אם יש משהו ללמוד ממחקרם של מיכאל בירנהק וניבה אלקין-קורן: Does Law Matter? Informational Privacy and Online Compliance in Israeli Web Sites הוא שבאתרי האינטרנט הישראלי אין הבנה של עומק המידע הפרטי שנשמר. גם בטקסט הפופולרי שפורסם בדה-מרקר שמפשט את המחקר וגם במאמר עצמו לא הוזכר מהו המידע הפרטי שנשמר; רק אורי ברקוביץ' פרשן בצורה קלה: "כל פרט מידע שאתם מוסרים, משאילתת חיפוש אחר פריט מידע באתר כלשהו ועד מילוי טופס פרטים אישיים בכניסה לאתר שדורש רישום, מקורות חיים שנשלחים לאתר חיפוש עבודה ועד הפרטים שמוזנים באתר היכרויות – כל אלה מתועדים ונאגרים ליום פקודה".
כשרוב האנשים קוראים את המאמר הם חושבים ישירות על המידע שהם הזינו באתר: כתובת משלוח, טלפון, כרטיס אשראי; אלא שיש מידע חשוב יותר, מידע שמאפשר פגיעה לא פחות משמעותית בפרטיות, והוא נתוני הגלישה שלך. כיום, כשאתה גולש באתר מסחרי בישראל, אתה מאפשר לעשרות שירותים לשתול במחשב שלך Cookie ולעקוב, דה-פקטו, אחרי התנהגות הגלישה שלך. ואכן, לYnet יש מדיניות פרטיות מקיפה ביותר, אולם כאשר עמוד הבית של אותו אתר עולה, עולים גם שירותיה הנחמדים של Collarity ששותלת Tracking Cookie. כלומר, אותו שירות (ויש בYnet עוד כמה כאלה, אבל לא רק בYnet) יודע מהם האתרים שבעל הCookie ביקר בהם, ויכול לפלח אותו בצורה אופטימאלית. כל זאת, בעוד שYnet מחזיקים מדיניות פרטיות יפה שמספרת על המידע שיש עלייך, שירותי הTracking עוקבים אחרייך ללא ידיעתך אחרי שYnet משתשמים במילים יפות על "שירותי צד שלישי"; ונכון, Ynet מודיעים על כך שהם משתמשים, אבל לא מפרטים את כל השירותים ואת כל האתרים ומדיניות הפרטיות שלהם (וגם בפייסבוק מתחילה מודעות כלשהיא).
כלומר, כן, אתה יכול לפתוח את הDOM Inspector או לקרוא את הSource של העמוד ולראות אותם, אבל בלי זה, איך תדע איך לעשות Opt-Out מאותם שירותים?
מחקרם המקיף של בירנהק ואלקין-קורן סקר אלפי אתרי אינטרנט ישראלים ודיבר על מדיניות פרטיות, אך הוא גם הראה שאתרי אינטרנט ישראלים כלל לא מיידעים את הלקוח לגבי המעקב אחריו באמצעות צדדים שלישיים:
While there is no legal obligation to report which data security measures are undertaken and there is no obligation to report the use of cookies, 24% of the sensitive websites which provided users with a notice about data collection did mention the use of cookies, although none mentioned the use of “third party cookies”. The tests of actual information practices showed that about 90% of the sensitive websites used cookies and about 25% also used third party cookies.
המועצה הציבורית להגנת הפרטיות, אגב, נתנה דעתה לנושא ואמרה כי "המועצה קוראת שלא להתיר לצדדים שלישיים לאסוף מידע על פעילות גולש באתר אלא אם הדבר נחוץ לתפקודו התקין של אתר האינטרנט, רק במידה הנחוצה לכך ורק אם לא נמצא אמצעי אחר שפגיעתו בפרטיות קטנה יותר" (אגב, הם מספקים מדיניות פרטיות לדוגמא, משהו שאני מתנגד לו).
אולי ההבהרה הקשה ביותר היא ההסבר שנותנים בירנהק ואלקין-קורן לסיבה מדוע חלק ניכר מהאתרים מציגים מדיניות פרטיות מסוימת ועוקבים בצורה שונה: "websites' operators simply copied the privacy notice from another website without adapting it to their actual data collection practices. Further research is needed to verify these speculations". ההבנה כי מסמך משפטי, כמו מדיניות פרטיות, הוא לא מסמך סטנדרטי, וכי עורך דין שמנסח את המסמך לא נותן לך הסכם היא משהו שעוד לא השתרש בפרקטיקה הפרטית כאן; הכנה של מדיניות פרטיות היא עבודה מקיפה שדורשת פגישות עם הלקוח, בחינה טכנולוגית של המערכת והבנת הפעילות שלה, ניתוח של איזה מידע המערכת שומרת ולבסוף הצעת שינויים ללקוח על מנת לעמוד בדרישות הנוקשות של החוק. אתר פורומים שומר מידע אחר מאתר היכרויות, ורשת חברתית שומרת מידע אחר לגמרי; ובכל זאת, אתרים בוחרים להתעלם מאותו עניין וחוסכים כסף על חשבון פרטיות הגולשים.
