ChatGPT'nin Bilgi Sızıntısı Riski Nedir? Alınması Gereken Dört Önlemi Tanıtıyoruz
Son zamanlarda dikkatleri üzerine çeken “ChatGPT” hakkında. Metin oluşturma, programlama, müzik notaları üretme ve çizim yapma gibi yetenekleriyle, çeşitli alanlarda ilgi gören bir üretici AI’dir.
ChatGPT’nin “GPT” kısmı “Generative Pre-training Transformer” ifadesinin kısaltmasıdır ve büyük miktarda metin, resim ve ses (eklenti özellikleri) verisini önceden öğrenerek insanlar gibi doğal konuşmalar yapabilme yeteneğine sahiptir.
Karmaşık işlere bile uyum sağlayabilen ChatGPT, iş verimliliğini artırma ve yüksek maliyet performansı beklenen bir araç olarak öne çıkmaktadır. ChatGPT’nin kullanımı çeşitli alanlarda ilerlemekte ve birçok teknoloji şirketi kendi AI sistemlerini kurma yolunda hareket etmektedir.
Bu şekilde, ChatGPT başta olmak üzere AI teknolojileri, birçok iş fırsatı sunarken, aynı zamanda telif hakkı sorunları, yanlış bilgi yayılması, gizli bilgilerin sızdırılması, gizlilik sorunları ve siber saldırılara kötüye kullanım potansiyeli gibi potansiyel riskler de bulunmaktadır.
Bu makalede, bir avukat ChatGPT kullanımında bilgi sızıntısı risklerini ve alınması gereken önlemleri açıklayacaktır.
ChatGPT ile İlgili Bilgi Sızıntısı Riskleri
Şirketlerin ChatGPT’yi entegre etme riskleri esas olarak aşağıdaki dört noktada toplanmaktadır:
- Güvenlik riskleri (bilgi sızıntısı, doğruluk, zafiyetler, erişilebilirlik vb.)
- Telif hakkı ihlali riski
- Kötüye kullanım potansiyeli riski (siber saldırılar vb.)
- Etik konularda karşılaşılan zorluklar
ChatGPT ile ilgili bilgi sızıntısı riski, gizli bilgilerin ChatGPT’ye girilmesi durumunda, bu bilgilerin OpenAI şirketinin çalışanları veya diğer kullanıcılar tarafından görülebileceği veya eğitim verisi olarak kullanılabileceği riskini ifade eder.
OpenAI’nin veri kullanım politikasına göre, kullanıcılar ChatGPT’nin ‘API’si üzerinden işlem yapmazlar veya ‘opt-out’ (çıkış) talebinde bulunmazlarsa, ChatGPT’ye girilen veriler OpenAI tarafından toplanarak kullanım (öğrenme) için kullanılacaktır (bunu daha sonra detaylı bir şekilde açıklayacağız).
ChatGPT Kullanımının Bilgi Sızıntısına Yol Açan Örnek Olaylar
Burada, ChatGPT kullanımı sonucunda kaydedilen kişisel bilgilerin veya girilen gizli bilgilerin sızdırıldığı örnek olayları tanıtacağız.
Kişisel Bilgilerin Sızdırıldığı Durum
24 Mart 2023 tarihinde, OpenAI, bazı kullanıcıların başka bir kullanıcının kredi kartı numarasının son dört hanesi, kartın geçerlilik süresi gibi kişisel bilgileri içeren bir hata nedeniyle, 20 Mart’ta ChatGPT’yi kısa süreliğine çevrimdışı hale getirdiğini duyurdu. Bu sırada kişisel bilgileri sızdırılanlar, ‘ChatGPT Plus’ ücretli planına abone olan kullanıcıların yaklaşık %1.2’si idi.
Ayrıca, bu hatayla eş zamanlı olarak, chat geçmişinde başka bir kullanıcının chat geçmişinin görüntülendiği bir hata olduğu da açıklandı.
Bu gelişmeler üzerine, 31 Mart 2023 tarihinde İtalyan veri koruma otoritesi, ChatGPT’nin öğrenme amacıyla kişisel verileri toplama ve saklama işleminin yasal bir temelden yoksun olduğunu belirterek, OpenAI’ye İtalyan kullanıcıların veri işlemlerine geçici kısıtlamalar getiren bir iyileştirme emri verdi. Bunun üzerine OpenAI, ChatGPT’ye İtalya’dan erişimi engelledi. Bu engelleme, OpenAI kişisel veri işleme pratiklerini iyileştirdikten sonra, aynı yılın 28 Nisan’ında kaldırıldı.
