MAO:282/16

HAKEMUS

Vaatimukset

Deltagon Group Oy on vaatinut, että markkinaoikeus

1. kieltää Suomen Turvaposti Oy:tä 100.000 euron sakon uhalla käyttämästä yhtiön Turvaposti-palvelun markkinoinnissa totuudenvastaisia tai harhaanjohtavia ilmaisuja, joiden mukaan

a) Turvaposti-palvelu on patentoitu;
b) Turvaposti-palvelussa viesti kulkee salattua (TLS) yhteyttä pitkin suoraan työasemasta turvapostipalvelimelle;
c) Turvaposti-palvelussa hyödynnetään samaa 256-bittistä TLS/SSL-salausta kuin pankkien internetpalveluissa;
d) Turvaposti-palvelu on sähköpostiliikenteen salauspalvelu tai, että palvelussa viesti siirtyy vastaanottajalle salattuna tai, että palvelulla viestejä voi lähettää ja vastaanottaa omasta sähköpostista salattuna ja että
e) Deltagon Sec@GW -tuote on suojaamatonta sähköpostia turvattomampi,

2. velvoittaa Suomen Turvaposti Oy:n 100.000 euron sakon uhalla oikaisemaan 14 vuorokauden kuluessa tuomion antamisesta Kauppalehdessä tai muussa vastaavan kohderyhmän tavoittavassa sanoma- tai aikakauslehdessä, julkaistavalla ilmoituksella sekä asiakkailleen suoraan lähetettävillä kirjeillä Turvaposti-palvelunsa markkinoinnissa esittämiensä tietojen virheellisyyden ja

3. velvoittaa Suomen Turvaposti Oy:n omalla kustannuksellaan julkaisemaan markkinaoikeuden päätöksen Kauppalehdessä tai muussa vastaavan kohderyhmän tavoittavassa sanoma- tai aikakausilehdessä.

Lisäksi Deltagon Group Oy on vaatinut, että markkinaoikeus velvoittaa Suomen Turvaposti Oy:n korvaamaan Deltagon Group Oy:n oikeudenkäyntikulut 20.074,59 eurolla viivästyskorkoineen.

Perusteet

Deltagon Group Oy (jäljempänä myös Deltagon) kehittää sähköisen viestinnän ja asioinnin tietoturvaratkaisuja muun muassa finanssialalla ja julkishallinnossa toimivien yritysten ja yhteisöjen käyttöön. Deltagonin tuotteita ei markkinoida lainkaan kuluttajille. Deltagon markkinoi asiakkailleen muun ohella Deltagon Sec@GW -tuotetta, jota käytetään sähköpostiliikenteen suojaamiseen.

Suomen Turvaposti Oy (jäljempänä myös Suomen Turvaposti) tarjoaa asiakkailleen yksinomaan Turvaposti-nimistä sähköpostin salauspalvelua. Suomen Turvaposti kilpailee Turvaposti-palvelullaan Deltagon Sec@GW -tuotteen kanssa samoista asiakasryhmistä ja markkina-asemasta.

Vaatimuskohdat 1a-d

Suomen Turvapostin internetsivuilla on esitetty, että Turvaposti-palvelu olisi patentoitu. Turvapostille myönnetty patentti ei kuitenkaan koske koko Turvaposti-palvelua, vaan ainoastaan osaa siitä. Patentti kohdistuu vain viestintäketjun lopussa olevaan ratkaisuun palvelimen ja viestinnän vastaanottajan välillä. Patentti ei siten kata toiminnallisuutta, jolla voi lähettää ja vastaanottaa omasta sähköpostista viestejä salattuina, eikä siis kohdistu salaukseen tai salauksen vahvuuteen vaikuttaviin osiin palvelussa. Jos Suomen Turvaposti olisi halunnut markkinoida tuotettaan totuudenmukaisesti, se ei olisi markkinoinut Turvaposti-palveluaan patentoituna, vaan ilmoittanut Turvaposti-palvelun ainoastaan hyödyntävän patentoitua toiminnallisuutta.

Suomen Turvaposti on myös esittänyt Turvaposti-palvelunsa markkinoinnissa kaavion, jonka mukaan Turvaposti-palvelussa sähköpostiosoitteen perään lisätyllä merkinnällä ".turvaposti.fi" viesti kulkee salattua (TLS) yhteyttä pitkin suoraan työasemasta turvapostipalvelimelle. Kyseinen kuvaus on ollut paikkansapitämätön. Todellisuudessa viestin reitittyminen riippuu käytetyn sähköpostipalvelimen asetuksista ja lähetetty viesti reitittyy ensin vähintäänkin lähettäjän sähköpostipalvelimelle ennen siirtymistä turvapostipalvelimelle. Esitetty kuvaus on myös antanut virheellisen kuvan Suomen Turvapostin käyttämän menetelmän turvallisuudesta, koska kuvaus ei ota huomioon päätelaitteen ja turvapostipalvelimen välisen yhteyden turvallisuutta. Lisäksi kaavio on ollut omiaan antamaan virheellisen kuvan erityisesti siitä, että viestintä olisi käytettyyn postipalvelimeen kohdistuvan viestiliikenteen kuuntelun osalta suojattua.

Suomen Turvaposti on lisäksi esittänyt internetsivuillaan seuraavaa: "Turvapostissa hyödynnetään samaa 256-bittistä TLS/SSL-salausta kuin pankkien internetpalveluissa". Jos Turvaposti-palvelu käyttäisi samaa 256-bittistä TLS/SSL-salausta kuin pankkien internet-palvelut, se ei olisi käytettävissä selaimella, jossa salaus on 256-bittistä salausta heikompi. Kuitenkin esimerkiksi selaimeen asennettavan lisäosan avulla voidaan helposti osoittaa, että Turvaposti-palvelu on käytettävissä 256-bittistä salausta heikommin salatulla yhteydellä, myös jopa alle 128-bittisellä salauksella salatulla yhteydellä. Ilmaisu on ollut totuudenvastainen ja harhaanjohtava niin mainitun numeraalisen salaustason ilmoittamisen osalta kuin siltä osin, kun ilmaisussa on tarkoituksellisesti verrattu Turvaposti-palvelua pankkitasoiseen tai vahvaan salaukseen. Turvaposti-palvelussa kirjautuminen perustuu siten ainoastaan salasanaan, kun taas pankit käyttävät tietoturvassaan muitakin turvaelementtejä. Salasanan määrityksen ja välityksen jääminen asiakkaan itse suoritettavaksi muodostaa merkittävän riskin siitä, että salasana on helposti murrettavissa tai päätyy myös muun kuin tarkoitetun vastaanottajan tietoon.

Suomen Turvaposti on vielä esittänyt internetsivuillaan, että "Turvaposti on suomalainen sähköpostiliikenteen salauspalvelu, jonka avulla voit lähettää ja vastaanottaa omasta sähköpostistasi viestejä salattuna ilman ohjelmistoasennuksia", sekä seuraavaa: "Viestisi siirtyy vastaanottajalle salattuna ja saat tiedon siitä milloin vastaanottaja on avannut viestisi. Turvapostin avulla voit myös vastaanottaa salattuja sähköposteja keneltä tahansa lähettäjältä." Edellä mainitut markkinointitekstin ilmaisut ovat totuudenvastaisia ja harhaanjohtavia.

Turvaposti-palvelu on selainkäyttöinen palvelu eikä se ole sähköpostiliikennettä. Siten Turvaposti-palvelulla ei voida suojata sähköpostiliikennettä, vaan ainoastaan selainyhteyden kautta käsitellä tallennettua sisältöä.

Turvaposti-palvelussa sähköpostiviestejä ei siirry vastaanottajalle salattuna, kuten sähköpostiliikenteessä, jossa viesti saapuu vastaanottajalle ilman tämän toimenpiteitä. Turvaposti-palvelun käyttö edellyttää aina aktiivisia toimenpiteitä käyttäjältä, jotta tämä saisi käyttöönsä tallennetun tietosisällön.

Turvaposti-palvelun käytön perustuessa selainyhteyteen ei asiakas siis voi lähettää ja vastaanottaa salattuja sähköpostiviestejä omasta sähköpostistaan. Palvelun käyttö tapahtuu internetselaimella otettavan käyttöyhteyden kautta eikä asiakkaan sähköpostista. Markkinointi antaa virheellisen ja harhaanjohtavan kuvan asiasta.

Suomen Turvaposti on edellä mainituilla totuudenvastaisilla ja harhaanjohtavilla ilmaisuillaan pyrkinyt antamaan markkinoimastaan hyödykkeestä asiakkaille todellisuutta houkuttelevamman kuvan. Ilmaisut ovat olleet omiaan johtamaan asiakkaita harhaan sekä vaikuttamaan markkinoidun hyödykkeen kysyntään ja vahingoittamaan Deltagonin elinkeinotoimintaa. Lisäksi markkinointi on saanut Suomen Turvapostin asiakkaat hankkimaan sellaista palvelua, joka on tasoltaan heikompaa kuin markkinoinnissa on esitetty.

Suomen Turvapostin menettely on ollut vaatimusten 1 a–d osalta sopimattomasta menettelystä elinkeinotoiminnassa annetun lain 1 §:n 1 momentin ja 2 §:n 1 momentin vastaista.

Vaatimuskohta 1 e

Suomen Turvaposti on esittänyt Deltagonin asiakkaille sekä myös Deltagonilta sähköpostin salaukseen käytettävän ohjelmistotuotteen ostaneiden Deltagonin asiakaskumppanien asiakkaille toistuvasti totuudenvastaisia ja harhaanjohtavia ilmaisuja, joiden mukaan Deltagon Sec@GW -tuote olisi suojaamatonta sähköpostia turvattomampi. Suomen Turvaposti on esittänyt sanotun väitteen kirjallisesti todennettavasti kolmesti, minkä lisäksi Suomen Turvaposti on Deltagonin edustajien saamien tietojen mukaan käyttänyt mainittua ilmaisua muutenkin Turvaposti-palvelunsa markkinoinnissa. Suomen Turvaposti on jatkanut sanottua menettelyään, vaikka sille on Deltagonin taholta ilmoitettu, että kyseinen väite on paikkansapitämätön.

Deltagon Sec@GW -tuote mahdollistaa sähköpostin suojaamiseen eri toteutustapoja. Viestintävirasto on arvioinut mainitun tuotteen ja antanut sille salaustuotehyväksynnän suojaustasoille ST III ja ST IV, lisäksi tuote on auditoitu useasti. Kyseiseen tuotteeseen sisältyvät aina kaikki turvatasot, ja asiakkaille on siten aina mahdollisuus kaikkien toteutustapojen käyttöön. Asiakas määrittää itse sen, mitä tuotteen turvatasoja viestinnän suojaamiseen käytetään.

Suomen Turvaposti on väittäessään Deltagon Sec@GW tuotteen olevan suojaamatonta sähköpostia turvattomampi pyrkinyt esittämään Deltagonin tuotteen puutteelliseksi ja oman Turvaposti-palvelunsa perusteettomasti sitä huomattavasti paremmaksi. Suomen Turvapostin sanotussa toiminnassa ei ole ollut kysymys vain tietoturvariskeistä tiedottamisesta, vaan Suomen Turvaposti on väittänyt tuotteen aiheuttavan tietoturva-aukon ja on yrittänyt antaa Deltagonin tuotteesta huonon kuvan ja samalla omasta palvelustaan todellisuutta paremman kuvan. Menettelyn toistuminen huomautuksista huolimatta on osoittanut vakavaa piittaamattomuutta. Suomen Turvaposti on vahingoittanut menettelyllään olennaisesti Deltagonin elinkeinotoimintaa ja yrityskuvaa sekä yhtiön että sen tuotteen osalta. Kyseinen totuudenvastainen ja harhaanjohtava markkinointi on ollut myös Deltagonia ja sen tuotetta väheksyvää ja halventavaa.

Suomen Turvapostin menettely on siten ollut vaatimuksen 1 e osalta sopimattomasta menettelystä elinkeinotoiminnassa annetun lain 1 §:n 1 momentin, 2 §:n 1 momentin sekä vertailevaa markkinointia koskevan 2 a §:n vastaista.

Vaatimuskohdat 2 ja 3

Suomen Turvapostin menettely on aiheuttanut Deltagonille merkittävää haittaa, sillä Deltagon on joutunut vastaamaan Suomen Turvapostin väitteisiin ja olemaan yhteydessä asiakkaisiinsa korjatakseen Suomen Turvapostin antamat virheelliset tiedot. Suomen Turvaposti on lisäksi markkinoinnillaan altistanut asiakkaidensa sähköisen viestinnän merkittävästi alemman tasoisesti suojatuksi kuin se on markkinoinnissaan esittänyt. Tämä asiakkaiden tietoturvan vakava vaarantaminen edellyttää välitöntä oikaisevan tiedon esittämistä Suomen Turvapostin asiakkaille, jotta asiakkaat voivat heti ryhtyä tarvittaviin toimiin saattaakseen sähköisen viestintänsä suojauksen haluamalleen tasolle.

Suomen Turvaposti Oy tulee sopimattomasta menettelystä elinkeinotoiminnassa annetun lain 8 §:n 1 momentin nojalla velvoittaa sakon uhalla oikaisemaan ilmoittamansa väärät tiedot Kauppalehdessä tai muussa vastaavan kohderyhmän tavoittavassa sanoma- tai aikakauslehdessä julkaistavalla ilmoituksella sekä asiakkailleen suoraan lähetettävillä kirjeillä.

Lisäksi Suomen Turvaposti Oy tulee sopimattomasta menettelystä elinkeinotoiminnassa annetun lain 8 §:n 2 momentin nojalla velvoittaa julkaisemaan omalla kustannuksellaan markkinaoikeuden tässä asiassa antama päätös Kauppalehdessä tai muussa vastaavan kohderyhmän tavoittavassa sanoma- tai aikakausilehdessä.

VASTAUS

Vaatimukset

Suomen Turvaposti Oy on vaatinut, että markkinaoikeus hylkää Deltagon Group Oy:n hakemuksen.

Lisäksi Suomen Turvaposti Oy on vaatinut, että markkinaoikeus velvoittaa markkinaoikeus velvoittaa Deltagon Group Oy:n korvaamaan Suomen Turvaposti Oy:n asianosaiskulut 500 eurolla ja oikeudenkäyntikulut 35.168,25 eurolla viivästyskorkoineen.

Perusteet

Vaatimuskohta 1

Suomen Turvapostin ilmaisu, jonka mukaan Turvaposti-palvelulle on myönnetty patentti, on tosiasiaväite, joka pitää paikkansa. Väitteen totuudenmukaisuus on todennettu Suomen Turvapostin internetsivuilla patentin yksilöivällä patentti-/rekisterinumerolla. Patentti on myönnetty nimityksellä "Sähköisen dokumentin lähetys". Suomen Turvaposti ei ole esittänyt verkkosivuillaan tai muualla, että koko hyödyke olisi patentoitu tai että patentti koskisi koko Turvaposti-palvelua. On tavallista, ettei patentointi koske koko palvelua. Suomen Turvapostin markkinointi on ollut tältä osin täysin asianmukaista.

Deltagonin mukaan Suomen Turvaposti on havaintokuvan (Deltagonin todiste 7) avulla esittänyt virheellisesti, että viesti kulkee salattua (TLS) yhteyttä pitkin suoraan työasemasta turvapostipalvelimelle.

Deltagonin väite markkinointimateriaalin totuudenvastaisuudesta ja harhaanjohtavuudesta on paikkansapitämätön. Markkinointimateriaalissa ei miltään osin väitetä Deltagonin esittämällä tavalla, että viesti kulkisi "suoraan työasemasta" salattua yhteyttä pitkin turvapostipalvelimelle eikä tällaista johtopäätöstä ole sen paremmin ymmärrettävissä kuvasta, jonka vaihe 1 on kuvattu kirjallisesti kuvan alla. Kuva esittää potentiaaliselle viestin lähettäjälle, kuinka Turvaposti-palvelu toimii hänen näkökulmastaan.

Suomen Turvaposti hyödyntää pankkien internetpalveluja vastaavaa salausmenetelmää, joka käytetyimpiä ja ajantasaisia selainohjelmia käytettäessä on laadultaan 256-bittinen. Myös Nordea Pankki Suomi Oyj:n verkkopankki-internetpalveluun on mahdollista saada yhteys lähtökohtaista 256-salausta heikommalla 128-bittisellä salausmenetelmällä. Tilanne on sama myös Osuuspankin ja Danske Bank Oyj:n verkkopankki-internetpalveluissa. Vastoin hakijan väitettä myös verkkopankkien nimenomaisille kirjautumissivuille on mahdollista päästä 256-bittistä salausta heikommalla salauksella. Hakijan väite siitä, että käytettävyysvaatimukset olisivat erilaiset siitä johtuen, että sivusto on samalla pankin yleinen pääsivusto, on paikkansapitämätön. Yleisesti salaustaso ilmaistaan suurimman tuetun bittisyyden mukaan. Turvaposti-palvelun TLS/SSL-salaus vastaa siten todistettavasti pankkien internetpalveluiden tasoa, eikä Suomen Turvaposti ole esittänyt mainitulta osin markkinoinnissaan totuudenvastaista tai harhaanjohtavaa tietoa.

Deltagonin vaatimukseen 1 d liittyvät väitteet ovat virheellisiä. Turvaposti-palvelu on salatun sähköpostin palvelu, jonka avulla voi lähettää ja vastaanottaa luottamuksellisia viestejä ilman että ulkopuoliset pääsevät lukemaan viestejä. Turvaposti-palvelu on käytettävissä sekä web-liittymällä että omasta sähköpostista ilman ohjelmistoasennuksia. Turvaposti-palvelu on näin ollen myös sähköpostiliikenteen salauspalvelu. Lähetettäessä ja vastaanotettaessa omasta sähköpostista viestejä salattuna viestiliikenne salataan ja viestin voi avata vain tarkoitettu vastaanottaja erikseen toimitetun salasanan avulla. Tieto siirtyy vastaanottajalle salattuna. Markkinointi ei ole tältäkään osin totuudenvastaista tai harhaanjohtavaa.

Suomen Turvaposti ei ole menetellyt hyvän liiketavan vastaisesti tai Deltagonin kannalta sopimattomasti myöskään kieltovaatimuksen 1 e osalta. Suomen Turvaposti ja yhtiön hallituksen puheenjohtaja ovat pyrkineet aktiivisesti, muun ohella lehtikirjoituksin ja eri organisaatioille osoitetuilla tiedoksiannoilla, vaikuttamaan eri tahojen puutteellisiksi tulkittuihin näkemyksiin riittävästä tietoturvan tasosta. Suomen Turvaposti ei ole miltään osin valikoinut tai rajannut kyseisten yhteydenottojensa ja tiedoksiantojensa kohteiksi nimenomaisesti Deltagonin asiakkaita tai kumppaneita.

Kyseisiin yhteydenottoihin on ryhdytty vain siltä osin kuin yhteydenoton kohteina olleiden yhtiöiden tietoturvaratkaisuissa on havaittu nimenomaisia ja tiedoksiannossa vielä erikseen selvennettyjä ja perusteltuja puutteita. Yhteydenottojen sisällöt ovat olleet totuudenmukaisia ja objektiivisesti perusteltuja, minkä lisäksi vastaanottajille on annettu myös asianmukainen mahdollisuus lisätiedusteluihin ja kommentteihin asiaa koskien. Yhteydenottojen tarkoituksena ei ole ollut esittää tietoturva-aukkojen ja -puutteiden ratkaisemiseksi Suomen Tietoturvan omaa palvelua. Suomen Turvaposti ei ole käyttänyt mainittujen yhteydenottojen yhteydessä kiellettyä vertailevaa markkinointia, eikä yhteydenottojen tarkoituksena ole ollut Deltagonin tai sen tuotteen halventaminen tai mustamaalaaminen.

Suomen Turvaposti ei ole menettelyllään vahingoittanut Deltagonin elinkeinotoimintaa yhtiön tai sen tuotteen osalta. Deltagonin liikevaihto on sen omasta markkinoinnista johtuen kasvanut viime vuosina nopeasti, kun taas Turvaposti-palvelun liikevaihto on samanaikaisesti pysynyt samantasoisena.

Vaatimuskohdat 2 ja 3

Suomen Turvapostin menettely ei ole miltään osin ollut sopimattomasta menettelystä elinkeinotoiminnassa annetun lain vastaista. Asiassa ei siten ole perusteita velvoittaa Suomen Turvapostia ryhtymään sopimattomasta menettelystä elinkeinotoiminnassa annetun lain 8 §:n 1 momentissa tarkoitettuun oikaisutoimeen. Myös vaatimus sopimattomasta menettelystä elinkeinotoiminnassa annetun lain 8 §:n 2 momentissa tarkoitetusta markkinaoikeuden päätöksen julkaisemisesta Suomen Turvapostin kustannuksella on samasta syystä hylättävä.

TODISTELU

Asiakirjatodisteet

Deltagon Group Oy

1. Tuloste turvaposti.fi -sivustolta, 7.7.2015
2. Kuvakaappaus Turvaposti-palvelun käyttönäkymästä, 7.7.2015
3.Tuloste Tullin internet-sivuilta 8.7.2015 sekä tulosteet It-viikko-sivuston artikkeleista " ’Aukko’ ja nimiriita: Salatun sähköpostin tarjoaja kovistelee Tullia" sekä "Postikiista: ’Kiitos nimen viilauksesta, mutta aukko teillä on silti’ ", 8.7.2015
4. Suomen Turvaposti Oy:n kirje Kuntien Tiera Oy:lle 16.3.2015
5. Suomen Turvaposti Oy:n kirjeet LähiTapiola Keskinäinen Vakuutusyhtiölle 22.11.2013 ja 14.1.2014
6. Deltagon Group Oy:n kirje Suomen Turvaposti Oy:lle 13.5.2014
7. Suomen Turvaposti Oy:n markkinointimateriaalia (2 sivua)
8. Suomen Turvaposti Oy:n ja Deltagon Group Oy:n tilinpäätöstietoja vuosilta 2011–2014
9. Artikkeli "Tietoturvahaavoittuvuuksien vastuullinen ilmoittaminen on tärkeää", https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2015/03/ttn201503101041.html
10. Artikkeli "Kuinka julkistaa haavoittuvuus vastuullisesti", http://www.nixu.com/fi/blogi/2015-03/kuinka-julkistaa-haavoittuvuus-vastuullisesti
11. Suomen Turvapostin käyttöohje lähettäjälle, 3 versiota, 3 sivua
12. Tuloste turvaposti.fi-sivustolta koskien salausta, 21.3.2016
13. Tuloste turvaposti.fi-sivustolta koskien kirjautumista, 21.3.2016
14. Docrates Oy:n internetsivuilla oleva Turvaposti-palvelun käyttöohje vastaanottajalle

Suomen Turvaposti Oy

1. Selainten käsittelysimulaatioraportit: "solo1.nordea.fi", "op.fi" ja "danskebank.fi", 17.–20.8.2015
2. Suomen Turvaposti Oy:n kirje Liikenteen Turvallisuusvirasto Trafille 4.11.2013 ja siihen 6.11.2013 saatu vastaus
3. Suomen Turvaposti Oy:n sähköpostiviesti Finanssivalvonnalle 10.2.2014 ja siihen 2.4.2014 saatu vastaus
4. Selvitys selainten käsittelysimulaatioraporteista pankkien kirjautumissivuilta liitteineen, 18.3.2016
5. Kirjanpitäjän selvitys Suomen Turvaposti Oy:n Turvaposti-liiketoiminnan liikevaihtokehityksestä 2011–2014
6. Kuvakaappaukset Suomen Pankin luottamuksellisen viestin lähettämisen käyttönäkymästä (3 kpl), 23.3.2016
7. Wikipedia-artikkeli "Email encryption", 1.6.2015
8. Sähköpostikirjeenvaihto A – B (Viestintävirasto) 7.–11.5.2015
9. KPMG:n C:n artikkeli 29.6.2015 "Salaavan web-pohjaisen sähköpostin tuottama lisäturva?"

Kuultavat, todistajat ja asiantuntijat

Deltagon Group Oy

1. D, Deltagon Group Oy:n toimitusjohtaja
2. E, pääsihteeri, Valtiovarainministeriö
3. F, tietoturva-asiantuntija, KPMG Oy
4. G, Deltagon Group

Suomen Turvaposti Oy

1. A, Suomen Turvaposti Oy:n hallituksen puheenjohtaja
2. H, tietoturva-asiantuntija

Muu oikeudenkäyntiaineisto

Suomen Turvaposti Oy

1. I:n asiantuntijalausunto, 20.3.2016
2. H:n, 23.3.2016

Deltagon Group Oy

1. J:n asiantuntijalausunto, 29.3.2016

MARKKINAOIKEUDEN RATKAISU

Perustelut

Asian arvioinnin lähtökohdat

1. Deltagonin hakemus kohdistuu yhtäältä Suomen Turvapostin verkkosivuilla toteutettuun sähköpostiliikenteen suojaamiseen tarkoitettujen tietoturvaratkaisujen markkinointiin (vaatimukset 1 a–d) ja toisaalta Suomen Turvapostin muun ohella Deltagonin asiakkaille esittämiin väitetysti totuudenvastaisiin ja harhaanjohtaviin ilmaisuihin, joiden mukaan Deltagon Sec@GW -tuote olisi suojaamatonta sähköpostia turvattomampi (vaatimus 1 e).

2. Deltagon on vaatimustensa 1 a–d perusteena vedonnut siihen, että Suomen Turvapostin menettely on ollut sopimattomasta menettelystä elinkeinotoiminnassa annetun lain 1 §:n 1 momentin ja 2 §:n 1 momentin vastaista. Vaatimuksensa 1 e perusteena Deltagon on lisäksi vedonnut siihen, että Suomen Turvapostin menettely on ollut mainitun lain vertailevaa markkinointia koskevan 2 a §:n vastaista.

3. Sopimattomasta menettelystä elinkeinotoiminnassa annetun lain 1 §:n 1 momentin mukaan elinkeinotoiminnassa ei saa käyttää hyvän liiketavan vastaista tai muutoin toisen elinkeinonharjoittajan kannalta sopimatonta menettelyä. Lain 2 §:n 1 momentin mukaan elinkeinotoiminnassa ei saa käyttää totuudenvastaista tai harhaanjohtavaa ilmaisua, joka koskee omaa tai toisen elinkeinotoimintaa ja on omiaan vaikuttamaan hyödykkeen kysyntään tai tarjontaan taikka vahingoittamaan toisen elinkeinotoimintaa.

4. Mainitun lain vertailevaa markkinointia koskevan 2 a §:n 1 momentin mukaan markkinoinnin, josta voidaan suoraan tai epäsuorasti tunnistaa kilpailija tai kilpailijan markkinoima hyödyke, sallittavuuden edellytyksenä on vertailun osalta muun ohella, että markkinointi ei ole totuudenvastaista tai harhaanjohtavaa (1 kohta).

5. Markkinointia arvioidaan siitä näkökulmasta, millaisen kokonaisvaikutelman se luo kohdeyleisössään. Asiassa on riidatonta, että Suomen Turvapostin kyseessä olevia sähköpostiliikenteen suojaamisratkaisuja ei markkinoida kuluttajille, vaan markkinointi on suunnattu erityisesti tietoturvaratkaisuja tarvitseville yritysasiakkaille.

Suomen Turvapostin kiellettäväksi vaadittavan markkinoinnin arviointi

Vaatimus 1 a

6. Suomen Turvaposti on verkkosivuillaan sähköpostiliikenteen salauspalvelua koskevan markkinointinsa yhteydessä muun ohella esittänyt, että "Turvapostille on myönnetty suomalainen patentti (FI116815)" (hakijan kirjallinen todiste 1).

7. Deltagon on väittänyt, että Suomen Turvapostin markkinointi-ilmaisu siitä, että Turvaposti-palvelu on patentoitu, olisi vähintään harhaanjohtava sillä perusteella, että koko palvelua koskevaa patenttia ei ole. Suomen Turvaposti on puolestaan esittänyt, että edellä todettu patentti on myönnetty Turvaposti-palvelun web-lähetystä koskien ja 15.3.2016 on myönnetty lisäksi patentti (FI125832B) koskien omasta sähköpostista lähettämistä. Suomen Turvapostin mukaan patentit eivät ole palvelun salausmenetelmän kannalta vähämerkityksellisiä.

8. Markkinaoikeus toteaa, että markkinoinnissa varsin tyypillisesti viitataan tuotteen tai palvelun sisältämään patenttiin silloinkin, kun tuote tai palvelu ei kokonaisuudessaan ole patentoitu. Suomen Turvaposti on markkinoinnissaan yksilöinyt patentin, joka sillä on. Tällöin markkinoinnin kohdeyleisön on halutessaan mahdollisuus tarkastaa, mikä osuus palvelusta on patentoitu. Markkinaoikeus katsoo, että Suomen Turvapostin markkinointi ei ole ollut totuudenvastaista tai harhaanjohtavaa, vaikka patentti ei käsittäisikään koko palvelua. Kieltovaatimus 1 a on siten hylättävä.

