בינה מלאכותית (AI) ורגולציה: העתיד כבר כאן
נדמה שמאז התרחבות האינטרנט לשימוש פרטי, אי-שם בשנות ה-90, לא הייתה טכנולוגיה כה משמעותית אשר מעמידה במבחן שיקולי אתיקה ומשפט, כמו הבינה המלאכותית. כמו לכל חדשנות משבשת (Disruptive Innovation), גם לפוטנציאל העצום בפיתוח ויישום של טכנולוגיות מבוססות בינה מלאכותית (AI), מתלוות שאלות רבות הנוגעות בצורך באסדרה משפטית ובקביעת כללי משחק ביחס לשימושים שניתן לעשות בבינה המלאכותית. לא סתם קראה מירה מואטי, ה-CTO של OpenAI (החברה שאחראית לפיתוח ה-ChatGPT), לאסדרה של התחום, בהובלת ממשלות ורגולטורים.
בתוך הדיון המורכב הקיים סביב הנושא, חשוב לעמוד על ההתפתחויות הרגולטוריות המשמעותיות ביותר בתחום, הן בישראל והן בזירה הבינלאומית, ולשים זרקור על העקרונות המרכזיים שיש לשים אליהם לב בשקלול התפתחויות אלו – חלקם קיימים ומחייבים כבר היום.
רגולציה בזירה הבינלאומית
אירופה
האיחוד האירופי לקח יוזמה משמעותית בפיתוח ובקידום רגולציה מקיפה של תחומי ה-AI. החוק האירופי המוצע (AIA – AI ACT), שפורסם לראשונה באפריל 2021, קובע חובות מהותיות החלות על מפתחים ומשתמשים בטכנולוגיות בינה מלאכותית ומטיל קנסות כבדים ביותר על חברות שלא יצייתו לחובות (עד 30 מיליון יורו או 6% מהמחזור השנתי על כל הפרה, לפי הגבוה מביניהם). בדומה לרגולציית הפרטיות באירופה, ה-GDPR, גם חקיקה זו תחול רק גם על חברות לא אירופאיות שמשתמשות ומפתחות מוצרי בינה מלאכותית שמיועדים לשימוש גם באירופה. עם ההיקף האקס-טריטוריאלי הקיים, ל-AIA, שהיא המסגרת המשפטית המקיפה הראשונה אי פעם בתחום זה, יש פוטנציאל מובהק להפוך לסטנדרט במונחים של רגולציית בינה מלאכותית ייעודית.
החוק האירופי מקטלג את סוגי הבינה המלאכותית לארבע קטגוריות, בהתאם לרמת הסיכון שנשקפת לזכויות הפרט, ומתאים את הדרישות השונות לרמת הרלוונטית. בין היתר, קבע החוק כי ישנן מערכות בעלות סיכון גבוה (למשל, בינה מלאכותית שמסננת מועמדים לעבודה, או מערכות דירוג אשראי) ואף ישנן מערכות בעלות סיכון בלתי קביל (unacceptable) , כדוגמת המערכת לדירוג האזרחים בסין, שתחת החוק האירופי תיאסר לחלוטין.
על מנת שהחוק ייכנס לתוקף, יש צורך באישור של הפרלמנט האירופי ולאחריו יחלו דיונים אחרונים בין המדינות החברות, הפרלמנט והנציבות האירופית. דיונים אלו צפויים להתחיל באפריל, מתוך מטרה לאשר סופית את החוק המהפכני כבר בסוף השנה הנוכחית.
ארה"ב
בארצות הברית לא קיימת עדיין יוזמת אסדרה מקיפה, אך ניצנים לה נראים הן בקווי מדיניות שנקבעו על ידי נציבות הסחר הפדראלית (ה-FTC) והן ביוזמות חקיקה ברמה המדינתית.