Şirket İçi Gizli Bilgilerin Sızdırıldığı Durum
Şubat 2023’te, Amerikan siber güvenlik şirketi Cyberhaven, müşteri şirketlere ChatGPT kullanımı hakkında bir rapor yayınladı.
Rapora göre, Cyberhaven ürünlerini kullanan müşteri şirketlerin 1.6 milyon çalışanından, bilgi işçilerinin %8.2’si iş yerinde en az bir kez ChatGPT kullanmış ve bunların %3.1’i şirketin gizli verilerini ChatGPT’ye girmiş.
Ayrıca, bu bir Güney Kore örneği olmakla birlikte, 30 Mart 2023 tarihinde Güney Kore medyası ‘Economist’, Samsung Electronics’in bir bölümünün ChatGPT kullanımına izin verdiğinde, gizli bilgilerin girilmesine yol açan bir olayın meydana geldiğini bildirdi.
Samsung Electronics tarafından, şirket içi bilgi güvenliği konusunda uyarılar yapılmasına rağmen, programın kaynak kodlarını veya toplantı içeriklerini giren çalışanlar olduğu belirtildi.
Bu tür durumlar altında, ChatGPT kullanımını kısıtlayan ülkeler ve şirketler olduğu gibi, kullanımını öneren politikaları benimseyen ülkeler ve şirketler de bulunmaktadır. ChatGPT’yi entegre etmeyi düşünürken, bilgi sızıntısı riskinin büyüklüğünü anlamak ve buna göre değerlendirmek önemlidir.
ChatGPT ile Bilgi Sızıntısını Önlemek için 4 Önlem
Bilgi sızıntısı meydana geldiğinde, yalnızca hukuki sorumluluklar değil, aynı zamanda güven ve itibar gibi değerlerde de büyük kayıplar yaşanabilir. Bu nedenle, bilgi sızıntısını önlemek için şirket içindeki bilgi yönetim sistemlerinin düzenlenmesi ve eğitimlerin verilmesi büyük önem taşımaktadır.
Burada, ChatGPT kullanırken bilgi sızıntısını önlemek için uygulanabilecek 4 önlemi sizlere sunmak istiyoruz.
Önlem 1: Kullanım Kurallarının Belirlenmesi
Öncelikle şirketinizin ChatGPT konusundaki tutumunu belirleyin ve şirket içi yönetmeliklere ChatGPT kullanımına ilişkin maddeleri dahil edin. Kişisel bilgilerin yanı sıra, gizli bilgilerin girilmemesi gibi açık kurallar belirleyerek bunları işletmek önemlidir.
Bu sırada, şirketinizin ChatGPT kullanım kılavuzunu hazırlamanız tavsiye edilir. Ayrıca, şirket dışı ile yapılan sözleşmelere ChatGPT kullanımına ilişkin maddeleri eklemeyi unutmayın.
2023 yılı (Reiwa 5) Mayıs 1 günü, Japon Genel Dernek Japon Derin Öğrenme Birliği (JDLA), ChatGPT’nin etik, hukuki ve toplumsal sorunları (ELSI) üzerine bir rapor hazırlayarak “Yapay Zeka Kullanım Kılavuzu”nu yayınlamıştır.
Sanayi, akademi ve hükümet sektörlerinde de kılavuzların hazırlanması üzerine çalışmalar başlamıştır. Bu kılavuzları referans alarak, şirketinizin ChatGPT kullanım kurallarını yazılı bir kılavuza dönüştürmek, belirli riskleri önleme konusunda beklentileri karşılayabilir.
Referans: Japon Genel Dernek Japon Derin Öğrenme Birliği (JDLA)|Yapay Zeka Kullanım Kılavuzu[ja]
Yine de, hazırlanan kılavuzun bilinirliği ve uygulanabilirliği sağlanmadıkça, bu önlemlerin anlamı olmayacaktır. Sadece kılavuz hazırlamak, bir önlem olarak yetersizdir.
