- FTC’nin 4 yıllık soruşturması, Facebook, YouTube, X gibi 9 sosyal medya ve video platformunun çevrimiçi davranışsal reklamcılık için kişisel verileri geniş ölçekte topladığını ve paylaştığını; tüketicilerin de bunu gerektiği gibi kontrol etmekte zorlandığını ortaya koydu
- Toplama kapsamı platform içi etkinliklerin ötesine geçerek diğer web siteleri ve uygulamalardaki etkinliklere, kullanıcı olmayanlara ait bilgilere ve üçüncü taraf veri brokerlarından satın alınan bilgilere kadar genişledi; bazı şirketler veri kaynaklarını doğru biçimde açıklayamadı
- Şirketlerin çoğu kişisel verileri üçüncü taraflarla paylaştı; ancak bazıları paylaşım yapılan tüm tarafların listesini bile sunamadı ve üçüncü taraf doğrulaması ya da kullanım kısıtlamalarına uyum denetimi de neredeyse hiç yoktu
- Gözetim arka planda yürütüldü; gizlilik ayarları da şeffaf değildi veya etkisi sınırlıydı. Bazı şirketler, silme taleplerinden sonra bile kullanıcı verilerini fiilen silmedi
- EFF, davranışsal reklamcılık iş modelini ticari gözetimin temel baskısı olarak görüyor ve veri minimizasyonu ile kullanıcı haklarını, çevrimiçi davranışsal reklamcılığın yasaklanmasını ve özel dava hakkını içeren güçlü bir federal gizlilik yasası talep ediyor
FTC soruşturmasının ortaya koyduğu ticari gözetim ölçeği
- FTC’nin yeni raporu, büyük teknoloji şirketlerinin çevrimiçi davranışsal reklamcılık işleri için kişisel verileri toplayıp paylaştığına dair EFF’nin uzun süredir yaptığı uyarıları destekliyor
- Soruşturma, Facebook, YouTube ve X (eski adıyla Twitter) dahil 9 sosyal medya ve video platformunun veri uygulamalarını 4 yıl boyunca ele aldı
- İncelenen tüm şirketler gizliliği aynı şekilde ihlal etmiş olmasa da genel olarak gizlilikten çok geliri önceleyen bir yapı ortaya çıktı
Kullanıcı beklentilerinin ötesinde kişisel veri toplama
- Şirketler yalnızca kendi platformlarındaki etkinlikleri izlemedi
- Diğer web siteleri ve uygulamalardaki etkinlikleri izledi
- Kullanıcı olmayanlara ilişkin bilgileri de topladı
- Üçüncü taraf veri brokerlarından kişisel veri satın aldı
- Bazı şirketler kullanıcı verilerinin tam olarak nereden geldiğini FTC’ye açıklayamadı ya da açıklamadı
- Toplanan kalemler arasında ziyaret edilen web siteleri, konum verileri, demografik bilgiler ve ilgi alanları yer aldı
- İlgi alanları arasında “divorce support”, “beer and spirits” gibi hassas ilgi alanları da vardı
- Bazı şirketler izledikleri kullanıcı niteliklerini yalnızca üst düzey açıklamalarla raporlayabildi; diğerleri ise binlerce nitelik içeren elektronik tablolar sundu
Üçüncü taraf paylaşımı ve doğrulama eksikliği
- Şirketlerin çoğu kişisel verileri üçüncü taraflarla paylaştığını bildirdi
- Bazı şirketler kişisel verileri o kadar geniş ölçekte paylaştıklarını, tüm üçüncü taraf alıcıların listesini sağlayamadıklarını ileri sürdü
- Alıcıları belirleyebilen şirketlerin listelerinde kolluk kuvvetleri ile ABD içindeki ve dışındaki diğer şirketler yer aldı
- Verileri paylaşmadan önce üçüncü tarafları doğrulamaya yönelik süreçler çoğu şirkette yoktu; hiçbir şirket de veri kullanım kısıtlamalarına uyulup uyulmadığını sürekli olarak denetlemiyordu
- Bir şirket analiz gibi nispeten daha az ihlalci görünen bir amaç ileri sürse bile, verinin yalnızca o amaç için kullanılacağının garantisi yok
- Bu tür korumaların olmaması tüketicileri ciddi gizlilik risklerine maruz bırakıyor
Tüketicilerin anlamakta zorlandığı veri işleme
- Kişisel verilerin nasıl toplandığı, paylaşıldığı ve kullanıldığı konusunda şeffaflık eksikliği var
