Effin toiminnan pääpaino on viime vuosina ollut lausuntojen antaminen eduskunnalle ja ministeriöille (lähinnä lakiehdotuksiin tai vaikkapa liikenneverkkoyhtiöihin liittyen) ja sen lisäksi erilaisiin selvityksiä työstäviin työryhmiin osallistuminen. Työryhmien selvitykset ovat usein pohjana varsinaisille lakiehdotuksille, sitten kun ne myöhemmin konkretisoituvat. Effin asema on sikäli vakiintunut, että saamme aika usein, jopa rutiiniluontoisesti, kutsun osalllistua lausuntokierroksille tai työryhmiin, ja Effin asiantuntemusta tunnutaan yleensä myös arvostavan.
Sähköisten kansalaisoikeuksien saralla tänä keväänä on tapahtunut varsinkin viestinnän luottamuksellisuuteen liittyvissä aiheissa. Effi on mukana kolmessa eri hankkeessa, jotka ovat jonkin verran julkisuuttakin saaneet. Voisi jopa sanoa, että kevät 2017 on ollut varsinainen viestinnän yksityisyyden sääntelyn hattutemppu!
Kerron tässä blogikirjoituksessa hieman kustakin kolmesta hankkeesta. Koska kaikki hankkeet ovat vielä kesken, en varsinaisesti kerro tässä mitään täsmällistä Effin kantaa, vaan sen tekevät kuhunkin projektiin vapaaehtoistuneet asiantuntijajäsenet. Koska lakiehdotukset ja niihin liittyvät lausunnot ovat julkisia, on niitä tavattu kirjoittaa joukkoistamalla, ja niihin voi osallistua aktivisti-listalla. Työryhmätyöskentely on yleensä vähemmän julkista, mutta työryhmiin osallistuvat asiantuntijat monesti ilmoittavat ainakin työryhmän olemassaolosta joko aktivistilistalla tai Effin facebook-ryhmässä.
Tiedustelulaki
Tämä lienee kaikkien lausuntokierrosten äiti:
- Ehdotus siviilitiedustelua koskevaksi lainsäädännöksi; työryhmän mietintö 8/2017
- Ehdotus sotilastiedustelua koskevaksi lainsäädännöksi (työryhmän mietintö)
- Effin lausunto perustuslain muutosehdotuksesta (verkkotiedustelu)
- Lisäksi on ilmeisesti tulossa vielä lakiehdotus verkkotiedusteluun liittyvän uuden valvontaviranomaisen luovasta laista.
…yhteensä noin 900 sivua luettavaa.
Iso osa lakiehdotuksesta liittyy ns “perinteiseen” tiedusteluun (HUMINT), joten Effin fokuksessa on vain pieni osa. Effi on tähänastisissa lausunnoissa keskittynyt lähinnä verkkovalvontaan ja siinä varsinkin perustuslain muutosehdotukseen. Myös muita yksittäisiä pykäliä voidaan varmasti kommentoida.
Effin hallituksesta tähän projektiin ovat keskittyneet Mikko Kenttälä ja Ahto Apajalahti. Vaikka koko verkkotiedustelu on tietenkin Effin näkökulmasta arka aihe, on Effi kuitenkin ollut jo ennen lakiehdotusten julkistamista yhteydessä asianomaisiin ministeriöihin ja pyrkimyksenä on ollut neuvotella – ja usein myös neuvoa – yksityiskohdista sellaisia, että kansalaisten viestinnän luottamuksellisuus kuitenkin toteutuisi tässäkin laissa mahdollisimman hyvin. Kuten jo aiemmin sanoin, Effin asiantuntemusta arvostetaan ja joskus näiden lobbauskeskustelujen tulokset päätyvät erinäisinä viilauksina jopa lakiehdotukseen asti.
Deadlinet näille lausunnoille ovat kesäkuun puolivälin jälkeen, joten Effin lausunto tullee julkiseksi heti kun se on ministeriöön myös lähetetty.
Data Retention -työryhmä
Liikenneministeriön alaisuudessa on toiminut tietoyhteiskuntakaareen liittyvän operaattorien tallennusvelvollisuutta arvioiva työryhmä. Lain taustalla olevan EU-direktiivin mukaisesti työryhmän nimi on ollut “Data Retention -työryhmä”.
