Dan Bogdanov: E-hääletamine Teeb Juba Praegu Paberhääletamisele Silmad Ette

Tere tulemast Eestisse! Today, we are here to discuss the revolutionary impact of e-hääletamine, or e-voting, on the electoral process. One individual at the forefront of this digital transformation is Dan Bogdanov, whose expert insights and contributions have propelled e-hääletamine ahead of traditional paberhääletamine, or paper voting. His expertise has made waves in the realm of technology and democracy, and his valuable perspective is reshaping the way we approach elections in Estonia. Join us as we explore how e-hääletamine is surpassing paberhääletamine and revolutionizing the electoral landscape.

Riigikogu liige Jaak Valge on teinud rea ettepanekuid Eesti parlamentarismi arendamiseks. Nende hulgas on ka “e-hääletamise ärajätmine vähemalt nii kauaks, kui e-vead on parandatud” tuues välja kolm konkreetset puudust, mis autori hinnangul enne e-hääletamisega jätkamist ära tuleks parandada. Mida Jaak Valge aga ei maini, on asjaolu, et suuresti esinevad sarnased probleemid ka paberhääletamise protsessis.

Seejuures pole tegemist pelgalt ühe või teise hääletamisviisi tehniliste hädadega. Valimistele esitatavad nõuded ongi olemuslikult vastuolulised (näited on allpool) ja ühte auku liiga tugevalt lappides käristame teise suuremaks.

Kõik tehnilised lahendused hääletamise korraldamiseks peavad tegema kompromisse. Ühiskonnana oleme ajaloolise kogemuse toel paberhääletamise probleemidega lihtsalt leppinud, aga see ei tähenda, et neid ei oleks.

Jaak Valge tõi oma kommentaaris välja kolm murekohta:

E-valimiste protsess ja tulemused tervikuna ei ole kontrollitavad.
Ei ole tagatud salajasuse nõude täitmine.
Pole võimalik kontrollida, kas serveris valimiste ajal töötav programm vastab tegelikult varem avaldatud lähtekoodile.

E-hääle salajasus on laiemalt tagatud

Alustan hääle salajasusest. Kõigepealt tasub tähele panna, et hääle salajasus pole eesmärk iseeneses, vaid tegemist on konkreetse meetmega ühe teise nõude, nimelt valimisvabaduse tagamiseks.

Salajane hääletamine pole demokraatia ajaloos sugugi alati iseenesestmõistetav olnud. Nii näiteks hääletati USA-s kuni 1880. aastateni oma kandidaadi nime kõva häälega välja öeldes (nn viva voce). Ühest küljest tagab selline meetod väga hea kontrollitavuse: kõik kohalviibijad saavad tulemuse sõltumatult kokku lüüa. Teisest küljest aga muutub väga lihtsaks ka häälte ostmine või täpsemalt kontrollimine, et häälte ostja oma raha eest tõesti õige “kauba” saab.

Lahendusena hakkasid levima Austraalias 19. sajandi keskpaigas sisse viidud valimiskabiinid ning seal salaja hääletamine. Kabiin võimaldas kontrollitud keskkonda, tänu millele polnud häälte ostjal enam lihtsat viisi veendumaks, kas valija ikka tema nõudmise järgi toimib.

See meetod teenis inimkonda hästi umbes sajandi jagu, kuid 20. sajandi lõpp tõi endaga kaasa uue tehnoloogilise revolutsiooni. Seadmed, millega saab valimiskabiini privaatsust rikkuda, muutusid järjest väiksemaks ja kättesaadavamaks. Nüüd võib hääle ostja nõuda valijalt selfit koos täidetud valimissedeliga või lausa videovoogu kogu hääletamise protseduurist. Väikeste spioonikaamerate sokutamine valimiskabiini on mõnes riigis kahjuks juba laiem probleem.

Kas me julgeme ikka veel väita, et hääletamise salajasus on täna pabervalimiste puhul tagatud sama hästi kui sada aastat tagasi? Seda probleemi tunnistab ka põhiseaduse kommenteeritud väljaanne, kus §60 42. kommentaar tõdeb: “Selliste elektrooniliste vahendite kasutamist ei ole traditsiooniline hääletamiskabiinidele tuginev valimiskorraldus osanud ette näha, mistõttu salajasuse põhimõtte tagamise võimalused vajavad ülevaatamist.”

Muidugi on kaughääletamise puhul, mille alla käib ka Eestis lubatud posti teel hääletamine, kontrollitud keskkonda raskem saavutada kui jaoskonnas. See aga ei tähenda veel, et valimisvabadusega seis lootusetu oleks. Õiguskantsler Ülle Madise toob välja kolm meedet, mis aitavad e-hääletamise korral valimisvabadust tagada:

Kui valija tunneb, et teda on hääle andmisel mõjutatud, saab ta oma e-häält muuta kas teise e-hääle või paberhäälega.
Valimisvabaduse rikkumine ja hääletamissaladuse rikkumine on hääletamisviisist sõltumata karistatavad.
Valija vastutab ka ise oma hääle salajasuse hoidmise eest. Teisisõnu pole salajane hääletamine mitte üksnes valija õigus, vaid ka kohustus.

Neist punktidest esimene on põhjustanud rohkelt väärtõlgendusi. Näiteks on Kert Kingo väljendanud seisukohta, et korduvhääletamise võimalus pole normaalne ning toob endaga hoopis kaasa suurema mõjutusriski. Tsiteerides Kingot: “kus on garantii, et just pärast hääletamist, näiteks õhtuses sünnipäevalauas, ei hakata isikut hääle muutmiseks survestama, mõjutama või ära ostma? Mitmekordne ümberhääletamise võimalus loob soodsa pinnase häältega kauplemiseks ja suurendab valimispettuse võimalust.”

Loe rohkem: Andrei Korobeinik: kolm sammu Eesti majanduse päästmiseks | Arvamus

Valija survestamine on muidugi võimalik, aga korduvhääletamise kui meetme mõte seisneb just selles, et kui valija hääletas surve all kõigi nähes kandidaadi X poolt, saab ta pärast sünnipäeva koju minna ning uue hääle anda. Lisaks on korduvhääletamisel ka heidutav roll: kui sünnipäevalised teavad, et “ohver” saab oma häält pärast muuta, ei ole neil loodetavasti motivatsiooni mõjutustööd tegema hakatagi.

Paneme tähele, et kui paberhääletamise puhul on valijat mõjutatud tema tahte vastaselt häält andma, siis puudub tal ülehääletamise võimalus, et tema tõeline eelistus valimiskasti jõuaks. Selles kontekstis on e-hääletamine paberhääletamisest hoopis turvalisem.

Teiseks märgime, et salajasuse nõue pole ka Eesti praeguses paberhääletamise süsteemis absoluutne. Erivajadustega (nt pimedal või halvatud) valijal on võimalik kabiini siseneda koos saatjaga ning saatjal on õigus valija eest sedel ka täita. Seejuures tuleb muidugi tagada, et sedelile jõuab valija vaba tahte avaldus. Pimeda valija jaoks on e-hääletamine üldse ainus kindel võimalus ilma kõrvalise abita veenduda, et sedel korrektselt täidetud saab, ning seeläbi oma hääle salajasus kindlustada.

Hääle salajasuse kahjustamine pole ainus viis valimisvabadust rikkuda. Kujutame endale ette hüpoteetilist olukorda, et riigikogu valib presidenti, aga üks erakond on üles seatud kandidaadi vastu. Garanteerimaks, et fraktsiooni saadikutelt selle kandidaadi toetuseks ühtegi häält ei lähe, kuulutatakse välja hääletamisest mitteosavõtmise kampaania. Kuigi presidendi valimine on salajane, saab erakond rikkuda valimisvabadust, survestades oma liikmeid mitte hääletama. Sellise mõjutusründe vastu ei aita isegi asjaolu, et presidendivalimised toimuvad pabersedelitega.

Tasakaal kontrollitavuse ja salajasuse vahel

Järgmisena võtan vaatluse alla e-valimiste protsessi ja tulemuste kontrollitavuse. Kõigepealt tuleb paika panna, milliste väidete kontrollimisest me täpselt räägime ja kes peaksid olema kontrollijad. Tõlgendus, et “kõigil soovijatel peab olema võimalik kontrollida, et kõigi valijate hääled on lõpptulemuses nende soovitud kujul arvesse võetud” on kahjuks liiga range, sest eeldaks, et kõigil soovijatel on ligipääs kõigi valijate eelistustele.

