Privaatsuskaitse%20tehnoloogiate%20kontseptsioon%20%281%29.pdf

Type: Document | Status: ready
← All sources

ID D-16-175 Avalik 4.4 Anonüümne side ja tehingud 4.4.1 Turvaline vestlus Lühidalt. Turvaline vestlus lubab kahel osapoolel omavahel privaatselt ja segamatult suhelda. Ülevaade ja rakendamine. Turvalise vestluse tehnoloogiad kasutavad krüptograafilisi vahendeid, et ta- gada sõnumite konfidentsiaalsus ja terviklus. Tüüpiliselt tähendab see, et sõnumi saatja peab sõnumi krüpteerima, et muuta see kõigile teistele loetamatuks. Sõnumi saaja on ainus, kes suudab sõnumi dek- rüpteerida ning selle autentsuses veenduda. Kõik see eeldab nii sümmeetriliste kui ka avaliku võtme krüp- tosüsteemide kasutamist, ms põhinevad salajastel võtmetel või võtmepaaridel. Tuntumad turvalist suhtluskanalit pakkuvad tehnoloogiad ja rakendused on turvalist võrguühendust pak- kuv TLS, turvalist meilivahetust pakkuv PGP, otspunktkrüpteerimist võimaldavad WhatsApp, Signal [ 124, 125] ja Proton ning mitmed video- ja häälkõne rakendused. Neist Signal on kaasatud Elektronhõlve Fon- di salajase jälgimise vastase kaitse juhistesse 50ja lisaks sai rakendus samalt fondilt turvalise sõnumside rakenduste tulemuskaardil ideaalse tulemuse [ 126]. Mitmed riigid, valitsused ja asutused on Signali kasutamist keelanud või piiranud, tuues probleemide- na välja selle kasutuse ebaseaduslikeks ja ohtlikeks tegevusteks ning kuritegevuslikes organisatsiooni- des [127]. Ajaloost. Vajadus sõnumisaladuse järele oli olemas kaugelt enne arvutivõrgu tekkimist ning seepärast teame esimesi šifreid juba antiikajast. Tänapäeval on turvaline vestlus osa elektroonilistest suhtlusraken- dustest, pakkudes kaitset küberrünnakute ning seiresüsteemide vastu [ 128]. Isiklikud, ärilised ja riiklikud vajadused on tinginud üha võimekamate ja turvalisemate suhtlusprotokollide arenduse, et kaitsta erinevat liiki tundlike andmeid, nagu ärisaladus, terviseandmed, juriidilised või ka isikuandmed. Esimene avalikult kasutatav võrgukihi turvet pakkuv lahendus oli 1995. aastal avalikustatud Secure Sockets Layer (SSL) versioon 2.0. SSL ja tema järeltulija Transport Layer Security (TLS) eeldasid krüptograafia kasutamise tõttu võimekamat riistvara ning teenuseandjalt ka serveri sertifikaatide eest tasumist. Seetõttu kasutasid neid tehnoloogiaid pikka aega vaid väga IT-võimekad teenuseandjad (nt pangad ja tehnoloogiaettevõt- ted). TLS kasutus kasvas aga hüppeliselt peale Snowdeni lekkeid 2013. aastal kui üldsus sai aru, et nende võrguühendusi pealt kuulatakse 51. Maailm on liikunud üha rohkem inimesekesksemaks, kus turvaline ühenduskanal kasutaja seadme ja tee- nusepakkuja vahel ei ole enam piisav, et tagada nõutav privaatsuse tase. Suhtlusrakendustelt nõutakse otspunktkrüpteerimist (ingl k end-to-end encryption , E2EE), kus katkematu turvaline ühenduskanal on loodud kahe lõppseadme vahel. Suhtlus võib küll toimida teenuseandja serveri vahendusel, kuid see ei saa sõnumeid lugeda ega muuta. Turvagarantiid ja jääkriskid. Turvalise vestluse süsteemid on loodud tagama suhtuse terviklust ja konfi- dentsiaalsust. Seeläbi saavutatakse privaatne vestlus, kus volitamata osapooled ei saa sõnumeid lugeda ega muuta. Mõned süsteemid võimaldavad vestluse osapoolte isikut ka verifitseerida, pakkudes sõnumite autentsust ja salgamatust. Turvalise vestluse süsteem eeldab, et vestluse otspunkt ise on turvaline ning seetõttu ei paku kaitset näiteks otspunktis oleva kahjurvara või seal aset leidva teenusetõkestusründe vastu. Samuti on süsteem haavatav kui salajased võtmed on lekkinud. Otspunktkrüpteeritud süsteemide puhul tasub tähele panna, et kõrge privaatsustaseme tagamiseks peavad lõppkasutajad ise oma krüpto- võtmeid haldama. 50Communicating with Others https://ssd.eff.org/module/communicating-others (viimati külastatud 02.03.2023). 51Matthew Green. Looking back at the Snowden revelations, 2019. https://blog.cryptographyengineering. com/2019/09/24/looking-back-at-the-snowden-revelations (viimati külastatud 01.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 76 / 138 ID D-16-175 Avalik Turvaline sõnumivahetus SIDE Inglise keeles: secure messaging Lühidalt: Turvaline vestlus lubab kahel osapoolel omavahel privaatselt ja segamatult suhelda. Arenduse keerukus: madal Ülalpidamise keerukus: madal Täpsus: ei rakendu Privaatsusgarantii: krüptograafiliselt tõestatav Tehnoloogia küpsus: kõrge Ülevaatlik mudel: TLS Klient ServerKaitsmata rakenduse protokoll, nt HTTP Turvaline "toru" ⬆ Privaatsus ⬆ Terviklus Serveri privaatvõti Klient A Server Klient B Kliendi A privaatvõti Kliendi B privaatvõti Turvaline "toru" läbi teenuseosutaja ⬆ Privaatsus ⬆ Terviklus ⬇ Kasutatavus (võtmehaldus) Otspunktkrüpteerimine (E2EE) Turvaeeldused ja jääkriskid:

  1. Turvaeeldus: otspunktid ei tohi olla kompro- miteeritud.
  2. Turvaeeldus: otspunktkrüpteerimise puhul peavad kasutajad või nende seadmed ise võtmehaldusega tegelema.
  3. Jääkrisk: andmed lekivad otspunktides. Rakendusvõimalused:
  4. Turvaline side arvutivõrkudes Õiguspraktika:
  5. Turvalise sõnumivahetuse tehnoloogiad on õiguslikkus mõistes täiendavad kaitse- meetmed.
  6. Mõnedes piirkondades kohustatakse ka tur- valise sõnumivahetuse tehnoloogia pak- kujaid looma tehnilisi meetmeid õiguskait- seorganite nõudmisel sõnumisaladuse rii- vamiseks. Tuntumad rakendused:
  7. Turvamata protokollide turvaliseks muutmine TLS abil (näiteks HTTPS, IMAPS, POP3S, jne)
  8. Turvaline e-postivahetus (näiteks PGP)
  9. Turvaline otsesuhtlus (näiteks Signal, WhatsApp, iMessage)
  10. Video- ja häälkõne rakendused (näiteks Zoom) Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 77 / 138 ID D-16-175 Avalik Signal Lühidalt: Signal on suhtlusrakendus, mille kaudu saab saata otspunktkrüpteeritult kiirmeile, teha kõnehelistusi ja videokõnesid. Rakenduse fookus on privaatsusel ja turvalisusel ning selle klienditarkvara on vabavaraline ja avatud lähtekoodiga. Teostamise aasta: Alates 2013 Riik: Ameerika Ühendriigid Omanik: Signal Foundation Teostaja: Algne arendaja Whisper Systems, täna arendab Signal Foundation Süsteemi küpsus: püsiv juurutus Privaatsuskaitse tehnoloogiad:
  11. otspunktkrüpteerimine
  12. usaldatavad käivituskeskkonnad
  13. nullteadmus Sobivad kasutusjuhtumid: otspunktkrüpteeritud suhtlus Ülevaatlik mudel: Kasutaja A Kasutaja B Signali Serverid Krüpteeritud Sõnumid Krüpteeritud Sõnumid Otspunktkrüpteeritud sõnumite edastamine  Privaatsus Jälitatavus Privaatvõti A Privaatvõti B Terviklus Krüpteeritud Sõnumid Märkimisväärsed omadused:
  14. Rakenduse igakuine aktiivsete kasutajate arv on ligikaudu 50 miljonit.
  15. Signal on ekspertide poolt kiidetud ning võitnud mitu granti ja auhinda. Elektronhõlve Fond lisas raken- duse salajälgimise vastase kaitse juhistesse, lisaks sai rakendus samalt fondilt turvalise sõnumside rakenduste tulemuskaardil ideaalse tulemuse.
  16. Mitmed riigid, valitsused ja asutused on Signali kasutamist keelanud või piiranud, tuues probleemidena välja raskuse selle pealt kuulamisel ning kasutuse ebaseaduslikeks ja ohtlikeks tegevusteks ning kuritegevuslikes organisatsioonides. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 78 / 138

ID D-16-175 Avalik 4.4.2 Mikservõrgud Lühidalt. Mikservõrk võtab mitu privaatset sõnumit ja segab nad omavahel ära nii, et vaatleja ei saa aru, kellelt milline sõnum tuli. Ülevaade ja rakendamine. Mikservõrgud segavad omavahel mitmest allikast pärinevad sõnumid, muutes sellega konkreetse sõnumi algallika tuvastamise keeruliseks. Lihtsaim sellne mikservõrk koosneb mit- mest ahelasse ühendatud vahendusserverist (mikserist), kus iga server eemaldab saabuvatelt sõnumi- telt järjestuse ning muudab nende väljanägemist (näiteks krüpteerides sõnumid uue võtmega). Sõnu- mid suunatakse edasi kas järgmisesse mikservõrgu serverisse või siis nende lõplikku sihtkohta. Serverite omavahelised ühendused määravad ära kasutusel oleva miksimisstrateegia ning mikservõrgu topoloogia. Mikservõrgus on seega vähemalt kaks sõnumite allikat, vähemalt üks miksimist teostav vahendusserver ning vähemalt üks sõnumite sihtkoht. Mikservõrgud (ingl. k. mix networks, mixnets) on andmevahetussüsteemid, mis kasutavad erinevaid krüp- tograafilisi ja permutatsoonivahendeid, et kaitsta delikaatseid andmeid, näiteks tervise- või muid isiku- andmeid [129]. Oluline osa mikservõrkude arengust on seotud elektroonilise hääletamisega [ 130], kus ühelt poolt on oluline tagada anonüümsus, salastatus ning terviklus, kuid samas on eesmärk saavutada ka hääleõiguse korrektne tuvastamine, hääletussüsteemi kasutatavus ning hääletustulemuse korrektsus. Elektroonilise hääletamise süsteemidest on üks tuntumatest Eesti süsteem. Seda on aastate jooksul pide- valt arendatud ja täiendatud ning valijad on seda ka üha rohkem kasutama hakanud. 