___________________________________________________________________
1 § Salassapitorikos
Luvun 1 § on niin sanottu salassapitorikoksen yleissäännös. Säännöksen mukaan se, joka laissa tai asetuksessa säädetyn taikka viranomaisen lain nojalla erikseen määräämän salassapitovelvollisuuden vastaisesti
1) paljastaa salassa pidettävän seikan, josta hän on asemassaan, toimessaan tai tehtävää suorittaessaan saanut tiedon, taikka
2) käyttää tällaista salaisuutta omaksi tai toisen hyödyksi,
on tuomittava, jollei teko ole rangaistava 40 luvun 5 §:n mukaan, salassapitorikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.
Salassapitovelvollisuuden sisältö onkin pykälässä jätetty kokonaan muusta lainsäädännöstä riippuvaiseksi. Salassapitovelvollisuus voi pykälän mukaan perustua lakiin tai asetukseen taikka viranomaisen lain nojalla erikseen antamaan määräykseen. Vaikka pykälässä ei ole sitä nimenomaan todettu, tekijältä edellytetään hallituksen esityksen (HE 94/1993 vp) subjektiivisessa
suhteessa tahallisuutta. Rangaistussäännöksen soveltaminen edellyttää siis, että tekijä on on mieltänyt toimivansa häntä sitovan velvollisuuden vastaisesti.
Myös henkilöpiiri, jota säännös koskee, on jätetty avoimeksi. Salassapitovelvollisten henkilöiden määrittely on riippuvainen erityislainsäädännöstä. Tällaisia henkilöitä ovat esimerkiksi asianajajat, lääkärit sekä heidän avustajansa, erilaisten lakisääteisten tehtävien suorittajat, asiamiehet, asiantuntijat, toimitustodistajat (eli jotain toimenpidettä todistavat esteettömät henkilöt, joiden tehtävänä on todistaa menettelyn lainmukaisuutta) ja eräät luottamushenkilöt.
Salassapitorikoksessa on kaksi eri tekotapaa. Rangaistavaa on sekä salassapidettävän seikan eli salaisuuden paljastaminen että sen käyttäminen omaksi tai toisen hyödyksi. Salassa pidettävän seikan tulee olla sellainen, josta salassapitovelvollinen henkilö on asemassaan, toimessaan tai tehtävää suorittaessaan saanut tiedon. Salassapitovelvollisuuden rikkominen voi kohdistua vain sellaisiin seikkoihin, joiden salassapitovelvollisuus perustuu siihen, että tieto niistä on saatu tietyssä asemassa, toimessa tai tehtävässä. Tämä tarkoittaa sitä, että salassapitovelvollinen on saanut tiedon asemansa vuoksi, esimerkiksi lääkärinä toimiessaan.
Tekotapa "paljastaa" tarkoittaa sekä asiakirjaan sisältyvien tietojen suullista tai kirjallista ilmaisemista että muidenkin salassa pidettävien seikkojen ilmaisemista joko suullisesti tai muulla tavalla. Laissa säädetty salassapitovelvollisuus voi väistyä eräissä tietyissä tapauksissa muualla laissa säädetyn ilmaisuvelvollisuuden johdosta. Esimerkiksi oikeudenkäynnissä todistajaksi kutsuttu voi olla velvollinen kertomaan salassa pidettävän tiedon.
Rikoslain 40 luvun 5 §:n viittaus tarkoittaa virkasalaisuuden rikkomista ja tuottamuksellinen virkasalaisuuden rikkomista. Pykälä ei siten koske virkarikoksena rangaistavaa salassapitovelvollisuuden rikkomista, vaan ne on erikseen säädetty rangaistavaksi.
Esimerkkinä salassapitorikoksesta voi mainita korkeimman oikeuden ratkaisun KKO:2006:61. Tapauksessa samassa asianajotoimistossa toimivat asianajajat A ja B olivat kumpikin hoitaneet toimiston asiakkaan C:n toimeksiantoja. Asianajaja B:n epäiltiin sittemmin tässä tehtävässään syyllistyneen avunantoon C:n tekemiksi epäiltyihin rikoksiin (törkeä velallisen petos). Oikeudellinen kysymys asiassa oli se, oliko esitutkinnassa muutoin kuin rikoksesta epäiltynä kuultu A voinut ilmaista C:n hänelle uskomia asianajosalaisuuksia. Korkein oikeus katsoi, että A ei ollut ilmaissut salassa pidettäväksi katsottuja tietoja laajemmin kuin häneen itseensä kohdistuneen oikeudellisen vaaran torjumiseksi on ollut välttämätöntä. Käytännössä tämä tarkoittaa sitä, että A oli voinut kuulustelussa voinut paljastaa muutoin salassa pidettäviä seikkoja välttääkseen itse joutumasta rikoksesta epäillyksi. Tämän vuoksi A ei ollut syyllistynyt salassapitorikokseen.
Salassapitorikoksesta on oikeudessa annettu vuosina 2015-2019 yhteensä 16 tuomiota.
Salassapitorikoksen tunnusmerkistö on seuraava:
Joka laissa tai asetuksessa säädetyn taikka viranomaisen lain nojalla erikseen määräämän salassapitovelvollisuuden vastaisesti
1) paljastaa salassa pidettävän seikan, josta hän on asemassaan, toimessaan tai tehtävää suorittaessaan saanut tiedon, taikka
2) käyttää tällaista salaisuutta omaksi tai toisen hyödyksi,
on tuomittava, jollei teko ole rangaistava 40 luvun 5 §:n mukaan, salassapitorikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.
___________________________________________________________________
2 § Salassapitorikkomus
Salassapitorikkomuksessa on kysymys salassapitorikoksen lievemmästä tekomuodosta. Säännöksen mukaan jos salassapitorikos, huomioon ottaen teon merkitys yksityisyyden tai luottamuksellisuuden suojan kannalta taikka muut rikokseen liittyvät seikat, on kokonaisuutena arvostellen vähäinen, rikoksentekijä on tuomittava salassapitorikkomuksesta sakkoon.
Salassapitorikkomusta sovelletaan paitsi rikoksen säännöksessä määritellyn vähäisyyden perusteella myös siinä tapauksessa, että asianomaisessa salassapitovelvollisuuden sisältävässä säädöksessä on viitattu ainoastaan tähän yksityisen salassapitorikoksen lievempään tekomuotoon. Tämä tarkoittaa sitä, että tiettyjen asioiden salassapidon rikkominen voi johtaa vain salassapitorikkomussäännöksen soveltamiseen salassapitorikoksen sijaan.
Esimerkkinä salassapitorikkomuksesta voi mainita Itä-Suomen hovioikeuden ratkaisun HO 31.1.2017 17/103899. Tapauksessa asianajaja A tuomittiin salassapitorikkomuksesta, koska hän oli ilmaissut päämiehensä C:n vangitsemispäätöksessä salassa pidettäväksi määrättyjä tietoja ulkopuoliselle B:lle.
Asianajaja A oli toimiessaan rikoksesta epäillyn Cannonball MC Joensuu moottoripyöräkerhoa edustaneen C:n määrättynä avustajana/puolustajana Pohjois-Karjalan käräjäoikeuden pakkokeinoistunnossa saanut tietää C:n rikosepäilyyn liittyviä tietoja Pohjois-Karjalan poliisilaitoksen rikoskomisario E:n käräjäoikeudelle jättämästä vangitsemisvaatimuksesta, mainitussa suullisessa pakkokeinoistunnossa ja Pohjois-Karjalan käräjäoikeuden päätöksen perusteluosasta. A on myöhemmin puhelimessa kertonut Cannonball MC Joensuu moottoripyöräkerhoa edustaneelle B:lle että, B:n rikoskumppani C on väkivallalla uhaten saanut kaverilta rahaa ja että C on ollut poliisin tarkkailussa. Tämän lisäksi A oli jonkin ajan kuluttua tavannut B:n ja myöskin Cannonball MC Joensuu moottoripyöräkerhoa edustaneen F:n ja välittänyt tuolloinkin B:lle ja F:lle salassa pidettäviä ja yhteydenpitorajoituksen alaisia tietoja.
Salassapitorikkomuksesta on oikeudessa annettu vuosina 2015-2019 yhteensä 2 tuomiota.
