5651 sayılı “Internet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” üzerinde yapılan değişiklikler, dijital ekosistemin aktörlerini ve kullanıcı haklarını derinden etkileyecek köklü bir dönüşümü hedeflemektedir.
Düzenleme, temel olarak kanunun kapsamını dijital oyun sektörünü (geliştirici, dağıtıcı ve platformlar) içine alacak şekilde genişletmekte; sosyal ağ sağlayıcıları için 15 yaş sınırı ve yaş doğrulama yükümlülüğü ve uyumsuzluk durumunda %90’a varan bant genişliği daraltması (throttling) gibi ağır yaptırımlar getirmektedir.
Kanun, “çocukların korunması” ve “dijital egemenlik” gibi meşru gerekçelere dayanmakla birlikte; insan hakları, kişisel verilerin korunması, teknik uygulanabilirlik ve siber güvenlik açılarından ciddi riskler barındırmaktadır. Özellikle yaş doğrulama mekanizmalarının yaratacağı veri güvenliği açıkları, 60 dakikalık içerik çıkarma süresinin teknik zorlukları ve bant daraltma yaptırımının “kolektif bir cezalandırma” yöntemine dönüşme potansiyeli, düzenlemenin en çok eleştirel yönlerini oluşturmaktadır.
Çocukların sosyal medya ve oyun platformlarını kullanımına yönelik son yasal düzenlemeler, hukuk ve teknolojinin en sert çarpıştığı alanlardan birini oluşturuyor. Bu düzenlemelerin beraberinde getirdiği teknik ve siber güvenlik zorluklarını dört ana başlıkta inceleyebiliriz:
1. Yaş Doğrulama (Age Assurance) ve Gizlilik Paradoksu
Düzenlemelerin en büyük teknik ayağı, “beyan usulü” yaş girişinden “doğrulama usulüne” geçiş yapılmasıdır. Bu durum siber güvenlik açısından ciddi riskler barındırır:
Veri Minimizasyonu vs. Kimlik Doğrulama: Kişisel Verilerin Korunması Kanunu (KVKK) ve General Data Protection Regulation (GDPR)’ın temel ilkesi olan veri minimizasyonu, sistemin kullanıcı hakkında en az veriyi toplamasını gerektirir. Ancak yaş doğrulamak için T.C. Kimlik numarası, e-Devlet entegrasyonu veya biyometrik yüz tarama gibi yöntemlerin kullanılması, platformları devasa birer “hassas veri havuzu” (honeypot) haline getirecektir.
Merkezi Risk: Milyonlarca çocuğun kimlik verilerinin veya biyometrik haritalarının oyun şirketleri tarafından tutulması, bu platformlara yapılacak siber saldırı iştahını katbekat artıracaktır.
Teknik Çözüm Arayışı: Sıfır Bilgi Kanıtı (Zero – Knowledge Proof) gibi teknolojilerle, kullanıcının kimliğini açıklamadan sadece “15 yaşından büyük mü?” sorusuna “Evet / Hayır” yanıtı verecek sistemlerin entegrasyonu hala yüksek maliyetli ve karmaşık bir süreçtir.
2. Algoritmik Denetim ve İçerik Ayrıştırma Zorlukları
Yeni yasalar, 15-18 yaş arası gençler için “ayrıştırılmış içerik panelleri” ve “reklam kısıtlamaları” getirmektedir.
Gerçek Zamanlı Filtreleme: Zararlı içeriğin 60 dakika içinde kaldırılması veya çocuklara gösterilmemesi zorunluluğu, Yapay Zeka (AI) tabanlı içerik denetleme sistemlerinin hata payını (false positive / negative) zorlamaktadır. Teknik olarak, bir içeriğin “zararlı” olup olmadığını belirleyen algoritmaların kültürel bağlamı (örneğin; argo, ironi veya yerel siber zorbalık türleri) %100 doğrulukla anlaması bugün hala mümkün değildir.
Algoritmik Önyargı: Yaş tahmini yapan AI sistemleri, çocukların fiziksel gelişim farklılıkları nedeniyle yanlış kararlar verebilir ve bu da dijital hizmete erişimde ayrımcılık riskini doğurur.
3. Teknik Baypas Yöntemleri ve Güvenlik Açıkları
Yasal yasaklar, teknik olarak “kedi-fare oyunu” na dönüşmektedir:
VPN ve Proxy Kullanımı: Çocukların yerel kısıtlamaları aşmak için kullandığı VPN araçları, onları kontrolsüz ve güvenliği şüpheli ağlara yönlendirebilir. Bu durum, cihazların kötü amaçlı yazılımlara (malware) karşı daha savunmasız kalmasına neden olur.
Hesap Paylaşımı ve Sosyal Mühendislik: Yaş sınırına takılan çocukların, ebeveynlerinin veya büyük kardeşlerinin kimlik bilgileriyle hesap açması (Identity Fraud), ebeveyn kontrol sistemlerinin teknik olarak işlevsiz kalmasına yol açar. Bu durum siber güvenlik eğitimlerinin (“social engineering” farkındalığı) teknik engellerden daha kritik olduğunu göstermektedir.
4. Ebeveyn Kontrol Araçlarının Güvenliği
Düzenlemeler platformlara “etkin ebeveyn kontrolü” sağlama yükümlülüğü getiriyor:
Yetki Yükseltme (Privilege Escalation): Ebeveyn panelleri, siber saldırganlar için birer hedef noktasıdır. Bir çocuğun hesabını ele geçiren saldırganın, ebeveyn paneli üzerinden finansal verilere veya diğer aile bireylerinin bilgilerine erişme riski teknik bir tehdittir.
Birlikte Çalışabilirlik (Interoperability): Farklı oyun ve sosyal medya platformlarının ebeveyn kontrol ayarlarının birbirine entegre olmaması, ebeveynlerin onlarca farklı sistemi yönetmesini gerektirir. Bu karmaşıklık, genellikle güvenlik ayarlarının yanlış veya eksik yapılmasına (misconfiguration) neden olur.
Burada, yaş doğrulaması için kimlik verisi toplanması konusu önemlidir. Konuya sadece bir güvenlik önlemi olarak bakmak, buzdağının yalnızca görünen kısmını incelemektir. Veri koruma hukuku ve siber güvenlik perspektifinden bakıldığında, bu süreç “amaçla sınırlılık” (purpose limitation) ilkesinin en çok esnetilmeye müsait olduğu alanlardan biridir.
Bu verilerin toplanması, göründüğünden çok daha farklı amaçlara hizmet edebilir ve çeşitli aktörlerin iştahını kabartabilir;
- Platformlar İçin: “Hassas Profilleme” ve Reklam Gücü
Çoğu sosyal medya platformu için “yaş” sadece bir sayı değil, reklam verene sunulan en değerli filtredir.
Müşterini Tanı (Know Your Customer (KYC)) Dönüşümü: Finans sektöründeki KYC protokolleri, artık sosyal medya ve oyun dünyasına da sızacaktır. Kimlik verisi toplandığında, platform kullanıcıyı “anonim bir avatar”olmaktan çıkaracak “teşhis edilebilir bir tüketici” ye dönüştürecektir.
Doğrulanmış Veri Setleri: Reklam verenler, “beyan edilen” yaşa göre değil, “devlet onaylı” yaşa göre hedefleme yapmayı çok daha pahalıya satın alacaktır, bu da platformun reklam gelirlerini maksimize etmesini sağlayacaktır.
- Yeni Bir Pazar, Üçüncü Taraf “Doğrulama Sağlayıcıları”
Platformlar genellikle bu riski ve maliyeti üstlenmek yerine, “Yaş Doğrulama Sağlayıcıları” (Age Verification Providers) ile çalışır.
Veri Aracıları (Data Brokers): Bu aracı kurumlar, ellerinde milyonlarca kişinin kimlik bilgisini içeren devasa veri tabanları tutar. Profilleme içeren veri tabanı, ileride kredi skoru hesaplama, sigorta primleri veya işe alım süreçlerinde kullanılmak üzere farklı sektörlere pazarlanabilecek bir “dijital altın madeni” olacaktır.
- Devletler ve Gözetim Mekanizması
Kimlik verisiyle giriş yapılan her platform, dijital ayak izinin “gerçek kimlik” ile eşleşmesi demektir.
Anonimliğin Sonu: Siber zorbalığı engelleme kisvesi altında, internetteki anonimlik kalkanı kalkacaktır. Bu durum, sivil toplumun ve ifade özgürlüğünün dijital alanda zayıflamasına, devletlerin kullanıcı hareketlerini çok daha kolay takip etmesine olanak tanıyacaktır.
Dijital Kimlik Entegrasyonu: Devletler, vatandaşlarının her dijital etkileşimini kontrol edebilecekleri bir merkezi sisteme geçiş için bu yasal düzenlemeleri birer basamak olarak kullanabilecektir.
- Siber Saldırganlar: “Kolektif Hedef”
Bu verilerin birikmesi, siber güvenlik dünyasında “tek nokta hatası” (single point of failure) riskini doğurur.
Kimlik Hırsızlığı: Bir oyun platformunun veri tabanına sızan saldırgan, sadece kullanıcı adlarını değil, devlet onaylı kimlik belgelerini de ele geçirmiş olur. Bu, çocukların henüz reşit olmadan kimlik hırsızlığına (adlarına hesap açılması, kredi çekilmesi vb.) kurban gitmesine neden olabilir.
Sonuç
KVKK ve GDPR’ın en temel felsefesi olan Tasarım Yoluyla Gizlilik (Privacy by Design) prensibi burada ağır bir darbe alır. Bir çocuğu zararlı içerikten korumak için onun en mahrem verisi olan kimlik bilgilerini dijital ortama dökmesini istemek, ‘kaş yaparken göz çıkarmak’ deyiminin dijital karşılığıdır.
Bu durum, “çocuğun yüksek yararı” ilkesinin, şirketlerin veri toplama iştahı için bir kılıf olarak kullanılmasına yol açar mı? Özellikle veri sızıntılarının bu denli yaygın olduğu bir dönemde, bu verilerin toplanması gerçekten kaçınılmaz bir zorunluluk mudur?
Düzenlenen Kanun, dijital dünyayı daha güvenli hale getirme amacı taşısa da, kullanılan araçlar siber güvenlik ve temel haklar açısından ciddi paradokslar içermektedir. Kaba kuvvet (Brute force) yaklaşımı olarak nitelendirilebilecek olan bant daraltma ve zorunlu yaş doğrulaması gibi yöntemler; internet ekosistemini daha kapalı, kırılgan ve denetim odaklı bir yapıya sürükleme riski taşımaktadır.
