Sosyal medyadan veri kazıma tartışmaları ne anlama geliyor?

Sosyal medya kullanıcıları olarak, verilerimizin sosyal medya şirketleri tarafından aktif bir şekilde kullanıldığını ve bu veriler ile neler yapılabileceğini, yaşanan skandal, dava ve para cezaları sayesinde daha iyi anlamış durumdayız.

Ancak, son zamanlarda yeni bir terimi daha tartışır olduk: “Veri kazıma”

Geçtiğimiz ay Elon Musk, sahibi olduğu X Corp, yani eski adıyla Twitter adına 4 şirkete veri kazıma yaptıkları iddiası ile dava açmıştı. Davada, davalı şirketlere ait IP adreslerinden gelen otomatik kayıt taleplerinin çok fazla olduğu ve bunun X sunucularına çok yük bindirdiğini iddia ederek tazminat istemişti. Bunun üzerine X, kullanıcıların görebileceği tweet sayısını kısıtladı ve hesaba giriş yapmadan tweet’leri görme özelliğini kapattı.

Burada tabi ki, ticari olarak X’in sahiplendiği verileri başkalarının kullanması dava konusu edilmişti, yani başka deyişle, bir sosyal medya şirketi veri kazımadan mağdur olmuştu. Peki bu kullanıcı açısından bakıldığında ne anlama gelecek? Sosyal medya devlerine sağladığımız veriler, sadece onlar tarafından kullanılmaz ve “herkese açık” olmasından başkaları da fayda sağlayabilir mi?

12 ülkeden veri kazıma bildirisi yayınlandı

24 Ağustos’ta İngiliz Veri Koruma Otoritesi (ICO) ve başka 11 ülkenin veri koruma otoritesi birlikte bir “Veri Kazıma ve Veri Korumaya İlişkin Ortak Bildiri” yayınladı.

Bildiride, veri kazıma, “Web’den büyük miktarlarda bilgi çekmenin otomatik bir yolu” olarak tanımlandı. Bildiri, insanların çevrimiçi olarak paylaştığı bilgilerin beklemedikleri nedenlerle kullanılması, siber saldırılarda istismar edilmesi veya kimlik sahtekarlığı amacıyla kullanılması gibi potansiyel zararlardan insanları korumak için sosyal medya şirketlerine hitaben yayınlandı.

Bu anlamda, sosyal medya şirketlerinin ve diğer kamu erişimine açık kişisel bilgileri barındıran web sitelerinin işletmecilerinin (sosyal medya şirketleri ve diğer web siteleri) de sitelerinden yapılan üçüncü taraf veri çekme işlemine ilişkin veri koruma yükümlülüklerine sahip olduğuna dikkat çekildi. Bu yükümlülüklerin herkese açık veriler için de geçerli olduğu ve veri kazıma faaliyetinin “veri ihlali” anlamına geleceği belirtildi.

Görüldüğü üzere, bu bildiri, aslında sadece sosyal medya şirketleri için değil, herkese açık kişisel veri yayınlayan tüm veri sorumluları için önem arz ediyor. Aksi halde, Avrupa Veri Koruma Tüzüğü ve diğer veri koruma kanunları doğrultusunda yüksek para cezaları ile karşı karşıya kalınabilir.

Veri kazıma, kullanıcı bazında hangi riskleri doğurur?

Veri kazıma ile elde edilen bilgilerin risklerinde hepimizin aklına ilk spam ve istenmeyen reklamlar gelse de, bildiride, veri kazıma faaliyetleri ile doğabilecek kullanıcı bazındaki riskler aşağıdaki şekilde daha çeşitlendirilerek örneklendi.

  • Hedeflenmiş siber saldırılar: Örneğin, ‘hacking forumları’na gönderilen çekilen kimlik ve iletişim bilgileri, kötü niyetli aktörler tarafından hedeflenmiş sosyal mühendislik veya phishing saldırılarında kullanılabilir.
  • Kimlik hırsızlığı: Çekilen veri, sahte kredi veya kredi kartı başvurularını yapmak veya sahte sosyal medya hesapları oluşturarak kişiyi taklit etmek için kullanılabilir.
  • Bireyleri izleme, profil oluşturma ve gözetleme: Çekilen veri, yüz tanıma veri tabanlarını doldurmak ve yetkililere izinsiz erişim sağlamak için kullanılabilir.
  • İzinsiz siyasi veya istihbarat amaçları: Çekilen veri, yabancı hükümetler veya istihbarat ajansları tarafından izinsiz amaçlar için kullanılabilir.
  • İstenmeyen pazarlama veya spam: Çekilen veri, toplu istenmeyen pazarlama mesajları göndermek için kullanılabilecek iletişim bilgilerini içerebilir.