- Şirketler FTC’ye bile verileri kimlerle paylaştıklarını söyleyemiyorsa, kullanıcılara bunu dürüstçe bildirmelerini beklemek zor
- İzleme ve paylaşım arka planda gerçekleştiği için kullanıcıların platformdan platforma ne kadar gizlilikten vazgeçtiğini anlaması zor
- Şirketler yalnızca kendi platform verilerini değil, web genelindeki kullanıcı etkinliklerini ve kullanıcı olmayanlara ait bilgileri de topluyor
- Bireylerin kendi verilerinin dev bir dijital gözetim ağına kapılmasını önlemesi neredeyse imkânsız
- Gizlilik kontrol araçları sunulsa bile çoğu zaman şeffaf değiller veya etkileri sınırlı
- Bazı şirketler silme taleplerine yanıt verdikten sonra bile kullanıcı verilerini fiilen silmedi
- FTC’nin ele aldığı ticari gözetimin ölçeği ve gizliliği, gizliliği koruma yükünün yalnızca bireysel tüketicilere bırakılamayacağını gösteriyor
Davranışsal reklamcılık iş modelinin yarattığı baskı
- Gizlilik ihlalleri tek seferlik hatalar değil, çevrimiçi davranışsal reklamcılık iş modelinin doğasında bulunan bir sorun
- Şirketler hedefli reklamlar için muazzam miktarda veri toplayarak ayrıntılı kullanıcı profilleri oluşturuyor
- Kişisel verilere dayalı reklam hedeflemeden elde edilen gelir, şirketleri daha ihlalci veri toplama yöntemleri geliştirmeye itiyor
- FTC, incelenen şirketlerin çoğunun iş modelinin gizlilik ihlallerini teşvik ettiğine hükmetti
EFF’nin talep ettiği federal gizlilik mevzuatı
- Federal bir gizlilik yasasının olmadığı ortamda şirketler, neredeyse hiç koruma olmadan milyarlarca kullanıcının kişisel verilerini toplayıp paylaşabildi
- FTC raporu özdenetimin başarısız olduğunu doğruluyor
- Şirket içi veri gizliliği politikaları tutarsız ve yetersiz
- Şirketlere gizlilik yerine geliri önceleme alanı bırakıyor
- FTC, “kayda değer önlemler alınmazsa ticari gözetim ekosisteminin daha da kötüleşeceğinden kuşku yok” dedi
- EFF’nin talep ettiği mevzuat unsurları üç başlıkta toplanıyor
- Veri minimizasyonu ve kullanıcı hakları: Şirketler, kullanıcıların talep ettiği hizmeti sunmak için gerekli kapsamın ötesinde veri işleyememeli; kullanıcılar da verilerine erişme, verilerini taşıma, düzeltme ve silme haklarına sahip olmalı
- Çevrimiçi davranışsal reklamcılık yasağı: Ticari gözetimin temel nedenini ele almak için davranışsal reklamcılık yasaklanmalı; aksi halde şirketler ihlalci veri toplamadan kâr etmeyi sürdürmek için gizlilik yasalarını aşmanın yollarını bulmaya devam edecek
- Özel dava hakkını içeren güçlü yaptırım: Devletin yaptırım kaynaklarının sınırlı olduğu bir ortamda gizlilik yasası ihlallerinin yaygın biçimde sürmemesi için bireyler, gizliliklerini ihlal eden şirketlere karşı dava açabilmeli
Hemen yapılabilecekler ve sınırları
- Çevrimiçi hizmetleri kullanmak, kişisel verileri sayısız şirkete teslim edip istedikleri gibi kullanmalarına izin vermek anlamına gelmemeli
- Bir web sitesi hesabı oluştururken rastgele üçüncü tarafların bilgileri alacağından ya da reklam sunmak için her tıklamanın izleneceğinden endişe etmek zorunda kalınmamalı
- EFF’nin Privacy Badger eklentisi, FTC raporunda yer alan bazı izleme teknolojilerini engellemeye yardımcı olabilir
- FTC soruşturmasının ortaya koyduğu ticari gözetim ölçeği yalnızca tekil araçlarla çözülebilecek gibi değil; güçlü bir federal gizlilik yasası gerekiyor
1 yorum
Hacker News yorumları
Geçenlerde bir şirket, izleme kodu yerleştirilmiş bir siteyi ziyaret eden kişinin iş geçmişini, kredi raporunu, banka bakiyesini 500 ms içinde görebildiğini bize demo olarak gösterdi.
