Tarihteki En Büyük Veri İhlali : Gerçek Zamanlı Fiyat Teklifi

Aşağıdaki konuşma Johnny Ryan‘ın Birleşik Devletler Senatosu’nda yaptığı konuşmadan alınmıştır.

Transkript:

Çevrimiçi olarak yaptığımız ve izlediğimiz özel şeyler, hemen hemen her web sitesinde ve uygulamada perde arkasında çalışan geniş bir sistemden toplanmaktadır.

Birleşik Devletler Senatosu beni bu sistem hakkında tanıklık etmem için çağırmıştır.

İşte burada, bir web sitesini ziyaret ettiğiniz her bir seferde ne olduğunu senatörlere anlatıyorum.

“Bir web sitesinde çevrimiçi olursunuz ve bu web sitesi, hakkınızdaki her şeyi müşterileri olan onlarca ya da yüzlerce (hiç duymadığınız) şirkete söyler, böylece müşterileri olan bu şirketler de size reklam gösterme fırsatı için fiyat teklifi verip vermemeye karar verebilirler.”

Buna gerçek zamanlı fiyat teklif verme [ real-time bidding (RTB)] denilmektedir. Çevrimiçi reklamcılıktan büyüyen multimilyar dolarlık bir endüstri.

“Bu fiyat teklifinde hangi bilgilerin olabileceğini duyana kadar bekleyin. Bu yalnızca cinsel yöneliminize, dininize ilişkin çıkarımları değil, ne okuduğunuz, hangi lokasyonda olduğunuzu (bazen doğrudan GDP koordinatlarınız) da içermektedir. Ayrıca sosyal güvenlik numaranız gibi size özel olarak eşsiz kimlik kodlarını da içerir. Ve bu kod, tüm bu verilerin zamanla, adını bile duymadığınız şirketler tarafından birbirine bağlanmasına neden olur ve bu şirketleri siz ve sizi siz yapan şeyler hakkında mahrem bir profil inşa edecek bir konuma getirir. Yalnızca siz değil, tanıdığınız herkes. Bu, bir gün içinde yüz milyarlarca defa gerçekleşmektedir.”

Birkaç ay sonra, Birleşik Devletler, Birleşik Krallık ve diğer on ülkenin politik liderlerinin katıldığı bir duruşmada tanıklık etmek üzere Dublin’e davet edildim. Onlara bu devasa veri ihlalini kolaylıkla durdurabileceğimizi söyledim, çünkü yalnızca iki işletme tek başlarına, RTB endüstrisindeki yüzlerce şirketin kurallarını belirlemektedir.

“Önce IAB (İnteraktif Reklamcılık Derneği) çağrıldı. IAB’nin en büyük üyeleri Facebook ve Google’dır ve bu şirketler, RTB’nın nasıl çalışacağına ve neyin yayımlanabileceğine dair kuralları belirlemektedir. Diğeri ise kendi tescilli versiyonuna sahip olan Google’ın bizzat kendisidir.”

Endüstrinin kendi belgeleri RTB şirketlerinin sırlarımızla neler yapabileceği yahut sırlarımızı kimlere aktarılacağını sınırlayan herhangi bir teknik önlemin bulunmadığını teyit etmektedir. Ayrıca sistemin daha önce sızdırdığı verilere ne olduğunu teyit etmeyi sağlayan bir araç da bulunmamaktadır.

Google’da ve IAB’nın RTB sisteminde veri koruması bulunmamaktadır.

Bunun yerine, internet kullanıcıları mahrem sırlarını elde ettiklerinde bunları kullanmamaları adına yüzlerce şirkete güvenmek zorundadırlar.

GDPR’ın yalnızca dört kelimelik bir başlığı vardır: Genel Veri Koruma Tüzüğü

RTB endüstrisi koruyamayacaksa kişisel veriyi kullanamaz. Madde 5/1-f açıktır: Bir veri ihlali olmayacağından emin olmadan kişisel verinin kullanılması hukuka aykırıdır. Endüstri’nin standart RTB yayınlarının GDPR’a göre hukuka aykırı olacağının bilindiğini gösteren gizli lobicilik belgeleri elde ettim. Bu belge GDPR’ın yürürlüğe girmesinden bir yıl öncesi olan 2017 yılındadır.

Fakat RTB Internet’te ne okuduğumuz, izlediğimiz ve dinlediğimizi, günde milyarlarca defa yayımlamaya devam ediyor. Bunun bir sonucu olarak, hepimiz, her birimiz için mahrem dosyalar derleyen ve satan broker şirketleri için açık birer kitabız. Hakkınızdaki – özel olduğunuzu düşündüğünüz şeylere dayanan- bir dosya ,bir algoritmanın sizi hayalinizdeki bir işin aday listesinden silmesine sevk edebilir. Bir perakendeci, verileri  daha yüksek bir çevrimiçi fiyat uygulamak üzere size ayrımcılık yapmak için kullanabilir. Politik bir grup sizi kişiselleştirilmiş dezenformasyonla mikro hedefleyebilir.

İki yıl önce, İrlanda Veri Koruma Komisyonu’na RTB sisteminin veri sorumluları olarak Google ve AIB aleyhine ayrıntılı teknik kanıtları – o kadar mahkum edici kanıtlar ki Financial Times’ın ön kapağında yer aldılar- içeren resmi bir GDPR şikayeti ilettim.

21 STK ve bireyler, şikayetimin kopyalarını Avrupa Birliği genelinde iletti.

Bugüne kadar, Avrupa mahremiyet denetim kurumları sessizliğini korudu. Tarihteki en kapsamlı veri ihlaline sonlandırmak için hiçbir aksiyon alınmadı.