Yapay zekâ (artificial intelligence), insanların yapabildiği pek çok şeyi yalnızca daha hızlı ve daha ucuz bir şekilde yapabilir. Bu durum onu inanılmaz derecede tehlikeli hale getirmekte ve şirketlerin ürünlerine yapay zekâ destekli algoritmik araçlar eklemesi ile birlikte tüketicilere yönelik veri gizliliği riskleri de artmaktadır.
Hırsızlık şüphesiyle bir mağazada tutulduğunuzu; şimdi sadece yanlış bir şey yapmadığınızı, aynı zamanda hatalı bir algoritma nedeniyle gözaltına alındığınızı öğrendiğinizi hayal edin. Ne yazık ki bu aşağılayıcı senaryo, azınlıklara karşı doğuştan önyargı sergileyen bir yapay zekâ algoritmasıyla desteklenen bir yüz tanıma sisteminin, perakende satış görevlilerini hırsızlık şüphelisi olarak işaretlenen kişilerle yüzleşmeye zorladığı ‘Rite Aid’ mağazalarında[1] birçok kez yaşandı. ‘Rite Aid’in “sınırlı sayıda mağaza”ya uygulanan deneysel bir program olduğunu söylediği uygulama yaklaşık sekiz yıl boyunca devam etmiştir. Bununla birlikte, uygulamanın etkileri geniş kapsamlıydı; sayısız masum müşteriyi, çoğu zaman arkadaşlarının ve akrabalarının önünde utandırdı ve bu kişiler asılsız suçlamalara karşı kendilerini savunmak zorunda kaldı.
Amerika Birleşik Devletleri (ABD) Federal Ticaret Komisyonu (Federal Trade Commission-FTC) Tüketiciyi Koruma Bürosu müdürü Samuel Levine, eczane zincirine karşı 54 sayfalık bir şikâyeti duyururken şöyle dedi: “Rite Aid’in yüz izleme sistemlerini dikkatsizce kullanması, müşterilerini aşağılanma ve diğer zararlarla karşı karşıya bırakmıştır.”
Rite Aid, istenmeyen sonuçları önlemek için zorlu testler ve incelemeler yapılmadan yapay zekâ algoritmalarının kullanılmasının sonuçlarını gösteren kayda değer bir örnek olarak duruyor.
Diğer birçok işletmenin, dikkatli incelemeler yapılmadan yapay zekâyı benimsemeleri durumunda benzer sorunlarla karşılaşması muhtemeldir. Teknolojinin cazibesi onları potansiyel tuzakları fark etmekten alıkoyabilir. Bu konuda şunun söylenmesine gerek yoktur: “kuruluşunuzun aynı tuzağa düşmesine izin vermeyin”. Ancak sektördeki deneyimler bize sektörün kendi kendini denetleyen yönleri hakkında bir önsezi veriyor.
Gelecekte de benzer senaryolar yaşanacaktır. Rite Aid vakasında örneklenen başarısızlık örnekleri daha yaygın hale gelecek ve yapay zekâ teknolojisi temel gizlilik haklarına tecavüz etmeye devam ettikçe düzenleyici otoriteleri yakın vadede sıkı önlemler almaya yönlendirecektir. Veri toplama katlanarak arttıkça (Nesnelerin İnternetini -Internet of Things- düşünün) tehditler daha da büyümektedir.
Atılan zayıf adımlar
Beş yıldan biraz daha uzun bir süre önce hüküm süren, yaygın veri ihlallerinin ve genel sorumluluk eksikliğinin yaygın olduğu senaryodan çok uzun bir yol kat edildiği kesindir. Bireysel mahremiyet ve güvenlik, gelişen teknolojilerin benimsenmesi ve temel korumalara çok az önem verilerek halka tanıtılması nedeniyle sonradan akla gelen bir düşünceydi. İhtiyatlı bir şekilde 150 milyon kişi olarak tahmin edilenlerin kredi raporlarını açığa çıkaran sorunlu ‘Equifax’ ihlaline[2] değinmek yeterlidir.
Bu olayların arka planı oluşturulduğunda, sıkı gizlilik önlemlerinin uygulanmasına yönelik bir hareket hızla ilerliyor. Daha önce ‘Rite Aid’e karşı harekete geçen Federal Ticaret Komisyonu, şimdi de çocuklara yönelik mahremiyet korumalarını güçlendirecek önlemler başlatıyor[3]. Raporlar, bu çabaların sosyal medya uygulamaları, video oyun platformları, oyuncak perakendecileri ve dijital reklam ağları dâhil olmak üzere çeşitli hizmetler ile takip edilmesine sınırlamalar içerdiğini gösteriyor ki; bu, söz konusu girişimlerin yalnızca başlangıcına işaret ediyor.
Yapay zekâ artık iş süreçlerindeki en sıradan görevlerin bile yerine getirilmesinde büyük bir değişime işaret ederken, veri koruma çabalarını iki katına çıkarmanın zamanı gelmiş olup; ulusal bir veri gizliliği girişimi konusunda aciliyet duygusu olması gerekir.
