המצב הרגולטורי הנוכחי של בינה מלאכותית בישראל
נכון למועד כתיבת מאמר זה, אין בישראל חקיקה ייעודית מקיפה הדנה ברגולציית בינה מלאכותית. הרגולציה הקיימת מתבססת על חוקים כלליים החלים על שימוש בטכנולוגיה ועל עיבוד נתונים. עיקרי החוקים הרלוונטיים כוללים את חוק הגנת הפרטיות, התשמ"א-1981 (כפי שתוקן בתיקון 13), חוק הגנת הצרכן, התשמ"א-1981, וחוק איסור לשון הרע, התשכ"ה-1965.
המצב הנוכחי יוצר אתגרים משמעותיים לחברות הפועלות בתחום ה-AI. בהיעדר הגדרות ברורות ותקינה ייעודית, חברות נאלצות לנווט בין חובות משפטיות שלא עוצבו במיוחד לטכנולוגיות AI. זה נכון במיוחד לגבי אלגוריתמי למידה עמוקה, עיבוד שפה טבעית ומערכות המקבלות החלטות אוטונומיות.
הרשות להגנת הפרטיות פרסמה הנחיות מקדמיות בנושא AI, אך הנחיות אלה אינן מחייבות מבחינה משפטית. בנוסף, רוב הפיקוח מתבצע באמצעות פרסום מדריכים ודוחות, ללא סמכויות אכיפה מוגדרות במפורש לתחום ה-AI.
השלכות חוק הגנת הפרטיות על פיתוח ותפעול מערכות בינה מלאכותית
תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף ב-2025, מטיל מגבלות חדשות על עיבוד נתונים אישיים שרלוונטיות במיוחד למערכות AI. המגבלות כוללות חובת קבלת הסכמה מדעת לעיבוד נתונים רגישים, הגבלה על עיבוד לצרכים שאינם העניין המקורי, וחובת דיווח על הפרות אבטחה.
עבור מערכות AI, החובה הבעייתית ביותר נוגעת לשקיפות האלגוריתם. החוק דורש מחברות לספק למשתמשים מידע על "אופן העיבוד והשימוש בנתונים האישיים". עבור מערכות למידת מכונה מורכבות, קושי טכני אמיתי להסביר באופן פשוט איך האלגוריתם עובד.
- חובת איסוף הסכמות נפרדות לכל סוג של עיבוד AI
- הצורך להסביר בשפה בהירה איך מערכת ה-AI משתמשת בנתונים
- חובת מינוי קצין הגנת הפרטיות עבור חברות המעבדות כמויות גדולות של נתונים
- זכות נושאי המידע לקבל העתק של נתוניהם (data portability)
הקושי המעשי הוא שמערכות AI לרוב "לומדות" מהנתונים ויוצרות מודלים סטטיסטיים מורכבים. קשה מאוד להסביר בשפה פשוטה מה קורה "בתוך הקופסה השחורה" של אלגוריתם עמוק. במקרים מסוימים, אפילו המפתחים עצמם לא יכולים להסביר בדיוק איך האלגוריתם הגיע להחלטה מסוימת.
חובות הגילוי והשקיפות למערכות קבלת החלטות אלגוריתמיות
אחד האתגרים המורכבים ביותר ברגולציית AI נוגע לדרישות שקיפות. גם ללא חקיקה ייעודית, בתי המשפט בישראל התחילו להכיר בזכות הציבור לדעת איך מתקבלות החלטות המשפיעות עליו, במיוחד כשמדובר במערכות ממוחשבות.
הרשות להגנת הפרטיות פרסמה הנחיות המחייבות חברות לגלות עבור "פרופיילינג אוטומטי" - כלומר, מערכות שיוצרות פרופיל של אדם או מקבלות עליו החלטות באופן אוטומטי. דרישות הגילוי כוללות:
- הודעה על קיום מערכת אוטומטית - החברה חייבת להודיע לנושא המידע שהחלטות מתקבלות עליו באמצעות מערכת אוטומטית
- הסבר על ההיגיון מאחורי ההחלטה - תיאור כללי של הגורמים העיקריים המשפיעים על ההחלטה
- זכות להתנגדות - אפשרות לנושא המידע לבקש שההחלטה תתקבל על ידי אדם ולא מכונה
בפועל, חובות אלה יוצרות מתח בין הצורך בשקיפות ובין הגנה על קניין רוחני. חברות רבות טוענות שחשיפה מפורטת של האלגוריתם תפגע בערך המסחרי של הטכנולוגיה ותאפשר לתחרות להעתיק את הפתרון.
