משפטימשפט מסחריהכנסתם AI לארגון? כך תצמצמו סיכוני פרטיות ותביעות

הכנסתם AI לארגון? כך תצמצמו סיכוני פרטיות ותביעות

מערכות AI נשענות על כמויות עצומות של מידע שיכול להיות אישי ורגיש. מדריך חדש של הרשות להגנת הפרטיות במשרד המשפטים מציג את הפתרונות לצמצום הסיכון המשפטי

מאת : גלית לוונטל

תאריך עדכון: 19.01.26

7 דק'

הכנסתם AI לארגון? כך תצמצמו סיכוני פרטיות ותביעות

עיקרי הכתבה:

AI נכנס לארגונים במהירות, אבל יוצר סיכון משפטי חדש: לא רק גניבת קבצים אלא מצב שבו מידע אישי עלול להופיע בטעות בתשובות, בפלטים ואפילו להיטמע במודל עצמו.
הרשות להגנת הפרטיות במשרד המשפטים (דצמבר 2025) מפרסמת מפת דרכים להפחתת חשיפה: ההגנה חייבת להיות חלק ממחזור החיים של המערכת, משלב האימון ועד השימוש והעדכונים השוטפים.
הפתרון: שילוב טכנולוגיות להגנת פרטיות (PETs): טשטוש ושינוי מידע מראש, עבודה מבוזרת בלי להעביר נתונים, והצפנה/ בידוד של העיבוד, לצד נהלים והדרכת עובדים כדי למנוע טעויות.
_________________________________________________________

עובדת שירות לקוחות מדביקה לצ'אטבוט תכתובת עם לקוח. מנהל שיווק מעלה מסמך אקסל כדי לקבל ניתוח. רופא מזין סיכום ביקור כדי לנסח מכתב. אף אחד לא חשב שעכשיו המידע האישי "עובר מקום", אבל זה בדיוק מה שקורה.

המרוץ להטמעת בינה מלאכותית בעסקים ובמגזר הציבורי יצר מציאות חדשה: מערכות שמסיקות מסקנות, מייצרות תכנים, נותנות המלצות ואף משפיעות על החלטות, הופכות לכלי עבודה יומיומי. אבל באותה נשימה הן גם יוצרות אתגר משפטי משמעותי: שימוש במידע אישי בקלט, בהליך האימון, בפלט, ולעתים אף בתוך המודל המאומן עצמו.

מדריך עדכני של הרשות להגנת הפרטיות במשרד המשפטים מדגיש כי אין די ב"מדיניות פרטיות" כללית או בהסרת שמות; נדרש פתרון טכנולוגי־מערכתי שמקטין חשיפה מראש. כאן נכנסות לתמונה טכנולוגיות מגבירות־פרטיות, המאפשרות לייצר ערך מהנתונים אך לצמצם את רמת הפגיעה בפרטיות ואת הסיכון המשפטי.

למה בינה מלאכותית היא אתגר פרטיות?

הבעיה היא שמערכת בינה מלאכותית לא רק שומרת מידע, היא גם לומדת ממנו. מדובר במערכת ממוכנת שמפיקה תחזיות, תוכן, המלצות או החלטות מתוך קלט, ברמות שונות של אוטונומיה והסתגלות. המשמעות היא שהמערכת "חיה" על מידע ולעתים על מידע אישי, גם כאשר מטרת השימוש אינה "לעבד מידע אישי" במובן המסורתי.

הסיכון הוא לא רק שמישהו יגנוב קובץ, אלא שהמידע יופיע בטעות בתשובה. ההגנה על פרטיות נדרשת לכל אורך מחזור החיים: מפיתוח ואימון ועד שלב השימוש והעדכון המתמשך של המודל. התמונה מסתבכת עוד יותר כאשר קלטים חדשים (למשל פרומפטים של משתמשים) מוזנים חזרה כדי לשפר את המערכת, מה שיוצר "זרימה" חוזרת של מידע אישי אל תוך תשתית האימון.

לאן המידע האישי עלול לברוח?

ברוב הארגונים הסיכון חוזר באותן נקודות:

בשלב האימון - הנתונים שעליהם מאמנים את המודל, למשל רשומות רפואיות, נתוני משתמשים או עסקאות פיננסיות.

