Yhdysvaltain ja Euroopan unionin välisen “Safe Harbor” -järjestelmän romahdus: Tietosuojan uuden Rubikin kuution ratkaiseminen

Brad Smith, lakiasioista vastaava johtaja, Microsoft

Kun teknologiasta kiinnostuneet ihmiset myöhemmin muistelevat vuotta 2015, he muistavat lokakuun kuukautena, jolloin Yhdysvaltain ja Euroopan unionin välinen Safe Harbor -järjestelmä romahti. Viisitoista vuotta voimassa ollut kansainvälinen sopimus mitätöitiin yhdessä päivässä. Lokakuun kuudentena päivänä Euroopan unionin tuomioistuin kaatoi järjestelmän, johon yli 4.000 yritystä on turvautunut siirtäessään liiketoiminnassaan tietoja Atlantin yli ja palvellessaan kuluttajia kahdella yhteensä yli 800 miljoonan asukkaan mantereella.

Päätös selvensi sitä, minkä puolesta monet ovat jo jonkin aikaa puhuneet: tietokoneajan alkutaipaleelta peräisin oleva lainsäädäntö ei ole enää riittävää pilvipalveluihin yhdistettyjen kaikkialla läsnä olevien mobiililaitteiden aikakaudella. Tarvitsemme uuden teknologian maailmaan soveltuvia uusia lakeja sekä Yhdysvalloissa että Euroopassa.

Juristien ja viranomaisten kiirehtiessä arvioimaan tilannetta on ilmeistä, että tarvitsemme sekä useita pieniä lyhytaikaisia toimenpiteitä että perustavanlaatuisen pitkäaikaisen muutoksen. Meidän täytyy keskittyä näihin molempiin näkökulmiin.

On tärkeää keskittyä laajaan valikoimaan toimenpiteitä, erityisesti kun voidaan olettaa EU:n tuomioistuimen päätöksen aiheuttavan mahdollisesti voimakkaitakin seurausvaikutuksia. Hallintoviranomaisten Washingtonissa ja Brysselissä tulee toimia nopeasti ja meidän kaikkien on syytä toivoa, että Yhdysvaltain kongressi hyväksyy pikaisesti Judicial Redress Actin[1] , jotta Euroopan kansalaisilla olisi tarvittaessa pääsy yhdysvaltalaisiin tuomioistuimiin. Kaltaisemme yhtiöt ovat jo ottaneet käyttöön täydentäviä suojatoimenpiteitä, kuten EU:n mallilausekkeet, ja rakentavat niiden varaan lisäturvaa asiakkaiden tiedoille samanaikaisesti kun tarvittavista toimenpiteistä vasta käydään laajaa keskustelua.

Pitkäaikaisen ratkaisun kehittämisessä meidän tulee myös huomioida tietyt ilmiselvät ja perustavanlaatuiset tosiasiat. Tarvitsemme ratkaisuja, jotka toimivat koko yhteiskunnassa, niin suurten kuin pientenkin organisaatioiden kohdalla ja ennen kaikkia kuluttajien kohdalla. Jos aiomme varmistaa, että tietoja voi jatkossakin siirtää Atlantin yli kestävillä perusteilla, meidän täytyy saada aikaan uudentyyppinen transatlanttinen sopimus. Tällaisen sopimuksen täytyy turvata ihmisten yksityisyyden suoja heitä koskevien lakien mukaisesti samalla kun varmistetaan, että huolehtiessaan ihmisten turvallisuudesta lainvalvontaviranomaiset voivat saada pääsyn henkilöiden tietoihin uusien kansainvälisten prosessien avulla noudattaen voimassa olevaa lainsäädäntöä.

Mahdollisia tulevia toimenpiteitä tarkastellessamme on tärkeää pohtia niitä useita tekijöitä, jotka ovat johtaneet kuluvan kuukauden tapahtumiin. Nämä monimuotoiset ja monimutkaiset tekijät ovat muodostuneet vuosien saatossa. Mikä tahansa ratkaisu nykytilanteeseen on niiden vuoksi monitahoinen. Jos emme ota huomioon kaikkia näitä tekijöitä, turvaudumme todennäköisesti laastareihin asioissa, jotka vaativat perustavanlaatuisia muutoksia.

Yksityisyys todellakin on perusoikeus. Ennen kaikkea ”Safe Harbor” -järjestelmän romahdus heijastelee yksityisyyden suojan merkittävää kehittymistä. Oikeustapaus käynnistyi Irlannissa, jossa Dublinissa sijaitseva ylempi oikeusaste (”High Court”) ilmaisi huolensa siitä, voivatko eurooppalaiset yhä olla huoletta, kun heidän henkilötietojaan siirretään Yhdysvaltoihin, jossa viranomaisten mahdollisesti suorittama laajamittainen henkilötietojen kerääminen vaikuttaisi olevan ”vastoin Irlannin perustuslain suojaamia perusarvoja”. Nämä eivät ole vähäpätöisiä sanoja.

Monessa suhteessa tämä irlantilaisen tuomioistuimen päätös on seurausta pitkästä yksityisyyden suojan kehittymisvaiheesta, joka on jatkunut miltei toisesta maailmansodasta lähtien. Vuonna 1950 Euroopan neuvosto tunnusti yksityisyyden suojan olevan perusoikeus. Tämä näkemys on säilyttänyt tärkeän roolinsa osana eurooppalaista oikeutta siitä lähtien, ja oikeus yksityisyyden suojaan on sisällytetty myös Euroopan unionin perusoikeuskirjaan. Itse asiassa Euroopan tuomioistuimen tuoreen päätöksen ensimmäisessä kappaleessa kiinnitettiin huomiota perusoikeuskirjan turvaamaan ”henkilötietojen suojaan”.

Amerikkalaisten olisi helppo ajatella, että tämä kaikki heijastelee toisella mantereella vallitsevaa erilaista oikeudellista lähestymistapaa. Se olisi virhe. Yksityisyyden suojaa hallinnon sekaantumiselta on suojattu Yhdysvaltain perustuslaissa vuodesta 1791 lähtien, jolloin Fourth Amendment lisättiin perustuslakiin. Nykyään tuomioistuimet sekä Yhdysvalloissa että Euroopassa ovat liikkuneet yhtäläiseen suuntaan ja hyvästä syystä.

Viime vuonna Yhdysvaltain korkein oikeus päätti yksimielisesti, että poliisin täytyy hankkia oikeuden päätös ennen puhelimen sisällön tutkimista. Oikeuden mukaan ”nykyaikaiset matkapuhelimet eivät ole vain tekninen mukavuus. Kaikessa niiden sisältämässä ja kaikessa mitä ne saattavat paljastaa on myös monen amerikkalaisen ’yksityisin elämä’”.

Yhdysvaltain korkein oikeus pohti perustuslaillista suojaa, joka vaatii viranomaista hankkimaan kotietsintäluvan ennen henkilön talon tutkimista. Se totesi, että puhelimen tutkiminen ”tyypillisesti paljastaisi viranomaiselle enemmän kuin perinpohjaisinkaan kotietsintä. Puhelimessa on paitsi digitaalisessa muodossa monia arkaluontoisia tietoja, joita ennen löytyi kotoa, myös laaja kirjo yksityistä tietoa, jota ei ole koskaan löytynyt kotoa missään muodossa.”

Tämä on sekä merkittävää että täysin totta. Viimeisen kolmen vuosikymmenen aikana teknologia on muuttanut päivittäistä elämää niin paljon, että ihmiset säilyttävät nykyään enemmän tietoja taskussaan olevalla mobiililaitteella kuin aiemmin kotonaan. Kuten tiedämme, nämä tiedot eivät ole tallessa ainoastaan henkilön puhelimessa: arkaluonteinen tieto löytyy myös ”pilvipalvelusta”, mikä tarkoittaa datakeskuksia pitkin manteretta ja ympäri maailmaa.

Tämä muutos auttaa selittämään, minkä takia teknologia-alan ihmiset ovat yhä lisääntyvässä määrin nostaneet yksityisyyden suojan esille keskusteluun. Vain viikkoa ennen Euroopan unionin tuomioistuimen päätöstä Applen toimitusjohtaja Tim Cook totesi nimenomaisesti, että yksityisyyden suoja on perusoikeus. Minä sanoin saman asian Microsoftin puolesta puheessani Brysselissä viime tammikuussa. Microsoftin toimitusjohtaja Satya Nadella sanoi selkeästi yli vuosi sitten, että haluamme teknologian kehittyvän, mutta samalla ajattomien arvojen tulisi säilyä. Yksityisyys on ajaton arvo, joka ansaitsee säilyä.

Yksityisyyden suoja ei kuitenkaan voi säilyä, jos se muuttuu joka kerta, kun dataa siirtyy paikasta toiseen. Yksilöiden ei tulisi menettää perusihmisoikeuksiaan vain sen vuoksi, että heidän henkilötietonsa ylittävät valtion rajat. Vaikka asiaa ei ole ilmaistukaan aivan näin suoraan, tämä periaate on koko Euroopan unionin tuomioistuimen päätöksen taustalla, ja siinä on järkeä.

Lisäksi päivittäistä todellisuutta on, että dataa siirtävät yritykset ja valtioiden viranomaiset eivätkä yksityiset henkilöt. Yksilöt eivät ole tyypillisesti edes tietoisia siitä mihin heidän tietojaan siirretään tai missä niitä säilytetään. On kestämätöntä olettaa ihmisten luottavan mielikuvaan yksityisyyden suojasta, joka muuttuu joka kerta jonkun toisen siirrellessä heidän tietojaan. Mikään perusoikeus ei voi olla näin huteralla pohjalla.

Nämä huolenaiheet olisivat saattaneet muhia Euroopassa taka-alalla ilman viimeisen kahden vuoden paljastuksia. Irlannin ylempi tuomioistuin (“High Court”) Dublinissa ilmaisi kantansa avoimesti todetessaan, että Edward Snowdenin tekemät paljastukset olivat osoittaneet Yhdysvaltain viranomaisten ”massiivisen yliampumisen”. Kuten Euroopan unionin tuomioistuin pohti, tapaus on herättänyt todellista huolta siitä, että kun henkilötiedot on kerran siirretty Yhdysvaltoihin, saatetaan niihin hallinnon massakeräysten kautta päästä käsiksi ilman, että eurooppalaisilla olisi mitään oikeutta puolustaa itseään amerikkalaisessa tuomioistuimessa.

Käytännössä nämä paljastukset tarkoittavat, että Euroopan päättäjien tulee nyt arvioida uudelleen, onko eurooppalaisten tiedot suojattu niiden ylittäessä Atlantin yksityisyyden suojan kannalta tavalla, joka on ”olennaisesti saman tasoinen” kuin eurooppalaisten kotimaassaan nauttima oikeuksien taso. Mikäli näin ei ole, ei vuosisadan vaihteessa perustettua ”Safe Harbor” -järjestelmää voida elvyttää ilman uusia muutoksia. Kuten nyt on viranomaisille Atlantin molemmin puolin selvinnyt, tämä tarkoittaa sitä, että vanha turvasatamajärjestelmä täytyy korvata jollakin paremmalla.

Tarvitsemme maailmanlaajuisen Internetin. Oikeudellisesta näkökulmasta tämä haaste olisi mutkaton, jos dataa ei tarvitsisi siirtää ympäriinsä. Uudet lait voisivat yksinkertaisesti määrätä, että yksilöiden tietojen tulisi säilyä maan rajojen sisällä tai ehkä jopa yksilön henkilökohtaisissa mobiililaitteissa, joihin tietoa on tallennettu. Tämä kuitenkin merkitsisi paluuta digitaalisuuden pimeään aikaan.

Vaikka yhä enenevissä määrin on mahdollista varastoida dataa tiettyihin datakeskuksiin, kuluttajien henkilötietojen tulee silti ylittää valtioiden rajoja useanlaisissa tilanteissa asianmukaisista syistä. Kuvittele, että tehdessäsi ostosta verkkokaupasta sinulle ilmoitetaan, että ostoksesi on estetty, koska luottokorttitietosi tulee käsitellä jossain muualla. Kuvittele, että yrityksesi ostaa lentolippuja evätään, koska lentoyhtiö ei voi siirtää passitietojasi maahan, johon haluat matkustaa. Kuluttajina ja kansalaisina tarvitsemme lukuisia kertoja viikoittain jonkun siirtävän henkilötietojamme paikkoihin, joihin niihin kuuluukin siirtyä. Tulevaisuuden teknologiset innovaatiot tulevat keräämään henkilötietoja, jotta laitteet voisivat olla yhä hyödyllisempiä ihmisille.

Tämä kansainvälinen datan liikkuminen ei ole tärkeää pelkästään yksilöille, vaan myös yrityksille ja jopa valtioille. Oikeusasioista vastaava komissaari, Věra Jourová, ilmaisi asian osuvasti kommentoidessaan Euroopan unionin tuomioistuimen ratkaisua toteamalla, että ”on tärkeää, että transatlanttinen datavirta voi jatkua, koska se on taloutemme selkäranta.”

Vaikka valtionhallinnot saattaisivat määrätä, että kaikki henkilöiden data säilytetään aina yksilön omassa maassa, olisi tämä sama asia kuin pankkeja koskevien huolien ratkaiseminen sillä, että jokainen velvoitettaisiin säilyttämään rahansa patjan alla. 2000-luvun tarpeet vaativat paremman tavan.

Meidän tulee suojella kansalaisia. Käsitellyistä kysymyksistä tekee vielä monimutkaisemman kolmas elintärkeä tekijä: valtionhallinnon tulee suojella kansalaisiaan. Vaikka kriittiselle keskustelulle turvallisuuskysymysten hoitamisesta on lähes jatkuva tilaus, vallitsee kuitenkin laaja ja jopa maailmanlaajuinen yksimielisyys siitä, että yleisen turvallisuuden varmistaminen on yksi valtioiden tärkeimmistä tehtävistä. Lisäksi kummallakin puolella Atlanttia on vahva ymmärrys siitä, että elämme vaarallisia aikoja.

Tähän haasteeseen keskityttäessä yksi tämän päivän Internetin ristiriidoista tulee ilmeiseksi. Internetistä on tullut ihmisten pääasiallisin kanava jakaa ajatuksiaan ja kommunikoida toistensa kanssa. Kuten sähkettä, puhelinta ja muita edeltäneitä keksintöjä, ihmiset ovat käyttäneet myös uutta teknologiaa monella eri tavalla – tehdäkseen hyvää ja ajoittain aiheuttaakseen vahinkoja.

Jos aiomme pitää ihmiset turvassa fyysisessä maailmassa, meidän on pidettävä heidät turvassa myös digitaalisessa maailmassa. Mikäli viranomaiset aikovat estää ja tutkia yleisen turvallisuuden uhkia fyysisessä maailmassa, heidän tulee oikea-aikaisesti ja oikein mitoitetulla tavalla päästä käsiksi verkkoon tallennettuun dataan.

Yksityisyyden suojan Rubikin kuutio. Edellä kerrottujen periaatteiden yhdistämisestä seuraava monimutkaisuus on hätkähdyttävää. Meidän tulee suojata oikeutta yksityisyyteen perusoikeutena. Tarvitsemme maailmanlaajuisen Internetin. Meidän on turvattava kansalaisten turvallisuus. Näiden lisäksi meidän tulee löytää se oikeudellinen polku, joka toimii kummallakin puolella Atlanttia. Kaikki neljä kohtaa tulee tehdä yhdessä ja samanaikaisesti. Tämä on yksityisyyden suojan Rubikin kuutio.

Jotta pitkäaikainen ja kestävä lähestymistapa voidaan saavuttaa, tulee meidän ajatella tuoreella tavalla. Yhdysvaltain johtava yksityisyyden suojaa koskeva laki säädettiin 1986. Euroopassa voimassa olevat lait sijoittuvat samalle aikakaudelle. Viisitoista vuotta ennen 1900-luvun loppua kehitetyt lähestymistavat eivät yksinkertaisesti ole riittäviä viisitoista vuotta 2000-luvun alkamisen jälkeen. Maailma on muuttunut.

Kuten Rubikin kuutiossa, ratkaisu näyttää selvältä vasta kun se on valmis. Tähän päästäksemme meidän on otettava neljä askelta.

Ensinnä meidän on varmistettava, että Atlantin molemmin puolin ihmisten oikeudet liikkuvat datan mukana. Tämä on suoraviivainen ehdotus, joka vaatisi esimerkiksi Yhdysvaltain viranomaisten suostumista siihen, että he vaativat pääsyä Yhdysvaltoihin tallennettuihin, mutta Euroopan unionin kansalaiselle kuuluviin henkilötietoihin ainoastaan tavalla, joka noudattaa Euroopan unionin oikeutta ja päinvastoin.

Toiseksi tarvitaan uusi transatlanttinen sopimus, joka ei luo pelkästään ”Safe Harbor” -järjestelmää, vaan uudenlaisen yhteyden kahden sataman välille. Meidän tulee luoda Yhdysvaltain ja Euroopan viranomaisille nopeutettu prosessi, jonka avulla he voivat päästä käsiksi muiden maiden kansalaisten eri puolilla Atlanttia sijaiseviin henkilötietoihin toimittamalla lainvoimaisen pyynnön suoraan henkilön kotimaan asianomaiselle viranomaiselle. Tietoa pyytävä valtio pyrkisi pääsemään käsiksi tietoihin ainoastaan omien lakiensa rajoissa ja sen pyynnön tarkastaisi ripeästi henkilön kotivaltion viranomainen. Jos toimivaltainen viranomainen päättää pyynnön olevan yhteneväinen henkilön yksityisyyden suojan ja muiden paikallisten lakien kanssa, se vahvistettaisiin, mikä mahdollistaisi tiedon luovuttamisen.

