רקע 

אנו נמצאים כיום בתחילתו של עידן טכנולוגי חדש אשר סוחף את העולם במהירות – עידן הבינה המלאכותית (AI). למרות שנעשה שימוש בכלי AI כבר מספר שנים, בשנה האחרונה השימוש בכלים אלה התרחב בצורה משמעותית ביותר, במיוחד בזכות  ChatGPTוחברות אחרות המפעילות LLM – Large language models אשר עושות שימוש במסה גדולה מאוד של נתונים לצורך יצירת תכנים, תמונות, וידאו וכו' על בסיס קלט (input) של המשתמשים. לצד היתרונות הברורים של הטכנולוגיה המתפתחת הזו לחברה שלנו, לרבות שיפור הטיפול הרפואי, שיפור היצירתיות, האוטומציה, הפרודוקטיביות והיעילות, קיימים גם סיכונים משמעותיים הנובעים משימוש בטכנולוגיה זו, בין היתר סיכונים לזכויות אדם, פרטיות, זכויות יוצרים, תעסוקה, זכויות אדם, לשון הרע, הטיות, דיסאינפורמציה ושימוש לרעה. לפיכך, ההטמעה המאסיבית של כלי AI במרבית תחומי חיינו העלתה את הצורך בקביעת מדיניות מדינתית וחקיקת רגולציה לצורך בקרה על הפיתוח והשימוש בכלים אלה על מנת לצמצם סיכונים ולמנוע תוצאות לא רצויות.

החודש, לאחר כשלוש שנים של דיונים, פרלמנט האיחוד האירופי הצביע בעד חוק חדש ותקדימי, חוק הבינה המלאכותית של האיחוד האירופי, ה-Artificial Intelligence Act ("חוק ה-AI" או "החוק"), אשר מטרתו להסדיר את השימוש בטכנולוגיות בינה מלאכותית באיחוד האירופי, תוך שמירה על רמת הגנה גבוהה על הבריאות, הביטחון, זכויות היסוד, ערכי הדמוקרטיה, שלטון החוק והסביבה מפני ההשפעות המזיקות של מערכות בינה מלאכותית והכל תוך תמיכה בחדשנות. המטרה של הפרלמנט האירופי הייתה לוודא שמערכות בינה מלאכותית המופעלות באיחוד האירופי יהיו בטוחות לשימוש, שקופות, ניתנות למעקב ולא מפלות וכי יהיה פיקוח אנושי על הפיתוח והשימוש בהן על מנת למנוע תוצאות מזיקות. כמו כן, מטרת הפרלמנט הייתה לקבוע רגולציה שניתן יהיה ליישמה על מערכות בינה מלאכותית שיפותחו בעתיד.

חוק ה-AI הציב את האיחוד האירופי כנושא דגל האסדרה בתחום זה. בכך אירופה הציבה את עצמה פעם נוספת כחלוצה וכקובעת סטנדרטיים גלובאליים, כפי שעשתה לפני כשבע שנים כשחוקקה את תקנות הגנת המידע האירופאיות (ה- GDPR - General Data Protection Regulation ) אשר כוללות תחולה אקס-טריטוריאליות. תקנות ה-GDPR השפיעו בצורה משמעותית על הכלכלה העולמית ויצרו סטנדרט בינלאומי להגנה ושימוש במידע אישי. צפוי כי לחוק ה-AI יהיה אפקט דומה, במיוחד מאחר שגם חוק זה כולל תחולה אקס-טריטוריאלית גם על חברות וארגונים המאוגדים מחוץ לאיחוד האירופי, כמפורט להלן. 

החוק רחב יריעה והוא כולל מספר רב של הוראות וחובות הנוגעות לשימוש בטכנולוגיות AI. היות ורבות מן ההוראות הכלולות בחוק הן חדשניות, ושעה שכלל יישומיה הפוטנציאלים של הטכנולוגיה עדיין אינם ידועים בשלב זה, אנו צופים כי להנחיות והבהרות שיפרסמו הרשויות האירופאיות בעתיד יהיה תפקיד מכריע באופן יישום החוק בפועל, וכי מטבע הדברים גם כוחות השוק יובילו לקביעת סטנדרטים ו-best practices ליישום הוראותיו.

החוק יחול על: (א) ספקים providers) כהגדרתם בחוק) המציעים בשוק האיחוד האירופי מערכות בינה מלאכותית או מודלים של בינה מלאכותית למטרות כלליות General Purpose AI Models, וזאת אף אם מקום מושבם (establishment) אינו באיחוד האירופי והם אינם ממוקמים בו; (ב) מיישמים (deployers כהגדרתם בחוק) של מערכות בינה מלאכותית אשר מקום מושבם בתוך האיחוד האירופי או שהם ממוקמים בתוך האיחוד; (ג) ספקים ומיישמים של מערכות בינה מלאכותית אשר מקום מושבם/הם ממוקמים מחוץ לאיחוד האירופי, כאשר בפלט המופק על ידי מערכת הבינה המלאכותית נעשה שימוש בתוך האיחוד האירופי; (ד) יבואנים ומפיצים של מערכות בינה מלאכותית; (ה) יצרני מוצרים המציעים בשוק האיחוד האירופי מערכת בינה מלאכותית יחד עם המוצר שלהם ותחת השם או הסימן המסחרי שלהם; (ו) נציגים מורשים של ספקים, אשר מקום מושבם אינו באיחוד; (ז) אנשים מושפעים (affected persons) הממוקמים באיחוד.