נציבות הסחר הפדראלית פרסמה כבר ב- 2020 הנחיות וקווי מדיניות נדרשים ביחס לפיתוח ולשימוש בטכנולוגיות בינה מלאכותית. הנחיות אלו, שחלקן הגדול אומץ בחוק ה-AI האירופי, לוו בשנים האחרונות בהליכי אכיפה של הנציבות, בין היתר באמצעות הוראות שונות הקשורות לחוקים פדראליים, בהם חוק דיווחי אשראי (FCRA), חוק שוויון ההזדמנויות אשראי (Equal Opportunity Credit Act) וחוק ה-FTC.
ברמה המדינתית, בנוסף לחקיקה הנוגעת לדיני הפרטיות וקבלת החלטות אוטומטיות, ניתן לראות מיקוד בשימוש בבינה מלאכותית בהליכי גיוס ותעסוקה (AEDTs). לדוגמה, החוק במדינת ניו יורק, קובע, בין היתר, כי מערכות אלו חייבות לעבור ביקורת שנתית ביחס לפוטנציאל הטיה ואפליה, והתוצאות של ביקורת זו צריכות להיות זמינות לציבור.
רגולציה בישראל
בישראל נקטו בגישה שונה. בסוף שנת 2022 פרסם משרד החדשנות, המדע והטכנולוגיה מסמך בשם "עקרונות מדיניות, רגולציה ואתיקה בתחום הבינה המלאכותית" להערות הציבור. המסמך הוא ההתייחסות המקיפה הראשונה של ממשלת ישראל להשלכות כניסת הבינה המלאכותית למרחב הציבורי, ולאתגרים שהיא מציבה. המסמך מקדם מדיניות של "אסדרה רכה", במובן של קריאה לאימוץ של מסגרת של כללים אתיים רחבים ובלתי מחייבים, על ידי התעשייה ורשויות הממשלה. כמו כן, קורא המסמך לרגולטורים השונים, כל אחד בתחומו, לבחון את הצורך בקידום רגולציה קונקרטית.
אמנם קיים שוני מהותי בין היוזמות השונות באירופה, ארצות הברית וישראל, אך קיימים מספר עקרונות משמעותיים הנוגעים לפיתוח ושימוש בבינה מלאכותית, אשר משותפים לכלל היוזמות הללו וחשוב להכירם.
העקרונות המרכזיים באסדרה של AI
שקיפות
תהליכים הנוגעים לקבלת החלטות מסתמכים רבות על אלגוריתמים מבוססי בינה מלאכותית, בין היתר ביחס לאישור לבצע פעולות פיננסיות, סינון מועמדים לעבודה ועוד. עקרון השקיפות מבקש ליידע מראש את מי שבא במגע עם בינה מלאכותית או מושפע מפעילותה על אופן קבלת ההחלטה וכן על הפרמטרים שעל בסיסם המערכת מקבלת את החלטותיה.
הוגנות והיעדר אפליה
עקרון ההוגנות דורש מחברות לוודא כי בפיתוח ושימוש בבינה מלאכותית יובאו בחשבון הצורך בשוויון מגדרי, גזעי, דתי וכו', ותוקדש תשומת לב לשלילה של הטיה במערכות AI ולסיכון לאפליה פסולה כנגד יחידים או קבוצות.
דיוק ואמינות
על מנת שאפשר יהיה להסתמך על מידע והחלטות שמתקבלות באמצעות בינה מלאכותית, ישנה חשיבות עליונה שהטכנולוגיה תהיה מדויקת. אחד החששות המרכזיים בהקשר זה, הוא שאימון הבינה המלאכותית לא ייעשה בצורה טובה מספיק, מה שיוביל לביצועים ירודים של המערכת ולירידה באמינותה. סיכון נוסף טמון בכך שהמידע שעליו מתבססת הבינה המלאכותית השתנה והתעדכן בעוד שהמערכת לא נחשפה אליו בתהליך האימון. דבר זה עלול להוביל לתוצאות (והחלטות) לא מבוססות.
