ה-DPC מפרסם רשומה בנושא הערכת סיכונים לפרטיות בפיתוח ושימוש ב-AI

בינה מלאכותית
מאת‏ עו"ד שקד פלדמן יפתח

חברה בקבוצת הסייבר, הפרטיות וזכויות היוצרים בפרל כהן

זמן קריאה: 2 דקות
שמור ב"תכנים שלי"

ה-DPC, רגולטור הפרטיות האירי, פרסם רשימה של שיקולים שעל ארגונים המשתמשים בבינה מלאכותית או מפתחים מערכות בינה מלאכותית לשקול, לפני שיתחילו לפתח ולייצר או להשתמש במערכת. זאת, כדי למגר סיכונים הנוגעים לפרטיות נושאי מידע.

הפיתוח של מערכות בינה מלאכותית והשימוש בהן עשוי להיות כרוך בעיבוד מידע אישי. עיבוד המידע האישי עלול להיות מלווה בסיכונים עבור נושאי המידע, דוגמת חשיפת המידע לאחרים באופן שפוגע בפרטיות של נושאי המידע, או קיומם של אי-דיוקים במידע או הטיות שעשויים להשפיע על הליכי קבלת החלטות אוטומטיים ביחס לנושאי המידע.

לפי הרגולטור האירי, סיכונים אלה עשויים להשפיע לא רק על נושאי המידע, אלא גם על ארגונים המשתמשים בבינה מלאכותית, בייחוד כאשר הם מוגדרים כבעל שליטה (controller) במידע תחת ה-GDPR. על ארגונים המשמשים כבעלי שליטה במידע לבצע הערכת סיכונים טרם תחילת השימוש במערכת בינה מלאכותית, במסגרתה יבינו באיזה מידע אישי המערכת עושה שימוש ובאיזה אופן, עם אילו צדדים שלישיים המידע משותף, האם נעשה בו שימוש חוזר על ידי ספק המערכת, ובאיזה אופן הוא משפיע על היכולת של הארגון לעמוד בהתחייבויותיו מכוח ה-GDPR. בתוך כך, על ארגונים להתייחס בין השאר לשיקולים הבאים:

  • האופן בו השימוש והאימון של מערכות בינה מלאכותית עשוי להשפיע על יכולת הארגון לעמוד בעקרונות הבסיס של ה-GDPR, לרבות עקרונות ההגינות, השקיפות וצמידות המטרה.
  • האופן בו הארגון יכול ליישם בקשות למימוש זכויות נושאי מידע, דוגמת מחיקת המידע או עיון בו, במקרים בהם המידע האישי מוזן למערכות הבינה המלאכותית.
  • האופן בו ניתן להגן על המידע האישי כאשר נעשה בו שימוש במסגרת מוצר בינה מלאכותית שמסופקת על ידי צד שלישי.
  • האם מיושמים אמצעי אבטחה למניעת תקיפה או עקיפה של מסננים שנועדו למנוע שימוש במידע מסוגים מסוימים (דוגמת אישי או מידע המוגן בזכויות יוצרים) במסגרת הפלט.
  • הסיכונים שעלולים להיות כרוכים בשימוש במערכות בינה מלאכותית לקבלת החלטות אוטומטיות ללא מעורבות אנושית.

גם ארגונים המעוניינים לפתח מוצרי בינה מלאכותית שעושים שימוש במידע אישי (גם אם הוא זמין באופן פומבי) ולהציע אותם לשימוש על ידי אחרים, או להשמיש מחדש מוצרים קיימים, צריכים לבצע הערכה של יכולתם לעמוד בחובותיהם מכוח ה-GDPR. בתוך כך, על ארגונים כאמור לבחון בין היתר את ההיבטים הבאים:

  • האם מטרות העיבוד נחוצות והאם יש אמצעים מתאימים אחרים להשגתן, שאינם מבוססי בינה מלאכותית.
  • האם מטרות העיבוד תואמות את הבסיסים המשפטיים שעל בסיסם מעבד הארגון מידע אישי.
  • הסיכונים הכרוכים בעיצוב מודל או מערכת הבינה המלאכותית, ביצירתם ובשימוש בהם. ייתכן שהארגון יידרש לביצוע תסקיר השפעה על הפרטיות (DPIA), במיוחד אם המערכת או המודל משלבים מערכי נתונים אחרים, או אם המידע האישי שיוזן למערכת נוגע לקטינים או לקבוצות פגיעות.
  • האופן בו יוכל הארגון לעמוד בחובת השקיפות כלפי נושאי המידע ולאפשר להם לממש את זכויותיהם.
  • השילוב של אמצעים לעיצוב לפרטיות ולניהול וקבלת החלטות ביחס למידע אישי, והאופן בו הפלט של המערכת עשוי להשפיע על זכויות וחירויות של יחידים.