Salassapitorikkomuksen tunnusmerkistö on seuraava:
Jos salassapitorikos, huomioon ottaen teon merkitys yksityisyyden tai luottamuksellisuuden suojan kannalta taikka muut rikokseen liittyvät seikat, on kokonaisuutena arvostellen vähäinen, rikoksentekijä on tuomittava salassapitorikkomuksesta sakkoon.
Salassapitorikkomuksesta tuomitaan myös se, joka on syyllistynyt sellaiseen 1 §:ssä tarkoitettuun salassapitovelvollisuuden rikkomiseen, joka on erikseen säädetty salassapitorikkomuksena rangaistavaksi.
___________________________________________________________________
3 § Viestintäsalaisuuden loukkaus
Viestintäsalaisuuden loukkaus on otettu rikoslakiin vuonna 1995. Se korvasi aiemmin voimassa olleet kirje- ja telesalaisuutta koskeneet pykälät. Viestintäsalaisuuden loukkaukseen syyllistyy se, joka oikeudettomasti 1) avaa toiselle osoitetun kirjeen tai muun suljetun viestin taikka suojauksen murtaen hankkii tiedon sähköisesti tai muulla vastaavalla teknisellä keinolla tallennetusta, ulkopuoliselta suojatusta viestistä taikka 2) hankkii tiedon televerkossa tai tietojärjestelmässä välitettävänä olevan puhelun, sähkeen, tekstin-, kuvan- tai datasiirron taikka muun vastaavan televiestin sisällöstä taikka tällaisen viestin lähettämisestä tai vastaanottamisesta. Teon yritys on rangaistava.
Pykälä koskee laajasti ymmärrettynä kaikenlaisen viestinnän luottamuksellisuuteen kohdistuvia tekoja, joiden katsotaan vaativan vankeusrangaistusuhan. Käytännössä tämä tarkoittaa siis viestinnän luottamuksellisuuden loukkaamista.
Momentin 1 kohta koskee muutakin lähetystä kuin kirjettä, mikäli lähetys on suljettu ja sisältää vastaanottajalle tarkoitetun viestin. Hallituksen esityksen (HE 93/1994 vp) mukaan esimerkiksi pelkkä tavaralähetys ei nauttisi tätä kirjesalaisuuden suojaa, mutta sijaan esimerkiksi postipakettina lähetetty asiakirjavihko kuuluu säännöksen piiriin. Vaikka säännöksessä mainitaan esimerkkinä kirje, viestin ei tarvitsisi olla kirjallisessa muodossa, vaan esimerkiksi muistitikku tai cd-levy voisivat tulla kysymykseen. Säännöksessä ei myöskään edellytetä, että kirje tai muu viesti olisi nimenomaan postin kuljetettavana. Koska säännös koskee vain suljettua viestiä, täytyisi lähetyksen ulkonäöstä kuitenkin ilmetä, että lähetys on tarkoitettu
vain nimeltä mainitun vastaanottajan avattavaksi.
Momentin 2 kohta koskee tiedon hankkimista televiestien sisällöstä ja tällaisen viestin lähettämisestä tai vastaanottamisesta. Hallituksen esityksen (HE 93/1994 vp) mukaan televiestinnällä tarkoitetaan sähkömagneettisia aaltoja hyväksikäyttäen tapahtuvaa kohdeviestintää. "Televerkolla" tarkoitetaan siirtojohtojen sekä muiden telelaitteiden ja -rakenteiden muodostamaa kokonaisuutta, jossa voidaan sähkömagneettisten aaltojen avulla välittää puheluja ja muita viestejä. Televerkko voi muodostua jo esimerkiksi organisaation sisäisestä puhelin- tai tietoliikenneverkosta. Esimerkkeinä televiesteistä pykälässä mainitaan tavanomaisten puhelun ja sähkeen lisäksi myös tekstin-, kuvan- tai datasiirto, mutta säännös koskee myös muita vastaavia televiestejä. Näin esimerkiksi Whatsapp-viestit ovat säännöksen suojaamia. Sekä viestin sisältö että tieto viestin lähettäjästä tai vastaanottajasta ovat osa viestinnän luottamuksellisuutta, ja sen vuoksi myös vastaanottajan tai lähettäjän henkilöllisyyden selvittäminen oikeudettomasti täyttäisi rikoksen tunnusmerkistön.
Teon tulee olla oikeudeton. Esimerkiksi yleisradiolähetysten vastaanottamiseen tarkoitetulla radiolaitteella, johon nykyisin ei tarvita erillistä lupaa, voidaan helposti kuunnella paitsi yleisradiolähetyksiä myös poliisiradiossa ja matkapuhelinverkossa välitettyjä viestejä. Hallituksen esityksen (HE 93/1994 vp) mukaan mikäli tällainen vastaanotto on sinänsä luvallista eikä esimerkiksi nykyisen salakuuntelusäännöksen nojalla rangaistavaa, vastaanoton yhteydessä saatujen luottamuksellisten tietojen vastaanottaminen sellaisenaan ei olisi kiellettyä. Saatujen tietojen paljastaminen ja eteenpäin välittäminen saattaisivat kuitenkin täyttää jonkin muun rikoksen tunnusmerkistön.
Esimerkkinä viestintäsalaisuuden loukkaukseen liittyvästä oikeuskäytännöstä voi mainita korkeimman oikeuden ratkaisun KKO:2012:81. Tapauksessa vankilan vartija oli avannut tutkintavangille Rikosseuraamuslaitoksesta saapuneen kirjeen, jota tutkintavankeuslain mukaan ei olisi saanut avata. Tutkintavanki vaati valtion velvoittamista suorittamaan hänelle vahingonkorvausta viestintäsalaisuuden loukkauksen aiheuttamasta kärsimyksestä. Korkein oikeus katsoi, että vangin yksityiselämän suojaa oli vankilan viranomaisen toimesta loukattu. Loukkauksen on kuitenkin katsottu tapahtuneen erehdyksessä ja kirjeen avaamisesta oli tehty heti asianmukainen merkintä vankitietojärjestelmään ja vartija on raportoinut asiasta esimiehelleen, joka on suullisesti ilmoittanut tapahtuneesta vangille. Korkein oikeus piti kirjesalaisuuden loukkausta objektiivisesti arvioiden niin vähäisenä, ettei vangilla ollut oikeutta korvaukseen kärsimyksestä.
Viestintäsalaisuuden loukkauksesta ja sen yrityksestä on annettu yhteensä 35 tuomiota vuosina 2015-2019.
Viestintäsalaisuuden loukkauksen tunnusmerkistö on seuraava:
Joka oikeudettomasti
1) avaa toiselle osoitetun kirjeen tai muun suljetun viestin taikka suojauksen murtaen hankkii tiedon sähköisesti tai muulla vastaavalla teknisellä keinolla tallennetusta, ulkopuoliselta suojatusta viestistä taikka
2) hankkii tiedon televerkossa tai tietojärjestelmässä välitettävänä olevan puhelun, sähkeen, tekstin-, kuvan- tai datasiirron taikka muun vastaavan televiestin sisällöstä taikka tällaisen viestin lähettämisestä tai vastaanottamisesta,
on tuomittava viestintäsalaisuuden loukkauksesta sakkoon tai vankeuteen enintään kahdeksi vuodeksi.
Yritys on rangaistava.
___________________________________________________________________
4 § Törkeä viestintäsalaisuuden loukkaus
Viestintäsalaisuuden loukkaus arvioidaan törkeäksi kolmella eri ankaroittamisperusteella, minkä lisäksi aina vaaditaan, että teko on myös kokonaisuutena arvostellen törkeä.
Ensimmäinen ankaroittamisperuste liittyysiihen, että rikoksentekijä käyttää rikosta tehdessään hyväksi erityistä asemaansa. Tämä peruste koskee ensinnäkin kaikkia yleistä teletoimintaa harjoittavan laitoksen palveluksessa olevia henkilöitä sekä postin työntekijöitä. Myös muun erityisen luottamusaseman hyväksikäyttäminen voisi johtaa tämän ankaroittamisperusteen soveltamiseen. Tällaisessa luottamusasemassa voi olla esimerkiksi henkilö, joka hoitaa yksityisen televerkon käyttötehtäviä tai huolehtii sen kunnossapidosta. Hallituksen esityksen (HE 93/1994 vp) mukaan olennaista on, että rikoksentekijä on käyttänyt rikoksen tekemisessä hyväksi tällaista erityistä luottamusasemaansa.
