Tuhaf bir çağdayız. Hükümetler sanki, artık yabancı casuslardan daha fazla kendi vatandaşlarını izlemek istiyorlar. "Eh 'içimizdeki İrlandalılar' türü insanları izlemek istediklerinden" gibi bir cevap düşülse de, tam ikna edici olmaz. Çünkü o zaman "makul şüphe" üzerine ve "mahkeme kararı" ile yapılmalıydı. Ama durum bu değil. Aksine hukuk içermeyen, bol "milli güvenlik", "milli menfaat" soslu bir "kitlesel gözetim" devrindeyiz. Hemen hemen her ülkede.

Farkında olmasalar da, günümüz teknoloji kullanıcılarının en önemli sorunu bu (bu yazıda reklam için toplanan verilerden bahsetmiyoruz. O da "seçim manipülasyonu" dahil ayrı bir sorun).

Bugün size Avrupa İnsan Hakları Mahkemesinin (AİHM) bu konuda 25 Mayıs'ta yayımladığı önemli bir temyiz kararından bahsedeceğim.

AİHM, GCHQ'nun online verilere bakmasının mahremiyeti ihlal ettiği kararına vardı

Avrupa İnsan Hakları Mahkemesi'nin temyize bakan 17 yargıçtan oluşan Büyük Dairesi, İngiltere Güvenlik ve İstihbarat Dairesi'nin (GCHQ) kitlesel veri toplama ve izleme programının, bu uygulamaya hedef olanların özel ve aile yaşamına saygı hakkını ihlal ettiği yolunda daha önce 2018 yılında AİHM'in ilgili dairesinin verdiği. "BİG BROTHER" ihlal kararını onadı[1].

AİHM kararı için, 2013 yılında "kitlesel gözetime" karşı çıkan Edward Snowden'in* sızdırdığı belgeleri ilk yayınlayan İngiliz Guardian gazetesi şöyle bir yorum yapıyor:

"Büyük daire kararı, Edward Snowden'ın milyonlarca kişinin özel iletişimiyle ilgili verilerin gizlice dinleme yoluyla engellenmesi, işlenmesi ve depolanmasıyla ilgili ifşaatların ardından Big Brother Watch ve diğerleri tarafından 2013 yılında GCHQ'nun çevrimiçi iletişimi toplu olarak ele geçirmesine yasal bir meydan okumanın sonucudur."

AİHM, verilerin toplu dinlenmesinin ifade özgürlüğünü ihlal ettiğine ve gazetecilik materyallerini de koruyamadığına karar verdi

Yargıçlar ayrıca toplu dinleme rejiminin ifade özgürlüğü hakkını ihlal ettiğini ve gizli gazetecilik materyalleri için yetersiz koruma içerdiğini tespit ettiler. Bunun durdurulması kararı verdiler.

Bir alt mahkemenin 2018 kararının unsurlarını doğrulayan kararda, yargıçlar rejimde üç "temel eksiklik" tespit ettiklerini söylediler. Bunlar şöyle sıralandı:

1. Toplu müdahaleyi, "yürütmeden bağımsız" bir organ yerine dışişleri bakanlığının yetkilendirilmiş olması,
2. İnceleme için sorumlu olacak iletişim türlerini tanımlayan arama terimleri kategorilerinin, arama emri başvurusuna dahil edilmediği
3. Bir bireye bağlı arama terimlerinin (yani bir e-posta adresi gibi belirli tanımlayıcıların) önceden dahili yetkilendirmeye tabi olmadığı

Kararda şöyle denildi:

"Toplu dinleme gücünün kötüye kullanılması riskini en aza indirmek için mahkeme, sürecin 'uçtan uca önlemlere' tabi olması gerektiğini düşünmektedir. Yani yerel düzeyde bir değerlendirme yapılmalıdır. Alınan önlemlerin gerekliliği ve orantılılığı, sürecin her aşamasında yapılır; operasyonun amacı ve kapsamı tanımlanırken, toplu müdahale, başlangıçta bağımsız yetkilendirmeye tabi olmalıdır ve operasyonun denetime ve bağımsız ex facto (geriye dönük) incelemeye tabi olması gereklidir."

Bir İngiliz hükümet sözcüsü şunları söyledi:

"Birleşik Krallık, dünyanın herhangi bir yerinde kişisel verilerin ve mahremiyetin korunması için en sağlam ve şeffaf gözetim rejimlerinden birine sahiptir. Bu benzeri görülmemiş şeffaflık, yasanın hem gizliliği hem de güvenliği nasıl koruyabileceği konusunda yeni bir uluslararası ölçüt oluştururken, aynı zamanda gelişen bir tehdit resmine dinamik olarak yanıt vermeye devam ediyor."

2001'de başlayan "güvenlik önce" eğilimini ilk sorgulayan 2013 yılında Snowden oldu

Dünyada hemen her ülkede, 11 Eylül'den beri sorulan bir soru var; "Güvenlik mi, mahremiyet mi?" Bu sorunun cevabı, son 20 yılımızı kontrol altına almış durumda.

Bu soruyu, genellikle ülkelerin "güvenlik" ile ilgili teşkilatları soruyor ve cevabın "güvenlik" olması gerektiği konusunda ısrar ediyorlar. Bunun karşılığında "mahremiyet"ten vazgeçmemiz gerekiyor. Halka yani bizlere sürekli "bu" empoze ediliyor.

"Güvenlik mi, mahremiyet mi?" çelişkisine en yüksek sesle karşı çıkan Edward Snowden oldu. 2013'te, ABD'nin NSA gizli servisinin "makul şüphe" ve "mahkeme kararı" olmaksızın 9 büyük Amerikalı internet platformundaki herkesin verilerine baktığını gösterdi [2].

Snowden'in yaptığı şey aşağıdaki videoda anlatılıyor. İnternetin babalarından birisi olan Tim Berners-Lee'nin Snowden için "kahraman" dediğini (27.dakikada) görebilirsiniz. Ben de aynı düşüncedeyim.

Snowden bize, herkese "demokrasi dersi" veren ABD hükümetinin dünyanın en çok kullanılan internet platformunu kullanan kişilerin verilerine "hukuk" olmaksızın ulaşabildiğini gösterdi. Bu aynı zamanda "hedeflenen" insanların mahrem konularını kullanarak birtakım işler yapılabileceğini gösteren bir durum.

Avrupa Birliği 2013'deki bu olaya karşı, önce 2015 yılında ABD'nin Avrupalı veriler için güvenilir olduğuna dair prensip anlaşması olan "Güvenli Liman"[3] anlaşmasını iptal ederek cevap verdi, ki o zamandan bu yana ABD bu güvenli liman konusunu geri almaya çalışıyor [4].

En son şubat sonunda Roma'da G20 toplantısı sırasında ABD Hazine Bakanı Janet Yellen, ABD'nin "internet vergisi" konusuna yaklaşım göstereceğini açıklarken, analistler bunun OECD haziran toplantısında "Güvenli Liman" talebinin tartışılmasına kolaylık getireceği görüşünde[5]. Güvenli Liman anlaşması olmadan Avrupa'ya ihracat yapmak bir hayli zor.

Hatırlanacağı üzere Trump yönetimi, Türkiye dahil 10 ülke için "internet vergisi" koyduğu için soruşturma açmış ve tehditte bulunmuştu[6].

Avrupa'nın bu konudaki diğer çalışması da 2016 yılında yürürlüğe giren GDPR ismini taşıyan "Kişisel Verilerin Korunması" kanunu [7].

Bizde durum

Bizde de durum parlak sayılmaz. 2016'da 6698 sayılı "Kişisel Verileri Koruma" kanunu yürürlüğe girdi. Soru şu; bu kanuna göre verilerimizi koruması gereken devlet acaba ne kadar koruyor?

