ChatGPT bir kez daha Avrupa’da inceleme altında ve yapay zeka devi, AB vatandaşlarının GDPR kapsamındaki gizlilik ve veri doğruluğu haklarını tehlikeye atmaya devam ediyor.
Bu, AB’nin bir yıl süren ChatGPT Görev Gücü soruşturmasının ön bulgularından ortaya çıkan ana çıkarımdır. Avrupa’nın ulusal gizlilik gözlemcilerini birleştiren organ olan AB Veri Koruma Kurulu (EDPB), İtalya’nın gizlilik gerekçesiyle uygulamanın geçici olarak yasaklanmasının bölge genelinde en iyi VPN hizmetlerinin kullanımında artışa neden olmasının ardından geçen yıl Nisan ayında bu görev gücünü oluşturdu.
Grup, popüler AI sohbet robotunun, özellikle de web kazıma uygulamalarının yasallığı ve veri doğruluğu başta olmak üzere çeşitli sorunlu yönlerini analiz etti. Aslında veri toplama sorunlarının yanı sıra, ChatGPT’nin halüsinasyon eğilimi de son zamanlarda bazı ulusal Veri Gizliliği Yetkililerinden (DPA’lar) gelen şikayetlerle darbe aldı.
AB soruşturması henüz başlangıç aşamasında olduğundan OpenAI uygulamalarının yakın gelecekte daha GPR dostu hale gelmesi pek mümkün görünmüyor. Ancak bu, Avrupa’da izlenecek büyük dil modelleri (LLM) araçları için daha iyi bir gizlilik çerçevesine doğru hafif de olsa bir ilk adım olabilir.
ChatGPT’nin web kazıma ve doğruluk kusurları
İtalya’nın Mart 2023’te verileri uygunsuz şekilde toplaması ve saklaması nedeniyle ChatGPT’yi geçici olarak engellemesinin ardından Fransa, Almanya ve İrlanda dahil diğer AB ülkeleri konuyu araştırmaya başladı. Şu ana kadar çok sayıda şikayet yapıldı ancak uygulamaya geçilemedi.
Görev Gücü, OpenAI’nin sohbet robotunu araştıran ulusal DPA’lar arasındaki işbirliğini teşvik etmenin bir yolu olarak geliyor. Bununla birlikte, DPA’lar arasında tartışmalı yönlere ilişkin ön görüşler sunarken, rapor “Her bir DPA’nın kendi devam eden soruşturmasında yapacağı analize önyargıda bulunmaz” EDPB açıkladı.
Tartışmalı ana konu, ChatGPT’nin AB vatandaşlarının verilerini nasıl topladığı, sakladığı ve kullandığıdır. OpenAI, izin istemeden web’den büyük miktarda veriyi sıyırır. Kullanıcılar, chatbot istemleri aracılığıyla sistemi daha iyi koruma gerektiren son derece hassas verilerle besleyebilir. Ayrıca şirketin yapay zeka modellerini eğitmek için bu verileri nihai olarak nasıl işlediği konusunda da şeffaflık eksikliği var.
GDPR, kişisel verilerin işlenmesi için yasal bir temel gerektirir; bu durumda ya bireyin rızasının alınması ya da bunu yaparken “meşru menfaatin” bulunması gerekir. OpenAI, bilgilerinizi çevrimiçi olarak kazımak için izin isteyemez. Bu nedenle İtalya vakasından sonra şirket büyük ölçüde ikinci kartı oynuyor.
Raporda, “yasallığın değerlendirilmesi halen devam eden soruşturmalara tabi” olmakla birlikte, bazı teknik tedbirlerin kullanılması halinde meşru menfaat hükmünün hukuken geçerli olabileceğine dikkat çekildi. Bunlar, belirli veri kategorilerinden veya kaynaklarından (kamuya açık sosyal medya profilleri gibi) kaçınmayı içerir. Şirket ayrıca AB vatandaşlarının unutulma hakkı gibi haklarına saygı göstererek kişisel verileri silebilmeli veya anonimleştirebilmelidir.
Ancak yapay zeka ve gizlilik uzmanı Luiza Jarovsky’ye göre (aşağıdaki tweet’e bakınız): “Burada meşru menfaat tamamen çarpıtılmıştır.”
