הרשות להגנת הפרטיות מציבה גבולות לבינה המלאכותית: מה המשמעות לעסקים?
הרשות להגנת הפרטיות פרסמה לאחרונה טיוטת הנחיה המבהירה את עמדתה לגבי האופן שבו על עסקים וארגונים ליישם את הוראות חוק הגנת הפרטיות, התשמ”א-1981 והתקנות שמכוחו, על מערכות בינה מלאכותית.
ההנחיה מתייחסת לכל שלבי מחזור החיים של מערכות בינה מלאכותית, החל משלב אימון המודלים ועד לשלב היישום בפועל. היא מציגה את פרשנות הרשות לחוק, ונועדה לשמש בסיס להפעלת סמכויות הפיקוח, הבירור, האכיפה והטלת הסנקציות של הרשות, במיוחד לאור כניסתו לתוקף הצפויה של תיקון 13 לחוק באוגוסט 2025.
במדריך זה סקרנו בשאלות ותשובות את עיקרי ההנחיה ובסופו הוספנו רשימת צעדים פרקטיים ליישום.
האם חוק הגנת הפרטיות חל על מערכות בינה מלאכותית?
כן. לעמדת הרשות, הוראות החוק חלות באופן מלא על מערכות בינה מלאכותית המאחסנות או מעבדות מידע אישי, הן בשלב אימון המודלים והן בשימוש בהם. גם מידע שנוצר על-ידי המערכת (כמו הערכות, תחזיות או סיווגים לגבי אדם) נחשב לעמדת הרשות מידע אישי תחת החוק.
מה נדרש כדי לעבד מידע אישי באמצעות מערכות בינה מלאכותית באופן חוקי?
כדי לעבד מידע אישי במערכות בינה מלאכותית נדרשת ברוב המקרים הסכמה מדעת של נושא המידע.
קבלת הסכמה כזו מחייבת יידוע מפורט של נושא המידע לפני איסופו, הכולל הסבר על מטרות העיבוד (ובכלל זה אימון המודל), אופן פעולת המערכת ביחס למידע האישי, סוגי המידע הנוספים שבהם ייעשה שימוש ומקורם. בנוסף, יש לחשוף בפני המשתמשים גם את הסיכונים הכרוכים בעיבוד המידע, וכן לספק גילוי כאשר קיימת אינטראקציה עם מערכת בינה מלאכותית.
האם נדרשת לכך הסכמה אקטיבית ונפרדת?
במקרים רבים, התשובה חיובית. כאשר מטרות עיבוד המידע מורכבות וחורגות מהציפייה הסבירה של נושא המידע, או כרוכות בסיכון גבוה לזכויותיו, נדרשת לדעת הרשות הסכמה אקטיבית ונפרדת.
אילו צעדים נדרשים מארגונים המפתחים או משתמשים בבינה מלאכותית אחראית?
הרשות מדגישה את חשיבות עיקרון ה”אחריותיות” (Accountability) בפיתוח ושימוש בבינה מלאכותית. בכלל זאת, מצביעה הרשות על הצורך במחויבות הדירקטוריון וההנהלה לפיקוח על עמידה בדרישות החוק (בין היתר בהמשך לעמדה קודמת של הרשות), לקביעת מדיניות ארגונית ברורה, ובמקרים המתאימים למינוי ממונה הגנת הפרטיות. הרשות ממליצה בנוסף על ביצוע “תסקיר השפעה על פרטיות” (DPIA) לפני הטמעת מערכות בינה מלאכותית, ובפרט מערכות המעבדות מידע בהיקף רחב, מידע רגיש, או הכרוכות בסיכון גבוה.
איך להבטיח את דיוק המידע וזכויות נושאים המידע?
נושאי מידע זכאים לעיין במידע אודותיהם המוחזק אצל חברה ולדרוש תיקון של מידע שגוי, לא שלם, לא ברור או לא מעודכן. הדבר נכון, לעמדת הרשות גם לתוצרי מערכות בינה מלאכותית. הרשות מבהירה כי בנסיבות מסוימות, כאשר אין דרך למנוע המשך הפקתו של מידע שגוי, הדרישה לתיקון עשויה לחול גם על האלגוריתם עצמו. לשיטתנו, עמדה זו מרחיקת לכת וצפויה לעורר מחלוקת.
האם יש דרישות אבטחת מידע מיוחדות למערכות בינה מלאכותית?
כן. הרשות מצביעה על כך שמערכות בינה מלאכותית מביאות לסיכונים ייחודיים ביחס לאבטחת המידע, כגון מתקפות שמטרתן לחלץ מידע אישי ש”נלמד” על ידי המודל. לאור זאת, על חברות לאמץ בקרות אבטחה מותאמות למודל בהתאם לרמת הסיכון הצפוי.
מהן הדרישות לגבי שימוש עובדים בכלי בינה מלאכותית חיצוניים?
הרשות ממליצה לארגונים לקבוע מדיניות ארגונית ברורה לשימוש בכלי בינה מלאכותית, עם התייחסות לסיכוני אבטחה ופרטיות, הגדרת המורשה להשתמש בכלים, המטרות, המידע שמותר להזין ועוד. עוד ממליצה הרשות לבחון את תנאי השימוש והפרטיות של הספק החיצוני על מנת להבין אם המידע משמש לאימון המודל של הספק, ולערוך הדרכות לעובדים.
האם מותר “לכרות” (scraping) מידע אישי הזמין ברשת (למשל, ברשתות חברתיות) כדי לאמן מודל בינה מלאכותית?
לעמדת הרשות ככלל, הדבר אסור ללא הסכמה מדעת מפורשת שניתנה בידי נושא המידע. הסכמה תתקיים רק אם תנאי השימוש של הפלטפורמה אינם מגבילים את השימוש במידע למטרה ספציפית ואם נושא המידע לא הגביל את הגישה למידע. הרשות מוסיפה כי גם במקרים אלו, לא ניתן להסיק הסכמה של המשתמש לשימושים מורכבים במידע (כמו אימון מערכת זיהוי פנים) או שימושים בסיכון גבוה לזכויותיו.
האם למפעילי אתרים (כמו רשתות חברתיות) יש אחריות למנוע כריית מידע?
כן. בעלי מאגרי מידע המאפשרים שיתוף מידע אישי באינטרנט נדרשים לדעת הרשות לנקוט באמצעים סבירים למניעת כריית מידע (scraping) אסורה מהפלטפורמות שלהם. עוד מציינת הרשות כי כריית מידע אסורה עשויה להיחשב אירוע אבטחת מידע המחייב דיווח.
משמעויות והמלצות
טיוטת ההנחיה היא צעד משמעותי לעבר הסדרת הרגולציה על שימוש במערכות בינה מלאכותית בישראל. משמעותה היא כוונה של הרשות לאכוף את עיקריה – אכיפה שהפכה משמעותית לאור תיקון 13 לחוק, שהביא להחמרת הסנקציות האפשריות.
לצד זאת, כוללת טיוטת ההנחיה דרישות משמעותיות ולעתים אף מרחיקות לכת, דוגמת הדרישות לגבי כריית מידע ותיקון אלגוריתם, אשר צפויות לעורר התנגדויות מצד חברות במשק.
על אף שמדובר בטיוטה, לאור העובדה שיש פה קריאת כיוון ברורה ביחס לפרשנות החוק הקיים, אנו ממליצים לחברות המפתחות או משתמשות במערכות בינה מלאכותית בישראל להיערך כבר עכשיו ליישום הדרישות המפורטות בהנחיה, ובכלל זה:
- מיפוי רוחבי – למפות את כלי הבינה המלאכותית שבהם נעשה שימוש בחברה, ובכלל זה את הכלים הכוללים מידע אישי.
- תשתית פנימית ותסקירי השפעה – להקים תשתית ממשל פנימי, ובכלל זה תשתית לזיהוי והפחתת סיכונים במערכות בינה מלאכותית. במסגרת זו, לערוך במקרים המתאימים תסקירי השפעה על פרטיות.
- נהלים והכשרות – ליצור נוהל לשימוש ופיתוח של מערכות בינה מלאכותית ולערוך הכשרות רלוונטיות לעובדים.
- יידוע והסכמה – ליישם מנגנוני יידוע והסכמה מפורטים ושקופים ביחס לכלים שבהם נעשה שימוש במידע אישי.
- מסמכים משפטיים – לבחון את המסמכים המשפטיים הרלוונטיים (תנאי שימוש, מדיניות פרטיות, הסכמים) כדי לעמוד בדרישות היידוע ולוודא שהם מתאימים לשימושים הנעשים במערכות בינה מלאכותית.
- רכש ובחינת ספקים – לפתח פרוצדורה פנימית לרכש ולמחלקת המשפטית שתבטיח סקירה מוקדמת של ספקי AI והפחתת סיכוני פרטיות ואבטחה
- מימוש זכויות – לבחון את האופן שבו יכולים נושאי מידע לממש את זכויותיהם ביחס למערכות הבינה המלאכותית שבשימוש הארגון.
***
מחלקת פרטיות, סייבר ובינה מלאכותית במשרדנו עומדת לרשותכם לליווי תהליכי פיתוח והטמעה של מערכות בינה מלאכותית, יצירת מסגרות ממשל פנימי להן והתאמתן לדרישות הרשויות בישראל ובעולם.
ד”ר אבישי קליין הוא שותף וראש מחלקת פרטיות, סייבר ובינה מלאכותית במשרד.
עו”ד מאשה יודשקין היא עורכת דין במחלקת פרטיות, סייבר ובינה מלאכותית במשרד.