Ja tallennusvelvollisuushan tarkoittaa sitä, että operaattori säilyttää tiettyjä puhelin- ja internet-liittymiin liittyviä metatietoja 6-12 kk viranomaiskäyttöön. Tallennusvelvollisuuden käytännön merkitys on ollut taata tietojen olemassaolo viranomaiskäyttöä varten, vaikka saman tiedon käyttö operaattorin omiin tarkoituksiin (kuten laskutukseen) olisi jo päättynyt.
Teknisesti työryhmän työ perustuu tietoyhteiskuntakaareen liitettyyn eduskunnan päätökseen, että lain toteutumista ja vaikutuksia tulee arvioida vuonna 2017. Käytännössä ryhmän työlle on kuitenkin luonut painetta lukuisat EU-tuomioistuimen päätökset, joilla alkuperäinen Data Retention -direktiivi on todettu EU:n perusoikeuksien vastaiseksi, eli käytännössä kumottu.
- Digital Rights Ireland, 2014
- Tele2 Sverige (2016)
- Ja miksei myös Shrems-päätös, jolla tuomittiin pätemättömäksi ns Safe Harbor käytäntö, joka salli yritysten siirtää dataa EU:sta USA:aan.
Koska EUT:n tuoreet päätökset ovat näinkin vahvoja, on ollut Effin näkökulmasta suorastaan epätavallinen tilanne lähinnä odottaa, että väistämätön kehityskulku tapahtuu, ja tietoyhteiskuntakaarta muutetaan EUT:n päätösten mukaiseksi. Aina ei siis Effikään ole ns vastaanottavana osapuolena.
Käytännössä näin ei välttämättä kuitenkaan tapahdu ihan heti. Työryhmän toimeksiantonahan oli vasta arvioida tilannetta.
Effin puolesta työryhmän työhön ovat osallistuneet Mikael Storsjö ja Henrik Ingo.
Tekijänoikeuskirjetyöryhmä
Tästä triplasta eniten Effin jäsenistöä lienee kuohuttanut ns “kiristyskirjeet”, eli tekijänoikeuskirjeet. Viime vuonna tämä tekijänoikeuksien haltijoiden valvontakeino saavutti sellaiset mittasuhteet, että jopa Opetus- ja Kulttuuriministeriössä (OKM) herättiin selvittämään asiaa. Ministeriön alustavan selvitystyön puitteissa oltiin jo silloin yhteydessä Effiin, ja nyt Effistä Ahto Apajalahti on mukana myös vasta perustetussa työryhmässä, jonka toimeksiantona on pohtia asianmukaisia toimenpiteitä ilmiön suitsimiseksi.
Keskustelun laajuus on toki ymmärrettävää, kun myös kirjeitä on lähetelty ahkeraan. Siinä missä Poliisi pyytää vuosittain operaattoreilta reilun tuhannen ihmisen tietoja, on markkinaoikeus ehtinyt tuomita kirjebisneksen pyörittäjille jo yli sadan tuhannen IP-osoitteen haltijan tiedot!
Työryhmän asialistalla näyttäisi olevan sekä ns “hyvien käytäntöjen luominen”, kuin myös mahdolliset lainmuutostarpeet. Jälkimmäiseen sisältynee mahdollisuus kumota koko lainpykälä, joka toiminnan mahdolllistaa.
Effin kannalta – ja tämänkin blogikirjoituksen kontekstissa – ensimmäinen ongelma piratismikirjeiden kanssa on se, että markkinaoikeuden päätöksellä operaattoreiden tulee antaa kirjeitä lähetteleville lakitoimistoille ip-osoitteiden takana olevien asiakkaidensa henkilötiedot. Laki muistuttaa melkeinpä “mikä ei kuulu joukkoon -tehtävää”: Siinä missä viestinnän luottamuksellisuutta muuten rikotaan vain vakavien rikosten selvittämiseksi (terrorismi, henkirikokset, huumerikokset, ihmiskauppa jne), on sivistysvaliokunta onnistunut lisäämään listan jatkoksi TV-sarjan yhden jakson katsomisen netistä.
Aikanaanhan kyseinen pykälä tuli lakiin “takaovesta”, suoraan sivistysvaliokunnan käsittelyssä. Oma käsitykseni on, että OKM:n virkamiehet eivät näin ollen välttämättä ole mitenkään sitoutuneet pykälään, ja ovatkin jo huomauttaneet, että ministeriö (tai kukaan muukaan taho) ei aikanaan voinut tälle laille tehdä minkäänlaista vaikuttavuusarvioita.
