© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

Together is powerful

כותרת: דיני הפרטיות והבינה המלאכותית בישראל ובעולם: מבט ל-2024

במהלך שנת 2023, דיני הפרטיות והבינה המלאכותית והשלכותיהם המשיכו לתפוס מקום מרכזי מאד בישראל ובעולם. בישראל הדבר התבטא במספר רב של הנחיות מטעם הרשות להגנת הפרטיות ואף התקנת תקנות המסדירות את העברת המידע מאירופה לישראל וההגנה על המידע הזה. בזירה הבינלאומית, ההתפתחויות היו דרמטיות אף יותר והתבטאו בחקיקה של חוקי הגנה על פרטיות במדינות נוספות בארצות הברית, חקיקה חדשה של האיחוד האירופי ואף הליכי אכיפה משמעותיים.

 

2023 הייתה גם השנה בה הבינה המלאכותית תפסה את מרכז הבמה. במהלך השנה הזו נפוץ השימוש בכלי בינה מלאכותית בארגונים שונים. השימוש הזה הביא קובעי מדיניות בכל העולם לבחון את שאלת האסדרה, ביחס לסיכונים ולאתגרים שמציבה הטכנולוגיה החדשה. שאלות הנוגעות לשימוש בכלי בינה מלאכותית עולות כיום בכל החברות מכל המגזרים העסקיים, ומחייבות התייחסות ייחודית אליהן.

התפתחויות מרכזיות בדיני הפרטיות בישראל

 

תקנות לעניין מידע שהועבר לישראל מאירופה

במהלך השנה הותקנו בישראל תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי). מטרת התקנות היא לקרב את ההסדרים החוקיים החלים בישראל לאלה החלים באירופה. התקנות נדרשות, בין היתר, כדי להמשיך ולאפשר העברה חופשית של מידע מהאזור הכלכלי האירופאי לישראל, בדרך של הבטחת זכויותיהם של נושאי מידע אירופאיים בישראל.

התקנות קובעות חובות נוספות מעבר לחובות הקבועות בדיני הגנת הפרטיות בישראל, ביחס למידע שהועבר מהאזור הכלכלי האירופאי, והחל מתחילת שנת 2025, גם ביחס לכל המידע במאגר בו ישנו מידע שהועבר מאירופה: חובת מחיקת מידע, הגבלת החזקת מידע שאינו נחוץ, חובת דיוק מידע וחובת יידוע. כמו כן,התקנות כוללות הרחבה להגדרה של "מידע רגיש".

 

תקנות אלה מצביעות על הכיוון אליו צפוי משטר הגנת הפרטיות הישראלי לצעוד גם בשנה הקרובה והכללים הקבועים בהן צפויים להשפיע באופן רחב על מאגרי מידע המוחזקים בישראל.

 

פיקוח והפעלת סמכויות בידי המדינה מטעמים ביטחוניים

לפי הערכת הרשויות בישראל, פריצתה של מלחמת "חרבות ברזל", העלתה את הסיכון לאירועי סייבר במדינת ישראל. כדי להתמודד עם הסיכונים החדשים, הותקנו בחודש דצמבר 23 תקנות המאפשרות פיקוח משמעותי – וחסר תקדים עד כה – של מערך הסייבר הלאומי על פעילותן של חברות המספקות שירותי אחסון מידע ושירותים דיגיטליים בהקשר של התקפת סייבר עליהן. במקביל, הוגשה הצעת חוק לעיגון התקנות בחקיקה.

 

בנוסף, בחודש דצמבר פורסם על ידי משרד ראש הממשלה תזכיר לתיקון חוק השב"כ, ובו הצעה להרחבה משמעותית של הסמכויות הנתונות לשב"כ בכל הקשור בקבלת מידע. תזכיר החוק מבקש להסמיך את שירות הביטחון הכללי – לעתים לאחר אישור ראש הממשלה ולעתים לאחר אישור ראש השב"כ – לחדור לחומרי מחשב ולקבל מידע ממאגרי מידע ובכלל זאת גם מידע רגיש, מידע אודות מיקום ומידע אודות אמונות דתיות ופוליטיות. תזכיר החוק כולל בתוכו סמכויות רחבות שיכולות להיות מופעלות ללא פיקוח שיפוטי אפקטיבי. אם החוק יעבור, הוא עלול לפגוע בהכרה בישראל כמדינה המקיימת משטר הגנה על מידע התואם את הדין האירופאי.

 

הנחיות הרשות להגנת הפרטיות בישראל

במהלך שנת 2023 ניכרה מגמה של הקשחת עמדות של הרשות להגנת הפרטיות. המגמה הזו ניכרה בהנחיות מרכזיות שיצאו מטעם הרשות, בחלקן, הוצגו גישות מחמירות לגבי תחולת דיני הפרטיות הישראליים והחובות המוטלות על חברות בישראל.

 

תפקיד הדירקטוריון בקיום חובות הגנה הפרטיות

בחודש ספטמבר פרסמה הרשות טיוטת הנחיה לגבי תפקיד הדירקטוריון בקיום חובות לפי תקנות הגנת הפרטיות (אבטחת מידע). טיוטת ההנחיה קובעת כי על הדירקטוריון לקבוע, בין היתר, הליכי פיקוח ובקרה על יישום התקנות. עליו גם לקחת חלק פעיל בקביעת מדיניות החברה בדבר אופן השימוש במידע אישי וניהולו. קביעת ההנחיה מבוססת על פרשנות הרשות את הוראות חוק הגנת הפרטיות וחוק החברות, ואינה מנויה באופן מפורש בחקיקה. טיוטת ההנחיה היא דוגמה למעמד המרכזי שתופסות סוגיות של אבטחה ופרטיות מידע בפעילות תאגידים.

 

עדכון זה מגיע על רקע ביקורת רחבה שנערכה בידי רשות ניירות ערך בשנת 2022 במסגרתה נבדקה התמודדות של תאגידים עם איומי סייבר. אותה ביקורת העלתה כי במרבית החברות לא הועברו לדירקטוריון החברה עדכונים לגבי מצב הגנת הסייבר בחברה, וכי ההתמודדות עם איומי סייבר וחובת הגילוי הנוגעת אליהם לא הוסדרה בנהלים. בעקבות כך, עדכנה רשות ניירות ערך את עמדה ביחס לחובות הגילוי החלות על חברות.

 

מעקב אחר עובדים והנחיות למעסיקים

בחודש מאי פרסמה הרשות להגנת הפרטיות עמדה לגבי מעקב אחר עובדים העובדים מרחוק. לפי עמדה זו, על מעסיקים לנקוט יתר זהירות כדי לא לפגוע באופן מהותי בפרטיות העובד ובפרטיות דיירים אחרים בבית העובד, בהם קטינים. העמדה כוללת פירוט של השיקולים אותם מצופה מהמעסיק לשקול בעת שימוש באמצעי מעקב. בין היתר, פרסמה הרשות רשימה של כלים שהפגיעה האפשרית שלהם בעובדים גבוהה והשימוש בהם דורש התייחסות מיוחדת.

 

בחודש אוגוסט פרסמה הרשות להגנת הפרטיות גילוי דעת נוסף לגבי ניטור עובדים ועובדות באמצעות מערכות איכון ברכב. גילוי הדעת קובע כי הפעלת מערכות איכון כלפי עובדים צריכה להיעשות בהעדר חלופה אחרת ולאחר בחינה מעמיקה של התועלת מהמערכת לבין הנזק לפרטיות העובד.

לצערנו, בחודש אוקטובר הפכה סוגיית העבודה מהבית לרלוונטית מתמיד בשל הטלטלה הקשה שספג המשק במלחמת "חרבות ברזל". חברות רבות במשק עברו באופן מידי לעבודה מהבית, ועם המעבר התחדדה שוב גם החובה לשמירת פרטיות העובדים.

 

עמדות נוספות של הרשות להגנת הפרטיות בישראל

בחודש ספטמבר פרסמה הרשות מדריך פעולה להתקשרות עם ספקי מיקור חוץ לפי תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע). המדריך נותן כלים יישומיים לחברות המבקשות לבחון ספקי מיקור חוץ, כך שהבחינה תעמוד בתנאי החקיקה בישראל. המדריך כולל גם טיוטת שאלון שיכול לשמש לבחינת העמידה בתנאי החוק.

 

בחודש יוני הרשות פרסמה להערות הציבור גילוי דעת בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות לצורך מתן שירותי על ידי בתי עסק. לעמדת הרשות, במרבית המקרים, איסוף של פרטי תעודות הזהות ובכלל זאת צילומן, הוא מידע עודף שאינו נדרש למתן השירות. הרשות ממליצה להקפיד על יידוע של האדם שאת פרטיו מבקשים ובכלל זאת, התייחסות לשאלה אם יש חובה חוקית במסירת המידע, פירוט המטרה ופירוט הגורמים להם יימסר המידע. עוד מנחה הרשות את בתי העסק לגלות ללקוחות את העובדה שפרטי תעודת הזהות שלהם יידרשו לפני השלמת הליך הרכישה. הרשות מבהירה עוד, כי על בתי העסק אסור להשתמש במספרי וצילומי תעודות הזהות למטרות נוספות, ומידע זה עלול להיחשב מידע עודף בניגוד לתקנות הגנת הפרטיות.

דיני הגנת הפרטיות בהסתכלות בין-לאומית

 

חוקי הגנת פרטיות מסביב לעולם

במהלך שנת 2023 המשיכה מגמה משמעותית של הרחבת משטר הגנת הפרטיות במדינות שונות. בין היתר, במהלך השנה עלה ל-12 מספר המדינות בארה"ב שיש בהן חקיקה בעניין הגנת הפרטיות. בשבע מדינות נוספות ישנם חוקים בתהליך חקיקה. עוד, במהלך השנה, חוקק בהודו חוק הגנת פרטיות רחב שמחיל על חברות הפועלות במדינה חובות משמעותיות בדומה לחקיקה האירופאית. למדינות אלה הצטרפה גם סינגפור בה תוקן והורחב החוק הקיים.

 

סוגיה נוספת שתפסה מקום משמעותי במהלך שנת 2023 היא משטר העברת המידע שבין אירופה לארצות הברית. בחודש יולי הכירה הנציבות האירופאית מחדש בארצות הברית כמדינה המגינה על מידע אישי בצורה מספקת (adequate) לדרישות ה-GDPR תחת הסדר חדש להעברת מידע. חברות המבקשות להיות חלק מההסדר החדש צריכות להירשם אליו ולקיים את תנאיו. חברות שמבקשות שלא להירשם להסדר, יוכלו להמשיך לפעול באמצעות מנגנונים חוזיים שונים (למשל SCCs).

 

זאת ועוד, אירופה ובריטניה העבירו שתיהן חוקים המיועדים להתמודדות עם טכנולוגיות מידע שונות. באירופה חוקק "חוק המידע" (EU Data Act) שמיועד להסדרת האיסוף והשימוש במידע שמגיע ממכשירים חכמים, לאפשר לצרכנים לקבל את המידע הזה ולהעבירו בין חברות שונות בשוק.

בנוסף, באירופה ממשיכה ההיערכות לחוק השירותים הדיגיטליים (DSA), שנכנס לתוקף באחד בינואר 2024. החוק מחייב את החברות בחובות שקיפות, אחריות והסרה של תכנים אסורים ומזיקים שונים. בפברואר נדרשו פלטפורמות שירותים דיגיטליים לגלות את מספר המשתמשים שלהן, ובחודש אפריל הרשויות האירופאיות פרסמו את הסיווג שלהן לפי החוק, בהתאם למידע שהועבר בידי החברות. באוגוסט, החל החוק לחול על חברות מסוימות שנקבעו בידי רשויות האיחוד. כעת, החוק חל על כלל ספקי השירותים הדיגיטליים באירופה – שירותי העברת מידע, שירותי אחסון, פלטפורמות דיגיטליות ופלטפורמות דיגיטליות גדולות מאוד.

 

בבריטניה, עבר חוק הבטיחות המקוונת (Online Safety Act), שמטרתו להגביר את בטיחות המשתמשים במרחב המקוון באמצעות הטלת חובות פיקוח שונות על ספקי שירותי רשתות חברתיות ושירותי חיפוש.

 

אכיפה של הוראות ה-GDPR

במהלך שנת 2023 נקטו הרשויות האירופאיות יד קשה כלפי חברות שאותן ראו כמפירות את הוראות ה-GDPR, והטילו עליהם קנסות משמעותיים.

 

חברת "Meta" (לשעבר פייסבוק) נקנסה בחודש מאי ב-1.2 מיליארד יורו על ידי הרשות האירית להגנת הפרטיות, באישור ה-EDPB. הקנס הוטל בגין הסתמכות של החברה על התניות החוזיות האחידות של האיחוד האירופאי המשמשות להעברת מידע (SCCs) כאשר נקבע שאלה מעניקות הגנה שאינה מספקת להעברת המידע. קנס זה הגיע גם על רקע החלטת בית המשפט האירופאי שביטל את הסדר העברת המידע שבין ארצות הברית לאירופה, באופן שהביא חברות להסתמך על תניות חוזיות. מאז ההחלטה, כוננה מסגרת חדשה להעברת מידע כאמור. החלטה זו מבטאת את החשיבות שבהקפדה על בחינה מעמיקה של המותר והאסור בהעברת מידע מחוץ לגבולות המדינה.

 

בדומה, בינואר נקנסה "Meta" בסכום של 390 מיליון יורו בגין הפרה של חובות שקיפות ביחס לבסיס החוקי לעיבוד מידע על ידה ביחס להצגת מודעות פרסומת באופן מותאם אישית. חובות השקיפות בחוק האירופאי מחייבות הצגה למשתמשים באופן רחב את הבסיס לאיסוף ועיבוד המידע שלהם. החלטה הזו, אשר נוגעת לעיבוד המידע ביחס לליבת מקור הרווח של החברה, היא משמעותית במיוחד והביאה לבחינה רחבה של אופן הפעילות של החברה. נושא השקיפות ביחס לפרסום מותאם אישית צפוי להיות מרכזי בפעילות החברות הבין-לאומיות גם בהמשך.

 

בספטמבר, נקנסה חברת "TikTok" בסכום של 345 מיליון יורו בגין הפרות שנוגעות לאופן שבו השירות מוצג לילדים. כאמור לעיל, הגנה על ילדים ובכלל זאת גילוי מתאים כלפיהם של פרטי עיבוד המידע, קבלת הסכמה מותאמת והגנה עליהם מפני חשיפה לתכנים לא מותאמים היא בראש המאמצים של רשויות ברחבי העולם, ובפרט של הרשויות האירופאיות.

 

דוגמה לחשיפה של חברות ישראליות לאכיפה אירופאית, שהיא בעלת תחולה רחבה גם מחוץ לאירופה, ניתנה בינואר, אז הוטל בנוסף קנס בסך 50 אלף יורו על חברת "Intellexa" – חברה ישראלית לריגול סייבר – על ידי הרשות היוונית להגנת הפרטיות. הקנס הוטל בשל סירובה של החברה לשתף פעולה באופן מלא עם הרשות היוונית.

התפתחויות רגולטוריות בנושאי בינה מלאכותית

עם השקת ChatGPT בסוף שנת 2022, והפצת השימוש בכלי בקרב הציבור הרחב, עלו סוגיות משמעותיות של רגולציה של כלי בינה מלאכותית ושימוש נכון בהם. כלי הבינה המלאכותית מעמידים את הארגונים המשתמשים בהם ואת הרשויות המפקחות על היבטים שונים של פעילות עסקית, בפני אתגרים חדשים של שמירה על מהימנות, אבטחת מידע ועוד.

 

במהלך השנה היה עיסוק רחב בהטלת מגבלות ורגולציה של תחום הבינה המלאכותית על ידי כל הגורמים המשפיעים: החברות המובילות את התעשייה התאחדו ביצירת מסגרת לתהליכי שקיפות והגבלות על כלי הבינה המלאכותית, האיחוד האירופאי קידם חקיקה שתביא לרגולציה של בינה מלאכותית, הבית הלבן פרסם טיוטת מגילת זכויות בשימוש בבינה מלאכותית וצו נשיאותי להסדרתה.

 

באירופה, הושגה הסכמה היסטורית על ניסוחו של חוק הבינה המלאכותית (EU AI act). חוק זה צפוי להניח את התשתית המשמעותית ביותר של רגולציה על הפיתוח והשימוש בבינה מלאכותית. החוק דורש מחברות לערוך בחינה משמעותית של הסיכונים הגלומים במערכות הבינה המלאכותית שהן מפתחות או שבהן הן משתמשות, ולנקוט בסדרה של צעדים בהתאם לרמת הסיכון הנשקפת מהמערכת. על פי חוק זה, יהיו מערכות בינה מלאכותית שיהיו אסור לשימוש ואחרות יידרשו לחובות שקיפות ואחריות ניכרות. בנוסף, צפוי להיות מוקם גוף אירופאי לפיקוח על מודלים של בינה מלאכותית שהם "מודלי בסיס" (Foundation Models), וליצירת כלי פיקוח וסטנדרטים לפיתוח ושימוש בכלים אלה.

