Berk Üstündağ Yazio: Kanun WhatsApp ya da Telegram Kullananlara 100.000TL İdari Para Cezası mı Öngörüyor?

Öncelikle belirtelim bu yazıdaki yorum ve çıkarımlar yalnızca WhatsApp ve Telegram için değil, tüm uçtan uca kriptolu iletişim hizmeti veren sosyal medya ve Skype gibi iletişim uygulamaları için geçerlidir. 5809 sayılı “Elektronik Haberleşme Kanunu” 2008 yılında ilk yürürlüğe girdiğinde henüz WhatsApp yoktu. Cep telefonlarından alınan telsiz vergisinin dayanağı olan 5809 sayılı yasadaki tanımlara göre cep telefonu telsiz cihazı olarak anılmaktadır. Aynı yasaya göre telsiz ile kriptolu veri ya da ses haberleşmesi yapılması Milli İstihbarat Teşkilatı, Dışişleri Bakanlığı gibi kamu kurumları ve kurum tarafından özel izin verilen taraflarca yapılabilir. Özel izni olmadığı halde kriptolu telsiz iletişimi ile veri aktaranlar “beş yüz günden bin güne kadar adli para cezası ile cezalandırılır” hükmü yer almaktadır. TCK 52-(2)’ye göre kişinin gelir seviyesine göre bu ceza bedeli 100TL/güne kadar çıkabilmektedir. Yasanın yorum şeklinde farklılıklar olabilir.

Bunlardan birine göre, örneğin WhatsApp kullanan bir kişi ihbar edilirse 20.000TL’den başlayan ve 100.000TL’ye varabilecek idari para cezasına çarptırılabilir; bu cezayı ödemez ise hapis cezası alabilir. Aslında tüm bunlar teknolojinin hızlı gelişiminin hukukta hayatın olağan akışı olarak kabul edilen olguları da çok hızlı değiştirmesinden kaynaklanmaktadır. Yasalarda “istendiğinde uygulanabilecek” şekilde yoruma açık hale gelen hükümleri gerçek bir sorun ortaya çıkmadan düzenlemekte fayda var. Aksi halde Yargıtay 2012 yılında onadığı için bir süre kafaları meşgul eden “baz istasyonları şehir dışına çıkarılsın” gibi uygulanması mümkün olmayan kararlar da çıkabilmektedir.

5809 sayılı kanun uyarınca her yılın başında ilgili operatör tarafından aboneleri adına Bilgi Teknolojileri ve İletişim Kurul kararı ile belirlenen “Telsiz Kullanım Ücreti” toplu olarak devlete ödenmektedir.

5809 sayılı kanun uyarınca her yılın başında ilgili operatör tarafından aboneleri adına Bilgi Teknolojileri ve İletişim Kurul kararı ile belirlenen “Telsiz Kullanım Ücreti” toplu olarak devlete ödenmektedir. Aynı kanuna göre “Telsiz: Aralarında herhangi bir fiziki bağlantı olmaksızın elektromanyetik dalgalar yoluyla açık, kodlu veya kriptolu ses ve veri vermeye, almaya veya yalnızca vermeye veya almaya yarayan sistemler” olarak tanımlanmıştır. Bu teknik olarak doğrudur ve buna göre GSM de bir telsiz sistemidir. Nitekim vergilendirme tablosunda cep telefonları için bedel olarak ayrı bir değer bulunsa da tablonun ortak başlığı “Telsiz Ücretleri”dir. Bu da kanunun açıkça cep telefonunu (GSM) telsiz olarak kabul ettiğini göstermektedir.

