1 puan yazan GN⁺ 2024-09-30 | 1 yorum | WhatsApp'ta paylaş
  • FTC’nin 4 yıllık soruşturması, Facebook, YouTube, X gibi 9 sosyal medya ve video platformunun çevrimiçi davranışsal reklamcılık için kişisel verileri geniş ölçekte topladığını ve paylaştığını; tüketicilerin de bunu gerektiği gibi kontrol etmekte zorlandığını ortaya koydu
  • Toplama kapsamı platform içi etkinliklerin ötesine geçerek diğer web siteleri ve uygulamalardaki etkinliklere, kullanıcı olmayanlara ait bilgilere ve üçüncü taraf veri brokerlarından satın alınan bilgilere kadar genişledi; bazı şirketler veri kaynaklarını doğru biçimde açıklayamadı
  • Şirketlerin çoğu kişisel verileri üçüncü taraflarla paylaştı; ancak bazıları paylaşım yapılan tüm tarafların listesini bile sunamadı ve üçüncü taraf doğrulaması ya da kullanım kısıtlamalarına uyum denetimi de neredeyse hiç yoktu
  • Gözetim arka planda yürütüldü; gizlilik ayarları da şeffaf değildi veya etkisi sınırlıydı. Bazı şirketler, silme taleplerinden sonra bile kullanıcı verilerini fiilen silmedi
  • EFF, davranışsal reklamcılık iş modelini ticari gözetimin temel baskısı olarak görüyor ve veri minimizasyonu ile kullanıcı haklarını, çevrimiçi davranışsal reklamcılığın yasaklanmasını ve özel dava hakkını içeren güçlü bir federal gizlilik yasası talep ediyor

FTC soruşturmasının ortaya koyduğu ticari gözetim ölçeği

  • FTC’nin yeni raporu, büyük teknoloji şirketlerinin çevrimiçi davranışsal reklamcılık işleri için kişisel verileri toplayıp paylaştığına dair EFF’nin uzun süredir yaptığı uyarıları destekliyor
  • Soruşturma, Facebook, YouTube ve X (eski adıyla Twitter) dahil 9 sosyal medya ve video platformunun veri uygulamalarını 4 yıl boyunca ele aldı
  • İncelenen tüm şirketler gizliliği aynı şekilde ihlal etmiş olmasa da genel olarak gizlilikten çok geliri önceleyen bir yapı ortaya çıktı

Kullanıcı beklentilerinin ötesinde kişisel veri toplama

  • Şirketler yalnızca kendi platformlarındaki etkinlikleri izlemedi
    • Diğer web siteleri ve uygulamalardaki etkinlikleri izledi
    • Kullanıcı olmayanlara ilişkin bilgileri de topladı
    • Üçüncü taraf veri brokerlarından kişisel veri satın aldı
  • Bazı şirketler kullanıcı verilerinin tam olarak nereden geldiğini FTC’ye açıklayamadı ya da açıklamadı
  • Toplanan kalemler arasında ziyaret edilen web siteleri, konum verileri, demografik bilgiler ve ilgi alanları yer aldı
    • İlgi alanları arasında “divorce support”, “beer and spirits” gibi hassas ilgi alanları da vardı
  • Bazı şirketler izledikleri kullanıcı niteliklerini yalnızca üst düzey açıklamalarla raporlayabildi; diğerleri ise binlerce nitelik içeren elektronik tablolar sundu

Üçüncü taraf paylaşımı ve doğrulama eksikliği

  • Şirketlerin çoğu kişisel verileri üçüncü taraflarla paylaştığını bildirdi
  • Bazı şirketler kişisel verileri o kadar geniş ölçekte paylaştıklarını, tüm üçüncü taraf alıcıların listesini sağlayamadıklarını ileri sürdü
  • Alıcıları belirleyebilen şirketlerin listelerinde kolluk kuvvetleri ile ABD içindeki ve dışındaki diğer şirketler yer aldı
  • Verileri paylaşmadan önce üçüncü tarafları doğrulamaya yönelik süreçler çoğu şirkette yoktu; hiçbir şirket de veri kullanım kısıtlamalarına uyulup uyulmadığını sürekli olarak denetlemiyordu
  • Bir şirket analiz gibi nispeten daha az ihlalci görünen bir amaç ileri sürse bile, verinin yalnızca o amaç için kullanılacağının garantisi yok
  • Bu tür korumaların olmaması tüketicileri ciddi gizlilik risklerine maruz bırakıyor

