Yksityisistä turvallisuuspalveluista annetun lain soveltaminen tietomurtojen paljastamiseen ja tutkimiseen Itä-Suomen yliopisto Oikeustieteiden laitos J007449 Kandidaatin seminaari, rikos- ja prosessioikeus, 10 op Thor Kottelin, 181539 3.8.2011 Ohjaaja: Mika Launiala Thor Kottelin, 181539 Sisällys Lähteet ....................................................................................................................... V Kirjallisuus ............................................................................................................... V Virallislähteet........................................................................................................... V Hallituksen esitykset ............................................................................................ V Oikeustapaukset................................................................................................. VI Muut ................................................................................................................... VI Internetlähteet ........................................................................................................ VI Lyhenteet ................................................................................................................. VIII 1 Yhteenveto .......................................................................................................... 1 2 Johdanto.............................................................................................................. 3 3 Tietomurto ........................................................................................................... 3 3.1 Tietomurron tunnusmerkit .............................................................................. 3 3.2 Rangaistukset ja kvalifiointiperusteet............................................................. 4 3.3 Yleisyys ja rangaistukset vuosina 2005–2009 ............................................... 4 3.3.1 Tietomurto ............................................................................................... 4 3.3.2 Tietomurron yritys ................................................................................... 4 3.3.3 Törkeä tietomurto ja törkeä tietomurron yritys ......................................... 5 3.3.4 Viestintäviraston tilastoja ........................................................................ 5 3.4 Oikeuskäytäntö muutoksenhakuasteissa ...................................................... 5 3.5 Lähirikoksia ................................................................................................... 6 4 Tietomurron tutkiminen ........................................................................................ 6 5 Rikostenpaljastamistoiminnan sääntelyn historiaa .............................................. 7 6 Turvapalvelulaki tietomurtojen paljastamisen ja tutkimisen näkökulmasta .......... 8 6.1 Omavartiointi ................................................................................................. 8 II Thor Kottelin, 181539 6.2 Rikosten paljastaminen ja hälytysten vastaanottaminen vartioimisliiketoimintana .......................................................................................... 9 7 6.3 Vartioimisliikelupa, henkilöhyväksynnät ja koulutusvaatimukset ................. 10 6.4 Muita velvoitteita .......................................................................................... 11 6.4.1 Vartijan asun käyttäminen ..................................................................... 12 6.4.2 Velvollisuus antaa tietoja poliisille ......................................................... 13 6.4.3 Tapahtumailmoitus................................................................................ 14 6.4.4 Koiran mukana pitämisen edellytykset .................................................. 15 Turvapalvelulain rikkomisen seuraamuksia ....................................................... 16 7.1 Rangaistussäännöksiä ................................................................................ 16 7.2 Yleisyys ja rangaistukset vuosina 2005–2009 ............................................. 16 7.2.1 Vartioimisliikerikkomus .......................................................................... 16 7.2.2 Vartioimisliikerikos ................................................................................ 17 7.3 7.3.1 Esitutkintapakko ja toimenpiteistä luopuminen ..................................... 17 7.3.2 Kieltoerehdys ........................................................................................ 18 7.3.3 Rangaistuksen tuomitsematta jättäminen ............................................. 19 7.4 8 Voiko rangaistuksesta vapautua laintulkintavaikeuksien perusteella? ......... 17 Hyväksymisiin kohdistuvia seuraamuksia.................................................... 19 Turvapalvelulain soveltuvuus tietomurtojen paljastamiseen .............................. 20 8.1 Yleistä.......................................................................................................... 20 8.2 Lain tulkitsemisen periaatteita ..................................................................... 21 8.2.1 Lingvistinen argumentti sekä yleinen intentiotulkinta ............................ 21 8.2.2 Teleologinen tulkinta sekä sosiaaliadekvanssi ...................................... 21 8.2.3 Perusoikeusmyönteinen tulkinta ........................................................... 22 8.2.4 In dubio mitius -periaate ........................................................................ 22 8.3 Kontekstualistinen tulkintamahdollisuus ...................................................... 22 III Thor Kottelin, 181539 9 Johtopäätöksiä .................................................................................................. 23 9.1 Yleistä.......................................................................................................... 23 9.2 Kehitysehdotuksia ....................................................................................... 24 9.2.1 Pätevyysvaatimukset ............................................................................ 25 9.2.2 Muut velvoitteet ..................................................................................... 27 IV Thor Kottelin, 181539 Lähteet Kirjallisuus Aarnio, Aulis (2006). Tulkinnan taito. Werner Söderström Osakeyhtiö. Dobrucki, Marcin (2002). Priorities in the deployment of network intrusion detection systems. Teknillinen korkeakoulu. Fredman, Markku & Järvinen, Petteri (2003). Korkeimmasta oikeudesta. Defensor Legis 4/2003. Sivut 764–769. Frände, Dan (2005). Yleinen rikosoikeus. Suomentanut Wahlberg, Markus. Edita Publishing Oy. Hautamäki, Veli-Pekka (2004). Teleologisk tolkningsinställning och judiciell aktivism – några teoretiska synpunkter. Tidskrift utgiven av Juridiska Föreningen i Finland 2/2004, sivut 133–150. Heinämäki, Anna-Kaisa (2009). Yksityinen turvallisuusala turvallisuuspalveluiden tuottajana. Sisäasiainministeriö. Hirvonen, Teemu (2009). Rikoksen yrityksen rangaistavuuden edellytyksistä ja perusteista. Turun yliopisto. Jareborg, Nils (1989). Brotten; första häftet. P.A. Norstedt & Söners förlag. Kerttula, Timo (2010). Vartijat ja järjestyksenvalvojat julkisen vallan käyttäjinä. Helsingin yliopisto. Pyöriä, Pasi (2001). Hajautettu työ. Teoksessa: Blom, Raimo; Melin, Harri & Pyöriä, Pasi. Tietotyö ja työelämän muutos. Sivut 175–196. Gaudeamus. Tapani, Jussi (2009). Sattumaa vai ei – korkein oikeus, kieltoerehdys ja tahallisuuden kohde. Lakimies 3/2009. Sivut 470–481. Virallislähteet Hallituksen esitykset HE 94/1993 vp. Hallituksen esitys eduskunnalle rikoslainsäädännön kokonaisuudistuksen toisen vaiheen käsittäviksi rikoslain ja eräiden muiden lakien muutoksiksi. V Thor Kottelin, 181539 HE 69/2001 vp. Hallituksen esitys eduskunnalle laiksi yksityisistä turvallisuuspalveluista sekä eräiksi siihen liittyviksi laeiksi. HE 44/2002 vp. Hallituksen esitys eduskunnalle rikosoikeuden yleisiä oppeja koskevan lainsäädännön uudistamiseksi. HE 194/2006 vp. Hallituksen esitys eduskunnalle tilintarkastuslaiksi ja siihen liittyväksi