Posted on

“ABD Eyaletleri Tarafından Çıkarılan Yapay Zekâ Yasalarının Ortak Özelliği” Üzerine

Tıpkı Genel Veri Koruma Yönetmeliği’nin[1] [General Data Protection Regulation] Amerika Birleşik Devletleri’nde (ABD) bir eyalet gizlilik yasaları dalgasını tetiklemesi gibi, Avrupa Birliği Yapay Zekâ Yasası[2] [Artificial Intelligence Act] da Amerika genelinde eyalet düzeyinde yapay zekâ düzenlemelerini hızlandırmaktadır. Bu yazıda, ortaya çıkan eyalet yapay zekâ yasalarındaki ortak noktalar analiz edilmekte ve kuruluşların bu hızla gelişen ortamda hem düzenleyici uyumu hem de paydaş beklentilerini ele alan kapsamlı yönetişim çerçevelerine neden ihtiyaç duyduğu ortaya koyulmaktadır.

Genel Veri Koruma Yönetmeliği’nin on yıldan kısa bir süre önce yaptığı gibi, kurumsal liderler Ağustos ayında (2024) resmen yürürlüğe giren Avrupa Birliği Yapay Zekâ Yasası’nın ABD eyaletlerinin kendi yapay zekâ yasalarını benimsemesinin önünü açacağını beklemelidir. Gerçekten de, top zaten yuvarlanmaktadır.

Yapay zekânın hükümet süreçlerinde kullanımına ilişkin bazı politikalar hâlihazırda uygulamaya konulmuş olsa da, 20’den fazla ABD eyaletinde, kapsamı halka kapalı şirketleri de kapsayan çeşitli onay aşamalarında yapay zekâ yasası bulunmaktadır[3].

  1. Eyalet Yapay Zekâ Yasaları

1.1. Utah

Utah’ın Yapay Zekâ Politikası Yasası[4] [Artificial Intelligence Policy Act] 01 Mayıs 2024 tarihinde yürürlüğe girmiştir. Eyaletin tüketici koruma yasalarının, diğer işlevlerle aynı şekilde üretken yapay zekâ uygulamalarına da tatbik edileceği ileri sürülmektedir.

Bu yasanın, yasal uyum liderlerine kuruluşlarını ortaya çıkan yapay zekâ mevzuatına hazırlama görevine nasıl yaklaşacaklarına dair ipuçları sağlayan birkaç yönü vardır. Birincisi kullanım durumlarıyla ilgilidir. Utah yasası, “(i) verilerle eğitilen; (ii) metin, ses veya görsel iletişim kullanarak bir kişiyle etkileşime giren ve (iii) sınırlı veya hiç insan denetimi olmadan bir insan tarafından oluşturulan çıktılara benzer, senaryosuz çıktılar üreten yapay bir sistem” olarak tanımladığı üretken yapay zekâya odaklanır.

Utah yasası aynı zamanda tüketicilerle etkileşimde bulunurken üretken yapay zekâ kullanan halka kapalı şirketlere kamuyu aydınlatma zorunluluğu getiren ilk ABD yasasıydı.

Şeffaflık ve kamuyu aydınlatma vurgusuyla kullanım durumu ve düzenleyici yükümlülükler arasındaki ilişki, mevcut ve yeni ABD yapay zekâ mevzuatında göreceğimiz iki ortak noktadır ve bunların her ikisi de Avrupa Birliği Yapay Zekâ Yasası’nda da görülmektedir.

1.2. Kolorado

Kolorado’nun Yapay Zekâ Yasası[5], tüketicileri algoritmik ayrımcılık risklerinden korumak için yapay zekâ geliştiricilerinin ve yüksek riskli yapay zekâ sistemleri kuranların makul özeni göstermeleri için koşullar ortaya koyar. Yasa, ayrımcılığı “yapay zekâ sisteminin kullanımının, bir bireyi veya birey grubunu gerçek veya algılanan yaş, renk, engellilik, etnik köken, genetik bilgi, İngilizce dilinde sınırlı yeterlilik, ulusal köken, ırk, din, üreme sağlığı, cinsiyet, gazi statüsü veya bu eyalet veya federal yasalar uyarınca korunan diğer sınıflandırmalar temelinde dezavantajlı hale getiren yasa dışı farklı muamele veya etkiyle sonuçlandığı herhangi bir durum” olarak tanımlar. Utah yasası gibi, Kolorado Yapay Zekâ Yasası da kullanım durumuna özgüdür, ancak odak noktası “yüksek riskli” yapay zekâ sistemleridir.

Kolorado yasası, yapay zekânın sonuç doğuran bir karar vermesi veya bu kararın alınmasında önemli bir faktör olması durumunda “yüksek riskli” olduğunu kabul eder ve bu kararı “herhangi bir tüketiciye (a) eğitim kaydı veya eğitim fırsatı; (b) istihdam veya istihdam fırsatı; (c) finans veya kredi hizmeti; (d) temel bir kamu hizmeti; (e) sağlık hizmetleri; (f) konut; (g) sigorta veya (h) yasal bir hizmet sağlanması veya reddedilmesi ya da maliyeti veya şartları üzerinde önemli bir yasal veya benzer şekilde önemli etkisi olan” bir karar olarak tanımlar.

Avrupa Birliği Yapay Zekâ Yasası da yüksek riskli yapay zekâ sistemlerini tanımlar ancak bunu yüksek riskli olarak kabul ettiği daha uzun bir iş ortamı veya yapay zekâ teknikleri listesiyle yapar[6]. Bir kuruluşun yapay zekâ kullanımının yüksek riskli bir kategoriye girip girmediğini anlamak, düzenleyici riski değerlendirmenin en önemli yönlerinden biridir. Aynı şekilde, yasal uyum liderleri tüm yüksek riskli yapay zekâ tanımlarına ve bunların herhangi bir üçüncü taraf ilişkisiyle alakalı olup olmadığına aşina olmalıdır, çünkü bunlar şeffaflık koşullarına bağlanabilir.

Ayrıca, Kolorado yasasının haksız muameleden kaçınmaya vurgu yapması nedeniyle, yapay zekâ sisteminin bildiği kişi(ler) hakkındaki bazı bilgilere dayanarak bireylere veya birey gruplarına haksız muamele etme potansiyeli olan yapay zekâyı seçer. Bu, yapay zekâ sisteminin bireyleri (doğrudan veya dolaylı olarak) tanımlayabilen verilerle beslenmesini gerektirir ki, bu da bu tür sistemlerin geçerli veri gizliliği yasalarına da uyması gerektiği anlamına gelir.

Yüksek riskli yapay zekâ uygulamaları ve haksız muamele [yani önyargı (unfair treatment/bias)] potansiyeli olanlar, yasal uyum liderleri için iki önemli çıkarımdır; ayrıca kişisel bilgileri işleyen yapay zekâ sistemlerinin veri gizliliği yasalarıyla bağlantısı vardır.

1.3. Kaliforniya

Kaliforniya, yapay zekâ ile ilgili çok sayıda yasa çıkarmıştır. Yasa haline getirilen en önemli yasa tasarılarından biri, üretken yapay zekâ sistemlerinin oluşturdukları içeriğin yapay zekâ tarafından oluşturulduğunu ifşa etmesini gerektirmektedir. Bunun ötesinde, AB-2013, üretken yapay zekâ sağlayıcılarının modellerini eğitmek için kullanılan verilerin kaynaklarını, kullanımlarını ve temel özelliklerini (örneğin tarihler, telif hakkı durumu) ifşa etmesini gerektirir[7]. Diğer yasalar, robot aramalar, seçim deepfake’leri, deepfake pornografisi ve sentetik içerik oluşturmak için aktörlerin seslerinin ve benzerliklerinin kullanımı gibi yapay zekâ çıktılarıyla ilgili olarak tüketici korumaları sağlamaktadır.

  1. Eyalet Yasalarının Ortak Noktası

Şu ana kadar yürürlüğe giren eyalet düzeyindeki yapay zekâ yasaları şunları içermektedir:

  • Yapay zekâ tarafından üretilen içeriğin kamuya ifşası;
  • Yapay zekâ kullanım durumunun şeffaflığı;
  • Veri kaynağının şeffaflığı;
  • Yüksek riskli uygulamalar için özel gereksinimler;
  • Yapay zekâ modellerindeki adaletsizliği/önyargıyı azaltmaya yönelik kontroller,
  • Kişisel verileri işleyen yapay zekâ için gizlilik gereksinimleri.

Kaliforniya, Kolorado ve Utah yasa çıkarmada ilk önderler olsa da, özel sektörün yapay zekâyı nasıl kullanabileceğini sınırlayacak iki düzineden fazla eyalette yasa tasarıları beklemededir. Yasalar değişiklik gösterir ancak genellikle şu gibi hükümler içerir:

  • Yapay zekâ yönetişim programı ve dokümantasyonu [artificial intelligence governance program and documentation]: Politikalar, prosedürler veya sağlam bir yönetişim veya risk yönetimi programı ve dâhili değerlendirme ve azaltma dokümantasyonunun saklanması.
  • Değerlendirmeler [asessments]: Risk değerlendirmeleri, etki değerlendirmeleri veya hak değerlendirmeleri.
  • Eğitim [training]: Personelin yapay zekâ yönetişim uygulamaları ve prosedürleri konusunda eğitilmesi.
  • Sorumlu kişi [responsible individual]: Yapay zekâ yönetişim görevlisi veya diğer nitelikli ve sorumlu kişi.
  • Genel duyuru [general notice]: Yapay zekâ yönetişim politikalarının veya sistem bilgilerinin genel açıklamalarının kamuya açık duyurusunun yayınlanması.
  • Açıklama/olay raporlaması [explanation/incident reporting]: Yapay zekâ tarafından kolaylaştırılan kararların açıklamalarının sağlanması veya etkilenen tüketicilere veya hükümetlere yapay zekâ olaylarının ifşa edilmesi. Farklı olsalar da, her ikisi de bireyleri veya hükümetleri kapsanan bir sistemin davranışı hakkında bilgilendirmek için sonradan gerekliliklerdir.
  • Etiketleme/bildirim [labeling/notification]: Tüketiciye yönelik yapay zekâ sistemlerinin etiketlenmesi veya bunların kullanımı hakkında önceden bildirimde bulunulması.
  • Sağlayıcı belgeleri [provider documentation]: Geliştiricilerden dağıtımcılara yapılan özel açıklamalar gibi alt akış belgeleri.
  • Tescil [registration]: Lisanslama, proaktif ön bilgilendirme veya bir devlet kurumuna tescil olma.
  • Üçüncü taraf incelemesi [third-party review]: Yapay zekâ sistemlerinin veya yönetim programlarının değerlendirmeler veya denetimler gibi harici olarak incelemesi.
  • Vazgeçme/itiraz [opt-out/appeal]: Yapay zekâ destekli bir karara alternatif olarak, diğer vazgeçme seçeneklerine saygı gösterilmesi veya itiraz için bir mekanizma sağlanması.
  • Ayrımcılık yapmama [nondiscrimination]: Bireyleri algoritmik ayrımcılık risklerinden korumak için yapay zekâ sistemlerinin veya bakım görevlerinin ayrımcı etkilerinin önlenmesi veya azaltılması.
  1. Politikalar, Prosedürler ve En İyi Uygulamalar

Bu hükümler, yapay zekâ kullanan ve ABD’de iş yapan şirketler için ortaya çıkan düzenleyici riskin açık bir örneğini temsil etmektedir. Yasayı ihlal eden şirketlerin olası yaptırımlarla, para cezalarıyla vb. karşı karşıya kalabileceği bariz riskin yanı sıra, kuruluşlar, itibar riskine veya ilişki yoluyla başka bir suçluluk biçimine maruz kalmamak için birlikte çalıştıkları üçüncü tarafların (satıcılar/tedarikçiler, ortaklar vb.) uyumlu olmaları konusunda giderek daha ısrarcı hale gelmektedir. Kısacası, yapay zekâ düzenleyici uyumunun yalnızca yasal riski azaltmaktan daha fazlası vardır. Bu nedenle, yapay zekâ düzenlemesine tabi olan halka kapalı şirketlerin yasaya uyumlu olduklarından emin olmaları ve ayrıca güvenceye ihtiyaç duyan veya isteyen kilit paydaşlara uyumluluklarını gösterebilmeleri gerekir.

Bir yapay zekâ sertifikasyon programı, bu iki yönlü görevi başarmanın mükemmel bir yoludur. Örneğin, ISO 42001 sertifikasyon süreci, şirketlerin yapay zekâ ile ilgili iş uygulamalarının önde gelen standartlar, düzenlemeler ve yönetişim çerçeveleriyle güncel olduğundan emin olmalarına yardımcı olabilirken, bunu müşterilere, potansiyel müşterilere veya genel halka da gösterebilir. Ancak, tüm kuruluşlar ISO sertifikasyonuna ve bunun gerektirdiği kaynaklara/devam eden bakıma bağlı kalamaz.

Sertifika almak istenip istenmediğine bakılmaksızın, yapay zekâ kullanan her kuruluşun, kendilerini (en azından temelde) önde gelen yapay zekâ yönetişim standartları ve çerçeveleriyle uyumlu hale getirmek ve aynı zamanda ABD yapay zekâ yasalarıyla uyumu göstermeye hazır olduklarından emin olmak için atması gereken adımlar vardır.

