- עמרי רחום-טוויג
המשפט לומד את המכונה: ה-AI Act האירופי כחקיקה טכנולוגית בזמן אמת
מבוא
המשפט מפגר אחרי הטכנולוגיה. זו כמעט מוסכמה חברתית. לאורך ההיסטוריה חזינו במופעים רבים של טכנולוגיה חדשה שהפציעה, שינתה סדרי עולם, קידמה את האנושות, יצרה סיכונים (ונזקים) חדשים, ורק בחלוף שנים רבות נוצרו הסדרים משפטיים ייעודיים להתמודד עם התופעה הטכנולוגית-חברתית החדשה. כך היה עם המצאת הדפוס, החשמל והתעשייה, המצלמה והקולנוע, הטלוויזיה והאינטרנט.
המהפכה הטכנולוגית-חברתית הנוכחית היא מהפכת הבינה המלאכותית (AI). אבל ניכר שהפעם, בצד התחזיות בדבר עומק ההשפעה של הטכנולוגיה על עתיד האנושות, התגובה המשפטית מגיעה מהר יותר.[1] תגובית זו תסקור את חוק הבינה המלאכותית האירופי (AI Act) שצפוי להיחקק בתחילת חודש אפריל 2024 ולהיכנס לתוקף בהדרגה על פני שנתיים,[2] ותציע תובנות ביקורתיות ראשוניות אודותיו.
ההסדרים העיקריים בחוק
ה-AI Act הוא חוק מקיף המשתרע על פני כ-245 עמודים (כולל דברי ההסבר) ויוצר הסדרים חקיקתיים רבים וביניהם הקמה של רשויות רגולטוריות, מנגנוני תיאום בין גופים מדינתיים שונים ועוד. הדיון כאן יעסוק בהוראות האופרטיביות של החוק שצפויות לחול על מי שמייצר, מפיץ, משווק או מפעיל טכנולוגיה מבוססת AI.
תחולה
לחוק שבע מטרות עיקריות. (1) קביעת מסגרת כללים כלל אירופית להכנסת מערכות AI לשוק האירופי; (2) איסור על שימוש במערכות AI מסוימות; (3) קביעת דרישות מוגברות למערכות AI בסיכון גבוה; (4) יצירת חובות שקיפות ביחס למערכות AI; הסדרה של הפצה של מערכות AI לשימוש כללי (GPAI); (6) קביעת כללים לגבי ניטור, פיקוח ואכיפה על מוצרים שהופצו לשוק; ו-(7) קביעת אמצעים לעידוד ולתמיכה בפיתוח טכנולוגי, בעיקר לעסקים קטנים ובינוניים ולחברות הזנק.[3]
מושג המפתח בחוק הוא מערכת AI, המוגדרת כ"מערכת מבוססת מכונה המתוכננת לפעול בדרגות שונות של אוטונומיה ועשויה להדגים יכולות הסתגלות לאחר פיתוחה, ואשר, למטרות מפורשות או משתמעות, מסיקה מהקלט שהיא קולטת כיצד לייצר פלט דוגמת תחזיות, תוכן, המלצות או החלטות שיכול להשפיע סביבות פיזיות או וירטואליות".[4]
לחוק תחולה אקסטרה-טריטוריאלית רחבה והוא יחול על כל מי שמפתח, מספק, מייבא, מפיץ או מייצר מערכות AI המוצעות לשימוש באיחוד האירופי, ללא תלות בשאלת מקום מושבו של אותו אדם או חברה.[5] בדומה להוראותיו האקסטרה-טריטוריאליות של התקנות האירופיות בדבר הגנת מידע (GDPR) אשר יצרו, בפועל, סטנדרט בינלאומי של הגנת פרטיות, כך יש לצפות שתחולתו האקסטרה-טריטוריאלית של החוק תוביל לאימוץ של הוראותיו על ידי ארגונים רבים מסביב לעולם, בין אם בשל תחולתו הישירה עליהם, בין אם מטעמי רגולציה עצמית ובין בשל דרישות חוזיות או עסקיות של לקוחות או שותפים עסקיים הכפופים להוראותיו של החוק. בכלל זאת, יש לצפות שחברות ישראליות רבות, בין אם הן מפתחות מערכות AI או משלבות מערכות AI במוצרים או שירותים טכנולוגיים שהן מפיצות מחוץ לישראל, יידרשו בקרוב לבחון את עמידתן בהוראות החוק ולציית לו.
