Üretken yapay zeka (AI), kısa süre önce insan yapımı içeriğe çok benzeyen metin, resim, ses ve video içeriği üreterek sahneye çıktı. Herkese açık veriler üzerinde eğitildikten sonra, ChatGPT, DALL-E, Bard ve diğer yapay zeka modelleri, hevesli bir kitleye sunuldu. Bu teknolojinin benimsenme oranı, yasama organlarının güvenlik, güvenilirlik ve adaleti sağlamak için gereken yasaları geçirme hızının çok üzerindedir.
Norveçliler, tüketicinin korunması ve veri gizliliği hakkında soru işaretleri uyandırarak oyunun önüne geçmeye çalışıyor. Norveç Tüketici Konseyi, üretici yapay zekanın tüketicilere verebileceği zararı ele almak için Haziran 2023’te bir rapor yayınladı. Rapor, Makinedeki hayalet – üretici yapay zekanın tüketici zararlarını ele alıyorüretken yapay zeka sistemlerinin insan haklarını koruyacak şekilde geliştirilmesini ve kullanılmasını sağlayacak kapsayıcı ilkeler sunar.
Norveç veri koruma yetkilisi Datatilsynet, üretken yapay zekanın Genel Veri Koruma Yönetmeliğini (GDPR) ihlal etme yolları hakkında da farkındalık yaratıyor. Üretken yapay zeka modelleri, genellikle verileri oluşturan kişinin bilgisi veya onayı olmaksızın birçok farklı kaynaktan alınan büyük miktarda veri üzerinde eğitim alır.
Norveç veri koruma otoritesinin uluslararası bölüm başkanı Tobias Judin, “Veri toplama açısından üretici yapay zeka ile ilgili birkaç sorun var” diyor. “İlk sorular, bu şirketlerin modellerini eğitmek için ne yaptıklarıyla ilgili.”
Eğitim aşamasında veri gizliliği ihlal edilebilir
Üretken yapay zeka için kullanılan modellerin çoğu temel modellerdir, yani çeşitli uygulamalar tarafından kullanılabilecek kadar genel amaçlıdırlar. Temel modelleri eğiten kişiler, büyük miktarda kişisel veri de dahil olmak üzere internetteki açık kaynaklardan büyük miktarda veri derler.
Veri koruma yetkilileri tarafından dile getirilen ilk endişe, kuruluşların tüm bu kişisel verileri toplamaya yetkili olup olmadığıdır. Birçok veri gizliliği uzmanı, veri toplamanın hukuka aykırı olduğunu düşünmektedir.
Judin, “Başka bir konu da şeffaflık” diyor. “Kişiler, kişisel verilerinin bir modeli eğitmek için kullanılacağı konusunda bilgilendiriliyor mu? Muhtemelen değil. Veri toplama ile ilgili yasal ilkelerden biri, gerekenden daha fazla veri toplamamanız gerektiğini söyleyen veri minimizasyonudur.”
İnsanlar, kişisel verilerinin bir modeli eğitmek için kullanılacağı konusunda bilgilendiriliyor mu? Muhtemelen değil
Tobias Judin, Veri Koruma Yetkilisi
“Temel bir model geliştiren şirketler, her zaman, model hemen hemen her şey için kullanıldığından, mevcut tüm verilerin toplanması gerektiğini söyleyecektir. Bu yaklaşım GDPR ile pek uyuşmuyor. Diğer bir dizi sorun, veri doğruluğu ve kalitesiyle ilgilidir. İtiraz edilen bilgiler de dahil olmak üzere bazı veriler web forumlarından olabilir – kişisel veriler. Bu veriler aynı zamanda bu modelin eğitiminin bir parçası olacak.”
Bir model eğitildikten sonra, verilere artık ihtiyaç yoktur. Birçok kuruluş, verilere ihtiyaç duyulmadığından, veri gizliliğiyle ilgili tüm sorunları ortadan kaldırmak için verileri silebileceklerini düşünür. Ancak bu düşünce artık sorgulanmıştır. Model ters çevirme saldırıları adı verilen yeni bir saldırı türü, modeli eğitmeye giden verileri yeniden tanımlamak için bir yapay zeka modeline belirli türden sorgular yapmayı içerir. Bu saldırılardan bazıları özellikle üretken yapay zekayı hedefler.
Veri düzeltme ve silme çok karmaşık hale gelir
Diğer bir sorun ise, modeller kişisel verilerle eğitildiğinden, bir veri koruma yetkilisi bir kuruluşa bazı kişisel verileri silme emri verirse, bu modelin silinmesi gerektiği anlamına gelebilir, çünkü veriler modelin ayrılmaz bir parçası haline gelmiştir.
Judin, “Bu çok büyük bir uyumluluk sorunu” diyor. “Eğitim verilerinin toplanması ve düzenlenmesi söz konusu olduğunda gerekli özeni göstermediyseniz, sıkışıp kaldınız.
Judin, “Ve son aşama, modelin faaliyete geçtiği zamandır” diye ekliyor. “İnsanların soru sorabileceği ve metin veya diğer içerikleri geri alabileceği, tüketiciye yönelik bir hizmetiniz var. Bir kullanıcı, modele başka biri hakkında kişisel bir şey sorabilir. Model yanlış bir cevap üretebilir. Bu yanıt bir web sitesinde yayınlanırsa – ve veriler tarafından tanımlanan kişi verilerin düzeltilmesini isterse – site sahibi bunu düzeltebilir. Ancak hatanın kaynağı üretici yapay zeka olduğundan, hata tam olarak düzeltilemez. Modele göre pişirildi.”
Modeli eğiten şirketler, modelin ürettiklerini artık değiştiremezler. Veri koruma açısından, silme ve düzeltme haklarının desteklenip desteklenemeyeceği açık değildir. Bu haklara saygı duymanın tek yolu, modeli bir kenara atıp baştan başlamak olabilir. Modellere sahip olan kuruluşlar muhtemelen bunu yapmak istemeyeceklerdir çünkü en başta modeli eğitmek için çok fazla kaynak yatırmışlardır.
Ek bir endişe alanı, kullanıcıların bu hizmete girdikleri sorguların – yazdıkları soruların – “hizmet iyileştirmeleri” için kullanılabileceği, yani girdinin daha ileri eğitim için kullanılabileceğidir. AI modelleri ayrıca hedeflenen reklam için girdi toplayabilir.
Üretken AI modelleri, mevcut materyali alıp yeni yollarla sunmak için tasarlanmıştır. Bu, modellerin doğası gereği mevcut önyargıları ve hataları yeniden üretmeye eğilimli olduğu anlamına gelir.
Norveç Tüketici Konseyi, AB kurumlarını büyük teknoloji şirketlerinin lobi baskılarına direnmeye ve tüketicileri korumak için su geçirmez yasalar çıkarmaya çağırıyor. Yakın tarihli raporları, kanunlardan daha fazlasına ihtiyaç duyulduğunu söylüyor – icra kurumlarının kanunlara uyulmasını sağlamak için daha fazla kaynağa ihtiyacı var.