Valtioneuvoston kirjelmä Eduskunnalle ehdotuksesta neuvoston puitepäätökseksi (tietojärjestelmiin kohdistuvista hyökkäyksistä) Perustuslain 96 :n 2 momentin mukaisesti lähetetään Eduskunnalle Euroopan yhteisöjen komission 19 päivänä huhtikuuta 2002 tekemä ehdotus puitepäätöksen tekemisestä tietojärjestelmiin kohdistuvista hyökkäyksistä sekä ehdotuksesta laadittu muistio. Helsingissä 14 päivänä elokuuta 2002 Oikeusministeri Johannes Koskinen Lainsäädäntöjohtaja Jan Törnqvist
2 OIKEUSMINISTERIÖ MUISTIO EU/ 020502/0346 EHDOTUS PUITEPÄÄTÖKSEKSI TIETOJÄRJESTELMIIN KOHDISTUVISTA HYÖKKÄYKSISTÄ 1. Yleistä Komissio on 19 päivänä huhtikuuta 2002 tehnyt Euroopan unionista tehdyn sopimuksen 29 artiklan, 30 artiklan 1 kohdan a-alakohdan, 31 artiklan ja 34 artiklan 2 kohdan b-alakohdan nojalla ehdotuksen puitepäätöksen tekemiseksi tietojärjestelmiin kohdistuvista hyökkäyksistä. Tampereen Eurooppa-neuvoston päätelmissä vuodelta 1999 huipputekniikka otettiin luetteloon aloista, joiden osalta on pyrittävä sopimaan yhteisistä määritelmistä, syytteeseen asettamisesta ja seuraamuksista unionin jäsenvaltioiden kesken. Nyt tehty puitepäätösehdotus on osittain seurausta myös komission ja neuvoston laatimasta ja Feiran Eurooppa-neuvoston vuonna 2000 hyväksymästä eeurope - toimintasuunnitelmasta sekä Tukholman Eurooppa-neuvoston vuonna 2001 hyväksymästä päätöslauselmasta, joka koski yhteistä lähestymistapaa ja erityisiä toimia verkko- ja tietoturvallisuuden alalla. Puitepäätösehdotus on tarkoitettu täydentämään aikaisempaa yhteisölainsäädäntöä, johon kuuluvat direktiivit tietojärjestelmien suojaamisesta 95/46/EY ja 97/66/EY, direktiivi ehdolliseen pääsyyn perustuvien tai sen sisältävien palvelujen oikeussuojasta 98/84/EY sekä direktiivit 95/46/EY ja 97/66/EY, joissa on operaattoreita ja palveluntarjoajia koskevia säännöksiä. Lähentämällä huipputekniikkaan liittyvään rikollisuuteen sovellettavia aineellisen oikeuden säännöksiä voidaan varmistaa, että kansalliset säännökset ovat riittävän kattavat, jotta erilaiset tietojärjestelmiin kohdistuvat vakavat hyökkäykset voidaan tutkia rikoslain mukaisilla tekniikoilla ja menetelmillä. Lakeja lähentämällä voidaan tehostaa poliisin ja tuomioistuimien tehokasta yhteistyötä tietojärjestelmiin kohdistuvien hyökkäysten ehkäisemisessä varmistamalla että kaksoisrangaistavuuden vaatimus täyttyy. Euroopan neuvosto on hyväksynyt ja avannut allekirjoituksille marraskuussa 2001 tietoverkkorikollisuutta koskevan yleissopimuksen (ETS nro 185). Tähän mennessä sopimuksen on allekirjoittanut 33 valtiota, Suomi mukaan luettuna. Puitepäätösehdotus noudattaa Euroopan neuvoston yleissopimuksessa omaksuttua linjaa tietoverkkorikoksiin. Ehdotuksen käsittelyä on aloitettu 18.6.2002 aineellinen rikosoikeustyöryhmässä. Muistio perustuu komission ehdotukseen KOM(2002)173. 2. Pääasiallinen sisältö Puitepäätös on ehdotuksen 1 artiklan mukaan tarkoitettu lähentämään tietojärjestelmiin kohdistuviin vakaviin hyökkäyksiin sovellettavia rikosoikeuden säännöksiä erityisesti järjestäytyneen rikollisuuden ja terrorismin osalta sekä tehostamaan oikeudellista ja poliisiyhteistyötä tällaisin hyökkäyksiin liittyvien rikosten tutkinnassa. Rangaistavia olisivat tahalliset teot sekä rangaistavan teon tahallinen yritys, vaikka ei olisikaan todistettavissa, että tekijän vahingoittamistarkoitus kohdistui johonkin tiettyyn tietojärjestelmään. Vähäiset ja merkityksettömät teot sekä teot, joissa on kyse törkeästä huolimattomuudesta tai piittaamattomuudesta, eivät kuuluisi ehdotetun puitepäätöksen soveltamisalaan.
