סינגפור: הנחיות בנושאי פרטיות לארגונים המפתחים בינה מלאכותית

רגולטור הפרטיות בסינגפור (PCDP) פרסם להערות הציבור מסמך הנחיות מייעץ בנושא איסוף מידע אישי והשימוש בו לפיתוח ולאימון של מערכות בינה מלאכותית המשלבות מודלים של למידת מכונה, למטרת קבלת החלטות, המלצות או תחזיות. המסמך וולונטרי ואינו מחייב.

האיסוף של מידע אישי, השימוש בו וההעברה שלו לצדדים שלישיים על ידי ארגונים בסינגפור מוסדרים תחת חוק ההגנה על מידע אישי (the Personal Data Protection Act 2012), הקובע את המסגרת הכללית להגנה על פרטיותם של יחידים בסינגפור. ההנחיות נועדו להבהיר את האופן בו החוק חל על האיסוף והשימוש במידע אישי במסגרת מערכות בינה מלאכותית המשלבות מודלים של למידת מכונה, ולספק המלצות לארגונים בנושא.

המלצות הרגולטור נוגעות, בין השאר, לסוגיות הבאות –

  • הבסיס החוקי לאיסוף ולעיבוד – החוק הסינגפורי כולל שני בסיסים חוקיים חלופיים להסכמה, שארגונים המפתחים בינה מלאכותית יכולים לשקול לאמץ בעת האיסוף של מידע והשימוש בו: התייעלות עסקית ומחקר.
    ההתייעלות העסקית יכולה לשמש כבסיס החוקי לאיסוף ולשימוש במידע כאשר הארגון מפתח מערכת בינה מלאכותית שנועדה למטרות שיפור עסקי, למטרות תמיכה בהליכי קבלת ההחלטות בארגון, או כדי להבין יותר לעומק את התנהגות המשתמשים והעדפותיהם ולהציע להם מוצרים ושירותים מותאמים אישית (למשל: במקרה של מערכת המלצות לגולשים ברשתות חברתיות או מערכת משאבי אנוש לדירוג מועמדים לעבודה). על מנת להתבסס על בסיס חוקי זה, על הארגון להבטיח כי השימוש במידע אישי מזהה ייעשה רק כאשר הוא הכרחי להשגת המטרות שלעיל, וכי השימוש סביר.
    מחקר יכול לשמש כבסיס חוקי כאשר הארגון משתמש במערכת הבינה המלאכותית לביצוע מחקר מסחרי (לרבות מחקר מסחרי משותף בין כמה חברות). כדי להתבסס על בסיס חוקי זה, הארגון נדרש להראות כי לא ניתן לבצע את המחקר באופן סביר ללא שימוש במידע אישי מזהה, וכי יש לו תועלת ציבורית ברורה. חל איסור על שימוש בתוצאות המחקר לקבלת החלטות שישפיעו על נושאי המידע, וכן על פרסום התוצאות באופן שיזהה את אותם יחידים.
  • הודעה וקבלת הסכמה – בכל מקרה בו הבסיסים החוקיים החלופיים אינם חלים, נדרשת הסכמת נושאי המידע לשימוש במידע האישי שלהם לאימון בינה מלאכותית. לשם קבלת הסכמה מדעת נדרשת הארגון לספק לנושאי המידע הודעה מפורטת על סוגי המידע שנאספו, המטרות לשמן נאספו, והאופן בו המידע דרוש לתפקוד מערכת הבינה המלאכותית. על ההודעה להיות בולטת וברורה.
  • יישום עקרונות של הגנה על הפרטיות – בעת פיתוח מערכות בינה מלאכותית, על הארגון ליישם את עקרונות הבסיס של ההגנה על הפרטיות, לרבות שימוש בבקרות טכניות, תהליכיות ומשפטיות על הליך העיבוד של המידע האישי, ובראשן אנונימיזציה או פסודונימיזציה של המידע; מזעור השימוש במידע אישי (data minimization); הטמעת אמצעים לאבטחת המידע; ועיצוב לפרטיות (privacy by design).
  • אחריותיות ושקיפות – על ארגונים המשתמשים במערכות בינה מלאכותית לפתח מסמכי מדיניות שקופים, הוגנים וסבירים, שיכללו מידע מפורט על אודות השימוש במידע והאמצעים שננקטו להבטחת ההוגנות והסבירות של ההמלצות, התחזיות וההחלטות שיתקבלו באמצעות או על ידי מערכות הבינה המלאכותית. על מסמכי המדיניות להיות זמינים לנושאי המידע לפי דרישה.