Lainsäädäntö

Oikeus yksityisyyden suojaan on Suomen perustuslain turvaama henkilöllinen oikeushyvä eli oikeusjärjestyksen suojelema etu. Suomen perustuslain 10 §:n mukaan henkilötietojen suojasta säädetään lailla. Henkilötietojen käsittelyä koskevia erillisiä vaatimuksia tulee osaltaan myös Euroopan unionin normeista sekä muista kansainvälisistä säännöksistä, normeista ja suosituksista. Yksityisyyden suojaan vaikuttavat lait ovat henkilötietolaki, laki viranomaisten toiminnan julkisuudesta, laki yksityisyyden suojasta työelämässä, Tietoyhteiskuntakaari (ent. sähköisen viestinnän tietosuojalaki) sekä EU:n direktiivit: henkilötietodirektiivi (46/1995/EY) ja sähköisen viestinnän tietosuojadirektiivi (58/2002/EY).

Tietoyhteiskuntakaari on suomalaisittain merkittävin laki tietoverkoissa toimiessa. ”Lain tavoitteena on myös turvata sähköisen viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen.” (917/2014). Sähköisen viestinnän tietosuojalakiin (joka korvattiin 1.1.2015 tietoyhteiskuntakaarilailla) lisättiin merkittävä muutos toukokuussa 2008 (343/2008), jolloin säädettiin teletunnistamistietojen tallentamisesta. Kyseinen muutos oli seurausta EU:n direktiivistä (24/2006/EY), jolla teleyritykset velvoitettiin säilyttämään kaikkien viestintää harjoittavien tilaajien ja käyttäjien tunnistamistiedot sekä tietyt muut tiedot. Direktiivin mukaan tiedot on säilytettävä vähintään kuuden kuukauden ajan ja enintään kahden vuoden ajan. Poliisilla on lain mukaan oikeus saada teletunnistetietoja teleyritykseltä tiettyjen vähäisten viestintään liittyvien rikosten selvittämiseksi. Suomessa tietoyhteiskuntakaarilain 157 §:n mukaan teleyritysten tulee säilyttää tunnistetiedot viranomaistarpeita varten 12 kuukauden ajan viestinnän päivämäärästä. Säilytysvelvollisuus ei kuitenkaan koske viestin sisältöä eikä verkkosivustojen selaamisesta kertyviä välitystietoja.

Viranomaisten oikeudesta saada tunnistamistietoja rikosten ennalta estämiseksi ja paljastamiseksi säädetään poliisilaissa (493/1995) ja tullilaissa (1466/1994). Poliisilaki kuitenkin kumottiin uudella, 1.1.2014 voimaan astuneella poliisilailla (872/2011). Viranomaisten oikeudesta saada tunnistamistietoja rikoksen selvittämiseksi säädetään pakkokeinolaissa (450/1987). Tammikuun 1. päivänä vuonna 2014 astui Suomessa uudet pakkokeinolain muutokset voimaan. Tällöin poliisille myönnettiin mm. oikeudet kansalaisten salakuunteluun asentamalla troijalaisia tai muita haittaohjelmia epäiltyjen tietokoneille, tableteille tai matkapuhelimille. Laki pakkokeinolain 5 a luvun 2 ja 4 §:n muuttamisesta sekä Laki pakkokeinolain 10 luvun 3 ja 17 §:n muuttamisesta.

2 § Telekuuntelun edellytykset

Kun on syytä epäillä jotakuta

1) joukkotuhonnasta, joukkotuhonnan valmistelusta, rikoksesta ihmisyyttä vastaan, törkeästä rikoksesta ihmisyyttä vastaan, sotarikoksesta, törkeästä sotarikoksesta, kidutuksesta, kemiallisen aseen kiellon rikkomisesta, biologisen aseen kiellon rikkomisesta, jalkaväkimiinakiellon rikkomisesta,

rikoksen esitutkintaa toimittavalle viranomaiselle voidaan antaa lupa kuunnella ja tallentaa televiestejä, joita epäilty lähettää hallussaan olevasta tai oletettavasti muuten käyttämästään teleliittymästä, teleosoitteesta tai telepäätelaitteesta, taikka tällaiseen teleliittymään, teleosoitteeseen tai telepäätelaitteeseen tulevia hänelle tarkoitettuja viestejä, jos saatavilla tiedoilla voidaan olettaa olevan erittäin tärkeä merkitys rikoksen selvittämiselle.

