Google’ın Avrupa Birliği’ndeki başlıca gizlilik düzenleyicisi, insanların bilgilerinin üretken yapay zeka eğitimi için kullanılmasıyla ilgili olarak bloğun veri koruma yasalarına uyup uymadığına ilişkin bir soruşturma başlattı.
Özellikle teknoloji devinin, yapay zeka teknolojilerinin, modelleri eğitmek için kullanılan kişilerin hakları ve özgürlükleri açısından oluşturabileceği riskleri proaktif olarak değerlendirmek için bir veri koruma etki değerlendirmesi (DPIA) yapması gerekip gerekmediği araştırılıyor.
Üretken AI araçları, makul görünen yalanlar üretmeleriyle kötü bir üne sahiptir. Bu eğilim, talep üzerine kişisel bilgileri sunma yeteneğiyle birleştiğinde, üreticileri için çok fazla yasal risk yaratır. Google’ın bloğun Genel Veri Koruma Yönetmeliği’ne (GDPR) uyumunu denetleyen İrlanda Veri Koruma Komisyonu (DPC), herhangi bir doğrulanmış ihlal için Alphabet’in (Google’ın ana kuruluşu) küresel yıllık cirosunun %4’üne kadar para cezası kesme yetkisine sahiptir.
Google, Gemini (eski adıyla Bard) markasını verdiği genel amaçlı büyük dil modelleri (LLM) ailesi de dahil olmak üzere çeşitli üretken AI araçları geliştirdi. Bu teknolojiyi, web aramasını geliştirmek de dahil olmak üzere AI sohbet robotlarını güçlendirmek için kullanıyor. Bu tüketiciye yönelik AI araçlarının altında, geçen yıl I/O geliştirici konferansında başlattığı PaLM2 adlı bir Google LLM yer alıyor.
İrlanda Veri Koruma Komisyonu, İrlanda Veri Koruma Yönetmeliği’nin 2018 tarihli 110. maddesi uyarınca GDPR’yi ulusal yasaya aktararak Google’ın bu temel yapay zeka modelini nasıl geliştirdiğini araştırdığını söylüyor.
GenAI modellerinin eğitimi genellikle çok miktarda veri gerektirir ve LLM yapanların edindiği bilgi türleri ve bunları nasıl ve nereden edindikleri, telif hakkı ve gizlilik de dahil olmak üzere bir dizi yasal endişe açısından giderek daha fazla incelenmektedir.
İkinci durumda, AB halkının kişisel bilgilerini içeren AI eğitim yemi olarak kullanılan bilgiler, ister kamusal internetten alınmış ister doğrudan kullanıcılardan edinilmiş olsun, bloğun veri koruma kurallarına tabidir. Bu nedenle, GPT’nin (ve ChatGPT’nin) üreticisi olan OpenAI ve Llama AI modelini geliştiren Meta dahil olmak üzere çok sayıda LLM, gizlilik uyumluluğuyla ilgili sorularla ve bazı GDPR yaptırımlarıyla karşı karşıya kalmıştır.
Elon Musk’ın sahibi olduğu X, GDPR şikayetleri ve DPC’nin insanların verilerinin AI eğitimi için kullanılması nedeniyle öfkesini de çekti – bir mahkeme sürecine ve X’in veri işlemesini sınırlama taahhüdüne yol açtı ancak yaptırım uygulanmadı. DPC, kullanıcı verilerini AI aracı Grok’u eğitmek için işlemesinin rejimi ihlal ettiğini belirlerse X yine de bir GDPR cezasıyla karşı karşıya kalabilir.
DPC’nin Google’ın GenAI’sine yönelik DPIA soruşturması, bu alandaki düzenleyici eylemlerin sonuncusu.
DPC bir basın bülteninde, “Yasal soruşturma, Google’ın, temel Yapay Zeka Modeli Pathways Language Model 2’nin (PaLM 2) geliştirilmesiyle ilişkili AB/AEA veri sahiplerinin kişisel verilerinin işlenmesine başlamadan önce, Genel Veri Koruma Yönetmeliği’nin 35. Maddesi (Veri Koruma Etki Değerlendirmesi) uyarınca bir değerlendirme yapma yükümlülüğüne uyup uymadığı sorusunu ilgilendiriyor” diye yazdı.
Kişisel verilerin işlenmesinin yüksek riskle sonuçlanma ihtimalinin bulunduğu durumlarda, bir DPIA’nın “bireylerin temel hak ve özgürlüklerinin yeterli şekilde dikkate alınmasını ve korunmasını sağlamada kritik öneme sahip olabileceği” belirtilmektedir.
“Bu yasal soruşturma, AB/AEA ile birlikte çalışan DPC’nin daha geniş çabalarının bir parçasıdır. [European Economic Area] DPC, AB/AEA veri sahiplerinin kişisel verilerinin işlenmesinin düzenlenmesinde, yapay zeka modelleri ve sistemlerinin geliştirilmesinde eş düzenleyicilerin rolüne değinerek, bloğun GDPR uygulayıcıları ağının, GenAI araçlarına gizlilik yasasının en iyi şekilde nasıl uygulanacağı konusunda bir tür fikir birliğine varmak için devam eden çabalarına atıfta bulundu.
DPC’nin soruşturmasına yanıt verilmesi için Google ile iletişime geçildi.