ÖZET

Günümüzde, küresel çapta ilgi gören yapay zeka teknolojileri, çeşitli sektörlere önemli fırsatlar sunarken etik, veri güvenliği, uyum ve benzeri pek çok perspektiften ise karmaşık sorunları beraberinde getirmektedir. En geniş kullanıcı kitlesine ulaşmayı hedefleyen söz konusu teknolojiler, mahremiyet ve veri gizliliğinin yanı sıra politik perspektiften de dikkat çekmektedir. Yapay zeka teknolojilerinin kullanıcı etkileşimleriyle kendini geliştirmesi, rekabet ortamında en geniş kullanıcı kitlesine hitap eden modelin en çok veriye erişip kendini en hızlı geliştiren model haline gelmesine yol açmaktadır. Son dönemde, yapay zeka teknolojilerine ilişkin tartışmalar devam ederken Çin menşeli DeepSeek şirketinin geliştirdiği R1 modelinin kullanımı, hukuki sorumluluklar, veri gizliliği, siber güvenlik ve benzeri kritik noktalar dikkate alınarak birçok ülkede yasaklanmaya başlanmıştır.

GİRİŞ

2023 yılında kurulan Çin Halk Cumhuriyeti ("Çin") menşeli yapay zeka şirketi Hangzhou DeepSeek Hangzhou DeepSeek Artificial Intelligence Co., Ltd. ile Beijing DeepSeek Artificial Intelligence Co., Ltd. ("DeepSeek"), 2025 yılının Ocak ayında kendi platformlarında açık kaynaklı geniş dil modelleri (large language models) geliştiren bir yapay zeka modeli olan R1'i ("R1") küresel çapta piyasaya ilk kez arz etmiştir.

DeepSeek'in piyasaya arz ettiği R1 modeli, ücretsiz olması, üstün performansı ve abonelik gerektirmemesi sebepleriyle kullanıcı dostu olması ve hatta kişisel bilgisayarlarda bile sorunsuz çalışabilmesi sayesinde geniş kitlelere ulaşarak yapay zeka dünyasında ezberleri bozmuş ve büyük bir rekabetin fitilini ateşlemiştir. Özellikle Çin'den gelen bu yenilik, Silikon Vadisi devlerini derinden etkilemiş ve yapay zeka endüstrisinde yeni bir dönemin başlangıcına işaret etmiştir. DeepSeek'in küresel etkisi, yapay zeka teknolojilerinin erişilebilirliğini artırmakla birlikte kullanıcı verilerinin güvenliği konusunda önemli soruları gündeme getirmek olmuştur. İşbu makale, DeepSeek'in yapay zeka modellerine yönelik kişisel verilerin korunması, mahremiyet ve siber güvenlik hususlarında devletler ile yetkili otoritelerin muhtelif çekincelerine istinaden uyguladıkları yaptırımlar ve verdikleri talimatlar hakkında kapsamlı bilgi sunmaktadır.

I. DEEPSEEK TARAFINDAN GELİŞTİRİLEN YAPAY ZEKA MODELİNE GENEL BAKIŞ

R1, Çin'de küçük bir girişim olarak faaliyetlerine başlayan ve büyük dil modelleri ile gelişmiş yapay zeka çözümleri geliştiren DeepSeek tarafından bir açık kaynak modeli olarak piyasaya arz edilmiştir. DeepSeek, rakipleri OpenAI'nın GPT'si veya Google'nin Gemini'si gibi insan benzeri metin üretme ve çıkarım yapma yeteneğine sahip bir büyük dil modeli olmasının yanı sıra geliştiriciler ile kurumsal ve bireysel kullanıcılar için yapay zeka araçları, uygulama programlama arayüzleri ve platformlar sunan kapsamlı bir ekosistemdir. Açık kaynaklı, yüksek verimli ve erişilebilir yapısıyla dikkat çeken DeepSeek, farklı kullanıcı gruplarına çeşitli avantajlar sağlamaktadır. İşletmeler için maliyet tasarrufu, operasyonel verimlilik ve sektöre özel çözümler sunarken geliştiriciler için açık kaynak avantajıyla ücretsiz erişim ve yapay zeka tabanlı ürünler geliştirme imkanı tanımaktadır. Bireyler ise, kişisel ve/veya profesyonel işlerinde, öğrenme süreçlerinde ve girişimcilik faaliyetlerinde DeepSeek'i ücretsiz olarak kullanabilmektedir.

Bu yönleriyle DeepSeek, hem bireysel hem de kurumsal kullanıcılar için yenilikçi ve uygun maliyetli bir yapay zeka çözümü sunmaktadır.

DeepSeek, sunduğu hizmetlerle rakiplerine karşı güç kazanırken bazı ülkelerde veri gizliliği bakımından sağladığı korumanın yetersiz olduğu iddiaları ve ilişkili nedenlerle yasaklanmıştır. Yapay zeka tabanlı modellerin gelişimi, büyük ölçüde son kullanıcılar ile etkileşime bağlı olduğundan R1'in belirli ülkelerde yasaklanması DeepSeek'in rekabet gücünü zayıflatabilecek bir unsur olarak değerlendirilmektedir.

II. DÜNYA'DA DEEPSEEK'E YÖNELİK TEPKİLER VE DÜZENLEYİCİ MÜDAHALELER

Yapay zeka teknolojilerinin hızla yaygınlaşması, dünya genelinde yarattığı heyecanın yanı sıra çeşitli endişeleri de beraberinde getirmektedir. Şirket'in veri işleme faaliyetlerinin, özellikle kullanıcı verilerinin toplanmasına, işlenmesine, saklanmasına ve aktarılmasına yönelik politikalar bakımından yeterli şeffaflık sağlanmaması ve söz konusu faaliyetlerin Çin mevzuatına uygun şekilde yürütülmesine karşın farklı ülkelerin veri koruma düzenlemeleriyle uyumsuzluk göstermesi, DeepSeek'e yönelik eleştirilerin temelini oluşturmaktadır. Bu doğrultuda, DeepSeek, giderek daha fazla düzenleyici ve denetleyici otoritenin dikkatini çekmekte ve daha sıkı incelemelere tabi tutulmaktadır.

Zira, DeepSeek'in gizlilik politikasında1 açıkça belirtildiği üzere toplanan tüm kullanıcı verilerinin Çin'de bulunan sunucularda saklanması, DeepSeek politikalarının (i) Çin hükümetinin ulusal istihbarat toplama faaliyetlerini düzenleyen 2017 tarihli Ulusal İstihbarat Yasası2 ("NIL") ve (ii) veri yönetimi rejimini sıkılaştırarak veri toplama, işleme, saklama ve aktarım süreçlerini düzenleyen 2021 tarihli Veri Güvenliği Yasası3 ("DSL") ile uyumunu gerektirmektedir. Anılan yasalardan NIL çerçevesinde gerçek ve tüzel kişilerin Çin milli istihbarat çalışmalarını destekleme, yardımcı olma ve bu doğrultuda iş birliği yapma yükümlülüğünü öngörürken ulusal istihbarat kurumlarının da ilgili kuruluşlardan ve bireylerden gerekli destek, yardım ve işbirliğini talep edebileceğine yer verilmiştir. Bu durum ise, Çin'deki sunucularda saklanan veriler nezdinde özellikle devlet güvenliği veya istihbarat amaçları için veriye erişim talep etme hakkı sağlayabilmekte ve DeepSeek'in kullanıcı verilerinin güvenliği açısından ciddi riskler oluşturabilmektedir. Söz konusu düzenlemeler gözetildiğinde, DeepSeek'in küresel pazarda güvenilirliği düzenleyici kurumlar tarafından sorgulanmaktadır.

A. İTALYA4

İtalya, şu ana kadar DeepSeek modelinin kullanımını yasaklayan ilk ve tek Avrupa Birliği ("AB") üye devleti olmuştur. İtalyan Veri Koruma Otoritesi ("Garante"), İtalya'nın en önemli tüketici hakları örgütlerinden biri olan Altroconsumo tarafından yapılan başvuruya istinaden 28 Ocak 2025 tarihinde DeepSeek'ten toplanan kişisel veri kategorileri, modelin eğitimi için toplanan verilerin kaynakları, veri işlemenin amaçları ve hukuki sebepleri, kişisel verilerin Çin'deki sunucularda barındırılıp barındırılmadığı ve ilgili kişilerin bilgilendirilip bilgilendirilmediği hakkında bilgi talebinde bulunmuştur. DeepSeek ise, 29 Ocak 2025 tarihinde söz konusu bilgi talebine verdiği yanıtta, şirketin İtalyan pazarında hiçbir faaliyet göstermediği ve göstermeyi hedeflemediğini belirterek DeepSeek uygulamasını yerel uygulama marketlerinden kaldırdığını da gerekçe göstererek Genel Veri Koruma Tüzüğü ("GVKT")'ne5 tabi olmadığını öne sürmüştür.

Garante, DeepSeek'in anılan yanıtını da gözeterek gerçekleştirmiş olduğu incelemeler neticesinde her ne kadar DeepSeek uygulamalarının, lokal uygulama marketlerinden kaldırıldığını teyit etmiş olsa da DeepSeek yapay zeka sisteminin halen İtalyan kullanıcılar tarafından internet sitesi vasıtasıyla erişilebilir olması nedeniyle GVKT'nin 3/2(a) maddesi uyarınca DeepSeek'in veri işleme faaliyetlerinin GVKT'ye tabi olduğuna karar vermiştir. 30 Ocak 2025 tarihinde verilen söz konusu karar kapsamında (i) DeepSeek'in gizlilik politikasında GVKT'nin 6'ncı maddesinde yer alan hukuki sebepler de dahil GVKT'nin diğer ilgili maddelerinde yer alan gerekli bilgilere açıkça yer verilmemiş olması (GVKT, md. 12, 13 ve 14), (ii) AB'de yerleşik bir temsilci atanmamış olması (GVKT, md. 27), (iii) Garante tarafından talep edilen tüm bilgilere yanıt verilmemesinden kaynaklı olarak yetkili veri koruma otoritesi ile gerekli iş birliği mekanizmasının tesis edilmemesi (GVKT, md. 31) ve (iv) kişisel verilerin Çin'de barındırılması nedeniyle GVKT'de öngörülen gerekli güvenlik düzeyinin sağlanmaması (GVKT, md. 32) gerekçeleriyle DeepSeek yapay zeka modelinin GVKT ile uyumlu olmadığı tespit edilerek ülkede kullanımı yasaklanmıştır.

Söz konusu yaptırım, Garante'nin yapay zeka modellerine / sistemlerine yönelik uyguladığı ilk yaptırım olmayıp otorite, 20 Aralık 2024 tarihinde OpenAI'nın ChatGPT yapay zeka sisteminin GVKT'ye uyumlu olmadığı gerekçesiyle yaklaşık iki yıl süren soruşturma süreci neticesinde OpenAI aleyhinde 15 milyon avro idari cezasına hükmetmiştir.

B. ABD

Amerika Birleşik Devletleri'nde ("ABD") DeepSeek'e yönelik ciddi güvenlik endişeleri nedeniyle çeşitli kısıtlamalar getirilmiştir. Teknoloji dünyası ve girişimcilik ekosistemine ilişkin bir haber platformu olan Techcrunch haberi6 uyarınca kısıtlamalar ve gerekçelerine aşağıdaki şekilde yer verilmiştir:

ABD Temsilciler Meclisi tarafından ABD kongresine bağlı ofislere gönderilen duyuruda DeepSeek'in inceleme altında olduğu belirtilmiştir. Haber kuruluşu Axios tarafından edinilen bilgilere göre ilgili duyuruda, DeepSeek'in kötü niyetli kişilerin kötü amaçlarla yazılımı dağıtmak ve cihazları zararlı yazılımlarla etkileyerek siber güvenlik zafiyeti adına kullanıldığı ifade edilmiştir. Bu gerekçelere dayanarak ABD Temsilciler Meclisi, tüm meclis cihazlarında DeepSeek'in işlevselliğini kısıtlayan güvenlik önlemleri almıştır. Ayrıca personelin DeepSeek uygulamalarını resmi görev kapsamında kullanılan cep telefonları, bilgisayarlar veya tabletlere yüklemesini yasaklamıştır.7 Teksas Valiliği, Çin menşeli yazılımların güvenlik riski oluşturduğunu ifade etmiş ve bu doğrultuda eyaletin resmi kurumları tarafından kullanılan cihazlarda söz konusu yazılımların kullanılmasını yasaklayan bir kararname yayımlamıştır. Karar metninde DeepSeek'e doğrudan yer verilmemiş olsa da Valiliğin resmi internet sitesinde8 DeepSeek'e atıf yapılarak söz konusu yasaklı teknolojiler sayılmıştır. Haber kuruluşu CNBC'nin edindiği bilgilere göre ABD Donanması tarafından personeline gönderilen bir e-postada, DeepSeek ürünlerinin kullanımının tamamen yasaklandığı bildirilmiştir. Yasak kararının gerekçesi olarak, DeepSeek'in kökenine ve kullanımına ilişkin «potansiyel güvenlik açıkları ve etik kaygılar» gösterilmiştir. E-postada DeepSeek'in "görevle ilgili faaliyetlerde ya da kişisel amaçlarla kesinlikle kullanılmaması" gerektiği özellikle vurgulanmıştır.9 NASA'nın baş yapay zeka yetkilisi tarafından personele gönderilen bildiride, (i) DeepSeek'in sunucularının ABD dışında faaliyet göstermesinin ulusal güvenlik açısından risk teşkil ettiği, (ii) DeepSeek'in NASA'nın verileriyle entegrasyonunun veya devlet tarafından tahsis edilen cihazlar ile ağlarda kullanımının yetkilendirilmediği ve (iii) personelin NASA cihazları ile NASA tarafından yönetilen ağ bağlantıları üzerinden DeepSeek'e erişiminin yasaklandığı ifade edilmiştir10.

Yukarıdaki bilgiler doğrultusunda ABD, DeepSeek'in Çin sunucularında faaliyet göstermesini ulusal güvenlik açısından potansiyel bir tehdit olarak değerlendirerek özellikle devlet kurumları, savunma sanayii ve askeri birimler ve benzeri kritik alanlarda söz konusu teknolojinin kullanımını yasaklamıştır.

C. AVUSTRALYA

Avustralya hükümeti, 4 Şubat 2025 tarihinde yayımladığı yönerge11 ile DeepSeek'in ürünlerine, uygulamalarına ve internet hizmetlerine, kamu kurumları ve kuruluşları tarafından erişimi yasaklamıştır. İlgili karar devlet organlarında çalışanları doğrudan etkilemekte olup yasağın eğitim kurumları ve benzeri diğer kamu sektörü cihazlarını kapsayıp kapsamadığına dair belirsizlikler devam etmektedir. Ancak kişisel cihazların bu yasak kapsamında olmadığı belirtilmiştir. Yasağın arkasındaki temel gerekçe ise, DeepSeek'in yazılımsal altyapısının hassas devlet bilgilerini yetkisiz erişimlere karşı savunmasız hale getirme riskidir. Siber güvenlik uzmanları, DeepSeek'in tasarımındaki potansiyel güvenlik açıklarının, siber suçlular için önemli bir hedef haline gelmesine yol açabileceği konusunda uyarılarda bulunmuştur. Avustralya Siber Güvenlik Merkezi tarafından yayımlanan raporda, DeepSeek'in uçtan uca şifreleme eksikliklerinin ve Çin sunucularına olan bağımlılığının, siber saldırganların verilere erişmesini ve bunları manipüle etmesini mümkün kılabileceği, bu sebeple ulusal ve halk güvenliği açısından ciddi bir tehdit oluşturabileceği belirtilmiştir12.

D. GÜNEY KORE

DeepSeek, Güney Kore Kişisel Veri Koruma Komitesi'nin ("PIPC") 17 Şubat 2025 tarihinde duyurduğu basın açıklamasında13 yer verdiği üzere, kişisel veri koruma yasalarına uyumunu geliştirme amacıyla uygulamasını PIPC'nin tavsiyesiyle ilgili platformlardan yeni kullanıcılara geçici olarak kaldırma kararı almıştır. Ancak ilgili karar öncesinde DeepSeek'i indiren mevcut kullanıcılar, uygulamanın mevcut sürümünü ve internet sitesini kullanmaya devam edebilecektir. DeepSeek'in, ülkenin kişisel veri koruma yasalarına uyumlu hale getirilmesi için gerekli "iyileştirmeler ve düzeltmeler" yapıldığında, uygulamanın yeniden Güney Koreli kullanıcılara sunulacağı belirtilmiştir. Yasağın duyurulmasından bir gün sonra Güney Kore merkezli bir haber ajansı olan Yonhap tarafından yapılan habere göre PIPC, DeepSeek'in kullanıcı verilerini Çin merkezli ve Tiktok'u bünyesinde bulunduran ByteDance'e aktardığını doğrulamış fakat hangi verilerin, ne ölçüde aktarıldığının henüz belirlenemediğini belirtmiş ve DeepSeek'ten veri toplama ve yönetim yöntemleri konusunda açıklama talep etmiştir. DeepSeek, Güney Kore'de bir temsilci atadığını, yerel koruma yasalarını dikkate alma konusunda eksiklikler olduğunu kabul ettiğini açıklayarak PIPC ile aktif iş birliği yapma isteğini vurgulamıştır14.

E. TAYVAN

Çin ile arasında hukuki statü ve egemenlik unsurlarına dayalı süregelen uyuşmazlık bulunan Tayvan'da, Tayvan Dijital İşler Bakanlığı tarafından 3 Şubat 2025 tarihinde yapılan açıklamada15, DeepSeek'in ulusal bilgi güvenliğini tehdit ettiği gerekçesiyle, kamu kurumları ve kritik altyapılar tarafından kullanılmaması gerektiği belirtilmiştir. Bakanlık, söz konusu önlemin merkezi ve yerel hükümet kurumları çalışanlarını, devlet okullarını, kamu iktisadi teşebbüslerini, diğer yarı resmi kuruluşları ve kritik altyapı projelerinde görev yapanları ve ayrıca devlet tarafından finanse edilen vakıflarda çalışanları kapsadığını ifade etmiştir. Açıklamada DeepSeek'in yapay zeka modelinin Çin menşeli bir ürün olduğu ve sınır ötesi veri aktarımı ile bilgi sızıntısı gibi güvenlik riskleri taşıdığı vurgulanmıştır16.

SONUÇ

DeepSeek'in küresel ölçekte mevcut endişeleri gidermek adına güvenlik ve mahremiyet alanında gerçekleştireceği kapsamlı iyileştirmeler, uzun vadeli varlığını sürdürmesi ve rekabet gücünü arttırması açısından stratejik bir önem taşımaktadır. Zira DeepSeek'in yapay zeka sağlayıcıları ve yerleştiricileri ile süregelen rekabetinde daha etkin bir konuma ulaşabilmesi ancak ilgili çekinceleri gidermesi sonucu gerek bireysel gerek kurumsal kullanıcılara ve yetkili otoritelere güven tesis edebilmesi ile mümkün gözükmektedir.

şbu makalede ele alınan Garante'nin yerel kararı ve AB üye ülkelerinde yapılan benzer çalışmalar göz önünde bulundurulduğunda, üretken yapay zekanın hem teknolojik gelişmelerle hem de insan haklarıyla uyumlu bir şekilde dikkatlice düzenlenmesinin önemine dikkat çekilmektedir. Ayrıca özellikle AB dışındaki şirketler söz konusu olduğunda, kişisel verilerin işlenmesinde şeffaflık ve adil bir yaklaşımın kritik derecede önemli olduğu vurgulanmaktadır. DeepSeek'e yönelik bugüne değin verilen engelleyici / kısıtlayıcı kararlar, yapay zeka alanında çalışan sağlayıcılar, yerleştiriciler ve benzeri tüm oyuncular tarafından da dikkatle takip edilmeli ve geliştirme, test ile uygulama fazlarında önemli birer yol gösterici kılavuz olarak benimsenmelidir. Böylece, özellikle yetkili otoritelerle kişisel veri paylaşımı bakımından güvenliğin ve denetimin sağlanması adına şeffaf, öngörülebilir ve hukuken belirli ve kural setleri oluşturularak ve mahremiyet dostu önlemler alınarak ilgili teknolojilerin kullanımı sırasında ortaya çıkabilecek riskler minimize edilebilecektir. Bu yaklaşım, yapay zeka teknolojilerinin potansiyelini en etkili şekilde değerlendirmenin yanı sıra, bireylerin kişisel verilerinin korunmasını garanti altına alarak adil, şeffaf ve hesap verebilir bir teknoloji ekosistemi inşa etmenin temelini oluşturacaktır.

Footnotes

