Privaatsuskaitse%20tehnoloogiate%20kontseptsioon%20%281%29.pdf

Type: Document | Status: ready
← All sources

ID D-16-175 Avalik Nõusoleku andmise kviitungid LÄBIPAISTVUS Inglise keeles: Consent receipts Lühidalt: Nõusoleku andmise kviitung meenutab andmesubjektile, kellele ta mille jaoks nõusoleku andnud on. Arenduse keerukus: madal Ülalpidamise keerukus: madal Täpsus: — Privaatsusgarantii: organisatoorne lubadus Tehnoloogia küpsus: keskmine Ülevaatlik mudel: Teenus Kasutaja Otsustab anda nõusoleku Edastab kasutajale nõusoleku kviitungi, mis kirjeldab teenust, selle tingimusi, nõusoleku andmise aega ning nõusoleku tagasivõtmise juhiseid Esitab andmetöötluse tingimused, poliitikad ja küsib nõusolekut Turvaeeldused ja jääkriskid:

  1. Turvaeeldus: nõusoleku eelduseks olevaid poliitikaid ja tingimusi jõustatakse organi- satsiooniliste ja tehniliste meetmetega.
  2. Jääkrisk: andmeid töödeldakse poliitikate vastaselt. Rakendusvõimalused:
  3. Kõik teenused, mis koguvad kasutajalt nõusole- kut, võivad väljastada selle kohta kviitungi. Õiguspraktika: — Tuntumad rakendused: — Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 90 / 138

ID D-16-175 Avalik 4.6 Sekkutavust toetavad tehnoloogiad 4.6.1 Sekkutavuse tehnoloogiate iseärasused Sekkutavus tähendab süsteemi omadust võimaldada sekkumist kõikvõimalikku hetkel toimuvasse või pla- neeritud privaatsuse seisukohalt relevantsesse andmetöötlusesse [ 138]. Eelkõige tähendab see inimese (andmesubjekti) võimalust andmetöötlusesse vahetult muudatusi teha ning korrektuure sisse viia. IKÜMi kontekstis hõlmab sekkutavus andmesubjekti õiguseid, andmete ülekantavust ning teisi kontrollimeet- meid nagu näiteks nõusolek. Sealhulgas teenib sekkutavus inimese õiguseid:

  1. katkestada teda puudutavate andmete edastamine kolmandale osapoolele;
  2. andmete korrigeerimiseks, tagasivõtmiseks ja kustutamiseks;
  3. nõusoleku tagasivõtmiseks ja
  4. andmetöötluse või selle tulemuse vaidlustamiseks. Sekkutavus on oluline ka teiste osapoolte jaoks – näiteks olukorras, kus kolmanda osapoole pilvteenust kasutav ettevõte peab kustutama oma (üksikisikust) kliendi isikuandmed. Sekkutavuse juurutamine loob süsteemi arendusse nii funktsionaalseid kui mittefunktsionaalseid lisanõu- ded. Süsteem peab olema piisavalt töökindel, tulemaks toime kasutajate sekkumisest tingitud andmete osalise kättesaadamatuse. Süsteemi talitlus peab kohanema andmete eemaldamisega kasutaja soovil. Parajasti toimivatesse (andmetöötlus)protsessidesse sekkumise võimaluse välja ehitamine. Sõltuvalt ra- kenduskohast võib see olla võimalik nõusoleku tagasivõtmisega. 4.6.1.1 Privaatsus- ja andmetöötluspaneelid ning iseteenindused Privaatsuspaneelid on konkreetse teenuse või rakenduse kasutajaliidese komponendid, mis annavad üle- vaate, missuguseid andmeid kogutakse, kuidas neid kasutatakse, missuguste kolmandate osapooltega jagatakse jne. Niisuguste paneelide kujundamisel on vaja pöörata tähelepanu, et kasutajaid mitte eksi- teele juhtida, et nad oma seadistusi kohandades soovitud privaatsuseesmärkidest hoopis ei eemalduks. Kuna informatsioon on esitatud deklaratiivsel moel, on peab kasutaja otsustama, kas usaldab, et teenu- sepakkuja esitab andmetöötlust ja privaatsust puudutavat situatsiooni ausal ja ammendaval moel. Paljude organisatsioonide puhul moodustavad privaatsus- ja andmetöötluspaneelid osa üldisemast vee- bipõhisest iseteeninduskeskkonnast, mis loovad võimaluse tutvuda enda kohta kogutud andmetega ning neid teatud ulatuses hallata, näiteks oma andmeid mujal kasutamiseks alla laadida, täites seega IKÜM nõudeid oma andmetest koopia saamiseks. Näited privaatsuspaneele ja iseteeninduskeskkondasid hõlmavatest teenustest • Eesti Andmejälgija 59 • Eesti Maksu- ja Tolliameti iseteenindus • Patsiendiportaal (Eesti Tervise Infosüsteem) • Google Andmed ja privaatsuspaneel • Android 12 Privacy Dashboard paneel ( Settings → Privacy → Privacy Dashboard) kuvab, missugused rakendused on neile antud ligipääsuõigusi viimati kasutanud • Facebook General Account Settings paneel • Apple Data and Privacy paneel 4.6.1.2 Dünaamiline nõusolekute haldus Nõusoleku kasutamine andmetöötluse alusena tähendab inimesele tõelise valiku ja kontrolli tagamist. Tõeline nõusolek peaks andma inimesele otsustusõiguse ja -võimaluse, toetama usalduse ja osalemise 59Andmejälgija https://www.ria.ee/riigi-infosusteem/inimkeskne-andmehaldus/andmejalgija (vii- mati külastatud 23.02.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 91 / 138 ID D-16-175 Avalik kasvu inimese ja andmetöötleja vahel ning positiivselt mõjutama andmetöötleja reputatsiooni. Nõusolek peab olema ühetähenduslik ja hõlmama inimese tehtava valiku ühemõttelist kinnitust. Nõusoleku tagasi- võtmine peab olema sama hõlbus nagu selle algne andmine. Selleks sobivad eelkirjeldatud privaatsus- ja andmetöötluspaneelid, kus kasutaja saab oma eelistusi muuta. Andmetöötleja IT-süsteemi ülesehitusest ja haldusprotsessidest sõltub, kas andmesubjekti nõusoleku tagasivõtmine katkestab andmetöötluse va- hetult või viiteajaga. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 92 / 138

ID D-16-175 Avalik Nõusolekute haldus (dünaamiline nõusolek) SEKKUTAVUS Inglise keeles: Dynamic consent Lühidalt: Dünaamiline nõusolek lubab kasutajal lihtsalt muuta oma varasemaid nõusolekuotsuseid. Arenduse keerukus: keskmine Ülalpidamise keerukus: madal Täpsus: — Privaatsusgarantii: tõestatavat privaatsusgarantiid ei ole Tehnoloogia küpsus: organisatoorne lubadus Ülevaatlik mudel: uuringu-  osaliste värbamine esmane informeeritud nõusoleku andmine/võtmine jätku-uuringud uuringus osalev inimene nõusoleku
dünaamiline uuendamine uuringut läbiviiv teadlane kommunikatsioon Turvaeeldused ja jääkriskid:

  1. Turvaeeldus: andmetöötluse jaoks nõusole- ku võtnud osapool peab tagama nõusole- ku tingimuste täitmise.
  2. Turvaeeldus: kui nõusoleku andja esitab uue tahteavalduse, siis peab nõusoleku võtja tagama selle täitmise.
  3. Jääkrisk: andmeid töödeldakse poliitikate või tahteavalduse vastaselt. Rakendusvõimalused:
  4. Juurutatav kõikvõimalikes nõusolekupõhistes süsteemides, mitte vaid teaduslikes. Õiguspraktika:
  5. Nõusolek peab olema spetsiifiline, ent tea- dusuuringutes kasutatakse ka nn ”laia nõusoleku”lähenemist, mille õiguspära- suses ei saa täielikult kindel olla. Dünaa- miline nõusolek lahendab selle probleemi, võimaldades nõusoleku andmist erineval üldistustasemel. Tuntumad rakendused:
  6. Eesti nõusolekuteenus (Riigi Infosüsteemi Amet)
  7. Eleringi Estfeedi nõusolekuteenus
  8. TEHIKu nõusolekuteenus Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 93 / 138 ID D-16-175 Avalik 5 Teiste riikide kogemused ja rakendused 5.1 Ameerika Ühendriigid 5.1.1 Ameerika Ühendriikide ja Ühendkuningriigi PET programm
  9. aastal algas Ameerika Ühenriikide ja Ühendkuningriigi vahelise koostööprojektina US-UK Prize Challenge on PETs [147], mille eesmärgiks on kokku tuua erinevate valdkondade esindajad privaatsuskait- se tehnoloogiatel põhinevate lahenduste uurimiseks, arendamiseks ja kasutuselevõtuks. Võistlust veavad USA poolt Valge Maja teadus- ja tehnoloogiaamet ( Office of Science and Technology Policy , OSTP), USA standardimisagentuur NIST ja riiklik teadussihtasutus NSF. Projekti alguses püstitati kaks suuremat probleemi, mille lahendustena oodatakse privaatsuskaitse teh- noloogiate kasutamist. Nendest esimene on finantskuritegude ennetamine – eesmärk on privaatsuskaitse tehnoloogiaid kasutada asutustevaheliste andmete kombineerimisel ja ühisel andmeanalüüsil, et tuvas- tada ja ennetada rahapesu ja muid finantskuritegusid. Teine ülesanne on privaatsuskaitse tehnoloogiate abil üksikisikute nakatumise riski hindamine pandee- mia ajal. Esimese etapi jooksul esitati võistlusele 76 tehnilist raportit, mille seast valiti võitjatena välja
  10. Võistluse teises etapis peavad võistlejad ehitama raportis välja pakutud lahenduse prototüübi, mille privaatsust ja turvalisust kolmandas etapis testima hakatakse. 5.1.2 Privaatsuskaitse tehnoloogiad õigusaktides Koduostu järel on kõrgharidus tihti Ameerika Ühendriikide kodanike elu suurim investeering. Selleks, et tulevased tudengid saaksid kõrgema hariduse omandamisega seotud otsuseid paremini teha, on USA kongressile esitatud õigusakt Student Right to Know Before You Go Act of 2019 [148]. Õigusakti eesmärk on koostada täpsem, täielikum ja turvalisem andmesüsteem, mille abil saab soovija kõrgharidusasutuse kohta teha päringuid. Näiteks võib uurida kooli sisseastujate ja lõpetajate arvu või keskmist lõpetamisjärgset sissetulekut. Õi- gusaktis on täpsustatud, et andmete hoiustamiseks ja töötlemiseks tuleb kasutada turvalist ühisarvutust (peatükk 4.2.10) või tehnikaid, mis pakuvad sama head või paremat turvalisust ja privaatsust. Kasutatud tehnikad peavad tagama, et toorandmeid näeks ainult andmete sisestaja ja et süsteemis olevate andmete kohta ei avalikustata teistele osapooltele midagi peale õigusaktis välja toodud analüüside tulemite. 5.1.3 Rahvaloenduse anonüümitud ja avaandmetena avaldatud tulemite tagasituvastamine Enne diferentsiaalprivaatsuse rakendamist, alates aastast 1990, kasutas Ameerika Ühendriikide statisti- kaamet rahvaloenduse andmete analüüsimisel ja tulemuste avaldamisel anonüümimist. Peamiselt kasu- tati andmete saalimist. Vähemal määral asendati unikaalseid väärtuseid genereeritud väärtusega, milleks
  11. aasta rahvaloendusel kasutati ka sünteetilisi andmeid [ 149]. Teadlased on näidanud, et anonüümimise rakendamine ei takista tihti isikute tagasituvastamist [ 35]. Ar- tiklis pakutakse välja mudel, millega saab hinnata inimese unikaalsust, ning seda kasutades näidatakse, et 99.98% ameeriklastest on võimalik tagasituvastada 15 demograafilise tunnuse põhjal. Ka USA statisti- kaamet suutis 2010. aasta rahvaloenduse tulemite ja kommertsandmebaasidest saadud andmete põhjal tagasituvastada 52 miljoni anonüümitud isiku geograafilise asukoha, soo, vanuse, rassilise ja etnilise kuu- luvuse [150]. See viis Ameerika statistikaameti diferentsiaalprivaatsuse kasutamiseni. 60https://petsprizechallenges.com (viimati külastatud 02.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 94 / 138 ID D-16-175 Avalik Diferentsiaalprivaatsus Ameerika Ühendriikide rahvaloendusel Lühidalt: Ameerika Ühendriikide statistikaamet kasutas 2020. aasta rahvaloenduse andmete analüüsimisel diferentsiaalprivaatsust, et muuta tagasituvastamise võimalikult raskeks. Teostamise aasta: 2020 Riik: Ameerika Ühendriigid Omanik: Riiklik statistikaamet (US Census) Teostaja: Riiklik statistikaamet (US Census) Süsteemi küpsus: püsiv juurutus Privaatsuskaitse tehnoloogiad:
  12. diferentsiaalprivaatsus Sobivad kasutusjuhtumid: avaandmed Ülevaatlik mudel: Rahvaloenduse andmekogu ⬇︎Paindlikkus Lubatud päring Lisatud müraga päringu vastus ⬆︎ Privaatsus Päring Tulem Elanik 2 ... Elanik 1 Elanik k USA statistikaamet Märkimisväärsed omadused:
  13. Loenduse põhjal oli aastal 2020 USA rahvaarv 331 449 281.
  14. Diferentsiaalprivaatset andmete avaldamist on vaidlustatud kohtus, kuid edutult.
  15. Lahendus on saanud palju meediakajastust. Üldiselt kajastatakse privaatsuse olulisust ning tuuakse eraldi välja, et väiksema privaatsusriive tõttu on küsitluste vastamisprotsent suurem, eriti vähemus- te esindajate seas.
  16. Kasutusjuhu positiivne ühiskondlik mõju on inimeste privaatsuse parem kaitse ja selle tõttu parem suhtumine rahvaloendusesse. Samas on tagatud piisavalt täpsed tulemused olulisemate analüüside tegemisel. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 95 / 138

ID D-16-175 Avalik 5.1.4 Diferentsiaalprivaatsusega rahvaloendus Ameerika Ühendriikide statistikaamet on kogu rahvaloenduse andmete avaldamise teinud diferentsiaal- privaatsusega. 2020. aasta Ameerika Ühendriikide rahvaloendus, mille tulemusi analüüsiti ja avalikustati diferentsiaalprivaatsuse abil [149]. USA rahvaloenduse korraldamist kohustab USA põhiseadus ( Article I, Section 2 ). Loendust on läbi viidud alates aastast 1790 iga kümne aasta järel. Rahvaloenduse põhjal muudetakse näiteks Ameerika Ühend- riikide kongressi esindajatekoja valimisringkondi ja pannakse paika osariikide föderaalse rahastuse jao- tust. Rahvaloendusel kogutavate andmete kaitset käsitlev US Code Title 13 keelab privaatsete andmete avaldamise või nende kasutamise muudel põhjustel kui varem täpsustatud statistiliste analüüside koos- tamiseks. Rahvastikuteadlased on avaldanud arvamust, et kuigi diferentsiaalprivaatsuse kasutamine annab piisavalt täpseid tulemusi rahvaarvu kohta suuremates piirkondades, ei pruugi see nii olla väiksemates piirkonda- des ja rahvastiku alamgruppide osas. Probleemidena on näiteks välja toodud võimalikud ebatäpsused väiksemate piirkondade vähemuste esindatuses [ 151] ja imikusuremuses [ 152]. Süsteemi on parasjagu kajastatud ning ka kritiseeritud [ 153, 154, 155, 156, 157]. Diferentsiaalprivaatsuse kasutamise tõttu algatas Alabama osariik hagi, väites, et tehnoloogia kasutuselevõtu tõttu avaldatakse valimisringkondade koostamiseks vajalikud arvud liiga hilja ja avalikustatud arvud on ebatäpsed. See ha- gi jäeti rahuldamata [ 158]. Bostoni teadlaste sooritatud uuringu[ 159] põhjal võimaldavad uued tehnikad tasakaalustatud ja piisavalt täpset valimisringkondade jaotust. Kaitsmaks vastajate isiklikke andmeid, on USA statistikaamet alates 1930. aastast teinud muutusi analüü- side tulemuste avaldamises. Kui esialgu jäeti välja tulemid väikeste kogukondade kohta, siis 1990. aasta rahvaloendusest alates lisati kogutud andmetele ka müra. Selleks kasutati muuhulgas andmete saalimist, erindite eemaldamist või asendamist, tabelite või nende lahtrite varjamist. Vaatamata nendele abinõu- dele suutis USA statistikaamet 2010. aasta rahvaloenduse tulemite ja kommertsandmebaasidest saadud andmete põhjal tagasituvastada 52 miljoni isiku geograafilise asukoha, soo, vanuse, rassilise ja etnilise kuuluvuse. 2020. aasta rahvaloenduse andmete analüüsimisel kasutati diferentsiaalprivaatsuse tehnikaid, mis või- maldavad privaatsuseelarve hoolikal kasutamisel avalikustada võimalikult täpseid tulemusi, hoides samal ajal ära privaatsusriiveid. Tulemuste järeltöötluse käigus parandatati olulised loogikavead nagu negatiiv- ne või murruline inimeste arv teatud piirkonnas. Erandina avalikustati täpse väärtusena üksikud olulised statistikud nagu iga osariigi elanike arv. 5.1.5 Turvalise ühisarvutuse kasutamine palgalõhe uurimisel Bostoni linna naiste tööjõu nõukogu ( Boston Women Workforce Council, BWWC) viib iga kahe aasta järel läbi Bostoni soolise ja rassilise palgalõhe uuringut, et mõõta ja analüüsida sealsete ettevõtete, ametkon- dade ja muude organisatsioonide tööliste andmeid. Tundlikkuse tõttu analüüsitakse andmeid turvalise ühisarvutuse abil [ 160, 161, 162]. Turvaline ühisarvutus võimaldab uurida palgaandmeid vastavalt inimeste soole, rassile, töökategooriale ilma privaatseid andmeid avaldamata. Uuring näitas, et sotsiaalseid probleeme saab tehnoloogia abil ana- lüüsida ilma inimeste privaatsust riivamata [ 163], mistõttu soovitatakse privaatsuskaitse tehnoloogiatel põhinevaid lahendusi ka muude sotsiaalsete probleemide uurimiseks [ 164]. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 96 / 138 ID D-16-175 Avalik Bostoni palgalõheuuring Lühidalt: Bostoni linnas kogutakse regulaarselt andmeid, et hinnata erinevate inimgruppide palgatasemete võrdsust. Teostamise aasta: 2015, 2016, 2018, 2020 Riik: Ameerika Ühendriigid ( Greater Boston Area ) Omanik: Boston Women’s Workforce Council (BWWC) Teostaja: BWWC üheskoos Bostoni ülikooli Hariri instituudiga Süsteemi küpsus: püsiv juurutus Privaatsuskaitse tehnoloogiad:

  1. turvaline ühisarvutus Sobivad kasutusjuhtumid: privaatne analüütika Ülevaatlik mudel: Krüpteeritud Kollektiivne analüüs Krüpteeritud andmed Krüpteeritud andmed Krüpteeritud andmed Osapool A Osapool COsapool B Ettevõte 1 ... Ettevõte k Bostoni soolise ja rassilise palgalõhe raport Privaatsus Jõudlus Tundlikud andmed Tundlikud andmed Dekrüpteeritud tulemused Turvalise ühisarvutuse juurutamine Märkimisväärsed omadused:
  2. Aastal 2020 koguti andmeid 134 tööandjalt enam kui 156 000 töötaja kohta, kelle kollektiivne aastapalk ületas 17 .4 miljardit dollarit.
  3. Bostoni palgalõheuuring oli tehnoloogiat ja valdkonda silmas pidades esimene omalaadne Ameerika Ühendriikides. See oli esimene kord, kui palganumbrite aruandlus toimus anonüümsuse ja vaba- tahtlikkuse alusel.
