סופו של האח הגדול?
זהו המהלך הגדול שנעשה מעולם בתחום ההגנה על הפרטיות: בעוד 3 חודשים יוכלו סוף סוף מאות מיליונים באיחוד האירופי לשלוט על המידע שנאסף עליהם ברשת. איך נערכות חברות הענק ל-GDPR ומתי זה יגיע אלינו
במאי ייכנסו לתוקף באיחוד האירופי תקנות ה־GDPR, ראשי תיבות של General Data Protection Regulation, רגולציה כללית להגנת פרטיות. מדובר באוסף תקנות מחמירות ומפורטות מאוד, שיחייבו כל ארגון שפועל ביבשת לעמוד בסטנדרטים נוקשים בכל הקשור לשמירה, עיבוד והעברה של נתונים אישיים של אזרחים. מטרתו: "להחזיר לאזרחים את השליטה במידע האישי שלהם". כל חברה, מסטארט־אפ קטן ועד ענקיות גלובליות, תצטרך לציית לתקנות הללו. כאב ראש לא קטן למנהלים, אבל בשורה גדולה לאזרחים.
כיום, כשאנו נרשמים לשירות אינטרנטי כלשהו, מרשת חברתית, דרך מועדון לקוחות מקוון ועד אפליקציית קניות, אנו חותמים על "מסמך תנאי שימוש" ארוך להחריד וכמעט בלתי אפשרי לצליחה, ומעניקים שלל פרטים אישיים כגון כתובת, שם, גיל, הרגלי שימוש ומידע אחר, שממשיך להיאסף עלינו. אין לנו באמת מושג מה נאסף עלינו, ובוודאי שאין אפשרות לצפות בו, לשנות אותו או לבקש להפסיק את איסוף המידע. את זה האירופאים שואפים לשנות מהיסוד. ה־GDPR הוא קובץ תקנות מקיף, שהתפיסה בבסיסו היא, שהמידע שייך לאזרחים, ולא לארגונים.
מה כוללות התקנות?
בגדול, החברות נדרשות לאסוף ולעבד את מינימום המידע שהן זקוקות לו. נושא ההסכמה לאיסוף מידע משתנה לחלוטין: במקום הסכמה גורפת לתנאי שימוש ארוכים ומסובכים שאף אחד לא קורא, המשתמשים יתנו מעתה את הסכמתם באופן פרטני ובמפורש לכל שימוש חריג שייעשה במידע שלהם. למשל: חברה שתרצה ליצור עלינו פרופיל התנהגותי, כלומר לעבד מידע אישי שלנו כדי ללמוד את העדפותינו ולחזות את התנהגותנו, תצטרך לקבל גם על כך הסכמה מפורשת מראש: ההסברים נדרשים להיות ברורים ושקופים, ניסוחים מעורפלים וכלליים ייאסרו. ובכל שלב תוכלו להתחרט: גם אם הסכמתם לשימוש או לאיסוף מידע, תוכלו לבטל את ההסכמה בדיעבד.
יותר מזה: ה־GDPR יחייב את החברות לתת לאזרחים שליטה במידע שנאסף עליהם באופן חסר תקדים. נוכל לעיין במידע הדיגיטלי שנאסף עלינו, לתקן פרטים לא נכונים, למחוק פרטים מסוימים ואף להימחק לחלוטין ממאגר המידע ("הזכות להישכח").
התקנות גם דורשות מהחברות אבטחה מחמירה והצפנה של המידע האישי, כדי להגן מפני פריצות, ומינוי של בעל תפקיד, שיהיה ממונה על הפרטיות בארגונים גדולים. על כל דליפת מידע יש לדווח בתוך 72 שעות. בגין הפרות של התקנות יוכלו האירופאים להטיל על חברה קנסות עתק, שיכולים להגיע עד 20 מיליון יורו, או 4% מהמחזור הגלובלי של החברה.
עוד יעלה יותר
החברות נערכות בקדחתנות כדי לעמוד בתקנות החדשות, ומשקיעות משאבים גדולים בכך. יש אנליסטים שמזהירים כי ההכנות וההוצאות, לצד הירידה מהכנסות מפרסום בגלל הצמצום באיסוף המידע, עלולות לפגוע בשורה התחתונה בחברות כמו פייסבוק וגוגל. אך נראה שהחברות הגדולות משתפות פעולה ללא מחאה פומבית, אולי מתוך הנחה שהדבר יפחית את החשדנות התמידית נגדן, בתקופה שבה הביקורת עליהן גוברת. וכך, בשבועות האחרונים ראינו כמה הכרזות של ענקיות אינטרנט שכבר נערכות לשינויים ויציעו למשתמשים שליטה מוגברת במידע ושקיפות גדולה יותר, בהתאם ל־GDPR. לפי "ניו־יורק טיימס" ו"פייננשל טיימס", גוגל ופייסבוק כבר הקצו עשרות ומאות אנשי צוות כדי להבין וליישם את התקנות.
בגוגל עברו על כל אחד מהשירותים המקוונים שלה, הוסיפו טכנולוגיות חדשות, שינו מערכות איסוף מידע וניסחו מחדש מסמכי תנאים, כדי לעמוד בתקנות; אמזון הודיעה כי תחזק את ההצפנה בשירותי הענן שלה; מיקרוסופט תוסיף כלי חדש בחלונות 10, שיאפשר לצפות בכל המידע שנאסף על המשתמש (כלי שנגיש בעיקר למתכנתים); פייסבוק הודיעה כי תשיק מרכז בקרה חדש וכולל, שיציע לגולשים שליטה מלאה, במקום אחד, בכל נושא הפרטיות ברשת החברתית.
