עברית
English
Français
Deutsch
Русский
Español
简体中文
日本語
Dutch
Türkçe
שפה
עברית
English
Français
Deutsch
Русский
Español
简体中文
日本語
Dutch
Türkçe
דף הבית
אודותינו
בקצרה
נוכחות גלובלית
פרו בונו
תחומי התמחות
הצוות
חדשות ועדכונים
חדשות ועדכונים
עדכוני לקוחות
דירוגים
בלוג
הצטרפו אלינו
צור קשר
© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

Together is powerful

עדכוני לקוחות
24 דצמבר 2024
מאת אבישי קליין
מאשה יודשקין
         
אינטרנט
בנקאות ומימון
דיני עבודה
הייטק
ליטיגציה
לקוחות פרטיים
עמותות
מיסוי
משפט סביבתי
נדל"ן
רגולציה
שוק הון
תאגידים
תחרות והגבלים עסקיים
תשתיות

מועצת הגנת המידע האירופית: הגנה על מידע אישי בשימוש בבינה מלאכותית

לפני מספר ימים אימצה מועצת הגנת המידע האירופית (EDPB) חוות דעת העוסקת במספר נושאים הקשורים להגנה על מידע אישי בהקשר לשימוש ופיתוח מודלים של בינה מלאכותית (AI). חוות הדעת מתמקדת באופן יישום עקרונות חקיקת הפרטיות האירופאית על בינה מלאכותית, בדגש על התממת נתונים (אנונימיזציה), הבסיס החוקי לעיבוד מידע אישי במהלך פיתוח ושימוש בבינה מלאכותית, וההשלכות של עיבוד מנוגד לחוק של מידע במערכות בינה מלאכותית.

בפרט, סבורה ה-EDPB סבורה כי עיבוד מידע באמצעות בינה מלאכותית יכול להיעשות באופן חוקי בהתבסס על "אינטרס לגיטימי" כבסיס חוקי לעיבוד.

אינטרס לגיטימי כבסיס חוקי

חקיקת הגנת הפרטיות האירופאית מאפשרת הסמכות על "אינטרס לגיטימי" של בית העסק כדי לעבד מידע אישי. הסתמכות כזו מאפשרת לחברות גמישות וחופש פעולה רב יותר מאפשר הסתמכות על בסיס חוקי אחר. בפרט, היא מאפשרת לחברות להימנע מהסתמכות על הסכמה מפורשת מהמשתמשים, ולהסתמך על הערכות סיכון וצורך פנימיות ביחס לפעילות. לעמדת ה-EDPB, ניתן להסתמך על אינטרס לגיטימי כבסיס חוקי בעיבוד מידע באמצעות בינה מלאכותית.

ה-EDPB מספק מסגרת מפורטת להערכת ההסתמכות על אינטרס לגיטימי בהקשר זה:

ראשית, על האינטרס לעמוד בסטנדרטים משפטיים ולהראות תועלת מוחשית, כגון שיפור מנגנונים לזיהוי הונאות, סיוע למשתמשים באמצעות צ'אטבוטים, או שיפור בזיהוי איומים על מערכות מידע.

שנית, נדרש כי העיבוד יהיה הכרחי להשגת המטרה לשמה נאסף המידע. במקביל, יש להתחשב בציפיות הסבירות של נושאי המידע לגבי השימוש במידע האישי שלהם, במיוחד נוכח המורכבות ויכולת ההסברתיות של מערכת ה-AI. בהקשר זה, בעל השליטה במידע נדרש להטמיע פרקטיקות לאנונימיזציה ולהגנה על פרטיות המשתמשים.

לבסוף, נדרשת עמידה במבחן איזון, כדי להבטיח שזכויותיהם וחירויותיהם של נושאי המידע לא ייפגעו. על החברות לשקול התועלת המופקת לנושא המידע, אל מול הסיכונים האפשריים לזכויותיהם השונות ובכלל זאת הזכות לפרטיות, הזכות לכבוד, חופש הביטוי, מניעת אפליה, בריאות הנפש, ועוד.

