Yaş doğrulamanın tuzağı: yaş doğrulama tüm kullanıcıların veri korumasını zayıflatıyor

 (spectrum.ieee.org)
2 puan yazan GN⁺ 2026-02-24 | 1 yorum | WhatsApp'ta paylaş
  • Toplum genelinde sosyal medyada yaş sınırlarının sıkılaştırılması gündeme gelirken, fiili yaş doğrulama kaçınılmaz olarak kişisel verilerin toplanmasını ve saklanmasını gerektiriyor
  • Platformlar iki yönteme dayanıyor: kimlik belgesine dayalı doğrulama veya yapay zeka ile yüz tahmini; bu süreçte yanlış tespit/yanlış karar ve veri sızıntısı riski ortaya çıkıyor
  • Meta, TikTok, Google, Roblox gibi büyük şirketler halihazırda çeşitli yaş tahmin sistemlerini devreye aldı; ancak tekrarlanan doğrulamalar ve hatalı çalışmalardan dolayı kullanıcı rahatsızlığı büyüyor
  • Bu sistemler, modern veri koruma yasalarının temel ilkeleriyle (asgari veri toplama, amaç sınırlaması, saklama süresi sınırı) çatışıyor ve özellikle gelişmekte olan ülkelerde gözetimin artmasına yol açıyor
  • Yazı, çocukların korunması ile mahremiyetin korunması arasındaki dengenin yokluğuna dikkat çekerek, yaş doğrulamanın sonuçta internet genelindeki kimlik ve erişim yapısını yeniden şekillendirdiği uyarısında bulunuyor

Yaş doğrulamanın yarattığı teknik ikilem

  • Toplum, sosyal medyayı kumar ve alkole benzer şekilde düzenlenmesi gereken bir alan olarak görmeye başlıyor; 13 veya 16 yaş altındaki kullanıcıları sınırlamaya yönelik girişimler artıyor
  • Ancak gerçek yaşı kanıtlamak için kişisel kimlik verilerinin toplanması gerekiyor ve bunu ispatlayabilmek için de verilerin uzun süre saklanması şart oluyor
  • Sonuç olarak katı yaş düzenlemeleri, veri korumasını zayıflatan yapısal bir çelişki üretiyor

Yaş doğrulamanın başlıca yöntemleri

  • Birincisi, kimlik belgesine dayalı doğrulama: devlet tarafından verilen kimlik, dijital kimlik veya başka belgelerin sunulması isteniyor
    • Bazı bölgelerde gençlerin kimliği bulunmuyor ya da dijital biçimleri yeterince gelişmiş değil
    • Kimlik kopyalarının saklanması güvenlik ve kötüye kullanım riski doğuruyor
  • İkincisi, çıkarıma dayalı doğrulama: kullanıcının davranışı, cihaz sinyalleri ve yüz tanıma yapay zekası gibi unsurlarla yaş tahmin ediliyor
    • Olasılıksal hata payı bulunduğundan, doğruluk yerine yanlış değerlendirme ihtimali barındırıyor
  • Pratikte ise bu iki yöntem birleştiriliyor; öz beyan → yapay zeka tahmini → kimlik kontrolü şeklinde giderek sertleşen bir aşamalı yapı ortaya çıkıyor

Büyük platformlardaki uygulama örnekleri

  • Meta(Instagram): üçüncü taraf iş ortakları aracılığıyla video selfie tabanlı yüz yaşı tahmini kullanıyor
    • Reşit olmadığından şüphelenilen hesaplar sınırlandırılıyor veya kilitleniyor; itiraz edilirse ek doğrulama gerekiyor
  • TikTok: herkese açık videoları analiz ederek yaş tahmini yapıyor
  • Google/YouTube: izleme geçmişi ve etkinliğe dayalı tahmin yapıyor; belirsizlik durumunda kimlik veya kredi kartı ibrazı istiyor
  • Roblox: yapay zeka tabanlı yaş tahmin sistemi sonrasında çocuk hesaplarının alınıp satılması ve kötüye kullanım vakaları yaşandı
  • Kullanıcılar için yaş doğrulama artık tek seferlik bir işlem değil, tekrarlanan bir doğrulama süreci haline geliyor

Sistem arızaları ve mahremiyet riskleri

  • Yanlış pozitif: yetişkin kullanıcıların reşit olmayan olarak sınıflandırılıp hesaplarının kilitlenmesi
  • Kaçırma: gençlerin VPN, başkasının kimliği vb. yollarla doğrulamayı aşması
  • İtiraz sürecinde platformların biyometrik verileri, kimlik görsellerini ve logları uzun süre saklaması gerekiyor; bu da veri ihlali riskini içinde barındırıyor
  • Milyonlarca kullanıcı ölçeğinde bu yapı, mahremiyet riskini platform işletiminin içine gömüyor

Veri koruma hukuku ile çatışma

  • Modern veri koruma ilkeleri gereken asgari verinin toplanması, amacın sınırlandırılması ve saklama süresinin kısıtlanmasına dayanıyor
  • Ancak yaş doğrulama, log saklama, kanıt tutma ve sürekli izleme gerektirdiği için bu ilkelerle çelişiyor
  • Düzenleyiciler, “daha az veri topladık” iddiasını ikna edici bulmuyor; şirketler de dava riskinden kaçınmak için daha fazla veri toplayarak yanıt veriyor

Gelişmekte olan ülkelerde gözetimin artması

  • Brezilya: Çocuk ve Gençlik Statüsü (ECA) ile veri koruma yasası birlikte yürürlükte
    • Kimlik altyapısındaki eşitsizlikler nedeniyle yüz tahmini ve üçüncü taraf doğrulama sağlayıcılarına bağımlılık artıyor
  • Nijerya: resmî kimlik eksikliği nedeniyle davranış analizi, biyometrik çıkarım ve yurtdışı doğrulama hizmetleri kullanılıyor
    • Veri akışları genişliyor, kullanıcıların kontrol gücü zayıflıyor
  • İdari kapasitesi düşük ülkelerde yaş doğrulama daha güçlü gözetimle sonuçlanıyor

Düzenleyici uygulamanın yarattığı kısır döngü

  • Belirsiz “makul önlem” standardı zamanla giderek daha müdahaleci uygulamalara dönüşüyor
  • Tekrarlanan yüz taramaları, kimlik kontrolleri ve uzun süreli log saklama standart prosedür haline geliyor
  • Daha az müdahaleci tasarımlar, düzenlemeye uyum kapasitesinin yetersizliği olarak görülüp eleniyor
  • Bu durum, geçmişte çevrimiçi satış vergisi takip sistemlerinin sürekli işlem logları istemeye başlamasına benziyor

Kaçınılan tercihler ve yapısal sorun

  • Sorun çocukları koruma hedefinin kendisi değil, ödünleşimin inkâr edilmesi olarak gösteriliyor
  • Mahremiyeti koruyan yaş kanıtı çözümleri (ör. devletin üçüncü taraf olarak devreye girmesi) bile kimliği olmayan kişiler sorununu çözemiyor
  • Bazı ülkelerde kimlik verilme yaşı, sosyal medya kullanımına izin verilen yaştan daha yüksek; bu da ya yasal kullanıcıların dışlanması ya da topyekûn izleme arasında seçim yapılmasına yol açıyor
  • Şirketler şu anda buna hukuki riski en aza indiren sistemler kurarak karşılık veriyor
  • Sonuçta yaş sınırlaması yasaları, internet genelindeki kimlik, mahremiyet ve erişim mimarisini yeniden şekillendiriyor

Sonuç

  • Yaş doğrulamanın tuzağı, basit bir teknik hata değil; düzenlemeler yaş denetimini zorunlu kılıp mahremiyeti isteğe bağlı bir unsur haline getirdiğinde kaçınılmaz olarak ortaya çıkan bir yapı
  • Çocukları güçlü biçimde koruma iddiasıyla geliştirilen politikalar, tüm kullanıcıların veri koruma düzenini zayıflatan bir paradoksu açığa çıkarıyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-02-24
Hacker News yorumları

  • Görünüşe göre çocukların tükettikleri içerik konusunda ebeveynlerin sorumluluğunu gündeme getirmek istemiyoruz
    ABD'de reşit olmayanlara alkol, silah ya da tütün sağlarsanız cezalandırılırsınız, ama internette bu tür toplumsal sorumluluk sanki ortadan kalkmış gibi
    Çocukları korumak istiyorsak bir gözetim devleti kurmak yerine ebeveynlere kendi kontrollerini sağlayabilecek güçlü izleme araçları vermeliyiz
    Sonuçta çocuğu korumak ebeveynin asli rolü

    • Gerçekten kimin özgürlükten yana olduğunu artık bilmediğimi düşünüyorum
      İnternetin vaadi, haber akışları ve dev şirketler yüzünden zaten bozuldu
      Facebook yöneticilerinin çocukları daha bağımlı hale getirmeyi tartıştığını gösteren belgeler de var
      Böyle bir durumda benim duruşum, “gözetim devletindense Nanny Zuck'tan daha çok nefret ediyorum” şeklinde
    • Ebeveynlere güçlü araçlar verilmesi fikrine katılıyorum ama pratikte bu çok zor
      7 yaşındaki çocuğumla YouTube engelleme savaşı içindeyim; DNS engelini aştı, proxy kullandı, şimdi de Firefox'un DNS-over-HTTPS özelliğiyle dolaşıyor
      Sonunda sadece politikalarla engelleyebiliyorum. Ebeveyn araçları fazla zayıf
    • Ebeveynlerin alkol ve tütün satışını engelleme konusunda toplumsal sorumluluğu varsa, şirketler okulda bunları satarsa bunu kimin durdurması gerektiği de ayrı bir soru
    • Ebeveyn açısından bakınca çocuğun internete erişimini ayrıntılı biçimde kontrol etmek sonsuz bir açık kapatma savaşı
      Okulun verdiği cihazlarda bile zayıf kontroller var ve çocuklar birbirleriyle atlatma yöntemleri paylaşıyor
    • Ben internet ve sosyal medya düzenlemesini destekliyorum ama tüm sorumluluğu ebeveynlere yüklemenin gerçekçi olmadığını düşünüyorum
      Ebeveynler teknik olarak engelleyebilse bile toplumun tamamı bir Nash dengesi içine sıkışmış durumda
      Herkes telefon kullandığı için kullanmayan kişi sosyal olarak dışlanıyor
      Sonuçta topluluk düzeyinde koordinasyon gerekiyor; bunun devlet olmak zorunda olmaması, yerel düzeyde iş birliğiyle sağlanması ideal olur

  • Ben Avrupa'daki zero-knowledge proof tabanlı kimlik cüzdanı sistemi üzerinde çalışıyorum
    Pasaporttan yalnızca “18 yaşından büyük” niteliğini çıkarıp anonim olarak yaş kanıtı sunuyoruz
    Devletin verdiği kimliğe güveniyorsanız, kişisel bilgileri açığa çıkarmadan sadece yaşı doğrulamak mümkün
    Bu yaklaşım, AB'nin aktif olmayan hesap silme politikası gibi uygulamalarla birleşirse gerçekçi bir çözüm olabilir

    • Ancak EU Identity Wallet belgelerine bakınca bunun pratikte son derece müdahaleci bir yapı olduğu görülüyor
      3 ay geçerli 30 token veriliyor ve GooglePlay Services kurulumu zorunlu tutuluyor
      Token izlenebilirliği ve mahremiyet ihlali konusunda GitHub'da ciddi eleştiriler yapılmış ama görmezden geliniyor
    • Kimliği sunucuya göndermeden yaşın kanıtlanıp kanıtlanamayacağı konusunda şüphe var
      Sadece istemci tarafında yapılırsa sahtecilik mümkün, sunucuya gönderilirse anonimlik zedeleniyor
      Sonuçta devletin bir attestation sağlaması gerekiyor ve bu süreçte izleme ortaya çıkıyor
      Bu tür sistemler sonunda “kötü adamları durdurmak için” bahanesiyle opak bir gözetim düzenine dönüşüyor
    • Böyle sistemlerin çevrimdışı doğrulama yapıp yapamayacağı da merak konusu
      Devlet merkezi bir veritabanı işletirse, sonuçta token'lar üzerinden kullanıcıları izleyebilir
    • zero-knowledge proof bir iyileştirme ama hâlâ güven sorunu ortada
      Web'e erişebilmek için devlet cüzdanıyla oturum açmak zorunda kalmak bir gatekeeping biçimi
      Aslında yalnızca cihazın kimliği doğrulanıyor; ekranın başındaki kişinin kim olduğu bilinmiyor
      Sonunda yine Net Nanny dönemindeki gibi aşılacaktır
      ABD'nin bu AB modelini izlememesi gerektiğini düşünüyorum
    • Bazı ülkeler için mesele baştan beri yüz taramasını başka amaçlarla kullanmak; güvenlikle gerçekten ilgilenmiyorlar

  • Yazının öncülünün hatalı olduğunu düşünüyorum
    “Yaşı kanıtlamak için kişisel veri toplamak gerekir” varsayımı gözetimi meşrulaştırıyor
    Tam tersine, yasayla kişisel veri toplamayı yasaklamak açıkça belirtilirse, zero-knowledge proof gibi alternatifler gelişir
    En baştan “mahremiyeti ihlal etmeden bu yapılamaz” derseniz, sonunda gidişat ihlal yönüne kayar

  • Ebeveynlerin çocuklarına kilidi açık hesaplar vermesi ya da çocukların bunları gizlice kullanması fazlasıyla yaygın
    Bunu cezai yaptırımla çözmek etkili değil; sonuçta kültürel bir değişim gerekiyor
    Eğer böyle bir değişim olursa, reşit olmayanlar için yalnızca beyaz liste tabanlı cihazlara izin vererek çözüm üretmek mümkün olabilir

    • Ama ben bir ebeveyn olarak böyle bir toptan engelleme istemem
      “Yaşa uygun” kavramının kendisini aşağılayıcı buluyorum
      Bence çocukla konuşup kendi değerlendirmesini yapmasını sağlamak gerekir
      Sonuçta yaş doğrulama yalnızca devlet ve şirket kontrolünü güçlendiren bir araç
    • Anonim kimlik doğrulama olsa bile çocuklar arkadaşlarının ya da ebeveynlerinin kimliğiyle doğrulama alacaktır
      Eskiden içerik engellerini aşmak bir gurur meselesiydi; şimdi insanların uslu uslu yasalara uyacağını düşünmek safça bir fikir
    • İnternetin sınırı olmadığı için herhangi bir ülke yaş doğrulama yasası çıkarsa bile başka ülkelerdeki sunucular üzerinden dolaşmak mümkün
      Porno sektörü darbe alabilir ama tamamen engellemek imkânsız
    • Benim deneyimimde çocuk, YouTube'da yaş kısıtlı hesaptan çıkış yapıp sınırsız içeriği izliyor
      Çıkış yapılmış durumdaki içerik derecelendirmesinin ne olduğunu gerçekten merak ediyorum
    • Web sitelerinin kendi içerik derecelerini belirtmesi ve cihazların da buna göre engelleme yapması için bir standarda ihtiyaç var

  • Geçmişte çocuklara yönelik eğitim uygulaması geliştirirken yaş doğrulama sorunuyla karşılaştım
    Ebeveynin SSN bilgisinin bir kısmını istedik ya da COPPA doğrulama hizmeti kullandık ama kayıt süreci karmaşıklaştı
    Sonuçta mesele güvenlik ile kullanıcı deneyimi arasındaki ödünleşim

  • Yaş doğrulama yapılacaksa bunun cihaz düzeyinde ele alınması gerekir
    Ebeveyn çocuğun tarayıcısını “reşit olmayan modu”na alırsa, web sitelerinin yapması gereken tek şey bu sinyale uymak olur
    Hizmet sağlayıcının kimlik saklamasına gerek kalmaz

    • Bu yaklaşım kulağa oldukça makul geliyor. Gözden kaçırdığım bir nokta var mı diye merak ediyorum

  • Amaç çocukları korumaksa, kimlik doğrulama dışındaki yöntemler de var
    Örneğin çocukları hedefleyen hedefli reklamları ya da bağımlılık yaratan içerikleri yasa dışı ilan edip, buna onay veren yöneticileri cezalandırabilirsiniz

    • Ama o durumda şirketler tam tersine yaş doğrulamayı daha da güçlendirecektir
      Çünkü reklamlardan kaçınmak için çocukları ayırt etmeleri gerekir
    • Sonuçta cezadan kaçınmak için kimlik doğrulama getireceklerdir
    • Büyük şirketler zaten hukuki sorumluluktan kaçış altyapısını kurmuş durumda
      Belgelenmeyen talimat zincirleri ve devasa iç iletişim yapılarıyla sorumluluğun izini sürmeyi imkânsız hale getiriyorlar
      Böyle bir yapıda şirketleri fiilen cezalandırmak neredeyse imkânsız
    • Facebook dolandırıcılık reklamlarını bile engelleyemiyorken, çocukları korumasını beklemek gerçekçi değil

  • Bir sistemin amacı, doğurduğu sonuçla anlaşılır
    Mevcut yaş doğrulama dalgasında asıl mesele veri korumasını zayıflatmak
    Batılı hükümetlerin aynı anda harekete geçmesine bakınca, hedefin çevrimiçi anonimliği ortadan kaldırmak olduğu izlenimi doğuyor
    Çocuk koruma söylemi sadece bahane; gerçek amaç siyasal kontrol ve bilgi akışını yönetmek gibi görünüyor

    • Burada bir de kâr güdüsü var
      Yaş doğrulama şirketleri zorunlu hale getirilmesi için lobi yapıyor ve mahremiyet ihlalinden para kazanıyor
    • Elbette her sistemin sonucunu doğrudan niyet olarak görmek doğru değil
      Bu sadece beceriksiz bir uygulama da olabilir
    • Ama birçok tartışma yalnızca teknik çözümlere odaklanıyor ve iktidar yapısı sorununu gözden kaçırıyor
    • Adam Smith'in dediği gibi, “aynı sektördeki insanlar bir araya gelince sonunda kamu yararına aykırı bir komploya yönelirler” sözünü hatırlatıyor
    • Yine de her sonucu komplo olarak görmek aşırıya kaçmak olur
      Tasarım ile uygulama arasında kaçınılmaz bir boşluk da vardır

  • Kişisel cihazda şifrelenmiş kimlik ve yaş bilgisi tutulup, hizmetlerin bunu kriptografik olarak doğruladığı bir modele ihtiyaç var
    Örneğin iPhone'un DoorDash'e Face ID benzeri bir şekilde “21 yaşından büyüktür” kanıtı sunması gibi
    Sorun, böyle standartlaşmış bir kriptografik altyapının ne kadar hızlı benimseneceği ve şirketlerin buna güvenip güvenmeyeceği

    • Ama asıl amaç yaş doğrulama değil, anonimliği ortadan kaldırmak
      Kimlik bilgisini en aza indirmek onların hedefiyle tamamen ters düşüyor
    • ISO/IEC 18013-5 standardı, mobil sürücü belgesi (mDL) ile yalnızca yaşı kanıtlamayı mümkün kılıyor
    • Almanya'nın elektronik kimlik kartı da NFC üzerinden uygulamalara bağlanıp yalnızca yaşı doğruluyor ve başka bilgileri açığa çıkarmıyor
    • Böyle sistemlerin hızla yaygınlaşması iyi olurdu
      Blog yazımda da yazdığım gibi, bu sayede botsuz, insan merkezli sosyal ağlar mümkün olabilir
    • Ama bazıları “herkesi yetişkin sayalım” görüşünde
      İnternet özünde kontrol edilemez bir ağ olduğu için, çocukların erişmesini engellemenin daha gerçekçi olduğu düşünülüyor
      “Çocukları koruyalım” bahanesiyle bilgi kontrolü toplumu kurmak tehlikeli

  • “Doğrulama için verileri kalıcı olarak saklamak gerekir” iddiası yanlış
    iDIN(idin.nl) gibi bir üçüncü taraf yalnızca yaşı kontrol edip “18+” işareti bıraksa yeterli

    • Ama kimlik bilgisinin zaten açığa çıkma, saklanma ve kötüye kullanılma olasılığı çok yüksek
      İyi niyetli bir devlet ya da şirket olsa bile bunu engelleyecek gücü yok
    • Şirketlerin veriyi saklamadığını kanıtlamanın bir yolu yok
      Bu yüzden tek gerçek çözüm, verinin cihazın dışına hiç çıkmadığı bir yapı
    • Ancak hukuki doğrulama süreçlerinde bu tür yöntemler delil olarak kabul edilmiyor
      Çünkü platformun gerçekten yaşı doğrulayıp doğrulamadığını ispatlamanın bir yolu yok