|
|||
1.1. Büyük veri ile ortaya çıkan güvenlik ve mahremiyete ilişkin kaygılarVerinin yenilikç i kullanı mları nı n keş fi amacı yla depolanan bü yü k miktarlarda veriden (kiş isel veri olmasa dahi), bireylere iliş kin cinsel yö neliminden sağ lı k durumuna kadar pek ç ok hassas kiş isel veri konusunda ayrı ntı lı bilgi elde edilmesi mü mkü n hale gelmiş tir. Bireylere iliş kin en ö nemli veri kaynakları ndan biri olarak internet ele alı nı rsa, bireylerin hayatları na dair verecekleri en ö nemli kararlara iliş kin olarak dahi arama motorları nı ç ekinmeden kullanma eğ iliminde oldukları gö rü lmektedir. Ö rneğ in; bireylerin sağ lı k durumuna dair endiş elerini, gitmeyi planladı ğ ı mekâ nları veya iş değ iş tirme kararları nı kolaylı kla arama motorları na sundukları dü ş ü nü lü rse sö z konusu arama motorları nı n bireyin hayatı na dair birç ok ö nemli bilgiye (yalnı zca hareketleri değ il dü ş ü nceleri de dâ hil) sahip olduğ u gö rü lmektedir. Veri depolama teknolojileri sayesinde bu bilgiler saniyesi saniyesine tutulmakta, analiz edilmekte ve uzunca bir sü re saklanabilmektedir. Bu anlamda, ö rneğ in; Google’ı n bireyler hakkı nda kendilerinin dahi hatı rlayabildiğ inden daha fazla bilgiye sahip olduğ u dü zlemde, henü z eyleme bile dö nü ş memiş dü ş ü ncelerin de depolanması karş ı sı nda gelecekte bu verilerden hangi ç ı karı mları n ortaya konulacağ ı ve bu ç ı karı mları n hangi amaç larla kullanı lacağ ı ö ngö rü lememektedir. Verinin bir kez elde edilmesinden sonra sö z konusu verinin kim tarafı ndan, nası l ve/veya hangi amaç larla kullanı ldı ğ ı konusunda bireylerin hiç bir kontrole sahip olmadı ğ ı nı n inkâ r edilemezliğ i karş ı sı nda kiş isel verilerin kullanı mı hususundaki mahremiyet kaygı ları nı n dikkatle ele alı nması ihtiyacı bulunmaktadı r. Ayrı ca, bireylerin yukarı da ifade edildiğ i ü zere bizzat kendileri tarafı ndan doğ rudan ç evrimiç i sağ lanan veriler dı ş ı nda; iş letmeler, kuruluş lar ve bireylerin tuttukları bü yü k veri setleri, neredeyse her ihtiyacı karş ı layacak arama yapı labilen ve istenen verinin kolayca bulunabildiğ i pazar platformları iş levi gö rmektedir. Bu pazar platformları kiş isel veri hazinesi mahiyetinde dijital platformlardı r. Veri pazarları, tek bir sektö r ü zerinde yoğ unlaş anlarda olduğ u ü zere ç ok spesifik hizmetler sunabileceğ i gibi, birden fazla veri sahibi grubun izlendiğ i, tarihsel performans ve gö stergeler gibi izlenen davranı ş kü melerinin değ iş ken olduğ u oldukç a geniş bir kapsamda da hizmet verebilmektedir. Ö rneğ in; Thomson Reuters firması, bir birey veya bir ş irketle salt ‘iş yapma riski’ hakkı nda veri sunarken; Gnip, bü tü n sosyal medya kaynakları na odaklanmakta veya Microsoft Azure yalnı zca kendi mü ş teri ve ortakları ndan elde ettiğ i veri setleri ü zerinden ve onlara yö nelik hizmetler sunarken; Nielsen firması ç alı ş makta olduğ u bü tü n endü stri sektö rlerine yö nelik veri setleri ü zerinden ç eş itli hizmetler sunmaktadı r. Ayrı ca, birç ok veri setinin bir araya toplanması ve izleme yö nteminin kullanı lması yoluyla odaklı kullanı cı profilleri (e- posta adresleri, ikamet adresi, isim, gelir, sosyal ağ lar ve daha pek ç ok ş ey) oluş turarak reklam verenler odaklı ç alı ş an Rapleaf, Acxiom, Choice-Point gibi firmalar da bulunmaktadı r. Burada sayı lan ö rnek firmalar pazarı n yalnı zca kü ç ü k bir kı smı nı temsil etmekte olup; bugü n reklam yerleş tirme, bireylerin nerede olduğ unu belirleme, hayı rsever bir bağ ı ş talep etme veya bir suç un nerede iş lenebileceğ ini tahmin etme gibi amaç larla veri setleri ü zerinden hareket edilerek faydalı bilgi elde etmeye yardı mcı olacak birç ok analitik ve veriye dayalı hizmet sunulmaktadı r. 65 Satı n alı nabilen veya ü cretsiz olarak temin edilebilen veri setlerinin sayı sı, onları oluş turan verilerin kendisi kadar hı zlı bü yü mektedir. Bu durum ise veri pazarları nı n, kiş isel verilere ulaş mayı kolaylaş tı ran herhangi bir veri setini hı zlı ca bulabilmesini ve satı n alması nı sağ lamaktadı r. Sö z konusu veri pazarları na kolayca eriş ilmesi ise bu verilerin sı zdı rı lması gibi olumsuz sonuç ları da beraberinde getirmektedir. AT& T firması tarafı ndan yapı lan bir araş tı rmaya katı lan 120 internet sitesinin yü zde 56’sı doğ rudan kiş isel verileri sı zdı rdı ğ ı nı ifade etmiş; sitenin kullanı cı lara sağ ladı ğ ı kullanı cı kimliğ inin sı zdı rı lması nı n da kiş isel veri sı zdı rması kabul edildiğ i durumda ise bu oranı n yü zde 75’e ç ı ktı ğ ı nı ifade etmiş tir. Her bir kategori iç in incelenen 10 sitenin 9'unda, sağ lı k sitelerine gö nderilen hassas veriler veya uç uş rezervasyon sitelerindeki gü zergâ h bilgileri de dâ hil, veri sı zdı rı ldı ğ ı ortaya ç ı kmı ş tı r. Veri pazarları bağ lamı nda, ne kadar fazla veri setine eriş ilir ve bağ lanı labilirse, o kadar kiş isel veri edinilebilmekte veya daha sonra bu veriler belirli bir kiş iyle bağ lantı kurmak amacı yla kolayca kullanı labilmektedir. Bu setlerin satı n alı nması ndan sonra ne olacağ ı ve daha sonra iş letmelerce veya araş tı rma amaç lı kuruluş larca nası l kullanı lacağ ı bilinmemektedir. Anonimleş tirmenin bir ç ö zü m olarak ö ngö rü lmesi ihtimali ise, sö z konusu teknik ç ö zü mü n, Netflix'in araş tı rma yarı ş ması nda da ortaya ç ı ktı ğ ı ü zere, bü yü k veriyle kolayca kı rı labilmesi karş ı sı nda ş ü pheyle karş ı lanmaktadı r. Zira gü nü mü z teknolojileriyle, verilerin gö rü nü ş te tamamen anonim ş ekilde tutulduğ u durumlarda bile (ö rneğ in; belirli bir zaman dilimi iç erisinde mağ azaya giren mü ş teri sayı sı na iliş kin veritabanı ile gü venlik kontrollerini sağ lamak iç in kullanı lan kamera kayı t kontrol sistemi veritabanı olmak ü zere), iki bü yü k veritabanı aynı anda kullanı larak kiş isel bilgilerin ortaya konulması mü mkü n olabilmektedir. Nitekim AB Veri Koruma Komiseri de kiş