Google Kullanıcıları Kandırıyor Mu? FLoC Arkasındaki Gizli Tehliye ve KVKK Değerlendirmesi
Merhaba, Google üçüncü taraf çerezleri kullanımdan kaldıracağını açıklamış ve bizde sizler için haberini yaptık.
FLoC uzun zamandır kişisel veri gizliği ile ilgili tartışılan bir teknoloji. Bu blog’da bu konuyu enine boyuna masaya yatırıyoruz. İlk olarak web çerezlerine bakacağız sonrasında FLoC nedir ne değildir derinlerine ineceğinz ve KVKK bakış açısı ile değerlendireceğiz.
Web çerezi ( HTTP cookie ) nedir
Internet tarayıcıları üzerinden kullanıcı bilgisayarlarına yerleştirilen küçük metin dosyaları olarak tanımlanan web çerezleri, ziyaret edilen siteler tarafından oluşturulur ve tarayıcıda depolanır. Bu dosyaların işlevleri, genel olarak web sitesi performansını artırmak, kullanıcı deneyimini iyileştirmek, oturum bilgilerini saklamak ve tercihleri depolamak gibi çeşitli görevleri yapar.
“Çerez” terimi ilk olarak web tarayıcısı programcısı Lou Montulli tarafından ilk olarak kullanılmıştır. Web çerezlerinin tarihi 19943’e kadar uzanır. Şimdiki web tarayıcıların atası sayılabilecek Netscape Communications Corporation tarafından geliştirilmiştir ve Netscape Navigator 0.9 beta ile ilk olarak kullanılmıştır.1995’te ise ilk web çerezleri standarttı Netscape tarafından belirlenmiştir ve 1997’de Internet Explorer 2.0 ilk web çerezlerini kullanmaya başlamıştır. 2000 Yılında IEEE (Institute of Electrical and Electronics Engineers), web çerezlerini standart haline getirmek için Internet Engineering Task Force (IETF) çatısı altında çalışmalara başlamış ve RFC 2965 (HTTP State Management Mechanism) standardını belirlemiştir.2005 Yılında ise RFC 2965 yeni bir web standarttı yayınlandı ancak çok fazla kabul görmedi ve RFC 2965 kullanılmaya devam edildi.
RFC 2965 Neden tercih edilmedi
RFC 2965’in karmaşık bir yapısı vardı bu nedenle uygulama sürecinde hatalara yol açıyor ve geliştiriciler için zorluklara neden oluyordu. RFC 2965, tüm tarayıcılar tarafından homojen desteklenmediği için uyumsuzluk sorunlarına yol açıyordu. Farklı tarayıcılar, standartları farklı şekilde yorumlayabiliyor veya sadece belirli özellikleri destekleyebiliyordu. RFC 2965’in getirdiği özellikler çoğu durumda pratik uygulanabilirlik olarak zorluklar çıkarıyordu. Daha basit ve yaygın kullanılan çerez yönetim yöntemleri, genellikle daha fazla tercih ediliyordu. Son olarak RFC 2965, 2000 yılında yayınlandı ve o zamandan beri güncellenmedi.
Web Çerezlerinin Genel Özellikleri
Oturum Çerezleri (Session Cookies)
Web sitelerindeki sayfalar arasında gezerken kullanıcı bilgilerinin sayfalar arasında taşıyan çerez türüdür. Bu çerez türü session id adında bir değer ile bu bilgileri saklar. Oturum bilgileri web sunucusu tarafındaki veri tabanlarında saklanırken session id’ler ise kullanıcının bilgisayarında depolanır. Kullanıcı web tarayıcısını kapattığında bu bilgiler web sunucu tarafındaki veri tabanından silinir.
Kalıcı Çerezler (Persistent Cookies)
Kullanıcılar, web sitelerini gezinirken sitelerin (web sunucusu) tarayıcıları aracılığıyla hard disklerine yerleştirdiği küçük dosyalardır. Kalıcı çerezler, geçerlilik tarihleri dolana kadar veya kullanıcı çerezleri silene kadar bilgisayarda kalır. Bu çerezlerde geçerlilik süreleri web sunucu tarafından belirlenir ve boyutu 4KB boyutundadır. Bu çerezler kullanıcı hakaretlerini takip etmek için kullanılır.
