torstai 17. lokakuuta 2013

Miksi amerikkalaisten pilvipalveluiden käyttäminen kouluissa hyvin todennäköisesti rikkoo lakia?

Twitter-nimisessä viestintäpalvelussa heräsi keskustelua siitä, mitä USA:laisten pilvipalveluiden käytöstä opetuksessa pitäisi ajatella.

Snowdenin paljastusten jälkeen vähän hitaammankin yksilön päässä herää epäilys siitä, voiko yhdysvaltalaisiin yrityksiin luottaa tietojenkäsittelyasioissa. Lyhyt vastaus on että ei voi. Syy: vaikka luottaisimme yrityksiin itseensä, emme voi luottaa siihen etteikö niitä vakoiltaisi. Suosittelen lukemaan Wikipedian lyhyen artikkelin PRISM-ohjelmasta. Kannattaa myös miettiä, onko tekemäni vertaus oikea. Objektiivisestikin katsoen Yhdysvallat on kuin puolisoaan ja ympäristöään kyttäävä, sairaalloisen mustasukkainen ja ympäristöään uhkaileva puoliso. Sellaisista hankkiudutaan tavallisesti eroon ja jos muu ei auta, otetaan virkavalta apuun. Erityisen ikävä asia on se, että USA on selkeästi pettänyt meitä. EU:n ja Yhdysvaltojen välillä on Safe Harbour-sopimus ja järjestely. Sen idea on se, että USA:laiset yritykset voivat auditoida toimintansa ja luvata, että niiden palveluita käytettäessä tietosuojan ja tietoturvan taso on olennaisesti sama kuin EU-alueella. Snowden-paljastusten jälkeen on kuitenkin selvää, että koko Safe Harbour-sopimuksen asema ja vakuuttavuus on kyseenalainen. Yhdysvallat koittaa kovasti argumentoida, että Safe Harbour-sopimusta solmittaessakin on sovittu, että tiedustelutoiminta on sopimuksesta huolimatta ok. En toistaiseksi ole löytänyt mitään tukea tälle väitteelle. Lisäksi voidaan kysyä, että onko järkevää luottaa valtioon, joka omienkin kansalaisten mielestä rikkoo myös omaa perustuslakiaan?

On selvää, että Snowden-paljastusten vakavuus on jonkinasteinen mielipidekysymys. Kaikki eivät ole niin ankaria että ilmiselvässäkään tapauksessa pitäisivät moraalitonta, kyttäyksenhaluista, vallanhimoista hallintoa sellaisena. Kyse on politiikasta.

USAlaisten pilvipalveluiden käyttöön liittyy kuitenkin selkeämpikin otsikkoon liittyvä ongelma. Henkilötietolain 22§ toteaa henkilötietojen viemisestä seuraaavasti:

"Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso."

Yhdysvallat ei lähtökohtaisesti ole tällainen maa. Aiemmin katsottiin että Safe Harbour-järjestelmään liittyneet yritykset täyttävät tämän kriteerin. Enää sekään ei välttämättä riitä mutta nyt kiinnitetään huomio toiseen asiaan.

Palveluiden käyttöehdoissa on aika usein kohta, jossa palveluntarjoaja pidättää itsellään oikeuden käsitellä käyttäjän tietoja missä tahansa maassa missä palveluntarjoajalla on toimintaa.

Google Apps for Educationin käyttöehdoista löytyy tällainen kohta:

"Information collected by Google may be stored and processed in the United States or any other country in which Google or its agents maintain facilities, provided that all such facilities shall adhere to security standards no less protective than the security standard at facilities where Google stores and processes its own information of a similar type. By using the Services, Customer consents to any such transfer, processing and storage of information."

