Hükümetin tartışmalı Çevrimiçi Güvenlik Yasa Tasarısı, teknoloji şirketlerinin şifreli iletişimin mahremiyetine zarar verebileceği yönündeki endişelerinin devam etmesi üzerine yasalaştı.
İnterneti çocuklar için daha güvenli hale getirmeyi amaçlayan Çevrimiçi Güvenlik Yasası, 26 Ekim 2023’te Parlamento’da kraliyet onayını aldı.
Kanun, teknoloji şirketlerine terörizm ve intikam pornografisi gibi yasa dışı içeriğin önlenmesi ve hızla kaldırılması konusunda yasal görevler yüklüyor.
Ayrıca teknoloji şirketlerinin çocukları, kendine zarar vermeyi, zorbalığı, pornografiyi ve yeme bozukluklarını teşvik eden içerikler de dahil olmak üzere yasal ancak zararlı materyalleri görmekten korumasını da gerektiriyor.
İletişim düzenleyicisi Ofcom, yasaya uymayan teknoloji şirketlerine 18 milyon sterline veya cirolarının %10’una (hangisi daha büyükse) kadar ceza verme yetkisine sahip olacak; bu da en büyük teknoloji şirketlerinin milyarlarca dolarlık para cezasına çarptırılabileceği anlamına geliyor.
Hükümet, 100.000 çevrimiçi hizmetin Çevrimiçi Güvenlik Yasası kapsamına gireceğini tahmin ediyor; en katı yükümlülükler, en yüksek erişime sahip ve en yüksek riski oluşturan “Kategori 1” hizmetlere ayrılıyor.
Teknoloji sekreteri Michelle Donelan, Çevrimiçi Güvenlik Yasası’nın önümüzdeki on yıllar boyunca çevrimiçi güvenliği sağlayacağını söyledi. “Tasarı ifade özgürlüğünü koruyor, yetişkinleri güçlendiriyor ve platformların yasa dışı içeriği kaldırmasını sağlayacak” dedi.
Uçtan uca şifreleme
Ancak kanun kitaplarına geçmesi dört yıl süren Çevrimiçi Güvenlik Yasası, teknoloji şirketlerinin şifreli iletişimi zayıflatabilecek hükümler konusunda endişelerini artırmaya devam ediyor.
WhatsApp, Signal ve Element dahil olmak üzere şifreli mesajlaşma ve e-posta hizmetleri, Ofcom’un yasa dışı içerik açısından şifreli iletişimleri izlemek için “akredite teknoloji” kurmalarını talep etmesi halinde İngiltere’den çekilmekle tehdit etti.
Kanunun 122. maddesi, Ofcom’a, teknoloji şirketlerinin, şifrelenmiş hizmetlerin güvenliğini ve gizliliğini zayıflatacağını iddia ettikleri sistemleri kurmalarını talep etme yetkisi veriyor; bu sistemlerin, çocukların cinsel istismarına yönelik materyaller (CSAM) içerip içermediğini kontrol etmek için her mesajın ve e-postanın içeriğini tarayıyor.
Gizlilik üzerinde ‘felaket etkisi’
Savunma Bakanlığı, ABD Donanması, Ukrayna ve NATO’ya iletişim hizmetleri sağlayan güvenli iletişim sağlayıcısı Element’in CEO’su Mathew Hodgson, müşterilerinin, şirketin mesaj taramayı uygulamaya koymayacağının garantisini talep ettiğini söyledi. Çevrimiçi Güvenlik Yasası.
“Daha büyük müşterilerimizden bazıları, gizliliklerine zarar vereceği için uygulamalarımıza herhangi bir tarama teknolojisi koymamamızı sözleşme gereği taahhüt ediyor ve burada büyük saygın teknoloji şirketlerinden bahsediyoruz. Ayrıca uluslararası şirketlerin de artık İngiltere merkezli bir teknoloji tedarikçisi olarak bize güvenip güvenemeyeceklerinden şüphe ettiğini görüyoruz” dedi.
BBC Radyo 4’e konuşan Hodgson, tasarının amacının açıkça iyi olduğunu ve Instagram ve Pinterest gibi sosyal medya şirketlerinin çocuk istismarı içerikli gönderileri filtrelemesi gerektiğini söyledi.
Ancak Ofcom’a özel mesajlaşma uygulamalarında kapsamlı gözetim gerektirme yetkisi verilmesinin “herkes için güvenliği ve mahremiyeti felaket derecede azaltacağını” söyledi.
Hodgson, Çevrimiçi Güvenlik Yasası’nın 122. Maddesinin teknoloji şirketlerine karşı uygulanmasının, saldırganlar tarafından kullanılabilecek şifreli iletişim sistemlerine yeni güvenlik açıkları ve zayıflıklar getireceğini söyledi.
“Bu, suçluların restoranlarda yemek yemesi ihtimaline karşı, ülkedeki her restoran sahibinden restoran masalarını dinlemesini istemek ve ardından restoran sahiplerini bu hataları izlemekten sorumlu ve yükümlü tutmak gibi bir şey” dedi.
Şifreli posta hizmeti Proton’un CEO’su Andy Yen, uçtan uca şifrelemeyi koruyacak önlemler olmadığında Çevrimiçi Güvenlik Yasasının mahremiyet için gerçek bir tehdit oluşturduğunu söyledi.
“Tasarı hükümete herkesin özel konuşmalarına istediği zaman erişme, bunları toplama ve okuma yetkisi veriyor. Fiziksel dünyada kimse buna tahammül edemez, peki biz neden dijital dünyadayız?” dedi.
Bugün (27 Ekim 2023) yayınlanan bir blog yazısında yazan Yen, Ofcom’un Proton’un müşterilerinin e-postalarının içeriğini izlemesini talep etmek için yetkilerini kullanmayacağından oldukça emin olduğunu ancak yasanın onaylanmadan geçirildiğinden endişe duyduğunu söyledi. Britanya hükümetine herkesin özel iletişimlerine erişme, bunları toplama ve okuma yetkisi veren bir madde.
“Çevrimiçi Güvenlik Yasası, Ofcom’a yasa dışı içeriği aramak ve kaldırmak için “akredite teknolojiyi” kullanmak üzere şifreli hizmetler sipariş etme yetkisi veriyor. Ne yazık ki, insanların mahremiyetini şifreleme yoluyla koruyan böyle bir teknoloji şu anda mevcut değil. Bu nedenle şirketlerin kendi şifrelemelerini kırmaları ve kendi hizmetlerinin güvenliğini ortadan kaldırmaları gerekecek” diye yazdı.
“Suçlular yasa dışı materyalleri paylaşmak için alternatif yöntemler arayacak, yasalara saygılı vatandaşların büyük çoğunluğu ise gizlilik ve kişisel verilerin bilgisayar korsanlarına karşı savunmasız olmadığı bir internetin sonuçlarına katlanacak” diye ekledi.
Şifreli mesajlaşma servisi Signal’in başkanı Meridith Whitaker, kuruluşun eski adıyla Twitter olarak bilinen X’teki pozisyonunu, şifrelemesinden taviz vermek zorunda kalması durumunda İngiltere’den çekileceğini yeniden paylaştı.
“Signal, gizlilik vaatlerimizi ve güvendikleri şifrelemeyi asla baltalamayacak. Konumumuz sağlam; Birleşik Krallık’taki insanların Signal’i kullanabilmesini sağlamak için elimizden geleni yapmaya devam edeceğiz. Ancak seçim bir arka kapı inşa etmeye zorlanmak ya da ayrılmak anlamına gelirse ayrılırdık” diye yazdı.
Sıfır tolerans yaklaşımı
Çevrimiçi Güvenlik Yasası, çocukları korumaya yönelik olarak hükümetin “sıfır tolerans yaklaşımı” olarak tanımladığı yaklaşımı benimsiyor.
Bu yasa, teknoloji şirketlerinin çocuklara yönelik zararlı içeriklerin yayınlandığı platformlarda yaş kontrolü önlemleri almasını zorunlu kılacak önlemleri içeriyor ve şirketlerin, sitelerinin çocuklara yönelik oluşturduğu tehlikelere ilişkin risk değerlendirmelerini yayınlamalarını zorunlu kılıyor.
