ABD Gümrük ve Göçmenlik ve Gümrük Muhafaza Kurumu’na uçuş bilgisi satan veri brokerı

 (eff.org)
1 puan yazan GN⁺ 2025-07-15 | 1 yorum | WhatsApp'ta paylaş
  • Veri brokerları, kişilerin uçuşla ilgili bilgilerini ABD Gümrük ve Sınır Koruma (CBP) ile Göçmenlik ve Gümrük Muhafaza Kurumu’na (ICE) satıyor
  • Airlines Reporting Corporation (ARC)’ın yolcu kayıtlarını toplayıp devlet kurumlarıyla paylaştığı yakın zamanda ortaya çıktı
  • Kullanıcı onayı olmadan bilgiler satılıyor ve bu durum, mahremiyetin yanı sıra anayasal hakların etrafından dolaşılması sorununa yol açıyor
  • Hassas konum bilgileri, internet kullanım kayıtları, kamu hizmeti verileri de benzer şekilde derlenip kolluk kuvvetlerine aktarılıyor
  • Bu sorunun çözümü için ‘Privacy First’ ve ‘Fourth Amendment is Not For Sale’ gibi güçlü mahremiyet yasalarına duyulan ihtiyaç öne çıkıyor

Veri brokerları ve kişisel verilerin satışı sorunu

  • Veri brokerları uzun süredir kişisel verilerin korunmasına ilişkin yasal boşluklardan yararlanarak kullanıcı bilgisi topluyor
  • Bizim onayımız olmadan konum bilgisi gibi hassas verileri satıyorlar ve başlıca müşterileri arasında kolluk kuvvetleri de yer alıyor
  • Bu veri piyasası, kişisel veri toplayabilen herkesin gelir elde edebildiği bir yapı sunduğu için, hukuku dolanmak isteyen devlet kurumları açısından da cazip hale geliyor

ARC’nin uçuş bilgisi satışı vakası

  • 404 Media ve diğer medya kuruluşlarının ifşasına göre, Airlines Reporting Corporation (ARC) ABD’deki en az 8 büyük havayolunun sahip olduğu ve işlettiği bir veri brokerı
  • United Airlines, American Airlines ve diğerlerinden yolcu listeleri, tam seyahat programları, ödeme ayrıntıları gibi hassas bilet verilerini toplayıp bunları gizlice ABD Gümrük ve Sınır Koruma’ya (CBP) satıyor
  • Veri brokerları, bilginin kaynağını gizleme yöntemleri de kullanarak devlet kurumlarının bu bilgilerin kaynağını açıklamasını engelliyor
  • Yani devletin arama izni gibi adli süreçler olmadan bilgiye erişmesini mümkün kılıyor; kaynağın da gizlenmesiyle birlikte mahremiyet ihlali ve hakların etrafından dolaşılması sorunu doğuyor

Travel Intelligence Program (TIP) ve etkileri

  • ARC’nin Travel Intelligence Program (TIP) sistemi, geçmiş ve gelecek 39 aya yayılan 1 milyardan fazla hava yolculuğu kaydını topluyor
  • CBP, iç raporlarında bu bilgilere yerel polis ve eyalet polisinin dikkatini çeken kişilerin tespitine destek olmak için ihtiyaç duyduğunu belirtiyor
  • Ancak ABD içinde göçmenlik denetimlerinin ve makul olmayan durdurma ile aramaların arttığı bir ortamda, bu bilgilerin masum yolcuların da şüpheli kapsamına alınması riskini büyüttüğü belirtiliyor

ARC’nin etkisi ve havayollarının katılımı

  • ARC üzerinden dünya genelindeki uçuş bilgilerinin %54’ünden fazlası işleniyor ve bu ağa 200’den fazla havayolu katılıyor
  • Yönetim kurulunda JetBlue, Delta, Lufthansa, Air France, Air Canada gibi ABD’li ve uluslararası havayollarının çok sayıda temsilcisi bulunuyor
  • Hassas bilgileri kolluk kuvvetlerine toplu halde satarak havayolları, kişisel mahremiyet yerine geliri önceleyen bir tutum sergiliyor
  • Nitekim ICE’nin, ARC’den yolcuların kişisel verilerini satın aldığına ilişkin kayıtlar yakın zamanda ortaya çıktı

Yaygın etkiler ve mevcut mahremiyet ihlalleri

  • Serbest dolaşım demokratik toplumun temel unsurlarından biri olmasına rağmen, ARC gibi veri brokerları seyahat geçmişinin gizlice izlenebildiği bir ortam yaratıyor
  • ABD’de bugün uyruk, din, siyasi eğilim gibi özelliklere bağlı hukuki dezavantaj olasılığına ilişkin tartışmalar büyürken, ARC verilerinin kullanımının kamu gücünün kötüye kullanılmasına yol açma riski bulunuyor
  • Veri brokerları, uçuş bilgilerinin yanı sıra akıllı telefon konum verileri, internet omurga verileri, kamu hizmeti kayıtları da satarak mahremiyet ihlalinin kapsamını genişletiyor

Politika talepleri ve çözüm yolları

  • Devlet kurumlarının sınırlar gibi alanlarda özgürlükleri ve hakları zayıflatan önlemleri artırdığı bu dönemde, bu tür *** büyük ölçekli veri toplama ve satış faaliyetleri daha da büyük kaygı*** yaratıyor
  • ARC vakası, ‘Privacy First’ gibi mahremiyeti önceleyen yasa tekliflerinin gerekliliği ile şirketlerin veri işlemesini asgari düzeye indirme ilkesinin yasalaştırılması talebine yönelik farkındalığı artırıyor
  • Ayrıca kolluk kuvvetlerinin veri brokerlarından bilgi satın alarak arama izni olmadan veri toplama engellerini aşamaması için ‘Fourth Amendment is Not For Sale’ yasa teklifinin kabul edilmesi gerektiği vurgulanıyor
  • Son olarak veri brokerlarının kayda alınması ve şeffaflığın artırılması gibi düzenlemeler de acil bir gündem maddesi olarak öne çıkıyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-07-15
Hacker News görüşü

  • Pek çok kişi, ayrıcalıklı bir birincil veri erişimi olmadan bile böyle veri modelleri kurmanın ne kadar kolay olduğunun farkında değil. 2012'de yaptığım bir prototip, yalnızca sosyal medya veya reklam verileriyle bile çoğu insanın uçuş geçmişinin büyük ölçekte ve doğru biçimde izlenebildiğini gösteriyordu. Bu çok uzun zamandır mümkündü. Kabaca yöntem şu: varlık grafiği içinde saatte 300 km'nin altındaki ya da 200 km'den kısa mesafeli uzay-zaman kenarlarını filtreliyorsunuz. Bu eşikle “uçağa binmiş olma” durumu tahmin edilebiliyor, kalkış ve varış noktaları da çıkarılabiliyordu. Bu kenarları kamuya açık uçuş verileriyle ya da jet motorlarının bakım IoT verileriyle ilişkilendirirseniz belirli bir uçuşa kadar eşleştirmek mümkün. Çoğu kişi, sıradan endüstriyel IoT verilerinin başka alanlardaki ilişkileri çıkarsamak için nasıl kullanılabildiğini gözden kaçırıyor. Nadiren aynı anda birden fazla olası uçuş bulunan durumlar oluyordu ama geçmiş uçuş geçmişine bakıp kişinin daha önce tercih ettiği ana havayolunu seçince neredeyse her zaman kusursuz eşleşiyordu. Etkileyici derecede iyi çalışıyordu ve bunun için ne havayolunun birincil verisine ne de karmaşık analize ihtiyaç vardı. Sonuçta zaman ve mekan, gerçek dünyanın birincil anahtarıdır

    • “Uçuş olasılığı olan rotaları ayıkladık” açıklamasını duyunca, meselenin özünün en başta kimin 'uzay-zaman verisine' sahip olduğu olduğu anlaşılıyor. Sonuçta bu, “kredi kartı işlem geçmişin varsa ne zaman, nerede, hangi mağazaya gittiğini bilirsin” demekten farklı değil. Tüyler ürpertici ama gerçekten ciddi olan şey, böyle bir veri erişiminin mümkün olması. Birinin kaba konumunu zaman dilimlerine göre bütünüyle biliyorsanız, tek tek hangi uçuşlara bindiğinden çok uzay-zaman verisinin kendisi daha büyük değere sahip olur

    • Bana ilginç gelen, insanların türlü kişisel verilerin toplanıp kötüye kullanılabileceğinden endişe etmesine rağmen, çoğu durumda bu bilgilerle yapılan şeyin sadece daha fazla hedefli reklam göstermek olması

    • “Jet motorlarının bakım IoT verileri” gibi bir şeye nereden ulaşılıyor ki?

    • Muhtemelen ICE böyle verilere, belirli bir kişinin hangi şehirleri/ülkeleri ne zaman ziyaret ettiğini takip etmek için ihtiyaç duyuyordur

  • ARC'yi sadece bir “veri brokerı” olarak tanımlamak ilginç. Aslında ARC ve IATA, uçak bileti ödemeleri için birer clearinghouse olmanın yanında ilgili sektör sistemlerini sürdüren ve denetleyen yapılar. İşlem verisi zaten doğal olarak bunlara akıyor ve onlar da bunu satarak gelir elde ediyor. Ama bu, diğer veri brokerları gibi dışarıdan veri toplayıp yeniden satma modeli değil; burada doğrudan sahip oldukları birincil veri söz konusu. Bu kadar hassas ve anonimleştirilmemiş verinin satılmasına ya da paylaşılmasına izin verilmeli mi, asıl temel tartışma bu; ama aynı zamanda bunun ne kadar temel bir birincil veri olduğunu da gösteriyor. Airline Reporting Corporation'ın yapısını anlatan bağlantı da faydalı olabilir

    • Bu açıklama, makalede ele alınan ana noktaya pek itiraz etmiyor

  • Brokerların sattığı verinin miktarı ve kapsamı hayal edilenden çok daha büyük. En kötü ihtimali düşünseniz bile gerçek durum muhtemelen onun on katı kadar kötü

    • Bir iş arkadaşım bir keresinde belirli bir kişiyi hedefleyen görsel banner reklamı gösterip içine “Ben sana bu kadarını bile yapabileceğimi söylemiştim, dostum!” metnini koyarak etkisini sergilemişti. Sıradan insanlar reklam şirketlerinin ve veri brokerlarının kendileri hakkında ne kadar çok şey bildiğinin neredeyse hiç farkında değil

    • 2014 civarında işe alımcılarla çalışırken, insanların bilgilerini LinkedIn, Yelp, Twitter, GitHub, Eventbrite gibi yerlerden çeken araçlar görmüştüm. O dönemde bile 10 yılı aşkın geçmişi kapsayacak kadar geniş veri toplamak mümkündü. Palantir gibi bir yerle çalışılırsa devletin Reddit gönderileri üzerinde bile stil analizi ya da psikolojik analiz yapabileceğini düşünüyorum

    • Böyle veri profilleri gerektiren bir sanat projesi fikrim var; ucuza satın alınabilecek iyi kaynak önerisi olan var mı? Proje çok büyük ölçekli olduğu için nereden başlayacağımı bilmiyorum

    • Bu sektörde çalışan biri olarak, durumun gerçekte “1000 kat daha kötü” olduğunu hissediyorum

    • Bence HN kullanıcılarının çoğu sektörün gerçekte nasıl işlediğini neredeyse hiç anlamıyor. Yönü baştan tamamen farklı kurmak gerekiyor gibi. Çoğu kişi kişisel verilerini satanın en fazla Google olduğunu sanıyor ama veri sektöründe denetim çok daha gevşek. Örneğin, 35 yaşındaki bir mahalle dişçisinin kredi kartı işlem kayıtlarını tam o kişiye özel, istediğiniz formatta, ertesi güne çıkarttırmak için telefon açıp sipariş vermek bile mümkün olacak kadar kolay

  • Veri pazarının ne kadar iyi gizlendiğine şaşırıyorum. Sayısız büyük şirket her gün veri çıkarıyor ve ticaretini yapıyor ama bu kadar gürültülü “merkeziyetsizlik” rüzgarına rağmen ortada açık bir veri pazaryeri yok. Ben, açık davranış verilerinin de alınıp satılabildiği bir modelin ortaya çıkmasını istiyordum ve insanların sadece bir “ürün” olmak yerine şirketlere veri sağlayıp bunun karşılığını aldığı bir yapıya geçilmesini isterdim

    • Aslında o kadar da gizli değil gibi geliyor. 2021'de 50 yıllık bir husumeti kapatmak için bir başkasının evine giden birinin CCTV görüntüsünde elinde PeopleFinders klasörü olduğu görülmüştü. Asıl şaşırtıcı olan, devlet kurumlarının bile bu tür verileri satıyor olması

    • Böyle bir gelir modelinden daha fazla pay almaya çalışmak yerine hepsini kapatıp durdurmak gerektiğini düşünüyorum

  • CBP ve ICE'nin neden bir veri brokerından bilgi satın almak zorunda olduğunu anlamıyorum. TSA zaten herkesin biniş kartını tarıyor

    • Muhtemelen TSA'nin topladığı verilere erişmek için sıkı kurallar ve süreçler vardır; ama aynı bilgiyi brokerdan satın almak için neredeyse hiçbir şart gerekmiyordur. Verinin kaynağı da TSA değil, havayolları, ödeme şirketleri ve başkaları olabilir. Broker verisinin kalitesini garanti etmek zor olsa da süreç çok daha kolay

    • Federal bir kurumda çalışırken, benim açımdan halka açık tweet'leri bile toplamak için neden gerekli olduğunu, hangi kişisel verilerin saklanacağını, ne kadar süre tutulacağını ve nasıl silineceğini belgelendirip bizzat onay almam gerekiyordu. Sıradan bir insanın hafta sonu yapabileceği şeyler bile devlet içinde muazzam onay süreçleri gerektiriyor. Peki başka bir kurumun verisini talep etmek istersem? Bu, tahayyül edilenden çok daha büyük bir siyasi yük getiriyor. İşbirliği içindeki kurumlar arasında bile kolay değil; hatta toplantılarda meslektaş kurumdan böyle bir talepte bulunmayı anmanın bile gereksiz sürtüşme yaratacağı söylenmişti. Buna karşılık veri brokerından satın alırsanız bu karmaşık prosedürlerin hiçbiri gerekmiyor

    • Muhtemelen bir neden de TSA'nin onayı kolay kolay dağıtmaması. Bir bakıma polisin telefon verilerini istemesi için mahkeme kararı gerekmesi ama telekom şirketinin gerçek zamanlı konumu üçüncü taraflara satması ve polisin de gidip bunu satın alabilmesi gibi. İlgili bağlantı

    • Devlet hukuk ve anayasayı aşmak için şirketleri, şirketler de düzenlemelerden kaçmak için devleti kullanıyor. Çok eski bir düzen bu

    • Düzenleme ve hukuk sebeplerinin yanında, kurum içinde farklı ekiplerin kullanabileceği pratik veri akışları kurup bunları koordine etmek, zaten veri kürasyonu, yönetimi ve dağıtımı için optimize olmuş bir brokerdan satın almaktan daha zor ve pahalıdır. Saçma görünse de sonunda premium ödeseniz bile broker verisi daha rahat ve daha güvenilir hale geliyor. TSA'nin teknik ekibinin veriye metadata ekleyip SLA yönetmesi için özel bir teşviki yok. Veri brokerlarının ise bunun için her zaman teşviki var

  • yaelwrites/Big-Ass-Data-Broker-Opt-Out-List veri brokerlarından çıkış sürecine başlamak için iyi bir liste. Ancak makalede geçen ARC şu an için bu listede yok

  • Konudan biraz ayrı ama, sıradan şirketlerin (reklam şirketleri hariç) tüketici verileri ve davranış kalıplarını satarak gerçekte ne kadar gelir elde ettiğine dair kabaca tahmini olan var mı merak ediyorum

  • Yaklaşık iki ay önce HN'de ilgili bir tartışma ve başka bir başlık daha vardı

  • Bu örneği ilginç kılan şey şu: geçmişte kötü şöhretli brokerların AB'de ticari varlığı olmadığı için GDPR cezalarını görmezden gelmesi ya da beklenen kâr çok daha büyükse bunu sadece bir risk olarak kabul etmesi mümkündü (ör. Clearview). Ama havayolları gibi esas işinde marjı düşük, küresel geliri yüksek şirketler için GDPR ihlali çok daha yıkıcı olabilir. Veri denetleyicisi havayoluysa, brokera veri sağlamak başlı başına yasa dışı olabilir; ayrıca AB'ye ciddi biçimde açık oldukları için cezadan kaçmaları da zordur. Hatta en uç durumda bir üye devlet uçağın kendisine el koyabilir ya da tüm uçuşları yasaklamaya çalışabilir. Almanya'nın Tayland veliaht prensinin uçağına el koyduğu örnek de var. İlgili haber bağlantısı

    • Havayolları büyük bir veri kaynağı gibi görünse de gerçekte kaynaklar çok çeşitli. Biniş kartı barkodları inanılmaz miktarda bilgi içeriyor ve bunlar şifreli değil, sadece kodlanmış; yani okumak yeterli. Barkod okuyucuları pek çok şirket tarafından üretilip satılıyor ve check-in, bagaj, duty free, lounge gibi havaalanında barkod taranan çok yer var. Ölçülen bilgiler farklı yollarla biriktirilebilir. Pasaport tarayıcıları da ucuza bulunabiliyor ve havaalanı mağazalarıyla araç kiralama noktaları bunları sıkça kullanıyor. Son dönemde yüz tanıma teknolojisi yüzünden bazen biniş kartı ya da pasaport kontrolü olmadan da uçağa biniliyor. Uber rezervasyon bilgileri gibi yan veriler de birleştirilebilir. Barkodlarla ilgili ayrıntılı bağlantı

  • Para ödeyerek kendim ve başkaları hakkında veri brokerlarından ne tür bilgiler edinebileceğimi merak ediyorum; böyle brokerlara nasıl erişileceğini bilen var mı?