Türkiye’de İnternet Kullanımının İzlenmesinin Hukuki Boyutu

Yazı İçeriği ve İnternet Kullanımının İzlenebilirliği Üzerine Kısa Bir Açıklama

Bu yazıda gerek haber platformları gerekse sosyal medyada dile getirilen ve çoğu internet kullanıcısının da aklının bir köşesinde bulunan ‘’kişilerin internet kullanımı izleniyor mu?‘’ sorusunu, yasal altyapı üzerinden cevaplandırmaya çalıştım.

Bu konu hakkında açıklamalarda bulunmadan önce belirtmek isterim ki internete bağlı cihazların kablolar ve elektromanyetik dalgalar vasıtasıyla yaptıkları iletişimin izlenmesinin pek çok yöntemi vardır. Başta cihazlara yüklenen spyware(örn. Pegasus) ve benzeri malware kullanımı trafiği kriptolayan(VPN, SSL vb.) teknolojilerden etkilenmeden bunu başarabileceği gibi ağda iletilen veri trafiği bilgisine ya da veri paketlerinin içeriğine erişebilen network teknolojileri sayesinde, omurgada çalışan altyapı sistemlerini ya da proxy gibi man in the middle konumundaki sistemleri kontrol edenler veya sniffer konumundakiler, kullanıcıların yapıp ettiklerini pekala gözlemleyebilirler.

Yukarıda bahsettiğim tüm bu faaliyetlerin çoğunun hukuka aykırı vaziyetler doğuracağı ise açıktır. Burada vurgulamak istediğim husus, internet iletişimi/kullanımlarının üst seviye siber güvenlik önlemleri alınmadığı takdirde çok da zor olmayacak şekilde izlenebilir olduğudur.

Türkiye’deki mevcut hukuki altyapı esas olarak internet iletişiminde yer alan verilerin yani örneğin VoIP görüşme içeriklerinin değil, IP-port-abone-zaman-kullanılan uygulama yazılımı-veri boyutu gibi ‘’trafik bilgisinin‘’ izlenmesi ve kaydına yöneliktir. Ancak pratikte tatbiki zor da olsa istisnai bazı hukuk kuralları, verilerin içeriğinin izlenmesine de izin verir. Lakin bu istisnai durumlarda ortada geleceğe yönelik bir yargı kararı bulunması gerekmektedir.

Aşağıda açıklayacağım hususlara yönelik en önemli mesele, bu durumun yasal zorunluluklardan kaynaklı olarak ‘’kendiliğinden/bir karar aranmaksızın işleyen‘’ bir sistemin uygulanması sonucu oluştuğudur.

I) BTK’nın Bu Yöndeki Görevlerine Dair Hukuki Altyapı

A) BTK’nın Bu Konudaki Esas Faaliyeti: İnternet İçeriklerinin İzlenmesi ve Sanal Devriyeler

BTK’nın önleyici kolluk vasfıyla siber güvenliğe dair önemli görev ve yetkileri bulunmaktadır. BTK, polis ve jandarma gibi genel kolluk olmayıp, özel kolluk niteliğindedir ve ancak kendisine yönelik spesifik olarak bahşedilmiş normatif yetkileri kullanabilir. Bu doğrultuda 5651 s. Kanun’da BTK’ya açıkça ‘’izleme ve önleme‘’ görevi verilmiştir. İlgili düzenleme, ‘’İnternet ortamındaki yayınların izlenmesi suretiyle bu Kanunun 8’inci maddesi ile 8/A maddesinde sayılan suçların işlenmesini önlemek için izleme ve bilgi ihbar merkezi dahil, gerekli her türlü teknik altyapıyı kurmak veya kurdurmak, bu altyapıyı işletmek veya işletilmesini sağlamak‘’ şeklindedir.

BTK’nın 5651 s. Kanun gereğince yükümlendirildiği ‘’internet ortamını izleme‘’ faaliyeti, 5651 s. Kanun’da ‘’internet ortamındaki verilere etki etmeksizin bilgi ve verilerin takip edilmesi‘’ olarak tanımlanmıştır. Aynı kanunda BTK’ya verilen izleme görevinin, ‘’İnternet ortamındaki yayınların izlenmesi suretiyle‘’ yerine getirilmesi gerektiği belirtilmektedir. Öyleyse BTK’nın izleme görevi esas olarak ‘’sanal devriyeler‘’ yani herkesin erişebileceği internet site ve uygulamaları üzerindeki, duyu organları ile algılanabilen sanal ortamın izlenmesi/dinlenmesidir. Yani hedef sistemler hacklenmeden, herkesin erişebileceği internet ortamının sanal devriyelere konu olması mümkündür.

