Identiteettiin liittyvä oikeudellinen suoja
4.9.2015 voimaantullut rikoslain identiteettivarkautta koskeva säännös on oivallinen esimerkki lainsäädännön pakollisesta sopeutumisesta verkkoyhteiskunnan synnyttämiin lieveilmiöihin. Lakimuutos säätää rangaistavaksi tilanteen, jossa joku erehdyttääkseen kolmatta osapuolta käyttää oikeudettomasti toisen henkilötietoja, tunnistamistietoja tai muuta vastaavaa yksilöivää tietoa ja siten aiheuttaa taloudellista vahinkoa tai vähäistä suurempaa haittaa sille, jota tieto koskee.
Uuden rikostunnusmerkistön tehokkuudesta ja toimivuudesta esimerkiksi verkossa tapahtuvaan ammattirikollisuuteen voidaan olla montaa mieltä, mutta periaatteelliselta kannalta muutos on merkittävä.
SOSIAALINEN MEDIA JA IDENTITEETTI
Uuden sääntelyn on tarkoitettu purevan entistä paremmin tilanteisiin, joissa ei ole edes tavoiteltu taloudellista hyötyä tai aiheutettu suoraa taloudellista vahinkoa, vaan motiivina voi olla pelkkä pätemisen tarve tai halu levittää omaa elämänkatsomustaan jonkun toisen tunnettuutta hyödyntäen. Näitä esiintyy tyypillisesti sosiaalisessa mediassa.
Valeprofiilin luomisella sosiaalisessa mediassa voidaan pyrkiä tietoisesti aiheuttamaan vahinkoa yksittäiselle henkilölle tai keräämään tietoa identiteettivarkauden kohteesta. Harmittomalta mutta kiusalliselta tuntuvan valeprofiilin käytön tarkoituksena voi olla myös myöhemmin toteutettavan petoksen valmistelu. Jos esimerkiksi väärennettyyn verkkokauppaan johtavan linkin sisältävä viesti tulee sellaisesta Facebookin valeprofiilista, jolla näyttäisi olevan viestin vastaanottajan kanssa yhteisiä kavereita, ei linkin aitoutta tule välttämättä kyseenalaistettua. Valeprofiilia voidaan käyttää myös puhtaasti kiusaamistarkoituksessa. Lakimuutos selkiytti tilanteen siten, että kaikki tällainen toiminta on nykyään rangaistavaa. Nykymaailmassa tieto kuitenkin leviää nopeasti ja identiteetin haltijalle aiheutuva imagotappio ei välttämättä ole edes korjattavissa. Identiteettivarkauden uhrin asemassa onkin usein olennaisempaa pyrkiä valeprofiilin poistoon kuin rangaistukseen.
IDENTITEETIN SUOJA JA SUOSTUMUS
Henkilötietojen suoja on perinteisesti vahva ja identiteetin loukkaamattomuus perustuu Suomessa perustuslain 10 §:ään sekä sen nojalla säädettyyn henkilötietolakiin. Identiteetti on käsitteenä tarkoituksellisen epäselvä, mutta oikeusministeriön mukaan sen määrittää kaikki sellainen tieto, jonka avulla identiteetin haltijat voidaan erottaa toisistaan. Henkilötieto on sen sijaan määritelmänä täsmällisempi, mutta lain määritelmä ei aina sovellu verkkoyhteiskunnan palveluiden ja sovellusten synnyttämässä ympäristössä tarkkarajaisesti.
Esineiden internetin, älylaitteiden ja sosiaalisen median käyttö suorastaan kehottaa yksityishenkilöitä jakamaan varsin julkisesti tietoa esimerkiksi omasta sijainnistaan tai sykemittarin tuottamasta urheiludatasta. Näin toki pitääkin olla, eikä kehittyvien ja elämää helpottavien palveluiden käytöstä tule pidättäytyä pelkästään siksi, että on olemassa teoreettinen mahdollisuus joutua rikoksen uhriksi. Toisaalta ihmiset suhtautuvat varsin vakavasti ei-julkistettujen tietojensa vuotoon.
Yksityisten käyttöön tarkoitettujen sovellusten käyttöehdoissa käyttäjä joutuu ennen sovelluksen asentamista hyväksymään sen, että sovellus saa käyttää käyttäjän henkilötietoja. Henkilön identiteettiin johtavien tietojen leviäminen onkin usein yhteydessä henkilön itsensä antamaan suostumukseen, koska ilman suostumusta sovellusta ei voi käyttää. Valitettavasti suostumus ei kuitenkaan suojaa tiedon leviämistä eteenpäin suostumuksen saajalta.
OSAPUOLTEN SIVIILIOIKEUDELLISET VASTUUT JA HENKILÖTIETOJEN SUOJAAMISVELVOLLISUUS
Siviilioikeudelliselta kannalta väärään identiteettiin perustuvassa hankinnassa on kyse tilanteesta, jossa tuotteen myyneen tahon ja uhrin välille muodostuu sopimussuhde. Ongelmana on kuitenkin se, että uhri ei ole oikeasti antanut sitoumustaan sopimukseen, saanut siitä mitään vastiketta tai edes tiedä sopimuksesta. Koska kyse on rikoksesta, ei uhri yleensä joudu korvausvelvolliseksi.
On mielenkiintoista seurata päädytäänkö verkkoyhteiskunnassa joskus tilanteeseen, jossa esimerkiksi asianmukaisen virustorjunnan ylläpidon laiminlyönti rinnastettaisiin sellaiseksi laiminlyönniksi, joka voisi estää korvauksen saamisen. Esimerkiksi kotivakuutus ei yleensä korvaa lukitsemattoman pyörän katoamista, koska silloin vakuutuksenottaja on laiminlyönyt korvauksen edellytyksiin kuuluvien suojaohjeiden noudattamisen. Voisi myös ajatella, että jos esimerkiksi luottokorttia ei kuoleteta henkilötietojen katoamisen jälkeen, saattaa uhri itse pahimmassa tapauksessa menettää oikeuden korvauksiin oman myötävaikutuksen perusteella.
Yllä kuvattu skenaario ei onneksi tunnu todennäköiseltä ja identiteettivarkauden uhrin asema on muutenkin jo kohtuuttoman raskas. Se kuitenkin osoittaa, että perinteinen vahingonkorvauslainsäädäntö ei välttämättä sovellu maailman muutoksiin riittävällä nopeudella.