Bildiriye göre, daha genel olarak, bireyler, bilgileri bilgileri olmadan ve beklentilerine aykırı şekilde çekildiğinde kişisel bilgilerinin kontrolünü kaybederler. Örneğin, veri kazıyanlar, çekilen veriyi bir siteden diğer kişisel bilgilerle birleştirip toplayabilir ve beklenmeyen amaçlar için kullanabilirler. Bu, bireylerin sosyal medya şirketleri veya diğer web sitelerine olan güvenini zedeleyebilir ve dijital ekonomiye potansiyel olarak zararlı etkiler yapabilir. Dahası, bireyler sosyal medya hesaplarından bilgilerini silmeye karar verseler bile, veri kazıyanların muhtemelen zaten çektiği bilgileri kullanmaya ve paylaşmaya devam edecekleri ve bireylerin çevrimiçi varlıkları ve itibarları üzerindeki kontrolünü sınırlayacakları anlamına gelir.

Sosyal medya şirketleri ve internet siteleri veri kazıma ile mücadele için ne yapmalı?

Bildiride, sosyal medya şirketleri ve internet sitelerine veri kazımayı engellemek için bir dizi tavsiye verildi:

  • Veri kazıma faaliyetlerine karşı koruma, izleme ve yanıt vermek için organizasyon içinde bir ekip ve/veya belirli roller atanması.
  • Bir hesabın bir saat veya bir gün içinde diğer hesap profillerini ziyaret etme sayısını sınırlama ve anormal aktivite tespit edildiğinde erişimi sınırlama.
  • Yeni bir hesabın ne kadar hızlı ve agresif bir şekilde diğer kullanıcıları aramaya başladığını izleme. Anormal derecede yüksek aktivite tespit edilirse, bu kabul edilemez kullanımın bir işareti olabilir.
  • ‘Bot’ aktivitesindeki desenleri tanımlayarak veri kazıyıcıları tespit etmek için adımlar atma. Örneğin, aynı kimlik bilgileriyle aynı konumdan bir platforma erişim sağlanıyorsa ve bu erişimler kısa bir süre içinde gerçekleşiyorsa, bu şüpheli olabilir.
  • Botları tespit etmek için CAPTCHA gibi adımlar atma ve veri kazıma faaliyetinin tespit edildiği IP adresini engelleme.
  • Veri çekme şüphesi veya onayı durumunda, veri çekme faaliyetini yasal olarak durdurmak için uygun hukuki işlemleri alma, “dur ve vazgeç” bildirimleri gönderme, çekilen bilgilerin silinmesini talep etme, silinmenin onayını alma ve veri çekmeyi yasaklayan koşulları uygulamak için diğer hukuki işlemler.
  • Veri çekme, veri ihlali oluşturabileceği yargı alanlarında etkilenen bireyleri ve gizlilik düzenleyicilerini gerektiği gibi bilgilendirme.

Kullanıcılar, verilerinin kazınmaması için ne yapmalı?

Bildiride, sosyal medya şirketleri ve internet siteleri gerekli tedbirleri alsa bile bunun yüzde yüz koruma sağlamayacağına dikkat çekilerek kullanıcıların da aşağıda örneklenen bazı tedbirleri alması gerektiğine dikkat çekildi.