Vaatimus 1 b

9. Suomen Turvaposti on esittänyt verkkosivuillaan viisikohtaisen kaaviokuvan (hakijan kirjallinen todiste 7), jossa kaaviokuvan alla kohdassa 1 esitetään, että "Viesti kulkee salattua yhteyttä pitkin Turvapostipalvelimelle". Kaaviokuvassa on esitetty lähettäjältä Turvapostipalvelimelle kulkeva nuoli, jonka yläpuolella on merkitty numero 1 ja "TLS".

10. Deltagon on vaatinut kiellettäväksi ilmaisua "Turvaposti-palvelussa viesti kulkee salattua (TLS) yhteyttä pitkin suoraan työasemasta turvapostipalvelimelle". Deltagon on esittänyt, että edellä mainittu kaaviokuva on ollut paikkansapitämätön. Sen mukaan todellisuudessa viestin reitittyminen riippuu käytetyn sähköpostipalvelimen asetuksista ja lähetetty viesti reitittyy ensin vähintäänkin lähettäjän sähköpostipalvelimelle ennen siirtymistä turvapostipalvelimelle. Esitetty kaaviokuva on Deltagonin mukaan myös antanut virheellisen kuvan Suomen Turvapostin käyttämän menetelmän turvallisuudesta, koska kyseinen kuvaus ei ota huomioon päätelaitteen ja turvapostipalvelimen välisen yhteyden turvallisuutta.

11. Suomen Turvaposti on esittänyt, että kaaviokuvassa tai sen vaiheita selventävässä tekstissä ei väitetä, että viesti Deltagonin esittämällä tavalla kulkisi "suoraan työasemasta" salattua yhteyttä pitkin turvapostipalvelimelle eikä tällaista johtopäätöstä voida tehdä kuvastakaan. Kuva esittää potentiaaliselle viestin lähettäjälle, kuinka Turvaposti-palvelu toimii hänen näkökulmastaan.

12. Markkinaoikeus toteaa, että kyseessä olevassa kaaviokuvassa ei esitetä väitettä viestin kulkemisesta suoraan työasemasta salattua yhteyttä pitkin turvapostipalvelimelle. Kaaviokuvan ei yleisluontoisuutensa perusteella ole myöskään katsottava luovan sellaista mielikuvaa, että se olisi pyritty luomaan teknisiltä yksityiskohdiltaan kaiken kattavaksi. Markkinaoikeudessa asiantuntijana kuultu H on esittänyt kaaviokuvan osalta näkemyksenään, että siirtoyhteys lähettäjän sähköpostipalvelimelta Turvapostipalvelimelle on salattu TLS-yhteys. Kuultava A:n mukaan lähettäjän sähköpostipalvelimen sisällä viesti ei ole välttämättä salatussa muodossa, mutta että tämä osuus on lähettäjän organisaation vastuulla.

13. Markkinaoikeus katsoo, että Suomen Turvaposti ei ole käyttänyt nyt kiellettäväksi vaadittavaa ilmaisua "Turvaposti-palvelussa viesti kulkee salattua (TLS) yhteyttä pitkin suoraan työasemasta turvapostipalvelimelle", eikä sen käyttämä kuva tai kuvatekstit (hakijan kirjallinen todiste 7) myöskään osoita sen epäsuorastikaan väittäneen näin tapahtuvan. Tekstissä oleva ilmaisu "Viesti kulkee salattua yhteyttä pitkin Turvapostipalvelimelle" ei ole asiassa esitetyn perusteella harhaanjohtava tai totuudenvastainen ilmaisu, sillä asiassa esitetyn selvityksen perusteella viesti kulkee suojattua TLS-yhteyttä pitkin lähettäjän sähköpostipalvelimelta Turvapostipalvelimelle. Kieltovaatimus 1 b on siten hylättävä.

Vaatimus 1 c

14. Suomen Turvaposti on esittänyt verkkosivuillaan (hakijan kirjallinen todiste 1), että "Turvapostissa hyödynnetään samaa 256-bittistä TLS/SSL-salausta kuin pankkien internetpalveluissa".

15. Deltagon on väittänyt, että edellä mainittu ilmaisu on ollut totuudenvastainen ja harhaanjohtava niin mainitun numeraalisen 256-bittisen salauksen ilmoittamisen osalta kuin myös siltä osin, kun ilmaisussa on tarkoituksellisesti verrattu Turvaposti-palvelua pankkitasoiseen tai vahvaan salaukseen.

16. Suomen Turvaposti on tältä osin esittänyt, että Suomen Turvaposti hyödyntää pankkien internetpalveluja vastaavaa salausmenetelmää, joka käytetyimpiä ja ajantasaisia selainohjelmia käytettäessä on 256-bittinen. Kyseessä olevassa markkinoinnissa ei ole väitetty, että salaus on pankkitasoista, vaan on ainoastaan todettu, että käytetty salausmenetelmä on saman vahvuinen kuin pankkien käyttämä 256-bittinen salaus, mikä pitää paikkaansa. Suomen Turvapostin mukaan käytetty salaustaso ilmaistaan yleisesti vahvimman käytetyn salaustason perusteella

17. On riidatonta, että Turvaposti-palvelussa käytetään 256-bittistä salausta, mutta että palvelu on käytettävissä myös 256-bittistä salausta alemmilla suojaustasoilla. Asiassa esitetyn selvityksen perusteella markkinaoikeus katsoo, että myös pankkien verkkopalveluihin muodostettavia yhteyksiä voidaan käyttää 256-bittistä salausta alemmilla tasoilla.

18. Asiassa markkinaoikeudessa kuullut todistajat F ja E sekä asiantuntija H eivät ole kertomustensa perusteella mieltäneet kyseessä olevaa markkinointi-ilmaisua siten, että Turvaposti-palvelussa käytettäisiin salausalgoritmina kaikissa olosuhteissa ainoastaan 256-bittistä TLS/SSL-salausta. F ja H ovat tulkinneet ilmaisulla tarkoitettavan pikemminkin sitä ylärajaa, jota salausavaimen pituuden osalta Turvaposti-palvelussa parhaimmillaan hyödynnetään.

19. Markkinaoikeus katsoo edellä esitetyillä perusteilla, että Suomen Turvapostin käyttämä ilmaisu "Turvapostissa hyödynnetään samaa 256-bittistä TLS/SSL-salausta kuin pankkien internetpalveluissa" ei anna totuudenvastaista tai harhaanjohtavaa kuvaa palvelun sisällöstä. Kieltovaatimus 1 c on siten hylättävä.

Vaatimus 1 d

20. Suomen Turvaposti on edelleen esittänyt verkkosivuillaan, että "Turvaposti on suomalainen sähköpostiliikenteen salauspalvelu, jonka avulla voit lähettää ja vastaanottaa omasta sähköpostistasi viestejä salattuna ilman ohjelmistoasennuksia", ja että "Viestisi siirtyy vastaanottajalle salattuna ja saat tiedon siitä milloin vastaanottaja on avannut viestisi. Turvapostin avulla voit myös vastaanottaa salattuja sähköposteja keneltä tahansa lähettäjältä."

21. Deltagon on markkinaoikeudessa esittänyt, että edellä mainitut ilmaisut ovat olleet totuudenvastaisia ja harhaanjohtavia sen vuoksi, että Turvaposti-palvelu on selainkäyttöinen palvelu eikä se ole sähköpostiliikennettä, sillä siinä ei siirry sähköpostiviestejä vastaanottajalle salattuna, kuten sähköpostiliikenteessä. Deltagonin mukaan Turvaposti-palvelu vaatii aina selainyhteyden salasanan luomiseen ja salauksen purkamiseen. Markkinointi-ilmaisujen ei ole kerrottu koskevan vain osaa Turvaposti-palvelun versioista.

22. Suomen Turvaposti on puolestaan esittänyt, että Turvaposti-palvelu on salatun sähköpostin palvelu, jonka avulla voi lähettää ja vastaanottaa viestejä ilman että ulkopuoliset pääsevät lukemaan viestejä. Suomen Turvapostin mukaan Turvaposti-palvelu oli aiemmin käytettävissä ainoastaan internet-pohjaisena palveluna, mutta on sittemmin ollut käytettävissä myös suoraan käyttäjän omasta sähköpostista.

23. Markkinaoikeus katsoo kuultava A:n ja asiantuntija H:n kertomusten sekä markkinaoikeuden käsittelyssä tapahtuneen Turvaposti-palvelun käyttämisen esittelyn perusteella selvitetyksi, että Turvaposti-palvelu on ollut viestin lähettäjän ja vastaanottajan käytettävissä myös omasta sähköpostista.

24. Edellä esitetyillä perusteilla markkinaoikeus katsoo, ettei asiassa ole esitetty perusteita Deltagonin vaatimin tavoin kieltää tässä kohdassa tarkoitettua Suomen Turvapostin markkinointia. Kieltovaatimus 1 d on siten hylättävä.

Vaatimus 1 e

25. Deltagon on esittänyt Suomen Turvapostin käyttäneen Turvaposti-palvelun markkinoinnissa totuudenvastaisia tai harhaanjohtavia ilmaisuja, joiden mukaan Deltagon Sec@GW -tuote on suojaamatonta sähköpostia turvattomampi.

26. Deltagon on tältä osin vedonnut Suomen Turvapostin kirjallisiin yhteydenottoihin Deltagonin asiakkaisiin (hakijan asiakirjatodisteet 3, 4 ja 5).

27. Markkinaoikeus toteaa, että hakijan asiakirjatodisteena 3 on esitetty It-viikko -verkkosivuston uutisointia koskien Suomen Turvapostin ja Tullin välistä erimielisyyttä liittyen Tullin käyttämän turvapostipalvelun nimeen sekä Tullin salatussa sähköpostissa mahdollisesti olevaan tietoturva-aukkoon.

28. Suomen Turvapostin hallituksen puheenjohtajan A:n Kuntien Tiera Oy:lle (jäljempänä Kuntien Tiera) 16.3.2015 lähettämä kirje (hakijan asiakirjatodiste 4) on käsitellyt Suomen Turvapostin esittämiä näkemyksiä Kuntien Tieran markkinoimasta Tiera Toimisto Turvaposti-palvelusta ja sen totuudenvastaisesta ja harhaanjohtavasta markkinoinnista. Kirjeen alussa on esitetty, että Kuntien Tieran markkinoima Tiera Toimisto Turvaposti -palvelu ei tosiasiassa ole luottamukselliset tiedot suojaava salattu sähköposti, jolla olisi luvallista toimittaa esimerkiksi kuntien terveys- ja sosiaalitoimen luottamuksellisia henkilötietoja.

29. Edellä mainitussa kirjeessä on edelleen nimetty kaksi palvelun sisältämää tietoturva-aukkoa, jotka tekevät Suomen Turvapostin esittämän näkemyksen mukaan Tiera Toimisto Turvaposti -palvelun tiedonsiirron tavallista suojaamatonta sähköpostia turvattomammaksi, koska palvelun käyttäjä uskoo palvelun suojaavan tiedonsiirron ja siksi käyttää palvelua luottamuksellisen tiedon siirtämiseen. Kirjeen lopussa A on pyytänyt Kuntien Tieran kannanottoa kirjeeseen 8.4.2015 mennessä.