בצד זאת, החוק לא יחול על שימוש במערכות AI למטרות צבאיות או למטרות ביטחון לאומי בלבד, במצבים של שימוש אישי ולא מסחרי, בשלבי הפיתוח של מערכות AI או כאשר על עצם העמדת מערכת AI לרשות הציבור כקוד פתוח.[6]
מערכות AI אסורות
פרק 2 לחוק קובע את ההוראה האופרטיבית הראשונה בדבר איסור על שימושים מסוימים במערכות AI. מערכות AIאו שימושים בהן שנאסרו הם אלה:
1. מערכות AI שמשתמשות בשיטות תת-מודע או בשיטות המכוונות למניפולציה או הטעיה במטרה לשבש באופן מהותי את התנהגותם של אדם או קבוצת בני אדם על ידי שימוש יכולתם לקבל החלטות מדעת, ובכך גורמות לאדם לקבל החלטה שלא הייתה מתקבלת באופן אחר ושעלולה לגרום לאותו אדם נזק מהותי;
2. מערכות AI המנצלות את פגיעותם של אדם או קבוצה מסוימת של אנשים לאור גילם, מוגבלותם או מצב חברתי או כלכלי מסוים שלהם, במטרה לשבש את התנהגותם באופן מהותי ובאופן שעלול לגרום להם לנזק מהותי;
3. שימוש בזמן אמת במערכות לזיהוי ביומטרי מרחוק במקומות ציבוריים למטרות אכיפת חוק, למעט למטרות המוגבלות הבאות: (א) חיפוש ממוקד של קורבן חטיפה, סחר בבני אדם, ניצול מיני או אנשים נעדרים; (ב) מניעה של סיכון ממשי, מידי ומסוים לחיים או לנזק גוף או חשש כן למתקפת טרור; או (ג) איתור וזיהוי של אדם החשוד בביצוע עבירה מסוג העבירות המנויות התוספת;
4. מערכות AI שמטרתן ניבוי הסיכוי או הסיכון שאנשים יבצעו עבירות פליליות בהתבסס רק על פרופיל של אותם אנשים או הערכת דפוסי אישיות שלהם, במנותק מהערכה אנושית קודמת ביחס למעורבותם בפעילות פלילית;
5. מערכות AI שמטרתן יצירה או הרחבה של מאגרי מידע לזיהוי פנים באמצעות גירוד מידע (scraping) של תמונות פנים מהאינטרנט או ממצלמות אבטחה;
6. מערכות AI להסקת רגשות של אדם במקום העבודה או במוסדות חינוך, למעט למטרות רפואיות או בטיחות.
המגבלה על זיהוי ביומטרי בזמן אמת במרחב הציבורי למטרות אכיפת חוק היא מגבלה רכה יותר, שהינה תוצאה של פשרה פוליטית, המאפשרת למדינות החברות באיחוד האירופי לקבוע כללי הפעלה שונים של סמכות השימוש במערכות AI למטרה זו, וכן את הדרכים בהן יינתנו אישורים מראש או צווים להפעלת יכולות אלה.[7]
מערכות AI בסיכון גבוה
פרק 3 בחוק עוסק במערכות AI בסיכון גבוה. החוק מגדיר בתוספת השנייה סוגי מוצרים שמערכת AI שאחראית על הבטיחות שלהם תיחשב למערכת בסיכון גבוה. בנוסף, בתוספת השלישית מוגדרים תחומי פעילות שהפעלת מערכת AI בהן תיחשב למערכת AI בסיכון גבוה. בין אלה ניתן למצוא מערכות זיהוי ביומטרי מרחוק, מערכות קטלוג ביומטרי, מערכות המשולבות בתשתיות קריטיות, מערכות המשולבות בהיבטים מהותיים של הוראה והערכה של תלמידים, מערכות הקשורות בקבלה לעבודה או ליחסי עבודה, מערכות בשימוש רשויות ציבוריות, מערכות לצרכי דירוג אשראי ועוד.
על מערכות AI בסיכון גבוה חלות חובות מוגברות שבהן יש לעמוד בשים לב למטרות המיועדות שלהן ולמיטב הטכנולוגיה הקיימת. אפנה לדון בהן כעת.
מערכת ניהול סיכונים
יצרנים או מפיצים של מערכות AI בסיכון גבוה מחויבים לגבש, להטמיע ולתעד מערכת ניהול סיכונים מתאימה. מערכת ניהול הסיכונים תהיה תהליך חזרתי שיתקיים לאורך כל מחזור החיים של מערכת ה-AI – מחקר ופיתוח, בדיקות, יישום והפצה, וחייב לכלול את הצעדים הבאים: (א) זיהוי וניתוח של הסיכונים הידועים הניתנים לצפייה באופן סביר; (ב) הערכה של הסיכונים שצפויים לצמוח מהשימוש במערכת ה-AI בשים לב למטרות השימוש המיועדות שלה או שימוש לרעה צפוי באופן סביר; (ג) הערכה של סיכונים אחרים שיכולים לצמוח על בסיס ניטור של המערכת לאחר הגעתה לשוק; (ד) אימוץ של אמצעים נאותים וממוקדים לניהול סיכונים המתוכננים להפחית את הסיכונים שזוהו על בסיס השלבים הקודמים.
