לאחרונה פרסמה נציבת הגנת המידע של מדינת ברלין, מייקה קאמפ, הודעה דרמטית: היא פנתה לחברות אפל וגוגל בדרישה להסיר את אפליקציית הבינה המלאכותית DeepSeek מחנויות האפליקציות שלהן, או לכל הפחות להפסיק להפיץ אותה עבור משתמשים בתחומי גרמניה. לפי ההודעה, האפליקציה שפותחה על ידי חברת Hangzhou DeepSeek AI הסינית מפרה את כללי ה-GDPR בכך שהיא מעבירה מידע אישי של משתמשים לגורמים בסין, מבלי שיתקיימו תנאים חוקיים להעברת מידע למדינה שלישית. המידע שנאסף כולל טקסטים, תמונות, מיקום, פרטי רשת והתקן – וכולו מועבר למפעילים סינים שאין להם בסיס חוקי לטיפול בנתונים אלה לפי הדין האירופי. לאחר שפנייתה לחברה לא נענתה, קאמפ עשתה שימוש בסמכויותיה לפי סעיף 16 לחוק השירותים הדיגיטליים (DSA) ודרשה מספקיות הפלטפורמה לפעול לעצירת ההפצה. הפעולה נעשתה בתיאום עם רשויות פדרליות גרמניות לרבות מתאם השירותים הדיגיטליים וממונה הגנת המידע במדינה.
המהלך של רגולטור הגנת הפרטיות בברלין מצטרף לצעדים שננקטים בימים אלה גם במדינות אירופיות אחרות: באיטליה נאסרה הפצת האפליקציה, בהולנד פורסמה אזהרה חמורה לשימוש ואף נאסרה לשימוש במחשוב הממשלתי, ובספרד נפתחה חקירה פדרלית. כל זאת על רקע החשש מאיסוף שיטתי של מידע על אזרחי אירופה בידי טכנולוגיה סינית מתקדמת, אשר אינה מציעה כל מנגנון משפטי או מוסדי לאכיפת זכויות הפרט. יש לזכור כי המידע שנאסף באמצעות האפליקציה ומועבר לסין אינו זוכה להגנה משפטית מספקת, ולפי פרסומים גלויים, הרשויות הסיניות עשויות לקבל אליו גישה חופשית, ללא בקרה שיפוטית או מגבלות חוקיות ממשיות. לסין אין מעמד של מדינה בעלת רמת הגנה נאותה (adequacy) לפי ה-GDPR, בשונה מישראל, שכן האיחוד האירופי לא הכיר בדין הסיני ככזה שמספק רמת הגנה שוות ערך. המשמעות היא שכל העברה של מידע אישי מהאיחוד לסין מחייבת מנגנוני הגנה משפטיים נוספים, בהיעדרם מדובר בהעברה לא חוקית של מידע.
לצעדים אלו יש גם משמעות עקרונית: מדובר בניסיון של אירופה לעצב תגובה מובחנת משלה לעליית כוחות הבינה המלאכותית הסינית – תגובה שנבדלת מהמודל האמריקאי בכך שהיא שמה דגש על הגנה על זכויות האדם והפרטיות, ולא רק על שיקולים ביטחוניים, גיאו-פוליטיים או מסחריים. הרשות בברלין אינה פועלת מתוך רצון להגן על תחרות או על שחקנים מקומיים, שכן בפועל, באירופה אין כיום תעשייה מתקדמת ורחבת היקף של מערכות בינה מלאכותית, בין היתר בשל הנטל הרגולטורי המחמיר שמאט את קצב הפיתוח. עם זאת, דווקא משום כך, אירופה מנסה לקבוע כללי משחק ברורים לשחקנים זרים, גם אם הם מובילים טכנולוגית, מתוך תפיסה שעקרונות של הגינות, שקיפות ושליטה של אדם על המידע שלו הם תנאי יסוד להשתלבות בשוק האירופי. מדובר בגישה שמנסה לשלב זהירות רגולטורית עם פתיחות, מבלי לוותר על ערכי היסוד של המשטר הדמוקרטי.
המהלך הגרמני עשוי לשמש השראה למדינות נוספות, לרבות ישראל, בבואן להתמודד עם כלים טכנולוגיים חזקים שמפותחים מחוץ לאירופה או ארצות הברית. דווקא בעת שבה ישראל מהססת להחיל רגולציה מקיפה ייחודית לתחום ה-AI, וגם מתקשה להחיל את דיני הגנת הפרטיות על מערכות AI בצורה אפקטיבית, יש ערך באימוץ גישה פרואקטיבית שמבחינה בין חדשנות מבורכת לבין סיכונים למידע אישי שאין לו הגנה מעשית. כלים כמו GDPR וה-DSA מציבים רף משפטי גבוה למי שמבקש לפעול בשוק האירופי – ודווקא משום כך, הם מייצרים מסגרת הוגנת שמאפשרת גם פתיחות טכנולוגית, אך לא על חשבון זכויות בסיסיות.
האירועים בברלין, כמו גם מקרים דומים באירופה מול חברות בינה מלאכותית סיניות, מדגישים את הצורך של חברות מסחריות מכל תחומי המשק לנקוט משנה זהירות כאשר הן מתקשרות עם ספקיות טכנולוגיה מתקדמת. הדבר נכון במיוחד לגבי חברות שאינן פועלות בתחום הבינה המלאכותית עצמה, אך משתמשות בפתרונות מבוססי AI במסגרת פעילותן. בעידן של שירותים חוצי גבולות ומודלים מבוזרים, האחריות לשמירה על פרטיות המידע אינה נחלתו הבלעדית של מפתח הטכנולוגיה – אלא גם של הלקוח העסקי שבוחר לעשות בה שימוש. עבור גופים בישראל שפועלים בזירה הבינלאומית או מחזיקים במידע אישי של אזרחים אירופים, יש לכך השלכות ישירות: הדין האירופי מחייב עמידה בסטנדרטים של ה‑GDPR, גם אם השירות עצמו מסופק על ידי גורם זר. התקשרות עם ספקים שאינם עומדים בדרישות הללו עלולה ליצור חשיפה משפטית ותפעולית, ולהטיל אחריות ישירה גם על הגורם המקומי (ארגון בישראל). במציאות הזו, יש חשיבות אמיתית לבחינה משפטית מוקפדת של מערכות AI, של שרשראות העיבוד ושל זהות הגורמים המעורבים בהן.
