EK:n lausunto ehdotuksesta poliisin tietojenvaihtoa koskevan lainsäädännön muuttamisesta
Sisäministeriö | 4.7.2025 | VN/27065/2023
Yleistä
Meiltä ei ole pyydetty lausuntoa, mutta haluamme lausua esityksestä erityisesti siltä osin kuin se käsittelee tietojen luovuttamista yksityisille yrityksille tai tietojen luovuttamista yksityisiltä yrityksiltä poliisille ja muille esityksessä mainituille turvallisuusviranomaisille.
Pidämme esitystä kokonaisuutena tarpeellisena ja kannatamme sen tavoitteita. Poliisin ja muiden rikostorjuntaviranomaisten keskeisenä tehtävänä on myös rikosten ennalta estäminen, eikä se onnistu ilman tehokkaita mahdollisuuksia vaihtaa tietoja. Tietojen vaihto ei voi rajoittua vain viranomaisten väliseen tietojenvaihtoon. Myös yksityisten toimijoiden hallussa olevia tietoja tarvitaan, mutta samalla on muistettava, että rikosten ennalta estäminen ei ole mahdollista vain viranomaisten toimenpitein. On tilanteita, joissa vain yksityinen toimija voi estää rikoksen toteuttamisen tai joissa ainakin myös yksityisen toimijan toimia tarvitaan rikoksen estämiseksi, ja joissa näin on täysin välttämätöntä saada viranomaisten hallussa olevia tietoja yksityisten toimijoiden käyttöön rikosten ennalta estämiseksi. Mikäli näin ei tehdä, poliisin tehtäväksi jää usein toteutuneen rikoksen tutkinta, mikä ei ole kenenkään toimijan kannalta järkevää, jos teko olisi voitu estää.
Riittämätön vaikutustenarviointi
Esityksessä on tarkasteltu esitettyjen muutosten vaikutuksia. Tässä yhteydessä ei kuitenkaan ole tarkemmin arvioitu esitettyjen muutosten vaikutuksia yksityisiin toimijoihin. Muutosten arvioidaan esityksen sivulla 36 lisäävän yksityisille toimijoille tehtävien tiedusteluitten määrää ja sen myötä työmäärää ”jonkin verran”. Vaikutustenarviointi on tältä osin mielestämme liian epätarkka, eikä täytä hyvän lainvalmistelujen vaatimuksia. Vaikutustenarviointia tulee täydentää esityksen jatkovalmistelussa.
Tietojen luovuttaminen yhteiskunnan kriittiseen infrastruktuuriin liittyville toimijoille
Ehdotetulla sääntelyllä varmistettaisiin myös, että poliisi, Rajavartiolaitos ja Tulli voisivat luovuttaa salassa pidettäviä tietoja kriittiseen infrastruktuuriin liittyville toimijoille, jos tietojen luovuttaminen on tarpeen näille viranomaisille tai kyseiselle kriittiselle toimijalle kuuluvan kriittisen infrastruktuurin suojaamiseen tai häiriönsietokyvyn parantamiseen liittyvän tehtävän suorittamiseksi. Tätä koskevat säännökset ehdotetaan sisällytettäviksi poliisilain 7 luvun 2 §:n 3 momenttiin, rajavartiolaitoksen hallinnosta annetun lain 17 a §:n 3 momenttiin sekä rikostorjunnasta tullissa annetun lain 4 luvun 2 §:n 3 momenttiin.
Ehdotettujen säännösten mukaan tietoja olisi tällä perusteella mahdollista luovuttaa kuitenkin vain niille toimijoille, jotka on nimetty kriittisiksi toimijoiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun ja 1.7.2025 voimaan tulleen lain nojalla.
Näkökulma ja sen myötä säännöksen kattavuus on liian suppea ja sitä tulee ehdottomasti laajentaa kattamaan paremmin yhteiskunnan kriittiseen infrastruktuuriin liittyvät toimijat.
Perusteluina tälle voidaan todeta ainakin seuraavat seikat:
1) Viitatun yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain toimeenpano on vasta alkanut. Lailla toimeenpannaan ns. CER-direktiivi. Tällä hetkellä ei kattavasti tiedetä, mitkä toimijat tulisivat ehdotetun lain piiriin ja kuinka paljon niitä lopulta tulee olemaan. Esitettyjen arvioiden mukaan niitä tulee olemaan todennäköisesti noin sata tai hieman enemmän. Kriittiset toimijat tulee olla nimettyinä 17.7.2026 mennessä. Soveltamisalaan kuulumisen yritysten osalta ratkaisee se, kuuluuko yritys johonkin yhdestätoista soveltamisalasektorista ja onko yrityksen merkitys markkinassa niin iso kansallisesti ja EU-laajuisesti, että muut toimijat ovat sen tuottamista tuotteista tai palveluista lain kriteerit täyttävällä tavalla riippuvaisia yhdessä tai useammassa EU-maassa. Käytännössä tämä tulee tarkoittamaan sitä, että kullakin sektorilla vain kansallisesti keskeisimmät toimijat tulevat kuulumaan soveltamisalaan. Lausuttavan lain rajaaminen vain näihin tulisi tarkoittamaan sitä, että samallakaan sinänsä kriittisellä toimialalla kaikille toimijoille ei voisi luovuttaa tarkoitettuja tietoja esitetyn säännöksen perusteella. Tilanne olisi epäoikeudenmukainen muiden saman kriittisen toimialan toimijoiden kannalta. Vähintään tulisi lähteä siitä, että kaikki mainitun lain kriittisiin yhteentoista toimialaan kuuluvat toimijat määriteltäisiin tietojen saantiin oikeutetuiksi riippumatta siitä, onko juuri kyseinen toimija määritelty kriittiseksi.
2) Se, mikä toiminta ja mitkä toimijat ovat yhteiskunnassa kriittisiä, on myös kontekstisidonnaista. CER-direktiivin toimeenpanossa kriittisyys on määritelty yhdellä tavalla, mutta yhteiskunnassa ja myös lainsäädännössä on muitakin tapoja kriittisyyden määrittelyyn. Yhteistä kaikessa kriittisyysmäärittelyssä on kuitenkin se, millä tavoin yhteiskunta kokonaisuutena on riippuvainen kyseisestä toimijasta.
Oikeudenmukaisempaan ja kriittisen infrastruktuurin suojaamisen kannalta perustellusti kattavampaan lopputulokseen päädyttäisiin, jos soveltamisen pohjaksi otettaisiin esimerkiksi NIS2-direktiivin toimeenpanevan kyberturvallisuuslain soveltamisala. Hallituksen esityksen 57/2024 vp mukaan soveltamisalaan kuuluvia organisaatiota on arviolta 2.500–5.000. Näiden määrän tulisi tässä vaiheessa olla jo jotakuinkin tiedossa, koska laki perustuu itseilmoittautumiselle; soveltamisalaan kuuluvien edellytetään itse tunnistavansa soveltamisalaan kuulumisensa ja tämän perusteella niiden olisi tullut ilmoittautua oman toimialansa valvovan viranomaisen toimijaluetteloon 8.5.2025 mennessä. Tämä antaa jo huomattavasti paremman kuvan kriittisestä infrastruktuurista kuin esitetty tapa.
Vielä yhden vaihtoehdon esitysluonnoksessa omaksutun ja edellä esitettyjen vaihtoehtoisten mallien välillä tarjoaisi se, jos soveltamisala määriteltäisiin sen mukaan, mitkä yritykset kuuluvat huoltovarmuusorganisaatioon. Huoltovarmuusorganisaatioon kuuluu noin 1.500 organisaatiota seitsemän sektorin ja niiden alla toimivien lähes 30 toimialakohtaisen poolin ja toimikunnan alla.
Viranomaisen oma-aloitteinen tietojen luovuttaminen yksityisille tahoille
Esityksessä ehdotetaan muutettavaksi myös poliisilain 7 luvun 2 §:n 2 momenttia sekä vastaavasti rajavartiolaitoksen hallinnosta annetun lain 17 a §:n 2 momenttia ja rikostorjunnasta Tullissa annetun lain 4 luvun 2 §:n 2 momenttia.
Kannatamme ehdotettuja muutoksia. Ehdotetulla sääntelyllä varmistettaisiin, että rikosten ennalta ehkäiseminen tehostuu. Erityisesti suunnitelmalliseen, toistuvaan ja ammattimaiseen rikollisuuteen voitaisiin näin puuttua huomattavasti nykyistä paremmin ja ennalta ehkäistä rikoksia ja niistä syntyviä vahinkoja, jos oikea-aikainen molempiin suuntiin tapahtuva tiedonvaihto olisi mahdollista yksittäistapauksissakin.
