7.1
Laki sähköisen viestinnän palveluista
250 § Viranomaisliittymät. Pykälän 4 momenttiin ehdotetaan tehtäväksi lainsäädäntötekninen muutos siten, että säännös siirrettäisiin 316 §:n 5 momentin yhteyteen ja voimassa oleva 250 §:n 4 momentti kumottaisiin. Voimassa olevassa 4 momentissa säädetään, ettei viranomaistehtävien hoidossa harjoitettuun viestintään viranomaisverkossa tai viranomaisviestintään liittyvässä viestintäpalvelussa sovelleta, mitä 316 §:ssä säädetään. Säännös siirrettäisiin 316 §:ään sen vuoksi, että kyseessä on 316 §:n soveltamisrajoitus, joka olisi soveltajan kannalta helpommin löydettävissä kyseisen pykälän yhteydestä kuin hajautettuna muualle lainsäädäntöön. Muutos olisi siten säädöstekninen eikä sillä tarkoitettaisi muutettavaksi voimassa olevaa oikeustilaa 316 §:n soveltamisalarajaukseen viranomaistehtävien osalta.
309 § Virka-apu. Pykälän 1 momenttia ehdotetaan muutettavaksi Puolustusvoimien, poliisin ja suojelupoliisin Liikenne- ja viestintävirastolle antaman virka-avun osalta. Momentin muu virka-apusääntely ei muuttuisi. Kyseessä olisi erityissäännös suhteessa poliisilaissa (872/2011) ja Puolustusvoimista annetussa laissa (551/2007) näiden viranomaisten virka-avusta säädettyyn. Päätöksentekoon virka-avun antamisesta ja pyytämisestä päättämiseksi sovellettaisiin, mitä päätöksenteosta on muualla lainsäädännössä säädetty. Momenttiin lisättäisiin Liikenne- ja viestintävirastolle oikeus saada Puolustusvoimilta, poliisilta ja suojelupoliisilta virka-apua merkittävien tietoturvaloukkausten tai -uhkien selvittämiseksi sekä niistä aiheutuvien vaikutusten poistamiseksi. Puolustusvoimista annetun lain 11 §:n mukaan Puolustusvoimat voi antaa virka-apua yhteiskunnan turvaamiseksi siten kuin öljyvahinkojen torjuntalaissa (1673/2009) tai muussa laissa säädetään. Poliisilain 9 luvun 1 §:n nojalla poliisin on annettava pyynnöstä virka-apua muulle viranomaiselle, jos niin erikseen säädetään. Virka-apu voisi olla luonteeltaan asiantuntija-apua, välineistöä, tiloja tai laitteita.
Virka-avun tarve ja pyytäminen liittyisi tilanteisiin, joissa olisi kyse merkittävän tietoturvaloukkauksen tai sen vakavan uhkan selvittämisestä sekä siitä aiheutuvien vaikutusten poistamisesta. Virka-avun pyytäminen voisi tulla kyseeseen tilanteessa, jossa Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksella ei olisi riittävästi teknisiä tai asiantuntemukseen liittyviä voimavaroja tietoturvaloukkauksen selvittämiseen ja vaikutusten poistamiseen, ja Puolustusvoimilla, poliisilla tai suojelupoliisilla olisi käytössä tähän puutteeseen vastaavia voimavaroja ja kyvykkyyttä, joiden avulla Liikenne- ja viestintäviraston Kyberturvallisuuskeskus kykenisi tehtävästään suoriutumaan. Virka-apupyynnön tulisi liittyä kyseien viranomaisen tehtäväpiiriin. Loukkaukset voisivat olla mitä tahansa tilanteita, joissa kyse on merkittävästä tietoturvaloukkauksesta tai -uhkasta, mutta virka-apua annettaisiin viranomaisten omien toimivaltuuksien rajoissa. Esimerkiksi hyökkäyksen kohdeorganisaation asiakkaiden, yhteistyökumppanien tai muiden osallisten tai muutoin vaikutusten alaisten tahojen oikeuksien turvaaminen voi ylittää vastuutahon tosiasiallisen kyvykkyyden ja siten edellyttää laajojakin viranomaisten koordinoimia lisätoimia.
Virka-avun tarkoituksena olisi tukea Kyberturvallisuuskeskuksen suorituskykyä poikkeuksellisissa tilanteissa, minkä vuoksi virka-apu tarkoittaisi asiantuntija-apua esimerkiksi henkilöstön osalta taikka laitteiden, välineiden tai tilojen luovuttamista.
Tietoturvaloukkauksella tarkoitetaan mitä tahansa toimintaa, jolla on haitallisia vaikutuksia tietoturvallisuudelle. Sähköisen viestinnän palveluista annetun lain 3 §:n 28 kohdan nojalla tietoturvalla tarkoitetaan hallinnollisia ja teknisiä toimia, joilla varmistetaan se, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla, että tietoja eivät voi muuttaa muut kuin siihen oikeutetut sekä että tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä. Tietoturvaloukkauksena pidettään tekoa tai tapahtumaa, jonka seurauksena tietojen, televiestinnän tai tietojärjestelmien tietoturvan elementit tai jokin niistä vaarantuisivat. Tietoturvaloukkaus voisi aiheuttaa esimerkiksi tietojärjestelmän tai siitä riippuvien laitteiden tai palveluiden toimimattomuutta tai oikeudetonta pääsyä tietojärjestelmän tietoihin taikka tietojärjestelmässä olevien tietojen luottamuksellisuuden vaarantumisen muulla tavoin. Tietoturvaloukkauksen haitalliset vaikutukset voisivat kohdistua esimerkiksi tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen tai tietojärjestelmän avulla tarjotun tai sen välityksellä käytetyn palvelun toimintaan. Tietoturvaloukkauksena olisi ainakin pidettävä sellaista rikoksena syyksi luettavaa tekoa, jonka tunnusmerkistötekijöihin liittyisi oikeudetonta tunkeutumista tietojärjestelmään tai siellä olevien tietojen muuttamista, kopiointia, poistamista tai muuta oikeudetonta käsittelyä. Rikoslaissa säädetään rangaistavaksi viestintäsalaisuuden loukkaukset, tietoliikenteen häirintä, tietojärjestelmän häirintä ja tietomurto.
Merkittävällä tietoturvaloukkauksella tarkoitetaan vastaavaa tietoturvaloukkausta, jota sovelletaan esimerkiksi NIS-direktiivin ilmoitusvelvollisuuden kynnysarvona. Virka-apu ei koskisi tilanteita, joissa tietoturvaloukkaus aiheuttaa vain vähäisiä haittaa ja lievää vahinkoa tietoturvalle. Virka-apua edellyttävässä merkittävässä tietoturvaloukkauksessa tai –uhkassa on huomioitava myös niiden mahdolliset vaikutukset. Merkittävän tietoturvaloukkauksen tulisi ennalta arvioiden katsoa voivan aiheuttaa yhteiskunnalle huomattavaa haittaa ja vahinkoa. Merkittävyyttä arvioitaessa tulisi NIS-direktiivissäkin tarkoitetulla tavalla kiinnittää huomiota vaikutusten laajuuteen ja kestoon, maantieteelliseen levinneisyyteen sekä viestintäpalvelujen käytettävyyteen, eheyteen tai viestinnän luottamuksellisuuteen.
Virka-apua voitaisiin antaa myös tilanteessa, jossa on kyse merkittävän tietoturvaloukkauksen vakavasta uhkasta. Uhkalla tarkoitettaisiin tilannetta, joka syntyisi ilman ihmisen välitöntä tahallista aiheuttamista, ja jonka hyödyntäminen haitallisessa tarkoituksessa aiheuttaisi tietoturvaloukkauksen. Tällainen vakava uhka voisi olla esimerkiksi vakava haavoittuvuus laajasti käytössä olevassa ohjelmistossa tai järjestelmässä, jonka hyväksi käyttäminen rikollisissa tarkoitusperissä aiheuttaisi vakavia haitallisia vaikutuksia tietoturvalle. Uhkan vakavuutta arvioitaessa huomiota olisi kiinnitettävä haavoittuvuuden tai muun tietoturvauhkan laatuun, hyödynnettävyyteen haitallisessa tarkoituksessa, haitallisten vaikutuksien aiheutumisen todennäköisyyteen ja hyödyntämisestä aiheutuvien haitallisten vaikutuksien vakavuuteen. Jotta kysymys olisi merkittävän tietoturvaloukkauksen vakavasta uhkasta, uhkan toteutumisen vaikutuksien tulisi olla vakavuudeltaan merkittävää tietoturvaloukkausta vastaavia ja uhkan haitallisen hyödyntämisen tai haitallisten vaikutusten aiheutumisen todennäköisyyden muutoin suuri. Kyseeseen ei siten voisi esimerkiksi tulla sinällään merkittäväkään haavoittuvuus, jos riski sen hyväksikäytölle on pieni tai lähinnä teoreettinen ja lisäksi haitalliset vaikutukset olisivat epätodennäköisiä tai vain vähäisin keinoin estettävissä. Käytännössä tämän arviointi etukäteen voi kuitenkin olla haasteellista. Lisäksi haitallisten vaikutusten ehkäiseminen edellyttäisi viranomaisilta laajamittaisia toimenpiteitä tai hyvin edistynyttä teknistä osaamista, minkä vuoksi virka-apu voisi joissakin hyvin rajatuissa tilanteissa olla perusteltua myös ennalta ehkäisevässä toiminnassa uhkatilanteessa esimerkiksi vakavan haavoittuvuuden tai vakavan akuutin merkittävän tietoturvaloukkauksen uhkan haitallisten vaikutuksien ehkäisemiseksi. Merkittävän tietoturvaloukkauksen vakavaa uhkaa tulisi siten tulkita suppeasti ja haavoittuvuuden hyväksikäytön todennäköisyyttä, vakavuutta ja hyväksikäytöstä aiheutuvien vaikutuksien haitallisuuden astetta painottaen.
Tietoturvaloukkauksen tai -uhkan selvittämisellä tarkoitettaisiin tapahtumien kulun sekä niiden teknisten tai muiden syiden selvittämistä, joista tietoturvaloukkaus tai sen uhka on aiheutunut. Tietoturvaloukkauksen tai sen uhkan vaikutusten poistamisella tarkoitettaisiin niitä teknisiä tai muita toimia, joilla poistetaan, lievennetään tai torjutaan selvitetyn loukkauksen tai sen uhan aiheuttama vaara tai muu vaikutus tietoturvallisuudelle tai muulle viestinnän luottamuksellisuudelle. Vaikutuksien poistamisella tarkoitetaan erityisesti toimia, joilla varmistetaan, ettei tietoturvaloukkauksesta tai sen uhkasta aiheudu haittaa tietoturvalle. Vaikutusten poistamisen osalta on kuitenkin huomioitava, että useassa tilanteessa vastuu vaikutusten poistamisesta on hyökkäyksen kohteeksi joutuneella toimijalla itsellään tai tämän palveluntarjoajalla. Viranomaiset voivat toiminnallaan tukea kohdeorganisaatioita vaikutusten poistamiseen liittyvissä toimenpiteissä, kuten selvittämällä hyökkäysten taustoja ja teknisiä seikkoja ja sitä kautta tukea eri toimijoita vaikutusten poistamisella. Tietoa voidaan tällaisessa tilanteessa käyttää siten vaikutusten poistamiseksi, vaikka viranomainen ei itse poista vaikutuksia.
Pykälän 2 momenttia ehdotettaisiin muutettavaksi siten, että Liikenne- ja viestintäviraston virka-avun antamisesta päättäisi jatkossa virasto itse liikenne- ja viestintäministeriön sijaan. Säännöksellä pyritään yhtenäistämään virka-apusääntelyä muiden virastojen vastaavien säännösten kanssa ja toisaalta tarkoituksenmukaista on, että virasto itse päättää toimivaltansa käyttämisestä. Virastolla itsellään on myös paras käsitys siitä, missä laajuudessa ja millaista virka-apua se voi antaa, minkä vuoksi on tarkoituksenmukaista, että virasto itse päättäisi virka-avun antamisesta. Kyse ei myöskään olisi esimerkiksi voimakeinojen käyttöä edellyttävästä virka-avusta, jolloin korkeamman tason päätöksentekoa ei ole tarpeen edellyttää tässäkään mielessä. Toisena muutoksena momentissa olisi, että virka-apu olisi luonteeltaan asiantuntija-apua, välineitä, tiloja tai laitteita vastaavalla tavalla, mitä poliisin, suojelupoliisin ja Puolustusvoimienkin osalta.
Nykyisestä 2 momentista ehdotetaan siirrettäväksi omaksi, uudeksi 3 momentikseen maininta virka-avusta aiheutuneista kustannuksista, jolloin kustannuksia koskeva maininta toimisi vastavuoroisena säännöksenä eri viranomaisten virka-avusta aiheutuvien kustannusten osalta, eikä koskisi pelkästään Liikenne- ja viestintäviraston antamaa virka-apua. Muutoin virka-avun kustannuksista vastaamiseen ei esitetä muutosta. Uuteen 3 momenttiin lisättäisiin myös maininta siitä, että virka-avun antamisen edellytyksenä olisi, että se ei vaarantaisi virka-apua antavalle viranomaiselle säädettyjen muiden tärkeiden tehtävien suorittamista. Kyseessä olisi nykyisen virka-apusääntelyn osalta tavanomainen täsmennys, joka vastaisi muihin virka-avun antamista koskeviin erityissäännöksiin viime aikoina otettuja edellytyksiä. Säännös vastaisi esimerkiksi tartuntatautilain virka-apua koskevaan 89 §:ään 22.2.2021 alkaen lisättyä edellytystä virka-avun antamiselle. Tartuntatautilain 89 §:n muutoksen käsittelyn yhteydessä sosiaali- ja terveysvaliokunta sekä hallintovaliokunta edellyttivät virka-apusäännöksien edellytyksiltä riittävää täsmällisyyttä (StVM 1/2021 vp ja HaVL 29/2020 vp). Lisäys täsmentäisi voimassa olevaa oikeustilaa tältä osin.
Voimassa olevan lain 3 momentti siirrettäisiin uudeksi 4 momentiksi. Momentin sisältö on tarkoitus säilyttää pääasiassa sellaisenaan. Momentissa viitattaisiin kuitenkin jatkossa sekä 1 että 2 momentissa tarkoitettuun virka-apuun eli tilanteisiin, joissa Liikenne- ja viestintävirasto antaa virka-apua tai toisaalta saa virka-apua toisilta viranomaisilta. Sen mukaan 1 ja 2 momentissa tarkoitettu virka-avun antaminen ei oikeuta Liikenne- ja viestintävirastoa antamaan toiselle viranomaiselle tietoja viesteistä, välitystiedosta tai sijaintitiedosta taikka luottamuksellisen radiolähetyksen sisällöstä.
316 § Viestintää ja sijaintia koskevien tietojen käsittely ja hävittäminen. Pykälän 5 momentin soveltamisalarajauksiin ehdotetaan lisättäväksi 250 §:n 4 momentista kumottava säännös. Voimassa oleva 250 §:n 4 momentissa säädetään 316 §:n soveltamisen rajoittamisesta viranomaistehtävien hoitoon harjoitetun viestinnän osalta viranomaisverkoissa ja viranomaisviestintään liittyvässä viestintäpalvelussa. Muutos olisi säädöstekninen ja tehtäisiin sääntelyn selkeyttämiseksi siirtämällä soveltamisalarajaus voimassa olevan 316 §:n 5 momentissa olevien soveltamisalarajauksien yhteyteen. Muutoksella ei tarkoitettaisi muutettavaksi oikeustilaa siltä osin, kun 316 §:n soveltumista viranomaistoimintaan on kumottavalla 250 §:n 4 momentilla rajattu.
316 a § Viestinnän välittäjän oikeus antaa tietoja Liikenne- ja viestintävirastolle. Ehdotettu pykälä on uusi. Ehdotuksen mukaan viestinnän välittäjä voisi vapaaehtoisesti ja oma-aloitteisesti luovuttaa tietoja Liikenne- ja viestintävirastolle, jos se on tarpeen tietoturvaloukkausten tai uhkien selvittämiseksi tai ennaltaehkäisemiseksi. Viestinnän välittäjä määritellään SVPL 3 §:n 36 kohdassa. Viestinnän välittäjällä tarkoitetaan siten teleyritystä, yhteisötilaajaa ja sellaista muuta tahoa, joka välittää sähköistä viestintää muutoin kuin henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiin. Tällaisia ovat siten myös esimerkiksi VPN-palvelujen tarjoajat (KKO 2022:23 kohta 13). Luovutettava tieto olisi välitystietoja tai tietoja viesteistä, joita viestinnän välittäjällä on oikeus käsitellä SVPL 272 §:n nojalla. Lain 272 §:ssä säädetään viestinnän välittäjän toimenpiteistä tietoturvan toteuttamiseksi. Säännöksellä ei luotaisi velvollisuutta luovuttaa tietoja vaan se perustuisi vapaaehtoisuuteen. Säännös olisi vastaava, kuin mitä saman lain 317 §:n 2 momentissa säädetään radiohäiriöihin liittyen.
Sähköisen viestinnän palveluista annetun lain 137 §:n 2 momentin mukaan sähköisiä viestejä ja välitystietoja on sallittua luovuttaa ainoastaan niille tahoille, joilla on oikeus käsitellä tietoja asianomaisessa tilanteessa. Viestinnän välittäjät voivat luovuttaa toisilleen välitystietoja muun muassa silloin, kun tietoturvatoimenpiteiden toteuttaminen edellyttää teleyritysten yhteistyötä. Sen sijaan sähköisen viestinnän palveluista annetussa laissa ei tällä hetkellä ole nimenomaista säännöstä, jossa viestinnän välittäjä oikeutettaisiin luovuttamaan havaitsemiinsa tietoturvaloukkauksiin liittyviä välitystietoja tai viestin sisältöä oma-aloitteisesti Liikenne- ja viestintävirastolle, jonka lakisääteisenä tehtävänä kuitenkin on kerätä tietoja tietoturvaloukkauksista. Tällainen tilanne voi tulla esimerkiksi silloin, kun viestinnän välittäjä on havainnut SVPL 272 §:n mukaisten toimenpiteiden avulla tietoturvahäiriön tai tietoturvaa vaarantavan viestin sisällön. Teleyritysten ilmoitusvelvollisuudesta merkittävissä tietoturvaloukkauksissa tai muissa tapahtumissa, jotka voivat estää viestintäpalvelun toimivuuden tai häiritsevät sitä olennaisesti, säädetään SVPL 275 §:ssä. Viestinnän välittäjiä ovat kuitenkin myös muut kuin teleyritykset, jolloin viestinnän luottamuksellisuus ja henkilötietojen suoja rajoittavat muiden kuin teleyritysten tietojen antamista. Toisaalta teleyritystenkin ilmoituskynnys on asetettu merkittäviin tietoturvaloukkauksiin, jolloin pienemmät tietoturvaloukkauksia koskevat tiedot jäisivät tämän kynnyksen alapuolelle. Näillä tiedoilla voi olla merkitystä esimerkiksi tietoturvaloukkausten ennalta ehkäisemisessä.
Voimassa olevaan lainsäädäntöön sinällään sisältyy ajatus siitä, että Liikenne- ja viestintävirasto voi pyytää tietoonsa tulleen merkittävän tietoturvaloukkauksen tai sen uhkan kohdalla välitystietoja ja viestin sisältöä viestinnän välittäjältä. Tapahtuma ei kuitenkaan välttämättä ikinä tule Liikenne- ja viestintäviraston tietoon, sillä jo tieto viestin olemassaolosta on lähtökohtaisesti viestinnän luottamuksellisuuden piirissä. Viestinnän välittäjä voi myös tarvita Kyberturvallisuuskeskuksen tukea havaitsemansa tietoturvaloukkauksen selvittämiseen, kuten haittaohjelman toimintaperiaatteen selvittämiseen. Uusi säännös selkeyttäisi välitystietojen ja viestin sisällön luovuttamista tällaisessa tilanteessa Kyberturvallisuuskeskukselle. Nykytilanteeseen liittyvät epäselvyydet ovat joissakin tapauksissa hidastaneet tapahtumien selvittämistä, kun tietoja viestinnän välittäjältä ei ole saatu kuin tekemällä useita perättäisiä tietopyyntöjä 316 §:n 2 momentin nojalla.
Luovutettavilla tiedoilla tarkoitetaan esimerkiksi tietoja haittaohjelmia sisältävistä tai levittävistä viesteistä ja niiden lähettäjiä tai komentopalvelimia koskevista välitystiedoista. Tietoja voisi luovuttaa myös havaituista palvelunestohyökkäyksistä ja niiden kohteista. Ehdotuksen nojalla luovutettuja tietoja voitaisiin käyttää Liikenne- ja viestintäviraston kansallisen tilannekuvan muodostamiseen esimerkiksi palvelunestohyökkäyksistä saatavien tietojen osalta. Lisäksi viestien sisältöjä voitaisiin käyttää tunnistamaan ja suodattamaan vastaavia viestejä, joilla pyritään levittämään haittaohjelmia. Viestejä koskevien tietojen luovuttaminen on olennaista myös haittaohjelmia sisältävien tekstiviestikampanjoiden ehkäisyssä. Pykälässä tarkoitetut tiedot viestin sisällöstä tarkoittaisivat siis lähtökohtaisesti sellaisia tietoja, jotka ovat luottamuksellisen viestinnän kannalta vähämerkityksellisiä, kuten lähinnä haittaohjelmia sisältäviä tai levittämiä, automaattisesti luotuja viestin sisältöjä tai muuten haitallisia käskyjä. Säännös mahdollistaisi myös automatisoidun tiedon luovuttamisen tapauksissa, joissa viestinnän välittäjän määrittelemät kriteerit tietojen luovuttamiselle sen SVPL 272 §:n nojalla toteuttamien toimenpiteiden kohdalla täyttyvät.
