חזרה | אפריל 2025

טיוטת הנחיית הרשות בנושא בינה מלאכותית: צעד ראשון, הרבה שאלות פתוחות

שמשון מורפורגו, ראש תחום ייעוץ פרטיות

משתמשים בבוט באתר? ב- AI במוצר? מפתחים מודל שמפיק תובנות אישיות? משתמשים בכזה לאפיון לקוחות? כדאי שתעצרו לקרוא את זה.

הרשות להגנת הפרטיות Privacy Protection Authority ממשיכה בקו הלוחמני-האירופי ומציבה דרישות ברורות:

* אם מדובר בבוט או מערכת חכמה- צריך להסביר את זה היטב למשתמשים. לא ברמז, לא בכוכבית שאף אחד לא קורא.

* אם אתם משתמשים בבינה מלאכותית- צריך להסביר מה היא עושה, לפרט את כל המטרות, כולל סיכונים ואימון אלגוריתמים.

* הסכמה מחוזקת: אם השימוש חורג ממה שהמשתמשת מצפה לו- תצטרכו הסכמה נפרדת, מפורשת. לא מספיק "תנאי שימוש" כללים.

* תובנות ש ai מפיק זה מידע אישי. זה לא רק אומר שכל חוקי הפרטיות וכל דרישות החוק והתקנות חלות על המידע הזה, אלא גם שמה שה-AI גילה על הלקוח שלכם, כפוף לזכות תיקון. וזה לא הסוף, הרשות קובעת שזכות תיקון המידע עשויה להוביל לחובה לתקן את האלגוריתם ש״המציא״ את המידע השגוי שחייבים לתקן.

* כריית מידע מהרשת (scraping): לא מספיק שהמשתמש פרסם משהו בפייסבוק כדי שתעבדו עליו מודל. הרשות אומרת באופן ברור שהעובדה שמישהו פרסם מידע באופן פומבי אינה מאפשר שימוש חופשי במידע הזה או אימון ai על בסיסו. חייבים הסכמה מדעת. איך מקבלים הסכמה נורמלית מגולשים באיטרנט שאין לכם קשר אליהם? מאתגר בהחלט.

* אחריות עליכם: אם הגעתם עד לכאן ואמרתם לעצמכם ״סבבה, אבל אנחנו לא מפתחים אף מערכת אלא משתמשים בכלים המדהימים שקיימים שם בחוץ״, חשוב שתדעו שגם אם רכשתם מערכת מספק — האחריות לעמוד בדרישות החוק הינה עליכם ובאופן ישיר.

* רישום מאגרי מידע: אם אימון המודל כולל מידע אישי רגיש, ייתכן שתידרשו לרשום את המאגר אצל הרשות. מעניין לראות שלמרות הצמצום המשמעותי בחובת הרישום, הרשות מתכוונת לבדוק לעומק את פרטי הרישום של מאגר מידע הכולל שימוש ב ai, כולל מהי המטרה של המערכת, האם סוגי המידע המפורטים בבקשת הרישום מתאימים לשלב הרלבנטי(אימון או יישום).

בנוסף, הרשות מדגישה (ליטרלי) כי ״ממונה הגנת הפרטיות עשוי להיות גם הגורם המתאים והמיומן ביותר ליטול על עצמו את המשימה לתכלל גם את הטיפול בסוגיות הנובעות משימוש במערכות בינה מלאכותית בארגון״.

איך נערכים כבר עכשיו?

הדרך הפשוטה ביותר להישאר בצד הבטוח היא לעבוד בשלבים:

להתחיל במיפוי מסודר של כל מקום שבו הארגון עושה שימוש ב-AI ובאיזה מידע אישי הוא נוגע; לבצע הערכת השפעה (DPIA) שתזהה סיכוני פרטיות והטיות ותמליץ על בקרות; לעדכן את גילויי הפרטיות והסכמות כך שיהיו ברורים, ספציפיים ומותאמים למטרות ה-AI; לוודא שבהסכמי השירות עם ספקי-הטכנולוגיה מכוסות אותן חובות שקיפות, אבטחה וזכויות נושאי-מידע; לקבוע מדיניות מחיקה וזמני שמירה עבור נתוני האימון והתוצרים, כולל בחינה אם נדרש רישום או הודעה על מאגר; ולשבץ את ממונה הגנת הפרטיות כחוליה קבועה בתהליך—כך שכל פרויקט AI יעבור דרך “מסלול ירוק” של בדיקת פרטיות לפני שהוא יוצא לאוויר העולם

אמנם מדובר כרגע רק בטיוטה לעיון הציבור, אבל זה מסמך עם דרישות ברורות ובשורה רגולטורית שמי שמפעיל, מפתח או משתמש במערכות AI חייב לקחת בחשבון כבר עכשיו. ואם אתם צריכים עזרה לעמוד בדרישות האלה, להתכונן לתיקון 13 שנכנס לתוקף ממש עוד שנייה, או נדרשים למנות DPO- נשמח לסייע.