Digivallan jäljillä

Esipuhe

Data on aikamme tärkein raaka-aine, resurssi ja tuotannontekijä. Käynnissä on historiallinen teknologian ja talouden murros, jossa digitalisaatio ja datatalous mahdollistavat hyvinvoinnin ja työn tuottavuuden voimakkaan kasvun.

Meillä on kuitenkin käsissämme ongelma. Nykyinen dataan pohjautuva talous on epäreilu, sillä valta on keskittynyt muutamien datajättien ympärille. Vääristynyt kilpailuasetelma sekä datatalouden pelisääntöjen puuttuminen on haitallista sekä ihmisille että yhteiskunnille.

Ensimmäinen askel tilanteen korjaamiseksi on lisätä ymmärrystämme tästä uudesta taloudesta. Yhteiskuntina olemme vasta heräämässä siihen, että keskeiset sosiaalisen median alustat ja digitaaliset kauppapaikat ovat yhteiskunnan kriittistä infrastruktuuria. Alustoilla ja niiden algoritmeilla on paljon valtaa siihen, minkälaista informaatiota yksilöille tarjotaan. Tätä valtaa voidaan käyttää myös ihmisten manipuloimiseksi, esimerkiksi välittämällä valeinformaatiota. Tämä voi pahimmillaan rapauttaa demokraattisen järjestelmän perustaa eli oletusta vapaista ja autonomisista yksilöistä, jotka kykenevät muodostamaan itse omat mielipiteensä ja tekemään itsenäisiä päätöksiä.

Meillä yksilöillä on liian vähän näkyvyyttä siihen, miten paljon dataa meistä kerätään ja miten tätä dataa käytetään meidän profiloimiseksemme. Sekä datatalouden kehityksen että demokratian näkökulmasta on kestämätöntä, että yksilöt eivät voi hallita omaa dataansa.

Digivalta-selvityksemme on tehty nykymuotoisen datatalouden mekanismien ja dataan perustuvan digitaalisen vallankäytön läpivalaisemiseksi. Selvityksen yksi tärkeimmistä päämääristä on kasvattaa tietoisuutta digitaalisen vallan luonteesta arjessamme. Lisäksi tarjoamme suosituksia tilanteen parantamiseksi.

Ongelma kiteytyy digitaalisen vallan voimakkaaseen keskittymiseen ja yksilöiden vähäiseen kontrolliin. Siksi ratkaisuna on viime kädessä yksilöiden kontrollin ja toimijuuden kasvattaminen.

Selvitykseen osallistui 15 päättäjää ja muuta yhteiskunnallista vaikuttajaa Euroopasta. Haluamme kiittää lämpimästi kaikkia testihenkilöitä. Arkensa kiireistä huolimatta he antoivat omaa aikaansa ja dataansa selvityksen käyttöön. Ilman heitä tämä uraauurtava selvitys ei olisi ollut mahdollinen.

Suuret kiitokset kuuluvat myös yhteistyökumppanimme Hestia.ain koko osaavalle tiimille ja aivan erityisesti Paul-Olivier Dehayelle ja Alex Bowyerille.

24.5.2022

KRISTO LEHTONEN ja VEERA HEINONEN

Lehtonen toimii Reilun datatalouden teeman johtajana ja Heinonen Demokratia ja osallisuus -teeman johtajana Sitrassa.

Tiivistelmä

Digivalta-selvityksen tavoitteena oli läpivalaista datan keräämiseen ja hyödyntämiseen perustuvan datatalouden ekosysteemejä ja niiden toimintamalleja. Selvitystyön myötä saadun tiedon pohjalta pyrittiin hahmottamaan digitaalisen vallan luonnetta sekä sen erilaisia ulottuvuuksia niin talouden, demokratian kuin yksittäisen ihmisen arjen ja oikeuksien, esimerkiksi yksityisyyden, näkökulmista. Selvitystyössä tehtiin toistaiseksi pitkälti näkymättömiä datatalouden mekanismeja näkyviksi. Tämä on tärkeää, koska meidän tulee ymmärtää nykyisen datatalouden toimintaa paremmin, jotta voimme kuvitella ja rakentaa vaihtoehtoista ja nykyistä reilumpaa datatalouden tulevaisuutta.

Selvityksessä oli mukana testihenkilöinä 15 päättäjää ja muuta yhteiskunnallista, eurooppalaista vaikuttajaa. He kävivät läpi ”datavalmennusohjelman”, jossa heitä autettiin selvittämään itseään koskevan datan liikkeitä, määrää ja laatua testipuhelimien, tietopyyntöjen ja palveluntarjoajien dataportaalien avulla. Saadun datan perusteella datavalmennuksesta vastanneen Hestai.ai-yrityksen asiantuntijat arvioivat, mitä kaikkea kerätyllä datalla on mahdollista tehdä ja miten sitä voidaan käyttää testihenkilöihin vaikuttamiseen. Saadut tiedot ja niiden pohjalta tehdyt analyysit käytiin valmennuksen aikana läpi testihenkilöiden kanssa.

Verrattuna vuoden Sitran 2019 Digijälki-selvitykseen, joka keskittyi datan keräämisen määrään ja kerääjien verkostoon, tässä selvityksissä paneuduttiin syvällisemmin eri palveluiden väliseen datan liikkumiseen. Ennen kaikkea tarkasteltiin, kuinka moninaisen kuvan testihenkilöistä saa datan avulla muodostettua, ja millaista valtaa datan kerääjille sen kautta syntyy.

Datan kerääminen ei selvityksen perusteella rajaudu vain digitaalisiin ympäristöihin, vaan myös asioinnista kivijalkaliikkeessä voi mennä yksityiskohtaisia tietoja datatalouden nykyisille merkittävimmille vallankäyttäjille eli globaaleille alustayrityksille. Testihenkilöt kokivat selvityksen tulokset monella tapaa hätkähdyttävinä, ja tämä oli myös yksi selvityksen tavoitteista. Päättäjien tietoisuuden parantaminen on edellytys reilujen pelisääntöjen laatimiselle datataloudelle.

Digivalta-selvityksessä tavoiteltiin yksittäisten testihenkilöiden datasta rakennettujen esimerkkien kautta ymmärrystä myös digitaalisen vallan luonteesta yleisemmin. Selvitys alleviivasi sitä, että nykymuotoisessa datataloudessa voittajia ovat ne toimijat, jotka pystyvät keräämään suuria määriä monipuolista dataa. Valta on luonteeltaan kasautuvaa, sillä uudella datalla on mahdollista jalostaa ennestään toimijan hallussa olevaa dataa ja nostaa sen arvoa. Digitalisoituvissa yhteiskunnissa tällainen valta on luonteeltaan infrastruktuurista ja sitä käytetään paitsi suhteessa yksilöihin myös yrityksiin ja koko yhteiskuntaan.

Sitran työryhmä laati Digivalta-selvityksen ja muun Sitran datatalouteen liittyvän työn pohjalta joukon suosituksia siitä, miten nykyistä reilumpaa ja demokratian kannalta kestävämpää datataloutta tulisi rakentaa. Keskeisiä toimenpiteitä ovat esimerkiksi datajättien vallan suitsiminen, dataliiketoiminnan markkinoiden toimivuuden edistäminen, yritysvastuun lisääminen sekä yksilöiden, eli meidän jokaisen, oman toimijuuden tukeminen datatalousosaamista ja ”digitaalista sivistystä” tukemalla.

1. Datatalouden systeeminen muutos voi avata tien eurooppalaiseen menestykseen ja demokratian uudistamiseen

Dataa päästään Euroopassa kokonaisvaltaisesti hyödyntämään, kun räikeimmät datatalouden ongelmat ratkaistaan. Osoittamalla ja kuvaamalla ongelma, on mahdollista päästä ratkaisuihin, joilla tuetaan yksilöitä ja yrityksiä ja puolustetaan demokratiaa.

Datan käytössä pisimmällä olevat yritykset hyödyntävät omaa ja kumppaneiden dataa monipuolisesti parantaakseen palveluidensa tai tuotteidensa nopeutta, laatua ja hintakilpailukykyä. Esimerkiksi liikkeenharjoittajat hyödyntävät myyntidataa ja tekevät ennakoiden tilauksia toimittajiltaan. Ravintolaruuan välitysalustat pystyvät ennakoimaan tilauksia ruuhka-aikoina. Kuljetusyhtiöt ennakoivat datan perusteella liikenneruuhkia. Sosiaalisen median alustat suosittelevat kiinnostavaa sisältöä käyttäjilleen ja verkkokaupat ostettavia tuotteita asiakkailleen.

Tällä hetkellä datatalouden rakenteet, toimintatavat ja kannusteet eivät ole reiluja sen enempää yksittäisten ihmisten kuin useimpien yritystenkään näkökulmasta. Yksilöitä koskeva data, sen hyödyntäminen ja taloudellinen hyöty ovat yhä enemmän keskittymässä muutamien globaalien datajättien, kuten Google, Meta, Amazon ja Microsoft, käsiin. Datankäytön ja sen päälle rakennettujen algoritmien läpinäkymättömyys nakertavat pohjaa ihmisten väliseltä ja yhteiskunnan instituutioita kohtaan tunnetulta luottamukselta. Tämä luo uhan myös demokratian kestävyydelle.

Samanaikaisesti kyky ymmärtää yksityisyydelle aiheutettujen haittojen pitkäaikaisia vaikutuksia on rajoittunut sekä läpinäkymättömyyden, väärän informaation että puutteellisen osaamisen vuoksi. Yksityisyyden puutteen saatetaan kokea olevan ongelma vain, jos toimitaan lain väärällä puolella eli sen merkitystä yksilön vapaudelle, mielenterveydelle ja kyvylle kehittyä ihmisenä ei ole syvällisesti ymmärretty.

Henkilödatan keräämisen hillitseminen esimerkiksi regulaation avulla aiheuttaa vastareaktioita osassa yritysmaailmaa, ja aivan erityisesti suurten alustojen johdossa, sillä sen väitetään rajoittavan yritysten innovaatiokykyä. Todellisuudessa datatalouden menestys, oikeudenmukaiset pelisäännöt yrityksille ja yksilöiden oikeudet eivät ole ristiriidassa toistensa kanssa, vaan itse asiassa edellytys kilpailulle ja innovaatioille.

Digitaalinen harvainvalta ja datatalouden läpinäkymättömyys rapauttavat demokratian perustuksia

Datatalouden mekanismien ja digitaalisen vallan läpivalaisu on tärkeää paitsi yksilön ja yritysten, myös demokratian ja osallisuuden näkökulmista. Viime vuosien ja vuosikymmenten aikana arkemme on siirtynyt digitaalisiin ympäristöihin nopeammin kuin demokraattista yhteiskuntajärjestystämme perinteisesti ylläpitävät arvomme, rakenteemme ja toimintatapamme. Tästä taas seuraa ristiriita politiikan puhetapojen ja toimintamallien sekä arkikokemuksemme välillä.

Arki tarkoittaa tässä esimerkiksi tapojamme viettää aikaa, olla vuorovaikutuksessa ja toimia muiden ihmisten kanssa, etsiä tietoa monimutkaisessa maailmassa, viihdyttää itseämme sekä hoitaa asioita. Demokratian rakenteilla ja toimintatavoilla taas viitataan tässä mm. ympäröivän yhteiskunnan tarjoamiin tapoihin saada tietoa ja vaikuttaa ihmistä itseään koskeviin tai muuten tärkeiksi kokemiin asioihin vaikkapa erilaisten aloitteiden, vaalien, luottamustehtävien tai kansalaisaktivismin keinoin.

Sitran näkemyksen mukaan suomalaista demokratiaa tulee sekä puolustaa että uudistaa. Demokratian puolustaminen tarkoittaa esimerkiksi nykyisten osallistumisen esteiden torjumista tai kiertämistä. Digitaalisissa ympäristöissä tällaisiksi esteiksi on eri kyselyissä ja tutkimuksissa tunnistettu niin Suomessa kuin maailmalla esimerkiksi disinformaatio, hämmentäminen, verkkohäiriköinti sekä algoritmien yhteiskunnallista keskustelua polarisoiva luonne. Näiden ilmiöiden ymmärtämisen merkitys on vielä korostunut Venäjän hyökättyä Ukrainaan ja turvallisuuspoliittisen tilanteen kiristyttyä.

Niin ikään demokratian toteutumisen edellytyksiä vähentävät datan keräämisen ja hyödyntämisen monimutkaisten verkostojen läpinäkymättömyys sekä datan hyödyttömyys ja huono hyödynnettävyys kansalaisen näkökulmasta. Digitaaliseksi vallankäytöksi voidaan mieltää myös se, että julkishallinto ylläpitää nykytilannetta eikä aktiivisesti edistä julkisin varoin tuotetun datan hyödyntämistä tai kannusta kansalaisia hyödyntämään dataoikeuksiaan. Näin siitä huolimatta, että Suomen kaltaisessa korkean koulutustason maassa kansalaislähtöinen ”data-aktivismi” voisi tuottaa uusia osallistumisen ja yhteistoiminnan malleja, jotka osaltaan voisivat hyödyttää ja tukea myös edustuksellista päätöksentekoa.

Keskustelu datan merkityksestä on vasta alussa ja poliitikot puuttuvat datatalouskeskustelusta

Datan määrä, sen vaikutus kaikkiin yhteiskunnan alueisiin ja dataan perustuvan liiketoiminnan arvo kasvavat nopeasti. Tästä huolimatta emme tiedä paljoakaan siitä, kuinka meitä koskevaa dataa kerätään ja miten sitä käytetään. Ymmärrys verkossa tapahtuvan, datapohjaisen seurannan ja profiloinnin merkityksestä koko yhteiskunnalle on vielä puutteellista.

Sitran ja analyysiyritys Meedius Internationalin selvityksessä 2022 huomattiin, että keskustelu datataloudesta on melko kapeaa, siitä puuttuu vastuullisuuden tulokulma ja keskusteluissa olivat aktiivisesti äänessä tutkijat, kun taas poliitikot olivat lähes näkymättömissä. Vaikka Digivalta-selvityksen tarkoituksena oli ensisijaisesti kiinnittää huomiota päättäjistä kerättyyn dataan, haluttiin toisaalta myös poliitikkojen itsensä kiinnittävän huomiota datan keräämiseen ja sen yhteiskunnalliseen merkitykseen.

Kansainvälisessä datatalouskeskustelussa korostui huoli digitalisaatio- ja alustatalouskehityksen oikeudenmukaisuudesta. Tässä poliitikkojen rooli on täysin keskeinen. Tarvitsemme lisää yhteiskunnallista keskustelua datataloudesta, erityisesti henkilödatan osalta, ja siinä keskustelussa poliitikkojen tulee olla aktiivisesti mukana paitsi päätöksentekijöinä ja lainsäätäjinä myös muutoin yhteiskunnallisen kokonaisedun ja moniäänisyyden varmistajina.

Digivalta-selvitys on lajissaan ainutlaatuinen kurkistus päättäjien datan kulkuun

Digivalta-selvityksessä lähdettiin vallan jäljille monella tapaa: tavoitteena oli selvittää, voidaanko testihenkilöinä oleviin päätöksentekijöihin vaikuttaa heistä kerätyn datan avulla, ja millaisia keinot voisivat olla. Samalla jäljitettiin sekä toimintatapoja että niitä toimijoita, jotka keräävät yksilöistä dataa käyttäessämme erilaisia verkkopalveluja.

Selvityksen tavoitteena oli paitsi tunnistaa uudenlaisia vaikutusmekanismeja myös määritellä, mitä digitaalisella vallalla tarkoitetaan. Toisaalta haluttiin pohtia, kuinka perinteinen ja digitaalinen valta risteytyvät. Selvitys osoitti, että nykymallisessa datataloudessa digitaalista valtaa käyttävät ennen kaikkea digitaalisissa verkostoissa keskeisinä solmukohtina toimivat data-alustat, kuten erilaiset ”sosiaalisen median” palvelut. Niin ikään selvitys osoitti, että yksi digitaalisen vallankäytön keskeisistä muodoista on kyky muodostaa erilaisten datalähteiden avulla kokonaiskuva siitä, miten ihmiset, tavarat, raha, ajatukset ja mielipiteet liikkuvat näissä verkostoissa.

Digivalta-selvityksen pitemmän aikavälin tavoitteena on kehittää selvityksen havaintojen pohjalta yhteistyössä erilaisten toimijoiden kanssa ratkaisuja, joiden avulla datataloudesta voitaisiin tehdä reilumpaa ja kestävämpää paitsi liiketoiminnan myös demokratian puolustamisen ja edelleen kehittämisen kannalta.

Digivalta-selvitys toteutettiin yhteistyössä sveitsiläisen konsulttiyritys Hestia.ain kanssa.

2. Testiryhmänä eurooppalaisia poliittisia päättäjiä ja yhteiskunnallisia vaikuttajia

Viiden Euroopan maan päättäjät ja vaikuttajat halusivat oppia datatalouden toimintamalleista ja henkilödatan liikkeistä sekä ymmärtää digitaalista valtaa. Hyvästä datatalouden ymmärryksestä huolimatta henkilödatan keräämisen laajuus ja yksityiskohtaisuus tuli monelle yllätyksenä.

