צרו קשר

    עמית, פולק, מטלון ושות׳

    בית APM, ראול ולנברג 18, בניין D, קומה 6,
    רמת החייל, תל אביב
    6971915, ישראל

    דרך חברון 101, בית הנציב,
    כניסה ב', קומה 3, ירושלים

    צרו קשר

    טל׳: +972-3-5689000
    פקס: +972-3-5689001
    דוא״ל: apm@apm.law
    facebook linkedin

    מרכז מדיה / עדכונים משפטיים

    טיוטת הנחיה – תחולת חוק הגנת הפרטיות על מערכות בינה מלאכותית

    מאי 4, 2025

    הייטק והון סיכון
    טכנולוגיה ורגולציה

    איתמר כהן

    ליאן לוסטיג

    בשבוע שעבר, הרשות להגנת הפרטיות ("הרשות") פרסמה טיוטת הנחיה בנושא תחולת חוק הגנת הפרטיות, התשמ"א-1981 ("החוק") ותיקון 13 לחוק הצפוי להיכנס לתוקפו באוגוסט 2025, על מערכות בינה מלאכותית בכל שלבי מחזור חייהן, משלב הפיתוח ועד לשלב השימוש המעשי ("הטיוטה").

    הטיוטה נועדה להבהיר את תחולת הוראות החוק על מערכות מסוג זה לקראת הפעלת סמכויות האכיפה והטלת הסנקציות שבידי הרשות, כפי שהורחבו במסגרת תיקון 13 לחוק. הטיוטה נסמכת על ההתפתחויות הטכנולוגיות האחרונות, על מסמך המדיניות הממשלתי שפורסם בדצמבר 2023 ועל פרסומים בינלאומיים בנושא, לרבות אלו של ארגון ה-OECD.

    בהתאם לטיוטה, ובהתאם למקובל בעולם, מערכת בינה מלאכותית מוגדרת בצורה רחבה ביותר כדלקמן: "מערכת ממוכנת אשר מסיקה מהקלט המוזן לה כיצד להפיק תחזיות, תוכן, המלצות או החלטות שיכולות להשפיע על הפרט או פעילותו של בעל השליטה או המחזיק במאגר, הפועלת ברמות משתנות של עצמאות והסתגלות".

    לפי עמדת הרשות, החוק חל "על מודל בינה מלאכותית המאחסן או מעבד בפועל [הדגשה במקור] מידע אישי, הן בשלב הלימוד והן בשלב היישום, אם בכוונת מכוון ואם בשל רשלנות או טעות". בהתאם להגדרה זו, ובמסגרת הטיוטה, הרשות למעשה מדגישה, כי גם אם מדובר בקלט שאינו כולל מידע אישי, או פלט שאינו מתייחס לאדם ספציפי, עדיין ייתכן שהחוק יחול בשל קיומו של מידע אישי בכל אחד משלבי הפעילות האחרים, לרבות אימון המודל. פרשנות רחבה זו עלולה להקשות על יישום מעשי, שכן היא מחייבת ציות לחוק גם כשהקלט/פלט ניטרלי, דבר המקשה על משתמש המערכת לדעת מהו מעמדו של הפלט שנוצר (שכן הוא תלוי גם באופן הפעלת המודל ואימונו על ידי יצרן המערכת), באופן המרחיב את אחריות המשתמש אם יימצא בו מידע אישי.

    במסגרת הטיוטה הרשות מתייחסת לחמשת ההיבטים שלהלן: הסכמה ומימוש חובת היידוע, אחריותיות, זכויות נושאי המידע, אבטחת מידע ורישום מאגר מידע.

    הסכמה ומימוש חובת היידוע

    ההסכמה ומימוש חובת היידוע, שלאחרונה עמדו במוקד טיוטת גילוי הדעת שפרסמה הרשות, מקבלות גם כאן התייחסות מהותית. כנקודת בסיס, לשם עיבוד מידע אישי במערכות בינה מלאכותית, יש להציג בפני נושא המידע מהי המטרה אשר לשמה מבוקש המידע, למי יימסר המידע ומטרות המסירה והאם חלה על נושא המידע חובה חוקית למסור את המידע.

