maanantai 1. joulukuuta 2008

Isännöitsijän tytär urkkimassa sähköpostia?

Ns. urkintalain vastustus saa jo koomisia piirteitä. STT uutisoi vihreiden puoluevaltuuskunnan kokouksessa viikonloppuna maalailtua uhkakuvaa, jonka mukaan urkintalaki antaisi taloyhtiön isännöitsijän tyttärelle oikeuden urkkia poikasi sähköpostia "väärinkäytöstä" epäillessään.

Ehdotetun lakimuutoksen henki on hyvin tiukka. Yrityksille kaavailtu, tarkoin rajattu mahdollisuus tunnistetietojen selvittämiseen liittyy vain yrityssalaisuuksien suojaamiseen. Vaikkei tämä suoranaisesti liitykään alkuperäiseen väitteeseen se kertoo, miten lakia on tarkoitus tulkita.

Yritysten lisäksi lakimuutos antaisi muillekin yhteisötilaajille oikeuden selvittää verkon liikennettä, mikäli on aihetta epäillä verkon tai palvelun ohjeen vastaista luvatonta käyttöä. Tällainen selvitys on sallittua ainoastaan käsittelyn vaatimassa laajuudessa ja yksityisyyttä tarpeettomasti vaarantamatta, ja silloinkin sama selvitys on pyrittävä ensin tekemään muilla keinoilla. Selvitys ei voi kohdistua tavanomaisiin viesteihin.

Mikä sitten on yhteisötilaaja? Vuonna 2004 voimaan tulleen lain toisen pykälän 11. momentti sanoo näin:

11) yhteisötilaajalla [tarkoitetaan] viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yritystä tai yhteisöä, joka käsittelee viestintäverkossaan käyttäjien luottamuksellisia viestejä, tunnistamistietoja tai paikkatietoja;

Mikäli taloyhtiöllä on oma laajakaista (ns. taloverkko), yhteisötilaaja viittaa tätä palvelua tarjoavaan yritykseen -- siihen, joka hoitaa omaa sähköpostipalvelinta ja vastaa verkkoyhteyksien toimivuudesta. Yhteisötilaaja on kuin teleoperaattori pienoiskoossa. Sillä on samat tekniset mahdollisuudet liikenteen seuraamiseen kuin perinteisellä "isolla" operaattorilla, mutta myös samat vastuut ja velvollisuudet. Yksi näistä vastuista on verkon turvallisuudesta vastaaminen.

Lain 19 pykälä sanoo yhteisötilaajan velvollisuuksista näin:

Yhteisötilaajan on huolehdittava käyttäjiensä tunnistamistietojen ja paikkatietojen käsittelyn tietoturvasta. Palvelun ja käsittelyn tietoturvasta huolehtiminen tarkoittaa toimia toiminnan turvallisuuden, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden sekä tietoaineistoturvallisuuden varmistamiseksi.

Jo tässä vaiheessa pitäisi olla selvää, ettei kuka tahansa talonmiehen tai isännöitsijän tytär tule kyseeseen.

Seuraavassa pykälässä kerrotaan, miten operaattorilla ja yhteisötilaajalla on oikeus ryhtyä välttämättömiin toimiin tietoturvan varmistamiseksi estämällä tarvittaessa viestien vastaanottaminen ja lähettäminen, poistamalla haittaohjelmat sähköpostista ja toteuttamalla muut vastaavat teknisluonteiset toimet.

Tunnistetietojen selvittäminen edellyttää, että kirjalliset ohjeet on laadittu ja käyttäjät ovat ne hyväksyneet, että taloyhtiössä on nimetty tietoturvahenkilö, ja että asiasta on tehty kirjallinen ilmoitus tietosuojavaltuutetulle. Lisäksi epäillyn teon on oltava niin vakava, että se todella uhkaa verkon toimivuutta.

Jos näin vakava tilanne syntyy, eikö ole käyttäjien oman edun mukaista, että joku voi selvittää tilanteen? Eikä tuo taho takuulla ole isännöitsijän tytär!

On vaikea ymmärtää, miksi kansanedustajat levittävät tämänkaltaisia perusteettomia uhkakuvia. Heidän pitäisi jo työnsä puolesta lukea paperit, joista he ovat päättämässä. Samaa toivoisi asiaa uutisoivilta toimittajilta.

11 kommenttia:

Gonzales kirjoitti...

Myös oikeuskansleri jatkaa Lex Nokian arvostelua:

http://www.tietokone.fi/uutta/uutinen.asp?news_id=35942&tyyppi=1

Oikeuskansleri Jonkan mielestä lain käsittelyssä pitäisi huomioida tiedemaailman akateemisten oikeusoppineiden mielipiteet. Kymmenisen oikeustieteen ja valtionsääntöoikeuden asiantuntijaa on katsonut Lex Nokian loukkaavan kansalaisten perusoikeuksia. Poliitikkojen muodostama perustuslakivaliokunta ohitti nämä näkemykset ja arvioi, että laki voidaan käsitellä eduskunnassa normaalin säätämisjärjestyksen mukaan.

Anonyymi kirjoitti...

Periaatteessa olen samaa mieltä naurettavista uhkakuvista, mutta lakiehdotus on huono ja polkee turhaan käyttäjien oikeuksia. Kyse on oikeusturvasta ja viranomaisvaltuuksien antamisesta asianomaiselle taholle. Valvontaan tulisi ennemminkin puuttua vahvalla kädellä kuin antaa signaaleja siitä, että se on jotenkin periaatteessa hyväksyttävää.

Ja naurettavista uhkakuvista myös sen verran, että koko ehdotus perustuu sellaisiin. Lisäksi sen laajuus on paljon perusteluja suurempi ja "tarkka rajaus" on puhdasta puppua. "Muut keinot" ja "viime kädessä" ovat myöskin suhteellisen puhdasta sanahelinää. Ne voidaan suoraan ohittaa, sillä käytännössä muita vastaavanlaajuisia keinoja ei ole. Raportointipakkokin kierretään siten, ettei valvontaa koskaan lopeteta. Käsittääkseni myös tulkintaohjeet ja muut ovat nimenomaan esitöissä eikä pykälissä, joten niilläkään ei ole mitään todellista vaikutusta lain soveltamiseen.

Olen samaa mieltä paperien lukemisesta, mutta sitä ei tunnuta harrastettavan eduskunnassa tai hallituksessakaan. Niin älyttömiä lakiehdotuksia on viime vuosien aikana päässyt läpi. Luulisi sen vertaa selkärankaa löytyvän, että äänestettäisiin johdonmukaisesti EI, mikäli ehdotus ja sen vaikutukset eivät ole täysin selviä edustajalle. Näin vain ei tunnu olevan. Työnteko on ikävää?

Velvollisuuksiin viittaaminen on naurettavaa. Ne koskevat enimmäkseen varjelua ulkopuolisilta. Ihmisten oikeuksien polkeminen on Suomessa halpaa ja rikkomukset vanhenevat nopeasti. Lähinnä tulee joitain alimitoitettuja vahingonkorvaussakkoja ellet ole julkisuuden henkilö, jolloin olet melkein aina muita tasa-arvoisempi. Todellisia rangaistuksia ei pahemmin jaella. Lisäksi todistustaakka on aina uhrilla, jonka tulee pystyä osoittamaan yksittäisen väärinkäytöksen tapahtuneen sekä sen aiheuttama vahinko. Pelkkä mahdollisuus ei riitä.
Nyt siis tehdään käytännössä hyvin suurta reikää oikeuksiin, koska sallitaan toiminta, joka aikaisemmin on ollut varsin yksiselitteisesti kiellettyä.

Miksi tällaisia viranomaisvaltuuksia (tai itseasiassa niitä suurempia valtuuksia) pitää edes antaa yksityiselle taholle - etenkään asianomaiselle? Tekisivät tutkintapyyntöjä poliisille, sitä vartenhan kyseinen instanssi on olemassa! Jos eivät tee, ongelmat tuskin ovat vakavia, jos niitä nyt edes on olemassa.
Mitään todellista hyötyä tällä lailla tuskin saavutetaan sen virallisesti tarkoitetulla soveltamisalalla, mutta se tuskin lienee tässä tarkoituksenakaan.

Petteri Järvinen kirjoitti...

Ja kansanedustaja arvostelee Jonkkaa: http://www.hs.fi/politiikka/artikkeli/Kiljunen+Oikeuskansleri+ei+voi+puuttua+eduskunnan+tulkintoihin/1135241594559

Kiljunen sanoo pitävänsä ennenkuulumattomana, että oikeuskansleri puuttuu eduskunnan asioihin ja perustuslakivaliokunnan kannanoton oikeusperustaan.

