Intellect or Insanity

0.
בדרך הכלל, אני מאוד אוהב את פסיקותיו של השופט אברהם טננבוים בתחום המחשבים. טננבוים הוא שופט שקול, שמבין את מהות הטכנולוגיה ואת העובדה שלפעמים האות השחורה בספר החוקים לא ממש מתאימה לטכנולוגיה הקיימת היום וצריך לפרש אותה בצורה הרגילה והסבירה. לדוגמא בפ 9497/08 מדינת ישראל נ' משה הלוי השופט קבע כי הזנת מספר תעודת זהות לתוך אתר בתי המשפט לא ממש מהווה "חדירה לחומר מחשב" אם מספר הזהות ניתן על ידי בעל התעודה; במקרה אחר, של ת"פ (י-ם) 3047/03 מדינת ישראל נ' מזרחי, פ"מ תשס"ג(3)  769 קבע כי בדיקות אבטחה שנועדו לבחון את אתר המוסד לתפקידים מיוחדים אינה פריצה לאתר, אלא רק בדיקת אבטחה.

1.
לכן, הבעיה שלי עם תתע 6600-02-12 מדינת ישראל נ' נ.ל; המקרה הוא פשוט: נ.ל קיבל הודעה כי אימו הובהלה לחדר מיון, ונסע ברכב במהירות מופרזת על מנת להגיע לבית החולים מהר ככל האפשר, ולא שם לב למד המהירות. נ.ל נתפס במהירות של 169 קמ"ש. טננבוים מנהל דיון בן חמישה עמודים על השאלה "האם לא ראוי לאפשר לטכנולוגיה להגביל את מהירות הרכבים במקום לקבוע עבירה". על כך, לפני חמש שנים, כתבתי:

מכמונות המהירות היו המצאה גדולה. ניתן היה להציב מכמונות בכל מקום, ולסמוך על ממצאיהן כדי להרשיע בצורה אוטומאטית את עברייני המהירות. לאחר מכן, החלו להגביל את המהירות המקסימאלית של המכוניות על מנת שאלו לא יעברו על החוק. הגבלת המהירות בוצעה על ידי תוכנות בקוד קנייני, כאשר לא ניתן היה לפקח כלל על מערכת אכיפת החוק. לאזרח הפשוט היה ברור: מאותו רגע, עבירות התנועה הן עניין של העבר. בתוך עשר שנים מהיום, כל מכונית תצויד במקלט GPS מתוחכם שיחובר למערכת הזרקת הדלק, לא יהיה ניתן לעבור בתמרור עצור מבלי לעצור, לא יהיה ניתן לפנות ימינה כאשר אסור לעשות זאת. הרובוטיזציה של הנהיגה תהיה ההתחלה.

2.
אני רוצה להתכתב לרגע עם הקוד של טננבוים, ולדון בשאלה כיצד שופט כל כך מתקדם, כל כך חכם וכל כך מבין בטכנולוגיה, חושב שיהיה זה רעיון טוב לאפשר לטכנולוגיה להגביל את האנושות ולא להפך. הצעותיו של טננבוים הן:

2.1

‫ניתן להפעיל את הרכב כך שברגע שהרכב יעבור את המהירות המקסימלית במס' ק"מ‬ שנקבע מראש, יחלו האורות להבהב וצפירה קלה תישמע. כך יוזהר הנהג אם לא שם לב לכך, וכך‬ ‫יוזהרו המכוניות שסביבתו כי הוא עובר את המהירות המותרת ומן הסתם יש סיבה טובה כך.‬

ההצעה הראשונה של טננבוים היא לחייב את יצרני הרכב, כמו שהם חייבים בהתקנת חגורות בטיחות, להזהיר את הסובבים כאשר אדם נוסע במהירות מופרזת; כלומר, לייצר מוצר נכה משהו ובעייתי. ההצעה הזו, מבין כל הצעותיו, היא הבעייתית פחות מכולן, אבל היא עדיין פוגעת: היא מחייבת את יצרני הרכב לייקר את עלויות הייצור (ולהטיל את עלויות האכיפה על עצמן) והעלות תגולגל לצרכנים. היא גם מונעת מהטכנולוגיה להתקדם. הרי, ברור לנו שככל שהטכנולוגיה משתפרת אנו נוכל בסופו של דבר לנסוע מהר יותר. כלומר, אם נגביל מעכשיו את המהירות, נגביל גם את היכולת שלנו לפתח את הטכנולוגיה.

2.2

‫ניתן לקשר את המכונית באמצעות ‪ GPS‬למיקומה. באופן תיאורטי, ניתן יהיה לקבוע‬ ‫מהירות מקסימלית המתאימה לכביש. קרי, בדרך בינעירונית יוגבל הרכב למהירות המקסימלית‬ ‫שם, ובדרך עירונית למהירות המקסימלית במקומה‬

טננבוים מציע לחייב את יצרניות הרכב להגביל את המהירות בהתחשב במיקום. בעצם, בפתרון הזה של טננבוים יש שאלה מהותית: האם מדובר על חיבור on-line שבודקת היכן אנחנו נמצאים (כמו שמתכנן משרד התחבורה כבר) או שמדובר במאגר שעל הנהג לעדכן מעת לעת (כיוון שאז עולה השאלה מה קורה אם בטעות יש כשל בתוכנה?). הפתרון הזה לא רק שבעייתי מבחינת פרטיות, אלא גם נתון לתקלות: כלומר, נכנס כאן חור אבטחה נוראי שמאפשר לי להגביל מהירויות של רכבים על ידי שיבוב רכיב הGPS (בין אם אני הנהג או מישהו שרוצה לפגוע בנהג).

2.3

‫ניתן להתקין 'טכוגרף' דיגיטלי. כזה הרושם ומתעד את המהירויות בכל רגע ורגע (וישנם‬ ‫רכבים כאוטובוסים ומשאיות שקיימת חובה שכזאת). במקרה מעין זה, כל טענה של הנהג כנגד‬ ‫מהירות שנמדדה על ידי מכשירי המשטרה תידחה על הסף.

האופציה השלישית היא של רישום, ולא של הגבלה. כאן מדובר בשאלה ראייתית ממעלה ראשונה, של דיון בשאלה האם הרכב עבר על החוק. בעצם, לחייב נהג לתעד בכל עת ועת היא פגיעה בפרטיות; קודם כל, תיעוד של מהירויות (שנגישות בדרך הכלל לאנשים אחרים) יכולה להוות פגיעה גם בלי הליך שיפוטי (תחשבו על בעל שמגלה שאישתו נסעה למקום X בו גר המאהב שלה). שנית, החובה למסור את המסמכים פוגעת בזכות של אדם להליך הוגן שמקנה לאדם חסיון מפני הפללה עצמית (ע"פ 1761/04 גלעד שרון נ' מדינת ישראל) .

2.4

‫ניתן לחבר את כל המהירויות ל – 'כרטיס חכם' שיהיה ברכב. כל שתצטרך המשטרה ו/או‬ ‫משרד הרישוי לעשות הוא להוציא את הכרטיס אחת לשנה מהרכב ולבדוק את כל הפעמים שהרכב‬ ‫נסע במהירות שאינה מותר ואת מיקומן. קנסות ו/או עיצומים מינהליים אחרים יחולו בהתאם.‬

כאן מדובר על הצעה עוד יותר בעייתית: לא רק שהמסמכים יוכלו לאפשר לאדם להוכיח את חפותו, אלא אחת לשנה תבדוק המשטרה את מהירויות הנסיעה של אדם ותטיל עליו קנסות. אכיפה אוטומטית היא בעייתית כיוון שבמצב כזה אין אפשרות לדעת מי נהג ברכב, מדוע עבר על המהירות (ויש הגנות בחוק) ועוד.

3.
בעצם, ההצעות של טננבוים כולן מניחות שישנה טכנולוגיה וחייבים להשתמש בה; במקום לאפשר את שיקול הדעת האנושי, במקום לשאול את השאלה הפשוטה של "האם אדם שגילה כי אמו הובהלה לחדר מיון ולא שם לב שעובר הוא על המהירות המותרת צריך להיות זכאי" שואל טננבוים שאלה טכנולוגית מובהקת, וחבל שכך. שאלת הגבלת המהירות, כמובן, היא שאלה תיאורטית כיוון שאין בסמכותו של טננבוים לקדם חקיקה או תקינה (ואולי חבל שכך); אלא, ששאלות תיאורטיות כאלה מביאות למחוקקים רעיונות רעים.

אכן, הגזֵרה והגזֵרה לגזֵרה ידועות הן בחיי המעשה ובמשפט המודרני בפעולות הבאות למנוע את סכנת המדרון החלקלק: שמה שנראה לנותן הוראה או הסכמה כדבר ראוי עלול לשמש לבעלי כוונות לא טהורות, ולעתים אף לתמימים, פתח שראשיתו קופו של מחט וסופו פתחו של אולם, למעשים שאינם ראויים וגם לעבֵרות. וראוי שתהא מוטלת לפתחם של מקבלי ההחלטות בימינו השאלה: איזו היא דרך שיבור לו האדם כדי שלא יידרדר במדרון זה? (אליקים רובינשטיין, על סכנת המדרון החלקלק, אבל מומלץ לקרוא את הכל).

0.
המדרון החלקלק הינו, בסופו של דבר, השלמה עם התדרדרות מוסרית; יש מצב שלאף אחד לא נח עמו, אך הוא דרוש לצורך טיפול בעוולה גדולה יותר, ולכן משלימים עמו (בין אם בחוק ובין אם בעצימת עיניים), לאחר מכן מעוניינים לבצע את אותה פעולה לא נוחה, אבל לצורך עוולה פחות גדולה, ולבסוף משלימים עם הפעולה הלא נוחה לצורך עניינים מיותרים ופעוטים. זהו המדרון החלקלק: מצב בו כל ויתור קטן מוביל לויתורים גדולים בסופו של דבר, שאיננו יכולים לחיות עמם בסוף.

1.
כזהו הסיפור של חוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת) (או בשמו הרלוונטי, חוק נתוני תקשורת); החוק, להזכירכם, מאפשר למשטרה ולכל מיני רשויות חקירה אחרות לקבל נתוני GPS על המיקום שלכם, את רשימת השיחות שלכם ואנשי הקשר ששוחחתם איתם, את רשימת האתרים שגלשתם בהם, את כתובת הIP בבית שלכם ועוד, והכל מסיבות בעייתיות; כזכור, החוק פוגע בחסיון עורך דין-לקוח וחסיונות מקצעויים אחרים, מאפשר גם שימוש ללא צו שיפוטי והכל למטרות פסולות בדרך כלל.

2.
כעת, אחרי שכמעט שנים עברו מחקיקת החוק, פתאום באה המדינה ומבקשת עוד. כלומר, עד עכשיו החוק עמד בביקורת ציבורית, לא היה שקוף והיה בעייתי. פתאום, המשטרה ורשויות אחרות הבינו שהדבר לא מספיק, וכעת תזכיר חוק שמפורסם על ידי משרד המשפטים רוצה גם את היד, אבל גם את הריאה הימנית שלכם. על פי תזכיר החוק, עולות מספר נקודות בעייתיות: הראשונה היא קבלת נתוני זיהוי של אדם ללא כל צו שיפוטי, השניה היא הרחבת הרשויות שזכאיות לאותו מידע והשלישית היא מתן אפשרות לערעור על החלטה שסורבה (לנוסח התזכיר; היום כנראה אדון רק בראשונה.

3.
אתחיל עם הראשונה. משרד המשפטים מבקש לקבל נתוני זיהוי, כלומר מי עומד מאחורי כתובת IP או מאחורי מספר טלפון ללא כל צו שיפוטי; הסיבה? לטענת משרד המשפטים "בנוגע לנתוני זיהוי (שם, טלפון וכתובת), מוצע כי כל הרשויות המנויות בתוספת הראשונה והשניה יוכלו לקבל פרטים אלו אף ללא צו שופט, כיון שמדובר בסוג מידע שמידת הפגיעה בפרטיות הגלומה בו היא מזערית, ונחיצותו לצורך חקירת עבירות היא רבה". יכול להיות שמשרד המשפטים לא קורא החלטות של בית המשפט העליון, אבל הדבר נראה לי לא הגיוני. לא אחת פסק בית המשפט העליון כי דווקא הפגיעה בפרטיות בחשיפת זהותו של אדם מאחורי כתובת IP היא מהפגיעות החמורות ביותר בפרטיות.

אותה שאלה של "מי האדם" כבר נדונה לא אחת, ובתי משפט פסקו שאין חובה להזדהות סתם כך בפני שוטר (תפ 14037-03-09 מדינת ישראל נ' יצחק ניסים), אז על איזו פגיעה מזערית לפרטיות מדובר? רוצה המשטרה לזהות אותנו בצורה מתמדת, שתתכבד ותחדל להורות לשוטריה להסתובב ללא תגי זיהוי או פנים חשופות.

4.
המשנה לנשיאה דאז, אליעזר ריבלין, פסק בפרשת רמי מור כי "ניתן לומר כי במידה רבה האנונימיות עושה את האינטרנט למה שהוא, ובלעדיה ייגרע מן החופש במרחב הווירטואלי. ככל שתתרחב האפשרות לעלות על העקבות הנותרים בחלל הווירטואלי, יש לצפות לשינוי מהותי בדפוסי ההתנהגות של המשתמשים" (רעא 4447/07 רמי מור נ' ברק אינטרנט). אכן, יכול להיות שמשרד המשפטים לא חושב כך, אבל נתוני זיהוי (השאלה מי עומד מאחורי כתובת IP) הם שאלה לא פחות חשובה משאלות של "איפה נמצא אדם" או "עם מי דיבר אדם".

5.
המרחק בין השאלה "מי עומד מאחורי כתובת IP" אינה שונה מהשאלה "מי עומד מאחורי טביעת אצבע" שנדונה במאגר הביומטרי או אפילו שאלת "מי עומד מאחורי תמונה". הסכנה המהותית בחשיפה מסוג כזה אינה מדרון חלקלק, אלא ביטול של חוק נתוני תקשורת והפיכת המידע האישי להפקר וזמין. כבר ראינו לא מעט על הקלות של העברת מידע לפי חוק נתוני תקשורת ומדובר בהליך חד-צדדי בו לקרבן (או מי שמבוקשים נתוני התקשורת שלו) אין בכלל אפשרות להלחם על זכויותיו. הסכנה כאן היא ממשית, אמיתית וגדולה בהרבה מהמטרה הלא מכובדת. כבר זכור שמשטרת ישראל לא יישמה נהלי אבטחת מידע ראויים, לפי דו"ח מבקר המדינה, וזו בדיוק הסכנה.

6.
בהערת אגב, אחד השינויים הוא ההצעה לאפשר גם לקבל מידע על מי שהוא קרבן של עבירה; הבעיה כאן היא שגם כאן, המשטרה תוכל לקבל את המידע ללא ידיעת ו\או הסכמת הקרבן. כלומר, נתוני התקשורת (רשימת שיחות הטלפון של הקרבן, המיקום הגיאוגרפי שלו ועוד) יצטרכו להחשף בפני המשטרה, ללא כל ידיעה או הסכמה. מדוע? הדבר לא מובן. תרצה המשטרה לקבל מהקרבן מידע, תבקש ממנו בנימוס. אם הוא יסרב, שתתן לו את ההזדמנות להסביר לבית המשפט מדוע.

7.
נתוני תקשורת הוא חוק רע, הוא אולי לא התחיל ככזה, אבל הוא הופך להיות משהו רע מאוד.

0.
אחד הדברים היפים שקורים בחזית הטכנולוגית בשנתיים-שלוש האחרונות הוא ההפרדה בין 'יכול' ל'מותר' שהופכת להיות חדה יותר ויותר. בעבר, התפישה החוקית היתה שאם דבר מסוים הוא פומבי, הרי שהוא הופך להיות חלק מנחלת הכלל ומותר לשימוש. לדוגמא, בתיקים שצצו בראשית האינטרנט, עלתה השאלה האם הפעילות של מנועי חיפוש כמו גוגל חוקיים. כלומר, באו בעלי אתרים וטענו שמנועי חיפוש אשר סורקים את האתר פוגעים בזכויות הקנייניות שלהם, ולכן אסור להם לזחול באתר (נניח, Kelly v. Arriba Soft Corp., 77 F. Supp. 2d 1116 – Dist. Court, CD California 1999). הפסיקה הכירה בכך שמותר לאסוף מידע ציבורי ולייצר לו ערך מוסף, כמו במנועי חיפוש, ושיש לכך ערך חיובי. לדוגמא, בישראל, נפסק כי אין מניעה לאסוף מידע ציבורי ולייצר ממנו לוחות מודעות (נניח, א 1074/05 מעריב הוצאת מודיעין בע"מ נ' אול יו ניד בע"מ ואח', ת"א 5310-08 קווי מידע ופרסום בע"מ נ' בל תקשורת פרסום ויחסי ציבור ואח').

1.
אלא, שככל שזה נוגע לפרטיות, יש הנחיות יפות לאחרונה, שאומרות 'הגם שהמידע שאתם מעבדים הוא ציבורי, עדיין הצבירה שלו היא בעייתית מבחינת פרטיות ואסור לכם לעשות זאת'. זאת שיטת הכמות עושה איכות שבארצות הברית באה לידי ביטוי באיסור על מעקב באמצעות מכשירי GPS, הגם שאותו אדם מתנייד במרחב הציבורי (Maynard v. Unites States) ובפסיקה של בית המשפט המחוזי בישראל ש"מצבור של פרטים, שכל אחד לבדו אין בו משום פגיעה חמורה בפרטיות, הרי שביחד עם אחרים הם יעלו כדי פגיעה חמורה בפרטיות" (עא 2319/08 פלוני נ' פלונית, ראו גם). לכן, דווקא ההחלטה המעניינת של הנציבות האירופית מהשבוע שעבר עושה טוב לאוזן.

2.
הנחיה חדשה של האיחוד האירופי אוסרת על שירותי רשת להשתמש בתמונות לצורך זיהוי ביומטרי ללא קבלת הסכמה מפורשת; (ההחלטה המלאה, PDF); בפועל, ההגיון של ההחלטה הוא כזה: נכון, ניתן היום לבנות מנוע חיפוש שאוסף שלל תמונות מהרשת ומאנדקס אותן, ניתן גם לייצר פרופיל ביומטרי על כל אחת מהתמונות ולנסות לשייך אותן אחת לשניה (וFace.com עושים זאת יפה מאוד); אבל, בשביל לעשות זאת, יש לקבל היתר ממי שצולם בתמונה, או לפחות ממי שצילם אותה. לפי ההחלטה:

The images obtained by search engine were displayed with the intention for viewing and not for acquisition by a facial recognition system. The search engine provider would be required to obtain consent from the data subjects to be enrolled into the second facial recognition system.

3.
כך גם בנוגע לשימוש במערכות לזיהוי פנים על ידי רשתות חברתיות (ובמיוחד Facebook). נכון לעתה, Facebook מפעילה, ככל הנראה, מערכת של זיהוי פנים בין התמונות שמועלות, אך היא מאפשרת למשתמשיה לבטל את האפשרות 'להציג לחברים את הזיהוי האוטומטי'. כלומר, לא בטוח שהיא לא מחזיקה מאגר של המשתמשים שביטלו את האפשרות, אלא היא פשוט לא מודיעה לחברי המשתמשים כי הם תויגו בתמונות. כעת, לפי ההחלטה למשתמשים רשומים תהיה האפשרות לבחור האם לרשת החברתית יורשה לעבד את התמונה או לא, לא רק האם להציג אותה לאחרים.

registered users must also have been given a further option as to whether or not they consent to their reference template to be enrolled into the identification database. Non-registered users and registered users who have not consented to the processing will therefore not have their name automatically suggested for a tag because images in which they appear will produce a “no-match” result.

4.
המהפכה האמיתית היא בתפיסה של הצברת מידע. כלומר, היום מדובר על ביומטריה פשוטה, על זיהוי פנים. מחר ידובר על מידע סודי\פרטי\אישי של אדם, שניתן יהיה לאבחנה ממידע אחר. כלומר, דמיינו מצב שבו ההנחיה לא היתה נוגעת לזיהוי פנים, אלא דווקא למידע על היסטוריה תעסוקתית או על עבר מיני, האם ניתן היה לאסור על מנועי חיפוש לאנדקס מידע כזה על ידי זחילה של אתרים כמו LinkedIn? אני בספק.

0. אקדמא
שירותים מבוססי מיקום לטלפון הסלולרי נמצאים בחודשים האחרונים במחלוקת סוערת בין היתר בעקבות הפוטנציאל ההרסני שיכול להיות שלשימוש לא מורשה באותן תוכנות, החל מרשת החוקרים הפרטיים שנחשפו כאשר מכרו תוכנות מעקב לבני זוג, דרך שירותים מבוססי מיקום כמו ShopRooster הישראלית שמאפשרת קבלת מבצעים בבתי עסק אשר נמצאים באיזורך, שירותי עבר כמו InirU שהושקו ברשת Orange ואפשרו לאדם לגלות האם הוא קרוב לחבריו, שירותי ניווט כמו Waze שמאפשרים למשתמש גם לקבל דיווחי תנועה בזמן אמת וניווט ועד שירותים כמו Facebook אשר מאפשרים לי גם להרשם (check out) במקום בו אני נמצא.

במאמר קצר זה אסקור כיצד עובדים שירותים מבוססי מיקום, מהן הבעיות המשפטיות בהן וכיצד, לדעתי, צריך לטפל בבעיות אלה.

1. ראשית, על שירותים מבוססי מיקום.
את השירותים מבוססי המיקום יש לחלק לשני סוגים; הסוג הראשון הוא שירות אשר מבוסס על שבב הGPS במכשיר הנייד. באמת בקצרה, GPS הוא שירות מבוסס לווינים שמחשב, לפי עצמת האות ממספר לווינים, את המיקום הגיאוגרפי של המשתמש. מנגד, ישנו שירות aGPS, בו הטלפון משתמש באנטנות הסלולריות על מנת לספק את המיקום. בשיטה הזו, לכל טלפון יש את הידיעה מהן האנטנות הסלולריות בקרבו ומה המיקום המקורב שלהן, ולכן ניתן להגיע למיקום זה גם על ידי האנטנות וללא שימוש ברכיב הGPS. ההבדל בין שתי הגישות הוא לא רק במהירות קבלת הנתונים, אלא בסוג המידע שמועבר: מידע GPS הוא איכותי יותר ויכול לתת מיקום בקירוב של מספר מטרים, בעוד aGPS מספק מידע בקירוב של כמה עשרות או מאות.

אבל זה לא ההבדל היחיד בין סוגים של שירותי מיקום. הבדל נוסף הוא בין שירותים מבוססי שרת לשירותי לקוח. ההבדל בין השניים הוא מי שולט במידע ומי הבעלים שלו. לדוגמא, שירות GPS יכול להיות אחד משניים: או שהוא ידווח לשרת מה המיקום של המשתמש ולפי זה יקבל את השירותים, או שהוא לא יעביר לשרת את המידע, ורק ימשוך ממנו מידע (כמו מפות) על פי דרישה. הדרך הקלה להבדיל בין שני השירותים הוא לראות האם דרוש חיבור לאינטרנט בזמן השימוש. לדוגמא, שירות Ovi Maps של נוקיה, לפחות בדגמים הישנים, לא חייב חיבור אינטרנט לצורך ניווט, אלא מפות של כל עיר\מדינה הורדו למכשיר הסלולרי ונשמרו בו.

2. הבעיה בשירותים מבוססי מיקום
אז בקצרה, הבעיה בשירותים מבוססי מיקום הוא המיקום, או ליתר דיוק השימוש בו. בעוד שזה ככל הנראה רצוי על ידי רוב האנשים לחלוק את המידע הזה עם חבריהם, הם לא תמיד יודעים למי בדיוק יש גישה כאשר מדובר על מידע התנהגותי או מעקבי. לדוגמא, תוכנת Friday מאפשרת לך לצפות במסלול אותו הלכת ובמקומות בהם ביקרת במהלך היום. אלא, שאם תוכנה לגיטימית יכולה לקבל את המידע הזה, גם כך תוכנה זדונית.

חלק ניכר מהתוכנות בשוק התוכנה מבקשות את רשות המשתמש לצורך קבלת מיקומו; חלק עושות זאת למרות שהדבר ממש אינו נחוץ, ובחלק אחר הדבר נחוץ, אך המידע גם מועבר לצדדים שלישיים. המטרה שלנו, כמובן, היא להסביר ולהכיר מה אפשרי לעשות, ולדון כיצד החוק מתייחס לכך.

כפי שעלה בדיון שהחל בועדת המדע בכנסת בחודש שעבר ובמחקר של מרכז המחקר והמידע של הכנסת יש שוק נפרד של מוצרים, שורה של סכנות ולא מעט דרכים להשתמש במידע. לצורך הדיון נשתמש רק בטלפוני Android, אך אין שוני רב בין טלפוני אנדרואיד לטלפונים אחרים כמו iOS.

3. הבעיה בהגדרת שירותי מיקום.
כאשר משתמש מתקין אפליקציה, הוא מקבל לידו גרסא מקוצרת של מדיניות הפרטיות של אותה האפליקיציה אשר מפרטת בדיוק אלו סוגי הרשאות נדרשות ממנו.

אלא, שבאמצעות ההתקנה לא ניתן להגדיר הפסקה או הסרה של הרשאות מסוימות. כלומר, אם התקנתי את Waze, ברור שארצה לתת להם את הגישה לGPS, אבל אם מדובר באפליקציה כמו משחק מסוים, והסיבה היחידה למתן שירותי מיקום הוא פילוח של פרסומות, הרי שאין מקום לא לתת לי את ההסכמה.

כמו כן, הבעיה היא לאו דווקא באיתור המיקום, אלא דווקא ביצירת שירותים מבוססי מיקום שאינם aGPS. לדוגמא, חברת Skyhook השקיעה לא מעט כסף על מנת למפות רשתות WiFi על סמך כתובת הMAC שלהן כך שאם הטלפון הסלולרי שלך (או המחשב שלך) מחובר לרשת אלחוטית מסוימת, אותה חברה יכולה למפות אותך בצורה לא רעה. כך גם עם שירותי מיקום מבוססי HTML5 (בערך) שלאחר איסוף המידע מאפשרים זיהוי אדם על פי כתובת הIP שלו או הרשת האלחוטית שלו; אפשר גם לראות איך לממש את הAPI של Skyhook בקישור הבא אם ממש בא לכם.

כלומר, יש לנו שתי בעיות: הראשונה היא שאדם לא בהכרח מסכים למדיניות פרטיות או אינו מסוגל להודיע שהוא לא מסכים לסעיף כזה או אחר, והשניה היא שגם אם הוא מכבה את כל שירותי המיקום שלו, עדיין במקרים מסוימים ניתן לקבל את המיקום שלו בצורה כזו או אחרת.

