Genel Veri Koruma Düzenlemesi’nin Yapay Zeka Üzerindeki Etkisi

Genel Veri Koruma Düzenlemesi’nin Yapay Zeka Üzerindeki Etkisi

 

Avrupa Parlamentosu Araştırma Birimi

Haziran 2020

 

Özet

Bu çalışma Genel Veri Koruma Düzenlemesi (“GDPR”) ve yapay zeka (“YZ”) arasındaki ilişkiye işaret etmektedir. YZ’nin bazı temel kavramlarıyla giriş yaptıktan sonra, YZ teknolojilerindeki son aşmayı incelemekte ve YZ’nin kişisel verilere uygulanmasına odaklanmaktadır. Bireyler ve toplum için olan zorlukları ve fırsatları, risklerin nasıl önlebileceği ile hukuk ve teknoloji yoluyla sağlanan fırsatları göz önünde bulundurmaktadır.

Çalışma daha sonra YZ’nin GDPR’da nasıl düzenlendiğine dair bir analiz ortaya koymakta ve YZ’nin GDPR’ın kavramsal çerçevesine ne ölçüde uyduğunu incelemektedir. YZ ve veri koruma ilkeleri arasındaki gerginlik ve yakınlıkları, özellikle amaç sınırlaması ve veri minimizasyonu gibi konuları tartışmaktadır. YZ uygulamalarının kişisel verilere ilişkin yasal dayanaklarını incelemekte ve YZ sistemleri, özellikle profilleme ve otomatik karar vermeyi içeren sistemler hakkındaki bilgi sorumluluğunu dikkate almaktadır. İlgili kişilerin erişim, silme, taşınabilirlik ve itiraz hakları gibi haklarını gözden geçirmektedir.

Çalışma, otomatik kararların ne ölçüde kabul edilebilir olduğunu, benimsenecek koruma önlemlerini ve ilgili kişilerin bireysel açıklama yapma hakkına sahip olup olmadığını göz önünde bulundurarak otomatik karar vermenin kapsamlı bir analizini gerçekleştirmektedir. 

GDPR’ın önleyici riske temelli bir yaklaşım ne ölçüde sağladığını tasarım ve varsayılan olarak veri korumasına odaklanıp ele almaktadır. Yapay zekanın istatistiksel amaçlar için kullanılma imkanı da GDPR ile tutarlı bir şekilde dikkate alınmıştır. 

Çalışma YZ’nin GDPR ile tutarlı bir şekilde konuşlandırılabileceğini, ayrıca GDPR’ın veri sorumluları için yeterli yönlendirmeyi sağlamadığı ve rehberlerinin genişletilmesi ve somutlaştırılması gerektiğini gözlemleyerek sonuçlanmıştır. Bu konuda bazı öneriler geliştirilmektedir.

Raporun orijinalini aşağıdaki bağlantı adresinde bulabilirsiniz:

EPRS_STU(2020)641530_EN.pdf erişimi için tıklayın

Blokzincir 1.0 ve 2.0

Blokzincir 1.0 ve 2.0

 

Dijital şifreleme teknolojilerinin uzun yıllardır süren gelişimi 2009 yılında bizlere bir hediye armağan etti. Bir birey veya kurumun salt kendi tasarrufuyla değiştiremeyeceği verilerin kaydedilebileceği bir işlem ağı hayatımıza girdi. Bitcoin isimli kripto paranın kullanımıyla Blokzincir 1.0 yaygınlaştı.

            Blokzincir teknolojisine entegre edilen, yazılımlara karar alma yeteneği kazandıran geliştirmeler sayesinde Blokzincir 2.0 ortaya çıkmış oldu.  Blokların şartlı (conditionally) işlemler yapabilmesiyle “akıllı sözleşmeler” kavramıyla tanıştık. Akıllı sözleşmeler sayesinde dijital ağ bünyesinde taraf iradeleri uyuşabiliyor, karşılıklı edimler yerine getirilebiliyor ve en önemlisi de gerçekleştirilen tüm bu işlemler blokzincire bir daha değiştirilemeyecek şekilde kaydediliyor[1].

            Blokzincir 3.0 ve 4.0 gibi hedef teknolojiler de geliştiricilerin takvimlerinde mevcut. Ancak yazımızın sınırları ve bu teknolojilerin henüz evrimleşmeye başlaması sebebiyle bu kısma değinmeyeceğiz.

