רגולציית AI בישראל ובאירופה: מדריך משפטי לחברות הייטק

בקצרה: חברות ישראליות שמוכרות AI לאירופה כפופות ל-AI Act — כבר עכשיו. בישראל אין עדיין חוק ייעודי, אבל חוקי הפרטיות, הגנת הצרכן, ואנטי-מונופול כבר חלים. הצעד הראשון: לסווג כל מערכת AI לפי רמת סיכון ולהכין תיעוד בהתאם.

למה ממתינים? הרגולציה כבר כאן

AI כבר לא ניסיוני — זה תשתית. מערכות AI מחליטות מי מקבל הלוואה, מי עובר ראיון עבודה, ומה רואה המשתמש בפיד. עם סמכות כזו מגיעה אחריות, ורגולטורים בעולם מתחילים לדרוש אותה בצורה מחייבת. האיחוד האירופי כבר עבר — הוא נקט צעדים. ישראל בדרך.

חברות הייטק ישראליות שמפתחות, משלבות, או מוכרות פתרונות AI חייבות לצאת מהמצב הקוגניטיבי שבו "עוד לא חייבים". חייבים. הנה למה.

ה-AI Act האירופי — עיקרי התקנות

ה-AI Act האירופי (Regulation (EU) 2024/1689) הוא החוק המקיף הראשון בעולם לרגולציה של בינה מלאכותית. הוא נכנס לתוקף באוגוסט 2024, כשהאיסורים על מערכות בסיכון בלתי-מקובל חלים מינואר 2025, ודרישות ה-high-risk ייכנסו לתוקף ב-2026. כל חברה שמוכרת AI לשוק האירופי — כולל חברות ישראליות עם לקוח אחד באירופה — כפופה לחוק.

עיקרי ה-AI Act:

סיווג סיכון: כל מערכת AI מסווגת לאחת מארבע רמות — סיכון בלתי-מקובל (אסור), סיכון גבוה (high-risk), סיכון מוגבל, וסיכון מינימלי. כל רמה מחייבת דרגת ציות שונה.
מערכות אסורות לחלוטין: ניקוד חברתי על-ידי גופים ממשלתיים, מניפולציה סאבלימינלית, זיהוי ביומטרי בזמן אמת במרחב ציבורי (ברוב המקרים), ומיקוד פגיעות קוגניטיביות. אל תבנו. אל תשלבו.
מערכות סיכון גבוה: מערכות שמשפיעות על גיוס עובדים, הלוואות וניקוד אשראי, מערכות בתי משפט, חינוך, ותשתיות קריטיות — דורשות תיעוד מפורט, בדיקת הטיה, פיקוח אנושי, ורישום ב-EU database.
שקיפות: כל מערכת שמתקשרת עם משתמשים כאילו היא אנושית (chatbots, deepfakes, קולות סינתטיים) חייבת לחשוף שהיא AI.
פיקוח אנושי: לכל מערכת high-risk חייב להיות אדם שמסוגל להתערב, לבטל, ולדחות החלטה.

ה-AI Act הוא ה-GDPR של הבינה המלאכותית. חברות שלא ישכילו ממנו את הלקחים — יתנגשו בו בעצמה.

הגישה הישראלית לרגולציית AI

בישראל, הגישה לרגולציית AI עדיין בשלבים מוקדמים יותר משל אירופה. עם זאת, יש כמה מיזמים חשובים:

יוזמה לאומית ל-AI: הממשלה פרסמה מדיניות לאומית ל-AI שכוללת עקרונות אתיים וסטנדרטים מנחים — לא חובות מחייבות עדיין, אבל הם מאותתים על הכיוון.
הרשות להגנת הפרטיות: פרסמה קווים מנחים לשימוש ב-AI בהיבטי פרטיות. כל מערכת AI שמעבדת מידע על אנשים כפופה לחוק הגנת הפרטיות, תשמ"א-1981 — ולחובות ה-GDPR כלפי אזרחי EU.
חוק הגנת הצרכן, תשמ"א-1981: שימוש ב-AI בתמחור דינמי, פרסום ממוקד, או יצירת תוצאות מותאמות אישית בלי גילוי — עלול להיחשב כפרסום מטעה. הרשות להגנת הצרכן עוקבת.
דיני תחרות: שימוש ב-AI לתיאום מחירים אלגוריתמי — עבירה על חוק הגנת התחרות, תשמ"ח-1988. רשות התחרות כבר הביעה עניין בתחום.
מוסדות פיננסיים: בנקים וחברות ביטוח שמשתמשים ב-AI פועלים תחת הנחיות בנק ישראל ורשות שוק ההון בנוגע לשקיפות, פיקוח, ומניעת אפליה.

בישראל אין עדיין חוק ייעודי לרגולציית AI — אבל "אין חוק ייעודי" לא אומר "אין חובות". חברות שמתנהגות כאילו הן בחלל ריק יתבדו.

קראו גם:

סיווג רמות סיכון וחובות בהתאם

בין אם עובדים תחת ה-AI Act או מנסים להיות מיוחסות לעתיד, חברות צריכות להעריך את סיכון של ה-AI שלהם:

1. סיכון מינימלי: מסנני דואר זבל, מערכות המלצה בסיסיות, כלי אוטומציה פשוטים. כמו সুপারიশים של פרוזדור או מערכות אוטומציה פשוטות. הדרישה: תיעוד בסיסי ושקיפות כלפי משתמשים.

2. סיכון מוגבל: Chatbots, מערכות שיוצרות תוכן המתחזה לאנושי, זיהוי פנים בהקשרים מסחריים. הדרישה: חשיפה ברורה שמדובר ב-AI — המשתמש חייב לדעת שהוא מתקשר עם מכונה.

3. סיכון גבוה: מערכות שמשנות החלטות משמעותיות — גיוס עובדים, הלוואות, ניקוד אשראי, הכרעות משפטיות, רפואה, חינוך. הדרישות כבדות: תיעוד מלא, בדיקת הטיה תקופתית, פיקוח אנושי ממשי, ביקורות חיצוניות, ורישום ב-EU database.

4. אסור לחלוטין: ניקוד חברתי, מניפולציה של אנשים מוחלשים, זיהוי ביומטרי בזמן אמת במרחב ציבורי (ברוב המקרים). לא לבנות. לא לשלב. לא לרכוש מספקים.

צעדים מעשיים לציות

לא מאוחר להתחיל. הנה מה שצריך לעשות עכשיו:

מיפוי מלאי AI: רשמו כל מערכת AI שהחברה מפתחת או משתמשת בה — כולל vendor software. כל אחת.
סיווג סיכון: בחנו כל מערכת לפי מסגרת ה-AI Act. היעזרו ב-checklist הרשמי של ה-EU.
תיעוד: איך המערכת עובדת, על אילו נתונים הוכשרה, מה מגבלותיה, ואיך בודקים הטיה.
בדיקת הטיה: למערכות high-risk — בדיקה תקופתית לאפליה לפי מין, גיל, מוצא, ומאפיינים רגישים נוספים.
מינוי אחראי ציות AI: מי בחברה אחראי לנושא? אם עדיין לא הכשרתם אדם לתפקיד — תעשו זאת עכשיו, לא אחרי שתקבלו קנס.

AI הוא כוח — וחוק דורש שכוח יהיה אחראי. חברות שיבנו מערכות שקופות, מתועדות, ומפוקחות לא רק ימנעו קנסות — הן יבנו אמון שהוא יתרון תחרותי ממשי.

📌 זווית מקצועית — לעורכי דין

טיפ פרקטי: בעת עריכת חוזה עם ספק AI — הכניסו סעיף ייעודי לציות רגולטורי: חובת עדכון, ייצוגים לגבי תיעוד, ואפשרות סיום מהיר אם המערכת תסווג כ-high-risk לאחר כניסת הוראות ה-AI Act.
פסיקה רלבנטית: ⚠️ טרם קיימת פסיקה ישראלית ייעודית לנושא — אך CJEU C-634/21 (Schufa, 2023) בנושא ניקוד אוטומטי מרמז על כיוון הפרשנות האירופית שישפיע גם כאן.
טעות נפוצה: חברות ישראליות שמניחות שה-AI Act חל רק על חברות אירופיות — טועות. הוא חל על כל מי שמציע שירותים/מוצרים לשוק האירופי, ללא קשר למיקום השרת.
נקודה טקטית: בחוות דעת DD לרכישת חברת AI — בדקו האם בוצע Risk Classification. היעדרו הוא סיכון משפטי ממשי שיש לתמחר בדיל.