Phorm'u ve Türkiye'de Phorm'un ne yaptığını anlatmadan önce DPI veya derin veri analizini kısaca açıklayalım. DPI'ın birkaç kullanım alanı vardır:
Internet trafiğini izlemek telefon dinlemekten çok daha zordur. Çünkü telefon konuşmaları belli iki nokta arasında yapılmaktadır. İnternet trafiği ise ağ üzerinde hareket eden küçük veri parçacıkları (paket) ile gerçekleşmektedir. Paketler asıl olarak iki kısımdan oluşur: Birinci kısımda adres bilgisi, ikinci kısımda ise içerik (örneğin, haber sitesinde bir fotoğrafın küçük bir parçası) yer alır. Paketler değişik yollardan hedefe gidebilir, birleşme hedefte yapılır. Geleneksel İnternet ortamında ağdaki düğümler (ya da servis sağlayıcılar) sadece paketlerin adres bilgilerini okurlar, içerikle ilgilenmezler (buna net tarafsızlığı/net neutrality denir). Bu, postaya verilen bir mektubun postane tarafından sadece zarfın üzerinin okunarak hedefteki adrese iletilmesine benzemektedir. Derin veri analizi sistemleri ise sadece adresi değil, aynı zamanda içeriği de okurlar. Bu durum da bize gönderilen her zarfın postane tarafından açılıp okunmasına benzer... Nasıl ki alıcısına ulaşmadan önce zarfı açıp içine bakmak mahremiyet ihlali olarak tescillenmiş bir suçsa, DPI kullanılarak veri paketinin içeriğine bakılması da aslında suçtur. World Wide Web'in(www) geliştiricisi Tim Berners-Lee her türlü derin veri analizi sistemine şiddetle karşı çıkmaktadır: "Eğer kullandığım ISS Phorm gibi bir DPI sistemini içeriyorsa hemen başka bir ISS'e geçerim".
Phorm asıl olarak "Kullanıcının web üzerindeki davranışına göre ekranında ilgi alanlarıyla ilintili reklam gösterilmesi" (behavioral targeting) alanında uzmanlaşmış bir şirkettir. Bu şu demektir: Eğer ben sürekli olarak bebek bakımı, doğum, bebek adları gibi sitelere giriyorsam büyük ihtimalle bebeğim var veya yakında olacak. Derin veri analizi yapılarak, bu durum (ve ben) saptandıktan sonra benim ekranımda bebek maması, bebek arabası, vs. reklamlarının gösterilmesi sağlanmaktadır. Fakat bu Google, Yahoo, Facebook gibi şirketler tarafından yapılan ilgili reklam gösterimi uygulamalarından farklıdır. Bu şirketler verdikleri servisleri kullanmamız karışılığında, onlara verdiğimiz bilgileri kullanırlar. Bu hizmetleri kullanmayarak bunlardan kaçabilirsiniz. Fakat DPI kullanan Phorm gibi şirketler doğrudan İnternet tarafiğinizi izleyip/analiz edip kullanıcıları profillerler. Bundan kaçınamazsınız.
Phorm ilk olarak ABD'de 121Media ismiyle ortaya çıkmıştır. Ancak yazılım ürünlerinin doğrudan "malware" (zararlı yazılım) olarak görülmesiyle ve iletişim özgürlüğü savunucusu STK'ların mücadelesi sonucu ABD'yi terk edip İngiltere'ye göç etmek zorunda kalmıştır. Phorm ile yaklaşık aynı yöntemi kullanan NebuAd şirketi ABD'de 30 civarında İSS'yi kendisine müşteri yaptıktan sonra kullanıcılar tarafından yaptığı işin niteliğinin anlaşılması ve şiddetli tepkiler yüzünden önce İSS'leri teker teker kaybetmiş, sonra da kapanmak zorunda kalmıştır.
Phorm, her kullanıcıya bir numara verir. Bu numarayla İnternet kullanıcısının her yaptığı işlem izlenebilir. Kullanıcı İSS'ini değiştirse bile eğer yeni İSS de Phorm ürününü (Webwise) kullanıyorsa izleme devam eder. Bu numara açık bir fişleme mekanizmasıdır. Her ne kadar Phorm numaradan şahsa erişim mümkün değil diyorsa da, bu hiç inandırıcı değil... Nitekim, Phorm'un terk etmek zorunda kaldığı ABD ve İngiltere'deki konuya duyarlı STK'lar bu numara vasıtasıyla kişilerin İnternet üzerindeki her hareketlerinin takibinin mümkün olduğunu göstermişlerdir. Daha da kötüsü, bu numara sadece reklamcılık için değil, devletler ve gizli servisler tarafından kullanılarak etkin bir fişleme mekanizması olarak haline gelebilir.
İngiltere'de BT, Virgin Media ve TalkTalk gibi büyük İSS'ler tarafından Phorm sistemi denenmiş; bu deneme sırasında kullanıcılara haber verilmemiştir. Daha sonra olay ortaya çıktığında kamuoyunda büyük bir gürültü kopmuştur. AB, İngiltere'de Internet kullanıcılarının kişisel mahremiyetini koruyacak hukuksal yapıların olmadığı gerekçesiyle İngiltere'yi mahkemeye başvurmakla tehdit etmiş, bunun için de Phorm örneğini kanıt olarak göstermiştir. BT'nin 2006-2009 seneleri arasında yaptığı üç test kullanıcıları öfkelendirmekten öte birçok teknik zorluğu da ortaya çıkarmıştır. Tüm bunların sonucu olarak şirket Temmuz 2009'da Phorm sistemini kullanmayacağını ilan etmiş, hemen arkasından da diğer iki büyük İSS, Virgin Media and TalkTalk da sistemi devreden çıkarmışlardır. Bu olaylar Phorm'un İngiltere macerasının sonu olmuştur.
Burada çok ilginç bir husus var: İngiltere'de devlet sürecin her aşamasında Phorm'un arkasında durmuştur. Anlaşılacağı gibi onun niyeti de İnternet'te derin veri analizi teknolojisini kullanan etkin bir gözetim sistemi kurmaktı. Ya da reklamcılık alanındaki derin veri analizini geliştirerek kendi vatandaşlarını veri madenciliği yoluyla izlemek. Bu amaç doğrultusunda 2 milyar sterlin bütçeli "İnterception Modernisation Programme" (IMP) ismiyle bir girişim başlatmıştır. Bunun için de dünyanın en prestijli üniversitelerinden London School of Economics'den (LSE) danışmanlık almayı düşünmüşlerdir. Ancak, LSE konu hakkında düzenlediği raporda devleti tam bir hayal kırıklığına uğratmıştır (bkz. http://www.lse.ac.uk/collections/informationSystems/research/policyEngagement/IMP_Briefing.pdf). Raporun yazarları tüm İnternet kullanıcılarının faaliyetlerinin gözetlemesinin önünde teknik zorluklar olduğunu anlatmışlardır. Bu zorlukların başında İSS'lerden akan verinin muazzam büyüklüğü gelmektedir. Yazarlar halihazırdaki yazılım ve donanım teknolojisinin bu büyüklükteki veriyi gereğince analiz edebilmesi için ülkenin her tarafındaki yüzlerce İSS noktasının her birine derin veri analizi donanımı koyma gereğini vurgulamışlardır. Ayrıca bu donanımın merkezi kontrolü gerekeceği için dışardan müdahalelere ve veri çalınmasına neden olabileceğinin altını çizmişlerdir. Rapordan örtük olarak topyekûn İnternet gözetimi işleminin bugünün tekniğiyle zor olduğu anlamı çıkmaktadır. Ancak, bu durum belirli kişi veya kuruluş gibi belirlenmiş hedeflerin trafiğini gözetlemenin derin veri analizi vasıtasıyla yapılamayacağı anlamına gelmemelidir.
