Yapay Zekâ Etiği, Önyargı ve Güvenlik: Sakin ve Pratik Bir Rehber

Etik Bir Süs Değil, Mühendislik Problemidir

Yapay zekâ etiği denince çoğu insanın aklına soyut bir şeyler gelir: paneller, manifestolar, iyi niyet beyanları. Oysa bir modeli gerçekten kurup sahaya süren biri için etik, mahremiyet ve güvenlik son derece somut sorulara dönüşür. Bu sistem kime haksızlık ediyor? Yanıldığında ne oluyor, bedelini kim ödüyor? Kararını neye dayandırdığını açıklayabiliyor mu? Orada bulunmaması gereken biri kullandığı veriyi görebilir mi? Bunlar felsefe semineri değil, gündelik mühendislik kararlarıdır.

Bu yazının amacı vaaz vermek değil. Amaç, merak eden ama uzman olmayan birinin -bir öğrenci, bir avukat, bir kurucu, bir profesyonelin- bu konuları kendi başına değerlendirebilecek kadar sağlam bir zihinsel harita edinmesi. Önyargının nereden geldiğini, adaletin neden tek bir tanımı olmadığını, şeffaflığın gerçekte ne işe yaradığını ve düzenlemelerin -KVKK ile AB Yapay Zekâ Yasası- hangi yöne gittiğini sade bir dille anlatacağız.

Tek bir temel fikirle başlayalım: yapay zekâ tarafsız değildir. Tarafsız görünür, çünkü matematikle ve sayılarla konuşur; sayılar da insana hep nesnel gelir. Ama her model, kendisini eğiten verinin ve onu kuran insanların seçimlerinin bir aynasıdır. Bir aynayı suçlayamazsınız; ona ne tuttuysanız onu gösterir. Bu, modeli kötü yapmaz; sadece sorumluluğu olması gereken yerde, insanın üzerinde tutar. Etik tartışması da tam burada başlar.

Önyargı Nereden Gelir: Verinin ve Etiketlerin Hikâyesi

Bir yapay zekâ modeli dünyayı, kendisine gösterilen örneklerden öğrenir; bu örneklere 'eğitim verisi' denir. Eğer veri gerçekliği eşit ve adil biçimde temsil etmiyorsa, model bu çarpıklığı öğrenir, çoğu zaman da büyütür. Klasik örnek: geçmişte işe alınmış kişilerin özgeçmişleriyle eğitilen bir işe alım modeli. Belirli bir grup tarihsel olarak sistematik biçimde az işe alındıysa, model 'iyi aday' kalıbını sessizce o eşitsizliğin üstüne kurar. Kimse 'ayrımcılık yap' diye komut yazmaz; model ayrımcılığı doğrudan veriden miras alır.

İkinci kaynak etiketlerdir. Denetimli öğrenmede veriye anlamı insanlar yükler: bu yorum 'olumlu', bu görüntü 'kedi', bu mesaj 'spam'. Etiketi koyan insanların önyargıları, yorgunlukları ve kültürel varsayımları veriye sessizce sızar. 'Saldırgan dil' etiketi, etiketçinin nereli olduğuna ve neyi normal saydığına göre değişir; birinin şakası bir başkasının hakareti olabilir. Model de bu öznel kararları, kazınmış bir doğa yasasıymış gibi öğrenir.

Üçüncüsü ve en sinsisi: temsil dengesizliği ile geri besleme döngüleri. Ağırlıkla açık tenli yüzlerle eğitilmiş bir yüz tanıma sistemi, koyu tenli yüzlerde daha çok yanılır; çünkü o yüzleri yeterince 'görmemiştir'. Daha da kötüsü, model bir kez sahaya çıktığında kendi çıktısı geleceğin verisini şekillendirir. Bir suç tahmin aracı bir bölgeye daha çok devriye yollar, devriye artınca daha çok kayıt tutulur, kayıt artınca model orayı daha da 'riskli' sayar. Yılan kendi kuyruğunu yer; önyargı kendi kendini besler.

Buradan çıkan ders dengeli olmalı: önyargı her zaman kötü niyetin ürünü değildir. Çoğu zaman dikkatsizliğin, eksik verinin ya da yanlış sorulmuş sorunun ürünüdür. Bu aslında iyi haber, çünkü dikkatsizlik düzeltilebilir bir şeydir. Önyargıyı 'kötü insanlar' meselesi gibi değil, ölçülebilen ve azaltılabilen bir mühendislik kusuru gibi görmek, onunla baş etmenin ilk ve en önemli adımıdır.