Kui me tahame kontrolli käigus veenduda, et sedelitel seisvad eelistused vastavad tõesti valijate soovidele, peab meil olema võimalus seda vastavust sõltumatult tuvastada. See omakorda eeldab võimalust iga sedelit valija isikuga siduda, mis toob endaga aga kaasa potentsiaalselt massilise hääle salajasuse riive.

“Muidugi rakendatakse valimistel füüsilisi ja organisatoorseid turvameetmeid, mille eesmärk on niisuguseid riske minimeerida.”

Juhin tähelepanu, et ka Eestis kasutatav paberhääletamine ei vasta nii rangele interpretatsioonile. Häälte lugemise ajaks on sedelite ja valijate vaheline seos katkestatud ning ainult sedelikuhja uurides pole kuidagi võimalik tuvastada, ega mõned sedelid pole juhtumisi teiste vastu välja vahetatud. Muidugi rakendatakse valimistel füüsilisi ja organisatoorseid turvameetmeid, mille eesmärk on niisuguseid riske minimeerida. Ranget tõestust valimiskasti tervikluse kohta need aga ei anna.

Heakene küll, kui ma ei saa veenduda, et kõigi valijate hääled on üle loetud sel kujul, nagu nad soovisid, siis vähemalt oma paberhäält saan ma ju ikka kontrollida?

Tõepoolest, kõigil soovijatel on võimalik jaoskonnas häälte lugemist vaadelda. Kuidas aga teha kindlaks, et minu hääl ikka kindlasti selles kuhjas on? Selleks peab minu hääl teistest kuidagimoodi eristuma. Võib näiteks kasutada haruldast värvi pastakat, kirjutada numbreid kuidagi vildakalt või teha täpike sedeli nurka.

Mistahes meetodit kasutada, muudab see sedeli eristatavaks kahjuks mitte ainult minu, vaid ka potentsiaalse mõjutaja jaoks. Häälte ostja võib igale ohvrile öelda, kuhu täpike täpselt joonistada, ja pärast vaatlejana esinedes kindlaks teha, kellele mõjutatavatest raha välja maksta.

Kirjeldatud mõjutusründe vastu puudub Eesti paberhääletamise süsteemis igasugune kaitse. Selle puudumise põhjus on samuti lihtne: taolised ründed pole Eestis lihtsalt levinud. Näiteks Bulgaarias, kus häälte ostmine ja müümine on tõsine probleem, kuulutatakse kõik lisamärgetega sedelid kehtetuteks. See lahendus tekitab muidugi omakorda probleemi, et häälte kokku lugejad saavad oma suva järgi sedeleid täpikesi tehes kehtetuteks muuta.

Üldisemalt öeldes saabki valimistulemusi kontrollida ainult selle kohani, mil riive häälte salajasusele muutub vastuvõetamatuks. Seejuures on kontrollitavuse ja salajasuse vaheline tasakaalupunkt erinevates ühiskondades erinevasse kohta pandud.

Loe rohkem: Harri Tiido: euro-orientalismist ehk Ida-Euroopa needusest | Arvamus

Tasakaalupunkti valikul tuleb arvestada, et valimiste kontrollija võib ise olla potentsiaalne mõjutusründaja. Eesti e-hääletamise süsteemi puhul on tundlikeks andmeteks näiteks e-häälte ajatemplid. Nende järgi on võimalik tuvastada, milline hääl milliselt valijalt viimaseks jäi ja nõnda teada saada, kas valija on mõjutamise vältimiseks kasutanud ülehääletamise võimalust või mitte. Niisiis ei saa ajatembeldatud logisid niisama lihtsalt süsteemist välja anda.

See ei tähenda, et häältekogumisserveri tööd ei saa kontrollida. Häältekogumisserver peab igale e-häälele küsima kinnituse registreerimisteenuse käest ja seda kinnitust saab valija ise kontrollrakendusega verifitseerida. Nende andmete vastavust kontrollib audiitor, keda tuleb usaldada kahes aspektis: esiteks selles, et ta teeb oma tööd korralikult, ja teiseks selles, et ta ei osale mõjutusründes.

Häältekoguja töö on kontrollitav ja kontrollitud, aga kahjuks ei saa seda kontrolli põhimõtteliselt kogu maailmale vaadeldavaks teha. Peamiseks takistuseks pole seejuures mitte tehnoloogia, vaid vajadus tagada hääletamise salajasus. Täpselt samal põhjusel ei saa ka anonüümsete pabersedelite ülelugemine anda tugevat garantiid kogu protsessi tervikluse kohta.