בתוך המודל עצמו - מידע שעלול להיטמע באופן שמאפשר שחזור נתונים בתנאים מסוימים דרך קלט של משתמשים - שאילתות, תמונות, טקסט אישי, נתונים על מיקום או מזהים מקוונים.

בפלט המערכת - תשובות, המלצות, תוכן שעשויים לכלול מידע אישי שנחשף בטעות או נגזר מקלט קודם.

ברמה המשפטית־ניהולית זו נקודה קריטית: גם אם הארגון סבור כי "הנתונים לא נשמרים", ייתכן שהסיכון נמצא בפלט או במודל עצמו. בפועל, דליפת מידע דרך מערכת בינה מלאכותית יכולה להפוך לאירוע משפטי לכל דבר: תלונות לרגולטור, דרישות פיצוי, חקירה פנימית ולעתים גם הפרת התחייבויות חוזיות מול לקוחות. לכן, צמצום סיכונים חייב להתבצע בצורה טכנולוגית ולא רק הצהרתית.

מה הן טכנולוגיות להגנת פרטיות ולמה הן מפחיתות חשיפה משפטית?

טכנולוגיות מגבירות־פרטיות (PETs - Privacy Enhancing Technologies) הן אוסף שיטות, תהליכים וכלים דיגיטליים שמטרתם לערפל מידע אישי, לצמצם את רמת הפירוט שלו, לצמצם סיכון לחשיפה בזמן עיבוד ולשפר את השליטה במידע. במילים פשוטות, לא "עוד טופס הסכמה", אלא מנגנון שמקטין בפועל את המידע המזהה שנמצא בתהליך.

הבשורה הגדולה היא שבשונה מהעבר, טכנולוגיות להגנת פרטיות מאפשרות לארגונים להמשיך להפיק ערך מהנתונים, אך להפחית חשיפה, דליפות והפרות אפשריות של הוראות פרטיות, דבר שמשפיע ישירות על סיכונים משפטיים ורגולטוריים.

איך מגנים על הפרטיות? שלוש גישות מרכזיות

טשטוש ושינוי המידע מראש - הגישה הראשונה מתמקדת בשינוי הנתונים עוד לפני שהם נכנסים למערכת. זה יכול להיעשות באמצעות התממה (הסרת מאפיינים מזהים או שינוי ערכים. למשל, טווח גיל במקום גיל מדויק), מידע סינתטי (יצירת נתונים מלאכותיים הדומים למקוריים אך לא מייצגים אדם אמיתי), או פרטיות דיפרנציאלית (הוספת "רעש" אקראי שמקשה להסיק נתון אישי של אדם בודד). למעשה, המידע עובר "טשטוש" מבוקר שמאפשר למערכת ללמוד דפוסים, אך מונע זיהוי של אנשים ספציפיים. היתרון שזה פשוט יחסית ליישום. החיסרון הוא כאשר שינוי מידע עלול לפגוע בדיוק המודל ולכן צריך למצוא את האיזון הנכון.

עבודה מבוזרת (בלי להעביר את המידע) - במקום להעביר את כל המידע למקום אחד, החישוב מתבצע באופן מבוזר, כך שאף גורם יחיד לא מחזיק בכל המידע. הטכנולוגיות בקבוצה זו כוללות למידה מבוזרת (המודל לומד באופן מקומי ורק העדכונים נשלחים החוצה), חישוב רב משתתפים (מספר גופים מחשבים תוצאה משותפת בלי לחשוף נתונים זה לזה), והצלבת מערכי מידע (זיהוי רק של הפריטים המשותפים בין מאגרים). כך למשל אפליקציה בטלפון שלכם לומדת מההתנהגות שלכם, אבל הנתונים האישיים לא עוזבים את המכשיר. ברמה הממשלתית, משרד הרווחה יכול לבדוק מול משרד התיירות מי מזכאי הקצבאות שהה בחו"ל תקופה ארוכה, מבלי להעביר את כל רשימת הזכאים אלא רק את הרלוונטיים.

