Yapay zekanın kullanımının hızla yaygınlaşması ve hayatın her alanında kendine yer bulması ile birlikte, bu teknolojinin karmaşıklığı ve özel nitelikleri göz önünde bulundurularak, yapay zeka sistemlerinin güvenli ve etik bir şekilde geliştirilmesi, dağıtılması ve kullanılmasını düzenleyen yasal bir çerçevenin oluşturulması zorunlu hale gelmiştir.
Türkiye’de Yapay Zekanın Düzenlenmesine İlişkin Gelişmeler
Yapay zeka teknolojilerinin güvenli, şeffaf ve insan haklarına saygılı bir şekilde gelişimini teşvik etmenin yanı sıra kullanıcıların ve toplumun genel güvenliğini, haklarını ve özgürlüklerini korumayı hedefleyerek, yapay zekanın etik gelişimini ve kişisel verilerin korunmasını sağlamak üzere bu alandaki ilk yasal düzenleme niteliğini taşıyan ve 1 Ağustos 2024 tarihinde yürürlüğe giren Avrupa Birliği Yapay Zeka Yasası’nın (“AI Act”), öncü mevzuat olarak bir çok ülke için, yapay zeka ve bağlantılı hususlarda ulusal politika ve stratejilerini belirlemede ve mevzuat çalışmalarında rehber olacağı değerlendirilmektedir.
AI Act ile ilgili yazımıza buradan ulaşabilirsiniz.
Türkiye’de Düzenleme Adımları
AI Act’in Avrupa Birliği’nde (“AB”) onaylanmasının ardından, bu konuda Türkiye’de de düzenleyici bir çerçeve oluşturulması amacıyla, Yapay Zeka Kanun Teklifi ("Teklif"), 24 Haziran 2024 tarihinde Türkiye Büyük Millet Meclisi'ne sunulmuştur.
AI Act ile getirilen düzenleyici çerçeve, yapay zekanın sunduğu yenilikçi çözümlerden faydalanırken, olası riskleri minimize etmeye yönelik stratejiler geliştirilmesini de içeren, risk seviyelerine göre farklı düzenlemeler ve gereksinimler öngörmektedir. AI Act ile Teklif’i karşılaştırdığımızda, Teklif, AI Act’in bazı düzenlemelerinden esinlenmiş olmakla birlikte, kapsam açısından bakıldığında, mevcut teklifin çok daha dar bir çerçeve sunduğu görülmektedir.
Teklif’te, detaylı sınıflandırmalar ve sınıflandırmalar özelinde yükümlülüklerin detaylı bir şekilde belirlenmediği, uygunluk değerlendirmesi mekanizmaları konusunda da eksikliklerin bulunduğu, temel hak ve özgürlükler bağlamında ayrıntılı analizlere yapay zeka sistemlerin bireylerin temel hak ve özgürlükleri üzerindeki etkilerinin yeterince ele alınmadığı, tanımların dünya genelindeki mevcut tartışmaların gerisinde kalan ve yanlış anlaşılmalara yol açabilecek şekilde düzenlendiği görülmektedir. İçerik ve kapsam dışında, Teklif, mevcut haliyle, kanun hazırlama metodolojisi bakımından önemli eksiklikler içermektedir.
AI Act’in Teklif ile Karşılaştırmalı Olarak Değerlendirilmesi
AI Act, yapay zeka sistemlerinin topluma zarar verme riski arttıkça, uygulanacak kuralların da o oranda katı olacağı "risk temelli" bir yaklaşımı benimsemektedir. Bu yaklaşım, yapay zeka teknolojilerinin güvenli, etik ve şeffaf bir şekilde kullanılmasını sağlamak amacıyla risk düzeyine göre farklı düzenlemeler öngörmektedir. Yüksek riskli uygulamalar daha sıkı denetim ve uyum gerekliliklerine tabi tutulmuşken, düşük riskli uygulamalar için daha hafif düzenlemeler ile her bir kategori için uygun düzenlemeler yapılmıştır. Bu yaklaşım, toplumsal güvenliği koruma ve teknolojik yenilikleri teşvik etme dengesini gözeten bir yaklaşım olması bakımından önemlidir. Teklif’teki en önemli eksikliklerden biri, risk yönetimi ve değerlendirme ile ilgili düzenlemenin tüm risk sınıflandırmaları, önlemler ve uygunluk denetimleri bakımından torba bir düzenleme getirmesidir.
AI Act, yapay zeka sistemlerini (i) kabul edilemez, (ii) yüksek, (iii) sınırlı ve (iv) düşük risk olmak üzere dört ana risk seviyesine göre sınıflandırmakta ve bu risk seviyelerine göre de geliştirici ve kullanıcılar için yükümlülükler ve gereksinimleri düzenlemektedir. Teklif’te yapay zeka sistemleri bakımından böyle bir sınıflandırma yapılmamış, yapay zeka sistemlerinin geliştirilmesi ve kullanılması sırasında risk değerlendirmesi yapılması gerektiğinin düzenlenmesi ile yetinilmiştir. Yapay zeka sistemleri ile ilgili yapılacak mevzuat çalışmasında, AI Act’teki düzenlemeler ile pararlel olacak şekilde sınıflandırmalar yapılmalı ve bu sınıflandırmaya göre yükümlülükler dağıtılmalıdır.
AI Act’te kabul edilemez risk kategorisi, en yüksek risk seviyesi olup, AB değerleri ve temel hakları ile uyumsuz olan bilinçaltı manipülasyonu, kişilerin zayıflıklarının sömürülmesi, kamusal alanlarda gerçek zamanlı uzaktan biyometrik tanımlama, yüz görüntülerinin kazınması gibi uygulamalar içeren yapay zeka sistemlerinin AB’de yasaklanmasını öngörmektedir. Dolayısıyla Türkiye’de bu alanda yapılacak bir yasal düzenlemede de AB ile paralel şekilde kabul edilemez risk kategorisindeki yapay zeka sistemlerinin yasaklanması gerekmektedir.
Yüksek riskli yapay zeka sistemleri ise insanların sağlık ve güvenliğini, temel haklarını veya çevreyi olumsuz etkileyebilecek tüm yapay zeka uygulamalarını kapsamakta ve kritik altyapının yönetimi ve işletilmesi, temel özel ve kamu hizmetlerine ve yardımlarına erişim, göç, sığınma ve sınır kontrol yönetimi gibi yapay zeka sistemlerini yüksek riskli olarak sınıflandıracak ek alanlar belirlenmiştir.
Yüksek risk kategorisinde olan yapay zeka sistemleri bakımından AI Act, bu sistemlerin sağlayıcıları/tedarikçileri tarafından bir kalite yönetim sistemi/risk yönetim sistemi oluşturulması, yüksek kaliteli veri kümelerinin kullanılması, teknik dokümantasyon/belgeleme, kayıt tutma yükümlülüğü, şeffaflık ve kullanıcılara bilgi sağlanması gibi gereklilikler öngörülmesinin yanı sıra, yapay zeka sisteminin AB pazarına sunulmasından veya hizmete sunulmasından önce sistemin AI Act’e uygun olduğuna ilişkin bir uygunluk değerlendirmesi yapılması, halka açık olacak şekilde AB çapında Avrupa Komisyonu tarafından kurulan veri tabanına kaydettirilmesi, insan gözetimi, kullanıcılar bakımından veri koruma etki değerlendirmesi gibi ek yükümlülükler öngörülmüştür.
Sınırlı risk kategorisinde olan yapay zeka sistemleri, manipülasyon veya aldatma riski taşıyan yapay zeka sistemlerini kapsamaktadır. Bu kategorideki yapay zeka sistemleri bakımından ise AI Act’te belirli şeffaflık yükümlülükleri getirilmiştir. Bu tür sistemlerin şeffaf olması ve kullanıcılarının yapay zeka ile etkileşimde bulundukları konusunda bilgilendirilmeleri gerekmektedir.
AI Act kapsamında, düşük riskli yapay zeka sistemleri ile yukarıda belirtilen kategorilere girmeyen diğer tüm yapay zeka sistemlerini içermektedir. Hangi sistemlerin bu sınıflandırmaya dahil olduğu, belli bir tanıma veya kritere değil, bir dışlama sürecine dayanmaktadır. Ancak düşük riskli yapay zeka sistemleri denetim dışı olmayıp, AI Act’te düzenlenen insan gözetimi, gizlilik ve veri yönetimiş, şeffaflık, ayrımcılık yapmama ve adalet gibi temel prensiplere uygun olmalıdır.
Ülkemizde bu alanda yapılacak bir mevzuat çalışmasında da risk temelli böyle bir sınıflandırmanın yapılması gerektiğini düşünüyoruz.
Teklifin Değerlendirilmesi
Teklif’te yapay zeka sistemlerinin geliştirilmesi ve kullanılması sırasında alınması gereken önlemler olarak gerekli risk değerlendirmelerinin yapılması, yüksek risk içeren yapay zeka sistemleri için özel önlemler ve denetim mekanizmaları öngörülmesi, yapay zeka sistemlerinin ilgili denetim makamlarına kayıt ettirilmesi ve uygunluk değerlendirmesine tabi tutulması gibi hususlar oldukça geniş ifadeleler ile yer almış, bu önlemlerin nasıl, kim tarafından alınacağının ve bunları hangi denetim mekanizmasının denetleyeceğinin somut olarak ele alınmamış olduğu görülmektedir. Önlemlerin kimin tarafından alınacağı konusunda her ne kadar Teklif’te yapay zeka operatörlerinin tamamı bu önlemler bakımından yükümlü kılınmışsa da, risk ayrımına gitmeksizin genel ve belirlilikten uzak bir şekilde her geliştirici için aynı yükümlülüklerin öngörülmesinin yeterli olmadığı değerlendirilmektedir.
Teklif’te denetim makamının hangi kurum olacağı ya da nasıl yetkilendirileceği de belirsiz olup, idare hukuku prensiplerine aykırı şekilde denetim makamına genel bir yetki devri yapılmıştır. Yapay zeka sistemlerinin gözetim ve denetimi ile ilgili olarak hangi kurumun yetkili olacağı halen bir soru işareti. Kanaatimizce, bu alana spesifik yeni bir kurumun teşkilatlandırılması bir seçenek olabileceği gibi bu alan ile ilgili yetkilendirilebilecek mevcut kurumlardan da bu konuda yararlanılabilir. Cumhurbaşkanlığı bünyesindeki Dijital Dönüşüm Ofisi, dijital dönüşüm, siber güvenlik, milli teknolojiler, büyük veri ve yapay zeka ile ilgili çalışmaların tek çatı altında toplanması amacıyla kurulan bir kurum olup, ülkemizde yürürlüğe girecek bir yapay zeka yasası kapsamında yetkili kurum olarak faaliyet gösterebilir. Yapay zeka ve kişisel veri arasındaki yakın ilişki göz önünde bulundurulduğunda, Kişisel Verileri Koruma Kurumu bünyesinde yeni bir başkanlık ihdas edilmesi de değerlendirilebilir. Böylelikle, yapay zeka teknolojilerinin kişisel veriler üzerindeki etkileri daha etkin bir şekilde yönetilebilir ve denetlenebilir.
AI Act’teki ceza tutarlarının dikkate alınması, Türkiye açısından parasal sınırlar bakımından oldukça yüksek tutarların belirlenmesine ve geliştiricilerin Türkiye’deki faaliyetlerinin sona ermesine yol açabilecek düzeyde olmasına neden olabilir. Dolayısıyla, ceza ve yaptırımların da yeniden değerlendirilmesine ihtiyaç olabileceğini düşünüyoruz.
Sonuç ve Diğer Gelişmeler
Teklif’in tartışıldığı bir dönemde yapay zeka alanında ülkemizin ilk ulusal strateji belgesi olma özelliği taşıyan "Ulusal Yapay Zeka Stratejisi 2021-2025 Eylem Planı” ile ilgili olarak Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, yapay zeka alanında son dönemde yaşanan gelişmeler ve ülke ihtiyaçları göz önünde bulundurularak, 12. Kalkınma Planı doğrultusunda söz konusu eylem planının güncellendiğini duyurdu. Ulusal Yapay Zeka Stratejisi 2024-2025 Eylem Planı’nda yapay zeka uzmanlarını yetiştirmek ve alanda istihdamı artırmak, araştırma, girişimcilik ve yenilikçiliği desteklemek, kaliteli veriye ve teknik altyapıya erişim imkânlarını genişletmek, sosyoekonomik uyumu hızlandıracak düzenlemeleri yapmak, uluslararası iş birliklerini güçlendirmek ve yapısal ve işgücü dönüşümünü hızlandırmak olmak üzere 6 stratejik önceliğe yer verilmiş olup, yapay zeka alanında bir mevzuat çalışması yapılmasına yönelik bir hususa yer verilmemiştir.
Meclise sunulan Teklif, bu alanda bir çalışma yapılması bakımından memnun edici bir gelişme olmakla birlikte, böyle bir teklif hazırlık sürecinde daha geniş bir paydaş katılımının sağlanması ve çeşitli sektörlerden uzmanların görüşlerinin alınması, AB’deki mevzuatın adaptasyonu bakımından üzerinde daha çok çalışılması, bu alanda yapılacak bir yasama faaliyetinin ihtiyaçlara daha cevap verebilir ve uygulanabilir olmasına önemli ölçüde katkı sağlayacağını düşünüyoruz.
Bu gelişmeler ışığında Teklif’in halihazırda önerilen şekilde komisyondan geçip meclis genel kuruluna sunulması beklenmemektedir.
-----
Kişisel Verilerin Korunması ve Gizlilik
Begüm Yavuzdoğan Okumuş, Yalçın Umut Talay, Seda Takmaz