YRITTÄJÄ, tule mukaan omiesi pariin! Liity Yrittäjiin.
Lausunto tietoverkkorikosdirektiivin täytäntöönpanoa valmistelleen työryhmän mietinnöstä
Oikeusministeriö
Pääasiallinen sisältö
Työryhmän mietinnössä ehdotetaan muutoksia rikoslakiin ja pakkokeinolakiin, joilla pantaisiin täytäntöön tietojärjestelmiin kohdistuvista hyökkäyksistä ja neuvoston puitepäätöksen 2005/222/YOS korvaamisesta annettu direktiivi 2013/40/EU. Työryhmän mietintö sisältää hallituksen esitysluonnoksen, jonka mukaan rikoslain muutokset koskisivat erityisesti vaaran aiheuttamista tietojenkäsittelylle, vahingontekoa, viestintäsalaisuuden loukkausta, tietojärjestelmän häirintää ja tietomurtoa. Niin sanottu datavahingonteko ja törkeä datavahingonteko erotettaisiin perusmuotoisesta vahingonteosta itsenäisiksi kriminalisoinneiksi. Lisäksi mietinnössä ehdotetaan myös identiteettivarkauden kriminalisointia.
Suomen Yrittäjät pitää työryhmän mietintöä myönteisenä, sillä tietoverkkorikokset ja niiden uhka aiheuttavat yritystoiminnalle kasvavaa haittaa ja vahinkoa. Tehokkaampi puuttuminen on siten perusteltua. Kiinnitämme kuitenkin huomiota lakiehdotuksen perusteluihin identiteettivarkauden osalta, minkä vuoksi esitämme myös kyseisen säännöksen sanamuodon täsmentämistä. Identiteettivarkauden itsenäinen kriminalisointi on mielestämme aiheellista, ja olemme tyytyväisiä siitä, että työryhmä on mietinnössään päätynyt lukuisista eri toteuttamisvaihtoehdoista juuri identiteettivarkauden itsenäiseen kriminalisointiin.
Yrityksen asema identiteettivarkauden kohteena
Ehdotetussa uudessa rikoslain 38 luvun 9 b §:ssä säädettäisiin identiteettivarkaudesta omana itsenäisenä kriminalisointinaan. Säännöksen sanamuotoa tulisi kuitenkin harkita osin uudelleen siten, että säännöksestä tulisi täsmällisempi. Lisäksi säännöksen perusteluissa tulisi huomioida yritysten asema identiteettivarkauden kohteena, sillä kuten lakiehdotuksen perusteluissa todetaan, ”toinen” voi olla myös oikeushenkilö. Identiteettivarkauden uhrina voi olla siten myös yritys.
Yrityksen yksilöivä tieto ja identiteettivarkauden suhde muihin rikossäännöksiin
Lakiehdotuksessa olisi syytä selostaa tarkemmin sitä, miten identiteettivarkaus voi käytännössä toteutua, kun sen kohteena on oikeushenkilö. Tässä yhteydessä olisi myös tarpeen käsitellä identiteettivarkauden suhdetta niihin muihin säännöksiin, jotka koskevat yrityksen yksilöivien tietojen loukkaamista.
Ehdotuksen perusteluissa on todettu ”yksilöivän tiedon” tarkoittavan henkilötietojen osalta kaikenlaisia henkilötietoja. Perusteluissa todetaan myös, että mikä tahansa irrallinen tieto ei tulisi kyseeseen, vaan oleellista olisi, että tiedot olisivat tunnistamiseen liittyviä tai kytkeytyviä ja mahdollistaisivat henkilön tunnistamisen ja siten erehtymisen. Henkilötietoluonne sinänsä ei siis vielä riittäisi, vaan sen pitäisi esiintyä sellaisessa yhteydessä, joka mahdollistaisi tunnistamisen. Perusteluissa ei kuitenkaan kerrota, mitkä olisivat tällaisia ”yksilöiviä tietoja” yrityksen osalta.
