Polis Çevrimiçi Özel Verilerinizi Nasıl Elde Edebilir

 (eff.org)
1 puan yazan GN⁺ 2025-11-11 | 1 yorum | WhatsApp'ta paylaş
  • ABD’deki federal ve eyalet yasaları, kolluk kuvvetlerine çevrimiçi hizmetlere verilen kişisel bilgileri talep etme yetkisi verir
  • Kolluk kuvvetleri, abonelik bilgileri, meta veriler, saklanan içerik, iletişim sırasındaki içerik gibi çeşitli veri türlerini yasal süreçler yoluyla elde edebilir
  • Bu talepler mahkeme celbi, mahkeme emri, arama emri, süper emir gibi türlere ayrılır; her süreçte gereken delil düzeyi ve kullanıcıya bildirim yapılıp yapılmayacağı farklıdır
  • Hizmet sağlayıcılar, asgari veri toplama, şeffaflık raporları, uçtan uca şifreleme (e2ee) gibi yöntemlerle kullanıcı gizliliğini güçlendirebilir
  • Bireyler ve hizmet sağlayıcılar birlikte hareket ettiğinde aşırı gözetim ve veri kötüye kullanımını sınırlamak mümkün olabilir

Çevrimiçi özel verilere erişimin hukuki yapısı

  • ABD’deki kolluk kuvvetleri, çeşitli yasal süreçler aracılığıyla çevrimiçi hizmetlerde saklanan kişisel verileri talep edebilir
    • Federal ve eyalet yasaları bu erişim yetkisini düzenler
    • Kullanıcılar, verilerini paylaştıkları andan itibaren bu hukuki riski bilmelidir
  • İnternetin ilk dönemlerinden beri aşırı el koyma ve arama örnekleri vardı; bugün ise yalnızca büyük hizmetler değil, kendi sunucusunu işleten kişiler de hedef olabilir
  • “Bulut” sonuçta başkasının bilgisayarı olduğundan, hizmet sağlayıcıların yasal sınırlar içinde kullanıcı gizliliğini koruma sorumluluğu vardır

Toplanabilecek veri türleri

  • Abone verileri: hizmet kullanımı sırasında verilen ad, ödeme bilgisi, IP, e-posta, telefon numarası vb.
    • Bunlar sayesinde anonim bir hesabın gerçek kullanıcısı tespit edilebilir
  • İçerik dışı veriler (meta veriler): bağlantı zamanı, iletişim kurulan kişiler, kullanım kalıpları vb.
    • Kolluk kuvvetleri bunlarla sosyal ilişki ağını ya da oturum açma geçmişini izleyebilir
  • Saklanan içerik: mesajlar, taslaklar gibi hizmetin erişebildiği gerçek içerik
    • Amaç suç delili elde etmek olabilir, ancak aşırı geniş taleplerde başka kullanıcıların bilgileri de kapsama girebilir
  • Aktarım halindeki içerik: iletişim sürerken akan gerçek zamanlı veriler
    • Kolluk kuvvetleri hizmete dinleme emri verebilir ve bu durum ilgili kullanıcıların gizliliğini de etkiler

Veriye erişimde kullanılan yasal süreçler

  • Mahkeme celbi (Subpoena)
    • Hâkim onayı olmadan çıkarılabilir; soruşturmayla ilgili olduğunu göstermek yeterlidir
    • Mahkeme denetimi sınırlı olduğu için kötüye kullanım riski yüksektir
  • Mahkeme emri (Court Order)
    • Belirli bir yasaya dayanır ve hâkim onayı gerektirir
    • Örn. Stored Communications Act (SCA) kapsamında içerik dışı bilgi talep edilebilir
  • Arama emri (Search Warrant)
    • Hâkim tarafından verilir ve suç delili bulunma ihtimalinin (probable cause) gösterilmesini gerektirir
    • Genellikle önceden itiraz edilemez; buna gizlilik emri (gag order) eşlik edebilir
  • Süper emir (Super Warrant)
    • Gerçek zamanlı iletişim dinlemesi içindir; tükenme (exhaustion) ve asgariye indirme (minimization) şartları gerekir
    • Dinleme sırasında hedef kişiye bildirim yapılamaz; bazı durumlarda işlem bittikten sonra bildirim zorunluluğu vardır
  • Gizlilik emri (Gag Order)
    • Kolluk kuvvetleri, hizmet sağlayıcının gözetim gerçeğini açıklamasını yasaklayabilir
    • EFF, bunun ifade özgürlüğünü ihlal edebileceği gerekçesiyle bu uygulamaya sürekli itiraz ediyor

Hizmet sağlayıcılar kullanıcı korumasını nasıl güçlendirebilir

  • Yasal sürece uyum: gayriresmî bilgi paylaşımı ya da istisna tanımak gizlilik ihlaline yol açabilir
    • Küçük ölçekli barındırma sağlayıcıları da hukuk danışmanlığı alarak haksız taleplere karşı koymalıdır
  • Haksız taleplere itiraz: aşırı geniş ya da anayasaya aykırı talepler mahkemede geçersiz kılınabilir
  • Kullanıcıya bildirim: yasal olarak yasaklanmadığı sürece, talebin varlığı kullanıcıya hızla bildirilmelidir
  • Açık gizlilik politikası: “gerektiğinde paylaşırız” gibi muğlak ifadeler yerine, yasal sınırlar içinde mümkün olan en güçlü direniş iradesi açıkça belirtilmelidir
    • Düzenli şeffaflık raporları yayımlamak güven oluşturur
  • Asgari veri toplama ve daha kısa saklama süresi
    • Gereksiz veriler soruşturmalara konu olabilir; bu yüzden otomatik silme politikaları ve kaybolan mesaj özelliği etkilidir
  • Veri paylaşımını sınırlama
    • Üçüncü taraf oturum açma, reklam ağları ve veri broker’larıyla paylaşım en aza indirilmelidir
    • Veri broker’ları üzerinden dolaylı soruşturma erişimi ihtimalini azaltır
  • Gerçek uçtan uca şifreleme (e2ee)
    • Hizmet sağlayıcının bile mesaj içeriğini göremediği bir yapı
    • Örn. Signal yalnızca telefon numarası, oluşturulma tarihi ve son bağlantı tarihini tutar
    • Arka kapılı şifreleme ya da istemci tarafı tarama, e2ee ilkesine aykırıdır

Bireysel kullanıcıların alabileceği koruma önlemleri

  • Kişisel verilerin korunması, güvenilir hizmetleri seçmek ve güvenlik ayarlarını güçlendirmekle başlar
  • Risk değerlendirmesi ve korunma yöntemleri, EFF’nin Surveillance Self-Defense (SSD) kaynaklarından öğrenilebilir
  • Privacy Badger gibi tarayıcı eklentileriyle veri takibi engellenebilir
  • Gizlilik, ortak çabayla korunur; eğitim ve politika iyileştirmelerine katılım önemlidir
  • Yerel ve ulusal düzeyde dijital hakları koruma hareketlerine katılım, uzun vadeli değişim sağlayabilir

İlgili okumalar

1 yorum

 
GN⁺ 2025-11-11
Hacker News yorumu

  • İşbirlikçi belgeleri uçtan uca şifreleme ile koruyan CryptPad kullanıyorum
    Özellikle Kanban uygulaması çok hızlı. Karşılaştırınca Trello fazla ağır ve yavaş kalıyor
    Bir diğer öneri de XMPP protokolü. OMEMO (namıdiğer Signal protokolü) ile E2E şifrelemeyi destekliyor; Dino (Debian) ve Conversations (Android) istemcilerini kullanıyorum
    WhatsApp gibi sesli ve görüntülü arama da var, ayrıca açık kanallar üzerinden yeni insanlarla da bağlantı kurulabiliyor
    Sunucu sağlayıcıları providers.xmpp.net adresinde bulunabilir. Hepsinin özgür yazılım tabanlı olması hoşuma gidiyor

  • “Bulut diye bir şey yok, sadece başkasının bilgisayarı var” sözü aklımda kaldı
    EFF'nin artık Stallman'dan alıntı yapıyor olması, eninde sonunda onun haklı olduğunu kabul ettiklerini düşündürüyor

    • EFF'nin Stallman'ın görüşlerini inkâr ettiğini sanmıyorum
      2021'de FSF'ye yeniden seçilmesine karşı çıkmaları, özgür yazılım felsefesi yüzünden değil davranış sorunları yüzündendi
    • O meme'i Stallman üretmiş olmayabilir
    • Stallman özgür yazılım konusunda çoğu kez haklı olsa da, Epstein olayı ve reşit olmayanlarla ilgili açıklamaları yüzünden karakter olarak hayal kırıklığı yaratıyor

  • Veri brokerları, yasal gözetimdeki bir boşluk
    Polis, arama emri olmadan bile ticari brokerlardan kişisel veri satın alabiliyor
    Bu pazar düzenlenmediği için, geleneksel gizlilik korumalarını tamamen baypas ediyor
    Gerçek zamanlı iletişim dinlemesi için bir süper arama emri gerekiyor ama çoğu insan bunun varlığını bile bilmiyor
    Ayrıca gizlilik emri (gag order) nedeniyle şirketlerin kullanıcılara bu talepleri bildirmesi engelleniyor; böylece gözetimin ölçeği gizli kalıyor

  • Yazıdaki “saklanan iletişim için çıkarılan arama emirlerine önceden itiraz edilemez” kısmının yanlış olduğunu düşünüyorum
    Pratikte şirketler sık sık yeterli belirginlik olmaması ya da aşırı külfet gerekçesiyle itiraz ediyor
    Örneğin Google, 2024'te aldığı arama emirlerinin yalnızca yaklaşık %90'ında veri sağladığını açıklamıştı
    ABD hukuk sistemi, polisin kötü davranışını doğrudan engellemekten çok, bunun sonucunu mahkemede delil olarak kullanılamaz hâle getirecek şekilde kurulmuş

    • Hukuka aykırı elde edilen deliller dışlanabilir
      Ama arama için önceden alınmış bir arama emri gerektiğinden, hukuk aslında toplamayı en baştan engelleyecek şekilde tasarlanmıştır

  • ABD içindeki veriler ile yabancı istihbarat kurumları arasındaki ilişkiye yazıda neredeyse hiç değinilmemesi üzücü
    Uygulamada, yabancı kolluk kurumları ABD hizmetlerinin kullanıcı verilerini talep ettiğinde nasıl bir süreç işlediğini merak ediyorum
    Örneğin yabancı bir soruşturmacı, ABD'deki bir .com alan adı kayıt şirketinden belirli bir sitenin sahibine dair bilgi istediğinde bunun fiilen nasıl ele alındığını bilmek isterdim
    İlgili bir örnek olarak FBI'ın archive.today kurucusunun kimliğinin açıklanmasını talep ettiği olay aklıma geliyor

  • Bu yazıda ilk kez “süper arama emri (super warrant)” terimini duydum

    • Bu, gerçek zamanlı iletişim dinlemesine uygulanan güçlendirilmiş Dördüncü Değişiklik şartlarını sade bir dille anlatan bir ifade gibi görünüyor

  • Çevrimiçi verilere erişimin Birinci Değişiklik tarafından korunması gerekmiyor mu diye düşünüyorum
    Bir evi aramak için arama emri gerekiyorsa, çevrimiçi veri için de aynı şey geçerli olmalı değil mi?
    Mahkemeler devreye girmezse temel özgürlükler ve haklar ortadan kalkmış oluyor

    • Mahkemeler hizmet sağlayıcıları üçüncü taraf (third party) olarak görüyor
      Kullanıcı veriyi teslim ettiği anda, o verinin artık kendisine ait olmadığı kabul ediliyor
      Bkz. Third-party doctrine
    • Sonuçta yapı, şirketin polise “Bu bizim verimiz, istediğiniz gibi bakın” demesine dayanıyor
      Hukuken mümkün olsa da, gizlilik açısından son derece tehlikeli
    • İlgili olan Birinci Değişiklik değil, Dördüncü Değişiklik (makul olmayan arama ve el koymanın yasaklanması)
      Çevrimiçi veriler sağlayıcının sunucularında bulunduğu için, hukuken kişinin ‘evi’ sayılmıyor
    • Devlet, Dördüncü Değişiklik'i can sıkıcı bir kısıt olarak görüyor ve e-posta metaverisi gibi şeyleri koruma kapsamı dışında bırakıyor
      Sonuçta mantık şu: “Veriniz başkasının bilgisayarındaysa, o kişinin rızası yeterlidir”
    • Özetle, veri başkasının bilgisayarındaysa onların ‘evi’ sayılıyor ve arama yapılabiliyor

  • Google'ın şeffaflık raporu çok yararlı bir kaynak

  • 10 yıl önce yalnızca metaveriye erişim bile büyük tartışma yaratıyordu; şimdi ise mesajların içeriği bizzat izleniyor
    Devlet, arama sonuçlarını manipüle edebilir, belirli bilgileri gizleyebilir ya da öne çıkarabilir
    Hukuki süreçler olduğu söyleniyor ama pratikte bunun çoğu istihbarat amaçlı gözetim ve mahkemede delil olarak kullanılmıyor
    Veri brokerları, uygulama geliştiricileri ve cihaz üreticileri işlerini sürdürebilmek için devletle işbirliği yapmak zorunda
    Hatta kimlik manipülasyonu ya da çevrimiçi temelli kimlik hırsızlığı bile mümkün
    Bulut üzerinde belge üzerinde çalışırken bile kolluk kuvvetlerinin içeriği gerçek zamanlı görebildiğini düşünmek ürpertici

    • “Kolluk kuvvetleri kendilerini hesaba çekmiyor” cümlesindeki ‘çoğu zaman’ ifadesi fazla saf kalıyor
      Gerçekte hiç hesap vermiyorlar; siyasi çıkarlar yüzünden tamamen yozlaşmış durumdalar

  • Arama geçmişi, arama emri veya bildirim olmadan erişilebilen bir alan
    Third-party doctrine nedeniyle koruma görmüyor