Bu konuda bazı bebek adımları görüyoruz. ‘ChatGPT’nin lansmanından bir yıl sonra ABD Başkanı Joe Biden, yapay zekânın yaygın şekilde tanıtılmasının “güvenli, emniyetli ve güvenilir” (safe, secure, and trustworthy) olmasını sağlamayı amaçlayan bir idari talimat ( [4]) yayınlamıştır. Bu talimat, teknolojideki gizli kusurları tespit eden “kırmızı takım” testlerinin (red team tests) raporlanması da dâhil olmak üzere, olumsuz etkileri önlemek amacıyla hükümetin teknoloji üzerindeki gözetimini güçlendirmek için tasarlanmıştır.
Teknolojinin yaygınlaşması hızlandıkça gizlilik ile ilgili artan endişeler belirgin hale gelmiştir. Avrupa Veri Koruma Kurulu’nun (European Data Protection Board) davranışsal reklamcılık için Meta’nın kişisel verileri işlemesine ilişkin kısıtlaması[5] da dâhil olmak üzere Avrupa Birliği tarafından alınan son önlemler ve eyalet yasama organlarının kişisel gizliliği korumaya yönelik çabaları, yapay zekânın hızlı ilerlemesine ilişkin artan endişenin altını çizmektedir.
Artık alarmın çalma vakti
Yapay zekâ ile ilgili endişelerin çoğu, büyük oyuncuların kendi modellerini bilgilendirmek için kullandıkları eğitim verileri konusundaki şeffaflıktan kaynaklanıyor. Indiana Üniversitesi araştırmacıları, zaten hâlihazırda mevcut sistem geçici çözümlerinde, geliştiricilerin özel bilgilere erişimi engelleyen güvenlik önlemleri olduğunu söylediği şeyleri atlayan kusurları tespit etmiştir[6].
Araştırmacıların ortaya çıkardığı bu tespitler, kişisel bilgilerin yüksek risk altında olduğuna ve kontrol edilmediği takdirde kişisel mahremiyete yönelik şimdiye kadar tanık olunan en büyük tehdit olabileceğine dair kulak delici alarmlar göndermelidir.
Artık açık ve net olalım: Veri koruma uyumu yasal bir koşul olsa da, daha da önemlisi etik bir zorunluluktur. Bir şirketin itibarını zedelemenin kesin bir yolu mevcuttur: kişisel verileri hızlı ve serbestçe kullanmak (be fast and loose with personal data).
Tıpkı ABD Anayasası’nın belirli temel insan hak ve özgürlüklerini ortaya koyması gibi, çevrimiçi etkinlikleri ve kişisel verileri korumak için de yeni bir dijital haklar bildirgesi yasalaştırılmalıdır. Avrupa Birliği “Genel Veri Koruma Yönetmeliği” ile “Kaliforniya Tüketici Gizliliği Yasası” (European Union’s General Data Protection Regulation and California Consumer Privacy Act), bu konuda iyi bir başlangıçtır. ABD, 50 eyaletin gizlilik hakları düzenlemesi (yaklaşık bir düzine kadar kapsamlı önlemlere sahiptir) yerine, ulusal bir standarda ihtiyaç duymaktadır.
Veri gizliliğinin sağlanması, geliştiricilerin bir adım önde olmaya ve düzenleyici otoriteleri zekâsıyla alt etmeye çalışan bir kedi-fare oyunu olmamalıdır. Temelde insanlar hangi verilerin toplandığını, nerede saklandığını ve bunlara kimin erişebileceğini bilme hakkına sahiptir. Ve hukuk dilinde yazılmış çok sayfalı bir belgede değildir. Hayır, şeffaflık adına, bir tüketicinin kendi kredi raporunu isteyebileceği biçim ve yöntemle kolayca sindirilmesi gerekir.
Daha katı veri koruma kuralları, kişisel bilgilerin satışını iş modeline dâhil eden bazı sosyal medya şirketlerinin gelir akışlarını kesintiye uğratabilir. Artık ücretsiz olarak sunulan bazı hizmetler, veri koruma adına makul ücretler ödemek zorunda kalabilir. Bu, halkın nihai ödünleşimi olabilir.
Geliştiricilerin veri gizliliği bilincine sahip olması gerektiği gibi kullanıcıların da aynı şekilde olması gerekir. Hangi verileri özgürce paylaştıklarını ve ayrıca neyin görüntülendiğini izlemek konusunda kamuya bir dereceye kadar sorumluluk düşüyor ki; bu, sanal özel ağların, şifreli mesajlaşma uygulamalarının kullanılması ve veri toplayanlardan bir düzeyde saydamlık talep edilmesi anlamına geliyor.
Sonuçta, kişisel verileri koruma yöntemi, geliştirici ile kullanıcı arasında güvene dayalı bir ortaklıktır ve buna ilişkin standartları düzenleyici otoriteler perde arkasında belirler.
[1] <https://www.nytimes.com/2023/12/21/business/rite-aid-ai-facial-recognition.html>
[2] <https://www.csoonline.com/article/567833/equifax-data-breach-faq-what-happened-who-was-affected-what-was-the-impact.html>
[3] <https://www.nytimes.com/2023/12/20/technology/ftc-regulation-children-online-privacy.html>
[4] <https://www.armscontrol.org/act/2023-12/news/biden-issues-executive-order-ai-safety>
[5] <https://www.lexology.com/library/detail.aspx?g=ba5a1d10-850e-498f-aabe-d56cd3ea901d>
[6] <https://www.timesnownews.com/technology-science/emails-at-risk-study-exposes-privacy-threats-in-openais-gpt-3-5-turbo-article-106295446>
Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.