Kanada’nın C-22 yasa tasarısı, Kanadalıların geniş çaplı metadata gözetimini zorunlu kılıyor

 (michaelgeist.ca)
1 puan yazan GN⁺ 2026-03-16 | 1 yorum | WhatsApp'ta paylaş
  • Kanada hükümeti, ‘Lawful Access Act’ olan C-22 yasa tasarısını sunarak telekom operatörleri ve internet servis sağlayıcılarına (ISP) yönelik gözetim ve dinleme iş birliği yükümlülüklerini güçlendiriyor
  • Yeni tasarı, mahkeme kararı olmadan bilgiye erişim yetkisini büyük ölçüde daraltmış olsa da, iletişim ağı gözetim altyapısı kurulması ve metadata saklama zorunluluğu içerdiği için hâlâ ciddi mahremiyet ihlali riski barındırıyor
  • Tasarı iki bölümden oluşuyor; ilk yarısı veri erişim süreçlerinin iyileştirilmesine, ikinci yarısı ise ‘Supporting Authorized Access to Information Act (SAAIA)’ üzerinden gözetim teknolojisi gerekliliklerine odaklanıyor
  • SAAIA, ‘electronic service provider (ESP)’ kavramını yeni olarak tanımlayarak Google, Meta gibi küresel platformları da düzenleme kapsamına alıyor ve metadata’nın 1 yıla kadar saklanmasını talep ediyor
  • Hükümet mahkeme kararı olmadan erişimi kısmen sınırlandırmış olsa da, gözetim kapasitesini artıran hükümler ve gizlilik yükümlülükleri nedeniyle ağ güvenliğinin zayıflaması ve sivil özgürlüklerin ihlali endişesi sürüyor

C-22 yasa tasarısına genel bakış

  • C-22 yasa tasarısı (Lawful Access Act), Kanada hükümetinin yeni sunduğu gözetim odaklı bir düzenleme ve geçmişteki C-2 yasa tasarısındaki tartışmalı noktaların revize edilmiş bir versiyonu
    • C-2, mahkeme kararı olmadan kişisel bilgilere erişime izin vererek anayasal tartışma yaratmıştı
    • Bunun üzerine hükümet, C-2’deki erişim hükümlerini çıkarıp C-22’yi ayrı bir yasa tasarısı olarak sundu
  • C-22 iki temel alanı ele alıyor
    • Telekom operatörleri (ISP’ler, mobil operatörler vb.) tarafından tutulan kişisel verilere kolluk kuvvetlerinin erişim süreçleri
    • Kanada’daki iletişim ağlarında gözetim ve izleme kapasitesinin kurulması

Veri erişim süreçlerindeki değişiklikler

  • Yeni tasarı, geçmişteki geniş kapsamlı mahkeme kararı olmadan bilgi talep etme yetkisini kaldırıp yerine ‘confirmation of service’ talep yetkisini getiriyor
    • Polis, yalnızca belirli bir kişinin ilgili telekom şirketinin müşterisi olup olmadığını sorabilecek
    • Daha fazla kişisel veriye erişim için mahkeme onayı (production order) gerekecek
  • Bu değişiklikler, mahkeme kararı olmadan bilgi talebi kapsamını telekom şirketleriyle sınırlıyor ve kişisel verilere erişimde yargısal denetim şartı getiriyor
  • Tasarıda gönüllü bilgi paylaşımı, acil durumlar ve yabancı kurum talepleri için ayrı hükümler de bulunuyor
    • Ancak ‘reasonable grounds to suspect’ gibi düşük bir eşik hâlâ endişe kaynağı olarak gösteriliyor

SAAIA’nın başlıca içeriği

  • Tasarının ikinci yarısını oluşturan SAAIA, telekom operatörlerine gözetim ve izleme kapasitesi kurma yükümlülüğü getiriyor
    • Hükümet ve kolluk kuvvetleri, iletişim ağına erişim ve dinleme işlevlerini test edebilmek için şirketlerin iş birliği yapmasını isteyebilecek
    • Tüm talepler için gizlilik yükümlülüğü uygulanacak
  • ‘electronic service provider (ESP)’ şeklinde yeni bir tanım getiriliyor
    • Kanada’da hizmet sunan veya ticari faaliyet yürüten tüm elektronik hizmet sağlayıcılarını kapsıyor
    • Google, Meta gibi küresel platformlar da buna dahil olabilir
  • Temel sağlayıcılar (core providers) olarak belirlenen şirketlere ek yükümlülükler veriliyor
    • Gözetim işlevlerinin kurulması ve sürdürülmesi, ekipman kurulumu ve işletimi, hükümete bildirim ve metadata’nın 1 yıla kadar saklanması gibi

Metadata saklama ve istisna hükümleri

  • Metadata saklama yükümlülüğü, C-2’de bulunmayan ve C-22 ile yeni eklenen bir hüküm
    • Ancak saklama kapsamı dışında iletişim içeriği, web gezinme geçmişi ve sosyal medya faaliyetleri bırakılıyor
  • Sistemsel zafiyet (systemic vulnerability) ile ilgili istisna hükmü bulunuyor
    • Gözetim işlevi güvenlik açığına yol açarsa veya bir açığın giderilmesini engellerse, şirketlerin ilgili hükme uymaması mümkün olabilecek
  • Buna rağmen bu istisnanın güvenliğin zayıflamasını önlemek için yeterli olmadığı yönünde kaygılar dile getiriliyor
    • Değişikliklerin kamuya açıklanmadan gizlice uygulanabileceği ihtimali de vurgulanıyor

Gözetim, güvenlik ve uluslararası veri paylaşımı endişeleri

  • SAAIA; ağ güvenliği açıkları, gizlilik, maliyet ve denetim mekanizması gibi birçok soruna yol açıyor
  • Bazı hükümlerin, Budapeşte Sözleşmesi 2. Ek Protokolü (2AP) ve ABD CLOUD Act ile uyumlu uluslararası bilgi paylaşımı iş birliğini gözettiği değerlendiriliyor
  • Sonuç olarak C-22 yasa tasarısı, mahkeme kararı olmadan erişimi sınırlandırmış olsa da, gözetim altyapısını güçlendirmesi ve büyük ölçekli metadata toplama yaklaşımı nedeniyle
    mahremiyet ve sivil özgürlüklerin ihlali riskini hâlâ yüksek tutuyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-03-16
Hacker News görüşleri

  • Politikacıların mahremiyeti ihlal eden yasa tasarılarını tekrar tekrar gündeme getirmesini engellemek için, yeni bir tasarı sunulduğunda milletvekillerine ve muhalefete otomatik bildirim gönderen bir izleme ajanı yapılabilir diye düşünüyorum

  • Tasarının asıl metninde warrant gerektiği yazıyor. Ancak yeni eklenen maddeye göre, bir yargıç “belirli koşullarda haklı görürse” warrant kopyasının ilgili tarafa verilmemesine karar verebiliyor. Bu, sivil özgürlükleri dolanabilecek öznel bir açık gibi görünüyor

    • Ben bu maddede büyük bir sorun görmüyorum. Sonuçta warrant yine bir yargıç tarafından verilmeli; sadece kopyanın teslimini geciktirebilen bir istisna tanımlanmış. Polisin “warrant var ama göstermek zorunda değiliz” diyeceği durumlar çok nadir olur ve böyle bir durumda da bunun mahkemede delil olarak kabul edilmemesi muhtemel
    • Yargıçlar da bunu sebepsiz yere onaylamaz. Biraz hukuki sınırların bulanıklaşmasına yol açabilir ama büyük bir mesele değil. Kanada, Avrupa gibi hukuk ve prosedür odaklı bürokratik bir eğilime sahip; sistem sapabilir ama bu, siyasi diktatörlük ya da kurumsal kontrolden çıkma ile aynı düzeyde bir sorun değil

  • Acelesi olanlar için özet: Kanada’nın Bill C‑22 (2026) tasarısı, soruşturma kurumlarının dijital verilere daha hızlı ve daha açık şekilde erişebilmesi için yasayı değiştiriyor. Telekom şirketlerinden, çevrimiçi hizmet sağlayıcılardan ve yabancı şirketlerden abone bilgisi, iletim verisi ve takip verisi alma yetkisini genişletiyor; ayrıca elektronik hizmet sağlayıcılarının soruşturmalara destek vermesini sağlayan bir hukuki çerçeve oluşturuyor

    • Ama özette ‘warrantsız’ kısmı yok. Hükümetin bu yetkileri istemesinin nedeni, Kanada’nın Five Eyes ülkeleri arasında bu tür yetkileri olmayan tek ülke olması
    • Bu, ABD’deki CALEA (Communications Assistance for Law Enforcement Act) yasasının Kanada versiyonu gibi görünüyor

  • Five Eyes (veya 9, 14 Eyes) ülkeleri arasındaki işbirliği Soğuk Savaş’tan beri sürüyor ama bugünün jeopolitik ve teknolojik değişimlerine göre güncellenmiş değil. Hatta işbirliği güçlenirken seçmenler ABD ittifakının geleceğinden şüphe ediyor. Keşke ülke liderleri yabancı baskılar konusunda daha açık olsa. Müttefik ülkelerin etkisi hakkında sessiz kalıp sadece müttefik olmayan ülkelerin etkisini eleştirmek, demokrasi için bir tehdit

    • “Sessiz kalmak” deniyor ama Kanada başbakanı ABD ile ilişkilerdeki değişim hakkında kamuya açık açıklamalar yaptı ve yeni diplomatik uzlaşılar aradı
    • ABD ile ilişkileri koparmak, Trump’ın Avrupa ile ilişkileri koparması kadar akılsızca bir tercih olur

  • Tasarının metnine bakınca, diğer Batılı demokrasilerdeki güvenlik kurumlarının sahip olduğu yasal erişim yetkilerine benziyor. Abartılı distopik senaryolar bir yana, somut olarak sorunun ne olduğu merak ediyorum

  • Tasarı “yeni yetkiler vermiyor” diyor ama gerçekte metadata’yı bir yıla kadar saklamazsanız para cezası ya da hapis cezası öngörüyor

  • Bir Kanada vatandaşı olarak, hükümetin daha önce defalarca reddedilmiş gözetim yasalarını durmadan yeniden zorlamasından bıktım.
    Ulusal çapta bir gözetim altyapısını neden doğrudan ISP omurgasına bağlamak istediklerini anlamıyorum.
    Bunun, polisin ortada hiçbir suç şüphesi yokken beni takip edip kimlerle ve ne zaman konuştuğumu kaydetmesinden farkı yok.
    Üstelik bu veriler özel yükleniciler tarafından saklanacaksa sızıntı ve hukuk davaları riski daha da artar.
    Tasarıda “electronic service provider” diye yeni bir terim geçiyor; bunun yalnızca telekom şirketlerini değil Google, Meta gibi platformları da kapsaması amaçlanıyor gibi görünüyor.
    Kanada Yüksek Mahkemesi zaten warrantsız kişisel bilgi paylaşımına olumsuz yaklaştığını göstermişti.
    Mevcut soruşturma yetkileri yeterliyken platformları neden ayrıca soruşturmaya yardımcı kurumlar haline getirmeye çalıştıkları belirsiz.
    Bu tür bir sistem ancak otoriter ülkelerde görülebilecek bir yapı; kötüye kullanılma riski çok yüksek ve demokrasiye zararlı

    • Bu tür önlemler, önümüzdeki 10 yıl içinde gelebilecek halk arasında sevilmeyecek politikalara karşı bir hazırlık da olabilir. Büyük çaplı muhalif grupları izlemek için altyapı önceden kurulmuş oluyor

  • Diğer ülkeler gibi “çocukları koruma” ya da “yaş doğrulama” gibi gerekçelerin arkasına da saklanmıyorlar; doğrudan kitlesel gözetim sistemi kurmaya çalışmaları Kanada hükümetine has bir verimlilik örneği gibi. Sadece böyle zamanlarda bürokrasi olmadan hızlanabiliyorlar

  • Yayınlanmasından iki saat sonra yorumların neredeyse yarısı aşırı tepki olmakla eleştiriliyordu.
    “Belki lazım olur” diye bu tür gözetim yasalarını sürekli ileri itmeleri gerçekten hayal kırıklığı yaratıyor.
    Açık içeriklerin host tarafından doğrudan moderasyonu daha iyi olabilir ama bunun da hangi içeriklerin bildirileceği gibi yan etkileri var

  • Özgürlük ve adil yargılanma süreciyle övünen hükümetler artık kendi vatandaşlarını kapatan bir gözetim rejimine dönüşüyor gibi görünüyor