Konuk Yazarımız Noah Jessop'ın Eylül sayımız için kaleme aldığı "Eski bir veri tetikçisinin itirafları".

Birkaç dakikada bir, Michael (takma isim) ofis arkadaşının bilgisayarının "bip" seslerini duyuyordu. O ve Trey akşam yemeğinden sonra ofiste bir dedektör modeli kurmaya karar verdiler. Ofisteki herkese ait verileri almaya çalıştılar: lokasyonlar, zamanlar, konuşmalar.

Reklamlı bir websitesine girdiğiniz zaman izlendiğinizi ve birçok bilginizin alındığını bilin. Bu sitelerde sessiz dinleyiciler vardır. Bu kişiler kümeledikleri verileri satar, sizin de içinde bulunduğunuz bu veriler bilinmeyen ellere düşer. Reklam engelleyici uygulamalar kullandığınızda korunduğunuzu mu düşünüyorsunuz? İzlediğiniz televizyondan da verileriniz aktarılıyor olabilir. 

Sonra öyle bir an oldu ki; her bir bip toplanıp şeytani şeyleri temsil etmeye başladı: Bir çalışanın karısını aldattığını tespit etmişlerdi! 

Çalışmalarından memnun bir şekilde vedalaşıp haftasonuna girdiler. Ancak takvimler pazartesiyi gösterdiğinde bu küçük deneyin kapatılması gerekiyordu: Veriler kurdukları sisteme düştükçe bip seslerinin aralığı artıyordu. Artık arı vızıltısına dönüşecek kadar hızlı bir bip gürültüsü olmuştu ofiste.

Bu olay, teknoloji devlerinden birinde bundan tam 10 yıl önce gerçekleşiyordu.

Verinin karanlık tarafına hoş geldiniz.

Bir süredir bu konuda yazmayı düşünüyordum. Kişisel çekincelerim ve profesyonel yaşamım beni alıkoymuştu. Veri brokerlarının, yaratıcılarının ve operatörlerin yeraltı dünyasında iki senemi geçirmiştim (Eskiden, şimdiki mütevazı yaşamıma ters olarak partilerde ve yatlarda zaman geçirirdim).

Gündemdeki veri skandalları buzdağının yalnızca görünen kısmı. Kendi verileriniz dahil bugün milyonlarca kişinin başına gelmekte olan şeyden bahsedeceğim. Geçtiğimiz haftalarda eski bir Facebook çalışanı, Facebook'un kullanıcıların çoğuna ait verileri bir uygulama yoluyla çekebileceğini, insanların da bu durumdan haberdar olmayacağını ifade etti.

Facebook, daha önce hiçbir şirketin veya veri tüccarının yapamadığı üç şeyi yaptı:
1) Demokratik bir seçimi manipüle etti.
2) Kullanıcılarının verilerine önce sahip olup sonra onları paylaştı.
3) Bu verileri üçüncü taraflara sattı.

Detaya girmeden ifade etmek gerekirse veri kullanımı iyi niyetle başlar. Ancak büyük dağın dumanı da büyük olur derler. Veri devasa büyüklükte olunca denetimi de azalır.

Bir restoranın mevcut müşterilerini bularak onların daha sık gelmelerini sağlamak anlamsız görünebilir. Ancak her şey caddedeki dönerciden başlıyor. Sonrasında da elimizi vicdanımıza koyuyor ve küçük esnafın kullandığı taktikleri büyük fast food zincirleri kullandığında ülkeyi obez yapacaklarından korkuyoruz. Ama biz kimiz ki? İnsanların parası sadece fast fooda yetiyordur belki de?

Çok fazla gri nokta var bu konuda. Bu yüzden de konu "veri" olduğunda girişimci hareketliliğinin ne denli büyük olduğunu görüyoruz.

Casuslar ve veri brokerları

Kişisel veri işlerinin nasıl işlediğini görmek için önce bu işlerin nasıl başladığına bakalım. Bugün 4,5 milyar dolarlık halka açık bir şirket olan Dun & Bradstreet, ticari veriler ve görüşler arz ediyor. Tabii ki işe bu şekilde başlamadılar. Kurulduklarında ticaret endüstrisindeki her bir bireyin yaşamının, ailesinin ve alışkanlıklarının çetelesini kocaman bir defterde tutuyorlardı. Sonuçta bir insana kredi verip vermeyeceğinize karar verirken onun nereye gittiğine, ne kadar sigara içtiğine bakmaktan daha verimli ne olabilir? Anlayacağınız kredi büroları 19. yüzyılın MİT'i gibi bir şeymiş.

