tiistai 24. helmikuuta 2009

Sumu sakenee Lex Nokian ympärillä

Lainaan Aamulehden otsikkoa, kun en itse keksisi parempaa. Mitä enemmän laista on julkisuudessa väitelty, sitä pahemmin vyyhti on mennyt solmuun.

Oli mielenkiintoista seurata lain käsittelyä tänään eduskunnassa. Nettipalvelu toimi kerrassaan mainiosti: kamerat kuvasivat salia monesta eri kulmasta, kuvanlaatu oli mainio ja videoikkunan vieressä päivittyi koko ajan tieto puhujasta. Teledemokratia on ottanut askeleen eteenpäin.

Mutta missä olivat kansanedustajat? Videokuvasta päätellen paikalla oli ehkä kolmasosa edustajista ja vain yksi ministeri. Muilla oli ilmeisesti tärkeämpää tekemistä. Väittelykin jäi aika laimeaksi; paljon kipakampaa sanailua on käyty netissä ja jopa painetun Hesarin sivuilla. Osanoton vähäisyys oli tervetullut muistutus nettikansalle siitä, että vaikka heidän omasta mielestään perusoikeudet ja tietoyhteiskunta ovat nyt vaakalaudalla, kansanedustajien mielestä asia ei ole ollenkaan niin tärkeä.

Monikaan tänään puheenvuoron käyttäneistä edustajista ei tainnut oikeasti tietää, mistä laissa oli kyse. Ei se mitään, kyse on teknisestä ja mutkikkaasta asiasta. Herää vain huoli siitä, että päätetäänkö muistakin laeista näin vähällä osaamisella? Kalastellaanko muissakin asioissa poliittisia irtopisteitä sen sijaan, että yritettäisiin tehdä fiksuja päätöksiä? Kyllä kai, sitähän politiikka käytännössä tarkoittaa.

Yhä riittää niitä, joiden mielestä kukaan ei lähettäisi salaisia dokumentteja sähköpostilla, kun paljon parempiakin keinoja on käytettävissä. Tämä käsitys on täysin väärä. Nykytilanteessa sähköposti on ehdottomasti paras konsti lähettää tiedostoja vieraaseen maahan. Kun poistaa viestin heti lähetyksen jälkeen, se ei ehdi tallentua mihinkään. Viestistä jää vain tunnistetiedot lokeihin, mutta niitä sen paremmin yritys itse kuin poliisikaan ei saa tutkia. Jos jättää viestin hautumaan yön yli, se luultavasti tallentuu öisin otettavalle palvelimen varmistukselle.

Kaikki muut keinot -- usb-tikut, paperikopiot, cd:n polttaminen -- ovat paljon suurempi riski tekijälle. Ne voidaan estää teknisesti, niistä jää jälki ja niissä on tahattoman paljastumisen vaara. On sitten eduskunnan asia päättää, kuinka suuri ongelma tämä on yrityksille, ja loukkaako näiden tietojen rajoitettukin seuranta liikaa työntekijöiden yksityisyyttä. Juuri siksi eduskunnassa on 200 henkilöä, että he tekevät tällaisia valintoja.

Illan tv-uutisten mukaan vihreät ehdottavat lain muuttamista siten, että yrityssalaisuuksien suojaus jätettäisiin jäljelle ja yhteisötilaajan valvontaoikeudesta luovuttaisiin. Hämmästelen kovasti tällaista ehdotusta. Yrityssalaisuuksien suojaus on paljon ongelmallisempi asia kuin yhteisötilaajan oikeuksien täsmentäminen. Ensimmäisessä luodaan ihan uutta sääntelyä, jälkimmäinen on vain täsmennys vuonna 2004 säädettyyn lakiin. Lisäksi tarkoitus on ollut, että täsmennys toimisi kansalaisten eduksi ja lisäisi heidän tietosuojaansa eikä päinvastoin. (Lisäys 24.2.: aamun uutisten perusteella kyse onkin vain siitä, että vihreät haluaisivat rajoittaa sähköpostin tunnistetietojen käytön yrityssalaisuuksien vuotojen selvittämiseen).

