"יותר ויותר מידע אישי נאסף עלינו מפוסטים של חברים וממאגרים ממשלתיים"

שלושה מומחים בינלאומיים בתחום הגנת הפרטיות וסייבר - בוריס סגאליס, סדריק בורטון ודיוויד הופמן - שוחחו עם "גלובס" על האתגרים המשפטיים והאחרים שמעסיקים את עולם הסייבר והגנת הפרטיות - מהסיכונים לאפליה בתעסוקה, בטיפול רפואי, באשראי ובשל דעות פוליטיות עקב זליגת נתונים אישיים, ועד "פרופיילינג" כדי להשפיע על בחירות

בוריס סגאליס, סדריק בורטון ודיוויד הופמן / צילומים: יעל צור ועמית פייס
בוריס סגאליס, סדריק בורטון ודיוויד הופמן / צילומים: יעל צור ועמית פייס

הימים הם ימים דיגיטליים. הכול דיגיטלי ומקוון - החל ביומנים, דרך ההתכתבויות והשיחות המקצועיות והאישיות שלנו, התמונות והמידע הרפואי והאינטימי שלנו, וכלה בפרטיות שלנו. גם היא מתרוצצת לה אבודה, מחפשת את מקומה, אי שם בחלל המקוון. בשעה שרבים מוותרים על פרטיותם בהתנדבות, מדווחים איפה הם נמצאים כל רגע ברשתות חברתיות, מתייגים את עצמם ואת אחרים, לא כולם מודעים לכך שגם חלקת האלוהים הקטנה שביקשו להשאיר פרטית לעצמם, נמצאת בסכנה.

ספקי שירות שמחזיקים במידע רגיש ופרטי שלנו מוכנים יותר ויותר לוותר על פרטיותנו לטובת חשיפה שלהם וארגונים, חברות ועסקים המנהלים מידע אישי, ובו מידע על מצבנו הפיננסי, הרפואי, המשפחתי ועוד, לא תמיד שומרים על פרטיותו של הציבור. וזה עוד לפני שדיברנו על מתקפות סייבר וכלים מתוחכמים שכל ייעודם לחדור מבעד לחומות הגנת הפרטיות ברשת. וזה בדיוק האתגר המשמעותי שעמו מתמודדות כיום מדינות רבות בעולם - כיצד להגן על פרטיותו של ציבור, שבחלקו לא מבין את המשמעויות של הוויתור שלו עצמו על הפרטיות.

על רקע המציאות הזאת הגיעו לישראל בחודש שעבר שלושה עורכי דין זרים, שמשפט הגנת הפרטיות ועולם הסייבר הם חלק מעבודתם היומיומית: בוריס סגאליס, שותף בפירמת עורכי הדין הבינלאומית הניו יורקית "Cooley" המונה כ-950 עורכי דין; סדריק בורטון, שותף ויו"ר משותף בפירמת עורכי הדין הבינלאומית מפאלו אלטו "Wilson Sonsini Goodrich & Rosati LLP", המונה כ-800 עורכי דין; ודיוויד הופמן, סגן היועץ המשפטי והממונה הגלובלי על הגנת הפרטיות בחברת אינטל.

בורטון, סגאליס והופמן התארחו באירועי שבוע הסייבר של המכון הישראלי למדיניות טכנולוגיה בראשות לימור שמרלינג-מגזניק, וארגון ה-"Future of Privacy Forum" האמריקאי בראשות ג׳ולס פולונצקי; "גלובס" ניצלנו את ההזדמנות כדי לשמוע מהם על האתגרים המשפטיים והאחרים בתחום הגנת הפרטיות שעמם מתמודדות מדינות רבות בעולם, הסכנות החדשות לפרטיות והמודעות של האזרחים לסכנות אלו.

הסיכון: אפליה

"האזרח הממוצע מודע כיום יותר לסיכוני פרטיות, אך זאת מן הסתם באזורים של העולם שבהם בני אדם מתייחסים לפרטיות כאל מושג, ושבהם החברה מכירה בנזקים העלולים להיגרם מהיעדר פרטיות", אומר סגאליס. "היעדר פרטיות עלול לגרום להחמרת נזקים אלה, גם אם אנשים אינם מכירים בכך. הסיכון הדוחק ביותר הטמון בהיעדר פרטיות הוא אפליה. אני לא מתכוון לאפליה בהעדפות שיווקיות לא מהותיות, אלא לאפליה בגישה לטיפול רפואי, בתעסוקה, בקידום, בביטוח בריאות, באשראי, בהשכלה ובהזדמנויות עסקיות, כמו גם אפליה בגין דעות פוליטיות, נטייה מינית ומאפיינים אחרים שאינם ניתנים לשינוי.

"בהנחה שרשת האינטרנט אמורה לתפקד ככוח משווה באמצעות דמוקרטיזציה של הגישה למידע, הרבה שחקנים לגיטימיים עלולים לתרום לאפליה באמצעות חיפוש אחר יעילות כלכלית. זו הסיבה שהקונספט של אתיקה בנתונים שרבים מקדמים כיום הוא כה חשוב - אם כי יכול להיות שהחתול כבר ברח מהשק מזמן".

אם אנשים מודעים לסיכון, למה הם לא פועלים כדי למנוע את הפגיעה בפרטיות? 

הופמן: "אנשים מבינים כי הפרטיות בסיכון ופעולות כגון ה-"Ballot Initiative" של מדינת קליפורניה (תהליך המאפשר לאזרחים להציע חוקים ותיקונים לחוקה ללא תמיכה של המושל או של נבחרים) ממחישות שאנשים רוצים לעשות מעשה. עם זאת, אנשים ממשיכים להיות מופתעים מהאופי וההיקף של סיכונים אלה. עברנו משלב הסיכונים הפיננסיים הנובעים מפריצות לנתונים, וכיום אנו מוטרדים מאוד מהשימוש ב'פרופיילינג' כדי להשפיע על תוצאות בחירות, להפיץ מידע בריאותי שגוי וליצור תסיסה חברתית".

בורטון: "אנשים לא מודעים לסיכון. יש א-סימטריה של מידע בין חברות לאנשים פרטיים והיא יוצרת אתגר משמעותי. אופן עיבוד הנתונים נעשה יותר ויותר מורכב להבנה עבור אנשים פרטיים ומקשה עליהם להפעיל בקרה כלשהי על עיבוד הנתונים שלהם. ריבוי השחקנים המעורבים בעיבוד הנתונים כיום מוסיף עוד רובד של מורכבות ומקשה להבין מי עושה מה עם הנתונים שלנו".

אין ארוחות חינם

בעת האחרונה אנו נחשפים פעמים רבות למקרים שבהם חברה כזו או אחרת פוגעת בפרטיות הציבור. כך, בפברואר השנה פורסם תחקיר של אתר "טק-קראנץ'" שמצא, כי אף על פי שטוויטר מאפשרת למשתמשיה למחוק הודעות אישיות (Direct messages) מתוך שיחות שקיימו, היא עצמה ממשיכה לאחסן את אותן ההודעות. הממצאים העלו חששות בנוגע לפרטיות, ואף עומדים בניגוד למדיניות הפרטיות של טוויטר. הפרקטיקה אף עלולה להיות בעייתית מבחינת חוקי הגנת הדאטה האירופאיים החדשים, ה-GDPR (תקנת הפרטיות האירופית), שנועדו להגן על הצרכנים האירופאים. במסגרת כללים אלו מחויבות חברות להסביר למשתמשים על הדרכים שבהן הדאטה שלהם נאסף ועל השימוש שנעשה בו, ולבקש את הסכמתם לאסוף אותו.

גם סביב פייסבוק התעוררו לא מעט שערוריות בנוגע לפגיעה בפרטיות, ובהם פרסומים על כך שאחסנה מאות מיליוני סיסמאות לחשבונות של משתמשיה מבלי להצפין את המידע הרגיש, כך שעשרות אלפי עובדי החברה יכלו לראות את הפרטים. שמה של החברה עלה גם בהקשר לשערוריית "קיימברידג' אנליטיקה", שבמסגרתה חברת הייעוץ הפוליטית השיגה את פרטיהם של 87 מיליון משתמשי פייסבוק, תוך הפרת מדיניות הרשת החברתית.

זמן קצר קודם לכן, בינואר השנה הוטל קנס של 50 מיליון אירו על גוגל על-ידי הנציבות הצרפתית הלאומית להגנה על דאטה בעקבות הפרה חוקי ה-GDPR. זאת, על רקע כמות המידע שגוגל סיפקה לצרכנים כדי ליידע אותם לגבי איסוף הדאטה שלהם, והקלות שבה ניתן היה למצוא את אותו מידע.

לפי ההערכות, הפרסומים הללו הם רק טיפה בים הפגיעה בפרטיות של הציבור. איך המשתמשים יכולים להגן על עצמם במקרים כאלה, ואולי הם בכלל צריכים להאשים את עצמם על כך שהם מוותרים על פרטיותם בקלות כשהם מאשרים, למשל, תקנוני חברות בלי לקרוא?
סגאליס: "שקיפות והגינות של הפרקטיקות חיוניות לכל עסק המטפל בנתונים. אסור שצרכנים יופתעו מהאופן שבו שירות עושה שימוש בנתונים אלה. הסוגיה החמקמקה והמתפתחת כיום היא ציפיות הצרכנים מהשימוש שהעסק עושה בנתוניהם. אני מניח שכל אפליקציות ההודעות שומרות את ההודעות של לקוחותיהן. יש אפליקציות שמפרסמות בבירור שהן אינן שומרות אף הודעה. הצהרות כאלו מעידות שיש שוק לשירות הזה, וכי פרסום מהסוג הזה חושף את הצרכנים.

"ישנו גם הנטל המוטל על הצרכנים לדעת במה הם משתמשים. כאשר אתה משתמש באפליקציה חינמית, אתה חייב לדעת על מה אתה מוותר. אין ארוחות חינם והמחויבות של האפליקציה היא להגינות ולשקיפות של הפרקטיקות שלה".

קנסות נמוכים

בורטון: "שני יעדים מרכזיים של GDPR הם להסיט את האחריות לפעולות עיבוד הנתונים לחברות המבצעות את העיבוד ולהעניק למשתמשים יותר שליטה. לפי GDPR, אדם אינו מוותר על פרטיותו או על הגנת נתונים בשום שלב. לכל אדם יש מספר זכויות לגבי נתוניו לכל אורך החיים של הנתונים. דוגמאות לזכויות אלו הן הזכות לקבלת העתק, הזכות לתקן את הנתונים והזכות לבקש את מחיקתם. זכויות אלו אינן מוחלטות, אך הן מוצקות למדי. בנוסף, למשתמשים יש תמיד זכות למשוך את הסכמתם לעיבוד נתוניהם.

"בשנה האחרונה התרחשו יותר מ-90 אלף פריצות לנתונים אישיים (פריצות אבטחה) שדווחו לרגולטורים האחראים להגנת נתונים באירופה, יותר מ-95 אלף תלונות הוגשו לרגולטורים, נערכו כ-300 חקירות חוצות גבולות והוטלו קנסות בהיקף של כ-57 מיליון אירו על-ידי רשויות הגנת נתונים.

"התלונות שזכו לתשומת הלב הרבה ביותר מאמצעי התקשורת הוגשו על ידי פעילי הגנת נתונים והתמקדו בשאלה אם ענקיות הטכנולוגיה קיבלו הסכמה מתאימה מהמשתמשים; כיצד חברות סטרימינג ממלאות את בקשות המשתמשים לממש את זכויות הגישה שלהם; פרקטיקות של סוחרי נתונים; ומכרזים בזמן אמת על פרסום מקוון. הקנס הכי גבוה שהוטל עד היום היה בסך 50 מיליון אירו על גוגל, ואולם, ככלל, סכומי הקנסות נמוכים יחסית ומספר התביעות שואף לאפס. מצב עניינים זה צפוי להשתנות בקרוב עם כמה החלטות הצפויות להתקבל הקיץ".

לדברי סאגליס, "גם בארה"ב ישנן הרבה הפרות, החל משימוש בנתונים ביומטריים (באילינוי) או משלוח הודעות טקסט מבלי לקבל הסכמה מראש, וכלה באיסוף נתונים של ילדים ופרסום מצגים כוזבים על פרקטיקות פרטיות מכל הסוגים. בחדשות שומעים הרבה גם על פריצות אבטחה. המסגרות הרגולטוריות וחוקי האבטחה והמידע בארה"ב אינם מפותחים במיוחד, אך החוקים דורשים מחברות לוודא את קיומם של אמצעי אבטחה הולמים שישמרו על נתונים אישיים. חוקים כאלה קיימים הן ברמה הפדרלית והן ברמת המדינה".

עם זאת, לדברי סאגליס, "בפועל, הן ההגנה המסחרית והן ההגנה הממשלתית בארה"ב חזקות יותר מאשר באירופה, וכך היו תמיד. תקנת הפרטיות האירופית (GDPR) לא שינתה את מצב העניינים הזה".

עוד אכיפה

איך יראה עולם הגנת הפרטיות בעוד חמש שנים? אילו הוראות חוקיות חדשות ייכנסו? הסנקציות יוחרפו?
סגאליס: "ארה"ב תחוקק עוד חוקי פרטיות. ישנו זרם יציב מאוד של חוקי פרטיות פדרליים ומדינתיים, כמו גם תיקונים לחוקים מההיסטוריה המודרנית. יהיו לנו עוד חוקים בארה"ב וגם אכיפה נוספת, שבחלקה נובעת גם מההתמקדות של שוקי ההון בציות לחוקי הגנת הפרטיות, מה שמאלץ את החברות להקפיד הקפדה יתרה על כללי הפרטיות אם הן רוצות להשיג מימון או להירכש על-ידי חברה אחרת. ויש את המרכיב החשוב של ביוש פומבי באמצעות חשיפת פרקטיקות במדיה הארצית. סביר להניח שגם העונשים יוחמרו".

הופמן: "תוך חמש שנים יתחוור שבני אדם פרטיים אינם יכולים לשאת בנטל הזה ולשמור על הפרטיות של עצמם. למרות שבאינטרנט יש יותר מידע המזהה בני אדם, רק שיעור קטן ממידע זה נאסף ישירות מאותם אנשים. יותר ויותר אנו רואים שהמידע מגיע מפוסטים של אנשים אחרים באתרי מדיה חברתית, מהיקשים המופקים מקשרים חברתיים ומנתונים ממשלתיים הפתוחים לציבור. זו הסיבה לחשיבות של תקנות פרטיות המתמקדות בהגבלת השימוש המזיק בנתונים ודורשות מארגונים לאמץ תהליכים ומבנים שיבטיחו טיפול אחראי בנתונים אישיים".

בורטון: "הנתונים חיוניים לכלכלה הדיגיטלית, ומצב עניינים זה רק יגבר ככל שטכנולוגיות חדשות, כגון בינה מלאכותית, מכוניות אוטונומיות, האינטרנט של הדברים, בלוקצ'יין, ביוטק ושירותי בריאות דיגיטליים ימשיכו ויתפתחו. כתוצאה מכך, נהיה קרוב לוודאי עדים להתרבות התקנות החלות על הפרטיות והגנת הנתונים בכל העולם.

"המודל של GDPR קונה לו אחיזה בכל העולם, לטוב ולרע, ואני משער שמגמה זאת תמשיך עם חוקים דומים במדינות אחרות. ברזיל, למשל, אימצה חקיקה בהשראת ה-GDPR ומספר מדינות אחרות, כגון יפן או ארה"ב עם ה-CCPA בקליפורניה (בהבדלים משמעותיים), בוחנות - או בחנו - את הקונספט של GDPR. באיחוד האירופי איננו צופים לראות יותר סנקציות וקנסות מוגדלים".

זכות בסיסית

לדברי בורטון, אחת הסוגיות המעניינות היא אם ישראל תמשיך להחזיק בממצאי "הנאותות" שלה. "הנציבות האירופית הגדירה את ישראל כמספקת רמת הגנה נאותה, לפי דרישות הדירקטיבה. ה-GDPR מתייחסת להחלטות שהתקבלו במשטר הקודם של הגנת נתונים כתקפות למעט אם בוטלו או תוקנו. יהיה מעניין לראות אם ישראל תתאים את החקיקה שלה ל-GDPR או אם הנציבות האירופית תמשיך לדרג את רמת הגנת הפרטיות של ישראל כמספקת", הוא אומר.

ומצד ענקיות הטכנולוגיה? כמה הן משקיעות כיום, מבחינה כספית, בנושא הגנת הפרטיות?
הופמן: "אמון הוא תנאי מוקדם לכך שבני אדם ירגישו בנוח בעת שהם משתמשים בטכנולוגיה כחלק מחיי היומיום. חברות טכנולוגיה משקיעות משאבים גדלים והולכים באבטחה ובפרטיות בכדי שבני אדם ירחשו להן את האמון הזה".

ובכל זאת, נראה שהאדם הפשוט, המשתמש הביתי, לא יכול להיות בטוח כיום שהמידע הפרטי שלו לא ינוצל ע״י גורמים פוליטיים או מסחריים?
דיוויד: "לא. זהו תחום שבו יש צורך בהתמקדות רגולטורית הרבה יותר חזקה, במיוחד בתעשיית הסחר בנתונים. הרגולטורים צריכים להבין טוב יותר כיצד סוחרי הנתונים יוצרים פרופילים וכיצד שחקנים זדוניים משתמשים בהם להשגת יתרון פוליטי ופיננסי". 

"השפעה על הבחירות בישראל? הרקורד של רוסיה בהחלט לא חיובי"

ה"פרופיילינג" שאותו מציינים שלושת עורכי הדין הבכירים, בוריס סגאליס, סדריק בורטון ודיוויד הופמן, דובר לא מעט בעולם בהקשרים של בחירות, ושל ניסיון להשפיע על בוחרים באמצעות יצירת פרופילים שלהם. זאת, בין היתר על רקע שערוריית "קיימברידג' אנליטיקה", שבמסגרתה חברת הייעוץ הפוליטית השיגה את פרטיהם של 87 מיליון משתמשי פייסבוק, תוך הפרת מדיניות הרשת החברתית.

על הרקע הזה קשה שלא לתהות אם יש סכנה של ניצול או שימוש לא חוקי במידע אישי על מנת להתערב בבחירות הקרבות בישראל. לדברי סגאליס, "לא ברור אם התערבות כזאת הייתה אפקטיבית באותה מידה גם בישראל, כמו בעולם. אין הבדל בין הבחירות בארה"ב ובישראל מבחינת היכולת לתמרן כל קבוצת אוכלוסין, אך איני בטוח איזו תשואה ניתן היה להשיג על ההשקעה בפעולה כזאת.

"לארה"ב יש מערכת המבוססת על העיקרון של 'המנצח זוכה בכל הקופה' ולכל אחד מהצדדים יש עמדה ברורה למדי. אפילו במצב כזה לא ברור אם רוסיה תצליח. אם בכלל, היא נמצאת במצב גרוע יותר מבחינה כלכלית ויותר מבודדת מאשר ארה"ב. בארה"ב אנו עדים להתחזקות משמעותית של האלקטורט ול'גל כחול' שסוחף את הרפובליקנים אל מחוץ לקונגרס.

"לאור המורכבות של הקמת קואליציה בישראל, איני יודע מי מסוגל להבין כיצד להשפיע על הבחירות באופן ניתן לחיזוי. הרקורד של רוסיה בהחלט לא חיובי בהיבט זה".

הופמן דווקא לא כל כך בטוח שישראל יכולה להיות רגועה בהקשר הזה. "אינני מומחה לפוליטיקה הישראלית, אבל כל מדינה צריכה לבחון מה קרה עם "קיימברידג' אנליטיקה" בארה"ב ולגבש מנגנון פיקוח רגולטורי", הוא אומר.

סדריק מסכים. "אכן, שימור הדמוקרטיה 'הישנה' בעולם מחובר שיש בו עם כמות בלתי נתפסת של מידע שאינו ניתן לאימות, הוא אתגר ממשי. דוגמאות מהעת האחרונה באירופה ובארה"ב מראות שאיסוף וכריית נתונים בהיקפים גדולים מספקים כלים המאפשרים להשפיע על התנהגותם של בני אדם, לרבות דעות פוליטיות. למרבה הצער, הסיכון הזה שורר כיום בכל מערכות הבחירות, לרבות זו של ישראל".