linkedin
להרשמה לניוזלטר
29.05.2023 עדכון לקוחות
פרסום רשות הגנת הפרטיות הצרפתית (CNIL) לגבי AI
אודות תחומי פעילות

לפני כשבועיים פרסמה רשות הגנת הפרטיות הצרפתית (CNIL) תוכנית פעולה בעניין הממשק בין פרטיות ו-AI.

המסמך מעלה מספר נקודות חשובות:

ראשית, ה-CNIL תפעיל שירות שייקראArtificial Intelligence Service and the CNIL Digital Innovation Laboratory (LINC) ותהיה ב-CNIL יחידה ייעודית לנושא הבינה המלאכותית.

לפי המסמך, CNIL רואה את הסיכונים הבאים כסיכוני הפרטיות בשימוש בכלים מבוססי בינה מלאכותית: הוגנות ושקיפות לגבי המידע האישי שמעובד במסגרת הפעלת כלים אלה, הגנה על מידע אישי פומבי ופעולות scarping, זכויות נושאי המידע בקשר למידע אודותיהם (הן ביחס להזנת המידע לצורך לימוד המכונה והן לגבי התוצר בכלים יוצרים), הגנה מהטיות, ואבטחת מידע.

CNIL צפויה לפרסם בקרוב מדריך לשיתוף מידע ושימוש משני בו בקשר עם מערכות AI.

בנוסף,  CNILתפרסם מסמך על עיצוב מערכות AI באופן תומך פרטיות ועל יצירת מאגרים לצורך למידת מכונה. מסמך זה צפוי לכלול התייחסות למספר נושאים, לרבות שימוש במידע לצורך מחקר מדעי, שמירה על עקרון צמידות המטרה במודלי שפה, הסבר לגבי מודל שיתוף באחריות בהקשרים של שימוש במערכות AI, best practices לשמירת עקרון המינימליות ודיוק מידע, וניהול זכויות נושאי המידע בקשר למידע אודותיהם.

CNIL גם מציינת שהיא תסייע לשחקנים בתחום ה-AI בצרפת ובאירופה לפעול בדרך שתעלה בקנה אחד עם הוראות לגבי זכויות אדם, כולל המשך מתן אפשרות לsandbox לגופים כאלה, שהחל פעילות עוד ב-2021.

כמו כן, CNIL מציינת במסמך שהיא תמשיך בתהליכי בקרה ופיקוח על מערכות מבוססות AI, כולל פיתוח כלי לביקורת של מערכות מבוססות AI.

בשנת 2023 CNIL תתמקד בעיקר בבדיקת ציות ביחס למצלמות מעקב, שימוש במערכות AI לצורך מניעת הונאות, וכן חקירת תלונות שהגיעו ל-CNIL לגבי שימוש במערכות AI, כולל צ'טבוטים.

CNIL מציינת שהיא תבחן האם גופים קיימו DPIA – Data Protection Impact Assessment לתיעוד הסיכונים; בחינת קיום חובות יידוע; ואמצעים למימוש זכויות נושאי מידע.

אגב, במסמך של הCNIL מוצגת תמונה שנוצרה ב-Midjourney וניתן קרדיט למשתמש שיצר (generated) אותה.

ה-CNIL נחשבת כרשות הגנת פרטיות משמעותית ביותר באירופה, ואחת החזקות שבהן.

לצורך ההמחשה, CNIL הטילה 4 מתוך 10 הקנסות הגבוהים ביותר בשל הפרות GDPR מאז כניסתו לתוקף, כולל את הקנס הגבוה ביותר שהוטל על גוגל בקשר להפרת GDPR.

להחלטותיה של CNIL עשויה להיות השפעה על פעולות ומסקנות של רשויות פרטיות אחרות באירופה, ומאוד יתכן שרשויות נוספות יאמצו פרקטיקות של CNIL, לרבות הקמת גוף ייעודי אצלן.

הקמת גוף ייעודי עשויה כמובן להשפיע ישירות על נושא האכיפה ולהקל עליו, כי בדרך כלל לגופים ייעודיים יש תקציב לפעילות בתחומם, וכוח אדם שמתמקד בנושא שבאחריותם.

משום כל האמור, אנו ממליצים ללקוחותינו שפועלים באירופה להמשיך ולהיות עירניים לגבי התקדמות חקיקת AI Act ולגבי פרסומים והחלטות של רשויות אכיפה שונות.

בנוסף, אנו מניחים ש-CNIL תפעל בהתאם לעקרונות דומים לאלו שצפויים להתגבש לכדי חקיקה במסגרת AI Act ולכן אנחנו חוזרים על המלצותינו להכין מדיניות AI משפטית ארגונית ולתעד תהליכי בדיקה בקשר עם שימוש בכלים מבוססי AI בארגון, במיוחד אם מדובר בכלים שמערבים שימוש במידע אישי (אבל לא רק, כי כפי שציינו בעדכונים קודמים AI Act צפוי לעסוק בהרבה מאוד תחומים, ופרטיות היא רק אחד מהם).

 

אנחנו עומדים לרשותכם בכל שאלה,

 אייל שגיא, חופית וסרמן רוזן, שיר שושני כץ וצוות מחלקת משפט וטכנולוגיה

מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/ או ייעוץ משפטי לעניין קונקרטי.