כמי שמתעסק בטכנולוגיה על בסיס יומי, התחקיר שפורסם על ידי אבי וייס "שטח הפקר: על הסחר בנתוני הגלישה שלנו באינטרנט" לא חידש לי דבר. לפחות שלוש שנים האקדמיה המשפטית והטכנולוגית מתעסקת בנושא עוגיות צד שלישי ומעקב אחרי גולשים, פרסום מפולח היטב ועוד. בשנת 2009 פרסמו ניבה אלקין-קורן ומיכאל בירנהק מחקר בשם "Does Law Matter? Informational Privacy and Online Compliance in Israeli Web Sites"; המחקר עצמו מצא כי רוב אתרי האינטרנט הישראלים שנבחנו לא ממש מקפידים על פרטיות הגולשים. כפי שהסברתי אז, השאלה היא לא איך שומרים על המידע הפרטי, אלא מה אוספים ומה משתפים.
שנה חלפה ממחקרם של אלקין-קורן ובירנהק והWall Street Journal פרסם את תחקיר "What They Know" שבודק בדיוק מה המידע ששומרים עלינו שירותי הצד השלישי; המסקנה העצובה? שזה לא משנה איך הם שומרים, אלא מה. אם מישהו מעוניין שלא יעקבו אחריו, הכנתי מדריך מפורט עבור משתמשי Firefox. אבל השאלות "מה", "איך" ו"למה" אינן שאלות נפרדות: כאשר שירות פרסום עובד בצורה שהיא Cross-Domain (כלומר מצליבה מידע בין אתרים שונים) ובצורה שהיא התנהגותית (Behavioral), יש לו מטרה פשוטה, והיא כסף.
בצורה כללית, בזכות הפרסום ההתנהגותי, אפשר לומר שהוא מספק פרסומות פחות מציקות, ושהוא מביא תכנים רלוונטיים במיוחד לגולשים. הדוגמא היא של מוכרת בחנות: אם תבוא לחנות ותמדוד חולצה, המוכרת תוכל לנסות להתאים לך בגדים אחרים על סמך הנסיון המקצועי שלה. אז מה כל כך בעייתי בפרסום התנהגותי?
בישראל החוק לא אוסר מפורשות על פרסום התנהגותי (אלא אם אתה קטין, ואז יש הרבה הגבלות על פרסום התנהגותי בתקנות הגנת הצרכן (פרסומת ודרכי שיווק המיועדות לקטינים)) וגם נכון לעתה, ההגדרה של מדיניות פרטיות לא מופיעה במפורש בחוק. בעוד שבעולם האינטרנט התפתח סטנדרט של "מדיניות פרטיות", הרי שזו כתובה בצורה שאף אחד אינו מסוגל לקרוא אותה. הפסקה הבאה ממדיניות הפרטיות של Ynet מסבירה כיצד מופעלים שירותים שמבצעים פרסום התנהגותי ועוקבים אחרינו:
"המשואות הן קבצים גראפיים זעירים בעלי מזהה ייחודי, המשובצים בדפי אינטרנט ושתפקידם לסייע באיסוף מידע אודות הצפייה והשימוש באתר. המידע הנאסף איננו מזהה אותך, אלא רק מבקש להתאים את הפרסומות שיוצגו בפניך לנושאים שיעניינו אותך. השימוש שחברות אלה עושות ב-Cookies ובמשואות רשת כפוף למדיניות הפרטיות שלהן ולא למדיניות זו של אתרי ynet. אם אתה רוצה לבדוק את מדיניות הפרטיות של החברות, המנהלות את מערך הפרסום ב-ynet, תוכל לעשות כן באמצעות אתרי האינטרנט שלהן"
שימו לב: Ynet לא אומרים לך "הנה השירותים שאנחנו משתמשים בהם, תכנסו אחד אחד ותקראו את מדיניות הפרטיות" אלא שולחים אותך בעצמך לאתר מיהם אותם שירותים. העניין הוא שחלק מאותם שירותים משתמשים גם הם בשירותי צד ג', שגם להם מדיניות נפרדת.
לאחרונה נכנסה לתוקף באירופה אמנה שידועה בכינוי Cookie Directive; מדובר על החלטה של האיחוד האירופי להגדיל את הפרטיות של כל גולש. אחד הכללים החשובים של האמנה היא הזכות לסרב לפרסום התנהגותי; מעבר לכך (וזו הביקורת העיקרית על האמנה), יהיה צורך לקבל הסכמה מפורשת לפני שתילת כל עוגיה (דבר שעשוי להסב חוסר נוחות כללי כאשר גולשים באתר כמו Ynet אשר מציב לפחות תריסר משירותים שונים בעת הגלישה). כך, לדוגמא, יש לאפשר למשתמשי אתר לסרב (בצורה פשוטה יחסית) לפרסום התנהגותי. ישראל לא מזמן קיבלה הכרה מהאיחוד האירופי בכך שרמת הפרטיות כאן מספקת וכי ניתן להעביר מידע בין ישראל לאירופה ולהפך, כך שעל פי התחייבויותיה של ישראל להתאים את הדינים לאיחוד האירופי יש על הרשויות בישראל לפעול גם הן לאכיפה של הזכות לפרטיות.
העניין הוא שפשוט לאף אחד לא איכפת. מצד אחד, בעוד שמתפתח סטנדרט טכנולוגי בשם "Do Not Track", הרי שחלקים נכבדים מהאינטרנט פשוט לא מכבדים אותו. כלומר: גם המשתמש הממוצע פלוס, שמודע לזכויותיו ומפעיל טכנולוגיות הגנה, לא יכול להתחמק מהמעקב. המעקב נהיה כיום עוד יותר רווחי לחברות, כאשר אלה מסוגלות להצליב בין מכשירים סלולריים למחשבים אישיים כיוון ששירותים כמו Google Sync מאפשרים לדפדפן Chrome להעתיק עוגיות בין המחשב הנייח שלכם לטלפון הסלולרי.
אז מהו הפתרון המשפטי כאן? לא נראה כאילו המחוקק עומד לשנות את הסטנדרט כאן, ולאף שחקן שאינו הצרכן הקטן במשק אין אינטרס לשנות את הכללים. לכן, הפתרונות הבעייתיים יותר הם אלה שכנראה יצליחו: פתרונות כמו התקנת חוסמי פרסומות שיפגעו ישירות בהכנסות המפרסמים שאינם מכבדים את פרטיות הגולשים, מצד אחד, ופתרונות כמו מעבר לשימוש בטכנולוגיות פחות פוגעות בפרטיות לצריכת תוכן. הרי הבעיה האמיתית היא שגם אם תנקה את היסטוריית הגלישה שלך, וגם אם תחליף את העמוד הראשי, עדיין תופיע שם הפרסומת הכל-כך רלוונטית לך שתציק לך.
וכן, ככל הנראה יש הבדל בין מוכרת בחנות שמגיעה אלייך כשאתה מודד חולצה ומציעה לך חולצה אחרת, לבין אתר אינטרנט שעושה את זה.
כשאנשים חושבים על פרסום התנהגותי, המחשבה הראשונה שעולה בראש היא שהאח הגדול צופה בך כל הזמן. אין הדבר כך.
ראשית – פרסום התנהגותי הינו לרוב המקרים אנונימי. המפרסם אינו יודע שהוא פונה למשה כהן מפתח תקווה, כי אם למעשה למחשב כלשהו שנמצא באיזו המרכז בעל מספר אקראי. אם שומרים על הכללים של חברות התקינה כגון NAI ו IAB ורוב חברות הפרסום למעשה שומרות – בלתי אפשרי לאתר את הבנאדם האמיתי שנמצא בצד השני. בנוסף, חברות הפרסום מחוייבות שלא לעקוב אחר סט של תכנים 'בעייתיים' – תכנים מיניים, פוליטים, גזעיים ועוד. למעשה פרסום אנונימי מתאים תכנים למחשב ולא לאדם, מה הביג דיל ?
בחלק מהמקרים, פרסום התנהגותי אינו אנונימי (פייסבוק לדוגמא). במקרה זה יודע המפרסם פרטים רבים על האוכולוסיה לה הוא פונה (גיל, מין, מצב משפחתי, מיקום משפחתי ואפילו העדפות מיניות), במאמץ מסויים ניתן להגיע באמצעות פייסבוק לפרסום המוכוון לאנשים ספציפיים. חברות השמה משתמשות לעיתים ביכולות אלו ע"מ להציע הצעות עבודה אטרקטיביות לטלנטים. פייסבוק היא כידוע חברה מסחרית בעל מטרות רווח, שירותיה ניתנים לציבור הרחב ללא תשלום בעוד עלויות התפעול של החברה הינן אסטרונומיות, השימוש בפרסום הנ"ל מאפשר לפייסבוק להמשיך ולהתקיים. כמובן פלוני פרנואידי אינו חייב לקבל על עצמו סוג פרסום כזה פשוט ע"י מחיקת המנוי שלו בפייסבוק.
האינטרנט הוא מצע תוכן אינסופי ופרסום הוא המנוע שזכותו מצע התוכן הזה קיים. אחד לא יכול להתקיים ללא השני, וככל שאחד ישתפר, השני ישתפר איתו.
חגי,
ברור לי שלא כל הפרסום ההתנהגותי הוא PII; אבל יש לו בעיות. ברור לי שהאנונימיות עוזרת, אבל היא לא נותנת לי נחת הרבה פעמים.
הבעיה היא לא בשירותים האלה (שאגב נותנים באמת ערך מוסף) וגם לא במדיניות הפרטיות שלהם (המדיניות שלהם בדרך כלל מצוינת וכוללת גם Opt-Out) אלא באתרי אינטרנט שלא מזכירים בPrivacy Policy שלהם מי השירותים כדי שאני אדע לעשות OptOut בלי להסתכל בSource של האתר.