Tämä pari vuotta kestänyt yritys muuttaa lakia on totisesti saanut farssin piirteitä.

Muuten - kolme vuotta sitten perustuslakivaliokunta kritisoi tekijänoikeuslain uudistuksen eräitä yksityiskohtia. Tämä kannanotto jätettiin eduskunnassa täysin huomiotta ja laki hyväksyttiin sellaisenaan.

>Valvontaan tulisi ennemminkin
>puuttua vahvalla kädellä kuin
>antaa signaaleja siitä, että se
>on jotenkin periaatteessa
>hyväksyttävää.

Eli pitäisi hyväksyä tilanne, jossa yrityksestä saa lähettää sähköpostilla ulos mitä tahansa ilman, että yritys saa mitenkään seurata saati sitten puuttua asiaan?

jaska kirjoitti...

"Eli pitäisi hyväksyä tilanne, jossa yrityksestä saa lähettää sähköpostilla ulos mitä tahansa ilman, että yritys saa mitenkään seurata saati sitten puuttua asiaan?"

Tietojen vuotamiseen on paljon muitakin keinoja kuin firman sähköposti(esim. hotmail, muistitikku, cd-r). On turhaa kaventaa yksityisyyden suojaa näin pienen hyödyn takia.

Miksi lakia ollaan ulottamassa muihinkin yhteisötilaajiin kuin yrityksiin?

Petteri Järvinen kirjoitti...

Kaikkia muita keinoja yritys saa valvoa: tulostamista, kopiointia, usb-tikkujen käyttöä, levyjen polttoa jne.

Lakia ei olla laajentamassa mihinkään. Yhteisötilaajan käsite tuli käyttöön vuonna 2004 sähköisen viestinnän tietosuojalain mukana. Lain 13. pykälä on tähän asti ollut epämääräinen, ja tätä on haluttu täsmentää uudella muutoksella.

Petteri Järvinen kirjoitti...

Tässä vielä nykyisen, vuodesta 2004 lähtien voimassa olleen sähköisen viestinnän tietosuojalain kohtia, joissa puhutaan yhteisötilaajan oikeuksista.

Uudessa laissa yhteisötilaajan käsite pysyy ennallaan. Pykälää 13 on laajennettu niin, että se kuvaa nykyistä täsmällisemmin ne edellytykset, joissa tunnistetietoja voidaan käsitellä väärinkäytöstä epäiltäessä.

12 § Käsittely teknistä kehittämistä varten
...
Yhteisötilaaja voi käsitellä tunnistamistietoja oman toimintansa teknistä kehittämistä varten.

13 § Käsittely väärinkäytöstapauksissa
Teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja voi käsitellä tunnistamistietoja, jos se on tarpeen verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun yksittäisten maksullisten palvelujen käyttöä maksutta tai muiden siihen rinnastuvien käyttöä koskevien väärinkäytösten havaitsemiseksi, estämiseksi ja selvittämiseksi sekä esitutkintaan saattamiseksi.

14 § Käsittely teknisen vian tai virheen havaitsemiseksi
Teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja voi käsitellä tunnistamistietoja, jos se on tarpeen viestinnän välittämisessä tapahtuneen teknisen vian tai virheen havaitsemiseksi.

Kaikki tämä on siis mahdollista NYKYISEN lain mukaan (vaikka sille virtuaaliselle isännöitsijän tyttärelle), kävi urkintalaille miten tahansa.

jaska kirjoitti...

"Kaikkia muita keinoja yritys saa valvoa: tulostamista, kopiointia, usb-tikkujen käyttöä, levyjen polttoa jne."

Kaikkien em. keinojen valvonta tarkoittaa käytännössä niiden käytön kietoa/estoa. Myös sähköpostin lähetys voidaan kieltää ja estää.

Mites se hotmail ja muut web-sähköpostit? Niiden valvonta tai edes estäminen on vaikeaa ellei rajoiteta www-sivujen selausta todella radikaalisti.

Nytkin kai olisi laillista valvoa sähköpostia niin, että Firmasta ulos lähtevä posti lähetetään osoitteeseen valvova_elin@firma.com, joka tarkastaa ja välittää postin eteenpäin. Kaikki suoraan ulos menevä posti olisi estetty.

Mielestäni täysin realistinen keino yrityksessä, jossa on jo muistitikut ja muukin datan siirto valvonnassa. Näinhän ei varmaan ole edes Nokialla.

Petteri Järvinen kirjoitti...

