Minu isikuandmed on minu omad!
Eestis on ID-kaardi näol olemas tugev digitaalne autentimislahendus ning X-tee täiendab seda hõlpsalt kasutatavate andmebaasidega. Me saame logida sisse netipanka ja maksuametisse ning vaadata oma andmeid eesti.ee portaalist, samuti saab ametnik oma volituste piires ligi minu andmetele... Aga sellega käivad kaasas mõned probleemid:
- Esiteks: absoluutne isikutuvastus on oluline pangas, aga ID-kaardi levik toob kaasa hulga muid rakendusi nagu isikutuvastus veebiväljaande kommenteerimisel või sotsiaalsesse keskkonda sisselogimisel.
- Teiseks: puudub lahendus, mis annaks minule vabadus otsustada, kes minu andmetele ligi pääseb ning mida nendega ette võtta võib.
Kumbki neist pole pelgalt teoreetiline probleem: näiteks augustis 2005 võttis Postimehe ajakirjanik Aleksei Günter nõuks analüüsida logifaile ja avaldas artikli, kus tõi välja riigiametitest pärit kommentaarid ja sagedaimad kommenteerijad koos mahlaseimate kommentaaridega. Kas tegu on kasutustingimustes antud lubaduse „OÜ Postimees Online garanteerib kommentaatorite isikuandmete (sh kontaktaadressi) salastatuse" rikkumisega? Soovitaksin seda olukorda võrrelda augustis 2006 AOL poolt avaldatud 650 tuhande kasutaja otsiajalooga, millest usinad reporterid suutsid anonüümsusele vaatamata tuvastada näiteks 62-aastase Thelma Arnoldi. Ka Postimehele anonüümsena tunduv info võib mõne teisel osapoolel olemasoleva infokillu lisamisel osutuda isikustatavaks.
Postimehel on vähemalt kasutustingimustes punktid, mis puudutavad isikuandmeid ja autoriõigusi, samas kui oluliselt isiklikum rate.ee teatab lihtsalt „Rate.ee omanikud garanteerivad, et ei avalda sinu Rate.ee saidil olevat/olevaid pilti/pilte online või offline väljaannetes, mis rikuvad Eesti Vabariigi seadust. Rate.ee omanikud jätavad endale õiguse kasutada sinu Rate.ee-s olevat/olevaid pilti/pilte oma eesmärgil ilma sinu nõusolekuta tingimusel, et pildi kasutamine pole vastuolus üldkehtivate eetikanormide ja Eesti Vabariigis kehtivate õigusaktidega." Ülejäänud isikuandmete kaitse läheb tõenäoliselt punkti alla „Rate.ee omanikud ei vastuta saidi kasutamisest tekkivate võimalike tagajärgede eest."
Ma tõin välja kaks suurt tegijat mitte eesmärgiga neile ette heita, vaid küsimaks: kui tehnilisele ja juriidilisele kompetentsile juurdepääsu omavad ettevõtted annavad mulle võimaluse neid näitena kasutada, siis mida arvata väiksematest tegijatest? ID-kaart on tehnoloogilises mõttes lihtsaim ja odavaim viis absoluutseks isikutuvastuseks ning ID-kaardi kasutuse levik toob peagi seda vajavate kõrvale need, kes võiksid piirduda oluliselt väiksema infoga minu isikust või õigupoolest selle osaga minu identiteedist, mida ma ise olen nõus nendega jagama.
Dick Hardt seletab oma Identity 2.0 ettekandes reaalset olukorda, kasutades näiteks pildiga isikut tõestavat dokumenti ja vanusekontrolli nõudvat müügitehingut.
See siin on minu juhiluba, selle on välja andnud Eesti Riiklik Autoregistrikeskus, mis lisaks juhtimisõiguse olemasolule kontrollis minu nime, pildi, isikukoodi ja selle läbi sünnipäeva vastavust. Tänu sellele saan ma seda kasutada mitmeks rakenduseks: autorendifirma veendub pildil kujutatu õiguses juhtida sõiduautot, pangateller kontrollib nime ja pildi kokkulangevust ning poodnik saab teada pildil olija vanust teades seadust täita.