Tüketicilerin anlamakta zorlandığı veri işleme

  • Kişisel verilerin nasıl toplandığı, paylaşıldığı ve kullanıldığı konusunda şeffaflık eksikliği var
  • Şirketler FTC’ye bile verileri kimlerle paylaştıklarını söyleyemiyorsa, kullanıcılara bunu dürüstçe bildirmelerini beklemek zor
  • İzleme ve paylaşım arka planda gerçekleştiği için kullanıcıların platformdan platforma ne kadar gizlilikten vazgeçtiğini anlaması zor
  • Şirketler yalnızca kendi platform verilerini değil, web genelindeki kullanıcı etkinliklerini ve kullanıcı olmayanlara ait bilgileri de topluyor
  • Bireylerin kendi verilerinin dev bir dijital gözetim ağına kapılmasını önlemesi neredeyse imkânsız
  • Gizlilik kontrol araçları sunulsa bile çoğu zaman şeffaf değiller veya etkileri sınırlı
  • Bazı şirketler silme taleplerine yanıt verdikten sonra bile kullanıcı verilerini fiilen silmedi
  • FTC’nin ele aldığı ticari gözetimin ölçeği ve gizliliği, gizliliği koruma yükünün yalnızca bireysel tüketicilere bırakılamayacağını gösteriyor

Davranışsal reklamcılık iş modelinin yarattığı baskı

  • Gizlilik ihlalleri tek seferlik hatalar değil, çevrimiçi davranışsal reklamcılık iş modelinin doğasında bulunan bir sorun
  • Şirketler hedefli reklamlar için muazzam miktarda veri toplayarak ayrıntılı kullanıcı profilleri oluşturuyor
  • Kişisel verilere dayalı reklam hedeflemeden elde edilen gelir, şirketleri daha ihlalci veri toplama yöntemleri geliştirmeye itiyor
  • FTC, incelenen şirketlerin çoğunun iş modelinin gizlilik ihlallerini teşvik ettiğine hükmetti

EFF’nin talep ettiği federal gizlilik mevzuatı

  • Federal bir gizlilik yasasının olmadığı ortamda şirketler, neredeyse hiç koruma olmadan milyarlarca kullanıcının kişisel verilerini toplayıp paylaşabildi
  • FTC raporu özdenetimin başarısız olduğunu doğruluyor
    • Şirket içi veri gizliliği politikaları tutarsız ve yetersiz
    • Şirketlere gizlilik yerine geliri önceleme alanı bırakıyor
  • FTC, “kayda değer önlemler alınmazsa ticari gözetim ekosisteminin daha da kötüleşeceğinden kuşku yok” dedi
  • EFF’nin talep ettiği mevzuat unsurları üç başlıkta toplanıyor
    • Veri minimizasyonu ve kullanıcı hakları: Şirketler, kullanıcıların talep ettiği hizmeti sunmak için gerekli kapsamın ötesinde veri işleyememeli; kullanıcılar da verilerine erişme, verilerini taşıma, düzeltme ve silme haklarına sahip olmalı
    • Çevrimiçi davranışsal reklamcılık yasağı: Ticari gözetimin temel nedenini ele almak için davranışsal reklamcılık yasaklanmalı; aksi halde şirketler ihlalci veri toplamadan kâr etmeyi sürdürmek için gizlilik yasalarını aşmanın yollarını bulmaya devam edecek
    • Özel dava hakkını içeren güçlü yaptırım: Devletin yaptırım kaynaklarının sınırlı olduğu bir ortamda gizlilik yasası ihlallerinin yaygın biçimde sürmemesi için bireyler, gizliliklerini ihlal eden şirketlere karşı dava açabilmeli

Hemen yapılabilecekler ve sınırları

  • Çevrimiçi hizmetleri kullanmak, kişisel verileri sayısız şirkete teslim edip istedikleri gibi kullanmalarına izin vermek anlamına gelmemeli
  • Bir web sitesi hesabı oluştururken rastgele üçüncü tarafların bilgileri alacağından ya da reklam sunmak için her tıklamanın izleneceğinden endişe etmek zorunda kalınmamalı
  • EFF’nin Privacy Badger eklentisi, FTC raporunda yer alan bazı izleme teknolojilerini engellemeye yardımcı olabilir
  • FTC soruşturmasının ortaya koyduğu ticari gözetim ölçeği yalnızca tekil araçlarla çözülebilecek gibi değil; güçlü bir federal gizlilik yasası gerekiyor

1 yorum

 
GN⁺ 2024-09-30
Hacker News yorumları
  • Geçenlerde bir şirket, izleme kodu yerleştirilmiş bir siteyi ziyaret eden kişinin iş geçmişini, kredi raporunu, banka bakiyesini 500 ms içinde görebildiğini bize demo olarak gösterdi.
    Bu bilgiyi satış ekipleri için bir potansiyel müşteri eleme ürününde kullanıp, satış ekibine kimin peşinden gitmenin zaman kaybı olduğunu, kimin olmadığını söyleyeceklermiş.
    Gerçekten tüyler ürperticiydi; kurucuların bu tür verileri alıp satma ve kullanma konusunda etik bir çekincesi yok gibi görünüyordu.

