אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
"הפיגור של ישראל בחוקי הפרטיות יוביל לקטסטרופה" צילומים: אוהד צויגנברג, גלעד אילוז, בלומברג

בלעדי לכלכליסט

"הפיגור של ישראל בחוקי הפרטיות יוביל לקטסטרופה"

קנס של 5 מיליארד דולר שהוטל על פייסבוק הציף את הצורך בעדכון חוקי הפרטיות במערב. ישראל נשרכת הרחק מאחור כשהיא נסמכת על חוק פרטיות מ-1981, ובשוק ההייטק מוטרדים מפגיעה בעסקים; הצעת חוק חדשה מבקשת לתקן את המעוות

15.07.2019, 11:52 | עומר כביר

הקנס בהיקף 5 מיליארד דולר שנציבות הסחר הפדרלית של ארה"ב (FTC) הטילה על פייסבוק בפרשת קיימברידג' אנליטיקה הוביל לשני סוגי תגובות: הקנס הוא בדיחה שלא תשפיע על החברה, והגיע הזמן לחוקי פרטיות חדשים. לרגולטור בארה"ב יש שיניים רכות במיוחד כשמדובר בפרטיות, שמקשות עליו להעניש חברות, במיוחד אם זו העבירה הראשונה שלהן.  

קראו עוד בכלכליסט

חוקי הפרטיות בארה"ב מפגרים משמעותית אחרי האיחוד האירופי, וחסרים בהם מנגנונים חשובים כמו חובת דיווח על פריצות למאגרי מידע או פתיחה של חקירות על בסיס תלונות מהציבור. הכישלון של ה-FTC לחייב את פייסבוק במחיר משמעותי על שערוריית הפרטיות המדוברת המחיש עד כמה המצב בארה"ב בעייתי. הוא מצרף אותה לגל עולמי, שמוביל האיחוד עם חוקי GDPR, גל שמקדם חוקי פרטיות חדשים - חוקים טובים יותר, שגם ניתן לאכוף ביתר קלות.

בגל הזה בולט חסרונה של מדינה אחת: ישראל. אף שמדובר במעצמת הייטק, עם תעשייה נרחבת שמפתחת מוצרים שמבוססים על אחסון ועיבוד מידע, חוקי הפרטיות כאן מיושנים באופן מביך: חוק הגנת הפרטיות כמעט ולא זכה לעדכונים משמעותיים מאז 1981, והנושא לא ממש נמצא בראש מעייניהם של מחוקקים. מצב זה מקשה על המדינה להתמודד עם פגיעה בפרטיות אזרחיה ולמנוע ניצול לרעה של המידע שלהם. אתם מקבלים מיילים והודעות SMS ממלווים בריבית? זה כי אין כמעט דרך אפקטיבית למנוע מחברות מסוג זה לסחור ביניהן במידע על צרכנים.

סערה עולמית בתחום פרטיות המשתמשים. והיכן ישראל?, צילום: שאטרסטוק סערה עולמית בתחום פרטיות המשתמשים. והיכן ישראל? | צילום: שאטרסטוק סערה עולמית בתחום פרטיות המשתמשים. והיכן ישראל?, צילום: שאטרסטוק

"סטארט-אפים ייפגעו"

לפיגור זה יכולות להיות גם השלכות על תעשיית ההייטק הישראלית. כיום יש לישראל תאימות (Adequacy) מול האיחוד האירופי בכל הנוגע להגנות פרטיות. תאימות זו, שניתנה ב-2011, מאפשרת לחברות ישראליות להשתמש במידע של תושבי היבשת ולמכור להם מוצרים מבוססי מידע. ואולם, התאימות ניתנה על בסיס חוקי הפרטיות הישנים שהיו בתוקף לפני כניסתם לתוקף בשנה שעברה של חוקי GDPR המחמירים יותר. עתה נמצאת התאימות בבחינה מחודשת, כאשר יש חשש אמיתי שהפער שנוצר בין החוקים החדשים באיחוד לחקיקה המיושנת שבישראל יביא לשלילתה.

"הדיבור הרציני בתעשייה ובקרב מומחי פרטיות זה שהתאימות כנראה לא תעבור", אמרה ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה. "אובדן התאימות מול אירופה, מכיוון שאנחנו בתור אומת סטארט-אפ עושים המון שימוש במידע פרטי וסוחרים מול היבשת בהמון מוצרים מבוססי דאטה, יפגע בתעשיית הטכנולוגיה. אנחנו בעצם עומדים בפני סוג של קטסטרופה שמקבלי ההחלטות לא מבינים את הגודל שלה".

