חדשות ופרסומים

בחודשים האחרונים אומץ באיחוד האירופי חוק הבינה המלאכותית האירופי (EU AI Act) ("החוק" או "החוק החדש"). מדובר בחקיקה מקיפה הראשונה מסוגה, המסדירה באופן פרטני וישיר את החובות ביחס למערכות בינה מלאכותית. החוק החדש נועד להעלות את רמת הבטיחות בשימוש במערכות בינה מלאכותית בשוק האירופי ולקדם את ההשקעות והחדשנות בתחום ה-AI, תוך הקטנת הסיכונים לצרכנים ועלויות רגולטוריות לספקים.

 

החוק מאמץ גישה מבוססת ניהול סיכונים, ומחלק את מערכות ה-AI למספר קטגוריות "קבוצות סיכון":  מערכות בסיכון בלתי קביל (שייאסרו לשימוש); מערכות בסיכון גבוה;  מערכות למטרות כלליות (General-Purpose AI (GPAI Systems; מערכות בסיכון מוגבל; מערכות בסיכון מינימלי/ללא סיכון. בהתאם לרמת הסיכון, נקבעו בחקיקה חובות על המפתחים ועל העושים שימוש ביחס למערכות AI.

 

מועדי התחולה של החוק נקבעו באופן מדורג, בהתאם לרמת הסיכון הנשקפת ממערכת הבינה המלאכותית, והמועד הראשון שבהם צפוי בפברואר 2025. נביא להלן בקצרה, מספר היבטים שעולים מהחוק החדש. יצוין כי הדברים יובאו בקליפת אגוז בלבד, ומדובר בחקיקה מסועפת, הכוללת מגוון הגדרות, חובות ודרישות.

 

להלן הסיווג למערכות בינה מלאכותית לפי רמות הסיכון בחוק החדש:

 

מערכות בינה מלאכותית המוגדרות כבעלות "רמת סיכון בלתי קביל" (Unacceptable Risk)  נחשבות לפוגעניות בזכויות אדם, ואסורות לשימוש באיחוד האירופי, בהן :

מערכות העושות שימוש לרעה בחולשות או פגיעויות אנושיות (בהתבסס על גיל, נכות, מצב סוציו-אקונומי וכיו"ב);

מערכות לזיהוי רגשות (EMOTION RECOGNITION) או מצב רגשי במקומות העבודה ובמוסדות חינוך;

מערכות "דירוג חברתי" (SOCIAL SCORING) המבוסס על התנהגות חברתית או מאפיינים אישיים;

מערכות המפעילות מניפולציות על התנהגות אנושית כדי לעקוף את רצונו החופשי של הפרט באופן שעלול לגרום נזק חמור;

מערכות ביומטריות לזיהוי ולקטגוריזציה של אנשים, העושות שימוש ב"מאפיינים רגישים" (כגון השקפה פוליטית, אמונה דתית או פילוסופית, נטייה מינית, גזע וכו');

מערכות היוצרות או מרחיבות מאגרי זיהוי פנים, באמצעות איסוף תמונות פנים מהאינטרנט או קטעי טלוויזיה במעגל סגור ליצירת מאגרי מידע לזיהוי פנים;

בעוד שמערכות זיהוי ביומטריות מסוימות ייאסרו בחוק, ישנם חריגים לעניין שימוש במערכות אלה במרחבים ציבוריים לצורכי אכיפת חוק ומניעת טרור, ובכפוף לתנאים ספציפיים.

מערכות בינה מלאכותית המסווגות ברמת סיכון "גבוה” (High-Risk)

מערכות ברמת סיכון גבוה נחשבות מערכות המשפיעות לרעה על בטיחות או על זכויות יסוד. מערכות אלה נחלקות לשתי קטיגוריות:

(1) מערכות AI בהן נעשה שימוש בקשר למוצרים עליהם חלה חקיקת בטיחות מוצרים באיחוד האירופי (כגון צעצועים, תעופה, מכשירים רפואיים, צעצועים ומעליות).

