AB Yapay Zeka Yasası: Güvenilir Yapay Zeka İçin Risk Temelli Bir Çerçeve

Avrupa Birliği, yapay zeka konusunda dünyanın ilk kapsamlı yasasını hayata geçirdi. Kısaca Yapay Zeka Yasası (AI Act) olarak bilinen (AB) 2024/1689 sayılı Tüzük, Avrupa'daki yapay zekayı güvenli, şeffaf ve güvenilir kılmayı amaçlayan uyumlaştırılmış kurallar getiriyor — üstelik teknolojiyi bu denli değerli kılan inovasyonu boğmadan. Yapay zeka geliştiren, satan ya da yalnızca kullanan her işletme için bu çerçeveyi anlamak artık tercih meselesi değil. Avrupa tek pazarında faaliyet göstermenin yeni temel koşulu bu.

Bu makale, Yapay Zeka Yasası serimizin ilki. Burada kuralların neden var olduğunu, meşhur "risk piramidinin" nasıl işlediğini ve her kuruluşun planlaması gereken takvimi açıklıyoruz.

Avrupa neden yapay zeka kurallarına ihtiyaç duyuyor?

Yapay zeka sistemlerinin çoğu çok az risk taşır ya da hiç taşımaz ve gerçek toplumsal sorunların çözümüne şimdiden katkı sunar — istenmeyen e-postaları filtrelemekten tıbbi araştırmalara güç vermeye kadar. Ancak bazı sistemler, mevcut yasaların tam olarak ele alamadığı riskler yaratır. Yaygın bir örnek şeffaflık eksikliğidir: bir yapay zeka sisteminin belirli bir kararı tam olarak neden verdiğini bilmek çoğu zaman imkansızdır. Bu da birinin haksızlığa uğrayıp uğramadığını anlamayı zorlaştırır — örneğin bir işe alım sürecinde ya da bir kamu yardımı başvurusunda.

Yapay Zeka Yasası bu boşluğu kapatıyor. Teknolojinin kendisini değil, belirli kullanımları verebileceği zarar düzeyine göre düzenliyor. Amaç, insanlara yapay zekanın sağlıklarına, güvenliklerine ve temel haklarına saygı duyduğu konusunda güven vermek; işletmelere ise yatırım yapmak için gereken hukuki kesinliği sağlamak.

Risk temelli yaklaşım: dört seviye

Yapay Zeka Yasası'nın özünde basit bir fikir yatıyor: zarar riski ne kadar yüksekse kurallar o kadar katı. Yasa, yapay zeka sistemlerini dört kademeye ayırıyor.

1. Kabul edilemez risk — tamamen yasak

Bazı kullanımlar insanlar için açık bir tehdit olarak görülür ve tamamen yasaklanır. Yasa sekiz uygulamayı yasaklıyor; bunlardan bazıları:

• Zararlı, yapay zeka temelli manipülasyon ve aldatma
• Belirli grupların kırılganlıklarının istismar edilmesi
• Kamu ya da özel aktörler tarafından sosyal puanlama
• Bir bireyin suç işleme riskinin yalnızca profilleme yoluyla tahmin edilmesi
• Yüz tanıma veri tabanları oluşturmak için internetten ya da güvenlik kamerası görüntülerinden hedefsiz veri toplama
• İşyerlerinde ve okullarda duygu tanıma
• Hassas özellikleri çıkarsamak için biyometrik sınıflandırma
• Kolluk kuvvetleri için kamuya açık alanlarda gerçek zamanlı uzaktan biyometrik kimlik tespiti (dar istisnalarla)

Bu yasaklar Şubat 2025'ten beri yürürlükte.

2. Yüksek risk — sıkı şekilde düzenleniyor

Yüksek riskli sistemler, sağlığı, güvenliği ya da temel hakları ciddi şekilde etkileyebilecek olanlardır — örneğin kritik altyapıda yapay zeka, eğitimde puanlama, işe alım araçları, kredi puanlaması ya da kolluk uygulamaları. Bunlara izin verilir, ancak yalnızca risk yönetimi, yüksek kaliteli veri, faaliyet kaydı, belgeleme ve insan gözetimi gibi katı yükümlülükler altında. Bu gereklilikleri ayrıntılı olarak AB Yapay Zeka Yasası Kapsamında Yüksek Riskli Sistemler başlıklı yazımızda ele alıyoruz.

3. Şeffaflık (sınırlı) riski — bildirim zorunlu

Bazı sistemler daha hafif bir yükümlülük taşır: insanlara neyle muhatap olduklarını söylemek. Bir sohbet robotuyla etkileşime girdiğinizde, bir makineyle konuştuğunuz size bildirilmelidir. Üretken yapay zeka sağlayıcıları, sentetik içeriğin tanımlanabilir olmasını sağlamalı; deepfake gibi belirli içerikler açıkça etiketlenmelidir. Bu şeffaflık kuralları Ağustos 2026'da yürürlüğe giriyor.

4. Minimal ya da hiç risk — yeni kural yok

Bugün Avrupa'da kullanılan yapay zeka sistemlerinin büyük çoğunluğu — istenmeyen e-posta filtreleri, oyunlardaki yapay zeka, stok optimizasyonu — buraya girer. Yasa bunlara yeni bir yükümlülük getirmiyor.

Uygulamada nasıl işliyor?

Yüksek riskli sistemler için uyum, bir yaşam döngüsünü izler. Sağlayıcılar uyumu en baştan inşa eder, bir uygunluk değerlendirmesi yapar ve sistemi bir AB veri tabanına kaydeder. Bir sistem piyasaya sürüldükten sonra piyasa gözetim makamları onu denetler, uygulayıcılar insan gözetimini ve izlemeyi sağlar, sağlayıcılar ise piyasa sonrası izleme yürütür. Hem sağlayıcılar hem de uygulayıcılar ciddi olayları ve arızaları bildirmek zorundadır.

Yasa ayrıca genel amaçlı yapay zekayı (GPAI) — bugün sayısız uygulamanın temelini oluşturan büyük modelleri — de ele alıyor. Bu modellerin sağlayıcıları şeffaflık ve telif hakkı yükümlülükleriyle karşı karşıyadır; sistemik risk doğurabilecek en yetenekli modeller ise değerlendirilmeli ve riskleri azaltılmalıdır. GPAI'yi ve yeni yönetişim sistemini serinin üçüncü bölümü olan Genel Amaçlı Yapay Zeka ve Yönetişim yazısında inceliyoruz.

Planlamanız gereken takvim

Yapay Zeka Yasası 2024'te yürürlüğe girdi ve aşamalı olarak uygulanıyor:

• 2 Şubat 2025 — yasaklı uygulamalar ve yapay zeka okuryazarlığı yükümlülükleri uygulanır.
• 2 Ağustos 2025 — yönetişim organları, cezalar ve GPAI model sağlayıcılarına ilişkin kurallar yürürlüğe girer.
• 2 Ağustos 2026 — şeffaflık kuralları ve gelişmiş GPAI modelleri için Komisyon'un uygulama yetkileri dahil, tüzüğün büyük kısmı uygulanır.
• 2 Ağustos 2028 ve sonrasında her dört yılda bir — Komisyon çerçeveyi gözden geçirir ve raporlar.

Geçişi kolaylaştırmak için Komisyon, sağlayıcıları temel yükümlülükleri erkenden yerine getirmeye davet eden gönüllü AI Pact girişimini ve pratik soruları yanıtlayan bir Yapay Zeka Yasası Destek Masası kurdu.

Bu, kuruluşunuz için ne anlama geliyor?

İster sağlayıcı ister uygulayıcı olun, üç erken adım işe yarar:

1. Yapay zekanızı envanterleyin. Geliştirdiğiniz ya da kullandığınız her sistemi haritalayın ve dört risk kademesine göre sınıflandırın.
2. Yapay zeka okuryazarlığını geliştirin. Madde 4 zaten yapay zekayla çalışan personelin onu yeterince anlamasını şart koşuyor.
3. Belgelerinizi hazırlayın. Yüksek risk yükümlülükleri zorlayıcıdır ve iyi kayıtlar oluşturmak zaman alır.

Yapay Zeka Yasası iddialı, ama mantığı anlaşılır: güven, riskle birlikte ölçeklenir. Yapay zekasını şimdiden haritalamaya ve yönetmeye başlayan kuruluşlar, 2026 son tarihinden çok önce hazır olacak — ve bununla gelen güveni kazanacak.

Yapay zeka yükümlülüklerinizi anlamlandırmak için yardıma mı ihtiyacınız var? Ekibimizle iletişime geçin ya da blogumuzdaki diğer rehberlere göz atın.