04._Mahremiyet

Transkript

04._Mahremiyet

Lisans
c 2004-2015 H. Turgut Uyar
You are free to:
Bilişim Etiği
I Share – copy and redistribute the material in any medium or format
I Adapt – remix, transform, and build upon the material
Mahremiyet
Under the following terms:
I Attribution – You must give appropriate credit, provide a link to the license,
H. Turgut Uyar
and indicate if changes were made.
I NonCommercial – You may not use the material for commercial purposes.
I ShareAlike – If you remix, transform, or build upon the material, you must
2004-2015
distribute your contributions under the same license as the original.
For more information:
https://creativecommons.org/licenses/by-nc-sa/4.0/
Read the full license:
https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode
1 / 60
Konular
2 / 60
Mahremiyet
Mahremiyet
Giriş
Gözetleme
Veri Koruma
Giriş
Veri Toplama
Veri Güvenliği
Veri Aktarma
Önlemler
Yasal
Kurumsal
Kişisel
3 / 60
I
erişim mahremiyeti
I
rahat bırakılma
I
karar verme mahremiyeti
I
kişisel kararlara karışılmaması
I
bilgi mahremiyeti
I
kişisel verileri üzerinde denetim sahibi olma
4 / 60
Mahremiyet Değeri
Mahremiyet Değeri
I
Eric Schmidt (Google - 2009):
“Başkalarının bilmesini
istemeyeceğiniz bir şeyiniz varsa,
belki de zaten yapmamanız
gerekiyordur.”
I
Mark Zuckerberg
(Facebook - 2010):
I
mahremiyet evrensel bir değer değil
I
mahremiyet özünde iyi bir değer mi?
I
mahremiyet olmadan güvenlik, özerklik mümkün değil
I
farklı türden ilişkiler kurabilme
“Mahremiyet artık
bir toplumsal norm değil.”
http://www.telegraph.co.uk/technology/facebook/6966628/
Facebooks-Mark-Zuckerberg-says-privacy-is-no-longer-a-social-norm.html
http://www.theregister.co.uk/2007/12/03/zuckerberg_files/
5 / 60
Gözetleme
I
kişilerin izlenmesini sağlayan çok sayıda teknoloji var
I
kredi kartları
I
cep telefonları
I
video kameralar
I
yüz tanıma, plaka tanıma
I
...
6 / 60
Örnek: A.B.D. öğrenci bilgisayar kameraları
I
bir okul, öğrencilere dağıttığı
bilgisayarlardaki kameraları
uzaktan etkinleştirerek
öğrencileri gözetliyor (2010)
https://www.computerworld.com/s/article/9190722/Update_School_district_settles_webcam_spying_suit_
for_610_000_
7 / 60
8 / 60
Örnek: Cep telefonlarında konum takibi
I
I
Örnek: Cep telefonlarında tuş takibi
Apple aygıtları
bulundukları konumu
gizlice bildiriyor (2011)
I
Google Android ve
Microsoft Windows’da
aynı durum (2011)
Carrier IQ yazılımı,
kullanıcının bastığı tuşları
kaydediyor (2011)
http://www.theregister.co.uk/2011/11/30/smartphone_spying_app/
http://edition.cnn.com/2011/TECH/mobile/04/20/iphone.tracking/index.html?hpt=T1
http://www.theregister.co.uk/2011/04/22/apple_iphone_location_tracking_analysis/
http://news.cnet.com/8301-31921_3-20057329-281.html
10 / 60
9 / 60
Gözetleme Teknolojileri: RFID
Örnek: RFID çipli kimlikler
I
RFID çipli kimlikler
herkes tarafından
kolayca okunabiliyor
evcil hayvanlar
I
insanlar izlenebilir
I
çocuklar
I
I
mahkumlar
I
göçmenler
elde edilen veriler
kimlik hırsızlığında
kullanılabilir
I
envanter takibi
I
hayvancılık
I
http://www.foxnews.com/story/0,2933,531720,00.html
http://www.livescience.com/10498-proposal-implant-tracking-chips-immigrants.html
11 / 60
12 / 60
Gözetleme Teknolojileri: İnternet
I
çerezler
I
JavaScript kodları
I
böcekler
I
IP adresleri
Veri Koruma
Google Analytics
I
devletler ve özel kurumlar kişiler hakkında
büyük miktarda veri topluyor
I
pek çok site, ziyaretçi sayılarını
Google Analytics ile ölçüyor
I
reklam ya da hizmet kalitesini artırma amaçlı
I
Google, bu sitelerin ziyaretçilerinin
IP adreslerini izliyor
I
bireyler güçsüzleşiyor
I
kurum birey hakkında çok şey biliyor
ziyaretçinin Google hesabı varsa
kim olduğunu belirleyebiliyor
I
birey kurum hakkında çok az şey biliyor
I
13 / 60
Bruce Schneier (2010)
14 / 60
Sorunlar Yeni Mi?
“Facebook’un müşterisi
olduğunuzu sanmak
yanılgısına düşmeyin,
değilsiniz – siz ürünsünüz.
Müşterileri, reklam
verenler.”
I
toplanan verinin miktarı
I
başka yerlere aktarılmasındaki hız
I
verinin kalıcılığı
I
bilginin kalitesi: ayrıntılı profil
http://www.information-age.com/channels/security-and-continuity/news/1290603/
facebook-is-deliberately-killing-privacy-says-schneier.thtml
15 / 60
16 / 60
Eric Schmidt (2010)
Hangi Veriler Değerli?
Gençler reşit
olacakları yaşa
geldiklerinde isim
değiştirme hakkına
sahip olmalı.
Her şey bulunabilir,
bilinebilir ve herkes
tarafından her zaman
kaydedilebilir
olduğunda ne
olacağını toplumun
anladığına
inanmıyorum.
I
isim, doğum tarihi, adres, telefon, . . .
I
yapılan her alışveriş
I
telefon görüşmeleri, mesajlaşmalar, e-postalar, . . .
I
politik ve dini inanışlar
I
cinsel tercihler
I
sağlık verileri
I
gelir verileri
I
ziyaret edilen web siteleri
I
arama motorlarında yapılan aramalar
I
...
https://www.readwriteweb.com/archives/google_ceo_suggests_you_change_your_name_to_escape.php
18 / 60
17 / 60
Hangi Veriler Duyarlı?
I
duyarlılık düzeyleri: gizli, yakın çevre, toplumsal, açık
I
kişiden kişiye değişir
I
kendi başına duyarlı değil, ama birleştirildiğinde duyarlı
I
bütün kişisel veriler duyarlı
Örnek: Sosyal ağ verileriyle hırsızlık
I
hırsızlar, soyacakları evi
Facebook gibi
sosyal ağlardaki
durum güncellemelerine
bakarak seçiyor (2010)
http://www.theregister.co.uk/2010/09/13/social_network_burglary_gang/
19 / 60
20 / 60
Sorunlar
Veri Toplama
I
verilerin izinsiz ya da yasalara aykırı şekilde toplanması
I
verilerin toplama amacına uygun olmayan şekilde kullanılması
I
verilerin güvenliğinin sağlanmaması
I
I
kim hangi verileri toplayabilsin?
I
amaca uygunluk
verilerin kişinin denetimi dışında başkalarına aktarılması
I
veriler hangi koşullarda toplanabilsin?
I
verilerin kişinin denetimi dışında başka verilerle birleştirilmesi
I
yasalara uygunluk
I
kişilerin kendileriyle ilgili ne veri tutulduğunu bilememesi,
yanlışları düzeltememesi
I
kişileri bilgilendirerek ve izinlerini alarak
22 / 60
21 / 60
Örnek: Google Street View
Örnek: Facebook yüz tanıma
I
Google Street View araçları,
WiFi erişim noktaları ile
bunları kullanan aygıtların
verilerini topluyor (2010)
I
Facebook, resimlerdeki
yüzleri tanıyarak insanları
otomatik etiketliyor (2011)
I
kullanıcılardan izin almıyor
I
Almanya, bu özelliği
kaldırmasını ve
topladığı verileri
silmesini söylüyor
https://www.pcworld.com/article/229742/why_facebooks_facial_recognition_is_creepy.html
http://www.dw.de/dw/article/0,,15290120,00.html
http://news.cnet.com/8301-31921_3-20082777-281/street-view-cars-grabbed-locations-of-phones-pcs/
23 / 60
24 / 60
Verilerin Kullanımı
I
verilerin kullanımının toplanma amacına uygunluğu
I
ilgili kişinin aleyhine kullanılması: kimlik hırsızlığı, şantaj
I
kimlerin hangi koşullarda erişeceğine ilişkin kurallar ve denetim
I
teknik personelin erişimi
Örnek: Avustralya yurttaşlık kayıtları
I
devlet görevlileri
yurttaşlık kayıtlarını
kimlik hırsızlığında
kullanıyor (2006)
http://www.theregister.co.uk/2006/08/28/oz_id_database_misused/
26 / 60
25 / 60
Verilerin Güvenliği
I
güvenlik açıkları, hatalar ya da düşüncesizlik
nedeniyle veriler açığa çıkabiliyor
I
veri toplayanlar bu verilerin güvenliğini sağlamalı
Örnek: York Üniversitesi öğrenci kayıtları
I
York Üniversitesi
öğrencilerinin
kişisel verileri
çalınıyor (2011)
http://www.bbc.co.uk/news/uk-england-york-north-yorkshire-12756951
27 / 60
28 / 60
Örnek: Türkiye BTK kayıtları
Örnek: İngiltere çocuk yardımı kayıtları
I
bir hacker grubu,
BTK bilgisayarlarından
kişisel verileri
çalarak yayımlıyor (2012)
I
diğer bir hacker grubu,
polis bilgisayarlarından
yurttaşların
ihbar duyurularını
çalarak yayımlıyor (2012)
I
Gelirler Dairesi, 25 milyon kişinin
çocuk yardımı kayıtlarını içeren
CD’yi postada kaybediyor (2007)
http://www.radikal.com.tr/Radikal.aspx?aType=RadikalDetayV3&ArticleID=1078717&CategoryID=77&Rdkref=6
http://www.radikal.com.tr/Radikal.aspx?aType=RadikalDetayV3&ArticleID=1080108&CategoryID=77&Rdkref=6
http://www.guardian.co.uk/politics/2007/nov/21/economy.uk
http://news.bbc.co.uk/2/hi/entertainment/7174760.stm
29 / 60
Örnek: AOL arama kayıtları
30 / 60
Örnek: İtalya vergi kayıtları
I
I
AOL, yüzbinlerce
kullanıcısının
arama kayıtlarını
yayımlıyor (2006)
Vergi Dairesi,
bütün İtalyanların
isim, adres, doğum tarihi,
gelir ve vergi bilgilerini
yayımlıyor (2008)
http://www.theregister.co.uk/2008/05/01/italy_publishes_tax_details/
http://news.cnet.com/AOLs-disturbing-glimpse-into-users-lives/2100-1030_3-6103098.html
31 / 60
32 / 60
Verilerin Aktarılması
Örnek: ABD Bork Yasası
I
veriler hangi koşullar altında başkalarına aktarılabilsin?
I
reklam verenler, iş ortakları, devlet güvenlik kurumları
I
ilgili kişilerden izin alınması
I
bir yargıç yüksek mahkemeye
aday gösteriliyor
I
bir gazeteci, yargıcın abone olduğu
video şirketinden aldığı filmlerin
listesini yayımlıyor (1988)
I
Video Mahremiyetini Koruma Yasası
http://www.theatlanticwire.com/technology/2011/07/why-robert-bork-indirectly-kept-netflix-facebook/
40408/
34 / 60
33 / 60
Örnek: Rebecca Schaeffer cinayeti
Örnek: Toysmart müşteri verileri
I
bir sinema oyuncusu
evinin kapısında öldürülüyor
I
Motorlu Taşıtlar Dairesi
ehliyet bilgilerini
isteyene satıyor (1989)
I
Sürücü Mahremiyetini
Koruma Yasası
I
Toysmart firmasının
mahremiyet anlaşmasında
müşteri verilerinin
üçüncü şahıslara
verilmeyeceği yazıyor
I
firma iflas edince
verileri satışa çıkarıyor
(2001)
I
dava açılıyor,
veriler yok ediliyor
http://www.wired.com/politics/law/news/2001/01/41102
http://investigation.discovery.com/investigation/hollywood-crimes/schaeffer/rebecca-schaeffer.html
35 / 60
36 / 60
Örnek: MySpace kullanıcı verileri
Örnek: ABD başkan adaylığı anketleri
I
I
MySpace
kullanıcı verilerini
satışa çıkarıyor (2010)
I
isimler, posta kodları,
fotoğraflar, şarkı listeleri,
blog yazıları, . . .
