Privaatsuskaitse%20tehnoloogiate%20kontseptsioon%20%281%29.pdf

Type: Document | Status: ready
← All sources

Avalik Privaatsuskaitse tehnoloogiate kontseptsioon Aruanne Versioon 1.1 31.03.2023 ID D-16-175

ID D-16-175 Avalik Projektijuhid: Liina Kamm (Cybernetica AS) Nele Nisu (Majandus- ja Kommunikatsiooniministeerium) Autorid: Dan Bogdanov (Cybernetica AS) Eduardo Brito (Cybernetica AS) Paula Etti (Cybernetica AS) Liina Kamm (Cybernetica AS) Peeter Laud (Cybernetica AS) Tanel Mällo (Cybernetica AS) Andre Ostrak (Cybernetica AS) Kati Sein (Cybernetica AS) Riivo Talviste (Cybernetica AS) Maria Toomsalu (Cybernetica AS) Cybernetica AS, Mäealuse 2/1, 12618 Tallinn, Estonia. E-post: [email protected], Veebileht: https://www.cyber.ee , Telefon: +372 639 7991 . © Majandus- ja Kommunikatsiooniministeerium, 2023 Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 2 / 138 ID D-16-175 Avalik Sisukord 1 Sissejuhatus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 1.1 Motivatsioon. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 1.2 Uuringu lühitutvustus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 1.3 Dokumendi käsitlusala . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.4 Mõisted . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1.5 Alusmaterjalid. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.6 Aruande struktuur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2 Millist kasu saab digiühiskond privaatsustehnoloogiate rakendamisest? . . . . . . 11 2.1 Privaatsustehnoloogiad on digiühiskonna arengu üks alus . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.2 Privaatsustehnoloogiad võimaldavad uute teenuste loomist . . . . . . . . . . . . . . . . . . . . . . . 11 2.3 Privaatsustehnoloogiad kaitsevad ka ettevõtete andmeid . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.4 Privaatsustehnoloogiad toetavad lõimitud andmekaitset . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.5 Lõimitud ja vaikimisi andmekaitse on osa süsteemide loomulikust arengust . . . . . . . . . . 13 3 Privaatsuskaitse tehnoloogiate rakendamise kontseptsioon . . . . . . . . . . . . . . . . . . 15 3.1 Privaatsustehnika roll süsteemide elutsüklis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 3.2 Eesti digiriigi süsteemide lihtsustatud elutsükkel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 3.3 Privaatsustehnika rakendamine elutsükli etappides . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 3.3.1 Privaatsustehnika ülesande sõnastamisel ja eelanalüüsil . . . . . . . . . . . . . . . . . . . . . . . . 16 3.3.2 Privaatsustehnika talitluse ja mõjude analüüsil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 3.3.3 Privaatsustehnika süsteemianalüüsi ja arhitektuuri etapis . . . . . . . . . . . . . . . . . . . . . . . . 18 3.3.4 Privaatsustehnika teostamisel, testimisel ja juurutamisel . . . . . . . . . . . . . . . . . . . . . . . . 19 3.3.5 Privaatsustehnika auditi ja hindamise käigus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.3.6 Privaatsustehnika süsteemi kasutuselt kõrvaldamisel . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 3.4 Etapist sõltumatud soovitused . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 3.4.1 Privaatsustehnika rakendamise korraldamine hangitavates töödes . . . . . . . . . . . . . . . . 20 3.4.2 Üldised soovitused privaatsusmõjude ja riskide analüüsiks . . . . . . . . . . . . . . . . . . . . . . 21 3.4.3 Privaatsustehnika teadmuse kogumine ja haldus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.4.4 Privaatsustehnika seosed info- ja küberturbega . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 3 / 138 ID D-16-175 Avalik 4 Privaatsuskaitse tehnoloogiad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 4.1 Privaatsuskaitse tehnoloogiate kategooriad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 4.2 Andmete kaitse infosüsteemides ja analüütilisel töötlemisel . . . . . . . . . . . . . . . . . . . . . . . 25 4.2.1 Pseudonüümimine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4.2.2 Anonüümimine. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.2.3 Piirangutega päringuliidesed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 4.2.4 Analüütiku töökohad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 4.2.5 Diferentsiaalprivaatsus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 4.2.6 Liitõpe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 4.2.7 Sünteetiliste andmete genereerimine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 4.2.8 Usaldatavad täitmiskeskkonnad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 4.2.9 Homomorfne krüptograafia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 4.2.10 Turvaline ühisarvutus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 4.3 Identiteedi ja tõendustehingute kaitse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 4.3.1 Pimesignatuurid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 4.3.2 Rühma- ja ringisignatuurid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 4.3.3 Atribuutkrüptograafia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 4.3.4 Nullteadmustõestused . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 4.4 Anonüümne side ja tehingud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 4.4.1 Turvaline vestlus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 4.4.2 Mikservõrgud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 4.4.3 Sibulmarsruutimine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 4.5 Läbipaistvust toetavad tehnoloogiad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 4.5.1 Läbipaistvuse tehnoloogiate iseärasused . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 4.5.2 Dokumenteerimine, logimine ja osapoolte teavitamine . . . . . . . . . . . . . . . . . . . . . . . . . . 85 4.5.3 Kasutustingimuste arusaadavuse parandamine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 4.6 Sekkutavust toetavad tehnoloogiad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 4.6.1 Sekkutavuse tehnoloogiate iseärasused . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 5 Teiste riikide kogemused ja rakendused . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 5.1 Ameerika Ühendriigid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 5.1.1 Ameerika Ühendriikide ja Ühendkuningriigi PET programm . . . . . . . . . . . . . . . . . . . . . . . 94 5.1.2 Privaatsuskaitse tehnoloogiad õigusaktides . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 5.1.3 Rahvaloenduse anonüümitud ja avaandmetena avaldatud tulemite tagasituvastami- ne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 4 / 138 ID D-16-175 Avalik 5.1.4 Diferentsiaalprivaatsusega rahvaloendus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 5.1.5 Turvalise ühisarvutuse kasutamine palgalõhe uurimisel . . . . . . . . . . . . . . . . . . . . . . . . . . 96 5.1.6 Ameerika Ühendriikide tehnoloogiafirmade aktiivsus PETide rakendamisel . . . . . . . . . 98 5.1.7 Teadus- ja standardimisprogrammid ning nende tulemid . . . . . . . . . . . . . . . . . . . . . . . . 99 5.2 Holland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 5.2.1 Privaatsuskaitse tehnoloogiad riigi teekaardil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 5.2.2 Teadus- ja standardimisprogrammid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 5.2.3 Privaatsuskaitse tehnoloogiad statistikas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 5.2.4 Privaatsuskaitse tehnoloogiate pilootprojektid tervishoiusektoris . . . . . . . . . . . . . . . . . 102 5.2.5 Energiatarbimise prognoosimine ja tasakaalustamine . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 5.3 Jaapan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 5.3.1 Privaatsuskaitse tehnoloogiate arendajate liit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 5.3.2 Andmekaitseõiguse ja privaatsuskaitse tehnoloogiate alane teavitustöö . . . . . . . . . . . 102 5.4 Kanada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 5.4.1 Kanada on lõimitud privaatsuse kodumaa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 5.4.2 Andmekaitseagentuuri tugev roll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 5.4.3 Tugev kontroll murujuuretasandil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 5.4.4 Sünteetilised teisikud terviseandmetest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 5.4.5 Privaatsuskaitse tehnoloogiad riiklikus statistikas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 5.5 Prantsusmaa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 5.5.1 CNIL toetav roll privaatsuskaitse tehnoloogiate juurutamisel . . . . . . . . . . . . . . . . . . . . . 