Geçen ay bir PM arkadaşım compliance sürecini anlattı. Sağlık sektöründe çalışıyorlar. AI ile hasta kayıtlarını analiz edecekler. Yasal danışmanın onayı için tek şart şuymuş: "Verileri API'ye göndermeden önce anonimleştirin."
Tamam, dedi. Adları sildiler. Hasta numaralarını kaldırdılar. Klinik isimlerini çıkardılar. Compliance tick attı. Sprint başladı.
Aynı hafta Opus 4.7 hakkında bambaşka bir haber çıktı.
Kelsey Piper adında bir Vox yazarı test yaptı. Opus 4.7'e kısa bir metin verdi — 125 kelime. Yayınlanmamış, hiçbir yerde görünmemiş. Model onu doğru tespit etti.
Sonra farklı bir şey verdi: bir öğrencinin Pokémon denemeleri hakkında yazdığı okul ilerleme raporu. Yine doğru.
Ardından hiç yayınlamadığı 1942 yapımı bir filmin eleştirisi. Yine doğru.
ChatGPT yanıldı. Gemini yanıldı. Opus 4.7 yanılmadı.
Model bunun da ötesine geçti — Piper'ı tanıyan insanların yakın çevresini bile tahmin etti. Sosyal ağ içinde yayılan stilistik izler. Ezberleme değil bu. Daha rahatsız edici bir şey.
PM olarak burada durmam gereken yer burası.
Anonimleştirme nedir? Adı sil. ID'yi kaldır. Konumu belirsizleştir. Ve veri "anonimleşmiş" sayılır. Düzenleyiciler bunu kabul eder. GDPR buna dayanır. KVKK buna dayanır. Sağlık sektöründe tüm sistem bu mantık üzerine kurulu.
Ama Opus 4.7 hiçbir özel tanımlayıcı olmadan — sadece birisinin yazma biçiminden — kim olduğunu bulabiliyorsa, bu varsayım çatlıyor.
Sağlık SaaS'ı özelinde düşünün.
Bir hekim günde onlarca hasta notu yazıyor. Her notun stilistik imzası var — kelimeleri nasıl sıraladığı, hangi ifadeleri tekrarladığı, cümle yapısı, klinik dili. Adı olmasa da. Kliniği olmasa da. Hasta numarası olmasa da.
Bu metni anonimleştirilmiş haliyle AI API'sine gönderin. Yeterince güçlü bir model, yazarı tespit edebilir. Yazarı tespit edebildiyse, bağlamı da çıkarabilir.
Spekülatif değil bu. Kapasitenin nereye gittiğini gösteren somut bir veri noktası.
PM olarak buradaki sorun teknik değil. Süreç sorunu.
Compliance akışınız "adları sildik, gönderebiliriz" üzerine kuruluysa — bu akış artık eskimiş bir varsayım üzerinde çalışıyor. Ve hukuk ekibiniz büyük ihtimalle bu gelişmeyi henüz takip etmedi.
Üç ay önce imzalattığınız veri işleme sözleşmesinde "anonimleştirilmiş veri" tanımı vardır. O tanım, stilistik analiz yapan güncel modelleri kapsamaz.
Bak, iki kolay tepki var. İkisi de yanlış.
Birincisi: "Bu uç bir örnek, gerçek ürünler için değil." Şimdilik doğru. Kelsey Piper'ın geniş bir dijital izi var. Onu tanıması şaşırtıcı değil. Ama model, Piper'ın yakın çevresini de doğru tahmin etti — ezberlediği değil, stilistik olarak çıkardığı insanlar. Yani kapasite zaten çeperlere yayılmış.
İkincisi: "Bu Anthropic'in sorunu, bizim değil." Hayır. Ürününüz verileri AI API'sine gönderiyorsa, o kararı siz veriyorsunuz. Kullanıcı mahremiyetinin son noktası sizsiniz.
Peki ne yapılabilir?
Tek bir doğru cevap yok. Ama doğru sorular var.
AI özelliğimiz hangi tür metin gönderiyor? Bu metinler stilistik analiz için yeterli mi? Compliance sürecimiz "anonimleştirme = yeterli" üzerine mi kurulu? Hukuk ekibimiz bu spesifik gelişmeden haberdar mı?
Bunlar alarm soruları değil. Güncel kalma soruları.
Eşik düşecek. Altı ay, bir yıl sonra belki 40 kelime yetecek. Belki farklı bir dil. Belki daha az dijital izi olan biri.
Bu, anonimleştirmeyi bırakmak anlamına gelmiyor. Ama tek kontrol katmanı olarak görmek artık yetmiyor.
"Veriyi anonimleştirdik" cümlesi şimdiye kadar bir konuşmayı kapatırdı.
Şimdi açıyor.