HE 270/2004

Hallituksen esitys Eduskunnalle Suomen ja Ranskan välillä turvallisuusluokitellun tiedon vaihtamisesta ja vastavuoroisesta suojaamisesta tehdyn yleisen turvallisuussopimuksen hyväksymisestä sekä laiksi mainitun sopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Esityksessä ehdotetaan, että eduskunta hyväksyisi Suomen ja Ranskan välisen yleisen turvallisuussopimuksen turvallisuusluokitellun tiedon vaihtamisesta ja vastavuoroisesta suojaamisesta sekä lain sopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta.

Sopimuksen tarkoituksena on varmistaa salassa pidettävän tiedon liikkuvuus ja suojaaminen Suomen ja Ranskan välillä muun muassa puolustusasioissa ja teknologisessa yhteistyössä. Kysymys on arkaluonteisista tietoaineistoista, jotka lähettävässä sopimusvaltiossa on erikseen luokiteltu korkean tietoturvallisuuden tason toteuttamista edellyttäviksi.

Sopimus tulee voimaan toiseksi seuraavan kuukauden ensimmäisenä päivänä sen jälkeen, kun jälkimmäinen ilmoitus siitä, että sopimuksen voimaansaattamiseksi tarvittavat kansalliset toimenpiteet on saatettu loppuun, on otettu vastaan. Sopimuksen voimaansaattamislaki on tarkoitettu tulemaan voimaan tasavallan presidentin asetuksella säädettävänä ajankohtana samaan aikaan kuin sopimus tulee Suomen osalta voimaan.


SISÄLLYSLUETTELO
ESITYKSEN PÄÄASIALLINEN SISÄLTÖ
YLEISPERUSTELUT
1. Johdanto
2. Nykyinen tilanne
2.1. Laki kansainvälisistä tietoturvallisuusvelvoitteista
Lain yleinen soveltamisala
Lain suhde julkisuuslainsäädäntöön
Lain soveltaminen elinkeinonharjoittajiin
Lain täytäntöönpanoviranomaiset
Tietojen salassapito ja käytön sääntely
Turvallisuusluokittelu ja - toimenpiteet
Henkilöturvallisuus
Yhteisöturvallisuusselvitys
2.2. Turvallisuusselvityksiä koskeva lainsäädäntö
3. Esityksen tavoitteet
4. Esityksen vaikutukset
4.1. Vaikutukset kansalaisiin
4.2. Vaikutukset elinkeinoelämään
4.3. Taloudelliset vaikutukset
4.4. Vaikutukset hallintoon
5. Asian valmistelu
YKSITYISKOHTAISET PERUSTELUT
1. Sopimuksen sisältö ja suhde Suomen lainsäädäntöön
2. Lakiehdotuksen perustelut
3. Voimaantulo
4. Eduskunnan suostumuksen tarpeellisuus sekä käsittelyjärjestys
4.1. Eduskunnan suostumuksen tarpeellisuus
4.2. Käsittelyjärjestys
LAKIEHDOTUS
Ranskan kanssa turvallisuusluokitellun tiedon vaihtamisesta ja vastavuoroisesta suojaamisesta tehdyn yleisen turvallisuussopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta
SUOMEN TASAVALLAN HALLITUKSEN JA RANSKAN TASAVALLAN HALLITUKSEN VÄLILLÄ TURVALLISUUSLUOKITELLUN TIEDON VAIHTAMISESTA JA VASTAVUOROISESTA SUOJAAMISESTA TEHTY YLEINEN TURVALLISUUSSOPIMUS

YLEISPERUSTELUT

1. Johdanto

Kesällä 2004 saatettiin voimaan Euroopan avaruusjärjestöä koskevan yleissopimuksen sopimuspuolten ja Euroopan avaruusjärjestön välinen sopimus turvallisuusluokiteltujen tietojen suojaamisesta ja vaihdosta (SopS 94/2004; jäljempänä ESA:n tietoturvallisuussopimus). Kuten sopimuksen voimaan saattamista koskeneessa hallituksen esityksessä (HE 66/2004 vp) todettiin, kansainvälinen yhteistyö laajenee ja syvenee useilla eri aloilla, kuten poliisitoiminnassa, ulko- ja turvallisuuspolitiikassa sekä teknologian kehittämisessä. Yhteistyön syveneminen laajentaa arkaluonteisena pidetyn tiedon vaihtoa.

Kansainvälisen yhteistyön puitteissa ei ole kyetty luomaan laaja-alaisia tietoturvallisuusjärjestelyjä, minkä vuoksi kahdenkeskisten sopimusten tarve on tullut ilmeiseksi. Samanaikaisesti ESA:n turvallisuussopimuksen kanssa hyväksyttiin Suomen ja Saksan välinen turvallisuusluokitellun tiedon vastavuoroista suojaamista koskeva sopimus, joka tuli voimaan 16.7.2004 (SopS 97/2004). Sopimus oli kiireellinen erityisesti eurooppalaisen avaruusyhteistyön vuoksi. Suomen ja Ranskan välisellä turvallisuussopimuksella on vastaavasti merkitystä maiden välisen yhteistyön tiivistyessä eri sektoreilla.

Valtioiden välisen yhteistoiminnan lisäksi kansainvälisillä tietoturvallisuusvelvoitteilla on merkitystä suomalaiselle elinkeinotoiminnalle. Näin on etenkin silloin, kun kysymys on sellaisesta viranomaisen hankinnasta, jossa salassa pidettäviä tietoja on annettava yritykselle tarjouksen tekemistä ja sopimuksen toteuttamista varten. Tällaisia ovat perinteisesti olleet puolustusalan hankinnat.

Tietoturvallisuudella tarkoitetaan yleensä sellaisia menettelyjä, joiden avulla turvataan informaation sisällön suojaaminen ulkopuolisilta (tiedon luottamuksellisuus), tiedon muuttumattomuus (tiedon eheys) sekä tiedon käytettävyys. Tietoturvallisuuden varmistamiseksi käytetään erilaisia keinoja, joista tavallisimmat ovat henkilöstön luotettavuuden ja toimitilojen turvallisuuden varmistaminen, salassapitosäännökset ja tietojen käytön rajoittaminen vain sovittuun sekä erilaiset tietojen käsittelyyn ja siirtoon liittyvät menettelytapavaatimukset. Tietoturvallisuusvaatimukset kattavat informaation koko elinkaaren, toisin sanoen tietojen hankkimisen, muokkaamisen, käytön, luovutuksen, arkistoinnin ja hävittämisen.

Kansainväliseen yhteistyöhön liittyviin asiakirjoihin sisältyy sellaisia salassa pidettäviä tietoja, joiden luvaton paljastuminen voi aiheuttaa merkittävää ja laajalle ulottuvaa vahinkoa keskeisille yleisille eduille. Tällaisten aineistojen asianmukaisesta käsittelystä on sen vuoksi pidettävä erityistä huolta. Kysymys on Suomen luotettavuudesta kansainvälisen yhteistyön osapuolena.

2. Nykyinen tilanne
2.1. Laki kansainvälisistä tietoturvallisuusvelvoitteista
Lain yleinen soveltamisala

Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) säädettiin osana ESA:n tietoturvallisuussopimuksen ja Suomen ja Saksan välisen tietoturvallisuussopimuksen voimaansaattamista. Laki katsottiin tarpeelliseksi muun ohella sen vuoksi, että kansainvälisten sopimusten täytäntöönpanemiseksi on tarve poiketa asiakirjajulkisuuteen ja -turvallisuuteen perustuvista kansallisista järjestelyistä, jotka perustuvat pääosin viranomaisten toiminnan julkisudesta annettuun lakiin (621/1999), jäljempänä julkisuuslaki.

Lakia kansainvälisistä tietoturvallisuusvelvoitteista sovelletaan erityissuojattaviin tietoaineistoihin. Näillä tarkoitetaan salassa pidettäviä asiakirjoja ja materiaaleja, jotka on toimitettu Suomen viranomaiselle ja johon aineiston lähettäjä on kansainvälisen, Suomea sitovan sopimuksen tai muun velvoitteen mukaisesti tehnyt turvallisuusluokkaa koskevan merkinnän. Lakia voidaan siten soveltaa vain, jos kansainvälinen sopimus on saatettu Suomessa voimaan perustuslaissa säädetyllä tavalla tai jos kysymys on Suomea muutoin sitovasta kansainvälisestä velvoitteesta.