במדריך מובאות דוגמאות נוספות מקונסורציומים בנקאיים ומוסדות רפואיים ברחבי העולם. לפתרון זה משמעות משפטית במיוחד בשיתופי פעולה בין ארגונים או גופים ציבוריים, כי הוא מצמצם העברת מידע "מיותרת", שנחשבת למוקד סיכון מרכזי.

הצפנה ובידוד של תהליך העיבוד - הגישה השלישית מתמקדת בהגנה על המידע תוך כדי העיבוד עצמו. הצפנה הומומורפית מאפשרת ביצוע חישובים על מידע בעודו מוצפן, כך שהשרת מעבד נתונים מוצפנים והתוצאה נכונה. סביבת ביצוע מהימנה יוצרת "בועה" מבודדת ומאובטחת שמונעת מכל גורם (כולל ספקי ענן) לצפות בנתונים. במדריך מובאות דוגמאות מלשכות סטטיסטיקה ומוסדות פיננסיים שהטמיעו טכנולוגיות אלו בהצלחה. מבחינת סיכון משפטי, המנגנון מתאים במיוחד לעבודה בענן או אצל ספקי שירות, כאשר יש חשש ממשי מחשיפה לגורמים לא מורשים.

לא קיים פתרון קסם אחד

במציאות, בדרך כלל צריך לבנות מעטפת רב־שכבתית, שילוב של כמה טכנולוגיות להגנת פרטיות בהתאם לסוג המידע, רמת הרגישות והסיכונים הספציפיים. המדריך של הרשות להגנת הפרטיות מדגיש שהמטרה היא לבנות הגנה כחלק מהארכיטקטורה ולא כתוספת של הרגע האחרון. בנוסף, כדאי לבחון גם מה קורה בחוזה מול ספקי AI או ענן: האם יש התחייבות לאי־אימון על המידע שלכם? היכן הוא נשמר ולכמה זמן?

מה עושים עכשיו?

מיפוי חשיפה - הצעד הראשון הוא להבין איפה בדיוק נכנס מידע אישי - באימון, בקלט או בפלט? איפה הוא עלול לדלוף? זיהוי נקודות החשיפה הוא הבסיס לכל תהליך הגנה.

בחירת פתרון - על בסיס המיפוי, יש להחליט: האם צריך לצמצם את המידע מראש (מידע סינתטי, התממה)? לפזר את החישוב (למידה מבוזרת) או להצפין ולבודד (הצפנה הומומורפית, סביבת ביצוע מהימנה)? השילוב צריך להתאים לסוג המידע ולסיכונים הספציפיים.

נהלים לעובדים - טכנולוגיה לבדה לא מספיקה. עובדים צריכים להבין מה מותר להזין למערכות בינה מלאכותית ומה אסור. נהלים ברורים והדרכה שוטפת הם חלק בלתי נפרד מההגנה.

המדריך פונה לא רק לטכנולוגים אלא גם ליועצים משפטיים, ממוני פרטיות ומנהלי מוצר. אין צורך להיות מומחי אבטחת מידע, אבל כן נדרשת התאמה ספציפית לכל מוצר ולכל שימוש.

ארגון שפועל נכון יזהה מראש באיזה שלב נכנס מידע אישי, היכן הוא עלול לזלוג ומה השילוב הטכנולוגי־ארגוני שיקטין את הסיכון, בלי לשבור את המודל העסקי או לפגוע ביכולות המערכת.

למי כדאי לפנות לפני שמטמיעים AI בארגון?

יישום הגנות פרטיות במערכות בינה מלאכותית אינו צעד שמנהל יכול לבצע לבד והוא דורש שילוב בין ידע משפטי לטכנולוגי. מומלץ להיוועץ ביועץ המשפטי של הארגון (או בעו״ד המתמחה בפרטיות וטכנולוגיה), בממונה הגנת הפרטיות (אם קיים) ובמומחה אבטחת מידע או פרטיות טכנולוגית, כדי למפות את נקודות החשיפה, לבחון את החוזים מול ספקי AI/ ענן, ולהתאים את פתרונות ההגנה למערכת ולסוג המידע.