Gerekli Çerezler (Strictly Necessary Cookies)
Bu tür çerezler bir web sayfasının çalışması için temel bilgileri içerir. Oturum açma ve kimlik doğrulama, ödeme işlemleri, güvenlik ve sağlık durumu kontrolü, dil ve bölge tercihi.
İşlevsel Çerezler (Functional Cookies)
Bu tür çerezler, kullanıcı deneyimini arttırmak için kullanılmaktadır. Kullanıcı tercihleri hatırlama, kullanıcı deneyimini özelleştirme, form bilgilerini saklama, otomatik giriş, özel içerik sunma.
Analitik Çerezler (Analytical Cookies)
Bu çerez türü, web sayfalarının kullanım oranlarını analiz etmek için kullanılır. Analitik çerezler, bir sitenin nasıl kullanıldığını, hangi sayfaların ziyaret edildiğini, siteye ne süre ile girildiğini ve diğer istatistiksel bilgileri takip edebilir.
Pazarlama Çerezleri (Marketing Cookies)
Pazarlama çerezleri kişinin ilgi alanlarını tespit etmek için kullanılır. Böylece kişiye ilgili alanları ile ilgili içerikler gösterilir. Kullanıcı isteğine bağlı olarak istemediği içerikler bir daha gösterilmez.
Birinci Taraf Çerezler
Bu çerez türü ziyaret edilen web sayfası tarafından oluşturulur.
Üçüncü Taraf Çerezleri (Third-party Cookies)
Bu çerez türü gezilen web sayfasına ait değildir ve gezilen web sayfası üzerindeki başka bir web sayfası için üretilir. Bu genelde bir web sayfası üzerine verilen reklam gibi içeriklerde karşılaşılır. Örneğin, haber sitelerinde karşılaşılan Facebook beğen butonu, Facebook tarafından okunabilir bir çerez oluşturmaktadır.
Güvenli çerez(Secure Cookies)
Bu çerez türünde veriler HTTPS ile şifrelenerek gönderilir. Bu yöntem saldırganların çerez yoluyla verilerin sızdırılmasının önüne geçer veya sızma oranlarını düşürür.
Supercookies (Süper Çerez)
Bu çerez türünü diğer çerez türlerinden ayıran özelliği, tarayıcı geçmişi ve tarama verileri kaldırılarak silinemeyen çerez olmasıdır. Bir özelliği sayesinde güvenlik problemi olarak görülebilir. Siber saldırganlar tarafından yönetilen web siteleri üzerinden kullanıcı bilgisayarına bu çerez türleri oluşturulabilir. Bu çerezleri web tarayıcılar ile engellemek mümkündür.
Zombie cookie (Zombi Çerez)
Bu tür çerezler, sistemden silindikten sonra yeniden oluşturulur. Bu durum sistem üzerinde zafiyetlere neden olduğundan bir güvenlik problemi olarak görülür.
FLoC Yöntemi Nedir
FLoC (Federated Learning of Cohorts) Google tarafından geliştirilmiş bir teknolojidir. Çıkış nedeni tarayıcı tabanlı reklam süreçlerini yeniden düzenlemektir.
Kullanıcıları gruplandırmak için kohort adı verilen belirteçler ile SimHash algoritmasını kullanarak bir “kohort kimliği” (cohort ID) oluşturur. Benzer ilgi alanlarına sahip olan kullanıcılar gruplanır. Bu noktadan sonra AI devreye girer ve benzer ilgili alanlarına sahip kullanıcılara ilgi alanlarına göre reklamlar gösterilmeye başlanır.
FLoC, ilk olarak 2019’da geliştirildi. Mart 2021’de yayınlanan Chrome 89 test etmeye başlandı. Kullanıcı gizliliği eleştirileri ve diğer web tarayıcıları (Firefox, Internet Explorer vb.) tarafından reddedilmesi üzerine 25 Ocak 2022’de FLoC’un geliştirilmesinin sonlandırdığını resmi olarak duyurdu ancak isim değiştirerek Topics API adıyla geliştirilmeye devam ediyor.
Ki̇şi̇sel Verilerin Toplanması Açısından Çerez Ve FloC Yöntemlerinin Karşılaştırılması
Web çerezleri ve FLoC yöntemleri ile kullanıcı verilerinin işlenmesi değerlendirmek için 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’a bakmamız gerekiyor. Yayınlanan 6698 sayılı KVKK belgeleri incelendiğinde “Çerez” tanımı yapılmamış olduğu görülmekte. Ancak 20.06.2022’de KVKK tarafından “Çerez Uygulamaları Hakkında Rehber” adında bir rehber yayınlandı. Bu nedenle Web çerezleri ile FLoC kıyaslarken bu rehberi referans kabul etmemiz gerekiyor.2022’de yayınlanan KVKK’nın yayınladığı Çerez Uygulamaları Hakkında Rehberindeki 5 ve 6’ncı maddelerinde baktığımızda aşağıdaki maddeleri görmekteyiz.Maddelerde açıkça üçüncü taraf çerezlerin web sitene yerleştirildiğinde hem web site sahibinin hem de üçüncü tarafların kullanıcılardan açık rıza almaları gerektiği belirtiliyor.
Diğer bir konu ise kişisel verilerin yurt dışına aktarılması. Kişisel verilerin yurt dışına aktarılması için açık rıza ve ayrıca işleme şartlarının olması şartı ile yapılabiliyor. İşleme şartlarında eğer yeterli koruma mevcut değilse Türkiye’deki ve ilgili ülkedeki veri sorumlularının karşılıklı yazılı güvence vermeleri durumunda veriler yurt dışına aktarılabiliyor.
FLoC’u KVVK bakış açışı ile değerlendireceksek yukardaki maddeleri incelememiz gerekiyor. “Çerez Uygulamaları Hakkında Rehber” rehberine baktığımızda FLoC ile üçüncü taraf çerezleri karşılaştırmamız gerekiyor.
İlk olarak üçüncü taraf çerezler bilgisayarlardaki küçük dosyalarda saklanırken, FLoC, kullanıcıya bir cohort ID atar ve bu ID üzerinden kullanıcıları gruplayarak ortak ilgi alanlarına göre gruplamalar yapar. Burada ki sorun şu an için sadece ilgili alanları gibi davranışları takip etmesi ancak ileride başka hangi kişisel verileri takip edip etmeyeceğinin bir garantisi olmamasıdır (Cinsiyet, ırksal vb.)
Bir diğeri FLoC’un sahip olduğu AI teknolojinin kişinin gizlilik haklarına karşı tehdit oluşturma riskidir. FLoC aktif olmuş bir sistemde artık kullanıcının tüm davranışları analiz edilebilecek, örneğin insanları etnik kökene, dine, cinsiyete, yaşa veya yeteneğe göre gruplayıp iş, konut ve kredi konularında ayrımcı reklamlara olanak tanıyabilir. Kredi geçmişine veya onunla sistematik olarak ilişkilendirilen özelliklere dayalı yönlendirmeler yapabilir yüksek faizli krediler için yağmacı reklamlara olanak tanıyabilir.
FLoc’daki bir diğer risk ise bu davranışların kötü niyetli kişilerin eline geçmesi ve bunu dolandırıcılık gibi yöntemlerde kullanılması çünkü kişisel veriler tamamen Google altyapısında depolanıp analiz edilebileceğinden kontrol etmesi çok mümkün değil. Ortak ilgi alanlarına sahip kullanıcıları ortak gruplarda toplaması. Ancak bu işlem her türlü hassas veriyi içerebilir cinsiyet, etnik köken, yaş, gelir gibi demografik özellikler, hatta sağlık sorunlarını gibi verileri toplayabilir sonrasında bu kişisel verileri üçüncü kişiler ile paylaşarak gizliliği riske atmış olur.
Parmak İzi Sorunu, FLoC, tarayıcı parmak izi alma potansiyelini içermektedir. Bu, kullanıcıların tarayıcılarından benzersiz bir tanımlayıcı oluşturulmasını içerir, bu da gizlilik riskini artırabilir. Bunun nedeni size ait bir profil oluşturması ve sürekli davranışlarınızı izlemesi, analiz etmesi gruplaması ve diğer kişiler ile bunu paylaşması. FLoC, kullanıcıların davranışları hakkında bilgileri paylaşma üzerine kurulmuştur. Bu, kullanıcıların ziyaret ettikleri sitelerin genel tarama geçmişlerini demokratik bir şekilde açıklamalarını gerektirebilir, ki bu da gizlilik ihlali potansiyeli taşır. FLoC’un temel hedefi, reklam gücünü korumaktır. Ancak, bu, ayrımcılık, istismar ve önyargılı reklamların oluşma riskini artırabilir.
FLoC kullanıcıları merkezi bir sunucu tarafından kontrol edilmeyen algoritmalara dayalı gruplara ayırma potansiyeline sahiptir. Bu durum, kullanıcıların bilinç dışı veya istenmeyen şekillerde gruplandırılmasına ve bu grupların kötü niyetli amaçlar için kullanılmasına yol açabilir.
Tartışmalara neden olan diğer bir soru korelasyon sorunu, FLoC grupları, demografik ve kişisel bilgilerle ilişkilendirilebilir. Bu durum, kullanıcıları belirli özelliklere göre ayrımcılık yapma riskini taşır. Şeffaflık ve kontrol sorunu, FLoC’un kullanıcılarına sunacağı “seçenekler”, çoğunlukla reklam verenleri tercih edecek şekilde tasarlanabilir, bu da kullanıcıların gerçekten etkin bir kontrol sağlayamayabileceği anlamına gelebilir.
KVKK rehberine baktığımda FLoC, “Kriter A ve Kriter B kapsamı dışında kalan ve açık rıza gerektiren” çerez sınıfına giren “Üçüncü taraf çerezler” ile kıyaslanabilir. Ve yine ayın maddenin de belirtildiği gibi açık rıza gerektirir. Bunun ile birlikte toplanan verilerin Türkiye dışında paylaşılması durumunda yine açık rızaya ihtiyaç vardır. FLoC yapısı gereği verileri alıp kendi sisteminde analiz edip paylaşacağı için kontrol etmesi çok zor olacaktır. Bunun nedeni açık rızada hangi verilerin toplanacağı ve hangi şartlarda paylaşılacağı belirtilmekte ancak FLoC ortamında süreç açık rızadaki veriler ile sınırlı olsa da AI yetenekleri ve gruplama mantığı mevcut kişisel verin kullanım amacının dışına çıkma riski çok büyüktür. Bu ve bu tarz riskler şu an için FLoC’un önündeki en büyük engeldir.
Bu nedenle FLoC’un Avrupa’daki GDPR veri düzenlemelerini geçip geçmediği de henüz belli değil ve şimdilik Google, teknolojiyi Avrupa ülkelerinde test etmiyor. Üçüncü taraf çerezleri artık birçok kullanıcı ve tarayıcı tarafından varsayılan olarak engellendiğinden, reklamcılıktan çok para kazanan herkes (Google, Facebook, reklam teknolojisi şirketleri) yeni bir çerez sistemine geçmek istiyor.
Sonuç
Tüm bu bilgiler ışığında FLoC şu an için tartışmalı bir teknoloji ancak yine kapitalizm galip gelir ve finansal getiriler ağır basarsa FLoC isim değişikliği veya sosyal medya manipülasyonu ile zararsız gösterilebilir sonunda hayatımıza girebilir.
Şu an için bu teknoloji etik bulmayan sivil toplum kuruluşları, ülkelerdeki veri gizliği denetim otoriteleri (KVKK,GPDR) ve diğer web tarayıcı üreten şirketler kullanıcıların kişisel veri gizliliği anlamında kaderini belirleyecekler.
Eline sağlık.