Büyük Sızıntı; Büyük Verinin ÇKP’nin Tutkularının Merkezinde Olduğunu Gösteriyor, Ancak Çin Vatandaşlarını Korumuyor
Bir milyar insanın kişisel bilgilerini içeren Şanghay Polis Veri Tabanının sızdırılması, Çin Komünist Partisi’nin (ÇKP), vatandaşların mahremiyetine karşı pervasız tutumunu bir kez daha vurguladı.
ÇKP, son yıllarda sık sık veri güvenliği ile ilgili yasalar çıkardı, ancak Çin vatandaşlarının kişisel bilgilerini korumaya odaklanmak yerine, bunları Çinli şirketleri bastırmak ve uluslararası emellerini ilerletmek için bir araç olarak kullandı.
Temmuz ayının başlarında, ‘ChinaDan’ adı altında anonim bir bilgisayar korsanı veya grubu, popüler bir bilgisayar korsanı topluluğu olan Breach Forums’ta 1 milyar Çinli vatandaşın kişisel bilgilerini içeren bir veritabanını satışa çıkardı. Veritabanı Şanghay polisinden geliyor.
Şanghay polisi parayı teslim etmedi. Bir ay sonra, bilgisayar korsanı veritabanını 200.000 dolara satılık olarak listeledi. Bilgisayar korsanı veya grup ayrıca, üç ayrı varlıkta 250.000 Çinli sakinin kayıtlarını içerdiğini iddia ettikleri 23 terabayttan fazla veritabanının bir örneğini yayınladı.
İlk veri seti, ad, yaş, cinsiyet, doğum yılı, doğum yeri ve kimlik kartı numarası dahil olmak üzere “kişisel bilgiler” idi. Hatta bazıları, “Kamu Güvenliği Bakanlığı’nın kilit üyeleri”, “orduda görev yapmamış” ve “ilkokul eğitim seviyesi” gibi ayrıntılı atamalarla etiketlendi.
İkinci set, isimler, adresler ve cep telefonu numaraları içeren “adres ve cep telefonu kombine verileri” idi.
Üçüncü veri seti, suçu bildiren kişinin adı ve telefon numarası, raporun ne zaman ve neden dosyalandığı ve nasıl ele alındığı gibi bilgilerle birlikte, polise bildirilmiş gibi görünen vaka kayıtlarını içeriyordu.
Epoch Times, belgedeki bilgileri kullanarak bir düzineden fazla telefon görüşmesi yaptı. Başarılı olan dört çağrıdan üçü, dosyalardaki bilgilerin gerçekliğini doğrularken, dördüncü kişi isimlerini onaylaması istendiğinde inkar etmedi.
ÇKP Tarafından Vatandaş Verilerinin Sızdırılması
Bu, ÇKP’nin hassas verileri kaybettiği ilk sefer değil.
21 Temmuz 2020’de, Şanghay’daki tüm ÇKP üyelerinin bir listesi, 1,95 milyon parti üyesinin adlarını, telefon numaralarını, illerini, mevcut işverenlerini, parti şubelerini, etnik gruplarını ve eğitim seviyelerini içeren bir liste çevrimiçi olarak yayınlandı. Liste, Çinli muhalifler tarafından Şanghay’daki bir sunucudan elde edildi ve Çin Parlamentolar Arası İttifak’a teslim edildi.
Yetkililerle yakın bağları olan şirketlerden de sızıntılar oldu.
2019 yılında, Hollandalı bir güvenlik araştırmacısı olan Victor Gevers, Twitter’da, Çinli bir yüz tanıma şirketi olan SenseNet’in, kişisel kimlik kartı bilgileri, yüz tanıma görüntüleri ve nerede yakalandıkları da dahil olmak üzere 2,56 milyon kişiyi ve 6,8 milyon kaydı içeren bir veri ihlali yaşadığını açıkladı. SenseNet gerçek zamanlı yüz tanıma, herkesin bu kayıtları görüntülemesine ve bireyleri izlemesine olanak tanır.
