Biyometrik Tanıma ve Davranış Tespiti

                                                                                                                      Yazanlar: Pınar Saruhan ve H. Berk Sürücü

‘Biyometrik veri’,  GDPR madde 4(14)’te tanımlandığı üzere; “yüz görüntüleri veya daktiloskopik veriler gibi gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik ve davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.”

İlgili hükümden de hareketle genel hatlarıyla “biyometrik teknik” kavramından,

• Bireylerin kimliklerinin doğrulanması,
• İnsanların uzun vadeli ya da kalıcı davranışlarına göre sınıflandırılması (Gelecekteki davranışları tahmin etme durumları dâhil olmak üzere,
• İnsanların geçici ua da kalıcı fiziksel/ruhsal durumlarının tespiti (hastalık, korku vb.),

Ve bunlara benzer amaçlarla, insan vücudunun fiziksel veya davranışsal hareketleriyle alakalı verilerin, spesifik ve teknik yöntemler ile işlenilmesi anlaşılmalıdır.

1. Mevzuat ve Kararların Tarihçesi
   • AB ve BM Mevzuatı

Biyometrik veriler, Avrupa İnsan Hakları Sözleşmesi’nden Avrupa Temel Haklar Şartı’na kadar pek çok düzenlemede ele alınarak özel hayatın gizliliği, yaşama hakkı, güvenlik hakkı gibi haklarla bağdaştırılmıştır. Birleşmiş Milletler Güvenlik Konseyi’nin 2014 yılında verdiği 2160 No’lu tavsiye kararında da terör tehlikesine karşı biyometrik verilerin paylaşılabileceğine ilişkin maddeler yer almaktadır.

Ceza soruşturmaları her ne kadar Avrupa Genel Veri Koruma Tüzüğü’nün (General Data Protection Regulation) kapsamı dışında olsa da 2016/680 Sayılı Kanun Uygulama Direktifi ceza soruşturmalarına olanak sağlar. Direktifte, Lizbon Anlaşması’nı kabul eden devletlerarası heyetin nihai tasarrufta bulunabileceği belirtilmiştir. Ayrıca,  cezai konularda adli ve kolluk iş birliği alanlarında kişisel verilerin korunması hakkındaki 21 sayılı Bildiri’de, Avrupa Birliği Antlaşması’nın 16’ıncı maddesi uyarınca cezai konularda adli ve kolluk iş birliğinin sağlanması ile ilgili alanlarda kişisel verilerin korunması ve verilerin serbest dolaşımının sağlanması hakkında bu alanların kendine özgü niteliğinden kaynaklı olarak özel hükümlerin belirlenmesinin gerekli olduğu kabul edilmiştir.

AB düzeyinde, birinci nesil biyometrik kişisel verilerin toplanması, depolanması ve kullanılması için ilk özel yetki, dış güvenlik gerekliliklerini belirleyen 2252/2004 sayılı Konsey Tüzüğü ile gündeme gelmiştir. Bu Tüzüğün 1(2) bendi ile Üye Devletler tarafından düzenlenecek pasaport ve seyahat belgelerinde, yüz görüntüsü ve iki parmak izi bulunmasını ve bunun yalnızca ilgili pasaporta münhasır güvenli bir alanda (pasaport üzerindeki çip ile sağlanmaktadır) tutulmasını zorunlu kılınmıştır. Bu sayede bilgilerin gerçek sahibi ile belge arasında güvenilir bir bağ kurulmakla birlikte, seyahat güvenliği açısından da koruma sağlanmıştır.

Avrupa Birliği’nde sınır kontrolü ve güvenliği bağlamında biyometrik verilerin depolanması ve paylaşılmasına olanak sağlayan birtakım mevzuatlar bulunmaktadır. Bu konuda en mühim olanı 2017/2226 sayılı Giriş-Çıkış Sistemi Yönetmeliğidir (Entry-Exit System Regulation).

2021’de Avrupa Komisyonu aşağıdakilere ilişkin kuralları belirleyen bir Tüzük Tasarısı (Artificial Intellegence Act) yayınladı.  Bu taslak temelde yapay zekâ sistemlerinin Avrupa Birliği içerisinde geliştirilmesi, piyasaya sürülmesi ve kullanılması için uyulması gereken kuralları içeriyor. Avrupa Komisyonu riske dayalı bir yaklaşım izlemeyi seçerek: (i)kabul edilemez risk, (ii) yüksek risk ve (iii) düşük veya minimum risk olarak bir sınıflandırmaya gitmiştir. Bahse konu risk sınıflandırmasına bağlı olarak, bir yapay zekâ uygulamasının ancak bir dizi zorunlu koşul yerine getirilerek kullanılması söz konusu olabilir. Bununla birlikte yüksek riskli yapay zekâ üreticilerinin daha katı bir kurallar zincirine uymak zorunda olduğunu belirtmek gerekmektedir.

