הרשות הגנת הפרטיות פרסמה להתייחסות הציבור טיוטת הנחיה שעניינה "תחולת הוראות חוק הגנת הפרטיות על מערכות בינה מלאכותית". הטיוטה מסבירה איך הרשות מתכוונת לפרש ולאכוף את דיני הגנת הפרטיות ביחס ל-AI ומדגישה שהחוק חל על בינה מלאכותית לכל אורך שלבי הפיתוח והיישום שלה ועל מידע שמופק באמצעותה.
הטיוטה מבארת כיצד חלים עקרונות דיני הפרטיות על AI – בסיס חוקי לעיבוד מידע או הסמכה בחוק, הסכמה מדעת של נושאי המידע על בסיס גילוי ושקיפות, אחריותיות, אבטחת מידע וזכויות נושאי מידע, ומפרטת את ההנחיות הבאות:
- חובת גילוי מוגברת – נדרש להסביר לנושא המידע על מטרות ואופן פעולת ה-AI בעיבוד מידע אישי ולאילו פריטי מידע ה-AI חשוף. בנוסף, יש ליידע אותו כאשר הוא מקיים אינטראקציה עם "בוט" (Bot) שאינו בן אנוש.
- מנגנוני אחריותיות (Accountability) – ארגון שמפעיל AI נדרש ליישם גישת Privacy-By-Design, למנות ממונה שיטפל בסוגיות שנובעות משימוש ב-AI, לערוך תסקיר השפעה על הפרטיות (DPIA) ולנסח מדיניות שימוש ב-AI יוצר כגון ChatGPT.
- אבטחת מידע – יש להתייחס ל-AI בעת יישום חובות מכוח תקנות אבטחת מידע, ולתת מענה קונקרטי לסיכון של "מתקפות הסקה" שנועדו לדלות מידע אישי מה-AI, לנטר את התרחשותן ולדווח עליהן לרשות.
- מימוש זכויות נושאי מידע – הזכויות חלות גם על מידע שעיבדה בינה מלאכותית, וייתכן שארגונים יידרשו לתקן אלגוריתמים וליישם מנגנונים להבטחת דיוקם, תחת אכיפה מוגברת בנושא זה.
- מגבלות על כריית מידע אישי – ניתן לכרות מידע אישי שפורסם באינטרנט למטרות אימון AI, רק אם קיימת הסכמה משתמעת לכך. הטיוטה הגדירה את המקרים האלו.
הציבור מוזמן להתייחס עד 5 ביוני. אם תיכנס לתוקף, ההנחייה תהיה ההוראה המחייבת היחידה בנושא בינה מלאכותית (AI) בישראל.