גבולות הפרטיות בעידן הבינה המלאכותית : פרשנות לחוק תובענות ייצוגיות

ההתפתחות המואצת של טכנולוגיות בינה מלאכותית מבוססת נתונים מציבה אתגר יסודי לדיני הפרטיות ולאמצעי האכיפה העומדים לרשות הנפגעים, בייחוד כאשר מידע אישי נאסף, מעובד ומנוצל גם ביחס לאנשים שאין בינם לבין התאגיד כל זיקה חוזית או צרכנית. פסק דינו של בית המשפט המחוזי בת"צ 42145-05-24 כהן נ' Open AI LLC ואח [1] מדגים קושי זה וממחיש את גבולותיו המצומצמים של ההליך הייצוגי כאמצעי אכיפה בענייני פרטיות, מקום שבו הפגיעה מופנית כלפי מי שאינם לקוחות ישירים של העוסק.

בקשת האישור הוגשה כנגד חברת,Open AI  מפתחת,ChatGPT  בטענה לאיסוף שיטתי ושימוש במידע פרטי של משתמשי אינטרנט שאינם משתמשים רשומים בשירותיה, וזאת לצורך אימון מודלי הבינה המלאכותית שלה.[2] המבקש ייצג קבוצה שהוגדרה כמי שפרטיה האישיים נאספו ללא הסכמה, והעילה המרכזית שהועלתה הייתה פגיעה אסורה בפרטיות לפי חוק הגנת הפרטיות.[3]

השופטת בן-אליעזר דחתה את בקשת האישור על הסף, בקובעה כי לא מתקיים תנאי הסף הקבוע בפרט 1 לתוספת השנייה לחוק תובענות ייצוגיות,[4] המחייב קיומם של יחסי "עוסק-לקוח״. קביעה זו מבטאת את ההסדר המשפטי שלפיו העוולות האזרחיות שבחוק הגנת הפרטיות אינן מהוות עילת תביעה כללית, אלא ניתנות לאכיפה במסגרת מערכות יחסים מוגדרות בלבד, כפי שנקבע במפורש בחוק.[5] בכך, נבדל עניין זה ממקרי גבול שבהם נמנעו בתי המשפט מסילוק על הסף, לאחר שהונחה תשתית לכאורית, ולו מינימלית לקיומו של שירות שסופק לחברי הקבוצה, לרבות שירות כפוי.[6] 

בנימוקיה, הדגישה השופטת כי המונח ״לקוח״ מחייב ״קשר פוזיטיבי״ ואינו יכול להימתח עד כדי הכללת כל אדם שמידע עליו נאסף ברשת.[7] נקבע כי התיבה ״בין אם התקשרו בעסקה ובין אם לאו״ נועדה להרחיב את החוק לשלב הטרום-חוזי בלבד,[8] ולא לנתק את ההליך הייצוגי מתכליתו הצרכנית. קבלת פרשנות רחבה יותר הייתה מרוקנת מתוכן את דרישת יחסי עוסק-לקוח וממירה את התובענה הייצוגית לכלי אכיפה כללי. לבסוף, הודגש כי הפגיעה הנטענת בפרטיות אינה מתרחשת בקשר לעניין שבין העוסק ללקוח, אלא אגב פיתוחו הכללי של המוצר,[9] ומשכך בחר בית המשפט לנהוג בריסון שיפוטי ולהימנע מהרחבת גבולות ההליך הייצוגי מעבר למה שקבע המחוקק במפורש.

קביעה זו מדגישה את המורכבות הטבועה בהסדר המשפטי הקיים. בעוד שהזכות לפרטיות זכתה למעמד חוקתי בחוק יסוד: כבוד האדם וחירותו,[10] הרי שבמישור הפרוצדורלי היא נותרת נחותה.[11] המצב הקיים מגביל את השימוש בתובענה הייצוגית למופעים של פגיעה בפרטיות המתרחשים אך ורק במסגרת יחסי "עוסק-לקוח״.[12] אולם, במציאות הטכנולוגית הנוכחית, מידע אישי נאסף ונעבד על ידי גורמים פרטיים גם ללא כל זיקה חוזית או צרכנית בין הצדדים.[13] מאחר שאיסוף המידע נעשה "מן הקצה״, הנפגעים נותרים מחוץ למערכת הצרכנית בעוד שהחברות נהנות מחסינות דה-פקטו מאכיפה. זהו מצב אבסורדי שכן התובענה הייצוגית היא המכשיר היעיל והצודק מול תאגידי הבינה המלאכותית, אך המערכת מותירה מכשיר זה נעול בפני הנפגעים.[14] 