Bu bilgiyi satış ekipleri için bir potansiyel müşteri eleme ürününde kullanıp, satış ekibine kimin peşinden gitmenin zaman kaybı olduğunu, kimin olmadığını söyleyeceklermiş.
Gerçekten tüyler ürperticiydi; kurucuların bu tür verileri alıp satma ve kullanma konusunda etik bir çekincesi yok gibi görünüyordu.
Bankalar, kimlik bilgileriyle ilişkilendirilmiş hesap bakiyesi verilerini şüpheli veri toplayıcılara satmıyor.
Daha ilginç ve saçma olan, bu kadar çok veri toplayıcının çöp veriyi bu kadar başarılı biçimde satabilmesi.
Bunu plaka verileri, emlak kayıtları, kişi tanıma ve gerçek zamanlı konumla entegre etmek yeterli.
Otonom araç, kontrolden çıktığını ve yaklaşan sorumluluktan kaçınamayacağını algıladığında, çevredeki tüketiciler ve mülklerin her biri için kaçınma puanı sağlayan bir API’ye sorgu atıp potansiyel mağdurlar bazında maliyet-fayda analizi yapabilir.
Araç bu puanlara dayanarak en az sorumluluk doğuracak rotayı bulabilir; kimliği belirlenmemiş hedeflere 0 puan vererek tüketicileri böyle bir hizmete bağlanmaya da teşvik edebilir.
22 yaşında, boyu ve kilosu dengeli ama karar verme becerisi zayıf biri.
Ya oğlun olsaydı?
Kira ödeyen gençlere şu metinlerin sunulduğunu gördüm: “Flex, kiranızı aylık bütçenize daha uygun bir takvimle ödemenizi ve nakit akışınızı korumanızı sağlar.”
“Kiranızı zamanında ödemenize yardımcı olur, nakit akışınızı iyileştirir ve kredi geçmişi oluşturmanızı sağlar.”
GDPR öncesi Fransa’daydı; hava durumu uygulamaları gibi çeşitli uygulamalarla ortaklık kurup kullanıcı konumuna erişiyorlardı.
Hedef kitlenin ölçeğini tam hatırlamıyorum ama Fransa nüfusunun büyük bir kısmıydı.
Paris haritasını gösterip belirli bir kullanıcının evden çıktıktan sonra hangi rotayı izlediğini, hangi dükkânın önünde ne kadar durduğunu, başka bir dükkânın içinde ne kadar zaman geçirdiğini bile gösterdiler.
O sırada yöneticim bunu son derece heyecan verici bulmuştu.
Nihayet. Herkes şirketlerin kelimenin tam anlamıyla her şeyden önce kârı öncelediğini “biliyor”.
