AB Yapay Zeka Yasası Kapsamında Yüksek Riskli Sistemler: Yükümlülükler ve Uyum

AB Yapay Zeka Yasası'nın uyum yükünün büyük kısmı tek bir kategoriye düşüyor: yüksek riskli yapay zeka sistemleri. Bunlar, insanların sağlığını, güvenliğini ya da temel haklarını anlamlı şekilde etkileyebilecek sistemlerdir ve tüzük onları buna göre ele alır. Kuruluşunuz hassas alanlarda yapay zeka geliştiriyor ya da kullanıyorsa, (AB) 2024/1689 sayılı Tüzük'ün yanlış okumayı göze alamayacağınız bölümü tam da burasıdır.

Bu makale, Yapay Zeka Yasası serimizin ikinci bölümü. Önce büyük resme ihtiyacınız varsa AB Yapay Zeka Yasası: Güvenilir Yapay Zeka İçin Risk Temelli Bir Çerçeve ile başlayın. Burada neyin yüksek risk sayıldığına, sağlayıcılar ve uygulayıcıların ne yapması gerektiğine ve inovasyonu durdurmadan uyuma nasıl yaklaşılacağına odaklanıyoruz.

Bir yapay zeka sistemi ne zaman yüksek riskli sayılır?

Yasa, yüksek riskli kullanımları iki geniş biçimde tanımlar. Birincisi, halihazırda AB uyumlaştırma mevzuatı kapsamında olan ve üçüncü taraf uygunluk değerlendirmesi gerektiren bir ürünün güvenlik bileşeni olarak görev yapan yapay zeka yüksek risklidir. İkincisi, temel haklar üzerindeki potansiyel etkisi nedeniyle tanımlı bir kullanım örnekleri listesi (Ek III) yüksek risklidir. Bu liste şunları içerir:

• Kritik altyapı — ulaşım, su, gaz, ısıtma, elektrik ve dijital altyapıda yapay zeka güvenlik bileşenleri.
• Eğitim ve mesleki öğretim — eğitime erişimi belirleyen, sınavları puanlayan ya da testler sırasında davranışı izleyen sistemler.
• İstihdam — özgeçmiş sıralama ve işe alım araçları, terfi, işten çıkarma, görev dağıtımı ya da performans izlemeyi etkileyen sistemler.
• Temel özel ve kamu hizmetleri — kredi puanlaması, sigorta risk değerlendirmesi, yardımlara uygunluk ve acil müdahalelerin önceliklendirilmesi.
• Biyometri — uzaktan kimlik tespiti, hassas özelliklere göre biyometrik sınıflandırma ve duygu tanıma (yasaklı bağlamlar dışında).
• Kolluk kuvvetleri — suç riskini değerlendirme, kanıt güvenilirliğini tartma ya da bireyleri profilleme.
• Göç, sığınma ve sınır kontrolü — risk değerlendirmeleri ve vize başvurularının otomatik incelenmesi.
• Adaletin yönetimi ve demokratik süreçler — yargı kararlarını destekleme ya da seçimleri etkileyebilecek sistemler.

Bir sistem bu tanımlardan birine uyuyorsa yüksek risk yükümlülükleri geçerlidir.

Sağlayıcılar için temel yükümlülükler

Yüksek riskli bir sistem piyasaya sürülmeden önce, sağlayıcısı bir dizi güvence inşa etmelidir. Yasa şunları gerektirir:

• Risk yönetimi — yaşam döngüsü boyunca riskleri değerlendirip azaltacak yeterli bir sistem.
• Veri kalitesi — ayrımcı sonuç riskini en aza indirmek için yüksek kaliteli eğitim, doğrulama ve test veri kümeleri.
• Kayıt tutma — sonuçların izlenebilirliğini sağlamak için olayların otomatik kaydı.
• Teknik belgeleme — makamların uyumu değerlendirebilmesi için ayrıntılı bilgi.
• Uygulayıcılar için şeffaflık — sistemi çalıştıran kişilerin onu anlaması için net talimatlar.
• İnsan gözetimi — kişilerin müdahale edebilmesini ya da geçersiz kılabilmesini sağlayan anlamlı önlemler.
• Sağlamlık, doğruluk ve siber güvenlik — yüksek düzeyde teknik dayanıklılık.

Bunlar kutucuk işaretleme egzersizleri değildir. Hep birlikte, piyasa gözetim makamlarının incelemesine dayanması gereken bir uygunluk dosyası oluştururlar.

İnsan gözetimi: bir kapatma düğmesinden fazlası

İnsan gözetimi, en sık yanlış anlaşılan gerekliliklerden biridir. Yalnızca bir kişinin sistemi kapatabilmesi anlamına gelmez. Bir insanın sistemin çıktısını gerçekten anlayabileceği, bir şeylerin ters gittiğini fark edebileceği ve bir öneriye göre hareket etmemeye karar verebileceği şekilde sistemi tasarlamak anlamına gelir. Bir işe alım aracı için bu, bir adayın neden belirli bir şekilde sıralandığını görebilen ve bunu göz ardı etme yetkisine — ve eğitimine — sahip bir işe alım uzmanı demek olabilir.

Uygulayıcılar ne yapmalı?

Yasa yalnızca sağlayıcıları düzenlemez. Yüksek riskli bir sistemi kullanıma sokan kuruluşlar olan uygulayıcılar da yükümlülük taşır. Uygulamada insan gözetimini sağlamalı, işleyişi izlemeli ve sistemi sağlayıcının talimatlarına uygun kullanmalıdırlar. Kamu hizmeti sunan kuruluşlar, belirli yüksek riskli sistemleri devreye almadan önce bir temel haklar etki değerlendirmesi de yapmalıdır. Ayrıca yüksek riskli sistemler ve onları kullanan kuruluşlar bir AB veri tabanına kaydedilmelidir.

Devreye almadan sonra: uyum yaşam döngüsü

Uyum, lansmanla bitmez. Bir sistem devreye girdikten sonra:

• Sağlayıcılar, gerçek dünyada ortaya çıkan sorunları yakalamak için piyasa sonrası izleme sistemi işletir.
• Uygulayıcılar, insanı döngüde tutar ve performansı izler.
• Piyasa gözetim makamları, piyasayı denetler ve düzeltici eylem talep edebilir.
• Hem sağlayıcılar hem de uygulayıcılar ciddi olayları ve arızaları bildirmelidir.

Bir kerelik uygunluk değerlendirmesini sürekli güvene dönüştüren şey, işte bu kesintisiz döngüdür.

Daha küçük oyuncular için kolaylık

Düzenleyiciler bu yükümlülüklerin zorlayıcı olduğunu biliyor. Bu nedenle Yasa, KOBİ'ler ve girişimler için orantılılık öngörür; basitleştirilmiş uyum yolları, azaltılmış ücretler ve şirket büyüklüğüyle orantılı idari para cezaları dahil. Ayrıca yapay zeka düzenleyici kum havuzlarını (regulatory sandbox) teşvik eder — yenilikçi yüksek riskli sistemlerin, bazen gerçek dünya koşullarında ve makamların rehberliğinde geliştirilebileceği, test edilebileceği ve doğrulanabileceği kontrollü ortamlar. Üye Devletler bu kum havuzlarını kurmakla yükümlüdür ve bu, daha küçük yenilikçilere pazara daha güvenli bir yol sunar.

Hazırlığa giden pratik bir yol

Yüksek risk yükümlülükleriyle karşı karşıya olan kuruluşlar için yapılandırılmış bir yaklaşım yardımcı olur:

1. Doğru sınıflandırın. Sisteminizin gerçekten yüksek riskli olup olmadığını teyit edin — Ek III'teki alanlar ile belirli kullanım örnekleri arasındaki ayrım önemlidir.
2. Yönetişim kurun. Birçok şirket, uyumu koordine etmek için kurum içi bir yapay zeka sorumlusu ya da gözetim kurulu atıyor.
3. İnşa ederken belgeleyin. Risk yönetimi, veri yönetişimi ve kayıt tutma, sonradan eklenmektense en baştan tasarlandığında çok daha ucuzdur.
4. Gözetim ve olaylar için plan yapın. Kimin, nasıl müdahale edeceğini ve ciddi olayların nasıl bildirileceğini tanımlayın.

Yüksek risk, "yasak" demek değildir; "hesap verebilir" demektir. Bu yükümlülükleri bir evrak yükü olarak değil de bir tasarım disiplini olarak ele alan kuruluşlar, müşterilerin ve düzenleyicilerin güvenebileceği yapay zekalar sunacak.

Üçüncü bölümle devam edin: Genel Amaçlı Yapay Zeka ve Yönetişim ya da uyum yol haritanız için ekibimizle konuşun.