52 Välja on toodud ka probleeme, potentsiaalseid turvaauke seoses võltsimise ja muude rünnetega [ 131]. Pidevalt käigusoleva turvatehnika protsessiga on aga riske järjepidevalt kahandatud. Teine mikservõrkude kasutusvaldkond on seotud internetipõhiste suhtluskeskkondadega, kus eesmär- giks on tagada kasutajate anonüümsus ja privaatsus, isegi kui suhtlus toimub üle seiratud võrgu. Siit on esile kerkinud anonüümsed e-posti teenused, interneti marsruutimisprotokollid ja digitaalsed vääringu- süsteemid, mille kõigi eesmärk vältida tsensuuri. Tavaliselt on tegemist hajussüsteemidega, kus klient- server ühenduse asemel suhtlevad kõik osapooled kui võrdne võrdsega (ingl k peer-to-peer). Ajaloost. Esimese anonüümsete sõnumite saatmise süsteemi kirjeldus, mis kasutab mitut järjestikust osa- poolt, kes sõnumeid juhuslikult ümber järjestavad ja seeläbi sõnumi allikat varjavad, ulatub tagasi 1980. aastatesse [132]. Seoses suureneva sotsiaalse huviga privaatsuse ja anonüümsuse vastu kogus ka selline välja pakutud süsteem populaarsust ning seda hakati edasi uurima ning arendama. Nüüdseks on mikservõrkudest ku- junenud erinevates valdkondades ja riikides kasutatav privaatsuskaitsetehnoloogia, kus nii kasutaja iden- titeedi kui ka ühenduse metaandmete jälitamatus on võrdlemisi range nõue. Viimaste aastakümnete tea- dustegevus on lisaks mikservõrkude kontseptsiooni edasiarendamisele keskendunud lisaks ka selle teh- noloogia turvalisuse ja jõudluse tõstmisele ning mikservõrkude topoloogiale. Turvagarantiid ja jääkriskid. Anonüümsus on tagatud sellisel määral, et suhtlust jälgival osapoolel on raske kindlalt kokku viia sõnumi algallikat ja sihtkohta. Oma eesmärgi täitmiseks peavad mikservõrgud olema kaitstud korreleerimisrünnete ja võrguliikluse analüüsi vastu, samuti pahatahtlike või ekslike ka- sutajate ning vahendusserverite vastu ja lisaks vastu pidama suurele võrgukoormusele. See tähendab, et mikservõrgud on ühtlasi paindlikud ning mastaabitavad. Ühest kompromiteerimata vahendusserverist (st sellisest, mis ei avalda enda kasutatud permutatsiooni) mikservõrgus piisab, et pakkuda sõnumiallika anonüümsust. Mõnes rakenduses (nt e-hääletamisel) on vaja lisaks tagada, et mikservõrgu vahendusserverid on ausad, st nad ei muuda ega kaota sõnumeid ja ei tekita neid ka juurde. Teisisõnu, iga vahendusserver peab suutma tõestada, et sisse tulnud ja välja antavad sõnumid on täpselt samad, lihtsalt teistsuguse väljanä- gemisega ja teises järjekorras. Sellised korrektsustõestused realiseeritakse nullteadmustõestuste abil. 52Elektroonilise hääletamise statistika https://www.valimised.ee/valimiste-arhiiv/ elektroonilise-haaletamise-statistika (viimati külastatud 02.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 79 / 138 ID D-16-175 Avalik Mikservõrgud SIDE Inglise keeles: mixnets Lühidalt: Mikservõrk võtab mitu privaatset sõnumit ja segab nad omavahel ära nii, et vaatleja ei saa aru, kellelt milline sõnum tuli. Arenduse keerukus: keskmine Ülalpidamise keerukus: keskmine Täpsus: ei rakendu Privaatsusgarantii: hajutusel põhinev Tehnoloogia küpsus: keskmine Ülevaatlik mudel: MikserMikser A B C D A B C D C D B A C D B A B C A D B C A D Mikser: sõnumite väljanägemise muutmine (joonisel värvi vahetus) ja juhuslik ümberjärjestamine ⬆ Privaatsus Mikser ⬆ Privaatsus Turvaeeldused ja jääkriskid:

  1. Turvaeeldus: võrgus on vähemalt kaks sõnu- mite algallikat ja vähemalt üks sihtkoht.
  2. Turvaeeldus: võrgus on vähemalt üks vahen- dusserver, mis pole pahatahtlik.
  3. Turvaeeldus: tarkvaralised komponendid saavad võrgus kasutada mitmeid erine- vaid marsruute.
  4. Jääkrisk: võrk on liiga väike või on suur osa sellest vastase kontrolli all. Rakendusvõimalused:
  5. Sideseansi allika anonüümsus. Õiguspraktika:
  6. Mikservõrgud üksi ei taga side konfident- siaalsust, seega võivad vahendusserverid sattuda õiguslikkus mõttes töötlema kõik- võimalikke isikustatavaid andmeid. Tuntumad rakendused:
  7. E-posti anonüümija Mixminion
  8. Eesti internetihääletamise süsteem (jt interneti- hääletuse süsteemid)
  9. Anonüümse internetikasutuse platvorm Tor Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 80 / 138 ID D-16-175 Avalik Mikservõrgud Eesti internetihääletuses Lühidalt: Eesti internetihääletamise süsteemis kasutatakse mikservõrke, otspunktkrüpteerimist, digiallkirju ja muid krüptograafilisi protokolle, et tagada häälte privaatsus ja mõjutuskindlus. Teostamise aasta: Alates 2005 Riik: Eesti Omanik: Riigi valimisteenistus Teostaja: Kuni 2014 oli tarkvara arendaja Cybernetica. Alates 2014 aastast tegeleb sellega Smartmatic Cybernetica Centre of Excellence for Internet Voting (SCCEIV) Süsteemi küpsus: püsiv juurutus Privaatsuskaitse tehnoloogiad:
  10. mikservõrgud
  11. otspunktkrüpteerimine Sobivad kasutusjuhtumid: internetihääletus Ülevaatlik mudel: Hääletaja 1 Hääletaja k Krüpteeritud digiallkirjastatud hääl 1 Hääletaja 2 ... Mikservõrk Valimistulemused Krüpteeritud digiallkirjastatud hääl 2 Krüpteeritud digiallkirjastatud hääl k Krüpteeritud hääl k Krüpteeritud hääl 1 Krüpteeritud hääl 2 Privaatsus/mõjutuskindlus Digiallkirjade eemaldamine Häälte lugemine Märkimisväärsed omadused:
  12. Tehnoloogilisest vaatepunktist on Eesti internetihääletamise süsteem üks kaugelearenenumaid usal- datud internetihääletuse keskkondi.
  13. Alates 2005. aastast on internetihääletamist kasutatud mitmetel kohaliku omavalitsuse, Riigikogu ja Euroopa parlamendi valimistel. Internetihäälte osakaal valimistel on ajas pidevalt kasvanud, 2019 aasta Riigikogu valimistel moodustasid internetihääled kõigist antud häältest 43.8%, 2021 aasta kohaliku omavalitsuse volikogu valimistel 46.9%.
  14. Eksperdid Eestist kui ka välismaalt on süsteemi auditeerinud ja uurinud, eriti keskendudes turvalisuse, privaatsuse, tervikluse ja mõjutuskindluse aspektidele. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 81 / 138

ID D-16-175 Avalik 4.4.3 Sibulmarsruutimine Lühidalt. Sibulmarsruutimine (ingl k onion routing ) aitab peita saadetava sõnumi saatjat ja saajat võrgu jälgija eest. Ajaloost. Sibulmarsruutimine on protokoll, mis võimaldab anonüümset suhtlust üle (avaliku) arvutivõrgu [ 133]. Oma ülesehituselt sarnaneb see mikservõrkudele, kuna tekitab avaliku võrgu peale oma virtuaalse kihi eesmärgiga anonüümida selles toimuvat sõnumivahetust. Sibulmarsruutimise esmane kasutus on ano- nüümne veebi sirvimine ja marsruutimine üldisemalt, et kaitsta inimesi seiramise eest või pääseda mööda tsensuurist. Samas, lisaks kasutatakse tehnoloogiat ka masinate kaughalduseks, failide jagamise raken- dustes ning ka suhtlusvõrgustikes. Üldisemalt, kuna sibulmarsruutimine pakub anonüümsust võrguühen- duse tasemel, siis saab selle peale ehitada mitmeid tänapäevaseid rakendusi. Ajaloost. Tehnoloogia pakkusid esmakordselt 1990. aastate keskel välja USA luureagentuurid, et kaitsta oma suhtlust üle interneti. Hiljem kasutasid seda ka teised riigiasutused ning 2002. aastal avalikustati see tehnoloogia avatud lähtekoodiga TOR ( The Onion Router ) projekti osana [ 134]. Ülevaade ja rakendamine.Sibulmarsruutimise protokoll koosneb kahest osast: andmestruktuurist ja mars- ruutimismehhanismist. Andmestruktuuriks on võrgupakett, mis on mässitud mitme erinevate võtmetega krüpteeringukihi sisse (sellest ka tehnoloogia nimi). Marsruutimismehhanism koosneb mitmest vahendusserverist, marsruuterist, mis valitakse suurest va- hendusserverite hulgast, enamasti juhuslikkuse alusel. Valitud vahendusserverid moodustavad ahela, kus iga lüli krüpteeritud võrgupakette vastu võtab, töötleb ja järgmisesse marsruuteerisse edasi suunab. Need vahendusserverid teavad vaid vahetult eelmist ja järgmist sammu võrgupaketi teekonnas ning iga sellise vahendusserveri ülesanne on võrgupaketilt eemaldada üks kiht krüpteeringut ja saata see ahelas järgmise töötlejani kuniks see lõpuks oma sihtkohta jõuab. Sibulmarsruutimine pakub reaalajas kahesuunalist võrguliikluse anonüümimist, peites lõppkasutajate võr- guühenduse metaandmed nagu IP-aadressid ja geograafilise asukoha. Sarnaselt on võimalik peita ka tee- nuseandja serveri IP aadressi (ja seega geograafilist asukohta), mis paneb aluse pimevõrgu toimimisele. Turvagarantiid ja jääkriskid. Sibumarsruutimise tehnoloogia võimaldab anonüümida võrguliiklust ja