פורסם במקור בDigital Whisper.

0.
למה בדיוק אנחנו מסכימים כשאנחנו כותבים ש"קראנו והסכמנו לתנאי השימוש"? זהו, הרי, אולי השקר הפופולרי ביותר ברשת. במאמר הקצר שלי אני אסקור כמה בעיות שנוצרו בגלל אותה ההסכמה, אספר על מעט אנקדוטות של אבטחת מידע, ואפילו אציע פתרון יחסית פשוט שלא כולל לקרוא את תנאי השימוש (כי לאף אחד חוץ ממני כנראה אין את הרצון הרב לעשות את זה). המאמר יורכב מכמה סיפורים קטנים, אנקדוטליים, ולא בהכרח במחקר כמותי מדויק. הסיבה לכך? קשה מאוד לאסוף נתונים כשמדובר במערך של הסכמים שאינו ניתן לאינדוקס, חיפוש וכדומה.

נתחיל בכמה מספרים, שלא בטוח שהם מדויקים או רלוונטיים: שבעה אחוזים מאזרחי בריטניה טוענים שהם קוראים את תנאי השימוש. הנתון הזה מאוד מפתיע, כי אם היית צריך אכן לעשות זאת, היה לוקח לך 76 ימי עבודה בשנה לקרוא את כל ההסכמים שאתה מסכים להם ביום-יום. העלות הממוצעת של קריאת מדיניות הפרטיות, בזמן מבוזבז, היא 3,534$ לשנה. מחצית מהאמריקאים לא יודעים מהי "מדיניות פרטיות".

במקרה הגרוע, בו לא תסכים לרשיון התוכנה של מיקרוסופט שמגיע יחד עם מחשב חדש, תצטרך לעבור דרך בית משפט לתביעות קטנות כדי לקבל החזר עבור רשיון התוכנה. כלומר, למרות שאתה לא מסכים למוצר מסוים, אתה עדיין צריך לפעמים לציית לתנאים המוזרים שלו.

אז בואו נתחיל לספר את הסיפורים המוזרים של ההסכמים שאתם אף פעם לא קוראים.

 

1.

השנה היתה 2005, ושוק התוכנה היה מעניין. תוכנה בשם Gain שהיתה משהו באיזור הרוגלה וסרגל הכלים, אספה לא מעט מידע על המשתמשים (ולזה נגיע בהמשך), אבל היה עוד עניין קטן: Gain הציעה, ברשיון התוכנה שלה, סכום כסף משמעותי למי שישלח לה אימייל ויצהיר שהוא הוריד את התוכנה. Gain שלחו לאותו אדם שקרא, לאחר כמה אלפי הורדות, את הסכום של 1,000$, ושילמו למישהו עבור קריאה של רשיון התוכנה שלהם. כלומר, לקרוא את רשיונות התוכנה זה עניין משתלם. הבעיה שGain הצליחו להציף היא בעיה ידועה: אף אחד לא קורא את רשיונות התוכנה. לכן, בתי המשפט הציבו לא מעט כללים נוקשים לשאלה כיצד אפשר להפוך את הכפתור "אני מסכים" לכזה שניתן אחר כך לאכיפה בבית משפט. כאשר, רוב החוזים כוללים סעיפים רעים מאוד ללקוח, שמתבססים על פערי מידע, חוסר קריאה של ההסכם, וגם בעיקר חוסר יכולת לנהל משא ומתן על התנאים שלהם (הרי, אתה לא יכול שלא להסכים לרשיון התוכנה של Microsoft Windows).

המסקנה הראשונה כאן היא שבאמת אף אחד לא קורא את הרשיונות האלו; הבעיה היא שלפעמים גם אי קריאת הרשיון לא עוזרת; כי גם אם הרשיון עובד לרעתך, הוא לא תמיד יהיה אכיף בבית המשפט. בפועל, המספר הקטן במיוחד של אנשים שטרחו לקרוא את הרשיון לא רק אומר שאף אחד לא מייחס חשיבות למה שכתוב שם, אלא גם שאף אחד לא מאמין שיהיה כתוב שם משהו בעל יכולת להשפיע על העתיד שלו.

