Mikä on 'Reiwa 5 (2023) sähköisen viestinnän liiketoimintalain muutos'? Yksityiskohtainen selitys myös evästeiden sääntelystä

Reiwa 5 (2023) vuonna voimaan tulevassa Japanin sähköisen viestinnän liiketoimintalain uudistuksessa otetaan huomioon sähköisen viestinnän liiketoimintaympäristön muutokset. Uudistuksen tavoitteena on varmistaa palveluiden sujuva tarjoaminen ja käyttäjien suojelu, ja se tuo mukanaan useita sääntömuutoksia. Erityisen huomion kohteena on evästeitä koskeva sääntely.

Nykyään evästeitä käyttäviä verkkopalveluita on erittäin monia, ja Japanin sähköisen viestinnän liiketoimintalain uudistuksen vaikutukset verkkopalveluiden toimintaan ovat monien yritysten huolenaiheena. Myös web-markkinoinnin odotetaan muuttuvan merkittävästi tulevaisuudessa.

Tässä artikkelissa esittelemme Japanin sähköisen viestinnän liiketoimintalain, jonka muutos hyväksyttiin kesäkuussa 2022 ja joka astuu voimaan 17. kesäkuuta 2023 mennessä. Käsittelemme myös yksityiskohtaisesti evästeitä koskevaa sääntelyä, joka on herättänyt paljon huomiota.

Sähköisen viestinnän liiketoimintalain muutoksen yleiskatsaus

Sähköisen viestinnän liiketoimintalaki on laki, joka on suunniteltu varmistamaan, että sähköisen viestinnän liiketoiminta toimii oikeudenmukaisesti ja järkevästi ottaen huomioon sen julkisen luonteen, edistämään reilua kilpailua yritysten välillä ja suojelemaan käyttäjien etuja (Japanin sähköisen viestinnän liiketoimintalaki, artikla 1). Yksinkertaisemmin sanottuna, sen tarkoituksena on järjestää järjestelmä, joka mahdollistaa internetin ja matkapuhelinten kaltaisten sähköisen viestinnän palvelujen sujuvan tarjoamisen, ja varmistaa käyttäjien edut ja kansalaisten mukavuuden.

Sähköisen viestinnän liiketoiminnan harjoittajat tarjoavat tietoliikenneinfrastruktuuria, kuten puhelinta ja internetiä. Tässä muutoksessa toteutetaan useita muutoksia, mukaan lukien laajentaminen koskemaan useampia yrityksiä, kuten:

• Tekee viestintäpalveluista yleispalveluja, kuten sähkö, kaasu ja vesi
• Sisällyttää hakukoneet ja sosiaalisen median palvelut ilmoitusvelvollisuuden piiriin
• Järjestää reilun kilpailun suurten matkapuhelinoperaattoreiden ja edullisten SIM-korttien välillä

Vuodesta 2020 lähtien etätyö, web-kokoukset, etäopetus ja muut ovat yleistyneet nopeasti. Nykyään internet-ympäristö ei ole enää yksilön valitsema palvelu, vaan se on infrastruktuuri, johon kaikilla on pääsy, kuten sähkö ja kaasu. Tässä muutoksessa on perustettu avustusjärjestelmä varmistamaan, että internet-palveluntarjoajat voivat tarjota vakaita palveluja myös alueilla, joilla ne eivät ole kannattavia, jotta voidaan poistaa alueelliset viestintäerot.

“Sähköisen viestinnän liiketoiminnan harjoittajien” määritelmä muuttuu myös. Suuret hakupalvelut ja sosiaalisen median palvelut, jotka eivät aiemmin kuuluneet tähän luokkaan, ovat nyt sääntelyn kohteena. Toisin sanoen, jos palvelu ylittää tietyn koon, kuten Google-kaltainen suuri hakukone tai Twitter tai Instagram -tyyppinen sosiaalisen median palvelu, se on ilmoitettava sähköisen viestinnän liiketoiminnan harjoittajana.

