Immateriaalioikeudet

Aineeton omaisuus

Likimain kaikki tietoturva koskee aineetonta omaisuutta. Ohjelmistoilla, mediasisällöillä ja muilla aineettomilla tuotteilla käytävä kauppa edellyttää tuotteiden levitystä ja se asettaa niiden suojaamiselle haasteita, jotka poikkeavat muusta tietoturvasta.

Aineeton omaisuus on englanniksi yleensä intellectual property, “hengentuote”, ja kun sen suojaksi laaditaan säädöksiä, puhutaan yleensä immateriaalioikeuksista, ja englannin kautta joskus kätevällä lyhenteellä IPR. Tekijänoikeus on niistä tavallisin, mutta koska on muitakin, tarvitaan niille tämä yläkäsite. Immateriaalioikeudet ovat siinä mielessä negatiivisia oikeuksia, että ne vähentävät muiden mahdollisuuksia toteuttaa omaisuuteen kohdistuvia toimia. Tekijänoikeuden englanninkielinen vastine copyright ilmaisee tämän selvästi: kopioinnin oikeuksia ei muilla ole.

Jotkin immateriaalioikeudet muodostuvat, kun ne rekisteröidään ja viranomainen myöntää ne tarkastusten ja maksujen jälkeen, esim. patentit ja rekisteröidyt tavaramerkit. Tekijänoikeudet puolestaan syntyvät yleensä ilman viranomaisten puuttumista asiaan.

Jonkin tietosisällön oleminen julkisesti saatavilla maksusta tai ilmaiseksi, tarkoituksella tai vahingossa paljastuneena, ei tarkoita, ettei se olisi IPR-oikeuden suojaama. Suomeksi sekaannusta ei ehkä synny helposti, mutta englannin termi public domain saattaa puhekielessä tarkoittaa vain julkista salaisen vastakohtana. Tarkempi merkitys termillä on se, että IPR:n haltija on luopunut oikeudestaan ja on ilmaissut sen pitävästi.

Jos haluaa julkaista teoksen siten, että pidättää itsellään joitakin mutta ei kaikkia oikeuksia, voi käyttää jotain Creative Commons -lisenssiä. Tämä hanke on alkanut Yhdysvalloista v. 2001, mutta se on sovellettu useisiin oikeusjärjestelmiin, mm. Suomeen. Hankkeen sivuilta saa muutamalla yksinkertaisella valinnalla muodostetuksi lisenssin kolmessa eri muodossa: varsinainen lisenssi (“lakimiesten ymmärtämä muoto”), sen tiivistelmä (“ihmisten ymmärtämä muoto” visuaalisine symboleineen) ja konekielinen, joka tarkoittaa RDF-koodattua metadataa (Resource Description Framework). Se sisältää URL-viittaukset selityksiin, mutta oleellisempaa siinä ovat hakukoneille luontuvat kuvaukset sallituista, kielletyistä toimista ja mahdollisiin toimiin liittyvistä vaatimuksista. Nämä antavat muille mahdollisuuden automaattisesti tunnistaa verkosta löytyvän aineiston käyttöoikeudet. Myös vapaan lähdekoodin tärkeä GPL-lisenssi (GNU General Public License) kuuluu CC-lisenssien valikoimaan ja samoin Public Domain Dedication, jolla voi luopua kaikista oikeuksista (USA).

Immateriaalioikeuksien luettelo

Tässä alaluvussa esitellään keskeiset immateriaalioikeudet, joita kyberturva-alalla kohtaa. Muita immateriaalioikeuksia, joita alalla saattaa tulla esille, ovat puolijohdetopografioiden suoja, tietokannan sisällön kopioimisen tai uudelleenkäytön kielto, sekä rekisteröity ja rekisteröimätön malli.

Monissa tapauksissa sopimukset, erityisesti lisenssit, täydentävät immateriaalioikeuksia, ja niitä saatetaan jopa käsitellä yhtenä immateriaaliomaisuuden tyyppinä. Termejä voi lisäksi sotkea se, että puhekielessä immateriaalioikeudella saatetaan viitata mihin tahansa henkisen työn tuloksiin tai prosesseihin. Lain mukaan vain osa sellaisista kuuluu IPR:n piiriin.

