Büyük Veri Varken Kişisel Veriler Korunabilir mi?
25/11/2019
Günümüzün popüler kavramlarından biri olan Büyük veri (Big Data), Türkçe karşılığıyla büyük veri; ilk olarak astronomi ve genetik alanında ortaya atılmış bir kavram olup, internetin hayatımıza girmesiyle birlikte farklı bir boyut kazanmış ve farkında olmadan büyümesinde pay sahibi olduğumuz bir kaynak haline gelmiştir. Big datanın tanımına bakmadan önce datanın yani verinin literatürdeki karşılığına bakmamız gerekiyor. Veri, araştırmalardan, gözlemlerden, internetten, sosyal medyadan, sensörlerden vb. çok farklı ortamlardan elde edilen genel bir terimi ifade etmektedir.
Big Data Nedir?
Bireysel ve kurumsal verilerin, internet aracılığıyla dünyaya paylaşılması çekiciliğini arttırdı ve ortaya yeni bir kavram çıktı: Big Data
Big data; verinin analiz edilip sınıflandırılmış, anlamlı ve işlenebilir hale dönüştürülmüş halidir.
Peki nedir big datayı besleyen kaynak? Sürekli kullanılan sosyal medya hesaplarındaki etkileşimler, arama motorları ve buralarda arama yapıldığında arkada bırakılan izler, banka hesaplarıyla yapılan hareketler, bloglar, mailler, sensörler ve tekil kullanıcıların internet ile olan tüm etkileşimleri bir araya getirilince büyük bir veri yığını oluşmuş oluyor. Big datayı, bu yığından beslenip anlamlı ve işlenebilir bilgileri kullanıcıya sunan bir hazine olarak değerlendirebiliriz.
Big Data Nasıl işler?
Big data, elde bulunan verileri en kullanışlı hale getirip, işletmelerin ve kurumların müşterileri hakkında olan görüşlerine yeni bir bakış açısı getirmeyi, yeni kanallar açmayı kendine ilke edinmiştir. Bu noktada en faydalı bilgiye ulaşmak için big datanın prensipleriyle hareket edip verinin en sade ve işlenebilir halini ortaya koymak gerekiyor. Birçok veri noktası karşılaştırılır, verilerin birbirleriyle olan ilişkileri ortaya çıkarılır ve bu ilişkiler öğrenmemizi dolayısıyla daha akıllı kararlar almamızı sağlar. Bu işlem yaygın olarak, toplanan verilere dayanan yapı modelleri içeren bir işlemle yapılır ve daha sonra simülasyonlar çalıştırılır. Her seferinde veri noktalarının yeri değiştirilerek sonuçların nasıl etkilendiği izlenir.
Nispeten yakın zamana kadar veriler, elektronik tablolar veya veritabanları ile sınırlıydı ve hepsi çok düzenliydi. Ancak çağın ilerleyişiyle birlikte artık veri denen kavram çok karmaşık bir yapıyı ifade etmeye başladı. Veri artık veritabanlarından fotoğraflara, videolardan ses kayıtlarına, yazılı metin ve sensör verilerine kadar her şeyi kapsamaktadır. İşletmeler de teknolojiyi yakından takip ederek, tüm bu karmaşıklığın çözülmesi için kendi yapıları altında big dataya yatırım yapmak durumundadırlar. Veriyi belli segmentlere ayırarak, müşteri profil analizi ile stratejilerini belirlemeliler.
Big Data’nın Kullanım Alanları Nelerdir?
Her alanda kendine yer bulan big datanın kullanım alanını sınırlamak çok mümkün gözükmüyor. Tüketici davranışını izlemek isteyen satıcılar, yaratıcı trendler oluşturmak isteyen yeni şirketler, mevcut durumu açıklamaya çalışan araştırmacılar veya girişimciler olmak üzere birçok kişi ve kuruluş big datayı kullanmaktadır. Big datayı kullanan kurum ve kuruluşlar bu teknolojinin sağladığı olumlu katkıları kısa sürede görüyorlar.
Sağlık hizmetlerinin iyileştirilmesinde big datanın kullanılması büyük katkı sağlamaktadır. Veri odaklı tıp, hastalığın erken teşhisinde ve yeni ilaçların geliştirilmesine yardımcı olabilecek çok sayıda tıbbi kayıt ve görüntünün analizini içerir.
Doğal ve insan kaynaklı felaketleri tahmin etmek ve önlem almaya yardım olmak için big datadan faydalanılabilir. Deprem verileri, depremlerin bir sonraki aşamada muhtemel durumunu tahmin etmek için analiz edilebilir ve insan davranış kalıpları, kuruluşların hayatta kalanlara ne yapabileceğine dair bilgileri edinmesine yardımcı olur.
Suçların önlenmesi için polis güçleri, kaynakları daha verimli bir şekilde dağıtmak ve ihtiyaç duyulduğunda caydırıcı olmak için kendi istihbaratı ile kamu veri setlerine dayanan veri güdümlü stratejileri giderek daha fazla benimsiyor.
Yakın gelecekte savaşların nedeni; eskisi gibi petrol veya toprak değil, veri olabilir.
“If you don’t pay the product you are the product!”
(Bir ürüne para ödemiyorsanız ürün sizsiniz!)
Büyük Veri ve Kişisel Verilerin Korunması Kanunu Uyumu
Bilgiye elektronik ortamda erişimin kolaylaşması, büyük veri kullanımının her geçen gün artması ve bilgi teknolojilerinin artık iş süreçlerini destekleyen yapısal konumdan iş süreçlerinin vazgeçilmez bir parçası haline gelmesiyle birlikte, hem kurumlar hem de bireyler için yeni bir dönem başlamış oldu. Artık kurumların en değerli varlıklarının sahip oldukları veriler olduğu bilinen bir gerçek. Bireylerin kişisel verilerinin işlenmesi ve ilişkilendirilmesi kısaca veri temeliyle büyüyen yeni ekonomi gerçeği; haklarını savunan bireyleri, bireylerin taleplerine ve haklarına saygılı şirketleri ve bütün bu gelişmelere yönelik tasarlanan süreçleri, yapılandırılan organizasyonları gerektirmektedir. Kısaca değişim yine değişim.
Genellikle reaktif olarak yasaları ihtiyaçlar şekillendirdiği için bugün birçok ülke kişisel verilerin yönetimi ile ilgili risklerini mevzuatlarla yönetebilmek için çalışmalarına hız vermiş durumda.
Günümüzde dünya genelinde 100’den fazla veri koruma yasa ve yönetmeliği, giderek artan sayıdaki endüstri veri koruma standartları, hemen hemen her organizasyon için kurumsal veri koruma politikaları ve veri koruması için pek çok sözleşme gerekliliği hazırlanmakla beraber uyumun neden ve niçin gerekli olduğu konusunda halen kafa karışıklığı bulunmakta ve kurumlarda yürütülen projelerde amaç sadece kanuna uyum gerekliliği şeklinde ele alınmaktadır. Dolayısıyla böyle bir yaklaşımla kurulan sistemlerin sürekliliği de soru işaretleri doğurmaktadır. Ülkemizde 7 Nisan 2016’da yürürlüğe giren Kişisel Verilerin Korunması Kanunu ise Avrupa’daki veri koruması sistemi ile büyük oranda benzer bir yapıya sahiptir. Kişisel Verilerin Korunması Kanunu ile, büyüklüğü veya küçüklüğü fark etmeksizin tüm kurumlar, süreçlerini gözden geçirmek ve kanuna uyumlu hale getirmek gereksinimleriyle karşı karşıya kalmışlardır.
