Mitä Internetiä ja tietoturvaa koskevia lakeja on olemassa?

Mitä Internet-lainsäädäntö tarkoittaa?

Internet-lainsäädäntö tai kyberlainsäädäntö tarkoittaa oikeusperiaatteita ja säännöksiä, joilla säädellään Internetin käyttöä. Internetiin liittyvä lainsäädäntö ei ole aina selkeää eikä yksiselitteistä seuraavista syistä:

• Internet on suhteellisen uusi ja kehittyy jatkuvasti, joten lainsäädäntö ei välttämättä pysy kehityksen tahdissa.
• Internet-lakeihin sisältyy ja niissä sovelletaan usein eri oikeudenalojen periaatteita, kuten tietosuoja- tai sopimuslakeja, jotka on säädetty ennen Internetin olemassaoloa ja jotka saattavat olla tulkinnanvaraisia.
• Verkon tietosuojan säätelyyn ei ole olemassa yhtä yksittäistä lakia. Siinä sovelletaan monia kansallisia ja kansainvälisiä lakeja. Sen lisäksi eri lainkäyttöalueilla eri puolilla maailmaa voi olla eri tulkintoja siitä, miten Internetin tietosuojalakeja sovelletaan.

Euroopan unionilla on kattava tietosuojalaki nimeltä yleinen tietosuoja-asetus (GDPR). Yhdysvalloilla sen sijaan ei ole keskitettyä liittovaltion tasoista Internetin tietosuojalakia. Maassa on useita alakohtaisia liittovaltion tietosuojalakeja ja useita kuluttajia koskevia tietosuojalakeja eri osavaltioissa. Tässä on yleiskatsaus joistakin tärkeistä Internetin turvallisuutta koskevista laeista, jotka on hyvä tuntea.

Yhdysvaltojen vuoden 1974 tietosuojalaki

Vaikka vuoden 1974 tietosuojalaki on annettu ennen Internetin olemassaoloa, se toimii Yhdysvalloissa monien tietoturvaa ja Internetin yksityisyydensuojaa koskevien lakien perustana. Laki annettiin, koska oli havaittu, että Yhdysvaltojen valtion virastojen tietokannoissa säilytettiin paljon henkilötietoja. Lain piiriin kuuluivat seuraavat:

• Yhdysvaltojen kansalaisten oikeus saada pääsy valtion virastojen säilyttämiin tietoihin ja saada kopio kyseisistä tiedoista.
• Kansalaisten oikeus korjata tiedoissa olevat virheet.
• Virastojen tarve kerätä vain vähimmäismäärä tietoja, jotka vaaditaan tarkoitusten täyttämiseen.
• Tietojen saatavuuden rajoittaminen vain tarpeellisiin tietoihin.
• Tietojen jakamisen rajoittaminen liittovaltion (ja muiden kuin liittovaltion) virastojen välillä, eli se sallittiin vain tietyissä olosuhteissa.

Internetin keksiminen muutti kuitenkin yksityisyyden määritelmää ja pakotti säätämään uusia sähköistä viestintää koskevia tietoturvalakeja.

Federal Trade Commission Act -laki

Yhdysvaltojen liittovaltion kauppakomissio (Federal Trade Commission, FTC) perustettiin vuoden 1914 Federal Trade Commission Act -lailla, jonka tarkoituksena oli kieltää epäoikeudenmukaiset kilpailumenetelmät ja epäoikeudenmukaiset toimet tai käytännöt, jotka vaikuttivat kaupankäyntiin.

Vaikka FTC ei nykyisin säätele erikseen sitä, mitä tietoja sivustojen tietosuojakäytäntöjen pitäisi sisältää, sillä on valtuudet antaa määräyksiä, panna täytäntöön tietosuojalakeja ja suojella kuluttajia. FTC voi esimerkiksi puuttua organisaatioiden toimintaan, jos ne

• eivät noudata julkaistua tietosuojakäytäntöä
• siirtävät henkilötietoja tavalla, jota ei ole kuvattu asianmukaisesti tietosuojakäytännössä
• esittävät virheellisiä väitteitä tietosuojasta ja tietoturvasta kuluttajille ja tietosuojakäytännöissä 
• eivät toteuta ja ylläpidä kohtuullisia tietoturvatoimenpiteitä
• eivät noudata itsesääntelyn periaatteita, joita saatetaan soveltaa organisaation toimialalla.

FTC osallistuu Internetin säätelyyn erityisesti tutkimalla harhaanjohtavia tietoja, joita johtavat teknologia- ja yhteisöpalveluyhtiöt antavat keräämiensä kuluttajatietojen yksityisyydestä. FTC tutki esimerkiksi aiemmin Facebookia vastaan esitettyjä valituksia, jotka koskivat yhtiön tapaa käyttää asiakastietoja.

