Yapay Zeka Destekli Skorlama Sistemlerinde Hukuki Sorumluluk
Yazar: Av.Yiğit Neyiğit
Giriş ve Yapay Zeka
Teknolojik gelişmelerin hız kazanmasıyla birlikte, bireylerin ekonomik güvenilirliklerinin, finansal davranışlarının, ticari risk profillerinin ve dijital itibarlarının algoritmik sistemler aracılığıyla analiz edilmesi ve derecelendirilmesi; finans, sigortacılık, elektronik ticaret, insan kaynakları, telekomünikasyon ve kripto varlık hizmetleri başta olmak üzere birçok sektörde olağan uygulama haline gelmiştir. Özellikle yapay zeka destekli veri işleme teknolojilerinin gelişmesiyle birlikte, geleneksel kural bazlı değerlendirme mekanizmalarının yerini büyük veri setleri üzerinde çalışan, davranışsal örüntüler üzerinden sonuç üreten ve belirli ölçüde kendi karar parametrelerini geliştirebilen makine öğrenmesi sistemleri almaya başlamıştır.
Günümüzde bu sistemden yalnızca bankalar veya kredi kuruluşları değil; fintech şirketleri, dijital platformlar, sigorta şirketleri, kripto varlık hizmet sağlayıcıları ve çeşitli teknoloji girişimleri de kullanıcılarını farklı risk kategorilerine ayıran, işlem güvenilirliğini ölçen veya belirli ticari sonuçlar doğuran yapay zeka destekli skorlama sistemlerinden yararlanmaktadır. Söz konusu sistemler yalnızca geleneksel finansal verilerden ziyade kullanıcı davranışlarını, işlem alışkanlıklarını, cihaz bilgilerini, lokasyon verilerini, dijital etkileşim modellerini ve blockchain tabanlı işlem geçmişlerini de analiz etmektedir.
Algoritmalar
Bu gelişmeler ile birlikte, bireyler hakkında ekonomik veya hukuki sonuç doğuran kararların giderek daha yoğun şekilde algoritmalar tarafından alınmaya başlanması; kişisel verilerin korunması, otomatik karar alma mekanizmalarının sınırları, algoritmik ayrımcılık, ölçülülük ilkesi, şeffaflık yükümlülüğü ve temel hakların korunması bakımından son derece önemli hukuki tartışmaları da beraberinde getirmektedir. Yapay zeka destekli skorlama sistemleri esasen, belirli veri setleri üzerinden bireyler hakkında öngörüsel değerlendirmeler yapılmasına dayanmaktadır. Geleneksel kural tabanlı sistemlerde karar mekanizmaları önceden belirlenmiş sabit kurallara dayanırken, modern makine öğrenmesi modelleri zaman içerisinde yeni veri setlerinden öğrenebilmekte ve kendi değerlendirme parametrelerini geliştirebilmektedir.
Nitekim birçok platform bakımından kullanıcıların hangi gerekçeyle “yüksek riskli”, “güvenilir olmayan” veya “incelemeye tabi” müşteri kategorisine alındığını anlaması çoğu zaman mümkün olmamaktadır. Özellikle kredi başvurularının reddedilmesi, işlem limitlerinin düşürülmesi, hesap erişimlerinin sınırlandırılması veya kullanıcı ilişkilerinin sona erdirilmesi gibi önemli sonuçlar doğuran işlemlerde, kararın hangi veri setlerine ve hangi algoritmik değerlendirmeye dayandığı hususu çoğunlukla belirsiz kalmaktadır.