lainsäädännöksi. Oikeustapaukset KKO 2003:36 Itä-Suomen HO 10.3.1992 495 Turun HO 31.3.2009 793 Muut Opetushallitus (2003). Turvallisuusvalvojan erikoisammattitutkinto 2003. Määräys 21/011/2003. Opetushallitus (2006). Vartijan ammattitutkinto 2006. Määräys 44/011/2006. PeVL 28/2001 vp. Hallituksen esitys laiksi yksityisistä turvallisuuspalveluista sekä eräiksi siihen liittyviksi laeiksi. Viestintävirasto (2007). Ohje haittaohjelman saastuttamaksi epäillyn Windowsjärjestelmän tutkintaan. CERT-FI, ohje 1/2007. Internetlähteet Lappi-Seppälä, Tapio (2008). Seuraamusjärjestelmän pääpiirteet. Teoksessa LappiSeppälä, Tapio; Hakamies, Kaarlo; Koskinen, Pekka; Majanen, Martti; Melander, Sakari; Nuotio, Kimmo; Nuutila, Ari-Matti; Ojala, Timo & Rautio, Ilkka. Rikosoikeus. Saatavilla www-muodossa (Itä-Suomen yliopiston Nelli-portaalin kautta): http://www.wsoypro.fi.ezproxy.uef.fi:2048/wsoypro.aspx?page=selain&pos=ri111.643 6. Luettu 3.6.2011. Latvala, Jari (2010). Kuka saa selvittää tietorikoksia? Saatavilla www-muodossa: http://www.opsec.fi/?p=630. Luettu 22.5.2011. VI Thor Kottelin, 181539 Nuotio, Kimmo (2005). Oikeuslähteet, ”supernormistot” ja ratkaisujen perustelu. Saatavilla www-muodossa (Itä-Suomen yliopiston Nelli-portaalin kautta): http://www.edilex.fi.ezproxy.uef.fi:2048/lakikirjasto/4323.pdf. Luettu 18.6.2011. Sanastokeskus TSK ry (2004). Tiivis tietoturvasanasto. Saatavilla www-muodossa: http://www.tsk.fi/tiedostot/pdf/TiivisTietoturvasanasto.pdf. Luettu 15.7.2011. Sanastokeskus TSK ry (2011). Tietotekniikan termitalkoot. Saatavilla wwwmuodossa: http://www.tsk.fi/tsk/termitalkoot/haku-266.html. Luettu 15.7.2011. Suomen Kennelliitto – Finska Kennelklubben ry. (2011). Koira. Saatavilla wwwmuodossa: http://www.kennelliitto.fi/FI/koira/. Luettu 28.4.2011. Tilastokeskus (2011). Suomen virallinen tilasto: Syytetyt, tuomitut ja rangaistukset. Saatavilla www-muodossa: http://www.stat.fi/til/syyttr/tie.html. Luettu 9.6.2011. Viestintävirasto (2011a). Yhteydenotot. Saatavilla www-muodossa: http://www.cert.fi/katsaukset/tilastot/yhteydenotot.html. Luettu 9.6.2011. Viestintävirasto (2011b). Viestintäviraston CERT-FI-yksikön palvelukuvaus. Saatavilla www-muodossa: http://www.cert.fi/palvelut/toiminta/certfipalvelukuvaus.html. Luettu 9.6.2011. Virolainen, Jyrki (2007). Periaatteet prosessioikeudessa. Teoksessa Lappalainen, Juha; Frände, Dan; Havansi, Erkki; Koulu, Risto; Niemi, Johanna; Nylund, Anna; Rautio, Jaakko; Sihto, Juha & Virolainen, Jyrki. Prosessioikeus. Saatavilla wwwmuodossa (Itä-Suomen yliopiston Nelli-portaalin kautta): http://www.wsoypro.fi.ezproxy.uef.fi:2048/wsoypro.aspx?page=selain&pos=pr111.70 78. Luettu 5.6.2011. VII Thor Kottelin, 181539 Lyhenteet HE hallituksen esitys HO hovioikeus KKO korkein oikeus PeVL perustuslakivaliokunnan lausunto vp valtiopäivät VIII Thor Kottelin, 181539 1 Yhteenveto Tietomurto on rikoslakirikos, jossa on kyse oikeudettomasta tietojärjestelmään tunkeutumisesta, tai vaihtoehtoisesti tietojärjestelmässä olevan tiedon oikeudettomasta hankkimisesta erikoislaitteen avulla. Oikeuskäytännössä tietomurrosta on yleensä tuomittu sakkorangaistus. Käräjäoikeuksissa tietomurtoa tai sen yritystä koskevat asiat ovat harvinaisia, vaikka esimerkiksi haittaohjelmien levitykseen perustuvat tietoturvaloukkaukset ovat erittäin yleisiä. Tietomurtoja voidaan paljastaa ja tutkia muun muassa tunkeutumisenhavaitsemisjärjestelmien sekä teknisen tutkinnan avulla. Poliisimiehen oikeuksitta harjoitettu rikosten paljastaminen ja tutkiminen luettiin aikaisemmin yksityisetsivätoiminnaksi. Kun laki yksityisistä turvallisuuspalveluista (282/2002, jäljempänä turvapalvelulaki) astui voimaan, ansiotarkoituksessa tehtävästä toimeksiantoperusteisesta rikosten paljastamisesta ja tutkimisesta tuli vartioimisliiketoimintaa, jota lähtökohtaisesti koskevat samat velvollisuudet kuin esimerkiksi omaisuuden vartioimista. Tällaiset velvollisuudet koskevat muun muassa vartijahyväksymisiä, vastaavan hoitajan koulutusta, vartijan asun käyttämistä, tietojen antamista poliisille ja tapahtumailmoitusten laatimista. Velvollisuudet ovat relevantteja perinteisen omaisuusvartioinnin ja henkivartijatehtävien kannalta, mutta vastaavat sen sijaan monilta osin huonosti tietomurtojen paljastamiseen ja tutkimiseen tähtäävää toimintaa. Tietomurtoja koskeva rikostenpaljastamistoimintahan poikkeaa perinteisestä omaisuuden vartioimisesta huomattavasti: rikoksen tekijän kanssa ei yleensä olla välittömässä vuorovaikutuksessa, vaan toiminta painottuu tietojärjestelmistä – esimerkiksi tunkeutumisenhavaitsemisjärjestelmistä ja potentiaalisista kohdejärjestelmistä – saatavan tiedon jäsentämiseen. Esimerkiksi vartijalta ja vastaavalta hoitajalta vaadittavat koulutukset painottavat perinteistä omaisuuden vartiointia. Vartijan asun käyttämistä koskevissa säännöksissä ei ole huomioitu tietotyön monimuotoisuutta. Koiran mukana pitämistä koskevien säännösten noudattaminen voi esimerkiksi etätyötä tekevän tietoturva-analyytikon kohdalla johtaa absurdeihin seurauksiin. Tapahtumailmoitusten laatimista koskeva velvollisuuskin voi olla ongelmallinen, kun työhön liittyy suuri määrä yksittäisiä, no1 Thor Kottelin, 181539 pein toimenpitein käsiteltäviä tapahtumia. Velvollisuuksia on tehostettu rangaistussäännöksin: vartioimisliikerikkomuksesta tuomitaan sakkoon, ja luvaton vartioimisliiketoiminta voi johtaa jopa vankeusrangaistukseen. Sen puolesta, että turvapalvelulakia olisi sovellettava tietomurtojen paljastamiseen ja tutkimiseen, puhuu erityisesti lain kirjaimellinen tulkinta: lainsäätäjän oletetaan lähtökohtaisesti tarkoittavan täyttä totta. Toisaalta säädöksen ja sen esitöiden sanamuoto tarjoavat myös vasta-argumentin: turvapalvelulakia koskevassa hallituksen esityksessä tietoturvallisuus mainitaan vain kahdesti, ja nämäkin maininnat ovat esittelynomaisia, vaikka esityksessä sen sijaan selitetään laajasti, kuinka lain säännöksiä on tarkoitettu sovellettavan perinteiseen omaisuusvartiointiin. Tietomurtojen paljastamiseen ja tutkimiseen ei myöskään liity samanlaista tarvetta suojella samoja oikeushyviä kuin perinteisen omaisuusvartioinnin osalta. On siis vaikea arvioida, millaiseksi syyttämis- ja oikeuskäytäntö muodostuisi esimerkiksi asiassa, jossa tietomurtoja ilman vartioimisliikelupaa paljastanutta tietoturvaanalyytikkoa syytettäisiin vartioimisliikerikoksesta. Epäselvä tilanne on oikeusvarmuuden kannalta kielteinen. Oikeusvarmuutta voitaisiin kohentaa rajaamalla tieto- ja viestintärikosten paljastaminen ja tutkiminen pois turvapalvelulain soveltamisalasta. Toisaalta olisi johdonmukaista, että yksityisiä turvallisuuspalveluja koskevalla lainsäädännöllä säänneltäisiin kaikkien rikosten tutkintaa. Tällöin sääntely olisi kuitenkin segmentoitava vastaamaan turvallisuuden eri osa-alueiden piirteitä nykyistä paremmin. Jos tietomurtojen paljastamista ja tutkimista harjoittavilta henkilöiltä edellytetään yhdenmukaista vartijan koulutusta, tätä olisi kehitettävä niin, että tieto- ja viestintärikosten paljastamiseen ja tutkimiseen suuntautunut opiskelija hyötyisi siitä. Kunnes tämä on mahdollista, tieto- ja viestintärikoksia paljastavat ja tutkivat henkilöt voitaisiin saattaa turvapalvelulain piiriin siirtymäsäännöksen avulla, kuten yksityisetsivät vuonna 2002. Henkilöhyväksyntöjen myöntämisessä on lisäksi huomioitava, että tietomurtojen paljastaminen ja tutkiminen eivät aseta samanlaisia fyysisiä vaatimuksia kuin perinteinen omaisuuden vartiointi vaan saattavat sopia myös vajaakuntoisen henkilön työtehtäviksi. 2 Thor Kottelin, 181539 2 Johdanto Pyrin tällä tutkielmalla selvittämään, kuinka yksityisistä turvallisuuspalveluista annettu laki (282/2002, jäljempänä turvapalvelulaki) soveltuu tietomurtojen ammattimaiseen paljastamiseen ja tutkimiseen eli sellaisten yrittäjien ja työntekijöiden toimintaan, jotka paljastavat ja tutkivat tietomurtoja ansiotarkoituksessa ja toimeksiantosopimuksen perusteella. 