Kas ja kuidas saaks privaatsuskaitse tehnoloogiad lahendada leibkonna-andmete probleemi?

Eesti riigi e-teenused on arenenud digi-kartoteekidest proaktiivsete teenusteni

Riikide e-teenuste lihtsaim tase on sarnane paberbürokraatiaga. Kartoteegi asemel kantakse andmed infosüsteemi, mis lihtsustab mitme töötaja juurdepääsu ja andmete varundamist. Kui aga e-riigis juurutatakse digitaalne identiteet ja usaldusväärne kaugtuvastamine, tekib võimalus luua iseteenindusi, mille kaudu kodanik saab teenust kasutada ilma ametniku juurde kohale tulemata.

Järgmistel arengutasemetel pannakse teenused omavahel koos toimima, näiteks üle X-tee¹või UXP²-laadsete süsteemide. Teenuste arv ja nende kaudu töödeldava info maht kasvab ning riigile tekivad andmed, mida saab taaskasutada uute teenuste loomisel, analüüside läbiviimisel, statistika koostamisel ja tehisintellektisüsteemide loomisel.

Kui regulatsioon on küps, andmete kvaliteet piisavalt kõrge ning andmeid ka sobivalt palju, saab riik hakata kaaluma proaktiivseid teenuseid,  mis kasutavad juba olemasolevaid andmeid. Nende hulka kuuluvad näiteks sündmusteenused, mida riik osutab isikule mõne tema elusündmuse, näiteks lapse sünni, puhul. Riik ennetab kodaniku taotlust toetusele, pöördudes toetust vajava isiku poole ise. Toetuse vajalikkus selgitatakse välja toetudes riigi käsutuses olevatele andmetele (nt terviseandmetele). Riik võib kasutada andmeid ka enda tulude tagamiseks ja kulude kokkuhoiuks. Esimese heaks näiteks on Eesti käibemaksudeklaratsioonide lisade kontroll maksupettuste ennetamiseks. Kulude kokkuhoiuks kaalutakse Eestis senisest rohkemate toetuste muutmist vajaduspõhiseks³. Selleks tuleb lahendada aga nii ühiskondlikke kui tehnilisi probleeme.

Kui regulatsioon on küps, andmete kvaliteet piisavalt kõrge ning andmeidsobivalt palju, saab riik hakata kaaluma proaktiivseid teenuseid, mis kasutavad olemasolevaid andmeid.

Tehniliste ülesannete seas on andmete ühendamine avaliku sektori (ja teatud juhtudel ka erasektori) andmekogude vahel. Andmekogude ühendamine on vajalik, et analüüsida isiku kohta käivaid andmeid, mis on hajutatud üle mitme ametkonna või ka erasektori ettevõtte, ja arvutada näiteks vajaduspõhise toetuse määr. Selliste andmete kogumine kõigi võimalike toetuse saajate jaoks võib kiiresti kasvada massiliseks andmetöötluseks, mis vajab senisest tugevamaid andmekaitsemeetmeid.

Suurbritannia lahendas leibkonnaandmete puudujääke ja toetuste pettuseid turvalise ühisarvutuse abil

Eestis oleme harjunud isikukoodide igapäevase kasutamisega. Isikukoodid antakse lastele sünni järel ning neid kasutatakse identifikaatorina nii avaliku kui erasektori teenustes. Üldjuhul ei piisa kellegi isikukoodi teadmisest talle teenuse tellimiseks, sest tellimus vajab täiendavat kinnitust näiteks digitaalse isikutuvastuse või allkirjaga. Eestis on kasutusel üks isikukood, tänu millele on võimalik eri teenustes siduda ühe isiku kohta käivaid andmeid ning luua teenuseid, mis toimivad mitme ministeeriumi ja nende haldusala asutuste koostöös.

