הרשות להגנת הפרטיות נכנסת לפעולה בתחום הבינה המלאכותית, ומפרסמת היום (28.04.2025) טיוטת הנחיה חדשה בנושא תחולת חוק הגנת הפרטיות, התשמ"א-1981 והתקנות מכוחו, על מערכות בינה מלאכותית בישראל. הטיוטה גובשה בין היתר נוכח תיקון מס' 13 לחוק הגנת הפרטיות, שצפוי להיכנס לתוקף באוגוסט 2025, ולנוכח מסמכים ומגמות רגולטוריות בישראל ובעולם, ובראשם חוק הבינה המלאכותית האירופי (AI Act), אמנת מועצת אירופה לבינה מלאכותית, והמלצות עדכניות של ארגון ה-OECD.
לעמדת הרשות, חוק הגנת הפרטיות חל על כל מודל בינה מלאכותית המאחסן או מעבד מידע אישי, בכל שלבי מחזור החיים של המערכת: כלומר, הן בשלב הפיתוח והאימון והן בשלב ההפעלה, בין אם העיבוד מכוון ובין אם הוא תוצאה של רשלנות או טעות. בנוסף, גם מידע אישי המופק בעקיפין, למשל באמצעות תחזיות, סיווגים או הערכות שמפיק המודל, נחשב למידע אישי שחוסה תחת החוק. הרשות קובעת כי יש לוודא קיומו של בסיס משפטי לעיבוד כל מידע אישי, כבר משלבי האימון של המודלים. בפרט, כאשר מדובר בעיבוד מידע אישי המהווה פגיעה בפרטיות, נדרש לאתר עילה חוקית מתאימה (הסכמה מדעת).
לצורך קבלת הסכמה מדעת לשימוש במידע אישי במערכות בינה מלאכותית, נדרש להציג לנושא המידע, באופן ברור ומפורט, את מטרת איסוף המידע והשימוש בו, לרבות כל שימושים עתידיים הצפויים להתבצע בו. בפרט יש להבהיר למי יימסר המידע, לאילו מטרות והאם חלה חובה חוקית למסור את המידע. בנוסף, ההסבר צריך לכלות גם תיאור של אופן פעולת המערכת, כולל הסבר על סוגי המידע המעובד במסגרתה, סוגי הפעולות שנעשות במידע, והסיכונים האפשריים לפרטיות ולזכויות נושאי המידע, הן בשלב איסוף המידע והן במהלך השימוש בו. הרשות מדגישה כי יש להתייחס גם לסיכונים עתידיים או לשימושים החורגים מציפיית נושא המידע הסבירה, במיוחד כאשר מדובר במערכות כלליות או גנריות שאינן מוגבלות למטרה ספציפית אחת. עוד צוין, כי עצם פרסום מידע אישי באינטרנט אינו מהווה כשלעצמו הסכמה מדעת לעיבודו באמצעות מערכות בינה מלאכותית למטרות אחרות מההקשר המקורי של הפרסום, ולא ניתן להסיק הסכמה כזו ללא קבלת הסכמה מפורשת או לפחות משתמעת באופן ברור, בהתאם למטרות השימוש ולסיכונים הנלווים אליו.
הטיוטה מדגישה את חובת הארגונים לפעול באחריותיות (Accountability) בכל הנוגע לשימוש במידע אישי במערכות בינה מלאכותית. במסגרת זו, על ארגונים שמקיימים פעילות הכוללת עיבוד מידע אישי רגיש או בהיקפים נרחבים, למנות ממונה על הגנת הפרטיות (DPO), ולערוך תסקיר השפעה על פרטיות (PIA או DPIA, בהתאמה) לפני פיתוח, השקה או שימוש בפועל במערכות בינה מלאכותית בעלות סיכון גבוה. לפי הרשות יש להטמיע מנגנוני בקרה וממשל תאגידי פנימי, לרבות קביעת מדיניות ארגונית ברורה ליישום בינה מלאכותית, חלוקת תחומי אחריות ופיקוח פעיל של הדרג הניהולי הבכיר על עיבוד המידע. בתחום אבטחת המידע, הטיוטה מצביעה על כך שמערכות בינה מלאכותית יוצרות סיכוני אבטחת מידע ייחודיים, ובהם חשיפת מידע אישי עקב מתקפות הסקה (inference attacks), ניתוח מידע שנאגר באלגוריתם לצורך זיהוי פרטים אישיים שלא נמסרו במפורש, וכן סיכון לשימוש לא מבוקר במידע לצרכים החורגים מהמטרה המקורית שלשמה נאסף. כמו כן, קיים סיכון משמעותי לדליפת מידע אישי בעת שימוש בכלי בינה מלאכותית חיצוניות לארגון אשר עלולות לעשות שימוש בשאילתות ובמידע המוזן אליהן לצורכי אימון האלגוריתם או לחשיפה בפני צדדים שלישיים בלתי מורשים. סיכונים ייחודיים אלו יוכלו בנסיבות מסוימות להחיל רמת אבטחה גבוהה על מאגר מידע. לאור האמור, הרשות מדגישה את החובה ליישם אמצעי אבטחה מתקדמים, לצמצם את היקף המידע המעובד למינימום הנדרש, ולנהל באופן זהיר התקשרויות עם שירותי בינה מלאכותית חיצוניים.
הרשות מבהירה בהנחייתה כי זכות התיקון חלה על המידע האישי המעובד באלגוריתם הבינה המלאכותית, ותחול בנסיבות מסוימות גם על האלגוריתם עצמו שהפיק מידע אישי. מטרת הדרישה היא למנוע מהאלגוריתם לייצר פעם נוספת מידע שגוי הטעון תיקון, אך החלה של זכות התיקון על מודלי בינה מלאכותית עשויה להוות נטל רגולטורי שיכביד מהותית על הפיתוח הטכנולוגי. הרשות מציינת כי בעת כניסת התיקון לתוקף, יושם דגש רב על אכיפת סעיפים 13 ו-14 לחוק (זכות העיון והתיקון במידע) ביחס למנועי בינה מלאכותית.
הטיוטה מדגישה את חובת הארגונים לצמצם את היקף המידע האישי הנאסף, המאוחסן והמעובד, ולהסתפק רק במידע הדרוש למטרות הספציפיות של עיבוד המידע, בהתאם לעיקרון צמצום המידע. עיקרון זה מקבל משנה תוקף בעבודה עם מערכות בינה מלאכותית, בשל הנטייה לאיסוף כמויות גדולות של מידע לצורכי אימון מודלים ולזיהוי דפוסים. לדעת הרשות יש לבצע בדיקות תקופתיות שנתיות במאגרי המידע, בהתאם לדרישות תקנות אבטחת המידע, ולבחון האם המידע הנמצא במאגרים עודנו דרוש למטרות שלשמן נאסף. ככל שמידע אינו דרוש עוד, יש למחוק אותו או לבצע בו אנונימיזציה. הרשות קובעת באופן חד-משמעי כי כריית מידע אישי מרשת האינטרנט, ובכלל זה מאתרי מכירות, שירותים מקוונים או רשתות חברתיות, אסורה אם נעשתה ללא קבלת הסכמה מפורשת מנושאי המידע. כריית מידע אסורה מהווה הפרה של הוראות תקנות אבטחת המידע, המחייבות בעלי מאגרי מידע לנקוט באמצעים סבירים למניעת גישה לא מורשית לנתונים. עוד נקבע כי כריית מידע בלתי מורשית עשויה להיחשב "אירוע אבטחה חמור", המחייב את בעל המאגר ממנו כרו את המידע בדיווח מיידי לרשות. הרשות מדגישה כי נוכח העלייה בשימוש בטכנולוגיות אלו, הכוללות איסוף מידע אוטומטי בקנה מידה רחב לצורך אימון אלגוריתמים, גובר החשש לפגיעות חמורות בזכויות נושאי המידע כתוצאה מכריית מידע אסורה.