Käytännössä pelkästään yrityksen nimen käyttäminen riittää yrityksen yksilöimiseen. Yksilöivä tieto voisi olla myös aputoiminimi, jos yritys harjoittaa osaa liiketoiminnastaan tällä nimellä. Yrityksen yksilöivä tieto voi olla myös y-tunnus tai tavaramerkki etenkin silloin, kun tavaramerkki sisältää myös yrityksen nimen tai on muuten sellainen, että se yhdistetään nimenomaisesti tiettyyn yritykseen. Ehdotuksen perusteluissa olisi syytä avata myös yksilöivän tiedon käsitettä yritysten osalta.
Lakiehdotuksessa on todettu, että identiteettivarkauden tekijä voidaan tuomita myös muusta kuin identiteettivarkaudesta. Ehdotuksessa on perusteltu tätä säännösten eri suojeluobjekteilla ja esimerkkinä on mainittu samanaikainen tunnusmerkistön täyttyminen petoksen (RL 36:1) ja identiteettivarkauden osalta.
Vastaavanlainen esimerkki olisi kuitenkin selvyyden vuoksi hyvä ottaa esille erityisesti niitä tilanteita varten, joissa identiteettivarkaus kohdistuu yritykseen. Tässä yhteydessä olisi erityisesti syytä pohtia sitä, mikä on identiteettivarkauden ilmenemistapa käytännössä, ja mikä on säännöksen suhde immateriaalioikeusloukkauksiin, kuten rikoslain 49 luvun 2 §:n teollisoikeusrikokseen, tavaramerkkilain 39 §:n tavaramerkkirikkomukseen tai toiminimilain 22 §:n toiminimen loukkaukseen. Näissä rikoksissa tyypillistä on, että mainittuja tunnusmerkkejä tai niihin sekoitettavissa olevia merkkejä käytetään vastoin tunnusmerkin haltijan lupaa eli oikeudettomasti.
Yrityksen yksilöivän tiedon oikeudeton käyttö vahingoittamistarkoituksessa
Ehdotetun säännöksen sanamuodon mukaan identiteettivarkauteen syyllistyy se, joka erehdyttääkseen kolmatta osapuolta oikeudettomasti käyttää toisen henkilötietoja, tunnistamistietoja tai muuta vastaavaa yksilöivää tietoa aiheuttaen taloudellista vahinkoa tai vähäistä suurempaa haittaa sille, jota tieto koskee. Yritysten osalta huomiota tulisi perusteluissa kiinnittää siihen, mikä on yrityksen yksilöivän tiedon oikeudetonta käyttöä. Ehdotetun sanamuodon osalta jää nimittäin epäselväksi se, soveltuisiko säännös sellaiseen tilanteeseen, jossa yrityksestä levitetään valheellista tietoa siten, että yritykseen viitataan sen nimellä tai muulla yksilöivällä tiedolla, eikä kyse selvästi ole esimerkiksi satiirista.
Esimerkkitilanne voisi olla vaikkapa julkisuudessa esitetty valheellinen tieto siitä, että yritys harjoittaa laitonta toimintaa. Jos tiedon esittäjän nimenomaisena tarkoituksena tällöin on erehdyttää kolmatta osapuolta siten, että yritykselle aiheutuu taloudellista vahinkoa tai vähäistä suurempaa haittaa, ei voitane väittää, että yrityksen nimen mainitseminen (eli tietojen käyttö) olisi oikeutettua. Kun yrityksen nimen esittäminen valheellisen tiedon yhteydessä olisi oikeudetonta käyttöä, on mahdollista ajatella, että ehdotettu identiteettivarkauden tunnusmerkistö soveltuisi tilanteeseen.
Ehdotuksen perusteluissa ei ole käsitelty tällaista tilannetta suhteessa säännöksen sanamuotoon. Asiaa olisi selvyyden vuoksi syytä käsitellä vähintään perusteluissa, vaikka onkin selvää, että säännöksen tarkoituksena on kriminalisoida juuri yrityksen identiteetin varastaminen eikä esimerkiksi yrityksen toiminnan perusteltu tai perusteeton arvostelu.