Türk Telekom bildiğiniz gibi -2004 yılında ilan edilen "Telekomda Serbestleşme"ye yani başka operatörlerin altyapı kurabilme hakkına rağmen- halen şebekenin büyük bir kısmına sahip. Dolayısıyla Türk Telekom şebekesine konulan "Deep Packet Inspection (DPI)" yazılımı [8], herkesi dinlemeye, hangi sitelere baktığını görmeye filan yarar. 2010'dan önce Phorm, sonra FinFisher marka programlarının kurulduğunu gördük[9][10][11][12].

Bu arada hükümetlere casusluk yazılımı satmakla (mesela Suudilere Kaşıkçı'yı takip edecek yazılım satmışlar) ve WhatsApp'ı hacklemekle meşhur NSOGorup'un "Pegasus" casusluk yazılımının en yaygın olduğu ülkelerden birisinin Türkiye olduğunu Kanada'daki CitizenLab'in raporundan görüyoruz. Bu yazılım phishing methodları yani trojan ile cihazlarınıza sızıyor ve sesli ya da yazılımı iletişiminizi izliyor[13].

Yetmedi, BTK 2013 yılında "401 sayılı karar"la tüm operatörlerden bütün trafiğin kendisine teslim edilmesini istedi. Bu Edward Snowden'in ortaya koyduğu olayın aynısı [14].

Ama bu konuda doğrudan kişilere yönelik erişim takibi talebinin arttığına dair de duyumlarımız var.

Bu arada 3 büyük operatörün üzerindeki tüm kullanıcı iletişiminin zaten kontrol altında olduğunu söyleyelim.

Ayrıca "Türkiye'nin verisi Türkiye'de kalmalı" denilirken, bu yazılımların herbirinin yabancı menşeli olduğunu ve genellikle de bu tür DPI yazılımlarının istihbarat örgütleri menşeili geliştirilmiş yazılımlar olduğunu da hatırlatalım.

* Bu bölümde, yazının ilk halinde "CIA eski ajanı Snowden" demiştik. Sosyolog, akademisyen Doç. Dr. Semra Somersan'ın kendisinin "Whistblower" ya da Türkçede "oyunbozan" olarak tanımlamamızın daha doğru olacağı uyarısı üzerine ilgili kısmı değiştirdik.

[1] CASE OF BIG BROTHER WATCH AND OTHERS v. THE UNITED KINGDOM

[2] ABD'de FBI ve NSA, 9 İnternet Firmalarının Sunucularından İnsanlar Hakkında Bilgi Topluyormuş

[3] Wiki-Turk : Güvenli Liman (Safe Harbour)

[4] Avrupa Adalet Divanı ‘Safe Harbour' Anlaşmasını Geçersiz İlan Etti; Şimdi Microsoft, Facebook, Google Ne Yapacak?

[5] ABD, Sayısal (Dijital) Vergi Konusunu Engellemekten Vazgeçmiş Gözüküyor

[6] ABD, Dijital Vergi Konusunda Hindistan, İtalya ve Türkiye'yi Eleştirdi

[7] Avrupa Birliği Kişisel Veriler Regülasyonu Onay Aldı

[8] Deep Packet Inspection

[9] Casusluk Yazılımı FinFisher'ın Komuta Kontrol Sunucularından Birisinin Türkiye'de Olduğu İddia Edilmekte

[10] CHP Finfisher Konusunda Suç Duyurusunda Bulundu

[11] Torba Yasada Orwell Maddesi : İnternet'e Büyük Gözaltı ve Kişisel Mahremiyete Büyük İhlal

[12] Alternatif Bilişim Derneği TTnet ve Phorm Konusunda, Suç Duyurusunda Bulundu

[13] Kaşıkçı'yı Takip Eden Pegasus Yazılımının En Yaygın Olduğu Ülkelerden Birisi Türkiye

[14] BTK'dan Mahkeme Kararı Olmadan Dinleme Yapmaya Yönelik Karar (18 Temmuz ve 401 Sayılı Karar)