Susanna Mäkelä
Teknologioiden kuten pilvipalveluiden geopoliittisesta ulottuvuudesta keskustellaan Suomessa ja Euroopassa tällä hetkellä poikkeuksellisen voimakkaasti. Keskustelu on tärkeää. Samalla se yksinkertaistuu usein tavalla, joka ei vastaa oikeudellista todellisuutta.
Yllättävän usein kuulee väitteen: ”Jos Yhdysvaltain presidentti haluaa tiedot, hän vain pyytää ne.”
Tämä ei vastaa oikeudellista rakennetta, jonka varassa kansainvälinen dataliikenne toimii.
Pilvipalveluyritykset ovat samanaikaisesti sidottuja useisiin oikeusjärjestelmiin: Yhdysvaltain rikosprosessilainsäädäntöön, EU:n GDPR:ään, kansallisiin lakeihin, sopimusvelvoitteisiin sekä johdon huolellisuus- ja vastuuperiaatteisiin.
CLOUD Act — mitä se on ja mitä se ei ole?
Clarifying Lawful Overseas Use of Data Act eli CLOUD Act tuli voimaan maaliskuussa 2018.
Nimestään huolimatta sääntely ei koske ainoastaan pilvipalveluja. Se soveltuu sähköisen viestinnän ja etälaskenta- tai tallennuspalvelujen tarjoajiin. Käytännössä tämä tarkoittaa esimerkiksi:
- sosiaalisen median alustoja
- mobiilioperaattoreita
- sähköpostipalvelujen tarjoajia
- pilvipalveluyrityksiä
CLOUD Act on rikosprosessuaalinen toimivaltasäännös. Se ei ole tiedustelulaki eikä massavalvontamekanismi. Sen tarkoituksena on mahdollistaa vakavan rikollisuuden tutkinta tilanteissa, joissa data sijaitsee eri valtiossa kuin tutkiva viranomainen.
CLOUD Act ei syntynyt tyhjiössä, vaan rakentuu Yhdysvaltain Stored Communications Actin (SCA) periaatteille. Tietopyyntöjen käsittelyä ohjaavat määritellyt oikeudelliset prosessit. Esimerkiksi:
- Warrant (kotietsintämääräys) edellyttää, että viranomainen osoittaa todennäköisen syyn (probable cause). Lisäksi määräyksen on yksilöitävä tarkasti etsittävä kohde ja aineisto – se ei voi olla yleisluonteinen.
- Jos viranomainen hakee yksilöityä tietoa, joka on ollut palveluntarjoajan hallussa yli 180 päivää, voidaan käyttää subpoenaa tai tuomioistuimen määräystä SCA:n mukaisesti.
CLOUD Act täydensi tätä kehikkoa selventämällä, että tuomioistuimen määräys voi kohdistua dataan, joka on palveluntarjoajan ”in possession, custody or control” -piirissä – riippumatta datan fyysisestä sijainnista. Toisin sanoen ratkaisevaa ei ole, missä palvelin sijaitsee, vaan onko palveluntarjoajalla oikeudellinen ja tosiasiallinen määräysvalta dataan.
CLOUD Actiin sisältyy niin sanottu comity-analyysi. Jos tuomioistuimen määräys aiheuttaisi todellisen ristiriidan toisen valtion pakottavan lainsäädännön kanssa, tuomioistuimen on punnittava eri valtioiden intressejä. Tämä ei ole muodollisuus, vaan osa oikeudellista harkintaa.
Palveluntarjoaja voi tietyissä tilanteissa haastaa tietopyynnön tuomioistuimessa. Tämä on mahdollista erityisesti silloin, kun:
- pyynnön kohde ei ole yhdysvaltalainen henkilö (US person)
- kohde ei sijaitse Yhdysvalloissa
- pyynnön täytäntöönpano voisi aiheuttaa olennaisen riskin toisen valtion lain rikkomisesta.
- kyseisellä valtiolla on Yhdysvaltojen kanssa voimassa oleva asiaankuuluva sopimus.
Kyse ei siis ole automaattisesta luovutusmekanismista.
Kyse on oikeudellisesta punnintaprosessista.
”Kill switch” — tekninen todellisuus vastaan poliittinen metafora
Yksi heitetyistä väitteistä on erityisen dramaattinen: ”Yhdysvaltalainen yritys voi halutessaan painaa nappia ja sammuttaa eurooppalaisen digitaalisen infrastruktuurin.” Väitteen retorinen voima on ilmeinen. Sen tekninen ja oikeudellinen perusta on huomattavasti heikompi. Puretaanpa rakenne.
Mitä ”kill switch” vaatisi käytännössä?
Ajatus siitä, että yksittäinen pilvipalveluntarjoaja voisi yksipuolisesti ”sammuttaa valot Euroopassa”, edellyttäisi useiden poikkeuksellisten oletusten toteutumista samanaikaisesti.
Ensinnäkin palveluntarjoajalla tulisi olla tekninen ja organisatorinen kyky katkaista laajamittaisesti EU-alueen palvelut keskitetysti – ohittaen hajautetut arkkitehtuurit, asiakkaiden omat hallintamallit ja mahdolliset avaintenhallintaratkaisut.
Toiseksi toimenpiteen tulisi tapahtua ilman oikeudellista perustetta ja vastoin voimassa olevia sopimuksia, SLA-sitoumuksia sekä velvoitteita asiakkaille, joihin kuuluu julkishallintoja, rahoituslaitoksia ja kriittisen infrastruktuurin toimijoita.
Kolmanneksi yhtiön johdon tulisi tehdä päätös tietoisena siitä, että se merkitsisi pysyvää markkina-aseman menetystä Euroopassa sekä laajaa sopimus- ja vahingonkorvausvastuuta useissa oikeusjärjestelmissä.
Neljänneksi olisi oletettava, että EU ja sen jäsenvaltiot eivät reagoisi tilanteeseen oikeudellisesti tai poliittisesti.
Jokainen näistä oletuksista on jo yksinään epätodennäköinen. Yhdessä ne muodostavat skenaarion, joka ei vastaa sitä, miten hajautetut pilviarkkitehtuurit, monikansalliset yhtiöt tai oikeusvaltiot käytännössä toimivat.
Kaupalliset kannustimet ovat rakenteellinen suoja
Kaupalliset riippuvuudet toimivat molempiin suuntiin. Suurimmat yhdysvaltalaiset pilvipalveluntarjoajat ovat syvästi riippuvaisia eurooppalaisesta markkinasta. Palvelun yksipuolinen katkaiseminen ei ole ”napin painaminen” — se olisi yhtiön omistaja-arvon, markkinaposition ja asiakaspohjan tahallinen tuhoaminen.
Tämä ei tarkoita, että kaupallinen intressi on ainoa suoja. Mutta se on rakenteellinen tosiasia, joka kuuluu riskianalyysiin.
Viranomaisten tietopyynnöt käytännössä – mitä läpinäkyvyysraportit osoittavat?
Tunne on yksi asia. Empiirinen data toinen. Siksi on hyödyllistä tarkastella, mitä yhtiöiden läpinäkyvyysraportit todella kertovat viranomaisten tietopyynnöistä.
Vuoden 2025 ensimmäisen puoliskon mukaan Microsoft vastaanotti globaalisti noin 28 600 rikosoikeudellista viranomaispyyntöä, joista noin 38 % tuli EU-maista. Amazon-konserni raportoi vastaavana ajanjaksona noin 23 000 pyyntöä, ja AWS:ään kohdistui noin 1 600 pyyntöä. Olennaisempi kysymys ei kuitenkaan ole pyyntöjen määrä – vaan niiden lopputulos.
Microsoftin tapauksessa alle 5 % pyynnöistä johti sisältödatan luovutukseen. AWS:n osalta vastaava luku oli alle 1 %. Merkittävä osa pyynnöistä johti ainoastaan ei-sisältötietojen (esimerkiksi tilaaja- tai lokitietojen) luovutukseen, ja huomattava osa hylättiin oikeudellisten puutteiden vuoksi. Ei-sisältötieto tarkoittaa viestintään tai palvelun käyttöön liittyviä teknisiä ja tilaajatietoja – ei itse viestin tai tallennetun aineiston sisältöä.
Kokonaisuutena kahden globaalin toimijan raporteissa puhutaan yli 50 000 tietopyynnöstä kuuden kuukauden aikana. Samalla sisältötiedon luovutusprosentit ovat matalia, ja eurooppalaiset viranomaiset ovat itse aktiivisia pyytäjiä.
On myös olennaista erottaa kuluttaja- ja yritysasiakkaisiin kohdistuvat pyynnöt. Enterprise-tason asiakkaisiin – eli organisaatioihin, joilla on sopimusperusteinen ja hallinnollisesti eriytetty palvelusuhde – kohdistuvien tietopyyntöjen luovutukset ovat raporttien mukaan olleet historiallisesti erittäin harvinaisia. Useina vuosina niitä on ollut yksittäisiä tapauksia tai ei lainkaan.
Tämä suhteuttaa kokonaislukua: suurin osa pyynnöistä ja mahdollisista luovutuksista koskee ei-sisältötietoa sekä kuluttajatilejä, ei laajoja yritysympäristöjä. Tämä ei ole yllättävää: myös rikolliset käyttävät samoja teknologioita kuin tavalliset käyttäjät, ja viranomaiset kohdistavat tutkintaa näihin kanaviin. Tämä ei tarkoita, että yritystili olisi immuuni, eritoten jos sitä käytetään rikokseen.
Kyse ei ole massaluovutuksista.
Kyse on rikostutkinnasta ja oikeudellisesta prosessista.
Kontrolli ei määräydy passin perusteella
CLOUD Actin soveltaminen ei perustu yrityksen kansallisuuteen, vaan siihen, kuuluuko data palveluntarjoajan ”in possession, custody or control” -piiriin. Kontrolli ei tarkoita fyysistä sijaintia. Se tarkoittaa oikeudellista ja tosiasiallista kykyä saada data haltuun.
Arvioinnissa keskeisiä kysymyksiä ovat esimerkiksi:
- Onko palveluntarjoajalla tekninen pääsy dataan?
- Voiko se oikeudellisesti velvoittaa organisaationsa osia luovuttamaan datan?
- Onko sillä sopimusperusteinen tai konsernirakenteeseen perustuva määräysvalta?
Jos eurooppalainen pilvi- tai sähköpostipalvelua tarjoava yritys toimii Yhdysvaltojen markkinalla ja sillä on riittävä oikeudellinen tai operatiivinen kytkös Yhdysvaltoihin, tarkastelu ei enää rajaudu yhtiön kansallisuuteen. Keskeiseksi nousee se, ulottuuko Yhdysvaltain tuomioistuimen toimivalta kyseiseen toimijaan ja sen hallitsemaan dataan.
Keskustelussa esiintyy usein yksinkertaistus:
EU-yhtiö = turvallinen
US-yhtiö = riski
Oikeudellinen todellisuus ei ole näin binäärinen. Toimivalta ja kontrolli määräytyvät rakenteiden, kytkösten ja tosiasiallisen pääsyn perusteella – eivät yhtiön kotipaikan perusteella. Huomaa tässä yhteydessä myös aikaisemmin mainittu comity-analyysi.
MLAT, CLOUD Act ja kahdenvälisten sopimusten logiikka
Tällä hetkellä rajat ylittävät tietopyynnöt ohjautuvat MLAT-prosessin kautta — Mutual Legal Assistance Treaties, eli keskinäistä oikeusapua koskevat sopimukset. Se on myös GDPR:n näkökulmasta sisäänrakennettu laillinen tiedonsiirtoväylä kolmansiin maihin: kun tietopyyntö kulkee virallisen oikeusapukanavan kautta, se nauttii kansainvälisen oikeuden tunnustamaa legitimiteettiä.
MLAT:n tunnettuna heikkoutena on sen hitaus. CLOUD Act syntyi modernisoimaan tätä rakennetta — ei korvaamaan sitä kokonaan, vaan luomaan rinnakkainen, nopeampi mekanismi, joka silti edellyttää oikeudellista prosessia.
CLOUD Act mahdollistaa myös kahdenvälisten toimeenpanosopimusten solmimisen. Nämä sopimukset voivat sisältää merkittäviä reunaehtoja — esimerkiksi sen, että julkishallinnon data on kategorisesti tietopyyntöjen ulkopuolella, tai että tietyt tietotyypit edellyttävät aina kahden viranomaisen hyväksyntää.
UK–USA-sopimus: esimerkki reunaehdoista — ja niiden rajoista
Yhdistyneen kuningaskunnan ja Yhdysvaltojen välinen CLOUD Act -puitesopimus tuli voimaan vuonna 2022. Se mahdollistaa sen, että sopimusvaltioiden viranomaiset voivat tietyin edellytyksin kohdistaa tietopyyntöjä suoraan toisen valtion lainkäyttöpiirissä toimiviin palveluntarjoajiin ilman perinteistä MLAT-menettelyä.