OKM:n selvityksessä on myös jo käynyt ilmi, että Saksassa vastaava laki kumottiin, jotta kirjebisnes saataisiin loppumaan. Myös Norjassa korkein oikeus julkaisi juuri päätöksen, jonka mukaan operaattorin ei tarvinnut ollenkaan luovuttaa Scanbox Entertainmentille asiakkaidensa henkilötietoja.
Kaiken kaikkiaan on siis tässäkin keississä jonkin verran tilaa optimismille.
DNA:n valituslupa KKO:oon
Tietoyhteiskuntakaaren tallennusvelvollisuus ja kiristyskirjebisnes ovat ihan eri lakeja, mutta kuinka ollakaan on korkeimpaan oikeuteen jonossa tapaus, jossa nämä risteävät. (Tekniikka ja talous, Tivi)
Tietoyhteiskuntakaaren § 157 pykälässä on tallennusvelvollisuuden piiriin kuuluvat tiedot rajattu selkeästi vain viranomaiskäyttöön. Käytännössä operaattorit myös toteuttavat tallennusvelvollisuuden omana tietovarastona, jonne lain vaatimat tiedot kopioidaan. Edes operaattori itse ei käytä, eikä saa käyttää tämän tietovaraston tietoja, siis esimerkiksi tilanteessa, jossa sama tieto olisi jo poistettu operaattorin omista operatiivisista järjestelmistä.
Lienee sanomattakin selvää, että tuollaista vain viranomaiskäyttöön lailla säädettyä tietovarastoa ei myöskään voi käyttää siviilioikeuden puolelle sijoittuviin tekijänoikeustapauksiin. Vaan ihan kaikille edes tämä ei ole selvää.
Kyseisessä tapauksessa markkinaoikeus oli taas kerran antanut rutiiniluontoisen tuomion, jonka mukaan operaattorin oli luovutettava tekijänoikeuden haltijan edustajalle ip-osoitteiden takana olevien käyttäjien yhteystiedot. Nyt kävi kuitenkin niin, että operaattori oli jo poistanut kyseiset tiedot omista lokijärjestelmistään. Markkinaoikeuden päätöstä toimeenpannut viranomainen oli kuitenkin todennut, että onhan teillä ne tiedot kun tietoyhteiskuntakaaren tallennusvelvollisuus velvoittaa ne säilyttämään. Tietoyhteiskuntakaaren käyttökieltoon vedoten operaattori oli kuitenkin kieltäynyt luovuttamasta tietoja vain viranomaisten käyttöön pyhitetystä tietovarastosta.
Vaikka tässä tapauksessa operaattori onkin toiminut suoraselkäisesti, tapaus on kuitenkin hyvä muistutus siitä, miksi syyttömien kansalaisten viestintätietojen tallentaminen ihan vaan varmuuden vuoksi ei ole hyvän tietosuojakäytännön mukaista. Henkilötietoja sisältävän datan tallentaminen on aina riski. Vaikka tietoyhteiskuntakaaressa olisikin tietojen käyttöä suojattu mahdollisimman tarkasti, koskaan ei tiedä mistä löytyy se ulosottomies, vuotaja tai muu sankari, jonka mielestä juuri hänellä pitäisi kuitenkin olla oikeus käyttää dataa juuri hänelle tärkeisiin tarkoituksiin.
Ja vaikkei se maalaisjärjellä voi mahdollista ollakaan, niin onhan tässä vielä sekin mahdollisuus, että DNA häviäisi KKO-käsittelyn.
Yhteenvetona
Se kellä optimismia vielä riittää, voi siis kuitenkin ihan realistisuuden rajoissa toivoa, että:
- DNA voittaa valituksensa KKO:oon
- Kiristyskirjebisnes muutenkin tulee tiensä päähän, niin kuin on jo käynyt Saksassa ja Norjassa
- Data retention -direktiiviä ryhdytään vihdoin kumoamaan myös Suomessa
- Tiedustelulain osalta esimerkiksi Effin ehdottamat tiukennukset perustuslain muutosehdotukseen otettaisiin huomioon