İnsanın Algoritması: Clearview Yapay Zeka Şikayeti

Giriş

2017 yılından beri faaliyet gösteren New York merkezli bir yapay zekâ şirketi olan Clearview AI hakkında gizlilik ihlâli yaptığı gerekçesiyle şikâyette bulunuldu. Clearview AI dışarıdan göründüğü şekliyle, tek ürünleri olan ‘Yüz Tanıma Platformu’ ile kullanıcılarının fotoğraflarını, yalnızca halka açık kaynaklardan elde edilmiş 3 milyardan fazla yüz görüntüsünün (facia image) bulunduğu bilinen en büyük veri tabanındaki çevrimiçi görüntüler ile eşleştirmelerini sağlıyor. Şirket hakkında çeşitli ülkelerde çok sayıda şikâyet ve hukuki işlem bulunduğu biliniyor ancak bu kez platformun iç yüzünü teknik açıdan da ele alan ve hakkında yapılmış tüm şikâyetleri de tek bir metin altında toplayan ciddi bir süreç söz konusu.

Şikâyetin Konusu, Verilerin Nitelendirilmesi ve Olası Sonuçlar

Fotoğraflar, GDPR’ın 4 (1) Maddesi kapsamındaki kişisel veri tanımına girdiği için Clearview'in halka açık internet kaynaklarından topladığı görüntüler kişisel verilerdir. Biyometrik veriler; parmak izi, ses, yüz, retina, yürüyüş, vücut koordinasyonu veya DNA profilleri gibi insan özelliklerinden üretilen benzersiz ve genellikle değiştirilemez veriler olduğu için bir kişiyi tüm yaşamı boyunca ayırt edici nitelikte tanımlayabilir. O yüzden özel bir kişisel veri kategorisi olan “hassas veriler” kategorisine dâhil edilmişlerdir. Clearview tarafından toplanan yüz fotoğrafları biyometrik verilerdir ve açıklanan sebeple "insan tanıma” odaklı tanımlanmaktadır. Şikâyet eden, somut durumda Clearview’in bu tanımlamayı ürettiği teknoloji sayesinde yapay zekâ algoritmalı makinalar aracılığıyla gerçekleştirdiğini belirtmiştir.

Şikâyetçi, şikâyetinde halka açık kaynaklar üzerinden yürüttükleri araştırmaları sonucunda Clearview’in Yüz Tanıma Platformu’nun işleme mekanizmasını 4 adımda tanımlamaktadır: İlk adımda açık web sayfalarını tarayarak insan yüzü içeren tüm görüntüleri toplayan Otomatik Görüntü Kazıyıcı ile görüntü veya web sayfası başlığı ve kaynak bağlantısı gibi bu görüntülerle ilişkili meta verileri de toplanmaktadır. Sonraki adımlarda, kazıma işlemi yoluyla toplanan görüntüler ve meta-verilerin toplandıkları web sayfası kaldırıldıktan veya özel hale getirildikten sonra bile Clearview'in sunucularında süresiz olarak depolanmakta, akabinde toplanan her görüntüde bulunan her yüzün benzersiz olabilecek özelliklerinin belirlenebilmesi için taranıp işlenmekte ve ‘Vektörler’ olarak adlandırılan sayısal temsillere çevrilmektedir. Böylece “yüzler” insan tarafından tanınabilir görüntülerden ziyade makinalar tarafından okunabilen sayısal verilere dönüştürülmekte ve son aşamada oluşturulan vektörler çeşitli işlemler sonucu yüzleri birbiriyle eşleştirmek için kullanılmaktadır. Bunların tümü, GDPR Madde 4 (2) kapsamındaki "işleme" tanımının bir parçasını oluşturan işlemlerdir. İşlemenin hassas veri olarak kabul edilebilecek biyometrik verileri içerip içermediği veya kamuya açık kaynaklardan elde edilmiş olup olmadığı gizliliğin korunması ihtiyacını azaltmamaktadır.

Diğer yandan, toplanan fotoğrafların yanı sıra, bu görüntülerle ilişkilendirilen meta veriler de görselin bulunduğu web sayfasının açıklamaları ve kişilerin adları gibi kişisel verileri içerebilmektedir. Şikayet eden, Clearview’in bu sayede "dolaylı olarak" veri sahibini tanımlayabilmesinin mümkün olabileceğini belirtmiştir. Örneğin bir kilise müdavimleri derneği web sitesinden alınan yüz görüntüsü ile bireyler, Özel veri kategorilerinden olan dini veya felsefi inanç hakkındaki kişisel verilerle ilişkilendirebilirler. Yine örnek olarak cinsel saldırı mağdurları ve göçmenler gibi kırılgan grupların Clearview tarafından tanımlanması, bu gruplar için güvenlik açısından risk anlamına gelebilecektir. Ayrıca yüz görüntülerinin taranarak sayısal verilere dönüştürülmesi potansiyel olarak insanların yüzlerinin benzerlik derecelerine göre sınıflandırılmasına olanak tanıyacaktır. Bu da insanları etnik kökenlerine, renklerine veya diğer özelliklerine göre otomatik olarak gruplandırma imkânı sağlayacaktır.

Bireylerin hak ve özgürlüklerine yönelik olarak beliren çok sayıda ciddi risk ve zarar gösterildikten sonra, meşru menfaatler dengesi değerlendirmesi, GDPR Madde 6(1)(f) kapsamında Clearview'in faaliyetlerinin geçerli bir yasal temelinin bulunmadığını ortaya koymalıdır.

Hukuksal Sürece Dair Ayrıntılar

Şikâyet eden, Clearview hakkında medyada yer alan ifşaat niteliğindeki yazılardan ve müteakip yasal işlemlerden bahsederek 2020’de New York Times’da yayınlanan ‘Bildiğimiz şekliyle gizliliği bitirecek gizli şirket’ başlıklı haberden sonra ABD’de federal bir gizlilik yasası olmaması nedeniyle farklı eyaletlerde görülen şirket aleyhine açılmış 8 dava olduğunu belirtmiştir. Kanada'da, OPCC tarafından Şubat 2020'de Clearview'in uygulamaları hakkında bir soruşturma başlatıldığını, Şubat 2021'de bulgularına ilişkin raporunu yayınlayarak Clearview'in Kanada'da hizmetlerini sunmayı, verilerin toplanmasını, kullanılmasını ve ifşa edilmesini durdurmasını önerdiğini eklemiştir. Benzer şekilde, Kanada veri koruma otoritesince, Clearview tarafından çocuklar da dâhil olmak üzere Kanada'daki milyonlarca kişiye ait görüntülerin kazınması, bu görüntülere dayalı biyometrik yüz tanıma dizileri geliştirilmesi, kaynak görüntü veya bağlantı internetten kaldırıldıktan sonra bile bu bilgilerin saklanması, kendi ticari amaçları için kullanılması ve ifşa edilmesinin veri öznesine zarar verebileceği ve Clearview’un bu eylemlerinin meşru bir amaca dayanmadığı sonucuna varılmıştır. Kanada ve ABD’nin yanı sıra Birleşik Krallık, Avustralya ve çeşitli Avrupa ülkelerinde de Clearview’a karşı yürütülen hukuksal süreçler bulunmaktadır. Avrupa'da ve başka yerlerde gündeme getirilen farklı davaların sayısı, bireylerin ve yasa koyucuların Clearview'in uygulamalarıyla ilgili endişelerini göstermektedir. Ancak yine de özünde küresel olduğu belirtilen bu soruna karşı koordineli bir tepki gösterilmemiştir.

Şikâyet eden, Clearview’in eylemlerinin GDPR’a göre hangi maddelerin kapsamına alınabileceği hakkında detaylı bir incelemede bulunmuş ve dünya çapında Avrupalı ​​kullanıcılarını izleyen herhangi bir web sitesi operatörü veya alt denetleyicisinin GDPR kapsamına gireceğini, benzer şekilde çerezler, etiketler ve pikseller aracılığıyla izlemenin de GDPR kapsamında kabul edileceğini belirtmiştir. Ayrıca GDPR’ın 26. Maddesi verilerin hangi yolla işlendiği veya toplanan bilgilerin içeriği hakkında ayrım yapmadığından, Clearview'in, örneğin Avrupalı ​​kullanıcılardan çerez verileri veya görüntü verileri toplayıp toplamadığının GDPR’ın uygulanabilirliğini etkilemeyeceği savunulmaktadır.

Kişisel verilerin veri sahibinden elde edilmediği durumlarda, veriler elde edildikten sonra makul bir süre içinde veri sahibine bilgi verilmeli ve bu verilerin nasıl işleneceği hakkında aydınlatma yapılmalıdır. Bu yönüyle Clearview şeffaflık ilkesini en az iki açıdan ihlal etmektedir, bu da veri sahiplerinin verilerinin işlendiğine dair bilgi sahibi dahi olamamalarına ve haklarını kullanamamalarına sebep olmaktadır. Ayrıca, Clearview’un GDPR Madde 27/1 kapsamında Avrupa Birliği’nde bir temsilcisi bulunmadığından bu da ihlâl kapsamında değerlendirilebilecektir.

Sonuç

Clearview, kamuya açık çeşitli raporlarda, hizmetinin yalnızca bir "yüz arama motoru" olduğunu ve arama terimleri olarak kelimeler yerine yüzleri kullandığını savunarak, hizmetini Google'ın arama motoruyla karşılaştırmaktadır. Şikâyet eden, Google tarafından gerçekleştirilen teknik işlemlerim temelde Clearview’un işlemlerinden farklı olduğunu öne sürmektedir; örneğin Google, web sitesi sahiplerine, tamamen devre dışı bırakma seçeneği de dâhil olmak üzere, sayfalarındaki hangi bilgilerin dizine ekleneceği ve arama sonuçlarında listeleneceği konusunda kontrol sağlamaktadır. 

Bu şikâyet, Clearview’un kullandığı algoritmayı tanımlaması, olası olumsuz sonuçları açıklaması,  Clearview’un platform aracılığıyla ihlal ettiği kişisel veri politikalarını belirlemesi, çeşitli dünya ülkelerinde Clearview hakkında verilmiş kararları ve yapılmış tespitleri derleyerek veri koruma otoritelerini koordinasyon içinde hareket etmeye teşvik etmesi açısından ayırıcı niteliktedir. ‘Kullanıcılarına’ ücretsiz bir ürün sunuyormuş gibi görünüp topladığı verilerle kullanıcıyı ürün haline getiren çok sayıda teknoloji temelli şirketten biri olan Clearview hakkında başlatılan bu süreç, sonuçlanmasıyla birlikte benzer durumlara ışık tutacak bir emsal olabilecektir.