חוק הבינה המלאכותית ברוסיה: גישה מבוססת סיכונים – או רגולציה מיושנת?

פורסם ע"יtheregulatorפורסם במבט לעולםתגים: , ,

אולי לא שמתם לב שמשרד הדיגיטל הרוסי פרסם טיוטת חוק לבינה מלאכותית. על פניו – זה נראה כמו רגולציה מודרנית: הגדרות ברורות, גישה מבוססת סיכונים, ואפילו זכות לפיצוי על נזק.

אבל אם מסתכלים רגע לעומק, עולה שאלה מעניינת: האם מדובר ברגולציה חכמה, או עוד ניסיון לשלוט בטכנולוגיה בלי להבין אותה?

מה יש בטיוטה?

החוק מבוסס על שלושה עקרונות מרכזיים:

  1. מסגרת והגדרות: מה זה “בינה מלאכותית”, “מערכת AI”, ו-“שירות AI”.
  2. גישה מבוססת סיכונים: הוראות הרגולציה יחולו לפי רמת הסיכון של המפוקח.
  3. פיצוי לנפגעים: זכות לקבלת פיצוי במקרה של שימוש לא חוקי יגרום נזק.

בנוסף, המדינה מדגישה שהיא רוצה איזון בין חדשנות לבטיחות.

עד כאן נשמע טוב, אבל זה החלק הפשוט. עכשיו נעבור לבעיות.

בעיה ראשונה: מדברים על "ניהול סיכונים", בלי לנהל אותם 

הטיוטה הרוסית קובעת שהרגולציה על בינה מלאכותית תתבסס על הסתברות לנזק ועל היקף הנזק. זה נשמע מצוין.

אבל כשמחפשים במסמך איך זה אמור לעבוד בפועל, לא מוצאים כלום. אין פירוט של מתודולוגיה להערכת סיכונים, סוג המקורות או הנתונים שעליהם צריך להתבסס, הבחנה ברורה בין סוגי שימושים (למשל: AI רפואי מול צ’אטבוט שירותי) או מנגנון לקביעת רמות הסיכון.

במילים אחרות, יש רק כותרת. לא ברור איך יממשו את הכותרת הזו. בהיעדר מתודולוגיה כל מערכת יכולה להיות מוגדרת “בסיכון גבוה”, או להפך – שסיכונים אמיתיים יישארו מתחת לרדאר.

בלי ניתוח אמיתי, אנחנו מתבססים על תחושות בטן. ובלי מתודולוגיה, רגולטורים יקבלו החלטות שונות ולא עקביות. רגולטור עלול לפחד מסיכונים שנשמעים “דרמטיים” (deepfake, אפליה) ולהתעלם מסיכונים שגרתיים (טעויות, החלטות אוטומטיות שגויות).

זו אחת הטרגדיות עם ניהול סיכונים: כולם אוהבים לדבר על "ניהול סיכונים", אבל לא באמת עושים את זה.

בעיה שנייה: בין הגדרות לבירוקרטיה רעה

הטיוטה מגדירה שורה של מושגים כמו “בינה מלאכותית”, “מערכת בינה מלאכותית” ו-“שירות בינה מלאכותית”. כל הרגולציה יושבת על ההגדרות האלו ומתבססת עליהן.

אבל ההגדרות עצמן רחבות מאוד, ונשענות על ניסוחים כלליים כמו: "מערכות שמחקות פונקציות קוגניטיביות, מעבדות נתונים ומפיקות תוצאות אוטונומיות" (תרגום חופשי מרוסית).

התחולה של החוק עלולה לכלול גם מערכות למידת מכונה מתקדמות, אבל גם אלגוריתמים פשוטים ומערכות אוטומציה פשוטות וסטנדרטיות.
זאת אומרת – ההגדרה של AI רחבה מידי ועלולה לחול גם על מערכות שאינן באמת AI ואינן מעוררות את הסיכונים שמצריכים רגולציה.

בנוסף, ההגדרה של “שירות AI” מתייחסת גם להפעלה וגם להנגשה של המערכת – מה שמרחיב את האחריות לא רק למפתחים, אלא גם למשתמשים ולמפעילים.

התוצאה האפשרית – החוק יבלע המון מערכות והמון פעולות, גם אם הן לא מעוררות את הקשיים שמאפיינים פיתוח מערכות AI וגם כאשר רמת הסיכון נמוכה מאוד.

ואז קורה דבר מוכר: במקום להתמקד במה שמסוכן, הרגולציה מתרחבת עוד ועוד. זו הדרך הקצרה לעומס רגולטורי ולפגיעה בחדשנות.

בעיה שלישית: אחריות לנזק – רעיון טוב, ביצוע מורכב

החוק מציע לאפשר לנפגעים לתבוע פיצוי במקרים של הפרת החוק. זה נשמע הגיוני – גם נותן פיצוי לנפגע וגם מרתיע המפוקחים.

אבל בינה מלאכותית היא לא מוצר רגיל שאנחנו מכירים מכל הכיוונים. כל הוראה כזו מעוררת הרבה שאלות.
למשל – את מי נקבע כאחראי? האם זו החברה שפיתחה את המודל? האם זה מי שהשתמש בו? האם זה יכול להיות לקוח או אדם פרטי שהסתמך על כלי AI?

ובפועל זה עוד יותר מורכב, כי מערכות AI משתלבות אחת בשנייה ומוטמעות במוצרים שונים. אז אם יש מוצר שמערב שלוש מודלי AI, ובעקבות כשל נגרם למישהו נזק – איך יודעים לשייך את האחריות?

הטלת אחריות זו החלטה מורכבת ויש לה השלכות. אם האחריות רחבה מדי – חברות יחששו להשתמש ב-AI, אם האחריות צרה מדי – הציבור לא מוגן.
אין כאן פתרון בית ספר. צריך הגדרות מדויקות ולהבין איך ניישם אותן בפועל.

הבעיה האמיתית

כמו הרבה מקרים אחרים, גם כאן הרגולציה עלולה לגרום יותר נזק מהתועלת שהיא מביאה.

במקרה הזה נראה שיש שילוב של פחד מסיכונים, והרבה רעיונות טובים אבל לא מספיק בשלים. בלי להתכוון התוצאה עלולה להיות החמרה בדרישות, יצירת עלויות מיותרות וחסימת חדשנות.
והדובדבן שבקצפת: במקרים כאלו גם הסיכונים גדלים, כי יש פעילות שמבוצעת מתחת לראדר.

הטיוטה הרוסית מבוססת על כוונות טובות, כמו התבססות על סיכונים, איזון בין חדשנות לבטיחות, הכרה בזכויות האזרח ואחריות ועיגון זכות תביעה אזרחית.אבל כמו תמיד ברגולציה: השטן נמצא בפרטים הקטנים.
הפערים בטיוטה לא ייחודיים לרוסיה, וגם לא לרגולציה על בינה מלאכותית.

כתיבת תגובה