Intellect or Insanity

בשבועות האחרונים נחשף כי ממשלת ארצות הברית הפעילה, באמצעות סוכנות הביון האמריקאית, מערך פנאופטיקאי שריגל אחרי אזרחי ארצות הברית ללא צווים, וללא כל ביקורת. העניין התפוצץ רק לאחר שהציבור התוודע כי הריגול מבוצע אחר אזרחים אמריקאים; הרי, מבחינת ארצות הברית והציבור בה, ריגול אחרי שאר אזרחי אומות העולם אמור היה להיות לגיטימי. אבל, התכנית של סוכנות הביון אינה חריגה בעולם, אלא ההפך: היא באמת מציגה את המצב המחריד לפיו אזרחי העולם נמצאים תחת מעקב מתמד של חברות מסחריות ושל ממשלות.

בסין, לדוגמא, נמצאים האזרחים תחת מעקב מתמד שלא רק אוסר ומחנך באילו אתרי אינטרנט יש לגלוש, אלא גם מונע מתעבורה מוצפנת לעבור ברשת. ברוסיה היו תכניות גרנדיוזיות דומות לאסור על שימוש בשירותי רשת מוצפנים כמו Skype וGmail כדי למנוע מאזרחים להתחמק מידי השלטון, ובגרמניה הצליחו לצותת לשיחות סקייפ.

הרעיון הוא פשוט: כל מי שרוצה לשמור על עצמו משתמש בטכנולוגיות הצפנה: הצפנה היא דרך מצוינת למנוע מאנשים להאזין לשיחה עצמה כשהיא מתרחשת (בהנחה שהיא מתבצעת נכון) כיוון שכיום אמצעי המחשוב מאפשרים להצפין את השיחות בזול, ולמנוע מאנשים שאינם מורשים להאזין לשיחה. הבעיה מתחילה כאשר השיחה (או התכתובת) עוברת דרך שרת מרכזי (כדוגמת, Google או Facebook); במקרה כזה, אין לאף אחד אפשרות להאזין לשיחה בדרך (כלומר על ידי התחברות לקו הטלפון הביתי שלנו או על ידי ציתות דרך ספקית האינטרנט) אבל, בהנתן צו שמאפשר לקבל את החומר מGoogle או Facebook, המידע שלנו כבר לא פרטי.

כך, לדוגמא, גילו משתמשי שירות האחסון Dropbox כי אם זו תתבקש על ידי משטרה כלשהיא, היא תעביר עותק מהקבצים שלהם. כך גם חברות אחרות, שכולן מצייתות לחוק, מעבירות מידע לרשויות שלטוניות. הפתרון היחיד למניעת העברת המידע הזה היא שמירה של כל המידע בעצמך בלבד (כלומר, לא להסתמך על שירותים כמו Gmail לדואר אלקטרוני), והצפנה של כל התעבורה. הסיבה לכך היא לא כי לכולם יש מה להסתיר (אפילו שלכולם יש מה להסתיר), אלא מסיבה אחרת לגמרי: אם רק המידע הסודי היה מוצפן, אזי היו מתאמצים לנסות לפתוח אותו, בהנחה שהוא סודי; אבל, אם כל המידע מוצפן, לא נוכל להבדיל בין מידע סודי למידע 'רגיל'.

עכשיו, נקודת המוצא שלנו היא כזו: אמצעי ההצפנה כיום מספיק טובים כדי לספק הגנה מאוד טובה מפני רשויות אכיפת חוק, האקרים וחברות מסחריות; אבל, צריך להסוות עוד דבר אחד: את הרגלי הגלישה שלך. כלומר, כאשר אתה גולש כיום באתרי אינטרנט, פועלים עשרות שירותים שונים שעוקבים אחרי הגולש, שומרים מידע על העדפות הגלישה שלך, על העמודים והכתבות שקראת, על תוצאות החיפוש שלך וכדומה. הצפנה של המידע לא תועיל כדי למנוע זאת, ולכן צריך גם להסוות את הגלישה שלך, ולחסום את אותם שירותים.

החלק הראשון יחסית פשוט: ישנם מספר שירותים טובים שמאפשרים לך להסוות את הגלישה שלך. החל משירות Fastun שלא נועד רק לספק אנונימיות אלא גם מאיץ את חווית הגלישה, ועד שירותים כמו Tor שנועדו לספק הגנה על זהות הגולש. המטרה של שירותים אלו היא להגן על זהות הגולש ממעקב שלטוני, אבל לא ממעקב על ידי חברות מסחריות.

כדי להגן ממעקב על ידי חברות מסחריות, יש להשתמש בתוספי דפדפן שחוסמים פרסומות ובתוסף בשם Ghostery אשר מונע מעקב. אבל, קחו בחשבון שהפעלת שירות "גלישה פרטית" בדפדפן אינו בהכרח מונע מעקב.

המצב כיום הוא כזה שבו ללא מעט ממשלות וגורמים מסחריים יש את הרצון והיכולת לעקוב אחרי גישה; לדוגמא, שירותים מסחריים מאפשרים לך לדעת "מפות חום" שכוללות, נניח, מהם האיזורים בעמוד האינטרנט שלך שנקראו על ידי הגולשים. חברות סלולריות מעבירות מידע דמוגרפי לחברות מסחריות אחרות כדי לפלח את הנמצאים באיזור גיאוגרפי מסוים. חברות פרסום משתמשות בשלטי חוצות שיודעים במה אתה צופה ומה אתה רוכש, וכל המידע  הזה שנאגר זמין לממשלות, שמגיעות עם צו שיפוטי כדי לאסוף אותו.

לא בכדי, אחרי כל מעשה אלימות או רצח מגיעים שוטרים ואוספים מצלמות אבטחה מעסקים באיזור. כלומר, גם המעקב שמבוצע על ידי גורמים פרטיים מובל לידי גורמים מסחריים אחרים ולידי גורמים ממשלתיים. האזרח היום, שרוצה להמנע ממעקב, חייב להמנע ממצב בו מידע נשמר עליו, ולהתגונן כנגד הטכנולוגיה.

הבעיה, כמובן, היא שאלו שנמנעים מטכנולוגיה הופכים לדחויים חברתית, הופכים למוזרים והזויים, ובפועל מוצאים מהחברה.

[פורסם במקור ב'זו הדרך', בטאון המפלגה הקומוניסטית הישראלית]

מזלו של חבר הכנסת אמנון כהן הוא שמחוקקים אינם כפופים לחוקי הטעיית הצרכן, לשון הרע או ההגיון הבריא כאשר הם מציעים הצעת חוק. די שיצטטו מספר פיקטיבי כמו "שבעים אחוז מהצעות החוק שמוגשות מבוססות על סטטיסטיקה מומצאת" כדי שהדבר יחקק לנצח בדברי הכנסת.  לכן, לחבר הכנסת כהן היתה החוצפה להגיש לאחרונה, בשנית, את הצעת החוק שלו לסגירת האינטרנט, הידועה יותר בשמה הצעת חוק התקשורת (בזק ושידורים) (תיקון – חובת סינון אתרים פוגעניים), התשע"ג–2013. הצעת החוק, שבבסיסה קובעת כי ספקיות האינטרנט יחסמו כל תוכן שעשוי להיות שנוי במחלוקת, לרבות עירום מכל סוג, עידוד לעבריינות, עידוד לשימוש בסמים, אבל לא רק.

הצעת החוק היא גלגול שלישי של הצעת החוק פ\892 שהוצעה בכנסת ב17, לא המשיכה לכנסת ה18 בעקבות הלחץ הציבורי ועבודה קשה של מיכאל איתן ואלכס מילר. בסופו של דבר, כהן, שהציע כי יופעל מערך צנזורה ממשלתי שיקבע באילו אתרים מותר לאזרח לגלוש ובאילו לא, ויאפשר רק למי שמוכן להזדהות בזיהוי ביומטרי ולהוכיח את בגרותו לגלוש באתרי אינטרנט למבוגרים למד את כללי המשחק והקצין: אם בהצעת החוק המקורית מ2006 היתה אפשרות להודיע כי אין ברצונך לקבל חסימת אתרים, בהצעה הנוכחית של כהן אין אפילו ייחוס לכך.

