OpenAI’nin New York Times’ın veri taleplerine yanıtı ve kullanıcı gizliliğini koruma yaklaşımı

 (openai.com)
1 puan yazan GN⁺ 2025-06-07 | 1 yorum | WhatsApp'ta paylaş
  • The New York Times dahil davacı taraf, OpenAI’ye karşı açtığı davada kullanıcı ChatGPT ve API verilerinin süresiz saklanmasını talep ediyor
  • OpenAI, bu talebin kullanıcılara verdiği gizlilik taahhütleriyle çeliştiğini belirterek mahkeme kararına karşı aktif biçimde itiraz ve temyiz sürecini yürütüyor
  • Bu saklama emri yalnızca ChatGPT Free, Plus, Pro, Team ve standart API kullanıcıları için geçerli; Enterprise/Edu ve ZDR API kullanıcıları kapsam dışında
  • Silinmiş veriler bile ayrı bir sistemde hukuki saklama kapsamında tutulmak zorunda ve erişim yetkisi sıkı şekilde sınırlandırılmış OpenAI hukuk ve güvenlik ekipleriyle sınırlı
  • OpenAI, gizliliğin korunmasını en yüksek öncelik olarak gördüğünü ve tüm hukuki süreçlerde kullanıcıları korumaya devam edeceğini söylüyor

How we’re responding to The New York Times’ data demands in order to protect user privacy

  • The New York Times dahil davacılar, OpenAI’ye karşı açtıkları davada tüketici ChatGPT ve API müşteri verilerinin süresiz olarak saklanmasını talep ediyor
  • Bu talep, OpenAI’nin kullanıcılara verdiği gizlilik ilkeleriyle özünde çelişiyor ve sektör standartları ile gizlilik koruma seviyesini zayıflatıyor
  • OpenAI, bu talebi aşırı buluyor ve kullanıcı gizliliğini en üst öncelik olarak görerek temyiz sürecini sürdürüyor

Başlıca soru ve yanıtlar

1. The New York Times ve diğer davacıların talebinin nedeni

  • The New York Times, OpenAI’ye karşı dava açarken, davada kendi lehine olabilecek kanıtlar bulunabileceği varsayımına dayanarak tüm kullanıcı içeriklerinin süresiz saklanmasını mahkemeden talep etti
  • OpenAI, bu talebin yalnızca kullanıcı gizliliğini tehdit etmekle kalmadığını, aynı zamanda davanın çözümüne de somut bir katkı sağlamayacağını düşünüyor
  • ChatGPT Free, Plus, Pro, Team ve standart API kullanıcıları etkilenebilir; ancak ChatGPT Enterprise, ChatGPT Edu ve Zero Data Retention API müşterileri bu kapsamda değil

2. OpenAI’nin hukuki yanıtı

  • OpenAI, ilk aşamada tüm çıktı verilerinin saklanması talebinin aşırı olduğunu ve gizlilik politikasıyla çeliştiğini savunarak itiraz sundu
  • Magistrate Judge önünde ChatGPT Enterprise’ın istisna olduğu teyit edildi
  • District Court Judge nezdinde ek temyiz süreci devam ediyor

3. İş müşterileri için Zero Data Retention sözleşmesine sahip olanlar

  • Zero Data Retention API kullanan iş müşterileri, girdi ve çıktı verileri saklanmadığı için bu durumdan etkilenmiyor

4. ChatGPT verileri silindiğinde

  • Genel tüketici hesapları dava nedeniyle etkilenebilir; ancak Enterprise ve Edu müşterileri ile Zero Data Retention API kullanıcıları etkilenmiyor

5. Verilerin nasıl saklandığı ve erişim yetkileri

  • Mahkeme emrine tabi veriler ayrı bir güvenli sistemde izole edilerek saklanıyor
  • Bu veriler hukuki yükümlülüklerin yerine getirilmesi dışında kullanılamaz ve erişim yetkisi, sıkı şekilde sınırlandırılmış OpenAI hukuk ve güvenlik ekiplerindeki az sayıda kişiyle sınırlıdır

6. Verilerin dışarıyla paylaşılma ihtimali

  • Saklanan veriler The New York Times gibi dış taraflara otomatik olarak aktarılmaz
  • Ek bilgi açıklama talepleri gelmeye devam ederse OpenAI gizliliği savunmak için aktif şekilde karşılık vereceğini belirtiyor

7. Veri saklama süresi ve ne zaman sona ereceği

  • Şu anda mahkeme kararı nedeniyle kullanıcı verilerinin süresiz saklanması zorunlu; ancak buna karşı aktif hukuki mücadele sürüyor
  • Hukuki girişimler başarıya ulaşırsa mevcut veri saklama politikasına geri dönülebilir

8. GDPR ve benzeri gizlilik yasalarının ihlali olup olmadığı

  • Mahkeme emri uyarınca hukuki yükümlülükler yerine getiriliyor; ancak The New York Times’ın talepleri OpenAI’nin gizlilik standartlarıyla çelişiyor
  • Bu nedenle temyiz ve politika düzeyindeki yanıtlar sürdürülüyor

9. Model eğitimi politikasında değişiklik olup olmadığı

  • İş müşterilerinin verileri varsayılan olarak model eğitiminde kullanılmıyor ve bu emir nedeniyle politikada bir değişiklik yok
  • Tüketici müşteriler, bireysel ayarlarına göre verilerinin eğitimde kullanılıp kullanılmayacağını doğrudan kontrol edebiliyor; bu emir bunu etkilemiyor

10. Kullanıcılara bilgi verilmesi ve şeffaflık

  • OpenAI, düzenli bilgi paylaşımı ve şeffaflığın sürdürülmesini taahhüt ediyor
  • Mahkeme kararında değişiklik olması veya kullanıcı verilerini etkileyen bir durum ortaya çıkması halinde hızlı şekilde bilgilendirme yapılacağını belirtiyor

11. Veri saklama politikasının özeti

  • ChatGPT (Free/Plus/Pro): Sohbet veya hesap silindiğinde veriler hesaptan hemen kaldırılır ve 30 gün içinde kalıcı olarak silinmesi planlanır
  • ChatGPT Team: Her kullanıcı sohbetlerin saklanıp saklanmayacağını kontrol edebilir; silinen veya kaydedilmeyen veriler 30 gün içinde silinir (hukuki yükümlülükler hariç)
  • ChatGPT Enterprise/Edu: Çalışma alanı yöneticisi veri saklama süresini yönetir; silinen sohbetler 30 gün içinde silinir (hukuki yükümlülükler hariç)
  • API: İş kullanıcıları uygulama durum yönetimi için saklama süresi ve yöntemini kendileri seçebilir; API girdi ve çıktı verileri 30 gün sonra loglardan silinir (hukuki yükümlülükler hariç)
  • Zero Data Retention API: Bu durumda girdi ve çıktı verileri baştan hiç saklanmaz

