0.
לפני כשנה התפרסם מחקר של עמותת אשנב הקובע כי 60 אחוזים מאתרי האינטרנט המיועדים לילדים שומרים מידע פרטי על אודותיהם ללא הסכמת הוריהם; המחקר, שנכתב על ידי ועל ידי שוקי פלג, עבור העמותה, היה קצה הקרחון בכל הנוגע לפרטיות ילדים, קצר ולא ממצה; עם זאת, הוא הצליח לגעת במקומות הנכונים. הממצאים נגעו בעיקר לפגיעה בפרטיות על ידי גורמים מסחריים, תוך תפישה כי נפשם של קטינים רגישה ועדינה לא זכתה להתייחסות בקמפיינים פרסומיים. לא מעט מהחברות המסחריות מקיימות מבצעים המיועדים לקטינים, לא מעט בתי עסק מייעדים מבצעים לקטינים כנגד מתן מידע. הפרקטיקה הזו נובעת, בין היתר, מחוסר תשומת לב לפרטיות של ילדים (ברשת ובכלל) ומהעדר אכיפה אמיתית על פגיעה בפרטיות קטינים: עיריית רמת-גן נקנסה ב5,000 ש"ח על העברת רשימת התלמידים לחברה מסחרית לצרכי שיווק וכנגד סלקום, שעשתה שימוש במידע פרטי על קטינים שלא בהסכמתם, לא ניתן קנס אלא רק נזיפה.

1.
כדי לתקן מצב זה, החליטה הרשות למשפט, טכנולוגיה ומידע לפרסם טיוטא של הנחיות בנוגע לשימוש במידע פרטי של קטינים, אשר מציבות את ישראל במצב מצוין; ההנחיות מקבילות (כמעט) לChild Online Privacy Protection Act (COPPA) האמריקאי, אלא שבניגוד לחוק האמריקאי, הן רחבות יותר וחלות על כל עיבוד של מידע ולא רק באינטרנט. ההנחיות מאמצות את העקרון שלפיו קטין אינו יכול לוותר על פרטיותו וכי יש לקבל הסכמת הוריו לכל פעולה מסוג זה, וקובעות כי חובה על מי שמעבד מידע לתת למשתמשים מדיניות פרטיות קריאה (ראו דיווח נרחב על היוזמה באתר newsgeek).

2.
אהוד קינן סקפטי מאוד ביחס להצלחה של היוזמה, ואני לצערי חייב להצטרף. אחת הבעיות היא קיומה של מודעות ציבורית; ההנחיות של משרד המשפטים כמעט ואינן משנות את החוק הקיים, הן רק מבהירות מהן הפרקטיקות הראויות להנהג ומקיימות תקן שיישומו יקים חזקה כלשהיא של תום לב על מי שמתשמש במידע. מנגד, ביום שההנחיות יכנסו לפועל, רוב העסקים בישראל יהפכו ל"פושעים"; כמובן, הם לא יהיו פושעים כי לא מדובר בהנחיות שיכולות להקים סנקציות פליליות, אלא שהרשות למשפט, טכנולוגיה ומידע יאלצו לפתוח בחקירה.

3.
הסכנה הגדולה ביותר בקיומן של הוראות חוק (מדהימות, מצוינות, ראויות, לדעתי) שאינן אכיפות היא הפיכתן לאות מתה. בנושא הפרטיות הדבר כבר קיים בכל הנוגע לחובת רישום מאגר מידע לפי סעיף 8 לחוק הגנת הפרטיות; לצערנו, רוב מאגרי המידע בישראל אינם רשומים אך לא נעשה דבר כנגד העניין; לכן, המלצות ועדת שופמן היו לבטל את חובת הרישום על מאגרי מידע ולהחיל הוראות כלליות; אלא, שהמלצות אלה לא התקבלו ומנגד ביקשה הרשות יותר ויותר סמכויות, לרבות הסמכות לחפש במחשב.

4.
הנחיות הרשות הן הנחיות ראויות, ועם כניסתן לתוקף יאלצו רוב בעלי מאגרי המידע בארץ לשנות את הארכיטקטורה שלהם: יהיה עליהם להפריד בין מידע של בגירים לקטינים (לפחות ברמה הלוגית) ולקדם מדיניות של פרטיות בעיצוב. אלא, שבלי כח אכיפה ראוי: דהיינו, ילדים המודעים לזכויותיהם ורשות שמסוגלת לפקח על גורמים המחזיקים מידע על ילדים, אנחנו נהיה כמו לוב, מדינה עם חקיקה מעולה ונעדרת יישום של החקיקה הזו.

5.
בכל ההנחיות המדוקדקות והמצוינות, סעיף אחד צורם לי, וסעיף אחד בלבד (הגם שסעיף מסוג זה עומד לספק פרנסה ללא מעט עורכי דין): זהו סעיף הגוף המבקר. על פי ההנחיות, גורמים יוכלו לקבל הכשר מגופים מבקרים שיערכו ביקורת לבחינת עמידת אותו גורם בהוראות ההנחיות. בעצם, מדובר במתן הכשר לשמירה על מידע על ידי גוף פרטי, הגם שאותו גוף כפוף לסנקציות כלשהן. תיאורטית, תפקיד זה הוא מסוג העבודה שנתייחדה לעורכי דין ולנותני ייעוץ משפטי: עליהם לספק ייעוץ ללקוחותיהם על עמידת הלקוחות בהוראות הדין; אלא, שבמצב הקיים היום, מעט מאוד עורכי דין אכן נכנסים לקרביים של מערכות המידע של לקוחותיהם ודנים בארכיטקטורת ההגנה על המידע. הקמת יישויות שמספקות הסמכה או סרטיפיקציה של פרטיות היא נכונה וראויה, אלא שבמקרה כזה מהווה סכנה למדרון חלקלק; לדוגמא, אם ניתן יהיה לפרש את חוק הגנת הפרטיות במספר אפנים, ויהיה ידוע כי גוף אחד מחמיר יותר וגוף שני פחות (אבל עדיין פרשנותו לא עולה בכדי רשלנות מקצועית, אלא טעות סבירה), הרי שהשוק הפרטי, שמעוניין בשמירה על יותר ויותר מידע, יפנה לגורם המחמיר פחות.

6.
בכך, בעצם, יווצר מנגנון הסדרה עצמית פגוע, בו השוק מסדיר את עצמו. לכן, לשיטתי, ראוי לוותר על מנגנון ההסמכה והבקרה, ולקבוע כי הגוף יבקר את עצמו; הרי, בסופו של דבר, אם גוף לא יקבל הסמכה ממקום אחד, הוא ילך לעשות שופינג במקום אחר.