Ilmankos virallinen Suomi on ollut hiirenhiljaa Ruotsin sallittua kaikenkattavan salakuuntelun (ns. FRA-laki). En ihmettelisi, vaikka Suomi olisi salaa mukana hankkeessa, joka mahdollistaa käytännössä kaiken Suomesta ulkomaille suuntautuvan viestiliikenteen seurannan.

Ei silläkään väliä, että moinen salakuuntelu olisi (vielä) Suomessa laitonta, eikä se myöskään periaatteessa ole kansainvälisten sopimusten mukaista.

Koska kyseisessä salakuuntelussa ei mennä muutenkaan ihan pykälien mukaan, voidaan hyvin olettaa, että Suomi voi hyödyntää Ruotsin tarjoamaa mahdollisuutta kaikenlaisen ei-toivotun toiminnan suitsimiseen. Varokaa, piraatit! Varokaa, eläinoikeusliike! Varokaa, ympäristöliike! Varokaa, "maahanmuuttokriitikot" ja muut kravattirasistit! Älkää yrittäkökään muuttaa tätä yhteiskuntaa, se on teille vaarallista!

* * *

Yleensä elinkeinoelämän edellytyksiä loppuun asti puolustavat ja turvallisuuslähtöistä yhteiskuntamallia ajavat ovat enimmäkseen samoja ihmisiä. Eikö heitä yhtään haittaa edes se, että yritystoiminnan(kin) tietosuojaa murretaan tässä samalla?

Suuret IT-yritykset eivät enää halua investoida ja rakentaa datakeskuksiaan Ruotsiin kuten ennen, koska asiakkaiden yksityisyyden suoja on niille tärkeä arvo liiketoiminnassa.

Lupasin aiemmin palata pakkokeinolakiuudistusta pohtineen työryhmän komiteamietintöön. Olen vasta ehtinyt silmäillä tuhatsivuista nivaskaa, mutta huomio kyllä kiinnittyi jo pari päivää sitten muutamaan kohtaan erityisesti.

Lakiehdotuspaketti sisältää viljalti uusia pakkokeinoja ja salaisia pakkokeinoja entisten lisäksi. Tässä muutamia.

Laite-etsintä (esityksessä (PDF 3,75 MB) pakkokeinolain 8 luvun 19–21 §) antaa oikeuden tutkia tietokoneen, älypuhelimen tai vastaavan laitteen. Laite-etsintä voidaan tehdä myös etänä (PKL 8:26–28). Tietojärjestelmän haltija voidaan velvoittaa antamaan tarvittavat salasanat (22 §). Lisäksi voidaan antaa datan säilyttämismääräys (23–25 §).

Huomattakoon, että laite-etsintää ei voi tehdä salaa, vaan laitteen haltijan pitää olla läsnä/tietoinen. Ja vaikka pakkokeino on nimellisesti uusi, käytännössä sitä on nykyisinkin tehty esim. kotietsinnän verukkeella.

Tekninen laitetarkkailu (PKL 10:22 § ja PolL 5:22) lisättynä 24 §:llä antaa ymmärtääkseni poliisille oikeuden esimerkiksi murtautua epäillyn tietokoneeseen:

Esitutkintavirkamiehellä on tällöin oikeus laitteen, menetelmän tai ohjelmiston asentamiseksi, käyttöönottamiseksi ja poistamiseksi salaa mennä edellä mainittuihin kohteisiin tai tietojärjestelmään sekä kiertää, purkaa tai muulla vastaavalla tavalla tilapäisesti ohittaa kohteiden tai tietojärjestelmän suojaus tai haitata sitä.

Tähän tarvitaan tuomioistuimen lupa, mutta "kiireellisissä" tapauksissa sen voi hankkia jälkikäteen.

Teknistä laitetarkkailua ei periaatteessa voi käyttää viestien sisällön selvittämiseen, mutten näe, miten sitä voisi tietyissä tapauksissa estääkään (vrt. esim. fraasi "the medium is the message"). Ainakaan siitä ei ole selkeästi säädetty.

* * *

Kuten Vaiheinen osuvasti toteaa, kyseessä on myös tietoyhteiskuntalaki(paketti), jonka säätämistä ei saa jättää yksin poliisiviranomaisten harteille. Tarvitaan laajempaa keskustelua.

Koska tekniikkaa on enenevässä määrin kaikkialla, ja koska poliisin pitää saada käyttää kaikkea käytettävissä olevaa tekniikkaa, poliisi on kaikkialla. Vääjäämätön turvallisuushakuisen yhteiskunnallisen ilmapiirin seuraus. Panoptikon.