Lain soveltamisalan piiriin kuuluvia erityissuojattavia tietoaineistoja ovat lisäksi Suomen viranomaisen tai lain soveltamisalan piiriin kuuluvan elinkeinonharjoittajan laatimat asiakirjat, joista ilmenee Suomeen toimitettuihin asiakirjoihin sisältyviä tai materiaalista saatavissa olevia tietoja. Lain soveltamisalan piiriin kuuluisivat niin ikään asiakirjat ja materiaalit, jotka on Suomessa tuotettu salassa pidettävän turvallisuusluokitellun tiedon perusteella.

Laissa säädettyjä turvallisuusvelvoitteita sovelletaan silloinkin, kun sopimus tai säädös, johon säännösten soveltaminen perustuu, ei enää ole voimassa (15 §). Soveltaminen jatkuu niin kauan kuin se turvallisuusluokituksen perusteena olevan yleisen edun vuoksi on tarpeen.

Lain suhde julkisuuslainsäädäntöön

Kansainvälisistä tietoturvallisuusvelvoitteista annettuun lakiin sisältyy useita kansallisten asiakirjojen tietoturvallisuudesta annetuista säännöksistä poikkeavia säännöksiä. Laissa on kuitenkin yleinen viittaussäännös julkisuuslakiin. Niiltä osin kuin suomalaisten viranomaisten asiakirjoihin sisältyy muita kuin kansainvälisten tietoturvallisuusvelvoitteiden piiriin kuuluvia tietoja kansainvälisestä yhteistyöstä, on sovellettava julkisuuslain ja sen nojalla annettuja säännöksiä. Laissa on myös erityissäännös, joka koskee päätöksentekovaltaa siinä tilanteessa, että tietoja pyydetään julkisuuslain nojalla erityissuojattavasta aineistosta. Julkisuuslain mukaan tiedonsaantia koskevan pyynnön voi käsitellä ja ratkaista se viranomainen, jonka hallussa asiakirja on. Tiedonsaantipyyntö voidaan kuitenkin siirtää toisen viranomaisen ratkaistavaksi julkisuuslain 15 §:ssä säädetyissä tilanteissa.

Lain soveltaminen elinkeinonharjoittajiin

Lakia sovelletaan viranomaisten lisäksi myös elinkeinonharjoittajaan ja tämän palveluksessa olevaan silloin, kun elinkeinonharjoittaja on sopimusosapuolena turvallisuusluokitellussa sopimuksessa tai osallistuu tällaista sopimusta edeltävään hankintakilpailuun tai toimii tällaisen elinkeinonharjoittajan alihankkijana (1 § 2 mom.).

Turvallisuusluokitellulla sopimuksilla tarkoitetaan sopimusta, jonka toisen valtion viranomainen tai siinä kotipaikkaansa pitävä yritys taikka kansainvälinen järjestö tai toimielin aikoo tehdä tai on tehnyt kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitetulla tavalla Suomessa kotipaikkaansa pitävän elinkeinonharjoittajan kanssa, jos tarjouskilpailuun osallistuminen tai sopimuksen toteuttaminen voi edellyttää pääsyä erityissuojattavaan tietoaineistoon (2 § 3 k.).

Lain mukaan elinkeinonharjoittaja voi pyytää yhteisöturvallisuusselvityksen ja arvion tekemistä voidakseen osallistua toisen valtion viranomaisen tai siinä kotipaikkaansa pitävän yrityksen järjestämään tarjouskilpailuun riippumatta siitä, onko Suomi tehnyt kyseisen valtion kanssa sopimuksen, jossa on määräyksiä tietoturvallisuusvelvoitteista (1 § 3 mom.). Säännöksen tarkoituksena on turvata suomalaisten yritysten kilpailumahdollisuudet hankinnoissa silloinkin, kun hankintaan sovellettavissa olevaa kansainvälistä tietoturvallisuussopimusta ei ole.

Elinkeinonharjoittajalla ja tämän palveluksessa tai toimeksiannosta toimivalla on erityissuojattavia tietoaineistoja koskeva salassapitovelvollisuus (6 ja 7 §). Elinkeinonharjoittajalla on myös velvollisuus kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi antaa tietoja sekä sallia viranomaisen ja kansainvälisen toimielimen tai sopimusvaltion edustajan tutustuminen turvallisuusjärjestelyihinsä ja toimitiloihinsa (16 § 2 mom., 18 § 2 mom.).

Lain täytäntöönpanoviranomaiset

Laissa on säännökset niistä viranomaisista, jotka huolehtivat kansainvälisten tietoturvallisuusvelvoitteiden hoitamisesta. Kansallisena turvallisuusviranomaisena (National Security Authority, NSA) kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseen liittyvissä tehtävissä toimii lain mukaan ulkoasiainministeriö. Kansallisen turvallisuusviranomaisen tehtäviin kuuluu kansainvälisten sopimusten mukaan vastata sopimuksessa tarkoitettujen asiakirjojen tietoturvallisuudesta, huolehtia turvallisuusjärjestelyjen tarkastuksista sekä varmistaa se, että niistä kansallisissa viranomaisissa toimivista, joilla on pääsy turvallisuusluokiteltuun tietoon, on tehty turvallisuusselvitys ja että sen perusteella on varmistuttu tällaisten henkilöiden luotettavuudestaan.

Puolustusministeriö, pääesikunta ja suojelupoliisi toimivat määrättyinä turvallisuusviranomaisina (Designated Security Authority, DSA). Näille viranomaisille voi kuulua muun ohella tarjous- ja hankintamenettelyihin liittyvien asiakirjojen turvallisuusluokittelu. Henkilöturvallisuuteen liittyvien turvallisuusselvitysten laadinnasta huolehtivat suojelupoliisi ja pääesikunta. Yhteisöturvallisuusselvityksen laadinta kuuluu sen sijaan kaikilta osin pääesikunnalle.

Turvallisuusviranomaisten on lain mukaan toimittava yhteistyössä kansainvälisten tietoturvallisuusvelvoitteiden asianmukaiseksi hoitamiseksi sekä annettava toisilleen tässä tarkoituksessa tarpeellisia tietoja sen estämättä, mitä salassapitovelvollisuudesta säädetään. Turvallisuusviranomaiset voivat sopia, että toinen turvallisuusviranomainen hoitaa tietyn tehtävän tai tehtäväkokonaisuuden toisen turvallisuusviranomaisen lukuun, jos järjestely on tarpeen tehtävien hoitamiseksi tarkoituksenmukaisesti, taloudellisesti ja joutuisasti.

Laissa on säännökset viranomaisia ja elinkeinonharjoittajaa koskevasta tiedonantovelvollisuudesta. Säännösten tarkoituksena on varmistaa, että toimivaltaiset turvallisuusviranomaiset voisivat saada niille kuuluvien tehtävien hoitamiseksi tarpeelliset tiedot. Viranomaiset voivat myös salassapitovelvollisuuden estämättä antaa kansainväliseen tietoturvallisuusvelvoitteeseen perustuvaa yhteistyötä varten salassa pidettäviä tietoja toiselle sopimuspuolelle. Viranomaisella on myös oikeus sallia kansainväliseen tietoturvallisuusvelvoitteeseen perustuva kansainvälisen järjestön, toimielimen tai sopimusvaltion edustajan tutustuminen viranomaisen toteuttamiin turvallisuusjärjestelyihin ja toimitiloihin riippumatta siitä, mitä turvallisuusjärjestelyjen salassapidosta säädetään taikka säädetään tai määrätään pääsystä tiloihin, joissa käsitellään tai säilytetään salassa pidettäviä tietoja.

Kansallisen turvallisuusviranomaisen on lain mukaan ilmoitettava kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitetuissa tapauksissa toiselle sopimuspuolelle tietoonsa tulleesta turvallisuusluokiteltujen tietojen suojan vaarantumisesta ja tietoturvallisuutta koskevan määräyksen loukkaamisesta sekä ryhdyttävä toimenpiteisiin asian selvittämiseksi samoin kuin rangaistavaan tekoon syyllistyneen syytteeseen saattamiseksi (19 §).

Tietojen salassapito ja käytön sääntely

Erityissuojattava tietoaineisto on pidettävä salassa (6 § 1 mom.). Salassapitovelvollisuus koskee myös elinkeinonharjoittajaa tämän olleessaan osapuolena turvallisuusluokitellussa sopimuksissa.