Adalet: Tek Bir Doğru Tanım Yok

'Adil model' deyip geçeriz, ama bu sözün altı şaşırtıcı derecede boştur. Çünkü adaletin matematikte birbiriyle yarışan birden çok tanımı vardır ve bunları çoğu zaman aynı anda tutturmak imkânsızdır. Bir kredi modelini düşünün. 'Adil' demek, onay oranlarının her grupta eşit olması mı? Yoksa modelin her grupta aynı isabetle çalışması mı? Ya da gerçekten geri ödeyen herkese aynı şansı vermesi mi? Üçü de makul tanımlardır; ama matematiksel olarak hepsini birden sağlamak çoğu durumda mümkün değildir. Battaniye kısadır: bir ucunu örttüğünüzde öbür ucu açıkta kalır.

Bu, 'o hâlde adalet anlamsız' demek değildir; tam tersine, adaletin bir değer tercihi olduğunu gösterir. Hangi tanımı seçeceğiniz bağlama bağlıdır ve bu teknik değil, etik-politik bir karardır. Tıbbi teşhiste yanlış negatif -hastayı sağlıklı sanmak- ile işe alımda yanlış pozitifin ağırlığı bambaşkadır. İyi bir ekip 'modelimiz adildir' demez; 'hangi adalet tanımını, neden seçtik ve bunun bedeli ne oldu?' sorusuna açıkça cevap verir.

Pratik sonuç şudur: adalet işaretlenip bitirilen bir kutucuk değil, sürekli ayarlanan bir dengedir. Modeli farklı gruplar üzerinde ayrı ayrı ölçmek, hata oranlarını karşılaştırmak, bilinçli bir tercih yapmak ve bu tercihi belgelemek gerekir. En sağlıklı yaklaşım, adaleti 'bir kere çözülüp rafa kaldırılan' bir mesele gibi değil, sürekli izlenen ve hesabı verilen bir özellik gibi düşünmektir.

Şeffaflık ve Açıklanabilirlik: Kara Kutuyu Aralamak

Modern yapay zekâ modelleri, özellikle derin sinir ağları, çoğu zaman 'kara kutu' diye anılır: bir girdi verirsiniz, bir çıktı alırsınız; ama arada milyonlarca sayısal ağırlığın nasıl bir araya gelip o sonucu ürettiğini doğrudan okuyamazsınız. Şeffaflık tartışması bu boşluğu kapatma çabasıdır. Burada iki şeyi karıştırmamak önemli: süreç şeffaflığı (bu sistem nasıl yapıldı, hangi veriyle eğitildi, sınırları ne?) ile açıklanabilirlik (bu somut karar neden böyle çıktı?). Biri sistemin künyesi, öbürü tek bir kararın gerekçesidir.

Açıklanabilirlik, güven ve hesap verebilirlik için kritiktir. Bir bankanın 'kredi başvurunuz reddedildi' demesi yetmez; insanın itiraz edebilmesi için gerekçeyi bilmesi gerekir. Aynısı sağlıkta, hukukta, işe alımda da geçerli. İyi tasarlanmış bir sistem, çıktısının yanına 'şu faktörler bu sonuca en çok katkıyı yaptı' diyebilen, anlaşılır bir gerekçe sunabilir. Kusursuz bir açıklama her zaman mümkün olmayabilir; ama hiç açıklama olmaması kabul edilemez bir yere gidiyor.

Önemli bir denge noktası: şeffaflık, her şeyi herkese açmak demek değildir. Modelin tüm parametrelerini yayımlamak çoğu zaman ne mümkün ne de anlamlıdır -kimse milyonlarca sayıya bakıp bir şey anlamaz. Asıl ihtiyaç, doğru kişiye doğru düzeyde bilgi vermektir: kullanıcıya anlaşılır bir gerekçe, denetçiye teknik dokümantasyon, düzenleyiciye uyum kaydı. Şeffaflığı 'her şeyi göster' değil, 'kimse karanlıkta kalmasın' diye okumak daha doğrudur.

İçtiHub gibi hukuk alanında çalışan sistemlerde bu mesele özellikle yakıcıdır. Bir hukukçu, yapay zekânın önüne koyduğu bir içtihada ya da mevzuat yorumuna körü körüne güvenemez -güvenmemeli de. Bu yüzden bu tür ürünlerde doğru yaklaşım, cevabı kaynağa bağlamaktır: hangi karara, hangi maddeye dayanıldığını göstererek insan denetimini ortadan kaldırmak yerine güçlendirmek. Burada yapay zekâ son sözü söyleyen değil, hukukçunun her adımını doğrulayabileceği bir asistandır.

Mahremiyet: KVKK, GDPR ve Verinin İzi

Yapay zekânın yakıtı veridir ve bu verinin büyük kısmı insanlara aittir. Dolayısıyla mahremiyet, etik tartışmanın tam merkezinde durur. Türkiye'de bu alanı düzenleyen temel metin, 6698 sayılı Kişisel Verilerin Korunması Kanunu'dur (KVKK); Avrupa'daki muadili GDPR'dir. İkisi de aynı sezgiye dayanır: kişisel veri sizindir, başkaları onu ancak meşru bir hukuki sebeple ve belirli sınırlar içinde işleyebilir. 'İşlemek' burada toplamak, saklamak, analiz etmek, modele yedirmek dâhil hemen her şeyi kapsar.

Bu kanunların yapay zekâ açısından en önemli ilkeleri pratik ve akılda kalıcıdır: veriyi yalnızca belirli, meşru bir amaç için topla (amaca bağlılık); ihtiyacından fazlasını alma (veri minimizasyonu); kişiye ne yaptığını anlaşılır biçimde söyle (şeffaflık); ve veriyi koru (güvenlik). Özellikle kritik bir nokta otomatik kararlardır: KVKK'nın 11. maddesi uyarınca kişinin, yalnızca otomatik sistemlerle analiz edilerek aleyhine bir sonuç çıkmasına itiraz etme hakkı vardır. Yani bir algoritma sizin hakkınızda tek başına nihai karar veremez; insan bu zincirin bir yerinde mutlaka durmalıdır.

2026'da bu çerçeve hareketli. KVKK, 12 Mart 2026'da 'etken yapay zekâ' (agentic AI) sistemlerine ilişkin bir rehber yayımladı. Rehber bağlayıcı bir kanun değil; ama Kurum'un beklentilerini ve bakış açısını gösteriyor. Çok adımlı, kendi başına hareket eden bu sistemlerde veri işlemenin kapsamının öngörülemez biçimde genişlemesi, farklı kaynaklardan gelen verilerin birleştirilip kapsamlı profiller çıkarılması ve 'kara kutu' etkisinin daha da derinleşmesi başlıca riskler olarak işaret ediliyor.

Buradaki pratik ders açık: bir yapay zekâ ürünü kurarken mahremiyet, sonradan üstüne vidalanan bir kapak değil, tasarımın başlangıç varsayımı olmalıdır -buna 'tasarımdan mahremiyet' (privacy by design) denir. Hangi veriyi neden topladığınızı, ne kadar süre sakladığınızı, kimin eriştiğini ve kullanıcının bunu nasıl kontrol edebileceğini en baştan netleştirmek; hem yasal bir zorunluluk hem de en yalın haliyle bir güven meselesidir.

Hesap Verebilirlik: 'Algoritma Öyle Dedi' Bir Mazeret Değildir

Bir yapay zekâ sistemi zarar verdiğinde sorumlu kim olur? Modeli geliştiren mi, eğitim verisini sağlayan mı, sistemi sahaya süren kurum mu, yoksa düğmeye basan kullanıcı mı? Soru basit değil; cevabı da genellikle 'birden çok tarafın paylaştığı sorumluluk' biçimindedir. Etikteki kritik ilke şudur: sorumluluk asla 'algoritmaya' devredilemez. Bir makine hesap veremez; hesap verecek olanlar, o makineyi tasarlayan, satın alan ve kullanan insanlardır.

İşte bu yüzden 'algoritma öyle dedi' cümlesi hesap verebilirlik açısından tehlikelidir. Otomasyonun sinsi bir yan etkisi vardır: insan, makinenin çıktısına gereğinden fazla güvenir ('otomasyon yanlılığı') ve kendi muhakemesini sessizce devre dışı bırakır. Sağlam sistemlerde insan, kararı yalnızca onaylayan bir kauçuk damga değildir; gerçekten itiraz edebilen, durdurabilen, gerekçe sorabilen bir denetleyicidir. Buna çoğu zaman 'döngüde insan' (human in the loop) denir.

Pratikte hesap verebilirlik somut izlerle kurulur: kim hangi kararı verdi, model hangi sürümdü, hangi veriyle eğitildi, kim onayladı? Bu kayıtlar yoksa, bir hata olduğunda kimse ondan ders çıkaramaz ve hiçbir şey düzelmez. İyi bir yapay zekâ kültürü, hata olduğunda suçlu aramakla değil; hatanın nasıl yakalanıp düzeltileceğini daha en baştan tasarlamış olmakla ölçülür.

Düzenlemenin Yönü: AB Yapay Zekâ Yasası ve Risk Temelli Yaklaşım

Yapay zekâyı düzenleyen ilk kapsamlı yasa olan AB Yapay Zekâ Yasası (EU AI Act), dünya genelinde bir referans noktası hâline geldi. Mantığı basit ama güçlü: tüm yapay zekâyı aynı kefeye koymak yerine, riske göre kademelendirmek. Bir film öneri algoritması ile bir tıbbi teşhis sistemi aynı sıkılıkta denetlenmez. Yasa, sistemleri kabaca dört kademeye ayırır: kabul edilemez risk (yasak), yüksek risk (sıkı yükümlülükler), sınırlı risk (şeffaflık zorunluluğu) ve asgari risk (büyük ölçüde serbest).

