Yapay Zeka Yasası: Avrupa Dijital İnovasyon Düzenlemesinde Bir Dönüm Noktası
Sonunda, gerçekleşti. 2021'de başlayan,[1] Ursula von der Leyen döneminin varsayılan sonuna yaklaşırken yeniden ivme kazanmak için durmuş gibi görünen[2] bir yolculuğun ardından, yönetişime ilişkin ilk düzenleme olan sözde "Yapay Zeka Yasası"[2] Avrupa Birliği'nin (bundan böyle 'AB' olarak anılacaktır) yapay zekasının (bundan böyle 'AI' olarak anılacaktır) 21 Mayıs 2024'te AB Konseyi tarafından nihai onayına sunuldu ve ardından 12 Temmuz 2024'te Avrupa Birliği Resmi Gazetesinde yayınlandı. Yönetmelik (AB) 2024/1689 olarak.[3]
Yapay Zeka Yasası 1 Ağustos 2024'te yürürlüğe girdi ve böylece başvurduğu kuruluşların belirlenen son tarihe, daha doğrusu son tarihlere uyması için geri sayım başladı. Aslında, diğer AB düzenlemelerinde meydana gelenlere benzer şekilde (örneğin, Yapay Zeka Yasasının dijital inovasyon düzenlemesi için bir tür üçlü oluşturduğu Dijital Hizmetler Yasası ve Kripto Varlık Piyasaları Düzenlemesi), Yapay Zeka Yasası oldukça karmaşıktır ve farklı aşamalarda uygulamaya girecek bir dizi kural bloğuna bölünmüştür. Bu aşamalı yaklaşım, çeşitli paydaşların yeni kurallara uyum sağlamak ve bunlara uymak için yeterli zamana sahip olmasını sağlar. Bu aşamalı yaklaşım, çeşitli paydaşların yeni kurallara uyum sağlamaları ve bunlara uymak için yeterli zamana sahip olacağını temin eder.
Küresel Uygunluk: Bölgesel Uygulama Kapsamı
Yapay Zeka Yasasının düzenlemeyi amaçladığı belirli konulara ve ilgili uyumluluk son tarihlerine odaklanmadan önce, Yapay Zeka Yasasının neden yalnızca Avrupa pazarı için değil, aynı zamanda dünya çapındaki paydaşlar için de önemli olduğunu açıklığa kavuşturmalıyız. Çok sayıda Avrupa Birliği yönetmelikleri ve yönergelerinde görüldüğü üzere, bu yeni yasanın bölgesel uygulama kapsamı, şirketin genel merkezinin konumuna ek olarak paydaşların hedeflediği pazara dayanmaktadır[4] İşin özü şu: Amerika Birleşik Devletleri'nden mi yoksa Pekin'den mi faaliyet gösterdiğinizin bir önemi yok; Madde 2'de belirtilen faaliyetlerden herhangi birini gerçekleştirmek için AB pazarına girerseniz Brüksel yasaları sizin için geçerli olur. Bu kavram yeni olmasa da, Yapay Zeka Yasası söz konusu olduğunda sonuçları her zamankinden daha derin olabilir. Bu aşamada Yapay Zeka Yasasının, Anu Bradford tarafından türetilen bir terim olan 'Brüksel Etkisi'nin bir başka örneği olabileceği olasılığını göz ardı edemeyiz.[5] Bradford’a göre, belli başlı durumlarda, küresel şirketler Avrupa birliği iş ağında, Avrupa Birliği yasalarına uymak zorunda olduklarından, farklı pazarlar için farklı üretim veya hizmet hatları oluşturmak yerine genellikle bu düzenlemeleri küresel olarak benimsemeyi tercih ederler. Bu durum AB'nin küresel normları ve düzenlemeleri dolaylı olarak etkilemesine yol açmaktadır. Dolaylı etkisi ve bazı ülkelerin AB ile uluslararası ticaret anlaşmaları imzalaması nedeniyle küresel bir standart haline gelen GDPR'de de benzer bir olguya zaten tanık olduk.
Bu anlaşmalar, uluslararası ticaretten kaynaklanan veri aktarımlarının bir hukuk sisteminden diğerine taşındığında koruma azalmasına maruz kalmamasını sağlamak için AB üyesi olmayan ülkenin, GDPR ilkelerine büyük ölçüde uyan iç kuralları benimsemesini açıkça gerektiriyordu. Bu tür anlaşmalara örnek olarak AB-Japonya Ekonomik Ortaklık Anlaşması ve Brexit sonrası AB-İngiltere Ticaret ve İş birliği Anlaşması gösterilebilir.