Önlem 2: Bilgi Sızıntısını Önlemek İçin Sistemi Oluşturmak
İnsan hatalarını önlemek için alınabilecek önlemlerden biri, DLP (Data Loss Prevention – Veri Kaybını Önleme) adı verilen, belirli verilerin sızıntısını engellemek amacıyla tasarlanmış bir sistem kurmaktır. Bu sistem sayesinde, hassas bilgilerin gönderilmesi veya kopyalanması engellenebilir.
DLP, kullanıcılar yerine verileri sürekli izleyen ve hassas bilgileri veya önemli verileri otomatik olarak tespit edip koruyan bir sistemdir. DLP kullanıldığında, gizli bilgiler algılandığında uyarı gönderme veya işlemi bloke etme gibi işlemler mümkün hale gelir.
Yönetim maliyetlerini düşük tutarken içeriden bilgi sızıntısını kesin olarak önleyebilirsiniz; ancak, güvenlik sistemleri hakkında derinlemesine bir anlayış gerektirir ve teknik bölümü olmayan şirketlerde bu sistemin sorunsuz bir şekilde devreye alınması zor olabilir.
Önlem 3: Bilgi Sızıntısını Önleyen Araçları Kullanmak
Yukarıda belirtildiği gibi, doğrudan bir önlem olarak, ChatGPT’ye girdiğiniz verilerin toplanmasını reddetmek için ‘opt-out’ (çıkış) talep edebilirsiniz.
ChatGPT’nin ayarlar ekranından ‘opt-out’ talebinde bulunabilirsiniz. Ancak, ‘opt-out’ talep ettiğinizde, komut geçmişinizin kaybolacağını ve bu durumun birçok kişi tarafından rahatsızlık verici bulunabileceğini düşünüyorum.
‘Opt-out’ ayarının dışında, ChatGPT’nin ‘API’sini kullanarak araçlar kurmak da bir yöntemdir.
‘API (Application Programming Interface)’, OpenAI tarafından yayınlanan ve ChatGPT’yi kendi hizmetlerinize veya dış araçlara entegre etmenizi sağlayan bir arayüzdür. OpenAI, ChatGPT’nin ‘API’si üzerinden giriş/çıkış yapılan bilgileri kullanmayacağını açıkça belirtmiştir.
Bu durum, ChatGPT’nin kullanım şartlarında da açıkça belirtilmiştir. Kullanım şartlarına göre,
3. İçerik
(c) Hizmetleri iyileştirmek için içeriğin kullanımı
Biz, API’miz aracılığıyla sizin tarafınızdan sağlanan veya API’den alınan içeriği (‘API İçeriği’), hizmetlerimizi geliştirmek veya iyileştirmek amacıyla kullanmayız.
Biz, API’miz dışındaki hizmetlerden alınan içeriği (‘API Dışı İçerik’), hizmetlerimizi geliştirmek ve iyileştirmek için kullanabiliriz.
Eğer API Dışı İçeriğinizin hizmetleri iyileştirmek için kullanılmasını istemiyorsanız, bu formu doldurarak ‘opt-out’ yapabilirsiniz. Lütfen, bazı durumlarda bu işlemin, hizmetlerimizin sizin özel kullanım durumunuzu daha iyi ele almasını sınırlayabileceğini unutmayın.
Alıntı: OpenAI Resmi Sitesi|ChatGPT Kullanım Şartları
Önlem 4: Şirket İçi IT Okuryazarlığı Eğitimlerini Gerçekleştirmek
Bugüne kadar bahsettiğimiz önlemlerin yanı sıra, şirket içi eğitimler düzenleyerek çalışanlarınızın güvenlik okuryazarlığını artırmak da önemlidir.
Samsung Electronics örneğinde de görüldüğü gibi, şirket içinde bilgi güvenliğine dikkat çekilmesine rağmen, hassas bilgilerin girilmesi bilgi sızıntısına yol açmıştır. Sistemsel önlemlerle bilgi sızıntısını engellemenin yanı sıra, ChatGPT hakkında bilgi ve IT okuryazarlığı konusunda şirket içi eğitimler düzenlemek de tavsiye edilir.
ChatGPT ile Bilgi Sızıntısı Meydana Geldiğinde Yapılması Gerekenler
Bilgi sızıntısı meydana geldiğinde, olayın detaylarını araştırmak ve önlemleri hızla almak büyük önem taşır.
