לחשוד, לא לפחד: איך לקרוא מסמכי פרטיות של אפליקציות ואתרים

הצהרות פרטיות שמופיעות באתרים ואפליקציות נראות כמו איזה דיסקליימר שאפשר להתעלם ממנו, אבל לפעמים זה ממש לא נכון. כלומר, זה אף פעם לא נכון. שחקני טכנולוגיה רבים מחביאים בהצהרות הפרטיות האלה כל מיני הסכמות שמאפשרות כמעט הכל. החל ממכירת פרטים אישיים לצד שלישי - כלומר חברות מסחר בנתונים - וכלה במעקב אחרי היסטוריית הגלישה שלכם, זהות אנשי קשר או מי מספק לכם אשראי. בישראל המצב עוד יותר גרוע מכיוון שהחוק המקומי - הגם שעודכן מעט בשנים האחרונות - לא מספק שיניים לרשויות. כתבנו כאן על מקרה עצוב בו רשות הפרטיות קנסה חברה על עשרות הפרות ב-320 אלף שקל, לאחר שזו הרוויחה ממעשיה מיליוני שקלים במצטבר.

רבים אומרים "מה אכפת לי? מה יש לי להסתיר?"/ ובכן זה נכון שלאזרחים נורמטיבים לא צריכה להיות שום סיבה להסתיר משהו. אבל במציאות זה לא עובד כך. יקום הישראלי שמוכן שפרטי ילדיו, משפחתו, חבריו או עסקיו יחשפו בפומבי בפייסבוק ובטוויטר. נראה אתכם שמחים לגלות שתמונות הקטנטנים שלכם באמבטיה נחשפות לעיניים של פדופילים למשל. או האם תרצו שכל חברות הכבלים, התקשורת או סתם כאלה שמנסות למכור לסבתא שלכם גריל סיני בעלות גבוהה פי 10 יתקשרו אליכם כל הזמן? זו המשמעות של סחר בנתונים אישיים.

הכלל הוותיק של האינטרנט קובע שאם אתה משתמש בשירות בחינם - אתה הסחורה. וזה לא השתנה. אפילו חוקי הפרטיות הדרקוניים של אירופה לא הצליחו למתן את התופעה יותר מדי. פייסבוק וגוגל ממשיכות לחטוף קנסות על ימין ועל שמאל גם כיום. אז זה אומר שהן לא מכירות את החוק? בוודאי שהן מכירות. יש להן צוותים משפטיים מנוסים שיודעים לפרק כל חוק ולמצוא את החורים דרכם אפשר להשתחל. לא תמיד זה עובד להן - ומכאן החקירות והקנסות. אבל לומר שזה מפריע למודל העסקי שלהן? לא ממש. הן מרוויחות מיליארדים גם אחרי הקנסות. מקסימום מכה קלה בכנף.

בישראל כאמור המצב עוד יותר מסובך. רשות הפרטיות פועלת מתוקף החוק המיושן להגנה על הפרטיות. החוק מאפשר להטיל קנס של עד 25 אלף שקל להפרה. לא ממש משהו שיכול להפחיד אדם חסר עכבות. עם זאת, החוק כן קובע שכל חברה צריכה לפרסם מדיניות פרטיות באתר או באפליקציה שלה. בהצהרה הזו צריכים להופיע המטרה שלשמה נאסף המידע, למי יימסר המידע שנאסף וגם מה מטרת המסירה. או במילים אחרות, מה קורה עם הנתונים שאתם מזינים לאפליקציה או אתר או עם כאלה שאוספים דרך מעקב אחריכם. פעמים רבות רק הגלישה באתר - קרי שימוש - קובעת שהסכמתם לתנאי השימוש של בעליו. אם למשל גלשתם לאתר של בית חולים כדי לבדוק ניתוח כלשהו, כמו מחלה קשה או נכות כלשהי ואתם לא רוצים שתיוודע ברבים, אבל באתר של בית החולים יש אמצעי מעקב של פייסבוק למשל, אל תתפלאו אם תקבלו לאחר מכן פרסומות הקשורות להליך הרפואי.

אז איך קוראים את מסמכי מדיניות הפרטיות ומה אפשר להבין מהם על אלה שמעניקים לנו שירות? הנה כמה טיפים על דברים שכדאי לחפש בהם. עם זאת חשוב להבין דבר אחד, הצהרות הפרטיות האלה הן מסמכים משפטיים שנועדו בראש ובראשונה לעו''ד. כלומר הן כוללות כל מיני התפתלויות משפטיות, אבל זה לא אומר שאתם לא יכולים להבין דברים, גם אם אין לכם השכלה משפטית. ועדיין קריאה של מסמכים כאלה עשויה להיות מתישה ומבלבלת. אם אתם רוצים להבין משהו שנראה לכם לא ברור, אני ממליץ מאוד להתייעץ עם מישהו בעל ניסיון והשכלה משפטית.

הצהרת מדיניות פרטיות לפעמים חבויה בכל מיני מקומות באתר או באפליקציה. לרוב זה היה בתחתית עמוד הבית של האתר, או בהגדרות האפליקציה. לפעמים חברות לא ממש מקלות עליכם למצוא אותה. לפעמים הן מחביאות אותה בתנאי השימוש למשל או בחלק "אודות" שמופיע תמיד בחלק הכי נידח של תפריט האתר או השירות. באפליקציות זה יותר קל. מפתחים מחויבים לפרסם קישור למדיניות הפרטיות בעמוד האפליקציה בחנות. בגוגל פליי ובאפסטור זה פשוט מופיע ישירות תחת תיאור האפליקציה, אבל בחנויות אחרות לפעמים צריך לנבור - כמו למשל בחנות של סמסונג. בשנה האחרונה גם אפל וגם גוגל, מוסיפות תיאורים ומדבקות שמסבירות בדיוק איזה מידע המפתחים אוספים, מה הם עושים איתו ועד כמה האפליקציה שומרת על הפרטיות שלכם, אבל אלה לא תמיד אמינות.

הצהרת פרטיות בפייסבוק | צילום: FBF

הפרטים מסופקים על ידי החברות והן, איך לומר, לא תמיד מדייקים. תחום נוסף בו יש עוד יותר אי סדר זה מוצרי אינטרנט הדברים. שואב האבק הרובוטי שלכם שולח מידע לשרתי החברה שלו וכדי למצוא את המידע על מה נשלח לפעמים תצטרכו לחפור באתר היצרנית. אמזון למשל מפרסמת את הצהרת הפרטיות של החנות המקוונת שלה בעמוד הבית, אבל יש אחת נפרדת למשתמשי קינדל למשל או לאלה של הרמקולים החכמים. המצב דומה אצל כולן, תמיד יהיה איזה מוצר שצריך לנבור כדי למצוא את מדיניות הפרטיות שלו, ובדרך כלל זה המכשיר עם הכי הרבה בעיות פרטיות. לכן אם אתם מתקשים למצוא את הצהרת הפרטיות צאו מנקודת הנחה שליצרן יש משהו להסתיר.

בדרך כלל מסמך המדיניות כולל פירוט של סוגי המידע והנתונים השונים שהאתר או האפליקציה מעבירים הלאה. לפעמים האתר מסתפק בכתובת המייל שלכם ולפעמים זה כולל כמעט כל פעולה שתבצעו באתר ואפילו לאן אתם גולשים הלאה משם. סרקו את החלק הזה היטב, הרבה פעמים הוא מסתיר בדיוק את פרטי המידע שיגרמו לכם להימנע משימוש באתר. אחרים מטשטשים את המידע או מפרטים כל כך הרבה עד שהוא נבלע במאות או אפילו אלפי מילים. מדיניות הפרטיות של טוויטר למשל כוללת 4,500 מילים - אבל היא מעוצבת כך שקל מאוד למצוא מידע. אבל דרכי ההתקשרות עימה נמצאים ממש בתחתית המסך, כלומר תצטרכו לגלול הרבה לפני שתגיעו למידע. המדיניות של פייסבוק לעומת זאת כוללת כ-12 אלף מילים, כמעט כמו ספר.

עוד דבר שכדאי לשים אליו במסמכים האלה זה איזה פריטי מידע נאספים מאילו ממשקים. למשל למה אפליקציית פנס צריכה לקבל הרשאות לאנשי הקשר שלכם? יש גם למשל אפליקציות שמבקשות הרשאות למיקרופון בלי שתהיה לכך סיבה ברורה. מיקום הוא גם מידע רגיש. למרות שבאפליקציית ניווט זה מובן, באפליקציית משחק זה אולי פחות ברור. בכל אופן, מסמכי הפרטיות אמורים לפרט את הסיבות ולתת לכם להחליט מבעוד מועד אם הסיבות האלה נראות לכם סבירות או לא.

זה החלק שייהנה מאוד בלשים ואנשי מילים. עדיף לעשות את זה דרך המחשב כי זה יותר קל. הרעיון הוא לחפש את הביטויים האלה במסמך - על ידי שימוש ב-ctrl+f במקלדת. זה יקפיץ לכם בכל דפדפן שורת חיפוש בה תוכלו להקליד מילה או ביטוי והחיפוש ימצא לכם אותם במסמך. למשל חפשו "מכירה" או "למכור" כדי להבין למי נמכר המידע אם בכלל. חפשו "שותפים" או affiliates כדי להבין עם מי משותף המידע. שימו לב, חברה שלא מוכרת את המידע יכולה לשתף אותו עם צד שלישי עבור לידים או איסוף מידע שיווקי למשל. את התמורה היא מקבלת בכל מיני שיטות ולפעמים מדובר בגוף ששייך לאותם בעלים אבל נפרד. שימו לב גם אם יש רישום של אותם צדדים שלישיים. אם לא, אולי יש לבעל השירות, האפליקציה או האתר מה להסתיר?

יש גם חברות שאומרות שהן רק משתפות את המידע פנימה. אבל אם מדובר בחברת ענק שלה כל מיני פעילויות - אולי המידע הזה יגיע לזרוע השיווק שלה. למשל אם אתם משתמשים בטינדר, ששייכת ל-Match Group אז במדיניות הפרטיות היא משתפת מידע עם כל החברות בקבוצה. מדובר אגב בכ-45 חברות אם לא ידעתם. גם פייסבוק משתפת מידע עם שאר "חברות של מטא". כלומר פייסבוק, אינסטגרם, ווטסאפ, אוקולוס או שירותי פורטל למשל. אז חפשו את הביטוי "שיתוף" או משהו דומה. באנגלית חפשו "share". לבסוף, ביטוי חשוב שצריך לחפש זה "פרסום". לפעמים זה מופיע כ"התאמה אישית" של השירות, או פרסום ממוקד, אבל מהרגע שאתם רואים ביטוי שמדבר על התאמה אישית, תיזהרו. זה אומר שהמידע עובר הלאה. גם אם מובטח שהוא נאסף כדי שמה שמוצג לכם יהיה "מבוסס על תחומי עניין".

אם זה מרגיש לא טוב, זה כנראה באמת לא טוב. למשל אם מסמך מדיניות פרטיות קצר מדי או ארוך מדי, זה יכול להצביע על כך שהמפתחים אולי התרשלו בחלק הזה, מנסים להסתיר משהו או הפוך לקבור משהו תחת מלל אינסופי. לפעמים מסמכים אלה ממש מנוסחים בצורה מוזרה. זה כי אולי בעלי האתר פשוט העתיקו אותו ממקום אחר. שזו בעיה בפני עצמה שכן מדובר במסמכים עם קניין רוחני. אבל מעבר לכך זה גם מצביע שבעל האתר או המפתחים כלל לא ניסו למפות את נושא העברת מידע ואיסוף הנתונים. שזו גם עבירה על חוק הגנת הפרטיות וגם זלזול במשתמשים. מסמך ארוך כאמור יכול להצביע לא רק על ניסיון להסתיר אלא פשוט על ניסיון לכסת"ח את עצמם - גם משהו מדאיג.

עוד משהו, תמיד תהיו חשדנים. זה שמסמך המדיניות כתוב בצורה פשוטה ונהירה לא הופך אותו לברור. לפעמים עיצוב צבעוני ויפה מיועד לגרום לכם להסתכל הצידה או להתעלם מביטויים לא ברורים או סתומים לגמרי. ובעיקר מה שחשוב זה שאתם צריכים לסמוך על שיקול הדעת שלכם. אולי אפילו תצליחו ליהנות תוך כדי. בצחוק, אף אחד לא נהנה ממסמכי פרטיות. אבל למרות זאת זה כמו ספונג'ה, לא כיף לעשות אותה אבל הבית מריח יותר טוב אחרי. גם כאן, אולי נבירה במסמכים האלה מעצבנת ומתישה, אבל אם זה יחסוך לכם כאב ראש אחר כך, זה רווח נקי שלכם.