A ortak açıklama Aralarında Birleşik Krallık’ın ICO’su, Kanada’nın OPC’si ve Hong Kong’un OPCPD’sinin de bulunduğu bir düzine uluslararası gizlilik gözlemcisinin düzenleyicileri tarafından imzalanan anlaşma, ana akım sosyal medya platformlarını, kullanıcıların herkese açık gönderilerinin çalınmasını önlemek için teşvik etti; çoğu pazarda bunu yapma konusunda yasal bir sorumlulukla karşı karşıya oldukları konusunda uyarıda bulundu.
“Çoğu yargı alanında, internette ‘kamuya açık’, ‘kamuya açık’ veya ‘kamuya açık’ olan kişisel bilgiler, veri koruma ve gizlilik yasalarına tabidir” diye yazıyorlar. “Dolayısıyla bu tür kişisel bilgileri toplayan kişi ve şirketler, bu ve diğer geçerli yasalara uymalarını sağlamaktan sorumludur. Bununla birlikte, sosyal medya şirketleri ve kamuya açık kişisel bilgileri barındıran diğer web sitelerinin (SMC’ler ve diğer web siteleri) operatörleri de kendi sitelerinden üçüncü şahısların veri toplamasına ilişkin veri koruma yükümlülüklerine sahiptir. Bu yükümlülükler genel olarak kişisel bilgiler için, söz konusu bilgilerin kamuya açık olup olmadığına bakılmaksızın geçerli olacaktır. Kişisel bilgilerin toplu olarak veri kazınması, birçok yargı alanında raporlanabilir bir veri ihlali teşkil edebilir.”
Avustralya, İsviçre, Norveç, Yeni Zelanda, Kolombiya, Jersey, Fas, Arjantin ve Meksika’daki (Küresel Gizlilik Meclisi’nin uluslararası uygulama işbirliği çalışma grubunun üyesi olan) gizlilik düzenleyicileri tarafından da imzalanan bildirimin zamanlaması şu tarihle örtüşüyor: Eğitim için genellikle büyük miktarda veri gerektiren ve daha fazla varlığın üretken yapay zeka çoğunluğundan yararlanarak veri kümeleri elde etme amacıyla interneti kazımaya teşvik edebilecek üretken yapay zeka modelleri etrafında süregelen heyecan.
OpenAI’nin büyük dil modeli ChatGPT gibi bu tür sistemlerin yüksek profilli örnekleri, sistemlerini eğitmek için (en azından kısmen) çevrimiçi olarak yayınlanan verilere ve Haziran ayında ABD şirketine karşı açılan toplu davaya dayanıyordu. CNN Business’ın bildirdiği“internetten büyük miktarda kişisel veriyi” gizlice kazıdığını iddia ediyor.
Düzenleyicilerin vurguladığı gizlilik riskleri arasında, sosyal mühendislik ve kimlik avı gibi hedefli siber saldırılar için veri kazımanın kullanılması; kimlik sahtekarlığı; ve yüz tanıma veritabanlarını doldurmak ve yetkililere yetkisiz erişim sağlamak için verileri kullanmak gibi bireylerin izlenmesi, profillenmesi ve gözetlenmesi için – uluslararası düzenleyicilerin (AB çapında birkaçı dahil) bir dizi yaptırımıyla karşı karşıya kalan Clearview AI için açık bir saldırı ) kolluk kuvvetlerine ve diğer kullanıcılara sattığı bir yüz tanıma kimliği aracını güçlendirmek için kazınmış verileri kullanması nedeniyle.
Ayrıca, kazınmış verilerin yabancı hükümetler veya istihbarat teşkilatları da dahil olmak üzere yetkisiz siyasi veya istihbarat toplama amacıyla kullanılabileceği konusunda da uyarıyorlar. İstenmeyen doğrudan pazarlama veya spam’ı ortadan kaldırmak için kullanılabilir.
Yapay zeka modellerinin eğitimini doğrudan bu “temel” gizlilik risklerinden biri olarak göstermiyorlar, ancak insanların bilgileri veya rızaları olmadan insanların verileri üzerinde eğitilen üretken yapay zeka araçları, alıntı yaptıkları bazı kötü niyetli kullanım durumları için yeniden kullanılabilir. Hedefli siber saldırılar, kimlik sahtekarlığı için kişilerin kimliğine bürünmek veya bireyleri izlemek/gözetlemek dahil.
