Şifreleme Gizlilik Hakkı Açısından Hayati Öneme Sahiptir, Avrupa Mahkemesi Kuralları

Avrupa İnsan Hakları Mahkemesi’nin Salı günü verdiği karar, Rus vatandaşı Anton Podchasov’un Rusya Federal Güvenlik Servisi’nin 2017 yılında verdiği bir karara itiraz ederek Kremlin’e karşı 2018 yılında yaptığı şikayetten kaynaklanıyor. Rusya Bilgi Teknolojileri ve Bilginin Korunması Yasası, Telegram’ın kullanıcılarının verilerini ifşa etmesini gerektirmektedir.

Yasaya göre, “internet iletişim organizatörleri” olarak listelenen şirketlerin, ülke içindeki tüm Rus kullanıcılarının iletişim verilerini altı ay boyunca saklaması gerekecek. Şirketler ayrıca verilerin şifresini çözmek ve kullanıcıların uçtan uca korunan mesajlarını tanımlamak için gereken FSB bilgilerini sağlamalıdır.

FSB, Telegram’ın IP adresleri dahil ayrıntıların yanı sıra altı uygulama kullanıcısının uçtan uca korumalı mesajlarının kodunu çözmek için gereken verileri paylaşmasını talep etti. Telegram, varsayılan ayar olarak uçtan uca şifrelemeyi kullanmaz ancak özel olarak oluşturulmuş, sunucu-istemci şifreleme şemasını kullanır. Uygulama, kullanıcıların “gizli sohbet” özelliğini etkinleştirerek uçtan uca şifreleme uygulamasına olanak tanıyor.

Altı uygulama kullanıcısı gizli sohbet özelliğini etkinleştirmediği için Telegram, bunun teknik olarak imkansız olduğunu, şirketin tüm kullanıcıları için şifreleme mekanizmasını zayıflatacak bir arka kapı oluşturmasını gerektireceğini öne sürerek FSB emrine uymayı reddetti.

Podchasov ilk olarak Rus yasalarına göre şifreleme anahtarlarının sunulmasını gerektiren hükmün tüm kullanıcıların iletişimlerinin şifresini çözeceğini ve “özel hayatlarına ve iletişimlerinin mahremiyetine saygı hakkını” ihlal edeceğini ileri sürerek Rus mahkemesine dilekçe verdi.

Rusya bölge mahkemesi, temel hakların ihlal edilmediği gerekçesiyle davayı reddetti. Moskova Şehir Mahkemesi ve Rusya Federasyonu Yüksek Mahkemesi de davayı reddetti ve davacıyı Avrupa mahkemesine başvurmaya zorladı.

Avrupa mahkemesinde dilekçe sahipleri, Rusya’daki düzenlemenin İnsan Hakları Sözleşmesi’nin 8. maddesi olan özel yaşam ve yazışma hakkını ihlal ettiğini savundu.

Dava duruşması sırasında Avrupa mahkemesi, Avrupa Bilgi Toplumu Enstitüsü’nden, uçtan uca şifrelemenin yalnızca hedeflenen alıcıların verilere erişmesini sağlamak üzere tasarlandığını ve FSB’nin talebinin herkesin gizliliği anlamına geleceğini duydu. Telegram kullanıcılarının güvenliği “az sayıda şüpheli adına” ele geçirilecek.

Telekom şirketleri, kullanıcılarını bilgisayar korsanlığından, kimlik ve kişisel veri hırsızlığından ve devlet gözetiminden korumak için şifrelemeye güvendiğinden, EISI şifrelemenin zayıflamasının ifade özgürlüğü üzerinde “caydırıcı bir etkisi” olacağını savundu.

Yine mahkeme önünde ifade veren hak grubu Privacy International, şirketlerin uygulamalarına arka kapı açmasının telekom operatörlerini yazılımlarında “şifrelemeyi zayıflatacak” “radikal değişiklikler” yapmaya zorlayacağını ve bu durumun uygulamayı bilgisayar korsanlığının kolay hedefi haline getireceğini söyledi.

Haklar grubu ayrıca Rusya’nın tedbirine uymanın, şirketlerin Avrupa ve diğer ulusal gizlilik yasaları kapsamındaki mahremiyet ve gizlilik gerekliliklerini ihlal etmesi anlamına geleceğini de savundu.

Avrupa mahkemesi ayrıca, Birleşmiş Milletler İnsan Hakları Yüksek Komiserliği’nin mahremiyet hakkına ilişkin kararına da atıfta bulundu; bu kararda BM kurumu, “şifrelemenin mahremiyetin önemli bir sağlayıcısı olduğunu ve hakların korunması için gerekli olduğunu” belirtti. Mahkeme ayrıca, eski ABD Ulusal Güvenlik Ajansı yüklenicisi Edward Snowden’ın ABD hükümetinin kitlesel gözetleme programına ilişkin ifşaatlarının ardından kabul edilen 2017 Avrupa Konseyi Parlamenter Meclisi Kararına da atıfta bulundu.

Yazılım bileşenlerine arka kapı açmak ve güvenlik açıklarından yararlanmak gibi hükümet taktikleri hakkındaki endişelerini dile getiren konsey, “etkili, hedefe yönelik gözetleme” ihtiyacını kabul etti.

Avrupa mahkemesi ayrıca, Europol ve Avrupa Birliği Siber Güvenlik Ajansı’nın 2016 yılında yaptığı bir açıklamaya atıfta bulunarak şifrelemenin kırılmasının internet güvenliğine “ikincil zarar” verebileceğini söyledi. Avrupa kurumları, gizli operasyonlar, suç gruplarına sızma ve ele geçirilen cihazlar üzerinden canlı adli tıp yoluyla iletişim cihazlarına erişim yoluyla alternatif istihbarat toplama modelleri çağrısında bulundu.

Avrupa mahkemesi, Rus hükümetinin telekomünikasyona müdahale etme kararının şikayetin 8. maddesine müdahale ettiğine ve “kişisel verilerin korunmasının temel öneme sahip olduğuna” karar verdi.

Mahkeme ayrıca Rus iç hukukunun, toplanan verilerin ne kadar süre saklanacağı ve toplanan verilere kimlerin erişebileceğine ilişkin ayrıntılar gibi etkili güvencelere sahip olmaması nedeniyle “yetersiz” olduğuna karar verdi.

Avrupa İnsan Hakları Mahkemesi, “Mahkeme, mevcut davada Rusya’nın uçtan uca şifrelenmiş şifreyi çözme yönündeki yasal yükümlülüğünün, izlenen meşru amaçlarla orantılı olmadığı sonucuna varmıştır.” dedi. Mahkeme, “İletişimin gizliliği, özel hayata ve yazışmalara saygı hakkının temel bir unsurudur” dedi.

ETH Zürih Güvenlik Araştırmaları Merkezi kıdemli araştırmacısı Stefan Soesanto, son kararın Rusya’yı yasasını değiştirmeye sevk etme ihtimalinin düşük olduğunu söyledi. “Rus hükümeti Telegram’ı kapatmakla ilgilenmiyor; bunu ülkenin uygulamayı yasaklamasından ve daha sonra tersine çevirmesinden gördük.”

Telegram’ın internet iletişim organizatörü olarak eklenmesinin ardından şirket, Rus yasalarına uymayı reddetti ve ofisini Dubai’ye taşımak zorunda kaldı. Rusya federal iletişim ofisi Roskomnadzor, uygulamayı 2018 yılında yasakladı. Daha sonra, Telegram’ın aşırı nitelikteki soruşturmalarda işbirliği yapmayı kabul etmesi üzerine Rus hükümeti yasağı kaldırdı.

Soesanto, Telegram’ın muhtemelen Rusya’da faaliyet göstermeye devam edeceğini ve FSB’nin iletişimi engellemek için bilgisayar korsanlığı gibi farklı taktikler kullandığını da sözlerine ekledi.

Soesanto, çeşitli hükümetlerin şifrelemeyi zayıflatmaya yönelik kolektif çıkarları olduğundan, en son Avrupa mahkemesi kararının hükümetleri şifrelemeyi etkileyebilecek yasa tekliflerini takip etmekten caydırma ihtimalinin de düşük olduğunu ekledi.

Avrupa kolluk kuvvetleri, uçtan uca şifrelemenin, terörizmi ve seks suçlarını önlemek için acilen ihtiyaç duyulan toplu verileri toplamasını engellediğini savundu.

Şifrelemeyi etkileyebilecek teklifler peşinde koşan ülkeler arasında, çevrimiçi çocuk istismarı materyallerini önlemeye yönelik Avrupa Komisyonu destekli yasa tasarısı veya telekom şirketlerinin CSAM içeriğini tanımlamak için müşteri tarafında tarama yapmasını gerektiren CSAM teklifi yer alıyor (bkz: AB’nin Önerilen CSAM Tasarısı Hacklenme Riskleri Taşıyor ).

Birleşik Krallık hükümeti yakın zamanda, çocukları çevrimiçi ortamda zarar görmekten korumak amacıyla arama motorları ve anlık mesajlaşma uygulamaları gibi çevrimiçi aracıları istemci tarafında tarama yapmaya zorlayan Çevrimiçi Güvenlik Yasası adı verilen benzer bir öneriyi kabul etti. Gizlilik gruplarının ve telekomünikasyon şirketlerinin şifreleme üzerindeki zararlı etkisine ilişkin endişelerini dile getirmesinin ardından Birleşik Krallık, teknoloji şirketlerinin içerik taraması için şifrelemeyi etkilemeyecek alternatif bir çözüm bulmasını zorunlu kılan yasayı değiştirdi (bkz.: Birleşik Krallık Hükümeti Şifreleme Endişelerini Ortadan Kaldırmaya Çalışıyor ).

Birleşik Krallık hükümeti ayrıca, yasal olarak ele geçirilebilecek verilerin kapsamını değiştirerek İngiliz istihbarat teşkilatlarının veri toplamasını kolaylaştırmayı amaçlayan bir yasa tasarısını sonuçlandırmak için yarışıyor (bkz: Birleşik Krallık Milletvekilleri Gözden Geçirilmiş Snoopers Tüzüğüne Devam Ediyor).

Privacy International hukuk görevlisi Ioannis Kouvakas, Avrupa İnsan Hakları Mahkemesi’nin son kararının “şu anda benzer fikirlerle uğraşan diğer hükümetlere açık bir mesaj” göndereceğini söyledi.

Telegram, Bilgi Güvenliği Medya Grubu’ndan gelen yorum talebine yanıt vermedi.