Avrupa Komisyonu, günümüzde hızla ilerleme kaydeden ve farklı sektörlerde kullanımı gittikçe yaygınlaşan yapay zeka sistemlerinden kaynaklanan riskleri tespit etmek ve yapay zeka sistemlerini kullanan şirketlerin sorumluluklarını belirlemek adına yapay zeka sistemlerini düzenleyen“Regulation Of the European Parliament and of the Council Laying Down Harmonised Rules On Artificial Intelligence” (“Yapay Zeka Kanunu) (“Yapay Zeka Kanunu”) teklifini, 21 Nisan 2021’de Avrupa Parlamentosu’na sunmuştur. Avrupa Parlamento’sunun farklı komiteleri tarafından kanun teklifiyle ilgili görüşlerin ve değişiklik taleplerinin bildirilmesinin ardından, Avrupa Parlamentosu, 499 kabul, 28 red ve 93 çekimser oyla ilgili kanun teklifini kabul etmiştir. 9 Aralık 2023 tarihinde Avrupa Parlamentosu ile Avrupa Konseyi Yapay Zeka Kanunu konusunda anlaşmaya varmıştır.3 Bu anlaşmaya göre, Yapay Zeka Kanunu resmi olarak hem Avrupa Parlamentosu hem de Avrupa Konseyi tarafından kabul edildiğinde yasal olarak bağlayıcı hale gelecektir.4 İlgili Kanun, Avrupa Parlamentosu’nun yapay zeka üzerine daha önce kaleme aldığı ve kamuyla paylaştığı metinlerden farklı olarak bağlayıcı nitelikte olacaktır. Sonuç olarak, bu durumun sadece Avrupa Birliği üye devletleri üzerinde değil, aynı zamanda Avrupa Birliği üyeliği için başvuruda bulunan Türkiye dahil olmak üzere, küresel düzeyde de6 bir etkisi olması beklenmektedir.
İlgili Kanun düzenlemesinin içeriğine bakıldığında ise dikkat çeken en önemli nokta, yapay zeka sistemlerinin risk faktörü üzerinden sınıflandırılması ve buna göre çeşitli yükümlülüklerin belirlenmesidir. Risk faktörleri, getirdiği sorumluluğun ağırlığı bakımından ise sırasıyla: düşük/minimal risk, limitli risk, yüksek risk ve kabul edemez risk olarak dörde ayrılmaktadır. Risk faktörü arttıkça ilgili yapay zeka sisteminin tabi olduğu yükümlülükler ve sınırlamaların da arttığı gözlenmektedir. Kanun, günümüzde en yaygın şekilde kullanılan üretken yapay zeka sistemlerinden biri olan ChatGPT gibi yapay zeka sistemleri için de çeşitli yükümlülükler düzenlenmiştir. Kanun’un 4. Başlığında öngörülen kurallara göre üretken yapay zeka sistemlerinin şeffaflık ilkesine uygun bir şekilde hareket etmesi gerekmektedir. Bu nedenle, bu tür sistemlerin kullanıcılarının, ilgili işlevleri kullanırken bir yapay zeka sistemiyle etkileşimde bulunduklarının farkında olmaları gerektiği belirtilmektedir. Örneğin, bir yapay zeka sisteminin bir kişiye ait fotoğrafları kullanarak bir video içeriği hazırlaması halinde bu konuda kullanıcıları bilgilendirmelidir.
KABUL EDİLEMEZ RİSK
Kanun’un 2. Başlığının, 5. maddesinde yasaklanmış yapay zeka uygulamalarına yer verilmektedir. Yapay zeka sistemlerinin belli gruba ait kişilerin yaşı, fiziksel veya bedensel engelleri nedeniyle sahip oldukları hassasiyetlerden yararlanarak, bu kişilere fiziksel veya pskilojik zarar vermek amacıyla kullanılması hali ilgili kanun teklifiyle yasaklanmıştır. 5. Maddede toplum içinde bulunan gerçek kişilerin devlet makamları tarafından sosyal puanlaması için kullanılan yapay zeka sistemleri de yasak kapsamındadır.
Ayrıca gerçek zamanlı biyometrik kimlik tanıma sistemlerinin kovuşturma amacıyla kamuya açık yerlerde kullanılması açıkça yasaklanmıştır; ancak bu durum için çeşitli istisnalara da yer verilmiştir. Buna göre, örneğin kayıp bir çocuğun arama kurtarma çalışmaları veya insan hayatına tehlike arz eden bir terörizm olayının engellemesi halinde, gerçek zamanlı biyometrik kimlik tanıma sistemi kamuya açık yerlerde kullanılabilir olacaktır. Bu durum Covid zamanında uygulanan kamuya açık alanlarda yapılan aşı kartı uygulamasını hatırlatır niteliktedir.
Kamuya açık alanlarda kimlik tanıma sisteminin kullanılabilmesi, ancak bir mahkeme kararıyla veya bir idari makamın izniyle gerçekleştirilebilecektir. İlgili iznin kimlik tanımanın yapıldığı üye Devlet’in yetkili bir mahkemesi veya idari makamı tarafından alınacağı düzenlenmiştir. Bu durumda örneğin Almanya’da Berlin kentinde kamuya açık bir alanda kimlik tanıma sisteminin kullanıma başlanmasından önce Almanya’da yetkili bir idari makamdan veya mahkemeden izin almak gerekecektir.
YÜKSEK RİSK
Kanun’un 3. Başlığında (6. Madde) yüksek risk taşıyan yapay zeka sistemlerine uygulanacak kurallara yer verilmiştir. Bir yapay zeka sisteminin yüksek riskli olup olmadığına karar verilirken, yapay zeka sisteminin kullanım amacına bakılmakla birlikte insan hayatına herhangi bir tehlike arz edip etmediği ve/veya herhangi bir insan hakkı ihlaline sebep olup olmadığına bakılmaktadır.11 Kanun Ek-3’de ise yüksek risk içeren yapay zeka sistemlerine örnek olarak yer verilmiştir. Bunlar arasında bireylerin biyometrik olarak tanınmasına sağlayan sistemler, öğrencilerin eğitimi sırasında değerlendirilmesine yarayan sistemler, işverenler tarafından kullanılan ve işçilerin işe alınırken değerlendirilmelerinde kullanılan sistemleri örnek gösterilebilir.
Yüksek risk kategorisine giren yapay zeka sistemleri için uyulması gereken kurallar 2. Başlıkta belirlenmiştir. Özünde, ilgili yapay zeka sistemi geliştiricilerinin kapsamlı bir risk yönetim sistemi kurmaları gerekmektedir. Eğitim, doğrulama ve test için kullanılan veriler belirlenen kalite standartlarında olmalıdır (örneğin: hatasız, eksiksiz, yapay zeka sisteminin konuşlandırılacağı coğrafyaya uygun, vb.) Ayrıca, geliştiriciler teknik belgeleri ülkedeki yetkili kurumlarla paylaşmalı ve yapay zeka sistemi kullanıma açılmadan önce bu belgeler güncel olarak tutulmalıdır. Buna ek olarak, yapay zeka sistemlerinin kullanımı boyunca bir kayıt tutulmalı ve şeffaflığı sağlamak için kullanıcılara doğru kullanım için açık talimatlar verilmelidir. Ayrıca, yapay zeka sistemi bir insan tarafından denetlenmeli ve siber güvenliği sağlamak için gerekli önlemler alınmalıdır.
LİMİTLİ RİSK VE MİNİMAL RİSK
Limitli risk kategorisinde yer alan sistemler arasında, chatbot, deepfake ve his tanıma sistemlerine örnek olarak yer verilmiştir. Limitli risk kategorisinde yer alan yapay zeka sistemleri için ise üretken yapay zeka sistemlerinde olduğu gibi yine şeffaflık prensibine uymaları gerektiğinden bahsedilmektedir. Şeffaflık prensibine uyum sağlamada chatbot örneğine yer verilmiştir, buna göre, kullanıcı bir chatbot ile iletişim kurduğunun bilincinde olması için yapay zeka üreticisi ona gerekli bilgilendirmeyi yapmalıdır. Bunların dışında kalan sistemler ise minimal/ düşük riskli yapay zeka sistemleridir. Kanun’un 9. Başlığına göre ise ilgili yapay zeka sistemlerinin İş Etiği Kurallarına yer verilmesinden bahsedilmiştir.
PARA CEZASI
Kanun’un 71. Maddesinde, Avrupa Birliği üyesi devletlere idari para cezaları belirleme hakkı tanınmıştır. Ayrıca madde de belirtildiği üzere Kanun’un 5. veya 10. Maddesine aykırı davranan bir şirket, 30.000.000 Euro’ya kadar olan veya yıllık toplam gelirinin %6’sına eşit olan bir miktarı, bunlardan hangisi daha yüksekse, idari para cezası olarak ödemekle yükümlü olacaktır. 17 Kanun’un 72. Maddesinde, bir Avrupa Birliği kurumu veya organı tarafından yükümlülüklere aykırı davranılması halinde uygulanacak idari para cezalarına yer verilmiştir. Buna göre idari para cezaları Avrupa Veri Koruma Denetçisi tarafından uygulanacak olup, kabul edilemez risk teşkil eden ve 5. Madde uyarınca yasaklanmış olan yapay zeka sistemleri için uygulanacak idari para cezası miktarı 500.000 Euro’ya kadar çıkabilmektedir.
UYUM SÜRECİNDE KANUNA İLİŞKİN ELEŞTİRİLER
Kanuna İlişkin yapılan eleştirilerden biri de Kanun’a uyum sürecinde yapay zeka üretici şirketlerin masraflarının yaklaşık olarak 30.000 Euro’yu bulabilmesidir, bu durum Çevresel, Sosyal ve Kurumsal Risk Yönetimi ve Uyum süreci kapsamında Corporate Sustainability Reporting Directive (CSRD) (Kurumsal Sürdürülebilirlik Raporlama Direktifi) uyarınca Avrupa Birliği içerisinde faaliyet gösteren şirketlerin uğrayacağı toplam masraflardan miktar olarak epey düşük olduğu değerlendirilse de yapay zeka üreticilerinin teknoloji geliştirmelerinde önüne bir engel teşkil edeceği öne sürülmektedir.
ELVİN EGEMENOĞLU elvin@egemenoglu.com