    נוסף על כך, יש ליישם את עקרון השקיפות תוך הצגת כלל הסיכונים העשויים לנבוע מפעולת העיבוד, למשל ביחס לאימון האלגוריתם של מערכת הבינה המלאכותית, וכן ליידע את נושא המידע כאשר הוא מתקשר עם ״בוט״ ולא עם גורם אנושי. כמו כן, ככל שמטרת השימוש מורכבת יותר, או חורגת מהמטרה העיקרית לשמה התקשר עם בעל השליטה במאגר עם נושא המידע, נדרש כי תוכן ההסבר יהיה מפורט ובהיר יותר וכי האינדיקציה לרצונו של נושא המידע תהיה מפורשת, כגון הסכמה במתכונת של opt-in. נראה כי בהמשך לטיוטת גילוי הדעת, הרשות ממשיכה באותה המגמה ומאמצת את הגישה האירופית, שלפיה נדרשת הסכמה גרנולרית אותה יידרשו חברות וארגונים לשקף במסמכים משפטיים שונים, לרבות במסמכי מדיניות הפרטיות. עמדה זו עלולה לעורר בעיה כפולה: בצד הפשטני של הדברים, יישום של החובה כלשונה נראה רחב באופן מוגזם, וניתן רק לתהות מדוע אי אפשר להניח שאדם המשוחח עם ChatGPT (לדוגמא) מודע לכך שמדובר בבוט. בצד המורכב של הדברים, עולה השאלה האם בכלל ניתן לספק "תיאור של אופן פעולת המערכת ביחס לעיבוד מידע אישי, ברמת הפירוט הנדרשת לגיבוש ההסכמה ובשים לב למגבלות טכנולוגיות".  זאת בעיקר לאור הבעיה המוכרת של Explainability הקיימת בבסיס מרבית המודלים. הסיפא של החובה מצביע על כך שהרשות מודעת למגבלות אלו, אולם הטיוטה כשלעצמה אינה מפרטת מהי רמת הפירוט של הגילוי הנדרש.

    הרשות גם האירה את הזרקור על סוגיית כריית מידע אישי מהרשת (Scraping), כשהיא מטילה אחריות דואלית על העומדים משני צידי המתרס. מן הצד האחד, מי שמעוניין לעשות שימוש, למשל, בתמונה שפורסמה ברשת חברתית לצורך אימון ופיתוח מודל של מערכת בינה מלאכותית יידרש לקבל הסכמה מדעת מנושא המידע, שכן לא ניתן להניח שנושא המידע הסכים לשימוש במידע זה למטרה היוצרת סיכון גבוה במיוחד לפרטיותו. מן הצד השני, על בעל מאגר השליטה המאפשר שיתוף מידע באינטרנט (רשתות חברתיות, שירותי מכירות) לנקוט באמצעים למניעת כריית מידע אישי. בנוסף, בהתאם להנחיה כרייה כזו, ככל שבוצעה באופן אסור, נחשבת "אירוע אבטחה חמור" בהתאם לתקנה 11(ד)(1) לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 ("התקנות"), הדורשת דיווח מידי של בעל מאגר השליטה לרשות.

    אחריותיות

    הרשות מציינת בטיוטה, כי בשנים האחרונות אחריותיות הפכה מעיקרון ערכי לחובה אכיפה בפועל, הן בדין האירופי והן בדין הישראלי, עם דרישות קונקרטיות לרבות תיעוד ובקרה. בהתאם לטיוטה יישומה במערכות בינה מלאכותית מקבל חשיבות מיוחדת, בשל הסיכון הגבוה לפרטיות והקושי להטיל אחריות משפטית על מערכות הפועלות באופן אוטונומי וללא מעורבות אנושית ישירה.

    במסגרת תיקון 13 לחוק וכחלק מן הדרישות הקונקרטיות לאחריותיות נקבעה חובה רחבה למינוי ממונה על הגנת הפרטיות בכלל הגופים הציבוריים במשק ובשורה ארוכה של גופים במגזר הפרטי ובטיוטה זו הרשות מבהירה כי ״ממונה הפרטיות הוא הגורם המתאים והמיומן  ביותר ליטול על עצמו את המשימה לתכלל גם את הטיפול בסוגיות הנובעות מהשימוש במערכות בינה מלאכותית בארגון [הדגשה במקור]״.

    למרות שהדין בישראל אינו מחייב כיום עריכת תסקיר השפעה על פרטיות לפני כל עיבוד מידע אישי, לגישת הרשות, כשמדובר במערכות בינה מלאכותית תסקיר השפעה על פרטיות הוא הדרך המיטבית להבטיח עמידה בדין. עריכת תסקיר השפעה על פרטיות היא הכלי שיאפשר לבעלי השליטה במאגרים לתאר בצורה מספקת את פעולות האיסוף, מטרות השימוש והסיכונים המרכזיים ובכך לעמוד בדרישות כמו הכנת מסמך הגדרות מאגר.

    הלכה למעשה, עריכת תסקיר השפעה על פרטיות ומינוי ממונה על הגנת הפרטיות מקבלים מעמד בכורה בקרב חברות וארגונים העושים שימוש במערכות בינה מלאכותית. כמו כן, בהמשך להנחיה שפורסמה בנושא תפקיד הדירקטוריון בקיום חובות התאגיד לפי התקנות, הרשות מדגישה כי השימוש במערכות בינה מלאכותית מהווה נושא מהותי בניהול המידע האישי בחברה הדורש מעורבות ישירה של הדרג הבכיר.

    זכויות נושאי המידע

    טיוטת הרשות מרחיבה את הזכות לתיקון מידע אישי לפי סעיף 14 לחוק, כך שבמקרים מתאימים נושא המידע יוכל לדרוש גם תיקון של האלגוריתם של מערכת הבינה המלאכותית שהפיקה את המידע השגוי. עבור חברות וארגונים מדובר באתגר יישומי משמעותי, במיוחד במערכות מסוג "קופסה שחורה", או כאשר מדובר במערכת צד ג' בה עושה חברה שימוש. חובה נוספת ומרחיבה ביותר, נלמדת באופן משתמע מהחובה הכלולה בתקנה 5(א) תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023. בהתאם לחובה זו, "על בעל השליטה במאגר חובה להפעיל באופן יזום מנגנון שמטרתו להבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ומעודכן". בהתבסס על חובה זו, הרשות מדגישה את הצורך להבטיח את המידע ולמנוע כשלים בלמידה כגון Learn the wrong thing  ו- Do the wrong thing, כדי לצמצם החצנות שליליות. מדובר למעשה בגזירה של חובה מהותית הקשורה לאיכותה, אמינותה ופעילותה הפנימית של מודל הבינה המלאכותית, בעקיפין, דרך החובות הקונקרטיות הקשורות להגנת הפרטיות.

    אבטחת מידע

    השימוש במערכות בינה מלאכותית יוצר סיכוני אבטחת מידע ייחודיים, המחייבים זהירות יתרה בהתאם לסעיף 17 לחוק ולתקנות. חובה זו חלה הן על ארגונים שמערכות הליבה הפנימיות שלהם מבוססות על בינה מלאכותית והן על ארגונים שבהם העובדים עושים שימוש באפליקציות חיצוניות מבוססות בינה מלאכותית, כגון ChatGPT. הסיכונים כוללים בין השאר מתקפות הסקה, זליגת מידע משאילתות, עקיפת בקרות או שימוש לא מורשה במידע לאימון מודלים.
    הרשות דורשת מתן מענה מפורש לסיכונים הללו בכל שלבי ניהול אבטחת המידע  – במסמך הגדרות המאגר, בסקרי הסיכונים ומבדקי החדירות, בניטור שוטף ודיווח על אירועי אבטחה חמורים, ביישום עקרון צמצום המידע ובהדרכת העובדים בנוגע לשימוש נכון במערכות בינה מלאכותית באמצעות מסמכי מדיניות מתאימים. חברות וארגונים שלא ייערכו בהתאם ולא יעמדו בדרישות הרשות יסתכנו בקנסות כבדים עם כניסתו לתוקף של תיקון 13 לחוק. ובהקשר זה, בצורה מפתיעה, מציינת הטיוטה כי בכוונת הרשות לבחון האם לעשות שימוש בסמכותה הקבועה בתקנות אבטחת המידע ולהרחיב את הגדרת מאגר מידע ב"רמת אבטחה גבוהה" כך שתחול על כל מאגר שמערכותיו מבוססות בינה מלאכותית.

    רישום מאגר מידע

    תיקון 13 לחוק מצמצם את חובת רישום מאגר המידע והיא תחול רק על מאגרים שמטרתם מסירת מידע אישי לאחר בתמורה או על מאגרים של גופים ציבוריים. דה פקטו, מדובר בהפיכתה של חובת הרישום לאות מתה מבחינת מרבית הגופים הפועלים בשוק. ועדיין, בהקשר של מערכות בינה מלאכותית, הרשות בחרה להדגיש בטיוטה כי בהליך רישום מאגר מידע בכוונתה לבחון בין היתר האם "המאגר משמש או עלול לשמש לפעולות בלתי חוקיות או כמסווה להן, או שהמידע האישי הכלול בו נוצר, נתקבל, נצבר או נאסף בניגוד לחוק זה או בניגוד להוראות כל דין…".

    בעוד חלק מההנחיות והפרשנות הכלולה בטיוטה מהווה יישום ישיר (גם אם מרחיב) של הדין הקיים, אנו מוצאים חלק מההנחיות מרחיבות באופן המנסה למעשה לאסדר את השימוש הכללי במערכות בינה מלאכותית (בהיבטים של איכות, בטיחות, יעילות , הגינות וכו') בעקיפין, דרך פרשנות מרחיבה של עקרונות וכללי הגנת הפרטיות. מטבע הדברים, ובהקשרים אלו, אנו סבורים כי דרך המלך הינה חקיקה ייעודית, מקיפה ומסודרת לתחום הבינה המלאכותית.

    הרשות מעמידה טיוטה זו להערות הציבור עד לתאריך 5.6.2025 ואנו מזמינים אתכם לחלוק עמנו בהקדם את תובנותיכם והערותיכם בנושא, אשר נשמח לשלב בדיאלוג המתמשך שלנו מול הרשות.

    במחלקת פרטיות, רגולציה וטכנולוגיה של עמית, פולק, מטלון ושות', פיתחנו בשנים האחרונות מתודולוגיה סדורה לביקורת והטמעת עקרונות פרטיות, רגולציה וטכנולוגיה. במסגרת זו, אנו מספקים ללקוחותינו כלים פרקטיים ליישום בקרות שוטפות ותקופתיות, המסייעות בצמצום פערי ציות בארגונים וחברות הפועלים עמנו. בנוסף, אנו מסייעים בהכנה, עדכון והתאמה של מסמכי מדיניות פרטיות בהתאם לדרישות החוק ולשינויים רגולטוריים, כמו במקרה הנידון אשר דורש עדכון של מסמכים אשר אינם עומדים בדרישות הרשות.

    תכלית עדכון זה, להציג את החידושים בהנחיות רשות הגנת הפרטיות ואין בו משום עצה משפטית לאופן פעולה קונקרטי. אנו נשמח לעמוד לרשותכם בכל שאלה.

    צוות APM לפרטיות, רגולציה ולטכנולוגיה.