Avrupa Birliği Yapay Zeka Tüzüğü (“EU AI Act”), yapay zeka teknolojilerinin geliştirilmesi, piyasaya arz edilmesi ve kullanımına ilişkin ilk kapsamlı ve bağlayıcı uluslararası hukuk düzenlemesi olarak kabul edilmektedir. Avrupa Komisyonu tarafından ilk kez nisan 2021’de teklif edilen düzenleme, uzun müzakere süreçlerinin ardından 2024 yılında resmen kabul edilmiş ve Avrupa Birliği’nin yapay zeka alanındaki temel regülasyon çerçevesi haline gelmiştir. Düzenlemenin temel çıkış noktası, yapay zekanın ekonomik ve teknolojik potansiyelini sınırlamak değil, bu teknolojinin insan hakları, güvenlik ve hukukun üstünlüğü ilkeleriyle uyumlu şekilde gelişmesini sağlamaktır. Avrupa Birliği bu çerçevede “risk temelli düzenleme” yaklaşımını benimsemiş, tüm yapay zeka sistemlerini tek tip bir rejime tabi tutmak yerine, oluşturdukları risk düzeyine göre farklılaştırılmış bir hukuki yapı kurmuştur. Bu yapı, yapay zeka sistemlerini dört ana kategoriye ayırarak her birine farklı düzeyde hukuki yükümlülükler öngörmektedir. Bu yaklaşımın temel amacı, düşük riskli uygulamaları gereksiz yükümlülüklerden uzak tutarken, insan hayatını ve temel hakları etkileyebilecek sistemleri sıkı bir denetime tabi kılmaktır.

Avrupa Komisyonu bu noktada merkezi bir rol üstlenmekte ve hem yüksek riskli hem de yüksek riskli olmayan sistemlere ilişkin rehberler ve uygulama örnekleri yayımlayarak uygulamada birlik sağlamayı amaçlamaktadır. Bunun yanında Avrupa Komisyonu, zaman içinde ortaya çıkan teknik gelişmeler, kullanım pratikleri ve risk profillerine bağlı olarak yüksek riskli sistem listesinde değişiklik yapma yetkisine de sahiptir.

Bu çerçevede ilk kategori, “kabul edilemez risk” taşıyan sistemlerdir. Bu sistemler, Avrupa Birliği’nin değerler sistemiyle doğrudan çatıştığı kabul edilen uygulamalardır ve bu nedenle Avrupa Birliği içerisinde tamamen yasaklanmıştır. Bu yasaklama yalnızca teknik kullanım alanını değil, aynı zamanda bu sistemlerin geliştirilmesini ve piyasaya arzını da kapsamaktadır. Özellikle bireyleri bilinçaltı tekniklerle manipüle eden sistemler, sosyal kredi mekanizmaları, kamuya açık alanlarda izinsiz yüz tanıma veri tabanı oluşturulması ve duygusal durum analizine dayalı hassas çıkarım sistemleri bu kapsama girmektedir. Buradaki hukuki yaklaşım, bu tür sistemlerin orantılılık testini dahi geçemeyecek ölçüde temel haklara müdahale niteliği taşıdığı yönündedir.

İkinci kategori, yüksek riskli yapay zeka sistemleridir ve düzenlemenin en yoğun yükümlülük rejimi bu alanda karşımıza çıkmaktadır. Yüksek risk değerlendirmesi, yalnızca teknolojinin kendisine değil, kullanım bağlamına göre belirlenir. Örneğin bir yapay zeka sistemi, işe alım süreçlerinde kullanıldığında yüksek riskli sayılırken, aynı teknik altyapı başka bir bağlamda düşük riskli kabul edilebilir. Bu kategoriye giren sistemler; istihdam, eğitim, sağlık, kredi değerlendirme, kritik altyapı yönetimi ve kolluk kuvvetleri gibi bireylerin yaşamı üzerinde doğrudan etkili alanlarda kullanılan yapay zeka uygulamalarını kapsamaktadır. Bu sistemler için getirilen yükümlülükler oldukça kapsamlıdır. Üretici ve sağlayıcılar, sistemin yaşam döngüsü boyunca risk yönetim sistemi kurmakla yükümlüdür. Kullanılan veri setlerinin doğruluğu sağlanmalı; teknik dokümantasyon sistematik biçimde hazırlanmalı ve denetime açık hale getirilmelidir. Ayrıca sistemlerin izlenebilir olması, karar alma süreçlerinin geriye dönük olarak denetlenebilmesi ve insan gözetiminin etkin şekilde sağlanması zorunludur. Burada özellikle “human oversight” ilkesi, yapay zekanın nihai karar verici olmamasını garanti altına alan temel hukuki mekanizma olarak öne çıkar.

Üçüncü kategori sınırlı riskli sistemlerdir ve burada düzenleme daha çok şeffaflık yükümlülüğü üzerine kuruludur. Kullanıcıların bir yapay zeka sistemiyle etkileşimde olduklarının açıkça bilgilendirilmesi, özellikle chatbotlar ve içerik üretim sistemleri açısından temel bir zorunluluk haline getirilmiştir. Deepfake içeriklerin açık şekilde etiketlenmesi de bu kapsamda değerlendirilmektedir. Buradaki hukuki amaç, kullanıcının aldatılmasını önlemek ve dijital etkileşimde şeffaflığı sağlamaktır.

Dördüncü kategori ise minimal riskli sistemlerdir. Bu sistemler günlük yaşamda yaygın olarak kullanılan ancak bireylerin hakları üzerinde anlamlı bir etki yaratmayan uygulamalardır. Spam filtreleri, öneri algoritmaları veya oyun içi yapay zeka sistemleri bu kapsamda değerlendirilmektedir ve bu alanda regülasyon oldukça sınırlıdır. Avrupa Birliği’nin burada benimsediği yaklaşım, inovasyonun gereksiz idari yüklerle baskılanmamasıdır.

Düzenlemenin genel mimarisi incelendiğinde, yalnızca teknik bir uyum sistemi değil, aynı zamanda çok katmanlı bir yönetişim modeli kurduğu görülmektedir. Şeffaflık, güvenlik, hesap verebilirlik ve insan kontrolü ilkeleri bu modelin temelini oluşturur. Özellikle yüksek riskli sistemlerde insan müdahalesinin zorunlu tutulması, yapay zekanın otonom karar verici bir aktör haline gelmesini engelleyen kritik bir hukuki güvenlik mekanizmasıdır.

Son olarak, EU AI Act güçlü bir yaptırım rejimi ile desteklenmektedir. Uyum yükümlülüklerinin ihlali halinde oldukça yüksek idari para cezaları öngörülmekte olup, bu cezalar şirketlerin küresel cirosuna oranlanarak hesaplanabilmektedir. Bu durum, düzenlemenin yalnızca Avrupa içi bir hukuk metni olmanın ötesine geçerek, küresel teknoloji şirketleri için fiilen uyulması gereken bir standart haline gelmesine yol açmaktadır ki bu etki literatürde sıklıkla “Brussels Effect” olarak ifade edilmektedir.

Genel itibarıyla EU AI Act, yapay zeka teknolojisini sınırlayan bir yasak rejimi değil; aksine bu teknolojiyi sınıflandırarak, risk düzeyine göre orantılı yükümlülükler getiren ve temel haklar ekseninde yöneten kapsamlı bir hukuk mimarisidir. Avrupa Birliği bu düzenleme ile birlikte, yapay zekanın yalnızca teknolojik gelişim alanı değil, aynı zamanda hukuki ve etik yönetişim alanı olduğunu kabul eden yeni bir normatif çerçeve ortaya koymuştur.

@Çağla BARUT