Jotta säännöksen soveltaminen olisi yhdenmukaista, ehdotamme, että ehdotettujen säännösten perusteluissa perusteita avattaisiin nyt tehtyä yksityiskohtaisemmin. Olisi tärkeää mainita nimenomaisesti esimerkiksi se, että sarjamaisesti toteutettu varkaus täyttäisi säännöksessä tarkoitetun huomattavan omaisuusvahingon kriteerit. Tällainen tilanne olisi käsillä esimerkiksi ammattimaisesti tai suunnitelmallisesti tai toistuvasti tehdyissä myymälävarkauksissa, joissa yksittäistä tekoa ei välttämättä voida pitää huomattavana omaisuusvahinkona, mutta tekosarja kokonaisuutena kriteerin täyttää ja tekosarjan jatkaminen on siksi tärkeää katkaista.
Katsomme, että tällaisen ”muun tärkeän yksityisen edun suojaamisen” sisällyttäminen yksittäistapauksessa tiedon antamisperusteeksi salassapitovelvollisuuden sitä estämättä olisi kokonaisuutena tärkeä ja merkittävä muutos, jotta sarja- ja uusintarikolliset saataisiin kiinni tai teot estettyä, eivätkä epäillyt tekijät esimerkiksi ehtisi poistua maasta.
Kustannusten korvaamisesta
Kuten esityksestäkin hyvin ilmenee, poliisin ja laajemminkin turvallisuusviranomaisten yksityisille toimijoille kohdistamat tietopyynnöt painottuvat erityisesti tiettyjen toimialojen, erityisesti finanssialan, teleliikenne- ja laajemmin ICT-alan sekä jatkossa, esitettyjen muutosten tultua mahdollisesti voimaan, myös terveydenhuoltoalan toimijoihin. Ellei erikseen ole muuta säädetty, tietopyyntöjen kohteena olevilla yrityksillä ei ole mahdollisuutta saada korvauksia tietopyyntöihin vastaamiseen käyttämistään resursseista huolimatta siitä, että resursseja voidaan tähän lakisääteiseen tehtävään joutua käyttämään merkittävässä määrin. Esimerkiksi teleyrityksillä on sähköisen viestinnän palveluista annetun lain 299 §:n nojalla oikeus saada korvaus viranomaisten avustamiseksi hankittujen järjestelmien kustannuksista, mutta ei tietopyyntöihin vastaamiseen käytetyistä muista resursseista. Aiemmin laki edellytti myös näiden kustannusten korvaamista, mutta ei enää nykyään.
On yhteiskuntapoliittinen kysymys, kuinka pitkälle yksityisillä tahoilla on velvollisuus tukea viranomaisia näiden lakisääteisten tehtävien hoidossa ilman korvauksia, erityisesti huomioiden sen, että tarpeet linkittyvät erityisesti tiettyjen toimialojen toimijoihin, kun taas monilla muilla toimialoilla ei tällaisia tarpeita juurikaan ole. Sellaisiakin perusteluita toisinaan kuuluu, että velvollisuus seuraa yksinkertaisesti siitä, että yritys on päättänyt aloittaa toiminnan toimialalla, johon liittyy viranomaisia kiinnostavien tietojen käsittely. Tämä ei tietenkään voi olla oikeuttamisperuste sille, että toimiala joutuu maksutta toimittamaan enenevässä määrin tietoja viranomaisille ilman korvausta. Asiassa on huomioitava erityisesti se, että viimeisten 10-20 vuoden aikana tietopyyntöjen määrä on koko ajan noussut ja jatkaa nousemistaan. Myös nyt esitetyt lainsäädäntömuutokset tulisivat lisäämään tietopyyntöjen määriä ja kehityksen myötä myös niiden vastaamisen aiheuttamia kustannuksia.
Tämä asia on nyt lopultakin syytä huomioida nyt lausuttavana olevan hankkeen jatkovalmistelussa, mutta myös laajemmin omana lainsäädäntöhankkeenaan. Tarve on ilmeinen ja perusteltu.
Viittaamme myös jäsenliittomme Kaupan Liiton lausuntoon, jäsenliittomme Teknologiateollisuuden toimialayhdistys Kyberalan lausuntoon sekä jäsenliittomme Hyvinvointialan lausuntoon asiassa. Kannatamme niissä esiin nostettuja näkökohtia.