18.5.2025
ב-28 באפריל 2025 פרסמה הרשות להגנת הפרטיות התייחסות בקשר לשימוש במערכות בינה מלאכותית. הנחייה פורסמה בשלב זה כטיוטה להערות הציבור, והיא כוללת התייחסות לאופן תחולת חוק הגנת הפרטיות (תשמ"א-1981) והתקנות הנלוות לו על מערכות בינה מלאכותית.
לפניכם עקרונות מרכזיים מטיוטת ההנחיה:
- תחולה עקרונות הפרטיות על מערכות AI
כל מערכת בינה מלאכותית המעבדת, שומרת או מפיקה מידע אישי כפופה לחוק, גם אם המידע האישי לא נאסף ישירות מהאדם. מידע אישי כולל גם את התובנות ,שהמערכת מפיקה כתוצאה מעיבוד המידע לרבות, תחזיות, סיווגים ויצירת פרופילים. גם שימוש רשלני או עקיף במידע אישי, למשל, בתהליך אימון המכונה מהווה עיבוד מידע אישי, ולכן רגולציית הפרטיות תחול. לאור האמור, יש לנקוט צעדים מקדימים עוד בשלב הפיתוח, כולל המלצה לביצוע תסקיר הגנת פרטיות, אשר תפקידו לזהות סיכונים עיקריים בפגיעה בלקוחות וכן ביצוע בקרות, אשר יבטיחו שימוש חוקי במידע ומינוי של ממונה הגנת הפרטיות.
- בסיס חוקי לעיבוד מידע בשימוש במערכות בינה מלאכותיות
חברות, העושות שימוש במערכות בינה מלאכותית, יוודאו קיומו של בסיס משפטי לכל שלב בעיבוד המידע, החל משלב אימון המכונה ועד לשימוש במערכת כולל. בהקשר זה ניתן לראות את התקרבות הרגולציה בישראל לרגולציית ה ,GDPR שכן הרשות מובילה שיח ודרישה לעיבוד מידע על "בסיס חוקי". נזכיר כי בניגוד לרגולציה האירופאית, הכוללת מספר גדול של בסיסים חוקים לעיבוד מידע, בישראל קיימים רק 2 בסיסים חוקים לעיבוד המידע- הסכמה או הסמכה מכח החוק.
- הסכמה מדעת ויידוע
בעת שימוש במערכת בינה מלאכותית, יש לקיים את דרישות סעיף 11 לחוק הגנת הפרטיות, יש ליידע את הלקוחות טרם השימוש במידע אודותם בקשר למטרות עיבוד המידע, הסיכונים הרלוונטיים, והאם עיבוד יכלול העברת מידע אישי לגורמים נוספים, במיוחד כשיש שימוש בבינה מלאכותית "כללית" או מנותקת מהקשר ישיר עם האדם.דגשים חשובים לנושא הסכמה מדעת:
← בעת שימוש החברה ב"בוט" יש ליידע את הלקוח כי השיח אינו עם בן אדם.← כריית מידע מהאינטרנט – בטיוטת ההנחיה, הרשות מתייחסת לסוגיה אשר נידונה רבות בין גורמים עסקיים לגורמים רגולטורים וקובעת כי השגת מידע מהאינטרנט ללא הרשאה או הסכמה נחשבת עילה לפעולה רגולטורית ואף פלילית: "הרשות מדגישה כי פרסום של מידע של אדם על עצמו באינטרנט וברשתות חברתיות, לא בהכרח מלמד על הסכמתו של אדם לשימוש במידע עליו לפיתוח מערכות בינה מלאכותית. למשל: אין להשתמש בשם או בתמונה שפורסמו בפרופיל אישי לצורך אימון של אלגוריתם לזיהוי פנים או להקמת מאגר שכזה."
- אחריות בעלי ומפעילי פלטפורמות דיגיטאליות ורשתות חברתיות
ארגונים אלה חייבים להטמיע וליישם אמצעים טכנולוגים למניעת כרייה אסורה של מידע (scraping). בהקשר זה הרשות מגדירה עיבוד מידע זה כ"אירוע אבטחה חמור", עליו יש לדווח לרשות באופן מידי וזאת בהתאם לתקנות הגנת הפרטיות (אבטחת מידע). לפיכך יש לבצע בקרה מחמירה על מקורות המידע בהם עושים שימוש, ולבחון את חוקיות כריית המידע.
- זכויות נושאי מידע
בהתאם לחוק, קיימת חובה על ארגונים, שמעבדים מידע אישי ,לאפשר לכל אדם עיון, תיקון ומחיקה של מידע אישי בנסיבות רלוונטיות. האמור יחול גם אם המידע האישי נוצר על ידי אלגוריתם. החברות, המשתמשות במערכות בינה מלאכותית, צריכות לוודא כי ניתן יהיה לתקן מידע, שהופק באמצעות מערכות בינה מלאכותית במידת הצורך, וכן למנוע שימוש במידע שגוי לצורך הפקת תובנות עתידיות. הרשות מבהירה שהזכות לבקש תיקון מידע אישי שגוי עשויה לחול גם על תיקון האלגוריתם שהפיק את המידע.
ההנחיה פורסמה בשלב ראשון כטיוטה להערות הציבור, והציבור מוזמן להעביר את התייחסותו והערותיו לטיוטת ההנחיה עד ליום 5.6.2025 בשעה 12:00 בקישור הבא:
גרסה להדפסה