    • Bunların hiçbiri doğru değil; neredeyse tamamı seyrek ve düşük kaliteli eğitim verilerinden modellenmiş şeyler.
      Bankalar, kimlik bilgileriyle ilişkilendirilmiş hesap bakiyesi verilerini şüpheli veri toplayıcılara satmıyor.
      Daha ilginç ve saçma olan, bu kadar çok veri toplayıcının çöp veriyi bu kadar başarılı biçimde satabilmesi.
    • Ücretsiz startup fikri: Tramvay problemi çözümü SaaS’i
      Bunu plaka verileri, emlak kayıtları, kişi tanıma ve gerçek zamanlı konumla entegre etmek yeterli.
      Otonom araç, kontrolden çıktığını ve yaklaşan sorumluluktan kaçınamayacağını algıladığında, çevredeki tüketiciler ve mülklerin her biri için kaçınma puanı sağlayan bir API’ye sorgu atıp potansiyel mağdurlar bazında maliyet-fayda analizi yapabilir.
      Araç bu puanlara dayanarak en az sorumluluk doğuracak rotayı bulabilir; kimliği belirlenmemiş hedeflere 0 puan vererek tüketicileri böyle bir hizmete bağlanmaya da teşvik edebilir.
    • Bir pazarlama web sitesi casus yazılımının, kullanıcının bilgisayarındaki tüm fare hareketlerini ve girişlerini oturum tekrarı olarak kaydettiğini ilk gördüğümde, internetin bir hata olduğuna karar verdim.
    • Peki hedef senin kızınsa?
      22 yaşında, boyu ve kilosu dengeli ama karar verme becerisi zayıf biri.
      Ya oğlun olsaydı?
      Kira ödeyen gençlere şu metinlerin sunulduğunu gördüm: “Flex, kiranızı aylık bütçenize daha uygun bir takvimle ödemenizi ve nakit akışınızı korumanızı sağlar.”
      “Kiranızı zamanında ödemenize yardımcı olur, nakit akışınızı iyileştirir ve kredi geçmişi oluşturmanızı sağlar.”
    • Reklam takip teknolojisi satan bir şirket bir keresinde benzer bir demo yapmıştı.
      GDPR öncesi Fransa’daydı; hava durumu uygulamaları gibi çeşitli uygulamalarla ortaklık kurup kullanıcı konumuna erişiyorlardı.
      Hedef kitlenin ölçeğini tam hatırlamıyorum ama Fransa nüfusunun büyük bir kısmıydı.
      Paris haritasını gösterip belirli bir kullanıcının evden çıktıktan sonra hangi rotayı izlediğini, hangi dükkânın önünde ne kadar durduğunu, başka bir dükkânın içinde ne kadar zaman geçirdiğini bile gösterdiler.
      O sırada yöneticim bunu son derece heyecan verici bulmuştu.
  • Nihayet. Herkes şirketlerin kelimenin tam anlamıyla her şeyden önce kârı öncelediğini “biliyor”.
    FTC’nin geri döndüğünü görmek güzel; anlamlı ilerleme ancak güçlü düzenleme olduğunda mümkün gibi görünüyor.
    Başka bir önemli örnek EPA. Düzenleme ve yaptırım yerleşmeden önce kirlilik o kadar kötüydü ki bazı şehirlerde insanların dışarıda gaz maskesi takması gereken dönemler vardı; CFC emisyonları da benzerdi.
    İnternetin gelişimi, çoğunlukla düzenlemeleri geri alan muhafazakâr liderlik altında hızlandı; bu süreçte çok fazla inovasyon oldu ama bu kârı her şeyin önüne koyan ortama bu kadar odaklanılmasaydı çok daha fazlasının başarılabileceğini düşünüyorum.