Mida peaks aga minu kohta teadma EPL.ee, nagi.ee ja tom.riik.ee mis juba võimaldavad ID-kaardiga sisselogimist või need tuhanded veebisaidid, mis võiksid seda teha? Rate.ee võiks teada vanust, võib-olla ka sugu, aga nime osas olen ma äraootaval seisukohal. EPLil võiks olla teadmine, et vaenu õhutamise korral olen ma tuvastatav, aga meenutades kasvõi mullusuvist andmebaasileket ei pea ma õigeks neile rohkem infot usaldada. Tom.riik.ee võiks tagada, et arvamuse või allkirja taga on üks reaalne kodanik, aga sellega ei peaks kaasas käima võimalus otsida Google'ist minu nime ja saada teada, milliste petitsioonide poolt või vastu olen ma hääletanud.
Ehk täpselt samuti, nagu meil hetkel on riigi jaoks olemas X-tee, mis võimaldab valikulist ligipääsu, peaksin mina saama panna kokku erinevad identiteedipakid: nimi ja isikukood, pilt ja kinnitus et olen vanem kui 18 - sest müüjale pole tähtis minu vanus, vaid see, et olen vähemalt 18 - või alias ja kinnitus, et see on minu ainus alias selles veebisaidis.
Õigupoolest on minu identiteet laiem, kui siin korduvalt viidatud faktid: lisaks minu blogi, minu Amazonist ostetud raamatud, organisatsioonid, mida fännan, ajakirjad mida loen, uudised mida jälgin jne. Paraku on suur hulk sellest infost väljaspool minu poolt kontrollitavat virtuaalruumi ja mul puudub nii juriidilises kui tehnilises mõttes võimalus seda identiteeti hallata. Ma ei saa Amazoni ostuajalugu anda üle raamat.ee'le ja sellega mõjutada Tallinnas müügil olevate raamatute valikut. Ma ei saa pakkuda teile valikulist juurdepääsu infole minu tähelepanu jaotumise kohta - mis tõenäoliselt on vajalik, kui sa peaksid juhtumisi soovima mulle müüa midagi, mida mul vaja on, selle asemel et kulutada turunduseelarvet vajaduse tekitamise peale. Uskuge mind, vajadusi on mul täiesti piisavalt ja kui rahakotiga võrrelda siis isegi liiga palju.
Ja nüüd peamise juurde: kas eelnevalt kirjeldatu on visioon või saaks midagi kohe ja nüüd ära teha? Väidan, et meil on täiesti võimalus homme pihta hakata ning proovida rakendada midagi, mis aitaks minu isikut vajalikul määral tuvastada, ent ei annaks välja rohkem informatsiooni kui hädatarvilik.
Ma loodan, et tekitasin teis huvi vähemalt identiteet versioon 2.0 vastu: leidke hetk vaba aega, tippige google'i otsingusse identity 2.0 ja esimeseks tulemuseks peaks olema Dick Hardt'i ettekande video OSCON'ilt, mis teeb visuaalselt selgeks nii seonduvad põhimõisted, kasutuskohad kui probleemid varasemate süsteemidega ja annab viited arenduses olevatele lahendustele.
Kui huvi seeläbi kasvas, siis soovitaksin enne identity 2.0 lahenduste katsetama hakkamist toksida google'isse ka sõnapaar attention economy ehk tähelepanumajandus ja vaadata, mida on selle poole pealt õppida. Põhipostulaadid võtab kenasti kokku attentiontrust.org mis ühtlasi pakub testrakendusi tähelepanuvoo salvestamiseks, talletamiseks ja jagamiseks.
Meil on võimalus jätkata senisel „andmed kuuluvad rahvale" kursil ja avalikustada kõike siis, kui see meile pähe tuleb või tehnoloogiliselt mugavaks osutub. Samas võime me ka liituda Attentiontrustiga ning kahtluse tekkimisel alati kontrollida, kas meie plaanid lähevad kokku nende põhimõtetega. Kui ei lähe siis ma eeldan, et varem või hiljem jääb see lugupeetud õiguskantsleri või andmekaitseinspektsiooni hambu ning asjaosalistele tehakse puust ja punaseks, miks tehnoloogiline võimalus andmeid koguda või avaldada ei ole piisav sellise tegevuse õigustamiseks.
Tänan teid teie tähelepanu eest, loodan et ei kuritarvitanud seda!
