מאמר
חוק הספאם וסוכני AI: מה מותר לשלוח ומה חייבים לגלות
רגולציה על סוכן AI שמוכר בישראל: חוק הספאם (opt-in, פיצוי עד ₪1,000 להודעה), תיקון 13 לחוק הגנת הפרטיות, וחובת גילוי שמדובר ב-AI. חינוכי, לא ייעוץ משפטי.

חוק הספאם וסוכני AI: מה מותר לשלוח ומה חייבים לגלות
סוכן AI שמוכר בישראל כפוף לאותם חוקים כמו כל עסק. חוק הספאם דורש הסכמה מראש (opt-in) לפני פנייה מסחרית, עם פיצוי של עד ₪1,000 להודעה. תיקון 13 לחוק הגנת הפרטיות מסדיר את המידע שנשמר. חוק AI מחייב עוד אין בישראל, אבל הכיוון, בארץ ובעולם, הוא שקיפות: לומר ללקוח שהוא מדבר עם מערכת אוטומטית.
ככל שיותר עסקים מפעילים סוכני AI שמנהלים שיחות מכירה, עונים, פונים, סוגרים, עולה שאלה שמעטים עוצרים לשאול: מה מותר, ומה חושף אותנו? הרגולציה בתחום הזה לא "עתידית". היא כבר כאן, וחלקה נאכף באגרסיביות. המאמר הזה עושה סדר: מה החוק דורש מסוכן AI שמוכר בישראל, מה עומד להשתנות, ואיך עושים את זה נכון.
הבהרה חשובה לפני הכול: זהו הסבר חינוכי, לא ייעוץ משפטי. הדינים מורכבים ומתעדכנים, ולכל עסק כדאי להיוועץ בעורך דין לגבי המצב הספציפי שלו.
חוק הספאם, הכלל הכי חשוב לפנייה יזומה
אם הסוכן שלך פונה ללקוחות, לא רק עונה למי שכתב אליך, זה הדין שצריך להכיר ראשון.
חוק הספאם הוא סעיף 30א לחוק התקשורת (בזק ושידורים), שנוסף בתיקון 40 ונכנס לתוקף בדצמבר 2008. הוא חל על "דבר פרסומת", מסר שמופץ באופן מסחרי כדי לעודד רכישה, שנשלח בפקס, בחיוג אוטומטי, ב"הודעה אלקטרונית" או ב-SMS. הכלל המרכזי שלו פשוט וקשיח: אסור לשלוח דבר פרסומת בלי הסכמה מפורשת מראש של הנמען (opt-in). ההסכמה צריכה להיות בכתב, והחוק מכיר במפורש גם בהסכמה בהודעה אלקטרונית או בשיחה מוקלטת.
וכאן נקודה שהרבה עסקים מפספסים: אישור של "תנאי שימוש" באתר, עם סעיף הסכמה מוטמע, אינו נחשב הסכמה מפורשת לפי החוק. כך נקבע בפסיקה מ-2024. הסכמה צריכה להיות ברורה וייעודית לקבלת דיוור פרסומי, לא משהו שהלקוח "אישר" אגב לחיצה על טופס.
יש חריג צר ללקוחות קיימים (סעיף 30א(ג)): מותר לפנות בלי opt-in מוקדם רק אם מתקיימים כל התנאים, הלקוח מסר את פרטיו במהלך רכישה או משא ומתן, נאמר לו שהם ישמשו לפרסום, ניתנה לו הזדמנות לסרב והוא לא סירב, והפרסום נוגע למוצרים מאותו סוג. וגם אז, בכל הודעה חייבת להיות אפשרות הסרה.
האכיפה אמיתית. מי ששולח דבר פרסומת ביודעין בניגוד לחוק חשוף לפיצוי לדוגמה של עד ₪1,000 בגין כל הודעה, בלי שהנמען צריך להוכיח נזק. זו גם עילה מובהקת לתביעה ייצוגית, ותביעות כאלה מוגשות בישראל בהיקפים גדולים. חשוב לדייק: בית המשפט העליון (עניין גלסברג, 2014) קבע שה-₪1,000 הוא תקרה ונקודת מוצא שנועדה להרתעה, לא קנס אוטומטי לכל הודעה, אבל הפוטנציאל המצטבר, במיוחד בתביעה ייצוגית, משמעותי.
ומה עם וואטסאפ? כאן צריך זהירות. התוכן קובע: הודעת מכירה היא "דבר פרסומת" בכל אפליקציה. השאלה היא הערוץ. השאלות והתשובות הרשמיות של משרד התקשורת מתייחסות לאיסור כחל גם על "הודעה באפליקציות למסרים מיידיים (כגון וואטסאפ)", ובתי משפט נמוכים דרשו שאפשרות ההסרה תהיה זמינה בתגובת וואטסאפ חוזרת. עם זאת, ולמען הדיוק, לא אותרה הלכה חד-משמעית של בית המשפט העליון שקובעת מפורשות שהודעת וואטסאפ חוסה תחת החוק. בפועל, שיווק בוואטסאפ מטופל כמכוסה. הזהירות הנכונה: להתייחס אליו כאילו הוא כפוף לחוק, ולא להסתמך על אזור אפור.
מה זה אומר לסוכן AI שפונה ללידים
נתרגם את זה לשפה מעשית. אם הסוכן שלך שולח הודעות יזומות שמקדמות מוצר או שירות, כל הודעה כזו היא "דבר פרסומת", ולכן:
- צריך opt-in לפני הפנייה הראשונה. ליד שהשאיר פרטים בקמפיין לא בהכרח נתן הסכמה לדיוור פרסומי, צריך הסכמה ברורה וייעודית.
- כל הודעת פרסומת צריכה לזהות את עצמה: את המילה "פרסומת", את שם המפרסם ופרטי ההתקשרות שלו, ואת זכות ההסרה ודרך פשוטה לממש אותה.
- אישור "תנאי שימוש" לא מספיק. אם ההסכמה נשענת על לחיצה על טופס כללי, היא כנראה לא עומדת בדרישת ההסכמה המפורשת.
- הסרה חייבת לעבוד, בכל עת, בחינם, ובאותו ערוץ שבו הגיעה ההודעה.
שים לב שזה חל על פנייה יזומה. מענה ללקוח שכתב אליך ראשון הוא סיפור אחר, שם השיחה נפתחה על ידו. ההבחנה הזו, בין יזום למגיב, היא קו הגבול המעשי של חוק הספאם.
פרטיות, תיקון 13 לחוק הגנת הפרטיות
סוכן AI ששומר שיחות, לידים ופרטי לקוחות מנהל, מבחינת החוק, מאגר מידע, וזה מפעיל את חוק הגנת הפרטיות. ובאוגוסט 2025 החוק הזה עבר את השינוי הגדול ביותר שלו מזה עשורים.
תיקון 13 לחוק הגנת הפרטיות (התשפ"ד-2024) אושר בכנסת באוגוסט 2024 ונכנס לתוקף ב-14 באוגוסט 2025. הוא נועד ליישר את ישראל עם הסטנדרט האירופי (GDPR), והוא משנה כמה דברים מהותיים לעסק שמפעיל סוכן שיחתי:
- רישום מאגרים, בוטל ברובו, אבל החובות המהותיות נשארו. גם בלי חובת רישום, צריך לעמוד בכל השאר.
- הודעת יידוע בעת איסוף המידע. כשהסוכן אוסף פרטים מהלקוח, צריך למסור לו, לפי סעיף 11, לאיזו מטרה, שהמסירה מרצון, למי המידע יימסר, ומה זכויותיו לעיין ולתקן.
- אבטחת מידע. תקנות אבטחת המידע (2017) חלות: סיווג רמת האבטחה של המאגר, נוהל אבטחה, בקרות גישה, תיעוד, ודיווח על אירועי אבטחה.
- ממונה על הגנת הפרטיות (DPO). נדרש, בין היתר, כשעיקר העיסוק הוא ניטור שיטתי בהיקף גדול, או עיבוד מידע בעל רגישות מיוחדת (למשל בריאותי או פיננסי) בהיקף משמעותי.
האכיפה התחזקה מאוד. התיקון העניק לרשות להגנת הפרטיות סמכות להטיל עיצומים כספיים משמעותיים, שיכולים, בהתאם להיקף וסוג ההפרה, להגיע למיליוני שקלים, לצד פיצוי סטטוטורי של עד ₪10,000 להפרה, בחלק מהמקרים ללא הוכחת נזק. בקצרה: מאגר של שיחות מכירה הוא לא "רק דאטה", הוא נכס משפטי שצריך לנהל באחריות.
חובת גילוי שמדובר ב-AI, מה המצב
זו השאלה שהכי הרבה אנשים שואלים: האם חייבים לומר ללקוח שהוא מדבר עם AI? התשובה, נכון להיום, מדויקת ומעניינת.
בישראל אין עדיין חוק מחייב שדורש במפורש לגלות שהאינטראקציה מנוהלת על ידי מערכת AI. ישראל בחרה בגישה של "אסדרה רכה": מסמך עקרונות מדיניות, רגולציה ואתיקה בבינה מלאכותית (משרדי החדשנות והמשפטים, 2023) שמציב עקרונות, הוגנות, אחריותיות, שקיפות, פיקוח אנושי, אבל מיישם אותם דרך הרגולטורים הסקטוריאליים, בלי חוק AI רוחבי מחייב.
הדבר הקרוב ביותר לחובת גילוי הוא טיוטת הנחיה של הרשות להגנת הפרטיות (אפריל 2025), שלפיה חובת היידוע כוללת גם לומר לאדם שהאינטראקציה מנוהלת על ידי מערכת אוטומטית מבוססת בינה מלאכותית. אבל, וזה חשוב, זו טיוטה, היא אינה מחייבת, והיא שנויה במחלוקת. אסור להתייחס אליה כאל חובה קיימת; היא אינדיקציה לכיוון, לא דין.
בעולם, לעומת זאת, הכיוון כבר מחייב. חוק ה-AI האירופי (Regulation (EU) 2024/1689) קובע בסעיף 50 שמערכות שנועדו לתקשר ישירות עם בני אדם צריכות להבטיח שהאדם יידע שהוא מתקשר עם מערכת AI, אלא אם זה מובן מאליו. חובת השקיפות הזו חלה מ-2 באוגוסט 2026, והפרתה חשופה לקנסות של עד 15 מיליון אירו או 3% מהמחזור העולמי. עסק ישראלי שמשרת לקוחות באיחוד האירופי כפוף לכך. בארה"ב הכיוון דומה: חוק ה-BOT של קליפורניה (2019) אוסר להשתמש בבוט כדי להטעות לגבי זהותו כשמניעים לרכישה, עם "נמל מבטחים" של גילוי ברור; וחוק ה-AI של יוטה מחייב גילוי שימוש ב-AI גנרטיבי.
וכאן הזווית שלנו. ב-Upperfloor אנחנו לא טוענים שאי אפשר לזהות שזה AI, ולא מוכרים "בוט בלתי-ניתן-לזיהוי". אנחנו בונים סוכן שמנהל שיחה טבעית ואנושית, ומשאיר תמיד מסלול לאדם. העמדה הזאת לא רק נכונה ערכית; היא גם מקדימה את החוק. בזמן שהרגולציה בעולם נעה בבירור לכיוון חובת שקיפות, מי שבנה על יושרה מלכתחילה כבר נמצא בצד הנכון.
סגירה וסליקה בצ'אט, הגנת הצרכן
עוד שכבה, למי שהסוכן שלו סוגר וגובה תשלום בשיחה. עסקה כזו היא "עסקת מכר מרחוק" לפי חוק הגנת הצרכן, ומפעילה חובות משלה:
- זיהוי העוסק: שם, מספר עוסק/ח.פ, וכתובת, לצד פרטי המוצר, המחיר הכולל ותנאי הביטול.
