ChatGPT'nin Kurumsal Uygulamasındaki Riskler Nelerdir? Gizli Bilgi Sızıntısı Örnekleri ve Önlemleri Açıklanıyor
Şirketler içinde ChatGPT’nin kullanımı giderek artmaktadır. Faydalılığına dair artan ilgiye rağmen, dikkat edilmesi gereken bazı noktalar vardır. Bunlardan biri, ChatGPT’ye gizli bilgiler girilmemesi gerektiğidir. Gerçekten de yurtdışında, gizli bilgilerin girilmesi sonucunda şirketlerin ciddi sırlarının ifşa olmasına yol açan vakalar mevcuttur.
Bu makalede, sürekli gelişen ChatGPT’nin iş dünyasında kullanımı sırasında, özellikle gizli bilgilerin sızdırılma riskine odaklanarak, avukatlarımız tarafından vakalar ve alınması gereken önlemler hakkında açıklamalar yapılacaktır.
ChatGPT’ye Gizli Bilgilerin Girilmesinin Sakıncalı Olmasının Nedenleri
ChatGPT, kullanışlı olmasının yanı sıra, internet üzerindeki büyük verileri ve kullanım verilerini öğrenerek oluşturulan bir yapay zeka sohbet robotu olduğundan, herhangi bir önlem alınmazsa girilen gizli bilgilerin sızdırılma riski bulunmaktadır.
Gizli bilgi sızdırılma riskine karşı alınacak önlemler hakkında daha sonra detaylı bir şekilde açıklama yapacağız ancak öncelikle ChatGPT ile ilgili gizli bilgi sızdırılma riskinin dışında kalan riskler hakkında bilgi verelim.
ChatGPT Kullanımıyla Karşılaşılan Kurumsal Gizli Bilgi Sızıntısı Dışındaki Riskler
ChatGPT, şu anda birçok şirket tarafından uygulama test aşamasında bulunmaktadır. Bu nedenle, riskleri tam olarak anladıktan sonra iş dünyasında kullanıp kullanmama kararı vermek gerekmektedir.
ChatGPT kullanımı sırasında, şirketlerin karşılaşabileceği gizli bilgi (kişisel bilgiler dahil) sızıntısı dışındaki güvenlik riskleri şunlardır:
- Üretilen bilginin güvenilirlik riski
- Giriş/çıkış bilgilerinin telif hakkı ihlali riski
Bu konular hakkında daha detaylı bilgi vereceğiz.
Üretilen Bilginin Güvenilirliği Eksik
14 Mart 2023 (Reiwa 5) tarihinde yayınlanan GPT-4, arama işlevi eklenmesiyle en güncel bilgileri sunabilme kapasitesine kavuştu. Ancak ChatGPT, yanıtları üretirken bilgileri gerçekmiş gibi sunsa da, bu bilgilerin güvenilirliği garanti edilmemektedir. ChatGPT tarafından üretilen yanıtlar, öğrenme verilerine dayalı olarak bilginin doğruluğuna göre değil, yüksek olasılıklı (en muhtemel) metinler olarak üretilmektedir. Bu nedenle, üretilen sonuçları kullanmadan önce gerçeklerin doğrulanması şarttır. Eğer şirketler yanlış bilgiler yayınlarsa, şirketin kendi itibarı zarar görebilir.
Telif Hakkı İhlali Gibi Hukuki Riskler
ChatGPT’de telif hakkı ihlali değerlendirmesi, ‘AI geliştirme ve öğrenme aşaması’ ile ‘üretim ve kullanım aşaması’ olmak üzere iki aşamada ayrılır. Her iki aşamada gerçekleştirilen eser kullanımı farklı olduğundan, telif hakkı yasasının ilgili maddeleri de farklıdır. Bu nedenle, her iki durumu ayrı ayrı değerlendirmek gereklidir.
Referans: Japon Kültür Ajansı|Reiwa 5 (2023) Yılı Telif Hakkı Semineri ‘AI ve Telif Hakkı'[ja]
1 Ocak 2019 (Heisei 31) tarihinde yürürlüğe giren revize edilmiş telif hakkı yasasında, hak sahiplerinin izni olmadan kullanımın mümkün olduğu istisnai durumları belirleyen 30. maddenin 4. fıkrasına ‘AI geliştirme ve öğrenme aşaması’ eklenmiştir. AI geliştirme amacıyla yapılan bilgi analizi gibi, eserlerde ifade edilen düşünce veya duyguların alınmasını amaçlamayan kullanımlar, genellikle telif hakkı sahibinin izni olmaksızın yapılabilir.
Öte yandan, ChatGPT tarafından üretilen çıktılarda, eserlerle benzerlik veya türev (değişiklik) tespit edilirse, bu durum telif hakkı ihlali olarak kabul edilir. Bu nedenle, yayınlamadan önce ChatGPT’nin başvurduğu bilgilerin hak sahiplerini doğrulamak ve ChatGPT tarafından oluşturulan içerikle benzer içeriklerin olup olmadığını kontrol etmek önemlidir. Eserleri alıntı yaparken kaynak göstermek (hak sınırlama hükümleri) veya yeniden yayımlamak için telif hakkı sahibinin iznini almak ve uygun şekilde işlem yapmak zorunludur.
Eğer telif hakkı sahipleri tarafından telif hakkı ihlali iddiasında bulunulursa, sivil sorumluluk (tazminat, manevi tazminat, kullanımın durdurulması, itibarın iadesi gibi hukuki önlemler) veya cezai sorumluluk (şikayete bağlı suçlar) ile karşı karşıya kalınabilir.
ChatGPT’ye Gizli Bilgilerin Girilmesi Sonucu Ortaya Çıkan Sorunlar
2023 yılının (Reiwa 5) 30 Mart tarihinde Güney Kore medyası ‘EConomist’, Samsung Electronics’in yarı iletken bölümünde ChatGPT kullanımına izin verilmesinin ardından, üç farklı olayda gizli bilgilerin girildiğini bildirmiştir.
Samsung Electronics tarafından, bilgi güvenliği konusunda şirket içinde uyarılar yapılmasına rağmen, program düzeltmeleri talebiyle kaynak kodlarının gönderildiği (iki olay) ve toplantı içeriklerinin tutanak oluşturmak amacıyla gönderildiği çalışanlar olduğu belirtilmiştir.
Bu olayların meydana gelmesinin ardından, şirket acil bir önlem olarak ChatGPT’ye soru başına yüklenen veri miktarını sınırlamıştır. Ayrıca, benzer olayların tekrarlanması durumunda bağlantıyı kesme ihtimalinin de olduğunu ifade etmişlerdir.
Öte yandan, Walmart ve Amazon gibi şirketler de çalışanlarına chatbotlar aracılığıyla gizli bilgileri paylaşmamaları konusunda uyarılarda bulunmaktadır. Amazon’un avukatları, ChatGPT’nin verdiği yanıtların Amazon’un kendi iç verilerine benzer olduğu örneklerin zaten görüldüğünü belirtmiş ve verilerin öğrenme sürecinde kullanılmış olabileceğine dair bir ihtimali işaret etmişlerdir.
ChatGPT Kullanımında Gizli Bilgilerin Sızdırılmaması İçin Alınacak Önlemler
OpenAI, kullanım koşulları arasında, sistemin iyileştirilmesi amacıyla girilen verilerin öğrenme gibi işlemler için kullanılacağını açıklamakta ve hassas bilgilerin gönderilmemesi gerektiğini belirtmektedir.
Bu bölümde, ChatGPT kullanımı sırasında gizli bilgilerin sızdırılmasını önlemek için alınabilecek dört önlemi, hem donanım hem de yazılım açısından tanıtacağız.
Şirket İçi Kullanım İçin Rehber Geliştirme
ChatGPT’nin şirketlere entegrasyonu sırasında, bireylerin bilgi güvenliği okuryazarlığını artırmak ve şirket içi yeniden beceri kazandırma eğitimleri önemli olsa da, kendi ChatGPT kullanım rehberinizi geliştirmeniz tavsiye edilir.
2023 yılının 1 Mayıs tarihinde, Japon Derin Öğrenme Derneği (JDLA) ChatGPT’nin etik, hukuki ve sosyal sorunları (ELSI) üzerine bir tartışma düzenleyerek “Yapay Zeka Kullanım Rehberi”ni yayınladı. Akademi, sanayi ve hükümet sektörlerinde de rehber geliştirme çalışmalarına başlandı.
Bu bilgileri referans alarak, şirketinizin ChatGPT kullanım kurallarını belirleyen ve yazılı hale getiren bir rehber geliştirmek, belirli riskleri önleme konusunda beklentileri karşılayabilir.
Referans: Japon Derin Öğrenme Derneği (JDLA)|Yapay Zeka Kullanım Rehberi[ja]
Gizli Bilgilerin Sızdırılmaması İçin Teknoloji Entegrasyonu
Gizli bilgi sızıntısına yol açan insan hatalarını önlemek amacıyla, DLP (Data Loss Prevention – Veri Kaybını Önleme) adı verilen ve belirli verilerin sızdırılmasını engellemek için tasarlanmış bir sistem kurarak, gizli bilgilerin gönderilmesini ve kopyalanmasını engellemek mümkündür.
DLP, girilen verileri sürekli olarak izler ve gizli bilgileri veya önemli verileri otomatik olarak tespit edip koruma altına alan bir özelliktir. DLP kullanıldığında, gizli bilgiler algılandığında uyarı gönderme veya işlemi bloke etme gibi işlemler yapılabilir. İçeriden bilgi sızıntısını etkin bir şekilde önlerken yönetim maliyetlerini düşük tutabilirsiniz, ancak güvenlik sistemleri hakkında derinlemesine bir anlayış gerektirir ve teknik bir bölümü olmayan şirketler için sorunsuz bir entegrasyon zor olabilir.
Özel Araçların Kullanımının Değerlendirilmesi
ChatGPT, 2023 yılı Mart ayından (2023) itibaren, API (Application Programming Interface – yazılımlar, programlar ve web servisleri arasındaki arayüzü ifade eden terim) kullanımı sayesinde, ChatGPT’ye gönderilen verilerin sızdırılmasını önleyebilir hale geldi.
API üzerinden gönderilen veriler, öğrenme veya iyileştirme amacıyla kullanılmamakla birlikte, “kötüye kullanımı veya yanlış kullanımı önlemek amacıyla yapılan izleme” için 30 gün boyunca saklandıktan sonra silinecek şekilde saklama politikası değiştirilmiştir. Ancak, “yasal talepler” alındığında, verilerin saklanma süresinin uzatılma ihtimali bulunmaktadır.
Bu şekilde ChatGPT’nin öğrenme veya iyileştirme amacıyla kullanılmasını engelleme ayarına rağmen, veriler belirli bir süre boyunca sunucu tarafında saklanmaktadır ve bu nedenle teorik olarak bilgi sızıntısı riski mevcuttur. Bu nedenle, gizli bilgiler veya kişisel veriler girerken son derece dikkatli olunması gerekmektedir.
Yine de, OpenAI kullanıcı gizliliğine ve veri güvenliğine büyük önem vermektedir ve sıkı güvenlik önlemleri almaktadır. Daha güvenli bir kullanım istiyorsanız, gelişmiş güvenlik önlemleri sunan ‘Azure OpenAI Service’ aracının kullanımını önermektedir.
Şirketlere özel olarak geliştirilen ‘Azure OpenAI Service’ üzerinden API aracılığıyla ChatGPT’ye girilen veriler toplanmaz. Ayrıca, opt-out başvurusu yapılıp onaylandığında, prensip olarak 30 günlük veri saklama ve izleme de reddedilebilir, böylece bilgi sızıntısı riski önlenmiş olur.
