YORUM
2024 tarihli Amerikan Gizlilik Hakları Yasası (APRA), Amerikalıların gizliliğini tanımlayan bugüne kadar önerilen en kapsamlı ulusal mevzuattır; bu, tarihsel olarak federal onayda zorluklar anlamına gelmiştir. Kuruluşları henüz görmediğimiz düzeyde sorumlu tutan mevzuata bakıyoruz. APRA ile bu şirketlerin aşağıdakilere ihtiyacı olacak:
-
Yıllık CEO imzalı uyumluluk sertifikası
-
Gizlilik ve güvenlik görevlileri için zorunlu raporlama hatları (Raporu veya bütçesi olmayan, figüratif bir gizlilik sorumlusuna sahip olamazsınız.)
-
İki yılda bir denetimler ve Gizlilik Etki Değerlendirmeleri (PIA’lar) gerçekleştirmek
-
Son 10 yılın gizlilik politikalarını yayınlamak ve gizlilikle ilgili tüketici taleplerine ilişkin yıllık raporlar sunmak
Amerika Birleşik Devletleri’nin yakın tarihte kapsamlı bir veri gizliliği kanunu çıkarmamasının bir nedeni var: Şirketler büyük ölçüde tüketici verilerinden para kazanıyor. Veriler kârlıdır ve nakit akışını kısıtlamanın ekonomik dalgalanma etkileri olacaktır. Ancak, her ne kadar iyi niyetli olsa da, APRA bazı incelemeleri gerektirmektedir. Özellikle Sivil Haklar ve Algoritma bölümünde şeffaflık ve etik konusunda endişeler yok.
“Kapsam dahilindeki kuruluş” ile “hizmet sağlayıcı” arasındaki dinamik, perakendeciler gibi kuruluşlara uyumu sürdürmek için iyi tanımlanmış süreçlere, programlara ve prosedürlere sahip olma sorumluluğunu yükleyecek şekilde detaylandırılmıştır. Bu sorumluluk, beyaz etiketli sadakat programları gibi hizmet sağlayıcılara yüklenmiyor. Bu hepimizin karşılaştığı bir zorluktur: Üçüncü taraf bir platforma konan utanç verici bir resmi silmeye çalışın. Her zaman yeniden ortaya çıkacak gibi görünüyor.
Başka bir örnek: APRA, “tanımlanmış gruplara veya sonuçlara yönelik sonuç olarak ortaya çıkan bir zarar riski” varsa, yıllık algoritma etki değerlendirmeleri gerektirir. Etkiyi ölçmenin ve bunun sonucunda ortaya çıkan zarar riskini tanımlamanın yolu iyi tanımlanmamıştır. Korunan bir sınıfın bir üyesinin, bir algoritma kullanan bir sağlayıcıdan kredi alması reddedilirse ve krediye ihtiyacı olduğu için arabasını kaybederse, bu sonuçsal bir zarar mıdır? Ya bir sağlayıcı tarafından reddedildiyse ancak krediyi başka bir sağlayıcıdan aldıysa? İlk sağlayıcı önyargıdan veya farklı etkilerden sorumlu olabilir mi?
Şüphesiz ABD’nin yaygın ve kapsamlı bir veri gizliliği düzenlemesine ihtiyacı var. Her tüketici kişisel olarak tanımlanabilir bilgilere (PII) sahiptir ve çevrimiçi aktiviteler Tüketicinin bir hesabı olmasa bile sosyal medya devleri gibi kuruluşlar tarafından toplanıyor. Bu şirketlerin, bu şekilde toplanan kullanıcı faaliyetlerini veya verileri hassas veri olarak tanımlama veya bireylere verilerinin toplandığını bildirme yükümlülüğü yoktur. Onların iddiası, yapmadıkları yönünde Aslında verilerinizi satabilirsiniz. Bunun yerine, sizin hakkınızdaki verilere erişimi hedefleme amacıyla üçüncü taraflara satarlar.
