[פורסם במקור בחורים ברשת בגרסא שונה מעט]
בבדיקה קצרה שערכנו בין 30 האתרים המובילים בישראל מצאנו כי חלק ניכר מהם אינו מספק מדיניות פרטיות הולמת וקריאה למשתמש. החלקים אשר כן היו קריאים ומובנים הביעו עוד אכזבה, שכן רמת ההגנה על הפרטיות כלל לא היתה הולמת. כמעט כל אחד מהאתרים הצהיר כי ישלח דיוורים ישירים למשתמשים, וגם יעביר מידע לגורמים חיצוניים; חלק ניכר מהאתרים לא הסביר למי יש גישה למידע ואיך המידע מאובטח. יותר מכך, כמעט אף אחד מהאתרים לא הבהיר האם המידע מוצפן, ומה הנזק הפוטנציאלי שיגרם לכם אם המידע שלכם ידלוף.
מבין האתרים המובילים בישראל, אתרי קבוצת MSN הם אלה שמכילים את מדיניות הפרטיות הטובה ביותר לגולשים (ציון 14 מתוך 35); אחריהם, יחד, וואלה!, אתרי קבוצת Ynet, תפוז, נענע10 וגלובס (עם ציון של 8), ואז הארץ, One, עכבר העיר, ספורט5, וואלהשופס, אולג'ובס ונטקס (עם ציון של 7), לאחר מכן יד2, דפי זהב, זאפ, רשת ונט-גיימס (עם ציון 6), בהמשך מאקו, דה-מרקר וביי2 (עם ציון של 5), דוקטורס (עם ציון 4), FXP (עם ציון של 2) ואחרון הוא אתר Rest עם ציון 0.
חשוב לציין כי המדד הוא לא לגבי הפגיעה בפרטיות, אלא דווקא לאיכות הטקסט של מדיניות הפרטיות, והאם ניתן להבין אותה (ורק לאחר מכן, האם המדיניות הולמת).
אולי השקר הגדול ביותר באינטרנט הוא "קראתי ואני מסכים לתנאי השימוש ומדיניות הפרטיות". בדרך הכלל, המסמכים האלו נערכים בצורה כל כך בלתי קריאה שאינה מאפשרת לאדם להבין את משמעות המסמך בלי השכלה משפטית רחבה. את המהות של המסמכים, בסופו של דבר, אפשר לתמצת לשני משפטים: (1) מותר לנו לעשות מה שאנחנו רוצים עם המידע שלך ועלייך; (2) אין לנו אחריות לכלום. הבעיה היא, שהתמריץ של הצדדים לנסח מסמך שאינו קריא פוגעת במשתמשים בטווח הארוך.
כמה חלופות קמו לאורך השנים שניסו לייצר דרך פשוטה יותר לקרוא את המסמכים. אתרים כמו ToS TL;DR, שנועדו לפשט את תנאי השימוש, לא ממש הצליחו להפוך לסטנדרט מקובל, ולא גרמו לכך שהמסמכים יהיו יותר קריאים. החריגים הקטנים, אתרי אינטרנט כמו 500PX שייצרו מסמכים קריאים לאנושות, עדיין לא מצליחים לתפוס תאוצה, וגם כאשר התנאים "ידידותים למשתמש", אנשים עדיין לא קוראים אותם. לדוגמא, אתר PC Pitstop הבטיח 1,000$ לכל מי שיקרא את תנאי השימוש, והחביא את ההבטחה עמוק בהסכם; לקח שבע שנים חמישה חודשים עד שמישהו פנה אליהם.
השוק, לכשעצמו, שנוצר על ידי עורכי דין, גם אינו מעוניין במיוחד בסטנרטיזציה של המסמכים. כלומר, עורכי הדין מתפרנסים (ומתפרנסים טוב) מכתיבת מסמכים כאלה. לכן, אין להם תמריץ בכך שהמסמך יהיה אחיד, כי אז הם לא יוכלו לחייב לקוחות על עשרות שעות עבודה על מסמך כזה.
אם כתיבה של תנאי שימוש היא בעיה רצינית; כתיבה של מדיניות פרטיות לא צריכה להיות כזו. מדוע? בבסיסו של המסמך, מדיניות פרטיות בסך הכל מגדירה למשתמש הקצה מספר דברים פשוטים (לפחות על סמך ההנחיות של משרד הייצוא האמריקאי ועוד מספר מקורות):
- מהו המידע שישמר על הלקוח?
- מה עושים עם המידע?
- למי יש גישה למידע הזה?
- האם יועבר מידע לצדדים שלישיים?
- כיצד אפשר לצור עם הלקוח קשר על סמך המידע?
- כיצד המידע מאובטח?
- כיצד הלקוח יכול לעיין במידע או למחוק אותו?
- מה הלקוח יכול לעשות אם הוא מרגיש שהפרטיות שלו נפגעה?
שמונה שאלות, יחסית פשוטות. אבל: אם תסתכלו על כל מדיניות פרטיות, היא בדרך כלל מסבכת את התשובות לכך, בצורה קיצונית. לכן, לקחנו לצורך המחקר הזה את מדיניות הפרטיות של 30 האתרים המובילים בסקר ועדת המדרוג (פברואר 2013) ובדקנו את מדיניות הפרטיות של כל אחד מהאתרים, כדי לראות (א) האם היא עונה לשאלות האלו, ו(ב) מהי מידת הפרטיות שיש לאזרח.
הניקוד שניתן לכל תשובה היה בין 0 ל3, כאשר, לכל אחת מהשאלות התשובות והניקוד הבא ניתנו:
- מהו המידע שישמר על הלקוח: (0) לא מפורט; (1) נשמר מידע מזהה גם למשתמשים רשומים וגם ללא רשומים (2) נשמר מידע מזהה למשתמשים רשומים בלבד; (2) נשמר רק מידע שאינו מזהה.
- מה עושים עם המידע? (0) לא מפורט; (1) המידע משמש ליצירת פרסום מפולח (2) המידע משמש ליצירת קשר; (3) המידע מעובד ומשמש לצרכים סטטיסטיים.
- למי יש גישה למידע הזה? (0) לא מפורט; (1) המידע נגיש לצדדים שלישיים ולמנהלי האתר; (2) המידע נגיש למנהלי האתר; (3) המידע אינו נגיש במלואו.
- האם יועבר מידע לצדדים שלישיים? (0) לא מפורט; (1) צדדים שלישיים יקבלו אותו לפי שיקול דעת בלעדי של האתר; (2) צדדים שלישיים שהם שותפים עסקיים יקבלו את המידע ורשויות על פי צו; (3) האתר לא מעביר מידע לצדדים שלישיים.
- כיצד אפשר לצור עם הלקוח קשר על סמך המידע? (0) לא מפורט; (1) ישלחו דיוורים מקוונים; (2) יצרו קשר על עדכונים שקשורים לאתר; (3) לא יצרו קשר.
- כיצד המידע מאובטח? (0) לא מפורט; (1) המידע נשמר בצורה פתוחה; (2) המידע מוצפן; (3) המידע מוצפן, מגובה ויש בקרת גישה.
- כיצד הלקוח יכול לעיין במידע או למחוק אותו? (0) לא מפורט; (1) הלקוח לא יכול לעיין; (2) הלקוח יכול לעיין על ידי שליחת הודעה בכתב; (3) הלקוח יכול לעיין על ידי פאנל הניהול.
- מה הלקוח יכול לעשות אם הוא מרגיש שהפרטיות שלו נפגעה? (0) לא מפורט; (1) לפנות לבית המשפט; (2) יש מערכת ביקורת, לשיקול דעת האתר; (3) יש נציב תלונות עצמאי.
את התוצאות המלאות אפשר לראות בטופס הגוגל הבא, אבל, המסקנות הבאות מתחייבות:
רוב אתרי האינטרנט בישראל נמצאים בסקאלה של בין מביש למחפיר; רק האתרים מקבוצת מיקרוסופט מאפשרים בכלל לגולשים הליך שכולל נציב תלונות עצמאי; למעט תפוז ואתרי מיקרוסופט וכל האתרים לא מאפשרים בכלל עיון מקוון במידע השמור עלייך, אלא דורשים פניה בכתב (אם בכלל). כמו כן, כמעט כל האתרים מעבירים את המידע על הרגלי הגלישה שלכם (בצורה סטטיסטית) לצדדים שלישיים (וובכן, צריך לאסוף את המידע לועדת המדרוג) וחלק מהם מאפשר גם לצדדים שלישיים לפרסם על חשבונכם.
אבל מכאן, נכנס לעומק: בגדול, אתרי קבוצת ידיעות אחרונות זכו לציון של 8 (מתוך 35, אבל בואו לא נתקטנן), וכך גם וואלה!. מנגד, אתר דה-מרקר (אבל לא 'הארץ' עצמו, שמחזיק מדיניות פרטיות) זכה לציון נמוך של 5, וזאת בעיקר כי לא ציין כיצד אפשר לעיין במידע, ולא הסבירו כלל כיצד המידע מאובטח.
