טיוטת הנחיית הרשות להגנת הפרטיות בנושא תחולת חוק הגנת הפרטיות על מערכות בינה מלאכותית
4 מאי 2025
ביום 28 באפריל, 2025 פרסמה הרשות להגנת הפרטיות ("הרשות") טיוטת הנחייה להערות הציבור בנושא תחולת הוראות חוק הגנת הפרטיות, התשמ"א–1981 ("חוק הגנת הפרטיות"), על מערכות בינה מלאכותית ("טיוטת ההנחיה").
מטרת טיוטת ההנחיה היא להציג את עמדת הרשות בנוגע להיבטים רגולטוריים הקשורים לאיסוף, שימוש ועיבוד מידע אישי באמצעות טכנולוגיות בינה מלאכותית, בין היתר לצורך הפעלה של סמכויות הפיקוח, הבירור המינהלי והאכיפה של הרשות, שהורחבו במסגרת תיקון מס' 13 לחוק הגנת הפרטיות, שייכנס לתוקפו באוגוסט, 2025.
להלן יובאו עיקרי טיוטת ההנחיה:
-
תחולת חוק הגנת הפרטיות על מערכות בינה מלאכותית
- הוראות חוק הגנת הפרטיות חלות על מערכות בינה מלאכותית המאחסנות או מעבדות בפועל מידע אישי, הן בשלב הלמידה והן בשלב היישום, כאשר מידע אישי המופק באמצעות מערכות אלה (כלומר, מידע שלא היה כלול בעותק המידע הגולמי) נחשב אף הוא למידע אישי הכפוף לחוק הגנת הפרטיות.
- עיבוד מידע אישי במערכות בינה מלאכותית, לרבות לצורך אימון המערכת, מחייב בסיס חוקי מתאים, בפרט נוכח הסיכון הגבוה לפרטיות וחוסר הוודאות לגבי השימוש העתידי במידע.
-
חובת יידוע והסכמה
- עיבוד מידע אישי באמצעות מערכות בינה מלאכותית מחייב קבלת הסכמה מדעת, כאשר המשמעות היא שנושא המידע קיבל מידע סביר הדרוש לו כדי להחליט אם למסור את המידע ולצורך מה.
- מעבר לחובת היידוע הקיימת לפי סעיף 11 לחוק הגנת הפרטיות, בטרם איסוף מידע אישי למערכות בינה מלאכותית יש ליידע את נושא המידע גם באשר לאופן פעולת המערכת, סוגי המידע בהם נעשה שימוש, מקורות המידע, והסיכונים האפשריים הנלווים לכל אחת ממטרות השימוש, לרבות אימון האלגוריתם. כמו כן, יש ליידע את נושא המידע אם האינטראקציה מתבצעת מול מערכת אוטומטית (כגון בוט) ולא מול אדם. ככל שמטרות השימוש מורכבות יותר או חורגות מהציפייה הסבירה של נושא המידע או מהמטרה העיקרית לשמה התקשר עם בעל השליטה במאגר, יש לספק יידוע מפורט יותר, ולעיתים אף לקבל הסכמה מפורשת במנגנון Opt-in.
- כריית מידע אישי מרשת האינטרנט (scraping) לצורך אימון או שימוש במערכות בינה מלאכותית דורשת גם היא הסכמה מדעת. עצם פרסום מידע אישי באתרי אינטרנט אינו מהווה היתר לכרייה או לשימוש במידע למטרות נוספות. ככלל אין להסיק מפרסום מידע ברשת האינטרנט הסכמה מדעת של אדם לעיבוד המידע האישי אודותיו לצורך אימון או שימוש במערכות מורכבות או כאלה היוצרות סיכון גבוה לפרטיות, והכל בכפוף לאמור בתנאי השימוש של האתר ובמגבלות שקבע נושא המידע על שיתוף במידע. כך למשל, אין להשתמש בתמונות שפורסמו ברשתות חברתיות לאימון אלגוריתמים לזיהוי פנים.
-
אחריותיות (Accountability)
- הרשות מדגישה את עקרון האחריותיות ככלי להבטחת שמירה על פרטיות בשימוש במערכות בינה מלאכותית. במסגרת כך, הרשות מדגישה את חשיבות מינוי ממונה על הגנת הפרטיות. תיקון מס' 13 לחוק הגנת הפרטיות קובע חובה למנות ממונה על הגנת הפרטיות במקרים מסוימים, לרבות בגוף שהוא בעל שליטה או מחזיק במאגר מידע שעיסוקו העיקרי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף ניכר – תנאי שלפי עמדת הרשות עשוי להתקיים כשמדובר באימון מודלי בינה מלאכותית.
- בנוסף, לפי עמדת הרשות, עריכת תסקיר השפעה על פרטיות בטרם שימוש במערכות בינה מלאכותית היא הדרך המיטבית לארגונים לוודא כי השימוש במערכות אלו עומד בדרישות דיני הגנת הפרטיות.
- כמו כן, הרשות מדגישה את החשיבות של ממשל תאגידי אפקטיבי ויצירת מחויבות כלל ארגונית, בהובלת ההנהלה הבכירה, לקידום ההגנה על פרטיות, במיוחד נוכח הסיכון הרב לפרטיות הגלום בשימוש במידע אישי במערכות בינה מלאכותית.
