Kasım ayının ikinci yarısında, bilişim, iletişim ve yüksek teknolojiyle ilgili suçların uluslararası tanımı, izlenmesi ve düzenlenmesi ile ilgili iki önemli gelişme yaşandı: Avrupa Konseyi Siber Suç Sözleşmesi’nin imzalanması ve ABD Anti-Terör Yasası’nın daha düşük bir algı düzeyinde olup biten ve yavaş yavaş açığa çıkan uluslararası “komplikasyonları”…
Avrupa Konseyi Siber Suç Sözleşmesi
Avrupa Konseyi Siber Suç Sözleşmesi, 23 Kasım’da Budapeşte’de, 26’sı üye ve 4’ü üye olmayan (ABD, Japonya, Kanada ve Güney Afrika) 30 ülke tarafından imzalanmış bulunuyor. Bundan sonraki aşama, Sözleşme’nin ilke konumuna gelen yaklaşımını imzacı ülkelerin kendi iç hukuklarına uyarlamaları. Bu aşamanın 30 Haziran 2003 tarihine dek tamamlanması öngörülüyor. Sözleşme, “Convention on Cybercrime – Budapest, 23.XI.2001” genel ilkeler ve tavırlar konumlayan yapısıyla, Siber Suçlar hakkındaki ilk uluslararası belge.
Toplumu Siber Suça Karşı Korumayı Hedefleyen Ortak Bir Suç Politikası
Avrupa Konseyi’nin konuyla ilgili basın duyurusunda da (“30 states sign the Convention on Cybercrime at the opening ceremony”) belirtildiği gibi, sözleşme, “uygun düzenlemeler geliştirmek ve uluslararası işbirliğini pekiştirmek yoluyla, toplumu siber suça karşı korumayı hedefleyen ortak bir suç politikası” geliştirmek amacını taşıyor. Bu amacın kapsamı ve etkisi ise, ancak ulusal uygulamaların hangi düzeyde buluştuğu ya da yorumlandığına göre değişecek.
Yaklaşık iki yıldır süren komisyon, alt-komisyon çalışmaları ve bir çok taslak metinden sonra, önemli değişikliklere uğrayarak imzalanan sözleşme metni, “siber suç”un tanımı ve sınıflandırılması da dahil, kullanıcıdan sektöre, kamudan sivil topluma çok sayıda kesimi yakından ilgilendiren bir çok konuda düzenleme ilkeleri konumluyor. Son haline gelme sürecinde, bilişim ve iletişim sektörü ve kullanıcılardan kuruluşlara kadar bir çok kesimi temsilen çeşitli sivil toplum kuruluşları sözleşmenin yaklaşımlarını sorguladılar, çözümlediler ve alternatifler önerdiler.
Örneğin “İnternet Servis Sağlayıcıları”nın (ISS), bir taraftan kişisel veri koruması ve mahremiyet, öte yandan siber suçun izlenmesi ve kovuşturulması konularını ilgilendiren sorumluluk ve hakları, zaman içinde İSS’ler lehine geliştirildi, onlara çok ağır mali yükler getiren, “kullanıcı bilgilerini bir süre kaydetme zorunluluğu” yumuşatıldı.
İnternetin Ulusötesi Doğası Gereği Bizleri de Etkileyecek
Maalesef ülkemizin yeterince temsil edilmediği bu süreç boyunca, internet ve bilişim sektörüyle ilgili, kullanıcı, üretici, herkesi etkileyecek konularda görüş üretildi. Her ne kadar ülke olarak henüz imzalamamış olsak da, bu sözleşmenin, internetin ulusötesi doğası gereği bizleri de etkileyecek, içerik ve kapsamı konusunda hazırlıklı olmamız yerinde olacaktır.
Geç de olsa bu konuları kamuoyu önünde tartışmak, özellikle bağlantılı sektörlerin fikir ve çözüm üreten beyinlerinin yakın geleceğimizi tartışması bir zorunluluk olarak beliriyor. Kullanıcıları ya da sektörü temsil eden sivil toplum kuruluşlarının, bir parçası olduğumuz uluslararası platformu ilgilendiren konularda görüş üretmesi ise tartışılmaz bir gereklilik halini aldı.
Sözleşmenin en önemli boyutlarından biri de, hala tartışılmayı gerektiren çok sayıda ilkesel yaklaşımın yanı sıra, bir çok teknoloji üreticisi ülkenin paylaşımı dolayısıyla kazandığı uluslararası meşruiyet zemini.
ABD Anti-Terör Yasası
Henüz uluslararası düzlemde “meşru” olmasa da “güçlü” bir kanalda beliren ve bu düzlemin tümünü bir biçimde belirlemek eğilimi taşıyan bir başka düzenleme de, 11 Eylül terörist saldırıları sonrası ABD federal hükümetinin geliştirdiği yasama çerçevesinin doruğu olan “Anti-Terör Yasası”(USA-PATRIOT ACT) dır.