מערכת ניהול הסיכונים צריכה להתמודד רק עם כאלה שיכולים להיות מופחתים באופן סביר על ידי פיתוח או עיצוב של המערכת או על ידי מתן מידע טכני נאות. למעשה, מובלעת בכך הנחת יסוד שמערכת AI בסיכון גבוה טומנת בחובה סיכונים מובנים שלא ניתן יהיה להפחית. מאידך, החוק דורש שתכנית הפחתת הסיכונים תיושם כך שכל סיכון שזוהה יהיה מתקבל על הדעת לאחר הפחתתו.
החוק דורש שמערכת ה-AI בסיכון גבוה תיבדק כנגד תכנית הסיכונים והפחתת הסיכונים בכל שלבי הפיתוח ולפני הפצת המערכת לשוק.
מידע ומשטר נתונים
כיוון שמערכות AI מפותחות לרוב באמצעות מודלים מבוססי נתוני עתק, החוק דורש שמערכות AI בסיכון גבוה יפותחו על בסיס מערכי נתוני אימות, וידוא ובדיקה העומדים באמות מידה מסוימות לצורך בחינת איכות הנתונים. לצורך כך, החוק דורש שמערכי הנתונים יהיו כפופים למשטר נתונים הכולל התייחסות לבחירת תכנון המודלים, תהליכי איסוף הנתונים ומקורותיהם, לרבות מטרות האיסוף המקוריות, תהליכי הכנת הנתונים לעיבוד דוגמת תיוג, ניקוי והעשרת נתונים, גיבוש הנחות היסוד בדבר הנתונים, הערכה של זמינות, איכות והתאמת הנתונים הנדרשים, בחינה של הטיות מובנות בנתונים שעלולות להשפיע על בריאות, בטיחות או זכויות יסוד של אנשים לרבות הפליה אסורה, אמצעים נאותים לזיהוי, מניעה והפחתת אפשרות להטיות כאמור וזיהוי של פערים או כשלים בנתונים שיכולים להוביל להפרת הוראות החוק.[8]
הנתונים עצמם, כך קובע החוק, צריכים להיות ייצוגיים באופן מספק, וככל האפשר חפים מטעויות. החוק קובע שהנתונים צריכים לכלול מאפיינים סטטיסטיים נאותים בשים לב לאנשים או קבוצות האנשים אליהם המערכת מתייחסת, וחייבים לקחת בחשבון את מטרות השימוש במערכת מבחינת מיקום גיאוגרפי, הקשר, וסביבה התנהגותית או תפעולית של המערכת.[9]
תיעוד
החוק דורש שלכל מערכת AI בסיכון גבוה יהיה תיעוד טכני כתוב לפני הפצתה לשוק. התיעוד צריך להיכתב בצורה שמדגימה כיצד המערכת עומדת בהוראות החוק, ולכל הפחות להתאים למפרט הקבוע בתוספת הרביעית לחוק. עסקים קטנים ובינוניים לרבות חברות הזנק יוכלו לספק תיעוד מפושט יותר על בסיס מפרט שיפורסם על ידי הרגולטור.[10]
מערכות AI בסיכון גבוה יצטרכו גם לשמור תיעוד של כל האירועים הרלוונטיים למערכת במהלך חייה. תיעוד האירועים צריך לאפשר זיהוי מצבים בהם המערכת מציבה סיכון ולאפשר ניטור של המערכת לאחר הפצתה לשוק. ביחס למערכות מסוימים, התיעוד צריך לאפשר גם להבין איזה בסיס נתונים שימש לצורך כל פעילות של המערכת והקלט ששימש לצורך פעילות המערכת.[11]
שקיפות ומתן מידע
אחת מדרישות הליבה של החוק היא שקיפות. החוק דורש שמערכות AI בסיכון גבוה יתוכננו ויופצו באופן שהפעלתם תהיה שקופה באופן מספק ותאפשר למפיצים שלה לפרש את הפלט שלה ולהשתמש בו באופן נאות. בכלל זאת, המערכת צריכה להיות מלווה בהוראות שימוש הכוללות מידע תמציתי, מלא, מדויק וברור שהוא רלוונטי, נגיש וניתן להבנה עבור משתמשיה.[12]
ההוראות צריכות לכלול לכל הפחות את הפירוט הבא: זהות ספק המערכת, המאפיינים, היכולות והמגבלות של ביצועי המערכת לרבות מטרות השימוש המיועדות בה, רמת הדיוק והבטיחות שלה, הסיכונים לבריאות, בטיחות, זכויות יסוד שהיא מציבה, המידע הטכני הנדרש כדי להסביר את תוצאותיה, הביצועים של המערכת ביחס לאנשים או קבוצות אנשים מסוימים, מפרט ביחס לנתוני הקלט של המערכת ומידע הדרוש כדי להבין את הפלט שלה, אמצעי הפיקוח האנושי שחלים על המערכת, משאבי המחשוב והחומרה הנדרשים להפעלתה ותוחלת החיים של המערכת והיכולת לצפות בתיעוד שהמערכת מייצרת ולהבין אותו.[13]