ד"ר תהילה שוורץ אלטשולר ד"ר תהילה שוורץ אלטשולר ד"ר תהילה שוורץ אלטשולר

מנכ"ל נקסאר ערן שיר מסכים שאובדן התאימות מול אירופה צפוי לעורר קשיים. "זה כאב ראש וצריך לפתור את הדברים. אירופה היא שוק גדול של ישראל, ואנחנו צריכים לפתור את זה כי הטכנולוגיה לא עוצרת". יונתן רואש, מייסד ומנכ"ל הסטארט-אפ QEDIT, שמפתח פתרונות לשיתוף מידע מאובטח ומוצפן, העריך שאובדן התאימות צפוי להקשות על חברות צעירות וקטנות יותר לפעול ביבשת ולהוביל לאובדן עסקים. "סטארט-אפים חדשים שלא מוכרים בשוק לא יוכלו ליהנות יותר מהמוניטין של ישראל כשחברה תרצה לעבוד איתם", אמר. "זה יהפוך את הפעילות מול חברות גדולות ליותר מורכבת, כי צריך להתאמץ ולהוכיח שאתה עומד ב-GDPR, לפעמים במחיר של אובדן עסקים".

באירופה לא מוותרים על הפרטיות קרבות בלימה מול גוגל ופייסבוק האיחוד האירופי מוביל בתחום החקיקה בנושא פרטיות, עם תקנות GDPR המחמירות שנכנסו לתוקפן לפני שנה, ביססו את התפיסה של פרטיות כשליטה ויצרו מנגנונים שנועדו להבטיח לתושבי היבשת שליטה וגישה מלאה למידע שחברות טכנולוגיה אוספות ויוצרות עליהם עומר כביר, 2 תגובותלכתבה המלאה

שוורץ אלטשולר עומדת בימים אלה בראש מאמץ רב מערכתי לעדכון חוקי הפרטיות המיושנים של ישראל, בין השאר לאור הסכנה של אובדן התאימות. חוד החנית של מאבק זה הוא הצעת חוק הגנת פרטיות חדשה לחלוטין, שתשנה מן היסוד את ההתייחסות של מדינת ישראל לסוגיית הפרטיות המקוונת ותעדכן אותה בהתאם להתפתחויות שהתרחשו במשך קרוב לארבעת העשורים שחלפו מאז נחקק חוק הפרטיות המקורי.

הצעת החוק, שעיקריה נחשפים כאן, היא יוזמה חוצת מגזרים שבגיבושה השתתפו לצד שוורץ אלטשולר ועו"ד רחל ארידור הרשקוביץ מהמכון הישראלי לדמוקרטיה גם אנשי אקדמיה, פרקליטים בכירים שמרבים לעסוק בסוגיות פרטיות ברשת; נציגי גופי חברה אזרחית כמו מנכ"ל איגוד האינטרנט עו"ד יורם הכהן (לשעבר ראש רמו"ט במשרד המשפטים); עו"ד אבנק פינצ'וק מהאגודה לזכויות האזרח; עובדי מדינה מהרשות להגנת הפרטיות והמועצה להגנת הפרטיות במשרד המשפטים; ואפילו נציגים מהסקטור הפרטי כמו עו"ד אחיעד שחורי מבנק לאומי ושיר מנקסאר.

הבעיות המרכזיות ביחס של ישראל לפרטיות נעוצות בחוק המיושן, שנחקק שנים רבות לפני כניסת האינטרנט לחיינו. "החוק הקיים מדבר על מקרים שבהם עיתון מספר סיפור על מישהו", אמרה שוורץ אלטשולר. "מבחינה טכנולוגית, החוק לא מתייחס לעיבוד מידע, אלא לסוד שיחו של אדם, ליכולת לפתוח יומן של מישהו ולהציץ פנימה. זה חוק מיושן, אופליין".

עו"ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות, שהשתתף בניסוח הצעת החוק, חושב שהבעיה בחוק הקיים עמוקה אף יותר מאי-התייחסות להתפתחויות טכנולוגיות: "המצב הקיים מקדש את הבירוקרטיה על חשבון הזכות המהותית לפרטיות. במקום שיהיה חוק שמגן על הפרטיות, החוק מטיל הרבה חובות טכניות ובירוקרטיות על מי שמחזיק מידע, אבל לא מונע ממנו לבצע דברים נוראיים עם המידע". לדבריו, "נניח שאתה חברת הלוואות, אספת מידע על אנשים והתחלת לשלוח SMS או להתקשר לאנשים. בשום מקום בחוק אין חובה שלך למחוק מידע עליי אם אני מבקש. גם לא להפסיק להתקשר אליי. זה לא מופיע בחוק. אין כזו חובה. מנגד אתה צריך להחזיק מסמך שמראה שאת הידע שאספת שלא בהסכמתי אתה מאבטח לפי כל מיני תקנים".

עו"ד יהונתן קלינגר, צילום: גיא אסיאג עו"ד יהונתן קלינגר | צילום: גיא אסיאג עו"ד יהונתן קלינגר, צילום: גיא אסיאג

שיר מנקסאר סבור שהחוקים המיושנים גם מגבילים את הגישה של ישראלים לטכנולוגיות מתקדמות, כולל כאלו שמפותחות כאן במדינה. "השוק המרכזי של ההייטק בארץ הוא לא ישראל", אמר. "החברות בארץ ממוקדות ברגולציה האמריקאית והאירופית כי שם עיקר השוק. אבל כשישראל אומרת, 'אנחנו עושים מה שבראש שלנו ולא מתייחסים לרגולציה אחרת', נוצר מצב שבו קשה להתאים טכנולוגיות שנוצרו בישראל לשוק המקומי ואתה נכנס למצב שהסנדלר הולך יחף".

היעדר חקיקה מתאימה יצר מצב בעייתי שבו את הוואקום שנוצר נאלצים למלא בתי המשפט בבואם לפסוק בתיקים שעוסקים בסוגיות פרטיות שהחוק הקיים לא מכסה. "יש הרבה דברים שנעשו באמצעות פיתוח שיפוטי", אמרה שוורץ אלטשולר. "למשל, לאחרונה ניתן פסק דין של השופט מיכל אגמון-גונן שדן בשאלה האם כשמעסיק יוצר שעון נוכחות שמבוסס על אפליקציה שאוספת נתוני מיקום מהסלולר של עובדים, הוא פוגע בפרטיות שלהם. החוק לא עוסק בזה, הכל זה ניתוחים משפטיים, השוואות ותקדימים. האם דרישת טביעת אצבע מעובד מותרת לפי דיני עבודה או לא? בתי משפט התפלפלו בזה כי אין חוק שעוסק בזה. יש חוסרים שמולאו על ידי בתי משפט, אבל בתחומים אחרים נוצרו פערים. זה מצב רע מאוד, אבל בלי בתי המשפט היה נוצר כאוס יותר גדול".

שוורץ אלטשולר לא פוסלת את האפשרות שמקבלי ההחלטות פשוט מרוצים מהמצב הקיים: "אולי זה נוח. זה נוח כי אפשר להשתמש בטכנולוגיה כדי להגדיל את השליטה באזרחים. זה לא מקרי ששלושה משרדי ממשלה – משרד הביטחון, משרד התפוצות והמשרד לעניינים אסטרטגיים – הקימו מערכת לניטור תוכן ברשתות חברתיות. כל אחד למטרותיו, אחד BDS, אחד אנטישמיות, אחד דברים אחרים. המשותף לכולן הוא שאפשר בתוך שנייה לשנות הגדרות ולנטר אזרחי ישראל דיסידנטים".

הממשלה מנטרת. אילוסטרציה, צילום: שאטרסטוק הממשלה מנטרת. אילוסטרציה | צילום: שאטרסטוק הממשלה מנטרת. אילוסטרציה, צילום: שאטרסטוק

הזמן בשל, מסכימים כל מי שעוסקים בתחום, לשינוי מהותי. "בשלב הזה של התבגרות האינטרנט והמרחב הדיגיטלי, אנחנו מתמודדים עם שאלות גדולות", אמרה ראש המכון הישראלי למדיניות טכנולוגיה, עו"ד לימור שמרלינג מגזניק, שהחזיקה בעבר בתפקידים בכירים ברשות להגנת הפרטיות. "איך לקדם חדשנות לטובת מטרות ציבוריות טובות בלי להפסיד בחזית החירויות האישיות. כיצד לטפל בתוכן פוגעני באינטרנט מבלי לפגוע בחופש הביטוי. זיהוי השאלות הנכונות היא נקודת הפתיחה החשובה: מה צריכים להיות הכללים החדשים? מי צריך לאכוף אותם? הממשלות? החברות הפרטיות? אולי חינוך ציבורי להתנהגות אחרת של המשתמשים? לאיש אין תשובה חד משמעית נכונה. אבל על ישראל להתקדם ולהתאים את רגולציית הפרטיות שלה למגמה העולמית. אנחנו חלק מהכלכלה העולמית וחשוב שנגבש מדיניות ברורה".

