Õiguslik jälgimine nr 74 – august 2024.  

Telegram, Signal, Whatsapp… Kui head on kiirsõnumiteenused professionaalses kontekstis?

Meedias on Prantsusmaal toimunud sõnumirakenduse asutaja Pavel Durovi vahistamise kohta olnud arvukalt reaktsioone. Telegramm.

Olenemata poliitilistest debattidest sellel teemal, annab see juhtum meile võimaluse hinnata kiirsõnumiteenuste usaldusväärsust.

Mil määral on vahetatav teave tõeliselt konfidentsiaalne? Kas need rakendused on võrreldavad ja kas neid saab kasutada professionaalses kontekstis?

Enamik kiirsõnumiteenuseid kiitleb tänapäeval oma suhtluse krüpteerimisega.

Praktika erineb aga olenevalt sõnumsideteenusest.

Paljud Telegrami kasutajad on viimastel päevadel niimoodi aru saanud, et nende suhtlus pole vaikimisi kaitstud.

Kaitstud on ainult otsene suhtlus kahe osaleja vahel, kes on oma vestlusvalikutes krüptimise käsitsi aktiveerinud.

Tuleb märkida, et Telegram ei kasuta avatud lähtekoodiga krüpteeringut nagu Signal protokolli, vaid tugineb "kodus kasvatatud" tehnoloogiale, mida on võimatu kontrollida. 

Grupiarutelusid (või vestluskanaleid) ei saa krüpteerida ja seetõttu pääseb Telegram juurde nende sisule ning teabele nende gruppide liikmete ja administraatorite kohta.

Siinsed vahetused sarnanevad pigem sotsiaalvõrgustiku kui sõnumsideteenuse omadega.

Telegrami on aastaid kritiseeritud arutelukanalite modereerimise puudumise, paljude valitsuste taotluste ignoreerimise pärast ebaseadusliku sisu eemaldamiseks ja keeldumise eest jagada teavet potentsiaalsete õigusrikkujate kohta.

Need modereerimis- ja õiguskaitseorganitega koostöö tegemise kohustused on sätestatud Prantsuse õiguses ja Euroopa digitaalteenuste määruses.

Just selles kontekstis arreteeriti selle asutaja koostöö puudumise ja organiseeritud kuritegevuses osalemise eest.

Sellel koostöökohustusel on siiski piirid: seega jääb otsast lõpuni krüpteeritud side konfidentsiaalseks ja kolmas osapool, olgu selleks siis sõnumsideteenuse pakkuja, valitsus või häkker, ei saa seda pealt kuulata.

Mõned osariigid on mures krüpteerimise laialdase kasutamise pärast ning lobitavad regulatiivsete muudatuste nimel, mis võimaldaksid sellest mööda hiilida.

See kehtib eriti laste seksuaalse väärkohtlemise vastast Euroopa määrust käsitleva kavandatava konteksti kohta.

See surve side konfidentsiaalsuse nõrgendamiseks kutsub esile arvukalt reaktsioone nii isikuvabaduste kaitsjate kui ka andmekaitseasutuste seas, kelle jaoks tähendaks see privaatse suhtluse laialdast jälgimist, õõnestaks digitaalset turvalisust krüpteeringu rikkumise kaudu ega annaks mingeid tõendeid selle kohta, et see saavutaks isegi oma eesmärgi kaitsta lapsi.

Arvestades praegust õiguslikku ja tehnoloogia seisu, on tungivalt soovitatav kasutada professionaalsete sõnumite vahetamiseks otsast lõpuni krüptitud sõnumsidet, eriti kui sõnumi sisu on tundlik (nt meditsiinilised või finantsandmed).

Ja selles osas ei ole kõik rakendused võrdsed. Kuigi sõnumi sisu võib olla kaitstud, ei takista krüpteerimine teatud kasutaja tuvastamise ja/või ühenduse andmete kogumist.

Arutelugruppide kasutamisel on soovitatav olla igal juhul eriti ettevaatlik.

Rühmade kasutamine WhatsApp Seega on tundlike andmete vahetamine professionaalses kontekstis toonud kaasa andmekaitseasutuse poolt andmetöötlejale karistuse määramise.

Signaal on üldiselt tunnustatud kui kõrgetasemelist kaitset pakkuv meetod, kuid see pole ainus.

Näiteks võime mainida Threema Ja Olvid Nende teenuste eeliseks on Euroopa omadus. Puuduseks on aga see, et need on endiselt suhteliselt tundmatud. Ettevõtte sees võivad sellised sõnumsidesüsteemid siiski pakkuda huvitavat alternatiivi.

NB / Arvukad analüüsid kirjeldavad sõnumirakenduste tugevusi ja nõrkusi. Näiteks vaadake Orange Cyberdefense'i analüüsi: https://www.orangecyberdefense.com/fr/insights/blog/data/securite-et-vie-privee-comparatif-des-apps-de-messagerie-instantanee

Põhjalikuma analüüsi saamiseks selle kohta, mida õiguskaitseorganid sõnumsideteenusest saada saavad, vaadake seda FBI koolitusdokumenti, mis saadi teabevabaduse seaduse taotluse kaudu Property of the People'ilt, mis on Ameerika valitsuse läbipaistvusele pühendunud mittetulundusühing: https://propertyofthepeople.org/document-detail/?doc-id=21114562

 

        

SOS médecins teatas 2. septembril, et CNIL on andnud oma heakskiidu ühingu andmelao loomisele nimega "Contact".

SOS-i arstide sõnul on Contact pühendunud planeerimata ravile ja ravi kättesaadavuse parandamisele ning edendab tervishoiualaseid uuringuid ja innovatsiooni.

See koondab turvaliselt ja konfidentsiaalselt föderatsiooni 64 ühingus igal aastal ravitavate miljonite patsientide andmed.

Föderatsiooni sõnul tuleks neid andmeid patsientide hüvanguks taaskasutada, et parandada tavasid ja optimeerida ravi.

Pariisi-Saclay ülikool teatas, et langes lunavararünnaku sihtmärgiks 11. augustil. See intsident leidis aset nädal pärast järjekordset küberrünnakut enam kui 40 Prantsusmaa kultuuriasutuse vastu: küberkurjategijad olevat tunginud "Réunion des musées nationaux – Grand Palais" ühisesse arvutisüsteemi, mis koondab kõiki nende asutuste finantsandmeid, ja ähvardasid andmed 48 tunni jooksul avaldada, kui lunaraha ei maksta.

L'Usine Digitale'i andmetel mõjutas see võrgu hallatavat 36 kauplust ja süsteemid katkesid. Pariisi prokuratuur on algatanud uurimise.

 

Euroopa institutsioonid ja organid

Euroopa Komisjon on avanud konsultatsiooni alaealiste kaitsmise kohta internetis, mis kestab 30. septembrini. eriti digiteenuste seaduse (DSA) ja lastepornograafilisest materjalist teatamise (CSAM) kontekstis.

DSA kohaselt peab komisjon välja töötama suunised, mis aitavad asjaomastel veebiplatvormidel järgida alaealiste privaatsuse ja turvalisuse kaitse nõudeid.

„Need suunised pakuvad mittetäielikku loetelu headest tavadest ja soovitustest veebiplatvormide pakkujatele, et aidata neil vähendada alaealiste kaitsega seotud riske. Suunised aitavad ka komisjonil ja digiteenuste koordinaatoritel platvormide üle järelevalvet teostada ja digitaalteenuste seadust jõustada.“

Euroopa Komisjon avaldab sel sügisel oma esimese aruande Euroopa Liidu ja Ameerika Ühendriikide vahelise andmekaitseraamistiku (DPF) toimimise kohta. Sellel teemal toimus juulis kahepoolne hindamiskohtumine ning komisjon on avanud ka avaliku konsultatsiooni, mille jooksul saab kommentaare esitada kuni 6. septembrini.

Hiina ja EL on alustanud arutelusid andmeedastuse üle uue "piiriülese andmevoo kommunikatsioonimehhanismi" raames. Euroopa Komisjoni teatel on mehhanismi eesmärk leida viise, kuidas hõlbustada Euroopa ettevõtete jaoks isikustamata andmete piiriülest edastamist ja nende vastavust Hiina andmekaitseseadustele.

 

Uudised Euroopa liikmesriikidest.

Saksamaal käskis Frankfurdi apellatsioonikohus Microsoftil hoiduda küpsiste paigutamisest ja salvestamisest asjaomase isiku seadmetesse ilma nende nõusolekuta, isegi kui see tähendab, et Microsoft lõpetab jälgimisküpsiste paigutamise.

See otsus näib olevat kooskõlas Hollandi kohtu hiljutise otsusega, mis keelas Microsoftil, LinkedInil ja Xandril jälgimisküpsiste paigutamise ilma kasutaja nõusolekuta ning määras ettevõtte kohta 1000 euro suuruse trahvi iga otsuse mittetäitmise päeva eest (GDPRhubi vahendusel).

Belgia andmekaitseamet (DPA) lükkas tagasi andmesubjekti kaebuse pärast andmetega seotud rikkumist. Ta leidis, et andmetöötleja poolt isikuandmete kaitse üldmääruse artikli 32 alusel võetud tehnilised ja korralduslikud meetmed olid asjakohased.

Taani ametlik arenguabi leidis, et näotuvastuse kasutamiseks spordikeskusesse pääsemiseks vabatahtliku ja selgesõnalise nõusoleku saamiseks peavad asjaomasel isikul olema muud kontrollimeetodid, mis ei hõlma biomeetriliste andmete töötlemist.

Hispaanias trahvis andmekaitseamet (APD) andmetöötlejat 145 000 euroga pärast seda, kui temalt oli varguse tõttu varastatud krüpteerimata USB-mälupulk, mis sisaldas kriminaalasjaga seotud isikuandmeid.Ta leidis konfidentsiaalsuspõhimõtte rikkumise, kuigi puudusid tõendid andmetele juurdepääsu kohta.

Itaalias APD määras omavalitsusele 20 000 euro suuruse trahvi, kuna see oli avalikus valikuprotsessis ebaseaduslikult avaldanud edutute kandidaatide nimed. Lisaks ei olnud omavalitsus sõlminud alltöövõtjaga siduvat lepingut, mis kujutab endast isikuandmete kaitse üldmääruse artikli 28 lõike 3 rikkumist.

APD määras telekommunikatsioonifirmale miljoni euro suuruse trahvi klientidega ärilise luure eesmärgil ühenduse võtmise eest ilma kehtiva nõusolekuta. Andmekaitseasutus leidis, et andmetöötleja ei saa oma klientidele turunduslikel eesmärkidel telefonikõnede tegemiseks tugineda õigustatud huvile.

22. juulil määras Hollandi andmekaitseamet (APD) koostöös CNIL-iga Uber BV-le (asukoht Hollandis) ja Uber technologies INC.-le (asukoht Ameerika Ühendriikides) 290 miljoni euro suuruse trahvi isikuandmete edastamise eest väljaspool ELi piisavate kaitsemeetmeteta.

CNIL (Prantsuse andmekaitseamet) sai kollektiivse kaebuse Inimõiguste Liigalt, mis esindab platvormil enam kui 170 juhti. Hollandi andmekaitseamet (APD) leidis, et juhtide isikuandmete töötlemine, mille eest Uber BV ja Uber Technologies Inc. vastutavad ühiselt, hõlmab andmeedastust Ameerika Ühendriikidesse. Ajavahemikul 6. augustist 2021 kuni 21. novembrini 2023 (kuupäev, mil Uber lisati andmekaitseraamistikku) ei olnud nendele andmeedastustele kohaldatud asjakohaseid kaitsemeetmeid. APD jõudis järeldusele, et rikuti isikuandmete kaitse üldmääruse artiklit 44. Uber teatas oma kavatsusest see otsus edasi kaevata, pidades seda alusetuks.

Hollandi andmekaitseamet (APD) määras Clearview tehisintellektile 3. septembril ka 30,5 miljoni euro suuruse trahvi ja lisaks 5 miljoni euro suuruse trahvi nõuete rikkumise eest. Clearview oli loonud ebaseadusliku andmebaasi, mis sisaldas miljardeid näopilte, sealhulgas Hollandi kodanike näopilte. APD kehtestas ka Clearview teenuste kasutamise keelu. Kuna ettevõte ei ole näidanud üles valmisolekut oma tavasid muuta, teatas APD, et uurib mitmesuguseid õiguslikke võimalusi, sealhulgas võimalust võtta ettevõtte juhid isiklikult vastutavaks nende rikkumiste eest.

Norra Teadus- ja Tehnoloogiaülikool (NTNU) avaldas Norra Andmekaitseameti „liivakastide“ egiidi all aruande pealkirjaga „Microsoft 365 kopiloti katsetamine“.

Ülikool testis Microsofti tehisintellekti teenust Copilot ja avaldas 2024. aasta suve alguses 8 peamist järeldust, mis on kasulikud enne selle uue teenuse kasutuselevõttu.

Sloveenia andmekaitseamet (APD) leidis, et kool võib osaliselt keelduda lapsevanema esitatud juurdepääsutaotluse rahuldamisest, kui teatud andmete avalikustamine võib kahjustada alaealise parimaid huve.

14. augustil võttis Šveits vastu Ameerika Ühendriikide suhtes piisavusotsuse, mis lubab andmete edastamist ettevõtetele, mis on sertifitseeritud Šveitsi-USA "andmekaitseraamistiku" alusel.

Seega liitub Šveits Euroopa Liidu ja Ühendkuningriigiga, mis lubavad organisatsioonidel edastada oma elanike isikuandmeid Ameerika Ühendriikidesse sarnastel tingimustel.

Valitsusväline organisatsioon noyb hoiatas meediat 12. augustil sotsiaalvõrgustiku "X" eest, mis on hakanud ebaseaduslikult kasutama enam kui 60 miljoni ELi/EMP kasutaja isikuandmeid oma tehisintellekti tehnoloogia ("Grok") treenimiseks ilma nende nõusolekuta.

Erinevalt Metast (mis pidi hiljuti lõpetama oma tehisintellekti koolituse EL-is), ei teavitanud Twitter vabaühenduse väitel oma kasutajaid sellest ette. Iiri andmekaitsekomisjon on algatanud X-i vastu kohtumenetluse ja noyb on esitanud kaebusi üheksas Euroopa riigis, et need tavad lõpetada. X-i lubadus nende andmete kasutamine lõpetada saabus lõpuks siis, kui Groki uus versioon on nüüd saadaval. Vabaühenduse väitel treeniti tehisintellekti mudelit vahepeal tõepoolest EL-i andmete abil.

 

Ühendkuningriigis noomiti andmetöötlejat selle eest, et ta ei olnud enne näotuvastussüsteemi kasutuselevõttu koolis läbi viinud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 35 kohast privaatsusmõju hindamist. Samuti ei olnud andmetöötleja saanud kehtivat nõusolekut.

Ühinenud Rahvaste Organisatsioon ja Rahvusvaheline Tööorganisatsioon on avaldanud aruande pealkirjaga „Mõelge tehisintellekti lõhele – kujundage globaalset perspektiivi töö tulevikule“.

Muude leidude hulgas mainitakse aruandes, et tehnoloogia areng ohustab töökohti sellistes sektorites nagu kõnekeskused ja muud äriprotsesside allhanke liigid, mis on mõnes arenguriigis laialt levinud.

Kuigi mõningaid ülesandeid nendes ametites saaks potentsiaalselt automatiseerida, lisatakse dokumendis, et enamik neist nõuab siiski inimese sekkumist. „Selline osaline automatiseerimine võib viia tõhususe kasvuni, võimaldades inimestel pühendada rohkem aega teistele töövaldkondadele.“

USA föderaalkohtunik otsustas 5. augustil, et Google'il on ebaseaduslik monopol internetiotsingus. Kohus jõudis järeldusele, et "Google rikkus Shermani seaduse paragrahvi 2, säilitades oma monopoli kahel tooteturul Ameerika Ühendriikides – üldised otsinguteenused ja üldine tekstireklaam – oma ainuõiguslike turustuslepingute kaudu."

Nigeeria avaldas oma "riikliku tehisintellekti strateegia" eelmise aasta augustis.

Eelkõige märgitakse selles, et: „Nigeeria ja laiem Aafrika mandril on mõned kõige eripärasemad ja kaalukamad väljakutsed ja võimalused, millega tehisintellekt saaks tegeleda. Alates põllumajanduse optimeerimisest erinevates kliimatingimustes kuni rahvatervise infrastruktuuri parandamiseni on kohalikul tasandil väljatöötatud tehisintellekti lahendused, mis on kohandatud kohalikele oludele, nende väljakutsetega toimetulekuks palju paremini varustatud kui väljastpoolt pealesurutud mudelid, mis on loodud täiesti erineva konteksti ja inimeste jaoks. (...) Paljud Nigeeria andmekogumid kannatavad ebatäpsuste, puudulikkuse ja standardiseerimise puudumise all. Andmete kvaliteeti tuleb parandada, et tagada tehisintellekti algoritmide usaldusväärsus ja tõhusus, mis nõuavad optimaalseks toimimiseks puhtaid ja täpseid andmeid.“

„X” on pärast kuude pikkust konflikti Ülemkohtu kohtunikuga oma tegevuse Brasiilias peatanud.

31. augustil määras kohtunik X-ile keelu ja Elon Muski kosmosefirma Starlinki varad külmutamise. See otsus järgneb kuude pikkusele uurimisele vale- ja laimava teabe levitamise kohta sotsiaalvõrgustiku kaudu, samuti Muski edasisele uurimisele väidetava õigusemõistmise takistamise kohta.