Sopimusta on pidetty malliesimerkkinä modernista kahdenvälisestä järjestelystä, joka nopeuttaa rikostutkintaa ja selkeyttää toimivaltaa. Vuonna 2025 julkisuuteen nousi kuitenkin tapaus, jossa Yhdistyneen kuningaskunnan sisäministeriön kerrottiin esittäneen Applelle vaatimuksen liittyen päästä päähän -salattuun iCloud-dataan. Tapaus ei ollut yksinkertainen CLOUD Act -soveltamistilanne, vaan liittyi myös Yhdistyneen kuningaskunnan omaan tiedustelu- ja valvontalainsäädäntöön.
Tapaus osoittaa kuitenkin olennaisen periaatteen: kahdenvälinen sopimus on oikeudellinen kehys. Sen sisällä esitettävät vaatimukset voivat koskea globaaleja palveluita, joiden käyttäjäkunta ei rajoitu yhteen valtioon.
Missä EU on tässä yhtälössä?
Euroopan unionilla ei toistaiseksi ole vastaavaa kahdenvälistä sopimusta Yhdysvaltojen kanssa.
Aiemman komission toimikaudella asiasta on käyty keskustelua ja toiveita sen edistämiseksi on tehty. Samanaikaisesti EU:n oma e-evidence -sääntely eteni hitaasti.
Tämän seurauksena EU:n ja Yhdysvaltojen välinen moderni oikeudellinen kehys rajat ylittäville tietopyynnöille on edelleen osittain rakentumatta.
Käytännössä vaihtoehtona on:
- perinteinen MLAT-menettely, joka on institutionaalisesti vakiintunut mutta usein hidas
- tai yksittäisiin palveluntarjoajiin kohdistuvat määräykset, joiden oikeudellinen arviointi perustuu kansalliseen lainsäädäntöön ja control-kriteereihin
Tilanne ei ole oikeudellisesti kaoottinen, mutta se ei myöskään ole poliittisesti selkeä. Keskustelun ei tulisi keskittyä siihen, onko CLOUD Act uhka vai ei. Keskeinen kysymys on:
Millä ehdoilla EU olisi valmis neuvottelemaan kahdenvälisen sopimuksen Yhdysvaltojen kanssa — ja millaiset tietosuoja-, oikeussuoja- ja toimivaltarajat siihen tulisi sisällyttää?
Yhdistyneen kuningaskunnan tapaus osoittaa, että sopimus on vasta kehys. Sen sisällä tehtävät ratkaisut määrittävät, kuinka laajasti ja millä edellytyksillä dataan voidaan puuttua.
Tämä ei ole akateeminen kysymys.
Se on käytännön tietosuoja- ja turvallisuuspolitiikkaa.
Mitä tämä tarkoittaa käytännössä — toimintakehys oikeudelliseen arviointiin
Teknologiavalinnat ovat juridisia ja strategisia päätöksiä, jotka ansaitsevat faktapohjaisen — ei retorisen — arvioinnin. Alla on konkreettinen toimintalista oikeudellisen ja rakenteellisen arvioinnin pohjaksi.
1. Selvitä palveluntarjoajan todellinen oikeudellinen rakenne
- Missä yhtiö on rekisteröity, missä sillä on tytäryhtiöitä ja toimintaa, minkä (ja kuinka monen) lain alainen sen liiketoiminta on?
2. Arvioi kontrollirakenne — ei kansallisuutta
- Onko palveluntarjoajalla tekninen pääsy asiakkaan dataan vai onko data asiakkaan itsensä hallitseman salauksen / avaimien takana?
3. Tarkista sopimukselliset suojamekanismit
- Velvoittaako sopimus palveluntarjoajan ilmoittamaan viranomaispyynnöistä siltä osin kuin se on laillisesti mahdollista?
- Onko palveluntarjoaja lupautunut haastamaan näitä pyyntöjä?
4. Suhteuta viranomaispyynnön riski muihin riskeihin
- Mikä on tilastollinen todennäköisyys, että juuri teidän dataanne koskisi viranomaispyyntö? Muista, Cloud Act keskittyy rikosten tutkintaan. FISA tiedusteluun.
- Kuinka tämä riski suhteutuu palvelukatkon tai kyberturvallisuusuhan riskiin?
- Onko riskiarvio perustunut empiiriseen dataan vai mediakeskusteluun?
- Onko palveluntarjoajalla riittävät resurssit ja kyvykkyydet tutkia ja mahdollisesti haastaa viranomaisten tietopyynnöt – pyydä kuvaus prosessista ja vaadi vastausta kuka yhtiössä tekee asiassa viimekädessä päätöksen.
Pidetään pää kylmänä.