Bugün derin veri analizi teknolojisi kullanan iki grup şirket bulunmaktadır: Bunlardan birincisi Phorm gibi reklamcılık konusunda uzmanlaşanlardır. Bunların bazıları batmış, bazıları da Batı ülkelerinde asıl niyetleri ortaya çıktığı için kişisel mahremiyete yeterince önem atfedilmeyen ve yasal altyapının bulunmadığı –örneğin Türkiye gibi- ülkelere göç ediyorlar. Nitekim Phorm'un Romanya ve Brezilya'da da faaliyetleri var. İkinci grup şirketler ise devletlere İnterneti gözetim altına alma ve sansürleme imkanı veren derin veri analizi sistemleri kuran ticari girişimler. Bunların sayısı çok fazla ve geniş bir liste... Özellikle Christian Fuchs'un dijital gözetim üzerine çalışmasında bu şirketler listelenmekte (bkz. http://www.projectpact.eu/documents-1/%231_Privacy_and_Security_Research_Paper_Series.pdf). Diğer bir liste ise: http://wikileaks.org/the-spyfiles.html
Derin veri analizi kurulumu büyük bir gizlilik perdesi altında yürütüldüğü için hangi şirketin hangi ülkeye derin veri analizini sattığını saptamak kolay değil. Ancak pazar her türlü yurttaş ve kamu denetimden uzak olduğu için, oldukça kârlı bir alan olduğunu şirket sayısından anlamak olanaklı. Hatta bu pazar bazen eğlenceli işlere de sahne olmakta. Örneğin: düzenli aralıklarla "İSS Dünya Konferansı" adı verilen bir tür fuar düzenlenmektedir:http://www.issworldtraining.com/ISS_MEA/. Bu fuarda derin veri analizi sistemleriyle birlikte her türlü casusluk ve gözetim sistemlerinin alıcıları ve satıcıları bir araya gelmektedir. Sadece çağrılı davetlilerin girebildiği fuarların diğer bir adı da "Wiretappers' Ball" (hafiyeler balosu diyebiliriz!). Bu balolarda en sevilmeyen kişiler tabii ki araştırmacı gazeteciler. Privacy International üşenmemiş, 2006-2009 arasında düzenlenen altı baloya katılan satıcı ve alıcıların bir listesini çıkarmış: http://bigbrotherinc.org/v1/. Gelişmiş-gelişmemiş, zengin-fakir sayısız ülkeyle beraber Türkiye de bu balolarda hazır ve nazır...
Derin veri analizi kullanan Phorm gibi sistemlerin işlemesi genel olarak opt-out olarak başlamaktadır, daha sonra kullanıcılardan gelen tepkiler üzerine opt-in'a dönüşmektedir. Opt-out'da başta tüm aboneler sisteme dahil edilir. Ancak abonenin web üzerindeki kendi davranışının kaydedilip ticari amaçlar için kullanıldığından genellikle haberi olmaz. Çünkü gerekli bilgi sitenin zor görülen bir tarafına saklanmış olur. Bu bilgi sistem hakkında bilgi verdikten sonra kullanıcıya isterse sistemden çıkma yolunu anlatır. Ancak sistemden çıkanlar çok küçük bir azınlığa tekabül eder, çünkü büyük çoğunluk ya ilgili yazıyı hiç görmez, ya da sorunu kavrayamaz. Tepkiler büyüyünce ikinci aşamada "opt-in" düzenine geçilir. Bu düzende aboneler otomatik olarak sistem kullanıcısı ya da deney unsuru haline getirilmez. Bir duyuruyla sistem özellikleri anlatıldıktan sonra abone isterlerse sisteme üye olur.