3.1. Yapay zekâ politikası [artificial intelligence policy]

Şirketler, kuruluş genelinde yapay zekâ teknolojilerinin kullanımını yöneten bir dizi kılavuz, kural ve düzenleme hazırlamayı düşünmelidir. Yapay zekâ politikaları, yapay zekânın sorumlu ve etik bir şekilde kullanılmasını ve yasal koşullar, kurumsal değerler ve etik standartlarla uyumlu olmasını sağlamak için tasarlanmıştır. Bir yapay zekâ politikasının kapsaması gereken bazı temel alanlar şunlardır:

  • Yapay zekâ kullanımına yönelik ticari gerekçeler.
  • Yapay zekâyı (erişimi) kimler kullanabilir?
  • İzin verilen/yasaklanan faaliyetler.
  • Yapay zekâdan kim sorumludur (hesap verebilirlik, roller ve sorumluluklar).
  • Etik ilkeler ve kurallar (adil olma, tarafsızlık, şeffaflık).
  • Veri gizliliği, güvenliği ve fikri mülkiyet.
  • Çalışanları yapay zekâ riski ve şirket politikası konusunda bilinçlendirmeye yönelik süreç ve prosedürler.

3.2. Yapay zekâ geliştirme/dağıtım politikası [artificial intelligence development/deployment policy]

Bu belge, yapay zekâ teknolojilerinin geliştirilmesi ve/veya tedarik edilmesi ve bunların kullanıma alınması için beklenen normları belirler. Yapay zekâ modellerinin eğitilmesi, dağıtım öncesi testlerin yürütülmesi, onayların verilmesi, dağıtım prosedürleri ve çıktıların (insan denetimi dâhil) sürekli izlenmesi ve modellerin yeniden eğitilmesi süreçlerini içermelidir.

3.3. Yapay zekâ envanteri [artificial intelligence inventory]

Yapay zekâ kullanan her kuruluşun, kuruluş genelindeki tüm yapay zekâ sistemlerinin geliştirilmesi, dağıtımı ve izlenmesinde yer alan araçların, tekniklerin, sorumlu personelin, üçüncü tarafların vb. kapsamlı bir listesine ihtiyacı vardır. Bu belge, yapay zekâ politikasından daha tekniktir ve yapay zekâ model türleri, platformlar, veri kaynakları, çıktılar, izleme araçları, etkileşimin temel noktaları ve yapay zekâ sistemlerinin inşası hakkında diğer ayrıntıları içerebilir. Yapay zekâ sistemlerinin dokümantasyonu, önde gelen yapay zekâ standartları ve yönetişim çerçeveleri genelinde temel bir unsurdur ve şeffaflık koşullarına sahip mevzuata uyum için kritik öneme sahiptir.

3.4. Yapay zekâ kullanım tanımları [artificial intelligence use definitions]

Yapay zekâ sistemleri belgelendirildiğinde, kuruluşun yapay zekâ kullanımlarının ne olduğunu görmek, ifade etmek ve bunları geçerli yasalara göre kategorilere ayırmak mümkün olur ki; bu da mevcut ve ortaya çıkan mevzuata uyum açısından kritik önem taşır.

3.5. Kamuyu aydınlatma [disclosures]

Yapay zekâ teknolojilerini kullanan kuruluşlar, doğrudan yapay zekâ çıktılarıyla etkileşimde bulunan kişiler, yapay zekânın sonuç odaklı kararlar aldığı kişiler ve kişisel verileri yapay zekâ sistemlerine girilen kişiler dâhil olmak üzere etkilenen taraflara kullanımlarının niteliğini ve amacını açıklamalıdır. Kuruluş ayrıca yapay zekâyı kullandığı meşru iş amaçları ve faaliyet gösterdiği yol gösterici ilkeler konusunda şeffaf olmalıdır.

3.6. Yapay zekâ risk ve etki değerlendirmesi [artificial intelligence risk & impact assessment]

Kuruluşun yapay zekâ kullanımını ve bunların kuruluş üzerinde finansal, yasal veya düzenleyici etkiler yaratma veya topluma zarar verme potansiyelini göz önünde bulunduran bir risk değerlendirmesi, herhangi bir yapay zekâ yönetişim programının temel gereksinimidir.

[1]<https://gdpr-info.eu/>.

[2]<https://artificialintelligenceact.eu/>.

[3]<https://iapp.org/resources/article/us-state-ai-governance-legislation-tracker/>.

[4]<https://www.skadden.com/insights/publications/2024/04/utah-becomes-first-state> [‘yasanın genel çerçevesi’ hakkında bilgi edinilmesi için metne çeviren tarafından iliştirilmiştir].

[5]<https://leg.colorado.gov/bills/sb24-205>.

[6]<https://artificialintelligenceact.eu/annex/3/>.

[7]<https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=202320240AB2013>.

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.