HE 164/2012

Hallituksen esitys eduskunnalle turvallisuustoimenpiteistä turvallisuusluokitellun tiedon suojaamiseksi Suomen ja Yhdysvaltojen välillä tehdyn sopimuksen hyväksymisestä sekä laiksi sopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Esityksessä ehdotetaan, että eduskunta hyväksyisi Suomen ja Yhdysvaltojen välisen sopimuksen turvallisuustoimenpiteistä turvallisuusluokitellun tiedon suojaamiseksi sekä lain sopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta.

Sopimuksen tarkoituksena on varmistaa Suomen ja Yhdysvaltojen välisessä yhteistyössä luottamuksellisesti vaihdettavan turvallisuusluokitellun tiedon suojaaminen erityisesti ulko-, puolustus-, turvallisuus-, poliisi-, tiede- ja yritysasiossa. Sopimuksella osapuolet sitoutuvat suojaamaan toiselta osapuolelta suoraan tai välillisesti saamansa turvallisuusluokitellut tiedot sopimuksessa määrättyjen vaatimusten sekä lakiensa ja asetustensa mukaisesti.

Sopimus tulee voimaan toisen kuukauden ensimmäisenä päivänä sen jälkeen, kun Suomi on ilmoittanut Yhdysvalloille, että kaikki sopimuksen voimaan saattamiseksi Suomessa tarvittavat kansalliset menettelyt on saatettu päätökseen. Sopimuksen voimaansaattamislaki on tarkoitettu tulemaan voimaan valtioneuvoston asetuksella säädettävänä ajankohtana samaan aikaan kuin sopimus tulee Suomen osalta voimaan.


ESITYKSEN PÄÄASIALLINEN SISÄLTÖ  1
SISÄLLYSLUETTELO 2
YLEISPERUSTELUT
1 JOHDANTO
2 NYKYTILA
2.1 Laki kansainvälisistä tietoturvallisuusvelvoitteista
Lain yleinen soveltamisala
Lain suhde julkisuuslainsäädäntöön
Lain soveltaminen elinkeinonharjoittajiin
Lain täytäntöönpanoviranomaiset
Tietojen salassapito ja käytön sääntely
Turvallisuusluokittelu ja -toimenpiteet
Henkilöstöturvallisuus
Yhteisöturvallisuusselvitys
2.2 Turvallisuusselvityksiä koskeva lainsäädäntö
3 ESITYKSEN TAVOITTEET JA KESKEISET EHDOTUKSET
4 ESITYKSEN VAIKUTUKSET
4.1 Vaikutukset kansalaisiin
4.2 Vaikutukset elinkeinoelämään
4.3 Taloudelliset vaikutukset
4.4 Vaikutukset hallintoon
5 ASIAN VALMISTELU
YKSITYISKOHTAISET PERUSTELUT
1 SOPIMUKSEN SISÄLTÖ JA SUHDE SUOMEN LAINSÄÄDÄNTÖÖN
2 LAKIEHDOTUKSEN PERUSTELUT
3 VOIMAANTULO
4 EDUSKUNNAN SUOSTUMUKSEN TARPEELLISUUS JA KÄSITTELYJÄRJESTYS
4.1 Eduskunnan suostumuksen tarpeellisuus
4.2 Käsittelyjärjestys
LAKIEHDOTUS
Laki turvallisuustoimenpiteistä turvallisuusluokitellun tiedon suojaamiseksi Yhdysvaltojen kanssa tehdyn sopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta
SOPIMUSTEKSTI
LIITE

YLEISPERUSTELUT

1 Johdanto

Tietoturvallisuudella tarkoitetaan kaikkia sellaisia menettelyjä, joiden avulla turvataan informaation sisällön suojaaminen ulkopuolisilta (tiedon luottamuksellisuus), tiedon muuttumattomuus (tiedon eheys) sekä tiedon käytettävyys. Tietoturvallisuuden varmistamiseksi käytetään erilaisia keinoja, joista tavallisimmat ovat henkilöstön luotettavuuden ja toimitilojen turvallisuuden varmistaminen, salassapitosäännökset ja tietojen käytön rajoittaminen vain sovittuun tarkoitukseen sekä erilaiset tietojen käsittelyyn ja siirtoon liittyvät menettelytapavaatimukset. Tietoturvallisuusvaatimukset kattavat informaation koko elinkaaren sisältäen tietojen hankkimisen, muokkaamisen, käytön, luovutuksen, arkistoinnin ja hävittämisen.

Kansainväliseen yhteistyöhön liittyviin asiakirjoihin sisältyy sellaisia salassa pidettäviä tietoja, joiden luvaton paljastuminen voi aiheuttaa merkittävää ja laajalle ulottuvaa vahinkoa keskeisille yleisille eduille. Tällaisten aineistojen asianmukaisesta käsittelystä on sen vuoksi pidettävä erityistä huolta. Kysymys on Suomen luotettavuudesta kansainvälisen yhteistyön osapuolena. Kansainvälinen tietoturvallisuusyhteistyö, johon Suomikin osallistuu, käsittää perinteisesti diplomaattiseen toimintaan samoin kuin puolustus- ja poliisihallintojen väliseen yhteistyöhön liittyvän ei-julkisen tiedonvaihdon suojaamisen. Välittömän valtiovastuun piiriin kuuluvien kysymysten lisäksi kansainvälisillä tietoturvallisuusvelvoitteilla on kuitenkin kasvava merkitys myös taloudellisen, teollisen ja teknologisen yhteistyön kannalta, joiden puitteissa yhä useammat yritystason hankkeet edellyttävät turvallisuussuojatun tiedon hyödyntämistä. Näin etenkin silloin, kun kyse on sellaisesta viranomaisen hankinnasta, jossa valtion suojattuja tietoja on annettava yritykselle kaupallisen sopimuksen toteuttamista varten. Tällaisia ovat perinteisesti olleet erityisesti puolustusalan hankinnat.

Pyrkimyksistä huolimatta ei kuitenkaan ole osoittautunut mahdolliseksi toteuttaa tietoturvallisuusalan monenkeskistä yleissopimusta. Pääasiallinen syy tähän ovat kansallisten lainsäädäntöjen ja hallintorakenteiden ja -tapojen eroavaisuudet, jotka puolestaan heijastelevat tietoturvallisuuden sensitiivisyyttä osana kansallista kokonaisturvallisuutta. Edellä sanotusta poikkeuksena on kuitenkin Tanskan, Suomen, Islannin, Norjan ja Ruotsin välillä turvallisuusluokitellun tiedon vastavuoroisesta suojaamisesta ja vaihtamisesta tehty yleinen turvallisuussopimus (SopS 128 ja 129/2010).

Yleissopimuksen puuttuminen on pakottanut valtiot, Suomi mukaan luettuna, etsimään kahdenvälisiä sopimusratkaisuja. Suomi on tehnyt ensimmäisen kahdenvälisen tietoturvallisuussopimuksensa Saksan liittotasavallan kanssa vuonna 2004. Sopimus tuli voimaan 16 päivänä heinäkuuta 2004 (SopS 96 ja 97/2004). Vuotta myöhemmin allekirjoitettiin Suomen ja Ranskan välinen sopimus, joka puolestaan tuli voimaan 1 päivänä elokuuta 2005 (SopS 66 ja 67/2005). Kumpikin suuri Euroopan unionin (EU) jäsen on Suomelle tärkeä yhteistyökumppani niin turvallisuushallinnon kuin taloudellisen vuorovaikutuksenkin aloilla. Tietoturvallisuustarpeiden painottumista enenevässä määrin myös taloudelliseen toimintaan ilmentää Suomen ja Euroopan Avaruusjärjestön (ESA) välinen yhteistyösopimus, jäljempänä ESA:n tietoturvallisuussopimus, niin ikään vuodelta 2004 (SopS 94 ja 95/2004). Sopimuksen eräs keskeinen tavoite on turvata Suomen elinkeinoelämän mahdollisuudet osallistua tasavertaisesti muiden jäsenmaiden kanssa ESA:n turvallisuusluokiteltuihin tarjouskilpailuihin. Tietoturvallisuussopimus on tehty myös Länsi-Euroopan unionin (WEU) kanssa (SopS 41 ja 42/1998) ja Eurooppalaisen puolustusmateriaaliyhteistyöjärjestön (OCCAR) kanssa (SopS 109 ja 110/2008). Mainittujen sopimusten lisäksi Suomi on tehnyt voimassaolevan tietoturvallisuussopimuksen Slovakian (SopS 116 ja 117/2007), Viron (SopS 12 ja 13/2008), Italian (SopS 23 ja 24/ 2008), Latvian (SopS 33 ja 34/2008), Puolan (SopS 46 ja 47/2008), Bulgarian (SopS 116 ja 117/2008), Slovenian (SopS 22 ja 23/2009), Taekin (SopS 53 ja 54/2009) ja Espanjan (SopS 38 ja 39/2010) kanssa sekä edellä mainitun pohjoismaisen tietoturvallisuussopimuksen, jota sovelletaan tällä hetkellä väliaikaisesti Suomen, Ruotsin, Norjan ja Tanskan välillä (SopS 130/2010 ja 20/2012). Suomi on 10 päivänä toukokuuta 2012 hyväksynyt EU:n jäsenvaltioiden välillä toukokuussa 2011 allekirjoitetun sopimuksen turvallisuusluokitellun tiedon suojaamisesta, mutta sopimus ei ole toistaiseksi tullut voimaan. Suomi on omalta osaltaan hyväksynyt Luxemburgin kanssa tehdyn tietoturvallisuussopimuksen 19 päivänä lokakuuta 2012. Naton kanssa tehtyä hallinnollista tietoturvallisuusjärjestelyä koskeva hallituksen esitys on annettu eduskunnalle syksyllä 2012 (HE 139/2012 vp). Kesäkuussa 2012 Suomi allekirjoitti tietoturvallisuussopimuksen Ison-Britannian kanssa. Suomi on lähiaikoina allekirjoittamassa tietoturvallisuussopimuksen myös Sveitsin kanssa. Kaikkiin edellä mainittujen sopimusten nojalla vastaanotettuihin turvallisuusluokiteltuihin tietoihin sovelletaan lakia kansainvälisistä tietoturvallisuusvelvoitteista.

2 Nykytila
2.1 Laki kansainvälisistä tietoturvallisuusvelvoitteista
Lain yleinen soveltamisala

Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) säädettiin osana Suomen ja Saksan välisen tietoturvallisuussopimuksen sekä ESA:n tietoturvallisuussopimuksen voimaansaattamista. Laki katsottiin tarpeelliseksi muun ohella sen vuoksi, että kansainvälisten sopimusten panemiseksi täytäntöön on tarve poiketa asiakirjajulkisuuteen ja -turvallisuuteen perustuvista kansallisista järjestelyistä, jotka perustuvat pääosin viranomaisten toiminnan julkisudesta annettuun lakiin (621/1999), jäljempänä julkisuuslaki.