Kişisel Verileri anonim hale getirmenin etkilerinin yanlış anlaşılması
Veri güvenliği konusu tartışıldığında, “elimizde hiçbir kişisel veri yok, tüm veriler anonim hale gelmiş durumda, hiçbir kişi ile ilişkilendirilemeyecek durumda” dendiği de sıkça duyduğumuz bir ifade. Belki bu uzun zaman önce doğru olabilirdi ama, anonim hale gelmenin belli bir veri ile belli bir kişinin ilişkilendirilmesine engel teşkil ettiği gibi bir bakış, bugün itibariyle doğru ya da gerçekçi olmayabilir. Veri analizi (data analytics), büyük veri (big data), semantik (semantics) ve diğer araçların bulunduğu bir dünyada bugün anonimlikten söz etmek de nerdeyse imkansızlaşıyor. Yetkin bir veri uzmanının anonimlik kabuğunu kısa sürede kırması olasılığı oldukça yüksek.
Para Ödemiyorsanız, Ürün Sizsiniz
Ama bugün konuştuğumuz big data bunu anlatmıyor. Bugün konuştuğumuz big data; analizi ve bu verinin kullanılabilirliğini (hatta anlık) anlatıyor.
Big Data’nın hayatımıza getirdiği paradigma ise; “para ödemiyorsanız, ürün sizsiniz”
Şöyle anlatayım; Gmailiniz var diyelim; filan arkadaşınızdan gelen aptal karikatürü, filan firmanın tanıtımını ve binlerce mailinizi orada tutuyorsunuz. Güzel ama siz para ödemediğinize gore, kim ödüyor ve hizmeti. Öyle ya; adamlar bunu amme hizmeti olarak bile yapsalar, bir sürü makinaya, yazılıma, bant genişliğine, personele ihtiyaçları var.
Kim ödüyor bunları? Ya da Gmail’in para kazandığı ürün nedir?
Cevap ; “Ürün Sizsiniz”. Gmail sizi satıyor. Kime satıyor. Reklamcılara ama bu arada başka amaçlı satışları da var mı? NSA Skandalı bunu düşündürttü. Birazdan NSA’e değineceğim.
Önce reklam tarafına bakalım; Çünkü kişisel verilerin değerini neden yükseldiğini anlamamız lazım..
Reklamcılığın Hikayesi
İçinizden “Eskiden de böyle değil miydi? TV’ları da bedava seyrediyorum, karşılığında da reklamlara bakıyorum. O zaman neden kişisel veriler bu kadar konu oluyor?” diyenleriniz olabilir. Bu nedenle kısaca reklamcılık dünyasının gelişmesine göz atalım;
1800’lerin sonunda sanayi devrimi ve uzantısındaki tüketim ürünleri ile birlikte hayatımıza reklam girdi.
Reklam önceleri ağaç gövdelerine ya da duvarlara yapıştırılan ve yeni bir keşfin nasıl çalıştığını anlatan sayfalardı. Bunlarda örneğin; “vacuum cleaner” yani elektrikli süpürge nasıl çalışıyor o anlatılırdı; “Borunun ucundaki süpürgeyi tuttuğunuz yerdeki tozları emer ve size tozlardan kurtarır.”
Ama çok sayıda benzer ürün çıkınca 1920’lerde gündeme “marka” geldi. Ürünler kendilerini markaları ile ayrıştırmaya başladı.
Ama çok sayıda marka da ortaya çıkınca bu sefer markaları ayrıştırmak gerekti ve 1960’lara geldiğimizde hayatımıza hala etkinliğini sürdüren ve hatta reklam sektörünün dışına çıkan “imaj oluşturma” kavramı girdi. Örnek vestel – dost teknoloji. Robotlar ve bu sloganla, Vestel imaj yaratmaya çalışıyor.
Reklamcılıkta Devrim; İnternet ve Cep Telefonu ile Geldi; Kişiye Özel Reklam
Ancak reklamcılık sektöründe en büyük değişiklik internet ve ondan daha büyük değişiklik akıllı cep telefonları ve tabletlerle oldu.
