- COMP.SEC.100
- 4. Laki ja säädökset
- 4.1 Johdanto lain periaatteisiin
Johdanto lain periaatteisiin¶
Lain periaatteisiin tutustuminen on luontevaa aloittaa säädöksistä, sillä jo lapsena opitaan, että laki kieltää tekemästä joitain asioita. Sittemmin opitaan, että laki voi myös vaatia tekemään jotain. Oheinen käsitekartta muistuttaa, millaisista tietoon liittyvistä asioista sääntelyä esiintyy. Tässä pääluvussa tulee esille runsaasti muitakin näkökulmia ja viimeistään yhteenveto muistuttaa, mitä muuta kuin säädökset—eli lait, asetukset yms.—sinänsä pitää ymmärtää. Rikoslakia ja Tietosuojalakia esittelevät alaluvut liittyvät eniten Suomen lainsäädäntöön. Ne eivät sisällä sellaista yleisen tason pohdintaa, jota muissa alaluvuissa, ja myös jäljempänä tässä alaluvussa, on esitetty tiivistäen CyBOK-lähteen pohjalta. Kannattaa huomata, että joitakin osia CyBOKin luvusta 3 on jätetty tässä kokonaan pois. Tällaisia ovat rangaistukset ja niiden toimeenpano, sekä enimmät tiedusteluun liittyvät näkökulmat.
Lain luonne ja oikeudellinen käyttö¶
Vaikka lain tutkiminen vaatii logiikkaa, kyseessä on toisenlainen tieteenala kuin fysiikka tai matematiikka. Laki ei edusta maailman muuttumattomia periaatteita vaan sen pohjalla ovat sosiaaliset ja poliittiset arvot, inhimilliset pyrkimykset ja heikkoudet.
Yhteiskunta vaikuttaa lain kehitykseen ja tulkintaan samoin kuin laki vaikuttaa yhteiskunnan jäsenten käyttäytymiseen. Yhteiskunnat kehittyvät ja arvot muuttuvat. Seurauksena on yleensä muutoksia lakeihin ja niiden tulkintamenetelmiin. Oikeustieteelle on haastavaa, että tutkittava aihe muuttuu jatkuvasti. Tilanne on samantapainen kuin kyberturvallisuuden tutkimuksessa. Kummallakin alalla tavoitellaan kuitenkin sitä luonnontieteille kuuluvaa ominaisuutta, että kyettäisiin ennustamaan tuloksia. Oikeustieteessä ennustaminen koskee asiantuntevalle tuomioistuimelle esitettyjen riitojen lopputuloksia. Kehittyneissä oikeusjärjestelmissä on mahdollista saavuttaa ennustettavuusaste, joka riittää säilyttämään luottamuksen järjestelmän kokonaisuuteen.
Oikeudellinen tutkimus alkaa usein katsauksella siihen, millaisilla prosesseilla laki on säädetty, miten sitä tulkitaan ja miten pannaan täytäntöön. Jo näissä on eroja valtioiden välillä. Yksi tärkeimmistä on ero tapa- ja säädösoikeuden välillä. Säädösoikeudellisessa järjestelmässä (civil law system) kaikki tuomiot annetaan kirjoitetun lainsäädännön pohjalta. Tapaoikeudessa (common law) tuomioita jaetaan myös käytännön tuottamien ennakkopäätösten ja kirjoittamattoman lain pohjalta.
Jos joudut perehtymään lakiasioihin syvällisemmin kuin tällä kurssilla tehdään, voi olla tarpeen ymmärtää suhteita eritasoisten säädösten välillä. Pohjalla on usein perustuslaki (constitution) ja sen päällä muut lait (primary legislation), asetukset (secondary l.), EU-direktiivit, ennakkopäätökset, koodistot (säädöskokoelmat), valtiosopimukset, lakeja koskevat tutkielmat. Tällaisten lisäksi kyberturvallisuuden toteuttaja joutuu ottamaan luonnollisesti oman alansa eritasoiset vaikutteet: standardit, tietoturvapolitiikat, parhaat käytännöt, suositukset—ja ehkäpä jo perustana eettiset ohjeistot.
