רכבים חכמים ואחריות לנזקי סייבר

נכתב על ידי: נח שלומוביץ'.

בשאלת האחריות לנזקים הנגרמים כתוצאה משימוש ברכבים חכמים, מתייחדת שאלת הנזקים הנובעים מפעילות קיברנטית עוינת (נזקי סייבר) כיוצאת דופן במהותם של הנזקים, ובדרכי ההתמודדות המוצעות איתן.

להלן נסקור, את משמעותם של נזקים אלה, ונציע מודל אחריות וביטוח שייתן מענה מיטבי לאתגרים הנובעים מאופים המיוחד של נזקי סייבר.

השימוש ברכבים אוטונומיים, אינו חזון עתידני גרידא, הוא חי, קיים וקורם עור וגידים במספר גדל והולך של מדינות. ב-2016 הציגה חברת שיתוף הרכבים Uber את הרכב האוטונומי שלה שהחל לפעול בפיטסבורג (לעת עתה תוך חיוב נוכחות של "נהג בטיחות במושב הנהג)[1] בדומה לכך Waymo (לשעבר חטיבת הרכב האוטונומי של Google ) הציגה ב- 2017 בשיתוף עם חברת Fiat Chrysler את המיני ואן האוטונומי שלה[2], כשהיא מציגה את הפוטנציאל שבשיתוף הפעולה בין יצרני הרכב המסורתי, ובין יצרני הטכנולוגיות החדישות. במקביל נשמעים דיווחים של חברות רבות (BMW, TESLA ועוד) על כוונה להוציא בתוך חמש שנים, דגמי מכוניות אוטונומיות לשוק[3] ומשקיעים שונים מתחומי תעשייה שונים מגלים עניין גובר והולך בהפניית משאבים לתחום המכוניות האוטונומיות[4]. גם בישראל, התקבלה החלטת ממשלה לפיה יוקמו מרכז ניסויים לתחבורה חכמה, ומאגרי מידע שיונגשו לאותה המטרה[5].

 ההנחה הבסיסית השלטת היום בעולם המחקר היא שככל שרכבים אוטונומיים יתפסו חלק גדול יותר מנפח הרכבים הנעים בדרכים, כך תימדד ירידה משמעותית במספר תאונות הדרכים, ובמקביל בעלויות הביטוחיות של הפעלת רכבים[6]. הערכה עכשווית מדברת על צמצום של כ-40% בהיקף הפעילות של שוק ביטוח הרכב האישי[7].

עד אמצע המאה, החדירה של AVs ו- ADAS אחרים תתבטא בסופו של דבר בכך שתאונות כלי רכב הממוקמות כיום במקום השני בדירוג סיבות המוות יעברו למקום התשיעי בקרב סוגי תאונות.

הנחות אלה מבוססות על העובדה לפיה מרבית הנזקים הנגרמים כתוצאה משימוש בכלי רכב הם נזקים שמקורם בגורם האנושי, דהיינו מרבית התאונות נגרמות בשל טעויות אנוש של נהגים[8]. הוצאתו של הגורם האנושי מהמשוואה היא המאפיין המשמעותי ביותר של הרכב האוטונומי. לצד הוצאת רכיב הנהג מתמונת הנהיגה, ההתפתחות המשמעותית בתחום הרכבים האוטונומיים, חושפת את היצרנים, של הרכבים ושל המערכות השונות שבהן, לחבויות בגין נזקים היגרמו במהלך הפעלתם של הרכבים. כפועל יוצא משאלת האחריות הנזיקית עולה ביתר שאת נושא היקף הכיסויים הביטוחים להם הם יזקקו. הגישה אל היצרנים כוללת למעשה את כלל שרשרת הייצור, תוך התמקדות בשאלה מי נושא באחריות לפעולות שתבוצענה על ידי המערכות שיחליפו את הנהג.

