Senatör Wyden’ın mektubu, NSA’in veri brokerlarından Amerikalıların verilerini satın aldığını doğruluyor
(techdirt.com)- Senatör Ron Wyden’ın kamuoyuna açıkladığı belgeler, NSA’in internet kayıtları satın aldığını ortaya koydu; bu kayıtlar kullanıcıların hangi web sitelerini ziyaret ettiğini ve hangi uygulamaları kullandığını açığa çıkarabilir
- Wyden, istihbarat kurumlarının veri brokerlarından Amerikalıların kişisel verilerini satın alma uygulamasına son verilmesini ve yalnızca FTC standartlarını karşılayan yasal veri satışlarına izin verilmesini talep etti
- NSA, ABD içindeki cep telefonlarından toplanan konum verilerini satın alıp kullandığını reddetti, ancak yurt içi internet iletişimi ile Amerikan IP’lerini içeren yurt dışı iletişime ait ticari netflow içerik dışı verilerini satın alıp kullandığını kabul etti
- Bu bilgilerin kamuya açıklanması neredeyse 3 yıl sürdü ve ancak Wyden, NSA direktör adayı atamasını bloke ettikten sonra açıklama onayı verildi
- Veri brokerları üzerinden hükümetin kişisel veri satın alması, mahkeme ve arama emri gerekliliklerini dolanabilir; bu da Amerikalıların mahremiyetini ve iç denetimli gözetim kontrollerini zayıflatır
NSA’in internet kayıtları satın almasının doğrulanması
- Senatör Ron Wyden’ın açıkladığı belgeler, NSA’in Amerikalıların internet kayıtlarını satın aldığını doğruluyor
- Bu internet kayıtları, kullanıcıların hangi web sitelerini ziyaret ettiğini ve hangi uygulamaları kullandığını ortaya çıkarabilir
- Wyden, Ulusal İstihbarat Direktörü Avril Haines’e gönderdiği mektupta, istihbarat kurumlarının veri brokerlarından yasa dışı biçimde elde edilmiş Amerikalıların kişisel verilerini satın almasını engelleyecek bir politika benimsenmesini talep etti
- Wyden, “ABD hükümeti, Amerikalıların mahremiyetini açıkça ihlal eden gölgeli bir endüstriyi finanse etmemeli ve ona meşruiyet kazandırmamalıdır” dedi
Veri brokerlarının yarattığı arama emri etrafından dolaşma yolu
- Hükümetin veri brokerlarından yurt içi verileri satın alması zaten defalarca yaşandı
- Federal kurumlar ve yerel kolluk kuvvetleri, özel şirketlerin sağladığı yurt içi verileri satın aldı; bu da Yüksek Mahkeme’nin koyduğu sınırlamaları aşan bir mekanizma olarak işleyebilir
- Hükümet, Third Party Doctrine ilkesini uygulayabileceğini savunuyor, ancak birçok uygulama ve hizmet kullanıcıların yeterince farkında olmadığı bir durumda veri topluyor
- Basit görünen bir mobil oyun bile telefonun konumunu sorgulayıp bunu belirli bir cihaz kimliğiyle ilişkilendirebilir
- Bu tür toplama işlemleri kullanım şartlarının derinliklerinde gizlenmiş olabilir
Wyden’ın açıklama süreci ve talepleri
- Wyden, NSA’in yurt içi internet metadata satın alımına ilişkin bilgilerin açıklanması için onay almanın neredeyse 3 yıl sürdüğünü söyledi
- Savunma Bakanlığı, Mart 2021’de Wyden’ın ekibinin Amerikalıların kişisel verilerini satın alan Savunma Bakanlığı birimlerinin tespit edilmesine yönelik talebine bilgi sağladı
- Ardından Mayıs 2021’de Wyden, gizli olmayan bilgilerin açıklanması için onay istedi ancak Savunma Bakanlığı bunu reddetti
- Ancak Wyden, NSA direktör adayının atamasını bloke ettikten sonra söz konusu bilginin açıklanmasına onay verildi
- Wyden’ın mektubu, istihbarat topluluğundaki (IC) her birimden şunları talep ediyor
- Veri brokerlarından yapılan veri satın alımlarına yönelik soruşturma başlatılması
- Veri brokerlarının iş uygulamalarına ilişkin FTC soruşturması
- Veri brokerlarından satın alınan kişisel verilerin listesinin sunulması
NSA’in reddettikleri ve kabul ettikleri
- NSA, 2023’te Wyden’a gönderdiği mektupta, ABD içinde kullanıldığı bilinen cep telefonlarından toplanan konum verilerini, mahkeme emri olsun ya da olmasın, satın almadığını veya kullanmadığını belirtti
- Bu ret yalnızca konum verileriyle sınırlı; Wyden’ın kaygı duyduğu internet kayıtlarının tamamının satın alınmadığı anlamına gelmiyor
- Aynı mektupta NSA, ticari olarak erişilebilen netflow içerik dışı verilerini satın alıp kullandığını kabul etti
- Tamamen yurt içi internet iletişimiyle ilgili veriler
- Bir tarafı Amerikan internet protokol adresi, diğer tarafı ise yurt dışında olan internet iletişimine ilişkin veriler
- Bu kabul, NSA’in yurt içi gözetim kapsamının veri brokerı pazarı üzerinden genişleyebileceğini gösteriyor
Section 702 ve yurt içi gözetim endişeleri
- NSA, Section 702 kapsamında yapılan toplama faaliyetleriyle Amerikalıların veri ve iletişimlerini “istemeden” süpürebilen bir kurum olarak zaten biliniyor
- FBI’ın Section 702’yi yurt içi gözetim için tekrar tekrar kötüye kullandığı bağlamı da birlikte anılıyor
- Bu durumda NSA’in veri brokerlarından ayrıca veri satın almasına neden ihtiyaç duyduğu sorusu ortada kalıyor
- Eleştirinin odağı, NSA’in kanıtlanmış bir ulusal güvenlik ihtiyacı nedeniyle değil, toplayabileceği yeni bir yol ortaya çıktığı için daha fazla veri topluyor gibi görünmesi
- Veri brokerları üzerinden Amerikalı verilerinin satın alınması hükümetin rutin işi haline gelirse, gözetim yetkileri üzerindeki gerçek denetim daha da zorlaşır
1 yorum
Hacker News yorumları
Hükümetin yeterli gerekçe olmadan vatandaş bilgilerine erişmesi, satın alma yoluyla olsa bile, Dördüncü Değişiklik’in lafzına olmasa da ruhuna aykırı görünüyor. Günümüzde “arama ve el koyma” olmadan da bir kişi hakkında devasa miktarda bilgi toplanabildiği için, Dördüncü Değişiklik’i çağa uyarlayacak bir anayasa değişikliğine ihtiyaç var gibi. Veri toplama çağımızın en büyük meselelerinden biri; ama en azından hükümetin vergilerimiz ya da borçlarımızla haklarımızı yasal yoldan dolanmaması gerektiği konusunda çoğu kişi hemfikir olur sanırım.
Kurumların ticari olarak temin edilebilen verileri satın almasının neden bu kadar daha tartışmalı olduğunu pek anlamıyorum. Asıl daha büyük sorun, bu verilerin en başta toplanması ve parasını veren herkese sunulması gerçeği değil mi?
Makalede NSA için “ülke içi gözetim yapacak yeterli kapasitesi varsa ve bunu gerçekten de sık sık yapıyorsa, neden kendi kitlesel toplama ağından daha meşru biçimde elde edebileceği şeyi satın alıp toplama tekniklerinin bir kısmının ifşa olma riskini alsın?” denmiş; ama NSA’in, para ve bilgi takası tekniğini düşmanların öğrenmesinden endişe etmesine gerek olduğunu sanmıyorum. Veri aracılarını hacklemek, özgün tekniklerin ifşa olma ihtimalini daha çok artırır.
ABD’de de AB benzeri bir mahremiyet koruması olsaydı keşke. AB’nin sistemi kusursuz değil ama yine de bizde de olmasını isterdim. Anladığım kadarıyla Senatör Chuck Schumer tek başına, komitede anlamlı bir mahremiyet koruma tasarısını engelliyor. Tek kişilik bir mahremiyet yıkım topu gibi görünüyor. Bir yerde iki kızının Meta ve Microsoft gibi şirketlerde yüksek maaşlı işleri olduğunu okumuştum. Asıl mesele şu: mahremiyet koruması daha güçlü olursa şirketlerin satabileceği bilgi de azalır.
Vatandaşlık haklarına zarar veren yönleri olsa bile, kurumların ticari veri aracılarını hiç izlemeden bırakması mümkün değil. Çünkü en azından ülke içindeki suç faaliyetleri riskini tahmin edip önleyebilmeleri gerekir.
Sorun, bunun NSA olması NSA, ABD vatandaşlarını soruşturan bir kurum değil; yurt dışı sinyal istihbaratından sorumlu olmalı. FBI ya da CIA böyle bir şey yapsa bunu beklemek gayet mümkün olurdu; bunun yanlış olup olmadığından da emin değilim. En azından reklam amacıyla veri satın alan diğer aktörlerden daha yanlış olduğunu söylemek zor
Başta veri aracılarının tüm bu bilgileri satabiliyor olması değil de yalnızca bu olaya öfkelenmeyi hayal etmek zor
Verinin gerçek dünyadaki belirli bir insanla nasıl ilişkilendirildiğini pek anlayamıyorum Arabamı örnek alırsak, araba benim ama sen kullanırken hız yaparsan hız cezasını sen yersin. Veri de aynı şekilde, bu yazının benim adıma kayıtlı gerçek dünyadaki bir cihazdan gönderilmiş olması mümkün; ama bu, onu gerçek dünyadaki ben kullandım demek değil
Facebook da böyle şeyler yaptı Satın alınabilecek tüm web sitesi verilerini satın aldı ve bunların reklam yayınlamada kullanılabileceğini bildiği için veri satın almayı kârlı bir işe dönüştürdü. ABD hükümeti ya da istihbarat kurumları aynı şeyi yapıyorsa, buna “yasa dışı” ya da yanlış denebilir mi, emin değilim. Devlet yetkilerini büyük ölçüde kullanarak yaptıysa yasa ihlali olurdu, ama yaptığı zaten elde edilebilen şeyleri satın almak
İronik olan, bunu yapanın Çin ya da Rusya olmaması Kendi kurumları yaptığında öfkenin neden çok daha az ya da neredeyse yokmuş gibi göründüğünü bilmiyorum