המצב המשפטי בישראל — חלל חקיקתי שהפסיקה ממלאת
בישראל אין עדיין חקיקה ייעודית לאחריות מערכות AI אוטונומיות. בית המשפט נדרש להחיל את פקודת הנזיקין [נוסח חדש], ובעיקר סעיפים 35-36, העוסקים ברשלנות ובחובת הזהירות. לפי המבחן הפסיקתי המבוסס, קיימת אחריות בנזיקין כאשר מתקיימים שלושה תנאים: חובת זהירות, הפרתה, ונזק שנגרם כתוצאה ישירה. השאלה שבית המשפט יצטרך להכריע בה: מי — בין מפתח ה-AI, המפעיל, וספק הפלטפורמה — חב בחובת זהירות כלפי הנפגע, ובאיזו מידה?
שלושה גורמים — שלוש שאלות אחריות
מפתח ה-AI: חברה שפיתחה מערכת AI ופרסה אותה לשוק נושאת באחריות הדומה ליצרן מוצר פגום. אם הטמיעה בה הטיה אלגוריתמית ידועה, לא תיעדה מגבלות מהותיות, או שחררה גרסה שלא עברה בדיקות מספיקות — תוחל אחריות. פקודת הנזיקין, בשילוב חוק הגנת הצרכן, תשמ"א-1981, מאפשרים לנפגע לתבוע ישירות את המפתח.
מפעיל המערכת: ארגון שמשתמש ב-AI לקבלת החלטות שמשפיעות על אנשים — דחיית הלוואות, סינון מועמדים לעבודה, אבחון רפואי — אחראי להשגחה ולפיקוח. שימוש ב-AI אינו פוטר את הארגון מחובת ועדה ובקרה. אם ה-AI קיבל החלטה שגויה ולא היה מנגנון בדיקה אנושי, הארגון יהיה הנתבע הראשוני.
ספק הפלטפורמה (AI-as-a-Service): חברות שמספקות AI כשירות עשויות לשאת באחריות אם ידעו על כשלים ידועים ולא גילו אותם ללקוחות. חוק החוזים (חלק כללי), תשל"ג-1973, מחייב גילוי מידע מהותי בעסקאות.
אחריות משותפת: בפועל, ייתכן שיותר מגורם אחד יישא בחבות. סעיף 11 לפקודת הנזיקין מאפשר תביעה נגד כמה גורמים יחד כ"מזיקים ביחד" — כאשר כל אחד אחראי לכלל הנזק, ולבית המשפט הסמכות לחלק ביניהם לפי מידת האשמה.
מתי "הכשל הבלתי צפוי" הוא טענת הגנה — ומתי לא
גורמים רבים מנסים לטעון שהכשל לא היה צפוי. זו טענת הגנה לגיטימית — אך צרה. הכלל: כל מפתח ומפעיל AI נדרש להיות מודע לסיכונים הידועים של הטכנולוגיה. הטיה אלגוריתמית, hallucinations של מודלי שפה, ואי-יציבות בקצות הפעולה — אלו סיכונים מוכרים ומתועדים בספרות המקצועית. מי שלא ביצע לפחות הערכת סיכונים בסיסית לפני פריסת המערכת לא יוכל לטעון "לא ידעתי".
נזק ישיר ונזק עקיף — ומה קורה בין השניים
פקודת הנזיקין מאפשרת תביעה בגין נזק ישיר — גופני, רכושי, כספי מידי — ובגין נזק תוצאתי (consequential damage). כשמערכת AI חוסמת חשבון בנק בטעות, הנזק הישיר ברור. אבל מה עם הפסד העסקי של אדם שלא יכול היה לשלם לספקיו? מה עם הנזק לשמו הטוב? אלו שאלות שבית המשפט הישראלי יתמודד איתן בשנים הקרובות.
בחוזי AI מקצועיים, מנגנוני הגבלת אחריות (Limitation of Liability) נפוצים — אך הם אינם תמיד אכיפים, ולא יגנו על מפעיל שפעל בחוסר תום לב.
ה-EU AI Act — המסגרת שמשפיעה גם על ישראל
תקנת ה-EU AI Act, שנכנסה לתוקף ב-2024, מסווגת מערכות AI לפי רמת הסיכון: מינימלי, מוגבל, גבוה, ואסור. מערכות בסיכון גבוה — כגון AI להחלטות אשראי, ביטוח, בריאות, ומשפט — חייבות לעמוד בדרישות נוקשות: שקיפות, תיעוד, בדיקות הטיה, ופיקוח אנושי חובה. חברות ישראליות המייצאות לאירופה או עובדות עם לקוחות אירופאים כפופות לתקנה זו — בדיוק כמו שאירע עם GDPR.
חמישה צעדים שכל ארגון צריך לנקוט עכשיו
כל ארגון שמשתמש ב-AI אוטונומי צריך לטפל בנקודות הבאות: לערוך הערכת סיכונים מתועדת לפני הפריסה; להטמיע מנגנון פיקוח אנושי על החלטות בסיכון גבוה; לוודא שסעיפי השיפוי בחוזה עם ספק ה-AI מכסים את הסיכונים הרלוונטיים; לרכוש ביטוח אחריות מקצועית שמכסה סיכוני AI ספציפית; ולתעד כל תקלה, סטייה, והחלטת מנגנון — כי זה יהיה הראיה הרלוונטית ביותר בתביעה עתידית.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: בניסוח חוזה עם ספק AI, הוסף "AI Liability Annex" ייעודי — הגדרת אחריות, מנגנון גילוי כשלים, ופרוטוקול תגובה לאירועים. אל תסמוך על תנאי Use Policy הסטנדרטיים של הספק.
- חקיקה רלוונטית: פקודת הנזיקין [נוסח חדש] סעיפים 11, 35-36; חוק הגנת הצרכן, תשמ"א-1981; חוק החוזים (חלק כללי), תשל"ג-1973 סעיף 12; EU AI Act 2024 Annex III.
- טעות נפוצה: מניחים שסעיף "הגבלת אחריות" בחוזה עם ספק SaaS מגן על המפעיל מול הנפגע. הוא לא — אחריות נזיקית חיצונית לחוזה הפנימי.
- נקודה טקטית: בתביעה נגד מפעיל AI, בקשו גילוי מסמכים על Audit Log המערכת — הוא קיים, ובית המשפט יצפה לו. היעדרו יתפרש לרעת הנתבע.