בהקשר זה, ראוי לעמוד על מגבלות הכוח השיפוטי מול רשימת העילות הסגורה שבתוספת השנייה לחוק. הגבולות שהציב המחוקק לאפשרות להגיש תובענה ייצוגית הם חלק בלתי נפרד מן ההסדר החקיקתי השלם, המבטא את האיזון שראה לנכון המחוקק לקבוע בין יתרונות ההסדר לחסרונותיו.[15] על כן, המבקש לשנות גבולות אלו בדרך פרשנית מבקש למעשה לשנות את האיזון שקבע המחוקק.[16] ריסון שיפוטי זה אינו מעיד על חוסר חשיבותה של הזכות לפרטיות, אלא על הכרה בכך שהכרעה בשאלות של מדיניות חברתית וטכנולוגית צריכה להתקבל ע״י המחוקק ולא בין כתלי בית המשפט.[17]

אם כך, ניתן להצביע על פער בין המציאות הדיגיטלית לכלים המשפטיים. קיים קונצנזוס מקצועי רחב הן ברשויות השלטון[18] והן בספרות האקדמית,[19] הנוגע להרחבת עילות התביעה, נוכח כשל האכיפה. פגיעה בפרטיות אינה יוצרת, ככלל, תמריץ כלכלי להגשת תביעה אינדיבידואלית, בשל היקפו המצומצם של הנזק לכל נפגע, בעוד שהנזק המצטבר הנגרם לציבור כולו, עשוי להיות רחב היקף ומשמעותי.[20] סילוק תביעות כאלו על הסף מסיר מהחברות את התמריץ להפנים את העלויות החיצוניות של איסוף הנתונים תוך פגיעה בפרטיות הציבור. ואולם, לדעתי, כשל זה אינו רובץ לפתחו של בית המשפט אלא לפתחו של המחוקק. על כן, התיקון מחייב אסדרה רגולטורית חדשה, שתמיר את התפיסה הצרכנית המסורתית בראייה מודרנית של ״דיני הנתונים״.[21]

הצורך בהתאמת המכשיר הייצוגי למציאות המשתנה אינו זר למחוקק. המסד הנורמטיבי למהלך כזה הונח בתיקון מס' 16 לחוק, אשר הרחיב את דרכי האכיפה בענייני פרטיות.[22] עם זאת, תיקון זה התמקד בחיזוק סמכויות הרשות להגנת הפרטיות ובשיפור מנגנוני הפיצוי, אך הוא לא נגע בדרישת הזיקה החוזית שבחוק. ועל כן, נוצר "וואקום אכיפתי". על מנת לממש את תכליות החוק (הרתעה, מתן סעד לנפגעים ואכיפת הדין)[23] נדרשת פעולה דחופה לעדכון רשימת העילות שבתוספת השנייה בחוק.

אציע לאמץ מודל השואב השראה משכנותינו באירופה תוך למידת עקרונות ה-GDPR.[24] מודל זה מאופיין בחובות שקיפות ויידוע ללא תלות בזיקה חוזית. עקרונות אלו ניתנים להטמעה בדין הישראלי באמצעות סמכותו של שר המשפטים להורות בצו על הוספת עילות לחוק.[25] עם זאת, הפעלת סמכות זו בעולם טכנולוגי מורכב מחייבת תשתית מקצועית איתנה. לפיכך, על השר להסתייע בצוות בין-ארגוני ומולטי-דיסציפלינרי (הכולל נציגים ממחלקת הבינה מלאכותית, משרד המשפטים, רשות הגנת הפרטיות ורשות האסדה) שייבחן נושאי ליבה כמו איסוף נתונים המוני. ייעוץ זה יבטיח שימוש מושכל בסמכות השר לעדכון התוספת, באופן שיהפוך זכויות מופשטות לחובות חקוקות המאפשרות אכיפה אזרחית יעילה.  

לפיכך, לנוכח חדירתה ההולכת ומעמיקה של הבינה המלאכותית למרחבים רחבים של החיים החברתיים והכלכליים, נדרש מענה רגולטורי מותאם ומושכל. לטעמי, בית המשפט נהג כראוי בהחלטתו המרסנת בסוגיה זו, שכן הרחבה פרשנית של שיקול הדעת השיפוטי טומנת בחובה סכנה ממשית ליצירת תקדימים החורגים מגבולות רשימת העילות הסגרוה שבתוספת השנייה לחוק. בהינתן עוצמתו של ההליך הייצוגי ככלי אכיפה (״נשק לא קונבנציונאלי״) הפעלתו מחייבת זהירות יתרה ושמירה על האיזון החקיקתי שקבע המחוקק.[26]  ואולם, פסק דין זה מהווה קריאת השכמה למחוקק, לרגולטור ולמשרדי הממשלה. להותיר את הגנת הציבור לידי שיקול הדעת המצומצם של בתי המשפט תחת החוק הקיים אינו הפתרון הראוי. הגיעה העת שהמחוקק יחליף את הריסון השיפוטי בנטילת אחריות רגולטורית יזומה, שתתאים את כלי האכיפה הקיימים למציאות הטכנולוגית המשתנה ותבטיח הגנה אפקטיבית על זכויות הפרט.

[1] ת״צ (מרכז) 421-05-24 Open AI LLC נ׳ חיים ברק כהן (נבו 18.06.2025).

[2] שם, בפס׳ 1.

[3] שם, בפס׳ 3. 

[4] חוק תובענות ייצוגיות, התשס״ו–2006 (להלן: החוק).

[5] ע״א 4110/18 פלונית נ׳ קדימה מדע- חינוך לחיים בע״מ , פס׳ 9 לפסק הדין של השופט גרוסקופף (נבו 07.11.2019).

[6] ראו רע״א 1786-17 Yahoo Inc נ׳ איתי לנואל (נבו 01.03.17) ;רע״א 4243-19 Google LLC  נ׳ תומר ברם (נבו 16.07.2019).

[7] עניין Open AI LLC, לעיל ה״ש 1, בפס׳ 11.

[8] שם, בפס' 14.

[9] שם, בפס׳ 12.

[10] ס׳ 7 לחוק-יסוד: כבוד האדם וחירותו.

[11] מיכאל בירנהק "פרטיות: תמונת מצב" משפט, חברה ותרבות ב 9, 24 (2019). 

[12] ס׳1 לתוספת השנייה לחוק.

[13] בחודש פברואר 2020, נחשפו מספר פרצות אבטחה חמורות במערכת ההפעלה של האפליקציה אלקטור, אליה העלתה מפלגת הליכוד את ספר הבוחרים. באותה תקופה גם נחשפה פריצת אבטחת מידע באתר מפלגת הליכוד (שאינה קשורה לאלקטור), אשר חשפה שוב את ספר הבוחרים. ראו: https://www.gov.il/he/pages/elector.

[14] ס׳8(א)(2) לחוק.

[15] קרן וינשל-מרגל ואלון קלמנט "יישום חוק תובענות ייצוגיות בישראל - פרספקטיבה אמפירית" משפטים מה 709, 714-713 (2016).

[16] בג״ץ 2171/06 כהן נ׳ יו״ר הכנסת, פס׳ 37 לפסק הדין של השופטת בייניש (נבו 29.08.2011).

[17] אהרון ברק ״על תפקידי כשופט״ משפט וממשל ז 30, 40 (2004).

[18] משרד המשפטים דין וחשבון הצוות לבחינת החקיקה בתחום מאגרי המידע (ועדת שופמן, 2007); הרשות להגנת הפרטיות הערות המועצה הציבורית להגנת הפרטיות לדוח רשם מאגרי המידע (20.01.2016).

[19] מיכאל בירנהק מרחב פרטי-הזכות לפרטיות בין המשפט לטכנולוגיה 238-239 (2010).

[20] הצעת חוק תובענות ייצוגיות (תיקון מס' 16), התשפ"ד–2024, ה"ח 1785, בעמ' 1286-1285.

[21] עמיר כהנא, תהילה שוורץ אלטשולר אדם, מכונה, מדינה- לקראת אסדרה של בינה מלאכותית 274 (המכון הישראלי לדמוקרטיה, 2003).

[22] הצעת חוק תובענות ייצוגיות, לעיל ה״ש 20.

[23] ס׳1 לחוק.

[24] GDPR (General Data Protection Regulation) הינו אסדרה של האיחוד האירופי להגנה על פרטיות ונתונים אישיים, המטילה חובות מחמירות של שקיפות, הסכמה ואבטחת מידע על גופים המעבדים מידע דיגיטלי. 

[25] ס׳31 לחוק. 

[26] דנ״א 5712-01 יוסף ברזני נ׳ בזק, חברה ישראלית לתקשורת בע״מ, פ״ד נז(6) 385, פס׳ 27 לפסק הדין של השופט ברק (2003).