1 puan yazan GN⁺ 2023-09-02 | 1 yorum | WhatsApp'ta paylaş
  • Microsoft’un yeni Hizmet Sözleşmesi (Service Agreement), avukatlar, gizlilik uzmanları ve kampanyacılar dahil 9 kişi tarafından incelendi; ancak hiçbiri kişisel verilerin yapay zeka modellerini eğitmek için kullanılıp kullanılmadığını tespit edemedi
  • İnceleme kapsamına Office, Skype, Teams, Xbox gibi 130 üründen toplanan ses, video, sohbetler ve ekler gibi kişisel veriler dahil edildi
  • Gizlilik alanındaki 9 uzman bile sözleşmeyi anlayamazken, sıradan kullanıcıların bunu kavrama ihtimali fiilen yok
  • Mozilla, Microsoft’tan "Kişisel verileri yapay zeka eğitimi için kullanıyor musunuz?" şeklindeki basit bir soruya açık bir yanıt vermesini istiyor
  • Verilerin kullanımına ilişkin şeffaflık eksikliği temel sorun olarak öne çıkıyor

Kampanyanın gündeme getirdiği temel sorunlar

  • Microsoft’un yeni hizmet sözleşmesi 4 avukat, 3 gizlilik uzmanı ve 2 kampanyacı tarafından incelendi
    • 9 uzmanın hiçbiri, Microsoft’un kişisel verileri yapay zeka modellerini eğitmek için kullanmayı planlayıp planlamadığını tespit edemedi
  • Sözleşmedeki belirsizlik nedeniyle verilerin kullanılıp kullanılmadığı anlaşılamıyor
    • Gizlilik alanındaki 9 uzmanın bile anlayamadığı bir sözleşmeyi ortalama bir kullanıcının anlaması beklenemez

İncelenen veri kapsamı

  • Kapsam, 130 üründen toplanan kişisel verileri içeriyor
    • Ürün örnekleri: Office, Skype, Teams, Xbox
    • Veri türleri: ses, video, sohbetler, ekler

Mozilla’nın talebi

  • Microsoft’tan kişisel verileri yapay zeka eğitimi için kullanıp kullanmadığını doğrudan açıklamasını istiyor
  • Kullanıcıların eyleme geçmesiyle (imza vermesiyle) yanıt vermesi için baskı oluşturan bir kampanya yürütülüyor

1 yorum

 
GN⁺ 2023-09-02
Hacker News yorumları
  • Büyük teknolojiye yönelik düzenleyici yapı tam bir felaket
    Dünyadaki çok sayıda insanın dijital temas noktalarının fiilen iki şirketin kontrolüne bırakılmaması gerekir
    Bu şirketlerin konumlarını opak ve izlenmesi zor yollarla kötüye kullanmayacaklarına inanmak için hiçbir neden yok. Trilyonlarca sermayeye sahip, kâr amacı güden şirketler bunlar; orta ölçekli ülkeleri bile tehdit edebilecek avukat ve lobici ordularına sahipler ve beceriksiz, kaotik ve ele geçirilmiş düzenleyici-siyasi sistemin tüm zayıflıklarını kullanacaklardır
    Bunu hissedarları için yapmak zorundalar ve o hissedarların derdi, bu tekelci iki kutuplu yapının dijital geleceğin tamamını mahvedip mahvetmemesinden bağımsız olarak portföylerine birkaç teknoloji “kazananı” koymak. Ciddi adımlar ne kadar gecikirse, sonradan o kadar zorlaşır

    • Hissedarlar için yasal olarak bunu yapmak zorundalar” sözü, gerçekçi bir temeli olmayan eski bir şehir efsanesi değil mi?
    • Fırsatı kullanma dürtüsünün yalnızca büyük şirketlere özgü olduğunu düşünmüyorum. Küçük işletmelerin ya da site yönetimleri gibi amatör örgütlerin ufak çekişmelerinde bile güç ele geçirme girişimleri görülüyor
      Sadece araçlar farklı; bu tür davranışları iten insani özellikler hep var. Varlıklar belli bir seviyeyi geçince aniden açılan bir anahtar yok
      Ayrıca şirketlerin birine karşı “yasal yükümlülüğü” olduğunu, hatta ortada gerçek bir “yükümlülük” bulunduğunu da düşünmüyorum. Yöneticiler ulaşabildikleri araçları kullanarak hedeflerine ulaşmaya çalışır ve pratikte de bunu yapar
    • Teknoloji şirketlerini suçluyorum ama bütün bunları mümkün kılan programcıları, teknoloji girişimlerini ve bilgisayar bilimini de suçluyorum. Aşırı verimli servet yoğunlaştırma aygıtları olarak kullanılmaları fazla kolay sistemler inşa ettiler ve bugünün teknoloji şirketleri bunun sonucu
  • Bu, Hacker News'te gördüğüm en Kafkaesk derecede absürt başlıklardan biri
    Analitik veriler kişisel veri sayılıyorsa Microsoft açıkça analitik verileri kullanıyor: https://www.microsoft.com/insidetrack/blog/microsoft-uses-an...
    Microsoft'un Gmail hesaplarını, Word belgelerini ve porno faaliyetlerini okuyup bunları OpenAI'a verdiğine gelince, şartlara göre hayır: https://learn.microsoft.com/en-us/legal/cognitive-services/o...
    Ancak Microsoft'un genel olarak bilmediğimiz şeyler yapıp yapmadığı sorulursa, bence evet

