Digikaari

KirjoittanutjounijsrkijrviKategoria(t):Yleinen

Kuvitteellisen lainsäädäntöhankkeen hahmottelua             
Jouni J Särkijärvi 26.12.2016, muutettu 17.11.2018

Yhteiskunnan ja elämän digitalisoituminen synnyttää uusia tilanteita, joissa yhteiskunnan tai yksilön intressit edellyttävät turvaamista lainsäädännön tasolla. Aikaisemmin on säädöksiä vahvistettu koskemaan mm. henkilörekistereitä, identiteettivarkauksia, julkisen data julkisuutta ja tekijänoikeuksia.

Seuraavassa on listattu asiakokonaisuuksia ja ongelmia, joihin on löydettävissä hyödyllisiä säädösratkaisuja. Lähtökohtana on strateginen ajattelu reaalimaailman tilanteiden pohjalta, ei niinkään se, mitä on perinteisesti tai muualla maailmassa pidetty lainsäädännön piiriin kuuluvana. (Esimerkiksi sähkön suhteen on paljon eri osapuolia koskevia pelisääntöjä, joita vastaavia ei ole internet-maailmassa.)

Historiallisen mallin mukaan samaa aihepiiriä koskevat lait voidaan yhdistää kaareksi. Tämä yksinkertaistaa niiden sovittamista yhteen.

En tunne riittävän hyvin tietoliikenneteknologiaa, joten sen suhteen listassa on virheitä ja puutteita.

Henkilötietolain korvaava tietosuojalaki on hyväksytty eduskunnassa 13.11.2018. Se täydentää EU:n tietosuoja-asetusta (GDPR). Sosiaaliturva- ja vakuutusasioiden tietoturvasta säädettävä vastaava laki on kesken eduskunnassa.

Huoltovarmuuskeskus on julkaissut raportin Huoltovarmuuden skenaariot 2030.

Lokakuu oli jälleen EU:n kyberturvallisuuskuukausi, ja seminaariaineistoa löytyy netistä.

Kansallinen palveluarkkitehtuuri

  1. yhteensopivuus vaatimus ei sisälly tietohallintolakiin, sote-laeissa jää auki (?)
  2. avoimuuden määrittely kuuluu yksilönsuojaa käsitteleviin lakeihin
  3. kansalaisen oikeus tietoihinsa kunkin erityislain yhteydessä
    1. tietojen omistus oleellista kun julkishallinto ostaa palveluja: miten irrotetaan tiedot, jos palveluntuottaja vaihtuu. Kuuluisi tietohallintolakiin tai sote-lakeihin, ei ole (?) 

Elintärkeiden tietojärjestelmien suojaaminen (huolellisuusvelvoite) kokonaisuudessaan sääntelemättä

  • tietosuojaluokittelu ja –vaatimukset (EU-tason standardisointi?)
  • hakkerointitestauksen järjestäminen
  • rajoitukset verkkoon kytkemisessä
  • EMP-suojaus

Yleinen tietojärjestelmän suojaaminen

  • suojausvelvollisuus julkisella ja yksityissektorilla säädettävä lailla
  • konekaappauksien estäminen tarvitaan jokin tekninen ratkaisu, jolla voidaan tunnistaa kaappaus; tällöin voidaan edellyttää säädöksissä lähinnä kaupalta sen sisällyttämistä myytäviin laitteisiin
  • tietovarantojen integriteetin suojaaminen säädettävä lailla

Järjestelmien ja ohjelmistojen vikasietoisuus ja elpymiskyky

  1. raja-arvojen asettaminen etenkin tekoäly edellyttää, että ohjelmistossa suljetaan pois arvoja ja ratkaisuja, jotka eivät kelpaa; tämä karsii etenkin input-vaiheen virheitä
  2. ohjelmien dokumentointi voitaisiin säätää ”hyvän tietohallintotavan” noudattamisesta, joka kattaisi alan kulloinkin aiheellisina pitämät ominaisuudet

Asiantuntijajärjestelmät (ml. robotiikka)

  1. ohjelmointi: ulkopuolisen kannalta relevantit valintatilanteet tekoäly voi päätyä jostain syystä väli- tai lopputulokseen, joka ei ole hyväksyttävä. Nämä tilanteet tulee ennakoida ja siirtää vastuu tältä osin ihmiselle (kuten hoidossa lääkärin vastuulle). Robotiikan testaamista varten on turvallisuusstandardeja[1]
  2. ulkopuolisiin kohdistuvat vaikutukset; valmistajan vastuu robotiikkaa on ollut jo pitkään käytössä, ja normaali tuottajavastuu näyttää toimineen. Roboautojen osalta tulee voida liikennevakuutusvelvollisuus järjestää myös valmistajan ottamalla vakuutuksella

