Kitle Gözetimi, Çocuk İstismarının Önlenmesi Gerekçesi ile Meşrulaştırılabilir mi?

Yazanlar: Av. Bahadır Demicioğlu ve Av. Elif Sağlam

Çocuk istismarı bir çocuğa bir yetişkin tarafından fiziksel ya da psikolojik olarak kötü davranılmasıdır. Bu suç, birçok ülkenin sorunu olmakla birlikte alınan tüm tedbirlere rağmen bugüne dek suçun ortadan kaldırılması mümkün olamamıştır.

Apple,  geçtiğimiz günlerde çocuk istismarı ile mücadele etmek için İOS, İPadOS ve macOS işletim sistemlerini çalıştıran cihazlar üzerinde yeni bir güncelleme yapacağını, güncelleme ile birlikte iCloud üzerinden yedekleme yapmadan önce genel bir tarama ile çocuk istismarı gerçekleştirdiğini tespit ettiği kişileri ilgili mercilere bildireceğini duyurdu. Bu amacın gerçekleşmesini sağlamak amacıyla her Apple cihazına yüklenmesi planlanan iki ana özellik bulunuyor:

• Bunlardan ilki, NCMEC[1] tarafından sağlanacak çocuk cinsel istismarı materyali (CSAM) veri tabanındaki bir fotoğrafla eşleşip eşleşmediğini görmek için Apple’ın bulut depolama ve bilişim sistemi olan iCloud’a yüklenen tüm fotoğrafları, yükleme esnasında denetleyen bir tarama özelliği,
• İkincisi ise çocuk – yani reşit olmayanlara ait olduğu belirlenen- hesapları tarafından gönderilen veya alınan tüm iMessage görüntülerini,  tarama ve çocuk yeterince küçükse, bu görüntüler gönderildiğinde veya alındığında ebeveyni bilgilendirme özelliği (Bu özellik ebeveynler tarafından açılıp kapatılabilir olacak).

Apple’ın bu uygulamayı hayata geçirebilmesi için, kendi bulut depolama sistemi olan iCloud üzerinde yer alan tüm kullanıcı verilerine, yine kendisinin geliştireceği bir yazılım aracılığıyla (yani otomatik yöntemlerle) erişmesi gerekecektir.

2016 verilerine göre 782 milyon kullanıcısı olan[2] (ki 2021 yılı itibariyle bu sayı çok daha yüksek) iCloud üzerinde tüm kullanıcıların fotoğraf ve videoları, notları, kullanıcı adları, parolaları, kredi kartı bilgileri, Wi-Fi ağına ait bilgileri, Safari web tarayıcı deneyimleri tutulmakta; Apple cihazlarda bulunan Mail, Kişiler, Takvim, Mesajlar, Facebook, Twitter, Instagram, LinkedIn ve diğer platformlara ait kullanıcı adı ve şifreleri kaydedilmekte ve kullanıcıların iCloud’a giriş yaptığı diğer tüm Apple cihazlarda erişime açılmaktadır. Bir başka deyişle iCloud üzerinde hayatımızın hemen her alanına ait önemli veriler tutulmaktadır.

Bu veriler gerek 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), gerekse Avrupa Genel Veri Koruma Tüzüğünde (“GDPR”) kapsamında “kişisel veri” olarak kabul edilmektedir.

GDPR’da kişisel veri ihlali; “iletilen, saklanan veya sair şekilde işlenen kişisel verilerin kazara veya hukuka aykırı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlali” olarak tanımlanmıştır.

Apple’ın bu yeni uygulaması ile ilgili kişilerin rızası olmaksızın bu verilere otomatik yöntemlerle erişilecek olması, hem KVKK hem de GDPR bakımından ihlal olarak değerlendirilebilecek olup bu bakımdan pek çok kişi ve kurum tarafından eleştirilmektedir.