Hääle sõltumatust ja tulemusi saab valija ise kontrollida

Kolmas mure, tarkvara vastavus avaldatud lähtekoodile, seostub samuti süsteemi töö kontrollimisega. Mure on täiesti õige, me ei suuda rangelt võttes tuvastada, milline tarkvara serveris parajasti jookseb.

Täpselt sellel põhjusel on Eesti e-hääletamise süsteem üles ehitatud nii, et valimistulemuse korrektsuses veendumiseks pole vaja tarkvara kohta mingeid eeldusi teha. Kõik kriitilised operatsioonid väljastavad logi, mille korrektsust saab kontrollida. Tõsi, nagu eelpool selgitatud, ei tohi kõiki kontrolle viia läbi igaüks, aga nii mõnegi aspekti verifitseerimiseks on loodud võimalused, mida saaks ja tuleks kasutada palju laiemalt.

Kõigepealt võib iga valija ise kontrollrakendust kasutades veenduda, et tema hääl jõudis kogumisteenusesse muutmata kujul. Registreerimisteenuse kinnitus annab valijale täiendava kindluse, et kogumisteenus ei saa tema häält oma suva järgi lihtsalt kustutada.

“Lugemistõendi spetsifikatsioon on avalik ning kõigil on võimalus kirjutada oma rakendus, mis häälte dekrüpteerimist sõltumatult kontrollib.”

Teiseks väljastatakse häälte dekrüpteerimise käigus ka lugemistõend, mis võimaldab matemaatiliselt tõestada, et kõik hääled on dekrüpteeritud korrektselt. Lugemistõendi spetsifikatsioon on avalik ning kõigil on võimalus kirjutada oma rakendus, mis häälte dekrüpteerimist sõltumatult kontrollib ja hääletamistulemuse kokku arvutab.

Praegu on olemas üks sõltumatult arendatud lugemistõendi verifitseerija, aga kindlasti võiks neid olla rohkem. Kutsun kõiki skeptikuid siinkohal üles oma rakendust looma ning selle abil ise valimistulemuse korrektsuses veenduma.

Lugemistõendi kontrollimine aitab ka tagada, et me saame sama hääletamistulemuse, ükskõik kui palju kordi me ka hääli üle ei loeks. Seda omadust paberhääletamisel ei ole. Näiteks on teadlased hinnanud, et sõltuvalt valimissedeli vormingust ja lugemise metoodikast võib valesti loetud sedelite osakaal kõikuda ühe–kahe protsendi kandis.

Eestis on valimissedel küll väga lihtne, kuid ka sellega kaasnevad hädad. Inimeste käekirjad on erinevad ja üsna tihti pole selge, millist numbrit valija täpselt kirjutada tahtis. Nii võidakse pabersedel halva loetavuse pärast kehtetuks kuulutada või lausa valesti kokku lugeda. E-hääletamine võimaldab selle mure likvideerida.

E-hääletamist kritiseerima asudes enne natuke mõelda ka paberhääletusega kaasnevatele probleemidele. Tehnoloogia areng on paberhääletamise salajasusomadusi kõvasti kahandanud ja lisaks pole paberhääletamise korral mõjutuse all antud häält enam võimalik parandada.

Muidugi saab ja tuleb ka e-hääletamist mitmes suunas edasi arendada, aga paberhääletamisele teeb ta juba nüüd paljuski silmad ette.

Kokkuvõtteks võib öelda, et Dan Bogdanov on veendunud, et e-hääletamine on juba praegu paberhääletamisele selgelt üle ja et see on tulevik. Ta toob välja e-hääletamise kiiruse, mugavuse ja turvalisuse eelised ning usub, et see on vastus kaasaegse ühiskonna vajadustele. Kuid arvestades kahtlusi e-hääletamise turvalisuse osas ja soovi tagada valimiste tõrgeteta läbiviimine, tuleb kaaluda e-hääletamise parendamist ning jätkata dialoogi selle teemal. Arvamuste mitmekesisus aitab kaasa parema ja tõhusama süsteemi loomisele, mis vastab kõigi ootustele ja vajadustele.