linkedin
להרשמה לניוזלטר
29.04.2025 עדכון לקוחות
פרסום טיוטת הנחייה בעניין תחולת הוראות חוק הגנת הפרטיות על מערכות בינה מלאכותית
אודות תחומי פעילות

הרשות להגנת הפרטיות פירסמה להערות הציבור טיוטת הנחייה בעניין תחולת הוראות חוק הגנת הפרטיות על מערכות בינה מלאכותית (קישור).

הרשות מפרטת במסמך את הנחיותיה והמלצותיה, ואת האופן שבו היא מפרשת את פני הדברים. בעדכון זה נסקור את הנקודות המרכזיות.

מבחינת יידוע והסכמה, מעניין לראות שהרשות מפרידה (הפרדה ראויה בעינינו) בין מצב של פנייה לאדם לקבלת מידע (שאז יחול סעיף 11) לבין מצב של קבלת מידע באופן עקיף על אדם, שם יידרש יידוע מכוח תקנות הגישור, אם הן חלות. בהקשר זה של היידוע מאזכרת הרשות את המסמך שפירסמה בנושא בשנת 2022 (והכיל התייחסות מצומצמת לבינה מלאכותית). אם נרכז את מופעי היידוע בטיוטה אז נראה שלדעת הרשות יש ליידע גם על הסיכונים לפרטיות ועל השפעות שלילות אחרות, על אופן פעולת המערכת, על העובדה שהאדם מתקשר עם בוט (במקרים הרלוונטיים) ועל סוגי המידע והמקור שלו, וזאת בנוסף לדרישות יידוע על פי דין (כמו סעיף 11 או תקנות הגישור, כאמור). נראה שמדובר בדרישת יידוע שחורגת מגדר תחום הגנת המידע ואף מתחום הגנת הפרטיות, וספק אם הרשות מוסמכת לקבוע חובות בהקשר הזה.

מעניין גם לקרוא את הטיוטה הנוכחית ביחס לטיוטה האחרונה שפירסמה הרשות לגבי הסכמה. כך, בשני המסמכים רואים את הישענותה (הבעייתית לדעתנו) של הרשות על חוק זכויות החולה כמקור חוקי לעניין ההסכמה מדעת, אבל בעוד שהשתמע מהטיוטה בעניין הסכמה שהסכמה נדרשת בכל עיבוד של מידע אישי, בטיוטה הנוכחית הרשות מציינת שיש צורך בבסיס חוקי (ולדעתנו יש ספק בשאלה האם הוא בכלל נדרש בישראל) לעיבוד מידע שמהווה פגיעה בפרטיות. מצד שני, יש בטיוטה הנוכחית גם אמירות שמבטאות דרישה נוקשה הרבה יותר ביחס להסכמה, שדומה לגישה שהביעה הרשות בטיוטת מסמך ההסכמה, כולל למשל הערת שוליים 25 למסמך (לפיה במקרים של אתר שמטרתו מוגדרת יש לייחס למשתמש בו הסכמה רק למטרה זו), שמבטאת פרשנות צרה לעניין ההסכמה.

לעומת זאת, בטיוטה הנוכחית משתמעת הכרה בקיומן של הגנות לפי סעיף 18 ללא סייג לתחולתן רק מקום בו קבלת הסכמה לא אפשרית בנסיבות העניין. אנחנו מסכימים עם עמדה זו. ההתייחסות להגנות משתמעת גם מעמדת הרשות לפיה במערכות בינה מלאכותית בעלות פוטנציאל לסיכון גבוה לפגיעה בפרטיות, הנטל על הטוען להגנת תום הלב לפי סעיף 20(ב) או לעניין לציבור לפי סעיף 18 – גבוה יותר. היה נכון לדעתנו להתייחס להגנות באופן ישיר כמאפשרות עיבוד גם ללא הסכמה. בפרט אפשר היה להתייחס לתסקיר השפעה על הפרטיות, שהרשות ממליצה במסמך בחום על עריכתו, כאמצעי להוכחת תום לב או אינטרס ציבורי, וגם להוכחה שמטרת השימוש במאגר לבינה מלאכותית "נקבעה לו כדין" כפי דרישתו של סעיף 8(ב) כפי נוסחו לאחר תיקון 13.

עמדה נוספת מתונה יותר מזו שהוצגה בטיוטה בעניין הסכמה, ניתן למצוא בהקשר של האיזון בין סוג העיבוד לסוג היידוע. כך, בטיוטה הנוכחית אומרת הרשות שעיבוד מורכב יותר יצדיק הסבר מפורט יותר ואינדיקציה חזקה יותר לרצונו ומודעותו של נושא המידע, "כגון" הסכמת opt in  נפרדת. כלומר הניסוח יותר גמיש ולא מובע בתצורה של קביעה קטגורית, וכן המדרג שמופיע בה הוא ביחס לסוג העיבוד ולא לסוג ההסכמה כשלעצמה, במנותק מסוג העיבוד. גם ההתייחסות למבחן הציפייה הסבירה בטיוטה הנוכחית מחזק את קיומה של הסכמה מכללא בדין הישראלי, שכן מבחן זה מופעל בדר"כ לגביה.

מבחינת ממונה הגנת פרטיות, הרשות מציינת כי תקפיד על אכיפת החובה למנותו וכי יתכן שנכון יהיה לראותו כפונקציה המתאימה בארגון גם לתכלול סוגיית השימוש בבינה מלאכותית, לפחות כל עוד לא נקבע לכך גורם אחר בארגון. הרשות גם מבטאת בטיוטה גישה לפיה ישנה סבירות גבוהה שתוצאתו של אימון מודלים של בינה מלאכותית תהיה כניסה לגדר הסעיף בתיקון 13 שמקים חובת מינוי ממונה הגנת פרטיות משום עיסוק עיקרי שכולל עיבוד של מידע בעל רגישות מיוחדת בהיקף ניכר.

בהקשר של תסקיר, הרשות תמשיך לעודד עריכת תסקירים כפרקטיקה מומלצת ומעניין לראות שהיא יוצרת קשר בינו לבין מסמך הגדרות מאגר והליכי טיפול במידע עודף מכוח תקנה 2(ג) לתקנות אבטחת מידע. הרשות ממשיכה וטוענת שמסמך הגדרות המאגר מבטא את עקרון האחריותיות, ושהוא מתבטא גם בתקנות נוספות מתוך תקנות אבטחת מידע. כאמור, היה אפשר לדעתנו לחזק בכלל, ובפרק זה בפרט, את אפשרות ההסתמכות על הגנות.

בהקשר של אבטחת מידע ותקנות אבטחת מידע, מזכירה הרשות גם את הנחייתה בעניין תפקיד הדירקטוריון במילוי התקנות בארגון, ואת הצורך להכניס תחת טיפולו של הדירקטוריון במסגרתה גם היבטי פרטיות בAI. בנוסף, הרשות מציינת כי יתכן שבמקרים שבהם מערכות מבוססות כלי בינה מלאכותית "בסיכון גבוה" (מבלי לציין מה זה אומר) הרשם עשוי להפעיל את סמכותו לקבוע כי מאגר מסווג ברמת אבטחה גבוהה (כלומר לשנות את הסיווג שקבע בעל המאגר). הרשות מציינת שמזעור הסיכונים אפשרי על ידי יישום תקנה 2(ג) ואנחנו חוזרים בהזדמנות הזאת על המלצתנו לערוך הליכי טיפול במידע עודף בארגון לפני מועד כניסתו לתוקף של תיקון 13.

בנוסף, על פי הטיוטה, הזכות לתיקון מידע שגוי מכוח סעיף 14 לחוק תחול גם במערכות בינה מלאכותית ולעיתים אף יש לאפשר אותה גם ביחס לתיקון האלגוריתם שהפיק את המידע השגוי, אם אין דרך אחרת למנוע את הישנות הפקתו. הרשות מציינת בטיוטה שהרשם יקפיד על אכיפת סעיף 14 לחוק, וגם על אכיפת סעיף 13, אך לא מפרטת כיצד יתבטא מתן של זכות העיון במערכות אלו.

עוד הרשות תקפיד על אכיפת תקנה 5 לתקנות הגישור (חובת דיוק מידע), ובטיוטה מצויין גם כי השימוש בכלי בינה מלאכותית עשוי להשפיע על בחינת בקשות רישום על ידי הרשם, מקום בו חובת הרישום חלה. המסמך מזכיר בנקודה הזאת גם את חובת ההודעה לפי תיקון 13, אבל רק ביחס לתיאור השינוי שחל לגבי חובת הרישום בתיקון, ולא ביחס להשפעה האפשרית של שימוש בכלי בינה מלאכותית על פעולת הרשם בהקשר הזה. מכיוון שמילוי חובת ההודעה לפי התיקון לא תלוי בקבלת פידבק כלשהו מהרשות, ניתן לדעתנו להניח שאכן לא תהיה השפעה לשימוש בכלי בינה מלאכותית בארגון על חובת ההודעה לרשות, מלבד התייחסות לנושא במסמך ההגדרות במידת הצורך.

בהקשר זה נציין כי לפחות בכל האמור למודלי שפה גדולים (LLM), הם כשלעצמם מתוכננים לא לכלול מידע אישי, אלא להשיג מידע כזה ממקורות אחרים רק כשהוא נדרש (למשל, במסגרת שאילתה). במקרים כאלה, העיון והתיקון רלוונטיים למקור המידע, ולא למודל.

כמו כן, הרשות מנחה לקבוע מדיניות ארגונית שתתן מענה לסיכוני אבטחת מידע כתוצאה משימוש בכלי AI, גם אם הם לא נכנסו לשימוש בארגון דרך האפיקים המקובלים.

הרשות מתייחסת בטיוטה גם לסוגיית כריית מידע. בהקשר זה טוענת הרשות שתקנות 9 ו14 לתקנות אבטחת מידע משמעותן חובה על מפעיל אתר אינטרנט לאסור על כריית מידע מהאתר, וממשיכה בקובעה כי כריית מידע אסורה משמעותה אירוע אבטחה בר דיווח. לדעתנו, היה נכון לסייג עמדה זו גם משום שיש מידע אישי רב שנושאי המידע פרסמו בידיעה ובכוונה, או שצד שלישי פרסם למטרות מותרות (למשל, בעיתונות). נזכיר גם כי מנועי חיפוש מבוססים על כריית מידע, כך שיש צורך להגדיר בצורה מדוייקת יותר את גבולות המותר והאסור בכריית מידע פומבי מהאינטרנט.

לסיום, נציין שהרשות מתבססת בטיוטה על מגוון מסמכים של גופים אחרים (, ICO, CNIL נציבות הפרטיות של קנדה, הטיוטה בעניין שימוש בכלי בינה מלאכותית בסקטור הפיננסי, ו OECD שעל הגדרת המונח "AI Systems" בו היא מתבססת), מה שיכול לחזק את הטענה לפיה אין הצדקה ליצור הוראות יש מאין, וכדאי ליישר קו עם עקרונות מנחים והוראות שכבר נקבעו במדינות מערביות אחרות.

הטיוטה פתוחה להערות הציבור עד ליום 5.6.2025 בשעה 12:00 ואנחנו ממליצים ללקוחותינו לבחון את הצורך בהגשת התייחסות מטעמם.

אנחנו עומדים לרשותכם בכל שאלה,

אייל שגיא, שיר שושני כץ וצוות מחלקת משפט וטכנולוגיה.

מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.

מחברים

lawyer
אייל שגיא שותף
lawyer
שיר שושני-כץ שותפה
lawyer
דורית בלר דה בר עורכת דין
lawyer
ליאור תלמוד עורך דין
lawyer
דניה אמיר עורכת דין
lawyer
אור רוטר הפילוני עורכת דין
lawyer
יובל אחיטוב עורך דין
lawyer
שיר שפירא-פרס עורכת דין

יש שאלה?

צרו קשר
56D9F0DF-2ADD-4F1A-9BF0-A5FAE7B3FFAB 03-6019601 A8E2E0C1-A22E-4467-B401-3FBB5EB3D9FD 03-6019602 7E3138C9-CCEB-4891-8CDE-8669E56EDA6C mail@ayr.co.il

רוצה להתעדכן?

לעמוד החדשות אירועים קרובים
linkedin
נוצר על ידי: Layer.co.il
הצהרת נגישות תנאי שימוש והערות משפטיות מדיניות פרטיות
נוצר על ידי: Layer.co.il
© כל הזכויות שמורות ל-AYR
© כל הזכויות שמורות ל-AYR