פרטיות נובעת מהסכמה: הסכמה לשימוש במידע הפרטי שלך על ידי צדדים שלישיים (מיכאל בירנהק, "שליטה והסכמה – הבסיס העיוני של הזכות לפרטיות", בג"צ 6650/04 פלונית נ' בית הדין הרבני האיזורי בנתניה), אולם, ללא ידיעה מיהם השירותים שמשמשים את האתר, ומי מאחסן את המידע, האם ניתן לומר שהגולש נתן את הסכמתו לשמור את המידע הזה? הבעייתיות של יצירת קונסטרוקציה של הסכמה מכללא לשירותי צד שלישי שמופיעים באתר בעייתית בדיוק כמו הקונסטרוקציה של הסכמה מכללא לצפיה בפרסומות: זכותו של בעל המחשב לשלוט במהו המידע ש(א) נשמר על המחשב שלו ו(ב) נמסר לצדדים שלישיים.
הרשת בנויה מכך שבעמוד אחד ישנם שירותים לעיתים מעשרות אתרים שונים, לכל אחד מהם מדיניות פרטיות משלו ולכל אחד מהם תנאים משלו. כאשר נענע מאפשר להציג את שירות Facebook Connect, הוא מכפיף את הגולשים, לעיתים מבלי שביקשו, לאותם שירותים; פייסבוק יודעת, החל מעתה, מי גולש שם ויכולה להציג לו, בתוך פייסבוק, מודעות שתואמות למוצרים שחיפש. כמעט כמו בקמפיין דאוס, הגולש לא יודע מהי הדרך בה השיג האתר את המידע וכיצד אותן מודעות יודעות שהוא רוצה להכיר נשים בשלות מפתח-תקווה.
בעצם, אולי, הדרך היחידה של אדם לקחת בחזרה את הפרטיות שלו כרוכה בשני דברים: הראשון הוא חסימת עוגיות צד שלישי, והשני הוא התקנת פילטר שחוסם את שירותי העקיבה בצורה מירבית. רק כך, בעצם, הוא יכול לקבל שליטה והסכמה על המידע שמועבר עליו.
פתרון מכאני הוא חלקי ובעייתי, היות והוא דורש מהמשתמש רמת הבנה גבוהה, הן של אבטחת מידע והן של הפעילות ברקע של האתר. הודעת ההתראה הסטנדרטית של Facebook בעת הפעלת ישום, אינה נותנת למתשמש מספיק מידע על סוג האינטראקציה של הישום מול המידע של המשתמש.
נראה לי סביר יותר שדרישת מדיניות הפרטיות צריכה להיות מדורגת (cascading). כפי שכיום מנסים לחייב חברות המעסיקות עובדים במיקור חוץ להיות מחויבות לתנאי העסקתם.
כשאתה משתמש בשרות של מישהו אחר די בהגדרה איבדת חלק מהפרטיות שלך. אני מבין את מה שנאמר אבל אני לא מצליח להבין במה זה שונה מהחיים הגשמיים. אם שלחתי מכתב למישהו, האם מישהו מוכן להבטיח לי שהדוור לא שומר את העתקי התכתובות או רישום שלהן?
או במילים אחרות, אז מה?
הרשת היא מקום פומבי בדיוק כמו רחוב, ואתר הוא מקום ציבורי בדיוק כמו מסעדה. הסיבה היחידה שאנחנו מצפים לפרטיות בגלישה היא שאנחנו גולשים מפרטיות הבית שלנו. דברים שעבורם באמת נדרשת פרטיות, מצפינים בדיוק כמו בחיים הגשמיים.
מרק – רשות הדואר (בהנחה ששלחת את המכתב דרכה) אכן מתחייבת שהדוור אינו פותח \ קורא את המכתבים שלך וגם שהוא (ואף אחד אחר) אינו שומר עותקים שלהם. אם היתה מתחייבת לפחות מזה יתכן מאד שלא היו משתמשים בה. אבל זאת ההנחה שכל המשתמשים שלה עושים.
באותו אופן משתמשים של אתר אינטרנט מניחים (או רוצים להניח) שמידע שהם מזינים אליו (במפורש או שלא במפורש) לא עובר לגופים אחרים. באתרים הוגנים זה כתוב במפורש במדיניות הפרטיות שלהם.
עם זאת, נראה שאתרים לא מעטים "שוכחים" שהם דוקא כן מעבירים מידע לגופים אחרים, בד"כ מדובר באתרי סטטיסטיקות, אבל זה גם כולל אתרי פרסום וכו'. זה די מקומם – אותי זה אפילו מעצבן.
האדבלוק שלי חוסם לגמרי את גוגל אנליטיקס, ועוד שלל שרצים. אני גם חוסם עוגיות צד שלישי, ובאופן כללי לא אוהב שמשתמשים בכל כך הרבה עוגיות (למה לעזאזל אני צריך לאחסן מידע בשביל וויינט בזמן שאני מבקר באתר שלהם?).