Inglismaal ei ole digitaalne identiteet laialdaselt kasutusel. Nii seal kui Walesis on kasutusel riiklik kindlustuskood (National Insurance number, NIN või NINO, mis antakse isikule enne tema 16. sünnipäeva. NIN peamine eesmärk on tagada maksude ja toetuste korrektne sidumine isikuga, seejuures soovitab riik seda koodi teistele isikutele mitte jagada⁴. Süsteemi korraldab Tema Majesteedi Maksu ja Tolliamet (His Majesty’s Revenue and Customs, HMRC)ning NINi kasutab vaid piiratud hulk asutusi.

Suurbritannia sotsiaalpoliitika üheks oluliseks eesmärgiks on sotsiaal- ja munitsipaaleluasemete kättesaadavaks tegemine isikutele, kellele eluruumi omandamine või rent üle jõu käib või kelle eluruumidega on juhtunud õnnetus. Tegu on omavalitsuse omandis eluruumidega, mida antakse kas soodsamalt või tasuta rendile selleks õigustatud isikutele ning nende jagamise eest vastutab üldiselt kohaliku omavalitsuse sotsiaalhoolekanne.

Joonis 1. Mitmest omavalitsusest munitsipaaleluaseme taotlemise illustratsioon. Autor: Alisa Pankova, Cybernetica

Suurbritannias on munitsipaaleluasemete süsteem (public housing, council housing) üsna levinud, kuid -. Näiteks on esinenud juhtumeid, kus inimesed taotlevad toimetulekuraskuste tõttu eluaset kahes omavalitsuses korraga, üürivad ühe neist edasi ja teenivad sellega tulu (joonis 1). Selline pettus on võimalik siis, kui omavalitsused ei suuda tuvastada, et tegemist on sama isikuga. Probleemi üheks põhjuseks on NIN-koodi (National Insurance Number) ebausaldusväärsus unikaalse identifikaatorina. Lisaks leidub palju inimesi, kellel NIN-koodi pole, kuna selle väljastamine oli näiteks COVID-pandeemia ajal takistatud.⁵

Suureks probleemiks on ka leibkonna määratlemise keerukus, eriti kuna puudub üleriigiline rahvastikuregister. Inimesed võivad esitada erinevates riiklikutes registrites erinevaid aadresse, mis muudab andmete kontrollimise keeruliseks. Sellised pettused tulevad sageli ilmsiks näiteks siis, kui välja üüritud korteri elanikud taotlevad töötu abiraha ja ilmneb, et sotsiaalsüsteemi andmetel peaks sellel aadressil elama hoopis keegi teine – munitsipaaleluaseme ametlik üürnik⁶.

Suureks probleemiks on leibkonna määratlemise keerukus, kuna puudub üleriigiline rahvastikuregister.

2014. aastal tegutses Suurbritannia valitsuskabineti juures pettuste, eksimuste ja võlgade töörühm (UK Cabinet Office Fraud, Error and Debt team, FED), mis otsis pettuste probleemile lahendusi. Ühe võimalusena kaaluti andmetöötluskeskkonna loomist, kus saaks analüüsida leibkondade koosseise (household composition). Selleks näis perspektiivne kasutada ja võrrelda erinevate allikate – Suurbritannia Sotsiaalkindlustusameti (DWP), maksuameti (HMRC), kohalike omavalitsuste ja valimisnimekirjade – aadressiandmeid ning luua teenuste taotlemise juurde hindamisprotsess, mis annaks puna-kolla-rohelise hinnangu (red-amber-green rating, RAG) sellele, kas taotluse juures on andmed kooskõlas või on tegemist väiksema või suurema riskiga. Lisaks huvitas töörühma, kui palju on toetuse saajate seas kaheldavate aadressandmetega isikuid. See võimaldaks hinnata, kui laialdaselt pettuseid esineb ja kas nendega tegelemine on sotsiaalselt ja majanduslikult otstarbekas. Süsteemi tuli hoolikalt kavandada, et suurema õigluse eesmärgil ei loodaks ebaeetilist automaatselt süüdistusi esitavat platvormi, kus puudub inimlik järelevalve.

Suurbritannias puudus sel ajal Eesti X-teega sarnane platvorm⁷, mistõttu eri infosüsteemide andmete alusel sellise teenuse loomine oli keerukas. Lisaks tuli lahendada andmete konfidentsiaalsuse küsimus, sest plaaniti töödelda ka maksuandmeid, mis on seadusega⁸ kaitstud sõltumata sellest, kas tegemist on isikuandmetega. Püstitatud analüütilise ülesande lahendamiseks oli vaja koguda korraga andmeid paljude inimeste kohta, mis tähendas väga ulatuslikku andmetöötlust ning olulist privaatsusriski.

Lahendust otsides avastas briti töörühm turvalise ühisarvutuse (secure multi-party computation, MPC) tehnoloogia, mis võimaldab teha andmeanalüüsi krüpteeritud andmetel ilma neid avamata. Nii jäävad andmed kaitstuks kogu töötlemisprotsessi vältel ning ükski sisend ega vahetulemus pole kellelegi nähtav peale andmete omaniku (kui pole teisiti kokku lepitud)⁹.

Pärast konsultatsioone alustas FED 2016. aastal pilootprojekti Cybernetica AS meeskonnaga, kelle ülesanneteks sai vajalike talitlusmudelite analüüs, riskianalüüs ja privaatsuskaitse tehnoloogiatega lahenduse teostamine.

Cybernetica teadlased analüüsisid aadressiandmeid sisaldavaid andmekogusid ja töötasid välja privaatsust säilitavad töövood massandmetöötlust nõudvate ülesannete lahendamiseks. Töövoogude käivitamisel kogutakse aadressiandmed eri andmebaasidest kokku, ühtlustatakse isikuandmed ning loendatakse iga inimese elukohaandmete vaheldumist teatud ajaperioodil. Tihe aadressimuutus võib viidata isiku soovile esitada eri ametkondadele erinevaid aadresse. Süsteemi lõppväljastuses kuvatakse aga ainult isikute statistiline jaotus selle järgi, kui tihti nende aadressandmed muutunud on, mitte üksikisikute andmed.

Selle analüüsi kõrvale loodi teenusemudel, kus munitsipaaleluaseme taotluse vastuvõtja saab teha päringu turvalise ühisarvutusega kaitstud andmekogusse, et saada teada huvipakkuva isiku riskitase. Kollase või punase riskitaseme korral saab menetleja teha täiendavaid päringuid, et kontrollida taotluse vastavust nõuetele. Loodud prototüüpi testiti sünteetiliste andmetega kliendi valitud pilvandmetöötluse keskkonna ning klient leidis oma tagasisides¹⁰, et tööriist on efektiivne vahend turvaliseks arvutamiseks, kuigi sisse ehitatud privaatsust säilitavate analüüsifunktsioonide loetelu tuleks veel täiendada.

Uued teenusemudelid toovad Eesti e-teenustesse võimaluse kasutada tundlikke andmeid ilma privaatsust ohustamata

2022. aastal algatas Majandus- ja Kommunikatsiooniministeerium projekti, mille käigus telliti Eesti e-riigile privaatsuskaitse tehnoloogiate kasutuselevõtu strateegia. Projekti käigus valmis 2023. aastal kaks aruannet: „Privaatsuskaitse tehnoloogiate kontseptsioon“¹¹ ja „Privaatsuskaitse tehnoloogiate Eestis rakendamise teekaart“¹².

Kontseptsioonis on välja toodud mitmed teenusemudelid, mis saavad privaatsuskaitse tehnoloogiate kasutuselevõtuga parema andmekaitsegarantii. See tähendab, et neid teenusemudeleid kasutades täidetakse paremini kolme järgmist põhilist privaatsuseesmärki: seostamatus, läbipaistvus ja sekkutavus.

Seostamatus tähendab, et andmeid ei ole töötlemisel võimalik isikuga seostada. Läbipaistvus tähendab, et kui isiku andmeid töödeldakse, saab ta teada, kas ja kuidas seda tehti – seostatult või seostamatult. Sekkutavus tähendab, et inimene saab suunata või peatada enda andmete töötlemise.

Privaatsuskaitse tehnoloogiate rakendamist võimaldavad teenusemudelid on järgmised:

• Turvalised andmeruumid e-teenustele. Andmeruumid võimaldavad koondada isikuga seotud andmeid mitmest allikast, luues seeläbi aluse uute, kasutajakesksete e-teenuste arendamiseks. Neid saab rakendada näiteks vajaduspõhiste toimetulekutoetuste määramisel, tuginedes inimese sissetulekutele ja kulutustele, samuti isikupõhiste tervisesoovituste andmisel või krediidipakkumiste koostamisel. Privaatsust kaitsvad tehnoloogiad tagavad, et andmeid ei liigutata kaitsmata kujul kesksesse serverisse, vaid neid töödeldakse krüpteeritult või riistvaraliste turvameetmete abil.
  
• Privaatne andmete linkimis- ja analüüsiteenus. Turvalise arvutamise abil saab luua riikliku andmete linkimisteenuse, mis ühendab andmeid identifikaatorite (nt isikukoodide) alusel, hoides need krüpteerituna. Seejärel saab andmed pseudonüümitult väljastada teadlastele või asutustele. Teenuse edasiarendus võimaldab andmeid analüüsida ja masinõppemudeleid treenida otse turvalises keskkonnas, ilma andmeid väljastamata. Kui andmeruumid keskenduvad teenustele üksikisikule, siis linkimise ja analüüsi eesmärk on saada statistilisi tulemusi, mudeleid või aruandeid mitme isiku andmete põhjal, et toetada poliitikakujundamist, avastada pettusi ja ennetada kuritegevust.
  
• Avaandmete teenused ja rakendusliidesed. Riigil on rohkelt andmeid, mida saavad uute teenuste arendamisel kasutada erinevad osapooled. Paljud neist andmebaasidest ei ole seotud konkreetsete isikutega ega vaja seetõttu privaatsuskaitse tehnoloogiate rakendamist. Samas võimaldavad need tehnoloogiad tuua avaandmetesse rohkem teavet, suurendades nende väärtust. Avaandmete teenused edastavad vajalikke lähteandmeid teistele teenustele piiratud kujul, mis muudab taasisikustamise keerukaks. Isikustatud andmetest üldistatud kujul tuletatud avaandmed loovad võimalusi uute teenuste arendamiseks, näiteks rahvastikustatistikale tuginevateks piirkondlikeks lahendusteks hariduse, tervishoiu, rahanduse, transpordi või energeetika valdkonnas.
  
• Andmebaasi avaldamine avaandmetena. Infosüsteemide, teenuste ja krattide arendamiseks ning testimiseks on vaja võimalikult realistlikke, kuid mitte isikustatud andmeid, sest isikuandmete kasutamine testimisel ei ole lubatud. Samuti vajavad teadlased ja haridusasutused andmeid, mis kirjeldavad uuritavat valdkonda, kuid ei sisalda isikut tuvastavat teavet. Sellistel juhtudel on otstarbekas avaldada kogu andmebaas, kui see on eelnevalt sobivalt töödeldud. Avaandmeid saab kasutada teadustöös, poliitikauuringutes, õppetöös ning infosüsteemide ja analüütikavahendite testimisel. Suurim risk seisneb selles, et pärast andmete avaldamist kaob kontroll nende kasutamise üle — andmete saajad võivad kirjeid taasisikustada, ühendades need muude andmeallikatega. Seetõttu peab avaandmete puhul rakendama põhjalikumat riskihaldust kui kontrollitud keskkondades ning teatud juhtudel võib olla põhjendatud andmete jagamine vaid piiratud kasutajaskonnaga või oluliselt vähendatud detailsusega.
  
• Sünteetiline digitaalne kaksik riigi andmetest ja teenustest. Infosüsteemide ja teenuste korrektsuse, jõudluse ning kasutatavuse tagamiseks on vajalik nende põhjalik testimine. Andmeteenuste puhul eeldab see testandmete olemasolu. Euroopa seadused ei luba testida süsteeme päris isikuandmetega, mistõttu tuleb kasutada juhuslikult genereeritud andmeid. Need andmed peavad siiski vastama tegelikele struktuuridele ja väärtusvahemikele. Ainuüksi sünteesitud andmetest ei piisa — testimiseks tuleb luua ka koopiad teenustest, mis neid andmeid kasutavad. Seetõttu on vaja luua sünteetiline digitaalne kaksik, mis peegeldab e-riigi teenuseid koos vastavate sünteetiliste andmetega.
  
