Hiihtoliitto ja Firesheep

Ensin se hiihtoliitto. Jotkut ne vaan ei opi:

Eipä siitä sen enempää.

* * *

Ja sitten jotain paljon ilkeämpää. Esimerkiksi Facebookin ja Twitterin tietoturva on retuperällä. Tämä ei ehkä ole mikään uutinen sinänsä, mutta jos se tarkoittaa sitä, että kuka tahansa samassa WLAN-verkossa (esimerkiksi oppilaitoksessa, kahvilassa, hotellissa, ravintolassa, työpaikalla jne.) oleva voi kaapata juuri sinun Facebook-tilin omiin tarkoituksiinsa, niin luulisi asian kiinnostavan.

Lue vaikka tästä Iltalehden artikkeli aiheesta. Työkalu, jolla homma hoituu on nimeltään Firesheep ja sen voi asentaa kuka tahansa hetkessä omalle koneelleen. Firefox-käyttäjille on olemassa myös vastamyrkkyä (ForceTLS). Valitettavasti sitä ei ilmeisesti tätä kirjoitettaessa saa muille selaimille. Pointti on siinä, että selaimen ja palvelun välinen tietoliikenne pitäisi saada salatuksi, mitä esimerkiksi Facebook ei kunnolla tarjoa. Firefoxin lisäpalikka konfiguroituna pakottaa siihen.

Firesheep-tapaus osoittaa sen miten haavoittuvainen meidän nykynettimme on. Toisaalta maailma on mennyt jo siihenkin, että ihmisen yksityisyys verkossa on varsin hankalasti suojeltavissa oleva luonnonvara.

EDIT 26.11.2010
Facebookin käyttö ForceTLS:n kanssa näyttää pudottavan joitain ominaisuuksia pois pelistä eli esimerkiksi kirjautuneiden kavereiden listaus ei näy. Samoin erilaisia sovelluksia pyörittävä apps.facebook.com käyttää yhteyttä, joka ei ole luotettu. Twitter ja esimerkiksi Googlen palvelut kuten Gmail näyttävät toimivan normaalisti.

Tietoyhteiskunnassa herätys!

Iltasanomat kertoo tänään keskusrikospoliisin tutkinnasta, jossa on kyse turvaluokitellun aineiston päätymisestä vääriin käsiin. Jutussa puhutaan niinkin vakavasta asiasta kuin turvallisuussalaisuuden paljastaminen, josta vähimmäisrangaistus on 4 kuukautta vankeutta.

Tutkinta on lehtitietojen perusteella kietoutunut Väestörekisterikeskuksen, sen käyttämän palveluyhtiö ja palveluyhtiön ulkomaille myymän liiketoimintayksikön ympärille. Ketä epäillään ja kuka on uhri, juttu ei selvitä. Tutkintapyynnön on tehnyt Väestörekisterikeskus.

HS:n uutisessa kerrottiin myös selvityksen alla olevan se, onko sähköisten henkilökorttien tietoturva vaarantunut.

Oli kyse melkein mistä tahansa, se on helposti jotain sellaista, mitä ei olisi saanut tai pitänyt tapahtua lainkaan. Väestörekisterikeskus ylläpitää laajoja ja arkaluonteisia tietovarantoja, joita esimerkiksi poliisi käyttää.

Mietitäänpä asiaa hieman laajemmin. Poliisi haluaa käyttöönsä passihakemusten yhteydessä kansalaisilta kerätyt sormenjäljet ja niiden rekisterin. Sormenjäljet ovat tiukasti kiinni kansalaisen identiteetissä, tiukemmin kuin sähköinen henkilökortti. Mitä tapahtuisi, jos sormenjälkirekisteri vuotaisi epämääräisiin käsiin? Seurauksia ei edes halua ajatella.

Voisiko rekisteri sitten päätyä jonnekin rikollisiin käsiin? Vastaus on kyllä. Juuri siitä uhkakuvasta Väestörekisterikeskuksen ympärillä tapahtuva tutkinta kertoo. Kuvassa on globaalisti toimiva asiantuntijayritys, sen yrityskaupat ja muu sellainen. Varmaankin turvallisuusselvityksiä on tehty, kenties virheitäkin.

On täysin väärin ajatella, että poliisille ei voisi käydä kuten Väestörekisterikeskukselle on ehkä nyt käynyt. Poliisikin ostaa palveluita markkinoilta ja saattaa tehdä kohtalokkaita virheitä. Yksi pieni virhe tai vahinko riittää ja korvaamatonta tietoa valuu ulos.

Lisäksi on niin, että jos digitaaliseen muotoon muutetut sormenjäljet tai vaikkapa sähköisen henkilökortin varmennetiedot tai muu digitaalinen aineisto päätyy väärille teille, sitä ei ikinä saada sieltä takaisin. Bitti ei ole mikään auto, jonka voi hakea jostain, vaan helposti kopioitavaa dataa.

Nyt päättäjien on viimeistään herättävä siihen, että ihan kaikkea ei turvallisessa tietoyhteiskunnassa saa tallentaa ja kerätä. Ainoa todella turvassa oleva tieto on tallentamaton tieto.

EDIT klo 23.19. YLE Uutisten mukaan poliisi epäilee rikoksesta useita henkilöitä, jotka työskentelevät Väestörekisterikeskukselle tietoturvapalveluita tuottavassa yrityksessä. IS:n mukaan kyse on nimenomaan sähköisiin henkilökortteihin liittyvistä asioista.

Sähköisiä henkilökortteja käytetään lähinnä julkishallinnossa, eikä niiden suosio ole ollut kovinkaan suuri. Käyttökohteet tekevät niistä arkoja. Sähköisissä henkilökorteissa on kuitenkin kyse niiden käyttäjien sähköisistä identiteeteistä ja tunnistamisesta. Jos sellaiseen pääsee käsiksi, tilanne on sama kuin silloin, jos joku väärentäisi sinun henkilöllisyystodistuksesi ja käyttäisi sitä johonkin tarkoitukseen menestyksellä.

Jos sähköisiä henkilökortteja vertaa sormenjälkiin, niin tilanne on erilainen. Henkilökortit on mahdollista - ainakin periaatteessa - revokoida eli pistää sulkulistalle ja organsoida kaikille käyttäjille uudet kortit. Sormenjälkiä ei voi ihmisen kädestä vaihtaa.

Viestintä FRA:sta ollut riittävää?

Ruotsin armeijan radiotiedustelulla on ollut oikeusvakoilla maan rajat ylittävää tietoliikennettä viime joulukuun alusta. Suomessa viestintävirasto patisteli marraskuun lopulla teleyrityksiä tiedottamaan asiakkailleen ulkomailla toteutettaviin, suomalaisille asiakkaille tarjottaviin palveluihin kohdistuvista tietoturvauhkista.

Taloussanomat kertoi tuossa vuoden vaihteen tienoilla, että

"Viestintäviraston verkot ja turvallisuus -tulosalueen johtajan Timo Lehtimäen mukaan tiedottaminen ruotsalaisten harjoittamasta tietoliikenteen kuuntelusta on ollut riittävää."

Uutisen mukaan tavoitteena on ollut "maltillinen tiedotuksen lisääminen". Viestintävirastosta kerrotaan, että sen muistutuksen tarkoituksena ei ollut saada teleyrityksiä "meuhkaamaan" ruotsalaisten harjoittamasta tiedustelusta, vaan pikemminkin parantaa yleistä tietoisuutta siitä, miten tieto kulkee netissä.

Asiasta on Taloussanomien jutun mukaan ollut asiakaslehdissä, laskujen yhteydessä olevissa tiedotteissa ja verkkosivuilla. Eri teleyrityksillä on ollut erilaiset keinot käytössä.

Mielenkiintoista. Laskut ainakin tähän talouteen tulevat verkkopankin kautta ja niissä ei ole mitään tiedotteita. Tai jos on pienellä präntätty, niin sellaisia tuskin paljoa lueskellaan, mikäli laskun tiedot muuten ovat oikein (minkä kiinteähintaisessa laajakaistalaskussa näkee suoraan summasta).

Kuka muuten odottaa, että kuluttajat vierailevat teleoperaattoreiden verkkosivuilla lueskelemassa viikottain tiedotteita?

