Milyonlarca kullanıcı, muazzam miktarda veri: ChatGPT, bir veri koruma sorunudur ve şimdiye kadar çok az denetime tabi olmuştur. İtalya’da ilk yasaklama yaşanırken, çoğu yetkili hâlâ cevap bekliyor. Schleswig-Holstein eyaleti Veri Koruma Sorumlusu Marit Hansen, MIT Technology Review ile yaptığı bir röportajda sürecin nasıl koordine edildiğini, ChatGPT’yi kendisinin nasıl değerlendirdiğini ve AB Genel Veri Koruma Yönetmeliğinin Avrupa’da ChatGPT’yi durdurup durduramayacağını açıklıyor.
Bayan Hansen, federal eyaletiniz Schleswig-Holstein’daki baş veri koruma görevlisi olarak, Büyük Dil Modelleri veya kısaca LLM ile çalışıyorsunuz. Bu modellerde şu anda ne olduğunu bile biliyor muyuz, tüm bilgiler nereden geliyor?
Şu anda açıklanmadı – ve neredeyse hiçbir modelde – neyin güçlendirildiği. Bu aynı zamanda modellerin insanlar tarafından nasıl daha fazla eğitildiğini ve manuel olarak düzenlendiğini ve ayrıca ne üzerinde “eğitildiklerini” ifade eder. Hala birçok soru işaretimiz var. Elbette bu, veri koruma görevlileri olarak, örneğin eğitim veri kaynaklarının meşruiyeti ile ilgili olarak, yargılamadan önce bunu anlamamız gerektiği anlamına gelir. Bu verileri kullanmanın yasal bir dayanağı var mı? Bu, veri koruma açısından merkezi bir sorudur ve her durumda hızlı bir şekilde çözülmelidir.
Avrupa pazarı için teklifler
Sizce ChatGPT gibi bir LLM Avrupa’da da başlatılmalı mıydı?
AB’nin veri koruma gereklilikleri Avrupa pazarı için geçerlidir, bu aynı zamanda üretici OpenAI’nin burada bir yan kuruluşu olmasa bile Avrupa’da sunulan ChatGPT için de geçerlidir. Kişisel veriler işlenirse, diğer tüm işlemciler gibi OpenAI de Genel Veri Koruma Yönetmeliğine (GDPR) uymak zorundadır. Örneğin, yasal bir dayanağa dikkat edin. Bilgi gereksinimlerini karşılayın. Veri sahiplerinin erişim, düzeltme ve belirli durumlarda iptal haklarını kullanmalarını sağlayın. Tedavinin güvenliğini sağlayın. Tasarım gereği ve varsayılan olarak veri korumasını uygulayın. Yüksek bir risk bekleniyorsa, bir veri koruma etki değerlendirmesi gerçekleştirmişlerdir. Hepsi diyeceğim kriterler: Avrupa’da piyasaya kim teklif getirirse anlamıştır ve sorularımızın cevapları çekmecededir.
Tüm bunların OpenAI uyumlu olduğunu nasıl doğrularsınız?
OpenAI’nin henüz Avrupa’da bir şubesi yok. Şimdi soru ortaya çıkıyor: sorumlu kim? Normalde, şubenin konumuna göre belirlenen tam olarak bir baş yetkili vardır. Facebook veya Google gibi birçok durumda bu, İrlanda’daki veri koruma düzenleyicisidir. AB’de şubesi olmayan OpenAI için durum böyle değil. Bunun yerine, tüm veri koruma denetleme makamları eşit derecede sorumludur. ChatGPT söz konusu olduğunda, o kadar çok talep oldu ki, eyalet veri koruma komisyon üyeleri olarak bunları derhal incelemenin önemli olduğunu hissettik. İşte bu nedenle, bunu şu anda çeşitli devlet veri koruma yetkilileri tarafından koordine edilen ve aynı zamanda Avrupa bağlamında koordine edilen Almanya çapında yapıyoruz.
İtalya’da kişisel verilerin korunması için Garantör çoktan müdahale etti ve hatta ChatGPT’yi yasakladı. İtalyan meslektaşları bunu nasıl haklı çıkardı? Ve sizin açınızdan Almanya için de ilginç olabilecek bir şey mi?
