Erva Gün 

Birleşmiş Milletler 8 Ağustos’ta ilk küresel siber suç anlaşmasını onayladı. Üç yıl süren müzakerelerin ardından kabul edilen Birleşmiş Milletler Siber Suçlarla Mücadele Sözleşmesi, BM Genel Kurulu'nun onayına sunulacak.

Genel Kurul’a 2019 yılı Aralık ayında, "suçla mücadele amaçlı, bilgi ve iletişim teknolojilerinin kullanılmasına karşı kapsamlı bir uluslararası sözleşme" fikri sunulduğunda, uluslararası toplum ikiye bölündü. Rusya, Çin dahil 79 ülke destek oyu verirken; ABD, Britanya ve çoğu Avrupa devleti olmak üzere 60 ülke karşı oy kullandı. Karşı oy kullanan ülkeler halihazırda Budapeşte Sözleşmesi'nin yürürlükte olduğunu hatırlattı. 2001 yılında Avrupa Konseyi'nde kabul edilen bu sözleşme, siber suçlarla ilgili olarak kolluk kuvvetleri arasında iş birliğini kolaylaştırıyor ve ortak soruşturmalar, dijital kanıtların paylaşılması ve tanınması, yetki alanları ve iade işlemleri konularını kapsıyor.

Budapeşte Sözleşmesi, Avrupa merkezli bir anlayışı temsil ettiği için tartışma konusu oldu. Avrupa dışında Avustralya, Brezilya, Fiji, Nijerya, Filipinler ve Tonga gibi 76 devlet bu antlaşmaya taraf olsalar da temsil sorunu ortaya çıktı. Rusya, bu sözleşmeyi hiçbir zaman imzalamadı ve devlet egemenliğine saygı gösterilmediğini öne sürerek eleştirdi.

Siber suç sözleşmesi, bu yıl BM Genel Kurulu'na sunulacak, onaylandıktan sonra üye ülkelerin imzasına açılacak. ABD, sözleşmenin kabul edilmesini memnuniyetle karşıladıklarını belirtirken, İran nihai açıklamasında "belirli hükümler ve terimlerle ilgili çekincelerini ve itirazlarını sürdürdüğünü" ifadelerine yer verdi. Moskova, "görüşmelerin ilham kaynağı ve lideri olarak" sonucu yalnızca kabul etti. Pekin ise henüz bir açıklama yapmadı.

Uzun vadede bu anlaşma kritik verilerin korunması, devletler arası siber operasyonlar ve yapay zekânın etik ilkeleri gibi konularda hükümetler arası diğer anlaşmaların yolunu açmak açısından risk taşıyor.

Birleşmiş Milletler Siber Suçlarla Mücadele Sözleşmesi nasıl bir öneme sahip?

Alternatif Bilişim Derneği Başkanı Avukat Faruk Çayır, anlaşmaya ilişkin merak edilen soruları cevapladı.

Anlaşmanın siber suçlarla mücadeleye dönük ilk anlaşma olmadığını hatırlatan Çayır, Budapeşte Konvansiyonu olarak anılan sözleşmenin daha çok çocuklara karşı işlenen cinsel suçlar, dolandırıcılık, hırsızlık, telif haklarına ilişkin suçlara ağırlık verildiğini belirtti.

Çayır, yeni sözleşmenin ise üye devletler arasında belirli suçlarda kolluk kuvvetlerinin dijital delillere erişebilmesine ilişkin prosedürleri içerdiğini belirtti. Bu nedenle sözleşmenin tanımlanmış belirli suç tiplerine ilişkin olmadığını dile getiren Çayır, “Üye devletler tarafından ciddi suçlar olarak tanımlanan ve belirli bir yılın üzerinde (4 yıl) ceza hükmü içeren tüm suç tiplerinin dijital ortamda işlenmesine yönelik dijital delil paylaşımını içeriyor” dedi. Çayır bu nedenle anlaşmanın, üye devletler tarafından suistimal edilmeye açık ve temel insan haklarına müdahale açısından geniş yetkiler tanıyan bir sözleşme olması açısında önemli bir sözleşme olduğunu vurguladı.

Anlaşma siber suçlarla mücadeleye yönelik uluslararası çabaları nasıl etkileyecek?

Çayır, sözleşmenin siber suçlarla uluslararası düzeyde mücadele etmek amacıyla oluşturulan önemli bir belge olduğunu belirterek, “Sözleşme, küresel siber güvenlik tehditlerinin ciddi bir sorun olduğunu kabul etmekte ve bu tehditlerle mücadelede uluslararası iş birliğinin önemine dikkat çekmektedir. Siber suçların tanımlanması ve bu suçlarla mücadelede standartların belirlenmesi konusunda önemli bir rol oynamayı amaçlamaktadır” ifadelerini kullandı.

Anlaşma bireysel mahremiyeti ve insan haklarını nasıl etkileyebilir? Anlaşma potansiyel olarak hükümet gözetiminin artmasına veya ifade özgürlüğünün bastırılmasına yol açabilir mi?

Çayır, “Sözleşme küresel anlamda bireylerin kapsamlı devlet gözetimini destekliyor” diyerek zayıf gizlilik güvencelerinin oluşturulduğunu ve gözetime karşı korumaların çoğunun ulusal yasalara bırakıldığını ve bu durumun insan haklarını istismar edilebilecek tehlikeli bir yol yarattığını aktardı.

Bilgisayarınızın performansını artırın Bilgisayarınızın performansını artırın

Sözleşmenin güçlü gizlilik ve insan hakları güvenceleri olmadan, hükümetlerin aşırı müdahalesini, kontrolsüz gözetimi ve hassas verilere yetkisiz erişimi arttırma riski taşıdığını dile getiren Çayır, şunları söyledi:

“Bu durum bireyleri ihlallere, suistimallere ve ulusötesi baskıya karşı savunmasız bırakacaktır. Bazı ülkelerdeki insan hakları açısından daha zayıf güvenceler içeren yasalar nedeniyle, ülkeler vatandaşları hakkındaki gözetim sonucu toplanan bilgi ve belgeleri birbirleriyle paylaşmak zorunda oldukları için küresel anlamda yaygın kişisel veri suistimallerine ve gizlilik erozyonuna yol açabilir. Bu, küresel anlamda insan hakları korumalarındaki eşitsizlikleri daha da kötüleştirebilir. Küresel iş birliği nedeniyle otoriter rejimlerin bulunduğu ülkeler açısından ilk etapta suç bile olmayan eylemlerin suç olarak tanımlanmasına, herhangi bir eylem nedeniyle suç soruşturması için sözleşmenin bir araç kullanılmasına yol açabilir.”

İnsan hakları örgütleri tarafından dile getirilen endişeler nelerdir? Antlaşma hangi spesifik siber suç türlerini hedef alıyor? Bilgisayar korsanlığı, çevrimiçi dolandırıcılık veya siber terörizm gibi belirli siber suçlara mı odaklanıyor? Bu sorunları küresel ölçekte nasıl ele almayı öneriyor?

Sözleşmenin, siber suç bahanesiyle devletlerin gözetim yetkilerini önemli ölçüde genişlettiğini belirten Çayır, bu eleştirilere yönelik şu bilgileri paylaştı;

  • Sözleşme üye ülkelerin, dört yıl veya daha fazla hapis cezası gerektiren suçlar olarak tanımlanan ciddi suçlar olarak sınıflandırılan eylemler için bireyler hakkında kanıt toplamasına izin veriyor. Bu, yerel yasalar uyarınca ciddi suçlar olarak kabul edilirse, bir hükümeti eleştirmek veya gökkuşağı bayrağı asmak gibi çoğu ülkede korunan yasal etkinlikler ile ilgili delil toplama adı altında gözetim ve baskıyı arttırabilir.
  • Örneğin Ülke A'da bir aktivistseniz ve Ülke B'deki insan hakları ihlalleri hakkında tweet atıyorsanız ve hükümet yetkililerini eleştirmek her iki ülkede de belirsiz siber suç yasalarına göre ciddi bir suç olarak kabul ediliyorsa, BM Siber Suç Anlaşması Ülke A'nın Ülke B adına sizi gözetlemesine izin verebilir. Bu, Ülke A'nın önceden yargı izni olmadan e-postanıza erişebileceği veya konumunuzu takip edebileceği ve bu bilgileri artık soruşturmayı etkilemese bile gizli tutabileceği anlamına gelir.
  • Hükümeti eleştirmek, bir kimlik avı saldırısı başlatmaktan veya bir veri ihlaline neden olmaktan çok uzaktır. Ancak bir eylem bilgisayar kullanmayı içerdiği ve ulusal yasalarca tanımlanması halinde ciddi bir suç olduğu için, sözleşmenin sınır ötesi casusluk yetkileri kapsamına girebilir.
  • İnsan hakları ihlalleri hakkında sızdırılan verilere dayalı haberler yayınlayan gazeteciler ve sosyal medya üzerinden protestolar düzenleyen dijital aktivistler sözleşme kapsamında siber suç işlemekle suçlanabilir. 
  • Sözleşme biyometrik veriler gibi son derece hassas verilerin paylaşılmasına ilişkin belirli güvenceler içermemektedir. 
  • BM Siber Suç Sözleşmesi, özellikle elektronik verilerin aranması ve ele geçirilmesine ilişkin 28. Madde aracılığıyla hükümetlerin gözetim yetkilerini önemli ölçüde genişletiyor. Bu hüküm, üye devletlere kişisel cihazlar da dahil olmak üzere herhangi bir bilgisayar sisteminde depolanan verilere ilişkin zorunlu gizlilik veya veri koruma güvenceleri sağlanmasını içermemekte, üye devletlere hiçbir şart ve tanımlama olmadan arama ve ele koyma konusunda kapsamlı yetkiler vermektedir. Bu durum, gizlilik ve veri koruması için ciddi bir tehdit oluşturuyor. 28 Madde, devletlerin bir bilgi ve iletişim teknolojisi (BİT) sisteminde veya veri depolama ortamında herhangi bir "elektronik veriyi" aramasına ve ele geçirmesine izin veriyor. Madde devletlere belirli kısıtlamalar getirmediğinden, çoğu şeyi ulusal yasaların takdirine bırakıyor.

Elektronik veriler nasıl bir tehdit oluşturuyor?

Sözleşmede "elektronik veriler" adı verilen genel bir kategoriden de yararlanıldığını aktaran Çayır, “Bu maddeye göre elektronik veriler, üye devletlere, diğer üye devlete dijital verileri koruma emirleri verme (Madde 25), üretim emirleri verme (Madde 27) ve arama ve el koyma emirleri verme (Madde 28) yetkisini içermektedir” dedi.

Trafik verilerinin, abone verileri ve içerik verilerinin diğer geleneksel kategorilerinden farklı olarak, "elektronik veriler" olarak tanımlanmasına açıklık getiren Çayır, “Herhangi birine iletilmiş olsun veya olmasın, elektronik olarak depolanan, işlenen veya iletilen herhangi bir veriyi ifade eder. Bu durum, kişisel bilgisayarlarda kaydedilen belgeleri veya dijital cihazlarda depolanan notları da içerir. Özünde, bu özel paylaşılmamış düşüncelerin ve bilgilerin artık güvende olmadığı anlamına gelir” diye konuştu.  

“Elektronik veri” tanımının belirsizliğine de dikkat çeken Çayır, “Cihazda kalsa ve iletilmese dahi kişisel bilgisayarlar ve telefonlardaki yüz taramaları ve akıllı ev cihazı verileri gibi cihazlarda depolanan veriler de bu kapsamın içerisine girebilir. Başka bir örnek olarak, birinin bir cihazda çektiği ancak kimseyle paylaşmadığı fotoğraflar olabilir. Bu kategori, kişisel verilerimizi, en mahrem düşüncelerimizi ve eylemlerimizi hem vatandaşı olduğumuz devlete hem de başkalarına casusluk yapan devletlere teslim etmeye zorlanma riskini içermektedir” ifadelerini kullandı.

“Bu sözleşme göçmenleri, mültecileri ve gazetecileri tehdit edebilir”

BM Siber Suç Sözleşmesi'nin bu haliyle insan hakları perspektifinden bakıldığında temelde hatalı olduğunu belirten Çayır, “Sağlam denetim ve dengeler olmadan gözetim yetkilerini tehlikeli bir şekilde genişletebilme potansiyeli taşınması insan haklarını zayıflatabilir ve marjinalleşmiş topluluklar için önemli riskler oluşturabilir” dedi.

Çayır, "elektronik veri" gibi belirsiz tanımların zayıf gizlilik ve veri koruma güvenceleriyle birleştiğinde endişeleri arttırdığına dikkat çekerek, “Bu durum, bir ülkenin diğerinin taleplerine kolayca uyabileceği anlamına gelir; bu talepler yeterince güvence altına alınmazsa, yaygın hükümet yetki aşımına ve insan hakları ihlallerine yol açabilir. Sıkı veri koruma ilkeleri ve sağlam gizlilik güvenceleri olmadan, bu yetkiler kötüye kullanılabilir ve insan hakları savunucularını, göçmenleri, mültecileri ve gazetecileri tehdit edebilir” şeklinde konuştu.

Editör: Erva Gün