Lakia kansainvälisistä tietoturvallisuusvelvoitteista sovelletaan erityissuojattaviin tietoaineistoihin. Näillä tarkoitetaan salassa pidettäviä asiakirjoja ja materiaaleja, jotka on toimitettu Suomen viranomaiselle ja joiden lähettäjä on kansainvälisen, Suomea sitovan sopimuksen tai muun kansainvälisen velvoitteen mukaisesti tehnyt niihin turvallisuusluokkaa koskevan merkinnän. Määräysvalta luovutettuun tietoon säilyy luovutuksen jälkeenkin aineiston luovuttaneella valtiolla. Lakia voidaan soveltaa vain, jos kansainvälinen sopimus on saatettu Suomessa voimaan perustuslaissa säädetyllä tavalla tai jos kysymys on Suomea muutoin sitovasta kansainvälisestä velvoitteesta.

Lain soveltamisalan piiriin kuuluvia erityissuojattavia tietoaineistoja ovat lisäksi Suomen viranomaisen tai lain soveltamisalan piiriin kuuluvan elinkeinonharjoittajan laatimat asiakirjat, joista ilmenee Suomeen toimitettuihin asiakirjoihin sisältyviä tai materiaalista saatavissa olevia tietoja. Lain soveltamisalan piiriin kuuluvat niin ikään asiakirjat ja materiaalit, jotka on Suomessa tuotettu erityissuojattavan tietoaineiston pohjalta.

Laissa säädettyjä turvallisuusvelvoitteita sovelletaan silloinkin, kun sopimus tai säädös, johon säännösten soveltaminen perustuu, ei enää ole voimassa (15 §). Soveltaminen jatkuu niin kauan kuin se turvallisuusluokituksen perusteena olevan yleisen edun vuoksi on tarpeen.

Lain suhde julkisuuslainsäädäntöön

Kansainvälisistä tietoturvallisuusvelvoitteista annettuun lakiin sisältyy kansallisten asiakirjojen tietoturvallisuudesta annetuista säännöksistä poikkeavia säännöksiä. Laissa on kuitenkin yleinen viittaussäännös julkisuuslakiin. Niiltä osin kuin suomalaisten viranomaisten asiakirjoihin sisältyy muita kuin kansainvälisten tietoturvallisuusvelvoitteiden piiriin kuuluvia tietoja kansainvälisestä yhteistyöstä, on sovellettava julkisuuslain ja sen nojalla annettuja säännöksiä. Laissa on myös erityissäännös, joka koskee päätöksentekovaltaa siinä tilanteessa, että tietoja pyydetään julkisuuslain nojalla erityissuojattavasta aineistosta. Julkisuuslain mukaan tiedonsaantia koskevan pyynnön voi käsitellä ja ratkaista se viranomainen, jonka hallussa asiakirja on. Tiedonsaantipyyntö voidaan kuitenkin siirtää toisen viranomaisen ratkaistavaksi julkisuuslain 15 §:ssä säädetyissä tilanteissa.

Lain soveltaminen elinkeinonharjoittajiin

Lakia sovelletaan viranomaisten lisäksi myös elinkeinonharjoittajaan ja tämän palveluksessa olevaan silloin, kun elinkeinonharjoittaja on osapuolena turvallisuusluokitellussa sopimuksessa tai osallistuu tällaista sopimusta edeltävään hankintakilpailuun tai toimii tällaisen elinkeinonharjoittajan alihankkijana (1 §:n 2 momentti).

Turvallisuusluokitellulla sopimuksella tarkoitetaan sopimusta, jonka toisen valtion viranomainen tai siinä kotipaikkaansa pitävä yritys taikka kansainvälinen järjestö tai toimielin aikoo tehdä tai on tehnyt kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitetulla tavalla Suomessa kotipaikkaansa pitävän elinkeinonharjoittajan kanssa, jos tarjouskilpailuun osallistuminen tai sopimuksen toteuttaminen voi edellyttää pääsyä erityissuojattavaan tietoaineistoon (2 §:n 3 kohta).

Elinkeinonharjoittaja voi pyytää yhteisöturvallisuusselvityksen ja arvion tekemistä voidakseen osallistua toisen valtion viranomaisen tai siinä kotipaikkaansa pitävän yrityksen järjestämään tarjouskilpailuun (12 §:n 2 momentti). Säännöksen tarkoituksena on turvata suomalaisten yritysten kilpailumahdollisuudet hankinnoissa silloinkin, kun hankintaan sovellettavissa olevaa kansainvälistä tietoturvallisuussopimusta ei ole. Useimmat valtiot kuitenkin edellyttävät kahdenvälisen tietoturvallisuussopimuksen olemassa oloa ulkomaisen turvallisuustodistuksen hyväksymiseksi.

Elinkeinonharjoittajalla ja tämän palveluksessa tai toimeksiannosta toimivalla on erityissuojattavia tietoaineistoja koskeva salassapitovelvollisuus (6 §). Elinkeinonharjoittajalla on myös velvollisuus kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi antaa toimivaltaiselle turvallisuusviranomaiselle tietoja sekä sallia viranomaisen ja kansainvälisen toimielimen tai sopimusvaltion edustajan tutustuminen turvallisuusjärjestelyihinsä ja toimitiloihinsa (16 §:n 2 momentti ja 18 §:n 2 momentti).

Lain täytäntöönpanoviranomaiset

Laissa on säännökset (4 §) niistä viranomaisista, jotka huolehtivat kansainvälisten tietoturvallisuusvelvoitteiden hoitamisesta. Kansallisena turvallisuusviranomaisena (National Security Authority, NSA) kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseen liittyvissä tehtävissä toimii ulkoasiainministeriö. Puolustusministeriö, pääesikunta, Suojelupoliisi ja Viestintävirasto toimivat määrättyinä turvallisuusviranomaisina (Designated Security Authority, DSA). Näille viranomaisille voi kuulua muun ohella tarjous- ja hankintamenettelyihin liittyvien asiakirjojen turvallisuusluokittelu.

Henkilöstöturvallisuuteen liittyvien turvallisuusselvitysten laadinnasta huolehtivat Suojelupoliisi ja pääesikunta (11 §). Yhteisöturvallisuusselvityksen laadinta kuuluu lain mukaan Suojelupoliisille, paitsi silloin, kun kyse on puolustukseen liittyvästä hankinnasta, jolloin selvitysten tekemisestä huolehtii pääesikunta (12 §). Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 5 §:n 2 momentin mukaan kansallinen turvallisuusviranomainen ja tehtävään määrätyt turvallisuusviranomaiset voivat sen estämättä, mitä muun muassa toimivallasta yhteisöturvallisuusselvitysten laadinnasta säädetään, sopia tietyn tehtävän tai tehtäväkokonaisuuden hoitamisesta toisen turvallisuusviranomaisen lukuun, jos järjestely on tarpeen tehtävien hoitamiseksi tarkoituksenmukaisesti, taloudellisesti ja joutuisasti. Viestintävirasto on lain 4 §:n 1 momentissa (885/2010) määrätty turvallisuusviranomaiseksi, jonka tehtävänä on arvioida tietojärjestelmien ja tietoliikennejärjestelyjen turvallisuutta.

Laissa kansainvälisistä tietoturvallisuusvelvoitteista on säännökset viranomaisia ja elinkeinonharjoittajaa koskevasta tiedonantovelvollisuudesta (16 §). Säännösten tarkoituksena on varmistaa, että toimivaltaiset turvallisuusviranomaiset voisivat saada niille kuuluvien tehtävien hoitamiseksi tarpeelliset tiedot. Viranomaiset voivat myös salassapitovelvollisuuden estämättä antaa kansainväliseen tietoturvallisuusvelvoitteeseen perustuvaa yhteistyötä varten salassa pidettäviä tietoja ulkomaiselle sopimuspuolelle (17 §). Viranomaisella on myös oikeus sallia kansainväliseen tietoturvallisuusvelvoitteeseen perustuva kansainvälisen järjestön, toimielimen tai sopimusvaltion edustajan tutustuminen viranomaisen toteuttamiin turvallisuusjärjestelyihin ja toimitiloihin riippumatta siitä, mitä turvallisuusjärjestelyjen salassapidosta säädetään taikka säädetään tai määrätään pääsystä tiloihin, joissa käsitellään tai säilytetään salassa pidettäviä tietoja (18 §).

Kansallisen turvallisuusviranomaisen on lain mukaan ilmoitettava kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitetuissa tapauksissa toiselle sopimuspuolelle tietoonsa tulleesta turvallisuusluokiteltujen tietojen suojan vaarantumisesta ja tietoturvallisuutta koskevan määräyksen loukkaamisesta sekä ryhdyttävä toimenpiteisiin asian selvittämiseksi samoin kuin rangaistavaan tekoon syyllistyneen syytteeseen saattamiseksi (19 §).

Tietojen salassapito ja käytön sääntely

Erityissuojattava tietoaineisto on pidettävä salassa, jollei kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu (6 §:n 1 momentti). Salassapitovelvollisuus koskee myös elinkeinonharjoittajaa tämän olleessa osapuolena turvallisuusluokitellussa sopimuksissa. Suomen tekemissä, käytännössä kahdenvälissä sopimuksissa, jotka koskevat eri maiden viranomaisten välistä salassa pidettävien tietojen vaihtoa, on säännönmukaisesti määräys, joka rajoittaa luovutettujen tietojen käyttöä. Tämän mukaisesti erityissuojattavaa tietoaineistoa saa käyttää ja luovuttaa vain siihen tarkoitukseen, jota varten se on annettu, jollei se, joka on määritellyt aineiston turvallisuusluokan, ole antanut muuhun suostumustaan. Erityissuojattavien tietoaineistojen käyttöä koskee siten vahva käyttötarkoitussidonnaisuus.

Turvallisuusluokittelu ja -toimenpiteet

Laissa säädetään velvollisuudesta merkitä erityissuojattavaan tietoaineistoon sen turvallisuusluokka. Tietoaineistoon tehty merkintä turvallisuusluokasta osoittaa, minkälaisia toimenpiteitä on toteutettava aineistoa käsiteltäessä (8 §). Mitä korkeampaan turvallisuusluokkaan aineisto kuuluu, sitä tiukempia tietoturvallisuustoimenpiteitä edellytetään. Laissa on yleinen velvoite toteuttaa tietoaineiston käsittelyssä sen turvallisuusluokkaa koskevia käsittelymääräyksiä sekä valtuus säätää erityissuojattavan tietoaineiston käsittelyssä noudatettavista turvallisuusluokitusta vastaavista teknisistä turvallisuustoimenpiteistä valtioneuvoston asetuksella (9 §). Tietoturvallisuudesta valtionhallinnossa annetun valtioneuvoston asetuksen (681/2010), jäljempänä tietoturvallisuusasetus, 11 §:ssä on säädetty turvallisuusluokitusmerkintää koskevista erityissäännöksistä ja 12 §:ssä turvallisuusluokituksen vastaavuudesta.

Turvallisuusluokiteltuja aineistoja käsiteltäessä on lain mukaan huolehdittava siitä, että tietoja säilytetään asianmukaisissa tiloissa. Tilojen turvallisuusvaatimuksista on säädetty tietoturvallisuusasetuksen 14 §:ssä.