Haeskelemalla löytyy esimerkiksi Elisan sivuilta tiedote: "Tietoa Ruotsin signaalitiedustelua koskevan lain voimaantulosta Elisan asiakkaille", joka on päivätty 30.11. Tiedotteessa kerrotaan asiasta ja todetaan, että "Sähköisen viestinnän tietosuojalain mukaisesti asiakkaan tulee huolehtia riittävistä toimista liikesalaisuuksien osalta, kun niitä välitetään sähköisillä välineillä". Lisäksi viitataan ohjeiden osalta viestintäviraston vaatimattomiin ohjeisiin asiassa.

Soneralta löytyy päiväämätön tiedote asiakastuen puolelta, joka toteaa itse asian ja Elisan kaltaisten ohjeiden lisäksi, että "Lakimuutoksen merkittävin sisältö on suomalaisten asiakkaiden kannalta se, että Suomesta Ruotsiin ja Ruotsin kautta välitettävä, ulkomaille lähtevä tietoliikenne voi joutua jatkossa tiedustelutoiminnan piiriin".

Tätäkö viestintävirasto kutsuu riittäväksi? Näiden tiedotteiden sisältöjen perusteella hyvin harva (jos kukaan) tietää, mitä olisi mahdollista tehdä, jotta tuo Sonerankin mainitsema vakoilu olisi mahdollista kiertää. Viestintävirastoa ja siten myös operaattoreita paremmat ohjeet tarjoaa esimerkiksi hukkajukka.

Tiedotteet jossain verkkosivuilla on tietysti hyvä asia, mutta miten operaattori ajattelee sellaisen tavoittavan? Paperilaskun saajat ovat varmaan saaneet tiedotteensa, mutta luetaanko niitä sen enempää kuin asiakaslehtiäkään?

Samaan aikaan toisaalla. Operaattori X on lähettänyt marras-joulukuun aikana Vaiheisen sähköpostilaatikkoon parikin tiedotetta, joista toisessa kerrottiin muuttuneista palveluista ja toinen oli tyylipuhdas mainos (mainokset tulevat ihan pyytämättä ja tilaamatta). Olisikohan ollut liikaa pyydetty, jos samalla olisi pistetty tuosta FRA:sta tiedotetta mukaan?

Ongelma on tietysti siinä, että tästä asiasta tiedotusvastuun vierittäminen pelkästään operaattoreille ei ole kovinkaan suoraselkäistä. Kysehän on lopultakin siitä, että suomalaisten viestinnän luottamuksellisuus on uhattuna, eikä se ole pelkästään operaattoreiden asiakastiedotteiden asia, vaan viranomaisten olisi kannettava asiassa vastuunsa muutenkin kuin kertoilemalla yleisesti ja lähestulkoon filosofisella tasolla verkossa tapahtuvan viestinnän luottamuksellisuuden pulmista.

Taloussanomien jutussa kerrotaan vielä, että "Viranomaisten ja operaattoreiden mukaan kansalaisten kiinnostus asiaa kohtaan on ollut vaimeaa".

Varmasti on ollut, kun viestintä itse asiasta ja sen merkityksestä on ollut vähintäänkin vähäistä tai välinpitämätöntä.

Tilanne on sama kun kysyisi ministeriöiden virkamiehiltä, millaista kansalaisten kiinnostus tulevaa hallistusohjelmaa kohtaan on ollut? Vastaus varmaankin on se, että "vähäistä", "vaimeaa" tai "anteeksi, mitä kohtaan?".

Eipä reilut vuoden päästä edessä olevista hallitusneuvotteluista kukaan vielä ole kiinnostunut, vaikka hiljalleen puolueet ja muut toimijat keräilevät aineistojaan niitä varten sekä hiovat suunnitelmiaan siitä miten maa makaa vaalien jälkeiset 4 vuotta.

Kun ei viesti ja tiedota, niin eipä asioista kukaan voikaan olla kiinnostunut. Varmaan tällainen tilanne sopii Suomessa joillekin.

Tässä blogissa aiemmin tästä aiheesta kirjoitetut stoorit löytyvät FRA-tunnisteen alta.

FRA ja urkinta

Palataanpa hetkeksi tähän FRA-kysymykseen, josta on kirjoitettu aikaisemminkin. Kysehän on siis siitä, että Ruotsin radiovalvontatiedustelu FRA saa vakoilla kaikkea maan rajojen yli menevää tietoliikennettä.

Kuten hukkajukka tuossa aiemman postauksen kommenteissa ja omassa postauksessaan kirjoittaa, on olemassa merkkejä siitä, että Suomi saa tietoja FRA:lta koskien Suomen tapahtumia. Poliisi kertoo FRA:n avustaneen heitä, kun taas poliitikot kiistävät sen mahdollisuuden nojaten lakiinsa.

Samaan aikaan Suomi on virallisesti ollut varsin hiljaa koko FRA:sta, vaikka sen toiminta selvästi loukkaa yksityisyyden suojaa Suomessa.

Yksi spekulaatio (kts. aikaisempi postaus) on se, että tosiasiassa Suomella ei ole erityistä intressiä estää tai kiertää FRA:n mahdollisuuksia saada Suomesta tietoja eikä ohjetasolla edes kertoa teknisistä mahdollisuuksista kansalaisille. Ihan vaan siksi, että että niitä tietoja suomalaisten viestiliikenteestä saadaan.

Jos näin tapahtuu, kysymys on poliittisesti kaiketikin varsin arka. Teknisesti kysymys ei ole siitä, vakoilisiko suomalainen viranomainen suomalaisia vai ei, sillä niin ei periaatteessa käy. Poliisi vain "saa tietoja" ulkomaisilta kollegoiltaan.

Moraalisesti kysymys on varsin erilainen. Periaatteessa on se ja sama kuka sen vakoilun hoitaa, jos sitä käytetään hyväksi. Jos suomalaiset viranomaiset käyttävät FRA:n tietoja hyväksi, kysymys on moraalisesti lähes tulkoon analoginen sen kanssa pitäisikö Suomen viranomaisille antaa nykyistä selvästi vapaammat kädet vakoilla suomalaisten viestiliikennettä? Kyse ei ole mistään teknisestä yksityiskohdasta, vaan kansalaisten perusoikeuksista, joita suojaa perustuslaki (tai ainakin pitäisi suojata)^*.

Tähän poliitikot tuskin ovat ihan helposti lähdössä, sillä se veisi Suomen suoraan isovelivaltioksi, jossa viranomaisten mahdollisuudet kontrolloida kansalaisia olisivat sangen laajat.

Poliisi on halunnut lisää oikeuksia urkkia kansalaisten tietoja erilaisissa tilanteissa ja pakkokeinolainsäädäntöä ollaan uudistamassa. Eräiden ehdotusten mukaan esimerkiksi lähdesuojaa murrettaisiin kovalla kädellä. Jos lähdesuojaa ei saada murrettua, saman asian voisi hoitaa näppärästi lisäämällä poliisin oikeuksia kansalaisten tekniseen seurantaan tietoverkoissa.

Valtion ja kuten hukkajukka aiemmassa kommentissa toteaa, myös median, FRA-hiljaisuus on silläkin tavalla huolestuttavaa, että kansalaisten tietosuojan ja yksityisyyden suojan paloittainen murentaminen etenee ilman julkista keskustelua sen tarpeesta, syistä ja todellisista tavoitteista.

Median olisi syytä kiinnittää asiaan huomiota jo ihan oman intressinsäkin vuoksi.

*) Perustuslain 10 § sanoo, että

Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla.

Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton.

Lailla voidaan säätää perusoikeuksien turvaamiseksi tai rikosten selvittämiseksi välttämättömistä kotirauhan piiriin ulottuvista toimenpiteistä. Lailla voidaan säätää lisäksi välttämättömistä rajoituksista viestin salaisuuteen yksilön tai yhteiskunnan turvallisuutta taikka kotirauhaa vaarantavien rikosten tutkinnassa, oikeudenkäynnissä ja turvallisuustarkastuksessa sekä vapaudenmenetyksen aikana.

Perustuslakia muuttamatta voidaan siis poliisille tai muille viranomaisille antaa lisää oikeuksia, kunhan ne vaan sisältyvät noihin "välttämättömiin rajoituksiin". Mitä ne "välttämättömät" ovat, sitä varmaan tulkitaan eri paikoissa kovin eri tavalla, eikä tästäkään paljoa keskustella.

Toinen momentti on FRA:n myötä tullut varsin kuolleeksi kirjaimeksi.

Hejssan FRA!

Ruotsissakaan kaikki eivät pidä laillistetusta vakoilusta, johon on siellä FRA:lle (Försvarets radioanstalt) on annettu lupa. FRA saa vakoilla kaikkea Ruotsin rajat ylittävää tietoliikennettä eli esimerkiksi valtaosaa suomalaisesta ulkomaan tietoliikenteestä.