Toinen ankaroittamisperuste on se, että rikoksentekijä käyttää rikoksen tekemistä varten suunniteltua tai muunnettua tietojenkäsittelyohjelmaa tai teknistä erikoislaitetta tai että rikos muuten tehdään erityisen suunnitelmallisesti. Ohjelman tai laitteen tulisi olla nimenomaisesti valmistettu tai kehitelty sellaiseksi, että se soveltuu viestien luvattomaan sieppaamiseen. Suunnitelmallisuus voi ilmetä myös teon määrätietoisena ja laajana esivalmisteluna, eli esimerkiksi välineiden hankkimisena tai valmistamisena.
Kolmas ankaroittamisperuste koskee rikoksen kohteena olleen viestin sisältöä tai teon yksityisyyttä loukkaavaa vaikutusta. Jos rikoksentekijä tietäisi, että viesti on luonteeltaan erityisen luottamuksellinen tai teko muuten loukkaisi huomattavasti yksityisyyden suojaa, viestintäsalaisuuden loukkaukseen voitaisiin soveltaa
ankarampaa rangaistusasteikkoa, mikäli teon kokonaisarvostelukin sitä edellyttäisi.
Törkeän viestintäsalaisuuden loukkauksen yritys on rangaistava.
Törkeästä viestintäsalaisuuden loukkauksesta ja sen yrityksestä on annettu yhteensä kolme tuomiota vuosina 2015-2019.
Törkeän viestintäsalaisuuden loukkauksen tunnusmerkistö on seuraava:
Jos viestintäsalaisuuden loukkauksessa
1) rikoksentekijä käyttää rikoksen tekemisessä hyväksi asemaansa sähköisen viestinnän tietosuojalaissa (516/2004) tarkoitetun teleyrityksen palveluksessa tai muuta erityistä luottamusasemaansa,
2) rikoksentekijä käyttää rikoksen tekemistä varten suunniteltua tai muunnettua tietojenkäsittelyohjelmaa tai teknistä erikoislaitetta tai rikos muuten tehdään erityisen suunnitelmallisesti taikka
3) rikoksen kohteena oleva viesti on sisällöltään erityisen luottamuksellinen taikka teko huomattavasti loukkaa yksityisyyden suojaa
ja viestintäsalaisuuden loukkaus on myös kokonaisuutena arvostellen törkeä, rikoksentekijä on tuomittava törkeästä viestintäsalaisuuden loukkauksesta vankeuteen enintään kolmeksi vuodeksi.
Yritys on rangaistava.
Sähköisen viestinnän tietosuojaL 516/2004 on kumottu L:lla sähköisen viestinnän palveluista 917/2014.
___________________________________________________________________
5 § Tietoliikenteen häirintä
Tietoliikenteen häirintä otettiin rikoslakiin vuonna 1995. Säännöksen mukaan se, joka puuttumalla postiliikenteessä taikka tele- tai radioviestinnässä käytettävän laitteen toimintaan, lähettämällä ilkivaltaisessa tarkoituksessa radiolaitteella tai televerkossa häiritseviä viestejä tai muulla vastaavalla tavalla oikeudettomasti estää tai häiritsee postiliikennettä taikka tele- tai radioviestintää, on tuomittava tietoliikenteen häirinnästä sakkoon tai vankeuteen enintään kahdeksi vuodeksi. Tietoliikenteen häirinnän yritys on rangaistava.
Hallituksen esityksen (HE 93/1994 vp) mukaan rangaistavaa olisi esimerkiksi televisiolähetyksessä käytettävän radioviestinnän häiritseminen. Rangaistava häirintä voi tapahtua joko tietoliikenteessä käytetyn laitteen toimintaan fyysisesti puuttumalla taikka sanomien lähettämistä tai vastaanottamista muulla tavoin vaikeuttamalla. Kysymykseen voisi tulla myös postiliikenteessä käytettävien teknisten laitteiden tai kulkuneuvojen toimintaan puuttuminen. Säännös koskee siis myös perinteisten kirjeiden tai muiden suljettujen viestien välittämisen häiritsemistä.
Tietoliikenteen häirinnän ei välttämättä tarvitse olla teknisin keinoin toteutettu, vaan esimerkiksi tietoliikennettä hoitavan laitoksen virkailijan toiminnan estäminen voisi olla vastaavaa tietoliikenteen häirintää. Teon pitää kuitenkin merkitä postiliikenteen taikka tele- tai radioviestinnän oikeudetonta estämistä tai häiritsemistä.
Tietoliikenteen häirintä olisi rangaistavaa ainoastaan tahallisena. Tekijän tulee siis mieltää, että hän toiminnallaan estää tai häiritsee postiliikennettä taikka tele- tai radioviestintää, eikä vaikkapa lennokin kauko-ohjaimen aiheuttama häiriösignaali, vaikka se häiritsisikin tietoliikennettä, automaattisesti täyttäisi rikoksen tunnusmerkistöä.
Esimerkkinä tietoliikenteen häirinnästä voi mainita tapauksen vuodelta 2007, jossa kolme nuorta miestä olivat rakentaneet haittaohjelman ja kaapanneet vieraita tietokoneita sekä käyttäneet näin luotua verkkoa palvelunestohyökkäyksiin. Tutkinnassa oli selvitetty, että hyökkäys oli tehty lahtelaisen internet-palveluja tarjoavan yrityksen palvelinta vastaan. Palvelin oli kaatunut ja jouduttu käynnistämään uudestaan. Vastaajat joutuivat maksamaan korvauksia yritykselle.Kokonaisuudessa oli kysymys myös muista tietotekniikkaan liittyvistä rikoksista.
Tietoliikenteen häirinnästä ja sen yrityksestä on annettu yhteensä 39 tuomiota vuosina 2015-2019.
Tietoliikenteen häirinnän tunnusmerkistö on seuraava:
Joka puuttumalla postiliikenteessä taikka tele- tai radioviestinnässä käytettävän laitteen toimintaan, lähettämällä ilkivaltaisessa tarkoituksessa radiolaitteella tai televerkossa häiritseviä viestejä tai muulla vastaavalla tavalla oikeudettomasti estää tai häiritsee postiliikennettä taikka tele- tai radioviestintää, on tuomittava tietoliikenteen häirinnästä sakkoon tai vankeuteen enintään kahdeksi vuodeksi.
Yritys on rangaistava.
___________________________________________________________________
6 § Törkeä tietoliikenteen häirintä
Tietoliikenteen häirintää voidaan pitää törkeänä kuudella eri ankaroittamisperusteella, minkä lisäksi aina edellytetään, että tietoliikenteen häirintää näissä tapauksissa on myös kokonaisuutena arvostellen pidettävä törkeänä.
Jos tietoliikenteen häirinnässä.
1) rikoksentekijä käyttää rikoksen tekemisessä hyväksi asemaansa teletoimintalaissa tarkoitetun yleistä teletoimintaa, kaapelilähetystoiminnasta annetun lain (307/87) mukaista kaapelilähetystoimintaa tai yleisradiotoimintaa harjoittavan laitoksen palveluksessa tai muuta erityistä luottamusasemaansa taikka
2) rikoksella estetään tai häiritään hätäkutsujen radioviestintää tai muuta sellaista tele- tai radioviestintää, jota harjoitetaan ihmishengen turvaamiseksi,
3) rikos tehdään osana toimintaa, jossa on vaikutettu merkittävään määrään tietojärjestelmiä käyttäen 34 luvun 9 a §:n 1 kohdan a alakohdassa tarkoitettua laitetta, tietokoneohjelmaa tai ohjelmakäskyjen sarjaa taikka b alakohdassa tarkoitettua salasanaa, pääsykoodia tai muuta vastaavaa tietoa,
4) rikos tehdään osana 6 luvun 5 §:n 2 momentissa tarkoitetun järjestäytyneen rikollisryhmän toimintaa,
5) rikoksella aiheutetaan erityisen tuntuvaa haittaa tai taloudellista vahinkoa tai
6) rikos kohdistuu laitteeseen, tietojärjestelmään tai viestintään, jonka vahingoittaminen vaarantaisi energiahuollon, yleisen terveydenhuollon, maanpuolustuksen, oikeudenhoidon taikka muun näihin rinnastettavan yhteiskunnan tärkeän toiminnon
ja tietoliikenteen häirintä on myös kokonaisuutena arvostellen törkeä, rikoksentekijä on tuomittava törkeästä tietoliikenteen häirinnästä vankeuteen vähintään neljäksi kuukaudeksi ja enintään viideksi vuodeksi.
