Legal Watch nro 74 – elokuu 2024.  

Telegram, Signal, WhatsApp… Kuinka hyviä pikaviestipalvelut ovat ammatillisessa kontekstissa?

Viestisovelluksen perustajan Pavel Durovin pidätys Ranskassa on herättänyt mediassa lukuisia reaktioita. Sähke.

Aiheesta käytävästä poliittisesta keskustelusta huolimatta tapaus antaa meille mahdollisuuden tarkastella pikaviestipalveluiden luotettavuutta.

Missä määrin vaihdetut tiedot ovat todella luottamuksellisia? Ovatko nämä sovellukset vertailukelpoisia, ja voidaanko niitä käyttää ammatillisessa yhteydessä?

Useimmat pikaviestipalvelut nykyään ylpeilevät viestinnänsä salaamisesta.

Käytäntö kuitenkin vaihtelee viestipalvelusta riippuen.

Monet Telegramin käyttäjät ovat siis viime päivinä oppineet, että heidän viestintäänsä ei ole oletusarvoisesti suojattu.

Vain kahden osallistujan välinen suora viestintä, jotka ovat manuaalisesti aktivoineet salauksen keskusteluasetuksissaan, on suojattu.

On huomattava, että Telegram ei käytä avoimen lähdekoodin salausta, kuten Signal-protokollaa, vaan se luottaa "kotimaiseen" teknologiaan, jota on mahdotonta varmistaa. 

Ryhmäkeskusteluja (tai chat-kanavia) ei voida salata, ja Telegram voi siksi käyttää niiden sisältöä sekä tietoja näiden ryhmien jäsenistä ja ylläpitäjistä.

Täällä käytävät keskustelut muistuttavat enemmän sosiaalisen verkoston kuin viestipalvelun vaihtoja.

Telegramia on kritisoitu vuosien ajan keskustelukanavien moderoinnin puutteesta, monien hallitusten pyyntöjen laittoman sisällön poistamisesta huomiotta jättämisestä ja kieltäytymisestä jakamasta tietoja mahdollisista rikoksentekijöistä.

Näistä moderointi- ja yhteistyövelvoitteista lainvalvontaviranomaisten kanssa säädetään Ranskan lainsäädännössä ja digitaalisia palveluja koskevassa eurooppalaisessa asetuksessa.

Juuri tässä yhteydessä sen perustaja pidätettiin yhteistyön puutteesta ja osallisuudesta järjestäytyneeseen rikollisuuteen.

Tällä yhteistyövelvollisuudella on kuitenkin rajansa: siten päästä päähän salattu viestintä pysyy luottamuksellisena, eikä kolmas osapuoli, olipa kyseessä sitten viestipalveluntarjoaja, hallitus tai hakkeri, voi siepata sitä.

Jotkut osavaltiot ovat huolissaan salauksen laajamittaisesta käytöstä ja lobbaavat sääntelymuutosten puolesta, jotka mahdollistaisivat sen kiertämisen.

Tämä pätee erityisesti ehdotettuun lasten seksuaalista hyväksikäyttöä koskevaan EU-asetukseen.

Tämä paine heikentää viestinnän luottamuksellisuutta herättää lukuisia reaktioita yksilönvapauksien puolustajilta ja tietosuojaviranomaisilta, joille se merkitsisi yksityisen viestinnän laajamittaista valvontaa, heikentäisi digitaalista turvallisuutta murtamalla salauksen eikä antaisi mitään näyttöä siitä, että se edes saavuttaisi tavoitteensa suojella lapsia.

Nykyisen lainsäädännön ja teknologian tilan huomioon ottaen on erittäin suositeltavaa käyttää päästä päähän -salattua viestintää ammatillisten viestien vaihtamiseen, erityisesti silloin, kun viestin sisältö on arkaluonteista (esim. lääketieteellisiä tai taloudellisia tietoja).

Ja tässä suhteessa kaikki sovellukset eivät ole samanlaisia. Vaikka viestin sisältö saattaa olla suojattu, salaus ei estä tiettyjen käyttäjätunnisteiden ja/tai yhteystietojen keräämistä.

Keskusteluryhmiä käytettäessä suositellaan erityistä varovaisuutta kaikissa tapauksissa.

Ryhmien käyttö WhatsApp Arkaluonteisten tietojen vaihtaminen ammatillisessa yhteydessä on siten johtanut siihen, että tietosuojaviranomainen on määrännyt rekisterinpitäjälle seuraamuksia.

Signaali yleisesti tunnustetaan tarjoavan korkeatasoisen suojan, mutta se ei ole ainoa.

Voimme esimerkiksi mainita Threema Ja Olvid Näillä palveluilla on etunaan eurooppalaisuus. Haittapuolena niillä on kuitenkin edelleen suhteellisen tuntemattomuus. Yrityksen sisällä tällaiset viestintäjärjestelmät voivat kuitenkin tarjota mielenkiintoisen vaihtoehdon.

Huom / Lukuisat analyysit kuvaavat viestintäsovellusten vahvuuksia ja heikkouksia. Katso esimerkiksi Orange Cyberdefensen analyysi: https://www.orangecyberdefense.com/fr/insights/blog/data/securite-et-vie-privee-comparatif-des-apps-de-messagerie-instantanee

Kattavamman analyysin siitä, mitä lainvalvontaviranomaiset voivat saada viestipalvelusta, löydät tästä FBI:n koulutusdokumentista, jonka Property of the People, yhdysvaltalainen voittoa tavoittelematon hallinnon läpinäkyvyyteen omistautunut järjestö, on saanut tiedonvapauslain nojalla: https://propertyofthepeople.org/document-detail/?doc-id=21114562

 

        

SOS médecins ilmoitti 2. syyskuuta, että CNIL oli antanut hyväksyntänsä yhdistyksen perustamalle "Contact"-nimiselle tietovarastolle.

SOS-lääkäripalveluiden mukaan Contact on "omistautunut suunnittelemattomaan hoitoon ja hoitoonpääsyn parantamiseen sekä edistää terveysalan tutkimusta ja innovaatioita".

Se yhdistää turvallisesti ja luottamuksellisesti miljoonien vuosittain federaation 64 yhdistyksen hoitamien potilaiden tiedot.

Liiton mukaan tätä dataa tulisi käyttää uudelleen potilaiden hyödyksi käytäntöjen parantamiseksi ja hoidon optimoimiseksi.

Paris-Saclay-yliopisto ilmoitti joutuneensa kiristysohjelmahyökkäyksen kohteeksi 11. elokuuta. Tämä tapaus sattui viikko toisen kyberhyökkäyksen jälkeen yli 40 kulttuurilaitosta vastaan Ranskassa: kyberrikollisten kerrottiin soluttautuneen "Réunion des musées nationaux – Grand Palais" -museon yhteiseen tietokonejärjestelmään, joka keskittää kaikkien näiden laitosten taloudelliset tiedot, ja uhkasivat julkaista tiedot 48 tunnin kuluessa, jos lunnaita ei maksettaisi.

L'Usine Digitalen mukaan verkoston hallinnoimat 36 myymälää kärsivät sähkökatkoksesta ja järjestelmät olivat irti. Pariisin syyttäjänvirasto on aloittanut tutkinnan.

 

Euroopan unionin toimielimet ja elimet

Euroopan komissio on avannut kuulemisen alaikäisten suojelusta verkossa. Kuuleminen kestää 30. syyskuuta asti. erityisesti digitaalisten palveluiden lain (DSA) ja lapsipornografisen materiaalin ilmoittamista koskevan lainsäädännön yhteydessä.

DSA:n nojalla komission on kehitettävä ohjeet, jotka auttavat kyseisiä verkkoalustoja noudattamaan alaikäisten yksityisyyden ja turvallisuuden suojelua koskevia vaatimuksia.

”Nämä ohjeet tarjoavat verkkoalustojen tarjoajille ei-tyhjentävän luettelon hyvistä käytännöistä ja suosituksista, joiden avulla ne voivat vähentää alaikäisten suojeluun liittyviä riskejä. Ohjeet auttavat myös komissiota ja digitaalisten palvelujen koordinaattoreita valvomaan alustoja ja panemaan täytäntöön digitaalisia palveluja koskevaa lakia.”

Euroopan komissio julkaisee ensimmäisen raporttinsa Euroopan unionin ja Yhdysvaltojen välisen "tietosuojakehyksen" (Data Privacy Framework, DPF) toiminnasta tänä syksynä. Aiheesta pidettiin kahdenvälinen arviointikokous heinäkuussa, ja komissio on myös avannut julkisen kuulemisen, johon kommentteja voi lähettää 6. syyskuuta asti.

Kiina ja EU ovat aloittaneet keskustelut tiedonsiirrosta uuden "rajat ylittävän tiedonsiirtomekanismin" puitteissa. Euroopan komission mukaan mekanismin tavoitteena on löytää keinoja helpottaa eurooppalaisten yritysten rajat ylittäviä ei-henkilökohtaisten tietojen siirtoja sekä niiden noudattamista Kiinan tietosuojalakien kanssa.

 

Uutisia Euroopan jäsenmaista.

Saksassa Frankfurtin muutoksenhakutuomioistuin määräsi Microsoftin pidättäytymään evästeiden asettamisesta ja tallentamisesta asianomaisen henkilön laitteille ilman hänen suostumustaan, vaikka tämä tarkoittaisikin sitä, että Microsoft lopettaa seurantaevästeiden asettamisen.

Tämä päätös näyttää olevan linjassa hollantilaisen tuomioistuimen äskettäisen päätöksen kanssa, joka kielsi Microsoftia, LinkedIniä ja Xandria sijoittamasta seurantaevästeitä ilman käyttäjän suostumusta ja määräsi 1 000 euron sakon yritystä kohden jokaista päätöksen noudattamatta jättämispäivää kohden (GDPRhubin mukaan).

Belgian tietosuojaviranomainen (DPA) on hylännyt rekisteröidyn tekemän valituksen tietoturvaloukkauksen johdosta. Se katsoi, että rekisterinpitäjän yleisen tietosuoja-asetuksen 32 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet olivat asianmukaisia.

Tanskan virallinen kehitysapu katsoi, että jotta kasvojentunnistuksen käyttöön kuntokeskukseen pääsyä varten olisi vapaaehtoinen ja nimenomainen suostumus, asianomaisella henkilöllä on oltava muita varmennusmenetelmiä, jotka eivät edellytä biometristen tietojen käsittelyä.

Espanjassa tietosuojaviranomainen (APD) sakotti rekisterinpitäjää 145 000 eurolla sen jälkeen, kun tämä oli varastanut salaamattoman USB-muistitikun, joka sisälsi rikosasioihin liittyviä henkilötietoja.Hän totesi luottamuksellisuuden periaatteen rikkomisen, vaikka ei ollut näyttöä siitä, että tietoihin olisi päästy käsiksi.

Italiassa APD määräsi 20 000 euron sakon kunnalle, joka oli julkaissut laittomasti julkisessa valintaprosessissa hylättyjen hakijoiden nimet. Lisäksi kunta ei ollut tehnyt sitovaa sopimusta alihankkijansa kanssa, mikä on yleisen tietosuoja-asetuksen 28(3) artiklan vastaista.

APD määräsi myös miljoonan euron sakon televiestintäoperaattorille, joka oli ottanut yhteyttä asiakkaisiinsa kaupallisessa tiedonhankinnassa ilman voimassa olevaa suostumusta. Tietosuojaviranomainen katsoi, että rekisterinpitäjä ei voi vedota oikeutettuun etuun soittaakseen asiakkailleen markkinointitarkoituksiin.

Alankomaiden tietosuojaviranomainen (APD) määräsi 22. heinäkuuta yhteistyössä CNIL:n kanssa 290 miljoonan euron sakon Uber BV:lle (Alankomaissa) ja Uber technologies INC:lle (Yhdysvalloissa) henkilötietojen siirtämisestä EU:n ulkopuolelle ilman riittäviä suojatoimia.

Ranskan tietosuojaviranomainen CNIL sai kollektiivisen valituksen Ihmisoikeusliitolta, joka edustaa yli 170:tä alustan kuljettajaa. Alankomaiden tietosuojaviranomainen (APD) totesi, että kuljettajien henkilötietojen käsittely, josta Uber BV ja Uber Technologies Inc. ovat yhdessä vastuussa, sisältää siirtoja Yhdysvaltoihin. Näihin siirtoihin ei sovellettu asianmukaisia suojatoimia 6. elokuuta 2021 ja 21. marraskuuta 2023 (päivämäärä, jolloin Uber lisättiin tietosuojalainsäädäntöön) välisenä aikana. APD katsoi, että GDPR:n 44 artiklaa oli rikottu. Uber ilmoitti aikomuksestaan valittaa tästä päätöksestä, jota se pitää perusteettomana.

Alankomaiden tietosuojaviranomainen (APD) määräsi Clearview AI:lle myös 30,5 miljoonan euron sakon 3. syyskuuta sekä 5 miljoonan euron lisäsakon määräysten noudattamatta jättämisestä. Clearview oli erityisesti luonut laittoman tietokannan, joka sisälsi miljardeja kasvokuvia, mukaan lukien Alankomaiden kansalaisten kasvokuvia. APD asetti myös kiellon Clearview'n palveluiden käytön. Koska yritys ei ole osoittanut halukkuutta muuttaa käytäntöjään, APD ilmoitti tutkivansa erilaisia oikeudellisia keinoja, mukaan lukien mahdollisuutta pitää yrityksen johtoa henkilökohtaisesti vastuussa näistä rikkomuksista.

Norjan tiede- ja teknologiayliopisto (NTNU) on julkaissut raportin nimeltä "Piloting Copilot for Microsoft 365" Norjan tietosuojaviranomaisen "hiekkalaatikoiden" alaisuudessa.

Yliopisto testasi Microsoftin Copilot-tekoälypalvelua ja julkaisi alkukesästä 2024 kahdeksan keskeistä havaintoa, jotka ovat hyödyllisiä ennen tämän uuden palvelun käyttöön ottamista.

Slovenian tietosuojaviranomainen (APD) katsoi, että koulu voi osittain kieltäytyä vanhemman esittämästä tiedonsaantipyynnöstä, jos tiettyjen tietojen paljastaminen voi vahingoittaa alaikäisen etua.

Sveitsi hyväksyi 14. elokuuta Yhdysvaltoja koskevan tietosuojan riittävyyspäätöksen, joka sallii tietojen siirtämisen Sveitsin ja Yhdysvaltojen välisen "tietosuojakehyksen" mukaisesti sertifioiduille yrityksille.

Sveitsi liittyy näin ollen Euroopan unioniin ja Yhdistyneeseen kuningaskuntaan, jotka sallivat organisaatioiden siirtää asukkaidensa henkilötietoja Yhdysvaltoihin vastaavien ehtojen mukaisesti.

Kansalaisjärjestö noyb ilmoitti 12. elokuuta medialle sosiaalisesta verkostosta "X", joka on alkanut laittomasti käyttää yli 60 miljoonan EU:n/ETA-alueen käyttäjän henkilötietoja tekoälyteknologiansa ("Grok") kouluttamiseen ilman heidän suostumustaan.

Toisin kuin Meta (jonka tekoälykoulutus EU:ssa oli äskettäin lopetettava), kansalaisjärjestön mukaan Twitter ei tiedottanut käyttäjilleen asiasta etukäteen. Irlannin tietosuojavaltuutettu on nostanut kanteen X:ää vastaan, ja noyb on tehnyt valituksia yhdeksässä Euroopan maassa näiden käytäntöjen lopettamiseksi. X:n sitoumus lopettaa näiden tietojen käyttö tuli lopulta, kun Grokin uusi versio oli nyt saatavilla. Kansalaisjärjestön mukaan tekoälymallia todellakin koulutettiin sillä välin EU-datan avulla.

 

Isossa-Britanniassa rekisterinpitäjää nuhdeltiin siitä, ettei se ollut tehnyt Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 35 artiklan edellyttämää yksityisyyden suojaan liittyvää vaikutustenarviointia ennen kasvojentunnistusjärjestelmän käyttöönottoa koulussa. Rekisterinpitäjä ei ollut myöskään hankkinut voimassa olevaa suostumusta.

Yhdistyneet Kansakunnat ja Kansainvälinen työjärjestö Kansainvälinen työjärjestö ovat julkaisseet raportin nimeltä "Mind the AI Divide – Shaping a Global Perspective on the Future of Work".

Raportissa mainitaan muiden havaintojen ohella, että teknologinen kehitys vaarantaa työpaikkoja esimerkiksi puhelinpalvelukeskuksissa ja muissa liiketoimintaprosessien ulkoistamisen muodoissa, jotka ovat yleisiä joissakin kehitysmaissa.

Vaikka jotkin näiden ammattien tehtävistä voitaisiin mahdollisesti automatisoida, asiakirjassa lisätään, että useimmat vaativat edelleen ihmisen puuttumista asiaan. "Tällainen osittainen automatisointi voisi johtaa tehokkuuden kasvuun, jolloin ihmiset voisivat omistaa enemmän aikaa muille työtehtäville."

Yhdysvaltain liittovaltion tuomari päätti 5. elokuuta, että Googlella oli laiton monopoli internet-hakukoneissa. Oikeus totesi, että "Google rikkoi Shermanin lain 2. pykälää säilyttämällä monopolinsa kahdella tuotemarkkinoilla Yhdysvalloissa – yleisissä hakupalveluissa ja yleisessä tekstimainonnassa – yksinoikeussopimustensa kautta."

Nigeria julkaisi "kansallisen tekoälystrategiansa" viime elokuussa.

Siinä todetaan erityisesti, että: ”Nigerialla ja laajemmin Afrikan mantereella on joitakin ainutlaatuisimmista ja vakuuttavimmista haasteista ja mahdollisuuksista, joihin tekoäly voisi vastata. Maatalouden optimoinnista erilaisissa ilmastoissa kansanterveysinfrastruktuurin parantamiseen paikallisesti kehitetyt tekoälyratkaisut, jotka on räätälöity paikallisiin todellisuuksiin, ovat paljon paremmin varustautuneita vastaamaan näihin haasteisiin kuin ulkopuolelta määrätyt mallit, jotka on luotu täysin erilaiseen kontekstiin ja ihmisille. (…) Monet Nigerian tietojoukot kärsivät epätarkkuuksista, epätäydellisyydestä ja standardoinnin puutteesta. Tiedon laatua on parannettava, jotta voidaan varmistaa tekoälyalgoritmien luotettavuus ja tehokkuus, sillä ne edellyttävät puhdasta ja tarkkaa dataa toimiakseen optimaalisesti.”

”X” on keskeyttänyt toimintansa Brasiliassa kuukausia kestäneen konfliktin jälkeen korkeimman oikeuden tuomarin kanssa.

Tuomari määräsi 31. elokuuta X:lle kiellon toimia ja Elon Muskin Starlink-avaruusyhtiön varat jäädytettäväksi. Päätös seuraa kuukausia kestänyttä tutkintaa väärän ja herjaavan tiedon levittämisestä sosiaalisen verkoston kautta sekä Muskia koskevaa jatkotutkimusta väitetystä oikeudenkäytön estämisestä.