Alla ovat uudet ehdot yrityksille, jotka on nyt sisällytetty ilmoitusvelvollisuuden piiriin:

1. Hakutietojen sähköisen viestinnän palvelut (kuten Google): käyttäjämäärä on yli 10 miljoonaa ja se tarjoaa poikkitieteellisen hakupalvelun
2. Välittävät vastaavat sähköisen viestinnän palvelut (kuten Twitter): käyttäjämäärä on yli 10 miljoonaa ja se pääasiassa välittää epämääräisten käyttäjien välistä vuorovaikutusta

Lisäksi on nyt nimenomaisesti määrätty, että suurten matkapuhelinoperaattoreiden ja muiden MVNO:n kaltaisten yritysten välinen kilpailu on tehtävä oikeudenmukaiseksi määräämällä velvollisuus esittää hinnoittelumenetelmät.

Mitä uudella “Erityiskäyttäjätiedot” -käsitteellä tarkoitetaan?

Sähköisen viestinnän palvelulain täytäntöönpanosäännösten mukaan on luotu uusi käsite nimeltä “Erityiskäyttäjätiedot”. Sääntelyn kohteena ovat sähköisen viestinnän palveluntarjoajat, jotka tarjoavat palveluita, joilla on suuri vaikutus käyttäjien etuihin. Tarkemmin sanottuna, yritykset, joilla on yli 10 miljoonaa aktiivista käyttäjää kuukaudessa ilmaispalveluissa ja yli 5 miljoonaa maksullisissa palveluissa, kuuluvat sääntelyn piiriin. Esimerkkeinä voidaan mainita kiinteän verkon ja matkapuhelinpalveluntarjoajat, internet-yhteyspalveluntarjoajat sekä hakupalvelut, kuten Google, ja sosiaalisen median palvelut, kuten Twitter.

“Erityiskäyttäjätiedot” viittaa tietoihin, kuten sähköposti- ja puhelutietoihin, jotka ovat osa viestinnän salassapitoa, sekä käyttäjä-ID:hen ja numeroihin, jotka voivat tunnistaa käyttäjän (Sähköisen viestinnän palvelulaki[ja] 2 artikla 2, 22 artikla 2.21). Nämä tiedot sisältävät myös evästeissä tallennetut tiedot. Yritykset, jotka käsittelevät näitä tietoja, ovat velvollisia noudattamaan seuraavia sääntöjä (sama laki, 22 artikla 2.22):

1. Käsittelysääntöjen laatiminen ja ilmoittaminen
2. Käsittelypolitiikan laatiminen ja julkistaminen
3. Vuosittainen itsearviointi käsittelytilanteesta ja sen heijastaminen käsittelysääntöihin ja -politiikkaan
4. Yleisen valvojan nimeäminen ja ilmoittaminen edellä mainittujen toimenpiteiden yhteydessä
5. Ilmoitus vuodosta

Yritykset, jotka käsittelevät erityiskäyttäjätietoja, ovat velvollisia laatimaan ja julkistamaan käsittelypolitiikkansa. Lisäksi niiden on suoritettava itsearviointi teknisistä trendeistä ja kyberhyökkäysriskeistä ja tarvittaessa tarkistettava politiikkansa.

Lisäksi on määrätty, että yritysten on nimettävä yleinen valvoja, jolla on vähintään kolmen vuoden kokemus, ja jos yli 1000 käyttäjän tiedot vuotavat, heidän on ilmoitettava siitä viipymättä viestintäministeriölle.

Ulkoisen lähetyssäännön, niin sanotun evästesääntelyn luominen on todennäköisesti merkittävin muutos tässä uudistuksessa. Selitämme tämän seuraavaksi.

Selkeästi määritellyt evästeiden säännökset

Mitä evästeet ovat? Niiden hyödyt ja ongelmat

Evästeet ovat mekanismi, joka tallentaa sivustoa vierailleen käyttäjän tiedot selaimelle. Tarkemmin sanottuna, ne ovat tiedostoja, jotka verkkopalvelin tallentaa käyttäjän laitteelle, kuten tietokoneelle, älypuhelimelle tai tabletille, kun käyttäjä käy verkkosivustolla. Verkkopalvelin voi viitata näihin evästeisiin, kun se vastaanottaa käyttäjältä pääsyn.

