Yaş doğrulama ekranına takıldıysanız, şimdi ne yapmalısınız?

 (eff.org)
1 puan yazan GN⁺ 2026-01-16 | 2 yorum | WhatsApp'ta paylaş
  • Çevrimiçi hizmetler yaş doğrulamayı (age gate) zorunlu hale getirirken, kullanıcılar kişisel verilerini ifşa etme riski altında bir seçim yapmaya zorlanıyor
  • EFF, bu tür yasal zorunluluklara karşı çıkıyor ve halihazırda yürürlükte olan sistemlerde bile kullanıcı haklarını azami ölçüde korumak için pratik yanıt yönergeleri sunuyor
  • Yazı, asgari veri paylaşımı ilkesini vurguluyor ve yüz tanıma, kimlik yükleme, kredi kartı doğrulaması gibi yöntemlerin risklerini ve sınırlarını karşılaştırıyor
  • Meta, Google, TikTok gibi büyük platformların yaş tahmini, üçüncü taraf doğrulama ve veri saklama politikaları ayrıntılı biçimde inceleniyor
  • Hiçbir yöntem tam gizlilik güvencesi sağlamadığından, kullanıcıların mümkün olan en az bilgiyi vermesi ve silme prosedürlerini kontrol etmesi şart

Yaş doğrulama sistemlerinin gerçeği ve riskleri

  • EFF, yaş geçitleri ve yaş doğrulama zorunluluğunun ifade özgürlüğünü ve gizliliği ihlal ettiğini açıkça belirtiyor
    • Birçok eyalet ve ülkede yasalar zaten yürürlükte; kullanıcılar web genelinde yaşlarını doğrulamaya zorlanıyor
    • Doğrulama sürecinde hassas veri sızıntısına ilişkin çok sayıda vaka yaşandı
  • Kullanıcıların, hizmeti kullanmaya devam edip etmeyeceklerine ve kişisel veri ifşasını en aza indirmenin yollarına kendilerinin karar vermesi gerekiyor
    • EFF, her doğrulama yöntemi için bir soru kontrol listesi sunuyor: veri türü, erişebilenler, saklama süresi, denetim durumu, ifşa kapsamı
  • Asgari veri paylaşımı ilkesi öneriliyor; mümkün olduğunca az bilgi verilmesi gerektiği vurgulanıyor
    • Yüz tanıma tabanlı tahmin, bazı kullanıcı gruplarında (renkli insanlar, trans bireyler, engelliler vb.) daha düşük doğruluk gösteriyor
    • Dijital kimlik yöntemi yalnızca bazı platformlarda kullanılabiliyor ve bilgi ifşası riski taşıyor

Başlıca platformlarda yaş doğrulama yöntemleri

Meta (Facebook, Instagram, WhatsApp, Messenger, Threads)

  • Meta, paylaşımlar ve mesajlar gibi sinyaller üzerinden kullanıcının yaşını tahmin ediyor
    • Tahmin yapılamazsa veya kullanıcının çok genç olduğu düşünülürse doğrulama isteniyor
  • Yüz tanıma doğrulamasında, fotoğraf işlenmek üzere Yoti sunucularına gönderiliyor
    • Yoti veriyi hemen sildiğini söylüyor, ancak izleyicilerin bulunması üçüncü taraflara ifşa riskini artırıyor
    • Arka planın görünmesi konum bilgisini açığa çıkarabileceğinden dikkat gerekiyor
  • Kimlik yükleme durumunda, hem Meta hem de Yoti veriyi sakladıktan sonra sileceğini belirtiyor
    • Meta 30 gün saklıyor, Yoti ise anında sildiğini ifade ediyor
    • Kimliklerde gerçek ad, adres gibi hassas bilgiler yer aldığından risk sürüyor

Google (Gmail, YouTube)

