Elon Musk’ın, muhafazakar gündemiyle uyumlu seçkin yabancılara Twitter sistemlerine ve verilerine erişim sağlayarak komplo boku karıştırma arzusu, dünyanın en zengin adamını Atlantik’in her iki yakasındaki düzenleyicilerle ciddi bir doodooya sürükleyebilir.
Son günlerde, Musk tarafından birkaç harici muhabire verilen bu erişim, kendisinin ve amigo kızlarının, platformun önceki içerik denetleme yaklaşımının bir teşhiri olarak çerçevelediği şeyin yayınlanmasına yol açtı.
Şimdiye kadar bu “Twitter Dosyaları” bültenleri, onları markalaştırdığı şekliyle, haber değeri taşıyan ifşaatlar açısından nemli bir yazı oldu – büyük hacimli kullanıcı tarafından oluşturulan içeriğe sahip bir şirketin A) nasıl yapılacağını tartışan güven ve güvenlik personeli istihdam ettiği fikri hariç. B) içerik parçalarıyla ilgili tüm gerçeklerin henüz belirlenmemiş olabileceği hızlı hareket eden durumlar dahil olmak üzere politikaları uygulamak; ve C) ayrıca potansiyel olarak zararlı içeriğin görünürlüğünü azaltmak için uygulanabilen denetleme sistemlerine sahiptir (onu kaldırmaya alternatif olarak), özellikle çılgın bir haberdir.
Ancak bu yoğun şekilde büyütülmüş veri dökümleri, Twitter için bazı zor haberler yaratabilir – eğer Musk’ın sistemlerini harici muhabirlere açma taktiği, düzenleyici yaptırımlar şeklinde geri dönerse.
(en azından şimdilik) Twitter’ın Avrupa Birliği’ndeki lider veri koruma düzenleyicisi olan İrlanda Veri Koruma Komisyonu (DPC), dışarıdan veri erişimi sorunu hakkında Twitter’dan daha fazla ayrıntı istiyor.
“DPC bu sabah Twitter ile temasa geçti. Bir sözcü TechCrunch’a verdiği demeçte, daha fazla ayrıntı oluşturmak için konuyla ilgili Twitter ile görüşüyoruz.
Bugün erken saatlerde, Bloomberg Facebook’un eski CISO’su Alex Stamos’un dün Musk tarafından erişim verilen muhabirlerden biri tarafından yayınlanan bir Twitter ileti dizisinin “FTC’nin Rıza kararı hakkında soruşturma açın”.
Twitter’ın FTC onay kararnamesi 2011 yılına dayanıyor ve şirketin birkaç yıl boyunca kullanıcı verilerinin “güvenlik ve mahremiyetini” yanlış beyan ettiği iddialarıyla ilgili.
Sosyal medya şirketi, emri ihlal ettiği için Mayıs ayında zaten 150 milyon dolar para cezasına çarptırılmıştı. Ancak FTC, anlaşmanın şartlarını açıkça ihlal ettiğini düşünürse, gelecekteki cezalar çok daha ağır olabilir. Ve FTC’nin Twitter’a geçen ay “hiçbir CEO veya şirketin kanunların üzerinde olmadığı” uyarısında bulunduğu göz önüne alındığında, işaretler önsezi niteliğindedir.
Buradaki diğer bir husus, kişisel verilerin yeterince korunmasına ilişkin yasal bir gereklilik içeren Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği’dir (GDPR).
Bu, GDPR’nin güvenlik veya “bütünlük ve gizlilik” ilkesi olarak bilinir ve kişisel verilerin şu şekilde olacağını belirtir:
uygun teknik veya organizasyonel önlemler kullanılarak (‘bütünlük ve gizlilik’) yetkisiz veya yasa dışı işlemeye ve kazara kayıp, imha veya hasara karşı koruma dahil olmak üzere kişisel verilerin uygun güvenliğini sağlayacak şekilde işlenir.
Bu nedenle, kullanıcı verilerini (ve/veya kullanıcı verilerini ifşa edebilecek sistem erişimini) gözden geçirmesi için personel olmayan kişilere teslim etmek, Twitter’ın GDPR’nin güvenlik ilkesiyle tam uyumlu olup olmadığı konusunda soru işaretleri doğurabilir. Burada da dikkate alınması gereken bir soru daha var – Twitter’ın (kamuya açık olmayan) kullanıcı verilerini yabancılara teslim etmek için hangi yasal dayanağa güvendiği, eğer gerçekten olan buysa.
