ABD devlet kurumlarına yapılan ARC Veri Satışı, Amerikalıların seyahat kayıtlarına garantisiz erişime ilişkin raporların ardından yoğun inceleme altına alındı.
ABD’nin önde gelen havayollarının ortak sahibi olduğu bir veri komisyoncusu olan Airlines Reporting Corporation (ARC), milletvekillerinin artan baskısının ardından, federal kurumların yüz milyonlarca yolcunun seyahat kayıtlarını yargı denetimi olmadan aramasına olanak tanıyan bir sistem olan Seyahat İstihbarat Programını (TIP) kapatacağını duyurdu.
Kanun Yapıcıları ARC Veri Satışını ve Garantisiz Erişimi Sorguluyor
ARC Veri Satışına ilişkin endişeler, iki partili bir grup milletvekilinin dokuz havayolu CEO’suna uygulamayı derhal durdurmaları yönünde çağrıda bulunan mektuplar göndermesinin ardından bu hafta yoğunlaştı. Mektupta, İç Güvenlik Bakanlığı (DHS), Gelir İdaresi (IRS), Menkul Kıymetler ve Borsa Komisyonu (SEC) ve FBI dahil olmak üzere devlet kurumlarının herhangi bir izin veya mahkeme kararı almadan ARC’nin seyahat veri tabanına eriştiği yönündeki raporlara atıfta bulunuldu.
Milletvekillerine göre ARC, 39 aylık geçmiş ve gelecek seyahat verilerini kapsayan yaklaşık 722 milyon bilet işlemini içeren bir sisteme erişim sattı. Bu, 10.000’den fazla ABD merkezli seyahat acentesi aracılığıyla yapılan rezervasyonları, Expedia, Kayak ve Priceline gibi popüler çevrimiçi seyahat portallarını ve hatta kredi kartı ödül programı rezervasyonlarını içerir. Bu veritabanındaki seyahat ayrıntıları, yolcunun adını, seyahat planını, uçuş numaralarını, ücret ayrıntılarını, bilet numaralarını ve bazen satın alma sırasında kullanılan kredi kartı rakamlarını içerir.
Kamuya açık kayıt talepleri yoluyla yayımlanan belgeler, FBI’ın ARC’den seyahat kayıtlarını yalnızca yazılı taleplere dayanarak, mahkeme celbi ihtiyacını atlayarak aldığını gösteriyor. DHS, veritabanını “benzersiz bir istihbarat kaynağı” olarak tanımladı.
IRS, Seyahat Verilerinin İşlenmesinde Politika İhlallerini Kabul Ediyor
Temel endişe kaynağı, IRS’nin, yasal bir inceleme yapmadan veya gerekli Gizlilik Etki Değerlendirmesini tamamlamadan ARC’nin seyahat veri tabanına eriştiğinin ortaya çıkmasıdır. 2002 tarihli E-Devlet Yasası uyarınca, federal kurumların kişisel verileri toplayan sistemleri satın almadan önce bu tür değerlendirmeleri tamamlaması gerekmektedir.
Senatör Ron Wyden’a yapılan açıklamada IRS, ARC’nin havayolu verilerini bu gereksinimleri karşılamadan satın aldığını itiraf etti. Ajans, gizlilik değerlendirmesini ancak 2025 yılında bir gözetim soruşturması aldıktan sonra tamamladı.
Ayrıca, cep telefonu konum verileri satın alımlarına ilişkin 2021 yılında yapılan bir soruşturmanın ardından daha önce yapılan taahhütlere rağmen, seyahat verilerine erişimin arama izni gerektiren bir arama oluşturup oluşturmadığını başlangıçta incelemediğini de doğruladı.
İleriye Dönük Gözetim Yeni Gizlilik Kaygılarını Ortaya Çıkarıyor
Yasa yapıcılar, geçmiş seyahat verilerinin ötesinde, ARC’nin araçlarının “ileriye dönük gözetim” olarak adlandırdıkları şeyi mümkün kıldığının altını çizdi. Otomatik, yinelenen aramalar sayesinde devlet kurumları, belirli kriterlere uygun bir biletin rezerve edildiği anda uyarı alabiliyordu. Bu tür ileriye dönük izleme genellikle daha yüksek bir yasal eşik gerektirir ve yalnızca Kongre tarafından izin verilen sınırlı durumlarda izin verilir.
Milletvekilleri, ARC gibi bir veri komisyoncusundan bu tür yetenekleri satın almanın, kurumların Dördüncü Değişiklik’i atlatmasına olanak sağladığını ve Amerikalıların mantıksız aramalara karşı anayasal korumasının altını oyduğunu savundu. ARC yalnızca seyahat acenteleri aracılığıyla yapılan rezervasyonları kaydettiği için, doğrudan havayolları ile rezervasyon yapan kişilerin seyahat verileri sistemde bulunmuyor ve bu da yalnızca biletin nasıl satın alındığına bağlı olarak etkili bir şekilde tutarsız gizlilik korumaları yaratıyor.
ARC, Seyahat İstihbarat Programının Sonunu Onayladı
Salı günü gönderilen bir mektupta ARC CEO’su Lauri Reishus, milletvekillerine şirketin Seyahat İstihbarat Programını önümüzdeki haftalarda sonlandıracağını bildirdi. Karar, medya raporlarının ARC’nin devlet kurumlarıyla veri paylaşımı düzenlemelerinin kapsamını ilk kez ortaya çıkardığı Eylül ayından bu yana kamuoyu ve siyasi baskının ardından geldi.
Kanun yapıcılar, yolcuların doğrudan bilet rezervasyonu yapmasının havayollarının mali açıdan fayda sağladığını belirterek, gözetim programının yalnızca mahremiyet haklarını tehdit etmekle kalmayıp, aynı zamanda potansiyel antitröst etkileri de yarattığına dair endişeleri artırdı.
Kanun koyucular mahremiyetin daha güçlü şekilde korunması ve hükümet gözetiminde daha net sınırlamalar getirilmesi için baskı yaparken, ARC veri satışı davası, yolcuların bilgisi olmadan kişisel seyahat verilerine ne kadar kolay erişilip paylaşılabileceğinin yüksek profilli bir örneği haline geldi.