כותבים: שיר אביסירה, נועה גבריאלי ועמיחי שני
עורך ראשי: ד"ר עומר אלוני
עורכת ראשית ומנחת הפרויקט: ד"ר תמי קצביאן
בינה מלאכותית, שליטה ארגונית וגבולות הפרטיות: ChatGPT Enterprise כמקרה מבחן
בשנים האחרונות הפכה בינה מלאכותית מבוססת שפה (Natural Language Processing – NLP) לכלי עבודה מרכזי במגוון תחומים: מכתיבה טכנית, דרך שירות לקוחות ועד ייעוץ משפטי ראשוני. אחד הביטויים הבולטים לכך הוא אימוץ מודלים דוגמת GPT-4 בארגונים מסחריים, באמצעות גרסת Enterprise, קרי, הגרסה העסקית של צ'אט מבוסס בינה מלאכותית, בה משתמשים יכולים להקליד שאלה או הנחיה ארוכות בהרבה מהגרסה הפרטית. שירות זה מציע ביצוע משימות מורכבות, אבטחת מידע מחמירה וממשק ניהולי המותאם לצרכי המעסיק. גופים דוגמת משרדי עורכי דין, חברות ביטוח, ארגונים רפואיים ומוסדות ממשלתיים נמנים על קהל היעד המרכזי של השירות, ונהנים מאפשרות להטמיע מערכת חכמה הכוללת ידע פנים ארגוני, גישה למסמכים פנימיים, יצירת GPT מותאם אישית (Custom GPTs), והכל תחת שליטה מלאה של מחלקת ה־IT או ההנהלה של הארגון.
כך למשל, משרד עורכי דין המאמץ את מערכת ChatGPT Enterprise יכול להקים GPT מותאם אישית שיכלול את כל סוגי המסמכים שאיתם נוהג המשרד לעבוד: כתבי תביעה, כתבי הגנה, תגובות לבקשות מקדמיות, מסמכי גילוי מסמכים וכיוצא בזה. בנוסף, ללא חשש מפגיעה בחיסיון עורך דין-לקוח, ניתן להעלות למערכת מסמכים מתוך תיקי לקוחות – תצהירים, כתבי בית דין, פסקי דין וראיות – ולבצע לגביהם ניתוחים וסיכומים תוך שניות. שילוב כזה בין AI מתקדם לבין מאגרי מידע משפטיים הופך את עבודת עורכי הדין ליעילה יותר, ומקצר משמעותית תהליכים של מחקר, כתיבה והכנה לדיונים משפטיים.
תוכנית ChatGPT Enterprise נבדלת מהשירות לצרכנים פרטיים בעיקר בכך שהיא מאפשרת למעסיקים לנהל את זהות המשתמשים (באמצעות SSO ו־SCIM – מערכות המאפשרות פישוט וייעול ניהול הזהויות הדיגיטליות בסביבות ארגוניות מורכבות)(1), לשלוט בתצורת השימוש, ולהפעיל מנגנונים מתקדמים של תיעוד פעילות, ואף ניטור שימושים לפי משתמש. חלק ממנגנוני תיעוד הפעילות הם Audit Logs ו־ Data Export – כלים המאפשרים למנהלי הארגון לעקוב אחר השימוש במערכת (מי השתמש, מתי ואלו שאילתות הוגשו), ולייצא את נתוני השימוש למטרות שונות.
בעוד שברירת המחדל של OpenAI אינה כוללת צפייה יזומה בתוכן השיחות, הפלטפורמה מאפשרת למעסיקים, בהגדרה מראש, להפעיל כלים לצפייה ולתיעוד המידע, לרבות ייצוא תוכן שיחות לצורך בקרה, ניתוח או תיעוד ארגוני. לפי מדיניות הפרטיות של OpenAI המופיעה במסמך Enterprise Privacy & Data Controls, הארגון המשתמש שולט בכל ממד הנוגע לשמירת נתונים, לתיעוד פעילות ולגישה לתכני שיחה – לרבות האפשרות לייצא את המידע או לבצע עליו ניתוח נוסף. OpenAI אינה עושה שימוש בנתונים לצורכי אימון, ואינה נחשפת לתוכן השיחות, אך היא מאפשרת לארגון להחליט אילו נתונים להקליט, לשמור, לשתף או לנתח. במילים אחרות: OpenAI בנתה מערכת ניטרלית מבחינת פרטיות, והותירה בידי המעסיק את הסמכות, האחריות וכן את היכולת הבלתי מוגבלת לקבוע את גבולות השימוש בנתונים.