see- läbi piirata kasutajate isikustamist. Enamik selle tehnoloogia pakutavatest garantiidest ja puudujääkidest on otseselt seotud saadaval olevate vahendusserverite arvuga ning valitud vahendusserverite ahela pik- kusega. Kuna sibulmarsruutimine on üles ehitatud hajusa detsentraliseeritud võrguna, pakub see lisaks tõhusat kaitset tsensuuri vastu, mastaabitavust ning tõrkekindlust. Samas, olenevalt valitud ahela pikkusest ja sinna sattuvatest vahendusserveritest on võrgu läbilaske- võime piiratud. Potentsiaalsete desanonüümimisrünnete või pahatahtlike vahendusserverite tõttu ei ole sibulmarsruutimise poolt pakutav kaitse alati garanteeritud, aga mida rohkem on sõltumatuid vahendus- servereid, seda väiksem on selliste rünnete õnnestumise tõenäosus. Tor53 on vabavaraline ja avatud lähtekoodiga tarkvara, mille eesmärk on anonüümida kasutaja suhtlust üle interneti ja piirata selle jälitatavust sibulmarsruutimise kasutamisel. See lubab varjata tarkvara kasutaja (sõnumi saatja) kui ka Tori võrgus oleva teenuseandja võrguliikluse metaandmeid, identiteeti ja asukohta. Suure osa kasutajatest moodustavad aktivistid, ajakirjanikud ja muud isikud riikidest, kus interneti ka- sutust piiratakse [ 135].Samas leiab see laialdast kasutust ka kurjategijate seas, mille tõttu on teenust kritiseeritud ja mõnes riigis täielikult keelatud [ 136]. Juhised rakendajale. Sibulmarsruutimise kasutamine rakendustes võib olla väga lihtne, kui selleks kasu- tada olemasolevaid võrke nagu Tor. Leidub ka teeke, mille abil saab rajada omaenda sibulmarsruutimise võrke. Kuid see on keerukas ning kuskilt tuleb leida selle võrgu jaoks piisav arv vahendusservereid. Õiguslikud aspektid. Mõnes riigis väljaspoolt Euroopat on näiteks Tor võrgu liiklus blokeeritud [ 137]. Mõ- nes riigis võib Tor vahendusserveri (sõlme) majutaja sattuda korrakaitse huviorbiiti 54. 53https://www.torproject.org (viimati külastatud 02.03.2023). 54The Legal FAQ For Tor Relay Operators https://community.torproject.org/relay/ Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 82 / 138 ID D-16-175 Avalik Sibulmarsruutimine SIDE Inglise keeles: onion routing Lühidalt: Sibulmarsruutimine aitab peita saadetava sõnumi saatjat ja saajat võrgu jälgija eest. Arenduse keerukus: kõrge Ülalpidamise keerukus: kõrge Täpsus: — Privaatsusgarantii: krüptograafial ja hajutusel põhinev Tehnoloogia küpsus: kõrge Ülevaatlik mudel: Klient Server Sibulmarsruutitud võrgus näeb iga osapool enda naabreid,
aga keegi ei näe paketi sisu ⬆ Privaatsus ⬇ Kiirus Vahendus- server Vahendus- server Vahendus- server Vahendus- server Vahendus- server Vahendus- server Vahendus- server Vahendus- server Vahendus- server Turvaeeldused ja jääkriskid:

  1. Turvaeeldus: vahendusserverite võrk on pii- savalt suur, et sealt konkreetseks side- seansiks valitud ahel oleks piisavalt juhus- lik.
  2. Turvaeeldus: tuleb välistada, et mõnel vasta- sel on kogu võrgu üle kontroll nii, et ta suu- dab võrgu sisenevat ja väljuvat liiklust kor- relleerida.
  3. Jääkrisk: võrk on liiga väike on liiga suur osa sellest ründaja kontrolli all. Rakendusvõimalused:
  4. Sideseansi allika ja sihtkoha anonüümsus avalikus sidevõrgus Õiguspraktika:
  5. Sõltuvalt võrgu seadistusest ja kasutatavast teenusest võivad vahendusserverid sattu- da õiguslikkus mõttes töötlema kõikvõi- malikke isikustatavaid või muud sorti and- meid, millega nad tingimata seotud ei ole. Tuntumad rakendused:
  6. Anonüümne veebi sirvimine (nt Tor)
  7. Peidetud veebiteenused ja suhtluskeskkonnad, mille geograafiline asukoht pole teada (nn pi- meveeb)
  8. Anonüümne failijagamine (nt Tribler) community-resources/eff-tor-legal-faq (viimati külastatud 01.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 83 / 138 ID D-16-175 Avalik Sibulmarsruutimise platvorm Tor Lühidalt: Tor on ülemaailmse kasutajaskonnaga sibulmarsruutimise platvorm. Teostamise aasta: Alates 2002 Riik: Globaalne ja detsentraliseeritud Omanik: omanik puudub, opereerijaks on vabatahtlikud sibulmarsruuterid Teostaja: välja töötatud USA mereväe teaduslaboris, kuid nüüd hooldab ja arendab peamiselt mittetulunduslik organisatsioon The Tor Project, Inc, mida veavad arvutiteadlased Süsteemi küpsus: püsiv juurutus Privaatsuskaitse tehnoloogiad:
  9. sibulmarsruutimine Sobivad kasutusjuhtumid: anonüümne internetikasutus Ülevaatlik mudel: Klient Server Tor võrk: iga sõlm näeb enda naabreid, keegi ei näe paketi sisu ⬆ Privaatsus ⬇ Kiirus Tor sõlm Tor sõlm Tor sõlm Tor sõlm Tor sõlm Tor sõlm Tor sõlm Tor sõlm Tor sõlm Märkimisväärsed omadused:
  10. Internetis kasutajate ja teenusepakkujate privaatsuse kaitsmiseks ja tsensuuri vältimiseks mõeldud tarkvaralahenduste seas on Tor üks laialdasemalt kasutatavaid.
  11. Tor on võitnud mitmeid auhindu. Näiteks Free Software Foundation’s 2010 Award for Projects of Social Benefit, millega tunnustati seda kui ühiskondlikke hüvesid pakkuv vabavaralist tarkvara, ja the 2012 EFF Pioneer Award.
