Adalet Bakanı Akın Gürlek yeni sosyal medya düzenlemesinin detaylarını paylaştı. İletişim Başkanlığı, Bilgi Teknolojileri ve İletişim Kurumu ve Siber Güvenlik Başkanlığı ile görüşmelerin tamamlandığı ve taslağın hazırlandığı bildiriliyor. Hazırlanan taslağa göre; Türkiye’den günlük erişimi 1 milyondan fazla olan Instagram, YouTube, TikTok ve X gibi dev platformlara girişlerde artık e-Devlet üzerinden kimlik doğrulaması zorunlu olacak.
“Dünyada bir ilk” sözleriyle –gerçekten de ilk, çünkü başka ülkeler yapmaktan kaçınıyor— tanıtılan düzenlemeye göre, kullanıcılar hesap açarken sosyal medya platformu üzerinden doğrudan e-Devlet sistemine yönlendirilecek. E-Devlet, kişinin kimlik bilgilerini platforma aktarmadan, sadece doğrulamanın yapıldığını teyit eden kişiye özel bir “anahtar” üretecek.
Bakan Gürlek, bu adımla birlikte kullanıcıların manipülasyona uğramadan özgürce ifadelerini kullanabileceğini, suçluların ise “görünmez” olamadığı daha şeffaf bir dijital dünyaya kavuşulacağını iddia ediyor ve “Dijital kaos büyüyor, bu düzenleme artık bir zorunluluk” diyor.
Düzenlemenin hayata geçirilmesi için 9 aylık bir süreç tahmin ediliyor. İlk 3 ayda yönetmelik ve teknik altyapı hazırlanacak, ikinci 3 ayda platformlar sistemlerini kuracak, son 3 ayda ise mevcut kullanıcıların sisteme entegrasyonu tamamlanacak.
Kimlik doğrulama yükümlülüğünü yerine getirmeyen sosyal ağ sağlayıcılar için kademeli ve ağır yaptırımlar planlanıyor. Küresel cironun yüzde 3’üne kadar idari para cezası, reklam yasağı, internet trafiği bant genişliğinin yüzde 50’den yüzde 90’a kadar daraltılması (bant daraltma) bunların başında geliyor. Ayrıca platformların, adli mercilerce talep edilmesi durumunda, katalog suçlara konu içerikleri yayan hesapların gerçek kimlik bilgilerini en geç 30 gün içinde sağlaması zorunlu olacak (zaten kimliklerle girilmiyor mu?).
Amaç meşru, araç orantılı mı?
İnternetin hayatımıza gitgide daha derinden nüfuz ettiği günümüzde, üzerinde yer alan kötü niyetli çok sayıda insan olduğu da maalesef doğru. Bu nedenle anne-babaların endişeleri var. Çünkü, neyin ne olduğunu henüz anlamlandıramamış, henüz fikirleri tam gelişmemiş olan gençlerin ya da çocukların bu ortamda zehirlendiğine dair ortaya bazı durum veya iddialar çıktı ve ebeveynler de kontrol istemeye başladı. Bu taslakların hazırlanması sırasında görüştüğüm bazı milletvekilleri de kendilerine anne-babalardan baskı olduğunu söylüyor.
Ancak Türkiye’de tartışılan model, internete (özellikle sosyal medyaya) erişimde e-Devlet Kapısı üzerinden yaş/kimlik doğrulaması yapılmasını öngörüyor. Gerekçe net: 15 yaş altı çocukları zararlı içerikten korumak. Ama araç ile amaç arasındaki mesafe iyi kurulmazsa, ortaya çıkan sistem ifade özgürlüğü, siber güvenlik ve ekonomi açısından ciddi yan etkiler üretir.
