Yapay Zekâ ve Kişisel Veriler: Teknoloji ve Hukuk Arasında Başka Bir Boyut

Yapay Zekâ ve Kişisel Veriler: Teknoloji ve Hukuk Arasında Başka Bir Boyut

Gizem Gültekin Várkonyi

Araştırma Görevlisi, Szeged Üniversitesi, Hukuk Fakültesi

2018’in belki de en popüler konularından biri olan ve önümüzdeki birkaç yıl içinde popülerliği devam edecek yapay zekâ, ününü sadece gelişmekte olan teknolojiye borçlu değil. Birçoğumuz yapay zekâlı günleri heyecanla beklerken, hukuki ve etik arka planın konuya henüz somut bir altyapı sunamaması bazılarımızı endişelendiriyor. Geleceğin herhangi bir yapay zekâ temelinde sunulan hizmetinin kullanıcıları veya bu hizmeti sunan şirketlerin kilit elemanları olarak, Türkiye’de ve Avrupa’da temel bir hak olarak tanınmış kişisel verilerin korunması hakkının zedelenmesini nasıl engelleyebileceğimiz güncel olarak tartışılan konulardan biri. Bu yazımızda “Yapay Zekâ ve Kişisel Verileri Koruma Hukuku’nda” güncel olarak tartışılan bazı konuları özetlemeye çalışacağız.

Literatürde kolayca bulunabilecek birçok araştırmaya göre internet tabanlı bir hizmet kullanan kişilerin çoğunun hizmet ile ilgili gizlilik bildirimlerini veya rıza metinlerini okumadığı kanıtlanmıştır. Her ne kadar Avrupa Birliği’nin Kişisel Verilerin Korunması Tüzüğü GDPR ile birlikte veri sorumlularının kişilerin rıza vermeleri gereken konularda (özellikle hassas veriler söz konusu olduğunda) yapması gerekenler daha açık hükümlere bağlanmış, sorumlulukları artırılmış olsa da, rıza hususunun verimliliği hakkındaki tartışmaların akademik literatürde devam ettiği görülmektedir.  Hatta Google’ın ikide bir (gerçekten de her iki kullanımda bir) gizlilik mesajları ile kullanıcı rızasını hatırlatıcı mesajlarının “rahatsızlık verici” olarak değerlendirilmesi bile söz konusu olmuştur. Ancak konuyla ilgili tartışmaların artık basit sayılabilecek internet tabanlı hizmetler ekseninde değil, teknoloji devleri başta olmak üzere hizmetlerini internet üzerinden sunan her kurumun tercih etmeye başladığı yapay zekâ destekli hizmetler ekseninde şekillendirmeye başladığı görülmektedir. Bunun sebepleri arasında:

>Yapay zekânın yaşam kaynağının büyük veri olması ve kişisel veri olmadan kişiselleştirilmiş yapay zekâ tabanlı bir hizmet almanın mümkün olamayacağı,

>Yapay zekânın veriyi çok farklı alanlarda anlamlandırıp değerlendirebilme yeteneğinin kişisel verilerin toplanma amacının açıkça belirtilmesini zorlaştıracağı veya verilerin tek bir amaç çerçevesinde işleneceğinin garanti edilememesi,

>Kişisel verilen kullanıcılar tarafından yönetimi açısından en kullanıcı dostu arayüzler tasarlansa bile, belli bir kişisel verinin yapay zekâ sinir ağlarının tam olarak hangi noktasında yer aldığının tespit edilebilmesinin zorluğu,

>Arkasında karmaşık algoritmalar çalışan bir hizmet kapsamında işlenmesi için verilen rızanın geri alınabilmesinin hem teknik hem de ticari açıdan mümkün olamayacağı,

>Yapay zekânın kişilerin rızası olmadan da veri toplayabileceği ve işleyebileceğinin gerçekliği gibi teknik kökenli oluşu, kişisel verilerin korunması hukukunu doğrudan etkileyen sebepler olarak gösterilebilir. Teknik olarak mümkün olmayan veya mümkün olduğu durumlarda şirketlere fazlasıyla ek masraf getiren uygulamaların hukuki bir zorunluluk olarak şirketlere dayatılması konusunda endişeleniyorsanız, endişelerinizde haklı olduğunuzu belirtmek isterim.