Bu noktada otomatik karar alma sistemlerine ilişkin hukuki tartışmalar özellikle Avrupa Birliği veri koruma hukuku çerçevesinde önem kazanmıştır. General Data Protection Regulation’ın (“GDPR”) 22 nci uyarınca, bireylerin yalnızca otomatik işlemeye dayanan ve kendileri bakımından hukuki sonuç doğuran veya benzer şekilde önemli etkiler yaratan kararlara tabi tutulmaması temel ilke olarak kabul edilmektedir. Söz konusu düzenleme, yapay zeka destekli skorlama sistemleri bakımından son derece kritik bir sınır oluşturmaktadır. Zira uygulamada birçok kurum her ne kadar karar süreçlerinde insan denetimi bulunduğunu ileri sürse de, çoğu durumda insan müdahalesinin şekli düzeyde kaldığı, esas değerlendirmenin ise algoritmik sistemler tarafından gerçekleştirildiği görülmektedir. Nitekim Avrupa Birliği hukukunda 1 Ağustos 2024 tarihinde yürürlüğe giren AI Act ile birlikte, özellikle kredi değerlendirme, işe alım, sigortacılık ve benzeri alanlarda kullanılan yapay zeka sistemleri bakımından “high-risk AI system” yaklaşımı benimsenmiştir. Söz konusu düzenleme kapsamında; insan denetimi, veri setlerinin kalitesi, ayrımcılık risklerinin azaltılması, kayıt tutulması, teknik dokümantasyon, şeffaflık ve denetlenebilirlik gibi yükümlülükler açık şekilde düzenleyici çerçeveye dahil edilmiştir. Özellikle bireyler üzerinde ekonomik veya hukuki etki doğurabilecek sistemlerin daha sıkı yükümlülüklere tabi tutulması, Avrupa Birliği’nin yapay zeka sistemlerini yalnızca teknik ürünler olarak değil; temel haklar bakımından risk doğurabilecek karar mekanizmaları olarak değerlendirdiğini açık biçimde ortaya koymaktadır.
Benzer şekilde Avrupa Adalet Divanı’nın 2023 tarihli SCHUFA kararında da, kredi skorlama sistemlerinin fiilen otomatik karar alma mekanizması niteliği taşıyabileceği ve şekli düzeyde bırakılan insan müdahalesinin tek başına yeterli kabul edilmeyeceği ortaya konulmuştur. Mahkeme özellikle, algoritmik skorların uygulamada karar alma sürecini belirleyici şekilde etkilediği durumlarda, ilgili kişilerin GDPR kapsamındaki korumalardan yararlanması gerektiğini vurgulamıştır.
Modern Yapay Zeka Modelleri
Ayrıca, modern yapay zeka modellerinin önemli bir kısmı, karar alma mekanizmasının teknik olarak dahi tam anlamıyla açıklanamadığı “black-box” sistemler şeklinde çalışmaktadır. Dolayısıyla veri sorumlularının, ilgili kişilere hangi verilerin hangi ağırlıklarla değerlendirildiğini, hangi kriterlerin hangi sonucu doğurduğunu veya belirli bir risk skorunun hangi gerekçelerle oluştuğunu açıklayabilmesi uygulamada ciddi güçlükler yaratmaktadır. Halbuki modern veri koruma hukukunun yaklaşımı, ilgili kişinin yalnızca veri işleme faaliyetinden haberdar edilmesini değil; aynı zamanda söz konusu işlemenin mantığını ve muhtemel sonuçlarını anlayabilmesini de gerekli kılmaktadır.
Yapay zeka destekli skorlama sistemleri bakımından dikkat çeken bir diğer hukuki durum ise veri minimizasyonu ilkesi kapsamında ortaya çıkmaktadır. Zira makine öğrenmesi sistemleri teknik olarak çoğu zaman mümkün olan en geniş veri setleriyle daha verimli çalışmaktadır. Buna karşılık veri koruma hukukunun temel yaklaşımı, yalnızca belirli, açık ve meşru amaçlarla bağlantılı, sınırlı ve ölçülü veri işlenmesini gerektirmektedir. Dolayısıyla şirketlerin daha isabetli algoritmik sonuçlar elde etmek amacıyla sürekli daha fazla veri toplama eğilimi ile veri koruma hukukunun ölçülülük yaklaşımı arasında yapısal bir çatışma meydana gelmektedir.
Profiling faaliyetleri de önemli hukuki riskler doğurmaktadır. Kişilerin harcama alışkanlıklarının, dijital davranışlarının, işlem yoğunluklarının, lokasyon bilgilerinin, cihaz tercihlerinin veya blockchain hareketlerinin analiz edilmesi suretiyle belirli kategorilere ayrılması; bireylerin dijital profillerinin oluşturulmasına neden olmaktadır. Üstelik kullanıcıların büyük çoğunluğu, bu kapsamlı değerlendirme süreçlerinin teknik niteliğini ve kapsamını fiilen anlayabilecek durumda değildir. Bu nedenle özellikle açık rıza mekanizmalarının gerçek anlamda “bilgilendirilmiş irade” unsurunu sağlayıp sağlamadığı da tartışmalıdır.
Yapay zeka destekli değerlendirme sistemlerinin en ciddi hukuki risklerinden biri ise algoritmik ayrımcılık ihtimalidir. Her ne kadar sistemler doğrudan hassas kişisel verileri işlemese dahi; posta kodu, cihaz modeli, gelir seviyesi, coğrafi konum veya davranış kalıpları gibi dolaylı veriler üzerinden belirli grupları sistematik biçimde dezavantajlı hale getirebilmektedir. Özellikle kredi değerlendirme süreçleri, sigortacılık faaliyetleri, işe alım mekanizmaları ve dolandırıcılık önleme sistemleri bakımından bu risk oldukça yüksektir. Nitekim algoritmalar çoğu zaman eğitildikleri veri setlerinde mevcut bulunan önyargıları yeniden üretmekte; hatta bazı durumlarda daha da güçlendirmektedir. Bu nedenle algoritmaların “tarafsız” olduğu yönündeki yaklaşımın hukuken ihtiyatla değerlendirilmesi gerekmektedir.
Blokzincir ve Web3
Blockchain ve Web3 tabanlı skorlama sistemleri bakımından ise tartışma daha karmaşık bir boyut kazanmaktadır. Özellikle blockchain analiz araçları aracılığıyla cüzdan hareketlerinin incelenmesi, işlem geçmişlerinin analiz edilmesi ve kullanıcıların çeşitli risk kategorilerine ayrılması; AML ve fraud önleme süreçlerinde giderek yaygınlaşmaktadır. Ancak blockchain altyapılarının değiştirilemez niteliği ile veri koruma hukukunun silme, düzeltme ve güncelleme temelli yaklaşımı arasında yapısal bir uyumsuzluk bulunmaktadır. Bir blockchain kaydının teknik olarak geri alınamaması veya değiştirilememesi, başta silme hakkı olmak üzere veri sahibi haklarının uygulanabilirliği bakımından ciddi hukuki tartışmalar yaratmaktadır.
Sonuç
Sonuç olarak yapay zeka destekli skorlama sistemleri, yalnızca operasyonel verimlilik sağlayan teknik araçlar olarak değerlendirilmemelidir. Bu sistemler, bireylerin ekonomik fırsatlarını, dijital erişim imkanlarını ve ticari ilişkilerini doğrudan etkileyen yeni nesil karar mekanizmalarına dönüşmüş durumdadır. Önümüzdeki süreçte asıl odak noktası; algoritmaların nasıl karar verdiği, bu kararların ne kadar denetlenebilir olduğu ve bir hata durumunda kimin sorumlu tutulacağı olacaktır. Bu nedenle, yapay zeka tabanlı skorlama sistemlerini hukuka uygun saymak için artık standart kullanıcı sözleşmeleri veya basit rıza metinleri yeterli görülmeyecektir. Bir sistemin meşruiyeti; insan denetiminin fiilen varlığı, kararların mantıklı bir şekilde açıklanabilmesi ve temel hakları ihlal etmeyecek bir ölçülülükte kurgulanmış olmasıyla ölçülecektir.
Yazar: Av.Yiğit Neyiğit
Hukuk ve Bilişim Dergisi ve Blog kısmımızda,
Bilişim Suçları
Blockchain ve Dijital Paralar
Yapay Zekâ ve Robot Hukuku
Elektronik Ticaret Hukuku
İnternet Hukuku
Kişisel Verilerin Korunması Hukuku
Start-Up Hukuku
E-Spor Hukuku
Fikri Mülkiyet Hukuku ve benzer teknoloji hukuku alanlarında yazılar okuyucularımıza sunulmaktadır.