Data kertoo meistä käytännössä kaiken. Siksi niin monet haluavat kerätä ja käyttää sitä. Onko yksityisyys jo menetetty, vai turvaavatko tietosuoja-asetus ja tiedustelulait meidän henkilötietomme?

Vuonna 2013 joku saattoi huomata pienen tiedeuutisen, jossa kerrottiin Cambridgen yliopiston tutkijoiden havainneen, että Facebookin “tykkäysten” perusteella voi päätellä muun muassa ihmisen luonteen, uskonnon, etnisen taustan, poliittiset mielipiteet, seksuaaliset mieltymykset, älykkyyden jne. Itse asiassa tutkijoiden kehittämä algoritmi pystyi arvioimaan ihmisten luonteenpiirteitä paremmin kuin heidän puolisonsa.

Sittemmin kyseiset tutkijat rekrytoitiin yritykseen nimeltä Cambridge Analytica, joka auttaa eri maiden poliitikkoja kohdentamaan äänestäjille henkilökohtaisesti räätälöityä viestintää. Neuroottiselle aseksuaalille katoliselle konservatiiville kannattaa kohdentaa erilaisia mainoksia ja uutislinkkejä kuin masentuneelle biseksuaalille agnostikko-liberaalille, etenkin jos toisen halutaan jäävän vaalipäivänä kotiin ja toisen äänestävän.

Cambridge Analytican tunnetuimpia asiakkaita ovat olleet Donald Trump ja Iso-Britannian Brexit-äänestyksen Leave-kampanja. Pelkästään Leave-kampanjaan osallistuneet järjestöt maksoivat lehtitietojen mukaan Cambridge Analytican kanadalaiselle AggregateIQ-tytäryhtiölle some-viestintänsä kohdentamisesta lähes viisi miljoonaa euroa. Rahojen käyttöä ei ole voitu arvioida, koska Iso-Britannian vaalilait eivät ulotu Kanadaan.

Cambridge Analytica on hyvä esimerkki siitä, mitä kaikkea meistä kerätyillä tiedolla voidaan tehdä, on sitten kyse hakukonehistoriasta, sosiaalisesta mediasta, sijaintidatasta tai ostoskäyttäytymisestä. Kaikki henkilötiedot ovat arvokkaita, etenkin yhdistettyinä. Moni haluaisikin rajoittaa radikaalisti omien henkilötietojensa keräämistä, mutta samalla monet heidän käyttämänsä digitaaliset palvelut lakkaisivat toimimasta.

Lainsäätäjät ovat heränneet henkilötietojen keräämisen ja hyödyntämisen kysymyksiin jälkijunassa. Esimerkiksi Saksan liittokansleri Angela Merkel on vaatinut, että nettipalveluiden taustalla olevien algoritmien tulisi olla läpinäkyviä, jotta ihmiset voisivat arvioida, miten esimerkiksi hakukoneet ja sosiaalinen media vaikuttavat meidän mielipiteisiimme ja käytökseemme

Euroopan Unionin vastaus henkilötietojen hallinnan kysymyksiin on yleinen tietosuoja-asetus, GDPR, jonka tavoitteena on parantaa eurooppalaisten tietosuojaa suhteessa meistä tietoja kerääviin yrityksiin ja viranomaisiin. Asetuksen ehkä radikaalein muutos on periaatteellinen; Enää ei riitä, että henkilörekisterin pitäjä noudattaa tietosuojalakia, sen on pystyttävä myös osoittamaan se.

Tietosuoja-asetusta ei pysty kiertämään siirtämällä pilvipalvelimet EU:n ulkopuolelle, vaan organisaation toimipaikka EU:n alueella ratkaisee. Asetusta voidaan tietyissä tilanteissa soveltaa jopa kokonaan EU:n ulkopuolella toimiviin organisaatioihin, kun ne käsittelevät eurooppalaisten henkilötietoja.

GDPR tuo eurooppalaisille uusia oikeuksia, esimerkiksi oikeuden tarkistaa omat tietonsa ja saada tieto myös siitä, miten omia tietoja on käsitelty. Lisäksi ihmisille on ilmoitettava heidän tietojaan koskevista tietoturvaloukkauksista.

Henkilötietojen kaupallisen ja poliittisen hyödyntämisen kannalta tärkein on GDPR:n vaatimus, ettei henkilötietoja saa käyttää muihin tarkoituksiin kuin siihen, jota varten ne on kerätty. Tätä yritetään todennäköisesti kiertää listaamalla verkkopalveluiden käyttöehtoihin käyttötarkoituksia mahdollisimman laveasti. Vain ani harvat kun lukevat käyttämiensä palveluiden käyttöehdot alusta loppuun. Vasta tuleva eurooppalainen oikeuskäytäntö näyttää, kuinka sitovia verkkopalveluiden käyttöehdot käytännössä ovat.

Perinteisemmän uhkakuvan yksityisyydelle muodostavat kansalliset turvallisuusviranomaiset. Suomi on Euroopan ainoa maa, jonka turvallisuusviranomaisilla ei ole varsinaisia tiedusteluvaltuuksia. Niiden asemesta Suojelupoliisi ja sotilastiedustelu ovat käyttäneet pakkokainolain sallimia tiedonhankintakeinoja, jotka edellyttävät sekä vakavaa rikosta että epäiltyä henkilöä.

Suomeen on kolmen vuoden ajan valmisteltu noin 1000-sivuista tiedustelulakipakettia, josta käyty keskustelu on keskittynyt tietoliikennetiedusteluun, joka on kuitenkin vain pieni osa laajasta kokonaisuudesta. Esitetyt tiedustelulait kattavat sekä sotilas- että siviilitiedustelun sekä kotimaassa että ulkomailla

Jos tiedustelulait hyväksytään esitetyssä muodossa, Suomen sotilas- ja siviiliturvallisuusviranomaiset saisivat toimivaltuudet paitsi tietoliikennetiedusteluun myös esimerkiksi henkilö- ja tietojärjestelmätiedusteluun, jos tuomioistuin arvioi, että ”vakava uhka kansalliselle turvallisuudelle” sitä vaatii. Tällainen uhka voisi olla esimerkiksi suomalaisiin ulkomailta kohdistuva tiedusteluoperaatio, jonka torjuntaan perinteiset pakkokeinot eivät riitä.

Tiedustelulakien merkitystä alleviivaa se, että ne edellyttäisivät perustuslain muutosta. Lisäksi tiedusteluoperaatioita valvomaan ollaan perustamassa tiedusteluvaltuutetun virkaa ja eduskuntaan tiedusteluvalvontavaliokuntaa. Koska Suomi on tiedustelulakeja säätäessään muista maista jäljessä, voimme ottaa opiksi muiden maiden virheistä. Historia on opettanut tiedustelutoiminnan vaativan riippumatonta luvitusta ja valvontaa.

Tiedustelulakien valmistelu on vielä kesken, ja esimerkiksi tietoliikennetiedustelun rajoista keskustellaan edelleen. Toivottavasti myös muista tiedustelulakien yksityiskohdista muistetaan keskustella. Muuten monelle tulee ikävänä yllätyksenä, kun ensimmäinen suomalainen tiedusteluhenkilö palautetaan Suomeen ei-toivottuna henkilönä, tai kun suomalainen urkintaohjelma löytyy naapurimaan ministeriön tietokoneista.


Jyrki J.J. Kasvi on kansanedustaja, toimivapaalla Tietoyhteiskunnan kehittämiskeskus TIEKEstä.