En tepede yasaklar var. Sosyal puanlama, manipülatif teknikler, iş yerinde ve okulda duygu tanıma, internetten gelişigüzel toplanan görüntülerle yüz tanıma veritabanı oluşturmak gibi uygulamalar 2 Şubat 2025'ten beri yasak. Bir alt kademede, yüksek riskli sistemler -işe alım, kredi, eğitim, kritik altyapı gibi alanlarda- kapsamlı belgeleme, risk yönetimi, veri kalitesi ve insan gözetimi yükümlülükleri taşır. Sınırlı risk kademesinde ise asıl mesele şeffaflıktır: kullanıcı bir sohbet botuyla konuştuğunu bilmeli, yapay zekâ üretimi içerik etiketlenmelidir.

Takvim 2026'da önemli bir dönüş yaşadı. Yasanın büyük bölümü 2 Ağustos 2026'da uygulanmaya başlıyor; buna özellikle 50. madde kapsamındaki şeffaflık yükümlülükleri -yapay zekâ üretimi içeriğin ve 'deepfake'lerin işaretlenmesi gibi- dâhil. Ancak Mayıs 2026'da varılan 'Dijital Omnibus' (Digital Omnibus) uzlaşısıyla, Ek III'teki yüksek riskli sistemlerin en ağır yükümlülükleri 2 Aralık 2027'ye ertelendi. Yani yön nettir; ama sektöre hazırlanma payı vermek için tempo biraz gevşetildi.

Türkiye AB Yapay Zekâ Yasası'na doğrudan tabi olmasa da bu çerçeve dolaylı olarak önemli. Avrupalı kullanıcılara hizmet veren ya da Avrupalı ortaklarla çalışan her şirket bu standartlarla yüzleşir; üstelik KVKK'nın yönü de büyük ölçüde aynı ilkeleri -şeffaflık, insan gözetimi, risk yönetimi- paylaşıyor. Dengeli okuma şudur: bu düzenlemeler inovasyonu yasaklamak için değil, en riskli kullanımlara korkuluk koyup geri kalanına nefes alacak alan bırakmak için tasarlanmıştır.

Sorumlu Kullanıma Doğru: Mükemmellik Değil, Dürüstlük

Bunca riskten sonra cazip bir sonuç 'o hâlde yapay zekâdan uzak duralım' olabilir. Ama bu da en az diğeri kadar dengesiz bir tepki. Doğru kurulduğunda yapay zekâ gerçek bir fayda üretir: bir hukukçunun saatler sürecek bir araştırmayı dakikalara indirmesi, bir hekimin gözden kaçabilecek bir bulguyu yakalaması, bir öğrencinin karmaşık bir konuyu kendi hızında öğrenmesi. Sorumlu kullanım, yapay zekâyı reddetmek değil; sınırlarını bilerek kullanmaktır.

Sorumlu bir yaklaşımın çekirdeği birkaç sade alışkanlıkta toplanır. Sistemin ne işe yaradığını ve neyi yapamayacağını açıkça söyleyin. Önemli kararlarda insanı döngüde tutun. Veriyi en aza indirin ve koruyun. Çıktıları gruplara göre ölçüp önyargıyı izleyin. Ve belki de en önemlisi: belirsizliği saklamak yerine ortaya koyun. 'Bundan emin değilim, lütfen doğrulayın' diyebilen bir sistem, her zaman kendinden emin görünen bir sistemden çok daha güvenlidir.

EcoFluxion'da bu yazıdaki ilkeler soyut değerler değil, ürün kararlarının çerçevesidir. İçtiHub gibi hukuk alanında çalışan bir asistanda en büyük risk, kulağa doğru gelen ama yanlış bir cevabın özgüvenle sunulmasıdır. Bu yüzden tasarım felsefemiz, cevabı kaynağa bağlamak, hukukçunun denetimini kolaylaştırmak ve yapay zekâyı son karar mercii olarak değil, doğrulanabilir bir yardımcı olarak konumlandırmaktır. Hedef yanılmaz bir makine değil; dürüst, şeffaf ve insanın kontrolünde kalan bir araçtır.

Son söz: yapay zekâ etiği, bir gün varılacak bir bitiş çizgisi değil, sürekli sürdürülen bir disiplindir. Kusursuz adil, kusursuz şeffaf ya da kusursuz güvenli bir sistem yoktur. Olan şey şudur: kendi sınırlarının farkında olan, hatasını yakalamaya çalışan ve sorumluluğu insanın üzerinde tutan sistemlerle, bunu hiç umursamayanlar arasındaki fark. O farkı görebilmek, bugün teknolojiyle iç içe yaşayan herkesin edinmesi gereken yeni bir okuryazarlıktır.