Ensimmäinen ankaroittamisperuste on se, että rikoksentekijä käyttää hyväkseen erityistä luottamusasemaansa. Siitä mainitaan nimenomaisena esimerkkinä se, että rikoksentekijä käyttää hyväkseen asemaansa yleistä teletoimintaa tai yleisradiotoimintaa harjoittavan laitoksen palveluksessa. Hallituksen esityksen (HE 94/1993 vp) mukaan teleliikenteellä tarkoitetaan myös muissa televerkoissa kuin yleisessä televerkossa välitettäviä viestejä, joten säännöksessä tarkoitettu erityinen luottamusasema voi tulla kysymykseen myös silloin, kun rikoksentekijä toimii jonkin yksityisen yhteisön sisäisen televerkon hoitajana sellaisessa tehtävässä, jossa hänellä on erityinen mahdollisuus estää tai häiritä tietoliikennettä.
Toisena ankaroittamisperusteena on se, että rikoksella estetään tai häiritään hätäkutsujen radioviestintää tai muuta sellaista tele- tai radioviestintää, jota harjoitetaan ihmishengen turvaamiseksi. Kysymykseen tulisi sellainen radioviestintä, jonka tarkoituksena on ilmaista, että välittömiä pelastustoimia vaativa vaara uhkaa ihmishenkeä.
Vuonna 2015 pykälään lisättiin kohdat kolme, neljä, viisi ja kuusi, jotka koskevat bottiverkkojen käyttöä, järjestäytynyttä rikollisryhmää, vakavaa vahinkoa ja elintärkeään infrastruktuuriin kohdistuvaa vahinkoa. Ne vastaavat sisällöllisesti törkeän datavahingonteon (35 luvun 3 b §) vastaavia kvalifiointiperusteita.
Kolmannen kohdan bottiverkolla tarkoitetaan tilannetta, jossa internetiin kytkettyjä laitteita on kaapattu hyökkäyskäyttöön muun muassa niissä olevien tietoturva-aukkojen kautta. Nämä laitteet voivat olla käytännössä mitä tahansa kotitietokoneista älylamppuihin.
Neljäs kohta tarkoittaa sitä, että rikos tehdään osana järjestäytynyttä rikollisryhmää. Järjestäytynyt rikollisryhmä on määritelty rikoslain 6 luvun 5 §:n 2 momentissa, jossa todetaan, että järjestäytyneellä rikollisryhmällä tarkoitetaan vähintään kolmen henkilön muodostamaa tietyn ajan koossa pysyvää rakenteeltaan jäsentynyttä yhteenliittymää, joka toimii yhteistuumin tehdäkseen rikoksia, joista säädetty enimmäisrangaistus on vähintään neljä vuotta vankeutta, taikka 11 luvun 10 §:ssä tai 15 luvun 9 §:ssä tarkoitettuja rikoksia. Edellä mainitut pykälät tarkoittavat kiihottamista kansanryhmää vastaan ja oikeudenkäytössä kuultavan uhkaamista.
Viides kohta tarkoittaa rikoksesta aiheutuvien vahinkojen vakavuutta, jota mitataan haittana, kuten vaikkapa jonkin toiminnan, kuten liikenteen estymisenä sekä taloudellisina menetyksinä.
Kuudennen kohdan elintärkeisiin infrastruktuureihin kohdistuvista rikoksista kysymykseen voisi tulla esimerkiksi palvelunestohyökkäys, joka kohdistuisi potilasjärjestelmiin siten, että niiden käyttö vaikeutuisi tai estyisi. Tämä voisi täyttää myös tekotavasta riippuen kohdan kolme tunnusmerkistön.
Esimerkkinä törkeästä tietoliikenteen häirinnästä voi mainita tapauksen vuodelta 2019, jossa nainen oli soittanut Turun hätäkeskukseen vajaan kuukauden aikana 1 231 kertaa ilman syytä 21. toukokuuta ja 14. kesäkuuta välisenä aikana. Käräjäoikeus tuomitsi naisen seitsemän kuukauden ehdolliseen vankeusrangaistukseen törkeästä tietoliikenteen häirinnästä. Asiassa katsottiin, että nainen oli haitannut hätäkeskuksen toimintaa ja näin saattanut ihmisiä vaaraan.
Törkeästä tietoliikenteen häirinnästä ja sen yrityksestä on annettu yhteensä 7 tuomiota vuosina 2015-2019.
Törkeän tietoliikenteen häirinnän tunnusmerkistö on seuraava:
Jos tietoliikenteen häirinnässä
1) rikoksentekijä käyttää rikoksen tekemisessä hyväksi asemaansa teletoimintalaissa tarkoitetun yleistä teletoimintaa, kaapelilähetystoiminnasta annetun lain (307/87) mukaista kaapelilähetystoimintaa tai yleisradiotoimintaa harjoittavan laitoksen palveluksessa tai muuta erityistä luottamusasemaansa taikka
2) rikoksella estetään tai häiritään hätäkutsujen radioviestintää tai muuta sellaista tele- tai radioviestintää, jota harjoitetaan ihmishengen turvaamiseksi,
3) rikos tehdään osana toimintaa, jossa on vaikutettu merkittävään määrään tietojärjestelmiä käyttäen 34 luvun 9 a §:n 1 kohdan a alakohdassa tarkoitettua laitetta, tietokoneohjelmaa tai ohjelmakäskyjen sarjaa taikka b alakohdassa tarkoitettua salasanaa, pääsykoodia tai muuta vastaavaa tietoa,
4) rikos tehdään osana 6 luvun 5 §:n 2 momentissa tarkoitetun järjestäytyneen rikollisryhmän toimintaa,
5) rikoksella aiheutetaan erityisen tuntuvaa haittaa tai taloudellista vahinkoa tai (10.4.2015/368)
6) rikos kohdistuu laitteeseen, tietojärjestelmään tai viestintään, jonka vahingoittaminen vaarantaisi energiahuollon, yleisen terveydenhuollon, maanpuolustuksen, oikeudenhoidon taikka muun näihin rinnastettavan yhteiskunnan tärkeän toiminnon
ja tietoliikenteen häirintä on myös kokonaisuutena arvostellen törkeä, rikoksentekijä on tuomittava törkeästä tietoliikenteen häirinnästä vankeuteen vähintään neljäksi kuukaudeksi ja enintään viideksi vuodeksi.
Yritys on rangaistava.
L kaapelilähetystoiminnasta 307/1987 on kumottu L:lla televisio- ja radiotoiminnasta 744/1998, ks. L sähköisen viestinnän palveluista 917/2014.
___________________________________________________________________
7 § Lievä tietoliikenteen häirintä
Hallituksen esityksen (HE 94/1993 vp) mukaan tietoliikenteen häirintä voi usein olla myös tilapäistä ja melko harmitonta, ja tämän vuoksi lakiin haluttiin ottaa tekomuotona myös lievä tietoliikenteen häirintä. Tietoliikenteen häirinnän vähäisyyttä arvioitaessa on kiinnitettävä huomiota aiheutetun häiriön laatuun tai määrään taikka muihin rikokseen liittyviin seikkoihin. Lisäksi on otettava huomioon, onko rikos kokonaisuutena arvostellen ollut vähäinen. Lievän tietoliikenteen häirinnän yritys on rangaistava.
Lievästä tietoliikenteen häirinnästä tai sen yrityksestä ei ole annettu oikeudessa vuosina 2015-2019 lainkaan tuomioita.
Lievän tietoliikenteen häirinnän tunnusmerkistö on seuraava:
Jos tietoliikenteen häirintä, huomioon ottaen aiheutetun häiriön laatu tai määrä taikka muut rikokseen liittyvät seikat, on kokonaisuutena arvostellen vähäinen, rikoksentekijä on tuomittava lievästä tietoliikenteen häirinnästä sakkoon.
Yritys on rangaistava.
___________________________________________________________________
7 a § Tietojärjestelmän häirintä
Tietojärjestelmän häirintää koskevan pykälän mukaan tietojärjestelmän häirinnästä tuomitaan se, joka aiheuttaakseen toiselle haittaa tai taloudellista vahinkoa dataa syöttämällä, siirtämällä, vahingoittamalla, muuttamalla tai poistamalla taikka muulla näihin rinnastettavalla tavalla oikeudettomasti estää tietojärjestelmän toiminnan tai aiheuttaa sille vakavaa häiriötä. Pykälää sovelletaan ainoastaan, jollei teosta muualla laissa säädetä ankarampaa tai yhtä ankaraa rangaistusta.
