Asiantuntija: kyberrikoslaki voi poikia näyttövaikeuksia

Julkaistu:

Euroopan neuvoston tietoverkkorikollisuutta koskevan yleissopimuksen määräykset tulevat voimaan Suomessa syyskuun alussa. Samalla lainsäädäntö saatetaan vastaamaan EU:n puitepäätöstä tietojärjestelmiin kohdistuvista hyökkäyksistä.


Puitepäätöksessä on määräyksiä samoista asioista kuin yleissopimuksessa. Syyskuun alusta rikoslakiin tulevat uudet tietojärjestelmän häirintää, tietoverkkorikosvälineen hallussapitoa sekä törkeää tietomurtoa koskevat rangaistussäännökset.

Ministeriön mukaan tietoverkkorikosvälineen levittämistä koskeva sääntely laajenee kattamaan tietokonevirusten ja muiden vastaavien haittaohjelmien lisäksi myös tietomurto-ohjelmien, tietomurtolaitteiden ja salasanojen levittämisen. Tietoverkkorikosvälineen hallussapito nimenomaan  vahingoittamistarkoituksessa säädetään rangaistavaksi.

Rangaistavaksi tulee myös muun muassa tietovahingonteon, tietoliikenteen häirinnän, tietojärjestelmien häirinnän ja törkeän tietomurron yritys. Oikeushenkilön rangaistusvastuu laajenee kattamaan aiempaa useamman tietoverkossa tehdyn rikoksen.

Hallussapidosta voi saada puoli vuotta linnaa

Tiedoteteksti herättää pelkoja lain mahdollisesta tulkinnanvaraisuudesta ja harmaista alueista. Saksassa hyväksyttiin äskettäin epämääräiseksi haukuttu laki, joka kieltää esimerkiksi tietoturvatyökalujen hallussapidon. Tietyllä tapaa mieleen tulee myös taannoinen hässäkkä tekijänoikeuslain uudistuksen ympärillä ja opetusministeriön silloiset kommervenkit.

Oikeusministeriön lainsäädäntöneuvos Lena Andersson on kuitenkin luottavainen, että tietoverkkorikoslaki on kirjoitettu selvästi. Siitä piti huolen muun muassa laaja lausuntokierros, ja alan järjestöjä sekä teollisuutta kuultiin laajasti.

Tietoverkkorikosvälineellä voi olla myös luvallisia käyttötarkoituksia, minkä vuoksi Suomen voimaan tuleva laki koskee vain hallussapitoa vahingoittamistarkoituksessa. Anderssonin mukaan Suomen ei ollut pakko säätää tällaista hallussapitoa rangaistavaksi, mutta niin päätettiin tehdä. Kyseiset rikokset voivat kuitenkin olla varsin hankalia näyttää toteen.

- Vaatimus vahingoittamistarkoituksesta asettaa kynnyksen niin korkealle, että seurauksena voi olla näyttövaikeuksia, joiden vuoksi ketään ei saada tuomittua, Andersson pohtii.

Tavallisia tietokoneen käyttäjiä, joiden haittaohjelmasta saastunut tietokone aiheuttaa hallaa muille, laki ei kosketa. Mutta entä jos koneen käyttäjä tietää saastumisesta, mutta ei osaa tai halua tehdä asialle mitään? Tällaisia kysymyksiä joudutaan varmaankin myöhemmin puimaan oikeussaleissa.

Hallussapidosta voi saada sakkoja ja vankeutta kuusi kuukautta. Törkeämmistä tietoverkkorikoksista voi pahimmillaan rapsahtaa neljäkin vuotta vankeutta.

Suomi teki yleissopimukseen kolme varaumaa, jotka koskivat yrityksen rangaistavuuden rajoittamista, televalvonnan soveltamista vain pakkokeinolaissa tarkoitettuihin rikoksiin ja vain julkisiin tietoverkkoihin.

Lisäksi Suomi rajasti luvattoman tunkeutumisen rangaistavuuden koskemaan vain turvajärjestelyt murtamalla tehtyjä tekoja.

Data säilytettävä rikostutkintaa varten

Pakkokeinolaissa säädetään uudesta datan säilyttämismääräyksestä, jolla turvataan datan säilyminen muuttamattomana rikostutkintaa varten. Tietojärjestelmän haltija on myös velvollinen antamaan esitutkintaviranomaiselle tämän pyynnöstä tiedossaan olevat datan takavarikoimiseksi tarpeelliset salasanat ja vastaavat tiedot.

Yleissopimus edellyttää ympärivuorokautisen päivystyksen järjestämistä huolehtimaan mm. oikeusavun antamisesta ja tarvittavasta teknisestä avusta. Suomessa yhteyspisteeksi on nimetty keskusrikospoliisi.

Sekä yleissopimuksen että puitepäätöksen tavoitteena on suojata yhteiskuntaa tietotekniikkarikollisuudelta ja sen aiheuttamilta vahingoilta yhtenäistämällä ja laajentamalla rangaistussäännöksiä sekä tehostamalla rikostutkintaa ja kansainvälistä oikeudellista yhteistyötä.

Budapestissä 2001 tehty tietoverkkorikossopimus on ensimmäinen tietotekniikkarikoksia koskeva yleissopimus. Sopimuksen nimessä tietoverkkorikos tarkoittaa samaa kuin tietotekniikkarikos eli sillä tarkoitetaan yhtäältä rikosta, joka kohdistuu tietojärjestelmään, ja toisaalta rikosta, joka tehdään tietojärjestelmän avulla.

Kommentit

    Näytä lisää