Avrupa Birliği (AB) Konseyi’nin çocuk cinsel istismarı materyallerinin (CSAM) dağıtımını engellemek amacıyla hazırladığı sohbet denetimi yasa taslağı Konsey, Avrupa Komisyonu ve Avrupa Parlamentosu arasındaki üçlü müzakerelere giriyor.

Taslak, daha önceki zorunlu gözetim planından vazgeçiyor. Bunun yerine WhatsApp ve Signal gibi mesajlaşma servislerinin otomatik sohbet izleme yazılımını “gönüllü” olarak kurmasına izin verilirken, bu izlemenin kapsamı daha da genişletilebiliyor.

Berliner Zeitung‘un haberine göre taslak aynı zamanda kullanıcıların CSAM içerdiğinden şüphelenilen sohbetleri bildirmesini kolaylaştırmayı ve kullanıcılar için zorunlu yaş doğrulaması getirmeyi hedefliyor.

Avrupa Komisyonu, çocuk cinsel istismarıyla mücadele düzenlemesini 2022 yılında başlattı. Fakat üye ülkeler arasında henüz bir fikir birliğine varılamadı. Komisyon verilerine göre yalnızca 2023 yılında 3,4 milyondan fazla görsel ve video içeren 1,3 milyondan fazla çocuk cinsel istismarı raporu kayda geçti.

Bu yasal belirsizlik, özellikle Apple gibi marka kimliğini mahremiyet vaatleri üzerine kuran ve Avrupa pazarında şifreli mesajlaşma hizmetleri sunan teknoloji şirketleri için ciddi bir zorluk yaratıyor.

Şirketler yakın gelecekte yasalara uyum ile temel güvenlik ilkeleri arasında imkânsız seçimler yapmak zorunda kalabilir. Avrupa Parlamentosu, orijinal taslağın en kapsamlı kısımlarını ciddi ölçüde daraltan adımlar attı. Buna rağmen mevcut müzakere metinleri, şifreli iletişimin çalışma biçimini temelden değiştirecek hükümler içeriyor.

Uçtan uca şifreli mesajlaşma platformları aracılığıyla metin mesajlarının taranması, şifrelemenin korumayı amaçladığı özün kendisine bir müdahale anlamına geliyor.

Teklif, tüm e-posta ve mesajlaşma sağlayıcılarının, içerikleri kullanıcıların cihazlarında şifrelenmeden önce yapay zekâ kullanarak incelemesini ve çocuk cinsel istismarı materyallerini tespit etmesini zorunlu kılıyor. Bu, yalnızca bir tarama değil, mesajların iletim için güvenli hale getirilmeden önce denetleneceği bir ön şifreleme analizi anlamına geliyor.

Öte yandan 27 üye ülke arasında altı ülke tedbirlere karşı çıkarken, altı ülke kararsız. Fransa, İspanya ve İtalya gibi büyük oyuncuların da aralarında bulunduğu on beş ülke ise tasarıyı destekliyor.

AB Konseyinin önceki gün yaptığı yazılı açıklama şöyle:

“AB, çocuk cinsel istismarıyla mücadele çabalarını artırıyor. Bugün üye ülke temsilcileri, çocuk cinsel istismarını önleme ve bununla mücadele etmeye yönelik bir düzenleme konusundaki Konsey pozisyonu üzerinde anlaştı.

Yeni yasa kabul edildiğinde, dijital şirketlere çocuk cinsel istismarı materyallerinin yayılmasını ve çocukların ayartılmasını önleme yükümlülükleri getiriyor. Yetkili ulusal makamlar, şirketleri içeriği kaldırmaya ve erişimi engellemeye veya arama motorları söz konusu olduğunda arama sonuçlarını listeden çıkarmaya zorlama yetkisine sahip olacak. Düzenleme ayrıca, üye ülkelere ve çevrim içi sağlayıcılara yasanın uygulanmasında destek olmak üzere yeni bir AB kurumu olan AB Çocuk Cinsel İstismarı Merkezini kuruyor.