Kansainvälisissä sopimuksissa, jotka koskevat eri maiden viranomaisten välistä salassa pidettävien tietojen vaihtoa, on säännönmukaisesti määräys, joka rajoittaa annettujen tietojen käyttöä. Tämän mukaisesti erityissuojattavaa tietoaineistoa saa käyttää ja luovuttaa vain siihen tarkoitukseen, jota varten se on annettu, jollei se, joka on määritellyt aineiston turvallisuusluokan, ole antanut muuhun suostumustaan (6 § 2 mom.). Erityissuojattavien tietoaineistojen käyttöä koskee siten vahva käyttötarkoitussidonnaisuus.

Turvallisuusluokittelu ja - toimenpiteet

Laissa säädetään velvollisuudesta merkitä erityissuojattavaan tietoaineistoon sen turvallisuusluokka. Tietoaineistoon tehty merkintä turvallisuusluokasta osoittaa, minkälaisia toimenpiteitä on toteutettava aineistoa käsiteltäessä. Mitä korkeampaan turvallisuusluokkaan aineisto kuuluu, sitä tiukempia tietoturvallisuustoimenpiteitä edellytetään. Laissa on yleinen velvoite toteuttaa tietoaineiston käsittelyssä sen turvallisuusluokkaa koskevia käsittelymääräyksiä sekä valtuus säätää erityissuojattavan tietoaineiston käsittelyssä noudatettavista turvallisuusluokitusta vastaavista teknisistä turvallisuustoimenpiteistä valtioneuvoston asetuksella (9 §).

Turvallisuusluokiteltuja aineistoja käsiteltäessä on lain mukaan huolehdittava siitä, että tietoja säilytetään asianmukaisissa tiloissa. Myös tilojen turvallisuusvaatimuksista voidaan säätää asetuksella (10 §).

Lakiin kansainvälisistä tietoturvallisuusvelvoitteista on kirjattu kansainvälisissä sopimuksissa yleinen vaatimus siitä, että turvallisuusluokiteltuja tietoja viranomaisissa käytettäessä noudatetaan suurta pidättyvyyttä ja että tietoihin annetaan pääsy vain niille, jotka tarvitsevat tietoja tehtäviensä hoitamisessa. Nämä henkilöt on nimettävä etukäteen, jos sopimuksessa tätä edellytetään. Sama koskee myös 1 §:n 2 momentissa tarkoitettua elinkeinonharjoittajaa (6 § 3 mom.).

Henkilöturvallisuus

Kansainvälisessä tietoturvallisuusvelvoitteessa edellytetty henkilöturvallisuutta koskeva turvallisuusselvitys tehdään siten kuin turvallisuusselvityksistä annetussa laissa (177/2002) ja sen nojalla säädetään. Siten esimerkiksi selvityksen kohteena olevan henkilön oikeudet määräytyisivät sanotun lain mukaisesti.

Kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa on kuitenkin kaksi säännöstä, jotka ovat erityissäännöksiä suhteessa turvallisuusselvityksistä annettuun lakiin. Suppea turvallisuusselvitys on mahdollista laatia muissakin kuin turvallisuusselvityksistä annetun lain 19 §:ssä luetelluissa tapauksissa, jos se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi (11 § 1 mom.). Toinen erityissäännös koskee viranomaisten toimivaltaa. Turvallisuusselvityksen tekee pääesikunta silloin kun turvallisuusselvityksen laatiminen on tarpeen puolustushallintoa tai puolustushankintoja koskevan kansainvälisen velvoitteen toteuttamiseksi. Muissa tapauksissa henkilöön liittyvien turvallisuusselvitysten laadinnasta huolehtii suojelupoliisi (11 § 2 mom.). Säännös on turvallisuusselvityksistä annettua lakia täsmällisempi ja siinä otetaan huomioon, minkälaisesta kansainvälisestä velvoitteesta on kysymys.

Turvallisuusselvityksistä annetun lain 10 §:n 2 momentin mukaan turvallisuusselvitykseen ei saa sisällyttää selvityksen laatineen viranomaisen arviota selvityksen kohteena olevan henkilön luotettavuudesta tai sopivuudesta virkaan tai tehtävään, ellei lain 9 §:ssä tarkoitettu valtiosopimus tai muu kansainvälinen velvoite tätä edellytä. Koska pääsääntönä on, että turvallisuusselvitys ei sisällä arviota henkilön luotettavuudesta, laissa kansainvälisistä tietoturvallisuusvelvoitteista on erikseen mainittu henkilön luotettavuuden arviointi. Tällaisen arvion tekee turvallisuusselvityksen perusteella kansallinen turvallisuusviranomainen tai, jos turvallisuusviranomaisten välillä on niin sovittu, tehtävään määrätty turvallisuusviranomainen.

Arvioinnin perusteella annetaan henkilöturvallisuutta koskeva todistus (Personal Security Clearance). Se toimitetaan tavanomaisimmin sopimuspuolen turvallisuusviranomaiselle sopimuksen osoittamalla tavalla. Laissa on myös säännökset todistuksen antamisesta henkilölle itselleen (14 §).

Yhteisöturvallisuusselvitys

Yhteisöturvallisuusselvityksellä varmistetaan elinkeinonharjoittajan toimitilojen ja käsittelykäytäntöjen asiamukaisuus sekä henkilöstön osaaminen. Elinkeinonharjoittajan luotettavuuden arvioinnilla varmistutaan erityisesti siitä, kuinka hyvin tämä pystyy huolehtimaan turvallisuusluokiteltujen tietojen suojaamisesta. Yhteisöturvallisuusmenettely ja siihen perustuva arvio toteutetaan pääosin elinkeinonharjoittajalta itseltään saatujen tietojen perusteella sekä tämän toimitilojen turvallisuuden kartoituksella, ja tarvittavista toimenpiteistä huolehditaan elinkeinonharjoittajan kanssa tehtävän sopimuksen avulla. Selvityksen laatii pääesikunta. Selvitystä laadittaessa on otettava huomioon laissa yksilöidyt seikat, muun muassa se, miten estetään turvallisuusluokiteltujen tietojen suojaaminen oikeudettomalta ilmitulolta, muuttamiselta ja hävittämiseltä, ja miten estetään asiaton pääsy tiloihin, joissa turvallisuusluokiteltuja tietoja käsitellään tai joissa harjoitetaan turvallisuusluokitellussa sopimuksessa tarkoitettua toimintaa.

Pääesikunta voi tehdä lain soveltamisalan piiriin kuuluvan elinkeinonharjoittajan kanssa sopimuksen, jossa elinkeinonharjoittaja sitoutuu toimenpiteisiin kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi (13 §). Sopimuksessa voidaan yksityiskohtaisemmin määritellä ne toimenpiteet, jotka elinkeinonharjoittaja toteuttaa täyttääkseen kansainvälisistä tietoturvallisuusvelvoitteista johtuvat vaatimukset. Sopimuksessa elinkeinonharjoittaja sitoutuu myös tekemään ne mahdolliset tarkistukset toimintaansa, jotka toiminnan turvallisuuskartoituksessa on havaittu. Turvallisuusselvityksen ja mahdollisen sopimuksen jälkeen pääesikunta voi tehdä arvion elinkeinonharjoittajan luotettavuudesta ja antaa tätä koskevan turvallisuustodistuksen (Facility Security Clearance).

2.2. Turvallisuusselvityksiä koskeva lainsäädäntö

Henkilöstöturvallisuuteen liittyvistä turvallisuusselvityksistä säädetään turvallisuusselvityksistä annetussa laissa. Lain tarkoituksena on turvallisuusselvitysmenettelyä käyttämällä parantaa mahdollisuuksia ennakolta estää rikokset, jotka vakavasti vahingoittaisivat keskeisiä yleisiä tai yksityisiä etuja taikka erittäin merkittävää tietoturvallisuutta.

Turvallisuusselvitys voidaan tehdä virkaan tai tehtävään hakeutuvasta, tehtävään tai koulutukseen otettavasta taikka virkaa tai tehtävää hoitavasta henkilöstä, ja se voi olla perusmuotoinen, laaja tai suppea. Turvallisuusselvitys tehdään laissa määritellyissä tapauksissa, kuten silloin, kun Suomea sitova valtiosopimus tai muu kansainvälinen velvoite edellyttää turvallisuusselvityksen tekemistä tai sen perusteella laaditun todistuksen esittämistä.

Yksityisyyden suojan perusoikeusluonteen vuoksi turvallisuusselvitysmenettely on tarkan muotosidonnaista. Turvallisuusselvitys voidaan tehdä vain selvityksen kohteena olevan henkilön etukäteen antaman, nimenomaisen ja kirjallisen suostumuksen perusteella. Myös turvallisuusselvitysmenettelyssä käytettävät rekisterit on laissa lueteltu tyhjentävästi.