Yani soru şu; amaç meşru, araç orantılı mı? Çocukların korunması evrensel bir kamu yararıdır. Birçok ülke de yaş doğrulama yollarını tartışıyor. Ancak kritik soru, tüm kullanıcıları kapsayan kimlik temelli erişim, çocukları korumak için gerekli ve orantılı mı? Çocuk koruma hedefi giderek amaçlı müdahaleye (kısıtlamaya) dönüşüyor. Tüm ülke nüfusunun kimliklerini kontrol altına almak giderek ifade özgürlüğünü yok ediyor ve siber güvenlik riski yaratabilir. Sonuç olarak bunun daha kolay yolları var.
Siber güvenlik riski
Kimlik doğrulamayla sosyal medyaya girmenin, yani e-Devlet Kapısı gibi merkezi bir kapının kullanılması, teknik olarak şu riskleri doğurur:
- Tekil zafiyet noktası (Single Point of Failure): Tüm erişim akışı aynı kapıya dayanır ve hizmet kesintisi durumunda geniş çaplı erişim problemi yaratır.
- Yüksek değerli veri havuzu: Kimlik + davranış (kim, ne zaman, hangi platforma giriyor). Sızıntı durumunda geri döndürülemez zarar oluşur.
- Profil çıkarımı ve izleme: Zaman, içerik, platform ilişkisi üzerinden davranışsal profil üretilebilir. Bunu Minnesota’daki göçmen avında ve Gazze saldırılarında gördük. İnsanların sosyal medya davranışları ile hedeflenmelerinin meydana gelmeye başladığı anlaşılıyor. Sosyal medya hesaplarını kimlik numaralarına bağlamak, daha çok bilginin verilmesi anlamına gelir.
- Uluslararası uyarılar: Birçok ülkede bu model tartışılırken, örneğin 2019’da İngiliz Siber Güvenlik Merkezi (National Cyber Security Centre) yaş doğrulama çözümleri konusunda, merkezi veri toplamanın riskleri, kötüye kullanım ve ihlal ihtimalleri uyarısı yapmıştı. Bunlara dikkat ediliyor mu?
Yani, çocukların güvenliği için kurulan sistem, ülkenin en büyük güvenlik açığına dönüşebilir.
Anonimlik ve ifade özgürlüğü: Çocuklar korunurken, yetişkinlere sansür mü geliyor?
Yaş doğrulama, pratikte çoğu zaman kimlik doğrulamaya genişler. Bu durumda, anonim kalmak isteyen yetişkin kullanıcılar da gerçek kimlikle konuşmaya zorlanır. Bu da “Chilling effect” (soğutucu etki) oluşturur. Yani eleştiri azalır, politik ve hassas konular konuşulmaz olur, gazetecilik ve ifşa zayıflar. Çocukları koruma hedefi, farkında olmadan yetişkinlerin ifade alanını daraltabilir. Acaba istenen tam da bu mudur?
Yanı sıra kültürümüzde anonimlik ve mahlas geleneği vardır. Dijital üretim (mizah, eleştiri, deneysel yazı) büyük ölçüde kimlik esnekliğine dayanır. Kimlik zorunluluğu ise risk almayı azaltır, yeni sesleri bastırır, kültürel üretimi tek tipleştirir. Yaratıcılık, çoğu zaman görünmeden deneme yapma cesaretiyle başlar.
Platformlar küresel, ulusal kimlik nasıl çalışacak?
X, Meta gibi platformlar küreseldir. Yani bunlardan Türkiye’ye özgü (ve kendi ifadeleri ile dünyada ilk) model yapılırken, şunları sorgulayalım;
* Türkiye’deki kullanıcılar ayrı bir doğrulama katmanına mı alınacak?
* Yurt dışındaki Türk kullanıcılar bu kurallara tabi olmayacak mı?
* İçerik akışı asimetrik mi olacak? Yani dünyadaki her türlü kullanıcı herşey derken, biz mesela İsrail için yorum yapamayacak mıyız?
Örnek sorunlara bakalım: Mesela İngiltere’deki yabancı kullanıcı özgürce yazarken Türkiye’deki kullanıcı nasıl davranacak? Türkiye’deki içerik küresel görünürlükte azalabilir, Platformlar uyum sağlamazsa pazardan çekilme riski oluşur. İsrail aleyhine tweet atabilir miyiz? Sonuç, dijital parçalanma (splinternet) anlamına gelir.