Muistakin palveluista löytyy vastaava kohta käyttöehdoista. Google ei ole tässä yksin. Ongelma on se, että käyttäjä hyväksyessään ehdot antaa luvan käsitellä käyttäjän tietoja missä tahansa maassa missä Googlella on toimintaa. Se, että Google on tietoturvatasoltaan varmasti korkeammalla tasolla kuin moni valtio ei ratkaise asiaa. Google ei ole valtio. Henkilötietojen vieminen Googlen palveluita käyttäen minne sattuu on yksiselitteisesti laitonta. Voi tietysti kysyä, että eikö ole käyttöä, jossa ei käsitellä henkilötietoja? Toki, mutta sellaisen hyödyt oppimisessa ja opetuksessa ovat kyllä aika kapeat jos ei voi käsitellä esimerkiksi etunimen ja sukunimen yhdistelmää, koska sekin on yksilöivä henkilötieto. Edes se, että Google on mukana Safe Harbour-järjestelyssä ei vaikuta asiaan mitenkään koska kyseinen järjestely koskee tietojen käsittelyä vain USA:ssa tai EU-alueella. Jos käyttäjä antaa luvan käsitellä niitä muuallakin se on käyttäjän valinta.

Nämäkin pohdinnat olivat esillä kun Ruotsin Datainspektion linjasi Salemin kunnan tapauksen tutkinnan yhteydessä "ei käy - kunnat eivät kerta kaikkiaan saa käyttää tällaisia pilvipalveluita".

Ymmärrän hyvin, että asia sotii kovasti monen intuitioita vastaan. Toivoisin kuitenkin että "eihän se nyt noin voi olla kun kaikki tekee niin" -argumenttien sijaan keskityttäisiin asian ratkaisemiseen. Lähtökohtana täytyy tietysti pitää sitä, että tietämättömyys (eihän niitä käyttöehtoja kukaan lue), välinpitämättömyys (näinhän kaikki muutkin tekee) tai muut vastaavat perustelut eivät perinteisesti ole olleet kovin hyviä selityksiä lain rikkomiselle.

Ongelma olisi tietysti mahdollista ratkaista keskustelemalla näiden yritysten kanssa. Jos tälle tielle lähtee, kannattaa varata paljon aikaa ja kärsivällisyyttä. Nostan Googlen esiin tässä asiassa esimerkkinä koska minulla on erittäin kielteisiä kokemuksia keskusteluyrityksistä. Olen kysynyt ensimmäisen kerran 17. elokuuta 2011 Googlen Petri Kokolta hyvin yksinkertaista asiaa: onko Googlen sopimusehtojen "legally competent" Suomessa 15 tai 18 vuotta? Kysymys on esitetty tämän jälkeen myös sähköpostitse maajohtaja Anni Ronkaiselle ja viimeksi Ari Lampelalle, jonka tapasin marraskuussa 2012 Haaga-Helian Softalan avajaisissa. Alan kaiketi viettää vastaamattoman kysymyksen synttäreitä. Mukaan saa ilmoittautua.

3 kommenttia:

Lauri Kaski kirjoitti...

Yhdysvaltojen harrastama tiedustelutoiminta on viimeaikoina herättänyt paljon huomiota - toisaalta mikään muu ei vuosikymmenten saatossa ole muuttunut kuin käytettävä teknologia. Tilanne meillä Suomessa on myös mielenkiintoinen jossa poliisilain 36§ antaa viranomaisille lähes rajoittamattomat oikeudet saada käyttöönsä haluamansa tieto. Tämä lainsäädäntö koskee myös Suomessa toimivia kansainvälisiä pilvipalveluoperaattoreita kuten Microsoftia ja Googlea. Keskustelu tästä asiasta on kuin Pandoran lippaan avaisi.

Muutamia epätarkkuuksia ja suoranaisia virheitä haluan kommentoida:

1. viittaukset Google Apps for Education sopimukseen liittyvät yhdysvaltalaiseen sopimukseen, ei siihen Googlen EU muotoiseen sopimukseen joka koskee suomalaisia oppilaitoksia (EU-sopimus saatavissa vaikkapa minulta). Postissa esitettyä lausetta ei löydy tästä sopimuksesta.

2. pinnallinen käsittely henkilötietojen tallentamisesta EU:n ulkopuolisiin maihin on harhaanjohtavaa. Käytännössä mm. Googlen tietoturva ja yhdenmukaisuuspolitiikka on sertifioidusti erittäin hyvä ja paikallisen lainsäädännön mukaista. Noudattamalla tietosuojavaltuutetun ohjeistusta http://www.tietosuoja.fi/9230.htm asiat ovat Suomen lakien mukaisesti asianmukaisesti hoidettu.

Tietosuojavaltuutetun ja komission direktiivin 95/46/EC artiklan 26(2) mukaiset vaatimukset saavutetaan tekemällä Goolgen kanssa kaksi lisäsopimusta tuon varsinaisen EU-EDU sopimuksen päälle: https://www.google.com/intl/en/enterprise/apps/terms/dpa_terms.html ja https://www.google.com/intl/en/enterprise/apps/terms/mcc_terms.html

Suosittelen aina tutustumaan faktoihin ennen kuin lähdetään levittämään tietoa joka ei vain pidä paikkaansa.

Lauri Kaski kirjoitti...

Ikäkysymykseen vielä lyhyt jatko.
Suomessa lain mukaisesti sopimuksia voi tehdä 18 vuotta täyttänyt henkilö. Tästä poikkeuksena lienee työsopimus ja muutama muukin.

Käytännössä alaikäisellä tulee olla vanhempien suostumus verkkopalveluiden käyttöön. Tämä hankitaan huoltajilta lupalapulla.

Eliaksen blogi kirjoitti...

Keskustelimme Laurin kanssa asiasta puhelimitse ja alun kipunoiden jälkeen pääsimme jonkinlaiseen konsensukseen.

On hyvä, että Lauri nosti esiin sen, että Suomessakin poliisilla on verraten laajat oikeudet saada tietoa sähköisestä viestinnästämme. Muualla kuin EU-alueella sijaitsevat palvelut ovat kuitenkin palveluntarjoajan kotimaan lakien alla. Snowdenin paljastusten olennainen sisältö on se, että Yhdysvaltojen tiedusteluelimet ovat toimineet laittomilla tavoilla. Lisäksi kannattaa ottaa huomioon se, että EU:n LIBE-komitean kuulema, YK:n ihmisoikeusraportoijanakin toiminut prof. Martin Scheinin totesi, että ei ole epäilystäkään siitä, etteikö sekä Iso-Britannian ja Yhdysvaltain toiminta rikkoisi kansainvälisiä ihmisoikeussopimuksia. Sattumalta nämä kaksi maata ovat niitä harvoja maita, jotka eivät ole ratifioineet sopimusta, joka mahdollistaisi oikeusprosessin niitä vastaan ihmisoikeusrikkomusten tapauksessa. Scheininin lausunto löytyy mm. täältä: http://www.surveille.eu/index.php/professor-martin-scheinin-testifies-today-before-european-parliaments-libe-committee-inquiry-on-surveillance/

On mainio asia jos Googlen nykyisistä Edu-sopimuksista ei enää löydy mainitsemaani kohtaa. Asiassa on vieläkin sellainen ongelma, että niitä ei ole missään nähtävänä julkisesti. Aiemmin niissä oli salassapitoehto, jossa kiellettiin sopimuksen paljastaminen ulkopuolisille tahoille.

Käyttäjän kannalta ongelma on kaikissa pilvipalveluissa sama: käyttäjä ei voi tietää mitä oma organisaatio on sopinut. Jos oman organisaation tietohallinto on ollut lepsu, virheitä on voinut tapahtua.

Sama koskee Laurin mainitsemia EU:n komission lisäsopimusmalleja. Niiden tarkoitus on toimia yleisenä sopimusraamina, joka mahdollistaa henkilötietojen viemisen turvallisesti myös maihin, jotka lähtökohtaisesti ovat turvattomia. Näissäkin on käyttäjän kannalta ongelma: mistä käyttäjä tietää että ne on allekirjoitettu? Miten käyttäjä tietää miten ne suhtautuvat runkosopimukseen: sovelletaanko varmasti lisäsopimusmalleja ensin eikä jotain mahdollisesti väljempää runkosopimusta?

Jos nämä asiat ovat sopimuksessa ja siellä on se salauspykälä, käyttäjä ei voi saada näistä olennaisista asioista tietoa. Niin kauan kuin organisaation tietohallinto kantaa vastuun ongelmaa ei ole. Entä sitten kun teknisesti samaa palvelua käyttävät ihmiset, jotka eivät ole minkään tietohallinnon ja lisäsopimusmallien alla? En vielä ole nähnyt yhtään pilvipalvelua, joka korvamerkitsisi tällaiset käyttäjät jotenkin.