פרטיות ואבטחת מידע
לעתים רבות, שימוש במערכות מבוססות בינה מלאכותית מצריך שימוש במידע אישי בהיקפים משמעותיים. שימוש זה כפוף לחוקי הגנת הפרטיות ולתקנות אבטחת המידע, הן בשלב הלמידה והן בשלב השימוש. במסגרת זו, יש צורך לוודא עמידה בעקרונות פרטיות, לרבות בחינת הצורך בהסכמה של נושא המידע, שקיפות, צמצום מידע, מחיקת המידע ועוד. בנוסף לכך, חשוב לציין את הצורך באבטחת המידע ובשמירת המהימנות של הטכנולוגיה, הן כדי לעמוד בהוראות הרגולציה והן כדי לוודא שגורם בלתי מורשה לא ייחשף למידע האישי או ישבש את פעילות המערכת.
אחריותיות וניהול סיכונים
מי צריך לשאת באחריות להחלטות של בינה מלאכותית כאשר על כף המאזניים עומדות סוגיות הנוגעות להליכי גיוס, דירוג אשראי ואולי אפילו להליכים משפטיים? האם מוצדק להטיל אחריות מוחלטת על החברות שפיתחו או השתמשו בטכנולוגיה, גם במצבים בהם לא ניתן לצפות את ההחלטה או השפעתה על האדם הרלוונטי? כדי לספק מענה מסוים ביחס לסוגיה המורכבת הזו, ברי כי לכל הפחות נדרש ניהול סיכונים פנימי ביחס לסוגים השונים של הטכנולוגיות כנגזרת של פוטנציאל הסיכון. בהתאם לכך, בינה מלאכותית בעלת סיכון והשפעה משמעותית (למשל, דירוג פיננסי שעלול למנוע מאנשים לבצע עסקאות או שימוש של רשויות חוק במידע ביומטרי למניעת פשיעה), תצריך קיומן של בדיקות בקרה פנימיות, בשילוב עם תהליכי ניטור סדירים, כדי לוודא, בין היתר, דיוק, אמינות והיעדר אפליה. הליכים אלו ידרשו תיעוד, לעיתים אפילו במסגרת המאסדר הרלוונטי. בהקשר זה נציין כי תחת החוק האירופי המוצע, על החברות הרלוונטיות תוטל חובה לרשום מערכות בינה מלאכותית בסיכון גבוה במסד נתונים של האיחוד האירופי שינוהל על ידי הנציבות. זאת, כדי להגביר את השקיפות והפיקוח הציבורי.
לסיכום, אין ספק שדיוני האסדרה בתחום הבינה המלאכותית ימשיכו ביתר שאת ככל שהטכנולוגיה תתפתח ותזלוג לעוד תחומי חיים, אך חשוב להיות מודעים לכך שכבר בשלב זה קיימות יוזמות חקיקה ואף רגולציות רחבות ומשמעויות ברמה הבינלאומית. כמו כן, מעבר לרגולציות הייעודיות אותן הזכרנו, להוראות שונות בדינים הקיימים בישראל ובעולם – לרבות חוקי הגנת הפרטיות, דיני החוזים והנזיקין, חוקי הגנת הצרכן, חוקי עבודה ועוד – יש רלוונטיות ותחולה על שימושים שונים הנוגעים לבינה המלאכותית.
בהינתן המצב הזה, חברות שמפתחות ורוכשות מוצרי בינה מלאכותית וכן משקיעים שבוחנים השקעה בחברות אלו, יעשו בחכמה אם יבדקו את היכולת לעמוד כבר בשלב הזה ברגולציות הרלוונטיות ובמיוחד, בחמשת העקרונות שעומדים בבסיס רגולציות הבינה המלאכותית הצפויות להתגבש בעתיד הקרוב.
***
מחלקת הפרטיות והסייבר במשרד תשמח לעמוד לרשותכם בכל שאלה או הבהרה בנושאי אסדרת הבינה המלאכותית, פרטיות ואבטחת מידע.
דר' אבישי קליין הוא ראש מחלקת הפרטיות והסייבר בברנע ג'פה לנדה.