Kişisel verilerimiz olarak tanımlanan, ad, soyad, mail adresi, posta adresi, T.C kimlik, telefon no, hatta kredi kart bilgileri, konum bilgileri konusundaki riskleri epeydir yaşıyoruz. Hemen her hafta 1 ya da daha fazla veri sızıntısı duyurusu yapılıyor. Duyurulmayanlar da ayrı.
Bu kimlik bilgilerinin hepsi değilse de, şifre, telefon numarası, kredi kart numarası gibi bazıları tehlike durumunda değiştirilebilir.
Ama değiştirilemeyen verilerimiz de var. Bunlar biyometrik verilerin bazıları. Kimlik doğrulama amaçlı olarak epeydir hayatımızda ve sandığınızdan daha yaygın. Kapı açmak için kullanılan parmak izi veya retina tanımlayıcı ya da daha basiti hastanelerde SGK onayı için el ayasını göstermek gibi çeşitli örneklerini siz de görmüşsünüzdür.
Biyometrik veri denildiğinde, biyolojimizin bize verdiği özelliklerden bahsediliyor. Biyometri için iki ana girdi kategorisi vardır; fizyolojik ve davranışsal.
Günümüz teknolojisinde kullanılan ana fizyolojik biyometri, bir kişinin parmak izlerini, el geometrisini, yüz şeklini veya göz şeklini içerir. Ana davranışsal biyometri, bir kişinin web davranışını ve internet çerezlerini, IP adreslerini, ses tanımayı veya birisinin hem çevrimiçi hem de gerçek dünyada nasıl davranacağını içerir. Bunlarla tekil (benzersiz) kullanıcı profilleri oluşturabilir.
Sorun şu ki, biyometrik verilerin çoğunu tehlike durumunda değiştirmek zor (yüz ameliyatı vs. vs. hariç).
Biyometrik verilerin riski daha yüksek
Biyometrik verilerin toplanması birkaç açıdan daha büyük risk taşır. Bunlardan birisi, biyometrik veritabanının hacklenmesidir. Bazı filmlerde gördüğünüz gibi parmak izi, retina gibi verilerle gizliliği yüksek kapılar açılabiliyor.
Diğer yandan, ABD'de pek çok eyalet özellikle yüz tanıma ile ilgili sistemlerle işlem yapılmasını yasaklıyor[1]. Çünkü algoritmanın önyargılı [2] olduğu (beyazları tanıyıp, zencileri tanımlayamadığı) durumlar raporlandığı gibi, algoritmanın eksik olduğu ve bu nedenle yanlış tanımlama yapıldığı ve boşuna hapse atılan kişiler gibi durumlar da mevcut [3].
Ya da bu biyometrik sistemlerin hata payı oluyor. 2002 yılında, Birleşmiş Milletler Mülteciler Yüksek Komiserliği (UNHCR), Pakistan'dan gelen 1 buçuk milyondan fazla Afgan mültecinin geri dönüşü sırasında iris tanıma teknolojisini, “birden fazla” mali yardım isteyen kişileri belirlemek için kullandı. Algoritma yeni bir girişi önceden var olan bir iris kaydıyla eşleştirirse, mülteciye yardım reddedildi. Mart 2002'den Ekim 2002'ye kadar, 396.000 mülteciye yardım bu nedenle yapılmadığı kaydediliyor.
Ama, iris tanıma uygulamalarının yüzde 2 ila yüzde 3 arasında hata oranına sahip olduğuna dair araştırmalar var. Bu da reddedilen mültecilerin yaklaşık 11.800’ünün yanlış reddedildiği gibi bir sonuca götürür.
Biyometrik veriler konusundaki son ve en başlı başına sorun da tabii ki "mahremiyet" yani kişisel gizlilik. Bu tür veriler kişilerin hürriyetini engelleyebilir de[4]. Şimdi bu tür bir riskli durumu anlatalım.
Taliban, ABD'ye yardımcı 1 buçuk milyon Afgan'ın bilgilerini aldı mı?
ABD ordusunun 85 milyar dolarlık askeri teçhizatı arkasında bırakarak, palas pandıras Afganistan'ı terk etmesi, dünyanın çeşitli ülkelerinde doğrudan ya da gizli bir şekilde ABD'ye yardımcı olan kişilerde güvensizlik yaratmış olması çok muhtemel ama şimdi yeni ortaya çıkan bir iddia bu güvensizliği daha yukarıya taşıyacak gibi gözüküyor. İddia, ABD'nin Afganların biyometrik verilerini topladığı HIIDE sisteminin, diğer askeri teçhizat ile birlikte Taliban'ın eline geçtiği şeklinde[5].
Elde Taşınabilir Kurumlar Arası Kimlik Tespit Ekipmanı (HIIDE) olarak bilinen cihaz[6], başlangıçta ABD hükûmeti tarafından isyancıları ve aranan diğer kişileri bulmak için bir araç olarak geliştirildi . Zamanla, verimlilik adına, savaş sırasında ABD'ye yardım eden Afganların verilerini de sisteme dâhil ettiler. Çünkü bu veriler çoğaldıkça, algoritması geliştirilebiliyor ve daha iyi çalışabiliyor.
2007'den bu yana toplanan verilerde, 1 buçuk milyondan fazla Afgan'ın iris, parmak izi ve yüz taramalarının, bir biyometrik veri veritabanında yer aldığı kaydediliyor.
Taliban'ın HIIDE'yi ele geçirip geçirmediği ve bireylerin yukarıda belirtilen biyometrik bilgilerine erişip erişemeyeceği şu anda belirsizliğini koruyor olsa da, verileri sistemde depolanan Afganlar için risk yüksek.
ABD Ordusu Biyometri Görev Gücü tarafından 2007 yılında yapılan bir sunuma göre, HIIDE ilgili kişilerin parmak izlerini, iris görüntülerini, yüz fotoğraflarını ve biyografik verilerini bir dahili veri tabanında topladı ve eşleştirdi[6][7].
Bu verilerin Irak ve Afganistan'da nasıl kullanıldığını ise antropolog Nina Toft Djanegara Mayıs 2021'de raporladı [8]. Buna göre, "ABD Ordusu Komutanlığının Afganistan'daki Biyometri El Kitabı”, yetkililere “mümkün olduğunca çok Afganı kayıt altına alma çabalarında yaratıcı ve ısrarcı” olmalarını tavsiye etti. Rehber, insanların kişisel bilgilerini vermekten çekinebileceklerini ve bu nedenle yetkililerin “biyometrik kaydı 'insanlarını koruma' meselesi olarak göstermeleri gerektiğini” kaydediyor. [9].
ABD'nin sadece Afganistan'da değil, 2020'de Irak'tan çekilirken de, üslerde çalışanların tüm biyometrik verilerini içeren veritabanını arkasında bıraktığı kaydediliyor.
Taliban, Afgan hükûmetinin veri tabanı ile infazlar yaptı
Sadece Amerikalılar değil, ABD biyometri sistemini örnek alan Afgan hükûmeti, üniversite öğrencileri, askerler ve pasaport ve ehliyet başvurularında, biyometrik veri toplayarak ulusal bir kimlik kartı oluşturdu. Oluşturulan kimlik kartlarının, 2016 ve 2017'de yollarda otobüsleri durduran Taliban'ın infaz edeceği ya da rehin alacağı kişileri seçmek için kullandığı araçlar olduğu biliniyor.
Özensiz Birleşmiş Milletler Mynmar hükûmetine Rohingya'lıların biyometrik verilerini verdi
Birleşmiş Milletler Mülteciler Yüksek Komiserliğinin (UNHCR) 2018'den beri Rohingya mültecilerinden topladığı biyometrik verileri Bangladeş hükûmetiyle paylaştığı ve daha sonra da geri gönderilmeleri için kişileri belirlemek üzere Myanmar hükûmetiyle paylaştığı ve bunun Rohingya'nın rızası olmadan yapıldığı şeklinde de bir başka facia olay var [10].
Yazının özeti
Biyometrik veri vermeseniz iyi olur.... Kimin eline geçeceği ve nasıl kullanılacağı galiba belirsiz...
Not: Bu konuda Danıştay'ın 2016'da verdiği ve "açık rıza" konusuna değindiği önemli bir karar da var. Konuya ilgi duyuyorsanız mutlaka bakın [11]
[1] ve……San Francisco Kolluk Gücüne Yüz Tanıma Teknolojisini Yasakladı
[2] Yüz Tanıma, Sadece Beyaz Erkekler için % 99 Doğru Çıkıyor
[3] Yanlış Tanımlama Yapan Yüz Tanıma Sistemi Yüzünden ABD’de Zenci Bir Adam 10 Gün Hapiste Kaldı
[4] DİKKAT : Yüz Tanıma Teknolojileri Dijital Gözetimi Derinleştiriyor !!!
[5] Afghans scramble to delete digital history, evade biometrics
[6] BATS helps ID insurgents, hostages
[7] Biometric Automated Toolset (BAT) and Handheld Interagency Identity Detection Equipment (HIIDE)
[8] BIOMETRICS AND COUNTER-TERRORISM Case study of Iraq and Afghanistan
[9] Handbook : Commander's Guide to Biometrics in Afghanistan
[10] UN Shared Rohingya Data Without Informed Consent
[11] Kişisel Verilerin Korunması Kanunu Kapsamında Biyometrik Yüz Tanıma Sistemleri ve Danıştay Kararı
T24 / 31.08.21