Tämän ansiosta, kun käyttäjä käy uudelleen aiemmin käyttämällään verkkopalvelun sivustolla, järjestelmä tunnistaa, että kyseessä on sama käyttäjä. Esimerkiksi, kun teet ostoksia verkkokaupassa, saatat huomata, että tuotteet, jotka olet lisännyt ostoskoriisi ja sitten selannut muita tuotesivuja, ovat edelleen ostoskorissasi. Tämä toiminto perustuu evästeisiin.

Evästeet ovat yksinkertaisesti sanottuna dataa, joka sisältää monenlaisia käyttäjätietoja, kuten käyttäjän tunnistamiseen käytetty ID, käyttäjän sivustolla vierailun päivämäärä ja kerrat. Koska evästeet voivat tunnistaa käyttäjän, ne voivat tarjota optimaalista tietoa, kun käyttäjä vierailee sivustolla toisen kerran tai useammin.

Evästeiden avulla on myös mahdollista kerätä henkilötietoja käyttäjän tietämättä. Keräämällä tietoa siitä, kuka käyttäjä on, miltä laitteelta hän käyttää ja millä verkkosivustoilla hän vierailee, on mahdollista analysoida käyttäjän harrastuksia ja mieltymyksiä.

Kuitenkin, useimmat käyttäjät eivät tiedä, milloin ja millaisia tietoja evästeet tallentavat, ja mitä tietoja ne lähettävät palvelimelle. Evästeiden tietoja voi käyttää kolmannen osapuolen yritykset liiketoimintatarkoituksiin ilman käyttäjän tietoa. Tästä syystä, yksityisyyden suojan näkökulmasta, evästeet on määritelty “henkilökohtaisiksi tiedoiksi” Japanin henkilötietosuojalain (2022) uudistuksessa.

Monet verkkosivustojen ylläpitäjät ovat aiemmin käyttäneet evästeitä käyttäjätietojen ymmärtämiseen ja tarkempien ja tehokkaampien markkinointistrategioiden toteuttamiseen. Kuitenkin, EU mukaan lukien monet ulkomaiset maat ovat huolissaan yksityisyyden loukkauksista, jotka johtuvat evästeiden käytöstä, ja ovat toteuttaneet toimenpiteitä. Erityisesti, monet teistä ovat saattaneet huomata, että kun selaat EU:n alueen verkkosivustoja, näet viestin, joka kehottaa sinua hyväksymään evästeiden käytön.

Ensimmäisen osapuolen evästeet ja kolmannen osapuolen evästeet

Evästeet voidaan jakaa karkeasti kahteen tyyppiin: ensimmäisen osapuolen evästeisiin ja kolmannen osapuolen evästeisiin.

Ensimmäisen osapuolen evästeet ovat evästeitä, jotka on suoraan julkaistu käyttäjän vierailun kohteena olevan verkkosivuston domainista. Toisin sanoen, ne ovat evästeitä, joissa “evästeen julkaisijan domain” = “vierailtavan verkkosivuston domain”. Ensimmäinen osapuoli (first party) tarkoittaa “osapuolta”. Koska evästeiden vaihto tapahtuu käyttäjän laitteen ja vierailtavan verkkosivuston palvelimen välillä, niitä kutsutaan ensimmäisen osapuolen evästeiksi.

Toisaalta, kolmannen osapuolen evästeet ovat evästeitä, jotka julkaistaan käyttäjän vierailun kohteena olevan verkkosivuston ulkopuoliselta palvelimelta (kolmas osapuoli). Koska evästeiden vaihto ei tapahdu vain käyttäjän laitteen ja vierailtavan verkkosivuston palvelimen välillä, vaan myös muiden palvelimien kanssa, niitä kutsutaan kolmannen osapuolen evästeiksi.

Sähköisen viestinnän liiketoimintalain (Japanese Telecommunications Business Law) muutoksessa pääasiallisesti kolmannen osapuolen evästeiden käyttö on evästesääntelyn kohteena.