בהתאם להוראות תיקון 13, חובת רישום מאגרי מידע בפנקס מאגרי המידע חלה גם על מאגרים המעבדים מידע אישי באמצעות מערכות בינה מלאכותית, כאשר מתקיימים תנאים כגון: עיבוד מידע בעל רגישות מיוחדת (כגון מידע רפואי, ביומטרי או כלכלי), כאשר מדובר במידע על מספר גדול של נושאי מידע (מאה אלף ומעלה), או כאשר עיסוקו של בעל המאגר הוא במסירת מידע אישי לאחרים כדרך עיסוק, בתמורה או שלא בתמורה. עוד נקבע כי במסגרת בחינת בקשת הרישום, ראש הרשות יהיה מוסמך לבחון אם המידע המאוחסן או המעובד במאגר נאסף שלא כדין או משמש לפעולות בלתי חוקיות, לרבות שימושים בבינה מלאכותית המפרים את הוראות חוק הגנת הפרטיות או את זכויות נושאי המידע.
טיוטת ההנחיה מביאה לידי ביטוי חידוש משמעותי בנוף הרגולציה בישראל: החלת הוראות חוק הגנת הפרטיות באופן ישיר ומפורש על פעילותן של מערכות בינה מלאכותית, הן בשלב הלמידה והן בשלב השימוש. בכך, מבקשת ההנחיה להתאים את הדין הקיים לאתגרים שמציבות טכנולוגיות מתקדמות, תוך שילוב עקרונות של אחריותיות, שקיפות ואבטחת מידע, ובהתאם למגמות רגולטוריות בין-לאומיות. עם זאת, יש להדגיש כי ההנחיה אינה מתבססת על חקיקה ייעודית לעולמות הבינה המלאכותית, אלא על פרשנות לדין קיים שנוסח לפני עידן המודלים האלגוריתמיים, ומעלה שאלות יישומיות מורכבות שאין להן מענה מלא במסגרת הטיוטה. כך למשל, סוגיות הנוגעות לזכות העיון ולזכות התיקון עשויות שלא להתיישב בקלות עם אופיין הטכנולוגי של מערכות בינה מלאכותית, אשר אינן בהכרח מאפשרות פתיחה ושינוי פשוטים של האלגוריתם או של נתוני האימון. בנוסף, ההנחיה אינה מתייחסת במידה מספקת להשלכות האפשריות על קצב הפיתוח הטכנולוגי ועל פעילות עסקית חדשנית בתחום. תוצאה אפשרית היא חוסר ודאות רגולטורי, אשר צפוי ללוות את יישום ההנחיה עד לבירור נוסף בפסיקה או בחקיקה ייעודית.
מבחינה משפטית, אף שמדובר בטיוטה להנחיה מנהלית, הרי שמדובר בעמדת פרשנות רשמית של רשות האכיפה המוסמכת, אשר משקפת את האופן שבו תפעל הרשות בבדיקות, בפיקוח ובהליכי אכיפה. המשמעות המעשית היא כי גופים המפתחים, מפעילים או עושים שימוש במערכות בינה מלאכותית צפויים להידרש לעמוד בדרישות חדשות, על בסיס עקרונות שאינם מעוגנים עדיין באופן מלא בחקיקה ראשית, וזאת במיוחד נוכח כניסתו הקרובה לתוקף של תיקון 13 לחוק הגנת הפרטיות, אשר ירחיב את סמכויות האכיפה של הרשות. לפיכך, מומלץ לגופים במשק לבצע כבר עתה בחינה מקיפה של השימושים במערכות בינה מלאכותית, לעדכן נהלי פרטיות ואבטחת מידע, ולבחון את הצורך במינוי ממונה פרטיות ועריכת תסקירי השפעה על פרטיות.
