Internet-lainsäädäntö tai kyberlainsäädäntö tarkoittaa oikeusperiaatteita ja säännöksiä, joilla säädellään Internetin käyttöä. Internetiin liittyvä lainsäädäntö ei ole aina selkeää eikä yksiselitteistä seuraavista syistä:
Euroopan unionilla on kattava tietosuojalaki nimeltä yleinen tietosuoja-asetus (GDPR). Yhdysvalloilla sen sijaan ei ole keskitettyä liittovaltion tasoista Internetin tietosuojalakia. Maassa on useita alakohtaisia liittovaltion tietosuojalakeja ja useita kuluttajia koskevia tietosuojalakeja eri osavaltioissa. Tässä on yleiskatsaus joistakin tärkeistä Internetin turvallisuutta koskevista laeista, jotka on hyvä tuntea.
Vaikka vuoden 1974 tietosuojalaki on annettu ennen Internetin olemassaoloa, se toimii Yhdysvalloissa monien tietoturvaa ja Internetin yksityisyydensuojaa koskevien lakien perustana. Laki annettiin, koska oli havaittu, että Yhdysvaltojen valtion virastojen tietokannoissa säilytettiin paljon henkilötietoja. Lain piiriin kuuluivat seuraavat:
Internetin keksiminen muutti kuitenkin yksityisyyden määritelmää ja pakotti säätämään uusia sähköistä viestintää koskevia tietoturvalakeja.
Yhdysvaltojen liittovaltion kauppakomissio (Federal Trade Commission, FTC) perustettiin vuoden 1914 Federal Trade Commission Act -lailla, jonka tarkoituksena oli kieltää epäoikeudenmukaiset kilpailumenetelmät ja epäoikeudenmukaiset toimet tai käytännöt, jotka vaikuttivat kaupankäyntiin.
Vaikka FTC ei nykyisin säätele erikseen sitä, mitä tietoja sivustojen tietosuojakäytäntöjen pitäisi sisältää, sillä on valtuudet antaa määräyksiä, panna täytäntöön tietosuojalakeja ja suojella kuluttajia. FTC voi esimerkiksi puuttua organisaatioiden toimintaan, jos ne
FTC osallistuu Internetin säätelyyn erityisesti tutkimalla harhaanjohtavia tietoja, joita johtavat teknologia- ja yhteisöpalveluyhtiöt antavat keräämiensä kuluttajatietojen yksityisyydestä. FTC tutki esimerkiksi aiemmin Facebookia vastaan esitettyjä valituksia, jotka koskivat yhtiön tapaa käyttää asiakastietoja.
Vuoden 1998 Children’s Online Privacy Protection Act -laki (COPPA) on Yhdysvaltojen liittovaltion laki. Sen tarkoituksena on antaa vanhempien hallita sitä, mitä tietoja heidän lapsiltaan kerätään verkossa. COPPA koskee tahoja, jotka tarjoavat kaupallisia sivustoja ja verkkopalveluja (mukaan lukien mobiilisovelluksia ja esineiden Internetin laitteita), jotka on suunnattu alle 13-vuotiaille lapsille ja jotka keräävät lasten henkilötietoja.
COPPA sisältää seuraavat keskeiset vaatimukset:
Vaikka laki on peräisin Internetin alkuajoilta, siitä on tullut erityisen tärkeä yhteisöpalvelujen ja ohjelmallisten mainosten aikakaudella. COPPA-lain osalta keskeinen kysymys on, missä määrin sivusto on "suunnattu" alle 13-vuotiaille lapsille. Yhdysvalloissa FTC arvioi sivustot tiettyjen ehtojen perusteella, joita ovat esimerkiksi seuraavat:
Jotkin sivustot tai palvelut tarkistavat käyttäjiensä iän, joten niiden ei tarvitse noudattaa COPPA-lain määräyksiä. Esimerkiksi monet yhteisöpalvelut, joiden liiketoimintamalli perustuu käyttäjätietojen keräämiseen ja kaupallistamiseen, määrittävät rekisteröityneiden käyttäjien ikärajaksi 13 vuotta.
Toinen COPPA-lakiin liittyvä kysymys kuuluu, mitä "henkilötietojen keräämisellä" tarkoitetaan. Nimien, osoitteiden ja valokuvien kerääminen kuulu tähän kategoriaan. Tilanne ei ole yhtä selvä käyttäytymiseen perustuvien mainosten (eli eri sivustoilla ja sovelluksissa käyttäjän toimintaa seuraavien mainosten) osalta, jotka myös kuuluvat henkilötietojen keruun piiriin COPPA-laissa. Vaikka mainokset näyttäisi kolmannen osapuolen tarjoaja, sivuston omistaja on vastuussa niistä, jos ne näytetään lapsille suunnatulla sivustolla. Koska käyttäytymiseen perustuvat mainokset muodostavat suuren osan Internetin ekosysteemistä, tällä on suuri vaikutus lapsille suunnattuihin sivustoihin.
California Consumer Privacy Act -laki (CCPA) allekirjoitettiin vuonna 2018. Sen tavoitteena oli tehostaa Kaliforniassa asuvien kuluttajien tietosuojaa laajentamalla kuluttajien yksityisyyden suoja koskemaan Internetiä. CCPA-lain katsotaan olevan Yhdysvaltain kattavin Internetiä koskeva tietosuojalaki, jolla ei ole vastinetta liittovaltion lainsäädännössä.
Kuten EU:n yleinen tietosuoja-asetus, se antaa kuluttajille oikeuden saada pääsyn tietoihinsa sekä oikeuden poistaa tiedot ja kieltää tietojen käsittelyn milloin tahansa. CCPA poikkeaa kuitenkin yleisestä tietosuoja-asetuksesta siinä, että yleisessä tietosuoja-asetuksessa kuluttajille annetaan oikeus korjata tai oikaista virheelliset henkilötiedot, mutta CCPA-laista tämä puuttuu. Lisäksi yleisessä tietosuoja-asetuksessa vaaditaan nimenomainen suostumus, kun kuluttajat luovuttavat tietonsa. Sen sijaan CCPA-laissa määrätään vain, että sivustoilla on oltava tietosuojaseloste, jossa kerrotaan kuluttajille, että heillä on oikeus kieltää tiettyjen tietojen kerääminen. Muita CCPA-lain piirteitä:
CCPA-laissa henkilötietojen määritelmä on laaja: tiedot, joilla voi tunnistaa tietyn kuluttajan tai kotitalouden, jotka liittyvät sellaiseen, kuvaavat sellaista tai jotka voidaan yhdistää tai voitaisiin kohtuudella liittää sellaiseen joko suoraan tai välillisesti. Tämä vastaa yleisen tietosuoja-asetuksen laajaa käsitystä henkilötiedoista.
EU:n yleinen tietosuoja-asetus (GDPR) tuli voimaan vuonna 2018. Se on oikeudellinen kehys, joka antaa ohjeet Euroopan unionissa asuvien henkilöiden henkilötietojen keräämiseen ja käsittelyyn. Yleistä tietosuoja-asetusta sovelletaan siitä riippumatta, missä sivusto sijaitsee, mikä tarkoittaa, että kaikkien eurooppalaisia kävijöitä houkuttelevien sivustojen on noudatettava sitä. Yleistä tietosuoja-asetusta pidetään yhtenä maailman tiukimmista tietoturvalaeista.
Siinä määrätään, että sivuston käyttäjille on ilmoitettava, mitä tietoja sivusto kerää, ja että käyttäjien on nimenomaisesti annettava suostumuksensa tietojen keräämiseen. Tästä syystä monilla sivustoilla on ponnahdusikkunoita, joissa käyttäjiä pyydetään hyväksymään evästeiden kerääminen. Evästeet ovat pieniä tiedostoja, jotka sisältävät esimerkiksi sivuston asetusten kaltaisia henkilötietoja.
Yleisen tietosuoja-asetuksen keskeisiä piirteitä:
Euroopan komission sivustolla on yleisen tietosuoja-asetuksen tarkempi kuvaus. Suuret yritykset ovat saaneet huomattavia sakkoja yleisen tietosuoja-asetuksen rikkomisesta: Google sai 57 miljoonan Yhdysvaltojen dollarin sakot, koska tärkeitä tietoja oli piilotettu, kun käyttäjät määrittivät uusia Android-puhelimia, joten käyttäjät eivät tienneet, mihin tietojen keruun käytäntöihin he antoivat suostumuksensa, ja British Airways sai 28 miljoonan Yhdysvaltojen dollarin sakot, kun 500 000 asiakkaan varaustiedot varastettiin hyökkäyksen yhteydessä.
Vuoden 1996 Health Insurance Portability and Accountability Act -laki (HIPAA) on Yhdysvaltojen liittovaltion laki, joka koskee sairausvakuutusten säätelyä sekä tietosuojaa ja tietoturvaa. Se estää terveydenhuoltopalvelujen tarjoajia, yrityksiä ja niiden kanssa työskenteleviä ihmisiä luovuttamasta kuluttajien terveystietoja ilman heidän suostumustaan.
Kun puhutaan HIPAA-laista, yleensä tarkoitetaan siihen vuonna 2003 lisättyä Privacy Rule -määräystä. Se lisättiin osittain siksi, että Yhdysvaltojen kongressissa todettiin, että Internet teki terveystietojen varkauksista entistä todennäköisempiä. HIPAA-lain Privacy Rule -määräys antaa kuluttajille oikeuden hallita terveystietojensa luovuttamista kertomalla terveydenhuoltopalveluiden tarjoajalle, mitä tietoja saa jakaa.
HIPAA suojelee kuitenkin vain terveydenhuollon tietoja, jotka ovat tietyntyyppisten terveydenhuoltopalvelujen tarjoajien hallussa. HIPAA ei esimerkiksi yleensä kata aktiivisuusrannekkeen sisältämiä terveystietoja. HIPAA ei myöskään kata geneettisiä tietoja, jotka annetaan Ancestry.comin kaltaisilla sivustoilla. Muut lait tai sopimukset, kuten monissa sovelluksissa pakolliset tietosuojalausekkeet, voivat suojella näitä tietoja, mutta HIPAA ei suojele niitä.
Gramm-Leach-Bliley Act -laki (GLBA), joka tunnetaan myös nimellä Financial Services Modernization Act of 1999, on pankki- ja rahoitusalaa koskeva laki, joka sisältää tietosuojaan ja tietoturvaan liittyviä osia. Sen henkilötietojen suojaus perustuu aiempiin kuluttajien taloustietoja koskeviin lakeihin, kuten Fair Credit Reporting Act -lakiin (FCRA).
GLBA suojelee ensisijaisesti muita kuin julkisia henkilötietoja, jotka on määritelty tiedoiksi, jotka henkilöstä kerätään rahoitustuotteen tai -palvelun tarjoamisen yhteydessä, elleivät kyseiset tiedot ole muulla tavoin julkisesti saatavilla. "Julkisesti saatavilla" tarkoittaa kiinteistöjen tietoja tai tiettyjä kiinnelainojen tietoja, jotka saattavat olla julkisesti saatavilla.
GLBA-lain Safeguards Rule -määräys vaatii tietojen kerääjiä suojelemaan henkilötietoja ja hankkimaan asianmukaisesti mitoitetut tietoturvajärjestelmät. Toisin sanoen suurilla kansallisilla pankeilla on oltava paremmat suojaukset kuin esimerkiksi paikallisella luotto-osuuskunnalla.
Määräys edellyttää yrityksiltä säännöllisiä testauksia. Lisäksi niiden on toteutettava tietoturvatoimenpiteitä päivittäisessä toiminnassaan, esimerkiksi tarkistamalla työntekijöiden taustat ja laatimalla toimintasuunnitelmat hyökkäyksiä varten.
GLBA määrittää peitetarinan kehittämisen (pretexting) laittomaksi. Peitetarinan kehittäminen viittaa tilanteeseen, jossa henkilö saa luvattoman pääsyn ei-julkisiin tietoihin. Termi liittyy usein käyttäjien manipulointiin perustuviin hyökkäyksiin, joissa henkilö esiintyy esimerkiksi johtajana tai lainvalvontaviranomaisena saadakseen tietoja. Tietojenkalasteluun perustuvat huijaukset ovat toinen esimerkki peitetarinoiden kehittämisestä. Niissä käytetään toisinaan väärennettyjä sivustoja, joilla ihmiset huijataan paljastamaan yksityisiä tietoja. GLBA edellyttää, että rahoituslaitokset määrittävät tietoturvasuunnitelmissaan toimenpiteet peitetarinoiden käytön estämiseen.
Eri lainkäyttöalueilla eri puolilla maailmaa on erilaisia Internetin tietosuoja- ja tietoturvalakeja. Esimerkiksi Brasiliassa on Lei Geral de Proteção de Dados (LGPD) ja Kanadassa Consumer Privacy Protection Act (CPPA), joista kumpikin vastaa suurin piirtein EU:n yleistä tietosuoja-asetusta tai Kalifornian CCPA-lakia.
Yhdysvalloissa ei ole kattavaa liittovaltion lakia tietosuojan sääntelyyn. Internetin sääntely koostuu monista ala- ja välinekohtaisista laeista, kuten televiestintää, terveystietoja, luottotietoja, rahoituslaitoksia ja markkinointia koskevista laeista ja asetuksista.
Yksi parhaista tavoista suojata yksityisyyttä ja tietoturvaa verkossa on kattavan virustorjuntaratkaisun käyttäminen. Esimerkiksi Kaspersky Total Security torjuu tavalliset ja monimutkaiset uhat, kuten virukset, haittaohjelmat, kiristysohjelmat, vakoilusovellukset ja hakkerien uusimmat huijaukset.
Aiheeseen liittyvät artikkelit: