סעיפי בינה מלאכותית בחוזים: מה חשוב לכלול

למה חוזה AI הוא לא סתם "חוזה תוכנה"

עסקים חותמים מדי יום על הסכמי שימוש ב-AI בלי להבין מה הם מסכימים לו. הם חושבים שזה כמו כל הסכם SaaS — אבל זה לא. מערכות AI מאומנות על הנתונים שלכם, עשויות ליצור ממצאים שיהיו קשים לערעור, ומקבלות החלטות שהשלכותיהן יכולות להגיע לבית משפט. החוזה שאתם חותמים עליו קובע מי אחראי כשדברים משתבשים.

בדין הישראלי אין עדיין חוק AI ייעודי. חוק החוזים (חלק כללי), תשל"ג-1973 הוא הבסיס, ולפי סעיף 25 לחוק — כשמונח לא מוגדר, בית המשפט יפרשו לפי הקשר העסקי. בתחום AI, שבו כל מילה עלולה להיות שדה מוקשים טכנולוגי, עמימות בחוזה שקולה לניצחון לצד שמנסח אותו.

סעיף 1: הגדרת "הבינה המלאכותית" — לא תפוחים ולא תפוזים

ביטוי "AI" בחוזה ללא הגדרה הוא פתח לסכסוך. ספק יכול לטעון שהתחייב לאלגוריתם ממוצע, ואתם ציפיתם למודל שפה מתקדם. לפני שחותמים, דרשו הגדרה שמפרטת: סוג המערכת (מודל שפה, ראיית מחשב, סיווג, וכו'), האם מדובר במודל מאומן מראש או בפיתוח מותאם אישית, ומהן גרסאות המוצר שכלולות בהסכם.

כשמונח טכנולוגי לא מוגדר, בתי המשפט פותרים מחלוקות לפי מטרת ההסכם ותום הלב (סעיף 39 לחוק החוזים) — אבל פסיקה שבאה לאחר שהנזק כבר נגרם לא עוזרת הרבה לעסק.

סעיף 2: מי הבעלים של הנתונים והמודל

זו השאלה הכי שנויה במחלוקת בחוזי AI, ורוב הצדדים לא מודעים אליה. כאשר ספק AI מאמן את המערכת שלו על הנתונים שלכם — עסקאות, שיחות עם לקוחות, מסמכים פנימיים — מי בעלים של ה"ידע" שנצבר בתוך המודל?

חוק זכות יוצרים, תשס"ח-2007 מגן על יצירות מקוריות. הנתונים הגולמיים בדרך כלל שייכים לבעליהם, אך "המודל המאומן" עשוי להיות יצירה נפרדת. לפי סעיף 34 לחוק, יצירה שנוצרה בהוראת מעסיק — בעלות המעסיק. אך בחוזה עם ספק חיצוני, הכלל שונה לחלוטין אם לא מוסדר במפורש.

הסעיף חייב להגדיר: מי הבעלים של הנתונים הגולמיים, מי הבעלים של המודל המאומן, מה מותר לספק לעשות עם הנתונים שלכם (לרבות אימון מודלים אחרים), ומה קורה לזכויות אם החוזה מסתיים.

סעיף 3: הגבלת אחריות — מי משלם כשה-AI טועה

מערכות AI מייצרות שגיאות. תחזית שגויה, המלצה כושלת, או "הלוצינציה" שגרמה להחלטה עסקית רעה — מי אחראי? פקודת הנזיקין [נוסח חדש] קובעת אחריות ברשלנות, אך בחוזים מסחריים אפשר להגביל אותה — עד לגבול מסוים.

סעיף הגבלת האחריות חייב לכלול: תקרת אחריות כספית (לרוב מכפלה של דמי ההסכם), רשימה מפורשת של נזקים שאינם מכוסים (נזקים עקיפים, אובדן מוניטין, הפסד רווחים), ומנגנון ביטוח אם הנזק הפוטנציאלי גבוה. בית המשפט ישמור לעצמו שיקול דעת לפסול סעיפי אחריות שאינם עומדים במבחן תום הלב של סעיף 39 לחוק החוזים.

סעיף 4: סודיות ופרטיות — עיבוד נתונים אישיים

אם מערכת ה-AI מעבדת נתונים אישיים — של עובדים, לקוחות, ספקים — חוק הגנת הפרטיות, תשמ"א-1981 חל בלי קשר למה שכתוב בחוזה. תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 מחייבות רמות אבטחה שונות לפי רגישות המידע.

הסעיף חייב לכלול: הגדרה ברורה של מהי "מידע סודי" ו"מידע אישי" בהקשר הספציפי, חובת דיווח על אירוע אבטחה תוך זמן מוגדר, הגדרת אחריות הספק כ"גורם מחזיק מידע" מכוח חוק הגנת הפרטיות, ואיסור מפורש על שימוש בנתוני הלקוח לאימון מודלים של צדדים שלישיים. חברות ישראליות שמועברות אליהן נתונים מאירופה צריכות להוסיף גם סעיף DPA בהתאם ל-GDPR.

סעיף 5: ערבויות ביצוע ורמת שירות

ספקי AI אוהבים לכלול סעיפי "as-is" — המערכת מסופקת כפי שהיא, ללא ערבויות. בחוזים בין עסקים, הדבר חוקי. אבל לקוח שמשלם שישה ספרות בשנה מצפה למשהו קונקרטי — ואם הוא לא כתב את זה בחוזה, הוא לא יקבל כלום.

דרשו: SLA מוגדר עם זמינות מינימלית (uptime), רמת דיוק מינימלית ומנגנון לבדיקתה, מדיניות עדכוני גרסה ופרוטוקול הודעה מוקדמת לפני שינויים, ותמיכה טכנית עם זמני מענה מוגדרים. כל מה שלא כתוב — לא קיים.

סעיף 6: מה קורה לנתונים כשהחוזה נגמר

כאן מסתתרת הבעיה הכי שקטה ורציחת-ביותר. הרוב לא חושבים על זה בזמן ההתקשרות — ואז מגלים שהנתונים שלהם ממשיכים לשבת אצל הספק, לאחר שהסכם הסתיים.

הסעיף חייב לקבוע: מועד מחיקה מוגדר של כל הנתונים (30-90 יום סביר), זכות לקבל עותק מלא של הנתונים לפני המחיקה, אישור בכתב שהמחיקה בוצעה (כולל גיבויים), ואיסור מפורש על שמירת נגזרות של הנתונים (כולל תכונות שחולצו לאימון מודל). חוק הגנת הפרטיות מחייב מחיקה על דרישה, אך ספק שהחוזה שלו שותק בעניין זה יתפרש לרוב לטובתו — לא לטובתכם.