Jos Facebook-syötteessäsi on liikaa huonolaatuisia julkaisuja, klikkiotsikoita, paljasta pintaa ja jopa väkivaltaista sisältöä, syynä on Facebookin oletusasetukset.
Asian voi muotoilla niinkin, että Facebook näyttää tarkoituksella käyttäjille huonolaatuista sisältöä. Ehkä siksi, että huonolaatuinen sisältö herättää tunteita ja saa käyttäjät reagoimaan, jolloin alustaan syntyy kiinteämpi suhde. Someanalytiikan termein kyse on sitouttamisesta ja sitoutumisesta, joka on tietenkin Facebookin etu, mutta ei välttämättä käyttäjälle hyväksi.
Olipa syy mikä hyvänsä, Facebook-syötteen sisältöä voi parantaa helposti yksinkertaisella asetusten muutoksella.
Facebookin oma ohje ei ole kovin havainnollinen, joten tässä kuvien kanssa:
1. Klikkaa desktop-versiossa ylänurkasta profiilikuvaasi ja avaa sen alta kohta Asetukset ja yksityisyys -> Syöte
Mobiilissa asetus löytyy kohdasta Asetukset -> Uutiset
2. Klikkaa seuraavasta näkymästä Vähennä
Lisäys klo 12:45: Jostain syystä tämä kohta ei näy kaikilla käyttäjillä. Voi olla, että kyse on uudesta toiminnosta, joka ei ole vielä päivittynyt kaikille käyttöön, tai se on kokeilussa vain osalla käyttäjistä. Asetukseen ei valitettavasti ole suoraa linkkiä.
3. Käy seuraavasta ikkunasta jokainen kohta erikseen läpi:
4. Heikkolaatuinen sisältö: valitse Vähennä lisää
Jos sinua kiinnostaa, voit katsoa myös esimerkkejä heikkolaatuisesta sisällöstä:
5. Ei-alkuperäinen sisältö ja heikkolaatuinen jakaminen: valitse Vähennä lisää
6. Arkaluontoinen sisältö: valitse Vähennä lisää
Näillä asetuksilla syötteesi näyttää ainakin hivenen paremmalta! 🙂
Paljonko tällä todellisuudessa on merkitystä? Senkin tietää vain Metan insinöörit.
Jos Facebookin syötteen toiminta kiinnostaa enemmän, voit lukea DSA-asetuksen vaatiman kuvauksen siitä täältä. Lisäksi tekoälyn käytöstä Facebookin ja Instagramin syötteessä löytyy tarinaa täältä.
Viimeviikkoinen informaatiovaikuttamisen webinaari SnellmanEDU:lle sai eilen jatkoa. Tällä kertaa aiheena oli valeprofiilien tunnistaminen sosiaalisessa mediassa. Esityksen aiheisiin sisältyy mm. anonyymit, trollit, botit ja varsinaiset valeprofiilit eri keksityt tai toisen nimissä esiintyvät käyttäjätunnukset somepalveluissa.
Yhtenä koulutuksen aiheena oli myös valeprofiilien usein käyttämät tekoälyn avulla luodut feikkiprofiilikuvat. Ne ovat tuttuja etenkin Twitterin trollitunnuksista, joista moni on törmännyt kevään aikana esimerkiksi alla näkyviin tunnuksiin.
Kuvassa olevat tunnukset ovat niin silmiinpistäviä, että herää kysymys, onko ne tarkoituksella tehty näin tökerösti? Niiden tekijällä voi olla taktiikkana tehdä tökeröjä trollitunnuksia, jotta huomiomme kiinnittyisi niihin, emmekä huomaisi hienovaraisemmin toimivia trolli- ja bottitunnuksia.
Esimerkki mahdollisesta valeprofiilista: Elina Hinder / @elinahinder
Tarkastelin yhtenä esimerkkitapauksena Twitter-tunnusta nimeltä Elina Hinder / @elinahinder, jota on epäilty useasti valeprofiiliksi, kuvaa myöten. Tämä on myös peruste käsitellä hänen tunnustaan julkisesti – kenen tahansa sattumanvaraisen henkilön tunnusta en tällä tavalla käyttäisi esimerkkinä. Alla hänen profiilikuvansa lähitarkastelussa.
@elinahinderin profiilikuva on tekoälyn luomaksi onnistunut: esimerkiksi automaattinen Fake Profile Detector ei sitä tunnista. Kuitenkin siinä on useita tyypillisiä viitteitä AI-teknologian käytöstä, kun kuvaa tarkastelee suurennettuna.
Yksi keino on generoida itse vastaavan tyyppisiä (mm. pää suunnilleen samassa asennossa) profiilikuvia This Person Does Not Exists -sivustolla ja verrata niitä tarkastelussa olevaan kuvaan. Näin teinkin:
Kun näitä kuvia vertaa @elinahinderin kuvaan, ovat ne kuin samasta maailmasta. Kaikissa on samoja tekoälyn tuottamia piirteitä:
Silmät ovat yhtä kaukana kuvan keskilinjasta
Tausta yksivärinen tai epäselvä
Vasen korva (kuvassa oikealla) näyttää olevan hieman eri perspektiivistä kuin kasvot
Epäilen, että @elinahinderin kuva on tehty samalla This Person Does Not Exists -sivustolla kuin yllä olevat.
Luonnollisesti pelkkä profiilikuvan tarkastelu ei riitä, kun tunnusta epäillään valeprofiiliksi. Ensimmäisenä tässäkin tapauksessa tarkastin, ettei @elinahinderin profiilikuvaa löytynyt käytettynä muualla netissä sekä mitä hänen nimellään löytyy eri hakukoneista ja muista somepalveluista.
Elina Hinderin tapauksessa kiinnostava yksityiskohta oli, että sekä MV-lehti että Uvmedia-sivusto ovat lainanneet sen twiittejä joissakin artikkeleissaan. Kumpaakin sivustoa voi luonnehtia niin sanotuksi vastamediaksi tai valemediaksi. Tämä voi olla viite siitä, mihin tahoihin @elinahinder-tunnuksen haltijalla on yhteyksiä.
Alla lista, mitä asioita profiilitiedoista kannattaa katsoa tarkemmin läpi.
Merkille pantavaa @elinahinderin tapauksessa on myös se, ettei hän ole tietääkseni kertaakaan kommentoinut epäilyjä siitä, että hänen tunnuksensa olisi valeprofiili. Voisin kuvitella jokaisen tavallisen käyttäjän pyrkivän tyrmäämään moiset epäilyt tai vähintäänkin kommentoivan niitä.
Lähetin itse ennen tämän koulutuksen pitoa @elinahinderille Twitterin yksityisviestinä suoran kysymyksen: Miksi käytät tekoälyllä luotua kuvaa ja salanimeä? Tähän mennessä hän ei ole lukenut saati vastannut kysymykseen. Itse asiassa @elinahinder näyttää lopettaneen Twitterin käytön kokonaan 16.4. jälkeen.
Alla muutkin @elinahinderistä selvittämäni asiat ja johtopäätös.
Pidän melko varmana, että @elinahinder on valeprofiili eli nimi on keksitty ja kuva on todennäköisesti tekoälyn avulla luotu. Sen tekijä jää kuitenkin avoimeksi.
Disclaimer: On periaatteessa mahdollista, että tunnuksen takana on yksittäinen ihminen, joka on omista syistään halunnut toimia keksityllä henkilöllisyydellä. Jos näin on, niin todettakoon, etten väitä @elinahinderin tehneen mitään varsinaisesti kiellettyä, ja kunnioitan jokaisen ihmisen mahdollisuutta toimia somessa myös anonyyminä nimimerkin tai salanimen takaa.
Disclaimer 2: Jos mietit, miten profiilikuvan tekijänoikeudet vaikuttavat siihen, miten sitä saa esimerkiksi tällaisessa yhteydessä käyttää, niin totean käyttäväni @elinahinderin kuvaa kokonaisuudessaan sitaattina osana oman mielipiteeni perustelua, joka liittyy nimenomaisesti ko. kuvaan ja Twitter-tunnukseen. Toiseksi tietokonealgoritmin sattumanvaraisesti luomalla kuvalla (jollainen se käsitykseni mukaan on) ei ole tekijänoikeuksia, koska siihen ei liity tekijänsä luovaa panosta.
Alla vielä muistilista siitä, milloin hälytyskellojen on syytä soida ja tehdä varmistuksia siltä varalta, että sosiaalisessa mediassa vastaan tullut käyttäjätunnus onkin jotain muuta kuin mitä se näyttää tai väittää olevansa.
Konteksti: sosiaalinen media vuonna 2022 ilmiöineen kuten kuplat, totuuden jälkeinen aika, tunnereagointi, algoritmien vaikutus, vihapuhe, polarisaatio
Informaatiovaikuttaminen Suomessa keväällä 2022, strategiset narratiivit, Twitterissä havaittuja trolleja ja botteja verkostoanalyysinä
Informaatiovaikuttamisen tekniikoita, trollaus ja maalittaminen
Twitter-käyttäjien laatupisteiden vaikutus (shadowban/ghostban),
Tässä kuvassa on tiivistettynä monta sosiaalisen median haastetta tällä hetkellä:
Muutoin suosittelen katsomaan koko esityksen läpi. Lopusta nostaisin kuitenkin esiin vielä ohjeen, miten disinformaatiota/vääriä tietoja kannattaa pyrkiä oikaisemaan eli debunkkaamaan:
Jos informaatiovaikuttaminen kiinnostaa, niin vinkki: ensi maanantaina eli 2.5.2022 on tulossa webinaari valeprofiilien tunnistamisesta, edit: josta lisää seuraavassa blogikirjoituksessa.
Kirjoitin viime viikolla Mikrobitiin kolumnin, jossa kerroin, kuinka uudelleenjakaminen on mennyt rikki. Uudelleenjakamisen tarkoituksena on jakaa hyvää sisältöä eteenpäin omalle verkostolle, mutta Facebookin sisäisen selvityksen mukaan uudelleenjaetut julkaisut sisältävät useammin virheellistä tietoa kuin julkaisut keskimäärin.
Tiedot käyvät ilmi Facebookin ex-työntekijän Frances Haugenin Yhdysvaltain arvopaperi- ja pörssikomissiolle vuotamista asiakirjoista, ns. Facebook files
Facebookin tutkijoiden vuonna 2019 tekemän selvityksen mukaan:
Uudelleenjaetut linkit sisälsivät jopa 4-5 kertaa todennäköisemmin virheellistä tietoa kuin saman tyyppiset julkaisut keskimäärin.
38 % kaikista vääriä tietoja sisältävien linkkijulkaisujen näyttökerroista (engl. viewpoint view, VPV) tapahtui kahden tai useammaan uudelleenjakoketjun jälkeen.
Vastaavasti virheellistä tietoa sisältävien kuvien näyttökerroista jopa 65 % tapahtui kahden tai useamman uudelleenjakoketjun jälkeen.
Aiheesta ovat kirjoittaneet aiemmin mm. Yle ja toimittaja Alex Kantrowitz.
Alla oleva kuva on Facebookista vuodetuista dokumenteista.
Selvyyden vuoksi kuvaajan tulkinta:
Ensimmäiset pylväät kuvaavat kaikkia näyttökertoja, eli 100 % näytöistä tapahtuu, kun julkaisuja on uudelleenjaettu vähintään 0 kertaa.
60 % misinfo-linkkijulkaisun näytöistä tapahtuu, kun sitä on uudelleenjaettu vähintään 1 kerran
38 % misinfo-linkkijulkaisun näytöistä tapahtuu, kun sitä on uudelleenjaettu vähintään 2 kertaa uudestaan (=4 kertaa isompi osuus kuin kaikissa linkkijulkaisuissa, jotka näkyvät punaisena palkkeina)
Facebookin oman tutkimuksen mukaan näyttää siis selvältä, että monta kertaa uudelleenjaetut linkki- ja kuvajulkaisut sisältävät huomattavasti todennäköisemmin virheellistä tietoa kuin julkaisut keskimäärin.
Tästä seuraa, että tiedonsaannin oikeellisuuden kannalta on merkitystä, kuinka suuri osa Facebook-uutisvirran julkaisuista on muiden käyttäjien uudelleenjakoja. Mitä suurempi osa näkemistämme julkaisuista on uudelleenjakoja, sitä todennäköisemmin saamme luettavaksemme virheellistä mis- ja disinformaatiota.
Seuraavassa on Faktabaarin jaottelu harhaanjohtavalle informaatiolle:
Facebookin avoimuuskeskuksessa on julkaistu, mistä keskimääräisen yhdysvaltalaiskäyttäjän uutisvirta koostuu. Sen mukaan 14,6 % uutissyötteen julkaisuista sisältää linkin. Useimmin linkkijulkaisut ovat Facebook-sivuilta peräsin (7,7 %), toiseksi useimmin ns. ”yhdistämättömiä sisältöjä” eli algoritmin suosittelemia (3 %) ja kolmanneksi useimmin käyttäjän seuraamilta muilta ihmisiltä (2,5 %).
Sen sijaan Facebook ei kerro, kuinka suuri osa uutissyötteen julkaisuista on uudelleenjaettuja sisältöjä.
Facebookin avoimuusraportissa kerrotaan myös useimmin katsotut linkit, julkaisut ja Facebook-sivut. Listat eivät ole varsinaisesti luotettavan tiedon riemuvoitto, mutta oudointa on, että useimmin katsottu (121,8 miljoonaa näyttökertaa) Facebook-sivu on sittemmin poistettu palvelusta sääntörikkomuksen takia, eikä Facebook edes kerro, minkä nimisestä sivusta oli kyse. Sen sijaan sivun URL-osoite kerrotaan (facebook.com/102845731859490). Herää kysymys, huomasiko Facebook kyseisen sivun rikkovan sen sääntöjä vasta avoimuusraportin laatimisen myötä?
Suomi sijoittui Facebookin salaisessa vertailussa ykköseksi
Facebookista vuodetuista tiedoista löytyy myös vertailu 27 Euroopan maasta, kuinka suuri osuus Facebook-käyttäjien uutisvirran julkaisuista oli muiden käyttäjien tekemiä uudelleenjakoja. Suomi on tilaston viimeisenä, mikä on disinformaation leviämisen näkökulmasta paras sijoitus.
Alkuperäistä asiakirjaa minulla ei ole lupa julkaista, mutta seuraavassa on vertailussa olevien maiden keskinäinen sijoitus ryhmittäin.
30-45 %
Latvia
Espanja
Romania
Italia
Unkari
Bulgaria
Portugali
20-29 %
Ranska
Slovakia
Luxemburg
Tsekki
Irlanti
Belgia
Itävalta
Puola
Malta
Viro
Liettua
Kypros
Slovenia
Saksa
Kreikka
15-19 %
Ruotsi
Alankomaat
Tanska
Kroatia
Suomi n. 15 %
Suomalaisten Facebook-käyttäjien näkemistä julkaisuista uudelleenjakoja oli siis noin 15 %, mikä oli mukana olevista maista alhaisin lukema. Tulos kertoo joko suomalaisten passiivisuudesta tai hyvästä informaatiolukutaidosta: kyvystä tunnistaa ja olla jakamatta eteenpäin epäluotettavaa tietoa. Passiivisuus tuskin on syy, sillä Facebook on suomalaisten käytetyin yhteisöpalvelu.
Kun Facebookista vuotanutta tilastoa verrataan vuosittaiseen Media Literacy Index -tutkimuksen tuloksiin, voidaan huomata, että niissä maissa, joissa medialukutaito on alhainen, Facebook-käyttäjien uutisvirta sisälsi suhteellisesti enemmän uudelleenjaettuja julkaisuja. Suomi puolestaan oli viime vuonna Media Literacy Indexissä jo neljättä kertaa ykkösenä.
Sosiaalinen media uutislähteenä näyttää laskevan luottamusta uutisiin
Sosiaalisella medialla on yleistymisestään lähtien ollut kiinteä yhteys siihen, millaisia uutisia luemme ja kuinka luotettavina ylipäätään uutisia pidämme. Näitä kysymyksiä mittaa vuosittain Reuters-instituutin Digital News report -tutkimus. Viime vuoden raporttin on luettavissa tästä (PDF, Media-alan tutkimussäätiö).
Kokosin edellä mainittujen maiden tuloksia seuraavaan kuvaajaan. Belgian jätin kuvaajasta pois, koska sen osalta puuttui yksi lukema (tarkemmin: uutisten jakaminen somessa), jolloin se olisi tehnyt kuvaajasta vaikeammin luettavan.