Turvallisuusluokiteltuja tietoja viranomaisissa käytettäessä on noudatettava pidättyvyyttä ja sen vuoksi lakiin kansainvälisistä tietoturvallisuusvelvoitteista on kirjattu kansainvälisissä sopimuksissa oleva yleinen vaatimus siitä, että tietoihin annetaan pääsy vain niille, jotka tarvitsevat tietoja tehtäviensä hoitamisessa. Nämä henkilöt on nimettävä etukäteen, jos sopimuksessa tätä edellytetään. Sama koskee myös 1 §:n 2 momentissa tarkoitettua elinkeinonharjoittajaa (6 §:n 3 momentti).

Henkilöstöturvallisuus

Kansainvälisessä tietoturvallisuusvelvoitteessa edellytetty henkilöstöturvallisuutta koskeva turvallisuusselvitys tehdään siten kuin turvallisuusselvityksistä annetussa laissa (177/2002) ja sen nojalla säädetään. Siten esimerkiksi selvityksen kohteena olevan henkilön oikeudet määräytyvät sanotun lain mukaisesti.

Kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa on kuitenkin kaksi säännöstä, jotka ovat erityissäännöksiä suhteessa turvallisuusselvityksistä annettuun lakiin. Suppea turvallisuusselvitys on mahdollista laatia muissakin kuin turvallisuusselvityksistä annetun lain 19 §:ssä luetelluissa tapauksissa, jos se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi (11 §:n 1 momentti). Toinen erityissäännös koskee viranomaisten toimivaltaa. Turvallisuusselvityksen tekee pääesikunta silloin kun turvallisuusselvityksen laatiminen on tarpeen puolustushallintoa tai puolustushankintoja koskevan kansainvälisen velvoitteen toteuttamiseksi. Muissa tapauksissa henkilöön liittyvien turvallisuusselvitysten laadinnasta huolehtii Suojelupoliisi (11 §:n 2 momentti). Turvallisuusselvityksistä annetun lain 10 §:n 2 momentin mukaan turvallisuusselvitykseen ei saa sisällyttää selvityksen laatineen viranomaisen arviota selvityksen kohteena olevan henkilön luotettavuudesta tai sopivuudesta virkaan tai tehtävään, ellei lain 9 §:ssä tarkoitettu valtiosopimus tai muu kansainvälinen velvoite tätä edellytä. Koska pääsääntönä on, että turvallisuusselvitys ei sisällä arviota henkilön luotettavuudesta, laissa kansainvälisistä tietoturvallisuusvelvoitteista on erikseen säädetty henkilön luotettavuuden arvioinnista. Tällaisen arvion tekee turvallisuusselvityksen perusteella kansallinen turvallisuusviranomainen tai, jos turvallisuusviranomaisten välillä on niin sovittu, tehtävään määrätty turvallisuusviranomainen (11 §:n 3 momentti).

Arvioinnin perusteella annetaan henkilöstöturvallisuutta koskeva todistus (Personnel Security Clearance Certificate). Se toimitetaan tavanomaisimmin sopimuspuolen turvallisuusviranomaiselle sopimuksen osoittamalla tavalla. Laissa on myös säännökset todistuksen antamisesta henkilölle itselleen (14 §).

Yhteisöturvallisuusselvitys

Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 12 §:ssä säädetään yhteisöturvallisuusselvityksistä ja arvioista. Yhteisöturvallisuusselvityksellä varmistetaan elinkeinonharjoittajan toimitilojen ja käsittelykäytäntöjen asianmukaisuus sekä henkilöstön osaaminen. Elinkeinonharjoittajan luotettavuuden arvioinnilla varmistutaan erityisesti siitä, kuinka hyvin tämä pystyy huolehtimaan turvallisuusluokiteltujen tietojen suojaamisesta. Yhteisöturvallisuusmenettely ja siihen perustuva arvio toteutetaan pääosin elinkeinonharjoittajalta itseltään saatujen tietojen perusteella sekä tämän toimitilojen turvallisuuden kartoituksella, ja tarvittavista toimenpiteistä huolehditaan elinkeinonharjoittajan kanssa tehtävän sopimuksen avulla. Selvityksen laatii Suojelupoliisi. Pääesikunta huolehtii tehtävästä kuitenkin silloin, kun kysymys on puolustukseen liittyvästä hankinnasta. Selvitystä laadittaessa on otettava huomioon laissa yksilöidyt seikat, muun muassa se, miten suojataan turvallisuusluokiteltuja tietoja oikeudettomalta ilmitulolta, muuttamiselta ja hävittämiseltä, ja miten estetään asiaton pääsy tiloihin, joissa turvallisuusluokiteltuja tietoja käsitellään tai joissa harjoitetaan turvallisuusluokitellussa sopimuksessa tarkoitettua toimintaa. Viestintävirasto laatii tarvittaessa osana yhteisöturvallisuusselvitystä selvityksen ja arvion siitä, täyttävätkö elinkeinonharjoittajan tietojärjestelmät ja tietoliikenteen järjestelyt kansainvälisistä tietoturvallisuusvelvoitteista johtuvat vaatimukset.

Määrätyt turvallisuusviranomaiset voivat toimialaansa kuuluvaa yhteisöturvallisuusselvitystä ja sen perusteella annettavaa arviota laatiessaan lain 13 §:n mukaan edellyttää, että elinkeinonharjoittaja sitoutuu huolehtimaan 12 §:n 1 momentissa tarkoitetuista ja muista kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tarpeellisista toimenpiteistä. Sitoumuksessa voidaan yksityiskohtaisemmin määritellä ne toimenpiteet, jotka elinkeinonharjoittaja toteuttaa täyttääkseen kansainvälisistä tietoturvallisuusvelvoitteista johtuvat vaatimukset. Sitoumuksessa elinkeinonharjoittaja sitoutuu myös tekemään ne mahdolliset tarkistukset toimintaansa, jotka toiminnan turvallisuuskartoituksessa on havaittu. Turvallisuusselvityksen ja mahdollisen sitoumuksen jälkeen Suojelupoliisi tai pääesikunta voi tehdä arvion elinkeinonharjoittajan luotettavuudesta ja antaa tätä koskevan turvallisuustodistuksen (Facility Security Clearance Certificate).

2.2 Turvallisuusselvityksiä koskeva lainsäädäntö

Henkilöstöturvallisuuteen liittyvistä turvallisuusselvityksistä säädetään turvallisuusselvityksistä annetussa laissa. Lain tarkoituksena on turvallisuusselvitysmenettelyä käyttämällä parantaa mahdollisuuksia ennakolta estää rikokset, jotka vakavasti vahingoittaisivat keskeisiä yleisiä tai yksityisiä etuja taikka erittäin merkittävää tietoturvallisuutta.

Turvallisuusselvitys voidaan tehdä virkaan tai tehtävään hakeutuvasta, tehtävään tai koulutukseen otettavasta taikka virkaa tai tehtävää hoitavasta henkilöstä, ja se voi olla perusmuotoinen, laaja tai suppea. Turvallisuusselvitys tehdään laissa määritellyissä tapauksissa, kuten silloin, kun Suomea sitova valtiosopimus tai muu kansainvälinen velvoite edellyttää turvallisuusselvityksen tekemistä tai sen perusteella laaditun todistuksen esittämistä.

Yksityisyyden suojan perusoikeusluonteen vuoksi turvallisuusselvitysmenettely on tarkan muotosidonnaista. Turvallisuusselvitys voidaan tehdä vain selvityksen kohteena olevan henkilön etukäteen antaman, nimenomaisen ja kirjallisen suostumuksen perusteella. Myös turvallisuusselvitysmenettelyssä käytettävät rekisterit on laissa lueteltu tyhjentävästi.

Jokaisella on oikeus saada tieto siitä, onko hänestä tehty turvallisuusselvitys tiettyä tehtävää varten. Selvityksen kohteella on myös oikeus pyynnöstä saada toimivaltaiselta viranomaiselta perusmuotoisen tai laajan turvallisuusselvityksen tiedot. Tiedonsaantioikeus ei kuitenkaan koske sellaisesta rekisteristä peräisin olevaa tietoa, johon rekisteröidyllä ei ole tarkastusoikeutta.

Turvallisuusselvityslain kokonaistarkistusta varten asetettu työryhmä on luovuttanut mietintönsä oikeusministerille 31 päivänä tammikuuta 2011. Työryhmälle annettuun tehtävään kuului turvallisuusselvityslain kehittäminen siten, että se vastaa Suomea sitovia velvoitteita ja kansainvälisesti yleisesti sovellettavia käytäntöjä. Uudistettua turvallisuusselvityslakia koskeva hallituksen esitys on tarkoitus antaa syysistuntokaudella 2012.

3 Esityksen tavoitteet ja keskeiset ehdotukset

Esityksen tavoitteena on saattaa voimaan Suomen ja Yhdysvaltojen välinen tietoturvallisuussopimus ja sillä tavoin parantaa maiden välistä yhteistyötä sekä turvata suomalaisten yritysten mahdollisuudet osallistua sellaisiin kansainvälisiin sekä Suomen ja Yhdysvaltojen välisiin hankkeisiin, joiden toteuttaminen saattaa edellyttää turvallisuusluokiteltujen tietojen vaihtoa. Tietoturvallisuussopimus tukee myös muiden Suomen ja Yhdysvaltojen välillä tehtyjen sopimusten täytäntöönpanoa. Suomen ja Yhdysvaltojen välillä on tehty vuonna 1991 sotilastiedon turvallisuutta koskeva sopimus, joka lakkaa olemasta voimassa tämän sopimuksen tullessa voimaan.

4 Esityksen vaikutukset
4.1 Vaikutukset kansalaisiin

Sopimuksen voimaansaattamisen myötä Yhdysvalloista Suomeen toimitettuihin turvallisuusluokiteltuihin tietoihin ja materiaaleihin sovellettaisiin lakia kansainvälisistä tietoturvallisuusvelvoitteista. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain mukainen salassapito on riippuvainen sopimuksen määräyksistä, mikä merkitsee yleensä kattavampaa salassapitovelvoitetta kuin julkisuuslain säännökset. Suomen ja Yhdysvaltojen välisessä sopimuksessa on kysymys asiakirjoista, joita toinen osapuoli pitää salassa pidettävinä ja jotka se on määritellyt ja merkinnyt korkean tietoturvallisuuden tasoa edellyttäviksi. Sopimuksen 7 artiklassa määrätään turvallisuusluokitellun tiedon salassapidosta. Artiklan a kohdan mukaan osapuolet eivät salli kolmansien osapuolten saada turvallisuusluokiteltua tietoa ilman lähettäjän kirjallista ennakkolupaa. Tämä merkitsee poikkeusta julkisuuslain yleistä etua koskevista salassapitosäännöksistä, joissa salassapito on useimmissa tapauksissa riippuvainen siitä, minkälaisia vaikutuksia tietojen antamisella olisi suojattavalle edulle. Tällaisia asiakirjoja on säännönmukaisesti pidettävä salaisina myös julkisuuslain 24 §:n 1 momentin 2 kohdan mukaan. Merkittävimpänä erona on se, että viranomaisella ei olisi kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitettuun asiakirjaan kohdistuvaa tiedonsaantipyyntöä ratkaistessaan velvollisuutta erikseen perustella tiedon antamisesta aiheutuvaa vahinkoa. Tiedonsaantipyyntö olisi muutoin käsiteltävä julkisuuslain mukaisesti. Jos luokituksen oikeellisuudesta tai siitä, minkä asiakirjan tietojen vuoksi luokitusmerkintä on tehty, syntyy epäselvyyttä, viranomaisen on otettava yhteyttä asiakirjan laatineeseen osapuoleen. Edellä olevan perusteella voidaan arvioida, että Suomen ja Yhdysvaltojen välisen tietoturvallisuussopimuksen voimaansaattamista koskeva lakiehdotus ei asiallisesti vaikuta kansalaisten tiedonsaantia vähentävästi suhteessa siihen, mitä tiedonsaanti yleisen lainsäädännön mukaan on.

Henkilöstöturvallisuus on keskeinen tietoturvallisuuden osa-alue. Koska laki kansainvälisistä tietoturvavelvoitteista edellyttää turvallisuusselvityksistä annetun lain mukaisen menettelyn käyttämistä henkilöstön luotettavuuden varmistamisesta, ehdotetun voimaansaattamislain hyväksyminen ei tarkoittaisi sitä, että kansalaisten yksityisyyselämän ja henkilötietojen suojaa kavennettaisiin aikaisempaan verrattuna.

4.2 Vaikutukset elinkeinoelämään

Sopimus antaa suomalaiselle teollisuudelle mahdollisuuden saada sellaisia tilauksia tai osallistua sellaisiin hankkeisiin, joiden toteuttaminen edellyttää pääsyä Yhdysvaltojen turvallisuusluokiteltuihin tietoihin. Vastaavasti sopimus antaa Yhdysvaltojen teollisuudelle mahdollisuuden saada sellaisia tilauksia tai osallistua sellaisiin hankkeisiin, joiden toteuttaminen edellyttää pääsyä Suomen turvallisuusluokiteltuun tietoon.

4.3 Taloudelliset vaikutukset

Esityksellä ei ole vaikutusta valtion talousarvioon eikä muitakaan vähäistä merkittävämpiä taloudellisia vaikutuksia.

4.4 Vaikutukset hallintoon

Esitykseen sisältyvän sopimuksen ja lain hyväksymisestä ei aiheudu hallintoa koskevia muutosvelvoitteita tai -tarpeita. Sopimus lisää jonkin verran kansallisen turvallisuusviranomaisen ja määrättyjen turvallisuusviranomaisten niitä tehtäviä, jotka kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 4 §:n mukaisesti kuuluvat näille viranomaisille.

5 Asian valmistelu

Hallituksen esitys on valmisteltu ulkoasiainministeriössä. Sopimuksen valmisteluun ja neuvotteluihin on osallistunut edustajia ulkoasiainministeriöstä, oikeusministeriöstä, puolustusministeriöstä, työ- ja elinkeinoministeriöstä, Säteilyturvakeskuksesta, Viestintävirastosta ja Suojelupoliisista. Esityksestä on pyydetty lausunnot oikeusministeriöltä, puolustusministeriöltä, sisäasiainministeriöltä, valtiovarainministeriöltä, liikenne- ja viestintäministeriöltä, työ- ja elinkeinoministeriöltä, Suojelupoliisilta ja Viestintävirastolta. Lausunnoissa on puollettu sopimuksen pikaista hyväksymistä ja voimaansaattamista.

yksityiskohtaiset perustelut

1 Sopimuksen sisältö ja suhde Suomen lainsäädäntöön

1 artikla. Seuraanto. Sopimuksen tullessa voimaan Suomen hallituksen ja Yhdysvaltojen hallituksen 11 päivänä lokakuuta 1991 allekirjoittama sotilastiedon turvallisuutta koskeva sopimus lakkaa olemasta voimassa. Artiklan 2 kohdan mukaan aiemmin välitetyt turvallisuusluokitellut tiedot suojataan tämän sopimuksen mukaisesti ja kaikki viittaukset tietoturvallisuussopimukseen katsotaan viittaukseksi tähän sopimukseen.

Sopimuksen 1 artiklan 3 kohdassa asetetaan soveltamisalaa koskeva rajoitus. Sopimusta ei sovelleta Yhdysvaltojen vuoden 1954 atomienergialaissa tarkoitettuun käytöltään rajoitettuun tietoon (Restricted Data) eikä entiseen käytöltään rajoitettuun tietoon (Formerly Restricted Data), joka on poistettu atomienergialain käytöltään rajoitetun tiedon luokasta, mutta jonka Yhdysvallat katsoo edelleen puolustustiedoksi.

2 artikla. Sitoumus turvallisuusluokitellun tiedon suojaamiseen. Artiklan 1 kohdan mukaan kumpikin osapuoli suojaa toiselta osapuolta suoraan tai välillisesti saamansa turvallisuusluokitellut tiedot sopimuksessa määrättyjen vaatimusten sekä lakiensa ja määräystensä mukaisesti. Sopimuksen johdannossa osapuolten välisinä yhteistyöaloina luetellaan ulko-, puolustus-, turvallisuus-, poliisi-, tiede- elinkeino- ja teknologia-asiat. Turvallisuusluokitellun tiedon suojaamista koskevat keskeiset vaatimukset sisältyvät sopimuksen 7 artiklaan.

Artiklan 2 kohdan mukaan osapuolten tulee ilmoittaa toisilleen lakeihinsa ja määräyksiinsä ehdotetuista muutoksista, jotka vaikuttaisivat turvallisuusluokitellun tiedon suojaamiseen. Tällaisessa tapauksessa osapuolet neuvottelevat keskenään käsitelläkseen tähän sopimukseen mahdollisesti tehtävistä muutoksista.

3 artikla. Määritelmät. Artiklassa määritellään sopimuksen soveltamisen kannalta keskeiset käsitteet seuraavasti:

Artiklan a alakohdassa on turvallisuusluokitellun tiedon määritelmä. Sopimus koskee tietoa, jonka Suomen tai Yhdysvaltojen hallitus tuottaa tai joka tuotetaan näiden hallitusten puolesta tai joka kuuluu jommankumman hallituksen lainkäyttö- tai määräysvaltaan ja joka on suojattava kansallisen turvallisuuden vuoksi ja on osoitettu sellaiseksi tiedoksi kyseisen hallituksen määräämällä turvallisuusluokituksella. Tieto voi olla suullisessa, visuaalisessa, elektronisessa tai asiakirjan muodossa tai se voi olla aineiston, kuten laitteiden tai teknologian, muodossa. Kohta on sopusoinnussa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 2 §:n 1 kohdan kanssa.

Artiklan b alakohdan mukaan turvallisuusluokitellulla sopimuksella tarkoitetaan sopimusta joka edellyttää tai tulee edellyttämään hankeosapuolen tai sen työntekijöiden pääsyä turvallisuusluokiteltuun tietoon. Kohta on sopusoinnussa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 2 §:n 3 kohdan kanssa.

Artiklan c alakohdan mukaan hankeosapuolella tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, jolla on oikeudellinen kelpoisuus tehdä sopimuksia, ja/tai tämän sopimuksen mukaista turvallisuusluokitellun sopimuksen osapuolta.

Artiklan d alakohdassa määritellään yhteisöturvallisuusselvitys (Facility Security Clearance, FSC). Yhteisöturvallisuusselvityksellä tarkoitetaan toimivaltaisen turvallisuusviranomaisen hankeosapuolen organisaatiolle antamaa todistusta, josta ilmenee, että organisaatiosta on tehty turvallisuusselvitys ja että se on toteuttanut asianmukaiset turvallisuustoimet turvallisuusluokiteltujen tietojen suojaamiseksi. Todistus merkitsee myös sitä, että hankeosapuoli suojaa turvallisuusluokiteltua tietoa tämän sopimuksen mukaisesti ja että toimivaltainen turvallisuusviranomainen valvoo ja varmistaa, että hankeosapuoli noudattaa tätä sopimusta. Yhteisöturvallisuusselvitystä ei vaadita KÄYTTÖ RAJOITETTU -tasolla. Kohta on sopusoinnussa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 12 §:n kanssa.

Artiklan e alakohdassa määritellään henkilöturvallisuusselvitys (Personnel Security Clearance, PSC). Henkilöturvallisuusselvityksellä tarkoitetaan toimivaltaisen turvallisuusviranomaisen antamaa todistusta osapuolen lainkäyttövaltaan kuuluvan valtion viraston tai hankeosapuolen organisaation palveluksessa olevan luonnollisen henkilön henkilöturvallisuusselvityksen tasosta. Henkilöturvallisuusselvityksellä tarkoitetaan myös henkilön kansalaisuusvaltion toimivaltaisen turvallisuusviranomaisen antamaa lausuntoa henkilön edellytyksistä saada turvallisuusselvitys, jos henkilön on määrä työskennellä toisen osapuolen tai sen hankeosapuolen palveluksessa. Kohta on sopusoinnussa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 11 §:n kanssa.

Artiklan f alakohdassa on määritelty tiedonsaantitarve. Tiedonsaantitarpeella tarkoitetaan turvallisuusluokitellun tiedon haltijan päätöstä, jonka mukaan tiedon mahdollinen vastaanottaja tarvitsee pääsyn tiettyyn turvallisuusluokiteltuun tietoon toimiakseen laillisessa ja sallitussa valtion tehtävässä tai avustaakseen siinä. Vastaavan tyyppinen määritelmä sisältyy myös kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 3 momenttiin.

4 artikla. Turvallisuusviranomaiset. Artiklan mukaan osapuolet ilmoittavat toisilleen kirjallisesti ne turvallisuusviranomaiset, jotka vastaavat sopimuksen täytäntöönpanosta, sekä näiden turvallisuusviranomaisten mahdolliset myöhemmät muutokset.

Suomessa mainittuna viranomaisena toimii kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 4 §:n mukaan ulkoasiainministeriö, jossa tehtävää hoitaa Kansallinen turvallisuusviranomainen. Tämän lisäksi puolustusministeriö, pääesikunta, Suojelupoliisi ja Viestintävirasto toimivat määrättyinä turvallisuusviranomaisina.

5 artikla. Turvallisuusluokiteltujen tietojen merkitseminen. Artiklan 1 kohdan mukaan turvallisuusluokiteltuun tietoon merkitään toisiaan vastaavasti kansalliset turvallisuusluokat artiklassa esitetyn taulukon mukaisesti.

Korkein, ankarimpia tietoturvallisuustoimenpiteitä vaativa luokka on "ERITTÄIN SALAINEN" (TOP SECRET). Suomessa tähän luokkaan luetaan kuuluviksi tiedot, joiden luvaton ilmitulo voi aiheuttaa erittäin suurta vahinkoa maanpuolustukselle, turvallisuudelle, kansainvälisille suhteille tai muille yleisille eduille.

Toiseksi korkein turvallisuusluokka on "SALAINEN" (SECRET). Tähän kuuluvat Suomessa tiedot, joiden luvaton ilmitulo voi aiheuttaa merkittävää vahinkoa maanpuolustukselle, turvallisuudelle, kansainvälisille suhteille tai muille yleisille eduille.

