Avrupa Birliği’nde (AB) yapay zeka (AI) kullanan ürün veya hizmetler satan tüm işletmeler, nerede yerleşik olduklarına bakılmaksızın AB Yapay Zeka Yasasına uymak zorundadır.
Yasanın ilk aşaması önümüzdeki ay yasalaşacak. Bu, yasaklanmış yapay zeka uygulamalarını ve yapay zekanın kabul edilemez kullanımlarını kapsayan 5. Maddedir. 5. Maddenin metni 12 Temmuz 2024’te tamamlandı ve altı ay sonra yürürlüğe girecek; bu, Şubat ayından itibaren yapay zeka sistemleri oluşturan veya yapay zekayı AB ürün ve hizmetlerinin bir parçası olarak kullanan kuruluşların, sistemlerinin 5. Maddeye uygun olduğunu kanıtlaması gerekeceği anlamına geliyor.
5. Maddeye Hazır
5. Madde kapsamında yasaklanan yapay zeka kullanımları arasında, kişinin bilincinin ötesinde bilinçaltı teknikler veya kasıtlı olarak manipülatif veya aldatıcı teknikler uygulayan yapay zeka sistemleri yer almaktadır. Madde 5 ayrıca yaş, engellilik veya belirli sosyal veya ekonomik durum nedeniyle bir kişinin veya belirli bir grup insanın zayıf noktalarından yararlanan yapay zeka sistemlerinin kullanımını da yasaklıyor. Sosyal davranışları analiz eden ve daha sonra bu bilgileri zararlı bir şekilde kullanan sistemler, kullanımlarının veri toplamanın asıl amacının dışına çıkması halinde, Madde 5 kapsamında da yasaklanmıştır.
5. Maddenin kapsadığı diğer alanlar arasında kolluk kuvvetleri ve biyometri alanında yapay zeka sistemlerinin kullanımı yer almaktadır. Sektör gözlemcileri bu yasayı yapay zekayı düzenlemeye yönelik “risk temelli” bir yaklaşım olarak tanımlıyor.
5. Maddenin Şubat ayından itibaren yürürlüğe girmesi planlanırken, Yapay Zeka Yasasının bir sonraki aşaması, genel amaçlı yapay zeka sistemleri için uygulama kurallarının uygulanmasıdır. Bunlar, özel olarak eğitilmedikleri görevleri yerine getirebilen sistemlerdir. Bu tür sistemler, büyük dil modelleri (LLM’ler) gibi temel yapay zekayı kapsar. AB Yapay Zeka Yasasının bir sonraki aşaması Mayıs 2025’te yürürlüğe girecek.
AB’de yapay zeka satan veya kullanan şirketler, nerede bulunursa bulunsun Yapay Zeka Yasasına uymak zorundadır. Deloitte’a göre yasanın kapsamı çok uluslu şirketlere üç potansiyel seçenek sunuyor: Özellikle AB pazarı için yapay zeka sistemleri geliştirebilirler, Yapay Zeka Yasasını küresel bir standart olarak benimseyebilirler veya AB içindeki yüksek riskli tekliflerini kısıtlayabilirler.
Düzenleyici ortam
Gartner’ın başkan yardımcısı analisti Bart Willemsen, AB Yapay Zeka Yasası ve bunun BT liderleri ve baş bilgi güvenliği görevlileri için ne anlama geldiği konusunda yüzlerce görüşme yaptığını söylüyor. Analist firmasına katılmadan önce Willemsen, bir dizi kuruluşta gizlilik ve güvenlik sorumlusu görevlerinde bulundu. Deneyimi ve Gartner müşterileriyle yaptığı görüşmelerden elde ettiği sonuç, AB Yapay Zeka Yasasının Genel Veri Koruma Yönetmeliğini (GDPR) temel aldığıdır.
GDPR uyarınca verilerin belirli ve meşru bir amaç için toplanması ve hukuka uygun, adil ve şeffaf bir şekilde işlenmesi gerekmektedir. Spesifik olarak, veri toplama kesinlikle gerekli olanla sınırlı olmalı ve verilerin doğruluğu korunmalıdır. Son zamanlarda, GDPR Sertifikasyon Standardı ve Kriteri BC 5701:2024’ün kullanıma sunulmasıyla kuruluşlar artık kişisel olarak tanımlanabilir bilgileri (PII) işleme konusunda belirli bir yeterlilik düzeyine ulaştıklarını gösterebilmektedir.
GDPR’den öğrenilebilecek ve AB Yapay Zeka Yasasına uygulanması gereken pek çok ders var. GDPR metni 2016 yılında son halini almış olsa da 2018 yılına kadar yürürlüğe girmedi.
Willemsen, “Yasa yapıcılar GDPR deneyiminden biraz ders aldı” diyor. “Mayıs 2018’deki ek sürenin üzerinden iki yıl geçtikten sonra herkes beni arayıp nereden başlayacaklarını sormaya başladı.” Başka bir deyişle kuruluşlar, yetkisiz kullanım süresi boyunca iki yıl boyunca GDPR hakkında hiçbir şey yapmadan geçirdiler.
Ancak konu yalnızca GDPR değil. Willemsen, “Kuruluşlara açıklamak zorunda kaldığım şeylerden biri de Yapay Zeka Yasasına yasal çerçeve bağlamında bakmaktır” diyor: “Yanında Dijital Hizmetler Yasası, Dijital Pazarlar Yasası, Veriler gibi şeyler yer alıyor Yönetişim Yasası ve hatta Kurumsal Sürdürülebilirlik Raporlama Direktifi (CSRD).”
Artan bulut kullanımı ve geleneksel uygulamalardaki artan veri hacimleriyle birlikte yapay zekanın büyümesinin, endüstriler genelinde önemli ölçüde daha yüksek BT karbon emisyonlarına yol açacağı tahmin ediliyor.
Örneğin, birçok kuruluş sera gazı emisyonlarını AB CSDR’ye uymak için raporlayabileceklerinden emin olsa da, yönetim danışmanlığı firması Bain & Company, 2030 yılına kadar yapay zekanın büyümesinin yanı sıra artan bulut kullanımı ve artan veri hacimlerinin de artacağını tahmin ediyor. geleneksel uygulamalar, endüstrilerde önemli ölçüde daha yüksek BT karbon emisyonlarına yol açacaktır.
AB’de faaliyet gösteren kuruluşların CSDR’yi dikkate alması gerekecektir. Makine öğreniminin ve yapay zeka çıkarımının güce aç doğası göz önüne alındığında, yapay zekanın kullanım kapsamı ileriye dönük bu tür düzenlemelerden pekala etkilenebilir.
Mélanie Gornet ve Winston Maxwell’in Hal Open Science makalesinde belirttiği gibi, mevcut düzenlemeler üzerine kuruludur. Yapay zekayı teknik standartlar aracılığıyla düzenlemeye yönelik Avrupa yaklaşımıYapay Zeka Yasası bunlardan farklı bir yol izliyor. Gözlemleri, AB Yapay Zeka Yasasının Avrupa ürün güvenliği kurallarından ilham aldığı yönündedir.
Gornet ve Maxwell’in açıkladığı gibi: “Yapay zeka sistemleri, uyumlaştırılmış standartlara, yani Avrupa standardizasyon kuruluşları (ESO’lar) tarafından hazırlanan teknik spesifikasyonlara dayalı bir uygunluk değerlendirmesi gerektirecektir.”
Yazarlar, bunların mevzuata uygunluk karinesi oluşturma gibi çeşitli hukuki özelliklere sahip olduğuna dikkat çekiyor. Bu uygunluk değerlendirmesi, AI ürününün AB düzenlemelerine uygunluğunu göstermek üzere Avrupa Uygunluğu (CE) işaretiyle sonuçlanır. Diğer ürün güvenliği düzenlemelerinden farklı olarak Gornet ve Maxwell, Yapay Zeka Yasasının yalnızca güvenliğe yönelik risklere karşı koruma sağlamayı amaçlamadığını, aynı zamanda temel haklar üzerindeki olumsuz etkilere karşı da koruma sağlamayı amaçladığını belirtiyor.
Standartlar ve en iyi uygulamalar
Kuruluşların yasaya uyumlu kalmalarını sağlamak için hangi adımları atmaları gerektiği sorulduğunda Willemsen, “Son on yılda gördüklerimiz artık Yapay Zeka Yasasına hazırlanırken de geçerli” diyor. Yapay zeka stratejisine girişen kuruluşlara bu yasal gerekliliklerin önemini hafife almamaları yönünde çağrıda bulunuyor.
Forrester’ın başkan yardımcısı araştırma direktörü Martin Gill, AB Yapay Zeka Yasasının önemini inceleyen bir blogda, mevzuatı “en iyi uygulama değil, minimum standart” olarak tanımlıyor.
Şöyle diyor: “Tüketiciler ve kullanıcılar arasında güven oluşturmak, yapay zeka deneyimlerinin geliştirilmesinde anahtar rol oynayacak. AB içinde faaliyet gösteren firmalar ve hatta AB dışında faaliyet gösteren firmalar için, AB Yapay Zeka Yasasının ortaya koyduğu risk sınıflandırması ve yönetişim tavsiyelerini takip etmek, en azından güvenli, güvenilir ve insan odaklı bir ortam oluşturmaya yardımcı olacak sağlam, risk odaklı bir yaklaşımdır. Zarar vermeyen, maliyetli veya utanç verici yanlış adımlardan kaçınan ve ideal olarak verimliliği ve farklılaşmayı teşvik eden yapay zeka deneyimleri.”
Yapay zekanın sorumluluğunu üstlenmek
Willemsen, kuruluşların bir yapay zeka sorumlusu rolü oluşturması gerektiğine inanmıyor. “Güvenlik ya da gizlilik gibi farklı bir disiplin değil. Yapay zeka çoğu zaman yeni bir teknoloji türü olarak kabul ediliyor” diyor.
Yine de yapay zeka teknolojisinin nasıl dağıtılacağı düşünülürken gizlilik ve güvenlik önlemlerinin alınması gerekiyor. Bu nedenle Willemsen, GDPR’nin kuruluşların yapay zeka stratejilerini çerçevelemek için kullanması gereken düzenlemelerden biri olduğunu düşünüyor.
Kuruluşları yapay zeka sistemlerini devreye alırken stratejik, taktiksel ve operasyonel düzeyde önlemler almaya çağırıyor. Bunun için çok paydaşlı, çok disiplinli bir yapay zeka ekibi gerekiyor; Willemsen, projeler büyüdükçe bilgi ve deneyim geliştirerek bu ekibin de büyümesi gerektiğini söylüyor. “Bu ekipte güvenlik, gizlilik, hukuk, uyumluluk ve iş paydaşlarını göreceksiniz” diye ekliyor.
İş dünyası liderleri kendi yapay zeka stratejilerinin AB Yapay Zeka Yasası ile uyumlu olduğunu düşünse de aynı durum tedarikçiler ve yapay zeka destekli kurumsal sistemler için geçerli değil. Gartner’ın makalesinde, AB Yapay Zeka Yasasına hazırlık, 3. aşamaanalist firması, BT ve iş dünyası liderlerinin herhangi bir üçüncü taraf risk değerlendirmesinde Yapay Zeka Yasasına uymasını tavsiye ediyor. Gartner, bunun, sözleşme incelemelerini ve ortaya çıkan düzenleme gerekliliklerini güçlendirmek için mevcut sözleşmeleri yeni bir dille değiştirmeye yönelik bir baskıyı içermesi gerektiğini söylüyor.
Gartner’ın belirttiği gibi, bir kuruluşun en büyük yapay zeka riskinin, kendi geliştirdiği yapay zeka ile hiçbir ilgisi olmama ihtimali yüksektir. Bunun yerine, BT sağlayıcıları ve tedarikçileri, modellerini eğitmek için kuruluşun verilerini kullanırsa, yine de AB Yapay Zeka Yasası ile uyumlu olmama riskiyle karşı karşıya kalabilir.
Gartner, “Çoğu kuruluş satıcı sözleşmelerinin satıcılarının verilerini kullanmasına izin vermediğini söylüyor, ancak çoğu satıcı sözleşmesinin ürün geliştirme maddesi içerdiğini söylüyor” diye uyarıyor. Böyle bir madde, tedarikçiye kuruluşun verilerini kendi ürünlerini geliştirmesine yardımcı olmak için kullanma hakkı verdiği şeklinde yorumlanabilir.
Açık olan şu ki, bir kuruluşun AB ofisleri olup olmadığına bakılmaksızın, AB vatandaşlarına ürün ve hizmet sağlıyorsa, Yapay Zeka Yasasının etkisinin değerlendirilmesi şarttır. Yasanın gerekliliklerine uyulmaması, işletmelere 15 milyon Euro’ya veya küresel cironun %3’üne kadar mal olabilir. Yapay zekanın yasaklı kullanımlarını kapsayan 5. Maddenin ihlali, 35 milyon Euro’ya veya küresel cironun %7’sine varan para cezalarıyla sonuçlanabilir.