    • Keşke EPA gürültü kirliliği konusunda çuvallamasaydı.
    • İnsanlar da mahremiyet yerine parayı seçiyor.
      Bu tür şirketlerde çalışmayı reddetmiyorlar; bu sistemleri uygulayıp büyük para kazanıyorlar.
    • Bu şirketleri kontrol altına almak için daha iyi düzenlemelere ihtiyaç olduğu doğru, ama tam da bu şirketler siyasetçileri ve mümkün olan herkesi satın almaya çalışacak.
      Kolay ya da hızlı bir çözüm olmayacak; gereken yasa ve düzenlemelerin geçmesi için halkın daha fazla dahil olması gerekiyor.
    • Dışarıda gaz maskesi takmak zorunda kalmak, kirlilik düzenlemelerinin eksikliğinin yol açtığı epey kötü ve somut bir zarar gibi geliyor.
      Veri toplama düzenlemelerinin eksikliğinin yol açtığı benzer derecede somut bir zarar örneği var mı?
    • Düzenlemelerden önce şirketler nehirlere her şeyi boşaltıyordu; gerçekten alev alan nehirler vardı, üstelik bu birkaç kez tekrarlandı.
      İnsanların bazen samimi biçimde “bunu engellemeye gerek yok” demesine gerçekten inanamıyorum.
  • Rapor bağlantıları yazının başında var:
    https://www.ftc.gov/news-events/news/press-releases/2024/09/...
    https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...
    Düzenleme: PDF bağlantısı eklendi.

    • Personel raporunda şöyle deniyor: “Toplanan verilere göre, birçok şirket hizmetlerinin çocuklara yönelik olmadığını veya çocukların hesap oluşturmasına izin vermediğini belirterek platformlarında çocuk bulunmadığını iddia ediyor.”
      Her türden ince ilgi alanı ve bağlam için reklam kitlelerini son derece ayrıntılı biçimde hedefleyebiliyorlar ama birinin çocuk olup olmadığını belirleme teknolojisini bir türlü tamamlayamamış olmaları ilginç.
      Eminim yıllardır gece gündüz uygulamaya çalıştıkları, yakalanması çok zor bir teknolojidir.
      Sanki bilmiyormuş gibi yapmaktan çıkar sağlıyorlar.
  • Zaten bildiğimiz şeyi bize söylemek için 4 yıllık bir soruşturma yapılmış gibi
    Asıl soru, federal hükümetin ya da herhangi birinin bu konuda ne yapacağı

    • Pek çok kişi, zaten “sağduyu” olan bir şeyi neden araştırıp belgeliyoruz diye soruyor
      Bilimsel araştırmalarda da böyledir; para israfı gibi görünebilir
      Ama o işi gerçekten yapana kadar bildiğiniz söylenemez
      Bilim insanları ve kamu görevlileri sağduyuya atıf yapamaz; sonuç doğru çıksa bile ayrıntılar önemlidir
      Ölçek önemlidir, çalışma mekanizması önemlidir
    • Hükümet hiçbir şey yapmayacak
      Çünkü hükümet de yasayla doğrudan yapamadığı gözetimi yapmak istiyor
      Şirket gözetimi varsa hükümet de bundan yararlanabilir; bu yüzden hükümet için de avantajlıdır
    • Benim istediğim, mahremiyete yönelik devlet ihlallerini yasaklayan bir anayasa değişikliği, bu hakkı bireyler ile özel taraflar arasındaki etkileşimlere de genişleten bir yasa, bu korumayı uygulatacak bütçe, hak ihlalleri için hukuki yaptırımlar ve bu tür davalara bakacak mahkemeler için bütçe
      Gerçekte beklediğim şey ise aşırı derecede istilacı gözetimin, ülke içinde denetlenen şirketlerle sınırlanması gibi bir şey
    • Bu rapor yasama için bir çerçeve sağlıyor
      Kesinlikle “zaten bildiğimiz şeyi söylüyor” düzeyinde değil
    • Birçok kişi aslında yanlış olan şeyleri “bildiğini” sanıyor
      Bu soruşturma, hükümet devlet gücünü kullanmadan önce neler olup bittiğinden emin olmak için önemli bir ilk adım ve bu iyi bir şey
      Hava durumuna ya da söylentilere dayanarak devlet gücü kullanılması arzu edilir bir şey değil
      Biden FTC’si ekonomi genelindeki çeşitli tüketici karşıtı uygulamalara karşı oldukça agresif davrandı ve bu tür raporların ardından genellikle bu tür adımlar geliyor
      Görece yakında bir eylem geleceğini düşünüyorum
  • Kredi derecelendirme kuruluşları ve bankaların sakladığı bilgiler çok daha korkutucu
    Çalıştığınız tüm yerlerdeki maaşınızı ve ikamet adreslerinizi biliyorlar
    Son dönemde sızıntılar o kadar çok oldu ki artık herkes dark web’de bu bilgileri bulabiliyor