Luonnollisten henkilöiden osalta kyseeseen voisi tulla identiteettivarkauden lisäksi myös kunnianloukkaus, kuten ehdotuksen perusteluissa on todettu. Yritysten osalta vastaavaa säännöstä ei ole, ja onkin oma kysymyksensä, pitäisikö rikoslakiin lisätä yritystä koskevan valheellisen tiedon levittämistä koskeva kriminalisointi erityisesti kaikkein räikeimpien tilanteiden varalta, joissa yritykselle saatetaan aiheuttaa huomattavaakin taloudellista vahinkoa valheellisten tietojen levittämisellä.
Vaihtoehtoinen sääntelymalli
Identiteetin varastamista koskeva säännös voitaisiin nähdäksemme kirjoittaa myös hieman toisella tavalla, jolloin säännöksestä tulisi ehdotettua tarkkarajaisempi. Säännöksestä voisi ilmetä suoraan se, että identiteettivarkaudessa on kyse nimenomaan toisena henkilönä oikeudettomasti esiintymisestä, ei pelkästään tietojen oikeudettomasta käytöstä.
Identiteettivarkauden sanamuoto voisi tällöin olla esimerkiksi seuraava:
9 b §
Identiteettivarkaus
Joka erehdyttääkseen kolmatta osapuolta oikeudettomasti esiintyy toisena henkilönä käyttämällä tämän henkilötietoja, tunnistamistietoja tai muuta vastaavaa yksilöivää tietoa ja näin aiheuttaa taloudellista tai vähäistä suurempaa haittaa sille, jota tieto koskee, on tuomittava identiteettivarkaudesta sakkoon.
Tämä sanamuoto rajaisi pois ne tilanteet, joissa käytetään toisen yksilöivää tietoa sinänsä oikeudettomasti, mutta siten, ettei niitä hyväksi käyttäen yritetä esiintyä toisena henkilönä. Sanamuoto merkitsisi myös identiteettivarkauden selvempää erottamista immateriaalioikeudellisista rikossäännöksistä, joissa voi olla kyse yrityksen yksilöivien tietojen (tavaramerkki, toiminimi) oikeudettomasta käytöstä, mutta ei välttämättä kuitenkaan tilanteesta, joissa esiinnytään yrityksenä.
Käsityksemme mukaan sanamuoto vastaisi direktiivin määräyksiä, eikä tämä myöskään rajautuisi direktiivin 4 ja 5 artiklassa tarkoitettujen rikosten tilanteisiin.
Yrityksen edustaja identiteettivarkauden kohteena
Perusteluissa olisi syytä pohtia lisäksi vielä sitä, mikä on yhtiön edustajan asema sellaisissa tilanteissa, joissa säännöksen mukaiseen erehdyttämiseen käytetään sekä yrityksen että sen edustajana olevan luonnollisen henkilön tietoja.
Tällaisessa tilanteessa joku voi esimerkiksi esiintyä yrityksen toimitusjohtajana ja esittää yritystä koskevia virheellisiä tietoja, jolloin kyse voisi olla yritystä koskevien virheellisten tietojen levittäminen tietoverkon tai vaikkapa sanomalehden yleisönosastokirjoituksen välityksellä. Olisiko tällaisessa tilanteessa asianomistaja-asema sekä yrityksen edustajalla että yrityksellä itsellään? Myös tätä olisi hyvä käsitellä lakiehdotuksen perusteluissa.
Lopuksi
Tietoverkkorikollisuuden uhreja ovat tyypillisesti yritykset, joiden osalta rikoksen aiheuttama haitta ja vahinko voi olla merkittävä. Ehdotetut muutokset tehostanevat tietoverkkorikollisuuteen puuttumista, mikä on yritysten toimintaedellytysten kannalta ensiarvoisen tärkeää. Pidämme siten ehdotettuja muutoksia kannatettavina ja tarpeellisina.
Suomen Yrittäjät
Jussi Järventaus
toimitusjohtaja
Albert Mäkelä
lainopillinen asiamies