İNTERNET SİTELERİNDE YAŞ KONTROLÜ FRANSIZ VERİ KORUMA KURUMU (CNIL) DAHA ETKİLİ VE ÖZEL HAYATA SAYGILI ÇÖZÜMLERİN GELİŞTİRİLMESİNİ TEŞVİK EDİYOR

Çeviren: Kadir Hazan

Bir kullanıcının, bir yandan kişisel verilerinin korunmasını garanti altına alırken, diğer yandan yetişkinleri hedefleyen bazı çevrimiçi siteleri kullanmak için gerekli yaşta olup olmadığı nasıl kontrol edilir?

Mevcut sistemleri analiz eden CNIL, yeni çözümler geliştirmeye yönelik tavsiyelerini sunuyor.

Gençlerin korunması, güvenliği ve özel hayatına saygı

İnternetteki belirli siteler veya hizmetler, özellikle pornografik internet siteleri, yetişkinleri hedeflemektedir. Bu yüzden, [bu türden yetişkinleri hedefleyen internet sitelerinde] internet kullanıcısının yaşını doğrulamak için bir sistem kurulması gerekmektedir.

Reşit olmayanların korunmasına yönelik bu sistemler hiçbir zaman tam anlamıyla etkili olmadıkları gibi, bu çözümlerin arkasını dolanmak da mümkündür. Öte yandan [bunlar] özel hayatın gizliliği bakımından da risk oluşturabilmektedir. CNIL, mutlak etkili bir çözüm hedeflemenin mümkün olmaması halinde, mümkün olan en iyi sonucu elde etmek için güncel ve güvenli sistemlerin seçilmesinin tavsiye edildiğini hatırlatmaktadır. Bu sistemler, [yalnızca] bunların gerekli olduğu siteler ile sınırlı tutulmalı ve diğer internet sitelerine erişim, varsayılan ayar olarak kimlik veya yaş kontrolü gerekmeksizin sağlanabilmelidir.

İnternet kullanıcısının yaşının kontrolü, şu şartlarla Genel Veri Koruma Tüzüğü (“GVKT”) ile uyumludur: Gençleri korumak amacıyla yapılması, mahremiyet ihlallerinin en aza indirilmesi ve yaş doğrulaması yapılmasının internet sitesini ziyaret eden kullanıcılar hakkında ek veri toplanması için bir fırsat olmasının önlenmesi adına yeterli tedbirlerin alınması. Ayrıca verilerin üçüncü kişiler tarafından kötüniyetli bir şekilde kullanılmak amacıyla ele geçirilmesinin de önlenmesi gerekmektedir (biyometrik verilerin ihlali, kimlik avı, kimlik gaspı, şantaj vb.).

Mevcut Çözümler

CNIL mevcut çözümleri analiz etmekte ve kullanıcıların güvenliğini garanti altına almak için uyulması gereken koşulları belirlemektedir.

CNIL, bu kontroller için kredi/banka kartını kullanmanın mümkün olduğunu özellikle hatırlatmaktadır: Her ne kadar reşit olmayan bazı kullanıcıların da banka kartı varsa (veya edinebiliyorlarsa) da, yine de kredi/banka kartı doğrulaması çoğu durumda gençleri korumak için etkili bir kontrol yöntemidir ve ücretsiz sitelere erişimi kontrol etmek için de kullanılabilen, kanıtlanmış bir teknolojiye dayanmaktadır.

Biyometrik yüz tanıma olmadan, bilgisayarın web kamerasına erişen otomatik bir sistem tarafından yüz özelliklerine ilişkin yüz analizinin yapılması, hem yetişkin olmayanların erişimini engellemeyi ve hem de 18 yaşından büyük kişiler için önemli ölçüde erişim yetkisi vermeyi mümkün kılar; öte yandan, [bu yöntem] 18 yaşına yaklaşan kişiler için hata riskleri barındıran bir yöntemdir.

