Tietomurto-niminen rikos on määritelty rikoslain 38 luvun 8 §:ssa. Siitä voidaan tuomita erilaisissa tilanteissa, jos mukana on ollut tietojärjestelmien luvatonta käyttöä. Mikäli samalla on syyllistytty toiseen vakavampaan tekoon, esimerkiksi salakatseluun, vahingontekoon tai viestintäsalaisuuden loukkaukseen.
Rikoslain 38:8 (laissa 578/1995):
8 § Tietomurto. Joka käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muuten murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa sähköisesti tai muulla vastaavalla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja, taikka sellaisen järjestelmän erikseen suojattuun osaan, on tuomittava tietomurrosta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.
Tietomurrosta tuomitaan myös se, joka tietojärjestelmään tai sen osaan tunkeutumatta teknisen erikoislaitteen avulla oikeudettomasti ottaa selon 1 momentissa tarkoitetussa tietojärjestelmässä olevasta tiedosta.
Yritys on rangaistava.
Tätä pykälää sovelletaan ainoastaan tekoon, josta ei ole muualla laissa säädetty ankarampaa tai yhtä ankaraa rangaistusta.
Tietomurron kriminalisoinnissa on tavoiteltu yleistä tietojärjestelmien koskemattomuutta turvaavaa säännöstä, joka tulisi sovellettavaksi jo pelkästään murtautumisesta; tosiasiallista vahinkoa ei siis edellytetä. Vahingon tekeminen tai muu toiminta (esim. sähköpostin lukeminen) voi johtaa muuhun syytteeseen: ks. 4 momentin toissijaisuuslause. Rikoksen tunnusmerkistö täyttyy heti, kun turvajärjestelyt on kokonaisuudessaan ohitettu: esimerkiksi monivaiheisesta salasanakyselystä on selvitettävä kaikki vaiheet.
Säännöstä tulkittaessa ei ole ratkaisevaa se, millainen järjestelmä tarkkaan ottaen on (kunhan se on sähköinen!) eikä se, minkä vuoksi siihen murtaudutaan. Myös urheilumielessä tehty murtautuminen on tietomurtona rangaistavaa.
Teon tunnusmerkistön katsotaan täyttyvän, kun järjestelmään tunkeudutaan murtamalla jokin käytössä oleva turvajärjestely. Tällaisesta mainitaan nimenomaisestikin esimerkkinä käyttäjätunnukseen pohjautuva suojaus. Tunnusmerkistö soveltuu myös, jos sinänsä oikeutettu käyttäjä murtautuu sellaiseen järjestelmän osaan, johon hänellä ei normaalisti ole käyttöoikeutta. Turvajärjestelyn ohittamisen on oltava tahallista: tunkeutujan on tiedettävä yrittävänsä järjestelmään, johon hänellä ei tulisi olla pääsyä.
Sfnet.keskustelu.laki-ryhmässä käytiin tammikuussa 2001 läpi tietomurron määritelmää sellaisessa tilanteessa, että tunnistetiedot oli annettu julkisesti, mutta niiden käyttö oli rajattu erityisellä tahdonilmaisulla tunnussivulla. Keskustelun lopputuloksesta voi olla montaa mieltä. Sen voi joka tapauksessa käydä lukemassa tästä.
Turvajärjestelyn ohittamisen täytyy liittyä nimenomaisesti rikoksentekijän tekoon. Esimerkiksi satunnainen turvatarkastuksen epäkunto ja siitä johtuva sisäänpääsy ei johda syytteeseen. Sen sijaan esimerkiksi toisen käyttäjätunnuksen selvittäminen ja sen käyttäminen on kyllä tietomurto, kuten myös tunnusten arvailu (edellyttäen, että murtautuminen on ollut tahallisena tarkoituksena). Mikäli tunnuksen oikea omistaja on antanut tunnuksen tekijän käyttöön, ei kyseessä ole tietomurto, vaan asiaa käsitellään "samoin kuin toisen nimen kirjoittamista asiakirjaan tämän luvalla".
Säännöksen 2. momentti kriminalisoi tiedon hankkimisen ilman murtautumista. Hallituksen esityksessä käytetään "teknisenä erikoislaitteen" esimerkkinä "laitetta, joka tietojärjestelmästä lähtevän säteilyn perusteella pystyy selvittämään järjestelmässä käsiteltävän tiedon sisällön". Käytännössä useammin esiintyviä laitteita lienevät esimerkiksi verkon liikennettä valvovat järjestelmät, joilla on mahdollista napata salasanoja ym. talteen.
3. momentin mukaan myös tietomurron yritys on rangaistavaa. Tämä kattaa mm. sellaiset tilanteet, joissa tekijä pyrkii selvittämään itse tietomurron tekemiseen tarvittavat käyttäjätunnukset. Edelleen tosin vaaditaan teon tahallisuutta, mutta toisaalta ei varsinaista hyötymistarkoitusta: pelkkä urheilumielikin riittää. On huomattava, että pykälän esityöt tarjoavat tälle melko laajaa käyttöalaa: "Tietomurron yrityksen rangaistavuus on tarkoitettu helpottamaan puuttumista juuri tietojärjestelmien luotettavuuden ja turvallisuuden kannalta huolestuttavaan käyttäjätunnusten tai muiden turvajärjestelyjen järjestelmälliseen selvittämiseen."
Jouni Heikniemi
7.6.2001
Tämä dokumentti kuuluu sivujeni osioon
Oikeudellista asiaa / Rikoslaki.