Avrupa Birliği: “Sistemik Risk ve Tasarım Yoluyla Gizlilik”
Avrupa’da yaklaşım, sadece “yasaklamak” değil, platformun mimarisini çocuklara göre “iyileştirmek” üzerine kuruludur.
- Dijital Hizmetler Yasası ( Digital Services Act- DSA ): 2024 itibarıyla tam olarak kullanılan bu yasa, çok büyük çevrimiçi platformlara (VLOPs) “küçüklerin korunması için sistemik risk değerlendirmesi” yapma zorunluluğu getiriyor. Algoritmaların çocukları “bağımlı” yapması veya zararlı içeriğe yönlendirmesi hukuki bir suçtur.
- Çevrimiçi Güvenlik Yasası – ( Online Safety Act ): Birleşik Krallık, belki de dünyadaki en sıkı yaş doğrulama yasalarından birine sahip. Yaş Tahmini (Age Assurance) ve Yaş Doğrulaması (Age Verification) ayrımını yaparak, platformların çocukları zararlı içerikten korumak için “yeterli teknolojiyi” kullanmasını şart koşuyor. Kullanmazlarsa küresel cironun %10’una kadar ceza kesilebiliyor.
- Ebeveyn Onayı ( Parental Consent ) :Fransa, GDPR ve DSA düzenlemelerine dayanarak, 15 yaş altındaki çocukların sosyal medya kullanabilmesi için ebeveyn onayını zorunlu kıldı. Platformların bu onayı teknik olarak nasıl doğrulayacağı ise hala büyük bir tartışma konusu.
Amerika Birleşik Devletleri: “Eyalet Savaşları ve Birinci Madde Çıkmazı”
ABD’de durum Avrupa’dan çok daha kaotik. Federal düzeyde eski bir yasa varken, eyaletler kendi ‘dijital sınırlarını’ çiziyor.
- Çocukların Çevrimiçi Gizliliğinin Korunması Yasası (Children’s Online Privacy Protection Act – COPPA) Amerika Birleşik Devletleri’nde federal düzeyde 13 yaş altındaki çocukların verilerinin toplanmasını ebeveyn iznine bağlayan 1998 tarihli yasa. Ancak günümüzün TikTok/Instagram dünyasında oldukça yetersiz kalıyor.
- Yaşa Uygun Tasarım Kodu Yasası ( Age-Appropriate Design Code Act – CAADCA ) İngiltere’deki modeli örnek alan Kaliforniya, çıkardığı bu yasa ile birlikte platformların “çocuğun yüksek yararını” ( best interest of the child ) gözetmesini istiyor. Ancak teknoloji devleri, bu yasanın “ifade özgürlüğünü” ( First Amendment) kısıtladığı gerekçesiyle sürekli dava açıyor.
- Florida ve Utah Modelleri: Bazı eyaletler 14-16 yaş altına tam yasak veya gece saatlerinde erişim kısıtlaması getiren yasalar çıkardı. Bu yasalar, platformların tüm kullanıcılarından ( yetişkinler dahil ) kimlik kartı veya yüz taraması ile yaş doğrulaması yapmasını talep ediyor.
Avrupa ve Amerika’da yaş doğrulaması ( Age Verification ) ve yaş tahmini ( Age Assurance ) süreçleri, “en az veriyle en yüksek doğruluk” arayışı içinde birkaç temel teknik üzerine oturuyor.
Yaygın kullanılan teknik yöntemler;
- Yüz Analizi ve Tahmini ( Face Estimation )
Özellikle İngiltere ( ICO ) ve bazı AB ülkelerinde popülerleşen bu yöntem, yüz tanıma ( face recognition ) değildir.
Kullanıcı bir “selfie” veya kısa bir video çeker. Yapay zekâ, kişinin biyometrik kimliğini belirlemek yerine sadece yaşa bağlı fiziksel özellikleri ( cilt dokusu, kemik yapısı vb. ) analiz eder.
Görüntü genellikle analiz edildikten hemen sonra silinir. Kişinin kimliğiyle eşleştirme yapılmaz, sadece “bu kişi 18 yaş üstü/altı” sonucu üretilir.
- Dijital Kimlik ve eID Entegrasyon
Avrupa Birliği’nin eIDAS 2.0 düzenlemesiyle birlikte “Dijital Kimlik Cüzdanları” bu işin temel taşı haline geliyor.
Kullanıcı, devlet tarafından onaylanmış dijital cüzdanını ( e-Devlet benzeri sistemler ) platforma bağlar.
Sıfır Bilgi Kanıtı ( Zero-Knowledge Proof ), Teknik olarak cüzdan, platforma kullanıcının doğum tarihini veya T.C. numarasını vermez; sadece platformun sorduğu ‘Kullanıcı 15 yaşından büyük mü?’ sorusuna şifreli bir ‘Evet’ yanıtı gönderir.
Almanya ve İskandinav ülkelerinde ( BankID gibi sistemlerle ) yaygındır.
- Veri Tabanı Sorgulama (Hard Identifier Checks)
Amerika Birleşik Devletleri’nde eyalet yasalarının ( örneğin Florida, Utah ) daha çok tercih ettiği, daha ‘yayılmacı’ bir yöntemdir.
Kullanıcının sağladığı isim, soyisim ve adres gibi bilgilerin kredi kayıt büroları, seçim kütükleri veya mobil operatör kayıtları gibi üçüncü taraf resmi veri tabanlarıyla eşleştirilmesi.
Bu yöntem, internet anonimliğini tamamen ortadan kaldırır çünkü kullanıcıyı gerçek dünyadaki finansal veya yasal kayıtlarıyla eşleştirir.
- Kredi Kartı ve Banka Kartı ile Doğrulama
En eski ve en yaygın kullanılan yöntemlerden biridir.
Bir kredi kartından 0.10$ gibi sembolik bir çekim/iade işlemi yapılarak kart sahibinin yetişkin olduğu varsayılır.
Çocukların ebeveyn kartlarına erişebilmesi nedeniyle teknik güvenilirliği en düşük, ancak uygulanması en kolay yöntemdir.
- Kimlik Belgesi Tarama ( OCR ve NFC )
Kullanıcının ehliyet veya pasaportunun fotoğrafını çekip sisteme yüklemesi esasına dayanır.
Optik Karakter Tanıma ( OCR ) ile doğum tarihi okunur. Yeni nesil kimliklerde ise telefonun NFC özelliği kullanılarak kimlik çipindeki veriler doğrulanır.
Bu belgelerin sunucularda saklanması, siber saldırganlar için büyük “ödül”dür.
Avrupa’daki modern uygulamalarda “Double Blind” prensibi uygulanmaya çalışılıyor.
- Kimlik sağlayıcı ( devlet/banka ), kullanıcının hangi platforma (örn. bir oyun sitesi) girmeye çalıştığını bilmez.
- Platform ise kullanıcının gerçek kimliğini bilmez, sadece yaş onayı alır.
Teknik açıdan bu “aracı” kurumların ( Third Party Verification Hubs ) güvenliği, sistemin en zayıf halkasıdır. Eğer bu merkezi doğrulama noktaları hack’lenirse, tüm dijital ekosistemin “anahtarı’” siber saldırganların eline geçebilir.
