במרץ 2018 התפוצצה פרשת קיימברידג' אנליטיקה כשנחשף שהחברה רכשה מידע פרטי מפייסבוק ועשתה בו שימוש נלוז כדי להשפיע על מצביעים בבחירות 2016 בארה"ב. הפרשה הזו היא רק אחת מהרבה מאוד מקרים התגלה שהפרטיות שלנו לא מעניינת את החברות הגדולות. גם לא את הממשלה אם לשפוט לפי האירוע שנחשף בדצמבר האחרון, כשהתגלה שה-FBI האמריקאי דורש בחשאיות מידע על צרכנים מחברות האשראי, ללא אישור בית משפט, ללא דיווח וללא יידוע הלקוחות. ולא רק אשראי. חברות ביג-טק כמו פייסבוק, גוגל ומיקרוסופט, דיווחו על דרישת מידע פרטי מרשויות הביטחון, אבל מתברר שדרישות כאלה הגיעו גם לבנקים, אוניברסיטאות, חברות סלולר וספקי אינטרנט.
עוד כמה דוגמאות? בשנה שעברה התגלה שמשרד הבריאות הבריטי מסר לחברת הבינה המלאכותית DeepMind, מקבוצת גוגל, נתונים של 1.6 מיליון מטופלים, ללא הסכמתם. מיקרוסופט הסירה בחשאי קובץ של 10 מיליון תמונות (MS Celeb) אחרי שהתגלה שחלק מהמצולמים לא ידעו שנכללו בקובץ. כלי תקשורת חשפו שגוגל, אמזון ואפל אוגרות הקלטות דיבור של לקוחות פרטיים, שבוצעו באמצעות סירי, אלכסה וגוגל אסיסטנט, ומפענחות אותן באמצעות חברות חיצוניות. ומה עם זיהוי הפנים שהולך ומתחוור כסכנה גדולה? והיכולת מרחיקת הלכת לאפיין ולטרגט כל אדם לצרכי מכירות או לצרכים גרועים יותר?
הסערות הציבוריות מביאות את המחוקקים להגיב. האירופאים היו הראשונים, ובמאי 2018 נכנסו לתוקף תקנות ה-GDPR שנותנות לציבור שליטה על הנתונים שלו ומטילות סנקציות כבדות על חברות שמתרשלות בניהול נתונים פרטיים של לקוחותיהם. בארה"ב מתנהלים מספר הליכי חקיקה מקומיים ופדרליים ויש חוק שכבר מטיל חיתתו על חברות: חוק פרטיות הצרכן של קליפורניה (CCPA). במדינות כמו קנדה, אוסטרליה ואפילו הודו משנים הימים אלה את חקיקת הפרטיות, כך שתתאים לחקיקה האירופאית.
ואילו בישראל, הזמן כמו עצר מלכת. אצלנו יש חוק הגנת פרטיות שנחקק ב-1981, מיושן וחסר שיניים. במשרד המשפטים פועלת הרשות להגנת הפרטיות ללא מנהל קבוע כבר כמה שנים, ודו"ח מבקר המדינה האחרון מתח ביקורת קשה על התנהלותה. את הציבור זה לא ממש מעניין. חוק נתונים ביומטריים מ-2009, שמחייב למסור למדינה תצלומי פנים שלנו, עבר בכנסת בהיעדר לובי חזק של חברי כנסת מגיני פרטיות. אין לובי בכנסת, כי אין ציבור מאחורי הגנת הפרטיות. אין אצלנו עמותה להגנת הפרטיות, אין הפגנות על פרטיות. אז למה שהמחוקקים יתאמצו לשנות?
"בורות דיגיטלית"
מאחורי הנסיונות העיקשים לקדם את הגנת הפרטיות בישראל עומדים יחידים: עורכי דין אידאליסטים, פעילים בחברה האזרחית, קצת פקידי ממשלה. ד"ר תהילה שוורץ אלטשולר, עמיתה בכירה במכון הישראלי לדמוקרטיה, היא אחת מהם והיא אומרת שהמודעות בישראל לפרטיות, נמוכה. “אנחנו רואים בקרב מקבלי החלטות בכירים בחברות חוסר הבנה, שלא לומר בורות דיגיטלית, ביחס למה מותר ומה אסור להם לעשות עם הנתונים", היא אומרת, "אנחנו רואים את זה במפלגות, כמו מאגר הנתונים של הליכוד שהיה פתוח לכל אדם לפני הבחירות. חברות לא משקיעות מספיק בחינוך העובדים איך לטפל בנתונים”.
שוורץ אלטשולר זועמת במיוחד על הזנחת הרשות להגנת הפרטיות: "זה מצב שערורייתי, שאין לה כלי אכיפה ואין לה מעמד ארגוני מספיק חזק, שמאפשר לה להיות שחקן בעל משקל בסכסוכי פרטיות”. על שולחן הכנסת מונח כבר זמן רב תיקון מספר 13, שייתן סמכויות לרשות. המכון הישראלי לדמוקרטיה הגיש גם הוא מסמך עם הצעות לתיקוני חקיקה. אומרת שוורץ אלטושלר: “זו השערוריה הכי גדולה, שלא קידמו את חוק הגנת הפרטיות. התיקון שוכב כמו פגר על שולחן הכנסת כבר עשור ואף לא מטפל בו. משרד המשפטים לא חשב שזה דבר שצריך להשקיע בו משאבים בכלל”.
יכול להיות שהבעיה היא שאין מאחוריכם ציבור שנאבק על הזכות לפרטיות?
"להגיד שלציבור לא אכפת מפרטיות זה פשוט לא נכון. יש סקרים שנעשו בארה"ב שמראים שהדור הצעיר, שנולד לתוך המציאות הדיגיטלית, עסוק מאוד בפרטיות. מחקרים התנהגותיים מראים שיש 'פרדוקס פרטיות': כשאתה שואל אדם אם אכפת לו מפרטיות הוא אומר שכן, מאוד, אבל אז אתה שואל אם יהיה מוכן למסור את השם שלו, מספר תעודה הזהות שלו ויום ההולדת שלו כדי לקבל הנחה במועדון לקוחות, והוא אומר כן".
אין אצלנו הפגנות על פרטיות, נגד מעקב סלולרי או באמצעות המצלמות. אנשים אומרים שמי שאין לו מה להסתיר לא צריך מה לפחד. אולי זה היעדר מודעות לחשיבות הפרטיות?
"אנחנו מסבירים שאין אדם שאין לו מה להסתיר. זה נכון שבהרבה נושאים אנשים מרגישים חסרי אונים, למשל מול פייסבוק, מול המדינה או מול חברות הסלולר. אבל אני חושבת שגם בישראל כמו במדינות אחרות יש שינוי בהבנה. למשל פרשת הצבת המצלמות בקלפיות שהפכה לנושא מרכזי מלמדת שהסיפור של הפרטיות לא מת ואכפת לאנשים אם מצלמים אותם. אומרים ש-2020 תהיה השנה של הפרטיות, גם בישראל וגם במדינות אחרות”.
עו"ד דלית בן ישראל, ראש תחום IT ופרטיות במשרד נשיץ ברנדס אמיר, מתמודדת עם רגולציית הגנת הפרטיות הדלה בישראל עם רבים מלקוחותיה. היא מספרת על לקוחות, חברות זרות, שמוטרדות מהאכיפה על פגיעה בפרטיות. “אז אתה אומר להם: בעיקרון זו הפרת חוק, אפילו פלילי, אבל זה לא שמישהו אי פעם עמד לדין על הפרה של חוק הגנת הפרטיות. יש קנסות ‘דרדלה’ שבמקרה המחמיר מגיעים ל-30 אלף שקל. והסיכון האמיתי הוא לחטוף תביעה ייצוגית, שזה בעיקר פרסום רע, אבל נגמר הרבה פעמים בלי רעש וצלצולים".
גם עו"ד בן ישראל אומרת שתיקון חוק הגנת הפרטיות הוא הכרחי, אבל היא ספקנית: “המכון הישראלי לדמוקרטיה עשו עבודה טובה אבל לפי הגורמים הפוליטיים ככל הנראה תיקון מאסיבי של החוק לא יקרה. נכון שעכשיו אין ממשלה ואין כנסת - אבל גם בממשלה הקודמת זה לא היה באג'נדה של שרת המשפטים ומשרד המשפטים או הכנסת"
אם היו מפעילים פה תקנות דומות לאירופאיות, זה היה משנה את המצב?
"בהקשר לחובות המוטלות על חברות זה היה יוצר הבדל משמעותי. בתפיסה האירופאית, הפרטיות היא זכות יסוד זכות של האדם. המידע הוא שלך, לא של המעסיק, לא של ספק הסלולר. בישראל חוק הגנת הפרטיות מטיל חובת רישום על הבעלים של מאגר מידע, והוא למעשה הבעלים של המידע. זו תפיסה ארכאית”.
יכול להיות שהתפיסה הישראלית לגבי פרטיות שונה מהאירופאית?
"אני מסכימה. אני חושבת שהתפיסה פה היא של ‘סמוך’ ואז גשרים נופלים ורצפות מתמוטטות. אין פה חינוך מאפס לפרטיות. ועם עולם הביג-דאטה והאפליקציות ואתרי האינטרנט יש זרימה של מידע החוצה והחקיקה מאוד מפגרת. רשות הגנת הפרטיות מנסה לעשות כמיטב יכולתה, בהוצאת הבהרות, אבל זה טיפה בים”.
ובאמת, קשה לבוא בטענות לרשות להגנת הפרטיות. ממלאת מקום ראש הרשות, ד"ר שלומית ווגמן, הגבירה את פעילות הרשות בעת האחרונה, למרות הוואקום בתחום החקיקתי. היא מפרסמת מסמכי הנחיה, דו"חות פיקוח מגזריים שונים, מקיימת שולחנות עגולים והיא גם השיקה תוכנית למתן כלים לתלמידים בנושא הגנת הפרטיות במרחב הדיגיטלי.
הבעיה היא בעיקר בתחום היכולת לאכוף. אירוע דליפת נתוני אפלקציית פייבוקס בשבוע שעבר דווח על פי החוק לרשות להגנת הפרטיות והיא הודיעה שהיא בוחנת את מידת הפגיעה בלקוחות, אבל קשה לצפות כי תטיל קנסות, וגם אם כן הם יהיו נמוכים. גם בעקבות פרשת קיימברידג’ אנליטיקה היא הודיעה שהיא בוחנת את הפגיעה באזרחים ישראלים, אבל בניגוד לקנס האמריקאי בגובה 5 מיליארד דולר, בישראל יצאה פייסבוק ללא כל סנקציה.
"להחזיר את הבעלות על הנתונים למשתמש"
אחד הכלים המרכזיים שלנו בהתמודדות עם הפרת הפרטיות שלנו היא עצם הידיעה אילו נתונים עלינו מחזיק כל ארגון, ואז היכולת לדרוש מהארגון לתקן, להגביל את השימוש או ממש למחוק אותנו מהמאגרים שלו. בישראל זה לא ממש עובד. על פי החוק אפשר לבקש לדעת מה הנתונים אבל הזכות למחוק מידע מוגבלת מאוד. הרגולציה האירופאית היא הדוגמה ההפוכה: התפיסה היא שהמידע שייך לאדם הפרטי, והוא רשאי לתקן אותו, להגביל את השימוש בו וגם להימחק לחלוטין. “הזכות להישכח" היא עיקרון יסודי באירופה.
הרגולציה החדשה יוצרת סביבה אקוסיסטם של חברות שמעניקות שירותים בתחום. רגולציית ה-GDPR האירופית היא הקרקע עליה קמה חברת הסטארט-אפ הישראלית ביגאיידי (BigID), שפיתחה כלים טכנולוגיים שמאפשרים ללקוחותיה, חברות עסקיות גדולות, לוודא שמאגרי המידע שלהן תואמים לדרישות הרגולציה. העלות של שירותי החברה היא זניחה לעומת גובה הקנסות שעלול להטיל האיחוד האירופי על הפרת התקנות. מדובר בתחום עולה כפורח ועד כה גייסה החברה 96 מיליון דולר ממשקיעים נלהבים.
נמרוד וקס, מייסד משותף ומנהל המוצר בחברה, אומר שהמוטיבציה של חברות לרכוש את שירותי ביגאיידי היא בראש ובראשונה להגן על המוניטין שלהן וכמו כן להגן על מידע הלקוחות ולמנוע נטישה, והחשש מקנסות הוא רק השיקול השלישי בחשיבותו. לדבריו, המודעות בקרב חברות לסוגיית הפרטיות גבוהה מאוד והראשונות להצטרף כלקוחות החברה היו חברות כמו נייקי ואינטל.
האם גם בישראל אתה מאפיין דרישה גבוהה כזו להגנת פרטיות?
"לא. הסיבה היא שאין פה דרישה כמו באירופה ובארה"ב היא בגלל החקיקה, אבל גם בגלל שתרבות הצריכה בישראל ששונה מארה"ב. המודעות של החברות בישראל נמוכה יותר מאשר בארה"ב ובאירופה בגלל היעדר חקיקה והיעדר לחץ של הצרכנים, שההשפעה שלהם נמוכה יותר בארץ. השוק כאן פחות תחרותי”.
הצד השני של אותן תקנות הוא מתן כלים לציבור הרחב לשלוט בנתונים שלו. הסטארט-אפ הישראלי מיין (Mine) עושה בדיוק את זה - "מחזיר את הבעלות על הנתונים למשתמש". המשתמש נרשם באתר החברה, והיא סורקת את המיילים שמגיעים אליו ומוצאת את כל החברות בהן הוא רשום, עם חלקן הגדול, כך מתברר, כבר מזמן אין לנו קשר. לדברי המנכ"ל והמייסד-משותף גל רינגל, מספר החברות הממוצע למשתמש מגיע ל-350, והוא גדל בקצב של שמונה חברות חדשות בכל חודש.
בנקודה הזו מציעה החברה לפנות לאתרים הבלתי נחוצים ולדרוש מהם להימחק. בהמשך היא תציע שירות בתשלום של טיפול בכל הבירוקרטיה עבורנו. בהמשך של ההמשך, היא אולי גם תציע לחברות טיפול בבקשות לקוחות תוך ניסיון לענות על חששותיהם אך גם לשמר אותם כלקוחות. "עכשיו זה הזמן שעולם מתחיל להתעורר ואנשים מחפשים מה קורה עם המידע שלהם וגם רוצים שליטה”, אומר רינגל. לדבריו, שבוע אחרי ההשקה מספר הנרשמים לשירות מכל העולם הגיע ל-10,000, ומספר הבקשות להימחק ששוגרו באמצעות האתר הגיע ליותר מ-100 אלף.
ישראלים גם נרשמו?
"יש לנו אלפי משתמשים ישראלים, הביקוש כאן ממש גבוה. אני מקווה שזה יניע את הרשות להגנת הפרטיות לעדכן את החוקים ולהיות דומים ל-GDPR. כדאי לציין שהרבה חברות ישראליות קיבלו את בקשות המחיקה מישראלים ומחקו את המידע למרות שלא היו חייבות לפי החוק, כי הן רוצות להראות שאכפת להן”.
אז מה יהיה? פעילי הפרטיות הם אנשים אופטימיים. הם מאמינים שתקום ממשלה שתראה לנכון לתקן את חוק הגנת הפרטיות. תהילה שוורץ אלטשולר אומרת שבתוך כמה שנים יפקע האישור האירופאי שמאפשר לחברות שם לעשות עסקים עם ישראל, אלא אם תותאם הגנת הפרטיות בישראל לתקינה האירופאית. הלחץ של חברות ישראליות לקראת המועד הזה עשוי להיות קטליזטור להביא לתיקון החוק. זה קצת עצוב שעניינים כל כך חשובים, זכות בסיסית כמו הזכות לפרטיות, יתקדמו בישראל רק בזכות שיקולי רווח והפסד עסקיים. מה אתם אומרים, נצא למחאת הפרטיות 2020?