דעה
רגולציית AI עוד לא כאן – אבל האחריות המשפטית כבר על שולחן ההנהלה
למרות היעדר חקיקה ייעודית בישראל, ההליכים המשפטיים והרגולטוריים בארץ ובעולם מבהירים: ארגונים שמטמיעים מערכות AI חייבים לנהל את הסיכונים המשפטיים ולוודא את תקינות השימוש בהן – אחרת יישאו באחריות
בימים האחרונים פורסמה בארה"ב הצעת חוק ראשונית מטעם הרפובליקנים בקונגרס, שנועדה לאסור על דברי חקיקה מדינתית בארה"ב היוצרים מגבלות על השימוש במערכות בינה מלאכותית (AI). התפתחות זו מהווה תגובת נגד למגמה שהחלה להתפתח במדינות מסוימות בארה"ב לקדם חקיקה בתחום.
בישראל, בדומה לבריטניה ולארה"ב, נבחרה הגישה שלא לחוקק בעת הנוכחית חוק AI ייעודי מקיף - כפי שחוקק באיחוד האירופי לפני כשנה. יחד עם זאת, גישה זו אין משמעה כי השימוש במערכות AI נטול סיכונים משפטיים.
התפתחויות רגולטוריות והליכים משפטיים בארץ ובעולם ממחישים את השאלות המעשיות העולות בחדרי דירקטוריונים ונושאי משרה, אצל יועצים משפטיים, וברשויות אכיפה בארץ ובעולם, ואת החשיבות הרבה בהעלאת מודעות בקרב נושאי משרה, ושל ניהול סיכונים מושכל בקשר למערכות בינה מלאכותית.
ככל שמערכות AI חודרות אל לב הפעילות הארגונית, כך גוברת גם החשיפה המשפטית, בפרט כשהמערכת טועה, פוגעת בזכויות, או פועלת ללא בקרה מספקת. גם בהיעדר חקיקה ייעודית ל-AI, הליכים משפטיים ורגולטוריים בקשר לפרשנות הדין הקיים, מסמנים את הדרך, ויתוו את "כללי המשחק" לתחום ה-AI.
מקרה שאירע לאחרונה בארה"ב ממחיש את החשיפה הפוטנציאלית של חברות המספקות מערכות AI: בחודש האחרון פרסמה ה–(FTC (Federal Trade Commission האמונה על הגנת הצרכן בארה"ב, תלונה מנהלית כנגד חברה שסיפקה מערכת AI לזיהוי תכנים שהם תוצרי מערכות בינה מלאכותית. נטען כי החברה קידמה את המערכת בפרסומיה כבעלת דיוק גבוה של 98%, באופן מטעה או בלתי מבוסס, בעוד שלפי בדיקות עצמאיות שנערכו, מידת הדיוק של המערכת היתה בפועל רק 53%. כעת, נדרשת החברה לספק הוכחות מדעיות ומהימנות למידת הדיוק הנטענת על ידה, או לשאת באחריות על פי צו מוצע להסדר של ה-FTC, לפיו ייאסר עליה לפרסם מצגים לגבי מידת הדיוק של המערכת, היא תחויב לשמור ראיות למידת היעילות של המערכת, לפרסם הודעה ללקוחותיה על ההליך ועל ההסדר, ולהעביר דוחות ציות ל-FTC אחת לשנה.
בארה"ב ישנם מספר הליכים משפטיים תלויים ועומדים בטענות להפרת חקיקת הגנת הפרטיות בקליפורניה, כנגד ענקיות טכנולוגיה וחברות טכנולוגיה, שסיפקו לארגונים כלי AI המיועדים לשיח עם לקוחות, לצרכים שונים (לדוגמא: במקרה אחד, לצורך התקשורת ולייעול זמני הטיפול, ובמקרה אחר לצורך זיהוי קול ואימות ביומטרי, למניעת הונאות). בנוסף, נטען לשימוש של ספקית מערכת ה-AI בהקלטות לאימון ולשיפור המודלים שלה.
הליכים אלה מחדדים, כי לצד היתרונות הרבים במערכות AI לשירות לקוחות, על השימוש במערכות AI לקיים את דיני הגנת הפרטיות, ובכלל זאת, את החשיבות בהסדרת השימוש ואבטחת המידע בין הארגון המשתמש בכלי ה-AI לבין ספקית המערכת, לצד גילוי ושקיפות למול לקוחות במקרים המתאימים.
בהקשר זה, נכנס לתמונה החודש גם הרגולטור הישראלי. הרשות להגנת הפרטיות פרסמה טיוטת הנחיה בקשר לתחולת הוראות חוק הגנת הפרטיות על מערכות AI, אשר עוסקת בין היתר באופן יישומן של חובת היידוע והסכמה מדעת בקשר למערכות AI, בהיבטים הנוגעים לאבטחת מידע, בסוגיות של כריית מידע (data scraping) ועוד. טיוטת ההנחיה פתוחה בימים אלה להערות הציבור.
אף שנראה כי טיוטת ההנחיה בנוסחה הנוכחי הולכת רחוק מדי בהיבטים מסוימים, ויש מקום למצות את הליך הערות הציבור, היא עשויה לשמש גם קטליזטור להעלאת מודעות הציבור והמשק לסיכוני הפרטיות בשימושי AI.
החשיפה המשפטית אינה מוגבלת רק לספקי מערכות ה-AI. גם הארגונים המטמיעים אותן לשימושם עלולים להיות נתונים לחשיפות משפטיות פוטנציאליות.
כך למשל, בארה"ב מתנהל בימים אלו הליך משפטי כנגד ענקית ביטוחי בריאות, בטענה לשימוש בכלי AI שהובילו לדחיית תביעות ביטוח בריאות לטיפולים רפואיים וסיעודיים. התובעים טענו, כי במקום לקבל החלטות בהסתמך על שיקול דעת של אנשי מקצוע רפואיים מוסמכים, כפי שהחברה התחייבה, ענקית הביטוח העבירה את קבלת ההחלטות לכלי AI ללא גילוי נאות, והדבר הוביל לדחייה שיטתית של תביעות בריאות ולהרעת מצבם בריאותי של מבוטחים. בפברואר האחרון, אישר שופט ביהמ"ש במינסוטה את ניהול התביעה הייצוגית, בהתייחס לעילות של הפרת חוזה והפרת חובת תום הלב.
ההתפתחויות הרגולטוריות והליכי האכיפה, גם ללא חקיקת AI ייעודית, מלמדים דבר אחד ברור: מערכות AI מעוררות סיכונים חדשים, לפתחם של נושאי המשרה. התנהלות סבירה ולא רשלנית מצד הארגון, כמו גם יישום "כלל שיקול הדעת העסקי" המוכר מדיני התאגידים, מחדדים את החשיבות בהיוועצות במומחים, בתהליכים מתועדים ובניהול סיכונים מקדים שצריך לכלול בין היתר, התייחסות לתיעוד הטכנולוגי, לדיוק המערכת ולתנאי השימוש במערכת.
אז על מי תוטל האחריות המשפטית למערכת ה - AI? על ספק המערכת או על הארגון העושה בה שימוש? ככלל, האחריות תיקבע לפי הדין החל בהקשר הספציפי. כמו כן ברמה הפרקטית, עולה כאן חשיבות ההסדרה בהסכם בין הצדדים. כאשר מדובר במידע אישי, ולספק המערכת גישה למידע, הארגון העושה בה שימוש מחויב רגולטורית להסדרה מול הספק. אולם להסכם בין הצדדים גם תועלות לניהול סיכונים משפטיים נוספים, לדוגמא בקשר לדיוק המערכות, לקבלת החלטות על ידי מערכות AI וליכולת להסביר אותן.
עו"ד ורד זליכה היא שותפה וראשת תחום סייבר ובינה מלאכותית במשרד ליפא מאיר; מכהנת כחברה בפורום המומחים המייעץ לממשלה בנושאי מדיניות ורגולציה לתחום הבינה המלאכותית
