Avrupa Birliği (“AB”) Yapay Zeka Tüzüğü, müzakerelerin son aşamasındadır. Konsolide edilmiş yasal metnin, 2024 yılının Şubat veya Mart aylarında yayınlanması beklenmektedir. Düzenlemelerin ilk bakışta anlaşılabilmesi için öne çıkan konular aşağıda özetlenmiştir.
Yapay zeka kullanımının neden yasal düzenlemeye tabi tutulması gerekiyor?
AB Yapay Zeka Tüzüğü (“AI Act” veya “Tüzük”), dünyanın yapay zekâ (“AI”) ile ilgili ilk kapsamlı yasal düzenlemesidir. Bu düzenlemeyle yapay zekanın AB’deki sağlık, güvenlik, temel haklar, demokrasi, hukukun üstünlüğü ve çevre açısından taşıdığı riskler ve fırsatlar ele alınmakta, ayrıca AB'nin yapay zeka iç pazarında inovasyonun, büyümenin ve rekabetçiliğin teşvik edilmesi amaçlanmaktadır.
AI, topluma ve ekonomiye önemli faydalar sağlayabilecek hızla gelişen bir teknolojidir ancak aynı zamanda istenmeyen sonuçlardan kaçınmak için ele alınması gereken yeni zorluklar ve riskler de ortaya çıkarmaktadır. Örneğin, bazı AI sistemleri önyargılı, yanlış, şeffaf olmayan ya da kullanıcılar veya üçüncü taraflar için zararlı olabilir. Bu nedenle AB üye devletleri, AI kullanımını insan merkezli ve ölçülü bir şekilde düzenlemek için birlikte hareket etmeye karar vermiştir.
AI, topluma ve ekonomiye önemli faydalar sağlayabilecek hızla gelişen bir teknolojidir ancak aynı zamanda istenmeyen sonuçlardan kaçınmak için ele alınması gereken yeni zorluklar ve riskler de ortaya çıkarmaktadır. Örneğin, bazı AI sistemleri önyargılı, yanlış, şeffaf olmayan ya da kullanıcılar veya üçüncü taraflar için zararlı olabilirler. Bu nedenle AB üye devletleri, AI kullanımını insan merkezli ve orantılı bir şekilde düzenlemek için birlikte hareket etmeye karar vermiştir.
Yapay Zeka Tüzüğü kimlere uygulanır?
AI Act’in uygulama alanı aşağıdaki tarafları kapsamaktadır:
AB içerisinde yerleşik olup olmamalarına bakılmaksızın AB’de piyasaya sürülen veya hizmete sunulan yapay zeka sistemlerinin sağlayıcılarına,
AB’de bulunan yapay zekâ sistemlerinin kullanıcılarına,
AB dışında bulunan yapay zekâ sistemleri tarafından üretilen çıktıların AB içinde kullanılması hâlinde, söz konusu sistemlerin sağlayıcılarına ve kullanıcılarına uygulanacaktır.
Bir başka deyişle; AI Act, AI sistemi AB pazarına sunulduğu veya kullanımı AB'de bulunan insanları etkilediği sürece hem AB içindeki hem de dışındaki kamu tüzel kişileri ve özel hukuk kişilerine uygulanacaktır.
Düzenleme, yüksek riskli yapay zekâ sistemlerinin hem sağlayıcılarını (örneğin bir CV tarama aracının geliştiricisini), hem de dağıtıcılarını (örneğin bu tarama aracını satın alan bankayı) ilgilendirmektedir. Artık AI sistemlerini ithal edenler, ithal ettikleri sistemin sağlayıcısı tarafından uygunluk değerlendirme prosedürünün gerçekleştirildiğinden, sistemin bir Avrupa Uygunluk (European Conformity - CE) işareti taşıdığından ve sisteme gerekli belgelendirme ve kullanım talimatlarının eşlik ettiğinden emin olmak zorunda kalacaktır.
Buna ek olarak, büyük üretken AI modelleri de (“Generative AI veya GenAI”) dahil olmak üzere genel amaçlı AI modellerinin sağlayıcıları için belirli yükümlülükler öngörülmektedir.
Ücretsiz ve açık kaynaklı AI model sağlayıcıları Tüzük’te yer alan yükümlülüklerin çoğundan muaftır. Ancak bu muafiyet, sistemik riskleri olan genel amaçlı yapay zekâ modeli sağlayıcıları için geçerli değildir.
Bu yükümlülükler, sistemler piyasaya sürülmeden önceki araştırma, geliştirme ve prototipleme faaliyetleri esnasında geçerli değildir. Ayrıca AI Act, faaliyetleri yürüten kuruluşun türüne bakılmaksızın, askeri, savunma ve ulusal güvenlik amaçlı AI sistemleri bakımından uygulanabilir değildir.
Risk kategorileri nelerdir?
AB Komisyonu («Komisyon»), yapay zekâ sistemleri için dört risk seviyesinin yanı sıra genel amaçlı modellere özgü risklerin tanımlanmasını içeren aşağıdaki şekilde risk temelli bir yaklaşım önermektedir:
Minimum risk: Diğer kategorilere dahil olmayan tüm yapay zekâ sistemleri, mevcut yasalara tabi olarak herhangi bir ek yasal yükümlülük olmaksızın geliştirilebilir ve kullanılabilir. AB'de şu anda kullanılan veya kullanılması muhtemel olan yapay zekâ sistemlerinin büyük bir çoğunluğu bu kategoriye dahil edilmektedir.
Yüksek risk: AI Act içerisinde tanımlanan sınırlı sayıdaki ve potansiyel olarak insanların güvenliğine veya temel haklarına olumsuz etki edebilecek yapay zekâ sistemleri yüksek riskli olarak kabul edilmektedir. Düzenlemenin ekinde, yapay zekâ kullanım durumlarının gelişimine uyum sağlamak amacıyla incelenebilecek olan Yüksek Riskli Yapay Zekâ Sistemleri listesi bulunmaktadır.
Bunlar aynı zamanda AB mevzuatı kapsamındaki ürünlerin güvenlik unsurlarını da içerir. Söz konusu sektörel mevzuat kapsamında üçüncü taraf uygunluk değerlendirmesine tabi oldukları durumlarda yüksek riskli olarak kabul edileceklerdir.
Kabul edilemez risk: Temel hakları ihlal ettikleri için AB değerlerine aykırı olan ve bu nedenle yasaklanacak olan çok sınırlı bilhassa zararlı AI kullanımı:
Kamu ve özel amaçlar için sosyal puanlama;
Kişilerin zayıflıklarının istismar edilmesi ve bilinçaltı tekniklerinin kullanılması;
Sınırlı istisnai durumlar hariç olmak üzere (aşağıda belirtilmiştir), kolluk kuvvetleri tarafından kamuya açık alanlarda gerçek zamanlı uzaktan biyometrik tanımlama,
Gerçek kişilerin biyometrik verilerine dayalı olarak ırklarını, siyasi görüşlerini, sendika üyeliklerini, dini veya felsefi inançlarını veya cinsel yönelimlerini tanımlamak veya tanımlamaya yönelik biyometrik kategorizasyon yapılması (Kolluk kuvvetlerinin biyometrik verilere dayalı olarak veri kümelerini filtrelemesi hala mümkün olacaktır);
Kişilerin davranışlarına ilişkin öngörü denetimi;
Tıbbi veya güvenlik amaçlı kullanımlar dışında işyerinde ve eğitim kurumlarında duygu tanıma yapılması (örneğin, bir pilotun yorgunluk seviyelerinin izlenmesi);
Yüz görüntüleri için veri tabanı oluşturmak veya genişletmek amacıyla internet veya CCTV aracılığıyla hedefsiz tarama yapılması.
Spesifik şeffaflık riski: Belirli AI sistemleri için, örnek olarak açık bir manipülasyon riskinin olduğu durumlarda (örneğin, sohbet botlarının kullanımı) özel şeffaflık gereksinimleri getirilmiştir. Bu gibi durumlarda kullanıcıların bir makine ile etkileşime girdiklerinin farkında olmaları gerekmektedir.
Buna ek olarak, AI Act, GenAI da dahil olmak üzere genel amaçlı AI modellerinden kaynaklanabilecek sistemik riskleri göz önünde bulundurmaktadır. AB'deki birçok AI sisteminin temeli haline gelmekte olan bu modeller, çeşitli görevler için kullanılabilir. Bu modellerden bazıları, yüksek kapasiteye sahip olmaları veya yaygın olarak kullanılmaları halinde sistemik riskler barındırabilmektedir. Örneğin, güçlü modeller ciddi kazalara neden olabilecek veya geniş kapsamlı siber saldırılar için kötüye kullanılabilecektir. Bir modelin zararlı önyargıları birçok uygulamaya yayması durumunda birçok birey bundan etkilenebilecektir.
Bir yapay zekâ sisteminin yüksek riskli olup olmadığını nasıl anlayabilirim?
AI Act, yüksek riskli AI sistemlerinin açık tanımını ve bunların yasal çerçeve içerisinde tanımlanmasına yönelik bir metodoloji sunmaktadır. Yüksek riskli AI sistemleri ya belirli sektörlerde uygulama alanlarında bir dizi kullanım örneği içeren ve Tüzük teklifinin "Ek III" başlıklı ekinde yer alan listenin; ya da AI’ın dayandığı belirli ürün veya hizmetleri kapsayan mevcut AB uyum mevzuatının listelendiği “Ek II” başlıklı listenin kapsamına girmektedir.
Yapay Zekâ Tüzüğü, Komisyon’a, Avrupa Yapay Zekâ Kurulu ve bağımsız uzmanlardan oluşan bilimsel panelin tavsiyelerini, paydaşlardan ve kamuoyundan gelen geri bildirimleri de dikkate alarak, Tüzük’ün eklerini değiştirme ve güncelleme yetkisi vermektedir.
Yüksek riskli yapay zekâ sistemi sağlayıcılarının yükümlülükleri nelerdir?
Sağlayıcılar, Yüksek riskli AI sistemlerini AB pazarına sokmadan veya başka bir şekilde hizmete açmadan önce, sistemi bir uygunluk değerlendirmesine tabi tutmalıdır. Bu değerlendirme, sistemlerin güvenilir bir AI için zorunlu koşullara (örneğin veri kalitesi, belgelendirme ve izlenebilirlik, şeffaflık, insan gözetimi, doğruluk, siber güvenlik ve dayanıklılık) uygun olduğunu göstermelerini sağlayacaktır. Sistem veya amacı, önemli ölçüde değiştirildiği takdirde bu değerlendirme tekrarlanmalıdır.
Yüksek riskli AI sistemlerinin sağlayıcıları, yeni koşullara uygunluklarını sağlamak ve bir ürün piyasaya sürüldükten sonra dahi kullanıcılar ve etkilenen kişiler için riskleri en aza indirmek amacıyla kalite ve risk yönetimi sistemlerini uygulamaya almak zorunda kalacaklardır.
Kamu kurum ve kuruluşları veya onlar adına hareket eden kuruluşlar tarafından kullanılan yüksek riskli AI sistemlerinin kamuya açık bir AB veri tabanına kaydedilmesi gerekecektir.
Ek III'te tanımlanan yüksek riskli kullanım durumlarına verilebilecek örnekler nelerdir?
- Karayolu trafiği ve su, gaz, ısıtma ve elektrik tedariği gibi kritik altyapı hizmetleri;
- Eğitim ve mesleki eğitim, örneğin öğrenme çıktılarının değerlendirilmesi ve öğrenme sürecinin yönlendirilmesi ve kopya çekmenin gözlemlenmesi;
- İstihdam, işçi yönetimi ve serbest mesleklere erişim, örneğin hedef odaklı iş ilanları vermek, iş başvurularını analiz etmek, filtrelemek ve adayları değerlendirmek;
- Temel özel ve kamu sektörü hizmetlerine ve yardımlarına (örneğin sağlık hizmetleri) erişim, gerçek kişilerin kredibilite değerlendirmesi, hayat ve sağlık sigortaları ile ilgili risk değerlendirmeleri ve fiyatlandırma;
- Yasaların uygulanması, sınır kontrolü, adalet ve demokratik süreçlerin idaresi alanlarında kullanılan belirli sistemler;
- Acil durum çağrılarının değerlendirilmesi ve sınıflandırılması;
- Biyometrik tanımlama, sınıflandırma ve duygu tanıma sistemleri (yasaklanmış kategoriler dışında);
- Çok büyük çevrimiçi platformların tavsiye sistemleri, halihazırda başka mevzuat (Digital Markets Act/Digital Services Act) kapsamında ele alındıkları için dahil edilmemiştir.
Genel amaçlı yapay zekâ modelleri nasıl düzenleniyor?
Gen AI modelleri de dahil olmak üzere genel amaçlı AI modelleri, çeşitli görevler için kullanılabilir ve bireysel modeller, çok sayıda AI sistemine entegre edilebilirler.
Genel amaçlı bir AI modeli üzerine inşa etmek isteyen bir sağlayıcının, sisteminin güvenli ve Tüzük ile uyumlu olduğundan emin olmak için gerekli tüm bilgilere sahip olması önemlidir. Bu nedenle Tüzük, bu tür modellerin sağlayıcılarını, alt sistem sağlayıcılarına belirli bilgileri ifşa etmekle yükümlü kılmaktadır. Bu tür bir şeffaflık, bu modellerin daha iyi anlaşılmasını sağlayacaktır.
Model sağlayıcılarının modellerini geliştirirken telif hakkı mevzuatına uygun hareket etmelerini sağlayacak politikalara sahip olmaları gerekmektedir. Buna ek olarak, bu modellerden bazılarının yüksek kapasiteye sahip oldukları veya yaygın olarak kullanıldıkları için sistemik riskler barındırabileceklerini unutmamak gerekmektedir.
Yapay Zekâ Tüzüğü geleceğe hazır mı?
Tüzük, genel amaçlı AI modellerinde yer alan sistemik riskleri sınıflandırmak için yeni kriter eklemeye izin vermektedir. Ayrıca, mevzuat düzenlemesine ilişkin sandbox ve gerçek dünya test planı unsurlarını oluşturmak amacıyla yöntemlerin değiştirilmesine de olanak sağlamaktadır.
Temel Haklar Etki Değerlendirmesi nedir? Böyle bir değerlendirme kim tarafından ve ne zaman yapılmalıdır?
Yüksek riskli bir AI sisteminin kullanımının temel haklar üzerinde bir etkisi olabilir. Bu nedenle, kamu hukukuna tabi bir kuruluş olan, özel bir operatör olmasına rağmen kamu hizmetleri sunan veya yüksek riskli sistemler sağlayan operatörler, sistemin temel haklar üzerindeki etkisinin bir değerlendirmesini yapmalı ve sonuçları ilgili ulusal makamlara bildirmelidir.
Değerlendirme, dağıtıcının yüksek riskli AI sistemini kullanacağı süreçleri, yüksek riskli AI sisteminin kullanılmasının amaçlandığı süre ve sıklığı, sistemin belirlenen bağlamda kullanımından etkilenmesi muhtemel gerçek kişi ve kişi grubu kategorilerini, bu kategorileri etkilemesi muhtemel zarar risklerini ve uygulanacak insan gözetim önlemleri ile risklerin gerçekleşmesi durumunda alınacak önlemlerin bir tanımını içermelidir.
Sağlayıcıların bu yükümlülüğü veri koruma etki değerlendirmesi yoluyla zaten yerine getirmiş olduğu durumlarda, temel haklar etki değerlendirmeleri, veri koruma etki değerlendirmeleriyle birlikte yapılacaktır.
Yapay Zekâ Tüzüğü ne zaman tam olarak uygulanabilir olacak?
Tüzük, Avrupa Parlamentosu ve Konseyi tarafından kabul edilmesinin ardından Resmî Gazete‘de yayımlanacak ve bunu takip eden yirminci günde yürürlüğe girecektir. Tüzük, yürürlüğe girmesinden 24 ay sonra kademeli bir yaklaşımla tam olarak uygulanabilir hale gelecektir. Tüzük yürürlüğe girdikten sonra:
- 6 ay: Üye devletler yasaklanmış sistemleri aşamalı olarak kaldıracak;
- 12 ay: Genel amaçlı AI denetimi yükümlülükleri yürürlüğe girecek;
- 24 ay: Tüzük, Ek III (yüksek riskli kullanım durumları listesi) içerisinde tanımlanan yüksek riskli sistem yükümlülükleri de dahil olmak üzere yürürlüğe girecek;
- 36 ay: Ek II (AB uyum mevzuatı listesi) içerisinde tanımlanan yüksek riskli sistem yükümlülükleri yürürlüğe girecektir.
Yapay Zekâ Tüzüğü nasıl uygulanacak?
Her üye devlet, Tüzüğün uygulanmasını ve hayata geçirilmesini denetlemek ve piyasa gözetim faaliyetlerini yürütmek üzere bir veya daha fazla yetkili ulusal makam belirlemelidir.
Kamu ve diğer muhataplarla ilgili resmi bir temas noktası oluşturmak ve verimliliği artırmak için, her üye devlet, ülkeyi Avrupa Yapay Zekâ Kurulu’nda da temsil edecek bir ulusal denetim makamı belirlemelidir.
Ek teknik uzmanlık; endüstri, start-up'lar, KOBİ'ler, sivil toplum ve akademi dahil olmak üzere dengeli bir paydaş seçkisini temsil eden bir danışma forumu tarafından sağlanacaktır.
Buna ek olarak, Komisyon bünyesinde genel amaçlı yapay zekâ modellerini denetleyecek, Avrupa Yapay Zekâ Kurulu ile iş birliği yapacak ve bağımsız uzmanlardan oluşan bilimsel bir panel tarafından desteklenecek yeni bir Avrupa Yapay Zekâ Ofisi kurulacaktır.
Avrupa Yapay Zekâ Ofisi'nin görevleri nelerdir?
Yapay Zekâ Ofisi'nin misyonu, Avrupa Birliği içerisinde yapay zekâ uzmanlık ve kabiliyetlerini geliştirmek ve yapay zekâya ilişkin AB mevzuatının merkezileştirilmiş bir yapıda uygulanmasına katkıda bulunmaktır.
Yapay Zekâ Ofisi, genel amaçlı yapay zekâ modelleri için yeni kuralları uygulayacak ve denetleyecektir. Bu faaliyet; kuralları detaylandırmak için uygulama esaslarının hazırlanmasını, sistemik riskleri olan modellerin sınıflandırılmasını ve uyum sürecini takip ederek Tüzüğün etkili bir şekilde uygulandığının denetlenmesini içerir. Denetim; dokümantasyon talep etme, model değerlendirmeleri yapma, uyarı durumunda soruşturma yapma ve sağlayıcılardan düzeltici eylemde bulunmalarını talep etme yetkileri ile sağlanmaktadır.
İhlal durumunda uygulanacak cezalar nelerdir?
Üye devletler, Tüzüğün gerekliliklerine uymayan AI sistemleri piyasaya sürüldüğünde veya kullanıldığında, ihlallerle ilgili olarak idari para cezaları da dahil olmak üzere etkili, orantılı ve caydırıcı cezaları yürürlüğe koymak ve bunları Komisyon'a bildirmek zorunda kalacaklardır.
Dikkate alınması gereken eşikler, Tüzük içerisinde belirlenmektedir:
- Yasaklanmış uygulamalara ilişkin ihlaller veya verilere ilişkin gerekliliklerle ilgili aykırılıklar için 35 milyon Euro'ya veya bir önceki mali yılın dünya çapındaki toplam yıllık cirosunun %7'sine kadar (hangisi daha yüksekse);
- Genel amaçlı AI modellerine ilişkin kuralların ihlali de dahil olmak üzere, Yönetmeliğin diğer gerekliliklerinden veya yükümlülüklerinden herhangi birine ayrılık durumunda 15 milyon Euro'ya veya bir önceki mali yılın dünya çapındaki toplam yıllık cirosunun %3'üne kadar;
- Bir talebe yanıt olarak onaylanmış kuruluşlara ve yetkili ulusal makamlara yanlış, eksik veya yanıltıcı bilgi verilmesi durumunda 7,5 milyon Euro'ya veya bir önceki mali yılın dünya çapındaki toplam yıllık cirosunun %1,5'ine kadar;
- Her bir ihlal kategorisi için eşik değer, KOBİ'ler için iki tutar arasından düşük olan, diğer şirketler için ise ikisi arasından yüksek olan olacaktır.
İdari para cezalarının belirlenmesinde ulusal mevzuat ve uygulamaların birbirine uyumlu hale getirilmesi amacıyla Komisyon, Kurul'un tavsiyesiyle bir kılavuz hazırlayacaktır.
Örnek teşkil etmeleri gerekmesi sebebiyle AB kurumları, kuruluşları ve organları, Tüzük ve olası cezalara tabi olacak ve Avrupa Veri Koruma Denetçisi, onlara para cezası verme yetkisine sahip olacaktır.