 

Akıllı Sözleşmeler Ne Vadediyor?

            Blockzincir 2.0 teknolojisinin ürünü olan akıllı sözleşmeler, sözleşmeden doğan borçların bir aracı kişiye ihtiyaç duyulmaksızın ifasını sağlar. Bir nevi “otomatik” sözleşmelerdir. Nitekim akıllı sözleşme denildiğinde akla gelen ilk örnek kahve, bisküvi vb. ürünleri temin ettiğimiz otomatlardır[2]. Bir madeni parayı otomata attığınızda otomat kendiliğinden seçtiğiniz ürünü size verir. Bu yöntem günümüzde abonman sözleşmelerinde hatta araç kiralama hizmetlerinde kullanılmaktadır. Akıllı sözleşmeyle gerçekleştirdiğiniz faaliyetler blokzincirin değiştirilemez ağına işlendiğinde noter tesciline ihtiyaç duymayabilirsiniz.

Akıllı sözleşmelerin kullanımı belki başka alanlarda da yaygınlaşacaktır. Ancak bu genişlemenin önünde büyük engeller olduğu kanaatindeyiz.

 

Blokzincir ve Akıllı Sözleşmeler Mevcut Hukuk Düzenimizle Nasıl Çatışıyor? 

            Mevcut akıllı sözleşme protokollerinin, ağlarının (Ethereum vb.) sunduğu imkanlar dahilinde bir akıllı sözleşme akdederseniz, sözleşme hükümleri ağa yazıldığı haliyle ifa edilecektir ve blokzincirin en önemli özelliklerinden olan “değiştirilemezlik” ilkesi gereğince geri alınamayacaktır[3]. Öyleyse mevcut durumda Borçlar Hukukumuzun irade sakatlıkları, sözleşmenin tadili gibi sözleşmede değişiklik yapılmasını gerektiren hukuki kurumlarını kullanmak mümkün olmayacaktır. Bu uyumsuzluğun giderilebilmesi için ya endüstrileşme çağının temelleri üzerine inşa edilmiş olan ve Endüstri 4.0’a tam olarak adapte olamayan Borçlar Hukuku’nun devrim niteliğinde bir değişikliğe uğraması gerekmektedir ya da bilgisayar bilimi teknikleriyle akıllı sözleşmelerin bir şekilde mevcut Borçlar Hukuku ile uyumla hale getirilmesi gerekmektedir[4].

            Devlet veya bir tüzel kişilik tarafından oluşturulan ve kamuya açık olmayan blokzincirler açısından kişisel verilerin korunması hukuku açısından mevcut hükümler kanımızca uygulanabilir durumdadır. Ancak kamuya açık olan, dışardan ağa katılımın serbest olduğu blokzincirlerde durum değişmektedir.

            Öncelikle blokzincirlerin merkeziyetsiz ağlar olması dolayısıyla (Aslında çok fazla merkez olması söz konusudur) kişisel verilerin ihlali durumunda kimin sorumlu tutulacağı hususu muğlaktır. “Kişisel Veri”nin ne olduğu sorusu bile bloklarda kayıtlı veriler söz konusu olduğunda net olarak cevaplanamamaktadır. Blokzincir ağına işlenmesi sebebiyle “Kişisel Veri”lerin ihlal edilmesi gündeme gelse bile mevcut blokzincir ağlarında “Unutulma Hakkı”nın kullanımı söz konusu olamayacaktır. Zira ağa işlenen veriler blokzincirin yapısı gereği geri alınmamaktadır. Akıllı sözleşmelerin hükümlerinde değişiklik yapılmasına engel olan “Değiştirilemezlik” özelliğinin burada da mevcut hukuk düzenlemelerimizle çatıştığı kanaatindeyiz.

            Blokzincir ve akıllı sözleşmeler çarkının dönmesini sağlayan, bir nevi blokzincir ağlarının yakıtı mahiyetinde olan, kripto paraların yasa koyucu ve idareler nezdinde nasıl nitelendirileceği başka bir ciddi tartışma konusudur. Özellikle hangi hukuki rejime tabi olacağı ve nasıl vergilendirileceği hususları dünyada ve Türkiye’de tartışılmaktadır. Örneğin ABD’nin önde gelen finansal kurumlarından SEC zaman zaman bazı kripto paraların “emtia”,  kalanlarının ise “para birimi” olduğuna dair görüşlerini bildirse de kurumsal olarak kripto para olgusuna bakışı halen belirsizdir[5]. Avrupa Adalet Divanı ise geçmişte kripto paraları “para birimi” olarak tanımlamaya eğilimli kararlar vermiştir[6]. Türkiye’de kripto paraların nasıl tanımlanacağı 6493 sayılı Ödeme Ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri Ve Elektronik Para Kuruluşları Hakkında Kanun’da yapılan değişiklikler ile yetkili kılınan T.C. Cumhuriyet Merkez Bankası ve Türkiye Ödeme ve Elektronik Para Kuruluşları Birliği’nin düzenlemeleriyle yoruma kavuşacaktır[7].