-
דיוק המידע האישי וזכויות נושאי המידע
- הרשות מבהירה כי במקרים מסוימים, כאשר האלגוריתם מפיק מידע שגוי על נושא המידע, עשויה הזכות לתיקון הקבועה בחוק הגנת הפרטיות לכלול גם את הדרישה לתיקון האלגוריתם עצמו, ככל שאין דרך אחרת למנוע ממנו להפיק שוב את אותו מידע שגוי. בכוונת הרשות לשים דגש על אכיפת זכויות העיון והתיקון ביחס למערכות בינה מלאכותית.
- כאשר המאגר כולל מידע שהועבר מהאזור הכלכלי האירופי, חלה חובה מכוח תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), תשפ"ג-2023, להפעיל מנגנון המבטיח באופן יזום כי המידע נכון, שלם, ברור ומעודכן. הרשות מדגישה כי משמעות חובה זו בהקשר של מערכות בינה מלאכותית, היא יישום מנגנונים למניעת מצבים בהם המערכת "לומדת לא נכון" או פועלת על בסיס מידע שגוי, למשל באמצעות הקפדה על איכות המידע המשמש לאימון המערכת, שמירה על רלוונטיות המידע, ביצוע בקרות איכות ועוד. הרשות מבהירה כי בכוונתה לשים דגש גם על אכיפת חובה זו.
-
אבטחת מידע
- השימוש במערכת בינה מלאכותית יוצר סיכוני אבטחת מידע ייחודיים המחייבים הקפדה יתרה על דרישות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("תקנות אבטחת מידע"). מאגרי מידע שמערכותיהם מבוססות על בינה מלאכותית יהיו לרוב כפופים לרמת האבטחה הבינונית או הגבוהה, בשל סוג והיקף המידע המוחזק בהם, בהתאם לתקנות אבטחת מידע. הרשות שוקלת להחיל את רמת האבטחה הגבוהה על מאגרי מידע שמערכותיהם מבוססות בינה מלאכותית.
- אחד הסיכונים המרכזיים למערכות בינה מלאכותית הוא מתקפת הסקה, קרי, ניסיון לחלץ או לשחזר שרידי מידע אישי מתוך האלגוריתם, או להסיק ולהפיק מחדש מידע אישי אשר שימש לאימון המודל. לעמדת הרשות, יש להתייחס לסיכון זה באופן מפורש במסגרת מילוי מספר חובות הקבועות בתקנות אבטחת מידע כמו תיאור הסיכונים במסמך הגדרות המאגר, בסקרי הסיכונים, במבדקי החדירות, בניטור שוטף ובדיווח על אירועי אבטחה חמורים. להפחתת הסיכון למתקפות הסקה, יש להקפיד על עקרון צמצום המידע.
- הרשות מתייחסת גם לשימוש הנרחב באפליקציות חיצוניות מבוססות בינה מלאכותית (כגוןChatGPT, Copilot), המדגיש את הצורך בהיערכות הולמת של בעלי השליטה במאגרים וקביעת מדיניות ארגונית ייעודית לשימוש כאמור.
-
כריית מידע
- בעלי שליטה במאגרי מידע המאפשרים שיתוף מידע אישי ברשת האינטרנט, כגון רשתות חברתיות ושירותי מכירות או היכרויות, נדרשים לנקוט באמצעים נאותים למניעת כריית מידע אסורה מאתרי האינטרנט שהם מנהלים. כרייה אסורה של מידע אישי מהמאגר תיחשב אירוע אבטחה חמור המחייב דיווח מידי לרשות.
-
חובת רישום מאגרי מידע מבוססי טכנולוגיות בינה מלאכותית
- נזכיר כי עם כניסתו לתוקף של תיקון מס' 13 תצומצם משמעותית חובת רישום מאגרי המידע (החלה כיום על מרבית הגופים בישראל), כך שתחול בשוק הפרטי רק על מאגרים שמטרתם העיקרית היא איסוף מידע אישי לצורך מסירתו לאחר ומכילים מידע על 10,000 אנשים או יותר.
- בהקשר של מערכות בינה מלאכותית, הרשות מבהירה כי יש להקפיד על ניסוח מדויק של מטרת המאגר בבקשת הרישום, תוך הבחנה בין שלב האימון לשלב היישום. דרישה זו חלה גם על תיאור מטרות השימוש במידע במסגרת מסמך הגדרות המאגר, בהתאם לתקנות אבטחת מידע. במסגרת הליך הרישום, הרשות תהא רשאית לבחון האם איסוף או עיבוד המידע נעשים בניגוד לדין או ללא בסיס חוקי, ובמקרים חמורים אף לסרב לרשום את המאגר או לבטל את רישומו.
ניתן להעביר הערות לטיוטת ההנחיה עד ליום 05.06.2025 בשעה 12:00.
לנוסח המלא של טיוטת גילוי הדעת – לחצו כאן.
נשמח לעמוד לרשותכם בכל שאלה או הבהרה בנושא.
בברכה,
צוות רגולציה – המחלקה המסחרית
הרצוג פוקס נאמן