  • Uzun zamandır Microsoft'un labirent gibi gizlilik politikalarına karşı çıkıyorum
    Yıllar önce, “AI” kodlama yardımcıları yaygınlaşmadan önce başka bir forumda, VS Code'da telemetri açıksa Microsoft'un gizlilik politikasının kodumu yüklemesine ve kullanmasına izin verip vermediğini sormuştum
    O zaman bunun saçma olduğu söylenerek konu kapatılmıştı ama Microsoft şartlarında ya da gizlilik politikasında bu tür işlemleri açık ve şeffaf biçimde dışladığını gösteren kimse olmadı
    Bugünlerde elde edilebilen her büyük veri kümesiyle makine öğrenimi modellerini eğitmeye yönelik bir takıntı ortaya çıktığına göre, geçmişteki bu temkinlilik artık o kadar gülünç görünmeyebilir

    • Bu tür politika belgeleri, şirketin kendisine ne tür sınırlamalar koyduğunu anlatmak için var olmaz. Kullanıcının hizmeti kullanmaya devam ederek politikayı kabul ettiği gerekçesiyle, şirketin bir şey yapmasını engellemeye çalışan kullanıcıya karşı bir savunma aracı olarak vardır
      “Biz X yapmayacağız” demenin ticari ya da hukuki bir avantajı olmadığı sürece büyük şirketler bilinçli olarak kendilerine böyle sınırlamalar koymaz
  • Bilgi olsun diye, Microsoft'un yaklaşan Hizmet Sözleşmesi metninin tamamı burada
    https://www.microsoft.com/en-us/servicesagreement/upcoming.a...
    Değişikliklerin özeti de burada
    https://www.microsoft.com/en-us/servicesagreement/upcoming-u...

    • Hâlâ şu ifade yer alıyor: “Microsoft ürün ve hizmetlerini iyileştirmek amacıyla, Microsoft'a içeriğinizi kullanmak için dünya çapında ve telifsiz bir fikri mülkiyet lisansı verirsiniz”
      Açık sınırlamaların yalnızca hedefli reklamcılık için geçerli olduğu görülüyor. Örneğin “e-postanızda, sohbetlerinizde, görüntülü aramalarınızda ya da sesli postanızda söyledikleriniz; belgeler, fotoğraflar veya diğer kişisel dosyalarınız kullanılarak size reklam hedeflemeyiz” deniyor
      Değişiklik özetinde gizlilik politikasındaki değişikliklerden söz edilmiyor ve o gizlilik politikası da kullanıcı verileriyle AI modelleri eğitilmesini dışlıyor gibi görünmüyor
  • Reklam sektöründe çalıştım; kişisel olarak tanımlanabilir bilgiler ile ilgili yasalar ilginç. California'da CCPA var; bir form aracılığıyla kişisel olarak tanımlanabilir bilgilerimin silinmesini istersem, bildiğim kadarıyla yaklaşık 90 gün sonra silinmesi gerekiyor.
    Ama California'da yaşayan birinin kişisel olarak tanımlanabilir bilgileriyle bir model eğitildikten sonra silme talebi gelirse ve 3 ay sonra biri o kişi hakkında soru sorduğunda model “silinmiş” kişisel olarak tanımlanabilir bilgileri kusarsa ne olur?
    Sonuçta buna mahkeme karar verecek gibi görünüyor ama California yasalarını iyi bilen biri varsa, neden henüz uzlaşma parası hedefiyle bile buna yönelik girişimler olmadığını merak ediyorum

    • Bunu basitçe inkâr ederler. Ya da eğitilmiş modelden geri kazanılamaz olduğunu iddia ederler.
      California yasasını bilmiyorum ama benzer gizlilik yasalarının önemli bir kısmı, “silme” talebi alınsa bile toplulaştırılmış veriler için istisna tanıyor
    • CCPA'yı pek bilmiyorum ama AB hukukunu biliyorum. Şu an için “silme hakkı / unutulma hakkı” bu konuda oldukça muğlak ve yerleşik içtihat da pek yok gibi görünüyor.
      Genelde hukuk ham veri kayıtlarına uygulanıyor; toplulaştırılmış verilere, metriklere ya da modellere uygulanmıyor. Ama burada model derken, sanırım sigorta ya da kredi puanlama sektörüne ilişkin belirli bir karara dayanarak söylüyorum.
      Modelin silinmiş verileri “kusması” da gerekmiyor. Bu bir üretici model değil, bir sınıflandırıcı ya da regresyon modeli olabilir ve ideal olarak zaten en başta benim verilerimle eğitilmemiş olması gerekirdi.
      Teknik olarak zor olması da önemli. Diyelim ki tek bir model çok büyük bir X maliyetiyle üretildi ve normalde her 6 ayda bir yeniden eğitiliyor. Ama sürekli silme talepleri geliyorsa, buna uymak için sık sık yeniden eğitmek fazla pahalı olur.
      Bunu verimli biçimde ele almaya çalışan machine unlearning araştırmaları var ama şimdiye kadar oldukça hayal kırıklığı yarattılar
    • Başta neden içinde benim kişisel olarak tanımlanabilir bilgilerimin bulunduğunu ve tanımlanabilir kısımların çıkarılmadığını varsaydığınızı anlamıyorum.
      Kişisel kısımlar ortadan kalktıysa, ortada bir talep gerekçesi kalır mı pek emin değilim
  • Microsoft hukuk ekibi bunu nasıl başarıyor? Yalnızca yeterince büyük bir ekip — örneğin Microsoft ya da bir büyük jüri — anlam çıkarabilsin diye yeterince fazla dilsel soyutlama katmanı mı biriktiriyorlar?
    Görünüşte zararsız yerlere gizlenmiş tuzaklar içeren yem cümleler mi bunlar? Yoksa dolandırıp dolaştırıp asla net cevap vermeme yöntemi mi?

