- FTC personel raporu, büyük sosyal medya ve video streaming hizmetlerinin kişisel verilerden gelir elde etmek için tüketicileri geniş çapta gözetlediğini, çocuklar ve gençler için koruma mekanizmalarının da yetersiz olduğunu belirtiyor
- İnceleme, FTC’nin Aralık 2020’de 9 şirkete gönderdiği 6(b) emirlerine verilen yanıtlara dayanarak Amazon/Twitch, Meta/Facebook, YouTube, X/Twitter, Snap, ByteDance/TikTok, Discord, Reddit ve WhatsApp’ı kapsıyor
- İncelenen şirketler kullanıcı ve kullanıcı olmayanlara ait verilerin yanı sıra veri brokerlarından gelen bilgileri de toplayıp saklayabiliyordu; veri minimizasyonu, saklama ve silme uygulamaları son derece yetersiz olarak değerlendirildi
- Birçok şirketin iş modeli hedefli reklamcılık odaklı olduğundan büyük ölçekli veri toplamayı teşvik etti; piksel gibi izleme teknolojileri ile otomatik sistemler ve yapay zeka için veri kullanıldı, ancak kullanıcıların itiraz/çıkış hakkı neredeyse yoktu
- FTC personel raporu; federal gizlilik yasası, veri minimizasyonu ve saklama politikaları, hassas bilgi takibinin sınırlandırılması, otomatik sistemlerde şeffaflık ve doğrulamanın güçlendirilmesi, çocuk ve genç korumasının COPPA’yı asgari standart alacak şekilde genişletilmesi yönünde tavsiyelerde bulunuyor
İncelenen şirketler ve raporun kapsamı
- FTC personel raporu, büyük sosyal medya ve video streaming hizmetlerinin veri toplama ve kullanma uygulamalarını inceledi
- Personel raporu, Aralık 2020’de çıkarılan 6(b) emirlerine 9 şirketin verdiği yanıtlara dayanıyor
- İnceleme kapsamındaki 9 şirket ve hizmet şöyle
- Amazon.com, Inc.: oyun platformu Twitch’in sahibi
- Facebook, Inc.: günümüzde Meta Platforms, Inc.
- YouTube LLC
- Twitter, Inc.: günümüzde X Corp.
- Snap Inc.
- ByteDance Ltd.: video paylaşım platformu TikTok’un sahibi
- Discord Inc.
- Reddit, Inc.
- WhatsApp Inc.
- FTC emirleri, şirketlerin kişisel bilgileri ve demografik bilgileri nasıl ele aldığını tespit etti
- Kişisel bilgiler ve demografik bilgilerin toplanması, izlenmesi ve kullanımı
- Tüketicilere reklam ve içerik gösterme biçimleri
- Kişisel ve demografik bilgilere algoritma veya veri analizi uygulanıp uygulanmadığı ve bunun nasıl yapıldığı
- Uygulamaların çocuklar ve gençler üzerindeki etkisi
Veri toplama ve saklama uygulamalarındaki sorunlar
- İnceleme kapsamındaki şirketler tüketicilerin kişisel bilgilerini büyük miktarlarda topluyor ve bunlardan yılda milyarlarca dolar ölçeğinde gelir elde ediyor
- FTC Başkanı Lina M. Khan, bu gözetim uygulamalarının mahremiyeti tehdit ettiğini ve kimlik hırsızlığından taciz amaçlı takibe kadar çeşitli zararlara maruz bırakabileceğini söyledi
- Şirketler aşağıdaki verileri toplayıp süresiz olarak saklayabiliyordu
- Kullanıcı verileri
- Platform kullanıcısı olmayanların verileri
- Veri brokerlarından elde edilen bilgiler
- Geniş kapsamlı veri paylaşımı uygulamaları, veri işleme üzerinde yeterli kontrol ve denetim olup olmadığına dair endişeleri artırdı
- Veri toplama, minimizasyon ve saklama uygulamaları “son derece yetersiz” olarak değerlendirildi
- Bazı şirketler kullanıcıların silme taleplerine yanıt verirken bile tüm kullanıcı verilerini silmedi
Reklam geliri modeli ve otomatik sistemler
- Birçok şirketin iş modeli, özellikle hedefli reklamcılık yoluyla kullanıcı verilerinden gelir elde edecek şekilde tasarlanmıştı; hedefli reklamcılık bu şirketlerin gelirlerinin büyük bölümünü oluşturuyor
- Bu teşvikler kullanıcı gizliliğiyle çatışıyor ve daha fazla veri toplamayı körükleyebiliyor
- Bazı şirketler, kullanıcıların tercihleri ve ilgi alanlarına dayalı reklamları mümkün kılmak için piksel gibi gizliliği ihlal edici izleme teknolojileri kullandı
- Kullanıcıların ve kullanıcı olmayanların kişisel bilgileri çeşitli otomatik sistemlere aktarıldı
- Algoritmalar
- Veri analizi
- Yapay zeka
- Kullanıcıların ve kullanıcı olmayanların, verilerin otomatik sistemlerde kullanılma biçimine itiraz etme/çıkış yapma olanağı çok azdı ya da hiç yoktu
- Otomatik sistemlerin kullanımını izleme ve test etme yöntemleri şirketler arasında farklılık gösterdi; tutarlılık ve yeterlilikten yoksundu
Çocuk ve genç koruması ile COPPA konuları
- Sosyal medya ve video streaming hizmetlerinin sitelerinde çocukları ve gençleri yeterince koruyamadığı değerlendirildi
- Rapor, sosyal medya ve dijital teknolojilerin genç kullanıcılar üzerinde olumsuz ruh sağlığı etkileri olduğunu gösteren araştırmalara atıf yapıyor
- Birçok şirket, hizmetlerinin çocuklara yönelik olmadığı veya çocuk hesaplarının oluşturulmasına izin vermediği gerekçesiyle platformlarında çocuk bulunmadığını savundu
- FTC personel raporu bunu, Children’s Online Privacy Protection Act Rule kapsamındaki sorumluluktan kaçınmaya yönelik açık bir girişim olarak görüyor
- Sosyal medya ve video streaming hizmetleri gençleri çoğu zaman yetişkin kullanıcılarla aynı şekilde ele aldı
- Şirketlerin çoğu gençlerin platformu hesap kısıtlaması olmadan kullanmasına izin verdi
Rekabete etkisi ve FTC’nin tavsiyeleri
- Şirketlerin veri uygulamaları rekabeti de etkileyebilir
- Kayda değer miktarda kullanıcı verisi biriktiren şirketler pazar gücü elde edebilir; bunun sonucunda kullanıcı gizliliği yerine veri toplamayı önceleyen zararlı uygulamalar ortaya çıkabilir
- Sosyal medya ve video streaming hizmetleri arasındaki rekabet sınırlanırsa tüketicilerin seçenekleri de azalır
- FTC personel raporu, politika yapıcılara ve şirketlere şunları tavsiye ediyor
- Kongre, gözetimi sınırlandıran, temel korumalar sağlayan ve tüketicilere veri hakları tanıyan kapsamlı bir federal gizlilik yasası çıkarmalı
- Şirketler veri toplamayı sınırlandırmalı ve somut, uygulanabilir veri minimizasyonu ve saklama politikaları benimsemeli
- Üçüncü taraflar ve bağlı şirketlerle veri paylaşımını sınırlandırmalı, artık ihtiyaç duyulmayan tüketici verilerini silmeli
- Gizlilik politikaları açık, basit ve tüketicilerin anlayabileceği kolaylıkta olmalı
- Şirketler, gizliliği ihlal edici reklam izleme teknolojileriyle hassas bilgiler toplamamalı
- Hassas kategorilere dayalı reklam hedefleme politikaları ve uygulamaları dikkatle gözden geçirilmeli
- Verilerin otomatik sistemlerde kullanılma biçimine ilişkin kullanıcı kontrolü eksikliği ve şeffaflık eksikliği giderilmeli
- Otomatik sistemlere daha sıkı test ve izleme standartları uygulanmalı
- Platformlarda çocuk kullanıcılar olduğu gerçeği görmezden gelinmemeli; COPPA asgari gereklilik olarak görülüp ek güvenlik önlemleri sağlanmalı
- Gençler yetişkin değildir, bu yüzden daha güçlü gizlilik koruması sağlanmalı
- Kongre, 13 yaş üstü gençler için COPPA’nın sağlayamadığı gizlilik koruması boşluğunu kapatan bir federal gizlilik yasası çıkarmalı
- FTC Komisyonu personel raporunun yayımlanmasını 5-0 oyla kabul etti
- Başkan Khan ve Komisyon Üyeleri Alvaro Bedoya, Melissa Holyoak ve Andrew N. Ferguson ayrı ayrı açıklamalar yayımladı
1 yorum
Hacker News yorumları
Kullanıcı verilerini kötü yöneten şirketlerin sorumluluğunu artırmanın yolu eksik
Aylar önce yaşanmış bir veri ihlalini posta yoluyla öğrenmek ve bunun içinde Sosyal Güvenlik numaramın bile yer aldığını görmek; benim yapabildiğim tek şeyin birkaç kredi derecelendirme kuruluşunda kredi dondurması başlatmak olması hiç mantıklı değil
Herkesin gözü önünde tükenmişlik ve düşüş yaşadıktan sonra bir arkadaşımın yardımıyla kredi kartı ödeme işleme şirketinde yarı zamanlı çalışmaya başladım; yaklaşık iki ay önce ben yokken patron, halledilmesi gereken bir şey olduğunu söyleyip bir Uber sürücüsüne e-posta göndertmiş ve bunun sonucunda banka hesapları, Sosyal Güvenlik numaraları, adlar, adresler ve finansal veriler içeren tüm müşteri veritabanı tek bir müşteriye gönderilmiş
Bu durum 11 gün boyunca gizlendi; öğrendiğimde “Bu büyük bir olay ve PCI dışında, yasal olarak etkilenen müşterilere 45 gün içinde bildirim yapmak zorundayız” dedim ama patron “Bunu yapmayacağım” dedi. Bunun üzerine istifamı verdim ve yeniden işsiz kaldım
Doğru olanı yapmaya çalıştığım için şimdi acilen iş arıyorum; soruna yol açan taraf ise hiçbir şey olmamış gibi davranıyor, tüm müşteri tabanını ihlal etmiş olabilir ve ben PCI’a bildirmezsem muhtemelen ceza da almayacak. Bildirsem bile bana dönen bir karşılık yok
Nereye gitsem yönetimin neden hep şüpheli işler yaptığını anlamıyorum. Sadece dürüst birinin altında Linux ve veri merkezi işi yapmak istiyorum
Büyük yan projem henüz erken lansmana hazır değil; aslında VC veya yatırımcı almak istemiyordum ama artık taviz vermeyi düşünür hale geldim
https://www.nerdwallet.com/article/finance/how-to-freeze-cre...
Teknoloji sektörünün tamamını düzenleyebilecek bağımsız bir düzenleyici kurum oluşmadan bunun zor olduğunu düşünüyorum. FDA’nın hangi ilaçlara ve bileşenlere izin verileceğine karar vermesi gibi, teknoloji şirketlerinin özelliklerinin insanların ruh sağlığına yönelik riskini değerlendiren bir kurum da olabilir
Ancak böyle bir kurumun ortaya çıkması için, FDA’nın ilk kurulma nedenine benzer şekilde, muhtemelen bir trajedi gerekecek
https://www.fda.gov/about-fda/fda-history/milestones-us-food...
Bunu ancak şimdi ciddiye alıp karşı saldırıyı düşünmeye başlamış olmaları açısından 15 yıl geç kalındı, ama yine de hiç olmamasından iyidir
Sırada kredi derecelendirme kuruluşlarını düzgün şekilde kontrol altına almak olmalı
Verilerimi tutmalarına hiç onay vermedim; sonra tüm verileri sızdırıp şimdi de istenmeyen reklam e-postaları göndermeleri tam bir rezalet
Kredimi dondurmak için bu şirketlerle ilişki kurmak zorunda kalmam ve bunu yapmazsam benim iznim olmadan bilgilerimi kime verirlerse onların insafına kalmam gerçekten akıl alır gibi değil
Meta, Google gibi şirketlerin senin hakkında bilgileri yasal olarak veritabanlarına doldurmanın yolunu buldukları için yüz milyarlarca dolar değerinde olması tuhaf gelmiyor mu
Tarihin başka bir döneminde biri buna gözetim derdi; ama bunu yasal yapmanın yolunu buldular ve bu yüz milyarlarca dolar değerinde oldu
Teknik olarak, onay olduğu sürece verileri uzaktan kaydetmek önemsiz bir iş. Sanki hukuk denen hayali bir duvar örüp, sonra o duvarın etrafından dolaşacak yollar inşa etmek için milyarlarca dolar harcıyor ve bunu ekonomik refahla bir tutuyoruz. Streaming hizmetleri ile dosya paylaşımı arasındaki ilişki de buna benziyor
İnsanların sosyal medyaya neden sürekli sadece bir veritabanı dediğini anlamıyorum
Lina Khan son dönemde çok sert ilerliyor. Gerçekten çevrimiçi insan haklarını önemsiyor gibi görünüyor
Facebook ve YouTube, hassas müşteri verilerini koruma isteği ve kapasitesi olan savunucular. AshleyMadison belgeseline bakınca, müşteri mahremiyetine yönelik kibirli bir umursamazlık olmasına rağmen neredeyse hiç sorumluluk doğmadı
Tüketicinin en savunmasız olduğu yerler bu küçük ve sorumsuz işletmeler
Trump başkan olursa onu görevden alır; Harris kazansa bile Cumhuriyetçiler Senato’yu kontrol ederse, Harris’in onay almak için pazarlık kozu olarak Khan’dan vazgeçmesinden korkuyorum
Schneier on Security’nin 2016 tarihli “Data is a Toxic Asset” yazısı: https://www.schneier.com/blog/archives/2016/03/data_is_a_tox...
Özellikle şu kısım sorunlu
“Birçok şirket geniş kapsamlı veri paylaşımı yaptı; bu da şirketlerin veri işleme üzerindeki kontrol ve denetiminin yeterli olup olmadığı konusunda ciddi endişeler doğuruyor”
Raporun tamamı[0] okunmaya değer. Sadece özete bakmamak iyi olur
“Ancak bu bulgular ayrı ayrı ele alınmamalı. Bunlar, dokuz şirkette neredeyse aynı olan bir iş modelinden kaynaklanıyor: hedefli reklamcılık, algoritma tasarımı ve üçüncü taraflara satış için veri toplama modeli. Anlamlı güvenlik önlemleri çok az olduğu için şirketlerin giderek daha istilacı toplama yöntemleri geliştirme teşviki var”
[0]: https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...
Gözetim kanser gibi yayılır. “Sadece gerekli olduğu için” her veri noktasını yer, büyümeye devam eder ve sonunda seni öldürür
Aracın içindeki kamera ve mikrofonlarla gözetim yapan otomobil üreticilerini de listeye eklemek gerek
Ayrıntılar: https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...