אבל זה אינו החטא העיקרי של הצעת החוק של כהן, שדברי ההסבר שלו קצת לוקים בחסר. כהן מסביר כי "בדיוני ועדות בנושא עלה כי 60% מהילדים בישראל גולשים באתרים פורנוגרפיים כבר בגילאי 9 עד 15. עוד עולה כי לכ-47% מהילדים בישראל יש אינטרנט בחדרם הפרטי כך שהסכנה ליפול קורבן לפדופילים גדלה משמעותית בשל העדר פיקוח מצד ההורים". המספרים שכהן מציג, לא רק שאינם נכונים, הם מבוססים על סילוף של מחקר מ2006. המחקר של דפנה למיש, רבקה ריב"ק ורותם אלוני (עליו מבוססת הדיסאינפורציה של כהן) מציג תמונה אחרת לגמרי: 60% מבני הנוער נחשפו בטעות לחומר פורנוגרפי; רק 20% מתלמידי התיכון, 14% מתלמידי החטיבה ואחוז אחד מתלמידי היסודי ביקרו באתרים כאלה בכוונה ומרצונם; ומנסיון, שירותי חסימת אתרים לא היו מטפלים בחשיפה הרצונית.

כלומר, הצעת החוק של כהן מבוססת על עיוות וסילוף של מחקר; יתר על כן: מאז המחקר, התקבל ב2011 תיקון לחוק מאת אלכס מילר, שקובע כי ספקיות האינטרנט יחויבו ליידע את לקוחותיהן על התכנים הפוגעניים והסכנות ברשת, ולאפשר ללקוחות לקבל תוכנות סינון בחינם. האם כהן בדק את השינוי בהיקף החשיפה מאז התקבל החוק? לא. כהן רץ לחוקק, כאילו אין כל הגיון ורצון.

הסיבה לכך היא שעל מנת לחוקק חוק אחראי יש לעבוד קשה. לעומת זאת, חוק שתופש כותרות ומספק פרופגנדה קל מאוד להעביר. לכן, צריך לעצור עם מגפת החקיקה; חברי כנסת חייבים להיות אחראים לדברים שהם מוציאים תחת מקלדתם, ולגבות את דברי החקיקה בעובדות.

כהן היה יכול לומר "אני אדם דתי, ואני מאמין שלהציג פטמה זה רע, ולכן אני רוצה שגם לכם יהיה אסור". אבל הוא לא עשה זאת. מדוע? כי אם היה עושה זאת החוק היה מצטייר אוטומטית ככפיה דתית. כך, כהן מנסה להגן על הילדים; מסתבר, אבל, שקל יותר לנסות להגן על הילדים על חשבוננו.

[פורסם במקור בעבודה שחורה]

וַיִּהְיוּ בְנֵי-נֹחַ, הַיֹּצְאִים מִן-הַתֵּבָה–שֵׁם, וְחָם וָיָפֶת; וְחָם, הוּא אֲבִי כְנָעַן. יט שְׁלֹשָׁה אֵלֶּה, בְּנֵי-נֹחַ; וּמֵאֵלֶּה, נָפְצָה כָל-הָאָרֶץ. כ וַיָּחֶל נֹחַ, אִישׁ הָאֲדָמָה; וַיִּטַּע, כָּרֶם. כא וַיֵּשְׁתְּ מִן-הַיַּיִן, וַיִּשְׁכָּר; וַיִּתְגַּל, בְּתוֹךְ אָהֳלֹה. כב וַיַּרְא, חָם אֲבִי כְנַעַן, אֵת, עֶרְוַת אָבִיו; וַיַּגֵּד לִשְׁנֵי-אֶחָיו, בַּחוּץ. כג וַיִּקַּח שֵׁם וָיֶפֶת אֶת-הַשִּׂמְלָה, וַיָּשִׂימוּ עַל-שְׁכֶם שְׁנֵיהֶם, וַיֵּלְכוּ אֲחֹרַנִּית, וַיְכַסּוּ אֵת עֶרְוַת אֲבִיהֶם; וּפְנֵיהֶם, אֲחֹרַנִּית, וְעֶרְוַת אֲבִיהֶם, לֹא רָאוּ. (בראשית ט, יח'-כג', תודה למושון)

לצווי איסור פרסום, כמובן, יש מקום מיוחד בדמוקרטיה: הם החריג לעקרון חופש הביטוי ולזכות הציבור לדעת. אבל, בעידן האינטרנט, צווי איסור פרסום הפכו להיות בעיקר פארסה בה התקשורת הממסדית לא יכולה לדבר על מה שקורה ברשתות החברתיות. אתמול, גילינו, הצווים הראו לנו כי יותר מהכל, הם משרתים מטרות שחיצוניות לצרכי החקירה או לפרטיות החשודים והקרבנות.

נתחיל בלדבר על הרציונאל מאחורי צווי איסור פרסום: יש צווים שמטרתם להגן על פרטיות הנפגעים או החשודים, או לסיבות דומות של שמירה והגנה על פרטיות, והם צווים שמוצאים מכח סעיף 68ב לחוק בתי המשפט. המקרה השני הוא צווי איסור פרסום מכח סעיף 70 לחוק בתי המשפט, שהם מבוססים על תיקון חדש לחוק, שנועד להגן על חשודים. השינוי המרענן הוא שעתה, ההנחה היא שבהליך הפלילי יש פגיעה משמעותית בפרטיות החשוד, ושיש מקרים בהם כדאי שלא לפרסם את כל המידע, כדי לשמור על פרטיות החשודים, לא רק על טיב החקירה.

זכות החשוד להליך הוגן כוללת, בין היתר, את זכותו לפרטיות; כך, לדוגמא, המשטרה מחויבת להבהיר לחשוד על זכותו לבקש איסור פרסום של פרטיו: "הרשות החוקרת תיידע חשוד שהוא עצור ואינו מיוצג בדבר זכותו לבקש מבית המשפט לאסור את פרסום שמו לפי הוראות סעיף זה וכן תאפשר לו להגיש בקשה לאיסור פרסום שמו באמצעותה" (סעיף 70(ה1)(2) לחוק). אולם, דומה שהמשטרה שכחה את התיקון לחוק אמש, והתנהגה כאילו צווי איסור פרסום נועדו לשרת אך ורק את מערכת יחסי הציבור של המשטרה, כפי שכותב יפה עידו באום.

מה שהתרחש אמש היה פשוט; משטרת ישראל ערכה מסיבת עיתונאים מתוזמנת היטב בה רצתה לחשוף את פרטי פרשת הרצח בברנוער. המסיבה היתה כה מתוזמנת, עד כדי כך שבמקביל למסיבה נערך דיון בנושא בקשתו של אחד החשודים להותיר את צו איסור הפרסום. המשטרה, שלא ציפתה שבקשתה לחשיפת המידע לא תתקבל במלואה (או, ליתר דיוק, תתקבל אך בית המשפט יאפשר עיכוב ביצוע כדי לערער עליה ולשמור על פרטיות החשודים), ניהלה במקביל את המסיבה והעבירה לאמצעי התקשורת מידע, שפורסם בצורה מיידית באינטרנט.

מה שהיה מעניין כאן הוא שבעצם המשטרה היתה מי שהפרה את צו איסור הפרסום; המשטרה תכננה הפרת חוק מתוזמנת היטב, מיוחצנת, ועשתה משהו שכל אזרחי ישראל לא ציפו שתעשה. כעת, תצטרך המשטרה (אם מישהו יגיש תלונה על כך) לחקור את אמצעי התקשורת שפרסמו מידע בניגוד לצו איסור פרסום, כאשר המשטרה בעצמה הפרה את הצו. ואולם, תצטרך גם המשטרה להסביר ליחידה לחקירות שוטרים מדוע היא דווקא הפרו את הצו.

האם המשטרה תחקר על הפרת הצו? ואם כן, האם היא תקים את אותן טענות הגנה שכל אדם מן השורה היה מקים, שלפיהן המידע כבר היה פומבי, הסתובב באינטרנט, ועל כן אין משמעות לצו?

מה שלמדנו מכל העניין הוא מה שאני חושב שצריך להבין כבר הרבה זמן: "הטענה שלי, שצריך לזכור אותה, היא שאין דבר כזה יותר 'איסור פרסום'. הדרך היחידה לאסור על פרסום של מידע מסוים הוא לשמור עליו מאובטח. מרגע שמידע מגיע החוצה, אין דרך להגן עליו, אין דרך להחזיר אותו אחורה, וחייבים לזכור את זה היום. כך כאשר מדובר על מידע על שופט, וגם כאשר מדובר על אסירים שנעלמים".

אתחיל בסאבטקסט: יאיר לפיד הבין כבר כי המועמדת מולו לתפקיד ראש הממשלה ב2016 אינה שלי יחימוביץ', אלא מרב מיכאלי, שמחזיקה דעות דומות ליחימוביץ' ברמה המדינית והחברתית, אבל יכולה להתקבל על ידי קהלים רחבים יותר (מימין ומשמאל); ועל כן, בפוליטיקה החדשה, דאג לשמור על האינטרסים שלו. אבל זו לא השאלה, כפי שאומרים.

בשבוע שעבר נערכו הבחירות החשאיות בכנסת לועדות לבחירת שופטים ודיינים. כחלק מהמאפיינים של הכנסת הנוכחית, שכוללים אופוזיציה אמיתית, הצליחה האופוזיציה להכניס את נציגיה לועדות לבחירת שופטים ודיינים, וזאת אחרי שבכנסת הקודמת הצליחה הקואליציה (שכללה מספר אסטרונומי של חברי כנסת) למנות נציג שהיה חצי-אופוזיציה בלבד כנציג האופוזיציה.

בכנסת הנוכחית, נבחר אלי ישי כנציג האופוזיציה לועדה לבחירת דיינים; הן יוסי גורביץ והן אורי משגב ביקרו את לפיד על תמיכתו בישי, שיקדם אג'נדה חרדית, על חשבון מרב מיכאלי שהיתה מקדמת אג'נדה חופשית. אבל, גורביץ הרחיק וביקר את לפיד על כך שלא חשף את הצבעתו.

מה שייחודי בועדה למינוי שופטים, כמו מינוי מבקר המדינה ונשיא, היא שמדובר בבחירות חשאיות. בחירות חשאיות הן נחוצות מאוד לדמוקרטיה כאשר מדובר בבחירות לנציגים: כך מונעים מגורמים בעלי אינטרסים להשפיע על מצביעים, כך מונעים מדילים להתקיים. יש שאומרים שבזכות הבחירות החשאיות ניצח משה קצב בבחירות לנשיאות, ויש שאומרים שהבחירות החשאיות איפשרו למנוע מידע על דילים וקבלני קולות בפריימריס. אין מחלוקת שבחירות חשאיות הן חשובות כאשר אנחנו מצביעים, אבל מה לגבי הצבעה על ידי נציגים?

וובכן, מרגע שבחרנו נציגים לכנסת, הם אמורים להיות חפים מאינטרסים ולהצביע כפי שהם חושבים שיש להצביע; העצמאות של חברי הכנסת היא שמאפשרת להם, לא אחת, להתנתק מאג'נדה מפלגתית ולא להיות כפופים לגחמות המרכז. אבל, האם בחירות חשאיות מאפשרות לנו לבקר את נציגי הציבור שלנו? ואם לא, האם מדובר על איזון ראוי?

ההנחה היא כי יש מקרים בהם אם נגלה את ההצבעה הספציפית, אנחנו נפגע בדמוקרטיה כי נוכל לאפשר דילים (או לא נוכל למנוע דילים). כלומר, בהנחה שבין ש"ס ל"יש עתיד" היה הסכם, החשאיות מאפשרת למי שאינו מעוניין לתמוך בהסכם יוכל לעשות כן. מנגד, השקיפות מאפשרת לציבור לדעת על קיומו של הסכם (או להסיק). כלומר, יש הרבה טוב בכך שהבחירות לועדות היו חשאיות: חברי כנסת שאינם מעוניינים להכנס למשחקי הכס הפוליטיים יכולים להצביע בצורה עניינית.

לכן, לדעתי, לפיד לא היה חייב לחשוף עבור מי הצביע, כשם שהוא לא בהכרח חייב לענות עבור מי הוא הצביע בבחירות לכנסת. אבל, אם לפיד באמת רוצה לקדם אג'נדה מסוימת, הוא היה צריך להביע תמיכה פומבית במיכאלי, או לפחות להציב מועמד ראוי מסיעתו מולה. כלומר, יש לו זכות משפטית לא להביע את דעתו, אבל יש לו חובה מוסרית לקדם את האג'נדה שלו.

אם באמת לפיד נמנע מלהצביע בעד מיכאלי, ואם הוא עשה זאת כדי שזו לא תוכל לקדם אג'נדה חופשית, אז לפיד חטא לבוחריו (שוב, ושוב) כאשר הוא פעל לסכל את האג'נדה שהם הצביעו עבורה, והכל מהאינטרס הפוליטי האישי שלו.

[פורסם במקור בעבודה שחורה]

0.
דר' יוסף בר-כהן מציג במאמרו, בבסיס, את השאלה כיצד האנושות תתייחס לרובוטים דמויי-אנוש, ובעיקר מה יעלה בגורלם של אותם רובוטים מבחינה משפטית? לשיטתי, יש שני כשלים עיקריים בתפישה שלו (שאינם מבטלים לגמרי את שאמר): הראשון הוא ההגבלה ל"רובוטים דמויי-אנוש", שהיא דרישה צורנית, והשני הוא התעלמות מההבניה הטכנולוגית שלהם. אבל, לצורך העניין, נתחיל עם ההגבלה הראשונה. ברור הוא כי האנושות תצטרך להשתמש במכשירים טכנולוגיים כדי לחזק את עצמה ולבצע פעולות שאינן כלכליות לביצוע על ידי בני אנוש; אלא, שאותו שימוש לא חייב להיות צמוד לטכנולוגיה בעלת חזות אנושית.

1.

אכן, לנו, כחברה, קל יותר להתמודד עם קיומן של תכונות פסבדו-אנושיות בידי גורמים בעלי חזות פסבדו-אנושית. לכן, אנו נותנים לבעלי חיים תכונות אנושיות, או משתמשים במילים שמשקפות את התכונות האלו, למרות שברור לנו כי בעלי חיים אינם ניתנים להגדרה כבעלי אישיות משפטיות (ולכן, חובות או זכויות בפני החוק, בגצ 466/05 אסתר דבורה רייז נ' המועצה הארצית לתכנון ובניה, (פורסם במאגרים)); אולם, לא די בכך: הבינה המלאכותית תמצא ככל הנראה בכל מקום: לא רק ברובוטים דמויי-אנוש (אנדרואידים) אלא גם במערכות חישוביות מסובכת ואולי, אפילו בטלפון הסלולרי שלנו.

2.

בפברואר 2011, המחשב ווטסון שפותח על ידי IBM הצליח לנצח בשעשועון הטלוויזיה Jeopardy. הנצחון לא היה מבוסס על ידע של עובדות בלבד, אלא דרש הסקה של מידע, ניתוח והבנה של מהות התשובה שכללה גם הומור ותרבות אמריקאית. זו התעלות גבוהה יותר מאשר הניצחון של המחשב כחול-עמוק בשמחט, שדרש "רק" חשיבה של מאות מהלכים קדימה וניתוח אנאליטי וסטטיסטי של עובדות. אולם, הבינה המלאכותית עוד רחוקה מהגעה למצב בו תעבור את מבחן טיורינג ולהגיע למצב בו אדם לא יצליח לזהות האם הוא משוחח עם מכונה או אדם אחר.

3.

כחברה, אנו מכירים במבנים רבים שמכילים אישיות משפטית אך אינם בני אנוש: חברות בערבון מוגבל, שותפויות מוגבלות, עמותות, הקדשים, רשויות ממשל ורשויות מקומיות, מדינות ואפילו, לעיתים רחוקות, חברי בני אדם שאינם מאוגדים (עמרי כבירי, "רשימת מועמדים בבחירות המוניציפליות – כשרות ומגבלותיה של האישיות המשפטית", ספר שמגר: מאמרים, עמ' 555 (חלק א', 2003)). אלא, שהדרישה שלנו להכרה באישיות משפטית עצמאית, בת אנוש, היא של שיקול דעת.

נקודת המוצא הראשונה שלנו להטלת אחריות משפטית (זכויות וחובות) צריכה להיות שיקול דעת עצמאי, ולא תצורה אנושית; בית המשפט העליון עמד על כך, בעקיפין, בהלכת מודיעים (עפ 3027/90 חברת מודיעים בינוי ופיתוח בע"מ נ' מדינת ישראל, פ"ד מה(4) 364): "תאגיד, כאישיות משפטית שאינה טבעית, אינו מסוגל לגבש מחשבה פלילית, שכן הוא נעדר כוח חשיבה, ואין הוא מסוגל לגבש וסוד התנהגותי אקטיבי, שכן הוא נעדר יכולת פעולה". כלומר, התפישה היא כי בכדי ליתן כח ואישיות משפטיות יש צורך בעצמאות וקבלת החלטות עצמאית, לא באורגנים או בני אנוש שיכילו את שיקול הדעת.

4.