Burada cevaplardan daha fazla gri alan var; özellikle de günümüz teknolojisinin ve yaptırım uygulama yeteneğimizin, gereksinimlere ayak uydurmak için iyileştirmelere ihtiyaç duyabileceği göz önüne alındığında.
GenAI’ye Çok Fazla mı Güveniyorsunuz?
Mülkiyetin yaygınlaşması üretken yapay zeka ChatGPT gibi (GenAI) modeller, bu modellerin üzerine inşa edildiği veriler ve yanıtları nasıl etkilediği göz önüne alındığında yeni bir solucan kutusu açıyor.
Toplumdaki en parlak insanlardan bazılarının, GenAI’nın doğru ve kanıta dayalı yanıtlar üreteceği yönündeki yanlış algının kurbanı olduğunu gördük. Haziran 2023’te, New York’taki avukatların dava özetleri oluşturmak için ChatGPT’yi kullandıkları ortaya çıktıktan sonra belgelendi: GenAI sahte vakalar uydurdu yanıtlarında.
İşletmeler ve bireyler için karmaşıklığa ek olarak önyargıların tespit edilememesi de vardır. Farklı modellerin farklı sonuçlar üretmesi muhtemeldir, bu da APRA içinde şeffaflık ve etik sorunlarına ve hizmet sağlayıcıların GenAI modellerinin müşteriler arasında adil ve eşitlikçi sonuçlar sağlamasını nasıl sağlayabilecekleri konusuna yol açmaktadır.
Örneğin, bir müşteri kredi almak için fiziki bir bankaya gider ancak reddedilmiş olarak ayrılırsa, muhtemelen ret ile birlikte iletilen açık politikalar da vardır.
Bu senaryoda net, politika destekli bir çözüm var, ancak bankacıyı bir GenAI modeliyle değiştirirseniz, bunun üzerine inşa edildiği verileri veya politikayı göremezsiniz. GenAI’nin hatalı veya taraflı veriler üzerine kurulmadığını nereden biliyorsunuz?
APRA’nın nihai olarak istediği sonuçlara ulaşmak için, GenAI’nin daha sonra adil bir şekilde alıp yorumlayabileceği, açıkça tanımlanmış ve yerleşik bir politikaya ihtiyacımız var. Muhtemelen bu gerçeklikten pek çok inovasyon döngüsü uzaktayız. Bu nedenle insan operatörlerin bu politikalardan sorumlu olmasına ve modelin bunlara uygun olmasını sağlamasına ihtiyacımız var.
Çözümü Olmayan Bir Sorun – Henüz
APRA, GenAI kullanımının temelini atmak için harika bir başlangıç olsa da, insan gözetimi ve müdahalesi olmadan uygun şekilde çalışabilen yapay genel zekadan hala uzağız. Yapay zekayı etkili bir şekilde kullanmak için hala insan operatörlere ihtiyacımız var ve bu araçları, insanların halihazırda yapmakta oldukları şeyin yerine geçmekten ziyade tamamlayıcı bir uzantısı olarak düşünmeliyiz.
Bazı şirketler hala yapay zekayı süreçlerine entegre etme konusunda hızlı ve öfkeli bir yaklaşım benimsiyor ancak bir yere varmak için hâlâ yüksek değerli müşteri verilerini bu GenAI modellerine yerleştirmeleri gerekiyor. Sonuçta, yüksek değerli veriler bu araçlarla yüksek değerli sonuçlar elde eder. Buradaki zorluk, hassas verilerin güvenliğini sağlarken aynı zamanda kurumsal faydalarından yararlanmaktır.
Tüketici kişisel verileri, tehdit aktörleri için hâlâ birincil hedeftir ve kurumsal veri tüketiminin, verileri yetkisiz erişime karşı koruyacak şekilde uyumlu hale getirilmesi gerekir. APRA bunların bir kısmını yapmayı hedefliyor ancak yine de Amerikalılara kapsamlı bir kapsama sağlamak için ince ayar yapılması gerekebilir.