Viestinnän välittäjän yleisistä käsittelyperiaatteista säädetään sähköisen viestinnän palveluista annetun lain 137 §:ssä. Näitä ovat käsittely vain tarkoituksen vaatimassa laajuudessa, yksityisyyden suojan ja luottamuksellisuuden viestin suojan loukkauksen minimointi. Lisäksi käsittelyperiaatteisiin kuuluu se, että tietoja voidaan luovuttaa ainoastaan käsittelyoikeuden omaaville tahoille ja tietojen hävittäminen käsittelyn jälkeen, ellei muuta laissa säädetä. Lain 137 §:n 4 momentissa säädetään siitä, että viestejä ja välitystietoja saa käsitellä vain viestinnän välittäjän tai tilaajan lukuun toimiva, joka käsittelee viestejä ja välitystietoja tässä luvussa erikseen säädettyjen tarkoitusten toteuttamiseksi. Säännökseen otettaisiin viittaus 137 §:ssä viestinnän välittäjän yleistä käsittelyperiaatteista säädettyyn sen selkeyttämiseksi. Lisäksi sähköisen viestinnän palveluista annetun lain 319 §:ssä säädetty salassapitovelvollisuus ehdotetaan ulottumaan myös 316 a §:n nojalla saatuihin tietoihin, jotta myös 316 a §:n nojalla mahdollisesti luovutettu tieto viesteistä, välitystiedoista, sijaintitiedoista tai luottamuksellisen radiolähetyksen sisällöstä ja olemassaolosta olisi sähköisen viestinnän palveluista annetun lain pääsäännön mukaisesti viranomaisessa salassa pidettävää.
Ehdotuksen nojalla saatua tietoa voitaisiin luovuttaa edelleen ainoastaan siten kuin 319 §:ssä säädetään viestintää ja välitystä koskevan tiedon luovuttamisesta. Lisäksi tietoja voisi luovuttaa muille viranomaisille ehdotetun 319 a §:n mukaisesti eli käytännössä vain erityisen poikkeuksellisissa tilanteissa.
319 § Vaitiolovelvollisuus ja viesteihin liittyvien tietojen luovuttaminen. Pykälän 1 momenttiin ehdotetaan lisättäväksi maininta ehdotetusta 316 a §:stä. Momentin nojalla Liikenne- ja viestintäviraston ja tietosuojavaltuutetun saamat ja hankkimat tiedot viesteistä, välitystiedoista, sijaintitiedoista sekä luottamuksellisen radiolähetyksen sisällöstä ja olemassaolosta on pidettävä salassa. Ehdotetun lisäyksen johdosta ehdotettavan 316 a §:n nojalla saataviin tietoihin viesteistä tai välitystiedoista sovellettaisiin 319 §:ssä säädettyä salassapitovelvollisuutta. Voimassa olevan 319 §:n ja sen esitöiden nojalla on pääsääntö, että Liikenne- ja viestintäviraston ja tietosuojavaltuutetun on pidettävä salassa sähköisen viestinnän palveluista annetun lain nojalla saamansa tiedot viesteistä, välitystiedoista, sijaintitiedoista ja luottamuksen radiolähetyksen sisällöstä ja olemassaolosta (HE 221/2013, s. 226). Koska ehdotettavan 316 a §:n nojalla viestinnän välittäjillä olisi oikeus antaa oma-aloitteisesti näitä tietoja Liikenne- ja viestintävirastolle, olisi tarpeen säätää tarkennukseksi 319 §:ssä tarkoitetun salassapitoa koskevan pääsäännön ulottuvan myös 316 a §:n nojalla saatuihin tietoihin, jotta tiedot eivät tulisi julkisiksi. Ehdotetun 1 momentin lisäyksen mukaisesti myös 316 § a:n nojalla luovutettavien säännöksessä tarkoitettujen tietojen osalta salassapitovelvollisuus olisi pääsääntö, josta voitaisiin poiketa ainoastaan laissa nimenomaisesti säädetyissä tilanteissa.
Pykälän 2 momentin 1 kohtaan ehdotetaan tehtäväksi lakitekninen muutos, jolla poistetaan viittaus 316 §:n 2 momentin kohtiin ja jatkossa viitattaisiin vain kyseiseen momenttiin. Muutoksella ei ole merkitystä käytännön soveltamisen kannalta.Momentin 2 kohtaan ehdotetaan lisättäväksi mahdollisuus luovuttaa tietoa myös Euroopan unionin ja Pohjois-Atlantin liitto Naton tietoturvaloukkauksia hoitaville tahoille. Tällaisia tahoja ovat käytännössä näiden organisaatioiden CERT-toiminnot. Voimassa oleva 2 kohta mahdollistaa tiedon luovuttamisen muussa valtiossa toimiville viranomaisille tai muille vastaaville tahoille, mutta ei kansainvälisille organisaatioille. Säännöstä olisi tarpeen täsmentää ehdotettavalla lisäyksellä, sillä tiedon luovuttaminen voi joissain tilanteissa olla tarpeen ottaen huomioon Suomen osallistumisen EU:n ja Naton toimintaan ja erityisesti näiden organisaatioiden CERT-toiminnot, jossa selvitetään muun muassa tietoturvaloukkauksia ja niiden uhkia. Tiedon luovuttaminen olisi aikaisempaa vastaavalla tavalla mahdollista vain sellaisille toimielimille, elimelle tai virastolle joiden tehtävän on ennalta ehkäistä tai selvittää viestintäverkkoihin ja –palveluihin kohdistuvaa tietoturvaloukkausta. Aikaisempaa vastaavasti pykälän 3 momentti asettaa rajoituksia luovutettavan tiedon laajuudelle. Tietoja on oikeus luovuttaa 3 momentin nojalla ainoastaan siinä laajuudessa, kun se on tarpeen tietoturvaloukkausten ehkäisemiseksi ja selvittämiseksi, eikä tiedon luovuttamisella saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä. Pykälän 3 ja 4 momentteihin ei ehdoteta muutoksia.
Pykälän 5 momentti ehdotetaan kumottavaksi. Jatkossa Liikenne- ja viestintävirasto päättäisi itse siitä, mille 2 §:n 2 momentissa tarkoitetulle taholle se voisi luovuttaa tietoturvaloukkausten yhteydessä saamiaan välitystietoja ja muita tietoja. Liikenne- ja viestintävirastolla itsellään on parhaat keinot arvioida sitä, mille muussa valtiossa toimivalle viranomaiselle tai muulle vastaavalla taholle, jonka tehtävänä on selvittää tietoturvaloukkauksia, se voi luovuttaa hallussaan olevaa tietoa.
