Popüler ve giderek tartışmalı hale gelen sosyal medya uygulaması TikTok, çocuklar için veri korumasını hiçe saydığı için İngiltere’de 12,7 milyon sterlin (yaklaşık 16 milyon dolara eşdeğer) para cezası ödemek zorunda.
İngiliz veri koruma kurumu Bilgi Komisyonu Ofisi (ICO) bu hafta TikTok’un, uygulamanın kendi kurallarına rağmen yasaklayan 2020’de ülkede 13 yaşın altındaki 1,4 milyon kadar çocuğun hesap açmasına izin verdiğini duyurdu.
Çocukların kişisel verilerinin, Birleşik Krallık yasalarının gerektirmesine rağmen, ebeveynlerin izni olmadan da kullanıldığı belirtildi.
Bir ICO bildirisi, “TikTok, reşit olmayan çocukları tespit etmek ve platformundan çıkarmak için yeterli kontrolleri uygulamada da başarısız oldu.”
ICO, bazı üst düzey TikTok yöneticilerinin şirket içinde endişelerini dile getirmesine rağmen şirketin uygun şekilde yanıt vermediğini söyledi.
Bu arada, Apple App Store’daki ABD’de kayıtlı çocuklara yönelik her uygulamanın gizlilik politikasını analiz eden Pixalate’in yeni bir raporu, bu uygulamaların çoğunluğunun (%54) Çocukların Çevrimiçi Gizliliğini Koruma Yasası (COPPA).
COPPA, 13 yaşının altındaki çocukların internette mahremiyetini korumak için 1998’de yürürlüğe giren bir ABD federal yasasıdır. COPPA, 13 yaşın altındaki çocuklardan ad, adres, e-posta adresi, telefon numarası ve diğer tanımlanabilir bilgiler gibi kişisel bilgileri toplayan web siteleri ve çevrimiçi hizmetler için geçerlidir.
Ayrıca web sitelerinde veya çevrimiçi hizmetlerinde açık ve kapsamlı bir gizlilik politikası yayınlamalı ve ebeveynlere çocuklarının kişisel bilgilerini inceleme ve silme seçeneği sunmalıdırlar.
Çocuklar İçin Gizlilik
Çocukların ve gençlerin hızla artan çevrimiçi etkinliği nedeniyle, çevrimiçi gizlilik ve güvenliklerinin korunması 2023’te en çok tartışılan konulardan biri haline geldi.
Biden yönetimi, Kongre’yi mahremiyet korumalarını güçlendirmeye, çocuklara yönelik hedefli reklamları yasaklamaya ve teknoloji şirketlerinin çocuklar hakkında kişisel veri toplamayı durdurmasını talep etmeye çağırdı.
FTC, yayıncılara ve reklam platformlarına karşı çocukların mahremiyetini uygulama davalarında ağır para cezaları, müşteri geri ödemeleri ve uzun süreli uyum ve denetim yükümlülükleri uyguladı.
Yaygın Uygulama İhlalleri
Pixalate raporuna göre, Apple’ın mağazadaki tüm uygulamaların bir gizlilik politikası olması gerektiğini iddia etmesine rağmen, Apple Store’daki uygulamaların %21’inin bir gizlilik politikası bile yok.
Gizlilik ilkesi olan ABD’de kayıtlı çocuklara yönelik uygulamaların %34’ünde Çocukların Gizliliği İfşası ve %13’ünde iletişim bilgileri eksik.
Pixalate CEO’su Jalal Nasir, düzenlemeleri göz ardı eden uygulama geliştiricileri için çok sayıda risk olduğunu açıklıyor ve öne çıkan üç tanesini belirtiyor.
“Birincisi, FTC para cezalarını, uzlaşmaları, gözetimi ve diğer benzer çareleri içerir ve ikincisi, örneğin iş uygulamaları incelemesinden geçmek veya riskten kurtulmak istedikleri için reklam ortakları tarafından düşürülmek gibi, para kazanma yeteneğinin kaybedilmesiyle ilgilidir” diyor. “Üçüncüsü, müşterilerinizin güvenini kaybetmektir.”
Zimperium’da ürün stratejisi başkan yardımcısı Krishna Vishnubhotla, COPPA Kuralını ihlal etmenin cezalarının önemli olabileceğini söylüyor.
“FTC, ihlal edenlere karşı icra davası açma yetkisine sahiptir ve ihlal başına 43.280 ABD dolarına kadar para cezası talep edebilir” diye açıklıyor.
Para cezalarına ek olarak, ihlal edenlerin COPPA’yı ihlal ederek toplanan çocukların kişisel bilgilerini silmek gibi düzeltici önlemler almaları da gerekebilir.
Vishnubhotla, “Daha büyük sorun, bir şirketin itibarına da zarar verebilmesi ve müşteriler ile ortaklar arasında güven kaybına yol açabilmesidir” diyor.
Apple Oversight’taki delikler
Nasir, daha küçük geliştiriciler için farkındalık eksikliği veya kaynak eksikliğinin, COPPA uyumluluğunda başarısız olma söz konusu olduğunda muhtemelen en büyük iki faktör olduğunu söylüyor. Ancak en büyük etken, Apple’ın makul bir gözetim sağlayamaması olabilir.
Uygulama ekosisteminin bekçisi olarak Apple’ın çocukların mahremiyetini koruma konusunda çok daha güçlü bir duruş sergilemesi gerektiğini söylüyor.
Nasir, “Apple’ın yalnızca geliştiricilerine en son gizlilik yasalarına uymak için gerekli kaynakları sağlama konusunda çok daha iyi bir iş çıkarması gerekmiyor, aynı zamanda kendi uygulama mağazası politikalarının izlenmesini ve uygulanmasını hızlandırması gerekiyor” diyor.
Uygulama geliştiricilerin herhangi bir üçüncü tarafla – herhangi bir reklamcılık iş ortağı dahil – çalışması durumunda, bu iş ortaklarının da uyumlu gizlilik politikalarına ve uygulamalarına sahip olmasını sağlamaları gerektiğini ekliyor.
Nasir, “Karmaşık bir ağ oluşturuyor” diyor.
Asıl sorun, Federal Ticaret Komisyonu veya herhangi bir kuruluşun uygunsuzluğu kontrol etmesini zorlaştıran çok sayıda uygulama ve sık sürümlerle ilgili olduğunu söylüyor.
“Mağazalar, uygulanabilir kılmak için bu düzenleyici kuruluşlara bir pano veya bildirimler sağlamalıdır” diye belirtiyor. “Halka açık mağazalar buna izin vermeyebilir. Bunu proaktif, uygulanabilir ve yapılandırılmış bir şekilde gerçekleştirmek neredeyse imkansızdır.”
Uygulama Geliştiricileri için “Teknik Borç”
Tanium’da uç nokta güvenlik araştırması direktörü Melissa Bischoping, uygulama geliştirmenin planlama ve yürütmede mevcut kaynakları, düzenleyici gereklilikleri ve rakip iş önceliklerini dengelemesi gerektiğini söylüyor.
“Neredeyse hiç kimse çocukların verilerinin gizliliğinin ve korunmasının her zaman bir öncelik olduğu konusunda hemfikir olmasa da, teknik borç ve iş yükü, uyum mühendisliğini uzun ve pahalı bir süreç haline getirebilir” diyor.
Bunlara ve diğer düzenlemelere ve en iyi güvenlik uygulamalarına uymanın yalnızca çözümleri uygulama becerisi değil, aynı zamanda tasarlanan çözümün istenen sonucu karşıladığını test etmek ve gözden geçirmek için yeterli personel gerektirdiğini de ekliyor.
“Bu, etkili bir şekilde, uçuş halindeyken daha güvenli bir uçak tasarlamaktır” diye açıklıyor. “Mühendislik ve güvence sağlamak için birden çok ekibin çalışması gerekiyor. Bu çaba ve savunmasız nüfusları korumaya odaklanan buna benzer diğerleri göz ardı edilemez.”