למרות שבמבט ראשוני, חוסר הוודאות המשפטי ביחס לתמונת האחריות הנזיקית, נראה בלתי נמנע ביחס לטכנולוגיות החדשות, הרי שמבט ממעמיק יותר יגלה כי אימוץ מדיניות משפטית של דיני הנזיקין (חקיקה+ פסיקה) כפי שהתפתחה להתמודד עם הטכנולוגיות הישנות, יכולה להתאים גם לטכנולוגיות החדשות. כמו שהיא, או בשינויים רגולטוריים מסוימים. חלקים נרחבים מהבעיות הנעוצות בדרך כלל בדיני הנזיקין, ייפתרו בשל העובדה שהמערכות החדשות, מהוות למעשה סוג של נהג אחד, הנוהג ברכבים מרובים, הן בשל התקשורת שתתקיים בין הרכבים השונים ובין מוקדי ניהול דרך, והן בשל העובדה שכל טעות הנלמדת ומתוקנת, יכולה להיות מתוקנת בכלל המערכות הפועלות. משמעות נוספת לכך תתבטא גם בעקומות למידה יעילות וגבוהות של מערכות אלה. מערכת הפעלה אחת להרבה מכוניות – יכולה לתקן טעויות במהירות גבוהה יותר.

במקביל, יוכל גם כל יצרן, בשרשרת הייצור, להוכיח בצורה קלה את קיום המחויבות שלו כנגד אירוע נזיקי, ככל שהדברים אמורים במערכות ההפעלה, זאת על ידי הצגה של נתוני ניסויים שנערכו לפני היציאה לשוק של כל מערכת.

ניתן להניח שכבר בתקופה הנוכחית, בה מבוצעים הניסויים השונים בתפעולם והשתלבותם של רכבים אוטונומיים, מתבצעות בדיקות ומדידות המבוססות על נתוני אמת, אשר יוכלו בעתיד לשמש בסיס אקטוארי לביצוע מיפוי של נזקים צפויים, ובהתאם להיערך מהבחינה הביטוחית לכיסויים של נזקים עתידיים אלה. יהא המשטר הביטוחי אשר יהא.

בניגוד לאמור בכל הנוגע לתאונות דרכים שמקורן בנהיגה, ואשר לגביהן, ניתן יהיה בקלות יחסית ליצור מנגנונים לחיזוי, כימות ומניעה שלהם, ובמיוחד בהתחשב בכך שמספרם עתיד לרדת בצורה משמעותית, הרי שרכבים מקושרים וחכמים מציגים נקודת תורפה חדשה לגמרי בדמות הסכנה הנובעת מפגיעות סייבר[9].

בניגוד לתאונות הנובעות ממערכות ההפעלה של הרכבים, אשר כאמור, ניתן יהיה בקלות יחסית לאמוד את שיעורן, ולתת להן מענה של אחריות, ובהתאם גם של ביטוח, הרי שתאונות הנובעות מפגיעת סייבר הן בגדר תעלומה. על אף שהעיסוק בשאלות הנוגעות לאחריות נזיקית הנובעת מכשלים בתוכנה, נמשך כבר למעלה מארבעה עשורים, מעטות מאד ההתייחסויות המשפטיות לשאלת האחריות הנזיקית הנובעת מהם, זאת למעט מקרים העוסקים במערכות שהן חלק משירותים פיננסיים[10].

הסיבות בשלהן נזקים הנובעים מתקיפות סייבר, קשים מאד לניבוי ולחיזוי, הן: קיומו של צד שלישי המחבל בפעולה בכוונה, צד שלא ניתן לחזות את התנהגותו. עד שיתרחב השימוש ברכבים אוטונומיים, פגיעות מסוג זה תהיינה פחות אטרקטיביות, למפגע, משום שהשפעתן תהיה שולית, ולכן קשה יהיה למדוד אותן בשלבי הניסוי בהן ימדדו גורמים אחרים לתאונות ולנזקים[11], וסיבה שלישית שהיא שילוב של השתיים הקודמות, חסימת פרצות אבטחה יגררו בהכרח שכלול של אמצעי הפריצה, באופן שמוכר בתחום אבטחת הסייבר, מאפיין שמשמעותו היא פגיעה ביכולת לאמוד את נזקי העתיד על סמך עובדות העבר.

לפיכך, על מנת לאפשר בחירת המודלים הנכונים, משפטית וביטוחית להתמודדות עם סיכונים אלה, יש לבחון את מהותם של הסיכונים, ואת כלל הגורמים והפעולות המעורבים בכל תהליך נזיקי מסוג זה.

