רגולציה של בינה מלאכותית בישראל בתחומים מסחריים ומשפטיים

מאת: אלי דורון, עו"ד

27/4/2025

רגולציה של בינה מלאכותית בישראל בתחומים מסחריים ומשפטיים

המסגרת הרגולטורית הכללית והתפתחותה בישראל

תחום מסחרי: חקיקה והנחיות עבור חברות עסקיות המפתחות ומיישמות AI

• דיני הגנת הפרטיות: חוק הגנת הפרטיות, התשמ”א-1981 ותקנותיו חלים במלואם על שימוש במידע אישי במערכות AI. הדבר רלוונטי במיוחד לאור השימוש הנרחב בנתוני עתק (Big Data) לאימון אלגוריתמים. רשות הגנת הפרטיות הבהירה כי בכוונתה להרחיב את חובות הארגונים ולחזק את זכויות הפרט במסגרת החוק הקיים, כך שייתנו מענה לסיכוני פרטיות ייחודיים ב-AI. יו”ר הרשות, עו”ד גלעד סממה, הודיע בספטמבר 2023 כי הרשות תפרסם הנחיה מקיפה בנושא שימוש במידע במערכות בינה מלאכותית – הנחיה שנועדה להסביר כיצד יש ליישם את חוק הגנת הפרטיות בעידן ה-AI. דגש צפוי בהנחיות אלו הוא על עקרון “Privacy by Design” (תכנון מערכות AI באופן מובנה עם הגנת פרטיות), צמצום מידע (איסוף ושימוש במידע הדרוש בלבד למטרה המוצהרת) ושקיפות כלפי נושאי מידע. כבר כיום חלה על ארגונים חובה ליידע אנשים כאשר אוספים עליהם מידע אישי, ורשות הפרטיות הדגישה שחובה זו חלה גם בהקשר של מאגרי מידע לאימון אלגוריתמים. בנוסף, הרשות פרסמה אזהרות ספציפיות – למשל, איסור שימוש במידע רפואי שדלף כתוצאה ממתקפת סייבר לאימון אלגוריתמי AI – כדי להבהיר את גבולות השימוש הלגיטימי במידע אישי. בהיעדר הוראה ספציפית בדין הישראלי המקבילה לזכות האירופית שלא להיות נתון להחלטה אוטומטית (כמו סעיף 22 ל-GDPR), צפויה הרשות לבחון הכוונה וולונטרית בנושא זה במסגרת ההנחיות החדשות.
• דיני צרכנות והגנת המשתמש: חוק הגנת הצרכן, התשמ”א-1981 ותקנותיו אוסרים הטעיה וחובות גילוי בעסקאות צרכניות. חובות אלה חלות גם כאשר נעשה שימוש ב-AI במתן שירות לצרכן. לדוגמה, אם צ’טבוט או מערכת המלצה אוטומטית משמשים למכירת מוצר, על החברה לוודא שהצרכן לא מובל להנחות שגויות או מוטעה לגבי מהות המוצר או תנאי העסקה. נכון ל-2025, אין דרישת גילוי מפורשת בחוק הישראלי כאשר צרכן מתקשר עם “בוט” (בניגוד ליוזמות חקיקה במדינות אחרות), אך הצעת חוק חדשה מציעה צעד בכיוון זה: במרץ 2025 הונחה על שולחן הכנסת הצעת חוק פרטית לסימון פרסומות עם תוכן שנוצר או נערך באמצעות בינה מלאכותית. הצעה זו (פ/5600/25, של ח”כ רון כץ) מבקשת לתקן את חוק הרשות השנייה וחוק השידור הציבורי, כך שבשידורי פרסומות שבהם משולב תוכן שעבר יצירה או עריכה ב-AI – למשל “דיפ פייק” המייצר רושם כאילו צולם אדם אמיתי – תחול חובת סימון ברור או הודעת הבהרה על כך . מטרת התיקון היא למנוע הטעיית הציבור ע”י תוכן פרסומי סינתטי. אף שזו הצעת חוק נקודתית שטרם אושרה, היא משקפת מגמה אפשרית של דרישות שקיפות עתידיות בפרסומות ותוכן שיווקי מבוסס AI. בנוסף, חוק איסור הפליה במוצרים, בשירותים ובכניסה למקומות ציבוריים, התשס”א-2000 אוסר אפליה פסולה של לקוחות. משמעות הדבר היא שחברות חייבות לוודא שמערכות AI המשיקות לצרכנים (למשל אלגוריתם הקובע מחיר או הנחה, או מערכת דירוג לקוחות) אינן מפלות קבוצות אוכלוסייה על בסיס מאפיינים מוגנים (מין, גזע, לאום, וכד’). גם דיני אחריות למוצרים חלים – אם מוצר מבוסס AI פוגע בצרכן (למשל מכשיר רפואי מונחה AI או רכב אוטונומי שקיבלו אישור שיווק), יצרן המוצר עשוי לשאת באחריות לפי חוק האחריות למוצרים פגומים ופקודת הנזיקין, בדומה לכל מוצר אחר.
• דיני שוויון ותעסוקה: חברות המשתמשות ב-AI לקבלת החלטות לגבי עובדים ומועמדים לעבודה חייבות לציית לדרישות חוק שוויון ההזדמנויות בעבודה, התשמ”ח-1988, האוסר אפליה בגיוס, קידום ופיטורין על בסיס מאפיינים כגון מין, גיל, מוצא, וכו’. אם מעסיק נעזר בכלי סינון קורות חיים או בכלי ראיון מבוססי AI, עליו לוודא שהכלי לא מטמיע הטיות (bias) פסולות שעלולות להוביל לאפליה מערכתית נגד קבוצות מסוימות – אחרת החברה עלולה להפר את החוק. אף שאין בישראל כיום חובה חוקית לבצע “בדיקת הטיה אלגוריתמית” בכלי AI, גובר הדיון העולמי בנחיצות שקיפות ובקרה בכלי HR-Tech, וחברות רב-לאומיות הפועלות בישראל כבר מתאימות עצמן לרגולציה זרה (למשל כללי ה-EEOC בארה”ב או חוקים עירוניים כמו בניו יורק בתחום זה). גם חוק שוויון זכויות לאנשים עם מוגבלות, תשנ”ח-1998 מחייב נגישות סבירה – למשל, אם שירות לקוחות פועל באמצעות עוזר קולי AI, עליו להיות נגיש לאנשים עם מוגבלויות בהתאם לתקנות הנגישות.
• קניין רוחני וזכויות יוצרים: סוגיות IP צוברות חשיבות בשימושי AI, הן בהקשר אימון המודלים והן בהקשר תוצרי ה-AI. בהיעדר התייחסות מפורשת בחוק זכות יוצרים הישראלי ליצירה בידי AI, הסתמכה המשנה ליועמ”ש לממשלה (משפט אזרחי) על פרשנות יצירתית של החוק הקיים. בדצמבר 2022 פרסם משרד המשפטים חוות דעת משפטית תקדימית שקבעה כי שימוש ביצירות המוגנות בזכויות יוצרים לצורך אימון מכונה (Machine Learning) ייחשב לרוב כ”שימוש הוגן” מותר . חוות הדעת מבהירה שברוב המקרים, אימון אלגוריתם על נתונים מוגנים נופל בגדר ההיתרים הקיימים בחוק – כגון שימוש הוגן, שימוש אגבי (סעיף 22) או יצירה ארעית (סעיף 26) – ולכן לא יהווה הפרת זכויות יוצרים . זאת, כל עוד המאגר לא מורכב ממספר מצומצם של יצירות של יוצר יחיד באופן שיוביל לתחרות ישירה בו, וכל עוד הנתונים המשמשים לאימון נמחקים בסיום התהליך . חוות הדעת אינה מכסה סוגיות של פלטי המערכת – אם התוצר הסופי שמפיק ה-AI מהווה בעצמו הפרת זכויות (למשל תמונה הדומה מדי ליצירה קיימת), יידרש ניתוח משפטי נפרד ואין “חסינות” אוטומטית . עמדת משרד המשפטים נועדה להסיר חסמים ולעודד חדשנות, מתוך הבנה שאי-בהירות בנושא עלולה לעכב חברות תוכנה וסטארט-אפים מלהתפתח בתחום . ואכן, פסיקה בעולם (כגון ביוני 2023 בארה”ב) מתחילה להכיר בכך שאימון AI על תוכן ציבורי אינו מפר זכויות יוצרים. בישראל, חוות הדעת של הייעוץ המשפטי מעניקה ודאות מסוימת לחברות: הן רשאיות להשתמש במידע קיים ובתכנים מוגנים כדי לאמן מערכות AI (כגון מודלים ליצירת תמונה או טקסט), בכפוף לסייגים סבירים, מבלי לחשוש מתביעה על עצם פעולת האימון. עם זאת, סוגיית הבעלות בזכויות בתוצרים עצמם (למשל, האם יצירת AI יכולה לקבל הגנת זכויות יוצרים אם אין יוצר אנושי) נותרה ללא מענה בחקיקה הישראלית, וצפויה להיבחן בעתיד לאור התפתחויות בין־לאומיות.
• הנחיות רגולטוריות סקטוריאליות: בהתאם למדיניות הממשלה, רשויות רגולטוריות בענפים ספציפיים החלו להוציא הנחיות והתאמות בתחום ה-AI. להלן כמה דוגמאות בולטות:
• • מגזר פיננסי: בתחומי הבנקאות והביטוח, הרגולטורים זיהו את פוטנציאל ה-AI לצד הסיכונים הייחודיים (לדוגמה, סיכוני מודל, הטיות אשראי, וכיו”ב). בשנת 2024 פרסם הפיקוח על הבנקים בבנק ישראל הוראה חדשה לניהול סיכוני מודלים (הוראת ניהול בנקאי תקין מס’ 369), המתייחסת במפורש למודלים מבוססי AI. ההוראה מחייבת בנקים ומוסדות פיננסיים לקיים ממשל תאגידי ובקרות על מודלי AI – כולל תהליך ולידציה ובדיקות תקופתיות למודלים, הערכת סיכוני הטיה וצבירת הון מספק כנגד סיכונים פוטנציאליים. עוד לפני כן, ביולי 2022 פרסם משרד המשפטים דו”ח ייעודי על שימושי AI במגזר הפיננסי (בשיתוף משרד האוצר והרשות לניירות ערך), שסקר את השימוש הגובר באלגוריתמים בקבלת החלטות אשראי, השקעות וביטוח, והמליץ על עקרונות להסדרה בענף . באוקטובר 2024 הציגה ועדה בין-משרדית דוח ביניים פתוח להערות הציבור בנושא אסדרת AI בסקטור הפיננסים, צעד המלמד על כוונה להתקדם לתקן מחייב או הנחיות מסודרות בתחום זה . בין היתר נידונו בדוח היבטי שקיפות אלגוריתמית כלפי לקוחות (למשל זכות לדעת מדוע בקשת הלוואה נדחתה), חובת ניהול סיכונים בכלי מסחר אוטומטיים, והבטחת עמידה בחוקי איסור אפליה במתן אשראי.
• מגזר הבריאות: משרד הבריאות מכיר בפוטנציאל של כלים מבוססי AI ברפואה (כגון עוזרי אבחון, רפואת דיוק, ניהול רשומות רפואיות) – לצד צורך להבטיח בטיחות ועמידה בכללי האתיקה הרפואית. באוקטובר 2024 פרסם משרד הבריאות טיוטת הנחיות לוועדות הלסינקי (הוועדות לאישור ניסויים קליניים) בנוגע לבדיקת ניסויים קליניים בכלי AI . טיוטה זו מגדירה דרישות לניסויים בהתערבות טכנולוגיות AI בבני אדם, למשל באישור מכשיר רפואי עם רכיב אלגוריתמי. ההנחיות עוסקות בנושאים כמו: איך להעריך הטיות וטעויות אבחון של אלגוריתם, כיצד לוודא הסברתיות בהחלטות AI עבור רופאים ומטופלים, ואיך להגן על פרטיות המידע הרפואי המשמש לאימון המערכות. זוהי רגולציה מוקדמת וחדשנית, שמעידה על כוונת משרד הבריאות למסד כללים ברורים לשילוב AI ברפואה תוך שמירה על בטיחות המטופלים. במקביל, משרד הבריאות שוקד על עדכון תקנות ציוד רפואי שיכללו הנחיות ספציפיות למכשירי תוכנה מבוססי AI (Software as a Medical Device).
• מגזר החינוך: במערכת החינוך זכה הנושא לתשומת לב בעקבות הפריצה המטאורית של כלי AI יוצר (Generative AI) כדוגמת ChatGPT. משרד החינוך גיבש בספטמבר 2023 מדיניות והמלצות לשימוש אחראי ב-AI Generative בבתי הספר . במסמך ההנחיות הראשוניות הומלץ לבתי ספר ולמורים כיצד לנצל את היתרונות הפדגוגיים של כלים אלו (כגון סיוע בהכנת שיעורים, תרגול מותאם אישית לתלמידים) ובמקביל לצמצם סיכונים (הטעיה, העתקה/פלגיאריזם, חשיפה לתכנים לא הולמים). בין היתר נקבע שיש להנחות תלמידים על מגבלות המידע שמערכות כאלה מפיקות (טעויות עובדתיות אפשריות), לעודד חשיבה ביקורתית, ולמנוע הזנת מידע אישי רגיש על תלמידים לפלטפורמות חיצוניות. אומנם הנחיות החינוך אינן מחייבות חוקית חברות מסחריות, אך הן משפיעות על EdTech – חברות טכנולוגיה חינוכית המספקות כלים למערכת החינוך – אשר נדרשות להתאים את מוצריהן למדיניות המשרד (למשל, הכללת אפשרות לחסימת תכנים לא מתאימים, הגנה על פרטיות התלמיד).
• אבטחת מידע בסייבר ומערכות AI: מערך הסייבר הלאומי, יחד עם גופי רגולציה אחרים, פרסם בנובמבר 2023 מדריך בפועל (Best Practice) לפיתוח מאובטח של מוצרי בינה מלאכותית . המדריך (שפורסם באנגלית) מציע לארגונים קווים מנחים כיצד לשלב הגנת סייבר בכל מחזור חיי הפיתוח של מערכות AI – מרמת תכנון המודל, דרך אימון על מידע מוגן, ועד פריסה בסביבת ייצור. בין היתר מודגשים: צעדי הקשחת מודלים למניעת התקפות זדוניות (כגון “הרעלת נתונים” שפוגעת בביצועי האלגוריתם), שמירה על שלמות הנתונים למניעת הטיות זדון, וציות לעקרונות פרטיות ואבטחה בעת שימוש במאגרי מידע רגישים. הדרישה לעמידה בתקני אבטחה מוכרת כבר בתקנות הגנת הפרטיות (אבטחת מידע) שחייבות כל בעל מאגר מידע, אך מדריך זה מתייחס ספציפית לסיכונים הייחודיים ב-AI. חברות המפתחות מוצרי AI (למשל סטארט-אפים בתחומי סייבר, פיננסים, בריאות) מושפעות מההנחיות הללו כ-best practice שעשוי להפוך בעתיד לדרישת רגולציה או לתו תקן איכות בשוק.

תחום משפטי: שימושי AI בעולם המשפט והחקיקה

• אימות מידע ופיקוח אנושי: עו”ד המשתמש בפלטפורמת AI (למשל לשאלת חוות דעת או לאיתור פסיקה) חייב לבדוק באופן עצמאי את מהימנות המידע שנוצר. נאמר במפורש כי על עוה”ד לאשר כל נתון ע”י מקור חיצוני לפני שייסמך עליו, משום שפלטפורמות AI עשויות לספק תשובות שגויות, בלתי עדכניות, או “הזיות” שאינן תואמות את המציאות . הלשכה הזכירה מקרה שבו עותרים בישראל הסתמכו על ציטוטי פסיקה מונפצים שיצר מודל AI, ובג”ץ דחה את עתירתם כשהתברר שהפסיקה אינה קיימת – דבר המדגים את הסכנה המקצועית והמוסרית בשימוש לא מבוקר ב-AI.
• שמירת סודיות ופרטיות לקוח: עורכי דין הונחו להימנע מהזנת מידע רגיש למערכות AI פתוחות . בפרט, נאסר להזין פרטי לקוחות מזהים (שם, כתובת, מספרי זהות, מידע עסקי ייחודי), מידע מתוך מסמכים חסויים, מידע החוסה בחסיונות מקצועיים (כגון סודיות עו”ד-לקוח) או חומר המוגן בזכויות יוצרים של הלקוח . הסיבה היא כפולה: ראשית, הזנה כזו עלולה להפר את חובת הסודיות והנאמנות ללקוח אם המידע דולף או נחשף לאחרים; שנית, התנאים של פלטפורמות AI ציבוריות פעמים רבות מתירות לספקי השירות לעשות שימוש במידע המוזן על ידי המשתמשים לשם שיפור המודל, כך שמידע של לקוח עלול להיטמע במאגר רחב ולצאת משליטת עוה”ד. משום כך, הלשכה מדגישה שיש לקבל הסכמה מפורשת מראש מהלקוח לכל שימוש במידע שלו בכלי AI פתוח . יתרה מזו, ההסכמה צריכה להיות ממוקדת ולא “גורפת”, וזכותו של הלקוח לסרב או לבטל הסכמתו בכל עת שמורה לו .
• שיקולי אבטחת מידע בבתי משרד: ההנחיות נוגעות גם לכלי AI פנימיים שמשרדי עורכי דין עשויים לפתח או לאמץ (למשל מודל למיון מסמכים בתוך הפירמה). הלשכה מזהירה כי גם בכלים פנים-ארגוניים יש סיכון של זליגת מידע – בין אם עקב פריצה, בין אם עקב שימוש בענן צד-שלישי. לכן על עוה”ד לוודא שספקי התוכנה החיצוניים מתחייבים בחוזה לא לשתף נתונים עם גורם זר, ולנקוט אמצעים להפרדה ואבטחה של מידע הלקוחות.

יוזמות חקיקה עתידיות וטיוטות רגולציה

• הימנעות מחקיקה רוחבית מיידית: כפי שפורט, עמדת המדיניות הרשמית היא להימנע כעת מחוק מסגרת כולל ל-AI. תחת זאת, הממשלה פרסמה מסמך עקרונות מנחה (דצמבר 2023) עבור משרדי הממשלה והרגולטורים, במקום הצעת חוק. מסמך זה מדגיש רגולציה גמישה, מבוססת סקטור וסיכונים, תוך תיאום בין-לאומי . כלומר, בשלב הנוכחי הרגולטורים פועלים בכלים מנהליים: הוצאת חוזרים, תקנות מכוח חוקים קיימים, הנחיות וקול קורא להערות ציבור (כמו שראינו בבנקאות, בריאות, חינוך וכו’). עם זאת, המדיניות מכירה בכך שבעתיד ייתכן צורך בחקיקה: המסמך המנחה מציע ליצור “מעטפת משפטית חדשנית” שתאפשר עיגון טכנולוגיית ה-AI בחקיקה במהירות לכשתבשיל, כדי לתת מענה להכנסת טכנולוגיות חדשות לשוק . במילים אחרות – להשאיר פתח לחקיקה מהירה בעת הצורך. הממשלה אף החליטה בדצמבר 2023 על מינוי ראש אגף בכיר לבינה מלאכותית במשרד החדשנות, שתפקידו יהיה לרכז את הנושא (תפקיד שטרם אויש נכון ל-2025) . ייתכן שברגע שתהיה סמכות ברורה, יתקדמו גיבוש הצעות חוק ממשלתיות נקודתיות.
• חקיקה פרטנית (“רגולציה רכה”): המהלך המחוקק הראשון בפועל הוא כאמור הצעת החוק לסימון תוכן AI בפרסומות . יוזמות חקיקה נוספות החלו לעלות בשיח, כמו רעיונות לחייב גילוי שימוש ב-AI בתחומים נוספים. למשל, יש המדברים על חיוב פלטפורמות מקוונות לסמן תוכן חדשותי שנוצר ע”י AI, או לחייב מעסיקים ליידע מועמדים אם סינון קורות החיים נעשה בכלי אוטומטי. נכון לעכשיו, לא הוגשו הצעות חוק רשמיות בנושאים אלו, אך הנושא על שולחן ועדת המשנה בכנסת.
• עדכוני חקיקה קיימת: בתחום הגנת הפרטיות, מתוכננים תיקוני חוק מקיפים (כבר מזה כמה שנים) לעדכון חוק הגנת הפרטיות והרחבת סמכויות האכיפה של רשות הפרטיות. תיקון מספר 13 לחוק, שנדון בכנסת קודמת, נועד בין היתר להתאים את הדין הישראלי לסטנדרט GDPR. אם יקודם מחדש, הוא עשוי להעניק עוגנים גם לסוגיות AI – למשל, הסדרת העברת מידע לחו”ל (חשוב לאימון מודלים בענן), קנסות מנהליים משמעותיים להפרות פרטיות, ואולי אף התייחסות לסמכות הרשות לפקח על אלגוריתמים. בנוסף, משרד המשפטים עשוי לבחון הכנסת חובת שקיפות אלגוריתמית לפחות לגבי החלטות מינהליות בעלות השפעה ניכרת על אזרחים, בדומה לחקיקה בצרפת ובאיחוד האירופי (שם טיוטת חוק ה-AI תחייב שקיפות בכלי “סיכון גבוה”). גם ללא חוק ספציפי, פסיקת בתי המשפט עשויה ליצור “חקיקה שיפוטית”: למשל, אם בית דין לעבודה יידרש למקרה של אפליה ע”י אלגוריתם, הוא עשוי לקבוע אמות מידה חדשות (כגון חובת מעסיק לבצע בדיקות תקופתיות למניעת הטיה). כך היה עם סוגיות טכנולוגיות בעבר (דוגמת פס”ד בועז נגד רשות הדואר (2011) שקבע שחיפוש בתיבת דוא”ל של עובד דורש מדיניות מפורשת – עוד לפני שנקבעו הנחיות פרטיות בנושא).
• מעקב אחר ה-EU AI Act והתגוננות לחברות ישראליות: האיחוד האירופי מצוי בשלבים מתקדמים לקראת חקיקת ה-AI Act, מסגרת רגולטורית רוחבית שתחייב סימון מערכות AI, איסור שימושים מסוימים (כמו Social Scoring) והטלת דרישות בטיחות, שקיפות וניטור. חקיקה זו, כשהתאשרר (צפוי ב-2025), תשפיע על חברות ישראליות שפועלות בשוק האירופי. רשות החדשנות כבר פרסמה מידע לחברות על השפעת החוק האירופי הצפוי וכיצד להתכונן לעמידה בו . ייתכן שישראל, שלה הסכם Adequacy עם האיחוד בתחום הגנת המידע, תשקול לאמץ חלק מעקרונות החוק האירופי במסגרת רגולציה מקומית, כדי לשמור על הרמוניזציה. למשל, אם ה-AI Act יאסור כליל שימוש בזיהוי פנים בזמן אמת במרחב ציבורי (נידון באירופה), סביר שהדבר יעורר דיון האם לאמץ איסור דומה או קרוב לכך בישראל. כמו כן, דירקטיבת אחריות אזרחית על נזקי AI (שעוברת הכנה באירופה) עשויה להשפיע על עיצוב כללי האחריות בנזיקין בארץ.
• חשיבה קדימה על הסדרת תוצרים גנרטיביים ותוכן: תחום ה-Generative AI (טקסט, תמונה, קול) מציב אתגר ייחודי – שטף של תוכן סינתטי שקשה להבחין בינו לבין תוכן אנושי. כפי שצוין, כבר יש יוזמה פרסומית אחת. בנוסף, משרד התקשורת החל לבחון את סוגיית “חדשות כזב” ו”דיפ פייק” לאור ביטחון לאומי. ייתכן מהלכים רגולטוריים למשל בחוק הבחירות, שיאסרו שימוש ב-AI להפקת תעמולת בחירות מטעה. בחזית אחרת, עלתה בעולם שאלת זכויות היוצרים של היוצרים האנושיים ביצירותיהם המשמשות לאימון – בישראל חוות הדעת של הייעוץ המשפטי פתרה זאת באופן מסוים לטובת המפתחים, אך אם בעולם יחוקקו חוקים הנותנים ליוצרים זכות לדרוש תמלוגים על שימוש ביצירותיהם ב-AI, ייתכן שגם אצלנו תידרש התאמה.

השלכות משפטיות ואתיות על חברות המפתחות ומיישמות AI

• ציות לחוקים קיימים ואסטרטגיית ציות (Compliance): חברות AI חייבות להטמיע בתרבות הארגונית שלהן מודעות לכך שכל החוקים הכלליים – פרטיות, צרכנות, שוויון, הגנת נתונים, קניין רוחני, אחריות נזיקית וכדומה – חלים גם עליהן. עליהן למפות איזה חוק נוגע לכל יישום: למשל, סטארט-אפ בתחום ה-InsurTech (ביטוח) צריך לוודא שהאלגוריתם שלו לא מפלה מבוטחים בניגוד לחוקי הביטוח והשיויון; חברת אדטק צריכה לוודא שתוכן AI לא מפר זכויות יוצרים או לא מטעה צרכנים. מומלץ למנות קצין ציות או יועץ משפטי הבקיא בטכנולוגיה שילווה את הפיתוח. רגולטורים אף ממליצים לחברות להקדים תרופה למכה: רשות הפרטיות, למשל, קוראת כבר כעת לעסקים המפתחים ומשתמשים ב-AI להתחיל וליישם עקרונות של ניהול סיכוני פרטיות ואבטחה באופן יזום, לא לחכות לחובה חוקית מפורשת . יישום גישה זו יסייע לחברות בהיערכות לעתיד וימזער סיכוני אכיפה.
• ניהול נתונים ואתגרי פרטיות: חלק גדול מיישומי AI נשען על כמויות עתק של נתונים (Data). חברות חייבות להבטיח שכל איסוף המידע והעיבוד שלו נעשים בהתאם לדין: קבלת הסכמות מאנשים כשנדרש, שימוש במידע רק למטרות הלגיטימיות, הבטחת דיוק ועדכניות המידע, כיבוד זכויות עיון ומחיקה של נושאי מידע, וכו’. בישראל, כאמור, ייתכן שיחולו על חברות מקומיות גם חובות חדשות כלפי מידע של אזרחי אירופה הנשמר יחד עם ישראלים, מכוח תקנות העברת המידע החדשות . מבחינה אתית, חברות אמורות לאמץ את עקרון הפרטיות כסטנדרט – כלומר, לעצב את המוצרים כך שפרטיות המשתמשים מוגנת כברירת מחדל. זה כולל אנונימיזציה של נתוני אימון, הימנעות משימוש בנתונים רגישים ככל הניתן, ושקיפות כלפי המשתמש על איזה מידע נאסף וכיצד הוא משמש את ה-AI. צעד מעשי חשוב הוא ביצוע הערכות השפעה על פרטיות (Privacy Impact Assessments) לפני השקת מערכת AI, במיוחד אם היא מעבדת מידע רגיש על אנשים. ציות לדרישות אלו לא רק מונע חשיפה משפטית אלא גם מגביר אמון המשתמשים – משאב חיוני לאימוץ טכנולוגיות AI.
• הוגנות והיעדר הטיה (Fairness & Non-Discrimination): חברות צריכות לבחון לעומק את המודלים שלהן כדי לזהות הטיות אלגוריתמיות אפשריות. אלגוריתם שעבר אימון על דאטה היסטורי עלול לשמר (ואף להגביר) דפוסי אפליה קיימים. למשל, מערכת סינון מועמדים שאומנה על נתוני עובדים בעבר עלולה להעדיף גברים אם בהיסטוריה היו יותר גברים בתפקיד. מבחינה חוקית, אם התוצאה מפלה קבוצת מיעוט באופן שאין לו צידוק ענייני – החברה עלולה להיתבע בעילה של אפליה עקיפה. ולכן מומלץ ליישם תהליכי Audit אלגוריתמי: לבחון כיצד המודל משפיע על תת-קבוצות שונות, ולתקן את המודל או הנתונים בהתאם. כלים טכניים כמו “De-biasing” או החלת מגבלות על מאפיינים מסוימים (למשל, להבטיח שהמודל לא מתחשב בשם פרטי כדי למנוע הטיה אתנית) הם חלק מהפתרון. רגולטורים בעולם שוקלים לחייב דו”חות השפעה אלגוריתמית (Algorithmic Impact Assessments) – מומלץ לחברות להתחיל לבצע זאת מרצון, כדי להיות מוכנות. יתרה מזו, שקיפות היא היבט משלים: אם לקוח מקופח שואל “מדוע לא אושרה לי ההלוואה?”, ראוי שהחברה תוכל לספק הסבר מובן ולא לטעון ל”קופסה שחורה”. ה-OECD ועקרונות הממשלה דיברו במפורש על שקיפות והסברתיות כערך ליבה , ועל חברות להתכוונן לכך. בהיעדר חובה משפטית כללית, זו בעיקר מחויבות אתית כיום, אך היא עשויה להפוך לדרישה עסקית (לקוחות ושותפים עסקיים דורשים לראות “AI Ethics Policy” של החברה וכד’).
• אחריותיות (Accountability) ובקרת אנוש: חברות אינן יכולות להסתתר מאחורי האלגוריתם. מבחינה משפטית, אם נגרם נזק, בית משפט יחפש את הגורם האנושי או החברה המפעילה שאחראים. לכן חשוב לקבוע מנגנוני אחריות פנימיים – למשל, למנות אחראי AI בארגון, צוות אתיקה או ועדה שבוחנת מקרים גבוליים. יש להגדיר נהלים ברורים מתי החלטה שמציע ה-AI דורשת הסקת מסקנות אנושית סופית (Human in the loop), בייחוד בהחלטות הרות גורל (כמו דחיית מועמד לעבודה, אישור הלוואה גדולה, החלטה רפואית קריטית). מתודולוגיות כמו HAI (Human-AI Interaction Guidelines) יכולות לסייע בעיצוב מערכות שמשתפות פעולה עם מפעיל אנושי ולא מחליפות שיקול דעת היכן שלא רצוי. גם תיעוד ודיווח הם חלק מהאחריותיות: חברות צריכות לשמור לוגים של פעולות ונתוני אימון, כדי שאם יידרשו להסביר או לחקור בדיעבד – יוכלו לשחזר מה המערכת “ראתה” ואיך החליטה. הדבר עשוי להידרש הן בהקשר משפטי (גילוי נאות) והן בהקשר של רגולציה – למשל, הפיקוח על הבנקים דורש יכולת להסביר ולשחזר החלטות אשראי אוטומטיות כדי לוודא שלא הייתה טעות או הטיה.
• אבטחת סייבר ועמידות: מבחינה אתית ומשפטית, חברות חייבות לנקוט אמצעים סבירים להגן על מערכות ה-AI שלהן מפני ניצול לרעה או פריצה. אלגוריתם שנפרץ ו”שונה” עלול לקבל החלטות מסוכנות – האחריות במקרה כזה יכולה ליפול על החברה אם התברר שהתרשלה באבטחתו (למשל, לא עדכנה מערכות, השתמשה במודל ידוע כפריץ). גם הגנת קניין רוחני של מודלים נמצאת בתווך: חברות משקיעות באימון מודלים ולכן ירצו להגן עליהם מגניבה. זהו שיקול עסקי, אך גם משפטי – כי גניבת סוד מסחרי (כמו מודל AI) אפשרית, והחוק מגן על הנפגע, אבל רק אם נקט אמצעי סביר לשמור על סודיות המודל. לפיכך, מבחינת compliance, חברה צריכה לקבוע מי נגיש לקוד ולנתונים, להצפין מודלים רגישים, ולנטר שימוש בלתי מורשה.
• עמידה בסטנדרטים וולונטריים וקודי אתיקה: בשל היעדר חוק קשיח בתחומים רבים, על החברות לכוון את עצמן לפי סטנדרטים וולונטריים שהופכים לדה-פקטו חובה בענף. כך למשל, חברות גדולות כמו Google, Microsoft אימצו קודים אתיים פנימיים ל-AI (בנושאי הוגנות, שקיפות, מחויבות לבטיחות וכו’). חברת הזנק ישראלית שתשאף להתקשר עם תאגיד רב-לאומי עשויה להיתקל בדרישה להציג מדיניות אתית פנימית ולהתחייב לעמוד בכללי ה-AI ethics של אותו תאגיד. מגמה זו כבר מורגשת – בין היתר, במכרזי ממשלה או גופים ציבוריים בעולם מתחילים לבקש bidders להסביר איך הם מונעים פגיעות אתיות במוצרי ה-AI שלהם. לכן, אימוץ מוקדם של עקרונות כגון OECD (שישראל כאמור מקדמת ברמה הלאומית ) יכול למצב חברות כ**“אחראיות חברתית”** וכך להעניק להן יתרון תחרותי.
• היערכות לליטיגציה אפשרית: תחום ה-AI צפוי לייצר גם מחלוקות משפטיות תקדימיות. חברות צריכות להתכונן לאפשרות של תביעות ייצוגיות מצד משתמשים הטוענים לפגיעה (למשל, אפליה ע”י אלגוריתם של פלטפורמת תעסוקה), או חקירות רגולטוריות (למשל, רשות התחרות בודקת תיאום מחירים פסול באמצעות אלגוריתם – נושא שכבר הועלה בעולם). שמירה של תעוד ורציונליזציה לכל הבחירות שנעשו בתכנון המערכת יכולה להוות הגנה טובה: אם החברה תוכיח שביצעה בדיקות, שהתכוונתה לא לפגוע, ושעדכנה את המוצר כשנודע לה על בעיה – היא תצטייר כגורם אחראי ובית המשפט עשוי להקל עמה. לעומת זאת, התעלמות מזדון מסיכונים ידועים (כגון התראה פנימית על אפליה שהוחלט “לטאטא מתחת לשטיח”) עלולה להיחשב רשלנות חמורה או אף זדון, עם השלכות משפטיות קשות.
• תדמית ואמון הציבור: בהיבט האתי, מעבר לדרישות החוק, חברות נדרשות לזכות באמון המשתמשים והציבור הרחב. פרשיות שליליות (כמו דליפת מידע של משתמשי חדר כושר לתוך מאגר AI, או דו”ח מבקר המדינה שמתריע על היעדר אתיקה מספקת) עלולות לפגוע קשות במוניטין של חברה או ענף. לכן מומלץ לחברות לקיים אתיקה ארגונית פרואקטיבית: למשל, להסביר באופן שקוף באתר החברה כיצד המוצר פועל ומה מגבלותיו, לפרסם מדיניות שימוש הוגן ב-AI שכל לקוח יכול לקרוא, ולהדריך את הצוותים הפנימיים (מתכנתים, אנשי דאטה) על חשיבות האתיקה. גישה זו לא רק מצמצמת סיכוי לרגולציה שלילית, אלא גם מושכת יותר לקוחות ושותפים שיראו בחברה מובילה באחריות.