Gizliliğin sonu mu? Arka kapılar, Çevrimiçi Güvenlik Yasası ve egemen ekosistemlerin yanıtı

Wed, 10 Jun 2026 00:00:00 +0000

Londra, dijital gizliliğin geleceği için küresel bir savaşın merkez üssü haline geldi. 2023 Çevrimiçi Güvenlik Yasası’nın (Online Safety Act - OSA) kabul edilmesi ve eleştirenler tarafından “Casusların Şartı” olarak adlandırılan Soruşturma Yetkileri Yasası’nı (Investigatory Powers Act - IPA) revize etmeye yönelik son tekliflerle birlikte İngiliz hükümeti, özel iletişimlerin tam kalbine gözetim yükümlülükleri getirme hakkını iddia ediyor. Kırılma noktası, düzenleyici kurum OFCOM’a, platformların uçtan uca şifrelenmiş iletişimler dahil olmak üzere çocuklara yönelik cinsel istismar (CSEA) materyallerini veya terörizmi tespit etmek için “akredite edilmiş teknoloji” dağıtmalarını talep etme yetkisinin verilmesidir.

Büyük dijital platformlar için Westminster’in mesajı açıktır: Ya altyapılarına devlet erişimini kolaylaştırırlar ya da küresel gelirlerinin %10’una varan para cezalarıyla karşı karşıya kalırlar. Tepki anında geldi: Signal ve WhatsApp gibi hizmetler, yalnızca tek bir yargı yetkisini tatmin etmek için kullanıcılarının güvenliğinden taviz vermeyi reddederek İngiltere pazarından çekilmekle açıkça tehdit ettiler. Teknik argümana itiraz etmek zordur: Yalnızca meşru aktörlere ayrılmış bir ana anahtar (master key) yoktur. Kolluk kuvvetlerine açılan bir kapı, tasarımı gereği, siber suçlulara ve yabancı istihbarat servislerine açılan bir kapıdır.

Büyük platformların iş modeli: Zero-Knowledge önünde yapısal bir engel

Büyük platformların Zero-Knowledge (Sıfır Bilgi) tipi şifrelemeyi benimsemeye karşı dirençleri teknik bir yetersizlikle değil, temel bir ekonomik uyumsuzlukla açıklanmaktadır. Alphabet ve Meta gibi şirketler, davranışsal verilerin sistematik olarak toplanmasına dayanan para kazanma modellerine güveniyor. Bu arada bu model, Avrupa Birliği’nin Dijital Piyasalar Yasası (DMA) tarafından üstü kapalı olarak tanınmaktadır ve bu “eşik bekçilerini” (gatekeepers), hakim konumları tam olarak verilerin benzersiz bir ölçekte birikmesiyle beslenen kuruluşlar olarak sınıflandırmaktadır. Bu aktörler için Zero-Knowledge mimarisini benimsemek, reklam sistemlerini yakıtını oluşturan kullanıcıların sürekli kimlik tespitinden mahrum bırakmak anlamına gelir. Bu nedenle bu teknik bir seçim değil, kullanıcı gizliliği ile iş modellerinin uygulanabilirliği arasında bir değiş tokuştur.

Stratejik risk: “Harvest Now, Decrypt Later” tehdidi

Gizlilik tartışmasının ötesinde, şifrelemenin zayıflatılması, tamamen farklı kapsamda bir ulusal güvenlik sorununu gündeme getirmektedir. Harvest Now, Decrypt Later (HNDL) olarak bilinen strateji, devlet düşmanlarının gelecekteki kuantum şifre çözme yeteneklerini öngörerek bugün devasa hacimlerde şifrelenmiş iletişimi ele geçirmesini ve saklamasını içerir. İngiliz yasal çerçevesi, mevcut şifreleme standartlarını zayıflatarak, hükümet, diplomatik veya endüstriyel iletişimlere karşı bu tür operasyonları nesnel olarak kolaylaştırır.

Arpokrat gibi ekosistemlerin operasyonel uygunluk kazanması tam da bu güven eksikliği bağlamındadır. Hiçbir sivil tanımlayıcı toplamayan bir mimariyle İsviçre Federal Veri Koruma Yasası (FADP) rejimi altında faaliyet gösteren Arpokrat, İngiliz yargı yetkisine tabi altyapılardan teknik bir kopuş sunarak — sistemin OSA tarafından öngörülen emirlere karşı sağır kalmasını garanti eder.

Normların çatışması: Avrupa hukukuna karşı OSA ve IPA

Yeni İngiliz devlet ayrıcalıklarının yasal analizi, veri koruma ve iletişimlerin gizliliğine ilişkin Avrupa hukukunun temelleriyle doğrudan bir çarpışmayı ortaya koymaktadır.

Genel gözetim yasağına karşı OSA

OSA’nın 121. Maddesi, OFCOM’a platformları istemci tarafı tarama (client-side scanning) uygulamaya zorlayan emirler çıkarma olasılığını getiriyor. Bu önlem, Avrupa hukukundan türetilen ve AB Adalet Divanı’nın (CJEU) içtihadında yer alan ve genel gözetim yükümlülüklerini yasaklayan ilkeye doğrudan aykırıdır. Bir “tasarım gereği güvenlik açığı” (vulnerability by design) dayatarak, şirketleri aynı zamanda bir çıkmaza sokar: Bir devlet emrine uymak için güvenliklerini zayıflatarak, GDPR’nin 32. Maddesinde kutsanan, işleme uygun bir güvenlik seviyesini garanti etme yükümlülüklerinde başarısız olurlar.

ePrivacy Direktifi ve iletişimlerin gizliliği

Özel mesajların taranması, Üye Devletleri elektronik iletişimlerin gizliliğini garanti etmeye zorlayan ve ilgili kullanıcıların açık rızası olmadan herhangi bir müdahale veya gözetim biçimini yasaklayan 2002/58/EC Direktifi’nin (ePrivacy) 5. Maddesi, 1. fıkrası ile doğrudan çelişmektedir.

Technical Capability Notices ve güvenlik güncellemelerinin engellenmesi

IPA 2016 rejimi altında, İngiliz hükümeti artık Teknik Yetenek Bildirimlerini (Technical Capability Notices - TCN) dağıtılmadan önce güvenlik güncellemelerine karşı çıkmak için kullanmayı amaçlıyor. Bu mekanizma, GDPR’nin 32. Maddesi ile belirlenen, işleme sistemlerinin sürekli güvenliğini sağlama yükümlülüğü ile çözülemez bir çatışma yaratır — bu yükümlülük, yamaları (patches) gecikmeden veya dış müdahale olmadan tam olarak uygulama becerisini gerektirir.

Avrupa’da faaliyet gösteren şirketler için uyumluluk riskleri

IPA revizyonları, şirketleri güvenliği etkileyen herhangi bir teknik değişiklik hakkında uygulanmasından önce İngiliz hükümetini bilgilendirmeye zorlamayı amaçlamakta ve böylece ona ürün geliştirme üzerinde bir veto hakkı tanımaktadır. Bu müdahale, Avrupa pazarında faaliyet gösteren tedarikçiler için önemli bir hukuki güvensizlik yaratmaktadır: İngiltere artık GDPR’ninkine önemli ölçüde eşdeğer bir korumayı garanti etmiyorsa, halihazırda kırılgan olan İngilizlerin Avrupa hukukuna yeterliliği (adequacy) sorgulanabilir. Bu nedenle, bu yeni çerçeve kapsamında Birleşik Krallık’a veri aktarımları muhtemelen şirketleri GDPR kapsamında yaptırımlara maruz bırakacaktır.

Teknik imkansızlık yoluyla savunma: Yasal bir kalkan olarak Zero-Knowledge ilkesi

CJEU’nun Schrems I ve Schrems II kararlarıyla pekiştirilen uluslararası içtihat, belirleyici bir ilke oluşturmuştur: Orantısız gözetime karşı tek sağlam güvence, ona erişmenin teknik imkansızlığıdır. Zero-Knowledge mimarileri bu ilkeyi üç koruma katmanında uygular:

Gözetim eksikliği: Platform şifre çözme anahtarlarını elinde tutmadığı için mesajları taramaya yönelik herhangi bir emir teknik olarak uygulanamaz;
İşletim sisteminin egemenliği: ArpokratOS kontrolü, cihaz düzeyinde istihbarat toplanmasını besleyen telemetriyi ortadan kaldırır;
İsviçre yargı yetkisi bağlantısı: Altyapısını İsviçre’de barındıran Arpokrat, bireyselleştirilmiş ve gerekçeli adli yardımlaşma talepleri gerektiren yasal bir rejim altında faaliyet göstererek OSA tarafından öngörülen kitlesel taramaların otomatik olarak yürütülmesini etkisiz hale getirir.

Sonuç

OSA’nın hükümleri ve IPA’nın revizyonları sadece bireylerin gizliliğine yönelik bir tehdit değildir: İngiliz yargı yetkisine tabi altyapılardan geçen tüm Avrupa verileri için yasal kesinliğin ihlalini temsil ederler. Kamu güvenliği adına şifrelemenin zayıflatılmasını meşrulaştırarak, Londra paradoksal olarak müttefiklerini ve ticaret ortaklarını Zero-Knowledge mimarilerinin tam olarak önlemek için tasarlandığı endüstriyel ve devlet casusluğu risklerine maruz bırakmaktadır.

Profesyonel ve kurumsal iletişimlerin bütünlüğü artık yapısal bir yanıt talep ediyor: Kod seviyesinden yargı bağlantısına kadar dijital egemenliği garanti eden merkezi olmayan ekosistemlere geçiş.

Şifreleme on Arpokrat