Suomen ja EU:n lakien tarjoama suoja yksityisyydelle on kaikkea muuta kuin riittävä. Esimerkiksi Ruotsin puolustusministeriön alainen organisaatio Försvarets radioanstalt eli FRA saa seurata ja salakuunnella kaikkea Ruotsin läpi kulkevaa viestiliikennettä. Ruotsin parlamentti hyväksyi 18.6.2008 niin sanotun FRA-lain eli Ruotsin viestintätiedustelulain (2008:717), joka astui voimaan 1.1.2009. Lain turvin FRA pystyy valvomaan helposti kaikkea Ruotsiin kulkevaa nettiliikennettä. Laki koskee suurelta osin myös suomalaisia, koska merkittävä osa ulkomaille suuntautuvasta Internet-liikenteestä kulkee Ruotsin kautta.

Verkkopalveluissa yksityisyyden suojaan vaikuttaa usein sen maan laki, jossa palvelu toimii. Esimerkiksi useat suositut verkkopalvelut toimivat Yhdysvalloissa, ja tällöin yksityisyyden suojaa ajatellen niitä velvoittaa muun muassa USA PATRIOT -laki (Pub. L. No. 107–56, 2001). Kyseinen laki antaa esimerkiksi FBI:lle mahdollisuuden pakottaa Yhdysvalloissa toimivien verkkopalveluiden tarjoajat luovuttamaan asiakastietojaan kansallisen turvallisuusuhan nimissä. Tämä voidaan tehdä kaiken lisäksi ilman käyttäjien tietoisuutta ja ilman normaalia, pitkäkestoisempaa oikeusmenettelyä.

Yhdysvalloissa verkkopalveluita velvoittaa myös ulkomaisten kansalaisten vakoilulaki vuoden 2008 lainmuutoksineen. Lain virallinen nimi on Foreign Intelligence Surveillance Act of 1978 Amendments Act of 2008 (Pub. L. No. 110–261). Laki antaa viranomaisille oikeuden tarkkailla kaikkia ulkomaisten henkilöiden kanssa yhteydessä olevia. Sen mukaan USA:n hallinto voi vakoilla sähköposteja ja puheluita, jotka tulevat Yhdysvaltoihin tai lähtevät sieltä. Laki koskee myös USA:ssa toimivia pilvi- ja sähköpostipalveluita, joiden yksityisyyden suojaa ei voida tämän takia taata. Tammikuussa 2013 kyseinen FISAA-lainsäädäntö vahvistettiin, ja Yhdysvallat antoi viiden vuoden lisäajan lain lisäyksille, jotka antavat USA:n viranomaisille oikeuden seurata maasta lähtevää ja maahan tulevaa puhelinliikennettä sekä sähköistä tiedonkulkua ilman rajoituksia.

Edellä mainitut Yhdysvaltojen terrorismin vastaisen sodan perusteella luodut lait vaikuttavat huomattavissa määrin EU:n kansalaisten oikeuksiin ja yksityisyyden suojaan. FISAA mahdollistaa EU:n kansalaisten ja organisaatioiden reaaliaikaisen viestiliikenteen ja pilvipalveluihin tallennetun tiedon tarkkailun ilman rikosepäilyä. Lain turvin Yhdysvallat voi esimerkiksi tarkkailla eurooppalaisia poliitikkoja, aktivisteja ja toimittajia vedoten Yhdysvalloille poliittisesti tärkeisiin aiheisiin. On hyvä myös tiedostaa, että mm. Microsoftin, Googlen ja Amazonin kaltaisten organisaatioiden verkkopalveluihin tallennettu tieto on samoihin lakeihin vedoten tietosuojaltaan epäluotettavaa. Yksityisyyden suojaa yritetään myös aktiivisesti kaventaa uusilla lakiehdotuksilla. Tästä esimerkkeinä ovat viime vuosina ehdotetut lakimuutokset, joita ovat seuraavat: ACTA (Anti-Counterfeiting Trade Agreement), SOPA (Stop Online Piracy Act), PIPA/Protect IP Act (Protect Real Online Threats to Economic Creativity and Theft of Intellectual Property Act), CISPA (Cyper Intelligence Sharing and Protection Act), CISA (Cybersecurity Information Sharing Act) ja TPP (Trans-Pacific Partnership). Ehdotusten perusteella voidaan olettaa, että paine yksityisyyden suojan leikkaamiselle lisääntyy ja tulevaisuudessa uudet lakimuutokset tulevat todennäköisemmin kaventamaan käyttäjien yksityisyyden suojaa entisestään.