Datalähde: Reuters-instituutti Digital News Report 2021 (kuvaaja: allekirjoittanut)
Maat on kuvaajassa järjestetty sen mukaan, kuinka korkea luottamus niissä on yleisesti uutisia kohtaan. Suomi on jälleen kerran ykkösenä, kuten näkyy. Myös muutama muu maa, joissa uudelleenjaettujen julkaisujen osuus Facebook-virrassa oli alhainen, ovat kuvaajan kärkipäässä: Tanska, Alankomaat ja Ruotsi.
Kiinnostavaa on verrata kuvaajassa luottamusta uutisiin yleensä (sininen) ja sosiaalisen median osuutta uutisläheenä (virheä). Näyttää siltä, että sosiaalisen median osuuden uutislähteenä kasvaessa, luottamus yleensä uutisia kohtaan laskee – ainakin useimmissa tapauksissa tai tiettyyn rajaan asti.
Kiinnostavaa on, että sosiaalisen median osuuden uutislähteenä kasvaessa, luottamus sosiaaliseen mediaan ei näytä lisääntyvän eikä laskevan, vaan pysyvän suunnilleen samana.
Sen sijaan uutisten jakaminen somessa, viesteillä tai sähköpostitse lisääntyy sitä mukaan, kun somella on suurempi rooli uutislähteenä.
Olen seurannut tätä ilmiötä kauan. Tässä vastaava kuvaaja vuodelta 2017, jossa on mukana useampia maita:
(kuvaaja: allekirjoittanut)
Yhteenvetona näyttää siltä, sosiaalisen median käyttö uutislähteenä, uutisten jakaminen sosiaalisessa mediassa ja luottamuksen vähentyminen muita uutislähteitä kohtaan näyttävät kietoutuvan toisiinsa pirullisella tavalla.
Tätä voi konkretisoida seuraavasti:
Jos sosiaalinen media on pääuutislähteenä, todennäköisesti myös jaat somessa uutisia eteenpäin
Jos jaat itsekin paljon uutisia somessa, todennäköisesti pidät somessa jaettuja uutisia muutenkin luotettavina lähteinä.
Jos sosiaalinen media on sinulle tärkeä uutislähde, luottamuksesi uutisiin yleensä on todennäköisesti matalampi kuin niillä, joille some ei ole yhtä tärkeä uutislähde.
Facebookin selvityksen mukaan tähän kaikkeen näyttää liittyvän se, että sekä luet että jaat sosiaalisessa mediassa todennäköisemmin virheellistä tietoa.
Sosiaalinen media ei tämän perusteella näytä tarjoavan enää ulospääsyä Platonin luolasta – vaikka niin on väitetty – vaan pikemminkin olevan sisäänkäynti syvemmälle luolaan.
TOP 3 verkkosivustoa ovat samalla suurimpia datankerääjiä ja digijätteen aiheuttajia: Google, YouTube ja Facebook.
Iso osa somepalvelujen keräämästä tiedosta on käyttäjien näkökulmasta digijätettä.
Osa kerätystä tiedosta saadaan harhauttamalla käyttäjiä antamaan itsestään turhia tietoja kuten sijainti ja kontaktilistat. Tästä lisää alla.
Digijätettä kertyy, koska digibisnes on valtava markkina, joka pitää sisällään mm. maailman viisi arvokkainta yritystä (Apple, Alphabet, Microsoft, Amazon ja Facebook).
Pimeät suunnittelumallit (dark patterns) – esimerkkeinä TikTokin rekisteröityminen ja Yle Areenan evästeilmoitus
Käyttäjien harhauttamiseen pyrkiviä pimeitä suunnittelumalleja käytetään mm. verkkopalvelujen rekisteröitymisessä, yksityisyysasetuksissa ja evästeiden suostumusbannereissa. Niiden avulla käyttäjät yritetään saada tekemään asioita, joita he eivät todennäköisesti tekisi, jos olisivat täysin tietoisia, miten heidän tietojaan kerätään ja käytetään.
Esimerkkinä käytin TikTokin rekisteröitymisprosessia, joka perustuu siihen, että antamalla monia vaihtoehtoja rekisteröitymistapaan käyttäjää ylikuormitetaan ja yritetään saada hänet valitsemaan ensimmäinen vaihtoehto eli sähköpostiosoitteella tai puhelinnumerolla rekisteröityminen.
Mikäli käyttäjä valitsee ensimmäisen kohdan, häneltä pyritään saamaan ensisijaisesti puhelinnumero, jolla hänet voitaisiin heti yhdistää muista lähteistä jo kertyneeseen profilointidataan. Tämä tosiasia paketoidaan tunteisiin vetoavaan ”kokemuksen parantamiseen”. Samalla käyttäjältä ei missään vaiheessa pyydetä selkeää suostumusta tai sopimuksen hyväksyntää, vaan se ohitetaan.
Otetaan toinen esimerkki Yle Areenan evästeiden suostumuksesta, jossa niin ikään käytetään useita pimeitä suunnittelumalleja:
Evästeiden suostumuksessa on kyse GDPR:n mukaisen suostumuksen pyynnöstä sille, että käyttäjän päätelaitteelle saadaan tallentaa tietoa – yleensä evästeitä. Velvollisuus tähän tulee EU:n sähköisen viestinnän tietosuojadirektiivistä, joka lähtee siitä, että käyttäjille pitää antaa nimenomaisesti mahdollisuus kieltäytyä evästeiden käytöstä. Lisää aiheesta Innowisen blogissa.
Kuten kuvasta näkyy, evästeilmoituksessa kieltomahdollisuus loistaa poissaolollaan. Se siis jätetään pimentoon. Sen sijaan annetaan kaksi vaihtoehtoa: 1) muokkaa evästeasetuksia ja 2) hyväksy kaikki evästeet. Meidät on jo aika hyvin ehdollistettu klikkaamaan aina ”hyväksy”, ja tätä vahvistetaan visuaalisesti erottuvammalla nappulalla.
Ylen kannalta on ikävä juttu, että vaikka käyttäjä klikkaisi ”hyväksy kaikki evästeet”, se ei täyttäisi GDPR:n määritelmää vapaaehtoisesta, yksilöidystä ja tietoisesta suostumuksesta, koska evästeilmoituksessa ei kerrota, mihin kaikkeen evästeitä käytetään ja mitä kolmansien osapuolten evästeitä käytetään. Toisin sanoen Yleltä puuttuu virheellisen toteutustavan takia laillinen peruste evästeiden käyttöön palvelussaan.
Mikäli käyttäjä erehtyy valitsemaan ”muokkaa evästeasetuksia” -vaihtoehdon, hänelle annetaan lukuisia valintamahdollisuuksia:
Tässä käytössä on niin ikään useita pimeiden suunnittelumallien kategorioita, ennen muuta sekoittaminen. Ensimmäisessä kohdassa ”välttämättömät toiminnalliset evästeet” on täysin turhaan ruksi, koska sitä ei voi ottaa pois. Itse asiassa EU-asetuksen mukaan välttämättömille evästeille ei edes tarvitse pyytää suostumusta, mutta niiden käytöstä pitää kyllä kertoa.
Muut valintakohdat ovat aluksi kiinni, jolloin käyttäjälle tehdään tarkoituksellisesti hankalaksi niiden lukeminen. On myös kyseenalaista, miksi jokaisesta kohdasta on erillinen ruksivalinta, koska en ole koskaan tavannut ihmistä, joka haluaisi alkaa valitsemaan, että hyväksynpä ”sosiaalisen median evästeet”, mutta en hyväksy ”kohdentamisen ja suosittelun evästeitä”. Nämäkin vaihtoehdot ovat epäselviä, sillä somepalvelujen evästeillä tehdään juuri profilointia ja sen avulla mainosten kohdentamista.
Lisäksi yhä puuttuu selvä ”kiellä evästeet” -nappula. Käyttäjä pyritään näin ohjaamaan evästeiden hyväksyntään.
Viime viikolla TIEKEn ja Tietosuojavastaavan toimiston koulutuksessa pidin esityksen evästeiden suostumuksesta (vastaavat materiaalit täällä). Käytin silloinkin Ylen evästebanneria esimerkkinä. Eräs osallistuja kysyi, miksi Yle toimii näin julkisen palvelun yhtiönä. En keksinyt yhtään hyvää syytä.
EDPB:n dark pattern -kategoriat suomennettuina
Edellä olleessa kuvassa esitin EDPB:n pimeiden suunnittelumallien kuusi kategoriaa hyvin lyhyesti. Alla on niiden kuvaukset suomennettuina suurinpiirtein sanasta sanaan EDPB:n julkaiseman Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them -dokumentin (PDF) mukaisesti.
Tuntemalla nämä voit välttää harhauttavia käyttöliittymiä ja turhien tietojen antamista eri tahoille.
1. Ylikuormittaminen tarkoittaa, että käyttäjät kohtaavat vyöryn/suuren määrän pyyntöjä, tietoja, vaihtoehtoja tai mahdollisuuksia saadakseen heidät jakamaan lisää tietoja tai salliakseen tahattomasti henkilötietojen käsittelyn rekisteröidyn odotusten vastaisesti.
Seuraavat kolme pimeää suunnittelumallia kuuluvat tähän luokkaan:
Jatkuva kehotus
Yksityisyyssokkelo
Liian monta vaihtoehtoa
2. Ohittaminen tarkoittaa käyttöliittymän tai käyttökokemuksen suunnittelua siten, että käyttäjät unohtavat tai eivät ajattele kaikkia tai osaa tietosuojanäkökohdista. Seuraavat kaksi pimeää suunnittelumallia kuuluvat tähän luokkaan:
Petollinen mukavuus
Katso tänne
3. Sekoittaminen vaikuttaa valintoihin, joita käyttäjät tekisivät vetoamalla tunteisiinsa tai käyttämällä visuaalisia houkuttimia. Seuraavat kaksi pimeää suunnittelumallia kuuluvat tähän luokkaan:
Emotionaalinen ohjaus
Piilossa näkyvissä
4. Estäminen tarkoittaa käyttäjien tiedonsaantiprosessin tai tietojen hallinnan estämistä tekemällä toiminnosta vaikean tai mahdottoman toteuttaa. Seuraavat kolme pimeää suunnittelumallia kuuluvat tähän luokkaan:
Umpikuja
Tarpeettoman pitkä
Harhaanjohtavat tiedot
5. Oikullinen tarkoittaa, että käyttöliittymän rakenne on epäjohdonmukainen ja epäselvä, minkä vuoksi käyttäjän on vaikea navigoida eri tietosuojatoiminnoissa ja ymmärtää käsittelyn tarkoitusta. Seuraavat kaksi pimeää suunnittelumallia kuuluvat tähän luokkaan:
Hierarkian puute
Kontekstin häivyttäminen
6. Pimeyteen jättäminen tarkoittaa, että käyttöliittymä on suunniteltu piilottamaan tiedot tai tietosuojatoiminnot tai jättämään käyttäjät epävarmoiksi siitä, miten heidän tietojaan käsitellään ja millaista hallintaa heillä voi olla oikeuksiensa käyttämiseen. Seuraavat kolme pimeää suunnittelumallia kuuluvat tähän luokkaan:
Facebookin algoritmit ovat aina olleet sen suurimpia salaisuuksia. Niiden toiminnasta on aiemmin tihkunut vain vähän tietoja, ja sekin vähän, mitä on tiedetty, on perustunut pikemminkin ulkopuolisten havaintoihin ja päätelmiin kuin pitäviin todisteisiin. Tähän tuli kuitenkin muutos, kun Facebookin ex-työntekijä Frances Haugen vuosi tuhansia yhtiön salaisia asiakirjoja ja keskusteluja ensin syyskuussa Wall Street Journalille ja sen jälkeen Yhdysvaltain kongressille, jonka jälkeen tietoihin on päässyt tutustumaan myös muita sanomalehtiä.
Koostin mediassa esiintyneistä tiedonmuruista infografiikan, joka kuvaa mm.
Kuinka Facebook kehitti ja julkaisi emoji-reaktiot vuonna 2016.
Kuinka Facebook kertoi julkisuudessa emoji-reaktioiden vaikutuksen olevan uutissyötteen algoritmissa vain vähän tavallista tykkäystä suurempi, vaikka se alunperin oli viisinkertainen.
Kuinka Facebookin sisällä havahduttiin hitaasti emoji-reaktioiden (erityisesti ”vihainen”-reaktion) ongelmiin ja huomattiin uutissyötteen algoritmin tuottavan ei-toivottuja tuloksia.
Kuinka Facebookilla kesti vuosia tehdä tarpeelliset korjaukset ja muuttaa ”vihainen”-reaktion arvo algoritmissa nollaksi.
2008-2010 Facebook otti käyttöön ”tykkäämisen” vuonna 2008. Vuodesta 2010 lähtien Facebookin tykkäysnapin pystyi upottamaan myös muille nettisivuille.
2012 (julki 2014) Facebook teki kokeilun, jonka mukaan käyttäjille näytetyt positiiviset julkaisut synnyttivät näissä positiivisia tunteita ja negatiiviset julkaisut negatiivisia tunteita. Facebook vakuutti, ettei se aio manipuloida käyttäjiä saamiensa tulosten avulla.
2016 Facebook julkaisi emoji-reaktiot ”ihastu”, ”haha”, ”vau”, ”surullinen” ja ”vihainen”. Niiden avulla Facebook pystyi näyttämään uutissyötteessä käyttäjille heidän tunnetilansa mukaisia julkaisuja.
2017 Emoji-reaktioiden arvoksi muutettiin uutissyötteen algoritmissa viisi kertaa normaalin tykkäyksen arvo. Tavoitteena oli näin saada ihmiset ja Facebookissa toimivat julkaisijat käyttämään emoji-reaktioita. Facebook väitti kuitenkin Mashablelle, että niiden arvo olisi vain ”vähän” tykkäystä korkeampi.
2018 Facebook alensi emoji-reaktioiden arvon algoritmissaan neljäksi normaaliksi tykkäykseksi. Facebookin tietovuoto ja hyväksikäyttö vaaleissa tulee ilmi Cambridge Analytica -skandaalissa. Mark Zuckerberg käy USA:n kongerssin kuultavana.
2019 Facebookin tutkijoiden mukaan ”vihainen”-reaktioita keränneet julkaisut sisälsivät todennäköisemmin virheellistä sekä vahingollista sisältöä, ja sitä käytettiin ”poliittisena aseena”. Algoritmi saattoi myös nostaa näkyvyyttä suhteettoman paljon. Facebook teki muutoksia, joiden oli tarkoitus vähentää vihaisten reaktioiden vaikutusta.
2020 Koronan myötä Facebook lisäsi ”läheisyys”-reaktion. Facebookissa vakuututaan muutosten tarpeesta. Selvitysten mukaan käyttäjät eivät pidä julkaisujensa saamista ”vihainen”-reaktioista. Lopulta ”vihainen”-reaktion arvoksi muutettiin puolitoista tykkäystä.
2021 Kritiikki Facebookia kohtaan kasvaa Yhdysvaltain kongressitalon 6.1.2021 valtauksen myötä. Syyskuussa Facebook muutti ”vihainen”-reaktion arvon nollaksi. ”Ihastu” ja ”surullinen” -reaktioiden arvot muutettiin kahdeksi tavalliseksi tykkäykseksi. Frances Haugen vuotaa Facebookin sisäisiä dokumentteja The Wall Street Journalille, jotka todistivat mm. tässä kuvattuja tapahtumia.
2021 lokakuu Frances Haugen on kongressin kuultavana. Vuodettujen dokumenttien mukaan Facebookin käyttäjät saavat nyt aiempaa vähemmän väärää tietoa, ”häiritsevää” sisältöä ja ”graafista väkivaltaa”. Muutokset eivät laskeneet käyttäjien aktiivisuutta.
Adam D. I. Kramer, Jamie E. Guillory, and Jeffrey T. Hancock, 2014, Experimental evidence of massive-scale emotional contagion through social networks, https://www.pnas.org/content/111/24/8788.full
Mitä tästä aikajanasta ja Facebookin toiminnasta pitäisi ajatella?
Olen seurannut Facebookin muutoksia ja algoritmeja aina siitä lähtien, kun liityin Facebookiin vuonna 2007. Kuten alussa viittasin, nyt on saatu kerralla enemmän tietoa Facebookin algoritmien toiminnasta kuin kertaakaan aiemmin 14 vuoden aikana.
1. Isoin ongelma on juuri tämä: Facebookin kuten muidenkin netti- ja somepalvelujen algoritmit ovat niiden liikesalaisuuksia, jonka takia niiden vaikutuksista ei tiedetä tarpeeksi.
Facebook on perustellut algoritmien salassa pitoa sillä, että näin Facebookissa julkaisevat tahot eivät voi käyttää algoritmeja väärin. Mutta juuri tämä on mahdollistanut sen, että Facebook on itse käyttänyt algoritmeja käyttäjille vahingollisella tavalla.
2. Toinen tärkeä seikka on se, että jälleen kerran paljastui, kuinka suuri valta Facebookilla ja sen algoritmeilla on maailman ihmisiin. Kun Facebook halusi saada käyttäjät käyttämään uusia emoji-reaktioita, se antoi niille viisinkertaisen arvon normaaliin tykkäykseen verrattuna. Facebook oletti aivan oikein, että ihmiset ja muut Facebookissa julkaisevat huomaisivat kyllä emoji-reaktioiden vaikutuksen siihen, mitkä julkaisut nousevat uutissyötteessä kärkeen, ja muuttaisivat toimintaansa.
Algoritmi, joka vaikuttaa miljardien ihmisten käytökseen, ei saisi olla valvonnan ulkopuolella.
3. Kolmanneksi tapahtumat osoittavat Facebookin olleen epärehellinen. Kun se vuonna 2014 julkaisi tulokset kokeilustaan, jolla manipuloitiin käyttäjiä näyttämällä näille joko korostetun positiivisia tai negatiivisia julkaisuja, se vakuutti, ettei havaintoja tultaisi käyttämään uutissyötteen algoritmissa. Kuitenkin se tuki juuri niin julkaistessaan emoji-reaktiot vuonna 2016.
Kertauksena: emoji-reaktioiden myötä käyttäjät näkivät uutissyötteessään enemmän sen mukaisia julkaisuja kuin mitä reaktioita he olivat itse käyttäneet aiemmin näkemiinsä julkaisuihin. Esimerkiksi jos käyttäjä reagoi julkaisuihin ”vihainen”-reaktiolla, niin hän sai entistä enemmän nähtäväkseen julkaisuja, joihin muut olivat reagoineet samaten ”vihainen”-reaktiolla. Näin Facebook saattoi ikään kuin synkronoitua käyttäjän tunnetilaan. Tarkoituksena oli saada ihmiset pysymään palvelussa tätä kautta mahdollisimman pitkään, jolloin he myös näkivät enemmän mainoksia ja klikkasivat niitä. Tämä on Facebookin liiketoimintamallin ydin.
Karuin esimerkki ilmenee tilanteesta, jossa eräs Facebookin käyttäjä kertoi haluavansa saada palveluun ”en tykkää” -reaktion, jolla voisi ilmaista algoritmille, ettei halua saada enempää tietyn tyyppisiä julkaisuja. Alla olevassa kuvakaappauksessa näkyy, miten Facebookin toimitusjohtaja Mark Zuckerberg vastasi kysyjälle:
Kuvan lähde: The Washington Post, 26.10.2021 (alunperin tietovuotaja Haugenin Yhdysvaltain kongressille toimittamasta materiaalista)
Zuckerbergin ohje oli, että kysyjän tulisi käyttää ”vihaista naamaa”. Todellisuudessa käyttäjä saisi ”vihainen”-reaktiota käyttämällä uutissyötteeseensä vain entistä enemmän julkaisuja, joita hän nimenomaan ei haluaisi saada. Zuckerbergin ohje oli siis päinvastainen kuin mitä kysyjä halusi – mitä hän ei kuitenkaan tälle kertonut.
4. Neljänneksi Haugenin vuotamat tiedot osoittavat Facebookin toiminnan olleen vastuutonta. Kun Facebook lanseerasi emoji-reaktiot, osa sen työntekijöistä arveli seurauksena olevan nimenomaan vahingollisten julkaisujen näkyvyyden ja määrän kasvamisen. Tästä huolimatta Facebook päätti buustata emoji-reaktioiden näkyvyyttä voimakkaasti vuonna 2017.
Kun ongelmista alkoi olla selvää näyttöä vuoden 2018 Cambridge Analytica -skandaalin sekä vuoden 2019 Facebookin omien tutkimusten perusteella, Facebook ei siltikään puuttunut nopeasti algoritminsa toimintaan. ”Vihainen”-reaktion arvo muutettiin nollaksi vasta tämän vuoden syyskuussa.
Vastuuttomana voi myös pitää Facebookin tekemiä ”ihmiskokeita”. Niistä tunnetuin on jo edellä viittaamani vuoden 2012 uutissyötteen manipulointikoe. Sen lisäksi Haugen kertoi tapauksesta, jossa osalta Facebookin käyttäjältä otettiin kokeilun ajaksi kokonaan pois käytöstä algoritmin turvaominaisuudet. Facebook antoi näin tarkoituksella kyseisten käyttäjien saada kaiken mahdollisen palvelussa olevan kuonan. Tulokset näkyvät alla olevassa kuvassa.
Kuvan lähde: The Washington Post, 26.10.2021 (alunperin tietovuotaja Haugenin Yhdysvaltain kongressille toimittamasta materiaalista)
5. Viidenneksi tapahtumat osoittavat, ettei Facebook itsekään hallitse algoritmiensa toimintaa.
Haugenin paljastamista tiedoista käy ilmi, että Facebookin algoritmin itse asiassa olisi pitänyt havaita julkaisut, jotka saivat suhteettoman paljon ”vihainen”-reaktioita ja alentaa niiden näkyvyyttä uutissyötteessä. Algoritmi ei kuitenkaan toiminut oikein.
Algoritmin toiminta oli ohjelmoitu niin, että tällaisessa tilanteessa julkaisun näkyvyyspisteet puolitettiin. Ongelmana oli kuitenkin se, että muiden algoritmiin vaikuttavien muuttujien vuoksi näkyvyysluvulla ei kuitenkaan ollut mitään maksimilukua, jolloin ”vihainen”-reaktioita keränneet julkaisut saivat pahimmillaan rajattoman korkeita näkyvyyspisteitä ja sijoittuivat silloin uutissyötteen kärkeen.
Kuvaavaa on, että kun Facebookin uutissyötteen algoritmi antoi suhteettoman suuren näkyvyyden esim. disinformaatiota, vihapuhetta ja klikkiotsikoita sisältäville julkaisuille, yhtiön omat moderaattorit tekivät samaan aikaan parhaansa sen tyyppisten sisältöjen karsimiseksi.
Facebookilla ei ollut tarpeeksi moderaattoreita, minkä takia vahingollisia julkaisuja ei voitu poistaa samassa tahdissa, kun niitä tuli lisää.
Olin tänään MTV:n uutisamuussa kommentoimassa Facebookin ex-työntekijän Frances Haugenin paljastuksia ja Facebookin palvelujen maanantaista kaatumista. Koska suoran lähetyksen aika oli kovin lyhyt, laitan tähän laajemmat vastaukseni toimittajan esittämiin kysymyksiin.
MTV:n uutisaamussa tänään
1. Mitä tällä hetkellä tiedetään Facebookin äskettäisen kaatumisen syistä?
Facebookin palvelut eli Facebook, Messenger, Instagram ja WhatsApp olivat mediatietojen mukaan kaatuneena maanantaina noin kuusi tuntia. Kyseessä oli yksittäinen tapahtuma, jonka on epäilty johtuvan inhimillisestä virheestä. Kyse oli Facebookin palvelinkeskusten välisen runkoverkon reititysvirheestä. Virhe ikään kuin sulki Facebookin palvelimet pois Internetistä, kun Facebookin palvelujen verkko-osoitteet eivät yhdistyneet palvelimille. Lisätietoa esim. HS:n artikkelista.
Facebookille kaatuminen tuli ikävään aikaan. Käyttäjille tämä oli hyvä muistutus siitä, että viestintää ei kannata jättää vain yhden sovelluksen tai palveluntarjoajan varaan. Varsinkin WhatsAppin kaatuminen voi olla todella vahingollista monille käyttäjille niin vapaa-ajalla kuin töissäkin.
Laajemmassa kuvassa tämä on viimeisin lenkki Facebookiin kohdistuvassa kritiikissä, joka alkoi kiihtyä vuonna 2018, kun paljastui, miten Facebookia oli käytetty vaaalivaikuttamiseen Yhdsvaltain presidentinvaaleissa ja Brexit-äänestyksessä vuonna 2016.
2. Frances Haugen on Facebookin entinen työntekijä, joka vuoti USA:ssa julkisuuteen FB:n sisäisiä tietoja. Mitä hän on kertonut Facebookin asioista?
Haugenin paljastukset voisi tiivistää niin, että ne osoittavat Facebookin toiminnan olevan vastuutonta, käyttäjille haitallista ja että Facebook ei enää kykene hallitsemaan sitä, miten sen palveluita käytetään hyväksi vahingollisiin tarkoituksiin. Kuvaavaa on, että Facebook puhuu hyvistä aikeista, mutta ei toimi sen mukaisesti.
Tässä joitakin Haugenin paljastuksia:
Facebookin vahingollisuudesta käyttäjilleen on puhuttu sen alkuajoista lähtien. Haugen kertoi yrityksellä olevan sisäisiä tutkimuksia, jotka osoittavat Facebookin haitat käyttäjille selvästi. Yritys ei kuitenkaan halua tehdä korjaavia toimia, koska se haittaisi Facebookin liiketoimintaa, sillä korjaukset todennäköisesti aiheuttaisivat sen, että käyttäjät olisivat entistä vähemmän Facebookin palveluissa.
Facebook asettaa liiketoiminnan käyttäjien mielenterveyden ja muun hyvinvoinnin edelle. Tämä näkyy käytännössä esimerkiksi siinä, ettei Facebook estä vihapuhetta, vastakkainasettelua ja disinformaation leviämistä algoritmeissaan niin tehokkaasti kuin se halutessaan voisi tehdä.
Haugenin mukaan Facebook muutti algoritmejaan viime vuoden presidentinvaalien alla vähentääkseen palvelun polarisoivaa vaikutusta. Heti vaalien jälkeen algoritmit kuitenkin palautettiin ennalleen, mikä saattoi Haugenin mielestä osaltaan vaikuttaa USA:n kongressitalon valtaukseen 6. tammikuuta.
Yksi esimerkki Facebookin vastuuttomuudesta on myös se, ettei yritys Haugenin mukaan pyri varsinaisesti estämään liian nuorten eli alle 13-vuotiaiden käyttäjien pääsyä Facebookiin ja Instagramiin. Yhtiö on ollut kehittämässä esiteineille suunnattua Instagram Kids -palvelua, vaikka Instagram on niin Facebookin omien kuin muidenkin tahojen tutkimuksissa todettu olleen haitallinen varsinkin nuorten tyttöjen itsetunnon kehittymiselle.
Kolmantena tärkeänä paljastuksena voi pitää sitä, että Facebook ja Instagram eivät ole enää yhtiön omassakaan hallinnassa. Esimerkkinä tästä on vaikkapa se, että yhtiön tarkoituksena on ollut edistää koronarokotusten ottamista, mutta samaan aikaan sen palvelut ovat tehokkaita koronaan liittyvän disinformaation ja salaliittoteorioiden levittämisessä.
Haugen myös kertoi, että hänen työskennellessään Facebookin vastavakoilutiimissä he havaitsivat muun muassa Kiinan ja Iranin käyttävän palvelua vakoiluun ja kansalaistensa valvontaan. Facebookilla ei kuitenkaan ole tarpeeksi resursseja puuttua kuin kolmannekseen sen tietoon tulevista tapauksista.
Facebook ei paljasta kaikkea tietoaan Yhdysvaltain tai muidenkaan maiden hallituksille. Se pyrkii salaamaan tämän, koska tieto olisi sen maineelle haitallinen.
Facebook käyttää sisällönvalvonnassa apuna tekoälyä, mutta se pystyy tunnistamaan vain 10-20 % kaikesta loukkaavasta sisällöstä.
3. Miten Facebook on reagoinut Haugenin vuotoon?
Facebook on puolustautunut tiukasti. Sen on ollut pakkokin, koska syytökset ovat vakavia. Facebookin edustajat ovat vakuuttaneet, että yhtiö tekee töitä pitääkseen Facebookin turvallisena – kuinkas muutenkaan.
Facebook on julkaissut useita blogikirjoituksia, joissa se mm. on kertonut jäädyttävänsä Instagram Kids -palvelun kehittämisen toistaiseksi, ja poistavansa kaikki alle 13-vuotiaiden käyttäjien tunnukset, jotka se löytää. Blogikirjoituksissa Facebook on pyrkinyt selittämään Wall Street Journalin artikkelien paljastuksia parhain päin. Samalla se on vähätellyt väitteitä ja pyrkinyt esittämään WSJ:n epäluotettavana.
4. Viime yönä Haugen oli USA:n kongressin kuultavana. Mitä kongressin kuulemisesta voi seurata Facebookille?
Todennäköisesti tuloksena on, että Facebookin ja muiden nettijättien toimintaa aletaan säännellä aiempaa tiukemmin. Sääntely voisi kohdistua ainakin seuraavaan kolmeen asiaan:
1) Ihmisten yksityisyyden suojaamiseen. Yhdysvalloissa ei tähän mennessä ole yhtä tiukkaa tietosuojasääntelyä kuin EU:ssa on GDPR. Tälläkin hetkellä verkossa on myynnissä puolentoistamiljardin Facebookin käyttäjän tietoja.
2) Algoritmien avoimuuteen ja toimintaan. Haugenin mukaan Yhdysvaltain viranomaisilla ei ole nykyisin laillisia keinoja selvittää, miten Facebookin algoritmit todella toimivat. Yhtiön sisälläkin algoritmeista tietävät tarkasti vain harvat. Facebook on useita kertoja pyrkinyt torppaamaan myös tutkijoiden yritykset ottaa algoritmien toiminnasta selvää (esimerkki tässä YLEn artikkelissa).
3) Velvollisuuksiin puuttua havaittuihin väärinkäytöksiin. Jatkossa on kestämätön tilanne, jos Facebookin kaltaisia palveluita voidaan käyttää esimerkiksi vakoiluun tai väärän tiedon levittämiseen ilman, että alustalla on velvollisuutta puuttua siihen tai edes kertoa tietojaan eteenpäin viranomaisille.
EU:ssa on parhaillaan menossa digitaalisten palvelujen sääntelyä koskevan lakipaketin valmistelu, joka alkoi viime vuoden lopulla. Lisää aiheesta. esim. HS:n artikkelissa.
Pidin maanantaina puheenvuoron Mediakasvatuskeskus Metkan järjestämässä Oivallus -seminaarissa. Koronatilanteen vuoksi tapahtuma järjestettiin kokonaan verkossa. Linjoilla olikin mukavat 140 osallistujaa. 🙂
Esitykseni aiheena oli nettijättien kuten Googlen ja Facebookin tekemä datankeruu, some- ja verkkopalvelujen algoritmit sekä niiden synnyttämät kuplat. Lähestyin teemaa serendipiteetin eli ns. ”onnekkaiden sattumien” näkökulmasta – jaettuna tiedolliseen ja sosiaaliseen serendipiteettiin.
Algoritmit vaikuttavat jo monella tavalla sosiaalisiin yhteyksiimme ja saamaamme tietoon. Ne vaikuttavat mm. seuraaviin:
Mainokset
Hakutulokset
Uutiset
Somesisällöt (ja jopa keskusteluketjut somepalveluissa)
Suositellut ihmiset
Profilointidata vaikuttaa algoritmien kautta, millaista tietoa ja suosituksia saamme verkko- ja somepalveluissa. Tämä luo niin tiedollisia kuin sosiaalisiakin kuplia.
Koska algoritmien vaikutus on näin moninainen ja laaja, olisi pikemminkin puhuttava monista erilaisista kuplista kuin vain siitä, että olemme ”kuplassa” (jolla yleensä viitataan sosiaalisissa verkostoissa syntyviin kupliin).
Jotain toivoakin sentään vielä on. Siitä lisää esitykseni loppupuolella:
Syyskuun ajan on uutisoitu Irlannin tietosuojaviranomaisen (DPC) ja Facebookin välisestä väännöstä, joka koskee henkilötietojen siirtoa Yhdysvaltoihin ja siten koko yhtiön toimintaa Euroopassa.
Valitettavasti suomalaisissa uutissa on säännöllisesti tehty taustatyöt leväperäisesti ja sohaistu aihetta vain pitkällä kepillä. Olennaiset kysymykset on sivuutettu lähes täysin. Yritän tässä edes hieman tuoda niitä mukaan keskusteluun.
Tausta: seitsemän vuoden kiista
Aluksi lyhyt taustoitus, mistä koko asiassa on kyse:
EU:n tuomioistuin antoi 16.7.2020 päätöksensä ns. Schrems II -tapauksessa. Päätöksen mukaan EU:n ja USA:n välillä henkilötietojen siirtoihin aiemmin käytetty Privacy shield -sopimusjärjestely on pätemätön. Suomeksi päätöksen seurauksista voi lukea EU:n tietosuojaneuvoston UKK-dokumentista.
Facebook ja useat muut pilvipalvelut ovat aiemmin käyttäneet nimenomaan Privacy shieldiä henkilötietojen EU-USA-siirtojensa perusteena. Se ei siis enää käy.
Päätöksen myötä useiden pilvipalvelujen käyttö henkilötietojen käsittelyyn EU:ssa tuli välittömästi laittomaksi – mikä on ihme kyllä jäänyt medialta lähes tyystin huomiotta.
EU-tuomioistuimen päätöksessä otettiin kantaa myös niin sanottujen EU:n mallisopimuslausekkeiden (joita on oikeastaan kolme) käyttöön henkilötietojen EU-USA-siirtojen perusteena. Päätöksen mukaan mallisopimuslausekkeita voi edelleen käyttää, mutta ei yksinään, vaan tietosuojan takaavien lisätoimenpiteiden kanssa.
Käytännössä kukaan ei vielä tiedä varmasti, mitä voisivat olla sellaiset tietosuojan lisätoimenpiteet, joilla henkilötiedot voitaisiin varmasti suojata Yhdysvalloissa esimerkiksi sen hallinnon tekemältä tiedustelulta. Asiaan odotetaan EU:n tietosuojaneuvoston (EDPB) lisäohjeita.
Tähän asti on kuitenkin tulkittu niin, että tietosuojan lisätoimenpiteissä olisi kyse tietojen vahvasta salauksesta yhdistettynä henkilötietojen pseudonymisointiin. Eli salaamalla tiedot siten, että niitä ei voi ulkopuolinen lukea, kun tiedot on tallennettuina Yhdysvaltalaisille palvelimille. Tässä on kuitenkin monia epävarmuustekijöitä, koska henkilötietojen käsite on laaja: esimerkiksi jo sähköpostiosoite ja IP-osoite ovat henkilötietoja.
Mainittakoon, että EU-tuomioistuimen päätöksen mukaan on olemassa yksi varma oikeusperuste henkilötietojen EU-USA-siirrolle: rekisteröityjen nimenomaisen suostumuksen saanti siirroille.
Facebook on tikunnokassa ensimmäisenä varsinkin siksi, koska EU-tuomioistuimen päätös koski nimenomaisesti sitä. Kyse ei ole mistään uudesta asista, vaan tämän hetken tilanne on vain viimeinen käänne itävaltalaisen tietosuoja-aktivisti Max Schremsin jo vuonna 2013 aloittamasta oikeustaistelusta. Vuonna 2015 oikeudessa kaatui Privacy shieldin edeltäjänä ollut Safe harbor -sopimusjärjestelmä ja heinäkuussa sitten Privacy shield. Eli Facebook on kitkutellut asian kanssa jo seitsemän vuotta ja sillä olisi ollut tarvittava aika hoitaa se kuntoon. (Sivuhuomautus: joku ystävällinen wikipedisti voisi kääntää linkin Wikipedia-artikkelin myös suomeksi.)
Syyskuun tapahtumat: Irlannin tietosuojaviranomainen vs. Facebook
Ja näin päästään tämän hetkiseen Irlannin tietosuojaviranomainen vs. Facebook -tapaukseen:
Koska Facebook ei voi enää käyttää Privacy shieldiä henkilötietojen EU-USA-siirtojen perusteena, se on takertunut toiseksi viimeiseen oljenkorteensa eli EU:n mallisopimuslausekkeisiin. Muitakin siis vielä on ja niistä lisää jäljessä.
EU-tuomioistuimen päätöksen jälkeen Irlannin tietosuojaviranomainen on mediassa olleiden tietojen mukaan antanut alustavan päätöksen, jonka mukaan Facebookin tulee keskeyttää henkilötietojen siirto. Facebookilla oli aikaa antaa vastineensa tämän kuukauden puoliväliin mennessä.
Kun tieto tuosta alustavasta päätöksestä tuli syyskuun toisella viikolla julki, Facebook julkaisi hyvin kiinnostavan blogipostauksen. Kirjoitus keskittyy Facebookin tavoitteiden lobbaukseen, mutta siinä kerrotaan yksi tärkeä seikka, mistä tapauksessa on pohjimmiltaan kyse: Irlannin tietosuojaviranomaisen näkemyksen mukaan EU:n mallisopimuslausekkeita ei voida käytännössä käyttää henkilötietojen EU-USA-siirtojen perusteena. Tarkka lainaus: ”The Irish Data Protection Commission (IDPC) has commenced an inquiry into Facebook controlled EU-US data transfers, and has suggested that SCCs cannot in practice be used for EU-US data transfers.”
Mainittakoon, että Facebookilla piti muutenkin kiirettä, kun Irlannin tietosuojaviranomaisen alustava päätös tuli julkisuuteen. Se muun muassa kävi kaikessa hiljaisuudessa ”korjaamassa” WhatsAppin tietosuojaselostetta niin, että sielläkin mainitaan siirtojen perusteena EU:n mallisopimuslausekkeet. Jotain korjauksen kiireellisyydestä kertonee se, että muutoksen päiväyksesi merkittiin 24. huhtikuuta 2018, vaikka oikea päiväys on nimenomaan 9.9.2020.
On sinänsä hienoa, että Facebook on vihdoinkin herännyt ongelmaan seitsemän vuoden ruususenunen jälkeen. 😏
Eilisen ja tämän päivän uutisotsikot siitä, miten mukamas ”Facebook ja Instagram uhataan sulkea Euroopassa” ovat seurausta maanantaisesta Vice-verkkolehden artikkelista, jossa lainataan Facebookin Irlannin toimipisteen tietosuojavastaavan vastinetta DPC:lle.
Kuten arvata saattaa, uutiset ovat revitelleet Facebookin lähdöstä Euroopasta melko löyhin perustein. Suomeksi hieman faktuaalisemmin aiheesta on uutisoinut Ilta-Sanomat, jonka jutun mukaan ”Facebook ei uhkaa vetäytyä Euroopasta, yhtiö toteaa lähettämässään lausunnossa”.
Facebook-tapauksen oikea merkitys
Ja nyt päästään varsinaiseen asiaan, joka on jäänyt useimmilta toimittajilta tähän asti huomaamatta. Ilta-Sanomien em. jutussa kylläkin jo sivuuttiin sitä tässä kohtaa:
Irlannin oikeudelle lähetetyissä asiakirjoissa todetaan se yksinkertainen tosiasia, että Facebook ja monet muut yritykset, organisaatiot ja palvelut ovat toiminnassaan riippuvaisia tiedonsiirrosta EU:n ja Yhdysvaltojen välillä.
Tämä on totta, mutta ei koko totuus. Tähän liittyy pari asiaa:
1) Koskeeko sama ongelma muitakin amerikkalaisyrityksiä kuin Facebookia?
2) Jos Irlannin tietosuojaviranomainen ei peräänny vaatimuksissaan, mitä vaihtoehtoja Facebookille ja muille amerikkalaisyrityksille vielä jää?
Aloitetaan ensimmäisestä.
Koskeeko sama ongelma muitakin amerikkalaisyrityksiä kuin Facebookia?
Totta kai. Pääkysymys on se, minkä Facebook nosti blogipostauksessaan esiin: voidaanko EU:n mallisopimuslausekkeita käyttää käytännössä henkilötietojen EU-USA-siirroissa?
Tämä on kriittinen kysymys yhtälailla kaikille amerikkalaisyhtiöille, EU:ssa oleville yrityksille ja jopa lukuisille julkishallinnon organisaatioille, jotka siirtävät henkilötietoja Yhdysvaltoihin.
Kiinnostavin kysymys on tietenkin nettijättien suhteen, joiden palveluita käyttävät lukuisat muut yritykset ja organisaatiot. Kartoitin tilannetta pari viikkoa sitten Kuntamarkkinoilla pitämääni esitykseen (10.9.), tässä tulokset:
Heinäkuisen EU-tuomioistuimen päätöksen jälkeen kaikki isot nettiyhtiöt käyttävät siis nyt samaa oikeusperustetta henkilötietojen EU-USA-siirroille: EU:n mallisopimuslausekkeita. Osa niistä mainitsee käyttävänsä erilaisia lisäsuojakeinoja kuten salausta. Siis aivan kuten Facebook!
Googlen sanavalinnat ovat erityisen kiinnostavia: se kertoo päivittävänsä sopimusehtojaan ”mahdollisimman pian” ja olevansa ”sitoutuneita hankkimaan lailliset perusteet siirroille”. Eli Google ei ole varma, ovatko sen nykyiset perusteet henkilötietojen siirroille Yhdysvaltoihin laillisia. Rehellistä puhetta, sillä miten se voisikaan olla?
Amazon on kiinnostava tietenkin siksi, koska sen tilanne vaikuttaa suoraan lukuisiin eurooppalaisiinkin pilvipalveluihin ja startupeihin, jotka käyttävät AWS:n pilvipalvelimia. Nyt viimeistään on aika tarkistaa, että palvelimet on järjestetty niin, ettei tietoja siirretä eurooppalaisilta palvelimilta yhdysvaltoihin.
Microsoft on samassa tilanteessa kuin muutkin. Moniko yritys ja organisaatio nykyisin tallentaa henkilötietoja Microsoftin pilvipalveluihin kuiten vaikkapa Office 365:een ja Teamsiin? Entä moniko taho on viimeisen 20 vuoden aikana vähemmän pitkänäköisesti lopettanut omat sähköpostipalvelimensa EU:ssa/Suomessa ja siirtänyt sähköpostinsa Microsoftin pilveen?
Kaikkien edellä mainittujen osalta EU:n mallisopimuslausekkeiden käyttö tällä hetkellä on hyvin epävarmalla pohjalla.
Rautalangasta: jos Facebookin kohdalla todetaan, ettei EU:n mallisopimuslausekkeita voi käyttää henkilötietojen siirrossa Yhdysvaltoihin, sama ongelma koskee yhtälailla Microsoftia, Googlea ja Amazon Web Servicea.
Sekä lukemattomia muita yrityksiä ja organisaatioita.
Välilliset vaikutukset ovat huikaisevat, sillä vielä useammille tahoille edellä mainitut palveluntarjoajat ovat henkilötietojen käsittelijöitä, jolloin vastuu niiden mahdollisesti laittomasta henkilötietojen siirrosta on lopulta niiden asiakkaina olevilla yrityksillä ja muilla organisaatioilla, jotka ovat kyseisten henkilötietojen rekisterinpitäjiä.
Tämän rinnalla on hyvin pieni murhe se, voiko Matti tai Maija Meikäläinen päivittää kuulumisiaan Facebookiin tai Instagramiin.
Mitä vaihtoehtoja Facebookille ja muille amerikkalaisyrityksille vielä jää?
Toistaiseksi Facebook pyrkii viivyttämään Irlannin tietosuojaviranomaisen päätöksen täytäntöönpanoa kaikin mahdollisin keinoin eli yksinkertaisesti ostamaan aikaa.
Mutta vaihtoehtoja Facebookilla ja muilla on vielä periaatteessa runsaastikin.
Ensimmäinen mahdollisuus on, että EU:n ja Yhdysvaltojen välillä saadaan solmittua jonkinlainen uusi Safe harbor/Privacy shield -tekele. Ehkä sen voisi nimetä tällä kertaa Privacy hoaxiksi? 😇
Silloin Facebook pääsisi taas kuin koira veräjästä.
Vaikka oikeastihan on hieman väärin edes syyttää Facebookia, sillä varsinainsesti kyse on Yhdysvaltojen tiedustelusta, jonka vuoksi Privacy shield ei ollut pätevä suojaamaan eurooppalaisten henkilötietoja Yhdysvalloissa. Tilanne on hieman sama kuin siinä, ettei Yhdysvallatkaan salli TikTokin vakoileva kansalaisiaan Kiinalle.
Toinen mahdollisuus on, että Facebook pyytää käyttäjiltään suostumuksen, että heidän henkilötietonsa saadaan siirtää Yhdysvaltoihin sikäläisten viranomaisten tutkittaviksi. Se, kuinka kauaa tällaista suostumusta pidettäisiin GDPR:n suostumuksen kriteerien mukaisena (mm. vapaaehtoisuus ja se, ettei suostumuksen jättämättä antaminen saa aiheuttaa rekisteröidylle haittaa), on hyvin kyseenalaista.
Kolmas vaihtoehto on, että Facebook pilkkoo palvelunsa kahteen osaan: eurooppalaisten Facebookiin ja muiden Facebookiin. Ei laisinkaan mahdoton tehtävä Facebookin resursseilla: koostuuhan jo nyt palvelu lukuisista rinnakkaisista palvelimista ja konserni lukuisista yrityksistä.
Neljäs vaihtoehto on, että Facebook laittaa miljoonansa poikimaan lobbaustyöhön sen puolesta, että Yhdysvallat muuttaisi tiedustelulakejaan tai keksisi jonkin muun – en edes osaa kuvitella minkä – ratkaisun tilanteeseen. Facebookin syyskuun alun blogikirjoitusta voi jo nähdä askeleena tähän suuntaan.
Vasta viides vaihtoehto on, että Facebookin pitäisi sulkea palvelunsa eli mm. Facebookin, Facebook Messengerin, Instagramin ja WhatsAppin eurooppalaisilta käyttäjiltä. Sitä ennen sillä on siis vielä paljon aikaa ja vaihtoehtoja.
Missään tapauksessa Facebook ei halua tappaa hyvin lypsävää EU-lehmäänsä. Siinä on liian paljon menetettävää mittasipa asiaa dollareina tai datalla. Sama koskee USA:n hallintoa.
Aiheeseen liittyvä esitys alla: miten varsinkin amerikkalaiset nettijätit keräävät meistä dataa ja käyttävät sitä algoritmeissaan eli mainosbisneksessään:
Pidin eilen Nokialla sikäläisen digihankkeen loppuseminaarissa puheenvuoron, jonka aiheena oli sosiaalisen median käyttö organisaatioissa. Tarkemmin esitykseni teemoja olivat:
Suosituimmat somepalvelut Suomessa ja niiden käyttötarkoitukset
Koronan vaikutus somen käyttöön
Sosiaalinen media uutislähteenä ja luottamus eri somepalveluihin
Tunteet sosiaalisessa mediassa ja niihin perustuvat algoritmit
Somepalvelut – erityisesti Facebook ja Instagram – tahkovat tuloksensa sillä, että ne pyrkivät tunnistamaan käyttäjien tunnetilan ja näyttämään siihen sopivia julkaisuja, jotta käyttäjä olisi palvelussa mahdollisimman pitkään.
Eniten reaktioita somessa saavat julkaisut, jotka herättävät voimakkaan tunteen – ja ilmeisesti ”tehokkain” tunne on suuttumus. Siksi kärjistävimmät viestit ovat somepalveluille tuottoisimpia, vaikka ne ulospäin sanovat muuta.
Somepalvelut eivät pyri maksimoimaan käyttäjien ystävyyssuhteita tai hyvinvointia, vaan mainostulonsa. Siten polarisaatio, kärjistykset jne. satavat niiden laariin.
Vihapuhe, häirintä, trollit ja muut sosiaalisen median luottamusta vähentävät ilmiöt ovat nykyisin todella yleisiä. Somepalveluita pidetään uutislähteinä yleisesti epäluotettavina, mutta silti some on pääasiallinen uutislähde monelle – varsinkin nuorille.
Useimmat eivät näe olevansa kuplassa, mutta lähes kaikki uskovat informaatiovaikuttamiseen ilmiönä. En minä, mutta muut? Todellisuudessa sosiaalisessa verkostossa jokainen on kuplassa. On kyse vain siitä, tunnistaako sen, ja minkä kokoinen kupla on.
Luottamuksen syntyminen somessa on kytköksissä positiivisten tunteiden herättämiseen.
Luottamus organisaatioihin syntyy (”tarttuu/siirtyy”) vuorovaikutuksessa organisaation edustajien ja heihin yhteydessä oleviin muiden yleisön jäsenten kanssa.
Somevaikuttajiin luotetaan yleisesti todella huonosti: melkein yhtä vähän kuin suoraan yrityksiltä saatuun tietoon. Julkisyhteisöihin ja hallinnon organisaatioihin luotetaan paljon enemmän.
Yritysten ja muiden organisaatioiden vaikuttajayhteistyö-/markkinointi ei siten voi perustua luottamuspohjaan. Somevaikuttajien merkitys organisaatioiden viestinnässä voisi olla lähinnä suuremman yleisön saavuttaminen viestille – eli ikään kuin somevaikuttajan käyttäminen houkuttelemaan yleisön organisaation luo.
Eniten tietolähteenä luotetaan kunkin alaan asiantuntijoihin. Siksi organisaation kannattaa pyrkiä saamaan omat asiantuntijansa aktiivisiksi somessa.
LEHMÄTKIN LENTÄIS 