השבוע הוגשה לבית משפט השלום בתל אביב תביעה תקדימית נגד חברת OpenAI, המפעילה את מודל השיח הפופולרי ChatGPT, בגין הפרת הזכות לעיון במידע אישי. מדובר באירוע ראשון מסוגו בישראל, אשר עשוי לשמש תקדים חשוב בכל הנוגע ליישום חוק הגנת הפרטיות על מודלים מבוססי בינה מלאכותית, ובפרט בהקשרים של למידת מכונה ומידע שנאסף על ידי צדדים שלישיים.
התביעה הוגשה על ידי עו"ד גיא אופיר, אשר פנה לחברת OpenAI בבקשה לעיין בכל המידע האישי שהחברה מחזיקה עליו, בהתאם לסעיף 13 לחוק הגנת הפרטיות (הזכות לעיון במידע). בתשובתה, החברה הפנתה את המבקש לעיין בהיסטוריית השימוש האישית שלו בשירות ובפרט בתיעוד השיחות שקיים עם המערכת. אלא שהבקשה לא התייחסה רק למידע שנמסר על ידי התובע עצמו, אלא גם למידע שנאסף עליו בעקיפין: אזכורים על ידי צדדים שלישיים, תובנות שהוסקו לגביו, ותוצרים שנלמדו במסגרת תהליכי למידת מכונה. לטענת התובע, המענה שקיבל היה חלקי בלבד, ולא כלל את המידע המהותי שהתבקש, אלא רק הפניה לייצוא היסטוריית השיחות שביצע בעצמו.
התביעה מעלה שאלות עקרוניות באשר להיקפה ולתחולתה של הזכות לעיון במידע אישי: עד כמה מחויבות חברות בינה מלאכותית בפרט, וחברות המעבדות מידע אישי בכלל, לחשוף מידע לבקשת נושא המידע? האם הזכות לעיון במידע אישי, ובמיוחד לאור כניסתו של תיקון 13 לתוקף, משתרעת גם על תוצרים אלגוריתמיים, מסקנות שנלמדו מתוך מידע גולמי, או מידע שלא סופק על ידי המשתמש עצמו, אלא נאסף או הופק בהקשרים חיצוניים, לרבות חיפושי צדדים שלישיים?
לצד ההיבט התקדימי והתקשורתי של המקרה, יש לתביעה זו גם חשיבות מעשית עבור חברות הפועלות בישראל או כלפי ישראלים, אשר מפעילות מאגרי מידע או מערכות מבוססות AI. רבות מהחברות הללו, בדומה ל-OpenAI, משתמשות בטכנולוגיות מתקדמות שמבוססות על איסוף, עיבוד ולמידה של כמויות מידע אדירות, חלקן מידע אישי ישיר, וחלקן מידע שנוגע לאדם אך נאסף בהקשרים עקיפים או תוצאתיים, או מידע אישי הנלמד ומוסק על אודות אדם אגב השימוש שלו או של אחרים בשירות.
תיקון 13 לחוק הגנת הפרטיות חיזק באופן משמעותי את זכויות נושאי המידע, ובפרט את הזכות לעיון, בין היתר באמצעות הרחבת הגדרת "מידע אישי" והצמדת פיצוי סטטוטורי של עד 10,000 ש"ח בגין היעדר מענה או מענה חלקי לבקשת עיון ללא הוכחת נזק. ייתכן שכיום חלה הזכות לעיון לא רק על מידע שהוזן בפועל על ידי נושא המידע, אלא גם על מידע הנוגע לו המצוי במאגר, לרבות מידע שעבר עיבוד אוטומטי. במובן זה, תביעות מסוג זה עשויות לעצב מחדש את גבולות האחריות והחובה לגילוי, ולהוביל לגיבוש מערכת ציפיות חדשה מצד הציבור והרגולטור – אשר לא בהכרח תואמת את מגבלות המציאות הטכנולוגית או את האילוצים המסחריים של מפעילי המערכות.
בהתבסס על טיוטת ההנחיה שפרסמה הרשות להגנת הפרטיות אשר מחדדת את עמדת הרגולטור שלפיה הזכות לעיון חלה לא רק על מידע "גולמי" המצוי במאגרי המידע, אלא גם על מידע שנלמד או הוסק אודות נושא המידע, גם אם נוצר באמצעים אלגוריתמיים מתקדמים. ההנחיה מדגישה כי הזכות לעיון כוללת, בין היתר, מידע שנוצר על בסיס ניתוח סטטיסטי, עיבוד אוטומטי או שימוש בבינה מלאכותית, לרבות פרופילים, תובנות ומסקנות שנגזרו ממידע אישי. המשמעות המעשית היא שלחברות אין עוד אפשרות להסתפק בהצגת נתונים שהוזנו בפועל על ידי נושא המידע, אלא נדרשות למסור גם מידע שהמערכת "יצרה" לגביו בין אם במפורש ובין אם בעקיפין. זוהי עמדה חדשנית, שאינה נטולת מחלוקת, אך משקפת גישה רגולטורית מתקדמת ולכאורה מחייבת. גישה זו עשויה לקבל משקל רב בהליך ככל שיתנהל.
טיוטת ההנחיה מדגישה כי הזכות לעיון ולתיקון חלה גם על מידע אישי שמעובד באמצעות אלגוריתמים של בינה מלאכותית, ובמקרים מסוימים אף על האלגוריתם עצמו שהפיק את המידע. עם זאת, החלת זכות התיקון על תוצרים אלגוריתמיים מעוררת אתגרי יישום כבדי משקל, שכן היא עלולה לחייב התאמות במבנה או בפעולה של מודלים מורכבים, ולעיתים אף לא ניתנת ליישום טכנית. אף על פי כן, הרשות מצהירה כי עם כניסת תיקון 13 לתוקף, היא תתמקד באכיפת סעיפים 13 ו-14 לחוק, הנוגעים לזכות העיון והתיקון, גם בהקשר של מערכות בינה מלאכותית. מדובר במסר ברור לחברות המפתחות או המיישמות מערכות מסוג זה: האחריות לא מתמצה באבטחת מידע, אלא כוללת גם אחריות לאמינותו, שלמותו והיכולת לבחון ולתקן אותו.
למרות שמדובר בתביעה פרטית, יש לראות בה אירוע עם פוטנציאל השפעה רחב. לא מדובר רק בשאלה נקודתית בין משתמש לחברת טכנולוגיה, אלא בבחינה יסודית של השאלה כיצד מיישמים בפועל זכויות נושאי המידע בעידן בו מידע אישי נלמד, מעובד ונשמר על ידי מודלים סטטיסטיים ואוטומטיים.
לחברות המפתחות או משתמשות בטכנולוגיות בינה מלאכותית, ובמיוחד כאלו אשר עשויות להידרש לבקשות עיון מצד משתמשים, עובדים, לקוחות או נבדקים, מומלץ לעקוב מקרוב אחר התפתחות ההליך ולבחון האם מערכות העיון, המענה והתיעוד שהן מחזיקות, עומדות ברף שנקבע בדין, וכנראה גם ברף שעתיד להיקבע בפסיקה.
