איך אתם יודעים שכשאתם מעבירים מידע אישי למישהו הוא ישמש רק למטרה שנתתם אותו? טוב… זו שאלה לא קלה. לצורך זה, יש לנו את חקיקת הפרטיות האירופית, הGPDR. החקיקה דורשת משהו שנקרא "צמידות המטרה"; כלומר, שאם סיפקת מידע למישהו, הוא יכול להשתמש בו רק למטרה לשמה הוא קיבל. אבל, המישהו הזה יכול להעביר הלאה את המידע כחלק מהשירות שהוא נותן לאחרים. במקרה הזה, הוא נדרש לוודא שהמידע שלך מאובטח וישמש רק לאותה מטרה. זה נעשה באמצעות הסכם עיבוד מידע אישי, הסכם סטנדרטי שנועד להבטיח שהמידע שלך והזכויות שלך נשמרות על ידי צד שלישי (הבחור שקיבל את המידע עלייך).

זה נשמע ממש הגיוני ופשוט: אם אני משתמש בשירות תשלום באתר האינטרנט שלי, אז השירות הזה מקבל מידע על הלקוחות שלי. השירות חותם על DPA (הסכם עיבוד מידע) עם כל מיני חברות, זו שבודקת שאין הונאות, זו ששולחת מייל בסוף השירות, ובתיאורה הכל בסדר.

הבעיה היא, שגם אותם שירותים חותמים על הסכם עם צדדים נוספים. שירות המייל יכול להשתמש בפתרון אחסון חיצוני ושירות סטטיסטיקה, כדי לשפר את השירות שלו.

בעצם, איך בני אדם אמורים להבטיח שהמידע שלהם נשמר מאובטח? בתיאוריה, הם אמורים לקרוא את מדיניות הפרטיות. בפועל? גם אם הם יקראו את מדיניות הפרטיות, הם צריכים לשרשר הלאה את כל האינטרנט כדי להבין לאן המידע מטייל, וזה מה שאני רוצה לדבר עליו בפוסט הקצר הזה.

0. מה זה הGDPR?
למי שנחת לאחרונה על כדור הארץ, אתם צריכים להבין שבערך בחודש מאי 2018 תקנה 2016/679 של הפרלמנט האירופי והמועצה מיום 27 אפריל 2016 על ההגנה של בני אדם טבעיים בהתייחס לעיבוד מידע אישי ובתנועה חופשית של מידע כאמור, אשר מבטלת את דירקטיבה 95/46/EC נכנסה לתוקף. השם הקצר שלה הוא הGDPR, וככה אנחנו נקרא לה. הGDPR היתה סוג חדש של חקיקה. היא נועדה לקבוע שלכל תושב אירופי יש זכויות במידע שלו, לא משנה לאן המידע מטייל.

העקרונות של הGPDR הם פשוטים: שקיפות, הסכמה, שימוש לגיטימי, עיון במידע, תיקון שלו ומחיקה שלו. זה אומר שקודם כל, לכל אדם ניתנת הזכות לדעת איך משתמשים במידע שלו, ולוודא שהשימוש הוא רק למטרה לשמה הוא מסר את המידע ושהיא חוקית. זה גם אומר שאדם יכול לבטל את ההסכמה שלו בכל עת.

מדובר על הפיכה צבאית קטנה. לפני זה, "הסכמה" לא היתה כל כך הכרחית. הGDPR שינה הרבה, ובעוד שאם לפני היה ניתן להניח שאם מישהו סיפק מידע באינטרנט (נניח, את מספר הטלפון שלו) אז היה ניתן לאסוף אותו להשתמש בו, אז כעת כבר לא. היום? העובדה ששמתי את מספר הטלפון שלי חופשי ברשת לא אומר שמותר לך להשתמש בו. זה גם אומר שאם תשתמש בו אתה צריך ליידע אותי ולהשתמש בו רק למטרות שלשמן הסכמתי (בגדול).

זה יצר הלם בעולם. אני לא יודע אם אתם זוכרים, אבל באותו החודש תיבות המייל שלכם היו מלאות בהודעות על עדכון במדיניות הפרטיות. בעצם, כולם שילמו לעורכי דין כדי לייצר ניירת שתזייף את ההסכמה שלכם ואת המטרה החוקית. בעצם… אולי לא כולם, אבל אתם מבינים את הכיוון. במקום לעבוד קשה כדי להתאים לרוח החוק, כלומר לשמור כמה שפחות מידע, לקבל הסכמה ברורה ולתת שקיפות מלאה, חברות החליטו ללהט טקסטים משפטיים כדי לייצר הסכמה במקום שבו לא בטוח שאפשר להכריע שהיא ניתנה.