Palvelunestohyökkäysten torjunta

  1. suojaustasovaatimukset, reagointinopeus; lakiin riittää velvollisuus hoitaa asia

Digitilintarkastus

  1. tilin- ja toiminnantarkastukseen rinnastettava tietojärjestelmien arviointi; tarvittava erityisosaaminen on organisaatiossa sillä, joka on vastuussa tietohallinnosta, joten hänen vastuualueensa jää muun kontrollin ulkopuolelle ei sisälly nyt tilintarkastajan tehtävään; voitaisiin säätää julkishallinnon velvollisuudeksi ja olettaa yksityissektorin ottavan sen vähitellen käyttöön
  2. ala kehittää hyvän tarkastustavan sisällön

Roskaposti ja verkkohuijausposti

  1. joukkoistaminen: operaattoreilla näyttää olevan käytössä tehokkaita spammisuodattimia, joten joukkoistamalla kerättyä identifiointia ei tarvita
  2. operaattorin velvollisuudet: ei tarvinne säätää velvollisuudesta estää roskaposti tai sen luonteinen huijausposti

Sosiaalisen median itsepuolustus

  • trollaus ja valheelliset tiedot, deep fake: fiktion sijoittamista faktan joukkoon voitaisiin rajoittaa uutistoiminnan osalta, koska se on kriisitilanteessa osa kansallista turvallisuutta. Trollauksen ja sen suosinnan voisi kieltää siksi, että toimija voisi tämän jälkeen korostaa luotettavuuttaan julistautumalla trollauksesta vapaaksi
  • tietojen jäljitettävyys ainakin terveydenhuollon yksiköillä ja teleoperaattoreilla on velvollisuus välitys- ja lokitietojen säilyttämiseen. Tästä säädetään parhaiten aina kulloisenkin tietojen keräämistä koskevan lain yhteydessä
  • anonyymit palvelimet tavallisia anonyymejä palvelimia ei niiden luonteen mukaisesti pysty säädöksillä suitsimaan. Sen sijaan saattaisi olla hyvä luoda juridinen suoja ”whistleblower”-sivustoille
  • operaattorin ja sivuston omistajan vastuu näyttää toteutuvan sisällön osalta sitä kautta, että mainostajat eivät halua esiintyä huonossa seurassa
  • robottilukijat: näkövammaisten tulisi voida pystyä käyttämään julkisia tiedotuskanavia. Netin osalta tämä edellyttää, että tieto on robottilukijan käytettävissä olevassa muodossa, mikä saattaa edellyttää erillistä säädöstä

Kyberturvallisuuskeskus [nykyistä laajempi tehtäväkenttä] tulisi säätää lailla laajemmista tehtävistä ja vastuusta

  • rikollisuuden estäminen, rikosten selvittäminen, rikollisten kalastelu
  • lain noudattamisen kontrollointi (luvallinen hakkerointi)
  • kansallinen kyberturvallisuus

Kansalaisoikeudet ja turvallisuus

  • identiteettisuoja; autojen gps-seuranta (nostettu esiin oikeuskysymyksenä), tietojen yhdistämisen rajojen tarkempi määrittely; (case: Amazon Echo) uusien järjestelmien säätämisen yhteydessä tulee määritellä niiden sisältämien tietojen käytön rajoituksista ja suojaamisesta. Tietojen siirtymistä Suomen lainsäädännön ulottumattomiin tulee rajoittaa (esim. asiakastietojen myynti, yrityskaupat, konkurssit)
  • sopimusteorian mahdollinen laajuus eli mihin asti on sopimuksella mahdollista luopua lain turvaamista oikeuksistaan; tulee pohdittavaksi tapauskohtaisesti, keskeistä on valinnan tosiasiallinen vapaus
  • julkisrekisteritietojen yhdistämisen rajoitukset
  • totaalivalvonta (kameravalvonta, ajoneuvoseuranta, digijalanjäljet); pienten anomalioiden seuranta
  • työnantajan velvoittama seuranta: laki yksityisyyden suojasta työelämässä (759/2004) ei kata käytännössä esiintynyttä tilannetta, jossa työntekijöiden tulee käyttää työnantajan antamaa kuntoranneketta
  • exclusion-tieto (esim. positiivinen luottorekisteri, positiivinen geenitieto): jos syntyy uusi henkilörekisteri sinänsä hyväksyttävään tarkoitukseen mutta siihen pääsemisestä on erityistä hyötyä, joudutaan laissa määrittelemään sovellettavat oikeusturvakeinot
  • virtuaaliset valuutat ja peliraha; kuluttajasuojan kytkeminen julkisen kontrollin tasoon virtuaalivaluuttojen verottamisesta on tuore asiantuntijalausunto/Mikko Alasaarela eduskunnan tulevaisuusvaliokunnalle
  • vakuuttamisvelvollisuus, vahingonkorvausvastuun määrittely: ei tarvita erikseen; ohjelmistoissa on yleensä vastuunvapautuslauseke, mutta sen soveltamiselle on rajat (esim. jos tunnettua tietoturva-aukkoa ei korjata)
  • kuluttajansuoja; mallisopimusten kohtuuttomat ehdot palveluntuottajat asettavat joskus palvelun käyttämiselle sellaisia kohtuuttomia ehtoja, jotka suomalaisessa tuomioistuimessa todettaisiin mitättömiksi (myös käytettävä lainsäädäntö ja forum voivat olla ristiriidassa Suomen lain kanssa). Oikeuskäytäntöä ei vielä liene niin paljon, että voitaisiin arvioida kansallisen lainsäädännön täsmentämisen tarvetta

Digiyhteiskunnan toimivuuden parantaminen

  • toimivuuden parantamiseksi tarvittavat säädökset, esim. ajantasainen verotus edellyttää palkkojen yms. maksamista tunnisteellisesti verkon kautta (mikä samalla vähentää pimeää työtä) merkittävä uudistus tähän suuntaan tulee voimaan 1.1.2019
  • asiakkaan roolin yhdenmukaistaminen eri järjestelmissä (tukien ja verotuksen oikeudenmukainen kohdentuminen): sosiaaliturvan kokonaisuudistuksen yhteydessä ellei jo aiemmin; ongelmia etenkin limittäisen työnteon, yrittämisen ja opiskelun tulkinnassa
  • julkishallinnolle rajoitus vaatia tietoja, jotka sillä jo on: tulossa tietohallintolakiin
  • määritelmä- ja sopimusinfra: määritelmille ja sanastolle tarvitaan vastuutaho. Alan eri osapuolet ml. kuluttajat voisivat ao. ministeriön aloitteesta muodostaa yhteisön, joka kehittää myös sopimusmalleja (vrt. Rakennustietosäätiö ja sen sopimussarja)   
  • rekisterimerkintöjen oikeellisuuden raja-arvot: hyvään rekisterinpitoon kuuluu, että rekisteri liputtaa ei-hyväksyttävistä tiedoista; käsitellään huolenpitovelvollisuuteen kuuluvana
  • velvollisuus ilmoittaa havaitusta tietoturva-aukosta: velvoitetta ei voitane asettaa, mutta voidaan säätää, että tiedon antaminen siitä muulle taholle katsotaan osallisuudeksi sen turvin tehtyihin rikoksiin

Liite: Valtioneuvoston vireillä olevan lakihankkeen tavoite: Työryhmän tehtävänä on selvittää:

  • selvittää julkisen hallinnon tiedonhallintaa ja tietojen luovuttamista koskevan sääntelyn ja tiedonhallintakäytäntöjen nykytila ja kehittämistarpeet
  • selvittää, onko eri hallinnonaloilla syntynyt julkisuuslain kanssa tarpeetonta tai päällekkäistä erityislainsäädäntöä salassapidosta,
  • kartoittaa julkisen hallinnon rekisterin laajempia hyödyntämismahdollisuuksia ja rekisteröinnin tarpeita ja

laatia ehdotus lainsäädännön kehittämiseksi siten, että tiedonhallinnan lainsäädäntöä koskeva hallituksen esitys voidaan antaa kevätistuntokaudella 2017.

[1] SFS-EN-61508-1. 2. versio, 2011. Sähköisten/elektronisten/ohjelmoitavien elektronisten turvallisuuteen liittyvien järjestelmien toiminnallinen turvallisuus. Osa 1: Yleiset vaatimukset. 117 s.  SFS-EN-61508-3. 2. versio, 2011. Sähköisten/elektronisten/ohjelmoitavien elektronisten turvallisuuteen liittyvien järjestelmien toiminnallinen turvallisuus. Osa 3: Vaatimukset ohjelmistolle. 201 s.

Yhteistoiminnallisten robottijärjestelmien suunnitteluun on uusi standardi – tai tarkkaan ottaen ”tekninen ohje” (technical specification):  ISO/TS 15066. 2016. Robots and robotic devices – Collaborative robots. 33 s.

%d bloggaajaa tykkää tästä: