Intellect or Insanity

מכתבו של עמוס שוקן לציבור הקוראים הישראלי הוא מהפכה; החל מהשבוע הבא מתכנן אתר 'הארץ' לגבות כסף מקוראיו. ולדברי שוקן "נשנה את מערכת היחסים שבין "הארץ" לבין קוראי המהדורות הדיגיטליות". עכשיו, ולאחר קריאת הראיון של יובל דרור עם ליאור קודנר על העניין, יש כמה דברים חשובים שצריך לזכור. קודם כל: לתקשורת המסורתית (מיינסטריים) היו שלוש דרכים להתפרנס: (1) פטרון בכפיה (נניח, אגרת הטלויזיה שאנחנו כל כך אוהבים לשנוא); (2) מכירת מנויים; (3) מכירת פרסומות. כאשר, המודלים עצמם הוכיחו עצמם כבעייתיים ולא כלכליים. לדוגמא, למרות מכירת מנויים בדפוס, לא מכסה את עלויות הפצת העיתון, ולכן יש גם פרסום בעיתון. מנגד, לפחות על הנייר, חינמונים רבים מצליחים להתפרנס רק מפרסומות ומוכיחים שהמודל של מכירת פרסום עובד.

עכשיו, המשפט של שוקן מקבל חשיבות יותר גבוהה: שוקן טוען שהוא ישנה את מערכת היחסים בין 'הארץ' לקוראים. מדוע? כי עד עכשיו, הכל היה פשוט: הקוראים היו המוצר. כאשר שוקן מוכר פרסום, הוא מוכר את המידע הפרטי של גולשיו לצדדים שלישיים. אלה, בתורם, מעבדים את המידע, ועל סמך המידע הזה ומידע שהם אוספים מ'שוקנים' אחרים, הם מייצרים לכם פרסומות יותר טובות. כן, הפרסומות האלה שאתם רואים באתר 'הארץ' מבוססות לא מעט על תבניות התנהגותיות שלכם ועל המידע הפרטי שלכם.

נכון לעתה, מדובר על כתריסר שירותי צד שלישי שאוספים מידע על הגולשים ולאחר מכן, כאשר אתם תגלשו באתרים אחרים, ידעו מה הכתבות שקראתם באתר 'הארץ' ועל סמך זה יציעו לכם פרסומות (וזה במקרה הטוב). סתם לדוגמא, כרגע, באתר דה-מרקר של 'הארץ' תוכלו למצוא פרסומות לקורסים בשוק ההון, ולסחר במט"ח ממונף, עסקים שאתר 'הארץ' עצמו, בטור דעה של שחר קמניץ, הסביר כמה הם מפוקפקים.

נכון להיום, באתר של עמוס שוקן, אתם המוצר. אם הוא באמת רוצה לשנות את מערכת היחסים, שיפסיק עם זה.

אבל כמובן שזו לא הבעיה: הבעיה היא ההכנסות. בוא נניח ששוקן הוא גאון המאה, ונכון לעתה, מכניס מפרסום נתח של כ-10$ לאלף צפיות, כמעט פעמיים הממוצע בשוק האמריקאי (אבל סביר לאתר ישראלי טוב שמתעסק בפרסום ויודע מי השוק שלו); ונקח את נתוני ועדת המדרוג, ונשתמש בהם כדי להבין כמה עמודים נצפים יש לאתר 'הארץ' על סמך 600,000 הגולשים שמגיעים לאתר. נניח, לצורך העניין שגולש קורא כשלושה עמודים ביום, כלומר מאה עמודים, פחות או יותר בחודש. כלומר, במקרה הטוב, ההכנסות של שוקן מפרסומות על גולש הינן 1$ לחודש; מנגד, שוקן מבקש מהגולש לשלם 10$ עבור הצפיה שלו. ההנחה היא, שעל סמך ה10$ האלה לאלף צפיות, שוקן מפיק כ2.5 מיליון ש"ח בחודש מפרסומות.

הדרישה הזו סבירה, אם נקח את מה שקודנר אמר ליובל דרור: "ב'ניו-יורק טיימס' למשל, דובר על 1% מכלל הגולשים וכיום הם כבר מתקרבים ל-2%. באתר 'הארץ' באנגלית, שהושק במאי 2012 במודל דומה, נרשמו 10% מהגולשים, כ-150 אלף גולשים בסך הכל, ומתוכם אחוז מסוים עשו מנוי, אבל ברור לנו שהשוק באנגלית בשל יותר למהלך הזה מהשוק בעברית, שאותו אנחנו צריכים לחנך".

כלומר, נצא מנקודת הנחה ש2% מתוך 600,000 הגולשים: 12,000 גולשים, ישלמו 10$ בחודש. מה יעלה בגורלם של 588,000 הגולשים הנוספים? עבור אבדן של 580,000 גולשים, שמפיקים כ2,000,000 ש"ח בחודש מפרסום, שוקן מקבל חצי מיליון שקל.

כלומר, כדי שהמהלך יהיה כלכלי לשוקן, צריך להבין את הבעיה: חומות התשלום לא עובדות. קודנר עצמו נתן בראיון ליובל דרור את הדרכים לעקוף אותן, ולא צריך להיות גאון כדי להבין איך לעשות זאת. הבעיה היא שהכלכלה לא עובדת כאן: או ששוקן כיום מכניס סכום של פחות מ2$ על 1,000 צפיות באתר, מה שהופך את המחלקה המסחרית באתר, ולא את מחלקת התוכן, לבעיה, או ששוקן כיום הולך לעשות את הטעות הגדולה ביותר שלו.

עכשיו, איך שוקן הולך לשנות את מערכת היחסים? האם הוא הולך להפסיק את שירותי המעקב ואת הפרסומות המפוקפקות לכסף קל? אני בספק. גם אם יהיו פחות פרסומות, זה לא אומר שיהיה פחות מעקב.

אז מה כן אפשר לעשות? אם שוקן באמת רוצה לשנות את מערכת היחסים, הוא צריך למצוא את המודל הנכון. הוא יכול לעשות את מה שחורים ברשת עשו, ולהציע אתר נטול פרסומות כמו ש'חורים ברשת' הציעו, ולגבות תשלום סמלי של 5 שקלים בחודש (יותר מכמה שהוא עושה על הגולש הממוצע, כנראה), הוא יכול לעבור לשירותי פרסום חדשים, כמו מנועי המלצת התכנים, שמזרימים לא מעט כסף לאתרי תוכן והוא יכול אפילו למכור תכנים לחו"ל, לתגמל גולשים על שיתוף בFacebook, ליישם את המודלים הנכונים.

במקום לנסות לחדש, שוקן מנסה לחזור למודל שכשל: מנוי לא מכסה את עלויות ההפקה של התוכן האיכותי, והוא יודע את זה. אם המנוי היה מכסה, אנשים לא היו בורחים מהפרינט.

0.
קמפיין אולג פטרושקה של ועדת המדרוג הוא רק דוגמא לבעיה שאני רוצה לדון בה, ולהאיר נקודה מאוד ספציפית שצריך להסתכל עליה עם סמן לייזר. הסיפור הוא כזה: ועדת המדרוג, ההגבל העסקי שפועל לצורך מדידת התעבורה באתרי האינטרנט בישראל יצא בקמפיין חדש לפרסום באינטרנט. מבחינת הקמפיין: מדובר בהצלחה פנומנלית, הקמפיין נחשף למיליוני אזרחים, קיבל תעבורה ברשת וכדומה. אבל, מה שכולנו שוכחים הוא המחיר הגדול של ועדת המדרוג: המחיר היקר של ועדת המדרוג היא הפגיעה בפרטיות שלכם. להזכירכם, חברה פולנית בשם Gemius מפעילה קוד תוכנה שנטען במחשבים שלכם בכל פעם שאתם מבקרים באחד האתרים הגדולים בישראל, מסמנת אתכם ככאלה ויודעת מה קראתם ואיפה. אם הסתכלתם על בר רפאלי בעירום מלא באתר מאקו ואז הלכתם לאתר גלובס וישנה חברה מסחרית אשר מאפשרת לכם גם לדעת לא רק מידע סטטיסטי על המבקרים באתר שלכם, אלא גם את הזהות הממשית שלהם. איך החברה עושה זאת? לדברי דארן ניקס, בלוגר העובד בחברת 42Floors, הנ"ל קיבל הצעה לשירות כזה, שמכיל את הנתונים של מבקריו. הנתונים נאספים על סמך טפסים וסקרים שהגולשים מילאו באתרים אחרים. כלומר, גלשתם ומילאתם איפשהו טופס התעניינות בביטוח? המידע הזה יגרר עמכם לכל הרשת.

2.
חיפוש זריז בגוגל מעלה שיש שירות מאוד דומה לזה שניקס מדבר עליו, LeadLander, שנשמע מאוד מפתה אם אתה בעל עסק: הרי אני תמיד רוצה לדעת מי גולש באתר שלי, במיוחד אם אני רוצה להטמיע שם אפליקציות לצ'אט, לנסות למכור לו, לחפש עליו בגוגל בזמן שהוא גולש. הבעיה מתחילה בשאלה איך לעזאזל למישהו יש את החוצפה להציע את זה? בגדול, זה גם המודל העסקי החדש של הטרשת החברתית Facebook: אנחנו יודעים מי אתה, וכשאתה קורא כתבה באתר שמטמיע את קופסאת הLike שלנו, אנחנו ניידע את בעל האתר מי אתה, מי החברים שלך, מה אתה אוהב, ולפי זה הוא יוכל להציג לך פרסומות, או אפילו לשלוח לך דואר אלקטרוני.

3.
למה הכוונה? הכוונה כאן היא בבעיה שנוצרת: למעט מספר גיקים קטנים כמוני שיודעים לחסום רושעות צד שלישי על ידי שימוש מושכל במחשב, רוב האזרחים לא יכולים למנוע את זה. זה אומר שבפועל, אם הם רוצים להשאר אנונימיים, הרי שמצב "גלישה אנונימית" לא יועיל להם, גם לא למחוק עוגיות. הפתרון היחיד שלהם הוא להתחיל מחדש, לייצר זהות אינטרנטית חדשה, לא לתת פרטים לאף אחד. הסיבה לכך? שירותי המעקב יושבים גם בתוך הודעות הדואר האלקטרוני שלכם, בתוך עמודים שאתם קוראים בדפדפן הנייד, יודעים לשייך הכל ולהצליב, לגרום לכך שכולם ידעו מי אתם.

4.
אבל אנחנו לא רוצים להתנתק מהאינטרנט, רק להעזב בשקט.

0.
בדרך הכלל, אני מאוד אוהב את פסיקותיו של השופט אברהם טננבוים בתחום המחשבים. טננבוים הוא שופט שקול, שמבין את מהות הטכנולוגיה ואת העובדה שלפעמים האות השחורה בספר החוקים לא ממש מתאימה לטכנולוגיה הקיימת היום וצריך לפרש אותה בצורה הרגילה והסבירה. לדוגמא בפ 9497/08 מדינת ישראל נ' משה הלוי השופט קבע כי הזנת מספר תעודת זהות לתוך אתר בתי המשפט לא ממש מהווה "חדירה לחומר מחשב" אם מספר הזהות ניתן על ידי בעל התעודה; במקרה אחר, של ת"פ (י-ם) 3047/03 מדינת ישראל נ' מזרחי, פ"מ תשס"ג(3)  769 קבע כי בדיקות אבטחה שנועדו לבחון את אתר המוסד לתפקידים מיוחדים אינה פריצה לאתר, אלא רק בדיקת אבטחה.

1.
לכן, הבעיה שלי עם תתע 6600-02-12 מדינת ישראל נ' נ.ל; המקרה הוא פשוט: נ.ל קיבל הודעה כי אימו הובהלה לחדר מיון, ונסע ברכב במהירות מופרזת על מנת להגיע לבית החולים מהר ככל האפשר, ולא שם לב למד המהירות. נ.ל נתפס במהירות של 169 קמ"ש. טננבוים מנהל דיון בן חמישה עמודים על השאלה "האם לא ראוי לאפשר לטכנולוגיה להגביל את מהירות הרכבים במקום לקבוע עבירה". על כך, לפני חמש שנים, כתבתי:

מכמונות המהירות היו המצאה גדולה. ניתן היה להציב מכמונות בכל מקום, ולסמוך על ממצאיהן כדי להרשיע בצורה אוטומאטית את עברייני המהירות. לאחר מכן, החלו להגביל את המהירות המקסימאלית של המכוניות על מנת שאלו לא יעברו על החוק. הגבלת המהירות בוצעה על ידי תוכנות בקוד קנייני, כאשר לא ניתן היה לפקח כלל על מערכת אכיפת החוק. לאזרח הפשוט היה ברור: מאותו רגע, עבירות התנועה הן עניין של העבר. בתוך עשר שנים מהיום, כל מכונית תצויד במקלט GPS מתוחכם שיחובר למערכת הזרקת הדלק, לא יהיה ניתן לעבור בתמרור עצור מבלי לעצור, לא יהיה ניתן לפנות ימינה כאשר אסור לעשות זאת. הרובוטיזציה של הנהיגה תהיה ההתחלה.

2.
אני רוצה להתכתב לרגע עם הקוד של טננבוים, ולדון בשאלה כיצד שופט כל כך מתקדם, כל כך חכם וכל כך מבין בטכנולוגיה, חושב שיהיה זה רעיון טוב לאפשר לטכנולוגיה להגביל את האנושות ולא להפך. הצעותיו של טננבוים הן:

2.1

‫ניתן להפעיל את הרכב כך שברגע שהרכב יעבור את המהירות המקסימלית במס' ק"מ‬ שנקבע מראש, יחלו האורות להבהב וצפירה קלה תישמע. כך יוזהר הנהג אם לא שם לב לכך, וכך‬ ‫יוזהרו המכוניות שסביבתו כי הוא עובר את המהירות המותרת ומן הסתם יש סיבה טובה כך.‬

ההצעה הראשונה של טננבוים היא לחייב את יצרני הרכב, כמו שהם חייבים בהתקנת חגורות בטיחות, להזהיר את הסובבים כאשר אדם נוסע במהירות מופרזת; כלומר, לייצר מוצר נכה משהו ובעייתי. ההצעה הזו, מבין כל הצעותיו, היא הבעייתית פחות מכולן, אבל היא עדיין פוגעת: היא מחייבת את יצרני הרכב לייקר את עלויות הייצור (ולהטיל את עלויות האכיפה על עצמן) והעלות תגולגל לצרכנים. היא גם מונעת מהטכנולוגיה להתקדם. הרי, ברור לנו שככל שהטכנולוגיה משתפרת אנו נוכל בסופו של דבר לנסוע מהר יותר. כלומר, אם נגביל מעכשיו את המהירות, נגביל גם את היכולת שלנו לפתח את הטכנולוגיה.

2.2

‫ניתן לקשר את המכונית באמצעות ‪ GPS‬למיקומה. באופן תיאורטי, ניתן יהיה לקבוע‬ ‫מהירות מקסימלית המתאימה לכביש. קרי, בדרך בינעירונית יוגבל הרכב למהירות המקסימלית‬ ‫שם, ובדרך עירונית למהירות המקסימלית במקומה‬

טננבוים מציע לחייב את יצרניות הרכב להגביל את המהירות בהתחשב במיקום. בעצם, בפתרון הזה של טננבוים יש שאלה מהותית: האם מדובר על חיבור on-line שבודקת היכן אנחנו נמצאים (כמו שמתכנן משרד התחבורה כבר) או שמדובר במאגר שעל הנהג לעדכן מעת לעת (כיוון שאז עולה השאלה מה קורה אם בטעות יש כשל בתוכנה?). הפתרון הזה לא רק שבעייתי מבחינת פרטיות, אלא גם נתון לתקלות: כלומר, נכנס כאן חור אבטחה נוראי שמאפשר לי להגביל מהירויות של רכבים על ידי שיבוב רכיב הGPS (בין אם אני הנהג או מישהו שרוצה לפגוע בנהג).

2.3

‫ניתן להתקין 'טכוגרף' דיגיטלי. כזה הרושם ומתעד את המהירויות בכל רגע ורגע (וישנם‬ ‫רכבים כאוטובוסים ומשאיות שקיימת חובה שכזאת). במקרה מעין זה, כל טענה של הנהג כנגד‬ ‫מהירות שנמדדה על ידי מכשירי המשטרה תידחה על הסף.

האופציה השלישית היא של רישום, ולא של הגבלה. כאן מדובר בשאלה ראייתית ממעלה ראשונה, של דיון בשאלה האם הרכב עבר על החוק. בעצם, לחייב נהג לתעד בכל עת ועת היא פגיעה בפרטיות; קודם כל, תיעוד של מהירויות (שנגישות בדרך הכלל לאנשים אחרים) יכולה להוות פגיעה גם בלי הליך שיפוטי (תחשבו על בעל שמגלה שאישתו נסעה למקום X בו גר המאהב שלה). שנית, החובה למסור את המסמכים פוגעת בזכות של אדם להליך הוגן שמקנה לאדם חסיון מפני הפללה עצמית (ע"פ 1761/04 גלעד שרון נ' מדינת ישראל) .

2.4

‫ניתן לחבר את כל המהירויות ל – 'כרטיס חכם' שיהיה ברכב. כל שתצטרך המשטרה ו/או‬ ‫משרד הרישוי לעשות הוא להוציא את הכרטיס אחת לשנה מהרכב ולבדוק את כל הפעמים שהרכב‬ ‫נסע במהירות שאינה מותר ואת מיקומן. קנסות ו/או עיצומים מינהליים אחרים יחולו בהתאם.‬

כאן מדובר על הצעה עוד יותר בעייתית: לא רק שהמסמכים יוכלו לאפשר לאדם להוכיח את חפותו, אלא אחת לשנה תבדוק המשטרה את מהירויות הנסיעה של אדם ותטיל עליו קנסות. אכיפה אוטומטית היא בעייתית כיוון שבמצב כזה אין אפשרות לדעת מי נהג ברכב, מדוע עבר על המהירות (ויש הגנות בחוק) ועוד.

3.
בעצם, ההצעות של טננבוים כולן מניחות שישנה טכנולוגיה וחייבים להשתמש בה; במקום לאפשר את שיקול הדעת האנושי, במקום לשאול את השאלה הפשוטה של "האם אדם שגילה כי אמו הובהלה לחדר מיון ולא שם לב שעובר הוא על המהירות המותרת צריך להיות זכאי" שואל טננבוים שאלה טכנולוגית מובהקת, וחבל שכך. שאלת הגבלת המהירות, כמובן, היא שאלה תיאורטית כיוון שאין בסמכותו של טננבוים לקדם חקיקה או תקינה (ואולי חבל שכך); אלא, ששאלות תיאורטיות כאלה מביאות למחוקקים רעיונות רעים.

0.
אחד הדברים היפים שקורים בחזית הטכנולוגית בשנתיים-שלוש האחרונות הוא ההפרדה בין 'יכול' ל'מותר' שהופכת להיות חדה יותר ויותר. בעבר, התפישה החוקית היתה שאם דבר מסוים הוא פומבי, הרי שהוא הופך להיות חלק מנחלת הכלל ומותר לשימוש. לדוגמא, בתיקים שצצו בראשית האינטרנט, עלתה השאלה האם הפעילות של מנועי חיפוש כמו גוגל חוקיים. כלומר, באו בעלי אתרים וטענו שמנועי חיפוש אשר סורקים את האתר פוגעים בזכויות הקנייניות שלהם, ולכן אסור להם לזחול באתר (נניח, Kelly v. Arriba Soft Corp., 77 F. Supp. 2d 1116 – Dist. Court, CD California 1999). הפסיקה הכירה בכך שמותר לאסוף מידע ציבורי ולייצר לו ערך מוסף, כמו במנועי חיפוש, ושיש לכך ערך חיובי. לדוגמא, בישראל, נפסק כי אין מניעה לאסוף מידע ציבורי ולייצר ממנו לוחות מודעות (נניח, א 1074/05 מעריב הוצאת מודיעין בע"מ נ' אול יו ניד בע"מ ואח', ת"א 5310-08 קווי מידע ופרסום בע"מ נ' בל תקשורת פרסום ויחסי ציבור ואח').

1.
אלא, שככל שזה נוגע לפרטיות, יש הנחיות יפות לאחרונה, שאומרות 'הגם שהמידע שאתם מעבדים הוא ציבורי, עדיין הצבירה שלו היא בעייתית מבחינת פרטיות ואסור לכם לעשות זאת'. זאת שיטת הכמות עושה איכות שבארצות הברית באה לידי ביטוי באיסור על מעקב באמצעות מכשירי GPS, הגם שאותו אדם מתנייד במרחב הציבורי (Maynard v. Unites States) ובפסיקה של בית המשפט המחוזי בישראל ש"מצבור של פרטים, שכל אחד לבדו אין בו משום פגיעה חמורה בפרטיות, הרי שביחד עם אחרים הם יעלו כדי פגיעה חמורה בפרטיות" (עא 2319/08 פלוני נ' פלונית, ראו גם). לכן, דווקא ההחלטה המעניינת של הנציבות האירופית מהשבוע שעבר עושה טוב לאוזן.

2.
הנחיה חדשה של האיחוד האירופי אוסרת על שירותי רשת להשתמש בתמונות לצורך זיהוי ביומטרי ללא קבלת הסכמה מפורשת; (ההחלטה המלאה, PDF); בפועל, ההגיון של ההחלטה הוא כזה: נכון, ניתן היום לבנות מנוע חיפוש שאוסף שלל תמונות מהרשת ומאנדקס אותן, ניתן גם לייצר פרופיל ביומטרי על כל אחת מהתמונות ולנסות לשייך אותן אחת לשניה (וFace.com עושים זאת יפה מאוד); אבל, בשביל לעשות זאת, יש לקבל היתר ממי שצולם בתמונה, או לפחות ממי שצילם אותה. לפי ההחלטה:

The images obtained by search engine were displayed with the intention for viewing and not for acquisition by a facial recognition system. The search engine provider would be required to obtain consent from the data subjects to be enrolled into the second facial recognition system.

3.
כך גם בנוגע לשימוש במערכות לזיהוי פנים על ידי רשתות חברתיות (ובמיוחד Facebook). נכון לעתה, Facebook מפעילה, ככל הנראה, מערכת של זיהוי פנים בין התמונות שמועלות, אך היא מאפשרת למשתמשיה לבטל את האפשרות 'להציג לחברים את הזיהוי האוטומטי'. כלומר, לא בטוח שהיא לא מחזיקה מאגר של המשתמשים שביטלו את האפשרות, אלא היא פשוט לא מודיעה לחברי המשתמשים כי הם תויגו בתמונות. כעת, לפי ההחלטה למשתמשים רשומים תהיה האפשרות לבחור האם לרשת החברתית יורשה לעבד את התמונה או לא, לא רק האם להציג אותה לאחרים.

registered users must also have been given a further option as to whether or not they consent to their reference template to be enrolled into the identification database. Non-registered users and registered users who have not consented to the processing will therefore not have their name automatically suggested for a tag because images in which they appear will produce a “no-match” result.

4.
המהפכה האמיתית היא בתפיסה של הצברת מידע. כלומר, היום מדובר על ביומטריה פשוטה, על זיהוי פנים. מחר ידובר על מידע סודי\פרטי\אישי של אדם, שניתן יהיה לאבחנה ממידע אחר. כלומר, דמיינו מצב שבו ההנחיה לא היתה נוגעת לזיהוי פנים, אלא דווקא למידע על היסטוריה תעסוקתית או על עבר מיני, האם ניתן היה לאסור על מנועי חיפוש לאנדקס מידע כזה על ידי זחילה של אתרים כמו LinkedIn? אני בספק.

0.
תכירו את חברת גמיוס; גם אם לא שמעתם עליה עד היום, גם אם אתם לא רוצים ללחוץ על הלינק, רוב הסיכויים שחברת גמיוס מחזיקה קובץ על המחשב שלכם שנשתל בעת שביקרתם באחד מאתרי האינטרנט הישראלים. חברת גמיוס מפעילה עבור ועדת המדרוג באינטרנט מערכת מדידה אשר מאפשרת לה לבחון את התנהגות הגולשים באתרים. לצורך הבחינה, חברת גמיוס הפעילה מערכת מדידה פשוטה: בפעם הראשונה שביקרתם באתר שמשתייך לקבוצת "ועדת המדרוג" נשתל קובץ על המחשב שלכם וגמיוס קיבלה על כך הודעה. בכל פעם שביקרתם באתר אחר, או צפיתם בעמודי אינטרנט באחד מהאתרים, גמיוס קיבלה הודעה שוב שמכילה את "מספר העוגיה" שלכם, ורשמה זאת.

1.
על הבעיות והסכנות בעוגיות צד ג' כבר לא צריך להכביר. אכן, ועם כל הבעייתיות שיש בגוף שמביא לשיתוף פעולה בין מתחרים בתחום אתרי האינטרנט יש צורך במדידה אובייקטיבית כדי שקהל המפרסמים וקהל הצרכנים ידעו בדיוק מה החשיפה שכל מפרסם מקבל ומהי ההשפעה. אלא, שלצורך פעולה כזו אין צורך לפגוע בפרטיות של כולנו (טוב, אני קצת מרמה: אני חוסם את גמיוס, וגם אתם יכולים אם תרצו); בעצם, מה שקרה כאן הוא כזה: יש כמה דרכים למדוד תעבורה, אבל מה שהוחלט כאן, שמובא מאינטרס עסקי של בעלי האתרים ושל המפרסמים (אבל לא של הגולשים) הוא לייצר מודל שיאפשר לזהות את משתמש הקצה עם מספר מסוים, ואחר כך לדעת בדיוק מהם העמודים שהוא צפה בהם, כמה זמן הוא צפה בכל עמוד ולהצליב את המידע בין אתרים. הבחירה בארכיטקטורה שלא לוקחת את הפרטיות שלכם בחשבון היא לא מקרית, היא משקפת את העובדה שאתם פשוט לא צד להסדר הזה.

2.
דוגמא מצוינת ואנקדוטלית לכך שפשוט לא איכפת לאתרים ולמפרסמים מהפרטיות שלכם אפשר למצוא מהדיווח של Ynet על כך שהוא האתר המוביל בקרב מבוגרים; כן, כשגמיוס עקבה אחריכם לא ממש התבקשתם למלא פרטים מזהים על עצמכם כמו גיל והכנסה, נכון? אז מה קרה. רק קריאה של הדוח המלא של ועדת המדרוג (ותודה ליואב יצחק על כך שהוא האתר היחיד שבאמת מביא את המידע המלא ולא רק דיווח) מבהירה שהמידע לגבי הפילוג הדמוגרפי הובא באמצעות סקר. את תוצאות הסקר, כמובן, תמיד ניתן להצליב עם המספר המזהה של העוגיה על המחשב, אבל זה לא העיקר. האם מישהו מבין עורכי הסקר, שכמובן אפשר את מתן התשובות, טרח להגיד לקטינים שיבקשו את הסכמת ההורים לפני שהם ממלאים מידע? ברור שלא, כי בישראל של שנת 2011 למפרסמים יש חסינות בחוק והם אוהבים לאסוף מידע על קטינים. אז כן, גם במקרה הזה: ילדים מילאו סקר, מפרסמים מוכרים על סמך הסקר הזה מידע התנהגותי, וההורים לא צד ממש.

3.
אבל זו הדוגמא והאנקדוטה. השאלה היא מדוע הארכיטקטורה של ועדת המדרוג לא נבנתה בצורה שמכבדת את הפרטיות של הגולשים. לדוגמא: מדוע לא השתמשו במערכת שאינה מאפשרת העברת מידע בין אתרים או זיהוי של המשתמש באמצעות עוגיה (ואני מציע לקרוא את מדיניות הפרטיות של Gemius ולהבין כמה היא עמומה, וכאן אפשר לקרוא איך מדיניות פרטיות צריכה להיות כתובה). עוד שאלה שצריכה לעלות היא מדוע כאשר אתר שחבר בועדת המדרוג נטען הוא לא מציג לנו את השאלה "אנחנו עוקבים אחרייך לצורך מדרוג האינטרנט הישראלי, האם אתה מוכן לשמור על המחשב שלך קובץ שיזהה אותך?"; בעצם, ברור לנו למה שאלה כזו לא נשאלה.

4.
אז כן, מבחינת הגבלים עסקיים הממונה בחן, ראה, יצר קרטל קטן (וכדאי לקרוא את הפוסט של אורי ברייטמן על האתרים שלא נסקרים) ואפשר העברה של מידע לגבי התנהגות השוק. מה הבעיה כאן? וובכן, שאנחנו, הסחורה, לא ממש נשאלנו אם רוצים לסחור בנו. רק שיהיה ברור: באמצעות הטכנולוגיה של גמיוס אפשר, אבל לא בהכרח עושים זאת, לזהות אותך ברמה הפרסונאלית אם יש לך חשבון מזוהה באחד מהאתרים של ועדת המדרוג. כלומר: די בכך שיהיה לך חשבון דואר!וואלה! כדי לומר "בעל עוגיה 1234 הוא בעל החשבון 1234 בדואר וואלה והוא גם קרא את הכתבות בערוץ Ynet יחסים". זה לא מפחיד, זה פשוט אפשרי.

5.
אבל זה לא מעניין אף אחד בישראל; כל האתרים עסוקים בלדבר מי יותר גדול וכמה השוק הזה מתאושש. אף אחד לא מנסה לדבר על הפרטיות שלכם, כי חס וחלילה שמי מהאתרים הגדולים יסביר לכם איך פתאום כל המידע המעניין הזה הגיע לידיהם.

0. אבסטרקט
[ביום רביעי הקרוב אני ארצה כחלק מקבוצת המחקר של LiSS בכנס באוניברסיטת חיפה. זו ההרצאה שלי]. מאז 2003 ועד היום, ממשלת ישראל עבדה קשות על מנת לחוקק את חוק המאגר הביומטרי והצוים והתקנות לפיו. אולם, המאגר הביומטרי שיוקם הוא לא המאגר הביומטרי היחיד בישראל ולא יהיה המאגר היחיד שלרשויות שלטוניות יש גישה אליו. בהרצאתי הקצרה, אני אציג גישה שונה, ואשאל האם חוק המאגר באמת היה נחוץ ומה הסיבה לבחירה באקט תחיקתי כאשר הקימו את המאגר. בעת שאעשה כן, אבחן האם החוק דרוש כיוון שהאמנה החברתית נשברה או כיוון שזה היה אקט מגלומני מתוך רצון לעצור כל גישה אלטרנטיבית למאגר.

1. חוקי מאגרי מידע, פרטיות.
ראשית, אנחנו צריכים להבין כיצד מאגרי מידע ממשלתיים עובדים. נסתכל על חוק הגנת הפרטיות ונבין שזה חל גם על הסקטור הציבורי ולא רק על הפרטי; מעבר לכך, סעיף 23ד לחוק מאפשר לכל אדם את הזכות לדעת, בעת שהוא מוסר מידע לרשויות, מה השימושים שיעשו עם המידע וסעיף 23ג מאפשר לרשויות שלטוניות את העברת המידע בין רשות אחת לאחרת בעת שהדבר נחוץ על פי חוק או לצורך מילוי פעילותו של אותו הגוף. לבינתיים, אם זה היה רצון המחוקק, היה הוא יכול להקים מאגר מידע ולהפעיל אותו בהתאם לחוק הגנת הפרטיות, אך הוא לא היה יכול לחייב את האזרחים לתת את פרטיהם הביומטריים.

אז מה כן היה יכול המחוקק לעשות? הוא היה יכול לשנות את חוק מרשם האוכלוסין. חוק מרשם האוכלוסין הוא חוק שמסדיר את ניהול המרשם הישראלי (שכמו שראינו כבר,הודלף בעבר לאינטרנט); סעיף 2 לחוק הוא סעיף טכני לחלוטין, שכותב מהם השדות במסד הנתונים שירשמו, ואותם יש חובה לספק. במצב כזה, תיקון של החוק שיוסיף את סעיף "טביעת האצבע" היה יכול לטפל בבעיה, ללא כל תיקון חקיקה נוראי וארוך.

אולם, המחוקק הישראלי החליט להעביר חוק בן 30 עמודים, שמתאר לפרטי-פרטים את השימושים במידע. בכדי להבין מדוע, הבה נצייר כיצד מאגרים אחרים עובדים.

2. מאגרים ממשלתיים וחקיקה.
ראשית הבה נראה מהם המאגרים שחוקקו ומה לא; מאיר שטרית, יזם המאגר הביומטרי אמר בזמנו שבישראל יש מספיק מאגרים ביומטריים“. אולם, אם נבחן את הטענה שלו נמצא פרספקטיבה אחרת, כזו שאומרת מי נדרש ומתי נדרש אדם לספק את המידע הפרטי שלו בצורה רצונית למאגר המידע.

מהם בעצם המאגרים שהוסדרו בחקיקה? ראשית, יש לנו את חוק איסור הלבנת הון שהקים מאגר רגיש במיוחד, לאחריו יש את חוק מרשם האוכלוסין שלא הקים מאגר, אבל הרשה את איסוף המידע, מאגר הDNA המשטרתי (חוק סדר הדין הפלילי (סמכויות אכיפה – חיפוש בגוף החשוד)), והמרשם הפלילי (חוק המרשם הפלילי ותקנות השבים).

מנגד, יש לא מעט מאגרי מידע שמכילים מידע רגיש ואישי כמו המאגרים הסטטוטוריים, לרבות מאגר העובדים הזרים, מאגר בעלי רשיונות הנהיגה שלטענת משרד התחבורה, למרות שמכיל מידע ביומטרי אינו מאגר ביומטרי, ומעבר לכך, משרד התחבורה מעביר את המידע הזה למשרד הפנים), יש גם את מאגר המובטלים של לשכת התעסוקה, שמכיל מידע על טביעות אצבע ולסיום יש את מאגר המידע של משרד התחבורה בנוגע לשימוש בכרטיסי רב-קו והאזרחים המחזיקים אותם.

3. אז מדוע מחוקקים מאגרי מידע?
אנו יכולים לראות שלמרות שמספר מאגרים חוקקו בגלל הטבע הרגיש שלהם (נניח, הלבנת הון), אין הבדל מהותי בין רגישות המידע במאגרים מחוקקים ללא-מחוקקים; אין הבדל משמעותי בין המידע הפיננסי (הלבנת הון) לבין פרטים ביומטריים של עובד זר. אנחנו יכולים גם לומר שהחקיקה לא הגיעה בגלל הטבע הלא-וולונטרי של המידע; לאדם אין את הבחירה החופשית להיות מובטל או לא לנסוע הן ברכב והן בתחבורה ציבורית. אף אחד מהמאגרים הלא-מחוקקים אינו בהכרח וולונטרי, הם פשוט פונים לצרכים ספציפיים שמעמידים את האדם ה"מסכים" בפינה קשה ודורשים מהם לתת את הפרטים האישיים שלהם מעמדת נחיתות: האדם הוא מובטל, או שהוא מחפש עבודה בישראל, או שהוא רוצה לנסוע בישראל ברכב או באוטובוס. כל אלה הן פעולות בסיסיות שאדם לא יכול להסתדר בלעדיהן.

4. מדוע חקיקה?
כעת, נצא מהנחה תיאורטית שההקמה של המאגר הביומטרי היתה יכולה להעשות תוך חקיקה קצרה יותר. היתה אפשרות רק לשנות את חוק הדרכונים, מתוך הנחה שלרוב הישראלים יש דרכון, ולהחזיק את המידע הביומטרי ש"דרוש" לצורך הוצאת הדרכון; הממשל היה יכול גם ללכת באותה בדרך שמשרד התחבורה הלך, ולדרוש את מתן טביעות האצבע ואחסנתם. אלא, שהבחירה לחוקק את המאגר התקיימה, ומדוע?

הסיפור האמיתי הוא חוק הגנת הפרטיות, אבל לא הדרישה למתן "הסכמה מדעת" לפגיעה בפרטיות או הסעיף שדורש ליידע את האדם על זכויותיו, אלא בגלל סעיף 23ג. הבה נבחן את הסעיף:

ג. מסירת המידע מותרת, על אף האמור בסעיף 23ב, אם לא נאסרה בחיקוק או בעקרונות של אתיקה מקצועית –
(1) בין גופים ציבוריים, אם נתקיים אחד מאלה:
(א) מסירת המידע היא במסגרת הסמכויות או התפקידים של מוסר המידע והיא דרושה למטרת ביצוע חיקוק או למטרה במסגרת הסמכויות או התפקידים של מוסר המידע או מקבלו;
(ב) מסירת המידע היא לגוף ציבורי הרשאי לדרוש אותו מידע על פי דין מכל מקור אחר;
(2) מגוף ציבורי למשרד ממשלתי או למוסד מדינה אחר, או בין משרדים או מוסדות כאמור, אם מסירת המידע דרושה למטרת ביצוע כל חיקוק או למטרה במסגרת הסמכויות או התפקידים של מוסר המידע או מקבלו;
אולם לא יימסר מידע כאמור שניתן בתנאי שלא יימסר לאחר.

וובכן, צריך לקרוא את הסעיף בזהירות, למרות שלכאורה מדובר על היתר גורף למתן המידע. יכול היה לקום מאגר מידע ביומטרי כלל ארצי, אבל במצב כזה למשטרה (ולשאר כוחות הבטחון) לא היתה יכולה להנתן הגישה למידע. מדוע? בהתחשב בכך שסעיפים 23ג(א)(1) ו23ג(א)(2) לא מאשרים את זה. החוק אומר במפורשות שלמשטרה תהיה הסמכות לדרוש את המידע במקור. אולם, המשטרה לא רשאית להכריח אדם לתת את פרטיו הביומטריים סתם כך ולהקים מאגרים, ומשרד הפנים לא היה מוסמך בחוק להעביר מידע כזה למשטרה.

כלומר, בניגוד למאגרים אחרים, ניוד המידע והניתוק בינו לבין הסיבה לאיסופו היא מה שהביא לצורך האמיתי בחקיקה.

5. פסילת גורמים אחרים.
כעת, אנו יכולים לתהות האם זו באמת הסיבה; האם יש יד נעלמה שדרשה זו. הסיבה היחידה להסביר חקיקה באורך 30 עמודים היא לבחון את החלופות שעמדו מול הממשלה: הממשלה דחתה את הצעת עדי שמיר, להקים מאגר מידע לא מזהה ואת הבחירה להמנע מלאחסן הן את טביעות האצבע והן את תמונות הפנים שלו (כאשר בבירור נאמר על ידי משרד הפנים שהם אינם זקוקים הן לצילום פנים והן לטביעת אצבע,על ידי יורם אורן שהבהיר שניתן להשיג מאגר אמין גם ללא שתיהן). כלומר, למחוקק עמדו לפחות שתי אלטרנטיבות שלא סתדרו את הגישה למאגר שמונע הרכשה כפולה ולא מכיל מידע כל כך רגיש, אבל הוא בחר לדחות זאת.

פסילת האפשרות של ניהול המאגר ללא חקיקה יכולה להיות חלק מהדיון אחר כך כאשר ידון חוקתיות החוק בבתי המשפט, אבל זה לא העקרון. הבחירה בין חקיקה לבין בניית ארכיטקטורה אחרת מובאת אך ורק כדי לאפשר את המעקב, וזה העקרון.

6. סיכום
אנו יודע שהמחוקק יכל היה לבחור לא לחוקק מאגר (או להקים אותו מבלי לחוקק), ושהוא היה יכול להקים את המאגר מהר יותר, ללא כל פיילון ואף לכפות אותו על האזרחים. אך במצב כזה, המשטרה וגורמי אבטחה אחרים לא היו יכולים לקבל גישה למאגר. לכן, ההסתכלות על החקיקה חייבת להעשות דרך המשקפת הזו: של מטרת החוק והיא הקמת מאגר משטרתי של כל אזרחי ישראל.

[פורסם במקור באנגלית]

0. מבוא: מהי מדיניות פרטיות [או בעצם: יהונתן, למה אתה כותב לנו פוסט כזה משמים?].

לאחרונה צצים יותר ויותר מקרים בהם 'מתגלה' כי שירות טכנולוגי כזה או אחר 'בוגד' במשתמשיו ומרגל אחריו. לעיתים, קורה מקרה אחר, ובגלל שינוי במדיניות מסוימת בשירות קמים משתמשים זועמים ובוכים על הפגיעה בפרטיותם (וחלק, אפילו, מגישים תביעה ייצוגית בנושא: ת"צ 4091/10 אמל ג'ראיסי נ' גוגל ישראל בע"מ ואח'). חלק מהמקרים מביאים לכך מביאים לכך שגולשים חרדים לפרטיותם ומבינים את הצורך בשינויים אך מפחדים מהעתיד. לצורך כך חשוב להבין: האינטרנט הוא מחסן של שירותים שסוחרים במידע: החל מטוקבקים, בהם בני אדם סוחרים בידע שלהם ובביטויים שלהם תמורת חשיפה באמצעי תקשורת, וכתוצאה מכך מותירים בידי ספק השירות מידע עודף שהוא יכול לעשות בו שימוש, דרך הרשמה לרשת חברתית שדורשת ויתור משמעותי על הזכות להעזב בשקט ועד רכישה של מוסיקה, בה מצד אחד הרוכש מספק לחנות את פרטי האשראי שלו, העדפותיו המוסיקליות, כתובת הIP שלו ואף את סוג המחשב שלו, ומנגד מקבל מהחנות עותק של קובץ שיאסוף עליו מידע נוסף בהמשך הדרך.

חברת המידע ושירותי המידע מבוססים על כך שבכל שירות אינטרנטי כמעט מועבר (ובדרך כלל נשמר) מידע שהוא הכרחי לצורך יצירת הקשר והשירות האינטרנטי, אך אינו תמיד הכרחי לשמירה לאחר מכן. מטבעו של מידע עודף זה, ניתן לעשות בו שימושים מאוחרים יותר, כמו פילוח של גולשים מסוימים לקבוצות מסוימות, ניתוחים סטטיסטיים מעניינים או סתם שליחת ספאם לאחר מכן על סמך מאגר המידע שנוצר.

נשווה, לרגע, בין רכישה של מכנסיים ברשת לבין רכישה פיסית. לצורך רכישה פיסית, אדם נכנס לחנות, משלם (במזומן או באשראי) על המכנסיים ויוצא. החנווני יכול לשמור (אם הוא צריך) את המועד בו נרכשו המכנסיים, ובמקרה וצריך זאת לצרכי האשראי, הוא שומר גם נתונים על עסקאת האשראי: זה כל המידע שנשמר אצלו אלא אם הלקוח הצטרף למועדון לקוחות עלום. מנגד, בעסקה אינטרנטית מקבלת החנות הוירטואלית מידע בשם HTTP Referrer שמספק מידע לחנות על המקום ממנו הגעת (החל מ"הגעת מחיפוש בגוגל אחרי 'מכנסיים שלא יגרמו לי להראות הומו'" ועד "הגעת מלינק בפורום 'מחפשים בגדים שעשויים מפרווה של ארנבים' בתפוז"), לאחר מכן, החנות מקבלת את כתובת הIP שלך, שירות הסטטיסטיקה של החנות יכול גם לשמור את רשימת העמודים שצפית בהם (מקביל ל"המכנסיים שמדדת בחנות"); כדי למלא את עגלת הקניות שלך ולזהות אותך, החנות גם משאירה על המחשב שלך עוגיה (Cookie) שתאפשר לחנות לזכור אותך ואת העדפותייך בפעם הבאה, גם אם לא נרשמת לאתר. לצורך הרכישה אתה מספק לחנות גם מידע מעניין לצורך ביצוע המשלוח: את שמך המלא, כתובתך, מספר הטלפון שלך, כתובת הדואר האלקטרוני שלך ופרטי כרטיס האשראי שלך.

כעת, ההבדלים בין העסקה האינטרנטית שלך לבין הפיסית ברורים יותר: לכן, כיוון שקודם כל, בניגוד לחנות פיסית, יש הכרח לשמור לפחות חלק מהמידע, הוחלט להכיר בזכות של אדם לקבל דיווח על הפרטים שנשמרים אודותיו (ולקיים את דרישות האמנה האירופית להגנה על פרטיות וסעיף 11 לחוק הגנת הפרטיות). לצורך מימוש הזכות, ישנה חובה להציג בפני כל אדם שנשמר מידע אודותיו מדיניות פרטיות. מדיניות הפרטיות יכולה להיות חלק מהסכם השימוש באתר האינטרנט (או השירות הוירטואלי) או להיות מסמך נפרד, וזאת כדי להגשים את הידע של המשתמש.

בפועל, מה שקורה הוא שבמקרים רבים המסמך כתוב בניב קשה של עורכדינית שמובן אולי לכותב המסמך ובמקרים אחרים המסמך נחבא עמוק כל כך בסעיפים אחרים כך שאי אפשר להבין בדיוק איזה מידע נשמר.

את הפוסט הזה אני כותב כדי שתוכלו להבין בדיוק כיצד אפשר לקרוא את המסמך, ואם אתם עורכי דין, אז תדעו איך לנסח מדיניות פרטיות עבור הלקוחות שלכם. אם אתם מפתחי אפליקציות (או עורכי דין עצלים) חשוב לזכור שהדבר הרע ביותר שאתם יכולים לעשות הוא להעתיק מדיניות פרטיות של מפתחים אחרים: מלבד כך שמדובר בהפרה של זכויות יוצרים (א 72672/04 יוסף עזגד נ' יעקב שפיגלמן, א 38116/05 עו"ד יעקב קלדרון נ' עו"ד חנן גזית, א 7417/05 סורוקר-אגמון נ' ארטמן) צריך לזכור שהמסמך הותאם אישית עבור אפליקציה מסוימת והעתקת המסמך, גם אם השירותים עושים אותו הדבר, לא תועיל כיוון שכל שירות, מסיבותיו שלו, שומר מידע שונה לגמרי.

כעת, חשוב לדעת שיש מספר מחוללי מדיניות פרטיות, חלקם בחינם וחלקם בתשלום. אלא, שמבחינה ראשונית שלי, ולא בדיוק כמו EULA שיכול להיות מסמך סטנדרטי לגמרי בתשעים ומשהו אחוז מהמקרים, מדיניות פרטיות אינה יכולה להיות מסמך שנוצר על ידי מחולל. כתיבת מדיניות הפרטיות חייבת להיות מלווה על ידי ייעוץ של עורך דין שיבחן האם כלל מותר לשמור את המידע וכיצד יש לטפל בו, הייעוץ חייב להיות מלווה בהדרכה על האפשרויות והדרכים להגן על הפרטים האישיים של המשתמשים ולבדוק את ההסכמים עם צדדים שלישיים. אם זה היה תלוי במפתחים, רבים מהם היו אומרים "כתוב במדיניות פרטיות שאנחנו שומרים את כל המידע שהמשתמש מספק" וזהו.

1.מדוע צריך מדיניות פרטיות?

מדיניות הפרטיות יוצרת צפיה סבירה לפרטיות אצל הגולש (10-CV-027-BLW Cornelius v. Deluca). כלומר, הגולש שנכנס לאתר, כהדיוט, בדרך כלל לא קורא את מדיניות הפרטיות ואף אינו מודע לכך שבדרך כלל מטרת מדיניות הפרטיות היא להפקיע את הפרטיות שלו ולא להגביר אותה (ולעיתים אף הוא לא יוכל לתבוע בגללה או שהיא תגן על אתר האינטרנט: In re JetBlue Airways Corp. Privacy Litigation, 79 F. Supp. 2d 299). כלומר, מבחינת מפעיל אתר האינטרנט או האפליקציה, מטרת מדיניות הפרטיות היא להגן עליו מפני תביעות פוטנציאליות; שימו לב, לדוגמא, שבתביעה הייצוגית בישראל נגד גוגל על הפרת הפרטיות בשירות גוגל באזז (עניין ג'ריאסי) דחה בית המשפט את התביעה בעיקר כיוון שלא הוצגה בפניו מדיניות הפרטיות של גוגל.

2. הוראות החקיקה הרלוונטיות [או למה יהונתן משעמם אותנו עם סעיפים ומספרים].

ישראל לאחרונה קיבלה הכרה כי חוקיה ופעילותה הולמים את הסטנדרטים המקובלים באיחוד האירופי להגנה על פרטיות. הדבר אומר שבפועל ניתן, לכן, להעביר מידע בין ישראל לאירופה ולהפך ולהנות מהבטחה כי לא תהיה בכך בעיה משפטית. ומדוע אמורה להיות בעיה כזו? האמנה האירופית להגנה על פרטיות קובעת, בין שאר האיסורים וההגבלות, איסור על העברת מידע מאירופה למדינות בהן אין הגנה הולמת על פרטיות. כלומר, אם אתה מפעיל שירות ישראלי, ולישראל לא היתה הגנה זהה להגנה באירופה, לא היית יכול לשמור מידע על אזרחים אירופים.

ישראל היא לא כזו בעייתית לעומת ארצות הברית, בה אין חקיקה הולמת (בעיקר כיוון שחקיקת הגנת הפרטיות בארצות הברית אינה תמיד פדראלית אלא בעיקר מדינתית). ולכן, כחלק ממדיניות ההסדרה העצמית הקים משרד הייצוא האמריקאי את אתר הSafe Harbor שמאפשר לחברות העוסקות בעיבוד של מידע אירופי לקבל על עצמן את עקרונות ההסדרה האירופית ולהגן על עצמן. מדובר בסדרה של מדריכים שמסבירים בדיוק כיצד להחיל את עקרונות הפרטיות.

הסדרה עצמית נוספת קיימת מצדן של Google וFacebook. גוגל דורשת מכל אתר אינטרנט המציג פרסומות של Adsense להציג מדיניות פרטיות באתרו ופייסבוק דורשת כי בכל אפליקציה שתפעל באמצעות הפלטפורמה תהיה מדיניות פרטיות כדי לספק לגולשים מידע על הפרטיות. לעיתים, ההסדרה העצמית הזו עדיפה על חקיקה, כיוון שהרבה יותר קל לאכוף אותה: בניגוד להגנת הפרטיות בה רשויות אכיפת החוק לא ממש ירוצו לפשוט על משרדי חברות אינטרנט, בעלי פלטפורמות כמו Facebook יאכפו בקלות יתרה את החוק, ולעיתים בקלות יתרה מדי.

3. כיצד לנסח מדיניות פרטיות:

נדמה לי שהרבה יותר קל היה לכתוב פוסט על איך לא מנסחים מדיניות פרטיות. לאתרים רבים יש מדיניות פרטיות שמשתמשות בשפה עמומה ולא הגיונית ולעיתים היא פשוט לא קשורה למידע שנאסף (כמו שנמצא במחקר של מיכאל בירנהק וניבה אלקין-קורן, Does Law Matter? Informational Privacy and Online Compliance in Israeli Web Sites).

מדיניות פרטיות צריכה להיות כתובה בשפה פשוטה וקריאה, כך שהמשתמש הפשוט ביותר יוכל להבין אותה. הסיבה לכך היא בעיקר היכולת לאכוף את המדיניות לאחר מכן: ככל שתוכל להראות כי המשתמש קרא את ההסכם והבין אותו, כך לבסוף תוכל גם לאכוף אותו בבית משפט וטענות של "ההסכם היה לא קריא" ידחו (Dyer v. Northwest Airlines Corporations, 334 F. Supp. 2d 1196 – Dist. Court, D.).

אז בואו נקח דוגמא אחת טובה ואחת (וחצי) רעה. נתחיל ברעה. הדוגמא הרעה ביותר שנתקלתי בה היא מדיניות הפרטיות של Facebook, לא בגלל מדיניות הפרטיות עצמה אלא בגלל העדר היכול להבין או לקרוא את המסמך. מדיניות הפרטיות של פייסבוק ששונתה לאחרונה כך שתהיה "קריאה יותר לבני אדם" הפכה לאינדקס מסורבל שלא מאפשר למצוא את פרטי המידע בקלות ומנסה להפריד את המידע לפרטי מידע שונים כמו "איזה מידע אנו אוספים עלייך" כאשר כמות הקליקים שהגולש צריך לעבור על מנת לקבל את המידע אינה בהכרח מאפשרת לו לקבל את כל המידע בצורה פשוטה. דוגמא רעה נוספת היא מדיניות הפרטיות של גוגל, שאמנם מפרטת איזה מידע נשמר, אבל היא לא מפרידה בין שירותים שונים ומסבירה האם גוגל מעבירה בין השירותים מידע.

דוגמא טובה היא דווקא מדיניות הפרטיות של טוויטר. המדיניות מסבירה בשפה פשוטה, קריאה ואיכותית את השימושים שנעשים במידע, את הזכות של כל משתמש להעביר או לא להעביר מידע ואיזה חלק מאיזה שירות ישמש בדיוק לאיזו פעילות. גם אז, מדיניות הפרטיות של טוויטר לא תעמוד בכל הדרישות שאנו מציבים בפוסט הזה, אבל היא עדיין ברורה למשתמש.

4. כיצד לקרוא מדיניות? [או, נו, תעשו פאשלה כדי שאני אוכל להגיש תובענה ייצוגית]

כשאתה קורא מדיניות פרטיות, הדבר הראשון שצריך לעשות הוא למצוא האם כתובה במדיניות זהות מפעילי האתר. באתרים רבים, במיוחד ישראלים, יש נטיה לא לפרט מיהו מקבל המידע אלא לכתוב דברים כמו "הסכם זה הוא הסכם בינך לבין מפעיל האתר או מי מטעמו". כמו כן, אם אין את הכתובת המדויקת של מנהל האתר ושמו (או שם החברה שמפעילה את האתר), הרי שבכך מופרות הוראות סעיף 11 לחוק הגנת הפרטיות שמחייב את מנהל המאגר להודיע "למי יימסר המידע ומטרות המסירה".

חוץ מזהות מנהל האתר, חשוב לבדוק האם קיימת אפשרות לעיין במידע או לתקן אותו במידע והוא מסולף. כך, לדוגמא, מדיניות הפרטיות של אתר זאפ אינה מאפשרת עיון במידע, אלא רק את מחיקתו. בנוסף ליכולת לעיין במידע, חייבת להיות גם אפשרות למחוק את המידע מהאתר (ולא כמו Deactivate של פייסבוק, אלא מחיקה ממשית).

כעת, לאחר שבדקנו את הדברים החשובים האלה, צריך לראות עם מי עוד חולק האתר את המידע האישי שלך. לדוגמא, גם אם מדיניות הפרטיות של אתר Ynet היא פשוטה, איכותית וקלה לקריאה, הרי שYnet לא מפרטים בדיוק מיהם ספקי השירות שמקבלים מידע כשירותי צד ג' ואומר כי: "השימוש שחברות אלה עושות ב-Cookies ובמשואות רשת כפוף למדיניות הפרטיות שלהן ולא למדיניות זו של אתרי ynet. אם אתה רוצה לבדוק את מדיניות הפרטיות של החברות, המנהלות את מערך הפרסום ב-ynet, תוכל לעשות כן באמצעות אתרי האינטרנט שלהן". כל עוד אין פירוט מלא של מיהם שירותי הצד השלישי, הרי שיש בעיה רצינית של פרטיות כאן.

5. השאלות עליהן צריך לענות:

מדיניות פרטיות צריכה להיות מנוסחת בצורה של שאלות ותשובות. מדובר על עשר שאלות פשוטות בסך הכל, כאשר מדיניות הפרטיות יכולה להיות קצרה במיוחד אך עדיין להכיל את התשובות האלה, ולהגשים את כל המטרות. אם אין תשובות על חלק מהשאלות האלה, הרי שצריך להתעורר חשד כלשהוא וצריך לבדוק מה בדיוק הולך מאחורי הקלעים.

5.1 מי הצד?

כמו שהסברתי כבר, השאלה הראשונה היא "מי הצד?"; לא מספיק להשתמש במונחים עמומים כמו "מפעיל האתר" אלא צריך לפרט את שם מפעיל האתר, כתובת ליצירת קשר עמו וכל המידע הזה. כמו חנות הבגדים, שקיימת בכתובת ממשית ורשומה על שמו של עוסק מורשה מסוים, כך צריך להיות גם במדיניות פרטיות.

5.2 איזה מידע פרטי נשמר?

השאלה החשובה ביותר היא איזה מידע פרטי נשמר (או מתבקש מהמשתמש). הצהרות עמומות כמו "אנו שומרים את כל המידע הפרטי" או "אנו שומרים מידע שאתה מספק לנו" לא יכולות להספיק, וצריך פירוט של הרכיבים: החל מכתובת IP, כתובת דואר אלקטרוני, שם מלא ועד חשבונות משתמש בשירותים אחרים.

5.3 איזה מידע לא פרטי נשמר?

גם מידע לא מזהה אישית יכול להיות בעייתי ולכן מדיניות הפרטיות צריכה לפרט גם את המידע הלא פרטי שנשמר, דברים כמו מיקום גיאוגרפי מקורב, ספקית אינטרנט או האתר שהפנה את המשתמש לאתר. לכן, מדיניות הפרטיות צריכה גם להכיל רשימה של המידע הלא-מזהה שנשמר, במיוחד לאחר מאמרו של פול אוהם, "Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization". אוהם הצליח להראות כי באמצעות תאריך הלידה של אדם, המיקוד שלו ומגדרו ניתן להגיע לקירוב מדויק יחסית של זהותו של אדם לאחר הצלבה עם מידע אחר.

5.4 איזה מידע לא נשמר?

שאלה חשובה לא פחות משאלת המידע שנשמר היא שאלת המידע שלא נשמר. לפי האמנה האירופית, לדוגמא, יש איסור על אגירה של מידע הקשור לנתוני גזע, אמונות פילוסופיות וכדומה. כמו כן, חשוב לדעת האם האתר שומר או לא שומר את פרטי כרטיס האשראי של אדם מסוים.

5.5 כיצד המידע מעובד?

השאלה "מה עושים עם המידע שלך" כוללת את השאלה הבאה, "למי מועבר המידע", אבל גם איך מעבדים אותו: האם מכניסים אותך לקבוצת משתמשים שנכללת בפרופיל מסוים, האם מייצרים על סמך המידע הזה פילוחים סטטיסטיים או האם מייצרים ממנו מידע לא-מזהה. זכותך, כמשתמש, לדעת בדיוק איך (אולי לא ברמת הסוד המסחרי) המידע מעובד.

5.6 למי עוד מועבר המידע?

השאלה למי עוד מועבר המידע יכולה להיות בעייתית כאשר לדוגמא מידע מועבר לרשויות אכיפת החוק או כאשר מדיניות הפרטיות של Dropbox מאפשרת העברת מידע לצדדים שלישיים לאחר קבלת צו שיפוטי, אלא שהשאלה של צו שיפוטי היא נחמדה, אבל ישנם שירותים שמעבירים מידע גם לצדדים קשורים. כך, מדיניות הפרטיות של Ynet קובעת כי "בעת שתרכוש מוצרים ושירותים משותפי-מסחר ותוכן של ידיעות אינטרנט, או בעת שתיקח חלק בפעילויות תוכן של צד שלישי, או בפעילויות משותפות לידיעות אינטרנט ולצד שלישי המוצגות באתרי ynet. במקרים אלה יועבר לשותפים אלה המידע הדרוש להם לשם השלמת תהליך הרכישה, ניהול פעילות התוכן הרלבנטית ושמירת הקשר איתך". העברת מידע מסוג נוסף היא לדוגמא העברת מידע עלייך לחברים ברשת חברתית מסוימת, וגם את זה צריך להבהיר במדיניות הפרטיות.

5.7 איזה שימושים נעשים במידע?

השימושים במידע הם לא רק יצירת פרופילים אלא יכולים להיות גם פרסום של הודעות הסטטוס שלך, שעשויות להיות מידע אישי, הצגת התמונה שלך במנועי חיפוש וכדומה. לכן, חשוב להבהיר מהם השימושים שנעשים במידע האישי שלך, כולל לדוגמא: מתן אפשרות למשתמשים בשירות לאתר ג'יידייט לחפש אחר משתמשים מוגדר במדיניות הפרטיות כ"הינך מסכים כי נעשה שימוש במידע אישי מזהה אודותיך, ובכל נתון ליצירת קשר כפי שסופק על ידך בהליך הרישום לאתר, לשיפור מאמצי השיווק וקידום המכירות שלנו, לניתוח דרכי שימוש באתר אינטרנט, לשיפור היצע המוצרים והשירותים שלנו, ולהתאמת התוכן, ההצגה והשירותים המוצעים באתרי האינטרנט שלנו".

שימושים נוספים במידע יכולים להיות ספאם; כך, גם נשוב למדיניות הפרטיות של ג'יידייט: "הינך מסכים כי נוכל לעשות שימוש במידע אישי אודותיך לטובת העברת מידע שיווקי המותאם בצורה טובה יותר לתחומי העניין שלך, כמו פרסומות מוכוונות, הודעות אדמיניסטרטיביות, היצע מוצרים, והודעות דואר אלקטרוני הנוגעות לשימוש שלך באתר". חשוב לחפש סעיפים מהסוג הזה. ההעדפה האישית שלי היא להכליל את הספאם בתת-קטגוריה שונה, בין היתר בגלל הקונסטרוקטיביות הדרושה להסכמה לקבלת ספאם ובגלל המפורשות: ככל שההבהרה תהיה מפורשת יותר, כך יש יותר סיכוי שבית המשפט יקבל אותה כהסכמה מודעת (ת"ק 11351-09-10 רונן לביא נ' גיא כהן ואח', ת"ק 5621-10-09 עופר קוך נ' גלובל נטוורקס אי.סי.אי בע"מ, ת"ק 13729-11-09 קורן מידן נ' גלובל נטוורקס אי.סי.איי בע"מ)

5.8 כיצד ניתן לעיין במידע או למחוק אותו?

כפי שהסברנו קודם, זכות העיון במידע והזכות למחוק אותו משתייכות לתפישה לפיה המשתמש הוא בעל המידע. ככזה, אמורה להיות לו הזכות לבקש כי יפסיקו להשתמש במידע עליו ולדעת בדיוק איזה מידע נשמר. לכן, מדיניות הפרטיות חייבת להציג למשתמש חלופה בה הוא יכול לעיין במידע, בין אם על ידי בקשה אישית (בדואר אלקטרוני, נניח) או באמצעות דרך הפעילות הרגילה של האתר; כך לדוגמא, Google Dashboard מאפשר לך לקבל מידע על כל השירותים שגוגל מנהלת ואת כל המידע שאגור עלייך.

5.9 שירותי צד ג' הפועלים באתר.

דיווח מלא על שירותי צד ג' דרוש לא רק כיוון שאלה מהווים כיום חלק בלתי נפרד מהאתר, אלא בעיקר כיוון שהם נעלמים בפני המשתמש. בדרך כלל, זה אינו יודע מי שירות הסטטיסטיקה בו מנהל האתר משתמש והאם נגן הוידאו שומר עוד מידע מזהה. חשוב לפרט ככל האפשר מהם השירותים כך שמי שמשתמש יוכל לוודא האם הוא מסכים למדיניות הפרטיות של שירותים אלה. מעבר לזה, חשוב לנסות (אם הדבר אפשרי) לתת למשתמש דרך לבטל את שירותי הצד השלישי אם אינו מסכים להם (לדוגמא: לא להציג סרטונים מYoutube או לבחור את האפשרות להגביר את הפרטיות, עם כל הבעיות הקיימות בכך.

5.10 כיצד ניתן לטפל בהפרות פרטיות?

לבסוף, מדיניות הפרטיות צריכה להכיל הסבר כיצד להתמודד עם הפרות של פרטיות: מהן הדרכים לדווח עליהן, מהם הפיצויים שינתנו ואיך ניתן לקבל דיווחים על בעיות פרטיות באתר. הדיווח צריך להיות כן וראוי שיהיה גם "קצין פרטיות" בכל עסק שמפעיל מדיניות פרטיות, גם אם הוא אינו במשרה מלאה.

6. לסיכום:

מדיניות פרטיות אינה נושא קל. מדובר על אחד הנושאים הכבדים ביותר והבעייתיים ביותר שאפשר לטפל בו, שדורש ידע טכנולוגי ומשפטי רב. ברוב המקרים אנשים מעתיקים מדיניות פרטיות, משתמשים במחוללים או סתם בוחרים להתעלם מהדרישה; וברוב המקרים לא נגרם שום נזק. הצורך במדיניות פרטיות היא כשאכן קורה משהו: אז צריך לפנות למדיניות ולראות איך מטפלים בנושא. במצב כזה, יכול להיות, עדיף להשקיע את הזמן והכסף בניסוח מדיניות פרטיות מאשר להתחרט אחר כך.

כשאנחנו גולשים באינטרנט, כל אחד מאיתנו משאיר מידע עודף. חלק מהמידע הזה יכול לשמש לזהות אותנו אישית וספציפית, כגון כתובת IP, מחרוזת הUserAgent או Cookies שמשייכות אותנו לחשבון משתמש ספציפי. חלק נוסף מהמידע מאפשר לפלח אותנו לפרופילים מסויימים או לדעת מידע פרטי עלינו על סמך היסטוריית הגלישה שלנו. בעת הגלישה באתר מסוים, נניח (לצורך העניין בלבד), TheMarker: בעת הגלישה באתר, עמוד האינטרנט קורא לשלל שירותים: שירות הוידאו של BrightCove, שירות Facebook Connect שמאפשר לקבל המלצות תוכן מבוססות על הרשת החברתית של אדם, שירות Google Analytics שמספק סטטיסטיקות על הגלישה באתר ושירות Chartbeat שמאפשר לקבל סטטיסטקות גם כן.

כל אחד משירותים אלה רץ אל המשתמש ומשתיל במחשבו Cookie אשר מספקת לו מספר מזהה; המספר לא מכיל פרטים אישיים, אלא רק מאפשר לספק השירותים לזהות בכל פעם כי מדובר באותו משתמש. לעיתים, בשירותים כמו Facebook Connect, הCookie מאפשר לזהות כי מדובר במשתמש רשום בשם X אשר מחובר לחשבונו.

שירותים אלה רצים בלא מעט אתרים, ולא רק באתר TheMarker. לספק השירות יש את האפשרות לקבל מידע רב ולהצליב אותו על מנת להפיק ערך משמעותי מהגלישה (ואני ממליץ לקרוא את הפוסט הזה מהארכיון על בעיות הפרטיות בשירותי צד ג').

המידע שנאסף על ידי שירותים מסוג זה הוא משמעותי; הוא משמעותי בעיקר כי המשתמש התמים לא יודע על קיומם (הרי בלי להכנס לקוד הHTML הוא לא יכול לדעת על קיומם) וכיוון שהוא לא בהכרח יכול להביע הסכמה מפורשת למדיניות הפרטיות שלהם.

לצורך פתרון בעיה משפטית זו, של שימוש במידע על הגולש ללא הסכמתו, ניסו לקום שני פתרונות: האחד משפטי והשני משפטי-טכנולוגי. הפתרון המשפטי אומץ באירופה על ידי דירקטיבה שאמורה לאפשר למשתמש שליטה יותר מקיפה על פרטיותו באמצעות הטלת חובות על שירותי צד ג' שאוספים מידע (לדוגמא מוצלחת לבעיה בדירקטיבה לחצו כאן). הפתרון בעייתי מאוד, ואפילו לא בטוח שאפשרי כיוון שחלק ניכר מאתרי  האינטרנט אינם נמצאים באירופה ולא ימהרו לאמץ את הגישה האירופית לפרטיות.

הפתרון הטכנולוגי בא מבית יצרני הדפדפנים ושמו Do Not Track. הפתרון הוא חצי משפטי וחצי טכנולוגי, והרעיון הוא כזה: בעת שאתה גולש לעמוד מסוים, דפדפן האינטרנט שלך ישלח הודעה כי אינך מעוניין שיעקבו אחרייך. במצב כזה, שירותי צד ג' ישמרו את המידע על התנהגותך, אך לא בצורה מזהה ולא יציגו לך פרסומות המבוססות על התנהגותך. הרעיון הוא נחמד, ואפילו יוטמע על ידי חלק ניכר מהדפדפנים בגרסאות קרובות שלהם, אלא שהוא יוצר שתי בעיות: הבעיה הראשונה היא הדרישה ששירותי צד ג' יהיו הוגנים. כלומר, למשתמש אין שום דרך לדעת האם שירות מעקב פלוני באמת מציית לו ולא שומר מידע מזהה או שהוא שומר את המידע.

הבעיה השניה היא שגם אם השירות הוגן, הוא עדיין שומר מידע "אנונימי"; כלומר, הוא שומר את המידע המזהה אבל לא משתמש בו לצרכי הצגת פרסומות. במצב כזה, אותם שירותים כן יוכלו להשתמש במידע לצורך יצירת פילוח למשתמשים אחרים; אם יהונתן אהב את עמוד "לתת את ג'סטין ביבר לחמאס תמורת גלעד שליט" וגם קרא את "חמישה דברים שלא ידעתם על משה קצב" ואז קנה משקפת קומפקטית באתר דיל אקסטרים אז כנראה שגם האדם הבא שיקרא את שני העמודים האלה יחפש משהו שקשור למשקפות קומפקטיות; יהונתן לא יהיה מזוהה מול ספק שירותי צד ג' כיהונתן, אבל הוא יקרא "משתמש אנונימי X".

הדרך הפשוטה להתמודד עם רושעות מסוג זה היא דווקא לא לסמוך כלל על ספקי השירות, ולחסום בצורה גורפת את היכולת שלהם לנהל מעקב. הדבר יכול להשפיע על חלק מהשירותים (לדוגמא, אם תחסמו את Facebook Connect לא תוכלו אלו כתבות חברים שלכם אהבו באתר מסוים, אבל זה בכל מקרה לא מעניין) ויכול להאיץ את הגלישה מעט כיוון שלשירותים האלה לוקח מעט זמן לעלות. הדבר אפשרי רק בדפדפן Firefox בתצורה שאני מציג, וזו הסיבה העיקרית שאני עדיין עובד עם הדפדפן הזה, למרות כל החסרונות שבו.

לצורך כך ניתן לעשות שני דברים חשובים: הראשון הוא פשוט מאוד, וזה לבטל את כל עוגיות צד ג'. זה עשוי לפגוע בפונקציונאליות של חלק מהאתרים (כגון הצגה של סרטוני YouTube לעיתים). הדרך לעשות זאת בFirefox היא פשוטה למדי, נכנסים לאפשרויות, ומבטלים את האפשרות לשימוש בעוגיות צד ג':

הצעד השני יותר מסובך (והוא דורש קצת עבודה): לחסום כל שירות צד ג' מרושע, ולא רק את העוגיות שלו. קודם כל יש להתקין את תוסף AdBlock Plus. שוב, זה יעבוד רק בפיירפוקס, אם אתם משתמשים בChrome, אז הדרך שבה חוסם הפרסומות עובד לא ממש עוזרת כיוון שהוא טוען את הרושעות קודם ורק אחר כך חוסם אותן. כך, לדוגמא אם התוסף מותקן אז לפעמים (כנראה יותר מפחות) שירותי צד ג' כן נטענים:

לאחר ההתקנה של Adblock Plus יש להרשם למספר רשימות, בינהם הרשימה הישראלית. לאחר מכן, צריך להוסיף את רשימת חסימת הפרסומות שלי. הרשימה היא אגרסיבית למדי, וחוסמת הרבה דברים שאני לא רואה כנחוצים בעת הגלישה (לדוגמא, כשהתקנתי אותה על המחשב של בת הזוג היא שאלה למה אתר תפוז לא עובד לה, והסברתי לה שאני חוסם את כל האתר כי אין בו יותר מדי פרטים שרלוונטים עבורי, ויותר קל לחסום את כולו). לאחר מספר תלונות סידרתי את זה, ואת אתר נענע. כדי להתקין את רשימת הפילטריםפ יש להכנס להעדפות של Adblock Plus ולבחור הוספה של Filter Subscription, לאחר מכן לבחור להוסיף מנוי אחר ולהזין את הפרטים:

שימוש כזה מייתר את השימוש במערכת כמו Do Not Track כיוון שהוא מחזק את הפרטיות בצורה טכנולוגית ומונע את היכולת של רושעות או שירותי צד ג' לעשות שימוש אגרסיבי במידע שלנו. החסרון העיקרי שלו הוא שצריך לעקוב אחר התפתחויות בשוק והשקה של שירותי מעקב או פרסום צד ג' נוספים, וככל שכאלה קמים להוסיף אותם לרשימה הקיימת.

אם יש לכם שורות להוסיף לרשימה או הצעות לשיפורים בה, אני אשמח לקבל אותן כאן בתגובות או במייל.

פרויקט What They Know של הWall Street Journal הוא פרויקט מקיף, שלראשונה מוציא בעיתונות הפופולרית מידע על המעקב שמבצעים אתרי אינטרנט על גולשיהם, וכיצד שירותים חולקים מידע. הממצאים הרבים בנוגע לTracking Cookies ומעורבות של מיקרוסופט באי-אבטחת הדפדפן על מנת לאפשר למפרסמים לקבל יותר מידע היו מידע שבנחלת הכלל כבר שנים, פשוט לאף אחד לא היה איכפת. ככלל, כמעט כל האתרים הגדולים מאפשרים לשירותים שונים ומשונים לשתול עוגיה בתוך המחשב של המשתמש, שמאפשרת לזהות אותו לא רק באתר שבו נשתלה העוגיה אלא גם באתרים אחרים. אותה Third Party Cookie היא עוגיה שנשתלת על ידי שירות מסוים, שאינו חייב להיות זדוני, ומשייכת את הדפדפן למספר מזהה כלשהוא; לאחר מכן, כל עמוד אליו אותו דפדפן גולש, שמכיל את השירות הזה, מאפשר לעקוב אחריו ולדעת מה הוא עוד עשה.

המחקר של מיכאל בירנהק וניבה אלקין-קורן על פרטיות באתרי אינטרנט ישראלים הראה שלאף אחד לא באמת איכפת מהפרטיות של המשתמשים שלו. אולם את המסקנה הזו רואים בכל יום; כל שירות חדש שמנסה לחדש, לשנות ולקדם את החברה מכיל בעיות פרטיות לא קטנות. כשפייסבוק שחררו לא מזמן את מערכת הLike, הם איפשרו לפייסבוק להיות המרגלת הגדולה ביותר אחרי משתמשיה: היא מספקת לאתרים פלטפורמה לחלוק מידע, ולקדם את עצמם, ומנגד היא מקבלת מידע על האתרים. אבל החדשנות של פייסבוק היא רק דוגמא אחת מני רבות.

מהיכן בא הדחף לשתול את אותן העוגיות? זו שאלת מיליארד הדולר. כאשר אתר כמו Ynet מחזיק שלושה שירותים שונים למדידת החשיפה שלו, ואתר TheMarker חולק את המידע הפרטי של הגולשים שלו עם כלים מפוקפקים כמו Gemius.pl, האם כלל איכפת לו מהגולשים או מהיכולת להפיץ מידע?

רוב שירותי הרשת לא מתעניינים במשתמש הבודד, אלא במידע מצטבר לא מזהה אישית (Aggregated, non-personally identifiable information). הרעיון הוא שסטטיסטית, המידע מעניין יותר כאשר הוא נותן פילוח גדול: גולשים שגלשו לThemarker גלשו גם אחר כך לאתר X, ולכן, אם יש זהות בין השניים, אפשר לפרסם גם באתר X פרסומות שהיינו מעתדים ללקוחות TheMarker בעלות נמוכה יותר. ככל שניתן לבנות פרופילים וחיתוכים טובים יותר, אפשר גם לתת מידע יותר טוב למפרסמים, ולקבל שווי יותר גבוה לכל פרסומת.

הצורך כאן לא נובע מרוע, אבל הוא גורם לתחושת אי-נוחות ותחושה של מעקב. יש לו גם השלכות רעות אחרות. אחת הבעיות ברשתות הפרסום הגדולות היא שהן מוכרות iFrame, כלומר ריבוע קטן בתוך אתרים אחרים (נניח, בתוך TheMarker, אבל לא בהכרח) למפרסמי משנה. אותם מפרסמי משנה בוחנים האם לגולש יש Cookie שלהם, ויכולים לבחור האם להציג את הפרסומת (ולשלם לרשת הפרסום) או לא. מפרסמי המשנה בדרך כלל אדישים לגבי האתר המציג, ולכן יכול (ואף סביר) שיתרחש התרחיש הבא: אדם א' ואדם ב' חולקים את אותו מחשב, ואותו משתמש על המחשב. בשעות הערב, כאשר אדם ב' ישן, אדם א' גולש לאתרי מבוגרים, נניח PornHub, אותו אתר מכיל, בין היתר, את התשריט של Google Analytics. אותו תשריט מתעד שדפדפן ג' (הדפדפן של אדם א' ואדם ב') ביקר לאורך 15 דקות באתר פורנוגרפי, ולכן הוא משייך אותו לפרופיל של אתר פורנוגרפי. לאחר מכן, בבוקר גולש אדם ב' לאתר טיפו אשר גם מכיל את אותו התשריט. השירות של גוגל משייך ולומד, שאם הרבה א' וב' עושים את אותו הדבר, הרי שיש דמיון בין התעבורה באתר טיפו לאתר Pornhub. בעקבות אותה מסקנה, כאשר יעשו שימוש בשירותי הפרסום של Google באחד האתרים האלה, הוא יציג גם תכנים הרלוונטיים לאתר השני.

כמובן, שבמקרה הזה אנחנו מדברים על דיון תיאורטי לחלוטין ועל נזק תיאורטי, אבל עצם הפילוח של הפרסומות לכאלה שאינם מעוניינים במעקב אחריהם. השירותים גם לא מבדילים בין מי שהוא קטין למי שאינו, ועשויים להחזיק מידע רגיש מאוד לגבי הרגלים של קטינים (גם אם בצורה לא מזהה), מה שמחזק את המסקנה שלאתרי הילדים לא איכפת מפרטיות הגולשים שלהם אם הם משתמשים בשירותים שחולקים מידע.

כלומר, הבעיה שחשף הWall Street Journal היתה ידועה לכולם כבר הרבה זמן. מי שידע עליה והיה לו איכפת, פשוט חסם בצורה טכנולוגית את השירותים האלה. מי שלא, כנראה שלא איכפת לו גם שמצלמים אותו ברחוב, שמקליטים אותו ושעוקבים אחריו. כעת, השאלה היא, מדוע לאף אחד לא איכפת?

הדברים הקטנים בחיים לפעמים משגעים אותך, כמו השאלה מי הרשה לרון חולדאי להעביר את הפרטים של כל האזרחים לתאגיד המים החדש, ואיך הוא מרשה לעצמו (ולא מוזכר כלום ברשיון של "מי-אביבים") לקחת את המידע, ולהתקשר איתי בהסכם. אותה שאלה עולה גם עם מערכת המעקב החדשה של עיריית ירושלים, שתתחבר לרגליהם של חלק מהתושבים לצורך "סקר תחבורה", ויחד עם שלל מצלמות האבטחה בעיר יתנו לעירייה מידע יותר טוב על כיצד עיר ללא אלימות באה לידי ביטוי. והכל, כמובן, ללא סמכות אמיתית בחוק.

נוהל של היועץ המשפטי לממשלה מבהיר כי גוף ציבורי כפוף גם לחוק הגנת הפרטיות וחייב לציין מהו המידע שהוא מעביר הלאה, לקיים רישום של מאגר וכן להעשות אך ורק במסגרת הסמכויות של הגוף שקיבל את המידע. כעת, נותר לשאול, היכן העיריות מדווחות על מה הן עושות עם המידע? למרות שהחובה היא לדווח גם באתר האינטרנט, עיריית תל-אביב לא מדווחת על כך, לפחות לא במקום נמצא לעין; עיריית ירושלים מחזיקה עשרות עמודים על אבטחת מידע אך גם שם, לא ניתן למצוא מידע על כך.

הזילות המשמעותי בפרטיות במשרד התחבורה ובמשרד החקלאות מדהימה ועשויה להיות מסוכנת. אלא שלאזרחים, כרגיל, לא איכפת.

והאם הרשות למשפט, טכנולוגיה ומידע תטיל סנקציות על עיריות ורשויות ציבוריות שלא עומדות בחוק? הקנס הרי יצא בכל מקרה מכיסנו ולא יועיל, וגם אז, הוא יהיה מזערי. צריך להבין, בשבוע שעבר הטילה הרשות קנס בגובה רבע מיליון ש"ח על חברה שסחרה במידע פרטי לצורכי גביית חובות. לקוחותיה של אותה החברה היו משרדי עורכי דין שעוסקים בגביית חובות, חלק מהם ככל הנראה משרתים את אותן רשויות מקומיות שפוגעות בצד השני בפרטיות. כלומר, עד שלא תקום מערכת שתטיל אחריות אישית, אין מה לעשות.

ומה הפתרון? יכול להיות שלאפשר תובענה ייצוגית על פגיעה בפרטיות, ולתקן את חוק תובענות ייצוגיות שיאפשר גם לתבוע רשויות מקומיות נגד פגיעה בפרטיות (שימו לב, העדר הסעיף הוא כנראה הסיבה שהתובענה הייצוגית נגד גוגל באזז תדחה)