Her iki durumda da veri hırsızlığını önlemek ve bu yöntemlerin kullanımlarından doğan ek risklere yönelik tedbirler alınmasını sağlamak için bu çözümlerin, yeterli düzeyde güvenlik ve güvenilirliğe sahip üçüncü taraflarca işletilmesi gerekmektedir. Başka çözümler de mümkündür, ancak bu çözümler belirli teknik zorluklar veya daha az etkin sonuçlar sunmaktadır.

CNIL’in daha etkili ve özel hayata saygılı çözümler geliştirmeye yönelik önerileri

CNIL, internet kullanıcılarının mahremiyetini korurken yaş kontrolünün etkinliğini arttırmayı amaçlayan yeni sistemler için de tavsiye edilen sistem mimarisi çözümlerini ortaya koymaktadır.

CNIL, öncelikle çözümün pornografik sitelerin kendisi tarafından değil, güvenilir bir marka/etiket veya sertifikasyon sistemi tarafından onaylanmış yeterli güvenceleri sağlayan güvenilir bir üçüncü taraf tarafından işletilmesi gerektiğinin altını çizmektedir.

CNIL daha sonra, bu güvenilir üçüncü tarafa, internet kullanıcısını tanıyan ve yaşını onaylayabilen bir yönetimden veya şirketten, [kullanıcıların] yaşlarına dair güvenilir bir kanıt sağlanmasını önermektedir. Sonrasında, bu kanıt, [bu] güvenilir site veya internet kullanıcısının kendisi tarafından internet kullanıcısının erişim talep ettiği siteye iletilecektir.

CNIL tarafından önerilen sistem, özel hayata dair üçlü koruma sağlayacaktır:

– Yaş kanıtını sağlayan kişi, kullanıcının kimliğini bilecek ancak hangi siteye erişildiğini bilmeyecektir;

– Siteye yaş kanıtı gönderecek olan güvenilir üçüncü taraf, erişilen siteyi veya hizmeti bilecek olabilir ancak kullanıcının kimliğini bilmeyecektir,

– Yaş doğrulamasına tabi site veya hizmet, internet kullanıcısının reşit olduğunu ve kullanıcının erişim sağlamaya çalıştığını bilecek, ancak kullanıcının kimliğini bilmeyecektir.

GVKT bu sistemler için zaten uygulanıyor olsa da CNIL daha verimli, güvenilir ve mahremiyet dostu sistemler için belirli bir çerçevenin ivedilikle önerilmesinin önemli olduğunu düşünmektedir.

GÜVENİLİR BİR ÜÇÜNCÜ TARAF ARACILIĞIYLA YAŞ DOĞRULAMA

1. Adım: Bir kişi, erişimin bir yaş sınırına tabi olduğu bir çevrimiçi hizmete veya siteye erişmek ister. Bu kullanıcıya erişim verilmeden önce, servis sağlayıcı kullanıcıya, kullanıcının yaşını kesin olarak bilen üçüncü tarafça imzalanacak bir belge sunar. Bu belge, onu yayınlayan servis sağlayıcıyı işaret etmez/belirtmez.
2. Adım: Kullanıcı, önerilenler arasından bir üçüncü tarafı seçer (bankası, enerji tedarikçisi…) ve seçtiği üçüncü tarafa, örneğin yeni bir pencere aracılığıyla, bağlanır.
3. Adım: Kullanıcının, gerekli yaş kriterini sağlaması şartıyla üçüncü taraf belgeyi imzalar/onaylar ve bu belgenin ne sebeplerle kullanılacağını bilmeksizin kullanıcıya iade eder.
4. Adım: Kişi ilk hizmet sayfasına geri döner ve kendisi için imzalı belgeyi sunar. Hizmet, verdiği belgeye karşılık geldiğini ve imzanın geçerli olduğunu doğrular. Servis, kişi hakkında, en azından gerekli yaşta olması veya belgeyi onaylayan kuruluşta olmaması dışında hiçbir şey bilmemektedir.
5. Adım: Kişi artık hizmete erişebilir[1].

[1] Metnin Fransızca orijinal versiyonu için bkz: https://www.cnil.fr/fr/controle-de-lage-sur-les-sites-web-la-cnil-invite-developper-des-solutions-plus-efficaces-et