  4. Uuring näitas, et sotsiaalseid probleeme saab tehnoloogia abil analüüsida ilma inimeste privaatsust riivamata ning selline analüüsiviis on nüüd muutunud regulaarseks. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 97 / 138 ID D-16-175 Avalik 5.1.6 Ameerika Ühendriikide tehnoloogiafirmade aktiivsus PETide rakendamisel Tehnoloogiafirma Google on esimene ja üks suurimaid liitõppe juurutajaid. Aastal 2017 tutvustasid nad nii tehnoloogiat kui selle esimest kasutusjuhtu: liitõpe nutitelefonide virtuaalklaviatuuri Gboard tekstiprog- noosi ja sõnade automaatjätkamise jaoks [50]. Liitõppe juurutamise lihtsustamiseks on Google abiga välja töötatud vabavaraline teek Tensorflow Federated61. COVID-19 pandeemia alguses kasutas Google diferentsiaalprivaatsust, et koostada ja avaldada privaat- sust säilitavaid raporteid inimeste liikumismustrite kohta. Selleks jälgiti nutiseadmeid, millel oli sisse lüli- tatud asukoha ajaloo säilitamine. Loeti kokku, mitu erinevat sellise nutiseadme kasutajat külastas teatud avalikku kohta. Tulemused agregeeriti ja anonüümiti, seejärel rakendati diferentsiaalprivaatsust. Koosta- tud raportite eesmärgiks oli informeerida terviseameteid ja aidata neil võtta vastu otsuseid nakatumiste vähendamiseks [165]. Google on välja arendanud ka vabavaralise täishomomorfse krüpteerimise teegi [ 166]. Meta arendab ja testib privaatsuskaitse tehnoloogiaid peamiselt isikustatud reklaamide pakkumiseks ja nende tõhususe hindamiseks [ 167]. Näiteks võib turvaline ühisarvutus tulevikus võimaldada Meta plat- vormidel reklaamijatel hinnata suunatud reklaamide tõhusust, s.t. arvutada, kui suur osa reklaamile vajuta- jatest sooritab uuele lehele suunatult sealt ostu 62. Lisaks arendab Meta liitõppesüsteeme, mis kasutavad tulemuste agregeerimisel diferentsiaalprivaatsust ja usaldatud käivituskeskkondi. [ 168]. Apple kasutab liitõpet masinõppe mudelite treenimiseks [ 169]. Tõenäoliselt kõige tuntum kasutuslugu on isikupõhine kõnetuvastus, nimelt suudab Siri õppida isiku sõnavara ja keelekasutust liitõppe abil. Lisaks kasutatakse liitõppega treenitud mudeleid näiteks uudiste soovitamiseks, tekstiprognoosiks ja emoji’de soovitamiseks, ning jõudlusprobleeme tekitavate andmetüüpide tuvastamiseks. Andmete agregeerimisel kasutatakse diferentsiaalprivaatsust ja pseudonüümimist. Safari kasutab teatud juhtudel analüütiliste andmete korjamisel diferentsiaalprivaatsust. 63 Kaardiraken- dus Apple Maps kasutab ühe isiku seadmete sünkroonis hoidmiseks otspunktkrüpteerimist ning ajuti- si juhuslikke identifikaatoreid ning asukoha hägustamist. Rakenduse laiendite jaoks kasutatakse aedi- kuid [170]. Suhtlusrakendused FaceTime ja iMessage võimaldavad otspunktkrüpteeritud suhtlust [ 170]. Microsoft on aktiivne privaatsuskaitse tehnoloogiate arendamisel ja kasutuselevõtmisel. Nende välja töö- tatud karkass CCF võimaldab turvaliste käivituskeskkondade abil plokiahela võrgus krüpteeritud tehin- guid sooritada, pakkudes tehingute tervikluse kontrollimise võimalust koos paremate konfidentsiaalsus- garantiidega. CCF on mastabeeritav, võimaldades töödelda üle 50 000 tehingu sekundis, ning suudab toetada olemasolevaid plokiahelprotokolle. [ 171]. Microsofti platvorm EXP toob töötaja mugavuseks kokku erinevad kommunikatsiooni, õppimise ja analüü- tika tööriistad. Platvormi alamteenus Viva Insights kasutab umbisikustamist ja diferentsiaalprivaatsust, et võimaldada organisatsiooni näitajate uurimist, riivamata töötajate privaatsust [ 172]. Microsofti veebibrauseri Edge parooligeneraator ja -monitor kasutavad homomorfset krüpteerimist, et sooritada päringuid krüpteeritud andmete põhjal, nägemata pääsumandaate. Paroolimonitor teavitab ka- sutajat, kui tema paroolihalduri andmefailist on üks või mitu parooli lekkinud [ 173]. Suhtlusrakendus Signal on välja töötatud Ameerika Ühendriikides. Algselt ettevõtte Whisper Systems ning seejärel ettevõtte Open Whisper Systems poolt välja arendatud rakenduste RedPhone ja TextSecu- re järeltulijana on Signal tuntud vestluste otspunktkrüpteerimise ja sellega kaasnevate privaatsusgaran- tiide poolest. Moxie Marlinspike, kes oli nii Whisper Systems kui Open Whisper Systems asutaja, pani koos WhatsAppi kaasasutaja Brian Actoniga aastal 2018 aluse mittetulunduslikule organisatsioonile Sig- nal Technology Foundation, mis sellest ajast suhtlusrakendust edasi arendab [ 124]. Praegu kasutavad 61Tensorflow Federated https://www.tensorflow.org/federated (viimati külastatud 02.03.2023). 62https://github.com/facebookresearch/fbpcf (viimati külastatud 02.03.2023). 63Safari Privacy Overview https://www.apple.com/safari/docs/Safari_White_Paper_Nov_2019.pdf (vii- mati külastatud 02.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 98 / 138 ID D-16-175 Avalik tehnoloogia aluseks olevat protokolli salajasteks vestlusteks ka kinnise lähtekoodiga suhtlusrakendused nagu Google Messages, Facebook Messenger ja Skype. 5.1.7 Teadus- ja standardimisprogrammid ning nende tulemid Sibulmarsruutimise tehnoloogia töötati välja USA mereväe teaduslaboris möödunud sajandi lõpus, seejä- rel arendas seda edasi USA Kaitseministeeriumi teadusagentuur DARPA. Aastal 1998 patenteeris tehno- loogia merevägi. Aastal 2002 pandi alus Tor projektile ja aastal 2006 mittetulunduslikule organisatsioonile The Tor Project, Inc, mida veavad vabatahtlikud. 6465 Ameerika teadusagentuurid nagu DARPA, IARPA, NSF jt rahastavad süsteemselt privaatsuskaitse tehno- loogiaid arendavaid programme nagu PROCEED 66, Brandeis 67, SIEVE 68, HECTOR69. Standardimisagentuur NIST on USA Kaubandusministeeriumi mitteregulatiivne agentuur, mis arendab metroloogiat, standardeid ja tehnoloogiaid. NIST on avaldanud diferentsiaalprivaatsuse kasutusjuhtudele ja tehnilistele aspektidele pühendatud blogipostituste sarja 70. Sarja eesmärk on anda talitusprotsesside omanikele ülevaade diferentsiaalprivaatsuse põhitõdedest ning aidata privaatsustehnikutel diferentsiaal- privaatsusega seotud tööriistu 71 implementeerida. Ekspertidest vabatahtlike abiga loodetakse blogisar- jast teha põhjalikum ja laiaulatuslikum diferentsiaalprivaatsusjuhend. Lisaks diferentsiaalprivaatsusele on blogisarjas uuritud ka privaatsust säilitavat krüptograafiat, ohumudeleid ning andmebaaside päringute loomist. NIST algatas koostöös USA ja Ühendkuningriigi asutuste ja ametkondadega privaatsuskaitse tehnoloo- giatega seotud innovatsioonile pühendatud võistluseUS-UK Prize Challenges on Privacy Enhancing Tech- nologies [147]. Eelmainitud algatused on osa asutuse riskihalduse raamistiku teekaardist, mille eesmärk on toetada pi- devat arengut ja koostööd avaliku sektori ja erasektori asutuste privaatsusriskide haldamisel [ 174]. 5.2 Holland 5.2.1 Privaatsuskaitse tehnoloogiad riigi teekaardil Hollandi Majandus- ja Kliimapoliitika ministeeriumi eestvedamisel koostatakse krüptograafia teekaarti, milles on osa ka privaatsuskaitse tehnoloogiatel [ 175]. Eraldi tuuakse dokumendis välja võimalusi privaat- suskaitse tehnoloogiate kasutamiseks tervishoiusektoris, kus andmed on eriliigilised, aga samas väärtus- likud haiguste uurimisel. 5.2.2 Teadus- ja standardimisprogrammid Rakendusuuringute organisatsioon TNO uurib teadusprogrammi ERP raames, kuidas rakendada krüp- tograafiat ühiskondlike probleemide lahendamiseks. Muuhulgas kavatsetakse uurida privaatsuskaitse 64https://www.torproject.org (viimati külastatud 02.03.2023). 65https://en.wikipedia.org/wiki/Tor_(network) (viimati külastatud 02.03.2023). 66PROgramming Computations on EncryptEd Data (PROCEED) https://www.darpa.mil/program/ programming-computation-on-encrypted-data (viimati külastatud 24.02.2023). 67Brandeis https://www.darpa.mil/program/brandeis (viimati külastatud 24.02.2023). 68Securing Information for Encrypted Verification and Evaluation (SIEVE) https://www.darpa.mil/program/ securing-information-for-encrypted-verification-and-evaluation (viimati külastatud 24.02.2023). 69Homomorphic Encryption Computing Techniques With Overhead Reduction (HECTOR) https://www.iarpa. gov/research-programs/hector (viimati külastatud 24.02.2023). 70Differential Privacy Blog Series https://www.nist.gov/itl/applied-cybersecurity/ privacy-engineering/collaboration-space/focus-areas/de-id/dp-blog (viimati külastatud 02.03.2023). 71De-identification Tools https://www.nist.gov/itl/applied-cybersecurity/privacy-engineering/ collaboration-space/focus-areas/de-id/tools (viimati külastatud 02.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 99 / 138 ID D-16-175 Avalik tehnoloogiate kasutamist pilditöötlusel videovalvesüsteemides, logistiliste ahelate optimeerimisel ja ha- jusa targa elektrivõrgu loomisel [ 176]. 5.2.3 Privaatsuskaitse tehnoloogiad statistikas Hollandi statistikaamet CBS on privaatsuskaitse tehnoloogiaid uurinud juba alates 2018. aastast. Tehno- loogiate abil saaks statistilistel analüüsidel kaasata andmeid osapooltelt, kes andmeid muidu jagada ei soovi või näiteks juriidilistel põhjustel neid jagada ei tohi. Hetkel uurib statistikaamet koostöös Groninge- ni ja Maastrichti ülikoolidega võimalusi üksteise ühendandmete analüüsimiseks ilma andmeid jagamata. Tulevikus võivad privaatsuskaitse tehnoloogiad aidata statistikaametil hoiustada andmeid turvalisemalt ja jätkusuutlikumalt [ 177].
