שינויים בחוק הבינה המלאכותית האירופי: מהן ההשלכות על חברות ישראליות?
תקציר
- התקדמות בחקיקת הבינה המלאכותית באירופה: הפרלמנט האירופי פרסם כי הושגו הסכמות בנוגע לשינויים מהותיים הצפויים לחול בחוק הבינה המלאכותית האירופי (EU AI Act). אף שמדובר בשלב זה בהסכמות עקרוניות שעדיין טעונות השלמת הליך חקיקה רשמי, זוהי התקדמות רגולטורית משמעותית, המבהירה את כיוון ההתפתחות של הדין האירופי בתחום הבינה המלאכותית.
- דחיית תחולה והקלות רגולטוריות: במסגרת ההסכמות, הוחלט על דחיית כניסתן לתוקף של חלק מהחובות המרכזיות לפי ה-‑AI Act, ובעיקר ביחס למערכות בסיכון גבוה. לצד זאת, הוסכם על הקלות נקודתיות נוספות ועל ריכוז סמכויות פיקוח מסוימות בידי ה-‑AI Office במקום אכיפה מדינתית.
- המשמעות עבור חברות ישראליות היא חלון זמן מהותי להיערכות: הדחייה אינה מיועדת לשמש תקופת המתנה, אלא חלון זמן להיערכות רגולטורית ועסקית משמעותית. עבור חברות ישראליות הפועלות בשוק האירופי, או כאלה שה-AI Act עשוי לחול עליהן מכוח פעילותן, מדובר בפרק זמן קריטי לגיבוש תוכנית ציות מסודרת בטרם ייכנס החוק לתוקף.
האיחוד האירופי פרסם כי הושגו הסכמות בנוגע לשינויים מהותיים הצפויים לחול בחוק הבינה המלאכותית האירופי (EU AI ACT). השינויים גובשו במסגרת הצעת חקיקה נרחבת (digital omnibus package ) שנועדה לפשט את הרגולציה על מידע ולהגביר את התחרותיות בתחום הבינה המלאכותית.
בשלב זה מדובר בהסכמות עקרוניות, ונדרשת השלמה של הליך חקיקה רשמי בטרם ייכנסו לתוקף. עם זאת, מדובר בהתפתחות רגולטורית משמעותית, המספקת אינדיקציה ברורה לכיוון שאליו מתפתח הדין האירופי.
השינויים הצפויים בחוק הבינה המלאכותית האירופי
במסגרת ההסכמות, הוחלט לדחות את כניסתן לתוקף של החובות החלות על ארגונים המפתחים או משתמשים במערכות בינה מלאכותית המסווגות כבעלות סיכון גבוה. בין היתר, כדי להשלים את את הניסוח והטמעת הסטנדרטים הנדרשים ליישום החוק בפועל.
הדחייה תחול על מערכות שכבר מצויות בשימוש וגם על מערכות חדשות שיפותחו או יוטמעו לפני מועד התחילה החדש. בהתאם לכך, ההסכמות יוצרות חלון זמן משמעותי להיערכות. חשוב לציין כי מערכות בינה מלאכותית אשר ייכנסו לשימוש לפני מועד תחילת החוק יזכו בפרק זמן נוסף להשלמת תהליכי הציות להוראותיו.
מועדי התחולה החדשים
- תחולת החוק על מערכות AI בסיכון גבוה תידחה לדצמבר 2027 – מדובר, בין היתר, במערכות זיהוי ביומטרי בזמן אמת וזיהוי רגשות, בתשתיות קריטיות, בהחלטות בחינוך ובתעסוקה, בגישה לטובין ציבוריים, ועוד.
- תחולת החוק על מערכות AI המשמשות כרכיבי בטיחות ומכוסות על ידי חקיקה מגזרית אירופית בתחומי בטיחות ופיקוח שוק, התחולה תידחה לאוגוסט 2028 וביחס לחלק מן המערכות האכיפה תהיה באמצעות שימוש ברגולציה הקיימת ולא באמצעות חוק הבינה המלאכותית.
- גם חובת הסימון (watermarking) של תוכן שנוצר באמצעות בינה מלאכותית תידחה לדצמבר 2026.
שינויים נוספים: מידע רגיש, תוכן אסור והקלות לחברות
בנוסף לדחיות מועדי התחולה, ההסכמות כוללות מספר שינויים מהותיים נוספים:
- הקלות המאפשרות שימוש במידע רגיש לצורך אימון מערכות בינה מלאכותית כאשר השימוש נדרש למניעה או לתיקון של הטיות אלגוריתמיות, ובלבד שיוטמעו הגנות מתאימות.
- איסור על יצירת חומר המתעד או מציג קטינים בהקשר מיני מפורש, וכן על איסור ביחס למערכות המתארות חלקים אינטימיים של אדם הניתן לזיהוי, או אותו אדם בפעילות מינית מפורשת, ללא הסכמתו.
- צמצום ההגדרה של "רכיב בטיחות" – מוצרים הכוללים בינה מלאכותית המוגבלת לפעולות סיוע למשתמש או לביצוע אופטימיזציה של ביצועים, לא יחויבו אוטומטית בחובות החלות על מערכות בסיכון גבוה, אם תקלה בהן אינה יוצרת סיכון לבריאות או לבטיחות האדם.
