בשבוע שעבר פרסמה הרשות להגנת הפרטיות טיוטת הנחיה חדשה – ראשונה מסוגה – שמגדירה כיצד יחול חוק הגנת הפרטיות על מערכות בינה מלאכותית, מהאימון ועד השימוש. אף שהטיוטה אינה מחייבת בשלב זה, היא תייצג את עמדת הרשות לאחר כניסתו לתוקף של תיקון 13 באוגוסט הקרוב, שיקבע קנסות גבוהים להפרות פרטיות – לעתים בסכומים של מאות אלפי שקלים.
לרשות מגיעות מחמאות: בפעם הראשונה בישראל היא מציבה סטנדרטים ברורים לעידן ה-AI, ונותנת אות מבשר ליצירת מסגרת רגולטורית שתאכוף את חוק הפרטיות גם על טכנולוגיות מתקדמות. עם זאת, לצד הצעד האמיץ ישנן נקודות תורפה חשובות. הגישה הכללית של ההנחיה נשענת כמעט באופן בלעדי על שיקולי פרטיות, תוך התעלמות משני מוקדים חיוניים נוספים: מורכבות הטכנולוגיה ואתגרי העסקים.
הטיוטה אוסרת על שימוש במידע אישי שנאסף ברשת – אפילו מפרופיל ציבורי – מבלי לקבל הסכמה מדעת מראש. זהו אמצעי מחמיר במיוחד, שאינו ישים או פרקטי בשטח: כיצד אמור מפתח AI לקבל אישור ממיליוני גולשים לצורך אימון מודלים? הכרה בבעייתיות זו אפשר למצוא ברגולציות אירופאיות, ובראשן ה-GDPR, המאפשרות עיבוד מידע גם על בסיס אינטרס לגיטימי או קיום חוזה. בישראל, לעומת זאת, כמעט כל שימוש במידע אישי כפוף להסכמה, מה שמטיל חסמים משמעותיים על חדשנות – מבלי שהפרטיות משתפרת בהכרח.
הטיוטה גם קוראת לזכות לתיקון מידע אישי שגוי שמפיק האלגוריתם. אף שמדובר ביוזמה ראויה, היא מתעלמת מהעובדה שהרבה ממודלי ה-AI הם "קופסאות שחורות", שבהן קשה לאתר את מקור השגיאה ולתקן אותה בלי לפגוע בביצועים הכלליים. כמו כן, תיקון נקודתי של מודל שכבר אומן על נתונים פגומים עלול לדרוש אימון מחדש של כל המערכת – תהליך ארוך, יקר ולא תמיד פרופורציונלי.
אחד החידושים המרכזיים במסמך הוא הדגשת עיקרון האחריותיות של חברות המפתחות או משתמשות בטכנולוגיות בינה מלאכותית, ובכלל זה הצורך במינוי ממונה על הגנת הפרטיות (DPO), ביצוע תסקירי השפעה על פרטיות, והובלה של ההנהלה הבכירה והדירקטוריון בהטמעת עקרונות הגנת הפרטיות. עם זאת, דווקא בהקשר החשוב הזה עמדת הרשות נותרת כללית ואינה מפרטת את גבולות תחומי האחריות של כל אחד מהשחקנים ודוגמאות למבני הפיקוח הפנימיים המצופים.
מצב זה עלול להוביל לחוסר ודאות עבור ארגונים המבקשים לפעול בהתאם לחוק אך גם להבטיח התפתחות עסקית מבוססת חדשנות. לכן, מומלץ כי הרשות תחדד את הדרישות ותבהיר את חלוקת התפקידים והאחריות באופן שיאפשר שילוב מאוזן בין ציות רגולטורי לבין פיתוח בר קיימא.
טיוטת ההנחיה מהווה אבן דרך חשובה, אך כדי למנוע פגיעה בחדשנות, רגולציה חכמה חייבת להתבסס לא רק על פרטיות, אלא גם על הבנה טכנולוגית ורגישות לעולמם של עסקים. בינתיים, מומלץ לכל ארגון, כולל יועצים משפטיים ודירקטורים, להתחיל לנהל סיכונים טכנולוגיים ורגולטוריים כאחד, גם לפני שהמסגרת הסופית תתבהר.
ד"ר אבישי קליין הוא שותף ומוביל פרקטיקת הפרטיות והסייבר במשרד ברנע, ג'פה, לנדה
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו