4. huhtikuuta 2020

COVID-19: Telia tarjoaa valtiolle urkintatyökalua


Telia on vapaaehtoisesti tehnyt valtiovallalle erityisversion sen yrityksille tarjoamasta Crowd Insights -analytiikkadata palvelusta, jonka avulla voidaan seurata massojen liikennettä rajanylitysalueilla ja sen läheisyydessä.

Työkalun avulla voidaan seurata ilmeisen reaaliaikaisesti ihmisten liikkeitä, perustuen Telian puhelinmastojen dataan ja erityisesti sitä kuinka moni päätelaite ottaa niihin yhteyttä.

Tämä voi kuulostaa varsin viattomalta ja hyvin mielenkiintoiselta palveluta mutta mitä ilmeisemmin kyse on paljon suuremmasta asiasta. Telia tarjoaa palvelua valtioneuvostolle josta data jaetaan tarvitseville/halukkaille viranomaisille, kuten poliisille.

Telia väittää, että tieto palvelussa on anonymisoitua, joten yksittäisiä henkilöitä ei sieltä pysty saamaan selville. Tämä voi olla totta mutta joka tapauksessa tieto perustuu päätelaitteeseen, se tarjoaa tuolloin verkolle muun muassa puhelimen yksilöidyn IMEI koodin sekä SIM-kortin ID:n ja tietenkin puhelinnumeron, nämä tiedot riittävät yksilöimään jokaisen käyttäjän ja Telian työkalusta on aivan varmasti helppo tehdä versio joka nämä tiedot tarjoaa viranomaisille ja varmasti myös muille merkittäville tahoille.

Telia väittää lehdistötiedotteesaan, että näitä tietoja ei ole saatavilla: “Telian Crowd Insights -data on anonymisoitua, eikä yksittäisten ihmisten liikkeitä ole mahdollista seurata. Datasta kuitenkin voi päätellä suurten ihmisvirtojen liikkeitä”. Lisäten kuitenkin heti perään: “Tiedot perustuvat siihen, miten päätelaitteet, kuten puhelimet yhdistyvät mobiiliverkkoon eri paikoissa”. Joka osin kumoaa aikaisemman väitteen.

Tämä työkalu on siten vaarallinen, koska se tarjotaan valtiovallan käyttöön yksityisen yrityksen vapaaehtoisuuteen perustuen, sisältäen asiakastietoihin perustuvaa dataa (vaikkakin anonymisoitua). En ole tietosuojalain kaikista pykälistä selvillä mutta luulisi että tämänlainen toiminta ei ole ihan ok, ei edes poikkeustilassa.

Jos Crowd Insight palvelu on niin viaton kuin sen mainostetaan olevan, annetaan siihen sitten oikeudet kaikille, minua statistiikkanörttinä kyllä kiinnostaisi nähdä mobiiliverkon mastojen käyttödataa, kyllähän nytkin avoimena datana näytetään esimerkiksi FICIX –internet liikenteen datamassat, yksinkertaisina kaavoina.

Mikä Crowd Insights?

Telia tarjoaa Crowd Insights palveluaan yrityksille, kyseessä on ihmismassojen seurantaan perustuva palvelu, jota voidaan hyödyntää vaikkapa kauppakeskuksien, festareiden sekä miksei myös kokonaisten kaupunkien suunnitellussa.

Palvelun verkkosivuilla mainostetaan että se on EU:n GDPR yhteensopiva ja että kaikki data on visusti anonymisoitua. Hyvä on, kuten sanoin anonymisointi on varmasti täysin totta mutta silloin kun pelataan valtioiden kanssa, siitä anonymiteetistä tulee mitätön asia, varsinkin silloin kun palvelusta keskustellaan valtioneuvoston turvallisuusjohtajien kanssa.

Telian historia suomessa on kuitenkin lähtöisin valtion puhelinlaitoksesta, joten sen sisäinen kulttuuri on siten hyvin valtiomielinen, Telialta tämänkaltaiseen palveluun ei siten voi suoranaisesti luottaa, varsinkaan kun palvelun asiakaskuntaan tulee valtioita.

Poista seuranta ja tietosi palvelusta:

Telia tarjoaa mahdollisuuden kieltää tietojesi käytön palvelussa ja tämä tapahtuu antamalla puhelinnumero, ei IMEI-koodilla, joka olisi vielä varmempi tapa.

Kun olet antanut puhelinnumerosi sivulle, saat tekstiviestin jossa on koodi mikä pitää vielä antaa samaiselle sivulle. Tämän jälkeen saat sivulta tiedon “Tietosi on poistettu palvelusta”.

Itse kokeilin tätä DNA -sekä ELISA puhelinnumeroillani, kummatkin menivät läpi!. Joten tarkoittaako tämä silloin sitä, että Telia on kerännyt dataa myös muiden operaattoreiden asiakkaista ja silti väittää olevansa EU:n GDPR tietosuoja-asetuksia kunnioittava palvelu? OK!

Kuten sanoin aiemmin, en tunne näitä lakeja, pykäliä sekä asetuksia täysin, en edes keskiverron verran, joten ei kai tässä auta muuta kuin kysyä asiasta tietosuojavaltuutetulta.

Palaan asiaan kun vastaus on saapunut.

En pysty myöskään sanomaan, poistaako tuo sivulla oleva poistopyyntö myöskin datan jota nyt tarjotaan viranomaisille, arvelen että tuskin kuitenkaan.