Keşfedin

Biz kimiz

Ne yapıyoruz

Kaynaklar

Kariyer

Global Search

SysArt içinde arayın

AI transformationOn-prem AIsystems thinkingleadership
YZ Danışmanlığı

YZ stratejisi, mimari ve yönetişim kararlarını netleştirin.

 Danışmanlık

YZ dönüşümü, özel AI mimarisi ve organizasyon tasarımı.

 Yazılar

Sistem düşüncesi, çeviklik, AI ve dönüşüm yazıları.

 İletişim

Stockholm ofisine ve danışmanlık ekibine doğrudan ulaşın.

Yazı

Uyumlu Yerinde Yapay Zeka Sistemleri İçin Veri Saklama ve Temizleme Politikaları

On-Premises AI · Data Security · AI Architecture · Best Practices · Advanced

AB Yapay Zeka Yasası günlük tutma gereksinimleri ile KVKK/GDPR veri minimizasyonunu dengeleyen veri saklama ve güvenli silme politikalarının, yapay zeka sistemi veri yaşam döngüsü üzerinde tam kontrol sağlayan yerinde altyapıyla nasıl tasarlanacağı.

Yerinde yapay zeka sistemleri için güvenli veri depolama ve yaşam döngüsü yönetimini temsil eden sunucu odası kabloları ve ağ altyapısının yakın çekimi

Her Şeyi Kaydetmek ile Hiçbir Şey Saklamamak Arasındaki Gerilim

Yüksek riskli yapay zeka sistemleri dağıtan kuruluşlar, bilinçli mimari seçimler olmadan çözülmesi güç bir düzenleyici gerilimle karşı karşıyadır. Bir tarafta, AB Yapay Zeka Yasası, yüksek riskli yapay zeka sistemlerinin sağlayıcıları ve dağıtıcılarından şeffaflık, doğruluk, sağlamlık ve insan gözetimi gereksinimleriyle uyumu gösteren günlükler, belgeler ve kayıtlar tutmalarını gerektirmektedir. Bu günlükler, düzenleyici inceleme ve olay soruşturmasına olanak tanıyan süreler boyunca saklanmalıdır. Diğer tarafta, GDPR kişisel verilerin işlendikleri amaçlar için gerekli olandan daha uzun süre tutulmamasını gerektirmekte ve veri minimizasyonunu temel bir ilke olarak zorunlu kılmaktadır.

Bu iki yükümlülük çelişkili değildir, ancak bir tasarım zorluğu yaratır. Girdilerinde, erişim bağlamlarında veya çıktılarında kişisel veri işleyen yapay zeka sistemleri, kişisel veri içerebilecek günlük kayıtları oluşturur. Kullanıcılar tarafından gönderilen istemler, kurumsal bilgi tabanlarından erişilen belgeler, bireylere atıfta bulunan model yanıtları ve kişisel kayıtları içeren ajan eylemleri, veri koruma etkileri olan günlük girişleri oluşturur.

Çözüm, veri kategorileri arasında ayrım yapan, her birine uygun saklama süreleri atayan ve yerinde yapay zeka platformu içinde otomatik olarak çalışan güvenli silme mekanizmaları uygulayan yapılandırılmış bir veri saklama ve temizleme politikasıdır.

Yapay Zeka Sistemi Yaşam Döngüsündeki Veri Kategorilerini Haritalama

Saklama politikaları tanımlamadan önce, kuruluşların yapay zeka sistemlerinin ürettiği, işlediği ve depoladığı veri kategorilerinin net bir envanterine ihtiyacı vardır. Her kategorinin farklı saklama gereksinimleri, farklı hassasiyet seviyeleri ve farklı düzenleyici değerlendirmeleri vardır.

Eğitim ve ince ayar verileri, modelleri eğitmek, ince ayar yapmak veya değerlendirmek için kullanılan veri setlerini içerir. AB Yapay Zeka Yasası, eğitim verisi yönetişim önlemlerinin veri kaynağı, hazırlık ve uygunluk bilgileri dahil olmak üzere belgelenmesini gerektirmektedir. Eğitim verisi kişisel veri içeriyorsa, GDPR Madde 5(1)(e) saklama sınırlaması gerektirmektedir.

Çıkarım günlükleri, model çıkarım isteklerinin girdilerini, çıktılarını ve meta verilerini kaydeder. Bunlar genellikle en hassas kategoridir çünkü kullanıcıların yapay zeka sistemine gönderdiği kişisel veriler, gizli iş bilgileri veya düzenlenmiş veriler dahil gerçek içeriği içerebilir.

RAG sistemlerindeki erişim günlükleri, hangi belgelerin erişildiğini, hangi kaynakların atıflandığını ve erişim sonuçlarının nasıl sıralandığını ve filtrelendiğini kaydeder. Ajan eylem günlükleri, yapay zeka ajanları tarafından alınan kararları, araç çağrılarını ve dış sistem etkileşimlerini kaydeder. Bunlar insan gözetimi ve olay soruşturması için kritiktir.

Model yapıtları ve yapılandırma anlık görüntüleri, model ağırlıkları, istem şablonları, koruma bariyeri yapılandırmaları ve sistem ayarlarını içerir. Bunlar herhangi bir zamandaki sistemin tam durumunu yeniden oluşturmak için gereklidir. Değerlendirme ve test kayıtları, model performansını, önyargı değerlendirmelerini ve güvenlik testi sonuçlarını belgelemektedir.

Her İki Düzenlemeyi de Karşılayan Saklama Süreleri Tasarlama

Saklama süreleri veri kategorisi başına tanımlanmalı ve hizmet ettikleri belirli amaçlarla gerekçelendirilmelidir. Pratik bir yaklaşım, her veri kategorisini birincil amaçlarına, düzenleyici tetikleyicilerine ve maksimum saklama süresine eşleyen bir saklama matrisi oluşturmaktır.

Kişisel veri içeren çıkarım günlükleri için yaygın bir yaklaşım, tam günlükleri olay tespiti ve soruşturması için yeterli bir süre, tipik olarak 30 ila 90 gün boyunca saklamak, ardından trend analizi, model performans izleme ve denetim kanıtı için daha uzun süre saklanabilecek indirgenmiş bir veri seti oluşturmak üzere anonimleştirme veya takma adlandırma uygulamaktır.

Ajan eylem günlükleri için, bu günlükler düzenleyici incelemeye veya yasal itirazlara tabi olabilecek otonom kararları belgelediğinden, daha uzun saklama tipik olarak haklı çıkarılır. Yapay zeka sisteminin risk sınıflandırmasına ve desteklediği kararların niteliğine bağlı olarak 12 ila 36 aylık saklama süreleri yaygındır.

Eğitim verisi için saklama sorusu, kuruluşun modelin ömrü boyunca veri kaynağı ve yönetişimi göstermesinin gerekip gerekmediğine bağlıdır. Birçok durumda, kaynak kayıtları, hazırlık adımları ve istatistiksel profiller dahil eğitim verisi hakkında ayrıntılı belgelerin tutulması, ham eğitim verisinin kendisini saklamadan AB Yapay Zeka Yasası gereksinimlerini karşılamak için yeterlidir.

Bu saklama süreleri hukuk, veri koruma ve uyum ekipleriyle incelenmeli ve kuruluşun yapay zeka yönetişim politikası çerçevesinde belgelenmelidir.

Yerinde Altyapıda Otomatik Saklama ve Temizleme Uygulama

Saklama politikaları tanımlamak gereklidir ancak yeterli değildir. Politikalar, tutarlı uygulamayı sağlamak için yerinde yapay zeka platformu içinde otomatik süreçler olarak uygulanmalıdır. Manuel temizleme süreçleri güvenilmez, denetlenmesi zor ve hem aşırı saklama hem de erken silme eğilimindedir.

Yerinde altyapı, saklama otomasyonunu hassasiyetle uygulamak için gerekli kontrolü sağlar. Veri kategorisine göre ayrıntılı saklama: Her veri kategorisine farklı depolama katmanları ve yaşam döngüsü politikaları uygulanabilir. Çıkarım günlükleri otomatik sona erme özellikli zamana göre bölümlenmiş bir depoya yönlendirilebilirken, model yapıtları süresiz saklama ile sürümlenmiş bir kayıt defterinde depolanır.

Otomatik anonimleştirme hatları: Tam günlükler sona ermeden önce, otomatik bir hat uzun vadeli saklama için gereken verileri çıkarabilir ve anonimleştirebilir. Kişisel tanımlayıcılar kaldırılır veya tokenlarla değiştirilirken, verilerin analitik yapısı korunur.

Kriptografik silme: Müşteri tarafından yönetilen anahtarlarla şifrelenen veriler için, her depolama konumunun üzerine yazmak yerine şifreleme anahtarlarının imha edilmesiyle güvenli silme sağlanabilir. Yerinde anahtar yönetim sistemleri, kuruluşa imha dahil anahtar yaşam döngüsü üzerinde tam kontrol sağlar.

Silme için denetim izleri: Her otomatik silme veya anonimleştirme eylemi günlüğe kaydedilmeli, saklama politikalarıyla uyumu gösteren bir denetim izi oluşturulmalıdır.

Yapay Zeka Sistemi Günlüklerinde Veri Sahibi Haklarını Ele Alma

GDPR, veri sahiplerine kişisel verilerine erişim, düzeltme ve silme hakları dahil olmak üzere haklar tanımaktadır. Yapay zeka sistemi günlükleri kişisel veri içerdiğinde, kuruluşlar bu günlüklerle ilgili veri sahibi taleplerine yanıt verebilmelidir.

Bu pratik bir zorluk yaratır. Bir veri sahibi silme hakkını kullanırsa, kuruluşun yerinde yapay zeka platformu genelindeki çıkarım günlükleri, erişim günlükleri ve ajan eylem günlüklerinden kişisel verilerini bulması ve silmesi gerekebilir. Aynı zamanda, kuruluşun AB Yapay Zeka Yasası uyum kanıtlarının bütünlüğünü koruması gerekir.

Dengeli bir yaklaşım birkaç tasarım seçimi içerir. Birincisi, çıkarım günlükleri, kişisel tanımlayıcıların günlük girişinin geri kalanını yok etmeden bulunup kaldırılabilmesi için yapılandırılmış olmalıdır. İkincisi, anonimleştirme hattı, günlükler anonimleştirildikten sonra artık kişisel veri oluşturmadıkları için veri sahibi taleplerinin anonimleştirilmiş kayıtlara uygulanmaması şeklinde tasarlanmalıdır.

Üçüncüsü, kuruluş gizlilik bildirimlerinde yapay zeka sistemi günlüklerinin uyum ve meşru menfaat amaçları için belirlenmiş sürelerde saklanabileceğini belgelemeli ve işleme hukuki dayanağının saklama süresini kapsadığından emin olmalıdır.

Gelişen Bir Saklama Yönetişim Uygulaması Oluşturma

Yapay zeka sistemleri için veri saklama politikaları bir kez tanımlanıp unutulan statik belgeler olmamalıdır. Kuruluşun yapay zeka sistemleri geliştikçe, düzenleyici rehberlik daha spesifik hale geldikçe ve kuruluş saklama kararlarının pratik etkileriyle deneyim kazandıkça periyodik inceleme ve ayarlama gerektiren yönetişim araçlarıdır.

Bir saklama yönetişim uygulaması, her veri kategorisi için saklama sürelerinin yıllık incelemesini, gerçek olay soruşturma ihtiyaçları, denetim deneyimleri ve düzenleyici gelişmelerden bilgilendirilen bir değerlendirmeyi içerir. Saklama otomasyonunun amaçlandığı gibi çalıştığından emin olmak için depolama tüketimi ve silme hattı etkinliğinin izlenmesini içerir. Yapay zekaya özgü saklama politikalarının kuruluşun daha geniş veri koruma çerçevesiyle uyumlu kalmasını sağlamak için veri koruma fonksiyonuyla koordinasyonu içerir.

Sysart Consulting, kuruluşların hem AB Yapay Zeka Yasası belgeleme gereksinimleri hem de GDPR veri minimizasyon ilkelerini karşılayan yerinde yapay zeka sistemleri için veri saklama çerçeveleri tasarlamasına ve uygulamasına yardımcı olur. Bu, yapay zeka sistemi yaşam döngüsündeki veri kategorilerinin haritalanmasını, gerekçelendirilmiş saklama sürelerinin tanımlanmasını, otomatik saklama ve temizleme mekanizmalarının uygulanmasını, anonimleştirme hatlarının tasarlanmasını ve saklama politikalarını güncel ve etkili tutan yönetişim süreçlerinin oluşturulmasını içerir.

Öne çıkan görsel Kier in Sight Archives tarafından Unsplash üzerinde paylaşılmıştır.

← Yazılara dön