Legal Watch nro 64 – lokakuu 2023.

Salaus ja takaportit: teknisistä rajoituksista yhteiskunnallisiin haasteisiin.

Ranskan ajankohtaiset tapahtumat heijastelevat Euroopassa käynnissä olevaa keskustelua, nimittäin lainvalvontaviranomaisten pääsyä salattujen viestien sisältöön.

Sisäministeri kommentoi radiossa äskettäistä Arrasin lukion iskua 22. lokakuuta ja ilmaisi toiveensa, että päästä päähän salattuihin viestintäjärjestelmiin integroitaisiin takaovi, jonka avulla viestien salaus voitaisiin ohittaa ja niiden sisältöön päästä käsiksi.

Ministerin mukaan tämä tekniikka on tehokkaampi vaihtoehto nykyisille ratkaisuille, joissa tiedustelupalvelut hakkeroivat epäillyn puhelimeen esimerkiksi vakoiluohjelmien asentamiseksi.

Tämä lain tiukasti sääntelemä käytäntö oli epäonnistunut iskun tehneen terroristin valvonnan aikana.

Nykyään puhutaan paljon "asiakaspuolen skannauksesta", joka on eri tekniikka kuin viestien sieppaaminen ("mies välissä" - HDM).

Euroopan tietosuojavaltuutetun 23. lokakuuta järjestämässä aiheesta järjestetyssä seminaarissa puhunut asiantuntija kuvaili näitä tekniikoita seuraavasti: "välimies" sieppaa viestejä niiden lähetyksen aikana, kun taas "asiakaspuolen skannaus" tarkoittaa kuvaannollisesti sanottuna viestin lukemista kirjoittajan olkapään yli – ennen salausta – ja viestin vertaamista kyseenalaisen tietokannan sisältöön.

Tämä on sisällön moderoinnin muoto, jota suoritetaan käyttäjän päätelaitteella.

Kaksi aloitetta, joilla pyritään käyttämään asiakaspuolen skannausta systemaattisesti, ovat tällä hetkellä herättäneet paljon reaktioita Brysselissä ja Lontoossa niiden tunkeilevan luonteen vuoksi.

Euroopan tasolla CSAM-asetusehdotus herättää eniten kritiikkiä.

Tekstin tavoitteena on torjua verkossa olevaa lapsipornoa havaitsemalla laittoman sisällön levittämistä.

Vaikka tämän tavoitteen äärimmäisen tärkeästä merkityksestä vallitsee yksimielisyys, monet sidosryhmät kyseenalaistavat ehdotettujen toimenpiteiden tehokkuuden, tarpeellisuuden ja oikeasuhteisuuden.

EU:n tietosuojaviranomaiset, eurooppalaisten toimielinten asiantuntijat sekä lastensuojelujärjestöt, tutkijat, kyberturvallisuusasiantuntijat ja lasten seksuaalisen hyväksikäytön uhrit ovat ilmaisseet vakavan huolen.

Sen lisäksi, että lainvalvontaviranomaiset voivat ylikuormittaa väärillä positiivisilla, kriitikot pelkäävät, että tämä on askel liian pitkälle kohti yhteiskuntaa, jossa jokainen meistä elää jatkuvan valvonnan tunteessa.

Yli sadalle alan johtavalle tutkijalle sisällön skannauksen toteuttaminen on lopulta teknisesti mahdotonta heikentämättä päästä päähän -salausta ja loukkaamatta käyttäjien yksityisyyttä.

Monet asiantuntijat ovat yhtä mieltä siitä, että nykyiset huipputeknologiset ratkaisut eivät ole riittävän luotettavia ja ovat myös alttiita kyberhyökkäyksille.

Tähän johtopäätökseen ovat tulleet myös Apple, joka ilmoitti tänä kesänä luopuvansa algoritmiprojektistaan, sekä Signal-viestipalvelun johtaja Meredith Whittaker: "Jos poliisi pääsee sisään, niin pääsevät myös hakkerit, vihamieliset maat, Putin, Iranin hallitus ja kaikki, jotka haluavat tehdä pahaa (...). Siksi on tärkeää, että ylläpidämme näiden järjestelmien turvallisuutta ja eheyttä."

Tässä suhteessa Britannian hallitus näyttää pehmentäneen kantaansa uuteen, 26. lokakuuta säädettyyn verkkoturvallisuutta koskevaan lakiin (”Online Safety Bill”).

Ministerit eivät kuitenkaan poistaneet kiistanalaista valvontalauseketta, vaan asettivat sen täytäntöönpanon ehdoksi sen teknisen toteutettavuuden.

