Şirketler, nerede olduğunuzdan DNA’nızın içeriğine kişisel verilerinizin çok daha fazlasına ulaşmak istiyor. Gizliliğe ilişkin bir karşı tepkiye yol açmadan bundan nereye kadar faydalanabilecekler?
Güncel konulara alaycı yaklaşımlarıyla tanınan web sitesi The Onion, üç yıl önce “8 Web Sitesi Tarafından, Takıntılı Biçimde, Aynı Ayakkabı Reklamıyla Takip Edilen Kadın” başlıklı bir yazı yayımladı. Bu kurgusal kadın tüketici, ne zaman çevrimiçi olsa aynı reklamla karşılaşıyordu. Kadın yaşadıklarını anlatırken, “En tuhafı da reklamın sanki ayakkabı numaramı bile bilmesiydi.” diyordu. Yazı giderek yaygınlaşan sarsak denebilecek bir dijital pazarlama tekniğiyle dalga geçiyordu. Ancak şu an bu ince şaka neredeyse gerçeğe dönüşmüş durumda. Teknoloji, tarayıcı çerezlerini ve reklamların internette nereye girsek peşimizden gelmesini sağlayan “yeniden hedefleme” yöntemlerini çoktan aştı. Akıllı telefonlar artık fiziken bulunduğumuz yeri ve diğer insanlara ne kadar yakın olduğumuzu izleyebiliyor. Hatta, araştırmacıların kısa süre önce keşfettiği üzere, konum hizmetlerini kapatsak bile tüm bunları yapabiliyorlar. Web tarayıcılarımızdaki takip edilme özelliğini kapatabiliriz, ancak dijital parmak izlerimiz hâlâ cihazdan cihaza bağlantılı kalıyor ve kimliklerimizin adım adım izlenebilmesine olanak sağlıyor. Alexa gibi ev yardımcıları sohbetlerimizi dinliyor ve çalıştırıldıklarında söylediklerimizi kaydediyor. Barbie bebeklerden tıbbi cihazlara, gündelik kullanımda olan nesnelerin giderek daha çoğu internete bağlanıyor ve hareketlerimiz, davranışlarımız, tercihlerimiz ve hatta sağlığımız hakkında bilgi aktarıyorlar. Şu an hâkim olan web iş modeli, bireylere dair olabildiğince çok veri toplamak ve hedef seçmek ya da ikna etmek, ödüllendirmek ya da cezalandırmak üzere bunları kullanmak veya satmak üzerine kurulu.
Dahası, veri bilimindeki ilerlemeler toplanan bilgileri çok daha etkili hâle getirerek, şirketlere bireylerin alabildiğine ayrıntılı profillerini çıkarabilme olanağı sağlıyor. Makine öğrenmesi ve yapay zeka, rastgele gibi gözüken verileri kullanarak insanlara dair ürkütücü kesinlikte öngörülerde bulunabiliyor. Şirketler insanların siyasi eğilimlerini, cinsel hayatını, hatta kimlerin tek gecelik ilişki yaşadığını anlamak için veri analizine başvurabiliyor. Yüz tanıma yazılımı ve evde DNA testi gibi yeni teknolojiler kullanıma hazır hâle geldikçe, iş dünyasının gözetleme faaliyetleri 20. yüzyılın güvenliği en fazla önemseyen devletlerinde bile baskın gelebilir.
Akla şu bariz soru geliyor: Tüketiciler buna nasıl göz yumdu? Bir davranış bilimci olarak insanların bazen nasıl çıkarlarına ters düşecek şekilde davrandığını inceliyorum. Buradaki sorunlardan biri, şirketlerin bu ekonomide faaliyette bulunmak üzere kullandığı “ön onay” ilkesinin hayli yanıltıcı olması. Tüketicilerin çoğu ya çevrimiçi paylaştıkları kişisel bilgilerin farkında değildir ya da, gayet anlaşılır şekilde, bunu paylaşmanın bedellerini kestiremez. Bazen ise bunların her ikisi de geçerlidir.
Tüm bu toplanan verilerin tüketiciye, daha çok ilgisini çekecek reklamların gönderilmesi, daha iyi müşteri hizmeti sunulması, uygun fiyat teklifleri alması ve hatta potansiyel olarak kredi alabilme şansına kavuşması gibi çeşitli faydalar sağlayacağı doğrudur. Ancak şirketler acilen, bu faydaları gizliliğin korunmasıyla dengelemeli. Tüketici hakları savunucuları tacizkâr dijital uygulamalara dair uyarı üstüne uyarı yapıyor. Equifax’in on milyonlarca kişinin hassas kişisel verilerini kaybetmesi ya da Rusların, Amerikalıların oylarını manipüle etmek üzere sosyal medyayı kullanarak çeşitli faaliyetlerde bulunması gibi skandalların arka arkaya manşetlere çıkması, halkta büyük bir hoşnutsuzluk yaratıyor. Yakın zamana kadar tuhaf marjinal tipler olarak görülen internet gizlilik uzmanları, şu günlerde ABD meclisinin huzurunda ifade veriyor ya da manşetlik konferanslar veriyor. Avrupa’da kullanıcıların gizliliğini korumaya yönelik kapsamlı yasal düzenlemeler şimdiden yürürlüğe girdi. Tüketici verilerini kullanan şirketlere yönelik çok ciddi sonuçlar doğurabilecek yaygın bir “teknoloji karşıtı tepki”nin (techlash) belirtilerine tanık olmaya başladık. Facebook’un piyasa değerinin, şimdiye dek topladıkları verilerde kısmi bir azalmaya gideceklerini kamuoyuna duyurmasının ardından yaklaşık yüzde 20 düşmesi bir tesadüf olmasa gerek.
