הרשות להגנת הפרטיות פרסמה ב-28 באפריל 2025 הנחיה מקיפה המפרשת כיצד חוק הגנת הפרטיות חל על טכנולוגיות בינה מלאכותית. ההנחיה היא רק חלק מהמהפכה הרגולטורית הצפויה בתחום, שתגיע לשיאה באוגוסט 2025 עם כניסתו לתוקף של תיקון 13 לחוק – תיקון שיעניק לרשות סמכויות אכיפה ופיקוח חסרות תקדים, כולל אפשרות להטיל קנסות משמעותיים. אז מה באמת קורה כשאתם משתמשים בבינה מלאכותית? האם המידע האישי שלכם מוגן? ומה צריכים לעשות ארגונים כדי לציית לחוק ולהימנע מסנקציות? הנה כל מה שאתם צריכים לדעת.
רוצים לקבל עדכונים בלייב? רוצים מקום בו אתם יכולים להתייעץ עם מומחי AI, לשאול שאלות ולקבל תשובות? רוצים לשמוע על מבצעים והטבות לכלי ה-AI שמשנים את העולם? הצטרפו לקהילות ה-AI שלנו.
אפשר גם להרשם לניוזלטר שלנו
דמיינו שאתם משתמשים בשירות בריאות דיגיטלי המופעל על-ידי בינה מלאכותית. הזנתם מידע רפואי אישי כדי לקבל אבחון ראשוני. מה קורה עם המידע הזה? האם הוא נשמר? האם גורמים נוספים יכולים לגשת אליו? או אולי אתם מנהלים עסק ושוקלים להשתמש בכלי AI לסינון מועמדים לעבודה. האם אתם רשאים לעשות זאת? ומה עליכם לגלות למועמדים על התהליך? ההנחיה החדשה עוסקת בדיוק בשאלות הללו, ומבהירה את החובות החוקיות של כל מי שמפתח או משתמש במערכות בינה מלאכותית. בואו נבחן את העקרונות המרכזיים ומשמעותם המעשית.
העיקרון המרכזי שקובעת ההנחיה: חוק הגנת הפרטיות חל במלואו על מערכות בינה מלאכותית – הן בשלב האימון של המודל והן בשלב היישום בפועל.
דוגמה מעשית: כאשר אתם מבקשים מ-ChatGPT לנתח את הוצאות הבית שלכם, המידע הזה מוגן על פי חוק. אבל החידוש המשמעותי הוא שגם המסקנות שמסיקה המערכת עליכם (למשל, “אדם זה בסיכון גבוה לפתח מחלת לב” או “לקוח זה צפוי להתקשות בהחזרי הלוואה”) נחשבות למידע אישי מוגן, גם אם מעולם לא מסרתם אותן בעצמכם.
מה זה אומר לארגונים: כל מסקנה, המלצה או תחזית שמערכת AI מייצרת אודות אדם ספציפי היא מידע אישי הכפוף לחוק הגנת הפרטיות. עליכם לנהוג בתוצרי המערכת באותם סטנדרטים של אבטחה, שקיפות והסכמה כמו במידע שנאסף ישירות מהמשתמשים.
ההנחיה מדגישה שקבלת הסכמתו של אדם לעיבוד מידע אישי במערכות בינה מלאכותית דורשת הרבה יותר מאשר “סימון V” בתיבה קטנה. על ההסכמה להיות “מדעת” – כלומר, על נושא המידע להבין באופן מלא:
חידוש חשוב: כאשר אתם מתקשרים עם מערכת אוטומטית המבוססת על בינה מלאכותית (“בוט”), קיימת חובה ליידע אתכם על כך אם לעובדה זו השפעה מהותית על החלטתכם לספק מידע.
עליכם לפתח מנגנונים ברורים להסברת אופן פעולת מערכת ה-AI. ככל שהמערכת מורכבת יותר או משתמשת במידע למטרות רחבות יותר, כך נדרשת הסכמה מפורשת יותר (למשל במתכונת של Opt-in – הסכמה אקטיבית נפרדת לכל שימוש).
נקודה מפתיעה בהנחיה נוגעת לאיסוף מידע אישי מהאינטרנט (scraping) לצורך אימון מודלים של בינה מלאכותית. העמדה המדויקת מדברת על כך שגם אם אדם פרסם מידע אישי באופן פומבי (למשל ברשת חברתית), לא ניתן להסיק מכך הסכמה לשימוש במידע למטרות אחרות כמו אימון מערכות AI – אלא אם התקיימו תנאים מסוימים (כמו תנאי שימוש באתר שאינם מגבילים שימוש כזה, והמשתמש לא הגביל את הגישה למידע).
ההנחיה קובעת במפורש כי לא ניתן להשתמש בתמונות פנים שפורסמו ברשתות חברתיות לצורך אימון אלגוריתמים לזיהוי פנים, ללא הסכמה מפורשת של האנשים המופיעים בתמונות.
כיום, חברות רבות המפתחות מודלים של בינה מלאכותית משתמשות במידע זמין באינטרנט לאימון האלגוריתמים שלהן. פרקטיקה זו, שעד כה התנהלה ב”אזור אפור” רגולטורי, הופכת כעת לבעייתית מבחינה משפטית ועלולה לחשוף חברות לסנקציות משמעותיות.
פלטפורמות המאפשרות שיתוף מידע אישי ברשת (כגון רשתות חברתיות) חייבות לנקוט אמצעים טכנולוגיים למניעת כריית מידע אוטומטית. כריית מידע אסורה מוגדרת כ”אירוע אבטחה חמור” שמחייב דיווח מיידי לרשות להגנת הפרטיות.
החוק מעניק זכות לדרוש תיקון של מידע שגוי. ההנחיה מחדשת שזכות זו חלה גם על מידע שנוצר או הוסק על ידי מערכות בינה מלאכותית, ואף מרחיקה לכת יותר.
אם אלגוריתם של חברת אשראי סיווג אתכם בטעות כבעלי סיכון גבוה להלוואה, לא רק שיש לכם זכות לתקן את המידע הספציפי, אלא ייתכן שהחברה תצטרך לתקן את האלגוריתם עצמו אם הוא מייצר באופן שיטתי מידע שגוי.
בעולם שבו החלטות גורליות מתקבלות על ידי אלגוריתמים – מאישור הלוואות ועד לקבלה לעבודה או ללימודים – טעות או הטיה במערכת יכולה להשפיע דרמטית על חייכם. הבעיה מחריפה כשמדובר במערכות “קופסה שחורה” שקשה להבין כיצד הגיעו להחלטה מסוימת.
מערכות בינה מלאכותית מציבות אתגרי אבטחת מידע ייחודיים שלא היו קיימים בעבר.
“מתקפות הסקה” על מודלים של בינה מלאכותית מאפשרות לחלץ מידע אישי ששימש לאימון המודל. לדוגמה, חוקרים הצליחו לשחזר תמונות מהנתונים ששימשו לאימון מודלים של בינה מלאכותית יוצרת.
ההנחיה קובעת כי על מאגרי מידע המשתמשים בבינה מלאכותית יחולו רמות אבטחת המידע הבינונית או הגבוהה בשל הסיכונים הייחודיים. יתר על כן, הרשות להגנת הפרטיות רשאית להחיל רמת אבטחה גבוהה על מאגרים מסוימים גם אם לא עמדו בקריטריונים הרגילים לכך.
נדרשת התייחסות ספציפית לסיכוני אבטחה ייחודיים לבינה מלאכותית בתסקירי סיכונים, במבדקי חדירות ובמדיניות הארגונית. כמו כן, חובה לפתח מדיניות ברורה לשימוש עובדים בשירותי AI חיצוניים כמו ChatGPT, כדי למנוע חשיפת מידע רגיש.
ההנחיה מדגישה שני כלים מרכזיים שיסייעו לארגונים לעמוד בדרישות החוק:
1. מינוי ממונה על הגנת הפרטיות – עם כניסת תיקון 13 לתוקף, חובה זו תחול על כל הגופים הציבוריים ועל ארגונים פרטיים העונים לקריטריונים מסוימים. ממונה כזה יהיה אחראי על יישום ואכיפת מדיניות הפרטיות בארגון, כולל היבטים הקשורים לבינה מלאכותית.
2. תסקיר השפעה על הפרטיות (PIA) – זהו תהליך מתודולוגי לזיהוי וצמצום סיכוני פרטיות במערכות בינה מלאכותית. אף שעדיין אינו חובה בישראל, ההנחיה מדגישה כי זוהי הדרך המומלצת לוודא עמידה בדרישות החוק ולצמצם חשיפה לסיכונים רגולטוריים.
תיקון 13 לחוק הגנת הפרטיות, שייכנס לתוקף באוגוסט 2025, מהווה מהפכה של ממש בסמכויות האכיפה והפיקוח של הרשות. עם יישום התיקון, תוכל הרשות להטיל עיצומים כספיים בסכומים משמעותיים, שעשויים להגיע למיליוני שקלים, על ארגונים שיפרו את החוק. בנוסף, התיקון מרחיב את הגדרת “מידע אישי” כך שתכלול באופן מפורש גם מידע שהוסק או הופק באמצעים אוטומטיים – נקודה קריטית בעידן הבינה המלאכותית. ארגונים יידרשו גם לעמוד בחובות רישום ודיווח מוגברות, ורבים מהם יחויבו במינוי ממונה הגנת פרטיות ייעודי שיפקח על יישום החוק בארגון. כל אלה הופכים את ההיערכות המוקדמת לתיקון לחיונית עבור כל ארגון המשתמש או מפתח טכנולוגיות בינה מלאכותית.
חשוב לדעת: ההנחיה שתיארנו במאמר זה היא בגדר טיוטה שפרסמה הרשות להגנת הפרטיות להערות הציבור, ולא מסמך סופי ומחייב. זו למעשה פרשנות הרשות להוראות חוק הגנת הפרטיות הקיים, המבהירה כיצד היא מתכוונת להפעיל את סמכויותיה בנוגע למערכות בינה מלאכותית. אם אתם מייצגים ארגון שפעילותו מושפעת מהנחיות אלו, זו הזדמנות להשתתף בעיצוב הכללים – הרשות מקבלת הערות מהציבור שעשויות להשפיע על הנוסח הסופי. מומלץ להתעדכן באתר הרשות להגנת הפרטיות לגבי המועד האחרון להגשת הערות ולעקוב אחר פרסום הגרסה הסופית של ההנחיה.
ההנחיה החדשה של הרשות להגנת הפרטיות היא חלק ממגמה עולמית של הסדרת השימוש בבינה מלאכותית. ישראל מתיישרת עם סטנדרטים בינלאומיים, כפי שניכר מחתימתה על אמנת מועצת אירופה בנושא בינה מלאכותית וממעקב שלה אחר חוק הבינה המלאכותית האירופי (AI Act). בעוד שהבינה המלאכותית מציעה הזדמנויות אדירות לקידמה, חדשנות וצמיחה, ההנחיות החדשות מזכירות לנו שפיתוחה צריך להיעשות באופן אחראי המכבד את הזכות הבסיסית לפרטיות. השילוב בין אסדרה ברורה ויישום אחראי יאפשר לנו ליהנות מיתרונות הטכנולוגיה תוך שמירה על זכויות הפרט.
רוצים לקבל עדכונים בלייב? רוצים מקום בו אתם יכולים להתייעץ עם מומחי AI, לשאול שאלות ולקבל תשובות? רוצים לשמוע על מבצעים והטבות לכלי ה-AI שמשנים את העולם? הצטרפו לקהילות ה-AI שלנו.
אפשר גם להרשם לניוזלטר שלנו
רוצים לקבל עדכונים על כל מה שחדש ומעניין בעולם ה-AI? הרשמו לניוזלטר שלנו!
תוצאות נוספות...
תוצאות נוספות...
כתיבת תגובה