המשמעות היא שבדומה ל-GDPR חברות ישראליות עשויות, במקרים מסוימים, להיות כפופות לחוק ה-AI ולסנקציות שיושתו מכוחו, גם אם אין להן נוכחות פיזית באיחוד האירופי. 

יצוין כי ספקים שונים מוחרגים מתחולת החוק וכן החוק מחריג פעילויות מחקר שונות ואינו חל על מערכות בינה מלאכותית המיועדות אך ורק למטרות צבאיות, ביטחוניות או לביטחון לאומי, הכל כמפורט בחוק.

החוק חל על גורמים שונים בשרשרת הפיתוח, ההפצה והשימוש בכלי ה-AI. למשל החוק יכול להיות רלוונטי לספקים של מערכות בינה מלאכותית (לדוגמה, מפתח של כלי AI לסינון קורות חיים) והן למיישמים של מערכות אלה (לדוגמה, בנק שמקבל רישיון לעשות שימוש בכלי סינון זה יצטרך לנקוט באמצעים טכניים וארגוניים לוודא שהשימוש שנעשה על ידו במערכת תואם את הוראות השימוש הנלוות למערכת, כפי שנדרש מכוח חוק ה-AI וכן יידרש להטיל אחריות לפיקוח אנושי על השימוש בכלי ה-AI על אנשים שיש להם יכולת וסמכות בארגון לעשות כן). חשוב להדגיש כי ההגדרות של ספק ומיישם בחוק אינן חד משמעיות ומתירות מרחב פרשנות ביחס לסיווג פעילותה של חברה ביחס לשימוש בכלי בינה מלאכותית. לאור ההבדלים בין חובותיהם של ספקים ומיישמים, סיווג נכון של פעילות החברה הוא בעל חשיבות עליונה. לדוגמה, חברה המשלבת במוצריה כלי בינה מלאכותית שונים שפותחו על ידי צדדים שלישיים (כלומר, לא היא זו שפיתחה אותם) עשויה להיחשב כספק, בהתאם לנסיבות .

באופן כללי, הדרישות הקבועות בחוק ה-AI שונות בהתאם לרמת הסיכון שמציבה מערכת הבינה המלאכותית. החוק נוקט בגישה מבוססת סיכונים – ככל שהסיכון גבוה יותר למשתמשים במערכת כך הכללים מחמירים יותר. לפיכך, ניתן לסווג מערכות של בינה מלאכותית אליהן מתייחס החוק לפי ארבעת קטגוריות הסיכון הבאות: מערכות  המהוות סיכון בלתי מקובל (unacceptable risk), מערכות המהוות סיכון גבוה (high risk), מערכות בסיכון מוגבל (limited risk),  ומערכות המהוות סיכון מינימלי (minimal risk). יצוין כי לאור ההתפתחות המהירה של פיתוח טכנולוגיות בינה מלאכותית, בפרט ככל שהיקף וסוגי יישומי הבינה המלאכותית יתרחבו, סביר להניח שהרשויות יפרסמו הנחיות שונות לעניין סיווגן של מערכות שונות.

מערכות בינה מלאכותית המסווגות תחת רמת סיכון בלתי מקובלת - ככלל, מערכות בינה מלאכותית המסווגות תחת רמת סיכון בלתי מקובלת אסורות לשימוש באיחוד האירופי. סיווג זה מתייחס לרשימה של שימושים מזיקים במיוחד בכלי בינה מלאכותית המנוגדים לערכי האיחוד האירופי מכיוון שהם פוגעים בזכויות יסוד. בין היתר, מדובר על מערכות המשמשות לדירוג חברתי, לסיווג ביומטרי להסקת נתונים רגישים כגון נטייה מינית או אמונות דתיות, או כאלה המנצלות פגיעות של אנשים. 

מערכות בינה מלאכותית המסווגות תחת רמת סיכון גבוהה - מערכות בינה מלאכותית המסווגות תחת רמת סיכון גבוהה אינן אסורות, וסביר להניח שסיווג זה כולל יישומי AI שכבר נמצאים בשימוש היום, אולם השימוש בהן מוסדר בחוק ה- AI באופן קפדני ומחמיר. באופן כללי, סיווג זה כולל מערכות בינה מלאכותית אשר מטרתן ואופן השימוש בהן מהוות סיכון גבוה לבטיחות או לזכויות היסוד של אדם. נספח לחוק כולל דוגמאות לסוגים של מערכות אשר ייחשבו כמערכות אשר יש לסווגן תחת קטגוריה זו אולם הנספח יעודכן מעת לעת על מנת להתאימו למערכות שיפותחו בעתיד. מדובר בין היתר על מערכות אשר יוצרות פרופילים מסוימים על משתמשים למשל למטרות מעקב אחר פשיעה, יישומים ביומטריים מסוימים, בינה מלאכותית בשימוש במערכות המשמשות לתשתיות קריטית (דוגמת אספקת מים, גז, חשמל), מערכות שונות לשימוש בחינוך והכשרה מקצועית, בקשר לניהול עובדים, ניתוח וסינון בקשות עבודה והערכת מועמדים לעבודה, הערכת דירוג אשראי של אנשים פרטיים, הערכת סיכונים ותמחור ביחס לביטוח חיים ובריאות וכו'. 

כאמור, שימוש במערכות כאמור אינו אסור באופן קטגורי תחת חוק ה-AI אולם יש לעמוד בדרישות שונות הקבועות בחוק לפני שמפעילים מערכת כזו באיחוד האירופי. למשל, ספקים חייבים לבצע למערכת הערכת התאמה (conformity assessment), אשר תאפשר להם להוכיח שהמערכת שלהם עומדת בדרישות שונות (לדוגמה, איכות המידע, תיעוד, שקיפות, פיקוח אנושי, דיוק ואבטחת סייבר). כמו כן, ספקים של מערכות בינה מלאכותית בסיכון גבוה נדרשות ליישם מערכות לניהול סיכונים כדי להבטיח שהם עומדים בדרישות החוק ולמזער סיכונים למשתמשים. לאזרחים תהיה זכות להגיש תלונות על מערכות בינה מלאכותית מסוג זה ולקבל הסברים על החלטות המבוססות על מערכות בינה מלאכותית בסיכון גבוה המשפיעות על זכויותיהם.

מערכות בינה מלאכותית המסווגות תחת רמת סיכון מוגבל (limited risk) - רמת סיווג הסיכון השלישית כוללת מערכות בינה מלאכותית המיועדות לאפשר תקשורת עם אנשים המחייבות עמידה בדרישות שקיפות מסוימות למשל כאשר יש סיכון ברור למניפולציה (למשל על ידי שימוש ב- chatbots). מערכות AI הנכללות בקטגוריה זו חייבות לפעול בשקיפות וככלל יש ליידע את המשתמשים שהם מתקשרים עם מכונה. 

מערכות בינה מלאכותית המהוות סיכון מינימלי (minimal risk) – מדובר על כל שאר מערכות הבינה המלאכותית שאינן נופלות בגדר ההגדרות האחרות. מערכות בינה מלאכותית בסיכון מינימלי אינן כפופות לחוק וניתן לפתח ולעשות בהן שימוש ללא מגבלות רגולטוריות תחת החוק. ספקים יכולים באופן וולונטארי לאמץ הוראות שונות הכלולות בחוק. 

מערכות בינה מלאכותית המשמשות למטרות כלליות - General purpose AI models - בנוסף, חוק ה-AI כולל הוראות מיוחדות למערכות בינה מלאכותית המשמשות למטרות כלליות - General Purpose AI Models, לרבות Large Generative AI Models - קרי מערכות בינה מלאכותית שאינן מכוונות למשימה ספציפית, אלא שהן מסוגלות לבצע מגוון רחב של משימות. ביחס למערכות מסוג זה ספקים נדרשים לוודא שהמערכת שלהם בטוחה ועומדת בדרישות החוק, בין היתר יש לעמוד בדרישות שקיפות מסוימות ולאמץ מדיניות על מנת לוודא עמידה בחוקי זכויות יוצרים במסגרת אימון המודלים.

החוק ייכנס החוק לתוקף ביום העשרים לאחר פרסומו ביומן הרשמי (צפוי שהדבר יקרה בקרוב). החוק יחול באופן מלא 24 חודשים לאחר כניסתו לתוקף (ככל הנראה בשנת 2026), למעט חריגים מסוימים. 

ההשלכות על אי ציות לחוק ה-AI הן כבדות, וכוללות, קנסות בשיעורים מקסימאליים שונים, בין היתר, קנסות של עד 35 מיליון אירו או עד 7% מסך המחזור השנתי העולמי של החברה המפרה בשנת הכספים הקודמת (הגבוה מבין השניים) בגין הפרות מסוימות של החוק. כמו כן, החוק מורה על הקמת גופים ייעודיים לאכיפה ולייעוץ, לרבות משרד ייעודי בנציבות האירופאית אשר יפקח על מערכות בינה מלאכותית מסוימות. השיעור המקסימלי של קנסות שניתן להטיל על ארגונים קטנים ובינוניים (SMEs) לרבות חברות סטארט-אפ יהיה הנמוך מבין שתי החלופות של שיעורים המקסימאליים שנקבעו בחוק ביחס לכל הפרה.

אנו ממליצים שחברות העוסקות בפיתוח, באספקה, בהפצה וייבוא של מערכות מבוססות בינה מלאכותית יבחנו את הצורך לעמוד בדרישות חוק ה-AI וייערכו מבעוד מועד לעמידה בדרישות החוק.

לנוסח המלא של החוק לחצ/י כאן.