תקנות ה־GDPR חוללו סערה קטנה גם בחברות ההיי־טק והסטארטאפים בישראל: כל מי שפועל באירופה, או פונה ללקוחות פוטנציאליים ביבשת (אפילו אם מדובר באתר או באפליקציה) נדרש לציית לתקנות, ולשנות באופן מקיף את המוצר בהתאם, תוך השקעה ניכרת. בשנים האחרונות הוציאו משרדי עורכי־דין מזכרים והנחיות ללקוחותיהם בענף ההיי־טק, כדי לסייע להם להיערך ולהימנע מקנסות הענק. בשבוע הקרוב תקיים אורקל ישראל כנס שיעסוק בכל היבטי ה־GDPR במישור הטכנולוגי, המשפטי, וכן בהשלכות ובבעיות שניצבות בפני החברות הישראליות.
אפשר להיות רגועים?
אז האם כולנו, גם כאן בישראל, יכולים להיות רגועים יותר? עדיין לא בטוח. ראשית, לא ברור האם גם אזרחים מחוץ לאיחוד ייהנו מה־GDPR, למשל כאן בישראל ואפילו בארה"ב. מצד אחד, אף שה־GDPR תקף רק באירופה, סביר להניח, שההשלכות יהיו גלובליות ויהפכו לתקן חדש שחברות הטכנולוגיה יאמצו בפעילותן בכל העולם. לפי גורם בכיר בענף, ייתכן שהחברות יעדיפו, מטעמי יעילות גרידא, לתת שירות ומדיניות אחידים בכל העולם, וכך כולנו ניהנה מהאפשרויות ומהזכויות החדשות. מצד שני, יש חברות שיעדיפו לצמצם אותן רק לאזרחי האיחוד (למשל, כדי לצמצם הפסדים שייגרמו להן בשל הפחתת איסוף המידע). וכך, ייתכן שכלים חשובים כמו "הזכות להישכח" או לאסוף מידע לא יהיו זמינים לגולשים מחוץ לאיחוד האירופי וגם לא בישראל. "זה נתון להחלטתה של כל חברה וחברה", לפי אותו גורם.
במאי ייכנסו לתוקף גם בישראל תקנות פרטיות חדשות, המיועדות להסדיר את הדרך שבה ארגונים שומרים ומאבטחים את המידע האישי שלנו. אלא שבישראל לא אומצו רוב התקנות האירופיות המתקדמות, וגם לא הקנסות הגבוהים. בכל מקרה, תמיד יש חשש שהחברות יתפלפלו, ימצאו פרשנויות אחרות ודרכים משפטיות לעקוף את התקנות, וכולנו ניכנס לתקופה של אי־ודאות.
לבסוף, יש מומחים שאומרים שאפילו ה־GDPR לא יצליח למנוע ולעצור את המשך איסוף המידע והפגיעה המסיבית בפרטיות שלנו בעתיד הקרוב. וככל שהחיים שלנו הופכים לדיגיטליים, כך קשה לשמור סודות. "ה־GDPR מגיע להגן על אזרחי אירופה, אך התפיסה שלו מנסה להכפיף את האינטרנט לגבולות פיזיים, וזו תפיסה של אנשים ישנים", אומר מני ברזילי, איש סייבר וחוקר השפעות טכנולוגיות על חברות, המכהן כסמנכ"ל טכנולוגיות של מרכז מחקר הסייבר באוניברסיטת ת"א, וישתתף בכנס של אורקל.
"המודל העסקי של האינטרנט הוא שירות תמורת פרטיות", לדברי ברזילי. "פייסבוק, גוגל ואחרות הן מכונות ענק שממירות פרטיות לכסף, באמצעות חברות פרסום.
בשנים הקרובות זה רק יתרחב. יותר מכשירים שנמצאים עלינו ומסביבנו יאספו עלינו מידע רציף – כמה אנחנו אוכלים, כמה אנחנו ישנים, כמה זמן מבלים במקלחת, ועוד. נהיה מוקפים יותר ויותר במצלמות וחיישנים שקולטים תנועות, שיחות, תמונות ווידיאו. זה יאפשר לפתח אלגוריתמים שיודעים לצפות מה אנשים יעשו מראש, וגם אלגוריתמים שיבצעו מניפולציות על ההחלטות שלנו כדי לגרום לנו לקנות יותר".
אך ההשלכות על הפרטיות יכולות לחרוג הרבה מעבר לפרסום: "תיאורטית, כבר היום אפשר לכתוב קוד פשוט שמנטר את מצב ה'נראה לאחרונה' בווטסאפ, של 10,000 חרדים ודתיים, ולזהות מי מהם מתחבר גם בשבת. כך אפשר לדעת ולחזות מי מהם קרוב לחזור בשאלה", אומר ברזילי. "בני־האדם עדיין לא מוכנים לעולם שבו הפרטיות שלהם נפגעת בצורה דרסטית כל כך".
הכתבה פורסמה בידיעות אחרונות