Säännös on tullut voimaan vuonna 2007. Sillä saatettiin lainsäädäntö vastaamaan Suomea sitovaa EU-sääntelyä, tarkemmin tietojärjestelmän häirintää koskevan yleissopimuksen 5 artiklan sekä laitonta järjestelmän häirintää koskevan puitepäätöksen 3 artiklan vaatimuksia. Mainitun yleissopimuksen 5 artiklan tarkoituksena on suojata erityisesti viestintäjärjestelmiä virus- ja palvelunestohyökkäyksiltä. Palvelunestohyökkäyksellä tarkoitetaan esimerkiksi kohteena olevan tietojärjestelmän, kuten sähköpostipalvelimen, tahallista ylikuormittamista tarkoituksena estää sen toiminta tai aiheuttaa sille haittaa. Tämä tunnetaan myös lyhenteellä DoS (Denial of Service).
Tietojärjestelmän häirintää koskeva pykälä liittyy läheisesti tietoliikenteen häirintää koskevaan rikokseen, joka on aiemmin käsitelty. Säännösten ero on siinä, että tietoliikenteen häirinnässä teon kohteena on viestintä, mukaan lukien tietojärjestelmien välityksellä tapahtuva sähköinen viestintä, kun taas tietojärjestelmän häirinnässä teon kohteena on tietojärjestelmä, joka pitää sisällään myös sähköisiä viestejä välittävät tietojärjestelmät.
Hallituksen esityksessä (HE 153/2006 vp) arvioitiin, että tietojärjestelmän häirintää koskevaa pykälää joudutaan todennäköisesti sen toissijaisuuden vuoksi soveltamaan vain harvoin. Jos pykälässä tarkoitettu teko kohdistuu sähköiseen viestintään, tietoliikenteen häirintää koskevat säännökset syrjäyttävät pykälän.
Tavallisesti palvelunestohyökkäys, joka kohdistuu sähköpostipalvelimeen tai internetsivuja välittävään palvelimeen, kuuluisi tietoliikenteen häirintää koskevan pykälän soveltamisalaan. Sen sijaan yksittäiseen tietokoneeseen kohdistuva häirintä taas kuuluisi nyt käsiteltävän pykälän teonkuvaukseen.
Pykälässä on esitetty tekotapaluettelo, jonka tarkoituksena on olla mahdollisimman kattava. Luettelo on kuitenkin tarkoituksellisesti jätetty avoimeksi, sillä tekninen kehitys voi johtaa kokonaan uusiin tekotapoihin. Yhteistä tekotavoille on se, että niissä häiriö aiheutetaan joko kohteena olevan järjestelmän ulkopuolista dataa hyväksikäyttäen tai järjestelmässä jo olevan datan sisältöön puuttumalla. Datan syöttämisellä tarkoitetaan pykälässä sellaista hyökkäystä, joka aiheuttaa kohteessa toimintahäiriön kuitenkin siten, että tietojärjestelmässä olevaa dataa ei millään tavalla vahingoiteta. Toimintahäiriö voi seurata tarkoituksellisesta ylikuormituksesta tai esimerkiksi syötettävän datan häiriöitä aiheuttavista ominaisuuksista. Hyökkäys ei siten kohdistu järjestelmässä olevaan dataan, vaan järjestelmän toimintaan.
Kohteena olevassa järjestelmässä olevan datan suoranaista vahingoittamista tai muuttamista tarkoittavat tekotyypit vastaavat yleissopimuksen sanamuotoa. Datan siirtämisen, vahingoittamisen, muuttamisen ja poistamisen väliset erot ovat käytännössä merkitykseltään vähäiset, koska tietojärjestelmien toimintatavasta johtuen jo yhden bitin muuttaminen saattaa vaikuttaa ratkaisevasti koko tietojärjestelmän toimintaan. Kattavuuden vuoksi kaikki tekotyypit on kuitenkin lueteltu pykälässä. Tyypillinen esimerkki mainitun kaltaisesta tekotavasta on dataa tuhoavan tai muuttavan tietokoneviruksen tai muun vastaavan välineen avulla toteutettu hyökkäys.
Pykälässä edellytetään, että teko on oikeudeton ja tahallinen sekä tehty vahingoittamis- tai haittaamistarkoituksessa ja että sen seurauksena tietojärjestelmän toiminta joko estyy kokonaan tai häiriintyy vakavasti. Säännöksen toissijaisuudella tarkoitetaan sitä, että sitä sovelletaan, jollei teosta muualla laissa säädetä ankarampaa tai yhtä ankaraa rangaistusta. Tietojärjestelmän häirinnän yritys on rangaistava.
Tietojärjestelmän häirinnästä tai sen yrityksestä on annettu oikeudessa vuosina 2015-2019 yhteensä viisi tuomiota.
Tietojärjestelmän häirinnän tunnusmerkistö on seuraava:
Joka aiheuttaakseen toiselle haittaa tai taloudellista vahinkoa dataa syöttämällä, siirtämällä, vahingoittamalla, muuttamalla tai poistamalla taikka muulla niihin rinnastettavalla tavalla oikeudettomasti estää tietojärjestelmän toiminnan tai aiheuttaa sille vakavaa häiriötä, on tuomittava tietojärjestelmän häirinnästä sakkoon tai vankeuteen enintään kahdeksi vuodeksi.
Yritys on rangaistava.
___________________________________________________________________
7 b § Törkeä tietojärjestelmän häirintä
Tietojärjestelmän häirintää pidetään törkeänä, jos sillä aiheutetaan erityisen tuntuvaa haittaa tai taloudellista vahinkoa taikka jos se tehdään erityisen suunnitelmallisesti. Lisäksi teon pitää olla myös kokonaisuutena arvostellen törkeä. Säännös on tullut voimaan vuonna 2007. Samaan tapaan kuin perusmuotoisessa tekomuodossa, myös tämän taustalla oli tietojärjestelmän häirintää koskevan yleissopimuksen 5 artiklan sekä laitonta järjestelmän häirintää koskevan puitepäätöksen 3 artiklan vaatimusten toimeenpaneminen Suomen lainsäädännössä.
Hallituksen esityksen (HE 153/2006 vp) mukaan erityisen tuntuvalla taloudellisella vahingolla tarkoitetaan lähinnä teolla aiheutetun seuraamuksen rahassa mitattavia vaikutuksia tietojärjestelmän haltijalle. Välittömien hankinta-, korjaus- ja huoltokustannusten lisäksi taloudellista vahinkoa voi syntyä esimerkiksi siitä, että uhri joutuu käyttämään oman vahingoittuneen järjestelmänsä sijasta toista järjestelmää. Vahinkoa voi syntyä myös menetettyinä tuloina.
Erityisen tuntuvalla haitalla taas tarkoitetaan aiheutetun seuraamuksen muita kuin rahassa mitattavia vahingollisia vaikutuksia. Tietojärjestelmän käyttömahdollisuuksien menettäminen tai heikkeneminen aiheuttaa uhrille haittaa, vaikkei kyse olisikaan suoranaisesta taloudellisesta vahingosta. Mitä pidempään haitta kestää, sen vakavampana sitä on pidettävä.
Erityinen suunnitelmallisuus voi ilmetä esimerkiksi poikkeuksellisen laajoina ja monimutkaisina valmistelutoimenpiteinä. Myös rikoksen ilmitulon estämiseksi tai rikoshyödyn piilottamiseksi etukäteen tehdyt monimutkaiset harhautustoimenpiteet voivat ilmentää erityistä suunnitelmallisuutta. Erityistä suunnitelmallisuutta voivat ilmentää myös todistusaineiston vääristelemistä tukevat tai sen paljastumista ehkäisevät erityisjärjestelyt sekä useiden henkilöiden tehtävienjakoon nojautuva järjestäytyminen. Esimerkkinä erityisestä suunnitelmallisuudesta voidaan mainita niin sanottu hajautettu palvelunestohyökkäys. Hajautetulla palvelunestohyökkäyksellä tarkoitetaan hyökkäystä, jossa hyökkäykseen käytetty ohjelma ensin asennetaan uhrien koneisiin, minkä jälkeen verkon eri osissa sijaitsevat hyökkäysohjelmat aktivoidaan samanaikaisesti suorittamaan varsinainen hyökkäys ennalta määrättyyn kohteeseen. Hajautetun hyökkäyksen erityispiirre sen lisäksi, että sitä vastaan suojautuminen on vaikeaa, on se, että se altistaa hyökkäykseen tahattomasti osallistuvat välikädet aiheettomille rikosepäilyille.
Vuonna 2015 pykälään otettiin vastaavat bottiverkkoja, järjestäytynyttä rikollisryhmää ja elintärkeää infrastruktuuria koskevat kvalifiointiperusteet kuin edellä käsiteltyjen törkeän datavahingonteon (35 luvun 3 b §) ja törkeän tietoliikenteen häirinnän osalta. Törkeän tietojärjestelmän häirinnän yritys on rangaistava.
Hallituksen esityksen (HE 153/2006 vp) mukaan pykälää joudutaan todennäköisesti sen toissijaisuuden vuoksi soveltamaan vain harvoin. Jos pykälässä tarkoitettu teko kohdistuu sähköiseen viestintään, aiemmin käsitelty törkeää tietoliikenteen häirintää koskeva säännös syrjäyttää pykälän. Teosta ja sen yrityksestä annetut tuomiot ovatkin harvinaisia. Niitä on annettu vuosina 2015-2019 oikeudessa yhteensä kaksi kertaa.
Törkeän tietojärjestelmän häirinnän tunnusmerkistö on seuraava:
Jos tietojärjestelmän häirinnässä
1) aiheutetaan erityisen tuntuvaa haittaa tai taloudellista vahinkoa,
2) rikos tehdään erityisen suunnitelmallisesti,
3) rikos tehdään osana toimintaa, jossa on vaikutettu merkittävään määrään tietojärjestelmiä käyttäen 34 luvun 9 a §:n 1 kohdan a alakohdassa tarkoitettua laitetta, tietokoneohjelmaa tai ohjelmakäskyjen sarjaa taikka b alakohdassa tarkoitettua salasanaa, pääsykoodia tai muuta vastaavaa tietoa,
4) rikos tehdään osana 6 luvun 5 §:n 2 momentissa tarkoitetun järjestäytyneen rikollisryhmän toimintaa tai
5) rikos kohdistuu tietojärjestelmään, jonka vahingoittaminen vaarantaisi energiahuollon, yleisen terveydenhuollon, maanpuolustuksen, oikeudenhoidon taikka muun näihin rinnastettavan yhteiskunnan tärkeän toiminnon
ja tietojärjestelmän häirintä on myös kokonaisuutena arvostellen törkeä, rikoksentekijä on tuomittava törkeästä tietojärjestelmän häirinnästä vankeuteen vähintään neljäksi kuukaudeksi ja enintään viideksi vuodeksi.
Yritys on rangaistava.
___________________________________________________________________
8 § Tietomurto
Tietomurtoa koskeva säännös on otettu rikoslakiin ensimmäisen kerran vuonna 1995. Tietomurtoa koskevilla säännöksillä pyritään turvaamaan tietojärjestelmiä ulkopuolista tunkeutumista vastaan ja toisaalta tietokonetyöskentelyn yksityisyyttä sellaista ulkopuolista tarkkailua vastaan, jossa ei ole kysymys salakuuntelusta tai -katselusta. Tietomurtoon syyllistyy se, joka käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muuten murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa sähköisesti tai muulla vastaavalla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja tai dataa, taikka sellaisen järjestelmän erikseen suojattuun osaan. Käytännössä tietomurto tarkoittaa siten esimerkiksi toisen salasanan selvittämistä ja sen luvatonta hyödyntämistä.
Tietomurtoon syyllistyy lisäksi se, joka tietojärjestelmään tai sen osaan tunkeutumatta 1) teknisen erikoislaitteen avulla tai 2) muuten teknisin keinoin turvajärjestelyn ohittaen, tietojärjestelmän haavoittuvuutta hyväksi käyttäen tai muuten ilmeisen vilpillisin keinoin oikeudettomasti ottaa selon 1 momentissa tarkoitetussa tietojärjestelmässä olevasta tiedosta tai datasta.
Ensimmäinen momentti koskee oikeudetonta tunkeutumista tietojärjestelmään tai sen erikseen suojattuun osaan. Yhteys tietojärjestelmään voidaan muodostaa verkkoyhteyden välityksellä. Kysymykseen voisi tulla myös sellainen tapaus, jossa tekijällä on oikeus olla yhteydessä tietojärjestelmään, mutta hän tunkeutuu järjestelmän sellaiseen suojattuun osaan, johon hänellä ei ole oikeutta. Hallituksen esityksen (HE 94/1993 vp) mukaan tietojärjestelmällä tarkoitetaan yleensä tietyssä organisaatiossa käytettävää tietojenkäsittely- ja siirtolaitteiden muodostamaa verkostoa.
Tietojärjestelmään tunkeutumisella tarkoitetaan pääsyn hankkimista järjestelmässä käsiteltyihin, varastoituihin tai siirrettyihin tietoihin. Teon rangaistavuuden edellytyksenä on se, että tunkeutuminen tapahtuu murtaen järjestelmän turvajärjestely. Turvajärjestelystä mainitaan esimerkkinä käyttäjätunnuksen edellyttäminen. Epäkunnossa olevan turvajärjestelmän hyödyntäminen ei täyttäisi teon tunnusmerkistöä. Toisaalta salasanan ja käyttäjätunnuksen arvaaminen ja järjestelmään kirjautuminen voivat olla pykälän perusteella rangaistavia tekoja. Tunkeutumisen tulee kuitenkin olla tahallista eli tunkeutujan on tiedettävä, että hän tunkeutuu tietojärjestelmään tai sen osaan oikeudettomasti. Vahingossa tapahtunut pääsy johonkin rajattuun tietojärjestelmään ei siten olisi rangaistavaa. Murtautumisen tunnusmerkistö täyttyy siinä vaiheessa, kun pääsy tietojärjestelmään on tapahtunut.
Tietomurrosta tuomitaan myös se, joka tietojärjestelmään tai sen osaan tunkeutumatta teknisen erikoislaitteen avulla oikeudettomasti ottaa selon tietojärjestelmässä olevasta tiedosta. Jos tiedon hankkiminen tapahtuisi tietojärjestelmään tai sen osaan tunkeutumalla, kysymys olisi 1 momentissa tarkoitetusta tietomurrosta tai mahdollisesti jostakin ankarammin rangaistavasta tiedon hankkimisesta, kuten viestintäsalaisuuden loukkauksesta tai yritysvakoilusta. Tämä teknistä erikoislaitetta tai muuta teknistä keinoa koskeva 2 momentti soveltuu esimerkiksi tilanteeseen, jossa tietojärjestelmään päästään vaikkapa jonkinlaista langattomia yhteyksiä hyödyntävän skannerin avulla. Käytännössä tämä tarkoittaisi sitä, että tekijä pääsee jonkin välineen avulla sieppaamaan viestintää siten, että hän voi päästä käsiksi tietojärjestelmään, johon hänellä ei ole oikeuksia.
Myös tietomurron yritys on rangaistava. Hallituksen esityksen (HE 94/1993 vp) mukaan rangaistavaa olisi jo yrittää selvittää tietojärjestelmää suojaava käyttäjätunnus tai murtaa muu turvajärjestely, jos teko tehdään tarkoituksena oikeudettomasti tunkeutua tietojärjestelmään. Tietomurron yrityksestä ei sen sijaan ole kysymys silloin, jos joku erehdyksessä pyrkii tietojärjestelmään, johon pääsyyn hänellä ei ole oikeutta. Tietomurtoa koskevaa pykälää sovelletaan ainoastaan silloin, jos teosta ei ole muualla laissa säädetty ankarampaa tai yhtä ankaraa rangaistusta.
Korkein oikeus on antanut ratkaisun niin sanottua porttiskannausta koskien. Tapauksessa henkilö A oli yrittänyt päästä oikeudettomasti Osuuspankkikeskus-OPK osuuskunnan tietojärjestelmään käyttäen erityistä tietokoneohjelmaa, jonka tarkoituksena oli löytää avoimia välityspalvelimia, mutta skannaus ei ollut läpäissyt palomuuria. Korkein oikeus totesi A:n syyllistyneen osuuskunnan tietojärjestelmään kohdistuneeseen tietomurron yritykseen.