האפשרות לצפות בתכני השיחות של עובדים באמצעות ChatGPT Enterprise מעוררת קושי משפטי. המעסיק הוא ספק המערכת ובעל השליטה האדמיניסטרטיבית בה; במקביל, העובד אינו מודע, במרבית המקרים, לכך שמערכת השיחות נתונה לבקרה ופיקוח מלא, למרות שהאינטראקציה בה נחזית לפרטית. ככל שהמערכת מאפשרת למעסיק לייצא תוכן שיחות, לעיין בהיסטוריית השימוש ולבצע ניתוח טקסטים, כך מתרחב הפער בין תחושת ההגנה הנתפסת מצד העובד, לבין רמת החדירה האפשרית לפרטיותו בפועל.
חשיפה של המעסיק למידע אישי שנוגע לעובדיו פותחת פתח לפגיעות רבות שעלולות להיגרם בשני מישורים;
במישור הראשון: חשיפה ישירה למידע אישי רגיש – מדובר במצבים בהם המעסיק עיין בפועל בתוכן השיחות, וגילה בו מידע שאינו נוגע לעבודתה של העובדת, אך עשוי לשמש כבסיס להחלטות ארגוניות. כך לדוגמה, עובדת שפונה לצ׳אט במהלך שעות העבודה לצורך קבלת המלצות על טיפולי היריון, עשויה – מבלי להתכוון לכך – לחשוף את דבר הריונה הצפוי. מעסיק שמחזיק בגישה לשיחה כזו עלול להסיק, גם מבלי לבצע פעולה ישירה או מוצהרת, כי העובדת צפויה להיכנס להיריון ולשקול צעדים תעסוקתיים בהתאם. פעולה כזו, עלולה להוביל להפליה אסורה שלא ניתנת להוכחה, אם תתרחש בתקופה שלפני כניסתן לתוקף של ההגנות לפי חוק עבודת נשים(2).
באופן דומה, עובד שמתייעץ עם הצ׳אט לגבי טיפול פסיכולוגי, או בנוגע לסכסוך עם הממונים עליו בעבודה, עלול לחשוף מצוקה נפשית או אי שביעות רצון ממקום העבודה. מעסיק הנחשף למידע שכזה – גם אם לא במתכוון – עשוי להירתע מקידום העובד או למנוע ממנו הטבות מתוך שיקולים פסולים. בשני המקרים, המידע נמסר על ידי עובד או עובדת המניחים שהמידע אינו חשוף למעסיק, כאשר בפועל, המידע חשוף בפני ההנהלה או צוות ה-IT של הארגון באופן שעלול להוביל לפגיעה בזכות העובד לפרטיות.
במישור השני: חשיפה עקיפה וניתוח של מידע אישי – בעיה מתוחכמת ומורכבת יותר. מעבר לשאלת העיון הישיר, קיימת האפשרות שמעסיקים יבצעו עיבוד משני של תכני השיחות באמצעות כלים משלימים לניתוח טקסט, זאת במטרה להפיק מסקנות רוחביות על אופי העובד, גישתו המקצועית, רמת חריצותו או נאמנותו לארגון. כך למשל, באמצעות ניתוח סנטימנט (Sentiment Analysis), ניתן לאמוד את רמת החיוביות/שליליות של ניסוחי העובד, את עושרו הלשוני, את מבנה החשיבה, ואף את רמת הבהירות והדיוק שבהם הוא מתבטא. מידע זה עשוי לשמש בסיס להחלטות בדבר קידום, חלוקת בונוסים, חלוקת משימות או גיוס עתידי – גם אם המעסיק אינו מודע לכך שהמידע שנשען עליו מקורו בהתנהלות פרטית, לכאורה.
המשותף לשני המישורים הוא היעדר הסכמה מדעת של העובדת לשימוש במידע – באופן ישיר או עקיף – למטרות ניהוליות. לעיתים, אף ההנהלה אינה מודעת להיקף ההשפעה של המידע הנאסף על החלטות המתקבלות בפועל על ידה. תרחישים מסוג זה מציפים סכנה חדשה: יצירת "פרופיל אישיות" סמוי, המושתת על אינטראקציות של העובד או העובדת עם מערכת חכמה, הנתפסת על ידם ככלי עבודה ניטרלי אך בפועל מתועדת על-ידי המכונה ומנותחת על ידי המעסיק. הטשטוש בין שימוש מקצועי לבין שימוש פרטי לא מודע, תוך שימוש בטכנולוגיה שממירה טקסטים לאינדיקציות על איכויות אופי, מייצר פער חמור בין המציאות הנתפסת על ידי העובדת לבין מנגנון ההערכה הארגונית בפועל. לכן, השאלה המתבקשת היא: האם המעסיק רשאי לצפות בתוכן השיחות של העובדת במסגרת ChatGPT Enterprise, במיוחד כאשר אלה נוגעים לתכנים פרטיים שהעובדת הזינה למערכת מבלי לדעת שהמידע חשוף למעסיק?
המסגרת הנורמטיבית המתאימה בדין הישראלי לבחינת משמעויותיה המשפטיות של השאלה משתרעת בין חוק הגנת הפרטיות לבין עקרונות חוקתיים. לפי סעיף 2 לחוק הגנת הפרטיות, צפייה במסמך אישי או בתכתובת פרטית של אדם ללא הסכמתו מהווה פגיעה בפרטיות(3). סעיף 7 לחוק יסוד: כבוד האדם וחירותו מעגן את הזכות לפרטיות כזכות חוקתית(4). הפסיקה פירשה זכות זו ככוללת את הזכות לשליטה על מידע אישי, גם במקום העבודה, והכירה בכך שעובד זכאי למידה מסוימת של פרטיות גם בעת שימוש באמצעים טכנולוגיים שהועמדו לרשותו על ידי המעסיקה(5). לפיכך, צפייה של מעסיק בתכנים פרטיים של עובדיו – גם כאשר תכנים אלו נוצרו במסגרת מקום העבודה – עלולה להיחשב כפגיעה בזכות חוקתית.
בפסק הדין בעניין איסקוב(5), קבע בית הדין הארצי לעבודה, כי מעסיק המבקש לעיין בתיבת הדואר האלקטרוני של העובדת מחויב להראות כי קיים חשש ממשי לפעולה פלילית או פסולה מצד העובדת, וכי אין בנמצא אמצעים חלופיים, שפגיעתם בפרטיות פחותה. עוד נפסק, כי נדרשת הסכמת העובדת – לא הסכמה מכללא או כללית – אלא הסכמה מדעת, שניתנת באופן פרטני ביחס לכל הודעה פרטית(6). לשיטתנו, יש להחיל עקרונות אלו, בהתאמות הנדרשות, גם על גישה לתוכן השיחות בצ'אט ארגוני: ככל שמדובר בשיחה הנחזית כפרטית ואינה נוגעת ישירות לתפקודו של העובד נדרשת רמת זהירות מוגברת, הכוללת יידוע ברור וקבלת הסכמה מדעת באופן קונקרטי.
לנוכח האמור, המציאות הקיימת מחייבת התייחסות כפולה – הן מצד המעסיקים המשתמשים בצ'אט ארגוני, והן מצד החברות שמפתחות ומספקות את השירותים הללו. בהתאם לכך, נדרשת הצעה ישימה לצמצום הפער בין הדין הנוהג לבין הפרקטיקה הנוהגת במערכות כמו ChatGPT Enterprise. אין די בדרישה להסכמה חוזית כללית – נדרשת התאמה ברמת עיצוב המערכת עצמה. מאחר שהסכמה חוזית ניתנת לרוב דרך מסמך אחיד, ארוך ולא נגיש, בו העובד אינו מבין בפועל את משמעות השימוש, יש לקבוע סטנדרט מחייב של הגדרות ברירת מחדל שיינתנו על ידי ספק השירות, ולא רק על ידי המעסיק. סטנדרט כזה נועד להבטיח שמנגנוני ההגנה על זכות העובד לפרטיות והבהרת השימוש במידע שמוזן למערכת יופעלו כברירת מחדל, ולא יהיו תלויים בפעולה אקטיבית מצד המשתמשים, שמעמדם חלש מלכתחילה.
כחלק ממנגנון ההגנה על זכות העובד לפרטיות, ניתן לשקול החלה של מדיניות מחייבת להצגת הודעת פתיחה קבועה בראש כל שיחה עם המערכת, שתבהיר לעובדת כי מדובר בצ'אט ארגוני אשר עשוי להיות נתון לפיקוח, וכי אין להקליד לתוכו מידע אישי או רגיש שאינו נדרש לצורכי עבודה. הודעה זו עשויה לתפקד כהבהרה מתמשכת של תנאי השימוש, לצמצם את הפער שבין הציפיות של העובדת לבין המציאות הארגונית בפועל, ולהוות נדבך משלים להסכמה מדעת. בדומה לאזהרות בתחילת שיחות טלפון מוקלטות, מנגנון זה יכול להוות צעד פשוט, זול וישים שמגן הן על העובד והן על הארגון.
נוסף על כך, ניתן לקבוע חובה על יישום "מצב פרטי" (Private Mode) בצ'אט ארגוני, שבו כל שיחה לא תישמר ולא תהיה נגישה למעסיק, אלא אם העובד ביטל את ההגדרה ביוזמתו; זו תסומן באופן ברור ונראה לעין כ"שיחה לא מתועדת", בדומה לסימון הקלטות בשיחות וידאו; ואף תחייב הסכמה מחודשת ומובחנת בכל שינוי במדיניות השימוש במידע.
פתרון כזה אינו בגדר הצעה תיאורטית בלבד – הוא ישים טכנולוגית באופן מלא. כבר כיום מאפשרת גרסת ChatGPT Enterprise ניהול מבוסס-הרשאות, שליטה פרטנית בהגדרות שמירת המידע, הפעלת או השבתת יומני פעילות (Audit logs), ואף יצירת מודלים מותאמים עם שליטה בגישה למידע (Custom GPTs). במילים אחרות, הפלטפורמה כבר כוללת את התשתית הטכנית הנדרשת, אך בהיעדר רגולציה מחייבת, אין ערובה לכך שהעובד או העובדת אכן ייהנו מהגנה אפקטיבית על פרטיותם. לכן, מוצע לקבוע בחקיקה או במסגרת נורמטיבית אחרת אמות מידה טכנולוגיות מחייבות, אשר יחייבו גם את הספקים וגם את המעסיקים, ויוודאו כי כל עובד ועובדת מקבלים שליטה בזמן אמת בשאלה האם שיחתם מתועדת או מנותחת, ובאיזו מידה.
לסיכום, כניסתן של מערכות בינה מלאכותית מבוססות שפה למרחב הארגוני מעלה את הצורך בהגדרה מחודשת של גבולות השליטה, הניטור והפרטיות. ככל שהטכנולוגיה מתקדמת, כך גובר הסיכון לחדירה שקטה ובלתי מורגשת למרחב האישי של העובדים. אף שהדין הקיים בישראל מכיר בזכות העובד לפרטיות גם במקום העבודה, מימוש ההגנות הללו מחייב התאמה למציאות טכנולוגית משתנה – באמצעות כללים טכניים ברורים ומנגנוני פיקוח אפקטיביים. ההצעה המוצגת שואפת לאזן בין צרכי הארגון לבין שמירה על גבולות הזכות לפרטיות באופן שיאפשר שימוש אחראי, מודע ושקוף במערכות AI במקום העבודה.
----------------------------------
(1) SSO (single sign-on) מאפשר גישה לכל מערכות הארגון עם הזדהות אחת; SCIM הוא פרוטוקול לניהול זהויות והרשאות משתמשים.
(2) ראו למשל את ס' 9 לחוק עבודת נשים, התשי׳׳ד–1954, המעגן את האיסור שחל על מעסיק לפטר אישה בתקופת ההיריון ו/או בתקופת לידה והורות (בלא היתר משר העבודה).
(3) ס' 2 לחוק הגנת הפרטיות, התשמ׳׳א–1981.
(4) ס' 7 לחוק יסוד: כבוד האדם וחירותו.
(5) ע׳׳ע (ארצי) 90/08 איסקוב ענבר – הממונה על חוק עבודת נשים ואח׳ (נבו 8.2.2011) (להלן: "עניין איסקוב").
(6) שם, בפס׳ 27–31 לפסק הדין של השופטת נילי ארד.