ilere iliş kin verilerin tam anlamı yla ve geri dö ndü rü lemeyecek ş ekilde anonimleş tirilebilmesinin neredeyse imkâ nsı z olduğ unu ifade etmektedir. Bu ç erç evede veri madenciliğ i gibi bü yü k veri yö ntemlerinden faydalanı lması yla farklı kaynaklardan birden fazla veri seti kullanı larak kiş inin kimliğ ini belirlenebilir kı lan verileri biraraya getirmenin " mozaik etkisi" yaratacağ ı ö ngö rü lmektedir. OECD 2017 Dijital Ekonomik Gö rü nü m Raporu’nda da, bü yü k veri kapsamı nda toplanan verilerin ve bü yü k veri analizinin kullanı lması yla mahremiyete iliş kin risklerin arttı ğ ı ifade edilmektedir. Raporda kiş isel verilerin mahremiyetine iliş kin temel tehlike, baş langı ç ta kiş isel verilerin kö tü niyetli faaliyetler sonucu elde edilmesi veya kazara kaybı olarak ifade edilirken; bugü n bunlara ek olarak, doğ rudan kiş isel veriye ihtiyaç duymayan kalı p ve korelasyonlar kullanı larak bu verilerden analiz yoluyla tü retilebilecek tamamlayı cı verilerle, kiş isel verilere eriş ilebilmesi olarak tanı mlanmaktadı r. Bü yü k veri analizlerinin kö tü ye kullanı lması ndan kaynaklanan kiş isel verilere ve mahremiyete iliş kin ihlaller OECD tarafı ndan aynı raporda ş u iki baş lı k altı nda ele alı nmaktadı r: - Ö lç ek ve profil bakı mı ndan kiş isel veri ihlalleri artmı ş tı r: Kuruluş ları n bü yü k miktarda kiş isel veriyi topladı ğ ı ve iş ledikleri bir ortamda, veri ihlalleri olarak adlandı rı lan kiş isel verilerin mahremiyetini etkileyen ihlaller artmı ş tı r. İ ngiltere Hü kü meti tarafı ndan 2014 yı lı nda yapı lan bir araş tı rmaya gö re, bü yü k kuruluş ları n yü zde 81'i gü venlik ihlaline uğ ramı ş tı r. 2015 yı lı nda, 5, 6 milyon parmak izini de iç eren ABD Personel Yö netimi Bü rosunun karş ı karş ı ya kaldı ğ ı ihlalde, Bü ro tarafı ndan depolanan 21 milyondan fazla kayı t ç alı nı rken Japonya Emeklilik Hizmetleri’nden 1 milyon 250 bin vatandaş ı n verisi ç alı nmı ş tı r. Raporda sö z konusu ihlallerin maliyetlerinin hesaplanması nı n zor olduğ u ifade edilmektedir. Bununla birlikte, veri iş leyen kuruluş lar iç in en bü yü k maliyet unsuru, iş kaybı veya ihlalinin tü ketici gü veni ü zerindeki olumsuz etkisi olarak ifade edilmektedir. İ kinci en yü ksek maliyet unsuru ise, ihlal neticesinde ortaya ç ı kan zararı n sorumlu kuruluş tarafı ndan giderilmesi olarak ifade edilmektedir. Ö rneğ in; 2006 yı lı nda ChoicePoint, FTC’ye 26 milyon ABD doları ndan fazla ö deme yapmak durumunda kalı rken, AT& T ş irketi, 2016 yı lı nda yaklaş ı k 280 bin mü ş terisine iliş kin veri ihlalleriyle ilgili FTC soruş turması nda uzlaş ma iç in 25 milyon ABD doları ö demeyi kabul etmiş tir. - Bü yü k veri analizi ile bireysel mahremiyete yö nelik yeni riskler ortaya ç ı kmı ş tı r: Veri analizinde kaydedilen ilerlemelerle, eski satı n alma alı ş kanlı kları veya elektrik tü ketimi gibi ö nemsiz gö rü nebilecek bilgilerden dahi hassas kiş isel verilere ulaş ı lması