Bu değişiklik şu; bu noktaya kadar anlattıklarımız “kitlesel reklam” ile ilgiliydi. Örneğin TV’lar ya da dergi ya da gazeteler ve hatta billboard’lar. Buralara verilen reklamları çok kişi izler. Bu kişiler kimdir bilemezsiniz. En fazla kadınların seyrettiği sabah programı, ya da erkeklerin seyrettiği spor programı diye hedef kitle belirleyebilirsiniz.
İnternet ve akıllı cep telefonları, tabletlerle birlikte reklamcılığının odağına “kişiye özel reklam” oturdu.
TV’na verdiğiniz örneğin 100.000 TL’lik bir araba reklamını onu alamayacak olan köydeki Mehmet Bey ile şehirdeki orta seviyedeki Ahmet Bey, Hülya hanım tarafından da seyrediliyor Ama siz aslında pahalı bir araba almayı planlayan Ayşe Hanım tarafından seyredilmek istiyorsunuz. Yani örneğin 1000 kişilik bir reklam verirsiniz ama reklamınızı görmesi gereken kişi sadece 50 olabilir. % 5.
Diğer yandan, internet’te araba sitelerini dolaşan Ahmet bey varsa, onun baktığı sitedeki reklama, o pahalı arabanın bannerını yerleştirebilirsiniz. Zaten hangi arabalara baktığını bile biliyorsunuz. Yani 50 kişilik reklam verirsiniz ve size bu 50 kişi görür. Kişisel reklamın kişi bazında daha pahalı olmasına karşın, toplamda 1000 kişilik reklamın daha pahalı olduğu şüphesizdir.
Hele bu reklamı cep telefonu üzerinden kişiye özel sunabiliyorsanız, fevkalade olur.
Bir de şu açıdan bakalım; TV’daki reklamınızı bu arabayı görmesini istediğiniz 50 kişi için veriyor olabilirsiniz. Ama o 50 kişiden belki 25’I zaten yeni araba almışsa ve arabanızla ilgilenmiyorsa yine oran düşüyor.
Ama araba sitelerine girip, arabalara bakan kişiye sunacağınız reklam, zaten araba arayan birisine sunduğunuz reklamdır. Tadından yenmez.
Reklam Uygulamaları Kişisel Verilerin Gizliliğini Tehdit Ediyor
Şimdi konumuza geri dönelim; İnternet, akıllı telefon ve tabletlerle birlikte, reklam dünyasındaki bu dönüşüm, hayatımıza kişisel gizliliği tehdit eden bir tablo sunuyor. Acaba verileriniz kimlerin kimlerin ellerinde ve acaba o kimler neler yapıyor?
Daha henüz devletlerin kendi ya da diğer ülkelerin vatandaşları konusunda casusluk amaçlı bilgi toplamalarından bahsetmiyorum bile.
Ama bahsetmemiz de lazım. Belki 2’si birbirinden ayrılmıyordur. Yani 1 taşla aslında 2 kuş vuruluyor da olabilir. Alın size bir örnek…
Phorm Ticari mi, Devletin mi?
Örneğin size Phorm adlı bir uygulamadan bahsetmek istiyorum. Aranızda Phorm’u duyan var mı? Çok duyulmadığını biliyorum. Halbuki her gün karşılaşıyor olabilirsiniz.
Phorm ile Nasıl Karşılaşıyoruz?
Phorm ABD’de ortaya çıkan bir reklam uygulaması. Kendilerini şuna benzer bir şekilde tanımlıyorlar;
Sizi gezdiğiniz siteler, tıkladığınız reklamlar, izlediğiniz videolar, doldurduğunuz formlar vb. aracılığı ile profilliyor. Elde edilen profile göre ticari olan/olmayan içerikler sunuyor. Yani İnternette neler yaptığınızı/davranışlarınızı izleyip ona uygun reklamlar ve içerikler sunuyor.