Tässä yhteydessä muistutan, että 1.6.2009 tulee voimaan laki, joka velvoittaa teleoperaattorit tallentamaan kaikkien viestintätiedot varmuuden vuoksi siltä varalta, että joku joskus syyllistyisi rikokseen. Olet siis (potentiaalinen) rikollinen kunnes toisin ehkä todistetaan.

* * *

Lakiteknisinä huomioina todettakoon, että lakipaketissa on aivan tolkuton määrä ristiinviittauksia, ja sen lukeminen on hyvin työlästä. Kuvittelin, että juuri tällainen ehkäistään kokonaisvaltaisella uudistustyöllä, mutta ei. Poliisilain ja pakkokeinolain suhde on epämääräinen (ks. esim. mainittu tekninen laitetarkkailu).

Tuija Turpeisen ja Markku Fredmanin eriävä mielipide sisältää hyvin mielenkiintoisia pointteja mm. ihmisoikeusnäkökulmasta. Perusteltua kritiikkiä saavat muun muassa asianosaisjulkisuuden riittämätön käsittely, poliisin ja syyttäjän vaitiolo-oikeus (tutkintakeinoista oikeudenkäynnissä) ja poliisin rikoksenteko-oikeus peitetoiminnassa. Kannattaa lukea.

Lisäksi, työryhmän mielestä lakipakettia ei edes tarvitse säätää perustuslain säätämisjärjestyksessä, vaikka sillä rajoitetaankin perusoikeuksia. Perustuslakivaliokunnan toivoisi olevan eri mieltä.

Kuten aiemmin mm. tässä blogissa on ennakoitu, poliisille ollaan kaatamassa lisää valtuuksia isolla kauhalla: esitutkinta-, pakkokeino- ja poliisilakien uudistusta pohtinut työryhmä sai työnsä valmiiksi, ja lopputulos vaikuttaisi tarkempaa analyysiä odotellessa odotetunlaiselta.

Suurin osa lisäyksistä näyttäisi johtuvan tekniikan kehittymisestä, mutta ei voi välttyä vaikutelmalta, että valvontaverkko ihmisten ympärillä kiristyy (huomatkaa, kuinka kovasti yritän välttää sanomasta, että poliisivaltiokehitys taas etenee). Tämähän on tavallaan väistämätöntä, jos poliisin pitää voida käyttää kaikkea käytettävissä olevaa tekniikkaa, koska se tekniikka on yhä läpitunkevammin läsnä kaikkialla. Tästä tarvittaisiin laajempaa keskustelua.

Kuten lex Nokiasta kohuttaessa kävi ilmi, ei tosiaan ole mikään periaatteellinen ongelma antaa yrityksille poliisiakin suurempia valtuuksia loukata ihmisten yksityisyyttä, sillä kyllähän niitä poliisinkin valtuuksia voi helposti kasvattaa.

Lähdesuojan purkamisessa esitys jatkaa niinikään lex Nokian viitoittamalla tiellä. Tämä voi olla erittäin ongelmallista lehdistön- ja sananvapauden näkökulmasta (esim. whistleblower-ilmiö).

Tarkempia huomioita ehkä myöhemmin, tai ehkä ei. Raportti sisältää tasan tuhat sivua.

Sähköisen viestinnän tietosuojalain uudistusesitys, "lex Nokia", sallii yritysten tutkia työntekijöidensä sähköpostiliikenteen tunnistetietoja yrityssalaisuusvuotoepäilyissä. Tämän edellytyksenä on kuitenkin, että yrityksen tietoturva on muuten kunnossa ja sallituista ja kielletyistä toimintatavoista on annettu kirjalliset ohjeet.

Ruotsissa Försvarets radioanstalt (FRA) sai luvan salakuunnella kaikkea Ruotsin läpi kulkevaa liikennettä. Homma pannaan toimeen 1.10.2009. Käytännössä kaikki Suomen ulkomaanliikenne kulkee Ruotsin läpi. Kyllä, sinunkin Gmail-postisi, Facebook-surffailusi ja Suomi24-selailusi.

Mitä tahansa ei voi väittää yrityssalaisuudeksi. Yrityssalaisuus voi olla vain sellainen tieto, jota yritys on tosissaan yrittänyt suojata. IT-juristipiireissä kuulemma on spekuloitu muun muassa sillä, että jos yrityksen liikenne kulkee Ruotsin läpi esimerkiksi salaamattomassa sähköpostissa, on ihan turha väittää, että kyseessä oli liikesalaisuus.

Jos siis yritys ei suojaa tietojaan Ruotsilta, se ei ole huolehtinut riittävällä tavalla tietoturvastaan eikä lex Nokia ole siten sovellettavissa.

On tietysti pantava merkille, että epäilemättä useat maat harjoittavat ihan samaa toimintaa kuin Ruotsi. Mutta vain Ruotsi on tarpeeksi avoin yhteiskunta kertoakseen siitä. Silläkin uhalla, että isot IT-firmat muuttavat muualle – vaikka Suomeen.

Suomen perustuslaki, 29 § (Effin lainaamana):

Kansanedustaja on velvollinen toimessaan noudattamaan oikeutta ja totuutta. Hän on siinä velvollinen noudattamaan perustuslakia, eivätkä häntä sido muut määräykset.

Ylen uutinen:

Hallituspuolueiden eduskuntaryhmien puheenjohtajat totesivat, että pelisäännöt koskevat kaikkia hallitusrintaman eduskuntaryhmiä. Ns. pelisäännöillä tarkoitetaan tässä yhteydessä, että hallituspuolueiden kansanedustajat tukevat eduskunnassa hallituksen lakiesityksiä.

Ristiriita perustuslain kuvaaman periaatteen ja käytännön toiminnan välillä on ilmeinen kaikille muille paitsi poliittisessa järjestelmässä liian syvällä oleville.

Tavallisen kansalaisen on joskus vaikea ymmärtää tässä ja monessa muussa asiassa sitä, että perustuslain kirjaimella ei sellaisenaan tee yhtään mitään. Aina löytyy joku tarkempi säädös, ohje tai käytäntö, joka itse asiassa johtaa päinvastaiseen lopputulokseen.

Muoks: Tämä kommentti siitä riippumatta, että itse asioiden kannalta on hyvä, että näin menetellään: Kun vihreät eivät voisi järkevälläkään äänestyskäytöksellä (=hallitusrintamasta lipeämällä) kuitenkaan muuttaa lopputulosta, on parempi, että tehdään kompromissi, jotta esimerkiksi Vuotoksesta ei tarvitse alkaa tapella. Se kun on keskustan pakkomielle.

Ei ihme, ettei EK piittaa yksityisyyden suojasta. Eihän heidän lakiasiainjohtajansa edes ymmärrä kirjesalaisuutta!

En nyt toista sitä, mitä sanoin aiemmin Vanhasen vastaavasta möläytyksestä.

Tästä minun on pitkään pitänyt kirjoittaa, mutta Vaiheinen ehti ensin.

Nyt kun kohistaan lex Nokiasta – eikä syyttä – voi vain toivoa, että ihmisten ja julkisen sanan kiinnostus yksityisyyden suojaan säilyy. Yksi argumentti lex Nokiaa vastaan on ollut, että lainmuutoksella annetaan eräiltä osin yrityksille ja muille yhteisötilaajille poliisiakin suurempia valtuuksia.

Tämähän ei ole poliisin näkökulmasta ongelma, sillä ilmeisesti valtuuksia ollaan kasvattamassa. Poliisiylijohtaja Paateron letkautus vihjaa siihen suuntaan:

Tämä lakiesitys tyydyttää meitä etenkin kun poliisin valtuudet selvitetään erikseen pakkokeinotyöryhmässä maaliskuun loppuun mennessä.

Paatero viittaa ns. Raution työryhmään, jossa on tarkoitus selkiyttää lakisoppaa, jolla säädellään poliisin valtuuksia. Nykyisin asiaan liittyvät pykälät on hajautettu ainakin poliisilakiin, esitutkintalakiin ja pakkokeinolakiin. Näistä pitäisi saada sitten tolkku. Tavoite on hyvä, mutta.

Poliisin valtuuksia on kasvatettu viimeiset vuodet ja vuosikymmenet melko systemaattisesti. Miksi tämä kokonaisvaltainen lakimuutos olisi poikkeus?

Työryhmän kokoonpanoa em. sivulta tarkastellessa ei voi välttyä ajatukselta, että ns. perusoikeusmyönteinen näkökulma on aika ohuelti edustettuna.

Tässä uudistuksessa on siis pysyttävä hereillä, sillä se voi potentiaalisesti jättää lexnokiat kauas taakseen yksityisyyden suojan purkamisessa.

Keskusrikospoliisissa nykyistä sähköisen viestinnän tietosuojalakia muuten nimitetään kuulemma "rikollisen viestinnän tietosuojalaiksi". Se kertoo aika paljon poliisin arvoista ja asenteista perusoikeuksia kohtaan.

Lex Nokia -lisänimen saanutta yleistä urkintalakia vastaan on järjesteillä toimintaa:

• mielenosoitus eduskuntatalolla 5.2. klo 14.30
• keräys lex Nokian vastaisen tv-mainoksen rahoittamiseksi.

Molempiin on helppo osallistua.

Olen ennenkin ihmetellyt Yhdysvaltain oikeusjärjestelmää, enkä siitä juuri mitään ymmärrä. Nytkin joku yksittäinen tuomari oli vaatinut Googlea luovuttamaan YouTuben käyttäjätiedot, noin 12 teratavua, Viacomille, jotta Viacom voisi osoittaa, että palvelusta katsotaan enemmän tekijänoikeuksin suojattua matskua kuin amatöörivideoita. (Ja en tosiaan osaa sanoa, onko päätös lainvoimainen vai ei.)

Mitähän muuta tästä tiedosta saadaan irti? Mukana on myös suomalaisten käyttäjädataa, mitä tietosuojavaltuutettu arvelee?

Merkillepantavaa on, että Viacom yritti saada myös Googlen paljastamaan hakualgoritminsa, mutta tätä se ei saanut, koska kyse on liikesalaisuudesta. Niinpä niin. Mutta (satojen?) miljoonien käyttäjien datat kyllä jouti mennä.

Dagens Nyheter julkaisi jo artikkelin otsikolla "Så undviker du FRA", jossa otsikon mukaisesti listataan keinoja, joilla ihmiset voivat välttyä tulemasta vakoilluksi.

Kukaan ei varmaan ole välttynyt kuulemasta mistä on kyse, mutta siltä varalta: Ruotsin sotilastiedustelu FRA (Försvarets radioanstalt) sai eilen äänin 143–138 oikeuden laillisesti salakuunnella kaikkea Ruotsin läpi kulkevaa tietoliikennettä. Hanke nostatti vastalausemyrskyn netissä ja sittemmin myös perinteisessä mediassa, mutta meni siitä huolimatta läpi. Sen kanssa on nyt elettävä.

Miten tämä koskee suomalaisia? Paitsi tietysti siten, että Ruotsista on ollut tapana apinoida niin hyvät kuin huonot ideat, myös melkein kaikki merkittävät internetkaapelit Suomesta ulkomaille kulkevat Ruotsin kautta. Zachella on hyvä havainnollistus aiheesta. Eli kun lähetät sähköpostin vaikka kaverillesi Gmailiin, Ruotsin valtio saattaa lukea sen. Laillisesti.

Jos tällaista tapahtuu jo Ruotsissa, mitä pitäisi ajatella siitä, että eräät oppilaitokset suunnittelevat siirtävänsä posti- ja kalenteritoimintojaan Microsoftin ja Googlen hellään huomaan Yhdysvaltoihin? (Yhtiöt tarjoavat "palveluaan" niin houkuttelevaan hintaan eli ilmaiseksi, että markkinahenkisimmät IT-johtajat eivät voi vastustaa.)

Käytännössä siis paitsi ihan tavallisten ihmisten, myös yritysten, yliopistojen ja muiden valtiollisten tahojen on viimeistään nyt syytä miettiä läpi, kuinka saavat viestintänsä suojattua. DN:n jutussa on varteenotettavia ehdotuksia. Pikaviestintään voi käyttää kryptattuja (ja hajautettuja) ratkaisuja (Jabber, Skype), sähköpostit on salattava (PGP, S/MIME), webiliikenteen voi kuljettaa TOR-palvelun tai muun anonymisoivan välityspalvelun läpi. Erityisesti sähköpostin osalta kannattaa miettiä asiaa.

Jos mahdollista, kaiken internet-liikenteen voi putkittaa sopivan VPN-putken läpi. Esimerkiksi etätyötä tekevillä tämä ratkaisu on usein mahdollinen konttorin ja kodin välillä. Sekään ei tietysti auta, jos liikenne suuntautuu joka tapauksessa Suomessa olevan putken toisen pään jälkeen ulkomaille.

Puhelin-/tekstiviestiliikenne on tietysti vähän vaikea tavallisen pulliaisen suojata.

Oma PGP-avaimeni (id 8CCE3200) löytyy avainpalvelimilta ja kotisivultani. Sitä sopii käyttää, vaikkei olisi salaisuuksista kyse. Kysymykseen "miksi" vastaus on, että jos vain hyvin salaiset asiat ovat kryptattuja, salakirjoituksesta tulee liian helppo ilmaisin sille, että tässä nyt menee jotain salaista.