Usb-tikkujen käyttö on kielletty monissa yrityksissä tietoturvaan vedoten. Viimeksi USA:n armeijassa, joka kielsi usb-tikut virusvaaran vuoksi.

Eräissä yrityksissä tietokoneiden usb-portit on joko rikottu mekaanisesti tai tukittu kaatamalla niihin liimaa.

Erkka Piirainen kirjoitti...

Suvi Lindénin vastaus Effille aiheeseen liityen.

Anonyymi kirjoitti...

Lakiin on tosiaan kirjattu monta estoa sille, missä tilanteissa sen suomia valtuuksia voi käyttää. Käytännössä kynnys on niin korkea, että todennäköisyys näiden valtuuksien käyttämisestä esimerkiksi taloyhtiöissä on pieni. Tai näin ainakin luulin, kunnes luin valmistelusta vastanneen liikenne- ja viestintäministerin kannan asiaan:

http://www.digitoday.fi/tietoturva/2008/12/08/lindn-lex-nokia-koskemaan-taloverkkoja-ja-kirjastoja/200831631/66

Tämä ei myöskään poista sitä periaatteellista kysymystä, että Lex Nokia antaa asianosaiselle taholle oikeuden päättää tutkinnan aloittamisesta ja toimeenpanosta. Jos ongelmana ovat olleet poliisin riittämättömät toimivaltuudet, ratkaisua olisi tullut etsiä pakkokeinolaista eikä sähköisen viestinnän tietosuojalaista. Poliisilla on kuitenkin laissa määritellyt toimivaltuudet ja laillisuusvalvonta, ja poliisin toiminnasta voi valittaa.

T: Jyrki J.J. Kasvi

Petteri Järvinen kirjoitti...

Tuossa Digitodayn uutisessa Lindén erityisesti painottaa, mitä rajoituksia yhteisötilaajan oikeuksiin liittyy:

Kirjastojen, taloyhtiöiden tai yliopistojen pitää huolehtia lukuisista takeista kansalaisten oikeusturvaa kohtaan ennen kuin ne voivat ryhtyä käsittelemään tunnistamistietoja, Lindén sanoo.

Lindén muistuttaa, että kyse voi olla vain yhteisötilaajan merkittävästä haitasta tai vahingosta, joten jos taloyhtiön internet-liikenne hidastuu, ei tämä yksinään voi antaa isännöitsijälle oikeuksia käsitellä tunnistamistietoja.


Mikään isännöitsijän tytär ei siis tule kyseeseen, eikä asukkaan sähköpostia lueta kevyin perustein.

En näe periaatteellista ongelmaa siinä, että epäillessään joutuneensa rikoksen uhriksi kohde saa itse selvittää, onko rikosta tapahtunut. Olisi aika kummallista, jos yritys ei saisi esim. selvittää, onko siltä varastettu laitteita, vaan poliisi pitäisi pyytää paikalle tutkimaan, puuttuuko jotain.

Jos esimerkiksi yrityksestä on viikonlopun aikana kadonnut jokin laite, yritys saa katsoa kulunvalvonnan lokeista (jopa valvontakameroiden nauhoilta, jos niitä on), keitä tiloissa on viikonloppuna käynyt. Vasta sitten, kun havaitaan tuntematon (tai yrityksen oma) henkilö kantamassa konetta ulos, nauha pysäytetään ja poliisi kutsutaan selvittämään asiaa.

Se on selvää, ettei yritys A voi mennä selvittämään B:ssä tapahtunutta asiaa. Mutta jos on itse asianomainen, rikoksen toteaminen ja jonkinasteinen perustyö lienee luvallista?

Periaatteessa on hyvä, ettei asioita lähdetä ratkaisemaan omin päin, vaan poliisi kutsutaan paikalle. En kuitenkaan haluaisi päätyä jenkkityyliin, missä poliisi soitetaan paikalle, jos vaikkapa naapurin lapset istuvat aidalla. En liioin haluaisi, että jokainen, joka kokee tulleensa loukatuksi tai herjatuksi netissä, menee tekemään siitä rikosilmoituksen poliisille. Poliisilla on isompiakin rikoksia ratkottavana.

Ja mitä tulee poliisin oikeuksiin, pakkokeinolaista ja viestinnän tietosuojalaista seuraa nyt kummallinen ristiriita: http://pjarvinen.blogspot.com/2008/12/poliisin-oikeus-shkpostien.html

Website Security Test