Jokaisella on oikeus saada tieto siitä, onko hänestä tehty turvallisuusselvitys tiettyä tehtävää varten. Selvityksen kohteella on myös oikeus pyynnöstä saada toimivaltaiselta viranomaiselta perusmuotoisen tai laajan turvallisuusselvityksen tiedot. Tiedonsaantioikeus ei kuitenkaan koske sellaisesta rekisteristä peräisin olevaa tietoa, johon rekisteröidyllä ei ole tarkastusoikeutta.

3. Esityksen tavoitteet

Esityksen tavoitteena on saattamalla voimaan Suomen ja Ranskan välinen turvallisuussopimus parantaa maiden välistä yhteistyötä sekä turvata suomalaisten yritysten mahdollisuudet osallistua sellaisiin kansainvälisiin sekä Suomen ja Ranskan välisiin hankkeisiin, joiden toteuttaminen saattaa edellyttää arkaluonteisten salassa pidettävien tietojen vaihtoa.

4. Esityksen vaikutukset
4.1. Vaikutukset kansalaisiin

Sopimuksen voimaansaattamisen myötä Ranskasta Suomeen toimitettuihin turvallisuusluokiteltuihin tietoihin ja materiaaleihin sovellettaisiin lakia kansainvälisistä tietoturvallisuusvelvoitteista. Lakiin sisältyy erityissäännös, jonka mukaan toisen sopimuspuolen salassa pidettävät ja turvallisuusluokitellut asiakirjat ja niihin sisältyvät tiedot ovat myös Suomessa salassa pidettäviä. Säännös poikkeaa muodoltaan julkisuuslain yleistä etua koskevista salassapitosäännöksistä, joissa salassapito on useimmissa tapauksissa riippuvainen siitä, minkälaisia vaikutuksia tietojen antamisella olisi suojattavalle edulle. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain mukainen salassapito on näin ollen sanamuodon mukaan kattavampi kuin yleisessä julkisuuslaissa.

Suomen ja Ranskan välisessä sopimuksessa on kysymys asiakirjoista, joita toisen sopimuspuoli pitää salassa pidettävinä ja jotka se on määritellyt ja merkinnyt korkean tietoturvallisuuden tasoa edellyttäviksi. Tällaisia asiakirjoja on säännönmukaisesti pidettävä salaisina myös julkisuuslain 24 §:n 1 momentin 2 kohdan mukaan. Merkittävimpänä erona on se, että viranomaisella ei olisi kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitettuun asiakirjaan kohdistuvaa tiedonsaantipyyntöä ratkaistessaan velvollisuutta erikseen perustella tiedon antamisesta aiheutuvaa vahinkoa. Tiedonsaantipyyntö olisi muutoin käsiteltävä julkisuuslain mukaisesti. Siten viranomaisen on varmistettava, että asiakirjaan merkitty salaisuusluokka vastaa sopimuksessa sovittua. Jos luokituksen oikeellisuudesta tai siitä, minkä asiakirjan tietojen vuoksi luokitusmerkintä on tehty, syntyy epäselvyyttä, viranomaisen on otettava yhteyttä asiakirjan laatineeseen sopimuspuoleen. Suomen ja Ranskan välillä tehdyn sopimuksen 4 artiklan 9 kappaleeseen sisältyy tätä tarkoitusta palveleva määräys luokitusta koskevien tietojen saamisesta.

Edellä olevan perusteella voidaan arvioida, että Suomen ja Ranskan välisen turvallisuussopimuksen voimaansaattamista koskeva lakiehdotus ei asiallisesti vaikuta kansalaisten tiedonsaantia vähentävästi suhteessa siihen, mitä tiedonsaanti yleisen lainsäädännön mukaan on.

Henkilöturvallisuus on keskeinen tietoturvallisuuden osa-alue. Laki kansainvälisistä tietoturvavelvoitteista edellyttää turvallisuusselvityksistä annetun lain mukaisen menettelyn käyttämistä henkilöstön luotettavuuden varmistamisesta. Tästä syystä ehdotetun voimaansaattamislain hyväksyminen ei tarkoittaisikaan sitä, että kansalaisten yksityisyyselämän ja henkilötietojen suojaa kavennettaisiin aikaisempaan verrattuna.

4.2. Vaikutukset elinkeinoelämään

Sopimus turvaa myös suomalaisen teollisuuden osallistumismahdollisuudet kansainvälisiin sekä sellaisiin ranskalaisiin hankkeisiin, joiden toteuttaminen edellyttää pääsyä turvallisuusluokiteltuihin tietoihin.

4.3. Taloudelliset vaikutukset

On vaikea arvioida, kuinka paljon sopimus parantaa suomalaisten yritysten kilpailukykyä ja taloudellista asemaa. Selvää kuitenkin on, että sopimuksen hyväksyminen poistaa Ranskan tietoturvallisuusvaatimuksista johtuvat esteet osallistua ranskalaisiin hankintoihin.

Esitykseen sisältyvän sopimuksen ja lain hyväksymisestä ei arvioida aiheutuvan hallinnolle välittömästi uusia merkittäviä kustannuksia. Kansainväliset tietoturvallisuusvelvoitteet ja niiden aiheuttamat työtehtävät ovat kuitenkin mitä ilmeisemmin kasvamassa, mikä aiheuttaa myös hallinnolle kustannuksia.

4.4. Vaikutukset hallintoon

Kansainvälistä tietoturvallisuusvelvoitteista annetulla lailla kansallisen turvallisuusviranomaisen tehtävät osoitettiin ulkoasiainministeriölle, joka aikaisemmin jo oli hoitanut Euroopan unioniin sekä WEU- ja NATO-yhteistyöhön liittyviä kansallisen turvallisuusviranomaisen tehtäviä. Määrättyinä turvallisuusviranomaisina toimivat mainitun lain mukaan puolustusministeriö, pääesikunta ja suojelupoliisi.

Lakia säädettäessä omaksuttua ratkaisua pidetään kuitenkin väliaikaisena. Kuluvan syksyn aikana selvitetään ulkoasiainministeriön johdolla, miten kansallisen turvallisuusviranomaisen tehtävien hoitaminen pysyvästi on järjestettävä. Samassa yhteydessä arvioidaan turvallisuusviranomaisten resurssitarpeet kokonaisuudessaan.

5. Asian valmistelu

Hallituksen esitys on valmisteltu virkatyönä oikeusministeriössä. Valmisteluun on osallistunut edustajia ulkoasianministeriöstä, puolustusministeriöstä, kauppa- ja teollisuusministeriöstä, valtiovarainministeriöstä, maa- ja metsätalousministeriöstä, pääesikunnasta ja suojelupoliisista. Ministeriöille, suojelupoliisille ja pääesikunnalle sekä Teollisuus ja työnantajat ry:lle on varattu tilaisuus esittää näkemyksensä esitysluonnoksesta sen valmistelun aikana.

YKSITYISKOHTAISET PERUSTELUT

1. Sopimuksen sisältö ja suhde Suomen lainsäädäntöön

1 artikla. Määritelmät. Artiklassa määritellään sopimuksen soveltamisen kannalta keskeiset käsitteet.

Artiklan 1 kappaleessa on turvallisuusluokitellun tiedon ja materiaalin määritelmä. Sopimus koskee sopimuspuolen kansallisten säännösten ja määräysten mukaisesti turvallisuusluokiteltua tietoa ja materiaalia, jota on suojattava riippumatta siitä, missä muodossa tieto ja materiaali on, miten se on välitetty, minkälaista se on luonteeltaan ja onko se jo saatavissa olevaa vai vasta valmisteilla. Sopimuksen mukainen suoja kohdistuu tietojen lisäksi materiaaleihin. Näitä ovat laitteet ja muut esineet, joita tutkimalla paljastuu tai voi paljastua salassa pidettävä seikka, kuten maanpuolustusta tai turvallisuutta vaarantava tieto.

Artiklan 2 kappale sisältää turvallisuusluokitellun sopimuksen määritelmän. Sopimus koskee sopimusta, alihankintasopimusta ja hanketta, jonka valmistelussa ja toteuttamisessa on tarpeen saada turvallisuusluokiteltua tietoa ja materiaalia taikka käyttää tällaista tietoa ja materiaalia. Artiklan 3 kappaleessa puolestaan on hankintasopimuksen osapuolen määritelmä. Mainitut määritelmät vastaavat kansainvälisistä tietoturvallisuusvelvoitteista annetun lain säännöksiä.

Sopimuksen yleisestä täytäntöönpanosta ja valvonnasta huolehtivat kansalliset turvallisuusviranomaiset, joita koskeva määritelmä on artiklan 4 kappaleessa. Näiden lisäksi sopimuksen täytäntöönpanoon osallistuvat toimivaltaiset turvallisuusviranomaiset, joita koskeva määritelmä on artiklan 5 kappaleessa. Suomessa kansallisena turvallisuusviranomaisena toimii kansainvälisistä tietoturvallisuusvelvoitteista annetun lain mukaan ulkoasianministeriö, missä tehtävää hoitaa hallinnollinen alivaltiosihteeri. Muina sopimuksessa tarkoitettuina toimivaltaisina viranomaisina toimivat pääesikunta, suojelupoliisi sekä puolustusministeriö kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 4 §:n mukaisesti.

Artiklan 6 kappaleessa on lähettävän osapuolen määritelmä, 7 kappaleessa vastaanottavan osapuolen määritelmä ja 8 kappaleessa isäntänä toimivan sopimuspuolen määritelmä. Nämä määritelmät ovat luonteeltaan teknisiä eikä niihin liity ongelmia Suomen lainsäädännön kannalta.

Artiklan 9 kappaleessa on tiedonsaantitarpeen määritelmä. Käsite on keskeinen osoitettaessa, kenelle voidaan sallia pääsy turvallisuusluokiteltuun tietoon. Määritelmästä johtuu, että tietoja saa antaa vain henkilöille, joilla on työtehtävistä tai tietyn toimeksiannon suorittamisesta johtuva tarve saada tietoja turvallisuusluokitelluista tiedoista tai materiaaleista. Tämä vastaa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 3 momentin säännöksiä.

2 artikla. Sopimuksen soveltamisala. Artiklassa määritellään sopimuksen tarkoitus. Sopimuksen tarkoituksena on suojata Suomen ja Ranskan välillä välitetyt turvallisuusluokitellut tiedot. Suojaamista koskeva yleisvelvoite on ilmaistu sopimuksen 4 artiklan 1 kappaleessa, jonka mukaan sopimuspuolet sitoutuvat suojaamaan toisen sopimuspuolen toimittaman turvallisuusluokittelun aineiston samalla tasolla kuin mitä ne suojaavat vastaavaan turvallisuusluokkaan luokitellun kansallisen tietoaineiston.

Sopimuksen 2 artiklassa määritellään ne toiminnot, joihin liittyvien tietojen vaihtoon sopimusta sovelletaan. Näitä ovat tietojenvaihto sopimuspuolten välisessä yhteistyössä sekä turvallisuusluokiteltujen sopimusten yhteydessä.

Sopimusta sovelletaan siten sellaisten turvallisuusluokiteltujen tietojen välittämiseen, jotka koskevat kansainvälisiä asioita taikka maanpuolustus-, turvallisuus-, poliisi- tai teollisuusasioita. On huomattava, että sopimusta ei sovelleta mihin tahansa mainittuihin asioihin liittyviin tietoihin, vaan ainoastaan niihin, jotka toisessa sopimusvaltiossa on luokiteltu erityisiin turvallisuusluokkiin. Kysymys on siten arkaluonteisista ja kansallista etua vaarantavista aineistoista.

Sopimusta ei sovelleta ainoastaan viranomaisten välisiin suhteisiin. Sitä sovelletaan myös sellaisten sopimusten yhteydessä, joissa sopimuksen osapuolena on yksityinen yhteisö, jos sopimuksen toteuttamisessa tai jo esimerkiksi tarjouksen tekemisen yhteydessä on tarpeen saada turvallisuusluokiteltua tietoa ja materiaalia.

3 artikla. Kansalliset turvallisuusviranomaiset. Artiklassa määritellään kummankin sopimusvaltion kansallinen turvallisuusviranomainen sekä määrätään sopimuspuolille velvollisuus antaa turvallisuusviranomaisia koskevia tietoja toisilleen.

4 artikla. Turvallisuusluokitellun tiedon ja materiaalin vastavuoroinen suojaaminen. Artikla sisältää keskeiset vastavuoroista suojaamista koskevat velvoitteet. Artiklan 1 kappale sisältää sopimuksen keskeisimmän periaatteen, jonka mukaan sopimuspuolet sitoutuvat suorittamaan kaikki asiamukaiset toimenpiteet suojatakseen sopimuksen mukaisesti välitetyn, saadun tai tuotetun tiedon ja materiaalin. Tiedoille annetaan samantasoinen suoja kuin vastaavaan kansalliseen turvallisuusluokkaan luokitetuille tiedoille. Turvallisuusluokkien vastaavuus määritellään 5 artiklassa.

Artiklan 2 kappale koskee henkilöturvallisuutta. Sen mukaan turvallisuusluokiteltua tietoa ja materiaalia voi saada vain henkilö, jonka luotettavuudesta on asianmukaisen henkilöturvallisuusselvityksen perusteella annettu todistus ja jolla on tiedonsaantitarve.

Kansainvälisen tietoturvallisuusvelvoitteen edellyttämä henkilöiden luotettavuuden varmistaminen toteutetaan Suomessa turvallisuusselvityksistä annetun lain sekä kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 11 §:n mukaisesti. Henkilöturvallisuusselvityksen laatii pääesikunta silloin, kun kysymys on puolustushallintoon liittyvästä asiasta, muutoin suojelupoliisi.

Artiklan mukaan luotettavuusselvitystä ei välttämättä tarvita silloin, kun kysymys on ainoastaan pääsystä sellaisiin tiloihin, joissa on sopimuksessa tarkoitettua turvallisuusluokiteltua tietoa. Pääsy tällaisiin tiloihin voidaan sallia, jos kansallinen turvallisuusviranomainen tai toimivaltainen turvallisuusviranomainen on antanut siihen luvan.

Artiklan 3 kappaleessa on määräykset sopimuspuolten viranomaisten yhteistyöstä henkilöturvallisuuden varmistamisessa. Velvoitteen täyttämiseksi tarpeellisesta suomalaisen viranomaisen tietojenanto-oikeudesta säädetään kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 17 §:ssä.

Artiklan 4 kappaleessa todetaan toisen sopimuspuolen velvollisuus säilyttää tiedon ja materiaalin turvallisuusluokitus. Luokitus voidaan kuitenkin alentaa lähettävän osapuolen suostumuksella.

Artiklan 5 kappaleessa on määräykset sopimuspuolen valvontavelvollisuudesta. Sopimuspuolet valvovat kansallisten turvallisuusluokiteltujen tietojen ja materiaalien suojaa koskevien kansallisten säännösten ja määräysten noudattamista erityisesti suorittamalla vierailuja ja tarkastuksia sopimuksen täytäntöönpanon kannalta merkityksellisiin toimitiloihin.

Vastaanottavan sopimuspuolen on 6 kappaleen mukaan tehtävä lähettävältä sopimuspuolelta saamaansa aineistoon vastaava kansallinen turvallisuusluokitusmerkintä. Merkitsemisvelvollisuudesta säädetään kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 8 §:ssä.

Artiklan 7 ja 8 kappale koskevat ilmoitusvelvollisuuksia. Artiklan 7 kappale velvoittaa ilmoittamaan toiselle sopimuspuolelle sellaisista kansallisten säännösten ja määräysten muutoksista, jotka vaikuttavat sopimuksen alaan kuuluvien aineistojen suojaan. Artiklan 8 kappale puolestaan velvoittaa lähettävän osapuolen ilmoittamaan vastaanottajalle välitetyn turvallisuusluokitetun aineiston turvallisuusluokituksen muutoksista.

Artiklan 9 kappaleessa todetaan vastaanottavan osapuolen turvallisuusviranomaisilla olevan oikeus pyytää turvallisuusluokituksen muutosta tai sen poistamista. Kappale on tärkeä silloin, kun suomalaiselta viranomaiselta pyydetään tietoja turvallisuusluokitellusta asiakirjasta. Viranomaisen on julkisuuslain 17 §:n säännösten mukaan katsottava, ettei tiedonsaantia rajoiteta enempää kuin suojattavan edun vuoksi on tarpeen. Jos pyydetyn asiakirjan turvallisuusluokitukselle ei näyttäisi esimerkiksi ajan kulumisen vuoksi enää olevan perusteita, viranomaisen olisi otettava yhteys ranskalaiseen turvallisuusviranomaiseen luokituksen tarkistamiseksi.

