Vahingonkorvausvelvollisuudesta¶

Tämän materiaalin lähteenä oleva englanninkielinen CyBOK käsittelee vahingonkorvaukseen johtavia tekoja termillä “tort”. Jos sen kääntää vahingonteoksi, päätyy rikoslain alaisiin tekoihin. Jos luet CyBOK-tekstiä, sinun pitää tulkita termi “tort” sen mukaan kuin luvun 3.7 johdanto määrittelee: “Tort” on mikä tahansa muu siviilioikeudellinen rikkomus kuin sopimusrikkomus. Sopivan termin puuttuessa tässä alaluvussa näihin rikkomuksiin viitataan termin vahingonkorvaus kautta. Useita sellaisia on kyberturva-alalla tarpeen ottaa huomioon, mutta käsittely on tässä alaluvussa melko ylimalkainen. Kyberturva-ammattilainen voi joutua tarkoin tutkimaan vahingonkorvausperiaatteita, kuten vahingon syntymisen syy-yhteyksiä ja vastuun jakautumista, sekä tilanteita, joissa vahingonkorvausvelvollisuus voi muodostua, erityisesti laiminlyöntejä ja tuotevastuuta, joita on käsitelty jäljempänä. Tietosuojaan, kunnianloukkaukseen ja immateriaalioikeuksiin liittyvistä vahingonkorvausasioista on maininta näiden yhteydessä erikseen.

Laiminlyönti¶

Useimmat oikeusjärjestelmät tunnustavat ajatuksen, että ihmisillä on toimissaan tiettyjä velvollisuuksia muita kohtaan. Jos henkilö ei täytä velvollisuutta ja aiheuttaa vahinkoa, uhrilla on usein oikeus saada häneltä korvausta. Tuotevastuu on yksi esimerkki ja sitä käsitellään seuraavassa alaluvussa. Tässä tarkasteltava velvollisuus on abstraktimpi huolenpito ja sen laiminlyönti.

Minne huolellisuusvastuu ulottuu?¶

Vastuulla on tyypillisesti useita rajoituksia esimerkiksi tähän tapaan: Liisalla voi olla Pekkaa kohtaan huolenpitovelvollisuutta vain jos

Liisa ja Pekka sijaitsevat jollain tavalla lähellä toisiaan ajassa ja tilassa,
Liisa voi kohtuudella ennakoida, että hänen toimintansa tai sen puute voi aiheuttaa vahinkoa henkilöille, jotka ovat samankaltaisessa asemassa kuin Pekka ja
yleisesti näiden toimien suhteen vaikuttaa reilulta ja järkevältä, että Liisan kaltaiset henkilöt ovat vastuussa henkilöille, jotka ovat samankaltaisessa asemassa kuin Pekka.

Vaikka ilmaisu on näin abstrakti, tästä voi nostaa esille useita kyberturvallisuuteen liittyviä tilanteita, joissa Liisa voi tulla laiminlyöneeksi huolenpitovelvollisuutensa. Tässä on esimerkinomainen luettelo tavallisista toimijoista ja asioista, joissa niillä on ilmeinen huolenpitovelvollisuus. Kiintoisa kysymys nousee, kun pohditaan mihin asti velvollisuus ulottuu, eli kuka voi olla vahingonkorvaukseen oikeutettu Pekka.

Vähittäiskauppias

Asiakkaan maksukortilta myyntipaikassa luettavien tietojen turvallinen käsittely.

Sähköpostipalvelun tarjoaja

Turvallisuuden hallinta sähköpostipalvelimissa ja niihin liittyvissä palveluissa.

Käyttöön otettavien turvamekanismien valinta.

Liikeyritys

Kyberturvallisuuden hallinta sekä yrityksen IT-toiminnoissa että operatiivisissa toimissa (esim. valmistuksessa).

Käyttöön otettavien turvamekanismien valinta.

Verkkopalvelun ohjelmistokehittäjä

Standardoitujen kryptoprotokollien toteuttaminen.

Luottamuspalvelun tarjoaja

Varmenteeseen sidottavan henkilöllisyyden rekisteröinti.

Varmenteiden myöntäminen.

Luottamusrakenteen ylläpitäminen.

Verkkoselaimen kehittäjä

Selaimeen asennettavien juurivarmenteiden valinta.