פיקוח אנושי
החוק דורש שמערכות AI בסיכון גבוה יפותחו כך שיהיו כפופות לפיקוח אנושי. מטרת הפיקוח האנושי היא למנוע או להפחית סיכונים לבריאות, לבטיחות או לזכויות יסוד, בייחוד כאשר אין אמצעי הפחתת סיכון אחרים. אמצעי הפיקוח האנושי צריכים להיות מותאמים לסיכונים ולמידת האוטונומיה וההקשר של המערכת.
לצורך ביצוע הפיקוח האנושי, החוק דורש שמערכות AI בסיכון גבוה יופעלו כך שהמפקח האנושי יוכל להבין את יכולות ומגבלות המערכת ולנטר את פעילותה, לרבות ניטור אנומליות ופעילות בלתי תקינה,[14] להיות מודע לנטייה להסתמך יתר על המידה על הפלט של המערכת, במיוחד כאשר המערכת מיועדת לספק המלצות לקבלת החלטות אנושית, להבין את הפלט של המערכת ואת משמעותו, וכן להחליט, בכל מצב, שלא להשתמש במערכת, להתעלם ממנה או לעקוף את פעילותה, להתערב בפעילות המערכת או להפסיקה באמצעות כפתור "עצור".[15]
דיוק, חוסן והגנת סייבר
מערכות AI בסיכון גבוה צריכות להיות מתוכננות באופן שיבטיח רמה נאותה של דיוק, חוסן והגנת סייבר לאורך כל מחזור החיים של המערכת. רמת הדיוק של המערכת צריכה להיות מפורטת בהנחיות השימוש בה, ואת חוסנה של המערכת ניתן להבטיח באמצעות מנגנוני יתירות דוגמת גיבוי או אל-פסק.
כאשר המערכת ממשיכה ללמוד לאחר הפצתה לשוק, עליה להיות מפותחת כך שתפחית ככל הניתן את הסיכון לפלט מוטה המשפיע על הקלט בפעילות עתידית שלה. המערכת צריכה גם להיות חסינה מפני ניסיונות בלתי מורשים לשנות את אפשרות השימוש בה ואת הפלט שלה, ובכלל זאת עליה להיות מפותחת תוך כדי ניסיונות לאתגר תקיפה חיצונית של המערכת.[16]
ניטור לאחר הפצה לשוק
ספקי מערכות AI בסיכון גבוה חייבים להקים מערך ניטור של המערכת לאחר הפצתה לשוק באופן ההולם את הסיכונים שהיא עלולה להציב. הניטור השוטף צריך לאסוף באופן פעיל ועקבי נתונים על השימוש במערכת ואופן התקשורת שלה עם משתמשים ועם מערכות AI אחרות. כל זאת, בהתבסס על תכנית פעולה לניטור שוטף של המערכת במטרה לצמצם סיכונים שהמערכת מייצרת בזמן אמת.[17]
מערכות AI רגילות ומערכות AI לשימוש כללי
מערכות AI שאינן מערכות בסיכון גבוה פטורות משלל החובות המחמירות שתוארו לעיל. עם זאת, כל מערכת AIשנועדה לייצר תקשורת עם אנשים, דוגמת צ'אט-בוט שמשתמש ביכולות בינה מלאכותית כדי לתת שירות לקוחות עבור חברת סחר מקוון, צריכה להיות מתוכננת ומופצת באופן שמיידע את האנשים האמורים שהם מתקשרים עם מערכת AI. כאשר המערכת מייצרת קול, תמונה, וידאו או טקסט באופן סינתטי, עליה לסמן את תוצריה באופן הניתן לעיבוד ממוחשב כך שניתן יהיה להבין שמדובר בתוצרים סינתטיים, באופן שככל הניתן מבחינה טכנולוגית הוא בטוח.[18]
כך גם ביחס למערכות שמבצעות מניפולציה על תמונה, קול או וידאו באופן שיוצר זיוף עמוק (deep fake), ועליהן להבהיר שתוצרי המערכת אינם אמיתיים, למעט במצבים שבהם הדבר ברור בהיבטי פארודיה או אמנות.[19]
מערכות AI למטרות כלליות יהיו מחויבות בהכנת תיעוד טכני של המודל שהן מבוססות עליו לרבות תהליכי האימון והבדיקות של המודל כמפורט בתוספת לחוק ויעמידו לרשות מפיצי מערכות AI שמתבססות עליהן מידע מספק כדי להבין את יכולות המערכת ומגבלותיה וכן לפי המפרט הקבוע בתוספת. הן חייבות גם להטמיע מדיניות בדבר אופן הציות של המערכת לדיני זכות היוצרים באיחוד האירופי ולפרסם תמצית של התוכן ששימש באימון המודל שבבסיס המערכת.
