סיכום שנת 2025: פרטיות ובינה מלאכותית
תקציר
- דיני הפרטיות: תיקון 13 והחמרת הסטנדרטים: תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף באוגוסט 2025 והרחיב חובות פיקוח ואחריות, כולל חובת יידוע מורחבת, מינוי DPO ואחריות דירקטוריון למעקב על עיבוד מידע ופעילות אבטחת מידע. הרשות להגנת הפרטיות החלה אכיפה פעילה בשוק.
- בינה מלאכותית: אכיפה, קניין רוחני ואחריות משפטית: פסיקה ורגולציה בינלאומית ומקומית ב-2025 קבעו גבולות לשימוש ב-AI, כולל אימון מודלים על יצירות מוגנות, הצהרות שיווקיות, פרטיות מידע וסקרייפינג. האחריות מוטלת על חברות ה-AI ועל הדרג הניהולי, גם במקרה של שימושים מסחריים או בעלי סיכון גבוה.
- בינה מלאכותית במגזר הפיננסי: בישראל פורסמו המלצות לפיקוח ושימוש אחראי ב-AI במערכת הפיננסית, תוך עידוד חדשנות ושמירה על שקיפות, ניהול סיכונים, בקרות נתונים ומניעת הונאות. דגש הושם על GenAI, Deepfake ושימוש בצ’אט-בוטים.
- מבט ל-2026 והמלצות פרקטיות: בשנת 2026 יידרש יישום מלא של תיקון 13 ועמידה ברגולציה ל-AI, כולל מינוי DPO, ממשל מידע, ניהול סיכונים לאורך מחזור החיים של מערכות AI, בקרה על ספקים ומאגרים, והדיווח השוטף לדירקטוריון. ציות אינו רק חובה משפטית אלא נכס אסטרטגי להמשך פעילות עסקית וביטחון מוניטין.
שנת 2025 מהווה נקודת מפנה רגולטורית משמעותית בתחומי הבינה המלאכותית (AI) והגנת הפרטיות. בישראל, כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות הובילה לשינויים מהותיים בפעילות השוטפת של חברות ישראליות, והעניקה לרגולטור סמכויות אכיפה חסרות תקדים.
במקביל, היחס הרגולטורי והשיפוטי לטכנולוגיות פורצות דרך כמו AI עבר תפנית דרמטית, כאשר רשויות האכיפה ובתי המשפט הבהירו כי אין צורך להמתין לחקיקה ייעודית כדי להטיל אחריות משפטית על שימושים בטכנולוגיה, וניתן להסתמך על הדין הקיים.
דיני הפרטיות: תיקון 13 והחמרת הסטנדרטים
באוגוסט 2025 נכנס לתוקפו תיקון 13 לחוק הגנת הפרטיות, אשר שינה באופן מהותי את דיני הפרטיות בישראל. התיקון כולל עדכון מונחים והרחבת זכויות, מטיל חובות ואחריות משמעותית על ארגונים ודורש מהם שינויים ברמת הפעילות השוטפת, לצד הענקת סמכויות פיקוח ואכיפה נרחבות לרשות הגנת הפרטיות. בנוסף, הרשות להגנת הפרטיות פרסמה טיוטת גילוי דעת המבהירה שינוי משמעותי בפרשנות ובדרישות לקבלת "הסכמה" לצורך עיבוד מידע אישי במסגרת זו, הרשות מצפה לתעדף הסכמה מפורשת, מודעת וחופשית. מנגנונים כגון תיבות סימון מסומנות מראש, הודעות כלליות על שימוש במידע, או הסקת הסכמה מעצם השימוש במוצר או בשירות, עשויים להיחשב "הסכמה חשודה", ובמקרים אלה בעל השליטה במידע עשוי להידרש להוכיח כי ההסכמה ניתנה מדעת ולנמקה.
בין השינויים המרכזיים של תיקון 13, מעבר לסמכויות הפיקוח וגובה הקנסות, חשוב לציין את השינויים הבאים:
- חובת יידוע מורחבת: בעת איסוף המידע, יש לפרט האם המסירה חובה, מהן מטרות השימוש, למי יועבר המידע ומהן זכויות העיון והתיקון של נושא המידע. הדבר משפיע על הדרך בה יש ליידע לקוחות, משתמשים ואף עובדים ביחס למידע הנאסף אודותם.
- חובת מינוי ממונה הגנת פרטיות (DPO): התיקון מחייב גופים ציבוריים, סוחרים במידע, ארגונים המבצעים ניטור שיטתי בהיקף ניכר וגופים המעבדים מידע רגיש בהיקף נרחב (כגון בנקים ובתי חולים) למנות ממונה הגנת פרטיות (DPO). על הממונה להיות בעל ידע מעמיק בדין ובטכנולוגיה ולשמש כאיש קשר מול הרשות. הרשות להגנת הפרטיות אף פרסמה טיוטת הנחיה ביחס למשמעות החובה.
- אחריות הדירקטוריון: בחברות שבהן עיבוד המידע הוא בליבת הפעילות, מוטלת על הדירקטוריון חובה אקטיבית לפקח על הציות לחוק, לאמץ מדיניות הגנה ולהיות בניטור מלא ושוטף של אירועי אבטחה בארגון.
הרשות יצאה לאחרונה בהודעה כי היא החלה בפיקוח רוחב ביחס לרשויות מקומיות, חברות סחר אונליין, אפליקציות בשימוש נפוץ וחברות נוספות באופן שממחיש את הרצינות שבה מתנהלים הליכי הביקורת והמעבר לאכיפה מעשית בשוק.
תוכלו לעיין במדריך שהכנו, בו תמצאו טיפים ליישום בארגון שישפרו משמעותית את רמת הציות שלכם להוראות חוק הפרטיות הישראלי.
בינה מלאכותית: אכיפה, קניין רוחני ואחריות משפטית
-
אימון מודלי שפה וקניין רוחני (LLMs):
הסוגיה המרכזית בשנת 2025 הייתה חוקיות השימוש ביצירות מוגנות לצורך אימון מודלים. הפסיקה האמריקאית החלה לגבש מגמה ברורה יותר במאבק על האיזון בין זכויות יוצרים לבין צרכי אימון של בינה מלאכותית, המהווה את חוד החנית של הקידמה הטכנולוגית. בפרשת Anthropic, הושג הסדר פשרה תקדימי בסך 1.5 מיליארד דולר, לאחר שנטען כי החברה השתמשה בעותקים פיראטיים של ספרים. בית המשפט קבע כי בעוד שתהליך האימון עצמו עשוי להיחשב "שימוש הוגן" טרנספורמטיבי, החזקת עותקים שהושגו ממקורות בלתי מורשים מהווה הפרה.
מקרה נוסף הוא פסק הדין בעניין Thomson Reuters נגד Ross Intelligence, שבו נקבע כי שימוש מסחרי שנועד להתחרות ישירות במוצר המקורי (מנוע חיפוש משפטי) אינו חוסה תחת הגנת השימוש ההוגן. באירופה, הגישה אף מחמירה יותר: בפסיקה תקדימית, בית המשפט בגרמניה קבע כי אימון מודלים על מילות שירים ללא רישיון מהווה הפרה של זכויות יוצרים. בנוסף, נקבע כי כאשר מילים מוגנות יימצאו בתוצרי הבינה המלאכותית, האחריות להפרה תחול על חברות ה-AI ולא ניתן יהיה לגלגל אותה אל המשתמשים.
רשות הסחר הפדרלית (FTC) הבהירה כי אין צורך בחקיקה חדשה כדי לאכוף אחריות על בינה מלאכותית. ה-FTC אסרה על רשת Rite Aid להשתמש בזיהוי פנים למשך חמש שנים עקב שיעורי שגיאה גבוהים ואפליה. חברת Workado נדרשה להפסיק הצהרות לא מבוססות על שיעורי דיוק של 98.3%, ובטקסס הושג הסדר מול Pieces Technologies בשל מצגי שווא בנוגע לשיעור "הזיות" נמוך במערכת AI רפואית. המסר ברור: הצהרות שיווקיות על ביצועי AI כפופות לדיני הגנת הצרכן.
-
בינה מלאכותית בסקטור הפיננסי:
דוח המלצות סופי בנושא הבינה המלאכותית בסקטור הפיננסי פורסם החודש בישראל, ומציג גישה של עידוד החדשנות ואימוץ הבינה המלאכותית, לצד ניהול אחראי של הסיכונים הנלווים לכך בעולם הפיננסי. האסדרה הישראלית מתמקדת בפיקוח על שימושים בעלי סיכון גבוה ובהסרת חסמים רגולטוריים מיותרים, במטרה לעודד שוק תחרותי, חדשני ויעיל ולהתאימו לסטנדרטים הבין-לאומיים בתחום.
-
פרטיות בבינה המלאכותית:
במהלך 2025, רשות הגנת הפרטיות פרסמה טיוטת הנחיה חדשה המבהירה כיצד הדין הקיים בישראל, ובדגש על חוק הגנת הפרטיות, חל על פיתוח, אימון ושימוש במערכות בינה מלאכותית. חובת הציות חלה על כל שלבי חיי המערכת, כאשר עקרונות המפתח כוללים קבלת הסכמה מדעת מהמשתמשים, שמירה על שקיפות מלאה לגבי אופן עיבוד הנתונים, והטלת אחריות על דרג הניהול בארגון.
במקביל, נאסרה קצירת/כריית מידע (Scraping) ואיסוף מידע ביומטרי ללא הסכמה, ונקבע כי האחריות מוטלת על מפעילי האתרים למנוע כרייה כזו. בנוסף, נטען כי במקרים מסוימים תיתכן זכות לדרוש את "תיקון האלגוריתם" עצמו אם הוא מפיק מידע שגוי. כך למשל, פרשת Clearview AI הייתה אחד התקדימים המשמעותיים השנה, במסגרתה נדרשה החברה לשלם כ-51 מיליון דולר במסגרת הסדר פשרה בגין קצירת למעלה מ-10 מיליארד תמונות מרשתות חברתיות ללא הסכמה לצורך אימון מערכות זיהוי פנים. ההסדר, שכלל הענקת 23% ממניות החברה לתובעים, מהווה תמרור אזהרה לחברות המשתמשות במידע ביומטרי ובטכנולוגיות "scraping" ללא מנגנוני הסכמה מפורשים, במיוחד לאור חוקי הפרטיות המדינתיים בארה"ב (כגון BIPA).
-
בינה מלאכותית במגזר הפיננסי:
במהלך 2025, הרשות לאיסור הלבנת הון פרסמה דרישה לדיווח יזום על פעילות חשודה המבוצעת באמצעות GenAI ו-Deepfake, כגון זיוף מסמכי KYC או התחזות לבכירים לצורך הונאות פיננסיות. בנוסף, רשות ניירות ערך התירה שימוש בצ'אט-בוטים להנגשת אנליזות, ובלבד שתישמר שקיפות, לא יתבצע עיבוד נוסף של המידע ותינתן גישה לדוח המלא.
לסיום השנה, דוח המלצות סופי בנושא הבינה המלאכותית בסקטור הפיננסי פורסם החודש בישראל, ומציג גישה של עידוד החדשנות ואימוץ הבינה המלאכותית, לצד ניהול אחראי של הסיכונים הנלווים לכך בעולם הפיננסי. האסדרה הישראלית מתמקדת בפיקוח על שימושים בעלי סיכון גבוה ובהסרת חסמים רגולטוריים מיותרים, במטרה לעודד שוק תחרותי, חדשני ויעיל ולהתאימו לסטנדרטים הבין-לאומיים בתחום.
מבט ל-2026 והמלצות פרקטיות
שנת 2026 תעמוד בסימן הטמעה ויישום של הסמכויות החדשות. תקופת ההיערכות שניתנה למשק הסתיימה, והרשות להגנת הפרטיות צפויה לעבור לאכיפה אקטיבית ולמימוש סמכויותיה המורחבות. תיקון החוק מוביל לשינוי גישה מהותי בשוק, ממיקוד ב"פרטיות טכנית" לממשל מידע (Information Governance) רוחבי. חברות שימשיכו לפעול בשיטות הישנות של הסכמות גורפות ומקורות מידע עמומים, ימצאו את עצמן בחשיפה משפטית וכלכלית משמעותית.
היערכות רגולטורית לבינה מלאכותית במגזר העסקי – המלצות מעשיות לקראת השנה החדשה:
- השלמה מיידית של חובות תיקון 13: מינוי DPO (פנימי או חיצוני), הסדרת מסמכי הגדרות המאגר, עדכון נהלי אבטחת מידע, הסכמי לקוחות וספקים ועוד.
- היערכות רגולטורית ל-AI (EU AI Act, ארה"ב וישראל): יצירת מפת רגולציה ייעודית לפיתוח ושימוש במערכות בינה מלאכותית, לרבות סיווג מערכות לפי רמת סיכון, זיהוי חובות שקיפות ותיעוד, דרישות לניהול נתונים ואבטחה, וחובות ייחודיות ביחס למודלים כלליים ושימושים בעלי רגישות גבוהה. יש לעקוב אחר כניסת החובות לתוקף במהלך השנה באיחוד האירופי (AI Act), התפתחויות רגולטוריות וסטנדרטים בארה"ב (חקיקה מדינתית/פדרלית והנחיות רגולטוריות), והנחיות בישראל (כולל עמדות רגולטוריות רלוונטיות ביחס לפרטיות, אבטחת מידע ושימוש אחראי ב-AI).
- הטמעת מנגנון ניהול סיכונים למערכות AI (AI Risk Management): אימוץ מתודולוגיה סדורה לניהול סיכוני AI לאורך מחזור החיים, בהתאם לרמת הסיכון והצורך המשפטי. יש לבצע מיפוי שימושים ומקרי שימוש אסורים/מוגבלים, הערכת סיכוני פרטיות ואבטחת מידע, בדיקות הטיה והוגנות, בקרות איכות ותוקף (accuracy/robustness), מנגנוני Human-in-the-Loop במידת הצורך, תיעוד והצדקה לשימוש בנתונים, בדיקות ספקים ורכיבים חיצוניים, מנגנוני ניטור לאחר פריסה, תהליך טיפול בתקלות ו"אירועי AI", ותוכנית שיפור מתמשכת.
- ממשל תאגידי לניהול סיכוני פרטיות ו-AI (Governance): קביעת נהלים ארגוניים מחייבים המגדירים בעלי תפקידים, תחומי אחריות, סמכויות ואופן קבלת החלטות ביחס לשימוש במערכות AI וסיכוני פרטיות.
- בקרה קפדנית על "שרשרת האספקה" של המידע: הפרדה בין מאגרים מורשים לפיראטיים, מיפוי כלל המערכות ווידוא חוקיותן, וידוא זכויות בחוזי ספקים והטמעת מנגנוני סינון למניעת "הזיות" ושימוש בסימני מסחר של צד ג'.
- מעורבות הדירקטוריון: הגדרת דיווח תקופתי לדירקטוריון על ניהול סיכוני פרטיות ואירועי אבטחה כחלק מחובת הפיקוח הסטטוטורית.
בשורה התחתונה: בשנת 2026, ציות לדיני הפרטיות וה-AI אינו רק "V" ברשימת המשימות המשפטיות, אלא נכס אסטרטגי המבטיח את רציפות הפעילות העסקית והגנה על המוניטין הארגוני.
***
ד"ר אבישי קליין הוא שותף וראש מחלקת פרטיות, סייבר ובינה מלאכותית במשרד.
מחלקת פרטיות, סייבר ובינה מלאכותית במשרד היא מהבולטות והמובילות בישראל, ומעניקה ייעוץ משפטי מקיף וחדשני לחברות טכנולוגיה, גופים מוסדיים, חברות ותאגידים מסקטורים שונים בארץ ומעבר לים. המחלקה מתמחה ביישום מעשי של דיני הפרטיות בישראל לרבות שירותי DPO עם מיקוד בצרכים העסקיים, בצמצום הסיכון המשפטי וביצירת תוכניות פרטיות המותאמות לצרכי הלקוחות, לרבות ייעוץ משפטי מקיף בכלל הסוגיות הרגולוטוריות הקשורות בפיתוח, שימוש והטמעת כלי AI בארגון.