2.

האמנות של ניסוח רשיונות תוכנה ותנאי שימוש היא אמנות שנרכשה בדם. הכללים כיום מחוקקים בכלל על ידי Google, Facebook וחברותיהן, ולא על ידי בתי משפט; אותם תאגידים שמהווים פלטפורמה להפצה של תוכנות קובעים בדרך הכלל את הדרך בה עלינו להסכים לתנאי השימוש. לדוגמא, כאשר אתה רוצה למכור תוכנה באמצעות Google Play, הכלל הוא שהמשתמשים יוכלו להוריד את מדיניות הפרטיות ולקרוא אותה לפני התקנת האפליקציה. אבל, כדי שההסכם יהא אכיף משפטית, הדרישה היא שהמשתמש יאשר את מדיניות הפרטיות בצורה אקטיבית (כלומר כפתור "קראתי את תנאי השימוש") ושהתנאים יוצגו לו לפני המדיניות (תא 1963-05-11 אווא פיננסי בע"מ נ' מלכה). כלומר, תיבה של הסכמה, בלי קישור לתקנון, היא בעייתית.

הכללים היום כדי לקבל אכיפות מקסימאלית הולכים כך (רשימה ממצה של מקרים באתר הEFF):

א. הלקוח צריך לקרוא את ההסכם, או לפחות שתהיה לו את האפשרות לקרוא את ההסכם, לפני שהוא מאשר את התנאים.

ב. ההסכמה שהלקוח נותן צריכה להיות ברורה, ועדיף לתת ללקוח עותק מיידי מההסכם. אי מתן עותק מיידי, עשויה לגרור אחר כך אחריות על הספק. במקרה שבו חברת פרטנר, לדוגמא, לא נתנה ללקוחה עותק מהחוזה במעמד ההתקשרות, נפסק כי החוזה לא תקף (תאמ 2083-05-13 פרטנר נ' שדאפנה זועבי). כלומר, יש לשלוח ללקוח מייל עם עותק מההסכם, ולתייק את השליחה.

ג. אישור התנאים צריך לכלול פעולה אקטיבית. הסכמים של "על ידי גלישה באתר זה אתה מאשר את התקנון" לא יהיו תקפים (No. 12-56628, 2014 WL Nguyen v. Barnes and Noble).

מכאן, ואחרי שסיימנו את הדרישות הצורניות, צריך גם לדון בתוכן הדברים עצמם. הרי, לא כל ההסכמים יאכפו.

 

3.

האמנות ממשיכה כאשר מדובר בשפה שניתנת לפירוש דו-משמעי, או כללית מדי. סעיף רע במדיניות פרטיות יכול להגיד "אנחנו עשויים לשמור עלייך מידע מזהה אישית, וכן להעבירו לצדדים שלישיים". סעיף טוב במדיניות פרטיות צריך לפרט איזה מידע נשמר, ומיהם הצדדים השלישיים אליהם הוא עובר. ברשיונות תוכנה, שבסך הכל אומרים "אנחנו נותנים לך זכות מוגבלת להשתמש בתוכנה שלנו, אל תעתיק אותה", מוסיפים בדרך כלל סעיפים ארוכים במיוחד שכוללים הגבלת אחריות (אנחנו לא אחראים לשום נזק שיגרם לך מהשימוש בתוכנה), אבל גם סעיפים קצת מוזרים.

אפל, לדוגמא, אסרה באחת הגרסאות של רשיון התוכנה של iTunes להשתמש בתוכנה לצרכי כורים גרעיניים. אבל איסור על שימוש בכורים גרעיניים, ככל שהוא מצחיק, רק מראה כמה עורכי הדין השתלטו על היכולת לנהל עסקים. בתי המשפט, ככלל, קבעו שיש סעיפים שלא יהיו אכיפים גם כשההסכמה היתה מפורשת. בעניין האריס (Harris v. Blockbuster, Inc., 622 F.Supp.2d 396) פסק בית המשפט במחוז הצפוני של טקסס שההסכם שכולל תנאי שמחייב את הצדדים לבוררות לא יאכף, כיוון שמדובר בחוזה מקפח.

בעניין סאצ'י (Sacchi v. VERIZON ONLINE LLC, Dist. Court, SD New York 2015), לעומת זאת, פסק שלא רק שהסכם בוררות בין לקוח לספק שירותי תקשורת הוא אכיף, אלא גם שהסעיף שמאפשר לספק התקשורת לשנות את התנאים בכל עת עשוי להאכף, ואפילו הסעיף שקובע כי אסור לתבוע את ספק התקשורת בתביעה ייצוגית.

כלומר, רמת אי הבהירות לגבי מתי בית המשפט יבטל סעיף כזה או אחר היא גבוהה מאוד, ולא כל מה שנראה היום מקפח עשוי להיות מבוטל.

4.

ביחד עם פסקי הדין, שהולכים לכאן ולכאן, עורכי הדין ניסו להקצין עם השנים את הדרישות ורשיונות התוכנה הפכו להיות קיצוניים יותר ויותר, וניסו ככל האפשר לייצר מודלים עסקיים כושלים. לדוגמא, בשנים האחרונות נוצרה מריבה משמעותית: מפתחי התוכנות החליטו להרוג את שוק התוכנות יד-שניה; הם כתבו ברשיון התוכנה שאסור להעביר את זכויות השימוש לאחר. כך היה בפרשת ורנור (09-35969 Vernor v. Autodesk). באותו המקרה, מר ורנור מכר רשיונות משומשים של תוכנת AutoCad באינטרנט; חברת אוטודסק, היצרנית, החליטה לנקוט בהליכים כנגדו על הפרת רשיון התוכנה (שאוסר על מכירה של רשיונות משומשים). בית המשפט בתחילה הסכים עם ורנור כי יש לו זכות למכור את הרשיונות המשומשים למרות האיסור ברשיון, אולם בית המשפט לערעורים אכף את תנאי הרשיון, וקבע ההוראות ברשיון האוסרות מכירה חוזרת תקפות.

הדוקטרינה הזו, של מכירת קניין רוחני משומש, נקראת "דוקטרינת המכירה הראשונה". בעוד שבנושאים כמו ספרים או דיסקים די ברור לנו שאפשר למכור ציוד משומש, דווקא בתוכנה הטענה היא שמרגע ההתקנה לא ניתן לעשות זאת. ברשיונות התוכנה של מיקרוסופט, לדוגמא, נאסר עלייך להעביר את התוכנה משומשת לאחר (למעט אירוע חד פעמי). השקף הבא, שמצורף ממצגת שלי, מסביר על ההבדלים בין רשיון התוכנה של מיקרוסופט לבין כסא:

בפועל, אנחנו לומדים שרשיונות התוכנה בעצם אוסרים עוד ועוד שימושים בתוכנות, תנאי שימוש עוסקים במה אסור לנו לעשות (ומעבירים לעיתים בעלות ברכוש שאנחנו יוצרים) ומדיניות פרטיות עוסקת בהקטנת הפרטיות שלנו. אז מדוע בכלל לקיים כאלה הסכמים? התשובה בדרך כלל היא שההסכמים נועדו לקיים דברים מפוקפקים יותר.

5.

אבל הגבלות אינן הסיבה היחידה לאהוב את הדרך שבה הסכמי רשיונות התוכנה מנוהלים. תוכנת סופרפיש היא דוגמא מצוינת. מספר רוכשי מחשבי לנובו למדו זאת על בשרם. כאשר הפעלת לראשונה את מחשב הלנובו שלך, נדרשת לאשר מספר הסכמים. אחד מהם היה ההסכם של חברת Superfish שקבע כי מותר לחברה להתערב בתעבורת הרשת שלך, כולל בתעבורה המאובטחת, כדי לקבל פרסומות. כלומר, המשתמשים המסכנים שאישרו את תנאי השימוש של מחשבי לנובו, הרשו בפועל לחברה להוסיף, מאחורי גבם, מערכת שתאפשר מתקפת אדם-באמצבע (MITM) על ידי החלפה של תעודות הSSL של אתרים פופולריים רבים. הבעיה, כמובן, היא שכולם "הסכימו" לזה. כמה ההסכמה הזו אכיפה? ובכן, נושא זה עוד יגיע לבית המשפט.

אז בעצם, ההסכמה שלנו לכך שתוכנה מסוימת תזריק פרסומות כללה גם הסכמה לכך שאותו יצרן של תוכנה לא יהיה חייב לפצות אותנו במקרה של נזק למחשב מהשימוש בתוכנה.

6.

במקרה אחר, תוכנת יוטורנט (uTorrent) הציעה, ביחד עם מסכי ה"הצעות" של ההתקנה, להתקין תוכנה שכורה ביטקוין ברקע. כיוון שאף אחד לא קרא את ההוראות וההסכם, התוכנה החלה לרוץ (ספק אם יוטורנט הצליחה להרוויח מזה, אגב). אבל, עולם התקנת התוכנות מלווה בכלי התקנה שמבוססים על פערי המידע וחוסר הנכונות של אנשים לקרוא טקסטים קצרים אפילו. אם תסתכלו על המסך הבא, תוכלו לראות שיש שתי אפשרויות הורדה (לכאורה). רואים את הכפתור הגדול "Download"? הוא מוביל להורדה של קובץ EXE (לא לסרט), מדובר במקרה הזה על תוכנת "ניהול הורדה". כיוון שמדובר במחשב לשימוש שלי, אני כמובן לא התקנתי את התוכנה, אבל המשתמש הרגיל יוטעה להוריד דברים כאלה.

קובץ המניפסט (בסוף) אולי יגיד לכם על מה מדובר. בכל מקרה, לא מדובר בתוכנות זכות במיוחד.

7.

אז העולם הזה אכזרי: יש תוכנות שמקבלות הסכמה בלי רשותנו; חלקן מעוות לנו את הדרך בה אנו גולשים ברשת ויוצר סיכוני אבטחה, חלקן משתמשות במחשב שלנו כדי לכרות ביטקוין ברקע, וחלקן מחליף לנו את הפרסומות כדי להתפרנס. עכשיו, כשמדובר על תוכנות שניתנות להורדה בחינם מהרשת, היה ניתן לצפות לרושעות כאלו. אבל מדוע הדבר קורה גם בתוכנות שניתנות בתשלום רב?

8.

ישנם שני פתרונות, לא אופטימאליים. הראשון הוא שירות בסגנון ToS TLDR, בו הקהל מנסה לתמצת עבור עצמו את התקנון, ולהכין אותו בשפה אנושית. השני, מה לעשות, הוא לכפות על העולם הזה חוזים אחידים מצד הרגולטור. החוזים האלו לא חייבים להיות חוזים נוראיים לעסק, אלא כאלו שיכילו סטנדרטים של מה מותר ומה לא מותר כאשר אנחנו מדברים על הרשאות שימוש בתוכנה: האם מותר להגביל אחריות, כך שגם אם המחשב יעלה באש כתוצאה מהתוכנה לא תהיה חייב דבר? האם מותר לקבוע שכל סכסוך ידון אך ורק בבית משפט במזרח גיאורגיה? האם מותר לקבוע שאסור למכור את התוכנה משומשת, והכי חשוב: מה האורך הרצוי ומה רמת הקריאות הרצויה.