Lain soveltaminen kyberturvallisuudessa¶
Kyberavaruuden kehittyminen aiheutti suurta huolta lakien ja muun sääntelyn soveltamisesta tälle uudelle alalle. Syntyi kaksi ajatusmallia. Ensimmäisen mukaan kyberavaruus eroaa niin radikaalisti kaikesta aiemmin koetusta, että vanhat lait eivät sovellu vaan lainsäätäjien ja tuomareiden pitäisi tarkastella kaikkea uudelleen ja erityisesti luopua ennakkotapausten kokoelmista. Radikaaleimpien ajatusten mukaan valtioilta pitäisi ottaa pois valta panna täytäntöön lakeja ja määräyksiä Internetiin liittyvien toimien yhteydessä [80].
Toinen ajatusmalli pitää Internetiä vain inhimillisen toiminnan välineenä, kuten muitakin ihmiskunnan historian aikana kehitettyjä työkaluja. Lakeja pitäisi soveltaa jatkossakin kyberavaruudessa toimiviin henkilöihin useimmissa suhteissa aivan kuten niitä sovellettiin ennen sen olemassaoloa. Pitäisi välttää “kyberavaruusharhaa” eli uskoa, että kyberavaruus olisi jollakin tapaa todellisesta avaruudesta erillinen ja erilainen lainkäyttöalue.
Toistaiseksi jälkimmäinen malli on ollut vallitseva. Sen takia kyberturva-alankin pitää elää todellisuudessa, jossa lainsäätäjät, tuomarit ja poliisi soveltavat kyberavaruuteen olemassa olevia lakeja riippumatta siitä onko niissä otettu kyberavaruutta huomioon vai ei. Kummassakin tapauksessa tosielämän ja kyberoperaatiot eivät aina mahdu siististi yhteen kategoriaan. Esimerkiksi tietojenkäsittelytoimi, joka ei loukkaa tekijänoikeutta eikä kunniaa, voi loukata tietosuojaa. Kaikkien toimien oikeudellisia riskejä pitää arvioida laajasti eri säädösten pohjalta. Valtion rajat ylittävä toiminta tuo vielä lisähaasteen (ks. tästä lisää).
Yksi tärkeä uudenlainen laillisuuskysymys, joka voi liittyä kyberturvallisuuteen, on suhtautuminen tekoälyyn. Lait on yleensä laadittu suhteessa ihmisten käyttäytymiseen ja omaisuuden käsittelyyn. Tekoälyä ei laissa tulkita henkilöksi, eikä se voi olla syyllinen rikokseen, tehdä sopimusta, omistaa mitään, tai olla velvollinen vahingonkorvauksiin. Jos tekoälyn hallitsema olio aiheuttaa vahinkoa, olemassa olevia lakeja sovelletaan tekoälyn luoneisiin tai sitä käyttäneisiin ihmisiin.
Todistaminen¶
Oikeudenkäytössä todistaminen on tarkoitukseen hyväksytyn aineiston, todisteiden, käyttöä osoittamaan kiistanalaisten väitteiden pätevyys riittävällä varmuudella. Todisteet voivat olla hyvin monenlaisia, esimerkiksi suorat todistajanlausunnot, liikeasiakirjat, kirjeenvaihto, valvontatallenteet, kaapattujen puhelinkeskustelujen tallenteet, palvelimen lokit jne. Kaikki ei käy kaikkialla, esim. Britanniassa puhelinkeskustelut eivät ole hyväksyttyjä todisteita. Digitaalisten todisteiden hyväksyttävyyteen vaikuttaa niiden laatu, johon puolestaan vaikuttaa erityisesti niiden käsittelyhistoria, vrt. forensiikkaa käsittelevä luku.
Oikeudenkäynnin aloittavalla henkilöllä, eli kanteen nostajalla, kantajalla, sanotaan olevan todistustaakka niiden seikkojen osalta, jotka määrittelevät hänen kanneoikeutensa. Toisen osapuolen, vastaajan, pitää myös todistaa seikat, joita hän esittää puolustukseksi eli vähentämään tai poistamaan hänen vastuutaan.