104 5.5.2 Prantsusmaa suveräänne tehnoloogiaarendus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 5.5.3 Liitõppe rakendamine terviseuuringutel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 5.6 Singapur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 5.6.1 Privaatsuskaitse tehnoloogiate liivakast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 5.6.2 Innovatsioon COVID-19 lähikontaktide tuvastamisel . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 5.7 Ühendkuningriik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 5.7 .1 Ameerika Ühendriikide ja Ühendkuningriigi PET programm . . . . . . . . . . . . . . . . . . . . . . . 105 5.7 .2 Teadus- ja standardimisprogrammid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 5.7 .3 Liitõppe ja diferentsiaalprivaatsuse prototüüpimine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 5.7 .4 Sünteetilised andmed ja diferentsiaalprivaatsus statistikas . . . . . . . . . . . . . . . . . . . . . . 106 5.8 Šveits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 5.8.1 Nullteadmus ja mikservõrgud internetihääletuses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 5.8.2 Hajutatud COVID-19 lähikontaktide tuvastamise süsteem DP-3T . . . . . . . . . . . . . . . . . 107 Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 5 / 138 ID D-16-175 Avalik 5.8.3 Homomorfne krüptograafia Šveitsi meditsiiniasutuste võrgus . . . . . . . . . . . . . . . . . . . . 107 6 Privaatsukaitse tehnoloogiate rakendusvõimalused e-riigis . . . . . . . . . . . . . . . . . . 109 6.1 Turvalised andmeruumid e-teenustele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 6.2 Privaatne andmete linkimis- ja analüüsiteenus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 6.3 Avaandmete teenused . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 6.4 Andmebaasi avaldamine avaandmetena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 6.5 Sünteetiline digitaalne kaksik riigi andmetest ja teenustest . . . . . . . . . . . . . . . . . . . . . . . . 117 6.6 Privaatne sündmuste logimine ja logide analüüs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 6.7 Tunnuste ja/või omaduste tõestamine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 6 / 138 ID D-16-175 Avalik 1 Sissejuhatus 1.1 Motivatsioon Mis oleks, kui Eesti oskaks ehitada mitmete inimeste või organisatsioonide andmete peal põhine- vaid teenuseid sama turvaliselt kui üksikisiku teenuseid üle X-tee? Kui andmete töötlemisel oleks tagatud läbipaistvus ja privaatsus? Kui andmeid oleks võimalik erinevate osapoolte vahel töö- delda ilma üksikisikule viitavaid andmeid avaldamata? Millised uued võimalused sellisest võime- kusest Eestile avaneda võiksid? Eesti on tuntud kui riik, kus rakendatakse laialdaselt tehnoloogiat. Andmete kogumise ja töötle- mise suurenemisega muutuvad privaatsusküsimused üha olulisemaks. Turvaline andmekasutus, näiteks privaatsuskaitse tehnoloogiate rakendamine lõimitud andme- kaitse osana, võimaldaks arendada uusi kvaliteetseid e-riigi teenuseid ja viiks ühtlasi lähemale inimkesksemale e-valitsemisele. Nii on võimalik muuta protsesse efektiivsemaks ja hoida kokku nii ajalist kui ka rahalist ressurssi. Näiteks oleks võimalik määrata inimestele toetuseid vajadus- põhiselt vastavalt nende tegelikele kuludele, ühendades selleks avaliku ja erasektori andmeid. Lisaks eelnevale võimaldaks turvaline andmekasutus ja sellel põhinev andmete analüüs tuge riigijuhtidele läbimõeldud otsuste langetamiseks. Veelgi enam, teaduskoostöö uute tervishoiu-, finants- või muude teenuste loomiseks riigi, tea- dusasutuste ja ettevõtete vahel edeneks nii Eesti sees, Euroopas kui ka väljaspool. Erasekto- ris ja teadusasutustes oleks tänasega võrreldes võimalik oluliselt ulatuslikumalt töödelda and- meid, tagades inimeste privaatsus, uuringuteks, teenuste osutamiseks ja andmepõhiseks otsus- tamiseks. See pakuks ainest ka uute äriideede sünniks ja aitaks kaasa uute ettevõtete loomisele, aidates kaasa uute e-residentide ja ettevõtete tekkimisele, tooks riigile maksutulu ja välisinvesteeringuid ning hoiaks Eesti tugevat digiriigi kuvandit. Lisaks toetaks privaatsusküsimuste lahendamine andmemajanduse kasvu läbi ulatuslikuma and- mete kasutuse ja väärindamise. Üldiselt võib privaatsuskaitse tehnoloogiate rakendamine Eestis viia turvalisema ja usaldusväärsema digitaalse keskkonna loomiseni, mis soodustab innovatsioo- ni, digiriigi arengut ja ettevõtlust, samal ajal kaitstes inimeste õigusi. Nende unistuste täitmiseks on teadlased ja insenerid aastaid arendanud privaatsuskaitse teh- noloogiaid (ingl k privacy enhancing technologies, edaspidi lühendina PET). 1.2 Uuringu lühitutvustus 2022. aastal algatatud Eesti privaatsuskaitse tehnoloogiate uuringul on kaks väljundit.