Kolmanneksi korkein turvallisuusluokka on "LUOTTAMUKSELLINEN" (CONFIDENTIAL), jolla tarkoitetaan Suomessa tietoja, joiden luvaton ilmitulo voi aiheuttaa vahinkoa maanpuolustukselle, turvallisuudelle, kansainvälisille suhteille tai muille yleisille eduille.

Neljänteen asiakirjaluokkaan "KÄYTTÖ RAJOITETTU" kuuluvat tiedot, joiden luvaton ilmitulo voi aiheuttaa haittaa yleisille eduille tai heikentää viranomaisen toimintaedellytyksiä. Yhdysvalloissa ei ole käytössä vastaavaa luokkaa. Turvallisuusluokiteltuja tietoja, joihin on merkitty suomenkielinen turvallisuusluokka KÄYTTÖ RAJOITETTU, käsitellään Yhdysvalloissa siten, kuin sopimuksen liitteessä ”Turvallisuusluokkaan KÄYTTÖ RAJOITETTU (Restricted) kuuluvan suomalaisen turvallisuusluokitellun tiedon käsittelymenettely Yhdysvalloissa” määrätään. Turvallisuusluokiteltuja tietoja, joihin on merkitty suomenkielinen turvallisuusluokka KÄYTTÖ RAJOITETTU, käsitellään Yhdysvalloissa samoin kuin Yhdysvaltojen luokittelemattomia (U.S. UNCLASSIFIED) tietoja, jotka yhden tai useamman Yhdysvaltojen lain mukaan eivät ole julkisia. Kyseiset lait on mainittu 5 artiklan 1 kohdan kolmannessa alaviitteessä.

Kaikki asiakirjat tai aineisto, joissa on Yhdysvaltojen merkintä siitä, että se on valvottua luokittelematonta tietoa (Controlled Unclassifed Information, CUI), merkitään, käsitellään, siirretään ja säilytetään Suomessa kuten turvallisuusluokkaan KÄYTTÖ RAJOITETTU kuuluva tieto.

Suomenkielisiä turvallisuusluokitusmerkintöjä vastaavat ruotsinkieliset merkinnät on lueteltu sopimuksen 5 artiklan 1 kohtaa koskevassa ensimmäisessä alaviitteessä.

Suomen kansainvälisiä suhteita suojaavat julkisuuslain 24 §:n 1 momentin 1 ja 2 kohta, maanpuolustusta momentin 10 kohta ja turvallisuutta momentin 5, 8 ja 9 kohdat. Muita julkisuuslaissa tarkoitettuja yleisiä etuja voivat olla esimerkiksi valtionjohdon ja valtiovieraiden sekä tietojärjestelmien turvallisuusjärjestelyjen suojaaminen (24 § 1 momentin 7 kohta) sekä kansantalouden toimivuus (24 § 1 momentin 11 ja 12 kohta). Julkisuuslain 25 §:ssä on yleiset säännökset salassapito- ja luokitusmerkinnän tekemisestä viranomaisen asiakirjaan. Lain 25 §:n 3 momentin mukaan asiakirjaan voidaan tehdä merkintä sen osoittamiseksi, minkälaisia tietoturvallisuusvaatimuksia asiakirjaa käsiteltäessä noudatetaan. Kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitettuihin asiakirjoihin on tehtävä turvallisuusluokituksesta merkintä siten kuin mainitussa laissa säädetään. Turvallisuusluokituksesta on tehtävä merkintä myös, jos valtioneuvoston antamalla asetuksella niin säädetään.

Artiklan 2 kohdan mukaan kumpikin osapuoli leimaa, merkitsee tai liittää kaikkiin toiselta osapuolelta saamiinsa turvallisuusluokiteltuihin tietoihin tiedot luovuttaneen hallituksen nimen. Tietoihin leimataan, merkitään tai liitetään vastaanottavan osapuolen kansallinen turvallisuusluokka, joka ei saa olla alhaisempi kuin tiedot luovuttaneen hallituksen määräämä vastaava turvallisuusluokka ja joka antaa vähintään samantasoisen suojan kuin tiedot luovuttaneen osapuolen määräämä turvallisuusluokka.

Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 8 §:n mukaan erityissuojattavaan tietoaineistoon on siitä riippumatta, mitä viranomaisen toiminnan julkisuudesta annetussa laissa tai sen nojalla säädetään, tehtävä kansainvälisessä tietoturvallisuusvelvoitteessa määritelty luokitusmerkintä sen osoittamiseksi, minkälaisia tietoturvallisuusvaatimuksia sen käsittelyssä on noudatettava. Turvallisuusluokitusmerkintää koskevat erityissäännökset sisältyvät tietoturvallisuusasetuksen 11 §:ään, ja merkintöjen vastaavuudesta kansainvälisten tietoturvallisuusvelvoitteiden luokkien kanssa on säädetty asetuksen 12 §:ssä. Asetuksen 11 §:n 1 momentissa säädetään, milloin salassa pidettävään asiakirjaan voidaan tehdä turvallisuusluokitusmerkintä. Asetuksen 11 §:n 3 momentin mukaan turvallisuusluokitusmerkintää ei saa käyttää muissa kuin 1 momentissa tarkoitetuissa tapauksissa, ellei merkinnän tekeminen ole tarpeen kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tai asiakirja muutoin liity kansainväliseen yhteistyöhön. Ruotsinkielisistä turvallisuusluokitusmerkinnöistä on erityissäännös asetuksen 11 §:n 4 momentissa.

6 artikla. Vastuu turvallisuusluokitellusta tiedosta. Artiklan mukaan kumpikin osapuoli on vastuussa kaikista toisen osapuolen turvallisuusluokitelluista tiedoista sinä aikana, jona tiedot ovat sen lainkäyttöalueella ja määräysvallassa. Tietojen kuljetuksen aikana tiedot lähettänyt osapuoli on vastuussa kaikista turvallisuusluokitelluista tiedoista, kunnes tiedot ovat virallisesti siirtyneet toisen osapuolen hallintaan.

7 artikla. Turvallisuusluokitellun tiedon suojaaminen. Artikla sisältää keskeiset turvallisuusluokitellun tiedon suojaamista koskevat velvoitteet.

Artiklan ensimmäisen kappaleen mukaan luonnollisella henkilöllä ei ole oikeutta päästä toiselta osapuolelta saatuihin turvallisuusluokiteltuihin tietoihin pelkästään arvonsa, asemansa tai turvallisuusselvityksensä perusteella. Pääsy turvallisuusluokiteltuihin tietoihin sallitaan ainoastaan niille henkilöille, joiden viralliset tehtävät edellyttävät sitä, ja joista on tehty henkilöturvallisuusselvitys osapuolten ennalta määräämien vaatimusten mukaisesti.

Määräys on sopusoinnussa kansainvälisen tietoturvallisuusvelvoitteista annetun lain 6 §:n 3 momentin kanssa, jossa sallitaan tietoaineistoon pääsy vain niille henkilöille, jotka tarvitsevat tietoja tehtävänsä hoitamiseen. Kansainvälisen tietoturvallisuusvelvoitteen edellyttämä henkilöiden luotettavuuden varmistaminen toteutetaan Suomessa turvallisuusselvityksistä annetun lain sekä kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 11 §:n mukaisesti.

Artiklan a alakohdan mukaan turvallisuusluokitellun tiedon vastaanottaja ei saa antaa tietoa kolmannen valtion hallitukselle, henkilölle, yritykselle, laitokselle, järjestölle tai muulle yhteisölle ilman tiedon luovuttaneen osapuolen kirjallista ennakkolupaa. Kohta velvoittaa osapuolet noudattamaan luovuttajan suostumuksen periaatetta. Määräys on sopusoinnussa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 1 kohdan kanssa, jonka mukaan erityissuojattava tietoaineisto on pidettävä salassa, jollei kansainvälisistä tietoturvallisuusvelvoitteista muuta johdu.

Artiklan b alakohdassa on ilmaistu turvallisuusluokiteltujen tietojen vastavuoroista suojaamista koskeva määräys. Alakohdan mukaan osapuolet varmistavat, että turvallisuusluokitellun tiedon vastaanottava osapuoli antaa tälle tiedolle samantasoisen suojan kuin luovuttanut osapuoli.

Artiklan c alakohdan mukaan turvallisuusluokitellun tiedon vastaanottava osapuoli ei saa käyttää tietoa eikä salli sitä käytettävän muuhun kuin siihen tarkoitukseen, jota varten tieto on luovutettu, ilma luovuttaneen osapuolen kirjallista ennakkolupaa. Velvoitetta vastaava säännös on kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 2 momentissa.

Artiklan d alakohta koskee turvallisuusluokiteltuihin tietoihin sisältyviä tai liittyviä yksityisiä oikeuksia kuten patentteja, tekijänoikeuksia tai liikesalaisuuksia. Vastaanottavan osapuolen tulee kunnioittaa näitä yksityisiä oikeuksia eikä saa luovuttaa, käyttää, vaihtaa tai paljastaa turvallisuusluokiteltua tietoa, johon liittyy immateriaalioikeuksia, ennen kuin näiden oikeuksien omistajalta on saatu siihen nimenomainen kirjallinen lupa. Immateriaalioikeuksien suojasta säädetään muun muassa patenttilaissa (550/1967) ja tekijänoikeuslaissa (404/1961).

Artiklan e alakohdan mukaan jokaisen turvallisuusluokiteltua tietoa käsittelevän organisaation tai laitoksen on pidettävä luetteloa niistä henkilöistä, joilla on lupa päästä turvallisuusluokiteltuun tietoon. Määräys on sopusoinnussa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 3 momentin kanssa.

Artiklan f alakohdan mukaan osapuolten on varmistettava, että luodaan vastuu- ja valvontamenettelyt turvallisuusluokitellun tiedon levityksen ja tähän tietoon pääsyn hallintaa varten. Suomessa kunkin viranomaisen on huolehdittava muun muassa asiakirjojen suojaamisesta ja eheydestä julkisuuslain 18 §:n perusteella. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 4 § 2 momentin mukaan kansallisen turvallisuusviranomaisen tehtävänä on erityisesti ohjata ja valvoa, että erityissuojattavat tietoaineistot suojataan ja niitä käsitellään asianmukaisesti.

Artiklan g alakohdan mukaan turvallisuusluokitellun tiedon vastaanottavan osapuolen tulee noudattaa kaikkia lisärajoituksia, jotka tiedon luovuttanut osapuoli mahdollisesti määrää tiedon käytölle, paljastamiselle tai luovuttamiselle tai tietoon pääsylle. Käytön osalta tällaisia lisärajoituksia voivat olla muun muassa kopiointia ja kääntämistä koskevat rajoitukset, käytön ajallista kestoa koskevat rajoitukset sekä sähköisen käsittelyn rajoittaminen. Luovuttamisen ja paljastamisen osalta rajoitukset voivat koskea muun muassa ulkoistamista ja alihankkijoiden käyttöä. Pääsyn osalta lisärajoitukset voivat koskea henkilömäärän rajaamista ja tiedon luovuttamista vain nimetyille henkilöille.

