Ilmiö
Arvioitu lukuaika 12 min

Digitaalinen valta ulottuu luultua laajemmin arkeemme

Digivalta-selvityksen tuloksena kertyi yllättäviä käytännön esimerkkejä datan keräämisen ja leviämisen laajuudesta ja piirtyi entistä tarkempi kuva digitaalisen vallan moniulotteisuudesta. Ukrainan sota alleviivaa lisätiedon tarvetta digitaalisen vallan yhteydestä demokratian kestävyyteen.

Kirjoittajat

Tiina Härkönen

Johtava asiantuntija, Ohjelmat

Riitta Vänskä

Jukka Vahti

Johtava asiantuntija, Ennakointi ja koulutus

Julkaistu

Lokakuussa 2021 käynnistimme Digivalta-selvityksen, jossa 15 poliittista päätöksentekijää, toimittajaa ja vaikuttajaa (viidestä maasta) valmennettiin ottamaan oma datansa haltuun ja ymmärtämään sen kautta datatalouden lainalaisuuksia: kuka kerää heistä dataa, minne se leviää, ja miten sillä voidaan meihin vaikuttaa? Tavoitteena oli ymmärtää paremmin digitaalista valtaa ja vallankäyttöä: kuka on vauhdilla digitalisoituvassa maailmassa vaikuttaja ja kuka vaikutettava ja olemmeko digitaalisissa ympäristöissä enää itsenäisiä toimijoita?

Selvityksen data-analyysista ja testihenkilöiden datavalmennuksesta vastasi Hestia.ai. Datan haltuunottoon käytettiin kolmea keinoa. Osallistujat pyysivät tietosuoja-asetuksen Tietosuoja-asetus (GDPR) Asetus (EU) 2016/679 eli Euroopan unionin uusi tietosuoja-asetus (GDPR) säätelee yksilön, yrityksen tai organisaation tekemää henkilötietojen käsittelyä EU:ssa. Avaa termisivu Tietosuoja-asetus (GDPR) mukaisilla tietopyynnöillä yrityksiltä omaa dataansa tai latasivat sitä yritysten vapaaehtoisesti tarjoamista dataportaaleista. Lisäksi heidän käyttämiinsä testipuhelimiin ladattiin TrackerControl-sovellus, joka seurasi, mihin data leviää, kun päätöksentekijä käyttää puhelintaan.

Selvitykseen kuuluneessa datavalmennusohjelmassa tutkijat avustivat testihenkilöitä analysoimaan omia tuloksiaan vallan käytön näkökulmasta yksilötasolla ja analysoivat kokonaisuudessaan digijättien valtaa meihin kansalaisiin.

Tässä artikkelissa kerromme selvityksen kiinnostavimmista havainnoista, joista järjestetään myös webinaari 6. huhtikuuta. Pääset ilmoittautumaan tilaisuuteen verkkosivuillamme. Lopulliset tulokset suosituksineen julkaistaan selvityksen pohjalta tehtävässä loppuraportissa toukokuussa 2022.

Digitaalisen vallan luonne kiinnosti testihenkilöitä

Poliittiset päättäjät ja muut vaikuttajat olivat alusta alkaen kiinnostuneita selvityksestä puoluekannasta tai tehtävästä riippumatta. Mukaan pyydettiin edustajia lähes kaikista eduskuntapuolueista. Jos mukaan pyydetyn päättäjän oma aikataulu ei sallinut osallistumista, annettiin vinkki kiinnostuneesta puoluetoverista.

Päättäjien huolet selvitykseen lähdettäessä olivat samankaltaisia: datan keräämisestä ja käytöstä tiedetään aivan liian vähän ja sosiaalisen median alustojen vahvistama kuplautuminen nähtiin ongelmana. Datajättien liian suurta valtaa yhteiskunnassa pidettiin merkittävänä riskinä ja erityisesti oikeus yksityisyyteen sekä datajättien kasvava ote jokapäiväisestä elämästämme mietityttivät. Säätely koettiin yleisesti paitsi tarpeellisena myös haasteellisena. Monet pohtivat myös sitä, kuinka saada datatalouden mahdollisuudet ja hyödyt paremmin esiin.

”Riskinä on, että datan ja tietojen keräämistä käytetään negatiiviseen toimintaan, kuten ihmisten vapaan tietoisuuden manipulatiiviseen ohjaamiseen”, sanoi testihenkilönä ollut kristillisdemokraattien kansanedustaja Sari Tanus ennen selvityksen alkamista.

Yksilöitä koskevan datan keruun läpitunkevuus arjessa yllätti

Testihenkilöt olivat kaikki varautuneet siihen, että heistä kerätään paljon dataa. Koska Sitran aiemmassa selvityksessä 2019 oli jo kartoitettu digitaalisen mainonnan ekosysteemiä ja datan leviämisen laajuutta, ei ilmiö sinänsä ollut yllätys. Yllätykseksi muodostuikin se, kuinka laajaa, yksityiskohtaista ja fyysiseen maailmaan ulottuvaa datankeruu on. Myös huoli siitä, kuinka haavoittuvia poliittiset päätöksentekijät ovat verkossa, kasvoi selvityksen aikana, sillä selvitys toi esiin digitaalisen vallan moniulotteisuuden.

Selvityksessä esiin nousseet käytännön esimerkit kertoivat, että maailman suurimpien datajättien käsissä olevaa digitaalista valtaa voidaan käyttää tehokkaasti niin yksilöön kuin ihmisryhmiin vaikuttamiseen, teknologian kehityksen ohjaamiseen ja tulevaisuuden ennakointiin. Digitaalinen valta ulottuu selvityksen mukaan syvälle yhteiskunnan rakenteisiin ja se kasautuu. Mitä enemmän eri lähteistä tulevaa dataa toimija pystyy keräämään ja yhdistelemään, sitä monipuolisempia profilointeja sekä “karttoja” liikkumisestamme, ajatuksistamme, ostokäyttäytymisestämme ja mielenkiinnon kohteistamme on mahdollista laatia.

Kun joskus aiemmin on ajateltu, että fyysinen ja digitaalinen maailma ovat jotenkin hallittavissa erillisinä kokonaisuuksina, Digivalta-selvitys osoitti selvästi, kuinka erottamattomia fyysinen ja digitaalinen läsnäolo nyt ovat. Yhtenä esimerkkinä tästä oli europarlamentaarikko Miapetra Kumpula-Natrin käynti kivijalkaliikkeessä ostamassa kodinelektroniikkaa. Tieto ostoksesta henkilötietoineen lähetettiin yrityksestä eteenpäin sekä Googlelle että Facebookille henkilön tietämättä.

Samaisen kodinelektroniikkayrityksen sähköisen mainoskirjeen linkin klikkaaminen puhelimessa paljasti Kumpula-Natrin sijainnin loma-asunnolla, vaikka paikantamispalvelua ei käytetty. Tutkijoiden mukaan on mahdollista, että Gigantti tunnisti laitteen ip-osoitteen ja selvitti sijainnin sen avulla. Tässä tapauksessa testihenkilö ei tunnistanut tilannetta, jossa olisi antanut luvan seurata sijaintiaan.

Kumpula-Natrin pyytäessä tietojaan kodinelektroniikkayrityksessä, hänelle paljastui myös se, kuinka paljon yritys oli ostanut hänestä tietoja muilta, henkilötietojen keruuseen erikoistuneilta yrityksiltä. Esimerkiksi tiedot hänen oletetusta varallisuudestaan ja perhetilanteestaan oli hankittu muualta, vaikkakin monet tiedoista olivat epätarkkoja tai vääriä.

Kodinelektroniikkayrityksen massiivinen datankeruu, erilaisten historiatietojen tallentaminen ja ennen kaikkea tietojen levittäminen eteenpäin järkyttivät selvityksessä mukana olleita. Toisaalta kyseinen elektroniikkayritys suoriutui kaikista yrityksistä parhaiten siinä, kuinka tunnollisesti ja yksityiskohtaisesti se vastasi testihenkilön tietosuoja-asetuksessa annettujen oikeuksien mukaisiin tietopyyntöihin.

Yritysten tulisi rehellisesti kohdata omien toimintatapojensa puutteet

Huolestuttavinta laajamittaisessa datankeruussa on se, etteivät tavalliset kansalaiset sen enempää kuin poliittiset päättäjätkään voi vaikuttaa siihen kuin osittain. Osa yrityksistä on tietoisesti tehnyt oman datan kontrolloinnin ja siihen pääsyn vaikeaksi. Yritykset toimivat joskus jopa tiedostamattaan osana globaaleja datankeruun ekosysteemejä, koska niiden markkinointi- ja asiakasprosesseihin kuuluvat olennaisena osana esim. Facebookin ja Googlen kaltaiset suuret toimijat sekä muut digitaalisen mainonnan osapuolet.

Yksi testihenkilöistä oli Sitran yliasiamies Jyrki Katainen. Tiedoista, jotka hän pyysi suurelta vähittäiskaupan ketjulta, kertyi 172 sivua pitkä dokumentti. Valtaosa tiedosta oli ymmärrettävästi kaupan ja Kataisen välisen asiakassuhteen aikana kertyneitä ostos- ja muita tietoja. Yllättävämpää oli se, että kun Katainen etsi kaupan sovelluksesta spaghetti carbonaran reseptiä, tieto näyttää päätyneen Googlelle.

Aivan tavallisetkin yritykset syyllistyvät ns. pimeisiin toimintatapoihin (dark patterns), joiden avulla verkkopalveluissa hämätään yksilöä tietoisesti. Datan keräämisen lupia saatetaan kysyä epäselvillä ja monimutkaisilla tavoilla, jotka tekevät kieltäytymisestä hankalaa. Lupien laajuutta liioitellaan eli yritykset keräävät huomattavasti enemmän dataa kuin olisi tarpeellista. On vielä epäselvää, kuinka tietoisia yritykset ovat siitä, miten paljon asiakkaidensa dataa ne vuotavat yrityksensä ulkopuolelle. Aivan varmaa on, että vuosia kestäneiden toimintamallien poisoppiminen tulee olemaan vaikeaa.

Toimintamallien uudistaminen esimerkiksi läpinäkyvyyttä lisäämällä olisi pitemmällä aikavälillä yrityksille kannattavaa, sillä Suomen kaltaisen maan menestys datataloudessa edellyttää luottamusta eri osapuolten välillä. Yritysten kannattaisi keskittyä luottamuksen rakentamiseen itsensä ja asiakkaidensa välillä, jotta datan jakaminen yritysverkostoissa innovaatioiden synnyttämiseksi olisi tulevaisuudessa asiakkaille mieluisaa ja toisaalta yritysten omien datavarantojen arvo kasvaisi.

Poliitikot ovat alttiita verkkovaikuttamiselle

Selvityksen aikana moni testihenkilö pohti vuosien, jopa vuosikymmenien aikana heistä kerätyn datan määrää ja merkitystä sen suhteen, mitä tietoa ja sisältöä heille tarjoillaan. Itse kunkin eri alustoilla näkemä ja kokema sisältö perustuu alustatoimijan tekemiin valintoihin, jotka taas vaikuttavat siihen, millaiseen tietoon törmäämme. Tämän pitkäaikaista vaikutusta tietämykseemme ja asenteisiimme on vaikea arvioida.

Merkittävä havainto oli myös se, kuinka mainostajien näkyvyyteen tekemät investoinnit vaikuttavat yksilöille tarjoiltuun sisältöön esimerkiksi niin, että mainostajille hyödylliset keskustelunaiheet saivat Twitterissä enemmän näkyvyyttä kuin muut aiheet. Twitter siis ikään kuin ”jälleenmyi” omaa digitaalista valtaansa määritellä keskustelun agendaa.

Yrityksen toimialasta riippuen täysin laillista ja asianmukaista digitaalista mainontaa saatetaan käyttää myös poliittisiin päätöksentekijöihin ja heidän verkostoihinsa vaikuttamiseen. Esimerkkinä selvityksessä oli hävittäjälentokoneita valmistava yritys, jonka laaja Twitter-kampanja tavoitti lukuisia kertoja sekä rkp:n kansanedustaja Anders Adlercreutzin että Jyrki Kataisen. Selvitys ajoittui osin juuri Suomen hävittäjäkauppapäätöstä edeltäviin viikkoihin.

Sekä Adlercreutz että Katainen päätyivät mainonnan kohteiksi muun muassa seuraamiensa Twitter-profiilien perusteella. Twitter siis käyttää hieman yllättäen muiden kohdistamiskeinojen lisäksi luonnollisia henkilöitä kohdistamiskriteereinä. On syytä pohtia, tulisiko kohdistamiskriteerinä käytetyn henkilön tietää, mitä Twitter hänen profiilinsa avulla tekee. Vaikuttajan ja vaikutetun roolien välillä oleva raja on pysyvästi hämärtynyt.

Tilanne kuvastaa nykymallisen datatalouden ongelmallista suhdetta demokratiaan laajemminkin. Päättäjät eivät pysty näkemään, miten heistä kerätään dataa ja kuinka sitä hyödynnetään sekä myydään eteenpäin, eivätkä sitä näe kansalaisetkaan. Alustayhtiöt käyttävät merkittävää digitaalista valtaa, mutta eivät kanna siitä vastuuta, koska kenelläkään ei ole kokonaiskuvaa siitä, miten järjestelmä toimii.

Anders Adlercreutzin saamat tulokset saivat hänet pohtimaan muun muassa, mitä tarkempia tietoja amerikkalainen media, Washington Post, oli hänestä kerännyt. Datasta löytyi Clavis-niminen toimija, joka on Amazonin menestyksekkään suosittelukoneen inspiroima tuote. Washington Post on kerännyt listan Adlercreutzin lukemien juttujen sekä sisällöissä olleiden tiettyjen avainsanojen ja ilmaisujen perusteella hänen kiinnostuksen kohteistaan. Sen avulla Clavis suosittelee hyvällä tarkkuudella uusia sisältöjä. Lukija myös segmentoidaan käyttämällä hyödyksi kolmannen osapuolen dataa.

Suosittelua ei tehdä kuitenkaan vain toimituksellisista syistä, vaan työkalua käytetään myös myynnissä mainosten tehon mittaamiseen ja siten hinnoitteluun. Jeff Bezos osti Washington Postin vuonna 2013, joten kehitys näyttää luonnolliselta. Muutamassa vuodessa Amazon onkin onnistunut luomaan digitaalisen mainonnan kolmanneksi suurimman toimijan heti Googlen ja Facebookin jälkeen. Kaiken lisäksi palvelu kykenee yhdistämään dataa vaivattomasti myös Amazonin pilvipalvelujen kanssa.

Mediaa käyttävän yksilön kannalta yhteys näiden kahden yrityksen välillä saattaa tulla yllätyksenä. Mainonnan palvelua myydään lukuisille muille medioille ja yrityksille, joten henkilökohtaiset kiinnostuksen kohteet leviävät kenties laajemmalle kuin tulee ajatelleeksi.

Onko Ukrainan sota vedenjakaja? – Dataan liittyvään itsemääräämisoikeuteen kiinnitettävä huomiota niin yksilöiden kohdalla kuin kansallisesti

Ukrainan sodan ensimmäiset viikot ovat tehneet entistäkin näkyvämmiksi informaatioympäristöömme kohdistuvat, uudenlaiset uhat. Näkyviksi ovat tulleet kuitenkin myös tiiviisti verkottuneiden yhteiskuntien tarjoamat mahdollisuudet uudenlaisiin toimintamalleihin, esimerkiksi vapaaehtoistoimintaan perustuvan avun organisoimiseen sodan uhreille. On esitetty arvioita, että elämme parhaillaan keskellä ”ensimmäistä suurta informaatiosotaa”, joka on jatkunut ainakin vuodesta 2014 asti. Koska informaatioympäristöön liittyvät jännitteet ovat kasvaneet samaan aikaan, kun yhä isompi osa arjestamme tapahtuu erilaisissa digiympäristöissä, kysymys datan keräämisen ja hyödyntämisen läpinäkyvyydestä on entistäkin tärkeämpi.

Demokratian tulevaisuuden kannalta ydinkysymys on, miten voisimme siirtyä ”digitaalisesta harvainvallasta” kohti ”digitaalista kansanvaltaa”, jossa meillä kaikilla olisi nykyistä parempi näkymä ja kontrolli meistä kerättävään dataan sekä työkaluja hyödyntää tätä dataa haluamillamme tavoilla. Sama pätee laajemmassa mittakaavassa myös kokonaisiin kansakuntiin ja myös datatalouden kehittämisessä pahasti jälkeen jääneeseen Eurooppaan suhteessa esimerkiksi Yhdysvaltoihin ja Kiinaan.

Jo ennestään on tiedetty, että nykymallinen, monopolistinen ja läpinäkymätön, datatalous toimii pullonkaulana datan laajalle hyödyntämiselle talouden ja yhteiskunnan uudistamiseen. Digivalta-selvityksen tulokset ja Ukrainassa käytävä sota alleviivaavat molemmat osiltaan, että datan läpinäkymättömään keräämiseen ja hyödyntämiseen perustuva digitaalinen valta on uhka myös kansalliselle itsemääräämisoikeudellemme. Samalla on kuitenkin tärkeä nähdä myös tämän digitaalisen, verkostomaisen vallan potentiaali demokratiaa uudistavana voimana.