ChatGPT ile Girilen Gizli Bilgilerin Öğrenilmemesi İçin Ayar Yapma Yöntemi
Yukarıda belirtildiği üzere, ChatGPT, opt-in içeriği öğrenme mekanizmasına sahip olduğundan, 2023 yılı Nisan ayının 25’inden (2023) itibaren, önceden opt-out ayarını yapma özelliği bulunmaktadır.
Doğrudan önlem olarak, ChatGPT’ye girilen verilerin öğrenilmesini ve iyileştirilmesini engellemek istiyorsanız, ‘opt-out’ başvurusu yapmanız gerekmektedir. ChatGPT için hazırlanmış olan ‘opt-out’ Google formunu doldurarak bu işlemi mutlaka yapmanız önerilir. (E-posta adresinizi, kurum ID’nizi ve kurum adınızı girerek gönderin)
Ancak, bu durumda bile, OpenAI tarafından belirli bir süre (prensip olarak 30 gün) gözetim altında tutulacak ve sunucu tarafında giriş verileri saklanmaya devam edecektir.
ChatGPT Kullanım Şartları
3. İçerik
(c) Hizmetleri iyileştirmek için içeriğin kullanımı
API’mizden (“API İçeriği”) sağladığınız veya API’mizden aldığınız İçeriği, hizmetlerimizi geliştirmek veya iyileştirmek için kullanmayız.
API’miz dışındaki Hizmetlerden (“API Dışı İçerik”) elde edilen İçeriği, hizmetlerimizi geliştirmek ve iyileştirmek için kullanabiliriz.
Hizmetlerimizi iyileştirmek için API Dışı İçeriğin kullanılmasını istemiyorsanız, bu formu doldurarak opt-out yapabilirsiniz. Lütfen, bazı durumlarda bu işlemin, hizmetlerimizin sizin belirli kullanım durumunuzu daha iyi ele almasını sınırlayabileceğini unutmayın.
Kaynak: OpenAI Resmi Web Sitesi | ChatGPT Kullanım Şartları https://openai.com/policies/terms-of-use
Özet: ChatGPT’nin İş Dünyasında Kullanımı İçin Gizli Bilgilerin Korunması Önlemleri Şarttır
Yukarıda, ChatGPT’nin iş dünyasında kullanımı sırasında karşılaşılabilecek gizli bilgi sızıntısı riskleri ve alınması gereken önlemler hakkında, örneklerle açıklamalar yaptık.
Hızla gelişen AI iş çözümleri, özellikle ChatGPT gibi araçların kullanımı için, şirket içi kullanım kılavuzlarının hazırlanmasından, iş modelinin yasallığının incelenmesine, sözleşmelerin ve kullanım şartlarının oluşturulmasına, fikri mülkiyet haklarının korunmasına ve gizlilikle ilgili tedbirlere kadar, uzmanlarla iş birliği içinde alınacak önlemler zorunludur.
İlgili makale: Web3 Hukuku Nedir? Sektöre Giren Şirketlerin Bilmesi Gereken Noktaları da Açıklıyoruz[ja]
Hukuk Büromuzun Önlemleri Hakkında Bilgilendirme
Monolith Hukuk Bürosu, IT ve özellikle internet ile hukukun her iki alanında da zengin deneyime sahip bir hukuk firmasıdır. AI işinde birçok hukuki risk bulunmakta ve AI ile ilgili hukuki sorunlarda uzmanlaşmış avukatların desteği şarttır.
Büromuz, AI konusunda uzman avukatlar ve mühendislerden oluşan bir ekip ile ChatGPT dahil AI işlerine yönelik olarak sözleşme hazırlama, iş modelinin yasallığının değerlendirilmesi, fikri mülkiyet haklarının korunması, gizlilik konularında uyum gibi ileri düzey hukuki destek sağlamaktadır. Ayrıntılar aşağıdaki makalede yer almaktadır.
Monolith Hukuk Bürosu’nun Uzmanlık Alanları: AI (ChatGPT vb.) Hukuku[ja]
Category: IT
Tag: ITTerms of Use
