Yksityisyys kontrollina

Pelkkää tiedon suojausta laajempi näkökulma yksityisyyteen on käyttäjän mahdollisuus kontrolloida, mitä paljastetulle tiedolle tapahtuu. Tätä näkökulmaa käytetään erityisesti lainsäädännön ja muun sääntelyn yhteydessä. Ajatuksena on se, että monissa tapauksissa käyttäjän on palveluja saadakseen luovutettava tietoa, eli sitä ei voi pitää salassa. Tällöin käyttäjälle tulisi jäädä oikeus päättää mitä luovutetulle tiedolle tapahtuu ja miten sitä saa käyttää. Myös teknisten järjestelmien tulisi tukea tätä näkökulmaa, eli

1. antaa käyttäjälle mahdollisuus ilmaista, miten hän haluaa palveluntarjoajan käyttävän tietojaan. Toisin sanottuna, käyttäjän pitäisi voida estää tietojen käyttö ei-haluttuihin tarkoituksiin.
2. mahdollistaa organisaatiossa sellaiset politiikat, jotka estävät käyttäjien tietojen väärinkäytön, eli ottavat huomioon käyttäjien määräykset tietojen käytöstä.

Tässä luvussa tarkastellaan tekniikoita, joilla yksityisyys kontrollina on mahdollista toteuttaa. Näihin kuuluvat yksityisyysasetukset, joilla käyttäjät voivat ilmaista tahtonsa, ja tekniikat, jotka tukevat yksityisyyspolittikkojen automaattista neuvottelua eri palvelujen rajojen yli. Suuri osa tekniikoiden tarjoamasta suojasta perustuu luottamukseen (trust), joka kohdistuu dataa keräävään tahoon. Uskotaan siis, että keruupalvelun tarjoaja toteuttaa käyttäjien määritykset tietojen käytöstä, eikä itse käytä väärin keräämäänsä tietoa.

Paljastumisriskit saattavat myös lisääntyä, kun käyttäjälle annetaan mahdollisuus kontrolloida tietojen käyttöä. Käyttäjää ei välttämättä kiinnosta, hän ei ehkä ymmärrä seurauksia, ei lue ehtoja ja saattaa olla täysin tietämätön, minkälaiseen tietojen käyttämiseen hän on suostunut. Tällöin käyttäjä saattaa omilla toimillaan tahtomattaan vaarantaa yksityiset tietonsa.

Tuki yksityisyysasetuksille

Yksityisyysasetuksilla käyttäjät voivat ilmaista verkkopalveluissa, kuinka palveluntarjoajat saavat käsitellä tietoja, erityisesti paljastaa muille käyttäjille ja jakaa kolmansille osapuolille. On kuitenkin osoitettu, että yksityisyysasetusten monimutkaisuus tekee niistä hädin tuskin käytettäviä. Käytettävyyden puute aiheuttaa sen, että käyttäjät konfiguroivat asetukset väärin, eli määrittävät asetuksia, jotka eivät vastaa sitä, mitä he yksityisyydeltä odottavat. Tämä puolestaan johtaa tahattomaan tietojen paljastamiseen.

Ongelman ratkaisemiseksi on esitetty useita menetelmiä, joilla pyritään löytämään käyttäjistä samankaltaiset yksityisyystarpeet omaavia ryhmiä, joiden mukaan yksityisyysasetukset määritetään. Tällöin käyttäjän ei tarvitsisi itse perehtyä asetuksiin. Näissä menetelmissä on kuitenkin ongelmia. Ryhmittely voi esimerkiksi vaatia niin paljon tietoa, että siitä itsestään tulee yksityissyysongelma, tai asetukset säätyvät liian tiukoiksi, jolloin tietojen jakaminen estyy ja palvelun hyödyt jäävät saamatta. Suurin ongelma on kuitenkin se, että vaikka suurelle joukolle sovitetut asetukset toimivat hyvin valtaosalla käyttäjistä, ne syrjivät käyttäjiä, joilla on erityistarpeita yksityisyydelle. Tällöin, jos käyttäjät eivät voi vaikuttaa asetuksiinsa, osa heistä ei voi käyttää palvelua. Yksityisyysasetusten konfigurointi kärsii samoista ongelmista kuin tietoturvan käytettävyys yleisesti, eli se ei ole käyttäjän päätavoite, kun hän käyttää jotakin palvelua. Monimutkaisuus, pitkät lakitekstiä sisältävät käyttöehdot, kiinnostuksen puute ja mahdollinen “ei mulla ole mitään salattavaa” -asenne eivät helpota ongelmaa, eikä siihen toistaiseksi ole täydellistä ratkaisua.

Tuki yksityisyyspolitiikan siirtämiselle palveluiden välillä

Verkkopalveluissa käyttäjien yksityisyysasetuksia voidaan myös pyrkiä siirtämään eri palveluiden välillä, jotta käyttäjän ei erikseen tarvitsisi säätää niitä jokaiseen palveluun. Esim. W3C:n Platform for Privacy Preferences Project (P3P) on standardi, jolla verkkosivut voivat koodata yksityisyysasetukset. Selaimet, jotka osaavat tulkita P3P:tä, voivat verrata palvelun yksityisyyspolitiikkoja käyttäjän asettamiin. P3P ei kuitenkaan pysty varmistamaan, että palvelun tarjoaja todella noudattaa politiikkojaan. On olemassa myös muita menetelmiä—kuten tarkoitusperusteinen pääsynvalvonta (purpose-based access control) tai tarrautuvat politiikat (sticky policies)—joilla voidaan varmistaa, että datan käsittelyn tarkoitus on yhtäpitävä yksityisyyspolitiikkojen kanssa. Esimerkiksi tarrautuvat politiikat kulkevat datan mukana palvelusta toiseen ja määrittävät sen käyttöä. Menetelmissä käytetään kryptografisia mekanismeja varmistamassa, että myös palvelun tarjoajan on noudatettava niitä.

Tuki yksityisyyden tulkinnalle

Jotta käyttäjät voivat asettaa haluamansa yksityisyysasetukset, heidän pitää ymmärtää palvelun tietosuojakäytännöt (privacy policy). Ne kuvaavat asetukset usein pitkästi ja monimutkaisesti, niissä on lakitekstiä ja ne muuttuvat ajan myötä. Käyttäjän näkökulmasta ne ovat vaikeita ymmärtää.

Käyttäjien ymmärryksen parantamiseksi on kaksi lähestymistapaa. Toisessa luotetaan asiantuntijoiden näkemyksiin olemassa olevien tietosuojakäytäntöjen nimeämisessä, analyysissa ja tarpeellisuudessa. Toisessa lähestymistavassa tulkinta pyritään automatisoimaan koneoppimiseen perustuvilla menetelmillä, esim. Polisis. Käyttäjät pääsevät esim. esittämään kysymyksiä verkkosivujen tietosuojakäytännöistä luonnollisella kielellä ja työkalu tarjoaa visuaalisen esityksen käytännöistä määritellen, mitä tietoa kerätään, miksi sitä kerätään ja miten sitä jaetaan.

Vastaa kysymyksiin.

Kysymys 1

Mitä yksityisyyskontrollia voit käyttää, jos epäilet, että tietojasi keräävä palveluntarjoaja voi käyttää niitä väärin?

Koneoppimista soveltavilla menetelmillä saat selville, tekeekö kerääjä tiedoillasi jotain, mitä et halua.

Voit vain olla käyttämättä palvelua, jos se kysyy enemmän tietoa, kuin haluat luottaa sen haltuun.

Muunnat tietojasi sellaisiksi, ettei niiden paljastuminen ulkopuolisille haittaisi.

Tutkit P3P:n tuottaman raportin palveluntarjoajan yhteensopivuudesta politiikkansa kanssa.

Käytät luottamaasi henkilötietojen välityspalvelua (tai sovellusta), joka kytkeytyy kohdepalveluun ja tarjoaa sille sen tarvitsemat henkilötietosi vain sitä mukaa kuin ne tulevat käyttöön.

Palautusta lähetetään...