SenseNet’in ortakları arasında Lianyungang Belediye Kamu Güvenliği Bürosu, Guangdong Eyaleti Kamu Güvenliği Bürosu, Wuhan şehrinde Hanyang Kamu Güvenliği Bürosu ve Guizhou Eyaletindeki Kamu Güvenliği Bürosu yer alıyor. Şirket, yüz tanıma teknolojisinin yerel polisin analiz yapmasına, uyarı vermesine ve kamu düzenini sağlamasına yardımcı olabileceğini vurguluyor.
Gevers’in analizine göre, ÇKP, Sincan Eyaletindeki yaklaşık 2,6 milyon sakinin hareketlerini yakından izlemek için SenseNet’in yüz tanıma ve büyük veri analizi teknolojisini kullanıyor.
ÇKP’nin Veri Güvenliği ile İlgili Yeni Yasaları
Son birkaç yılda ÇKP, Siber Güvenlik Yasası, Veri Güvenliği Yasası ve Kişisel Bilgilerin Korunması Yasası dahil olmak üzere veri güvenliği ile ilgili yasaları sık sık yürürlüğe koydu.
Kasım 2016’da ÇKP, siber güvenlik garanti sistemini kuracağını ve geliştireceğini ve siber güvenlik koruma kapasitesini artıracağını söylediği Siber Güvenlik Yasası’nı tanıttı.
20 Ağustos 2021’de ÇKP, kişisel bilgi işleyicilerinin iç yönetim sistemleri ve işletim prosedürleri geliştirmeleri, kişisel bilgilerin sınıflandırılmış yönetiminin uygulamaları, şifreleme, etiketlemeyi kaldırma ve işletme hakları kontrolü gibi ilgili güvenlik teknik önlemlerini almaları gerektiğini belirten Kişisel Bilgilerin Korunması Kanunu’nu tanıttı.
1 Eylül 2021’de ÇKP, veri işleme faaliyetlerinin yasa ve yönetmeliklere uyması, sosyal ahlaka saygı göstermesi, iş ve meslek etiğine uyması, dürüst ve güvenilir olması ve veri güvenliği koruma yükümlülüklerini yerine getirmesi gerektiğini belirten Veri Güvenliği Kanunu’nu faaliyete geçirdi.
Yine de bir yıldan fazla bir süredir, Nisan 2021’den Haziran 2022’ye kadar, Şanghay polisinin bir milyar kişiden oluşan veritabanı, şifresiz olarak açık kaldı ve herkesin bilgilere erişmesine izin verildi.
Şimdiye kadar, ÇKP yetkilileri konu hakkında hiçbir yorum yapmadılar ve ilgili kişilerin hiçbiriyle ilgilenmediler. Bunun yerine, konuyla ilgili raporları ve tartışmaları engellediler.
İronik olarak, Çin vatandaşlarının kişisel verileri korunmuyor, ancak Çinli şirketler denizaşırı gelişimlerinde engelleniyor.
Çinli Şirketler Üzerinde ÇKP Kontrolü
Haziran 2021’de, Çinli araç çağırma şirketi Didi’nin ABD’de halka açılmasından haftalar önce, Çinli siber güvenlik gözlemcisi, şirketin ilk halka arzını ertelemesini istediğini söyledi.
Didi, halka arzını durdurmak için açık bir emir olmadan, 30 Haziran’da planlandığı gibi halka açıldı. Birkaç gün sonra, ÇKP düzenleyicisi, Didi’nin “siber güvenlik incelemesi” yapacağını, mobil uygulama mağazalarının uygulamayı kaldırmasını gerektireceğini ve yeni kullanıcıların “ulusal veri güvenliği risklerini önlemek, ulusal güvenliği korumak ve kamu yararını korumak için” kayıt yaptırmasını yasaklayacağını söyleyen bir bildiri yayınladı.
Didi’nin hisse fiyatı bundan sonra düştü. Aralık 2021’de Didi, ABD’den ayrılma planlarını açıkladı. Didi’nin New York Menkul Kıymetler Borsası’ndaki son işlem günü olan 10 Haziran’da, hisseleri halka arz fiyatlarından yüzde 84 düştü. Üç ay sonra ÇKP, Çin’deki kuruluşların ve bireylerin Çin’de saklanan herhangi bir veriyi herhangi bir yabancı adli veya kanun uygulayıcı makama vermemesini şart koşan Veri Güvenliği Yasasını resmen uygulamaya koydu.
Ocak 2021’de, Çin Siber Uzay İdaresi (CAC), 1 milyondan fazla kullanıcının kişisel bilgilerine sahip çevrimiçi platformların operatörlerinin yabancı listelerden önce güvenlik incelemesi için rapor vermelerini gerektiren Siber Güvenlik İnceleme Önlemleri yayınladı. İlgili devlet daireleri, ‘kritik bilgi altyapısının, temel verilerin, önemli verilerin veya büyük miktarda kişisel bilgilerin, yabancı hükümetler tarafından etkilenme, kontrol edilme veya kötü niyetli olarak kullanılması riskini’ değerlendirecektir.
Verilerin Çin’den çıkması kesinlikle yasak olsa da, ÇKP yetkilileri, çok uluslu kurumsal veri tabanlarını hacklemek, yabancı üniversitelerde ve şirketlerde “yetenek planları” yürütmek ve yabancı şirketleri satın almak dahil olmak üzere çeşitli yollarla yabancı verilere erişim sağlamaya çalıştı.
29 Haziran’da ABD Federal İletişim Komisyonu’ndan Brendan Carr, TikTok’un ‘kapsamlı veri toplamasının Pekin’in bu hassas verilere görünüşte kontrolsüz erişimiyle birleştirilmesi nedeniyle kabul edilemez bir ulusal güvenlik riski oluşturduğunu’ söyledi.
Carr bir Twitter gönderisinde, “TikTok sadece başka bir video uygulaması değil, bu bir düzenbazlık” dedi. ‘Yeni raporların Pekin’de erişildiğini gösteren hassas veri yığınlarını topluyor.’
TikTok Genel Müdürü Shouzi Chew’in yakın zamanda Çin de dahil olmak üzere Amerika Birleşik Devletleri dışındaki çalışanlarının TikTok’un ABD kullanıcı verilerine erişebildiğini kabul ettiği Çinli bir şirket olan ByteDance’e aittir. TikTok’un dahili toplantısının bir kaydı Haziran ayında sızdırıldı ve Bytedance’teki çalışanların Amerikalı kullanıcıların halka açık olmayan, özel verilerine sürekli olarak eriştiğini gösterdi.
ABD ulusal güvenlik danışmanı Jake Sullivan, 2021’de Pekin’in “büyük verileri stratejik bir varlık olarak gördüğünü” söyledi. ABD’nin eski ulusal güvenlik danışmanı yardımcısı Matt Pottinger, büyük verinin Pekin’in hırslarının merkezinde olduğunu da yazdı.
Haziran 2021’de, Çin’deki bir hukuk firması olan King & Wood Mallesons’un kıdemli ortağı Ning Xuanfeng, dünyanın dört bir yanındaki ülkelerin veri kontrolü ve yargı yetkisi etrafında yeni bir “dijital mülkiyet” turu yaşadığını ve veri rekabeti alanında yüzleşme ve savunmanın giderek daha şiddetli hale geldiğini söyleyen bir makale yazdı. Veri Güvenliği Kanunu’nun gerçek amacının “veri egemenliğinin rekabet avantajını artırmak, uluslararası veri kurallarını değiştirmek ve yeniden şekillendirmek” olduğunu yazdı.
Yazan: Jenny Li, Epoch Times
Çeviri: Tijen A. Ç., Epoch Times Türkiye
*Bu makalede ifade edilen görüşler yazarın görüşleridir ve The Epoch Times’ın görüşlerini yansıtmayabilir.
Yorumlar kapalı, ancak trackbacks Ve pingback'ler açık.