Açıklamanın kamuya açıklanmasının yanı sıra düzenleyiciler, bir kopyanın doğrudan YouTube’un ana şirketi Alphabet’e gönderildiğini belirtiyor; TikTok’un ana şirketi ByteDance; Meta (Instagram, Facebook ve Threads’in sahibi); Microsoft (LinkedIn); Sina Corp (Weibo); ve X (diğer bir deyişle, daha önce Twitter olarak bilinen platform) – uluslararası gözlemciler veri kazımanın yarattığı gizlilik risklerini göz önünde bulundurduğundan, ana akım küresel sosyal medya platformları açıkça ön planda ve merkezde.
Bazı platformlarda elbette zaten veri kazımayla bağlantılı büyük veri skandalları yaşandı – örneğin, platformundaki bir geliştiricinin milyonlarca kullanıcının bilgisi veya rızası olmadan veri çıkarabilmesinin ardından Facebook’u vuran 2018 Cambridge Analytica veri suiistimali skandalı gibi. şirketin uyguladığı gevşek izinler; veya Facebook’a, güvensiz ürün tasarımı nedeniyle 530 milyon kullanıcıyı etkileyen bir veri kazıma olayıyla ilgili olarak geçen yıl verilen 275 milyon dolarlık Genel Veri Koruma Yönetmeliği (GDPR) cezası. (İkinci olay aynı zamanda İrlandalı bir dijital haklar grubunun DPA’nın herhangi bir güvenlik ihlali olmadığı yönündeki yaptırımına itiraz eden bir davasına da tabidir.)
Düzenleyicilerin ortak beyanı, ana akım sosyal medya sitelerinin kullanıcıların bilgilerinin çalınmaya karşı korunması konusunda proaktif olma ihtiyacına dair net bir görüş içerse de, harekete geçmeme ve insanların verilerinin korunmamasının, yaptırım eylemiyle sonuçlanır; bu da beyanın etkisinin bir miktar azalması riskini taşır.
Bunun yerine gözlemciler, platformları “kendileri için geçerli olan yargı bölgelerinde farklı veri kazıma türlerinin yasallığını dikkatlice değerlendirmeye ve yasa dışı veri kazımaya karşı koruma sağlayacak önlemler uygulamaya” çağırıyor.
“Kamuya açık verilerden kazıma ve değer çıkarma teknikleri sürekli olarak ortaya çıkıyor ve gelişiyor. Veri güvenliği dinamik bir sorumluluktur ve dikkatli olmak çok önemlidir” diye de yazıyorlar. “Hiçbir koruma önlemi, veri kazımayla ilişkili tüm potansiyel gizlilik zararlarına karşı yeterince koruma sağlayamayacağından, SMC’ler ve diğer web siteleri, riskleri azaltmak için çok katmanlı teknik ve prosedürel kontroller uygulamalıdır.”
Mektupta belirtilen, kullanıcı verilerinin kazınması riskini sınırlamak için önerilen önlemler arasında, veri kazıma risklerine odaklanan kurum içi ekibin/rollerin belirlenmesi; bir hesabın diğer hesap profillerine saatlik veya günlük ziyaret sayısını ‘oran sınırlaması’ ve olağandışı etkinlik tespit edilmesi durumunda erişimin sınırlandırılması; ve yeni bir hesabın diğer kullanıcıları ne kadar hızlı ve agresif bir şekilde aramaya başladığını ve anormal etkinliklere yanıt vermek için adımlar attığını izlemek.
Ayrıca platformların, şüpheli IP adresi etkinliğini tespit edecek sistemlere sahip olmak gibi, bot etkinliğindeki kalıpları tanımlayarak kazıyıcıları tespit etmek için adımlar atmasını da öneriyorlar.
CAPTCHA’ları dağıtmak ve veri kazıma faaliyetinin tespit edildiği IP adresini engellemek gibi botları tespit etmek için adımlar atmak başka bir öneridir (her ne kadar CAPTCHA’ları botlar çözebilir yani bu tavsiye zaten modası geçmiş görünüyor).