הצעת החוק שגובשה כוללת שינויים מהותיים בתפיסת הפרטיות כפי שהיא קיימת כיום, כמו צמצום ההגדרות האקלקטיות של פגיעה בפרטיות שמאפיינות את החוק הקיים והוספת ניסוח שמתייחס ישירות לסוגיות שנובעות מפעילותן של טכנולוגיות מבוססות מידע אישי, שמדבר על איסוף, ניתוח ועיבוד של מידע.

המאפיין המהותי ביותר של החוק, שהעיקרון שעליו הוא מבוסס שואב השראה מ־GDPR האירופי, הוא יצירת בסיסים לגיטימיים נוספים לפגיעה בפרטיות לצד חובת מתן הסכמה, שמהווה כיום כבסיס היחיד. "רצינו לייצר מצב שבו חברות לא ירוצו לקבל הסכמה, זו מכבסה וזה צריך להיות המוצא האחרון", אמרה שוורץ אלטשולר. "לכן עיגנו זכות מוחלטת לחזור מהסכמה. אדם יכול לחזור מהסכמה בכל זמן בלי צורך לתת סיבה. זה שוט גדול שאומר שכדאי לחברות להשתמש בבסיסים לגיטימיים אחרים".

איך תישמר הפרטיות שלנו?, צילום: שאטרסטוק איך תישמר הפרטיות שלנו? | צילום: שאטרסטוק איך תישמר הפרטיות שלנו?, צילום: שאטרסטוק

קלינגר הרחיב: "לחייב קבלת הסכמה מראש זה אחד הדברים שבהם ברור שאם נעשה אותו לא נוכל להפעיל טכנולוגיה בכלל ונצטרך לחזור למערות. למשל, חניונים אוטומטיים שמצלמים לוחיות רישוי. איך תקבל הסכמה? תציב שלט בכניסה לחניון? במקום לעשות פרוצדורה בוא נדבר על מהות: בן אדם נכנס לחניון, המצלמה תהיה גלויה ואחרי שהמידע נאסף הוא תמיד יכול לבקש מחיקה. זה לא אידיאלי, אבל מצב הרבה יותר טוב מהנוכחי. צריך לצמצם את השימושים הסבירים במידע, אבל כשצריך הסכמה, היא תהיה ברורה ואמיתית. בהרבה מצבים אי אפשר לתת הסכמה אמיתית וחופשית. אני עושה חוג בית על פרטיות ומעביר רשימה בין כל האנשים. זה הסכמה? מה הם מסכימים שאני אעשה עם הפרטים שלהם?"

לכן, לצד מתן הסכמה, מובאות בהצעת החוק שתי עילות נוספות לפגיעה בפרטיות: מילוי התחייבויות שקבועות בהסכם שנושא המידע חתם עליו, או על מנת להגן על אינטרס מהותי של בעל השליטה במידע או צד שלישי (עם הסייגים שלא מדובר בגוף ציבורי ושנושא המידע יכול היה לצפות את הפגיעה באופן סביר). איסופים אלו ייעשו תחת מגבלות נוקשות שעיקרן חיוב להשתמש במידע רק למטרה שלשמה נאסף או למטרה דומה.

כדי למנוע ככל האפשר ניצול לרעה, הצעת החוק מקנה לאזרח זכויות נרחבות לבקש ממפעיל מאגר לעיין במידע שנאסף עליו, ולבקש לתקן, לנייד או למחוק אותו. כן מטילה הצעת החוק אחריות נזיקית ופלילית על הפרה של כל הזכויות והחובות שמוגדרות בו, לא רק על עצם הפגיעה בפרטיות. "הרשות להגנת הפרטיות גם תוכל לתת קנסות מינהליים, זה פותח עולם שלם של אפשרויות אכיפה ללא צורך להגיע לבית משפט", אמרה שוורץ אלטשולר. "נכון, עם קנסות לא נוכל לשנות את מערך הכוחות הבינלאומי, השוק שלנו קטן. אבל נוכל גם להעמיד לדין פלילי, זה לא נעים לחברה בינלאומית. המטרה השנייה היא לטפל בעולמות מקומיים – מועדוני לקוחות, חברות אינטרנט".

