1940’lı yılların başlarında ve korkunç olarak nitelendirebileceğimiz bir iklimde Alan Turing “Makineler düşünebilir mi?” sorusunu ortaya atmasaydı eğer muhtemelen bugün çok daha farklı konular üzerinde konuşuyor olurduk. Sürekli gelişen ve küreselleşme hızı 1990’nın neredeyse dört katı olan günümüzde ise, teknolojiden uzak kalmak veya iş akışlarını teknolojik gerekliliklere göre düzenlemek işten bile değil. Tek tık’la yemek siparişi vermek, uçak bileti almak, aramızda saat farkı olan birinin yüzünü görüp sesini duymak muhteşem olsa da bu işlemleri gerçekleştiren yapay zekaların bizden ne istediğini sorgulamak için bir hayli geç kalmış olabiliriz.
Ama yine de Alan Turing’in sorusuna bir yenisini eklemenin zamanı geldi.
“Makineler “artık” düşünebilir. Peki, makinelerin düşünce hızından verilerimizi koruyabilir miyiz?”
1.GİRİŞ
Yapay zekâ, insanlar ve hayvanlarda bulunan doğal zekanın aksine makinelerin belirli matematik algoritmalarını anlayarak karmaşık düşünce sistemlerini çözebilmesi ve soruları yanıtlaması olarak tanımlanmaktadır. İlk ortaya çıkış noktası ise bugün herkesin hüzünle hatırladığı II. Dünya Savaşı’na kadar dayanır.
II. Dünya Savaşı sırasında Nazilerin Enigma Makinesi, zor kodlar ile dönemin en çetrefilli bilgilerinin iletilmesini sağlıyordu. Pek çok matematikçi bilim insanı Enigma’nın şifresini çözebilmek için gece gündüz çalışmasına rağmen yalnızca önemsiz mesajları deşifre edebiliyor, karmaşık Kriegsmarine mesajları ise deşifre edilemiyordu. Öyle ki gazete manşetlerinden düşmeyen Alman zaferi haberleri sıcak çatışma sırasındaki askerlerin moralini alt üst ederken neredeyse dünyanın her yerinden insanlar makinenin şifresini çözmek için çabalıyordu. Bletchley Park’ta yer alan yeni şifre çözme merkezi ise Cambridge’in genç yeteneği Turing’i bünyesine katarak şifreyi kırdı ve bazı tarihçilere göre savaşın iki yıl erken sona ermesine yardımcı oldu.
Turing’in hipotezlere ve Boole cebirine dayanarak oluşturduğu ilk bilgisayar prototipleri bugünkü makine zekâsı kavramının ana hatlarını ortaya çıkarmıştır. 1950 yılında oluşturduğu Turing Testi; 1955’in ortalarında John McCarthy ve Marvin Minsky’nin bir konferansta ilk kez “yapay zekâ” kelimesini kullanmasına yardımcı oldu. Daha sonra Winograd’ın doğal bir bilgisayar dili anlayışı SHRDLU’yi geliştirmesi, Raj Reddy’nin doğal dil işleme ile ilgili ilk açıklamaları ve Judea Pearl’ün, “Akıllı Sistemlerde Olasılıksal Düşünceler” adlı makalesi bugün bir yapay zekâ sohbet botu ile konuşabilmemize ve ondan fikir almamıza giden yolu döşeyen kilometre taşları olarak karşımıza çıktı.
Milenyum çağına geldiğimizde teknoloji devlerinin yeni robot yarışı ile yapay zekâ farklı bir boyuta evrilmeye başladı. Bugün artık makinelerin düşünebileceğini ve hatta bizim yerimize otomasyona bağlı işlemleri gerçekleştirebileceğini biliyoruz. Lakin bu hızlı gelişim daha önce hiç düşünmediğimiz kadar büyük bir sorunu beraberinde getirdi: verilerimizin korunması.
Çevrimiçi platformlardaki işlemlerimizin öngörülemez artış hızı, iletim hızının milisaniyelere inmesi, pek çok iş kolunun kaybolarak yerine yapay zekâ ile oluşturulan sistemlerin geçmesi, en nihayetinde akıllı sohbet botlarının cevapları ve spekülasyonları verilerimizin sandığımızdan daha önemli olduğunu göstermektedir. Kişisel Verilerin Korunması Hukuku, böyle bir dünyada, verinin yeni petrol olduğu anlayışın tam da içine doğmuştur.
2. YAPAY ZEKÂ KULLANIMI VE KİŞİSEL VERİLERİN KORUNMASI
Kişisel verilerin korunması hukuku, bilgisayar kullanıcılarının artması ile kaçınılmaz bir gereklilik olarak ortaya çıkmıştır. Nitekim 1970 yılında Almanya Hessen’de “Eyalet Veri Koruma Kanunu” hazırlanarak yürürlüğe koyulmuş ve devamında bugüne değin oluşturulan pek çok regülasyonun da öncüsü olmuştur.
Türk Hukuku’nda, 2010 yılında Anayasa’nın 20. maddesine yapılan ekleme neticesinde bir temel hak olarak kabul edilmiş olan kişisel verilerin korunması hakkı; herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilmesini, bu verilere erişebilmesini, bunların düzeltilmesini veya silinmesini talep edebilme gibi pek çok alanı da kapsamaktadır.
2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (Buradan sonra “Kanun” veya “KVKK” olarak anılacaktır.) ile hem bu haklar pekiştirilmiş hem de otomatik olan veya olmayan yollar ile veriyi gören, işleyen, depolayan, saklayan, kullanan her türlü kuruluş için birtakım yükümlülükler getirilmiştir. Kanun, 24 Ekim 1995 tarihli Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Hakkındaki 95/46/EC Sayılı Direktif’in bir tezahürü olarak ortaya çıkmıştır. Söz konusu Direktif Avrupa’da Genel Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”)’nün yürürlüğe girmesinin ardından bir nevi rafa kalkmış olsa da bizim için bugün bahsi geçen temel hususları oluşturmaktadır.
Yapay zekâ ve makine öğrenmesi ise, söz konusu regülasyonların koruma altına almaya çalıştığı verileri; veri analitiği yöntemi ile geliştirmeye çalışan, bunu algoritmalar ile gerçekleştiren ve ilgili çalışmalar sonucunda hayatımızı kolaylaştıran uygulamaların yaratıldığı alanlardır. Reklam tercihlerimizden, giyilebilir teknolojilere kadar aklınıza gelebilecek her ekosistemde var olan yapay zekâ teknolojisi geliştikçe bu teknolojiyi kullanan/üreten/geliştiren kuruluşların topladığı kişisel veri miktarı da doğru orantılı bir şekilde artacaktır. Çünkü algoritmaların çalışma prensibi en basit hali ile “ne kadar çok veri o kadar doğru sonuç” olarak ifade edilmektedir. Bu veri setleri çoğalarak büyük veri (“big data”)yi oluşturacak ve yakın gelecekte verdiğiniz bilgi kadar değerli olacağınız bir çağın kapısını açacaktır.
Katlanarak artan veri toplama işlemleri büyük bir riski de beraberinde getirmektedir. Bu nedenle dünyanın her yerinden veri bilimciler, yapay zekâ algoritmalarını besleyen bu ham verilerin ön yargısız, ayrımcılığa neden olmayacak derecede adil, eşit ve mahremiyete önem gösteren şekillerde kullanılması gerektiğini savunmaktadır.
3. YAPAY ZEKÂNIN VERİ KORUMA ALANINDA OLUŞTURDUĞU SORUNLAR VE ÇÖZÜMLERİ
Yapay zekâ teknolojilerinin veri koruma hukuku bağlamında ortaya çıkarttığı en büyük sorun mahremiyet ve gizliliğin nasıl sağlanacağı sorusuna dayanmaktadır. Teknolojinin büyük bir devrimle gelişmesi yerin altından çıkan kaynakları eskiterek kendi çağını yaratmıştır. Bu yeni çağın gereklilikleri ise alışık olmadığımız dinamiklere bağlıdır.
Bir avukatın yerine sözleşme yorumlayan sohbet robotları, hakimlik yapan hukuk teknolojisi yapay zekâ örnekleri, doktormuşçasına tedavi yöntemi sunanlar ve dahası tüm bu işlemleri gerçekleştirmek için tek bir şeye ihtiyaç duyuyor: kişisel veriler!
Kişisel verilerin hem ulusal hem de uluslararası pek çok mevzuata göre korunduğunu daha önce ifade etmiştik. Fakat regülatif düzenlemeler ortaya çıkan kişisel veri ihlallerini, veri tabanlarında biriktirilen ve büyük veriyi oluşturan verilerin yetkisiz kişiler tarafından anlamlandırılmasını engelleyemiyor. Ücretsiz olarak telefonumuza indirdiğimiz herhangi bir uygulamada okumadan geçtiğimiz şartnameler kameramıza, rehberimize ve daha pek çok mahrem bilgiye erişebiliyor. Çünkü The Social Dilemma (“Sosyal İkilem”) filminde de söylenildiği gibi: “Bir ürüne para ödemiyorsanız, ürün sizsinizdir.”
Para ödesek de ödemesek de tüm bu yetkisiz işlemlerden, veri ihlallerinden etkilenmekten, Dark Web üzerinden bilgilerimizin satışa çıkarılması ve dahasından korunmayı talep etmek en temel hakkımız. Bunu da ancak mahremiyet ve gizlilik prosedürleri ile gerçekleştirebiliriz.
Mahremiyet ve gizlilik, Genel Veri Koruma Tüzüğü başta olmak üzere dünya üzerinde veri koruma hukuku bağlamındaki tüm regülasyonların temel çıkış noktasıdır. Özel hayatın gizliliği Anayasamızda da ikrar edilen temel bir insan hakkı olması nedeniyle; kişisel verilerimizi kimlerin toplayabileceğine ve kullanabileceğine karar verme yeteneği de bireysel özerklik ile bağlantılıdır. Tüm bu sebepler ile kişisel veri işleyen yapay zekâ sistemleri, bireylerin hak ve özgürlüklerine yönelik ortaya çıkan sorunları azaltmak ve gizlilik ile güvenliği sağlamak durumundadır. Bu husus ise ancak yasallık, adalet ve şeffaflık ilkesi, hesap verilebilirlik ilkesi, bireysel haklarının kullanımının öncelenmesi ilkesi, güvenlik ve veri minimizasyonu ilkesinin doğru ve efektif uygulanması ile mümkün olacaktır.
A. YAPAY ZEKÂNIN YASALLIK, ADALET VE ŞEFFAFLIK İLKESİ ÜZERİNDEKİ TEZAHÜRÜ
Yapay zekâ ve her halükârda bir otomasyon sistemlerinin kişisel verileri işleyebilmesi için bir yasal dayanağının bulunması gerekmektedir. KVKK kapsamında işlemenin hukuki sebepleri 5. maddenin 2. fıkrasında sayılmıştır. Lakin bazı durumlarda aynı Kanun’un İstisna kapsamına aldığı hükümler çerçevesinde bulunan hukuki sebepler de geçerli olabilmektedir.
Öğretide birçok görüş yapay zekanın devamlılığı ve herhangi bir sisteme entegre edilebilmesi için farklı hukuki sebepleri öne sürmektedir. Örneğin bir avukatın sözleşme tadili için kullandığı sistem ile bir doktorun danışmak adına hastasının kişisel verilerini girerek görüş aldığı sistem aynı yasal dayanaklar kapsamında değerlendirilmeyecektir.
Geçtiğimiz günlerde Amerika’da polislerin kullandığı bir sistem; verdiği yanlış karar ile suç bağlamında ilişkisi olmayan bir kimsenin tutuklanmasına sebep oldu. Çok tartışılan hususlardan biri olan yapay zekanın her zaman adil/adaletli olamayacağı bu kadar aşikâr iken yine de onu kullanmaya devam edecek miyiz?
Elbette, evet! Çünkü eğer yapay zekânın kullanacağı verilerin kontrolünü istatistiksel olarak doğru ve güncel tutabilir; internet gibi derin bir dehlizde insanların birebir fikirlerine değil de salt gerçeğe ulaşmasını sağlayabilir ve en nihayetinde de makul ölçekteki insani beklentiyi karşılayabilecek seviyeye getirebilirsek olumsuz sonuçlardan büyük ölçüde kaçınmış oluruz.
Son olarak bu başlık ekseninde veri işlemenin şeffaf bir biçimde ilerletilmesinin önemine değineceğiz. Şirketlerin şeffaf olması aynı zamanda onları yaptıkları işlemlerden sorumlu tutabilmemize yardımcı olacaktır. Yapay zekâ özelinde de bu husus; kullandığımız herhangi bir sisteme “Bu bilgiyi nereden aldın? Hangi kaynaklardan beslendin? Doğruluğu teyit edilebilir mi?” sorularını sorarak gerçekleştirilebilir. Bilgilerin kısa, öz, anlaşılır ve kolay erişilebilir olması şeffaflığın olmazsa olmazlarındandır.
B. YAPAY ZEKÂNIN HESAP VERELEBİLİRLİK İLKESİ ÜZERİNDEKİ TEZAHÜRÜ
Hesap verilebilir olmak yalnızca kişisel verilerin korunması alanında değil neredeyse tüm ekonomik alanlarda geçerli bir ilkedir. Örneğin; Türk Hukuku bağlamında Sermaye Piyasası Kurulu’na bağlı çalışan tüzel kişilikler bilgi toplumu hizmeti nedeniyle hesap verilebilir olmalıdır. Kişisel Verilerin Korunması mevzuatı gereğince de yapay zekâ otomasyon sistemleri bir işlem gerçekleştirilirken hangi verilerin kullanıldığı, bu verilerin gerekli ve yeterli bir biçimde mi yoksa fazla mı talep edildiği gibi pek çok hususta hesap vermektedir.
Kuruluşlar risk hesaplaması yaparken yetkili denetim organları ve asli olarak da bireylere işlenen verinin hesabını verip veremeyeceğini düşünmelidir. Aksi takdirde veri minimizasyonu ilkesi ile de bağdaşmayacak sonuçlar ortaya çıkacaktır.
C. YAPAY ZEKÂNIN VERİ SAHİBİNİN HAKLARI ÜZERİNDEKİ TEZAHÜRÜ
Kanun’un 11. maddesi kapsamında ilgili kişilerin hakları sayılmış ve hazırlanan metinlerde (Aydınlatma Metni) bu hakların belirtilmesi gerektiği ifade edilmiştir. Aynı zamanda Genel Veri Koruma Tüzüğü nezdinde de 13. ve 21. maddelerde veri konusu kişilerin haklarından bahsedilmiştir.
Yapay zekâ otomasyon sistemlerinde verinin korunabilmesi, devamlılığı, ilgili kişilere haklarının kullandırılmasının zor olduğu apaçık bir gerçektir. Fakat kişiler işlenen verileri hakkında açık ve şeffaf bir biçimde bilgi alabilir, yurt içinde veya dışında kişisel verilerin aktarıldığı üçüncü kişileri öğrenmek isteyebilir, kayıtlarda yer alan verilerin doğru olmadığını düşünüyorsa düzeltilmesini talep edebilir veya artık herhangi bir faaliyet çerçevesinde bu hususlar gerekli değilse silinmesini, yok edilmesini, anonimleştirilmesini isteyebilirler.
Özellikle Avrupa’da unutulma hakkı (silme, yok etme, anonimleştirme, erişilmeyecek hale getirme) diğerlerine nazaran daha sık kullanılmakta ve kişilerin taleplerinin makul olduğu mahkemelerce anlaşıldığında veri tabanlarından ilgili verilerin silinmesi gerekliliği gündeme gelmektedir.
D. YAPAY ZEKÂNIN GÜVENLİK VE VERİ MİNİMİZASYONU İLKESİ ÜZERİNDEKİ TEZAHÜRÜ
Veri güvenliği, tüm anlatılanların çıkış noktasıdır. Çünkü yapay zekânın birçok farklı kaynaktan milisaniyeler içerisinde beslenmesi risk yönetimini zorlaştırırken güvenlik ilkesine uyumu da neredeyse imkânsız hale getirmektedir.
Makinelerin bizden hızlı öğrendiğini biliyoruz. Fakat bu makineler eğitilirken toplanan veriler için bizlerden izin alınıp alınmadığını hiç sorgulamıyoruz. Yapay zekâ otomasyon sistemlerinin öğrenimi için alınan, kaydedilen, saklanan verilerin kullanımı ancak uygun güvenlik önlemlerinin alınması ile mümkündür. Bu güvenlik önlemleri verilerin yetkisiz kişilerce erişilmesine, kaybolmasına, hasara uğramasına karşı alınan önlemlerin bütününü ifade etmektedir.
ISO standartlarında belirtilen bilgi güvenliği sistemlerinin kurulması yapay zekâ sistemlerinde veri güvenliğinin önemli bir bileşenini oluşturmaktadır. Bu süreçte Kanun kapsamında alınacak idari ve teknik tedbirler; sistemleri, hizmetleri ve bunlarda işlenen kişisel verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini koruyacaktır.
İlkelerden bahsederken yapay zekanın gerekli hukuki sebebe dayanarak belirli bir amaca yönelik işleme yapması gerektiğini ifade etmiştik. Bu bağlam aynı zamanda veri minimizasyonunu da açıklamaktadır. Öyle ki işlenen verilerin kullanımı işlendikleri amaçla bağlantılı ve sınırlı olmalıdır.
Veri Minimizasyonu ilkesi açısından yapay zekâ eğitiminde hangi verilerin amaca uygun olduğunun değerlendirilmesi ve yalnızca bu verilerin işlenmesi gerekmektedir. Dolayısıyla, daha az veri seti veya daha az kişinin dahil edilmesi ile yeterli doğruluğa ulaşılabiliyorsa mutlak suretle bu tercih edilmelidir.
4. SONUÇ
İnternetin gelişmesi, bilgiye erişimi kolaylaştırsa da verilerimizi korumayı zorlaştırmaktadır. II. Dünya Savaşı ile başlayan sürecin gelişimi dur durak bilmeksizin devam etmektedir. Bu küreselleşme bizi büyük veri kavramı ile tanıştırmış ve her değişimin mutlak bir sancısı olduğunu kanıtlamıştır. Yapay zekâ teknolojileri de henüz yeni yeni emeklese de büyük veri setlerini analiz edebilecek derecede gelişmiş ve insanların mesleki bakışlarını sarsacak kadar da ilerlemiştir. Lakin bu gelişim yalnızca aklımızdan geçen fikirleri tahmin edebilir boyuta geldiği için risk etmeni artmakta ve buna paralel olarak da mahremiyete olan duyarlılığımız azalmaktadır.
Veri Koruma Hukuku alanı çerçevesinde ilgili ilkelere uyum sağlanarak ve gerekli teknik/idari tedbirler alınarak yapay zekâ teknolojilerinin oluşturduğu sorunlarından büyük ölçüde korunabiliriz. Otomasyon sistemlerinin işlemleri bir insanın düşünebileceğinden ve uygulayabileceğinden çok daha hızlı yaptığını kabul ederek bu yola çıkmak, yapay zekâ teknolojilerinin hızlı gelişimine avukatları dahil ederek süreci kontrol edilebilir hale getirmek ve ilgili mahremiyet önlemlerini istisnasız almak son derece önemlidir. Çünkü Garry Kasparov’un Derin Düşünce kitabında da söylediği gibi:
“Bir makineyi siz programladığınız zaman ne yapabileceğini bilirsiniz. Makine kendi kendini programlıyorsa ne yapabileceğini kim bilebilir?”
Ayrıca bakınız; https://jurcom.nl/afetlerde-kisisel-veriler-islenme-sartlari-saglik-verileri-sosyal-medya-paylasimlari-riskler-ve-oneriler/