  1. Privaatsuskaitse tehnoloogiate kontseptsioon (see dokument) kirjeldab tehnoloogiaid ja pa- kub nende rakendamiseks e-riigis üldised mudelid ning kontseptsiooni.

Privaatsuskaitse tehnoloogiate Eestis rakendamise teekaart kirjeldab intervjuude põhjal Eesti avaliku sektori asutuste kogemusi privaatsuskaitse tehnoloogiatega, nende vajadusi ning pakub välja arenduse teekaardi 2023. aasta seisuga. Uuringu lugeja võib valida, millisest dokumendist ta uuringu tulemitega tutvumist alustab. Raken- damise kontseptsioonist alustaja saab teada, kuidas privaatsuskaitse tehnoloogiad töötavad, Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 7 / 138

ID D-16-175 Avalik kuidas neid teistes riikides kasutatud on ning milliseid e-riigi probleeme need lahendavad. Mis veelgi tähtsam – rakendamise kontseptsioon kirjeldab, kuidas organisatsioon saab oma aren- dustsüklis privaatsuskaitse tehnoloogiaid kasutusele võtta. Teekaardist alustades saab lugeja kõigepealt teada, milliseid privaatsuskaitse tehnoloogiaid Ees- tis kasutatud on ja millised on avaliku sektori organisatsioonide vajadused. Dokumendi lõpus olev arendusplaan aitab koostada tööplaane ning teha otsuseid investeeringute vajaduse kohta. 1.3 Dokumendi käsitlusala Privaatsuskaitse tehnoloogiad 1 (ingl k privacy enhancing technologies , PET) on info- ja side- tehnoloogilised meetmed, tooted või teenused, mis kaitsevad privaatsust andmete välistuse või vähendamisega või isikustatavate andmete tarbetu ja/või soovimatu töötluse vältimisega, samas säilitades süsteemi võimed. PETide rakendamine võib kaitsta ka riikide, ettevõtete ja kõikvõi- malike teiste osapoolte andmeid, sh konfidentsiaalset informatsiooni ja äri- või riigisaladusi. Laiemas plaanis on oluline silmas pidada, et vahel peetakse privaatsust ja andmekaitset (või infoturvet) sünonüümideks ning seetõttu nähakse andmete kogumise ja/või töötlemise kontrol- limist, välistamist või vähendamist peamiste privaatsuskaitse lahendustena. Samas on oluline pöörata tähelepanu eetika ja isiku autonoomia aspektidele, mida infoturbenõuded ei kata. Euroopa Liidu põhiõiguste harta 2 eristab privaatsust ja andmekaitset selgelt (vastavalt harta artiklid 7 ja 8). Lühidalt lähtub privaatsus reeglina üksikisiku vaatenurgast, kelle huvi on välti- da liigset sekkumist tema eraellu. Andmekaitse seostub samas pigem organisatsioonide huviga käitada enda toimimiseks vajalikke protsesse kooskõlas kehtivate seadustega, et minimeerida regulatsioonidega vastuollu minekuga kaasnevaid äririske. Terviklikumalt hõlmab erinevate osapoolte huve privaatsuskaitse tehnoloogiate aluseks olev pri- vaatsuseesmärkide käsitlus, mis lisaks peamiselt andmekaitsega seonduvale andmete seosta- matusele (isikustatavuse välistamine/vähendamine, ingl k unlinkability) hõlmab ka andmetööt- luse läbipaistvuse (ingl k transparency) ja sekkutavuse (inimese kui andmesubjekti võimalused andmetöötluse katkestamiseks, ingl k intervenability) tagamist [ 1]. Neid kolme privaatsuseesmärki tuleb käsitleda eraldiseisvalt kolmest klassikalisest teabe tur- valisuse komponendist, milleks on konfidentsiaalsus (ingl k confidentiality), terviklus (ingl k in- tegrity) ja käideldavus (ingl k availability). Nii tagatakse, et konkreetne IT-süsteem arvestab pa- remini oma organisatsiooniliste ja sotsiaalsete dimensioonidega, st ümbritseva maailmaga ning inimkesksusega. Privaatsuskaitse tehnoloogiate arendamisel on eesmärgina kõige suuremat tähelepanu pälvinud andmete seostamatus, kuna see toimib andmete väärkasutamise esmase kaitseliinina [ 1] ning hõlmab ühtlasi rakenduslikus mõttes kõige küpsemaid tehnoloogiaid. Standardtingimustel korrektselt juurutatuna vähendavad andmete seostamatust tagavad lahen- dused olulisel määral privaatsusriive riske [ 2]. Seetõttu käsitleb ka käesolev ülevaade esma- järjekorras just neid privaatsuskaitse tehnoloogiaid. Läbipaistvust ja sekkutavust võimaldavate lahenduste ehitamine tähendab loodavale teenusele uute kasutuslugude ja funktsionaalsuse li- 1Erinevates eestikeelsetes dokumentides kasutatakse ka termineid privaatsust säilitavad tehnoloogiad ning pri- vaatsustehnoloogiad. Selguse huvides kasutame selles aruandes läbivalt terminit privaatsuskaitse tehnoloogia(d), mis on käsitletav eelnimetatud terminite sünonüümina, kuid on mõistena tunnustatud ka andmekaitse ja infotur- be leksikonis AKIT. – Internetis: https://akit.cyber.ee/term/13759-privaatsuskaitse-tehnoloogia (viimati külastatud 01.03.2023). 2Euroopa Liidu põhiõiguste harta, https://fra.europa.eu/et/eu-charter (viimati külastatud 01.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 8 / 138 ID D-16-175 Avalik samist. Nende funktsioonide ehitamiseks on olemas toetavaid tehnoloogiaid, kuid ennekõike peavad nad olema tugevalt integreeritud loodava süsteemi või teenuse talitlusloogikaga. Eelnevast lähtudes on selles aruandes fookus privaatsuskaitse tehnoloogiatel, mis tagavad seostamatust. Läbipaistvuse ja sekkutavuse toetamiseks vajalikke tehnoloogiaid on loetletud vähemal määral. Nende kahe privaatsuseesmärgi saavutamiseks soovitame läheneda läbi süs- teemide ja teenuste arendusprotsessi. 1.4 Mõisted konfidentsiaalsus (ingl k confidentiality) üks teabe turvalisuse kolmest põhikomponendist; andmete omadus, mis näitab, mil määral need andmed ei ole volitamata isikutele, protsessidele või muudele olemitele kättesaadavad ega avalikustatud; käideldavus (ingl k availability) üks teabe turvalisuse kolmest põhikomponendist; omadus olla volitatud olemi nõudel õigel ajal kättesaadav ja kasutuskõlblik; lõimitud andmekaitse (ingl k data protection by design) asjakohaste tehniliste ja korralduslike meetmete rakendamine nii, et saab tõhusalt rakenda- da andmekaitsepõhimõtteid; vajalike kaitsemeetmete lõimimine isikuandmete töötlemisse, et täita Euroopa Liidu isikuandmete kaitse üldmääruse (edaspidi IKÜM) 3 nõudeid ja kaitsta andmesubjektide õiguseid; läbipaistvus (ingl k transparency) süsteemi või protsessi avatus ja jälitatavus; omadus, mis tagab, et kogu privaatsust puu- dutav andmetöötlus, sealhulgas õiguslik, tehniline ja korralduslik külg oleks arusaadav ja ennistatav; privaatsuskaitse tehnoloogia(d) (ingl k privacy enhancing technologies) info- ja sidetehnoloogilised meetmed, tooted või teenused, mis kaitsevad privaatsust isi- kustatavate andmete välistuse või vähendamisega või isikustatavate andmete tarbetu ja/või soovimatu töötluse vältimisega, samas säilitades süsteemi võimed; privaatsuslõime (ingl k privacy by design) süsteemitehniline käsitlusviis, mis arvestab privaatsust kogu süsteemi elutsüklis ning näeb ette privaatsusnõuete esitamist süsteemide, tehnoloogiate, äritavade jms spetsifikatsiooni- des, võrdle ka mõistega ”lõimitud andmekaitse”; privaatsustehnika (ingl k privacy engineering) distsipliin, mis keskendub juhistele, kuidas vähendada privaatsusriske ning põhjendada ot- suseid ressursside paigutamiseks ja meetmete toimivaks teostuseks infosüsteemides; sekkutavus (ingl k intervenability) omadus, mis tagab, et privaatsust puudutavasse kogu andmetöötlusse saavad sekkuda ko- haldatavate õigusaktide tingimustel andmesubjektid, isikutuvastusteabe korraldajad, isiku- tuvastusteabe töötlejad, järelevalveorganid; seostamatus (ingl k unlinkability) ründe või privaatsuse kontekstis on huviobjektid süsteemis seostamatud, kui nende uurimine väljastpoolt ei anna lisateavet nende võimaliku seotuse kohta; 3Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27 . aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) [ 3]. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 9 / 138 ID D-16-175 Avalik terviklus (ingl k integrity) üks teabe turvalisuse kolmest põhikomponendist; varade õigsuse ja täielikkuse kaitstus; vaikimisi andmekaitse (ingl k data protection by default) tehnilised ja korralduslikud meetmed tagamaks, et töödeldaks üksnes iga konkreetse tööt- lusotstarbe jaoks vajalikke isikuandmeid. 1.5 Alusmaterjalid Aruande koostamisel lähtusime järgmistest materjalidest:

  1. Arenguseire Keskus, Andmeühiskonna tulevik. Stsenaariumid aastani 2035 [4];
  2. Majandus- ja Kommunikatsiooniministeerium, Eesti digiühiskond 2030 [5];
  3. Ühendkuningriigi akadeemia The Royal Society aruanne From privacy to partnership: The role of privacy enhancing technologies in data governance and collaborative analysis [6];
  4. Ühendkuningriigi andme-eetika ja -innovatsioonikeskuse CDEI aruanne Privacy Enhanching Technologies Adoption Guide [7];
  5. ÜRO komitee United Nations Committee of Experts on Big Data and Data Science for Official Statistics aruanne United Nations Guide on Privacy-Enhancing Technologies for Official Statistics [8];