  12. Toril on hinnanguliselt kaks miljonit igapäevast kasutajat (Eestis 1500). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 84 / 138 ID D-16-175 Avalik 4.5 Läbipaistvust toetavad tehnoloogiad 4.5.1 Läbipaistvuse tehnoloogiate iseärasused Läbipaistvus privaatsuskaitse eesmärgina taotleb kogu privaatsuse seisukohalt relevantse andmetööt- luse arusaadavuse ja rekonstrueeritavuse garanteerimist igal ajahetkel kõigile kaasatud osapooltele (näi- teks andmetöötleja, inimene andmete omanikuna, audiitor, järelvalveasutus jne) [138]. Läbipaistvuse nõue isikuandmete töötlemisel tuleneb ka otseselt IKÜM-ist. Asjakohane informatsioon andmetöötluse kohta peab olema saadaval enne andmetöötluse algust, selle kestel ja pärast seda. Kuna läbipaistvuse eesmärk on suurendada arusaamist andmetöötlusest ja selle- ga seotud riskidest, sõltub info sihtauditooriumi võimekusest, mis ulatuses seda pakkuda ja kuidas se- da edasi anda. Seepärast on läbipaistvuse mehhanismide teabe levitamise kanalite kujundamisel oluline pöörata tähelepanu kasutatavusele, hõlpsusele ja kaasatusele [ 139]. Mitte kõiki inimesi ei huvita detailne sissevaade andmetöötlusesse, teisi aga ei rahuldaks vaid üldistatud informatsioon. Seetõttu soovitatakse siin informatsioon kättesaadavaks teha mitmel detailsustasandil. Läbipaistvus võiks ideaalis olla juurutatud süsteemi osana juba selle kavandamisel, ent on võimalik ka ta- gantjärele, integreerides lahendused, mis tagavad soovitud läbipaistvustaseme saavutamiseks kogu va- jaliku informatsiooni talletamise, seostamise, agregeerimise ja väljastamise. Oluline on, et sellised teenu- sed oleksid sihtauditooriumile kasutataval ja arusaadaval kujul kättesaadavad. Näiteks ei tohiks eeldada, et inimene soovib konkreetse privaatsusintsidendi tuvastamiseks ise läbi uurida suuremahulist andme- kogu, vaid tema toetamiseks on tarvis luua otsingufunktsioon. 4.5.2 Dokumenteerimine, logimine ja osapoolte teavitamine Läbipaistvuse saavutamine võib toimuda andmetöötluse dokumenteerimise, logimise ja raporteerimise, kasutajateavituste jmt abil [1]. Dokumenteerimise võimaluste spekter on lai, ulatudes organisatsiooniplaa- nidest üle süsteemiarhitektuuri käsiraamatute kuni lähtekoodi liideste kirjeldusteni, mis kõik panustavad läbipaistvuse tagamisse. On oluline, et kõik andmetöötlussüsteemi aspektid oleksid määratletud etteula- tuvalt, nii et selles ei saa kunagi tekkida dokumenteerimata seisundit või realiseeruda mõni ettenägematu toiming. Dokumentatsiooni kõrval tagavad läbipaistvuse spetsiifilised ja terviklikud logimismehhanismid, mille ülesanne on näiteks kliendiinteraktsiooni toimudes selle kohta logisüsteemi kirjete kandmine. Tuleb tä- hele panna, et tagades ühte privaatsuseesmärki - läbipaistvust - on logidesse koguneva informatsiooni suhtes teise privaatsuseesmärgi - seostamatuse - tagamiseks tarvis rakendada teisi privaatsuskaitse tehnoloogiaid. Olulist rolli omavad ka mehhanismid talletatud informatsiooni toimetamiseks asjakohastele osapooltele (teavitamiseks). Teavitada tuleb inimest, kelle andmeid töödeldakse, aga ka organisatsiooni juhtkonda, järelvalve teostajat, partnereid vastavalt sõlmitud lepingutele ja kohustustele jne. Selline informeerimi- ne saab toimuda päringust tulenevalt või proaktiivsete teavitustena toimunud andmetöötlussündmuste kohta. Läbipaistvust parandab ka kasutajatoe tugiteenus, kui see oskab vastata andmetöötlust puudu- tavatele küsimustele. Privaatsust puudutavate aspektide hulka, mille osas läbipaistvust tuleks taotleda [ 140], kuuluvad:
  13. kogutud andmed, sh kelle kätte ja missuguste tingimuste alusel;
  14. andmevoog – nii plaanitud kui tegelik ja sellega seotud riskid;
  15. privaatsuspoliitika;
  16. andmetöötluse meetodid;
  17. (andmetöötluse tulemusel) pakutavad teenused;
  18. kasutatud tarkvara ja tehnoloogiad; 7 . interaktsioonipartnerite reputatsioon;
  19. kogu andmetöötluse usaldusväärsuse ja turvalisuse garantiid;
