ככל שהבינה המלאכותית נעשית נפוצה ונוכחת בחיי היום-יום שלנו, גוברים גם החששות מהפגיעה שהיא עשויה לגורם לפרטיות המשתמשים. מעוזרים קוליים וצ'טבוטים שמתעדים ולומדים את השיחות שלנו, דרך זיהוי פנים המשמש לזהות אותנו במכשירים הסלולריים, וכטכנולוגיה עשוי לעקוב אחרי התנועה שלנו - ועד למחוללי המלל והתמונות ששואבים כל פריט מידע שנחשף ברשת כדי ללמוד, להתאמן ולשפר את יכולותיהם. טיפול לקוי במידע הרב שנאסף באמצעות התוכנות והכלים האלה עלול להביא לפגיעה בפרטיות של המשתמשים, ולזלוג ולהגיע לידיים הלא נכונות.
בדומה לתחומי טכנולוגיה אחרים, רגולציה וחוק מתקשים להתמודד עם קצב השינויים, ונמנעים מהטלת כללים שיפגעו בכלכלה ובהתפתחות הטכנולוגית של המשק. עבודה משמעותית של הכנה של רגולציה בתחומי הטכנולוגיות הדיגיטליות נעשתה באיחוד האירופי, לצד מקבץ חוקים שנועדו גם לקדם השקעות בתחום, ואמורים לשמש קווים מנחים ב-OECD.
באוקטובר 2022 פירסם משרד המדע והטכנולוגיה טיוטת מדיניות להערות הציבור, העוסקת ברגולציה ואתיקה לתחום הבינה המלאכותית. טיוטה זו סימנה לראשונה את גיבושה של אסדרה מקיפה בתחום. המסמך המקצועי שפירסם המשרד כולל ניתוח מעמיק של הסיכונים והמענה להם בנושא בינה מלאכותית, וכולל גישות פיקוח, חקיקה ואסדרה. בין שאר הסוגיות, המסמך מציג ניתוח עדכני ומקיף של סוגיות פרטיות שעולות כתוצאה משימוש בבינה מלאכותית. המסמך מהווה בסיס לסקירה זו.
מטרות איסוף המידע - עקרון יסודי בדיני הפרטיות הקבועה הוא שניתן לעשות שימוש במידע רק למטרות שלשמן נמסר המידע, תוך הסכמה מדעת - עקרון צמידות המטרה. ואולם חלק ממידע שנמסר כיום בערוצי תקשורת שונים משמש לאימון מודלים של בינה מלאכותית, כמו מודלים של ניתוח מלל או זיהוי קולי. קיים קושי להביא לידיעת המשתמש הפרטי את העובדה שמידע נאסף לצרכים אלה. לעתים, אימון המודלים נעשה שלא בידיעה מלאה של הארגון שמחזיק במידע כשהוא משתמש בצד שלישי לניתוח המידע, ובכך הוא למעשה עובר על החוק מבלי שהתכוון לכך.
חובת יידוע ושקיפות - המשתמשים רשאים לפנות למי שאסף מידע אודותיהם ולבקש לעיין במידע שנשמר אודותיהם. ואולם, כשמידע משמש לאימון מודלים, ובמיוחד לאלה הבלתי מוסברים, לא ניתן למסור למשתמשים את המידע שנשמר ואת השימוש בו.
הסכמה מדעת - על תהליך איסוף המידע להתבצע לאחר הסכמה מדעת של המשתמשים. ואולם אדם סביר אינו יכול להבין את המשמעות של שימוש במידע שלו לצורכי אימון מודלים של בינה מלאכותית ואת ההשלכות של הסכמתו. גם הסכמה כללית לאפשר שימוש במידע לצרכים של בניית מודל למידת מכונה לא תשקף את השימוש העתידי של אותו מודל, וכך עשוי אדם לאפשר איסוף מידע לבניית מודל שישמש בסופו של דבר למטרות שנוגדות את ערכיו, כמו לצורכי מלחמה או דיכוי.
איסוף מידע עודף - גישת "נתוני עתק" (Big Data) לנסות ולגלות קשרים לא מובנים בין נתונים, בשילוב היכולת לשמור ולנהל כמויות עצומות של נתונים - מביאות לכרסום בעיקרון צמצום המידע, לפיו מאגר מידע אמור לכלול רק את הנתונים הנדרשים למטרה לשמה המידע נאסף. לפי תקנות הגנת הפרטיות, בעל מאגר חייב לבחון אחת לשנה אם הוא מחזיק במידע עודף, וקיים חשש שבעלי מאגר מידע ימנעו מהגדרת מידע כעודף בשל השימוש בו לאימון מודלים, והתקווה כי המידע יפיק את הערך לו מצפה בעל המאגר.
הסקת מידע רגיש - איסוף מידע רגיש מקבל מקום מיוחד בדיני הפרטיות, ואולם באמצעות בינה מלאכותית עלול גורם להסיק מידע רגיש ממידע לא רגיש שאסף, למשל הסקת מצב בריאותי מהרגלי רכישה, או קצב ואופן כתיבת מלל ביישום למסרים מיידיים.
חשיפת מידע סודי שעבר התממה - מודלים מחוללים (גנרטיביים) של בינה מלאכותית יכולים לשחזר מידע ממרחב סטטיסטי שבו לכאורה המידע אינו מקבל ביטוי. בדרך זו, מידע פרטי ואף רגיש שעבר התממה (אנונימיזציה) כדי שלא ניתן יהיה לקשרו לפרט שממנו נאסף - עשוי לחזור ולהתקשר לאותו לגורם על בסיס נתונים והקשרים אחרים שקיימים במסדי נתונים אחרים שנכללו בתהליך האימון.
האחריות - שרשרת האספקה הטכנולוגית עוברת כיום במקרים רבים דרך ספקי שירות חיצוניים, לרוב במודל של מחשוב ענן ותוכנה בשירות (SAAS). ספקי שירות אלה, כמו גם בתהליך הפיתוח הפנים-ארגוני, עלולים לפגוע בעיקרון הפרטיות החלים על אוסף המידע, וקביעת האחריות של כל גורם ואזורי החשיפה הופכים למורכבים מאוד.
אל תפספס
מענה לסיכוני הפרטיות
כל ארגון צריך להקפיד על יישום כללים וכלים להתמודדות עם סיכונים וחשיפות לפגיעה בפרטיות. לרשות הארגונים עומדים דיני הגנת הפרטיות שיישומם הקפדני נותן מענה לסוגיות המטרות, איסוף ההסכמה והיידוע, וכן כלים טכנולוגיים שיכולים לשפר את ההתממה של המידע.
בנוסף, גורמים מקצועיים יכולים לבצע תהליכי סקר סיכונים בארגונים לזיהוי החשיפות ומיפוי מנגנוני ההגנה משימוש בבינה מלאכותית, ולבנות תהליך מסודר של ניהול סיכונים מול מגוון הסיכונים משימוש בבינה מלאכותית, כולל פרטיות.
השימוש בגורמי צד שלישי לפיתוח ולשירותי מידע חייב לבוא עם קבלת דוחות בדיקה, או דוחות לשכת שירות (SOC 2), שעשויים לתת מענה לחשיפה מולה עובד הארגון מול גורמים חיצוניים.
יחידת הייעוץ הטכנולוגי של BDO, מתמחה בתהליכי ניהול סיכונים בתחום הבינה המלאכותית, בחינה ואישור של לשכת שירות באמצעות דוחות בדיקה וסקרי סיכונים.
הכותב הוא שותף ומנהל הייעוץ הטכנולוגי ב-BDO