logo
AI Chatbotlar ve Kişisel Verilerin Korunması

AI Chatbotlar ve Kişisel Verilerin Korunması

Sohbet robotu, kullanıcıların arayüz aracılığıyla verdiği komutları yerine getiren, insan konuşmasını simüle eden bir yazılımdır. Kullanıcılar yazılı ya da sesli olarak robot ile iletişim kurabilir. Bu doğrultuda robotlar, doğal dil işleme (NLP) tekniklerini kullanarak verilen girdileri analiz eder, anlamlandırmaya çalışır ve bunun sonucunda direktifler yönünde kullanıcılar için çözüm üretir. Sadece talep değil; bağlam, niyet ve duygu çıkarımı da yaparak bir çıktı ortaya koyar, bunun yanında kullanıcıların önceki etkileşimlerinden öğrenerek kendini geliştirir ve daha akıllı hale gelir. Bu robotlar, müşteri destek, soru cevaplama, kod yazma ve programlama, bilgi arama, metin kontrolü, içerik oluşturma gibi kullanıcıya yardımcı uygulamaları doğal işleme teknolojisiyle (NLP) birlikte; alt dalları olan doğal dil anlama (NLU) ve doğal dil üretimi (NLG) teknolojilerinden faydalanarak gerçekleştirmektedir.

Sohbet robotları, kullanıcıların çeşitli ihtiyaçlarını karşılamak amacıyla giderek daha fazla alanda etkin bir şekilde kullanılıyorlar. Özellikle OpenAI’ın ChatGPT, Apple’ın Siri, Amazon’un Alexa ve Google’ın Gemini gibi geniş çapta tanınan ve yaygın olarak kullanılan akıllı asistanlar, günlük yaşamlarımıza akıllı sanal asistanlar olarak entegre olmuş durumdalar. Bu sistemler, yüksek performansla çalışabilmek üzere, uygulamanın kullanım amacına göre farklılık gösterecek şekilde kapsamlı ve çeşitli veri setlerine ihtiyaç duyarlar, elde ettikleri bu bilgileri amaçları doğrultusunda işlerler. Sistemin kullanımı esnasında toplanan veriler sohbet botunun hizmet kapsamına göre değişmekle birlikte genellikle şunlar olabilir:

  • Hesap bilgileri: Ad, iletişim bilgileri, ödeme bilgileri, işlem geçmişi.
  • Kullanıcı girdileri: Dosya yüklemeleri, geri bildirimler ve içerik.
  • İletişim bilgileri: Sosyal medya bilgileri ve ileti kayıtları.
  • Teknik bilgiler: Tarayıcı türü, cihaz bilgileri, IP adresi, erişim zamanları.
  • Çerez ve diğer veriler: Web tarayıcıları-cihazlar aracılığıyla toplanan veriler ve kullanıcı tarafından sağlanan konuşma, ses ve metin verileri.