Teknoloji şirketlerinin ayrıca çocuklara ve ebeveynlere sorunları bildirmeleri için net yollar sunması ve kullanıcılara görmek istemedikleri içerikleri filtreleme seçenekleri sunması gerekecek.
Ofcom aşamalı tanıtımı planlıyor
İletişim düzenleme kurumu, 9 Kasım 2023’ten itibaren yasa dışı içerikle mücadeleye yönelik bir istişare sürecinden başlayarak mevzuatı aşamalı olarak sunmayı planlıyor.
İkinci aşama çocuk güvenliği, pornografi ve kadınların ve kız çocuklarının korunmasını ele alacak ve Ofcom, Aralık 2023’te yaş doğrulamaya ilişkin kılavuz taslağını yayınlayacak. Çocukların korunmasına ilişkin taslak kılavuz ilkeleri, kadınları ve kız çocukların korunmasına ilişkin taslak yönergelerle birlikte 2024 baharında gelecek. 2025 baharında takip ediyorum.
Üçüncü aşama, şeffaflık raporları oluşturmak, kullanıcılara gördükleri içeriği kontrol etmeleri için araçlar sağlamak ve sahte reklamları önlemek de dahil olmak üzere ek gereksinimleri karşılamak için gerekli olacak kategorize edilmiş çevrimiçi hizmetlere odaklanacak. Ofcom, 2024’ün başlarında taslak kılavuz hazırlamayı hedefliyor.
Ofcom’un CEO’su Melanie Dawes, sansürcü olarak hareket etmeyeceğini, ancak çevrimiçi zararın temel nedenleriyle mücadele edeceğini söyledi. “Sitelerin ve uygulamaların tasarım açısından daha güvenli olmasını sağlayarak çevrimiçi ortamda yeni standartlar belirleyeceğiz” diye ekledi.
Teknoloji şirketlerine tavsiyeler
İngiliz hukuk firması Herbert Smith Freehills’in ortağı avukat Hayley Brady, teknoloji şirketlerinin uygulama ve rehberlik kurallarını şekillendirmek için Ofcom ile işbirliği yapması gerektiğini söyledi.
“Şirketler, Ofcom’un Uygulama Kurallarını takip etme veya içerikle ilgili kendi yöntemlerine karar verme seçeneğine sahip olacak. Bir şirketin sıkı kontrolleri olmadığı sürece güvenli seçenek Ofcom’un tavsiyelerine uymak olacaktır” dedi.
Linklaters hukuk firmasının yönetici ortağı Ria Moody, Çevrimiçi Güvenlik Yasası’nın, Avrupa Birliği Dijital Hizmetler Yasası (DSA) ile aynı temel sorunları, ancak çok farklı bir şekilde ele aldığını söyledi.
“Birçok çevrimiçi hizmet artık DSA uyumluluk süreçlerini OSA’nın gerekliliklerini karşılayacak şekilde nasıl uyarlayacaklarını düşünüyor” dedi.
Fieldfisher hukuk firmasının ortağı John Brunning, yasanın geniş kapsamının, insanların beklediğinden çok daha fazla işletmenin bu öngörülere kapılacağı anlamına geldiğini söyledi.
“Çözümleri pratikte uygulamaya çalışırken birçok soru bekliyoruz” dedi.
Bunlar arasında, bir hizmete çocukların erişebilme ihtimalinin ne kadar olduğu, şirketlerin Birleşik Krallık’ta hedeflenmeyen sitelere erişimi engellemek için şirketlerin coğrafi engellemeye başlaması gerekip gerekmeyeceği ve teknoloji şirketlerinin zararlı içerik konusunda çizgiyi nereye çekmesi gerektiği yer alıyor.
Fieldfisher direktörü Franke Everitt, çevrimiçi platformların ve işletmelerin bu düzenlemeye uyum sağlamak için hemen adım atmasına gerek kalmayacağını söyledi. “Bu sadece uzun bir sürecin başlangıcı. Hükümetin ve düzenleyicilerin mevzuatın kabaca taslak halindeki taslağının ayrıntılarını doldurması gerekecek” dedi.