ביום 13.3.2024 עבר בפרלמנט האירופי ה-EU AI Act ("החוק") המסדיר שימוש בבינה מלאכותית באיחוד האירופי, וזאת לאחר דיונים רבים.
החוק צפוי גם לקבוע את הטון ביחס לחוקים דומים ברחבי העולם, בדומה לשינוי שחוללה רגולציית ה-GDPR עם כניסתה לתוקף. מאוד ייתכן שמחוקקים במדינות אחרות ינקטו בגישה הרגולטורית של האיחוד האירופי וינסו לקבוע סטנדרטים דומים.
השמחה רבה, אך מה המשמעות עבור חברה ישראלית? ננסה להסביר בקצרה. נדגיש כי פרסום זה אינו ממצה את החקיקה המקיפה, אלא מאיר מספר נקודות חשובות בה.
- תחולת החוק
בכפוף לחריגים ולהגדרות ספציפיות, ככלל החוק יחול כאשר:
- מדובר בחברה ישראלית שמפעילה מערכת AI באיחוד האירופי; או
- מדובר בחברה ישראלית שמספקת מערכת AI ללקוחות באיחוד האירופי; או
- התוצר של מערכת AI של חברה ישראלית יהיה בשימוש באיחוד האירופי; מדובר בהגדרה המרחיבה את תחולת החוק עבור חברות ישראליות, ומיועדת למנוע מצב שבו חברה זרה חומקת מתחולת החוק; או
- האנשים המושפעים ממערכות ה-AI נמצאים באיחוד האירופי.
החוק מתייחס גם לספקים (providers), יצרנים (manufacturers), מפיצים (distributors), מטמיעים (deployers) ונציגים (representatives) ומטיל עליהם חובות שונות.
החוק מתייחס לשלוש קטגוריות:
- מערכות AI אסורות בשימוש – למשל, שהשימוש בהן מיועד למרמה, מניפולציה או הטעיה, קטלוג ביומטרי על בסיס מידע רגיש, דירוג חברתי או זיהוי ביומטרי מרחוק בזמן אמת למטרת אכיפה במקומות ציבוריים.
- GPAI – General Purpose AI Models
- סוג של "בינה מלאכותית כללית"; מודלים כלליים בשימוש כחלק ממערכות AI אשר ביכולתם: "לבצע באופן מוחלט מגוון רחב יותר של משימות שונות ללא תלות בדרך שבה המודל מוצב בשוק, ושניתן לשלבו במגוון של מערכות Downstream או אפליקציות".[1]
- מובן למחוקק האירופי שמודלים כלליים אלה הם אבני הבניין של מערכות ה-AI וחשיבותם רבה. ישנן הנחיות ספציפיות לפיתוח ושימוש בהם על מנת שהמשתמשים יוכלו להבין את הפונקציונליות והאלגוריתמים שעומדים בבסיס המודלים הכלליים.
- High-Risk AI Systems, בהן נדון מטה בהרחבה.
נדגיש כי החקיקה חלה הן על מודלי GPAI והן על High-Risk AI Systems (במערכות AI המוגדרות אסורות בשימוש אין לבצע כל פעולה).
- סיווג מערכות ה-AI והשפעתו בפועל על חברה ישראלית
- הסיווג משפיע על כמות והיקף המגבלות והחובות הקשורות במערכות AI.
- המחוקק האירופי מטיל על שני הסוגים חובות רבות; חובות כגון שקיפות מוגברות, הסבר נהיר למשתמשים ואחריות משותפות הן ל-GPAI והן ל-High-Risk AI Systems.
- כך למשל, יש להודיע למשתמש אשר "משוחח" עם מערכת AI על כך, בצורה שהמשתמש יבין שאינו משוחח עם אדם. יש לכך חריגים במקרים בהם העניין ברור מאליו או במקרים שהמערכת משמשת לתביעה פלילית.
- כמו כן, יש לסמן תוצרים של מערכות AI ככאלו, לרבות כאשר מדובר בתוצרי GPAI (לדוגמא, סרטונים, תמונות או טקסט). במקרים של deep fake, יש לסמן שהתוכן יוצר באופן מלאכותי או שעבר מניפולציה.
- בנוסף, אם מערכת AI משמשת לזיהוי רגשות או לזיהוי ביומטרי – יש להודיע על כך למשתמשים.
- החוק מטיל חובות נוספות על High-Risk AI Systems. על מערכות אלו מוטלות חובות בקרה, פיקוח, אחריות ושקיפות נרחבות מאד.
ככלל, ולמעט חריגים, מדובר במערכות בתחומים אלה:
- מוצרים הכפופים לרגולציית הבטיחות של האיחוד האירופי;
- מערכות AI בתחומים קריטיים, לרבות:
- אדמיניסטרציית צדק ודמוקרטיה;
- אכיפת החוק;
- הגירה;
- זיהוי ביומטרי;
- חינוך;
- שירותים חיוניים – לרבות דירוג אשראי, חירום, ביטוחים מסויימים);
- תעסוקה;
- תשתיות חיונית.
יצוין כי ישנם חריגים וההגדרות מורכבות.
הדרישות הרגולטוריות הנוספות עבור High-Risk AI Systems כוללות:
- Data governance – הקפדה על הוראות וציות באימון המערכת;
- בדיקות ציות;
- דיוק, איתנות המערכות ואבטחת סייבר – Data Accuracy;
- הטמעה ושימוש במערכת ניהול סיכונים – Risk Assessment;
- יידוע משתמשים על אופי ומטרת המערכת;
- פיקוח אנושי לצמצום סיכונים;
- רישום מערכות במרשמים פומביים;
- שימוש בדאטה אמין;
- שמירת תיעוד לאורך כל "מעגל החיים" של המערכת;
- שקיפות והוראות ברורות (המתייחסות גם לפיקוח האנושי);
- תיעוד טכני מדויק טרם השימוש במערכות AI.
לאחר תחילת השימוש ב-High-Risk AI Systems יש צורך בבקרה שוטפת, לרבות:
- הטמעת ותיעוד אמצעי בקרה על המערכות, בהתאם לתוכנית בקרה שהוכנה מבעוד מועד כחלק מהתיעוד הדרוש. יש לאסוף, לתעד ולנתח מידע רלוונטי על השימוש במערכות AI לכל אורך הדרך;
- דיווח מהיר על תקריות חמורות לרשות הבקרה הרלוונטית כאשר מדובר במערכת AI הממוקמת באיחוד האירופי ושיתוף פעולה עם הרשות, כולל באמצעות חקירה פנימית.
גם כאן, החוק מטיל חובות ביחס ל-High-Risk AI Systems המתייחסות גם לספק (provider), מפיץ (distributor) ומטמיע (deployer) של המערכות, כאשר לכל בעל תפקיד חובות נפרדות.
- קנסות
הקנסות שיושתו בגין הפרת החוק צפויים להיות גבוהים; כך, שימוש אסור במערכות AI עלול לגרור קנס עד 35 מיליון יורו או עוד 7% מהמחזור השנתי העולמי (כתלות בחומרת ההפרה). עבור
High-Risk AI Systems, הפרת החוק עלולה לגרור קנס של 15 מיליון אירו או עד 3% מהמחזור השנתי העולמי (גם כאן, כתלות בחומרת ההפרה).
- כניסת החוק לתוקף
החוק ייכנס לתוקף 20 ימים לאחר פרסומו הרשמי, הצפוי במאי או ביוני 2024. רוב סעיפי החוק יכנסו לתוקף שנתיים לאחר הפרסום הרשמי; עם זאת, הכללים בדבר מערכות AI האסורות בשימוש יכנסו לתוקף אחרי 6 חודשים, הכללים בדבר GPAI יכנסו לתוקף לאחר 12 חודשים והכללים בדבר High-Risk AI Systems יכנסו לתוקף לאחר 36 חודשים.
- אם כן, מה צריכה חברה ישראלית לעשות בשלב זה?
- ראשית, מומלץ לחברה ישראלית שלה קשר לנושא להעריך את החשיפה הפוטנציאלית שלה לחוק; לדוגמא, מומלץ למפות את העיסוק ב-AI, לבחון האם יש נגיעה פוטנציאלית לאיחוד האירופי והאם יהיה שימוש כלשהו במערכות ה-AI בשימוש באיחוד האירופי, האם יש שם לקוחות קצה או השפעה כלשהי של מערכות ה-AI של החברה או תוצרים שלהן וכדומה.
- שנית, מומלץ לחברה ישראלית להעריך מה צפוי להיות הסיווג של מערכת ה-AI הקשורה אליה.
- שלישית, מומלץ לפנות לייעוץ מקצועי על מנת להיערך לכניסת החוק לתוקף.
נשמח לסייע לכם בכל עניין הקשור בחקיקת בינה מלאכותית, הן באיחוד האירופי והן בתחומי שיפוט אחרים.
הכותבות הינן עורכות הדין רותם פרלמן-פרחי, שותפה וראש מחלקת הטכנולוגיה, הקניין הרוחני והגנת הפרטיות ועינת גולדשטיין ממחלקתה.
למען הסר ספק, האמור לעיל משמש מידע כללי בלבד ואינו מהווה ייעוץ משפטי או תחליף לייעוץ משפטי.