Erişimin engellenmesi riski
Kimlik bir erişim anahtarıdır. Bu teknik olarak belirli kişilerin platformlara erişiminin idari olarak sınırlandırılması anlamına gelebilir. Yani hesap değil, erişimin kendisi kontrol edilebilir hale gelir. Bu noktada kritik olan, bağımsız yargı denetimi var mı ya da şeffaflık ve itiraz mekanizması nasıl işleyecek?
Hangi ülkede ne uygulama var?
Öncelikle belirtelim; hiçbir büyük demokratik ülkede, internetin geneline kimlik numarası benzeri zorunlu giriş yok. Zaten kendileri de “Dünyada ilk” diyerek bunu kastediyorlar. Buna karşılık yaş doğrulama farklı ve daha sınırlı yöntemlerle yapılıyor. Birkaç örnek inceleyelim;
* Avrupa: “Kimlik değil, doğrulama” modeli: Platformun kendisinin içinde yaş doğrulama yapılıyor. Selfie + yapay zekâ yaş tahmini ya da kredi kartı kontrolü ve telefon numarası ile. Kimlik numarası ile uygulama yok
* İngiltere: Online Safety Act kapsamında, pornografi ve zararlı içerik sitelerinde yaş doğrulama zorunlu durumda. Ama kullanılan yöntem, kredi kartı ve yaş tahmini AI (selfie). Üçüncü parti doğrulama servisleri de kullanılabiliyor. Ama devlet kimliğiyle giriş zorunlu değil ve merkezi veri toplama yok. Çünkü İngiliz Siber Güvenlik Merkezi (National Cyber Security Centre) bu tür merkezi sistemlerin riskli olduğunu açıkça söylemiş
* Fransa: Porno sitelerine yaş doğrulama zorunlu ama anonim doğrulama hedefleniyor.
* ABD: Parçalı ve eyalet bazlı. Bazı eyaletlerde, porno sitelerine girişte yaş doğrulama isteniyor. Bazıları ID istiyor ama internete giriş için değil, siteye özel uygulama var.
* Güney Kore: Denedi ve vazgeçti. 2007’de gerçek isim sistemi denendi. 2012’de sorunları görüldü ve iptal edildi. En önemlisi siber güvenlik riskiydi ama zaten uygulanamaz olduğu görüldü. Kimlik zorunluluğu getirilmesi herhangi bir problemi çözmedi.
Sonuç olarak, dünya çocukları korumaya çalışıyor ama bunu yaparken yetişkinlerin mahremiyetine saygı gösteriyor. Dünyada yaş doğrulama yayılıyor ama kimlik kullanılmıyor? Çünkü:
1. Veri riski: Merkezi veri tek noktada büyük hedef yaratılmış oluyor.
2. Hukuki risk: İfade özgürlüğü
3. Teknik sorun: Kolay aşılabilir
4. Ekonomik risk: Platformlar çekilebilir
Çocuklar gerçekten korunur mu?
Çocukları korumak için uzun yıllardan bu yana çeşitli yöntemler var. Bunların başında 2011’den itibaren uygulamaya konulan ve ülkemizdeki tüm operatörlerin internet hattı sattığında birlikte verdiği “Güvenli İnternet” yani “Aile Koruması” paketleri var.
Mesela 2012 yılında BTK, 1.yılını kutlarken, 3.000 ailenin bunu kullandığını söylemişti. Sonraki yıllarda operatörler bu paketleri “fabrika ayarı” olarak vermeye başladılar. Peki, şu anda bu paketlerin işe yaramadığını mı görüyoruz, ya da bu paketlere rağmen mi, çocuklara yönelik önlem adı altında kimlikli internet konuşuluyor?
Diğer yandan, internetin ve cep telefonlarının ilk günlerinden bu yana gelen “Ebeveyn Kontrolü (Parental Control)” başlığı altında pek çok yazılım (uygulama) satılıyor. Diyelim ki, 10-15 yaş grubundaki çocuğunuza telefon ya da bilgisayar aldınız. Bu uygulamaları, daha ona vermeden kurdurduğunuz takdirde, sonrasında internette ne yaptığını birebir izleme şansınız olabilir. Ufak bir arama ile pek çok uygulamaya ulaşırsınız.
Yanı sıra platformların kendilerinin de ebeveyn denetimi düzenlemeleri var. Bu konuda pek çok ülkede şikayet olduğu için platformlar da önlem alıyor. Çünkü bizdeki “dünyada ilk” diye sunulan düzenlemenin aksine, dünyadaki demokrasi olan tüm ülkeler duruma “platform sorumluluğu” olarak bakıyorlar.
Ama bu kadar kontrol, uygulama olduğu halde, çocuklar zarar görüyorsa, burada başta devletin (Aile Bakanlığı, BTK, Gençlik ve Spor Bakanlığı vs), sonra yerel yönetimlerin, anne ve babaların, eğitim kurumlarının ve de STK’ların ağır ihmali olduğu anlaşılıyor. Düşünün, aileler çocuklarını dışarı bırakırken kontrol etmiyor mu? Parka, bahçeye yalnız yolluyor mu? Ya da okula bile servis ile gönderiyor, ama internette “saldım çayıra, mevlam kayıra” mı diyorlar?
Evet çocuklar teknik olarak daha hızlı adapte olabilir Zararlı içerik platform dışına kayabilir (Telegram, dark web vb.). VPN, proxy gibi araçlarla sistem kolay aşılabilir –ki mevcut düzenlemeyi de aşacaklarına eminim–. Ama bütün bunlara karşı anne-babalar ve öğretmenler dijital okuryazar olsalar; Facebook’u öğrendikleri gibi, yeni çıkan akıllı telefonları öğrendikleri gibi, çocuklarını korumayı da öğrenseler, bütün bunlara ihtiyaç kalır mı?
Başka çözümler var
Dediğimiz gibi bugüne gelene kadar pek çok araç var. Bu araçları devletin çeşitli kurumları ve eğitim kurumları aracılığı ile anne-babalara ve öğretmenlere, daha sonra da çocuklara öğretmeleri gerekirdi. Sivil toplum örgütlerine de aynı şekilde görev düşüyor.
Ama madem bu noktaya geldik, duruma daha az zarar verecek başka açılardan bakalım; yani araç değiştirilebilir, platform bazlı yaş doğrulama (yerel değil, servis içinde), ebeveyn kontrol sistemleri, içerik filtreleme (cihaz/hesap seviyesinde), dijital okuryazarlık programları, hedefli yargı müdahaleleri yapılabilir.
Ana prensip, “herkesi kimliklendirmek” yerine riskli alanı yönetmektir. İyi niyetle kurulan sistemler, kötü tasarlanırsa en ağır sonuçları doğurur. Tamam, çocukları korumak gerekir. Ama bunu yaparken toplumun tamamını izlenebilir ve kontrol edilebilir hale getirmek çözüm değil; yeni bir problem üretir. Terazinin tek kefesine bakılırsa, yalnızca güvenlik değil, ifade, yaratıcılık ve güven duygusu da kaybedilir.
Bunun yerine platform içi yaş doğrulama (varsayılan katman) yapılabilir. Yani TikTok, Instagram, YouTube gibi platformlar;
* Selfie + yapay zekâ ile yaş tahmini
* Davranış analizi (kullanım şekli)
* Telefon hattı / operatör doğrulaması
* Kredi kartı (yetişkin teyidi için opsiyonel) kullanabilirler. Platformlar zaten bu altyapıyı geliştiriyor.
Özetle Türkiye için doğru model, “Çocuğu koruyan, yetişkini izlemeyen sistem” olmalıdır.