האם ה-AI פוגע בארגון שעושה בו שימוש? / ד"ר דן חי

הכותב עומד בראש משרד עורכי הדין דן חי ושות', העוסק בטכנולוגיה ומשפט, ובין היתר בהסדרת שימוש AI בארגון

בתאריך 28.03.24

בניו-יורק אותגר בית המשפט בטענה, כי תקדימים שהופיעו בסיכומי הצד השני בתיק, בכלל אינם קיימים. כשהתבקש אותו צד לענות לטענות הוא בדק ואחר-כך התנצל והסביר, שערך את הסיכומים בעזרת ChatGPT ופלטפורמת ה-AI פשוט המציאה תקדימים, היכן שלא מצאה. המבוכה הזו של אותו עורך-דין, לתופעה שזכתה לכינוי HALLUCINATION, מקום בו פלטפורמת AI מייצרת תוצרים שאינם נכונים, יכולה לקרות בתחומים רבים אחרים. אפשר לתאר אדם שמסורב לעריכת ביטוח או שתנאי הביטוח שניתנים לו קשים ואין כל דרך להצדיק אחר-כך את התוצאה חוץ מלהתנצל.

הבינה המלאכותית (AI) פרצה לתודעה בסוף נובמבר 2022 עם השקתו של ה-ChatGPT, אבל הייתה כאן עוד הרבה שנים קודם לכן. ההשקה של הפלטפורמה הנגישה לכל את אפשרות השימוש בפלטפורמה מבוססת AI ורבות בעקבותיה, הפכה את הכלי, שהיה עד אותה עת נגיש לאנשי מקצוע בתחום בלבד, לנגישה לקהל רחב ובהם אנשי מקצוע בתחומים רבים ושונים. הנגישות הזו לעולם ומי שמבקש להתקדם בו, עוררה שאלות רבות, כמו האם ניתן לסמוך על התשובות שהפלטפורמות השונות נותנות, האם ניתן לשתף על גביהן מידע, אישי או כזה המוגן בקניין רוחני, ושאלות רבות נוספות.

בעולם הביטוח עולות השאלות האלו בהקשר של העבודה יומיומית, ובניהן מתי והאם מותר לסוכני ביטוח ואנשי שיווק בחברות הביטוח לשתף מערכות AI בפרטי לקוחות על מנת לקבל המלצות ותובנות על בסיס ה-AI? האם למשל – מותר להעלות את קובץ הלקוחות ל-ChatGPT בשביל לקבל את התובנות שלו? האם מותר להעלות למנוע AI תמלול שיחה עם לקוח? האם יש הבדל, למשל, בין מנוע AI מבוסס רשת לבין מערכת AI שמוטמעת כולה בשרתי הארגון? ואם כן – האם המערכת חייבת להיות פיזית בתוך שרתי הארגון או שניתן למקם אותה בשרת ענן? ולמעשה ניתן לחשוב על עוד שאלות רבות שעולות כמעט מידי יום.

בחלוקה גסה ניתן לחלק את העיסוק בשאלות לשלושה רבדים. ברובד הראשון נעסוק בשימוש בפלטפורמות AI השונות לטובת קבלת מידע שוטף; ברובד השני יהיו כל אותם מקרים בהם מבוקש לעלות לפלטפורמות מידע, בין אם מידע אישי או מידע מוגן בקניין רוחני, כמו קוד שפותח בארגון. הרובד השלישי יעסוק בכל אותם תוכנות שהארגון מפתח או רכש לטובת הפעילות השוטפת שלו ואשר אינן מחוברים לרשת, כי אם כאלו המשרתות את הארגון עצמו. שאלת משנה בהקשר לכך תהא, היכן ניתן לשמור תוכנות כאלו? האם בשרתי הארגון בלבד או גם בענן?

באופן טבעי הניסיון להסדיר את השימושים בתוכנות AI הולך בין הרבדים המתוארים מהקל אל הכבד. ברובד הראשון על ארגון לקבוע לעצמו כללים ברורים על דרך השימוש, לרבות את אופן השימוש בתוכנות על ידי העובדים, מרחב השאלות שניתן להיעזר לטובת מענה אליהם בפלטפורמות השונות והדרך לבדוק את התשובות המתקבלות, אמינותן, היותן בלתי מפלות וכדומה. זה אמנם מקשה על השימוש השוטף בפלטפורמה אבל שומר על הארגון. אף אחד לא רוצה, בסופו של דבר, לחוות את המבוכה של אותו עורך-דין בניו-יורק. אפשר לחשוב על מצבי מבוכה כאלה גם בתחום הביטוח. השימוש בפלטפורמה אמנם יכול לייעל את העבודה השוטפת ולקצר תהליכים, אבל בשורה התחתונה דרוש גם פיקוח אנושי לבדיקה האם המידע שמתקבל אמין, מדויק, נכון ולא פוגע באותם אנשים להם אותם אנחנו מבקשים לבטח.

השימושים ברובד השני מאתגרים יותר. כאן השאלה היא לא רק מהימנות פעולת הפלטפורמה והתשובות שמתקבלות ממנה, כי אם גם השאלה מה קורה עם המידע שמועלה לפלטפורמה? האם קיימת הגנה עליו, אם מפני דליפה ואם מפני שימושים של צדדים שלישיים במידע. בדרך כלל את המענה נקבל במסמך מדיניות השימוש בכל פלטפורמה. שם יהיה עלינו לחפש התחייבות ברורה לאבטח את המידע ולא לעשות בו כל שימוש לצרכי הפלטפורמה או צדדים שלישיים כלשהם. סביר שנמצא התחייבויות כאלו רק בגרסאות שדורשות תשלום. שוב, המדובר במשימה לא פשוטה, אבל הכרחית לנוכח הסכנות הרבות שיכולות להיות, מקום בו לא נבטיח את המידע העולה לפלטפורמה.

שימוש בתוכנות מבוססות AI שפותחו על-ידי הארגון או נרכשו על-ידו מעורר אתגרים מסוג אחר. אם מדובר במוצר שאינו מחובר לרשת, אבטחת המידע והשמירה עליו נתונה בידי הארגון שבחצרו נמצאת התוכנה. שאלת המהימנות של המוצר קשורה בגורם שפיתח אותו ובהתחייבויות שנתן. עדיין תעלה השאלה, האם ניתן לסמוך על התוצאה שמתקבלת. האם אינה מפלה או מולידה תשובות שגויות? יותר מכל, מקום בו התוכנה משמשת בסיס לקבלת החלטות, למשל האם לבטח או לא אדם מסוים ואם לבטח, באילו תנאים ובאיזה תעריף? באירופה קיימת חובה להיות מסוגל להסביר לאותו אדם את הנוסחה ששימשה בסיס לקבלת ההחלטה של התוכנה המבוססת AI. בישראל קיימת טיוטת הצעת חוק שמבקשת לאמץ חובה זו, עיקרון ההסברתיות בשמה, גם בישראל. המשמעות היא שגורם שמפתח תוכנת AI צריך לדאוג לפתח במקביל לה תוכנה שגם תוכל להסביר אותה.

השאלה היכן ניתן לשמור את המערכת, האם בענן או בשרתי הארגון, תלויה בהסכם שיש לארגון עם אותו ענן. על הסכם כזה להבטיח את עצמאות פעולת התוכנה ואי נגישות של בעלי הענן לתוכנה עצמה.

אין ספק שהשימוש ב-AI מעורר שאלות רבות שהתשובות אליהן אינן פשוטות. באירופה עברה החקיקה הראשונה מסוגה בתחום, שגם היא עוסקת בעיקר בעקרונות ולא בהוראות מפורטות של עשה ואל תעשה. בישראל המשפט מפגר עוד הרבה מאחור.

למרות הערפל המשפטי, ארגונים רבים מגבשים כבר היום מסמך מדיניות AI לארגון שממנו נובעים נהלים ומסמכים נוספים שמבקשים להסדיר את כל שימושי ה-AI שזה הרגע סקרנו. לכולם ברור שהמסמכים האלה יעודכנו בהמשך עם ההתפתחות הטכנולוגית והמשפטית שיבואו. אבל אלה מבקשים להבטיח כבר עכשיו, עד כמה שאפשר, שהשימוש ב-AI יביא יותר תועלת מנזק ושלפחות יהיה קצת סדר במכלול המאתגר של ה-AI. ההסדרה הזו נועדה לשמש גם ככלי הגנה, מקום בו יטען כנגד הארגון שלא פעל כדי לצמצם נזקים אפשריים. מדיניות טובה וברורה יכולה, ללא ספק, לספק מענה.

הכותב עומד בראש משרד עורכי הדין דן חי ושות/, העוסק בטכנולוגיה ומשפט, ובין היתר בהסדרת שימוש AI בארגון.

שתף באמצעות WhatsApp