İtalyan meslektaşları, yasal dayanaklar, bilgi yükümlülükleri, veri öznesi hakları ve çocukların korunması gibi birkaç noktaya odaklandılar ve veri koruma açısından bekleyecekleri cevapların eksik olduğunu gördüler. Şu anda İtalyan meslektaşlarımızın değerlendirmesinin anlaşılır olduğuna inanıyoruz. Artık daha fazla soru sormak ve bilgi almak istiyoruz çünkü işler sürekli değişiyor. GPT-4 ile ilgili durumun bugün İtalya’nın müdahale ettiği zamandan farklı olduğu zaten açık.
“Öyleyse bilgiler masada olmalı”
OpenAI için hangi son tarihleri belirlediniz?
Schleswig-Holstein kapak mektubu için son tarih 7 Haziran. Bu, talebin gönderilmesinden tam olarak altı hafta sonra olacaktı. Bence ABD’den gelen bir teklife bakmakta bir sorun yok, neyse ki e-posta var, yani her şey postayla gitmek zorunda değil. Ve OpenAI, talebin geldiğine hemen tepki verdi. Sürenin dolacağını varsayıyorum. Bunlar altı sayfayı kapsayan uzun sorular. Bu yüzden cevapları Haziran başında bekliyoruz. Belki hala bazı sorularımız var, belki biraz zaman alacak, sonra belki hala yaz olacak. Ancak daha sonra bilgi, daha sonra değerlendirilecek olan masada olmalıdır. Testimiz açık uçludur. Hessen, Rheinland-Pfalz, Baden-Württemberg ve diğer ülkelerdeki meslektaşlarım tarafından benzer talepler geliyor veya hazırlanıyor.
Veri koruma açısından bakıldığında, iki grup sorun var gibi görünüyor. Model eğitimi sırasında kişisel veriler kullanılmış olabilir. Ve sistemler kullanıldığında, OpenAI çok fazla veri toplar. Ve kimse ona ne olduğunu bilmiyor. En büyük problem nedir?
Şu an değerlendiremiyorum. Eğitim, kişisel referans olmadan bile teorik olarak mümkün olacaktır. Bununla birlikte, kişisel veriler kullanım yoluyla tekrar toplanır. Danışma formları için ChatGPT’yi kullanmakla ilgilenen veri sahiplerinden çok sayıda talep alıyoruz. Bu tür diyaloglarda, birçok insan için işler hızla kişiselleşir. Kendini ifşa eden ve pek çok ayrıntıyı, hatta belki de en mahrem olanları bile yazan insanlar var. Nasıl değerlendirilir? tabi ki bir veri koruma denetleme kurumu olarak kesin olarak bilmek istiyoruz.
Haberin Sonu
Bayan Hansen, federal eyaletiniz Schleswig-Holstein’daki baş veri koruma görevlisi olarak, Büyük Dil Modelleri veya kısaca LLM ile çalışıyorsunuz. Bu modellerde şu anda ne olduğunu bile biliyor muyuz, tüm bilgiler nereden geliyor?
Şu anda açıklanmadı – ve neredeyse hiçbir modelde – neyin güçlendirildiği. Bu aynı zamanda modellerin insanlar tarafından nasıl daha fazla eğitildiğini ve manuel olarak düzenlendiğini ve ayrıca ne üzerinde “eğitildiklerini” ifade eder. Hala birçok soru işaretimiz var. Elbette bu, veri koruma görevlileri olarak, örneğin eğitim veri kaynaklarının meşruiyeti ile ilgili olarak, yargılamadan önce bunu anlamamız gerektiği anlamına gelir. Bu verileri kullanmanın yasal bir dayanağı var mı? Bu, veri koruma açısından merkezi bir sorudur ve her durumda hızlı bir şekilde çözülmelidir.
Avrupa pazarı için teklifler
Sizce ChatGPT gibi bir LLM Avrupa’da da başlatılmalı mıydı?
AB’nin veri koruma gereklilikleri Avrupa pazarı için geçerlidir, bu aynı zamanda üretici OpenAI’nin burada bir yan kuruluşu olmasa bile Avrupa’da sunulan ChatGPT için de geçerlidir. Kişisel veriler işlenirse, diğer tüm işlemciler gibi OpenAI de Genel Veri Koruma Yönetmeliğine (GDPR) uymak zorundadır. Örneğin, yasal bir dayanağa dikkat edin. Bilgi gereksinimlerini karşılayın. Veri sahiplerinin erişim, düzeltme ve belirli durumlarda iptal haklarını kullanmalarını sağlayın. Tedavinin güvenliğini sağlayın. Tasarım gereği ve varsayılan olarak veri korumasını uygulayın. Yüksek bir risk bekleniyorsa, bir veri koruma etki değerlendirmesi gerçekleştirmişlerdir. Hepsi diyeceğim kriterler: Avrupa’da piyasaya kim teklif getirirse anlamıştır ve sorularımızın cevapları çekmecededir.