Ison-Britannian teknologia-alan sääntelyviranomaisella (Ofcom) on edelleen valta vaatia teknologiayrityksiä kehittämään skannausohjelmistoja kehittyvän teknologian mukaisesti.

Jos tämä teknologia tulee saataville, jää nähtäväksi, miten viranomaisten sortavien tavoitteiden ja yksilöiden yksityisyyden välistä tasapainoa arvioidaan.

 

• CNIL määräsi 12. lokakuuta CANAL+ GROUPille 600 000 euron sakon.

Sakko liittyy erityisesti tiedonantovelvollisuuden rikkomuksiin, asianomaisten henkilöiden oikeuksien käyttöön, yrityksen työntekijöiden salasanoihin liittyviin turvallisuusongelmiin, alihankintaan ja siihen, että yritys ei ilmoittanut CNIL:lle vuonna 2020 tapahtuneesta vakavasta henkilötietojen tietoturvaloukkauksesta.

• CNIL järjestää eettisen pohdintatilaisuuden 28. marraskuuta otsikolla "Tekoäly ja vapaa tahto: olemmeko digitaalisia lampaita?".

Tutkijat, asiantuntijat ja kuvataiteilijat vaihtavat näkemyksiä tekoälyn vaikutukseen yksilön valintoihin liittyvistä tärkeistä eettisistä kysymyksistä.

• Myös tekoälyyn liittyen CNIL julkaisi 11. lokakuuta käytännön oppaita tekoälyjärjestelmien koulutustietokantojen luomisesta.

Näiden tietosivujen tarkoituksena on auttaa ammattilaisia yhdistämään innovaatiot yksilön oikeuksien kunnioittamiseen. Ne ovat avoinna julkiselle kuulemiselle 16. marraskuuta 2023 asti.

• Kansalaisjärjestö noyb teki Ranskassa 14. syyskuuta kolme valitusta Fnacia, kiinteistönvälityssovellus SeLogeria ja kuntoilusovellus MyFitnessPalia vastaan.

Näiden yritysten sovellukset pääsisivät laittomasti käyttäjien henkilötietoihin ja jakaisivat niitä kolmansille osapuolille kehittyneitä analyysitarkoituksia varten heti sovelluksen avaamisen jälkeen ilmoittamatta asiasta asianomaisille henkilöille tai hankkimatta heidän suostumustaan.

Kansalaisjärjestö aikoo tehdä lisää valituksia mobiilisovellusyrityksiä vastaan.

 

Euroopan unionin toimielimet ja elimet

• Euroopan komissio käynnisti 12. lokakuuta tutkinnan X:n digitaalisten palveluiden asetuksen (DSA) noudattamisesta, ja nyt se tarkastelee myös Metaa ja TikTokia.

Sosiaalisen median yritysten on kerrottu saaneen virallisia tietopyyntöjä siitä, miten ne ovat käsitelleet laitonta sisältöä ja disinformaatiota Israelin ja Hamasin välisen sodan alkamisen jälkeen.

• Jotkut arvostelevat Euroopan komissiota siitä, ettei se kunnioita omia sääntöjään sosiaalisen median mikrokohdentamisesta.

Nykyään lehdistö, kansalaisjärjestöt ja Euroopan parlamentin jäsenet syyttävät häntä siitä, että hän on kohdistanut viestinnässään tiettyihin internetin käyttäjäprofiileihin yleisöille maissa, jotka suhtautuvat skeptisesti hänen ehdottamaansa lapsipornografiaa koskevaan asetukseen.

• Euroopan komissio julkaisi syyskuussa 2023 kaksi tekoälyä koskevaa mallisopimuslauseketta, joita voidaan käyttää vapaaehtoisesti tekoälyyn liittyvissä julkisissa hankinnoissa riippumatta siitä, onko käsittelyssä korkea riski vai ei.

Lausekkeet on suunnattu julkisille elimille, jotka haluavat hankkia ulkopuolisen toimittajan kehittämän tekoälyjärjestelmän.

• Euroopan tietosuojavaltuutettu (EDPS) julkaisi 23. lokakuuta suositukset EU:n lainsäätäjille tekoälyasetusta koskeviin kolmikantaneuvotteluihin.

Erityisesti se kannattaa sitä, että asetukseen sisällytetään tekoälyjärjestelmien käytöstä kärsivien henkilöiden oikeus tehdä valitus toimivaltaiselle viranomaiselle ja hyötyä tehokkaista oikeussuojakeinoista sen päätöksiä vastaan.

Hän toistaa edelleen vaatimuksensa tietosuojaviranomaisten nimeämisestä kansallisiksi valvontaviranomaisiksi.