30. A on markkinaoikeudessa kertonut, että Kuntien Tieralle lähetetty kirje liittyi Microsoftin Office 365 -tuotteen puutteisiin ja että kyseisistä tietoturva-aukoista lähetettiin samanaikaisesti kolme kirjettä. A on lisäksi kertonut, ettei hänen Kuntien Tieralle lähettämäänsä kirjeeseen ole saapunut pyydettyä vastausta. Todistaja G on markkinaoikeudessa arvioinut, että A on edellä mainittuja kirjeitä lähettäessään ollut tietoinen siitä, että myös Deltagon on ollut palveluntarjoajana mukana kyseessä olevien yhtiöiden tarjoamissa ratkaisuissa.

31. Hakijan asiakirjatodisteena 5 on esitetty A kirjeitse lähettämä vastaus LähiTapiolan Tietohallinnolle hänelle asiakkaana lähetettyyn sähköpostiviestiin. Kirjeessä on kuvattu LähiTapiolan käyttämän lähetystavan eroja verrattuna tietoturvaltaan tavalliseen sähköpostiin.

32. Markkinaoikeus katsoo, että edellä mainitut hakijan asiakirjatodisteet ovat kaikki sisältäneet lähinnä yleisellä tasolla esitettyjä tietoturvaongelmiin liittyviä näkemyksiä eivätkä käytettyjen sanamuotojen perusteella osoita sitä, että Suomen Turvaposti olisi esittänyt mitään Deltagon Sec@GW -tuotetta koskevia väitteitä tai Deltagonia koskevia markkinointi-ilmaisuja.

33. Markkinaoikeus siten katsoo, että kysymyksessä olevan vaatimuskohdan osalta edellä todetun todistelun tai muunkaan asiassa esitetyn selvityksen perusteella ei voida katsoa näytetyksi sitä, että Suomen Turvaposti on käyttänyt markkinoinnissaan totuudenvastaisia tai harhaanjohtavia ilmaisuja, joiden mukaan hakijan markkinoima Deltagon Sec@GW -tuote on suojaamatonta sähköpostia turvattomampi.

34. Edellä esitetyillä perusteilla Deltagon ei ole kyennyt osoittamaan, että Suomen Turvaposti olisi käyttänyt markkinoinnissaan sellaisia markkinointi-ilmaisuja tai toiminut siten, että Suomen Turvapostin menettely olisi Deltagonin vaatimin tavoin sopimattomasta menettelystä elinkeinotoiminnassa annetun lain 1 §:n 1 momentin, 2 §:n 1 momentin tai 2 a §:n nojalla kiellettävä. Kieltovaatimus 1 e on siten hylättävä.

Johtopäätökset

35. Edellä esitetyillä perusteilla Deltagon ei ole näyttänyt, että Suomen Turvaposti olisi menetellyt hakijan kieltovaatimuksissa esitetyillä tavoilla sopimattomasti. Sen vuoksi kieltovaatimukset on hylättävä. Näin ollen myös hakijan kieltovaatimuksiin nähden liitännäiset vaatimukset 2 ja 3 on hylättävä.

Oikeudenkäyntikulut

36. Oikeudenkäynnistä markkinaoikeudessa annetun lain 5 luvun 16 §:n 1 momentin mukaan sopimattomasta menettelystä elinkeinotoiminnassa annetun lain 6 §:ssä tarkoitetun kiellon määräämistä koskevissa asioissa sovelletaan oikeudenkäymiskaaren oikeudenkäyntikulujen korvaamista koskevia säännöksiä.

37. Oikeudenkäymiskaaren 21 luvun 1 §:n mukaan asianosainen, joka häviää asian, on velvollinen korvaamaan kaikki vastapuolensa tarpeellisista toimenpiteistä johtuvat kohtuulliset oikeudenkäyntikulut.

38. Deltagon on myöntänyt Suomen Turvapostin oikeudenkäyntikulujen korvaamista koskevan vaatimuksen kulujen osalta määrällisesti. Sen sijaan palkkiovaatimuksen osalta Deltagon on paljoksunut Suomen Turvapostin esittämää oikeudenkäyntikuluvaatimusta. Deltagonilla ei ole ollut huomauttamista Suomen Turvapostin ilmoittaman tuntiveloitusperusteen 256,58 euroa osalta, mutta se on pitänyt asiaan käytettyä tuntimäärää (133 tuntia) asian laatuun nähden liiallisena. Deltagon on ilmoittanut hyväksyvänsä laskutettavaksi tuntimääräksi 75 tuntia.

39. Asian laatu ja laajuus huomioon ottaen markkinaoikeus katsoo, ettei Suomen Turvapostin oikeudenkäyntikuluvaatimuksen perusteena käytettyä tuntimäärää ole pidettävä kohtuuttomana. Näin ollen Deltagon on velvoitettava korvamaan Suomen Turvapostin oikeudenkäyntikulut vaaditun määräisinä.

Päätöslauselma

Markkinaoikeus hylkää Deltagon Oy:n hakemuksen.

Deltagon Oy velvoitetaan suorittamaan Suomen Turvaposti Oy:lle korvauksena kuluista 1.043,25 euroa ja palkkiona 34.125 euroa sekä asianosaiskuluista 500 euroa eli yhteensä korvauksena oikeudenkäyntikuluista 35.668,25 euroa. Korvaukselle on maksettava viivästyskorkoa korkolain 4 §:n 1 momentissa tarkoitetun korkokannan mukaan siitä lähtien, kun kuukausi on kulunut markkinaoikeuden päätöksen antamisesta.

MUUTOKSENHAKU

Muutosta tähän ratkaisuun saa hakea korkeimmalta oikeudelta valittamalla vain, jos korkein oikeus niillä erityisillä perusteilla, jotka ilmenevät oheisesta valitusosoituksesta, myöntää valitusluvan.

Määräaika valitusluvan pyytämiseen ja valituksen tekemiseen päättyy 19.7.2016.

Asian ovat yksimielisesti ratkaisseet markkinaoikeuden ylituomari Kimmo Mikkola, markkinaoikeustuomarit Petri Rinkinen ja Jaakko Ritvala sekä asiantuntijajäsen Olli Pitkänen.

LAINVOIMAISUUS

Lainvoimainen.