אני אתן שלוש דוגמאות לפי קבוצות כדי שהעניין יהיה ברור יותר; נקח קודם כל את קבוצת 'הארץ', בעוד שאתר 'הארץ' עצמו מכיל מדיניות פרטיות סבירה (שקיבלה ציון 7) ועונה על כל שאלה למעט 'מה אפשר לעשות אם הפרטיות שלך נפגעה' (בצורה דומה לYnet וNRG), אתר דה-מרקר בכלל לא הכיל קישור למדיניות פרטיות בעמוד הראשי.
איזה מידע נשמר?
השאלה הכי חשובה במדיניות פרטיות היא מה שומרים עלייך. בפועל, באף אחד מהאתרים לא הצלחתי למצוא תשובה לשאלה הזו בצורה מפורטת. תנאי השימוש של אתר וואלה!, בצורה מייצגת לישראל, מסבירים מה הם שומרים בצורה עמומה. קודם כל, ההפרדה בין המידע ה'מזהה' ל'מידע לא מזהה' היא די מלאכותית, והאתר מפרט כי הוא שומר "מידע אישי, דוגמת שם, כתובת, דרכי ההתקשרות עמך, כתובת הדואר האלקטרוני שלך או פרטי כרטיס האשראי שברשותך. השדות שחובה למלא יסומנו במפורש"; אבל במקביל וואלה שומרת מידע על "נוהגיך, מוצרים ושירותים שרכשת או ביקשת למכור, מידע או פרסומות שקראת באתרים, העמודים שבהם צפית, ההצעות והשירותים שעניינו אותך, אמצעי התשלום ששימשו אותך, מקום המחשב שבאמצעותו נכנסת לאתרים ועוד"; אי אפשר לומר שהמידע כמו "אמצעי התשלום ששימשו אותך" או "מקום המחשב" (שכולל גם את כתובת הIP שלך, בדרך כלל), אינם אמצעים מזהים.
לדוגמא, ב2006, חברת AOL שחררה מאגר מידע "אנונימי" שכלל רק את שאילתות החיפוש של אנשים. אותו מאגר 'אנונימי', אפשר לנו להציץ לחיים של אנשים ולזהות אותם. כך גם עם אותו מידע "לא מזהה" שלעיתים משותף עם צדדים שלישיים.
מה עושים עם המידע?
התשובה לשאלה מה האתרים עושים עם המידע שלי היא כל כך לא ברורה, שנדמה שהיא תוכננה כך. לצורך העניין, נקח את מדיניות הפרטיות של Ynet (ושוב, הדוגמא היא מייצגת את כל האחרים גם כן), אז כמו כולם, האתר רוצה את המידע כדי "לאפשר לך להשתמש בשירותים שונים באתרים", אבל גם כדי "לשפר ולהעשיר את השירותים והתכנים המוצעים באתרים" ו"להתאים את המודעות שיוצגו לעיניך". הדבר מאוד לא חריג ודומה שכמעט כל אחד מהאתרים שהציג מדיניות פרטיות בכלל הציע משהו דומה; אתר מאקו, לדוגמא, מציג סעיף מאוד בעייתי במדיניות הפרטיות שלו:
"שידורי קשת תהיה רשאית להשתמש בפרטים שנמסרו על ידך במהלך שימושך באתר זה ובמידע שייאסף על ידה לעניין דפוסי השימוש שלך באתר זה, באמצעות מעקב אחר פעילותך באתר, והכל בכפוף להוראות שימוש אלה והוראות החוק" … "שידורי קשת תעשה שימוש בפרטים הנמסרים על ידיך במסגרת הצטרפותך לאתר זה בהתאם להוראות החוק, לרבות חוק הגנת הפרטיות, התשמ"א – 1981, ואת/ה נותן/נת הסכמתך לשימוש זה" … "שידורי קשת תהיה רשאית להשתמש בפרטים שתמסור/י באתר ובמידע שתאסוף אודות דפוסי השימוש שלך באתר לצורך שיפור השירותים שהיא מציעה, ליצירת הקשר איתך (למקרה הצורך) או לצורך ניתוח ומסירת מידע סטטיסטי לצדדים שלישיים, לרבות מפרסמים. מידע זה לא יזהה אותך אישית".
המילה "חוק" חוזרת על עצמה כל כך הרבה פעמים שזה מבלבל. על פי חוק הגנת הפרטיות, יש חובה על בעל מאגר מידע ליידע את האנשים מהן המטרות. כאן, לצורך העניין, יש כמה מטרות (החלק המודגש); אבל מה זה "שיפור השירותים" בדיוק? האם מדובר על A\B Testing או להציג פרסומות על סמך הרגלי הקניה שלך? מתי בדיוק אפשר להבדיל בין השניים? הטקסט עצמו מבלבל, וברור למי שקורא אותו כי כל מידע שהוא נותן הופך להיות לא פרטי מאותה הרגע.
איך מאבטחים את המידע?
רוב האתרים משתמשים במשפטים כמו "גלובס נוקטת אמצעים לאבטחת המידע באתר גלובס, אולם מאחר ומדובר באתר המקושר לרשת האינטרנט העולמית לא ניתן להבטיח חסינות מוחלטת מפני חדירות למחשבי גלובס, ועובדה זו מובהרת למנוי על מנת שיבחר האם ברצונו למסור את פרטיו באמצעות האתר" (תנאי השימוש של אתר 'גלובס'); כלומר, גם אם תתנו מידע רגיש לאתרים האלו, והוא ידלוף, האתרים מסירים את האחריות שלהם במקרה כזה.
אבל, אף אחד מהאתרים לא כותב האם הוא מצפין את המידע במאגרים שלו, או את התקשורת (למעט אתרי קבוצת MSN, שמדיניות הפרטיות שלהן מצוינת).
דיוור ישיר? זה ברור.
כמעט כל אחד מהאתרים, למעט One שקובע בתנאי השימוש כי "סיטינט לא תמסור את פרטיך האישיים למפרסמים ו/או תשלח לך דיוור מבית ONE, למעט אם הסכמת לכך במפורש בתהליך ההרשמה", מבקשים ממך את הזכות לשלוח לך ספאם. אתר Ynet, לדוגמא, מבהיר כי "ידיעות אינטרנט רשאית לשלוח אליך מדי פעם בדואר אלקטרוני מידע בדבר שירותיה וכן מידע שיווקי ופרסומי – בין אם מידע שהיא עצמה תפרסם ובין אם מידע שתקבל לצורך משלוח מידי מפרסמים אחרים"; מדיניות הפרטיות של אתר 'הארץ' קובעת כי "אתרי החברה רשאים לשלוח אליך מידי פעם בדואר אלקטרוני מידע בדבר שירותיהם וכן חומר שיווקי ופרסומי אחר, לרבות של צדדים שלישיים".
אתר תפוז מציע תנאים דומים, וקובעים כי החברה "תהיה רשאית לשלוח אליך מדי פעם בדואר אלקטרוני (על פי הכתובת אותה מסרת) ו/או באמצעות מערכת המסרים האישיים באתר עלוני מידע, עדכונים, הזמנות ו/או עדכונים לעניין אירועים, קישורים, הודעות, פרסומות, חומר, מידע לרבות פרסומי או שיווקי, וכל מידע אחר שאנו מאמינים שתמצאי בו עניין מכוח השימוש באתר ו/או מי משירותיו".
כלומר, ככל שזה נוגע לאתרים ישראלים, הכלל הוא שאם נתת להם כתובת דואר אלקטרוני, צפה לספאם.
אז המידע נשאר אצל האתרים?
אבל, כאמור, מענה על השאלות לא מבטיח פרטיות; לדוגמא, הארץ תהיה רשאית להעביר מידע מזהה עליכם "בכל מקרה שהחברה תסבור, כי מסירת המידע נחוצה כדי למנוע גרימת נזק משמעותי לך או לצד שלישי"; כלומר, נרשמתם לחומת התשלום של 'הארץ' כדי לקרוא כתבות, וכתבתם תגובה שפוגעת במישהו? הארץ לא מתחייבת שהיא לא תעביר את המידע.
אבל 'הארץ' לא לבד; גם קבוצת Ynet מחזיקה במדיניות הפרטיות שלהם סעיף דומה, לפיו היא תעביר מידע "בכל מקרה שידיעות אינטרנט תסבור, כי מסירת המידע נחוצה כדי למנוע נזק חמור לגופך או לרכושך או לגופו או לרכושו של צד שלישי".
סעיף דומה תוכלו למצוא כמעט בכל אחד מהאתרים הגדולים; החריג הוא NRG-מעריב שמדיניות הפרטיות שלו לא מתייחסת לנושא, וגם One, שאמנם מדיניות הפרטיות שלהם קצרה ולא ממש ממצה, אבל לא מפרטת את הנושא (כמו הרבה נושאים אחרים שחסרים).
כלומר, כתבת טוקבק? צפה שהפרטים יועברו למי שירגיש שהוא נפגע, לפעמים בלי צו שיפוטי.
העדר ביקורת.
למעט אתרי קבוצת MSN, שבהחלט הולמים במדיניות הפרטיות שלהם, רוב האתרים אינם מכילים מערכת של ביקורת וקבלת תלונות. מה זאת אומרת? אם אתה מרגיש שהפרטיות שלך נפגעה, אתה אמור להיות מסוגל לפנות ישירות לנציב קבילות שיוכל לבדוק את הנושא, לפרסם דוחות תקופתיים על הגנת הפרטיות. זו גם תהיה החובה (בסופו של דבר) על פי טיוטאת תקנות אבטחת מידע (שעדיין לא בתוקף) שהופקו כלקח מפרשת ההאקר הסעודי.
כלומר, אם אתר יחוייב לדווח על פגיעות בפרטיות שהתרחשו בשטח שלו, ההנחה היא שיהיה פיקוח רב יותר, ופחות בעיות. אבל כאן אף אחד מהאתרים למעט קבוצת MSN לא דיווח על מנגנון דיווח ובקרה כזה.
המסקנות:
לעניין הציונים בגליון, ציון של 8 אומר שיש (בממוצע) מענה לכל אחת מהשאלות הרלוונטיות שדיברנו עליה. בואו נניח שמדיניות פרטיות טובה צריכה לענות על לפחות 7 מתוך 8, אז במקרה כזה, אם נסתכל על האתרים שמדיניות הפרטיות שלהן לא ענתה (ציון של 6 ומטה) נמצא את מאקו, יד2, דפי-זהב, FXP, זאפ, אתרי קבוצת הארץ (למעט אתר 'הארץ' עצמו*, Buy2, Doctors וRest. כלומר, כשליש מהאתרים בכלל לא מחזיקים מדיניות פרטיות שעונה על הצרכים המינימאליים.
כלומר, גם אם תקראו את התקנונים, שכתובים בצורה לא טובה, לא תקבלו את המידע שדרוש לכם. מה זה אומר? זה אומר שצריך כאן רפורמה: אם אף אחד לא קורא, ומי שכותב לא כותב כמו שצריך, אז כנראה שמה שצריך לעשות הוא לייצר תבנית, שאלון פשוט, של שמונה שאלות, שיאפשר לייצר מדד של פרטיות.
איך אפשר לעשות את זה? וובכן, לענות על שאלון לבעל האתר שיפרט מה עושים עם המידע של הגולשים זה לא תהליך מסובך. הוא יכול גם לייצר אייקונים נחמדים (כמו אלה שהוכנו על ידי אזא רסקין) שיסבירו לגולש מה עושים עם המידע שלו.
האייקונים של רסקין, לדוגמא, יכולים להסביר לנו בצורה פשוטה מה קורה עם המידע שלנו. לדוגמא, הסתכלו על האייקון הבא:
הפרשנות של האייקון עצמה ברורה. האייקון מסמן לנו שהמידע שלנו עובר למפרסמים. זה לא כזה מסובך להבין, ויש אייקונים דומים לשאלה האם המידע מגיע לרשויות אכיפת חוק, והאם יש רשימה סגורה של שימושים במידע שלנו, או רשימה פתוחה.
האייקונים עצמם לא מספקים תשובה מושלמת, אבל הם התחלה טובה; כלומר, צריך לעבוד עליהם עוד משתי סיבות; הראשונה היא זכויות יוצרים (שצריך אייקונים חופשיים) והשניה היא שהמענה שלהן לא מספיק טוב.
לצורך פרויקט כזה צריך כמה אלפי שקלים בודדים, אבל ניתן לפשט בצורה קיצונית את תהליך קבלת ההחלטות של אזרחי ישראל בנוגע לפרטיות שלהם. יותר מזה, בעצם הצגת המידע יווצר תמריץ לאתרי האינטרנט להפסיק פרקטיקות מסוימות. כי אם כולם ידעו שאתה שולח ספאם, אולי לא תרצה להציג את זה.
יש כאן בעיה: קודם כל, כדי להביא את האתרים להשתמש בכלים האלו צריך להכריח אותם. הסיבה? אני לא מעריך שמי מהאתרים רוצה שאנשים אחרים ידעו מה הם עושים עם המידע (ואולי אני טועה כאן, אבל כרגע זה ממש לא נראה ככה). כלומר, אם יבוא ארגון צרכנים כלשהוא ויתנה את ההסמכה שלו (כמו 'אמון הציבור') בפירוט כזה, אולי העניין יתחיל.
אבל עד שזה יקרה? לאף אחד לא איכפת כי בכל מקרה זה לא אפקטיבי.