(2) מערכות כגון ניהול ותפעול תשתיות קריטיות, חינוך, תעסוקה וניהול עובדים, גישה לשירותים חיוניים במגזר הפרטי ולשירותים ציבוריים, הגירה וביקורת גבולות, אכיפת חוק, סיוע בפרשנות משפטית וביישום הדין.

 

החוק החדש קובע דרישות מקיפות  ביחס לפיתוח, הטמעה ושימוש של מערכות בסיכון גבוה. בין היתר, חלות חובות הנוגעות לניהול סיכונים, איכות גבוהה של מסד הנתונים ששימש לאימון המערכת, חוסן המערכת, דיוק, הגנת סייבר, ובקרה אנושית. כמו כן, חלה חובה לתיעוד טכני שכולל פרטים אודות המערכת, תהליך הפיתוח והניטור של מערכת כזו וכן ייעודה. סביבות רגולטוריות בטוחות ("ארגז חול") ובדיקות בזמן אמת יאפשרו פיתוח ואימון של מערכות בינה מלאכותית טרם יציאתן לשוק.

מערכות בינה מלאכותית למטרות כלליות (General-Purpose AI (GPAI Systems

החוק החדש מתייחס גם למערכות בינה מלאכותית כלליות (המשמשות למגוון מטרות – כגון ChatGPT) ומודלים בסיסיים – Foundation Models (מודלים של בינה מלאכותית שאומנו על בסיס נתונים בקנה מידה רחב כך שניתן להתאים אותם למגוון רחב של משימות).

ביחס למערכות אלה, נקבעו חובות שונות במודל דו-שכבתי: מספר חובות רוחביות  יחולו על כלל המודלים של GPAI, וחובות נוספות יחולו על מערכות GPAI בעלות סיכון גבוה יותר.

הדרישות הרוחביות יכללו בין היתר, תיעוד, מדיניות ציות לדיני זכויות יוצרים, חובת שקיפות וגילוי בדבר התוכן בו נעשה שימוש לצורך אימון המערכות.

משטר מחמיר יותר יוחל ביחס למודלים בסיסיים בעלי “סיכון סיסטמטי” (בהתאם להגדרתו המשפטית והטכנולוגית בחוק), ודרישות נוספות יחולו כגון ביצוע בדיקות מודל, ניתוח והפחתת סיכונים מערכתיים ודרישה לדווח לנציבות האיחוד בדבר אירועים חמורים.

מערכות בינה מלאכותית המסווגות ברמת סיכון "מוגבלת" (Limited Risk)

מערכות אלה שמיועדות לקיים אינטרקציה עם אנשים או יוצרות תוכן, ובכללן צ'אט-בוטים יהיו כפופות לחובות שקיפות, ויידרש ליידע את המשתמשים במערכת על כך שהתוכן נוצר באמצעות בינה מלאכותית, על מנת שהמשתמשים יוכלו לקבל החלטות מושכלות באשר לשימוש בו.

כן תחול על ספקים חובה לוודא שהתוכן שנוצר על ידי מערכת בינה מלאכותית ניתן לזיהוי, ובמקרים מסוימים קיימת חובת סימון תכנים שנוצרו על ידי בינה מלאכותית (כגון מידע שנוצר במטרה ליידע את הציבור בנושאים שיש בהם אינטרס ציבורי).

מערכות בינה מלאכותית המסווגות ברמת סיכון "מינימלית" (Minimal-risk) או ללא סיכון

החוק מאפשר שימוש חופשי במערכות אלה (שאינן נופלות תחת קטגוריות הסיכון המנויות לעיל), לדוגמא במשחקי וידיאו או סנני דואר זבל.

מנגנוני יישום ואכיפה 

החוק החדש קובע מנגנונים ליישום החוק ולציות, תוך חלוקה בין המדינות והנציבות האירופית. המדינות החברות באיחוד נדרשות להקים רשות לאומית ליישום החוק החדש. ברמת האיחוד האירופי, הנציבות תקים משרד AI שיפעל במסגרת נציבות האיחוד, גוף חדש אשר יהא אמון על היבטים אדמיניסטרטיביים ואכיפה, ובכלל זה בהקשר ל- GPAI. כמו כן יוקמו פורומים נוספים שנקבעו בחוק, לצורך תמיכה במומחיות הטכנולוגית הנדרשת ליישומו, לסיוע בפעילויות האכיפה, ולייעוץ ביישום אפקטיבי של הוראותיו.

הפרת הוראות החוק עלולה להוביל לקנסות כבדים ומשמעותיים, לדוגמא:

עד ל – 35 מיליון אירו או 7% מסך המחזור השנתי הגלובאלי בגין אי ציות בקשר לכלי הבינה המלאכותית האסורים;

עד ל – 15 מיליון אירו או 3% מסך המחזור השנתי הגלובאלי בגין הפרות של הוראות החוק בקשר לחובות נרחבות אחרות לפי החוק;

עד ל – 7.5 מיליון אירו או 1.5% מסך המחזור השנתי הגלובאלי בגין מסירת מידע שגוי לרשויות המוסמכות לפי החוק;

תחולה ותחילה

מעבר לתחולתו הנרחבת של החוק ביחס לספקים ולעושים שימוש במערכות בינה מלאכותית באיחוד האירופי, החוק קובע תחולה אקסטרא-טריטוריאלית משמעותית, לרבות במקרים הבאים:

(א)   ספקים של מערכות AI לאיחוד האירופי, ללא תלות במיקומם;

(ב)  ספקים ומי שעושה שימוש במערכות AI גם מחוץ לאיחוד האירופי, אם נעשה שימוש בתוצר (output) של אותן מערכות AI באיחוד;

יצוין, כי בחוק נקבעו גם סייגים לתחולה, והוא לא יחול, בין היתר, ביחס למערכות בינה מלאכותית אשר נועדו אך ורק לצורכי מחקר ופיתוח של מערכות בינה מלאכותית (טרום השימוש בהן), כמו גם על מערכות המשמשות לצרכים צבאיים, לצורכי הגנה ולמטרות ביטחון לאומי.

מועדי התחולה של החוק נקבעו באופן מדורג לפי סוגי המערכות כדלקמן:

ביחס למערכות AI ברמת סיכון "בלתי קבילה" – המגבלות יחלו ביום 02.02.2025.

ביחס למערכות AI "למטרות כלליות"  (GPAI) – חובות ספקי מערכות אלה יחלו ביום 02.08.2025.

חלק גדול מדרישות החוק יחלו ביום 02.08.2026.

ביחס למערכות AI מסוימות בסיכון גבוה – הוראות מסוימות יחלו ביום 02.08.2027.

יצוין כי הדברים לעיל הובאו בתמצית רבה, ומדובר בחקיקה מורכבת, שכן סיווג המערכות והחובות הנגזרות מסיווג המערכות יכולים להשתנות בין היתר, לאור ייעוד השימוש המסוים במערכת וכן בהתאם ל"תפקידו" של הארגון בקשר למערכת (לדוגמא: יצרן, ספק, אינטגרטור וכיו"ב).

ארגונים וחברות הפועלים למול האיחוד האירופי, כגון המייצרים או משווקים מערכות בינה מלאכותית לאיחוד האירופי, או שעשוי להיעשות בפלט של מערכות כאלה שימוש באיחוד האירופי, או משקיעים בחברות כאלה, חשוב שיכירו את החוק החדש ויבחנו את השלכותיו הרלוונטיות לפעילותם.

 

נשמח לעמוד לרשותכם בקשר לאסטרטגיה משפטית ודרכי פעולה לעניין השלכות החוק, בהתאם לצרכיו הספציפיים של כל גוף.

*העדכון נכתב ע"י עו"ד ורד זליכה, שותפה וראשת תחום סייבר ו AI, בסיועi של דור יוחאי, מתמחה במחלקת טכנולוגיה, מיזוגים ורכישות.*האמור כאן אינו מהווה חוות דעת או תחליף לייעוץ נקודתי, ואנו ממליצים לפנות לקבלת ייעוץ משפטי ממוקד בנושאים הכלולים בפרסום זה. אנו עומדים לרשותכם לכל שאלה ו/או הבהרה.