|
 |
|
Lausunnot > Lausunto 07.10.2008 FiComin lausunto koskien hallituksen esitystä sähköisen viestinnän tietosuojalain muuttamisesta HaVEduskunnan hallintovaliokunnalleViite: HE 48/2008 vp Tietoliikenteen ja tietotekniikan keskusliitto, FiCom ry (jäljempänä FiCom) kiittää mahdollisuudesta saada lausua Eduskunnalle hallituksen esityksestä laiksi sähköisen viestinnän tietosuojalain muuttamisesta ja esittää kunnioittaen seuraavaa: Yleistä muutosesityksestäMuutosesityksen keskeiset kohdat kohdistuvat yhteisötilaajan oikeuteen käsitellä tunnistamistietoja viestintäverkkojen ja -palveluiden luvattoman käytön tilanteissa sekä käsitellä tunnistamistietoja elinkeinotoiminnan kannalta keskeisten yrityssalaisuuksien luvattoman paljastamisen tilanteissa. FiCom pitää esitettyjä muutoksia tarpeellisina ja tältä osin kannattaa muutosesitystä.FiCom on elinkeinopoliittinen edunvalvonta- ja yhteistyöjärjestö, joten FiCom ei ota enempää kantaa esityksen kohtiin, joissa käsitellään mainittua luvatonta käyttöä ja yrityssalaisuuksia. Yksityiskohtaiset säännösehdotukset9 § Tunnistamistietojen käsittely palvelujen toteuttamiseksi ja käyttämiseksiEsitetty muutos rajoittaa teleyrityksen mahdollisuuksia huolehtia tietoturvasta ja vaikeuttaa tietoturvauhkien torjumista, koska esitys rajaa tunnistamistietojen käsittelymahdollisuudet vain sellaisiin tapoihin, joista ehdotetussa 20 §:ssä säädettäisiin. FiComin käsityksen mukaan tunnistamistietojen käsittelyn tulisi olla mahdollista ilman lisärajoituksia silloin, kun on kyse tietoturvasta huolehtimisesta.Lisäksi tai vaihtoehtoisesti lain soveltamisen selventämiseksi esitetään, että 20 §:n 2 momentissa todettaisiin yhtenä toimenpiteenä tunnistamistietojen käsitteleminen. FiCom haluaa kiinnittää valiokunnan huomiota siihen, että teleyrityksellä on velvollisuus välittömästi ryhtyä viestintämarkkinalain (393/2003) 131 §:n 1 momentin mukaisiin toimenpiteisiin viestintäverkon tai laitteen vaara- tai häiriötilanteessa. FiCom ehdottaa, että 9 §:n 1 momentin säännöstä ei muuteta. 20 § Toimenpiteet tietoturvan toteuttamiseksiEsitetyt muutokset ovat yleisesti ottaen kannatettavia. Esityksen 9 §:n perusteluiden mukaan 20 §:ssä on säädetty tyhjentävästi ne tilanteet, joissa tunnistamistietoja on oikeus käsitellä tietoturvasta huolehtimiseksi ja niistä toimenpiteistä, joita näissä tilanteissa on oikeus tehdä. Kuitenkaan esitetystä 20 §:stä ja sen perusteluista ei ilmene oikeutusta tunnistamistietojen käsittelyyn. Säännös on kirjoitettu sähköpostipalveluihin liittyvien tietoturvaongelmien, viestien ja niiden sisällön näkökulmasta, joten on epäselvää missä määrin tunnistamistietojen käsittely on mahdollista.Edellä 9 § osalla esitetyn mukaisesti tunnistamistietojen käsittelyn puuttuminen toimenpidemahdollisuuksista kuvaa seuraava esimerkki: Viestintävirasto on lähettänyt teleyrityksille ilmoituksen dynaamisista IP-osoitteista, joiden käyttäjien tietokoneet aiheuttavat tietoturvariskin. Onko teleyrityksellä oikeus käsitellä IP-osoitetietoja ja yhdistää ne liittymäasiakkaisiin voidakseen ryhtyä viestintämarkkinalain 131 §:n edellyttämiin toimiin? Ilman yhdistämistä ei voida tietää kenen asiakkaan koneesta on kyse, eikä tietoturvaongelman ratkaisemiseen ole mahdollisuuksia. FiCom esittää, että pykälän 2 momenttiin lisättäisiin uusi kohta "tunnistamistietojen käsitteleminen". Säännöksen sisällöstä johtuen, pykälässä ei myöskään tarjota keinoja muita kanavia - esimerkiksi Internet-yhteyttä - koskevien tietoturvauhkien torjumiseksi. Säännöksen 1 momentin 3 kohdassa mainitaan yhtenä tilanteena laajamittainen rikoslain mukainen maksuvälinepetoksen valmistelu. Tavoitteena asia on kannatettava mutta tulee huomioida, että ne ovat vain yksi osa identiteettihuijauksia ja varkauksia. Lisäksi kyse on viestinnän sisällöstä, jotka eivät liity viestintäverkkojen ja - palveluiden tietoturvallisuuteen. FiCom pitää erittäin merkittävänä sitä, että kuka suorittaa säännöksen rikosoikeudellisen (maksuvälinepetos ja sen valmistelu) ja laajamittaisuuden arvioinnin. Tulkintavastuu ei saa jäädä teleyritykselle siten, että teleyritysten henkilökunta joutuu torjumaan tietoturvauhkia suorittamalla heidän tehtäviinsä kuulumattomia arviointeja ja kaiken lisäksi 42 §:ssä säädetyn rangaistusuhan alla. Edelleen tulee huomioida se, että pankkitunnuksia voidaan käyttää muihinkin palveluihin kuin maksamiseen liittyviin palveluihin. Mistä teleyritys tietää, että kyse on maksuvälinepetoksen valmistelusta? Missä vaiheessa teleyrityksen toiminta muuttuu viranomaistoiminnan kaltaiseksi? FiCom esittää harkittavaksi, tulisiko 20 §:n 1 momentin 3 kohta poistaa esityksestä. Tietoliikenteen ja tietotekniikan keskusliitto, FiCom ryLisätietoja:Marko.Lahtinen@ficom.fi
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