אתגרים מעשיים ביישום דרישות השקיפות
המציאות הטכנית מורכבת מהמסגרת החוקית. ברבים ממקרים של deep learning, האלגוריתם בעצמו "גילה" קורלציות בנתונים שמפתחיו לא יכולים להסביר. איך אפשר להסביר החלטה כשאפילו המומחים לא בטוחים איך בדיוק האלגוריתם עובד?
פתרונות מעשיים שחברות מיישמות כוללים הסברים "על דרך הקירוב" (כגון "ההחלטה התבססה בעיקר על היסטוריה פיננסית והתנהגות קנייה"), או פיתוח מודלים פשוטים יותר שניתנים להסבר גם אם הם פחות מדויקים.
הצעות החוק החדשות: מדיניות AI וביטחון אלגוריתמי
בכנסת מונחות מספר הצעות חוק המיועדות ליצור מסגרת רגולטורית מקיפה לבינה מלאכותית. ההצעה המתקדמת ביותר היא הצעת חוק "רגולציית בינה מלאכותית ואלגוריתמים, התשפ"ה-2025", המבוססת במידה רבה על המודל האירופי (EU AI Act).
עיקרי ההצעה כוללים סיווג של מערכות AI לפי רמת הסיכון:
- סיכון מינימלי - צ'אטבוטים, מערכות המלצה פשוטות, משחקים. ללא חובות מיוחדות מעבר לשקיפות בסיסית
- סיכון מוגבל - deepfakes, מערכות זיהוי רגשות, בוטים השואפים להתחזות לבני אדם. חובת גילוי ברורה
- סיכון גבוה - מערכות ניקוד אשראי, גיוס עובדים, אבחון רפואי, מערכות ביטחון. דרישות קפדניות לבדיקה, תיעוד וביקורת
- סיכון בלתי מקובל - איסור מלא על מערכות מסוימות כמו ניקוד אמון חברתי או מניפולציה פסיכולוגית
החידוש המשמעותי בהצעה הישראלית הוא הדגש על "ביטחון אלגוריתמי". ההצעה דורשת מחברות המפתחות מערכות AI בסיכון גבוה לעבור הערכת סיכונים ביטחוניים ולקבל אישור מהמועצה הלאומית לביטחון סייבר.
לוחות הזמנים הצפויים
על פי הערכות, החוק עשוי לעבור קריאה ראשונה בכנסת במהלך המושב הנוכחי. אם החוק יאושר, צפויה תקופת הסתגלות של 18-24 חודשים עבור חברות קיימות, ויישום מיידי עבור מערכות חדשות.
חשוב לציין שבמקביל מקודמות הצעות חוק נוספות, כולל שינויים לחוק הגנת הפרטיות הנוגעים ספציפית ל-AI ותוספות לחוק הגנת הצרכן בהקשר של שירותים דיגיטליים אוטומטיים.
רגולציות ענפיות: פיננסים, בריאות וחינוך
מעבר לרגולציה הכללית, מספר רגולטורים ענפיים בישראל פרסמו הנחיות ודרישות ספציפיות לשימוש בבינה מלאכותית. הגישה הענפית מאפשרת התאמה טובה יותר לסיכונים הייחודיים של כל תחום, אך יוצרת גם סבכות רגולטורית מורכבת.
הפיקוח על הבנקאות וחברות הביטוח
בנק ישראל פרסם הנחיות מפורטות לשימוש באלגוריתמים למטרות אשראי ובדיקת סיכונים. העקרונות המנחים כוללים איסור על אפליה בהעמדת אשראי על בסיס מוגן (כגון מין, דת או מוצא אתני), חובת תיעוד מפורט של ההחלטות האלגוריתמיות, ואפשרות ערעור עבור לקוחות.
הוועדה לשוק ההון, ביטוח וחיסכון הוסיפה דרישות לחברות הביטוח לגבי שימוש באלגוריתמים לתימחור וחיתום פוליסות. החידוש העיקרי הוא החובה לבצע "ביקורת אלגוריתמית" שנתית על ידי גורם חיצוני מוסמך.
