לא הכל אפשרי: אתגרי הפרטיות בשימוש בבינה מלאכותית

סוגיית הבינה המלאכותית, ובראשה הכלי הספציפי ChatGPT, מסרבת לרדת מהכותרות. תחילה נחוו התרגשות ועניין רב מהנגישות הגבוהה של כלי ה-AI השונים לציבור, אולם עד מהרה אלה התחלפו בביקורת ודאגה.

הביקוש העולה ליישומי ה-AI – מובן לחלוטין. הבינה המלאכותית יכולה לחסוך לארגונים זמן, כסף, כוח אדם, לאפשר התייעלות ולהכניס רוח של חדשנות. עם זאת, השימוש בה מביא גם מורכבויות בהיבטי הגנת הפרטיות

הטכנולוגיה המתקדמת מעלה את החשש של מדינות וארגונים לאפליה, שימוש לרעה במידע ופגיעה חמורה בפרטיות. בימים אלה, גופים רבים עוסקים בשאלה איך מתמודדים עם המתח הקיים בין השימוש הגובר בבינה המלאכותית אל מול הצורך בשמירה על הפרטיות.

ChatGPT. כלי הבינה המלאכותית המשבש והפופולרי כיום. צילום: ShutterStock

"ישנם סיכונים אדירים בשימוש ב-AI ללא פיקוח"

הסיכונים בשימוש בכלי AI ללא פיקוח הדוק או רגולציה ייעודית הם עצומים. כלי הבינה המלאכותית יכולים בשניות לייצר ולהפיץ פייק ניוז למשל, ולהשפיע ולעצב את דעת הקהל, לסייע בעבירות סייבר ועוד.

פלטפורמות ה-AI השונות המוזנות במידע אישי, עלולות במקביל לפגוע באופן קשה בדיני הגנת הפרטיות. הנה כמה דוגמאות בולטות שימחישו את העניין:

• הזנת נתונים לא מדויקים – הנתונים שמספקים כלי ה-AI השונים היום, לרבות ה-ChatGPT, לעיתים לא נכונים ועלולים להביא ארגונים, עסקים וחברות להסתמך עליהם ולגרום להפסדים כספיים. חשוב לקחת בערבון מוגבל את המידע והתובנות המתקבלות מיישומי הבינה המלאכותית ולבצע להם אימות.
• שימוש בנתונים לא למטרה המקורית – מערכות ה-AI עובדות על בסיס המידע שמוזן בהן לצורך אימון המערכת, שמאפשר להן להסיק מסקנות ולהעניק פתרונות לשאלות, משימות וסוגיות עתידיות מורכבות. הבעיה נוצרת כשנעשה שימוש לא ראוי ושונה במידע הראשוני שהוזן אליהן לשם אימון בלבד. לכן, לפני הזנת המערכות במידע אישי יש לוודא כי מטרות איסוף המידע תואמות את מטרות אימון המכונה.
• שימוש בנתוני עתק – כלל בסיסי בדיני הפרטיות קובע: ככל שנאספים נתונים רבים יותר – כך הסיכון גדל. כיום נוצר מתח משמעותי בין הרצון לאמן את המכונות עם כמויות רבות של נתונים, במטרה שיהיו חכמות ומדויקות יותר, לבין הצורך הרגולטורי לצמצם את שמירת המידע, בצורה שתפחית את הסיכון לפגיעה בפרטיות.
• יצירת מידע רגיש – קיים חשש ש-"מידע אישי" ו-"מידע לא אישי" של אנשים, שמוזן למערכת, יתערבב יחד ויאפשר להסיק תובנות מתקדמות ופגיעה בפרטיות. כך, למשל, הצלבה של שינוי בדפוסי הרגלי צריכה של אדם בסופר השכונתי יחד עם שעות ההגעה שלו לסופר יכולה להוביל לתובנה או לתחזית בדבר שינוי במצבו הכלכלי.

למצוא את נקודת האיזון: שימוש ברגולציות פרטיות לצמצום סיכוני ה-AI

הביקוש העולה ליישומי ה-AI – מובן לחלוטין. הבינה המלאכותית יכולה לחסוך לארגונים זמן, כסף, כוח אדם, לאפשר התייעלות ולהכניס רוח של חדשנות. עם זאת, השימוש בה מביא גם מורכבויות בהיבטי הגנת הפרטיות.

נכון, אנחנו נמצאים במצב בו קיימת לאקונה בחוק, והטכנולוגיה שוב מקדימה את המשפט. עם זאת, חשוב מאוד לדעת לאזן בין הרצון להעניק לכל אחד ואחת את האפשרות ליהנות מפלאי הטכנולוגיה, אבל מצד שני לוודא שאפשרות זאת לא פוגעת בצורה לא מידתית בחוקי הגנת המידע.

לדעתי, בהעדר חקיקה רלוונטית, יש לפעול לכל הפחות בהתאם לרגולציות הפרטיות הקיימות ולהטמיע את עקרונות הגנת המידע כבר בשלב הפיתוח ולאורך כל חיי המערכת, בהתאם לעקרון ה-Privacy by Design, המוכר בעיקר מתקנות ה-GDPR.

במסגרת גילוי הדעת שפרסמה הרשות להגנת הפרטיות ב-2022, בקשר ל"חובת יידוע במסגרת איסוף ושימוש במידע אישי", נקבע שעל ארגונים קיימת חובת גילוי נאות מוגברת ומשמעותית לגבי השימוש שהם עושים במערכות ה-AI. בנוסף נקבע בדו"ח כי ארגונים הכפופים ל-GDPR חייבים לפתח תוכנית אכיפה יעילה, שתאפשר להם להעניק מענה רחב לתחום.

דרך נוספת ומומלצת הינה לבצע תסקיר השפעה על פרטיות בטרם הטמעת המערכת בארגון. זהו תהליך פנים-ארגוני, שנועד לסייע באיתור, הערכה וניהול של סיכונים לפרטיות במערכות, פרויקטים או פעילויות עסקיות וארגוניות, הכוללות עיבוד מידע אישי.

בעניין זה יש לשקול להטמיע גם את תקן ISO 31700-1:2023, אשר פורסם לאחרונה, ומכיל בתוכו בקרות ספציפיות עבור ניהול המידע בהיבטי פרטיות.

חשוב מאוד שארגונים יגלו אחריות רבה יותר, כל עוד אין עדיין רגולציה ייעודית שמסדירה את העניין, ויאמצו תקנות פרטיות רלוונטיות, גם אם לא קיימת חובה חוקית כזו. זה יהפוך אותנו לחברה מוסרית, שקופה ומכבדת, שלא זקוקה לבית המחוקקים בשביל להחיל על עצמה אתיקה וערכים.

הכותבת היא מנהלת תחום הגנת הפרטיות במרכז הסייבר של BDO