Bundan birkaç yıl önce yapay zekâ dendiğinde akıllara robotlar, uzay teknolojisi ve hatta bilim kurgu filmleri gibi günlük yaşantımıza oldukça uzak konular gelmekteydi. Günümüzde ise son yıllarda hızlı bir şekilde gelişen yapay zekâ teknolojisi ile yapay zekâ tabanlı sistemlerin kullanımı mühendislik, sağlık, eğitim, tarım ve medya gibi birçok alanda yaygınlaştı ve evlerimizde kullandığımız robot süpürgeler, telefonlarımızda mevcut Siri ve Google Asistan gibi asistanlar ve ChatGPT gibi sohbet robotları ile günlük yaşantımızın ayrılmaz bir parçası oldu.
Yapay zekâ tabanlı sistemlerin yaygınlaşması ile birlikte veri güvenliği, fikri mülkiyet hakları, gizlilik ve sorumluluk alanlarında ortaya çıkan bazı sorunların giderilmesi için yasal düzenlemelerin geliştirilmesi kaçınılmaz hale geldi. Nitekim bu yönde ilk adım Avrupa Birliği’nde atıldı ve 21 Nisan 2021 tarihinde teklif edilen yasa tasarısı üzerinde gerçekleştirilen üçlü görüşmeler neticesinde 8 Aralık 2023 tarihinde Avrupa Birliği Yapay Zekâ Yasası (Yapay Zekâ Yasası) üzerinde siyasi anlaşmaya varıldı. Böylelikle son dönemde güncelliğini hiç yitirmeyen yapay zekâ uygulamaları için ilk yasal düzenleme olarak kabul edilen Yapay Zekâ Yasası’nın resmi olarak yasalaşması için bir adım daha tamamlanmış oldu.
Avrupa Komisyonu Başkanı Ursula von der Leyen tarafından yapılan açıklamada da belirtildiği üzere, Yapay Zekâ Yasası ile düzenlemelerin tanımlanabilir risklere odaklanarak Avrupa’da bilinçli inovasyonun teşvik edilmesi amaçlanır. Söz konusu yasanın, bireylerin ve işletmelerin güvenliğini ve temel haklarını garanti altına alacağına ve Avrupa Birliği’nde güvenilir yapay zekanın geliştirilmesini, yaygınlaştırılmasını ve kullanılmasını destekleyeceğine inanılmaktadır.
Yapay Zekâ Yasası, yapay zekâ sistemlerini “açık veya örtülü hedefler için, aldığı girdiden fiziksel veya sanal ortamları etkileyebilecek tahminler, içerik, öneriler veya kararlar gibi çıktıları nasıl üreteceğini çıkarsayan makine tabanlı bir sistem” olarak tanımlar ve bu sistemleri farklı kuralların geçerli olduğu dört risk kategorisine ayırır.
Kabul Edilemez Risk (Unacceptable Risk)
Toplum ve bireylerin güvenliği ve temel hakları açısından kabul edilemez risk barındıran yapay zekâ sistemlerinin kullanımının tamamen yasaklanması öngörülmüştür. Bunlar arasında manipülatif teknikler, zafiyet veya güvenlik açıklarından yararlanma, gerçek zamanlı biyometrik sınıflandırma, sosyal puanlama, önleyici kolluk, tahmine dayalı polislik, internete bağlı yüz tanıma veri tabanları ve duygu tanıma yazılımlarının işyerlerinde ve eğitim kurumlarında kullanılması ve bireylerin siyasi, dini, felsefi inançlar, cinsel yönelim ve ırkları gibi hassas özellikleri kullanılarak biyometrik olarak kategorize edilmesi yer almaktadır. Ancak kimlik tespitine ilişkin biyometrik sistemlerin kamuya açık alanlarda kolluk faaliyetlerinin yerine getirilebilmesi amacıyla kullanılabileceği kararlaştırılmıştır.
Yüksek Risk (High-Risk)
Gerçek kişilerin sağlık, güvenlik veya temel haklarına önemli ölçüde zarar verme riski oluşturan sistemler ise yüksek riskli olarak kabul edilmektedir. Bu sistemler arasında, mesleki eğitimi, istihdamı ve çalışan yönetimini etkileyen sistemler, ulaşım gibi kritik altyapılarda, hukuk alanında, özel ve kamu hizmetlerinde, göç, iltica ve sınır yönetiminde kullanılan sistemler, ürün güvenliğini etkileyen sistemler ve göç, iltica ve sınır kontrol yönetiminde kullanılan sistemler yer almaktadır. Örneğin, işe alım veya seçim için kullanılması amaçlanan sistemler, mülakat veya testlerdeki performansı değerlendirmek için kullanılan sistemler ve başvuruları elemek veya filtrelemek ya da test veya mülakatlarda adayları değerlendirmek için kullanılan sistemler yüksek riskli kabul edilir. Buna karşılık, çalışanların veya çalışan adaylarının duygu durumunu tespit eden sistemler tamamen yasaklanmıştır. Yine bireylerin kredi başvurularını doğrudan reddeden kredi puanlama sistemleri, robot destekli cerrahi uygulamalarında kullanılan sistemler ve hukuki delillerin güvenilirliğini değerlendiren sistemler yüksek riskli yapay zekâ sistemlerine örnek gösterilebilir.
Yüksek riskli olarak kabul edilebilecek sistemler için Yapay Zekâ Yasası bazı yükümlülükler öngörmektedir. Buna göre, (i) yapay zekâ temelli ilgili sisteminin ile insan hakları, çevre, sağlık ve toplum ve bireylerin güvenliği üzerindeki etkisini değerlendirecek temel haklar etki değerlendirmesi (fundamental rights impact assessment) gerçekleştirilmeli ve bu değerlendirmenin sonucu denetim makamına bildirilmelidir; (ii) risk yönetim sistemi kurulmalıdır; (iii) sistem piyasaya sürülmeden önce gerekli teknik belgeler hazırlanmalıdır; (iv) kayıt tutma kolaylaştırılmalıdır; (v) şeffaflık sağlanmalıdır (kullanıcılara bilgi verilmelidir); (vi) sağlık, güvenlik veya temel haklara yönelik riskleri önlemek veya minimize etmek için uygun insan gözetimine izin verecek tasarım yapılmalıdır; (vii) sistemin yaşam döngüsü boyunca uygun bir siber güvenlik seviyesi kurgulanmalıdır. Aynı zamanda, ilgili sistemin uygunluğunu tespit edebilmek için piyasaya sürülmeden önce uygunluk değerlendirmesinden (conformity assessment) geçmesi ve oluşturulacak bir Avrupa Birliği veri tabanına kaydedilmesi gerekir.
Sınırlı Risk (Limited Risk)
Söz konusu yasa ile öngörülen bir diğer kategori sınırlı risk barındıran sistemlere ilişkindir. Örneğin, ChatGPT gibi sohbet robotları sınırlı risk içeren yapay zekâ sistemleri arasında kalmaktadır. Bu nitelikteki yazılımlar açısından şeffaflık yükümlülüğü (transparency obligation) öngörülmüştür. Kullanıcıların özellikle gerçek kişilerden ziyade bir makine ile iletişime geçtiklerinin bilgilendirilmesi gerekmektedir. Bu şekilde bireylere başlatılan iletişime devam edip etmeme konusunda bilinçli bir karar alabilmelerine imkân tanınması amaçlanır.
Minimum Risk (Minimal Risk)
Son olarak, yapay zekâ destekli video oyunları veya spam filtreleri gibi kişilerin sağlık, güvenlik ve temel haklarına asgari düzeyde veya hiç risk oluşturmayan sistemlerin serbestçe kullanılması mümkündür. Yukarıda belirtilen yapay zekâ sistemlerinin yanı sıra Yapay Zekâ Yasası, büyük ölçekte kendi kendini denetleme sistematiği kullanılarak büyük miktarda veri ile eğitildiğinde de modelin piyasaya sürülme şeklinden bağımsız olarak çok çeşitli farklı görevleri yetkin bir şekilde yerine getirebilen bir yapay zekâ modeli anlamına gelen Üretken veya Genel Amaçlı Yapay Zekâ (General Purpose AI) sistemlerine ilişkin düzenlemeler de içermektedir. Örneğin, ChatGPT, DALL-E, Llama, PALM-E 2 – Bard, Chincilla gibi yazılımlar üretken yapay zekâ sistemleridir.
Yapay Zekâ Yasası çerçevesinde, genel amaçlı yapay zekâ modellerinin geliştiricileri, teknik dokümantasyon oluşturmak, alt tedarikçiler için bilgi sağlamak ve eğitim ve test prosedürleri hakkında bilgi sağlamak gibi belirli asgari gerekliliklere uymak zorundadır. Ayrıca bu sistemlerin telif hakkı düzenlemelerine uymaları ve üretilen ürünlerin bir filigran ile etiketlemesi de gerekmektedir.
“Sistemik Risk Yapay Zekâ Modelleri” olarak adlandırılan ve sistemik risk oluşturan büyük yapay zekâ sistemleri veya eğitim sırasında belirli bir hesaplama gücünü aşan üst düzey modeller için ise ek yükümlülükler öngörülmektedir. Bunlar arasında, örneğin, risklerin minimize edilmesi için bir sistem kurulması, uygun düzeyde siber güvenliğin sağlanması, model değerlendirmelerinin yapılması, çekişmeli testlerin (adversarial testing) yapılması, ciddi olaylarla ilgili Avrupa Birliği Komisyonu’na raporlama yapılması yer alır.
Yapay Zekâ Yasasının Uygulama Alanı ve Yaptırımlar
Yukarıda kısaca özetlenen düzenlemeler dikkate alındığında, Yapay Zekâ Yasası’nın mevcut gelişmeleri ve yapay zekâ tabanlı uygulamaların kullanım alanlarını doğrudan etkilemesi kaçınılmaz görünmektedir. Bununla birlikte, her ne kadar ilk bakışta Yapay Zekâ Yasası’nın yalnızca Avrupa Birliği’nde yerleşik üretici ve geliştiricileri etkileyeceği gözükmekteyse de düzenlemenin dünya genelinde etki yaratması öngörülmektedir. Zira, Yapay Zekâ Yasası, Avrupa Birliği’nde yerleşik olmasalar bile, yapay zekâ sistemlerinin üreticilerine, ithalatçılarına, distribütörlerine ve operatörlerine yükümlülükler getirir. Yapay Zekâ Yasası, sistemlerini veya çıktılarını Avrupa Birliği’nde bulunan kullanıcılara sağlayan Avrupa Birliği sınırları dışındaki şirketler için de geçerlidir.
Yapay Zekâ Yasası’nın gerekliliklerine uymayan kuruluşların karşılaşabileceği idari para ceza tutarları ise oldukça yüksektir. Her bir kuruluş açısından uygulanacak ceza, bir önceki mali yıla ait dünya çapındaki yıllık gelir yüzdesine veya sabit tutara (hangisi daha yüksekse) göre belirlenir. Buna göre, kabul edilemez risk barındıran ve kullanımı tamamen yasaklanmış yapay zekâ sistemlerinin kullanımı için 35 milyon Euro veya %7; öngörülen yükümlülüklerinin ihlal edilmesi halinde 15 milyon Euro veya %3 ve yanlış bilgi verilmesi durumunda 7,5 milyon Euro veya %1,5 oranında ceza uygulanması öngörülmektedir. Buna karşılık, küçük ve orta ölçekli işletmeler için idari para cezalarına daha makul azami sınırlar getirilmektedir.
Yapay Zekâ Yasasının Yürürlüğe Girmesi
Yapay Zekâ Yasası’nın 2024 yılının başlarında yürürlüğe girmesi ve yürürlük tarihinden itibaren 24 ay sonra uygulanması beklenmektedir. Ancak bazı yükümlülüklerin daha erken bir tarihte uygulanması öngörülmektedir. Örneğin, kabul edilemez risk taşıyan sistemler yürürlük tarihinden itibaren 6 ay sonra kullanılamayacaktır. Üretken yapay zekâ sistemlerine ilişkin yükümlülükler ise yürürlük tarihinden 12 ay sonra uygulanmaya başlayacaktır.
Sonuç
Yapay Zekâ Yasası’nın bir yandan Avrupa’da inovasyonu ve yapay zekâ kullanımını arttırmayı, diğer yandan ise Avrupa Birliği vatandaşlarının güvenliğini ve temel haklarını korumayı amaçladığı görülmektedir. Gerek Avrupa Birliği’nde faaliyet gösteren gerekse Avrupa Birliği’nde yerleşik kullanıcılara ürün ve hizmet sunan şirketleri kapsamına aldığı ve öngörülen ceza tutarlarının yüksekliği dikkate alındığında, ilgili kuruluşların yasa metnini, tabi oldukları kural ve yükümlülükleri incelemesi ve uyum sağlamak için şimdiden hazırlıklara başlaması gerektiği değerlendirilmektedir. Bu çerçevede, kuruluşların öncelikle bir yapay zekâ yönetişim stratejisi geliştirmesi ve süreçlerini haritalandırarak ve yapay zekâ sistemlerinin yeni kurallara uyum düzeyini değerlendirmeleri gerekir.
Yazı: Av. Sevgi Ünsal Özden, Av. Gülnur Çakmak Ergene – Erdem & Erdem
Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.