3 Artiklassa 2 määritellään sähköisen viestinnän verkko, tietokone, data sekä tietojärjestelmä, oikeushenkilö, oikeutettu henkilö ja ilmaisu oikeudettomasti. Rangaistavia tekoja ovat artiklassa 3 määritelty luvaton tunkeutuminen tietojärjestelmään sekä artiklassa 4 määritelty tietojärjestelmän häirintä. Ensin mainitun artiklan mukaan luvaton käyttö, po. luvaton tunkeutuminen tietojärjestelmään (Illegal Access to Information Systems) on säädettävä rangaistavaksi, jos teko kohdistuu erityisten suojatoimenpiteiden kohteena olevaan tietojärjestelmään tai sen osaan, tai sen tarkoituksena on aiheuttaa vahinkoa tai tuottaa taloudellista hyötyä. Rangaistavuuden edellytyksenä ei siten ehdottomasti olisi, että tunkeutuminen on tapahtunut murtamalla tekninen suojaus. Puitepäätösehdotuksen 4 artiklan mukaan tietojärjestelmän häirintänä on kriminalisoitava (a) tietojärjestelmän toiminnan vakava estäminen tai häiritseminen muun muassa vahingoittamalla, poistamalla tai muuttamalla dataa sekä (b) tietojärjestelmässä olevan datan poistaminen, huonontaminen, muuttaminen, tuhoaminen tai saattaminen käyttökelvottomiksi, jos teon tarkoituksena on aiheuttaa vahinkoa luonnolliselle henkilölle tai oikeushenkilölle. Kummankin kohdan mukaan teko kohdistuu sähköisessä muodossa oleviin tietoihin eron ollessa siinä, että (a) kohdassa rangaistavuudelle riittää, että tietojärjestelmän toiminta vakavasti estyy tai häiriintyy, kun taas (b) kohdassa rangaistavuus edellyttää vahingoittamistarkoitusta, mutta sitä vastoin ei sitä, että tietojärjestelmän toiminta estyy tai häiriintyy. Rangaistavuus edellyttää kummassakin tapauksessa, että teko on tahallinen ja se tehdään luvattomasti. Artikla 5 säätää rangaistavaksi yllytyksen, avunannon ja yrityksen artikloissa 3 ja 4 mainittuihin tekoihin. Seuraamukset sisältyvät artiklaan 6, jossa säädetään, että rangaistusten on oltava tehokkaita, oikeasuhteisia ja varoittavia. Kukin jäsenvaltio voisi päättää rikoksen vakavuuden arviointiperusteista samoin kuin sakkorangaistuksen vaihtoehtoisuudesta vankeusrangaistuksen oikeusperinteensä ja kanssa oman -järjestelmänsä mukaisesti. Vankeusrangaistus olisi vakavissa tapauksissa vähintään yksi vuosi vankeutta, mikä mahdollistaisi esimerkiksi eurooppalaisen pidätysmääräyksen soveltamisen. Rangaistuksen koventamisperusteista, oikeastaan rikoksen kvailifiointiperusteista, säädetään artiklassa 7. Artiklan ensimmäisen kappaleen mukaan enimmäisrangaistuksen on oltava vähintään neljä vuotta vankeutta, mikäli joku artiklassa mainituista edellytyksistä täyttyy. Artiklassa luetellut kvalifiointiperusteet eivät rajoita jäsenvaltioiden lainsäädännössä säädettyjen muiden kvalifiointiperusteiden soveltamista. Artiklan toisen kappaleen mukaan on varmistettava, tarkoitetuista että artiklassa 3 ja 4 teoista voidaan tuomita vapausrangaistuksia, jotka ovat 6 artiklassa edellytettyjä rangaistuksia ankarampia, kun rikoksentekijä on lainvoimaisesti tuomittu rangaistukseen sellaisesta rikoksesta jossakin jäsenvaltiossa. Artiklan 8 mukaisesti jäsenvaltion on varmistettava, että 6 ja 7 artiklan mukaisia rangaistuksia voidaan lieventää silloin, kun rikoksesta aiheutunut vahinko on oikeusviranomaisen näkemyksen mukaan vain vähäinen. Artikla 9 velvoittaa oikeushenkilön saattamista vastuuseen artikloissa 3 5 tarkoitetuista teoista ja artikla 10 määrittelee oikeushenkilöihin kohdistuvat seuraamukset, joihin voi sakkojen lisäksi kuulua tuen menettäminen, liiketoimintakielto, oikeudelliseen valvontaan asettaminen ja toiminnan lopettaminen tuomioistuimen määräyksellä. Jäsenvaltion on ulotettava lainkäyttövaltansa artiklan 11 mukaisesti niin alueperiaatteen kuin aktiivisen henkilöllisyysperiaatteen perusteellakin sekä tapauksiin, joissa rikos on tehty kyseisen jäsenvaltion oikeushenkilön alueelle hyväksi. sijoittautuneen Alueperiaatetta soveltaessaan jäsenvaltion tulee varmistaa, että lainkäyttövaltaan kuuluvat myös tapaukset joissa rikoksentekijä on fyysisesti jäsenvaltion alueella, vaikka rikos ei
