Avrupa Birliği’nin veri koruma kural kitabının ChatGPT için nasıl uygulanacağını değerlendirmek için bir yıldan fazla zaman harcayan bir veri koruma görev gücü, Cuma günü ön sonuçlarını bildirdi. Yayınlanan raporun en önemli yanı, gizlilik uygulayıcılarından oluşan çalışma grubunun henüz OpenAI tarafından gerçekleştirilen veri işleme faaliyetlerinin yasallığı ve adil olup olmadığı konusunda henüz kararsız görünmesi.
Bu konu, yani veri işlemenin yasal bir zemine oturması ve adil bir şekilde gerçekleştirilmesi AB için son derece önemli zira AB bloğunda gizlilik rejiminin onaylanmış ihlallerine yönelik cezalar ilgili firmanın küresel yıllık cironun %4’üne kadar ulaşabiliyor. Gözlemci kurumlar ayrıca uygun olmayan işlemlerin durdurulmasını ve hatta ilgili firmanın tüm faaliyetlerinin engellenmesini de emredebilir. Dolayısıyla teoride OpenAI, yapay zekâ için henüz özel yasal düzenlemelerin olmadığı bir dönemde bölgede önemli bir riskle karşı karşıya.
AB veri koruma uygulayıcıları mevcut veri koruma yasalarının ChatGPT’ye nasıl uygulanacağı konusunda netlik sağlamadan, OpenAI şimdilik sadece ufak dokunuşlarla bloğun Genel Veri Koruma Yönetmeliği’nin (GDPR) çeşitli yönlerini ihlal ettiğine dair artan sayıda şikayetten sıyrılmayı başarıyor. Örneğin, Polonya’nın veri koruma otoritesi (DPA) tarafından açılan bu soruşturma, sohbet robotunun bir kişi hakkında bilgi uydurduğu ve hataları düzeltmeyi reddettiği yönündeki bir şikayet üzerine açıldı. Benzer bir şikayet kısa süre önce Avusturya’da da yapıldı. Firma bu şikayetleri ufak dokunuşlarla geçiştirmeyi başarmış gibi duruyor.
Geçen yıl İtalya’nın gizlilik gözlemcisi OpenAI’ye ChatGPT’nin yerel kullanıcılarının verilerini işleme konusunda geçici bir yasak getirdiğinde bunun bir işaretini gördük. GDPR’de yer alan acil durum yetkileri kullanılarak gerçekleştirilen eylem, yapay zekâ devinin ülkedeki hizmeti kısa süreliğine kapatmasına yol açtı. ChatGPT ise İtalya’da DPA’nın bir dizi talebine yanıt olarak kullanıcılara sağladığı bilgi ve kontrollerde değişiklik yapmasının ardından yeniden faaliyetlerine başlayabildi.
Buna karşın OpenAI’nin ilk etapta yapay zekâ modellerini eğitmek için insanların verilerini işlemek için iddia ettiği yasal dayanak gibi önemli konular da dahil olmak üzere sohbet robotuna yönelik İtalyan soruşturması devam ediyor. Dolayısıyla ChatGPT için AB genelinde belirsizlik devam ediyor.
ChatGPT için GDPR neden önemli?
GDPR kapsamında, insanlar hakkındaki verileri işlemek isteyen herhangi bir kuruluşun işlem için yasal bir dayanağı olması gerekiyor. Yönetmelik altı olası dayanak ortaya koyuyor – ancak bunların çoğu OpenAI’nin bağlamında mevcut değil. Ve İtalyan DPA, yapay zekâ devine, yapay zekâlarını eğitmek için insanların verilerini işlemek için sözleşmeye dayalı bir gereklilik iddiasına güvenemeyeceği talimatını verdi. Geriye sadece iki olası yasal dayanak bıraktı: ya rıza (yani kullanıcılardan verilerini kullanmak için izin istemek); ya da dengeleme testi gerektiren ve denetleyicinin kullanıcıların işleme itiraz etmesine izin vermesini gerektiren meşru menfaatler (LI) adı verilen geniş kapsamlı bir temel.
İtalya’nın müdahalesinden bu yana OpenAI, model eğitimi için kullanılan kişisel verileri işlemek için bir LI’ye sahip olduğunu iddia etmeye başlamış gibi görünüyor. Ancak Ocak ayında, DPA’nın soruşturmasına ilişkin taslak kararında OpenAI’nin GDPR’yi ihlal ettiği tespit edildi. Taslak bulguların ayrıntıları yayınlanmamış olsa da, otoritenin yasal dayanak noktasındaki tam değerlendirmesini henüz görmedik. Şikayete ilişkin nihai karar henüz verilmedi.
ChatGPT’nin yasallığı için hassas bir ‘düzeltme’ mi?
Görev gücünün raporu, ChatGPT’nin eğitim verilerinin toplanması; verilerin ön işlenmesi (filtreleme gibi); eğitimin kendisi; istemler ve ChatGPT çıktıları; ve ChatGPT istemlerine ilişkin her türlü eğitim dahil olmak üzere kişisel veri işlemenin tüm aşamaları için geçerli bir yasal dayanağa ihtiyaç duyduğuna işaret ederek bu çok değişkenli yasallık sorununu tartışmakta.
Listelenen aşamalardan ilk üçü, görev gücünün insanların temel hakları için “kendine özgü riskler” olarak nitelendirdiği riskleri taşımakta. Rapor, web kazıma ölçeğinin ve otomasyonunun, insanların yaşamlarının birçok yönünü kapsayan büyük hacimli kişisel verilerin alınmasına nasıl yol açabileceğini vurgulamakta. Rapor ayrıca kazınan verilerin sağlık bilgileri, cinsellik, siyasi görüşler vb. gibi en hassas kişisel veri türlerini (GDPR’nin “özel kategori verileri” olarak adlandırdığı) içerebileceğini ve bu verilerin işlenmesi için genel kişisel verilerden daha yüksek bir yasal çıta gerektirdiğini belirtiyor.
Özel kategori verilerle ilgili olarak görev gücü, bu verilerin kamuya açık olmasının “açıkça” kamuya açık hale getirilmiş sayılabileceği anlamına gelmediğini ileri sürüyor. Görev gücü ayrıca, “Ayrıca, eğitim aşamasından önce web kazıma yoluyla toplanan kişisel verilerin silinmesi veya anonimleştirilmesi için önlemler alınmalıdır” önerisinde bulunuyor.
ChatGPT kaygan bir zeminde mi ilerliyor?
ChatGPT görev gücü, Nisan 2023’te, İtalya’nın OpenAI’ye yönelik manşetlere taşınan müdahalesinin hemen ardından, bloğun yeni ortaya çıkan teknolojiye ilişkin gizlilik kurallarının uygulanmasını kolaylaştırmak amacıyla kuruldu. Görev gücü, bu alandaki AB yasalarının uygulanmasını yönlendiren Avrupa Veri Koruma Kurulu (EDPB) adlı düzenleyici bir kurum bünyesinde faaliyet gösteriyor. Bununla birlikte, DPA’ların bağımsız kaldığını ve GDPR uygulamasının merkezi olmadığı yerlerde yasayı kendi başlarına uygulama yetkisine sahip olduklarını belirtmek gerekiyor.
Mevcut durumda, DPA’lar arasında ChatGPT ile ilgili endişeler konusunda ne kadar acil hareket etmeleri gerektiği konusunda net bir görüş birlikteliği yok. Bu nedenle, İtalya’nın veri koruma kurumu geçen yıl hızlı müdahaleleriyle manşetlere çıkarken, İrlanda’nın eski veri koruma komiseri Helen Dixon, 2023’te bir Bloomberg konferansında DPA’ların ChatGPT’yi yasaklamak için acele etmemeleri gerektiğini söylemişti.
OpenAI’nin geçtiğimiz sonbaharda İrlanda’da bir AB operasyonu kurmak üzere harekete geçmesi muhtemelen tesadüf değil. Analistlere göre firma bu hamleyle birlikte hem AB veri koruma kanunlarına uyum sağlayacağı mesajını veriyor, hem de yatırım yaparak adeta bir sus payı sağlamaya çalışıyor.