תארו לכם שאתם רגולטורים. יצרן מציג בפניכם מוצר חדש ומבקש את האישור שלכם. רק שיש בעיה קטנה: המוצר לא סופי. הוא ישתנה מיד אחרי שיתחילו למכור ולהפעיל אותו. היצרן ילמד מטעויות, מתגובות שיקבל וכל הזמן ישנה וישפר את המוצר. אולי אפילו יתאים את המוצר לצרכים של לקוחות שונים.
בקיצור – מה שתאשרו היום זה לא המוצר שיסתובב בשוק.
הייתם מאשרים את המוצר הזה?
עכשיו תחליפו את היצרן והמוצר בבינה מלאכותית. זה הסיפור של רגולטורים כיום, חלקם אפילו עדיין לא יודעים את זה.
הבעיה
במשך עשרות שנים, הרבה רגולטורים הסתמכו על משטר של "אישורים מראש": בעלי מקצוע ומוצרים נבדקו, קיבלו אישור – ורק אחר כך נכנסו לשוק. מבחינת הרגולטורים זה עבד לא רע (למרות שטכניקה כזו יוצרת עלויות ועיכובים לשוק). זה גם נתן תחושה של שליטה.
אבל AI לא משחק לפי החוקים האלה.
מערכות בינה מלאכותית משתנות גם אחרי שהן "מוכנות". הן מוצר דינמי בהגדרה: לומדות מדפוסי שימוש, מתעדכנות, משפרות את עצמן. זה בדיוק מה שהופך אותן לכל כך חזקות. אבל בדיוק בגלל זה הן בעייתיות לרגולציה של אישורים מראש.
רגולטורים התרגלו לבדוק מוצר סופי, התרגלו לעולם סטטי.
אבל בעולם המודרני והדינמי, רגולציה סטטית היא קצת כמו סוס ועגלה.
מקרה מבחן: רגולציה רפואית בעולם משתנה
אם יש רגולציה שידועה בקפדנות שלה – זו רגולציה רפואית. השחקן המרכזי בעולם הוא ה־FDA, רשות התרופות והמזון של ארה"ב. היא בודקת תרופות, חיסונים, ומכשור רפואי, כולל מכשירים מבוססי AI.
עכשיו תחשבו על מערכת רפואית שמבוססת על AI. למשל, אלגוריתם שמפענח תצלומי MRI או שמאתר תסמינים של סרטן (זה לא עתידני, אלו מוצרים שקיימים ומצילים חיים).
אבל בניגוד לתרופה שמרכיביה קבועים, האלגוריתם הזה ממשיך ללמוד גם אחרי שקיבל אישור. ברור שזה מאתגר את כל שיטת האישור של ה-FDA.
במודל הרגיל, כל שינוי קטן דורש אישור מחדש. אבל במערכת שלומדת כל הזמן – זה פשוט לא ישים. כל עדכון יצריך תהליך בירוקרטי מחודש. במילים אחרות, אם ניישם רגולציה קלאסית – פשוט נחסום את הפיתוח וההטמעה של בינה מלאכותית ברפואה.
ב־FDA התחילו לעבור למודל חדש: פחות דגש על אישור מראש, ויותר על פיקוח ומעקב בזמן אמת (post-market surveillance). כלומר, לא מנסים לחזות כל בעיה מראש, אלא מנטרים את המערכת תוך כדי ההפעלה ולומדים ממנה ואותה כל הזמן. במקביל, המפוקחים צריכים לעדכן את הרגולטור על בעיות או תקלות שמתגלות.
במקום רגולציה שמופעלת בעיקר בנקודת זמן אחת (לפני השימוש), הרגולציה מופעלת באופן מתמשך וגם היא דינמית.
וזה לא הכול. יש עוד שכבה של הגנה על הציבור והרתעה על יוצרי הסיכונים. בארה"ב, דיני נזיקין (האפשרות לתבוע מישהו על נזק שהוא גרם) משמשים כאמצעי לחץ חשוב על היצרנים. אם נגרם נזק מהשימוש, הם חשופים לתביעות. זה לא תחליף מלא לרגולציה, אבל זה יוצר מנגנון אכיפה חיצוני שמחייב את היצרנים והמפתחים של מערכות AI לקחת אחריות ולהיות זהירים – במיוחד כשהמערכת משתנה תוך כדי תנועה.
מה עושים? משנים מודל
הפתרון הוא מעבר ממודל של אישור מראש למודל של פיקוח ובקרה מתמשכים. לפעמים כולל סמכות לקבוע הוראות פרטניות, גם בלי אישור מראש. כלומר: מאפשרים לאלגוריתם להיכנס לשוק, ומאותו רגע עוקבים אחריו בזמן אמת. בודקים איך הוא מתפקד, איפה הוא טועה, ואיך הוא משתפר. ומוודאים שזה יקרה.
זה קורה לאחרונה גם עם תרופות חדשות – גם שם יש ניסויים מראש, אבל שמים יותר דגש על פיקוח ומעקב לאחר השיווק. רק שב-AI מדובר במוצר שמתעדכן מעצמו. אז הרגולציה חייבת להיות דינמית, לא רק קשוחה.
המודל הזה אולי לא לגמרי הרמטי, אבל הוא מותאם לעולם שבו טכנולוגיה לא עומדת במקום.
מה קורה כשאין רגולציה מספקת? תביעות
ומה אם הרגולציה פספסה? מה אם משהו השתבש ואף אחד לא שם לב בזמן?
כאן נכנסת לתמונה מערכת דיני הנזיקין – ובפרט מה שנקרא "אחריות יצרן" (Product Liability). מדובר במנגנון שמאפשר לאנשים שנפגעו ממוצר לתבוע את היצרן על הנזק שהוא גרם. זה לא דורש הוכחה של רשלנות – מספיק להראות שהמוצר היה פגום וגרם לנזק.
במילים פשוטות: אם האלגוריתם שלך גרם נזק – אתה תשלם.
השיטה הזו מטילה אחריות מתמשכת על היצרנים והמפתחים. הם צריכים לבדוק את עצמם מראש וגם תוך כדי תנועה. וכשכבת הגנה נוספת – קיימים גם בתי המשפט. לפעמים דווקא האיום בתביעה הוא מה שגורם לחברה לעדכן את הרגולטור, לחשוף תקלות או לשנות את המוצר.
הצורך ברגולציה דינמית ובפיקוח מתמשך
וכדי להראות כמה המציאות מורכבת – דמיינו מצב הפוך שבו ספק מערכת AI לא מעדכן אותה ולא משפר אותה. הוא יודע (על סמך ניתוח ויכולות למידה) שיש פערים, טעויות או אי דיוקים אבל הוא לא נוקט את הצעדים כדי שהמערכת תטעה פחות. או שהוא חוסם ומונע באופן אקטיבי מהמערכת ללמוד ולצמצם טעויות ומשאיר באגים לא מטפלים. זה לא הגיוני.
אנחנו רגילים לחשוב שרגולציה צריכה "להקדים תרופה למכה". זאת אומרת – לזהות את הסיכון מראש, לקבוע דרישות, ולוודא שהכול בטוח לפני שמתחילים. אבל AI מאתגר את הגישה הזאת.
לא צריך לנסות להמציא את הגלגל. צריך להשתמש בכלים שקיימים: פיקוח, אכיפה, בקרה, ואכיפה אזרחית (באמצעות בתי משפט). גם באירופה הולכים לכיוון הזה.
יש פה שיעור חשוב לרגולטורים: אי אפשר לבדוק ולאשר הכל מראש, אבל אפשר לבנות מערכת שמזהה תקלות מהר, לומדת מהן – ומגיבה. ממש כמו AI, גם הרגולטור צריך להיות לומד ודינמי.
הרגולטור - גיא מור 