כשהחקיקה מתקשה להדביק את קצב הטכנולוגיה ושאלות רבות עדיין לא קיבלו התייחסות משפטית חד משמעית, עורכי דין מתחומי הגנת הצרכן, ואבטחת מידע ופרטיות מספרים על כמה מהאתגרים של חברות מסחריות כיום - והאופן בו הם מציעים להתמודד עם אתגרים אלו.
"שימוש ב-AI מאתגר את דיני הגנת הפרטיות, במיוחד כשמדובר ביישומים מורכבים יותר המשולבים על גבי הכלים הארגוניים או במערכות הליבה של הארגון, ומשפיעים הן על פרטיותם של עובדים וספקים והן על פרטיותם של הצרכנים", מתריע עו"ד אליעד שולומוביץ', המתמחה בתחומי אבטחת מידע ופרטיות במשרד ש. פרידמן, אברמזון ושות'.
"אפילו יישומים בסיסיים של בינה מלאכותית לצרכים מסחריים מציבים אתגרים בכל הנוגע לדיני פרטיות", מספר עו"ד שולומוביץ'. "הקמת צ'אט-בוט מבלי להבהיר שלא מדובר בנציג אנושי, למשל, יכולה להיחשב לשימוש במידע אישי בלא בהסכמה תקפה ("הסכמה מדעת") כך גם שימוש במידע אישי ללא יידוע מראש של המשתמש מה ייאסף לגביו ומה ייעשה בו מפר את דיני הפרטיות".
מערכות AI מאתגרות את דיני הגנת הפרטיות
על אף היתרונות האדירים של הטמעת מערכות בינה מלאכותית בכלים הארגוניים או במערכות הליבה של הארגון, מדובר במערכות שמאתגרות את עקרונות היסוד של דיני הפרטיות ועשויות להביא להפרות של הסודיות והפרטיות של הלקוחות, העובדים והספקים.
כך למשל, עיקרון צמידות המטרה, המחייב את מי שעושה שימוש במידע אישי לעשות זאת רק למטרות שהוצהרו מראש, קשה ליישום לאור אופיה של הטכנולוגיה ונטייתו של ה-AI להצליב, להתאמן ולהפיק מסקנות ומידעים חדשים על בסיס המידע המוזן בו.
עיקרון נוסף שמאתגרת הטכנולוגיה הוא הדרישה לשקיפות וחובת היידוע בטרם שימוש במידע אישי. החוק מחייב את העוסקים במלאכה להצהיר מראש על סוג המידע שייאסף, מטרות השימוש בו, והאם הוא יועבר לצדדים שלישיים, דברים שלא תמיד ברורים בזמן השימוש במנועי AI.
בנוסף, לפני שניתן לעשות שימוש במידע אישי בישראל, צריך לקבל את אישור המשתמש ("הסכמה מדעת"). יש קשיים פרקטיים עסקית ומשפטית בהשגת הסכמה מדעת, גם לאור השימושים הפנימיים שמפעילי ה-AI עצמם עושים במידע שמוזן לתוך המערכת, וגם לאור תוצרים החדשניים ולעיתים הלא-צפויים שמופקים באמצעות מערכות AI, ולא בהכרח ניתן היה לצפות אותם מראש לשם קבלת הסכמה.
אתגר נוסף הוא העמידה בחובת צמצום המידע לפיה יש להשמיד "מידע עודף" שנאסף על צרכנים וכבר אין בו צורך עוד. ישנה מורכבות ואף אי-היתכנות במקרים רבים לפרק מידעים מסוימים ששולבו בתוך האלגוריתם של מנוע ה-AI. על בסיס מידעים אלו המערכת מייצרת תוצרים ומסקנות חדשות ולא ברור אם אפשרי לבער ולהשמיד "מידע עודף" במנועי AI כפי שדורש החוק.
כל ספקית והמדיניות שלה
עו"ד שולומוביץ' מדגיש את חשיבות הבחינה המדוקדקת של המסמכים המשפטיים של מפעיל ה-AI על מנת לוודא שהוא לא משלב או מאמן את האלגוריתם של מנוע ה-AI באמצעות מידע שמוזן מהאתר, וכדי להבין כיצד ניתן, אם בכלל, לשקף ללקוח באופן ברור ובולט את מדיניות הפרטיות של האתר.
עו"ד שולומוביץ' מציע לנהל דיון פנים-ארגוני שיתועד בכתב, בהשתתפות ממונה הגנת הפרטיות או היועצים המשפטיים וההנהלה. לפני שמחליטים לשלב מנוע AI בפעילות או במערכת מסוימת, יש לבחון את זהות המפעיל וסוג המנוע שיוטמע, כשההמלצה היא לבחור ספק שמתחייב שלא לאמן את האלגוריתם באמצעות המידע שלכם ושל הלקוחות שלכם, וכן שלא להעביר את המידע שלכם לצדדים שלישיים.
אז איך נוכל להתקדם בביטחון עם הטמעת ה-AI בארגון?
אליעד מסיים עם 3 טיפים חשובים שיאפשרו לכם להיערך טוב יותר להטמעת AI באופן פרטי:
"חשוב לוודא שהלקוח מבין מראש כי הוא מתנהל מול בוט ולא מול נציג אנושי, ואף לשקול מתן חלופה לבוט: כמו קישור לטופס אלקטרוני או לפרטי הקשר הכלליים באתר, כדי לאפשר ללקוח לבחור איך הוא רוצה לתקשר איתכם", הוא מסביר.
"בנוסף, חשוב לתת את הדעת לקטגוריות האנשים שהמנוע עשוי לעבד את המידע האישי שלהם כדי להבין את אופי המידע שנחשף ואת הסבירות לקבל הסכמה מודעת מהמשתמשים.
זאת ועוד, חשוב לבחון האם יופק מידע רגיש חדש באמצעות ה-AI. רק על בסיס כל אלו ניתן לבחור בצורה מושכלת האם להתקדם הלאה עם שילוב ה-AI וכיצד", מסכם שולומוביץ'.