“Yapay Zekâ Yönetişimine İlişkin Birleşik Krallık Bilgi Komiserliği Ofisi Stratejisi” Üzerine

Giriş

Birleşik Krallık hükümeti, yapay zekâyı (artificial intelligence) özel olarak düzenlemek yerine, kendi yetki alanındaki çeşitli sektörlerde teknolojiye uygulanan mevcut yasa ve düzenlemeler ağına güvenmeyi tercih etmiştir. Ancak bu yenilikçilik yanlısı, ilkelere dayalı yaklaşımla birlikte cevapsız kalan sorular da ortaya çıkmaktadır. Bu soruların birçoğu Birleşik Krallık veri gizliliği yasalarının uygulanmasıyla ve yapay zekâ teknolojisi uyumunun gerçekten nasıl sağlanabileceği ile ilgilidir.

Birleşik Krallık Bilgi Komiserliği Ofisi (Information Commissioner’s Office-ICO), 30 Nisan 2024 tarihinde, “Yapay Zekânın Düzenlenmesi: Bilgi Komiserliği Ofisi’nin Stratejik Yaklaşımı”nı[1] (Regulating Artificial Intelligence: the ICO’s Strategic Approach[2]) yayınlamıştır. Bu yayında Bilgi Komiserliği Ofisi’nin 2023 tarihli Yapay Zekâ Yönetmeliği (artificial intelligence regulation[3]) teknik belgesindeki ilkeleri ve hükümetin bu ilkelerin uygulanmasına ilişkin 2024 tarihli kılavuzundaki ilkeleri[4] nasıl ileriye taşıdığı ayrıntılarıyla anlatılmaktadır.

Bilgi Komiserliği Ofisi’nin, “veri koruma yasasının risk temelli olduğunu” (data protection law is risk-based) ve riskin “hafifletilmesi” gerektiğini ancak “tamamen ortadan kaldırılması” gerekmediğini kabul ederek pragmatik bir düzenleyici olarak kalmak istediği aşikârdır. Ancak bu yaklaşımın sektör katılımcıları için rahatlıktan ziyade belirsizliğe neden olup olmadığı açık bir soru olmaya devam etmektedir.

1. Strateji: Yapay Zekânın Düzenlenmesi

Stratejinin en önemli çıkarımları şunlardır:

  • Bilgi Komiserliği Ofisi potansiyel olarak fiili bir yapay zekâ düzenleyicisidir.
  • Genel yaklaşım pragmatik ve risk odaklı olmayı sürdürmektedir.
  • Gerektiğinde yaptırım uygulanacaktır.
  • Yapay zekâ, Bilgi Komiserliği Ofisi için önemli bir odak alanıdır.
  • Diğer düzenleyici kurumlarla ortaklıklar kurulması ve açık diyalog esastır.

2. Bilgi Komiserliği Ofisi Potansiyel Olarak Fiili Bir Yapay Zekâ Düzenleyicisidir

Avrupa Birliği’nin aksine Birleşik Krallık hükümeti, tüm yapay zekâyı denetleyecek bağımsız bir düzenleyici otorite atamayı gerekli görmemiştir. Bununla birlikte, anılan Stratejide Bilgi Komiserliği Ofisi, yapay zekâ yönetmeliğinde tanımlanan ilkelerin çoğunun, örneğin şeffaflık, adalet ve hesap verebilirlik ilkeleri gibi yerleşik veri koruma ilkeleriyle uyumlu olduğunu belirtmektedir.

Veri koruma düzenlemesi aynı zamanda tasarım gereği gizlilikten dağıtım ve kullanıma kadar teknoloji geliştirmenin tüm noktalarında geçerlidir. Bu nedenle Bilgi Komiserliği Ofisi, yapay zekâ yaşam döngüsünün her aşamasında yapay zekâ teknolojilerinin ortaya çıkardığı benzersiz zorlukları denetlemek için gizlilik ilkelerinden yararlanmak ve dolayısıyla potansiyel olarak fiili bir yapay zekâ düzenleyicisi olmak için iyi bir konumdadır.

3. Genel Yaklaşım Pragmatik ve Risk Odaklılığını Sürdürmektedir

Mezkûr Stratejide Bilgi Komiserliği Ofisi, yapay zekânın büyük potansiyel faydalarını kabul ediyor, ancak birçoğu verilerin (özellikle kişisel verilerin) yapay zekâ sistemlerinin geliştirilmesinde ve devreye alınmasında nasıl kullanıldığına bağlı olarak ortaya çıkan ilişkili doğal risklere de dikkat çekiyor.

Bununla birlikte Bilgi Komiserliği Ofisi, Stratejisinde yapay zekânın Birleşik Krallık veri koruma yasalarına tam uyumunu aramadığını açıkça ifade ediyor. Örneğin, “veri koruma yasası risk temellidir ve risklerin azaltılmasını ve yönetilmesini istiyoruz (…) ancak tamamen ortadan kaldırılması gerekmez.” Bilgi Komiserliği Ofisi, işletmelerin potansiyel riskler ve azaltıcı etkenlerle başa çıkmalarına yardımcı olmak için Yapay Zekâ ve Veri Koruma Risk Araç Setine (Artificial Intelligence and Data Protection Risk Toolkit[5]) başvuruyor.

Birçok gizlilik lideri, yapay zekânın geliştirilmesi ve kullanımında kişisel verilerin kullanımına ilişkin saydamlık, amaç sınırlaması ve işlem gerekçeleri gibi konular ile ilgili sorularla boğuşuyor. Bilgi Komiserliği Ofisi bu sorulara herhangi bir özellikli cevap vermiyor. Üretken bir yapay zekâ danışma serisi[6] de dâhil olmak üzere mevcut ve gelecekteki istişarelere atıfta bulunuyor, ancak Stratejinin üslubuna bakılırsa yeni özel yapay zekâ gizlilik kurallarının ufukta görünmesi pek olası görünmüyor.

Bilgi Komiserliği Ofisi, “kuruluşların, bireylerin hak ve özgürlüklerine yönelik olarak yeterince hafifletilemeyecek kadar yüksek risk tespit ettiği durumlarda, Bilgi Komiserliği Ofisi’ne danışmaları gerektiğini” belirtmektedir. Ancak “hak ve özgürlükler” açısından “yüksek risk”, yüksek bir çıta gibi görünüyor. Bu Strateji, Bilgi Komiserliği Ofisi’nin pragmatik, risk odaklı bir düzenleyici olmaya devam edeceğini ve olağan Veri Gizliliği Etki Değerlendirmelerinin yapılması ve uygun önlemlerin alınması durumunda işletmelerin yapay zekâyı denemekte ve geliştirmekte özgür olacağını öne sürmektedir.

4. Gerektiğinde Yaptırım Uygulanacaktır

Bilgi Komiserliği Ofisi, yukarıdakilere rağmen, veri koruma yasalarını uygulamak için harekete geçeceğini açıkça belirtmiş ve son cezalara ve uygulama bildirimine özellikle atıfta bulunmuştur. Verdiği yaptırım örnekleri, veri gizliliğinde özellikle hassas iki alan olan yüz tanıma teknolojisinin[7] kullanımı ve çocuklara ilişkin verilerin korunması ile ilgilidir.

Bilgi Komiserliği Ofisi eylemleri, inovasyon yanlısı ve pragmatizm desteklenirken bazı ilkelerin göz ardı edilmeyeceğini açıkça ortaya koymaktadır.

5. Yapay Zekâ, Bilgi Komiserliği Ofisi İçin Önemli Bir Odak Alanıdır

Yapay zekâ, çocukların mahremiyeti, reklam teknolojisi ve çevrimiçi takibin yanı sıra Bilgi Komiserliği Ofisi’nin 2024-2025 dönemi için temel odak alanlarından biridir. Strateji, Bilgi Komiserliği Ofisi’nin Birleşik Krallık’ta yapay zekânın sorumlu bir şekilde benimsenmesini ve veri koruma uyumunu sağlamak ve teknolojiye ilişkin anlayışını geliştirmek için üstlendiği bazı girişimlerin altını çizmektedir.

İşletmeler önümüzdeki aylarda ve yıllarda daha fazla istişare, mutabakata dayalı denetim ve korumalı alan projelerine davet bekleyebilirler. Biyometrik veriler ile ilgili olmak gibi daha yüksek riskli yapay zekâ biçimleriyle uğraşan işletmelerin de Bilgi Komiserliği Ofisi’nden haber alma olasılıkları daha yüksek olup; Bilgi Komiserliği Ofisi teknolojinin nasıl çalıştığını öğrendikçe potansiyel olarak bilgi taleplerinin sayısı da artacaktır.

Bilgi Komiserliği Ofisi girişimleri şunları içerir:

  • Hedefli mutabakata dayalı denetim (targeted consensual auditing): Bilgi Komiserliği Ofisi, yapay zekâ kullanarak kişisel verilerin işlenmesini değerlendirmek için yüksek riskli işletmelerde (yani, bildirilen ihlallere, Bilgi Komiserliği Ofisi tarafından alınan şikâyetlerin sayısına, yıllık beyanlara ve kamuya açık bilgilere, ticari istihbarata, medya raporlarına ve diğer ilgili bilgilere dayanarak belirlenen kontrolörler) aktif olarak mutabakata dayalı denetimler yürütmektedir. Bu denetimler, işletmelere yapay zekâ uygulamalarını nasıl geliştirebilecekleri konusunda pratik tavsiyeler sağlayan önemli bir eğitim aracı olarak hizmet etmektedir[8]. Strateji, iş bulma sektöründe yapay zekâ tabanlı yaş tahmini ve doğrulama hizmetlerinin yanı sıra yapay zekâ tabanlı ürünler sunan işletmeler için denetimlerin hâlihazırda devam ettiğini özetlemektedir. Bu girişimin bir parçası olarak Bilgi Komiserliği Ofisi, bu yılın sonlarında işletmelerle yapılan görüşmelerden elde edilen bulguların ayrıntılarını içeren bir rapor yayınlamayı planlamaktadır.
  • Düzenleyici sanal alan projeleri (regulatory sandbox projects): Bilgi Komiserliği Ofisi, veri koruma uyumunu sağlarken yenilikçi yapay zekâ uygulamalarını keşfetmek için düzenleyici sanal alan projeleri ile ilgilenmektedir. Bu projeler, işbirliği yapan işletmelere yeni yapay zekâ teknolojilerini test edebilecekleri kontrollü bir ortam sağlayarak Bilgi Komiserliği Ofisi’nin potansiyel riskleri değerlendirmesine ve operasyonel gerçekleri yansıtan düzenleyici çerçeveleri daha da geliştirmesine olanak tanımaktadır. Büyük Teknoloji de dâhil olmak üzere kilit sektör paydaşları bu sanal alanlara zaten katılmış ve Bilgi Komiserliği Ofisi’nin yapay zekânın potansiyeli ve zorluklarına ilişkin anlayışına anlamlı katkıda bulunmuşlardır.

6. Diğer Düzenleyici Otoritelerle Ortaklıklar Kurulması ve Açık Diyalog Önemlidir

Stratejide Bilgi Komiserliği Ofisi, yapay zekâ ile ilgili zorlukların bütünsel olarak ele alınması için düzenleyici otoriteler arasındaki aktif katılımın ve işbirliğinin çok önemli olduğunu vurgulamıştır. Örneğin, Bilgi Komiserliği Ofisi’nin Dijital Düzenleme İşbirliği Forumu’nun (Digital Regulation Cooperation Forum) bir parçası olarak yaptığı çalışmalar, Bilgi Komiserliği Ofisi’ni, Rekabet ve Piyasalar Otoritesi’ni (Competition and Markets Authority), Ofcom’u (Birleşik Krallık’ın iletişim düzenleyicisi) ve Finansal Davranışlar Otoritesi’ni (Financial Conduct Authority) bir araya getirmektedir.

Bu forum, gözetim ve yaptırımda tutarlılığı teşvik ederek dijital düzenlemeye yönelik birleşik bir yaklaşım oluşturmayı amaçlamaktadır. Dijital Düzenleme İşbirliği Forumu içerisinde yapay zekâ, gündemde önemli bir konuma sahip ve işbirlikçi çabalar, yapay zekânın yararları ve zararları hakkında ortak perspektiflerin yayınlanması, üretken yapay zekâ gibi yeni ortaya çıkan teknolojiler üzerine tartışmalar ve üçüncü taraf denetim ortamına yönelik araştırmalarla sonuçlanmıştır.

“Yapay Zekâ ve Dijital Merkez”in (Artificial Intelligence and Digital Hub) kurulması, yenilikçilerin birden fazla sektördeki düzenleyici karmaşıklıkları aşması için bir platform sağlayarak bu iş birliğini daha da güçlendirmektedir. Bilgi Komiserliği Ofisi aynı zamanda çeşitli düzenleyici otoriteler ve kamu otoriteleri arasındaki diyaloğu teşvik eden bir platform olan Düzenleyici Otoriteler ve Yapay Zekâ Çalışma Grubuna da öncülük etmektedir.

Birleşik Krallık’ta benimsenen işbirlikçi yaklaşım, Avrupa düzenleme ortamında dikkate değerdir. Düzenleyici otoritelerin bağımsız olarak faaliyet gösterdiği birçok yargı bölgesinin aksine Birleşik Krallık, çeşitli düzenleyici kurumlar arasında ortaklıkların geliştirilmesiyle öne çıkmaktadır. Yapay zekâya yönelik bu sektörler arası yaklaşım, farklı kurumlar arasında uzmanlık ve sorumlulukların paylaşılmasına olanak tanıyarak yapay zekâ teknolojilerinin daha kapsamlı ve koordineli bir şekilde denetlenmesini kolaylaştırmaktadır.

Sonraki Adımlar

Birleşik Krallık hükümeti şimdi, Birleşik Krallık’ta tek başına mı yoksa değiştirilmiş yapay zekâ mevzuatının mı gerekli olduğunu belirlemek için Stratejiyi diğer düzenleyici otoriteler tarafından sağlanan stratejiler[9] ile birlikte gözden geçirecektir. Düzenleyici otoritelerin bugüne kadarki yanıtları göz önüne alındığında, Birleşik Krallık hükümetinin, belki de bazı yüksek riskli ve potansiyel olarak zararlı kullanım durumları haricinde, geniş kapsamlı yapay zekâ düzenlemesini yakın zamanda uygulamaya koyması pek mümkün görünmemektedir.

Bu nedenle, Birleşik Krallık’ta yapay zekâya ilişkin yasal çerçeve, rehberlik ve kaynak sağlama geliştikçe, Bilgi Komiserliği Ofisi’nin yapay zekâ için fiili lider düzenleyici olarak temel ilkeleri belirlemede, yasal uyumu izlemede ve yaptırım eylemini uygulamada merkezi bir rol oynaması muhtemeldir.

[1] Makale, Bilim, Yenilik ve Teknolojiden sorumlu bakanın 15 Şubat 2024 tarihli talebine [<https://www.gov.uk/government/publications/request-for-regulators-to-publish-an-update-on-their-strategic-approach-to-ai-secretary-of-state-letters/letter-from-dsit-secretary-of-state-to-the-information-commissioners-office-html>] yanıt olarak hazırlanmıştır.

[2] <https://www.skadden.com/-/media/files/publications/2024/05/the-uk-ico-publishes-its-strategy-on-ai-governance/regulating-ai-the-icos-strategic-approach.pdf?rev=7752a638c485400fb9e1e84dbe077ab6&hash=16CEEC36DAF5CD2A68D4F7A14F30A401>

[3] <https://www.gov.uk/government/publications/ai-regulation-a-pro-innovation-approach/white-paper>

[4] <https://www.skadden.com/-/media/files/publications/2024/05/the-uk-ico-publishes-its-strategy-on-ai-governance/guidance-on-implementing-those-principles.pdf?rev=15a699b7dffa49d69266edd5498d4d49&hash=4004FBA23A2900B46E2A6988AC055271>

[5] <https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/artificial-intelligence/guidance-on-ai-and-data-protection/ai-and-data-protection-risk-toolkit>

[6] <https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/ico-consultation-series-on-generative-ai-and-data-protection>

[7] Bkz. Bilgi Komiserliği Ofisi’nin 23 Şubat 2024 ve 23 Mayıs 2022 tarihilerinde duyurulan eylemlere ilişkin haber bültenleri.

[8] Bilgi Komiserliği Ofisi, Birleşik Krallık’ın Genel Veri Koruma Yönetmeliği’ne (General Data Protection Regulation-GDPR) özel denetimlerin yanı sıra Gizlilik ve Elektronik İletişim Düzenlemeleri (Privacy and Electronic Communications Regulations-PECR), 2018 tarihli Ağ ve Bilgi Sistemleri Düzenlemeleri (Network and Information Systems Regulations), Dijital Ekonomi Yasası (Digital Economy Act-DEA) gibi diğer mevzuatla ve bilgi haklarına dair mevzuatla örtüştüğü alanlar ile ilgili denetimler de yürütmektedir.

[9] Bu konuda, İhtiyati Düzenleme Kurumu/İngiltere Merkez Bankası, Finansal Davranışlar Otoritesi (FCA), Ofcom ve Rekabet ve Piyasalar Otoritesi’nin (Prudential Regulation Authority/Bank of England, FCA, Ofcom and CMA) stratejilerine de bakılmalıdır.

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.