FTC’nin geri döndüğünü görmek güzel; anlamlı ilerleme ancak güçlü düzenleme olduğunda mümkün gibi görünüyor.
Başka bir önemli örnek EPA. Düzenleme ve yaptırım yerleşmeden önce kirlilik o kadar kötüydü ki bazı şehirlerde insanların dışarıda gaz maskesi takması gereken dönemler vardı; CFC emisyonları da benzerdi.
İnternetin gelişimi, çoğunlukla düzenlemeleri geri alan muhafazakâr liderlik altında hızlandı; bu süreçte çok fazla inovasyon oldu ama bu kârı her şeyin önüne koyan ortama bu kadar odaklanılmasaydı çok daha fazlasının başarılabileceğini düşünüyorum.
Bu tür şirketlerde çalışmayı reddetmiyorlar; bu sistemleri uygulayıp büyük para kazanıyorlar.
Kolay ya da hızlı bir çözüm olmayacak; gereken yasa ve düzenlemelerin geçmesi için halkın daha fazla dahil olması gerekiyor.
Veri toplama düzenlemelerinin eksikliğinin yol açtığı benzer derecede somut bir zarar örneği var mı?
İnsanların bazen samimi biçimde “bunu engellemeye gerek yok” demesine gerçekten inanamıyorum.
Rapor bağlantıları yazının başında var:
https://www.ftc.gov/news-events/news/press-releases/2024/09/...
https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...
Düzenleme: PDF bağlantısı eklendi.
Her türden ince ilgi alanı ve bağlam için reklam kitlelerini son derece ayrıntılı biçimde hedefleyebiliyorlar ama birinin çocuk olup olmadığını belirleme teknolojisini bir türlü tamamlayamamış olmaları ilginç.
Eminim yıllardır gece gündüz uygulamaya çalıştıkları, yakalanması çok zor bir teknolojidir.
Sanki bilmiyormuş gibi yapmaktan çıkar sağlıyorlar.
Zaten bildiğimiz şeyi bize söylemek için 4 yıllık bir soruşturma yapılmış gibi
Asıl soru, federal hükümetin ya da herhangi birinin bu konuda ne yapacağı
Bilimsel araştırmalarda da böyledir; para israfı gibi görünebilir
Ama o işi gerçekten yapana kadar bildiğiniz söylenemez
Bilim insanları ve kamu görevlileri sağduyuya atıf yapamaz; sonuç doğru çıksa bile ayrıntılar önemlidir
Ölçek önemlidir, çalışma mekanizması önemlidir
Çünkü hükümet de yasayla doğrudan yapamadığı gözetimi yapmak istiyor
Şirket gözetimi varsa hükümet de bundan yararlanabilir; bu yüzden hükümet için de avantajlıdır
Gerçekte beklediğim şey ise aşırı derecede istilacı gözetimin, ülke içinde denetlenen şirketlerle sınırlanması gibi bir şey
Kesinlikle “zaten bildiğimiz şeyi söylüyor” düzeyinde değil
Bu soruşturma, hükümet devlet gücünü kullanmadan önce neler olup bittiğinden emin olmak için önemli bir ilk adım ve bu iyi bir şey
Hava durumuna ya da söylentilere dayanarak devlet gücü kullanılması arzu edilir bir şey değil
Biden FTC’si ekonomi genelindeki çeşitli tüketici karşıtı uygulamalara karşı oldukça agresif davrandı ve bu tür raporların ardından genellikle bu tür adımlar geliyor
Görece yakında bir eylem geleceğini düşünüyorum
Kredi derecelendirme kuruluşları ve bankaların sakladığı bilgiler çok daha korkutucu
Çalıştığınız tüm yerlerdeki maaşınızı ve ikamet adreslerinizi biliyorlar
Son dönemde sızıntılar o kadar çok oldu ki artık herkes dark web’de bu bilgileri bulabiliyor