  20. kõik tõelised või võimalikud nõrkused ja turvaintsidendid. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 85 / 138 ID D-16-175 Avalik 4.5.3 Kasutustingimuste arusaadavuse parandamine Interneti andmesidevõrgu plahvatusliku leviku kontekstis 1990-datel hakkasid üha enamad organisat- sioonid oma kodulehtedel avaldama kasutustingimusi. Nende dokumentide keerukus peegeldas infor- matsioonipraktikate üha suurenevat keerukust. Kasutajate jaoks olid need dokumendid segadust teki- tavad ning sai selgeks, et need ei anna inimesele selget ülevaadet, kuidas tema andmeid kasutatakse. Organisatsioonid olid hädas vastakate eesmärkidega luua kasutustingimusi, mis oleksid lihtsad mõista, terviklikud ja vastaksid ka regulatsioonidele. 2003. aastal 25. Rahvusvahelisel andmekaitsekonverentsil Sydney’s tõsteti lahendusena esile mitmekihiliste kasutustingimuste loomist. Järgmisel aastal koostasid peamiselt Euroopa andmekaitseinspektorid, teiste valitsusametite esindajad ning Euroopa tarbijakaitse- ning ärijuhid mitmekihiliste kasutustingimuste põhimõtteid kirjeldava Berliini memorandumi. Sama aasta lõpus andis oma heakskiidu ka direktiivi 95/46/EÜ artikli 29 alusel asutatud andmekaitse töörühm ( Article 29 Working Party , edaspidi ärtikli 29 töörühm”). Teenuste kasutustingimused on traditsioonilist tähendanud kümneid lehekülgi juriidilises žargoonis teks- ti, mille sisuga tavakasutaja üldjuhul ei tutvu. Selles väljendub sisemine võimuasümmeetria andmetöötleja ja inimese kui andmesubjekti vahel: kasutustingimused on koostatud eelkõige andmetöötleja huvide kait- seks ja riskide leevendamiseks, need ei ole paindlikud ega üldjuhul keskmise kasutaja jaoks arusaada- vad [141]. Õiguslikult siduva dokumendina on juriidiline keerukus osaliselt vältimatu, ent sisu mõistetavuse suurendamiseks on võimalik selle olulisemaid osasid esile tõsta. Seda võib teha nii teenusepakkuja ise või sõltumatu osapool. Seoses GDPR-i jõustumisega 2018. aastal, mis nõuab kasutustingimustelt kompakt- sust, läbipaistvust ja arusaadavust, on selles liinis toimunud parenemine, sh on paljud organisatsioonid juurutanud allpool kirjeldatud lahendusi. Läbipaistvus eeldab kasutustingimusi, mis on hõlpsad mõista, soodustavad võrdlust ning mille pinnalt on osapooltel võimalik tegutseda. Selleks, et kasutustingimused oleksid kergesti loetavad ja mõistetavad, peavad need olema lühikesed, ning olema esitatud lihtsas keeles ja vormis. Terviklikud kasutajatingimu- sed kipuvad olema pikad ja keerukamad, nii et pole võimalik ühe dokumendiga mõlemaid kriteeriume täita. Mitmekihilised kasutajatingimused koosnevad kokkuvõtlikest tingimustest, mis sisaldavad lihtsalt mõistetaval ja kasutataval kujul kõiki võtmekomponente, ning terviklikke kasutajatingimusi kõigi vajalike juriidiliste osadega. Need suurendavad kasutajate usaldust andmetöötleja suhtes. Uuringud näitavad, et kasutajad eelistavad kokkuvõtlikke kasutustingimusi täistekstidele, kuna neile sobib informatsioon, mis on esitatud selgelt, visuaalselt atraktiivselt ning hõlpsasti võrreldavalt. Samuti võimaldab see rahvusva- helistel organisatsioonidel esitada oma kasutustingimusi riigist riiki ühelaadselt. Artikli 29 töörühm soovitab maksimaalselt kolmekihilist [ 142] struktuuri: • Esimene kiht – lühitingimused: minimaalne komplekt väga piiratud suurusega alal (nt mobiilirakendus- tes) kasutamiseks, mis annab infot näiteks vaid andmetöötleja ja tema kontaktide ning andmetööt- luse eesmärkide kohta; • Teine kiht – kokkuvõtlikud tingimused: põhitingimuste ülevaade vähem kui ühel leheküljel, mis ideaalis kasutab alapealkirjasid ja katab tingimuste geograafilist ulatust, kogutavaid isikuandmeid, andmete kasutamist ja jagamist, valikuid (nt andmetele ligipääsetavus), olulist lisainfot ja kontaktandmeid; • Kolmas kiht – terviklikud kasutustingimused oma õiguslikus täielikkuses. Heaks näiteks mitmekihilistest kasutajatingimustest on LinkedIni kasutajaleping, milles olulisemad põhi- mõtted on tekstist kõnekeelsete kokkuvõtetena välja toodud 55. Teenusepakkujatest sõltumatult on ka- sutajatingimusi hakanud analüüsima ja lihtsustama kogukonnad nagu ToS;DR 56 ja TOSBack57. Kirjeldatud esimese kihi alla võib liigitada ka hiljuti nii iOS kui Android rakenduste ökosüsteemides juu- rutatud privaatsusmärgised (privacy nutrition labels )58. Nende eesmärk on anda standardiseeritud kujul kokkuvõtlik ülevaade andmepraktikatest, mis inimestele tavaliselt muret teevad. Uuringud on siiski tuvas- tanud, et oma esialgsel kujul kaasnevad privaatsusmärgistega vääritimõistmised ja rahulolematus [ 143]. 55LinkedIn User Agreement https://www.linkedin.com/legal/user-agreement (viimati külastatud 23.02.2023). 56ToS;DR https://tosdr.org/en/about (viimati külastatud 23.02.2023). 57TOSBack https://tosback.org (viimati külastatud 23.02.2023). 58Apple Privacy Nutrition Labels https://www.apple.com/privacy/labels (viimati külastatud 23.02.