Kişisel veri kavramı, 6698 sayılı KVKK[1] Madde-3/1 uyarınca “Kimliği belirli veya belirlenebilir gerçek kişiyle ilişkin her türlü bilgi…” olarak tanımlanmıştır. Bu tanımdan hareketle kişilere ait ad, soyadı, fotoğraf, adres, telefon numarası vb. gibi kişiyi tanımlayabilen ya da kişi ile ilişkilendirilebilen tüm verilerin kişisel veri olduğunu söylenebilir. Bunların yanı sıra, bir başkası tarafından öğrenildiğinde kişinin mağduriyet yaşayabileceği veya ayrımcılığa maruz kalabileceği durumlara sebep olabilecek KVKK’da “Özel Nitelikli Kişisel Veri” ve GDPR’de[2] (Genel Veri Koruma Tüzüğü) “Hassas Veri” olarak ifade edilmiş olan birtakım veriler söz konusudur. KVKK Madde-6/1’de özel nitelikli kişisel veriler, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dernek, vakıf veya sendika üyeliği, cinsel hayatı...” ve benzeri veriler olarak tanımlanmıştır. Dolayısıyla, gittikçe kullanım alanı fazlalaşan sohbet robotları, tanımlamalar içinde kalan her türlü bilgiyi sürdürdükleri faaliyet doğrultusunda işlemektedir. Bu durum, yapay zekânın sahip olduğu faydalar yanında kişisel veri güvenliği anlamında çeşitli riskleri de barındırdığı anlamına gelmektedir. Örneğin; hastalık teşhisi için kullanılan yapay zekâ sistemlerinde, veri olarak kullanılan kan testlerinin işlenmesi bu verilerin özel nitelikli veya hassas kişisel veriler olması sebebiyle kişisel veri mahremiyeti ilkesine aykırı durumlara sebebiyet verebilmektedir. Bu nedenle, bir yapay zekâ sisteminin veri işleme süreçlerini yürütürken veri mahremiyeti ilkesine uygun hareket etmesi için belirli zorunluluklara uyması gereklidir. Aksi takdirde, işlenen veriler, veri sahibi olan kişi veya kurumlar açısından ciddi riskler doğurabilir. Bu riskler, kişisel verilerin ifşa edilmesi, yetkisiz üçüncü taraflara aktarılması, fidye amaçlı kötüye kullanımı ve benzeri zararlı durumları içerebilir.

Yapay zekâ, pek çok probleme etkili çözümler sunarken, bu çözümleri gerçekleştirmek için kullandığı verilerin nasıl elde edildiği, işlendiği ve korunduğu gibi önemli soruları da beraberinde getirmektedir. Bu önemli noktaların göz ardı edilmesi, yapay zeka platformlarının kişisel verileri kanunlara aykırı şekilde işleme potansiyeline sahip araçlar haline gelmesine neden olabilir.

Avrupa Konseyi'nin Kişisel Verilerin Otomatik İşlenmesi konusunda çalışan 108 numaralı Danışma Komitesi (Consultative Committee of the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data), Ocak 2019'da yayımladığı rehberde[1], yapay zekâ teknolojisine dayalı sistemlerde kişisel veri işleme faaliyetlerinde dikkate alınması gereken hususları ele almış ve aşağıda sıralanan konulara vurgu yapmıştır:

  • Verilerin işlenmesi ve teknolojinin gelişimi aşamasında veri koruma ilkeleri esas alınmalıdır. Ayrıca, ilgili kişi hakları gözetilmelidir.
  • Veri işleme faaliyeti sırasında gerekli risk analizleri yapılmalı, bu analizler yapay zekâ teknolojisinin özellikleri göz önüne alınarak hassas bir şekilde yapılmalıdır.
  • İlgili kişilere açık, doğru ve anlaşılır bir şekilde gerekli bilgilendirmeler yapılmalıdır.
  • Veri minimizasyonu ilkesi gözetilmeli, gereksiz ve aşırı veri işleme faaliyetinden kaçınılmalıdır.
  • Amaç dışı veri işleme faaliyetinde bulunulmamalıdır.

Kişisel verilerin işlenmesine dair temel ilkeler GDPR Madde-5 ve 6698 sayılı KVKK Madde-4 ile düzenlenmiştir. KVKK Madde-4 uyarınca:

  • (1) Kişisel veriler ancak, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
  • (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
    • Hukuka ve dürüstlük kurallarına uygun olma.
    • Doğru ve gerektiğinde güncel olma.
      • Veriler bireyi yanlış tanımlamamalı veya hatalı bir bilgi içermemeli, zaman içinde değişen durumlara göre güncel tutulmalıdır.
    • Belirli, açık ve meşru amaçlar için işlenme.
      • Veri işleme amacı tam olarak tanımlanmalı, bireyin anlayacağı şekilde ifade edilmeli, genel ahlak kurallarına ve hukuk düzenine uygun bir hedefe yönelik olmalıdır.
    • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
      • Toplanan veriler, belirtilen amacın gerektirdiği bilgilerle sınırlı olmalıdır. Gereğinden fazla veya işlemin amacını aşacak miktarda veri toplanmamalı, toplanan ve işlenen veri amaç için gerekli olan düzey kadar olmalıdır.
    • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Bahse konu ilkeler doğrultusunda siber güvenlik açısından gelişmişe en yakın model: Federe Öğrenme (Federated Learning )

