כיצד משתלבת טכנולוגיית הבינה המלאכותית עם רגולציית הפרטיות?

אחת הטכנולוגיות המעניינות שהולכות וצוברות תאוצה בשנים האחרונות הינה טכנולוגיית הבינה המלאכותית (AI). בינה מלאכותית עוסקת ביכולתם של מחשבים לפעול באופן המציג יכולות שאפיינו עד כה את הבינה האנושית בלבד. בתעשיית ההיי-טק, הענף מבוסס על תתי־תחומים של למידת מכונה ולמידה עמוקה. אחד החששות שהתחום מעורר הינה היכולת שלו לשמור על חובות הפרטיות שרגולציות, כדוגמת ה-GDPR, מספקות.

המונח "בינה מלאכותית" מוחל כאשר מכונה מחקה פונקציות "קוגניטיביות" שבני אדם מקשרים למוחות אנושיים אחרים, כגון "למידה" ו-"פתרון בעיות". לכן התכונות העיקריות של AI הם:

● איסוף כמויות גדולות של מידע – איסוף המידע יוביל ליכולת לקבל החלטות אוטונומיות / פעולות שמטרתן למקסם את סיכויי ההצלחה.

הדוגמה המושלמת של בינה מלאכותית היא מכונית נהיגה עצמית אשר צריכה לקבל החלטה אוטונומית המבוססת על מה שקורה ברחוב. על מנת לקבל החלטות מושכלות יש לאסוף מידע על אנשים, ליצור פרופיל של אנשים אלה, להציב אותם במבנה מתכלל, שעל בסיסו ניתן לקבל החלטות. למשל, האם לאשר קבלת משכנתא או הלוואה או לאו.

איסוף המידע ובניית הפרופיל חושפים נושאים חדשים הקשורים לפרטיות, שהופכים רלוונטיים יותר בעקבות אימוץ כללי ההגנה על הנתונים של האיחוד האירופי, במיוחד לאחר פרסום ההנחיות לגבי קבלת החלטות אוטומטיות ופרטיות. לדוגמה, תקנה 29 לרגולצייה קובעת כי לא ניתן לעבד מידע ללא הסכמתו של בעל המידע, אך במקרים שתארנו לעתים בעל המידע אפילו אינו יודע שהמידע עליו נאסף.

● איסור החלטות אוטומטיות – תקנות הפרטיות של האיחוד האירופי קובעות כי הפרט רשאי שלא להיות כפוף להחלטה המבוססת אך ורק על עיבוד אוטומטי, לרבות פרופיל, המייצר השפעות משפטיות הנוגעות לו או משפיע באופן משמעותי גם עליו. האיסור חל על החלטות המבוססות "אך ורק" על עיבוד אוטומטי, הפיקוח האנושי על המסקנה שאליה הגיע המכונה צריך להיות משמעותי.

● חריגים לכלל הנוגע להחלטה אוטומטית – חריגים נלקחים בחשבון כאשר ההחלטה המתבצעת באופן אוטומטי קורית במקרה של מניעת הונאה או בדיקות הלבנת הון, או הכרחית בעת ביצוע או התקשרות בחוזה, או מבוססת על הסכמתו של הפרט. בעל המידע חייב להיות מסוגל להראות כי פרופיל זה הוא הכרחי, תוך שהוא לוקח בחשבון את נושא שמירת הפרטיות, ככל שניתן.

האם הסכמה היא אפשרות מעשית? מה קורה במקרה של נתונים הקשורים לבריאות? מי היה נותן את הסכמתו להיות כפוף להחלטה אוטומטית?

לדעתנו, אפשרות זו יכולה להתקיים רק במקרה של שימוש בטכנולוגיות מעין אלו למטרות שיווקיות. במקרה זה, יחייבו יחידים לתת את הסכמתם לפרופיל שיבוצע גם באמצעות מערכות הכרעה אוטומטיות. כך, למשל, נוצרת בעיה כאשר מדובר במערכות של חברות הביטוח אשר משתמשות בעיבוד אוטומטי של נתונים בריאותיים כדי להעריך את הסיכון הביטוחי. במקרה כזה, קבלת הסכמת האנשים לתהליך של עיבוד אוטומטי של הנתונים הבריאותיים שלהם עלולה להיות תהליך בעל עלות מסיבית עבור חברות הביטוח.

הווה אומר, כי לא ניתן לאמץ הודעה ספציפית בדבר פרטיות המידע אשר תכסה כל סוג של בינה מלאכותית. הודעת המידע בדבר שמירת הפרטיות תציג את המאפיינים העיקריים הנחשבים להשגת ההחלטה, את המקור של מידע זה ואת הרלוונטיות שלהם. אנשים יכולים להתנגד להחלטה האוטומטית גם כאשר ההחלטה האוטומטית נחוצה לביצוע חוזה או בוצעה לאחר הסכמת האדם באירוע הרלוונטי, אנשים עדיין יהיו זכאים לקבל התערבות אנושית שתאפשר להם להביע את נקודת המבט שלהם ולערער על ההחלטה האוטומטית.

ומה קורה במקרה של החלטות שגויות? המורכבות של בינה מלאכותית צפויה להסלים בשנים הקרובות. ומורכבות כזו עלולה להקשות יותר לקבוע מתי מתרחשת התקפת סייבר ולכן מופעלת חובת הודעה על הפרת נתונים. הודעה זו תהיה חייבת להכיל פירוט והסבר מצד בעל המידע לגבי שיקול הדעת בנושא כל הגורמים המעורבים במתקפה וההגנה הנאותה של זכויות הפרטיות של הפרט.

הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי בשת"פ עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.

מתעניינים בבינה מלאכותית? רוצים לשמוע עוד? הירשמו לכנס Future of AI של אנשים ומחשבים.