GSM sistemi de kriptolu haberleşen bir sistemdir. Ama lisans durumu ve kripto statüsü WhatsApp ya da Telegram’dan farklıdır. Örneğin GSM’de kullanılan A5.1 algoritmasının amacı, operatörün dinlememesi ya da içeriği görmemesi değil, operatörden izni olmayanların (interceptor) kişisel iletişimi dinlemesinin engellenmesidir. Diğer bir deyişle kamu otoritesi yasal gerekçelerle GSM iletişimini dinleyebilir (Teknik olarak başkası dinleyemez mi gibi derin bir mevzuya konuyu dağıtmamak bakımından bu yazıda girmiyoruz). Bunun koşulları dikkate alınarak GSM sistem işletme lisansı verilmekte ve ilgili yasa ve yönetmelikler de bu süreci düzenlemektedir.

Ancak sosyal medya veya bunlar dışında da iletişim uygulamaları cep telefonuna yüklendiğinde, yapılan iletişim uçtan uca kriptolanabilmektedir.

Bunun anlamı, kullanılan kriptolama yöntemine bağlı olarak operatör aracılığı ile görüşme içeriklerinin dinlenmesi ya da iletişimin izlenmesi olanağının ortadan kalkabilmesidir. Kriptolu bir telsiz cihazı almak ile, bir cihazı alıp yazılım yükleyerek kriptolu hale getirmek arasında fazla bir fark yoktur.

FaceTime uygulaması Apple cihazlarında yüklü olarak gelmektedir. Bu durumda Apple ithalatçısı firma yasal düzenlemede belirtildiği gibi kriptolu cihaz statüsünde algoritmayı BTK’ya teslim etmiş midir? Ya da BTK’nın yönetmeliğinde yazdığı gibi kullanıcıların kripto anahtarlarını sürekli BTK’nın sistemine göndermekte midir?

WhatsApp ile ses görüşmesi yurtdışı ile tasarruflu olduğu için yapılıyor olabilir. Peki WhatsApp ile görüşmede ses kalitesi GSM’den daha mı iyi? Bazı zamanlarda görüşmeyi tamamlayamadan kesinti olduğu bile söylenebilir. Pek çok iş adamı, bürokrat, gazeteci hatta ev hanımı bile ses kalitesi daha iyi değilse neden WhatsApp, Telegram ya da Wire gibi uygulamalar üzerinden sesli görüşmektedir? 😊

Bu arada kendi kanaatim olarak, gizlilik bir yana, bir istisna olarak FaceTime uygulaması pek çok zaman normal GSM ses iletişiminden de iyi ses kalitesi ve sürekliliği sağlayabilmekte; tek sorunu şimdilik yalnızca Iphone kullanıcıları arasında hizmet vermesi.

Cumhurbaşkanımız’ın 15 Temmuz 2016 kalkışması sırasındaki ünlü “FaceTime” görüşmesi de uçtan uca kriptoludur.

Bu konuşmanın aktarılabilmiş olmasının kalkışmanın durdurulmasında önemli bir katkısı olduğu dikkate alınırsa bir kamu menfaati söz konusudur. Ancak yine de izleten spiker açısından kripto anahtarını önceden BTK ile paylaşmadığı için ilgili yasa ve yönetmeliğe göre cezalandırılması gerekebileceği gibi tuhaf bir durum da ortaya çıkabilmektedir. TİB (Telekomünikasyon İzleme Başkanlığı) o tarihte kalkışmacı tarafların kontrolünde olmasına rağmen bu iletişimi engelleyememişlerdir.

Başkan Erdoğan 2 Ağustos 2016’da “TİB'i kapatacağız. Çünkü bütün pisliklerin olduğu yerlerden biri de orası. Orayı kapatıp çalışanların hepsiyle ilgili hazırlıklarımızı da yaptık, gereği neyse yapacağız. TİB, BTK'ya kapatılmak suretiyle devredilecek. BTK gereken adımları kendisi atacak.” dedi ve nitekim TİB kapatıldı. Başkanın bu açıklaması iletişimin yetkisiz izlenmesi konusundaki muhtemel kullanıcı endişelerini de haklı hale getirir mi?

