Galatasaray Üniversitesi Hukuk Fakültesi Bilişim ve Teknoloji Hukuku Anabilim Dalı Öğretim Üyesi Dr. Osman Gazi Güçlütürk, DeepSeek’in ani çıkışıyla gündeme gelen, büyük dil modellerinin hukuki yükümlülükleri konusunu AA Analiz için kaleme aldı.
***
Büyük dil modelleri (“LLM”) giderek daha fazla gündeme gelirken, veri kullanımı ve hukuki düzenlemeler çerçevesinde pek çok tartışmayı da beraberinde getiriyor. Son günlerde bu tartışmaların odağında, Çin merkezli DeepSeek tarafından geliştirilen ve sunulan r1 modeli yer alıyor. Değerlendirmelere göre DeepSeek r1, bazı alanlarda önde gelen OpenAI modeli o1 ile benzer performans sergiliyor. Bu durum, DeepSeek’in OpenAI kadar geniş insan ve donanım kaynağına sahip olmamasına rağmen kısa sürede rekabet edebilecek bir model geliştirmesiyle ayrıca dikkat çekti ve şirketin mobil uygulamasının uygulama marketlerinde üst sıralara yükselmesine neden oldu. Ancak, LLM’lerde sıkça görüldüğü gibi, veri kullanım dinamikleri ve ilgili düzenlemeler çerçevesinde bu süreçte de çeşitli gelişmeler yaşandı.
Neler oldu?
DeepSeek, AB veri koruma otoritelerinin dikkatini çekti. 28 Ocak 2025’te İtalya Veri Koruma Otoritesi (Garante), DeepSeek’ten kişisel veri işleme faaliyetlerinin hukuki dayanağı, yapılan bilgilendirmeler ve verilerin nerede saklandığına dair bilgi talep etti ve 20 gün süre verdi [1]. Bunu, İrlanda Veri Koruma Otoritesi’nin (DPC) sorduğu sorular [2] ve Fransız Veri Koruma Otoritesi’nin (CNIL) inceleme duyurusu [3] izledi. 30 Ocak’ta ise Garante, DeepSeek’in sunduğu bilgilerin yetersiz olduğunu belirterek şirketin İtalyan kullanıcılardan veri toplamasını yasakladı [4]. Bu kararı, İtalya’daki uygulama mağazalarında DeepSeek’in yasaklanması izledi. Garante daha önce, Nisan 2024’te ChatGPT için benzer bir yasak getirmiş ancak taahhütler sonrasında yasağı kaldırmıştı. Aralık 2024’te ise OpenAI’a 15 milyon avro para cezası vermiş ve altı ay boyunca kamuoyunu bilgilendirme kampanyası yürütmesini zorunlu kılmıştı [5].
Fikri haklar alanında da önemli gelişmeler yaşanıyor. OpenAI ve diğer üretken yapay zeka şirketleri, çeşitli ülkelerde hukuki mücadeleler [6] verirken, son olarak New York Times [7] ve Hindistan merkezli ANI haber ajansının [8] açtığı davalar gündeme geldi. OpenAI ayrıca, DeepSeek’in kendi modelini geliştirmek için OpenAI modellerini kullandığını iddia ederek haksız rekabet ve fikri haklar konusunda yeni bir cephe daha açtı [9].
Hukuki düzenlemeler ne diyor?
Büyük dil modellerinin geliştirilmesinde veri setlerinin nasıl kullanılacağı tek bir düzenlemeye tabi değil. Kullanılan verinin türüne göre farklı sorular ve düzenlemeler gündeme gelebiliyor. Ancak örneklerde de görüldüğü üzere, kişisel verilerin korunması ve fikri haklar bu konuda öne çıkıyor.
Türkiye’de, bu alandaki temel düzenlemeler 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve 5846 sayılı Fikir ve Sanat Eserleri Kanunu (FSEK) ile yapılmaktadır. Kişisel veriler ile fikri ürünler farklı esaslara tabi olsa da, temelde her ikisinin kullanımında da kanunda öngörülen sınırlı ve/veya istisnai haller mevcut değilse bir tür onay gerekiyor. KVKK kapsamında sınırlı olarak sayılan sebeplerden biri yoksa kişinin açık rızası, FSEK kapsamında ise istisnalardan biri mevcut değilse eser sahibinin onayı alınmadan yapılacak kullanımlar hukuka aykırı kabul ediliyor.
Bu noktada hukuk sistemleri arasındaki farklılıklar da önem taşıyor. Türk hukuku, fikri haklar bakımından ABD hukukuyla; KVKK açısından ise —2025 yılı Cumhurbaşkanlığı Yıllık Programı kapsamında yıl sonuna kadar uyumun sağlanması beklense de— AB’nin (yukarıda belirtilen yasak ve soruşturmalara dayanak teşkil eden) Genel Veri Koruma Tüzüğü (GDPR) ile birebir uyumlu değil. Kişisel verilerin korunmasında Türk ve AB hukukunda ayrıca kişilerin bilgilendirilmesi ve güvenlik önlemlerinin alınması gerekiyor. ABD’de ise federal ve kapsayıcı bir düzenleme olmadığından, kişisel verilerin ticari amaçlarla işlenmesi daha kolay. Fikri haklar açısından ABD, AB ve Türk hukuku temel prensiplerde büyük ölçüde benzerlik gösterse de ABD’de daha geniş kapsamlı istisnalar mevcut.
İnternetteki veriler serbestçe kullanılabilir mi?
LLM’lerin geliştirilmesi için oldukça büyük hacimli veri setleri gerekiyor. Gelişmiş modellerin eğitimi için kullanılan veri setlerine dair ayrıntılar, güncel modellerde her zaman detaylı şekilde açıklanmasa da, bu verilerin büyük çoğunluğunun internette herkese açık kaynaklardan toplandığı biliniyor.
Bu noktada internet üzerinde serbestçe erişilebilen verilerin yine serbestçe kullanılmasının mümkün olup olmadığı sorusu öne çıkıyor. Önemle belirtmek gerekir ki gerek kişisel verilerde gerekse fikri eserlerde bir verinin internet üzerinden serbestçe erişilebilir şekilde paylaşılmış olması bu verinin serbestçe kullanılabilmesine de izin verildiği anlamına gelmiyor. Özellikle bir eserin yalnızca internet ortamında bulunuyor olması, sahibinden izin alınmadan kullanılmasını meşrulaştırmıyor. Türk ve AB hukukunda bu çoğunlukla ihlal sayılırken, ABD hukukunda ise özellikle “adil kullanım” (fair use) istisnasının incelenmesi gerekiyor.
Kişisel verilerin korunması bakımından da serbestçe erişilebilen verilerin kullanımı ayrıca önem taşıyor. GDPR kapsamında, bu verilerin işlenmesinin olası sonuçlarını da gözeten bir meşru menfaat analizi yapmak gerekiyor. KVKK’da ise verinin doğrudan ilgili kişi tarafından alenileştirilmesi açık rızanın gerekmediği hallerden biri olarak düzenleniyor ama bu da genel bir işleme serbestisi anlamına gelmiyor. Bu kapsamda serbestçe erişilebilir bir verinin rıza gerekmeksizin işlenebilmesi için baştaki alenileştirme amacına uygun davranmak gerekiyor. Örneğin, bir ürün ilanında paylaşılan telefon numarasını reklam aramaları için kullanmak veya sosyal medyada paylaşılan bir profil fotoğrafını yapay zeka modeli eğitmek amacıyla izinsiz işlemek, bu kapsamda değerlendirilmesi güç örneklerdir. Bu durumda KVKK’da da meşru menfaat analizine başvurulması veya rıza alınması gerekebilir.
Veri üzerindeki kontrol, veri paylaşımı ve ulusal güvenlik
DeepSeek’in Çin merkezli olması, verinin değeri ve güvenliği bakımından farklı bir boyutu gündeme getiriyor. Yapay zeka şirketleri küresel ölçekte faaliyet gösterseler de, belirli bir hukuki merkeze ve verilerini sakladıkları fiziksel bir konuma sahipler. Bu iki unsur, hem şirketlerin denetlenmesi ve hesap verebilirliği hem de verilere kimlerin erişebileceği bakımından önem taşıyor. DeepSeek özelinde, şirketin merkezi Çin’de bulunuyor ve DeepSeek’in gizlilik politikasında açıkça belirtildiği üzere [10], veriler de Çin’de tutuluyor.
Elbette her hukuk sisteminde, kamu kurumlarının ve otoritelerin o ülkede faaliyet gösteren şirketlerden belirli bilgi ve belgeleri talep etmesine imkan tanıyan düzenlemeler bulunur. Ancak Çin, bu konuda özel bir konuma sahip. Merkezi hükümetin siyasi ve hukuki gücüne ek olarak, 2017 tarihli siber güvenlik kanunu uyarınca Çin’de faaliyet gösteren şirketlerin belirli verileri Çin’de tutması ve hem denetim hem de veri paylaşımı konusunda otoritelerle iş birliği yapması zorunlu kılınıyor. Çin’in bu özel durumu ve yapay zeka alanında artan rekabet gücü nedeniyle, DeepSeek gibi güçlü bir modelin ve verilerinin kontrolünün Çin’de olması, ABD’de potansiyel bir ulusal güvenlik sorunu olarak değerlendiriliyor [11].
Yapay zeka yarışında veriyi korumak
Tüm bu gelişmeler, yapay zeka yarışında verinin yalnızca mahremiyet açısından değil, aynı zamanda ticari ve stratejik değer bakımından da ne kadar kritik bir unsur olduğunu gösteriyor. Gelişmiş yapay zeka sistemleri için veri, fiziksel altyapıya erişim kadar önem taşıyor. Bu sistemlerin veri işleme yoluyla edinebileceği bilgiler ve muhtemel etkiler dikkate alındığında, bireylerin dijital çağda verilerin korunamayacağı düşüncesine kapılmadan farkındalık oluşturması; şirketler ve devletler açısından ise verinin sunduğu fırsatlardan yararlanırken hukuki çerçeveden ve güvenlikten taviz vermemesi büyük önem taşıyor.
[1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10096856#english.
[2] https://techcrunch.com/2025/01/29/italy-sends-first-data-watchdog-request-to-deepseek-the-data-of-millions-of-italians-is-at-risk/.
[3] https://www.reuters.com/technology/artificial-intelligence/french-privacy-watchdog-quiz-deepseek-ai-data-protection-2025-01-30/.
[4] https://garanteprivacy.it/home/docweb/-/docweb-display/docweb/10097450.
[5] https://garanteprivacy.it/home/docweb/-/docweb-display/docweb/10085432#english.
[6] https://chatgptiseatingtheworld.com/2024/08/27/master-list-of-lawsuits-v-ai-chatgpt-openai-microsoft-meta-midjourney-other-ai-cos/.
[7] https://www.npr.org/2025/01/14/nx-s1-5258952/new-york-times-openai-microsoft.
[8] https://www.reuters.com/technology/artificial-intelligence/indian-news-agency-ani-sues-openai-unsanctioned-content-use-ai-training-2024-11-19/.
[9] https://www.ft.com/content/a0dfedd1-5255-4fa9-8ccc-1fe01de87ea6.
[10] https://chat.deepseek.com/downloads/DeepSeek%20Privacy%20Policy.html.
[11] https://www.reuters.com/technology/artificial-intelligence/white-house-evaluates-china-ai-app-deepseeks-affect-national-security-official-2025-01-28/.
[Dr. Osman Gazi Güçlütürk, Galatasaray Üniversitesi Hukuk Fakültesi Bilişim ve Teknoloji Hukuku Anabilim Dalı Öğretim Üyesidir.]
*Makalelerdeki fikirler yazarına aittir ve Anadolu Ajansının editoryal politikasını yansıtmayabilir.