לתאגידים, למוסדות שלטון ואף לחברי בני אדם אין שיקול דעת עצמאי. כך גם לרוב מערכות המחשב. כשם ש"המחשב לעולם אינו טועה", הרי שהמחשב גם אינו מסוגל לעבור על החוק; מה המשמעות? מי שכותב את מערכת ההפעלה של המחשב, במסגרת חוקי האחריות השילחוית (Vicarious Liability) אחראי במידה לא מבוטלת לעיתים בנזיקין בגין פעילות של אותה מערכת מחשב. לשם העניין, בבית המשפט העליון בארצות הברית, נפסק כי מפתחים של תוכנת שיתוף קבצים אחראים בנזיקין כלפי בעלי זכויות יוצרים שזכויותיהם הופרו, שכן בעת פיתוח ויישום התוכנה עודדו המפתחים את ההפרה וקידמו אותה (MGM Studios, Inc. v. Grokster, Ltd., 545 U.S. 913 (2005)). כדי לנתק את האחריות השילוחית, נדרש כאן משהו אחר לגמרי: ניתוק של הקשר הסיבתי וקיומה של בינה עצמאית.

5.

מרגע שתתקיים בינה מלאכותית עצמאית, כזו שאינה תלויה במפתח המערכת, שתאפשר שכפול עצמי, תודעה, כתיבה של שירה ואפילו ניתוח של משפטים מורכבים, הרי שהקשר הסיבתי מתנתק: הוריו של ילד אינם אחראים לכך שזה פשע, הגם שהם סיפקו לו חינוך ומערכת ערכים בעייתית, וכך גם כאשר רובוטים יוצאים משליטה: לא יהיה ניתן להטיל אחריות. אלא, שאז עולה השאלה: האם רובוט אשר מספק שירותי סיעוד יהיה זכאי לשכר מינימום? ואם כן, האם החברה יכולה לסבול עלות זו.

[פורסם במגזין 'בדלתיים פתוחות' של לשכת עורכי הדין]

כנראה שכל מי שנדהם, נפעם, נחרד או זועזע ממשמע כי סוכנות הבטחון האמריקאית (NSA) עקבה אחרי מיליוני אזרחים אמריקאים וזכתה לשיתוף פעולה נרחב מספקיות אינטרנט, חברות תקשורת ושירותי אירוח מקוון לא טרח לקרוא את העיתונות בעשור האחרון ולראות דיווחים על חיפושים במחשבים, ועל הדרך שבה רשויות השלטון מתנהלות. לנו, כישראלים, יש רק לקנא בכך שהציבור מזועזע מהתנהגות שלטונית שכזו; הרי, בישראל, המצב רע יותר. בישראל לקחו את ספרו של ג'ורג' אורוול, אלף תשע מאות שמונים וארבע, והתייחסו אליו כאל תכנית פעולה, ולא כדיסטופיה.

אלף תשע מאות שמונים וארבע לא היתה אמורה להיות מדריך הפעלה

CC-BY-NC-ND Gerard Van der Leun

לנו, כישראלים, הסמכויות של סוכנות הבטחון האמריקאית נשמעות כבדיחה לא מצחיקה. הרי, למערכות הביון האמריקאיות יש רק צורך להתפלל לקבל את ההכרה החוקית והפופולריות של משטרת ישראל וחברותיה רשויות החקירה. בעשור האחרון נחקקו בישראל לא מעט חוקי מעקב שאיפשרו שימוש בלתי מרוסן במידע פרטי של אזרחים לצרכי חקירה, ולא רק לצרכי מניעת טרור.

בשנת 2007 נחקק חוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת) החוק עצמו הקנה סמכויות למשטרת ישראל וכמה רשויות חקירה אחרות לקבל מידע די נרחב על האזרחים, ואפילו בלי צו שיפוטי; הרשויות יכלו לפנות לספקיות התקשורת, לשלם כמה שקלים, ולקבל מידע בצורה של שאילתא, כל עוד זו מתייחסת לעבירות מסוימות (או לחקירה). לדוגמא, אם היה רצח ברחוב מסוים, משטרת ישראל תפנה לחברת סלקום, ותבקש לקבל את רשימת המנויים של החברה שעמדו בקרן הרחוב בשעות הרלוונטיות.

כך, לדוגמא, יכולה גם המשטרה לפנות לספקית אינטרנט ולבקש רשימה של כל מנויי הספקית אשר גלשו לאתר אינטרנט מסוים; או לברר מיהו הגולש אשר הדליף מידע אנונימי לכתב צבאי על כך שהצבא אינו עומד בהוראות בית המשפט העליון.

היישום של החוק היה כל כך מוצלח עד שהמשטרה ביקשה עוד פרטים לגבי המנויים, אפילו שהיא לא מוסמכת לעשות זאת בחוק: המשטרה רצתה לדעת מי סוכן המכירות שמכר את המכשיר, מהם אמצעי התשלום וכדומה. החוק, שהפך את בתי המשפט לחותמת גומי (שכן, ככל הנראה לא נדחו בקשות כאלו), איפשר למשטרה בשנת 2009 לקבל כ-9,000 בקשות; כמעט 2,000 בקשות מתוך אותן 9,000 היו על עבירות עם מאפיינים פוליטיים, עבירות של הפרת הסדר הציבורי (בדרך כלל מפגינים).

האגודה לזכויות האזרח עתרה כנגד החוק (בגצ 3809/08 האגודה לזכויות האזרח נ' משטרת ישראל) אך העתירה נדחתה. לכשנדחתה העתירה, החליטה המדינה כי היא מעוניינת להרחיב את הרשויות שיקבלו מידע, כך שגם רשות הטבע והגנים תוכל לקבל את נתוני המיקום שלכם, ואף לתת יותר מידע בלי 'ביקורת' שיפוטית (הרי בכל מקרה הצווים תמיד מתקבלים).

כאן, בישראל, אנחנו יכולים רק לקנא באמריקאים שמזועזעים; מדינת ישראל פנתה לגוגל (לא במסגרת חוק נתוני תקשורת, שחל רק על ספקיות תקשורת) כ-350 פעמים מאז 2009 כדי לקבל מידע על משתמשיה של גוגל. גוגל נענתה לרוב בקשות אלו; כלומר, ישנם 350 אנשים בישראל שהמדינה קיבלה גישה לתכתובות דואר אלקטרוני שלהם, ולא בטוח שקיבלו בכלל הודעה על כך. אבל גוגל היא חריגה, היא מפרסמת דוחות על המידע הזה; רוב הספקיות לא.

אזרחי ישראל כפופים לריגול כל הזמן: המעבידים קוראים לעובדים את המייל, המדינה מציבה מצלמות מהירות, חניה, אבטחה, הגנה. וכל הזמן אנחנו שואלים: האם צריך להגן עלינו מהפושעים או מהמדינה?

[פורסם במקור ב'הארץ']

לפני כארבעה חודשים קיבלתי הודעה מוזרה בחשבון הג'ימייל שלי: "אנו מאמינים כי תוקפים אשר מגובים על ידי מדינות מסוימות מנסים לפגוע בחשבון או במחשב שלך". ההמלצה של גוגל, כדי להמנע ממקרים כאלו, היתה לאפשר אימות דו-שלבי.

כאן אני צריך לעצור כדי להסביר מה זה בכלל אימות דו-שלבי, ומה זה אימות שלבי, כי בעיקר בגלל מעשי הימים האחרונים, אני הבנתי שיש דברים שלא כולם מבינים. השאלה הראשונה היא איך אנחנו מזהים אנשים? והתשובה? זה פשוט: אם אנחנו מערכת ממוחשבת, יש דרך פשוטה: לכל משתמש יש שם משתמש, ואם הוא יודע את שם המשתמש, אז ניתן לו לעבור. הבעיה? כדי לאפשר למשתמשים לתקשר אחד עם השני, שם המשתמש הופך להיות פומבי. לכן, אנחנו נותנים לכל אחד סיסמא.

סיסמא, בהנחה שהיא לא רק להוסיף את המספר 73 לסוף השם הפרטי של האדם, היא מזהה מסוג של "מה שאתה יודע"; היא סוד, שאם שומרים עליו טוב מספיק, אז היא מאפשרת אימות טוב. הבעיה? ססמאות קשה לזכור וקל לפרוץ, ולכן יש דרך נוספת להגן על חשבונות, והיא מפתחות (פיסיים, כמו כאלה שיש לכם בדלת). מפתח הוא "מה שיש לך". רק מי שיש לו מפתח לבית (ויודע איפה הבית נמצא), יכול להכנס. היתרון של מפתח? קל לשמור עליו, וגם אם הוא נאבד, לא כולם יודעים למי הוא קשור. מפתח, בדרך כלל, יכול להיות גם דיגיטלי (וזה לא מונע ממנו להגנב או להפרץ). הסוג השלישי הוא "מי שאתה". ביומטריה, כלומר "רק מי שיש לו טביעת אצבע X יכול להכנס" היא גם דרך נהדרת להגן על חשבונות. הבעיות של ביומטריה הן שקל מאוד לזייף אותה, אבל זה עניין אחר.

אימות דו-שלבי (Two-Factor Authentication) מבוסס על שדורשים שני מאפיינים מבין השלושה כדי להכנס: ססמא ומפתח, ביומטריה ומפתח, ססמא וביומטריה וכדומה. הכלל הוא פשוט מאוד: ססמאות אפשר לנחש או לפרוץ, מפתחות לבית אפשר לגנוב, וביומטריה אפשר לזייף. אבל: גם לנחש את הססמא שלך וגם לגנוב לך את המפתח לבית זה לא פשוט, אלא אם על המפתח כתובה הססמא (לכן, הפעלתי אימות דו-שלבי בגוגל).

עומר כביר דיווח אתמול על לא מעט מפעילי המחאה החברתית שחווים התקפות מהסוג שאני חוויתי לפני מספר חודשים. עכשיו, אין שום אינדיקציה אחרת להצביע כי יש נסיון פריצה מצד ממשלת ישראל דווקא לחשבונות האלו או כי המדינה עצמה מעוניינת לחדור לחשבונות, כדי לקבל מידע, בהמשך ישיר לדרישה של המשטרה לקבל מאקטיביסטים מידע לגבי מה התכניות שלהם לקיץ. אבל, כל עוד אין אינדיקציה אחרת, יכול להיות שידה של הממשלה הסינית במעל או של ממשלה אחרת. סביר להניח שלא מדובר במדינת ישראל, כיוון שלזו יש די גישה לא אמצעית למאגרי המידע של גוגל; גוגל קיבלה ממדינת ישראל כ120 בקשות לגילוי מידע על משתמשים בשנת 2012; חלק ניכר מהן בטח הם צווים שיפוטיים.

מה שמדאיג הוא אחר: תפקידה של המדינה הוא לסייע ולחנך את האזרח לשימוש נבון; בין היתר, ללמד את האזרחים איך להגן על המידע שלהם, לבחור ססמאות חזקות יותר ולהמנע ממצב בו אחרים חודרים להם לחשבון. הסיבה? הגנה מהאקרים היא אינטרס לאומי, שיחסוך כסף למשק, יקטין פשיעה ויאפשר לאזרחים לנהל מסחר בטוח יותר. אבל, באותה אבחה, המשטרה וחבריה רוצים גם גישה לחשבונות, הרבה פעמים בלי צו.

כלומר, הסבירות שמשטרת ישראל, נטולת התקציב, מפעילה יחידת האקרים שפורצת לחשבונות הג'ימייל של פעילי המחאה היא נמוכה במיוחד; אבל: זה לא אומר שפעילי המחאה לא צריכים להתחיל להצפין את המידע שלהם, לאבטח את החשבונות ולעקוב אחרי שימושים בחשבון שנראים חשודים.

יתר על כן, פעילי המחאה צריכים לפנות עכשיו למשטרה כדי שזו תחקור מי מנסה לפרוץ, אולי כך נגלה לפחות מהי המדינה עליה גוגל רומזת.

בשבועות האחרונים, מסתבר שהאתר של המדינה, Ynet, ממשיך את מסורת ה"צפו", והפגיעה המתמדת הן בערך העיתונות והן ביכולת של גולשים לקבל תוכן איכותי. זה התחיל בכך שהאתר העלה כתבות שערורתיות שנועדו למשוך צפיות על גבול הפורנוגרפיה, יחד עם ירידה קבועה ברמה וצהבת שפושה באתר. ההחלטה האחרונה של האתר היא להקים משהו שנקרא "Ynet בפייסבוק"; במערכת החדשה, כדי לקרוא כתבות, יש לאשר את Ynet כאפליקציה מאושרת בחשבון הטרשת החברתית שלכם, ולהעביר להם גישה לפיד החברתי שלכם.

העניין של מתן הגישה הוא לא שונה בהרבה מחומת התשלום של 'הארץ': בשני המקרים מתבצע סחר במידע פרטי עבור הצורך לקרוא תוכן, באחד מועבר גם תשלום ובשני מועברת גישה בלתי אמצעית ליכולת למכור לנו סחורה. כלומר, כדי לקרוא את הכתבות באתר של המדינה, נדרש לבצע "לייק" על העמוד שלהם, ובאותה העת לקבל רצף של כתבות ביחד עם התמונות של החברים שלנו שאנחנו אף פעם לא רצינו לראות, וביחד עם הג'ונסון של תומר שרון.

כמו כל חומת תשלום, גם לזו לא לקח יותר מכמה ימים עד שעלה משהו שחוסם אותה. תוסף לדפדפן מאפשר לעקוף את החסימה; אלא, שכאן עולה בעיה רצינית: שתי החלטות שניתנו לאחרונה על ידי כב' השופטת חנה מרים לומפ, עשויות לקבוע כי מי שמשתמש במעקף חומות עשוי להיות כפוף לסנקציות פליליות. כב' השופטת לומפ קבע בפסיקה הראשונה (תפ 15473-11-10 מדינת ישראל נ' ניר דורון בן שושן) כי עובד שהתחבר למחשבי המעביד תוך שהוא לא זכאי להשתמש בססמאות שלו יותר, עובר עבירה פלילית וחודר לחומר מחשב. בהחלטה השניה (תפ 31579-11-11 מדינת ישראל נ' ניר עזרא) פסקה כב' השופטת כי אדם שקיבל פרטי חשבון בנק שלא ברשות בעל החשבון, ונכנס לדף ניהול החשבון באינטרנט, גם הוא עובר עבירה פלילית של חדירה לחומר מחשב (ההחלטה של לומפ מאוד מעניינת מנסיבות אחרות, שנדון בהן בהמשך).

כלומר, עצם זה שביצעת פעולה אשר לא היתה רצויה על ידי בעל המחשב, גם אם לא השתמשת באלימות, בכח, בכלי פריצה, יכולה לקבוע כי ביצעת חדירה לחומר מחשב. ההחלטות האלו, שהולכות בכיוון הפוך מהחלטת בית המשפט בעניין אבי מזרחי, שהיתה כי "עצם העובדה שבעל מחשב איננו שש למעשי החודר אליו, איננה מספקת. העובדה שבעל האתר איננו מעוניין במעשי אחרים אין לה דבר עם ההליך הפלילי. רק אם החדירה הצליחה לעקוף אמצעי אבטחה ברורים כלשהם, ומטרתה הייתה לעקוף אמצעים אלו, אז ורק אז מדובר בחדירה שלא כדין" (ת"פ (י-ם) 3047/03 מדינת ישראל נ' מזרחי, פ"מ תשס"ג(3) 769 וכן עפ71766/04 מדינת ישראל נ' ברמן רם (פורסם בנבו), אושר בעליון ברע"פ 6489/04 מדינת ישראל נ' רם ברמן).

כך היה גם במקרה של משה הלוי, (פ 9497/08 (שלום ירושלים) מדינת ישראל נ` משה הלוי), בו פסק בית המשפט כי הזנת פרטים לגיטימיים כדי לעקוף מערכת אבטחה אינם חדירה לחומר מחשב.

לכן, הבעיה בהחלטה של כב' השופטת לומפ: פרשנות מרחיבה מדי של החלטתה אומר כי מי שלא רוצה לעשות Like על עמוד הפייסבוק של האתר של המדינה, או פשוט אין לו חשבון פייסבוק, אז הוא עוקף את 'אמצעי האבטחה' של Ynet, יכול להיות חב באחריות פלילית. לא לזה התכוון המחוקק.

המרחק מכאן ועד לקבוע כי חוסם פרסומות הוא עבירה פלילית הוא קצר מדי, ולכן חייב להעצר.

0.
בקיץ 2008 הודיעה חברת יאהו! ללקוחתיה כי בקרוב תסגור את שירות המוסיקה (הפופולרי) שלה, Yahoo! Music; בעקבות הסגירה, לקוחות אשר רכשו קבצי מוסיקה המוגנים בטכנלוגיות נז"ק (ניהול זכויות קניין) גילו שלא יוכלו להשמיע יותר את המוסיקה שרכשו כחוק, כיוון ששרת ניהול הזכויות הולך להסגר. כלומר, רכשת מוצר, אבל אתה עדיין תלוי לחלוטין בספק המוצר הזה כדי להמשיך את ההתקשרות.

1.
בשבוע שעבר ג'וני זילבר כתב בצורה מדאיגה על שירותים דומים של גוגל. לאחר שגוגל החליטה לסגור מספר שירותי רשת שסמכנו עליהם, עלתה השאלה כמה אנחנו באמת מחזיקים בנכסים הוירטואליים שלנו. וובכן, כאשר מדובר בשירות, די ברור לנו שהוא לא חייב להמשך לנצח. הוט יכולה מחר להחליט שבא לה להעלות מחירים, וכמוה גם האינסטלטור השכונתי. אבל מה קורה כשאנחנו קונים מוצר?

2.
לפני כשנה וחצי, די בסמוך להשקת הרכב החשמלי של Better Place, לחצה החברה (מטעמים של שמירה על בטחון המדינה ילדים מפדופילים הגנה מפני גנבים בטיחות בתעבורה הגנת הכיס של עצמה) כי הטענת המכוניות החשמליות של החברה תבוצע רק בעמדות הטענה מורשות ומוסמכות מראש, וזאת כחלק מהמודל העסקי שיצרה לעצמה לפיה למרות שאתה רוכש מכונית, זו אינה שלך באמת. היום, כאשר התקשורת מדווחת על סגירת החברה עקב קשיים כלכליים היא מסבירה שהלקוחות יוותרו עם רכב שאין לו שימוש.

3.
ומדוע הלקוחות ישארו עם רכב שאין לו שימוש? הסיבה היא בחירה טכנולוגית של המדינה. המדינה, שהחליטה לא לאפשר טעינה ביתית, בעצם גרמה לכך שאזרחי המדינה יהיו תלויים בחסדיה של משפחת עופר. תרצה? תזרים הון לחברה מפסידה ותאפשר לאזרחים לנסוע ברכב שלהם, לא תרצה? הלקוחות יוותרו עם לבנה חיננית. ומדוע זה? בגלל הבחירה במודל עסקי דומה לשל יאהו!, לפיו הלקוח נשאר כבול אלייך לנצח. מבחינה שיווקית, כנראה שמדובר במודל מנצח. מבחינה מעשית? הלקוח שרכש את הרכב, ככל הנראה, יצטרך להבין וללמוד שבפעם הבאה שקונים משהו, צריך לוודא שיש לך בעלות עליו.

4.
העושר הטכנולוגי שמקיף אותנו, זה שמאפשר לנו לרכוש טלפון סלולרי חדש במקום לתקן את הקיים, זה שמאפשר לנו לא לתקן את מוצרי החשמל בבית כשהם מתקלקלים (כי יותר זול לקנות חדש), ולא להחזיק טכנולוגיה בת קיימא, הוא זה שיהרוג את החברה. ההבנה של שי אגסי שרכב נועד לשימוש למספר שנים מוגבל, ושהוא שירות, ולא מוצר, היא בעייתית. היא גורמת לאנשים להתמכר; דמיינו רכב שנבנה בשנות ה-50: מזהם, אמנם, אך בנוי להחזיק שנים. החיפושית הקלאסית, שהחזיקה את אותו העיצוב משנות ה30 של המאה הקודמת ועד לשנת 2003, היתה מכונית שניתנת לתיקון עצמי: מעט מאוד חלקים, קלים להחלפה. כך גם הוספה של פיאג'יו. דגמים פשוטים, לאדם הפשוט.

5.
ולכן, אנחנו צריכים לבוא בטענות למדינה: המדינה לא איפשרה ללקוחות בטר פלייס לטעון את הרכב בבית. אם היא היתה מאפשרת לעשות כן, אז לא היינו שואלים 'מה יעלה בגורל הלקוחות'. אבל אנחנו? שמעדיפים לאפשר לטייקונים להשתלט על הכיס שלנו, פתאום ניצבים מול שאלה כזו.

[פורסם במקור בחורים ברשת בגרסא שונה מעט]

בבדיקה קצרה שערכנו בין 30 האתרים המובילים בישראל מצאנו כי חלק ניכר מהם אינו מספק מדיניות פרטיות הולמת וקריאה למשתמש. החלקים אשר כן היו קריאים ומובנים הביעו עוד אכזבה, שכן רמת ההגנה על הפרטיות כלל לא היתה הולמת. כמעט כל אחד מהאתרים הצהיר כי ישלח דיוורים ישירים למשתמשים, וגם יעביר מידע לגורמים חיצוניים; חלק ניכר מהאתרים לא הסביר למי יש גישה למידע ואיך המידע מאובטח. יותר מכך, כמעט אף אחד מהאתרים לא הבהיר האם המידע מוצפן, ומה הנזק הפוטנציאלי שיגרם לכם אם המידע שלכם ידלוף.

מבין האתרים המובילים בישראל, אתרי קבוצת MSN הם אלה שמכילים את מדיניות הפרטיות הטובה ביותר לגולשים (ציון 14 מתוך 35); אחריהם, יחד, וואלה!, אתרי קבוצת Ynet, תפוז, נענע10 וגלובס (עם ציון של 8), ואז הארץ, One, עכבר העיר, ספורט5, וואלהשופס, אולג'ובס ונטקס (עם ציון של 7), לאחר מכן יד2, דפי זהב, זאפ, רשת ונט-גיימס (עם ציון 6), בהמשך מאקו, דה-מרקר וביי2 (עם ציון של 5), דוקטורס (עם ציון 4), FXP (עם ציון של 2) ואחרון הוא אתר Rest עם ציון 0.

חשוב לציין כי המדד הוא לא לגבי הפגיעה בפרטיות, אלא דווקא לאיכות הטקסט של מדיניות הפרטיות, והאם ניתן להבין אותה (ורק לאחר מכן, האם המדיניות הולמת).

אולי השקר הגדול ביותר באינטרנט הוא "קראתי ואני מסכים לתנאי השימוש ומדיניות הפרטיות". בדרך הכלל, המסמכים האלו נערכים בצורה כל כך בלתי קריאה שאינה מאפשרת לאדם להבין את משמעות המסמך בלי השכלה משפטית רחבה. את המהות של המסמכים, בסופו של דבר, אפשר לתמצת לשני משפטים: (1) מותר לנו לעשות מה שאנחנו רוצים עם המידע שלך ועלייך; (2) אין לנו אחריות לכלום. הבעיה היא, שהתמריץ של הצדדים לנסח מסמך שאינו קריא פוגעת במשתמשים בטווח הארוך.

כמה חלופות קמו לאורך השנים שניסו לייצר דרך פשוטה יותר לקרוא את המסמכים. אתרים כמו ToS TL;DR, שנועדו לפשט את תנאי השימוש, לא ממש הצליחו להפוך לסטנדרט מקובל, ולא גרמו לכך שהמסמכים יהיו יותר קריאים. החריגים הקטנים, אתרי אינטרנט כמו 500PX שייצרו מסמכים קריאים לאנושות, עדיין לא מצליחים לתפוס תאוצה, וגם כאשר התנאים "ידידותים למשתמש", אנשים עדיין לא קוראים אותם. לדוגמא, אתר PC Pitstop הבטיח 1,000$ לכל מי שיקרא את תנאי השימוש, והחביא את ההבטחה עמוק בהסכם; לקח שבע שנים חמישה חודשים עד שמישהו פנה אליהם.

השוק, לכשעצמו, שנוצר על ידי עורכי דין, גם אינו מעוניין במיוחד בסטנרטיזציה של המסמכים. כלומר, עורכי הדין מתפרנסים (ומתפרנסים טוב) מכתיבת מסמכים כאלה. לכן, אין להם תמריץ בכך שהמסמך יהיה אחיד, כי אז הם לא יוכלו לחייב לקוחות על עשרות שעות עבודה על מסמך כזה.

אם כתיבה של תנאי שימוש היא בעיה רצינית; כתיבה של מדיניות פרטיות לא צריכה להיות כזו. מדוע? בבסיסו של המסמך, מדיניות פרטיות בסך הכל מגדירה למשתמש הקצה מספר דברים פשוטים (לפחות על סמך ההנחיות של משרד הייצוא האמריקאי ועוד מספר מקורות):

1. מהו המידע שישמר על הלקוח?
2. מה עושים עם המידע?
3. למי יש גישה למידע הזה?
4. האם יועבר מידע לצדדים שלישיים?
5. כיצד אפשר לצור עם הלקוח קשר על סמך המידע?
6. כיצד המידע מאובטח?
7. כיצד הלקוח יכול לעיין במידע או למחוק אותו?
8. מה הלקוח יכול לעשות אם הוא מרגיש שהפרטיות שלו נפגעה?

שמונה שאלות, יחסית פשוטות. אבל: אם תסתכלו על כל מדיניות פרטיות, היא בדרך כלל מסבכת את התשובות לכך, בצורה קיצונית. לכן, לקחנו לצורך המחקר הזה את מדיניות הפרטיות של 30 האתרים המובילים בסקר ועדת המדרוג  (פברואר 2013) ובדקנו את מדיניות הפרטיות של כל אחד מהאתרים, כדי לראות (א) האם היא עונה לשאלות האלו, ו(ב) מהי מידת הפרטיות שיש לאזרח.

הניקוד שניתן לכל תשובה היה בין 0 ל3, כאשר, לכל אחת מהשאלות התשובות והניקוד הבא ניתנו:

1. מהו המידע שישמר על הלקוח: (0) לא מפורט; (1) נשמר מידע מזהה גם למשתמשים רשומים וגם ללא רשומים (2) נשמר מידע מזהה למשתמשים רשומים בלבד; (2) נשמר רק מידע שאינו מזהה.
2. מה עושים עם המידע? (0) לא מפורט; (1) המידע משמש ליצירת פרסום מפולח (2) המידע משמש ליצירת קשר; (3) המידע מעובד ומשמש לצרכים סטטיסטיים.
3. למי יש גישה למידע הזה? (0) לא מפורט; (1) המידע נגיש לצדדים שלישיים ולמנהלי האתר; (2) המידע נגיש למנהלי האתר; (3) המידע אינו נגיש במלואו.
4. האם יועבר מידע לצדדים שלישיים? (0) לא מפורט; (1) צדדים שלישיים יקבלו אותו לפי שיקול דעת בלעדי של האתר; (2) צדדים שלישיים שהם שותפים עסקיים יקבלו את המידע ורשויות על פי צו; (3) האתר לא מעביר מידע לצדדים שלישיים.
5. כיצד אפשר לצור עם הלקוח קשר על סמך המידע? (0) לא מפורט; (1) ישלחו דיוורים מקוונים; (2) יצרו קשר על עדכונים שקשורים לאתר; (3) לא יצרו קשר.
6. כיצד המידע מאובטח? (0) לא מפורט; (1) המידע נשמר בצורה פתוחה; (2) המידע מוצפן; (3) המידע מוצפן, מגובה ויש בקרת גישה.
7. כיצד הלקוח יכול לעיין במידע או למחוק אותו? (0) לא מפורט; (1) הלקוח לא יכול לעיין; (2) הלקוח יכול לעיין על ידי שליחת הודעה בכתב; (3) הלקוח יכול לעיין על ידי פאנל הניהול.
8. מה הלקוח יכול לעשות אם הוא מרגיש שהפרטיות שלו נפגעה? (0) לא מפורט; (1) לפנות לבית המשפט; (2) יש מערכת ביקורת, לשיקול דעת האתר; (3) יש נציב תלונות עצמאי.

את התוצאות המלאות אפשר לראות בטופס הגוגל הבא, אבל, המסקנות הבאות מתחייבות:

רוב אתרי האינטרנט בישראל נמצאים בסקאלה של בין מביש למחפיר; רק האתרים מקבוצת מיקרוסופט מאפשרים בכלל לגולשים הליך שכולל נציב תלונות עצמאי; למעט תפוז ואתרי מיקרוסופט וכל האתרים לא מאפשרים בכלל עיון מקוון במידע השמור עלייך, אלא דורשים פניה בכתב (אם בכלל). כמו כן, כמעט כל האתרים מעבירים את המידע על הרגלי הגלישה שלכם (בצורה סטטיסטית) לצדדים שלישיים (וובכן, צריך לאסוף את המידע לועדת המדרוג) וחלק מהם מאפשר גם לצדדים שלישיים לפרסם על חשבונכם.

אבל מכאן, נכנס לעומק: בגדול, אתרי קבוצת ידיעות אחרונות זכו לציון של 8 (מתוך 35, אבל בואו לא נתקטנן), וכך גם וואלה!. מנגד, אתר דה-מרקר (אבל לא 'הארץ' עצמו, שמחזיק מדיניות פרטיות) זכה לציון נמוך של 5, וזאת בעיקר כי לא ציין כיצד אפשר לעיין במידע, ולא הסבירו כלל כיצד המידע מאובטח.

אני אתן שלוש דוגמאות לפי קבוצות כדי שהעניין יהיה ברור יותר; נקח קודם כל את קבוצת 'הארץ', בעוד שאתר 'הארץ' עצמו מכיל מדיניות פרטיות סבירה (שקיבלה ציון 7) ועונה על כל שאלה למעט 'מה אפשר לעשות אם הפרטיות שלך נפגעה' (בצורה דומה לYnet וNRG), אתר דה-מרקר בכלל לא הכיל קישור למדיניות פרטיות בעמוד הראשי.

איזה מידע נשמר?

השאלה הכי חשובה במדיניות פרטיות היא מה שומרים עלייך. בפועל, באף אחד מהאתרים לא הצלחתי למצוא תשובה לשאלה הזו בצורה מפורטת. תנאי השימוש של אתר וואלה!, בצורה מייצגת לישראל, מסבירים מה הם שומרים בצורה עמומה. קודם כל, ההפרדה בין המידע ה'מזהה' ל'מידע לא מזהה' היא די מלאכותית, והאתר מפרט כי הוא שומר "מידע אישי, דוגמת שם, כתובת, דרכי ההתקשרות עמך, כתובת הדואר האלקטרוני שלך או פרטי כרטיס האשראי שברשותך. השדות שחובה למלא יסומנו במפורש"; אבל במקביל וואלה שומרת מידע על "נוהגיך, מוצרים ושירותים שרכשת או ביקשת למכור, מידע או פרסומות שקראת באתרים, העמודים שבהם צפית, ההצעות והשירותים שעניינו אותך, אמצעי התשלום ששימשו אותך, מקום המחשב שבאמצעותו נכנסת לאתרים ועוד"; אי אפשר לומר שהמידע כמו "אמצעי התשלום ששימשו אותך" או "מקום המחשב" (שכולל גם את כתובת הIP שלך, בדרך כלל), אינם אמצעים מזהים.

לדוגמא, ב2006, חברת AOL שחררה מאגר מידע "אנונימי" שכלל רק את שאילתות החיפוש של אנשים. אותו מאגר 'אנונימי', אפשר לנו להציץ לחיים של אנשים ולזהות אותם. כך גם עם אותו מידע "לא מזהה" שלעיתים משותף עם צדדים שלישיים.

מה עושים עם המידע?

התשובה לשאלה מה האתרים עושים עם המידע שלי היא כל כך לא ברורה, שנדמה שהיא תוכננה כך. לצורך העניין, נקח את מדיניות הפרטיות של Ynet (ושוב, הדוגמא היא מייצגת את כל האחרים גם כן), אז כמו כולם, האתר רוצה את המידע כדי "לאפשר לך להשתמש בשירותים שונים באתרים", אבל גם כדי "לשפר ולהעשיר את השירותים והתכנים המוצעים באתרים" ו"להתאים את המודעות שיוצגו לעיניך". הדבר מאוד לא חריג ודומה שכמעט כל אחד מהאתרים שהציג מדיניות פרטיות בכלל הציע משהו דומה; אתר מאקו, לדוגמא, מציג סעיף מאוד בעייתי במדיניות הפרטיות שלו:

"שידורי קשת תהיה רשאית להשתמש בפרטים שנמסרו על ידך במהלך שימושך באתר זה ובמידע שייאסף על ידה לעניין דפוסי השימוש שלך באתר זה, באמצעות מעקב אחר פעילותך באתר, והכל בכפוף להוראות שימוש אלה והוראות החוק" …  "שידורי קשת תעשה שימוש בפרטים הנמסרים על ידיך במסגרת הצטרפותך לאתר זה בהתאם להוראות החוק, לרבות חוק הגנת הפרטיות, התשמ"א – 1981, ואת/ה נותן/נת הסכמתך לשימוש זה" … "שידורי קשת תהיה רשאית להשתמש בפרטים שתמסור/י באתר ובמידע שתאסוף אודות דפוסי השימוש שלך באתר לצורך שיפור השירותים שהיא מציעה, ליצירת הקשר איתך (למקרה הצורך) או לצורך ניתוח ומסירת מידע סטטיסטי לצדדים שלישיים, לרבות מפרסמים. מידע זה לא יזהה אותך אישית".

המילה "חוק" חוזרת על עצמה כל כך הרבה פעמים שזה מבלבל. על פי חוק הגנת הפרטיות, יש חובה על בעל מאגר מידע ליידע את האנשים מהן המטרות. כאן, לצורך העניין, יש כמה מטרות (החלק המודגש); אבל מה זה "שיפור השירותים" בדיוק? האם מדובר על A\B Testing או להציג פרסומות על סמך הרגלי הקניה שלך? מתי בדיוק אפשר להבדיל בין השניים? הטקסט עצמו מבלבל, וברור למי שקורא אותו כי כל מידע שהוא נותן הופך להיות לא פרטי מאותה הרגע.

איך מאבטחים את המידע?

רוב האתרים משתמשים במשפטים כמו "גלובס נוקטת אמצעים לאבטחת המידע באתר גלובס, אולם מאחר ומדובר באתר המקושר לרשת האינטרנט העולמית לא ניתן להבטיח חסינות מוחלטת מפני חדירות למחשבי גלובס, ועובדה זו מובהרת למנוי על מנת שיבחר האם ברצונו למסור את פרטיו באמצעות האתר" (תנאי השימוש של אתר 'גלובס'); כלומר, גם אם תתנו מידע רגיש לאתרים האלו, והוא ידלוף, האתרים מסירים את האחריות שלהם במקרה כזה.

אבל, אף אחד מהאתרים לא כותב האם הוא מצפין את המידע במאגרים שלו, או את התקשורת (למעט אתרי קבוצת MSN, שמדיניות הפרטיות שלהן מצוינת).

דיוור ישיר? זה ברור.

כמעט כל אחד מהאתרים, למעט One שקובע בתנאי השימוש כי "סיטינט לא תמסור את פרטיך האישיים למפרסמים ו/או תשלח לך דיוור מבית ONE, למעט אם הסכמת לכך במפורש בתהליך ההרשמה", מבקשים ממך את הזכות לשלוח לך ספאם. אתר Ynet, לדוגמא, מבהיר כי "ידיעות אינטרנט רשאית לשלוח אליך מדי פעם בדואר אלקטרוני מידע בדבר שירותיה וכן מידע שיווקי ופרסומי – בין אם מידע שהיא עצמה תפרסם ובין אם מידע שתקבל לצורך משלוח מידי מפרסמים אחרים"; מדיניות הפרטיות של אתר 'הארץ' קובעת כי "אתרי החברה רשאים לשלוח אליך מידי פעם בדואר אלקטרוני מידע בדבר שירותיהם וכן חומר שיווקי ופרסומי אחר, לרבות של צדדים שלישיים".

אתר תפוז מציע תנאים דומים, וקובעים כי החברה "תהיה רשאית לשלוח אליך מדי פעם בדואר אלקטרוני (על פי הכתובת אותה מסרת) ו/או באמצעות מערכת המסרים האישיים באתר עלוני מידע, עדכונים, הזמנות ו/או עדכונים לעניין אירועים, קישורים, הודעות, פרסומות, חומר, מידע לרבות פרסומי או שיווקי, וכל מידע אחר שאנו מאמינים שתמצאי בו עניין מכוח השימוש באתר ו/או מי משירותיו".

כלומר, ככל שזה נוגע לאתרים ישראלים, הכלל הוא שאם נתת להם כתובת דואר אלקטרוני, צפה לספאם.

אז המידע נשאר אצל האתרים?

אבל, כאמור, מענה על השאלות לא מבטיח פרטיות; לדוגמא, הארץ תהיה רשאית להעביר מידע מזהה עליכם "בכל מקרה שהחברה תסבור, כי מסירת המידע נחוצה כדי למנוע גרימת נזק משמעותי לך או לצד שלישי"; כלומר, נרשמתם לחומת התשלום של 'הארץ' כדי לקרוא כתבות, וכתבתם תגובה שפוגעת במישהו? הארץ לא מתחייבת שהיא לא תעביר את המידע.

אבל 'הארץ' לא לבד; גם קבוצת Ynet מחזיקה במדיניות הפרטיות שלהם סעיף דומה, לפיו היא תעביר מידע "בכל מקרה שידיעות אינטרנט תסבור, כי מסירת המידע נחוצה כדי למנוע נזק חמור לגופך או לרכושך או לגופו או לרכושו של צד שלישי".

סעיף דומה תוכלו למצוא כמעט בכל אחד מהאתרים הגדולים; החריג הוא NRG-מעריב שמדיניות הפרטיות שלו לא מתייחסת לנושא, וגם One, שאמנם מדיניות הפרטיות שלהם קצרה ולא ממש ממצה, אבל לא מפרטת את הנושא (כמו הרבה נושאים אחרים שחסרים).

כלומר, כתבת טוקבק? צפה שהפרטים יועברו למי שירגיש שהוא נפגע, לפעמים בלי צו שיפוטי.

העדר ביקורת.

למעט אתרי קבוצת MSN, שבהחלט הולמים במדיניות הפרטיות שלהם, רוב האתרים אינם מכילים מערכת של ביקורת וקבלת תלונות. מה זאת אומרת? אם אתה מרגיש שהפרטיות שלך נפגעה, אתה אמור להיות מסוגל לפנות ישירות לנציב קבילות שיוכל לבדוק את הנושא, לפרסם דוחות תקופתיים על הגנת הפרטיות. זו גם תהיה החובה (בסופו של דבר) על פי טיוטאת תקנות אבטחת מידע (שעדיין לא בתוקף) שהופקו כלקח מפרשת ההאקר הסעודי.

כלומר, אם אתר יחוייב לדווח על פגיעות בפרטיות שהתרחשו בשטח שלו, ההנחה היא שיהיה פיקוח רב יותר, ופחות בעיות. אבל כאן אף אחד מהאתרים למעט קבוצת MSN לא דיווח על מנגנון דיווח ובקרה כזה.

המסקנות:

לעניין הציונים בגליון, ציון של 8 אומר שיש (בממוצע) מענה לכל אחת מהשאלות הרלוונטיות שדיברנו עליה. בואו נניח שמדיניות פרטיות טובה צריכה לענות על לפחות 7 מתוך 8, אז במקרה כזה, אם נסתכל על האתרים שמדיניות הפרטיות שלהן לא ענתה (ציון של 6 ומטה) נמצא את מאקו, יד2, דפי-זהב, FXP, זאפ, אתרי קבוצת הארץ (למעט אתר 'הארץ' עצמו*, Buy2, Doctors וRest. כלומר, כשליש מהאתרים בכלל לא מחזיקים מדיניות פרטיות שעונה על הצרכים המינימאליים.

כלומר, גם אם תקראו את התקנונים, שכתובים בצורה לא טובה, לא תקבלו את המידע שדרוש לכם. מה זה אומר? זה אומר שצריך כאן רפורמה: אם אף אחד לא קורא, ומי שכותב לא כותב כמו שצריך, אז כנראה שמה שצריך לעשות הוא לייצר תבנית, שאלון פשוט, של שמונה שאלות, שיאפשר לייצר מדד של פרטיות.

איך אפשר לעשות את זה? וובכן, לענות על שאלון לבעל האתר שיפרט מה עושים עם המידע של הגולשים זה לא תהליך מסובך. הוא יכול גם לייצר אייקונים נחמדים (כמו אלה שהוכנו על ידי אזא רסקין) שיסבירו לגולש מה עושים עם המידע שלו.

האייקונים של רסקין, לדוגמא, יכולים להסביר לנו בצורה פשוטה מה קורה עם המידע שלנו. לדוגמא, הסתכלו על האייקון הבא:

הפרשנות של האייקון עצמה ברורה. האייקון מסמן לנו שהמידע שלנו עובר למפרסמים. זה לא כזה מסובך להבין, ויש אייקונים דומים לשאלה האם המידע מגיע לרשויות אכיפת חוק, והאם יש רשימה סגורה של שימושים במידע שלנו, או רשימה פתוחה.

האייקונים עצמם לא מספקים תשובה מושלמת, אבל הם התחלה טובה; כלומר, צריך לעבוד עליהם עוד משתי סיבות; הראשונה היא זכויות יוצרים (שצריך אייקונים חופשיים) והשניה היא שהמענה שלהן לא מספיק טוב.

לצורך פרויקט כזה צריך כמה אלפי שקלים בודדים, אבל ניתן לפשט בצורה קיצונית את תהליך קבלת ההחלטות של אזרחי ישראל בנוגע לפרטיות שלהם. יותר מזה, בעצם הצגת המידע יווצר תמריץ לאתרי האינטרנט להפסיק פרקטיקות מסוימות. כי אם כולם ידעו שאתה שולח ספאם, אולי לא תרצה להציג את זה.

יש כאן בעיה: קודם כל, כדי להביא את האתרים להשתמש בכלים האלו צריך להכריח אותם. הסיבה? אני לא מעריך שמי מהאתרים רוצה שאנשים אחרים ידעו מה הם עושים עם המידע (ואולי אני טועה כאן, אבל כרגע זה ממש לא נראה ככה). כלומר, אם יבוא ארגון צרכנים כלשהוא ויתנה את ההסמכה שלו (כמו 'אמון הציבור') בפירוט כזה, אולי העניין יתחיל.

אבל עד שזה יקרה? לאף אחד לא איכפת כי בכל מקרה זה לא אפקטיבי.