Hej FRA.se-kampanjassa kehoitetaan pistämään esimerkiksi tavallisen ja salaamattoman sähkäöpostin signatureen FRA:n mielenkiintoa herättäviä "vaarallisia" sanoja. Näin saadaan FRA pidettyä kiireisenä.

Idea on myös se, että samalla FRA:lle kerrotaan esimerkiksi siitä, että tuskin tällä vakoilulla estetään yhtään terroritekoa, sillä terroristit osaavat suojata tietoliikenteensä kryptaamalla viestit.

Koska FRA kuuntelee myös tarvittaessa puhelinliikennettä tai tekstiviestejä, voi FRA:ta muistaa esimerkiksi omaan puhelinvastaajaan nauhoitetulla viestillä.

Idean kunniaksi pistetään tuohon sivupalkkiin kamppiksesta kertova nappula joksikin aikaa roikkumaan.

Niin. Tämänkin blogin päivitykset menevät ennen niiden julkaisemista luonnosten tallennusvaiheessa FRA:n ulottuville. Lähetetään siis FRA:lle vähän terveisiä:

Hej FRA!

Det finns ingen anledning att läsa mitt mail. Jag har ingenting att göra med Mujahedin-e Khalq, al-Jihad eller Hamas. Jag har aldrig gjort Salat eller tillverkat en bilbomb, jag vet knappt ens vad Al-Fattah betyder. Men tack för visat intresse!

PS. Terroristattacker kommer knappast att planeras över okrypterade mail. Sabba FRA-lagen på www.hejfra.se

Tässä blogissa aiemmin tästä aiheesta kirjoitetut stoorit löytyvät FRA-tunnisteen alta.

Huomenta Suomi, FRA kuuntelee

Ruotsin radiotiedustelu FRA aloittaa tänään kaiken Ruotsin rajojen yli kulkevan tietoliikenteen kuuntelun. Käytännössä se tapahtuu näköjään siten, että FRA kytkee omat valokaapelinsa operaattoreiden ulkoimaisen liikenteen solmupisteisiin ja saa näin oman kopionsa ulkomaanliikenteestä itselleen tutkittavaksi.

Kyse ei ole pelkästään internetliikenteestä, vaan myös esimerkiksi puhelin ja tekstiviestiliikenteestä.

Ruotsissakaan ei ideasta edelleenkään pidetä, vaan koko joukko bloginpitäjiä haluaa Telian vievän FRA-lain oikeuteen. Kyse on mm. siitä, että FRA-laki ei eräiden juristien mukaan kestä esimerkiksi Euroopan ihmisoikeussopimuksen edessä.

Oli miten oli, niin se oli sitten siinä. Nimittäin yksilön tietosuoja ja viestintään liittyvä yksityisyyden suoja Suomessa. Oma stoorinsa on se, että koko asia ei juuri ole suomalaista poliitikkokuntaa, muutamaa poikkeusta lukuunottamatta, paljon heilauttanut.

Salaa viestisi.

(via Piraattiliitto)

Tässä blogissa aiemmin tästä aiheesta kirjoitetut stoorit löytyvät FRA-tunnisteen alta.

No nyt Viestintävirasto heräsi

Ruotsin FRA:n eli armeijan radiotiedustelun vakoiluoikeudet tulemava muutaman päivän päästä voimaan ja nyt Suomen Viestintäviraston on herännyt tiedottamaan teleyrityksille, että niillä
on velvollisuus tiedottaa asiakkailleen ulkomailla toteutettaviin, suomalaisille asiakkaille tarjottaviin palveluihin kohdistuvista tietoturvauhkista.

Tämä teleyritysten tiedotusvelvollisuus perustuu sähköisen viestinnän tietosuojalakiin. Onko joku saanut teleyrityksiltä mitään tietoa tästä aiheesta? Ainakaan tänne ei sellaista ole ilmaantunut mistään.

Viestintävirastolla itsellään on varsin suppea verkkosivusto sähköisen viestinnän suojaamisesta.

FRA:n vakoiluoikeudet tarkoittavat sitä, että valtaosa suomalaisten ulkomaille kohdistuvasta tietoliikenteestä on ruotsalaisten laillisesti vakoiltavissa.

Esimerkiksi se, että jokin sivusto on suomenkielinen ja suomenkielisessä osoitteessa ei tarkoita sitä, että se sijaitsisi Suomessa, vaan se voi aivan hyvin olla jossain muualla. Esimerkiksi sellainen varsin suosittu palvelu kuin suomi24.fi näyttää sijaitsevan Telian verkossa ja basefarm.net-domainissa. Se taas näyttäisi sijaitsevan Solnassa, Ruotsissa. Se taas takoittaa sitä, että mitä tahansa Suomesta tuolla suomi24.fi:ssä tehdään eli sähköpostitellaan, keskustellaan, nettideittaillaan ja niin edelleen, on Ruotsalaisten vakoiltavissa.

Suomessa julkishallinto on suhtautunut tähän FRA-asiaan ikäänkuin sitä ei olisi tai ikään kuin sillä ei olisi merkitystä. Se on täysin väärin arvioitu. Kun suomalaisten yksityisyyden suojaa murretaan vieraan valtion taholta ja Suomessa valtio käytännössä pistää päätään puskaan, niin se ei ole enää kovinkaan suoraselkäistä toimintaa.

FRA:n välttämiseksi on olemassa keinoja.

Aiheesta aiemmin tässä blogissa.

(via Piraattiliitto)

Lex Nokia eli urkintalaki - taas pöydällä

Taannoinen urkintalaki eli Lex Nokiaksi ristitty sähköisen viestinnän tietosuojalaki on ponnahtamassa taas pinnalle. Nyt pohdinnassa on kyseisen lain laajentaminen nettipiratismin vuoksi.

Kysymys on siitä, että opetusministeriön, liikenne- ja viestintäministeriön, työ- ja elinkeinoministeriön sekä oikeusministeriön virkamiehistä koostunut työryhmä ovat pohtineet (PDF, 782 kt) nettipiratismin kitkemiseen tähtääviä lainsäädännöllisiä keinoja.

Yksi pohdinnassa oleva ajatus on ilmoitusmenettely, jolla tekijänoikeuksien omistaja voi kehottaa määrämuotoisella ilmoituksella nettiliittymän haltijaa lopettamaan tekijänoikeuksien loukkaukset.

Ilmoitus annettaisiin ennen mahdollisia oikeustoimia. Se vaatisi sitä, että nettipiratismiepäilyyn nojaten operaattorin olisi käsiteltävä viestien tunnistamistietoja ilmoitusten toimittamiseksi oikeisiin paikkoihin.

Ehdotuksesta ei ole mitään lopullisia linjauksia, vaan työryhmän esitykset ovat lähdössä lausuntokierrokselle.

Idea ei ole ensinkään yksiselitteinen tai välttämättä edes perusteltu, sillä kuten tunnettua urkintalain piiriin kuuluvista tunnistetiedoista ei voi päätellä mitään itse viestin sisällöstä.

Ilmeisesti siinä pitäisi nojata tekijänoikeuden haltijoiden sanaan ja se taas monimutkaistaa yhä edelleen asioita, sillä kyseessä näillä tahoilla ei taida oikeasti olla käytössään muuta kuin arvailuja pyyntöjensä perusteeksi. Sanalla "oikeasti" tarkoitetaan tässä sellaista näyttöä, jolla asia tulee kunnolla todistetuksi.

Jos taas operaattori saisi jonkun epäillyn osapuolen pyynnöstä ryhtyä selvittämään viestien sisältöjä, niin viestinnän luottamuksellisuus ja yksityisyyden suoja tulee rikotuksi kunnolla.

Ajatusta voisi verrata siihen, että viihdeteollisuus pyytäisi Itellaa eli ex-Postia tutkimaan kirjekuorista kuka lähettää mitäkin kirjeitä kenellekin ja tästä sitten voidaan muka päätellä se kuka postittelee esimerkiksi laittomia dvd-levyjä toisille. Jos sitten viestien sisältöjä ryhdytään selvittämään se tarkoittaisi tuon kirjeen avaamista ja siellä olevan levyn sisällön tutkimista.

Yksi vakava ongelma koko kuvassa on se, että jos nyt päädytään urkintalain laajentamiseen yhdellä syyllä, sitä samaa voidaan jonkun toisen puhtaasti liiketaloudellisen intressin vuoksi tehdä myöhemmin uudelleen.