  6. Erinevate valdkondade teaduskirjandus (täielik ülevaade dokumendi lõpus bibliograafias). 7 . Erinevad standardid (täielik ülevaade dokumendi lõpus bibliograafias). 1.6 Aruande struktuur Peatükk 2 kirjeldab privaatsuskaitse tehnoloogiate kasutamise vajadust ning selle õiguslikke, tehnilisi ja sotsiaalseid aspekte. Aruanne lähtub Euroopa Liidu õigusruumist ning Eesti digiühis- konna arengukavast. Peatükk 3 selgitab, kuidas privaatsuskaitse tehnoloogiaid ning privaatsustehnikat üldiselt si- duda infosüsteemide ja teenuste elutsükliga. Oleme toetunud eeldusele, et digiühiskonnas on infosüsteemid oma elutsüklite erinevatel etappidel – mõned neist on juba küpsed ning teised alles kavandamisel. Peatükis kirjeldatud lähenemisviis on sobilik neile kõigile. Peatükis 4 kirjeldame aruandesse välja valitud privaatsuskaitse tehnoloogiaid ning nende õi- guslikke aspekte. Lisaks põhjalikule tekstilisele esitusele on peatükis ka iga tehnoloogia koh- ta üheleheküljeline kokkuvõte (koos joonisega), mida aruande lugejad saavad kasutada oma teadmusbaasi täiendamiseks, aga ka tehnoloogiate hindamise protsessis. Valitud tehnoloogia- te jaoks toome välja inspireerivad näited reaalse maailma rakendustest. Ka need ülevaated on aruandes esitatud lihtsustatud kujul, üheleheküljeliste illustreeritud tabelitena. Peatükk 5 annab ülevaate privaatsuskaitse tehnoloogiate juurutamise kogemustest teistes maa- ilma riikides. Ülevaates tuuakse välja arendusprogrammid, uuringud ja märkimisväärsemad ra- kendused. Peatüki eesmärk on jagada edulugusid ja kogemusi ning anda inspiratsiooni uute ra- kenduste loomiseks Eestis. Peatükis 6 esitame teenusemudeleid, mis saavad privaatsuskaitse tehnoloogiate kasutusele- võtuga paremad andmekaitsegarantiid. Need teenusemudelid täidavad privaatsuseesmärke – seostamatust, läbipaistvust ja sekkutavust – paremini, kui aruande kirjutamise hetkel levinud tehnoloogiad. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 10 / 138 ID D-16-175 Avalik 2 Millist kasu saab digiühiskond privaatsustehnoloogiate rakendamisest? 2.1 Privaatsustehnoloogiad on digiühiskonna arengu üks alus Eesti Vabariigi digiühiskonna arengukava aastani 2030 näeb inimeste põhiõiguste, sh privaatsu- se kaitset ühe põhimõttena [ 5]. Digiühiskonna üheks järgmiseks arenguhüppeks loeb arenguka- va inimkeskse digiriigi arengut. Konkreetsete tegevustena on plaanis andmejälgija ja nõusoleku- teenuse laiem juurutamine ning teadlikkuse tõstmine. Eraldi eesmärkideks on veel digilahendus- te usaldusväärsuse ning inimkesksuse tagamiseks vajalike riskihaldusmeetmete väljatöötamine ja digiteenuste omanike ja ehitajate suutlikuse arendamine, et nad suudaks pakkuda inimkesk- seid ja usaldusväärseid digilahendusi. Need tegevused aitavad omavahelises koostöös senisest paremini saavutada läbipaistvuse ja sekkutavuse privaatsuseesmärke. Avaramas, ühiskondlikus vaates saab indiviid nii võimaluse oma privaatsuse tagamisel aktiiv- se osapoolena tegutseda. Tekkiv avatud digiühiskond on eraldi väärtus ja indiviidist võib selles saada innovatsiooni toetaja. Lisaks peab arengukava privaatsuskaitse tehnoloogiate rakendamist oluliseks andmepõhise rii- givalitsemise ja andmete taaskasutuse saavutamisel. Konkreetse tegevusena plaanitakse riikliku privaatsuskaitse tehnoloogiate rakendamise programmi elluviimist. Nende tehnoloogiate raken- damisega saavutame parema läbipaistvuse ja sekkutavuse ning senisest palju tugevamal tase- mel seostamatuse. 2.2 Privaatsustehnoloogiad võimaldavad uute teenuste loomist Andmete taaskasutuses nähakse suurt potentsiaali nii üksikisiku, riigiasutuste kui erasektori tee- nuste arenduses kui ka andmepõhiste otsuste tegemisel. Üksikisikule saab tema andmete põhjal pakkuda sündmusteenuseid, vajaduspõhiseid toetuseid või ka personaalseid teenuseid. Avalikus sektoris loob andmete laialdasem kasutus võimaluse ressursside efektiivsemaks kasu- tuseks. Seda tänu menetluste automatiseerimisele ja andmetel põhinevale kvaliteetsemale po- liitikaotsuste kujundamisele. Erasektorile võivad avaliku sektori käsutuses olevad isikuandmed olla usaldusväärseks allikaks, millele tuginedes ehitada uusi teenuseid. Mõningad olulisemad valdkonnad, mis täna privaatsuskaitse tehnoloogiate süsteemsest raken- damisest võidaksid, on tervishoid, finants, haridus, internetiturundus, asjade internet ja avalik haldus. Toome ühe näite tervishoiu valdkonnast. Kuna isikute terviseandmeid käsitletakse tuge- vamat kaitset nõudvate eriliigiliste isikuandmetena, on nende teisene kasutus äärmiselt piiratud. Terviseandmete turvaline töötlemine võimaldaks lahendada tervishoius esinevaid probleemkoh- ti. Seetõttu on PETidest teadlikkuse tõstmine ning nende edukate rakenduslugude ja parimate praktikate jagamine kriitilise tähtsusega. Terviseandmete taaskasutus ei tohi tulla isikute eraelu kaitse arvelt ja seda positsiooni toetavad nii IKÜM, Euroopa andmestrateegia4, Euroopa andmehalduse määrus5 kui ka Euroopa digiturgu- 4Euroopa Komisjon, Euroopa andmestrateegia, https://commission.europa.eu/strategy-and-policy/ priorities-2019-2024/europe-fit-digital-age/european-data-strategy_et (viimati külastatud 01.03.2023) [9]. 