Children’s Online Privacy Protection Act -laki

Vuoden 1998 Children’s Online Privacy Protection Act -laki (COPPA) on Yhdysvaltojen liittovaltion laki. Sen tarkoituksena on antaa vanhempien hallita sitä, mitä tietoja heidän lapsiltaan kerätään verkossa. COPPA koskee tahoja, jotka tarjoavat kaupallisia sivustoja ja verkkopalveluja (mukaan lukien mobiilisovelluksia ja esineiden Internetin laitteita), jotka on suunnattu alle 13-vuotiaille lapsille ja jotka keräävät lasten henkilötietoja.

COPPA sisältää seuraavat keskeiset vaatimukset:

• Alle 13-vuotiaille lapsille suunnattujen sivustojen, sovellusten ja verkkotyökalujen on näytettävä ilmoitus ja hankittava vanhemman suostumus ennen kuin lapsilta kerätään henkilötietoja.
• Niillä on oltava selkeä ja kattava tietosuojakäytäntö.
• Niiden on pidettävä lapsilta hankitut tiedot suojattuina.

Vaikka laki on peräisin Internetin alkuajoilta, siitä on tullut erityisen tärkeä yhteisöpalvelujen ja ohjelmallisten mainosten aikakaudella. COPPA-lain osalta keskeinen kysymys on, missä määrin sivusto on "suunnattu" alle 13-vuotiaille lapsille. Yhdysvalloissa FTC arvioi sivustot tiettyjen ehtojen perusteella, joita ovat esimerkiksi seuraavat:

• aihe
• sisältö
• animaatiohahmojen käyttö
• lapsille tarkoitettujen toimintojen tai kannustinten käyttö
• mallien ikä
• julkisuudessa olevien lasten tai lapsia kiinnostavien julkisuuden henkilöiden esittäminen
• sivuston lapsiin kohdistettu mainonta

Jotkin sivustot tai palvelut tarkistavat käyttäjiensä iän, joten niiden ei tarvitse noudattaa COPPA-lain määräyksiä. Esimerkiksi monet yhteisöpalvelut, joiden liiketoimintamalli perustuu käyttäjätietojen keräämiseen ja kaupallistamiseen, määrittävät rekisteröityneiden käyttäjien ikärajaksi 13 vuotta.

Toinen COPPA-lakiin liittyvä kysymys kuuluu, mitä "henkilötietojen keräämisellä" tarkoitetaan. Nimien, osoitteiden ja valokuvien kerääminen kuulu tähän kategoriaan. Tilanne ei ole yhtä selvä käyttäytymiseen perustuvien mainosten (eli eri sivustoilla ja sovelluksissa käyttäjän toimintaa seuraavien mainosten) osalta, jotka myös kuuluvat henkilötietojen keruun piiriin COPPA-laissa. Vaikka mainokset näyttäisi kolmannen osapuolen tarjoaja, sivuston omistaja on vastuussa niistä, jos ne näytetään lapsille suunnatulla sivustolla. Koska käyttäytymiseen perustuvat mainokset muodostavat suuren osan Internetin ekosysteemistä, tällä on suuri vaikutus lapsille suunnattuihin sivustoihin.

California Consumer Privacy Act -laki

California Consumer Privacy Act -laki (CCPA) allekirjoitettiin vuonna 2018. Sen tavoitteena oli tehostaa Kaliforniassa asuvien kuluttajien tietosuojaa laajentamalla kuluttajien yksityisyyden suoja koskemaan Internetiä. CCPA-lain katsotaan olevan Yhdysvaltain kattavin Internetiä koskeva tietosuojalaki, jolla ei ole vastinetta liittovaltion lainsäädännössä.

Kuten EU:n yleinen tietosuoja-asetus, se antaa kuluttajille oikeuden saada pääsyn tietoihinsa sekä oikeuden poistaa tiedot ja kieltää tietojen käsittelyn milloin tahansa. CCPA poikkeaa kuitenkin yleisestä tietosuoja-asetuksesta siinä, että yleisessä tietosuoja-asetuksessa kuluttajille annetaan oikeus korjata tai oikaista virheelliset henkilötiedot, mutta CCPA-laista tämä puuttuu. Lisäksi yleisessä tietosuoja-asetuksessa vaaditaan nimenomainen suostumus, kun kuluttajat luovuttavat tietonsa. Sen sijaan CCPA-laissa määrätään vain, että sivustoilla on oltava tietosuojaseloste, jossa kerrotaan kuluttajille, että heillä on oikeus kieltää tiettyjen tietojen kerääminen. Muita CCPA-lain piirteitä:

• Kuluttajilla on oikeus saada pääsy tietoihinsa rekisteröidyn henkilön pyynnöstä.
• Yritykset eivät voi myydä kuluttajien henkilötietoja ilman verkossa olevaa ilmoitusta ja mahdollisuutta kieltää myynti.
• Kuluttajilla on rajoitettu kanneoikeus, jos he joutuvat tietomurron uhriksi.
• Osavaltion ylimmällä syyttäjällä on laajempi mahdollisuus nostaa kanne yrityksiä vastaan asukkaiden puolesta.

CCPA-laissa henkilötietojen määritelmä on laaja: tiedot, joilla voi tunnistaa tietyn kuluttajan tai kotitalouden, jotka liittyvät sellaiseen, kuvaavat sellaista tai jotka voidaan yhdistää tai voitaisiin kohtuudella liittää sellaiseen joko suoraan tai välillisesti. Tämä vastaa yleisen tietosuoja-asetuksen laajaa käsitystä henkilötiedoista.

Yleinen tietosuoja-asetus (GDPR)

EU:n yleinen tietosuoja-asetus (GDPR) tuli voimaan vuonna 2018. Se on oikeudellinen kehys, joka antaa ohjeet Euroopan unionissa asuvien henkilöiden henkilötietojen keräämiseen ja käsittelyyn. Yleistä tietosuoja-asetusta sovelletaan siitä riippumatta, missä sivusto sijaitsee, mikä tarkoittaa, että kaikkien eurooppalaisia kävijöitä houkuttelevien sivustojen on noudatettava sitä. Yleistä tietosuoja-asetusta pidetään yhtenä maailman tiukimmista tietoturvalaeista.

Siinä määrätään, että sivuston käyttäjille on ilmoitettava, mitä tietoja sivusto kerää, ja että käyttäjien on nimenomaisesti annettava suostumuksensa tietojen keräämiseen. Tästä syystä monilla sivustoilla on ponnahdusikkunoita, joissa käyttäjiä pyydetään hyväksymään evästeiden kerääminen. Evästeet ovat pieniä tiedostoja, jotka sisältävät esimerkiksi sivuston asetusten kaltaisia henkilötietoja.

Yleisen tietosuoja-asetuksen keskeisiä piirteitä:

• Kuluttajilla on oikeus tietää, miten heidän tietojaan kerätään ja käytetään.
• Kuluttajat voivat kysyä sivustoilta, mitä tietoja heistä on kerätty (ilman erillistä maksua).
• Jos kuluttajien tiedoissa on virheitä, he voivat pyytää niiden korjaamista.
• Kuluttajat voivat pyytää tietojensa poistamista rekistereistä.
• Kuluttajilla on oikeus kieltää tietojen käsittely esimerkiksi markkinointitarkoituksiin.
• Sivustojen on ilmoitettava käyttäjille, jos heidän tietonsa ovat vaarantuneet tai ne on varastettu.

Euroopan komission sivustolla on yleisen tietosuoja-asetuksen tarkempi kuvaus. Suuret yritykset ovat saaneet huomattavia sakkoja yleisen tietosuoja-asetuksen rikkomisesta: Google sai 57 miljoonan Yhdysvaltojen dollarin sakot, koska tärkeitä tietoja oli piilotettu, kun käyttäjät määrittivät uusia Android-puhelimia, joten käyttäjät eivät tienneet, mihin tietojen keruun käytäntöihin he antoivat suostumuksensa, ja British Airways sai 28 miljoonan Yhdysvaltojen dollarin sakot, kun 500 000 asiakkaan varaustiedot varastettiin hyökkäyksen yhteydessä.

Health Insurance Portability and Accountability Act -laki

Vuoden 1996 Health Insurance Portability and Accountability Act -laki (HIPAA) on Yhdysvaltojen liittovaltion laki, joka koskee sairausvakuutusten säätelyä sekä tietosuojaa ja tietoturvaa. Se estää terveydenhuoltopalvelujen tarjoajia, yrityksiä ja niiden kanssa työskenteleviä ihmisiä luovuttamasta kuluttajien terveystietoja ilman heidän suostumustaan.

Kun puhutaan HIPAA-laista, yleensä tarkoitetaan siihen vuonna 2003 lisättyä Privacy Rule -määräystä. Se lisättiin osittain siksi, että Yhdysvaltojen kongressissa todettiin, että Internet teki terveystietojen varkauksista entistä todennäköisempiä. HIPAA-lain Privacy Rule -määräys antaa kuluttajille oikeuden hallita terveystietojensa luovuttamista kertomalla terveydenhuoltopalveluiden tarjoajalle, mitä tietoja saa jakaa.

HIPAA suojelee kuitenkin vain terveydenhuollon tietoja, jotka ovat tietyntyyppisten terveydenhuoltopalvelujen tarjoajien hallussa. HIPAA ei esimerkiksi yleensä kata aktiivisuusrannekkeen sisältämiä terveystietoja. HIPAA ei myöskään kata geneettisiä tietoja, jotka annetaan Ancestry.comin kaltaisilla sivustoilla. Muut lait tai sopimukset, kuten monissa sovelluksissa pakolliset tietosuojalausekkeet, voivat suojella näitä tietoja, mutta HIPAA ei suojele niitä.

Gramm-Leach-Bliley Act -laki

Gramm-Leach-Bliley Act -laki (GLBA), joka tunnetaan myös nimellä Financial Services Modernization Act of 1999, on pankki- ja rahoitusalaa koskeva laki, joka sisältää tietosuojaan ja tietoturvaan liittyviä osia. Sen henkilötietojen suojaus perustuu aiempiin kuluttajien taloustietoja koskeviin lakeihin, kuten Fair Credit Reporting Act -lakiin (FCRA).

GLBA suojelee ensisijaisesti muita kuin julkisia henkilötietoja, jotka on määritelty tiedoiksi, jotka henkilöstä kerätään rahoitustuotteen tai -palvelun tarjoamisen yhteydessä, elleivät kyseiset tiedot ole muulla tavoin julkisesti saatavilla. "Julkisesti saatavilla" tarkoittaa kiinteistöjen tietoja tai tiettyjä kiinnelainojen tietoja, jotka saattavat olla julkisesti saatavilla.

GLBA-lain Safeguards Rule -määräys vaatii tietojen kerääjiä suojelemaan henkilötietoja ja hankkimaan asianmukaisesti mitoitetut tietoturvajärjestelmät. Toisin sanoen suurilla kansallisilla pankeilla on oltava paremmat suojaukset kuin esimerkiksi paikallisella luotto-osuuskunnalla.

Määräys edellyttää yrityksiltä säännöllisiä testauksia. Lisäksi niiden on toteutettava tietoturvatoimenpiteitä päivittäisessä toiminnassaan, esimerkiksi tarkistamalla työntekijöiden taustat ja laatimalla toimintasuunnitelmat hyökkäyksiä varten.

GLBA määrittää peitetarinan kehittämisen (pretexting) laittomaksi. Peitetarinan kehittäminen viittaa tilanteeseen, jossa henkilö saa luvattoman pääsyn ei-julkisiin tietoihin. Termi liittyy usein käyttäjien manipulointiin perustuviin hyökkäyksiin, joissa henkilö esiintyy esimerkiksi johtajana tai lainvalvontaviranomaisena saadakseen tietoja. Tietojenkalasteluun perustuvat huijaukset ovat toinen esimerkki peitetarinoiden kehittämisestä. Niissä käytetään toisinaan väärennettyjä sivustoja, joilla ihmiset huijataan paljastamaan yksityisiä tietoja. GLBA edellyttää, että rahoituslaitokset määrittävät tietoturvasuunnitelmissaan toimenpiteet peitetarinoiden käytön estämiseen.

Internetin tietosuojalait: yhteenveto

Eri lainkäyttöalueilla eri puolilla maailmaa on erilaisia Internetin tietosuoja- ja tietoturvalakeja. Esimerkiksi Brasiliassa on Lei Geral de Proteção de Dados (LGPD) ja Kanadassa Consumer Privacy Protection Act (CPPA), joista kumpikin vastaa suurin piirtein EU:n yleistä tietosuoja-asetusta tai Kalifornian CCPA-lakia.

Yhdysvalloissa ei ole kattavaa liittovaltion lakia tietosuojan sääntelyyn. Internetin sääntely koostuu monista ala- ja välinekohtaisista laeista, kuten televiestintää, terveystietoja, luottotietoja, rahoituslaitoksia ja markkinointia koskevista laeista ja asetuksista. 

Yksi parhaista tavoista suojata yksityisyyttä ja tietoturvaa verkossa on kattavan virustorjuntaratkaisun käyttäminen. Esimerkiksi Kaspersky Total Security torjuu tavalliset ja monimutkaiset uhat, kuten virukset, haittaohjelmat, kiristysohjelmat, vakoilusovellukset ja hakkerien uusimmat huijaukset.

Aiheeseen liittyvät artikkelit:

• Mitä on tietosuoja? Miten voit suojautua
• Mitä Internet-turvallisuus on? Miten voit suojautua verkossa
• Kuinka suojaat yksityisyyttäsi verkossa, kun liiketoiminta ja yksityiskäyttö lähentyvät
• IP-osoitteen piilottaminen