Görünüşte, Twitter kullanıcılarının standart Şartlar ve Koşullar kapsamında böylesine olağanüstü bir işlemeye bilerek rıza göstermeleri pek mümkün değildi. Ve burada başka hangi yasal dayanakların makul bir şekilde uygulanabileceği açık değil. (Twitter’ın şartlar işleme senaryosuna bağlı olarak kullanıcıların doğrudan mesajlarının veya diğer kamuya açık olmayan iletişimlerinin işlenmesiyle ilgili olarak çeşitli şekillerde sözleşme gerekliliğine, meşru çıkarlara, rızaya veya yasal yükümlülüklere başvurmak – ancak bu temellerden hangisinin uygun olacağı, eğer gerçekten bunu veriyorsa ne Twitter hizmet sağlayıcısı ne de kolluk kuvvetleri vb. tüzel kişiler olmayan çalışanlar dışındaki kişilere açık olmayan kullanıcı verilerinin ne tür olduğu tartışmalıdır.)
Bu konudaki görüşleri sorulduğunda, Lilian Edwards — Newcastle Hukuk Fakültesi’nde Hukuk, İnovasyon ve Toplum profesörü — bize GDPR’nin burada nasıl uygulandığının kesin olmadığını söyledi, ancak Twitter’ın öngörülemeyen üçüncü taraflara (“kim ister istemez paylaşabilir”) verileri ifşa etmesini önerdi. güvenlik ilkesinin ihlali olabilir.
“Eğer izin verdiyseniz [to Twitter’s expansive terms], bu kullanımlara izin verdiniz mi – yani güvenlik ihlali yok mu? Bence burada bir korkunçluk unsuru olmalı, ”diye savundu. “Bunu ne kadar beklemiyordunuz ve bu sizi güvenlik ve mahremiyet tehditlerine ne kadar açık hale getiriyor – örneğin şifreler veya telefon numaraları gibi kişisel bilgiler içeriyorsa?”
Birleşik Krallık’ın veri koruma otoritesi tarafından yayınlanan ve GDPR kapsamında gerekli güvenlik önlemlerinin “verilerin yalnızca sahip olduğunuz kişiler tarafından erişilebilmesini, değiştirilebilmesini, ifşa edilebilmesini veya silinebilmesini sağlamayı amaçlaması gerektiğini belirten kılavuza atıfta bulunarak, “Bu zor,” diye ekledi. yapmaya yetkilidir (ve bu kişiler sadece sizin onlara verdiğiniz yetki kapsamında hareket ederler).
“Pekala, Musk onları yetkilendirdi, ama vermeli mi? Bunlar güvenlik riskleri mi? Makul bir DPA’nın buna oldukça sert bakacağını düşünüyorum.
Yazma sırasında, Twitter’ın seçtiği harici muhabirlere tam olarak hangi verileri veya ne kadar sistem erişimi sağladığı açık değildir – bu nedenle, halka açık olmayan herhangi bir kullanıcı verisinin teslim edilip edilmediği açık değildir.
Twitter’ın erişim izni verdiği muhabirlerden biri olan gazeteci Bari Weiss, bir iddiada bulundu. cıvıldamak (veriler hakkında rapor verecek olan, kurduğu yayınla ilişkili diğer dört yazara atıfta bulunan) şu satırlar: “Yazarlar, Twitter’ın dosyalarına geniş ve genişleyen erişime sahip. Kabul ettiğimiz tek koşul, materyalin önce Twitter’da yayınlanmasıydı.”
Bu yazarlardan bir diğeri, Abigail Shrier, ayrıca talep edildi: “Ekibimize, Twitter’ın dahili iletişimine ve sistemlerine kapsamlı, filtrelenmemiş erişim verildi.”
Yine de, her iki tweet de erişebilecekleri veri türü hakkında belirli ayrıntılardan yoksundur.
Twitter ayrıca – bir çalışanı aracılığıyla – verilen erişim düzeyiyle ilgili alarma yanıt olarak muhabirlere kamuya açık olmayan kullanıcı verilerine canlı erişim sağladığını reddetti. Şirketin yeni güven ve emniyet lideri Ella Irwin, son birkaç saat içinde tweet atarak, çevrimiçi olarak paylaşılan hesapların dahili sistem görünümünün ekran görüntülerinin Twitter tarafından dışarıdan gelenlere sağlanan dahili erişimin ayrıntılarını gösterdiğini iddia etti. sistemlerine canlı erişimi tasvir eder.
Bunun yerine, bu dahili araç görünümünün bu ekran görüntülerini “güvenlik amacıyla” muhabirlere kendisinin sağladığını söyledi.
Irwin’in tweet’i ayrıca, bu ekran görüntüsü paylaşma metodolojisinin “PII olmamasını sağlamak için seçildiğini” iddia etti. [personally identifiable information] maruz kaldı”.
Muhabirlerin sistemlerine (ve potansiyel olarak DM’lere) erişimiyle ilgili güvenlik endişelerini dile getiren bir Twitter kullanıcısına yanıt olarak, “Bu erişimi muhabirlere vermedik ve hayır, muhabirler kullanıcı DM’lerine erişmiyordu” diye ekledi. Irwin, güven ve emniyet için ürün lideri olarak yalnızca Haziran ayında Twitter’a katıldı – ancak geçen ay güven ve güvenlik başkanına yükseltildi (üzerinden Bilgi), Musk’ın iyi niyetli bir politika uygulamasından görevi devraldığı “diktatör ferman” konusundaki endişeler üzerine Musk altında sadece iki hafta çalıştıktan sonra istifa eden eski başkan Yoel Roth’un yerini alacak.
Twitter’ın yeni güven ve güvenlik başkanının, amacı bu tür bilgileri içeren raporları yayınlamak olan personel olmayan kişilerle paylaşmak için neden dahili verilerin ekran görüntüsünü alarak zamanını harcadığı sorusunu bir kenara bırakırsak, buradaki terminoloji seçimi dikkate değer: “PII” bir değil GDPR’nin herhangi bir yerinde bulabileceğiniz terim. Bu, ‘kullanıcı mahremiyeti’ fikrini en alt düzeye (yani gerçek ad, e-posta adresi vb.) indirgemek isteyen ABD kuruluşları tarafından tercih edilen bir terimdir. PII.
Bu önemlidir çünkü GDPR’deki ilgili yasal terminoloji, PII’den çok daha geniş olan ve PII olarak kabul edilemeyecek çeşitli verileri (IP adresi, reklamveren kimlikleri, konum vb.) kapsayan “kişisel veriler”dir. Bu nedenle, Irwin’in birincil kaygısı “PII” ifşa etmekten kaçınmaksa, kişisel verilerin güvenliğini AB’nin GDPR’sinin anladığı şekliyle ya anlamıyor ya da önceliklendirmiyor.
Bu, Avrupa Birliği düzenleyicilerini endişelendirmelidir.
İrlanda’nın DPC’si, Musk’ın Ekim ayı sonunda şirketi devralmasından bu yana Twitter’ın baş veri sorumlusu olmasına rağmen – ve personel sayısını azaltmaya ve çok sayıda personeli kendi iradeleriyle ayrılmaya yönlendirmeye başladı; buna üçlü üst düzey güvenlik, gizlilik ve gizlilik ve Aynı anda bir ay önce istifa eden uyum yöneticileri – GDPR için İrlanda’da “esasen yerleşik” olma iddiasının durumu hakkında sorular gündeme geldi.
Daha önce bildirdiğimiz gibi, Musk’ın ABD merkezli tek taraflı karar verme süreci, Twitter’ın İrlandalı kuruluşunu dahil etmek için AB kullanıcılarının verilerini etkileyen karar verme sürecini gerektirdiğinden, Twitter’ın GDPR’nin tek durak noktası (OSS) mekanizmasından çıkma riski taşıyor. Ve şirket İrlanda’daki ana kuruluş statüsü iddiasını kaybederse, yalnızca DPC’de değil, AB’deki veri denetçileri yerel kullanıcıların verilerinin uygun olduğunu hissederlerse kendi sorgularını açabileceklerinden, yasal düzenleme riskini hemen artıracaktır. risk.
Musk şimdi Twitter’ın sistemlerini beklenmedik yabancılara açarken, güvenlik ve mahremiyet riskleri hakkında büyük soruları gündeme getiren ve – DPC’nin sağlam gözetiminde başarısız olursa – diğer AB veri koruma yetkililerini Twitter’ın İrlandalılarının bütünlüğü konusunda giderek daha fazla endişelendirebilecek olan çok açık bir gösteri sergiliyor. gözetim de. (GDPR, yerel kullanıcıların verilerine yönelik acil bir risk görürlerse lider olmayan DPA’lar tarafından acil müdahalelere izin verir, böylece Twitter, TikTok’un yakın zamanda yaptığı gibi, görünüşte hala OSS’nin içindeyken bile AB’nin başka bir yerinde çevirmeli incelemeyle karşı karşıya kalabilir. İtalya’da.)
Musk şirketi devraldığından beri, Twitter iletişim işlevini kapattı – bu nedenle, Twitter tarafından dışarıdan muhabirlere sağlanan veri erişim düzeyi veya paylaşım için dayandığı yasal dayanak hakkında bir basın ofisine soru sormak mümkün değildi. bu bilgi. Ancak, Twitter göndermek istiyorsa, Twitter’dan bir açıklama eklemekten memnuniyet duyarız.