Veri koruma uyarısı: Günlük uygulamalar konum verilerini yetkililere nasıl sağlıyor?

Oyun, hava durumu ve flört uygulamaları, yetkililerin satın alabileceği konum verilerini toplar. ABD'den gelen bir vaka bunun önemini ortaya koyuyor.

Milyonlarca insan her gün hava durumu uygulamalarını, mobil oyunları veya flört hizmetlerini kullanıyor ve çoğu durumda konum verileri de iletiliyor. Ve kullanıcıların nereye gittikleri hakkında hiçbir fikri yok.

Amerika Birleşik Devletleri'nde yakın zamanda yaşanan bir vaka, bu tür bilgilerin yalnızca reklam şirketlerini değil aynı zamanda devlet kurumlarını da ilgilendirdiğini özellikle dramatik bir şekilde ortaya koyuyor. Orada, Gümrük ve Sınır Koruma (CBP), herhangi bir yargı onayı olmadan insanların yollarını takip etmek için reklam sisteminden konum verilerini özel olarak satın aldı.

ABD'de hâlihazırda var olan gerçek, temel bir sorunu ortaya çıkarıyor: Mobil reklamcılığın ardındaki veri akışları, dünya çapında gözetim amacıyla kötüye kullanılabilecek bir altyapı yaratıyor.

Arka planda görünmez çubuklar

Bir uygulamadaki her reklamın arkasında uzmanların gerçek zamanlı teklif verme adını verdiği karmaşık bir süreç vardır.

Basitçe açıklamak gerekirse: Birisi bir uygulamayı açarsa, ücretsiz reklam alanları için otomatik açık artırmalar saniyeden çok daha kısa bir sürede başlar. Tekliflere aynı anda onlarca firma katılıyor ve bu sayede mevcut konumunuz da dahil olmak üzere cihaz verilerinize erişim sağlıyor.

Uygulama ile reklam pazarı arasındaki bağlantı, Reklam Kimliği, kısaca AdID olarak adlandırılır. Bu alfasayısal kod her akıllı telefonda bulunur ve aslında reklamları daha kesin bir şekilde görüntülemek için kullanılır.

Ancak cihazı çeşitli uygulamalarda izlenebilir kılan da tam olarak bu koddur.

Uzmanlaşmış veri tüccarları buna uyum sağladı. Venntel ve Babel Street gibi şirketler, on binlerce uygulamadan alınan konum bilgilerini bir araya getiriyor ve yetkililer de dahil olmak üzere ödeme yapan müşterilere erişim sunuyor.

Hükümet içi bir belgeye göre CBP, Sınır Devriyesi soruşturmaları için hareket verilerini değerlendirmek amacıyla 2019 ve 2021 yılları arasında bu tür birkaç platformu test etti.

Çünkü “anonimleştirilmiş” hiçbir şeyi pek korumaz

CBP, belgelerinde reklam kimliklerinin isim veya telefon numarası gibi kişisel bilgiler içermediğini vurguluyor. ABD sivil haklar örgütü ACLU bu iddiayı kabul etmiyor. Ayrıntılı bir analizde, anonimlik vaadinin “yanıltıcı” olduğunu yazıyor.

Aslında günlük rutin, bir cihazı belirli bir kişiye atamak için yeterlidir. Sabah işe giderken hep aynı rotayı kullanan, akşam aynı adrese dönen herkes parmak izi gibi bireysel bir desen oluşturuyor.

ACLU'ya göre, veri sağlayıcı Gravy Analytics'in reklam materyalleri kelimenin tam anlamıyla şöyle diyor: “Ne yaptığınız ve nerede yaptığınız, kim olduğunuzu tanımlar.”

Yetkililer ayrıca bu tür hareket profillerini diğer veri kaynaklarıyla karşılaştırabilir ve böylece anonim bir tanımlayıcının arkasındaki kimliği ortaya çıkarabilir.

Anayasal engeller ve bunların aşılması

Amerika Birleşik Devletleri Anayasası'nın Dördüncü Değişikliği, soruşturmacıların özel verilere erişim için mahkeme kararı almasını gerektirmektedir. Yüksek Mahkeme, 2018 yılında cep telefonu konum verileri için bu prensibi açıkça teyit etti.

Ancak ilgili yetkililer farklı bir yaklaşım tercih ediyor: açık piyasadaki bilgileri veri tüccarlarından satın alıyorlar ve arama emrinin gerekli olmadığını savunuyorlar.

ACLU tarafından yayınlanan belgeler, kullanımın ne kadar yaygın olduğunu belgeliyor. Sonuç olarak CBP, belirli bir alandaki tüm cihazları kaydetmek ve rotalarını aylarca takip etmek için coğrafi sınır sorgularını kullandı.

Göçmenlik bürosu ICE, tüm sokakları aktif mobil cihazlar için tarayabilecek araçlar satın aldı. Belgelenen bir vakada, İç Güvenlik Bakanlığı'nın bir çalışanı işle ilgili bir neden olmaksızın meslektaşlarının yerini tespit etmek için konum verilerini bile kullandı.

Milletvekilleri sonuç için baskı yapıyor

Yaklaşık 70 milletvekili şimdi İç Güvenlik Bakanlığı genel müfettişini ICE'nin veri satın alımını incelemeye çağırıyor.

Daha önce yapılan bir araştırma ciddi eksiklikleri ortaya çıkardı: veritabanlarını izlemek için paylaşılan şifreler, erişim kontrollerinin eksikliği ve bir çalışanın yukarıda belirtilen suiistimali.

Bakanlık, uygulamayı 2023 yılında geçici olarak askıya aldı, ancak daha sonra yeniden başlatıldığı bildirildi.

İki partili “Dördüncü Değişiklik Satılık Değildir” tasarısı, gelecekte yetkilileri ticari amaçlarla değiştirilen konum verilerine herhangi bir erişimden önce adli onay almaya zorlayacak. Temsilciler Meclisi projeyi 2024 yılında çoğunlukla onayladı.

Ancak bu, dünyanın her yerindeki akıllı telefon kullanıcıları için zaten geçerli: Konum ve reklam erişimine sahip herhangi bir uygulama, erişimi kişiselleştirilmiş reklamcılığın çok ötesine geçen bir sisteme veri besleyebilir.