YAPAY ZEKÂNIN DÜZENLENMESİNDE YENİ BİR DÖNEM: AB YAPAY ZEKÂ YASASI

AB Yapay Zekâ Yasası (2024/1689), 12.07.2024 tarihli AB Resmî Gazetesi’nde yayımlandı. Yapay zekânın potansiyel risklerini ve bu teknolojinin toplum üzerindeki etkilerini ele almak amacıyla oluşturulan ve dünya genelinde yapay zekâya ilişkin kapsamlı ilk yasal çerçeve olan bu düzenlemenin getirdiği temel kurallar ile yapay zekâ sistemlerinin temel haklara, güvenliğe ve etik ilkelere saygı göstermesini sağlamak ve güçlü/etkili yapay zekâ modellerinin risklerini ele alarak Avrupa'da ve ötesinde güvenilir yapay zekânın teşvik edilmesi amaçlanmaktadır.

Düzenleme kapsamında, farklı gereklilikler ve yükümlülüklere tabi yapay zekâ sistemleri için “risk temelli yaklaşıma” uygun bir sınıflandırma sunulmaktadır. Bu çerçevede örneğin; “kabul edilemez” riskler ortaya çıkaran birtakım yapay zekâ sistemleri yasaklanırken; bireylerin sağlığı, güvenliği veya temel hakları üzerinde zararlı etkiler doğurabilecek “yüksek riskli” yapay zekâ sistemlerine, belirli yükümlülüklerin yerine getirilmesi koşuluyla, izin verilmektedir.

Bu çerçevede yazının devamında; mevcut düzenlemenin amacı ve kapsamı, getirdiği yenilikler ve ortaya çıkardığı temel zorluklar, risk kategorilerine göre yapay zekâ sistemlerinin sınıflandırılması ve ihlal durumunda öngörülen yaptırımlar gibi hususlar, IAPP AI Governance Center tarafından hazırlanan "EU AI ACT:101" başlıklı çalışma üzerinden özetlenmiştir.

YAPAY ZEKÂ YASASI'NIN AMACI

• AB değerleri ile uyumlu bir şekilde, AB’de yapay zekâ geliştirilmesi, pazarlanması ve kullanımı için kapsamlı bir yasal çerçeve oluşturmak.
• Sağlık, güvenlik ve temel hakların -demokrasi, hukukun üstünlüğü ve çevrenin korunması da dahil olmak üzere- yüksek düzeyde korunmasını sağlarken, insan merkezli ve güvenilir yapay zekânın benimsenmesini teşvik etmek.
• AB’de yapay zekâ sistemlerinin zararlı etkilerini azaltırken yeniliği desteklemek.

YAPAY ZEKÂ YASASI'NIN GETİRECEĞİ TEMEL DEĞİŞİKLİKLER

• Yapay zekâ sistemlerini risk düzeyine göre sınıflandırır ve risk sınıflandırmasına bağlı olarak geliştirme, dağıtım (deployment) ve kullanım gerekliliklerini zorunlu kılar.
• Genel amaçlı yapay zekâ modellerini denetlemek, standartlar ve test uygulamaları geliştirilmesine katkıda bulunmak ve üye devletler arasında kuralları uygulamak üzere Yapay Zekâ Ofisi’ni (AI Office); Avrupa Komisyonu ve üye devletlerin yetkili otoritelerine tavsiye vermek ve yardımcı olmak üzere Yapay Zekâ Kurulunu (AI Board); Kurula ve Komisyona tavsiyede bulunmak ve teknik uzmanlık sağlamak üzere Danışma Forumunu (Advisory Forum); Yasa’nın uygulanmasını ve icrasını desteklemek üzere bağımsız uzmanlardan oluşan Bilimsel Paneli (Scientific Panel) kurar.
• Kabul edilemez risk taşıyan yapay zekâyı yasaklar.
• Temel haklar etki değerlendirmeleri ve uygunluk değerlendirmeleri de dahil olmak üzere, yüksek riskli yapay zekâ sistemleri için artırılmış teknik ve belgeleme gereklilikleri getirir.
• İnsan gözetimi ve veri yönetişimi gerektirir.

YAPAY ZEKÂ YASASI'NIN ORTAYA ÇIKARDIĞI TEMEL ZORLUKLAR

• Yapay zekâ sistemlerinin geliştirilmesi ve kullanımında sürdürülebilir ve sorumlu veri işleme yoluyla kişisel verilerin, özel hayatın ve iletişimin gizliliğinin korunmasına ilişkin temel hakları korumak.
• Yapay zekâ ekosisteminde yeniliği ve rekabetçiliği teşvik etmek ve gelişimini kolaylaştırmak.
• Yapay Zekâ Yasası ile veri koruma, fikri mülkiyet ve veri yönetişimi de dahil olmak üzere yapay zekâ için geçerli olan mevcut kurallar arasındaki etkileşimi anlamak.
• Oluşmakta olan karmaşık denetim ve uygulama paydaş haritasında yolunu bulmak. 
• Kuruluşlar içerisinde uygun çok disiplinli yönetişim yapıları tasarlamak ve bunları uygulamak.