5 artikla. Kansallisen turvallisuusmerkinnän tekeminen turvallisuusluokiteltuun tietoon ja materiaaliin sekä luokituksen vastaavuus. Artiklassa määritellään, miten Suomen ja Ranskan turvallisuusluokat vastaavat toisiaan. Varsinaisia turvallisuusluokkia on kolme, minkä lisäksi sopimuksessa on yhtä asiakirjaluokkaa koskeva huomautus.

Korkein, ankarimpia tietoturvallisuustoimenpiteitä vaativa luokka on ”erittäin salainen” (TRES DEFENSE). Ranskankielisen turvallisuusluokan ilmaisussa sana ”defense” ei tässä yhteydessä viittaa maanpuolustuksen edun suojaamiseen, vaan yleisesti tietojen suojaamiseen.

Suomessa luokkaan ”erittäin salainen” luetaan kuuluviksi tiedot, joiden luvaton ilmitulo voi aiheuttaa erittäin suurta vahinkoa maanpuolustukselle, turvallisuudelle, kansainvälisille suhteille tai muille yleisille eduille. Suomen kansainvälisiä suhteita suojaavat julkisuuslain 24 §:n 1 momentin 1 ja 2 kohdat , maanpuolustusta momentin 10 kohta ja turvallisuutta momentin 5, 8 ja 9 kohdat. Muita määritelmässä tarkoitettuja yleisiä etuja voivat olla esimerkiksi valtionjohdon ja valtiovieraiden sekä tietojärjestelmien turvallisuusjärjestelyjen suojaaminen (24 § 1 mom. 7 kohta) sekä kansantalouden toimivuus (24 § 1 mom. 11 ja 12 kohta).

Toiseksi korkein turvallisuusluokka on ”salainen” (SECRET DEFENSE). Tähän kuuluvat Suomessa tiedot, joiden luvaton ilmitulo voi aiheuttaa merkittävää vahinkoa maanpuolustukselle, turvallisuudelle, kansainvälisille suhteille tai muille yleisille eduille.

Kolmanneksi korkein turvallisuusluokka on ”luottamuksellinen” (CONFIDENTIEL DEFENSE), jolla tarkoitetaan Suomessa tietoja, joiden luvaton ilmitulo voi aiheuttaa vahinkoa maanpuolustukselle, turvallisuudelle, kansainvälisille suhteille tai muille yleisille eduille.

Neljänteen Suomen puolella noudatettavaan asiakirjaluokkaan (”käyttö rajoitettu”) kuuluvat tiedot, joiden luvaton ilmitulo voi aiheuttaa haittaa yleisille eduille tai heikentää viranomaisen toimintaedellytyksiä. Ranskan puolella tällaiset tiedot merkitään yleensä merkinnällä "DIFFUSION RESTREINTE”, mutta käytössä on muitakin merkintöjä.

Artiklan 2 kappaleessa velvoitetaan sopimuspuolet toimittamaan toisilleen kaikki tarpeelliset tiedot turvallisuusluokitellun tiedon ja materiaalin suojaamisen liittyvistä kansallisista säännöksistä, määräyksistä ja menettelytavoista. Sopimuspuolten on myös edistettävä turvallisuusviranomaisten välistä yhteydenpitoa.

6 artikla. Turvallisuusluokitellun tiedon ja materiaalin käyttö. Artiklassa on määräykset turvallisuusluokitellun tiedon salassapidosta, luovuttamisrajoituksista sekä vastaanottavan osapuolen turvallisuusviranomaisten tehtävistä turvallisuusluokiteltujen sopimusten yhteydessä.

Kappaleessa 1 on kielto luovuttaa turvallisuusluokiteltuja tietoja kolmannelle valtiolle, kansainväliselle järjestölle tai kolmannen valtion oikeushenkilölle taikka kolmannen valtion kansalaiselle ilman lähettävän osapuolen turvallisuusviranomaisen suostumusta.

Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:ssä on salassapitovelvollisuutta koskeva erityissäännös, jonka mukaan kansainvälisen tietoturvallisuussopimuksen mukaisesti turvallisuusluokiteltu tieto on pidettävä salassa.

Kappaleen 2 mukaan turvallisuusluokiteltua tietoa ei saa käyttää muuhun tarkoitukseen kuin siihen, jota varten se on annettu, ilman lähettävän osapuolen turvallisuusviranomaisen suostumusta. Velvoitetta vastaava säännös on kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 2 momentissa.

Artiklan 3 kappaleessa on luettelo toimivaltaisten turvallisuusviranomaisten tehtävistä, jotka on suoritettava ennen kuin lähettävältä osapuolelta vastaanotettu turvallisuusluokiteltu aineisto välitetään hankintasopimuksen osapuolelle.

Kappaleen a kohdan mukaan turvallisuusviranomaisen on varmistuttava siitä, että hankintasopimuksen osapuoli pystyy omasta ja toimitilojensa puolesta tarjoamaan turvallisuusluokitellulle tiedolle ja materiaalille asiamukaisen suojan. Suomessa velvoitteen toteuttamiseen liittyvät säännökset ovat kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 10–13 §:ssä.

Kappaleen b kohdassa on tarkempi määräys hankintasopimuksen osapuolen toimitilojen turvallisuuden varmistamisesta. Toimivaltaisen turvallisuusviranomaisen on annettava todistus tilojen turvallisuudesta. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 12 §:ssä on säännökset yhteisöturvallisuusselvityksestä ja 13 §:ssä säännökset hankintaosapuolen antamasta sitoumuksesta turvallisuustoimenpiteiden suorittamisesta. Kansallinen sääntely vastaa sopimusvelvoitteen vaatimuksia.

Toimivaltaisten turvallisuusviranomaisten tehtäviin kuuluu kohdan c mukaan antaa asianmukaisen henkilöturvallisuusselvityksen perustella todistus niiden henkilöiden luotettavuudesta, joilla on työtehtäviensä vuoksi tarve saada turvallisuusluokiteltua tietoa tai materiaalia. Todistuksen antamista koskevat säännökset ovat kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 11 §:ssä sekä turvallisuusselvityksistä annetussa laissa.

Kappaleen d kohdassa edellytetään toimivaltaisten turvallisuusviranomaisten pitävän huolta siitä, että kaikille niille henkilöille, jotka saavat turvallisuusluokiteltua aineistoa, on annettu tieto kansallisten säännösten ja määräysten mukaisista velvollisuuksistaan.

Kappaleen e kohdassa puolestaan on velvoite tehdä turvallisuustarkastuksia valvontavelvoitteen piiriin kuuluvissa toimitiloissa.

7 artikla. Kääntäminen, kopiointi ja hävittäminen. Artikla sisältää määräykset siitä, miten eri turvallisuusluokkiin kuuluvia aineistoja saa kääntää, kopioida ja hävittää.

Artiklan 1 kappale sisältää kiellon kahteen ylimpään turvallisuusluokkaan kuuluvan tiedon ja materiaalin kääntämisestä ja kopioinnista ilman aineiston lähettäneen osapuolen turvallisuusviranomaisen siihen etukäteen antamaa kirjallista suostumusta. Kansalliset säännökset velvoitteen toteuttamisesta voidaan tarvittaessa säätää kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 9 §:n nojalla.

Artiklan 2 kappale koskee turvallisuusluokkaan SECRET DEFENSE / SALAINEN tai turvallisuusluokkaan CONFIDENTIEL DEFENSE /LUOTTAMUKSELLINEN kuuluvan aineiston hävittämistä. Hävittäminen on toteutettava kansalliset säännökset ja määräykset huomion ottaen.

Turvallisuusluokkaan TRES SECRET DEFENSE/ERITTÄIN SALAINEN kuuluvaa tietoa ja materiaalia ei kappaleen 3 mukaan hävitetä, vaan ne palautetaan lähettävälle osapuolelle 10 artiklan 1 kappaleen mukaisesti sekä kansalliset säännökset ja määräykset huomioon ottaen, kun niitä ei enää pidetä tarpeellisena taikka niihin liittyvä voimassaoloaika on kulunut umpeen. Viittauksella kansalliseen lainsäädäntöön tarkoitetaan niitä tilanteita, joissa aineisto on arkistolainsäädännön vuoksi säilytettävä.