319 a § Tietojen luovuttaminen merkittävässä tietoturvaloukkauksessa tai -uhkassa. Ehdotettu pykälä on uusi. Viranomaisten välistä tiedonvaihtoa koskeva erityissäännös täydentäisi muuta tiedonvaihtoa koskevaa sääntelyä niiltä osin, kun siihen liittyy tiedonvaihtoa koskevia rajoitteita. Ehdotuksella ei kavenneta muuta tiedonvaihtoa tai käyttöä koskevaa nykyistä lainsäädäntöä Ehdotuksen mukaan Liikenne- ja viestintävirastolla, poliisilla, suojelupoliisilla ja Puolustusvoimilla olisi salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa merkittävää tietoturvaloukkausta tai -uhkaa koskevat välttämättömät tiedot toisilleen. Tietoja voitaisiin luovuttaa tilanteessa, jos merkittävä tietoturvaloukkauksen tai sellaisen vakavan uhkan vaikutukset kohdistuvat pykälässä lueteltuihin, yhteiskunnan toiminnan kannalta elintärkeisiin toimintoihin tai niihin liittyviin tietoaineistoihin. Ehdotuksella on tarkoitus kattaa sellaiset tietoturvaloukkaustilanteet, jotka olisivat luonteeltaan vakavia.
Merkittävällä tietoturvaloukkauksella, tietoturvauhkalla, selvittämisellä ja vaikutusten poistamisella tarkoitetaan vastaavaa, mitä edellä on esitetty 309 §:n perustelujen yhteydessä. Soveltamisen lisäedellytyksenä olisi, että tietoturvaloukkauksen vaikutukset kohdistuisivat pykälässä lueteltuihin yhteiskunnan toiminnan kannalta elintärkeisiin toimintoihin. Esitetyllä säännöksellä katettaisiin myös tilanteet, joihin liittyy valtiollinen toimija tai vahva epäilys valtiollisesta toimijasta. Ehdotus kattaa myös tilanteet, joissa valtiollinen toimija käyttää tai sen voidaan perustellusti epäillä käyttävän ohjauksessaan ei-valtiollista toimijaa tavoitteidensa saavuttamiseksi.
Ehdotetun 1 momentin mukaan tietoa voisivat vaihtaa keskenään Liikenne- ja viestintävirasto, poliisi, suojelupoliisi ja Puolustusvoimat. Tiedonvaihtoa olisi mahdollisuus tehdä vastavuoroisesti sekä oma-aloitteisesti että pyynnöstä kyseisten viranomaisten välillä jokaisen viranomaisen tietoturvaloukkauksiin liittyvien lakisääteisen tehtävän hoitamiseksi ja tilanteen mahdollisimman sujuvan koordinoinnin ja toiminnan yhteensovittamisen mahdollistamiseksi. Viranomaisten lakisääteisiä tietoturvaloukkauksiin liittyviä tehtäviä on avattu tarkemmin nykytilan kuvausta koskevassa jaksossa.
Ehdotuksen nojalla voitaisiin vaihtaa mitä tahansa tietoturvaloukkauksen tai -uhkien selvittämisen kannalta välttämätöntä tietoa. Käytännössä tiedot olisivat usein viestintää, välitystietoja ja hyökkäystoimintaa koskevia tietoja, mutta mahdollisesti myös muita tietoja. Luovutettavien tietojen sisältöä ei ole katsottu mahdolliseksi rajata yksityiskohtaisesti tiettyihin tietoihin ottaen huomioon, että tietoturvaloukkaustilanteet voivat vaihdella luonteeltaan ja ominaisuuksiltaan erittäin laajasti, eikä näitä kaikkia tilanteita voida täsmällisesti ennakoida.
Pykälän nojalla vaihdettava tieto voisi olla peräisin mistä tahansa mainittujen viranomaisten toiminnasta saadusta tiedosta, jonka vaihtaminen tilanteessa on välttämätöntä. Liikenne- ja viestintäviraston osalta tämä voisi olla esimerkiksi sille tehtyjen ilmoitusten perusteella tulleesta tiedosta tai verkkojen havainnointipalvelusta saaduista tiedoista. Poliisin osalta kyse voisi olla sille tehtyjen rikosilmoitusten tai telepakkokeinojen kautta saadusta tiedosta. Suojelupoliisin tai Puolustusvoimien osalta tieto voisi olla esimerkiksi omilla toimivaltuuksillaan saadusta tiedosta. Tietojen luovuttaminen olisi määritelty rajoittumaan vain vastaanottavan viranomaisen toiminnan kannalta välttämättömiin tietoihin merkittävän tietoturvaloukkauksen tai sen vakavan uhkan selvittämisessä, ennaltaehkäisemisessä tai vaikutusten poistamisessa. Viranomaiset käyttäisivät tietoja toimivaltasäännöstensä puitteissa. Tiedot voisivat olla luonteeltaan myös henkilötietoja. Ehdotus sinällään mahdollistaa myös arkaluonteisen tiedon luovuttamisen, mutta käytännössä tällaisia tietoja sisältävää tietoa ei ole tarpeen vaihtaa viranomaisten välillä, koska esimerkiksi viestin sisällöstä ilmenevillä arkaluonteisilla tiedoilla ei ole merkitystä tietoturvaloukkauksen selvittämisen kannalta, jonka perusteella nämä tiedot jäävät luovuttamatta.
Tietoja voitaisiin luovuttaa viranomaisten välillä salassapitosäännösten estämättä. Tämä koskisi ensinnäkin julkisuuslain nojalla salassa pidettävää tietoa, johon poliisin, suojelupoliisin ja Puolustusvoimien salassapitosääntely pääasiassa nojaa. Lisäksi tämä tarkoittaisi poikkeamista SVPL 136 §:ssä säädettyä viestin ja välitystietojen luottamuksellisuutta sekä 319 §:n 1 momentissa säädettyä velvollisuutta pitää salassa 316, 316 a ja 317 §:n nojalla hankitut tiedot viestistä, välitystiedoista, sijaintitiedoista sekä luottamuksellisen radiolähetyksen sisällöstä ja olemassaolosta. Säännöksellä voitaisiin poiketa myös SVPL 318 §:n 6 momentissa tarkoitetusta ulkomaiselta viranomaiselta saadusta tiedosta huomioiden kuitenkin ehdotetun 3 momentin rajoitukset. Suojelupoliisin ja Puolustusvoimien osalta tämä voisi liittyä rikosepäilystä ilmoittamiseen liittyviin rajoituksiin, jonka osalta on erikseen säädetty rikosten vakavuutta koskevat kriteerit niistä tilanteista, joissa tietoa on luovutettava rikostorjuntaan. Tästä on säädetty sotilastiedustelulain 79 §:ssä ja poliisilain 5 a luvun 44 §:ssä. Käytännössä ehdotuksessa tarkoitetuissa tilanteissa teot olisivat erittäin todennäköisesti niin vakavia, että kyseiset rikosten vakavuutta koskevat kriteerit täyttyvät joka tapauksessa. Poliisin osalta kysymys voisi olla myös salaisilla pakkokeinoilla hankitun tiedon luovuttamisesta. Tieto voisi olla hankittu esimerkiksi suunnitelmallisella tarkkailulla, televalvonnalla, telekuuntelulla tai teknisellä laitetarkkailulla, mutta huomioiden tiedonhankinnan tarpeet eri tilanteissa kysymys voisi myös muista pakkokeinolain 10 luvun tai PolL 5 luvun mukaista tiedonhankintakeinoista. Säännös tarkoittaisi myös poikkeamista pakkokeinolain 55 § ja 56 § ylimääräisen tiedon käytölle asetetuista rajoituksista. Huomionarvoista ylimääräisen tiedon osalta on, että voimassa olevan pakkokeinolain nojalla ylimääräistä tietoa saa käyttää myös hengelle, terveydelle tai vapaudelle aiheutuvan merkittävän vaaran taikka huomattavan ympäristö-, omaisuus- tai varallisuusvahingon estämiseksi. Käytännössä ehdotuksessa tarkoitetuissa tilanteissa teot olisivat erittäin todennäköisesti niin vakavia, että kyseiset rikosten vakavuutta koskevat kriteerit täyttyvät joka tapauksessa ja kyse voisi olla myös edellä kuvatun merkittävän vaaran tai vahingon estämisestä. Erityislainsäädäntöön sisältyy myös esimerkiksi biometrisiin tietoihin liittyviä tiedon luovuttamista koskevia rajoituksia, jotka eivät kuitenkaan suoranaisesti ole merkityksellisiä tietoturvaloukkausten selvittämisen näkökulmasta.
Poliisin rikostorjuntatehtävistä johtuen poliisi käyttäisi säännöksen nojalla saatua tietoa sen yleisten tehtävien, kuten oikeus- ja yhteiskuntarauhan turvaamiseksi, kansallisen turvallisuuden suojaamiseksi, yleisen järjestyksen ja turvallisuuden ylläpitämiseksi sekä rikosten ennalta estämiseksi, paljastamiseksi ja selvittämiseksi. Poliisi käyttäisi tietoa esimerkiksi salaisten tiedonhankintakeinojen kohdistamiseksi ja saamansa tiedon avulla tutkii tietoverkkorikoksia ja pitää niistä myös yllä kansallista kyberrikollisuuden tilannekuvaa. Suojelupoliisin tiedon tarve perustuu erityisesti kansallisen turvallisuuden suojaamiseen, kuten laittoman verkkotiedustelun ja -vaikuttamisen havaitsemiseen, estämiseen ja paljastamiseen. Suojelupoliisi voisi käyttää ehdotuksen nojalla saatua tietoa siviilitiedustelutoiminnan kohdentamiseen ja tietoturvaloukkausten taustojen ja motiivien ja vaikutusten selvittämiseen siten, että se pystyy tuottamaan tietoa valtionjohdon ja muiden viranomaisten päätöksentekoon.
Puolustusvoimat vastaa Suomen sotilaallisesta kyberpuolustuksesta osana kansallista kyberturvallisuutta ja sen lakisääteisiä tehtäviä. Tehtävän suorittaminen edellyttää ajantasaista tilannekuvaa. Lisäksi Puolustusvoimien on pystyttävä arvioimaan maanpuolustuksen kannalta kriittisiin toimintoihin tai maanpuolustusjärjestelmään kohdistuvia tietoturvaloukkauksia ja -uhkia. Puolustusvoimilla on myös käytössään tietoa, osaamista ja laitteistoa, joka on keskittynyt etenkin näihin kaikkein vaativimpien tietoturvaloukkausten ja -uhkien analysointiin. Analyysin ja mahdollisen toteuttajan tunnistamisen ja paikantamisen kautta tieto siirtyy osaksi Puolustusvoimien tilannekuvaa, jonka avulla havaitaan ja tunnistetaan valtiolliset ja muut uhkatoimijat. Tilannekuvan perusteella voidaan käynnistää tarvittavat toimenpiteet valtiollisten ja muiden uhkatoimijoiden tunnistamiseksi sekä estää niiden pääsy puolustusjärjestelmän kannalta keskeisiin järjestelmiin ja tietoihin tai torjua uhkatoimijoiden operaatiot niitä vastaan. Puolustusvoimat käyttäisivät ehdotuksen nojalla saatua tietoa rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen sekä esimerkiksi salaisten tiedonhankintakeinojen kohdentamiseen niiltä osin, kun ne kuuluvat Puolustusvoimien lakisääteisten tehtävien piiriin vastaavalla tavalla, mitä poliisin osalta on kuvattu. Puolustusvoimien sotilastiedustelun tarve liittyisi suojelupoliisin suorittaman siviilitiedustelun tavoin sotilastiedustelulaissa säädettyjen tehtävien hoitamiseen. Ehdotuksen nojalla saatua tietoa voitaisiin käyttää sotilastiedustelutoiminnassa käytettävien tiedustelumenetelmien kohdentamiseen sekä tietoturvaloukkausten taustojen, motiivien ja vaikutusten selvittämiseen siten, että sotilastiedustelu pystyy tuottamaan tietoa valtiojohdon päätöksenteon tukemiseksi ja laissa erikseen mainittujen Puolustusvoimien tehtävien suorittamiseksi..
Liikenne- ja viestintäviraston tarve tiedolle liittyy tietoturvaloukkausten tai uhkien tekniseen selvittämiseen ja vastaavien tilanteiden ennaltaehkäisemiseen sekä havaitsemiseen, joka tukisi osaltaan myös muiden viranomaisten toimintaa. Lisäksi virasto muodostaisi saadun tiedon avulla kyberturvallisuuden kansallista tilannekuvaa. Toisaalta Liikenne- ja viestintävirasto pystyisi osaltaan täydentämään ja rikastamaan muiden viranomaisten muilla tavoin hankkimaa tietoa oman tilannekuvansa perusteella, jolloin on mahdollista saada yksityiskohtaisempi kuvaus tilanteen kokonaisuudesta.
Ehdotuksen mukaisesti tietoja voitaisiin luovuttaa silloin, kun merkittävä tietoturvaloukkaus aiheuttaa tai uhkaa aiheuttaa vakavia haitallisia vaikutuksia julkisen vallan päätöksentekokyvylle, viranomaisten toimintaedellytyksille, kansalliselle turvallisuudelle tai maanpuolustukselle, tai muille yhteiskunnan kriittisille toiminnoille. Nämä olisivat sellaisia toimintoja, joihin kohdistuva tietoturvaloukkaus tai sellaisen vakava uhka aiheuttaa tai uhkaa aiheuttaa yhteiskunnan toimintaedellytyksille merkittävää haittaa
Momentin 1 kohdassa julkisen vallan päätöksentekokyvyllä tarkoitetaan pääosin vastaavaa, mitä on tarkoitettu valmiuslain ja asevelvollisuuslain 79 §:n muuttamisesta annetussa hallituksen esityksessä (HE 63/2022 vp, s. 40) julkisen vallan päätöksentekokyvyllä. Näin ollen sillä tarkoitetaan sellaisia toimia, joilla pyritään estämään tai muutoin merkittävästi haittaamaan ylimpien valtionelinten, eli eduskunnan, tasavallan presidentin tai valtioneuvoston päätöksentekoa taikka niiden toimintaa. Kyse voisi olla myös tietoturvaloukkausten selvittämisen kannalta keskeisten viranomaisten eli poliisin, suojelupoliisin, Puolustusvoimien ja Liikenne- ja viestintäviraston päätöksentekokyvystä. Kyse voisi olla esimerkiksi päätöksenteon kannalta tärkeisiin tieto- ja viestintäteknisiin palveluihin sekä tietojärjestelmiin kohdistuvasta häirinnästä, tietomurroista, haitta- tai vakoiluohjelmien levittämisestä, palvelunestohyökkäyksistä taikka äänestys- tai vaalituloksen manipuloinnista.
