O mahalledeki tek nalbur sizseniz anonim misiniz?

Serdar Temiz

Firmaların bizim hakkımızda daha iyi ürün vermeleri için veri toplamalarının faydaları saymakla bitmez. Bir önceki yazımda biraz örnekledim. Peki bu kişileştirilmiş ürünler biraz aşırıya kaçabilir mi?

Bir baba aşırı kızgındı, çünkü gencecik kızına Amerikalı Target (1) firması bebeklerle ilgili ilanlar göndermişti. Bu nasıl olurdu, kızını hamileliğe mi özendiriyorlardı? Mağaza müdürü olan bitenden ve bu ilanın neden gönderildiğinden habersizdi. Oysa müdürün dahi bilmediği, firmanın pazarlama grubu, tahmin analizi (predictive analysis) yöntemi ile, daha önce alışveriş yapan kişilerin aldıklarına bakarak, daha sonra neler alabileceklerini tahmin etmeye çalışıyordu. Sonradan babanın bildirmesi üzerine, kızın gerçekten de hamile olduğu anlaşıldı. Firma, meğer müşterilerini kategorize ediyormuş ve hamileliğin ilk aylarında kadınlar benzer ürünleri aldıkları için, bu genç kadını, alışveriş alışkanlığı o yönde değiştiği için, ilk hamilelik kategorisine koyup artık ilanları öyle göndermeye başlamıştı. Yani Target firması adamın kızının hamile olduğunu, kızından önce dahi biliyordu.

Özel bir firma bizim hakkımızda bu bilgiye, sadece alışveriş alışkanlıklarımıza bakarak ulaşabiliyorsa, veriler hakkında kaygılanmamız gerçek dışı mı? Firmaların topladığı veriler benim nazarımda neden sorun oluyor?

HANGİ VERİLERİ TOPLUYORLAR?

Siz bir web sitesinden veya uygulamadan bilgi girdiğiniz zaman sadece telefon numaranızı veya email adresinizi verdiğinizi sanıyorken, uygulama sizin telefonunuzdaki tekil donanım numarasını, lokasyonunuzu, telefonunuzun modelini, bilgisayarınızın işletim sistemini, tarayıcısının adını ve modelini; farkında olup olmadığınız birçok veriyi de topluyor olabilir. Mesela, size bir indim kartı veren mağaza, acaba mağaza içerisinde her hareketinizi, mimiklerinizi, mobil telefonunuzun GPS kayıtlarını da topluyor olabilir. Tam olarak, gizli veya açık hangi verilerin toplandığını bilmememiz sorunlardan biri.

BAŞKA HANGİ VERİLERLE BİRLEŞİYOR?

Öte yandan, bu verinin nasıl kullanıldığı, başka hangi verilerle birleştirildiği de önemli. Mesela siz ‘ben sadece telefon numaramı verdim’ diye düşünürken, başka bir uygulamada verdiğiniz email ve ev adresinizi, bir başka uygulamadaki lokasyon bilginizi bu uygulamalar birbirleriyle paylaşıyorlarsa, sizin esasında tüm verileriniz ortada.

 VERİLERİ NE ZAMAN TOPLUYORLAR?

Samsung akıllı TV'sinin yanında konuşulanlara dikkat edilmesini yazıyor kullanıcı şartlarında. Evde eşinizle baş başa romantik vakit geçirmek isterken, kumandayla kapatılmış akıllı TV sizi dinliyor, ses kaydını bulut üzerinde ortak çalıştığı bir firma ile paylaşıyor olabilir. Yani en romantik anınızda dünyanın öteki ucundan biri de sizi dinliyor olabilir. Birkaç sene önce, sesli komutla çalışan Amazon Alexa’nın mahkemede şahit olarak dinlenmesi tartışıldı. İddiaya göre, Alexa cinayet anında kayıtta idi ve mahkemede Alexa dinlenmeliydi. (2) Sizin evi komutla çalıştırıyorum diye aldığınız cihaz, gerektiğinde size karşı kullanılacak bir alet olabilir. İçeride dediğiniz her şey, tartıştığınız her konu bilmediğiniz bir firmanın eline istemediğiniz bir zaman geçebilir.

BU VERİLER NASIL GİZLENİYOR?

Ashley Madison isimli Kanadalı çöpçatan sitesi, evli insanların kullandığı bir site. İddialarına göre, evlilik uzun ve sıkıcı bir müessese ve arada kaçamak yapmakla evliliği kurtarabilirsiniz. Burada işin dini veya ahlaki boyutunu değil, veri kısmını tartışıyorum. Milyonlarca üyesi olan bu site Temmuz 2015'te hacklendi ve hackerlar tüm veri tabanı internete koydular. Üyelerin isimleri, bilgileri, resimleri kabak gibi ortaya saçıldı. Sıkıntılı evlilikleri bu sebeple noktalananlardan tutun da, intihar edenlere kadar birçok sorun yaşandı. Burada ‘iyi oldu, eşine bunu yaparsan hak sana’ diye geçiştirip, dalganızı da geçebilirsiniz. Oysa veriler ve insan hakları açısından bakmamız gereken şu: Kanada yasalarına göre kurulmuş, vergilerini veren, verileri güvenli sakladığını ve anonim tuttuğunu iddia eden bu firma meğer herkesi aldatmış. Sıradan bir kullanıcı, bu iddiadaki firmayı bu konuda denetleyebilecek ne donanıma ne de güce sahip. Yani, devlet ve bu alanda çalışan sivil toplum kurumları sıradan vatandaşın ve müşterinin hakkını yeterince koruyamamış. Bırakın verilerin iyi saklanmasını, saklanan veriler de anonimleştirilmemiş. Oysa, eğer veriler yeterince anonimleştirilmiş olsaydı, sistem hacklense de, elde edilen pek de işe yaramayan veriler olurdu. ‘Yeterince anonimleştirme ne demek?’ diye sorabilirsiniz, o kısmı açayım:

Bazı kurumlar topladıkları verilerin güvenli bir şekilde anonimleştirildiğini iddia edebilirler. Mesela size, ‘verileri anonimleştirerek saklıyoruz’ dedikleri zaman, firmadan firmaya ve üzerinde uzlaşılmamış anonim tanımı ve sizin bu tanımın neye tekabül ettiğini bilmemeniz sorunlardan biri. Mesela aşağıdaki fotoğrafta vesikalık fotoğrafın değişik şekilde anonimleştirildiğini görüyorsunuz. Firma, hepsinde, kendilerince verileri anonimleştirdiklerini iddia edebilir. Oysa fotoğrafın çoğu versiyonunda kişiyi tanımanız veya başkalarından ayırmanız mümkün.

.

Size isim ve adresinizi saklıyoruz diyebilirler ve sizi ‘falan mahalledeki nalbur’ diye kaydedebilirler. E o mahallede tek nalbur siz olduğunuzda, sizin verileriniz anonimleştirilmiş oluyor mu?

BU VERİLER KİMLERLE PAYLAŞILIYOR?

Size herkesin bildiği bir firmanın, Google'ın verileri paylaşma politikasını alıntılıyorum:

"Gizlilik politikamızdaki ve diğer geçerli gizlilik ve güvenlik tedbirlerindeki talimatlara dayanarak ve bunlara uygun bir şekilde kişisel bilgileri bizim adımıza işlemeleri için bağlı kuruluşlarımıza ve diğer güvenilir işletmelere ya da kişilere veririz. Örneğin, müşteri desteği konusunda bize yardımcı olmaları için servis sağlayıcıları kullanırız."

Dikkat ederseniz, güvenilir işletme ve kişilere veririz diyorlar. Güvenilirliğin tanımı ne? Kime ve neye göre güvenilir? Bu güvenilir kişilere kimler ve nasıl karar veriyor? Bunlardan habersiz bir şekilde ücretsiz sandığımız bu platformları kullanarak esasında tüm mahremiyetimizi paylaşıyoruz onlarla. Neden hangi kurum ve kişilerle paylaştıklarının tam listesi olmaz? Neden bu veriler paylaştırıldığında, benim haberim olmaz? Bu kurumlar arasına firmanın güvenilir gördüğü ama kullanıcının görmediği diktatöryal bir rejimin kurumu da olabilir mi?

VERİLER NE KADAR SAKLANIYOR?

Brüksel'deki Avrupa Birliği binasına girdiğinizde, orada giriş kartı verirler. Orada verilerin sadede altı ay tutulduğuna dair bir ibare vardır. Düşünün dünyanın en büyük birliklerinden biri, en güvenli tutmaları gereken kurumda dahi, veriler sadece altı ay tutuluyor. Binlerce firma, binlerce kurum verilerimizi topluyorlar. Maillerimiz ellerinde, resimlerimiz ellerinde, sürekli videolarla sokakta, otobüslerde, metrolarda, alışveriş merkezlerinde kayıt altına alınıyoruz. Peki ne kadar süreyle? Ne zamana kadar bu kayıtları tutacaklar? Benim domates almak için gittiğim manav, beni kayda almak zorunda mı sorusunu geçtim (o kısma daha sonra değineceğim), senelerce o kayıtları tutmak zorunda mı? O kayıtları tutması riskli değil mi? Düşünün zaman aşımı veya cezanızı çektikten sonra siciliniz dahi temizlenebiliyorken bu videolar, bu kayıtlar sonsuza kadar sunucularda tutuluyorsa, ortada bir sorun yok mu? Hangi hakla bu kayıtları tutabiliyorlar?

Sorunları tespit etmeden, çözümlere odaklanmak zor. O açıdan sorunları, farkında olmadığımız birçok etmeni de göze alarak, dile getirmekte fayda var. Bir sonraki yazımda, veri konusunun insan hakları ve özgürlükler kısmına değineceğim.

(1) Haberin tam gerçeği yansıtmadığı iddiası olsa da, haberin orijinali Forbest'da var: https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/

(2) https://edition.cnn.com/2017/11/30/us/amazon-echo-arkansas-murder-case-dismissed/index.html