Yapay zekânın kurumların insan kaynakları birimlerindeki, bankaların kredi karar mekanizmalarındaki ve hatta tıbbi konularda tavsiye düzeyindeki uygulamalarına sıkça rastlamamız artık uzak bir gelecek gibi görünmüyor. Amerika, Çin, Japonya, Fransa, İsveç, Almanya gibi birçok ülkede gündelik hayatta yapay zekânın karar mekanizmalarına verdiği destek, insanlık tarihinin en heyecan verici geleceğine ışık tutmaya devam ediyor. Ancak, milyonlarca veriyi saniyeler içerisinde karmaşık algoritmalar yardımıyla işleyip, belli yüzdelerde hata payı bırakacak şekilde kararlar sunan bir sistem karşısında insanların kararlarla ilgili açıklama beklemesi doğal bir durum olarak görülmüştür ki, örneğin GDPR’ın 22. maddesinin gerekçesine göre hakkında bir algoritmaya dayanılarak karar verilen kişilerin veri sorumlusundan açıklama talep etme hakkı vardır. Bu maddeyi ve gerekçeyi yasa koyucunun şeffaflık ilkesiyle bağdaştırmasının ardından yapay zekâ geliştiricileri algoritmik şeffaflık ilkesini gündeme getirmiştir. Ancak hukukta bir ürünün veya hizmetin şeffaf olması değil, arkasındaki gerçek veya tüzel kişilerin şeffaflık ilkesine uyması beklenmektedir(zira henüz yapay zekâlıların hukuki/elektronik kişiliğinin kabul edildiği günlerde yaşamıyoruz). Verdiği kararı açıklayamayan bir algoritmanın cezalandırılması henüz söz konusu olmasa da, algoritmik şeffaflığın da teknik olarak mümkün olmadığı bilinmektedir. Literatürde “kara kutu” (black box) olarak bilinen ve algoritmanın büyük veriyi değerlendirdiği aşamada yaptığı işlemlerin insan tarafından açıklanmasını ve anlaşılmasını engelleyen bu terim günümüzde “şeffaf kutuya” dönüştürülebilmiş değil. Algoritmaların %95 güven düzeyinde bir sanık hakkında suçlu olduğu ve hüküm giymesi gerektiği yönündeki tavsiyesinin sebepleri henüz insan tarafından açıklanabilir seviyede değil, ancak bu yöndeki çalışmalar hızla devam ediyor.

Son olarak, yapay zekânın hem en temelde istatistiki hesaplara dayanarak tahminlerde bulunması hem de tahminlerini yalnızca mevcut veriye göre yapması sonucu ortaya çıkan bazı problemler tespit edilmiştir. Örneğin, bir yüz tanıma sisteminin arkasındaki algoritmanın yalnızca beyaz insanların görüntü verileri ile eğitilmesi üzerine siyahilerin yüzünü tanımaması mevcut veri problemine işaret etmektedir. Öte yandan, bir algoritmanın azınlık grupları hakkındaki durumları genel kitle özelliklerine göre yorumlaması da problemleri beraberinde getirmektedir (bu problemlere literatürdeki false positive ve false negative hataları örnek olarak verilebilir). Bu problemlerin sonucunda algoritmaların ayrımcılık yaptığı, önyargılı sonuçlar ürettiği iddia edilerek eşitlik ve adalet gibi insan hakları temel prensipleriyle bağdaşmayan durumlara sebep olabileceği sıkça dile getirilmektedir. Her durumda yapay zekâ teknolojisini kurumsal anlamda devreye alan veya bu teknoloji tabanında hizmetler sunan gerçek veya tüzel kişiler olarak yukarıdaki hatalardan sizlerin sorumlu olacağı ortadadır.

Bu gibi sebeplerden ötürü şirketlerin veya kurumların yapay zekâ teknolojileri temelinde hizmetler sunmadan önce birkaç kez düşünmesi gerektiği açıktır. Algoritmik şeffaflık konusundaki sorunların giderilmesi ve kişisel bilgilerinin işlenmesi konusu başta olmak üzere yapay zekâ konusunda yeterli teknik ve hukuki bilgiye sahip bireylerin sayısının artması, bu teknolojinin doğru yönde gelişimini büyük ölçüde ve olumlu bir biçimde etkileyecektir…