חוקי המשחק משתנים: מהפכת הבינה המלאכותית מחייבת שינוי יסודי בתפיסת הפרטיות

השימוש במערכות מבוססות על טכנולוגיית בינה מלאכותית (AI) הפך כבר מזמן דבר שבשגרה, ונראה כי תהליך זה רק הולך ומתגבר. מערכות אלו אינן עוד חזון עתידי, אלא הפכו לכלי עבודה מרכזי בקרב חברות ותאגידים. אולם לצד היתרונות הברורים של הטכנולוגיה, בתקופה האחרונה אנו עדים לסיכונים רבים חסרי תקדים, בפרט בתחום הגנת הפרטיות - דליפת מידע רגיש ממאגרי מידע, מעקב מוגבר, זיהוי אישי, שימוש של חברות במידע אישי שנצבר אצלן למטרות משניות לרבות לימוד המודלים, ועוד. כל אלה גרמו לרגולטורים בעולם לפעול ולפרסם הוראות לשימוש ב-AI - וכעת מצטרפת אליהן גם הרשות להגנת הפרטיות בישראל.

כאשר חברה בוחרת לעשות שימוש במערכות אלו, תוך חשיפה ועיבוד מידע אישי אודות המשתמשים, גדל הסיכון לפגיעה בפרטיות, ומכאן גם עולה החשיבות הרבה בשמירה הדוקה על דיני הגנת הפרטיות.

מספר מקרים בולטים ממחישים את הקונפליקט בין שימוש ב-AI לבין הזכות לפרטיות. דוגמא לכך ניתן לראות בפרשת Clearview AI בה חברה טכנולוגית אמריקאית, שפיתחה מערכת לזיהוי פנים פורצת דרך, יצרה מאגר מידע חסר תקדים בהיקפו, שהוערך בכ-50 מיליארד תמונות פנים שנאספו ונכרו ("scraped") באופן אוטומטי ממקורות אינטרנטיים ציבוריים וזאת ללא הסכמת המצולמים או הפלטפורמות. הרשויות בהולנד, צרפת, איטליה, יוון ובריטניה קבעו שהחברה הפרה את תקנות ה- GDPRבכך שעיבדה מידע ביומטרי ללא בסיס חוקי, לא יידעה את המשתמשים, לא נענתה לבקשות למחיקת מידע ולא שיתפה פעולה עם הרשויות.

דוגמא נוספת היא פרשת Grok AI - הצ'אט-בוט של X (לשעבר טוויטר). באוגוסט האחרון הרשות האירית להגנת המידע פתחה בחקירה בעקבות חשש שחברת X השתמשה במידע אישי מתוך פוסטים ציבוריים של משתמשים אירופיים, לצורך אימון מודלים של בינה מלאכותית - וזאת ללא הסכמה מפורשת ובניגוד לדרישות ה-GDPR.

הרגולציה בעולם מנסה להתמודד עם אתגרים אלו. ה- AI Act האירופי, שנכנס לתוקף באוגוסט האחרון, הוא המסגרת הרגולטורית הראשונה בעולם המסווגת מערכות AI לפי רמות סיכון ומחייבת שקיפות וציות לדרישות ה-GDPR. גם בישראל, הרשות להגנת הפרטיות הגיבה לשימוש הגובר במערכות AI ופרסמה בחודש שעבר טיוטת הנחיה חדשה תחת הכותרת תחולת הוראות חוק הגנת הפרטיות על מערכות בינה מלאכותית.

הטיוטה מציגה את פרשנות הרשות לחוק הגנת הפרטיות והתקנות מכוחו ביחס למערכות אלו, ומבהירה כי מידע אישי הנוצר במסגרת שימוש ב- AIכפוף לחוק, וכי תוצרי המערכת ביחס לאדם מסוים הם "מידע אישי". הטיוטה מדגישה את הדרישה לבסיס חוקי לעיבוד מידע בכל שלבי המערכת.

דגשים עיקריים בטיוטת ההנחיה של הרשות כוללים את חובת היידוע, כולל הסבר מפורט וברור על אופן פעולת המערכת, מטרות השימוש והסיכונים ואף יידוע שמדובר במערכת אוטומטית ("בוט") וקבלת הסכמה מנושא המידע למתן מידע אישי ולעיבודו במערכת בינה מלאכותית. עוד מתייחסת הטיוטה לכך שכריית מידע אישי מרשת האינטרנט לצורך עיבודו במערכת בינה מלאכותית, לרבות למטרת אימון האלגוריתם, מחויבת הסכמה מדעת של נושא המידע (וזאת גם במקרים בהם אדם מפרסם על עצמו מידע אודותיו באופן יזום ברשת האינטרנט, למשל ברשתות חברתיות).

טיוטת ההנחיה מדגישה את עקרון האחריותיות, כך שחברה שעושה שימוש במערכת של בינה מלאכותית היא זו שאחראית לקיום הוראות הדין הנוגעות לשימוש במידע ומציגה פרקטיקות מרכזיות ליישום עקרון זה.

המהפכה שמחוללת הבינה המלאכותית מציעה יתרונות רבים, אך מלווה בסוגיות משפטיות משמעותיות בתחום הגנת הפרטיות, אשר מובילות לרגולציה. אמנם, הדרישות הרגולטוריות הללו הינן חובה משפטית עבור חברות ועסקים. יחד עם זאת, מוצע לראות בה גם הזדמנות אסטרטגית, שכן עמידה מבעוד מועד בדרישות דיני הגנת הפרטיות בכלל, וביחס לבינה מלאכותית בפרט, תגן על החברות ותעניק להן יתרון תחרותי בעידן העסקי החדש, הן לחברות המפתחות את הטכנולוגיות הללו והן לחברות שיעשו שימוש בטכנולוגיות אלה.

כפועל יוצא, עמידה זו אף תועיל לבניית אמון מול לקוחות ושותפים עסקיים, בעידן שבו מודעות הציבור לפרטיות גוברת. אמנם הנוף הרגולטורי עדיין מתפתח, אך הכיוון ברור: הגנה על פרטיות וזכויות יסוד בעולם מבוסס AI מקבלת מעמד של בכורה. היערכות מוקדמת ונכונה תגן על החברות מפני סיכונים ותאפשר להן למצות את הפוטנציאל העסקי של AI בצורה מיטבית אחראית וחוקית.

עו"ד לגזיאל שבבו היא שותפה וראש תחום הגנת הפרטיות במשרד פירון. עו"ד קורן פרי היא שותפה במחלקת ליטיגציה, תובענות ייצוגיות ונגישות במשרד פירון.