לצד זאת, הקלות מסוימות הורחבו לכלול חברות בינוניות-קטנות (Small Mid Cap Companies) – חברות המעסיקות פחות מ-1,000 עובדים או בעלות מחזור של פחות מ-200 מיליון אירו.
כמו כן, סמכויות הפיקוח והאכיפה על מערכות בינה מלאכותית כללית (GPAI) צפויות להיות מרוכזות בידי ה-AI Office, למעט בתחומים רגישים שבהם הרשויות הלאומיות ישמרו על סמכויותיהן.
כיצד ישפיעו השינויים על חברות ישראליות?
חוק הבינה המלאכותית האירופי חל גם על חברות שאינן אירופיות, כאשר פעילותן קשורה לשוק האירופי או כאשר נעשה שימוש במערכות שלהן באירופה. בהתאם, החוק עשוי לחול גם על חברות ישראליות המפתחות או משווקות מערכות בינה מלאכותית.
בטווח הקצר, השינויים מקלים באופן מהותי על נטל הציות של חברות:
- חברות המפתחות או משתמשות במערכות בינה מלאכותית בסיכון גבוה (לרבות מערכות ביומטריות, מערכות המשמשות בתשתיות קריטיות, חינוך, תעסוקה ועוד) מקבלות דחייה של כשנה וחצי לצורך היערכות לדרישות החוק – עד דצמבר 2027.
- הוראות החוק לא יחולו על מערכות שיוכנסו לשימוש עד אותו מועד, באופן המאפשר לחברות להתרכז בביצוע שינויים מערכתיים בחברה ולהטמיע תרבות ארגונית המקדמת ציות לחוק.
- מערכות המוטמעות כרכיבי בטיחות במוצרים מקבלות דחייה עד אוגוסט 2028. בנוסף, הצמצום בהגדרות החוק ומניעת כפל דרישות עשויים להוציא חלק מהמערכות מסיווג של סיכון גבוה ולהקל את החובות החלות על מפתחים.
עם זאת, חשוב להדגיש: הדחייה איננה מיועדת לשמש כתקופת המתנה, אלא כתקופת היערכות מואצת.
פרק הזמן שניתן נועד לאפשר לרגולטורים לגבש תקנות, תקנים ומנגנוני אכיפה. במקביל, חברות נדרשות להתאים את תהליכי הממשל הפנימי, תהליכי העבודה, התיעוד ומנגנוני הבקרה שלהן לדרישות המסתמנות.
צעדים מומלצים להיערכות כבר עכשיו
אנו ממליצים לחברות להתחיל לפעול כבר עתה ולנצל את חלון הזמן שניתן להיערכות ממשית, ולבחינה עסקית של פיתוח, השקה והטמעה של מערכות. ככל שהחקיקה תאושר בנוסח המסתמן, לא סביר לצפות לשינויים משמעותיים בהמשך.
במסגרת זו, מומלץ לבצע תהליך של הערכת סיכוני ציות ביחס לחקיקה האירופית, ובכלל זאת ביחס למרכיבי החקיקה השונים, ביחס להליכי עיבוד המידע על ידי החברה ובדגש על מידע אישי ורגיש – וכן לוודא את קיומם של מסמכים המעידים על תהליכי ממשל פנימי.
לשם כך, אנו ממליצים על ביצוע התהליכים הבאים:
- מיפוי שימושי הבינה המלאכותית בחברה.
- הערכת תחולה של חוק הבינה המלאכותית האירופי על מערכות החברה.
- ביצוע סקר פערים עם דרישות החוק והערכת סיכונים.
- קביעת מדיניות ארגונית לפיתוח והטמעה של מערכות בינה מלאכותית.
- הטמעת תוכנית יישום מדורגת עד לכניסתו לתוקף של החוק – הכוללת תוכנית עבודה ברורה ואבני דרך ליישום והטמעה פנים-ארגונית.
התיקונים המוצעים משקפים את הרצון של המחוקק האירופי למצוא איזון טוב יותר בין ההגנה הקפדנית על המידע והזכויות לבין עידוד החדשנות, באמצעות צמצום החובות והמגבלות החלות על חברות, מתן זמן ראוי להיערכות לשינויים והפחתת חוסר הוודאות הרגולטורי.
***
ד"ר אבישי קליין הוא שותף וראש מחלקת פרטיות, סייבר ובינה מלאכותית במשרד.
עו"ד מאשה יודשקין היא עורכת דין במחלקת פרטיות, סייבר ובינה מלאכותית במשרד.
מחלקת הפרטיות, סייבר ובינה מלאכותית במשרדנו עומדת לרשותכם לצורך ליווי תהליכי ציות לחוק הבינה המלאכותית האירופי ובכלל זאת לאבחון תחולת החוק ודרישותיו, ליצירת נהלים ומסגרות ממשל פנימי עבורן והתאמתן לדרישות הרגולטוריות בישראל ובעולם.