Samalla kaiketi esiin nousevat jälleen myös esimerkiksi poliisin oikeudet urkintaan, joita niitäkin pohditaan yhä edelleen pakkokeinolainsäädännön uudistamisen yhteydessä. Perusteluhan on hetkittäin ollut tähänkin asti se, että "kun noikin saa urkkia, niin miks me ei saada". Ja niin edelleen.

Koko hommassa taustalla on se, että digitaalisessa maailmassa oikeasti voidaan urkkia yksityisiä kansalaisia ilman, että kansalainen sitä välttämättä huomaa tai hahmottaa sellaiseksi. Kirjeiden kohdalla tilanne ei ole ollenkaan niin helppoa. Mielenkiintoinen kysymys on sekin, paljonko tätä esimerkiksi viihdeteollisuudessa halutaan käyttää hyväksi.

Kehitys kulkee siis siihen suuntaan, että yksittäisen kansalaisen oikeutta yksityisyytensä suojaan ajetaan alas pala kerrallaan ja samalla kontrolliyhteiskunta vahvistaa kuristusotettaan.

Isoveli valvoo ja tekee kauppaa.

Älyttömiä uutisia #3

Armenia ja Azerbaidžan eivät ole olleet kovinkaan hyvissä väleissä käytyään 1990-luvulla sotaa Vuoristo-Karabahista.

BBC:n mukaan Azerbaidžanissa poliisi on kutsunut useita henkilöitä kuulusteluihin koska heitä epäillään epäisänmaallisuudesta ja potentiaalisesta turvallisuusuhkasta. Kuulusteltuja yhdistää se, että he äänestivät euroviisuissa Armenian kappaletta nimeltään Jan Jan. Poliisia on kiinnostanut se miksi nämä ihmiset ovat äänestäneet kyseistä kappaletta.

Armeinia kappale sai Azerbaidžanista hulppeat 43 ääntä.

Tässä on jälleen esimerkki siitä, miten yksilöllä ei ole jossain paikoissa paljoakaan yksityisyyden suojaa, tietosuojaa eikä välttämättä tietoa edes ihmisoikeuksista. Tällainen kertoo myös pikkusieluisuudesta ja tyhmyydestä, joka leimaa kontrolliyhteiskunnan ajattelua. Ihmisoikeudet ovat aina kortilla tai vaarassa, jos virkakoneisto ryhtyy epäilemään ihmisiä heidän mielipiteittensä (ml. musiikkimaku ja käsitys isänmaallisuudesta) vuoksi.

Vaatii aikamoista mielikuvitusta kehittää euroviisuäänestyksestä peruste pitää jotakuta turvallisuusuhkana.

Azerbaidžanin poliisin pyynnöstä seuraavassa videossa esitetään Armenian kappale vuoden 2009 Eurovision laulukilpailuissa. Inga ja Anush sekä Jan Jan:

(Via HS)

Salainen, mutta miten?

Sun äitis kirjoittaa puhelinnumeroiden salaisena pitämisestä. Oletusarvoisesti kännykkäliittymien tiedot ovat julkisia, ellei niitä erikseen ymmärrä salaisiksi kieltää.

Silti syntyy helposti tilanteita, joissa se oma nimi löytyykin sieltä Fonectan, Eniron tai vastaavan firman hakemistoista ja palveluista. Esimerkiksi sellainen tilanne saattaa syntyä silloin kun on esimerkiksi lapsen puhelinliittymän omistaja ja laskun maksaja.

Asia on ongelmallinen siinä mielessä, että nykymaailmassa ei ole ihan yhdentekevää, jos esimerkiksi vanhempien tai huoltajien nimet yhdistetään vaikkapa lapsen kännykkänumeroon ja normaali tietojen salaamispyyntö ei sitä automaattisesti tee. Kannattaa lukaista nuo Sun äitis kuvaukset ja kysymykset.

Miten sitten Fonecta tai Eniro saa tietonsa? Tietysti teleyrityksiltä. Nimittäin viestintämarkkinalain (393/2003) 57 § sanoo, että

Teleyrityksen on huolehdittava siitä, että sen kanssa kiinteän puhelinverkon tai matkaviestinverkon liittymän käytöstä sopimuksen tehneen käyttäjän nimeä, osoitetta ja puhelinnumeroa koskevat yhteystiedot kerätään ja julkaistaan yleisesti saatavilla olevassa kattavassa ja kohtuuhintaisessa puhelinluettelossa, joka päivitetään vähintään kerran vuodessa. Puhelinluettelo voi olla painetussa tai sähköisessä muodossa.

Siis teleyrityksen on luovutettava tiedot lakiin perustuen ja toisaalta samassa pykälässä sanotaan myös, että

Puhelinluettelopalvelua tarjoava yritys ei saa yhteystietoja käsitellessään suosia yhtä teleyritystä toisen teleyrityksen kustannuksella tai toimia muutoin syrjivällä tavalla.

Mitä käyttäjiin tulee, niin käyttäjän oikeudesta kieltää yhteystietojensa julkaiseminen puhelinluettelossa säädetään erikseen.

Toinen laki, joka asiaan viittaa on sähköisen viestinnän tietosuojalaki (516/2004), jonka 25 § sanoo, että

Puhelinluettelon, muun tilaajaluettelon ja numerotiedotuksen tarjoajalla on oikeus käsitellä henkilötietoja luettelopalvelun ja numerotiedotuksen muodostamiseksi sekä niiden tarjoamista varten. (1. momentti)

Samaisessa pykälässä myös todetaan, että

Teleyrityksen on ilmoitettava tilaajana olevalle luonnolliselle henkilölle yleisesti saatavilla olevan tai luettelopalvelun kautta käytettävissä olevan puhelinluettelon tai muun tilaajaluettelon taikka numerotiedotuspalvelun tarkoituksesta ja käytöstä. Ilmoitus on annettava maksutta ennen kuin hänen tietonsa merkitään tilaajaluetteloon tai numerotiedotuspalveluun. (3. momentti)

Minkä lisäksi pykälä sisältää mahdollisuuden kieltää tietojen julkaiseminen joko kokonaan tai osittain:

Teleyrityksen on annettava tilaajana olevalle luonnolliselle henkilölle mahdollisuus maksutta kieltää tietojensa merkitseminen kokonaan tai osittain puhelinluetteloon, muuhun tilaajaluetteloon ja numerotiedotuspalveluun. (4. momentin alku)

Ja sitten vielä mahdollisuus kieltää tietojen edelleen luovuttaminen:

Tilaajana olevalla luonnollisella henkilöllä on oikeus maksutta kieltää tässä pykälässä tarkoitettujen yhteystietojensa edelleen luovuttaminen. (5. momentti)

Eli tietojen merkitseminen kokonaan tai osittain on lain mukaan mahdollista ja sen pitäisi kaiketi koskea myös liittymän omistajatietoa tai mitä muuta tahansa. Lisäksi on tietysti normaalit luovutuskiellot päälle.

Nuo (puhelin)luettelofirmat toimivat ihan lakiin nojaten ja sen mukaan, mutta jos joku haluaa kiertää tietojensa levittämisen, sen pitää olla myös mahdollista. Sen voi tehdä teleoperaattorille asiasta ilmoittamalla. Jos sitten taas jostain tietoa ei muka voi olla levittämättä eteenpäin, niin silloin tiedon osittaisen merkitsemisen kieltäminen ei toimi ja lakia ei noudateta.

Puhelinluetteloissa ei siis em. pykäliin nojaten noudateta sitä muualta tuttua periaatetta, että pitää pyytää lupa tietojen julkaisemiseen, vaan ne ovat ensin julkisia ja sitten vasta kieltämällä ne saa piiloon. Ja siinäkin voi olla vuoden viive, sillä laki ei velvoita päivittämään tietokantoja samaa vauhtia.

Tässäkin asiassa aika on ajanut näiden puhelinluetteloiden ohitse. Ajatellaanpa nyt vaikka sitä painettua versiota. Jos numeroni on painetussa luettelossa vuonna 2009 ja vuonna 2010 haluan sen numeron salata, niin sitä ei enää tule 2010 luetteloon. Kuitenkin, jos joku haluaa sen numeron, niin tarvitsee vain kaivaa vanhat luettelot.

Mitä noihin tietokantoihin ja hakemistoihin tulee, niin ne ovat samanlaisia sammioita kuin muutkin eli keräävät meistä kuluttajista dataa ja sitä dataa myydään.

Ihan filosofinen kysymys: Omistanko minä puhelinnumeroni? En taida varsinaisesti omistaa, se on vain annettu käyttööni. Ainakaan sitä tietoa puhelinnumerostani en näköjään omista.

Verkko tietää kaverisi ja vähän muutakin

MikroPC kertoo, että IBM:n patenttihakemuksen mukaan puhelinverkon tunnistetietojen perusteella voi päätellä ystävyyssuhteita ynnä muuta sellaista.

"IBM:n Intian tutkimuslaboratorio kartoitti kuinka 60 gigatavun tietomäärästä on mahdollista analysoida ihmisten väliset ystävyysverkostot tiedonlouhinnan keinoin. Tutkimuksessa syntyneiden algoritmien avulla on mahdollista löytää myös liittymän vaihtajat."

Tutkimusryhmä käytti hyväkseen Yhdysvalloissa käytettävissä teletunnistetiedoissa käytettävää cdr (call detail record) dataa ja kehitti algoritmin, jonka perusteella teletunnistietodatasta voidaan ystävykset, samaan työpaikkaan ja yhteisöihin kuuluvat ihmiset.

Saman tyyppistä toimintaa on aikaisemmin harjoittanut mm. Yhdysvaltain turvallisuusvirasto NSA, joka on tiettävästi kerännyt massiivista tietokantaa yhdysvaltalaisten maan sisällä soittamista puheluista.

* * *

Kaikelle tälle varmasti löytyy ihan perusteiltaan hyvältä kuulostavia käyttötarkoituksia kuten rikollisuuden torjunta tai muu vastaava, mutta ihan oikeasti se ei kuulu sen enempää teleoperaattorille kuin valtiollisellekaan organisaatiolle kenen kanssa yksilö seurustelee ja kuka hänen kaverinsa on.

Moni meistä on toki antanut nämä tiedot vapaaehtoisesti esimerkiksi Facebookille, mutta tuossa on se pieni ero. Kun sen tekee itse ja vapaaehtoisesti, sen voi jättää myös tekemättä. Kun taas organisaatio vakoilee verkossa, meillä ei ole mitään työkaluja isoveljeä vastaan paitsi irrottautua verkosta kokonaan.

Facebook-datasi menee kaupaksi

Jos olet ihmetellyt, mitä esimerkiksi Facebookiin pistämillesi tiedoille tapahtuu, älä nyt enää ihmettele. Ne myydään.

Facebookissa toimivan LivinSocial-sovelluksen kehittäjä Tim O'Shaughnessy kertoo Wiredin haastattelussa, että yhtiö kauppaa sovelluksen keräämiä tietoja markkinointitarkoituksiin ja että he tekevät yhteistyötä esimerkiksi sellaisten brandien kuin American Idol, Green Day ja TNT kanssa.

Sinänsä tässä ei ole mitään ongelmaa, sillä käyttäehdot sallivat tuon ja sovelluksen käyttäjät ovat antaneet luvan tehdä noin. Eikä siinä mitään laitontakaan ole. Eikä tämä asian laita ole edes mikään uutinen.

Pointti on siinä, että kannattaa katsoa mitä tietoja minnekin pistää, sillä ne voivat olla eri tahoille käyttökelpoista materiaalia ihan luvallisestikin, ilman että itse voit päättää mitä tiedoilla tehdään.

Roolissa FRA

Suomessa viime päivinä palstatilaa ja otsikoita aikaan saaneen kidnappaustapauksen selvittelyissä on tullut esille, että Ruotsin keskusrikospoliisi avusti Suomen poliisia.

Yhteistyö rikosten selvittämiseksi on tärkeää, mutta yksi asia sinänsä poikkeuksellisessa tapauksessa herättää kysymyksiä. Uutisen mukaan Suomen poliisin apuna toimi Ruotsin Radiovalvontatiedustelu FRA, joka avusti Suomen poliisia tietoliikenteen salakuuntelussa.

Niin. Tästä onkin ollut jo aikaisemmin puhetta. FRA:n tietojen vaihtoon liittyy suomalaisittain katsottuna avoimia periaatteellisia kysymyksiä.

Saako Suomen poliisi vakoilla suomalaisia ulkomailta saatavilla tiedoilla? Tunnettuahan on, että suomalaisten tietoliikenteestä merkittävä osa kulkee Ruotsin kautta ja on ruotsalaisten lakien mukaan vakoiltavissa siellä.

Poliisin toiminta perustuu lakiin ja esimerkiksi salakuuntelusta on säädetty Suomessa omat periaatteet. Miten ne soveltuvat tällaiseen tapaukseen? Ihan mitä tahansa rikosten selvittelyssä ei saa tehdä, vaikka keinoja olisikin olemassa.

Uutiset eivät (ainakaan vielä) kerro siitä, millä periaatteilla ja päätöksillä tietoliikenteen salakuuntelua on harjoitettu ja mihin lainsäädäntöön se mahdollisesti perustui. Siitäkään ei ole selvyyttä, minkä tai kenen tietoliikennettä salakuunnteltiin ja miksi. Ehkä se joskus selviää, ellei asiaa julisteta salaiseksi.

Asia on tietenkin tässä mielessä yksittäistapaus, mutta liittyy konkreettisesti siihen kokonaisuuteen, missä pohditaan ja päätetään poliisin valtaoikeuksista suhteessa kansalaisiin sekä kansalaisten tietosuojaan liittyviin kansalaisoikeuksiin.

Mihin muuhun poliisi voisi FRA:lta saamia tietoja käyttää? Kuka asiaa valvoo? Kuka toiminnasta voi päättää ja millä periaatteilla? Kerrotaanko vakoilun kohteelle tai kohteille asiasta mitään? Kenellä on vastuu tietojen oikeellisuudesta? Ja niin edelleen.

On hyvä, että kidnappaukseen liittyvät rikokset ovat selviämässä ja rikoksen uhri on pelastunut poliisin aktiivisen toiminnan seurauksena.

Pointti on siinä, että mikäli globaaleissa tietoverkoissa vakoillaan, on poliisia koskevat pelinsäännöt oltava selviä ja perustuttava harkittuun lainsäädäntöön.

Poliisille uusia salaisia pakkokeinoja?

Poliisia koskevaa esitutkinta- ja pakkokeinolainsäädäntöä ollaan rukkaamassa. Asialla on ollut oikeusministeriön ja sisäministeriön toimikunta, joka on kaksi vuotta tuuminut asiaa ja tuottanut 1000 sivuisen mietinnön. Siihen sisältyy mm. 6 eriävää mielipidettä.

Tiedotusvälineet ovat nostaneet hetimiten esiin mietintöön mahdollisesti liittyvä heikennykset lähdesuojaan ja sananvapauden murentamisen. Yksi puheenaihe on ollut myös poliisin tietovuodot.

Aikaisemmin asia on sivunnut esimerkiksi urkintalain säätämistä ja sitä, että poliisia ei ole harmittanut yritysten saamat oikeudet teletunnistietojen selvittelyyn. Yksi aiempi sivujuonne on ollut myös poliisin halu saada käyttöönsä kansakunnan sormenjälkirekisteri tai DNA-rekisteri. Poliisista on viestitty myös halua murentaa kansalaisten tietosuojaa.

Kun uutisoinnissa otetaan esiin esimerkiksi se, että poliisi haluaa uusia salaisia pakkokeinoja, kannattaa kansalaisten olla varpaillaan. Suomessa on jo tähän mennessä menty varsin pitkälle siinä, millaisia oikeuksia poliisilla on suhteessa kansalaisiin.

Salaisten pakkokeinojen seassa on muun muassa sellaiset keinot kuin henkilön tekninen seuranta, tekninen laitetarkkailu ja tietolähteen ohjattu käyttö.

Pikaisella vilkaisulla lakiehdotukset ja toimikunnan ehdotukset näyttävät lisäävän poliisin toimivaltuuksia reippaasti ja riisuvan kansalaisen mahdollisuuksista suojella yksityisyyttään suhteessa virkavaltaan.

Perustuslakikaan ei ole ongelma. Mietinnössä pohditaan myös ehdotusten suhdetta kansalaisten perustuslaillisiin oikeuksiin seuraavasti (s. 600):

Siitäkin huolimatta, että esityksessä ehdotetaan säädettäväksi uusi nykyistä huomattavasti laajempi esitutkintalaki, lainsäädännön täydennyksiä ei voida pitää perusoikeuksien suojan kannalta ongelmallisina.

Jotenkin lausuma ei ole yllättävä tässä yhteydessä.

Mietintö toteaa myös, että kansalaisten perusoikeuksiin vahvasti liittyvistä asioista voidaan toimikunnan mielestä säätää tavallisena lakina (s. 612):

Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä. Koska säätämisjärjestystä koskevista kysymyksistä osa on tulkinnanvaraisia, on tarpeen pyytää perustuslakivaliokunnan lausunto.

Tätä tulkintaa on lupa epäillä, vaikka ei olisikaan perustuslakijuristi.

Otetaanpas sitten mietinnön ehdotuksista parit pominnat. Seuraavassa esitetyt pykälät on poimittu silmäilyn, eikä tarkemman analyysin, perusteella. Esimerkiksi tällaisia pykäliä toimikunta haluaa säätää:

Ehdotus esitutkintalaiksi, 7 luku, 5 § (s. 662)

Rikoksesta epäillylle tarkoitettu tai häneltä lähtöisin oleva kirje, paketti tai muu vastaava lähetys saadaan ennen sen saapumista vastaanottajalle takavarikoida tai jäljentää, jos rikoksesta säädetty ankarin rangaistus on vähintään vuosi vankeutta ja lähetys voidaan tämän lain mukaan takavarikoida tai jäljentää vastaanottajan hallusta.

Ehdotus esitutkintalaiksi, 8 luku, 22 § (s. 675)

Tietojärjestelmän haltija, ylläpitäjä tai muu henkilö on velvollinen antamaan esitutkintaviranomaiselle tämän pyynnöstä laite-etsinnän toimittamiseksi tarpeelliset salasanat ja muut vastaavat tiedot. Pyynnöstä on pyydettäessä annettava kirjallinen todistus sille, jolle pyyntö on esitetty.

Jos henkilö kieltäytyy antamasta 1 momentissa tarkoitettuja tietoja, häntä voidaan kuulustella tuomioistuimessa esitutkintalain 7 luvun 9 §:ssä säädetyllä tavalla.

Tämän pykälän 1 momentissa säädetty ei koske rikoksesta epäiltyä eikä 7 luvun 3 §:n 1 momentissa tai 2 momentissa tarkoitettua henkilöä, joka on oikeutettu tai velvollinen kieltäytymään todistamasta.

Ehdotus esitutkintalaiksi, 10 luku, 24 § (s. 690)

Laitteen, menetelmän tai ohjelmiston asentaminen ja poisottaminen

Esitutkintavirkamiehellä on oikeus sijoittaa tekniseen tarkkailuun käytettävä laite, menetelmä tai ohjelmisto toimenpiteen kohteena olevaan esineeseen, aineeseen, omaisuuteen, paikkaan, tilaan tai tietojärjestelmään, jos tarkkailun toteuttaminen sitä edellyttää.

Esitutkintavirkamiehellä on tällöin oikeus laitteen, menetelmän tai ohjelmiston asentamiseksi, käyttöön ottamiseksi ja poistamiseksi salaa mennä edellä mainittuihin kohteisiin tai tietojärjestelmään sekä kiertää, purkaa tai muulla vastaavalla tavalla tilapäisesti ohittaa kohteiden tai tietojärjestelmän suojaus tai haitata sitä. Kotietsinnästä säädetään erikseen.

Tekniseen tarkkailuun käytettävää laitetta, menetelmää tai ohjelmistoa ei saa asentaa asumiseen käytettävään, rikoslain 24 luvun 11 §:ssä tarkoitettuun kotirauhan suojaamaan tilaan, jollei kysymys ole pakkokeinosta, jonka käyttämiseen tuomioistuin on antanut luvan.

Ehdotus pakkokeinolaiksi, 10 luku, 61 § (s. 703)

Teleyrityksen on suoritettava ilman aiheetonta viivytystä televerkkoon telekuuntelun ja televalvonnan edellyttämät kytkennät sekä annettava esitutkintaviranomaisen käyttöön telekuuntelun toimeenpanoa varten tarpeelliset tiedot, välineet ja henkilöstö. Sama koskee myös niitä tilanteita, joissa telepakkokeino toteutetaan esitutkintaviranomaisen toimesta teknisellä laitteella. Teleyrityksen on lisäksi annettava tutkinnanjohtajan käyttöön hallussaan olevat teknisen seurannan toimeenpanoa varten tarpeelliset tiedot.

Esitutkintaviranomaisella sekä toimenpiteen suorittajalla ja avustavalla henkilöstöllä on telekuuntelua varten tarpeellisen yhteyden kytkemiseksi oikeus päästä myös muihin kuin teleyrityksen hallinnassa oleviin tiloihin, ei kuitenkaan vakituiseen asumiseen käytettyihin tiloihin. Toimenpiteestä päättää pidättämiseen oikeutettu virkamies. Kotietsinnästä säädetään erikseen.

Ehdotus poliisilaiksi, 5 luku, 9 § (s. 724)

Televalvonta teleosoitteen tai telepäätelaitteen haltijan suostumuksella

Poliisilla on oikeus kohdistaa rikoksen estämiseksi televalvontaa henkilön suostumuksella tämän hallinnassa olevaan teleosoitteeseen tai telepäätelaitteeseen, kun jonkun voidaan lausumiensa tai muun käyttäytymisensä perusteella perustellusti olettaa syyllistyvän pakkokeinolain 10 luvun 7 §:n 1 ja 2 momentissa tarkoitettuun rikokseen ja televalvonnalla voidaan olettaa saatavan rikoksen estämiseksi tarvittavia tietoja.

Toimikunnan ehdotuksissa on varmasti paljon hyvää ja johdonmukaistakin, mutta ilman asiaan liittyvää avointa keskustelua näitä ei pitäisi säätää. Toimikunnan ehdotukset ovatkin menossa jatkokäsittelyyn.

Kannattaa huomata, että toimikunnan ehdottama laki on mitä vahvimmassa määrin myös tietoyhteiskuntalaki. Sitä ei siis saa jättää yksin poliisien tai poliisiasioista vastaavien virkamiesten valmisteltavaksi.

Jättimäisen mietinnön lueskeleminen kokonaan ja ajatuksella on haastava tehtävä. Se kuitenkin kannattaa, jos kansalaisoikeudet kiinnostavat. Kuka muuten tällaisia ehdotuksia rakenneltaessa edustaa kuluttajaa ja kansalaista?

Eihän Suomesta olla tekemässä poliisivaltiota, eihän?

Lex Nokia - Seis!

Elinkeinoelämän keskusliitto EK yrittää estää tietosuojavaltuutetun tietosuojavaltuutetun tarkastusoikeuden organisaatioissa, joissa käytetään sähköisen viestinnän tietosuojalakia eli urkintalakia eli Lex Nokiaa työntekijöiden sähköpostiliikenteen tunnistamistietojen seurantaan.

EK:n suunnalta asiaa on perusteltu sillä, että tarkastusoikeudesta ei ole mainittu urkintalaissa eikä nykyinen lainsäädäntö ei anna tietosuojavaltuutetulle oikeutta tarkastaa yrityksiä, joissa seurataan työntekijöiden sähköposteja.

Oikeusministeri on eri mieltä ja sanoo tarkastusoikeuden perustuvan henkilötietolakiin. Liikenne- ja viestintäministeriö on taas sitä mieltä, että tarkastusoikeutta ei ole.

Lopullisesti EK ei vielä ole muotoillut omaa kantaansa. Hallinto-oikeuden professori Olli Mäenpään mukaan olisi epäjohdonmukaista, jos tietosuojavaltuutetun toimialaan liittyviä asioita ei voitaisi valvoa. Jos valvontaoikeutta ei olisi, meillä olisi voimassa urkintalaki, jota kukaan ei saisi valvoa.

Tietosuojavaltuutetun toimivalta perustuu henkilötietolakiin ja tietosuojavaltuutetun itsensä mielestä ei olisi ollut järkeä kirjoittaa olemassa olevasta toimivallasta johonkin muuhun lakiin.

EK:n mielestä laki on siitäkin syytä ongelmallinen, että se antaisi tietosuojavaltuutetulle poliisia suuremman toimivallan.

* * *

Nyt seis ja heti.

Meillä on siis laki, jota ei saa valvoa? Käänteisesti se tarkoittaisi sitä, että meillä on laki, joka antaa yrityksille ja yhteisöille oikeuden seurata työntekijöiden sähköposti yms. liikennettä ilman pelkoa viranomaisista. Jos näin on, niin voimme todeta elävämme digitaalisessa villissä lännessä, missä vallitsee vain vahvemman laki.

Se on täysin kestämätön olotila, että liikenne- ja viestintäministeriössä asiassa ei nähdä ongelmaa tai että voidaan säädellä yksityisten ihmisten tietosuojaan liittyviä lakeja ilman, että niitä voidaan valvoa. Myös liikenne- ja viesintäministeriön pitäisi ymmärtää olevansa myös kansalaisten asialle.

Kun EK on huolissaan siitä, että tietosuojavaltuutettu saisi valvontaoikeuden myötä poliisia suuremmat valtuudet, EK unohtaan tyystin sen, että urkintalaki antaa itse yrityksille poliisia suuremmat valtuudet esitutkintatoimiin rinnastettaviin toimiin.

Kysymys ei ole mistään joutavasta asiasta, vaan ihmisten perusoikeuksista tietoyhteiskunnassa.

Vaihtoehtoja tilanteessa on kaksi. Joko valvontaasiat ratkaistaan kestävällä ja pysyvällä tavalla tai urkintalaki on kumottava.

Asian valmistelun voisi ottaa pois liikenne- ja viestintäministeriöltä, sillä se on jo tähän mennessä osoittanut epäpätevyytensä kansalaisoikeuksiin liittyvissä asioissa.

Google osaa ennustaa?

Googlen hakutulosten tilastoissa sikainfluenssan leviäminen näkyi jo ennen kuin se nousi otsikoihin. Tilastoissa näkyy piikki ihmisten tekemissä kyselyissä, jotka liittyivät influenssaan.

Terveysviranomaisten kyseltyä tietoja asiasta, Google pisti pystyyn kokeellisen Experimental Flu Trends for Mexico-saitin. Tilastoista voi päätellä millä alueilla kyselyjä on tullut eniten sekä niiden tilastollinen ajankohta. Googlen mukaan tiedoista ei voi päätellä yksittäisten käyttäjien toimia, vaan esitys perustuu laajan käyttäjäjoukon antamiin tuloksiin.

Google korostaa, että kyseessä kokeellinen versio menetelmästä ja että sen luotettavuutta pitää vielä parantaa.

* * *

Asia on itseasiassa hyvinkin mielenkiintoinen. Esimerkiksi kuvatunlaisessa epidemiatilanteessa ihmiset reagoivat asiaan todennäköisesti aikaisemmin kuin mikään virallinen taho, jonka täytyy ensin saada jotain aineistoa kasaan. Ihmiset luontaisesti selvittävät asiaa usein ensin itse.

Tavallaan kyse on siitä, että miten havaita laajoja ihmisten huolenaiheita nopeasti tai alueellisesti.

Mihin muuhun tällaista ideaa voisi käyttää?

Ajatellaanpa nyt vaikka poliittisten tai yhteiskunnallisten kiinnostusten skannaamista. Se on politiikassa hyödyllinen tieto, mitkä aihealueet kiinnistava kansalaisia milloin ja missä.

Tuo idea toki osoittaa tällaisen tiedon käytön ongelmallisuuden eli tietoja voisi käyttää myös hyvinkin spekulatiivisiin asioihin.

Tekniikkaan liittyy myös ongelmia eli tilastoja on mahdollista tulkita väärin tai joissain tilanteissa ihmiset eivät yksinkertaisesti käytä hakukonetta, vaan etsivät tietonsa muuten tai eivät ylipäätänsä etsi mitään, koska ei tarvitse. Metodologian luotettavuuden selvittäminen on muutenkin varsin avainasemassa.

Googlen kokeellinen idea voi olla siis hyvinkin hyödyllinen, mutta vapaa Isoveli-näkökulmasta se ei ole.

Europarlamentti ei pidä nettikontrollista

Europarlamentti on hyväksynyt mietinnön (Word-dokumentti, 108 KB) sananvapauden ja yksilönsuojan kaltaisten perusvapauksien sekä internet-turvallisuuden vahvistamisesta.

Mietinnön mukaan internetistä on on tulossa korvaamaton väline demokraattisten aloitteiden edistämisessä, uusi foorumi poliittiselle keskustelulle sekä keskeinen väline maailmanlaajuisesti käytettäessä sananvapautta ja kehitettäessä liiketoimintaa.

Hyväksytyssä asiakirjassa katsotaan, että demokraattisessa yhteiskunnassa nimenomaan kansalaisilla on oikeus tarkkailla ja arvioida päivittäin hallitustensa ja heille palveluja tuottavien yksityisten yritysten toimintaa ja mielipiteitä. Parlamentti huomauttaa myös, että edistykselliset valvontamenetelmät uhkaavat yhä enenevässä määrin tätä periaatetta, koska toisinaan laissa ei säädetä riittävän hyvin niiden käytön rajoittamisesta.

Yksi tärkeä näkökulma on sekin, että parlamentin mukaan yksilöillä on oikeus ilmaista itseään vapaasti internetissä.

Mietinnössä todetaan, että esimerkiksi hakukoneet ja palveluntarjoajat ovat helpottaneet huomattavasti tietojen hankkimista esimerkiksi muista ihmisistä ja että joissakin tilanteissa yksittäiset henkilöt haluavat kuitenkin poistaa näissä tietokannoissa olevia tietoja. Niinpä europarlamentti linjaa, että yritysten on voitava siksi varmistaa, että yksilöt saavat henkilökohtaiset tietonsa poistettua tietokannoista.

Koska netin palveluita voidaan käyttää esimerkiksi indentiteettivarkauksiin, yksityisyyden suoja internetissä on europarlamentin mukaan perusoikeus, jonka suojaaminen on lainsäätäjien kiireellisimpiä tehtäviä.

Europarlamentti on linjannut myös internet-viestinnän suhdetta rikollisuuteen. Mietinnössä otetaan huomioon se, että internetiä on myös käytetty väkivaltaisten viestien, kuten tahallisesti terrori-iskuihin yllyttävien viestien sekä viharikoksiin mahdollisesti yllyttävien sivustojen, levittämiseen.

Parlamentin mukaan näihin rikoksiin on reagoitava tehokkaasti ja määrätietoisesti muuttamatta internetin pohjimmiltaan vapaata ja avointa luonnetta.

Sosialistiseen PSE-ryhmään kuuluvan kreikkalaismepin Stavros Lambrinidisin valmistelema mietintö hyväksyttiin selvin numeroin 481–25 (21 poissa) ja vaikka sillä ei olekaan lain voimaa, on se selvä viesti muille päättäjille.

Europarlamentti ei nyt pähkäile ensimmäistä kertaa netin sananvapautta ja toimintamekanismeja. Viime kesänä virolainen europarlamentaarikko Marianne Mikko sai meteliä aikaiseksi ehdotellessaan blogeille annettavia laatuleimoja ja bloggaajien rekisteröintiä.

Tässä mietinnössä ääni kellossa on varsin erilainen kuin aiemmin. Rikoksiin pitää puuttua, mutta ei rikkomatta netin vapaata luonnetta tai ihmisten sananvapautta tai yksityisyyden suojaa.

Löytyy sieltä EU:sta tolkkuakin.

Häpeälliset päätökset

Tänään tuli päätös urkintalain eli Lex Nokian eli sähköisen viestinnän tietosuojalain muutoksen käsittely sai eduskunnassa päätepisteen.

Äänin 96 jaa, 56 ei, 0 tyhjää ja 47 poissa, tuo kiistelty laki tuli hyväksytyksi. Demokratia on siis puhunut ja se siitä.

Ensimmäinen häpeällinen asia on se, että 47 kansanedustajaa oli poissa äänestyksestä. On vaikea uskoa, että 23,5 % kansanedustajista olisi kuumeessa, sairaana, eduskunnan työmatkoilla tai muilla hyväksyttävissä olevilla teillä.

Jos poissaolijoiden kohdalla olisi kyse flunssa-aallosta, eduskunnan valiokuntamatkoista tai muista edustustehtävistä, niin on erittäin vaikea uskoa, että poissaolijoiden jakauma menee näin:

• Hallitusryhmät: 30
• Oppositio: 17

Tai näin:

• Keskusta: 9
• Kokoomus: 12
• Sosiaalidemokraatit: 11
• Vasemmistoliitto: 3
• Vihreät: 6
• RKP: 3
• Kristillisdemokraatit: 2
• Perussuomalaiset: 1

Varmasti osalla kansanedustajista on ollut perusteltu syy, mutta todennäköisyydet vaan eivät puolla ideaa, että esimerkiksi vihreiden edustajista 42,8 %, sosiaalidemokraateista 24,4 %, kokoomuslaisista 23,5 %, keskustalaisista 17,6 % tai vasemmistoliittolaisista 17,6 % olisivat olleet flunssassa tms.

Sinänsä pienten puolueiden prosentteja (kuten esim. RKP:n 30 %) ei kannata liian tarkkaan laskea, mutta hallituspuoleeksi vihreiden prosentti on silmiinpistävän korkea. Korkeat poissaoloprosentit ovat myös suurilla hallituspuolueilla kokoomuksella ja keskustalla sekä pääoppositiopuolue sosiaalidemokraateilla. Vihreitä on siis turha osoitella liikaa sormella, sillä myös muilla hallitus ja oppositiopuolueilla näyttää olevan samoja ongelmia.

Päätöksestä jää hakematta sellainen maku, että varsin monella edustajalla omatunto tai muu vastaava soimasi liikaa.

Poissaolo näistä äänestyksistä ilman hyvää syytä on verrattavissa kansalaisten äänestämättä jättämiseen vaaleissa. Demokratian kannalta se on yhtä tuomittavaa ellei sitten vielä pahempaa, koska kansanedustajat on valittu tekemään päätöksiä meidän äänestäjien puolesta ja veronmaksajina maksamme heille nimenomaan siitä palkkaa.

Toinen häpeällinen asia liittyy myös noihin prosentteihin eli miksi tällaisessa asiassa, jolla ei ole valtion budjetin tai muun vastaavan asian kanssa mitään tekemistä, ryhmäkuria yritettiin edes painostaa paikalle ja ilmeisesti erilaisia kytkentöjä muihin lainsäädäntöhankkeisiin rakentaa?

Nykyaikaisen politiikan ei pidä olla koplaamista ja kaupankäyntiä toisiinsa liittymättömillä asioilla tai pakottamista ryhmäpäätöksiin asioissa, jotka ovat luonteelta hyvinkin periaatteellisia, kuten tämä urkintalaki.

Jos Nokiaa on syytetty (aiheesta tai aiheetta) painostamisesta tässä prosessissa, näyttää siltä, että se painostaminen hankkeen ympärillä jatkui prosessin loppuun asti, mutta lopulta pelkästään poliittisin voimin.

Ei ole vaikea yhtyä terolehtt:n sanoihin Jaikussa: Huono päivä edustukselliselle demokratialle ... Mitä tekee tällaisilla edustajilla?

Tällaiset prosessit eivät ole kunniaksi kenellekään, eikä tämä todennäköisesti edes jää tähän. Itse ongelman ja kysymyksen puiminen jatkuu. Kysymyshän on siitä, kuka ja millä valtuuksilla saa kansalaisia kontrolloida ja valvoa. Tämä oli vain yksi isovelilaki muiden joukossa.

Avoin yhteiskunta hävisi jälleen.

Lisää:

• Päivän toinen Jaikuketju
• Vaiheinen: Urkintalaki
• YLE: Lex Nokia hyväksyttiin eduskunnassa
• HS: Eduskunta hyväksyi Lex Nokian – 47 kansanedustajaa poissa

EDIT klo 23.02
Electronic Frontier Finland ry eli Effi ry on vaatinut, että Tasavallan presidentti Tarja Halonen pyytää urkintalaista lausunnon korkeimmalta oikeudelta ennen kuin hän allekirjoittaa lain. Ehdotus on perusteltu siitä näkökulmasta, että asiaan liittyy perustuslaillisia kysymyksiä, joiden ratkaiseminen on järkevää ennen kuin asia menee prosessissa eteenpäin. Olisiko operaatiosta lopultakaan hyötyä, sitä on vaikea arvioida.

Tekijänoikeudet ja urkintalaki

Professori Jukka Kemppinen kirjoittaa blogissaan hämmentävästä yksityiskohdasta käynnissä olevan urkintalain käsittelyn uutisoinnista:

television iltauutisiin ilmestyi kirjoitettuna ja puhuttuna tieto: ”Lex Nokialla halutaan kuriin yrityssalaisuuksien vuoto, TEKIJÄNOIKEUSSUOJATUN MATERIAALIN KOPIOINTI…"

Kuten Kemppinen kirjoittaa, niin tähän mennessä tekijänoikeussuojattu materiaali ei ole kuulunut urkintalain perusteluihin tai piiriin.

Jos tällaisella materiaalilla olisi jotain tekemistä urkintalain kanssa, kansalaisten tietojen seuraamiseksi yhteisötilaajien toimesta ei tarvittaisikaan epäilyä niinkin vakavasta asiasta kuin yritysvakoilusta tai vastaavasta, vaan pelkkä tiedostojen kopiointi riittäisi. Siinä olisi jo viestintäsalaisuus ja sananvapaus koetuksella pahemman kerran, mikäli se ei vielä ole.

Ehkäpä kyse on vain virheestä uutisissa eikä itse asiaan liittyvästä asiasta. Moinen kömmähdys kertoo kuitenkin siitä, miten pihalla käsitteistä ja asian syvemmistä urista osa poliitikoista ja osa mediasta on.

Sen sijaan, että laille yritetään etsiä perusteluita myös sieltä missä niitä ei ole, kannattaisi aidosti miettiä mitä urkintalain kaltaiset käytännössä turhat lait tarkoittavat tietoyhteiskuntakehitykselle?

Varmuudella epäilyksen synkkä varjo siellä ja täällä eivät paranna sitä henkeä, jolla tarvittavaa luovuutta organisaatioissa saadaan ylläpidettyä ja kehitettyä. Tässä mielessä urkintalaki edustaa paluuta savupiipputeollisuuden kulttuuriin.

Pari juttua itse asiasta eli urkintalain eduskuntakäsittelystä:

• Lex Nokialle ei löytynyt vihreistä yhtään ymmärtäjää (HS, 24.2.2009)
• Lakia vahvempi Nokia (HS, 1.2.2009)

Urkintalaki

Miksi urkintalakia ei pidä säätää?

Keskeisiä perusteita on useampiakin.

Ensinnäkin laki antaa yrityksille sellaisia tutkintaoikeuksia, joita ei edes poliisilla ole. Toiseksi se loukkaa viestintäsalaisuutta. Kolmanneksi laki murtaisi lähdesuojan. Ja niin edelleen.

Tämä kaikki aiotaan hallituksen voimin säätää tavallisen lain säätämisjärjestyksessä, vaikka oikeusoppineet ovat olleet sitä mieltä, että lailla kosketaan kansalaisten perustuslaillisiin oikeuksiin niin paljon, että vaikeutettu säätämisjärjestys olisi paikallaan. Perustuslaki on siis tämän urkintalain edessä vain paperia.

Selvitys siitä, että lain noudattaminen vaatisi yhteisötilaajilta (jotka siis voivat olla yritysten lisäksi, kirjastoja, oppilaitoksia, taloyhtiöitä jne.) täytettäväksi ensin tiukat tietoturvakriteerit, on tyhjän päällä, sillä missään ei ole riittävällä tarkkuudella kerrottu mitä nuo kriteerit ovat.

Näiden tietoturvakriteerien määrääminen olisi syytä säätää samassa yhteydessä tai seuranta voi mennä mielivaltaiseksi.

Tietosuojavaltuutettu ehdotti Aamulehdessä yleisen tietoturvalain säätämistä ja Aamulehti pääkirjoituksessaan kannattaa ideaa. Sellainen tarvitaan, mikäli urkintalain perusteluja aiotaan käyttää, sillä suuri osa nykyisistä tietosuojaan ja tietoturvaan liittyvistä ongelmista johtuu siitä, että "yritysten johto ei tajua tietoturvasta yhtään mitään".

Samoin koko tietosuojapolitiikka on harhapoluilla eikä kokonaisuus tunnu olevan oikein kenelläkään hallinnassa. Lisää kansalaisten kontrollia tuodaan lainsäädäntöön pikkuhiljaa ilman, että kokonaisuus ja suunta ovat selkeitä. Se ei voi olla johtamatta huonoihin lopputuloksiin esimerkiksi tietoyhteiskuntastrategioiden kehittämisessä.

Sillä ei oikeastaan ole mitään merkitystä onko teollisuuden ja talouden piiristä uhkailtu tämän lain yhteydessä virkamiehiä ja poliitikoita, vaikka sekin on vakava asia, joka sietäisi tutkia.

Laki on siis kansalaisten oikeuksien kannalta vahingollinen ja varsin epäselvä.

Lisää Vaiheisessa:

• Urkintalaki ja uussuomettuminen
• Huonoa huumoria urkintalain ympärillä