Kişisel bilgilerin sızdırılması durumunda, Japon Kişisel Bilgi Koruma Yasası’na göre, Kişisel Bilgi Koruma Komisyonu’na bildirimde bulunmak zorunludur. Ayrıca, ilgili kişilere de durum hakkında bilgilendirme yapılması gerekmektedir. Kişisel bilgilerin sızdırılması sonucunda karşı tarafın hakları veya çıkarları zarar görmüşse, sivil hukuk çerçevesinde tazminat sorumluluğu doğabilir. Üstelik, kişisel bilgileri haksız amaçlarla çalan veya sağlayan kişiler, cezai sorumlulukla da karşı karşıya kalabilirler.
İş sırları veya teknik bilgilerin sızdırılması durumunda, Japon Haksız Rekabetin Önlenmesi Yasası’na dayanarak, sızdırılan bilgilerin silinmesi gibi önlemler talep edilebilir. İş sırları veya teknik bilgilerin sızdırılması sonucunda karşı tarafa haksız bir kazanç sağlanmışsa, sivil hukuk çerçevesinde tazminat sorumluluğu doğabilir. Ayrıca, haksız yollarla iş sırlarını veya teknik bilgileri edinen veya kullanan kişiler, cezai sorumlulukla da karşı karşıya kalabilirler.
Görev sırasında gizlilik yükümlülüğüne aykırı davranarak bilgi sızdıran kişiler, Japon Ceza Kanunu veya diğer yasalar kapsamında cezai sorumlulukla yargılanabilirler. Ayrıca, görev sırasında gizlilik yükümlülüğüne aykırı davranarak bilgi sızdırılması sonucunda karşı tarafa zarar verilmişse, sivil hukuk çerçevesinde tazminat sorumluluğu doğabilir.
Bu nedenle, sızdırılan bilginin içeriğine uygun olarak hızlı bir şekilde harekete geçmek gerekmektedir ve bu tür durumlar için önceden bir sistem oluşturmak büyük önem taşımaktadır.
İlgili makale: Bilgi Sızıntısı Olduğunda Şirketlerin Yapması Gereken Bilgi Açıklaması Nedir[ja]
İlgili makale: Kişisel Bilgi Sızıntısı Meydana Geldiğinde Ne Yapılmalı? Şirketlerin Alması Gereken İdari Önlemler[ja]
Özet: ChatGPT’nin Bilgi Sızdırma Riskine Karşı Hazırlıklı Bir Sistem Oluşturun
Burada, ChatGPT’nin bilgi sızdırma riski ve alınması gereken önlemler hakkında açıklamalarda bulunduk. Hızla gelişmeye devam eden ChatGPT gibi yapay zeka tabanlı iş modellerini kullanan işletmeler için, hukuki riskler konusunda bilgili ve deneyimli avukatlara danışarak, bu risklere uygun olarak şirket içi sistemlerinizi önceden hazırlamanızı tavsiye ederiz.
Bilgi sızdırma riskinin yanı sıra, yapay zeka tabanlı iş modellerinin yasallığının değerlendirilmesinden, sözleşme ve kullanım koşullarının hazırlanmasına, fikri mülkiyet haklarının korunmasından, gizlilikle ilgili konulara kadar, yapay zeka ve hukuk alanında bilgi ve deneyime sahip avukatlarla iş birliği içinde olmak sizi güvende tutacaktır.
Hukuk Büromuzun Aldığı Önlemler Hakkında
Monolith Hukuk Bürosu, IT ve özellikle internet ile hukukun her iki alanında da zengin deneyime sahip bir hukuk firmasıdır. AI işinde birçok hukuki risk bulunmakta ve AI ile ilgili hukuki sorunlarda uzmanlaşmış avukatların desteği şarttır. Büromuz, AI konusunda bilgili avukatlar ve mühendislerden oluşan bir ekip ile ChatGPT dahil olmak üzere AI işlerine yönelik olarak sözleşme hazırlama, iş modelinin yasallığının değerlendirilmesi, fikri mülkiyet haklarının korunması, gizlilik konularında uyum gibi ileri düzeyde hukuki destek sağlamaktadır. Aşağıdaki makalede detayları bulabilirsiniz.
Monolith Hukuk Bürosu’nun Uzmanlık Alanları: AI (ChatGPT vb.) Hukuku[ja]
Category: IT
Tag: ITTerms of Use