סיכום עם ChatGPT
רשות הגנת הפרטיות פרסמה ביום 30.4.2025 טיוטת הנחיה חדשה בנושא תחולת דיני הגנת הפרטיות על מערכות בינה מלאכותית (AI). הנחיה זו נועדה להציג את פרשנות הרשות להוראות חוק הגנת הפרטיות ביחס למאגרי מידע בהם נעשה שימוש במערכות בינה מלאכותית, לצורך הפעלת סמכויות האכיפה שהוענקו לה במסגרת תיקון 13 לחוק הגנת הפרטיות, החל מאוגוסט 2025.
המסמך מהווה סנונית ראשונה של הנחיית רגולטור בישראל באשר לאופן שבו יש לפתח וליישם מערכות בינה מלאכותית בישראל, וזאת לאחר פרסום של מסמכי עקרונות (ובראשם מסמך משרד החדשנות והמדע) ודוחות מדיניות (דוח הסקטור הפיננסי, ודוח מבקר המדינה). הטיוטה פתוחה להערות הציבור עד ליום 5.6.2025.
להלן עיקרי טיוטת ההנחייה:
הרשות מדגישה כי ההנחיה תשמש כבסיס להפעלת סמכויות האכיפה המנהלתיות והפליליות המורחבות של הרשות שהוענקו לה במסגרת תיקון 13, ובהן הטלת קנסות מנהליים משמעותיים וסנקציות פליליות.
הרשות מבהירה כי לארגון אסור לעבד מידע אישי במערכת הבינה המלאכותית ללא בסיס חוקי לכך בכל שלבי מחזור החיים של המערכת, לרבות בשלב אימון המודל או במסגרת השימוש במערכת בפועל. כלומר, על הארגון להצביע כי נאספה הסכמה מדעת מנושאי מידע או שעיבוד המידע נעשה מכוח חיקוק, הן לצורך אימון המודל ולמידת המכונה, והן במסגרת היישום של המערכת והפקת הפלט שלה.
בכלל זה, גוף ציבורי שמעבד מידע אישי תוך שימוש במערכת בינה מלאכותית, חייב להצביע על הסמכה מפורשת בחוק ואינו יכול להסתמך רק על הסכמה. בנוסף יש צורך לעמוד במבחן מידתיות של הפגיעה בפרטיות אל מול התועלת בשימוש במערכות אלה ככל שמדובר ביחסי עבודה או בשימוש על-ידי גופים ציבוריים.
במסגרת הטיוטה, הרשות מבהירה כי יש לעמוד בדרישת ההסכמה מדעת כבסיס חוקי לעיבוד מידע במערכות בינה מלאכותית ובחובת היידוע הקבועה בסעיף 11 לחוק הגנת הפרטיות, עוד בטרם נאסף מידע אישי מאדם עבור המערכת. בהתאם לכך, יש לספק לנושאי המידע את הנתונים הבאים:
זו עוד אינדיקציה למגמת הרשות להרחיב את מקום ההסכמה מדעת בדין הישראלי וגם את חובת היידוע, מעבר לאמור בחוק.
מומלץ לבחון מסמכי גילוי ומסמכי הסכמה מול נושאי מידע לצורך אימון האלגוריתמים, וכן, לבחון הסכמים להרכשת מידע במסגרת שיתופי פעולה. בהקשר זה מומלץ לבחון התממה/אנונימיזציה של מידע בטרם ייעשה בו שימוש לצורך אימון אלגוריתמים ושיפור מערכות.
במקרים מסוימים, כאשר מטרות השימוש במידע אישי הינן "מורכבות" יותר, או שהן חורגות מציפייתו הסבירה של נושא המידע או מן המטרה העיקרית שלשמה התקשר נושא מידע עם ארגון, הרשות מבקשת כי אינדיקציות לרצונו ומודעותו תהיינה ברורות יותר, וכי ההסכמה תיאסף מראש טרם עיבוד המידע, באופן מפורש, כגון במתכונת Opt-in. בדומה לטיוטת ההנחייה שפורסמה זה מכבר בנוגע לעיקרון ההסכמה, גם כאן הרשות מבקשת לצמצם את תחולת ההסכמה לקונטקסט ספציפי שבמסגרתו נאספה, ודורשת רמת פירוט גבוהה באשר לפעולת המערכת של הבינה המלאכותית ואינדיקציה ברורה למודעותו של נושא המידע לכך.
אחת ההבהרות החשובות של הרשות בטיוטה היא כי הרשות תפעיל אמצעי אכיפה למימוש הזכויות של נושאי מידע לעיון, לתיקון ומחיקה מידע לא נכון, בעת עיבודו על ידי מערכות AI, לרבות ביחס לחובת דיוק המידע שמקורו באזור הכלכלי האירופי, לפי סעיפים 13 ו-14 לחוק, ותקנה 5 לתקנות מידע מהאזור הכלכלי האירופי. בהקשר זה, באמצעות הרחבת הזכות לתיקון המידע, הרשות מבהירה כי הזכות לבקש תיקון מידע לא נכון עשויה להתייחס גם לתיקון אלגוריתם שהפיק מידע שגוי. הרשות מעודדת מפתחים להטמיע מנגנון שמטרתו להבטיח כי המידע שבמאגר נכון, שלם, ברור ומעודכן ולצמצם את הסיכוי לפלט שגוי.
פרשנות הרשות מהווה הרחבה משמעותית החורגת מלשון החוק, הגם שפרשנות זו אינה מתמודדת עם הקשיים הטכניים המשמעותיים ביישום דרישה כזו במערכות או באלגוריתמים. וזאת במיוחד לאור תופעת ה"קופסה השחורה" המאפיינת מערכות בינה מלאכותית מתקדמות, שבהן גם למפתחים עצמם אין תמיד הבנה מלאה כיצד המערכת מגיעה למסקנות מסוימות, מה שהופך את "תיקון האלגוריתם" למשימה בלתי אפשרית במקרים רבים.
בכל אופן, אנו ממליצים לנהל תיעוד מסודר באשר למידע שהמפתח משתמש לצורך אימון האלגוריתם, בדגש על סוגי המידע האישי, אופן הרכשתו והבסיס החוקי לשימוש בו.
הרשות מבקשת להדגיש כי פגיעה בפרטיות במסגרת שימוש במערכות בינה מלאכותית תטיל על הפוגע נטל כבד יותר לצורך השימוש בהגנת תום הלב שבסעיף 18 לחוק. במסגרת זו, על הטוען להגנה לתת את הדעת למאפייני הארגון, סוג המידע המעובד באמצעות המערכת, היקף המידע ומספר מורשי גישה למידע זה, ובכלל זה מעודדת הרשות לראשונה שימוש בתסקיר הגנת פרטיות ככלי מיטבי ומומלץ לניתוח הסיכונים שביצע.
מצד שני, ראוי לציין כי בניגוד לטיוטת גילוי הדעת של הרשות בנושא הסכמה מדעת, הטיוטה הנוכחית אינה כוללת את הסייג לפיו הגנת תום הלב תחול רק במקרים בהם לא ניתן היה להשיג הסכמה בנסיבות העניין. התפתחות זו מרמזת על הכרה מסוימת של הרשות בתחולת ההגנות הקבועות בסעיף 18 לחוק, גם בהקשר של מערכות בינה מלאכותית.
הרשות מביאה לראשונה דרישות לפיתוח מדיניות פנים-ארגונית ייעודית לשימוש במערכות בינה מלאכותית יוצרות, לרבות תוך שימוש בשירותים חיצוניים, דוגמת ChatGPT ואחרים. לדעת הרשות, במדיניות שכזו יש לתת את הדעת על הבאים:
הרשות מדגישה את החשיבות ליישום פרקטיקות של אחריותיות (accountability) בפיתוח ובשימוש במערכות בינה מלאכותית ובכלל זה מגבירה את חובת הזהירות המצופה מבעלי תפקידים בארגונים, כמו למשל כינון מנגנוני פיקוח פנימיים נאותים. בחברות הכפופות להנחייה 1/2024 מדובר גם בפיקוח מצד הדירקטוריון באשר להגנה על הזכות לפרטיות במסגרת שימוש במידע אישי במערכות בינה מלאכותית, לרבות פיקוח על ניהול הסיכונים הכרוכים בשימוש כאמור והטמעת אמצעים נאותים לצמצום הסיכון.
במסגרת זו, מצופה מארגונים שבהם בינה מלאכותית נמצאת בליבת הפעילות העסקית, למנות ממונה על הגנת הפרטיות (DPO) שיוביל ממשל תאגידי בתחום הפרטיות ואבטחת מידע, גם אם אין לכך חובה פורמלית לפי החוק, וכן להטמיע את עיקרון העיצוב לפרטיות בפעולת המערכות.
בנוסף, הרשות ממליצה, אף שאין חובה לכך בדין, לערוך סקר השפעה על פרטיות (PIA/DPIA), במיוחד כאשר מדובר בגוף ציבורי ובגוף שחב חובת מידתיות, וגם כדי לעמוד בדרישות רגולטוריות כגון הכנת מסמך הגדרות מאגר ובחינת צמצום מידע עודף, לפי תקנות אבטחת מידע.
לדעתנו זוהי פרקטיקה נכונה, גם בדינים זרים, וזה נכון לעשות בה שימוש לצורך ניהול סיכוני הפרטיות בצורה טובה יותר.
הרשות מדגישה לראשונה את הפגיעה בפרטיות שכרוכה בכריית מידע אישי מאתרים וקובעת שגם כאשר מפרסם אדם מידע אודותיו באינטרנט מיוזמתו, אין לייחס לו הסכמה מדעת לכריית המידע לטובת אימון אלגוריתם, אלא אם תנאי השימוש באתר מתירים זאת במפורש ונושא המידע לא הגביל את חשיפת המידע שלו – למשל במסגרת תנאי הפרטיות ברשת חברתית.
הרשות מבקשת, אולי בניגוד מסוים לפרקטיקה הנוהגת, לצמצם את האפשרות להשתמש במסדי נתונים לצורך אימון מודלים בלא שהושגה הסכמה מתאימה, תוך צמצום הנסיבות של שימוש במידע אישי פומבי לטובת אימון אלגוריתמים.
ניתן לראות בגישה המצמצמת של הרשות כזו שעלולה לפגוע באיזון הראוי בין ההגנה על הזכות לפרטיות לבין קידום חדשנות טכנולוגית, במיוחד בתחרות של תעשיית הבינה המלאכותית הישראלית בשוק הגלובלי ולכן נדרש לשפוך אור נוסף באשר לנסיבות בהן מעבד יחויב בקבלת הסכמה מפורשת או נפרדת לעניין זה.
בהקשר זה חשוב לציין כי כריית מידע בניגוד לתנאים אלה יכולה להיחשב כעבירה פלילית, מאחר שבמסגרת תיקון 13 התווספה עבירה של עיבוד מידע ללא הרשאה של בעל שליטה במאגר.
הרשות אף דורשת מבעלי אתרים לנקוט אמצעים נאותים כדי למנוע מתקפות כריית מידע (scraping) אסורה מהאתר שלהם, וקובעת כי כרייה אסורה עלולה להוות אירוע אבטחה חמור שיש לדווח עליו מיידית לרשות, בהתאם להוראות תקנות אבטחת המידע.
הרשות מציינת כי בכוונתה לבחון, במסגרת סמכויותיה, אם לכפות על מערכות מידע מבוססות AI מסוימות סיווג של רמת אבטחה גבוהה באופן קטיגורי, וזאת בשל סוג והיקף המידע המעובד, ובכך להטיל על בעל השליטה במאגר לנקוט באמצעי אבטחה ארגוניים וטכניים בהתאם לפי תקנות אבטחת מידע.
הרשות הבהירה כי תשתמש בסמכותה לסרב לרישום מאגר מידע במקרים של אי חוקיות מובהקת הכרוכה בסיכון גבוה לביטחונו, שלומו או רווחתו של הציבור.
מחלקת הפרטיות, הסייבר וה-IT במשרדנו עומדת לרשותכם לבחינת השלכות הטיוטה על פעילות הארגון, ובכלל זה עריכת סקרי השפעה על הפרטיות, תמיכה בהיערכות הארגון לאכיפה המוגברת הצפויה, התאמת מדיניות שימוש בכלי בינה יוצרת, בחינת מנגנוני ההסכמה והיידוע לנושאי המידע וכיו"ב.
לקריאת ההנחייה המלאה נא ראו [כאן]
*אין באמור כדי להוות ייעוץ משפטי ואין להסתמך עליו, אלא שהוא נועד לספק מידע כללי ותמציתי בלבד.