• Privaatne sündmuste logimine ja logide analüüs. Digitaalsete teenuste logide põhjal on võimalik tuvastada süsteemis anomaaliaid, väärkasutust ja tehnilisi vigu. Kui aga süsteemis töödeldakse tundlikke andmeid, võib ka logi ise osutuda tundlikuks – sõltuvalt sellest, millist teavet see sisaldab. Näiteks kui kasutaja autentib end või allkirjastab digitaalselt dokumenti, tehakse päring digitaalse identiteedi kehtivuskontrolli teenusele. Sellisel juhul saab teenusepakkuja logisid analüüsides teada, millist teenust konkreetne isik kasutab ja kui sageli. Privaatsust kaitsvate tehnoloogiate abil on siiski võimalik logisid koguda ja nende põhjal pettusi või anomaaliaid tuvastada nii, et teenuseandja ise logide sisu ei näe ega saa kasutaja käitumise põhjal profiile koostada.
  
• Tunnuste ja/või omaduste tõestamine. Euroopa digitaalne identiteet näeb ette digikukrute kasutuselevõttu isikutuvastuseks ja erinevate tõendite esitamiseks. Tõendi esitamisel võib aga juhtuda, et inimene jagab enda kohta rohkem andmeid, kui tegelikult vaja. Näiteks täisealisuse tõendamiseks pole tarvis teada saada sünnikuupäeva – piisab lihtsast „jah/ei“ vastusest.
  
  Digikukkur võimaldab kasutada nullteadmustõestusi või vahemiktõestusi, millega saab kinnitada, et inimene vastab mingile tingimusele (nt on üle teatud vanuse), ilma et ta avaldaks täpset teavet (nt sünniaega). Samuti saab niimoodi tõendada keerukamaid väiteid, näiteks et isiku tervis vastab teatud ametikoha tervisenõuetele või et elektriauto on läbinud määratud vahemaa, millest 80% konkreetse riigi territooriumil¹³.
  
  Eesti kontekstis võiks nullteadmustõestusi rakendada näiteks sõiduki asukohapõhisel maksustamisel¹⁴. Tõendi kontrollija näeb küll arvutus- ja otsustusprotsessi ning seda, kas nõuded on täidetud, kuid ei pääse ligi isiku lähteandmetele – olgu nendeks terviseandmed või liikumisinfo.

Sissetulekutega seotud toetuste määramiseks sobiks kõige paremini turvalised andmeruumid

Kirjeldatud teenusemudelitest sobiks energiatoetuste sissetulekuga sidumiseks (või laiemalt leibkonnaandmetel põhinevate toetuste määramiseks või teenuste osutamiseks) kõige paremini turvalised andmeruumid.

Joonis 2. Energiatoetuste andmeruumi illustreeriv näide. Joonis kohandatud allikast¹⁵

Joonisel on toodud näide, kuidas oleks võimalik leibkonnale energiatoetusi määrata turvaliste andmeruumide abil. Andmeruumi saadetakse vajalikud andmed nii avalikust sektorist (näiteks sissetulekute andmed Maksu- ja Tolliametist) kui ka erasektorist (elektriarved). Erasektori andmete lisamiseks on vajalik üksikisiku nõusolek, aga võib eeldada, et kui kogu protsess on automaatne ja säilitab privaatsuse, on inimesel suurem valmidus nõusolek anda. Andmeruumi sees arvutatakse energiatoetuse suurus, kasutades turvalist arvutust, näiteks turvalist ühisarvutust, usaldatud käivituskeskkondi (trusted execution environments, TEE) või täishomomorfset krüptograafiat (fully homomorphic cryptography, FHE). Viimast küll ainult piiratud ülesannete jaoks, sest see tehnoloogia alles areneb.

Turvalises andmeruumis ei näe andmeid isegi süsteemiadministraator, aga seal on võimalik andmeid analüüsida ning väljund avatakse vaid volitatud isikutele.

Privaatsuskaitse tehnoloogiad pole piiranguteta

Nagu ka avatud andmete puhul, ei suuda privaatsuskaitse tehnoloogiad alati lahendada kõiki eetilisi küsimusi. Näiteks ei tohiks ka turvalises andmeruumis tehisintellekt iseseisvalt otsuseid teha, vaid üksnes pakkuda otsustamiseks tuge. Kui algoritm põhineb lihtsal valemil, võib süsteem anda ainult otsuse kavandi. Kui aga kasutatakse keerukamat mudelit, peaks süsteem näitama nii otsust kui ka andmeid, mille alusel see tehti, et tagada algoritmi läbipaistvus.

Privaatsuskaitse tehnoloogiad kaitsevad küll privaatsust, kuid ei mõjuta algoritmi sisu ega eetilisi aspekte – kui otsus on privaatsuskaitseta ebaeetiline, siis on see ebaeetiline ka siis, kui kasutada privaatsustehnoloogiaid. Küll aga lahendavad privaatsuskaitse tehnoloogiad andmekaitsega seotud probleeme ning vähendavad märgatavalt massandmete töötlemisega kaasnevaid riske.

Liina Kamm Cybernetica vanemteadur

Dan Bogdanov, PhD Cybernetica teadusdirektor, Eesti Teaduste Akadeemia küberturvalisuse komisjoni esimees

Kasutatud allikad:

¹ Riigi Infosüsteemi Amet. Andmevahetuskiht X-tee.

² Cybernetica AS. Interoperability solutions for secure digital states.

³ Arenguseire keskus. Sissetulekust sõltuvate sotsiaaltoetuste mõju riigieelarvele, vaesusele ja ebavõrdsusele. Lühiraport. September 2024.

⁴ National Insurance: introduction. (Viimati külastatud 16.10.2024).

⁵ Thousands unable to get an NI number because of coronavirus. Darin Graham, BBC. 21. oktoober 2020. (Viimati külastatud 16.10.2024).

⁶ Oluline on ka ära märkida, et kuigi Eestis on olemas nii rahvastikuregister kui elukohateadete esitamise süsteem, ei ole ka meil tagatud, et inimene elab rahvastikuregistris märgitud aadressil. Probleemi on uuritud juba aastaid, kuid lahendust veel ei ole. Kindlasti ei ole lahenduse leidmine siin ka pelgalt tehnoloogiline küsimus.

⁷ X-tee täpne analoog puudub Suurbritannias teadaolevalt ka 10 aastat hiljem, 2024. aastal.

⁸ Commissioners for Revenue and Customs Act 2005 (CRCA 2005). (Viimati külastatud 16.10.2024)

⁹ Privaatsuskaitse tehnoloogiate kontseptsioon. Uuringu aruanne D-16-175. Versioon 1.1 31.03.2023. (Viimati külastatud 16.10.2024).

¹⁰ Report on testing of Cybernetica Sharemind product. UK Cabinet Office Fraud, Error and Debt task team. May 2017.

¹¹ Cybernetica AS. Privaatsuskaitse tehnoloogiate kontseptsioon. (viimati külastatud 17.10.2024).

¹² Cybernetica AS. Privaatsuskaitse tehnoloogiate Eestis rakendamise teekaart. (viimati külastatud 17.10.2024).

¹³ PROVENANCE EV use-case. (Viimati külastatud 17.10.2024).

¹⁴ Cybernetica showcased a Zero-Knowledge Proof solution for tracking assets at the Pentagon Demo Day. Cybernetica. 19. veebruar 2024. (Viimati külastatud 17.10.2024).

¹⁵ Cybernetica AS. Privaatsuskaitse tehnoloogiate kontseptsioon.

25.11.2024 Raport

Personaalriigi tulevik Eestis. Stsenaariumid aastani 2040

Laadi alla PDF (8 MB)