YAKLAŞMAKTA OLAN ÖNEMLİ TARİHLER

• Yapay Zekâ Yasası, AB Resmî Gazetesi’nde 12.07.2024 tarihinde yayımlanmış olup 01.08.2024 tarihinde yürürlüğe girecektir. Yürürlüğe girmesinden 24 ay sonra, aşağıdaki kademeli yaklaşımla, tamamen uygulanabilir olacaktır.
• 02.02.2025: Kabul edilemez risk taşıyan yapay zekâya ilişkin yasaklar uygulanabilir hâle gelecektir.
• 02.08.2025: Genel amaçlı yapay zekâ yönetişimine ilişkin yükümlülükler uygulanabilir hâle gelecektir.
• 02.08.2026: Yüksek risk taşıyan sistemlere ilişkin yükümlülükler de dâhil olmak üzere Yapay Zekâ Yasası’nın tüm kuralları uygulanabilir hâle gelecektir.
• 02.08.2027: Diğer tüm yüksek riskli sistemlere ilişkin yükümlülükler uygulanabilir hâle gelecektir.    

KAPSAM İÇİNDEKİ KURULUŞLAR: Üçüncü bir ülkede yerleşik olsa dahi, AB pazarına yerleştirilen, AB pazarında hizmete sunulan veya AB’de kullanılan yapay zekâ sistemlerinin veya genel amaçlı yapay zekâ modellerinin sağlayıcıları, ithalatçıları ve dağıtıcıları.        

"YAPAY ZEKÂ SİSTEMİ"NİN TANIMI: Değişken düzeylerde özerklikle çalışacak şekilde tasarlanmış, dağıtım sonrası adaptasyon sergileyebilen ve aldığı girdilere dayanarak açık veya örtülü hedefler doğrultusunda tahmin, içerik, tavsiye veya kararlar gibi çıktılar üreten, bu çıktılarla fiziksel veya sanal ortamları etkileyebilen makine tabanlı bir sistem.         

RİSK DÜZEYLERİ/KATEGORİLERİ

A. Yasaklanmış Yapay Zekâ Uygulamaları

Temel hakları ihlal etmesi nedeniyle AB değerlerine aykırı olan zararlı yapay zekâ kullanımlarının sınırlı bir kümesi olup şunları içermektedir:

• Sosyal davranış puanlama sistemleri
• İş yerinde ve eğitimde duygu tanıma sistemleri
• Bireylerin yaşları veya engellilik durumları gibi savunmasızlıklarından faydalanmak için kullanılan yapay zekâ
• Davranışsal manipülasyon veya özgür iradenin engellenmesi
• Yüz tanıma için, hedefleme yapılmaksızın yüz görüntülerinin kazınması (scraping)
• Belirli hassas özellikler kullanan biyometrik sınıflandırma sistemleri
• Belirli öngörücü kolluk uygulamaları
• Sınırlı ve yetkilendirilmiş durumlar haricinde, kolluk kuvvetlerinin gerçek zamanlı biyometrik tanımlamayı kamuya açık olarak kullanması

B. Yüksek Riskli Yapay Zekâ Sistemleri

Sağlık, güvenlik veya temel haklar açısından önemli risk taşıyan yapay zekâ sistemleri, aşağıdaki kategoriler dahil olmak üzere:

• Profilleme
• Tıbbi cihazlar
• Araçlar
• Duygu tanıma sistemleri
• Kolluk kuvveti
• Kredi puanlama

Bir ürünün güvenlik bileşeni olarak kullanılan veya kendisi bir ürün olan ve ilgili AB sektörel ürün güvenliği yasaları tarafından düzenlenen yapay zekâ sistemleri.

C. Genel Amaçlı Yapay Zekâ Modelleri

Önemli bir genellik sergileyen, piyasada nasıl konumlandırıldıklarından bağımsız olarak çok çeşitli görevleri yetkin bir şekilde yerine getirme kapasitesine sahip olan ve çeşitli alt sistemlere ya da uygulamalara entegre edilebilen yapay zekâ modelleri. 

D. Sistemik Riskler Taşıyan Genel Amaçlı Yapay Zekâ Modelleri 

İleri düzey genel amaçlı yapay zekâ modellerinde kaydedilen yeteneklere eş değer veya bu yetenekleri aşan “yüksek etki kapasitesi”ne sahip genel amaçlı yapay zekâ modelleri.

 Bu modeller aşağıdakilerden biri olmalıdır:

• Uygun teknik araçlar, göstergeler ve kriterler kullanılarak değerlendirilen yüksek etki kapasitelerine sahip olmaları.
• Komisyon veya Bilimsel Panel tarafından sistemik riskler taşıyan genel amaçlı yapay zekâ olarak belirlenmeleri.

E. Şeffaflık Gereklilikleri

Belirli yapay zekâ sistemlerinin sağlayıcıları ve dağıtıcılarına (deployers) özel şeffaflık yükümlülükleri getirilmektedir.

Bir yapay zekâ sistemi; hem şeffaflık gerekliliklerine hem de yüksek riskli yapay zekâ sistemleri veya genel amaçlı yapay zekâ modellerine ilişkin gerekliliklere tabi olabilir.

TEMEL GEREKLİLİKLER

A. Yasaklanmış Yapay Zekâ Uygulamaları

Bu tür yapay zekâ sistemleri, Yapay Zekâ Yasası kapsamında yasaklanmıştır.

B. Yüksek Riskli Yapay Zekâ Sistemleri

Bu tür sistemlerde sağlayıcıların, aşağıdakileri temin etmeleri gerekmektedir:

• Risk yönetimi
• Veri kalitesi ve yönetişimi
• Belgeleme ve izlenebilirlik
• Şeffaflık
• İnsan gözetimi
• Doğruluk, siber güvenlik ve sağlamlık
• Uygunluk değerlendirmeleri yoluyla uyumluluğun kanıtlanması
• Kamu otoriteleri tarafından kullanılıyor ise, kolluk kuvvetleri veya göç ile ilgili kullanımlar haricinde, kamuya açık bir AB veri tabanına kayıt yapılması 

C. Genel Amaçlı Yapay Zekâ Modelleri

Sağlayıcıların, aşağıdakileri temin etmeleri gerekmektedir:

• Temel haklar etki değerlendirmeleri ve uygunluk değerlendirmeleri gerçekleştirilmelidir.
• Sistemik riskleri sürekli olarak değerlendirmek ve bunları azaltmak için risk yönetimi ve kalite yönetim sistemleri uygulanmalıdır.
• Bireyler, yapay zekâ ile etkileşime girdiklerinde bilgilendirilmelidirler. Yapay zekâ içeriği etiketlenmeli ve tespit edilebilir olmalıdır.
• Doğruluk, sağlamlık ve siber güvenlik açısından test edilmeli ve izlenmelidir.

Sistemik risk taşıyan genel amaçlı yapay zekâ modelleri, daha fazla test ve raporlama gerekliliklerine tabidir.

D. Sistemik Riskler Taşıyan Genel Amaçlı Yapay Zekâ Modelleri 

Sistemik riskler taşıyan genel amaçlı yapay zekâ modelleri için belirli yükümlülükler şunları içermektedir:

• Standartlaştırılmış model değerlendirmesi ve saldırı testleri
• Olası sistemik risklerin değerlendirilmesi ve azaltılması
• Ciddi olayların ve düzeltici önlemlerin belgelendirilmesi
• Sistemik riskler taşıyan genel amaçlı yapay zekâ modellerinin yeterli düzeyde siber güvenlik ve fiziksel altyapı seviyesine sahip olması
• Uygulama kurallarına uyum sağlanması
• Ticari sırların yanı sıra, elde edilen her türlü bilgi veya belge için 78. maddede belirtilen gizlilik gerekliliklerine uyum sağlanması

E. Şeffaflık Gereklilikleri

Gerçek kişilerle doğrudan etkileşime giren yapay zekâ sistemlerinin sağlayıcıları, bireysel kullanıcıların bir yapay zekâ sistemi ile etkileşimde olduklarının farkında olmalarını garanti edecek şekilde yapay zekâ sistemleri tasarlamalı ve geliştirmelidir.

Sentetik ses, görüntü, video veya metin içeriği üreten ve genel amaçlı yapay zekâ sistemlerinin sağlayıcıları, çıktıların makine tarafından okunabilir bir formatta işaretlendiğinden ve yapay zekâ tarafından oluşturulduğunda veya manipüle edildiğinde bunun tespit edilebildiğinden emin olmalıdır.

Duygu tanıma veya biyometrik sınıflandırma sistemlerinin dağıtıcıları (deployers), sistemin işleyişi hakkında gerçek kişileri bilgilendirmelidir.

Kamuyu ilgilendiren konularda kamuyu bilgilendirmek amacıyla deepfake üreten veya metinleri değiştiren yapay zekâ sistemlerinin dağıtıcıları, açıklama gerekliliklerine uymalıdırlar.

ÖNEMLİ HÜKÜMLER

Şeffaflık: Belirli yapay zekâ sistemlerine, örneğin sohbet botlarının kullanımı aracılığıyla manipülasyon riskinin açık olduğu durumlar gibi, gereklilikler getirilmiştir. Kullanıcılar, bir makine ile etkileşimde olduklarının farkında olmalıdırlar.

Temel Haklar Etki Değerlendirmeleri: Kamu hukuku tüzel kişileri, kamu hizmeti sağlayan özel operatörler ve kredibiliteyi, acil durum çağrılarını ya da hayat ve sağlık sigortası risk ve fiyatlandırmasını değerlendirmek için yapay zekâ sistemlerini kullanan özel operatörler, dağıtımdan önce, sistemlerin temel haklar üzerindeki etkisini değerlendirmelidir. Veri koruma etki değerlendirmesi gereken durumlarda, temel haklar etki değerlendirmesi, söz konusu veri koruma etki değerlendirmesi ile birlikte yürütülmelidir.

Uygunluk Değerlendirmeleri: Ürünlerin güvenlik bileşenleri olan veya kendileri de AB ürün güvenliği yasaları kapsamında bulunan yapay zekâ sistemleri için, bu sistemler AB pazarına sürülmeden önce veya yüksek riskli bir yapay zekâ sistemi önemli ölçüde değiştirildiğinde uygunluk değerlendirmeleri gerçekleştirilmelidir. Yapay zekâ sistemlerinin ithalatçıları, yabancı sağlayıcının, öncesinde uygunluk değerlendirmesi prosedürünü uygun bir şekilde yürüttüğünden emin olmalıdır.

Üretici Yapay Zekâ: Sentetik ses, görüntü, video veya metin içeriği üreten sağlayıcılar, içeriğin makine tarafından okunabilir bir formatta işaretlenmesini ve yapay olarak üretilmiş veya manipüle edilmiş olarak tespit edilebilir olmasını sağlamalıdırlar.

UYGULAMA VE CEZALAR

Avrupa Komisyonu bünyesinde yer alan Yapay Zekâ Ofisi, model ve sistemin aynı sağlayıcı tarafından temin edildiği genel amaçlı yapay zekâ modellerine dayalı yapay zekâ sistemlerini denetleyecektir. Bu Ofis, pazarın gözetim otoritesinin yetkilerine sahip olacaktır. Ulusal pazar gözetim otoriteleri, diğer tüm yapay zekâ sistemlerinin denetiminden sorumludur.

Yapay Zekâ Ofisi, üye ülkeler arasındaki yönetişimi koordine etmek ve genel amaçlı yapay zekâ ile ilgili kuralların uygulanmasını denetlemek için çalışacaktır.

Üye devlet otoriteleri, uyarılar ve parasal olmayan tedbirler de dahil olmak üzere, cezalar ve diğer uygulama tedbirlerine ilişkin kuralları belirleyecektir.

Bireyler, pazar gözetimi faaliyetlerini başlatabilecek yetkili ulusal makama, ihlal durumuna yönelik olarak şikâyette bulunabilirler. Yasa’da bireysel zararlar öngörülmemektedir.

 Şunlar için cezalar öngörülmektedir:

• Yasaklanmış yapay zekâ ihlallerinde; küresel yıllık cironun %7’sine veya 35 milyon avroya kadar,
• Diğer ihlallerin çoğunda; küresel yıllık cironun %3’üne veya 15 milyon avroya kadar,
• Otoritelere yanlış bilgi verilmesi durumunda; küresel yıllık cironun %1’ine veya 7.5 milyon avroya kadar.

Yapay Zekâ Kurulu; düzenlemenin uygulanması konusunda tavsiyelerde bulunacak, ulusal otoriteler arasında koordinasyon sağlayacak ve öneriler ile görüşler yayımlayacaktır.

DAHA FAZLA DÜZENLEME YAPILMASI

Komisyon, aşağıdaki konularda düzenlemeler çıkarabilir:

• Yapay zekâ sisteminin tanımları
• Yüksek riskli yapay zekâ için kriterler ve kullanım örnekleri
• Sistemik risk taşıyan genel amaçlı yapay zekâ modellerine ilişkin eşikler
• Genel amaçlı yapay zekâ için teknik belgeleme gereklilikleri
• Uygunluk değerlendirmeleri
• AB uygunluk beyanları

Yapay Zekâ Ofisi, genel amaçlı yapay zekâ modelleri sağlayıcılarının yükümlülüklerini kapsayacak, ancak bunlarla sınırlı olmayacak şekilde, uygulama kuralları hazırlayacaktır. Uygulama kuralları, düzenlemenin yürürlüğe girmesinden sonraki en geç dokuz ay içerisinde hazır olmalı ve uygulanmaya başlamadan önce en az üç aylık bir süre tanınmalıdır.