Selvitys jatkaa Sitran vuonna 2019 toteuttamaa selvitystä yksilöiden digijäljistä, jossa seurattiin, kuinka paljon dataa digitaalisen palvelun käyttäjästä kerätään ja kuinka monelle kolmannelle osapuolelle dataa kulkeutuu. Kuuden silloisen testihenkilön joukossa oli mukana kansanedustaja, ja kiinnostus päätöksentekijöiden datan kulkuun sai tällöin alkunsa.

Keskeisiä löydöksiä olivat:

• valtava määrä dataa vuodetaan tuntemattomille toimijoille
• Euroopan unionin tietosuoja-asetuksen (General Data Protection Regulation, GDPR) toiminta on puutteellista
• yksityisyys on jatkuvassa vaarassa
• suurimmat alusta- ja datayhtiöt pyörittävät liiketoimintaansa tavalla, joka on yhteiskunnan ja yksilön kokonaishyvinvoinnin kannalta ongelmallinen

Testihenkilöt yhteiskunnallisia vaikuttajia erilaisissa rooleissa

Digivalta-selvityksessä oli mukana 15 yhteiskunnallisesti aktiivista ja tunnettua testihenkilöä Isosta-Britanniasta, Irlannista, Italiasta, Ranskasta ja Suomesta. Valtaosa heistä oli poliittisia päätöksentekijöitä vasemmalta oikealle, mutta mukana oli myös muita yhteiskunnallisesti merkittäviä vaikuttajia, kuten EU-virkamiehiä.

Tiedonkeruuta ja analyysia varten muodostettiin tietoturvallinen ”kupla” valittujen tutkijoiden kanssa, jonka avulla selvitys voitiin toteuttaa testihenkilöiden tietoturvaa ja yksityisyyttä kunnioittaen. Jokainen testihenkilö sai myös itse päättää, mitä tietoa verkkosivuille, sosiaaliseen mediaan tai esimerkiksi tähän julkaisuun dokumentoitiin.

Selvitykseen osallistuminen oli vaativaa ja testihenkilöiden aikataulut poikkeuksellisen haastavia, joten joidenkin henkilöiden oli pakko luopua selvitykseen osallistumisesta kesken matkan. Joidenkin osalta taas datan löydöksiä ei jaeta julkaisussa yksityiskohtaisesti.

Testihenkilöiden Digivalta-matka

“

Datatalouden ja vallankäytön läpinäkyvyydessä on vielä tekemistä

Testihenkilöillä oli erilaisia motivaatioita lähteä mukaan selvitykseen, mutta kaikkia henkilöitä yhdisti halu ymmärtää datatalouden toimintamekanismeja ja niiden vaikutuksia yksilöiden elämään ja yhteiskuntaan. Datatalouden osaaminen vaihteli jonkin verran riippuen henkilön taustasta ja tehtävästä. Kukin testihenkilö valitsi datamatkalleen itseään eniten kiinnostavat yritykset, joiden datan keräämiseen kiinnitettiin erityistä huomiota.

Testihenkilöiden valitsemat yritykset olivat sekä paikallisia että kansainvälisiä toimijoita. Dataa pyydettiin ja seurattiin niin perinteisistä vähittäiskaupan toimijoista kuin datajäteistäkin.

Vaikka selvityksen tekijät ovat alueensa asiantuntijoita, oli asioiminen yritysten kanssa useimmiten vaikeaa ja aikaa vievää. Valtaosa selvityksessä kohteiksi valituista yrityksistä jätti joko vastaamatta kokonaan tietopyyntöihin tai sitten ne vastasivat puutteellisesti. Tyypillisesti vastauksista jätettiin pois olennaisia tietoja esimerkiksi ulkopuolelta ostetusta datasta tai henkilöstä kerätyn datan avulla johdetusta tiedosta ja profiloinnista.

Selvityksen testihenkilöt

• Anders Adlercreutz, kansanedustaja
• Leïla Chaibi, Euroopan parlamentin jäsen
• Filomena Chirico, European commission official, member of the cabinet of Commissioner Thierry Breton
• Christian D’Cunha, Euroopan komissio/Viestintäverkkojen, sisältöjen ja teknologian direktoraatti
• Stéphane Duguin, toimitusjohtaja, CyberPeace Institute
• Atte Harjanne, kansanedustaja, eduskuntaryhmän puheenjohtaja
• Jyrki Katainen, yliasiamies, Sitra
• Dan Koivulaakso, valtiosihteeri
• Miapetra Kumpula-Natri, europarlamentaarikko
• Markus Lohi, kansanedustaja
• Tom Packalén, kansanedustaja
• Sirpa Pietikäinen, europarlamentaarikko
• Mark Scott, teknologiatoimittaja, Politico
• Niclas Storås, journalisti, HS Visio
• Sari Tanus, kansanedustaja

“

Solmit sopimuksen ja luulet olevasi ostaja, mutta oletkin itse kaupan kohteena

Anders Adlercreutz

Poimintoja löydöksistä

Suomi oli hankkimassa uusia hävittäjälentokoneita miljardien eurojen kansainvälisessä kilpailutuksessa. Hävittäjälentokoneita valmistava amerikkalaisyritys Boeing kohdisti laajan Twitter-kampanjansa lukuisia kertoja Adlercreutziin. Hän päätyi mainonnan kohteeksi koska oli tietyn ikäinen, käytti Twitteriä Suomessa ja kuului niin sanottuun samankaltaisten yleisöön (look-a-like-yleisö). Some-alustojen käyttämä tekoäly tutkii käyttäjän toimintaa, kuten ostokäyttäytymistä, netissä ja mainokset voidaan kohdentaa samankaltaisille ihmisille, jotka yleensä ostaisivat halutun tuotteen. Twitter siis käyttää hieman yllättäen muiden kohdistamiskeinojen lisäksi luonnollisia henkilöitä kohdistamiskriteereinä.

Washington Post keräsi tietoja Adlercreutzin lukemien juttujen sekä sisällöissä olleiden tiettyjen avainsanojen ja ilmaisujen perusteella hänen kiinnostuksen kohteistaan ja kehittää samalla omaa digitaalisen mainonnan tarjontaansa kilpailemaan Googlen ja Facebookin kanssa. Datasta löytyi Clavis-niminen toimija, joka on Amazonin menestyksekkään suosittelukoneen inspiroima tuote. Washington Post on kerännyt listan Adlercreutzin lukemien juttujen sekä sisällöissä olleiden tiettyjen avainsanojen ja ilmaisujen perusteella hänen kiinnostuksen kohteistaan. Sen avulla Clavis suosittelee hyvällä tarkkuudella uusia sisältöjä. Lukija myös segmentoidaan käyttämällä hyödyksi kolmannen osapuolen dataa.

Suosittelua ei tehdä kuitenkaan vain toimituksellisista syistä, vaan työkalua käytetään myös myynnissä mainosten tehon mittaamiseen ja siten hinnoitteluun. Jeff Bezos osti Washington Postin vuonna 2013, joten kehitys näyttää luonnolliselta. Muutamassa vuodessa Amazon onkin onnistunut luomaan digitaalisen mainonnan kolmanneksi suurimman toimijan heti Googlen ja Facebookin jälkeen. Kaiken lisäksi palvelu kykenee yhdistämään dataa vaivattomasti myös Amazonin pilvipalvelujen kanssa.

Miten osallistuminen Digivalta-selvitykseen muutti käsityksiäsi datataloudesta ja sen nykyisistä toimintatavoista, Anders Adlercreutz?

”Oletin, että tulen yllättymään itsestäni kerätyn datan määrästä – vaikka sitähän tietysti kuvittelee näkevänsä digitaalisten vaikutusyritysten läpi.

Selvitys kirkasti käsitystäni siitä, että palveluntarjoajat eivät myy palvelujaan pelkästään sinulle, vaan mitä suuremmassa määrin tieto kulkee kahteen suuntaan. Toki maksan, mutta joku muu maksaa tiedoista. Tämä ansaintalogiikka on paljon muutakin kuin ostaja ja myyjä.

Toiminnan laajuus yllätti minut, vaikka olinkin siitä sinänsä tietoinen. Yllättävää oli myös monimutkaisuus, toimijoiden lukumäärä sekä se, miten integroitunutta tietojen kalastus on. Tietoja keräävät yritykset ovat hyvin integroituneita tähän maailmaan ja palvelujen järjestelmiin. Toimijat ovat erikoistuneet siihen, että käyttäytymistäni ja mielihalujani voidaan paketoida, hinnoitella ja myydä eteenpäin.”

Miten datatalouden pelisääntöjä pitäisi mielestäsi muuttaa?

”Pääsin itse tietoihini kiinni sen kautta, että olen kansanedustaja, ja olin mukana tässä hankkeessa – mutta senhän ei pitäisi olla tällaisen prosessin takana. Ihmisten pitäisi selvästi nähdä mihin tietoja käytetään, kuka käyttää ja kuka niistä hyötyy – ja tämä tietovirta pitäisi tehdä näkyväksi. Keinona tähän voisi olla, että palveluja hinnoiteltaisiin eri tavalla. Lehtitilauksessa voisi olla vaihtoehto, että tietoja voi mennä tänne tai tuonne, jolloin tietovirta jouduttaisiin avaamaan – kun kuulet täältä uutisia niin tiedot käyttäytymisestäsi menevät eteenpäin.

Datankerääminen johtaa vääjäämättä siihen, että meistä jokaiselle syötetään sellaista sisältöä, josta pidämme. Se johtaa kuplautumiseen. Uutisvirtaa johtavat algoritmit, mikä vaikuttaa varmasti myös politiikan tekemiseen. Jokainen saa eteensä sellaisia viestejä, joista tykkää, ja kuvittelee, että kaikki muutkin näkevät saman. Miten se puolestaan vaikuttaa mielikuvaamme maailmasta, kun tarjolla on vain yhdenlainen totuus?”

Mitä jokaisen pitäisi mielestäsi ymmärtää datataloudesta?

”Se mitä jokaisen pitäisi ymmärtää datataloudesta on, että palveluntarjoajat eivät ole palveluntarjoajia vain yhteen suuntaan kuluttajalle, vaan tarjoavat palveluja paljon muillekin. Talouden kuva on isompi kuin se, mitä näet sopimusta solmiessasi, ja olet itse kaupan kohteena siinä kokonaisuudessa.”

“

Pelkästään laki ei saa muutosta aikaan – tarvitsemme myös resursseja toimeenpanoon.

Leïla Chaibi

Miten osallistuminen Digivalta-selvitykseen muutti käsityksiäsi datataloudesta ja sen nykyisistä toimintatavoista, Leïla Chaibi?

”Ennen selvitystä minulla oli hämärä kuva datataloudesta. Ymmärsin, että aihe on tärkeä, mutta nyt ymmärrykseni on konkreettista. Nyt kun olen verkossa, hahmotan, että taustalla on toinen piilossa oleva maailma.

Saadessani selvityksen tulokset olin häkeltynyt ja vihainen. En ollut aiemmin tietoinen asian laajuudesta. Eniten yllätyin Uberin keräämästä datasta. Heillä oli informaatiota, jota kollegoillani ei ole – Uber tietää toimistoni ja missä ystäväni asuvat. Samoin toimivat jopa jotkut verkkosivut kuten Le Monde -sanomalehti. He luottavat siihen, että ihmiset eivät kysy tietojensa perään.”

Miten datatalouden pelisääntöjä pitäisi mielestäsi muuttaa?

”Mielestäni tätä markkinaa täytyy säädellä – emme voi jättää yrityksiä säätelemään itseään. Ne ovat vaikutusvaltaisempia kuin laki. Lainsäätäjien tulee säädellä tätä toimintaa ja lisätä esimerkiksi läpinäkyvyyttä. Tarvitaan resursseja kansainväliselle datan keräämisen valvonnalle. Tällainen valvoja on jo olemassa, mutta sillä ei ole resursseja – heillä on hyvin vähän työntekijöitä.

Ihmiset eivät ole tietoisia, kuinka iso ongelma on kyseessä ja miten paljon lisää resursseja tarvittaisiin sen ratkaisemiseksi. Tämän vuoksi yritykset voivat tehdä mitä haluavat, koska kukaan ei pidä heitä vastuussa. Pelkästään laki ei saa muutosta aikaan – tarvitsemme myös resursseja toimeenpanoon. Kansalaisia täytyy myös tiedottaa aiheesta. Käyttäessäsi internetiä suostut luopumaan oikeudesta dataasi.”

Mitä jokaisen pitäisi mielestäsi ymmärtää datataloudesta?

”Kaikkien pitäisi välittää aiheesta, koska datatalous koskettaa kaikkia. Se ei kosketa vain ihmisiä, joilla on tietokone, vaan kaikkia. Useat yritykset vaikuttavat myyvän palvelua, mutta todellisuudessa päätulonlähde on datan kerääminen. Uberissa ei ole kyse autoajelun myynnistä, vaan heidän suurin bisneksensä on saada dataa. On asioita, joita en muista, mutta he muistavat. Heillä on ikään kuin valokuva elämästäni.

Ihmisten pitäisi saada nähdä oma datansa ymmärtääkseen, mitä se todella on. Esimerkiksi ohjaaja tai opetusvideo, joka näyttäisi, miten tietoja luetaan. Ilman asiantuntijaa data on erittäin vaikeasti ymmärrettävää.”

Poimintoja löydöksistä
Filomena Chirico sai dataansa muun muassa Twitteristä, Netflixistä, Uberista, Politicosta ja Googlelta. Google ja Facebook vastasivat heikosti tietopyyntöihin.

Filomena Chirico on työnsä puolesta datatalouden toimijoiden erityinen kiinnostuksen kohde. Digitaalisen markkinoinnin ja mainonnan ekosysteemitoimijoiden etua ajava organisaatio IAB Europe hyödynsi tietoja mm. hänen iästään, sijainnistaan ja hänen seuraamistaan Twitter-käyttäjistä viestiäkseen Chiricolle näkemyksistään. Myös Politico Europe mainosti hänelle Twitterissä ja käytti kohdistamiseen lisäksi hänen poliittisen kiinnostuksensa alueita.

Poimintoja löydöksistä
Christian D’Cunha sai tietojaan muun muassa Uberilta, WhatsAppilta, Googlelta, Facebookilta, Colruytilta, Stravalta, Mobile Vikingsilta ja BBC:ltä. Uber ja Facebook vastasivat heikosti tietopyyntöihin.

Ison-Britannian Labour-puolue ilmoitti Christian D’Cunhalle, että puolueen käyttämään datankäsittelijäyritykseen oli kohdistunut kyberrikos ja hänen tietonsa ovat vaarassa, vaikka hän ei enää tuolloin ollut puolueen jäsen. Hänestä ei olisi pitänyt olla lainkaan tietoa kolmannen osapuolen tietokannoissa. Tapauksen kautta paljastui myös puolueen ja Facebookin välinen datanvaihto D’Cunhan tiedoista samoin kuin hänen teleoperaattorinsa Mobile Vikingsin ja Facebookin välinen datanvaihto.

“

Jokaisen tulisi ymmärtää, että alustat hyötyvät huomattavasti ihmisisistä.

Stéphane Duguin

Miten osallistuminen Digivalta-selvitykseen muutti käsityksiäsi datataloudesta ja sen nykyisistä toimintatavoista, Stéphane Duguin?

”Digivalta-selvitykseen osallistuminen vahvisti aiemman ymmärrykseni datataloudesta. Tulokset eivät yllättäneet minua. Alustat keräävät paljon dataa, ja syytä siihen on vaikea ymmärtää ilman kytköstä datatalouteen. Kaikki tämä data kerätään ja paketoidaan tarjoamatta arvoa käyttäjille. Tämä ei ollut yllätys – tilanne on juuri niin paha kuin ajattelimmekin.

Selvitys itsessään oli positiivinen kokemus – tulokset sen sijaan vahvistivat, miten kontrolloimaton tilanne on. Olen nähnyt dataa työssäni, mutta oli surullista nähdä, miten kunnianhimoiset lait, kuten GDPR-laki ovatkin vielä niin riittämättömällä tasolla. Dataan käsiksi pääseminen on erittäin hankalaa tavalliselle kansalaiselle – ilman tukea datan saaminen on ongelmallista. Tämä monimutkaisuus yllätti minut.”

Miten datatalouden pelisääntöjä pitäisi mielestäsi muuttaa?

”Datatalouden sääntöjä voisi muuttaa tekemällä investointeja ja tukemalla pääsyä omaan dataan. Olisi tärkeää, että ihmiset ymmärtäisivät aihetta, ja oman datan näkeminen auttaisi vahvistamaan sitä. Ihmisten nähdessä oman datansa he alkaisivat kysyä, miksi sitä kerätään niin paljon, ja alustat joutuisivat vastaamaan ja vastuuseen keräämästään datasta.

Tottumuksen, käyttäytymisen tai markkinoiden ei pitäisi säädellä datan keräämistä. Sitä tulisi säädellä lailla niin, että yleinen etu ja vaikutus ihmisiin otetaan huomioon. Yksilöiden valmiuksien kehittämisessä ja koulutuksessa on potentiaalia. Suuri yleisö on erittäin tärkeässä asemassa sen ymmärtämiseksi, miksi tietojen käsittelyä pitää säädellä.” 

