Vuotava demokratia

Lähes joka toinen äänestysikäinen käyttää vaalikoneita eduskuntavaaliehdokasta etsiessään. Se tarkoittaa noin kahta miljoonaa suomalaista. Nyt on paljastunut, että useiden vaalikoneiden tietosuojassa on aukkoja. Tietoa siitä, keitä ehdokkaita käyttäjät ovat tarkastelleet tulosten pohjalta, on vuotanut suoraan analytiikkaa tarjoavien yritysten, kuten Googlen ja Metan, haltuun.

Asian selvitti keväällä Turun yliopiston tietotekniikan laitoksella toimiva tutkimusryhmä. Se tutkii suomalaisten verkkosivujen tietovuotoja osana datavetoista kulttuuria koskevaa IDA-hanketta. Yhdestätoista tarkastellusta vaalikoneesta ainakin kuudesta oli vuotanut tietoja ulkopuolisille yrityksille.

Käytännössä analytiikkayritykset ovat saaneet tiedot kaikista niistä ehdokkaista ja puolueista, joiden profiileita käyttäjät ovat vaalikoneen täyttämisen jälkeen klikkailleet. Oletettavaa on, että vaalikoneessa tarkastellaan lähemmin etenkin niitä ehdokkaita ja puolueita, jotka äänestysmielessä eniten kiinnostavat.

Sitä, miten käyttäjä on vastannut vaalikoneen yksittäisiin kysymyksiin, ei tiettävästi ole vuotanut.

Duunitorin vaalikoneesta vuoti tietoja peräti seitsemälle eri taholle ja kaikista vaalikoneista vähintään kahdelle. ”Onhan tämä yllättävää”, tutkimusryhmän jäsen, väitöskirjatutkija Sampsa Rauti sanoo.

Tarkastelluista vaalikoneista vuotoja löydettiin myös Helsingin Sanomilta, Ilta-Sanomilta, Aamulehdeltä, Iltalehdeltä ja Etelä-Suomen Sanomilta. Näistä kolme ensimmäistä kuuluu Sanoma-konserniin. 

Vastaavaa ei havaittu MTV3:n vaalikoneessa, Ylellä, Allianssilla eikä Turun Sanomilla. Kevään eduskuntavaaleissa Suomen Kuvalehden sivuille oli upotettu Ylen vaalikone, jossa oli mukana kaksi SK:n omaa kysymystä.

Tarkastelluista vaalikoneista päätyi useimmiten tietoa yhdysvaltalaiselle teknologiajätille Googlelle. Sen analytiikkapalvelu Google Analytics on maailman suosituin.

Kolmesta vaalikoneesta tietoja päätyi myös Facebookin omistavalle Metalle. Duunitori vuoti vaalikoneen tulosten pohjalta klikkailtujen ehdokkaiden nimet muun muassa Twitterille, Snapchatille ja kiinalaisomisteiselle Tiktokille. ”Tämä on hyvä esimerkki siitä, että myös sosiaalisen median palveluiksi ja pikaviestimiksi profiloituvat palvelut keräävät dataa nykyään hyvin ahnaasti”, Rauti sanoo.

Duunitori käyttää sivustollaan Tiktok Pixel -analytiikka- tai seurantapalvelua, jota se ilmoittaa tietosuojaselosteessaan hyödyntävänsä ”työpaikkasisällön kohdentamiseen”. Poliittisten mielipiteiden päätymisestä Tiktokille se ei kuitenkaan kerro.

Duunitorin toimitusjohtaja Thomas Grönholm toteaa SK:lle sähköpostitse, että asiaan suhtaudutaan erittäin vakavasti ja se selvitetään perin pohjin. ”Aiomme myös olla yhteydessä tietosuojavaltuutetun toimistoon. Poistimme tiedon saamisen jälkeen vaalikoneen verkkosivun käytöstä toistaiseksi. Asiantuntijat käyvät tilannetta läpi, ja päätämme saadun tiedon perusteella jatkotoimenpiteistä.”

Grönholm sanoo, että vaikka vaalikonetta toteutettaessa oli konsultoitu tietosuojavaltuutettua, Duunitorissa ei ollut osattu ottaa huomioon sitä, että vaalikoneen verkko-osoitteista voisi muodostua poliittiseksi mielipiteeksi tulkittavaa tietoa. ”Pyydän tätä virhettä anteeksi. Meillä yleisesti käytössä olevaa analytiikkaratkaisua ei olisi pitänyt käyttää vaalikoneen yhteydessä, ja tekisimme sen nyt toisella tavalla.”