כעת, בו נסתכל על הבעיה מצורה אחרת: יש לנו לא מעט מידע שיכול לזהות את המיקום של אדם: כתובת MAC, שם הרשת האלחוטית, כתובת הIP [בקירוב], aGPS וGPS. המידע הזה מועבר, לפחות בחלקו, על ידי גלישה רגילה. לדוגמא, אתר MapXSS מאפשר לנו לנצל פרצה בשיטת ההרשאות על ידי XSS; וההסבר הפשוט:

אתה מבקר באתר זדוני. האתר מנסה מספר פרצות על הראוטר שלך [או לחלופין, מודע לכך שהדפדפן שלך מאפשר גישה למידע גיאוגרפי, מה שנמצא כברירת מחדל בחלק מהדפדפנים. הXSS (או הדפדפן) מעבירים את כתובת הMAC באמצעות AJAX וזה נשלח לשירות הצד השלישי. כך, שומרים במהרה את המידע ללא בעיה ועוקבים אחרייך.

4. הבעיה בשיטת ההרשאות
הבעיה בשיטת ההרשאות היא כפולה; קודם כל נניח שיש אפליקציה שרוצה לתת לי שני שירותים מבוססי מיקום, הראשון הוא דיווחי תנועה והשני הוא פרסום מפולח היטב. אני רוצה לתת לה רק את ההרשאה הראשונה; האם אני יכול לעשות זאת? די ברור שלא. עכשיו, כדי להתגבר על בעיית ההרשאות צצו שתי אפליקציות לAndroid אשר מאפשרות שליטה חלקית: Privacy Blocker וPermission Denied. כל אחת מאפליקציות אלה מאפשרות לי, בצורה טובה פחות או יותר, לשנות את ההרשאות שהטלפון שלי מונע מהאפליקציה את הגישה לתחום הרלוונטי. כך גם אפליקציה נוספת בשם Fake GPS Location שמאפשרת זיוף של נתוני GPS. עכשיו, נניח לרגע שאני באמת רוצה שירותים מבוססי מיקום, אבל רק בחלק מהשירותים: כיצד אני יכול להגן על עצמי?

האם כל משתמש צריך לטפל בכל אפליקציה לחוד? דמיינו את המצב הבא. בטלפון שלי רצה אפליקציית WaveSecure שמאפשרת לי לאתר את הטלפון לכשאשכח אותו במקומות מסוימים. אני רוצה שלאפליקציה הזו, ורק לאפליקציה הזו, תהיה גישה לכל מידע אפשרי למקרה שאני מאבד את הטלפון. מנגד, אני לא רוצה של Angry Birds תהיה בכלל אפשרות לעקוב אחריי. תחת השימוש בPrivacy Blocker או בPermission Denied אני יכול לעשות זאת. אלא, שמנסיון שלי, חלק מהאפליקציות (אהם, אהם Twitter) סרבו פשוט לפעול אחרי שסגרו להם את רכיב המיקום.

5. הבעיה המשפטית.
עכשיו, אחרי שהצגנו פתרון חלקי למדי לבעיית ההרשאות, יש לנו את חוק המחשבים האכזר. סעיף 3 לחוק המחשבים קובע כי מי ש"משבש את פעולתו התקינה של מחשב או מפריע לשימוש בו" דינו מאסר שלוש שנים ומי ש"מעביר לאחר או מאחסן במחשב מידע כוזב או עושה פעולה לגבי מידע כדי שתוצאתה תהיה מידע כוזב או פלט כוזב" או "כותב תוכנה, מעביר תוכנה לאחר או מאחסן תוכנה במחשב, כדי שתוצאת השימוש בה תהיה מידע כוזב או פלט כוזב, או מפעיל מחשב תוך כדי שימוש בתוכנה כאמור" דינו מאסר חמש שנים. כלומר, על ידי העברת מיקום מזויף לאחר כאילו הוא פלט הGPS שלי, אני חשוף למאסר של חמש שנים בפועל, ועל ידי כתיבת תוכנה אשר תשבש את פעילות המחשב (שרת הלקוח שמטפל בשירותי המיקום) אני עשוי למצוא עצמי במאסר של שלוש שנים.

כעת, ברור לנו שהפרשנות הזו היא אבסורדית. בתי המשפט נטו לבסס את יסוד ההסכמה כמחייב בעבירות של חדירה לחומר מחשב (תפ 9497/08 מדינת ישראל נ' משה הלוי) וכאן ברור שכבעל המכשיר אתה נותן את הסכמתך. אבל, יש כאן סיכון שאינו מבוטל בהתחשב בפליליות ההליך.

