ה-AI גרם לאירופה להבין שהפרטיות כבר לא מעל הכל
שטח פרטיהרפורמה ב-GDPR וב-Digital Omnibus מראה שהאיחוד האירופי מוותר בהדרגה על עליונות הפרטיות לטובת צמיחה עסקית
נוצר באמצעות AI
האיחוד האירופי עומד בפני אחת ההתאמות הרגולטוריות המשמעותיות מאז כניסת ה-GDPR לתוקף בשנת 2018. התיקון החדש, שמגיע כחלק מחבילה שנקראת Digital Omnibus, נועד לשלב בין ערכי זכויות האדם שעליהם נשען ה-GDPR לבין השאיפה של אירופה להשתלב במרוץ הגלובלי לבינה מלאכותית. המטרה: לאפשר עיבוד מידע בהיקפים גדולים למטרות חדשנות, מחקר וכלכלה, מבלי לפרוץ לגמרי את מסגרת ההגנה על זכות האדם לפרטיות.
האם ההצעה החדשה מצליחה בזה? לא בטוח.
שינוי לא אופייני
התיקון, שטיוטה שלו הודלפה בשבוע שעבר, אמור להיכנס לתוקפו בתחילת 2026 והוא מרכך את הדרישה להסכמה מפורשת (explicit consent) ומאפשר שימוש גמיש יותר בבסיס החוקי של אינטרס לגיטימי. במילים פשוטות: לא כל עיבוד של מידע אישי לצורכי AI יחייב קבלת הסכמה פרטנית, וגרוע מכך – גם לא יהיה שקוף לנושאי המידע. מה זה אומר? שאם יש תועלת חברתית, מחקרית או כלכלית מוכחת שעיבוד המידע יספק לציבור, ניתן יהיה לעבד את מידע האישי גם בלי "קליק" של המשתמש.
המהלך הזה מזכיר את ההיגיון של ה-AI Act: רגולציה שמטרתה להבטיח תחרותיות, שקיפות ובטיחות טכנולוגית בעת עיבוד מידע אישי וזכויות קניין רוחני. עם זאת, השינוי המוצע כיום דווקא מרכך דווקא את הפרטיות כערך עליון, וה-GDPR המתוקן בעצם יאפשר להעדיף חדשנות ואינטרס כלכלי של אירופה, כדי שתוכל להיות שחקנית בולטת יותר במגרש המשחקים העולמי של הבינה המלאכותית, וזה יבוא ככל הנראה על חשבון הפרטיות של האדם הפרטי. זה אמנם לא אופייני לרגולציה האירופית, אבל אסור לזלזל בשאיפה של האיחוד לצמיחה טכנולוגית.
למפתחי מוצרים, לחברות SaaS ולחוקרי Data Science זהו שינוי משמעותי: תידרש פחות בירוקרטיה סביב בקשת הסכמה, אך תידרש יותר אחריותיות – Accountability, הסבר ברור, ניתוח האינטרסים של הפרט והציבור באמצעות מנגנונים כמו Legitimate Interest Assessment. המשמעות היא שהנטל להוכיח שהשימוש במידע עומד בעקרונות ההוגנות והשקיפות, יהיה על החברות שיעבדו את המידע.
תמונה: dreamstime
מרחיבים את הגבולות
התיקון החדש נוגע בליבה של סעיף 6 ב-GDPR – הבסיסים החוקיים לעיבוד מידע אישי. ההצעה להרחיב את השימוש ב"עניין לגיטימי" ולהגדיר מחדש מה נחשב "מידע אישי" מול מידע מותאם (pseudonymised data) משנה את הדרך בה חברות יכולות לעבוד עם נתונים.
המשמעות המעשית היא שהעיבוד של מידע ביומטרי, בריאותי או גנטי יתאפשר אם הוא נדרש ל"טובת הציבור" או לאימון מודלי AI, בכפוף לתיעוד שמראה שהשימוש אינו פוגע בזכויות האדם. בנוסף, הגבולות בין מטרת העיבוד המקורית למטרה חדשה עלולים להיטשטש, ותקופות השמירה על מידע עשויות להתארך כחלק מתהליך הלמידה של מודלים מבוססי AI.
כך, הציבור ממשיך "לשלם" במידע אישי עבור שירותים חינמיים, והגישה האירופאית מתחילה להתקרב לאמריקניזציה של פרטיות, רק עם דגש גדול יותר על טובת הציבור והצמיחה הכלכלית.
העיבוד של מידע ביומטרי, בריאותי או גנטי יתאפשר אם הוא נדרש ל"טובת הציבור" או לאימון מודלי AI, בכפוף לתיעוד שמראה שהשימוש אינו פוגע בזכויות האדם
השפעה ישירה על ניהול המידע בארגונים
השינויים האלה משפיעים ישירות על הדרך שבה ארגונים מנהלים את המידע. Digital Omnibus משנה את תפיסת מחזור חיי הנתונים – מתכנון, דרך איסוף ועד ביעור. במקום להתמקד בהגבלות, היא מעודדת ניהול אחראי לאורך כל ה-Data Life Cycle. כך זה נראה:
– תכנון: גישה מבוססת סיכונים, עם תסקירי השפעה על פרטיות.
– איסוף: ניתן לאסוף כמויות מידע רחבות יותר למטרות AI, כל עוד הן מתועדות, מוצדקות ומוגנות.
– עיבוד ושימוש חוזר: עיבוד חוזר (repurposing) יתאפשר משפטית אם יתועד ויעמוד בעקרון המידתיות.
– שמירה וביעור: שמירה ממושכת תהפוך לנפוצה יותר, תוך שימוש ב-pseudonymisation והערכת סיכונים שוטפת.
– אחריותיות: חובה לתעד מקורות מידע, אופן שימוש ותהליכי ההחלטה של המודלים, לא רק לצורך פרטיות אלא גם לצורך שקיפות והגינות.
בפועל, מדובר במעבר מתפיסה של הימנעות מעיבוד למודל של עיבוד בבקרה חכמה, בדומה למודל הרמזורים שהציע החוקר פולר בשנות ה-70.
השינויים האלה אינם רק טכניים, הם משקפים את המתח הערכי שבין הגנת פרטיות לבין הצורך של אירופה להיות שחקן מרכזי בשוק הגלובלי של הבינה המלאכותית. GDPR מגן על האדם, בעוד AI Act מגן על השוק. הרפורמה הצפויה בחוק הגנת הפרטיות ביבשת מראה כי האיחוד האירופי מבין שאם יישאר מחויב לגישה של "פרטיות קודמת לכול", מעמדו הכלכלי כנראה יאבד.
המאבק הגלובלי על בינה מלאכותית הוא גם מאבק על שליטה בכלכלה ובעוצמה לאומית. כפי שאמר נשיא ארצות הברית דונלד טראמפ ב-2019: "Whoever leads in artificial intelligence will rule the world".
עו״ד רונית קריספין היא מומחית בהגנת מידע ופרטיות. בעברה מנהלת הסיכונים הראשית של חדרי המחשב של חברת אינטל בעולם, יועצת בכירה לסיכוני אבט"מ ב-EY ומתמחה ברשות להגנת הפרטיות. כיום הבעלים של חברת PriveIT המספקת שירותי הגנת מידע ופרטיות לחברות מובילות בישראל ובעולם.
