ביום 28.4.2025 פרסמה הרשות להגנת הפרטיות (להלן: "הרשות") טיוטת הנחיה להערות הציבור בנושא תחולת הוראות חוק הגנת הפרטיות על מערכות בינה מלאכותית (להלן: "טיוטת ההנחיה"). מטרת טיוטת ההנחיה היא להציג את פרשנות הרשות להגנת הפרטיות להוראות חוק הגנת הפרטיות, תשמ"א-1981 והתקנות שהותקנו מכוחו (להלן, ביחד: "החוק" או "חוק הגנת הפרטיות") בנוגע למאגרי מידע בהם נעשה שימוש בטכנולוגיית בינה מלאכותית, לרבות לצורך ביצוע סמכויות הפיקוח, הבירור המנהלי, האכיפה והטלת הסנקציות אשר הוקנו לרשות במסגרת תיקון 13 לחוק הגנת הפרטיות, שייכנס לתוקפו באוגוסט 2025.
עיקרי טיוטת ההנחיה:
תחולת החוק – הרשות מבהירה שהוראות חוק הגנת הפרטיות חלות על מודל בינה מלאכותית המאחסן או מעבד בפועל מידע אישי, הן בשלב הלימוד והן בשלב היישום, אם בכוונת מכוון ואם בשל רשלנות או טעות, וכי מידע אישי אשר נוצר תוך שימוש במערכות בינה מלאכותית, לרבות באמצעות היסקים או הערכות, הוא מידע שחלות עליו הוראות חוק הגנת הפרטיות.
עיבוד מידע אישי – רק על בסיס חוקי. יש לוודא קיומו של בסיס חוקי כתנאי לעיבוד מידע אישי בכל אחד משלבי מחזור החיים של מערכת הבינה המלאכותית, ובכלל זה פיתוח ואימון המודלים, והשימוש במערכות לעיבוד המידע בפועל.
נטל מוגבר – הרשות מדגישה שכאשר שימוש במידע אישי במערכת בינה מלאכותית הוא בעל פוטנציאל לסיכון גבוה לפרטיות (לרבות בשל סוג המידע המעובד במערכת בינה מלאכותית ורגישותו, לדוגמא "מידע בעל רגישות מיוחדת", או מידע על אוכלוסיות מיוחדות כדוגמת קטינים) אזי בהתאם להוראת החוק הנטל על המשתמש במערכת כזו, אשר יבקש לטעון לקיומה של הגנת תום לב, או לקיומו של עניין לציבור הפוטרים אותו מאחריות לפגיעה בפרטיות לפי סעיף 18 לחוק – יהיה גבוה יותר.
חובת היידוע – הרשות מבהירה כי בהקשר של פיתוח ושימוש במערכות בינה מלאכותית – בנוסף לחובות היידוע הקיימות בחוק ובהנחיות הרשות, על מנת לקיים את דרישות החוק לעניין יידוע וקבלת הסכמה מדעת, נדרש ליידע את נושא המידע גם בעניינים הבאים:
– תיאור של אופן פעולת המערכת ביחס לעיבוד מידע אישי, ברמת הפירוט הנדרשת לגיבוש ההסכמה ובשים לב למגבלות טכנולוגיות (בפרט כאשר עסקינן ב-"בוטים");
– פרטים אודות פרטי וסוגי המידע בהם עשויות המערכות להשתמש במסגרת השימוש במידע הנוגע אל נושא המידע, והמקור של פרטי מידע אלו;
– יש להתייחס לכל אחת ממטרות השימוש במידע והסיכונים האפשריים הכרוכים בה, לרבות אימון האלגוריתם, וככל שמטרות השימוש מורכבות יותר, או חורגות מציפייתו הסבירה של נושא המידע או מן המטרה העיקרית לשמה התקשר עם בעל השליטה במאגר, לרבות מערכות בינה מלאכותית כללית – כך נדרש כי תוכן ההסבר הנוגע אליהן יהיה מפורט ובהיר יותר, וכי האינדיקציה לרצונו של נושא המידע ולמודעותו למטרת העיבוד ולהשלכותיו תהיה מפורשת יותר, כגון בהסכמה נפרדת במתכונת של Opt-in.
סקרייפינג – הרשות מדגישה שכריית מידע אישי מרשת האינטרנט (scraping) לצורך עיבודו במערכת בינה מלאכותית, לרבות למטרת אימון האלגוריתם, כרוכה בפגיעה אסורה בפרטיות, אם לא ניתנה לכך הסכמה מדעת של נושא המידע. עמדת הרשות היא שגם כאשר אדם מפרסם באופן יזום מידע אודותיו באינטרנט, למשל ברשתות חברתיות, ניתן לייחס לו הסכמה מדעת לכריית המידע ולשימוש בו למטרות כלליות נוספות, רק אם תנאי השימוש של האתר לא מייחדים במפורש או במשתמע את השימוש במידע למטרה ספציפית אחרת, וגם זאת רק אם נושא המידע בחר שלא להגביל את סוג המשתמשים המורשים להיחשף למידע (כגון חברים בלבד ברשת חברתית). לפיכך, לעמדת הרשות גם כאשר אדם מפרסם מידע אודות עצמו ברשת חברתית – לא ניתן יהיה בדרך כלל להסיק מעצם הפרסום הסכמה מדעת לעיבוד המידע אודותיו לצורך אימון או שימוש במידע במערכות מורכבות לגביהן קיים חוסר ודאות גדול בדבר התכליות להן ישמשו וההשלכות והסיכונים הכרוכים בהן – זאת מפני שלא ניתן לייחס לנושאי המידע ידיעה כללית או ציפייה לשימוש במערכות אלו ללא הסבר.
בהקשר זה הרשות מדגישה שבעלי שליטה במאגרי מידע המאפשרים שיתוף מידע אישי ברשת האינטרנט (למשל ברשתות חברתיות, בשירותי מכירות או היכרויות) נדרשים לנקוט באמצעים נאותים כדי למנוע כריית מידע (scraping) אסורה מאתרי האינטרנט שהם מנהלים, וכי ביצועה של כרייה אסורה של מידע אישי מן המאגר, היא בבחינת ״אירוע אבטחה חמור״ – עליו חייב בעל המאגר לדווח באופן מיידי לרשות להגנת הפרטיות.
אחריותיות – בשל הפוטנציאל הרב לסיכון לפרטיות, ובמיוחד בשל הקושי המובנה לזהות מבעוד מועד את הסיכונים העתידיים העשויים לנבוע מן השימוש בטכנולוגיות בינה מלאכותית וההשלכות שיהיו להן בהיבטי פרטיות והגנת מידע אישי, הרשות מדגישה את אחריות הארגון לקיום הוראות הדין הנוגעות לשימוש במידע, ואת חובתו לנקוט בשיטות עבודה פנימיות בפיתוח ובשימוש בטכנולוגיות בינה מלאכותית שיישמו את אחריותו ויאפשרו לו להציג ולהוכיח אותה. בין היתר, הרשות ממליצה:
(א) ליישם ממשל תאגידי ליצירת מחויבות כלל ארגונית לציות לחוק ולקידום ההגנה על הפרטיות, בהובלת הדרג הבכיר של הנהלת החברה וחבר הדירקטורים שלה, לרבות חלוקת משימות ותפקידים וכינון מנגנוני פיקוח ובקרה פנימיים נאותים. הרשות מציינת בהקשר זה כי באחריות דירקטוריון שעל הארגון שלו חלה הנחיית הרשות להגנת הפרטיות בעניין תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע), לוודא שהמדיניות בדבר אופן ביצוע דרישות החוק והתקנות בחברה צריכה להתייחס גם לשימוש במידע אישי במערכות בינה מלאכותית;
(ב) למנות ממונה על הגנת הפרטיות בארגון, לצורך מתן מענה הולם לקפיצת המדרגה בסיכוני הפרטיות הנובעים מעיבוד המידע האישי בארגון בעידן הבינה המלאכותית. יש לבחון את הצורך במינוי ממונה על הגנת הפרטיות בהתאם לדרישות שנקבעו במסגרת תיקון 13 לחוק, כאשר הרשות מציינת כי קיימת סבירות גבוהה שכתוצאה מאימון של מודלים של בינה מלאכותית יעובד מידע בעל רגישות מיוחדת בהיקף ניכר, ומשכך תקום החובה למנות ממונה כאמור. הרשות מציינת בטיוטת ההנחיה כי במקרים רבים ממונה הגנת הפרטיות עשוי להיות גם הגורם המתאים והמיומן ביותר ליטול על עצמו את המשימה לתכלל גם את הטיפול בסוגיות הנובעות משימוש במערכות בינה מלאכותית בארגון, לפחות כל עוד לא מונה בארגון בעל תפקיד ייעודי;
(ג) עריכת תסקיר השפעה על הפרטיות (Data Protection Impact Assessment), או הליך מתודולוגי דומה, המנתח באופן מקיף ושיטתי את השפעת עיבוד המידע על הפרטיות של מי שהמידע על אודותיו נאסף או מוחזק, וזאת בטרם השימוש במערכות בינה מלאכותית לעיבוד מידע אישי, ובמיוחד במערכות בינה מלאכותית בסיכון גבוה, וזאת כדי לסייע בזיהוי סיכונים לפרטיות והפרות של הוראות החוק או התקנות בשלב מוקדם וצמצום חשיפות; ו-
(ד) קיום עקרון העיצוב לפרטיות (Privacy by Design).
דיוק המידע האישי וזכויות נושא המידע – הרשות מבהירה כי במערכות בינה מלאכותית הזכות לבקש תיקון מידע שגוי עשויה בנסיבות מסוימות ובהתאם להקשר להתייחס גם לתיקון האלגוריתם שהפיק מידע כאמור, ככל שאין דרך אחרת למנוע מן האלגוריתם לשוב ולהפיק מידע שגוי. כמו-כן, הרשות מדגישה כי ביחס למידע שהגיע מן האזור הכלכלי האירופי או מידע אחר הכלול באותו מאגר מידע יחד עמו – תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023 מטילות על בעל השליטה במאגר חובה להפעיל באופן יזום מנגנון שמטרתו להבטיח כי המידע שבמאגר המידע נכון, שלם, ברור ומעודכן. לאור החשיבות המיוחדת של הדיוק והאמינות של המידע המעובד ומופק במערכות בינה מלאכותית, בכוונת הרשות לשים דגש על האכיפה של סעיפים 13 ו-14 לחוק הגנת הפרטיות ושל תקנה 5 לתקנות מידע מהאזור הכלכלי האירופי ביחס למערכות בינה מלאכותית.
אבטחת מידע – לעמדת הרשות הסיכונים המיוחדים הכרוכים בשימוש במערכות בינה מלאכותית, מחייבים לנקוט זהירות יתרה ולהקפיד על דגשים מסוימים המפורטים בטיוטת ההנחיה לצורך קיום חובת אבטחת המידע הקבועה בחוק ובתקנות אבטחת המידע. זאת הן לעניין ארגונים שמערכות הליבה הפנימיות שלהם מבוססות בעצמן על בינה מלאכותית, והן לעניין ארגונים אחרים אשר עובדיהם עושים שימוש באפליקציות ובטכנולוגיות חיצוניות מבוססות בינה מלאכותית, כדוגמת ChatGPT. הרשות מדגישה כי בכוונתה לבחון, מכוח סמכותה לפי תקנות אבטחת המידע, האם ישנם טעמים המצדיקים החלה של רמת אבטחה גבוהה על מאגרי מידע מסוימים, בשל העובדה שמערכותיהם מבוססות בינה מלאכותית בסיכון גבוה.
בין היתר, הרשות מדגשיה את החשיבות שביישום אמצעי אבטחת מידע ומתן מענה מתאים לסיכונים הייחודיים למערכות בינה מלאכותית, כגון "מתקפות הסקה" (המיועדות לחלץ שרידי מידע אישי ניתן לזיהוי שנותרו באלגוריתם), התקפות אשר נועדו לעקוף בקרות מפצות המצויות במאגר מתוך שאיפה להתגבר על אלו, דליפה של מידע אישי שנכלל בשאילתה שהוזנה לשירות חיצוני, שימוש במידע לצרכים החורגים ממטרת המאגר המקורי (לרבות למטרת אימון האפליקציה) ועוד. הרשות מדגישה שיש לתת דגש מיוחד גם לעקרון צמצום המידע, המחייבת כל בעל מאגר מידע אישי לבחון אחת לשנה אם הוא מחזיק במאגר מידע עודף, שאינו דרוש עוד למטרות המאגר, וכן את הצורך בקביעת מדיניות ארגונית ייעודית שתיתן מענה לסיכוני האבטחה הכרוכים בשימוש בכלי בינה מלאכותית חיצוניים. על פי הרשות, על מדיניות ייעודית ונהלי אבטחת מידע להסתייעות במערכות חיצוניות של בינה מלאכותית יוצרת להתייחס בין השאר לסוגיות הבאות: (א) בחינת הסיכונים; (ב) קביעה מי ממורשי הגישה בארגון רשאי להסתייע בשירות חיצוני כאמור ומיהו הדרג המאשר; מהי מטרת השימוש; ואילו סוגי מידע אישי ניתן לחשוף בעת ההסתייעות בשירות; (ג) בחינת סיכוני האבטחה הכרוכים בהתקשרות עם האפליקציה החיצונית ואופן קיום שאר הוראות תקנה 15 לתקנות אבטחת מידע ביחס לשימוש הארגוני באפליקציה; (ד) הגדרת אפליקציות חיצוניות המותרות לשימוש בידי עובדי הארגון, או אסורות עליהם; (ה) קביעת כללים בדבר חובת הארגון והעובדים לעשות שימוש באפליקציה באופן שיצמצם ככל הניתן את סיכוני האבטחה והפרטיות, לרבות סירוב לשימוש במידע הכלול בשאילתה לאימון האלגוריתם או למטרות אחרות החורגות מתכלית השאילתה, וצמצום למינימום של משך שמירת השאילתה באפליקציה; ו-(ו) הדרכת העובדים בעניין סיכוני האבטחה המיוחדים לשימוש במערכות בינה מלאכותית יוצרת.
חובת רישום מאגרי מידע מבוססי טכנולוגיות בינה מלאכותית וחובת הודעה על ניהולם – חוק הגנת הפרטיות קובע שורה של נסיבות בהן חלה על בעל השליטה במאגר מידע חובה לרשום את המאגר בפנקס בטרם תחילת פעילותו, וכן לאחר כניסת תיקון 13 לתוקף חובת הודעה לרשות. הרשות מדגישה שבמסגרת תהליך הרישום רשאית הרשות לבדוק, בין היתר, אם עצם איסוף המידע או צבירתו במערכת הבינה המלאכותית, מפרים הוראות דין או פוגעים בפרטיות נושאי המידע באופן בלתי חוקי ובמקרים מסוימים לסרב לרשום מאגר. כמו כן הרשות מדגישה כי יש לציין בבקשת הרישום מהי המטרה הברורה והמדויקת של המערכת, ולוודא כי המטרה וסוגי המידע המפורטים בבקשה מתאימים לשלב הרלבנטי – אימון או יישום. בשינויים המחויבים, יפים הדברים גם לתיאור מטרות השימוש במסגרת מסמך הגדרות המאגר.
על אף שאנו מברכים על כל הנחייה המקדמת רגולציה ברורה בתחום הבינה המלאכותית, חשוב לוודא שההנחיה בנוסחה הסופי תהיה מאוזנת, פרקטית ותאפשר התפתחות טכנולוגית תוך שמירה על זכויות הפרט. רשות הגנת הפרטיות מזמינה את הציבור להגיש הערות לטיוטת ההנחיה, ולאחר מכן צפויה לפרסם את הגרסה הסופית שתשמש להכוונת האכיפה בתחום זה. ניתן להגיש התייחסות והערות למסמך עד לתאריך 6.7.25. ככל שיש לכם הערות או רצון לסיוע בהגשתן, נשמח לעמוד לרשותכם.