nı n mü mkü n olduğ u ifade edilmektedir. Nitekim ABD merkezli perakende ş irketi Target'in geç miş satı n alma verilerine iliş kin kronolojik gö stergelere ve mü ş terilerinin gö rsel analizine dayanan bü yü k veri ç alı ş ması sonucunda bir genç kı zı n hamile olduğ unu ailesinden ö nce tespit etmesinin, bu alanda ç arpı cı bir ö rnek olduğ u ifade edilmektedir. Bü yü k veri analizi kapsamı nda elde edilen ö ngö rü lerin kö tü ye kullanı mı nı n, mahremiyet hakkı nı n temel değ er ve ilkeleri olan bireysel ö zerklik, eş itlik ve ifade hü rriyetini olumsuz etkileyebileceğ i ve toplumda ö ngö rü lmesi gü ç etkiler yaratabileceğ i tartı ş maları nı beraberinde getirmektedir. Bü yü k miktarlarda tü ketici verilerinin toplanması ve analiz edilmesiyle iş letmelerin, tü ketici talebindeki ve bireysel tercihlerdeki değ iş iklikler gibi toplam eğ ilimleri ö ngö rebilecekleri ve bö ylece risklerini en aza indirerek pazarlama yatı rı m gelirlerini en ü st dü zeye ç ı karabilecekleri ifade edilmektedir. Ayrı ca, bireysel davranı ş ları gö zlemleyerek, ü rü n ve hizmetleri nası l geliş tireceklerini ö ğ renerek onları yeniden tasarlayabilecekleri ifade edilmektedir. Sö z konusu kullanı mları n tü ketici konumundaki bireylere fayda sağ layabileceğ i de kabul edilmektedir. Ancak, hedefli mesajları n ve pazarlama tekliflerinin profil haline getirilmesi ve bu kiş ilere gö nderilmesinin olumsuz sonuç lar da doğ urabileceğ inin gö z ardı edilmemesi gerekmektedir. Zira bireylerin ç evrimiç i etkinliklerinin izlenmesine itiraz etme; fiyat ayrı mcı lı ğ ı nı n bir sonucu olarak daha yü ksek fiyatları ö demeyi kabul etmeme ya da ihtiyaç duymayacakları ü rü n ya da hizmetlere yö neltilmeme istekleri ö nem arz etmektedir. Bü yü k veri, modern mahremiyet dü zenlemelerinin dayandı ğ ı adil veri iş leme uygulamaları bakı mı ndan bir tehdit oluş turmaktadı r. Bü yü k veri analizleri sayesinde iş letmeler daha baş arı lı reklam/promosyon uygulamaları geliş tirebilmekte, tü ketici tercihlerini etkileyebilmektedir. Nitekim bazı analistler, bireylerin ciddi bir hastalı ğ a yakalanma ihtimalini belirleyebileceklerini ve bu bilgileri kullanarak sigorta poliç esi pazarlamanı n oldukç a kolay olduğ unu ifade etmektedir. Bugü n, bazı hayat sigortaları nı n uygulanması konusunda sigorta ş irketleri, bireylerin tü ketim alı ş kanlı kları na iliş kin veriler ü zerinden beklenen yaş am sü resini hesaplamakta ve sö z konusu veriler ı ş ı ğ ı nda prim oranı ile hizmetin kapsamı gibi unsurlara karar vermektedir. Bü yü k verinin, savunması z ve teknolojik aç ı dan yetersiz bireylerin mahremiyetini olumsuz etkilemesi karş ı sı nda bireylerin ç evrimiç i eylemlerinin hassasiyet derecesini değ erlendirebilir hale gelmesi ö nem arz etmektedir. İ ş letmelerin ve bireylerin bü yü k veri hakkı ndaki algı ları nı ö lç mek amacı yla bazı ü lkelerde gerç ekleş tirilen ve sonuç ları Tablo 1’de yer alan ankete gö re iş letmelerin bü yü k bir kı smı gü venlik ve mahremiyet konuları nda hazı rlı ksı z oldukları nı ifade etmiş lerdir. Bireyler de iş letmeler ile araları ndaki gü ven eksikliğ i ve kiş isel bilgilerinin muhtemel kö tü ye kullanı mı konusunda endiş elerini dile getirmiş tir. Voltage Security’nin anketine gö re, iş letmelerin ö zellikle yü ksek hı zlı veri toplamak iç in tı klama akı ş ı, mobil cihazlardan gelen GPS verileri ve sosyal medya kullanı mları, tü keticilerin kiş isel verilerinin kö tü ye kullanı mı veya yanlı ş kullanı mı konusundaki endiş eleri dolayı sı yla sert bir direnç le karş ı laş maktadı r. Pew Internet araş tı rma kuruluş u tarafı ndan 2013 yı lı nda ABD'de yapı lan bir ankete gö re katı lı mcı ları n bü yü k bir bö lü mü mahremiyet ve gü venlik kaygı ları yla, ö rneğ in; konum izleme ö zelliklerini kapamak gibi ö nlemlere baş vurmaktadı r. Benzer ş ekilde, kâ r amacı gü tmeyen Cable Forum tarafı ndan yapı lan araş tı rmada ankete katı lanları n yü zde 95'i ç evrimiç i faaliyetlerinin ü ç ü ncü bir tarafç a, anonim bir ş ekilde olsa dahi, izlenmesini reddedeceklerini ifade etmiş tir. Bü yü k verinin sunduğ u fı rsatlardan yararlanmak isteyen iş letmelerin ve kuruluş ları n potansiyel yenilikç i kullanı mları keş fedebilmeleri iç in bü yü k miktarda kiş isel veri depolamaları gerekmektedir. Verinin depolanabildiğ i ilk zamanlarda kimsenin aklı na gelmeyen verinin yenilikç i ikincil kullanı mı ise ası l tartı ş mayı beraberinde getirmektedir. Zira anketlerde de ortaya ç ı kan genel eğ ilime gö re bireylerin bü yü k kı smı kiş isel verilerinin ikincil kullanı mı na karş ı olduğ unu ifade etmektedir. Ö zetle, bü yü k veri kavramı nı n " hacim, hı z ve ç eş itlilik" ö zelliklerinin yansı ması olarak, veri mahremiyeti konusunda da ş u ü ç temel etki ö ne ç ı kmaktadı r: (1) kiş isel verilerin tutulma ve iş lenme maliyetleri ö nemli ö lç ü de dü ş mü ş tü r, (2) bü yü k miktarda veriyi analiz etmeye yö nelik algoritmalar geliş tirilmiş (bu anlamda " veri analitiğ i" nin ö nemi giderek artmı ş tı r) ve (3) ç evrimiç i veri ü reten ve toplayan endü striler kendi geniş veri havuzları nı yaratmı ş tı r. Sö z konusu etkiler ise mahremiyet ç evrelerinde, bü yü k veriye iliş kin ş u temel endiş eleri ortaya ç ı karmı ş tı r: - Anonimleş tirildiğ i veya bulanı klaş tı rı ldı ğ ı iddia edilen verilerin yeniden kiş iyle iliş kilendirilebilmesi potansiyeli, - Bü yü k veri setlerinin temel toplanma amacı nı n ö tesine geç ilerek farklı amaç larla yeniden kullanı lması, - Ö zellikle salt korelasyona dayalı analizin yapı ldı ğ ı durumlarda bireylere iliş kin elde edilen ç ı karı mları n ş effaflı k iç erisinde paylaş ı lmaması ve yanlı ş ç ı karı mları n ortaya konulması ihtimali, - Hemen hemen bü tü n verilerin kapsamlı bir ş ekilde toplanması eğ ilimi ve bu doğ rultuda, veri koruma hukukunun kabul gö ren ilkelerinden olan veri minimizasyonundan uzaklaş ı lması. AB 29. Madde Ç alı ş ma Grubunun da belirttiğ i ü zere, nesnelerin interneti gibi sı nı rsı z veri kaynakları ve sö z konusu verilerin analizi sayesinde elde edilen bilgilere dayanarak bir bireyin tü m yaş am ve davranı ş kalı pları nı n keş fedilmesi mü mkü n gö rü nmektedir. Veri analizine dayalı ş effaf olmayan ç ı karı mları n ise toplumda ayrı mcı lı ğ ı n ortaya ç ı kması na sebep verecek potansiyeli bü nyesinde barı ndı rdı ğ ı na dikkat ç ekilmektedir. Zira bü yü k veri uygulamaları sonucu oluş turulan bireysel profiller dolayı sı yla, toplumda bazı bireylerle aynı hizmetlere ve olanaklara eriş emeyen bir " veri alt sı nı fı " oluş turulması tehlikesi hiç de uzak gö rü nmemektedir. Bugü n modern bir distopya gibi değ erlendirilen sö z konusu profilleme yaklaş ı mı, gü nü mü z gerç ekliğ i iç erisinde dahi kolayca ö rneklerini bulabilmektedir. Bu anlamda, Ç in’in vatandaş puanlama uygulaması (bkz. Kutu 1) ve e-ticaret firmaları nı n fiyat farklı laş tı rması yö ntemleri ö rnek olarak sayı labilmektedir. Kutu 1. Ç in’de Uygulanan “Sosyal Kredi Sistemi”
Profillemenin giderek kabul gö rdü ğ ü bir sistemde, bireyin hayatı doğ rudan etkilenmektedir. Ö rneğ in; akı llı bir ş ehirde, belirli kiş ilerin veya belirli akı llı araç ları n bazı caddelere girmesinin yasaklanması; belirli eğ lence kompleksi, mekâ n ya da mağ azalara sı nı rlı sayı da bireyin giriş ine izin verilmesi gibi ayrı mcı sonuç lar ç ok yakı n bir zamanda ortaya ç ı kabilecektir. Bü yü k veriye iliş kin bir diğ er endiş e, ö zellikle bireylerin kontrolü dı ş ı nda ü retilen verilerin (nesnelerin interneti, akı llı ş ehirler gibi) ö nlenmesi gü ç hatalarla dolu olması ve bu sebeple bireylere iliş kin “tü retilmiş bü yü k veri" profillerinin oluş ması dı r. Bü yü k veri kaynaklı mahremiyet ve gü venlik endiş elerinin; veriyi iş leyen birden fazla tarafı n bulunması, ü ç ü ncü ş ahı slarca veriye eriş ilebilmesi, verilerin toplanması ve saklanması fiilleriyle sı kı bir bağ lantı sı olduğ u değ erlendirilmektedir. Sö z konusu fiillerin ö zellikle yeterli farkı ndalı k dü zeyinde bulunmayan bireyleri ve teknolojik trendlerden haberdar olmayan tü keticileri olumsuz etkilemesi muhtemeldir. Bu kapsamda, ö zellikle bireylerin ç oklu veri kaynakları nı n farkı nda olması ve etkili arama ve karş ı laş tı rma yapmaları nı sağ layan birden fazla veri hizmet sağ layı cı sı nı n bilincinde olmaları gerekmektedir. Ayrı ca, ü retilen ç ok miktarda verinin bü yü k kı smı bulutta depolanmaktadı r. Bununla birlikte, bulutta yer alan veriler, ç oklu yedeklemeler veya verilerin birden fazla ü lkede dağ ı tı lmı ş olarak iş lenme ve ç oğ altı lması dolayı sı yla, bilinmeyen veya değ iş en depolama alanları nda tutulmakta ve iş lenmektedir. Bu durum ise zaten farklı hukuki yaklaş ı mlara sahip AB ve ç oğ u bü yü k bulut hizmet sağ layı cı sı nı n yerleş ik olduğ u ABD arası ndaki ayrı mı n giderek keskinleş mesi riskini pekiş tirmektedir.
|
|||
|