Risk değerlendirmesi ve azaltılması

Yeni kurallar kapsamında çevrim içi hizmet sağlayıcıları, hizmetlerinin çocuk cinsel istismarı materyallerinin yayılması veya çocukların ayartılması amacıyla kötüye kullanılma riskini değerlendirmek zorunda kalacak. Bu değerlendirmeye dayanarak, söz konusu riske karşı azaltıcı tedbirleri hayata geçirmeleri gerekecek. Bu tedbirler arasında kullanıcıların çevrim içi çocuk cinsel istismarını bildirmesini, kendileri hakkında paylaşılan içerikleri kontrol etmesini sağlayan araçların sunulması ve çocuklar için varsayılan gizlilik ayarlarının devreye sokulması yer alabilir.

Üye ülkeler, bu risk değerlendirmelerini ve azaltıcı tedbirleri incelemekten sorumlu ulusal makamları (‘koordinatör ve diğer yetkili makamlar’) belirleyecek; bu makamlar sağlayıcıları azaltıcı tedbirler almaya zorlayabilecek. Kurallara uyulmaması durumunda sağlayıcılar para cezalarıyla karşı karşıya kalabilir.

Risk kategorileri

Konsey, çevrim içi hizmetler için üç risk kategorisi getiriyor. Bir hizmet, bir dizi nesnel kritere (örneğin türüne) dayanarak yüksek, orta veya düşük riskli olarak sınıflandırılacak. Yetkililer bu sınıflandırmaya dayanarak, yüksek risk kategorisinde sınıflandırılan çevrim içi hizmet sağlayıcılarını, hizmetleriyle ilgili riskleri azaltacak teknolojilerin geliştirilmesine katkıda bulunmaya zorlayabilecek.

Mağdurlara yardım

Çevrim içi şirketler, kendilerini gösteren çocuk cinsel istismarı materyallerinin kaldırılmasını veya bu tür materyallere erişimin engellenmesini isteyen mağdurlara yardım sağlamak zorunda. Mağdurlar bu amaçla AB Merkezinden de destek talep edebilir. AB Merkezi, örneğin ilgili şirketlerin bir mağdurun kaldırılmasını istediği ögeleri kaldırıp kaldırmadığını veya bunlara erişimi engelleyip engellemediğini kontrol edecek.

Sağlayıcıların gönüllü faaliyetleri

Konsey ayrıca, şirketlerin hizmetlerini çocuk cinsel istismarına karşı (gönüllü olarak) taramasına izin veren ve şu anda geçici olan bir tedbiri kalıcı hale getirmek istiyor. Mevcut durumda örneğin mesajlaşma hizmeti sağlayıcıları, platformlarında paylaşılan içerikleri çevrim içi çocuk cinsel istismarı materyalleri açısından gönüllü olarak kontrol edebilir, bunları raporlayabilir ve kaldırabilir. Bu durum, elektronik haberleşme sektörüne özgü belirli kurallardan sağlanan bir muafiyet sayesinde mümkün oluyor. Bu muafiyetin süresi 3 Nisan 2026’da dolacak olsa da Konsey pozisyonuna göre uygulanmaya devam edecek.

AB Merkezi

Yeni yasa, düzenlemenin uygulanmasını desteklemek amacıyla yeni bir AB kurumu olan AB Çocuk Cinsel İstismarı Merkezinin kurulmasını öngörüyor.

AB Merkezi, hizmetlerde tespit edilen çocuk cinsel istismarı materyalleri hakkında çevrim içi sağlayıcılar tarafından sunulan bilgileri değerlendirip işleyecek ve sağlayıcılar tarafından kendisine iletilen raporlar için bir veri tabanı oluşturup bunu yönetecek. Merkez ayrıca, hizmetlerin çocuk cinsel istismarı materyallerini yaymak için kullanılma riskini değerlendirme konusunda ulusal makamlara destek verecek.

Merkez, şirketlerin bilgilerini Europol ve ulusal kolluk kuvvetleriyle paylaşmaktan da sorumlu. Ayrıca, şirketlerin gönüllü faaliyetlerinde kullanabileceği bir çocuk cinsel istismarı göstergeleri veri tabanı oluşturacak.

Konsey pozisyonu, AB Merkezinin yerini belirlemiyor; buna ayrı bir prosedürle Avrupa Parlamentosu ile birlikte karar verilecek.

Sonraki adımlar

Konsey, bugünkü anlaşma temelinde nihai düzenleme üzerinde uzlaşmak amacıyla Avrupa Parlamentosu ile müzakerelere başlayabilir. Avrupa Parlamentosu kendi pozisyonunu Kasım 2023’te belirlemişti.”

Mevcut AB metinleri, “zorlayıcı rıza” anlamına gelen mekanizma sunuyor. Bu mekanizma, kullanıcıları zor seçimler yapmaya itiyor. Şifreli mesajlaşma hizmeti kullanıcılarının, görsel içeriklerin ve bağlantıların CSAM için taranmasını kabul etmesi gerekecek. Bu da mahremiyetin temel iletişim işlevlerini sınırlayan bir lüks özellik haline geldiği, kullanışsız bir durum yaratıyor.

Özellikle Apple’ın iMessage hizmeti için teknik uygulama zorlukları oldukça büyük. Mesele iMessage, WhatsApp ve Signal gibi şifreli hizmetleri kapsıyor ve Apple’ın, şifrelemesinin çalışma şeklini temelden değiştirecek istemci tarafı tarama veya diğer ön şifreleme analiz yöntemlerini uygulamasını gerektirebilir.

“Avrupa’nın gizliliğe karşı savaşı”

Bunun yanı sıra Avrupa’nın önde gelen siber güvenlik akademisyenlerinden 18’inin imzaladığı açık mektup, taslağın “çocuklar için net faydalar sağlamaksızın toplum için yüksek riskler” oluşturduğu uyarısında bulundu. Akademisyenlere göre bu risklerin ilki, belirsiz “tuzağa düşürme” (grooming) davranışlarını tespit etmek için yapay zeka kullanan otomatik metin analizi de dâhil olmak üzere, “gönüllü” taramanın kapsamının genişletilmesi.

Uzmanlar bu yaklaşımın temelden kusurlu olduğunu ifade ediyor. Mevcut yapay zeka sistemleri, masum sohbetler ile istismarcı davranışları birbirinden doğru şekilde ayırt etme kapasitesine sahip değil. Uzmanların açıkladığı üzere yapay zeka destekli istismar tespiti, çok sayıda normal ve özel sohbeti geniş bir tarama ağına sürükleme, soruşturmacıları hatalı tespitlere boğma ve mahrem iletişimleri üçüncü taraflara ifşa etme riski taşıyor.

İtalyan gazeteci Thomas Fazi, Unherd sitesinde kaleme aldığı makalede şu değerlendirmeyi yaptı:

“Yeni uzlaşı teklifinin, sağlayıcıların ‘tüm uygun risk azaltma tedbirlerini’ uygulamasını şart koşan 4. Maddesi’nden başka endişeler de doğuyor. Bu madde, temel güvenlik modellerini zayıflatsa dahi, yetkililerin şifreli mesajlaşma hizmetlerine taramayı etkinleştirmeleri için baskı yapmasına olanak tanıyabilir. Pratikte bu durum, WhatsApp, Signal veya Telegram gibi sağlayıcıların, mesajları şifreleme uygulanmadan önce kullanıcıların cihazlarında taramasının zorunlu kılınması anlamına gelebilir.

Electronic Frontier Foundation, bu yaklaşımın kalıcı bir güvenlik altyapısı oluşturma riski taşıdığını ve bunun zamanla evrensel hale gelebileceğini belirtti. Meta, Google ve Microsoft şifrelenmemiş içerikleri hâlihazırda gönüllü olarak tarıyor; bu uygulamanın şifreli içerikleri kapsayacak şekilde genişletilmesi ise yalnızca teknik değişiklikleri gerektirir. Üstelik platformlar yetkililerle ‘işbirliği’ yapmaları yönünde itibar, hukuk ve piyasa baskısıyla karşılaştıkça, gönüllü bir seçenek olarak başlayan uygulama pratikte kolayca zorunluluğa dönüşebilir. Dahası bu durum sadece AB’deki insanları değil, Amerika Birleşik Devletleri de dâhil olmak üzere dünyadaki herkesi etkiliyor. Platformlar AB’de kalmaya karar verirse, birlik içindeki herkesin konuşmalarını taramak zorunda kalacak. AB’de olmasanız bile orada bulunan biriyle sohbet ediyorsanız, sizin gizliliğiniz de tehlikeye girmiş oluyor.“

“Yeni yasa çocukları korumaz, sahte ihbarları artırır”

Diğer taraftan söz konusu açık mektubun imzacıları arasında yer alan Max Planck Güvenlik ve Mahremiyet Enstitüsü Direktörü Carmela Troncoso, mevcut teklifin pek çok unsurunun CSAM ile mücadeleye çok az yardımcı olacağı ve istenmeyen yan etkilere yol açabileceği konusunda uyarıyor.

Yeni sohbet denetimi teklifi ile önceki versiyonlar arasındaki en önemli farkların ne olduğu sorusuna yanıt veren Troncoso, “Yeni teklifin artık genel bir sohbet izlemesi talep etmemesi çok cesaret verici. Bu, çocukların çevrim içi ortamda korunması ile bu önlemlerin toplumun geneli için oluşturduğu güvenlik ve mahremiyet riskleri arasında bir denge kurma yolunda atılmış büyük bir adımdır” dedi.

Bununla birlikte Troncoso, tasarının bazı unsurlarının çocuklar için somut faydalar sunmadan ciddi riskler oluşturmaya devam ettiğini belirtti.

Troncoso, “Örneğin, izlenebilecek içeriklerin kapsamı önemli ölçüde genişletildi. Daha önce sadece bağlantılar ve görseller taranabilirken, yeni teklif bunu metin mesajları ve videoları da kapsayacak şekilde genişletiyor. Bu durum, temel mahremiyet haklarımızı daha da ihlal edecek ve çok daha fazla yanlış ihbara yol açarak koruyucu önlemlerin etkinliğini baltalayacaktır” diye konuştu.

Tasarı ayrıca iki durumda zorunlu yaş doğrulaması getiriyor: Birincisi, kullanıcılar CSAM dağıtımı veya çocukları grooming açısından yüksek riskli olarak sınıflandırılan mesajlaşma servisleri, sohbet entegreli oyunlar ve X, Bluesky veya Facebook gibi sosyal medya platformlarını indirmek istediğinde; ikincisi ise bu hizmetlere veya içlerindeki belirli özelliklere erişmeden önce.

Sohbet hizmetlerinde CSAM tespitinin teknik olarak nasıl uygulandığını açıklayan Troncoso, mesajlaşma servislerindeki sohbetlerin e-postalardan temel olarak farklı bir şekilde izlendiğini vurguladı.

E-posta servislerinin çoğunun uçtan uca şifreleme (E2EE) kullanmadığını belirten Troncoso, “Bu servisler mesajı yalnızca aktarım sırasında şifreler. Bu, servis sağlayıcının e-posta içeriğini sunucusunda dururken CSAM gibi suç unsuru materyaller için tarayabileceği anlamına gelir ve birçoğu bunu zaten yapıyor” ifadelerini kullandı.

Buna karşılık WhatsApp veya Signal gibi mesajlaşma servislerindeki sohbetlerin uçtan uca şifrelendiğini hatırlatan Troncoso, “Bu, bir mesajın göndericinin cihazında şifrelendiği ve yalnızca alıcının cihazında şifresi çözülene kadar karmaşık kaldığı anlamına gelir. Yetkililerin bu mesajları CSAM için aramasını sağlamak amacıyla teklif, ‘istemci taraflı tarama’ olarak bilinen tartışmalı bir teknolojiye dayanıyor” dedi.

Troncoso, istemci taraflı taramanın veri korumasını neden ihlal ettiğini ise şu sözlerle açıkladı:

“İstemci taraflı tarama ile uçtan uca şifreleme yerinde kalır, ancak temelden işlevsiz kılınır. CSAM’i tespit etmek için içeriğin şifrelenmeden önce göndericinin cihazında kontrol edilmesi gerekir. Tespit yazılımı, sohbet içeriğini taramak ve yasak olarak işaretlenen herhangi bir materyali otomatik olarak kolluk kuvvetlerine iletmek için mesajlaşma uygulamasına veya işletim sistemine yerleştirilir. İçerik, gönderici veya alıcı dışındaki bir tarafın erişimine açıldığında, şifrelemenin sağladığı koruma ortadan kalkar.”

İstemci taraflı taramanın CSAM tespitinde etkili olup olmadığı sorusuna Troncoso, “Kısa cevap hayır” yanıtını verdi.

Araştırmaların, bu tür yazılımları kullanmanın bilinen CSAM’leri tespit etmede etkili olmadığını gösterdiğini söyleyen Troncoso, “Tespit mekanizması, fotoğraftaki birkaç pikseli değiştirerek kolayca atlatılabilir” dedi.