5Euroopa Parlamendi ja nõukogu määrus (EL) 2022/868, 30. mai 2022, Euroopa andmehalduse kohta ning millega muudetakse määrust (EL) 2018/1724 (andmehalduse määrus) https://data.europa.eu/eli/reg/2022/868/oj Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 11 / 138 ID D-16-175 Avalik de määrus6. IKÜMi lõimitud andmekaitse printsiibi järgimine nõuab asjakohaste tehniliste meet- mete rakendamist kõrge riskiga andmetöötluses, sh eriliigiliste andmete nagu terviseandmete ja geeniandmete töötlemisel. 7 Isiklike terviseandmete näitel on igaühel lihtne kujutleda sedagi, milline väärtus oleks sellel, kui andmete töötlemisel näiteks teadusuuringutes, rahvatervise meetmete kujundamisel või e- tervise rakenduste arendamisel oleksid tagatud nii andmete seostamatus, läbipaistvus kui ka andmetöötlusse sekkutavus. Korrektselt juurutatuna võiksid need oluliselt suurendada inimeste valmisolekut oma terviseandmeid teisesesse kasutusse lubada. 2.3 Privaatsustehnoloogiad kaitsevad ka ettevõtete andmeid Ettevõtete või organisatsioonide andmed, sh ärisaladus, mis ei sisalda isikuandmeid, ei ole kae- tud samasuguste privaatsuskaitse nõuetega nagu isikuandmed. Seega ei rakendu viidatud and- metele ei lõimitud andmekaitse põhimõte ega teised IKÜMi nõuded. Avalikus sektoris kohaldub teatud juhtudel asutuse siseseks teabeks märkimise kohustus, kui teabe avaldamine kahjustaks ärisaladust (nt avaliku teabe seadus, § 35 lg 1 p 7 8). Ka siin on privaatsuskaitse tehnoloogiad rakendatavad. Kui need tehnoloogiad muutuvad süsteemide arenduses tavapärasemaks, siis kaasneb ka muude andmete (nt ärisaladuse) parem kaitse ning seeläbi kahanevad riskid ette- võtete andmetele. Sellel võib omakorda olla positiivne mõju ka reaalajamajanduse arengule. Täiendava kasuna võib välja tuua, et ettevõtted, kes kasutavad privaatsuskaitse tehnoloogiaid, võivad saada klientide ja tarbijate silmis suurema usaldusväärsuse. Lisaks aitavad need tehno- loogiad ettevõtetel vähendada riske, andmelekkeid ja volitamata juurdepääse. Vastupidisel juhul võivad kaasneda soovimatud tagajärjed, mis võivad põhjustada ka reaalset majanduslikku kahju. 2.4 Privaatsustehnoloogiad toetavad lõimitud andmekaitset Isikuandmete kaitse üldmääruse artikkel 25 näeb isikuandmete töötlemisel ette lõimitud ja vaiki- misi andmekaitse rakendamist. Tegemist on teineteist täiendavate kontseptsioonidega, mis tõ- hustavad andmekaitset9. Privaatsuskaitse tehnoloogiate kasutamine aitab demonstreerida lõi- mitud ja vaikimisi andmekaitse lähenemisviisi rakendamist 10. Lõimitud andmekaitse, mis on reguleeritud IKÜMi artikli 25 lõikes 1, tähendab, et isikuandmete vastutav töötleja peab rakendama nii töötlemisvahendite kindlaksmääramisel kui ka isikuand- mete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid (IKÜM artikkel 25 lõige 1). Nende meetmete hulka kuuluvad ka privaatsuskaitse tehnoloogiad, mis aitavad muuhulgas tõhusalt rakendada andmekaitse põhimõtteid ning integreerida andmete töötlemise protsessi- (viimati külastatud 01.03.2023) [ 10]. 6Euroopa Parlamendi ja nõukogu määrus (EL) 2022/1925, 14. september 2022, mis käsitleb konkurentsile avatud ja õiglaseid turge digisektoris ning millega muudetakse direktiive (EL) 2019/1937 ja (EL) 2020/1828 (digiturgude määrus) https://data.europa.eu/eli/reg/2022/1925/oj (viimati külastatud 01.03.2023) [ 11]. 7Lõimitud andmekaitse kohta vt täiendavalt IKÜM artikkel 25 ja põhjenduspunkt 78. 8Avaliku teabe seadus, RT I, 22.03.2011, 10, §35 https://www.riigiteataja.ee/akt/122032011010 (Viimati külastatud 01.03.2023) 9Euroopa Andmekaitsenõukogu, Guidelines 4/2019 on Article 25. Data Protection by Design and by Default [ 12]. Version 2.0. Adopted on 20 October 2020. Punkt 5. https://edpb.europa.eu/sites/default/files/files/ file1/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_en.pdf (viimati kü- lastatud 01.03.2023). 