© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

Together is powerful

אירופה: חוק לפיקוח ובקרה על פיתוח ויישום טכנולוגיות בינה מלאכותית

הפרלמנט האירופאי אישר ב-13 במרץ 2024, את החוק המסדיר את השימוש בבינה המלאכותית באיחוד. מדובר בחקיקה פורצת דרך וראשונה מצידה בעולם, שמטרתה ליצור הגנה אפקטיבית על זכויותיהם של תושבי האיחוד מפני שימוש לרעה במערכות טכנולוגיות מתקדמות של למידת מכונה ובינה מלאכותית. החוק שם דגש על מידת הסיכון הגלומה בשימוש במערכות בינה מלאכותית, אוסר על שימוש בחלק מהמערכות ומחייב יישום של הוראות קפדניות לגבי מערכות בסיכון גבוה. מכוח החוק ניתן להטיל על חברות קנסות משמעותיים, העשויים לעלות עד 7% ממחזור שנתי של חברה.

מועד כניסת החוק לתוקף

ההוראות האוסרות על חלק מהשימושים בכלי בינה מלאכותית צפויות להיכנס לתוקף חצי שנה לאחר האישור.

 

בתום שנה, ייכנסו לתוקף הוראות המחייבות ספקים של מערכות בינה מלאכותית כללית (General Purpose AI), ימונו רשויות במדינות אירופה השונות ותיערך בחינה מחודשת של רשימת השימושים האסורים לבינה מלאכותית.

 

בתום 18 חודשים ייכנסו לתוקף הוראות המחייבות בחינה מעמיקה בעת ולאחר הפעלה של מערכות בינה מלאכותית בסיכון גבוה. בתום שנתיים יכנסו לתוקף מרבית הוראות החוק, ובכלל זאת יחול החוק על מרבית המערכות בסיכון גבוה, ייקבעו כללים לגבי ענישה וקנסות במדינות אירופה, יוקמו "ארגזי חול" רגולטוריים במדינות שיאפשרו פיתוח טכנולוגי במגבלות קלות יותר, ותיערך בחינה נוספת של רשימת המערכות בסיכון גבוה. לאחר שלוש שנים יחול החוק על מערכות בסיכון גבוה שהן מערכות בטיחות או שמחויבות ברגולציה נוספת. בשנת 2030 יחול החוק על מערכות מחשוב משמעותיות של האיחוד האירופאי בהקשרים של חירות, חוק וצדק.

 

מה לעשות כדי לעמוד בהוראות החוק?

כדי להבין אם הוראות החוק נוגעות לפעילות העסקית שלכם, וכדי להתכונן לכניסתו של החוק לתוקף, יש לבחון את השאלות הבאות:

 

1. בעלי תפקידים וחוק הבינה המלאכותית?

החוק מחיל חובות שונות על בעלי תפקידים שונים ביחס לבינה המלאכותית. בין היתר נעשית אבחנה בין משתמשים (deployers) במערכות בינה מלאכותית לבין גורמים אחרים שעוסקים בפיתוח, ייצור, והפצה של מערכות ומוצרים בהם הן כלולות.

 

משתמשים מוגדרים כמי שמשתמשים במערכות בינה מלאכותית לצרכים שאינם אישיים בלבד. כלומר, החקיקה לא חלה על שימוש פרטי של יחידים במערכות אלה.

 

ספקים (providers), הם מי שמפתחים מערכות בינה מלאכותית ומעמידים אותן לשימוש או לרכישה, בתשלום או ללא תשלום. לפיכך, החוק חל גם על מי שמפתחים ומעמידים לשימוש מערכות בינה מלאכותית ללא כוונת רווח או לטובת הכלל.

 

בחוק כלולות גם מספר הגדרות נוספות הנוגעות לשרשרת ההפצה והשיווק של מערכות בינה מלאכותית.

 

2. האם לחוק תחולה על העסק שלכם?

חוק הבינה המלאכותית חל, בדומה לחקיקה כלל-אירופאית אחרת, גם על חברות שאינן מאוגדות באיחוד האירופאי אלא רק מציעות בו שירותים. בפרט החוק חל על: מי שמעמיד לשימוש כלי בינה מלאכותית באיחוד האירופאי; משתמשי מערכות בינה מלאכותית שמאוגדים או נמצאים בתוך גבולות האיחוד האירופאי; ספקים ומשתמשים של מערכות בינה מלאכותית שנמצאים מחוץ לאיחוד האירופאי כאשר נעשה שימוש בפלט של המערכות בתוך האיחוד, המערכות מוצעות לשימוש או שנעשה בהן שימוש בתוך האיחוד באופן עצמאי או כחלק ממוצר, וכן; נציגים של חברות מחוץ לאיחוד שמייצגים ספקי בינה מלאכותית.

תחולת החוק רחבה, ומטרתה לחול על כלל המערכות שיכולה להיות להן השפעה על תושבי האיחוד האירופאי. לכן, חברות המציעות מערכות בינה מלאכותית או משתמשות במערכות כאלה במהלך העסקים הרגיל שלהן, שיש להן לקוחות אירופאים – צריכות לבחון את הוראות החול העשויות לחול עליהן.

 

3. אילו מערכות אסורות לשימוש לפי הוראות החוק?

באופן ייחודי, החוק כולל רשימה ניתנת לעדכון של מערכות בינה מלאכותית האסורות בשימוש באיחוד האירופאי. נכון להיום הרשימה כוללת את הפרטים הבאים:

 

  • מערכות המשתמשות בשיטות תת-הכרתיות, מניפולטיביות או מטעות בכוונה במטרה או בעלות השפעה על היכולת של אנשים לקבלת החלטה מודעת, באופן הגורם או עלול לגרום נזק.
  • מערכות המנצלות חולשה של אדם או קבוצה הקשורה לגיל, נכות או מצב חברתי-כלכלי במטרה להשפיע על ההתנהגות של אותם אנשים באופן שגורם או עלול לגרום נזק ממשי.
  • מערכות המבצעות מיון של אנשים על בסיס המידע הביומטרי שלהם כדי להסיק את מוצאם הגזעי, דעותיהם הפוליטיות, חברותם בארגון עובדים, אמונותיהם, חיי המין שלהם או הנטייה המינית שלהם.
  • מערכות הבוחנות אנשים על בסיס ההתנהגות החברתית שלהם או האישיות שלהם ויוצרות ציון חברתי שמוביל ליחס פוגעני כלפי אותם אנשים.
  • מערכות זיהוי ביומטרי בזמן אמת במרחב הציבורי בידי רשויות אכיפת חוק, אלא אם מתקיימים חריגים מסוימים.
  • מערכות לחיזוי התנהגות עבריינית המבוססות על יצירת פרופיל של האדם או על תכונות אופי, אלא אם הן מבוססות על מידע אובייקטיבי למעורבות בעבירה.
  • מערכות שיוצרות בסיס נתונים לזיהוי פנים המבוסס על תמונות מהאינטרנט או ממערכות מצלמות אבטחה.
  • מערכות המסיקות לגבי מצב רגשי של אדם בהקשר של לימודים או תעסוקה אלא אם השימוש הוא לצרכי בטיחות או רפואה.

 

חשוב שחברות המפעילות מערכות מהסוגים הללו, ייבדקו לעומק את אופי פעילותן ואת תחולת החוק על שימושי הבינה המלאכותית שלהן. נזכיר, כי האיסור על השימוש במערכות אלה באיחוד האירופאי צפוי להיכנס לתוקף חצי שנה לאחר אישור החוק, כלומר, במהלך חודש ספטמבר 2024.

 

4. האם המערכת היא מערכת בסיכון גבוה לפי הוראות החוק?

נוסף על המערכות שהחוק אוסר על השימוש בהן, החוק מטיל חובות על מי שמפיץ ומפעיל מערכות בסיכון גבוה. מערכות בסיכון גבוה הן מערכות שהן:

  • חלק ממוצר או מרכיבי בטיחות במוצר שדורש אישור מקדים של האיחוד (דוגמת – כלי תחבורה, חומרי נפץ, מעליות, מוצרים רפואיים ועוד).
  • מערכות בתחומים מסוימים ובהם – מערכת המשפט ואכיפת חוק, יישומים ביומטריים, תשתיות קריטיות, השכלה, תעסוקה וניהול עובדים, שירותים חיוניים והטבות ממשלתיות, הגירה ובקרת גבולות.

 

5. מה החובות החלות על מפעילי מערכות בסיכון גבוה?

מערכות בסיכון גבוה מחויבות ביישום דרישות שונות לפי הוראות החוק, ובכלל זאת:

  • שימוש במערכת לאיתור וניהול סיכונים הנובעים מהמערכת.
  • בחינה קפדנית של הנתונים עליהם מתבצע אימון המערכת, בהתאם לקריטריונים הקבועים בחוק.
  • תיעוד המאפיינים הטכניים של המערכת טרם תחילת השימוש בה.
  • שמירה של תיעוד הפעילות במערכת (logs) באופן שמאפשר לזהות מקרים בהם המערכת מציבה סיכון, ולנטר את פעילותה לאחר הפעלתה.
  • עמידה בדרישות שקיפות וגילוי מידע כלפי המשתמשים במערכת – בין היתר באמצעות הבטחת האפשרות של משתמשים להבין את הפלט, ובאמצעות צירוף הוראות הפעלה הכוללות גם התייחסות למטרות השימוש, מידת הדיוק והתקלות האפשריות.
  • הבטחת אפשרות לפיקוח אנושי אפקטיבי.
  • הפעלת אמצעי אבטחת מידע וכלים אחרים שיבטיחו את מהימנות ועמידות של המערכת.

 

על ספקים, יבואנים ומפיצים של מערכות בסיכון גבוה חלות גם חובות נוספות, דוגמת חובות הבטחת איכות, רישום, יידוע וביקורת.

 

משתמשים במערכות אלה שלא לצורך פרטי מחויבים לבצע בחינה של הסיכון לזכויות מהותיות לפני תחילת השימוש במערכת. בנוסף, הם חבים חובות כגון הבטחת הכשרה מתאימה לעובדים, חובות ביחס למידע שמוכנס כקלט (input) למערכת, פעולה בהתאם להוראות השימוש, ניטור הפעילות של המערכות ושמירת קבצי תיעוד, ועוד.

 

6. האם המערכת דורשת יישום של חובות שקיפות מיוחדות?

גם אם מערכת אינה מערכת בסיכון גבוה, עשויה לבוא לצידה דרישה לעמידה בחובות מיוחדות של שקיפות.

המערכות עליהן תחול החובה הן:

  • מערכות שיש להן אינטראקציה ישירה עם אנשים (דוגמת צ'אט בוטים).
  • מערכות בינה מלאכותית יוצרת (Generative AI).
  • מערכות לזיהוי רגשות.
  • מערכות מיון ביומטרי.
  • מערכות ליצירת deep fake.

 

כניסתו לתוקף של חוק הבינה המלאכותית האירופאי היא אבן דרך משמעותית ברגולציה של טכנולוגיה חדשה ברחבי העולם. לחוק צפויות להיות השלכות מהותיות על האופן שבו חברות מפתחות, מציעות לשימוש ומשתמשות בכלים של בינה מלאכותית. עם הקמת הרשויות המרכזיות שצפויות לפקח על יישומו של החוק, נזכה להבין את גבולות האכיפה הצפויים, ומידת החופש ממנו ייהנו חברות טכנולוגיה ברחבי האיחוד האירופאי.

 

אנחנו ממליצים להתחיל את ההכנה ליישום הוראות החוק כבר עכשיו, כדי להשלים את התהליכים הנדרשים עוד לפני תחילת האכיפה. מעבר לכך, הטמעת כלים של בינה מלאכותית בעסק עשויה לדרוש התאמות וצעדים נוספים, עליהם כתבנו בהרחבה במדריך המשפטי להטמעת כלי AI בארגון.

 

***

 

ד"ר אבישי קליין הוא ראש מחלקת פרטיות, אבטחת מידע וסייבר בברנע ג'פה לנדה.

 

עו"ד מאשה יודשקין היא עורכת דין במחלקת הפרטיות, אבטחת המידע והסייבר במשרד.

 

משרד ברנע ג'פה לנדה נמצא לרשותכם בכל שאלה בנושא פרטיות ואבטחת מידע, רגולציה של בינה מלאכותית ונושאים אחרים. 

 

 

תגיות: AI | בינה מלאכותית | רגולצייה של בינה מלאכותית