Kurucu
December 14, 2025
25 min read
Yüzyılın en büyük teknolojik dönüşümü olarak kabul edilen Yapay Zeka (AI), günümüzde paradoksal bir krizle karşı karşıyadır. Veri, dijital ekonominin en değerli kaynağı olsa da; bu kaynağın işlenmesi, tarihin en sıkı regülasyon rejimlerinden biri olan Kişisel Verilerin Korunması Hukuku (KVKK ve GDPR) ile sınırlandırılmıştır. Bir yanda modellerin gelişimi için devasa ve "gerçek" veri setlerine duyulan teknik ihtiyaç; diğer yanda veri sorumlularını veriyi kapalı devre sistemlerde (silo) tutmaya zorlayan hukuki bariyerler bulunmaktadır. Bu durum, veri ekosisteminde aşılması gereken ciddi bir "hukuki ve teknik kilitlenme" (deadlock) yaratmaktadır. Geleneksel veri tabanı yönetim sistemlerinde mahremiyet ve doğrulanabilirlik (provability) arasındaki bu gerilim, klasik sözleşmesel güvencelerle yönetilemeyecek bir noktaya evrilmiştir. Veri sahipleri (hastaneler, bankalar) ağır yaptırımlar nedeniyle kapılarını kapatırken, geliştiriciler veriye erişemediği için modellerini gerçek hayat senaryolarına göre eğitememektedir.
Veri kıtlığı krizine karşı sektörün geliştirdiği ilk refleks "Sentetik Veri" üretimi olmuştur. Hukuki açıdan bakıldığında, gerçek kişilerle bağı koparılmış bu yapay veriler, KVKK kapsamı dışında kaldığı için bir "güvenli liman" gibi algılanmaktadır. Ancak teknik gerçeklik, bu hukuki konfor alanını tehdit etmektedir. Halka açık internet verisinin (Common Crawl vb.) tükenme noktasına gelmesi ve internetin bizzat AI tarafından üretilen içeriklerle dolması, "Model Çöküşü" (Model Collapse) riskini doğurmaktadır. Bu durum, AB Yapay Zeka Yasası (EU AI Act) kapsamında düzenlenmesi öngörülen "Veri Kalitesi ve Doğruluk" ilkeleriyle de çelişmektedir. Model çöküşünü önlemenin yolu, henüz işlenmemiş ve yüksek nitelikli "özel" verilere erişmektir. Ancak hastanelerin veya bankaların sunucularında kilitli olan ve KVKK m.6 kapsamında "Özel Nitelikli Kişisel Veri" veya yasal "Sır" statüsündeki bu verilerin paylaşımı, mevcut rejimde neredeyse imkansızdır. Veriyi dışarı çıkarmak, veri sızıntısı riski nedeniyle hukuken yasaklanmış bir mayın tarlası gibidir.
Yapay zeka modellerinin başarısı "Büyük Veri" (Big Data) paradigmasına, yani verinin hacmine ve derinliğine bağlıyken; modern veri koruma hukuku tam tersi bir istikameti, yani "Veri Minimizasyonu"nu emretmektedir. KVKK’nın 4. maddesi, verilerin "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü" olmasını şart koşar. Bu zıtlaşma, köklü bir paradoks yaratır: Bir AI modelinin doğru sonuçlar üretebilmesi için mümkün olan en geniş veri setine erişmesi gerekirken, hukuk veri sorumlusuna veri işleme faaliyetini asgari düzeyde tutmasını söylemektedir. Bu çelişki, inovasyon ile uyumluluk arasında bir tercih yapmayı zorunlu kılan sürdürülemez bir denklemdir.
Geleneksel makine öğrenmesi yöntemlerinde, modelin eğitilebilmesi için verinin modelin bulunduğu sunucuya fiziksel veya dijital olarak taşınması (data consolidation) gerekmektedir. Ancak bu taşıma işlemi, KVKK açısından en yüksek riskli faaliyetlerden biridir. Bu süreçteki temel hukuki riskler şunlardır:
Veri Sızıntısı ve İhlal Sorumluluğu: Veri güvenli silosundan çıkarıldığı anda saldırı yüzeyi genişler. Üçüncü taraf sunucularda yaşanacak bir ihlal, doğrudan veri sorumlusunu (örneğin hastaneyi) müteselsil sorumlulukla karşı karşıya bırakır.
Amaç Aşımı: Veri dışarı çıktığında, veri sorumlusunun bu verinin sadece belirlenen amaçla kullanıldığını denetlemesi teknik olarak imkansızlaşır.
Denetim ve Doğrulama Eksikliği: Veri sahipleri, verilerinin dış sunucularda nasıl işlendiğini doğrulama şansına sahip değildir, bu da aydınlatma yükümlülüğüne aykırılık teşkil edebilir.
Veri ifşası riskinden kaçınmak isteyen veri sorumluları, genellikle Maskeleme veya Genelleştirme gibi geleneksel tekniklere başvurmaktadır. Ancak bu teknikler, AI eğitimi bağlamında iki ucu keskin bir bıçaktır.
Fayda-Mahremiyet Takası (Utility-Privacy Trade-off): AI modelleri verideki ince desenleri yakalayarak öğrenir. Geleneksel teknikler veri setine gürültü ekleyerek bu detayları yok eder. Verinin mahremiyeti arttıkça, model eğitimi için taşıdığı "fayda" azalır.
Geri Döndürülebilirlik Riski: Hukuki açıdan daha büyük tehlike, bu tekniklerin sağladığı korumanın mutlak olmamasıdır. Basit maskeleme yapılan veri setlerinde, dolaylı sorgularla (inference attacks) bireylerin yeniden kimliklendirilmesi mümkündür. Eğer bir veri kümesinden makul yöntemlerle bir kişi yeniden tanımlanabiliyorsa, o veri hukuken hala "kişisel veri"dir ve KVKK koruması altındadır.
Sektördeki gelişmeleri Genesis Hukuk'tan takip etmek ve uzman blockchain avukatlarının sektör analizlerinden öncelikli haberdar olun.
Mevcut veri krizinin çözümü, veriyi geleneksel yöntemlerle "çıkarmaya" çalışmaktan değil; veriye yaklaşım biçimimizi kökten değiştirmekten geçmektedir. Veri sahiplerinin, verilerini dışarıya çıkarmadan (data residency), içeriği ifşa etmeden, ancak o veri üzerindeki işlemin doğruluğunu ispatlayarak değer üretebileceği bir modele ihtiyaç vardır. "Veriyi çıkarmadan değerini çıkarma" (extracting value without exposing data) yaklaşımı, hukuk ve teknolojinin kesişim noktasında yeni bir dönemi işaret eder.
Sıfır Bilgi İspatı (Zero-Knowledge Proofs - ZKP), bir tarafın (İspatlayan) diğer bir tarafa (Doğrulayan) bir bilginin doğruluğunu, o bilginin kendisini açıklamadan matematiksel olarak kanıtlamasına olanak tanır. Bu teknoloji, mahremiyet ve doğrulanabilirlik arasındaki tarihsel zıtlığı ortadan kaldırır. Veri "silo"larda güvende kalırken, veriden türetilen içgörü (insight) serbestçe ve hukuka uygun şekilde dolaşabilir.
Yeni nesil "Zero-Knowledge Veritabanı" (ZK-DB) mimarileri, sektördeki yerleşik "Veriyi İşlemciye Taşıma" (Data-to-Compute) paradigmasını tersine çevirerek "İşlemi Veriye Taşıma" (Compute-to-Data) modelini benimser. Bu modelde veri yerinden oynamaz; bunun yerine sorgu (query) veriye gelir. Veri sorumlusu, veriyi dışarı çıkarmadan kendi güvenli sunucularında işler ve dışarıya sadece iki şey gönderir: İşlem sonucu ve bu sonucun doğruluğunu gösteren kriptografik kanıt (proof).
Bu yaklaşım, verinin transferi sırasında oluşan sızıntı risklerini ve özellikle "sınır ötesi veri aktarımı" (KVKK m.9) gibi ağır hukuki yükümlülükleri teknik bir manevra ile by-pass eder. Teknik olarak dışarıya bir "kişisel veri" aktarılmaz; veriden üretilen matematiksel bir kanıt ihraç edilir. Böylece, verinin mülkiyeti ve güvenliği hastane veya bankada kalırken, veriden elde edilen fayda (utility) AI geliştiricisi ile paylaşılabilir hale gelir.
PoneglyphDB gibi ZK tabanlı sistemler, geleneksel veri tabanlarından farklı olarak, verinin kendisini değil; verinin işlenmesi sonucunda üretilen kriptografik kanıtı istemciye sunar. Bu mimari, ham verinin (raw data) sadece veri sahibinde kalmasını garanti altına alarak "Gizlilik" (Confidentiality) ilkesini mutlak kılar. Aynı zamanda, istemciye sunulan kanıt sayesinde, işlemin doğru veri üzerinde ve manipüle edilmeden yapıldığı "İspatlanabilir" (Provable) hale gelir.
Bu sentez, veri ekosistemindeki "paylaşmadan faydalanma" paradoksunu çözer. Veri sahibi, kontrolü kaybetme korkusu yaşamadan işbirliği yapabilirken; veri tüketicisi (örneğin bir AI şirketi), veriyi görmemesine rağmen aldığı sonucun doğruluğundan matematiksel kesinlikle emin olur. Bu, KVKK uyumlu bir veri ekonomisinin teknik altyapısıdır.
Sıfır Bilgi Kanıtı (ZKP) teknolojilerini hukuk dünyasına entegre ederken yapılan en yaygın hata, bu teknolojiyi doğrudan ve sadece Blockchain ile özdeşleştirmektir. Oysa ZKP, Blockchain’den bağımsız bir kriptografik protokoldür. Bu protokol, taraflar arasında güvene dayalı olmayan (trustless) bir doğrulama mekanizması kurar.
Modern ZK veritabanı mimarileri "Blockchain-agnostik" (bağımsız) bir yapıdadır; yani kanıtların üretilmesi ve doğrulanması için bir blokzincir ağına zorunlu ihtiyaç duymazlar. Hukuki açıdan bu, "karşı tarafın beyanına güvenme" (sözleşmesel güvence) döneminin kapanıp, "işlemin doğruluğunu matematiksel olarak ispatla" (kriptografik güvence) döneminin başlaması anlamına gelir.
Geleneksel sistemlerde güven, merkezi otoriteye veya hizmet sağlayıcıya duyulan kurumsal itimada dayanır. Ancak ZK mimarisinde bu güven ilişkisi, yerini "kriptografik kesinliğe" bırakır. Sistem, hukukta sıklıkla karşılaştığımız "tarafların birbirine güvenmediği" (mutually distrusting parties) varsayımı üzerine kuruludur.
Bu yeni modelde hukukçuların anlaması gereken temel paradigma değişimi şudur: Güven, "kurumsal itibar"dan alınıp "matematiksel ispat"a devredilmiştir. Modelde iki temel aktör bulunur: Veriyi elinde tutan ve sorguyu işleyen İspatlayan (Prover) ile sorguyu gönderen ve sonucun doğruluğunu denetleyen Doğrulayan (Verifier).
Veri koruma hukukundaki en büyük risk, verinin bir noktadan diğerine transferi (data transmission) sırasında oluşur. ZK veritabanı mimarisinin en devrimci yönü, "Gizlilik" ilkesini teknik bir zorunluluk olarak kodun içine gömmesidir. Bu mimaride ham veri, asla İspatlayan'ın (Host) sunucusunu terk etmez.
Veri yerinden oynamadığı için, veri sızıntısı riski minimize edilir ve "Data Locality" (Veri Yerelleştirme) yasalarına doğal bir uyum sağlanır. Geleneksel sistemlerin aksine, veri AI modelinin eğitilmesi için dışarıya gönderilmez. Hukuki perspektiften bu durum, KVKK m.9 anlamında teknik bir "aktarım" fiilinin gerçekleşmediği argümanını güçlendirir.
Bu yeni güven modelinde taraflar arasındaki ilişki, "Don't Trust, Verify" (Güvenme, Doğrula) prensibi üzerine inşa edilmiştir. İstemci, Sunucu'nun dürüstlüğüne değil, kullanılan algoritmanın kırılmazlığına güvenir.
Bu modelde üç temel risk kriptografik olarak çözülür:
Sahte Veritabanı Riski: İstemci, işlemin taahhüt edilen (committed) gerçek veri üzerinde yapıldığını doğrular.
İşlem Doğruluğu Riski: ZKP protokolü, SQL sorgularının aritmetik devreler üzerinde doğru çalıştırıldığını ispatlar. Sunucu sonucu değiştirmeye çalışırsa kanıt geçersiz olur.
Veri Sızıntısı Riski: "Sıfır Bilgi" özelliği sayesinde İstemci sadece sorduğu sorunun cevabını alır, veritabanındaki diğer hiçbir kaydı göremez.
Hukuk dünyasında bir verinin değiştirilmediğinin ispatı, geleneksel olarak noter onayı veya zaman damgası gibi harici otoritelere dayanır. ZK tabanlı veritabanı mimarileri ise bu güven ilişkisini "Kriptografik Taahhüt" (Cryptographic Commitment) kavramı ile matematiksel bir zorunluluğa dönüştürür. Sistem, veri tabanının o anki durumunun değiştirilemez bir "dijital parmak izini" oluşturur. Bu parmak izi, veri sahibini hukuken bağlar; taahhüt edildikten sonra veride yapılan tek bir bitlik değişiklik dahi matematiksel uyumsuzluk yaratır ve sistem tarafından reddedilir.
Hukuki açıdan bu teknoloji, adeta dijital bir noter gibi çalışır. Oluşturulan kriptografik taahhüt, verinin belirli bir anda var olduğunu ve o andan itibaren değiştirilmediğini HMK m.199 kapsamında ispatlayan güçlü bir elektronik delil niteliğindedir. Üstelik bu ispat için mutlaka bir Blockchain ağına ihtiyaç yoktur; 5070 sayılı Elektronik İmza Kanunu'na uygun zaman damgaları veya kamuya açık şeffaflık panoları ile de hukuki güven tesis edilebilir. Böylece, verinin bütünlüğü (integrity) KVKK m.12 kapsamında en üst düzeyde korunurken, regüle sektörlerdeki "unutulma hakkı" gibi hassas süreçler de yönetilebilir hale gelir.
Geleneksel veri yönetimi hukukunda denetim, genellikle log kayıtlarının incelenmesi veya fiziksel sunucu güvenliğinin sertifikalandırılması şeklindedir. Ancak ZK sistemlerinde denetim, şekilsel bir prosedürden çıkıp matematiksel bir kesinliğe dönüşmektedir. Bu mimaride "Üçüncü Taraf Denetçi" (Auditor), Veri Sahibi ile İstemci arasındaki güven boşluğunu dolduran kilit hukuki aktördür.
İstemci, mahremiyet kısıtları nedeniyle ham veriye erişemezken; Denetçi, gizlilik sözleşmeleri ve yasal yetkiler çerçevesinde ham veritabanını inceleme yetkisine sahiptir. Denetçi, dijital dünya ile fiziksel gerçeklik arasındaki köprüyü kuran, Türk hukuku perspektifiyle bir nevi "dijital bilirkişi" sıfatıyla devreye girer.
Denetçinin temel görevi, kamuya ilan edilen kriptografik taahhüdün, veritabanının gerçek ve güncel haliyle örtüştüğünü tasdik etmektir. Bu süreçte Denetçi, veri sahibinin sunucularındaki ham veritabanını yerinde inceler ve verinin otantikliğini doğrular. Ardından, sistemin kullandığı polinom taahhüt şemasını (polynomial commitment scheme) bizzat bu orijinal veri üzerinde çalıştırarak bir değer hesaplar.
Denetçi, kendi hesapladığı değer ile Veri Sahibinin ilan ettiği taahhüt değerini karşılaştırır. Eğer bu değerler eşleşirse, bu durum hukuken şu anlama gelir: İstemcinin sorgu yapacağı ve kanıt alacağı veritabanı, denetçinin gördüğü ve onayladığı gerçek veritabanıdır. Bu mekanizma, hukuk dünyasındaki "aslı gibidir" onayının kriptografik karşılığıdır; ancak buradaki kesinlik, insan hatasına yer bırakmayacak kadar mutlak ve matematikseldir.
Veri paylaşım senaryolarındaki en büyük korku, Veri Sorumlusunun sorguları gerçek veritabanı yerine manipüle edilmiş bir "Sahte Veritabanı" (Bogus Database) üzerinde çalıştırması riskidir. ZK mimarileri, "Kriptografik Taahhüt" mekanizmasının "Bağlayıcılık" (Binding) özelliği sayesinde bu saldırıyı teknik olarak imkansız hale getirir.
Sistemde, veritabanı taahhüdü SQL sorgusunu işleyen devreye (circuit) gömülür. Eğer veri sahibi sahte bir veritabanı kullanırsa, bu veritabanının taahhüdü kaçınılmaz olarak orijinal taahhütten farklı olacaktır. İstemci, elindeki orijinal taahhüt ile sahte veriden üretilen kanıtı doğrulamaya çalıştığında matematiksel işlem başarısız olur. Bu durum, hukukta "teknik imkansızlık" nedeniyle hilenin yapılamaması anlamına gelir ve ispat hukukunda devrim niteliğinde bir güvencedir.
Bankacılıkta Sıfır Bilgi (ZK) teknolojisi için uzman hukuki danışmanlığımızı keşfedin, KYC/AML uyumluluğunu ve sağlam veri mahremiyetini sağlayın.
Sıfır Bilgi Kanıtı (ZKP) sistemlerinin hukuk dünyasına entegrasyonunda çözülmesi gereken en temel düğüm, sistemin çıktısı olan "Kanıt"ın (π) ve bu kanıtla doğrulanan "Sorgu Sonucu"nun (R) hukuki ontolojisidir. Teknik literatürdeki "Sıfır Bilgi" iddiası ile hukuk doktrinindeki "Anonimlik" statüsü her zaman eş anlamlı değildir ve bu ayrım hayati önem taşır.
Geleneksel şifreleme yöntemlerinde, şifreli veri hukuken hala "kişisel veri" kabul edilir; çünkü anahtara sahip olan biri veriyi geri döndürebilir (reversible). Ancak ZK mimarisinde üretilen kanıt, şifreli bir metin değil, hesaplamanın doğruluğuna dair matematiksel bir "sertifika"dır.
Bu durum verinin hukuki niteliği konusunda gri bir alan yaratmaktadır. Kanıt dosyası tek başına bir anlam ifade etmese de, bir bağlam içinde ve bir sorgu sonucuyla birlikte değerlendirildiğinde, hukuki statüsü "anonim veri" ile "psödo-anonim veri" arasında hassas bir çizgide durmaktadır.
ZK tabanlı veritabanlarının teknik mimarisinde "Kanıt" (Proof), veritabanındaki ham verilerin (Witness) kendisini asla içermez. Bunun yerine, verilerin matematiksel polinomlar olarak ifade edildiği bir düzlemde, belirli noktaların açılımlarını ve bu noktaların aritmetik devre kısıtlamalarına uyduğunu gösteren bir sayı dizisini içerir.
Hukuki açıdan bu çıktı, "Veriden Türetilmiş Veri" (Derived Data) veya bir nevi teknik "Meta-Veri" olarak sınıflandırılmalıdır. Kanıt tek başına ele alındığında herhangi bir gerçek kişiyi tanımlama kabiliyetine sahip değildir ve KVKK m.3 anlamında "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin" bir bilgi taşımaz. Bu, verinin ticari değerini korurken, hukuki uyumluluğu sağlamanın anahtarıdır.
Avrupa Birliği Veri Koruma Tüzüğü'nün (GDPR) 26. Gerekçesi ve Madde 29 Çalışma Grubu'nun (WP29) görüşleri, bir verinin anonim sayılabilmesi için "yeniden kimliklendirmenin" (re-identification) makul yollarla imkansız hale gelmesini şart koşar. WP29, anonimlik testinde üç temel risk kriteri belirlemiştir: Tekilleştirme (Singling out), Bağlanabilirlik (Linkability) ve Çıkarım (Inference).
ZK tabanlı sistemlerin ürettiği çıktıların kategorik olarak doğrudan "Anonim Veri" sayılması ve KVKK kapsamından tamamen çıkarılması, bu testler ışığında hukuken riskli bir yaklaşımdır. Bu veriler, daha güvenli bir liman olan "Psödo-Anonim" (Takma Adlı) Veri statüsünde değerlendirilmelidir. Psödo-anonim veriler hukuken hala kişisel veri sayılsa da, şifrelenmemiş (açık) verilere kıyasla çok daha yüksek bir teknik güvenlik seviyesine sahip oldukları için, risk analizinde veri sorumlusunun lehine güçlü bir faktördür.
Anonimleştirme tekniklerinin geçerliliği için aranan en kritik teknik şart "Geri Döndürülemezlik"tir. Yani, veri üzerinde uygulanan işlemin tersine çevrilerek orijinal veriye ulaşılmasının imkansız olması gerekir. Yeni nesil ZK-SQL mimarileri, bu şartı "Hesaplama Güvenliği" (Computational Security) düzeyinde sağlar.
Bu sistemlerde kullanılan Polinom Taahhüt Şemaları (Polynomial Commitment Schemes), çözülmesi imkansıza yakın kriptografik zorluklara (örneğin Ayrık Logaritma Problemi) dayanır. Kötü niyetli bir aktörün elindeki kanıtı "kırarak" ham veriye ulaşması, mevcut süper bilgisayarlar ile evrenin yaşı kadar sürecek bir işlem gerektirir. Hukuki açıdan bu durum, "Matematiksel Geri Döndürülemezlik" anlamına gelir ve KVKK m.12 kapsamındaki "teknik tedbirler" yükümlülüğünü en üst standartta karşılar.
ZKP teknolojilerinin en sık yanlış anlaşılan yönü, sistemin adındaki "Sıfır Bilgi" ibaresinin üretilen tüm çıktıların mahremiyetini garanti ettiği varsayımıdır. Oysa ZKP protokolü sadece işlemin ve sürecin mahremiyetini (veritabanının kopyalanmamasını) sağlar; ancak sistemin çıktısı olan "Sorgu Sonucu" (R), verinin içeriğine dair bilgi taşıyabilir.
ZKP teknolojisi "verinin nasıl işlendiğini" gizlerken, "işlenen verinin ne söylediğini" gizleyemeyebilir. Bu durum, hukuk disiplininde "Çıkarım" (Inference) riski olarak adlandırılır. Bir yapay zeka modeli veya saldırgan, parça parça zararsız görünen bilgileri birleştirerek gizli veriye ulaşabilir.
Esnek SQL sorgularını destekleyen ZK sistemleri, "Tekilleştirme" risklerine karşı doğuştan bir bağışıklığa sahip değildir. İstemci, veritabanının tamamını göremese de, son derece spesifik filtreler (WHERE clause) kullanarak sonucu tek bir bireye indirgeyebilir.
Örneğin; "Yaşı 42 olan, X şubesinde çalışan ve dün hastaneye giriş yapan hastanın teşhisi nedir?" gibi bir sorgu, ZKP ile doğrulansa bile, dönen sonuç (örneğin "Kalp Yetmezliği") belirli bir kişiye ait hassas sağlık verisini ifşa eder. Bu senaryoda ZKP, veriyi anonimleştirmez; aksine ifşa edilen verinin o kişiye ait olduğunu "tasdik eder". Hukuken bu durum, özel nitelikli kişisel verinin açık bir ifşasıdır ve engellenmelidir.
Bu paradoksun hukuki ve teknik çözümü, teknolojik katmanların birleştirilmesinde yatmaktadır. ZK mimarilerinin, veri sızıntısı risklerini minimize etmek için "Diferansiyel Gizlilik" (Differential Privacy - DP) teknikleriyle desteklenmesi şarttır. DP, sorgu sonucuna matematiksel olarak hesaplanmış bir "Gürültü" (Noise) ekleyerek, bir bireyin veri setinde var olup olmadığının anlaşılmasını imkansız hale getirir.
Hukuki açıdan ideal mimari "Çifte Kalkan" (Double Shield) yaklaşımıdır:
ZKP: "Hesaplama Dürüstlüğünü" (İşlemin doğru yapıldığını) garanti eder.
DP: "Sonuç Mahremiyetini" (Kimsenin fişlenemeyeceğini) garanti eder.
Bu iki teknolojinin entegrasyonu, "Çıkarım" ve "Tekilleştirme" risklerini teknik olarak elimine eder. Bu yapı, KVKK m.12 ve GDPR Art. 32/25 kapsamındaki "Tasarımda Gizlilik" (Privacy by Design) ilkesinin sektördeki en yetkin örneğidir.
Veri temelli ekonominin en büyük açmazı, verinin ilk toplanma amacı ile ikincil kullanım amacı arasındaki hukuki boşluktur. Binlerce hastadan veya müşteriden yapay zeka eğitimi için tek tek "Açık Rıza" almak operasyonel olarak imkansıza yakındır. Bu noktada, KVKK m.5/2-f'de düzenlenen "Veri Sorumlusunun Meşru Menfaati", veri işleme faaliyetinin devamlılığı için en hayati hukuki dayanaktır.
Hukuk doktrininde "Meşru Menfaat" şartı için uygulanan denge testinde (LIA), geleneksel yöntemlerde terazi genellikle ilgili kişi lehine bozulur. Ancak Zero-Knowledge (Sıfır Bilgi) gibi Mahremiyeti Artırıcı Teknolojiler (PETs) kullanımı, bu dengeyi kökten değiştirmektedir.
ZK protokolü sayesinde, araştırmacı veya model geliştirici (Verifier) bireylerin ham verilerini asla görmez; sadece modelin ağırlıklarını veya istatistiki sonucu görür. Veri "paylaşılmaz", verinin "içgörüsü" paylaşılır. Dolayısıyla, veri öznesinin haklarına yapılan müdahale asgari düzeye iner. Bu yüksek güvenlik seviyesi, veri sorumlusunun meşru menfaatinin, veri sahibinin gizlilik beklentisine üstün gelmesini sağlar ve tekrar açık rıza alınmasına gerek kalmadan veri işlemeyi mümkün kılar.
KVKK m.4'te düzenlenen "Amaçla Sınırlılık" ilkesi, verinin toplandığı ilk amaç dışında kullanılmasını kural olarak yasaklar. Ancak hukuk, ilk amaçla "uyumlu" olan ikincil amaçlara (örneğin bilimsel araştırma veya istatistik) izin verir. ZK mimarisi, bu uyumluluk testinde kritik bir hukuki "güvence" işlevi görür.
ZK tabanlı bir mimaride veri sorumlusu şu güçlü argümanı geliştirebilir: "Veriyi dışarı çıkarmadan, içeriğini ifşa etmeden, sadece matematiksel özelliklerini kullanarak bir modelin doğruluğunu test ediyoruz." Verinin bütünlüğü ve gizliliği korunduğu için, işleme faaliyetinin bir "amaç aşımı" yaratmadığı, aksine verinin korunarak değer üretildiği tezi hukuken güçlenir.
Küresel dijital ekonominin sınır tanımayan doğası ile ulusal veri koruma kanunlarının "dijital egemenlik" refleksi arasındaki çatışma, sınır ötesi veri aktarımı rejimlerinde hissedilmektedir. Özellikle Türkiye gibi veri yerelleştirme (data localization) eğiliminin yüksek olduğu ülkelerde, verinin yurt dışına çıkarılması hukuki açıdan en maliyetli ve riskli süreçlerden biridir.
Türk hukukunda KVKK m.9, kişisel verilerin yurt dışına aktarılmasını kural olarak "Açık Rıza"ya veya Kurul iznine bağlamıştır. Ayrıca, finans ve sağlık gibi kritik sektörlerde verilerin Türkiye sınırları içinde saklanması zorunluluğu bulunmaktadır. Ancak en gelişmiş AI modelleri ve bulut altyapıları genellikle yurt dışında konuşlanmıştır.
Geleneksel mimaride, bir Türk şirketinin verilerini global bir AI modeline analize göndermesi, verinin fiziksel olarak Türkiye'den çıkıp yurt dışındaki sunuculara kopyalanmasını gerektirir. Bu "veri göçü", KVKK m.9 uyarınca bir "aktarım" fiilidir ve veri sorumlusunu ağır bir hukuki yük altına sokar. Bu durum, fiili bir "bulut bilişim çıkmazı" yaratır.
Yeni nesil ZK veritabanı mimarileri, KVKK m.9 engelini teknik bir manevra ile aşma potansiyeline sahiptir: Veri ihraç edilmez, veriden üretilen matematiksel kanıt ihraç edilir. Bu modelde ham veri, İspatlayan'ın (Prover/Host) Türkiye sınırları içindeki yerel sunucusunda kalır.
Yurt dışındaki AI şirketi, Türkiye'deki sunucuya bir sorgu gönderir ve karşılığında sadece sorgu sonucunu ve işlemin doğruluğunu gösteren ZKP kanıtını alır. Hukuki açıdan kritik ayrım şudur: Üretilen Kanıt π, verinin kendisi değil, işlemin doğruluğuna dair kriptografik bir meta-veridir. Dolayısıyla, π'nin yurt dışına gönderilmesi, verinin anonimliği sağlandığı müddetçe KVKK m.9 kapsamında bir "kişisel veri aktarımı" sayılmayabilir. Bu yöntem, verinin egemenliğinden taviz vermeden küresel değer zincirine entegre olmanın en sürdürülebilir yoludur.
Dijital dönüşümün anayasası olarak kabul edilen Avrupa Birliği Yapay Zeka Yasası (EU AI Act), yapay zeka sistemlerini risk temelli bir yaklaşımla sınıflandırmaktadır. Bu sınıflandırmada, insan hayatına ve temel haklara doğrudan etki eden (sağlık, ulaşım, işe alım, kredi skorlama vb.) sistemler "Yüksek Riskli AI" kategorisinde değerlendirilmektedir.
Bu sistemlerin eğitimi için kullanılan veri setlerine dair katı "Veri Yönetişimi" (Data Governance) standartları getirilmiştir. Yeni nesil ZK (Sıfır Bilgi) mimarileri, bu katı standartların teknik olarak karşılanmasında ve "Sorumlu Yapay Zeka" (Responsible AI) ilkelerinin hayata geçirilmesinde kritik bir altyapı sunar. Yasa koyucu artık sadece sonucun doğruluğuyla değil, o sonuca ulaşırken kullanılan verinin kalitesiyle de ilgilenmektedir.
AB Yapay Zeka Yasası'nın 10. Maddesi, yüksek riskli AI sistemlerinin eğitiminde, doğrulanmasında ve test edilmesinde kullanılan veri setlerinin "uygun, alakalı, temsili, hatasız ve eksiksiz" olmasını şart koşar. Hukuk dünyasında "Garbage In, Garbage Out" (Çöp girerse çöp çıkar) prensibiyle özetlenen bu durum, teknik bir sorundan öte, artık yasal bir uyumluluk zorunluluğudur.
Eğer bir hastane veya teknoloji şirketi, kanser teşhisi koyan bir AI modelini eğitmek için verilerini kullanacaksa, bu verinin kalitesini ve doğruluğunu ispatlamak zorundadır. Verinin "kapalı kutu" (silo) içinde kalması, bu sorumluluğu ortadan kaldırmaz; aksine veri setinin kalitesinin ispatlanması yükümlülüğünü doğurur.
Veri mahremiyeti endişeleriyle sıkça başvurulan "Sentetik Veri" üretimi, hukuk ve teknik açıdan iki büyük risk barındırır. Teknik risk, gerçek dünyayı yansıtmayan verilerin "Model Çöküşüne" (Model Collapse) neden olmasıdır. Hukuki risk ise KVKK Madde 4/2-b bendinde düzenlenen kişisel verilerin "Doğru ve gerektiğinde güncel olma" ilkesiyle ilgilidir.
Gerçek bir hastanın verisi yerine, uydurulmuş sentetik bir veri üzerinden eğitilen bir AI modelinin, gerçek bir hastaya yanlış teşhis koyması durumunda, "veri doğruluğu" ilkesinin ihlal edildiği ve veri sorumlusunun kusurlu olduğu iddiası gündeme gelecektir. ZK teknolojisi, verinin "kendisini" açığa çıkarmadan, verinin "doğruluğunu" ispatlayarak bu ikilemi çözer. Bu sayede AI modelleri, simülasyonlarla değil, veritabanındaki "gerçek, ham ve doğrulanmış" verilerle eğitilebilir.
Hukukçuların sorması gereken en kritik soru şudur: "Veriyi görmeden, o verinin kaliteli (hatasız, eksiksiz, tutarlı) olduğunu nasıl denetleyebiliriz?" ZK-DB mimarilerinde yer alan "Aritmetik Devreler" (Arithmetic Circuits), bu hukuki denetimi matematiksel bir kesinliğe dönüştürür.
Örneğin, bir pediatri veri setinde hastaların yaşının "0-18" aralığında olması gerekir. ZK altyapısındaki "Arama Tablosu" (Lookup Table) mekanizması, veriyi ifşa etmeden, her bir kaydın bu aralıkta olduğunu kriptografik olarak kanıtlar. Aynı şekilde, veri setindeki boş (NULL) değerleri veya mantıksal tutarsızlıkları (örn. Taburcu Tarihi < Giriş Tarihi) tespit eden devreler, veri setinin "temiz" olduğunu garanti eder. Bu teknik yapı, denetleyici otoriteye şu güvenceyi verir: "Veriyi görmedim ama bu verinin içinde hata olmadığını matematiksel olarak %100 doğruladım."
Tokenizasyon Özelinde GRC (Yönetişim, Risk ve Uyum)HizmetlerJuly 12, 2025👤Genesis Hukuk
Yüksek riskli AI sistemleri için "Şeffaflık" (Transparency) ve "Hesap Verebilirlik" (Accountability), keyfi bir tercih değil, yasal bir zorunluluktur. Ancak ticari sır niteliğindeki algoritmaların ve hassas verilerin, denetim amacıyla da olsa tamamen açılması, şirketler için büyük bir ticari risk oluşturur.
Geleneksel AI modelleri, kararın nasıl alındığının bilinmediği birer "Kara Kutu" olarak çalışır. Hukuk sistemi ise kararların "gerekçelendirilmesini" talep eder. Yeni nesil ZK sistemleri, sunduğu "Doğrulanabilirlik" (Provability) özelliği ile bu kara kutuyu şeffaflaştırır.
Sistem, bir sorgunun sonucunun, taahhüt edilen veri üzerinde, belirlenen algoritma ile üretildiğini kanıtlayan bir çıktı (Proof) üretir. Bu çıktı, AI Act kapsamında talep edilen teknik dokümantasyonun en güçlü parçasıdır. Bir denetçi, üretilen kanıtı inceleyerek; AI modelinin eğitimi sırasında hangi verilerin kullanıldığını, verilerin değiştirilip değiştirilmediğini ve işlemin doğru yapıldığını kod düzeyinde denetleyebilir. Bu yaklaşım, "Verifiable AI" (Doğrulanabilir Yapay Zeka) konseptini hukuki bir standarda dönüştürür.
ZK teknolojisi, AB Yapay Zeka Yasası'nın iki kritik maddesinde stratejik bir "uyum teknolojisi" olarak öne çıkmaktadır. Yasa, eğitim verilerinin coğrafi, davranışsal veya fonksiyonel eksikliklerinin (önyargı/bias) tespit edilmesini zorunlu kılar (Madde 10). ZK sistemlerinin toplama ve sayma operatörleri, veriyi ifşa etmeden veri setinin demografik dağılımını kanıtlayabilir. Örneğin, bir şirket veriyi açmadan "Eğitim setimizdeki kadın/erkek oranı dengelidir" önermesini ispatlayabilir.
Ayrıca yasa, inovasyonu teşvik etmek için "Düzenleyici Kum Havuzları" (Regulatory Sandboxes) kurulmasını öngörür (Madde 53/54). Bu havuzlarda kişisel verilerin işlenmesine, ancak verilerin güvenliğinin sağlanması şartıyla izin verilir. ZK mimarisi ve sunduğu "Sıfır Bilgi" garantisi, bu yasal şartı "tasarım gereği" (by design) karşılar. Özellikle özyinelemeli kanıt (recursive proof) yeteneği sayesinde, birden fazla kurumun verisi birleştirilmeden, sadece kanıtların birleştirilmesiyle ortak, güçlü ve yasal bir model eğitilebilir.
Blockchain projelerinizin Türk lisanslama ve düzenleyici çerçevelerine tamamen uyumlu olduğundan emin olun. Uzman rehberlik alın.
Veri temelli uyuşmazlıklarda, verinin bütünlüğü (integrity) ve işlem süreçlerinin doğruluğu, davanın kaderini belirleyen en kritik unsurdur. Geleneksel hukuk sisteminde, bir veritabanı kaydının değiştirilmediğini ispatlamak; log kayıtları, zaman damgaları ve bilirkişi incelemeleri gibi harici ve manipülasyona açık olabilen unsurlara dayanır.
ZK (Sıfır Bilgi) teknolojileri, bu "kanaate dayalı" ispat rejimini, "matematiksel kesinliğe dayalı" yeni bir ispat rejimine dönüştürmektedir. Bu sistem, verinin aidiyetini ve bütünlüğünü gösteren kriptografik taahhütler aracılığıyla, veri sorumlusunun ispat yükünü ve sorumluluk rejimini kökten değiştirmektedir.
Yeni nesil ZK veritabanları tarafından üretilen kriptografik taahhütler (commitments) ve kanıt dosyaları, 6100 sayılı Hukuk Muhakemeleri Kanunu (HMK) m.199 uyarınca "belge" niteliğindedir. Her ne kadar Nitelikli Elektronik Sertifika (NES) barındırmadığı için doğrudan "Senet" (Kesin Delil) sayılmasa da, bilirkişi incelemesiyle teyit edilebilen matematiksel kesinliği sayesinde mahkemeler nezdinde çok güçlü bir "Takdiri Delil" teşkil eder.
Hatta ticari ilişkilerde (B2B) tarafların yapacağı bir "Delil Sözleşmesi" (HMK m.193) ile bu teknik çıktılar "Kesin Delil" statüsüne yükseltilebilir. Bu teknolojik altyapı, ispat hukukundaki dengeleri de değiştirir. Veri sızıntısı veya manipülasyon iddialarında, veri sorumlusunun "bir şeyi yapmadığını" (negatif vaka) ispatlaması zorken; ZK teknolojisi "Bağlayıcılık" özelliği sayesinde bunu pozitif bir ispata dönüştürür. Veri sorumlusu, değiştirilmesi matematiksel olarak imkansız olan taahhütleri sunarak, verinin tahrif edilmediğini "reddedilemez" (non-repudiation) bir kesinlikle kanıtlar.
Geleneksel veri yönetimi hukukunda rollerin dağılımı fiziksel erişim üzerine kurgulanmıştır. Veriyi barındıran veya üzerinde işlem yapan taraf genellikle "Veri İşleyen" (Data Processor) kabul edilir ve ağır sorumluluklar yüklenir. Ancak ZK modeli, verinin "gitmediği", sadece "kanıtın" gittiği bir mimari sunarak bu hiyerarşik ilişkiyi kökten değiştirmektedir.
ZK mimarisinin hukuk dogmatiğine getirdiği en büyük yenilik, "Kör İşlem" kavramıdır. İstemci (Verifier/Client), ham veriye asla erişemez; eline sadece işlemin doğruluğunu gösteren Kanıt π ve işlem çıktısı olan Sorgu Sonucu (R) geçer.
Eğer Sorgu Sonucu kişisel veri içermiyorsa (örneğin anonim bir istatistikse), İstemci hiçbir şekilde "Veri İşleyen" sıfatını kazanmaz. Çünkü kişisel veriye erişimi yoktur, saklamaz ve üzerinde değişiklik yapamaz. İstemci sadece matematiksel bir doğrulama yapmaktadır. Bu senaryoda veri sahibi (Host), veriyi kendi bünyesinde tuttuğu ve işleme faaliyetini kendi donanımları üzerinde gerçekleştirdiği için; hem Veri Sorumlusu hem de teknik anlamda işlemeyi yapan tek taraftır.
Bu mimari, sektörde devrim niteliğinde bir hukuki sonuç doğurur: Veri İşleme Sözleşmelerine (DPA) duyulan ihtiyacın ve kapsamının radikal biçimde hafiflemesi. Mevcut durumda AI şirketi veriyi "görmekte" olduğu için çok ağır sorumluluklar içeren sözleşmeler imzalanır.
Ancak ZK modelinde AI şirketi veriyi almaz, sadece kanıtı alır. Bu durum, "Sıfır Sorumluluk Transferi" anlamına gelir. Veri, hastanenin veya bankanın güvenli alanını terk etmediği için, kurum veri güvenliğinden tek sorumlu olarak kalır. AI şirketi ise veri sızıntısında fail olma riskinden kurtulur. ZK teknolojisi, bulut bilişim sözleşmelerini "Veri Saklama/İşleme" ekseninden çıkarıp, "Hesaplama Doğrulama Hizmeti" (Verification Service) eksenine taşımaktadır.
KVKK Madde 12, veri sorumlusuna veri güvenliğini sağlamak amacıyla "gerekli her türlü teknik ve idari tedbiri alma" yükümlülüğü getirir. Geleneksel tedbirler (firewall, antivirüs) çevresel güvenlik sağlarken; PoneglyphDB gibi ZK mimarileri, veri güvenliği kavramını "erişim engelleme" seviyesinden "matematiksel imkansızlık" seviyesine taşımaktadır.
Veri koruma hukukunun evrensel ilkesi olan "Tasarımda Gizlilik" (Privacy by Design), ZK tabanlı sistemlerin temel kodlarına işlenmiştir. Geleneksel sistemlerde güvenlik yönetici inisiyatifine bağlıyken, burada güvenlik matematiksel devrelere gömülmüştür. Ham veri teknik olarak sunucudan dışarı çıkamaz; çünkü sistem mimarisi veriyi transfer etmek üzerine değil, veriden üretilen kanıtı transfer etmek üzerine kuruludur.
Hukuki açıdan bu, "veriyi geri döndürme" riskini teknik imkansızlık seviyesinde elimine ettiği için, Kurul'un rehberindeki en üst düzey teknik tedbirlerden biri olarak değerlendirilmelidir. Veri, çalınabilir bir dosya olmaktan çıkıp, sadece doğrulanabilir soyut bir değere dönüşür.
Hiçbir sistem %100 güvenli değildir; ancak bir veri ihlali yaşandığında veri sorumlusunun karşılaşacağı idari yaptırım, aldığı önlemlerin niteliğine göre belirlenir. Veri Koruma Etki Değerlendirmesi (DPIA) süreçlerinde, ZK kullanımı "Artık Risk" (Residual Risk) puanını radikal biçimde düşürür.
Olası bir sızıntı durumunda, verilerin matematiksel yapısı, saldırganların veriyi anlamlandırmasını engeller. Bir soruşturmada kurum, "Biz veriyi korumak için sadece parola koymadık; veriyi matematiksel olarak erişilemez kılan ZK teknolojisini kullandık" savunmasını yapabilir. Bu savunma, "özen yükümlülüğünün" (duty of care) fazlasıyla yerine getirildiğini gösterir ve olası bir idari para cezasında güçlü bir "Hafifletici Neden" (Mitigating Factor) olarak dikkate alınmalıdır.
Yapay zeka çağında "Veri Kıtlığı" ile "Veri Mahremiyeti" arasındaki çatışma, geleneksel yasaklayıcı yöntemlerle çözülemez. Hukuk, teknolojinin gerisinde kalıp sadece "dur" diyen bir fren mekanizması olmak yerine; Zero-Knowledge gibi teknolojileri anlayıp onları regülasyonun bir parçası haline getiren bir "Etkinleştirici" (Enabler) olmalıdır.
Veriyi tamamen açmak hukuki bir intihar, kapalı tutmak ise ticari bir verimsizliktir. Artık üçüncü bir yol mümkündür: Veriyi açmadan, verinin doğruluğunu açmak.
Biz Genesis Hukuk olarak, sadece bugünün yasalarını uygulamıyor, yarının veri ekonomisinin hukuki mimarisini kuruyoruz. Veri hazinenizi yasal risk almadan AI dünyasına açmak, KVKK uyumluluğunuzu teknik inovasyonla birleştirmek ve bu yeni dijital mutabakatın kurallarını belirlemek için stratejik ortağınız olmaya hazırız.
Verinizin potansiyeli "silo"larda çürümesin. Gelin, verinizi hukuki bir zırhla koruyarak özgürleştirelim.