Vähittäiskauppiaan tapaus on melko selvä. Sähköpostipalvelusta voi kysyä, ulottuuko vastuu sähköpostiviestissä mainittuihin henkilöihin. Entä ulottuuko liikeyrityksen korvausvastuu kolmansiin osapuoliin, jotka eivät ole mitenkään tekemisissä yrityksen kanssa, mutta joiden kimppuun hakkeri pääsee iskemään yrityksen verkosta laiminlyödyn turvallisuuden takia? Tätäkin laajempi ryhmä mahdollisia uhreja voi koitua useiden listalla myöhemmin mainittujen asioiden laiminlyönnistä.

On ilmeistä, että kaikille ei koskaan riitä korvauksia. Sitä mukaa kun erityyppisten kyberturvalaiminlyöntien aiheuttamat vahingot tulevat entistä selvemmin ennakoitaviksi, on kuitenkin todennäköistä, että lainsäätäjät tai tuomioistuimet tulkitsevat huolellisuusvelvollisuuden kattamaan yhä laajemman uhrijoukon.

Mikä on kohtuullista?¶

Korvausvelvollisuuteen johtava Liisan laiminlyönti edellyttää, että Liisan olisi pitänyt kohtuudella huolehtia asiasta. Kohtuuden määrittäminen muistuttaa riskien analysointia. Kummassakin tarkastellaan ikävän tapahtuman todennäköisyyttä (P), haitan suuruutta (H) ja huolenpidon kustannuksia (K). Olettaen että tällaiset suureet voitaisiin määrittää, niin Liisan kannattaisi—eli olisi kohtuullista tai ainakin järkevää—hoitaa velvollisuutensa mikäli haitan odotusarvo H \(\times\) P ylittää K:n. Tällöin huolehtimisen kustannukset jäisivät alemmiksi kuin mahdollisesti tuomittavan korvauksen todennäköinen eli odotusarvo.

Käytännössä matemaattinen laskelma tarjoaa vain ajatusmallin, joka selittää mitä ainakin voi kohtuudella vaatia. Kyberturvallisuudessa kohtuulliseksi koetun raja siirtyy standardoinnin ja sääntelyn kehittyessä. Näistä ja alalla luoduista parhaista käytännöistä löytyy perusteita sille, miten hyvin turvallisuudesta pitäisi huolehtia, ja nämä perusteet voivat vaikuttaa oikeusistuimien tulkintoihin.

Edellä mainittujen “hyvien tapojen” lisäksi kohtuullisuutta voisi kyberturvallisuudessakin tarkastella suoraan haitan luonteesta käsin. Yksinkertainen esimerkki on tutkijan kehittämä uuden tyyppinen virus, joka karkaa internettiin. Kohtuullisuuden tason määrittämisen lisäksi “hyvät tavat” tai “selvät haitat” voivat joissain oikeusjärjestelmissä muodostua todistelusäännöiksi, jotka osittain tai kokonaan siirtävät uhrin todistustaakan vahingon aiheuttajalle. Välttyäkseen vastuulta tämän pitäisi tällöin osoittaa toimintansa olleen sellaista mitä kohtuudella—eli esim. standardien mukaan—voidaan odottaa.

Haitan tulkinta muuttuu¶

On syytä muistuttaa, että edellä luonnosteltu “vianmäärityksen” viitekehys ei koske sopimukseen perustuvia velvollisuuksia.

Sekä huolenpitovelvollisuuden että kohtuullisen tai järkevän käytöksen tulkinta voi vaihdella huomattavasti valtioittain. Tämän ei ole yllättävää, sillä molemmat käsitteet ovat sosiaalisia rakenteita, jotka perustuvat tietyssä yhteiskunnassa tiettynä ajankohtana vallitsevaan kulttuuriin.

Huolenpitovelvollisuuden tulkinta on enimmäkseen laajentunut viimeksi kuluneen vuosisadan aikana. Ihmisten toimien yhä monimutkaisempi ja toisiinsa kietoutuvampi luonne kasvattaa edelleen todennäköisyyttä, että yhden ihmisen teot vahingoittavat muita. Samoin “kohtuullisen” tulkinta on yleensä siirtynyt siihen suuntaan, että vaaditaan enemmän huolehtimista, ei vähemmän. Tulkintojen voidaan odottaa yhä muuttuvan yhden työuran aikana, varsinkin kun kyberturvahaitat ovat entistä ennakoitavampia, ymmärrettävämpiä ja helpompia todistaa uusilla forensiikan menetelmillä.

Vielä on hyvä muistuttaa siitä, että yhdessä valtiossa tehdyt vahingolliset teot voivat tulla arvioiduiksi toisen, vaativamman valtion hyväksymien tulkintojen mukaan (vrt. luku).

Tuotevastuu¶

Useissa teollisesti kehittyneissä maissa säädettiin 1900-luvun jälkipuoliskolla valmistajille vastuu viallisista tuotteista. Yleisen tulkinnan mukaan tietokoneohjelmisto sellaisenaan ei sovi tällaisten lakien mukaisen “tuotteen” määritelmään. Silti tuotevastuulain (Suomessa 684/1990) mukaan ohjelmistokomponentin vika voi olla syynä vikaan tuotteessa, johon se on asennettu. Tämänkaltainen kyberturvailmiöistä aiheutuva vastuu todennäköisesti kasvaa, kun fyysiset ohjauslaitteet kytkeytyvät yhä enemmän etätietojärjestelmiin.

Kyberavaruuteen yhdistetty tuote voi olla esim. itsenäinen ajoneuvo, teollisuuden ohjausjärjestelmä, sydämentahdistin, elektronisesti ohjattava (fly-by-wire) ajoneuvo tai kauko-ohjattava kotitermostaatti. Tällaisen tuotevastuu voi muodostua henkilö- tai omaisuusvahingon tapauksessa riippumatta siitä, onko vian aiheuttanut virhe toiminnallisessa päätöksenteossa tai kyberturvallisuudessa. Edellinen voisi tapahtua esim. ajoneuvon poiketessa vastaantulevan liikenteen sekaan tulkittuaan väärin tiemerkinnät. Sama fyysinen onnettomuus olisi kyberturvattomuuden seurausta, jos väärin toteutettu autentikointijärjestelmä sallisi hakkerin muokata ohjauskomentoja. Vastaava voisi koskea fly-by-wire -järjestelmää, ja muissa esimerkeissä kyberturvattomuus voisi ilmetä siten, että hakkeri avaisi padon sulkuportit tai muuttaisi kodin termostaatin asetusta vaaralliseen lämpötilaan.

Euroopan komissio kysyi avoimesti vuonna 2018 (Liability for emerging digital technologies), missä määrin digitaaliset tuotteet (ohjelmistot, pilvipalvelut, IoT jne.) olisi määriteltävä tuotevastuulain alaisiksi tuotteiksi. Tämä oikeudenala voi muuttua merkittävästi keskipitkällä aikavälillä.

Vastaa kysymyksiin.

Kysymys 1

Hipster Inc. on kehittänyt kauko-ohjattavan kotitermostaatin. Termostaattiin liittyy verkkosovellus, jossa myös kryptoalgoritmi on Hipster Inc.:in toteuttama, koska standardin mukainen algoritmi hidasti sovellusta liikaa. Kun termostaatti sovelluksineen on ollut jonkin aikaa markkinoilla, todetaan, että sovelluksen salaus on murrettavissa virheellisen kryptoalgoritmin toteutuksen vuoksi. Mitä tästä mielestäsi seuraa?

Hipster Inc. julkaisee ohjelmistopäivityksen, ja pahoittelee mahdollista asiakkaille koitunutta harmia. Korvausvelvollisuutta ei ole, koska ei ole kohtuullista olettaa, että Hipster Inc.:in olisi pitänyt huolehtia asiasta.

Hipster Inc. julkaisee ohjelmistopäivityksen, ja pahoittelee mahdollista asiakkaille koitunutta harmia. Lisäksi Hipster Inc. on laiminlyönyt huolenpitovelvollisuutensa ja on velvollinen korvaamaan asiakkaiden mahdolliset haitat.

Kysymys 2

Onko Hipster Inc.:llä myös tuotevastuuta yllä olevassa tilanteessa?

Kyllä, koska viallinen sovellus on kiinteä osa kauko-ohjattavaa kotitermostaattia.

Ei, koska verkkosovelluksen salaus ei suoraan vaikuta termostaatin toimintaan.

Ei, koska verkkosovellus ei ole tuote.