8 artikla. Vierailut. Artikla sisältää määräykset niistä menettelytavoista, joita noudatetaan järjestettäessä sopimuspuolen edustajille tilaisuus tutustua toisen sopimuspuolen tietoturvallisuutta koskevien tehtävien hoitoon. Sopimukseen kuuluu sen olennaisena osana liite, jossa on tarkemmat määräykset vierailun tiedoista, jotka on sisällytettävä vierailupyyntöön sopimuksessa määritellyissä tilanteissa. Vierailujen toteuttamiseen liittyvät säännökset ovat kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 18 §:ssä.

9 artikla. Turvallisuusluokitellut sopimukset. Artikla sisältää määräykset niitä tilanteita varten, joissa toinen sopimuspuoli tekee taikka antaa oman lainkäyttövaltansa piiriin kuuluvalle turvallisuusluokitellun hankintasopimuksen osapuolelle luvan tehdä sopimuksen toisen sopimuspuolen lainkäyttövallan piiriin kuuluvan hankintasopimuksen osapuolen kanssa. Turvallisuusluokitellulla sopimuksella tarkoitetaan sopimusta, jossa sopimuksen osapuoli, esimerkiksi yritys, voi päästä turvallisuusluokiteltuun tietoon.

Artiklan 1 kappaleen mukaan ennen turvallisuusluokitellun sopimuksen tekemistä sopimuspuolen on saatava toisen sopimuspuolen turvallisuusviranomaiselta kirjallinen todistus siitä, että ehdotettu hankintasopimuksen osapuoli täyttää asianmukaisen luotettavuustason ja että tämä on ryhtynyt asianmukaisiin toimiin turvallisuusluokitellun tiedon ja materiaalin suojaamiseksi.

Turvallisuusluokiteltuja sopimuksia koskevat kansalliset säännökset sisältyvät kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 1 § 2 momenttiin, 2 §:n 2 kohtaan, 7 §:ään sekä 12 ja 13 §:ään.

Artiklan 2 kappaleessa edellytetään sopimuspuolten pitävän huolta siitä, että turvallisuusluokiteltuun sopimukseen sisällytetään turvallisuusvaatimuksiin liittyvät ehdot sekä turvallisuusluokitusohje. Velvoitetta vastaavat säännökset ovat kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 13 §:ssä.

Kappaleessa 3 sen sopimuspuolen toimivaltaiset turvallisuusviranomaiset, jonka alueella työ tehdään, velvoitettaisiin huolehtimaan siitä, että turvallisuusluokiteltuja sopimuksia toteutettaessa sovelletaan ja ylläpidetään vastaavantasoista tietoturvallisuuden tasoa kuin mitä sovelletaan kysymyksen ollessa niiden omista turvallisuusluokitelluista sopimuksista.

Artiklan 4 kappaleen mukaan hankintasopimuksen osapuoli ei saisi tehdä turvallisuusluokiteltua sopimusta alihankkijan kanssa ennen kuin sen toimivaltainen turvallisuusviranomainen on antanut siihen luvan. Alihankkijoihin sovelletaan samoja turvallisuusvaatimuksia kuin hankintasopimuksen tehneeseen osapuoleen.

Artiklan 5 kappaleessa edellytetään, että lähettävän osapuolen toimivaltainen turvallisuusviranomainen ilmoittaa kaikista turvallisuusluokitelluista sopimuksista vastaanottavan osapuolen toimivaltaisille turvallisuusviranomaisille ennen kuin turvallisuusluokiteltua tietoa ja materiaalia vaihdetaan. Ilmoituksessa on mainittava sopimuksen yhteydessä käsiteltävän tiedon ja materiaalin korkein turvallisuusluokka.

10 artikla. Turvallisuusluokitellun tiedon ja materiaalin välittäminen sopimuspuolten kesken. Artiklassa on yksityiskohtaiset määräykset niistä menettelyistä, joita on noudatettava siirrettäessä luokiteltuja tietoja. Tietojensiirtomenetelmät riippuvat siitä, mikä tiedon turvallisuusluokka on.

11 artikla. Turvallisuusluokitellun tiedon ja materiaalin suojaamista koskevien säännösten ja määräysten rikkominen. Artiklassa velvoitetaan ryhtymään toimenpiteisiin seurauksien rajoittamiseksi ja vastaavien tapausten estämiseksi sekä ilmoittamaan toiselle sopimuspuolelle, jos sopimuspuolten kesken välitetyn tai tällaisen tiedon perusteella tuotetun turvallisuusluokitellun tiedon ja materiaalin suojaa on loukattu artiklassa kuvatuin tavoin.

Riippumatta siitä, mistä rikkomus on johtunut, sopimuspuolet tiedottaisivat toisilleen viipymättä tapahtuneesta ja ne voisivat pyynnöstä avustaa toisiaan.

Artiklan tarkoittamien velvoitteiden täytäntöön panemiseksi tarpeelliset säännökset sisältyvät kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 19 §:ään.

12 artikla. Kustannukset. Artiklan 1 kappaleen mukaan sopimuksen soveltamisesta ei aiheutuisi erityisiä kustannuksia.

Artiklan 2 kappaleen mukaan kumpikin sopimuspuoli vastaa itse omien talousarviota koskevien säännöstensä rajoissa kaikista mahdollisista tämän sopimuksen soveltamisesta aiheutuneista kustannuksistaan.

13 artikla. Riitojen ratkaisu. Artiklan mukaan kaikki sopimuksen tulkintaan tai soveltamiseen liittyvät sopimuspuolten väliset riidat ratkaistaisiin yksinomaan sopimuspuolten välisissä neuvotteluissa.

14 artikla. Loppumääräykset. Artiklassa on sopimuksen voimaantuloa, muuttamista, irtisanomista ja tallettamista koskevat määräykset.

Sopimus korvaisi ja kumoaisi Suomen tasavallan hallituksen ja Ranskan tasavallan hallituksen välillä Helsingissä 18 päivänä heinäkuuta 1990 tehdyn aseistukseen liittyvän turvallisuusluokitellun tiedon vaihtoa koskevan turvallisuussopimuksen. Kaikki edellä mainitun turvallisuussopimuksen mukaisesti ennen tämän sopimuksen voimaantuloa välitetty turvallisuusluokiteltu tieto ja materiaali suojattaisiin uuden sopimuksen määräysten mukaisesti.

2. Lakiehdotuksen perustelut

Suomen perustuslain 95 §:ssä edellytetään, että kansainvälisen velvoitteen lainsäädännön alaan kuuluvat määräykset saatetaan valtionsisäisesti voimaan erityisellä voimaansaattamislailla. Tällaiset määräykset tulee saattaa voimaan lailla myös silloin, kun velvoitteen johdosta ei ole tarpeen tarkistaa kansallisen lainsäädännön aineellista sisältöä. Koska Suomen ja Ranskan välisen turvallisuussopimuksen velvoitteiden toteuttamiseksi ei aineellista lainsäädäntöä ole tarpeen muuttaa, esitys sisältää vain ehdotuksen blankettilaiksi.

1 §. Lakiehdotuksen 1 §:n säännöksellä saatettaisiin voimaan sopimuksen lainsäädännön alaan kuuluvat määräykset. Lainsäädännön alaan kuuluvia määräyksiä selostetaan jäljempänä eduskunnan suostumuksen tarpeellisuutta koskevassa jaksossa.

2 §. Lain voimaantulosta säädettäisiin tasavallan presidentin asetuksella. Laki on tarkoitus saattaa voimaan samanaikaisesti kuin sopimus tulee Suomen osalta voimaan.

3. Voimaantulo

Suomen ja Ranskan välisen sopimuksen 14 artiklan 2 kappaleen mukaan kumpikin sopimuspuoli ilmoittaa toiselle sopimuspuolelle siitä, että sopimuksen voimaansaattamiseksi tarpeelliset perustuslaissa vaaditut toimenpiteet on saatettu päätökseen. Sopimus tulee voimaan toiseksi seuraavan kuukauden ensimmäisenä päivänä jälkimmäisen ilmoituksen vastaanottamisesta.

Sopimuksen voimaansaattamislaki on tarkoitettu tulemaan voimaan tasavallan presidentin asetuksella säädettävänä ajankohtana samaan aikaan kuin sopimus tulee Suomen osalta voimaan.

