Oyunlar, Çocuklar ve Kişisel Veriler
Bu yazıda oyunlar, oyun şirketleri ve oyun yayıncıları açısından kişisel verilerin nasıl kullanıldığına ve veri güvenliği risklerine değiniyor olacağız.
Fun Fact #1: Oyun şirketlerinin oyunculardan topladığı kişisel verilerin, aslında kişilerin korkuları, karar alma mekanizmaları ve risk yatkınlıkları hakkında detaylı profilleme çalışmaları yapılabilmesine imkan sağladığını biliyor muydunuz?
Oyunlar her ne kadar her yaşa hitap ediyor olsa da oyuncu kitlelerinin büyük çoğunluğunu çocuklar oluşturuyor. Bu da oyun içinde toplanmakta olan verilerin daha geniş önlemler alınarak işlenmesi gerekliliğini ortaya çıkarıyor. Peki oyun şirketleri bu ek koruma mekanizmalarını ne kadar uygulamaya koyuyor?
Oyun yapımcıları ve oyun yayıncıları için çocuklar çok büyük bir pazar anlamına geliyor. Çocukların, ebeveynlerinin kredi kartını kullanması ya da onayını almasını gerektirmeden oyunlara ücretsiz olarak erişmesini sağlayan “free-to-play” oyunlar, oyun sektörünü domine etmiş durumda.
Free to play oyunlar, yoğun bir şekilde kişisel veri toplamaya yatkın iş modelleri olmaları sebebiyle, veri güvenliğine ilişkin riskleri oyuncu kitlelerinin büyüklüğü ile paralel bir şekilde artırıyor.
Diğer sektörlerde olduğu gibi, oyun ekosisteminde çocuklar oyun şirketleri ile yetişkinlere kıyasla kişisel verilerini paylaşmaya çok daha yatkın.
Bu da çocukların GDPR, COPPA ve KVKK gibi düzenlemeler kapsamında yetişkinlere göre ek koruma öngörülen hassas kişi gruplarından olmasının arkasındaki sebeplerden biri.
Son iki senenin en popüler oyun türlerinden olan Fortnite, Apex Legends ve Pubg gibi “battle royale” oyunların tek bir maç/oyun için ortalama yüz oyuncuyu aynı sunucuda buluşturması gerekiyor. Bunun için de yoğun oyuncu kitlelerine ulaşıp onları bir şekilde oyunun içinde tutmaları gerekiyor. Bu nedenle “call of duty” gibi istisnaları saymazsak genelde battle royale oyunları iş modeli olarak free to play modelini tercih ediyor. Daha sonrasında oyun içi satışlarla (“in game purchase”) bu yoğun kullanıcı kitlelerinden korkunç paralar kazanılıyor.
Çocukların “Eğer bir ürün sizden para talep etmiyorsa asıl ürün sizsiniz” ifadesinin bilincinde olmadıklarını tahmin edebiliriz.
Bu da aslında çocukların kişisel verilerini tüm arkadaşlarının oynadığı bu oyunlar için oyun şirketlerine vermekte bir saniye bile tereddüt etmemesine yol açıyor. Oyun şirketleri bu verileri sadece oyunlarını iyileştirmek için kullanmıyor tabi, aynı zamanda bu veriler üçüncü partiler ile gelir elde edilmek için de paylaşılıyor.
GDPR-K ve KVKK’nın çocuklar için öngördüğü korumaların uygulanmasını gözlemlemek için biraz daha beklememiz gerekiyor. Ancak 2002’de yürürlüğe giren COPPA’nın diğerlerine nazaran uzun bir süredir uygulanması ve ilişkili içtihatlar bakımından da daha zengin bir kaynak olması sebebiyle ilk olarak bu düzenlemeyi ele alacağız.
2013 yılında Amerikan Federal Ticaret Komisyonu tarafından gerçekleştirilen güncellemeler ile kişisel verilerin tanımı ve kapsamı, cookie ve pixel’ler ile toplanan eşsiz tanımlayıcıların da kapsama alınmasıyla Avrupa standartlarına taşındı.
COPPA, 13 yaşından küçük çocukları hedefleyen ve sunduğu hizmetler kapsamında bu yaş grubundan kişisel veri toplayan hizmetleri kapsamına alıyor. Ayrıca tüm yaşlara hitap eden sitelerin(“mixed audience”) de 13 yaşından küçük çocukların hizmetlerini kullandığını “biliyor olması” durumunda COPPA kapsamına girmelerini sağlıyor.
Bir hizmetin COPPA kapsamına girip girmediğinin tespitinde, hizmet içerisinde yer alan içeriklerin çocuklara yönelik olup olmadığının değerlendirmesi yapılıyor. Animasyon kullanımı, kullanılan dil, reklamların çocukları hedeflemesi, görsel ya da seslerin çocuklara hitap etmesi gibi faktörler belirleyici oluyor.
Bazı istisnalar dışında, GDPR ile paralel olarak COPPA kapsamına giren sitelerin, verileri işlenecek olan çocukların vasilerinden doğrulanabilir vasi rızası (“verifiable parental consent”) alınması koşuluyla verilerin işlenmesini öngörüyor.
Bazı oyun şirketleri, COPPA kapsamına girmemek adına gizlilik politikalarına 13 yaşından küçüklerin oyunlarını oynamalarının yasak olduğuna ve isteyerek / bilerek 13 yaşından küçüklerin verilerini toplamadıklarına ilişkin ifadeler yer vermeye başladı.
Hatta 2013 senesinde kişisel veri tanımının eşsiz tanımlayıcılar ile konum ve cihaz verilerini de kapsamına alacak şekilde genişletilmesinin sebebi oyun şirketlerinin COPPA kapsamına girmemek adına pasif takip teknolojileri ile yoğun bir şekilde çocuk verilerini topladıklarının ortaya çıkması olmuştu.
Peki ebeveynlerin oyunlar üzerinde ne kadar kontrolü bulunmakta?
Oyun konsollarının çoğunun bir şekilde ebeveynlere kontrol mekanizması sunmaya çalıştığını belirtebiliriz. Sony, Playstation platformunda ebeveynlerin çocuklarının kullanabileceği özellikleri sınırlayabilmesine ve yaş sınırlaması olan oyunlarda çocuğun yaşına göre oyunlara erişebilmesine ilişkin kontrol sağlanıyor.
Nintendo Switch ise gün içerisinde çocukların en fazla kaç saat oyun oynayabileceğini belirleme imkanı veriyor ebeveynlere. Mobil cihazlarda da hangi tür oyunların oynanıp oynanamayacağını ya da oyun içi satın alımlara izin verilip verilmeyeceğine ilişkin kontroller sunuluyor.
VR teknolojilerine baktığımızda ise oyun geliştiricilerinin açık bir şekilde 13 yaşından küçük çocukların sanal gerçeklik oyunlarını kullanmalarının yasak olduğunu ifade ettiklerini görüyoruz.
Oyun şirketleri takip teknolojileri vasıtasıyla çocuk verilerini uzun bir süredir topluyor. VR teknolojilerinin bu kadar yaygın olmasından önce de hareket analizi yapan Nintendo Wii, Playstation Camera ve Xbox Kinect gibi ürünler kameralar, sensörler ve mikrofonlar vasıtasıyla oyunculara ilişkin detaylı veriler toplamaktaydı.
Artık oyun içi içeriklerin arkadaşlarla paylaşılabilmesi için sosyal medya hesaplarının oyuncu kimliğiyle eşleştirmesi yapılabiliyor. Yoğun tepkiler sonucunda Sony Playstation, kısa bir zaman önce Playstation Network Hesabı ile Facebook entegrasyonu özelliğini kaldırdığını duyurdu.
Yapılan araştırmalarla oyun şirketlerinin konum bilgisi, yüz tanıma, kalp atışı, tepki süresi gibi bilgileri topladığını biliyoruz.
Bu verilerin espor ekosisteminde daha korkunç boyutlara ulaştığını görüyoruz. Profesyonel espor oyuncularının çoğunun reşit olmadığını da göz önüne aldığımızda espor takımlarının sistematik ve yoğun bir şekilde çocuklara ilişkin hassas ve biyometrik veriler topladığı sonucuna varıyoruz.
Milisaniyelerin bile önemli olduğu bu sporda takım sahiplerinin bu tepki sürelerini ölçmek istemesi aşırıya kaçıyor mu sorusu yapılacak denge testlerinin konusu; ancak toplanan bu veriler, verilerin güvenliği ve hukuka uygunluğu bakımından yüksek risk teşkil etmesi sebebiyle sorumlulukları ciddi oranda artırmakta.
Oyun şirketlerinin yoğun bir şekilde oyun içi veri toplamalarının yanında, bu verileri üçüncü kişiler ile paylaşılmakta olduğunu görüyoruz.
Özellikle reklam ağları, oyuncu verilerini kendi veri tabanlarında yer alan veriler ile birleştirerek, “ doğrulanabilir vasi onayı” almadan çocuklara yönelik hedefli pazarlama çalışmaları yürütülebilmekte. Yapılması gereken, oyun şirketlerinin tek tek kimlerle kişisel verileri paylaştığını gizlilik politikalarında belirtmesi ve ebeveynlerin bu bilgileri dikkate alarak çocuklarının oyunlara erişimine izin verip vermeyeceğine karar vermesidir.
Gizlilik politikalarında bırakın bu bilgilere yer verilmesine, kullanılan ağır hukuk jargonları nedeniyle bu politikalar adeta anlaşılmaz olmak üzere kaleme alınıyorlar.
Yoğun olarak çocukların bu oyunları oynadığı göz önüne alındığında dilin basitleştirilmesinde, hatta GDPR-K kapsamında gündeme gelen animasyonlar ile çocukların dikkatini çekebilecek şekilde hazırlanmasında fayda var.
Şimdiye kadar hep oyun şirketlerinden bahsettik fakat burada konsol ve platform geliştiricilerin de yoğun bir şekilde oyuncu verisi topladığını belirtmek gerekiyor. Valve, Sony, Apple Microsoft ve Nintendo gibi devler oyuncuların konum bilgileri, chat mesajları, fotoğraf, ses kaydı, video görüntüleri, ödeme geçmişi ve kart bilgileri gibi bilgilerini toplamakta. Ayrıca bunlar sadece göz önünde olan veriler; pasif takip teknolojileri ile ne gibi veriler toplandığını ancak tahmin edebiliyoruz. Oyun şirketleri gibi bu şirketler de topladıkları verileri iş ortakları ve reklam ağları ile paylaşmakta.
Oyun sektörünü köklü bir şekilde değiştirmeyi hedefleyen Google’ın bulut oyun servisi Stadia’dan da bahsetmeden bu yazımızı sonlandıramayız.
Google, Stadia aracılığıyla oyunları kendi sunucularında çalıştıracak ve oyuncular ise konsol bağımsız olarak oyunları bu bulut hizmet üzerinden oynayabiliyor olacaklar. Bu sayede mesela Witcher 3 gibi bir oyunu mobil telefonlarımızdan ya da tabletlerimizden oynayabileceğiz. Google’ın Stadia platformu ile oyun sektörünün Netflix’i olmayı hedeflediğini söyleyebiliriz.
Eğer Google, Stadia hizmetini yüksek performanslı bir şekilde sunmayı başarıp büyük bir kitleye ulaşabilirse, şirketin korkunç büyüklükte bir veri kaynağına daha sahip olacağına dikkat çekmemiz gerekiyor.
Fun Fact #2: Oyun içi davranış verilerinin, kişiler hakkında sosyal medya hesaplarından çok daha fazla bilgi sunduğunu biliyor muydunuz?
Günümüzde oyuna giriş yapıldığı saat, tarih, oyun arkadaşları, ve hangi oyunların oynandığına ilişkin bilgilerin toplandığı belirttik. Google Stadia ya da Apple Arcade gibi oyun platformları, oyuncuların karar verme mekanizmaları, strese karşı verdikleri tepkileri ve öğrenme yetenekleri gibi bilgileri de artık elde edebilecekler.
Bu bilgiler ışığında, oyun sektörünün gerek hukuki gerek teknik anlamda kişisel veri güvenliği bakımından üzerine daha fazla çalışılması gereken bir dikey olmaya doğru gittiğini söyleyebiliriz.
Peki biz kim miyiz? Verilogy; neyi, nasıl korumanız gerektiğini söyleyen bir platform!
Web sitemizi ve sosyal medya hesaplarımızı ziyaret ederek Verilogy hakkında daha fazla bilgi edinebilirsiniz:
