Türkiye'nin yerli sosyal medya platformları olarak tanıtılan ve son günlerde tartışmaların odağında yer alan Next Sosyal ile Next mesajlaşma uygulamasını masaya yatırdık.
Önceki günlerde Baykar Yönetim Kurulu Başkanı Selçuk Bayraktar, TEKNOFEST girişimcisi iki genç tarafından geliştirilen sosyal medya platformu Next Sosyal'i duyurdu.
Teknoloji festivali TEKNOFEST'e katılan insanların sosyalleşmesi ve tanışması için başlatıldığı görülen uygulama, günler içinde genel kullanıma açılarak "Türkiye'nin yerli sosyal medya uygulaması" olarak nitelenmeye başladı.
Bunda Bayraktar'ın uygulamayı "yerli ve yeni nesil sosyal medya platformu" diye nitelemesinin de etkisi oldu. Bunun yanı sıra platformu "reklamsız, sansürsüz, yapay zeka destekli” diye de niteleyen Bayraktar, son olarak, Next Sosyal'e katılması için MHP Genel Başkanı Devlet Bahçeli'ye yazdığı mektupta şu ifadeleri kullandı:
"Bizler karanlığa doğru yol alan bu gidişata bir alternatif sunmak, medeniyetimizin değerleriyle yeşerecek temiz ve güvenli bir dijital yuva oluşturmak için yola çıktık. Bu niyetle T3 Vakfı ve TEKNOFEST gençlerinin gayretleriyle uzun zamandır üzerinde çalıştığımız yerli ve yeni nesil sosyal medya platformu Next Sosyal'i hayata geçirdik."
Next Sosyal'in yayınlanmasının hemen ardından WhatsApp alternatifi olarak nitelenen bir mesajlaşma uygulaması da duyuruldu. Yine Bayraktar'ın duyurduğu "Next Mesajlaşma" adlı uygulama halihazırda uygulama mağazalarından indirilebiliyor.
Biz de 10 soruda Next Sosyal ve mesajlaşma uygulamasını masaya yatırdık.
1. Uygulama ne kadar yerli?
Çarşamba günü itibarıyla 455 bin aktif kullanıcısı olan Next Sosyal, aslında Alman girişimci Eugen Rochko'nun oluşturduğu merkeziyetsiz ve açık kaynak kodlu sosyal medya platformu Mastodon üzerine kuruldu.
Next Sosyal'in web sürümünün sağ üst kısmında bu bilgi şu şekilde ifade ediliyor: "TEKNOFEST girişimcilerinin geliştirdiği açık kaynak Mastodon temelli sosyal medya platformudur."
Ayrıca platformun yöneticisinin "@admin" adlı bir kullanıcı olduğu ve platformdan da "sunucu" olarak bahsedildiği görülüyor. Mastodon bu şekilde farklı adminlerin kendi sunucularını, yani kurallarını kendilerinin belirlediği "sosyal medyacıklarını" oluşturabildiği, geniş ve dağıtık bir platform.
Bazı kullanıcılar bir çeşit Mastodon sunucusu olarak başlamasına rağmen Next Sosyal'in "Türkiye'nin yerli sosyal medyası" olarak tanıtılmasına ve tepki göstererek, uygulama sıfırdan inşa edilmiş gibi bir algı yaratıldığını savunuyor.
Teknoloji stratejisti Füsun Sarp Nebil, "Bu durum bizde alışkanlık oldu: Bir şeyleri alıp 'yerli ve milli' diye pazarlama alışkanlığı. Hatırlarsanız, 2018'de dönemin başbakanı Binali Yıldırım, PTT Messenger ile Suriye'deki ordu merkezine bağlanmıştı. 'Biz yaptık, ne kadar güvenli' deniyordu. Ancak aslında Signal uygulamasının altyapısıydı," diyor.
