Metaverse Dünyasında Kişisel Verilerin Korunması
Giriş
İnternetin icadından bu yana siber uzayda çok fazla gelişme yaşandı ve bu gelişmelerin günlük hayatımızı değiştirdiğini görmekteyiz. Bu gelişimin hızı ivme kazandığı için aslında çok uzak sandığımız geleceğin daha yakında olduğunu düşünebiliriz. Artırılmış gerçeklik (Augmented reality; AR), sosyal ağlar, sanal dünyalar gibi sanal ortamların ortaya çıkmasıyla beraber sosyal, ekonomik, sağlık gibi birçok alanda bir değişim yaşıyoruz. Bu değişimin en büyük parçalarından biri olan metaverse[1] ise, internetin geleceği olarak görülen ve hakkında önemli adımlar atılan bir proje olarak nitelendirilebilir. Metaverse, gelişmiş insan bilgisayar etkileşimi teknolojisi yardımıyla kullanıcıların sanal ve sosyal çevreleriyle etkileşime girebilecekleri üç boyutlu bir sanal alemdir. Diğer bir deyişle, insanların kendilerini farklı tür veya gerçeklik biçimlerine kaptırmalarına olanak tanıyan bir sanal gerçeklik deneyimi sunmaktadır. Fiziksel ve dijital gerçekliğin bir karışımıdır[2]. (metaverse, metaverse’te kişisel verilerin korunması)
Kişisel Veri Krizi
Metaverse’nin en açık vaadi, ister mobil ister fiziki bedenimiz yoluyla olsun, bilinen gerçekliğin sınırlarını yıkmakla ilgilidir. Bu doğrultuda ilk dikkat çeken husus, kullanıcıların metaverse’te birbirleriyle ve metaverse tarafından sunulan öğeler, uygulamalar, hizmetler ve işletmelerle etkileşime girebilen avatarlarla giriş yapacak olmalarıdır. Metaverse alanında avatarlar, kullanıcıların temsil edilmek istedikleri şeylerdir. Bu şekilde kullanıcılar, yeni biçimler ve yöntemler altında bir dizi faaliyet yürütmek için özgürce hareket edebilecek ve gerçeklikle etkileşime girebilecektir. Nihayetinde, avatarların kullanıcıların gerçekçi temsilleri haline gelmesi ve en algılanamaz hareketleri bile aslına sadık bir şekilde yeniden üretmesi planlanmaktadır. Böylelikle duygularımız yansıtılacak, hislerimiz somutlaştırılacaktır. Doğal özelliklerimiz, kendine özgü, filtrelenmemiş ve bilinçsiz davranışlarımız sunularak kimliğimizin bir “üst-verisel” temsili oluşturulacaktır. Bu şekilde fiziksel dünyadan bile işlevsel nitelikte olabilecek bir etkileşim kurulabilmesi sağlanacaktır[3]. Avatarların oluşturulması ve aslında bir etkileşim ağının kullanılması, hukuki açıdan bakıldığında bu tür mecralara bol miktarda veri girişinin sağlanacağı gerçeğini akıllara getirmektedir. Bu noktada ise kişisel verilerin korunması son derece önem kazanmaktadır. Zira bu tür siber uzay yapımlarını oluşturanların özel şirket veya kurumlar olduğu unutulmamalıdır.
Günümüz internetinde kullanıcı, bir ürün veya hizmet için ödeme yapmadığı takdirde söz konusu ürünün kendisi olduğu bir gerçektir. Sosyal medya ve sosyal ağ platformları bu hususun en önemli örnekleridir. Bu platformlar, milyonlarca hatta milyarlarca kullanıcının dahil olduğu ücretsiz hizmetler sunarken bu kullanıcıların tercihlerini o kadar iyi analiz eder ki, kullanıcılara son derece doğru, mikro hedefli reklamlar gösterebilir hale gelmektedir. Bu başarılı iş modeli, çerezlerin ve diğer parmak izi alma tekniklerinin gelişiminin getirdiği platform kullanıcılarının eylemleri, platform içeriğiyle ve diğer kullanıcılarla etkileşimlerinin analiz edilmesiyle başarılı kılınmıştır. Günümüz teknolojisinde bile, arkamızda bıraktığımız dijital kırıntılar, kişiliğimiz ve ilgilerimiz hakkında çok fazla bilgi vermektedir[4]. Kullanıcıların sosyal medya araçları tarafından toplanan kişisel veriler hakkında endişesi devam ederken metaverse dünyasında yaşanabilecek kişilik hakkı ihlalleri şimdiden soru işaretlerini beraberinde getirmektedir. Dolayısıyla metaverse’te kişisel verilerin korunması zaruridir.
