Avrupalı gizlilik savunucusu NOYB (Sizi İlgilendirmez), X’in Avrupa’daki 60 milyondan fazla kullanıcıya ait kişisel verileri, sosyal medya şirketinin büyük dil modeli “Grok”u eğitmek için kullanmasıyla ilgili olarak dokuz GDPR şikayetinde bulundu.
NOYB’ye göre X, kullanıcılarına verilerinin yapay zekayı eğitmek için kullanıldığına dair bilgi vermemiş ve bu uygulama için onaylarını istememiştir.
NOYB, özellikle GDPR olmak üzere dijital haklar ve veri koruma yasalarının uygulanmasına odaklanan ve ilgili şikayetleri ilgili makamlara ileterek bu konuda faaliyet gösteren, Avrupa merkezli, kar amacı gütmeyen bir gizlilik savunuculuğu kuruluşudur.
Grubun eylemleri daha önce çeşitli GDPR ihlalleri nedeniyle Meta, Amazon, Apple ve Google’a para cezası verilmesine yol açmıştı.
Grok sessizce eğitim aldı
NOYB, Grok’un AB ve AEA’daki 60 milyon kullanıcının büyük miktarda kişisel verisini uygun yasal dayanak veya kullanıcı onayı olmadan kullandığını ve bunun GDPR ilkelerini önemli ölçüde ihlal ettiğini iddia ediyor.
Grok’un eğitim yöntemlerindeki bu şeffaflık eksikliği ilk olarak 2024 yılının Temmuz ayının sonlarında, X hesap ayarlarındaki son değişiklikleri incelerken sorunu keşfeden @EastBakedOven adlı kullanıcı tarafından fark edildi.
Varsayılan olarak işaretli kalan özel ayar şu şekildedir: “Gönderilerinizin yanı sıra Grok ile etkileşimlerinizin, girdilerinizin ve sonuçlarınızın eğitim ve ince ayar için kullanılmasına izin verin.”
Ayarlar açıklamasında X, bahsi geçen verileri Grok’u “ince ayar yapmak” için kullanabileceğini ve benzer amaçlar için servis sağlayıcısı xAI ile paylaşabileceğini belirtiyor.
İrlanda Veri Koruma Komiserliği (DPC), geçen hafta X ile varılan anlaşmadan duyduğu memnuniyeti dile getirerek, X’in kişisel verilerin işlenmesini eylül ayına kadar askıya almayı kabul ettiğini duyurdu.
DPC duyurusunda, izinsiz Grok eğitiminin 7 Mayıs-1 Ağustos 2024 tarihleri arasında gerçekleştiği belirtiliyor.
DPC’nin X ile yaptığı anlaşmaya ilişkin değerlendirmede NOYB Başkanı Max Schrems, kurumun konunun hukuki boyutunu araştırmaktan kaçındığını ve bunun yerine hafifletici tedbirlerin uygulanmasına yönelik önerilere odaklandığını belirtti.
DPC’nin eylemini “yarım yamalak” bulan NOYB, GDPR’nin 5(1) ve (2), 6(1), 9(1), 12(1) ve (2), 13(1) ve (2), 17(1)(c), 18(1)(d), 19, 21(1) ve 25. Maddeleriyle ilgili ihlaller listesi için birden fazla GDPR şikayeti sunmaya karar verdi ve bunun tam bir soruşturmayı teşvik edeceğini umdu.
NOYB, X’in Grok’un eğitimleri hakkında kullanıcıları eğitim başladıktan iki ay sonra neden bilgilendirmediği, eğitim veri setlerine daha önce yüklenen AB verilerine ne olduğu ve AB verilerini AB dışındaki verilerden nasıl yeterince ayırabileceği sorularına yanıt arıyor.
Ayrıca kuruluş, Twitter’ın AB’de yaşayan kullanıcılarından, bunu yapmanın GDPR uyumlu tek yolu olan Grok’u eğitmek için verilerini kullanma izni almaları konusunda hala neden bir talepte bulunmadığını sorguluyor.
BleepingComputer, NOYB’nin eylemi ve iddiaları hakkında yorum yapmak için Twitter ile iletişime geçti, ancak “daha sonra tekrar kontrol edin” şeklinde otomatik bir yanıt aldık.