איך צריכה להיראות הרגולציה על בינה מלאכותית?

כולם מדברים על הרגולציה של הבינה המלאכותית (AI). באירופה קביעת הרגולציה היא בשלבים מתקדמים, בארצות הברית הרגולציה מתקדמת בקצב איטי יותר. אבל לעולם ברור שזה הדבר הגדול הבא, ובינה מלאכותית מצריכה רגולציה.

היא כרוכה בסיכונים ובהזדמנויות. והיא גם מעוררת שאלות ודילמות מיוחדות (הרחבתי על חלק מהן בסדרת פוסטים על בינה מלאכותית שפרסמתי בשנת 2019).

לפני שנוכל לדבר על הרגולציה בתחום צריך לומר מילה על הסיכונים והאתגרים המרכזיים.
הסיכונים מגוונים – הטעיה ומניפולציה, מעקב והטרדה, פגיעה בזכויות יוצרים, התחזות וזיוף, וגרימת נזק מכוון באמצעות או בעזרת הטכנולוגיה. ויש גם חששות מפני סיכון קיומי.
כמובן שכל הסיכונים האלו נובעים מתוך תכונות של הטכנולוגיה הזו, שיש לה יכולות חזקות בהשוואה למה שהכרנו עד עכשיו.

מקורות האתגר

אלגוריתמים של למידת מכונה מתאמנים על מסדי נתונים גדולים. התכונה הזו הופכת את אותם אלגוריתמים למאוד חזקים. הם יכולים לעשות דברים שבני אדם לא יכולים. אם לפני 60 שנים בני אדם פחדו מרובוטים, שחזקים פיזית יותר מאיתנו, עכשיו אנחנו מתמודדים עם "מכונה" אחרת שנראה שהיא חכמה יותר מאיתנו. ויש משהו מרתיע ב"מכונה" שהתפיסה והתודעה שלה עולות על שלנו.

יש עוד משהו שמגביר – בצדק – את החששות. אנחנו לא באמת מבינים איך האלגוריתמים האלו עובדים. התופעה הזו נקראת גם "בעיית הקופסה השחורה" (כי אנחנו לא יודעים מה קורה בתוך האלגוריתם). למשל, כשמאמנים בינה מלאכותית לזהות מהו "בית" – מראים לה הרבה תמונות של בתים. אבל לא נתנו לה הגדרה של בית. היא למדה לבד מה משותף לבתים שבתמונות. ולא ידוע לנו מה בדיוק היא למדה (אגב, כשחושבים על זה, זה לא מאוד שונה מהאופן שבו בני אדם לומדים).

ברגע שאנחנו לא יודעים איך הבינה המלאכותית עובדת, זה הופך אותה לפחות צפויה, פחות ניתנת לניטור ולבקרה – ולכן בפוטנציאל גם ליותר מסוכנת.
כך למשל, אם אנחנו לא יודעים איך האלגוריתם עובד – יותר קשה לנו לסמוך על כך שהוא יהיה הוגן, לא יפלה ולא ישתמש במידע שאסור לו. אולי האלגוריתם עובד באופן מושלם. אבל במקרים רבים, אנחנו לא יודעים איך הוא עובד וקשה עד בלתי אפשרי לבדוק אם הוא עובד בצורה מושלמת.
העוצמה של האלגוריתמים בשילוב עם האטימות שלהם שלהם יוצרים בעיה ייחודית.

יש לבינה מלאכותית (AI) עוד שלוש תכונות שמוסיפות לאתגר: המערכות הן אוטונומיות, הן מתעדכנות ומשתנות כל הזמן והן מגוונות (יש מגוון רחב של מערכות וכלים, כך שיש בפנינו הרבה בעיות והרבה סיכונים מסוגים שונים). הגיוון נובע משני מקורות – גם מכך שיש הרבה כלים לפתח ולאמן בינה מלאכותית וגם מכך שיש הרבה מטרות ושימושים. למשל, אם ניקח את דוגמת האלגוריתם שמזהה תמונות – יש הבדל בין מודל בינה מלאכותית לזיהוי תמונה שנועד להחליף טייס מטוס, למודל שעוזר לרופאים לפענח ולנתח צילומי C.T לבין מודל שאמור לזהות תוכן פוגעני ברשתות חברתיות. הם פותחו ואומנו למטרות שונות בתכלית. אז הטעויות והשימוש הזדוני בהם יראה אחרת וינבע מסיבות שונות.