Bir yandan da, tüketiciler daha sıkı bir gizlilik koruması sunan şirketleri henüz ödüllendirmiş değil. Gizliliği güçlendiren teknolojiler henüz yaygın olarak benimsenmiyor. İnsanlar genellikle gizliliği güçlendiren teknolojiler için para harcamaya istekli değil. Bunu yapacak olsalar bile yüksek miktarlar ödemeyi tercih etmiyorlar. Kimileri bunu, insanların gizliliği umursamadığının bir kanıtı olarak görse de, ben bundan farklı bir sonuç çıkarıyorum: İnsanlar bunu umursuyor. Fakat birazdan açıklayacağım gibi, çeşitli etkenler, insanların akılcı tercihlerde bulunmalarına engel oluyor.
İki taraf da birbirinden giderek uzaklaşan rotalarda ilerlemeyi sürdürürse, bu gözetim ekonomisi bir piyasa çöküşüne zemin hazırlayabilir. İyi haber şu ki, politika yapıcılar bu konuda bir şeyler yapabilir. Atılacak ilk adım insanların, kişisel bilgilerinin gizliliğine dair kararları nasıl aldıklarını ve kendileri hakkında çok şey paylaşmaya nasıl ikna edildiklerini anlamak olmalı.
Tüketiciler Bu Batağa Nasıl Düştü?
Dürüst olalım: İnsanlar kişisel verilerine dair kararlar alma konusunda iyi değil. Bunun getiri ve götürülerini yanlış yorumluyorlar. Dahası, doğaları gereği sahip oldukları önyargılar, kararlarını yönlendiriyor. Büyük platform şirketleri ve veri toplayıcıları, ister bile isteye ister kazara, ürün ve hizmetlerini bu önyargıları istismar edecek biçimde düzenlemiş durumdalar. Üstelik bunu, genellikle fark edilmeyecek şekillerde yapıyorlar.
Sabırsızlık. İnsanlar hemen gerçekleşecek getiri ve götürüleri daha değerli görmeye, gelecekte başlarına gelecek şeyleri ise hafife almaya eğilimlidir. Yarın 10 dolar almaktansa bugün 9 dolar almayı ister. İnternette bu eğilim, önemsiz ödüller uğruna kişisel bilgilerini açık etmeye meyletmek şeklinde kendini gösterir. Bunun başlıca örnekleri ücretsiz testler ve anketlerdir. Genellikle üçüncü taraflar tarafından yaptırılan bu tür testler, tam bir veri güvenliği kabusudur; ancak pek çok kişi, bunları cevaplamadan duramaz. Örneğin, popüler bir “gerçek yaş” web sitesinde, insanlar “biyolojik yaşlarının” takvim yaşından daha fazla veya az olduğunu hemen öğrenme “getirisi” adına pek çok hassas sağlık bilgisini ifşa eder. Tüketiciler bu tür bilgi paylaşımlarından hiçbir mali kazanım elde etmez. Bu tür bilgileri sunmanın potansiyel götürülerinin az buçuk farkında olabilseler de (en uç örnek, sonuçta daha yüksek sigorta primleriyle karşılaşabilmeleridir), bu tür bedeller muğlak olduğu ve gelecekte yaşanacağı için, birkaç dakikalık eğlence karşılığında görmezden gelinir.
Sabırsızlık, aynı zamanda bizi gizlilik kontrollerini uygulamaktan alıkoyar. Yapılan bir deneyde, bir dijital cüzdan oluşturan insanlara, satın alma işlem verilerini güvenli kılacak (yani, şifreleyecek) bir hizmet önerildi. Bu hizmeti ayarlara eklemek birkaç ek adım gerektiriyordu. Fakat katılımcıların sadece dörtte biri bunları sonuna dek uyguladı. Büyük çoğunluk, verilerini gelecekteki muhtemel kötü kullanımlara karşı korumaya yönelik tek seferlik bir işlemi uygulamak üzere kendini sıkıntıya sokmak istemedi.
Veri “işlemleri” genellikle bilgi ifşasının hemen, somut ve cazip şekilde ödüllendirildiği; götürülerinse ileride ve daha muğlak şekilde gerçekleşeceği şekilde hazırlanır. Bu tür durumlarda sabırsızlığımız, bizi ifşaya iter. Örneğin, POS ve telefonla ödemeleri de kapsayan yeni nesil mobil ödeme cihazları size mail yoluyla makbuz gönderir, ödeme işlemlerini hızlı ve kağıt kullanmaksızın gerçekleştirir. Ancak bu şirketlerin sizin e-posta adresinizi ve diğer kişisel bilgilerinizi elde etmesinin götürüleri, sonradan ortaya çıkar. İsminiz, yaşınız ve yaşadığınız yer gibi hassas veriler toplanır, paylaşılır veya satılır. Bunun sonucunda, büyük olasılıkla kişiye özel pazarlama bombardımanına tutulursunuz. Bu reklamların bir kısmından memnun kalacak olsanız da, çoğu tacizkâr olabilmektedir. Hatta kimi insanlar gelecekte tüketici verilerinin, kredi notu hesaplaması gibi daha etkili şekillerde kullanılabileceğinden ve bunun, muhtemelen ayrımcı bir uygulama olan “kredi reddetmeye” kadar gidebileceğinden endişe etmekte.
"İNSANLARIN ÇOĞU, VERİLERİNİ GELECEKTEKİ MUHTEMEL KÖTÜ KULLANIMLARA KARŞI KORUMAYA YÖNELİK TEK SEFERLİK BİR İŞLEMİ UYGULAMAK İSTEMEDİ."
“Sahiplik etkisi”. Teoride, insanlar bir eşyayı, satacakları zaman talep edecekleri rakamla aynı fiyatta almaya isteklidir. Aslında, insanlar bir eşyayı alacakları zaman, genel olarak daha düşük bir değer biçer. İnsanlar gizlilikle ilgili kararlar alırken de benzer bir dinamik gözlemlenebilir.