  5. aasta alguses avaldas CBS, et nad uurivad ja katsetavad sünteetiliste andmete genereerimist pri- vaatsuskaitse tehnoloogiana. Kogemuste saamiseks sünteesisid nad Hollandi iduettevõtte Syntho valmis- tatud tarkvarapaketi abil Hollandi äriregistri andmeid. 72 Statistikaameti hinnangul oli andmete genereeri- mine edukas. Samas leiti, et genereeritud andmeid peaks kasutama peamiselt asutusesiseselt tarkvara testimiseks. Lisaks toodi välja, et sünteetiliste andmete avaldamisel võib lekkida infot algse andmestiku kohta ning vastavaid riske peab rohkem uurima. Hollandi statistikaamet CBS lubab kasutada pseudonüümitud mikroandmeid välistel osapooltel turvalises kaugpääsu keskkonnas [ 178]. Süsteem on püsivas arenduses. 72https://www.cbs.nl/en-gb/about-us/innovation/project/what-is-synthetic-data- (viimati kü- lastatud 02.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 100 / 138 ID D-16-175 Avalik Hollandi statistikaameti analüütiku töökoht Lühidalt: Kasutaja võib omalt poolt keskkonda andmeid üleslaadida ja viia läbi statistilisi analüüse või treenida masinõppe mudeleid. Teostamise aasta: Alates 2006 Riik: Holland Omanik: Riiklik statistikaamet Teostaja: Riiklik statistikaamet Süsteemi küpsus: püsiv juurutus Privaatsuskaitse tehnoloogiad:
  6. pseudonüümimine
  7. juurdepääsupiirangu rakendamine Sobivad kasutusjuhtumid: avaandmed Ülevaatlik mudel: CBS Andmekogu Usaldatud kasutaja Andmetöötlusülesanne Tulem Tulem Automaatne või käsitsi kontroll Lubatud tulem ⬆︎ Privaatsus Päring Märkimisväärsed omadused:
  8. Juurdepääs andmetele on piiratud nii juriidiliste (konfidentsiaalsuslepingud), kui ka tehniliste meetme- tega (VPN ja Citrix kliendirakendus). Lisaks peab kasutajal olema pääsmik, PIN-kood, mobiiltelefon ja kasutajanimi/parool. Kasutaja ei saa tulemusi keskkonnast välja võtta ilma statistikaameti nõus- olekuta. Enne tulemuste väljastamist hinnatakse nende tundlikkust, et vältida nii mikroandmete kui võimalike privaatsust riivavate tulemuste lekkimist.
  9. Süsteemi on hinnanud komitee, mis tõi välja valupunkte ja juhiseid turvalisuse parandamiseks. Tõsiseid puudujääke ei tuvastanud, kuid alates 2021. aasta augustist on komitee koostatud raporti põhjal sisse viidud uuendusi.
  10. Kuigi tõsiseid suuremahulisi ründeid süsteemi vastu pole teada, on kasutajad ise tunnistanud, et huvi korral oleks võimalik pseudonüümitud andmetest üksikisikuid tuvastada. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 101 / 138
Page 9 of 12