רפורמה משמעותית ב-GDPR צפויה לחייב חברות AI לחשוף איך בדיוק אימנו את המודל
טיוטה אירופית שהודלפה דורשת שקיפות מלאה על דאטה לאימון AI וזכות מחיקה, אבל פעילי פרטיות טוענים: "הרשות מכינה מתנות לביג טק ומחלישה את החוק"
תמונה: dreamstime
האיחוד האירופי מתכנן את אחד השינויים הגדולים ביותר בעשור האחרון בכללי הפרטיות: רפורמה מקיפה בחוק ה-GDPR שנועדה להתאים את ההגנה על פרטיות המשתמשים לעידן ה-AI. כך לפי טיוטה שהודלפה ופורסמה אתמול באתר The Register.
הנציבות האירופית מבינה שצריך לעשות סדר באיסוף ועיבוד המידע האדיר שקורה היום, והעדכון נועד להתאים את חוקי ההגנה על פרטיות המשתמשים לעידן שבו מערכות מבוססות בינה מלאכותית אוספות ומעבדות מידע בקצב עצום, לעיתים בלי שהמשתמשים בכלל מבינים את היקף הנתונים שנאסף עליהם. הטיוטה, שצפויה להיחשף רשמית במסגרת חבילת ה-"Digital Omnibus", מתמקדת בליבת הבעיה: שימוש במידע אישי לאימון מודלים.
לפי ההדלפה, חברות יחויבו לחשוף מתי נעשה שימוש במידע אישי לאימון מודלי AI, להסביר באילו נתונים השתמשו ולאפשר למשתמשים לדרוש מחיקה או הוצאה (Opt-Out) של הנתונים שלהם ממערכות כאלה. בנוסף, נבחנת האפשרות להטיל אחריות ישירה גם על ספקיות שירותי AI שאינן בעלות המידע, כמו מפתחי מודלים שעובדים עם דאטה מצד שלישי. המשמעות: רף הציות (Compliance) באירופה צפוי לעלות משמעותית עבור כל גורם שמעורב בפיתוח או בהטמעה של טכנולוגיות AI.
תמונה: dreamstime
הקאץ': החשש שה-GDPR נחלש
יש כמובן גם צד שני: ארגוני פרטיות אירופיים, ובראשם ארגון Noyb, יצאו בהתקפה חזיתית על הטיוטה. לטענתם, לצד הדרישות לשקיפות ב-AI, הרפורמה דווקא מכילה "חורים" שעלולים להחליש את החוק הקיים. לדבריהם, הרשות עשויה להקל על חברות להשתמש במידע שעבר הסוואה חלקית (פסאודו-אנונימיזציה) בלי ליישם את כל ההגנות. בנוסף, יש סעיפים שלכאורה עלולים להגביל את היכולת של המשתמשים לדרוש גישה, תיקון או מחיקה של הנתונים שלהם במקרים מסוימים. באיחוד טוענים שהמטרה היא לעודד חדשנות ולהקל על עסקים קטנים, אבל המבקרים מזהירים שמדובר במתנה לביג טק, שייהנו לכאורה מגמישות רבה יותר להשתמש במידע רגיש שהם אוספים עלינו.
מדובר עדיין בטיוטה לא סופית, וצפוי עוד סבב התייעצות עם מדינות האיחוד ועם נציגי תעשיית הטכנולוגיה. לפי הערכות, הגרסה הרשמית תפורסם ברבעון הראשון של 2026 ותיכנס לתוקף כשנה לאחר מכן. הנציבות עצמה לא פרסמה תגובה רשמית, אך ב-The Register מדווחים כי מקורות בבריסל מאשרים שהדיונים בנושא מתקדמים.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
התפתחות קריטית גם עבור חברות ישראליות
עבור חברות ישראליות שפועלות באירופה או מספקות שירותים לארגונים אירופיים, מדובר בהתפתחות קריטית. ארגונים רבים הסתמכו עד היום על הסכמה כללית או אנונימיזציה חלקית, ואם השינויים יאושרו הם יידרשו להוכיח ניהול שקוף, תיעוד מלא של שימוש בנתונים ובקרה פרטנית של משתמשים. זה יחייב השקעה ניכרת במנגנוני ציות (Compliance) ופרטיות מתקדמים.
בטווח הרחב יותר, לרפורמה עשויה להיות גם השפעה על חברות ישראליות שפועלות רק בשוק המקומי. ברגע שה-GDPR המעודכן יהפוך לסטנדרט עולמי חדש, מדינות נוספות צפויות לאמץ חוקים דומים, כפי שקרה בגל הראשון ב-2018, אז נכנס החוק לתוקף בפעם הראשונה.
בישראל פועלות הרבה חברות AI שמכוונות בין היתר לשוק האירופי. ואם וכאשר השינוי הזה ייכנס לתוקף הן יצטרכו לתכנן מראש תשתית שמאפשרת שקיפות, בקרה וזכות למחיקה, גם אם אינן מחויבות לכך לפי החוק הישראלי, לפחות בינתיים.