Örneğin, merkezi Amerika Birleşik Devletleri’nde bulunan ve kuruluş amacı dijital hakları savunmak olan Electronic Frontier Foundation (EFF) Apple’ın yeni uygulamasına yönelik eleştirileri içeren bir yazı yayınladı[3]. Bu yazıya göre Apple’ın iddia ettiği gibi istismarı önlemek amacıyla söz konusu kaynağın taranması yüzde yüz doğru bilgiye ulaşmak anlamına gelmiyor ki  istismarcı kişileri tespit etmek ve bu tespiti, her ülkenin kendi hukuk sistemini göz önünde bulundurarak ilgili birimlere bildirmek de (farklı usuli işlemler gerektirdiğinden)teknik olarak çok mümkün görünmüyor.

Ancak buradaki hukuki sorun bu yazıda belirtilenin çok daha ötesinde. Teknoloji devlerinin “sosyal sorumluluk” adı altında bu ve benzeri çıkışlarına son dönemde sıkça rastlıyoruz. Bu büyük aktörlerin toplumun yararına olacak faaliyetlerde yer almak istemeleri ilk bakışta sevindirici bir gelişme olarak görülse de, bunun buzdağının görünen yüzü olmadığından emin olmak için şu soruların cevaplandırılması gerekiyor:

• Apple (ya da böyle bir girişimde bulanacak her türlü kişi veya kurum ya da kuruluş) bizlerin onayı olmaksızın kişisel verilerimize bu şekilde erişme yetkisini nereden alıyor?
• Apple, verilerimize onay almaksızın eriştikten sonra bu veriler üzerinde analiz yapıp kendi kanaatine göre bildirimde bulunması, yani bir anlamda kendisini polis, savcı veya hakim yerine koyma yetkisini nereden alıyor?
• Apple bu şekilde kendi kanaatine göre zan altında bırakacağı kişilerin aslında suçsuz olması durumunda, yani sistemin değerlendirme hatası nedeniyle yanlış bildirim yapılması halinde bu nedenle zan altında kalacak kişilerin bu mağduriyetini nasıl gidermeyi düşünüyor? Böyle bir iftira neticesinde oluşabilecek toplumsal baskı veya linç girişimlerinin gerçekten de tazmini yahut telafisi mümkün mü?
• Apple’ın bu verilere yalnızca belirttiği amaçlar doğrultusunda erişeceğini kim garanti edecek, bu erişimi ve kullanma amaçlarını kim denetleyecek?

Ve belki de en başta sorulması gereken en önemli soru:

• Kişisel verilerimizi emanet ettiğimiz kişi veya kurum ya da kuruluşlar, sadece “iyi amaçlar” öne sürerek kendi başlarına alacakları kararlarla kişisel verilerimize erişebilirler mi? Buna izin verilen bir dünyada “mahremiyet” kavramından bahsedebilir miyiz?

Tüm bu açıklamalar ve sorular göz önünde bulundurulduğunda; Apple kararının gerek KVKK, gerekse GDPR nezdinde kişisel veri ihlali oluşturduğunu söylemek yanlış olmaz. Ayrıca insanlar reşit olup olmadıklarına bakılmaksızın gizlilik içerisinde iletişim kurma hakkına sahiptir. Bu sebeple kararın geri çekilmesi ve uygulamadan vazgeçilmesi gerekmektedir.

[1] Amerika Birleşik Devletleri’nde çocuğun cinsel istismarını içeren materyaller Kayıp ve İstismara Uğrayan Çocuklar Merkezi’ne (NCMEC) yapılan bildirimler üzerinden takip edilmektedir.

[2]https://www.cnbc.com/2018/02/11/apple-could-sell-icloud-for-the-enterprise-barclays-says.html#:~:text=The%20analysts%20estimated%20that%20there,170%20million%20of%20them%20paying.

[3] https://www.eff.org/deeplinks/2021/08/speak-out-against-apples-mass-surveillance-plans