BtcTurk Hukuk Müşaviri ve Veri Koruma Görevlisi Avukat Umut Gün, Fintechtime Mayıs sayısı için yazdı “Yapay Zekâ Kullanan Şirketlerin Büyük Sınavı: Veri Koruma”.
“Yapay zekânın “ben buradayım” dediği bu yeni çağda, teknik ve siber güvenlik sınavlarının ötesinde, veri koruma mevzuatı şirketler için asıl belirleyici kulvar haline geliyor. Veri sorumlusu ve veri işleyen arasındaki sınırların bulanıklaştığı, anonim verinin yapay zekâ eliyle yeniden kimliklenebildiği bir ekosistemde, sorumluluğu sadece sözleşmelere devretmek artık yeterli değil. Model eğitimi ile uygulama aşaması arasındaki kırılma hatlarını doğru yönetmek ve uyum sürecini tasarımın en başına, “privacy by design” prensibiyle yerleştirmek, bu büyük sınavı geçmenin yegâne yoludur. Gelin, yapay zekâ süreçlerini sadece teknik bir başarı olarak değil, her aşaması hukuki dayanaklarla örülmüş şeffaf ve güvenli bir mimari olarak yeniden kurgulayalım.”
Yapay zekâ her geçen gün kendisini daha çok hissettirerek “Ben Buradayım.” derken birçok sınavdan geçmeye de devam ediyor. Teknik, yazılım ve siber güvenlik sınavları bir yana veri koruma mevzuatı açısından da yapay zekâ kullanan şirketlerin dikkat etmesi gerekenler var.
Veri Sorumlusu Tartışması
Veri koruma mevzuatında birçok yükümlülük mevcut. Bu yükümlülüklerin de oldukça büyük bir kesimi veri sorumlusuna ait. İyi de yapay zekâ süreçlerinde veri sorumlusu kim? Yükümlülüklere kim katlanacak?
Yapay zekâ kullanan şirketler genelde veri sorumlusudur. Örneğin bir fintek şirketi yapay zekayı kredi skorlaması için kullanabilir. Yapay zekâ sağlayıcısı ise bazen veri işleyen bazense ortak veri sorumlusu olabilir. Bu sürecin bir de son kullanıcı aşaması var ki, burada da yine veri sorumlusu ve veri işleyen ilişkisi mümkün olabilir. Ancak, özellikle bu senaryoların bir genelleme olduğunu bazen süreç bazında tüm bu rollerin iç içe girdiğini ifade etmekte fayda var. Her somut olay ve süreç bu sebeple ayrı ayrı incelenmeli.
İşte bu noktada ayrımın bulanıklaşması karşımıza çıkıyor.
Ayrımın Bulanıklaşması
Kısa bir ayrım. Veri sorumlusu karar verir, veri işleyen bu karara uyar ve talimatları gerçekleştirir. Yapay zekâ sistemlerinde ise sistemin nasıl çıktı üreteceği çoğu zaman model tarafından belirlenirken, geliştirici her bir çıktıyı önceden öngöremeyebilir.
Yapay zekâ ekosistemi genellikle hizmet veren ve hizmet alan gibi tek bir ilişkiden oluşmaz. Veri sağlayan şirket, model sağlayıcı, cloud altyapı sağlayıcısı ve üçüncü taraf API entegrasyonları tek bir süreçte yer alan farklı aktörlerdir. Amaçların, vasıtaların, kontrollerin belirlenmesi ile ilgili süreçler iç içe girer ve tek bir soru gündeme gelir. Veri sorumlusu kim?
Söz konusu bulanıklık model training ve inference ayrımı noktasında çok daha artıyor.
Model Training ve Inference Ayrımı
Model training ve inference ayrımı sadece teknik bir ayrım değil; veri koruma mevzuatı açısından temel bir kırılma hattıdır. Training aşaması yapay zekâ modelinin eğitildiği aşama olup, inference aşaması ise modelin gerçek hayatla buluştuğu noktadır.
Yapay zekâ modelleri büyük veri setleri ile eğitilir. Elbette bu veri setleri büyük ölçüde kişisel veri içerir. Model eğitiminde kişisel verilere ilişkin mevzuatın ihlal edilmemesi açısından bu veriler genellikle istatistiksel verilere dönüştürülür. Amaç ise genelleme yapabilen bir sistem oluşturulmasıdır.