מערכות AI למטרות כלליות שיש להן יכולות השפעה גבוהה, כיוון שהן פותחו על בסיס היקפי נתונים גדולים באופן מיוחד או כיוון שיש להן בפועל השפעה רחבה על הציבור, דוגמת מערכות מבוססות מודלי שפה גדולים (LLM) כמו ChatGPT, Gemini ואחרות, יהיו חייבות בדיווח לרגולטור, וכן יחויבו לעמוד בתקנים וקודי התנהגות רשמיים שיפורסמו לפי החוק. מערכות אלה יחויבו גם לבצע הערכה של המודל שבבסיסן בהתאם לטכנולוגיה המיטבית הקיימת כדי לזהות ולהפחית סיכונים מבניים, לתעד אירועים חמורים הקשורים בשימוש במערכת ולהבטיח רמה נאותה של הגנת סייבר ביחס למערכת.
אכיפה וקנסות
בהתאם לחוק, הקים האיחוד האירופי את משרד ה-AI שיהיה רגולטור העל לפיקוח על החוק. לרגולטור סמכויות אכיפה רבות, לרבות קבלת מידע, חקירה ומתן הוראות לתיקון לרבות הפסקת פעילות של מערכת AI. הסמכות העיקרית והמשמעותית ביותר היא סמכות הטלת הקנסות המנהליים. הסנקציה הגבוהה ביותר – קנס של עד 35 מיליון יורו או 7% מהמחזור הגלובלי של מבצע ההפרה – שמורה להפרה של ההוראות האוסרות על שימוש בטכנולוגיות AI מסוימות. הפרה של יתר הוראות החוק יכולה להוביל לקנס של 15 מיליון יורו או 3% מהמחזור הגלובלי של הגוף המפר.
קריאה ביקורתית
היעדר דיון בסוגיית האחריות האזרחית
בעוד שהחוק מטיל חובות רבות שחלות על מפתחים, מפיצים, משווקים ומשתמשים במערכות AI בשלבי הפיתוח, ההפצה לשוק והשימוש השוטף במערכות אלה, החוק עוסק בעיקר בחובות תהליכיות ופנים-ארגוניות הנוגעות לניהול סיכונים, שקיפות ומניעת הטיות, החוק אינו עוסק כלל בשאלת האחריות של אותם גורמים לנזקים שיכולים להיגרם על ידי מערכות AI. למעשה, אפילו במסגרת מנגנון ארגז החול לניסוי טכנולוגיות חדשות, החוק קובע שאינו מסדיר את סוגיית האחריות הנזיקית של מפעילי מערכות AI.[20]
שאלת ייחוס האחריות לנזקי מערכות AI היא שאלת ליבה בשיח המשפטי על הטכנולוגיה והיעדרה מדבר חקיקה מרכזי, חדשני ומשמעותי כל כך מעוררת תמיהה ומותירה פער במארג החקיקתי והנורמטיבי בדבר היכולת המשפטית להסדיר פעילות חברתית חדשה זו.[21]
מקל בלי גזר – היעדר פטורים או חופי מבטחים לטכנולוגיות בטוחות
בצד האמור לעיל בדבר היעדר התייחסות בחוק לאחריות אזרחית בדבר נזקי מערכות AI, ניתן לעמוד על כך שהחוק עוסק כמעט באופן מוחלט בהטלת חובות ואחריות על גופים העוסקים בפיתוח, שיווק, הפצה או שימוש במערכות AI, המייצרות נטל רגולטורי בלתי מבוטל, ללא כל תמריץ למעט הרצון להימנע מהסנקציות המשמעותיות שבארגז הכלים של הרגולטור. החוק אינו מייצר מנגנוני הטבה או הפחתת אחריות לגופים שיצייתו באופן מלא להוראותיו.