Herkesin erişimine açık olmayan veya daha doğrusu deep web diyebileceğimiz içerikler noktasında bu tür sanal devriyeleri 5651 s. Kanun’daki kısıtlar nedeniyle(kanundaki açık tanımlar) BTK’nın değil, EGM bünyesindeki ekiplerin veya istihbarat ve benzeri yapıların ‘’hukuki dayanaklar çerçevesinde‘’ yapabilmesi mümkündür. Bu tür uygulamalarda da malware enjeksiyonu yahut brute force saldırıları gibi hacking faaliyetlerine başvurulmasına hukukumuzda açık bir dayanak yoktur. Zaten bu durum ön alan araştırmasının amacına da aykırıdır. Zira hedef sistemlerdeki siber güvenlik önlemleri uyarıda bulunabilir ve suçlular delilleri karartarak kaçabilirler. Bu tür kapalı ortamlar için mantıklı olan; uygulama yazılımlarını işleten İSS’ler ile işbirliği, sahte hesaplar ile bu ortamların gözlenmesi, muhbir kullanımı, bir ihtimal gizli soruşturmacı kullanımı veya benzer yöntemlerdir.

B) BTK’nın İnternet İletişimine Dair Verilerin İzlenmesi/Dinlenmesi Hususunda Kolluk ve İstihbarat Birimlerine Yardımcı Olma Görevi

BTK özel kolluk konumunda olduğu için doğrudan PVSK ve genel kolluğa dair benzer hukuk kurallarına dayanarak izleme/dinleme kararı veremez, bu amaçla mahkemeye başvuramaz. BTK’nın genel kolluğun(örn. polis) siber güvenlik/delil elde etme faaliyetlerine dair koordinasyon ve yardım görevi mevcuttur. 5651 s. Kanun md. 10’da, BTK’ya suç işlemenin önlenmesi ile ilgili kolluk ve sair birimler ile koordinasyon görevi verilmiş, PVSK ek md. 7’de ‘’… telekomünikasyon yoluyla yapılan iletişime ilişkin işlemler ile 5271 sayılı Kanunun 135’inci maddesi kapsamında yapılacak dinlemeler, Bilgi Teknolojileri ve İletişim Kurumu bünyesinde tek bir merkezden yürütülür.‘’ denilmiştir. 2937 s. MİT Kanunu’nda da benzer bir düzenleme mevcuttur.

BTK internet iletişiminin içeriğinin dinlenilmesi/izlenmesi konusunda erişim sağlayıcılar ile işbirliği yaparak bu faaliyetlerini yerine getirebilir. Zira Ceza Muhakemesi Kanunu ve Elektronik Haberleşme Kanunu’nda erişim sağlayıcıların yasal dinleme ve müdahalelere imkan sağlamak zorunda olduklarına dair  düzenlemeler mevcuttur.

II) Genel Uygulama: İnternet Trafiğinin İzlenmesi

A) İSS’lerin Bu Faaliyetlerdeki Kilit Rolü

Yukarıda aktarıldığı üzere BTK esas olarak sanal devriyeler ve idari/kazai kararlar sonucu mümkün olan ‘’iletişim içeriklerine dair izleme/dinleme‘’ kararlarının tatbiki yönünden görevler ifa etmektedir. Ancak internetin(trafik bilgisi) ‘’dolaylı olarak‘’ da olsa devlet/kurumlar/BTK tarafından izlenmesine dair sürekli olarak tecelli eden bir düzen daha vardır. İşte bu düzen de erişim sağlayıcılar, yer sağlayıcılar ve toplu kullanım sağlayıcılar vasıtasıyla gerçekleşen, ‘’trafik bilgisinin izlenmesi, kaydı ve BTK ile yargı mercilerine bildirimi‘’ şeklinde gerçekleşen düzendir.

İşte bu düzende erişim sağlayıcılar kontrol ettikleri omurga üzerinde gerçekleşen, yer sağlayıcılar sunucuları üzerinden akan/nihayete eren, toplu kullanım sağlayıcılar da ellerindeki sistemler üzerinden gerçekleştirilen bütün internet trafiğinden hukukça takibi zorunlu tutulan trafik bilgisini, tipik paket analiz yazılımlarına benzer teknolojiler kullanarak izler ve kaydeder. Belirtmek gerekir ki burada esas yük ve izlemeye dair geniş imkan, Türkiye’deki omurga üzerinde gerçekleşen genel trafiği izleyebilen erişim sağlayıcılardadır.