כלומר, אתה מקבל תוכנה ואין ממש הבדל בין לפרוץ אותה ולא לשלם עבורה (שהיא שיבוש או גרימה לפלט כוזב) לבין לגרום לה לא לרגל אחרייך.

5. איסור התניית שירותים, הבעיה המוחשית.

בעיה נוספת היא התניית השירותים. כלומר, איני יכול להשתמש בAngry Birds ללא מתן המיקום הגיאוגרפי שלי. איסור זה אינו הגיוני ואינו הולם את דוקטרית ה"הסכמה מדעת" שגובשה לפי חוק הגנת הפרטיות, הרי שצריך לתת את הסכמתי ויש מקרים שבהם אני יכול לשלול אותה. אלא, שברור לנו שבעת השימוש באפליקציות שאוגרות את המידע הפרטי שלנו אנחנו המוצר ולא הלקוח. כלומר, לא נוכל לפנות לספק השירות על מנת למחוק את המידע או להפסיק לאגור אותו, גם כאשר מדובר במידע שהוא לא נדרש לשירות.

6. דרכים אפשריות לפתרון:

הדרכים לפתרון מתחלקות לשתיים; הראשונה היא טכנולוגית: על ידי יצירת מיקומים מזויפים או על ידי החלפת כתובת הMAC בנתב הביתי. אלא, שבמקרים כאלה עשויה לקום אחריות פלילית שלא תטיב עם המשתמש ותסבך אותו במקום לפתור לו את הבעיות. עוד בעיה שיכולה לצוץ מפתרון מבוסס טכנולוגיה היא שהמשתמש עצמו לא יהיה מודע לשימושים נוספים בגלל העדר ידע טכנולוגי (לדוגמא, הוא ביטל את הGPS אבל לא את כתובת הMAC בנתב הביתי).

הפתרון השני הוא יצירת רגולציה שתבדיל בין שירותי מיקום (essential location services) לבין שירותים שדורשים את המיקום. שירותי מיקום יהיו כפופים לרגולציה מסוג אחד, כזה שיאפשר להם לקבל את המיקום בהסכמה שהיא Opt-Out (כלומר, לאחר התקנת התוכנה ניתן לשלול את שירותי המיקום מתוכה, אבל אין צורך לאשר בנפרד את ההסכמה לשירותי מיקום). מנגד, שירותים שרק צורכים מיקום והשירות שמסופק למשתמש הקצה אינו תלוי מיקום או יכול שלא יהיה תלוי מיקום (non-essential location services) לא יוכלו לקבל את המיקום אלא באחד משניים: (1) הסכמה מפורשת בהתקנת התוכנה (opt-in) או; (2) בקשה בכל פעם שיש פניה לשירות המיקום בנפרד.

במצב כזה, ספקי שירות non-essential לא יוכלו להתנות את פעילות התוכנה בשירות מיקום או שיאפשרו הזנת מיקום ידנית; לדוגמא, אם אני רוצה להפעיל את אפליקציית עכבר העיר לאייפון, אבל לא רוצה לתת לה את כתובתי או מיקומי, אני עדיין אוכל להשתמש בה ולהזין כתובת אשר לידה אני רוצה לקבל בתי עסק.

על מנת להטמיע את השיטה, אין צורך בחקיקה אלא דווקא הסדרה של חנויות האפליקציה; הרעיון הוא שתקום קטגוריה של Location Based Services בהן ההרשאות יהיו מסוג אחד, ובכל שאר הקטגוריות, אפליקציות שיבקשו גישה לנתוני מיקום ידרשו לקבל אותה בצורה מפורשת.

7. לסיכום

עם הבעיה של LBS אנו יכולים לחיות. לא מדובר ברעה חולה שצריך להפטר ממנה בכל מחיר או במוצר שהציבור לא רוצה. להפך: רוב הציבור כנראה רוצה LBS ורוצה להתמודד איתם בצורה חכמה; רוב הציבור גם יעדיף, ככל הנראה, להשתמש בשירותים האלה ולא תהיה לו בעיה עם השימוש בנתוני המידע שלו. מנגד, אוכלוסיות רבות, ובמיוחד קטינים, אינן מסוגלות להבין את המשמעות של שימוש בנתוני המיקום שלהן. לכן, כדי להגן עליהן, יש לייצר את ההגנה באמצעות התוכנה וארכיטקטורת מידע ולהכפיף את יצרני התוכנות לרגולציה (עצמית, או שלא עצמית) שתמנע שימושים לרעה במידע.

[פורסם בגליון דצמבר של דיגיטל ויספר]