Sosyal ağ kullanıcıları bugünün internetinin ürünüyse, metaverse için kelimenin tam anlamıyla her şey ve herkes ürün teşkil edecektir. Web 2.0, pazarlamacılara kullanıcıların farelerini nereye hareket ettirdiklerini, ekranda nereye baktıklarını, belirli bir resimli ögede ne kadar zaman harcadıklarını ve hangi ürünleri veya kullanıcıları beğendiklerini inceleme olanağı sağlamıştır. Metaverse’te ise, vücut hareketleri, fizyolojik tepkiler, beyin dalgaları, çevreyle gerçek ve sanal etkileşimler takip edilebilmesi muhtemel gözükmektedir. Kaldı ki bu verilerin yanında halihazırda sosyal medya aracılığıyla toplanmakta olan diğer tüm verilere ek olacaktır. Metaverse’te kullanıcı gizliliğine ilişkin özellikle üç alan önem taşımaktadır. Bunlar: kişisel bilgiler, davranış ve iletişimdir. Bu alanların her biri, getirdikleri yeni ve artan riskleriyle birlikte platformlara şu anda sahip olduklarından çok daha fazla veri akışı sağlayacaktır. Örneğin, sosyal medya platformlarından toplanan kişisel veriler ile doxing faaliyetleri[5] yürütülürken metaverse’nin kullanıcıları hakkında yalnızca diğer platformlara değil, aynı zamanda diğer kullanıcılara da çok fazla miktarda kişisel bilgi sağlayacağı göz önünde bulundurulduğunda doxing faaliyetlerinin ne boyuta ulaşacağı endişe vericidir[6].
Kişisel Verilerin Korunmasında Uygulanabilecek Mevcut Düzenlemeler
Birbiriyle daha bağlantılı bir toplum yapısına doğru ilerlerken, kanun koyuculara daha sıkı gizlilik ve veri koruma düzenlemeleri yapılması için baskı oluşturulmaktadır. Hukuk, teknolojinin getirdiği ani değişimlere ayak uydurmakta güçlük çekmekte ve teknolojideki yeniliklere hassasiyet göstermeyen hakimler, mevcut yasaları yanlış veya eksik yorumlayarak hukuken isabetsiz kararlar verebilmektedir. Bunun yanında, veri güvenliğinin sağlanması hukukun olduğu kadar metaverse platformunu oluşturan ve bunlara katılan şirketlerin de görevidir.
Temel olarak, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve Birleşik Krallık’ın Veri Koruma Yasası metaverse için geçerli olabilmektedir. Bununla birlikte mevzuatların metaverse’nin getirdiği yenilikler ışığında, veri işlenmesinden sorumlu mekanizmaların, kullanıcı haklarının korunduğunu garanti edebilmesi adına yeniden düzenlenmesi gerekebilir. Ayrıca, metaverse’nin herhangi bir sınırı olmadığından hareketle, AB dışında veri iletimi ve işlenmesiyle ilgili hususlarda da GDPR hükümlerinin uygulanması daha isabetli olacaktır. GDPR, kişinin uyruğuna veya anavatanına göre değil, verilerinin işlendiği sırada bulunduğu yere göre uygulanır. Bir kuruluşun kişisel verileri işleme amaçlarını ve araçlarını belirlemesi (AB Genel Veri Koruma Tüzüğü (GDPR) kapsamında “denetleyici” olarak anılır) veya kişisel verileri başkaları adına işlemesi (GDPR’de “işleyici” olarak anılır) halinde, birçok yargı bölgesinin veri koruma yasaları, bu tür kuruluşlara çeşitli yükümlülükler getirmektedir. Metaverse’nin daha komplike yapısından dolayı kişisel verileri nasıl ve neden işlediğini seçmek ve hangi kuruluşların kişisel verileri başkaları adına işlediğine karar vermek zor olabilmektedir[7].
