רקע
ב-28 באפריל 2025 פרסמה רשות הגנת הפרטיות (להלן: "הרשות") טיוטת ההנחיה לעניין יישום חוק הגנת הפרטיות על מערכות בינה מלאכותית (להלן: "ההנחיה"). ההנחיה עוסקת בהיבטי פרטיות לאורך כל מחזור החיים של מערכות בינה מלאכותית – מפיתוח ואימון המערכת ועד לשימוש בה בפועל.
הרשות הודיעה לאחרונה על הארכת המועד להגשת הערות הציבור על הטיוטה עד ל-6 ביולי 2025.
ניתן למצוא את טיוטת ההנחיה כאן.
עיקרי הטיוטה
תחולת חוק הפרטיות על מערכות בינה מלאכותית
ההנחיה מבהירה כי חוק הגנת הפרטיות חל הן על מידע אישי הנקלט למערכות בינה מלאכותית והן על מידע שהמערכות מפיקות או מסיקות בעצמן על בסיס המידע האישי.
בסיס חוקי לעיבוד
ההנחיה קובעת כי על ארגונים לוודא כי עיבוד הנתונים האישיים מתבצע על יסוד בסיס חוקי מתאים בכל שלב ממחזור החיים של מערכת הבינה המלאכותית – החל משלבי הפיתוח והאימון ועד לשלב השימוש בו בפועל.
הסכמה מדעת ושקיפות
ההנחיה קובעת דרישות מפורטות לעניין מתן הודעה מתאימה וקבלת הסכמה מדעת של האדם לשימוש במידע אישי הנוגע אליו במערכות בינה מלאכותית:
- "הסכמה מדעת" משמעה כי "בידי האדם שנתונה לו זכות לפרטיות (מושא המידע) היה המידע הדרוש לו באורח סביר כדי להחליט אם להסכים למסירת המידע ולשימושים שיעשו בו, ובכלל זה העברתו לצדדים שלישיים". ארגונים נדרשים לתת הסבר מספק על אופן פעולת מערכות הבינה המלאכותית כדי לאפשר הסכמה מדעת, תוך פירוט רמת האמינות והמגבלות הטכניות.
- יש ליידע משתמשים באופן מפורש כי הם פונים למערכת בינה מלאכותית ולא לאדם.
- יש לפרט את סוגי הנתונים הספציפיים שבהם מערכות הבינה המלאכותית עושות שימוש.
- יש לפרט כל מטרה שלשמה נעשה שימוש בנתונים, לרבות אימון אלגוריתמים.
- שימושים מורכבים או בלתי צפויים מחייבים הסברים מפורטים והסכמה מפורשת.
מגבלות על כריית מידע אישי מהאינטרנט
ההנחיה מטילה מגבלות משמעותיות על כריית מידע אישי מהאינטרנט למטרות אימון בינה מלאכותית:
- נדרשת הסכמה מדעת לכריית נתונים אישיים לצורך אימון בינה מלאכותית (למשל, כאשר תנאי השימוש של רשת חברתית אינם מגבילים שימוש בנתונים למטרות נוספות והאדם לא הגביל את הגישה לנתונים שלו). פרסום מידע ברשת אינו מעיד כשלעצמו על הסכמה לשימוש בו לצורך אימון בינה מלאכותית.
- פלטפורמות מדיה חברתית ושירותים דיגיטליים נדרשים לנקוט באמצעים למניעת איסוף נתונים ללא הרשאה.
- איסוף נתונים ללא הרשאה מהווה "אירוע אבטחה חמור" המחייב דיווח מיידי לרשות.
ההנחיה בנושא כריית מידע אישי מהרשת מהוות התפתחות חדשה שלא זכתה לביטוי מפורש בחקיקת הפרטיות הישראלית, ועל גורמים העלולים להיות מושפעים מהנחיה זו לתת את הדעת על כך.
זכות לתיקון מידע אישי
ההנחיה מאשרת כי לאדם עומדת הזכות לעיין במידע שנאסף עליו ולבקש תיקון או מחיקה של מידע אישי שגוי במאגר המידע. במערכות בינה מלאכותית, זכות זו עשויה להתרחב לזכות לבקש את תיקון האלגוריתם שהפיק את המידע השגוי. הרשות שוקלת את הגברת האכיפה של זכות הפרט לעיון ותיקון המידע האישי שעליו.
עקרון האחריותיות
ההנחיה מדגישה את חשיבות עקרון האחריותיות, במיוחד בתחום הבינה המלאכותית, לאור הסיכונים הפוטנציאליים לפרטיות והקושי הטבוע בזיהוי סיכונים עתידיים. אמצעי האחריותיות המרכזיים המומלצים כוללים:
- מינוי קצין הגנת פרטיות כקבוע בחוק הגנת הפרטיות.
- ביצוע תסקיר השפעה על הפרטיות טרם הטמעת מערכות בינה מלאכותית.
- יישום מנגנוני ממשל תאגידי.
- יישום עקרונות עיצוב לפרטיות Privacy By Design
אבטחת נתונים
ההנחיה עוסקת בסיכוני אבטחה ייחודיים הנלווים למערכות בינה מלאכותית, ובכללם:
- "מתקפות הסקה" המיועדות לחלץ שרידי מידע אישי ניתן לזיהוי שנותרו באלגוריתם
- דרישות ליישום אמצעי אבטחה הולמים
- הנחיה לשימוש ארגוני בשירותי בינה מלאכותית חיצוניים כדוגמת ChatGPT
השלכות לארגונים
בין אם טיוטת ההנחיה תתקבל בצורתה הסופית ובין אם לאו, ההנחיה משקפת את עמדת הרשות הנוכחית בנוגע להשלכות חוק הגנת הפרטיות של מערכות בינה מלאכותית. על כן, מומלץ שארגונים המפתחים או המשתמשים במערכות בינה מלאכותית הכפופים לדין הישראלי מוטב שינקטו בצעדים הבאים:
- בחינת נהלי פיתוח והטמעת בינה מלאכותית כדי לוודא את התאמתם לטיוטת ההנחיה;
- ישום מנגנוני הסכמה של הפרט שעליו המידע והודעה לפרט בדבר השימוש במידע אישי בבינה מלאכותית;
- ביצוע הערכות השפעה על הפרטיות במערכות בינה מלאכותית;
- קביעת מדיניות ברורה לשימוש ארגוני בשירותי בינה מלאכותית חיצוניים; ו-
- וידוא קיומם של אמצעי אבטחה מתאימים.
צעדים להמשך
הרשות מקבלת הערות מהציבור על טיוטת ההנחיה עד ל-6 ביולי 2025.
אם ארגונכם מעוניין להגיש הערות או זקוק לסיוע בהבנת השפעת טיוטת ההנחיה על פעילותכם, ניתן לפנות לצוות הפרטיות שלנו.