"שרי המשפטים לא מבינים"

העיקרון שהנחה את ניסוח הצעת החוק, אמר קלינגר, הוא הדגשת המהות על חשבון הבירוקרטיה: "אין דברים מיותרים כמו חובות רישום של מאגרי מידע. יש מהות כמו הבטחת זכויות, יצירת זכות מחיקה, זכות עיון יותר חזקה, זכות להפסיק עיבוד. כשכתבו את החוק המקורי, אף אחד לא דיבר על מה שקורה היום. חשבו שיהיו במדינה 10 או 20 מאגרים, לא מיליונים".

אמיר אוחנה, שר המשפטים, צילום: אוהד צויגנברג אמיר אוחנה, שר המשפטים | צילום: אוהד צויגנברג אמיר אוחנה, שר המשפטים, צילום: אוהד צויגנברג

הצעת החוק גם מתמודדת בצורה מתקדמת יותר עם תרחישים מודרניים לחלוטין. "יש מצבים בהם אתה חושב שיש לך פרטיות, אבל אם האלגוריתם מספיק חכם הוא מצליח לקלף אותה", אמר שיר. "לדוגמה, מקרה שאירע בארה"ב: אבא שקיבל מטרגט קופונים לבדיקות היריון, וגילה ככה שהבת שלו בהיריון. בטרגט הריצו למידת מכונה והגיעו למסקנה מהקניות שעשתה הבת בחנות שהיא כנראה בהיריון, כי היה איזה מודל שגילה שזה דפוס. איפה היתה פה פגיעה בפרטיות? היא לא סיפרה להם שהיא בהריון, היא רק קנתה מוצרים תמימים למראה. האם צריך להתייחס למידע שנוצר כמידע שחוסה תחת הגנת הפרטיות, ואם כן - איך מבחינים בינו לבין מידע שלא? הצעת החוק לא עונה על זה בצורה ישירה, אבל יש שם הרחבה משמעותית של מה נחשב למידע פרטי, שהיא פחות דקדקנית מבעבר וניתנת יותר לפרשנות על ידי השופט או הרגולטור הרלוונטי".

סוגיה אחרת בה עוסקת הצעת החוק היא חיוב חברות לתכנן מערכות כך שיתמכו בהגנה על פרטיות ובעיסוק מעמיק בקבלת מידע מקטינים, כאשר עד גיל 13 נדרשת הסכמת הורים ועד גיל 16 הסכמת הורים למידע רגיש. כן מבקשת הצעת החוק לבטל את הפטור הגורף שממנו נהנים כיום גופי ביטחון. "אם הם רוצים, שיחוקקו חוקים שמסמיכים אותם לפגוע בפרטיות", אמרה שוורץ אלטשולר. "תהיו יותר מידתיים, תסבירו מה אתם עושים, תהיו יותר שקופים ותקבלו הסמכה בחוק. זה יעורר בלגן, אבל צריך לשים לזה לב כי החשש לפגיעה בפרטיות מגיע גם מהחבורת הגדולות וגם מהמדינה".

 

יוזמי ההצעה מתעתדים לפעול ישירות מול שר המשפטים שיכהן לאחר הבחירות והקמת הממשלה החדשה כדי לקדם את הצעת החוק במטרה שתוגש לכנסת כהצעת חוק ממשלתית. מה הסיכוי של הצעת החוק לעבור? קלינגר סבור שלשם כך דרוש שינוי יסודי בצמרת משרד המשפטים. "באילוצים הפוליטיים ספק אם נצליח להעביר אותו", אמר. "כל עוד יש לנו שרי משפטים שלא מבינים את חשיבות שיתוף הפעולה עם האיחוד ושל הזכות לפרטיות, החוק הזה לא יעבור. אולי ביום שהתעשייה תקום ותצעק שלא תהיה תעשייה אם לא יהיה חוק חדש – רק אז דברים ישתנו".

שוורץ אלטשולר מעט אופטימית יותר: "יש כאן צירוף אינטרסים די ייחודי והיסטורי, בין מגיני זכויות אדם לבין התעשייה. אם נתקרב ל-2020 ונראה שלא מקבלים תאימות עם אירופה, תקום כאן צעקה מצד החברות. יפן תיקנה את כל חוק הגנת הפרטיות שלה, כולל ביטול הפטור לכוחות ביטחון, כדי לשמר תאימות. בלי פרטיות אין משמעות לחיים כפרטים, ובלי פרטיות לא תהיה דמוקרטיה ואז לא תהיה פה יצירתיות וחדשנות. אומת הסטארט-אפ קיימת כי יש כאן פלורליזם. לא סתם בסין אין חדשנות".

תגיות