Bu noktada Avrupa Komisyonu, çevrimiçi ortamlarda kullanıcı şeffaflığını ve güvenliğini artırmayı ve aynı zamanda dijital firmaların büyümesini sağlamayı amaçlayan Dijital Hizmetler Yasasını (Digital Services Act; DSA) 2020 yılında önermiştir. 1 Ocak 2024 tarihi itibariyle yürürlüğe girmesi planlanan yasada dikkat çeken bazı yükümlülükler şu şekilde sıralanabilir:
- “Bir kişinin ırk, din, etnik kökenini hedef alan reklamlar yasaklanmakta,
- 18 yaşın altındaki çocukların hedefli reklamlara konu olması yasaklanmakta,
- Kullanıcıların belli seçimlerin yapılması için yönlendiren aldatıcı ve kafa karıştırıcı kullanıcı ara yüzleri, ‘karanlık desenler’, yasaklanmakta,
- İnternet platformlarına aboneliklerinde iptal etmenin bu platformlara kaydolmak kadar kolay olması gerektiği tavsiye edilmekte,
- Facebook gibi büyük çevrimiçi platformlar, tavsiye algoritmalarının çalışmasını kullanıcılar için şeffaf hale getirmek zorunda kalmakta,
- Kullanıcılara “profil oluşturmaya dayalı olmayan” bir öneri sistemi sunulması gerekmekte,
- Barındırma hizmetleri ve çevrimiçi platformlar, yasa dışı içeriği neden kaldırdıklarını açık bir şekilde açıklaması ve kullanıcılara bu tür yayından kaldırma işlemlerine itiraz etme olanağı sağlaması gerekmekte,
- Büyük platformlar ayrıca krizler sırasında yanlış bilgilerle başa çıkmak için yeni stratejiler sunmak zorunda kalmaktadır.”[8]
Avrupa Birliği Tarafından Önerilen Metaverse Düzenlemesi
Dünyanın birçok ülkesi, halihazırda metaverse ekseninde gerçekleşmekte olan faaliyetleri desteklemek için gerekli hukuki çerçeveyi ve diğer altyapıları entegre etme ve uyarlama sürecindedir. Bu sürecin önde gelen kurumlarından bir tanesi de Avrupa Birliği’dir. Avrupa Birliği, 2023’te metaverse ve içinde meydana gelen tüm faaliyetler ve etkileşimleri ele alacak bir yasa teklifinde bulunmayı planlamaktadır. Avrupa Komisyonu Başkanı Ursula von der Leyen tarafından kaleme alınan Birliğin Durumu niyet mektubunda anahtar olarak nitelendirilen teklif, Avrupa’nın metaverse kurallarını ve beklentilerini netleştirmek için çeşitli girişimler sunacaktır.
Avrupa Birliği’nin metaverse hakkındaki bakış açısını Avrupa Birliği iç pazarından sorumlu komisyon üyesi Thierry Breton’ın ifadelerinden anlamak mümkün. Şöyle ki, temel amacın metaverse dünyaları arasındaki birlikte çalışabilirliği artırmak için belirli bir kurum oluşturulacağı açıklanmıştır. Özel metaverse şirketlerinin birlikte çalışabilir standartlara dayalı olarak geliştirilmesi ve hiçbir özel şirketin bu konuda bir tekel olmaması gerektiği vurgulanmıştır. Bu hususa veri toplama ve işleme faaliyetleri de dahil edilmiştir[9].
Öneriler ve Sonuç
Metaverse kullanıcılarının maruz kaldığı çok sayıda gizlilik riski göz önüne alındığında, doktrindeki bazı yazarlar şimdiden metaverse’te kullanıcı gizliliğinin sağlanması çeşitli yollar önermektedir. Bunlardan birkaç tanesini belirtmek gerekirse ilk olarak, kişinin kendi faaliyetlerini gizlemek için bir manken veya kişinin avatarının birden çok klonunu oluşturmasıdır. İkinci olarak, kullanıcının münhasır kullanımı için bir kamusal alanın özel bir kopyasını oluşturmak veya diğer kullanıcıları bu kamusal alandan geçici olarak kilitlemektir. Diğer bir öneri ise, kullanıcının ışınlanmasına, görünmezliğine veya diğer kılık değiştirme biçimlerine izin verilmesidir.