Jos Yhdysvallat sitoutuisi noudattamaan tällaista prosessia Yhdysvaltoihin tallennettuun Euroopan unionin dataan, täyttäisi se Euroopan unionin tuomioistuimen asettamat oikeudelliset vaatimukset. Tuomioistuin edellyttää, että Euroopan unionin kansalaisten Yhdysvaltoihin siirretyn datan tulee nauttia sellaista suojaa, joka on ”oleellisesti samantasoinen” verrattaessa kotivaltiossa tarjottuun suojaan. Tämä lähestymistapa täyttäisi vaatimuksen täysin, koska jokaisen henkilön tietoihin sovellettaisiin aina hänen kotivaltionsa lakeja. Tämä prosessi toimisi myös kumpaankin suuntaan, joten siirrettäessä dataa Yhdysvalloista Eurooppaan, olisivat Yhdysvaltain kansalaiset yhä suojattuja Yhdysvaltain lakien ja Yhdysvaltain perustuslain periaatteiden nojalla.

Kolmanneksi poikkeus kyseiseen lähestymistapaan tulisi sallia , kun kansalaiset liikkuvat fyysisesti Atlantin yli. Esimerkiksi Yhdysvaltojen viranomaisten tulisi voida kääntyä yksinomaan yhdysvaltalaisten tuomioistuinten puoleen hankkiakseen dataa, kun Euroopan unionin kansalainen muuttaa Yhdysvaltoihin ja sama pätee eurooppalaisiin viranomaisiin, kun Yhdysvaltain kansalainen muuttaa Eurooppaan. Tämä on sekä yhteneväistä pitkäaikaisten oikeudellisten periaatteiden kanssa että käytännöllistä todellisuutta, sillä yleiseen turvallisuuteen liittyvät kysymykset korostuvat, kun yksilö on fyysisesti läsnä tietyllä hallintoalueella.

Neljänneksi on järkevää kaikkein poikkeuksellisimpia tilanteita lukuun ottamatta, että hallitukset Atlantin kummallakin puolella sitoutuvat hankkimaan pääsyn yrityksen tietoihin ainoastaan kyseisen yrityksen kautta siinäkin tapauksessa, että tieto sijaitsee pilvessä. Tämä lähestymistapa ilmentäisi yhtä keskeisintä nykyajan oikeudellista huolenaihetta, joka koskee erityisesti pilvipalveluihin turvautuneita yrityksiä.

Uusi tie eteenpäin. On olemassa muitakin yksityiskohtia ja monimutkaisuuksia, joita tulisi lisäksi pohtia. Niitä on aina. Tämä perustavanlaatuinen lähestymistapa ratkaisisi kuitenkin nykyisen oikeudellisen epäselvyyden selventämällä, että ihmiset eivät tule menettämään oikeuttaan yksityisyyteen, kun heidän dataansa siirretään valtion rajojen yli ja että on olemassa tehokas ja oikeudellisesti tarkoituksenmukainen perusta lainvalvonnalle päästä käsiksi dataan yleisen turvallisuuden ylläpitämiseksi.

Tämä lähestymistapa edellyttää myös, että valtiot vihdoin modernisoivat vanhoja lakejaan ja oikeudellisia prosessejaan. Jotkut viittaavat tähän haasteena ja heidän näkökannassaan on järkeä. Tämä on kuitenkin myös mahdollisuus, jonka aika on koittanut. Tässä kuussa vanha oikeusjärjestelmä romahti, mutta sen perusta oli murentunut jo kauan sitten. Jo vuosien ajan on ollut selvää, että uusi vuosisata tarvitsee uudet raamit yksityisyyden suojalle. Nyt on aika rakentaa ne.

*****

[1] Laki antaisi USA:n oikeusministeriölle toimivallan nimetä maat, joiden kansalaiset voivat saattaa oikeusturvansa edellyttämät asiat USA:n siviilituomioistuinten käsiteltäviksi.

Tags: ,