Vaikka somepalveluiden tietosuoja-asiat saattavat tuntua kaukaisilta, niillä voi olla merkittäviä vaikutuksia yksilöihin ja yhteiskuntaan. Faktabaari kysyi kolmelta asiantuntijalta, miten luotettavia Tiktokin tietosuojalupaukset ovat.
Lyhytvideopalvelu Tiktok on viime aikoina mainostanut Suomessa, että se “investoi yli 12 miljardia euroa tietojesi turvaamiseksi”. Tiktok lupaa tällä investoinnilla pitää käyttäjien tiedot “entistäkin paremmin” turvassa. Yhtiö kertoo, että käyttäjien tiedot tallennetaan datakeskuksiin Euroopassa ja Yhdysvalloissa. Se myös lupaa, että kyberturvayhtiö NCC Group “valvoo riippumattomasti eurooppalaisten käyttäjien tietojen suojausta”.
Tiktok mainostaa, että nämä “alan johtavat toimenpiteet suojaavat tietojasi luvattomalta käytöltä tai häiriöiltä”.
Tiktok on julkaissut mainoksen muun muassa sivun kokoisena Helsingin Sanomissa marraskuussa, ja investointia on mainostettu myös verkossa. Samaan aikaan uutista on mainostettu ympäri Eurooppaa.
Tiktokin tietoturvaa ja tietosuojaa on kyseenalaistettu etenkin viime vuosina paljon, ja mainoskampanja lieneekin yksi pyrkimys muuttaa käyttäjien ja poliittisten päättäjien käsitystä Tiktokista myönteisempään suuntaan.
Tiktok kertoo verkosivuillaan, että tällä 12 miljardin euron investoinnilla rakennetaan datakeskuksia Eurooppaan, rahoitetaan NCC Groupin valvontaa sekä “otetaan käyttöön yksityisyyden suojaa parantavia teknologioita”, kuten käyttäjätietojen pseudonymisointi tietyissä tapauksissa.
Faktabaari kysyi asiantuntijoilta siitä, miten näihin lupauksiin tulisi suhtautua. Mainoksessa esitettyjä lupauksia peilataan siihen, mitä asiasta tiedetään julkisten materiaalien ja keskusteluiden pohjalta – Faktabaarilla tai sen haastattelemilla asiantuntijoilla ei ole pääsyä Tiktokin “konepellin alle”. Yhteenvetona voi todeta, että asiantuntijoiden mukaan Tiktokin mainostamista suojaustoimista voi olla hyötyä, mutta ne eivät poista sen omistussuhteisiin liittyviä ongelmia.
Kuka Tiktokin omistaa?
Tiktokissa on useita eritasoisia tietosuojariskejä. Tiktokin mainos viitannee kuitenkin ennen kaikkea niistä maailmanlaajuisesti ehkä merkittävimpään, eli siihen, että Kiinan valtiolla on tiettävästi halutessaan pääsy Tiktok-käyttäjien henkilötietoihin. Suomessa suojelupoliisi varoitti tästä tammikuussa, ja asiasta on käyty runsaasti keskustelua maailmalla.
Tämä on iso keskustelunaihe myös Yhdysvalloissa, jossa lainsäätäjät ajavat Tiktokin kieltämistä, jos sen toimintoja Yhdysvalloissa ei siirretä pois kiinalaisomistajilta. Tämän pitäisi tapahtua 19.1.2025 mennessä, ja tällä hetkellä kieltäminen näyttää todennäköiseltä. Samaan aikaan mediatietojen mukaan Tiktok valmistautuu sulkemaan palvelunsa kokonaan Yhdysvalloissa.
Tiktokin omistaa Bytedance-yhtiö, jonka pääkonttori on Kiinan pääkaupungissa Pekingissä, mutta yhtiö on rekisteröity Cayman-saarille. Tiktokin edustajat ovat toistuvasti väittäneet, että Tiktok ei ole kiinalainen yritys. Tiktokin Pohjoismaiden-viestintäjohtaja Parisa Khosrav esimerkiksi sanoi Ilta-Sanomille tammikuussa 2024, että Kiinan turvallisuuslait eivät päde Tiktokiin, koska sen omistavaa Bytedance-yhtiötä ei ole rekisteröity Kiinaan eikä Kiinassa ole käytössä Tiktok-sovellusta.