Muidenkaan vaalikoneiden tarjoajien tietosuojaselosteista ei käy ilmi, että tietoa käyttäjien tarkastelemista ehdokasprofiileista vuodetaan ulkomaisille yrityksille. Rauti arvioi tämän johtuvan etupäässä siitä, että vuotojen syynä on huolimattomuusvirhe, eikä niistä ole tiedetty. Sama analytiikka, jota verkkolehdet muutenkin käyttävät, on siirtynyt vahingossa vaalikoneisiin. ”En usko, että tässä on ollut mitään tahallisuutta.”

Rauti ja samaan tutkimusryhmään kuuluva ohjelmistotekniikan professori Ville Leppänen pitävät ulkopuolisten analytiikkatyökalujen käyttöä vaalikoneissa täysin tarpeettomana.

Helsingin Sanomien vaalikoneen vuodon havaitsi maaliskuun alussa myös tietoturva-asiantuntija Mikko Pohjala. Hän ei ole osa Turun yliopiston tutkimusryhmää.   

Pohjala kyseli HS:ltä Twitterissä 6. maaliskuuta, miksi vaalikone lähettää Googlelle tiedot kotikunnasta, suosikkipuolueesta ja suosikkiehdokkaasta. Hän oli törmännyt asiaan sattumalta etsiessään ajankohtaista kirjoitettavaa Tietosuoja ry:n jäsenkirjeeseen. ”Oletin, että vaalikoneet olisi tehty viimeisen päälle, mutta kun niitä alkoi katsoa tarkemmin, niistä löytyikin monenlaista”, Pohjala ihmettelee.

Pohjalan yhteydenoton jälkeen HS korjasi vaalikoneensa vuotoa.

Pohjala oli tutkinut myös Ylen vaalikonetta ja käynyt kirjeenvaihtoa Ylen kanssa vaalikoneen tietosuojasta. Varsinaista vuotoa ulkomaisille yrityksille hän tai Turun yliopiston tutkijat eivät siinä havainneet, mutta Pohjalan mukaan Ylenkin vaalikone otti yhteyttä kolmansissa maissa toimiviin palveluntarjoajiin.

Helsingin Sanomien journalistisesta kehityksestä vastaava johtaja Esa Mäkinen väitti maaliskuun alussa Twitterissä, ettei vaalikoneesta vuotaneita tietoja voida yhdistää yksittäiseen käyttäjään. Asiantuntijat ovat tästä eri mieltä.

Kun vaalikoneista on lähtenyt kolmansille osapuolille dataa käyttäjän klikkailemista ehdokkaista ja puolueista, samalla on lähtenyt IP-osoite, muita laite- ja käyttäjäkohtaisia tunnistetietoja sekä lukuisia näytön resoluution ja laitteen käyttöjärjestelmän kaltaisia teknisiä yksityiskohtia, joita yhdistettyinä voidaan käyttää käyttäjän tunnistamiseen. ”Analytiikkayrityksille ei siis lähde käyttäjän nimeä, vaan yksilöiviä tietoja, jotka pystytään yhdistämään tiettyyn henkilöön”, Rauti sanoo.

Onkin perusteltua olettaa, että suuret analytiikkapalvelujen tarjoajat tietävät, kuka käyttäjä on ja kenelle poliittiset tiedot kuuluvat.

”Voi esittää kysymyksen, että miten paljon tämä tieto sisältää poliittista mielipidettä.”

HS:n Esa Mäkinen huomauttaa, että vaalikoneessa on voitu käydä klikkailemassa ketä tahansa ehdokkaita, myös vaikkapa inhokkeja. ”Voi esittää kysymyksen, että miten paljon tämä tieto sisältää poliittista mielipidettä”, hän sanoo.

Toisaalta jos sama ihminen on käynyt täyttämässä vaikkapa kaksi tai kolme eri vaalikonetta ja käynyt niissä kaikissa tutkimassa tiettyjen puolueiden ehdokkaita, indikaatio puoluepoliittisesta mieltymyksestä alkaa viimeistään olla kohtalaisen vahva.

Mäkinen alleviivaa, että lehti suhtautuu vakavasti käyttäjien tietosuojaan ja tietoturvaan liittyviin asioihin. Hän pitää tapahtunutta virhettä valitettavana. HS teki maaliskuussa ilmoituksen tietoturvaloukkauksesta saatuaan asian tietoonsa.

Mäkinen kertoo, että Sanoma myös tuhosi kaikki datat saatuaan tietää asiasta keväällä. ”Tuhosimme datat nimenomaan Google Analyticsistä. Googlelta voi pyytää datan poistoa ja teimme näin. Datat tuhottiin, kun saimme tiedon virheestä.”

Myös Ilta-Sanomien päätoimittaja Ulla Appelsin ja Aamulehden vt. päätoimittaja Tomi Lähdeniemi sanovat suhtautuvansa erittäin vakavasti käyttäjien tietoturvaan.

”Me käytämme Sanomien yhteistä vaalikonetta ja sama virhe, joka on ollut Helsingin Sanomilla, koski siis myös Ilta-Sanomia”, Appelsin kertoo. 

”Sanoma on korjannut tämän virheen, tuhonnut kerätyt tiedot välittömästi ja tehnyt myös asiasta ilmoituksen tietosuojavaltuutetulle.”

Myös Lähdeniemi viestittää, että virhe on korjattu heti kun se on tullut tietoon.

Google Analyticsille lähetettiin tietoja Helsingin Sanomien lisäksi Ilta-Sanomien, Aamulehden, Iltalehden ja Duunitorin vaalikoneista. Toisen yhdysvaltalaisjätin Metan huomaan vuoti tietoa Duunitorilta ja Etelä-Suomen Sanomilta.

Iltalehden vastaava päätoimittaja Perttu Kauppinen kertoo, että asiaa on selvitetty lehdessä jo aiemmin keväällä, kun siitä oli ollut keskustelua Twitterissä.
Kauppinen kertoo sähköpostitse, että IL:n käyttämistä analytiikkaohjelmista Google Analyticsissä käyttäjän IP-osoite on anonymisoitu. Tutkijoiden mukaan tästä huolimatta käyttäjä on yksilöitävissä, sillä tunnistetietoja on useita muitakin. 
Myös Kauppinen näkee, että sen perusteella, kenen ehdokkaiden profiilisivuja käyttäjä on lukenut, ei voida muodostaa käyttäjästä poliittista profiilia.

”Käytännössä luettujen ehdokassivujen yhdistäminen kehenkään yksittäiseen ihmiseen on ymmärtääkseni jokseenkin mahdotonta. Teoriassa se varmasti voi olla Googlen kaikilla resursseilla mahdollista. Googlella tosin on käytännössä kaikista internetiä käyttävistä ihmisistä huomattavasti tarkemmat profiilit jo valmiiksi.”

Perjantaina iltapäivällä tavoitettu Etelä-Suomen Sanomien päätoimittaja Markus Pirttijoki kertoo, että asiasta ei ole oltu lehdessä tietoisia, mutta sitä ryhdytään heti selvittämään.

Vaalikoneiden tietovuodot ovat todennäköisesti jatkuneet jo vuosia. Asia satuttiin huomaamaan keväällä 2023, mutta luultavasti samat analytiikat ovat olleet käytössä aiemmissakin vaaleissa.

”Eihän tämä tietenkään hyvältä kuulosta”, sanoo apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa. ”Olisi erittäin tärkeää, että näihin asioihin osattaisiin kiinnittää huomiota.”

Tietosuojavaltuutetun toimistolle on tullut tänä keväänä ainakin yksi ilmoitus vaalikonetta koskevasta tietoturvaloukkauksesta. Asian ratkaisuaikataulusta ei vielä ole tarkkaa tietoa.

Huolimattomuusvirhettä voi pitää merkittävänä, koska poliittiset mielipiteet, jollaisiksi vaalikoneista vuotaneet tiedot voidaan tulkita, ovat yleisen tietosuoja-asetuksen eli GDPR:n mukaisia erityisiä henkilötietoja. Niiden ei missään nimessä pitäisi päätyä ulkomaisille yrityksille ainakaan ilman käyttäjien tietoista suostumusta.

Vaalisalaisuus on perusta, jonka päälle rakentuu vaalien vapaus ja demokraattisuus. ”Väärät” poliittiset mielipiteet ovat useissa maailman maissa jopa hengenvaarallisia. Jos äänestäjillä on syytä uskoa, että heidän poliittiset mielipiteensä eivät ole yksityisiä, todellisen vakaumuksen tai mielipiteen ilmaisua voidaan alkaa pelätä. 

Toinen puoli on se, millä kaikilla tavoilla teknologiajätit voivat halutessaan hyödyntää keräämäänsä dataa. Huolestuttavia esimerkkejä on useita. 