            Yukarıda belirtilen gerekçelerden ötürü kanımızca blokzincir ve akıllı sözleşmelerin hukuki olarak sağladığı maliyet ve zaman avantajının yanında birtakım teknik dezavantajları bulunmaktadır. Sermaye piyasası hukuku açısından tokenların halka arz problemi, Ripple vs. SEC Davası, ICO, IEO kavramları, ülkemizdeki kripto para borsalarının tabi olduğu MASAK, BDDK ve vergi denetimlerinin yeterliliği ve şeffaflık açısından gizlilik paralarının (Privacy Coins) kara para aklama suçu kapsamındaki kritiği, blokzincir ve akıllı sözleşmelerin noterlik hukukuna olası yansımaları gibi tartışılması gereken başka hukuki boyutlar da mevcuttur. Bunlar da bir sonraki yazımızın konusu olsun.

[1] Herian, s.454.

[2] Szabo ‘Smart Contracts Building Blocks for Digital Markets’ yazısının ‘Contracts Embedded in The World’ bölümünde yer vermiştir.

[3] Çekin, s.13.

[4] Çekin, s.15. Çekin, burada bir çözüm önerisi getirmektedir.?

[5] https://cointelegraph.com/news/sec-if-bitcoin-was-a-security-it-would-raise-substantialissues

[6] https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150128en.pdf

[7] https://www.dunya.com/finans/haberler/turkiye-odeme-ve-elektronik-para-kuruluslari-birligi-kuruluyor-haberi-455395

Yapay Zeka ve Veri Koruması Üzerine Kılavuz İlkeler

 

Yapay Zeka ve Veri Koruması Üzerine Kılavuz İlkeler

25 Ocak 2019

 

Yapay Zeka[1](“YZ”) tabanlı sistemler, yazılımlar ve cihazlar (bundan sonra YZ uygulamaları olarak anılacaktır.) ihtiyaçları karşılamak ve akıllı evler, akıllı şehirler, sanayi sektörü, sağlık ve suçu önleme gibi çeşitli alanlardaki zorlukları ele almak için yeni ve değerli çözümler sunmaktadır. YZ uygulamaları, özellikle bulguya dayalı ve kapsayıcı politikaları desteklemek için karar vermede yararlı bir araç olabilir. Diğer teknolojik yeniliklerde olduğu gibi, bu uygulamaların bireyler ve toplum için olumsuz sonuçları olabilir. Bunu önlemek için, 108 nolu Sözleşme’nin tarafları, YZ’nin geliştirilmesi ve kullanılmasının gizlilik ve veri koruma haklarına (Avrupa İnsan Hakları Sözleşmesinin 8. Maddesi) saygılı olmasını sağlayacak ve  garanti edecek; böylece insan haklarını ve temel özgürlükleri genişletecektir.

Bu Kılavuz İlkeler, hükümetler, YZ geliştiricileri, üreticileri ve servis sağlayıcılarına, YZ uygulamalarının, özellikle veri koruma hakkı konusunda, her bireyin insan onurunu ve insan haklarını ve temel özgürlüklerini zedelememesini sağlamak için takip etmeleri gereken bir dizi temel önlem sunmaktadır.[2]

Bu Kılavuz İlkelerden hiçbiri, Avrupa İnsan Hakları Sözleşmesi ve 108 nolu Sözleşme’nin hükümlerini engelleyecek veya sınırlayacak şekilde yorumlanamaz. Bu Kılavuz İlkeler, aynı zamanda, modernize edilmiş 108 nolu Sözleşme’nin (daha çok “Sözleşme 108+” olarak anılmaktadır.) yeni güvencelerini de dikkate almaktadır.[3]

     

