İçeriğe geç

‘Avrupa Birliği Yapay Zekâ Yasası’ Hakkında Bilinmesi Gerekenler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

1. Giriş

Avrupa Birliği’nin (AB) çığır açan Yapay Zekâ Yasası (Artificial Intelligence Act), 01 Ağustos’ta resmen yürürlüğe girmiş ve yapay zekânın Avrupa ve aslında dünya genelinde düzenlenme biçimini değiştirmiştir. Bu ilk kapsamlı yasal çerçeve, AB pazarında piyasaya sürülen ve AB’de kullanılan yapay zekâ sistemlerinin güvenli olmasını sağlamayı amaçlamaktadır.

Söylenecek ilk şey, AB Yapay Zekâ Yasası’nın kabul edilmesinden önce bile, yapay zekânın Genel Veri Koruma Yönetmeliği (General Data Protection Regulation-GDPR) sayesinde Avrupa Birliği’nde tamamen düzenlenmemiş olmadığıdır. Genel Veri Koruma Yönetmeliği kapsamında yapay zekâya karşı önceki yaptırım faaliyetleri şunları içeriyordu:

  • İtalya’da ‘ReplikaAI chatbot’unun yasaklanması;
  • İrlandalı yetkililerin müdahalesi sonrasında “Google’ın Bard AI” aracının Avrupa Birliği’nde geçici olarak askıya alınması,
  • Yapay zekâ algoritması kullanımı nedeniyle Deliveroo ve bir yemek dağıtım girişimine İtalya’da para cezası uygulanması ve
  • Genel Veri Koruma Yönetmeliği kapsamında verilen ‘Clearview AI’ cezaları.

Ancak bu düzenleme risk bazlı şu çerçeveyi ortaya koymaktadır:

1.1. Asgari risk (minimal risk)

Çoğu yapay zekâ sistemi vatandaşların hakları veya güvenliği için yalnızca asgari düzeyde veya hiç risk oluşturmaz. Zorunlu yükümlülükler yoktur, ancak kuruluşlar yine de isterlerse bunlar için ek davranış kurallarına gönüllü olarak bağlı kalabilirler. Asgari riskli yapay zekâ sistemleri genellikle elektronik posta (e-posta) spam filtresi gibi doğrudan insan etkileşimi olmayan basit otomatik görevlerdir.

1.2. Yüksek risk (high risk)

Yüksek riskli olarak belirlenen yapay zekâ sistemlerinin, (i) risk azaltma sistemleri; (ii) yüksek kalitede veri kümeleri sağlama yükümlülüğü; (iii) faaliyetlerin kaydedilmesi; (iv) ayrıntılı dokümantasyon; (v) net kullanıcı bilgileri; (vi) insan denetimi ve (vii) yüksek düzeyde sağlamlık, doğruluk ve siber güvenlik dâhil olmak üzere sıkı koşullara uyması gerekecektir.

Sağlayıcılar ve dağıtımcılar, yüksek riskli yapay zekâ ile ilgili ek yükümlülüklere tabi olacaktır. AB dışında kurulan yüksek riskli yapay zekâ sistemleri (ve aşağıda tartışılan genel amaçlı yapay zekâ model sistemleri) sağlayıcılarının, Avrupa Birliği’nde yazılı olarak yetkili bir temsilci atamaları gerekecektir. Birçok bakımdan bu, Genel Veri Koruma Yönetmeliği’ndeki veri koruma temsilcisi (data protection representative-DPR) hükümlerine benzerdir. Ayrıca, madde 49 uyarınca yüksek riskli yapay zekâ sistemleri için bir tescil koşulu da bulunmaktadır.

Yüksek riskli yapay zekâ sistemlerine örnek olarak şunlar verilebilir:

  • Örneğin su, gaz ve elektrik gibi bazı kritik altyapılar;
  • Tıbbi cihazlar;
  • Eğitim kurumlarına erişimi belirleme veya personel alımına yönelik sistemler,
  • Hukukun uygulanmasında, sınır kontrolünde, adaletin idaresinde ve demokratik süreçlerde kullanılan bazı sistemler; ayrıca biyometrik tanımlama, kategorizasyon ve duygu tanıma sistemleri.

1.3. Kabul edilemez risk (unacceptable risk)

İnsanların temel haklarına açıkça tehdit oluşturduğu düşünülen yapay zekâ sistemleri önümüzdeki yılın başlarında tamamen yasaklanacak olup; bunlar arasında şunlar yer almaktadır:

  • Kullanıcıların özgür iradesini engellemek için insan davranışını manipüle eden sistemler veya uygulamalar, örneğin küçüklerin tehlikeli davranışlarını teşvik eden sesli asistan kullanan oyuncaklar veya hükümetler veya şirketler tarafından “sosyal puanlama” yapılmasına izin veren sistemler ve bazı öngörücü polislik uygulamaları,
  • Biyometrik sistemlerin bazı kullanımları, örneğin işyerlerinde kullanılan duygu tanıma sistemleri ve kamuya açık alanlarda kolluk kuvvetlerinin amaçları doğrultusunda kişileri kategorize etmeye veya gerçek zamanlı uzaktan biyometrik tanımlamaya yönelik bazı sistemler, bazı dar istisnalar saklı kalmak üzere yasaklanacaktır.

1.4. Belirli şeffaflık riski (specific transparency risk)

Ayrıca şeffaflık yükümlülüklerine uyması gereken sınırlı riskli yapay zekâ sistemleri olarak da adlandırılır. Sohbet robotları gibi yapay zekâ sistemleri kullanıldığında, kullanıcıların bir makineyle etkileşimde olduklarının farkında olmaları gerekir. ‘Deepfake’ler ve diğer yapay zekâ ile üretilen içerikler bu şekilde etiketlenmelidir ve kullanıcılar biyometrik kategorilendirme veya duygu tanıma sistemleri kullanıldığında bilgilendirilmelidir.

Ayrıca servis sağlayıcıların, sentetik ses, video, metin ve görüntü içeriklerinin makine tarafından okunabilir bir formatta işaretlenmesini ve yapay olarak üretildiği veya değiştirildiği tespit edilebilecek şekilde sistemler tasarlamaları gerekecektir.

1.5. Sistemik risk

Sistemik risk;

  • Genel amaçlı yapay zekâ modellerinin yüksek etkili yeteneklerine özgüdür.
  • Kamu sağlığı, güvenlik, kamu güvenliği, temel haklar veya toplumun tamamı üzerinde erişim veya gerçek veya makul ölçüde öngörülebilir olumsuz etkiler nedeniyle AB pazarı üzerinde önemli bir etkiye sahiptir.
  • Ölçeklenebilir şekilde yayılabilir.

2. Genel Amaçlı Yapay Zekâ [general-purpose artificial intelligence]

AB Yapay Zekâ Yasası, şeffaflığı sağlamayı amaçlayan genel amaçlı yapay zekâ (general-purpose AI) modelleri için özel kurallar getirir. Genel olarak bu, hizmet sağlayıcı tarafından görüntü ve konuşma tanıma, ses ve video oluşturma, desen algılama, soru cevaplama, çeviri ve diğerleri gibi genel olarak uygulanabilir işlevleri yerine getirmesi amaçlanan bir yapay zekâ sistemi anlamına gelir.

Sistemsel riskler oluşturabilecek çok güçlü modeller için, riskleri yönetme ve ciddi olayları izleme, model değerlendirmesi yapma ve düşmanca test etmeyle ilgili ek bağlayıcı yükümlülükler olacak ki; bu, bilgi güvenliği sorunlarını test etmek için kırmızı takım çalışmasına benzer bir şeydir. Bu yükümlülükler, bir dizi ilgili tarafça geliştirilen uygulama kuralları aracılığıyla ortaya çıkacaktır.

3. Yaptırımlar

Piyasa gözetim otoriteleri (market surveillance authorities), AB Yapay Zekâ Yasası’nın ulusal düzeyde uygulanmasını denetleyeceklerdir. Üye devletler, en az bir piyasa gözetim otoritesi ve bir bildirim otoritesini ulusal yetkili otoriteleri olarak belirleyeceklerdir. Üye devletler, AB Yapay Zekâ Yasası’nın uygulanmasını ve yürütülmesini denetlemek amacıyla 02 Ağustos 2025 tarihinden önce ulusal düzeyde piyasa gözetim otoritelerini atamak zorundadır. Her üyenin kendi Veri Koruma Otoritesini (Data Protection Authority) ülke içi piyasa gözetim otoritesi olarak atayacağı hiçbir şekilde garanti edilmemektedir ancak Avrupa Veri Koruma Kurulu, Temmuz 2024’teki genel oturumunda bunu yapmaları için baskı yapmıştır.

AB genelinde ülke içi yaptırımların yanı sıra, Avrupa Komisyonu bünyesinde kurulacak yeni bir Avrupa Yapay Zekâ Ofisi, AB düzeyinde konuları koordine edecek ve ayrıca genel amaçlı yapay zekâ modellerine ilişkin AB Yapay Zekâ Yasası’nın uygulanmasını ve yaptırımını denetleyecektir.

Genel amaçlı yapay zekâ ile ilgili olarak, genel amaçlı yapay zekâ modelleriyle ilgili kuralları denetleme ve uygulama yetkisi yalnızca Avrupa Komisyonu’na aittir ve solo üye devletlere ait değildir. Yeni oluşturulan Yapay Zekâ Ofisi, Avrupa Komisyonu’na çeşitli görevleri yerine getirmede yardımcı olacaktır.

Bazı açılardan, bu sistem, ülke içi uygulama ile AB koordinasyonunun bir arada olduğu rekabet hukukundaki mevcut rejimi yansıtmaktadır. Ancak bu, Genel Veri Koruma Yönetmeliği’nde gördüğümüz gibi, özellikle aynı ülke içi uygulama organlarının hem Genel Veri Koruma Yönetmeliği hem de AB Yapay Zekâ Yasası’ndan sorumlu olması durumunda, AB genelinde uygulama faaliyetlerinde farklılıklara yol açabilir.

Belirli durumlarda, uygulama eyleminde şafak baskınları mümkün olabilir. Birincisi, gerçek dünya koşullarında yüksek riskli yapay zekâ sistemlerinin test edilmesiyle ilgilidir. Yasanın 60. maddesi uyarınca, piyasa gözetim otoritelerine bu tür testler üzerinde kontroller yapmak için hem uzaktan hem de yerinde habersiz denetimler yapma yetkisi verilecektir.

İkincisi, rekabet otoriteleri bu yasanın bir sonucu olarak şafak baskınları gerçekleştirebilir. Piyasa gözetim otoriteleri, rekabet otoritelerinin ilgisini çekebilecek piyasa gözetim faaliyetlerinde belirlenen bilgileri ulusal rekabet otoritelerine yıllık olarak bildirecektir. Rekabet otoriteleri, uzun yıllardır antitröst yasaları uyarınca şafak baskınları gerçekleştirme yetkisine sahiptir. Bu nedenle, rekabet otoriteleri alınan bilgi veya raporlara dayanarak şafak baskınları gerçekleştirebilir.

4. Cezalar

Ulusal bir otorite veya piyasa gözetim otoritesi, bir yapay zekâ sisteminin uyumlu olmadığını tespit ettiğinde, söz konusu sistemi uyumlu hale getirmek için düzeltici eylemler talep etme ve sistemi piyasadan çekme, kısıtlama veya geri çağırma yetkisine sahiptir.

Benzer şekilde, Avrupa Komisyonu genel amaçlı yapay zekâ uyumunu sağlamak için de bu eylemleri talep edebilir.

Yeni kurallara uymayan kuruluşlara şu şekilde para cezası verilebilir:

  • Yasaklı yapay zekâ uygulamalarının ihlalleri için 35 milyon avro veya bir önceki yılın küresel yıllık cirosunun yüzde 7’si;
  • Genel amaçlı yapay zekâ modelleri ile ilgili kurallar dâhil olmak üzere diğer yükümlülüklerin ihlali durumunda 15 milyon avro veya yüzde 3,
  • Bir talebe yanıt olarak yanlış, eksik veya yanıltıcı bilgi verilmesi halinde 7,5 milyon avro veya yüzde 1,5.

Küçük ve orta ölçekli şirketler için daha düşük eşikler, diğer şirketler için ise daha yüksek eşikler öngörülmektedir.

5. Avrupa Birliği Dışında Uygulanabilirlik [applicability outside the European Union]

Yapay Zekâ Yasası’nın ülke sınırları dışındaki uygulaması Genel Veri Koruma Yönetmeliği’ne oldukça benzemektedir ki; bu nedenle bu kurallar Birleşik Krallık ve Amerika Birleşik Devletleri (ABD) dâhil olmak üzere başka yerlerdeki kuruluşları etkileyebilir. Genel olarak, AB Yapay Zekâ Yasası, yapay zekâ sistemleri veya yapay zekâ tarafından üretilen çıktıları AB pazarındaysa veya bunların kullanımı doğrudan veya dolaylı olarak Avrupa Birliği’ndeki insanları etkiliyorsa AB dışındaki kuruluşlara uygulanacaktır.

Örneğin, bir ABD şirketinin web sitesinde Avrupa Birliği’ndeki kişilerin kullanımına açık bir sohbet robotu işlevi varsa, bu ABD işletmesi büyük ihtimalle AB Yapay Zekâ Yasası’na tabi olacaktır. Benzer şekilde, AB dışındaki bir kuruluş AB pazarına yapay zekâ sistemleri sağlamıyorsa ancak Avrupa Birliği’ndeki kişilere yapay zekâ sistemi tarafından üretilen çıktıyı (medya içeriği gibi) sunuyorsa, bu kuruluş söz konusu Yasa’ya tabi olacaktır.

İngiltere, ABD, Çin ve diğer yargı bölgeleri yapay zekâ sorunlarını kendilerine özgü yöntemlerle ele almaktadırlar.

Birleşik Krallık hükümeti, Mart 2023’te yapay zekâ düzenlemesine yaklaşımı hakkında bir teknik rapor yayınlamış ve bu raporda yapay zekâ için önerilen “yenilik yanlısı” düzenleyici çerçeve ortaya konmuş ve ardından öneriler hakkında kamuoyu istişaresi yapılmıştır. Hükümetin istişareye yanıtı Şubat 2024’te yayınlanmıştır.

O zamandan beri, İngiltere hükümeti şok edici bir seçim sonucu sayesinde değişmiş ve hükümetin yapay zekâ konusundaki pozisyonunun da değiştiği görülmüştür. Yeni İşçi Partisi Hükümeti’nin pozisyonu, Temmuz 2024’te ‘Kral’ın Konuşması’nda ortaya konulmuş ve yeni hükümet, “en güçlü yapay zekâ modellerini geliştirmek amacıyla çalışanlara yükümlülükler koymak için uygun mevzuatı oluşturmaya çalışacağını” söylemiştir. Bu yasa tasarısının nasıl görüneceğine dair henüz hiçbir ayrıntı mevcut değildir.

6. Bundan Sonrasındaki Durum

Yapay Zekâ Yasası 01 Ağustos’ta resmen yürürlüğe girmiş olup bazı özel hükümler dışında iki yıl içinde tamamen uygulanabilir hale gelecektir. Yasaklar zaten altı ay sonra ve genel amaçlı yapay zekâ ile ilgili kurallar 12 ay sonra uygulanacaktır.

7. Yapay Zekâ Paktı

Avrupa Birliği Yapay Zekâ Yasası genel olarak yürürlüğe girmeden evvel, Avrupa Komisyonu, yasal sürelerden önce AB Yapay Zekâ Yasası’nın temel yükümlülüklerini gönüllü olarak yerine getirme taahhüdünde bulunmak üzere Avrupa ve dünyanın dört bir yanındaki yapay zekâ geliştiricilerini bir araya getirmeyi amaçlayan gönüllü bir yapay zekâ paktı (artificial intelligence pact) başlatacaktır.

Avrupa Komisyonu, 550’den fazla kuruluşun yapay zekâ paktına ilgi için ilk çağrıya yanıt verdiğini söylemiş olup, bunun yaygın bir benimsemeye yol açıp açmayacağı henüz belli değildir. Avrupa Komisyonu, bir dizi gönüllü taahhüdü ana hatlarıyla açıklayan paktın taslak ayrıntılarını seçkin bir gruba yayınlamıştır ve şu anda yapay zekâ paktını Ekim ayında başlatmayı hedeflemektedir.

* Bu çalışma konusunda bkz. <https://puntersouthall.law/insights/the-eu-artificial-intelligence-act/>

Jonathan Amstrong

Çeviri: Yavuz Akbulak