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 86 / 138 ID D-16-175 Avalik Kokkuvõtlikult võib tõdeda, et ehkki universaalselt mõistetavast märgistusest (umbes nagu liiklusmär- gid) oleme veel kaugel, on privaatsusmärgised siiski lootustandev lahendus andmetöötluse läbipaistvuse suurendamisel. Privaatsusmärgiste parendamiseks vajalikest põhimõtetest annab ülevaate Cranor [ 144]. Täppisteatised ilmuvad ekraanile andmete sisestamise ajal ning informeerivad inimest ad hoc , kuidas sisestatavaid andmeid kasutatakse – just sellal, kui inimese jaoks on kõige relevantsem aeg selle infoga tutvumiseks. Need on eriti tõhusad olukorras, kus inimene jagab isikuandmeid näiteks ostu või muu inte- raktsiooni erinevates punktides – sageli organisatsiooni kodulehel vorme täites. Selles olukorras inimene tavaliselt ei mõtle, mis nendest andmetest toimingu sooritamise järgselt saab, samas kui täppisteati- sed tagavad selle info sobivates ühikutes inimeseni toomise, mis on tunduvalt tõhusam kui pikkadele kasutajalepingutele toetumine, mille kontekstiväline mõistmine on keerukas. Eriti tõhusad on täppisteati- sed kombinatsioonis teiste tehnikatega, tagamaks et rohkem informatsiooni soovivatel inimestel on selle hankimine antud olukorras lihtne. Näiteks võib täppisteatisega kaasuda link enama informatsiooni juurde. Andme- ja nõusolekukviitungid teenivad tarbijate vajadust lihtsate privaatsusväljavõtete järele, mis sel- gitavad, kuidas nende andmeid ja nõusolekuid kasutatakse, toetudes traditsioonilisele ostutšeki ana- loogiale. Uuringutes on demonstreeritud, et andmekviitungi juurutamine lisab isikuandmete kasutamisse lisa-läbipaistvuskihi, mis toetab usalduse kujunemist organisatsiooni ja selle klientide vahel [145]. Eriti just nõusoleku mõistmise puhul on traditsiooniliselt tegu olnud väga kompleksse interdistsiplinaarse problee- miga - iga veebipõhine nõusoleku juurutamine peab vastama kasutatavuse-, juriidilistele, tehnilistele ja ärinõuetele. Selle keerukuse tõttu on senised pingutused peamiselt keskendunud elementaarse regu- latsioonidega vastavuses olemisele ja nõusoleku automatiseerimisele ning vähem inimestele oma and- mete üle tõelise kontrolli tagamisele. Nõusolekukviitung pakub nõusolekusse puutuvate interaktsioonide talletamiseks uue ent tuttavatel alustel paradigma. Andmetöötleja seisukohalt tagab nõusolekukviitung nõusoleku kehtivuse demonstreerimise, samal ajal kui inimese jaoks pakub see läbipaistvust ja tõen- dusmaterjali võimalike nõusoleku väärkasutamise juhtude olukorras ning nõusolekust tulenevate õiguste realiseerimisel [ 146]. Andme- ja nõusolekukviitungeid võib kasutada eraldi, paralleelselt või omavahel seostatuna. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 87 / 138 ID D-16-175 Avalik Mitmekihilised kasutustingimused LÄBIPAISTVUS Inglise keeles: Layered notice form Lühidalt: Mitmekihilised kasutustingimused on arusaadavad nii tavalisele inimesele kui ka neid koostanud juristile. Arenduse keerukus: madal Ülalpidamise keerukus: madal Täpsus: — Privaatsusgarantii: organisatoorne lubadus Tehnoloogia küpsus: kõrge Ülevaatlik mudel:

Piiratud keskkonnas
esitamiseks Lühitingimused Tingimuste
kokkuvõte Täismahus teenuse
kasutamise tingimused Kasutaja Põhjalikum, kuid siiski lihtsas keeles Täielikud,
juriidilises keeles õiguslikult siduvad
tingimused Turvaeeldused ja jääkriskid:

  1. Turvaeeldus: kasutustingimused ja poliitikad on jõustatud organisatsiooniliste ja tehni- liste meetmetega.
  2. Jääkrisk: andmeid töödeldakse poliitikate vastaselt. Rakendusvõimalused:
  3. Kõik teenused, mis avaldavad kasutustingimusi. Õiguspraktika:
  4. Artikli 29 töörühm on soovitanud lihtsas kee- les mitmekihilisi kasutustingimusi IKÜM teavitusnõuete täitmiseks. Tuntumad rakendused: • LinkedIni kasutajaleping • Lihtsustatud tingimuste teenused ToS;DR ja TOS- Back • Apple Privacy Nutrition Labels Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 88 / 138 ID D-16-175 Avalik Täppisteatised LÄBIPAISTVUS Inglise keeles: Just-in-time notices Lühidalt: Täppisteatis ilmub ekraanile täpselt andmete sisestamise ajal ning ütleb, mida nende andmetega tegema hakatakse. Arenduse keerukus: madal Ülalpidamise keerukus: madal Täpsus: — Privaatsusgarantii: organisatoorne lubadus Tehnoloogia küpsus: kõrge Ülevaatlik mudel: Teenus Kasutaja Kaalub andmeelemendi sisestamist Esitab selle andmeelemendi kasutamise põhjenduse ja selgituse Viib andmeelemendi sisestamise lõpuni Turvaeeldused ja jääkriskid:
  5. Turvaeeldus: kasutustingimused ja poliitikad on jõustatud organisatsiooniliste ja tehni- liste meetmetega.
  6. Jääkrisk: andmeid töödeldakse poliitikate vastaselt. Rakendusvõimalused:
  7. Kõik teenused, mis koguvad elementhaaval and- meid. Õiguspraktika:
  8. Suurbritannia andmekaitsja ICO on täppistea- tiseid populariseerinud IKÜM nõuete täit- mise abivahendina. Tuntumad rakendused: — Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 89 / 138
Page 8 of 12