4 kohdistuisikaan kyseisen jäsenvaltion alueella sijaitsevaan tietojärjestelmään, sekä tapaukset, joissa rikos on kohdistunut kyseisen jäsenvaltion alueella sijaitsevaan tietojärjestelmään riippumatta rikoksentekijän fyysisestä sijaintipaikasta. Artikla 12 säätää, että jäsenvaltioihin muodostetaan ympärivuorokautisesti toimiva yhteyspiste tietojenvaihdon varmistamiseksi. Puitepäätös on pantava täytäntöön 31 päivään joulukuuta 2003 mennessä. Komissio raportoi täytäntöönpanotoimista Euroopan parlamentille ja neuvostolle 31 päivään joulukuuta 2004 mennessä. 3. Vaikutus Suomen lainsäädäntöön Rikoslain 38 luvun 8 :ssa säädetään tietomurrosta siten, että se joka käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muuten murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa sähköisesti tai muulla vastaavalla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja, taikka sellaisen järjestelmän erikseen suojattuun osaan, on tuomittava tietomurrosta sakkoon tai vankeuteen enintään yhdeksi vuodeksi. Tietomurron yritys on myös säädetty rangaistavaksi. Tämä säännös sellaisenaan kattaisi puitepäätösehdotuksen 3 artiklan tarkoittamista teoista kohdan (i), mutta ilmeisesti ei alakohtia (ii) ja (iii). Rikoslain 35 luvun 1 :n 2 momentissa on säädetty rangaistus sille, joka toista vahingoittaakseen oikeudettomasti hävittää, turmelee, kätkee tai salaa tietovälineelle tallennetun tiedon tai muun tallennuksen. Säännöksen voidaan katsoa täyttävän puitepäätösehdotuksen 4 artiklan (b) kohdan kriminalisointivelvoitetta. Sitä vastoin Suomen lainsäädännöstä puuttuu säännös, jossa säädettäisiin rangaistus artiklan (a) kohdassa tarkoitetusta menettelystä. Tosin joissakin tapauksissa kohdassa tarkoitettu menettely voi tulla rangaistavaksi vahingontekona. Rikoslain 38 luvun 5 :ssä rangaistavaksi säädetty tietoliikenteen häirintä on sekä suojeluobjektien että tekotapojen osalta liian suppea, jotta se täyttäisi (a) kohdan kriminalisointivelvoitteen. Rikoslain 34 luvun 9 a :ssä kriminalisoitu vaaran aiheuttaminen tietojenkäsittelylle koskee vain tietokonevirusten valmistamista ja levittämistä, mutta sen perusteella tekijää ei voida tuomita rangaistukseen tai korvauksiin viruksen jollekin tietojärjestelmälle aiheuttamasta vahingosta. Suomi on marraskuun 23 päivänä 2001 allekirjoittanut Euroopan neuvoston tietoverkkorikollisuutta koskevan sopimuksen, jonka 5 artiklassa velvoitetaan säätämään rangaistavaksi tietoverkkojärjestelmän häirintä. Artikla vastaa pääpiiteissään puitepäätöksen 4 artiklan (b) kohtaa. Puitepäätösehdotuksen 6 artiklan mukaan artikloissa 3, 4 ja 5 tarkoitetuista teoista on säädettävä tehokkaita, oikeasuhteisia ja varoittavia seuraamuksia, vakavissa tapauksissa vankeusrangaistus, jonka vähimmäiskesto on vähintään vuosi vankeutta. Jos rikos on tehty rikollisjärjestön puitteissa tai jos rikos on aiheuttanut huomattavaa taloudellista tai ruumiillista vahinkoa taikka jos rikos on tuottanut huomattavaa taloudellista hyötyä, siitä on säädettävä vapausrangaistus, jonka enimmäiskesto artikla 7 mukaan on vähintään neljä vuotta. Törkeästä vahingonteosta voidaan tuomita vankeutta enintään neljä vuotta, mutta kvalifiointiperusteet eivät kaikilta osin vastaa 7 artiklan määräyksiä. Rikoksen uusimista ei Suomen rikoslaissa käytetä teon kvalifiointiperusteena, vaan uusiminen on yleinen rangaistuksen koventamisperuste, josta säädetään rikoslain 6 luvun 2 :ssä. Puitepäätösehdotuksen artiklassa 5 määritelty yllytyksen, avunannon ja yrityksen kriminalisointi menee Suomen rikoslakia pidemmälle siinä, että se edellyttää kaikkien 3 ja 4 artiklassa lueteltujen rikosten yritysten säätämistä rangaistavaksi. Useiden ehdotuksessa määriteltyjen tekojen osalta yritys ei ole nykyisen lainsäädäntömme mukaan rangaistavaa, esimerkiksi vahingonteon yritystä ei ole säädetty rangaistavaksi. Oikeushenkilön rangaistusvastuu on rikoslaissa rajattu melko suppeaan määrään rikoksia. Puitepäätösehdotuksen 9 artiklan
5 mukaan oikeushenkilön tulisi olla vastuussa sellaisistakin teoista, joissa perinteisesti vain luonnollinen henkilö on voinut olla tekijänä. Vahingonteosta ei ole säädetty rangaistukseksi yhteisösakkoa. Puitepäätösehdotuksen artiklassa 10 on lueteltu oikeushenkilöihin kohdistuvia vaihtoehtoisia seuraamuksia, joista osa on Suomen oikeusjärjestelmälle vieraita. Niiden ottaminen kansalliseen lakiin on kuitenkin harkinnanvaraista. Rikoslain soveltamisalasta säädetään rikoslain 1 luvussa. Suomen rikoslakia sovelletaan silloin, kun teko on tehty Suomessa tai suomalaisessa aluksessa, teko kohdistuu Suomeen tai suomalaiseen henkilöön tai tekijänä on ollut Suomen kansalainen. Myös kansainväliseen rikokseen sovelletaan Suomen lakia, mikäli kansainvälinen sopimus tai kansainvälisesti velvoittava säädös tähän velvoittaa. Puitepäätösehdotuksessa lainkäyttövallan määräytyminen on artiklassa 11 ehdotettu tapahtuvaksi joko alueperiaatteen, aktiivisen henkilöllisyysperiaatteen tai sen perusteella, että rikos on tehty kyseisen jäsenvaltion alueelle sijoittautuneen oikeushenkilön hyväksi. Mikäli ekstraterritoriaalisuus ei sisälly jäsenvaltion oikeusperinteeseen, mahdollistaa puitepäätösehdotus sen soveltamatta jättämisen, jolloin lainkäyttövalta määräytyisi ainoastaan alueperiaatteen mukaisesti. Alueperiaatetta soveltaessaan jäsenvaltion on varmistettava, että teon kohteen sijainnista riippumatta jäsenvaltion alueella toiminut tekijä kuuluu lainkäyttövaltaan samoin kuin että jäsenvaltiossa sijaitsevaan tietoverkkoon kohdistuvat rikokset ovat rangaistavia tekijän fyysisestä sijaintipaikasta riippumatta. Rikoslain 1 luvun 10 :n mukaan rikos katsotaan tehdyksi sekä siellä, missä rikollinen teko suoritettiin, että siellä, missä rikoksen tunnusmerkistön mukainen seuraus ilmeni. Ehdotuksen jäsenvaltiot artiklassa 12 velvoitetaan perustamaan tietosuojasäännösten mukainen ympärivuorokautisesti toimiva yhteyspiste tietojenvaihtoa varten. Suomessa tällaista ympärivuorokautista yhteyspistettä ollaan parhaillaan perustamassa valtioneuvoston rahoittaman CERT- toiminnan puitteissa keskusrikospoliisin SIS- yhteyspisteen yhteyteen. 4. Valtioneuvoston kanta Valtioneuvoston suhtautuu myönteisesti siihen, että EU tehostaa tietojärjestelmiin kohdistuvien hyökkäyksien vastaista toimintaansa. Suomen lainsäädäntö ei kaikilta osin vastaa puitepäätösehdotusta, mutta ehdotuksen edellyttämiä muutoksia ei yleisesti ottaen voida pitää Suomen rikosoikeuden kannalta periaatteessa ongelmallisina. Suomen rikoslainsäädännön perusratkaisujen kannalta olisi kuitenkin ongelmallista käyttää rikoksen uusimista sellaisenaan teon kvalifiointiperusteena. Suomen rikoslain systematiikkaan sopisi huonosti ehdotuksen edellyttämä tapa kirjoittaa lakiin yleissäännöksille osin päällekkäisiä, yksittäisiä rikostyyppejä koskevia rangaistuksen mittaamisessa noudatettavia lieventämisperusteita.