כבר כיום, בעידן המכוניות המודרניות, המופעלות על ידי נהגים אנושיים, קיימות נקודות חולשה המאפשרות לגורם עוין (Hacker) להשתלט על רכיבים מסוימים ברכב, ולגרום לו לתקלה, או לתאונה. קיומן של עשרות מערכות מחשוב המתקשרות זו עם זו ברכב, כמו גם האפשרויות של חלק מהן לקישוריות, מהוות נקודות חדירה המאפשרות להשתלט על מערכות הבלמים ההיגוי, או כל מערכת אחרת הנוגעת לנסיעה ברכב ולבטיחותה. כך למשל ניתן בקלות על ידי שיחה לטלפון הסלולרי המחובר למערכת השמע, או על ידי הכנסת דיסק הכולל תוכנת השתלטות למערכת המוזיקה, להשתלט על מערכות רבות ברכב. ככל שמערכות רכב ייהפכו לאוטונומיות, ולמקושרות יותר כך תגברנה נקודות הכניסה בהן יוכלו גורמים עוינים להשתלט על מערכות ברכב ולגרום לו לחוסר תפקוד וכתוצאה מכך לנזק[12], יתר על כן ככל שגדלה הקישוריות של מערכות מבוססות סייבר, ובכלל זה רכבים אוטונומיים אל מערכות תשתית מרכזיות, כך גדלה מידת ההתקפות על אותן מערכות תשית, באמצעות שימוש באותה קישוריות[13]. בהתאם, ככל שעולה מספר ההחלטות והפעולות שאותן מבצעות מערכות הרכב בעצמן, וללא התערבות גורם אנושי, כך כל התחברות למערכות הרכב יוצרת מספר רב של אפשרויות חבלה.

הבעייתיות בחיזוי היקפם ומהותם של פגיעות הסייבר ברכבים אוטונומיים וחוסר הוודאות הנובע ממנה, עלול להוות גורם מצנן, שיאט את כניסתם של רכבים אוטונומיים לפעילות. בניגוד לסיכונים מחושבים, סיכונים בלתי וודאיים יוצרים חוסר בהירות תמחירית, שבתורה מעלה את מחירי המוצר ומורידה את הביקוש אליו. גם גלגול הסיכון לפתחן של חברות הביטוח, לא ימנע את הבעיה אלא יעביר אותה לתחום תמחור הפרמיות הביטוחיות.

לצד חוסר הוודאות העובדתי הכרוך בפגיעות סייבר, תשמש גם חוסר וודאות משפטית שתקשה אף היא על ביצוע תחשיבים אקטואריים מדויקים. קיומן של בעיות שאינן נופלות במסגרות המוכרות והרגילות של תחומי האחריות השונים, ובכללן גם נסיבות מסוג חדש, יגרום לפחות בתקופה הראשונה לפסיקות סותרות של בתי המשפט, הן בתוך מערכות שיפוט לאומיות, ובוודאי ברחבי העולם. תופעה שאף אם פסיקות מחייבות, ופרקטיקות של משפט משווה יפתרו, הרי שייקח זמן לא מבוטל עד שיגיעו לוודאות משפטית[14].

הדעה הרווחת היום בין החוקרים היא שיש לבצע גלגול של האחריות מהנהגים והמשתמשים ברכב אל היצרנים, האחראים כעת למערכת ההפעלה שלו. גלגול זה ייעשה במסגרת חוקי האחריות למוצרים פגומים ויכלול מנגנונים של אחריות מוגברת או אחריות מוחלטת[15].

ראוי ליתן את הדעת על כך שכלל הנתונים יחייבו שינויים רדיקליים בתחום ביטוחי תאונות הדרכים. מבטחי רכב סיפקו תמיד פוליסות לכיסוי נזקים במקרה של תאונות שנגרמו על ידי טעות אנושית. עם כלי רכב אוטונומיים, ללא נהיגה אנושית, חברות הביטוח עשויות לשנות את הליבה של המודל העסקי שלהם, תוך התמקדות בעיקר על ביטוח יצרני הרכב מפני כישלון טכני של רכבים אוטונומיים, במקום הגנה על לקוחות פרטיים מפני סיכונים הקשורים לשגיאה אנושית בתאונות. מעבר זה עשוי לשנות את ענף ביטוח הרכב מענף הממוקד במיליוני צרכנים פרטיים, לכזה שעניינו במפעילי OEM ותשתיות, בדומה לביטוחי חברות שיט וספנות[16]. העיון בתצורת OEM הוא בעל חשיבות מיוחדת בתצורה של הרכב האוטונומי שיכלול כפי שיפורט להלן, קשת רחבה מאד של רכיבים בעלי פגיעות סייבר, ואשר לא תמיד יצרן המשתמש בהם יוכל לחזות או להתמודד איתה[17].