Kohdassa viranomaisten toimintaedellytyksien vaarantumisella tarkoitetaan viranomaisten lakisääteisten tehtävien hoitamisen vaarantumista. Tämä voi toteutua esimerkiksi julkisen sektorin digitaalisiin palveluihin kohdistuvan tietoturvaloukkauksen tai uhkan kautta.
Momentin 2 kohdassa kansallisella turvallisuudella tarkoitettaisiin esimerkiksi ihmisten henkeä tai terveyttä taikka yhteiskunnan elintärkeitä toimintoja uhkaavaa toimintaa, joka voi aiheuttaa vahinkoa Suomen kansainvälisille suhteille, taloudellisille tai muille tärkeille eduille taikka ulkomaalaista tiedustelutoimintaa. Kansallisen turvallisuuden käsitteen ydinalueeseen on perinteisesti katsottu kuuluvan myös maanpuolustus, mutta selkeyden vuoksi asia mainitaan nimenomaisesti ehdotettavassa pykälässä kansallisen turvallisuuden rinnalla. Kansallista turvallisuutta uhkaavalla toiminnalla tarkoitettaisiin lähtökohtaisesti toimintaa, joka ei ensisijaisesti kohdistu kehenkään yksilönä vaan yleisemmin yhteiskuntaan ja sen ihmisyhteisöön (ks. HE 198/2017 vp).
Momentin 2 kohdassa maanpuolustukseen kohdistuvilla vakavilla vaikutuksilla tarkoitetaan sellaisiin toimintoihin kohdistuvaa haittaa, joilla olisi merkitystä Suomen maanpuolustuksen kannalta. Näitä olisivat esimerkiksi Puolustusvoimien käytössä olevat johtamisjärjestelmät ja siihen sisältyvät tietojärjestelmä sekä viranomaisverkot taikka muut tietoliikenneyhteydet. Yhtä lailla maanpuolustukseen vaikuttavat katsotut maanpuolustuksen varusteluun liittyvät toimitusketjut ja palvelut.
Momentin 3 kohdan mukaan tietoja voitaisiin vaihtaa myös silloin, kun merkittävän tietoturvaloukkauksen haitalliset vaikutukset kohdistuisivat välttämättömiin sosiaali- ja terveydenhuollon tai pelastustoimen palveluihin. Vaikutukset voisivat joko suoraan tai välillisesti vaarantaa potilasturvallisuutta esimerkiksi järjestelmien tai verkkoon kytkettyjen terveydenhuollon laitteiden tai järjestelmien kautta. Pelastustoimen osalta vaikutuksia voisivat olla esimerkiksi viiveet tai esteet pelastustoimen tehtävien hoitamisessa, jotka aiheutuisivat esimerkiksi järjestelmähäiriöistä hälytyksien tai muun pelastustoimen viestinnän välityksessä tai esimerkiksi sijaintipalveluiden häiriöistä.
Momentin 4 kohdassa kohdassa on lueteltu energia-, vesi-, elintarvike- ja lääkehuolto sekä muut välttämättömät hyödykkeet. Näiden toimintojen ylläpitäminen perustuu pitkälti varsinaisen tuotannon lisäksi erilaisiin tietojärjestelmiin, joilla prosesseja hallinnoidaan. Energiasektorin on erityisen merkityksellinen yhteiskunnan toimintojen ylläpitämisen kannalta. Siihen kohdistuvilla häiriöillä on laajat seurannaisvaikutukset myös muihin elintärkeisiin toimintoihin. Kriittisiksi energia-alan toiminnoiksi voidaan katsoa eri energianlähteet ja tuotantorakenteet, polttoaineet, sähkön ja lämmön tuotanto sekä siirto- ja jakelujärjestelmät. Myös vesihuolto, elintarvikkeet, lääkkeet ovat alttiita haitallisille vaikutuksille joko valmistusprosessin aikana tapahtuville hyökkäyksille tai niiden jakeluun puuttuville hyökkäyksille. Muilla välttämättömillä hyödykkeillä voitaisiin tarkoittaa esimerkiksi välttämättömän teollisuustuotannon ylläpitämiseen tarkoitettujen raaka-aineiden huoltoa.
Momentin 5 kohdan mukaan yhteiskunnan elintärkeitä toimintoja olisivat välttämättömät maksu- ja arvopaperipalvelut. Näitä ovat rahoitus- ja vakuutuspalvelujen tarjoaminen, kaikki maksuliikenne, arvopaperien selvitys-, toimitus- ja säilytystoiminta, käteisrahahuoltojärjestelmä, korttimaksamisen infrastruktuurin ja korttivarmennukset sekä päivittäiskaupan finanssitoiminnot. Maksu- ja arvopaperipalvelut toimivat nykyisin pitkälti verkkoympäristössä erilaisten tietojärjestelmien varassa, minkä vuoksi ne ovat sen vuoksi alttiita myös hyökkäyksille. Esimerkiksi maksuliikenteen häiriöillä on laajoja vaikutuksia yhteiskunnan toimintakykyyn yksilötasolta organisaatiotasolle aina valtion maksuliikenteeseen ulottuen.
Momentin 6 kohdan mukaan viranomaiset voisivat vaihtaa tietoja myös, jos tietoturvaloukkauksella olisi vakavia vaikutuksia yhteiskunnan kriittisten liikenne- ja viestintäpalvelujen saatavuuteen. Liikennepalvelut ja niiden ohjausjärjestelmät toimivat esimerkiksi elintarvikelogistiikan elinehtona niin maalla, merellä kuin ilmassa. Lisäksi esimerkiksi liikenteen automaatiojärjestelmällä on merkittäviä vaikutuksia liikenneturvallisuuteen. Käytännössä kaikkien edellä mainittujen toimintojen järjestelmien toiminnan edellytyksenä on niihin liittyvät viestintäpalvelut ja viestintäverkot. Yleisiin viestintäpalveluihin kohdistuvilla tietoturvaloukkauksilla voi energiasektorin tavoin olla kauaskantoisia kerrannaisvaikutuksia usealle eri toimialalle.