10Chapter 5: Privacy-enhancing technologies (PETs). Draft anonymisation, pseudonymisation and privacy en- hancing technologies guidance [ 13], September 2022, lk 3, https://ico.org.uk/media/about-the-ico/ consultations/4021464/chapter-5-anonymisation-pets.pdf (viimati külastatud 01.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 12 / 138 ID D-16-175 Avalik desse vajalikke kaitsemeetmeid 11. Sellised rakendatavad meetmed peavad olema tõhusad, ta- gama soovitud tulemusi ja vastutav töötleja peab olema suuteline ka seda tõendama (vt IKÜM, põhjenduspunkt 74 ja Euroopa Andmekaitsenõukogu suuniseid 4/2019) 12. Vaikimisi andmekaitse on sätestatud IKÜMi artikli 25 lõikes 2. Selle kohaselt peab vastutav tööt- leja rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimi- si töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise konkreetse eesmärgi saavuta- miseks. See kehtib nii kogutud isikuandmete hulga, nende töötlemise ulatuse, säilitamise aja kui ka kättesaadavuse kohta. Nende meetmetega tagatakse eelkõige see, et vaikimisi ei tehta isiku- andmeid ilma asjaomase isiku sekkumiseta määramata füüsiliste isikute ringile kättesaadavaks. Termin ”vaikimisi”(ingl k by default ) viitab näiteks tarkvararakendusele, arvutiprogrammile või seadmele määratud konfigureeritava sätte eelnevalt olemasolevale või eelvalitud väärtusele, mida mõnikord nimetatakse ka (tehase) eelseadistusteks 13. Andmekaitse Inspektsioon on sel- gitanud, et vaikimisi andmekaitse tähendab isikuandmete töötlemisel valiku tegemist seoses seadistuste väärtuste või töötlemise võimalustega, mis on määratud või ette nähtud töötlemise süsteemis. Vaikimisi võib toimuda vaid selline töötlemine, mis on rangelt vajalik seatud seadus- liku eesmärgi saavutamiseks 14. Samad nõuded kehtivad ka isikuandmete teaduslikule kasutusele ja teistele uudsetele andmete taaskasutusviisidele. Isiku õigust tema privaatsusele toetavad lisaks IKÜMile näiteks Euroopa andmestrateegia 15, digiturgude määrus 16, andmehalduse määrus 17 ja teised õigusaktid. Seega on privaatsuskaitse tehnoloogiatel tähtis roll nii uute andmetöötlussüsteemide ehitamisel kui ka olemasolevate uuendamisel. Seda tuleb kaaluda ka olukordades, kus töödeldavad andmed on õiguslikus mõistes pseudonüümsed. Püüelda tuleb sealjuures nii seostamatuse, sekkutavuse kui läbipaistvuse poole. 2.5 Lõimitud ja vaikimisi andmekaitse on osa süsteemide loomulikust arengust Peatükid 2.1, 2.2 ja 2.3 andsid privaatsuskaitse tehnoloogiate rakendamiseks sotsiaalmajandus- liku tausta ning peatükk 2.4 näitas seda põhimõtet järgima suunavad õiguslikud alused. Nende ootuste täitumiseks tuleb ehitada uusi süsteeme ja täiendada olemasolevaid. Õiguslikest nõuetest lähtuvalt on loogiline, et selle protsessi käigus edendatakse süsteemides lõimitud ja vaikimisi andmekaitset, kahandades võimalusel töödeldavate andmete hulka ning juurutades privaatsuskaitse tehnoloogiaid. Sellisel moel privaatsuse edendamine on ka kooskõlas andmete täiendava kasutuselevõtuga, isegi kui selle käigus mõnede andmete kasutamisest loobutakse või neid kasutatakse edasi väik- semas mahus. Kogemuste ja süsteemide küpsuse kasvades saab ka selgemaks milliste andmete töötlemisega kaasneb kasu ja mõju ning millised teenused või kratid ennast ei õigusta. Näiteks võidakse teadustöö käigus leida, et uute meetoditega on sama otsusetoe süsteemi jaoks vaja 11Chapter 5: Privacy-enhancing technologies (PETs) [ 13], lk 4. 12Euroopa Andmekaitsenõukogu, Guidelines 4/2019 on Article 25 [ 12], Punkt 13. 13Euroopa Andmekaitsenõukogu, Guidelines 4/2019 on Article 25 [ 12], Punkt 40. 14Andmekaitse Inspektsioon, Lõimitud ja vaikimisi andmekaitse, 06.07 .2022, https://www.aki.ee/et/ loimitud-ja-vaikimisi-andmekaitse (viimati külastatud 01.03.2023). Vt ka, Euroopa Andmekaitsenõukogu, Guidelines 4/2019 on Article 25 [ 12], Punkt 41. 15Euroopa Komisjon, Euroopa andmestrateegia [ 9]. 16Euroopa Parlament ja Euroopa Liidu nõukogu, digiturgude määrus [ 11]. 17Euroopa Parlament ja Euroopa Liidu nõukogu, andmehalduse määrus [ 10]. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 13 / 138 ID D-16-175 Avalik vähem sisendandmeid. Sellisel juhul on otstarbekas uuendada ärianalüüsi ja vähendada süstee- mis kasutatavate andmete hulka. Süsteemne töö privaatsuseesmärkide saavutamise suunas on võimalik, kui kaasame digiühis- konna teenuste ja süsteemide elutsüklisse privaatsustehnika praktikad. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 14 / 138
Page 1 of 12