:ssä säädettyjen tehtäviensä suorittamiseksi saada teleyrityksiltä ja niiden yhteenliittymiltä, televerkkojen omistajilta ja haltijoilta, teleurakoitsijoilta, tilaajaluetteloiden julkaisijoilta ja suoramarkkinoinnin harjoittajilta tarpeelliset tiedot niiden harjoittamasta tässä laissa tarkoitetusta toiminnasta.

Viestintävirastolla on oikeus luovuttaa tietoturvaloukkausten tiedonkeruussa ja selvittämisessäsaatuja tunnistamistietoja niille teleyrityksille, joiden verkkoja tai palveluita on käytetty hyväksi tietoturvaloukkauksissa. Tietoja on oikeus luovuttaa ainoastaan siinä laajuudessa kuin se on tarpeen tietoturvaloukkausten ehkäisemiseksi.

25 §
Pakkokeinot

Jos joku rikkoo tätä lakia tai sen nojalla annettuja säännöksiä tai määräyksiä, Viestintävirasto voi velvoittaa hänet korjaamaan virheensä tai laiminlyöntinsä. Viestintävirasto voi asettaa velvoitteen noudattamisen tehosteeksi uhkasakon tai uhan, että toiminta keskeytetään osaksi tai kokonaan taikka että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella.

---

26 a §
Valvontamaksu

Edellä 23 §:n 2 momentin 3 kohdan mukaisista Viestintäviraston valvonta- ja muista suoritteista peritään telemarkkinalain 5 §:n nojalla teletoimintailmoituksen tehneiltä yrityksiltä niiden liikevaihdon perusteella määräytyvä valvontamaksu. Valvontamaksun suuruudesta säädetään liikenne- ja viestintäministeriön asetuksella siten, että maksut kattavat viranomaistoiminnasta aiheutuneet kustannukset. Muutoin maksuja koskee, mitä valtion maksuperustelaissa (150/1992) säädetään.

27 §
Yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annettujen säännösten rikkominen

Joka tahallaan

---

2) laiminlyö 6 §:n 1, 3 tai 4 momentissa säädetyn teletoiminnan tietoturvaan liittyvän velvoitteen,

---

on tuomittava, jollei teosta muualla laissa säädetä ankarampaa rangaistusta, yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annettujen säännösten rikkomisesta sakkoon.

---

28 §
Muutoksenhaku

Viestintäviraston tämän lain nojalla antamaan päätökseen haetaan muutosta noudattaen, mitä hallintolainkäyttölaissa (586/1996) säädetään. Viestintävirasto voi päätöksessään määrätä, että päätöstä on noudatettava, vaikka se ei ole lainvoimainen. Valitusviranomainen voi kuitenkin kieltää täytäntöönpanon, kunnes valitus on ratkaistu.

---

Tämä laki tulee voimaan päivänä kuuta 20 . Sen 26 a § tulee kuitenkin voimaan vasta päivänä kuuta 20 .

---

Helsingissä 19 päivänä huhtikuuta 2002

Tasavallan Presidentti
TARJA HALONEN

Liikenne- ja viestintäministeri
Kimmo Sasi