Euronews Türkçe'ye konuşan Sarp Nebil, 2017'de "yerli arama motoru" olarak tanıtılan Yaani'yi de hatırlatıyor. Teknik analizlere göre, Yaani, kullanıcı aramalarını Türkiye sunucularında topluyor ama arama sonuçlarını doğrudan Microsoft Bing altyapısından çekiyordu.
Sarp Nebil, daha önce denenmiş yerli arama motoru, mesajlaşma hizmeti veya sosyal medya girişimlerinin beklenen ilgiyi görmemesini de pazarlama konusundaki bu tutuma bağlıyor.
"Örneğin 'Bingi aldık, Türkçe'ye çevirdik. Buyurun Türkçe arama motoru' diye çıksalar yine saygı duyardık. Ama İspanyol modeli alıp 'Yerli arama motoru yaptık' dediler. İnsanlar bu tür şeylere saygı duymuyor. Özellikle de interneti kullanan kitleyi düşünün. Bunlar nereden baksanız belirli bir düzeyde entelektüel insanlar."
2. Merkeziyetsizlik çağı: Mastodon nasıl çalışır?
2000'lerde internet; Web2 adı verilen, kullanıcıların da aktif biçimde kullanıp sosyalleşebildiği yeni bir evreye girdi. Böylelikle ilk e-posta hizmetleri ve "chat" programlarıyla birlikte Facebook ve Twitter gibi bugünün dev platformları ortaya çıktı.
Büyük ölçüde ABD'nin şirketleri koruyan yasalarından faydalanan bu platformlar, zaman içinde kullanıcı verileri üzerinden dev bir reklam piyasasını yöneten, aynı zamanda mahremiyet ihlalleri ve insanların psikolojilerini bozduğu araştırmalarla kanıtlanmış algoritmalarla dolu platformlara dönüştü.
Bu şirketlerin, topladıkları devasa miktarda kullanıcı verisini reklam şirketleri ve hükümetler de dahil olmak üzere bir dizi üçüncü tarafla paylaşması, özellikle de 2010'larda Arap Baharı'yla başlayan ve internetin büyük rol oynadığı protesto dalgasında bir uyanışla sonuçlandı: Büyük şirketlerin yönetiminde olmayan, özgür bir internet mümkün olabilirdi.
Mastodon işte bu uyanışın ürünü oldu. 2016'da kurulan sosyal medya uygulaması, merkeziyetsiz platformların birbiriyle iletişim kurmasını sağlayan ve ActivityPub protokolü adı verilen geniş bir ağda çalışıyor.
Sosyal medya bağlamında merkeziyetsizlik, bir platformun kontrolünün tek bir şirketin (örneğin Meta veya X) elinde olmaması anlamına geliyor. Yani kullanıcının sadece içerik üretmediği, aynı zamanda platformun nasıl işleyeceğine de katkı sunduğu bir sosyal medya modeli.
Mastodon da merkeziyetsiz yapısını farklı "sunucularla" çalışmasına borçlu. X, Facebook ve Instagram gibi popüler platformlar, tek merkezden (şirketin yöneticileri) ve tek sunucu üzerinden yönetiliyor. Dolayısıyla tüm kullanıcıların verileri de bu merkezin elinde tutuluyor ve kontrolü bu sunucuyu yöneten (şirketin kendisi) kişilerin tekelinde. Bu platformların bazı içerikleri kaldırabilmesi veya kullanıcı hesaplarını silebilmesi de herkesin tek bir sunucuda olmasından kaynaklanıyor. Çünkü merkezi sunucunun kuralları, işleyişi, tasarımı veya akışı bu sunucuyu yöneten şirkete bağlı oluyor.
Merkeziyetsiz platformlarda ise tek bir merkezi sunucu yok. Burada sunucular, aslında iç içe geçmiş bir dizi ağ oluşturuyor. Örneğin Twitter'da tek bir ağ varken, Mastodon'da 5 binden fazla sunucu mevcut. Bu sunucularda yine binlerce kullanıcı da tek bir kullanıcı da yer alabilir.