Kolmannen osapuolen evästeet voivat kerätä käyttäjän selaushistoriatietoja useiden domainien yli. Jos laitteen selaushistoria voidaan kerätä, laitteen käyttäjän kiinnostuksen kohteet voidaan profiloida. Jos käyttäjän harrastuksia ja mieltymyksiä käytetään profilointiin ja mainontaan ilman käyttäjän tietoa, se voi johtaa käyttäjän epävarmuuteen ja aiheuttaa ongelmia yksityisyyden näkökulmasta. Monet ihmiset ovat kokeneet, että he näkevät enemmän mainoksia aiemmin vierailtuilta sivustoilta tai niihin liittyvistä tuotteista.

Japanissa ei ole ollut olemassa lakia, joka suoraan sääntelee evästeiden käyttöä. Maaliskuussa 2010 Japanin sisäasiain ja viestinnän ministeriön tieto- ja viestintäpolitiikan tutkimuslaitoksen julkaisemassa “Käyttäytymistä kohdistavan mainonnan taloudelliset vaikutukset ja käyttäjien suojeluun liittyvä tutkimusraportti” todettiin, että mainontaa kohdistavien yritysten olisi suotavaa ilmoittaa käytöstään ja saada etukäteen suostumus. Kuten sanasta “suotavaa” voidaan päätellä, ei ollut selkeää oikeudellista sitovuutta.

Tämänkertainen sähköisen viestinnän liiketoimintalain muutos on askel eteenpäin “suotavasta” kohti “on tehtävä”, mikä viittaa siihen, että on olemassa liike luoda uusi lakisääteinen sääntö, joka suoraan sääntelee evästeiden käyttöä.

Evästesääntelyn sisältö

Muutetun sähköisen viestinnän palvelulain (jatkossa ‘Japanilainen sähköisen viestinnän palvelulaki’) 27 artiklan 12 kohdan mukaan, “kun tarjotaan sähköisen viestinnän palveluja käyttäjälle ja pyritään suorittamaan tietojen lähettämisen ohjausviestintä, joka kohdistuu käyttäjän sähköisen viestinnän laitteeseen (jätetään pois)…, on ilmoitettava käyttäjälle etukäteen tiedot, jotka lähetetään tietojen lähettämisen ohjausviestinnän kautta, tiedot, jotka koskevat käyttäjää, johon tietojen lähettäminen kohdistuu, sekä muut asiat, jotka määritellään viestintäministeriön asetuksessa, tai asetettava ne tilaan, jossa käyttäjä voi helposti saada tietää ne.”

Tämä on hieman monimutkainen lause, mutta yhteenvetona:

• Kun tarjotaan sähköisen viestinnän palveluja (eli online-palveluja) käyttäjälle
• Kun pyritään suorittamaan tietojen lähettämisen ohjausviestintä, joka kohdistuu käyttäjän sähköisen viestinnän laitteeseen (tietokone tai älypuhelin)

on ilmoitettava määrätyt asiat käyttäjälle tai asetettava ne tilaan, jossa käyttäjä voi helposti saada tietää ne.

Mitä sitten tarkoitetaan “määrätyillä asioilla”, joista käyttäjälle on ilmoitettava?

Muutetun sähköisen viestinnän palvelulain 27 artiklan 12 kohdan ja muutetun sähköisen viestinnän palvelulain täytäntöönpanosäännön 22 artiklan 2 kohdan 29 mukaan, kun pyritään suorittamaan tällaista tietojen lähettämisen ohjausviestintää, on ilmoitettava seuraavat asiat käyttäjälle tai asetettava ne tilaan, jossa käyttäjä voi helposti saada tietää ne:

• Lähetettävän “käyttäjää koskevan tiedon” sisältö
• Henkilön tai organisaation nimi, joka käsittelee “käyttäjää koskevaa tietoa” käyttäen vastaanottavaa palvelinta
• Lähetettävän “käyttäjää koskevan tiedon” käyttötarkoitus

Toisin sanoen, kun käytetään evästeitä, jotka kuuluvat evästesääntelyn piiriin, on otettava käyttöön järjestelmä, joka ilmoittaa henkilölle kerättävän evästetiedon, lähettämiskohteen ja käyttötarkoituksen, tai esimerkiksi julkistamalla evästekäytäntö, jotta käyttäjä voi helposti saada tietää ne.