3 Tietomurto Rikoslain (39/1889) 38 luvun 8 ja 8 a §:ssä on kriminalisoitu tietomurto ja törkeä tietomurto. Näitä säännöksiä sovelletaan, jos teosta ei ole muualla laissa säädetty ankarampaa tai yhtä ankaraa rangaistusta. Kriminalisoinnilla pyritään suojaamaan tietojärjestelmiä ulkopuolista tunkeutumista vastaan sekä tietokonetyöskentelyn yksityisyyttä sellaista ulkopuolista tarkkailua vastaan, jossa ei ole kysymys salakuuntelusta tai salakatselusta 1. Rikos täyttyy, kun tekijä läpäisee tietojärjestelmän tunnistuskontrollin 2. Myös yritys on kuitenkin rangaistava. 3.1 • Tietomurron tunnusmerkit teko kohdistuu tietojärjestelmään, jossa sähköisesti tai muulla vastaavalla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja, tai sellaisen järjestelmän erikseen suojattuun osaan, ja o tekijä tunkeutuu oikeudettomasti tietojärjestelmään murtamalla (eli lä- päisemällä luvattomasti) turvajärjestely, esimerkiksi käyttämällä hänelle kuulumatonta käyttäjätunnusta, tai o tekijä ottaa teknisen erikoislaitteen avulla oikeudettomasti selon tietojärjestelmässä olevasta tiedosta tunkeutumatta tietojärjestelmään tai sen osaan. 3 1 HE 94/1993 vp, sivu 155. 2 HE 94/1993 vp, sivu 156. 3 Thor Kottelin, 181539 3.2 Rangaistukset ja kvalifiointiperusteet Tietomurrosta tuomitaan rikoslain 38 luvun 8 §:n 1 momentin nojalla sakkoon tai vankeuteen enintään yhdeksi vuodeksi. Tietomurto on törkeä, jos se tehdään osana rikoslain 17 luvun 1 a §:n 4 momentissa tarkoitetun järjestäytyneen rikollisryhmän toimintaa tai erityisen suunnitelmallisesti. Lisäksi edellytetään, että tietomurto on myös kokonaisuutena arvostellen törkeä. Törkeästä tietomurrosta tuomitaan sakkoon tai vankeuteen enintään kahdeksi vuodeksi. 3.3 Yleisyys ja rangaistukset vuosina 2005–2009 3.3.1 Tietomurto 4 2005 2006 2007 2008 2009 Syyksi luetut rikokset ― 1 4 5 7 Tapaukset, joissa tuomittu rangaistus ― 1 1 4 4 Keskimääräinen rangaistus (päiväsakkoa) 5 ― 30,0 40,0 27.5 21,3 3.3.2 Tietomurron yritys6 2005 2006 2007 2008 2009 Syyksi luetut rikokset 5 ― 1 ― 1 Tapaukset, joissa tuomittu rangaistus 5 ― 1 ― ― 10,0 ― 20,0 ― ― Keskimääräinen rangaistus (päiväsakkoa) 7 3 Tällaisella teknisellä erikoislaitteella tarkoitetaan esimerkiksi laitetta, joka tietojärjestelmän hajasäteilyn perusteella pystyy selvittämään järjestelmässä käsiteltävän tiedon sisällön. Ks. HE 94/1993 vp, sivu 156. 4 Tilastokeskus 2011. 5 Vapausrangaistuksia ei tuomittu. 6 Tilastokeskus 2011. 7 Vapausrangaistuksia ei tuomittu. 4 Thor Kottelin, 181539 3.3.3 Törkeä tietomurto ja törkeä tietomurron yritys Käräjäoikeuksissa ei vuosina 2005–2009 ratkaistu törkeää tietomurtoa tai sen yritystä koskevia syytteitä 8. 3.3.4 Viestintäviraston tilastoja Viestintävirastossa toimii Suomen kansallinen tietoturvaloukkauksia käsittelevä viranomainen CERT-FI 9. Yksikköön on otettu yhteys tietomurtoja koskevissa asioissa seuraavasti 10: vuosi 2002 2003 2004 2005 2006 2007 2008 2009 2010 46 30 31 49 45 119 187 120 112 yhteydenottojen määrä CERT-FI tuottaa myös Autoreporter-palvelua, joka kokoaa automaattisesti suomalaisia verkkoja koskevia haittaohjelma- ja tietoturvaloukkaushavaintoja. Vuonna 2010 palvelu lähetti 235 868 ilmoitusta tietoturvaloukkauksista ja haittaohjelmista. Ilmoitukset koskivat yhteensä 82 124 eri IP-osoitetta 11. 3.4 Oikeuskäytäntö muutoksenhakuasteissa Korkein oikeus on antanut yhden tietomurtoa koskevan ennakkopäätöksen. Päätös on vuodelta 2003. Asiassa oli kyse tietomurron yrityksen tunnusmerkistön täyttymisestä sekä vahingonkorvauksen sovittelemisesta. Syytetty oli tehnyt erään pankin verkkoa vastaan niin kutsutun porttiskannauksen, jolla hän oli etsinyt avoimia välityspalvelimia. Turun hovioikeus oli tuominnut syytetyn sakkorangaistukseen ja velvoittanut hänet suorittamaan vahingonkorvauksena asianomistajille yhteensä 75 000 markkaa (ilman aika-arvokorjausta 12 614,09 euroa) korkoineen. Korkein oikeus katsoi, että syytetty oli suorittanut skannauksen hankkiakseen tietojärjestelmään tunkeutumisessa hyödynnettävää tietoa, eikä muuttanut hovioikeuden tuomion 8 Tilastokeskus 2011. 9 Viestintävirasto 2011b. 10 Viestintävirasto 2011a. 11 IP-osoite on internetiin kytketyn tietojenkäsittely- tai tiedonsiirtolaitteen tai verkkoliittymän yksilöivä tunnus. Sanastokeskus TSK ry 2011, lekseemi IP-osoite. 5 Thor Kottelin, 181539 lopputulosta. 12 Ratkaisua on tosin arvosteltu näkökulmasta, jonka mukaan porttiskannausta ei olisi pidettävä rikoksen yrityksenä vaan kohteen havainnointiin verrattavana, rankaisemattomana valmistelutoimena 13. Lisäksi Turun hovioikeus on vuonna 2009 ratkaissut tietomurtoa koskeneen asian. Syytteen mukaan syytetty oli hänelle kuulumatonta käyttäjätunnusta käyttämällä kahdesti tunkeutunut asianomistajayhtiön sähköpostijärjestelmään. Syytetty kiisti syytteen. Käräjäoikeus ja hovioikeus eivät pitäneet syytettä toteennäytettynä. Syytetyllä ei ollut motiivia tunkeutua asianomistajan sähköpostijärjestelmään, eikä hänellä ollut hallussaan tunkeutumisessa käytettyjä salasanoja. Vaikka syytetty oli asuinnaapurinsa suojaamattoman langattoman lähiverkon välityksellä käyttänyt sitä internetliittymää, jonka kautta tietomurto oli tehty, oli mahdollista, että myös joku muu oli käyttänyt samaa liittymää ja että tämä henkilö oli tehnyt syytteessä tarkoitetun tietomurron. 14 3.5 Lähirikoksia Muita sellaisia tieto- ja viestintärikoksia, joita tyypillisesti tehdään tietoverkon välityksellä, ovat viestintäsalaisuuden loukkaus (rikoslain 8 luvun 3 §), törkeä viestintäsalaisuuden loukkaus (4 §), tietoliikenteen häirintä (5 §), törkeä tietoliikenteen häirintä (6 §), lievä tietoliikenteen häirintä (7 §), tietojärjestelmän häirintä (7 a §) ja törkeä tietojärjestelmän häirintä (7 b §)15. Tässä tekstissä mainitsemiani seikkoja voidaankin joissain määrin soveltaa myös näihin rikoksiin. 4 Tietomurron tutkiminen Tietomurtoja voidaan paljastaa ja tutkia muun muassa tunkeutumisenhavaitsemisjärjestelmiä käyttämällä ja teknisen tutkinnan avulla. 12 KKO 2003:36. 13 Fredman – Järvinen 2003, sivut 767–769. 14 Turun HO 31.3.2009 793. 15 Tietojärjestelmän häirintää, törkeää tietojärjestelmän häirintää tai niiden yrityksiä käsitellään äärimmäisen harvoin oikeudessa: vuosina 2005–2009 tapauksia oli vain yksi. Tilastokeskus 2011. 6 Thor Kottelin, 181539 Tunkeutumisenhavaitsemisjärjestelmä on tekninen järjestelmä, jonka on tarkoitus havaita, kun tietojärjestelmään tunkeudutaan tai siihen yritetään tunkeutua 16. Tunkeutumisenhavaitsemisjärjestelmän tärkeimpiä ominaisuuksia ovat väärien hälytysten vähentäminen ja tapahtumien jatkoselvityksen automatisointi 17. Kyseessä on tosiaikainen toiminta, joten tunkeutumisenhavaitsemisjärjestelmää voidaan verrata rikosilmoitusjärjestelmään. Tieto- ja viestintärikoksia voidaan tutkia myös jälkikäteen, teknisen tutkinnan keinoin. Tietomurtoa epäiltäessä voidaan esimerkiksi jäljentää tietojärjestelmän massamuistin sisältö tutkittavaksi. Tällaisessa tutkinnassa voidaan löytää esimerkiksi piilohallintaohjelmia tai muita järjestelmään luvattomasti asennettuja sovelluksia 18. Koska tunkeutuminen tietojärjestelmään turvajärjestelyn murtamalla, myös yrityksen asteelle jäädessään, täyttää tietomurron tunnusmerkistön, tunkeutumisenhavaitsemisjärjestelmillä paljastetaan rikoksia. Vastaavasti myös tekninen tutkinta tietomurron paljastamiseksi tai selvittämiseksi on rikostenpaljastamistoimintaa. 5 Rikostenpaljastamistoiminnan sääntelyn historiaa Asetus yksityisetsivän ammatista (112/1944, kumottu, jäljempänä yksityisetsiväasetus) tuli voimaan 1.4.1944. Asetuksen 1 §:n 2 momentin mukaan säädöksessä tarkoitettiin yksityisetsivän ammatilla sellaista jatkuvaa toimintaa ansion tai elatuksen hankkimiseksi, jossa ammatin harjoittaja asiakkaittensa toimeksiannosta poliisimiehen oikeuksitta suorittaa rikosten tutkimista ja selvittämistä. Yksityisetsiväasetuksen keskeisimmät säännökset koskivat • yksityisetsivän ammatin luvanvaraisuutta (1 §:n 1 momentti) • vaatimusta ammatin harjoittamiseen tarvittavasta luotettavuudesta ja taidosta (3 §:n 2 momentti) • velvollisuutta dokumentoida vastaanotetut toimeksiannot (7 §:n 1 momentti) 16 Sanastokeskus TSK ry 2004, lekseemi tunkeutumisenhavaitsemisjärjestelmä. 17 Dobrucki 2002, sivu ⅲ. 18 Viestintävirasto 2007. 7 Thor Kottelin, 181539 • velvollisuutta alistaa yksityisetsivän tehtäviin palkattavaa henkilökuntaa koskevat rekrytointipäätökset poliisiviranomaiselle (8 §:n 1–2 momentit) • velvollisuutta pitää mukana yksityisetsivän toimikorttia (10 §:n 1 momentti) • poliisin velvollisuutta valvoa yksityisetsivätoimintaa ja sen oikeus tarkastaa yksityisetsivätoiminnan asiakirjoja (11 §) • lääninhallituksen sanktioita, kuten varoitusta sekä liikkeen sulkemista määräajaksi tai kokonaan (14 §). Yksityisetsiväasetus kumottiin turvapalvelulain 63 § 3 momentilla 1.10.2002. 6 Turvapalvelulaki tietomurtojen paljastamisen ja tutkimisen näkökulmasta Turvapalvelulain säätämisen keskeisiä tavoitteita olivat: • turvallisuustoimenpiteiden kohteina olevien henkilöiden oikeusturvan parantaminen • turvallisuuspalveluja ostavien asiakkaiden kuluttajansuojan parantaminen • julkisen vallan ja yksityisen turva-alan välisen työnjaon selkeyttäminen • kokonaisturvallisuuden lisääminen tehostamalla turvallisuusviranomaisten ja yksityisen turva-alan välistä yhteistyötä 19. Turvapalvelulain voimaantulosta alkaen rikostenpaljastamistehtävät on luettu vartioimisliiketoiminnaksi. Lainsäätäjä pyrki tällä säännöksellä tehostamaan rikostenpaljastamistoimintaan kohdistuvaa viranomaisvalvontaa 20. Sellaiset rikostenpaljastamistehtävät, joita toimija suorittaa omaan lukuunsa eli omavartiointina, eivät kuitenkaan kuulu turvapalvelulain piiriin 21. 6.1 Omavartiointi Omavartiointi tapahtuu jokamiehenoikeuksin. Rikoksia omaan lukuunsa tai työnantajansa lukuun paljastavalla ja/tai tutkivalla henkilöllä ei siis ole turvapalvelulain 19 HE 69/2001 vp, sivu 1. 20 HE 69/2001 vp, sivu 30. 21 HE 69/2001 vp, sivu 41. Asiaintilaa on arvosteltu siitä, että viranomaisvalvonnan ulottumattomiin jää ihmisten perusoikeuksiin ammattimaisesti puuttuvia tahoja. Kerttula 2010, sivut 124 ja 155. 8 Thor Kottelin, 181539 28 §:ssä säädettyjä vartijan oikeuksia. Tällaiset oikeudet koskevat esimerkiksi henkilön poistamista vartioimisalueelta, rikoksentekijän kiinni ottamista, turvallisuustarkastuksen suorittamista kiinniotetulle ja näihin toimenpiteiden edellyttämien voimakeinojen käyttämistä. Henkilön poistaminen vartioimisalueelta tosin lienee tarpeen lähinnä omaisuuden vartiointia koskevien toimeksiantojen yhteydessä, ei niinkään rikostenpaljastamistehtävissä 22. Vartijalle säädetty kiinniotto-oikeus voimankäyttöoikeuksineen puolestaan eroaa pakkokeinolain (450/1987) 1 luvun 1 §:n 1 momentissa säädetystä jokamiehen kiinniottooikeudesta vain siten, että vartijalla on kiinniotto-oikeutta käyttäessään oikeus suorittaa kiinni otetulle edellä mainitun turvallisuustarkastuksen. Vartija saa siis tarkastaa kiinni otetun sekä tämän mukana olevat tavarat sen varmistamiseksi, ettei kiinni otetulla ole hallussaan esineitä tai aineita, joilla hän voi aiheuttaa vaaraa itselleen tai muille. Vartija saa myös ottaa pois tarkastuksessa tavatut vaaralliset esineet tai aineet poliisille luovutettaviksi. 6.2 Rikosten paljastaminen ja hälytysten vastaanottaminen vartioimisliiketoimintana Vartioimistehtävät määritellään turvapalvelulain 2 §:n 3 kohdassa. Niitä ovat omaisuuden vartioiminen, henkilön koskemattomuuden suojaaminen sekä vartioimiskohteeseen tai toimeksiantajaan kohdistuneiden rikosten paljastaminen. Vartioimistehtävänä pidetään saman kohdan nojalla myös minkä tahansa tällaisen tehtävän valvomista 23. Rikosten paljastamisella tarkoitetaan muiden kuin viranomaisten suorittamaa rikosten ilmisaattamista ja sellaisia siihen liittyviä rikosten alustavista selvittämistoimenpiteistä, joiden avulla hankitaan riittävät tiedot viranomaisille tehtävää rikosilmoitusta varten sekä paljastuneen rikoksen vuoksi mahdollisesti suoritettavat lisäselvitystoimenpiteet 24. Toimeksiantajaan kohdistuneiden rikosten paljastaminen on siis vartioimistehtävä. Myös sellaisten hälytysten vastaanottaminen ja välittäminen, joista ainakin osa on 22 Kerttula 2010, sivu 128. 23 Vartioimistehtävien valvominen tarkoittaa lähinnä työn välitöntä johtamista, ei vartioimisliikkeen johtamista. HE 69/2001 vp, sivut 42–43. 24 HE 69/2001 vp, sivu 30. 9 Thor Kottelin, 181539 rikosperusteisia, on vartioimistehtävä 25 . Turvapalvelulain 2 §:n 2 kohdasta johtuu, että vartioimistehtävät puolestaan ovat vartioimisliiketoimintaa, kun niitä suoritetaan ansiotarkoituksessa ja toimeksiantosopimuksen perusteella. 6.3 Vartioimisliikelupa, henkilöhyväksynnät ja koulutusvaatimukset Vartioimisliiketoiminta edellyttää turvapalvelulain 3 §:n 1 momentin mukaan vartioimisliikelupaa ja lain 15 §:n 1 momentin nojalla sitä, että vartioimisliikkeen palveluksessa on yksi tai useampi vastaava hoitaja. Vastaava hoitaja on liikkeen vartioimistoiminnan operatiivinen johtaja ja valvontaviranomaisten yhteyshenkilö 26. Jotta henkilö voitaisiin hyväksyä vastaavaksi hoitajaksi, häneltä edellytetään lain 20 §:n 1 momentin nojalla muun muassa vastaavan hoitajan koulutuksen suorittamista. Tämä koulutus perustuu turvallisuusvalvojan erikoisammattitutkintoon, johon voidaan sisällyttää myös tietoturvallisuutta koskeva osa 27. Turvapalvelulain 16 §:n 1–2 momenteissa säädetään, että vartioimisliike saa teettää vartioimistehtäviä vain sellaisella palveluksessaan olevalla, jonka hyväksyminen vartijaksi on voimassa, tai toisella vartioimisliikkeellä. Vartijaksi hyväksyminen edellyttää lain 24 §:n 1 momentin nojalla muun muassa, että henkilö on suorittanut vartijan peruskoulutuksen, että hänet tunnetaan rehelliseksi ja luotettavaksi ja että hän on henkilökohtaisilta ominaisuuksiltaan sopiva vartijaksi. Näistä vaatimuksista poiketen vartioimisliikkeellä saa lain 16 § 3 momentin nojalla olla palveluksessaan yksi väliaikainen vartija jokaista kolmea edellä mainitun koulutuksen saanutta, vartioimistehtäviä suorittavaa vartijaa kohti. Väliaikaiselta vartijalta edellytettävä koulutus, josta säädetään lain 25 § 1 momentissa, on vartijan koulutusta lyhyempi. Vartijaksi hyväksyttävältä henkilöltä edellytettävästä koulutuksesta säädetään vartioimisliikkeen vastaavan hoitajan ja vartijan koulutuksesta annetussa asetuksessa (780/2002). Väliaikaisen vartijan koulutus on 40 tunnin pituinen. Koulutukseen sisältyy muun muassa 6 tunnin pituinen opetusaihe Vartiointi, jossa vartiointimuodoista ja -tehtävistä käsitellään paikallisvartiointia, piirivartiointia, hälytysvartiointia, myymälätarkkailua, henkivartijatehtäviä ja arvokuljetusta. Opetusaihe Vartijan toiminta on 25 HE 69/2001 vp, sivu 41. 26 HE 69/2001 vp, sivu 43. 27 Opetushallitus 2003, sivut 6 ja 16–17. 10 Thor Kottelin, 181539 9 tunnin pituinen, ja siinä käsitellään muun muassa kohteiden avaimia sekä valaisimia, voimankäyttövälineitä, suojausvälineitä, koiraa ja vartioimistyössä tarvittavien viesti-, kuljetus- sekä muiden välineiden toimintaperiaatteita ja käyttöä. Samassa opetusaiheessa käsitellään edelleen muun pääsyn estämistä sekä poistamista, omaisuuden takaisin ottamista ja turvallisuustarkastusta. Samassa asetuksessa säädetään myös 60 tunnin pituisesta vartijan koulutuksesta, joka suoritetaan väliaikaisen vartijan koulutuksen jälkeen. Vartijan koulutuksen laajin opetusaihe on 19 tunnin pituinen Vartijan toiminta ja tilannehallinta, jossa syvennetään väliaikaisen vartijan koulutuksen edellä mainittua Vartiointi-opetusaihetta. Jo koulutuksen sisällön perusteella on selvää, että se on laadittu perinteisen omaisuusvartioinnin ehdoilla. Sen sijaan henkilölle, joka esimerkiksi käyttää työnantajansa asiakkaiden tunkeutumisenhavaitsemisjärjestelmiä etäyhteyden kautta tai suorittaa tietojärjestelmien teknistä tutkintaa, merkittävä osa edellä mainitusta opetussisällöstä on hänen käytännön tehtäviensä kannalta epäolennaista. Pitkän aikavälin tavoitteeksi on asetettu, että enemmistö vartijoista suorittaa vartijan ammattitutkinnon 28. Nykyisellään vartijan ammattitutkintokaan ei tosin sisällä tietoturvallisuuteen keskittyvää osaa 29. Vartijan henkilökohtaisten ominaisuuksien arvioimisesta todetaan turvapalvelulain esitöissä muun muassa, että huomiota olisi kiinnitettävä sellaisiin vammoihin ja sairauksiin, jotka saattaisivat heikentää olennaisesti hakijan kykyä toimia vartijana tai täyttää vartijalle asetettuja velvollisuuksia. Samassa yhteydessä todetaan, että eräitä vartioimistehtäviä, esimerkiksi hälytyskeskuspäivystystä, voivat menestyksellisesti hoitaa myös liikuntarajoitteiset henkilöt. 