8 artikla. Henkilöturvallisuusselvitys. Artiklan 1 kohdan mukaan kumpikin osapuoli suorittaa asianmukaisen ja riittävän yksityiskohtaisen tutkinnan päättääkseen, onko henkilöllä edellytykset päästä turvallisuusluokiteltuun tietoon. Päätös henkilöturvallisuusselvityksen myöntämisestä tehdään kansallisten lakien ja määräysten mukaisesti. Artiklan 2 kohdan mukaan ennen kuin osapuolen edustaja luovuttaa turvallisuusluokiteltua tietoa toisen osapuolen työntekijälle tai edustajalle, tiedon vastaanottava osapuoli antaa tiedon luovuttavalle osapuolelle vakuutuksen siitä, että kyseisestä työntekijästä tai edustajasta on tehty tarvittavan tason turvallisuusselvitys, että hän tarvitsee pääsyä turvallisuusluokiteltuun tietoon virallisessa tehtävässään ja että osapuoli suojaa tiedon. Kansainvälisen tietoturvallisuusvelvoitteen edellyttämä henkilöiden luotettavuuden varmistaminen toteutetaan Suomessa turvallisuusselvityksistä annetun lain sekä kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 11 §:n mukaisesti. Henkilöturvallisuusselvityksen laatii pääesikunta silloin, kun kysymys on puolustushallintoon liittyvästä asiasta, muutoin Suojelupoliisi. Turvallisuustodistuksista säädetään kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 14 §:ssä.

9 artikla. Turvallisuusluokitellun tiedon luovuttaminen hankeosapuolille. Artiklassa määrätään toimenpiteistä, jotka turvallisuusluokitellun tiedon vastaanottavan osapuolen on tehtävä ennen toiselta osapuolelta saadun turvallisuusluokitellun tiedon luovuttamista hankeosapuolelle tai mahdolliselle hankeosapuolelle. Vastaanottavan osapuolen tulee varmistaa, että hankeosapuolella on valmiudet suojata turvallisuusluokiteltu tieto (a alakohta) ja antaa hankeosapuolen organisaatiolle asianmukainen yhteisöturvallisuusselvitys (b alakohta) sekä henkilöturvallisuusselvitykset henkilöille, joiden tehtävät edellyttävät pääsyä turvallisuusluokiteltuun tietoon (c alakohta). Lisäksi vastaanottavan osapuolen tulee varmistaa, että henkilöille on selvitetty heidän velvollisuutensa suojata turvallisuusluokiteltua tietoa (d alakohta). Vastaanottavan osapuolen tulee suorittaa määräaikaistarkastuksia turvallisuusselvityksen saaneessa yrityksessä (e alakohta) ja varmistaa, että pääsy turvallisuusluokiteltuun tietoon rajoitetaan vain niihin henkilöihin, joilla on tiedonsaantitarve (f alakohta). Määräyksen suhdetta Suomen lainsäädäntöön on selostettu tarkemmin 10 artiklan perustelujen yhteydessä.

10 artikla. Turvallisuusluokitellut sopimukset. Artikla koskee turvallisuusluokitellun sopimuksen tekemisestä jommankumman osapuolen alueella.

Artiklan 1 kohdan mukaan se osapuoli, joka aikoo tehdä tai valtuuttaa hankeosapuolensa tekemään toisen osapuolen hankeosapuolen kanssa sopimuksen, johon liittyy turvallisuusluokkaan LUOTTAMUKSELLINEN/CONFIDENTIAL tai sitä ylempään turvallisuusluokkaan kuuluvaa tietoa, pyytää vakuutuksen siitä, että toisen osapuolen toimivaltaiset turvallisuusviranomaiset ovat antaneet yhteisöturvallisuusselvityksen.

Artiklan 2 kohdan mukaan turvallisuusluokiteltuun sopimukseen tai tarjouspyyntöön tulee sisällyttää asianmukaiset turvallisuuslausekkeet sekä muut asianmukaiset määräykset, myös turvallisuuskustannuksia koskevat määräykset.

Sopimuksen 9 ja 10 artiklaan sisältyviä määräyksiä on tarkasteltava kokonaisuutena. Turvallisuusluokitellun tiedon luovuttamista hankeosapuolille ja turvallisuusluokiteltuja sopimuksia koskevat kansalliset säännökset sisältyvät kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 1 § 2 momenttiin (soveltaminen elinkeinonharjoittajaan), 2 §:n 2 kohtaan (erityissuojattava tietoaineisto), 7 §:ään (vaitiolovelvollisuus ja hyväksikäyttökielto) sekä 12 §:ään (yhteisöturvallisuusselvitys), 13 §:ään (sitoumus turvallisuustoimenpiteiden suorittamisesta) ja 14 §:ään (turvallisuustodistus). Kansallinen sääntely vastaa sopimusvelvoitteen vaatimuksia. Velvoitteiden täyttämiseksi tarpeellisesta suomalaisen viranomaisen tietojenanto-oikeudesta säädetään kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 17 §:ssä.

11 artikla. Vastuu organisaatiosta. Artiklan mukaan kumpikin osapuoli vastaa kaikkien sellaisten valtion ja yksityisten organisaatioiden ja laitosten turvallisuudesta, joissa säilytetään toisen osapuolen turvallisuusluokiteltua tietoa, ja varmistaa, että kuhunkin tällaiseen organisaatioon nimetään pätevät henkilöt, joilla on vastuu tiedon valvonnasta ja suojaamisesta ja valtuudet siihen. Tietoturvallisuusasetuksessa on säädetty muun muassa valtionhallinnon viranomaisten asiakirjojen käsittelyä koskevista yleisistä tietoturvallisuusvaatimuksista. Yksityiset organisaatiot ja laitokset voidaan kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 13 §:n 1 momentin mukaan sitouttaa kansainvälisessä tietoturvallisuusvelvoitteessa edellytettyihin tarpeellisiin toimenpiteisiin tämän artiklan määräysten täyttämiseksi. Yhteisöturvallisuustodistuksen myöntämisen edellytyksenä on, että yrityksessä on turvallisuusvastaava, joka huolehtii sitoumuksesta johtuvista velvoitteista.

12 artikla. Turvallisuusluokitellun tiedon säilyttäminen. Artiklan mukaan turvallisuusluokiteltu tieto säilytetään siten, että siihen pääsevät vain ne henkilöt, joilla on siihen lupa. Velvollisuudesta pitää huolta erityissuojattavan tietoaineiston suojaamisesta sen turvallisuusluokkaa vastaavalla tavalla sitä luotaessa, kopioitaessa, siirrettäessä, jaettaessa, säilytettäessä, hävitettäessä tai muutoin käsiteltäessä on säädetty kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 9 §:n 1 momentissa. Pykälän 2 momentissa on annettu valtuus säätää valtioneuvoston asetuksella (tietoturvallisuusasetus) eri turvallisuusluokkia vastaavista turvallisuustoimenpiteistä. Asiakirjojen säilyttämistä ja käsittelyä koskevista turvallisuusvaatimuksista säädetään tietoturvallisuusasetuksen 14 §:ssä. Säilytystä koskevat määräykset ovat siten Suomessa säädetty asetuksentasoisena.

13 artikla. Turvallisuusluokitellun tiedon välittäminen. Artikla sisältää yksityiskohtaiset määräykset menettelyistä siirrettäessä turvallisuusluokiteltuja asiakirjoja ja aineistoja osapuolten kesken sekä sähköistä tiedonsiirtoa koskevat määräykset. Määräykset ovat sopusoinnussa asiakirjojan välittämistä ja sähköistä siirtämistä koskevien tietoturvallisuusasetuksen 18 ja 19 §:n kanssa.

14 artikla. Vierailut. Artiklaa sovelletaan vierailuihin, jotka edellyttävät pääsyä turvallisuusluokiteltuihin tietoihin, tai vierailuihin, joissa pääsy vierailun kohteeseen edellyttää turvallisuusselvitystä. Artiklan 1 kohdan mukaan tällaiset vierailut rajoitetaan virallisen tarkoituksen kannalta välttämättömiin vierailuihin.

Artiklan 2 kohdan mukaan vierailuluvan voi myöntää vain se osapuoli, jonka alueella vierailukohde sijaitsee, tai tämän osapuolen nimeämät valtion viranomaiset. Vierailuluvan myöntävä osapuoli vastaa siitä, että ehdotetun vierailun kohteena olevalle organisaatiolle tai laitokselle tiedotetaan vierailusta sekä vieraalle mahdollisesti annettavan turvallisuusluokitellun tiedon laajuudesta ja korkeimmasta turvallisuusluokasta. Artiklan 3 kohdan mukaan vierailulupapyynnöt esitetään suomalaisten vieraiden ollessa kyseessä Suomen Washingtonin-suurlähetystölle ja yhdysvaltalaisten vieraiden kyseessä ollessa Yhdysvaltojen Helsingin-suurlähetystölle.

15 artikla. Turvallisuusvierailut. Artiklan mukaan sopimuksessa mainittujen turvallisuusvaatimusten täytäntöönpanoa voidaan edistää osapuolten turvallisuushenkilöstön keskinäisillä vierailuilla. Turvallisuusedustajien sallitaan vierailla toisen osapuolen luona keskustelemassa ja tarkkailemassa täytäntöönpanomenettelyjä. Vierailuja koskevat säännökset ovat kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 18 §:ssä.

16 artikla. Turvallisuusstandardit. Artiklan mukaan kumpikin osapuoli antaa toiselle osapuolelle tietoja omista turvallisuusluokitellun tiedon suojaamiseen soveltamistaan turvallisuusstandardeista, -menettelyistä ja -käytännöistä.

17 artikla. Turvallisuusluokitellun tiedon kopiointi. Artiklan mukaan kun turvallisuusluokiteltuja asiakirjoja tai muita turvallisuusluokiteltua tietoa sisältäviä tietovälineitä kopioidaan, kaikki niissä olleet alkuperäiset turvallisuusmerkinnät kopioidaan tai merkitään myös jokaiseen kopioon. Tällaisia kopioituja asiakirjoja tai tietovälineitä valvotaan samalla tavalla kuin alkuperäisiä asiakirjoja tai tietovälineitä. Kopioiden lukumäärä rajoitetaan viralliseen tarkoitukseen vaadittavaan määrään. Tietoturvallisuusasetuksen 17 §:ssä säädetään asiakirjan kopioimisesta.

18 artikla. Turvallisuusluokitellun tiedon hävittäminen. Artiklan 1 kohdan mukaan toiselta osapuolelta saadut turvallisuusluokitellut asiakirjat ja muut turvallisuusluokiteltua tietoa sisältävät tietovälineet hävitetään polttamalla, silppuamalla, sulputtamalla tai muulla tavalla, joka estää niiden sisältämän turvallisuusluokitellun tiedon palauttamisen ennalleen. Artiklan 2 kohdan mukaan turvallisuusluokiteltua tietoa sisältävä turvallisuusluokiteltu aineisto, laitteet mukaan luettuna, hävitetään siten, ettei se enää ole tunnistettavissa, ja siten, että estetään kaiken siirretyn turvallisuusluokitellun tiedon tai sen osan palauttaminen ennalleen. Tietoturvallisuusasetuksen 21 §:ssä säädetään asiakirjan arkistoimisesta ja hävittämisestä. Käsittelyä koskevat määräykset ovat siten Suomessa säädetty asetuksentasoisina.