Bir araştırmada, Alessandro Acquisti ve George Loewenstein ile birlikte tüketicilerden, iki hediye kartından birini seçmelerini istedik: Bunlardan biri onların alışverişlerini izlemeyecek olan 10 dolarlık, diğeriyse izleyecek olan 12 dolarlık bir “kişisel” hediye kartıydı. Bazı durumlarda katılımcılara 12 dolarlık iz süren kart karşılığında 10 dolarlık iz sürmeyecek kartı “satın alma” seçeneği sunuldu. Diğer durumlardaysa insanlara, 10 dolarlık kartları karşılığında 12 dolarlık kartlardan alacak şekilde gizliliklerini “satma” seçeneği sunuldu. Her iki durumda da gizliliğin maliyeti 2 dolardı. Kuşkusuz gizliliğinizi korumak üzere 2 dolardan vazgeçme arzunuzun, başlangıçta size verilen kart türünden etkilenmemesi bekleniyordu. Oysa, katılımcıların yaklaşık yüzde 50’si 2 dolar karşılığında gizliliklerinden vazgeçmek isterken, yüzde 10’dan azı gizlilikleri için 2 dolar ödemeyi tercih etti.
Bu, iş satın almaya geldiğinde gizliliğe daha az değer verdiğimizi gösteriyor. Dolayısıyla, bilgilerimizin baştan kamuya açık olması ya da özel kalması gibi basit bir durum bile muazzam etkiler yaratabilir. Nitekim, bilgilerimiz baştan kamuya açık olduğunda bilgi paylaşımına çok daha kolay ikna oluyoruz. Daha geniş bir çerçeveden bakıldığında, aradaki bu fark, gizlilik ihlallerinde kamuoyu ayağa kalkarken, gizlilikle ilgili kazanımların aynı oranda bir tepkiyle karşılanmayışıyla da uyumlu gözüküyor. Bu durum gizliliğin adım adım aşındığı kısır döngülere de zemin hazırlamakta: İhlaller, bilgiyi kamuya daha açık hâle getiriyor. Bilgilerimiz kamuya açıldıkça gizliliğimize daha az değer veriyoruz. Bu da bizi, bunları çok daha rahat bir şekilde açığa vurmaya itiyor.
Şirketler, özellikle de teknoloji endüstrisi gizliliğe ilişkin varsayılan ayarlarında gevşek bir tavır sergiliyor. Birkaç örnek vermek gerekirse: Uber Kasım 2016’da başlangıç ayarlarını, kullanıcıları sürekli takip edecek şekilde değiştirdi. (Yoğun eleştirilerin ardından Eylül 2017’de bunu tekrar değiştirdi.) Sosyal medya ödeme aplikasyonu Venmo’da, işlemler baştan herkese açık olarak ayarlı. Harita aplikasyonunu açtığınızda Google, otomatikman bulunduğunuz konumu kaydediyor; bu ayarı değiştirmek, açıkça yanıltıcı olmasa bile kafa karıştırıcı bir işlem.
Kullanıcıların ayarları değiştirme olanağı genellikle çok dolambaçlı hâle getirilmiş durumda. Yakın tarihli bir resmî raporda, Senatör Mark Warner (Demokrat, Virginia) Facebook’un mobil aplikasyonunun, varsayılan ayarlarını “kullanıcıları telefon rehberlerini Facebook’a yüklemek için yanıltıcı bir biçimde izin vermeye teşvik edecek (Facebook açısından bir kullanıcının toplumsal grafiğini çıkarmak için son derece faydalı bir fırsat)” şekilde nasıl kullandığını anlattı. Mobil aplikasyonda ilk çıkan ekran, rehberdeki numaraları paylaşma izninin tek seçenek olarak verildiği izlenimini yaratmakta. Kullanıcılar ancak “daha fazla bilgi” tuşuna tıkladıklarında bu seçenekten kurtulabiliyorlar.
Kontrol yanılsaması. İnsanlar rastlantısal süreçleri kontrol edebileceklerine dair yanlış bir kanıya sahip. Bu, örneğin, araştırma deneklerinin kendi seçtikleri piyango biletlerini onlara rastgele verilen biletlerden niçin daha değerli gördüklerini açıklıyor. İnsanlar aynı zamanda, üstünkörü kontrol tuzaklarını gerçek kontrolle karıştırır. Tami Kim ve Kate Barasz’la birlikte insanların, davranış hedefli reklamlara ne kadar açık olduğuna dair yaptığımız araştırmada şunu gördük: İnsanlar, kontrole sahip olduklarını düşündüklerinde genelde tacizkâr buldukları bir uygulama olan üçüncü taraflarla veri paylaşımı konusunda daha rahat davranıyor. Üstelik, kontrol ettiklerini düşündükleri şeyin gördükleri reklamla ya da paylaştıkları veriyle hiçbir ilgisi bulunmasa bile davranışları bu şekilde oluyor. İnsanların, profil fotoğraflarını seçebileceklerine yönelik bir hatırlatma gibi ilgisiz bir mesajla bile kendilerini rahat hissetmeleri sağlanabiliyor. Aynı konuda yapılan başka bir araştırma da insanların, siber dünyada kendi güvenliklerini kontrol edebilecekleri konusunda kendilerine aşırı güvendiklerini ortaya koyuyor. Experian tarafından yapılan yakın tarihli bir ankette, soru sorulan kişilerin yüzde 56’sı, kimlik hırsızlığının zamanla azaldığı şeklindeki yanlış inanışa sahipti; yüzde 10’u da, mali durumları kötü olduğundan risk altında olmadıklarını düşünmekteydi.
Tüketicilerin, verileri üzerinde daha fazla kontrol sahibi olmalarına yönelik girişimler anlamlı olsa da, bazı örneklerde insanların güvenlik kaygılarının, hayali bir kontrol duygusuyla yatışabildiğine tanık oluyorum. Örneğin Network Advertising Initiative’in (İnternet Reklamcılık İnsiyatifi) Consumer Opt Out sitesini ele alalım. Burada insanlar, tarayıcılarına özel reklamlar gönderen şirketlere ve hangi şirketleri bundan hariç tutabileceklerine dair bilgilendiriliyor. Bu hizmeti kullandığımda, 72 şirketin reklamlarını hariç tuttum. Kontrolün bende olduğunu hissettim. Ancak sözleşmenin ayrıntılarını incelediğimde, seçimlerimin sadece bazı şirketlerin kişiye özel reklamlar göndermesini engellediğini öğrendim. Bu eylemim, internette takip edilmemi engellemiyordu. Verilerimin düzenli şekilde toplandığını bana hatırlatan yegâne şey olan bana özel reklamları artık görmediğim için, izlendiğim gerçeğini kolaylıkla unutabilirdim.
Açığa vurma arzusu. Bu, karar vermeye ilişkin bir önyargı değildir. Daha ziyade, görünüşe bakılırsa insanların içinde başkalarıyla paylaşma arzusu ya da hatta ihtiyacı yatmakta. Ne de olsa ilişkilerimiz bu şekilde ortaya çıkar; doğamız gereği, sosyal yaratıklarız. Yapılan bir araştırmada, gizliliklerine son derece önem veren kişiler bile, kişisel bilgilerini bir chatbot’a (sohbet robotu) kolaylıkla ifşa etti. Sırlarınızı açıklamanın psikolojik ve tıbbi faydaları bulunur. Bir laboratuvar deneyinde, birbirini tanımayan kişiler eşleştirildiğinde ve birbirlerine kişisel bilgilerini anlatmaları yönünde teşvik edildiklerinde, gayet dostane ilişkiler kurdular. Kaygılarınızı yazdığınız bir günlük tutmak, fiziksel sağlığınıza iyi gelir. Sırlarınızı içinizde saklamaksa esenliğinizi zedeler. Yapılan bir nörobilim çalışmasında, insanlar; kendileri hakkındaki bilgileri açığa vurduğunda, beyinlerindeki ödüllendirme bölgelerinin harekete geçtiği görüldü. Aynı deneyde, bazı insanlar, kişisel sorular cevaplama şansı yakalamak için, teklif edilen para ödüllerini bile geri çevirdi.
Kendimizi açığa vurma eğilimimiz, kendini gizleyen kişilere dair fikirlerimizde de kendini belli eder: Kendini açık etmeyen kişileri küçümseriz. Örneğin, Kate Barasz ve Mike Norton’la yaptığımız araştırmada, kişisel soruları yanıtlamaktan sakınan kişilerden, kendileri hakkında olumsuz bilgiler aktaran kişilere kıyasla daha çok rahatsız olduğumuz, onları daha az güvenilir bulduğumuz ortaya çıktı. Yapılan bir deneyde katılımcılar, uyuşturucu kullanımıyla ilgili bir soruyu cevaplamayan bir başvuru sahibine kıyasla, uyuşturucu kullandığını itiraf eden bir adayı işe almaya daha istekliydi.
Çevrimiçi dünyada, sosyal ve ticari işlemler arasındaki sınırlar giderek bulanıklaşıyor. Örneğin, neredeyse bütün sosyal medya platformlarında reklamlar, ticari olmayan gönderiler kılığında karşımıza çıkıyor. Bu uygulamanın arkasında farklı gerekçeler yatsa da (örneğin, reklamları daha az tacizkâr hale getirmek), bu yaklaşım; reklamlara birer sosyal gönderi havası veriyor. Ben bunun, insanların kendilerini ifşa etme arzusunu tetiklediğinden ve gizlilik meselesini iyice çıkmaza soktuğundan kuşkulanıyorum. Benzer şekilde sıradan, amatör görünümlü ara yüzler her ne kadar daha zayıf güvenlik önlemleri olduğuna işaret etse de; bu tür ara yüzler de kişisel ifşalara çanak tutuyor.
İşin aslı, ifşa arzusunu pekiştirmek pek çok sosyal medya sitesi için büyük öneme sahiptir. Bunun en bariz ama dikkat çekmeyen örneği Facebook’ta her daim yer alan “Ne düşünüyorsun?” sorusudur. Çevrimiçi perakendeciler de satış süreçlerine, tüketicilerle muhabbet kurması için tasarlanmış robot sohbet programları gibi benzer sosyal unsurlar eklemekte. Venmo’nun sayfasının yapısı sosyal medya sitelerini taklit eder. İnsanlar ekledikleri her yeni kişi karşılığında sosyal grafiklerini yükseltir; bu kişilerin alışveriş işlemleri haber bildirimi olarak dikkat çekici şekilde duyurulur. Bu da parasal işlemlerin sosyal faaliyet gibi algılanmasına yol açar. Böylece insanların normalde kendilerine sakladıkları bir şey; rahatlıkla paylaşabildikleri, hatta potansiyel olarak paylaşmak istedikleri bir şeye dönüşür. Tüketiciler, sitelerin sosyal yönlerinden bazı kazanımlar sağlasalar da, bu yönler aynı zamanda ifşa etmenin risklerini daha bulanıklaştırır.
Yanlış sınır algısı. Çevrimdışı ortamlarda ketumluk ve kişilerarası iletişime dair toplumsal kuralları doğallıkla anlar ve bunlara uyarız. Bazen kendimizi kaybedip birisi hakkında dedikodu yapmayı istesek de, “İnsanların arkasından konuşma.” kuralı genellikle bu arzuyu dengeler. Çoğumuz etrafta işitebilecek birileri olduğunda bir dert ortağımıza asla sırlarımızı anlatmayız. Uygunsuz bir şey ifşa ettiğimizde de, insanların o anki tepkileri hemen lafımızı sakınmamıza sebep olur.
Ancak çevrimiçi dünyada kurallar farklıdır. Çevrimdışı dünyada davranışlarımıza ayar çekmemizi sağlayan o yoğun, fiziksel geribildirimlerle çevrimiçi dünyada genelde karşılaşmayız. Örneğin, bir bilgiyi sosyal medya yayınımızdaki arkadaşlarımız gibi sadece seçtiğimiz bir grup insana ilettiğimiz yanılsamasına kapılabiliriz. İnsanlar, çok daha geniş bir kitlenin (örneğin, patronları ve meslektaşları) görebileceğini unutarak, ufak bir arkadaş grubuna gönderdiğini düşündüğü (mesela işvereni hakkında) öfkeli ifadeler içeren bildirimlerden dolayı ciddi sıkıntılar yaşamakta.
Dijital etkileşimlerin güya geçici olması, bizi kolaylıkla baştan çıkarır. Reto Hofstetter ve Roland Rüppell ile birlikte yaptığım araştırmaya göre, Snapchat ve Instagram hikâyeleri gibi, iletilerin bir süre sonra silindiği anlık paylaşım teknolojileri, insanları hiç çekinmeden ifşalarda bulunmaya teşvik ediyor. Bunun sonucunda, kişilerin itibarları kalıcı zararlar görebiliyor. Çoğumuz, sırf bu tarz bir eylem gelip geçici diye, bir iş toplantısında hakaret içeren bir hareket yapmayı aklımızın ucundan bile geçirmeyiz. Oysa çevrimiçi dünyada, muhtemelen genellikle çok az geribildirim aldığımızdan, gelip geçiciliğin rahatlığı bizi paylaşımlarımızda aşırılığa sevk eder.
Karmaşıklık ve Yarattığı Muamma
Gözetim ekonomisinin hem tüketici hem de üretici taraflarını inceledik. Ancak bu ekonominin altında, önemi giderek artan bir etken yatıyor: Karmaşıklık.
Çerezlerin nasıl çalıştığını biliyor musunuz? Tarayıcı geçmişiniz, yaptığınız aramalar, Facebook beğenileriniz ve benzer eylemlerinizdeki bilgilerin, size yönelik reklamların gönderimi için aracılar tarafından nasıl paraya çevrildiği ve alınıp satıldığını kavrayabiliyor musunuz? Dijital yardımcınıza bir şey yapmanızı söylediğinizde, nelerin kaydedilip izinin sürüldüğünü biliyor musunuz? Muhtemelen hayır diyeceksiniz. Bu cevabınız, bir sorun teşkil ediyor.
İşleyen her türlü piyasadaki ana ilkelerden biri, “alıcının korunması”dır. Ancak çevrimiçi alanda, paylaşmanın getirileri ile risklerini birbiriyle kıyaslamak anlamsız bir metafizik girişime dönüşebilir. Şirketler, konumunuzu adım adım takip ettiğinde gizliliğinizi ne ölçüde kaybedersiniz ve bu gizliliğin bedeli nedir? Bir GPS navigasyon cihazının rahatlığına değer mi? Konumunun adım adım izlenmesi karşılığında bir tüketiciye ne “ödenmelidir”? Dahası, gözetim ekonomisinin gizli kapaklı “bilgi aktarımları” o kadar dolambaçlı ve kavranması güç ki, tüketicilerin yeterince bilgilendirilmeleri olanaksız gözüküyor.
Ayrıca tüm üçüncü tarafların, sizin verilerinizle ne yaptığını ya da yapacağını bilmek de olanaksız. Facebook gerek uygulamaların gerekse bunların kullanıcı verilerine erişiminin denetimini sıkılaştırıyor olsa da, pek çok uygulama Facebook üzerinden ulaştığı kullanıcı bilgilerini satmakta. Kullanıcıların, bu uygulamaların hüküm ve şartlarını kabul ettiklerinde, verilerinin kimlerce nasıl kullanılacağını bilmesi pek mümkün gözükmüyor. Diyelim ki birkaç yıl önce Facebook’ta karşınıza çıkan “‘80’lerin Filmleri Hayatınızda En Çok Neyi Yansıtıyor?” gibi bir ankete tıkladınız. Bu anketin yöneticisi doğum gününüz, arkadaşlarınız, tıkladığınız şeyler, beğenileriniz, bulunduğunuz yerler, girdiğiniz gruplar, kaydolduğunuz yerler gibi bazı Facebook verilerini toplayarak, bunları JavaScript ile “sarıp” çoğu web tarayıcısının sunduğu gizlilik korumalarını atlatarak üçüncü tarafların erişimine açabilir. Bir veri simsarı, bu bilgi parçalarını toplayıp kişiye özel reklam kampanyalarında kullanılması için satabilir. Verilerinizin reklam ekosisteminde nerden nereye gittiğini anlamanız ya da bu süreçte rol oynayan simsarlar ya da aracıları tanıyabilmeniz, olanaksızdır.
Ayrıca arkadaşlarınızın sizin adınıza bilgilerinizi paylaşmasını önlemek de mümkün değil. Ekonomist Susan Athey, Christian Catalini ve Catherine Tucker’ın yaptığı bir araştırmada, insanlar ücretsiz pizza karşılığında arkadaşlarının e-posta adreslerini kolaylıkla ifşa etti.
Tüketiciler kendilerine dair hangi kişisel bilgilerin hangi kurumlarca paylaşıldığını ortaya çıkarmanın peşine düştüğünde bile, şirketler her zaman yardımcı olmaz. Kullanıcılar Facebook’un, bulması pek kolay olmayan “Bu reklamı niçin görüyorum?” özelliğine tıkladığında, onlara yapılan açıklamalar bazen işe yaramayacak kadar geneldir. (Örneğin, “Bu reklamı görmenizin bir nedeni, Rothy’nin kendi müşterilerine benzeyen kişilere ulaşma arzusudur”.)