Tiktokin mukaan Bytedancesta 60 prosenttia omistavat maailmanlaajuiset sijoittajat, 20 prosenttia sen kiinalainen perustaja ja 20 prosenttia sen työntekijät.
Kuitenkin esimerkiksi Viron ulkomaantiedustelu on osoittanut, miten monimutkaisten omistussuhteiden kautta Tiktokilla on yhteys Kiinan valtioon. Tiktokin entiset työntekijät ovat kertoneet, että yhtiö tekee läheistä yhteistyötä Kiinan valtion kanssa. Kiina on myös todennut Yhdysvaltojen Tiktok-kiistaan liittyen, että se ”ryhtyy kaikkiin tarvittaviin toimenpiteisiin laillisten oikeuksiensa ja etujensa turvaamiseksi”.
Faktabaari kysyi tietosuoja-asiantuntijoilta ja Tietosuojapodin vakiokommentaattoreilta Pilvi Alopaeukselta ja Jyri Poutalalta joulun alla, miten Tiktokin mainoksessa esittämiin lupauksiin tulisi suhtautua. Poutala ja Alopaeus vastasivat kysymyksiin yhteisessä viestissä. Lisäksi aihetta kommentoi tietosuojan ja somen asiantuntija, tietokirjailija ja Faktabaarin taustayhdistyksen aktiivi Harto Pönkä.
Pönkä toteaa, että on erotettava kaksi asiaa: Se, mitä Tiktok julkisuudessa väittää ja se, mitä se voi osoittaa todeksi. “Esimerkiksi omistusrakenteesta tarvittaisiin läpinäkyvää tietoa, jotta väite ei-kiinalaisuudesta olisi edes vähän uskottava. Bytedancen tiedetään olleen sekä yrityksenä että useiden vastuuhenkilöidensä kautta koko historiansa ajan läheisessä yhteistyössä Kiinan kommunistisen puolueen kanssa”, Pönkä sanoo viitaten muun muassa Australian parlamentin erityiskomitean raporttiin sekä Reutersiin, Quartziin ja muihin Bytedancea käsittelevän Wikipedia-artikkelin lähteisiin.
Mainoksessaan Tiktok lupaa pitää käyttäjien tiedot “entistäkin paremmin” turvassa. Yhtiön omistukseen liittyvistä syistä käyttäjien tiedot eivät kuitenkaan ole tällä hetkellä turvassa, toisin kuin mainos antaa ymmärtää, asiantuntijat sanovat. Kiinan valtiolla on lain mukaan mahdollisuus vaatia sitä luovuttamaan henkilötietoja käyttöönsä, eikä tämä ongelma ratkea mainoksessa kerrotuilla toimilla. Tähän on kiinnittänyt huomiota myös esimerkiksi tietosuoja-aktiivien järjestö NOYB. Se teki 16. tammikuuta 2024 useista kiinalaisomisteisista yrityksistä, myös Tiktokista, GDPR-valituksen niiden tiedonsiirroista tai epäillyistä tiedonsiirroista Kiinaan.
“Tämän ongelman ratkaisisi käytännössä ainoastaan TikTokin myyminen pois kokonaan Kiinan vaikutuksen alta”, Alopaeus ja Poutala toteavat.
“Samalla on kuitenkin todettava, että kaikkea tietosuojaa on lähestyttävä kokonaisvaltaisena riskienhallintana, jossa merkittävää riskiä voidaan kompensoida toisilla toimilla, vaikka suurinta riskiä ei voitaisi muuttaa. Mitä nämä keinot voisivat tässä tapauksessa olla, jää nähtäväksi.”