- זכות ביטול: בעסקת מכר מרחוק הצרכן רשאי לבטל, בתנאים הקבועים בחוק, בדרך כלל בתוך 14 יום. לאוכלוסיות מסוימות (אנשים עם מוגבלות, בני 65+, עולים חדשים) קיימת תקופת ביטול מורחבת של עד ארבעה חודשים כשהעסקה כללה שיחה, טלפונית או בצ'אט.
כלומר, כשהסוכן סוגר עסקה, הוא לא רק "מבצע מכירה", הוא נכנס למרחב של חובות גילוי צרכני. מערכת שבנויה נכון כוללת את הגילויים האלה בזרימת הסגירה.
איך עושים את זה נכון
אם לתמצת את כל הרגולציה למעשי, זה נראה כך:
- opt-in אמיתי לפני פנייה יזומה, הסכמה ברורה וייעודית, לא "תנאי שימוש".
- זיהוי והסרה בכל הודעת פרסומת, "פרסומת", שם המפרסם, ודרך פשוטה להסיר.
- הודעת יידוע בעת איסוף המידע, ועמידה בתקנות אבטחת המידע.
- מסלול לאדם וגילוי הוגן, לא "הסוואה", בהתאם לכיוון הרגולטורי בארץ ובעולם.
- גילוי צרכני בסגירה, זהות העוסק וזכות הביטול.
הרשימה הזאת נראית ארוכה, אבל שים לב: כמעט כל סעיף בה הוא מה שמערך מכירות מנוהל עושה ממילא כשהוא בנוי נכון, הסכמה, זהות ברורה, מסלול לאדם, ותיעוד מסודר. הרגולציה לא מתנגשת עם ניהול טוב; היא, במידה רבה, ההגדרה שלו. האחריות המשפטית תמיד נשארת אצל העסק, אבל מערכת שבנויה עם הכללים האלה מלכתחילה הופכת את "לעשות את זה נכון" מנטל למובנה.
אם אתה מפעיל, או שוקל להפעיל, סוכן AI שמדבר עם לקוחות.
שאלות נפוצות
האם מותר לשלוח הודעות מכירה בוואטסאפ בלי אישור הלקוח? לא. חוק הספאם (סעיף 30א לחוק התקשורת) דורש הסכמה מפורשת מראש (opt-in) לפני שליחת דבר פרסומת. שליחה בלי הסכמה חושפת לפיצוי של עד ₪1,000 להודעה, ללא הוכחת נזק. אישור "תנאי שימוש" באתר אינו נחשב הסכמה מפורשת, כך נקבע בפסיקה מ-2024.
האם חובה לגלות ללקוח שהוא מדבר עם AI? בישראל אין עדיין חוק מחייב שדורש זאת במפורש, רק טיוטת הנחיה של הרשות להגנת הפרטיות (2025) שנוטה לכיוון הזה, ועדיין לא מחייבת. בחוק ה-AI האירופי, לעומת זאת, מ-2 באוגוסט 2026 חובה ליידע שמדובר במערכת AI. הכיוון העולמי ברור: שקיפות.
מה הקנס על שליחת ספאם בישראל? חוק הספאם מאפשר לבית המשפט לפסוק פיצוי לדוגמה של עד ₪1,000 בגין כל הודעת פרסומת שנשלחה ביודעין בניגוד לחוק, ללא צורך להוכיח נזק. זו גם עילה לתביעה ייצוגית. הפסיקה מתייחסת לסכום כתקרה שנועדה להרתעה, לא כקנס אוטומטי.
סוכן AI ששומר שיחות עם לקוחות, מה חובות הפרטיות? מאגר שיחות ולידים כפוף לחוק הגנת הפרטיות. אחרי תיקון 13 (בתוקף מ-14.8.2025) חובה למסור ללקוח הודעת יידוע בעת איסוף המידע, לעמוד בתקנות אבטחת המידע, ובהיקפים גדולים או במידע רגיש, למנות ממונה על הגנת הפרטיות. הפרות חשופות לעיצומים כספיים ולפיצוי סטטוטורי.