Posted on

Hindistan’ın Tokenizasyon Çerçevesi ve Gizlilik İle İlgili Yarattığı Hoşnutsuzluklar*

Hindistan Merkez Bankası (Reserve Bank of India; RBI), tüketicilerin finansal verilerinin ihlal edilmesinin sonuçlarını hafifletmek için, yakın zamanda ödeme ekosistemindeki güvenlik açıklarını azaltacak çözümleri formüle etmeye çalıştı. İşte tokenizasyon (tokenisation), anlamlı bir bilgi parçasının rastgele bir karakter dizisiyle, yani bir “token” ile değiştirilmesini içeren böyle bir çözümdür.

RBI tarafından dağıtılan tokenizasyon çerçevesi, piyasa oyuncularını piyasayı tokenizasyon tabanlı çözümlerle doldurmaya teşvik eder. Bununla birlikte, bu konudaki bir makale, bu tür çözümlerin, tek bir teknoloji riskine, yani Hindistan’daki ödeme sistemlerinin ihlaline yanıt verdiği için uygulamada sınırlı olacak şekilde tasarlandığını savunuyor. Ayrıca, hem teknoloji merkezli veri güvenliği kaygısını hem de insan merkezli veri gizliliği kaygısını ele almaya öncelik verebilecek kapsamlı bir yasanın yokluğunda bunu yapıyorlar.

1. Tokenizasyon Çerçevesinin Sınırlamaları

Finansal verilerin korunması için kapsamlı bir çerçevenin yokluğunda, RBI, kart verilerinin güvenliği ve müşteri rahatlığının zorunluluklarını dengelemek için parça parça düzenlemeye başvurdu. Makale, tokenizasyon çerçevesinde somutlaşan bu yaklaşımın, Hindistan’daki finansal verilerin korunmasına ilişkin daha geniş endişelere yol açtığını savunuyor.

  • Birincisi, çerçeve görünüşte satımcıların (traders) ve aracı kurumların (brokers) elindeki kart kimlik bilgilerinin güvenliğini artırırken, kart sahiplerinin finansal verilerinin güvenliğine yönelik çok sayıda diğer riski [satış noktasının (point-of-sale; POS) gözden geçirilmesi ve oltalama/kimlik avı (skimming and phishing) gibi eylemlerle ilişkili riskler dahil] göz ardı eder. makalede, böyle bir çerçevenin, hem yasal kesinliğin ilkeli perspektifinden hem de finansal hizmet sağlayıcılar için uygunluk maliyetlerine ilişkin pragmatik perspektiften zararlı olacağı not ediliyor.
  • İkincisi, çerçevenin basitleştirilmiş kart sahibi onayı formülasyonunun, herhangi bir finansal veri biçiminin işlenmesinde yer alan onayın çeşitli boyutlarını hesaba katmadığı da makalede not ediliyor. Bu boyutlar, kart hamilinin rızasını alırken üstlendiği risk düzeyini anladığını hesaba katmamayı ve rızanın reddedilmesi durumunda asgari bir hizmet standardı garantisinin bulunmamasını içerir.
  • Üçüncü olarak, makalede, çerçevenin, kart sahibi veri güvenliğini artırabilecek bir dizi önlem arasında tek bir teknolojik çözümü, yani tokenizasyonu desteklediği gözlemleniyor ki; bunlar, diğer teknolojik çözümleri [şifreleme ve anonimleştirme (encryption and anonymization) gibi] ve ayrıca ödeme sistemlerinin işleyişinde şeffaflığı ve hesap verebilirliği artırmaya yönelik düzenleyici mekanizmaları (düzenleyici denetimler ve mahremiyet etki değerlendirmeleri gibi) içermektedir. Maliyetlerine ve faydalarına ilişkin göreceli bir değerlendirme olmaksızın tokenizasyona etkili bir şekilde öncelik verilmesi, ölçeğe daha duyarlı, daha az kesintiye yol açabilecek ve kart sahibi verilerini daha sağlam bir şekilde koruyabilecek alternatiflerin geliştirilmesini caydırıcı riskler taşır.

2. Tokenizasyon Çerçevesinin Sınırlamalarını Ele Alma

Mezkûr makale, yukarıda tartışılan sınırlamaların, tokenizasyon çerçevesini ödeme verileri için yetersiz bir gizlilik çözümü haline getirdiğini savunuyor; makalede, optimum çözümün, kapsamlı bir veri gizliliği yasasının çıkarılması olduğu savunuluyor. Bu amaçla, makale, kapsamlı bir gizlilik yasasının tokenizasyon çerçevesi üzerinden sağladığı beş avantajı tanımlamaktadır.

  • İlk olarak, kapsamlı veri gizliliği yasaları, verileri yönetmek için ilke odaklı bir yaklaşım benimsemektedir. Bu ilkeler, esas düzenlemede esaslı bir değişiklik yapılmaksızın, finansal verilerin kendiliğinden işlenmesinden kaynaklanan mevcut ve yeni risklere uygulanabilir.
  • İkinci olarak, gizlilik yasaları finansal verilerin işlenmesini daha şeffaf hale getirir. Bu amaçla, makalede, Hindistan’ın 2021 tarihli Veri Koruma Yasası taslağında [‘DP Yasa tasarısı’ (draft Data Protection Bill, 2021)] üç aracın oynadığı rol inceleniyor: denetim, veri koruma etki değerlendirmesi ve veri ihlali raporlaması (auditing, data protection impact assessment, and data breach reporting). Bu araçların finansal hizmetler için sistemik risk değerlendirmesine öncelik verildiği görülüyor. Bireyleri, kişisel verilerinin işlenmesiyle ilgili riskleri daha iyi değerlendirmeleri için güçlendirir.
  • Üçüncüsü, kapsamlı veri gizliliği yasaları, finansal verileri hassas kişisel veriler olarak ele alır. Bu sınıflandırma, düzenleyicilerin finansal verilerin çeşitli alt türlerini tek bir veri olarak ele almasına olanak tanır. Bu tür bir muamele, parça parça finansal veri gizliliği düzenlemeleri arasında arbitrajla ilgili endişeleri engellemeye yardımcı olur.
  • Dördüncüsü, kapsamlı bir veri koruma yasasının finansal veriler için daha iyi bir onay çerçevesi uygulaması muhtemeldir.
  • Beşinci olarak, makalede, Hindistan’ın finansal veri koruma ekosisteminde bölge savaşları olasılığı da ele alınıyor. RBI ile önerilen bir Hindistan Veri Koruma Otoritesi (Data Protection Authority of India; DPAI) arasındaki çatışma potansiyelini değerlendirerek, DP Yasa tasarısı gibi araçların düzenleyici işbirliğini teşvik etmek için tasarlandığı not ediliyor; bu amaçla, DP Yasa tasarısının çatışmaları iyileştirici hükümleri inceleniyor ve bunların etkili olma ihtimalinin yüksek olduğu not ediliyor.

3. Sonuç

RBI’nin tokenizasyon çerçevesi, gizlilik ve veri güvenliği risklerini düzenlemeye ilişkin gerekli hususlarla motive edilmiş olsa da, içsel sınırlamaları, onu ödeme verileri için yetersiz bir gizlilik çözümü haline getiriyor. Buna göre, ilgili riskleri ele almak için en uygun yöntemin, içinde gömülü olan yol gösterici ilkeler ve araçlarla birlikte kapsamlı bir veri koruma mevzuatının çıkarılmasında yattığı savunuluyor.

Makalenin yayınlanmasından bu yana, Hindistan yeni bir veri koruma yasası taslağı yayınladı. 2022 tarihli Dijital Kişisel Verileri Koruma Yasa taslağı [1][kısaca ‘2022 tarihli Yasa taslağı’ (draft Data Protection Bill, 2022)], DP Yasasında yer alan temel veri gizliliği ilkelerini büyük ölçüde korumakta; bununla birlikte, önemli farklılıklar da içermektedir: örneğin, DPAI’nin yerine bir Veri Koruma Kurulu geçmiştir. Küresel Güney’de mahremiyet yasalarının geliştirilmesi ile ilgilenen akademisyenler, 2022 tarihli Yasa Taslağına bakmak isteyebilir.

[1] < https://www.meity.gov.in/writereaddata/files/The%20Digital%20Personal%20Data%20Potection%20Bill%2C%202022_0.pdf >

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.