30 6.4 Muita velvoitteita Turvapalvelulaissa on säädetty lukuisia velvollisuuksia muun muassa vartioimisliikkeille ja vartijoille. Käsittelen näistä velvoitteista muutamia sellaisia, jotka voivat olla tietomurtojen paljastamisen ja tutkimisen kanssa erityisen ongelmallisia. 28 HE 69/2001 vp, sivu 31. 29 Opetushallitus 2006. 30 HE 69/2001 vp, sivu 70. 11 Thor Kottelin, 181539 6.4.1 Vartijan asun käyttäminen Turvapalvelulain 32 § 1 momentissa säädetään, että vartijan on vartioimistehtävissä oltava pukeutunut vartijan asuun ja että saman vartioimisliikkeen palveluksessa olevien, samanlaisia tehtäviä suorittavien vartijoiden on oltava pukeutuneita yhdenmukaisesti. Vartijan asun tulee lain 33 § 1 momentin nojalla olla siisti ja asianmukainen. Lain 32 §:n 3 momentissa säädetään, että vartijan asua saa käyttää vain vartija vartioimistehtävissä. Vapaa-aikanaan vartija ei siis saa käyttää vartijan asua. Vartijan asun käyttämistä koskevilla säännöksillä pyritään lisäämään vartioimistoiminnan avoimuutta ja vartijan toimenpiteiden kohteeksi joutuneen henkilön oikeusturvaa sekä osoittamaan, millaiset valtuudet vartijalla on. 31 Yksityisistä turvallisuuspalveluista annetussa valtioneuvoston asetuksen (534/2002) 9 §:ssä säädetään vartijan asun merkeistä ja teksteistä. Vartijan asun rintamuksen vasemmalle puolelle on merkittävä sana vartija suomeksi, ruotsiksi ja/tai muulla kielellä siten, kuin pykälässä tarkemmin säädetään, sekä vartioimisliikkeen nimi tai nimilyhenne taikka vakiintunut liikemerkki. Nämä tiedot saadaan merkitä myös vartijan mahdolliseen päähineeseen. Vartijan ammattitutkinnon suorittaneen vartijan asun olkapoletteihin on merkittävä vähintään 15 millimetrin korkuinen A-kirjain. Myös vartijan asussa mahdollisesti käytettävät arvomerkit on kiinnitettävä olkapoletteihin. Vartijan asun rintamuksessa saa olla irrotettavissa oleva vartijan henkilöllisyyttä ja asemaa osoittava laatta. Vartijan asussa ei saa näkyä muita merkkejä ja tekstejä. Turvapalvelulain 32 § 2 momentin nojalla vartija saa muun muassa myymälätarkkailussa ja muissa vastaavissa rikosten paljastamiseen liittyvissä tehtävissä sekä henkivartijatehtävissä ja arvokuljetustehtävissä muuta kuin vartijan asua, jos tehtävä sitä edellyttää. Lain esitöistä ilmenee, että momenttia tulisi soveltaa lähinnä tilanteisiin, joissa rikollisen toiminnan paljastamisen onnistuminen edellyttää siviiliasussa esiintymistä tai joissa siviiliasua käyttämällä estettäisiin turvaamista tarvitsevan vartioimiskohteen paljastuminen 32. Momentissa säädetään myös, että muun kuin vartijan asun käyttämisestä päättää vastaava hoitaja toimeksiannoittain. 31 HE 69/2001 vp, sivut 80–81. 32 HE 69/2001 vp, sivu 80. 12 Thor Kottelin, 181539 Jotta vartija voisi käyttää muuta kuin vartijan asua, edellytetään siis, että nimenomaan tehtävän luonne estää vartijan asun käytön. Tällainen tilanne voi syntyä esimerkiksi sellaisella asiakaskäynnillä, jonka luonne on salattava asiakkaan henkilökunnalta yleisesti. Tietotyöalalla toimivat asiantuntijoiden tehtävät ovat usein sellaisia, että suuri osa niistä voidaan suorittaa muualla kuin työnantajan tiloissa, esimerkiksi kotoa käsin tai työmatkoihin kuluvaa aikaa hyödyntäen. Vuonna 2001 todettiin, että 59 prosenttia tietotyöläisistä vei töitään mukanaan kotiinsa 33. Tällaisissa olosuhteissa se, että henkilö käyttäisi vartijan asua aina, kun hän suorittaisi jotakin tietomurtojen paljastamiseen tai tutkimiseen liittyvää työtehtävää, voisi olla hyödytöntä ja hankalaa. Turvapalvelulain 32 § 2 momentista ei kuitenkaan ilmene, että muun asun kuin vartijan asun käyttäminen olisi perusteltavissa sillä, että vartijan asun käyttäminen olisi epäkäytännöllistä tai tarpeetonta esimerkiksi henkilön työskennellessä kotonaan sijaitsevassa etätyöpisteessä. Vartijan asua koskevien säännösten soveltaminen on selkeää perinteisessä omaisuuden vartioinnissa, jossa vartija työvuoroon saapuessaan pukeutuu vartijan asuun ja työvuoron päättyessä vastaavasti vapaa-ajan asuun. Tietomurtoja paljastavan henkilön kannalta nämä säännökset voivat sen sijaan olla ongelmallisia. Ensinnäkin lainsäätäjän tarkoittamat hyödyt jäävät vähäisiksi. Tietomurtoja paljastetaan työskentelemällä tietojärjestelmien parissa, joten lienee hyvin harvinaista, että tällaisia tehtäviä suorittava henkilö joutuisi käyttämään voimakeinoja ihmisiä kohtaan. Tällaisia keinoja koskevien valtuuksienkaan osoittamiseen ei siis yleensä ole tarvetta. Lisäksi vartijan asun käyttäminen tietenkin lisäisi kustannuksia ja aiheuttaisi ylimääräistä vaivannäköä. 6.4.2 Velvollisuus antaa tietoja poliisille Poliisilla on laaja oikeus saada vartioimisliikkeeltä tätä koskevaa tietoa. Turvapalvelulain 43 §:n nojalla poliisihallituksella ja poliisilaitoksella on oikeus saada vartioimisliikkeeltä valvonnassa tarvittavia tietoja liikkeen toiminnasta, henkilöstöstä, taloudelli- 33 Pyöriä 2001, sivu 190. Tämän jälkeen kuluneiden vuosien ajan teknologian kehittyminen – esimerkiksi tietoliikenneyhteyksien nopeutuminen – on helpottanut ja tehostanut etätyötä entisestään. 13 Thor Kottelin, 181539 sesta asemasta ja muista vastaavista seikoista yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yrityssalaisuuden estämättä. Vartioimisliikkeen tiedonantovelvollisuus on siis laajempi kuin yrityksiä yleisesti koskeva, poliisilain 36 § 1 momentissa säädetty tiedonantovelvollisuus, joka koskee vain rikoksen estämiseksi tai selvittämiseksi tarvittavia tietoja sekä sellaisia poliisitutkinnassa tarvittavia tietoja, joiden antamista tärkeä yleinen tai yksityinen etu vaatii. Turvapalvelulaissa säädetty tiedonantovelvollisuus on tarkoitettu muun muassa elinkeinonharjoittajan vakavaraisuuden seuraamiseen. Toisaalta poliisilla ei ainakaan lähtökohtaisesti ole oikeutta saada toimeksiantajien turvallisuusjärjestelyihin liittyviä tai muita vastaavankaltaisia, toimeksiantajan luottamuksellisiksi määrittelemiin tietoja. 34 6.4.3 Tapahtumailmoitus Turvapalvelulain 17 §:n 1 momentissa säädetään, että vartijan tulee heti laatia vartioimistehtävissä havaituista toimenpiteisiin johtaneista tapahtumista kirjallinen tapahtumailmoitus, josta kyseiseen tapahtumaan liittyvät havainnot ja toimenpiteet käyvät ilmi. Tapahtumailmoitukset on pykälän 2 momentin nojalla säilytettävä viiden vuoden ajan ja siten, että kuhunkin toimeksiantoon liittyvät ilmoitukset ovat viivytyksettä esitettävissä. Ilmoitukset on laadittava kirjallisina, mutta tämän jälkeen ne voidaan tallettaa sähköisessä muodossa 35. Poliisille on 3 momentissa säädetty oikeus saada jäljennös tapahtumailmoituksesta. Vartioimistehtävänä pidetään turvapalvelulain 2 § 3 kohdan nojalla muun muassa vartioimiskohteeseen tai toimeksiantajaan kohdistuneiden rikosten paljastamista. Tapahtumailmoitusten laatimista koskeva velvollisuus siis koskee myös tietomurtojen paljastamista. Säännös sopii perinteiseen omaisuusvartiointiin, jossa vartijan toimenpiteet liittyvät esimerkiksi rikosilmoituslaitteistojen välittämien yksittäisten murtohälytysten tarkistamiseen. Vartijaa ja työvuoroa kohden tällaisia tehtäviä saattaa kertyä useita. Tietojärjestelmää tai tietoverkkoa suojaavalla tunkeutumisenhavaitsemisjärjestelmällä voidaan sen sijaan mahdollisesti havaita suuri määrä epäilyttäviä tapah- 34 HE 69/2001 vp, sivu 93. 35 HE 69/2001 vp, sivu 62. 14 Thor Kottelin, 181539 tumia jo lyhyen ajan – esimerkiksi minuutin – kuluessa. Vaikka tapahtumailmoitusten laatimista koskeva velvollisuuden tulkittaisiin koskevan vain tapauskohtaiseen harkintaan perustuvia toimenpiteitä (eli ei niitä toimenpiteitä, joihin tunkeutumisenestojärjestelmä automaattisesti ryhtyy sille ennakolta luotujen sääntöjen perusteella), ilmoituksia voitaisiin joutua laatimaan mittava määrä. 6.4.4 Koiran mukana pitämisen edellytykset Koira on suosittu lemmikkieläin. Suomen Kennelliitto – Finska Kennelklubben ry arvioi, että Suomessa on noin 600 000 koiraa 36. Tieto- ja viestintätekniikan alalla on yleistä, että työntekijä suorittaa ainakin osan työtehtävistään kodissaan sijaitsevasta etätyöpisteestä käsin. Tällainen etätyö ei sinänsä voine edellyttää koiran pitämistä mukana. Työntekijästä johtuvasta syystä hän voi toki tarvita esimerkiksi opas- tai avustajakoiraa. Turvapalvelulain 31 §:n 1 momentissa kielletään vartijaa pitämästä tarpeettomasti mukanaan koiraa vartioimistehtävissä. Pykälän 5 momentissa säädetään, että koiran mukana pitämisestä päättää vastaava hoitaja toimeksiannoittain. Lisäksi koiran pitäminen mukana vartioimistehtävässä edellyttää 2 momentin nojalla muun muassa, että koira on 2–10 vuotta vanha ja että se on suorittanut vartioimis- ja järjestyksenvalvontatehtävässä mukana pidettävästä koirasta annetun asetuksen (782/2002) mukaisen tottelevaisuustarkastuksen, jossa arvioidaan muun muassa koiran käyttäytymistä ammuttaessa, pakenevan maalimiehen kiinniottoa ja piiloutuneen henkilön ilmaisemista. Sääntelyn tavoitteena on vähentää ja estää koiran mahdollisesta virheellisestä käytöstä aiheutuvia vaaratilanteita 37. Sääntely sopii perinteiseen omaisuusvartiointiin hyvin, mutta etätyönä tehtävään tietomurtojen paljastamiseen ja tutkimiseen erityisen huonosti. Arkijärjen perusteella olisi houkuttelevaa ajatella, että koiran mukana pitämistä koskevan sääntelyn ulottuminen tietomurtoja paljastavan ja tutkivan henkilön kotona sijaitsevaan etätyöpisteeseen olisi niin kohtuutonta, että lainsäätäjä ei ole voinut tarkoittaa kyseisiä säännöksiä sovellettavaksi niin kuin ne on kirjoitettu. Oikeusvar- 36 Suomen Kennelliitto – Finska Kennelklubben ry. 2011. 37 HE 69/2001 vp, sivu 79. 15 Thor Kottelin, 181539 muusperiaatteen näkökulmasta tällaisia tilanteita ei kuitenkaan saisi syntyä, vaan lain soveltamisalan olisi käytävä yksiselitteisesti ilmi säädöksestä itsestään tai sen esitöistä. 7 Turvapalvelulain rikkomisen seuraamuksia 7.1 Rangaistussäännöksiä Joka harjoittaa vartioimisliiketoimintaa ilman lupaa, on rikoslain 17 luvun 6 a §:n nojalla tuomittava vartioimisliikerikoksesta sakkoon tai vankeuteen enintään kuudeksi kuukaudeksi. Vartioimisliiketoiminnan harjoittamisesta ilman vastaavaa hoitajaa tai henkilöllä, jonka hyväksyminen vartijaksi ei ole voimassa, on turvapalvelulain 56 §:n 1 momentin 4–5 kohtien nojalla tuomittava vartioimisliikennerikkomuksesta. Vartioimisliikerikkomuksesta on pykälän 3 momentin nojalla kyse myös muun muassa silloin, kun vartija rikkoo tapahtumailmoituksen laatimista tai vartijan asua koskevia säännöksiä. Vartioimisliikerikkomuksesta on pykälän 1 momentin nojalla tuomittava sakkoon. Vartioimisliikerikkomus ja vartioimisliikerikos eivät ole oikeushenkilön rangaistusvastuun piirissä. 7.2 Yleisyys ja rangaistukset vuosina 2005–2009 38 7.2.1 Vartioimisliikerikkomus 2005 2006 2007 2008 2009 Syyksi luetut rikokset ― ― 2 2 1 Tapaukset, joissa tuomittu rangaistus ― ― 1 1 1 Keskimääräinen rangaistus (päiväsakkoa) ― ― ― 20,0 15,0 38 Tilastokeskus 2011. 16 Thor Kottelin, 181539 7.2.2 Vartioimisliikerikos 2005 2006 2007 2008 2009 Syyksi luetut rikokset 5 ― ― ― ― Tapaukset, joissa tuomittu rangaistus 5 ― ― ― ― 15,6 ― ― ― ― Keskimääräinen rangaistus (päiväsakkoa) 39 7.3 Voiko rangaistuksesta vapautua laintulkintavaikeuksien perusteella? 7.3.1 Esitutkintapakko ja toimenpiteistä luopuminen Esitutkintaviranomaisen on esitutkintalain (449/1987) 2 §:n nojalla lähtökohtaisesti toimitettava esitutkinta, kun on syytä epäillä, että rikos on tehty. Syyttäjän on puolestaan oikeudenkäynnistä rikosasioissa annetun lain (689/1997) 1 luvun 6 §:n nojalla nostettava syyte, kun on olemassa todennäköisiä syitä rikoksesta epäillyn syyllisyyden tueksi. Viranomainen voi kuitenkin joillakin perusteilla luopua rikosoikeudellisista toimenpiteistä. Tämä voi olla mielekästä muun muassa voimavarojen tarkoituksenmukaisen kohdentamisen sekä kohtuuttomien toimenpiteiden välttämisen kannalta 40. Esitutkinta voidaankin esitutkintalain 4 §:n 1 momentin nojalla jättää toimittamatta ja syyte vastaavasti oikeudenkäynnistä rikosasioissa annetun lain 1 luvun 7 §:n 1 kohdan nojalla jättää nostamatta, jos rikoksesta ei ole odotettavissa sakkoa ankarampaa rangaistusta kuin sakkoa, rikos on vähäinen eikä asianomistajalla ei ole vaatimuksia. Esitutkinta voidaan esitutkintalain 4 §:n 4 momentin nojalla lopettaa myös, jos tutkinnan jatkamisesta aiheutuvat kustannukset olisivat epäsuhteessa tutkittavana olevan asian laatuun ja siitä mahdollisesti odotettavaan seuraamukseen eikä tärkeä yleinen tai yksityinen etu vaadi esitutkinnan jatkamista. 39 Vapausrangaistuksia ei tuomittu. 40 Lappi-Seppälä 2008, kohta Rikosoikeudellisista toimenpiteistä luopuminen → Yleistä → Taustaperiaatteet. 17 Thor Kottelin, 181539 Mitä lievemmästä rikoksesta on kyse, sitä vähäisemmässä määrin yleinen etu yleensä vaatii rikosoikeudellisia toimenpiteitä 41 . Eduskunnan perustuslakivaliokunta on katsonut, että vartioimisliiketoimintaa on kokonaisuutena arvioiden pidettävä julkisena hallintotehtävänä 42. Tämä seikka puhuu sen puolesta, että yleinen etu voi vaatia vartioimisliikerikkomusta tai vartioimisliikerikosta koskevan esitutkinnan jatkamista. 7.3.2 Kieltoerehdys Rikoslain 4 luvun 2 §:ssä säädetään kieltoerehdyksestä ja tähän perustuvasta rikosoikeudellisesta vastuuvapaudesta. Jos tekijä erehtyy pitämään tekoaan sallittuna, häntä ei rangaista, jos hänen erehtymistään on pidettävä ilmeisen anteeksiannettavana esimerkiksi lain sisällön erityisen vaikeaselkoisuuden (2 kohta) tai jonkin tähän rinnastettavan seikan (4 kohta) vuoksi. Pelkkä säännösten tulkinnanvaraisuus ei kuitenkaan tuota vastuuvapautta, sillä laillisuusperiaate edellyttää, että rikokset määritetään laissa tarkasti ja että tunnusmerkistöjä tulkitaan ahtaasti. Esimerkiksi turvallisuusalalla toimivalta edellytetään alan säännösten – ja myös esitöiden ja mahdollisen oikeuskäytännön – tuntemista, vaikka kyseiset säännökset olisivat mutkikkaita ja tulkinnanvaraisia 43. Jos tekijä kuitenkin on tulkinnallisesti epäselvässä tilanteessa vilpittömästi yrittänyt ottaa selvää lain sisällöstä, eikä ulkopuolista asiantuntija-apua ole ollut kohtuudella tarjolla, hän voi tällä perusteella vapautua vastuusta. Vastuuvapauden puolesta voi puhua myös esimerkiksi se, että tekijä on tiedustellut viranomaisilta, kuinka lakia olisi tulkittava, mutta saanut vääriä, puutteellisia tai vaikeaselkoisia vastauksia. On arvioitava kokonaisuutena sitä, onko erehtyminen ollut kokonaisuudessaan ilmeisen anteeksiannettavaa ja olisiko tekijältä kohtuudella voitu edellyttää, että hän olisi ottanut ja saanut asioista selvää. 44 Kieltoerehdykseen vetoavan syytetyn on käytännössä 41 Lappi-Seppälä 2008, kohta Rikosoikeudellisista toimenpiteistä luopuminen → Syyttämättä jättäminen → Kohtuus ja tarkoituksenmukaisuus. 42 PeVL 28/2001 vp, sivu 5. 43 HE 44/2002 vp, sivu 107. 44 HE 44/2002 vp, sivut 106–107. 18 Thor Kottelin, 181539 voitava perustella, mihin säännöksiin hänen erehdyksensä perustuu ja miksi erehdys on ilmeisen anteeksiannettava 45. 7.3.3 Rangaistuksen tuomitsematta jättäminen Tuomioistuin saa rikoslain 6 luvun 12 §:n 1 ja 3 kohdan nojalla jättää rangaistuksen tuomitsematta muun muassa, jos rikosta on sen haitallisuuteen 46 tai siitä ilmenevään tekijän syyllisyyteen nähden pidettävä kokonaisuutena arvostellen vähäisenä taikka jos rikos tekoon tai tekijään liittyvistä erityisistä syistä, esimerkiksi rangaistavuuden poistavaa oikeuserehdystä lähellä olevien olosuhteiden vuoksi, voidaan rinnastaa anteeksiannettavaan tekoon. Tuomitsematta jättämiseen sisältyy joka tapauksessa moite ja syyllisyyden vahvistaminen. 47 7.4 Hyväksymisiin kohdistuvia seuraamuksia Sen lisäksi, että esimerkiksi vartioimisliikerikkomukseen tai vartioimisliikerikokseen syyllistynyt henkilö voidaan tuomita rangaistukseen, hänelle myönnettyjä hyväksymisiä voidaan peruuttaa. Vartioimisliikelupa voidaan turvapalvelulain 46 §:n 2 momentin 3 kohdan nojalla peruuttaa kokonaan tai määräajaksi muun muassa, jos vartioimisliikkeen harjoittaja, toimitusjohtaja tai yhtiömies taikka muu liikkeen hallintoelimiin kuuluva henkilö on lainvoimaisella tuomiolla tuomittu sellaisesta rikoksesta, joka osoittaa hänen olevan sopimaton tehtäväänsä, tai jos hän on muutoin tahallaan menetellyt vartioimisliiketoiminnassa olennaisesti virheellisesti. Vastaavat säännökset koskevat myös vastaavaksi hoitajaksi hyväksymisen peruuttamista (turvapalvelulain 47 §:n 2 momentin 2 kohta) ja vartijaksi hyväksymisen peruuttamista (48 §:n 2 momentin 2 kohta). Poliisihallitus voi lain 49 §:n 1 momentin ja 50 §:n 1 momentin nojalla väliaikaisesti peruuttaa vartioimisliikeluvan, vastaavaksi hoitajaksi hyväksymisen tai vartijaksi hyväksymisen jo sillä perusteella, että poliisin tietoon on tullut seikkoja, jotka todennäköisesti johtavat kyseisen luvan tai hyväksymisen peruuttamiseen. 