היעדר התמריץ החיובי בחקיקה שמטרתה לייצר חובות שעמידה בהן אמורה להפחית בצורה ניכרת את ההחצנות השליליות של הטכנולוגיה ולהבטיח שהיא תגיע לשוק במצב בטיחותי ובטוח יותר לשימוש, מעורר שאלות ברמה הנורמטיבית. הצעתי במקום אחר להעניק חופי מבטחים משפטיים או חזקה היעדר-אחריות ליצרני מערכות AIשמדגימים עמידה בחובות חקוקות הנוגעות לבטיחות הטכנולוגיה שלהם.[22] ניתן לחשוב על כללים משפטיים אחרים המייצרים תמריץ ליצרנים ומשתמשים מסחריים במערכות AI לעמוד בחובות הבטיחות וניהול הסיכונים הרגולטוריות. ויתור על עיקרון זה עלול לייצר שיווי משקל כלכלי שאינו מיטבי, כזה שעלול להוביל להפחתת שימוש במערכות AI גם כאשר יש להן ערך חברתי משמעותי וכאשר ההחצנות השליליות שלהן מועטות.
הנחת יתר בדבר יכולות טכנולוגיות
הוראות רבות בחוק ובעיקר חובות משמעותיות שהוא מטיל על יצרניות מערכות AI מניחות הנחות מרחיקות לכת בדבר היכולת הטכנולוגית של אותם גופים לעמוד בסטנדרט המשפטי שמציב החוק. כך, למשל, ביחס למערכות AIבסיכון גבוה, החוק דורש לפרסם למשתמשים הסבר על התוצאות או הפלט של המערכת. אחת הבעיות המשמעותיות בתחום ה-AI היום היא בעיית יכולת ההסבר (explainability).[23] קושי טכני זה אינו מתיישב עם החובה הרגולטורית להסביר את כל תוצאות פעילות המערכת. בנוסף, גם חובת ההתערבות האנושית מניחה יכולת לאפשר, בכל רגע ובכל תהליך חישובי של המערכת, להתערב באמצעות חשיבה אנושית. הנחה זו אינה מתיישבת עם האופי הטכנולוגי של לפחות חלק ממערכות ה-AI.
תחולה על טכנולוגיה שכבר פותחה
תחילתו של החוק תהיה מדורגת, כאשר כל הוראותיו ייכנסו לתוקף רק בחלוף שנתיים ממועד חקיקתו. חלק מההוראות, דוגמת האיסור על שימוש במערכות AI מסוגים מסוימים, תיכנסנה לתוקף בחלוף 6 חודשים ממועד פרסומו. בעוד שהאפשרות לציית להוראה בדבר הפסקת שימוש בטכנולוגיה היא פשוטה יותר, האפשרות לציית לחובות הרגולטוריות המכבידות בקשר למערכות AI בסיכון גבוה או מערכות AI לשימוש כללי, כאשר מדובר בטכנולוגיות שכבר פותחו וקיימות בשוק, מאתגרת בהרבה. יצרנים של מערכות AI כאלה יידרשו, בפרק זמן של שנתיים, לערוך שינויי עומק בטכנולוגיה שפיתחו. בחלק מהמקרים יהיה מדובר בשינויים נלווים או חיצוניים לטכנולוגיה דוגמת עריכת סקרי סיכונים, ניטור של הפעלת המערכת בשוק וגילוי ושקיפות כלפי המשתמשים. ואולם, במקרים אחרים השינויים יחייבו שינוי עומק של המודל שבבסיס המערכת ולעתים גם של אופן פעולתה בשים לב לתוצאות של הערכות הסיכון השונות. יש להניח שבהתאם לקשיי ההטמעה של השינויים הנדרשים, כך גם פעולות הפיקוח הרגולטורי והאכיפה תהיינה מדורגות וציות מלאה להוראות החוק צפוי להתקיים בחלוף תקופה ארוכה יותר משנתיים, בדומה למצב הדברים לאחר חקיקתו של ה-GDPR.
אוריינות AI – חינוך כמודל הפחתת סיכונים
כאמור, החוק מבוסס באופן משמעותי על תפיסת ניהול סיכונים והפחתת סיכונים. חלק ניכר מהוראותיו נוגעות לתהליכי ניהול והפחתת סיכונים שיצרני מערכות AI יהיו מחויבים לאמץ. אך הפחתת סיכונים אפשרית לא רק מצד ההיצע אלא גם מצד הביקוש. סיכונים רבים שיכולים לנבוע משימוש במערכות AI מושפעים במידה בלתי מבוטלת מהשימוש של מי שמבצע פעילות מול אותן מערכות – משתמש הקצה. החוק עוסק בכך בעקיפין בהטלת חובות שקיפות ומתן גילוי והוראות הפעלה ובטיחות מדוקדקות ביחס למערכות AI בסיכון גבוה, מתוך הנחה שהנגשת מידע זה יאפשר למשתמשים לתקשר עם המערכת בצורה בטוחה יותר.[24]
אבל בכך לא די. בטיחות השימוש במערכות AI תלויה במידה רבה גם באוריינות AI מצד משתמשי הקצה. ככל שמשתמשי הקצה יבינו טוב יותר מהי טכנולוגיית AI, כיצד היא פועלת, כיצד ניתן לשלבה בפעולות שגרתיות שונות ומה עליהם לצפות ממערכות AI מסוגים שונים, כך יוכלו לתקשר טוב יותר עם מערכות אלה, להבין את יכולותיהן ואת חולשותיהן, ולתכנן את אופי הפעילות איתן כך שיתאים למה שניתן לצפות ממערכות אלה. אני סבור שכל מאמץ רגולטורי להפחתת סיכונים ממערכות AI חייב לשלב גם כלים להענקת אוריינות AI בקרב משתמשי הקצה של מערכות אלה, באמצעות חינוך או הנגשה של כלים לימודיים מותאמים לקהל היעד ולסוג הפעילות. בצד זאת, ראוי שחקיקה העוסקת ב-AI תתייחס גם לחובותיהם של משתמשי קצה. למשתמשי קצה יש יכולות השפעה משמעותית על פעולתה של מערכת AI ועל תוצאות הפעלתה. כך למשל, גם אם המערכת עברה את כל שלבי הבקרה הרגולטורית, בהחלט ייתכן ששימוש בלתי הולם, מניפולטיבי או שגוי בה על ידי משתמש הקצה יגרום נזקים שחורגים ממתחם האשם המוסרי של יצרן המערכת. בצד יכולת השפעה זו, וגם לאחר הטלת החובות המוגברות על יצרני ומפעילי מערכות AI לרבות לתמיכה באוריינות AI, יש מקום לקבוע מתי אחריותם פוסקת ומתחילה אחריותם של משתמשי הקצה או מה חלוקת האחריות ביניהם.[25]
סיכום
ה-AI Act הוא הדגמה חדשנית ומרשימה לתגובה חקיקתית מקיפה ומיידית לשינוי טכנולוגי וחברתי המתרחש בזמן אמת. למעשה, פרקים חדשים בחוק נוספו מאז פרסום הטיוטה הראשונה שלו כתגובה לטכנולוגיה שיצאה לשוק באותו הזמן, דוגמת ההתייחסות למערכות AI יוצרות (Generative AI) ולמערכות AI למטרות כלליות. כיוון שהחוק אינו הדוגמה היחידה למהלכי חקיקה ואסדרה של מערכות AI בעולם, ניכר כי מדובר במגמה שיש לשער שתתרחב בחודשים ובשנים הקרובות.
בצד החדשנות והמהירות החקיקתית קיימים גם חסרונות. תגובה מהירה, מקיפה ככל שתהיה, אינה יכולה להתמודד עם כל ההשלכות החברתיות של התופעה הטכנולוגית החדשה, וסוגיות שונות נותרו מחוץ למהלך החקיקה. ייתכן שהם יושלמו בהמשך, אך אין ספק שכל הסדר שלא נכנס לחקיקה רחבה כל כך יזכה לתשומת לב מופחתת של מחוקקים וקובעי מדיניות בהמשך. בנוסף, תגובה בזמן אמת לשינוי טכנולוגי, במיוחד כאשר הטכנולוגיה עודנה בשלבי פיתוח והתפתחות, נוטה להתייחס למצב טכנולוגי קיים, ובכך עלולה להפוך למתאימה פחות עם חלוף הזמן.
בצד החסרונות, גישת המדיניות החדשה מאופיינת בחדשנות חקיקתית או חקיקה של ניסוי וטעיה,[26] היא גישה מוצלחת בעיניי. כך מתפתחת טכנולוגיה והאמרה הידועה על חברות הזנק היא שהן "זזות מהר ושוברות דברים". התפתחות טכנולוגית וחברתית מואצת מחייבת תגובת מדיניות יצירתית, חדשנית, מהירה וכזו שלא חוששת לטעות ולתקן.