לצורך השלמת הניתוח, יש לשקול אמצעים להפחתת סיכונים. עבור יישומי בינה מלאכותי נכון לשקול התממה של המידע, שקיפות ומתן מידע למשתמשים, יצירת תנאים מאפשרים למימוש זכויות נושאי המידע (כגון מחיקה, Opt-out, הגשת בקשות לבחינת שמירת המידע על-ידי המודל, קביעת "תקופת המתנה" לפני האימון ועוד). בנוסף, יש לקחת בחשבון את הקשר איסוף המידע (לדוגמה, האם המידע נאסף ממקורות ציבוריים), וכן אסטרטגיות ספציפיות נוספות (כגון אי-הכללת מקורות מידע מסוימים או הימנעות מאיסוף קטגוריות מידע מסוימות).

ניתוח כזה סולל את הדרך ליישומים משמעותיים של בינה מלאכותית בעולם העסקי, ומאפשר לחברות חופש פעולה בשימוש ביישומי בינה מלאכותית. עם זאת, האחריות להבטחת זכויות המשתמשים עדיין מוטלת על החברה.

אנונימיזציה של מערכות בינה מלאכותית

חוות הדעת של ה-EDPB מדגישה כי מודלים של בינה מלאכותית שאומנו בהתבסס על מידע אישי יהיו אנונימיים רק לעתים רחוקות. על כן, מומלץ לבצע הערכה פרטנית לכל מודל כדי לזהות את הסיכון לחילוץ או זיהוי מחדש של מידע אישי.

חלק מהמודלים הם כאלה אשר מעצם טבעם אינם אנונימיים, כגון כלים למידול קול או מודלים המספקים מידע ביחס לאנשים ספציפיים (לדוגמה, בהקשרים של משאבי אנוש). בחלק אחר שאלת האנונימיות של המודל תלויה בעיצובם, בשימוש בהם, באופי נתוני האימון, בעמידותם בפני התקפות ובגורמים נוספים. חברות נדרשות לשקול היבטים אלה בעת ביצוע הערכת סיכונים והתאמת אמצעי הפחתתו.

לגבי המודלים עצמם, ה-EDPB מציין כי גם אם נעשה שימוש בלתי חוקי במידע אישי במהלך האימון, הדבר עשוי שלא להשפיע על השימוש העתידי ככל שהמודל והמידע עברו אנונימיזציה והתהליך תועד כראוי.

המלצתנו לחברות המפעילות מערכות מבוססות בינה מלאכותית:

  • אמצו טכניקות לשימור הפרטיות, כגון פרטיות דיפרנציאלית או פסאודונימיזציה של מידע אישי במהלך אימון המודל, כדי למזער את הסיכון לזיהוי מחדש.
  • בדקו ותעדו ביסודיות את אמצעי האנונימיזציה בהם נעשה שימוש. זאת כדי להוכיח ציות ועמידה בדרישות ה-GDPR.

הנחיות מעשיות לחברות המשתמשות ב-AI

עבור עסקים העוסקים בפיתוח או הטמעה של מערכות בינה מלאכותית, אנו ממליצים לנקוט בפעולות הבאות:

  • זהו את פעילויות עיבוד המידע המבוצעות באמצעות בינה מלאכותית.
  • העריכו את תחולת ה-GDPR על פעילותכם הכוללת שימוש בבינה מלאכותית ובצעו הערכת השפעה על פרטיות המידע (DPIA) עבור הפעילות הרלוונטית.
  • ערכו תהליכי הערכה מפורטים לבחינת חוקיות איסוף המידע.
  • בצעו הערכה של אינטרס לגיטימי (LIAs) עבור פעילויות עיבוד המידע המתבססות על בסיס חוקי זה.
  • וודאו כי יישומי הבינה המלאכותית שלכם מאפשרים למשתמשים לממש את זכויותיהם כנושאי מידע.
  • שמרו באופן שוטף תיעוד רלוונטי להוכחת תאימות וציות לדרישות רגולטוריות.

 

***

מחלקת הפרטיות, ה-AI והסייבר במשרדנו תשמח לסייע וללוות אתכם בהבנת הסיכונים הקיימים בהטמעת כלים מבוססי בינה מלאכותית, ביצירת תוכנית ציות ותאימות בתחום, ובמיפוי החובות והאחריות בהתאם לדרישות ה-GDPR ביחס לפעילות זו.

 

ד"ר אבישי קליין הוא שותף במשרד ברנע ג'פה לנדה ועומד בראש מחלקת הפרטיות, הסייבר והבינה המלאכותית במשרד.

עו"ד מאשה יודשקין היא עורכת דין במחלקה.

תגיות: AI | EDPB | בינה מלאכותית | הגנת פרטיות | מידע אישי