26 Ekim 2001 tarihinde Başkan Bush tarafından imzalanarak yürürlüğe giren yeni ABD anti-terör yasasının, özellikle ABD yurttaşlarının temel hak ve özgürlüklerine getirdiği kısıtlamalar nedeniyle sorgulandığı çok sayıda çalışma yapıldı. Amerikan Sivil Özgürlükler Birliği (ACLU), Elektronik Sınırlar Vakfı (EFF), Demokrasi ve Teknoloji Merkezi (CDT) ve başka bir çok sivil toplum kuruluşu yasa hakkında kapsamlı çözümlemeler ve eleştiriler ürettiler.
Ancak, “USA-PATRİOT – Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism” gibi “yurtseverce” bir isim verilmiş bu yasanın ABD’de yaşamayan bizler için de etkileri olabilecek, doğrudan uluslararası hukuku ilgilendiren bir başka boyutu da, terör ve savaşın tozu dumanı arasından yavaş yavaş belirmeye başladı.
Söz konusu olan, yasanın iletişimin izlenmesi, ele geçirilmesi ve siber suçların kovuşturulmasıyla ilgili hükümlerinin içerdiği karmaşık bir boyut. Bir dönem (1984-91) ABD Adalet Bakanlığı’nın Bilgisayar Suçları Bölümünün başkanlığını yapmış olan Mark D. Rasch tarafından yazılmış bir makale, bu konu hakkında aydınlatıcı detaylar sunuyor. (US assumes global cyber-police authority)
Computer Fraud and Abuse Act”ın Siber Suç Yaklaşımı
Söz konusu hükümler 1984’ten beri yürürlükte olan “Computer Fraud and Abuse Act”ın siber suç yaklaşımını, uluslararası hukuku ve ulusların hukuk egemenliğini çiğneme pahasına genişletiyor. 1994 ve 1996 yıllarında yapılan çeşitli kapsam genişletmeleriyle, bugüne dek ABD makamlarının uluslararası boyutta bir siber sucu izlemesi ve kovuşturma yapabilmesi için, yasayla “korunmalı bilgisayar” olarak tanımlanan ve ABD sınırları içinde bulunan (hükümete ait ya da önemli ticari etkinliğin yapıldığı) bir bilgisayar ya da network’e saldırıda bulunulması ve zarar verilmesi gerekiyordu. “I Love You” virüsü ya da “love” solucanı gibi olaylar, bu yüzden FBI tarafından Singapur’da ya da Filipinler’de kovuşturulabilmişti.
Oysa şimdi bu tanım genişletilerek, “saldırı”nın, ABD’de bulunan network sistemlerinden “geçmesi” yeterli kılınıyor. Bu şu anlama geliyor: Ankara’da yasayan bir hacker, İstanbul’da bulunan bir bilgisayarı ya da sistemi çökerttiğinde ya da her hangi bir “şüpheli eylem”de bulunduğunda (sınırları son derece geniş bir tanım), eğer bu eylem, ABD’de bulunan networklerden herhangi biri üzerinden data paketi olarak geçmişse, FBI işe karışabiliyor. Nedeni ise basit: dünya internet trafiğinin %70’i ABD networkleri üzerinden geçiyor! Yasanın bu boyutu yakın bir zamanda geniş bir kamuoyunda yankılanacak. Gürültü kopması beklenebilir.
ABD Dünyanın Siber Polisi Olmaya Soyunuyor
Çünkü öncelikle ulusal hukuk sistemlerinin hükümranlığı tehlikeye giriyor, sonra da uluslararası hukukun tüm geçerli ilkeleri. Rasch’ın da dediği gibi, ABD dünyanın siber polisi olmaya soyunuyor. Oysa her ulusun kendi yurttaşlarını koruma, savunma ve kovuşturma hakki vardır ve şimdilik bunu tartışmaya açmak mümkün görünmemektedir. ABD Federal Hükümeti’nin bu “tek yanlı” tavrını, siber suçun uluslararası niteliğinin gerekli kıldığı bir “uluslararası işbirliği” olarak açıklamaya pek imkan yok. ABD bir kalemde, dünyanın tümünü kendi iç hukukunun ve özel kovuşturma yetkisinin alanına dahil etmeye çalışmaktadır.
Bu noktada, haklı bir soru gündeme geliyor: ABD federal organları, bu iddialı yasa gereği suç sayılan, ancak faili ve mağduru ABD sınırları dışında bulunan bir “suç”u nasıl kovuşturacak? Yasa çok yeni olduğundan, kovuşturma yöntem ve işlemleri hakkında, ancak daha önce benzeri konularda yaşanan FBI-Interpol ya da FBI-belirli ülke organları tarzında gelişen işbirliklerinden ve ABD Adalet Bakanlığı’nın yeni yasayla ilgili olarak otoritelere yönelik hazırladığı kılavuzdan hareketle tahminlerde bulunabiliriz.