[1] נוסף על ה-AI Act שיידון בתגובית זו, קובעי מדיניות נוספים בעולם עוסקים בחקיקה ואסדרה של תחום הבינה המלאכותית. ראו למשל :Exec. Order No. 14,110, on the Safe, Secure, and Trustworthy Development and Use of Artificial Intellegence (Oct. 30, 2023) (להלן: Biden-Harris EO).
[2] הדיון כאן יתבסס על טיוטת החוק שפורסמה על ידי נציבות האיחוד האירופי ביום 2 בפברואר 2024: Proposal for a Regulation Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act) and Amending Certain Union Legislative Acts 2021/0106 (COM) 2021, 206 final (Jan. 26, 2024), https://data.consilium.europa.eu/doc/document/ST-5662-2024-INIT/en/pdf (להלן: החוק).
[3] ס׳ 1(2) לחוק.
[4] ס׳ 3(1) לחוק.
[5] ס' 2(1) לחוק.
[6] ס' 2(3)-(5g) לחוק.
[7] קיימת ביקורת ציבורית במדינות רבות בדבר שימוש ביכולות זיהוי ביומטריות במרחב הציבורי לצרכי אכיפת חוק. בישראל, השוו להצעת חוק לתיקון פקודת המשטרה (מס' ) (מערכת צילום ביומטרית), התשפ"ד-2023 שאושרה בוועדת השרים לענייני חקיקה.
[8] ס' 10(2) לחוק.
[9] ס' 10(3)-(4) לחוק.
[10] ס' 11 לחוק.
[11] ס' 12 לחוק.
[12] ס' 13(2) לחוק.
[13] ס' 13(3) לחוק.
[14] להצעתי לביצוע ניטור אנומליות לצורך הפחתת נזקים בזמן אמת ראו: Omri Rachum-Twaig, Whose Robot is it Anyway?: Liability for Artificial-Intelligence-Based Robots, U. Ill. L. Rev. 1142, 1170 (2020).
[15] להצעתי לכלול מעצורים מובנים בטכנולוגיית AI ראו שם, בעמ' 1170.
[16] ס' 15(4) לחוק.
[17] ס' 61 לחוק. להצעתי לקבוע חובת ניטור מתמשכת על פעילות המערכת במטרה להפחית סיכונים בזמן אמת ראו: Rachum-Twaig, לעיל ה"ש 13, בעמ' 1169.
[18] ס' 51(1)-(1a) לחוק.
[19] השוו לס' 4.5(a) ל-Biden-Harris EO, לעיל ה״ש 1.
[20] ס' 53(4) לחוק.
[21] לדיון בשאלת האחריות לנזקי מערכות AI ראו: Rachum-Twaig, לעיל ה"ש 13; Stephan Heiss, Towards Optimal Liability for Artificial Intelligence: Lessons from the European Union's Proposals of 2020, 12 Hastings Sci. & Tech. L.J. 186 (2020); Karni A. Chagal-Feferkorn, How Can I Tell If My Algorithm Was Reasonable?, 27 Mich. Tech. L. Rev. 213 (2021); Ryan Calo, Robotics and the Lessons of Cyberlaw, 103 Calif. L. Rev. 513, 531 (2015); Mark A. Lemley & Bryan Casey, Remedies for Robots, 86 U. Chi. L. Rev. 1311, 1319–21 (2019).
[22] Rachum-Twaig, לעיל ה"ש 13, בעמ' 1171-1167.
[23] לסקירה בדבר סוגיית ההסברתיות ב-AI ראו: Minh, D., Wang, H.X., Li, Y.F. et al, Explainable Artificial Intelligence: A Comprehensive Review, 55 Artificial Intell. Rev. 3503 (2021).
[24] ס' 13 לחוק.
[25] לדיון בחלוקת האחריות בין נהגים אנושיים ברכבים אוטונומיים ברמה 3, קרי, רמת אוטונומיה של נהיגה אנושית מעורבת בנהיגה אוטונומית, לבין מפעילי המערכת האוטונומית, ראו: Gadi Perl & Omri Rachum-Twaig, Human Liability in Semi-Autonomous Vehicles(work in progress).
[26] לדיון בחדשנות אסדרתית ראו: Julia Black, What is Regulatory Innovation?, in Regulatory Innovation: A Comparative Analysis (Julia Black, Martin Lodge & Mark Thatcher eds., 2005).