19 artikla. Turvallisuusluokituksen alentaminen tai poistaminen. Artiklan 1 kohdan mukaan turvallisuusluokiteltu tieto olisi luokiteltava alempaan turvallisuusluokkaan tai sen turvallisuusluokitus olisi poistettava heti, kun tietoa koskeva suojaamisvaatimus lievenee tai tietoa ei enää tarvitse suojata millään tavoin luvattomalta paljastamiselta. Artiklan 2 kohdan mukaan tiedon luovuttaneella osapuolella on täysi harkintavalta oman turvallisuusluokitellun tietonsa turvallisuusluokituksen alentamiseen tai poistamiseen nähden. Vastaanottava osapuoli ei saa alentaa toiselta osapuolelta saadun turvallisuusluokitellun tiedon turvallisuusluokitusta ilman tiedon luovuttaneen osapuolen kirjallista ennakkosuostumusta.

20 artikla. Tiedon katoaminen tai vaarantuminen. Artiklan mukaan tiedon luovuttaneelle osapuolelle ilmoitetaan viipymättä kaikesta sen turvallisuusluokitellun tiedon todetuista tai mahdollisesta katoamisesta tai vaarantumisesta, ja tiedon vastaanottava osapuoli käynnistää tutkinnan tapauksen tosiseikkojen selvittämiseksi. Tiedot luovuttaneelle osapuolelle ilmoitetaan tutkinnan tulokset sekä tiedot tilanteen uusiutumisen estämiseksi toteutetuista toimenpiteistä. Tämän artiklan velvoitteisiin liittyvät säännökset sisältyvät kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 19 §:ään.

21 artikla. Riidat. Artiklan mukaan sopimuksesta johtuvat tai siihen liittyvät osapuolten väliset riidat ratkaistaan osapuolten välisillä neuvotteluilla, eikä niitä saateta kansallisen eikä kansainvälisen tuomioistuimen eikä muun henkilön tai yhteisön ratkaistavaksi.

22 artikla. Kulut. Artiklan mukaan kumpikin osapuoli vastaa omista kuluistaan, jotka aiheutuvat tämän sopimuksen täytäntöönpanosta.

23 artikla. Loppumääräykset. Artiklassa on sopimuksen voimaantuloa, täydentäviä järjestelyjä, irtisanomista ja voimassaoloaikaa koskevat määräykset sekä irtisanomisesta johtuvat velvollisuudet. Osapuolten toimivaltaiset viranomaiset voivat tehdä täydentäviä järjestelyjä tämän sopimuksen mukaisesti. Suomen ja Yhdysvaltojen turvallisuusviranomaisten välillä on tarkoitus neuvotella järjestely sopimuksen tarkemmasta täytäntöönpanosta. Sopimus on voimassa kaksikymmentäviisi vuotta ja sen jälkeen ilman eri toimenpiteitä viisi vuotta kerrallaan. Osapuoli voi irtisanoa sopimuksen ilmoittamalla asiasta kirjallisesti toiselle osapuolelle diplomaattiteitse yhdeksänkymmentä päivää etukäteen.

2 Lakiehdotuksen perustelut

1 §. Säännöksellä saatettaisiin voimaan sopimuksen lainsäädännön alaan kuuluvat määräykset. Lainsäädännön alaan kuuluvia määräyksiä selostetaan jäljempänä eduskunnan suostumuksen tarpeellisuutta koskevassa jaksossa.

2 §. Pykälässä ehdotetaan kumottavaksi Amerikan Yhdysvaltojen kanssa tehdyn sotilastiedon turvallisuutta koskevan sopimuksen voimaansaattamisesta 21 päivänä marraskuuta 1991 annettu tasavallan presidentin asetus (1359/1991). Kyseinen sopimus lakkaa olemasta voimassa sopimuksen 1 artiklan 1 kohdan mukaan uuden sopimuksen tullessa voimaan. Tämän vuoksi vuoden 1991 sopimuksen voimaansaattamisasetus on tarpeen kumota uuden sopimuksen voimaansaattamisen yhteydessä.

3 §. Sopimuksen muiden kuin lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta ja lain voimaantulosta säädettäisiin valtioneuvoston asetuksella. Laki on tarkoitus saattaa voimaan samanaikaisesti kuin sopimus tulee Suomen osalta voimaan.

3 Voimaantulo

Suomen ja Yhdysvaltojen välisen sopimuksen 23 artiklan 1 kohdan mukaan sopimus tulee voimaan toisen kuukauden ensimmäisenä päivänä sen jälkeen, kun Suomen tasavallan hallitus on ilmoittanut Amerikan Yhdysvaltojen hallitukselle diplomaattiteitse, että kaikki sopimuksen voimaan saattamiseksi Suomessa tarvittavat kansalliset menettelyt on saatettu päätökseen. Sopimuksen voimaansaattamislaki on tarkoitettu tulemaan voimaan valtioneuvoston asetuksella säädettävänä ajankohtana samaan aikaan kuin sopimus tulee Suomen osalta voimaan.

Sopimuksen 1 artiklan 1 kohdassa määrätään, että sopimuksen tullessa voimaan Suomen hallituksen ja Yhdysvaltojen hallituksen 11 päivänä lokakuuta 1991 allekirjoittama sotilastiedon turvallisuutta koskeva sopimus (SopS 95/1991) lakkaa olemasta voimassa. Vuoden 1991 sopimus on aikanaan voimaansaatettu tasavallan presidentin asetuksella. Asetus on tarpeen kumota sopimuksen voimaansaattamisen yhteydessä.

4 Eduskunnan suostumuksen tarpeellisuus ja käsittelyjärjestys
4.1 Eduskunnan suostumuksen tarpeellisuus

Perustuslain 94 §:n 1 momentin mukaan eduskunta hyväksyy sellaiset valtiosopimukset ja muut kansainväliset velvoitteet, jotka sisältävät lainsäädännön alaan kuuluvia määräyksiä. Perustuslakivaliokunnan tulkintakäytännön mukaan määräys on luettava lainsäädännön alaan kuuluvaksi, jos se koskee jonkin perustuslaissa turvatun perusoikeuden käyttämistä tai rajoittamista, jos määräys muutoin koskee yksilön oikeuksien ja velvollisuuksien perusteita, jos määräyksen tarkoittamasta asiasta on perustuslain mukaan säädettävä lailla tai jos määräyksessä tarkoitetusta asiasta on jo voimassa lain säännöksiä taikka siitä on Suomessa vallitsevan käsityksen mukaan säädettävä lailla. Perustuslakivaliokunnan mukaan kansainvälisen velvoitteen määräys kuuluu näiden perusteiden mukaan lainsäädännön alaan siitä riippumatta, onko määräys ristiriidassa vai sopusoinnussa Suomessa lailla annetun säännöksen kanssa (kts. esimerkiksi PeVL 11/2000 vp ja PeVL 12/2000 vp).

Edellä mainituilla perusteilla esitykseen sisältyvässä sopimuksessa on lukuisia eduskunnan hyväksymistä edellyttäviä määräyksiä.

Sopimuksen 1 artiklan 1 kohdassa määrätään, että sopimuksen tullessa voimaan Suomen hallituksen ja Yhdysvaltojen hallituksen 11 päivänä lokakuuta 1991 allekirjoittama sotilastiedon turvallisuutta koskeva sopimus (SopS 94/1991) lakkaa olemasta voimassa. Perustuslain 94 §:n 1 momentin mukaan eduskunnan hyväksyminen vaaditaan sellaisen valtiosopimuksen ja muun kansainvälisen velvoitteen irtisanomiseen, joka sisältää lainsäädännön alaan kuuluvia määräyksiä. Perustuslakivaliokunta on sopimuksen voimassaolon lakkauttamista koskevassa tulkintakäytännössään katsonut, että vaikka sopimuksen lakkauttamisessa ei ole muodollisesti kysymys sopimuksen irtisanomisesta, vaikutuksiltaan sopimuksen kansainvälisoikeudellisen voimassaolon lakkauttaminen rinnastuu velvoitteen irtisanomiseen (PeVL 18/2002 vp ja PeVL 32/2006 vp). Perustuslakivaliokunta on perustuslakiuudistuksen yhteydessä katsonut, että eduskunnan hyväksyminen vaaditaan myös sellaisen kansainvälisen velvoitteen irtisanomiseen, jonka eduskunta on hyväksynyt ennen uuden perustuslain voimaantuloa. Hyväksymisvaatimus ulottuu lisäksi irtisanomistapauksiin, joissa velvoitetta ei ole alun perin hyväksytty eduskunnassa, mutta joissa velvoite uuden perustuslain sisällön perusteella arvioituna olisi tullut saattaa hyväksyttäväksi eduskunnassa (PeVM 10/1998 vp ja PeVL 18/2002 vp). Vuoden 1991 sopimuksen on aikaisemman valtiosäännön mukaisesti hyväksynyt tasavallan presidentti ja se on saatettu voimaan tasavallan presidentin asetuksella (1359/1991). Koska sopimus sisältää lainsäädännön alaan kuuluvia määräyksiä - esimerkiksi turvallisuusluokiteltujen tietojen salassapitoa ja suojaamista koskeva 1 artikla sekä turvallisuusluokitellun tiedon määritelmää ja turvallisuusluokitusmerkintöjä koskeva 2 artikla - sopimuksen lakkauttaminen edellyttää nykyisen perustuslain mukaan eduskunnan suostumusta.

Sopimuksen 2 artiklan 1 kohdassa määrätään, että kumpikin osapuoli suojaa toiselta osapuolelta suoraan tai välillisesti saamansa turvallisuusluokitellut tiedot tässä sopimuksessa määrättyjen vaatimusten sekä lakiensa ja asetustensa mukaisesti. Sopimuksen 2 artiklan 1 kohta yhdessä turvallisuusluokiteltujen tietojen suojaamista koskevan 7 artiklan kanssa muodostavat sopimuksen lainsäädännön alaan kuuluvat keskeiset määräykset. Sopimuksen 3 artiklassa määritellään, mitä tarkoitetaan turvallisuusluokitellulla tiedolla ja turvallisuusluokitelluilla sopimuksilla. Koska nämä määritelmät vaikuttavat joko suoraan tai välillisesti sopimuksen lainsäädännön alaan kuuluvien aineellisten määräysten tulkintaan ja soveltamiseen, ne edellyttävät eduskunnan hyväksymistä (PeVL 6/2001 vp).

