Datataloutta ihmisten vai jättiyritysten ehdoilla?
Vanhan sananlaskun mukaan tieto on valtaa, mutta tuoreempi hokema on kutsua dataa uudeksi öljyksi. Informaatio nimittäin voitelee 2000-luvun kansainvälisen talouden rattaita kuten fossiiliset polttoaineet viime vuosisadalla. Se ruokkii koneoppimista ja tekoälyä, auttaa yrityksiä toimimaan tehokkaammin ja kuluttajia saamaan parempia palveluita.
Mutta data on tuotannon tekijänä poikkeuksellinen. Tieto on tärkeää paitsi sitä kerääville, hyödyntäville, ostaville ja myyville yrityksille, mutta myös sen kohteille eli asiakkaille. Se on myös hyvin keskittynyttä: Maailman suurimmat internetyritykset, Google, Apple, Facebook ja Amazon, hallitsevat maailman suurimpia datavarantoja ja tehokkaimpia keräysjärjestelmiä. Tästä seuraa ongelmia.
– Monilla on tunne, että tilanne johon internetin 30-vuotinen historia on johtanut, jossa vain mainosrahoitteinen internet on vahvoilla, ei voi olla oikea tie. Koska käytännössä se pakottaa valtavaan datan keräämiseen ja myymiseen ihmisten selän takana, toteaa Antti Poikola.
Poikola on Aalto-yliopiston tohtoriopiskelija ja perustajajäsen viime syksynä käynnistyneessä MyData Global -järjestössä, joka lisää kansalaisten oikeuksia hyötyä datastaan.
– Yksityisyyden suojan menettäminen on yksi ongelma. Toinen on se, miten nykytilanne altistaa ihmisiä kaupalliselle manipuloinnille. Sellaisessa maailmassa tahdon valta on uhattuna.
Kyseenalaisessa valokeilassa on viime aikoina ollut etenkin Facebook, joka on joutunut selittelemään käyttäjätietojensa luovuttamista hämäräperäisille toimijoille ja osuuttaan valeuutisten levittämisessä. Ipsos-tutkimusyhtiön tuoreimman maailmanlaajuisen tutkimuksen mukaan yli puolet ihmisistä on nyt enemmän huolissaan yksityisyydestään verkossa kuin viime vuonna.
Yhtenäiset pelisäännöt
Merkitykseensä nähden dataa ja sen kaupallistamista koskeva sääntely on ollut vähäistä, hajanaista ja vanhentunutta. Siinä EU on ottanut tiennäyttäjän roolin: toukokuussa 2018 sovellettavaksi tullut tietosuoja-asetus GDPR (General Data Protection Regulation) on kunnianhimoinen yksilön oikeuksia suojaava säännöstö, josta EU toivoo uutta globaalia standardia.
Asetus on saanut yritykset uudistamaan tietoturva- ja yksityisyyskäytäntöjään.
– Se oli varmasti monelle ryhtiliike. Se sai kaikki yritykset katsomaan läpi omat prosessinsa ja tietoturva- ja tietosuojakäytäntönsä, sanoo K-ryhmän Chief Digital Officer Anni Ronkainen.
Uusi asetus sisältää yrityksille uusia tietoturvavelvoitteita ja antaa asiakkaalle eräitä oikeuksia itseään koskevaan tietoon. K-ryhmä on mennyt sääntelyn noudattamisessa monia yrityksiä pidemmälle ja rakentanut digitaalisen verkkopalvelun, jonka kautta asiakkaat voivat tarkastella itseään koskevia tietoja, kuten menneitä ostoksiaan ja säädellä, mitä dataa heistä saa kerätä.
– Meidän kaltaiselle toimijalle, jolla on pitkä historia datan kertymisestä, se oli suuri ponnistus tietojärjestelmiin tarvittavien muutosten näkökulmasta, Ronkainen kuvailee.
Suomen suurimpiin lukeutuva vähittäiskaupan keskusliike on panostanut paljon datan keräämiseen ja analysointiin. Henkilötietoja K-ryhmälle kertyy muun muassa kanta-asiakasohjelman kautta. Suomalaisilla on yhteensä 3,6 miljoonaa Plussakorttia. Ryhmän liikkeissä tapahtuu 1,5 miljoonaa kauppatapahtumaa päivittäin. Suurin piirtein saman verran asiakkaat antavat kirjallista asiakaspalautetta vuosittain.
– Se on todella tärkeää meille samoin kuin kaikille toimijoille tänä päivänä. Ilman dataa näkemys kuluttajaan sumenee. Digitaalinen jalanjälki meidän asiakkailtamme on liiketoiminnan kehittämisen ja asiakasymmärryksen kannalta todella keskeistä, Ronkainen toteaa.
Esimerkkiä maailmalle
Eri puolilla maailmaa seurataan tällä hetkellä, miten EU:n tietosuojasäännöt käytännössä toteutuvat. Aihe on ajankohtainen lähes kaikissa maissa ja esimerkiksi OECD kannustaakin jäsenmaitaan kehittämään tietosuojalakejaan pitkälti EU:n mallin mukaisesti.
EU:n oikeuskomissaari Věra Jourová onkin todennut, että GDPR:n tavoitteena on ”asettaa uusi globaali standardi”.
Tässä EU käyttää keppiä ja porkkanaa. GDPR velvoittaa kaikkia yrityksiä, jotka käsittelevät EU:n alueella asuvien ihmisten henkilötietoja riippumatta yrityksen sijainnista. Vaihtoehdot ovat jäädä ulos EU:n merkittäviltä markkinoilta tai ottaa vastaan muhevat sakot tietosuoja-asetuksen rikkomisesta.
Jo 12 maata, muiden muassa Uusi-Seelanti ja Argentiina, on saanut tietosuojasäännöilleen EU-komission siunauksen. Niissä henkilötietojen suoja on jo GDPR:n vaatimalla tasolla. Yhdysvallatkin noudattaa EU:n sääntelyä mutta erityisen Privacy Shield -ohjelman kautta, joka suojelee vain yhdysvaltalaisyritysten EU:ssa asuvia asiakkaita.
Harva yritys haluaa kuitenkaan räätälöidä tietosuojakäytäntöjään usealle eri markkinoille, joten esimerkiksi Microsoft ja Facebook ovat jo ilmoittaneet soveltavansa EU-lainsäädännön vaatimuksia globaalisti.
Iso haaste pienille toimijoille
– Hyvä kysymys on, keneen GDPR on iskenyt eniten. Sen noudattaminen on resurssimielessä aika pientä suurille amerikkalaisille toimijoille, joita vastaan asetus oli ehkä kohdennettu. Mutta eurooppalaisille pienille yrityksille se on aiheuttanut suurempia haasteita, K-ryhmän Ronkainen sanoo.
Samaa mieltä on pienen suomalaisen Bitfactor-yrityksen toimitusjohtaja Antti Pelkonen. Bitfactor toimittaa digitalisaatioratkaisuja eri yrityksille, ja usein tähän liittyy myös henkilötietojen käsittelyä. Pelkosen mukaan tietosuoja-asetus on sekä helpottanut että vaikeuttanut heidän työtään.
– Toisaalta on hyvä, että on selkeät säännöt, mitä datalla saa tehdä ja miten sitä pitää käsitellä. On helpompi varmistaa, että palvelut ovat varmasti joka maassa lakien ja asetusten mukaisia, hän sanoo.
– Mutta kaikessa sääntelyssä on se vaikutus, että suuret toimijat voivat panostaa siihen enemmän ja pienille se on hankalaa. Se rajoittaa tietysti pienempien toimijoiden kykyä kilpailla.
Suuntaus on kuitenkin sekä Ronkaisen että Pelkosen mukaan oikea.
– Yrityksillekin on tärkeää oman maineensa kannalta olla varovaisia datan hyödyntämisen kanssa, Ronkainen muistuttaa.
Data töihin ihmisen hyväksi
MyData-liikkeen vision kannalta GDPR on vasta askel oikeaan suuntaan. Sen mukaan oikeus yksityisyyteen ei vielä riitä, vaan yksilöillä pitäisi olla oikeus hyötyä vapaasti datasta, jota yritykset heistä keräävät ja säilyttävät. Dataa pitäisikin Poikolan mukaan ajatella pikemminkin hyötyarvon kuin myyntiarvon kautta.
– MyDatan tavoitteena on lopettaa harhaanjohtava keskustelu ”datan omistajuudesta” ja siirtää keskustelu datan käyttöoikeuksiin. Samaa dataa voivat hyödyntää monet tahot. Omistaminen on lähtökohtaisesti eksklusiivista, eivätkä omistusoikeudet ole siksi hyvä pohja oikeudenmukaisen datan hallinnan kehittämiseen, Poikola tiivistää.
Henkilödatan hyötyarvo voi olla suuri sekä yrityksille että asiakkaille vaikkapa palveluiden parantamisessa ja eri digitaalisten palveluiden yhdistämisessä. Esimerkiksi ruokaostoksia analysoimalla ulkopuolinen palvelu voisi auttaa ihmistä syömään terveellisemmin.
Siksi datataloudessa tulisi MyData-liikkeen mukaan pyrkiä siirtymään yritysten suljetuista järjestelmistä avoimeen ekosysteemiin. Siinä ihminen voisi antaa kolmannelle osapuolelle luvan käyttää itseään koskevaa dataa riippumatta sen lähteestä, mikä mahdollistaisi uusia liiketoimintamalleja ja purkaisi datajättien monopoliasemaa.
– Se tasapainottaisi yritysten välistä kilpailukenttää, koska nykyisin dataa voivat käyttää ne, joilla sitä on ja joilla on jo olemassamassiivinen keruukoneisto. Käytännössä Google on tällä hetkellä ylivoimaisessa asemassa kehittääkseen uusia sovelluksia datan hyödyntämiseksi, Poikola toteaa.
Mutta kuinka valmiita yritykset ovat avaamaan omia datavarantojaan?
– Kyllähän sellainen paine on tähän aikaan kirjattu, että asiakkaat haluavat pelata omalla datallaan. Tietoa pitää ehdottomasti avata, sanoo Ronkainen.
Mikä GDPR
- Toukokuussa 2018 voimaan tullut tietosuojaasetus GDPR on EU:n merkittävin tietosuojauudistus 20 vuoteen.
- Säännöt velvoittavat kaikkia EU:n alueella toimivia yrityksiä, jotka keräävät, säilyttävät tai käsittelevät henkilötietoja eli käytännössä dataa, joka on yksilöitävissä tiettyyn henkilöön.
- Asettaa vahvan suojan yksilön oikeudelle itseään koskevaan dataan ja mahdollisuudelle kieltää datan kerääminen, säilyttäminen ja käsittely.
- Asettaa yrityksille velvoitteita muun muassa tietosuojaselosteen, tietomurtojen raportoinnin ja tietoturvan tason suhteen.
- Asetuksen ydinkohtien rikkomisesta voidaan määrätä sakkoja enimmillään 20 miljoonaa euroa tai neljä prosenttia rikkeen tehneen yrityksen globaalista vuosituloksesta.
Data tekee tuloaan kauppasopimuksiin
EU puolustaa tiedon vapaata liikkuvuutta ja käyttää kauppapolitiikkaa levittääkseen tietosuojakäytäntöjä.
– Kansainvälisessä kauppapolitiikassa data ja sen liikkuvuus yli rajojen on tänä päivänä merkittävimpiä keskustelunaiheita. Se on myös verraten uusi aihe, sanoo kaupallinen sihteeri Aino Friman ulkoministeriön kauppapolitiikan yksiköstä. Hänen vastuualueitaan ovat palvelukauppa sekä digitaalinen kauppa.
– Tyynenmeren alueen TPP-maajoukko neuvotteli vuonna 2015 ensimmäiset selkeästi velvoittavat määräyksen tiedon liikkuvuuden osalta, Friman sanoo.
Myös Pohjois-Amerikan Nafta-vapaakauppasopimuksen uusi versio USMCA päivittyi etenkin digitaalisen kaupan osalta. Maailman kauppajärjestössä WTO:ssa puolestaan valmistaudutaan aloittamaan ensi vuonna neuvottelut kattavasta digitaalisen kaupan sopimuksesta. Jo entuudestaan WTO:ssa on päätetty kieltää tariffit sähköisen toimitusten osalta. Kyseessä on määräaikainen päätös, jota on toistaiseksi jatkettu kahden vuoden välein.
– EU puolestaan on vasta vastikään saanut muodostettua kantansa tietovirtoihin ja datakauppaan liittyen, Friman kertoo.
Niiden kantava periaate on estää erilaisten tiedon käsittelyyn ja säilytykseen liittyvien sijaintivaatimusten asettaminen. Periaatetta sovelletaan uusissa kauppaneuvotteluissa. Päälinjoista ei kuitenkaan poiketa.
– Asia on parhaillaan neuvoteltavana esimerkiksi Indonesian ja Chilen kanssa. Vielä emme voi ihan tarkalleen tietää, millainen malli sopimuksiin lopulta tulee, Friman sanoo.
Tiedon rajoittamaton liikkuvuus on EU:n lähtökohta, mutta siihen on poikkeuksia. Muun muassa yksityisyyden suojaa ja turvallisuutta koskevista asioista EU ei kauppaneuvotteluissa keskustele. Pitämällä asian neuvottelujen ulkopuolella EU suojelee tietosuoja-asetustaan, josta ei haluta tinkiä.
– Näin EU pystyy käytännössä itse määrittelemään, mitä henkilötietojen suoja tai turvallisuustoimet tarkoittavat, Friman kiteyttää.
EU käyttää kuitenkin kauppapoliittista valtaansa edistääkseen omaa malliaan globaalina standardina. Se käyttää 500 miljoonan ihmisen markkinoitaan houkutellakseen muita noudattamaan samoja tietosuojasääntöjä. Toisinaan kolmansissa maissa GDPR-asetusta onkin moitittu jopa protektionismiksi ja kaupan esteeksi.
– Toki näin on helppo argumentoida, mutta kyse on aina myös neuvottelutaktiikoista. Toisen osapuolen on herkullista yrittää löytää kaupan esteitä toisesta, Friman sanoo.