בחודש יוני 2025 פרסמה רשות הגנת המידע הצרפתית (CNIL) את הנוסח הסופי של סדרת מסמכים חדשים העוסקים באחת הסוגיות הרגישות ביותר כיום: השימוש ב"בסיס החוקי של אינטרס לגיטימי" לפיתוח מערכות בינה מלאכותית, ובייחוד באיסוף נתונים מהאינטרנט (Web scraping). המסמכים גובשו בעקבות הליך שיתוף ציבור רחב שיזם ה-CNIL בשנת 2024, בהשתתפות חברות טכנולוגיה, גופי מחקר, עורכי דין, רשויות ציבוריות ועמותות.
ההנחיות אינן חקיקה מחייבת, אך מהוות קובץ עקרונות מחייב-דה-פקטו עבור שחקנים בתחום הבינה המלאכותית בצרפת, ובשל משקלה של צרפת בזירה האירופית – עשויות להפוך לרפרנס פרשני גם במדינות אחרות. ההנחיות מחדדות את התנאים להפעלת אינטרס לגיטימי כבסיס חוקי לעיבוד מידע אישי בעת פיתוח מערכות בינה מלאכותית, ומציעות פרשנות קפדנית ופרקטית לאופן בו יש לערוך את מבחן האיזון, כיצד להעריך את סבירות הציפיות של נושאי המידע, וכיצד ליישם אמצעים למזעור פגיעה בפרטיות.
- אין היררכיה בין בסיסים חוקיים: ה-CNIL מדגיש כי אין עדיפות עקרונית בין הסכמה, אינטרס לגיטימי או חוזה. כל אחד מהם צריך להיבחן לפי נסיבות המקרה.
- פיתוח מודל בינה מלאכותית כללי (foundation model) אינו מהווה אינטרס לגיטימי כשלעצמו, אלא רק אם הוא מלווה בהגדרה ברורה של מטרות, אופי השימושים הצפויים והאינטרסים הנלווים (מסחריים, מדעיים, ציבוריים).
- שימוש בנתונים אישיים לא צריך להיות אוטומטי או מובן מאליו: ה-CNIL מזכיר שמבחן ה"נחיצות" מחייב לבחור בטכניקות הפחות פוגעניות, ולא להעדיף למשל "למידה עמוקה" רק בשל זמינותה.
- בהקשר של Web Scraping, ההנחיות מדגישות כי גם נתונים שפורסמו לציבור אינם בהכרח בגדר נתונים שניתן לאסוף לעיבוד ללא הגבלה – אלא יש לבחון האם האדם הסביר יכול היה לצפות לשימוש כזה, על בסיס מבחן ציפייה קונקרטי (ובלא קשר לכך שמדובר בנתון פומבי). כיוון זה מובא לידי ביטוי גם בהנחיית הרשות בישראל בנושא תחולת חוק הגנת הפרטיות על מודלי בינה מלאכותית.
- לגבי נתונים רגישים, הרשות קובעת שיש ליישם אמצעים למניעת איסופם כבר בשלב הראשוני של הסריקה. גם אם לא ניתן למנוע לחלוטין את האיסוף, יש חובת הסרה עם גילוי הנתונים, אלא אם קיימת חריגת עיבוד לפי סעיף 9(2) ל-GDPR.
למרות שההנחיות אינן חקיקה מחייבת, מעמדן בצרפת חזק מאוד: בתי המשפט והמערכת הציבורית מייחסים להן משקל רב בהכרעה במחלוקות, והן משמשות כפרשנות מחייבת למעשה של ה-GDPR בצרפת. ה-CNIL הבהיר כי בחלק מהמקרים, במיוחד כאשר אין הצדקה אחרת לעיבוד, עמידה באותן הנחיות תיחשב כתנאי ליישום לגיטימי של אינטרס לגיטימי, וכי פערים ייבחנו במשקפיים של סיכון לפגיעה בזכויות.
המסמכים החדשים נחשבים למחמירים יחסית, בעיקר במידת הפירוט והזהירות שהם מחילים על עיבוד מידע בשלב הפיתוח של מערכות AI. הרשות אינה מונעת עיבוד מידע אישי, אך דורשת רמה גבוהה של שקיפות, תיעוד, ואמצעים טכניים כמו אנונימיזציה, אי-שימוש בדאטה ממקורות שברור כי יש בהם התנגדות לאיסוף, ונקיטת אמצעים למניעת "רגורגיטציה" של מידע אישי על ידי המודלים (מדובר על מצב שבו מודל "פולט בחזרה" מידע אישי מדויק שנמצא בנתוני האימון שלו, במקום לייצר טקסט חדש או מסקנות כלליות).
ההנחיות של ה-CNIL משתלבות עם פעילות מקבילה של מועצת הגנת המידע האירופית (EDPB), ובפרט עם טיוטת הקווים המנחים של המועצה משנת 2024 באותו נושא. ה-CNIL מצהירה על כוונתה לעדכן את מסמכיה בהתאם להתקדמות ההנחיות האירופיות ולחוק ה-AI האירופי החדש (AI Act), ובכך מחזקת את ההתקרבות בין דיני הגנת המידע ובין דיני הבינה המלאכותית באירופה.
במישור ההשוואתי, אין בינתיים מדינה אחרת באיחוד האירופי שפרסמה מסמכים כה מפורטים ונרחבים על השימוש באינטרס לגיטימי בתחום ה-AI. גרמניה ואיטליה פרסמו עמדות חלקיות, אך טרם גיבשו מסמכי הנחיה שיטתיים.
ההנחיות שפרסם ה-CNIL מהוות מהלך רגולטורי חשוב, לא רק בזירה הצרפתית אלא גם האירופית והגלובלית. הן מציבות רף ציפיות גבוה למפתחים ומדגישות כי עיבוד מידע לצורכי AI אינו חסין מביקורת משפטית, גם כאשר הוא נעשה בשם חדשנות או מחקר. חברות אשר פועלות באיחוד האירופי ובמיוחד בצרפת יידרשו להכיר את המסמכים לעומק – לא רק כדי להבטיח תאימות, אלא גם כדי להבין את כיוון הרוח הרגולטורי לשנים הקרובות.