45 Tapani 2009, sivu 481. 46 Teon haitallisuudella tarkoitetaan sen vahingollisuutta ja vaarallisuutta. Ks. HE 44/2002 vp, sivu 210. 47 HE 44/2002 vp, sivut 210–211. 19 Thor Kottelin, 181539 8 Turvapalvelulain soveltuvuus tietomurtojen paljastamiseen 8.1 Yleistä Rikosoikeudelliseen laillisuusperiaatteeseen sisältyy epätäsmällisyyskielto: rikoslainsäädännön on oltava riittävän selvää ja ymmärrettävää 48. Syytetyn vahingoksi ei siis saa säätää epätäsmällisiä rangaistussäännöksiä 49. Turvapalvelulakia koskevassa hallituksen esityksessä on huomattu, että tietoturvallisuus on turvallisuuden osa ja että yksityiseen turvallisuusalaan sisältyy tietoturvallisuustoimintaa 50. Muita viittauksia tietoturvallisuuteen siinä ei ole. Esityksessä on tosin huomattu, että joissakin tapauksissa toiminnan kuuluminen vartioimistehtävien piiriin saattaa olla tulkinnanvaraista. Näissä huomioissa kuitenkin painottuvat perinteistä omaisuusvartiointia lähellä olevat tehtävät, kuten vahtimestareiden ja vastaanottovirkailijoiden työ. 51 Lisäksi esityksessä todetaan, että vartioimisliiketoiminnaksi ei katsottaisi asianajo- tai muuhun sellaiseen toimintaan liittyviä rikosten selvittämistoimenpiteitä 52. Asianajotoiminnan yhteydessä on toki mahdollista paljastaa ja tutkia tietomurtoja. Tietomurtojen paljastamiseen ja tutkimiseen tähtäävä työ ei kuitenkaan pääasiallisesti liity asianajotoimintaan, vaan sitä tehdään erityisesti tieto- ja viestintäteknisellä alalla. Tilintarkastustoimintaa turvapalvelulakia koskeva hallituksen esitys ei puolestaan mainitse, vaikka tilintarkastuksen eräänä tavoitteena on valvoa kavallusta koskevien säännösten noudattamista 53. Turvapalvelulain esitöiden sisällöstä ilmenee, että turvapalvelulain säätämiseen ovat vaikuttaneet erityisesti sellaiset tarpeet, jotka liittyvät perinteiseen omaisuuden vartiointiin, kuten liikeyritysten toimitilojen vartiointiin, ja perinteiseen rikostenpaljastamistoimintaan, kuten koeostotoimintaan ja myymälätarkkailuun. Tietomurtojen paljastamista tai tutkimista ei lainkaan mainita turvapalvelulakia koskevassa hallituksen esi- 48 Frände 2005, sivu 34 sekä Jareborg 1989, sivut 57–58. 49 Hirvonen 2009, sivu 31. 50 HE 69/2001 vp, sivu 5. 51 HE 69/2001 vp, sivu 42. 52 HE 69/2001 vp, sivu 42. 53 HE 194/2006 vp, sivu 40. 20 Thor Kottelin, 181539 tyksessä. Niitä koskevista poikkeuksistakaan ei ole säädetty, joten on johdonmukaista todeta, että turvapalvelulaki koskee niitä sellaisenaan. Yksittäiset yritykset ovat voineet korostaa turvapalvelulain noudattamista tieto- ja viestintärikosten selvittämisessä nostaen tämä seikka kilpailueduksi54. Toisaalta oletan, että lukuisat tietoturvallisuusalan yritykset eivät katso rikostenpaljastamistoimintaa koskevan sääntelyn koskevan omaa toimintaansa. Tukea tällaiselle tulkinnalle löytyy ainakin selvityksestä, jonka poliisiammattikorkeakoulun tutkijan roolissa yksityistä turvallisuusalaa tutkinut Anna-Kaisa Heinämäki vuonna 2009 laati sisäasiainministeriölle ja jossa hän katsoi, että yksityisen turvallisuusalan sääntely ei koskisi tietoturvapalveluiden tarjoamista 55. Tällainen lakitekstistä poikkeava tulkinta kuitenkin kaipaisi tuekseen perusteluja. 8.2 Lain tulkitsemisen periaatteita Turvapalvelulain kieltoja ja käskyjä on tehostettu melko kattavin kriminalisoinnein, joten sitä on syytä tarkastella erityisesti rikosoikeudellisesta näkökulmasta. 8.2.1 Lingvistinen argumentti sekä yleinen intentiotulkinta Säädöksen tulkinta perustuu aina sen sanamuotoon 56. Yleisen intentiotulkinnan periaatteen mukaan ”lainsäätäjä tarkoittaa aina täyttä totta”, joten kaikki, minkä lain sanamuoto kattaa, on katsottava rikokseksi57. 8.2.2 Teleologinen tulkinta sekä sosiaaliadekvanssi Teleologisessa tulkinnassa huomio kohdistetaan lainsäätäjän päämäärään 58: mitä etua kriminalisoinnin on tarkoitus suojata? Vaikka tietty teko olisi lain mukaan rangaistava, se ei välttämättä loukkaa suojattavaa etua. Vastaavasti tekoa voidaan arvi- 54 Ks. esim. Latvala 2010. 55 Heinämäki 2009, sivu 130. 56 Aarnio 2006, sivu 296. 57 Frände 2005, sivu 56. 58 Hautamäki 2004, sivu 134 sekä Jareborg 1989, sivu 92. 21 Thor Kottelin, 181539 oida myös sosiaaliadekvanssin kannalta; vähäpätöinen kriminalisoitu teko voi olla sosiaalisesti hyväksyttävä. 59 8.2.3 Perusoikeusmyönteinen tulkinta Tulkintavaihtoehdot, jotka ovat lain sanamuodon mukaan mahdollisia, mutta jotka ovat ristiriidassa perustuslain kanssa, on hylättävä. Perustuslain kanssa sopusoinnussa olevista vaihtoehdoista on valittava se, joka parhaiten vastaa perusoikeuksien tarkoitusta. Jos oikeusjärjestyksessä ei ole tiettyä asiaa koskevaa säännöstä, perusoikeussäännöstä voidaan soveltaa suoraan. Näin on perustuslain (731/1999) 106 §:n nojalla toimittava myös, jos jokin säännös on ristiriidassa perustuslain kanssa. 60 8.2.4 In dubio mitius -periaate Jos rikoslainsäädännön soveltamista koskevaa epäselvyyttä ei voida ratkaista muiden tulkintaperiaatteiden avulla, on valittava syytetyn kannalta lievempi ratkaisu 61. 8.3 Kontekstualistinen tulkintamahdollisuus Kontekstualistisella tulkinnalla tarkoitetaan yleensä soveltamisalan täsmentämistä hylkäämällä sellaiset tulkintavaihtoehdot, jotka ovat kielellisesti mahdollisia mutta kulloisessakin asiayhteydessä kohtuuttomia 62. Kimmo Nuotio on arvostellut dekontekstualisoitua ja formalistista rikosoikeutta esittämällä kysymyksen, olisiko sähköpyörätuoliaan kotonaan juopuneena ajanut liikuntavammainen henkilö tuomittava rattijuopumuksesta, jos sähköpyörätuoli katsottaisiin moottoriajoneuvoksi (jollainen se oikeuskäytännön mukaan ei toki ole 63). Rattijuopumus on tekorikos: sen tunnusmerkistön täyttyminen voidaan useimmiten todeta yksiselitteisesti (juopumus ja ajoneuvon kuljettaminen; ks. rikoslain 23 luvun 59 Frände 2005, sivut 56–57 sekä Jareborg 1989, sivut 68 ja 248. 60 Aarnio 2006, sivut 309 ja 319 sekä Virolainen 2007, kohta Ihmis- ja perusoikeudet prosessioikeudessa → Ihmis- ja perusoikeuksien vaikutus oikeudenkäynnissä → Vaikutustavat → Tulkintavaikutus. 61 Jareborg 1989, sivu 96 sekä Virolainen 2007, kohta Muita periaatteita → Ratkaisuperiaatteet → In dubio mitius 62 Jareborg 1989, sivu 90. 63 Itä-Suomen HO 10.3.1992 495. 22 Thor Kottelin, 181539 3 §), eikä olosuhteisiin vetoaminen yleensä hyödytä syytettyä. Liikenneturvallisuuden kannalta tällaista sääntelyä voidaankin pitää aiheellisena. Kotonaan liikkuvan pyörätuolinkäyttäjän esimerkissä lain sanamuodon noudattaminen kuitenkin johtaisi kohtuuttomaan ja jopa syrjivään lopputulokseen: juopuneena henkilö ei voisi ilman rangaistuksen uhkaa liikkua edes oman kotinsa keittiön ja makuuhuoneen väliä, vaikka tällainen toiminta ei millään tavalla vaarantaisi tieliikennettä. 64 Ongelmaa voidaan yrittää ratkaista juuri kontekstualismin avulla. Henkilön liikkumisvapauden rajoittaminen hänen omassa kodissaan olisi perusoikeuksien vastaista. Kotioloissa liikenneturvallisuus ei ole kovinkaan relevantti suojeluintressi. Rattijuopumussäännöksillä ei ole ollut tarkoitus rajoittaa invalidin liikkumista kotonaan. Jos pyörätuoliesimerkin mukainen tilanne olisi ollut harkittavana lakia säädettäessä, sitä tuskin olisi kriminalisoitu. Tällainen rekontekstualisointi voi kuitenkin olla ongelmallista: mitä moninaisemmissa tapauksissa siihen perustuva tulkintaa harjoitetaan, sitä suurempi osa sääntelyn hyödystä menetetään. 65 9 Johtopäätöksiä 9.1 Yleistä Turvapalvelulaissa asetetaan yksityiselle turvallisuusalalle merkittävä määrä erilaisia velvoitteita. Tutkimusongelman kannalta keskeinen kysymys on, koskevatko nämä velvoitteet myös tämän tutkielman aiheen mukaista tietomurtojen paljastamista ja tutkimista. Turvapalvelulakia koskevassa hallituksen esityksessä todetaan, että tietoturvallisuus on turvallisuuden osa ja että yksityiseen turvallisuusalaan sisältyy tietoturvallisuustoimintaa. Lingvistisen argumentin sekä yleisen intentiotulkinnan perusteella voidaan deduktiivisesti päätellä, että turvapalvelulain säännökset koskevat myös tietomurtojen paljastamista ja tutkimista. Teleologisessa tulkinnassa ja lain rekontekstualisoinnissa huomio kiinnittyy suojeltavaan oikeushyvään. Pääasialliset turvapalvelulailla suojeltavat oikeushyvät ovat kuluttajansuoja, joka turvapalvelulain 1 luvun 1 §:stä päätellen koskee muitakin palvelu- 64 Nuotio 2005, sivut 139–140. 