Sekä Suomessa että maailmalla on kannettu huolta varsinaisten tietosuojariskien lisäksi myös siitä, että Kiina voisi käyttää Tiktokia vaikuttaakseen kansalliseen politiikkaan ja yhteiskuntaan esimerkiksi suosittelualgoritmeilla.
Tiktok on kiistänyt, että Kiinan hallitus voisi päästä käsiksi sen tietoihin tai algoritmeihin ja manipuloida niitä.
Ovatko käyttäjätiedot turvassa, jos data tallennetaan Eurooppaan?
Tiktok kertoo mainoksessaan, että sen tekemät toimet suojaavat käyttäjien tietoja “luvattomalta” käytöltä. Tiktok ei täsmennä, mitä tällainen luvaton käyttö on, mutta Alopaeus ja Poutala arvioivat, että se viittaa todennäköisesti siihen, että vieraat valtiot tai toimijat voisivat käyttää dataa omiin tarkoituksiinsa. Tiktok ei vastannut Faktabaarin täsmennyspyyntöön ennen jutun julkaisua.
Yksi tapa vähentää riskiä siihen, että käyttäjien data päätyisi vieraille valtioille tai toimijoille, on se, että data tallennetaan fyysisesti EU:n alueelle. Silloin data ei teoriassa liiku alueelle, jossa vieras valtio voisi sen kaapata esimerkiksi kaapeleista. Tiktok lupaakin tallentaa käyttäjien datan eurooppalaisiin ja yhdysvaltalaisiin datakeskuksiin.
Käytännössä tämä ei kuitenkaan ole vedenpitävä ratkaisu estämään “luvatonta” käyttöä, Alopaeus ja Poutala sanovat. “Vieraan maan lainsäädäntö saattaa vaatia, että kaikki tieto, johon sen maan vaikutuksen alaisilla toimijoilla on mahdollinen pääsy, on luovutettava vieraan maan viranomaisten vaatimuksesta, olipa data fyysisesti sijoitettuna minne tahansa.”
Tämä koskee niin Kiinaa kuin vaikkapa Yhdysvaltojakin siinä mielessä, että myös Yhdysvaltojen tiedustelupalvelulla on laaja pääsy dataan. “Tämänhetkinen EU:n ja Yhdysvaltojen välinen tilanne on osittain ratkaistu Data Privacy Frameworkin (“DPF”) avulla. On kuitenkin syytä huomata, että DPF:ää on kritisoitu siitä, ettei se ratkaise keskeisiä ongelmia ja on hyvinkin mahdollista, että myös se tulee kaatumaan tulevaisuudessa Euroopan unionin tuomioistuimen päätöksellä”, Alopaeus ja Poutala sanovat.
Näin on käynyt jo kahdesti aikaisemmin niin sanotuissa Schrems I ja Schrems II -päätöksissä. Tietosuoja-aktiivien järjestö NOYB, jonka perustajan ja puheenjohtajan Max Schremsin mukaan aiemmat päätökset on nimetty, on aiemmin todennut, että se aikoo viedä uudenkin sopimuksen oikeuteen.
Toisin sanoen siis käyttäjien tiedot eivät ole täysin turvassa vierailta valtioilta niin kauan kuin lainsäädäntö sallii sen, että valtio voi vaatia sen vaikutuksen alla olevia toimijoita luovuttamaan dataa sen käyttöön, tai kun se pystyy kaappaamaan dataa käyttöönsä muilla keinoin, asiantuntijat sanovat.
Tiktok on toistuvasti jyrkästi kiistänyt, että se jakaisi käyttäjien dataa Kiinan hallitukselle tai että tällaisia pyyntöjä olisi ikinä edes tullut. Tiktokin edustaja muun muassa kirjoitti tästä mielipidetekstin Kauppalehteen kesäkuussa.