לסיכום, ככל שהשימוש בבינה מלאכותית נכנס עמוק יותר לארגון, פרטיות אינה "עוד סעיף" במדיניות אלא מנגנון הגנה משפטי לכל דבר.

*המידע במאמר זה הינו כללי בלבד ואינו מהווה תחליף לייעוץ משפטי מקצועי
(צילום ראשי: שאטרסטוק)

כן0
לא0

מידע משפטי נוסף שעשוי לעניין אותך

רוצים להתייעץ עם עורך דין?

עורכי דין בתחום

עדן לוי משרד עו"ד

יגאל ידין 18, חולון

חדלות פירעון, משפט מסחרי, מקרקעין ונדל"ן, הוצאה לפועל, חוזים מסחריים, ליטיגציה מסחרית, הסכמים מסחריים, הקמת חברות ועסקים, גביית חובות, הסכמי שהות, ייפוי כח מתמשך, הסכמי חלוקת עזבון, הסכמי ממון, ירושות וצוואות

מירב בצרי משרד עו"ד ונוטריון

אלון התבור 2, קיסריה ( פארק העסקים קיסריה )

מיסוי מקרקעין, נוטריון, משפט מסחרי, מקרקעין ונדל"ן, דיני משפחה וגירושין, דיני בנקאות, חוזים מסחריים, ליווי שוטף של תאגידים, הקמת חברות ועסקים, הסכמי ממון, ירושות וצוואות, מיסוי מקרקעין

עו"ד מסלה אייצ'לותם

שד' ירושלים 18, אשדוד

מיסוי מקרקעין, חדלות פירעון, תביעות חברות ביטוח, משפט מסחרי, מקרקעין ונדל"ן, הוצאה לפועל, דיני משפחה וגירושין, בקשה להפטר / הפטר, תאונות אישיות, מחלות קשות, סיעוד, פירוק חברות, ליווי שוטף של תאגידים, ליווי עמותות, הסכמים מסחריים, הקמת שותפות, הקמת חברות ועסקים, העברת זכויות דירה, הסכמי מכר, פינוי שוכר, דירות מכונס נכסים, תכנון ובניה / רישוי בניה, פינוי בינוי / בינוי פינוי, חוזי שכירות, בתים משותפים, רכישת דירה יד שניה, תמ"א 38, מחיקת חובות, גביית חובות, צו עיכוב יציאה מהארץ, ייצוג חייבים, ייצוג זוכים, ייפוי כח מתמשך, ייפוי כח, ירושות וצוואות, מיסוי מקרקעין

מאמרים נוספים

זכויות עובדים ודיני עבודה

יום האישה 2026: נשות איראן מסירות את הרעלה ונשות ישראל מסירות את הלוט מעל טבלאות השכר וחוקי העבודה

לרגל יום האישה הבינלאומי ועל רקע מבצע שאגת הארי, עו"ד שירן הורוביץ משרטטת את גבולות הגזרה החדשים של זכויות נשים: מההגנה על המרחב הדיגיטלי, דרך חובת השקיפות בשכר ועד למיגור האפליה הסמויה בקבלה לעבודה

מאת : ליהי גיאת - מערכת זאפ משפטי

04.03.266 דק'

דיני וחוקי תעבורה

שתיתם בפורים? אל תנהגו! ההשלכות של נהיגה בשיכרות

עו"ד גלעד משולם מזהיר: חוקי התעבורה לא "מתחפשים" בפורים. ממלכודת הבוקר שאחרי ועד לתביעות של מיליוני שקלים – כל מה שצריך לדעת לפני שעולים על ההגה בחג

מאת : ליהי גיאת - מערכת זאפ משפטי

26.02.269 דק'

גירושין ודיני משפחה

שטח עוין, סמטאות סגורות וקודים סודיים: כך מפצחים חקירות בשכונות המאתגרות בירושלים

נועם קדמי, מנהל משרד החקירות תפנית, מספר בראיון על המורכבות שבביצוע מעקבים בעיר שבה כל רחוב הוא עולם אחר: "בירושלים אתה יכול לעבור תוך דקות מאזור חרדי לכפר ערבי ומי שלא מכיר את הניואנסים, פשוט נחשף"

22.02.265 דק'