Her bir sunucu, kendi kuralları ve kendi yönetimi olan, verileri kendisi barındıran ve saklayan birer "sosyal medyacık" demek. Bir sunucuda hesap açmayı seçen kullanıcılar, o sunucunun adminin yönetimini ve kurallarını kabul etmiş oluyor.
Ancak her bir kullanıcının kendi sunucusunu kurması veya farklı sunucuları kullanan kişilerin birbiriyle iletişim kurması da mümkün. Hatta Mastodon kullanıcıları, ActivityPub protokolü üzerindeki başka sosyal medya kullanıcılarıyla da etkileşime geçebilir. Bu da tıpkı "gmail" uzantılı e-posta adresinden "hotmail" veya başka hizmetlerin e-posta adreslerine mail gönderebilmesine benziyor.
3. Next Sosyal aslında bir sunucu mu?
Tüm bunlar, aynı zamanda Mastodon üzerinden kendi sosyal medya platformunu kurmanın mümkün olduğu anlamına da geliyor. Yani isteyenler, Mastodon'da kendi sunucusunu çalıştırarak, kendi kurallarına göre işleyen, özelleştirilebilir bir “Twitter benzeri” sosyal medya kurabilir.
Sarp Nebil, "Yani bir sunucu alıp, bunun yazılımını alıp üzerine bir şey kurup çalıştırıyorsunuz. Hatta bunun için yazılım bilmek de gerekmiyor. Bunu aylık 6 dolar gibi bir fiyata sizin için yapan Masto.host gibi platformlar var," diyor. Uzmana göre Next Sosyal de işte bu altyapı üzerine kurulup özelleştirilmiş bir platform.
Bu yüzden "@admin" kullanıcı adlı biri tarafından yönetildiği görülüyor ve kullanıcı sayısı "sunucu istatistikleri" başlığı altında yer alıyor. Ancak platformda sadece Mastodon'un kodları yok. Aynı zamanda farklı bir arayüz, mobil uygulama ve tema gibi özelliklerle özelleştirilmiş.
Next Sosyal ekran görüntüsü Euronews Türkçe
4. Mastodon neden Selçuk Bayraktar'la iletişime geçti?
Merkeziyetsiz platformların en önemli özellikleri arasında veri kontrolünün kullanıcıda olması (verilerinizi siz saklarsınız, alınıp satılamaz), sansüre karşı dirençli olması (içerik silmek tek bir otoritenin kararına bağlı değildir) ve açık kaynaklı olması sayılabilir.
Mastodon da açık kaynak kodlu (yani kodları isteyen herkes görebilir ve kullanabilir) olmasına rağmen, kodlarını kullanmak isteyenlere bir şart koşuyor: Yine açık kaynaklı kalmak.
Platformun kullandığı AGPLv3 lisansı kapsamında yeni platformlara şu şartlar getiriliyor:
- Eğer Mastodon kodunu değiştirir ve kendi platformunda çalıştırırsanız (ör. arayüz, özellikler, tema), bu değişiklikleri kullanıcıların erişebileceği şekilde yayınlamak zorundasınız.
- Kaynak kodu paylaşma zorunluluğu var. Yani kendi Mastodon sunucunuzu çalıştırıp kullanıcıya sunduğunuzda, kodu da sunmanız gerekir.
Next Sosyal platformunun tam da bu hükümler doğrultusunda Mastodon lisansıyla çatıştığı düşünülüyor. Zira Next Sosyal'in kodlarının yer aldığı herhangi bir kaynak deposu bulunmuyor. Ancak uygulamanın bilgiler bölümünde "Kaynak kodu topluluk için hazırlanıyor. Çok yakında..." ifadelerine yer verilmiş. Bu da beklenen kaynak kodunun sonradan yayınlanacağı düşüncesini uyandırıyor.
Öte yandan kullanıcılar bu olası çatışmayı birçok kez dile getirince Mastodon, çarşamba günü X hesabından Selçuk Bayraktar'ı etiketleyerek, kendileriyle iletişime geçilmesini istedi. Gönderide daha fazla bilgi yer almadı.
5. Next Sosyal hassas verileri topluyor mu?
Yeni platformla ilgili tartışılan bir diğer konu da kullanıcıların hangi verilerinin toplanacağı. Uygulamanın bu gibi soruları cevaplandırdığı bir aydınlatma metni mevcut. Metinde kullanıcıların toplanabilecek verileri şöyle sıralanıyor:
Kimlik ve hesap bilgileri: Ad, soyad, takma ad, doğum tarihi, kullanıcı adı, kullanıcı ID’si.
İletişim bilgileri: E-posta adresi, telefon numarası, açık adres, sosyal medya hesapları
Profil ve etkileşim verileri: Profil fotoğrafı, biyografi, takipçi sayısı, takip edilen kişiler, paylaşımlar, beğeniler, yorumlar, bildirim tercihleri
Cihaz ve uygulama bilgileri: Cihaz modeli, işletim sistemi, IP adresi, oturum açma/kapanma bilgileri, hata kayıtları
Konum verisi: GPS verileri, IP tabanlı konum, Wi-Fi bağlantıları (yalnızca kullanıcı rızası ile)
Çerez verileri: Oturum kimlikleri, gezinme geçmişi, tercih ayarları, reklam tıklamaları (web)
Profesyonel hesap verileri: Meslek/kategori, ticari unvan, açık adres, kamuya açık telefon numarası, kamuya açık e-posta
Görsel ve işitsel veriler: Kullanıcı tarafından yüklenen görseller, videolar, sesli içerikler
Özel nitelikli veriler: Sağlık verileri, konum geçmişi, cinsel yönelim, dini inanç vb. hassas bilgiler – yalnızca açık rıza ile ve özel durumlarda işlenebilir.
Bu verilerin üyelik ve hesap oluşturma süreçlerinin yürütülmesi; takip, paylaşım, mesajlaşma gibi sosyal ağ işlevlerinin sağlanması; algoritmaların çalıştırılması; güvenliğin sağlanması; reklam ve pazarlama faaliyetlerinin yürütülmesi (açık rıza ile); yasal yükümlülüklerin yerine getirilmesi ve kullanıcı şikayetlerinin yönetilmesi gibi amaçlarla toplanabileceği ifade ediliyor.
Konuştuğumuz uzmanlar, konum, çerezler, IP ve iletişim bilgileri gibi verilerin toplanmasının büyük ölçüde standart olduğunu, yani diğer birçok uygulamada da bu verilerin toplandığını belirtiyor. Ancak sağlık verileri, dini inanç ve cinsel yönelim gibi hassas verilerin toplanması önemli bir tartışma başlığı.
Kurumsal, ticaret ve uluslararası hukuk alanlarında uzmanlaşmış hukuk bürosu Köksal & Partners'tan Avukat Yavuz Selim Dicle, "Bu verilerin reklam amacıyla kullanılmayacağını düşünmek çok iyi niyetli bir yaklaşım olur," diyor.
"'Sağlık verileri, konum geçmişi, dini inanç vb. veriler açık rıza ile özel durumlarda işlenebilir' diyor. Bu hangi açık rıza ve hangi özel durumlar?"
Euronews Türkçe'ye konuşan Dicle, "Agresif bir pazarlama yapılacak mı? Bunu yaparken nelere dikkat edilecek? Bu hususlar çok açık değil," diye ekliyor.
"Temel veri işleme amaçlarına baktığımızda da mevzuata uygunluk yükümlülüğü kapsamında böyle veri işlenmesinin gerekeceğini sanmıyorum. Muhtemel süreçler için yazılmış bir metne benziyor. Asgari unsurları bir şekilde sağlıyor ama çok tutarlı bilgiler yer alıyor mu, aslında hayır."
6. Veriler sosyal medya devleriyle paylaşılacak mı?
Uygulamanın aydınlatma metnine göre, toplanan kişisel verilerin kullanıcı rızası alınmadan hükümetler ve yasal makamlarla paylaşılması mümkün. Bu da X gibi merkezi platformlarda yine sıkça rastlanan bir uygulama. Next Sosyal'in bu kuralları büyük ölçüde KVKK'ya dayandırılıyor.
Bunun dışında aydınlatma metninde yasal durumlar dışında veri paylaşımı için kullanıcıların onayının alınacağı belirtiliyor. Bu kapsamda verilerin paylaşılabileceği kişi ve kurumlar arasında ise yurt içi/yurt dışı bilişim ve teknoloji altyapı sağlayıcıları, reklam ve analiz hizmeti veren üçüncü taraflar (Google, Meta, vb.) ile bulut tabanlı veri yedekleme servisleri yer alıyor.
Bu durum Next Sosyal'e yöneltilen eleştirilerde önemli bir yer tutuyor. Zira uygulama özellikle de tekel haline gelmiş uluslararası teknoloji firmalarına karşı "reklamsız, sansürsüz" bir platform olarak tanıtılıyor. Ancak aydınlatma metnine göre verilerin rıza dahilinde de olsa yine reklam amacıyla Google ve Meta gibi teknoloji devleriyle paylaşılması mümkün olacak.
7. Kullanıcı rızası nasıl alınacak?
Aydınlatma metninde bu tür veri paylaşımları için kullanıcı rızasının alınacağı da açıkça belirtilmiş. Ancak bu rızanın nasıl alınacağına dair ayrıntılara yer verilmiyor.
Avukat Dicle, "Normal şartlarda bir rıza alınıyorsa 'izin ile' dediği yerde oraya ayrı bir metin bağlantısı verilir. Bir izin metninin geçerli olabilmesi için 'açık rıza' dediğimiz bir kavramı sağlaması lazım. Kullanıcının açıkça bir yere tıklaması lazım" diyor.
Türkiye'nin de büyük ölçüde örnek aldığı AB Genel Veri Koruma Tüzüğü'ne (GDPR) göre, kullanıcı rızasının, net ve kasıtlı bir hareketle (bir kutuyu işaretlemek, bir butona tıklamak gibi) alınması gerekiyor. Ayrıca her veri işleme amacı için (örneğin pazarlama, konum verisi, analiz çerezleri) ayrı ayrı rıza istenmeli. GDPR’ye göre “önceden seçili onay kutuları” geçerli rıza sayılmıyor.
Dicle, "Bu yasalar uyarınca verilerin belirli şartlarda toplanması gerekiyor. Avrupa'daki mevzuatla Türkiye'deki mevzuatın arasında çok büyük farklar yok artık. Veri toplamak için haklı gerekçeler olmalı, açık rıza bu gerekçelerden biridir ama doğru alınması lazım" diye ekliyor.
"Yani sağlık verisinin reklam amacıyla işlenebilmesi için çok net, kişiyi çok doğru bilgilendiren bir açıklık lazım. Tek başına bu metinle rıza alınmış olmuyor, onu söyleyebilirim."
Öte yandan Next Sosyal, kullanıcıların rızasını sonradan geri çekebileceğini de belirtiyor. Kullanıcı rızasını geri çektiğinde veri işleme faaliyetlerinin durdurulacağı ve bu verilerin silineceği veya anonim hale getirileceği vurgulanıyor.
Bu da aslında GDPR ile uyumlu bir özellik. Ancak GDPR'ye göre rıza geri çekme, rıza verme kadar kolay olmalı. Next Sosyal ise rızanın geri çekilmesi için e-posta gönderme veya dilekçe yazmayı şart koşuyor.
8. Peki Next Mesajlaşma uygulaması nasıl?
WhatsApp alternatifi olarak değerlendirilen Next Mesajlaşma uygulaması ise Next Sosyal'den çok daha farklı. Uygulama mağazalarında yerini alan mesajlaşma platformunun ana vaatleri şunlar:
- Güvenli ve bağımsız iletişim
- Konuşmaların nerede tutulacağını seçme hakkı
- Telefon numarası vermeme özgürlüğü
- Reklamsız ve veri madenciliği olmayan bir iletişim ortamı
- Uçtan uca şifreleme
Next Mesajlaşma, tüm bu vaatlerini karşılamak için yine merkeziyetsiz ve açık kaynaklı bir iletişim protokolü olan "matrix.org" üzerine kurulmuş. Uygulama indirildiğinde kullanıcıdan sunucu seçmesini istiyor ve varsayılan olarak matrix.org sunucusunu öneriyor.
9. Matrix.org nedir?
Matrix.org, yine herkesin kendi sunucusunu kurabileceği federatif bir yapıya sahip. Mastodon'da olduğu gibi farklı sunuculardaki kullanıcılar birbirleriyle iletişim kurabiliyor.
2014'te Matthew Hodgson ve Amandine Le Pape tarafından geliştirilen protokol, 2017'de kurulan The Matrix.org Foundation adlı kar amacı gütmeyen vakıf tarafından yönetiliyor. WhatsApp, Telegram, Slack gibi sistemlerin aksine açık standartlara dayalı olan Matrix, devletler ve kurumlar için kendi sunucularını kurabilecekleri güvenli ve şifreli bir altyapı sunmayı hedefliyor.
Next Sosyal'in aksine Next Mesajlaşma uygulaması bu kez açık kaynak hareketine daha sadık kalmış gibi görünüyor. Öncelikle burada kullanıcı Matrix'in kendi ana sunucusuna yönlendiriliyor ama kendi sunucusunu kurmak isteyen kullanıcıların birbiriyle iletişim kurabilmesinin önü kesilmemiş. Yani farklı bir sunucu üzerinden, Next Mesajlaşma'yı kullanan insanlarla konuşmanız mümkün.
10. Veri mahremiyeti ne durumda?
Next Mesajlaşma uygulaması, varsayılan sunucuya kaydolmak isteyen kullanıcıları doğrudan Matrix.org'un aydınlatma metnine yönlendiriyor. Bu metinde ise toplanan kullanıcı verileri şöyle sıralanıyor:
Hesap bilgileri: Kullanıcı adı, e-posta (eğer verildiyse), IP adresi, cihaz bilgileri.
Mesaj içerikleri: Eğer uçtan uca şifreleme açık değilse mesajların içeriği sunucuda düz metin olarak tutulabilir. Birebir konuşmalarda uçtan uca şifreleme otomatik olarak açık. Ancak toplu sohbetlerde (grup, kanal, halka açık odalar) şifreleme varsayılan olarak kapalı olabilir ve elle açmak gerekebilir. Bunun dışında şifreleme istemci tarafından yapıldığı için sunucu dahi mesajın içeriğini göremez.
Metaveriler: Kullanıcının hangi odalara katıldığı, mesaj gönderme zamanları, hangi kullanıcılarla konuştuğu gibi bilgiler.
Cihaz bilgileri: Hangi cihazdan bağlanıldığı, tarayıcı/istemci bilgileri.
Matrix.org sunucusu, kullanıcı verilerini satmıyor ve reklam amaçlı paylaşmıyor. Ancak Avrupa veri koruma yasalarına (GDPR) uygun şekilde yasal zorunluluk durumlarında (mahkeme kararı gibi) yukarıdaki bazı bilgiler paylaşılabilir. Ayrıca hizmetin teknik altyapısını sürdüren taşeron firmalarla (örneğin barındırma şirketi) sınırlı olarak veri paylaşımı ihtimal dahilinde.