4. Eduskunnan suostumuksen tarpeellisuus sekä käsittelyjärjestys
4.1. Eduskunnan suostumuksen tarpeellisuus

Perustuslain 94 §:n 1 momentin mukaan eduskunta hyväksyy sellaiset valtiosopimukset ja muut kansainväliset velvoitteet, jotka sisältävät lainsäädännön alaan kuuluvia määräyksiä. Perustuslakivaliokunnan tulkintakäytännön mukaan määräys on luettava lainsäädännön alaan kuuluvaksi, jos se koskee jonkin perustuslaissa turvatun perusoikeuden käyttämistä tai rajoittamista, jos määräys muutoin koskee yksilön oikeuksien ja velvollisuuksien perusteita, jos määräyksen tarkoittamasta asiasta on perustuslain mukaan säädettävä lailla tai jos määräyksessä tarkoitetusta asiasta on jo voimassa lain säännöksiä taikka siitä on Suomessa vallitsevan käsityksen mukaan säädettävä lailla. Perustuslakivaliokunnan mukaan kansainvälisen velvoitteen määräys kuuluu näiden perusteiden mukaan lainsäädännön alaan siitä riippumatta, onko määräys ristiriidassa vai sopusoinnussa Suomessa lailla annetun säännöksen kanssa (ks. esim. PeVL 11/2000 vp ja PeVL 12/2000 vp).

Edellä mainituilla perusteilla esitykseen sisältyvässä sopimuksessa on lukuisia eduskunnan hyväksymistä edellyttäviä sopimusmääräyksiä. Sopimuksen 1 artiklassa määritellään, mitä tarkoitetaan turvallisuusluokitellulla tiedolla ja turvallisuusluokitelluilla sopimuksilla. Sopimuksen 2 artiklassa määritellään puolestaan sopimuksen soveltamisala. Koska nämä sopimusmääräykset vaikuttavat joko suoraan tai välillisesti sopimuksen lainsäädännön alaan kuuluvien aineellisten määräysten tulkintaan ja soveltamiseen, ne edellyttävät eduskunnan hyväksymistä (PeVL 6/2001 vp).

Sopimuksen 3 artiklassa määritellään Suomen kansalliseksi turvallisuusviranomaiseksi ulkoasiainministeriö. Sopimusmääräys vastaa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 4 §:n 1 momenttia.

Sopimuksen 4 artiklan 1 ja 2 kappale koskevat sopimuksen soveltamisalan piiriin kuuluvan turvallisuusluokitellun tiedon ja materiaalin suojaamiseksi tarvittavista toimenpiteistä Vaadittavat toimenpiteet sisältävät tällaisen tiedon välittämiseen ja käyttämiseen sekä pääsyyn kohdistuvia rajoituksia. Perustuslain 12 §:n 2 momentin mukaan viranomaisten asiakirjan julkisuutta voidaan rajoittaa vain välttämättömistä syistä lailla. Sopimusmääräyksiä vastaavia velvoitteita koskevat säännökset sisältyvät kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 3 lukuun.

Sopimuksen 4 artiklan 6 kappaleessa asetetaan vastaanottavalle osapuolelle velvollisuus tehdä sille välitettyyn turvallisuusluokiteltuun tietoon ja materiaaliin vastaavaa kansallista turvallisuusluokkaa ilmaisevalla merkintä. Yleisesti sovellettavat säännökset salassapito- ja luokitusmerkinnästä on säädetty julkisuuslain 25 §:ssä. Suomea sitovan kansainväliseen tietoturvallisuussopimukseen täytäntöönpanoon liittyvän merkinnän tekemisestä on säännökset kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 8 §:ssä.

Sopimuksen 6 artiklan 1 kohdan mukaan vastaanottavan osapuolen on pääsäännön mukaan pidettävä turvallisuusluokiteltu tieto tai materiaali salassa. Artiklan 2 kohdassa puolestaan on ilmaistu turvallisuusluokiteltua tietoa koskeva käyttörajoitus. Sopimuksen 7 artiklassa on määräykset turvallisuusluokitellun tiedon tai materiaalin kääntämistä, kopiointia ja hävittämistä koskevista seikoista. Kaikista edellä mainittuja sopimusmääräyksiä koskevista velvoitteista on säännökset kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 3 luvussa.

Sopimuksen 8 artiklassa on määräykset vierailuista. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 18 §:ssä on vastaavat säännökset sopimusmääräyksen täytäntöönpanoon liittyvistä seikoista.

Sopimuksen 11 artiklassa edellytetään, että lähettävälle osapuolelle ilmoitetaan välittömästi, jos turvallisuusluokitellun tiedon tai materiaalin suojaa on rikottu taikka tällaiseen tietoon ja materiaaliin on kohdistunut muu artiklassa mainittu loukkaus. Vastaanottavan osapuolen on lisäksi tutkittava turvallisuusluokitellun tiedon ja materiaalin suojaamista koskevien säännösten rikkominen sekä ryhdyttävä toimenpiteisiin vastaavanlaisten rikkomusten ennalta ehkäisemiseksi. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 19 §:ssä säädetään kansallisen turvallisuusviranomaiselle kuuluvista velvoitteista sopimusmääräyksissä tarkoitetuissa tilanteissa.

4.2. Käsittelyjärjestys

Käsittelyjärjestyksen kannalta merkityksellisiä sopimusmääräyksiä sisältyy sopimuksen 6 artiklaan, joka asettaa rajoituksia turvallisuusluokitellun tiedon tai materiaalin julkisuudelle. Sopimusmääräys on merkityksellinen perustuslain 12 §:n 2 momentin suojaaman, julkisuusperiaatteelle rakentuvan tiedonsaantioikeuden kannalta. Tätä tiedonsaantioikeutta saa rajoittaa vain lailla ja vain välttämättömistä syistä. Tällaisena välttämättömänä syynä voidaan pitää sen turvaamista, että Suomi ja suomalaiset yritykset voivat osallistua sellaisiin kansainvälisiin sekä Suomen ja Ranskan kahdenkeskisiin toimintoihin ja hankkeisiin, joiden toteuttaminen edellyttää arkaluonteisen salassa pidettävien tietojen vaihtoa. Salassapitoa koskeva erityissäännös on otettu kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:ään.

Suomen ja Ranskan välillä turvallisuusluokitellun tiedon ja materiaalin vaihtamisesta ja molemminpuolisesta suojaamisesta tehtyyn sopimukseen ei voida katsoa sisältyvän sellaisia määräyksiä, jotka koskisivat perustuslakia sen 94 §:n 2 momentissa ja 95 §:n 2 momentissa tarkoitetulla tavalla. Hallituksen näkemyksen mukaan sopimus voitaisiin näin ollen hyväksyä äänten enemmistöllä ja ehdotus sen lainsäädännön alaan kuuluvien sopimusmääräysten voimaansaattamiseksi tavallisen lain säätämisjärjestyksessä.

Edellä olevan perusteella ja perustuslain 94 §:n mukaisesti esitetään,

että Eduskunta hyväksyisi Helsingissä 28 päivänä syyskuuta 2004 Suomen tasavallan ja Ranskan tasavallan välillä turvallisuusluokitellun tiedon vaihtamisesta ja vastavuoroisesta suojaamisesta tehdyn yleisen turvallisuussopimuksen.

Koska sopimus sisältää määräyksiä, jotka kuuluvat lainsäädännön alaan, annetaan samalla Eduskunnan hyväksyttäväksi seuraava lakiehdotus:

Lakiehdotus

Laki Ranskan kanssa turvallisuusluokitellun tiedon vaihtamisesta ja vastavuoroisesta suojaamisesta tehdyn yleisen turvallisuussopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Helsingissä 28 päivänä syyskuuta 2004 Suomen tasavallan ja Ranskan tasavallan välillä turvallisuusluokitellun tiedon vaihtamisesta ja vastavuoroisesta suojaamisesta tehdyn yleisen turvallisuussopimuksen lainsäädännön alaan kuuluvat määräykset ovat lakina voimassa sellaisina kuin Suomi on niihin sitoutunut.

2 §

Tämän lain voimaantulosta säädetään tasavallan presidentin asetuksella.


Helsingissä 21 päivänä joulukuuta

Tasavallan Presidentti
TARJA HALONEN

Oikeusministeri
Johannes Koskinen

Finlex ® är en offentlig och gratis internettjänst för rättsligt material som ägs av justitieministeriet.
Innehållet i Finlex produceras och upprätthålls av Edita Publishing Ab. Varken justitieministeriet eller Edita svarar för eventuella fel i innehållet i databaserna, för den omedelbara eller medelbara skada som orsakas av att felaktig information används eller för avbrott i användningen av eller andra störningar i Internet.