מחלקת רגולציה | פרסום טיוטת הנחיה - תחולת הוראות חוק הגנת הפרטיות על מערכות בינה מלאכותית
לקוחות וידידים נכבדים,
לעמדת הרשות להגנת הפרטיות, לטכנולוגיית הבינה המלאכותית יתרונות רבים ופוטנציאל בלתי מוגבל, ויחד עם זאת השימוש בה טומן בחובו גם אתגרים וסיכונים משמעותיים לחברה האנושית הדורשים מענה רגולטורי.
לאור האמור, ביום 28 באפריל 2025, הרשות להגנת הפרטיות פרסמה, כטיוטה להערות הציבור, הנחיה ייעודית הכוללת דרישות מפורטות בדבר אופן השימוש במערכות בינה מלאכותית כך שיעלה בקנה אחד עם הוראות חוק הגנת הפרטיות. בכך, הרשות משרטטת את גבולות ההגנה על פרטיות הציבור בעידן הבינה המלאכותית.
טיוטת ההנחיה מגדירה לראשונה את יישום הוראות חוק הגנת הפרטיות בכל שלבי מחזור החיים של מערכות בינה מלאכותית (AI) - משלב האימון ועד לשימוש בפועל. טיוטת ההנחיה מופצת בהמשך לפרסום מסמך בנושא "עקרונות מדיניות, רגולציה ואתיקה בתחום הבינה המלאכותית" מחודש דצמבר 2023, אשר פרט את הסוגיות והאתגרים השונים המתעוררים בקשר לפיתוח יישומי בינה מלאכותית והמליץ על המדיניות הרצויה לאסדרת הנושא.
להלן דגשים עיקריים כפי שעולים מטיוטת ההנחיה:
- חוק הגנת הפרטיות חל על מערכות בינה מלאכותית ותוצריהן: הוראות חוק הגנת הפרטיות חלות לא רק על מידע אישי שמוזן לתוך מערכת בינה מלאכותית – אלא גם על מידע אישי שהמערכת מסיקה מהנתונים שהוזנו אליה.
- עיבוד מידע אישי - רק על בסיס חוקי: יש לוודא קיומו של בסיס חוקי כתנאי לעיבוד מידע אישי בכל אחד משלבי מחזור החיים של מערכת הבינה המלאכותית, ובכלל זה פיתוח ואימון המודלים, והשימוש במערכות לעיבוד המידע בפועל.
- הסכמה מדעת ויידוע המשתמש: נדרשת הסכמה של אדם לעיבוד מידע אישי עליו במערכת AI. לצורך קבלת הסכמה תקפה מאדם, יש לכלול תיאור של אופן פעולת המערכת ברמת הפירוט הנדרשת לגיבוש הסכמה מדעת, וליידע אותו על כך שהוא מקיים אינטראקציה עם מערכת אוטומטית מבוססת בינה מלאכותית ("בוט") ולא עם בן שיח אנושי, כשיש לכך השפעה מהותית על מתן ההסכמה.
בהקשר זה, הרשות להגנת הפרטיות מציינת, בין היתר, כי כתנאי להסכמה בת תוקף, יש להציג בפני נותן ההסכמה מהי המטרה שלשמה מבוקש המידע, למי יימסר המידע ומטרות המסירה, האם חלה על נושא המידע חובה חוקית למסור את המידע וכן סיכונים שעשויים לנבוע מעיבוד המידע.
- כריית מידע מהאינטרנט – רק בהסכמה מדעת: כריית מידע אישי מהאינטרנט (scraping) לצורך פיתוח (אימון) מודלים של בינה מלאכותית, דורשת הסכמה מדעת של נושא המידע לשימוש זה. הרשות מדגישה כי פרסום של מידע של אדם על עצמו באינטרנט וברשתות חברתיות, לא בהכרח מלמד על הסכמתו של אדם לשימוש במידע עליו לפיתוח מערכות בינה מלאכותית. למשל: אין להשתמש בשם או בתמונה שפורסמו בפרופיל אישי לצורך אימון של אלגוריתם לזיהוי פנים או להקמת מאגר שכזה.
- פלטפורמות ורשתות חברתיות: שירותים דיגיטליים המאפשרים שיתוף מידע אישי ברשת חייבים לנקוט באמצעים למניעת כרייה אסורה של מידע (scraping). כרייה אסורה של מידע אישי ממאגר מידע היא בגדר "אירוע אבטחה חמור", עליו חייב מפעיל השירות לדווח באופן מיידי לרשות להגנת הפרטיות, כנדרש בתקנות הגנת הפרטיות (אבטחת מידע).
- הזכות לתיקון מידע אישי: בהתאם לחוק הגנת הפרטיות, לכל אדם הזכות לדרוש תיקון או מחיקה של מידע שגוי על אודותיו במאגר מידע. במערכות בינה מלאכותית, הזכות לבקש תיקון מידע אישי שגוי עשויה לחול גם על תיקון האלגוריתם שהפיק את המידע.
- אחריותיות: הרשות מדגישה את החשיבות שבאימוץ עקרונות של אחריותיות, דווקא בהקשר של פיתוח ושימוש בטכנולוגיות בינה מלאכותית, בשל הפוטנציאל הרב לסיכון לפרטיות, ובמיוחד בשל הקושי המובנה לזהות מבעוד מועד את הסיכונים העתידיים העשויים לנבוע מן השימוש בטכנולוגיות אלה, וההשלכות שיהיו להן על הזכות לפרטיות ועל הגנת מידע אישי. לפיכך, מתכוונת הרשות להקפיד על אכיפת החובה למינוי ממונה על הגנת הפרטיות ולהמשיך בקידום מתודולוגיית תסקיר השפעה על הפרטיות, שעל עריכתו ממליצה הרשות מזה מספר שנים.
- ממונה על הגנת הפרטיות: הרשות מדגישה כי במקרים רבים ממונה על הגנת הפרטיות עשוי גם להיות הגורם המתאים והמיומן ביותר ליטול על עצמו את המשימה לתכלל גם את הטיפול בסוגיות הנובעות משימוש במערכות בינה מלאכותית בארגון, לפחות כל עוד לא מונה לכך בעל תפקיד ייעודי.
- תסקיר השפעה על פרטיות: לעמדת הרשות, עריכת תסקיר השפעה על פרטיות, או הליך מתודולוגי דומה, בטרם שימוש במערכות בינה מלאכותית לעיבוד מידע אישי, היא הדרך המיטבית והמומלצת לארגונים לוודא ולהוכיח כי השימוש במערכות אלו עומד בדרישות הגנת הפרטיות.
- אכיפה: ביחס למערכות בינה מלאכותית, בכוונת הרשות לשים דגש על אכיפת סעיפים 13 ו-14 לחוק הגנת הפרטיות (הזכות לעיון במידע ולתיקון מידע ולמחיקתו) ושל תקנה 5 לתקנות מידע מהאיזור הכלכלי האירופי (קיום מנגנון יזום שמטרתו להבטיח כי המידע שבמאגר נכון, שלם, ברור ומעודכן), במקרים הרלוונטיים.
זאת לאור החשיבות המיוחדת של הדיוק והאמינות של המידע המועבד ומופק במערכות בינה מלאכותית.
- אבטחת מידע: ניהול מאגרי מידע מבוססי בינה מלאכותית כרוך בסיכוני אבטחת מידע ייחודיים, כגון "מתקפות הסקה" המיועדות לחלץ שרידי מידע אישי ניתן לזיהוי. סיכונים אלו מחייבים לנקוט זהירות יתרה ולהקפיד על קיום הדגשים המפורטים בטיוטת ההנחיה.
כל אלה נועדו להתמודד עם האתגרים והשלכות השימוש ההולך וגובר בבינה מלאכותית – ולהבטיח את ההגנה המיטבית על זכויות הפרט, בדגש על הזכות לפרטיות, גם בכל הנוגע לטכנולוגיות המתקדמות ביותר.
ההנחיה מתפרסמת בשלב ראשון כטיוטה להערות הציבור, והציבור מוזמן להעביר את התייחסותו והערותיו לטיוטת ההנחיה עד ליום 5.6.
לקריאת טיוטת ההנחיה המלאה >>
לאור ניסיון של KPMG בהטמעת מסגרות לעמידה בדרישות רגולציה והחוק למערכות AI, לרבות אלו שעומדים בסטנדרטים הבינלאומיים, ולאור הבנה עמוקה של אתגרי יישום חוקי הגנת הפרטיות ותהליכי הטמעת AI בישראל, אנו מזמינים אותכם לדיאלוג בנושא טיפול בפרטיות בטכנולוגיות AI ובחינת משמעויות אפשריות ונשמח לעמוד לרשותכם בנושאים הבאים:
- גיבוש התייחסויות והערות לטיוטת ההנחיה,
- ליווי ביישום דרישות ההנחיה,
- ביצוע סקר היערכות לאיתור פערים קיימים, גישות מיטביות ליישום בארגונכם והמלצות לטיפול,
- התאמת מסגרות ציות לדרישות ההנחיה ופרקטיקות מיטביות ליישום,
- עריכת תסקיר השפעה על פרטיות,
- הטמעת שיטות ותהליכים לקיום עקרון העיצוב לפרטיות (Privacy By Design).
נשמח לעמוד לרשותכם
מחלקת רגולציה KPMG סומך חייקין
