Palveluntarjoajat verkon vartijoina

Sähköisen viestinnän tietosuojalaki

Syksyllä 2004 voimaantulleen sähköisen viestinnän tietosuojalain 20 §:n mukaan palveluntarjoajalla on oikeus ryhtyä välttämättömiin toimiin tietoturvan varmistamiseksi estämällä sähköpostiviestien, tekstiviestien ja muiden vastaavien viestien välittäminen ja vastaanottaminen määrätyissä tilanteissa. Palveluntarjoaja saa poistaa tietoturvaa vaarantavat haittaohjelmat viesteistä ja toteuttaa muut näihin rinnastettavat teknisluonteiset toimet. Toimiin saa ryhtyä vain, jos toimet ovat välttämättömiä viestintä tai verkkopalvelujen turvaamiseksi. Viestin sisältöön saa puuttua ainoastaan teknisin keinoin viestin tarkastamiseksi ja poistamiseksi, jos on todennäköisiä syitä epäillä viestin sisältävän haittaohjelman tai jos viestiä käytetään rikoslain 38 luvun 5 §:ssä säädettyyn tietoliikenteen häirintään. Toimenpiteet on toteutettava huolellisesti ja luottamuksellisen viestin ja yksityisyyden suojaa tai sananvapautta tarpeettomasti vaarantamatta. Sähköisen viestinnän tietosuojalain nojalla Viestintävirasto voi antaa tarkempia sähköpostin käsittelyä koskevia määräyksiä.

Viestintäviraston määräys sähköpostipalveluista

Viestintävirasto on antanut määräyksen sähköpostipalvelujen tietoturvasta ja toimivuudesta (11/2004 M) . Määräys perustuu viestintämarkkinalain ja sähköisen viestinnän tietosuojalain säännöksiin. Määräystä sovelletaan yleisissä viestintäverkoissa tarjottavien sähköpostipalvelujen tuottamiseen ja sähköpostin välittämiseen sekä teleyrityksen näihin toimintoihin käyttämiin järjestelmiin, viestintäverkkoihin ja -palveluihin. Määräyksessä määritellään sähköpostipalvelutarjoajan velvollisuus valvoa verkoissa välitettävää sähköpostiliikennettä. Määräyksen soveltamiseen on annettu myös ohje, joka löytyy Viestintäviraston sivuilta.

Teleyrityksien velvollisuudet

Viestintäviraston määräyksen mukaan teleyrityksen on varmistettava, että sen hallinnoimat ja sen verkossa toimivat sähköpostijärjestelmät eivät toimi avoimina sähköpostin välityspalvelimina. Teleyritykselle asetetaan näin ollen velvollisuus valvoa oman verkkonsa ja sähköpostipalvelunsa tapahtumia. Teleyrityksen tulee estää kuluttajien omien sähköpostipalvelimien lähettämä liikenne, ellei siitä ole erikseen sovittu. Määräyksellä pyritään estämään avointen välityspalvelinten tai oikeudettomasti haltuun otettujen järjestelmien kautta tapahtuva haittaohjelmien ja roskapostien massalevitys. Asiantuntevat kuluttajat saavat pitää omia sähköpostipalvelimia yllä, mutta häiriötilanteissa teleyrityksellä on oikeus katkaista liittymä.

Määräyksen mukaan teleyrityksellä on muun muassa velvollisuus:

  1. Kytkeä irti verkossa olevat avoimet sähköpostin välityspalvelimet.
  2. Estää kuluttajaliittymään suuntautuva SMTP-liikenne (Simple Mail Transfer Protocol = postin lähettämiseen käytetty tiedonsiirtoprotokolla) muualta kuin sovittujen
    SMTP-liikenteelle tarkoitettujen palvelimien kautta.
  3. Estää kuluttajien sähköpostipalvelimista lähtevä rajoittamaton SMTP-liikenne.
  4. Seurata verkkoa palvelua vaarantavan haittaliikenteen havaitsemiseksi.
  5. Irtikytkeä haittaohjelmia lähettävät liittymä mikäli haittaohjelmaliikenne vaarantaa palvelun tietoturvaa tai käytettävyyttä.
  6. Testata omat sähköpostijärjestelmänsä säännöllisesti sen varmistamiseksi etteivät ne toimi avoiminasähköpostin välityspalvelimina.
  7. Pitää yllä vika- ja häiriötilanteiden raportoimista varten sähköpostiosoitetta(esimerkiksi abuse@yritys.example).

Teleyritys voi sallia rajoittamattoman SMTP-liikenteen muutenkin kuin sovittujen SMTP-liikenteelle tarkoitettujen palvelimien kautta. Tällöin teleyrityksen on tiedotettava liittymän tilaajalle avoimeen liikennöintiin liittyvistä riskeistä sekä erityisesti seurattava kuluttajaliittymästä lähtevän SMTP-liikenteen määrää viestintäverkossaan.

Palveluntarjoajan velvollisuus pitää yllä valitusosoitteita

Teleyrityksellä on oltava ajan tasalla olevat verkko-tunnuskohtaiset sähköpostiyhteystiedot, jonne voi tehdä valituksia verkon väärinkäytöstä. Määräys edellyttää käyttöönotettavaksi security-, abuse-, noc- sekä postmaster rooliosoitteet. Kansainvälisiä standardeja noudattavilla vakiomuotoisilla yhteystiedoilla helpotetaan tietoturvallisuuteen liittyvien vika- ja häiriöilmoitusprosessien toimintaa.

Oikeus viestien suodatukseen

Sähköisen viestinnän tietosuojalain 29 §:n mukaan: "käyttäjän pyynnöstä teleyrityksellä ja yhteisötilaajalla on oikeus estää 26 - 28 §:ssä tarkoitetun suoramarkkinoinnin vastaanottaminen." Pykälä antaa palveluntarjoajalle ja esimerkiksi yhteisötilaajana toimivalle työnantajalle oikeuden viestien suodatukseen, mikäli käyttäjä antaa siihen luvan. Lain 20 § menee pidemmälle ja antaa teleyrityksille oikeuden suodattaa ja estää haittaohjelmaliikennettä sekä muuta sähköpostiliikennettä ilman suostumusta, mikäli viestit uhkaavat palvelin tietoturvallisuutta tai käytettävyyttä. Teleyrityksillä on oltava valmiudet suodatusmenetelmien käyttämiseen sekä normaalin sähköpostiliikenteen että häiriötilanteiden varalta. Mikäli viestit eivät kuitenkaan vaaranna palvelun tietoturvaa, tulee suodatukseen saada käyttäjien lupa. Käyttäjät eivät voi kieltää suodatusta, mikäli suodattamatta jättäminen vaarantaa sähköpostiliikennettä.

Kun teleyritys suodattaa asiakkaidensa sähköpostiliikennettä haittaohjelmaliikenteen tunnistamiseksi ja poistamiseksi, teleyrityksen on kuvattava asiakkaalle yleiset suodatusperiaatteet. Kuvauksen tarkoituksena on kertoa asiakkaalle yleisellä tasolla käytettävistä suodatusmenetelmistä ja niiden vaikutuksesta asiakkaan viestintään. Esimerkki tällaisesta kuvauksesta on Elisan roskapostisuodattimen palvelukuvaus .

Teleyritys voi suodattaa myös SMTP liikennettä, joka kulkee teleyrityksen verkon kautta kuluttajan ylläpitämään sähköpostipalvelimeen tai sieltä ulos.

Sananvapaus ja viestien suodatus

Perustuslain 12 §:n 1 momentissa turvattuun sananvapauteen sisältyy oikeus ilmaista, julkistaa ja vastaanottaa tietoja, mielipiteitä ja muita viestejä kenenkään ennakolta estämättä. Sananvapaus ymmärretään perustuslaissa laajasti ja välineneutraalina ( HE 309/1993 vp , s. 56-57). Perustuslakivaliokunta on toisaalta katsonut tietoverkoissa harjoitettavaan viestintään liittyvän monia sellaisia erityispiirteitä, jotka voivat tuoda esiin uusia sananvapauden käyttämisen ja sen sääntelyn kannalta merkityksellisiä näkökulmia ( PeVL 60/2001 vp , s. 2/I, PeVM 14/2002 vp , s. 3/II). Verkkoviestinnän teknisten erityispiirteiden vuoksi tällaisia näkökohtia liittyy esimerkiksi tarpeeseen edistää lainsäädännöllä viestinnän tietoturvaa ja viestintäjärjestelmien häiriötöntä toimintaa.

Perustuslakivaliokunnan lausunto sähköisen viestinnän tietosuojalaista

Teleyritykset velvollisia sulkemaan avoimet välityspalvelimet tai haittaohjelmia lähettävät saastuneet koneet ulos verkosta

Teleyrityksen on huolehdittava siitä, että sen hallinnoimat sähköpostijärjestelmät eivät toimi avoimina sähköpostin välityspalvelimina. Järjestelmien ja palvelujen käyttöönottojen, asennusten ja muutosten yhteydessä suoritettavat testaustoimenpiteet sekä asetusten huolellinen määrittely ovat esimerkkejä sähköpostijärjestelmien käyttöturvallisuudesta huolehtimisesta. Teleyrityksen tulee säännöllisesti testata kaikki hallinnoimansa sähköpostijärjestelmät varmistuakseen siitä, etteivät järjestelmät toimi avoimina sähköpostin välityspalvelimina.

Internet-liittymiä tarjoava teleyritys on velvollinen kytkemään irti yleisestä viestintäverkosta avoimena sähköpostin välityspalvelimena toimivan tietojärjestelmän, jos toimenpide on tarpeen tietoturvasta tai käytettävyydestä huolehtimiseksi. Mikäli mahdollista, asiakkaaseen on otettava yhteyttä ennen järjestelmän irtikytkemistä yleisestä viestintäverkosta. Tämä ei ole kuitenkaan kaikissa tilanteissa mahdollista, eikä asiakkaan kuuleminen saa vaarantaa palvelun tietoturvallisuudesta tai käytettävyydestä huolehtimista. Operaattorin tulee tutkia, onko irtikytkeminen aiheellista ja kirjata tiedot irtikytkemisestä, sen syystä ja tehdyistä toimista.

Sopimuksilla roskapostittajia vastaan

Operaattoreiden rooli on rajoittunut verkon käyttöä haittaavan liikenteen rajoittamiseen. Palveluntarjoajalla ei ole myöskään oikeutta tutkia asiakkaidensa toiminnan laillisuutta epäillyissä roskapostitustapauksissa. Tämä rooli kuuluu viranomaisille. Palveluntarjoajalla on kuitenkin oikeus valvoa, että sen käyttöehtosopimusta noudatetaan. Mikäli käyttöehto- tai käyttöoikeussopimuksessa on selkeästi ja yksiselitteisesti kielletty massapostitukset ja sille on määrätty tietyt seuraamukset, palveluntarjoajan on helppo puuttua roskapostittajien toimiin vetoamalla käyttöehto/oikeussopimusrikkomukseen. Näin esimerkiksi yhdysvaltalaisessa oikeustapauksessa: MonsterHut, Inc. v. PaeTec Communications .

Linkit

Määräys sähköpostipalvelujen tietoturvasta ja toimivuudesta 11/2004 M
Ohje Viestintäviraston 11/2004 määräyksen soveltamiseen

© Liikenne- ja viestintäministeriö 2005