    • Mesele birkaç milyon doları aşınca, avukat ekipleri fiilen bir hukuki red team hâline geliyor. Mevcut kısıtları aşmanın yollarını bulmakla görevlendiriliyorlar ve gerçekten de buluyorlar
    • Microsoft hukuk ekibi bunu nasıl yapabiliyor mu? Kim engelleyecek ki?
    • M$ ne demek?
  • Belirli bir kullanım açıkça hariç tutulmadıysa, o veri faydalı olduğu sürece eninde sonunda eğitim verisi olarak kullanılacağını varsayabilirsiniz. Şu anda değilse bile bir gün mutlaka öyle olur. Dünyada veri biriktiren her şirket için bu geçerli.
    Herkesin temel varsayımı bu olmalı ve bir yasa çıkmadığı sürece büyük ölçüde doğru olacaktır. Yasa çıksa bile, yetki alanı etrafından dolaşma yüzünden geçmiş veriler karşısında etkisiz kalabilir; yeni verileri de muhtemelen ancak zayıf biçimde korur.
    Yeni petrole hoş geldiniz

  • Mahremiyet ile kişisel olarak tanımlanabilir bilgi aynı şey değil. Pek çok açıdan mahremiyet verisinin kullanımından kaçınmak mümkün değil.
    Tahminli yazım mahremiyet verisini kullanır. Çünkü herkesten “öğrenir”. Cümleler ve paragraflar mahremiyet verisi midir? Arama motorları yazdıklarımı kaydeder. Arama sorgularını “kişisel” olarak mı sınıflandıracağız? Bu başlıktaki ilk yorumu kopyalayıp yapıştırabilirim; bu da mı mahremiyet verisi?
    Tamamen yanlış da düşünüyor olabilirim ve belki de web sayfalarına hiçbir şey yazmamalıyım.
    Dört avukatla üç gizlilik uzmanı bile mahremiyet verisinin ne olduğu konusunda sonuca varamamış gibiydi. Büyük teknoloji şirketleri insanların ürettiği verileri “AI” araçlarına koyuyor mu? Evet. Küçük teknoloji şirketleri de yapıyor mu? Evet.
    Mozilla ile birlikte dirgenleri kapmaya hazırım ama ne için olduğunu bilmek istiyorum. Kalabalığı galeyana getirmek yerine, çıkarlarımı nasıl koruyacağımı açıkça söyleyen insanlara ihtiyacımız var.
    Verinin, her tür verinin kullanımı sözleşmeye tabidir. Hacker News kullanırken kabul ettiğiniz “hukuki belgeleri” okursanız, kişisel verilerin kullanım biçimine ayrılmış koskoca bir bölüm var. HN için de dirgen mi kuşanmalıyız, yoksa burası sorun değil mi?

    • Microsoft yıllardır Linux'u öldürmeye çalıştı ve hâlâ bıçağını biliyor
  • Bunun hangisi “AI eğitimi”?
    Kötüye kullanım tespit sisteminin, kötü niyetli kullanıcıları insan incelemesine yönlendirmek için kullanıcı davranışı ve verileriyle eğitilmesi; web araması yaparken sıralama fonksiyonunun tüm kullanıcı davranışlarından öğrenmesi; e-posta yazıcısının benim giriş geçmişime göre tamamlama önermesi; kamuya açık bir LLM sohbet arayüzünün benim özel e-postalarımla eğitilmesi.
    “AI eğitimi”, çoğu durumda gizlilik politikasına yazılacak bir şeyden çok uygulama ayrıntısı gibi duruyor. Keşke Mozilla hangi davranıştan endişe ettiğini daha açık söyleseydi

  • Evet, dev şirketler bunu yapıyor ve yapmaya devam edecek. Eğer bir büyük şirketin bizim çıkarlarımızı düşündüğüne ve kusursuz yönetişime sahip olduğuna inanıyorsanız, haha, gerçekten çok büyük bir haha