 En nihayetinde bu kredi verme/vermeme işleri daha tertipli bir sisteme oturtulmuş. Girişimci aktiviteleri de oldukça çoğalmış tabii. İnsanların her şeyini bilmeye gerek kalmamış: Eskiden posta şirketleri, hatta seyyar satıcılar bile müşterilerinin ve bu müşterilerin ne aldıklarının listesini yaparlarmış. Elbette ki sorun, bu verilerin sıfır maliyetle gelmesi. Kendi işim (şaibeli bir iş de olabilir) için birinden müşteri listesi alıyorsam, ben bu listeyi başkalarına da satabilirim. Gerçek müşteri ilişkisine pek benzemeyen bu sistemde veri dediğimiz şey oldukça dolaylı görünüyor. Sonuçta veriyi alan da satan da modellemesini yapan da memnun.

 Eskiden ticari ilişkilerin bazı güvenlik duvarları vardı. Bunlardan biri de şuydu: Ben birine müşteri listemi satamazdım, ancak kiralayabilirdim. (Mesela her 4 ayda bir müşteri kataloğu sunabilirdim.) Ancak sözleşme şartlarımı nasıl uygulatırdım? Fiziksel dünyada, listemi bir şekilde istifleyebilirim: Bazı kişiler ve yerler benden başka kimseden posta alamaz diyebilirim mesela. Eğer katoloğu başka birinde görecek olursam, anlaşmamızı ihlal ettiğini anlarım.

 Ne yazık ki, günümüzdeki dijital karmaşa bu tür anlaşmaların sağlanmasını zorlaştırıyor. Siz bana bir müşteri listesi veya mail grubu verecek olursanız, benim bu adresleri başka adreslere yönlendirdiğimi, çerezler oluşturduğumu (veya Facebook'ta gruplar oluşturduğumu) kimse kanıtlayamaz, ben de bu arada onlara kendini ürünümü pazarlarım. Çünkü işin içinde çok fazla yüzey alanı var.

 Tüm bu artan yüzey alanları verinin karanlık taraflara kaymasına sebep oluyor.

Günah #1: Sızdırma

Verilerin yanlış ellerde toplanmasının sayısız yolu vardır, belki de Facebook arkadaşınız, Facebook'un hizmet koşullarını ihlal eden bir uygulama kullanmıştır (Cambridge Analytica davası örneğinde olduğu gibi) veya Equifax, engelleyemeyeceğiniz şekilde sizden veri toplar. Sonra da bu verileri açık artırmada en çok para verene satar. Verileri satın alan kişinin de sizin iyiliğinizi düşünmeyeceğinden emin olabilirsiniz.

Diğer durumlar daha az zararlı ve fark edilebilir düzeyde. Reklamlı bir websitesine girdiğiniz zaman izlendiğinizi ve birçok bilginizin alındığını bilin. Bu sitelerde sessiz dinleyiciler vardır. Bu kişiler kümeledikleri verileri satar, sizin de içinde bulunduğunuz bu veriler bilinmeyen ellere düşer. Reklam engelleyici uygulamalar kullandığınızda korunduğunuzu mu düşünüyorsunuz? İzlediğiniz televizyondan da verileriniz aktarılıyor olabilir.

Bilginin ne kadar kolay yayıldığını görmek ister misiniz? Kaliforniya'da ikamet eden biri, yasalar gereği kendi verilerinin hangi üçüncü taraflara satıldığını öğrenebilir. Üşenmezseniz gidin sorun, paylaşıldığı bilgileri duysanız ağzınız açık kalır. Önemsiz gördüğünüz bir online satın almanızda bile kişisel bilgileriniz düzinelerce veri uzmanına kopyalanıyor. Üstelik bu insanlar kurallarına göre oynayanlar. Karanlık taraftan henüz bahsetmiyorum bile.

Çoğu veri kümesi mükemmele yakın algoritmalar hâlinde hareket eder. Mobil sağlayıcınızın konumunuzu hangi şirketlere yolladığından haberiniz var mı? İsmini bile duymadığınız düzinelerce şirket ile paylaştığından emin olabilirsiniz. Bu şirketler de kişisel verilerinizi Google kadar sıkı koruyacak değil ya? Verileriniz belli bir süre anonim saklanabilir ama bu da çok uzun sürmez.

Günah #2: Kümeleme ve anonimliği bozma

Kişisel bilgilerimizi korumak için elimizden gelenin en iyisini yapmaya çalışabiliriz. Ancak bir veri kümesinden elde edilecek küçük bir veri, maskemizi düşürüp anonim hâlimizi alt üst edebilir. Eğer hakkımda bir iki alakasız bilgiye sahipseniz, bu bilgileri birleştirip hakkımda çok daha fazlasını öğrenebilirsiniz. Örneğin tarayıcı verilerimin anonim setine erişim sağlarsanız (ki bu da internet servis sağlayıcınızdan alınabilir) ve posta kodumu bulursanız, beni kolaylıkla bulabilirsiniz. Posta kodum üzerinden kimlik numaram bulunabilir mi? Kamu düzeyinde bir oyuncuysa bulur, çok daha fazlasını bulur hatta. Burada öyle ahım şahım birinden de bahsetmiyoruz.

Daha mide bulandıracak yerlere gidelim: güvenli alanlara. Basit bir örnek: Birinin ırkı üzerinden kişiye kredi verip vermeyeceğiniz kararını vermek yasal değildir. Ancak birçok mevcut veri kümesini birbirine karıştırıp ırk kavramıyla ilişkili bir model yaratmanızda bir sakınca yok. Hatta bu yolla yalnızca kredi vermeyi hedeflediğiniz kitleye reklam verebiliyorsunuz. Eğer denetçiler makine öğrenimi modellerinin içine nüfuz etmeselerdi, böyle bir durumla karşılaşmazdık.

Bundan da kötüsü tıbbî veriler tabii ki. Her ne kadar gittiğiniz muayeneler, aldığınız ilaçlar devlet tarafından sıkı korunuyor olsa da, internet üzerinde yaptığınız aramalarla az çok nerenizin ağrıdığı görülebiliyor.

Sorun, tüm bu dış müdahalelerin doğrudan olmayışında. Facebook'un kendisi de kullanıcıların ırklarına göre daire ilanları vermekle suçlandı, çünkü ev sahiplerine böyle bir yetki verdiği iddialar arasındaydı.

Günah # 3: Psikografik profilleme

Çoğu insan ifşa edilmekte sakınca görmez. İnternette karşısına seveceği bir elbise reklamı çıkmasını sorun etmez. İşin sarpa sardığı kısım, aslında işin tam da sapkınlığa varan kısmı. Veri sızıntısı, toplanması ve biraz da yaratıcılıkla, bizi rahatsız edebilecek veya huzursuz edecek şekillerde konuşlandırılmış veriye erişim kolaylaşır. Görüşlerimize, tutumlarımıza, ilgi alanlarımıza ve yaşam tarzımıza dayanarak bam telimize dokunacak mesajlar göndermek mümkün.

New York Times'ın kişiselleştirmeyle ilgili yapmış olduğu haberin üzerinden 5 yıl geçti. Haberde henüz reşit olmamış hamile bir kadının internette karşısına bebek reklamları çıktığından bahsediliyordu. Kadın bu sırada hamile olduğundan bihaber olduğu hâlde! Bu vakadan anlaşıldığı üzere kümelenmiş veriler üzerinden böyle çıkarımların yapılabilmesi oldukça kolay. Yalnızca bir müşterinin hareketlerine bakılarak çıkarım yapılıyor sonuçta. Peki ya reklamcılar ruhunuzun derinliklerine kadar inmişse?

Öyle siteler var ki; sadece Linkedin profilinizdeki veriler üzerinden size ne satabileceğini tahmin edebiliyor. İç dünyamızın dışında bir de sosyal varlıklar olduğumuzu unutmayalım. Şirketler arkadaşlarınızın veya takip ettiğiniz ünlülerin de verilerini satıyor. Bunu yaparken verilerinizin kümelendiğini ve anonimlikten çıkarıldığınızı belirtmeme gerek yok diye düşünüyorum.

Gazeteyi açınca sıradan bulacağınız bir haber yerine, tam da sizi sinirlendirmeye müsait bir haber gördüğünüzü düşünün. Baktığınız zaman bir silah olarak kullanılabilr tüm bunlar. Sizce kişiye özel reklamcılığın zirvesinde miyiz? Bir bakmışsınız internette gezinirken karşınıza çıkan reklamın başrolü siz olmuşsunuz. 

Yine de gerek Facebook skandalı gerekse diğer benzer vakalarla bu endüstrinin çirkin tarafını gördükten sonra, kişisel verilerimizin nasıl, nerede ve hangi amaçlarla kullanıldığına dair toplu bir bilincin uyanmış olduğunu görmek beni mutlu ediyor. Gerçeklerin er ya da geç gün ortaya çıkmak gibi kötü bir huyu vardır.