Tüketiciler, gözetim ekonomisindeki tüm oyuncular ve işlemleri enine boyuna kavrasalar bile, kopuk veri parçaları yeni bir veri oluşturulmak üzere sentezlenebildiğinden, aslında neyi ifşa ettiklerini bazen hiçbir şekilde bilemeyebilirler. Örneğin, bir kişinin sadece dört kredi kartı işleminin tarihi ve yerlerini bilerek o kişinin kimliğini saptamak mümkündür. Bir kişinin Sosyal Güvenlik numarası, onun doğum tarihi ve yerine bakılarak tahmin edilebilir. Bu durumda, eğer bir tüketici doğum yerini zaten bilen bir kuruma doğum tarihini de verirse, Sosyal Güvenlik numarasını da farkında olmadan ifşa etmiş olur. Tüketicinin açığa vurduğu şey, tüketicinin açığa vurmaya karar verdiği şeyden ibaret değildir. Karşı tarafın tüketici hakkında bildikleriyle de belirlenir.
Algoritmalar ve bilgi işlem gücü, artık onlara dair verileri sormadan kullanıcıların davranış profillerini saptamayı mümkün kılıyor. İnsanların sadece sosyal medyada var olması veya bir başkasının sosyal bildirimine yorum yapması üzerinden onlar hakkında öngörüde bulunmak ve kişinin profilini çıkarmak mümkün. Bu olgu, tamamen yeni muammalar ortaya çıkarmakta: Bir şirket, makine öğrenimi kullanarak bir tüketicinin profilini çıkarırsa, bu profil; kişiye özgü bilgilere ilişkin yasal düzenlemelere tabi midir? Tüketici bunun üzerinde herhangi bir hakka sahip midir? Bir şirketin, hedef kişilerin rızası olmadan bu tür yöntemler kullanmasına izin verilebilir mi, yoksa hiçbir şekilde verilemez mi? Bu soruların cevabını kimse bilmiyor.
Tüm bu nedenlerden dolayı gizliliğe dair karar almak, oldukça karmaşıktır. Alacakları kararlar, insanlara bunaltıcı ölçüde karmaşık gözüktüğünde de, ipin ucunu bırakmaya meyilli olurlar. Çevrimiçi kullanım şartlarını “onaylama” kararıyla yüzleşmiş herkes, bunu bilir. Bu şartlar genelde o kadar uzundur ki insanların bırakın bunları anlaması, okuması bile beklenemez. Bir çalışmaya göre, Amerikalıların girdikleri her yeni web sayfasının gizlilik politikalarını okuması yılda yaklaşık 54 milyar saat sürer.
"ÇEVRİMİÇİ DÜNYADA, SOSYAL VE TİCARİ İŞLEMLER ARASINDAKİ SINIRLAR GİDEREK BULANIKLAŞMAKTA. ÖRNEĞİN, NEREDEYSE BÜTÜN SOSYAL MEDYA PLATFORMLARINDA REKLAMLAR TİCARİ OLMAYAN GÖNDERİLER KILIĞINDA KARŞIMIZA ÇIKIYOR."
Bu yüzden kullanıcıların çoğu pes edip, ne olduklarını anlasalar duraksayıp üstünde düşünecekleri bu şartları onaylar. Örneğin, mobil oyun uygulaması kullanıcıları, bu uygulamaların bazılarına kişisel verilerini, şu ya da bu gerekçeyle üçüncü taraflarla paylaşmaları konusunda “izin verdiklerini” öğrendiklerinde şaşırabilirler. Bu uygulamaların bir kısmı, insanların mikrofonlarına bile erişebilir ve böylece, uygulama kullanımda değilse ve konuşulan şey oyunla ilgili olmasa bile, ses kaydı yapabilirler. Çin’de bulunan ve bir milyar kullanıcıya sahip olan WeChat gibi “süper uygulamalar”; sosyal medya gönderileri, banka ve kredi kartı bilgileri, mali işlemler ve hatta ses kayıtları gibi çok çeşitli kişisel verilere erişime sahip. Bahsettiğimiz ve diğer dijital platformlar teknik anlamda, bilgi paylaşımının getiri ve götürülerine dayanarak ve tüketicilerin buna “onay vermesini” sağlayarak bilgi temin ettiklerinden, bir çeşit “makul reddedilebilirliği” sağlarlar.
Karmaşıklık yüzünden, sistemi tümden bozmadan gözetim ekonomisindeki çatlakları onarmak hayli zor gözüküyor. Bozulma muhtemel bir sonuçsa da, iyi bir sonuç değil. Veri toplama işinin, mutlaka internet kullanıcılarının aleyhine gerçekleşmesi gerekmiyor. Tüketiciler, bu işlemden ve Alphabet ile Facebook gibi büyük platform şirketlerinden muazzam faydalar sağladı. Ancak gerçek şu ki, gözetim ekonomisinin büyük bölümü gizli kapaklı işliyor. Bu yüzden teknoloji şirketleri, tüketicilerin; “ücretsiz” teknolojiler karşılığında neler verdiklerini gerçekten anladıkları takdirde bu teknolojileri kullanmaya yanaşmayacaklarından endişelenmekte haklı.
Dahası, tüketiciler el yordamıyla hareket ederken, şirketler kendi getiri ve götürülerine dair daha berrak bir kavrayışa sahip. İzleme teknolojisi ve veri simsarlarının maliyetleriyle, doğru kişilere hedeflenmiş reklamların satışlarda yarattığı artış, kesin şekilde hesaplanabiliyor. Dolayısıyla şirketler, tüketicilere kıyasla çok daha fazla bilgiye sahip. Hangi ekonomistle konuşsanız, asimetrinin başlı başına bir piyasa çöküşüne işaret ettiğini, dolayısıyla da düzenleyici müdahalelere neden olduğunu söyleyecektir.
Dengeyi Yeniden Sağlamak
Tüketicilerin, birtakım riskleri (emniyet kemeri takmadan araba kullanmanın tehlikeleri ve soda şişesinin patlayabilecek olması gibi) tam olarak kestiremediklerinin ve şirketlerinse bu meselelere çözüm getirme motivasyonu taşımadığının kesinleşmesi üzerine, ABD ile diğer yönetimler, 1960’larda ürün güvenliğine ilişkin yasalar hazırlamaya başladı. Bilim insanları bu tür durumlarda yasa düzenleyicilerin, riski; bunu en iyi göğüsleyebilecek tarafa, yani üreticilere devretmelerinin akıllıca olacağını ileri sürmüştü. Tüketicilerin güvenlik risklerini değerlendirirken benzer zorluklarla karşılaştığı düşünüldüğünde kanun koyucular, toplanan kişisel verilerle ilgili yasalarda bu yaklaşımı benimseyebilir.
Elbette hazırlanacak her türlü kanun, kuşkucuları meselenin henüz yeterince kavrayamadığımız zorlu noktalarına dikkat çekmeye itecektir. İşte gündeme getirmeleri muhtemel birkaç soru:
- İnsanlar kişisel verilerinin ne ölçüde sahibidir?
- İnsanlar kamuya açık alanlarda gizlilik beklentisi taşımalı mı yoksa kamusal alanda yaptıkları her şey gözetime açık mıdır?
- Çevrimiçi dünya bir kamusal alan mıdır?
- Gizliliğinin değeri nedir? Hatta bu hesaplanabilir bir şey midir?
- Kişisel bilginin değeri nedir? Hatta bu hesaplanabilir bir şey midir?
- Hangi bilgilerin kontrolü bana aittir? Bunlara davranışlarıma dair yapay zeka kaynaklı öngörüler de dahil midir?
- Gizlilik mevzuatını güçlendirmenin bedelleri nedir? Bu bedeller, getirilerine baskın gelir mi?
Kimileri, kişisel veriler daha fazla veriye gerek duymaksızın hakkımızda kesin bilgi çıkarımlarında bulunabilen makine öğrenimi cihazlarına çoktan kaydedildiği için, tüketicilerin kişisel verilerini koruma konusunda geç kalınmış olabileceğini ileri sürmekte. Makine öğreniminin etkileyici becerilerine rağmen, henüz tasvir edilen durumda değiliz. Şirketler hâlâ tüketici verilerini elde etmek için yanıp tutuşuyor. Yapay zekanın öngörü becerileri, tüketici verilerine yönelik talebi azaltsa bile; yasal düzenlemeler hangi şirketlerin bu tür kestirimlerde bulunabileceğine dair temel sınırları (mesela, sağlık sigortacılarının bu kestirimleri tıbbi sorunlar yaşayabilecek başvuru sahiplerine karşı ayrımcı tarzda kullanmasını önleyerek) çizebilir.
Bu tarz yasal düzenlemelerin ayrıntıları bu yazının çerçevesini aşmakla birlikte, bahsettiğim araştırma neyin işe yarayabileceğine dair yol gösterici nitelikte. Öncelikle, buradaki amaç; paylaşmayı zorlaştırmak ya da şirketlere, tüketici verilerine erişimde daha sıkı ve tek taraflı engellemeler koymak olmamalı. Firmalar da tüketiciler de bilgi paylaşımından pek çok kazanım sağladığı için, bu tarz bir yaklaşım fazlasıyla basitleştirici kaçacaktır. Kanun koyucular bilgi akışını sınırlandırmanın, inovasyonu engellleme potansiyeli taşıması gibi götürüleri olduğunun bilincinde olmalı.
Avrupa’da yakın tarihte yürürlüğe giren Genel Veri Koruma Yönetmeliği (GDPR) gizlilik yasası, şirketleri kişisel bilgilerini toplamak üzere tüketicilerin bilinçli, gönüllü onayını almaya mecbur kılıyor. Bu yasa sorunlara köklü çözümler getirdiğinden takdire şayan. Ancak tüketiciler için işleri zorlaştırıp eziyetli hâle getiriyor. Ayrıca insanlar, sürekli onay vermek veya vermemek üzere karar almak durumunda kaldıklarında tepkisizleşebilirler. Bunun, bilinçli seçimleri teşvik edecek bir durum olduğu pek söylenemez. Dolayısıyla veri toplamaya müdahale edilmesine yol açan etkenler, bir yandan da bununla ilgili yönetmelik tasarlanmasını hayli zorlaştırmakta.
Yaygın bir yaklaşım, şirketlerden paylaşımın getiri ve götürüleri ve veri ihlalleri hakkında tüketicileri bilgilendirmelerini talep etmek. Ancak yukarıda dikkat çektiğim gibi, araştırmalar bu yaklaşımın sınırlılığına işaret ediyor. Kullanıcılar gizlilik politikalarını okumadığından ve medyanın velvelelerine rağmen ihlalleri öğrendiklerinde pek tepki vermediklerinden, bu yaklaşımın sorunu çözüme kavuşturması pek olası gözükmüyor. (Cambridge Analytica skandalı patladığında Facebook kullanıcılarının çok azı platformdan ayrıldı.)
Benzer bir yaklaşım da, tüketicilere yönelik riskleri doğrudan azaltmak üzere, kişisel veri şirketlerinin neleri toplayabileceğine ve bunları nasıl kullanabileceklerine ilişkin belli kısıtlamalar getirilmesi gibi kanunları kullanmak. ABD’de kişisel verilerin toplanması ve kullanımına ilişkin ulusal bir yasa bulunmuyor. Konuyla ilgili bazı temel yasalar yürürlükte gibi gözüküyor. Örneğin, Massachusetts’te şirketler, halka açık ağlarda dolaşıma giren kişisel verileri şifrelemek zorunda. California’daki yeni çığır açıcı Tüketici Gizlilik Yasası, şirketler için çeşitli kurallar getiriyor. Örneğin, tüketicilerin verilerini satan şirketler, kullanıcıların hiçbir ceza ödemeksizin verilerini geri çekmesine izin vermek durumunda.
"EKONOMİSTLERİN YAPTIĞI BİR ARAŞTIRMADA, İNSANLAR ÜCRETSİZ PİZZA KARŞILIĞINDA ARKADAŞLARININ E-POSTA ADRESLERİNİ KOLAYLIKLA İFŞA ETTİ."
Ancak bu yaklaşımdaki sorun, “çözümün daha çok soruna yol açabilecek” oluşudur; zira şirketler, yasa hükümlerine uyarken bir yandan da hep bunların etraflarından dolaşacak yasal boşluklar bulur. Örneğin, California’daki yeni gizlilik yasası, gizlilik haklarını kullanan tüketicilere, “tüketici verisinin ortaya çıkardığı değerle makul şekilde bağlantılı olmadıkça” farklı davranılmasını yasaklar. Bu istisna, şirketlerin istismar edebileceği potansiyel bir açıktır. Şirketlerin çok hızlı hareket ettiği dijital ortamda açıkları bulmak özellikle kolay olacaktır. Gizlilik politikasındaki bir ifadenin birazcık farklı yorumlanması, muazzam sonuçlar doğurabilir.
Dolayısıyla hükûmet müdahalesinde işe yarayacak asıl şey, herhalde şirketleri, tüketicilerin kişisel verilerini ancak makul biçimlerde kullanmaları için özendirmek olacak. Bunu yapmanın bir yolu ürün güvenliği düzenlemesinde kullanılan bir araç olan “katı sorumluluk” ilkesini benimsemek ya da şirketleri, bir ihmalkârlık veya suistimal olmasa bile tüketici verilerini kullanmalarından kaynaklı olumsuz sonuçlardan sorumlu tutmaktır. Nitekim hukuk bilimcisi Jack Balkin’in öne sürdüğü gibi, kişisel verilerimizi toplayan şirketler; “bilgi emanetçileri”, yani bilgilerimize yasal olarak güvenilir şekilde davranmakla yükümlü kuruluşlar olarak kabul edilebilir. Bu tür müdahaleler şirketleri, veri kullanımı konusunda sorumlu davranmaya, veri toplama ve paylaşma sistemindeki kötüye kullanım ve hataları baştan önlemeye ciddi şekilde sevk edebilir (aksi takdirde mali cezalarla karşılaşırlar).
Kuşkusuz, öncelikle pek çok zorlu sorunun cevaplandırılması gerekiyor. Örneğin, zararlar nasıl belirlenecek? İfşanın yol açtığı zarar kesin şekilde hesaplanamasa da kestirilebilir. Gawker, Terry Bollea’nın (“Hulk Hogan” olarak da tanınır) seks kasetini milyonlarca kişinin görebileceği şekilde yayınlayarak onun gizliliğini ihlal ettiğinde, Bollea’ya 115 milyon dolar tazminat ödenmesine hükmedilmişti. (Daha ayrıntıya girersem, bu davada Bollea’nın ekibinde danışman olarak çalışmıştım.)
Diğer bir zorluk, zararın kanıtlanmasıdır; çünkü ikna edici şekilde öne sürüldüğü gibi, mahremiyet alanında bunu kanıtlamak zordur. Mahkemelerin, olasılıksal zararlar kavramını kabul etmesi gerekir. Ayrıca, “makul” ile “makul dışı” veri kullanımı arasındaki çizgi nasıl belirlenebilir? Bunu ifade etmek zordur ama bu genellikle, karşılaştığınızda emin olduğunuz bir şeydir. Yasal düzenlemenin ana hedeflerinden biri, verilerin sorumsuzca kullanımına karşı daha baştan caydırıcı ve engelleyici bir işlev sergilemek olmalıdır.
Yasal düzenlemeye dair yaygın bir endişe, rekabeti azaltabilecek oluşudur. Yasaya ayak uydurmak bazı ufak oyuncular için kaldıramayacakları bir yüke dönüşebilir. Dolayısıyla mevzuatın en bariz etkisi muhtemelen, büyük oyuncuların piyasada daha da güçlü bir konuma gelmeleridir. Ancak şirketler dürüst bir tavır sergilemenin çıkarlarına olacağını düşünürse, bu zorluğun yaşanma olasılığı azalır. İlk olarak, daha zengin şirketler, zarar tazmini arayışındakilerin radarına daha çok girecektir. İkincisi, bu yaklaşım piyasanın yeni oyuncuları için daha az sınırlandırıcı olacaktır; zira doğrudan yaklaşımların dayattığı, baştan yapılacak büyük yatırımlar gerektirmez.
Yasal düzenleme, gözetim ekonomisine deva olacak ilaç değildir. Kuşkusuz yeni meselelere çanak tutacaktır. Yasaya körü körüne uymaktansa, tüketicilerin güvenini kazanmak daha çok işe yarar. Ancak davranış bilimlerinin sağladığı çeşitli kavrayışlardan yararlanarak, tüketicilerin son derece rasyonel ekonomik aktörler değil; kusurlu birer karar alıcı olduğunu kabullenirsek, gerek şirketler gerekse tüketiciler için bir yandan veri toplamanın faydalarını gerçekleştirirken bir yandan da bunun yarattığı sorunları hafifletecek daha iyi yasal düzenlemeler tasarlayabiliriz.