Önerilen diğer önlemler, platformların kazıyıcılara karşı ‘durdurma ve vazgeçme’ mektupları göndermek gibi uygun yasal işlemleri yapması; kazınmış bilgilerin silinmesini gerektiren; silme işleminin onayını almak; ve veri kazımayı yasaklayan hüküm ve koşulları uygulamak için diğer yasal önlemleri almak.
Gözlemciler, platformların, etkilenen bireyleri ve gizlilik düzenleyicilerini mevcut veri ihlali yasaları kapsamında bilgilendirme zorunluluğunun da olabileceği konusunda uyarıyor.
Mektubun bir kopyası gönderilen sosyal medya devleri, bir ay içinde düzenleyicilerin beklentilerini nasıl karşılayacaklarını gösteren geri bildirimlerle yanıt vermeye teşvik ediliyor.
Bireylere ‘uzun vadeli düşünün’ söylendi
Mektupta aynı zamanda bireylere kazınma risklerine karşı kendilerini korumalarına yardımcı olacak adımlar atma konusunda bazı tavsiyeler de yer alıyor; buna web kullanıcılarının platformların gizlilik politikalarına dikkat etmelerini önermek de dahil; çevrimiçi olarak neyi paylaşmayı seçtiklerini dikkatlice düşünün; ve gönderilerinin görünürlüğünü kontrol etmelerine olanak tanıyan tüm ayarlardan yararlanın.
“Sonuçta bireyleri uzun vadeli düşünmeye teşvik ediyoruz” diye ekliyorlar. “Bir insan yıllar sonra bugün paylaştığı bilgi karşısında ne hisseder? SMC’ler ve diğer web siteleri bilgileri silmek veya gizlemek için araçlar sunabilirken, aynı bilgiler dizine eklendiğinde veya çıkarıldığında ve daha sonra paylaşıldığında web’de sonsuza kadar yaşayabilir.”
Mektupta ayrıca, verilerinin “yasa dışı veya uygunsuz bir şekilde” kazınmış olabileceğinden endişe duyan bireylere söz konusu platform veya web sitesiyle iletişime geçmeleri ve tatmin edici bir yanıt alamamaları durumunda ilgili veri koruma makamına şikayette bulunmaları öneriliyor. Bu nedenle düzenleyiciler, kullanıcıları kazıma konusunda daha dikkatli olmaya teşvik ediyor ve bu da sonuçta bu alandaki soruşturma ve yaptırımların artmasına yol açabilir.
Ortak bildiriyi imzalayan bir düzine uluslararası düzenleyicinin tümü Avrupa Birliği dışındaki pazarlardan geliyor. Ancak yukarıda belirtildiği gibi, AB veri koruma düzenleyicileri, bloğun GDPR’si kapsamında alınan yaptırımlar yoluyla veri kazıma riskleri konusunda zaten aktif durumdalar.
Ayrıca üretken yapay zeka hizmetlerindeki gelişmeleri de yakından izliyorlar; dolayısıyla mektupta dile getirilen endişeler, bloğun veri koruma yetkililerinin halihazırda radarında olan sorunlarla büyük ölçüde uyumlu görünüyor.
Özellikle, İtalya’nın gizlilik gözlemcisi, ChatGPT’ye bu yılın başlarında yerel bir işleme durdurma emri verdi; bu, OpenAI’nin açıklamalar ve kontrollerle hızla dışarı çıkmasıyla birlikte hizmette kısa bir kesintiye yol açtı. Google’ın Bard AI sohbet robotunun AB’de piyasaya sürülmesi, İrlanda’daki önde gelen AB gizlilik düzenleyicisinin benzer endişeleri dile getirmesinin ardından diğer bazı bölgelere göre daha uzun sürdü. Ancak AB DPA’ları, GDPR çerçevesi ışığında modelleri eğitmek için kullanılan veri işlemenin yasallığı konusundaki temel sorun da dahil olmak üzere, yerel veri koruma kurallarının bu yeni AI sohbet robotlarına en iyi şekilde nasıl uygulanacağı konusunda eş zamanlı olarak koordinasyon sağlıyor. Dolayısıyla ChatGPT gibi araçların temel yasallığına ilişkin kararlar AB’de beklemede.
Bu yılın başlarında, Fransa’nın DPA’sı CNIL de veri kazımaya karşı korumanın, Mayıs ayında açıkladığı yapay zeka eylem planının önemli bir parçası olacağı konusunda uyardı.