29 Temmuz 2020 tarihli ve 7253 sayılı İnternet ortamından yapılan yayınları düzenleyen kanun kripto ve şifre konularında sosyal ağ sağlayıcılarına bir kısıt getirmemiştir. BTK 5809 sayılı elektronik haberleşme yasasındaki kriptolu haberleşme konusunda yönetmelik yayınlamıştır. Bu yönetmelikte kısaca “Üreticiler tarafından elektronik haberleşme cihaz ve sistemlerine ait kod veya kripto algoritması ve anahtarları kurum tarafından muhafaza edilir.” ifadesi yer almakta.

Günümüzde iletişim cihazları radyo frekanslı işaret işleme seviyesine kadar yazılımla çalışabilmektedir (Software Defined Radio). Esas amaç kriptolu haberleşmeyi düzenlemek ise, bunun cihazın hangi yazılım katmanında uygulandığı hukuki durumunu değiştirmemelidir. Yasa ve yönetmelikler teknik uygulama ayrıntılarından önce temel hedefi belirlemelidir. Muhtemelen “yasal zemin ve izin varsa devlet kişisel iletişimi dinleyebilecek ya da teknik takip yapılabilecek ve iletişimin bu amaçla izlenebileceği şekilde sistemlere izin verilir” gibi daha temel amaçlar ifade edilmediği ya da edilemediği için yoruma açık hukuki sorunlar çıkmaktadır.

WhatsApp, Facetime, Skype (Private Session), Telegram, Signal gibi iletişim veya sosyal medya uygulamaları açık ve özel anahtar adı verilen iki tane kripto anahtarı üretir.

Örneğin Skype’ta ayarlardan özel oturum açmaz iseniz içeriklerinize Microsoft ulaşabilir. WhatsApp’ta kripto anahtarı uygulamanın olduğu telefonda saklanır. Anahtarlardan biri ortak anahtar (public key) diğeri ise özel anahtar (private key) olarak kriptolama sisteminde uçtan uca iletişimin vericide şifrelenmesi ve alıcı cihazda açılmasını sağlar. Aradaki sunucuda şifreleyen anahtar olmadığı için sunucu içeriği çözemez; yalnızca iletişimin hangi cihazlar arasında olduğunu yönetir. İçerik karşı tarafa ulaşıncaya kadar sunucuda kriptolu olarak kalabilir. Günümüzde I-Phone’larla gelen Facetime uygulaması da dahil kriptolu iletişim uygulamalarının çoğu bu özelliğe sahiptir.

Kriptolu haberleşme konusunda yasal düzenleme ve ceza hükmünü okuyan herkes günümüzdeki hayatın olağan akış durumu ile karşılaştırdığında şaşırtıcı bulabilir. Teknolojinin hızının hukuku da biraz esnek olmaya zorladığı bir dönemden geçiyor olabiliriz. Yasa ya da yönetmelik maddeleri ve ifadeler bulup aslında bunun internet sosyal medya veya iletişim uygulamaları için geçerli olmadığını savunan kişiler de çıkabilir. Bir kişi savcıya şikayette bulunur ve bir dava sonucu oluşursa durum belirgin hale gelir.

Zaten çok basit bir mantık yürütülürse, eğer kriptolu haberleşme cep telefonu uygulamaları üzerinden bile serbest olacak ise 5809 sayılı yasanın 39.maddesi ile MİT müsteşarlığı, TSK gibi kurumların dışında izinsiz yapılamaz hükmüne ne gerek olurdu. Zira günümüzde kırsalda bir telsiz konuşması bile o an şebeke dışı olan bir cep telefonu uygulaması yardımıyla steganografik yöntemle kriptolu veri aktarımında kullanılabilir. Bu durumda telsizde Türk Halk Müziği iletilse bile altından kriptolu olarak bir metin aktarıldığını kimse takip edemez. Kriptolu iletişimin kamu güvenliği bakımından kontrol edilebilmesinin bir yolu olarak 5809 sayılı yasa ile ilgili yönetmelik de düzenlenmiştir.

5809 sayılı yasada MADDE 39 – (1) şu şekildedir: “Telsiz haberleşme sistemleri üzerinden kriptolu haberleşme yapmaya Türk Silahlı Kuvvetleri, Jandarma Genel Komutanlığı ve Sahil Güvenlik Komutanlığı, Milli İstihbarat Teşkilatı, Emniyet Genel Müdürlüğü ve Dışişleri Bakanlığı yetkilidir. Ayrıca yukarıda belirtilen kurumlara ait olanlar dışında kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin elektronik haberleşme hizmeti içinde kodlu veya kriptolu haberleşme yapma usul ve esasları Kurum tarafından belirlenir.”

Kriptolu haberleşme konusunda cezai hükmü belirleyen Madde 63-(6) izinsiz veya yetkisiz kriptolu haberleşme yapılmasını kesin bir ifade ile cezai hükme bağlamıştır: “Bu Kanunun 39 uncu maddesine aykırı olarak kodlu ve kriptolu haberleşme yapan ve yaptıranlar beş yüz günden bin güne kadar adli para cezası ile cezalandırılır.”

Bazı uzmanlar GSM’in zaten kriptolu olduğu ve bu şekilde lisans verildiği dolayısı ile uygulamanın bunu etkilemeyeceği şeklinde bir yorum ile kolay bir çıkış arayabilir. Ama gerçek durumda mevcut yasa ve bunun konulma nedeni bu tür bir açıklama ile çelişir.

23.10.2010 tarihli ve 27738 sayılı Resmî Gazete’de kriptolu haberleşme yönetmeliği çıkartılmıştır ve şu şekilde bir istisna içermektedir:

“MADDE 2 – (2) Kurum düzenlemelerinde belirlenen ve işletilmesi için frekans tahsisine ihtiyaç duyulmayan özel amaçlar için tahsis edilmiş frekans bantlarında ve çıkış gücünde çalışan Kurumca onaylı telsiz cihaz ve sistemleri bu Yönetmelik kapsamı dışındadır.” Özel amaçlar için tahsis edilmiş frekans bandı ISM gibi sınırlı güçle otomasyon gibi uygulamalar için belirli alanlar içindeki kullanımdır. Burada GSM sistemi niteleniyor olamaz çünkü GSM sisteminde lisans karşılığında frekans tahsisi yapılmıştır.

Aynı yönetmeliğin 6. Maddesi kriptolu haberleşme cihazının anahtarının kurumla paylaşılmasını gerektirmektedir. Buradaki kurum BTK’dır. Kripto anahtarını BTK ile paylaşmadan tahsisli frekanslarda kablosuz (telsiz) iletişim yapılması durumunda iletişime kapatma ve suç duyurusunda bulunma hükmün açıkça ifade edilmiştir:

“MADDE 6- (3) Kamu kurum veya kuruluşları ile gerçek ve tüzel kişilerin yurtdışından yolcu beraberinde veya kesin dönüşte getirilen veya bireysel olarak ithal edilen veya posta ile gelen kodlu veya kriptolu haberleşme cihaz/sistemlerine, bu cihaz/sistemlere ait kod veya kripto anahtarlarının Kuruma teslim edilmesi halinde, kullanma ve kurma izni verilebilir. Kurumdan izin alınmadan yapıldığı tespit edilen kodlu veya kriptolu haberleşmeler iletişime kapatılır ve ilgililer hakkında suç duyurusunda bulunulur.”

Aycell, Turkcell ve Telsim’e GSM lisansları verildiğinde mobil uygulama kavramı Dünya’da henüz bilinmemekteydi, AppStore ya da Android Market yoktu. Bu cihazlara uygulama katmanı geldiğinde niteliklerin değişeceği 5809 sayılı yasanın ifadelerinde niyete göre cezai uygulamaya dönüşebilecek bir hukuki zemin oluşturduğu görülüyor. Bu konuda farklı yorumlar olabilecekse de şimdilik BTK’nın önceliğinde ilgili devlet birimlerinin hoşgörülü davrandığını da söyleyebiliriz. Ancak bu açıklamalar dikkate alındığında eğer bir savcı ihbar kabul edip soruşturma açarsa, delinin kuyuya taş atması gibi bir durum oluşabilecektir.

15 Temmuz kalkışması 2016 yılında değil 2006 yılında olsa başkanın TV kanalıyla iletişimi kesilebilecekti. 2016 yılında bir cep telefonu uygulamasının izlenememesi sayesinde gerçekleşen bu görüşme kalkışmanın seyrinin değişmesinde etkili oldu.

Yaşam öğelerimizin hızla elektronik ortama taşındığı bir dönemdeyiz. Maddi varlıklar da elektronik ortama taşınmasından öte sanallaşmakta. Bu durum kişilerin kendi veri iletişiminin güvenliğini yükseltme ihtiyacını da ortaya koyan nedenlerden biridir. Zira banka şifrelerimiz, T.C. kimlik numaralarımız dahil pek çok verimiz örneğin çağrı merkezi işlemlerinde ton kodu olarak aktarılıyor ve dinlenebiliyor. Bu tür örnekler çok sayıda verilebilir. Bankada para yoksa sorun yok diyenler de olabilir 😊.

Kişinin bakış açısına göre değişmekle birlikte kimse özel hayatına ilişkin bazı konuşmalardan alıntılarla farklı türden baskı ya da şantaja uğramak istemez. Yapa zekanın hızla geliştiği bir dönemde konuşma ve diğer iletişim içeriklerinden otomatik bir sicil çıkartılması hoşa gitmez. Bunlar ilk bakışta iletişim gibi gözükse de kişisel hak ve özgürlüklerle ilgilidir.

Teknik olarak bazı telefon işletim sistemlerine diğerlerine göre daha kolay truva atı (Spyware) aktarılabiliyor olması devletin bir sorumluluk alanı değil, vatandaşın seçimidir. Ancak genel iletişimin doğrudan ses kanallarından kriptolu veri iletişimine dönüşüyor olmasında devlet tarafından “yasal gereklere bağlı” izlenebilirlik seviyesinin iyi irdelenmesi de gerekir.

İletişimin gizlilik sınırında toplumsal mutabakat gerektiren bir ikilem (dilemma) bulunmaktadır. Bu bir taraftan kamera ile izlenmekten rahatız olup, diğer yandan bir hırsızlığa uğradığımızda kamera görüntüleri sayesinde hırsızın bulunabilmesine sevinmemiz gibidir. Siber güvenlik sorunlarına dayalı zarar görebilirliğin giderek arttığı bir dönemdeyiz.

Bilgisayarı kilitlenip şantaj ile Bitcoin istenildiği korsanlık olaylar ülkemizde de kişi ve kurumlara hasar vermekte. İletişimin izlenebilirliğinde, yasal otorite tarafında da genel bir kısıtlamaya gidilmesinin terör de dahil olmak üzere ihtiyaç duyduğumuzda güvenlik birimlerinden alabileceğimiz performansı da etkileyebileceğini dikkate almak gerekir. İletişim sistemlerinde de yapay zeka ile elde edilen yetenekler hızla gelişmektedir. Kayıt olmadan insansız tespitlerin kayıtlı sistemlere otomatik geçiş ve ihbar oluşturabilmesi koşulları bundan sonra yapılacak yasa ve yönetmeliklerin kapsamı içinde değerlendirilmelidir.

Sonuç olarak yeni anayasanın konuşulduğu bu dönemde kişisel iletişimin gizliliğinin sınırları konusunda da toplumsal bir mutabakat oluşturulmasında fayda olabilir. Aksi halde teknoloji değiştikçe yönetmelikleri çıkartanlar ve uygulayanlar açısından da yetki ve sorumluluk belirlemede zorluklar artarak devam eder.