Yukarıda belirtilen kalıpların, öncelikle GDPR ile Yapay Zeka Yasası arasındaki güçlü tematik bağlantı nedeniyle, Yapay Zeka Yasası nedeniyle tekrar ortaya çıkabileceğine inanmak için çeşitli nedenler vardır. Aslında yapay zekanın çalışması, kişisel verileri içerebilecek veri kümeleri üzerinde eğitim algoritmaları gerektiriyor. Ayrıca nihai yapay zeka tabanlı yazılım ürünü de kişisel verileri işlemek için kullanılabilir. Yapay Zeka Yasası'ndan önce, belirli yapay zeka kurallarının yokluğunda, yapay zeka tabanlı yazılımlara (İK yöneticileri tarafından işe alım süreçlerinde kullanılanlar gibi) uygulanabilir hükümlerin GDPR'de bulunması tesadüf değildir. Yapay zeka kullanımlarının da dahil olabileceği, otomatik karar verme süreçlerine önemli sınırlamalar getiren 22. Madde de böyledir. Ayrıca, bu tür veri işleme faaliyetleri her zaman insan müdahalesi olasılığını (Beyanname 71'de belirtildiği gibi) ve algoritmanın açıklanabilirliğini (Beyanname 71'de belirtildiği gibi) gerektirir.
Operatörler ve Yapay Zeka: Maddi Uygulama Kapsamı
Bu öncüllere ve ön düşüncelere dayanarak, aşağıdaki satırlar Yapay Zeka Yasası tarafından belirlenen kural dizilerine kısa bir genel bakış sunmaya çalışacaktır.
Genel düzeyde Yapay Zeka Yasası, inovasyonu desteklerken sağlık, güvenlik ve temel hakların korunmasını sağlayarak iç pazarı geliştirmeyi ve güvenilir yapay zekayı teşvik etmeyi amaçlar. Özellikle KOBİ'ler ve yeni kurulan şirketler için yapay zeka sisteminin pazara yerleştirilmesi, yüksek riskli yapay zeka gereksinimleri, şeffaflık, pazar izleme ve yenilik desteği için uyumlulaştırılmış kurallar oluşturur.[6]
Bağlam göz önüne alındığında, maddi uygulama kapsamının özü aşağıdakilere dayanmaktadır: (i) operatör kategorileri; ve (ii) operasyonlarında yer alan yapay zeka türleri. Düzenlenen başlıca operatörler, sağlayıcılar ve dağıtımcılardır; burada 'sağlayıcı', yapay zekayı geliştiren veya geliştirip piyasaya sürmek için geliştiren veya kendi adı veya ticari markası altında ücret karşılığında veya ücretsiz olarak hizmete sunan herkes anlamına gelir; 'Deployer' (İngilizce provider ve developer kelimelerinin birleşimi) ise yapay zekayı özel, profesyonel olmayan faaliyetler dışında amaçlarla kullanan herkes anlamına gelir.
Yapay zeka türleri ile ilgili olarak Yapay Zeka Yasası, aşağıdakilerin sağlanması ve dağıtılması için geçerlidir:,
- 'Yapay zeka sistemleri', "çeşitli özerklik seviyeleriyle çalışmak üzere tasarlanmış ve sisteme yerleştirildikten sonra uyarlanabilirlik gösterebilen ve açık veya örtük hedefler için, aldığı girdiden, fiziksel veya sanal ortamları etkileyebilecek tahminler, içerik, öneriler veya kararlar gibi çıktıları nasıl üreteceğini çıkaran makine tabanlı sistemler" anlamına gelir;[7]
- ‘genel amaçlı yapay zeka modeli’ (bundan sonra ‘GPAI modeli’ olarak anılacaktır), herhangi bir “yapay zeka modeli” anlamına gelir; bu bir tür yapay zeka modelinin, önemli ölçüde genellik sergileyen ve geniş ölçekte kendi kendini denetleme kullanılarak büyük miktarda veriyle eğitildiği yer de dahil olmak üzere, modelin piyasaya sürülme şekline bakılmaksızın çok çeşitli farklı görevleri yetkin bir şekilde yerine getirebilen ve araştırma, geliştirme veya prototip oluşturma faaliyetleri için kullanılan yapay zeka modelleri hariç, çeşitli alt sistem veya uygulamalara entegre edilebilen, piyasaya sürülür."[8]
Bu iki tanım arasındaki farkı daha kolay anlaşılır hale getirmek için, yapay zeka sistemlerinin son kullanıcılar tarafından kullanılmaya hazır ürünler olduğu söylenebilirken, GPAI modelleri “yapay zeka sistemleri haline gelmek için örneğin bir kullanıcı arayüzü gibi daha fazla bileşenin eklenmesini gerektirir.”[9] GPAI modelleri, "genellikle AI sistemlerine entegre edilir ve onların bir parçasını oluşturur", ancak "kütüphaneler, uygulama programlama arayüzleri (API'ler), doğrudan indirmeler veya fiziksel kopyalar gibi çeşitli yollarla piyasaya sürülebilirler."[10] GPAI modelleri AI sistemlerine entegre edildiğinde, AI Yasası kapsamında 'GPAI sistemleri' olarak anılırlar.[11] Buna dayanarak, 'ChatGPT'nin bir AI sistemi olduğunu ve GPT-4'ün bir model olarak nitelendirilmesi gerektiğini söyleyebiliriz. AI Yasası, GPAI sistemlerinin yüksek riskli AI sistemleri olarak kullanılabileceğini veya bunlara entegre edilebileceğini belirtir ve GPAI sistem sağlayıcılarının, bu tür yüksek riskli AI sistem sağlayıcılarıyla işbirliği yaparak ikincisinin uyumluluğunu sağlamasını zorunlu kılar.[12]
Aşağıdaki AI kullanımlarının AI Yasası'nın maddi uygulama kapsamından açıkça hariç tutulduğunu bildirmekte fayda var:
- askeri, savunma ve ulusal güvenlik (Madde 2.3);
- kolluk kuvvetleri/yargısal işbirliğinde yabancı kamu otoriteleri veya uluslararası kuruluşlar arasındaki uluslararası işbirliği (Madde 2.4);
- bilimsel araştırma ve geliştirme (Madde 2.6);
- gerçek dünya testleri hariç, piyasa öncesi araştırma ve test (Madde 2.8); - tamamen kişisel mesleki olmayan faaliyetler (Madde 2.10);
- 'Yüksek riskli' olarak nitelendirilmedikçe veya 5. veya 50. Madde kapsamına girmedikçe, özgür ve açık kaynaklı lisanslar altında yayınlanan AI sistemleri (Madde 2.12).
Risk Tabanlı Yaklaşıma Dayalı Kategorizasyon ve Kural Setleri
Tüm bunlar göz önüne alındığında, yapay zeka sistemleri veya GPAI modelleri sağlayıcıları ve uygulayıcıları için geçerli olan yükümlülükler nelerdir?
Yapay Zeka sistemleri ile ilgili olarak, Yapay Zeka Yasası risk temelli bir düzenleyici yaklaşım oluşturur[13] ve bu da Yapay Zeka'nın ve ilgili uygulanabilir kuralların dört risk kategorisine ayrılmasına yol açar. Bu 'risk hiyerarşisi' AB Komisyonu tarafından, tepesinde açıkça yasaklanmış Yapay Zeka uygulamalarına atıfta bulunan 'kabul edilemez risk' bulunan bir piramitle
açıklanmaktadır.[14]Aşağıda kategorilerin ve ilgili yükümlülüklerinin genel bir özeti verilmiştir.
Bölüm II, açıkça yasaklanmış yapay zeka uygulamalarını listeler. Bunlara şunlar dahildir: davranışların manipülasyonu; zayıflıkların (örneğin yaş veya engellilik) istismarı; sosyal puanlama, suç işleme riskini tahmin etmek için bireyleri analiz etme; yüz tanıma için hedefsiz yüz verisi toplama; iş yerinde ve eğitimde duygusal tanıma; ırk, siyasi görüşler, sendika üyeliği, dini veya felsefi inançlar, cinsel yaşam veya yönelimi çıkarsamak için biyometrik kategorizasyon; belirli istisnalar dışında gerçek zamanlı biyometrik gözetim.
Bölüm III, kullanıcıların güvenliğini ve sağlığını olumsuz yönde etkileyebilecek yüksek riskli yapay zeka sistemlerini düzenler ve Yönetmelik uyarınca, katı gerekliliklere ve sınırlamalara uymaları koşuluyla bunların kullanımına izin verilir. Bu tür sistemler iki kategori şeklinde gruplandırılır. 6.1. Maddede bahsi geçen ilk husus, bir ürünün güvenlik bileşeni olarak tasarlandığı veya Ek I'de listelenen uyum mevzuatı kapsamındaki ürünler olduğu için yüksek riskli kabul edilen ve piyasaya sürülmeden veya hizmete sunulmadan önce üçüncü tarafça uygunluk değerlendirmesi gerektiren yapay zeka sistemleriyle ilgilidir. İkinci kategori, Ek III'te listelenen yüksek riskli yapay zeka sistemlerini kapsar. Bunlara, tıbbi cihazların güvenlik bileşenleri olarak kullanılan sistemler, bir kişinin temel özel ve/veya kamusal hizmetlere ve faydalara erişimini etkileyen sistemler ve kolluk kuvvetleri tarafından kullanılan sistemler dahildir. Ek III'te bahsi geçen bir AI sisteminin yüksek riskli olmadığını düşünen bir sağlayıcı, bu sistem piyasaya sürülmeden veya hizmete alınmadan önce değerlendirmesini belgelemelidir. Sistem yüksek risk kategorisine girerse, uyumluluk gereklilikleri çoktur ve yeterli risk yönetim sistemlerinin benimsenmesi, uygun veri eğitimi ve yönetim prosedürleri, insan denetimi ve gelişmiş siber güvenlik önlemlerini içerir.[15] Özellikle, dağıtımcılar Madde 27'de belirtilen aşağıdaki yükümlülüğe tabidir: Madde 6(2)'de belirtilen Yönetmelikte belirtilen belirli yüksek riskli AI sistemlerini dağıtmadan önce, bu sistemlerin kullanımının temel haklar üzerinde yaratabileceği etkinin bir değerlendirmesini yapmalıdırlar ('FRIA'). Yukarıda birkaç paragrafta tartışıldığı gibi, bu kural GDPR'nin Madde 35'inde ('DPIA') sağlanan veri koruma etki değerlendirmesi gereksinimini yakından yansıtmaktadır.
Bölüm IV, sınırlı riskli yapay zeka sistemlerine ayrılmıştır; yani kullanıcıların güvenliği ve hakları konusunda özel endişeler yaratmayan ve bu nedenle sağlayıcılara ve uygulayıcılara yalnızca sınırlı bir şeffaflık yükümlülüğü getirir. Bu kategori, insanlarla etkileşime giren yapay zeka sistemlerini(örneğin sohbet robotları) veya görüntü, ses veya video içeriği üreten veya işleyen sistemleri(örneğin üretken yapay zeka) içerir. Bölüm IV, bu yükümlülükleri içeren Madde 50 ile sınırlıdır. Örneğin, son kullanıcılara bir AI sistemiyle etkileşimde bulundukları veya duygularının veya özelliklerinin otomatik araçlar aracılığıyla tanındığı bildirilmelidir. Orijinaline önemli ölçüde benzeyen görüntü, ses veya video içeriği üreten veya işleyen yapay zeka sistemleri (yani deep fake) söz konusu olduğunda, meşru amaçlar için belirli istisnalar dışında, içeriğin otomatik yollarla üretildiğini beyan etme zorunluluğu olacaktır.
Son olarak, AB Komisyonu'na göre, AI destekli öneri sistemleri ve spam filtreleri gibi çoğu AI sisteminin şu anda dahil olduğu geniş bir kategori olan minimum riskli AI sistemleri bulunmaktadır.[16] Bu tür sistemler kasıtlı olarak AI Yasası kapsamından çıkarılmıştır ve bu nedenle ek yasal yükümlülükler olmaksızın AI Yasası öncesi mevzuata tabidir. AB Komisyonu, bu tür sistemlerin sağlayıcılarının güvenilir AI için gereklilikleri uygulamayı ve gönüllü davranış kurallarına uymayı gönüllü olarak seçebileceğini önermektedir.[17]
GPAI'ye gelince, Bölüm V, GPAI modellerinin sağlayıcılarının aşağıdaki ana yükümlülüklere tabi olmasını emreder: eğitim ve test süreçlerini ve değerlendirme sonuçlarını içeren teknik dokümantasyon oluşturmak; GPAI modelini kendi AI sistemlerine entegre etmeyi amaçlayan alt akış sağlayıcılarına bilgi sağla mak, uyumluluğu sağlamak için modelin yeteneklerini ve sınırlamalarını anlamalarına yardımcı olmak;Telif Hakkı Yönergesi'ne uymak için bir politika oluşturmak; GPAI'yi eğitmek için kullanılan içeriğin yeterince ayrıntılı bir özetini hazırlamak ve kamuya açık hale getirmek.[18] Ağırlıklar, model mimarisi ve kullanım gibi parametrelerin herkese açık olduğu özgür ve açık lisanslı GPAI modelleri, 'sistematik riskler' oluşturmadıkları sürece yalnızca eğitim içeriği özetlerini yayınlama ve bir telif hakkı politikası oluşturma gerekliliklerine uymak zorundadır.
Sistematik riskler, kamu sağlığı, emniyeti, güvenliği, temel hakları veya toplum üzerindeki erişim veya olumsuz etkiler nedeniyle AB pazarında önemli etkilere işaret eder ve değer zinciri boyunca yayılabilir.[19] Sistemsel riske sahip GPAI modellerinin yasal statüsüne, modelin yüksek etki yeteneklerine sahip olması, yani kayan nokta işlemlerinde ölçülen eğitimi için kullanılan toplam hesaplama miktarının 1025'ten büyük olması veya Komisyonun, Yönetmelikte öngörülen bilimsel panelden gelen nitelikli bir uyarıyı takiben veya ex officio kararıyla ulaşılır.[20] Madde 53 ve 54'te listelenen yükümlülüklere ek olarak, sistemik risk içeren GPAI modelleri sağlayıcıları birkaç ek gereksinimi yerine getirmelidir: (a) mevcut en son teknolojiyi yansıtan standart protokolleri ve araçları kullanarak değerlendirmeler yapmak; (b) Yapay Zeka modellerinin geliştirilmesi, pazarlanması veya kullanımından kaynaklananlar da dahil olmak üzere Birlik düzeyinde olası sistemik riskleri değerlendirmek ve azaltmak; (c) ciddi olayları ve olası düzeltici önlemleri gereksiz gecikme olmaksızın AI Ofisi'ne ve ilgili ulusal makamlara takip etmek, belgelemek ve raporlamak;
(d) Yapay Zeka modeli ve fiziksel altyapısı için yeterli düzeyde siber güvenlik koruması sağlamak. Sağlayıcılar, uyumlu Avrupa standartları yayınlanana kadar bu yükümlülüklere uyumu göstermek için uygulama kurallarına güvenebilir. Bu standartlara uyum, bir uyum varsayımı sağlar. Onaylanmış bir uygulama koduna veya uyumlu bir standarda uymayan sağlayıcılar, Komisyon tarafından değerlendirilmek üzere alternatif uyum yollarını göstermelidir. Ek olarak, ticari sırlar da dahil olmak üzere elde edilen herhangi bir bilgi veya belge, Madde 78 uyarınca gizli tutulmalıdır.
Şimdiye kadar önerilen genel bakışın kapsamlı olması amaçlanmamıştır ve amacı yalnızca AI Yasası'nın ön şematik bir anlayışını kolaylaştırmaktır. Yukarıdakilere dayanarak, okuyucunun piyasa operatörlerinin ve hukuk profesyonellerinin karşılaşacağı karmaşıklık hakkında gösterge niteliğinde bir fikri olmalıdır. Geriye kalan soru 'ne zaman'dır.
Yapay Zekâ Yasasının Uygulanma Tarihleri
Yapay Zekâ Yasası’nın yürürlük takvimi mevzuatın geri kalanı kadar karmaşık olduğundan ilerleyen satırlarda madde 113’te belirtilen yasanın uygulanma tarihine ilişkin bir açıklamaya yer verilecektir.
I. ve II. bölüm 2 Şubat 2025 tarihinden itibaren uygulanacaktır. I. Bölüm, uygulamanın amacı ve kapsamına ilişkin kuralları, tanımları ve 4. madde kapsamında yapay zekâ okuryazarlığına ilişkin kuralları içermektedir, buna göre yapay zekâ sisteminin sağlayıcıları ve görevlileri bu sistemde etkili olacak içeriklerin ve kişilerin yani bu sistemi kullanan kendi personelleri ve bu işe dahil olan diğer çalışanların yeterli bilgi ve yetenekleri, teknik altyapıları, eğitim ve öğrenimlerini göz önünde bulundurduğundan emin olmalıdır. Daha önce de açıklandığı gibi II. Bölüm yapay zekanın kabul edilemez riskleri uygulamalarına ilişkin yasakları içermektedir.
101. Madde hariç olmak üzere, III. Bölüm 4. Kısım, V. Bölüm, VII. Bölüm, XII. Bölüm ve 78. Madde 2 Ağustos 2025’ten itibaren uygulanacaktır. Yapay Zeka Yasası’nın III. Bölümünün 4. Kısmı, uygulama süreçlerinde yer alan kurumların yasayı yürürlüğe koyma yükümlükleri ve üye devletlerin ve uygunluk değerlendirme kurumlarının (yani yüksek riskli yapay zeka sisteminin sağlayıcıları olan uygunluk değerlendirme faaliyetlerini yapan ilgili bağımsız kurumlar) yetkililerinin sorumluluklarını değerlendirmek ve gerekli prosedürleri belirlemek ve bildirmek yükümlülüğünün yanı sıra bu kurumların göz önünde bulundurması gereken kurallar ve gereksinimleri içerir. Önceden de açıklandığı üzere V. Bölüm GPAI (Yapay Zekâ Küresel Ortaklığı) modellerine ilişkin kuralları içermektedir. VII. Bölüm, Avrupa Birliği kademesindeki yönetim ve ulusal makamların Yapay Zekâ Yasa’sını uygulaması ile ilgilidir. XII. Bölüm, işleçlerin para cezası; AB kurumları, kuruluşlar, ofisler ve acenteler için idari para cezalarının yanı sıra Yapay Zekâ Küresel Ortaklığı (GPAI) modelinin sağlayıcıları için de açıkça bir takım para cezaları içeren yapay zekâ yasasının ihlallerine yönelik yaptırımlar içermektedir. Son olarak 78. Madde; komisyonun, piyasa gözlem yetkililerinin, onaylanmış kuruluşların ve bu regülasyonda yer alan gerçek veya tüzel kişilerin görev ve faaliyetlerini yerine getirirken elde edilen bilgi ve verilere riayet etmeleri gerektiğini içeren gizlilik yükümlülüklerini ele almaktadır. Bu kurallar dizisi kısaca, Yapay Zekâ Küresel Ortaklığı (GPAI) modellerine ilişkin yükümlükler içeren ve Yapay Zekâ Yasası’nın uygulanmasını destekleyecek bürokratik müeyyide organı olacak hazırlık kuralları olarak özetlenebilir.
Bu makalede ifade edilen kriterlere ve ilgili yükümlülüklere dayalı olarak kabul edilen yüksek riskli yapay zekâ sistemlerine ilişkin Madde 6.1 hariç olmak üzere; Yapay Zekâ Yasası’nın diğer tüm maddeleri, yüksek riskli ve sınırlı riskli yapay zekâ sistemleri de dahil olmak üzere, 2 Ağustos 2026 tarihinden itibaren uygulanacaktır. Hariç tutulan bu kurallar dizisi ise 2 Ağustos 2027 tarihinden itibaren uygulanacaktır.
Yürürlük tarihlerinden bahsetmişken Avrupa Birliği Komisyonu’nun 1 Ağustos 2024’te yürürlüğe girecek olan Yapay Zekâ Yasası’nı hazırlayan kuruluşlara yardımcı olması amacıyla hazırladığı yasa önerisi olan “Yapay Zekâ Paktı’ndan” da bahsetmek önem teşkil etmektedir. Aslında Yapay Zekâ Paktı, özellikle yüksek riskli yapay zekâ sistemleriyle ilgili yükümlülükler kapsamına giren kuruluşlar başta olmak üzere, yapay zekâ yasasının farklı aşamalarında uyuma şimdiden gönüllü olarak tabi olan kurumları teşvik etmektedir. Komisyon, Kasım 2023’teki ilk çağrının 550’den fazla kurumun ilgisini çektiğini ve karşılık verdiklerini raporladı ayrıca Yapay Zekâ Paktı’nın iki ana bileşen şeklinde yapılandırıldığını açıkladı: I. Bileşen, en iyi içtihatları paylaşmak ve Yapay Zekâ Yasası’nın yürürlüğe konmasında rehberlik etmek için ağ oluştururken II. Bileşense Yapay Zekâ sağlayıcı ve dağıtıcılarının belirli eylemleri ve programlarını detaylandırılan yaptırımlar aracılığıyla ölçerek uygunluklarını göstermek istemektedir. Komisyonun beklentisi bu paktın Yapay Zekâ Yasası’nı anlama, bilgi paylaşma ve yapay zekâ sistemine olan güveni ve güvenilirliği arttırmaya fayda sağlayacağı yönündedir.
Akademi ve Hukukçular İçin Çıkarımlar
Şimdiye kadar açıklanan karmaşık nedenlerden dolayı yapay zekâ yasasının önümüzdeki aylarda hukukçular arasında çok derin etkileri olabilir ve bu dünyanın her yerindeki akademisyen ve avukatları etkileyebilir. Diğer taraftan akademisyenler, Yapay Zekâ Yasası’nın hem Avrupa birliğini hem de küresel piyasaları nasıl ve ne ölçüde etkileyebileceğini ciddi bir şekilde göz önünde bulundurmalı; insan haklarının korunması ve iş gelişimine verilen teşviğin arasında denge olup olmadığını değerlendirmelidir.
Gerçekten de Yapay Zekâ Yasa’sı, hem ciddi derecede insan hakları ihlallerine neden olurken hem de Amerikalı ve Çinli teknoloji devleri ile rekabet etmekte zorlanan AB’deki dijital girişimler için potansiyel bir tehdit oluşturmaktadır. Gerçekten de insan haklarının tek riskli alan olduğundan emin miyiz? Bu kapsamlı mevzuat sistemlerinin, Batılı ve Doğulu devlerin hakimiyetlerini engellemek yerine AB’deki girişimlerin aşırı derecede yasaya uygunluğunu değerlendirmesiyle istemeden de olsa onları engellemeyeceğinden emin miyiz? VI. Bölüm kapsamında öngörülen kurumların “sanal alan(sandbox)” mevzuatlarını da içeren inovasyonu destekleyici önlemler Brüksel’in aşırı kuralcı yaklaşımını engellemek için yeterli midir?
Bunun yanı sıra; hukukçular, yargı yetkilileri AB Pazarını hedefleyen yapay zekâ projelerine destekleme yaklaşımları üzerinde düşünmelidir. Örneğin halihazırda İstanbul’daki vasıflı bir avukatın AB standartlarına uygunluk konusunda bir Türk şirketine vekillik yapabilecek kadar hem Türk hukuku bilgisi hem de kapsamlı AB hukuku bilgisi olduğu pek de görülmemektedir (ayrıca yerel barolar birliğinin etik kuralarının buna ne ölçüde izin verdiği de göz önünde bulundurulmalıdır). Benzer bir şekilde yabancı bir şirkete danışmanlık veren AB avukatı da şirketin uyuması gereken yerel mevzuatı görmezden gelirse zorluklarla karşılaşabilecektir. Bu yüzden AB’nin GDPR gibi önceki mevzuatlarında olduğu gibi, yeni teknolojiler alanında uzmanlaşan küçük, yerel, butik büroların AB veya AB dışındaki benzer bürolarla güçlü bir ilişki kurmaları önemlidir. Bu iş birliği dijital teknolojilerle ilgili olarak gelişmekte olan hukuk piyasasını uluslararası hukuk firmalarının tekeli altına almasını önlemek için önemlidir. Küçük büroların, uluslararası büyük ağların sürümden kazanma sürecinden faydalanamadığı açıkça belli olduğundan, bu durum piyasada fiyatlarda rekabetin nasıl korunacağı sorununu doğurmaktadır. Önerilen naçizane yöntem dijital inovasyona uyumlu bütünsel bir yaklaşım geliştirmektir. Örneğin hem GDPR (Genel Veri Koruma Yönetmeliği) hem de Yapay Zekâ Yasası için gerekli olan ve sırasıyla GDPR için DPIA (Veri Koruma Etki Değerlendirmesi) ve Yapay Zekâ Yasası için FRIA kapsamında iki “etki değerlendirme” çıktısıyla sonuçlanan risk analiz süreçleri sinerjik ve entegre bir şekilde yürütülmelidir. Bu yaklaşım; birbiriyle ilgili konuların ayrı ayrı ele alınmasıyla ortaya çıkan, müvekkile mali külfet yükleyen ve konuyla ilgili farklı mevzuatlarda yer alan maddelerin gözden kaçırılmasına sebebiyet veren lüzumsuzlukları ve boşa harcanan zamanı önleyecektir.
Son olarak şunu da önemle belirtmek gerekir ki hem akademisyenler hem de hukukçular 4. Maddede yer alan Yapay Zekâ okuryazarlığına nasıl katkıda bulunabileceklerini göz önünde bulundurmalıdır.
Son Sözler
Şu ana kadar sunulan bilgiler ışığında Yapay Zekâ Yasası’nın, Avrupa Birliği içinde ve küresel etkilerinden dolayı birlik dışında da yapay zekâ regülasyonunda önemli bir adımı yansıttığı açıkça görülmektedir. Bu kapsamlı ve risk odaklı yaklaşım Avrupa Birliği’nin yapay zekâ teknolojilerinde hukuki belirlilik, temel haklar ve güvenilirlik konusundaki kararlılığının göstergesidir. Bununla birlikte yasa, özellikle piyasanın daha küçükleri için, yenilik ve rekabet üzerindeki etkisine ilişkin önemli sorunları da gündeme getirmektedir. Kademeli uygulamalar ve Yapay Zekâ Paktı AB’nin mevzuata ilişkin öğretici yaklaşımları şimdiden gönüllü olan kurumları cesaretlendirdiği ve teşvik ettiği iş birliği ortamları yarattığının göstergesidir. Ayrıyeten Yasa, yapay zekâ okur yazarlığında eğitimin ve sürekli öğrenmemin kritik rolünün de altını çizmektedir.
Sonuç olarak Yapay Zekâ Yasası, yapay zekâ teknolojilerinin gelişmesi ve denetlenmesinde kapsamlı etkileri olan emsal bir mevzuat çerçevesidir. Bu çerçeve bizi; mevzuat, inovasyon ve evrensel etkisi hakkında düşünmeye itiyor. Tüm paydaşların Yasa’nın hükümlerini derinlemesine anlamak, uyum için işbirlikçi yaklaşımlar yapmak, karmaşık ve sürekli gelişen mevzuatta başarıya ulaşmak için yapay zekâ okur yazarlığına yatırım yapmaları büyük bir önem taşımaktadır. Güvenilir yapay zekaya doğru yeni başlayan bu yolculuk yapay zekâ ekosisteminin her bir köşesinde; düzenli çabayı, etkili düşünmeyi ve provakatif faaliyetleri gerektirmektedir.
[1] The Proposal made by the EU Commission dates back to April 22, 2021. More information on the procedure and the initial draft are available at https://eur-lex.europa.eu/legal-content/EN/HIS/?uri=CELEX:32024R1689.
[2] President of the EU Commission from December 2019, re-elected in July 2024.
[3] The final version published in the Official Journal of the EU is available at https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401689.
[4] See Article 2.1, “This Regulation applies to: (a) providers placing on the market or putting into service AI systems or placing on the market general-purpose AI models in the Union, irrespective of whether those providers are established or located within the Union or in a third country; (b) deployers of AI systems that have their place of establishment or are located within the Union; (c) providers and deployers of AI systems that have their place of establishment or are located in a third country, where the output produced by the AI system is used in the Union; (d) importers and distributors of AI systems; (e) product manufacturers placing on the market or putting into service an AI system together with their product and under their own name or trademark; (f) authorised representatives of providers, which are not established in the Union; (g) affected persons that are located in the Union.”
[5] See Anu Bradford, ‘The Brussels Effect’ (2012), Northwestern University Law Review, Vol. 107, No. 1, 2012, Columbia Law and Economics Working Paper No. 533, Available at SSRN: https://ssrn.com/abstract=2770634, and more recently Bradford, Anu, ‘The Brussels Effect: How the European Union Rules the World’ (New York, 2020; online edn, Oxford Academic, 19 Dec. 2019).
[6] See Article 1 of the AI Act.
[7] Given the breadth and sensitivity of the definition, it was preferred to faithfully reproduce the text of Article 3(1) of the AI Act in this case. Also, refer to Recital 12 of the AI Act.
[8] For the same reasons, the text of Article 3(63) is faithfully reproduced.
[9] See Recital 97 of the AI Act.
[10] Idem.
[11] See Article 3(66) of the AI Act.
[12] Idem.
[13] See Recitals 26 and 27 of the AI Act.
[14] See ‘AI Act’ on the official website of the EU Commission, available at https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai.
[15] See Articles 8-17 AI Act.
[16] See ‘Artificial Intelligence – Questions and Answers’ (August 1, 2024), on the official website of the EU Commision, at https://ec.europa.eu/commission/presscorner/detail/en/QANDA_21_1683.
[17] Idem. See also Recital 165 and Article 95 of the AI Act.
[18] Such main obligations are set forth in Article 53.1. Additional obligations are provided under the remaining paragraphs of Article 53 and under Article 54.
[19] See Article 3(65) of the AI Act.
[20] See Article 51, paragraphs 1 and 2.
[21] These concerns have been raised, among others, in a recent Financial Times article, which also quotes Cecilia Bonefeld-Dahl, director-general for Digital Europe, representing the continent’s technology sector: “Extra cost of compliance on EU companies is bringing us further down,” she says. “We will be hiring lawyers while the rest of the world is hiring coders.” See Javier Espinoza, ‘Europe’s rushed attempt to set the rules for AI,’ in Financial Times (July 14, 2024), available at https://www.ft.com/content/6cc7847a-2fc5-4df0-b113-a435d6426c81.