בהתאם לכך, צדדים שלישיים המעורבים בתכנון מערכות בטיחות ברכבים חכמים ייחשפו גם הם באופן מוגבר לתביעות הקשורות באחריות למוצרים[18].

מספר לא קטן של שאלות טעונות הכרעה במישור זה, כך למשל חלוקת האחריות בין המערכת אוטונומית והנהג האנושי ככל שקיים כזה. האם האדם יישא באחריות לתאונה כאשר קיימת אפשרות להתערבות אנושית ידנית בהחלטות המכונה[19].

שאלה מעניינת נוספת[20] היא האם שיקולים של הגנת הפרטיות, יאפשרו שימוש בנתונים מוקלטים (קופסא שחורה, קבצי לוג וכד') כדי לברר ולקבוע עובדות המכריעות בשאלת האחריות?

בנוסף לשאלת החלוקה בין משתמש ובין יצרן, אין כיום למעשה בנמצא מנגנון משפטי ברור המאפשר להכריע בשאלה כיצד לחלק את האחריות בין כלל הצדדים השלישיים האחראים למוצר: מתכנני המערכות, יצרני החלקים, ספקי התוכנה, מפעילי התוכנה, יצרן הרכב ועוד כך שעצם ההצבעה על רכיב מסוים או אפילו קבוצה של רכיבים כאחראים לכשל שגרם לתאונה, הוא קשה מאד.

קושי נוסף העולה ממודל הטלת האחריות על היצרנים, קשור בעובדה שעל מנת לרכוש כיסוי ביטוחי מתאים, בפני כל מקרה פרטני של נזק, תהיינה היצרניות חייבות להעריך את עלות הפרמיה הביטוחית לכל חיי הרכב כבר במועד מכירתו הראשונה. פעולה שכאמור תהווה גורם מצנן משמעותי בשילובם של רכבים אוטונומיים.

חסרון אחר טמון בעובדה שגם במקרים של אחריות מוגברת, אופי פגיעות הסייבר, שכאמור אינו תמיד צפוי מראש, יכול להביא לשחרור של היצרנית מאחריות במקרים מסוימים, בהם יוכחו עמידה בתקנים ובדרישות הרגולטוריות או חוסר יכולת לצפות או להיערך לנזקים מסוג מסוים. נסיבות מסוימות עשויות ליפול בין תחומי האחריות של היצרנים השונים מבלי יכולת להצביע על אחד מהם כנושא באחריות. כלל המצבים האלה יכולים להותיר משתמשי דרך רבים חשופים לנזקים שייתכן ולא יהיה עליהם פיצוי כלל או שיצריך את המדינה לפצות ניזוקים.

אנו סבורים כי חלק גדול מהבעיות האמורות יכולות למצוא את פתרונן במודל המבוסס על אחריות מוחלטת לנזקי סייבר, באופן בו מפעיל הרכב, או המחזיק בו, בהיעדר מפעיל, יחוב בנזיקין ובהתאם בביטוח, על בסיס פרמטרים רלבנטיים, ובתקופות שנתיות, כמקובל בביטוחי חובה לרכב.

גם כאן, כמו במודלים של אחריות על מוצרים, אפשר יהיה להרחיב את המודל ולהחילו בנוסף לנזקי גוף גם על נזקי רכוש.

ההנחה שתיבדק במחקר היא כזו, לפיה חלוקה של הנזק לרוחב (בין משתמשים) ולאורך (ביטוח תקופתי מדי שנה) תאפשר חיזוי אקטוארי מדויק יותר, ובעיקר תמנע חוסר ודאות, בנקודת המכירה של הרכב, חוסר ודאות שיגרור הוצאה ביטוחית יקרה, שבתורה תייקר את מחיר כלי הרכב.

פרמיות ביטוחיות מתעדכנות מדי שנה, ומאפשרות עדכון כמעט בזמן אמת של כלל הפרמטרים הנלמדים והמוטמעים במערכת. היכולת לתקן את החישובים, כמו גם החלוקה שלהם על פני כלל תקופת חיי הרכב, יורידו את סף הכניסה של הטכנולוגיות לשימוש המוני. הן גם יבטיחו שלא ייווצר מצב שבו משתמש דרך לא יקבל פיצוי על נזק הנובע מפגיעת סייבר.

 אמנם, כפי שהניסיון מראה, מודל זה לא ימנע התדיינויות משפטיות, אולם אלה יתמקדו בקיומם והוכחתם של נזקים ולא בשאלות של אחריות.

יהיו שיטענו שהיעדר דיון משפטי בשאלות של אחריות יקשה על איתורן של נקודות תורפה, ויפחית את המוטיבציה לתקנן או למנוע אותן. התשובה לכך יכולה לבוא משילובם של מספר גורמים שישמשו כחלק מהמודל. כך למשל, ניתן להעניק למבטח זכות שיבוב או שיפוי כלפי יצרנים שלא עמדו בחובות הרגולטוריות שלהם, או שהוכחה רשלנות מצידם.

 

[1] Anthony Levandowski & Travis Kalanick, Pittsburgh, Your Self-Driving Uber is Arriving

Now, UBER (Sept. 14, 2016), https://newsroom.uber.com/pittsburgh-self-driving-uber

[https://perma.cc/5H49-LMR3].

[2] Bill Vlasic, Self-Driving Minivan Could Steer Car Industry, N.Y. TIMES, Jan. 9, 2017,

at B1;

[3] Mark A. Geistfeld, A Roadmap for Autonomous Vehicles: State Tort Liability, Automobile Insurance, and Federal Safety Regulation, 105 Calif. L. Rev. 1611 (2018) at 1615.

[4] Tim Higgins, Autos: Autonomy for Cars Attracts Suppliers’ Attention, WALL ST. J.,

Jan. 10, 2017, at B6

[5] החלטת ממשלה מספר 6132 מיום 32.3.6

[6] Geistfeld, at 1616;

[7] JERRY ALBRIGHT ET AL., KPMG, MARKETPLACE OF CHANGE: AUTOMOBILE INSURANCE

IN THE ERA OF AUTONOMOUS VEHICLES 26 (2015),

https://assets.kpmg.com/content/dam/kpmg/pdf/2016/06/id-market-place-of-...

in-the-era-of-autonomous-vehicles.pdf [https://perma.cc/A57Z-UM8Q]; at 14

[8] Araz Taeihagh & Hazel Si Min Lim (2018): Governing autonomous vehicles:

emerging responses for safety, liability, privacy, cybersecurity, and industry risks, Transport

Reviews, [https://doi.org/10.1080/01441647.2018.1494640] at 8;

[9] Geistfeld at 1660;

[10] Alan Butler, Products Liability and the Internet of (Insecure) Things: Should Manufacturers Be Liable for

Damage Caused by Hacked Devices?, U. MICH. J.L. REFORM (forthcoming) (manuscript at 103),

http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2955317 [https://perma.cc/KJ6G-WP65].

[11] Geistfeld at 1661;

[12] ר' סקירה על פגיעותם של רכבים אוטונומיים

Tom Simonite, Our Future Self-Driving Car Will Be Way More Hackable, MIT Technology Review, January 26, 2016;

 

[13] Iacono, M.; Marrone,S. Risk assessment and monitoring in intelligent data-centric systems. In Security and Resilience in Intelligent Data-Centric Systems and Communication Networks; Elsevier: New York, NY,USA, 2018; pp. 29–52.

[14] Geistfeld at 1619;

[15] ר' למשל השוואה בין דיני המחשבים, דיני תאונות הדרכים, ודיני האחריות לנזקי כלב כמקורות אפשריים להחלת מודלים משפטיים על רכבים אוטונומיים:

Sophia H. Duffy & Jamie P. Hopkins, Sit, Stay, Drive: The Future of Autonomous Car Liability, 16 SMU Sci. & Tech. L. Rev. 453 (2013). Available at: https://scholar.smu.edu/scitech/vol16/iss3/4

[16] Michele Bertoncello & Dominik Wee, Ten Ways Autonomous Driving Could Redefine the Automotive World,

MCKINSEY & CO. (June 2015) Para. 5;

[17] CERT-UK, “Cyber-Security risks in the supply chain,” Tech. Rep., 2015

[18] Marchant, G. M., & Lindor, R. A. (2012). The coming collision between autonomous vehicles and the

liability system. Santa Clara Law Review, 52, 1321.

[19] Collingwood, L. (2017). Privacy implications and liability issues of autonomous vehicles. Information &

Communications Technology Law, 26(1), 32–45.

[20] Dhar, V. (2016). Equity, safety, and privacy in the autonomous vehicle Era. Computer, 49(11), 80–83.