  • O lafın ahırdan çıkması 10 yıldan da önce oldu
    Eskiden yaklaşan kurumsal siberpunk distopyasının risklerini azaltmak için güvenlik ve mahremiyet alanında çalışıyordum; şimdi ise hükümetin gözetim tekeline sahip olmasını en kötü sonuç olarak görüyorum
    Asıl çözüm, kişisel bilgilerin nasıl toplandığına bağlı olarak belirli kişisel bilgi kategorilerini medeni ve şiddet içermeyen ceza süreçlerinde hukuken ayrıcalıklı kılmak ya da hariç tutmak ve ticari kararlarda önemli olan kişisel olarak tanımlanabilir bilgi toplama kaynaklarını tekliflerde ve sözleşmelerde açıklamayı zorunlu kılmak
    Böylece sigortacılar ve alacaklılar rant kollayıcı gibi davranmak yerine yeniden gerçek riski üstlenmek zorunda kalır; polis yöneten değil kamu hizmetkârı olmalı ve delil olarak kullanılan kişisel bilgilerin kaynağının açık rızayı içeren yasal ve düzenlenmiş kaynaklar olduğunu kanıtlamalıdır
    Veri toplama akışını durduramayız, ama bunu yöneten yasaları iyileştirebiliriz

    • Bu, ikisinden birini seçme meselesi değil
      Kişisel bilgi toplamayı doğrudan yasaklarsanız bu hem devlete hem de reklamcılara uygulanabilir
      Bilgi güçtür ve sigortacılar ile üreticiler hakkınızda her şeyi bilirse, yoksul bir kurban gibi sonuna kadar sıkılırsınız
      Keyfim kötü olduğunda, bilgilerini aşırı paylaşan insanların bu kaderi kendi başlarına açtığına inandığım da oluyor; ama bilgi toplamayı düzenlemeye ya da sızıntı durumunda ağır parasal cezalarla ciddi biçimde sorumlu tutmaya karşı pek argüman yok
      Düzenlemenin kendisi zor olmayacaktır. Uygulaması kolay olmayacak ama birçok şirket için daha denemek bile fazla riskli olabilir
  • Reklam sektörünü askerî-sanayi kompleksinden çok daha kötü görmeye başladım ve umarım bir gün daha yüce bir güç ilgili yöneticileri büyük bir intikam ve şiddetli bir öfkeyle cezalandırır

  • Devletin özel şirketlerin gözetimini düzenlemesini ikiyüzlülük olarak görüyorum
    Bu şirketlerin veri toplama teknolojilerini kullanmama seçeneğiniz var, ama devlet gözetimini reddedemezsiniz
    Devleti iyi taraf, şirketleri kötü taraf yapan oyunu oynamayalım

    • O zaman aynı şeyi silahlara da uygulayalım
    • Şirketlerin devletle aynı haklara sahip olmasını istemiyorsanız, burada ikiyüzlülük sözü tamamen yanlış bir ifade
      Elbette bu meseleden bağımsız olarak devlet de bu bilgileri toplamamalı
    • Devlet gözetimini savunmak istemem ama yine de en azından bana, tartışmalı ve sahte bile olsa, bir ölçüde güvenlik hissi ve çıkar gözetmeyen suç soruşturması sunuyor
      Özel dedektifler ise yalnızca bitmek bilmeyen bir reklam bataklığı sunuyor ve bu beni her gün tüketiyor
    • Şirketlerin yürüttüğü devasa ve her yere yayılmış veri toplamadan basitçe çıkabileceğinizi düşünmek son derece safça
      Şirketleri saf seyirciler, devleti de şeytani düşman yapan oyunu da oynamayalım
  • Karanlıkta bırakılmış değiliz
    Artık 2016 değil ve bu şirketleri kullanıyorsanız ne yaptıklarını gayet iyi biliyorsunuz demektir
    Biraz olgunlaşın; ya bu hizmetleri kullanmanın sorumluluğunu alın ya da verilerinizi silip gidin
    2024’te bunu görüp şoke olan kimseye zerre sempati duymuyorum
    Üstelik kendi verilerinizin sahibi değilsiniz
    Bu fikir zaten anlamsız bir saçmalık
    Bunu kabul ederseniz hayat çok daha basitleşir
    Hisse değeri artışı ve teknoloji işleri istiyorsanız, anlaşmanın bir parçası bu
    Bunu ben yaratmadım, sorumluluğu da bana ait değil ama gerçek bu

  • Bu, optimum küresel fiyatlandırmayı çılgın bir dünyaya çevirecek
    Her şey, herkesin ödeyebileceği azami tutara göre fiyatlandırılacak; ama insanlar çok daha az tüketecek ve daha mutsuz olacak, böylece tüm sistem çökecek