Sopimuksen 5 artiklassa on määräykset turvallisuusluokiteltujen tietojen merkitsemisestä ja turvallisuusluokkien vastaavuudesta. Yleisesti sovellettavat säännökset salassapito- ja luokitusmerkinnästä on säädetty julkisuuslain 25 §:ssä. Lain 25 §:n mukaan salassa pidettävään viranomaisen asiakirjaan on tehtävä merkintä asiakirjan salassa pitämisestä, kun tällainen asiakirja annetaan asianosaiselle ja kun asiakirja on pidettävä salassa toisen tai yleisen edun vuoksi. Muihin salaisiin asiakirjoihin tehtävä merkintä on harkinnanvarainen. Lisäksi kansainvälisistä tietoturvavelvoitteista annetun lain 8 §:ssä on säännökset turvallisuusluokan merkitsemisestä erityissuojattavaan tietoaineistoon. Sen mukaisesti erityissuojattavaan tietoaineistoon on julkisuuslain säännöksistä riippumatta tehtävä kansainvälisessä tietoturvallisuusvelvoitteessa määritelty merkintä sen osoittamiseksi, millaisia tietoturvallisuusvaatimuksia käsittelyssä on noudatettava. Määräys kuuluu lainsäädännön alaan.

Sopimuksen 7 artiklassa on sopimuksen soveltamisalan piiriin kuuluvan turvallisuusluokitellun tiedon suojaamista koskevat määräykset, jotka rajoittavat turvallisuusluokitellun tiedon luovuttamista sekä sen käyttämistä, välittämistä ja pääsyä siihen. Sopimuksen 7 artiklan a alakohdassa on kyse salassapitoa koskevasta sopimuksen ydinmääräyksestä, jonka perusteella Suomi voi suojata sopimuksen perusteella vaihdettua turvallisuusluokiteltua tietoa ilman julkisuuslaissa säädettyä vahinkoedellytysarviointia. Tähän suojaan liittyy myös b alakohta, jonka mukaan osapuolet varmistavat, että turvallisuusluokitellun tiedon vastaanottanut osapuoli antaa tiedolle samantasoisen suojan kuin luovuttanut osapuoli. Suomessa viranomaisten asiakirjojen julkisuus on pääsääntö. Jokaisella on perustuslain 12 §:n 2 momentin mukaan oikeus saada tieto viranomaisen julkisesta asiakirjasta. Tätä oikeutta voidaan rajoittaa välttämättömistä syistä vain lailla. Julkisuuslain säännöksistä poiketen kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 1 momentin mukaan erityissuojattava tietoaineisto on pidettävä salassa, jollei kansainvälisistä tietoturvallisuusvelvoitteesta muuta johdu. Sopimuksen 7 artiklan ensimmäisessä kappaleessa on ilmaistu turvallisuusluokiteltua tietoa saavia henkilöitä koskeva rajoitus, jonka mukaan pääsy turvallisuusluokiteltuihin tietoihin sallitaan ainoastaan niille henkilöille, joiden viralliset tehtävät edellyttävät sitä ja joista on tehty henkilöturvallisuusselvitys osapuolten ennalta määräämien vaatimusten mukaisesti. Velvoitetta vastaava säännös on kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 3 momentissa. Sopimuksen 7 artiklan c alakohdan mukaan turvallisuusluokiteltua tietoa saa käyttää ainoastaan siihen tarkoitukseen, jota varten se on luovutettu. Velvoitetta vastaava säännös on kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 2 momentissa. Sopimuksen 7 artiklan d alakohta koskee turvallisuusluokiteltuihin tietoihin sisältyviä tai liittyviä yksityisiä oikeuksia kuten patentteja, tekijänoikeuksia tai liikesalaisuuksia. Vastaanottavan osapuolen tulee kunnioittaa näitä yksityisiä oikeuksia eikä saa luovuttaa, käyttää, vaihtaa tai paljastaa turvallisuusluokiteltua tietoa, johon liittyy immateriaalioikeuksia, ennen kuin näiden oikeuksien omistajalta on saatu siihen nimenomainen kirjallinen lupa. Immateriaalioikeuksien suojasta säädetään muun muassa patenttilaissa (550/1967) ja tekijänoikeuslaissa (404/1961). Sanotut määräykset kuuluvat siten lainsäädännön alaan ja edellyttävät eduskunnan suostumusta voimaantullakseen.

Sopimuksen 8 artiklassa on määräykset henkilöturvallisuusselvityksistä. Artiklan 1 kohdan mukaan kumpikin osapuoli suorittaa asianmukaisen ja riittävän yksityiskohtaisen tutkinnan päättääkseen, onko henkilöllä edellytykset päästä turvallisuusluokiteltuun tietoon. Päätös henkilöturvallisuusselvityksen myöntämisestä tehdään kansallisten lakien ja määräysten mukaisesti. Turvallisuusselvitysten laadinnassa on otettava huomioon perustuslain 10 §:n 1 momentissa säädetty yksityiselämän suoja ja velvollisuus säätää henkilötietojen suojasta lailla. Suomessa turvallisuusselvityksen kohteena olevista henkilöistä sekä selvityksessä sovellettavasta menettelystä on säädetty turvallisuusselvityksistä annetussa laissa. Määräys kuuluu siten lainsäädännön alaan ja edellyttää eduskunnan suostumusta voimaantullakseen.

Sopimuksen 9 artiklassa on määräykset turvallisuusluokiteltujen tietojen luovuttamisesta hankeosapuolille ja 10 artiklassa on määräykset turvallisuusluokitelluista sopimuksista ja niitä tekevien yritysten turvallisuusselvityksistä. Yhteisöturvallisuusselvitystä koskevat säännökset sisältyvät kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 12 ja 13 §:ään. Sopimuksen 9 ja 10 artiklan määräykset kuuluvat lainsäädännön alaan.

Sopimuksen 15 artiklassa on määräykset osapuolten turvallisuusviranomaisten välisistä vierailuista. Osapuolten turvallisuusviranomaisten edustajien vierailuiden tarkoituksena on edistää sopimuksessa määrättyjen turvallisuusvaatimusten täytäntöönpanoa. Tähän vierailuoikeuteen ei sisälly sellaista julkista vallan käyttöä ja tarkastusoikeutta, joka olisi ristiriidassa perustuslain kanssa (PeVL 39/1997). Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 18 §:ssä on vastaavat säännökset vierailuja koskevan sopimusmääräyksen täytäntöönpanoon liittyvistä seikoista. Artiklan määräykset kuuluvat näin ollen lainsäädännön alaan.

Sopimuksen 20 artiklassa edellytetään, että tiedon luovuttaneelle osapuolelle ilmoitetaan viipymättä kaikesta sen turvallisuusluokitellun tiedon todetusta tai mahdollisesta katoamisesta tai vaarantumisesta, ja tiedon vastaanottava osapuoli käynnistää tutkinnan tapauksen tosiseikkojen selvittämisesi. Tiedon luovuttaneelle osapuolelle ilmoitetaan tutkinnan tulokset sekä tiedot tilanteen uusiutumisen estämiseksi toteutetuista toimenpiteistä. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 19 §:ssä säädetään kansalliselle turvallisuusviranomaiselle kuuluvista velvoitteista sopimusmääräyksissä tarkoitetuissa tilanteissa. Artiklan määräykset kuuluvat näin ollen lainsäädännön alaan.

4.2 Käsittelyjärjestys

Turvallisuusluokitellun tietoaineiston salassapidosta on annettu yleiset säännökset laissa kansainvälisistä tietoturvallisuusvelvoitteista. Sen 6 §:n 1 momentin mukaan erityissuojattava tietoaineisto on pidettävä salassa, jollei kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu. Lain 6 §:n 2 momentin mukaan erityissuojattavaa tietoaineistoa saa käyttää ja luovuttaa vain siihen tarkoitukseen, jota varten se on annettu, jollei se, joka on määritellyt aineiston turvallisuusluokan, ole antanut muuhun suostumustaan. Edelleen lain 6 §:n 3 momentin mukaan erityissuojattavaa tietoaineistoa käsittelevän viranomaisen on pidettävä huolta siitä, että tietoaineistoon on pääsy vain niillä, jotka tarvitsevat tietoja tehtävänsä hoitamisessa. Nämä henkilöt on nimettävä etukäteen kansainvälisessä tietoturvallisuusvelvoitteessa edellytetyissä tapauksissa. Sama koskee myös 1 §:n 2 momentissa tarkoitettua elinkeinonharjoittajaa. Erityissuojattavalla tietoaineistolla tarkoitetaan laissa sellaisia salassa pidettäviä asiakirjoja ja materiaaleja sekä asiakirjoista ja materiaaleista saatavissa olevia tietoja sekä näiden perusteella tuotettuja asiakirjoja ja materiaaleja, jotka kansainvälisen tietoturvallisuusvelvoitteen mukaisesti on turvallisuusluokiteltu. Käsillä olevan sopimuksen 7 artiklan määräykset eivät laajenna salassapitovelvollisuutta siitä, mitä salassapidosta on säädetty sanotun lain 6 §:ssä. Määräykset eivät siten vaikuta sopimuksen käsittelyjärjestykseen.

Suomen ja Yhdysvaltojen välillä turvallisuusluokitellun tiedon vastavuoroisesta suojaamisesta ja vaihtamisesta tehtyyn sopimukseen ei voida katsoa sisältyvän sellaisia määräyksiä, jotka koskisivat perustuslakia sen 94 §:n 2 momentissa ja 95 §:n 2 momentissa tarkoitetulla tavalla. Hallituksen näkemyksen mukaan sopimus voitaisiin näin ollen hyväksyä äänten enemmistöllä ja ehdotus sen lainsäädännön alaan kuuluvien sopimusmääräysten voimaansaattamiseksi tavallisen lain säätämisjärjestyksessä.

Edellä olevan perusteella ja perustuslain 94 §:n mukaisesti esitetään, että

eduskunta hyväksyisi turvallisuustoimenpiteistä turvallisuusluokitellun tiedon suojaamiseksi Suomen tasavallan ja Amerikan Yhdysvaltojen välillä Helsingissä 27 päivänä kesäkuuta 2012 tehdyn sopimuksen.

Koska sopimus sisältää määräyksiä, jotka kuuluvat lainsäädännön alaan, annetaan samalla eduskunnan hyväksyttäväksi seuraava lakiehdotus:

Lakiehdotus

Laki turvallisuustoimenpiteistä turvallisuusluokitellun tiedon suojaamiseksi Yhdysvaltojen kanssa tehdyn sopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Turvallisuustoimenpiteistä turvallisuusluokitellun tiedon suojaamiseksi Suomen tasavallan hallituksen ja Amerikan Yhdysvaltojen hallituksen välillä Helsingissä 27 päivänä kesäkuuta 2012 tehdyn sopimuksen lainsäädännön alaan kuuluvat määräykset ovat lakina voimassa sellaisina kuin Suomi on niihin sitoutunut.

2 §

Tällä lailla kumotaan Amerikan Yhdysvaltojen kanssa tehdyn sotilastiedon turvallisuutta koskevan sopimuksen voimaansaattamisesta annettu tasavallan presidentin asetus (1359/1991).

3 §

Sopimuksen muiden määräysten voimaansaattamisesta ja tämän lain voimaantulosta säädetään valtioneuvoston asetuksella.


Helsingissä 22 päivänä marraskuuta

Pääministerin sijainen, valtiovarainministeri
JUTTA URPILAINEN

Ulkoasiainministeri
Erkki Tuomioja

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.