עו“ד מיכל רוזנבוים ועו“ד לירון מיוסטעו“ד מיכל רוזנבוים ועו“ד לירון מיוסט הן מומחיות בליווי רגולטורי וניהול סיכוני AI במגזר הציבורי; מלוות רשויות מקומיות וגופים ציבוריים בגיבוש אסטרטגיות משילות, ניהול חשיפות משפטיות והטמעה בטוחה של טכנולוגיות קצה בהתאם לסטנדרטים הבינלאומיים והמקומיים.
* מאמר זה נכתב בסיוע AI ומהווה סקירה ניהולית ואסטרטגית ואינו מהווה ייעוץ משפטי פרטני.
דמיינו את הסיטואציה הבאה: מערכת בינה מלאכותית מתקדמת, שהוטמעה ברשות כדי לייעל את שיבוץ התלמידים במוסדות החינוך או לקבוע דירוג זכאות לשירותי רווחה, מתחילה להניב תוצאות מעוררות מחלוקת. הורים זועמים מתייצבים בפתח הלשכה עם טענות על אפליה מובנית, בעוד שצוותי המקצוע מתקשים להסביר מדוע המכונה קיבלה החלטה מסוימת ולא אחרת.
המנהיגות המוניציפלית והניהולית ניצבת בפני פרדוקס מובנה. מחד, הפיתוי להטמיע כלי בינה מלאכותית לייעול ושיפור השירות לתושב הוא חסר תקדים. מאידך, האחריות המשפטית והציבורית הרובצת על כתפי ראש הרשות והמנכ“ל מעולם לא הייתה כבדה יותר.
לצד ההבטחה הגדולה מפוטנציאל הבינה המלאכותית, הדרג הניהולי הבכיר חייב להכיר במציאות: הטמעת AI במערכות ציבוריות היא אירוע בעל משמעויות אסטרטגיות, משפטיות ואתיות מרחיקות לכת. האחריות הסופית על כל תוצר, החלטה או אפליה שייגרמו על ידי המערכת, אינה מוטלת על הדרג הטכני, אלא על כתפי הנהלת הארגון וראש הרשות באופן אישי.
במגזר הציבורי, כל החלטה או פלט שגוי משפיעים ישירות על זכויותיו וחייו של האזרח. התלהבות טכנולוגית אינה פוטרת אתכם מאחריות ניהולית ומקצועית, שכן המכונה היא כלי עזר בלבד, והאחריות נותרת תמיד בידי הגורם האנושי.
כשל בהטמעה אינו רק תקלה טכנית, הוא מהווה חשיפה משפטית לביטול החלטות מנהליות בעילת אי-סבירות, פגיעה באמון הציבור והפרה של חובות זהירות בסיסיות.
תובנה 1: עקרון האחריות - סופה של טענת ״המחשב טעה״
בעולם שבו האלגוריתם הופך לאוטונומי יותר, האחריות לעולם אינה נעלמת. ככל שהמעורבות האנושית בפעולה מצטמצמת, כך מתחדד האתגר המשפטי של נושאי המשרה. על ההנהלה ועל הדירקטוריונים חלה חובה אקטיבית לפקח על ניהול סיכונים.
חשוב להבהיר: חוסר הבנה של הטכנולוגיה המופעלת בארגון לא יגן עליכם אישית מתביעות או מביקורת במקרה של מחדל, אפליה או דלף מידע. משטר האחריות עבר שינוי רדיקלי, הוא אינו עוצר אצל המפתח או הספק, אלא מטפס ישירות ללשכת המנכ“ל.
תובנה 2: ניהול סיכונים דיפרנציאלי - לא הימנעות, אלא שליטה מושכלת
הרגולציה הישראלית הנוכחית בחרה שלא לחנוק את החדשנות בחקיקה קשיחה, אך היא מצפה מכם לאמץ סטנדרטים מקצועיים לניהול סיכונים (כגון אלו של ה-OECD).
ישראל בחרה ב“אסדרה רכה“ (ללא חוק רוחבי כרגע), אך בתי המשפט מצפים לאימוץ סטנדרטים מקצועיים של ניהול סיכונים מבוסס רמת סיכון. מכאן נובעת חובה אקטיבית על ההנהלה והדירקטוריון לפקח על מערכות הAI אי-קיום מנגנון פיקוח הופך את המנהלים לחשופים אישית לתביעות בגין רשלנות בניהול הארגון.
המשמעות עבורכם היא שככל שהמערכת משפיעה יותר על זכויות התושב (למשל: זכאות לארנונה, שיבוץ למוסדות חינוך או זיהוי פנים), כך נדרשת בקרה עמוקה יותר.
במסגרת זו, חלות עליכם חובות מנהליות מפורשות: חובת יידוע (ליידע אזרחים כשהם באים במגע עם AI) וחובת הנמקה (היכולת להסביר כיצד התקבלה החלטה אלגוריתמית המשפיעה על זכויותיהם).
תובנה 3: חמשת ה“צללים“ –הסיכונים האסטרטגיים
על ההנהלה להכיר את חמשת הסיכונים שעלולים להפוך להליכים משפטיים:
1. תופעת ההזיות וכלל הברזל - מערכות AI פועלות על בסיס סטטיסטי ולא לוגי, ולכן מייצרות מידע שגוי בביטחון עצמי גבוה. הפתרון: אימוץ עקרון ה-Human-in-the-loop. חל איסור על הוצאת החלטה ללא חתימת גורם אנושי. כלל הברזל מחייב בדיקה ידנית דקדקנית של שמות, תאריכים, סעיפי חוק ונתונים מספריים לפני כל שימוש בפלט.
2. מראה שבורה - אפליה והגינות אלגוריתמים משמשים לעיתים כ“מראה שבורה“ המנציחה הטיות היסטוריות. שימוש ב-AI לשיבוץ תלמידים או לדירוג זכאות לרווחה על בסיס נתונים סוציו-אקונומיים הוא פצצת זמן משפטית. פגיעה כזו אינה רק טעות טכנית, אלא הפרה של החוזה החברתי והחובה החוקתית לשוויון.
3. פרטיות - הזנת נתוני תושבים רגישים לכלי מדף ציבוריים היא הפרה בוטה של אמון הציבור. דליפת מידע אישי לטובת אימון מודלים חיצוניים מהווה עילה לתביעות ייצוגיות וסנקציות מצד הרשות להגנת הפרטיות.
4. היעדר שקיפות (“קופסה שחורה“) - הקושי להסביר את הלוגיקה שמאחורי החלטה אלגוריתמית עומד בסתירה ישירה לחובת ההנמקה המנהלית. ללא שקיפות, הרשות מאבדת את הלגיטימציה לפעול.
5. סיכוני שרשרת אספקה ותלות אסטרטגית - הסתמכות על ספקים חיצוניים שעלולים לשנות מדיניות אתיקה או לנתק שירות מהיום למחר, כפי שראינו בשינויי המדיניות הפתאומיים של מודלים כמו Claude (Anthropic) מהווה איום על הרציפות התפקודית.
תובנה 4: פרטיות כבסיס לחוזה החברתי
הגנת הפרטיות היא הבסיס לאמון הציבור. התושב מפקיד בידיכם את המידע הרגיש ביותר שלו, וחובות אבטחת המידע חלות במלואן על כלי AI.
חל איסור מוחלט על הזנת נתונים רגישים של תושבים לכלי מדף ציבוריים ללא הסדרה משפטית וטכנולוגית. עליכם לוודא שהספקים שלכם כפופים לעקרונות האתיקה הישראליים והבינלאומיים (OECD) ומעוגנים בהסכמים משפטיים ברי-אכיפה.
תובנה 5: מבנה המשילות – יצירת משקל נגד
כדי למנוע טענות לחוסר תום לב ולהוכיח ניהול סביר, יש להגדיר מבנה ארגוני ברור:
1. הנהלת הארגון תהיה אחרית לקבוע את “תיאבון הסיכון“ ואישור אסטרטגיית המשילות.
2. מינוי אחראי משילות AI - פונקציה עצמאית המדווחת ישירות למנכ“ל. תפקידו להוות משקל נגד למחלקות המבצעות ולבחון היבטי אתיקה וזכויות אדם.
3. אחראי יישום עסקי - מנהל היחידה המוודא שהמערכת פועלת בשטח ללא הטיות.
4. משתמש הקצה - עובד הציבור המחויב להכשרה ומודע למגבלות הכלי.
צ‘ק-ליסט לפעולה מיידית
על מנת להגן על הרשות וראשיה מפני ה“מערב הפרוע“ הדיגיטלי, עליכם לפעול בשלושה צירים:
• חיסול ה-Shadow IT דרישת דיווח דחופה מכל מנהלי האגפים על שימושי AI קיימים. יש לעצור לאלתר שימוש בכלים לא מורשים במחלקות השונות.
• חובת היידוע והשקיפות: מיסוד נהלים המחייבים יידוע של כל תושב על אינטראקציה עם AI ומתן הסבר להחלטות שהתקבלו.
• אימוץ תשתיות משפטיות: אימוץ המדריך להטמעה בטוחה, ביצוע תסקיר השפעה להערכת פגיעה בפרטיות ובשוויון, ומיסוד עקבות ביקורת, אימוץ
סעיפים מתאימים בחוזים ומינוי נושאי תפקידים נדרשים.
תיעוד מלא של תהליך הפיתוח וההחלטות האלגוריתמיות הם הראיה המרכזית שתגן עליכם בבית המשפט או בפני מבקר המדינה. ללא תיעוד זה, אין למנהל דרך להוכיח כי פעל כמנהל סביר ודינו יהיה כמי שהפקיר את סמכותו לידי המכונה.
לסיכום, השאלה שכל מנהל צריך לשאול את עצמו
ניהול סיכונים אינו מחסום לחדשנות. הוא הדרך להטמעה בטוחה. רשות שתשכיל לבנות משילות חזקה כעת, תהפוך את ה-AI ליתרון תחרותי ולא למקור לחשיפה משפטית אישית.
בסופו של יום, כל מנהיג ציבור חייב לשאול את עצמו שאלה אחת נוקבת: “האם אני מוכן לעמוד מאחורי ההחלטה האלגוריתמית הזו בפני מבקר המדינה או בפני תושב שנפגע?“. |
