פרסום ראשון מתוך סדרת פרסומים, על יישום החוק החדש על ידי חברות בישראל.
בוודאי כבר קראתם עד עתה כמה מזכרים-תקצירים בנוגע ל EU AI Act. זה מידע חשוב, אבל בואו וניגש לכמה היבטים פרקטיים בנוגע לצעדים בסיסיים שעליכם לנקוט בהם ליישום החוק על המקרה הפרטי שלכם.
החוק בעיקרו נועד לחול על מערכות AI המופעלות באיחוד האירופי (EU) או שיש להן השפעה עליו. כדי לדעת אם החוק חל על הפעילות-קשורת-AI שלכם, תתחילו בלשאול את עצמכם האם מערכת ה-AI שאתם מפתחים או מפיצים מוצבת בשוק האירופי או מוכנסת לשירות בו? האם אתם מפעילים מערכת AI ומאוגדים או ממוקמים באיחוד האירופי? האם ה Output שהוא תוצר מערכת ה AI נמצא בשימוש באיחוד?
אם התשובה לאחת מהשאלות הללו חיובית, אז החוק כנראה חל עליכם.
אם אתם רוצים להבין אילו הוראות של החוק חלות על ה-Use case שלכם, עליכם לעבור תחילה תהליך של סיווג הסיכון הנשקף ממערכת ה-AI.
הקו המנחה של תהליך הסיווג מבוסס על רמת הסיכון הנגזרת/כרוכה בשימוש במערכת:
זיהוי סיכון בלתי מקובל
- הפרת זכויות: האם למערכת ה AI יש פוטנציאל להפר זכויות אדם, כגון פרטיות או שוויון? למשל, האם היא מערבת מעקב אחר אנשים ללא הבחנה, או האם היא עוסקת ב Social Scoring?
- מניפולציה: האם מערכת ה AI עשויה להשפיע באופן מניפולטיבי על התנהגותם של אנשים, באופן שיכול לגרום לנזק אישי או חברתי? או לנצל חולשות של קבוצות "פגיעות", כולל ילדים?
אם השבתם כן לאחת מהשאלות הללו, ייתכן בהחלט שהסיכון הכרוך במערכת ה AI נשוא המקרה שלכם יסווג כסיכון בלתי מקובל.
זיהוי סיכון גבוה
- סקטור: האם יישום ה AI מיועד לשימוש בתחום שנחשב לחיוני/קריטי (כמו בריאות, אכיפת חוק, תשתיות קריטיות, חינוך, תעסוקה, שירותים ציבוריים ופרטיים חיוניים, תהליכים דמוקרטיים)?
- מטרה: האם מטרת מערכת ה AI קריטית מבחינת השפעתה הפוטנציאלית על בטיחותם של אנשים, זכויותיהם היסודיות, או שיש לה השלכה שלילית משמעותית? (לדוגמה, היא למטרת זיהוי ביומטרי, או ניהול ותפעול של תשתיות קריטיות, חינוך, תעסוקה).
- רגישות הנתונים וקבלת החלטות: האם המערכת מעבדת מידע רגיש או מקבלת החלטות שיש להן השפעה משמעותית על אנשים?
אם השבתם כן לאחת מהשאלות, סביר להניח שהסיכון הכרוך במערכת ה AI הנדונה יסווג כגבוה.
זיהוי סיכון מוגבל
- דרישת שקיפות: האם מערכת ה AI מתקשרת ישירות עם בני אדם ונופלת בגדר דרישות "שקיפות" שבחוק (למשל הצורך לגלות כי AI, ולא אדם, הם שמתקשרים עם המשתמש, כמו בצ'אטבוטים, או למשל שקיפות ביחס לעובדה שתוכן מסוים הוא יציר AI)
- פיקוח אנושי: האם מערכת ה AI פועלת באופן שבו היעדר פיקוח אנושי או פיקוח אנושי לא מספק עלול להוביל לסיכונים, אך לא כאלו ברמה המוגדרת כסיכון גבוה?
אם תשובתכם לאחת מהשאלות הייתה חיובית, ככל הנראה הסיווג המתאים למקרה שלכם הוא של "סיכון מוגבל".
ואם לא מצאתם את מקומכם באף אחת מהקטגוריות לעיל – כנראהשתסווגו בקטגוריית ה"סיכון המינימלי" או "נטולת סיכון".
על תהליך הסיווג שתיארנו לכלול את האמצעים/פעולות הבאים:
תיעוד ותימוכין
- הערכה מקיפה: יש "למסמך" את תהליך ההערכה והשיקולים, כולל בין היתר הניתוח הסקטוריאלי, סוג הדאטה-מידע שבשימוש המערכת, ההשפעה של המערכת על קבלת החלטות, ודרישות שקיפות.
- תימוכין לסיווג: יש "להצדיק" את סיווגה של כל מערכת AI בהתבסס על הקריטריונים שנקבעו כמשמשים לביצוע הסיווג.
- ביקורת ועדכון: שימו לב שסיווגים צריכים להיבדק מחדש לאור מידע חדש, שינויי נסיבות לרבות עקב התקדמות טכנולוגית ועוד פיצ'רים שמתווספים למוצר, או כמובן לאור שינויים במסגרת החוקית.
ברכות! הצלחתם לסווג את מערכת ה AI שלכם. מה עכשיו?
הדרישות החלות עליכם עשויות לנוע על מנעד רחב, שמתחיל, בצד אחד של הספקטרום, ב"כמעט כלום", ואילו בצד השני מגיע לכדי סט מקיף של מגבלות וחובות (הקשורים לדאטה-המידע שבשימוש המערכת, תיעוד ומסמכים, רישום פעילות, שמירת רשומות, שקיפות, פיקוח אנושי, דיוק ועוד), וזאת בהתאם לסיווג הסיכון (גבוה/מוגבל/מינימלי וכו', זוכרים?) ובהתאם ל"תפקיד" שלכם ביחס למערכת ה AI (למשל, אין דין מפתח כדין מפיץ). ועל כך, המשך יבוא בעדכון הלקוחות הבא…
על אף שלוח הזמנים הרשמי שנקבע ליישום הדרישות השונות של החוק מתפרש על פני זמן (מ 6 עד 36 חודשים), עכשיו הזמן להתחיל להיערך ולהתכונן. צוות ה-AI שלנו לרשותכם.
מסמך זה הינו סקירה כללית בלבד של נושאים נבחרים בחוק ואינו מקיף מטבעו. הוא אינו נועד לכסות את כל ההוראות, הניואנסים והחריגים שבחוק, ואין להשתמש בו כחלופה לניתוח משפטי מקיף או לייעוץ, אשר צריך גם להתבסס על פרטי המקרה הספציפיים. תוכן המסמך הוא למטרות מידע בלבד ואינו מהווה ייעוץ משפטי. אין להשתמש במידע שבמסמך זה כבסיס לקבלת החלטות משפטיות, עסקיות או אחרות, וההסתמכות עליו היא על אחריות הקורא בלבד.