EU:n tietosuoja-asetus ei käytännössä toimi vieläkään

Datan hyötyjen levittämiseen nykyistä laajemmalle yhteiskuntaan ja nykyistä useammille yrityksille tarvitaan toimivia pelisääntöjä. EU:n tietosuoja-asetus (GDPR) astui voimaan neljä vuotta sitten, eikä kansalaisen asema oman datansa suhteen ole vieläkään kunnossa. Laki sinänsä suojelee EU-kansalaisia, mutta käytännön työkalut esimerkiksi yksilödatan keräämisen ja käyttämisen hallintaan puuttuvat ja erityisesti suuret alustayhtiöt suhtautuvat lain noudattamiseen räikeän välinpitämättömästi.

Tästä hyvänä esimerkkinä oli Sitran oman testihenkilön, Riitta Vänskän väsytyskamppailu Facebookin kanssa. Käyttääkseen GDPR:n mahdollistamia oikeuksiaan Vänskä lähetti yli viisi viikkoa kestäneen viestinvaihdon aikana seitsemän eri viestiä Facebookille.

Facebook ohjasi Vänskän yhä uudelleen yleiseen dataportaaliinsa, vaikka pyydettyä tietoa ei ollut siellä saatavilla ja pyynnön yksityiskohdat oli eritelty viesteissä selkeästi. Kolme viesteistä joutui toistamaan samaa asiaa: Facebookin yleinen dataportaali ei anna riittävästi tietoa, vaan yrityksen on toimitettava kaikki asianmukaiset tiedot tietopyynnön tekijälle. Yrityksen neljäs yhteydenotto oli yhdeksän A4-sivun mittainen viesti, jossa yksittäinen linkki saattoi olla seitsemän riviä pitkä.

Artikkelin kirjoittamisen aikaan tietopyynnön tekemisestä on jo yli kaksi kuukautta, eikä Facebook ole edelleenkään toimittanut tietoja asetuksen mukaisesti. Facebook vastasi pyyntöihin viisi eri kertaa, mutta toimintatapana olivat ylipitkät sähköpostit sekä tietopyynnön tekijän ohjaus yhä uudelleen monimutkaisiin, lukuisia linkkejä sisältäviin, yleisiin tietoihin. Lopuksi yritys totesi, ettei se toimittaisi enää uutta tietoa ja että oman tulkintansa mukaan Facebook noudattaa lakeja.

Vaikka selvityksen tekijät ovat alueensa asiantuntijoita, oli asioiminen yritysten kanssa useimmiten vaikeaa ja aikaa vievää. Valtaosa selvityksessä kohteiksi valituista yrityksistä jätti joko vastaamatta kokonaan tietopyyntöihin tai sitten ne vastasivat puutteellisesti. Tyypillisesti vastauksista jätettiin pois olennaisia tietoja esimerkiksi ulkopuolelta ostetusta datasta tai henkilöstä kerätyn datan avulla johdetusta tiedosta ja profiloinnista.

Kansalaisilta puuttuvat toistaiseksi vielä työkalut ja selkeät ohjeet toimia yritysten kanssa, jotta oikeus hallita omaa dataa toteutuisi lainmukaisesti. Päätöksentekijät ovat lainsäätelyssä vielä puolitiessä. Aivan ensimmäinen vaatimus reilun datatalouden synnylle on aidon läpinäkyvyyden vahvistaminen.

Tilanne on huolestuttava, sillä Digivalta-selvityksen perusteella kehitys on kahden viimeksi kuluneen vuoden aikana polkenut paikallaan.

Sitra selvitti yksilön dataoikeuksien toteutumista ja tietosuoja-asetuksen toimivuutta ensimmäisen kerran jo vuoden 2019 lopussa toteutetussa Digijälkiselvityksessä. Siinä kuusi testihenkilöä selvitti, kuinka paljon meistä kerätään dataa ja toisaalta, kuinka monelle toimijalle dataa kertyy kahden viikon aikana. Hankkeessa selvitettiin myös miten silloin puoli vuotta voimassa ollut EU:n tietosuoja-asetus (GDPR) antaa läpinäkyvyyttä ja kontrollia datan keräämiselle ja käytölle.

Selvityksen löydöksinä oli muun muassa se, että dataa kerätään erittäin paljon ja sitä siirtyi varsinaisen palveluntarjoajan kautta lukuisille kolmansille osapuolille, joista yli 70 prosenttia oli amerikkalaisia yrityksiä. Enimmillään dataa siirtyi yhdeltä testihenkilöltä kahden viikon aikana 135 kolmannelle osapuolelle eli palvelun käyttäjän näkökulmasta ulkopuoliselle, näkymättömälle taholle.

Mistä on kyse?