Metaverse hızla yaklaşıyor. Bir iletişim kampanyası ya da büyük bir iş fırsatı olduğu için değil, zamanı geldiği için yaklaşmakta. Kişisel deneyimlerimizin giderek artan oranda veri kaydı ve paylaşımının toplumsal boyutta kabul edilmesi, metaverse’i çekici hale getirmek için büyük veri sağlarken, 5G ve gelecek 6G, bağlantı ve algılamada kalan boşluğu çözecektir. Bunun da ötesinde, makine öğrenimi ve yapay zeka algoritmaları, ihtiyaçlarımızı ve eylemlerimizi şaşırtıcı derecede iyi bir yaklaşımla tahmin edecek kadar verimli halde. Metaverse olarak adlandırmaya başladığımız bu yeni dünyada, güvenlik ve özellikle gizlilik gibi teknolojinin ithal ettiği geleneksel sistemik tehditler kritik öneme sahip. Ancak metaverse’te bu tehditler, bu zamana kadar başa çıkmak için geliştirdiğimiz mantık ve teknoloji temelli çözümlerden kaçabilecek şekilde kendini gösterebilmektedir. Bu nedenle, keşfetmeye başladığımız bu gizli evrende gezinmenin tek yolu, onu teknik, beşeri bilimler ve sosyal bilimlerde birleştiren çok disiplinli ve geniş bir yaklaşımla incelemektir. Sonuç olarak, kişisel verilerin korunmasına yönelik alınacak tedbirler yardımıyla metaverse, vadettiği üzere rüya bir deneyim sunabilir[10].
Cihangir Altuğ TAŞ’ın Blog yazılarını bağlantıdan okuyabilirsiniz.
Yazarın 12. Sayı’mızdaki “Akıllı Sözleşmelerin Delil Niteliği” isimli yazısını okumak için bağlantıya tıklayınız.
Yazar: Av. Cihangir Altuğ TAŞ
Kaynakça
K. Bavana, “Privacy in the Metaverse”, Jus Corpus Law Journal, C.2, S.3, 2022.
Luca Bolognini, Marco Emanuele Carpenelli, The future of personal data in the Metaverse, Diritto, Economia e Tecnologie della Privacy, 2022.
Roberto Di Pietro, Stefano Cresci, Metaverse: Security and Privacy Issues, Conference Paper: The Third IEEE International Conference on Trust, Privacy and Security in Intelligent Systems, and Applications (IEEE TPS’21), 2021.
[1] “1992’de çıkan “Parazit” (Show Crash) adlı bilim kurgu romanında Neal Stephenson tarafından oluşturuldu. Kelime İngilizce “meta” (ötesi) ve “universe” (evren) kelimelerinden oluşuyor. Türkçede ise “sanal evren” ya da “evren ötesi” olarak biliniyor.” devamı için bkz. https://tr.wix.com/blog/amp/metaverse-nedir?utm_source=google&utm_medium=cpc&utm_campaign=13258469913%5E122447104453&experiment_id=%5E%5E524034508255%5E%5E_DSA&gclid=CjwKCAiA76-dBhByEiwAA0_s9dz-wPfkMn19ZCga8fX8UAvjKujXDpmYBFwMqSq-PgJ2n5h2QIqZYhoCQ0IQAvD_BwE
[2] K. Bavana, “Privacy in the Metaverse”, Jus Corpus Law Journal, C.2, S.3, 2022, s.1
[3] Luca Bolognini, Marco Emanuele Carpenelli, The future of personal data in the Metaverse, Diritto, Economia e Tecnologie della Privacy, 2022, s.2-3, kaynak için bkz. https://www.academia.edu/75598264/The_future_of_personal_data_in_the_Metaverse.
[4] Roberto Di Pietro, Stefano Cresci, Metaverse: Security and Privacy Issues, Conference Paper: The Third IEEE International Conference on Trust, Privacy and Security in Intelligent Systems, and Applications (IEEE TPS’21), 2021, s.5.
[5] Genellikle internet aracılığıyla bir kişi veya kuruluş hakkında kişisel olarak tanımlanabilir bilgilerin kamuya açıklanması eylemidir.
[6] Pietro, Cresci, a.g.e., s.6.
[7] Bavana, a.g.e., s.4.
[8] Daha fazla bilgi için bkz. https://www.brandingturkiye.com/dijital-hizmetler-yasasi-teknoloji-devlerini-zorlayacak/
[9] Haber için bkz. https://news.bitcoin.com/european-union-to-launch-global-metaverse-regulation-initiative-in-2023/
[10] Pietro, Cresci, a.g.e., s.8-9.
9 comments