         I. Genel Kılavuz

  1. Bireyler ve toplum üzerinde sonuçları olabilecek YZ uygulamaları geliştirirken ve benimserken, insanlık onurunun korunması ve insan haklarının ve temel özgürlüklerin, özellikle kişisel verilerin korunması hakkının güvenceye alınması esastır. Bu, özellikle YZ uygulamaları karar alma süreçlerinde kullanıldığında önemlidir.
  2. Kişisel verilerin işlenmesine bağlı yapay zeka gelişimi, Sözleşme 108+ ilkelerine dayanmalıdır. Bu yaklaşımın ana unsurları: yasallık, adalet, amaç belirleme, veri işlemenin orantılılığı, tasarıma göre gizlilik ve varsayılan ayarlarla gizlilik, sorumluluk ve uygunluk gösterilmesi (hesap verebilirlik), şeffaflık, veri güvenliği ve risk yönetimidir.
  3. Kişisel verilerin işlenmesinin potansiyel risklerinden kaçınılması ve azaltılması üzerine odaklanan bir yaklaşım, YZ alanında sorumlu inovasyonun gerekli bir unsurudur.
  4. 2017’de 108 nolu Sözleşme Komitesi tarafından kabul edilen Büyük Veri Üzerine Kılavuz’da[4] sunulan risk değerlendirmesine uygun olarak, veri işlemenin olası sonuçlarına dair daha geniş bir bakış açısı benimsenmelidir. Bu görüş yalnızca insan haklarını ve temel özgürlükleri değil, aynı zamanda demokrasilerin işleyişini, sosyal ve etik değerleri de göz önünde bulundurmalıdır.
  5. YZ uygulamaları, özellikle Sözleşme 108+’nın 9’uncu maddesi ışığında, her zaman veri öznelerinin haklarına tamamıyla saygı göstermelidir.
  6. YZ uygulamaları, veri özneleri tarafından veri işleme ve bireyler ile toplum üzerindeki ilgili etkiler konusunda anlamlı kontrol sağlanmasına izin vermelidir.

   

         II. Geliştiriciler, Üreticiler ve Servis Sağlayıcılar İçin Kılavuz 

  1. YZ geliştiricileri, üreticileri ve servis sağlayıcıları, ürün ve hizmetlerinin tasarımında, Sözleşme 108+’nın özellikle 10.2’inci maddesine ve Avrupa Konseyi’nin diğer ilgili araçlarına uygun olarak, değer odaklı bir yaklaşım benimsemelidir.
  2. YZ geliştiricileri, üreticileri ve servis sağlayıcıları YZ uygulamalarının insan hakları ve temel özgürlükler üzerindeki olası olumsuz sonuçlarını değerlendirmeli ve bu sonuçları göz önünde bulundurarak uygun risk önleme ve azaltma önlemlerine dayalı bir ihtiyatlı yaklaşım benimsemelidir.
  3. Veri toplama dahil, işlemenin tüm aşamalarında, YZ geliştiricileri, üreticileri ve servis sağlayıcıları insan hakları yanlısı tasarım yaklaşımı benimsemeli; ayrıca kasıtsız veya saklı olanlar dahil olası önyargılardan, ayrımcılık riskinden ya da insan hakları ve veri öznelerinin temel özgürlükleri üzerindeki diğer olumsuz etkilerden kaçınmalıdır.
  4. YZ geliştiricileri, kullanılan kişisel verilerin kalitesini, doğasını, kökenini ve miktarını, geliştirme sırasında gereksiz, ihtiyaç fazlası veya marjinal verileri azaltarak, eğiterek ve daha sonra modelin doğruluğunu yeni verilerle beslerken izleyerek, eleştirel olarak değerlendirmelidir. Sentetik verilerin kullanımı[5]YZ uygulamaları tarafından işlenen kişisel veri miktarını en aza indirmek için olası bir çözüm olarak düşünülebilir.
  5. Bağlamsız veriler[6]ve bağlamsız algoritmik modeller[7]nedeniyle bireyler ve toplum üzerindeki olumsuz etki riski YZ uygulamalarının geliştirilmesinde ve kullanımında yeterince dikkate alınmalıdır.
  6. YZ geliştiricileri, üreticileri ve servis sağlayıcıları, çeşitli alanlardan bağımsız uzman komiteleri kurmaları ve onlara danışmaları, ayrıca insan hakları temelli, etik ve sosyal yönelimli YZ uygulamaları tasarlamaya katkıda bulunabilecek bağımsız akademik kurumlarla iletişim kurmaları ve potansiyel önyargıları tespit etmeleri konusunda teşvik edilmektedir. Bu tür komiteler, şeffaflık ve paydaş katılımının, öngörücü adalet, suçu önleme ve tespit alanlarında olduğu gibi yarışan çıkarlar ve haklar nedeniyle daha zor olabileceği alanlarda özellikle önemli bir rol oynayabilir.
  7. YZ uygulamalarından potansiyel olarak etkilenen bireylerin ve grupların aktif katılımına dayanan katılımcı risk değerlendirme biçimleri teşvik edilmelidir.
  8. Tüm ürün ve hizmetler, bireylerin, görüşlerini dikkate almayan, yalnızca otomatik işlemeye dayalı,  kendilerini önemli ölçüde etkileyen kararlara maruz kalmamalarını sağlayacak şekilde tasarlanmalıdır.
  9. Kullanıcıların güvenini artırmak için, YZ geliştiricilerinin, üreticilerinin ve servis sağlayıcılarının, YZ uygulamalarına makul alternatifler sunarak, kullanıcıların YZ hizmetlerine göre seçim yapma özgürlüğünü güvence altına alacak şekilde ürünlerini ve hizmetlerini tasarlamaları teşvik edilmektedir.
  10. YZ geliştiricileri, üreticileri ve servis sağlayıcıları, veri koruması ve insan hakları hukuku ve ilkelerine uygunluğu sağlamak için, bu uygulamaların tüm yaşam döngüsü boyunca ilgili tüm paydaşların hesap verebilirliğini sağlayan bir algoritma dikkati modeli benimsemelidir.
  11. Bir YZ uygulamasıyla etkileşime girmeleri ve onlara uygulanan YZ veri işleme işlemlerinin gerekçeleri hakkında bilgi edinme hakları varsa veri öznelerine bilgi verilmelidir. Bu, böyle bir akıl yürütmenin sonuçlarını içermelidir.
  12. Bireylerin görüşlerini ve kişisel gelişimlerini etkileyen teknolojilere dayalı işlemelerle ilgili olarak itiraz etme hakkı sağlanmalıdır.

   

         III. Yasa ve Politika Yapıcılar İçin Kılavuz 

  1. Sorumluluk ilkesine saygı duyma, risk değerlendirme prosedürlerinin benimsenmesi ve davranış kuralları ve sertifikalandırma mekanizmaları gibi diğer uygun önlemlerin uygulanması, YZ ürünlerine ve hizmetlerine duyulan güveni artırabilir.
  2. Yasalarla korunan gizlilik önyargısı olmaksızın, kamu ihale prosedürleri, YZ geliştiricileri, üreticileri ve servis sağlayıcılarına özel şeffaflık görevleri, veri işlemenin insan hakları ve temel özgürlükler üzerindeki etkisinin önceden değerlendirmeyi ve YZ uygulamalarının olası olumsuz etkileri ve sonuçları (bundan böyle algoritma dikkati olarak anılacaktır) konusunda dikkatli olmaya zorlamalıdır.[8]
  3. Denetim otoritelerine YZ geliştiricileri, üreticileri ve servis sağlayıcılarının algoritma dikkat programlarını desteklemek ve izlemek için yeterli kaynak sağlanmalıdır.
  4. YZ uygulamaları tarafından sağlanan çözümlere aşırı güvenme ve YZ uygulamaları tarafından önerilen zorlu kararların korkusu, karar alma süreçlerinde insan müdahalesinin özerkliğini değiştirme riski taşımaktadır. Bu nedenle, karar alma süreçlerinde insan müdahalesinin rolü ve insani karar vericilerin YZ kullanarak sunulan önerilerin sonucuna güvenmeme özgürlüğü korunmalıdır.
  5. YZ geliştiricileri, üreticileri ve servis sağlayıcıları, YZ uygulamaları insan haklarını ve veri öznelerinin temel özgürlüklerini önemli ölçüde etkileme potansiyeline sahip olduğunda denetim otoritelerine danışmalıdır.
  6. Veri koruması denetleme makamları ve YZ ile ilgili yeterliliği olan diğer organlar arasında iş birliği teşvik edilmelidir, örneğin: tüketicinin korunması; rekabet; ayrımcılıkla mücadele; sektör düzenleyicileri ve medya düzenleyici makamları.
  7. Bölüm II.6’da belirtilen uzman komitelerinin bağımsızlığını sağlamak için uygun mekanizmalar uygulanmalıdır.
  8. Bireyler, gruplar ve diğer paydaşlar bilgilendirilmeli ve YZ’nin sosyal dinamikleri şekillendirmede ve onları etkileyen karar alma süreçlerinde oynayacakları rolün tartışılmasında aktif olarak yer almalıdır.
  9. Politika yapıcılar, veri öznelerinin YZ uygulamalarını ve etkilerini anlama konusundaki farkındalıklarını ve anlayışlarını artırmak için dijital okuryazarlık ve eğitim kaynaklarına yatırım yapmalılar. Ayrıca, YZ geliştiricileri için YZ’nin bireyler ve toplum üzerindeki potansiyel etkileri konusunda farkındalık ve anlayış geliştirmede mesleki eğitimi teşvik etmeliler. İnsan hakları odaklı YZ araştırmalarını desteklemeliler.

 

[1] Aşağıdaki YZ tanımına Avrupa Konseyi’nin https://www.coe.int/en/web/human-rights-rule-of-law/artificial-intelligence/glossary adresinden erişilebilir: “Amacı, bir insanın bilişsel yeteneklerini bir makine tarafından üretmek olan bir dizi bilim, teori ve teknik. Örneğin mevcut gelişmeler, bir makineye daha önce bir insana devredilen karmaşık görevleri vermeyi hedefliyor.”

[2] Bu Kılavuz İlkeler şu adresteki Yapay Zeka Raporu’nu (“Yapay Zeka ve Veri Koruma: Zorluklar ve Muhtemel Çözümler”) izlemekte ve geliştirmektedir: https://rm.coe.int/artificial-intelligence-and-data-protection-challenges- ve-muhtemel-re / 168091f8a6

[3] Kişisel Verilerin Otomatik Olarak İşlenmesine İlişkin Bireylerin Korunması Sözleşmesi 223 nolu Protokolün değiştirilmesi.

[4] https://rm.coe.int/t-pd-2017-1-bigdataguidelines-en/16806f06d0

[5] Sentetik veriler, gerçek veriler üzerine kurulmuş bir veri modelinden üretilir. Orijinal gerçek verileri temsil etmelidirler. OECD’deki sentetik verinin tanımına bakınız. İstatistiksel Terimler Sözlüğü, 2007. http://ec.europa.eu/eurostat/ramon/coded_files/OECD_glossary_stat_terms.pdf(“Gerçek verileri yaymak yerine, bir veya daha fazla topluluk modelinden üretilmiş sentetik verilerin yayınlandığı gizlilik yaklaşımı”).

[6] Bu, önerilen YZ tabanlı çözümlerin kullanılması gereken belirli durumları karakterize eden bağlamsal bilgileri göz ardı etme riskidir.

[7] Bu, başlangıçta belirli bir uygulama için tasarlanmış YZ modelleri farklı bir bağlamda veya farklı amaçlar için kullanıldığında olur.

[8] Hesap verebilirliğin benimsenmesi, bu uygulamaların tüm yaşam döngüsü boyunca potansiyel olumsuz etki ve sonuçlarıyla ilgili farkındalık ve risk yönetimi uygulamalarının benimsenmesi konusunda 40. Uluslararası Veri Koruma Konferansı, Yapay Zekada Etik ve Veri Koruma Bildirimi, kılavuz ilke no.2.  Ayrıca bkz. Yapay Zeka Raporu (dipnot 2), Bölüm II.4.

 

Kılavuzun orijinalini ve bağlantı adresini aşağıda bulabilirsiniz:

https://rm.coe.int/guidelines-on-artificial-intelligence-and-data-protection/168091f9d8

 

 

Akıllı Gözlükler ve Veri Koruması

 

Akıllı Gözlükler ve Veri Koruması

Brüksel, Ocak 2019

 

Özet

Akıllı gözlükler, gözlük gibi kullanılan veya normal gözlüklere monte edilen, mobil İnternet bağlantısı olan giyilebilir bilgisayarlardır. Arttırılmış gerçeklik(AG) uygulamaları için, kullanıcının görüş alanıyla bilgi göstermeye ve kamera, mikrofon ve GPS alıcısı vs. kullanarak fiziksel dünyadan bilgi yakalamaya izin vermektedirler.

Google’ın akıllı gözlüklerinin ilk sürümü dünya çapında büyük ilgi gördü ve bu cihazların popülerliği arttı. Hedef kitle başlangıçta yaklaşık 1500 Avro birim fiyatı ile ticaret sektörü (örneğin lojistik, eğitim simülasyonları vb.) olsa da, kısa süre önce Snap Inc. gibi rakipler yaklaşık 150 Avro gibi daha ucuz modellere sahip, daha geniş ve daha genç bir kitleye hitap etmeye başladı.

Akıllı gözlükler birçok uygulama alanında (teknik bakım, eğitim, inşaat, vb.) çok yararlı araçlar olsa da, kullanımları tartışmalıdır, çünkü, özellikle kişilerin mahremiyetini zedeleme konusunda, gizlilik dostu bir tasarıma sahip olmadığı noktada, yüksek bir risk potansiyeli oluşturdukları düşünülmektedir. Halka açık yerlerde bulunan kişilerin videolarının kaydedilmesinin veri koruma etkisi, CCTV ve kontrol kameraları bağlamında zaten tartışılmıştır. Sensörler, kullanıcıların görüş alanının video akışını, ses kayıtlarını ve lokasyon verilerini içeren çevresel bilgileri kaydedebilir. Dahası, akıllı gözlükler, cihazların düzenli olarak Wi-Fi veya Bluetooth radyo sinyalleri şeklinde yayılan tanımlayıcıları gibi başkalarının görünmez kişisel verilerini işlemelerine de izin verebilir. Bu veriler yalnızca kullanıcıların kişisel bilgilerini değil, aynı zamanda yakınlarındaki bireyleri de (kullanıcı olmayan) içerebilir. Akıllı gözlükler, özellikle yoğun nüfuslu halka açık alanlarda kullanıldığında, ses veya görsel göstergeler (LED’ler) vasıtasıyla veri öznelerinin bilgilendirilmesiyle ilgili mevcut güvenlik önlemleri etkin olmamaktadır. Akıllı gözlük, kullanıcılarının kişisel verilerini çevrelerine de sızdırabilir. Akıllı gözlük tasarımına bağlı olarak kullanıcı olmayanlar, özel postalar, resimler gibi kişisel veri içerebilen akıllı gözlük ekranını da izleyebilir. İnternete bağlı diğer tüm cihazlar gibi akıllı gözlükler de, verileri çalma veya yetkisiz yazılımları çalıştırma için aktif olarak kötüye kullanılabilecek  güvenlik boşluğundan daha fazla muzdarip olabilir.

Akıllı gözlükler günlük yaşamda şimdiye kadar sadece marjinal bir rol oynamışken, uzmanlar, AG ve Facebook, Apple ve Amazon’un akıllı gözlük girişimleri sayesinde tüketici sektöründe verimliliğin artması için önemli bir potansiyel olduğunu tahmin ediyor. Yüz veya ses tanıma ve pil ömründeki teknolojik gelişmeler, birçok sektörde akıllı gözlüklerin yeni kullanım alanlarına sıcak bakabilir. Örneğin, kolluk güçleri, 2018’in başlarında polis memurlarının, şüphelilerin veritabanından yüz tanıma ile bireylerin (kalabalık içinde) eşleştirilmesinde akıllı gözlük kullandıklarını bildirdi. Bu dinamik alanda, veri koruma otoritelerine hızlı gelişmelere ayak uydurma ve kılavuzluk yapma zorunluluğu getirildi. Gerçekten de, WP29’un Nesnelerin İnterneti Görüşünde birçok konu ele alınmıştır.

GDPR ile birlikte, her şeyden önce veri sorumluları, veri işleyenler ve akıllı gözlük geliştiricileri için veri koruma ve gizlilik üzerindeki etkilerini değerlendirme ve kontrol etme konusunda uyumlu bir ilkeler seti ve bir araçlar sistemi sağlanmıştır. Gelişimin şu anki aşamasında, teknolojinin özel yasal girişimlere acil bir ihtiyaç duymadığı görülmektedir. Bununla birlikte, akıllı gözlüklerin ve benzeri bağlı kayıt cihazlarının geliştirilmesi, ePrivacy Tüzüğü’nde önerildiği gibi, gizlilik ve elektronik iletişim için sağlam bir çerçeve oluşturma ihtiyacının altını çiziyor.

 

Raporun orjinalini ve bağlantı adresini aşağıda bulabilirsiniz:

https://edps.europa.eu/sites/edp/files/publication/19-01-18_edps-tech-report-1-smart_glasses_en.pdf