Sri Lanka polisi, FBI ve Interpol aracılığıyla Ekim 2001’de kovuşturulan Kredi Kartı Komplosu veya Filipin polisi, FBI ve Interpol tarafından Manila’da kovuşturulan “aşk solucanı /love bug” vakası gibi FBI’ın uluslararası etki ve tasarrufunu gösteren bir çok vaka mevcut. Bunların hemen hepsinde FBI kendi federal hukukuna göre suç sayılan bir eylem için “işbirliği” istemişti. Interpol işbirliği ise, ABD’nin Interpol’deki varlığının boyutları nedeniyle çok güçlük çıkartmıyor. Tıpkı Nato’nun ABD sınırları içindeki bir saldırıyı, ortak savaş ilanı için yeterli sayması gibi, siber suç alanında da ABD federal hukukunun uygulanması öncelik taşıyor.
“Güvenlik” ile “mahremiyet” Arasındaki İnce Dengeyi Alaşağı Eden Düzenlemelerin Fazlasıyla Etkisi Altında
Avrupa Konseyi’nin ABD’nin de Japonya ve Kanada ile birlikte imzaladığı Siber Suç Sözleşmesi’nin uluslararası bir belge olarak ABD hukuk egemenliğini engelleyeceğini düşünmek, ne yazık ki pek olası görünmüyor. Çünkü bu sözleşmeyle ilgili olarak, özellikle ifade özgürlüğü alanından dile getirilen bir çok eleştiri, metnin, FBI’ın işbirliğinden öte bir katılımı olan “Enfopol” (Avrupa Birliği Siber Polisi) projesi için geliştirilen ve “güvenlik” ile “mahremiyet” arasındaki ince dengeyi alaşağı eden düzenlemelerin fazlasıyla etkisi altında kaldığı yolundadır.
Dolayısıyla, yeni ABD anti-terör yasasının suç saydığı eylemlerin uluslararası düzeyde kovuşturulabilmesi, çoğunlukla yine günümüzde olduğu gibi, FBI-interpol-yerel polis çizgisinde gelişecektir (Avrupa Birliği’nde bir süre sonra bu çizgi, FBI-Interpol-Enfopol biçiminde geniş bir kanala dönüşecektir). Ayrıca, “High Technology Crime Investigation Association” (HTCIA – http://htcia.org/) gibi, uluslararası düzeyde faaliyet gösteren ve çoğu ABD’nin en azından etkisi altında bulunan kamu, yarı kamu ya da “hükümet-sektör-stk” kuruluşu mevcuttur. Bu görünür-ama-karmaşık network’e, hiçbir zaman resmi olarak kabul edilmeyen “echelon” vb. casusluk network’lerini de eklerseniz, “kovuşturma”nın nerelere dek gidebileceği tahmin edilebilir. Yasanın kovuşturmayla ilgili yönleri zamanla birlikte daha açık bir biçimde ortaya çıkacaktır.
Yasanın, yukarıda konu edilen yönlerinin yanı sıra, sivil temel hak özgürlükleri, iş dünyasının ekonomik özgürlüklerini ve bırakın interneti “dünya kullanıcılarının” tümünün hak ve özgürlüklerini ilgilendiren bir çok boyutu kuşkusuz var. Elektronik Sınırlar Vakfı’nın bu konuda aydınlatıcı bir özeti mevcut.
Özellikle kişisel ya da kurumsal mahremiyet, kişisel verilerin korunması, sansür, baskı, izleme (ve kimbilir hangi “demokratik” otoriteyle paylaşma), “terör” tanımı vb. bir çok konuda bu yasa veya yolundan gidecek benzerleri önemli bir kaygı kaynağı olarak karşımızda duruyor. Sorulması gereken asıl soru, uluslararası hukukun, demokrasinin ve insan haklarının temel ilkelerini, belirli bir tarzda yorumlanmış “olağanüstü koşulların” kuşkulu meşruiyetine kurban verip veremeyeceğimiz sorusudur.
Türkiye Sınırları İçinde Olup Biten Bir Olayın Siber Suç Olarak Tanımlanıp FBI’ın İnsafına Terk Edilmesi
ABD’de yürürlüğe girmiş bir yasa gereği, data paketlerinin herhangi bir zarar vermeden geçtiği “küresel” network’ler hariç, tümüyle Türkiye sınırları içinde olup biten bir olayın siber suç olarak tanımlanıp FBI’ın insafına terk edilmesi, ulusal hükümranlık anlayışımızı, (ne yazık ki) içinde bulunduğumuz “koşullarda”, ne kadar zedeleyecektir? Bu ülkenin hukukçularının, bilişim-iletişim çalışanlarının, aydınlarının ve tüm bireylerinin ayrıca sorması gereken soru ise budur.
“Her ülke, kendi yurttaşlarını, mülkiyetini ve çıkarlarını korumak hakkına sahiptir. Hiçbir ülke, kendi iradesini, kendi değerlerini, kendi kural ya da yasalarını, ülke sınırları içinde geçerli olsalar bile, sınır dışında geçerli olacak bir biçimde empoze etme hakkına sahip değildir. Yeni yasa, ABD Hükümetine tam da bunu yapma hakkını veriyor, çılgınca ve meşrulaştırılamaz bir biçimde…” (Mark Rasch)