Başta ISS'ler ve telekomünikasyon şirketleri olmak üzere, DPI kullanımı gerek mahremiyet hakkı gerekse "İnternet Tarafsızlığı" (net neutrality) ilkesinin ihlali bakımından ciddi riskler arz etmektedir ve yasal olarak sınırlandırılmak zorundadır. (DPI ile ilgili yasal sınırlandırmanın gerekliliğine ABD'de Federal Communications Commission, Comcast'ın mahremiyet ihlaline dair raporunda da dikkat çekmiştir: Federal Communications Commission, "Memorandum Opinion and Order," FCC 08-183, adopted Aug. 1, 2008; http://hraunfoss.fcc.gov/edocs_public/attachmatch/FCC-08-183A1.pdf)
Bilinen ilk "davranışsal analiz" örneklerinden biri Facebook'un Beacon sistemidir. Önce opt-out olarak başlayan sistem daha sonra opt-in'e dönüştürülmüştür. 2007 senesinde kullanıma giren bu sistemde kullanıcıların yaptıkları alışverişler kendilerinin bilgisi ve rızası olmadan reklam amaçlı olarak pazarlanmıştır. Dava konusu olan bu davranış sonucunda Facebook kurucusu Mark Zuckerberg 2009'da özür dileyerek, Beacon sistemini kapattıklarını duyurmuştur. Sistem derin veri analizi teknolojisini kullanmamasına rağmen
olağanüstü derecede sahtekardır ve saldırgandır! Çünkü Facebook hesabına girmeyen kullanıcıların, hatta Facebook kullanıcısı olmayan kişilerin bilgisayarlarından Beacon vasıtasıyla veri alındığı ortaya çıkmıştır. Yani bir tür "malware" ya da daha iyi bilinen adıyla virüs. Evet, Facebook kökenli!
Phorm, kısa süre önce TTNET ile anlaşarak Türkiye'de faaliyetlerine başladığını kamuoyuna duyurdu. http://www.phorm.com/sites/default/files/2012.07.09%20TTNET%20Commercial%20Activities.pdf
Aynı tarihlerde TTNET, gezinti.com hizmetini duyurdu. Ancak duyuruda ne tüm dünyada nefret objesi haline gelmiş Phorm'dan bahsedilmektedir, ne de derin veri analizinden! Gezinti.com sitedesinde de Phorm'a dair herhangi bir bilgi yok. Fakat hizmetin arkasında Phorm teknolojisinin olduğu aşikar.
Sitenin iddiasına göre kullanıcılara daha iyi bir web deneyimi vaadediyor. Sistemin gönüllülük esasına dayandığını ve kullanıcıların istediği zaman dışına çıkabileceklerini ifade ediyor.
Fakat ilk defa bu siteye yönlendirilen kullanıcıların 'kandırılmasıyla' bu gönüllülük ortadan kalkıyor. İstemeden yönlendirildiğiniz TTNET-GEZİNTİ sayfasını "ilglenmiyorum" demeden kapatırsanız, sisteme dahil oluyorsunuz. Yönlendirme sayfasında yapılan bu uyanıklıkla kullanıcılar istemedikleri halde sisteme dahil olmak durumunda kalıyorlar. Siz durumu farkedip, önlem alıncaya kadar Phorm sizi izlemeye / profillemeye devam ediyor.
Phorm Türkiye'de henüz çok yeni ve reklam verenlerin ve hizmete isteyerek/istemeyerek dahil olmuş kullanıcı sayısını tam olarak bilmiyoruz. Faaliyetlerinin niteliği hakkında BTK'ya bilgi edinme başvurusunda bulunduk. Edindiğimiz bilgileri kamuoyu ile paylaşmaya devam edeceğiz.
Bu rapor, Christian Fuchs tarafından 2012 yılında Avrupa'da telekomünikasyon gözetim endüstrisinin ekonomi politiği hakkında "DPI İnternet Gözetimi'nin toplum için yansımaları" başlığı ile hazırlanmıştır. Rapor'da AB kararları, DPI ve PHORM teknolojilerinin nasıl kullanıldığı ve toplum için nasıl tehditler oluşturduğundan bahsedilmekte. Raporun bizi de yakından ilgilendiren kısımlarındab bazı alıntılar: