מה סטארטאפים צריכים לדעת על רגולציה בתחום הבינה המלאכותית AI

מאת: גבי לנג M.Sc. יזם, מנהל, ומומחה BI אנליטי

בשנים האחרונות מתקיים שיח ציבורי ער סביב הסכנות הטמונות בבינה המלאכותית שהתגבר עם הצטרפות קולותיהם של דמויות ידועות כגון המדען המנוח סטיבן הוקינג ואישים בולטים בתעשיית ההי טק בהם ביל גייטס ואילון מאסק. החשש העולה בשיח הפומבי הוא בעיקר מהליכה למכונות מבוססות בינה מלאכותית שלב 4, קרי מכונות עם תודעה שמסוגלות לפעול ולהתפתח בעצמן, ללא התערבות אנושית. יש לציין על כך שטכנולוגיה כזאת לא רק שעדיין לא קיימת, אלא שייקח זמן רב עד שנגיע לכך. אנחנו עדיין לא מבינים טוב את מושג התודעה בבני אדם, קל וחומר יישום תודעה מלאכותית במכונות. במסמך שהוגש לבית הלבן לפני כחמש שנים, בסוף הקדנציה של הנשיא אובמה, פאנל מומחים העריך שייקח לפחות 20 שנה להשיג יכולת כזאת וכיום ברור שהתחזית הייתה אופטימית ופרק הזמן שידרש להגיע לרמה טכנולוגית כזאת ארוך בהרבה. כיום נראה שמערכות מבוססות AI פועלות בעיקר לצד מומחים אנושיים תוך הגברת היכולות שלהם ולא מחליפות אותם.

מחוקקים במקומות שונים בעולם נכנסו לתמונה והחלו שוקדים על תכניות רגולציה למנוע תסריט יום הדין בו המכונות יהפכו עצמאיות לחלוטין. התכניות התקבלו באהדה בקרב חברות הטכנולוגיה הגדולות עם תמיכה שאפשר להגדיר אפילו "נלהבת" בקרב חברות גדולות ביניהן פייסבוק, גוגל ועוד. עיון יותר מעמיק, מראה שהמחוקקים מוטרדים יותר מיכולת שמערכות AI מעניקה לבעליהן בחדירה לפרטיות, סיווג סוציאלי, תחרות וסחר לא הוגן עם דגש על שוק ההון, ומניפולציית תודעה. האהדה שבה התקבלה בקרב החברות הגדולות הרגולציה המתממשת צריכה להדליק נורה אדומה בקרב השחקנים הקטנים ובראשם חברות סטארטאפ. אסור לטעות ולחשוב שהמניעים של החברות הגדולות אלטרויסטיים ומה שעומד לנגד עיניהם זאת טובת האנושות. מבלי להיכנס לויכוח על נחיצות הרגולציה ועל הסכנה הטמונה בבינה מלאכותית, רגולציה, ככלל, מטיבה עם חברות גדולות ופוגעת בחברות קטנות. לחברות הגדולות יש את המשאבים ובסיס ידע מצבר להתמודד עם רגולציה, ידע ומשאבים שאין לחברות קטנות וחדשות.

סוגיית הרגולציה על AI הינה חדשה ובשלבי התהוות כך שעדיין קשה להעריך כיצד תתפתח ותיושם. ניסיון העבר מראה שקשה ולפעמים בלתי אפשרי להסדיר טכנולוגיות, מכמה סיבות. מצד אחד טכנולוגיה משתנה ומתקדמת יותר מהר ממה שהחוק וגופים ממשלתיים וחוקתיים מסוגלים להתעדכן ותמיד נוצר פער בין המצב בתעשייה לבין החוקים ויכות ההתמודדות של הגופים הרגולטוריים. סיבה נוספת שנגזרת מהדינמיות והמורכבות של טכנולוגיות חדשות, היא היכולת לעקוף מגבלות חוקיות ותקנות. בעייה שלישית היא ש'יים ניגוד עניינים מובנה כאשר ממשלות הן אחד הלקוחות העיקריים של יישומי בינה מלאכותית, בעיקר בתחום הצבאי ובטחון פנים, אבל לא רק. ניסיון העבר מלמד שטכנולוגיות וידע שפותח במקור ליישומי ביטחון, מחלחלות בהמשך לשוק הפרטי ביישומים אזרחיים שונים, לאחר אדפטציה לצרכי יישומים אלה.

הבינה המלאכותית מוגדרת לפעמים כמהפיכה הגדולה ביותר מאז המצאת המחשב והיא נמצאת כיום על מגוון צורתיה בכל מערכת ממוחשבת כמעט, החל ממטוסים חמקנים, טילי שגר ושכח, דרך ממערכות ארגוניות ועד מוצרי צריכה מטלפונים ועד מברשות שיניים. בינה מלאכותית היא עובדה קיימת והיא כאן כדי להישאר. בינה מלאכותית היא בראש וראשונה קונספט וגישה ולא טכנולוגיה ספציפית. בשל רבגוניותה גם קשה מאד לאפיין אותה ולהגדיר אותה במדוייק. קל יותר למנות יישומי AI מאשר להגדיר את הקונצפט הן ברמה התיאוריטית והן היישומית. עיון בהצעות השונות שמונחות על שולחנות מחוקקים מצביעה על כך שאין כצפוי הגדרה מוסכמת מה זה AI, האם ההגדרה היא ברמת האלגוריתם או ברמת כל המערכת בה הוא מוטמע, אם כי נראה שהנטייה לכיוון המערכת. לפעמים ההגדרה של מה זה AI היא צרה וחלה רק על רכיבי machine learning ולפעמים היא כל כך רחבה שכוללת כמעט כל מערכת מורכבת שפותחה בשלושת העשורים האחרונים. ללא ספק האתגר הגדול ביותר כרגע מבחינת המחוקקים והרגולטורים הוא להגדיר מה זאת מערכת מבוססת AI.

בחודש מרץ 2021 יצאו חמשת הרשויות המפקחות הגדולות בארה"ב (SEC, FED, CFTC, FDIC, CFPB) בקריאה משותפת וחריגה לסקטור הפיננסי לספק הסברים על השימוש שלהם בכלי AI בעבודתם, תוך איתות ברור שרגולציות בדרך. ראוי לציין שהנושא לא חדש. בשנת 2019 עברה בשני בתי המחוקקים הצעת חוק הידועה Algorithmic Accountability Act. החוק לא נכנס לתקוף בזמנו אולם סנטורים דמוקרטיים הצהירו לאחרונה שבכוונתם להחזיר את הצעת החוק. חודש לאחר הכרזת חמשת רשויות הפיקוח בארה"ב, אימץ האיחוד האירופי הצעה לרגולציה על מערכות מבוססות בינה מלאכותית. ההצעה מאד מפורטת ויש לשער שתקבל תוקף חוקי במרחבי האיחוד. בין היתר ההצעה תחייב חברות המשווקות או משתמשות במערכות מבוססות AI לרשום אותן במאגר ייעודי, מציבות מגבלות מסויימות על היישום, כגון צורך בפיקוח אנושי, שמירה על הפרטיות, אתיקה חברתית ושקיפות טכנולוגית. כמו שהבינה המלאכותית היא עובדה קיימת, כך אפשר להניח שגם הרגולציה עליה היא בגדר עובדה. מוטב שחברות סטארטאפ שמפתחות מוצרים בתחום הבינה המלאכותית או מוצרים שעושים שימוש במודולים של AI יתכוננו כבר בשלב זה למגבלות רגולטוריות צפויות.

מכיוון שהעבודה על הרגולציה עודנה בהתהוות, קשה עדיין לחברות להיערך ולצפות מראש את הדרישות הסופיות אם וכאשר יקבלו תוקף חוקי מחייב. אבל מספר אלמנטים שחוזרים על עצמם מספקים אינדיקציה לפעולות הכנה שראוי שחברות סטארט אפ ינקטו עוד בשלב הפיתוח על מנת לעמוד בדרישות הרגולטוריות הצפויות.

1. ביצוע הערכת סיכונים. הבדיקה אמורה לתעד מה התוצאות הלא-רצויות של פעולת המערכת כפי שניתן לחזות בשלב הפיתוח, איזה פעולות ננקטו על מנת למזער תוצאות אלה או לבטל אותן לחלוטין. יש כבר קווים מנחים כלליים לבדיקות אלה שנקראים algorithmic impact assessments או בקיצור IA for AI. למיפוי והערכת הסיכונים יש שני מאפיינים עיקריים: (א) מה הסיכון ו(ב) איזה פעולות נעשו כדי להפחית את הסיכון או לנטרל אותו כליל. תיעוד פונקציונלי טוב הכולל את ההתמודדות עם הסיכונים הוא בבחינת פעולה הכרחית.

2. בדיקות סיכון מסודרות, מתועדות, רב תחומיות. בדיוקות שיבוצעו לא רק ע"י מפתחי המערכת אלא מומחים מדיסציפלינות שונות. QA, data scientists, משפטנים מתחום המשפט הטכנולוגי והרגולטורי, מומחי ניהול סיכונים, לפעמים רואי חשבון, ובעיקר אנשי מקצוע מומחים מהתחום האפליקטיבי של המוצר, קרי, מהתחום של הלקוח, למשל בנקאים, אנשי תקשורת, או כל תחום שבו המערכת אמורה לפעול. כמובן שאיפה שקיימת האפשרות, רצוי שהבדיוקות ייעשו על ידי גופים חיצוניים, גם בשל הידע וההתמחות של הספציפית של אנשים אלה, והערך המוסף שהם מביאים לבדיקות וגם כדי ליצור הפרדה רבה ככל האפשר בין הצוות שפיתח את המערכת לצוות שבחן אותה. כמובן שככל שהמוצר רגיש יותר מבחינת דרישות הרגולטורים, כך עולה חשיבות הבדיקות, היקפן, עומקן, שקיפותן, והיכולות והמוניטין של מבצעי הבדיוקות הנ"ל.

3. התייחסות לבדיקת סיכונים כתהליך מתמשך. לא להסתפק בבדיקות קבלה עם שחרור המוצר לשוק אלא להמשיך לבדוק מערכות בעקביות, גם לאחר ההטמעה אצל הלקוח ולעדכן את ניהול הסיכונים, התיעוד ולבצע פעולות נדרשות להקטנת סיכונים שתמתגלים בהמשך. כמובן לבצע בדיקות חדשות עם כל עדכון או שדרוג משמעותי למערכת. באופן אידיאלי גם מפתחי מערכת הAI וגם הלקוחות המשתמשים במערכת צריכים להיערך ולהסכים על תכנית הערכת סיכונים מסודרת, בזמנים קצובים, למשל אחת לשנה ובנוסף, בעת עדכונים ושדרוגים משמעותיים.

4. כפועל יוצא מהנ"ל, תיעוד הפיתוח והבדיקות הופך לכורח המציאות וכבר לא מוגדר רק כנוהל עבודה למען הסדר הטוב. יש לשמור מסמכים אלה לכל אורך חיי המערכת ואולי גם אחר כך ולהיערך למצב שגופים חיצוניים ירצו לעיין במסמכים אלה ולהבין אותם. מדובר בתיעוד שלעיתים מאד קשה ויקר לשחזר בדיעבד.

5. בהקשר האירופאי יש להבין את מערכת הגדרת הסיכון המתגבשת (4 רמות סיכון) ובמקרים גבוליים, לשאוף להיכנס לרמת הסיכון הנמוכה יותר, היכן שהרגולציה פחות חודרנית ומכבידה. בתוך כך, מערכות שנשענות על זיהוי פנים, זיהוי ביומטרי וכד' יוגבלו לטווח שימושים צר ומוגדר. אשראי חברתי (social scoring), מערכות שיכולות להביא באופן מניפולטיבי לשינוי התנהגות של אנשים, הנדסת תודעה או בעלות יכולת לגרום לנזק פסיכולוגי, יאסרו לחלוטין.

6. לסיום, אחת הדרישות החשובות ביותר נוגעת לאופי הפיקוח אנושי ומידת האוטונומיות של המערכת. נדרש לעצב ולתכנן את המערכת כך שהפיקוח האנושי לא מסתכם בקבלת דוחות תפעוליים והתרעות אלא אינטראקציה מלאה בה מפעיל מבין את פעולת המערכת ובעל גישה ויכולת להבין מה המערכת מבצעת לרבות יכולת להתערב, לכוון ולעקוף את המערכת במידת הצורך (override).