Tüzük Tasarısı’nda halka açık yerlerde ‘gerçek zamanlı’ uzaktan biyometrik tanımlama sistemleri için yapay zekâ kullanımı ‘kabul edilemez bir risk’ olarak tanımlanmakta ve yasaklanmaktadır. Ancak Tüzük Tasarısı 5 (1) (d) ve 5 (2) ile (4) bentleri, bu tür sistemlerin kullanımının hangi koşullar altında gerçekleşebileceğine dair durumları açıklamaktadır.  ‘Gerçek zamanlı’ uzaktan biyometrik tanımlama amacıyla bir yapay zekâ aracının kullanımı suç mağdurlarının aranması, belirli bir yakın yaşam tehdidinin önlenmesi veya belirli cezai suçların faillerin bulunması için gerekli olmalıdır. ‘Gerçek zamanlı’ uzaktan biyometrik tanımlama, özellikle gerekli ve orantılı tedbirlere ve veri işleme koşullarına uymalı, zamansal, coğrafi ve kişisel sınırlamalarla ilgili olarak düzenlemelere bağlı olarak yapılmalıdır.  Diğer bir koşul ise yargısal veya bağımsız bir idari makam tarafından böylesi bir yapay zeka sisteminin kullanılmasına önceden izin verilmesi, bunun dışında sistemin kullanımının, sadece ve sadece usulüne uygun olarak gerekçelendirilmiş acil durumlar için mümkün olmasıdır.

• Ulusal Hukuklardaki Düzenlemeler
  • Avusturya

Avrupa Birliği pasaportları için güvenlik kurallarını düzenleyen 2252/2004 sayılı Yönetmelikte biyometrik verilere ilişkin çeşitli düzenlemeler yapmaktadır. 1992 tarihli Avusturya Pasaport Yasası parmak izi ve diğer biyometrik verilerin kullanımı ve saklanmasıyla ilgili katı olarak nitelendirebilecek birtakım kurallar içermektedir. Örneğin, yüz görüntüleri adi kişisel veri olarak değerlendirilmekte ve lüzum halinde diğer idari kurumlarla paylaşılabilirken parmak izlerinin pasaport sahibini tanımak veya pasaportun gerçekliğini doğrulamak amaçları dışında işlenemeyeceği düzenlenmektedir.

• Almanya

1986 tarihli Alman Pasaport Yasası (Passgesetz), 2252/2004 Sayılı Konsey Tüzüğü ile değerlendirilir ve biyometrik verilerin toplanması ve kullanılması için ek kurallar getirir. Avrupa Birliği pasaportları için güvenlik gereksinimleri 2252/2004 sayılı Yönetmelikte (2.1.d) belirtilenler, Alman Pasaport Yasası’nda da ayrıca belirtilmiştir. Bu kanuna göre pasaport verilmesi amacıyla toplanan biyometrik verilerin korunması için bir ulusal veritabanı oluşturulmayacaktır. Pasaportun çipinde saklanan biyometrik veriler yalnızca belirtilen amaçlar dâhilinde okunabilir ve kullanılabilir.Belirtilen amaçlar belgenin gerçekliğinin veya pasaport sahibinin kimliğinin doğrulanmasıdır. Ek olarak biyometrik verilerin yalnızca yetkili pasaport makamları tarafından saklanabileceği de vurgulanmıştır.

Almanya özelinde, GDPR hükümlerine Federal Verilerin Korunma Yasası (Bundesdatenschutzgesetz, BDSG) hükümleri eşlik eder. BDSG’nin 4. Bölümünde, halka açık belirli yerlerde video gözetimi gereksinimlerinden bahsedilmiştir: Gözetlemek için optik-elektronik cihazların kullanımı halka açık yerlere yalnızca (i) kamu makamlarının görevlerini yerine getirmesi, (ii) konut dokunulmazlığının korunması (iii) veya özel olarak tanımlanmış meşru menfaatlerin tesisi için mümkündür.

Bölüm 4(3) BDSG, toplanan veriler hedeflenen amaca ulaşmak için gerekirse video gözetimi ile saklanabilir ve bu veriler veri sahibinin çıkarlarına göre geçersiz kılınamaz. Bununla birlikte, Alman Federal İdare Mahkemesi – Yüksek Mahkeme (Bundesverwaltungsgericht, BVerwG), Bölüm 4(1)’in GDPR Madde 6(1) olarak, kamu dışı kuruluşlar tarafından video gözetim önlemlerinin yasal zeminini kapsamlı bir şekilde düzenler. Bununla birlikte, kamu kurumları tarafından video gözetimi, hala Bölüm 4(1)’e dayalı olacaktır. Bu konuda Üye Devletlere GDPR Madde 6(2) ve (3), yeterli serbestlik tanımaktadır.

• Avrupa Dışında

Amerika Birleşik Devletleri’nde, bazı eyaletler tarafından biyometrik veri kullanım kısıtlamaları getiren birtakım yasalar önerildi ve kabul edildi. 2008’de Illinois, Biyometrik Bilgi Gizliliği Yasası’nı (Biometric Information Privacy Act, BIPA) kabul etti. BIPA, biyometrik veri kullanımını kısıtlayan mevzuatlar söz konusu olduğunda ABD’de en önde gelen yasa olarak kabul edilir. BIPA, biyometrik tanımlayıcılar, retina veya iris taraması, parmak izi, ses izi veya el/yüz geometrisi taraması gibi ve açıkça yazı örnekleri, fotoğraflar ve boy, kilo gibi fiziksel tanımlamalar hariç tutulmak kaydıyla hangi tüketicilerin biyometrik verilerinin özel kuruluşlar tarafından işlenebileceğini düzenler. Özel kuruluşlar biyometrik veriyi topladıkları ve sakladıkları konusunda veri sahibini yazılı olarak bilgilendirmek zorundadırlar. Ayrıca, veri sahibinden yazılı bir izin (release) alınmalıdır. Toplanan veriler yalnızca belirli koşullar altında ve veri sahiplerinin rızasıyla açıklanabilir.

Texas ve Washington’da ayrıca biyometrik tanımlayıcıların kullanımını şart koşan yasalar vardır. New York, Maryland gibi çeşitli eyaletler benzer bir yasayı kabul etmeyi planlamakta, ancak yürürlüğe girmiş bir kanun bulunmamaktadır. California’da, biyometrik verilerin kullanımı, Kaliforniya Tüketici Gizliliği Yasası (CCPA) ile düzenlenmektedir. Federal düzeyde ise ve Ulusal Biyometrik Bilgi Gizliliği Yasası (National Biometric Information Privacy Act) ABD Kongresi’nde yasa tasarısı olarak tanıtılarak biyometrik bilgilerin regüle edilmesi ihtiyacına işaret edilmiştir. Eyaletlerde ve federal düzeydeki bu çabalar neticesinde biyometrik verilerin özel hukuk kişileri tarafından kullanımı düzenlenmekte iken Portland, Boston, San Francisco gibi şehirler bir adım ileri giderek kolluk kuvvetlerinin dahi yüz tanıma sistemlerine erişimini sınırlamıştır.

• Örnek Kararlar

Avrupa İnsan Hakları Mahkemesi (AİHM) ve Avrupa Adalet Divanı (AAD) çeşitli kararlarında biyometrik verilere atıf yapmış olmakla birlikte henüz ileri teknoloji biyometrik veri işleme faaliyetlerine yönelik doğrudan bir karar vermemiştir. Yine de konuyla alakalı olarak, AİHM, Murray v. UK kararında terör faaliyetlerinin önlenmesi için terör suçlarından hüküm giyen kimsenin (ve hatta bu kimseyle aynı fotoğraflarda bulunan diğer kimselerin) fotoğraflarının saklanmasına terör suçlarının soruşturulmasının hukuki sınırları içerisinde kaldığına hükmetmektedir. AAD ise, Burgemeester kararında, 2252/2004 numaralı tüzük ile pasaport düzenleme süreçlerinde işlenen biyometrik verilerin toplanmasının (verilerin beş senelik saklama süresi dahil olmak üzere) orantılı olduğuna ve AİHS’ye uygun olduğuna, ancak ilgili tüzük hükümlerinin yalnızca pasaport verilmesi amacıyla işlenen biyometrik veriler yönünden uygulanabileceğine hükmetmektedir.

Avusturya Yüksek Mahkemesi (Oberster Gerichtshof), işçilerinin işe giriş-çıkış saatlerini kontrol altında tutmak için parmak izi kayıtlarını alan bir hastane hakkında, işçilerin biyometrik verilerinin işe giriş-çıkış saatleri gibi görece önemsiz bir sebeple toplanmasının, işe giriş-çıkış saatlerinin takibi için en etkili yol olmadığından ve işçilerin insan onuruna karşı saldırgan bulduğundan hareketle veri işlemenin amacına yönelik olarak daha az saldırgan yöntemler önerilebileceği için olayı hukuka aykırı bulmuştur. Kararda, salt bu sebebin hukuka aykırılık için yeterli olduğu, işverenin biyometrik verinin işlenmesi için hukuka uygunluk şartlarını yerine getirip getirmediğinin veya verilerin korunması için gerekli tedbirleri (parmak izlerinin şablonunun taratılarak parmak izinin kendisine ulaşmak imkânsız kılınması dahil olmak üzere) alıp almadığının önem taşımadığı vurgulanmıştır. Parmak izi bilgisinin, çalışanların yazarkasaları açması amaçlı olarak işveren tarafından işlendiği bir diğer örnekte ise, Amsterdam Mahkemesi, aynı gerekçelerle veri işleme faaliyetini hukuka aykırı bulmuş, ek olarak parmak izinin eşsiz bir teşhis sistemi olduğunu, böylesi bir yöntemle karşılaştırıldığında yazarkasanın korunmasındaki hukuki yararın orantılılık ilkesine ters düştüğünü belirtmiştir.

Fransa Anayasa Mahkemesi (Conseil Constitutionnel) Fransız Kimlik Koruma Kanunu’nun 5. Maddesi ile parmak izleri ve gerekli diğer kişisel verilerin bir veri tabanında tutulmasına ve bu biyometrik verilerin yalnızca pasaport düzenlenmesi amacıyla değil, bazı kolluk faaliyetleri ve bir takım suçların engellenmesi amacıyla kullanılmasına yönelik olarak getirilen düzenlemeyi, bütün Fransa nüfusunun sanal olarak teşhis edilebilmesini sağlayacağından anayasal özel hayatın gizliliği hakkına orantısız bir müdahale olarak kabul etmiştir.

Almanya’da ise Hamburg DPO’su (Data Protection Officer), şehirde gerçekleştirilen 2017 G20 zirvesi kapsamında yüz tanıma yazılımı kullanan kameralar ile kitlelerin kayıt altına alınmasının hukuka aykırı olduğunu duyurarak Hamburg polisine verilerin silinmesi talimatını vermiştir. Gerekçe olarak biyometrik verisi toplanan kitlenin büyük çoğunluğunun hiçbir suça karışmadığı, kolluk kuvvetlerinin güç kullanma yetkisi ile vatandaşların enformasyonel özerklik hakkı (right to informational self-determination) arasındaki dengenin ciddi oranda bozulduğunu, kolluğa, sayısız vatandaşın biyometrik verisinin şüphe dahi olmaksızın işlenmesine ilişkin yetki tanıyan herhangi bir düzenlemenin bulunmadığı gösterilmiştir.

İsveç Kişisel Veri Koruma Kurulu tarafından verilen bir kararda, okul öğrencilerinin katılımının tespit edilmesi için yüz okuma sisteminin kullanılmasının orantısız olduğunu, amaçla sınırlı işleme ve veri minimizasyonu ilkelerine aykırılık teşkil ettiğini tespit ederken, okul yönetiminin, öğrencilerin pilot okul olarak kendilerine rıza gösterdiğine ilişkin savunmasını ise okul ile öğrenciler arasında eşler arası ilişkiden söz edilemeyeceğinden rızanın geçerli olmadığına karar vermiştir.

2. Biyometrik Verilerin Kullanımının Etik Açıdan Değerlendirilmesi

Özellikle biyometrik tanımlama ile gündeme getirilen ana etik sorunu biyometrik verilerin kaydıyla ilgilidir. Belirli bir kişiyi tanımlayan benzersiz bir şablonun oluşturulması ve saklanması ilgili etik sorunların başında gelmektedir. Benzersiz şablonlar oluşturmak; bir insanın benzersiz fiziksel özelliklerini dijital verilere dönüştürmek, bireylerin “verileştirilmesi” anlamını taşımaktadır.

• Biyometrik Verilerin Tanımlama ve Teşhis Amaçlı Kullanımının Etik Yönü

Bir kişiyi benzersiz olarak tanımlayan özellikler, bireyin kişiliğinin bir parçası olduğu için buna ilişkin verilerin toplanması ve kullanılması bir insanın kişisel özerkliğine ve onuruna müdahale eder. Bir kez bu şablonun oluşturulup saklanması gelecekte ona sahip olan herkesin ilgili bireyi dünyanın herhangi bir yerinde izleme ve tanıma gücüne sahip olabilmesi anlamına gelmektedir. Bireyin de biyometrik açıdan değişmesi mümkün olamayacağından bireyin ilgili tanımlamadan kaçması mümkün olmayacaktır. Çeşitli veri güvenliği endişeleri de göz önünde bulundurulduğunda biyometrik şablonların önemli bir zarar potansiyeli taşıdığını söylemek mümkündür.

Ek olarak, kamusal alanda biyometrik tanımlama yöntemlerinin kullanılmasıyla ortaya çıkacak olan etik sorunlar yalnızca biyometrik veri ile ilgili değil aynı zamanda bireylerin geniş çaplı gözetiminin getirdiği bir dizi sorunla da (örneğin kitlesel halde telefon sinyallerinin izlenmesi ile alakalı sorunlar gibi) ilgili olacaktır. Biyometrik teşhis dâhilinde tartışılan konuların etik boyutuna dair başlıklar şu şekilde özetlenebilir:

– Biyometrik teşhisin somut amacı,

– Biyometrik tanımlamanın yeri, şekli veya boyutu,

– Alınan önlemlerin şeffaflığı,

– Yüksek eşleşme puanının tetiklediği tepkilerin,

– Yüksek eşleşme puanına sahip olmaya dayanan ve kişilerin hukuka aykırı davranış veya kimlik sahteciliği davranışında bulunması ihtimalinin delil niteliği,

– Eşleşen verilerin herhangi bir şekilde saklanması ve daha fazla veri işlenmesine olanak sağlanması.

Biyometrik gelişmelerin devam etmesi için biyometrik tanımlamaların yanında olası tehditlerin de belirlenmesi ve bu tehditlerin önlenebilir olması gerekmektedir. İkinci nesil olarak adlandırılan biyometrik tanımlayıcılar, insanlar üzerinde pratik yapmak suretiyle bir nevi bilinçaltı çalışmasıyla davranışları tespit etmeyi amaçlamaktadır.

Bir kişinin biyometrik verilerini toplayarak yapılan bir iç görü çalışması, doğrudan kişinin şu anki ve gelecekteki niyet ve davranışlarına yönelik çıkarımları sağladığı için etik olarak da pek çok soruna neden olabilmektedir. Bununla birlikte bahse konu çıkarımların kesin sonuçlar olmadığından hareketle kesin delil olarak kullanmadan yalnızca bahse konu soruşturmada bir yön gösterici olarak kullanılmalıdır. Zira hem biyometrik verilerin bu amaçla kullanıldığının bilgisi kamunun tepkilerini değiştirebilir hem de yanlış yapılan bir tanımlama akabinde önüne geçilmez durumlara yol açabilir.

• Biyometrik Verilerin Kategorizasyon Amaçlı Kullanımının Etik Yönü

Bireylerin biyometrik kategorizasyon tabi tutulması (örneğin havalimanlarında risk gruplarının belirlenmesi veya iş başvurularının değerlendirilmesi) amacıyla sistemlerin geliştirilmiş olması birtakım etik sorunları beraberinde getirmektedir. Özellikle sınıflanacak kategorilerin belirlenmesinde kullanılacak tanımlayıcıların nasıl tanımlanacağı konusu sistemin varsayabileceği, kanaate varabileceği veya bizzat tetikleyeceği davranışlar üzerinden yapılacak kategorizasyonun ayrımcılık, fişleme, yanlış çıkarımlara varılması ve hatta bireyin zaaflarının tetiklenmesi veya manipüle edilmesi gibi risklere yol açabileceği ihtimalleri hususunda faaliyeti etik yönden tartışmaya açmaktadır.

Biyometrik kategorizasyon dâhilinde tartışılan konuların etik boyutuna dair başlıklar şu şekilde özetlenebilir:

– Kategorizasyonun somut amacı, bağlamı ve şartları,
– Toplanan verinin ve yapılan çıkarımların hassasiyeti,
– Sistemin tutarlılığı ile yapılan çıkarımların ve insan gözetimi dahil kontrol mekanizmalarının yerindeliği,
– Sistemin sebep olabileceği geri döndürülemez sonuçlar da dahil olmak üzere, sonuçların ehemmiyeti,
– Bireylerin kategorizasyon hakkında bilgi sahibi olması ve lüzum halinde sonuca itiraz edebilme hakkı,
– Profilleme amacıyla diğer kişisel verilerin işlenmesi ve depolanması.

• Biyometrik Verilerin Tespit Amaçlı Kullanımının Etik Yönü

Biyometrik verilerin insan durumunun tespiti (örneğin, suç işleme niyetinin, korkunun, yorgunluğun, hastalığın) için işlenmesi amacıyla bireylerin birçoğu bilinçdışı gerçekleştirilen çok mahrem davranışları irdelenmektedir. Buna ek olarak bireyin, daha önce farkında olmadığı davranışlarının kendisine bu yolla açılması halinde stres ve anksiyeteye yol açabileceği göz önünde bulundurulmalıdır. Bireyin fiziksel, psikolojik veya davranışlar sinyallerinin durum tespit amacıyla işlenmesi, birey bu davranışları üzerinde tam kontrol sahibi olamayacağından ve bu davranışların bir çoğu bilinçaltından tetikleniyor olacağından dolayı konuya özel bir etik tartışma boyutu katmaktadır.

3. Yapay Zekâ Kanun Teklifi ve İlgili Sonuçlar

AB Komisyonu, 21 Nisan 2021 tarihinde Artificial Intellegence Act (AIA, Yapay Zekâ Kanunu) tasarısını duyurdu. Kanun tasarısı, yapay zeka sağlayıcılarının yükümlülükleri ile kullanıcıların haklarını düzenleyen sembol bir düzenleme olma hedefinde.

Riske dayalı tasnifleme yapan tasarıda, II. Başlık “kabul edilemez riskleri”, III. Başlık “yüksek riskleri”, IV. Başlık “şeffaflık risklerini” düzenliyor. Tasarının ana odağı yüksek riskli yapay zekâ sistemleri olarak göze çarpıyor.

Gerçek kişileri uzaktan biyometrik olarak tanımlayan yapay zekâ sistemleri, kullanıldıkları bağlamdan bağımsız olarak, her zaman yüksek riskli yapay zekâ sistemleri olarak nitelendirilir. Örneğin, kolluk kuvvetleri tarafından yalan makinesi ve benzeri araçlar olarak kullanılması veya tespit edilmesi amaçlanan gerçek bir kişinin duygusal durumu, yani belirli bir biyometrik algılama yüksek riskli olarak değerlendirilmektedir. Aynı şekilde Ek III 7 (a) (Annex III) uyarınca, bu tür yapay zekâ sistemlerinin yetkili idari birimler tarafından göç, iltica, sınır kontrol yönetimi amacıyla kullanıldığı durumlar da yüksek riskli kabul edilmektedir. Ek III 6 (e) uyarınca ise kolluk kuvvetleri tarafından suçun işlenmesinin veya tekrar vuku bulmasının önüne geçilmesi ve önlenmesi amacıyla 2016/680 sayılı direktifin 3(4) maddesine dayalı olarak gerçekleştirilen, kişi veya grupların kişilik özellikleri ve geçmiş kriminal davranışları gözetilerek profilleme amacıyla biyometrik verilerin işlenmesi ihtimali yüksek risk kapsamında kabul edilecektir.

Başlık IV şeffaflık riskini düzenlemektedir. Kanun tasarısının Bazı Yapay Zekâ Sistemleri Hakkındaki Şeffaflık Yükümlülüğü başlıklı 52(2). Maddesine göre duygu tanıma ve biyometrik kategorizasyon sistemleri belirli bir şeffaflık önlemi gerektirir bu nedenle bu tür sistemlerin kullanıcıları sistemin işleyişi hakkında bilgilendirilmelidir ve önlem gereklilikleri yerine getirmelidir. Benzer şekilde duygu tanıma sistemleri ve biyometrik kategorizasyon sistemleri kural olarak sadece Başlık IV’e tabidir ancak somut veri işleme amaçları ışığında yüksek riskli bir sistem olarak nitelendirildikleri durumlarda aynı zamanda Başlık III’te listelenen gereksinimleri de karşılamaları gerekmektedir.

Başlık III’te, özellikle biyometrik tekniklere uygulanan birkaç hüküm yer almaktadır. Madde 12/4’te yer alan: “Ek III 1(a)’da belirtilen yüksek riskli YZ sistemleri için, kayıt kabiliyetleri asgari olarak şunları sağlayacaktır: (a) sistemin her kullanım süresinin kaydı (her kullanımın başlangıç tarihi ve saati ile bitiş tarihi ve saati); (b) sistem tarafından giriş verilerinin kontrol edildiği referans veri tabanı; (c) aramanın bir eşleşmeye yol açtığı giriş verileri; (d) Madde 14/5’te belirtildiği şekliyle, sonuçların doğrulanmasına dahil olan gerçek kişilerin tespiti.” Hususları sistemin kullanılması için şart koşulmuştur. Madde 14/5’te ise ; “Ek III 1(a)’da belirtilen yüksek riskli YZ sistemleri için, 3. fıkrada belirtilen önlemlere ek olarak, en az iki gerçek kişi tarafından doğrulanıp onaylanmadıkça, kullanıcı tarafından sistemden kaynaklanan tanıma temelinde harekete geçilememesi veya kararın alınamaması sağlanacaktır” hükmü yer alır.

Diğer bir önemli husus ise; 43(1)’de düzenlendiği üzere, normalde yüksek riskli fakat bağımsız yapay zeka sistemleri, hizmet sağlayıcısının kendi iç uygunluk denetimlerine tabii iken, uzaktan biyometrik teşhis ve tanımlama sistemleri üçüncü kişiler tarafından uygunluk denetimine tabii kılınmaktadır.

Her bir faaliyet ve sistem uygunluk yönünden ayrı ayrı denetlenecek olmakla birlikte aşağıdaki faaliyetlerin kabaca tabii olacakları risk rejimi basit haliyle tablolaştırılmıştır.

ÖRNEK BİYOMETRİK TEKNİK KULLANAN AI UYGULAMASI	YASA TASARISINA GÖRE KABUL EDİLEBİLİRLİĞİ
Kolluğun bir teröristi takip etmek amacıyla gerçek zamanlı uzaktan biyometrik teşhis uygulaması	Yüksek riskli (Başlık III) olmakla birlikte kabul edilebilirdir.
Kolluğun gerçek zamanlı uzaktan biyometrik teşhis ile hareketli bir toplum profili çıkartması ve anormal davranışları tespit etmesi	Kabul edilebilir değildir.
Havaalanı işleten şirketin, havaalanında gerçek zamanlı uzaktan biyometrik teşhis uygulaması	Kabul edilebilirdir. (Kişisel verilerin korunması anlamında iç hukuka uygunluk şartı aranır.)
Konut sahibinin sokaktan geçen insanlara uzaktan biyometrik teşhis uygulaması	Kabul edilebilir. (Ancak GDPR açısından kabul edilebilir değildir.)
Göç idarelerinin çocuk göçmenlerin yaş teyidi için biyometrik kategorizasyon sistemi kullanması	Yüksek riskli (Başlık III) olmakla birlikte kabul edilebilirdir.
Kolluğun belirli bir etnik grup hakkında biyometrik kategorizasyon sistemi kullanması (başkaca bir hukuki geçerlilik sebebi olmaksızın)	Yüksek riskli (Başlık III) olmakla birlikte kabul edilebilirdir. (Ancak 2016/680 tüzüğü uyarınca hukuka aykırıdır)
Video oyunu sağlayıcısının yaş teyiti sağlamayarak reşit olmayanları korumak için biyometrik kategorizasyon sistemi kullanması	Kabul edilebilir. (GDPR uyarınca rıza şartının yerine getirilmesi gerekmektedir)
Mağazanın müşteri profillemesi için biyometrik kategorizasyon sistemi kullanması	Kabul edilebilir. (GDPR uyarınca rıza şartının yerine getirilmesi gerekmektedir)
Kolluğun şüphelinin sorgusu sırasında biyometrik duygu tanıma sistemi kullanması	Yüksek riskli (Başlık III) olmakla birlikte kabul edilebilirdir.
Kamu istatistik idaresinin oy kullanma kabinlerinde bireylerin demokrasiye yönelik duygularının tespiti için biyometrik duygu tanıma sistemi kullanması	Kabul edilebilirdir. (Kişisel verilerin korunması anlamında iç hukuka uygunluk şartı aranır.)
Soru-cevap chat robotunun biyometrik duygusal tanılama sistemi kullanarak memnuniyetsiz müşterilere yanıt vermesi	Kabul edilebilirdir.
Sosyal medya sağlayıcısının biyometrik duygusal tanılama sistemi kullanarak hedeflediği kişilere, bireysel hassasiyetleri istismar etmek pahasına siyasi reklam yapması	Kabul edilebilir. (GDPR uyarınca rıza şartının yerine getirilmesi gerekmektedir)

Görüldüğü üzere olumlu veya olumsuz pek çok örnek içerisinde ilgili Kanun tasarısı, ortaya çıkması istenmeyecek pek çok sonucu engellemekte yetersiz kalmaktadır. Verilen örneklerin birçoğunda GDPR veya 2016/680 numaralı Tüzük gerekli korumayı sağlamakta iken kimi durumlarda bu düzenlemelerin de gerekli korumayı sağlayamadığı görülmektedir.

Yapay Zekâ Kanun Önerisi, yapay zekâ sistemlerini kapsamlı bir şekilde ele almaz, zira bu durum veri koruma yasaları ile desteklenmelidir.

Bununla birlikte her zaman yasal düzenlemelerden kaynaklı boşluklar bulunacaktır. Örneğin oy verme davranışını manipüle etmek yahut çeşitli çevrimiçi platformlar tarafından reklam şeffaflığının farklı şekillerde kullanılması bu duruma örnek olabilir.

4. Kanun Tasarısına İlişkin Öneriler

İlk olarak “Biyometrik tanımlama sistemi”, “biyometrik kategorizasyon sistemi” ve “duygu tanımları tanıma sistemi” düzenlemelerinin tümü, ‘biyometrik veri’ tanımına dayanmaktadır. Bu tanım, Kanun tasarısında Madde 4(14)’te GDPR’dan kopyalanmıştır ve ‘belirli teknik verilerden kaynaklanan kişisel veriler’ olarak ifade edilir. GDPR ve AIA’nın kapsamları düşünüldüğünde bu tanımla sınırlı kalmak yeterli koruma getirmemektedir.

Fotoğrafların tümünün biyometrik veri olarak kabul edilmemesini sağlayan “biyometrik veri işlemenin teknik ve belirli yollarla yapılabileceği” vurgusu, biyometrik verinin diğer pek çok veriden ayrı tutulmasını sağlasa da Kanun tasarısında geçen “gerçek kişinin teşhisini mümkün kılan veya kişiyi teyit eden benzersiz veri” tanımlaması çok dar kapsamlı bir biyometrik veri tanımlamasıdır. Bu tanımlama birinci nesil biyometrik verileri baskın olarak niteleyen fakat teknolojik gelişmelere ayak uyduramayan bir tanımlamadır. Bu bağlamda, nabız frekansına, vücut ısısına ve benzersiz olmayan yüz ifadelerine (gülümseme, kaş kaldırma veya esneme gibi) veya benzersiz olmayan ses sinyallerine dayalı bir duygu tanıma sistemi (hacim veya titreme gibi) bu tanımın kapsamına girmemektedir.

Bu sorunu çözmek için üç farklı öneride bulunulabilir:

• “Biyometrik veri” tanımı GDPR ile tıpatıp aynı olmayacak şekilde değiştirilebilir,
• “Biyometrik kategorizasyon sistemi” ve “duygu tanıma sistemi” tanımları, herhangi bir veri tipine atıf olmaksızın bağımsız olarak tanımlanabilir,
• “Biyometrik temelli veri” (tanımın içeriği tartışılmalıdır) için yeni bir tanımlamaya gidilerek, “biyometrik kategorizasyon sistemi” ve “duygu tanıma sistemi” tanımlarının, bu tanıma atıf yapacağı bir sistem benimsenebilir.

Duygu tanıma sisteminin tanımına bazı ilave değişiklikler önerilmektedir. Her şeyden önce, daha önce belirtilenlerle uyumlu olarak “biyometrik veriler” değil, “biyometrik temelli veriler” olarak nitelemek uygun olabilir. Ayrıca, veri işleme koşullarının tespit edilmesi genişletilebilir ve muhakkak yeni tanım “düşünceleri” içermelidir. Bu kısım önemlidir zira birçok beyin-bilgisayar arayüzü (BCI), duygulardan (sevinç, korku veya öfke gibi) veya niyetlerden (ayağa kalkma niyeti gibi) ziyade düşünceleri (bir kişinin yiyecek veya içecek düşünmesi vb.) gösterebilmektedir.

Biyometrik kategorizasyon sisteminin tanımı, kullanılan veri türlerine dayanmaktadır. Gerçek bir kişinin kişisel verilerinin uzun vadede fiziksel veya davranışsal özelliklerine ilişkin çıkarımlarda bulunmak biyometrik temelli olarak mümkündür. Uzaktan yapılacak olan biyometrik tanımlamalarda etik sorunların ortaya çıkabileceği göz önüne alınarak ayrıntılı bir düzenleme yapılması, düzenlemeyle gerçek kişilerin özel veya iş hayatındaki gözetimi sınırlandırılmalıdır. Zira bahse konu uygulamaların etkilenen kişilere fiziksel veya psikolojik olarak zarar vermesi muhtemeldir. Ek olarak, doğrudan veya uzaktan erişim yoluyla elde edilebilecek ve zihinsel açıdan mahremiyet ve bütünlüğe zarar verilebilecek beyin verilerinin ölçümü ve/veya manipülasyonu kesinlikle yasaklanmalıdır. Lakin bu durum poligrafların ve diğer biyometrik algılama sistemlerinin otomatik olarak yasaklanması anlamını taşımaz. Bu nedenle bahse konu yasak yalnızca ilgili kişiye yahut kişilere fiziksel ya da psikolojik olarak zarar verebilecek kullanımlar yönünden geçerli olmalıdır. Örneğin, bilinci kapalı olan hastaları tedavi etmek için bir irade aranamayacağından dolayı bu amaçla kullanılan bir yapay zekâ kullanımı da yasaklanmayacaktır.

Yapay zekâ kullanımın teknolojinin gelişimi de göz önüne alınarak düzenlenmesi gerekmektedir. Ek olarak, Birlik hukukunda yer alan veri koruma, ayrımcılık yasağı, tüketici koruma, rekabetin korunmasına dair düzenlemelerin bahse konu Kanun ile etkileşiminin de ayrıca değerlendirilmesi önem arz eder.

Kanun tasarısının 5/1/d ve 2-4 maddeleri arasında yer alan gerçek zamanlı uzaktan biyometrik veri tanımlamasına ait sınırlayıcı hükümler dikkat çekmektedir. İlk genel sınırlama Kanun tasarısının 2/3 maddesinde yalnızca askeri amaçlar için geliştirilen veya kullanılan yapay zekânın Kanun kapsamına alınmadığı görülmektedir.

Etik ve temel haklar birlikte değerlendirildiğinde, bir kişinin biyometrik şablonunu elinde tutmak ve onu dünyanın herhangi bir yerinde takip edebilmek ayrıca tartışılmalıdır. Biyometrik tekniklerin kullanılmasının da kamuoyunda bir endişeye sebep olabileceği aşikârdır. Bu açıdan da belirli kuralların getirilmesi ve kamuya açık alanlarda sınırlandırılması gerekmektedir.

Göç iltica veya sınır kontrol yönetimi her ne kadar kolluk yaptırımı olarak değerlendirilse de bu amaç kapsamında kontrolörün belirtilenden daha fazla veri toplamaması gerekmektedir.

• Nasıl Dizayn Edilmeli

Biyometrik teknikler, biyometrik verinin işlenmesine dayandığından GDPR’ın özel nitelikli kişisel verileri düzenleyen 9. maddesi AIA açısından da emniyet kemeri olarak değerlendirilse de biyometrik teknikler her zaman GDPR’da tanımlandığı anlamda eşsiz bir veri olarak biyometrik verinin işlenmesini gerektirmez. Tasarının mevcut haliyle duygu tanıma ve biyometrik kategorizasyon amacıyla veri işleme faaliyetleri, büyük çoğunlukla GDPR’ın 9. maddesinin değil 6. maddesinin kapsamında kalacak ve genel hukuka uygunluk şartlarına tabii olarak işlenebilecektir. Ek olarak GDPR politik düşünce, din, mezhep gibi hassas verileri yine 6. madde kapsamında koruma altına almakta olsa da biyometrik tekniklerle elde edilecek verilerin tümü bu kapsama girmeyecek, elde edilen duygu ve düşünceler genel kişisel veri olarak kabul edilecektir.

Her ne kadar bu korunaksızlık GDPR’ın lafzından kaynaklanıyor gibi görünse de ikinci-nesil biyometrik verilerin gelişen teknolojik imkânlar dahilinde kötüye kullanımının önüne geçilmesinin yolu AIA’ın daha kapsamlı olarak düzenlenmesi ile mümkün olacaktır.

GDPR md.9 da yer alan özel kategorilerdeki kişisel verilerin işlenmesine dair amaçlardan hangilerinin dâhil edileceğine ve hangilerinin dâhil edilip hangilerinin hariç tutulacağına karar vermek kolay olmayacaktır.

• Biyometrik Teknikler ile Karar Alınırken Dikkat Edilmesi Gerekenler

Kanıun tasarısının 14/5 maddesine göre, insan gözetimi için yüksek risk içeren yapay zekâ kullanımda en az iki gerçek kişi tarafından doğrulanıp onaylamadıkça herhangi bir işlem yapılamaz ve karar alınamaz. Bu hüküm göz önüne alındığında, ortaya çıkarılacak ürünün bir tasarımdan daha fazlasını içerdiğini unutmamak gereklidir.  Ancak, iki kişi tarafından doğrulanmadan herhangi bir işlem yapılamayacağı veya karar alınamayacağına ilişkin bu düzenleme, yapay zekâ tarafından gerçekleştirilecek otomatik işlemi tamamen anlamsız kılmaktadır. Haliyle bu düzenlemenin bir “uygulama yasağı” olduğu ifade edilebilir.

Yine maddenin onaylama işlemini yapacak iki kişinin eğitim seviyesi, bağımsızlık durumu gibi konuları düzenlememiş olması kanun boşluğu yaratmaktadır.

• Delil Olarak Kullanımı

Biyometrik tanımlama çoğu zaman doğrulamaya açık olsa da duygu tanımlama ve biyometrik kategorizasyonun dayandığı sonuçların hukuki açıdan delil olarak kullanılması mümkün değildir. Zira bu sonuçlar sistem tarafından tanımlanır yahut kategorize edilir. Bu nedenle de hukuki olarak geçerli bir delil sıfatını haiz olamayacaktır.

• Biyometrik Çıkarımlara İlişkin Öneriler

Duygu tanımlama ya da gerçek kişilerin sınıflandırılması biyometriye dayalı verilerle gerçekleşir. Aynı zamanda bu durum gerçek bir kişinin kalıcı veya uzun vadeli fizyolojik veya davranışsal özellikleri ile diğer verilere dayalı olarak ortaya çıkarılmıştır. Bu nedenle, üretilen yapay zekâ sistemlerinin bu açıdan belirli bir hukuki rejime tabi olmaları gerekmektedir. Kamera, mikrofon, vücut sensörleri ve benzeri birçok özel yazılım sayesinde uzun vadeli olarak yapılacak biyometrik çıkarımların da tanımlara yeterince dâhil edilmesi gerekmektedir. Yapılan düzenlemelerde dikkat edilmesi gereken diğer bir husus da bu düzenlemelerden etkilenen gerçek kişilerin zararıdır. Ayrıca psikolojik zarar durumunda bu zararın sınırlarını belirlemek oldukça zordur. Örneğin COVID-19 aşısının bulunmasının insanların psikolojisini ne derece etkilediği tartışma konusudur, zira kendilerini aşı olmak için baskı altında hissedebilirler lakin bu durumda ortaya çıkan zararın tam olarak değerlendirilmesi mümkün olmayacaktır.

• Rızaya ilişkin öneriler

Rızaya ilişkin olarak GDPR’a biyometriye dayalı veri ve biyometrik teknolojileri ele alan yeni bir hüküm eklenebilir lakin Yapay Zekâ Kanuna eklenmesi pratikte kolaylık sağlayabilecektir. Biyometrik veriye sahip olan herkes bu rıza üzerinde bir güce sahip olmasından dolayı rıza konusu önem arz etmektedir. Rızaya dayalı sistemlerin geliştirilmesi gerekmektedir.  Zira başkalarının fotoğraflarını videolarını ses kayıtlarını almak suretiyle biyometrik format oluşturmak ve bunu internette serbestçe kullanmak kolay olabilmektedir. Tüm bu nedenlerden dolayı Avrupa Birliği mevzuatının yeniden gözden geçirilerek düzenlemesi gerekmektedir.

Kaynak için bkz.