Tekijänoikeus

Tekijänoikeus on rekisteröimätön oikeus, joka syntyy tekijälle riittävän alkuperäisen kirjallisen tai taiteellisen teoksen luomisen yhteydessä. “Kirjallisuus” pitää ymmärtää hyvin laajasti. Suomen tekijänoikeuslaki (404/1961) määrittelee teoksen näin: “olkoonpa se kaunokirjallinen tahi selittävä kirjallinen tai suullinen esitys, sävellys- tai näyttämöteos, elokuvateos, valokuvateos tai muu kuvataiteen teos, rakennustaiteen, taidekäsityön tai taideteollisuuden tuote taikka ilmetköönpä se muulla tavalla.” Määrittelyn jatko on erityisen tärkeä kyberturva-alalla: “Kirjallisena teoksena pidetään myös karttaa sekä muuta selittävää piirustusta tai graafista taikka plastillisesti muotoiltua teosta sekä tietokoneohjelmaa.” Ohjelmisto on suojattu sekä lähdekoodina että ajettavana koodina.

Vaikka edellä johdannossa todettiin IPR:n olevan negatiivinen oikeus, Tekijänoikeuslaki ilmaisee oikeuden myönteisesti. Se tuottaa “yksinomaisen oikeuden määrätä teoksesta valmistamalla siitä kappaleita ja saattamalla se yleisön saataviin, muuttamattomana tai muutettuna, käännöksenä tai muunnelmana, toisessa kirjallisuus- tai taidelajissa taikka toista tekotapaa käyttäen.”

Laki asettaa tekijänoikeudelle joitakin rajoituksia, eli laajentaa hieman kopioijan oikeuksia. Tällaisia tapauksia ovat mm. kirjastot, arkistot, museot, opetus, tutkimus, välityspalvelimet ja tilapäiskopiot sekä sitaattioikeus. Lisäksi tekijänoikeus lakkaa, kun 70 vuotta on kulunut tekijän kuolemasta. Tämä riittää siihen, ettei ainakaan tietoturva-alalla tarvitse odotella minkään ohjelmiston vapautumista suojan alta.

Tekijänoikeus rajoittuu idean ilmaisemiseen eikä itse ideaan. Siten ohjelmakoodin tekijänoikeus suojaa yleensä vain koodia sellaisena kuin se on kirjoitettu (ja käännetty), ei tuloksena olevan ohjelmistotuotteen toimivuutta. Toimivuuden suoja on yleensä patenttioikeuksien piirissä.

Sen osoittaminen, että joku on rikkonut tekijänoikeutta, vaatii osoituksen kahden teoksen riittävästä samankaltaisuudesta. Tavallaan siis teos rikkoo tekijänoikeutta, sillä oikeudettoman kopioijan tietämystä tapauksesta ei tarvitse todistaa. On kehitetty lukuisia tekniikoita ohjelmistojen lähdekoodin vertailuun loukkausten arvioimiseksi.

Tekijänoikeuksien puolustamiseen liittyy monenlaista tekniikkaa fyysisistä ja ohjelmallisista kopiosuojauksista teosten merkitsemiseen digitaalisin vesileimoin. Näitä kutsutaan yhteisellä nimellä digitaalisten käyttöoikeuksien hallinnaksi (DRM, Digital Rights Management) ja lakitekstissä erikseen teoksen suojana oleviksi tehokkaiksi teknisiksi toimenpiteiksi sekä oikeuksien sähköisiksi hallinnointitiedoiksi. Kumpaisenkin purkaminen tai poistaminen on kiellettyä, eikä suojausten kiertokeinoja saa valmistaa eikä levittää. Toisaalta teoksen tekijä velvoitetaan mahdollistamaan laillisesti hankitun tallenteen asianmukainen käyttö DRM-tekniikoiden estämättä.

Suomessa tekijänoikeuslaki ei käsittele muita immateriaalioikeuksia kuin tekijänoikeuksia ja sen lähioikeuksia. Lähioikeudet koskevat live-esityksiä, valokuvia, erilaisia tallenteita ja luetteloita, joiksi tietokannatkin voidaan tulkita. Ne eivät ole yleensä ole teoksia, mutta saavat samantapaista joskin heikompaa suojaa.

Vastaa kysymyksiin.

Kysymys 1

Tea Teekkari etsii Internetistä sopivaa kuvaa meemiä varten. Sellainen löytyykin Googlen kuvahaulla. Saako hän käyttää kuvaa?

Varminta on pyytää kuvan käyttöön tekijän lupa.

Internetistä löytyviä kuvia voi käyttää meemeihin.

CC-lisenssikuvia voi käyttää meemeihin.

Kysymys 2

Siirtääkö kuvan käsittely alkuperäisen kuvan oikeudet Tealle?

Siirtää

Ei siirrä

Patentti (syventävä)

Patentti on teollisesti käytettävissä olevaa keksintöä suojaava immateriaalioikeus, joka myönnetään maakohtaisesti hakemuksen ja tutkinnan jälkeen. Patentti tarkoittaa sen haltijalle yksinoikeutta keksinnön ammattimaiseen hyödyntämiseen.

Patentti on tarkoitettu suojaamaan keksintöä, joka on uusi ja joka sisältää myös ominaisuuden, jota eri maissa kuvaillaan eri tavoin esim. “kekseliäisyydeksi”, “ei-ilmeiseksi” luonteeksi tai vastaavaksi. Tämä keksinnöllisyyden vaatimus rajoittaa patenttisuojan keksintöihin, jotka ovat jollakin tavalla merkittäviä, ei triviaaleja. Uudet keksinnöt, jotka olisivat olleet alan ammattilaiselle ilmeisiä, on tavallisesti jätetty patenttisuojan ulkopuolelle. Suomen Patenttilaissa (550/1967) näitä rajoituksia ei ole mainittu, mutta on todettu mm. näin:

Keksinnöksi ei katsota pelkästään
   suunnitelmaa, sääntöä tai menetelmää,
     älyllistä toimintaa, peliä tai liiketoimintaa varten
   taikka tietokoneohjelmaa;

Tällaisia sisältävät keksinnöt voivat kuitenkin olla patentoitavissa. Yhdysvaltain patenttijärjestelmä on muuttanut lähestymistapaansa suotuisammaksi ohjelmistopatentteja kohtaan muutaman viime vuosikymmenen aikana. Jopa valtiot, jotka nimellisesti hylkäävät ohjelmistopatentin käsitteen, myöntävät säännöllisesti patentteja ohjelmistoihin sisältyville keksinnöille. Toisin sanoen ohjelmistopatenteista on tullut tietotekniikka-alan tavanomainen piirre.

Kyberturvallisuuteen liittyvät keksinnöt, jotka näyttävät olevan puhtaasti matemaattisia tai algoritmisia, etenkin kryptografisia, voivat olla patenttisuojan kohteena useissa laitteissa – mukaan lukien ohjelmistopohjaiset laitteet. Historiallisesti merkittäviä kryptokeksintöjä on suojattu patenteilla: mm. DES, Diffie-Helman ja RSA. Vaikka näiden läpimurtojen patentit ovat nyt vanhentuneet, kyberturvainnovaatioiden kenttä on yhä täynnä patentteja ja vireillä olevia patenttihakemuksia.

Patentin hinta maksetaan kahdessa muodossa: rahana ja julkistamisena. Ensinnäkin hakemukset ovat kalliita käsitellä ja patentit kalliita ylläpitää. Käsittelyn monimutkaisuus vaatii yleensä kallista asiantuntija-apua. Julkistaminen on patenttijärjestelmän keskeinen ominaisuus. Patenttihakemuksessa on kuvattava keksinnön toiminta tavalla, joka mahdollistaisi tekniikan toistamisen. Hakemus ja myönnetty patentti sekä tutkimukseen liittyvä viestintä julkaistaan ​tulevaa tutkimusta varten.

Patentin voimassaoloaika on yleensä 20 vuotta hakemuksen jättämisestä. Hakemuksesta voi kulua useita vuosia patentin myöntämiseen. Oikeudenhaltijalla on yleensä oikeus ryhtyä oikeustoimiin hakemisen ja myöntämisen välisenä aikana tapahtuneista loukkauksista, vaikka loukkaus olisi tapahtunut ennen hakemuksen julkaisemista. Tällaiselta puolustautumisen tavallinen tapa on riitauttaa patentti sen myöntämisen jälkeen.

Patenttiloukkauksen todistaminen tarkoittaa laitteen tai palvelun teknistä vertailua myönnetyn patentin mukaiseen keksintöön. Oikeudenhaltijan ei tarvitse todistaa, että keksintö on kopioitu patentista tai mistään tuotteesta. Monet tietotekniikkaan liittyvät patenttiloukkaukset tapahtuvat niin, ettei tekijä aluksi tiedä toisen osapuolen tuotteista tai patenttioikeuksista.

Tavaramerkki (syventävä)

Tavaramerkit (trademarks) ovat yleensä rekisteröityjä immateriaalioikeuksia, jotka myönnetään maakohtaisesti hakemuksen perusteella. On olemassa myös EU-tavaramerkki. Tavaramerkki on symboli tai merkki, jota käytetään erottamaan yhden henkilön liiketoiminta toiselle kuuluvista. Tavallisimmat tavaramerkit koostuvat sanoista tai kuvioista, mutta kyseessä voi olla vaikkapa väri tai melodia. Kukin tavaramerkki myönnetään määritellyn käyttöluokan sisällä, mikä tarkoittaa, että kahdella eri henkilöllä voi olla yksinoikeus saman symbolin käyttöön eri toimialoilla. Tavaramerkkien tarkoituksena on vähentää sekaannusten vaaraa tavaroita tai palveluita hankkivien keskuudessa. Samalla suojellaan tavaramerkin haltijan investointeja yrityksen maineeseen.