Sonuç

  • OpenAI, kullanıcı güveni ve gizliliğin korunmasını politika açısından en yüksek öncelik olarak görüyor ve hukuki zorluklara karşı sürekli yanıt veriyor
  • İş ve eğitim müşterileri ile ZDR API gibi belirli müşteri grupları etkilenmiyor; genel tüketici verileri için ise ayrı koruma önlemleri uygulanıyor
  • Hukuki durumdaki değişiklikler ve kullanıcı verilerini koruma politikası konusunda şeffaf bilgilendirme yapılacağı belirtiliyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-06-07
Hacker News görüşleri
  • OpenAI'nin Zero Data Retention (ZDR) seçeneğine resmen başvurmayı mümkün kılması gerçekten çok yardımcı olurdu diye düşünüyorum. Pek çok kurumsal senaryoda istek loglarını saklamak için hiçbir neden yok. Belgelerde başvurulabildiği defalarca yazıyor ama pratikte tamamen görmezden geliniyor. Onay gerektirmesini ve bir giriş eşiği olmasını anlayabiliyorum, ancak gerçekte ZDR'den sadece pazarlama amacıyla bahsediliyormuş gibi duruyor. Defalarca başvurdum ama hiçbir yanıt alamadım. Forum gönderilerine bakılırsa bu oldukça yaygın görünüyor
    • Onay sürecinin gerekli olduğunu anlıyorum ama varsayılanın neden gizlilik ya da kayıt tutmama olmadığını merak ediyorum. OpenAI'nin gizlilik taahhütlerine şüpheyle yaklaşan çok kullanıcı var. Girdilerin kaydedilip analiz edildiğini ve paylaşıldığını düşünüyorlar. Gerçek gizlilik gerekiyorsa, yerelde çalışan LLM'ler tek gerçek alternatif
    • Benim anladığım kadarıyla hata ayıklama için loglar varsayılan olarak 30 gün tutuluyor. 0 gün saklama da talep edilebiliyor. Bu resmi belgelerde yazıyor
    • Özünde eksik olan şey para
    • "Belirli kullanım durumları için zero data retention (ZDR) talep edilebilir. Veri işleme hakkında daha fazla bilgi için Platform Docs sayfasına bakın" diyen bir politika var: OpenAI Privacy Policy. 1) Talep edilebilmesi, onaylanacağı anlamına gelmiyor. 2) Varsayılanlar önemlidir. Silikon Vadisi'nin varsayılanı gizlilik değil, gelir maksimizasyonudur. OpenAI'de de varsayılan veri saklamaktır; çıktıların kendisi bile saklanır. Bu da veri saklama emrine karşı çıkan OpenAI notunu ciddiye almayı zorlaştırıyor
    • Resmî olarak başvurulabildiğinin tekrar tekrar yazılmış olmasına rağmen, gerçekte hiç çalışmayan bir pazarlama ifadesi olabileceğinden şüpheleniyorum
  • Mahkeme emri kapsamındaki korunan veriler izole bir sistemde tutuluyor ve yasal yükümlülüklerin yerine getirilmesi dışında erişilemiyor. Yalnızca denetlenmiş az sayıdaki OpenAI hukuk ve güvenlik ekibi üyesi yasal zorunluluklar doğrultusunda erişebiliyor. Eğer veri sızarsa sorumluluk OpenAI'de olur. Ancak bu yazının genel dili, özellikle davanın tekrar tekrar "asılsız" olarak nitelenmesi, güvenilirliğini düşürüyor; kulağa güven veren bir açıklamadan çok tanıtım metni gibi geliyor
    • Bu olay haber döngüsünde büyüdü; silinmiş sohbetlerin dava nedeniyle gerçekte silinmediği haberi gündem olunca OpenAI'nin müşterileri rahatlatmak için bir yanıt vermesi gerekiyordu
    • Dava ile ilgili veriler arama sürecinde ilgili bulunursa, o verilere en azından iki taraf ve mahkeme erişebilir
    • OpenAI açısından bakınca kendi tutumunu savunması doğal. Davaya "asılsız" demesi de doğal
    • Ben bir OpenAI kullanıcısıyım. Faydalı olduğu için para da ödüyorum. Verilerimin, kullanım şartları ve gizlilik politikasında belirtilenin ötesinde saklanmasını istemiyorum. Mahkeme, OpenAI'nin saklama yükümlülüğünün on milyonlarca kullanıcının gizliliğini tehlikeye attığını anlamıyorsa uygun değil demektir
    • Veri güvenliğinin birinci ilkesi şudur: sistemler kusurludur, bu yüzden tek gerçek koruma veriyi hiç saklamamaktır. Veri ihlali olursa sorumluluk OpenAI'dedir. Veri güvenliği sözü veren şirketler ya yetersizdir ya da samimi değildir
  • OpenAI hukuk ekibinin, gerçek sohbet kayıtları yerine ssdeep hash'leri veya içerik parçaları gibi bulanık bilgiler saklayan bir yöntem uygulayıp uygulayamayacağını merak ediyorum. NYT'nin talep ettiği veri kapsamı sınırlıysa ve sorunlu içerik API üzerinden üretiliyorsa, hash değerleriyle karşılaştırma yapmak mümkün olabilir. Elbette ideal olan hiçbir şeyi saklamamak ama bu kadar geniş bir mahkeme emri düşünüldüğünde pratik bir uzlaşma ihtimali olabilir. Ayrıca şu kaynaklara da bakılabilir: ssdeep, içerik parçalama
    • Bu tür teknik terimleri mahkemede avukatlara ya da hakime anlatmanın çok zor olacağını vurgulamak gerek
    • Kararın amacından aktif biçimde kaçmaya çalışmak başlı başına çok kötü bir tercih
    • Mahkeme emrine ilişkin belgeleri bulamadım ama görünen o ki hâkim OpenAI'ye verileri ayırmanın mümkün olup olmadığını sormuş, OpenAI ise hiç yanıt vermemiş; yalnızca reddetmek değil, tamamen görmezden gelmek söz konusu gibi. OpenAI'nin aktif olarak çözüm arama niyeti yok ve yalnızca PR stratejisine yaslanıyor gibi görünüyor
    • Bu tür teknik öneriler teknik dokümanlarda ne kadar şık görünse de gerçekte tüm ChatGPT konuşmaları S3'te tutuluyor ve çeşitli kurumlar tarafından düzenli olarak yedekleniyor. Tıpkı e-posta gibi, içerisi hassas bilgilerle dolu bir metin veritabanı bu. Yönetimin "sözlerine" hiç güvenmiyorum
  • Eskiden tarayıcı geçmişimin sızmasını çok utanç verici bulurdum; şimdi ise LLM konuşma geçmişinin sızmasının bundan çok daha ciddi olduğunu düşünüyorum. Bu, başkalarıyla yaptığım özel konuşmalardan bile öte, yalnızken sansürlemediğim hâlimin kaydı
    • Ne soruyorsun da LLM'de gizlilik bekliyorsun diye tepki verenler var
  • İlgili tartışma: OpenAI slams court order to save all ChatGPT logs, including deleted chats (Haziran 2025, 878 yorum)
  • NYT'ye yöneltilen suçlamaları garip buluyorum. NYT'nin dava açmak için gerekçesi varsa mahkeme bunu kabul eder; yoksa OpenAI mahkemede kazanır. Mahkeme emrini NYT'yi suçlamak için kullanmak tuhaf
    • NYT, ABD hukuk sisteminin zayıf noktasını, yani kişisel gizliliği neredeyse hiç önemsemeyen geniş discovery sürecini kullanıyor. Bunu kendi çıkarı için yapıyor olabilir ama bu kez OpenAI tarafını tutmamak elde değil
    • NYT duruma göre pozisyon değiştiriyor gibi görünüyor. Geçmişte serbest yazar makalelerini veritabanına koyup sattı ve telif hakkının zayıflatılmasını savundu. Şimdi ise telif hakkını en çok önemseyen taraf gibi davranıyor. Şu yazı ilginç: NYT'nin politika değişimi üzerine
    • NYT de davanın bir tarafı. Davayı "asılsız" diye nitelemesi meşru
    • Eğer NYT gerçekten gerekçesizse ama mahkeme yine de onay verirse, o da ayrıca tuhaf olur
    • Yasal olması, insanların hukuk sistemini kötüye kullandıklarında aklandıkları anlamına gelmez
  • OpenAI'nin “neden bu oluyor” açıklamasında eksik bir kısım var. Sanki insanlar sebepsiz yere öfkeleniyormuş gibi anlatıyor ama müşteri açısından bakınca durum saçma
  • "Ayarlar" bölümünde kullanıcı verilerinin model eğitiminde kullanılıp kullanılmayacağını kontrol edebileceğinizi söylüyorlar, ama gerçekte “herkes için modeli geliştir” anahtarı hiçbir etki yaratmayan bir dark pattern ve ayrıca görünmeyen bir portal üzerinden ayrıca başvuru yapmak gerekiyor; dolayısıyla bunu bulmak kolay değil. Bu da birçok kullanıcının sistemin gerçekten nasıl çalıştığını yanlış anlamasına yol açtı
    • Daha ayrıntılı açıklama isteniyor
    • “Herkes için modeli geliştir” anahtarının gerçekte hiçbir etkisi olmadığı iddiası için somut açıklama ve ilgili portal bağlantısı isteniyor
  • Ben hep, harici bir sağlayıcının API'sine gönderdiğim her şeyin kalıcı olarak saklandığını varsaydım. Aksini düşünmek daha safça geliyor. Bu, bir uygulamanın web takibi yapmadığına inanmak kadar saf bir tavır
    • En kötüsünü varsaymak akıllıca ama hiçbir direnç göstermeden en kötü duruma boyun eğmek aptalca
    • Gizlilik nihilizmi de sonuçta kişinin kendi tercihi
  • OpenAI'nin "güven ve gizlilik temel değerlerimizdir; veri yönetimi araçları ve silme seçenekleri sunuyoruz" şeklindeki resmî tutumuna katılmıyorum. Ek ücret ödeyince gizlilik sunuyormuş gibi pazarlıyorlar ama Pro kullanıcıları bile bu "gizliliğe" sahip değil. Defalarca bilgi silme talebine rağmen model ve eğitim verilerindeki kişisel bilgileri silmeyi reddediyorlar
    • Tüm kullanıcılar opt-out yapabilir. ChatGPT Plus, Pro ve Free'de veri paylaşımı varsayılan olarak açıktır ama herkes eğitim verisi kullanımını kapatabilir. Varsayılan olarak kapalı olan yalnızca Enterprise'tır. Kaynak: What if I want to keep my history on but disable model training?
    • Bu tür resmî ifadeler kurumsal bir "trustwashing" örneğinden ibaret. Muğlak terimler, kulağa hoş gelen retorik ve içi boş değerler dışında bir şey yok