Luin eilen illalla uudelleen hallituksen esityksen perustelut vuodelta 2003, kun nykyisin voimassa olevaa lakia oltiin vasta säätämässä. Perusteluista kävi hyvin ilmi, että lain tarkoituksena oli parantaa kansalaisen tietosuojaa lisäämällä yhteisötilaajan velvollisuuksia. Yhteisötilaajan käsite luotiin, jotta aiemmin vain operaattoreilla ollut vastuu saatiin siirrettyä lähemmäksi käyttäjiä. Ei voinut lainsäätäjä tuolloin arvata, että tulevaisuudessa lain tavoite kääntyisi suuren yleisön mielessä päälaelleen niin, että velvollisuuksista alettaisiin pitää jonkinlaisina urkintaoikeuksina. Kenenkään ei kannata pyrkiä yhteisötilaajaksi. Se ei suinkaan anna urkintaoikeuksia vaan päinvastoin tuo lisää vastuita. Esimerkiksi viestintäsalaisuuden loukkaukset tuomitaan törkeinä, jolloin rangaistusmaksimi on kolme vuotta vankeutta tavallisen loukkauksen kahden sijaan.

Illan tv-uutisissa näytettiin tekstiplanssi "Lex Nokialla halutaan kuriin: yrityssalaisuuksien vuoto, tekijänoikeussuojatun materiaalin kopiointi, työverkkojen häirintä liitetiedostoilla ja haittaohjelmilla". Nämä argumentit oli kuulemma saatu EK:sta. Ihmettelen viittausta tekijänoikeuksiin - tähän asti niin ministeriö kuin sen ulkopuoliset juridiset asiantuntijat ovat kertoneet, että laiton kopiointi ei ole riittävä syy epäillä ohjeen vastaista käyttöä (vaikka se laitonta olisikin).

Samoissa uutisissa siteerattiin myös tietosuojavaltuutettua, jonka mielestä "näin laajasti verkkojen ylläpitäjille annetut oikeudet ovat harvinaisia". Hallituksen esityksen alussa on kansainvälinen vertailu, josta saa varsin erilaisen kuvan jo ihan muiden pohjoismaiden tilanteesta.

Kysyin valvonnasta kahdelta ruotsalaiselta kolleegalta, jotka ovat tunnetun amerikkalaisen yrityksen palveluksessa. He kertoivat yrityksen valvontapolitiikan olevan sellainen, että satunnaisesti valittujen työntekijöiden sähköpostit ja kiintolevyt tutkitaan. Käytäntö nojaa pelotevaikutukseen: kun kuka tahansa voi joutua tutkittavaksi, koneelle ei ole houkutusta tallentaa mitään luvatonta. Tässä tapauksessa kyse oli amerikkalaisesta yrityksestä, mutta senkin on noudatettava paikallisia lakeja. Suomessa moinen politiikka olisi ehdottomasti laiton, ilmeisesti Ruotsissa ei ole.

Huh, toivottavasti sumu ei huomenna enää tihene lisää. Muutoin olemme kaikki eksyksissä.

14 kommenttia:

Teemu kirjoitti...

Kysynpä vaan, että olisiko se sittenkin helpompaa säätää sellainen laki, joka on sen verran yksiselitteinen, ettei sen tulkinta riipu siitä keneltä kysyy? Rohkenen nimitäin väittää, että suurin syy tuohon sumuun on lain monimutkaisuus. Ja ilmeisesti myös lain sekä siihen liittyvän materiaalin suurehko määrä. Kun sitten kukin taho ministeri, ministeriö, työmarkkinajärjestöt, lehdistö yms. tekevät oman tulkintansa laista, syntyy tämmöinen soppa. Hyvä esimerkki tästä on sekin, että mm. KRP on ehtinyt lyttäämään lain, koska 'siinä annetaan valtuuksia joita ei edes poliisilla ole'.

Jollakin tapaa olisi kenties pitänyt erotella kaikille yhteisötilaajille kuuluvat velvollisuudet, sekä työnantajille annettavat erityisoikeudet omiin kokonaisuuksiinsa.

Petteri Järvinen kirjoitti...

Laki voisi tosiaan olla selkeämpi. Toisaalta nopasti kehittyvän tietotekniikan asioita ei voi säädellä yhtä täsmällisesti kuin vaikkapa maatalouden asioita.

Nyt vaikuttaa siltä, että eräät tahot tarkoituksella lisäävät sumua asian ympärille. Esimerkiksi juuri tuo KRP-juttu: ei KRP ole "lytännyt" lakia, päinvastoin todennut sen tarpeelliseksi (näin ainakin heidän edustajansa, joka on asiaa julkisuudessa kommentoinut; en tiedä KRP:n virallista kantaa). Ainoa 'kritiikki' on ollut se, että KRP haluaa samat televalvontaoikeudet itselleen.

Anonyymi kirjoitti...

"tekijänoikeussuojatun materiaalin kopiointi" tuskin oli uutisten vahinko...

Anonyymi kirjoitti...

"Nykytilanteessa sähköposti on ehdottomasti paras konsti lähettää tiedostoja vieraaseen maahan. "

Mutta vain hieman parempi kuin muut keinot. Sen poistaminen ei muuta tilannetta juuri yhtään.

Petteri Järvinen kirjoitti...

Selvittelin eilisessä tv-uutisessa silmiin pistänyttä kohtaa tekijänoikeusloukkauksista.

Tekstin taustalla oli erään henkilön puhelinhaastattelu, jossa hän oli ottanut yhtenä esimerkkinä esille tilanteen, jossa yritystä uhkaa korvausvastuu työntekijän laittoman nettikopioinnin seurauksena. Tällainen voisi olla tilanne, jossa valvontaoikeus uuden lain nojalla tulisi kyseeseen ja oikeuttaisi selvittämään, kenen koneesta laiton liikenne on peräisin.

Tästä ei siis voi vetää johtopäätöstä, että urkintalain taustapiruina ovatkin tekijänoikeusjärjestöt, jotka nyt pääsevät valvomaan liikennettä.

zache_ kirjoitti...

Tästä ei siis voi vetää johtopäätöstä, että urkintalain taustapiruina ovatkin tekijänoikeusjärjestöt, jotka nyt pääsevät valvomaan liikennettä.

Mutta se mahdollistaa sen ainakin noin periaatteessa, joka nyt oli meitsin pointti tuossa taannoin.

Kiitos muuten selvitystyöstä.

Anonyymi kirjoitti...

En muista tarkemmin lähdettä, mutta reilu viikko sitten törmäsin galluppiin, jonka mukaan Lex Nokian vastustajia oli 60%, kannattajia 10%, sekä 30% jotka eivät osanneet tai halunneet ottaa kantaa. Suomessa edustuksellinen demokratia tarkoittaa sitä, että asiat käännetään päälaelleen ja nyt tämä laki on menossa ennakkotietojen mukaan selkein lukemin läpi.

Anonyymi kirjoitti...

Kuka on oikeasti niin naiivi, että olettaa näitä kaikkia ilmoitusvastuita noudatettavan?

Käytännössähän tuo menee niin, että lafka urkkii minkä kerkeää, ja jos jotain epäilyttävää ilmenee, haetaan valtuudet. Näin ainakin kävisi suurimmassa osassa niistä yrityksistä, joissa itse olen työskennellyt. Sama koskee myös tunnistetietoja - kuka oikeasti olettaa, että niitä katsellessa ei vahingossakaan vilkaise siinä pari riviä alempana olevaa viestisisältöä?

Yksityisyydensuojastahan tässä on kyse, ja se sai juuri eduskunnassa kovan kolauksen. Se miten jenkkilässä toimitaan on täysin irrelevanttia, ei meillä ole vankileirejä virossakaan.

Anonyymi kirjoitti...

toi lakihan tehtiin tuommoisena, jotta yheisötilaajat voidaan tulevaisuudessa laittaa sensuroimaan esim pelisivustoja tms mistä poliitikot ei netissä tykkää, mutta mitä ei voi esim EUn takia suorastaan kieltääkään.
tuossahan ei nimittäin ole kyse mistään yrityssalaisuuksista, koska sillon toi olisi osa jotain työelämän lakeja.

Tommi Raulahti kirjoitti...

Petteri taisi teknisenä ihmisenä unohtaa nyt kryptattujen yhteyksien yli tehtyjä tiedonsiirtoja (SSH tunneli, VPN jne) joista ei jää mitään muuta jälkeä kuin se, että yhteys on otettu osoitteeseen X.

Ja riski jäädä kiinni minimaalinen. Kuinkas tuollaista valvot?

Petteri Järvinen kirjoitti...

En toki unohtanut. Ja ainahan voi käyttää vaikka Toria, kyllä keinoja löytyy.

Itse käyttäisin silti sähköpostia, mutta salaisin liitetiedoston ja poistaisin viestin heti lähetyksen jälkeen. Soittaisin kännykällä Kiinaan ja kertoisin salasanan puhelimessa. Ihan sama, vaikka tunnistetiedot jäisivätkin lokiin - kukaan ei voisi selvittää, mitä tiedostoja lähetin.

En missään tapauksessa alkaisi poltella romppuja, printata dokumentteja tai käyttää edes usb-tikkuja. Kaikki lisäisivät vain kiinnijäämisen riskiä ja olisivat todistusaineistoa, jos huonosti kävisi.

On ihan selvä, ettei bittien vuotamista talosta ulos pysty millään 100 % estämään. Mutta se, ettei kaikkia aukkoja pysty tukkimaan ei tarkoita sitä, etteikö kannattaisi tukkia niitä mitä voi. Kaikki eivät ole näissä asioissa kovin fiksuja eivätkä tunne tekniikkaa.

Kansanedustajat päättävät, onko laki kokonaisuutena parannus nykytilanteeseen ja äänestävät sen mukaan. Lähtökohta on kuitenkin se, että yrityksissä toimitaan lainmukaisesti. Jos lakia ollaan valmiita rikkomaan (esim. luetaan viestien sisällöt), on kai ihan sama mitä nyt säädetään. Viestejä voi lukea tälläkin hetkellä ja kiinni jäämisen riski on hyvin pieni.

Uusi laki määrittelee selvän prosessin ja helpottaa niiden yritysten toimintaa, jotka haluavat toimia lainmukaisesti. Näissä yrityksissä työntekijän tietosuoja paranee nykyiseen verrattuna.

Lienee myös selvää, että lakia rukataan taas muutaman vuoden päästä saatujen kokemusten perusteella. Nähtäväksi jää, kumpaan suuntaan.

Anonyymi kirjoitti...

Viestejä voi lukea tälläkin hetkellä ja kiinni jäämisen riski on hyvin pieni.

Kyllä, mutta tällä hetkellä urkintaa ei voi jälkikäteen muuttaa lailliseksi, ei mitenkään. Lakiesitys mahdollistaa tämän sanotaanko kohtalaisen helposti, jos on yhtään ketkun vikaa valvojassa - kiinni jäämisen riskin ollessa todennäköisesti vielä pienempi.

Periaatehan on hieno, mutta käytäntö on usein jotain ihan muuta. Ei auta kuin toivoa että olen muiden epäilijöiden kanssa väärässä, mutta aivan samaan tapaan kun yritys ei halua luottaa työntekijäänsä, en itsekään luottaisi näin sokeasti yritykseen.

Hannu Tanskanen kirjoitti...

Onko todella noin,että jos sähköpostin lähettämisen jälkeen poistaa sen koneeltaan,mitään jälkeä (=todistetta) ei jää logiin ? Koskeeko koneen postia (=operaattorin postia)vai myös anonyymipostia (yahoo,hotmail) ?
Eli jos lataa tikulle ja postittaa,merkintää operaatiosta ei saa pois koneen logista ? Tikunhan voi laittaa toki "jiffy"-kuoreen,josta ei näy sisältö päällepäin ja sitten vain sisäiseen postiin tutulle osoitettuna (ei toki kilpailijalle !)naapurin kaukalosta ;-)!

Anonyymi kirjoitti...

opprmrpd mzsfsbax [url=http://casquesxdedredesoldes.com/]casque beats[/url] qrsrvxbt beats by dre france fhrruhkb xdsekkmm http://casquesxdedredesoldes.com/

Website Security Test