טיוטת הנחיה חדשה של הרשות להגנת הפרטיות שפורסמה להערות הציבור
רקע
לאחרונה פרסמה הרשות להגנת הפרטיות (להלן – "הרשות") טיוטת הנחיה להערות הציבור (להלן – "הטיוטה" או "טיוטת ההנחיה"), בנושא תחולת הוראות חוק הגנת הפרטיות, התשמ"א– 1981 (להלן – "החוק" או "החוק להגנת הפרטיות"), והתקנות מכוחו, על מערכות בינה מלאכותית (AI).
מטרת הטיוטה היא להבהיר את עמדת הרשות לעניין אופן החלת החובות המוטלות מכוח החוק, בכל שלבי מחזור החיים של מערכות בינה מלאכותית, לרבות חובת היידוע, דרישות להסכמה מדעת, עקרון האחריותיות, חובות אבטחת מידע והוראות לעניין ניהול מאגרי מידע, שימוש, פיתוח, או אחזקה של מערכות בינה מלאכותית המעבדות מידע אישי.
להלן עיקרים מטיוטת ההנחיה:
תחולת חוק הגנת הפרטיות על מערכות בינה מלאכותית
לפי טיוטת ההנחיה, הוראות החוק חלות על מודל בינה מלאכותית המאחסן או מעבד מידע אישי, הן בשלב האימון והן בשלב השימוש. לגישת הרשות כפי שהיא מובאת בטיוטה, גם מידע אישי שנוצר, הוסק או חושב על בסיס מידע אחר באמצעות מערכות בינה מלאכותית (כגון תחזיות, היסקים, הערכות או סיווגים לגבי אדם ספציפי) ייחשב מידע אישי לפי החוק.
דרישות ליידוע ולהסכמה מדעת
בהתאם לטיוטת ההנחיה, בהתייחס להסכמה מדעת (informed consent) לעיבוד מידע אישי על אדם במערכת בינה מלאכותית, נדרש יידוע ברור, נגיש ומפורט. לפי טיוטת ההנחיה, ההסבר צריך לכלול את כל מטרות השימוש במידע, הסיכונים האפשריים, זהות הגורמים אליהם יימסר המידע, השלכות סירוב למסור מידע, ובהקשר של מערכות בינה מלאכותית, יש לכלול גם תיאור של אופן פעולת המערכת ביחס לעיבוד מידע אישי. כמו כן, לגישת הרשות להגנת הפרטיות, נדרש יידוע אם האינטראקציה מתבצעת מול מערכת אוטומטית ("בוט") ולא בן אנוש, כשיש לכך השפעה מהותית על מתן ההסכמה. לפי הטיוטה, ככל שמטרות השימוש מורכבות יותר, נדרשים הסבר מפורט יותר ואינדיקציה מפורשת יותר לרצונו של נושא המידע לעיבוד המידע אודותיו, כגון במתכונת של הסכמה נפרדת (Opt-in).
כריית מידע אישי מהאינטרנט (scraping) ומערכות בינה מלאכותית
לפי הגישה המובאת בטיוטה, כריית מידע אישי מרשת האינטרנט לצורך עיבודו במערכות בינה מלאכותית כרוכה בפגיעה אסורה בפרטיות אם לא ניתנה לכך הסכמה מדעת של נושא המידע. לפי הטיוטה, לעמדת הרשות להגנת הפרטיות, כאשר אדם מפרסם מידע אודותיו ברשת חברתית, לא ניתן להסיק מעצם הפרסום הסכמה מדעת לעיבוד המידע לצורך אימון או שימוש במערכות בינה מלאכותית (אלא בהתאם להרשאות שנתן ברשת שבה פרסם), ולכן מעצם הפרסום לא ניתן יהיה בד"כ להסיק הסכמה מדעת לשימוש במערכות בינה מלאכותית ללא הסבר, או את הסכמתו של אדם לקבלת החלטה בעניינו על ידי צד שלישי על בסיס מידע אישי זה.
לפי הטיוטה, נדרשים בעלי שליטה במאגרי שירותים דיגיטליים המאפשרים שיתוף מידע אישי ברשת, לנקוט באמצעים נאותים למניעת כריית מידע אישי אסורה מאתרי אינטרנט בניהולם, לרבות מידע שפורסם באינטרנט או ברשתות חברתיות, לשם אימון מודלים של בינה מלאכותית. ההתייחסות בטיוטת ההנחיה לכרייה אסורה של מידע ממאגר מידע הינה כאל "אירוע אבטחה חמור".
אחריותיות והמלצה לערוך תסקיר השפעה על פרטיות
הטיוטה מדגישה את חשיבות עקרון האחריותיות, קרי אחריות הארגון לקיום הוראות הדין בקשר לשימוש במידע וחובתו לנקוט בשיטות עבודה פנימיות ליישום אחריותו, דווקא בהקשר של פיתוח ושימוש בבינה מלאכותית, בשל הפוטנציאל הרב לסיכון לפרטיות למול הקושי המובנה לזהות מראש סיכונים עתידיים והשלכות על הזכות לפרטיות.
בהקשר זה, הטיוטה מדגישה כי לגישת הרשות, מינוי ממונה על הגנת הפרטיות (DPO) הופך למשמעותי בארגונים המפתחים או משתמשים במערכות בינה מלאכותית, בראי הוראות תיקון 13 לחוק הגנת הפרטיות לעניין המקרים בהם קמה חובה למנות ממונה הגנת פרטיות. בהתאם לטיוטת ההנחיה, בעידן הבינה המלאכותית, ממונה הגנת הפרטיות במקרים רבים עשוי אף להיות הגורם המתאים ביותר לתכלול הטיפול בסוגיות הנובעות משימוש במערכות בינה מלאכותית בארגון, לאור הניסיון והידע של ממוני הגנת פרטיות.
כמו כן בין היתר, לפי הטיוטה, מומלץ לערוך תסקירי השפעה על פרטיות (Privacy Impact Assessment) במיוחד טרם פיתוח או שימוש במערכות בינה מלאכותית בסיכון גבוה. תסקיר כזה עשוי לסייע לזהות ולצמצם סיכונים לפרטיות בשלב מוקדם, לסייע בציות לדרישות הדין, ומהווה את הדרך המיטבית להראות כי השימוש במערכות אלו עומד בדרישות דיני הגנת הפרטיות.
דיוק המידע האישי וזכויות נושא המידע לתיקון מידע אישי
הטיוטה מתייחסת לחשיבות של דיוק ואמינות המידע המעובד והמופק במערכות בינה מלאכותית, וכי בנושא זה בכוונת הרשות לשים דגש על האכיפה. לפי הגישה המובאת בטיוטה, במערכות בינה מלאכותית, הזכות לבקש תיקון מידע שגוי בהתאם לסעיף 14 לחוק, עשויה בנסיבות מסוימות להתייחס גם לתיקון האלגוריתם שהפיק מידע כאמור. ביחס למידע שהגיע מהאזור הכלכלי האירופי, עשויות להיות מוטלות על בעל השליטה במאגר חובות נוספות בהקשר זה. הטיוטה מתייחסת בנוסף, בין היתר, לדרכים להבטיח אמינות, עמידות ובטיחות של המערכות.
אבטחת מידע במערכות בינה מלאכותית
לפי הטיוטה, לעמדת הרשות, על רבים ממאגרי המידע שמערכות המאגר שלהם מבוססות בינה מלאכותית, יחולו רמות אבטחת המידע הבינונית או הגבוהה בשל סוג והיקף המידע המעובד בהם, ובכוונת הרשות לבחון החלה של רמות אבטחת מידע מוגברות על מאגרי מידע מסוימים שמערכותיהם מבוססות בינה מלאכותית בסיכון גבוה. כמו כן, לגישת הרשות להגנת הפרטיות, נדרש מענה ייחודי לסיכונים ייחודיים הנובעים ממערכות אלו, כגון מתקפות הסקה המיועדות לחלץ שרידי מידע אישי שנותרו באלגוריתם או להסיק מחדש מידע אישי ששימש לאימון המודל. יש להתייחס לסיכונים אלה במסמך הגדרות המאגר, בסקרי סיכונים וכן בניטור ומעקב שוטף אחר מתקפות על מאגרי הארגון. כמו כן, יש להקפיד על עקרון צמצום מידע. בנוסף, הטיוטה מתייחסת לסיכונים הנובעים מהתפוצה הגוברת של אפליקציות ושירותים חיצוניים מבוססי בינה מלאכותית יוצרת (כגון: DALL-E, ChatGPT Midjourney ואחרים). לפי הטיוטה, בעלי שליטה במאגרים נדרשים לקבוע מדיניות ארגונית ייעודית שתתייחס, בין היתר, לבחינת הסיכונים הנובעים מחשיפת מידע אישי לשירותים אלו.
חובת רישום מאגרי מידע מבוססי בינה מלאכותית וחובת הודעה על ניהולם
כידוע, עם כניסתו לתוקף של תיקון 13 לחוק, תוטל במקרים מסוימים חובת רישום על מאגרים שמטרתם העיקרית היא איסוף מידע אישי לשם מסירתו לאחר כדרך עיסוק או בתמורה, ועל מאגרי מידע שבעלי השליטה בהם הם גופים ציבוריים. כמו כן, על ניהולם של מאגרים הכוללים מידע בעל רגישות מיוחדת על 100 אלף נושאי מידע ומעלה, תוטל חובת הודעה לרשות. הרשות להגנת הפרטיות מציינת בטיוטה, כי במסגרת תהליך הרישום, היא תהא רשאית לבדוק אם עיבוד המידע במערכת הבינה המלאכותית מפר הוראות דין, וכי היא עשויה, במקרים של אי חוקיות מובהקת, לסרב לרשום מאגר במקרה של הפרת הוראות הדין. עוד מודגש בטיוטה, כי בבקשת הרישום יש לציין את המטרה הברורה והמדויקת של המערכת, ולוודא כי המטרה וסוגי המידע המפורטים בבקשה מתאימים לשלב הרלוונטי – אימון או יישום.
לסיכום
טיוטת ההנחיה בעלת תחולה רחבה, ומבחינות מסוימות, עשויות להיות לה השלכות משמעותיות ביותר על הפיתוח של בינה מלאכותית בישראל, כמו גם על ארגונים העושים שימוש במערכות בינה מלאכותית.
הגם שאין המדובר בהנחיה סופית ומחייבת בשלב זה, נכון כי ארגונים יבחנו בהתאם לאופי פעילותם, את אופן יישום דיני הפרטיות בקשר למערכות בינה מלאכותית בכלל, ואת השלכותיה של טיוטת ההנחיה בפרט.
הטיוטה פתוחה להערות הציבור, בשלב זה עד ליום 5.6.25. נשמח לעמוד לרשות ארגונים הנדרשים לכך, בקשר לבחינת השלכותיה של ההנחיה על פעילות הארגון, וכן בגיבוש הערות ביחס לטיוטת ההנחיה.
לטיוטת הנחיית הרשות להגנת הפרטיות בנדון
* פרסום זה אינו מהווה חוות דעת או תחליף לייעוץ נקודתי, ואנו ממליצים לפנות לקבלת ייעוץ משפטי ממוקד בנושאים הכלולים בפרסום זה. אנו עומדים לרשותכם לכל שאלה ו/או הבהרה.
*העדכון נכתב ע"י עו"ד ורד זליכה, שותפה וראשת תחום סייבר ו – AI במשרדנו, בסיוען של שחר טלמון ואריאלה מאי, מתמחות במחלקת טכנולוגיה, מיזוגים ורכישות.