ויש עוד משהו שכבר התחיל לקרות ובוודאי יתעצם בעתיד – שילוב במספר כלי בינה מלאכותית (AI). כבר נתקלתי ביוצרים שמשתמשים בכלי אחד כדי לאסוף רעיונות, בכלי אחד כדי להעמיק אותם ובכלי שלישי כדי לאתר שגיאות וללטש את התוצר הסופי. כבר היום יש ארגונים רבים שמחברים ישירות כלי בינה מלאכותית זה לזה.

סיכום ביניים:
בינה מלאכותית היא כלי עם עוצמה אדירה, היא אטומה ולא לגמרי מובנת לנו, היא אוטונומית, היא מגוונת מאוד ומשתנה כל הזמן. קשה מאוד לקבוע רגולציה על משהו שלא מובן לנו, עצמאי וכל הזמן זז.

ובשפה של מדיניות ציבורית

עולם הבינה המלאכותית מעסיק בעלי תפקידים מהרבה עולמות. בינה מלאכותית עלולה לייצר סיכוני בטיחות (למשל, מודל שמטיס מטוס במקום טייס או מסייע לו). היא עלולה לפגוע בצרכנים (למשל מודל שמציע שירותי תמחור או משווה בין מוצרים ושירותים, למשל בין חבילות נופש). יש סיכונים להתחזות, מצגי שווא וגניבת זהות (באמצעות זיוף עמוק). היא עלולה לפגוע בזכויות יוצרים (כל תמונה או טקסט שבינה מלאכותית "יוצרת" – לא נוצר יש מאין). וכמובן יש סוגיות רוחביות של אפליה, שוויון, סיכוני סייבר וסיכונים לפרטיות (כמעט כל כלי שאוסף, מעבד ומעביר מידע). 

זאת אומרת, אין תחום אחד שהבינה המלאכותית מוגבלת אליו ואין אינטרס ציבורי יחיד שמושפע ממנה. לכן העיסוק בבינה המלאכותית מעצם טיבו מערב מספר רב של שחקנים (מה שיוצר פוטנציאל לסתירות וכפילויות).

תובנה לעתיד הקרוב: בשנים הקרונות יותר ויותר רגולטורים יקבעו רגולציה על בינה מלאכותית. התערבות של רגולטור כלשהו במטרה לצמצם סיכון מבינה מלאכותית (AI), עלולה בסבירות גבוהה ליצור סיכון חדש או להגביר סיכון קיים – שבתחום עיסוקו של גורם ממשלתי אחר.

הצורך ברגולציה

אני מביא כאן הרבה סיפורים ודוגמאות על כשלי רגולציה. כמו שכתבתי בעבר, זה הרבה יותר מעניין מסיפור על רגולציה שהצליחה וגם מאפשר להפיק תובנות יותר מעניינות ממקרה שבו "הכל בסדר".
אבל זה לא אומר שאני נגד רגולציה באופן גורף.

הבינה המלאכותית מעלה שאלות, סיכונים ואתגרים חדשים. וכשהפעילות במציאות משתנה – עלינו לחשוב על שינוי המסגרת הרגולטורית בהתאם (שינוי זה גם ליצור מסגרת חדשה). הבעיות שלנו השתנו, די מתבקש לחשוב על שינוי של הרגולציה שנקבעה בעולם ללא בינה מלאכותית. תוסיפו לזה ניתוח דינמי (שהבינה המלאכותית תמשיך להתפתח) והמסקנה הזו עוד יותר מתחדדת.

איך לקבוע את הרגולציה על בינה מלאכותית?

נשים בצד עקרונות שדי מובנים מאליהם, כמו שהרגולציה צריכה להשתנות ולהתעדכן באופן מהיר, בגלל שהתחום הזה עדיין לא מוכר לנו מספיק והוא ילך וישתנה באופן תדיר.
כתבתי בעבר על ארבע אבני הבניין של כל רגולציה – דרכים שונות לעצב הוראות רגולטוריות. הבינה המלאכותית היא מקרה בוחן טוב להבחנה בין אותן ארבע אבני בניין.

אפשרות 1#: תקני תהליך

אני לא יודע איך בינה מלאכותית פותרת בעיות, אבל כשבני אדם ניגשים לבעיה הם בדרך כלל חושבים על פתרון מאוד מוחשי. זאת אומרת, הם חושבים על דברים קונקרטים, כמו דוגמאות. למשל – אם אני עובד במשרד ממשלתי ואני מתמודד עם בעיה של דליפות מים, אני קודם כל אחשוב על חובת החלפת הצינורות, שימוש בחומר לאיטום החורים בצינורות וכו'. בדרך כלל המחשבה הראשונה שלי לא תהיה – לשפר את בקרת האיכות בשרשרת הייצור והאספקה של הצינורות, או לשפר את מערך התמריצים של מתקיני הצינורות.

זה קורה משתי סיבות. הראשונה – רגולטורים הם לרוב אנשי מקצוע מדיסיפלינה קונקרטית (כמו הנדסה או רפואה) ולכן הם חושבים באופן טבעי על רגולציה שמבוססת פתרון שהם מכירים מהפרקטיקה שלהם. השנייה – כבני אדם יותר קל לנו לחשוב על פתרון מוחשי וספציפי מאשר פתרון מופשט וכללי.

כשמיישמים את הגישה זו ברגולציה קוראים לה "תקני תהליך" (process standards). לפי הגישה הזו נקבע הוראת שיקבעו אילו פעולות לבצע, באילו חומרים להשתמש, מה צריך להיות תהליך העבודה, מה יהיה המפרט של המוצר או המבנה וכו'. לרגולציה כזו יש לא מעט חסרונות, כמו פגיעה בגמישות, בחדשנות, בתחרות והיא מוגבלת מאוד לדמיון של מי שקבע אותה (להרחבה, מומלץ לקרוא את נייר המדיניות שכתבתי על הנושא).

החסרונות האלו מאוד בולטים בתחום הבינה המלאכותית. מאוד מפתה לקבוע מפרט טכני לאלגוריתמים של בינה מלאכותית. זאת אומרת, שהרגולטורים ממש יגדירו איך לתכנן, לפתח, לאמן ולהשתמש בבינה מלאכותית. הגישה הזו יוצרת בעיות בתחומים יותר מוחשיים ומסורתיים כמו תכנון ובניה. בתחום הבינה המלאכותית זה יהיה בין מזיק לבכלל לא אפשרי, בגלל בעיית הקופסה השחורה.

אפשרות 2#: תקני ביצוע

כשרוצים להכווין התנהגות לא חייבים להתייחס לחומרים, תשומות, ותהליכים. אפשרות אחרות היא לדבר על תוצאות. בתחום הרגולציה קוראים לגישה כזו "תקני ביצוע" (performance standards). זאת אומרת – מגדירים תוצאה נדרשת שצריך להשיג או תוצאה אסורה, שאסור שתתרחש. למפוקחים יש חירות וגמישות כיצד לפעול כדי להגיע לתוצאה הנדרשת, בתנאי שהם עומדים בה.
באופן כללי, אני תומך במעבר לתכני ביצוע וחושב שצריך לעשות בהם יותר שימוש על חשבון תקני תהליך (אך לא באופן מוחלט).

אני בספק אם בתחום הבינה המלאכותית ניתן להתבסס רק על תקני ביצוע. הסיבה היא שדי קשה להגדיר תוצאה ברורה שאותה צריך להשיג או שצריך להימנע ממנה. כשקובעים תקן ביצוע אנחנו צריכים להגדיר את היעד ולצידו גם לקבוע מבחן לעמידה ביעד ואת הקריטריונים ואת שיטת המדידה.

בשנים האחרונות רגולטורים ניסו לקבוע תקני ביצוע כחלק מרגולציה על בינה מלאכותית, אבל לעיתים קרובות הם נאלצו להשתמש בתקני ביצוע די כלליים. למשל, כאלו שדיברו על תוצאות "הוגנות". בחלק מהמקרים זה מספיק, אבל לדעתי זה לא נותן מענה לכל הצרכים ברגולציה.
בנוסף, מאוד קשה להגדיר את הרף הנדרש – ואז נשארים עם קריטריונים מאוד לא מוגדרים. מה זה אומר שהמערכת תהיה "בטוחה"? (מהו הרף? מה נחשב מספיק בטוח? מי יקבע את זה בדיעבד?) גמישות היא מטרה חשובה, אבל היא צריכה להגיע עם רמה מסוימת של וודאות ובהירות.

אפשרות 3#: תקני ניהול

דרך שלישית לעצב רגולציה מציעה גישה שונה בתכלית – הרגולטור לא יקבע למפוקחים את התוצאה וגם לא את הדרך. המפוקח הוא שיקבע לעצמו את האמצעים לטיפול בסיכונים. הרגולטור רק יחייב אותו לנתח את הסיכונים ולגבש עבורם תכנית מענה. המפוקח יקבע איך לגשת לסיכונים (דרך הוראת תהליכיות או תוצאתיות) וגם את התוכן שלהן.

לגישה הזו קוראים "תקני ניהול" (management standards). הרעיון הוא שהרגולטור לא מבצע את ניהול הסיכונים, אלא מטיל על המפוקח לבצע את ניהול הסיכונים. המפוקח יבצע הערכה של הסיכונים ויגבש תכנית פעולה (בדרך כלל, באמצעות קביעת נהלים). המעורבות של הרגולטור תהיה ברמות שונות, סביב שאלות כמו – האם המפוקח ביצע הערכת סיכונים, האם הוא גיבש תכנית מענה לסיכונים והאם המפוקח עומד בתכנית שהוא עצמו קבע? לכן רגולציה כזו מגיעה לרוב עם הקמת תהליכי ניהול סיכונים פנימיים וכללי תיעוד.
גישה כזו מטילה על המפוקח לנתח את הפעולות, התהליכים והממשקים כדי לזהות סיכונים, להעריך מה הסיכונים המרכזיים ואז לגבש צעדים לצמצום הסיכונים שהוא זיהה והגדיר. עבודת הניתוח, ההערכה והתכנון היא של המפוקח.

החשיבה על תקני ניהול די חדשה (בת כ-20 שנים). הם בעלי ערך בולט בעיקר במצבים בהם גם תקני תהליך וגם תקני ביצוע לא נותנים מענה מספיק טוב: מצבים שבהם השוק הוא דינמי ומגוון (תקני תהליך לא מתאימים) וגם כשקשה להגדיר או למדוד תוצאה מוגדרת (תקני ביצוע לא מתאימים).

במצבים כאלו, לעיתים אפשר להטיל על המפוקח לבצע את ניהול הסיכונים – ויש מקרים שבהם הוא יוכל לבצע את זה יותר טוב מהרגולטור (זה מצריך מפוקחים מיומנים ומתוחכמים).

משתמשים בגישה כבר לא מעט שנים ברגולציה של בטיחות מזון במפעלים (סוג כזה של תכנית נקרא HACCP).

לפני שנה, נעשה ניסיון לאמץ גישה כזו בתחום הבינה המלאכותית. מכון התקנים האמריקאי (NIST) פרסם מסמך מסגרת לניהול סיכוני בינה מלאכותית. המודל שמוצע במסמך מטיל על החברות המפוקחות לפתח תהליכים, מערכות ולמנות בעלי תפקידים שיזהו ויעריכו סיכונים, ואז יתנו להם מענה. הסטנדרט מדבר גם על נהלים פנימיים, כללים לתיעוד, הדרכות ושהמפוקחים יצטרכו לתעדף את הטיפול בסיכונים – מאפיין מובהק של העברת המשימה מהרגולטור אל המפוקחים. חשוב להבהיר שהמסמך של ה-NIST אינו מחייב. אבל הוא דוגמה מעניינת לאופן שבו אפשר לעצב רגולציה, באופן כללי וספציפית על בינה מלאכותית.

תקני ניהול לא מתאימים לכל מצב, לכל מפוקח ולכל סיכון. אבל בתחום שמתאפיין בכך שאנחנו לא יודעים איך האלגוריתם עובד, כשהאלגוריתמים אוטונומיים, כשהם משתנים באופן תדיר ומאחר שמדובר במערכות מאוד מגוונות – יכול להיות שזה מקרה מתאים (אולי אפילו תגידו – מקרה קלאסי) לאימוץ תקני ניהול.

בעיני האתגר הוא של הרגולטורים, שיצטרכו ללמוד לקבוע וליישם תקני ניהול. נתקלתי בעבר ברגולטורים שאימצו תקני ניהול, אבל בגלל שהם הכירו רק תקני תהליך – הם הפכו את תקני הניהול לתהליכיים ועמוסי בירוקרטיה (למשל, הם דרשו מהמפוקחים להגיש לרגולטור כל הערכת סיכונים וכל תכנית לטיפול בסיכונים, והרגולטור היה משנה את התוכן ומכתיב להם הוראות ספציפיות).

לסיכום

כשבוחנים את כל המאפיינים של הסוגיה ואת האתגרים , אפשר לרכז כמה תובנות ושיעורים שרגולטורים יכולים ליישם כשהם ניגשים לקבוע רגולציה על בינה מלאכותית:

1. להעדיף תקני ביצוע ותקני ניהול, על פני תקני תהליך.
   אני ממליץ על זה באופן כללי, אבל במקרה של בינה מלאכותית נראה שזה נכון במיוחד.
   להרחבה על אבני הבניין השונות מומלץ לקרוא את נייר המדיניות שכתבתי על הנושא.
2. להשתדל לא להתערב בפיתוח של מערכות.
   זה המשך של הנקודה הקודמת – אם מחליטים לקבוע הוראות תהליכיות, עדיף שהן לא יופנו לפיתוח של המערכות. זה גם עולם שהרגולטורים לא ממש שולטים בו, וזה גם אומר ממש להכתיב את הטכנולוגיה. הפוטנציאל לטעות מאוד גדול שם, ובנוסף, רגולציה על פיתוח עלולה ליצור חסמים לטכנולוגיה או להיות אנטי-תחרותית. עדיף לקבוע רגולציה על השימוש והיישום של המערכות, ולא על הפיתוח.
3. לחשוב על תמריצים.
   עד עכשיו דיברנו על רגולציה שמופנית באופן ישיר לסיכונים. אבל במקרים רבים הרגולציה מוצלחת בגלל שהיא לא מנסה לעסוק בתופעה הבלתי רצויה עצמה, אלא מטפלת במבנה התמריצים שגורם לשחקנים השונים ליצור תופעות בלתי רצויות ונזקים. זו חשיבה יותר מורכבת, אבל במקרים בהם אפשר לטפל בתמריצים – זה כדאי.
4. דינמיות ושינוי מתמיד.
   אנחנו מטפלים בתחום שמתאפיין בקצב שינוי מתמיד. מוצרים חדשים יוצאים לשוק על בסיס שבועי וחדשות דרמטיות מתפרסמות על בסיס חודשי. עד שהשוק הזה יתבסס וקצב השינוי יפחת – צריך רגולציה שתהיה גמישה היום וגם תוכל להשתנות מהר. יש סיכוי שקצב השינוי לא יאט אלא רק יגבר. בכל מקרה, נראה שבתחום הזה שינוי הוא הקבוע היחידי.