  • Sosyal medya şirketleri veya diğer web sitesi tarafından sağlanan kişisel bilgilerin nasıl paylaşıldığına dair bilgileri okuyun, gizlilik politikası dahil. Özellikle paylaşım ve açıklama konusundaki web sitesinin politikalarına odaklanmak, bireylere hangi bilgileri paylaşmayı seçecekleri konusunda bilinçli bir karar verme ve ortaya çıkan gizlilik risklerini anlama konusunda yardımcı olacaktır.
  • Paylaşılan bilgi miktarını ve türünü düşünün. Bireyler çevrimiçi olarak paylaştıkları bilgileri sınırlamayı düşünmelidirler. Özellikle bireyler, hassas bilgilerin paylaşımını sınırlamayı düşünmeli ve belirli bilgileri paylaşmanın (kişisel detaylar, hesap numaraları veya kimlik numaraları gibi) itibar kaybı, ayrımcılık, taciz, kimlik hırsızlığı veya hırsızlığa karşı risk oluşturup oluşturmayacağını düşünmelidirler.
  • Gizlilik ayarlarını anlayın ve yönetin. Bireysel kullanıcı gizlilik ayarları, çevrimiçi olarak kişisel bilgilerinin nasıl paylaşıldığı üzerindeki kontrolü artırmada yardımcı olabilir ve olmalıdır. Bu nedenle web sitesi kullanıcıları, bu ayarları kullanarak kamu erişimine açık bilgiyi sınırlamayı düşünmelidirler.
  • Eğer bireyler verilerinin hukuka aykırı veya düzgün olmayan şekilde çekilmiş olabileceğinden endişeliyse, SMC veya web sitesi ile iletişime geçebilirler ve aldıkları yanıtla memnun kalmazlarsa ilgili veri koruma otoritesine şikayette bulunabilirler. Ayrıca gizlilik ayarlarını gözden geçirmek ve çevrimiçi paylaştıkları bilgileri incelemek, değişiklikler yapmak ve gerektiğinde kişisel bilgileri kaldırmak isteyebilirler.

Sonuç olarak, ICO ve diğer 11 veri koruma otoritesi bu bildiri ile bireyleri uzun vadeli düşünmeye teşvik ettiğini belirtti ve kişileri “Bugün paylaştığı bilgiler hakkında yıllar sonra nasıl hissedeceğini düşünmeye” teşvik etti. Bildiriye göre, sosyal medya siteleri ve diğer web siteleri bilgileri silme veya gizleme araçları sunabilirler, ancak aynı bilgi dizine alınmış veya kazınmışsa ve daha sonra paylaşılmışsa, internet üzerinde sonsuza kadar kalabilir.

Bildirinin orijinal versiyonuna buradan ulaşabilirsiniz.

Veri kazımanın engellenmesi yapay zeka üretkenliğini bitirecek mi?

Bildiride ve açılan davalarda tartışılan veri kazıma, aslında yapay zekalı ürünlerin öğrenme yapmasında özellikle son dönemde sıklıkla kullanılıyor. Aslında herkese açık yayınlanan verilerin de, hem veri koruma hem de telif kanunları ile koruma altında olduğunu biliyoruz. Ancak, bir yandan da, yapay zeka geliştiricileri,  bu durumun, yapay zekanın üretkenliğine engel olacağı, inovasyonun engelleyeceğini öne sürüyor. Buradan yola çıkarak, hukuk ve teknolojinin çatışmasını bu alanda da daha çok tartışmamız gerekecek.

(Yazıyla ilgili görüş ve düşüncelerinizi [email protected] adresine göndererek yazarımızla paylaşabilirsiniz.)

2005 yılında Marmara Üniversitesi Hukuk Fakültesi’nden mezun olmuş ve Avukatlık stajının ardından 2006 yılında Ankara Barosu’na kaydolmuştur. Gazi Üniversitesi’nde yüksek lisans yapmıştır. Bahçeşehir Üniversitesi’nde Dijital ve Sosyal Medya Pazarlama Yönetimi Eğitimi, Ankara Üniversitesi Bankacılık ve Ticaret Hukuku Enstitüsü’nde hukuk çevirisi eğitimi almıştır. Türk Patent ve Marka Kurumu’na kayıtlı marka ve patent vekilidir. Sicile kayıtlı Arabulucudur. Başkent Üniversitesi’nde Bilişim Hukuku ve Ankara Üniversitesi’nde Mesleki Bilgisayar-UYAP, derslerinde öğretim görevlisidir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Baş Denetçisidir. Uzun yıllar Ankara Barosu Bilişim Kurulu ve Bilgi İşlem Merkezi üyeliği yapmıştır. Ankara Barosu Bilişim ve Hukuk Dergisi ile Ankara Bar Review dergilerinde editor olarak gorev almıştır. 2018 yılında Dijital Reklamcılığın Teknik, Hukuki ve Vergisel Boyutu isimli kitabını yayınlamıştır. Avukatlığın yanı sıra, LegalTalks Eğitim Portalının ve LegalTalks Anonim Şirketi’nin kurucusu ve koordinatörüdür. İngilizce ve Yunanca dillerini bilmektedir.
Dijital Gündem

BEDAVA
İNCELE