https://www.readwriteweb.com/archives/myspace_bulk_data.php
Facebook, başkan adaylığı
için hangi adayın
daha popüler olduğunu
ölçmek üzere
kullanıcı verilerini
Politico’ya veriyor (2012)
https://www.facebook.com/notes/us-politics-on-facebook/
politico-facebook-team-up-to-measure-gop-candidate-buzz/10150461091205882
37 / 60
Örnek: Google - ABD Adalet Bakanlığı
I
I
38 / 60
Örnek: DoubleClick - Abacus
Adalet Bakanlığı,
Google’dan kişilerin
ne arama yaptıkları
verilerini istiyor,
Google vermiyor (2006)
Amazon, müşterilerinin
alışveriş bilgileri istenince
dava açıyor, kazanıyor
(2010)
I
reklam firması DoubleClick,
tüketici alışkanlıkları firması
Abacus ile birleşmek istiyor
I
mahremiyet baskısı
nedeniyle vazgeçiyor (2000)
I
Google, DoubleClick’i
satın alıyor (2008)
http://news.bbc.co.uk/2/hi/technology/4630694.stm
http://www.businessweek.com/magazine/content/11_12/b4220038620504.htm
http://www.theregister.co.uk/2010/10/27/amazon_sales/
39 / 60
40 / 60
Yasal Düzenlemeler
Avrupa Birliği
I
Avrupa Birliği’nde kapsamlı düzenlemeler
I
AB Temel Haklar Bildirgesi
I
ilk veri koruma yasası Almanya’nın Hessen eyaletinde (1970)
I
kişisel bilgilerin korunmasını isteme hakkı
I
ABD’de alana özel düzenlemeler:
kredi, ehliyet, video, sağlık, . . .
I
amaca uygun, yasal ve adil kullanım;
kendisiyle ilgili bilgilere erişme ve düzeltme hakkı
I
tüketici mahremiyeti yasa taslağı (2015)
I
kurallara uyulmasını denetleyen bağımsız makam
I
Türkiye’de Avrupa Birliği ile ilişkiler çerçevesinde
I
üye ülkeler bu ilkelere uygun yasal düzenlemeler yapmalı
41 / 60
Avrupa Yasaları
I
42 / 60
Örnek: İngiltere DNA veri tabanı
İngiltere - Data Protection Act (1984, 1998)
1. adil ve hukuki şekilde işleme
2. açıkça belirtilmiş ve yasal amaçlar
3. yeterlilik, ilgililik, ölçülülük
4. doğruluk ve güncellik
5. amaç yerine geldikten sonra silinme
6. kişilerin haklarına uygun şekilde işleme
7. yetkisiz erişim ve kayba karşı yeterli önlem
8. yeterli koruma sağlamayan ülkelere aktarmama
I
Avrupa İnsan Hakları Mahkemesi (2008):
Hüküm giymemiş kişilerin DNA bilgileri saklanamaz.
43 / 60
44 / 60
Örnek: Reddit - Facebook bilgi edinme istekleri
I
I
Örnek: ABD - AB yolcu verileri
Reddit kullanıcıları
bilgi edinme istekleriyle
Facebook’a yoğun
iş yükü çıkarıyorlar (2011)
24 yaşında bir öğrenciye
1200 sayfalık döküm
I
havayolu şirketlerinden ABD’ye
uçuşlarda yolcularla ilgili
34 parça bilgi isteniyor
I
Avrupa Adalet Divanı
anlaşmayı iptal ediyor (2006)
I
daha sonraki anlaşmaya
Avrupa Veri Koruma
Denetçisi karşı çıkıyor (2011)
I
ABD istihbarat birimlerinin
Avrupa banka kayıtlarına
erişimi anlaşmasını Avrupa
Parlamentosu engelliyor (2010)
http://news.bbc.co.uk/2/hi/europe/5028918.stm
http://www.theregister.co.uk/2011/03/29/europe_passenger_name_wrong/
http://news.bbc.co.uk/2/hi/europe/8510471.stm
https://www.zdnet.com/blog/facebook/reddit-users-overwhelm-facebook-with-data-requests/4165
https://threatpost.com/en_us/blogs/
twenty-something-asks-facebook-his-file-and-gets-it-all-1200-pages-121311
45 / 60
ABD
I
46 / 60
ABD
Adil Veri İşleme Kuralları (1974)
1. varlığı gizli bir veri kaydı tutma sistemi olamaz
I
Adil Veri İşleme Kuralları
2. kişiler, kendileriyle ilgili hangi bilgilerin tutulduğunu
ve bu bilgilerin nasıl kullanıldığını öğrenebilmelidir
I
yalnızca kamu kurumlarını bağlar
I
kayıtların ayırdedici bir veriye göre aranabilmesi gerekir
I
yasayı uygulayıcı bir yetkili tanımlı değil
I
“sıradan kullanımlar için” veri alışverişine izin var
3. kişiler, bir amaçla verdikleri bilgilerin, izinleri alınmadan
başka amaçlarla kullanımını önleyebilmelidir
4. kişiler, kendileriyle ilgili bilgileri düzeltebilmelidir
5. kişisel veri toplayan kurumlar, bu verilerin ilgili amaçlar için
güvenilirliğini sağlamalı ve kötüye kullanımını önlemelidir
47 / 60
48 / 60
ABD Tüketici Mahremiyeti
Türkiye
I
Tüketici Mahremiyeti Hakları Yasa Taslağı (2015)
I
anayasa: özel ve aile yaşamına saygı bekleme hakkı
I
toplanan verilerin ve kullanımının denetlenebilmesi
I
anayasa: iletişimin gizliliği
I
kolay erişilebilir ve anlaşılabilir mahremiyet ve güvenlik yöntemleri
I
kişisel verilerin korunması yasa tasarısı
50 / 60
49 / 60
Türkiye
I
Kişisel Verilerin Korunması Yasa Taslağı (2014)
I
AB yasalarına benzer
I
ilgili kişinin açık rızası
I
ırk, etnik köken, siyasi düşünce, felsefi inanç, din
I
dernek, vakıf, sendika üyelikleri
I
sağlık, cinsel hayat verileri
I
Kişisel Verileri Koruma Kurulu
I
Adalet Bakanlığı’na bağlı
Kurum Politikaları
51 / 60
I
kurumlar mahremiyet politikaları yayımlıyor
I
hangi verileri hangi amaçla topladığını açıkça belirtmek
I
amaca uygun kullanma sözü
I
izin almadan başkalarına aktarmama sözü
I
”istemiyorsa çıksın” değil, ”istiyorsa girsin”
I
HTTP protokolu için yeni başlık alanı: Do Not Track
52 / 60
Örnek: Facebook
Örnek: Arama motorları
I
hesap kapatılsa bile
bilgiler tutuluyor
I
varsayılan ayarlarda
açık olan veriler
giderek artıyor
I
mahremiyet ayarları
karmaşık
I
arama motorları arama verilerini bir süre sonra
anonimize ediyor
I
anonimizasyonun işe yaramadığı iddia ediliyor
I
bazı arama motorları IP adreslerini kaydetmiyor:
Startpage, DuckDuckGo
http://arstechnica.com/tech-policy/news/2009/09/your-secrets-live-online-in-databases-of-ruin.ars
http://mattmckeon.com/facebook-privacy/
https://www.nytimes.com/interactive/2010/05/12/business/facebook-privacy.html
http://redtape.msnbc.msn.com/_news/2012/03/06/
10585353-govt-agencies-colleges-demand-applicants-facebook-passwords
54 / 60
53 / 60
Kişisel Önlemler
I
kişisel verileri konusunda duyarlı olmak
I
gerekmeyen yerlere vermemek
I
yanlış bilgiler vermek
I
veri “gürültüsü” yaratmak
I
teknolojiden yararlanmak
I
şifreleme araçları
I
mahremiyet artırıcı araçlar
Örnek: Anket soruları
I
katılanların %90’dan fazlası
duyarlı verilerini veriyor
(2005)
I
evcil hayvanının adı,
annesinin evlenmeden
önceki soyadı
I
Facebook’da arkadaşlık
isteklerini düşünmeden
kabul ediyor (2009)
http://nakedsecurity.sophos.com/2009/12/06/facebook-id-probe-2009/
55 / 60
56 / 60
Örnek: Google tarihçe izleme
Veri Gürültüsü
I
I
Google, bakılan her sayfanın
kaydedileceği bir programa
katılanlara yılda 25$ veriyor
(2012)
I
çok miktarda yanlış ya da ilgisiz veri üretme
I
gerçek veriler hangileri?
örnek
ücret farkı çok az bile olsa,
insanlar mahremiyeti koruyan
servisi değil, ucuz olan servisi
seçiyor (2012)
I
alışveriş kartlarını başkalarıyla karşılıklı değişmek
I
Firefox eklentisi TrackMeNot, arama motorlarında
rasgele aramalar yapıyor
http://www.forbes.com/sites/kashmirhill/2012/02/09/
your-online-privacy-is-worth-less-than-a-six-pack-of-marshmallow-fluff/
http://www.theregister.co.uk/2012/03/21/privacy_economics/
57 / 60
Mahremiyet Artırıcı Araçlar
I
vekil sunucular
I
Privoxy: reklamları ve kötü niyetli kod kalıplarını engelliyor
I
tarayıcı eklentileri
I
NoScript: JavaScript beyaz listesi
I
Cookie Monster: çerez beyaz listesi
I
Ghostery: böcek kara listesi
58 / 60
Kaynaklar
Okunacak: Tavani
I
59 / 60
Chapter 5: Privacy and Cyberspace
60 / 60

04._Mahremiyet

Transkript

Benzer belgeler

Bu PDF dosyasını indir