O lafın ahırdan çıkması 10 yıldan da önce oldu
Eskiden yaklaşan kurumsal siberpunk distopyasının risklerini azaltmak için güvenlik ve mahremiyet alanında çalışıyordum; şimdi ise hükümetin gözetim tekeline sahip olmasını en kötü sonuç olarak görüyorum
Asıl çözüm, kişisel bilgilerin nasıl toplandığına bağlı olarak belirli kişisel bilgi kategorilerini medeni ve şiddet içermeyen ceza süreçlerinde hukuken ayrıcalıklı kılmak ya da hariç tutmak ve ticari kararlarda önemli olan kişisel olarak tanımlanabilir bilgi toplama kaynaklarını tekliflerde ve sözleşmelerde açıklamayı zorunlu kılmak
Böylece sigortacılar ve alacaklılar rant kollayıcı gibi davranmak yerine yeniden gerçek riski üstlenmek zorunda kalır; polis yöneten değil kamu hizmetkârı olmalı ve delil olarak kullanılan kişisel bilgilerin kaynağının açık rızayı içeren yasal ve düzenlenmiş kaynaklar olduğunu kanıtlamalıdır
Veri toplama akışını durduramayız, ama bunu yöneten yasaları iyileştirebiliriz
Kişisel bilgi toplamayı doğrudan yasaklarsanız bu hem devlete hem de reklamcılara uygulanabilir
Bilgi güçtür ve sigortacılar ile üreticiler hakkınızda her şeyi bilirse, yoksul bir kurban gibi sonuna kadar sıkılırsınız
Keyfim kötü olduğunda, bilgilerini aşırı paylaşan insanların bu kaderi kendi başlarına açtığına inandığım da oluyor; ama bilgi toplamayı düzenlemeye ya da sızıntı durumunda ağır parasal cezalarla ciddi biçimde sorumlu tutmaya karşı pek argüman yok
Düzenlemenin kendisi zor olmayacaktır. Uygulaması kolay olmayacak ama birçok şirket için daha denemek bile fazla riskli olabilir
Reklam sektörünü askerî-sanayi kompleksinden çok daha kötü görmeye başladım ve umarım bir gün daha yüce bir güç ilgili yöneticileri büyük bir intikam ve şiddetli bir öfkeyle cezalandırır
Devletin özel şirketlerin gözetimini düzenlemesini ikiyüzlülük olarak görüyorum
Bu şirketlerin veri toplama teknolojilerini kullanmama seçeneğiniz var, ama devlet gözetimini reddedemezsiniz
Devleti iyi taraf, şirketleri kötü taraf yapan oyunu oynamayalım
Elbette bu meseleden bağımsız olarak devlet de bu bilgileri toplamamalı
Özel dedektifler ise yalnızca bitmek bilmeyen bir reklam bataklığı sunuyor ve bu beni her gün tüketiyor
Şirketleri saf seyirciler, devleti de şeytani düşman yapan oyunu da oynamayalım
Karanlıkta bırakılmış değiliz
Artık 2016 değil ve bu şirketleri kullanıyorsanız ne yaptıklarını gayet iyi biliyorsunuz demektir
Biraz olgunlaşın; ya bu hizmetleri kullanmanın sorumluluğunu alın ya da verilerinizi silip gidin
2024’te bunu görüp şoke olan kimseye zerre sempati duymuyorum
Üstelik kendi verilerinizin sahibi değilsiniz
Bu fikir zaten anlamsız bir saçmalık
Bunu kabul ederseniz hayat çok daha basitleşir
Hisse değeri artışı ve teknoloji işleri istiyorsanız, anlaşmanın bir parçası bu
Bunu ben yaratmadım, sorumluluğu da bana ait değil ama gerçek bu
Bu, optimum küresel fiyatlandırmayı çılgın bir dünyaya çevirecek
Her şey, herkesin ödeyebileceği azami tutara göre fiyatlandırılacak; ama insanlar çok daha az tüketecek ve daha mutsuz olacak, böylece tüm sistem çökecek