Neljä poikkeusta evästesääntelyyn

Uudistetun Japanin sähköisen viestinnän liiketoimintalain (Japanese Telecommunications Business Act) 27 artiklan 12 kohdassa määritellään neljä tilannetta, joissa käyttäjälle ei tarvitse ilmoittaa tiettyjä asioita tai tehdä niitä helposti tietoisiksi käyttäjälle.

1. Tiedot, jotka ovat välttämättömiä koodien, äänen tai kuvan asianmukaiseen näyttämiseen käyttäjän viestintälaitteen näyttöruudulla tai jotka on määritelty ministeriön asetuksessa välttämättömiksi tiedoiksi, jotka käyttäjän on lähetettävä käyttäessään sähköistä viestintäpalvelua.

Uudistetun Japanin sähköisen viestinnän liiketoimintalain täytäntöönpanosäännön (Japanese Telecommunications Business Act Enforcement Regulations) 22 artiklan 2 kohdan 30 mukaan seuraavat tiedot kuuluvat tähän:

• Tiedot, jotka ovat todella tarpeellisia palvelun tarjoamiseksi
• Tiedot, jotka ovat tarpeen käyttäjän palvelun käytön aikana syöttämien tietojen (mukaan lukien tunnistetiedot) uudelleennäyttämiseksi
• Tiedot, jotka ovat tarpeen petosten havaitsemiseksi ja vahinkojen vähentämiseksi
• Tiedot, jotka ovat tarpeen palvelimen asianmukaiseen toimintaan

2. Tunnistekoodit, jotka sähköisen viestinnän palveluntarjoaja tai kolmannen osapuolen palveluntarjoaja on lähettänyt käyttäjän viestintälaitteeseen palvelun tarjoamisen yhteydessä ja jotka lähetetään takaisin palveluntarjoajan viestintälaitteeseen käyttäjän laitteen tietojen lähettämistoiminnon kautta.

Tämä on hieman monimutkainen, mutta se tarkoittaa tilannetta, jossa “yritys lähettää käyttäjän laitteeseen lähettämänsä ID:n takaisin omaan palvelimeensa”. Toisin sanoen, ensimmäisen osapuolen evästeet ovat poikkeus, ja vain kolmannen osapuolen evästeet kuuluvat sääntelyn piiriin.

3. Tiedot, joiden lähettämiseen käyttäjän viestintälaitteeseen käyttäjä on suostunut.

Tämä on syynä usein nähtyyn lauseeseen “Hyväksytkö evästeiden käytön?”. Tämän ilmoituksen ei tarvitse koskea käyttäjiä, jotka ovat suostuneet evästeiden käyttöön.

4. Tiedot, joita käyttäjä ei ole pyytänyt saada (jätetty pois)… määrättyjen toimenpiteiden soveltamista.

Tämä tarkoittaa niin sanottua opt-out -toimenpidettä, jossa käyttäjä voi milloin tahansa kieltäytyä evästetietojen keräämisestä ja käytöstä.

Yhteenveto: Konsultoi asiantuntijaa sähköisen viestinnän liiketoimintalain muutosten suhteen

Verkkopalvelujen nopean kehityksen myötä, tällä alalla lainsäädäntöä muutetaan erittäin usein. Muutokset ovat niin nopeita, että kirjallisuus on niukkaa ja uusimman tiedon hankkiminen ja sen mukaan toimiminen ei ole helppoa.

Suosittelemme, että ryhdyt toimenpiteisiin sähköisen viestinnän liiketoimintalain ja siihen liittyvien sääntöjen suhteen hankkimalla asiantuntijan neuvoja.

Toimenpiteet toimistossamme

Monolith Lakitoimisto on IT-alan, erityisesti internetin ja oikeudellisten kysymysten, asiantuntija, jolla on laaja kokemus molemmilta aloilta. Uudistettu ‘Japanin sähköisen viestinnän liiketoimintalaki’ on monimutkainen ja sen ymmärtäminen voi olla haastavaa ilman asiantuntijaa. Laillisen liiketoiminnan harjoittamiseksi tarvitaan oikeudellinen tarkastus, joten ota meihin yhteyttä neuvotteluja varten. Lisätietoja on alla olevassa artikkelissa.

Monolith Lakitoimiston palvelualueet: IT- ja startup-yritysten oikeudelliset palvelut[ja]