Tavaramerkit rekisteröidään yleensä 10 vuodeksi, mutta uusiminenkin on mahdollista.

Rekisteröidyn tavaramerkin tyypillinen loukkaus on identtisen tai hämäävästi samankaltaisen merkin käyttö sellaisessa yhteydessä, joka kuuluu rekisteröidyn yksinoikeuden piiriin. Harhauttaminen sinänsä jo kuuluu kyberturvallisuudessa tarkasteltaviin ilmiöihin, mutta erityinen alue ovat verkkotunnukset. Suomessa verkkotunnuksista ei säädetä tavaramerkkien yhteydessä vaan Laissa sähköisen viestinnän palveluista (917/2014 Luku 21).

Tarkastusmerkki on tavaramerkki, jota käytetään osoittamaan tietyn standardin mukaisuutta. Nämä merkit rekisteröi standardointielin, joka sitten myöntää lisenssit merkin käyttöön edellyttäen, että standardin vaatimukset täyttyvät. Tarkastusmerkin käyttö standardia noudattamattomassa tavarassa tai palvelussa on tavaramerkkiloukkaus.

Yhteisömerkki on tavaramerkki, joka on tarkoitettu käytettäväksi haltijansa, esim. ammatillisen järjestön, jäsenten elinkeinotoiminnassa.

Liikesalaisuudet (syventävä)

Liikesalaisuus katsotaan yleensä tiedoksi, joka on salaista, arvokasta paljolti juuri salaisuuden ansiosta, ja pysyy salassa salaisuuden ylläpitäjän kohtuullisten ponnistelujen vuoksi. Se voi sisältää niinkin erilaista tietoa kuin ainesosaluettelo, valmistusmenetelmä, asiakasluettelo, algoritmi tai patentoitavan keksinnön yksityiskohdat ennen patenttihakemusta ja julkaisua. Esimerkkejä tämänhetkisistä ICT-alan liikesalaisuuksista ovat Googlen PageRank-algoritmin yksityiskohdat ja erinäiset kryptoalgoritmit.

Luottamuksellisuuden säilyttäminen on keskeinen osa liikesalaisuuden suojaamista, jota voidaan jatkaa loputtomiin, kunhan salassapito onnistuu. Liikesalaisuuksia vuotaa kybervakoilun kautta laajasti ja ilmiö tarjoaa tärkeän työkentän kyberturva-ammattilaisille.

Euroopan unioni yhdenmukaisti merkittävästi lähestymistapaansa liikesalaisuuksiin vuoden 2018 direktiivissä ja Suomessa säädettiin samana vuonna Liikesalaisuuslaki (vrt. tietorikokset).

Takaisinmallintaminen

Perinteisesti on pidetty hyväksyttävänä ihmisten tekemien esineiden tutkimista käänteisen suunnittelun eli takaisinmallintamisen (reverse engineering) hengessä. Liikesalaisuutta ei ole ennenkään saanut urkkia teollisuusvakoilulla eikä lahjonnalla tms:lla, mutta on ollut “reilua peliä”, jos liikesalaisuus on selvitetty julkisesti saatavilla olevasta tuotteesta ja julkaistu. Vuosituhannen vaihteen jälkeen suhtautuminen näyttää kuitenkin muuttuneen. Erityisesti on säädetty lakeja, jotka kieltävät puuttumisen tekniikoihin, joilla takaisinmallintamista hankaloitetaan.

Ristiriitoja syntyy ohjelmistotuotteiden takaisinmallintamisen yhteydessä. Ohjelmistolisenssit sisältävät usein tiukkoja rajoituksia takaisinmallintamiselle yleensä ja/tai käänteiselle kääntämiselle erityisesti. Eurooppalainen lainsäädäntö kuitenkin kieltää yleisesti rajoittamasta ohjelmiston valtuutetun käyttäjän oikeutta tarkkailla ja tutkia ohjelmiston toimintaa, ja antaa näille käyttäjille myös rajoitetun oikeuden käänteiskääntämiseen erityisesti yhteentoimivuutta varten tarvittavien tietojen hankkimiseksi.

Palautusta lähetetään...