Mitä jokaisen pitäisi mielestäsi ymmärtää datataloudesta?

”Jokaisen tulisi ymmärtää, että alustat hyötyvät huomattavasti ihmisistä. Ajatus siitä, että saat jotain edullisesti tai ilmaiseksi on erittäin harhaanjohtava, sillä alustat hyötyvät meistä huomattavasti. EU:n demokratioissa ihmiset ovat hyvin tietoisia datan keräämisestä ja kyselevät aktiivisesti oikeuksiensa perään julkisen tahon kerätessä dataa. Tämä on oikein hyvä asia. Kuitenkin samat ihmiset antavat henkilökohtaista dataa alustoille, jotka eivät noudata näitä tietoturvalakeja ollenkaan. Se on hyvin huolestuttavaa.”

“

Jokaisen pitäisi ymmärtää datataloudesta, että tieto on valtaa.

Atte Harjanne

Poimintoja löydöksistä

Atte Harjanne sai tietojaan muun muassa Sanomalta, Woltilta, Voilta, Bookbeatilta, Spotifylta ja Googlelta.

Datasta selvisi, että mediatalo Sanoma on rakentanut erittäin tarkan profiilin Atte Harjanteen kiinnostuksen kohteista. Yrityksellä on tietoa myös hänen ostovoimastaan aina Harjanteen käyttämiin laitteisiin asti. Uhkapelaaminen oli hänen kohdallaan merkitty kiinnostuksen kohteeksi, sillä Harjanne on joutunut seuraamaan alaa työnsä vuoksi.

Miten osallistuminen Digivalta-selvitykseen muutti käsityksiäsi datataloudesta ja sen nykyisistä toimintatavoista, Atte Harjanne?

”Digivalta-selvitys ei muuttanut käsitystäni datataloudesta, mutta päivitti ja tarkensi sitä. Oli varsin valaisevaa nähdä, miten GDPR-sääntelyä käytännössä noudatetaan.

Nykyisessä datataloudessa kuluttajana olen tiedostanut, että kaikesta jää jälki, ja että firmoille kertyy valtavasti dataa tekemisistäni. On silti herättelevää saada data käsiinsä ja perata sitä. Samalla jäin miettimään sitä, ettei data itsessään vielä kerro kaikkea siitä, miten sitä käytetään ja yhdistetään. Datatalouden ja vallankäytön läpinäkyvyydessä on vielä tekemistä.”

Miten datatalouden pelisääntöjä pitäisi mielestäsi muuttaa?

”Jokaisella tulisi olla mahdollisuus seurata ja hallita omaa dataansa ja sitä, miten sitä kerätään ja käytetään, ja on tärkeää, että lainsäädäntö pysyy teknologian kehityksen tasalla ja demokratia kuskin paikalla muuttuvassa maailmassa. Nykyinen sääntely ei tätä vielä täysin takaa, ja ongelmana on se, ettei tietopolitiikka saa päätöksenteossa – puolueet mukaan lukien – sen ansaitsemaa huomiota. Julkishallinnon ja päätöksenteon rakenteet eivät riittävästi heijasta maailman muutosta tältä osin.

Lainsäädäntöä on tarpeen vahvistaa, mutta se ei ole ihan helppo rasti. Lainsäädännön pitäisi olla samaan aikaan ajassa kiinni ja kuitenkin yleisperusteista, jottei se vanhene heti. Tässä aihepiirissä kannattaa ehdottomasti hyödyntää EU:n lihaksia, mutta se ei sulje pois fiksua kansallista sääntelyä.

Datan kerääminen on tätä nykyä keskeinen osa verkkopalveluiden bisneslogiikkaa, eikä sitä edeltävään maailmaan varmaan ole paluuta. Olennaista olisi, että käyttäjällä olisi aitoa valtaa ja näköala oman datansa keräämiseen ja käyttöön. Epäilen, että ihan kaikki ymmärtävät miten valtavasti käyttäjädataa nykyisin kerätään ja varastoidaan. En välttämättä itsekään hahmota sitä ihan todellisuudessa.” 

Mitä jokaisen pitäisi mielestäsi ymmärtää datataloudesta?

”Jokaisen pitäisi ymmärtää datataloudesta, että tieto on valtaa. Valtaa keskittävä datatalous muokkaa maailmaa aikamoisella vauhdilla, ja olisi tärkeää, että demokraattinen päätöksenteko olisi tässä kuskin paikalla.”

“

Käsitys omasta roolista äänettömänä yhtiömiehenä vahvistui.

Jyrki Katainen

Poimintoja löydöksistä

Jyrki Katainen sai tietojaan Sanomalta, K-Ryhmältä ja Twitteristä. Apple, Twitter, Google ja Zalando vastasivat huonosti tietopyyntöihin, eikä hän onnistunut Twitteriä lukuun ottamatta saamaan näiltä dataansa.

Suuren vähittäiskaupan ketjun, K-ryhmän, keräämät tiedot muodostivat 172 sivua pitkän dokumentin Jyrki Kataisen tiedoista. Valtaosa niistä oli kaupan ja hänen välisen suhteensa aikana kertyneitä ostos- ja muita tietoja. Osa tästä datasta menee Googlelle muun muassa Google Analyticsin kautta. Kun Katainen etsi kaupan sovelluksesta spaghetti carbonaran reseptiä, tieto lähetettiin Googlelle.

K-ryhmä ryhmittelee asiakkaansa viiteen asiakasryhmään: innostujat (enthusiasts), nautiskelijat (indulgers), tiedostavat (woke), mukavuudenhaluiset (comfort-seekers), vakiintuneet/konservatiiviset (established/conservative). Joka kuukausi he analysoivat asiakasdataa ja tämän perusteella kategorisoivat asiakkaan. Tältä näytti Kataisen ryhmittely joulukuussa 2019 eri todennäköisyyksien mukaan:

Innostujat 17 %
Nautiskelijat 12 %
Tiedostavat 20 %
Mukavuudenhaluiset 38 %
Vakiintuneet/konservatiiviset 13 %

Dataa käytetään sopivan sisällön suosittelemiseen. Esimerkiksi jouluista luumukierteiden reseptiä suositellaan todennäköisemmin asiakkaille, jotka ovat painottuneet kategorioihin: innostujat, nautiskelijat ja mukavuudenhaluiset.

Hävittäjälentokoneita valmistava yritys kohdisti laajan Twitter-kampanjansa lukuisia kertoja myös Kataiseen.

Miten osallistuminen Digivalta-selvitykseen muutti käsityksiäsi datataloudesta ja sen nykyisistä toimintatavoista, Jyrki Katainen?

”Oletusarvoni oli, että verkossa dataa kyllä siirtyy. Eniten selvityksessä yllätti kuitenkin se, miten laajalle tietoa lopulta liikkuu. Kerätyillä tiedoilla käytiin kauppaa eri toimijoiden välillä, ja senkin laajuus yllätti. Selvityksen myötä käsitys omasta roolista äänettömänä yhtiömiehenä vahvistui. Käyttäjä ei oikein voi tehdä mitään huolimatta siitä, antaako luvan oman datansa käyttöön vai ei.

Suuria yllätyksiä tai ylenpalttisia uhkakuvia ei selvityksen myötä tullut. Käsitys siitä, että tämä ei ole kestävää, kuitenkin vahvistui. Tarvitsemme datatalouteen reilummat pelisäännöt, jotta dataa voidaan jakaa ja hyödyntää luottamusta herättävällä tavalla. Valitettavasti nyt ei ole myöskään poissuljettua, että tiedot eivät joutuisi vääriin käsiin tai että niitä ei käytettäisi vääriin tarkoituksiin. Samalla en halua myöskään demonisoida kaikkia yhtiöitä. Silti on hyvä muistaa, että tietoturva ei koskaan ole täysin aukotonta.”

Miten datatalouden pelisääntöjä pitäisi mielestäsi muuttaa?

”Datanhallinnan tulisi olla enemmän ihmisten omassa kontrollissa. Varsinkin, kun dataa jaetaan ja hyödynnetään massiivisesti enemmän vielä tulevaisuudessa. Datan hyödyntäminen toisaalta myös lisää tuottavuutta joka sektorilla, ja jotta se on mahdollista, ihmisten pitää voida luottaa datatalouteen ja olla siinä toimijan asemassa. Nyt olemme liian riippuvaisia portinvartijoista.”

Mitä jokaisen pitäisi mielestäsi ymmärtää datataloudesta?

”On hyvä ymmärtää, että meistä todella välitetään tietoa, ja vieläpä hyvin monelle eri taholle. Tietoa välittyy myös tilanteissa, joista ensimmäisenä ei sitä ajattelisi. Vaikka vierailisit esimerkiksi kivijalkakaupassa, kun maksat, siitäkin lähtee dataa monille eri tahoille. Harva itse edes ymmärtää, miksi näin tapahtuu ja kenelle tietoa kulkee.

Meihin myös yritetään vaikuttaa, ja vaikuttamista tapahtuu joko ihan positiivisessa mielessä, mutta valitettavasti myös manipulatiivisessa mielessä. Kaikki tieto, mikä meistä lähtee eteenpäin, myös kaupataan eteenpäin. Dataa voidaan treidata vielä paljon myöhemminkin. Sitä tietoa voidaan käyttää hyvin moniin erilaisiin tarkoituksiin, vaikkapa poliittisiin mielipiteisiin vaikuttamiseen, mainontaan ja muihin kaupallisiin tarkoituksiin tai vaikuttamiseen hyvin paljon laajemminkin.”

“

Kaikesta nettiin laitetusta tulee kauppatavaraa, ja ihmisestä tulee datatalouden resurssi.”

Dan Koivulaakso

Poimintoja löydöksistä

Dan Koivulaakso sai tietojaan Sanomalta, Googlelta, WhatsAppilta, HSL:ltä, MTV3:lta ja YLE:ltä. Hän pystyi vahvistamaan, että Signalilla ei ollut mitään hänen henkilötietojaan. Google ja Facebook vastasivat huonosti tietopyyntöihin.

Dan Koivulaakso otti vertailuun erilaisia mediataloja ja niiden sovelluksia. Kun Yle odotetusti käytti vain vähän seurantakeinoja, Helsingin Sanomien sovellus oli aivan täynnä niitä. Hieman yllättäen kaupallinen MTV käytti seurantaa maltillisesti.

Miten osallistuminen Digivalta-selvitykseen muutti käsityksiäsi datataloudesta ja sen nykyisistä toimintatavoista, Dan Koivulaakso?

”Osallistuminen Digivalta-selvitykseen alleviivasi aiempia käsityksiäni datataloudesta ja sen toimintatavoista. Verkko muistaa asioita, joita itse ei muista.

Tein Digivalta-kokeilun tietoturvallisesti, eli en käyttänyt selvityksessä omia normaaleja tilejäni. Tiedot palveluista, joista löytyy tietojani, ilmoitin tietopyynnön yhteydessä. Olen varma, että omien some-tilieni kautta olisi paljastunut vielä jotakin dystooppisempaa. Nyt käytin vain kokeilua varten muodostettuja tilejä. Ennakkopelkojeni takia kaikki pahimmat piirteet jäivät paljastumatta minulle.”

Miten datatalouden pelisääntöjä pitäisi mielestäsi muuttaa?

”Ratkaisuna datatalouden sääntelyyn liittyen voisi olla liian isojen yhtiöiden pilkkominen, ja esimerkiksi GDPR:n ominaisuuksista laaja-alaisempi tiedottaminen. Lainsäädännön pohjalta palvelulupaus on vahva käyttäjille, mutta sen tiedottamista kansalaisille pitäisi olla enemmän. Oikeuksia omien tietojen poistamiseen pitäisi vahvistaa.

Datatalouden osalta pitäisi käydä laaja-alainen keskustelu siitä, mikä rajataan yksityiseksi ja miten sitä turvataan. Näin varmistetaan oikeudet tosiasiallisesti eikä teoreettisesti. Tämä kokeilu oli erinomainen esimerkki, ja tämän pohjalta kannustaisin kaikkia tekemään tietopyyntöjä niihin palveluihin, joita käyttävät. Siinä yllättyy, mitä kaikkea dataa on kerätty ja kuinka paljon sitä tallentuu.”

Mitä jokaisen pitäisi mielestäsi ymmärtää datataloudesta?

”Jokaisen ihmisen pitäisi tietää, että internet ei unohda. Datatalouden toiminnan ymmärtäminen on ollut varmaankin helppoa meille, joille verkot ovat tulleet osaksi elämää vasta myöhäisteineinä tai varhaisaikuisina. Niiden käyttöönotto on ollut silloin tehtävä valinta eikä asia, johon automaattisesti on kasvettu. Tarvitsemme laaja-alaista tiedostamista datatalouden vaikutuksista.

Yleinen ajatus ihmisillä varmasti on, että heistä ei ole mitään mielenkiintoista ja suojattavaa tietoa verkossa. Siitä ei ole kyse. Kaikesta nettiin laitetusta tulee kauppatavaraa, ja ihmisestä tulee datatalouden resurssi. Ihmisellä pitää olla oikeus itsellään hallita sitä. Tietopyynnön tekeminen pitää saada äärimmäisen paljon yksinkertaisemmaksi. GDPR antaa siihen hyvät mahdollisuudet. Se pakottaa myös yrityksiä käsittelemään tietoa paremmin.”

“

Ihmisellä pitäisi olla enemmän päättäjyyttä omaan dataansa.

Miapetra Kumpula-Natri

Poimintoja löydöksistä

Miapetra sai tietojaan HSL:tä, Gigantilta, Uberilta ja Googlelta.

Tieto Miapetra Kumpula-Natrin tekemästä ostoksesta kodinelektroniikkaketjun kivijalkaliikkeessä Gigantissa henkilötietoineen lähetettiin yrityksestä eteenpäin sekä Googlelle että Facebookille. Ketjun sähköisen mainoskirjeen linkin klikkaaminen puhelimessa paljasti sijainnin loma-asunnolla, vaikka paikantamispalvelua ei käytetty. Tutkijoiden mukaan on mahdollista, että Gigantti tunnisti laitteen ip-osoitteen ja selvitti sijainnin sen avulla. Tässä tapauksessa testihenkilö ei tunnistanut tilannetta, jossa olisi antanut luvan seurata sijaintiaan. Gigantin myöhemmin toimittamassa vastauksessa vahvistettiin ip-osoitteen käyttö.

Kumpula-Natrin pyytäessä tietojaan kodinelektroniikkayrityksessä, hänelle paljastui myös se, kuinka paljon yritys oli ostanut hänestä tietoja muilta, henkilötietojen keruuseen erikoistuneilta yrityksiltä. Esimerkiksi tiedot hänen oletetusta varallisuudestaan ja perhetilanteestaan oli hankittu muualta, vaikkakin monet tiedoista olivat epätarkkoja tai vääriä.

Datasta ja tietopyyntövastauksista selvisi, että hyväksymällä Gigantin verkkosivujen evästeen asiakas hyväksyi samalla 231 evästekumppania, mukaan lukien venäläisen Yandexin 10 vuoden evästeen. Kyseinen evästekumppani ja eväste on maaliskuussa 2022 Gigantin toimesta poistettu.

Miten osallistuminen Digivalta-selvitykseen muutti käsityksiäsi datataloudesta ja sen nykyisistä toimintatavoista, Miapetra Kumpula-Natri?

”Ennen selvitykseen osallistumista oletin, että minustakin kerätään tietoa aivan hirveästi. Suostumuspyyntötiukennusten myötä huomaan, miten vaihtelevaa suostumusten kerääminen kuitenkin edelleen on. Pelkästään auki oleva wifi ja erilaiset ohjelmat keräävät ajankohtaista tietoa, missä ikinä oletkaan.

Tiesin aika paljon jo aiemmin, mutta kokeilu konkretisoi analyysia siitä, mitä jokin yritys voi tietää. Se teki näkyväksi jokaisen painalluksenkin viiveen. Selvityksessä näki treidausmäärää, jossa tietoa meni kymmeniin ja jopa satoihin paikkoihin. Tietoa meni esimerkiksi etelänmeren saarille, jossa se säilyy 10 vuotta. Käyttäjä ei saanut tietoa, mikä tieto siirtyy ja minne.

Selvityksessä yllätti eniten se, miten laajaa treidaustoiminta on. Myös sen läpinäkymättömyys yllätti, vaikka moni saattaakin ajatella, ettei sillä ole niin väliä, jos tieto on vain mainontaa varten. Kohdennetussa mainonnassa on kuitenkin perustavanlaatuinen kysymys yksityisyydestä, eikä se ole pelkästään markkinointia. Tärkeää on myös huomioida, pysyykö kaikki vain markkinoinnin tasolla. Toisaalta on toki myös hienoa, että pienyrittäjät voivat kohdentaa markkinoinnin oikein. Onko näin paljon kuitenkaan tarpeen?”

Miten datatalouden pelisääntöjä pitäisi mielestäsi muuttaa?

”Datatalouden avoimuus on seuraava haastavampi askel. Pääkäyttäjän tulisi aina hallita tietojaan. Käyttäjän täytyy myös tietää, mitä tietoa hänestä on kerätty ja missä sitä kulkee. Tiedon täytyy olla käyttäjän hallinnassa – ei niin, että tiettyä sovellusta käyttämällä kaikesta itseesi liittyvästä tulee kauppatavaraa.

Käyttäjien ymmärrystä lisäisi se, että tulisi avoimemmaksi ja näkyvämmäksi, mitä mikäkin klikkaus tarkoittaa. Se on samalla myös edellytyskin sille, että digiminäänsä pystyisi turvallisesti hallitsemaan.”

Mitä jokaisen pitäisi mielestäsi ymmärtää datataloudesta?

”Ihmisellä pitäisi olla enemmän päättäjyyttä omaan dataansa. Yhteiskunnan pitäisi luoda turvallinen ympäristö digitaloudessa kaikille. Pohjan pitäisi olla sellainen, että verkkoympäristö olisi lähtökohtaisesti turvallinen ja helppo jokaiselle.”

“

Ihmiset kertovat Googlelle asioita, joita ei kerrota aina edes parhaille kavereille.

Niclas Storås

Miten osallistuminen Digivalta-selvitykseen muutti käsityksiäsi datataloudesta ja sen nykyisistä toimintatavoista, Niclas Storås?

”Olen seurannut aihetta vuosikaudet, eikä osallistuminen selvitykseen varsinaisesti muuttanut käsityksiäni. Selvityksen kautta saadun tiedon määrä kuitenkin yllätti. Vasta, kun yrityksestä saa itseään koskevat tiedot, näkee, miten paljon aineistoa todella on.

Määrällisesti materiaalia saattoi olla kymmeniä kansioita, joissa oli useita eri tiedostoja ja esimerkiksi YouTuben kaikki katseluhistoria kymmenen vuoden ajalta. Määrän tajusi vasta, kun sen sai. Koko ajanhan sitä tietää, että jälki jää, mutta sen ottaa vakavammin, kun sen näkee.

Luovutamme omasta elämästämme vaivihkaa hirvittävän määrän tietoa. Yksi Googlen jyvänen ei ole vielä merkittävä, mutta kun materiaalia kertyy kymmenen vuoden ajalta, syntyy valtava datamassa. Verkossa tehdyistä hauista voi nähdä elämäntilanteet, olenko remontoinut, olenko hankkinut polkupyörää. Toisin sanoen: kaiken mitä olen ajatellut. Näin me autamme yrityksiä profiloimaan sekä itsemme että muita kaltaisiamme ihmisiä.”

Miten datatalouden pelisääntöjä pitäisi mielestäsi muuttaa?

”Sääntelyn osalta olisi tärkeää, että yritysten pitäisi avata, millä logiikalla algoritmit toimivat. Yrityksillä tulisi olla myös pakko ottaa toimintaan valinta, jolla käyttäjä voi ottaa seurannan pois päältä. Esimerkiksi Applella on jo tällainen.

Sääntelyn pitää tulla lainsäädännön puolelta, mutta yritysten täytyy kehittää sitä myös itse. Tällä hetkellä EU on säätämässä erilaista sääntelyä, joka koskee algoritmeja ja datajättien laittamista kuriin. Jos tilannetta vertaa liikenteeseen, eihän alkuun ollut liikennesääntöjäkään. Vasta, kun alkoi tulla onnettomuuksia, kehitettiin erilaisia liikennesääntöjä ja käyttöön tuli turvavöitä. Samalla lailla digitaloudesta pitäisi tehdä meille kaikille turvallisempaa.

Jokaisella on oltava oikeus pyytää kaikki itseään koskevat tiedot nähtäväksi. Samalla tulee muistaa, että aina kun itsestään antaa kerättävän tietoja, tekee työtä yhtiölle. Ihmiset kertovat Googlelle asioita, joita ei kerrota aina edes parhaille kavereille.

Samalla ei kuitenkaan pidä tehdä täyttä vastaliikettä, joka tuhoaisi pohjan monelta yritykseltä ja vaikeuttaisi monen ihmisen työntekoa. Tämä on siksi tasapainoilua, johon esimerkiksi lainsäädännöllä voidaan luoda turvalliset raamit. Pitää miettiä, miten pienelle yrittäjälle tehtäisiin mahdollisimman helpoksi datassa seikkailu ja hyödyn saaminen, mutta niin, että valta ei kuitenkaan pakkaudu suurille yrityksille kuten nyt on käynyt.”

Mitä jokaisen pitäisi mielestäsi ymmärtää datataloudesta?

”Datataloudessa pitäisi antaa ihmisille mahdollisuus antaa itse kertoa kiinnostuksen kohteistaan. Silloin he näkevät sisältöä, joka niihin aiheisiin liittyy. Käyttäjille pitäisi myös kertoa, miksi heidän käyttäytymistään seurataan, ja mihin kerättyä tietoa käytetään.”

“

Datatalous on jo tänä päivänä valtavan suuri taloussektori ja tulevaisuudessa vielä suurempi.”

Sari Tanus

Poimintoja löydöksistä

Sari Tanus sai dataansa Instagramilta, S-Ryhmältä, Sanomalta ja Gigantilta. Sari Tanus pyysi tietojaan Aamulehdeltä, mutta sai yllätyksekseen dataa myös Helsingin Sanomilta, sillä yritykset kuuluvat samaan Sanoma-konserniin.

Häntä profiloitiin muun muassa käyttämällä kolmannelta osapuolelta, Bisnodelta (omistaja on amerikkalaisyritys Dun & Bradstreet), ostettua tietoa. Sekä häntä että koko hänen kotitalouttaan arvioitiin varallisuuden, ostovoiman, riskien ja esimerkiksi koulutustason mukaan.

Miten osallistuminen Digivalta-selvitykseen muutti käsityksiäsi datataloudesta ja sen nykyisistä toimintatavoista, Sari Tanus?

”Digivalta-selvitys selkeytti sitä, kuinka laajamittaisesti tietoa kerätään, ryhmitellään, muokataan tiettyyn muottiin ja laitetaan eteenpäin. Data voi olla vallankäytönväline, mutta sillä on myös taloudellista arvoa. Sitä voidaan myydä eteenpäin ja myydä eri portaissa. Joka klikkaus ja artikkeli jättää jälkensä.

Yksityiskohtaisuus hankinnoistamme tai artikkelien klikkauksista hämmästytti. Materiaalista löytyy tuhansia sivuja, joissa on yksityiskohtaisesti listattuna näitä asioita. Monista näistä yrityksistä en ollut ikinä kuullutkaan, ja niitä oli ihan ympäri maailmaa. Kun yrityksiltä kyseltiin tietoja tarkemmin, osalta sai tietoa, osalta sai kysellä uudemman kerran tai sitä ei tullut ollenkaan.

Kaikki tämä hämmästytti, ja siitä tuli ikään kuin ärtymys – ei vain minua, vaan meitä, hyödynnetään näin laajamittaisesti datatalouden resurssina.”

Miten datatalouden pelisääntöjä pitäisi mielestäsi muuttaa?

”Sääntely pitäisi olla selkeää, avointa ja mahdollistavaa. Mahdollisimman selkeää niin, että se on tavallisille toimijoille ymmärrettävää. Mahdollistavaa niin, että kun teknologia kehittyy, mittauksia ja tutkimukseen tarvittavaa tietoa on. Sanan ja mielipiteen vapaus on muistettava, ja omia asioita pitää voida itse päättää ja määrittää. Tämä on erittäin suuri haaste, koska ala kehittyy valtavan suurin harppauksin – ei edes tiedetä, mitä haasteita on muutaman vuoden päästä. Säädöksien laadinnan pitäisi olla ennakoivaa.

Kansainvälisestä näkökulmasta katsoen tulisi peilata laajemmassa toimintaympäristössä ennakoiden, mutta tämä on iso, monimutkainen ja vaikea tehtävä. Tiettyjä EU-toimintaperiaatteita voi olla, mutta olisi tärkeää, että päätäntävaltaa pidetään omissa käsissä.”

Mitä jokaisen pitäisi mielestäsi ymmärtää datataloudesta?

”Datatalous on jo tänä päivänä valtavan suuri taloussektori ja tulevaisuudessa vielä suurempi. Alalla liikkuu valtava määrä kansainvälisiä yrityksiä, valtava määrä valtaa ja euroja. Jokaisen olisi hyvä saada siitä realistinen tilannekuva. Talouden ja bisnespuolen osalta uskoisin, että Suomessa ei ole realistista tilannekuvaa. Tärkeitä asioita menetetään, ellei niistä tietoisesti pidetä kiinni.”

3. Selvityksessä dataa kerättiin kolmella eri menetelmällä

Digivalta-selvityksessä datan ja toimijoiden jäljillä oltiin kolmella eri tavalla. Testihenkilöt käyttivät tietosuoja-asetuksen antamia oikeuksiaan, latasivat dataansa omadataportaaleista ja tarkkailivat datansa liikkeitä myös seurantasovelluksen avulla.

Selvityksessä käytettiin kolmea menetelmää, jotka täydentävät toisiaan:

1. Tiedot ladattiin yksittäisen palvelun tarjoaman omadataportaalin kautta (tiedonlatausportaaleja on yleisesti isoimmilla palveluilla).
2. Palvelun tarjoajalle lähetettiin tietosuoja-asetuksen mukainen tietopyyntö (engl. Subject Access Request, SAR).
3. Datan kulkua seurattiin valituissa palveluissa testipuhelimeen ladatun Tracker Control -sovelluksen avulla.

Omadataportaali

Vastauksena kasvavaan määrään tietopyyntöjä monet yritykset ovat pyrkineet helpottamaan aikaa vievää ja työvoimavaltaista prosessia tarjoamalla itsepalvelutyökaluja, joiden avulla käyttäjät pääsevät käsiksi omiin tietoihinsa.

Vaikka vain pieni prosenttiosuus yritysten digipalveluiden käyttäjistä todella esittää toimivia tietopyyntöjä, tämä prosenttiosuus voisi silti edustaa hallitsematonta määrää pyyntöjä yrityksille, joilla on miljoonia käyttäjiä.

Tästä syystä yritykset, kuten Google ja Facebook, ovat ottaneet käyttöön automaattisia ”omadataportaaleja” verkkosivustoilla tai sovelluksissa, joihin käyttäjät voivat kirjautua sisään ja ladata zip-tiedostoja omista tiedoistaan.

Tietopyyntö

Tietopyyntö on tietosuoja-asetuksessa vahvistettu mekanismi, jonka avulla käyttäjät voivat pyytää tietoa heistä kerätystä datasta ja sen käytöstä. Pyyntö lähetetään yleensä sähköpostitse, vaikka joissakin tapauksissa yritykset vaativat paperi- tai sähköisen lomakkeen täyttämistä prosessin aloittamiseksi.

Kun tietopyyntö on tehty ja palveluntarjoaja on onnistuneesti tunnistanut käyttäjän tilin ja/tai vahvistanut hänen henkilöllisyytensä, organisaatiolla on 30 päivää aikaa vastata.

Tietosuoja-asetus koskee tällä hetkellä kaikkia ihmisiä, jotka asuvat Euroopan unionin alueella, sekä kaikkia Euroopan unionin alueella toimivien yritysten asiakkaita.

Tracker Control -seurantasovellus

Testihenkilöt käyttivät noin kahden viikon ajan Android-testipuhelinta, johon oli asennettu Oxfordin yliopiston tutkija Konrad Kollnigin kehittämä Tracker Control -sovellus.

• Tracker Control seuraa tutkittavien yritysten mobiilipalveluista lähteviä yhteyksiä sekä sitä, mihin verkkotunnuksiin kyseiset sovellukset luovat yhteyden.
• Yhteyksien näkeminen tapahtuu siten, että Tracker Control toimii paikallisena virtuaalisena yksityisverkkona (VPN).
• Tracker Control ei näe viestinnän sisältöä tai mitä tietoa siirretään ja mihin suuntaan. Samankaltainen toiminnallisuus sisältyy iOS-käyttöjärjestelmään 14.0-versiosta lähtien.

Sekä omadataportaalien että erillisten tietopyyntöjen osalta vastaus omasta datasta saattaa olla epätäydellinen tai jopa olematon. Tracker Control antaa näkymän sovellusten ja kolmansien osapuolten välisiin yhteyksiin standardisoidussa muodossa, joka mahdollistaa suorat vertailut sovellusten ja osallistujien välillä.

Olennainen osa Digivalta-selvitystä oli tutkijoiden antama valmennus testihenkilöille. Valmennuksessa testihenkilöitä opastettiin tulkitsemaan oman datansa kulkua HestiaLabin käyttöliittymässä, joka muutti Tracker Control -sovelluksen tuottaman CSV-datan visuaaliseen muotoon.

Käytetyt työkalut eivät lähetä tietoja millekään internetpalvelimelle, vaan kaikki tiedot pysyvät paikallisina selaimessa yksityisyyden varmistamiseksi. Perustasolla omadataportaaleiden työkalut tarjoavat mahdollisuuden tarkastella CSV-tiedostoja taulukoina ja JSON-tiedostoja hakemistopuina. Yleensä vastaukset tietopyyntöihin saadaan muodossa, jota on vaikea tulkita, joten selvityksen yhteydessä luotiin helposti ymmärrettävät näkymät tiedostojen katseluun, jotta saatiin selkeytettyä ja yhdenmukaistettua kaikkien yritysten tarjoamia vastauksia.

Kuva 1. Esimerkki HestiaLabin käyttöliittymän avulla visualisoidusta Tracker Control -datasta

Sitran vuonna 2019 tekemässä Digijälki-selvityksessä tutkittiin, kuinka paljon dataa siirtyy kolmansille osapuolille ja kuinka monta kolmatta osapuolta löytyy. Digijälki- ja Digivalta-selvityksissä käytettiin osittain samoja menetelmiä. Digijälki-selvityksessä datan liikkumista seurattiin valittujen palveluiden osalta, ja liikenteestä etsittiin kolmansia osapuolia ja tunnistettiin ne WebXRay-tietokannan sekä manuaalisen tarkistuksen avulla.  

Vaikka menetelmällisesti molemmissa selvityksissä käytettiin samankaltaisia keinoja, on niiden välillä myös eroja. Digivalta-selvityksessä paneuduttiin syvällisemmin eri palveluiden väliseen datan liikkumiseen, mutta ennen kaikkea tarkasteltiin, kuinka moninaisen kuvan testihenkilöistä saa datan avulla muodostettua, ja millaista valtaa datan kerääjille sen kautta syntyy.

4. Keskeisiä löydöksiä: Digitaalinen valta vahvistaa itseään, yksilöllä ei kontrollia dataansa

Henkilödatan kerääminen ja käyttö on päätöksentekijöistä ja vaikuttajista vähintään yhtä laajaa kuin tavallisten ihmisten kohdalla. Digitaalista valtaa käytetään päätöksentekijöihin monin eri tavoin ja poliittiset päättäjät ovat alttiita verkossa tapahtuvalle vaikuttamiselle.

EU:n tietosuoja-asetus on ollut tätä julkaisua kirjoitettaessa voimassa jo neljä vuotta, mutta datajätit Euroopan ulkopuolelta eivät edelleenkään noudata lainsäädäntöä. Suhtautuminen yksilöiden tietopyyntöihin – ja siten eurooppalaiseen lainsäädäntöön – on tietoisen välinpitämätöntä ja välttelevää. Samanaikaisesti eurooppalaiset yritykset ovat panostaneet valtavia summia osaamisensa, prosessiensa ja järjestelmiensä kehittämiseen noudattaakseen tietosuoja-asetusta.

Yksilön kyky hallita oman datansa keräämistä ja käyttöä on lähes yhtä huonolla tasolla kuin Sitran digijälkiselvityksessä kolme vuotta sitten, eikä mm. oikeus yksityisyyteen toteudu edelleenkään. Samaa voidaan sanoa poliitikoiden ja muiden yhteiskunnallisten vaikuttajien tilanteesta. Digivalta-selvityksen tulosten perusteella päättäjien on yhtä vaikeaa saada tietoa oman datansa liikkeistä kuin tavallisten kansalaistenkin, ja dataa heistä kerätään siinä missä muistakin.

Digitaalisen vallan muodot vahvistavat itseään

Maailman menestyneimmät datajätit, kuten Google ja Meta, ovat olleet luomassa datan keräämisen ”ekosysteemien ekosysteemiä” – ehkä paremmin superekosysteemiä – lukuisine datan keräämisen teknologioineen ja keinoineen. Niiden olisi vaikea uskottavasti perustella tämänkin selvityksen tietopyyntövastausten vakavia ongelmia resurssien tai teknologian puutteilla. Metaversumien, tekoälyn ja muiden huipputeknologioiden kehittäjäyritysten syiden täytyy näin ollen olla muualla.

Digimainonnan ekosysteemien osalta läpinäkyvyyttä on peräänkuulutettu jo vuosikausia. Muutosta ei ole juuri tapahtunut, sillä se ei yksinkertaisesti palvele valtaosaa superekosysteemin toimijoista: jättialustat, suuret sosiaaliset mediat, suurimmat teknologiayritykset, markkinointiteknologiayritykset, datakauppiaat ja datankäsittelijät saavat kukin osansa nimenomaan nykymallisesta liiketoiminnasta.

Hestia.ai kutsuu superekosysteemiä nimellä ”digiscape”, joka voidaan kääntää muotoon digimaisema. Digimaisema sisältää ajatuksen sekä fyysisestä että kokonaan digitaalisesta ympäristöstä ja niiden yhdistelmästä, sillä fyysinen ja digitaalinen maailma limittyvät toisiinsa lähtemättömästi ja lukuisin eri tavoin. Digimaisema koostuu sekä asiayhteyksistä – kontekstista – että sisällöistä, joita eri konteksteissa tarjoillaan.

Maisemissa toimivat suuret yritykset omaavat suunnattoman määrän valtaa sekä kontekstiin että sisältöön, sillä suosituimmista alustoista ja suurimmista palveluista on tullut yhteiskunnassa välttämätöntä infrastruktuuria. On hyvä ymmärtää, että mikäli datatalouden epäterveet toimintamallit pysyvät ennallaan, suurten toimijoiden valta kasvaa sitä mukaa, kun elämän eri osa-alueita, hetkiä, yhteyksiä ja tapahtumia, kopioidaan ja digitalisoidaan. Nekin muuttuvat jatkuviksi, tarkkailtaviksi ja edelleen analysoitaviksi datavirroiksi.

Nykymuotoisessa datataloudessa voittajia ovat ne toimijat, jotka pystyvät keräämään suuria määriä monipuolista dataa. Samalla ne hyötyvät järjestelmän ”takaisinkytkennästä”, jossa uudella datalla on mahdollista jalostaa ennestään toimijan hallussa olevaa dataa ja nostaa sen arvoa. Näin valtaa kasvatetaan ja keskitetään entisestään. Niillä on kyky datan määrän ansiosta tehdä paljon ja osuvia analyyseja, ennustaa tulevaa ja siten ennakoida eli tehdä oman toimintansa kannalta optimaalisia valintoja. Lopputuloksena suurimman digivallan käyttäjät kykenevät osin muokkaamaan tulevaisuutta haluamaansa suuntaan.

Tällä hetkellä suurten ja monipuolisten datavirtojen päällä istuvat kansainväliset datajätit, jotka määrittelevät ja muokkaavat sekä asiayhteyksiä että sisältöjä. Niillä on infrastruktuurista valtaa paitsi yksilöihin myös yrityksiin ja koko yhteiskuntaan. On syntynyt digiharvainvalta.

Vahvin ymmärrys datataloudesta syntyy kokemuksen kautta

Digivalta-selvityksen tavoitteena oli myös yksilöiden tietoisuuden lisääminen datan keräämisestä/käytöstä ja sitä kautta aktiivisuuden lisääminen reilumman ja oikeudenmukaisemman datatalouden puolesta. Selvitimme, kuinka tehokkaita yksilön käytettävissä tällä hetkellä olevat keinot ovat tietojen saamiseksi ja yritysten tietokäytäntöjen ymmärtämiseksi.

Sitran vuonna 2019 tekemässä Digijälki-selvityksessä tutkittiin myös tietosuoja-asetuksen toimivuutta runsas vuosi sen voimaan astumisen jälkeen. Tällöin ei saatu yhtään vastausta tietopyyntöihin. Johtopäätös oli, että asetus ei suojaa riittävästi yksilön oikeuksia, avoimuus puuttuu, tietosuojasääntely on riittämätöntä, eivätkä yksilöt näe, miten heidän tietojaan kierrätetään.

Yksilön käytettävissä olevat keinot omien tietojen saamiseksi ovat tiedon saaminen palvelun tarjoajan dataportaalin kautta sekä tietopyynnön tekeminen. Yritysten tarjoamat itsepalvelutyökalut (oma)dataportaalit, antavat vain osan niistä tiedoista, joihin yksilöillä on tietosuoja-asetuksen mukaan oikeus. Portaalin kautta saatu tieto edustaa datoja, jotka yritys on vapaaehtoisesti asettanut saataville, mutta ei voida mitenkään taata, että kaikki vaadittavat tiedot on toimitettu. Siksi on tarpeen vielä portaalin käytön lisäksi pyytää lisätietoja sähköpostilla, tietosuoja-asetuksen mukaisena tietopyyntönä.

Tietopyyntö, jossa yksityiskohtaisesti pyydetään tietoa omasta datasta, on tehokkaampi tapa selvittää, mitä dataa on kerätty ja miten dataa on käsitelty. Prosessia varten loimme sähköpostipohjan (liite 1), joka perustuu Personaldata.ion kehittämään malliin. Malli käy läpi kaikki tietosuoja-asetuksen määräykset, jotka liittyvät tietojen käyttöön, tietojen toimittamiseen ja selityksiin.

Tunnistimme tietyt palautettavat tietoluokat ja viestimme selkeästi, että kaikki tiedot kaikista lähteistä on annettava: sovelluksista, verkkosivustoilta, laitteista, henkilökohtaisista vierailuista ja ulkoisista lähteistä, koneellisesti luettavassa muodossa selitysten kera.

Tietopyyntösähköposti lähetettiin palvelutarjoajan tietosuojavastaavalle tai tietosuojaselosteessa mainittuun erityiseen sähköpostiosoitteeseen. Digivalta-selvityksessä testihenkilöt pyysivät tietoja heistä kerätystä datasta yhteensä 40 eri palveluntarjoajalta, kymmenestä eri maasta.

Isossa-Britanniassa on käytössä Euroopan unionin tietosuoja-asetusta vastaava lainsäädäntö, joten säännöksiä sovelletaan siellä samalla tavalla kuin EU:ssa. Isossa-Britanniassa asuvan testihenkilön tapauksessa muokkasimme pyyntömallin sanamuotoa vastaavasti, ja Sveitsissä (EU:n ulkopuolella) asuvan osallistujan tapauksessa malli mukautettiin viittaamaan vastaavaan, sveitsiläiseen lakiin (Loi fédérale sur la protection des données et ordonnance).

Monet yritykset vastaavat tietopyyntöihin jopa EU:n ulkopuolelta, joten omat tiedot voivat olla saatavilla maailmanlaajuisesti.

Tieto omasta datasta ja sen käytöstä on kovan työn takana, eikä välttämättä onnistu ollenkaan

Omien tietojen saaminen on aikaa vievä ja vaikea tehtävä. Digivalta-selvityksessä valmentajat tekivät kaikkensa helpottaakseen testihenkilöiden prosessia, mutta tietopyyntöjen tekeminen vaati silti osallistujilta paljon työtä. Jotkut testihenkilöt eivät pystyneet työtaakkansa vuoksi jatkamaan ja joutuivat perumaan osallistumisensa tietopyyntöosuuteen.

Useat testihenkilöistämme kokivat viiveitä vastausten saamisessa siitä huolimatta, että tietosuoja-asetus edellyttää vastausta 30 päivän kuluessa. Jotkut yritykset vetosivat välittömästi pyynnön saatuaan lain sallimaan kolmen kuukauden viivästykseen tietosuojapyynnön monimutkaisuuden vuoksi (muun muassa Booking.com ja KLM sekä Chiricon tapauksessa Google), mutta joissakin muissa tapauksissa kohdeyritykset eivät vastanneet lainkaan 30 päivän sisällä.

Joissakin tapauksissa yritykset aloittivat 30 päivän vastausajan muusta, kuin testihenkilön alkuperäisestä viestistä. Ei liene tarkoitus, että yritys voi käyttää kolme viikkoa ensin tietopyynnön hyväksymiseen ja 30 päivän käsittelyaika alkaisi vasta siitä.

Palautettujen tietojen kanssa oli selkeitä puutteita. Saadut vastaukset olivat usein pettymys, sillä tuloksena oli tietoa, jota oli vaikea ymmärtää ja käyttää, tai vastaus ei ollut vastaus asetettuihin kysymyksiin. Silloinkin kun tietopyyntöihin vastattiin, kaikkia pyydettyjä tietoja ei toimitettu. Aiemmat tutkimukset osoittavat myös sen, että mm. profilointitietoja sekä tieto datan jakamisesta, vaihtamisesta ja tiedon hankkimisesta kolmansien osapuolten kautta puuttuu usein tai sitä annetaan vain vähän.

Neljä testihenkilöä (Anders Adlercreutz, Filomena Chirico, Christian D’Cunha ja Niclas Storås) teki tietopyynnön Facebookille, mutta vastoin EU:n tietosuoja-asetusta, tietoja ei toimitettu. Facebook oli selkein esimerkki siitä, kuinka toimitetut tiedot eivät lainkaan vastanneet esitettyihin kysymyksiin. Yritys myös järjestelmällisesti vältti kokonaan yksittäisiin, räätälöityihin tietopyyntöihin vastaamista ja kieltäytyi näin antamasta tietoja, jotka selkeästi kuuluvat tietosuoja-asetuksen mukaisiin oikeuksiin. Facebook tulkitsee omadataportaalinsa riittäväksi.

Selvitystä tehneeseen Sitran työryhmään kuulunut asiantuntija Riitta Vänskä, teki tietosuoja-asetuksen mukaisen pyynnön Facebookille samanaikaisesti testihenkilöiden kanssa. Facebook vastasi aktiivisesti noin kuukauden ajan sähköpostikeskusteluun erittäin pitkillä viesteillä, joilla Vänskää ohjattiin aluksi hakemaan tietonsa Facebookin automaattisesta portaalista. Vänskä perusteli lisätietopyyntöjään toistuvasti sillä, että on jo hakenut tiedot portaalista, eikä palvelu anna kaikkea tietoa, jota tietosuoja-asetuksen mukaan yksilöllä on oikeus saada. Facebookin vastaukset olivat kerta toisensa jälkeen kopioita heidän tietosuojakäytännöstään ja käyttöehdoistaan.

Kuukauden viestittelyn jälkeen Facebookilta todettiin heidän noudattaneen tietosuoja-asetusta, eikä yritys tulisi enää antamaan lisätietoa.

Vänskä teki valituksen Facebookin toiminnasta Suomen tietosuojavaltuutetun toimistolle 24.1.2022 ja odottaa edelleen huhtikuussa vastausta. Hän sai toimistolta maaliskuun 2022 vastauksen, jossa kerrottiin, että palvelussa on ruuhkaa, eikä valitusta ole vielä käsitelty, ja että se todennäköisimmin käsitellään yhden luukun periaatteella yhdessä jäsenvaltioiden kanssa.

Koska Meta-konserni (Facebook) kuuluu ETA-alueena Irlantiin, johtavana tietosuojaviranomaisena toimii Irlanti. Viestissä kerrottiin myös, että prosessi tulee kestämään yli vuoden. Jälkeenpäin Vänskä sai kuulla, että kokonaisprosessi on hidas jäsenvaltioiden erilaisten prosessien vuoksi, mutta jatkossa käsittely tulee nopeutumaan.

Kuva 2. Meta-konserni koettelee tietopyynnön esittäjän kestävyyttä. Esimerkki Riitta Vänskän yrityksestä saada tietoa Facebookin hallussa olevasta datasta, erityisesti tiedosta, jota ei saa Facebookin portaalin kautta.

Saavatko kaikki kansalaiset samantasoista palvelua tietopyyntöihinsä?

Osallistujien saamissa vastauksissa havaittiin suurta vaihtelua sekä laadussa että sen suhteen, kuinka yksityiskohtaisia ja ymmärrettäviä tietoja testihenkilöt saivat. Suuria eroja eri testihenkilöille toimitettujen tietojen laadussa oli muun muassa Gigantilla, Applella, Googlella ja HSL:llä (Helsingin seudun liikenne).

Useissa tapauksissa henkilöt joutuivat turvautumaan omiin yhteyksiinsä organisaatioissa saadakseen yritykset vastaamaan. Huomionarvoista oli, että toimittajilla oli tässä asiassa enemmän vaikutusvaltaa kuin politikoilla. Sekä Mark Scott että Niclas Storås pystyivät nopeuttamaan yritysten (FullContact ja Stockmann) vastauksia ottamalla yhteyttä niiden viestintä- tai mediatoimintoihin. Toimittajien etuoikeutettu pääsy on havaittu myös muissa vastaavissa ponnisteluissa ja se saattaa johtua yritysten halusta välttää huonoa julkisuutta.

Näyttää siltä, että tietopyyntöjen vastauksiin vaikutti myös testihenkilön päättäjärooli yhteiskunnassa. Filomena Chiricon saama vastaus Googlelta erosi muiden vastauksista. Selvityksen tutkijoiden kokemuksen mukaan erona oli mm. se, että Google ohjasi muut tietojensa pyytäjät hakemaan tietoa omadataportaalin kautta, mutta Chiricon tapauksessa yritys vetosi ensin lain sallimaan kolmen kuukauden viiveeseen ja viesti tiedonsaannin vaikeudesta.

Kolmen kuukauden päästä Google lähetti Chiricolle räätälöidyn tiedoston, jonka kautta hän sai tarkempaa tietoa datastaan. Vastaus oli lähempänä hänen virallista tietosuojapyyntöään kuin portaalin kautta saatu tieto. Tunnistiko Googlen tietosuojatoiminto hänen roolinsa EU:n sisämarkkinoista vastaavan komissaari Thierry Bretonin kabinetissa, joka vastaa myös alustojen sääntelystä? Ja päättikö yritys tarjota laadukkaampia vastuksia Chiricolle, kuin tavalliselle kansalaiselle?

Gigantti ylivoimaisesti paras tietopyyntöihin vastaaja

Gigantin osalta saimme selville heidän tiedonvaihtosuhteensa yhteistyökumppaneiden kanssa, kun taas useimmat selvityksen kohteina olevista yrityksistä eivät lainkaan paljastaneet tietoja tietopyynnön kautta, vaan olimme ko. yritysten osalta tulkinnoissamme pelkästään Tracker Control -sovelluksen tuottaman tiedon varassa.

Tietopyyntö on keino mitata yrityksen luotettavuutta

Entä kannattaako tietopyyntöjä ylipäätään tehdä ja onko tietopyyntövastauksilla vaikutusta luottamukseen yrityksiä kohtaan?  Esimerkkinä myönteisestä ja yksilöä aktivoivasta vaikutuksesta on Sari Tanuksen kokemus tietosuoja-asetuksen mukaisesta tietopyynnöstä.Tanus sai Aamulehdelle lähettämänsä tietopyynnön kautta selville, että Aamulehti ostaa hänestä Bisnode-dataa (dataa myyvä yritys Dun & Bradstreet), jonka seurauksena hän laittoi Bisnodelle uuden tietopyynnön. Tanus sai selville, mitä tietoa yrityksellä on, mistä tieto on saatu ja mitä Bisnode sillä tekee. Näin Tanus sai tavanomaista monipuolisemman kuvan dataekosysteemistä, jossa hänen tietonsa liikkuu.

Useimmat kohdeyritykset olivat vähemmän läpinäkyviä, kuin mitä testihenkilöt olivat alun perin olettaneet. Selvää oli, että testihenkilöiden luottamus yrityksiä kohtaan väheni, kun yritykset eivät olleet läpinäkyviä käyttäjästä kerätyn tiedon ja sen käytön suhteen.

Suomen tietosuojavaltuutetun neuvoja

Miksi omia tietoja kannattaa pyytää, tietosuojavaltuutettu Anu Talus?

Pyytämällä omia tietojaan saa tietää, mitä tietoja itsestä käsitellään, ja ovatko tiedot ajantasaisia, virheettömiä ja tarpeellisia. Ainoastaan näin saa realistisen käsityksen siitä, mitä kaikkia tietoja itsestä on kerätty.

Tämä mahdollistaa myös muiden tietosuoja-asetuksen mukaisten oikeuksien käyttämisen. Voi pyytää esimerkiksi tietojen poistamista tai virheellisten tietojen korjaamista.

Milloin tietosuojavaltuutettuun kannattaa olla yhteydessä?

Jos yritys ei anna tietoja. Ennen yhteydenottoa tietosuojavaltuutettuun kannattaa olla yhteydessä myös yrityksen tietosuojavastaavaan.

Tietosuojavaltuutettu voi esimerkiksi määrätä yrityksen antamaan tiedot. Joissakin tilanteissa myös hallinnollinen seuraamusmaksu yritykselle voi tulla kyseeseen.

Mitä seuraamuksia tietosuoja-asetuksen noudattamatta jättämisellä voi olla organisaatiolle?

Tietosuoja-asetus sisältää laajan työkalupakin. Seuraamukset yrityksille voivat olla esimerkiksi huomautuksia tai hallinnollisia seuraamusmaksuja, jotka voivat nousta hyvinkin korkeiksi.

Olemme antaneet päätöksiä, joilla on otettu kantaa siihen, että rekisterinpitäjä ei voi hankaloittaa rekisteröidyn oikeuksien käyttöä. Yritys ei esimerkiksi voi asettaa omia muotovaatimuksia oikeuksien käyttämiselle.

Isompien toimijoiden, kuten Facebookin ja Googlen osalta, asiat ratkaistaan EU:n tietosuojaviranomaisten yhteistyömenettelyssä.

Digivalta-selvityksen perusteella prosessi tietojen saamiseksi Facebookilta voi kestää yli vuoden. Onko tähän luvassa parannusta?

