Bağımsız bir denetim raporuna göre, Google, Microsoft ve Meta, siz izlemeyi devre dışı bıraksanız bile sizi takip ediyor.

---

Microsoft, Meta ve Google'ın Kaliforniya'daki web trafiğine yönelik bağımsız bir gizlilik denetimi, şirketlerin eyalet düzenlemelerini ihlal ediyor olabileceğini ve milyarlarca dolarlık para cezasıyla karşı karşıya kalabileceğini ortaya koydu. Gizlilik odaklı arama motoru webXray tarafından yapılan denetime göre, incelenen sitelerin yüzde 55'i, kullanıcı izlemeyi reddetse bile tarayıcılarına reklam çerezleri yerleştiriyor. Her şirket araştırmaya itiraz etti veya karşı çıktı; Google, araştırmanın ürününün nasıl çalıştığına dair "temel bir yanlış anlaşılmaya" dayandığını belirtti.

webXray Kaliforniya Gizlilik Denetimi, mart ayında Kaliforniya'daki 7.000'den fazla popüler web sitesindeki web trafiğini inceledi ve çoğu teknoloji şirketinin, bir kullanıcı çerez izlemeyi reddetmek istediğinde bunu görmezden geldiğini tespit etti. Kaliforniya, kullanıcıların kişisel bilgilerinin satışını reddetme hakkı da dahil olmak üzere birçok hakka sahip olmasını sağlayan Kaliforniya Tüketici Gizliliği Yasası (CCPA) sayesinde katı ve iyi tanımlanmış gizlilik mevzuatına sahiptir. Küresel Gizlilik Kontrolü (GPC) adı verilen ve bir kullanıcının izlenmeyi reddetmek istediğini web sitesine bildiren bir tarayıcı eklentisini de içeren bir sistem bulunmaktadır.

webXray denetimine göre Google, kullanıcıların yüzde 87 oranında vazgeçmesine izin vermedi. Denetimde, "Google'ın GPC vazgeçme sinyalini dikkate almaması ağ trafiğinde kolayca görülebiliyor. GPC kullanan bir tarayıcı Google'ın sunucularına bağlandığında, 'sec-gpc: 1' kodunu göndererek vazgeçme sinyalini kodlar. Bu, Google'ın çerez döndürmemesi gerektiği anlamına gelir" ifadesi yer aldı. "Ancak Google'ın sunucusu ağ isteğine vazgeçme sinyali ile yanıt verdiğinde, 'set-cookie' komutunu kullanarak IDE adlı bir reklam çerezi oluşturma komutuyla açıkça yanıt veriyor. Bu uyumsuzluğu fark etmek, göz önünde durduğu için oldukça kolay."

Denetim, Microsoft'un da kullanıcıların vazgeçme taleplerini aynı şekilde yerine getirmediğini ve webXray'in incelediği web trafiğinde yüzde 50'lik bir başarısızlık oranına sahip olduğunu belirtti. Meta'nın başarısızlık oranı ise yüzde 69 ile biraz daha kapsamlıydı. Denetimde, "Meta, yayıncılara aşağıdaki izleme kodunu web sitelerine yüklemeleri talimatını veriyor. Kod, küresel standarttaki vazgeçme sinyalleri için hiçbir kontrol içermiyor; koşulsuz olarak yükleniyor, bir izleme olayı başlatıyor ve tüketicinin gizlilik tercihlerine bakılmaksızın bir çerez yerleştiriyor" denildi. Meta'nın, herhangi bir GPC kontrolü içermeyen izleme verilerinin bir kopyası da gösterildi.

webXray, insanların internetteki gizlilik ihlallerini aramasına olanak tanıyan bir arama motoru çalıştıran bağımsız bir teknoloji şirketidir. Kurucusu Timothy Libert, Google'da eski çerez politikası ve uyumluluk lideridir. Libert, 404 Media'ya Google'daki görevinin kullanıcılarını korumak olduğunu hissettiğini ancak patronlarının aynı fikirde olmadığını söyledi. 2023 yılında şirketten ayrılarak webXray'i kurdu.

Libert, "Ayrılmadan kısa bir süre önce patronum bana doğrudan 'benim işim şirketi korumak' dedi. Bir başka sefer, oldukça kıdemli bir mühendisle vergiler ve para cezaları arasındaki farkın ne olduğu konusunda çok ciddi ontolojik bir tartışmaya girdim ve bir fark olduğunu anlayamadılar" dedi.

Microsoft, Meta ve Google, Libert ve webXray'in denetim sırasında bulduklarına benzer önceki gizlilik ihlalleri nedeniyle toplu olarak milyarlarca dolar ceza ödedi. Libert'e göre büyük teknoloji şirketleri bu cezalardan korkmuyor. "Birçok açıdan cezalar vergilerin yerini aldı" diyen Libert, "Burada göstermeye çalıştığım şey, 'yaptırım nasıl başarısız oluyor?' sorusunun cevabı. Burada yapmaya çalıştığımız şey, bu konular üzerinde çalışan düzenleyici ve yasal topluluktaki insanlara perde arkasında aslında neler olup bittiğini anlamalarını sağlamak" dedi.

Denetimde ortaya çıkarılan perde arkasındaki konulardan biri de çerez banner'larının nasıl çalıştığıdır. İnterneti kullanan herkes, kullanıcılara siteden verilen çerezleri nasıl yönetmek istediklerini soran bu sinir bozucu pop-up'ları görmüştür. Bunlara rıza yönetimi platformları (CMP) denir. Çerezlerin önde gelen sağlayıcılarından biri olan Google, CMP'leri sertifikalandıran CMP Ortak Programı adlı bir hizmet yürütmektedir.

Denetimde, "Bu bariz çıkar çatışması bizi şunu sormaya yöneltti: bu CMP'ler gerçekten çalışıyor mu? Bir web sitesine vazgeçme sinyali gönderildiğinde ne olduğunu ölçerek bunu öğrenebildik ve bulgular açık: değerlendirdiğimiz hiçbir Google onaylı CMP yüzde 100 oranında çalışmıyor ve hepsinin, vazgeçme sinyalleri olmasına rağmen Google'ın çerez yerleştirmesini engellemede başarısız olduğu görülüyor" denildi.

webXray, üç CMP şirketini test ettiğini ve yüzde 77, yüzde 91 ve yüzde 90 oranlarında vazgeçme başarısızlığı tespit ettiğini belirtti. Libert, "Çalışmıyor. Başarısız oluyor. Google'ın, yani bunun işe yarayacağını söyleyen tarafın çerez yerleştirmesine izin veriyor" dedi.

Google, Meta ve Microsoft denetime itiraz etti. Bir Google sözcüsü 404 Media'ya verdiği demeçte, "Bu rapor, ürünlerimizin nasıl çalıştığına dair temel bir yanlış anlaşılmaya dayanıyor. Yasaların gerektirdiği şekilde reklamverenler ve yayıncılar tarafından sağlanan vazgeçme taleplerini yerine getiriyoruz" dedi.

Meta, 404 Media'ya yaptığı açıklamada, "Bu, GPC'nin nasıl çalıştığını ve Meta'nın rolünü yanlış tanıtan bir pazarlama oyunudur" dedi. "GPC yalnızca üçüncü taraf verilerinin belirli kullanımlarını kısıtlar ve web sitesi operatörlerinin GPC sinyallerini geçersiz kılmasına izin verir; ayrıca web sitelerinin hangi izinlere sahip olduklarını belirtmelerine yardımcı olmak için Sınırlı Veri Kullanımı (LDU) özelliğini sunuyoruz. Veriler bize LDU bayrağıyla iletildiğinde, Eyalete Özel Şartlarımızda belirtildiği gibi bu verilerin kullanımını kısıtlıyoruz."

Bir Microsoft sözcüsü, "Tüketici gizliliği bizim için en önemli önceliktir ve şeffaflık ile geçerli gizlilik gerekliliklerine uyum konusundaki kararlılığımızı sürdürüyoruz. Gizlilik Bildirimimizde belirtildiği gibi, bir GPC sinyali aldığımızda, kullanıcıyı kişiselleştirilmiş reklamcılık için üçüncü taraflarla kişisel veri paylaşımından çıkarıyoruz ve reklam sistemlerimiz bu tercihi yansıtacak şekilde tasarlandı" dedi. "Bazı Microsoft çerezleri operasyonel amaçlar için gereklidir ve bu nedenle bir GPC sinyali algılandığında bile yerleştirilebilir ve okunabilir."

Libert, "Benim görüşüme göre bu işler karmaşık değil. 'Çerezi yerleştirme' diyorsunuz. Onlar çerezi yerleştiriyor" dedi. "Düzenleyiciler kümesin içine giren bir tilki görüyor ve tilki 'buraya sadece tavukları değil, yumurtaları saymaya geldim' diyor. Onlar da buna inanıyor. Herhangi bir kamu kaydı sunmalarını sağlamıyorlar."

Yakalandıklarında hükümetler şirketlere para cezası kesiyor ve şirketler de ödüyor. Libert bunun yeterli olmadığını söyledi. "Sonsuza kadar sadece ceza ödeyebilirler" dedi.

Denetimin anahtarı, Libert ve ekibinin ihlallere karşı basit bir çözüm sunmasıdır. webXray'e göre bu, bir satır kod eklemek kadar kolay. Denetimde, "Microsoft'un reklam sunucusu Sec-GPC: 1 ile trafik aldığında, içeriğin tüketicinin yasal olarak tanımlanmış vazgeçme hakkı nedeniyle sunulamayacağını belirtmek için 451 Yasal Nedenlerle Kullanılamaz durum kodu döndürmesi yeterli. Bu durumda hiçbir çerez yerleştirilmez" denildi.

Libert, "Bu, veri ekonomisindeki Hürmüz Boğazı'dır. Bir değişiklik yapmak istiyorsanız, burası kesip atacağınız yerdir. Bunun dışındaki her şey tiyatral siyasi duruştur" dedi.