Tüm bunların OpenAI uyumlu olduğunu nasıl doğrularsınız?
OpenAI’nin henüz Avrupa’da bir şubesi yok. Şimdi soru ortaya çıkıyor: sorumlu kim? Normalde, şubenin konumuna göre belirlenen tam olarak bir baş yetkili vardır. Facebook veya Google gibi birçok durumda bu, İrlanda’daki veri koruma düzenleyicisidir. AB’de şubesi olmayan OpenAI için durum böyle değil. Bunun yerine, tüm veri koruma denetleme makamları eşit derecede sorumludur. ChatGPT söz konusu olduğunda, o kadar çok talep oldu ki, eyalet veri koruma komisyon üyeleri olarak bunları derhal incelemenin önemli olduğunu hissettik. İşte bu nedenle, bunu şu anda çeşitli devlet veri koruma yetkilileri tarafından koordine edilen ve aynı zamanda Avrupa bağlamında koordine edilen Almanya çapında yapıyoruz.
İtalya’da kişisel verilerin korunması için Garantör çoktan müdahale etti ve hatta ChatGPT’yi yasakladı. İtalyan meslektaşları bunu nasıl haklı çıkardı? Ve sizin açınızdan Almanya için de ilginç olabilecek bir şey mi?
İtalyan meslektaşları, yasal dayanaklar, bilgi yükümlülükleri, veri öznesi hakları ve çocukların korunması gibi birkaç noktaya odaklandılar ve veri koruma açısından bekleyecekleri cevapların eksik olduğunu gördüler. Şu anda İtalyan meslektaşlarımızın değerlendirmesinin anlaşılır olduğuna inanıyoruz. Artık daha fazla soru sormak ve bilgi almak istiyoruz çünkü işler sürekli değişiyor. GPT-4 ile ilgili durumun bugün İtalya’nın müdahale ettiği zamandan farklı olduğu zaten açık.
“Öyleyse bilgiler masada olmalı”
OpenAI için hangi son tarihleri belirlediniz?
Schleswig-Holstein kapak mektubu için son tarih 7 Haziran. Bu, talebin gönderilmesinden tam olarak altı hafta sonra olacaktı. Bence ABD’den gelen bir teklife bakmakta bir sorun yok, neyse ki e-posta var, yani her şey postayla gitmek zorunda değil. Ve OpenAI, talebin geldiğine hemen tepki verdi. Sürenin dolacağını varsayıyorum. Bunlar altı sayfayı kapsayan uzun sorular. Bu yüzden cevapları Haziran başında bekliyoruz. Belki hala bazı sorularımız var, belki biraz zaman alacak, sonra belki hala yaz olacak. Ancak daha sonra bilgi, daha sonra değerlendirilecek olan masada olmalıdır. Testimiz açık uçludur. Hessen, Rheinland-Pfalz, Baden-Württemberg ve diğer ülkelerdeki meslektaşlarım tarafından benzer talepler geliyor veya hazırlanıyor.
Veri koruma açısından bakıldığında, iki grup sorun var gibi görünüyor. Model eğitimi sırasında kişisel veriler kullanılmış olabilir. Ve sistemler kullanıldığında, OpenAI çok fazla veri toplar. Ve kimse ona ne olduğunu bilmiyor. En büyük problem nedir?
Şu an değerlendiremiyorum. Eğitim, kişisel referans olmadan bile teorik olarak mümkün olacaktır. Bununla birlikte, kişisel veriler kullanım yoluyla tekrar toplanır. Danışma formları için ChatGPT’yi kullanmakla ilgilenen veri sahiplerinden çok sayıda talep alıyoruz. Bu tür diyaloglarda, birçok insan için işler hızla kişiselleşir. Kendini ifşa eden ve pek çok ayrıntıyı, hatta belki de en mahrem olanları bile yazan insanlar var. Nasıl değerlendirilir? tabi ki bir veri koruma denetleme kurumu olarak kesin olarak bilmek istiyoruz.
Haberin Sonu