Phorm için kısa bir bilgi verelim; daha çok bilgi almak isteyenler turk-internet.com sitesinde detaylı bulabilirler.
Phorm Ülkemize TTnet ile ve habersiz (kullanıcı rızası alınmadan) geldi. 2006-2007’lerde ABD’de ve İngiltere’de aynı şekilde gelmiş. Yani kullanıcılara her seferinde nedense “biz artık bu profilleme aracı ile size izleyecek ve sizin canınızı sıkmayacak reklamlar görmenize yardımcı olacağız” dememişler.
Nerede? ABD’de de, İngiltere’de de, Türkiye’de de. Hep gizlice uygulamaya alınmış.
Ama sonra kullanıcılar bu konuda uyanmış ve itiraz etmişler. Kendi ülkesi olan ABD’de kullanılamıyor. İngiltere’ye BT getirmiş ama kullanıcıların şikayeti ve AB komisyonunun İngiltere’ye yaptığı uyarı ile kullanımı durmuş.
Ama ülkemizde hala kullanılıyor. TTnet ilk başta sessiz sedasız devreye aldı. Kullanıcılar tepki gösterip, BTK’ya şikayet edince, BTK da göstermelik bir ceza kesti ve ancak izin veren kullanıcılara uygulanacağını hükme bağladı.
Evet ama Yetmez…
Phorm’un en önemli özelliği “Deep Packet Inspection (DPI)”dir. İnternet haberleşmemizi paketlerle yaparız. Standart büyüklükteki veri paketlenir ve gönderilir. Geriye o paketin karşıya ulaştığına dair bir cevap döner. İkinci paket gönderilir. İşte Phorm bu paketleri inceliyor. Bu paketlerle de insanları profilliyor; “Mehmet Bey, futboldan çok hoşlanıyor. Haberlerini de solcu yayınlardan okuyor. Ama en zayıf yönü; devamlı seks sitelerine bakıyor. Bu zayıflığı kullanılabilir. Şunlarla da mailleşiyor. Hatta maillerinde şunları da diyor.”
Sadece Phorm mu? Ya Facebook, Google? Şeffaflık Raporları Ne Anlama Geliyor?
Ama bu deep packet inspection’a gelene kadar, Wikileaks kurucusu Julian Assange’ın 2010’da işaret ettiği daha vahim bir konuya bakalım. Assange dedi ki; “Facebook gelmiş geçmiş en korkunç casus aracıdır”.
Yani birilerinin deep packet inspection yapmasına bile gerek yok. Facebook’da resimlerimizi ve en gizli kişisel bilgilerimizi, düşüncelerimizi biz kendi elimizle veriyoruz. Bir savcı bey söylemişti aranızdan; “Facebook hesabımı kapattım çünkü ben bir şey demesem bile, arkadaşlarımın yaptığı konuşmalar benim kim olduğumu” ortaya koyuyor.
Bu sadece Facebook da değil, Google, YouTube, Instagram, Twitter.. hepsi hepsi.. olabilir. Bu firmaların belirli periyotlarda açıkladıkları “şeffaflık raporu” ne anlatıyor? Bana göre sadece kendilerini temize çıkarmaya çalışıyorlar. Örneğin bu raporlarda dikkatimizi çeken husus, Türkiye’nin taleplerine çok cevap verilmediği şeklinde. Ama ya elini daldırıp, istediği sunucudan istediği bilgiyi alan ABD? Bu ABD gerektiğinde bazı bilgileri müttefiklerine de veriyor olabilir mi?