Momentin 7 kohdassa on mainittu erikseen 1-6 kohdissa lueteltujen toimintojen ylläpitävät tieto- ja viestintätekniset palvelut sekä niiden tietoaineistot. Sinällään on selvää, että merkittävä tietoturvaloukkaus yleensä kohdistuu nimenomaan toimintoja ylläpitäviin järjestelmiin palveluihin, mutta näiden ylläpitäminen voi olla myös ulkoistettu taholle, joka ei varsinaisesti tuota kyseistä palvelua vaan tuottaa esimerkiksi laajasti käytössä olevaa ohjelmistoa, jonka varaan yhteiskunnan toiminnan kannalta keskeistä toimintoa ylläpitävä järjestelmä nojaa. Kohdassa on myös mainittu erikseen 1–6 kohtiin liittyvät tietoaineistot. Kohdalla katettaisiin tilanteet, joissa kriittisiin toimintoihin liittyviin tietoaineistoihin kohdistuisi tietomurto, jonka seurauksena on mahdollista, että kyseiset tiedot vuotavat hyökkääjien toimesta laajasti julkisuuteen tai päätyvät tietoa oikeudetta hyväksikäyttävän tahon haltuun. Yhteiskunnan toiminnan kannalta keskeisiin toimintoihin liittyvät tietoaineistot sisältävät paljon salassa pidettävää, luottamuksellista ja luonnollisiin henkilöihin liittyvää arkaluonteista tietoa, johon kohdistuvan tietoturvaloukkauksen tai sellaisen vakavan uhkan tilanteessa viranomaisten on pakko pystyä toimimaan sujuvasti yhdessä. Tietomurroille ominaista on, että niiden tapahtuminen ei välttämättä vaikuta esimerkiksi jonkin keskeisen palvelun saatavuuteen, mutta sillä voi olla merkittäviä haitallisia vaikutuksia muiden oikeushyvien, kuten yksityiselämän suojan tai kansallisen turvallisuuden kannalta riippuen siitä, mihin tietomurto kohdistuisi.
Edellä mainittuihin yhteiskunnan elintärkeisiin toimintoihin joko suoraan tai välillisesti vaikuttava tietoturvaloukkaus tai sellaisen uhka on omiaan vaikuttamaan laajasti koko yhteiskuntaan varsinkin, jos loukkauksen vaikutukset kohdistuisivat samanaikaisesti useammalle kuin yhdelle alueelle. Laajoista keskinäisriippuvuuksista johtuen vaikutukset voisivat ulottua varsinaista hyökkäyksen kohdetta laajemmalle. Tällainen keskinäisriippuvuuksien kannalta merkittävä toiminto olisi esimerkiksi sähköntuotanto tai –jakelu taikka viestintäverkot. Vaikutukset voivat kohdistua yhteen tai useampaan toimintoon. Mikäli yhteen toimintoon kohdistuva vaikutus ei yksin olisi vakava, vakavia haitallisia vaikutuksia voi kuitenkin syntyä useampiin toimintoihin kohdistuvien vaikutuksien yhteisvaikutuksesta.
Ehdotuksen mukaiseen tiedonvaihtoon liittyvää salassapitosääntelystä ja tiedon luovutuksen rajoituksista poikkeamisen kynnystä on pidettävä verrattain korkealla. Voimassa olevilla tiedonvaihtoa rajoittavilla säännöksillä on lähtökohtaisesti tarkoitus turvata perustuslaissa turvattua yksityiselämän suojaa ja luottamuksellisen viestin suojaa ja siitä poikkeamista voidaan pitää perusteltuna vain erittäin poikkeuksellisissa tilanteissa. Myös yritykset voivat pitää niihin kohdistuneisiin tietoturvaloukkauksiin liittyviä tietoja sensitiivisinä ja ne voivat olla myös salassa pidettäviä.
Päätöksen lainsäädännön soveltamisesta tekisi joku 1 momentissa mainituista viranomaisista, jonka tietoon on tullut perusteltu epäilys momentin kriteerit täyttävästä tietoturvaloukkauksesta tai uhkasta, ja jolla on hallussaan siihen liittyvää tietoa. Viranomaisten tavanomaisen yhteistoiminnan ja siinä vaihdettavan tiedon yhteydessä voisi myös muodostua tilanne, että eri lähteistä saatuja tietoja yhdistämällä voidaan päätyä lopputulokseen, että kyse on 1 momentissa tarkoitetusta tilanteesta. Viranomaiset voisivat päätyä johtopäätökseen myös yhdessä tavanomaisen yhteistoiminnan kautta.
Ehdotetussa 2 momentissa täsmennettäisiin tiedon käyttötarkoitusta. Tiedon käytön rajoittaminen koskisi vain niitä tietoja, joiden luovuttamiseen liittyy rajoituksia tai salassapitovelvoitteita ja joista 1 momentissa ehdotetaan poikettavaksi. Käyttöä ei siten ole tarkoitettu rajattavaksi niiden tietojen osalta, joiden luovuttaminen muissakin olosuhteissa olisi mahdollista ilman käyttötarkoitukseen liittyviä rajoituksia. Tietoa voitaisiin käyttää tietoturvaloukkausten tai vakavien uhkien selvittämiseksi, ennalta ehkäisemiseksi tai vaikutusten poistamiseksi. Ensi sijassa tietoa käytännössä käytettäisiin sen tietoturvaloukkauksen tai selvittämiseksi, jonka tapahtumisen seurakusena tietoa on viranomaisten välillä luovutettu. Tietoa voitaisiin käyttää kuitenkin myös vastaavan kaltaisten tietoturvaloukkausten havaitsemiseksi ja sitä kautta uusien tilanteiden ennaltaehkäisemiseksi. Siten momentti mahdollistaisi esimerkiksi tietojen käytön samaa haavoittuvuutta tai komentopalvelinta hyödyntävien myöhempien tieturvaloukkausten tai niiden uhkien tunnistamiseen Liikenne- ja viestintäviraston ylläpitämän HAVARO-järjestelmän avulla. Tietoa voitaisiin lisäksi hyödyntää esimerkiksi poliisin, suojelupoliisin ja Puolustusvoimien teletiedonhankintaan liittyvien toimenpiteiden kohdistamisen ja niitä koskevien vaatimusten perusteena, joiden hyväksymisestä sinällään vastaisi kuitenkin tuomioistuin.
Ehdotuksen 2 momentin mukaan tietoturvaloukkausten ennalta ehkäisemisen, selvittämisen tai vaikutusten poistamisen kannalta tarpeeton tieto on poistettava. Muutoin tiedon hävittämiseen sovelletaan SVPL 316 §:n 4 momentin säännöstä tietojen hävittämisestä.
Ehdotuksen 3 momentissa säädettäisiin tiedon käyttörajoituksista ja edelleen luovuttamisesta. Tiedon luovuttajan olisi luovutuksen yhteydessä ilmoitettava, mikäli tiedon käyttöön sisältyisi rajoituksia sen käyttötarkoituksen, edelleen luovuttamisen tai sen palauttamisen osalta. Tällaisia rajoituksia voisivat olla esimerkiksi poliisitoimen henkilötietolain 42 §:ssä tai Puolustusvoimien henkilötietolain 25 §:ssä säädetty henkilötietojen tarkastusoikeuden rajoitus. Näiden säännösten tarkoituksena on turvata rikostutkinta ja ehdotettu 3 momentti ulottaisi näitä rajoituksia myös muihin viranomaisiin. Vastaavanlaisia rajoituksia voisi sisältyä myös esimerkiksi eri viranomaisten kansainvälisten kumppaneiden luovuttamien tietojen edelleen luovuttamiseen tai käyttötarkoituksen rajoittamiseen.