הבעיה היתה כאשר הן נדרשו לDPA: ההסכם שנועד לטפל בהעברת מידע הלאה.

אז מה זה DPA ולמה חותמים עליו בכלל?
הDPA, כלומר הסכם עיבוד מידע או נספח עיבוד מידע (Data Processing Agreement / Data Processing Addendum) הוא מסמך שנועד להבטיח שצד שלישי שמעבד את המידע יעשה זאת בצורה חוקית. עכשיו, נסביר את זה בשפה מובנת לבני אנוש.

הDPA הוא הסכם יחסית סטנדרטי שנועד להבטיח שכאשר מישהו מקבל את המידע האישי שלך ממישהו אחר, הוא ישתמש במידע רק לצרכים של אותו מישהו אחר ולא יעביר אותו הלאה בחופשיות. יש לא מעט דוגמאות טובות להסכמים כאלה שאתם יכולים למצוא ברשת, אבל הם בדרך כלל אומרים משהו כמו "מעבד המידע (מי שמקבל את המידע) ישתמש בו רק למטרות לשמן המידע נמסר".

הבעיה מתחילה מכאן הלאה. מעבד המידע לפעמים משתמש במעבדי-משנה. מעבד משנה הוא מישהו שמקבל את המידע מהצד השלישי (אותו גוף שחתם על הDPA) לדוגמא, אם יש לי חנות אלקטרונית אז יש לי גם שירות תשלומים. שירות התשלומים מאחסן את המידע שלו באמאזון. ובמצב כזה, אמאזון תשתמש במידע למטרה שהיא קיבלה. אבל זה לא ממש ככה. בוא נניח שאתם קונים משהו ברשת. כמה צדדים שלישיים יש? ובכן, כמעט אינסוף. אתם משלמים עם כרטיס אשראי, שמשתמש בשירות מניעת הונאות ושירות אירוח. אחר כך, כאשר החבילה נשלחת, חברת שילוח מקבלת את המידע. הם משתמשים בעמיל מכס ובשליח מקומי. כל אחד כזה מחזיק מערכת ניהול לקוחות (CRM) לניהול הקשרים העסקיים שלהם, ויש לו קבלנים חיצוניים שמספקים את השירות, וכן הלאה.

אז בתיאוריה, אנשים חותמים על הDPA הזה בעצימת עינים אל תוך רקורסיה. הם מניחים שעצם החתימה על ההסכם היא מספיק כדי להראות שהם צייתו לGDPR. הבעיה? כמובן, שאף אחד לא תכנן לציית. הם רק יצרו טקסטים ארוכים כדי לגרום לעורכי דין להיות עשירים יותר.
2. אף אחד לא תכנן לציית
אז כאן הבעיה: אף אחד לא שינה את הארכיטקטורה שלו או את מערכות המידע אחרי הGDPR. זה לא שספק שירות מיילים או אחסון ילך ויתכנת מחדש את הכל. יותר קל לשלם לעורכי דין.

אז מה קרה? במקום ללכת להגביל את איסוף המידעע האישי, הם אמרו "בוא נבקש מעורכי הדין שלנו לייצר טקסטים ארוכים שאף אחד לא יקרא, והם יאפשרו לנו להמשיך לעשות בדיוק את מה שאנחנו עושים". בפועל, זה גרם לכך שהפרטיות והDPA הפכו לפארסה אחת גדולה. למה?

הGDPR מדבר על שקיפות. סעיף 13 מסביר ש"כאשר מידע אישי הנוגע לנושא מידע נאסף מנושא המידע, השולט במידע, בעת השגת המידע, יספק לנושא המידע את המידע הבא: … (ה) את המקבלים או קטגורית המקבלים של המידע האישי, אם יש כאלה". כלומר, כאשר מבקשים מידע אישי ממישהו, צריך ליידע אותו על מה יאסף ועם מי המידע הזה ישותף. עכשיו, בוא נסתכל על המדיניות של Uber:

אז אפשר לראות כאן שUber הציגה את הקטגוריות של סוגי המקבלים, אבל לא את המקבלים עצמם. זה די נפוץ לעשות את זה ככה, אבל זו לא רוח השקיפות בGDPR. למה? כי הGDPR מאפשרת לאנשים להתלונן ישירות אצל מי שמחזיק מידע עליהם, ולא רק לUberים של העולם. אבל Uber, כמובן, היא רק דוגמא.

לUber יש מקבלים הלאה והם חתמו על DPA כדי להגביל את השימוש שלהם. איך הם מגבילים? ובכן בלי לדעת את האילוצים הספציפיים יהיה קשה להנדס את זה לאחור, אבל בגדול זה ככה מבוצע עם הסכמים דומים.

3 גם למעבדים יש מעבדי משנה.
אז בואו נניח לרגע שUber משתמשת בשירות MailChimp לשליחה של הודעות דואר. מה יקרה במצב כזה? השתיים יחתמו על ההסכם של MailChimp שאומר ש"מייצא המידע נותן הסכמה כללית למייבא המידע, בהתאם לסעיף 11 לתנאים אלה, לבצע העברה הלאה באמצעות מעבדי משנה. הסכמה כזו דרושה למייבא המידע כדי להתאים לדרישות סעיף 3 של ההסכם". כלומר, Uber מרשה לMailChimp להשתמש בחברות אחרות שהן לא מזוהות.

האם זו השקיפות שהבטיחו לנו? לא ממש. אני די בטוח שלא Uber ולא MailChimp ידעו או יסכימו לצ'ק פתוח של מעבדי משנה אם זה היה קשור למידע הסודי שלהן. זה למה לגופים אחרים יש רשימה יותר ממצה. אבל העובדה היא שגם אחרי שקוראים רשימות טובות יותר, אז כל העניין הזה בעייתי.

בואו נניח שUber משתמשת גם בTwilio, חברה שמספקת שירותי שליחת מסרונים ואימות קולי. יש להם הסכם מצוין שכולל הפניה לעמוד שמציג רשימה מלאה של כל מעבדי המשנה. עכשיו, זה אומר ש(בתיאוריה, לא בצורה ספציפית) אם אתה נותן לUber (או כל שירות אחר דומה) את מספר הטלפון שלך, הוא יתן אותו לTwilio. איך Twilio ישתמשו? הם מתקשרים עם חברה רביעית, בשם VoiceBase. גם להם יש מדיניות פרטיות שאומרת משהו כללי כמו שהם משתמשים ב"שירותי צד שלישי בארצות הברית ובמדינות אחרות לספק פיתוח אתר אינטרנט, אחסון, תחזוקה, תמלול ותמיכה, כמו גם שירותים אחרים עבור[נו]". כלומר, גם כאן יש צ'ק פתוח רחב מדי. (ואם תקראו בעדינות תוכלו להבין שיש אדם אנושי שמקשיב לכם).

אם אתם רוצים לראות דוגמא מדהימה לאיך כן לכתוב, אז ההסכמים של SalesForce מצוינים. הם לא רק מחזיקים רשימה, אלא שהיא ספציפית לכל שירות ושירות.

אבל זה לא הכל.

4 DPA זה לא הפתרון, אלא הבעיה.

אני מאמין שהסכמי הDPA הם רק חלק מהבעיה, ולא מהפתרון. למה? כי אם הGDPR מכיר בהם בתור הבסיס להעברה הלאה של מידע (סעיף 46), הוא מייצר הסכמה רקורסיבית; אף אחד לא בודק איך ההסכמה הזו משתרשרת מטה או האם המידע באמת צריך לצאת מהארגון. לאף אחד אין באמת רשימה מלאה ומשורשרת של כל מעבדי המשנה, ובתיאוריה זה לא רק מגביר את הסיכונים, אלא גם מייצר באג אבטחתי.

החתימה על DPA צריכה להיות רק צעד אחרון במשא ומתן לשירות. כלומר, רק אחרי שבדקת שבאמת אתה צריך להשתמש בשירות, שבדקת שאתה מעביר מעט מידע, והכי מעט שאפשר, בדקת שאי אפשר לבצע את השירות בצורה מקומית, ורק אז לבדוק גם שאין העברה החוצה של מידע. כל הבדיקות האלו לא נעשות אף פעם.

הבעיה היא שמתכנתים לא אוהבים עוד עבודה, ועורכי דין כן. ומכאן נוצרת הבעיה

[פורסם במקור באנגלית, כאן]