TBMM’ye 4 Mart 2026’da sunulan kanun teklifi,

sosyal ağ sağlayıcılarının;
15 yaşını doldurmamış çocuklara hizmet sunamamasını,

15 yaşını doldurmuş çocuklar için ise;
ayrıştırılmış hizmet modeli ve ebeveyn kontrol araçları geliştirmesini öngörüyor.

Teklifte,
yaş doğrulama dahil; gerekli tedbirlerin alınması ve

yükümlülüklere uyulmaması halinde, yaptırım mekanizmaları da yer alıyor.

Konuyu değerlendiren,

siber güvenlik uzmanı Mehmet Tolga Ertürk;
çocukların, çevrimiçi ortamda korunmasının;
tartışmasız bir gereklilik olduğunu belirterek,

“Burada asıl mesele;
çocuk güvenliğine karşı çıkmak değil, o hedefe giderken;

bütün toplumu kimlik göstermeye zorlayan,

merkezi veri havuzları üreten ve

yarın başka amaçlarla da kullanılabilecek

bir denetim altyapısı kurup kurmayacağımızdır.

Çocuğu koruyalım derken;
herkesi, izlenen kullanıcıya çevirmemek zorundayız” dedi.

Ertürk;
dünyadaki düzenleyici eğilimin de

tek tip bir model, üretmediğine işaret etti.

Avrupa Birliği,
çocukların korunmasına yönelik DSA rehberini yayımlarken;
bir yandan da yalnızca “18 yaş üstü” bilgisini,

başka kişisel veri paylaşmadan kanıtlamaya dönük;

bir yaş doğrulama yaklaşımı ortaya koydu.

Birleşik Krallık’ta;

Ofcom, özellikle pornografik içerik sunan hizmetler için güçlü yaş kontrolü isterken;

Fransa’da,

CNIL; yaş doğrulamada “double anonymat” yaklaşımını,

yani; sitenin kimliği, doğrulayıcının ise; hangi siteye erişildiğini bilmemesini öne çıkarıyor.

Avustralya ise;
16 yaş altına, sosyal medya kısıtları ve yaşa bağlı içerikler için

daha sıkı yükümlülükler içeren, bir çerçeve uyguluyor.

Bu tablonun; Türkiye açısından önemli bir ders verdiğini söyleyen Ertürk,
“Uluslararası örnekler, bize şunu söylüyor:

Devletin ve platformların, çocuklar için koruma yükümlülüğü var;

ama, bunu yapmanın tek yolu;
herkesten kimlik fotoğrafı ya da yüz taraması toplamak değil.

Doğru soru, ‘yaş doğrulama olsun mu olmasın mı’ değil;

‘hangi bağlamda,

hangi veriyle,

ne kadar süreyle ve

hangi güvencelerle olsun’ sorusudur” ifadelerini kullandı.

Yaş tahmini ve biyometrik doğrulama teknolojilerinin,

çoğu zaman; olduğundan daha kesin gösterildiğini vurgulayan Ertürk,

“Yüz analizine dayalı yaş tahmini, sihirli değnek değil;
Bu sistemler, olasılıksal çalışıyor.

Özellikle; 13-17 yaş bandı ve eşik yaşlar civarında, hata payı büyüyor.

Yanlış sınıflandırılan; çocuk da mağdur oluyor, yetişkin de” dedi.

NIST’in yaş tahmini değerlendirmeleri ile

Avustralya’daki Age Assurance Technology Trial sonuçları da

performansın; görüntü kalitesi, cinsiyet, doğum bölgesi ve

demografik temsile göre değişebildiğini; dolayısıyla, bu araçların;

hatasız ve nötr sistemler olarak görülmemesi gerektiğini, ortaya koyuyor.

Ertürk’e göre;
daha büyük risk ise, teknoloji kadar verinin kendisinde yatıyor.

“Kimlik kartı, selfie, yüz verisi ya da biyometrik şablon topladığınız anda;
artık, çocuk güvenliği tartışmasından çıkıp;
yüksek değerli veri deposu kurma problemine giriyorsunuz.

