Cüneyt ÜRE
Adli Bilişim ve Siber Güvenlik Uzmanı
2025 yılının başında Çin menşeili DeepSeek AI uygulaması, ChatGPT benzeri yetenekleri açık
kaynaklı mimariyle sunarak dikkatleri üzerine çekti. Ancak kısa süre içerisinde, uygulamanın
gizlilik politikasında yer alan bir ifade, özellikle siber güvenlik ve kişisel veri koruma
alanlarında tartışmalara yol açtı: “Tuş vuruşu desenleri veya ritimleri” (keystroke patterns or
rhythms). Bu ifadenin kullanıcı davranışlarının ayrıntılı takibini mümkün kılabilecek nitelikte
olması, başta Avrupa ve Asya olmak üzere birçok ülkede düzenleyici kurumları harekete
geçirdi.
Tuş Vuruşu Verisi Nedir?
Tuş vuruşu verisi, bir kullanıcının klavyede yazı yazarken gösterdiği davranışsal örüntüleri
ifade eder. Örneğin hangi tuşa ne kadar süreyle basıldığı, tuşlar arası gecikme süreleri, yazım
sırasında yapılan düzeltmeler ve benzeri etkileşimler; kişiye özgü dijital bir imza niteliği taşır.
Bu veri türü, içerik odaklı değil, davranış odaklı olduğu için, bireyin tanınmasına imkân
sağlayan davranışsal biyometrik veri kapsamında değerlendirilir.
Siber güvenlik literatüründe “klavye dinamiği analizi” (keystroke dynamics) olarak bilinen bu
yöntem, kullanıcının kimliğini doğrulamak, sahtecilik tespiti yapmak veya kullanıcı
davranışlarını modellemek gibi amaçlarla kullanılabilir. Ne var ki, bu verinin izinsiz şekilde
toplanması halinde ciddi gizlilik ihlalleri doğabilir.
DeepSeek AI’nin İlk Gizlilik Politikası ve Teknik Altyapı
Ocak 2025’te yayımlanan gizlilik politikasında, DeepSeek AI’nin “otomatik olarak
toplanabilecek teknik bilgiler” başlığı altında “tuş vuruşu desenleri veya ritimleri” ifadesine
açıkça yer verildiği tespit edilmiştir. Bu ifade, uygulamanın kullanıcıların klavyedeki yazım
tarzını takip edebileceğini ve bu veriyi analiz edebileceğini göstermektedir.
Teknik analizler, uygulamanın içinde bazı üçüncü taraf yazılımların bulunduğunu ortaya
koymuştur. Örneğin RangersAppLog ve Fengkong Cloud gibi SDK’lar, cihaz parmak izi
oluşturma (device fingerprinting) ve kullanıcı davranışlarını izleme amacıyla uygulamaya
entegre edilmiştir. Bu altyapılar, teorik olarak tuş vuruşu verisi dâhil olmak üzere kullanıcı
etkileşimlerini kaydedebilir niteliktedir.
Politika Değişikliği ve Açıklamaların Yetersizliği
Kamuoyu baskısı ve Güney Kore ile Almanya gibi ülkelerde başlatılan resmi soruşturmaların
ardından, DeepSeek AI 14 Şubat 2025 tarihinde gizlilik politikasını güncelleyerek “tuş vuruşu
desenleri” ifadesini kaldırmıştır. Şirketin açıklamasına göre, bu veri hiçbir zaman fiilen
toplanmamış, söz konusu madde yalnızca sistem tasarımı sırasında “ileride gerekirse”
düşüncesiyle eklenmiştir.
Her ne kadar bu beyan hukuken bir savunma niteliğinde olsa da, kullanıcı güveni açısından
yeterli görülmemektedir. Zira uygulamanın bu veriyi teknik olarak toplayabilecek kapasitede
olduğu açıkken, ifadenin politikadan çıkarılması bu yeteneğin devre dışı bırakıldığını veya
kullanılmadığını kesin biçimde ispatlamamaktadır.
Bu noktada önemli olan, yalnızca metinsel beyanlar değil, teknik şeffaflık ve bağımsız denetim
sonuçlarıdır. DeepSeek AI’nin altyapısında yer alan SDK’lar hâlâ aktifse, kullanıcıların tuş
vuruşu verisinin dolaylı yollardan toplanmadığını garanti etmek mümkün değildir. Dolayısıyla,
bu konuda hâlen belirsizlikler ve teknik şüpheler devam etmektedir.
Hukuki Değerlendirme: KVKK ve GDPR Çerçevesi
Tuş vuruşu verisi, 6698 sayılı KVKK ve AB Genel Veri Koruma Tüzüğü (GDPR) kapsamında
“özel nitelikli kişisel veri” hatta “biyometrik veri” olarak sınıflandırılabilir. Zira bu veri, bireyin
davranışsal özelliklerini benzersiz biçimde tanımlamaya olanak tanımaktadır.
Bu kapsamda, söz konusu verinin işlenebilmesi için açık ve belirli bir rıza alınması
gerekmektedir. DeepSeek’in gizlilik politikası, genel bir onay metnine dayandığı için, bu tür
hassas veri işlemeye özel ve açık rıza alındığı söylenemez. Ayrıca, politikaların ilk etapta
yalnızca İngilizce yayımlanması, Türkiye gibi ülkelerde aydınlatma yükümlülüğünün ihlaline
yol açabilecek bir uygulama olarak değerlendirilmiştir.
Etik ve Güven Perspektifi
Kullanıcıların yazım tarzlarının dahi izlenmesi, dijital mahremiyet açısından ciddi bir etik
sorundur. DeepSeek AI’nin bu yöndeki yaklaşımı, birçok kullanıcıda “gözetlenme” hissi
oluşturmuş ve uygulamaya duyulan güveni ciddi biçimde sarsmıştır. Sosyal medyada ve
teknoloji forumlarında kullanıcılar, bu tür bir izleme riskini fark ettikten sonra uygulamayı
kullanmayı bıraktıklarını ifade etmişlerdir.
Etik çerçevede değerlendirildiğinde, şeffaflık ilkesi yalnızca metin düzeyinde değil, uygulama
düzeyinde de geçerli olmalıdır. Kullanıcının, hangi verisinin, ne amaçla toplandığını açıkça ve
kolaylıkla anlayabileceği şekilde bilgilendirilmesi zorunludur. DeepSeek AI örneğinde ise bu
bilgilendirme sürecinin yetersiz ve yüzeysel kaldığı açıktır.
Sonuç ve Öneriler
DeepSeek AI örneği, yapay zekâ tabanlı hizmetlerin yalnızca teknik başarılarıyla değil, aynı
zamanda hukuka ve etik değerlere bağlılıklarıyla da değerlendirilmesi gerektiğini ortaya
koymuştur. Tuş vuruşu gibi son derece hassas verilerin toplanması, ancak yüksek şeffaflık,
teknik gereklilik ve kullanıcının açık rızasıyla meşru kabul edilebilir.
İfadenin gizlilik politikasından çıkarılmış olması olumlu bir gelişme gibi görünse de, fiilen bu
verilerin toplanmadığına dair bağımsız teknik denetim sonuçları kamuoyuyla
paylaşılmadıkça, uygulamaya duyulan güvensizlik bütünüyle ortadan kalkmayacaktır.
Bu bağlamda, kullanıcıların dijital reflekslerini güçlendirmesi; uygulamaların gizlilik
politikalarını dikkatle incelemesi ve haklarını bilinçli şekilde kullanması önem arz etmektedir.
Aynı şekilde, veri işleyen şirketlerin de yalnızca metinsel düzenlemelerle değil, teknik
pratiklerini denetlenebilir şekilde dönüştürmeleri gerekmektedir.
