Effin lausunto liikenne- ja viestintävaliokunnalle puolustusministeriön tiedonhankintalakityöryhmän mietinnöstä
26.1.2015
Electronic Frontier Finland – Effi ry
www.effi.org
Electronic Frontier Finland – Effi ry kiittää mahdollisuudesta lausunnon antamiseen. Tiedustelulakimietintö liittyy Effin alaan lähinnä siltä osin kuin se koskettaa perusoikeuksia, ja keskitymme tässä lausunnossa erityisesti tähän puoleen. Tämän lisäksi Effillä on muutamia yleisempiä kommentteja.
Effin näkökulmasta puolustusministeriön työryhmän mietintö asettaa vastakkain kaksi tärkeää eettistä kysymystä. On selvää, että erilaiset tiedustelutoimet ovat osa maanpuolustusta, myös rauhan aikana. Parhaimmillaan hyvälaatuinen tiedustelutieto voi kriisitilanteessa säästää ihmishenkiä sekä Suomessa että muissa maissa. Toisaalta huonosti toteutettuna tällainen tiedustelu voi olla, ja käytännössä usein on ollut, räikeää ihmisoikeuksien loukkausta, erityisesti länsimaisesta demokraattisesta arvomaailmasta katsottuna. Effin mielestä tiedustelua tulee pitää työkaluna, ei itseisarvoisena tavoitteena.
Selvästikin tiedustelutoimien on edellä mainituista syistä oltava tarkoituksenmukaisia, erittäin tarkasti rajattuja ja tarkoin valvottuja. On hyvä, että toiminta tulee lainsäädännön piiriin, jotta pelisäännöt tulevat huolellisesti harkituiksi ja toiminnan valvonta rakennetaan vakaalle pohjalle. Tietoyhteiskunnan turvallisuutta edistävä lainsäädäntö on Suomelle tärkeä ja mietinnössä on paljon hyviä kohtia, kuten se, että yrityksiltä ei aiota jatkossakaan vaatia takaportteja tietojärjestelmiin viranomaisia varten. Lisäksi mietinnössä ei haluta heikentää kansalaisten mahdollisuuksia valvonnalta suojautumiseen, esimerkiksi kieltämällä tietoliikenteen salaamista.
Mikäli tietoliikennetiedustelusta päätetään aloittaa lakivalmistelu, Effi suosittelee huomioimaan valmistelutyössä erityisesti seuraavat asiat.
1. Valvonnan valvoja
Effi pitää tietoliikennetiedustelun valvonnan huolellista järjestämistä välttämättömänä ja toivoo, että valvonnassa kiinnitettäisiin oikeudellisten ja poliittisten arvojen lisäksi huomiota eettisiin arvoihin. Eettisen valvonnan mahdollistamiseksi on tärkeää, että “miksi” ja “mitä” on kuvattu lupaprosessissa, koska valvonnan sisältö on pitkälti näiden kahden asian tasapainon arviointia. Tällainen valvontaelin voisi koostua esimerkiksi oikeuslaitoksen, poliittisen edustuksen sekä tietosuojavaltuutetun muodostamasta ryhmästä. Valvonnan tärkeyden puolesta puhuu myös viimeaikainen julkinen keskustelu poliisin salaisen epäiltyjenrekisterin väärinkäytöksistä.
Mietinnössä tuodaan esille (s. 53) esimerkki Iso-Britannian puolustusministeriön alaisen signaalitiedustelulaitoksen lain kirjaimen mukaan toteuttamasta luvanvaraisesta ja kohdistetusta laajamittaisesta tiedustelusta, jonka puitteissa kuunneltiin samanaikaisesti jopa 10.000 puhelinlinjaa. Kyseisessä tapauksessa sisäministeri saattoi antaa eri turvallisuusviranomaisille luvan “kohdistaa” tiedonhankintaa Iso-Britanninan ja ulkomaiden välisiin viestiyhteyksiin hyvin yleisellä tasolla, kuten “kaikki Iso-Britannian ja muun Euroopan välisten merikaapelien kautta välittyvät viestit”. Euroopan ihmisoikeustuomioistuin (EIT) totesikin Iso-Britannian rikkoneen Euroopan ihmisoikeussopimusta (EIS 8(2)). Tilanne Iso-Britanniassa olisi vältetty, mikäli paikallinen laki olisi määritellyt tarkemmin tiedustelutoiminnan rajat.
2. Luvanvarainen pääsy tietoliikenteeseen
Mietinnössä esitetään tiedusteluorganisaatiolle pääsyä tosiasiallisesti kaikkeen Suomen läpi kulkevaan tietoliikenteeseen, josta tiedusteluorganisaatio itse seuloisi tarkemmilla hakuehdoilla tietoa. Effi ehdottaa mietinnössä esitettyä toteuttamistapaa muutettavaksi siten, että operaattori tarjoaisi tiedusteluorganisaatiolle luvanvaraisesti pääsyn vain luvan piiriin lankeavaan liikenteeseen. Operaattori suorittaisi siis mietinnössä mainitun ensimmäisen tason seulonnan. Tämä menettely ei rajoita mietinnössä mainitun tyyppistä tietoverkkotiedustelun tarkoitusta/tapaa/prosessia, mutta poistaisi yhden suurimmistatietoliikennetiedustelun ongelmista. Toisin sanoen haluttu toimintakyky säilyy, mutta ristiriita kansalaisten perusoikeuksien kanssa pienenee. Ratkaisu toisi mukanaan myös saumattomasti yhden kontrollin lisää, koska tietoliikennepalveluja tarjoava taho toteaisi luvan olemassaolon ennen viestinnän tarkkailua. Effi katsoo, että tämä toteutustapa ei ratkaisevasti haittaisi tiedusteluprosessia.
3. Tilastojen julkaisu
Effi ehdottaa, että tiedustelutoiminnasta pitäisi julkaista tilastoja. Tilastot mahdollistaisivat julkisen keskustelun tiedustelun hyödyistä ja tehokkuudesta. Tilastojen tulisi sisältää ainakin seuraavat asiat:
- Seulontalupien määrä tilastointiväliä kohden
- Kuinka isoon verkkoalueeseen, datamäärään, henkilömäärään ja ajanjaksoon kullakin luvalla suoritettu tietoliikennetiedustelu on kohdistunut
- Kuinka pitkäkestoisia luvat ovat olleet
Näiden tilastojen lisäksi tiedustelutoiminnan toteutukseen osallistuvien tahojen tulisi pitää tiedustelutoiminnasta seurantatietoja, joihin valvontaorganisaatiolla olisi myös tarkempi tarkastusoikeus. Valvontaorganisaation jatkuviin tehtäviin tulee myös kuulua esitettyjen tilastojen oikeellisuuden tarkastaminen seurantatietoja vastaan siten, että niistä voidaan myös tarvittaessa tehdä yhteinen esimerkiksi vuotuinen julkilausuma. Tarkastusvelvollisuus on tärkeä, koska tilastoja voidaan muuten kaunistella liian helposti, jos väitteiden oikeellisuutta on vaikea tarkastaa. Esimerkiksi USA:ssa NSA on väittänyt torjuneensa massavalvonnan avulla 54 terrori-iskua, mutta Valkoisen talon asettamat kaksi riippumatonta toimikuntaa joutuivat perumaan väitteet, koska niille ei ollutkaan todisteita.
4. Regulointi tietojen vaihtoon
Yksi tiedustelutoiminnan tavoitteista on mahdollistaa tiedustelutiedon vaihto muiden maiden kanssa. Tiedustelutiedon vaihtoa tulisi myös reguloida ja valvoa, jotta vältyttäisiin tilanteelta, jossa esimerkiksi Suomi vakoilisi Ruotsin kansalaisia ja Ruotsi Suomen kansalaisia, ja kerättyjä tietoja vaihdettaisiin ristiin. Tällöin tiedusteluorganisaatio voi ulkoistaa muutoin laittoman kotimaan tiedustelun ystävällismieliselle maalle ja saada täten tietoa myös oman maan sisäisestä liikenteestä. Näin on käynyt esimerkiksi USA:n ja Iso-Britannian välillä.
5. Tietoturva ei parane
Mietinnössä tuodaan hyvin esille, että tiedustelun ensisijainen tavoite on tiedon kerääminen. Tämän painotuksen kääntöpuolena esitetyssä mallissa ei ole huomioitu tietoturvallisuuden tarpeita Suomessa. Esitetyt valvontakeinot eivät ole pelkästään eettisesti ongelmallisia, vaan myös teknisesti hankalia. Esitetyin toimin ei todennäköisesti voitaisi suojautua esimerkiksi viimeaikaisilta Osuuspankin palvelunestohyökkäyksen kaltaisilta toimilta, eikä niistä välttämättä olisi ollut apua ulkoministeriön taannoisen tietomurron tapauksessa. Sen sijaan esitetyn kaltainen kaiken tietoliikenteen valvonnalle avaava mekanismi on altis vahingoille ja väärinkäytöksille, ja siten omiaan aiheuttamaan uusia uhkia. Täydellistä tietoturvaa ei olekaan, mutta se tiedetään, että mitä enemmän tietoa kerätään ja analysoidaan, sitä enemmän sitä myös joutuu vääriin käsiin. Effi korostaa, että tietoturvaa pitää kehittää laaja-alaisesti eikä monimutkaisiin ongelmiin pidä tarjota näennäisratkaisuksi verkkovalvontaa.
Kaiken kaikkiaan tiedustelun täytyy olla työkalu, ei itseisarvoinen päämäärä. Ihmisten yksityisyyteen, perusoikeuksiin ja turvallisuuteen vaikuttavana työkaluna tiedustelun tulee olla valvottua, kohdistettua ja luvanvaraista. Tiedustelun luvituksen, toteutuksen ja valvonnan tulee jakautua useammalle eri toimijalle turvamekanismina virheitä ja väärinkäytöksiä vastaan. Tiedustelun rinnalla tulee muistaa myös vaihtoehtoiset työkalut kuten uhkien ennaltaehkäisy. Tiedustelua toteuttaessa täytyy noudattaa erityistä huolellisuutta, ettei se itsessään lisää turvattomuutta. Tällainen turvattomuuden tunne voi estää tehokkaasti myös Suomen lanseeraamista kansainvälisenä tietoturvasatamana, jollaiseksi sitä on hallituksen ohjelmassa aiottu.