Tietomurrosta ja sen yrityksestä on annettu yhteensä 13 tuomiota vuosina 2015-2019.
Tietomurron tunnusmerkistö on seuraava:
Joka käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muuten murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa sähköisesti tai muulla vastaavalla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja tai dataa, taikka sellaisen järjestelmän erikseen suojattuun osaan, on tuomittava tietomurrosta sakkoon tai vankeuteen enintään kahdeksi vuodeksi.
Tietomurrosta tuomitaan myös se, joka tietojärjestelmään tai sen osaan tunkeutumatta
1) teknisen erikoislaitteen avulla tai
2) muuten teknisin keinoin turvajärjestelyn ohittaen, tietojärjestelmän haavoittuvuutta hyväksi käyttäen tai muuten ilmeisen vilpillisin keinoin
oikeudettomasti ottaa selon 1 momentissa tarkoitetussa tietojärjestelmässä olevasta tiedosta tai datasta.
Yritys on rangaistava.
Tätä pykälää sovelletaan ainoastaan tekoon, josta ei ole muualla laissa säädetty ankarampaa tai yhtä ankaraa rangaistusta.
___________________________________________________________________
8 a § Törkeä tietomurto
Törkeää tietomurtoa koskeva säännös on otettu rikoslakiin ensimmäisen kerran vuonna 2007. Sen mukaan mukaan tietomurtoa on pidettävä törkeänä, jos se tehdään osana järjestäytyneen rikollisryhmän toimintaa tai jos se tehdään erityisen suunnitelmallisesti. Lisäksi teon pitää olla myös kokonaisuutena arvostellen törkeä.
Pykälässä viitataan rikoslain 6 luvun 5 §:n 2 momentin rangaistuksen koventamisperusteeseen, rikoksen tekemiseen osana järjestäytyneen rikollisryhmän toimintaa. Järjestäytyneellä rikollisryhmällä tarkoitetaan vähintään kolmen henkilön muodostamaa tietyn ajan koossa pysyvää rakenteeltaan jäsentynyttä yhteenliittymää, joka toimii yhteistuumin tehdäkseen rikoksia. Jos järjestön toiminta on kestänyt vähintään vuoden, on pysyvyysvaatimuksen yleensä katsottu selvästi täyttyneen. Ryhmän tulee olla myös järjestäytynyt. Vähimmäisvaatimuksena järjestäytyneisyydelle on jonkinasteinen hierarkia ja työnjako. Lisäksi edellytetään, että rikokset tehdään yksissä tuumin, eli siis siten, että tekijät ovat tietoisia toistensa panoksesta. Lisäksi on tietomurtojen täytyy kuulua ryhmän tyypillisen toimintaan, jotta peruste voisi tulla sovellettavaksi.
Erityisellä suunnitelmallisuudella tarkoitetaan esimerkiksi varsinaista tekoa edeltäviä laajoja valmistelutoimenpiteitä sekä erityisiä toimia teon jälkeen jälkien peittämiseksi. Törkeän tietomurron yritys on rangaistava.
Törkeästä tietomurrosta on annettu yhteensä kaksi tuomiota vuosina 2015-2019.
Törkeän tietomurron tunnusmerkistö on seuraava:
Jos tietomurto tehdään
1) osana 6 luvun 5 §:n 2 momentissa tarkoitetun järjestäytyneen rikollisryhmän toimintaa tai
2) erityisen suunnitelmallisesti
ja tietomurto on myös kokonaisuutena arvostellen törkeä, rikoksentekijä on tuomittava törkeästä tietomurrosta sakkoon tai vankeuteen enintään kolmeksi vuodeksi.
Yritys on rangaistava.
___________________________________________________________________
8 b § Suojauksen purkujärjestelmärikos
Suojauksen purkujärjestelmärikoksesta rangaistaan sitä, joka tietoyhteiskuntakaaren 269 §:n 2 momentissa säädetyn kiellon vastaisesti ansiotarkoituksessa tai siten, että teko on omiaan aiheuttamaan huomattavaa haittaa tai vahinkoa suojatun palvelun tarjoajalle, valmistaa, tuo maahan, pitää kaupan, vuokraa tai levittää suojauksen purkujärjestelmää, mainostaa sitä taikka asentaa tai huoltaa sitä. Säännös on tullut voimaan vuonna 2001 ja se säädettiin tietoyhteiskuntakaaren säätämisen yhteydessä. Säännöksellä on tarkoitus suojata tietoyhteiskunnan palveluita niiden suojauksen oikeudetonta purkamista vastaan.
Sähköisen viestin ja sen välitystiedot saa suojata käyttäen hyväksi sitä varten tarjolla olevia teknisiä mahdollisuuksia, jollei laissa toisin säädetä. Suojauksen purkujärjestelmärikoksella puututaan tähän viestin suojaamiseen. Suojauksen purkujärjestelmällä tarkoitettaan laitetta, tietokoneohjelmaa tai muuta järjestelmää taikka järjestelmän olennaista osaa, jonka tarkoituksena on poistaa televerkon avulla tarjottavan palvelun erityisellä teknisellä järjestelmällä toteutettu suojaus.
Säännös koskee purkujärjestelmän valmistamista, maahantuontia, myyntiä, vuokraamista tai levittämistä, mainostamista, asentamista ja huoltamista. Säännöstä ei siten sovelleta suojauksen purkujärjestelmän oikeudettomaan käyttöön tai hallussapitoon yksityisessä tarkoituksessa. Säännöksessä haitalla tarkoitetaan sitä,
ettei konkreettista vahinkoa edellytetä aiheutuvan. Kuitenkin rangaistavuus olisi rajoitettu ainoastaan huomattavan haitan tai vahingon aiheuttamiseen. Vähäisempi haitta vahinko ei riitä säännöksen soveltamiseen.
Suojauksen purkujärjestelmärikoksesta ei ole annettu lainkaan tuomioita vuosina 2015-2019.
Suojauksen purkujärjestelmärikoksen tunnusmerkistö on seuraava:
Joka tietoyhteiskuntakaaren (917/2014) 269 §:n 2 momentissa säädetyn kiellon vastaisesti ansiotarkoituksessa tai siten, että teko on omiaan aiheuttamaan huomattavaa haittaa tai vahinkoa suojatun palvelun tarjoajalle, valmistaa, tuo maahan, pitää kaupan, vuokraa tai levittää suojauksen purkujärjestelmää, mainostaa sitä taikka asentaa tai huoltaa sitä, on tuomittava, jollei teosta muualla laissa säädetä ankarampaa tai yhtä ankaraa rangaistusta, suojauksen purkujärjestelmärikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.
___________________________________________________________________
9 § Tietosuojarikos
Tietosuojarikosta koskeva pykälä on tullut voimaan vuonna 2019. Se säädettiin tietosuojalain yhteydessä. Myös aiemmin rikoslaissa oli kuitenkin henkilörekisteririkosta koskeva vastaava säännös.
Pykälän 1 momentissa säädetään, että henkilö, joka muutoin kuin yleisessä tietosuoja-asetuksessa tarkoitettuna rekisterinpitäjänä tai henkilötietojen käsittelijänä tahallaan tai törkeästä huolimattomuudesta hankkii henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, luovuttaa henkilötietoja tai siirtää henkilötietoja vastoin yleisessä tietosuoja-asetuksen, tietosuojalain, henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain tai henkilötietojen käsittelyä koskevan muun lain henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista tai siirtämistä koskevaa säännöstä ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa, olisi tuomittava tietosuojarikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi. Tietosuojarikokseen ei siis voi syyllistyä kuka vain, vaan kysymykseen tulee joko jonkinlaista henkilörekisteriä pitävä tai henkilötietoja käsittelevä.
Yleensä tietoturvaloukkausten yhteydessä tulevat sovellettavaksi yleisen tietosuoja-asetuksen sisältämät hallinnolliset seuraamusmaksut. Rikosoikeudellinen vastuu tulee kyseeseen vain tilanteissa, joissa lainvastainen henkilötietojen käsittely ei ole asetuksen nojalla hallinnollisten seuraamusmaksujen piirissä. Rangaistussäännös tulee siten sovellettavaksi ainoastaan tilanteessa, jossa henkilön ei voida katsoa toimineen rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa.