Viime vuoden lopulla Facebookin emoyhtiö Meta suostui vuosia jatkuneen oikeudenkäynnin jälkeen sovittelemaan 725 miljoonalla dollarilla Cambridge Analytica -skandaalista nostetun joukkokanteen. Kanteen syynä oli se, että Facebook oli jakanut luvatta 87 miljoonaan käyttäjän tietoja konsulttiyritys Cambridge Analyticalle, joka muodosti tiedoista tarkkoja psykologisia ja poliittisia profiileita. Niiden avulla Donald Trumpin vaalimainontaa pystyttiin kohdentamaan sopiville äänestäjille erittäin tehokkaasti. On selvää, että äänestäjiä manipuloitiin, mutta vaikutuksista äänestystulokseen on kiistelty. 

Myös suomalaisista vaalikoneista vuotaneita tietoja pystyttäisiin käyttämään kohdennettuun mainontaan hyvin tehokkaasti nyt kun tiedetään, ketkä ovat mihinkin poliittiseen suuntaan kallellaan. Poliittiset mielipiteet ovat potentiaalisesti hyvin arvokasta dataa. Pahimmillaan tietojen hyödyntäminen voisi johtaa vaalituloksen vääristymiseen. 

Pahantahtoinen toimija voisi hyödyntää tietoja myös vaikkapa eripuran lietsomiseen tai muun sekaannuksen aiheuttamiseen.  

Mitä enemmän ja mitä tarkempaa tietoa ihmisten huolista, unelmista ja poliittisista näkökannoista kerätään, sitä enemmän sitä pystytään hyödyntämään ja sitä haavoittuvammaksi yksilö ja yhteiskunta tulevat datan väärinkäytölle.

”Vahinko on jo tapahtunut. Ainoa, mitä voi tehdä, on tulevaisuudessa toimia paremmin.”

Tietosuoja-asiantuntija Heikki Tolvanen Privacy Designer -yrityksestä pitää vaalikoneiden vuotamista järkyttävänä, mutta ei yllättävänä. ”Internetissä tapahtuvan seurannan valvonta on aika olematonta”, hän sanoo. ”Verkkosivuille laitetaan sitä sun tätä seurantatekniikkaa, ja kun valvontaa ei hirveästi tehdä, yrityksillä ja organisaatioilla ei ole kannustinta tutkia tarkemmin analytiikkatyökalujen toimintaa ja sitä, mitä tietoja analytiikkayrityksille voi pahimmillaan valua.”

Jos epäilee, että omat poliittiset mielipiteet ovat vaalikoneesta päässeet vuotamaan kolmansille osapuolille, ensisijaisesti on oltava yhteydessä rekisterinpitäjään eli vaalikoneen tarjoajaan. ”Rekisterinpitäjä on se, jonka velvollisuuksiin kuuluu ryhtyä tilannetta korjaaviin toimenpiteisiin”, sanoo Heljä-Tuulia Pihamaa.  

Rekisterinpitäjä voi käydä keskusteluja Googlen, Metan, Tiktokin tai muun analytiikkaa tarjoavan tahon kanssa ja pyytää poistamaan tiedot. On kuitenkin varsin epätodennäköistä, että tilannetta voitaisiin kaikilta osin enää korjata. Tietoja voi olla hyvin haastavaa saada yrityksiltä pois. 

Kritiikkiin siitä, ettei valvontaa tehdä tarpeeksi, Pihamaa toteaa, että työmäärä on suuri ja tietosuojavaltuutetun toimistolla pohditaan aktiivisesti, miten valvontaa ja muuta toimintaa voidaan tehostaa edelleen. Hän kuitenkin peräänkuuluttaa myös rekisterinpitäjien vastuuta.

”On hyvin harmillista, että tällaisia tilanteita on ja niitä tulee jatkuvasti esille. Rekisterinpitäjien valppaus ei ole vielä sillä tasolla, että olisi osattu kiinnittää tällaiseen riittävästi huomiota. Jokainen on velvollinen varmistamaan oman toimintansa lainmukaisuuden.”

Pihamaa sekä tutkija Sampsa Rauti ja professori Ville Leppänen toivovat, että vaalikoneiden tekijät korjaavat vuodot nyt eikä vastaavaa enää tapahtuisi. ”Vahinko on jo tapahtunut. Ainoa, mitä voi tehdä, on tulevaisuudessa toimia paremmin”, Rauti sanoo.

Artikkelia varten on haastateltu myös IDA-hankkeessa mukana olevaa tietosuoja-asiantuntijaa Sini Mickelssonia. Vaalikoneiden tietovuodoista on tarkoitus julkaista tutkimuspaperi myöhemmin.

Oikaisu 10.6.2023 klo 8.43: Poistettu maininta Kalevasta, jonka vaalikonetta vuoto ei tiettävästi koskenut.