Hän tukee myös eurooppalaisen lähestymistavan tarvetta, erityisesti merkittäviä vaikutuksia omaavissa rajat ylittävissä tapauksissa, sekä Euroopan parlamentin ehdotusta perustaa "Euroopan tekoälyvirasto".

• Euroopan tietosuojavaltuutettu antoi myös 11. lokakuuta lausunnon kahdesta tekoälyn vastuusääntöihin liittyvästä ehdotetusta ohjeesta.
• Euroopan tietosuojaneuvosto (EDPB) ja Euroopan tietosuojavaltuutettu hyväksyivät 19. syyskuuta yhteisen lausunnon ehdotuksesta asetukseksi yleisen tietosuoja-asetuksen soveltamista koskevista lisämenettelysäännöistä.

Tämän ehdotuksen tarkoituksena on varmistaa nopeiden korjaavien toimenpiteiden täytäntöönpano yksilöiden hyväksi rajat ylittävissä tapauksissa.

Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu kehottavat yhdenmukaistamaan kattavasti hyväksyttävyysvaatimukset, ehdottavat yhteisymmärryksen rakentamisen parantamista asiaankuuluvien valvontaviranomaisten laajemman osallistumisen avulla ja kehottavat lainsäätäjiä säilyttämään nykyisen lähestymistavan osapuolten oikeuteen tulla kuulluksi riitojenratkaisuprosessissa.

• Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu antoivat 17. lokakuuta yhteisen lausunnon digitaalista euroa koskevasta asetusehdotuksesta.

Sääntelyviranomaiset hyväksyvät erityisesti sen, että käyttäjille säilytetään mahdollisuus maksaa digitaalisilla euroilla tai käteisellä.

Ne esittävät kuitenkin useita huomioita sen varmistamiseksi, että käsitellään vain välttämättömiä henkilötietoja, erityisesti petosten torjunnan yhteydessä, ja jotta vältetään henkilötietojen liiallinen keskittäminen Euroopan keskuspankin tai kansallisten keskuspankkien toimesta.

• Lokakuun täysistunnossaan Euroopan tietosuojaneuvosto valitsi kolmannen koordinoidun GDPR-täytäntöönpanotoimensa teemaksi: miten yritykset toteuttavat yksilöiden tiedonsaantioikeutta.

Tämä toimenpide on suunniteltu vuodelle 2024, ja sitä seurataan kohdennetusti sekä kansallisella että Euroopan tasolla.

• Norjan tietosuojaviranomainen (DPA) antoi 31. lokakuuta lausunnon, jonka mukaan sen Metaa koskeva päätös laajennetaan EU:hun/ETA-alueeseen.

Lehdistötiedotteessa todetaan, että Euroopan tietosuojavaltuutettu (EDPB) on juuri hyväksynyt Norjan Facebook- ja Instagram-käyttäytymismarkkinointikiellon pysyvän laajentamisen koko Eurooppaan.

• Paljastustensa ja Euroopan parlamentin Pegasus-vakoiluohjelmaa koskevan tutkinnan jälkeen Amnesty Internationalin ja European Investigative Collaborationsin (EIC) raportti tarkastelee Predator-tapausta ja korostaa EU:n kyvyttömyyttä säännellä vakoiluohjelmien väärinkäyttöä omalla alueellaan.

Raportti keskittyy Euroopassa toimivaan Intellexa Alliance -nimiseen ryhmään, joka "kehitti, käytti ja markkinoi" "valvontatuotteiden sarjaa" vuosina 2007–2022. 

Näiden tuotteiden avulla on mahdollista lähettää hiljaisia tartuntayrityksiä yhteistyössä toimivien internet-palveluntarjoajien käyttäjille tai koko maahan, jos vakoiluohjelman ylläpitäjällä on suora pääsy internet-liikenteeseen.

• Euroopan lääketeollisuuden (EPFIA) edustajat vastustivat 6. syyskuuta ehdotuksessa tulevasta eurooppalaisesta terveystietoavaruudesta (EHDS) annettavaa asetusta, jossa kielletään terveystietojen kerääminen toissijaista käyttöä varten.

Ryhmän kanta heijastaa tutkijoiden ja teknologiasuunnittelijoiden huolenaiheita, jotka pelkäävät, että järjestelmään lisättävä opt-out-mahdollisuus vaarantaa datan käytön tutkimuksessa ja innovoinnissa.

• TikTok ilmoitti 5. syyskuuta 2023 päivätyssä lehdistötiedotteessa vahvistavansa eurooppalaisten käyttäjiensä tietosuojaa.

Yhtiö suunnittelee kahta uutta datakeskusta Eurooppaan Dublinin datakeskuksen lisäksi.

TikTok on myös palkannut kolmannen osapuolen eurooppalaisen tietoturvayrityksen suorittamaan riippumattoman tarkastuksen tietojenkäsittelystään.

 

Uutisia Euroopan jäsenmaista.

• Belgian tietosuojaviranomainen (APD) julkaisi 20. lokakuuta tarkistuslistan, joka auttaa organisaatioita varmistamaan, että niiden evästeitä ja muita seurantamekanismeja koskevat käytännöt ovat voimassa olevien määräysten mukaisia.

Dokumentin avulla voit käydä läpi hyviä ja huonoja käytäntöjä askel askeleelta.

APD muistuttaa meitä, että vain ehdottoman välttämättömät evästeet on vapautettu suostumuksesta ja että kaikki muut evästeluokat voidaan asettaa ja lukea vain, jos käyttäjä on antanut etukäteen vapaan, yksilöidyn, tietoisen, yksiselitteisen ja aktiivisen suostumuksensa.

• Amsterdamin käräjäoikeus antoi 18. lokakuuta tärkeän päätöksen yhteenvetona koskevassa menettelyssä, joka koski mainosteknologiaa ja seurantaevästeitä.

Ranskalainen Criteo-yritys ei voi vedota pelkästään asiakkaidensa (verkkosivustojen julkaisijoiden) sopimusvelvoitteeseen hankkia internetin käyttäjien suostumus: se on myös vastuussa pätevän suostumuksen hankkimisesta evästeiden sijoittamista varten, ja jos suostumusta ei ole saatu (ja julkaisijan suostumusta ei ole), evästeiden sijoittaminen on laitonta.

Päätös perustuu Rooma II -yleissopimukseen (tuomioistuimen toimivalta), sähköisen viestinnän tietosuojadirektiiviin ja yleiseen tietosuoja-asetukseen.

Oikeus tunnustaa CNIL:n päätöksen ja hylkää Criteon puolustuksen, jonka mukaan kantaja ei ollut määrittänyt selainta hylkäämään evästeitä.

Se hylkää myös väitteen, jonka mukaan kantajan vaatimukset vahingoittaisivat sen liiketoimintamallia, koska kantajan yksityisyyden suoja on etusijalla.

Tuomioistuin soveltaa edelleen unionin tuomioistuimen Österreichische Post -tapauksessa (C-154/21) antamaa tuomiota ja toteaa, että Criteon on annettava täydellinen kuvaus kolmansista osapuolista, joiden kanssa tietoja on jaettu.

• Kreikan tietosuojaviranomainen (DPA) on määrännyt Ateenan kaupunkiliikenneorganisaatiolle (OASA) 50 000 euron sakon yleisen tietosuoja-asetuksen 5(1)(e) artiklan rikkomisesta, koska sen sähköinen lippujärjestelmä ei noudattanut tallennusrajoituksen periaatetta.

Hän nuhteli lisäksi OASAa yleisen tietosuoja-asetuksen 35(1) artiklan rikkomisesta, koska sen sähköisen lippujärjestelmän tietosuojavaikutustenarviointi oli riittämätön.

• Ruotsin tietosuojaviranomainen (APD) on määrännyt Tukholman kaupungin koululautakunnalle 800 000 Ruotsin kruunun (noin 68 324 euron) sakon valvontakameroiden käytöstä koulussa yleisen tietosuoja-asetuksen artiklan 5(1)(a) ja (c), artiklan 6(1) ja 13 vastaisesti.
• Italian tietosuojaviranomainen (APD) on määrännyt italialaiselle asianajajaliitolle 20 000 euron sakon kahden valittajan tietojen julkaisemisesta verkkosivuillaan ilman laillista perustetta. Sakko perustuu GDPR:n 10 artiklaan ja Italian yksityisyydensuojalain 2octies artiklaan.
• Kroatian tietosuojaviranomainen (APD) on määrännyt perintätoimisto EOS Matrix doo:lle historian suurimman hallinnollisen sakon, 5 470 000 euroa, useista GDPR-rikkomuksista.
• Isossa-Britanniassa Clearview AI voitti valituksensa Ison-Britannian tietosuojaviranomaisen (DPA) määräämästä sakosta ensimmäisen asteen tuomioistuimessa (FTT).

Oikeus katsoi, ettei "Yhdistyneen kuningaskunnan yleistä tietosuoja-asetusta" sovellettu, ja väitti, että Clearview'n käsittelytoimintaan kuului palvelun suorittaminen kolmannessa maassa sijaitsevien lainvalvontaviranomaisten puolesta, mikä ei kuulunut GDPR:n eikä "Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen" soveltamisalaan.

Oikeus katsoo lisäksi, että Clearview ja sen asiakkaat ovat yhteisrekisterinpitäjiä tässä repressiivisessä tarkoituksessa tapahtuvassa käsittelyssä.

Tuomioistuimen perustelut ovat herättäneet paljon keskustelua tietosuoja-asiantuntijoiden keskuudessa yhteisrekisterinpitäjien määrittelystä ja siitä, ettei kyseiseen tapaukseen sovelleta eurooppalaista ja/tai brittiläistä lakia.

• Lokakuun alussa Snapin tekoälychatbot herätti ICO:n huomion.

APD ilmoitti antaneensa Snapille alustavan täytäntöönpanomääräyksen, koska se kuvailee sitä "mahdolliseksi laiminlyönniksi arvioida asianmukaisesti sen chatbotin 'My AI' aiheuttamia yksityisyysriskejä".

Yhä useammat tietosuojaviranomaiset, kuten Isossa-Britanniassa ja Italiassa, ottavat tekoälysääntelyviranomaisten vastuut.

 

• Global Privacy Assembly (GPA) piti vuosikokouksensa lokakuun puolivälissä Bermudalla.

Viranomaiset keskustelivat yksityisyyden suojaa koskevien määräysten soveltamisesta tekoälyyn ja hyväksyivät 20. lokakuuta päätöslauselman generatiivisesta tekoälystä.

Päätöslauselma annetaan samaan aikaan, kun G7-maiden johtajat hyväksyivät 30. lokakuuta kansainväliset tekoälyä (AI) ohjaavat periaatteet ja vapaaehtoisen käytännesäännöstön tekoälykehittäjille osana Hiroshiman tekoälyprosessia.

• Yhdysvallat julkaisee myös tekoälyasetuksen ja tekoälyn riskienhallintakäsikirjan 30. lokakuuta, kun taas Yhdistynyt kuningaskunta järjestää tekoälyn turvallisuushuippukokouksen 2. marraskuuta.
• Uuden-Seelannin tietosuojavaltuutetun toimisto on julkaissut oppaan tekoälyjärjestelmien kehittämisestä ja käytöstä tietosuojaperiaatteiden (PPP) mukaisesti.
• Kanada julkaisi myös syyskuussa käytännesäännöt edistyneiden generatiivisten tekoälyjärjestelmien kehittäjille ja hallinnoijille.

Säännöissä yksilöidään toimenpiteet, joilla lievennetään näihin järjestelmiin liittyviä riskejä, kuuden perusperiaatteen pohjalta: vastuullisuus, turvallisuus, oikeudenmukaisuus/tasa-arvo, läpinäkyvyys, ihmisen suorittama valvonta sekä järjestelmien pätevyys/luottavuus.

• Yhdysvallat: Yhdysvaltain 41 osavaltion oikeusministerit ovat yhdistäneet voimansa nostaakseen kanteen Metaa vastaan väittäen, että sen sosiaalisen median alustat Instagram ja Facebook ovat riippuvuutta aiheuttavia ja haitallisia lapsille.

Kanteessa Metaa syytetään toistuvasta ja järjestelmällisestä alle 13-vuotiaiden lasten tietojen keräämisestä sekä vanhempien tiedottamatta jättämisestä tai suostumuksen hankkimatta jättämisestä tietojen käyttöön.

• Kalifornia julkaisi 12. lokakuuta 2023 lakiesityksen, joka sääntelee datavälittäjiä ja muuttaa olemassa olevaa vuoden 2018 lakia (CCPA).

Tekstissä määrätään, että tiedonvälittäjien on rekisteröidyttävä tietosuojaviranomaiselle ja annettava sille yksityiskohtaisempia tietoja yksittäisistä pyynnöistä, tiettyjen tietojen keräämisestä ja pakollisesta lainmukaisuuden tarkastuksesta.

Hankkeessa luodaan myös mekanismi, jonka avulla yksilöt voivat pyytää kaikkia tiedonvälittäjiä poistamaan heitä koskevat henkilötiedot.

• Geenitestauspalvelu 23andMe on kärsinyt tietomurrosta.

Hakkeri julkaisi neljän miljoonan käyttäjän geneettiset tiedot kyberrikollisuusfoorumilla BreachForumsissa.

Tämä tapaus seuraa toista vuotoa, joka tapahtui lokakuun alussa.

• Yhdistyneissä arabiemiirikunnissa tekoälyn, digitaalitalouden ja etätyösovellusten ministeriö on julkaissut raportin nimeltä "Itsehallintokehys vastuulliselle metaversumille".