Hallinnollisen menettelyn aikana on varmistuttava, että kaikkien oikeussuoja toteutuu, myös rekisterinpitäjän. Facebookin osalta kyse on yleensä rajat ylittävästä asiasta. Kun 27 + 3 valtion viranomaiset tekevät yhteistyötä menettelyssä, joka pitää asiakirjojen kääntämistä ja eri osapuolien kuulemista, menettely kestää aikansa.

Tälläkin hetkellä asioita on vireillä useita tuhansia, joka myös osaltaan vaikuttaa käsittelyaikoihin.

Euroopan tietosuojaneuvostossa (European Data Protection Board, EDPB) pyritään aktiivisesti kehittämään sisäisiä menettelyitä asioiden käsittelyn tehostamiseksi.

Datan keräämiselle ja käyttämiselle laaditaan pelisääntöjä EU-tason ”regulaatiotsunamilla”. Uskotko, että tämä parantaa yksilön asemaa ja oikeuksien toteutumista?

Joiltain osin uudistukset voivat selkiyttää nykytilannetta ja sitä kautta parantaa yksilön asemaa. Ongelmallisena pidän kuitenkin ehdotettuja uudistuksia siltä osin, kun ne sisältävät päällekkäistä sääntelyä tietosuoja-asetuksen kanssa.

Keskeistä onkin, että sääntelykehikon laajentuessa ei hämärry se, kuka on toimivaltainen viranomainen. Jos viranomaisten välinen toimivallanjako hämärtyy, heikentää se myös yksilön asemaa. Ihmiset eivät silloin tiedä, kenen puoleen kääntyä ja pahimmassa tapauksessa eurooppalainen käytäntö pirstaloituu.

5. Johtopäätöksiä: On aika rakentaa vaihtoehtoisia tulevaisuuksia

Nykyistä datatalouden ja digitaalisen vallan epätasapainoa ylläpitää vaihtoehdottomuuden narratiivi. Historiassa on kuitenkin lukuisia esimerkkejä markkinaa muuttaneista toimenpiteistä, toimijoista ja säädöksistä, joiden avulla tasapaino voidaan taas saavuttaa.

Maailman arvokkaimmat yritykset ovat globaaleja datajättejä, joiden tärkein raaka-aine on yksilöistä kerätty data. Selkeä johtopäätös Digivalta-selvityksestä on, että yksilöillä on avain liian vähän kontrollia tai näkyvyyttä oman datansa käytön suhteen. Tämän lisäksi tietojen väärinkäytökset vähentävät luottamusta datatalouteen.

Digivalta-selvitys kertoo kerätyn datan suuresta määrästä, mutta ennen kaikkea datajättien kyvystä yhdistellä dataa eri lähteistä yksilöiden profiloimiseksi. Jopa asiantuntijoiden on vaikea hahmottaa digimaiseman toimijoita, niiden rooleja ja toimintamallien pitkäaikaisvaikutuksia yhteiskuntaan.

Maksuttomissa tuotteissa yksilöt eivät ole asiakkaita, vaan tuote, jota voitaisiin kutsua jopa moderniksi dataproletariaatiksi. Yksilöt tuottavat lähes ilmaiseksi dataa, talouden arvokkainta raaka-ainetta ja se luovutetaan tai otetaan datajättien raaka-aineeksi. Ihmiset ovat kuin hiilikaivoksessa 150 vuotta sitten työskennelleet perheet, joiden alaikäiset lapsetkin louhivat hiiltä nenät mustina. Lasten oikeudet, saati kuusipäiväinen työviikko ovat tuntemattomia, eivätkä ihmiset tiedä paremmasta.

Ensimmäinen askel nykytilanteen muuttamisessa on tietoisuuden lisääminen; siksi tehtiin Digivalta-selvitys.

Esimerkki datajättien seurannan keinoista: Facebook-pikseli

Meta-konserni hyödyntää muun muassa Facebook-pikseliä. Se on koodinpätkä, joka asennetaan Facebook-mainontaa käyttävän yrityksen, kuten suomalaisen elektroniikkaliikkeen, verkkosivustolle. Käyttäjä ei huomaa koodia eikä voi tietää, että sellainen on asennettu. Facebook-pikselin avulla yritys voi seurata Facebook-mainonnan tehoa paremmin ja se myös mahdollistaa uudelleenkohdistamisen. Jos käy etsimässä vaikkapa elektroniikkaa internetistä, mutta ei vielä osta tuotetta, saattaa Facebook- tai Instagram-virtaan seuraavaksi ilmestyä aiheeseen liittyvää mainontaa.

Suomessa toimiva verkkokauppa luovuttaa kivijalkaliikkeen ostodatan datajäteille pystyäkseen optimoimaan datajätiltä ostamansa mainoskampanjan tehon ja seuratakseen nettimainonnan vaikutuksia aina kivijalkaliikkeeseen asti. Suomalainen verkkokauppa tai elektroniikkaliike on koostaan huolimatta paljon pienempi kuin globaali datajätti. Samalla se on osa ongelmaa: antaessaan käyttäjiensä dataa eteenpäin, se mahdollistaa valvontakapitalismin ja tulee tahtomattaankin entisestään lisänneeksi datajättien markkinavoimaa.

Yritysten välisessä neuvottelussa se, jolla on enemmän markkinavoimaa, pystyy sanelemaan ehdot neuvotteluissa. Koska Facebookin mainonta voi olla tehokasta ja on siten suosittua, Facebook pystyy keräämään yhä enemmän tietoa internetin käyttäjistä myös näiden vieraillessa muilla verkkosivuilla.

Datatalouden keskittyneen vallan varjopuolia

Infrastruktuurisen vallan kielteiset vaikutukset näyttäytyvät voimakkaampina, kun ne skaalautuvat yksilön sijasta väestöön, mutta silloin niitä on myös vaikeampi ymmärtää. Näin ollen on tärkeää avata monimutkaisia mekanismeja myös arkipäiväisten ja yksinkertaisten esimerkkien avulla.

Kun tavallisilta ihmisiltä kysytään, kokevatko he yksityisyyden tärkeäksi, vastaukset vaihtelevat oman digitaalisen- ja medialukutaidon perusteella suurestikin. Sitran havaintojen mukaan erityisesti muutoin osaavat nuoret suhtautuvat lyhytnäköisesti yksityisyyden suojeluun ja siksi on tärkeää nostaa yksityisyyden merkitys näkyvämmin yhteiskunnalliseen keskusteluun. Digivalta-selvityksen keskiössä ovat ihmisryhmille tahattomasti aiheutetut systeemiset haitat, mutta myös yksilöt saattavat haluta tietoisesti aiheuttaa haittaa muille ihmisille.

Ennakkojulkaisussa (Kröger et al.) henkilöistä kerätty data on luokiteltu 11 haittakategoriaan eli tapoihin tuottaa vahinkoa yksilölle hänestä kerätystä datasta (olipa data digitaalisista palveluista tai fyysisestä maailmasta kerättyä):

1. Henkilökohtainen tyydytys
2. Pakottavat kannusteet
3. Vaatimusten noudattamisen tarkkailu
4. Häpäisy
5. Arviointi ja syrjintä
6. Henkilökohtaisten heikkouksien tunnistaminen
7. Personoitu taivuttelu
8. Rekisteröidyn henkilön fyysinen paikantaminen ja tavoittaminen
9. Yhteydenotto henkilöön
10. Pääsy yksilön suojatuille toimialueille tai omaisuuteen
11. Strateginen vaste henkilön toimintaan tai suunnitelmiin.

Tavanomaisia digipalveluja käytettäessä ei nykyisen datatalouden järjestelmän kaikkia mahdollisia haittoja ehdi ajatella. Koska digitaaliset palvelut ovat kuitenkin yhteiskunnan toimivuuden ja arjen sujuvuuden kannalta täysin välttämättömiä, on yksilöille aiheutuvat haitat ja palveluiden käyttöön liittyvät riskit kyettävä minimoimaan. Mikäli haitalliset datatalouden toimintamallit saadaan muutettua, vapautuu nykyistä enemmän tilaa ja osaamista tuottaa yksilöille merkittäviä hyötyjä mahdollisten vahinkojen sijaan.

Merkittävä muutos markkinassa on Applen vuonna 2020 tekemä päätös mahdollistaa iPhonen ja iPadin käyttäjille seurannasta kieltäytyminen. Samaan aikaan, kun esimerkiksi digimainonnan lobbausorganisaatiot ja suuret sosiaaliset mediat viestivät, ettei datan kerääminen kolmansille osapuolille voi olla merkittävä ongelma, koska ihmiset itse hyväksyvät palveluiden evästeet tai käyttöehdot, valtaosa iPhonen ja iPadin käyttäjistä kieltää oman käyttäytymisensä seurannan digitaalisissa palveluissa. Vuoden 2021 julkaistuissa kansainvälisissä luvuissa seurannasta kieltäytyneiden määrä oli 80–96 prosenttia käyttäjistä.

Tämänhetkinen henkilötietoihin pohjautuvan datatalouden menestynein liiketoimintamalli, yksilön kontrollin ulkopuolella oleva rajaton datan kerääminen, ei kestä päivänvaloa. Kahden vuosikymmenen aikana syntyneet toimintamallit ja niiden kautta kehittyneet uudet ja vanhat toimijat eivät ole kyenneet itsesääntelyyn tavalla, joka tukisi yksilönoikeuksia. Muutoksen tekoa ei voi siis laskea niiden varaan.

On aika murtaa vaihtoehdottomuuden narratiivi

Rationalisoimalla nykytilannetta oikeutetaan yleinen passiivisuus ja luodaan kertomus, jolla ylläpidetään vaihtoehdottomuuden harhaa. On syytä tarkastella ja kyseenalaistaa niitä uskomuksia, joille narratiivi perustuu.

Tyypillinen osa vaihtoehdottomuuden narratiivia on ajatus, että datan massakeräys on välttämätön hinta hyvin toimivista ilmaispalveluista ja että tilannetta ei voi muuttaa, koska silloin palveluista voi tulla maksullisia. Samalla tavalla historiassa on argumentoitu, että lapsityövoiman käyttöä ei voi kieltää, koska tuotteet kallistuvat. Tänä päivänä lasten oikeudet – osana muita perus- ja ihmisoikeuksia – rajaavat luonnollisella tavalla taloudellista toimintaa. Samalla yhteiskunnan kokonaishyvinvointi on kasvanut ja jakautunut tasaisemmin.

Toinen osa vaihtoehdottomuuden narratiivia on väite, että ”ihmisiä ei kiinnosta datan kerääminen heistä”. Sitran tutkimusten mukaan yksilöiden luottamuspula on datatalouden keskeinen kompastuskivi, joka vähentää digitaalisten palveluiden käyttöä. Kyseessä on ajattelun vinouma, jossa oma mielipide virheellisesti yleistetään koskemaan koko populaatiota. Toisaalta kyseessä voi olla myös tarkoitushakuinen vaikuttaminen ja tapa suojella nykyisiä datatalouden voittajia.

Vaihtoehdottomuuden narratiiviin liittyy myytti datajättien teknologisista innovaatioista markkinavoiman tärkeimpänä lähteenä. Niiden markkinavoima ei kuitenkaan perustu ensisijaisesti innovatiivisimpaan teknologiaan, vaan kerätyn datan määrään. Pikemminkin mono- ja oligopolitoimijoilla on ollut taipumus kääntyä kilpailua vastaan ja samalla niiden innovaatiovoima heikkenee suhteessa kilpailijoihin. Markkinavoimansa turvin ne voivat kuitenkin keskittyä enemmän kilpailun estämiseen varmistaakseen asemansa.

Monopolivoitot puolestaan johtavat hyvinvointitappioihin muun yhteiskunnan kannalta. Teknologisesti edistyneemmät tai paremmin kuluttajien preferenssejä vastaavat vaihtoehdot eivät pysty kilpailemaan omalla vaihtoehdollaan, jos datajätit ostavat ne pois tai reilu kilpailu markkinoilla estetään esimerkiksi toimittaja- tai asiakasloukuilla, joissa datan liikkuminen kilpailevien palveluiden välillä estetään. Kuluttajille ei jää siten muuta vaihtoehtoa, kuin alistua datajättien toimintamalleihin.

Yksilön alistuminen nykytilanteelle voidaan nähdä psykologisena selviytymismekanismina. Draper ja Turow ovat esittäneet (2019), että vaihtoehdottomuuden tunne (digital resignation) on rationaalinen reaktio jatkuvaan seurantaan. Kuluttajat saadaan kirjoittajien mukaan alistumaan datansa luovuttamiseen ja tämä luo epätasa-arvoisia valtasuhteita yritysten ja yksilöiden välille.

Jotkin yritykset käyttävät arveluttavia strategioita, kuten väärin nimeäminen (misnaming), joka kuvaa ”pyrkimyksiä piilotella käytäntöjä käyttämällä harhaanjohtavia ilmauksia”. Yksi näistä on väite paremmista palveluista, joilla yksilön datan keräämistä perustellaan, myös silloin kun dataa käytetään todellisuudessa vain yksilön yhä tarkempaan profilointiin mainostulojen maksimoimiseksi, jopa kuluttajien omien preferenssien kustannuksella.

Jotta virheellisestä vaihtoehdottomuuden narratiivista voidaan luopua, nykytodellisuus toimintamalleineen on tunnistettava ja kuvattava.

Datajättien valtaa on suitsittava

Sitra näkee reilun datatalouden yhtenä kolmesta eniten yhteiskuntaa tulevaisuudessa muuttavasta teemasta. Nykyinen datatalous ei ole riittävän reilu sen takia, että datajättien intressi on ylipainottunut yksilöiden ja yhteiskunnan kustannuksella.

Dataa kerätään ilman yksilön ymmärrystä tai kontrollia. Yritykset myös ostavat tietoja muilta, datan keruuseen erikoistuneilta yrityksiltä ja nämä tiedot saattavat sisältää esimerkiksi tietoja oletetusta varallisuudesta, perhetilanteesta tai poliittisesta suuntautumisesta.

Datajätit, kuten Facebook, pystyvät yhdistelemään tietoa yksilöistä eri puolilta internetiä. Tavallisella ihmisellä tai yrityksellä ei ole juuri muuta vaihtoehtoa kuin käyttää datajättien palveluita. Myös yritysten on vaikea toimia ilman digitaalista mainontaa tai netin tärkeimpiä kauppapaikkoja. Ehdot eivät ole yritysten tai yksilöiden neuvoteltavissa, sillä markkinavoima on vahvasti datajättien puolella ja ne myös käyttävät tilannetta vahvistaakseen omaa valtaansa.

Selvityksessä esiin nousseet käytännön esimerkit kertoivat, että maailman suurimpien datajättien käsissä olevaa digitaalista valtaa voidaan käyttää tehokkaasti yksilön profilointiin ja jaotteluun erilaisiin ihmisryhmiin tavoitteena tulevan toiminnan ennakointi ja siihen vaikuttaminen. Mitä enemmän eri lähteistä tulevaa dataa toimija pystyy keräämään ja yhdistelemään, sitä monipuolisempia profilointeja sekä analyysejä liikkumisestamme, ajatuksistamme, ostokäyttäytymisestämme ja mielenkiinnon kohteistamme on mahdollista laatia. Datan kasautuessa harvalukuisille toimijoille kasautuu myös markkinavoima.

On tärkeä ymmärtää, että datan keräämiseen perustuvat liiketoimintamallit eivät sinänsä ole ongelma. Esimerkiksi kaksisuuntainen liiketoimintamalli, jossa tulot tehdään mainoksia myymällä, on toimiva tapa monissa palveluissa ja tuotteissa, kuten ilmaispeleissä, ja perustuu ihmisten suostumukseen. Ongelmana on liiketoimintamalli yhdistettynä kerätyn datan massiiviseen volyymiin, vähäinen läpinäkyvyys yksilöiden suuntaan ja näiden kontrolli oman datan käyttöön, kyseisen datan kasautuminen harvalukuisille toimijoille sekä näiden toimijoiden taipumus toimia laillisuuden rajoilla tai eettisesti arveluttavasti. Yhdistelmä on luonut nykyisen ”valvontakapitalismin” lieveilmiöineen.

Valvontayhteiskunta ja datatalouden ymmärrys

Entisessä Itä-Saksassa elettiin salaisen poliisin eli Stasin valvontayhteiskunnassa. Tällöin joku kirjoitti ylös, mitä tekstejä henkilö luki, missä liikkui, mitä keskusteluja kävi, mistä piti ja mistä ei, ja kirjasi myös ostetut tuotteet. Tällaista valvontaa ei kukaan nyt hyväksyisi ja silti tämän päivän yhteiskunnissa on samankaltaisia piirteitä.  

Nykyistä datataloutta voidaan Shoshana Zuboffin (2019) mukaan kutsua valvontakapitalismiksi. Hän määrittelee valvontakapitalismin talousjärjestelmäksi, joka pitää inhimillistä kokemusta ja toimintaa vapaasti hyödynnettävänä raaka-aineena kaupallisiin tarkoituksiin, ja joka perustuu ihmisten itsemääräämisoikeuden heikentämiselle. Valvontakapitalismiin voidaan laskea nykyiset keskeiset ”ilmaispalvelut”, kuten netin hakukoneet, markkinapaikat, käyttöjärjestelmät ja sovelluskaupat, joissa ansaintalogiikka perustuu käyttäjistä kerätyn datan hyödyntämiseen.

Gillian Tett (2021) kirjoitti, että nykyistä datataloutta voitaisiin tarkastella myös kulttuuriantropologian keinoin: tämän päivän datatalous voisi olla epätasapainossa olevaa vaihdantataloutta. Omaar Hodan (2021) puolestaan argumentoi, ettei vaihdantatalous ole sopiva vertailukohta, sillä samaa dataa voivat yhtä aikaa käyttää lukuisat yritykset, jos niin halutaan, ja se on rajatonta suhteessa vaihdantatalouden perinteisiin tuotteisiin.

Kummatkin kirjoittajat ovat oikeassa siinä, että kehys, jolla datataloutta arvioidaan, on tärkeä. Erityisen tärkeä se on siksi, että päättäjien on kyettävä ymmärtämään, mitä he ovat säätelemässä. 

Valvontayhteiskunnasta omadata-ajatteluun

Valvontakapitalismi sisältää ajatuksen käyttäjädatasta vapaasti otettavana resurssina sekä olettaman kaupallisen toimijan oikeudesta päättää, miten käyttäytymisdataa hyödynnetään.

Hyvän lähtökohdan nykytilanteen korjaamiselle tarjoaa omadata-ajattelu (MyData), jossa Suomi on jo pitkään pyrkinyt toimimaan suunnannäyttäjänä. Ajattelun lähtökohtana on mahdollistaa datan mahdollisimman laaja hyödyntäminen ja jakaminen samalla kun päätösvalta tiedon uudelleenkäytöstä on yksilöllä itsellään ja datan hyödyntäminen tapahtuu käyttäjän luvalla. Suomessa omadata-ajattelun vahva puolestapuhuja on MyData Global, jonka perustajajäsen Sitra on.

6. Suosituksia digitaalisen vallan epätasapainon korjaamiseksi

Vaihtoehtojen puute ja nykymallin hiljainen hyväksyntä on muutettava toiminnaksi kaikilla yhteiskunnan tasoilla. Systeeminen muutos saadaan aikaiseksi yksilöiden, yritysten, julkisten toimijoiden ja kansalaisyhteiskunnan yhteistyöllä sekä panostamalla konkreettisten työkalujen ja toimintatapojen kehittämiseen.

Suositukset

• Perusoikeutta omaan dataan tulee vahvistaa.

• Yritysten tulee nostaa datan hyödyntäminen osaksi yritysvastuutaan ja sisäisen ja ulkoisen tarkastustoimen kohteeksi.
• Pääomasijoittajien tulee osoittaa vastuullisuutta investointikohteita etsiessään.
• Kilpailua heikentävää toimintaa on voitava estää ennalta.
• Suurimmat datajätit ovat immuuneja sakoille – seuraamuksia on vahvistettava.
• Toimittaja- ja asiakasloukkuja on vähennettävä.
• Datatalouden perusteet tulee nostaa osaksi opetusta. .
• Informaatiolukutaidon edistämisestä tulee tehdä kansallinen projekti.
• Datakollektiivit, omadata-operaattorit ja DAO:t yksilön neuvotteluvoimaa vahvistamaan.

Perusoikeutta omaan dataan tulee vahvistaa

Oikeus omaan dataan tulee nähdä ihmisoikeutena ja sitä tulee nostaa julkisessa keskustelussa enemmän esiin. Tietosuoja-asetuksen tavoitteena on ollut tarjota ihmisille keinoja hallita henkilötietojaan. Komission ehdotus datasäädökseksi vuodelta 2022 laajentaisi näitä oikeuksia henkilötiedoista kaikkeen dataan.

Datasäädöksen mukaan, jos yksilö on osallistunut esimerkiksi datan luomiseen, tulee hänelle oikeuksia suhteessa tähän dataan, kuten oikeus päästä käsiksi älyjääkaapin tai uudehkon auton keräämään dataan ja jakaa sitä kolmansille osapuolille, kuten huoltoliikkeille. Datasäädöksen ehdotukset ovat esimerkkejä yksilön kontrollia omaan dataansa lisäävistä aloitteista.

Markkinoiden manipulointi on kielletty, myös ihmisten manipulointia tulee välttää

Data yhdistettynä tekoälyyn sisältää erityisen suuren potentiaalin lisätä työn tuottavuutta ja ratkaista yhteiskunnallisia ongelmia. Samaan aikaan se luo myös uusia riskejä. Datan massakeräys yhdistettynä tekoälyyn ei mahdollista ainoastaan ihmisen käyttäytymisen ennustamista, vaan myös käyttäytymisen ohjailua, manipulaatiota.

Itsemääräämisoikeuden periaate ja manipuloinnin kielto sisältyvät Euroopan komission asettaman tekoälyn etiikkaa selvittäneen korkean tason asiantuntijaryhmän eettisiin ohjesääntöihin (European Commission 8.4.2019). Ihmisen itsemääräämisoikeus ja perus- ja ihmisoikeuksien toteutuminen tulee ottaa huomioon koko palvelun tai tuotteen suunnittelun ja käytön elinkaaren aikana.

Manipulointi dataa keräämällä ja profiloimalla voi tarkoittaa alistamista, pakottamista, harhaan johtamista, ehdollistamista tai holhoamista, ja se tulisi kieltää EU:ssa. Suurimmilta toimijoilta pitää voida edellyttää esimerkiksi katselmuksia ja auditointeja systeemiriskien tunnistamiseksi.

Yritysten tulee nostaa datan hyödyntäminen osaksi yritysvastuutaan

Yrityksillä on vastuu liiketoimintamalleistaan ja toiminnastaan. Cambridge Analytica -skandaali, jossa Facebook rikkoi paitsi lakia myös omia sääntöjään, ei olisi ollut mahdollinen ilman yrityskulttuuria, jossa yksityisyyden suojaa ei arvostettu. Yrityskulttuurista kertoo Facebookin perustajan Mark Zuckerbergin motto: move fast and break things.

Historian saumakohdissa yksittäisillä yrittäjillä ja yrityksillä voi olla merkitystä siinä, kuinka kokonaisen alan kehitys suuntautuu. Motivaationa voi olla tuloksen tekeminen keinoilla millä hyvänsä, mutta myös maailman muuttaminen paremmaksi paikaksi.

Yritysten, jotka haluavat tuotteensa digitaalisesti, usein mahdollisimman laajasti, markkinoille, on lähes kaikissa tapauksissa käytettävä datajättien palveluita markkinointiin ja mainontaan. Rajattoman tarjonnan sijaan mainonnan kanavat ovatkin ennalta arvattava kourallinen toimijoita, joista yritykset ovat yhä enemmän riippuvaisia.

Jokaisen, pienenkin, eurooppalaisen yrityksen tulisi nyt arvioida omaa digitaalista läsnäoloaan eri kanavissa sekä markkinointi-, viestintä- ja asiakkuusprosessejaan niin yksityisyyden suojelun kuin datan arvon kasvattamisen lähtökohdista. Prosessit ja palveluntuottajat tulisi auditoida ja tutkia, minne kaikkialle yrityksen ulkopuolelle arvokasta dataa kulkeutuu ilmaiseksi; kasvattamaan maailman suurimpien yritysten arvoa oman yrityksen tietopääoman sijaan. Vaihtoehtoisia uusia toimintatapoja tulisi edellyttää niin omilta markkinointi- ja asiakkuustoiminnoilta kuin digitaalisia palveluita tarjoavilta toimittajiltakin.

Digivalta-selvityksessä huomattiin, että vähittäiskaupan ketjun verkkosivujen kautta dataa lähetettiin venäläisille datajättiläisille Yandex ja VKontakte. Yrityksien datatalousosaamista ja tietoisuutta sen mekanismeista on syytä lisätä, sillä ne saattavat luovuttaa tietoa myös tietämättömyyttään.

Pääomasijoittajat voivat osoittaa vastuullisuutta investointikohteita etsiessään

Yksittäisillä vaikutusvaltaisilla sijoittajilla voi olla suuri vaikutus siihen, miten internettalous kehittyy. Esimerkiksi suomalainen Piilaaksossa vaikuttava sijoittaja Jyri Engeström on puhunut siitä (Futucast 2021), miten web 2.0:n alkuaikoina yksittäiset vaikutusvaltaiset yritysten perustajat ja omistajat torjuivat avoimiin standardeihin ja hajautukseen perustuvan mallin keskittääkseen markkinavoimaa.

EU voisi harkita kestävän rahoituksen luokittelujärjestelmän eli taksonomian luomista datatalouteen, samaan tapaan kuin ollaan luomassa taksonomia ympäristöluokittelulle osana EU:n ympäristölainsäädäntöä. Myös erilaisia reilun datatalouden sertifikaatteja ja raportointivelvollisuuksia voidaan kehittää alan yhteistyönä samaan tapaan kuin vastuullisuusraportointia on kehitetty viimeisinä vuosikymmeninä. 

Kilpailua heikentävää toimintaa on voitava estää ennalta

Muutaman ison toimijan hallitsemia markkinoita joudutaan tyypillisesti sääntelemään. Esimerkiksi Suomessa on hyvin kilpaillut mobiililiittymien markkinat, vaikka markkinoilla on vain muutama iso operaattori, mikä ei olisi ollut mahdollista ilman oikeaa sääntelyä.

Asiaa on tutkittu Sitran työpaperissa, jossa on verrattu tele- ja finanssimarkkinaa nykyisen datatalouden sääntelyyn viimeisten vuosikymmenten aikana (Raunio 2020). Euroopan komissio edellytti runsas vuosikymmen sitten, että teleoperaattorin asiakkaan on voitava säilyttää puhelinnumeronsa vaihtaessaan liittymänsä. Yritykset vastustivat muutosta. Se kuitenkin helpotti yksilöille liittymien kilpailuttamista.

Tämän kaltainen sääntely täydentää kilpailulainsäädäntöä kieltämällä ennalta markkinan kannalta haitallisen toiminnan, esimerkkeinä komission ehdotukset digimarkkinasäädökseksi (Digital Markets Act, DMA), digipalvelusäädökseksi (Digital Services Act, DSA) ja datasäädökseksi (Data Act). Uutta sääntelyä tarvitaan ja se tarvitsee toistuvia iteraatiokierroksia. Samaan aikaan tulee varoa ylisääntelyä, joka voi muodostaa itsessään markkinoillepääsyn esteen.

Kilpailulainsäädännön on huomioitava kuluttajien laajennettu hyvinvointi

Perinteisesti kilpailuoikeudella on turvattu kuluttajien etu hinnoittelua tarkastelemalla. Palvelun maksuttomuus ei välttämättä ole optimaalinen ratkaisu kuluttajan kokonaishyvinvoinnin kannalta. Kilpailulainsäädäntöä ja sen soveltamista tulisi kehittää pohjautuen laajennettuun kuluttajien hyvinvointikäsitteeseen, joka huomioi hinnan lisäksi myös laadulliset elementit, kuten yksityisyyden suojan ja kuluttajien todellisen valinnanmahdollisuuden.  

Suurimmat datajätit ovat immuuneja sakoille – seuraamuksia on vahvistettava

Kilpailulainsäädäntö kaipaa globaalia uudistusta, sillä ennen internetin aikakautta rakennetut säännöt eivät enää toimi riittävän nopeasti tai tehokkaasti.

Kilpailulainsäädäntö luotiin 1800-luvun lopun Yhdysvalloissa vastauksena määräävään markkina-asemaan päässeiden yritysten ylilyönneille. Tapauksista tunnetuin oli öljyliiketoimintaa harjoittanut Standard Oil. Yritys pyrki estämään kilpailua muun muassa ostamalla kilpailijoitaan tai ajamalla niitä pois markkinoilta saalistushinnoittelulla. Standard Oil pilkottiin 34 erilliseen organisaatioon vuonna 1911.

Yhdysvalloissa liittovaltion kauppakomissio (Federal Trade Commission 2021) tutkii Metaa (Facebook) markkina-aseman väärinkäytöstä. Yhtiö osti uhkaavimmat kilpailijansa Instagramin ja WhatsAppin ja näiden lisäksi sen väitetään ostaneen pienempiä kilpailijoitaan näiden innovaatioiden hautaamiseksi, kun sen oma innovaatiotoiminta ei ole riittänyt kilpailussa mukana pysymiseen.

Myös EU:ssa yrityskauppojen kontrollia on parannettava ja pahimpien kilpailijoiden eliminointi yrityskaupoilla tulisi estää entistä herkemmin.

Euroopan komissio määräsi Googlelle 2,42 miljardin euron kokoiset sakot vuonna 2017 omien tuotteittensa suosimisesta hakukoneessa (European Commission 27.6.2017), 4,34 miljardin euron sakot vuonna 2018 määräävää markkina-asemaa koskevien laittomien käytäntöjen vuoksi liittyen Android käyttöjärjestelmään (Euroopan komissio 18.7.2018) ja 1,49 miljardin euron sakot vuonna 2019 väärinkäytöksistä verkkomainonnassa. Osa väärinkäytöksistä oli komission mukaan jatkunut yli kymmenen vuotta ja estänyt muiden yritysten innovoinnin ja kilpailun. (Euroopan komissio 20.3.2019) Tämän jälkeenkin on Googlea vastaan nostettu vastaavia syytteitä määräävän markkina-aseman väärinkäytöstä (Ilta-Sanomat 14.5.2021)

Cambridge Analytica -skandaalissa Facebook luovutti käyttäjistä keräämäänsä dataa laittomasti kolmansille osapuolille. Dataa käytettiin muun muassa valetietojen kohdentamiseen vaaleissa äänestäjien hämmentämiseksi. Facebook sai noin viiden miljardin dollarin suuruiset sakot. (YLE 13.7.2019) Tietovuotaja Frances Haugenin vuonna 2021 luovuttamien tietojen mukaan Facebook mahdollistaa edelleen valetiedon levittämisen kaupallisista syistä.

Nykyinen kilpailulainsäädäntö toimii liian hitaasti, eikä sen pelotevaikutus ole riittävä. Prosessi eri oikeusasteissa voi viedä kymmenen vuotta, jonka aikana kilpailijat ovat jo menettäneet asemansa ja yksilöt sekä koko yhteiskunta jääneet hyötymättä kilpailusta ja uusista innovaatioista.

Datamarkkinadäädös (DMA Digital Markets Act) ja komission vuonna 2021 päivittämät yrityskauppavalvonnan tulkintaohjeet vievät tilannetta parempaan suuntaan. Niiden toimivuutta tulee arvioida ja jo luotuja sekä uusia työkaluja on luotava tarpeen mukaan. Erityisen tärkeää on estää niin sanotut tappajaostot, joissa isot yhtiöt ostavat lupaavat kilpailijat aikaisessa vaiheessa pois markkinoilta. Myös sakot on nostettava tasolle, jolla on aidosti laitonta toimintaa ehkäisevä vaikutus.

Toimittaja- ja asiakasloukkuja on vähennettävä

Valtaosa maailman datasta on jäsentämätöntä ja muussa kuin digitaalisessa muodossa. Data ei liiku riittävästi ja on siiloissa, jotka ovat tarkoituksellisesti rakennettuja toimittajaloukkuja.

Data on saatava liikkumaan turvallisesti ja läpinäkyvästi yli sektori- ja yritysrajojen Euroopan laajuisesti, kuten EU:n datastrategiassa visioidaan. Tämä mahdollistetaan lainsäädännön lisäksi niin sanotulla pehmeällä digitaalisella infrastruktuurilla, jolla viitataan esimerkiksi standardeihin, pelisääntöihin, rajapintoihin sekä työkaluihin, kuten digitaalisen identiteetin ja reaaliaikatalouden ratkaisuihin.

Tarvitaan kansallisia ohjelmia datatalouden standardien, rajapintojen, pelisääntöjen ja työkalujen syntymisen vauhdittamiseksi. Näistä löytyy jo monia esimerkkejä Suomesta sekä Euroopan unionista ja erilaisia kokeiluja on tehty laajasti (Reilun datatalouden kokeilualusta; Gaia-X Suomi). Suomessa julkisen sektorin Virtual Finland -hankkeen arkkitehtuurityössä hyödynnetään Sitrassa kehitettyä sääntökirjaa ja reilun datatalouden arkkitehtuurimallia, jossa edellytetään datan uudelleen käytettävyyttä. (UM 2022)

Pienempien yritysten liiketoimintaosaamista datataloudessa on parannettava

Erityisesti pk-yritysten osaamisen parantaminen datatalouden toimintalogiikasta auttaisi paitsi datatalouden mahdollisuuksien hyödyntämisessä myös parantaisi niiden neuvotteluasetelmaa suurempien yritysten kanssa.

Sitra on kehittänyt datan jakamiseen tähtäävän ja kaikille avoimen Datasta kasvua -yritysohjelman yhteistyössä työ- ja elinkeinoministeriön kanssa (Sitran Datasta kasvua -ohjelma). Suomessa ja muissa EU-maissa tulisikin toteuttaa kansallisia, vastaavanlaisia yritysohjelmia pk-yritysten tueksi.

Datatalouden perusteet osaksi opetusta

Sata vuotta sitten agraariyhteiskunnassa alettiin hyödyntää sähkövoimaa. Harva tietää edelleenkään kaikkea sähkövoimasta, mutta silti ihmiset osaavat laittaa katkaisijasta valot päälle. Valo ei syttyisi ilman uutta osaamista. Kansalaiset ovat oppineet käyttämään sähkölaitteita ja yritykset hyödyntämään sähkövoimaa käyttövoimana. Datataloudessa ollaan tämän satavuotisen työn alkupäässä.

Datatalouden perusteista tulisi saada uusi eurooppalainen kansalaistaito. Esimerkiksi Saksa julkaisi kansallisen datastrategian vuonna 2021, tavoitteenaan luoda Saksaan “datakulttuuri” ja “kehittää datalukutaitoa”. (Ahvonen et al. 2022)

Sitra on yhteistyössä Suomen Opetushallituksen kanssa luomassa ensimmäisiä opetusmateriaaleja liittyen datatalouden perusteisiin. Valmiina on jo Digiprofiilitesti, jolla yksilö voi testata omia tietojaan, asenteitaan ja toimintaansa verkossa. Lisää tarvitaan laajassa yhteistyössä, kaikissa oppiaineissa ja koulutusohjelmissa. (Helminen 2021)

Informaatiolukutaidon edistämisestä tulee tehdä kansallinen projekti

Suomalaisten informaatiolukutaidon ja laajemmin ajateltuna ”digitaalisen sivistyksen” tulee vastata muuttuvan informaatioympäristön vaatimuksiin. Perinteinen medialukutaito ei enää riitä.Tämä edellyttää kykyä tunnistaa disinformaatiota sekä syvällisempää ymmärrystä digitaalisesta vallankäytöstä sekä omasta roolista siinä.
Käytännössä pitäisi varmistaa, että informaatiolukutaito on mukana eri koulutustasojen opetuksessa ja kuntien sivistystoimen (koulut, kirjastot, kansanopistot) demokratiatyössä. Lisäksi demokratian iskunkestävyyttä tulisi vahvistaa tukemalla riippumattomia media- ja kansalaisjärjestötoimijoita.

Datakollektiivit, omadata-operaattorit ja DAO:t yksilön neuvotteluvoimaa vahvistamassa

Kirjautuessamme uuteen nettipalveluun joudumme hyväksymään käyttäjäehtoja, joita voidaan usein kuvata ”ota-tai-jätä”-ehdoiksi, jossa yksilöllä ei ole mitään neuvotteluvoimaa. Neuvotteluvoimaa voisivat tulevaisuudessa tasata datakollektiivit, joihin löytyy erilaisia järjestämistapoja ja joita kannattaisi tutkia mahdollisina ratkaisuina. Ne voivat olla joukko henkilöitä, jotka kokoontuvat yhdessä hallinnoimaan dataa tai ne voivat perustua vapaaehtoiseen oman datan luovuttamiseen tutkimuskäyttöön. Omadata-operaattoreitaon puolestaanvisioitu kansainvälisessä MyData-liikkeessä.

Internetin seuraava kehitysvaihe, jota yleisesti kutsutaan web 3.0:ksi, perustuu hajautettuun malliin ja periaatteelle, että yksilö kontrolloi omaa dataansa. Yksi tapa toteuttaa datan kollektiivinen hallinta on hajautettu autonominen organisaatio tai DAO (decentralized autonomous organisation). Koska DAO:t mahdollistavat organisaatioiden luomisen ilman keskittynyttä valtaa tai johtoa, ilmiötä voisi kutsua jopa digitaalisen ajan osuuskunta 2.0:ksi.

Hajautuksen ennakoidaan vähentävän keskitettyjen alustojen ja portinvartijayritysten valtaa. Parhaassa tapauksessa digitaalinen valta jakautuu tasaisemmin ja se saadaan tukemaan huomisen demokratiaa. Tuloksena voi olla myös enemmän innovaatioita ja tehokkaampi kilpailu, mutta tulevaisuuden suunta ja pelisäännöt riippuvat yrityksistä ja yrittäjistä, lainsäätäjistä, tutkijoista, virkamiehistä, järjestöistä ja kansalaisista. Meistä kaikista.

Keskeistä on myös löytää uusia työkaluja, jolla ihmiset sekä itse että yhdessä muiden kanssa voisivat hyödyntää itseään koskevaa dataa oppimiseen, osallistumiseen ja oman arkensa ja yhteiskunnan kehittämiseen.

Lähteet

Digivalta-selvityksen raportit

Bowyer, A. et al. 2022. Digipower Technical Reports: Auditing the Data Economy through Personal Data Access (The case studies report). (haettu 23.5.2022)

Pidoux, J., et al. 2022. Digipower Technical Reports: Understanding Influence and Power in the Data Economy (The narrative report). (haettu 23.5.2022)

Muut lähteet

Ahvonen, K., Bremer, O., Djakonoff, V., Koponen, J., Mikkonen, J., Toivanen, M. (toim.). 2022. Suomen vahvuudet, haasteet ja mahdollisuudet datatalouden rakentamisessa – Mitä Suomi voi oppia datatalouden edelläkävijämailta? Sitran muistio.

Draper, N.A, Turow, J. The corporate cultivation of digital resignation. Sage journals 8.3.2019. (haettu 21.4.2022). Memo 27.6.2017. (haettu 21.4.2022)

Euroopan komissio. Kilpailunrajoitukset: Komissio määrää Googlelle 4.34 miljardin euron sakon yhtiön hakukoneen määräävää markkina-asemaa vahvistavien Android-mobiililaitteita koskevien laittomien käytäntöjen vuoksi (PDF). Lehdistötiedote 18.7.2018. (haettu 21.4.2022)

Euroopan komissio. Kilpailunrajoitukset: Komissio antaa Googlelle 1,49 miljardin euron sakot väärinkäytöksistä verkkomainonnassa (PDF). Lehdistötiedote 20.3.2019. (haettu 21.4.2022)

Euroopan unionin virallinen lehti (2021/C 113/01). Ohjeet sulautuma-asetuksen 22 artiklassa säädetyn siirtomekanismin soveltamisesta tietyntyyppisissä asioissa. Komission tiedonanto 31.3.2021. (haettu 3.5.2022)

European Commission. Antitrust: Commission fines Google €2.42 billion for abusing dominance as search engine by giving illegal advantage to own comparison shopping service – Factsheet. Memo 27.6.2017. (haettu 21.4.2022)

European Commission. High-level expert group of artificial intelligence. Ethics guidelines for trustworthy AI. 8.4.2019 (haettu 21.4.2022)

European Commission. Mergers. (haettu 21.4.2022)

Federal Trade Commission. FTC Alleges Facebook Resorted to Illegal Buy-or-Bury Scheme to Crush Competition After String of Failed Attempts to Innovate. 19.8.2021. (haettu 21.4.2022)

Futucast. Jyri Engeström. NFT, desentralisaatio ja internetin tulevaisuus. Video 15.11.2021. (haettu 21.4.2022)

Helminen, J. 2021. Datatalouden merkityksen kasvu haastaa koulutussektoria päivittämään osaamista. Sitran vierasblogi. (haettu 21.4.2022)

Helsingin Sanomat. Facebook-paljastaja Frances Haugen menetti misinformaatiolle ystävänsä mutta kiistää vihaavansa somejättiä: ”Rakastan Facebookia. Haluan pelastaa sen.” Artikkeli 5.10.2021. (haettu 21.4.2022)

Ilta-Sanomat 14.5.2021; Digitoday. Googlelle jättisakot markkina-aseman väärinkäytöstä. (haettu 21.4.2022)

Jalavisto, M. 2021. Yksilöiden luottamuspula datatalouden kompastuskivenä. Sitran artikkeli. (haettu 21.4.2022)

Kippo, J., Kemppainen, E-L. 2022. Datankäytön potentiaalia varjostaa datajättien rymistely verkkoalustoilla – näin Suomessa keskusteltiin datataloudesta vuonna 2021. Sitran artikkeli Meedius Internationalin verkkomediakeskusteluun liittyvästä selvityksestä. (haettu 12.4.2022)

Kröger, J., Miceli, M., Müller, F. 2021. How Data Can Be Used Against People: A Classification of Personal Data Misuses. (haettu 20.4.2022)

Lehtonen, K., Halenius, L. EU määrittää pelisääntöjä datataloudelle – näin uusi sääntely vaikuttaa sinuun ja meihin kaikkiin. Sitran blogi 23.2.2022.

Lehtonen, K., Halenius, L., Rastas, T. Datasäädös lupaa yhtäläiset menestyksen avaimet kaikille, jotka osallistuvat datatalouteen. Sitran artikkeli 9.2.2022

Liikenne- ja viestintäministeriö. Suomi toimii omadata-mallin suunnannäyttäjänä. Tiedote 4.7.2018. (haettu 21.4.2022)

Metan ohje- ja tukikeskus yrityksille. Tietoja Facebook-pikselistä. (haettu 21.4.2022)

MyData Global. MyData operators. (haettu 20.2.2022)

Omaar, H. 2021. No, The Data Economy Is Not A Barter Economy. Center for Data Innovation. (haettu 21.4.2022)

Paasikivi, O., Tuohino, J., Mansnérus, J., Lång, J. 2022. Tekoälyn käyttömahdollisuudet julkisella sektorilla. Sitran selvityksiä 206.

Raunio, E. 2020. Pelissä Euroopan datatalouden tulevaisuus – Opit tele- ja finanssimarkkinoilta. Sitran työpaperi.

Sitra. 2022. Principles-based frameworks and tools for fair data economy (PDF).

Sitran Datasta kasvua -yritysohjelma. (haettu 21.4.2022)

Sitran Gaia-X Suomi -projekti. (haettu 20.4.2022)

Sitran Reilun datatalouden kokeilualusta – IHAN.fi. (haettu 21.4.2022)

Tett, G. 2021. The Data Economy Is a Barter Economy. Harvard Business Review. (haettu 21.4.2022)

Ulkoministeriö. Virtual Finland -kehittämishanke. (haettu 20.4.2022)

Vänskä, R., Härkönen, T. 2019. Henkilödatan jäljillä – Yksilöstä kertyvän tiedon kulku ja käyttö digitaalisissa palveluissa (Digijälki-selvitys). Sitran selvityksiä 168.

World Economic Forum. Advancing Digital Agency: The power of data Intermediaries. Insight report, 15.2.2022.

YLE Uutiset. Facebookille jättisakot Cambridge Analytica -kohun seurauksena – joutuu maksamaan viisi miljardia dollaria käyttäjätietojen vuotamisesta. 13.7.2019. (haettu 21.4.2022)

Zuboff, S. 2019.The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power. London: Profile Books.

Liite 1: Malli tietosuojapyynnöstä

This message is a transparency request under the General Data Protection Regulation, including a subject access request, a portability request, and other specific provisions. Please note that it is not legal to require data subjects to use an in-house form[1].

I would like to request a copy of all my personal data held and/or undergoing processing. This is both a subject access request and a portability request. This message is not in any way to be considered as a complaint.

I am aware of your automated data download service. This request goes beyond the data that your automated download service makes available, therefore please process this request manually rather than referring me to the download service.

COPIES OF MY PERSONAL DATA

This request covers all my personal data, from usage of both your app and your website, including specifically all data belonging to each of the following categories:

1. Volunteered data – data that I have explicitly shared with you

2. Observed data – data that you have collected about me and my activity through my use of the service or through interactions with your staff

3. Derived data – data you have created and stored about me as a result of analysis, processing or inspection of my data or service activity.

4. Acquired data – data you have acquired from any external sources including e.g. credit checks, other users or advertiser’s lists.

5. Sharing & Handling data – all metadata and handling information (as detailed below) about who you have shared my data with, as well as copies of the specific data that has been shared, and details of how you have stored and handled and processed my specific data.

6. Consents – where you rely on my consent to process my personal data, please provide details of those consents including when and by what means I gave consent, and the scope of that consent, and how I might change that consent if I wanted to.

In particular, please make sure that all personal data you state in your privacy policy you collect, create, store or share is provided. Please also make sure to include data for which you remain controller that is held by third parties.

For any of these categories where you do not hold any data about me, please explicitly confirm that you do not hold any data of that type about me
ADDITIONAL SPECIFIC DATAPOINTS
In addition, I have recently learned about the following specific datapoints you hold. Please provide any data you have for me for each of the following. Where you have no data about me for a given one of these fields, please confirm that fact to me explicitly.
• Xcheck data
• Civic amplification score
• Close-friendness data
• meaningful people data;
• world2vec vector
• ”Feed Unified Scoring System” data
• Five user interest segments

ARTICLE 20

For data falling within the right to data portability (GDPR article 20), which includes all data I have provided and which have been indirectly observed about me [2] and where lawful bases for processing include consent or contract, I wish to have that data:

– sent to me in commonly used, structured, machine-readable format, such as a CSV file. A PDF is not a machine-readable format [3].

– accompanied with an intelligible description of all variables or abbreviations.

ARTICLE 15

For all personal data not falling within portability, I would like to request, under the right to access (GDPR, article 15):

– a copy sent to me in electronic format. This includes any data derived about me, such as opinions, inferences, settings and preferences. Note that opinions, inferences and the like are considered personal data [4]. For data that is available to the controller in machine readable format, it must be provided to me in that form in accordance with the principle of fairness and provision of data protection by design.

If your organisation considers me a controller for whom you process

Furthermore, if your business considers me the controller of any personal data for which your business acts as processor, please provide me with all the data you process on my behalf in machine readable format in accordance with your obligation to respect my to determination of the means and purposes of processing.

METADATA ON PROCESSING

This request also includes the metadata I am entitled to under the GDPR, including details as follows:

INFORMATION ON CONTROLLERS, PROCESSORS, SOURCE AND TRANSFERS

– The identity of all joint controllers of my personal data, as well as the essence of you contracts with them (GDPR Article 26).
– Any third parties to whom data has been disclosed, named with contact details in accordance with Article 15(1)(c). Please note that the European data protection regulators have stated that by default, controllers should name precise recipients and not ”categories” of recipients. If they do choose to name categories, they must justify why this is fair, and be specific, naming ”the type of recipient (i.e. by reference to the activities it carries out), the industry, sector and sub-sector and the location of the recipients [3]. Please note that in the case of any transferred data processed on the basis of consent, there is no option to just name categories of recipients without invalidating that legal basis [5].
– If any data was not collected, observed or inferred from me directly, please provide precise information about the source of that data, including the name and contact email of the data controller(s) in question (”from which source the personal data originate”, Article 14(2)(f)/15(1)(g)).
– Please confirm where my personal data is physically stored (including backups) and at the very least whether it has exited the EU at any stage (if so, please also detail the legal grounds and safeguards for such data transfers).

INFORMATION ON PURPOSES AND LEGAL BASIS

– All processing purposes and the lawful basis for those purposes by category of personal data. This list must be broken down by purpose, lawful basis aligned to purposes, and categories of data concerned aligned to purposes and lawful bases. Separate lists where these three factors do not correspond are not acceptable (Article 29 Working Party [6]). A table may be the best way to display this information.
– The specified legitimate interest where legitimate interest is relied upon (Article 14(2)(b)).

INFORMATION ON AUTOMATED DECISION-MAKING

– Please confirm whether or not you make any automated decisions (within the meaning of Article 22, GDPR). If the answer is yes, please provide meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for me. (Article 15(1)(h))

INFORMATION ON STORAGE

– Please confirm for how long each category of personal data is stored, or the criteria used to make this decision, in accordance with the storage limitation principle and Article 15(1)(d).

IDENTIFYING INFORMATION

I understand that according to Article 11 GDPR, and particularly Art 11.2, you might need additional information to identify me for the purpose of this request. I have provided this data in the form of my Facebook profile URL within your contact form. If you need any further information please contact me.

If you do not normally deal with these requests, please pass this email to your Data Protection Officer. If you need advice on dealing with this request, any European Data Protection Authority should be able to provide you with assistance.

In accordance with the law, I look forward to hearing from you within one month of receipt.

References:
[1] UK Information Commissioner’s Office, Subject Access Code of Practice (9 June 2017) p13; Information Commissioner’s Office, ‘Guide to the GDPR: Right to access’ (22 May 2019): ’Even if you have a form, you should note that a subject access request is valid if it is submitted by any means, so you will still need to comply with any requests you receive in a letter, a standard email or verbally [..] although you may invite individuals to use a form, you must make it clear that it is not compulsory’.
[2] Article 29 Working Party, Guidelines on the Right to Data Portability (WP 242), 13 December 2016, 8.
[3] Article 29 Working Party, Guidelines on Transparency under Regulation 2016/679 WP260 rev.01, 11 April 2018.
[4] See Case C 434/16 Peter Nowak v Data Protection Commissioner [2017] ECLI:EU:C:2017:994, 34.
[5] Article 29 Working Party, Guidelines on Consent under Regulation 2016/679 WP259 rev.01, 10 April 2018, 13.
[6] Article 29 Working Party, Guidelines on Transparency under Regulation 2016/679 WP260 rev.01, 11 April 2018, page 35.