  • Google, hesabın oluşturulma zamanı ve izleme geçmişi gibi verilerle yaş tahmini yapıyor
    • Tahmin başarısız olursa kimlik, yüz tanıma, e-posta, kredi kartı veya dijital kimlik seçenekleri sunuluyor
  • Private ID üzerinden yapılan yüz tanıma, cihaz içinde işleme sayesinde görece daha güvenli
    • Ancak hedefli saldırılarda görüntünün gönderilmesi ihtimali tamamen ortadan kalkmıyor
  • E-posta doğrulaması VerifyMy tarafından yapılıyor; e-posta adresi üçüncü taraf veritabanlarıyla karşılaştırılıyor
    • Bu üçüncü taraf listesi kamuya açıklanmıyor
  • Kredi kartı doğrulaması, Google Payments üzerinden işlendiği için nispeten daha güvenli
    • Küçük bir ücret çekilip sonra iade ediliyor; gerekirse kart değiştirilebiliyor
  • Dijital kimlik yalnızca bazı bölgelerde kullanılabiliyor ve devlet sistemleriyle iletişim kurulmasını gerektirebiliyor
  • Kimlik yükleme durumunda Google, doğrulamadan sonra verileri sildiğini belirtiyor; ancak harici denetim olup olmadığı belirsiz

TikTok

  • TikTok, yüklenen video ve seslerden otomatik yaş tahmini yapıyor
    • Kullanıcının çok genç olduğu düşünülürse hesap kısıtlanabiliyor veya silinebiliyor; belirli süre içinde itiraz etmek gerekiyor
  • Yoti üzerinden yüz tanıma, Meta ile aynı risk yapısına sahip
  • Kredi kartı doğrulaması, küçük bir ücret çekilip iade edilmesi şeklinde işliyor; ancak güvenli işlenip işlenmediği net değil
  • Ebeveyn/vasi kartı doğrulaması veya bir yetişkinle birlikte fotoğraf çekme seçenekleri de bulunuyor, ancak
    • Bunların gerçek kullanım örnekleri neredeyse yok ve doğrulama süreci şeffaf değil
  • Incode üzerinden kimlik + yüz karşılaştırması yönteminde otomatik veri silme desteği yok
    • TikTok, silme talebini başlattığını söylüyor; ancak Incode'a ayrıca doğrudan silme talebi iletmek gerekiyor
    • Kimlikte gerçek ad, adres gibi hassas bilgiler bulunuyor

Diğer hizmetler ve ortak ilkeler

  • Spotify ve OnlyFans Yoti, Quora ve Discord ise k-ID kullanıyor
  • Hiçbir yöntem tam kişisel veri koruması garantisi vermiyor
    • En az veri paylaşımı, erişimin sınırlandırılması ve hızlı silme temel ilkeler olarak öne çıkıyor
  • EFF, bu sistemlerin kullanıcı gizliliğini ve ifade özgürlüğünü ihlal ettiğini vurguluyor ve
    dünya genelinde yaş doğrulama zorunluluklarının geri çekilmesi için kampanyasını sürdürüyor

İlgili okumalar

2 yorum

 
roxie 2026-01-23

Roblox gerçekten şaka gibi geldi.
 
GN⁺ 2026-01-16
Hacker News görüşleri

  • Çocuğumun yakın zamanda Roblox'u bırakmasının nedeni, yüz doğrulamayla yapılan yaş doğrulama sürecinin fazla şüpheli görünmesiydi
    Çocuğum ve arkadaşları internete asla kendi fotoğraflarını yüklememeleri gerektiğini çok iyi biliyor; bu yüzden ya başka oyunlara geçtiler ya da internetten stok fotoğraf indirip yüklediler (ve görünüşe göre bu gerçekten işe yarıyor)
    Bu yöntem tam anlamıyla şaka gibi bir güvenlik. Şirketlerin çocuklara kişisel fotoğraf yüklemeyi ‘normalleştirmesi’ gerçekten çok yanlış bir yön

    • Bu tür fotoğraf yüklemelerinin ‘normalleşmesi’nin tehlikeli olmasının nedeni, kötü niyetli kullanıcıların “yeniden doğrulamazsan oyun paranı kaybedersin” gibi mesajlar gösterip çocukların kimlik fotoğraflarını toplamasına yol açabilmesi
      Yasa koyucular sorunu fark etmeden önce zarar oluşmasından korkuyorum
    • Bizim çocuklar da internette doğum günlerini hep 1 Ocak 1970 olarak ayarlıyor
    • Ama öte yandan, benim de bizzat kimlik sunmak zorunda kalmak istemediğim bir gerçek
      En iyi çözümün anonimlik ve takma adlı erişim olduğunu düşünüyorum
      AB yaş doğrulamayı ilerletirken aynı anda ABD ve polisle veri paylaşmaya çalışınca, bu verilerin yasalarla ‘normalleştirilmesinden’ endişe ediyorum
    • Şirketlerin bunu yapması basit bir hata değil; mahremiyeti anormalleştirmek ve gözetimi gündelik hale getirmek için bilinçli bir tercih gibi geliyor
    • Birleşik Krallık hükümetinin yaş kısıtlamalarını gerekçe göstererek gözetimi ve takibi artırma yönünde adımları var
      Hükümetin şirketlerden kimlik, yüz fotoğrafı ve video istemesi tehlikeli; sonuçta dolandırıcılığı ve veri sızıntılarını artırıp özgürlüğü azaltacaktır

  • Google hesabım yeterince eski olmasına rağmen YouTube'da sürekli yaş doğrulama açılır penceresi çıkıyor
    Sonuçta bunun sadece yaş doğrulama değil, yüz verisi toplama girişimi olduğunu düşünüyorum
    Bu verilerin üçüncü taraflara satılma ihtimali yüksek

    • Ama bazıları “şirketlerin özellikle yüz verisi istemediğini, sadece bunu engellemek için de bir neden görmediklerini” düşünüyor
      Yasaya uymanın en kolay yolu yüz tanıma olduğu için öyle yapıyorlar
    • Benim hesabım da 18 yıldan eski ama FPGA videosu izlemeye çalışırken yaş doğrulama penceresi çıktı. Yani hesabın yaşı önemli değil
    • Google, Apple ve Meta'nın veriyi satmaktan çok iç kullanımına daha fazla ilgi duyduğunu düşünüyorum
    • AB düzenlemelerinden sonra YouTube fazla sert tepki vermiş gibi. Bunun, ElsaGate olayı sonrasında platformdaki tuhaf içerikleri gizlemek için alınmış bir önlem olduğunu düşünüyorum
    • Bu iddialar fazla paranoyakça geliyor. Çoğu sadece yasal gerekliliklere uyuyor

  • Pek çok insan bir hizmetin devri bitse bile onu bırakamama eğiliminde
    HN kimlik doğrulaması isteseydi, kullanmayı bırakırdım. Hayatta böyle şeyler olur

    • Ama bazıları bunun “sadece bir hobi meselesi olmadığını” söylüyor
      Örneğin kilise ya da anaokulu duyuruları sadece WhatsApp veya Facebook üzerinden yapıyorsa, kullanmayanlar için bilgiye erişim baştan imkansız oluyor
    • Ben ise tüm web içeriğinin özgürce kopyalanabilir olması gerektiğini düşünüyorum
      Eskiden HyperCard ya da FileMaker gibi araçlarla kendi kendine yetmek mümkündü, şimdi ise geriye sadece gözetim kapitalizmi kaldı
      Artık yapay zeka çağında web sitesi kopyalama ve otomasyon mümkün olduğundan, tekel şirketler artık ‘bozma (en-shittification)’ stratejisini bu kadar rahat kullanamayacak
    • Birçok insan aslında mahremiyetten vazgeçmeye hiç direnç göstermiyor

  • En büyük endişem, bilgilerimin güvenli biçimde saklanıp saklanmadığını bilememem
    Geçmişte bebeğimin adıyla veri sızıntısı bildirimi almıştım. Hastanenin taşeronu bilgileri kaybetmiş
    Çocuğum daha konuşmayı öğrenmeden kişisel verileri sızmış oldu
    Benim doğrudan ilişki kurmadığım bir şirket bile bilgilerimi kaybedebiliyorsa, çevrimiçi kimlik doğrulama temelden riskli demektir
    İlgili yazı: Your ID online and offline

    • Sonuçta internete yüklenen tüm ‘özel’ bilgiler bir gün kamusal hale gelir
      “Geçici olarak tutup sonra siliyoruz” sözüne güvenilemez
      2026'ya gelindiğinde bile parola saklama yöntemlerinin nasıl olduğunu net biçimde bilmiyoruz; fotoğrafların nasıl yönetildiği daha da belirsiz
    • Üstelik oltalama siteleri gerçek doğrulama sayfası gibi görünürse, yanlış yere bilgi girdiğiniz anda verilerinizin çalınma riski çok büyük

  • Yaş doğrulamanın sonuçta kaçınılmaz bir akım olduğunu düşünüyorum
    Bara ya da kulübe girerken kimlik istenmesi gibi, internette de doğal biçimde kabul görecek
    Bu yüzden önemli olan nasıl uygulandığı
    Örneğin mağazada kimlik kontrolünden sonra hediye kartı biçiminde token verilmesi ya da devletin verdiği anonim token ile sadece yaşın kanıtlanması mümkün
    EFF bazı kullanıcıların bu teknolojileri kullanmakta zorlanacağını söylüyor ama bunun oranının ne kadar olduğunu merak ediyorum

  • EFF'nin VPN ile aşmayı anmaması şaşırtıcıydı

    • Ama bir aktivist grubun “sistemi aşın” diye tavsiye vermesi uygun olmaz
    • Ayrıca Cloudflare internetin büyük bölümünü tuttuğu için VPN ile erişim de zor
    • VPN kullanımı tam tersine hesabın şüpheli olarak işaretlenmesine yol açabilir
    • “Boş ver, bırak” demek bir çözüm değil
    • Sonuçta ülkeler yaş doğrulama yasaları çıkarmaya başlarsa VPN'ler de etkisiz kalacak; o noktada ya interneti bırakmak ya da alternatif ağlar aramak gerekecek

  • İlke olarak çerez banner'larını asla kabul etmiyorum
    Hepsini uBlock Origin ile engelliyorum. Yaş doğrulama gelirse ona da benzer şekilde yaklaşmayı düşünüyorum

    • Ama site doğrulama olmadan erişimi engelliyorsa, yalnızca engellemek yetmez
    • Çerez banner'ı sadece bir bildirimken, yaş doğrulama erişimi doğrudan kesen bir kapı
    • Banner'ı yok saymak fiilen tüm takibi kabul etmekle aynı şey

  • Mahremiyet dostu kimlik doğrulama hizmetlerinin bir iş fırsatı olabileceğini düşünüyorum
    Yapı, üçüncü taraf sitelerin sadece yaşı doğrulamasını, gerçek kimliği ise öğrenememesini sağlayabilir

    • İsviçre'nin e-ID sistemi bu şekilde önerilmişti
    • İnternet servis sağlayıcısı da ev ya da şirket düzeyinde yaş doğrulamayı üstlenebilir
      Örneğin IPv6 segmentlerini yaş kısıtlarına göre ayırıp doğrulamayı ağ katmanında yapmak mümkün olabilir
    • Üçüncü tarafın gerçek kimliği bilmesine gerek yok. İlgili tartışma: HN thread
    • Tersine, gereksiz yere kimlik isteyen hizmetlere sahte kimlik sağlayan yasal bir iş olsa keşke diye düşünüyorum
    • Bu fikirler ilginç ama ticari ölçeğe ulaşmak ve ağ etkisi yaratmak zor; muhtemelen ancak Apple ya da Google gibi büyük satıcılar devreye girerse mümkün olur

  • Yüzden yaş tahmin eden teknolojinin ne kadar gelişirse gelişsin şarlatanlık ürünü (snake oil) olduğunu düşünüyorum
    İsimle yüzü eşleştirmeye çalışma fikrinin kendisi zaten şüpheli

  • İlk başta bu yazının yaşlı insanların iş arama sorunu hakkında olduğunu sanıp tıkladım

    • Ben de önce öyle sandım