Harto Pönkä korostaa, että edellä kerrotun lisäksi on huomattava, mitä Tiktok jättää säännöllisesti kertomatta. “Yksi tällainen on se fakta, että Tiktokin tietosuojaselosteissa sanotaan edelleen, että tietoja voidaan etäkäyttää Kiinassa sekä muun muassa Brasiliassa, Malesiassa, Filippiineillä ja Singaporessa. Etäkäytön syyksi kerrotaan ‘tärkeiden toimintojen tarjoaminen’, mutta se jätetään kertomatta, mitä ne ovat.”
NCC Groupin valvonta
Tiktok kertoo mainoksessaan, että kyberturvayhtiö NCC Group “valvoo riippumattomasti eurooppalaisten käyttäjien tietojen suojausta”.
Harto Pönkä suhtautuu tähän lupaukseen skeptisesti. “NCC Groupin tekemällä valvonnalla ei ole mitään merkitystä, jos sen valvontaraportit eivät ole julkisesti saatavissa ja ulkopuolisten arvioitavissa. Tietosuojan näkökulmasta parannettavaa löytyy aina – jopa yrityksissä, jotka ovat siihen jo vuosikausia panostaneet. Joten niin kauan, kun Tiktok ei esitä raportteja, joissa tuodaan todellisia ongelmia ja parannuskohteita esiin, kyse on pelkästä PR-puheesta.”
Alopaeus ja Poutala arvioivat, että Tiktokin mainostamasta NCC Groupin valvonnasta on varmasti hyötyä, mutta se ei poista ydinongelmaa. “Valvonnan uskottavuutta voidaan kyseenalaistaa jo ihan sen vuoksi, että yksityisellä toimijalla tai edes toisella valtiolla on varsin rajalliset mahdollisuudet valvoa valtioiden tiedustelutoimintaa.”
Alopaeus ja Poutala toteavat, ettei tällaiseen tietoon ole käytännössä mitään pääsyä ilman tietovuotoja tai vakoojia, joten yksityisen toimijan valvonta perustuu pitkälle oletuksiin ja ammattilaisten arvioihin. “Vaikka näillä on ehdottomasti arvoa, ne eivät kuitenkaan pysty tuottamaan tietoa tai vahvistusta, joka vähentäisi keskeisen ongelman riskejä. On myös täysin mahdollista, että esimerkiksi valtio kieltää yritystä kertomasta sille tehdyistä luovutuksista tai sen vaatimuksista edes valvovalle yritykselle saati toisille viranomaisille.”
NCC Group kertoi syyskuussa 2024 julkaisemassaan tiedotteessa siitä, mitä se on Tiktokin kanssa kuluneen vuoden aikana tehnyt, mutta tiedotteessa toimista kerrottiin varsin yleisluontoisesti.
Somealustat eivät ole vain pahasta – mutta tietosuojaa kannattaa miettiä
Vaikka edellä käsitellyt asiat saattavat tuntua yksittäiselle käyttäjälle kaukaisilta ja on ehkä epätodennäköistä, että Kiina olisi kiinnostunut tavallisesta käyttäjästä Suomessa, tällaisilla asioilla voi silti olla vaikutusta ihmisten käyttäytymiseen ja ajatteluun. Yleisesti tiedetään, että sosiaalisessa mediassa vietetty aika vaikuttaa ihmisiin monella tavalla. “Sosiaaliset mediat on rakennettu niin hienovaraisesti, ettemme edes huomaa muutosta ennen kuin se on jo tapahtunut. Tietosuojaongelma on siis punoutunut yhteen laajemman yhteiskunnallisen ongelman kanssa”, Alopaeus ja Poutala kirjoittavat.
Kriittisyydestään huolimatta he korostavat, ettei sosiaalinen media ole yksinomaan pahasta, vaan se on tuonut mukanaan myös paljon hyvää. “Ilmiötä tulisi käsitellä kokonaisuutena, jossa tietosuoja ja tietoturva ovat yksi tärkeä näkökulma niin yksilön kuin maailmanpolitiikankin tasolla.”
Lue myös: Google muokkasi hakusuosituksiaan ja hakutulosnäkymäänsä presidentinvaalin alla Suomessa
Jaa eteenpäin
