İnternetin doğuşu, modern çağın en özgürleştirici gelişmelerinden biriydi. Bu yeni dijital alan, coğrafi sınırlardan ve devletlerin kontrolünden büyük ölçüde azade bir uygarlığın tohumlarını taşıyordu. Mimarisi, doğası gereği dağıtık ve merkeziyetsiz (decentralization) bir yapı üzerine kuruluydu. Bu tasarım, fiziki dünyanın kurallarını ve baskılarını dijital âleme aktarmayı zorlaştırarak, bireyin özgürlüğü için Hyde Park[1] misali bir direniş mekânı, bir siber park yaratma idealini barındırıyordu. John Perry Barlow, 1996 yılında yayımladığı “Siber Uzayın Bağımsızlık Bildirgesi’[2] ile bu felsefi temeli en radikal şekilde ifade etmişti. Barlow, siber uzayı hükümetlerin fiziki gerçeklikte kurduğu dünyadan daha adil ve insancıl bir zihin medeniyeti olarak tanımlıyor, düşüncelerin tutuklanamayacağı bir alan hayal ediyordu. Bu özerkliği sağlayan teknik kalkan ise şifrelemeydi. Cypherpunk’ların[3] idealleri çerçevesinde şifreleme, devletlerin zorlayıcı kuvvetinin siber uzayın platonik âlemine sızabileceği noktaya bir sınır çiziyordu. 

Ancak bu kurucu rüya, teknolojik ve kurumsal evrimle birlikte dramatik bir biçimde değişime uğradı. Başlangıçtaki merkeziyetsiz yapı, zamanla bulut bilişim, kurumsal güvenlik adaları ve nesnelerin interneti (IoT) gibi eğilimlerle birlikte “aşırı merkezîleşmeye” (hyper-centralization) kaydı. Bu aşırı merkezîleşme, iletişimin büyük ölçüde birkaç küresel teknoloji şirketinin kontrolündeki platformlar üzerinden akmasına neden oldu ve devletlerin bu akış üzerinde kontrol uygulayabileceği teknik darboğazlar yarattı. Bu mimari ihanet, yani teknolojik yapının özgürlükten kontrole doğru evrilmesi, bugün Avrupa Birliği’nde (AB) tartışılan ve muhaliflerce “Chat Control” (Sohbet Kontrolü) olarak adlandırılan “Çocuk Cinsel İstismarı ile Mücadele Tüzüğü” (CSA Regulation) taslağının zeminini hazırlamıştır. AB bu girişimiyle, kitlesel gözetimi meşrulaştıran ve dijital iletişimin temel yapı taşı olan uçtan uca şifrelemeyi (end to end encryption -E2EE) işlevsizleştiren bir dijital esaret sisteminin kurulmasına yönelik en ciddi adımı attığıdır. E2EE, Barlow’un bahsettiği zorlayıcı kuvvetin sızmasını engelleyen son teknik sınırdır ve bu sınırın kaldırılması, internetin bağımsızlık idealine karşı doğrudan bir saldırıyı temsil ediyor. 

Bir bağımsızlık fikrinin erozyonu 

AB’nin sohbet kontrolü girişimine gelmeden önce, siyasi iradenin kitlesel gözetim arayışlarının geçmişine bakılmalıdır. Bu husustaki en önemli emsal, 2006 yılında yürürlüğe konan “Veri Saklama Direktifi” (Data Retention Directive -DRD) idi. Bu direktif, AB üye devletlerini, tüm vatandaşların telefon ve internet bağlantılarına ait telekomünikasyon verilerini (kimin kimi aradığı, IP adresleri ve kullanım zamanı gibi meta verileri) mahkeme kararı olmaksızın 6 ila 24 ay arasında saklamaya zorluyordu. Direktif, veri güvenliğini sağlama ve suçla mücadele gerekçesiyle çıkarılmıştı. Ancak, bu uygulamanın orantısızlığı ve temel haklara aykırılığı, Avrupa Adalet Divanı’nın (ECJ) 2014 yılında bu direktifi tamamen geçersiz ilan etmesiyle ortaya çıktı. Mahkeme, yaygın ve ayrım gözetmeyen veri toplamanın, AB Temel Haklar Şartı’nın 8. maddesinde güvence altına alınan gizlilik hakkını ihlal ettiğine hükmetti. Bu karar, AB’nin kitlesel meta veri gözetimini yasal olarak engellemesi açısından kritik bir emsal oluşturdu. Ne var ki bu hukuki yenilgi, devletlerin kontrol arayışını sona erdirmemiş, sadece bu amacı gerçekleştirme yöntemlerini değiştirmeye itmişti. 

Eski direktif sadece meta verileri hedeflerken, yeni girişim doğrudan iletişimin içeriğini hedef alarak gözetimi nicelikten niteliğe doğru, daha derin bir seviyeye taşıdı. Bu hususla ilgili olarak, Telegram’ın kurucusu Pavel Durov, Batı demokrasilerinde artan gözetim uygulamalarına dikkat çekerek, internetin “bir kontrol aracına dönüştürülmekte” olduğu uyarısında bulunuyor. Durov, İngiltere’deki dijital kimlik uygulamalarını, Avustralya’daki zorunlu çevrimiçi yaş doğrulaması uygulamalarını ve AB’deki özel mesajların kitlesel taranması girişimini, bu merkezi kontrol mekanizmasına doğru gidişatın parçaları olarak değerlendirdi. Bu uygulamalar bir arada ele alındığında, internetin sınır aşan ve merkeziyetsiz doğası terk edilerek, doğrulanmış kimliğe bağlı, tamamen gözetlenebilir bir hizmet ağına dönüştürülmeye çalışıldığı görülmektedir. 

Avrupa’nın dijital gözetim hamlesi: CSA Regulation 

Avrupa Birliği’nin gündemindeki bu son düzenleme, resmi adıyla “Çocuk Cinsel İstismarı ile Mücadele Tüzüğü” (CSA Regulation) taslağıdır. Teklifin belirtilen amacı, çocuk istismarı materyallerini çevrimiçi tespit etmek ve mücadele etmektir. Ancak teknik detayları incelendiğinde, bu yasanın güvenlik önlemlerinin yanı sıra dijital iletişimin temelini oluşturan güven ve gizlilik mekanizmalarını da kökten sarsacak bir gözetim mimarisi dayatması olduğu anlaşılıyor. 

Yasanın tartışmalı noktası, mesajlaşma platformlarına uygulanan zorunlu istemci taraflı tarama (client-side scanning -CSS) mekanizmasıdır. Geleneksel olarak, uçtan uca şifreleme sayesinde mesajlar, göndericinin cihazında şifrelenir ve sadece alıcının cihazında şifre çözülür; platformlar bu içeriği göremez. CSS ise bu modeli temelden sarsıyor. CSS, içeriği sunucularda değil, şifreleme gerçekleşmeden hemen önce kullanıcının cihazında inceliyor. Cihaz, bilinen çocuk istismarı materyalleri, dijital parmak izleri veri tabanını indirir ve kullanıcı bir görsel veya metin göndermeye çalıştığında, tarama yazılımı bu içeriği indirilen veri tabanıyla karşılaştırıyor. Bir eşleşme bulunduğunda, durum platforma bildiriliyor ve insan bir denetleyici tarafından doğrulanıyor. Bu sistemde telefon, gönderdiğiniz her özel iletişimi devlet veri tabanlarıyla kontrol eden bir gözetim cihazına dönüşmüş oluyor. 

İstemci taraflı tarama, teknik olarak şifrelemeyi kırmasa da şifrelemenin felsefi ve pratik amacını tamamen ortadan kaldırmakta. İnternet Topluluğu’nun (Internet Society -ISOC)[4] analizi, şifrelemeyi “zarfın postanede kurcalanması” olarak nitelerken, CSS’i “mektubun yazılırken okunması” benzetmesiyle açıklamıştır. Sonuç aynıdır: kullanıcının gizlilik ve güvenlik beklentisi temelden ihlal ediliyor. Bu durum, AB Konseyi Hukuk Servisi’nin dahi, teklifin “genelleştirilmiş izleme” için ciddi bir risk taşıdığı ve gizlilik hakkının özünü zedelediği konusunda uyarı yapmasına yol açmıştır. 

CSS teknolojisinin yalnızca hukuki açıdan değil, teknik olarak da başarısızlığa mahkûm olduğu görülmüştür. Apple, 2021’de kendi kapalı ekosisteminde “NeuralHash” teknolojisini kullanarak CSS uygulamayı denediğinde, güvenlik araştırmacıları hızla sistemdeki temel kusurları ortaya çıkarmıştır[5]. Araştırmacılar, masum görsellerin, çocuk istismarı görselleri ile aynı hash’i[6] tetikleyeceği “hash çarpışmaları” yaratabildiklerini göstermiştir. Kötü niyetli aktörler, görselleri küçük değişikliklerle manipüle ederek hash numarasını değiştirebilir ve taramayı kolayca atlatabilirler. Apple, sınırsız kaynağa sahip olmasına rağmen, kullanıcı güvenliğini tehlikeye atmadan bu sistemi uygulayamayacağını kabul ederek projeyi süresiz ertelemek zorunda kalmıştır. Bu teknik fiyasko, CSS’nin suçlulara karşı etkisiz, ancak masum kullanıcıların iletişimini ifşa etme konusunda aşırı etkili olduğunu göstermektedir. Avrupa Veri Koruma Denetçisi (EDPS) ve Avrupa Veri Koruma Kurulu (EDPB) da CSS’in kolayca atlatılabileceğini ve orantısız bir önlem olduğunu, masum insanlara zarar verme riski taşıdığını belirtmektedir[7]. 

CSS, dijital haklar ve güvenlik standartları açısından Batı demokrasilerinin atacağı en tehlikeli adımlardan biri olabilir. Bu tür tehlikeli bir uygulamayı yasallaştırarak AB, dünyanın geri kalanına, özellikle otoriter rejimlere, “dijital iletişimde gizliliğin olamayacağı” sinyalini göndermekte ve dijital otoriterlik için bir model haline gelmektedir. 

Güvenlik maskesinin altındaki gözetim tehdidi 

Sohbet kontrolü girişiminin en büyük tehlikesi, gizlilik ihlallerinin yanı sıra sistemin gelecekteki kötüye kullanıma açıklığından, yani “fonksiyon kayması” (function creep)[8] tehdidinden kaynaklanıyor. Bir kez yasal bir çerçeve altında istemci taraflı tarama altyapısı kurulduğunda, bu sistemin kapsamını sadece çocuk istismarı materyaliyle sınırlı tutmak siyasi ve teknik olarak imkânsız hale gelecektir. Aynı kitlesel tarama altyapısı, ilerleyen zamanlarda terörle mücadele, aşırılık, telif hakkı ihlali ve hatta kötüye kullanılarak siyasi muhalefetin izlenmesi için kolayca yeniden programlanabilir. Europol’ün[9] dahi CSA Regulation’ın gelecekte diğer içerik türlerini taramak üzere genişletilmesi arayışları olduğu bilinmektedir[10]. 

Apple’ın deneyimi de bu tehlikeyi doğrulamaktadır: bir gözetim altyapısı kurulduğunda, kapsamını sınırlandırmak teknik ve siyasi olarak imkansızlaşır ve sistem, otoriter hükümetler tarafından bir silaha dönüştürülme potansiyeline sahip olur. Dolayısıyla, CSA Regulation, DRD’nin sadece meta verilerimizi kontrol etme girişiminin aksine, bireyin zihinsel alanına ve mahrem iletişimine sızmasının nihai zaferi anlamına geliyor. Bireylerin sürekli izlendiği şüphesiyle yaşamasına neden olacak, yaygın bir oto-sansür kültürünü tetikleyecektir. İfade özgürlüğü, gözetim altında olduğunuzu hissettiğiniz anda yok olur. Sohbet kontrolünün demokratik bir ittifak olan AB tarafından dayatılması, dijital haklar alanında distopik bir gidişatın somut örneğidir. 

Durov’un: “Bizim kuşağımız, babalarımızın bizim için kurduğu özgür interneti kurtarmak için zamanını hızla kaybediyor” şeklindeki uyarısı, siber uzayın bağımsızlık rüyasının sonuna yaklaşılmış olabileceğine işaret ediyor. İnternet, bir direniş ve karşı güç oluşturma aracı olma potansiyelinden uzaklaştırılarak, bireyi kurumsal ve devlete ait kontrol noktalarına bağlayan bir esaret aracı haline getiriliyor. Dijital esaret, fiziksel hapishaneler gerektirmez; sadece sürekli gözetim hissi ve sonuç olarak gelişen oto sansür ile bireyin zihinsel özgürlüğünü baskılar. CSA Regulation, bu prangayı takan ve onu meşrulaştıran en kritik yasal mekanizma olma tehlikesini taşıyor. Eğer AB, çocukların korunması gibi yüce bir amaca sığınarak bu teknik ve hukuki açıdan kusurlu kitlesel gözetim modelini benimserse, dijital haklar çağının sonunu ilan etmiş olacaktır. 

 

 

Dipnotlar