Profilointi, algoritmit ja vastuullisuus (Osa 1)

Profilointi, algoritmit ja vastuullisuus (Osa 1)

Mitä mainoksia näen, mitä uutisia luen, mitä musiikkia kuulen, ja mitä työpaikkailmoituksia minulle tarjotaan. Elämäämme ohjaa – ja yhä useammin määrää – digitaalinen profiilimme. Mikäli profiilini on pielessä, minua voi ärsyttää kannaltani epärelevantti mainosmateriaali, tai musiikkitarjonta joka ei vastaa fiilistäni. Profiloinnin laajentuessa yhä uusille alueille, kuten tiedonvälitykseen, tuomioistuinlaitokseen ja terveydenhoitoon seurauksetkin voivat olla ärtymystä vakavampia. Tietosuojauutiset.fi katsastaa seuraavassa profiloinnin vaikutukset yksilölle ja demokraattiselle yhteiskunnalle.

Onnistunut profilointi voi kuitenkin tarkoittaa myös minua kiinnostavia palveluita ja tuotteita, juuri silloin kun niitä tarvitsen. Onnistunut profilointi tarkoittaa parempaa ja kustannustehokkaampaa palvelua, kuten kutsua lääkärille ennen kuin tiedän sairastuneeni. Onnistunut profilointi tarkoittaa ajansäästöä ja esimerkiksi juuri minun osaamiseni ja kiinnostuskohteideni mukaista työtarjousta.

Profiilini voi muodostua monella tapaa, mutta tyypillisesti siihen vaikuttaa kolme keskeistä elementtiä: 1) minua koskevat tiedot, kuten keskeiset henkilötietoni ja aikaisempaa toimintaani kuvaavat tiedot, 2) minun ja muiden ihmisten, useasta eri lähteestä yhdistetyt tiedot, joista usein puhutaan myös ”big datana”, sekä 3) algoritmi joka on rakennettu analysoimalla ”big dataa” ja jolla tehdään valistuneita arvauksia minusta tietojeni perusteella.

Perinteinen tietosuojasääntely on pitkälti keskittynyt korostamaan oikeuksiani suhteessa minua koskeviin tietoihin – eli kohtaa 1 yllä. Kohdat 2 ja 3 ovat jääneet vähemmälle huomiolle. Kuitenkin juuri kohdat 2 ja 3 ovat uuden digitalisoituvan yhteiskunnan moottoreita. Minun tietoni yksin eivät välttämättä ole tärkeitä, tärkeää on mitä muilta aggregoidusta datasta analysoimalla voi tilastollisesti arvata minusta. Vanha, mutta valaiseva esimerkki tästä oli Target-kauppaketjun tapa etsiä asiakkaistansa raskaana olevia naisia analysoimalla ostostietoja (ja löytämällä heitä joskus ennen kuin he itsekkään tiesivät raskaudestaan). Olisin voinut kieltäytyä kertomasta raskaudestani kauppaketjulle, mutta olisinko voinut kieltää heitä analysoimasta ostoskäyttäytymistäni, ja mistä olisin voinut tietää mitä Target analysoi, ja erityisesti miten he sen tekevät. Profiilini ja sen muotoutuminen jääkin usein pimentoon (täältä monta muutakin valaisevaa esimerkkiä).

Voin ihmetellä miksi työhakemukseni jää aina automaattisesti hylättyjen pinoon jättäessäni hakemuksen yrityksen kotisivujen kautta? Vastaus kysymykseen on usein syvällä tietojärjestelmän pinnan alla. Profiloinnin kannalta keskeinen algoritmi on usein yrityksen merkittäviä liikesalaisuuksia. Ja vaikkei algoritmi olisikaan salainen, asiaan vihkiytymättömälle se ei paljoa kertoisi. Yhä useampi algoritmi muodostuu myös koneellisesti käyttämällä eri koneoppimisen tekniikoita, joten se muuttuu koko ajan järjestelmän analysoidessa kertyvää tietoa. Yritys ei välttämättä itsekkään pystyisi sanomaan, miksi juuri minun työhakemukseni ei heitä kiinnosta.

Henkilötietojeni käsittelyn pitää perustua hyväksyttävään ja lähtökohtaisesti laissa annettuun perusteeseen. Minulla on myös oikeus tarkistaa ja korjata itseäni koskevat tiedot, sekä tietyin edellytyksin oikeus vaatia tietojani poistettavaksi, eli oikeus tulla ”unohdetuksi”. Minuun kohdistuvan profiloinnin osalta vaikutusmahdollisuuteni ovat rajoitetummat.

Uudessa tietosuoja-asetuksessa pyritään kyllä tulevaisuudessa puuttumaan profilointiin. Asetuksen 22 artiklassa vahvistetaan rekisteröidyn ”oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.”

Säännöstä rajaa kuitenkin merkittävästi vaatimus siitä, että oikeus kieltää profilointi on ainoastaan milloin profilointi johtaa ”päätökseen”, joka ”perustuu pelkästään automaattiseen käsittelyyn” ja tällä on ”oikeusvaikutus tai vastaava merkittävä vaikutus”. Tämän ulkopuolelle jää merkittävä osa profiloinnista. Lisäksi artiklan kieltämän profiloinnin ulkopuolelle jätetään sen toisessa kohdassa profilointi, joka on välttämätön sopimuksen tekemistä tai täytäntöönpanoa varten.

Resitaalissa 71 täsmennetään, että artiklassa 22 tarkoitettu profilointiin perustuva päätös, olisi esimerkiksi juuri sähköisen rekrytoinnin käytännöt ilman ihmisen osallistumista. Mutta entä jos järjestelmä antaa minulle kuitenkin ainoastaan ohjeellisen ”arvosanan” tai jättää minut ainoastaan HR-osaston rekrytoijan pinon alimmaiseksi. Tällöin artikla 22 ei välttämättä sovellu ja mahdollisuuteni vaikuttaa minua koskevaan profilointiin ovat rajoitetummat.

Yksilön kannalta oikeus olla joutumatta epäoikeudenmukaisen ja mahdollisesti sattumanvaraisesti systemaattiseen syrjintään johtavan profiloinnin kohteeksi on perustavaa laatua oleva tarve. Haluan ymmärtää miten minua koskevia päätöksiä tehdään, ja oikeuden puuttua, mikäli päätökset tai niiden perusteet ovat vääriä. Minulla on oikeus odottaa minua profiloivilta tahoilta, ja heidän algoritmeiltaan, vastuullisuutta.

Yhteiskunnan kannalta erityisen tärkeää on kuitenkin myös tarve ymmärtää miten demokraattisen yhteiskunnan keskeisiin prosesseihin algoritmit vaikuttavat. Ennen viikonloppua Tietosuojauutisissa jatketaan algoritmeista ja profiloinnista, mutta siirretään näkökulma yhteiskuntavastuuseen ja transparenssiin.