רגולציית AI במערכת הבריאות
משרד הבריאות פרסם מדיניות זהירה במיוחד לגבי שימוש ב-AI לצרכי אבחון וטיפול. המדיניות מבחינה בין "כלי עזר לרופא" (שדורשים רישום כתחליף לציוד רפואי) ובין "כלי אבחון עצמאי" (שדורשים הליך רישום ארוך וקפדני הדומה לרישום תרופות חדשות).
הדרישות כוללות:
- הוכחת יעילות קלינית באמצעות ניסויים מבוקרים
- אישור מועצות האתיקה של בתי החולים
- חובת דיווח על כל מקרה של "החלטה שגויה" של המערכת
- שמירת זכות הווטו הסופית של הרופא המטפל
AI בחינוך: הנחיות משרד החינוך
משרד החינוך התמודד עם אתגר השימוש הגובר בכלי AI על ידי תלמידים ומורים. המדיניות הנוכחית מתמקדת בהסדרת השימוש החינוכי תוך שמירה על פרטיות התלמידים וקידום כישורי חשיבה ביקורתית.
עיקרי ההנחיות כוללים איסור על מערכות המעבדות נתונים של קטינים ללא הסכמת הורים מפורשת, חובת גילוי כשנעשה שימוש בכלי AI בהכנת חומרי לימוד, והגדרת מדיניות שקופה לגבי שימוש ב-AI במבחנים ובמטלות.
השפעת GDPR, EU AI Act והרגולציה האמריקנית על חברות ישראליות
חברות ישראליות הפועלות בשווקים הבינלאומיים מתמודדות עם אתגר הציות לרגולציות זרות, במקביל להתאמה לדרישות הישראליות. המורכבות הולכת וגוברת ככל שיותר מדינות מפתחות מסגרות רגולטוריות ייחודיות לבינה מלאכותית.
EU AI Act והשלכותיו על השוק הישראלי
חוק הבינה המלאכותית האירופי, שנכנס לתוקף בהדרגה החל מ-2024, חל על כל מערכת AI המשמשת בתוך האיחוד האירופי - ללא קשר למקום הפיתוח. עבור חברות ישראליות המייצאות פתרונות AI לאירופה, זה אומר ציות מלא לדרישות האירופיות.
הדרישות הכבדות ביותר נוגעות למערכות "סיכון גבוה" שכוללות:
- מערכות ביומטריות לזיהוי או סיווג אנשים
- מערכות לניהול תשתיות קריטיות (כגון מים, חשמל, תחבורה)
- מערכות לחינוך או הכשרה מקצועית שמשפיעות על הגישה לחינוך
- מערכות לגיוס עובדים, ניהול ובקרה של עובדים
- מערכות להערכת כשירות לשירותים חיוניים (אשראי, ביטוח, סעד ציבורי)
עבור מערכות אלה, הדרישות כוללות הערכת סיכונים מקיפה, מערכת ניהול איכות, תיעוד מפורט של נתוני האימון, שקיפות ומידע לזמשתמש, פיקוח אנושי, וביצועים מדויקים וחזקים.
הרגולציה האמריקנית: Executive Order והמדיניות הפדרלית
ארצות הברית נוקטת גישה שונה מאירופה, עם דגש על וולונטריות של התעשייה ושיתוף פעולה עם הרגולטורים. הוראת הביצוע של הנשיא ביידן בנושא AI מתמקדת בהתמודדות עם סיכונים ביטחוניים ופגיעה בזכויות האדם.
עבור חברות ישראליות העובדות עם הממשל האמריקני או עם חברות אמריקניות גדולות, הדרישות כוללות:
- דיווח למערכות AI גדולות מעל סף מסוים של עוצמה חישובית
- בדיקות בטיחות לפני שחרור מודלים חדשים
- שיתוף תוצאות בדיקות הבטיחות עם הממשל
- מדידה ודיווח על סיכוני שימוש כפול (dual-use) - כלומר, אפשרות לשימוש גם למטרות ביטחוניות
אסטרטגיית ציות בינלאומי
חברות ישראליות מפתחות אסטרטגיות ציות שמתבססות על העקרון הקפדני ביותר ("highest common denominator"). במקום לפתח מערכות שונות לכל שוק, חברות רבות בוחרות לעמוד בתקן הקפדני ביותר מבין כל השווקים שבהם הן פועלות.
גישה זו מפשטת את הפיתוח והתפעול, אך מייקרת את העלויות ומטילה מגבלות על חדשנות. החלופה היא פיתוח מודולרי שמאפשר התאמה לכל שוק לפי הדרישות המקומיות, אך דורשת מערכת ניהול מוצר מורכבת יותר.
המלצות מעשיות: איך להתכונן לרגולציית AI בישראל
בהיעדר ודאות רגולטורית מלאה, חברות טכנולוגיה צריכות לנקוט גישה יזומה ולהתכונן לתרחישים שונים של רגולציה עתידית. הגישה המומלצת היא בניית תשתית ציות גמישה שתוכל להתאים עצמה לדרישות משתנות.
בניית מסגרת ממשל AI פנימית
השלב הראשון הוא הקמת מסגרת ממשל פנימית למערכות AI. זה כולל:
- מיפוי כל מערכות ה-AI בארגון - רישום מפורט של כל אלגוריתם, מודל או מערכת אוטומטית, כולל מטרת השימוש, סוגי הנתונים המעובדים ורמת האוטונומיה
- סיווג לפי רמות סיכון - חלוקה של המערכות לקטגוריות סיכון בהתאם להשפעה הצפויה על משתמשים ועל העסק
- הגדרת תהליכי אישור - קביעת מי צריך לאשר פיתוח, בדיקה והטמעה של מערכות AI חדשות
- תיעוד שוטף - יצירת רישום של ההחלטות, השיקולים והבדיקות שנעשו בכל שלב בפיתוח
הטמעת עקרונות שקיפות ואתיקה
גם בהיעדר חובה חוקית מפורשת, מומלץ לפתח מדיניות פנימית לשקיפות ואתיקה ב-AI:
- מדיניות הוגנת ואי-הטיה (bias) - בדיקות שוטפות לזיהוי הטיות באלגוריתמים, במיוחד כלפי קבוצות מוגנות
- הסברים למשתמשים - פיתוח יכולת להסביר החלטות אלגוריתמיות בשפה פשוטה, גם אם לא נדרש כיום בחוק
- פיקוח אנושי - הבטחה שיש תמיד אדם האחראי על ההחלטות הסופיות, במיוחד בנושאים רגישים
- זכות ערעור - מתן אפשרות למשתמשים לערער על החלטות אוטומטיות ולקבל סקירה אנושית
הכנה לדרישות תיעוד ודיווח
הרגולציה הצפויה תדרוש רמת תיעוד גבוהה בהרבה מהמקובל כיום ברוב החברות. מומלץ להתחיל לתעד כבר עכשיו:
- מקורות הנתונים לאימון המודלים ושיטות הניקוי והעיבוד
- החלטות ארכיטקטוניות במערכות ה-AI והנימוקים מאחוריהן
- בדיקות איכות, דיוק והוגנת שבוצעו במערכות
- אירועים של תקלות או התנהגות לא צפויה של המערכות
- שינויים ועדכונים למודלים הקיימים
הכנת צוות משפטי וטכני משולב
הציות לרגולציית AI יחייב שיתוף פעולה הדוק בין הצוות הטכני והמשפטי. מומלץ:
- הכשרת הצוות המשפטי בנושאי AI טכניים בסיסיים
- הכשרת מפתחים ומהנדסי נתונים בנושאי פרטיות ורגולציה
- הקמת צוות מעורב שיוכל להעריך השלכות משפטיות של החלטות טכניות
- פיתוח תהליכי בדיקה משפטית לפני השקת מוצרים חדשים
המפתח להצלחה הוא להתחיל בהכנות עכשיו, כשהרגולציה עדיין בשלבי היווצרות, ולא לחכות עד שהחוק יתקבל ויכנס לתוקף. חברות שיתכוננו מראש יהיו במקום הרבה יותר טוב כשהדרישות החדשות ייכנסו לתוקף, וגם יוכלו להשפיע על עיצוב הרגולציה בשלבי ההתייעצות הציבורית.
האמור במאמר זה מהווה מידע כללי בלבד ואינו מהווה ייעוץ משפטי. לקבלת ייעוץ מותאם לנסיבות הספציפיות של חברתכם, אנו מזמינים אתכם ליצור קשר עם משרדנו.