GDPR’nin 14.5 (b) Maddesi uyarınca, “kontrolör, bilgilerin kamuya açık hale getirilmesi de dahil olmak üzere, veri sahibinin haklarını, özgürlüklerini ve meşru çıkarlarını korumak için uygun önlemleri alacaktır” diye açıkladı. Ancak ChatGPT’nin verileri halka açık olmaktan çok uzaktır.
Jarovsky, “EDPB, ya meşru menfaatin OpenAI ve yapay zekayı eğitmek için kazımaya dayanan diğer yapay zeka şirketleri için farklı şekilde işlediğini söylüyor (ve nedenini açıklıyor) ya da onların GDPR’ye göre meşru menfaate uymalarını gerektiriyor” dedi.
🚨SON DAKİKA: EDPB, ChatGPT Görev Gücü Raporunu yeni yayınladı ve ODADA büyük bir 🐘 FİL 🐘 var. Bunu okuyun: ➡ Web kazıma ve “eğitim verilerinin toplanması, verilerin ön işlenmesi ve eğitim” konusunda rapor, OpenAI’nin meşru olanlara dayandığını kabul ediyor… pic.twitter.com/QEiyqhuDqz24 Mayıs 2024
Veri doğruluğu bir sonraki büyük tartışmalı noktadır. ChatGPT ve benzeri yapay zeka sohbet robotlarının muhtemelen bir şeyler uydurmayı asla bırakmayacaklarını zaten tartışmıştık. “Yapay zeka halüsinasyonları” yalnızca çevrimiçi yanlış bilgileri körüklemekle kalmıyor, aynı zamanda AB gizlilik yasalarına da aykırı oluyor.
GDPR’nin 5. Maddesi uyarınca, AB’deki bireylere ilişkin tüm çevrimiçi bilgilerin doğru olması gerekir. Madde 16, tüm hatalı veya yanlış verilerin düzeltilmesini gerektirir. 15. Madde, Avrupalılara “erişim hakkı” veriyor ve şirketlerin bireylere ilişkin hangi verileri ellerinde tuttuklarını ve bunların kaynaklarının neler olduğunu göstermelerini zorunlu kılıyor. OpenAI yine bu kriterlerin hiçbirini karşılamıyor.
Raporda, “Aslında sistemin olasılıksal yapısından dolayı mevcut eğitim yaklaşımı, taraflı veya uydurma çıktılar da üretebilen bir modele yol açmaktadır” deniyor.
“Şeffaflık ilkesine uymak adına alınan önlemler, ChatGPT çıktılarının yanlış yorumlanmasını önlemek açısından faydalı olsa da veri doğruluğu ilkesine uyum açısından yeterli değil.”
Uzmanlar, OpenAI’nin 5. Madde kapsamındaki şeffaflık ilkesi doğrultusunda hareket edebilmesi için, oluşturulan metnin taraflı veya uydurma olabileceği konusunda kullanıcıyı açıkça bilgilendirmesi gerektiğini öne sürüyor. Benzer şekilde, chatbot istemleri aracılığıyla paylaşılan bilgilerin eğitim amacıyla kullanılabileceği konusunda kullanıcılara bilgi verilmesini de tavsiye ediyorlar.
Rapor sonuçta, verilerinizi silme veya düzeltme hakkı (“unutulma hakkı” olarak bilinir) veya verilerinizin nasıl işlendiğine ilişkin bilgi edinme hakkı gibi AB vatandaşlarının GDPR kapsamındaki haklarının önemini vurguluyor.
Ancak bu önemli noktada Çalışma Grubu herhangi bir pratik tavsiyede bulunmuyor ve yalnızca geniş kapsamlı tavsiyelerde bulunuyor. Uzmanlar, OpenAI’nin GDPR’nin gerekliliklerini karşılamak ve veri sahiplerinin haklarını korumak için “uygun önlemleri” uygulaması ve “gerekli önlemleri” entegre etmesi gerektiğini söyledi.
Onlar mı? Gerçekten OpenAI’nin bir çözüm bulmasını mı bekliyorsunuz? Olası görünüyor.