Klasik makine öğrenmesi modelinde şekilde görüldüğü üzere kullanıcıların verilerini paylaşması söz konusudur. Merkezi sunucu rolündeki koordinatör, kullanıcılardan gelen verileri toplayarak modeli eğitir ve sonrasında geleneksel makine öğrenmesi adımları izlenir. İlk aşamada veri, ön işlemeden geçirilerek yapısal formata dönüştürülür. İkinci aşamada, makine öğrenmesi modeli oluşturulur. Bir sonraki aşamalarda ise model eğitilir ve test edilir.

Federe öğrenme modeli ise, kullanıcıların verilerini paylaşmadan sistemi eğittiği bir makine öğrenmesi biçimidir. Bu öğrenme metodunda her kullanıcı kendi verileri ile yerel modelini oluşturur ve tüm model ağırlıkları birleştirilerek federe sunucuda bulunan ana modelin ağırlıkları oluşturulur. Federe öğrenme modeli, makine öğrenmesindeki eğitim sürecinin sistemdeki kullanıcılar arasında paylaştırıldığı işbirlikçi bir yöntemdir.

Federe öğrenmede, koordinatör rolüne sahip bir sunucu ve sunucu tarafından belirlenen kullanıcılar bulunmaktadır. Koordinatör rolündeki federe sunucu bu kullanıcıları, kullanıcının erişilebilir olup olmadığı ve model eğitimine izin verip vermediği gibi kıstasları göz önünde bulundurarak belirlemektedir. Belirlenen kullanıcılar verilerini paylaşmadan kendi modellerini oluşturup ağırlıkları federe sunucuya aktarırlar. Şekilde görüldüğü üzere, federe sunucu koordinatör rolü ile tüm kullanıcılardan gelen ağrılıkları birleştirir ve nihai modeli oluşturur.

Federe öğrenmenin kullanıldığı çeşitli alanlara ait uygulama ve sistemler bulunmaktadır:

  • Google Klavye (Gboard), kullanıcının yazdıklarına erişerek kullanıcı için otomatik metin düzeltme, bir sonraki kelimeyi tahmin etme ve kelimeyi tamamlama gibi özellikler içeren sanal bir klavyedir ve federe öğrenmeyi kullanarak kullanıcı gizliliği önem vermiştir.
  • NVIDIA şirketi, GDPR’de hassas nitelikli kişisel veri olarak da ifade edilen (6698 sayılı Kişisel Verileri Koruma Kanunu’nda da özel nitelikli kişisel veri) sağlık verilerinin hastane içinde kalmasını sağlayan ClaraFL’i geliştirmiştir. Bazı üst düzey sağlık hizmeti sunan kurumlarda bulunan radyologlar tarafından kullanılmaya başlanan ClaraFL, önceden eğitilmiş modelleri kullanmaktadır. Öğrenme tekniklerini aktarırken radyologlara etiketleme konusunda yardımcı olmaktadır.

Federe öğrenme, yapay zeka sistemlerinde kişisel veri mahremiyetini korumak için etkin bir çözüm sunmaktadır fakat beraberinde birtakım teknik zorluklar ve riskler de barındırmaktadır. İlki, tasarlanacak federe öğrenme sisteminin karmaşıklığıdır. Sistemi iyi tasarlamak ve karmaşıklığı azaltacak çözümler üzerine çalışmak gerekmektedir. Bir diğer zorluk, federe sistem koordinasyonundan sorumlu olan sunuculara iş yükü yüklemektir. Bu durumun sunucuları yoracağı düşünüldüğünden sistemin, bu dezavantaj düşünülerek inşa edilmesi gerekmektedir.

Bu doğrultuda KVKK’nın yayınlamış olduğu yayın[1] ile beraber önerilerimiz:

 Kişisel veri güvenliği açısından, kullanıcıların mahremiyetlerini ihlal edecek seviyede aşırı paylaşım yapmaları veya teknik açıklıklar sebepli siber saldırılar gibi birtakım problemlerle karşılaşılma olasılığı söz konusudur. Veriler ile alakalı bu problemlerle karşılaşılmaması ve veri şeffaflığının sağlanması amacıyla işlenen verilerin nasıl ve hangi amaçlar için kullanıldığı, kimlerle paylaşıldığı, nasıl saklanacakları, veri sorumlusunun ve kişinin hakları gibi hususlarda yeterli bilgilendirmenin yapılması gibi güvenli ve kayıtlı prosedürler ile hareket edilmesi gerekmektedir. Veri işlemesi öncesi risk değerlendirmesi yapılması, hesap verilebilirlik ilkesine uygun hareket edilmesi, KVKK mevzuatına uygun hareket edilmesi ve buna uygun gerekli teknik/idari tedbirlerin alınması gibi hususlar, sohbet robotu uygulamaları geliştirirken dikkat edilmesi gereken noktalar arasında yer alırlar. Bunun yanında, mahremiyetin korunması ve veri güvenliğinin sağlanması adına, programın uluslararası kabul görmüş belirli standartlara uygun olması ve sertifikaların bulundurulması hususları programın geliştirilmesinin her aşamasında ve hizmetin sunumunda kesintisiz şekilde sağlanıyor olmalıdır.

Bunların yanı sıra:

  • Privacy by Design ilkesi ile sohbet robotu uygulamaları gizlilik prensipleri düşünülerek tasarlanmalıdır.
    • Privacy by Design’ın (PbD) temel ilkesi, mahremiyetin sonradan düşünülmek yerine bir projenin veya girişimin tüm yönlerine dahil edilmesi gerektiğidir. Bu, planlama ve tasarımdan uygulama ve operasyona kadar geliştirmenin her aşamasında gizliliğin dikkate alınması anlamına gelir.
  • Amaca Bağlılık ilkesi gereğince kişilere, verilerinin hangi amaçla alındığı kaydedildiği ve işlendiği açık ve doğru bir şekilde açıklanmalı ve amaçla bağdaşmayan türden veriler toplanılmamalıdır.
  • Veri Minimizasyonu ilkesi ile kişisel bilgilerin toplanması, yasal olarak belirtilen amaçlar için gerekli olan kadarı ile sınırlı kalmalıdır. Kişisel olarak tanımlanabilir bilgilerin toplanması kesinlikle asgari düzeyde tutulmalıdır.
  • Silme hakkı gereğince; veri sahipleri, işlenen verilerini silme talebinde bulanabilirler. Bu talepler karşılanmalı veya silinmesi talep edilen veriler, yasal dayanaklarda belirtilen uygun yöntemler ile anonim hale getirilmelidir.
  • Aydınlatma ilkesi gereğince veri sahipleri (kullanıcılar), hangi kişisel verilerin toplanacağı, hangi verilerinin hangi amaçla ve ne kadar süre işleneceği ve sahip oldukları haklara dair bilgilendirilmelidir.
  • Açık rıza ilkesi ile sohbet robotunu kullanacak kullanıcının Aydınlatma ilkesi ile bilgilendirilen veri işleme faaliyetleri hakkında açık rızası alınmalıdır. Kullanıcıya, kişisel veri toplandığına, işlendiğine ve bunun hangi amaçla yapıldığına ilişkin bilgilendirilmelidir.

[1] https://kvkk.gov.tr/Icerik/8047/Sohbet-Robotlari-ChatGPT-Ornegi-Hakkinda-Bilgi-Noty Erişim Tarihi: 11.19.2024)

[1] https://rm.coe.int/guidelines-on-artificial-intelligence-and-data-protection/168091f9d8

 

[1] https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5

[2] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679