B) İnternet Trafiğinin İzlemesi, Kaydı ve İlgili Birimlere Bildirimine Dair Düzen

Yazının giriş bölümünde, trafik bilgisi ile trafiğe konu verilerin içeriğine dair bilginin farklı şeyler olduğunu belirtmiştim. Konu oldukça önemli olduğu için bir kere daha örnek vermek gerekirse, X ve Y’nin Z uygulaması üzerinden iletişim kurduğu sırada iletişime dair genel bilgiler trafik bilgisi olup, iletişim içeriği yani yazışmalar trafik bilgisi kavramının tamamen dışındadır. Türk internet hukukunun temeli olan 5651 s. Kanun ve 5809 s. Kanun ile bunlara bağlı alt mevzuatlarda erişim sağlayıcıların, yer sağlayıcıların ve toplu kullanım sağlayıcıların trafik bilgilerini toplaması ve belirli bir süre hash+zaman damgası teknolojileri vasıtasıyla sunucularında barındırması gerektiği düzenlenmiştir.

Hukuki düzenlemelerde kaydı tutulması gereken trafiğe dair bilgiler teker teker ve açık biçimde sıralanmış değildir. Örneğin internet abonesi X’in telefonundan veri gönderdiği Y uygulama sunucusu yani ‘’hedef sistem‘’ konumundaki cihazın bilgisinin proxy kullanan erişim sağlayıcılar tarafından kaydı öngörülmüşken, diğer durumlar için bu yönde açık bir bilgi yoktur. Örneğin Faaliyet Belgesi Yönetmeliği md. 3’te erişim sağlayıcı trafik bilgisi ‘’İnternet ortamına erişime ilişkin olarak abonenin adı, adı ve soyadı, adresi, telefon numarası, abone başlangıç tarihi, abone iptal tarihi, sisteme bağlantı tarih ve saat bilgisi, sistemden çıkış tarih ve saat bilgisi, ilgili bağlantı için verilen IP adresi ve bağlantı noktaları gibi bilgileri‘’ şeklinde, sınırlı bir sayma olmaksızın tanımlanmıştır.

1) Trafik Bilgisinin İzlenmesi

Erişim sağlayıcılara trafik bilgilerini işleme ve aktarma bakımından getirilen esas yükümlülükler, siber güvenlik/adli bilişim ile ilgilidir ve 5651 s. Kanun’da yer almaktadır. 5651 s. Kanun ve ilgili alt mevzuat gereğince erişim sağlayıcılar sağladıkları hizmetlere ilişkin olarak, BTK’nın kanunlar gereği kendisine verilen görevlerini yerine getirebilmesi için erişim sağlayıcı trafik bilgisini bir yıl saklamakla yükümlendirilmiştir. İlgili yönetmeliğe göre de erişim sağlayıcı eğer kullanıcılarına vekil sunucu hizmeti sunuyor ise vekil sunucu/proxy trafik bilgisinin de bir yıl saklanması gerekir. Pekala saklamak için evvela trafiği izlemek ve yazılımlar vasıtasıyla trafiği analiz etmek gerekir. 5651 s. Kanun’un uygulama yönetmeliğinde erişim sağlayıcıların(örn. TTNET) internet trafiğinin izlemesinde BTK’ya gerekli yardım ve desteği sağlamakla yükümlü oldukları zikredilmiş olup, bu destek de kaydedilen ilgili trafik bilgilerinin yasal altyapı çerçevesinde BTK’ya bildirimine yöneliktir.

(Esas uygulama bu olmakla birlikte, 5651 s. Kanun’da bir yıl saklanması gerektiği belirtilen trafik bilgilerine dair bazı veri grupları, Elektronik Haberleşme Kanunu ve bağlı alt mevzuat gereği işlenmesi gereken kişisel veriler ile aynı olup, bu diğer mevzuatta ise saklama süreleri ‘’süreç tamamlanıncaya kadar saklanır‘’ şeklindeki normlar ile kısmen belirsiz bir vaziyettedir.)

Bu düzende bilinmesi gereken en temel husus şudur: Erişim sağlayıcılar, hash+zaman damgası ile değiştirilmezliğini garanti ederek sunucularında sakladıkları trafik bilgisi kayıtlarını talep edildiğinde BTK’ya bildirmekle yükümlüdür. BTK’nın da bu talebi şüphesiz ki kendisine hukuk çerçevesinde verilmiş görevleri ifa ederken duyduğu ihtiyaçlar dahilinde yapması gerekir. Ayrıca erişim sağlayıcılar; faaliyete son verecekleri tarihten en az üç ay önce BTK’ya bildirilen kapanma tarihinden geriye doğru bir yıllık süredeki trafik bilgilerine ilişkin bütün kayıtları metin dosyası olarak, log formatlarını açıklamalarıyla birlikte, abone kütük bilgilerini BTK’ya teslim etmekle yükümlüdür. Ayrıca her erişim sağlayıcı; faaliyete başlamasından itibaren her ay düzenli olarak, her erişim yöntemine ilişkin kullanacağı erişim numaralarını ve toptan hizmet verdiği abonelere ilişkin bilgileri BTK’ya göndermekle yükümlendirilmiştir.

2) Bu Düzende Trafiğin İçeriği/Trafiğe Konu Verilerin İzlenemeyeceği ve Kaydedilemeyeceği  

Haberleşmenin içeriğine ilişkin verilerin izlenmesi, 5651 s. Kanun ve erişim sağlayıcıların ‘’genel nitelikli izleme+kaydetme‘’ görevinin kapsamı dışındadır. İnternet iletişimine konu verilerin/iletişim içeriğinin dinlenmesine/izlenmesine veya kaydına dair uygulamalar MİT Kanunu, PVSK ve CMK hükümlerine dayalı istihbarat çalışmaları veya adli delil elde etme amacıyla yapılabilir. Bu kanunlardaki istisnai hükümlere göre verilen kararlara dayanılarak iletişimdeki kriptolamayı hackinge başvurmadan aşmak mümkün olursa, örneğin ‘’teoride‘’ bir Whatsapp görüşmesinin izlenmesi/kayda alınması hukuka uygun olabilir. Ancak bu tür bir uygulamanın tatbikinde hacking faaliyetlerine ya da malware enjeksiyonuna başvurulması başlı başına bir sorundur. Zira bu noktada uygulamaya yönelik hukuki altyapı boşluğu ve amaç-sonuç arasındaki dengede orantısızlık mevcuttur.

Belirtmek isterim ki DPI ve benzeri teknolojiler yoluyla bu tür faaliyetlerin erişim sağlayıcılar üzerinden tatbikine yönelik bir hukuki altyapı da ülkemizde mevcut değildir. Ancak kriptolu iletişime dair sorunlar aşılabilirse, yalnızca Whatsapp gibi tek bir uygulama yazılımı üzerinden gerçekleşen trafiği yakalayarak veri içeriğine erişebilen ve sair iletişimi izlemeyen bir teknolojinin kullanımı hukuka uygun ve ölçülü olabilir. Yine de kanaatimce bu tür durumları hukuka uygun kılmaya en müsait yol, uygulama yazılımını işleten İSS ile yani örneğin doğrudan Whatsapp ile ve/veya adli yardım anlaşmaları vasıtasıyla ilgili ülkeler aracılığıyla adli süreci yürütmektir.

C) İnternet Trafiğinin İzlenmesinin Amacı Nedir ?

Erişim sağlayıcıların, yer sağlayıcıların ve toplu kullanım sağlayıcıların tuttuğu trafik bilgisi kayıtları adli bilişim/siber güvenlik yönüyle soruşturmalar, yargılamalar ve istihbari faaliyetlerde kullanılmakta, çoğu zaman erişim sağlayıcılar BTK’ya ve BTK da ilgili mercilere bu bilgileri sunmaktadır. Trafiğin izlenmesi, kaydı ve trafik bilgisinin paylaşımına dair tüm bu yükümlülüklere uyulmamasının da idari yahut cezai yaptırımları mevcuttur.

Medeni dünyada yer alan hukuk sistemlerinin araştırabildiğim kadarıyla pek çoğunda, trafik bilgisinin izlenmesine dair hem temel hak ve hürriyetlere müdahalenin somut sınırlar ile çizilmesi ihtiyacı ve hem de delil elde etmeye yönelik yasal bir alt yapıya kavuşma ihtiyacından doğan normlar mevcuttur. Kimi ülkelerde izlenecek veri grupları dar bir çerçeve çizerken, Türkiye gibi kısmen geniş çerçeve çizen ülkeler de mevcuttur. Trafik bilgisinin ötesinde DPI teknolojilerine dair hukuki altyapısı mevcut olan Rusya gibi ülkeler de bulunmaktadır. Tamamen farklı bir uygulama olarak, Almanya örneğinde olduğu gibi bazı önemli suçlara yönelik delil elde etmek için resmi hacking faaliyetlerine(online arama) başvurularak hedef sistemlerin yasal biçimde hacklenmesine dair hukuki altyapılar da dünyada mevcuttur.

Hafifinden ağırına tüm bu yöntemlerdeki temel hukuki amaç, hukuka aykırılıklara/suçlara yönelik delillerin elde edilebilmesi ve suçta kullanılan cihazlar ile bunları kullanan faillere ulaşabilmesi yani adli bilişim süreçlerinin başarıya ulaşabilmesi, mağduriyetlerin giderilerek adaletin tecellisidir. (Şahsi kanaatim, hacking faaliyetlerinin orantısız birer delil elde etme aracı olduğudur.)

Av. Alp Öztekin