65 Nuotio 2005, sivut 141–142. 23 Thor Kottelin, 181539 jen käyttäjiä kuin kuluttajia, sekä toimenpiteiden kohteina olevien henkilöiden oikeusturva. Tietomurtojen paljastettaessa ja tutkittaessa toimenpiteiden kohteena ei yleensä ole luonnollinen henkilö, joka esimerkiksi poistettaisiin vartioimiskohteesta tai otettaisiin kiinni, vaan tietojärjestelmä, jota tutkitaan sen haltijan toimeksiannosta. Tämä seikka puhuu ainakin jossain määrin sitä vastaan, että turvapalvelulakia olisi sovellettava tietomurtojen paljastamiseen ja tutkimiseen. Turvapalvelulakia koskeva hallituksen esitys on yksityiskohtainen ja sisältää seikkaperäiset perustelut siltä osin, kuin laki koskee perinteistä omaisuusvartiointia ja yksityisetsivätoimintaa. Vastaavasti lain esitöistä ei ilmene, että lainsäätäjä olisi tunnistanut sen, että lain suora soveltaminen tietorikosten paljastamiseen ja tutkintaan voi johtaa kohtuuttomiin seurauksiin. Turvapalvelulakia koskevassa hallituksen esityksessä tietoturva mainitaan kaksi kertaa ja tietomurtoa ei kertaakaan, kun esimerkiksi myymälätarkkailu mainitaan 14 kertaa ja arvokuljetus 28 kertaa 66. On vaikea arvioida, millä tavalla nämä näkökohdat vaikuttaisivat tuomioistuimen ratkaisuihin esimerkiksi asiassa, jossa tietomurtoja ilman vartioimisliikelupaa paljastanutta tietoturvaanalyytikkoa tai vaikkapa tietoturvaloukkauksia koskevia ilmoituksia välittävää palveluntarjoajaa syytettäisiin vartioimisliikerikoksesta. 9.2 Kehitysehdotuksia Jos lainsäädäntöä halutaan kehittää nykyistä selkeämmäksi ja tarkoituksenmukaisemmaksi kiinnittämällä huomiota tieto- ja viestintärikosten paljastamista ja tutkimista koskevien tehtävien erityisluonteeseen, käytettävissä on kaksi pääsuuntaa. Ensinnäkin tällaiset tehtävät voidaan rajata pois turvapalvelulain soveltamisalasta, erityisesti jos niitä koskevaa erityistä viranomaisvalvontaa ei ylipäänsä pidetä tarpeellisena. Kokonaisvaltaisen turvallisuusajattelun näkökulmasta olisi toisaalta johdonmukaista, että yksityistä turvallisuusalaa säänneltäisiin yhtenäisesti. Toinen vaihtoehto onkin, että tieto- ja viestintärikoksia paljastavia ja tutkivia toimijoita koskevat vaatimukset sopeutetaan vastaamaan tehtävien luonnetta. 66 Sanojen esiintyvyys on arvioitu kunkin sanan alkuosaa käyttäen. Mukana ovat siten esimerkiksi arvokuljetuksen osalta myös sanat arvokuljetusajoneuvo ja arvokuljetustehtävä eri sijamuodoissaan. 24 Thor Kottelin, 181539 9.2.1 Pätevyysvaatimukset Jälkimmäistä vaihtoehtoa voitaisiin koulutuksen osalta toteuttaa kehittämällä vartijan koulutusta niin, että siinä käsiteltäisiin myös tieto- ja viestintärikosten paljastamista ja tutkimista. Tämän keinon käyttökelpoisuutta kuitenkin rajoittaa se, että vartijan peruskoulutus on vain 100 tunnin pituinen. Sellaisen aihepiirin, joka koskee vain pientä osaa opiskelijoista, sisällyttäminen opetukseen siis olisi vaikeaa ja kokonaisuutta arvioiden ehkä haitallistakin. Vartijan ammattitutkinto tosin on vartijan peruskoulutusta laajempi, joten siihen olisi helpompi sisällyttää tieto- ja viestintärikosten paljastamisen ja tutkimisen kannalta hyödyllistä sisältöä. Toinen mahdollisuus olisi saattaa tieto- ja viestintärikoksia paljastavat ja tutkivat henkilöt turvapalvelulain piiriin siirtymäsäännöksen avulla. Vertailukohdaksi voidaan ottaa turvapalvelulain 65 §:ssä olevat yksityisetsivätoimintaa koskevat siirtymäsäännökset. Pykälän 2 momentin nojalla henkilö, joka lain voimaan tullessa harjoitti yksityisetsivän ammattia, toimi liikkeen johtajana tai suoritti yksityisetsiväliikkeen palveluksessa yksityisetsivän tehtäviä, saattoi kuuden kuukauden kuluessa turvapalvelulain voimaantulosta hakea vartijaksi hyväksymistä, joka oikeutti suorittamaan vartioimisliikkeen palveluksessa vartioimiskohteeseen tai toimeksiantajaan kohdistuvien rikosten paljastamista 67. Tätä vastaava rajoitettu vartijaksi hyväksyminen ehkä olisi mahdollinen myös tieto- ja viestintärikosten paljastamisen osalta: hyväksyminen voitaisiin rajoittaa esimerkiksi koskemaan sellaisten rikosten paljastamista, jotka kohdistuvat tietojärjestelmään tai joita tehdään tietojärjestelmää käyttäen. Hyväksymisen edellytykset voisivat koskea esimerkiksi täysi-ikäisyyttä ja hyvämaineisuutta sekä sitä, että hakija on riittävän perehtynyt niihin tehtäviin, joita hyväksyminen koskee. Koska tällaisten tehtävien edellyttämä osaaminen voidaan hankkia hyvin monella eri tavalla, jouduttaisiin hyväksymisessä tältä osin käyttämään harkintaa. Tämä voisi olla ongelmallista. Esimerkiksi vartioimisliikelupaa koskevien hakemusten käsittelyn yhteydessä oli ennen turvapalvelulain voimaantuloa vaikeaa ratkaista, mitä oli pidettävä 67 Asetuksessa tarkoitettiin yksityisetsivän ammatilla ”sellaista jatkuvaa toimintaa ansion tai elatuksen hankkimiseksi, jossa ammatin harjoittaja asiakkaittensa toimeksiannosta poliisimiehen oikeuksitta suorittaa rikosten tutkimista ja selvittämistä”. 25 Thor Kottelin, 181539 säännösten edellyttämänä käytännön kokemuksena 68. Toisaalta poliisin on joka tapauksessa käytettävä harkintaansa lukuisissa turvallisuusalaan liittyvissä asioissa: esimerkiksi turvasuojaajaksi hyväksymisen yhteydessä poliisi joutuu harkitsemaan, millainen koulutus valmentaa turvasuojaustehtäviin turvapalvelulain 37 §:n 1 momentin 3 kohdan tarkoittamalla tavalla, ja myös ampuma-aseita koskevien hankkimislupien myöntämiseen liittyy ampuma-aselain nojalla harkintaa muun muassa käyttötarkoituksen hyväksyttävyyden (43 §) sekä luonnollisen henkilön terveydentilan ja käyttäytymisen osalta (45 §). Perehtyneisyys voitaisiin osoittaa esimerkiksi suoritettujen tutkintojen tai riittävän työkokemuksen avulla. Lisäksi voitaisiin edellyttää, että hakija suorittaisi vartijan koulutuksen loppukokeen siltä osin, kuin sen sisällöllä on oleellista merkitystä suhteessa sellaisten rikosten paljastamiseen, jotka kohdistuvat tietojärjestelmään tai joita tehdään tietojärjestelmää käyttäen. Tällaisia opetussisältöjä olisivat esimerkiksi turvallisuusalaa sekä vartijan toimivaltuuksia ja velvollisuuksia koskeva lainsäädäntö, mutta eivät esimerkiksi henkivartijatehtävät tai koiran käyttäminen. Hyväksymisten myöntäminen tällaisen siirtymäsäännöksen nojalla voitaisiin lopettaa sen jälkeen, kun olisi säädetty tieto- ja viestintärikosten paljastamisen ja tutkimisen kannalta relevanteista koulutusvaatimuksista. Kuten edellä mainitsin, turvapalvelulain esitöissä on todettu, että myös liikuntarajoitteiset henkilöt voivat menestyksellisesti hoitaa eräitä vartioimistehtäviä, esimerkiksi hälytyskeskuspäivystystä. Sekä hälytyskeskuspäivystäjän työlle että tietomurtojen paljastamiselle on tyypillistä, että työ tehdään hallitussa toimistoympäristössä. Hälytyskeskuspäivystäjältä kuitenkin edellytetään kykyä välittömästi reagoida esimerkiksi saapuviin hälytyksiin ja puheluihin. Tietomurtoja paljastavan ja tutkivan henkilön työssä tällaista kiiretekijää ei välttämättä olisi, vaan työ voisi joustaa tekijänsä terveydentilan ehdoilla. Syrjinnän välttämiseksi tämä näkökohta olisi huomioitava arvioitaessa sellaisten henkilöiden henkilökohtaisia ominaisuuksia, jotka hakevat vartijan hyväksymistä ryhtyäkseen tietomurtojen paljastamista ja tutkintaa koskeviin työtehtäviin. 68 HE 69/2001 vp, sivut 49–50. 26 Thor Kottelin, 181539 9.2.2 Muut velvoitteet Sinänsä olisi johdonmukaista, että yksityistä turvallisuusalaa koskeva lainsäädäntö sääntelisi kaikkien rikosten, myös tieto- ja viestintärikosten, tutkintaa. Esimerkiksi velvollisuus käyttää vartijan asua voi tietoturva-analyytikon työssä kuitenkin aiheuttaa merkittävää haittaa tuottamatta kuitenkaan kenellekään oleellista hyötyä. Tällaisten ongelmien välttämiseksi turvapalvelulaki olisi segmentoitava nykyistä paremmin: yksityisten turvallisuuspalvelujen kutakin osa-aluetta olisi säänneltävä vain relevantein säännöksin. 27
© Copyright 2024