Yapay zekanın bilinmeyen istismar tasvirlerini aramak için kullanıldığında ise tamamen zararsız görüntülerin de sorunlu olarak işaretlenme riskinin çok yüksek olduğunu belirten Troncoso, sözlerini şöyle sürdürdü:

“Bunlar arasında sahildeki çocukların fotoğrafları veya ebeveynler tarafından bir çocuk doktoruna gönderilen cilt rahatsızlıklarının görüntüleri olabilir. Mevcut teknoloji, istismar görüntülerini güvenilir bir şekilde tanımlama yeteneğine sahip değil. Bu nedenle, bu yasanın potansiyel faydaları, kullanıcıların mahremiyetine yönelik risklerden daha ağır basmıyor.”

Troncoso, aynı durumun metin mesajları için de geçerli olduğunu vurguladı.

Yeni teklifin, bir failin çocuğu istismar etmek amacıyla duygusal bir bağ kurduğu “grooming” gibi faaliyetler için metin mesajlarını analiz etmek üzere yapay zeka kullanma olasılığını geri getirdiğini belirten Troncoso, “Tespit kusurludur. Ayrıca, ‘grooming’ ile ilgili metin iletişimi, akrabalarla veya yakın arkadaşlarla yapılan sohbetler ya da ilişkiye başlayan gençler arasındaki yazışmalar gibi dostane bir bağlamda tamamen kabul edilebilir diğer etkileşimlere çok benzeyebilir. Bu durum, birçok vaka yanlış yorumlanacağı için sahte suçlamalarda artışa yol açacaktır” dedi.

“Yaş doğrulaması mahremiyet için yeni bir tehdit”

Troncoso, yaş doğrulamasının çocukları daha iyi koruyup korumayacağı sorusuna ise şu yanıtı verdi:

“Yaş doğrulaması, reşit olmayanların belirli içeriklere veya uygulamalara erişmesini engellemeye yardımcı olabilir. Ancak etkinliği garanti değil ve önemli mahremiyet riskleri ile ayrımcılık potansiyeli taşıyor. Doğrulama, kimlik kartı gibi bir belgenin taranmasını gerektiriyorsa, güvenlik ve mahremiyet riskleri açıktır ve orantısızdır. Çünkü bu, bir kişinin yaşından çok daha fazla kişisel bilgiyi ortaya çıkarır.”

Ayrıca, yaş doğrulamasının ne kadar etkili olduğunun belirsiz olduğunu, çünkü kolayca aşılabileceğini ifade eden Troncoso, “Örneğin Birleşik Krallık’ta kullanıcılar, söz konusu hizmetlere erişmek için giderek daha fazla alternatif sağlayıcılara veya VPN’lere yöneliyor. Zorunlu yaş doğrulaması çocukları iletişimlerini alternatif, güvensiz ve hatta şifrelenmemiş kanallara kaydırmaya iterse, bu platformlar onları istismar etmek isteyen kötü niyetli aktörler tarafından işletilebileceği için risklere maruz kalmaları artabilir” uyarısında bulundu.

Çocuk güvenliğini sağlamak için artan internet kontrolüne daha iyi bir alternatif olup olmadığı sorusuna yanıt veren Troncoso, mevcut teklifin öncelikle istismar içeriğini internetten kaldırmayı veya önüne engeller koymayı amaçlayan teknik çözümlere dayandığını, bunun da iletişim güvenliği ve mahremiyet pahasına yapıldığını söyledi.

Troncoso, sözlerini şu şekilde tamamladı:

“Mevcut teknolojinin sınırlamaları göz önüne alındığında, bu yaklaşımın çocuk istismarını önlemeye önemli bir katkı sağlaması olası değil. CSAM’in varlığının, çocuk cinsel istismarının varlığından kaynaklandığını hatırlamak çok önemli. Bu nedenle CSAM’in ortadan kaldırılması, yalnızca dijital dağıtımını önlemeye değil, nihayetinde istismarın kendisine bağlıdır. Güvenliği ve mahremiyeti önemli ölçüde zayıflatan sohbet izleme ve yaş doğrulama gibi etkinliği şüpheli teknolojilere güvenmeye devam etmek yerine, Birleşmiş Milletler gibi kuruluşların önerdiği önlemleri uygulamaya odaklanmalıyız. Bunlar arasında rıza, normlar ve değerler hakkında eğitim, dijital okuryazarlık ve çevrim içi güvenlik ile kapsamlı cinsellik eğitimi ve travma bilgisine sahip ihbar hatları bulunmaktadır.”