Inference aşamasında ise tek bir kullanıcıya ilişkin eğitilmiş model üzerinden çıktı üretilir, öneri, sınıflandırma veya karar destek mekanizması çalıştırılır ve tüm bu süreç genelde doğrudan ticari veya hukuki sonuç doğurur.
Training aşamasında geniş veri işleme, amaç belirsizliği riskleri veri minimizasyonu başta olmak üzere birçok veri koruma ilkesi ile çatışma yaratabilir. Ayrıca, yapay zekâ modeli training verisiyle eğitilirken aynı zamanda inference sırasında bireysel karar üretir. Bu durum da veri işleme amacının belirlenmesini, hukuki dayanağın ayrı ayrı belirlenmesini veri sorumlusu / veri işleyen rolünün tespit edilmesini zorlaştırabilir.
Yapay zekâ modellemesinde aslında asıl mesele verinin nasıl işlendiği değil, aynı verinin eğitimde anonim, kullanımda ise karar verici bir etkiye dönüşebilmesi noktasıdır. Soru soruyu doğuruyor ama burada başka bir soru aklımıza geliyor.
Anonim veri gerçekten anonim midir?
Anonim mi, Değil mi?
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Ancak, yapay zekâ ile bu tanım uygulanabilirlikten kalkıyor mu soruları da gündeme geliyor. Zira, yapay zekâ farklı verileri birleştirebilir, kişiyi yeniden tanımlayabilir ve dolaylı tanımlayıcıları kullanarak kimlik üretebilir.
Veri koruma mevzuatına göre bir veri yeniden tanımlanıyorsa artık bu veri anonim veri olarak kabul edilmeyecektir.
Bu noktaya kadar sorunları gündeme getirdik. Peki çözümü getiren son soruyu soralım. Bu sorunlar nasıl çözülür?
Yapay Zekâ ile Veri Koruma Süreçlerinin Çözümü
Yapay zekâ modellemelerinde ve çeşitli süreçlerde tek bir çözüm olduğunu ifade etmek inandırıcı değil. Ancak, katmanlı bir çözüm takımı ile veri koruma mevzuatına uygun bir süreç oluşturulabilir.
İlk aşamada, “Veri sorumlusu kim?” sorusunun sözleşmeyle değil, fonksiyonel olarak belirlenmesi gerekiyor. Veri işleme amaçları, vasıta ve saklama süresi kimler tarafından belirlendiğine net bir şekilde karar verilmelidir. İkinci aşamada ise yapay zekâ süreçlerinin tek süreç gibi kabul edilmemesi gerekmekte ve buna uygun olarak plan yapılmalıdır. Her aşama için ayrı ayrı hukuki dayanakların belirlenmesi, veri minimizasyon testlerinin yapılması ve risk değerlendirmelerinin gerçekleştirilmesi gerekmektedir. Anonimlik aşamasında ise yeniden kimliklendirme riskinin belirlenmesi ve bağlamsal risk üzerinden değerlendirme yapılmalıdır.
Belki de en önemli çözüm aşaması olarak “Privacy by Design”ın zorunlu hale gelmesi ifade edilebilir. Yapay zekâ süreçlerinde sonradan gerçekleştirilen uyum genellikle başarısız oluyor. Tasarım aşamasında gerçekleştirilen uyum ise çok büyük faydalar sağlıyor. Burada dikkat edilecek unsurlar elbette projeden projeye değişebilir. Ancak, örnek vermek gerekirse minimum veri toplama ve privacy by default unsurlar sayılabilir.
Yapay zekâ sistemlerinin en büyük problemlerinden biri de denetim konusudur. Şeffaflık, adillik gibi gerekliliklerin sağlanması için mutlaka gerekli teknik ve hukuki mimarinin dizayn edilmesi gerekecektir.
Ne yazık ki, bugün yapay zekâ modellemelerinde tüm sorumluluğun sözleşmelere yazıldığı bir anlayış mevcut. Sözleşme elbette önemli. Ancak, esas çözüm teknik sorumluluk paylaşımı olmalıdır.
Veri koruma konusu yapay zekâ modelleri ile sistemlerine sonradan değil, en başta dahil edilmelidir.
