בינה מלאכותית בארגון שלכם. מי יהיה אחראי כשמשהו משתבש?
רוב לקוחותי, ובכלל מרבית העסקים בארץ, כבר אימצו כלי בינה מלאכותית בצורה כזו או אחרת. חלקם בזהירות ומתוך תכנון מראש, ורבים אחרים "על הדרך". אחד מהעובדים שמע על כלי בינמ (המונח הומצא על ידי הח"מ. אתכם הסליחה), השתמש בו, סיפר לחבריו ועד שהייעוץ המשפטי שמע על זה הכלי כבר הפך לכלי חשוב במסגרת ביצוע העבודה.
הבעיה היא שאף אחד לא עצר או חשב. אף אחד לא בדק מה בדיוק עושה הכלי הזה עם המידע שמוזן אליו. בטח שאף אחד לא טרח לקרוא אם תנאי השימוש ולראות שהם מתירים את השימוש שהעסק שלכם עושה בו. והאם מישהו בכלל בדק את מיקום השרתים ואת הסכמתכם לדין שחל עליהם. ומה יקרה אם הכלי ייצר לכם תוצר תקול. איך מתמודדים עם סכנה כזו?
הסיכון האמיתי הוא לא בטכנולוגיה. הוא שימוש בה
כולם מדברים על הטיה, שקיפות ואתיקה. כמובן שאלו מונחים חשובים. אבל הכשלים שאני רואה בפועל אצל לקוחות עסקיים שלי מתחילים בכלל בתחומים אחרים. תחשבו על עובד שמזין נתוני לקוחות לכלי חיצוני (לא הייתם מסכימים לכך באופן רגיל. נכון?); תחשבו על מנהל שמאשר שימוש בכלי בינה מלאכותית יוצרת (Generative AI) ומאפשר העברה של התוצרים ללקוחות בכלל ללא בקרה עליהם; ואולי הכלי בו אתם משתמשים מסביר בתנאי השימוש המייגעים שהקלט שתזינו למכשיר ישמש אותו לאימון המנוע?
לא מדובר בתרחישים תיאורטיים. אלו מקרים שקורים ללקוחות שלי כל הזמן, ויותר ויותר אנחנו מגלים שנוצרה כאן חשיפה לתביעה משמעותית ולפגיעה בלקוחות או לאירוע של דלף מידע. (Data Breach).
הרגולציה בכל העולם מתמודדת עם מצבים כאלו ומנסה להדביק פערים, וראו למשל את ה-EU AI Act. גם בארץ התחלנו לראות הנחיות של רגולטורים שונים (בתחום הפיננסים והבנקאות, בתחום עריכת הדין, בתחום הפרטיות וכדומה). ועדיין לא די בהם. האחריות הישירה תהיה עליכם – על הארגון שלכם ועל מנהליו (הדירקטורים).
מה זה בכלל ממשל תאגידי אפקטיבי?
נקודת המוצא היא כבר מזמן לא – "מותר להשתמש בבינמ?". לא. השאלות היום הן למשל – "מי אצלנו מוסמך להחליט מה מותר ומה אסור ולמי הוא צריך לתת דין וחשבון?".
המונח המשפטי המשעמם, "ממשל תאגידי", הוא כבר לא משהו הצהרתי. לא. מדובר בתחום שישנה את אופן פעילות הארגון והעסק שלכם בפועל. הבסיס שלו הוא שאלות פשוטות שהתשובה להן תהיה זהות מי שאחראי בארגון לטפל בנושא.
- מי מוסמך לאשר כלי חדש שהעובדים שלנו משתמשים בו?
- מה יהיו הסטנדרטים שינחו אותו בעת אישור כלי כזה?
- מי בדק את החוזה מול הספק וראה שהוא תקין ושומר עלינו?
- ומי יסביר לעובדים שלנו מה מותר, מה אסור וכיצד להתנהל אחרי שקיבלתם תוצר של מנוע בינה מלאכותית?
אחד הכשלים הנפוצים שאני רואה כמעט אצל כל לקוחותי הוא אימוץ של כלי בינמ וזה בכלל בלי לבדוק ולחשוב מראש.
תחשבו למשל על ההתקשרות שלכם עם ספקי AI. לא מדובר בספק SaaS רגיל. ביניכם לבינם נחתם חוזה מחייב שאמור להגדיר בצורה ברורה מה קורה עם המידע שמוזן למערכת, האם הם נעזרים בספקי משנה שמקבלים מהם מידע, מה אחריות הספק כשתוצר שגוי של המערכת גורם נזק, ומה קורה כשאתם רוצים למחוק את הנתונים שלכם שאצלם. ארגון שלא בדק לפחות את ההסכם וההתקשרות הזו ולא וידא שהם תואמים לצרכיו, לקח על עצמו סיכון וחשיפה, אולי בכלל בלי להבין שקיימת חשיפה כזו.
מה התפקיד של הדירקטוריון
די ברור שהדירקטוריון לא אמור לבחור בעצמו את הספק הנכון ולבדוק את ההתקשרות איתו. אבל התעלמות היא לא פתרון. דירקטוריון אמור להבין מה פרופיל הסיכון של הארגון, האם ההתנהלות מול הספקים תקינה והאם יש אחראי שדואג שהכל יפעל כמו שצריך.
אם הדירקטוריון לא ישאל שאלות כאלו ואחרות, הרי הוא מאשר בשתיקה מצב שבו הטכנולוגיה עלולה לגרום לארגון ולמנהלים שבו חשיפה משמעותית.
לכן, ההתארגנות הנכונה היא לא לבחור כמה שיותר כלים שיעשו עבורכם את העבודה. לא.
הגישה הנכונה תהיה להבין מה קורה בארגון שלכם ולוודא שיש מישהו שיודע איך לטפל בנושא.
הפתרון כמובן יהיה למנות בעל תפקיד כזה ולוודא שהוא ערך מדיניות ארגונית מלאה לתחום הבינה המלאכותית (יחד עם אנשי מקצוע, כמו עורך דין מומחה, שמבינים את הנושא), ולאחר מכן יישם אותה בצורה תקינה לכל אורך שכבות הארגון.
האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.