Bu da kötüye kullanım, sızıntı ve hedefli saldırı riskini büyütüyor” diyen Ertürk,

yaş doğrulama süreçlerinin; üçüncü taraf tedarikçilere bırakıldığı modellerde,

riskin daha da arttığını kaydetti.

2025’te Discord’un yaş doğrulama süreçleriyle bağlantılı kimlik görsellerinin sızdırılması;

bu tartışmanın, teorik değil;

pratik bir güvenlik sorunu olduğunu gösteren örneklerden biri olarak, öne çıktı.

Türkiye’de biyometrik veri kullanımının,

ayrıca; KVKK boyutu bulunduğunu hatırlatan Ertürk,

“Biyometrik veri, sıradan veri değil.

Hukuken; daha sıkı korunan, teknik olarak; daha hassas bir alan.

Bir kere sızarsa, şifre gibi değiştirilemiyor.

O yüzden;
selfie ya da yüz taraması temelli kitlesel modeller,

çok daha ağır bir hukuki ve güvenlik yükü doğurur” değerlendirmesinde bulundu.

KVKK rehberlerinde, biyometrik verilerin;
özel nitelikli kişisel veri kapsamında ele alınması da bu hassasiyeti güçlendiriyor.

Ertürk;

çözümün, topyekûn yasak ya da sınırsız serbestlik ikileminde aranmasının;
yanlış olacağını söyledi.

Ona göre;
yüksek riskli alanlarda, daha güçlü yaş güvencesi gündeme gelebilir;

ancak, sosyal medya gibi geniş kullanım alanlarında asıl yük;
platform tasarımı,

varsayılan gizlilik ayarları,

ebeveyn kontrolleri,

tavsiye sistemlerinin sınırlandırılması ve

dijital okuryazarlık programlarında olmalı.

“Çocuk koruması; tek başına, yaş kapısı koyarak sağlanmaz.

Zararlı içerik dolaşımını,

bağımlılık üreten tasarım kalıplarını ve

istenmeyen teması da sınırlamanız gerekir.

Aksi halde;
vitrinde güvenlik konuşuruz,

arkada; aynı riskler çalışmaya devam eder” dedi.

AB Komisyonu’nun, çocukların korunmasına ilişkin DSA rehberi ile

UNICEF’in, yaş kısıtlarının tek başına yeterli olmayacağı yönündeki değerlendirmeleri de

bu konuda, daha geniş yaklaşımı destekliyor.

Sağlıklı modelin;
hizmetin yalnızca gerekli sonucu gördüğü,

kimlik bilgisini ise; görmediği sistemler olduğunu belirten Ertürk,

“Platformun bilmesi gereken tek şey;

kullanıcının, 15 yaş üstü ya da altı olup olmadığıysa;
eline doğum tarihi, kimlik kartı görseli ya da yüz verisi vermemelisiniz.

Token tabanlı, seçmeli açıklama yapan,

kısa süreli ve denetlenebilir mimariler, çok daha doğru yönde.

Bunun yanında;
ebeveyn araçları ve kamusal dijital okuryazarlık yatırımı, şart” diye konuştu.

Ertürk’e göre,
konunun; psikolojik, sosyolojik, hukuki ve politik boyutları bulunsa da

yaş doğrulama gibi teknik bir alanda uygulanabilir modelin anahtarı;
doğru teknolojik yaklaşımın seçilmesinde, yatıyor.

Kimlik belgesi ya da biyometrik verilerin,
doğrudan platformlarca toplanmasının;
veri sızıntısı, üçüncü taraflarla paylaşım ve ticari kullanım gibi

ciddi riskler doğurduğunu belirten Ertürk;

bu nedenle, yaş doğrulama sistemlerinin;
platformların ham veriye erişmediği,

erişim segmentasyonu ve token tabanlı doğrulama esasına dayanan

mimarilerle kurulması gerektiğini söyledi.

EDPB’nin, risk temelli ve en az müdahaleci yaş güvencesi ilkeleri ile

AB’nin, yaş doğrulama yaklaşımı da bu modeli destekliyor.