Ama biz bunları konuşuyorken; herkesin senelerdir “komplo teorisi” olarak söylediği bir konu şak diye karşımıza çıktı; 6 haziranda eski bir CIA elemanı ortaya NSA skandalını döktü. Buna gore hepimizin en çok kullandığı; Facebook, Microsoft, YouTube, Google vs benzeri 9 firma sunucularını NSA’in hizmetine doğrudan açmışlar. NSA elini daldırıyor ve bu 9 firmanın bilgileri arasından ne gerekiyorsa onu alıyor.
Sadece Dinleme Yok, Artık Kaydetme ve Gerektiğinde Kullanma Var
Bu arada ÇOK ÇOK ÖNEMLİ bir konuyu da not edelim; NSA sadece dinleme yapmıyor. Daha kötü bir şey yapıyor; KAYDEDİYOR ve SAKLIYOR. Yani örneğin; diyelim ki bir gün kendilerinin hoşuna gitmeyen bir şey dediniz; “çıkar bakalım şu adam son 6 ayda ne yapmış, hangi sitelere girmiş, kime mail atmış, telefonla kimlerle konuşmuş, bu haberleşmelerin herbirinde neler demiş?”
İşte Big Data denilen şey de bu..
Dolayısıyla ……Kişisel Verilerimizin geldiği nokta da bu..
Ama son olarak şunu belirteyim; arka planda bir gelişme var. BTK’nın sayfalarına 18 temmuzda bir karar düştü. Kararı turk-internet.com sayfalarında bulabilirsiniz. Bu karar İnternet Servis Sağlayıcılarına yönelikti ve diyordu ki; “tüm trafiğinizi Ankara’ya getirip, bana bir kopyasını anlık olarak sağlayacaksınız”.
Yani.. her vatandaşın internet ve telefon üzerinde yaptığı tüm haberleşmeyi ben göreceğim diyor. Mahkeme kararı filan değil. Şu anda da bazı söylentiler var. MİT’e boru çekilmiş, mahkeme dışı dinleme yapılmış vs. vs. ama bu gelen daha planlı çünkü kanuna dayandırılıyor. Ülke güvenliği sorununa[10].
Bunun bireylerin anayasal hakları olan “haberleşme hakkı” ve “haberleşmenin gizliliği” kurallarına ne kadar uyduğu ayrı bir soru ama yanı sıra şirketlerin (yerli ya da yabancı) ticari sırları açısından haberleşme gizliliğine ne kadar aykırı. Bunu hep birlikte düşünmemiz lazım.
Ek olarak NSA konusunda tekrarladığım hususu yeniliyorum; TİB daha kurulmadan önce açılan ihale belgelerine bakarsanız, sadece dinleme değil, yanı sıra kaydetme yeteneği istediğini görürsünüz. O yıllarda aylık 2 milyar maili depolayacak bir donanım isteniyordu mesela.
Dolayısıyla bütün bu davalar, Ergenekon’lar, balyozlar, 3 bakanın oğlu ile başlayan soruşturma hareketleri ve diğerleri hepsinin altında acaba bu takipler var mı? Bu takipleri kim yapıyor? Biz mi? Yani Türk devleti mi? Yoksa Phorm gibi uygulamalar ve hatta işbirlikleri ile başka birileri mi?
Bu davaların haklılığı ya da haksızlığı yanı sıra bu konuları da düşünme kapsamına almamız gerekmiyor mu? Burada her birimize karşı çekilmiş bir tetik hazır beklemiyor mu?
Phorm Nasıl İşliyor?
TTNET, Phorm adında bir şirketle anlaşıp bütün kullanıcıların internet sitelerin giriş verilerini yabancı kaynaklı bir şirkete pazarlıyor. Her ne kadar kullanıcı ister açabilir ister kapayabilir gibi seçeneği olsa da, kullanıcılar bu konuda yeterli bilgiye sahip değil..
Olay kısaca siz internette dolaşırken her tıklamanız sonra tıkladığınız sayfa phorm adındaki şirketn serverlerine kaydediliyor. ve ona göre uygun reklam sizde gösteriliyor….