Esimerkki rangaistavasta toiminnasta olisi uteliaisuudesta tapahtuva henkilötietojen käsittely ilman käsittelyn oikeuttavaa perustetta. Tällaiset niin sanotut urkintatilanteet ovat varsin yleisiä. Esimerkiksi terveydenhuoltohenkilökuntaan kuuluvalla henkilöllä voi käyttöoikeuksiensa perusteella olla oikeus käsitellä sellaisten henkilöiden henkilötietoja, joiden hoitoon he osallistuvat. Sen sijaan silkasta uteliaisuudesta tapahtuva oikeudeton henkilötietojen hankkiminen potilastietojärjestelmästä olisi lainvastaista.
Pykälän 2 momentin mukaan tietosuojarikoksesta voitaisiin tuomita myös 1 momentissa tarkoitettu henkilö, joka toimii vastoin sitä, mitä momentin 1—4 kohdassa tarkoitetussa säännöksessä säädetään henkilötietojen käsittelyn turvallisuudesta. Esimerkiksi yleisen tietosuoja-asetuksen 32 artikla sääntelee henkilötietojen käsittelyn turvallisuutta. Hallituksen esityksen (HE 232/2014 vp) mukaan tällainen tilanne voisi olla kyseessä esimerkiksi silloin, kun rekisterinpitäjän palveluksessa hävittää henkilötietoja vastoin tietoturvallisuudesta säädettyä. Rangaistavaa on muun muassa menettely, jossa henkilö lainvastaisesti heittää pois henkilörekisteristä tulostetut asiakirjat huolehtimatta niiden tietoturvallisesta hävittämisestä.
Esimerkkinä viimeaikaisesta tapauksesta, jossa sovelletaan nyt voimassa olevaa säännöstä, voi mainita porilaiselta kirpputorilta löytyneet tietokoneet, jotka sisälsivät potilastietoja. Tietokoneiden salasanat oli laitettu tarrateipillä kiinni koneen kylkeen. Tietokoneet osti it-taitoinen mies, joka onnistui laittamaan koneet käyttökuntoon ja kirjautumaan koneille. Hän löysi kovalevyiltä Kristiinankaupungin terveysasiakkaiden terveystietoja, sosiaaliturvatunnuksia ja hoitosuunnitelmia. Hän toimitti koneet poliisille, ja poliisi käynnisti asiassa tutkinnan nimikkeellä tietosuojarikos. Käytännössä tekoon on voinut syyllistyä se henkilö, joka ei ole asianmukaisesti huolehtinut tietojen hävittämisestä ja on toimittanut koneet kirpputorille.
Tietosuojarikoksesta on annettu yhteensä 13 tuomiota vuonna 2019. Sitä edeltäneestä teosta, henkilörekisteririkoksesta, on tuomittu vuosina 2015-2019 oikeudessa yhteensä 55 tuomiota.
Tietosuojarikoksen tunnusmerkistö on seuraava:
Joka muutoin kuin luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä yleinen tietosuoja-asetus, tarkoitettuna rekisterinpitäjänä tai henkilötietojen käsittelijänä tahallaan tai törkeästä huolimattomuudesta hankkii henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, luovuttaa henkilötietoja tai siirtää henkilötietoja vastoin
1) yleisen tietosuoja-asetuksen,
2) tietosuojalain (1050/2018),
3) henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (1054/2018) tai
4) henkilötietojen käsittelyä koskevan muun lain
henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista tai siirtämistä koskevaa säännöstä ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa, on tuomittava tietosuojarikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.
Tietosuojarikoksesta tuomitaan myös se, joka tahallaan tai törkeästä huolimattomuudesta toimii vastoin sitä, mitä 1 momentin 1–4 kohdassa tarkoitetussa säädöksessä säädetään henkilötietojen käsittelyn turvallisuudesta.
___________________________________________________________________
9 a § Identiteettivarkaus
Identiteettivarkaus on tullut rikoslakiin vuonna 2015. Tekoon syyllistyy se, joka erehdyttääkseen kolmatta osapuolta oikeudettomasti käyttää toisen henkilötietoja, tunnistamistietoja tai muuta vastaavaa yksilöivää tietoa ja siten aiheuttaa taloudellista vahinkoa tai vähäistä suurempaa haittaa sille, jota tieto koskee.
Rangaistavuuden täyttymiseltä edellytetään sitä, että identiteettitiedon käytön osalta tekijän tarkoituksena on ollut erehdyttää kolmatta osapuolta. Erehdyttämisen osalta olennaista on, että kolmatta erehdytetään nimenomaan henkilöllisyyden tai identiteetin osalta. Rangaistavuuden edellytyksenä on myös se, että henkilö toimii oikeudettomasti. Henkilö ei toimi oikeudettomasti, jos hänellä on esimerkiksi oikeus käyttää kyseessä olevaa IP-osoitetta, taikka hän käyttäisi nimeään, joka on myös hänen omansa, eli olisi kokonimikaima. Lisäksi edellytetään toisen henkilötietojen, tunnistamistietojen tai muun vastaavan yksilöivän tiedon käyttöä.
Pykälässä on ollut tarkoituksena kattaa kaikki tiedot, joiden perusteella kolmas osapuoli voi erehtyä luulemaan tiedon käyttäjää siksi, jota tieto koskee. Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Tunnistamistiedoilla tarkoitetaan tilaajaan tai käyttäjään yhdistettävissä olevaa viestiä koskevaa tietoa, jota viestintäverkossa käsitellään viestin siirtämiseksi, jakelemiseksi tai tarjolla pitämiseksi. Tällaista tietoa on muun muassa IP-osoite.
Rikos ei täyty, jos toisen tietojen käyttö on niin vähäistä tai koskee kokonaisuudessa niin irrallista seikkaa tai on muuten sellaista, ettei erehtymisen vaaraa tosiasiassa ole. Erehtymisen vaaraa ei esimerkiksi olisi, jos toiminta olisi selkeästi tunnistettavissa satiiriksi. Toinen sallittu käyttötapa olisi esimerkiksi nimimerkkien, kuten “Matti Meikäläinen”, käyttäminen. Tällöinhän tarkoituksena ei ole erehdyttää ketään luulemaan, että kysymys on todellisesta sen nimisestä henkilöstä.
Hallituksen esityksen (HE 232/2014 vp) mukaan teon on tullut aiheuttaa taloudellista vahinkoa tai muuta vähäistä suurempaa haittaa. Taloudellista vahinkoa voi syntyä esimerkiksi selvittelykuluina tilanteen korjaamiseksi. Haitta on osin päällekkäinen taloudellisen vahingon edellytyksen kanssa, mutta kattaa myös tilanteet, joissa ei olisi syntynyt suoranaista taloudellista vahinkoa. Tällaista haittaa voisi syntyä esimerkiksi tilanteissa, joissa asian selvittäminen ja oikaiseminen vaatii paljon vaivannäköä tai ei onnistu lainkaan. Esimerkiksi tilanteessa, jossa toisen henkilötiedoilla on tehty petoksia, saattaa tilanteen ja aiheettomien laskujen selvittäminen vaatia huomattavaa vaivannäköä identiteettivarkauden uhrilta.
Identiteettivarkaudet tapahtuvat usein osana jotain muuta rangaistavaa toimintaa, kuten petoksia, jolloin tuomittava seuraamus olisi usein osa yhteistä rangaistusta. Itsenäisenä rikoksena toteutuessaan seuraamuksena on sakkorangaistus. Esimerkkinä identiteettivarkaudesta voi mainita luottojen ja osamaksusopimusten ottamisen toisen henkilön nimissä tai Tinder- tai muiden seuranhakuprofiilien tekeminen toisen nimellä ja kuvalla.
Identiteettivarkaudesta on annettu oikeudessa vuosina 2015-2019 yhteensä 14 tuomiota.
Identiteettivarkauden tunnusmerkistö on seuraava:
Joka erehdyttääkseen kolmatta osapuolta oikeudettomasti käyttää toisen henkilötietoja, tunnistamistietoja tai muuta vastaavaa yksilöivää tietoa ja siten aiheuttaa taloudellista vahinkoa tai vähäistä suurempaa haittaa sille, jota tieto koskee, on tuomittava identiteettivarkaudesta sakkoon.
Lue kirjoituksemme muista rikoslain luvuista:
Matias Partanen
OTM, Medianomi
Lakimies
Lakitoimisto KPF
