by on

Fransız Kişisel Verileri Koruma Kurumu’nun (CNIL) Yapay Zeka Sistemlerinin Geliştirilmesine İlişkin Tavsiyeleri

 

«GDPR’ın Avrupa’da yapay zekâ alanında inovasyonu engellediği yönündeki yaygın kanı yanlıştır. Ancak, eğitim veri setlerinin bazen gerçek kişilerle ilgili ‘kişisel veriler’ içerdiğinin farkında olmak gerekir[1]

Fransa’nın Kişisel Verileri Koruma Kurumu CNIL (Commisssion national de l’informatique et des libertes) yapay zeka sistemlerinin geliştirilmesi sırasında GDPR ile uyumu sağlamaya yönelik tavsiyelerini (“CNIL Tavsiyeleri”) yayınladı. CNIL Tavsiyeleri, GDPR’da düzenlenen ilke ve yükümlülüklere dayandığı için konuyla ilgilenenlerin aşina olduğu noktalara temas ediyor.

CNIL Tavsiyeleri aşağıdaki sistemlere uygulanmak üzere oluşturulmuş:

  • makine öğrenimine (machine learning) dayalı sistemler;
  • Geliştirme aşamasında operasyonel kullanımı tanımlanmış olan sistemler ile farklı uygulamalara entegre edilebilecek genel amaçlı yapay zekâ sistemleri (“general purpose AI”);
  • Öğrenme süreci bir seferliğine gerçekleştiren veya kullanım verileriyle sürekli olarak kendini geliştiren sistemler.

Yapay zekâ sistemi için bir amaç (nihai kullanım amacı) belirlenmesi

Yapay zeka sisteminin amacının, projenin en başından itibaren belirlenmiş ve açık ve anlaşılır olması gerekir. Yapay zekanın eğitimi sırasında öngörülemeyen özellikler geliştirebilmesi mümkün olduğundan nihai bir amaç belirlenmesine itiraz edenler olsa da CNIL nihai amaç tanımının yapay zeka bağlamına uygun hale getirebileceğini ancak tamamen kaldırılmasının mümkün olmadığı görüşünü savunuyor.

Sorumlulukların belirlenmesi

Yapay zeka sistemlerinin gelişmesi için kişisel veriler kullanılıyorsa, GDPR kapsamında veri sorumlusu ve veri işleyen sıfatlarından hangisi ile veri işlemenin gerçekleştirildiği belirlenmeli ve GDPR’a uygun olarak ilgili yükümlülükler yerine getirilmeli.

Veri işleyen ve veri sorumlusunun belirlenmesinde CNIL’in verdiği örneklerden faydalanabilinir:

  • Eğer bir yapay zekâ sisteminin geliştirilmesini başlatan bir sağlayıcıysanız ve öğrenme veri tabanını kendi adınıza seçtiğiniz verilerden oluşturuyorsanız, veri sorumlusu olarak nitelendirilebilirsiniz.
  • Eğer bir yapay zekâ sisteminin öğrenme veri tabanını, başka veri sorumlularıyla birlikte ve ortak belirlediğiniz bir amaç doğrultusunda oluşturuyorsanız, ortak veri sorumluları olarak değerlendirilebilirsiniz.
  • Bir yapay zekâ sistemi sağlayıcısıysanız ve müşteriniz adına bir sistem geliştiriyorsanız veri işleyen olabilirsiniz. Eğer müşteriniz hem amacı hem de kullanılacak yöntem ve teknikleri belirliyorsa veri sorumlusu olur. Ancak müşteri yalnızca ulaşılması gereken amacı belirliyor ve yapay zekâ sisteminin tasarımını tamamen size bırakıyorsa, bu durumda siz veri sorumlusu sayılırsınız.
  • Bir yapay zekâ sistemi sağlayıcısı olarak, verileri toplamak ve talimatlarınıza uygun şekilde işlemek üzere üçüncü kişi bir hizmet sağlayıcısından hizmet alıyorsanız, söz konusu hizmet sağlayıcı, sizin adınıza veri işleyen olur.

Kişisel verilerin işlenmesi için yasal dayanağın belirlenmesi

Yapay zeka sistemlerinin geliştirilmesi sırasında kişisel veri işlenebilmesi için GDPR’da düzenlenen aşağıdaki yasal dayanaklarından birinin mevcut olması gerekir.

  • Açık rıza,
  • Yasal bir yükümlülüğün yerine getirilmesi,
  • Bir sözleşmenin ifası,
  • Kamu yararına yürütülen bir görevin yerine getirilmesi,
  • İlgili kişinin hayatının korunması,
  • Meşru menfaat

CNIL’in verdiği bilgiye göre yapay zeka sistemlerinin geliştirilmesi için en çok kullanılan dayanak meşru menfaat. Meşru menfaate dayanabilmek için menfaatin meşru olması, veri işlemenin gerekli olması ve kişisel verilerin kullanımının ilgili kişilerin özel hayatı üzerinde orantısız bir müdahalesi olmaması gerekiyor.

Veri kazıma (web scraping) için uygun güvencelerin alınması

Veri kazıma sırasında veri minimizasyonu ilkesine uygun hareket edilmelidir. İşleme amacını aşan veriler toplanmamalı, yanlışlıkla toplanan gerekli olmayan verilerin silinmesi sağlanması ve veri kazımasına izin vermeyen web siteleri üzerinden veri toplanmamalıdır.

CNIL, veri kazıma ile ilgili aşağıdaki ek güvencelerin alınmasını tavsiye eder:

  • Sağlık forumları gibi hassas veri içeren sitelerini varsayılan (by default) olarak kapsam dışı bırakacak bir liste oluşturmak;
  • Teknik veya hukuki yollardan içeriklerinin toplanmasına (veri kazıma) karşı çıkan web sitelerini kapsam dışı bırakmak;
  • Veri toplamayı herkesin erişimine açık (hesap oluşturulması gerekmeyen) ve ilgili kişilerin kamuya açık olduğunu bildiği verilerle sınırlamak;
  • Kişileri mümkün olan en geniş şekilde bilgilendirmek (çevrim içi makaleler veya sosyal medya hesapları üzerinden, vb.);
  • İlgili kişilere önceden ve takdire bağlı bir itiraz hakkı tanımak;
  • Verileri topladıktan hemen sonra anonimleştirmek veya takma adla işlemeye (pseudonymisation) tabi tutmak ve kişilerin kimliklerine ulaşılmasına imkân verecek veri eşleştirmelerinin önüne geçmek.

Verilerin tekrar kullanılmasının mümkün olup olmadığının kontrolü

CNIL, kamuya açık (açık kaynak) verilerin yeniden kullanılması halinde aşağıdaki hususların kontrol edilmesini ve belgelendirilmesini tavsiye ediyor:

  • Veri tabanının tanımında kaynağına yer verilmiş olmalı.
  • Veri tabanının oluşturulması ya da yayılması, açıkça bir suçtan kaynaklanmıyor olmalı veya bu konuda yetkili bir kurum tarafından verilmiş bir ceza, yasaklama veya silme kararı bulunmamalı.
  • Veri tabanının hukuka uygunluğuna dair açık şüpheler bulunmamalı ve verilerin nasıl toplandığına ilişkin yeterli belgelendirme yapılmış olmalıdır.
  • Veri tabanı hassas veri (örneğin sağlık verileri veya siyasi görüşleri ortaya koyan bilgiler) içeriyorsa işlemenin hukuka uygunluğunun ilave kontrollerle teyit edilmeli.

Verilerin saklanma süresinin belirlenmesi

Kişisel verilerin saklanmasına ilişkin önceden bir planlama yapılmalı ve takip edilmelidir. Veriler, yapay zekâ sisteminin geliştirilmesinden sorumlu kişilerin günlük görevleri için artık erişilebilir olma gerekliliğini yitirdiğinde, kural olarak silinmelidir. Ancak, ürünün bakımı (yani, performansın daha sonraki bir aşamada doğrulanması) veya sistemin geliştirilmesi amacıyla saklanmaya devam edilebilir.

İlgili kişilerin bilgilendirilmesi

İlgili kişiler GDPR madde 13 ve 14 kapsamında verilerinin nasıl kullanılacağı konusunda bilgilendirilmelidir. Yapay zeka sistemlerinin karmaşıklığına rağmen bilgilendirmelerin açık ve anlaşılır bir şekilde yapılması gerekir.

CNIL, ilgili kişiler için bilginin anlaşılabilir olmasını sağlamak için verilerin öğrenme sürecinde nasıl kullanıldığını, geliştirilen yapay zekâ sisteminin nasıl çalıştığını ve öğrenme veri tabanı, yapay zekâ modeli ile model çıktıları arasındaki farkları şemalarla detaylandırarak açıklanmasını önermektedir.

İlgili kişilerin haklarını kullanabilmesini sağlamak

Büyük bir veri tabanı içinde ilgili kişinin kimliğini tespit etmek zor olabilir. Eğer öğrenme veri tabanı ya da model içinde ilgili kişinin kimliğinin belirlenemeyeceği gösterilebiliyorsa, ilgili kişinin talebine yanıt verirken bu durum belirtilmelidir. Sadece ilgili kişinin talebine yanıt verebilmek için ilave kişisel veri toplanmamalıdır.

Yapay zeka sisteminin güvenliğini sağlamak

CNIL’in tavsiyelerinden biri de güvenlik önlemlerini belgelemek amacıyla Veri Koruma Etki Değerlendirmesi yapılması.

 

[1] “L’idée reçue selon laquelle le RGPD empêcherait l’innovation en intelligence artificielle en Europe est fausse. En revanche, il faut avoir conscience que les bases d’entraînement comprennent parfois des « données personnelles », des informations sur des personnes réelles.”