 

בינה מלאכותית בישראל

בישראל, פורסם מסמך מדיניות, רגולציה ואתיקה בתחום הבינה המלאכותית. המסמך מפרט את התפיסה העקרונית של ממשלת ישראל ביחס לפיתוח ופיקוח על בינה מלאכותית וקובע מספר עקרונות יסוד לכך. עמדת ממשלת ישראל היא שלא תתקיים רגולציה ייחודית ביחס לבינה המלאכותית, וכל רשות ממשלתית תפעל באופן עצמאי להפעלת רגולציה מתאימה. עם זאת, לשם תיאום במאמצי הרגולציה, יוקם מוקד ידע ממשלתי שתפקידו לרכז את הידע בתחום ולפעול לשיתוף פעולה בין רשויות המדינה השונות, וכן עם חברות וגופים בין-לאומיים משמעותיים. העקרונות המותווים במסמך נכתבו ברוח העקרונות שנקבעו בידי ה-OECD והם – מניעת אפליה; מעורבות אנושית; הסברתיות; גילוי; אמינות, עמידות, אבטחה ובטיחות; אחריותיות; ושמירה על פרטיות.

 

הרחבת השימוש בכלי הבינה המלאכותית הובילה גם לסדרה של תביעות בנושאים שונים שהופנו כנגד חברות בינה מלאכותית וביחס לתוצרים שנוצרו בשימוש בכלים אלה.

 

בארצות הברית, נדחו מספר תביעות שביקשו לרשום זכויות יוצרים על יצירות שנוצרו באמצעות כלי בינה מלאכותית. במהלך השנה, הוגשו גם תביעות הטוענות לפגיעה בפרטיות שתוכנות בינה מלאכותית גרמו להן. גם בישראל, הוגשה בחודש אפריל בקשה לתובענה ייצוגית כנגד ChatGPT בגין הפרה של דיני הפרטיות.

 

הרחבת השימוש בכלי הבינה המלאכותית, והסיכונים הייחודיים של הכלים הללו, דורשים מארגונים המטמיעים את השימוש בהם נקיטת משנה זהירות. כדי לעשות זאת באופן העומד בדיני הפרטיות וברגולציות אחרות, אנו ממליצים לפעול בהתאם למספר כללים פשוטים – לוודא את נכונות המידע, לנקוט אמצעים להגנה על מידע פרטי וסודי, לבדוק את מידת האחריות של ספק כלי הבינה המלאכותית, להקפיד על מעורבות אנושית ולוודא את הכשרת העובדים ביחס לכלים. כדי לסייע ללקוחותינו, פרסמנו מדריך להטמעת מערכות בינה מלאכותית בארגון, וכן מדריך מקוצר שיכול לסייע למעסיקים בהטמעת כלים אלה.

 

2024

במהלך שנת 2023 ראינו התפתחויות מעניינות שנוגעות בדיני הגנת הפרטיות, שירותים דיגיטליים, אבטחת מידע וכמובן בבינה מלאכותית. בשנת 2024 החקיקה והרגולציה העולמיות ביחס לשירותים דיגיטליים וביחס לבינה מלאכותית צפויות להמשיך ולהתפתח. כמו כן, שאלות משפטיות חדשות ולא פתורות בנושאי זכויות יוצרים ובינה מלאכותית יזכו (בתקווה) למענה מעט יותר מסודר. אנחנו צופים כי עם פרסום תקנות נוספות בארצות הברית והשלמת החקיקה האירופאית בתחומי הבינה המלאכותית, חברות רבות יצטרכו לעמוד בהוראות הרגולציה החדשות. בישראל, תיקון מהותי לחוק הגנת הפרטיות העוסק בסמכויות הנתונות לרשות להגנת הפרטיות ולחובות המצוי על שולחן הכנסת וממתין לקריאות השנייה והשלישית. אם יתקבל, ישנה את מאזן הסיכונים ביחס לדין הישראלי.

 

בתקופה של התפתחות טכנולוגית ורגולטורית משמעותית, חשוב שחברות יבדקו את האופן שבו הן מנהלות ומאבטחות את המידע האגור אצלן, בדגש על מידע אישי. תוכנית פרטיות, בינה מלאכותית ואבטחת מידע מסודרת תסייע להגן על החברות בפני הסיכונים השונים בפועל וגם תספק להם יתרון עסקי ברור על פני המתחרות.

 

***

 

מחלקת פרטיות ואבטחת מידע וסייבר של ברנע ג'פה לנדה עומדת לשירותכם בכל שאלה ביחס לרגולציה של פרטיות ואבטחת מידע, רגולציה של AI וסייבר.

 

ד"ר אבישי קליין הוא שותף בברנע ג'פה לנדה, ועומד בראש המחלקה.

 

מאשה יודשקין היא עורכת דין במחלקה.

תגיות: AI | אבטחת מידע | בינה מלאכותית | הרשות להגנת הפרטיות