מסורבל וחסר תכלית: התהליך הסיזיפי להשגת המידע שאספו עלינו

הבעיה: חוק הפרטיות בישראל הוא מיושן, מעניק הגנות חלשות ולא תואם מספיק את החקיקה האירופית

עוד בטרם נפתח מושב הקיץ של הכנסת ה־25 התכנסה במהלך הפגרה ועדת חוקה, חוק ומשפט. ההתכנסות החריגה לא התרחשה על רקע המאמצים לקדם את ההפיכה המשטרית כי אם לדון בנושא בהול אחר — חקיקת שורה של תקנות הגנת פרטיות.

לכתבה הקודמת בסדרה - לחצו כאן

אבל שלא תטעו, חקיקת הבזק לא נועדה לדאוג לפרטיות אזרחי ישראל בבהילות לנוכח מציאות החיים הדיגיטלית הסבוכה, או כמענה להייפ העצום סביב בינה מלאכותית, כי אם לפעול במהירות לטובת עסקים. זאת אומרת, לשמור על התאימות של מדינת ישראל אל מול האזור הכלכלי האירופי ותקנות הפרטיות של האזור המכונים GDPR, כך שעסקים וגופים ציבוריים אחרים יוכלו להמשיך לקיים “עסקים כרגיל”.

למחוקק הישראלי עמדו שש שנים בערך לטפל בנושא, אבל בישראל כמו בישראל נהוג לחכות לרגע האחרון כדי להודיע על דחייה נוספת... ועדיין, אפילו במונחים של רגולציה, שתמיד נמצאת לפחות צעד אחד אחרי התפתחות הטכנולוגיה, יש לתהות כיצד הגענו לנקודה הזאת בזמן שוועדת הכנסת צריכה למהר ולהתכנס בתקופת הפגרה כדי לשמור על תאימות עם האיחוד האירופי, ארגון ענק, ביורוקרטי ומסורבל יותר מהרשויות בישראל, ואיטי בפני עצמו ללא ספק. כדי לענות על כך נדרש מסע דילוגים בזמן.

תקנות GDPR עברו בחקיקה באיחוד האירופי עוד ב־2017, לקח כמעט שנתיים עד שכל אלו נכנסו לתוקף — שהות ארוכה שנועדה לתת בעיקר לחברות זמן לבצע את ההתאמות הנדרשות כדי לעמוד בכללים. במשך שנים עבדו באירופה על תקנות אלו שנחשבות היום המתקדמות ביותר בעולם (אם כי אפילו הן מיושנות במובנים מסוימים).

בין אבני היסוד של התקנות עומדות שתיים מוכרות במיוחד — מצד אחד, “הזכות להישכח”, מה שמעניק למשתמשים בפלטפורמות שונות את הזכות, ומעמיד לחברות את החובה, למחוק מידע שנאסף עליהם, אם ביקשו זאת, ומצד שני, התקנה המאפשרת מלכתחילה לווסת ולשלוט על המידע שנאסף על המשתמש באתרים שונים (למשל, להרשות גישה לפרטי קשר, להרשות או לאסור איסוף מידע על מיקום ועוד). באיחוד האירופי גם הבהירו שמי שרוצה גישה לנתונים של תושבי האיחוד, יהיה חייב גם הוא להבטיח את שורת הזכויות הללו.

כלים אלה, שמגבירים את האוטונומיה על המידע האישי, אינם נוכחים באופן ראוי בשום משטר מידע מחוץ לאיחוד האירופי. ישראל לא שונה, אם כי כבר 16 שנה שהיא מנסה להיות שונה — מאז הוגשו לראשונה המלצות ועדת שופמן ב־2007 (צוות לבחינת החקיקה בתחום מאגרי המידע, שבראשו עמד יהושע שופמן, אז המשנה ליועץ המשפטי לממשלה). הוועדה המליצה להסדיר ולהגן על זכויותיהם של אזרחי המדינה והגופים האוספים עליהם מידע לנוכח כניסתו של האינטרנט ומהפכת המידע. מאז, שבע ממשלות, שלושה ראשי ממשלה, שבעה שרי משפטים ושש קדנציות של ועדת החוקה לא הצליחו להעביר תיקון אחד רלבנטי. בין לבין הומצא האייפון, יצרו את פייסבוק, טיקטוק ו־ChatGPT.

התיקון העיקרי שעומד על הפרק הוא “תיקון 14”, גם הוא מבוסס על המלצות ועדת שופמן. בתיקון זה כמה פרטים סמנטיים כמו שינוי שם “פנקס מאגרי המידע” ל”מרשם”, תיאור ארוך לגבי חוסר הרלבנטיות של מאגרי הרישום, והרצון לצמצם משמעותית את חובת הרישום. כמה שינויים בעונשים האפשריים למפרים את הוראות החוק, ומאמץ להגדיר באופן מדויק יותר מידע רגיש.

עם זאת, לצד הצמצום לא מגיעה בתיקון החוק שום הנחיה לגבי המגבלות שיש על מחזיק מאגרי מידע בנוגע להסכמה, עיבוד מידע, זכויותיהם של אלו שאת המידע עליהם אוספים או בכלל מה האחריות שמוטלת על בעל מאגר המידע. בתיקון עצמו מכירים מנסחיו בכך שגם הוא כבר מיושן, ומבטיחים שבתיקון הבא (15), שעליו כבר עובדים, יהיו התייחסויות ספציפיות לבעיות הקיימות. בלוחות זמנים אלו על תיקון 15 נותר רק לומר — נחיה ונראה, אם כי אולי כבר לא נחיה, עד שנראה.

בהתכנסות הוועדה ניכר היה כי המשתתפים ערים לבעייתיות זו. באופן נחמד למדי ויוצא דופן לישיבות של הוועדה הספציפית הזו בשנה החולפת, נראה היה שכולם מסכימים, מחברי הכנסת, לאנשי הרשות להגנת הפרטיות, ועד נציגי החברה האזרחית: העיכובים הם בהחלט בלתי נסבלים. בשלב מסוים הסביר יו”ר הוועדה ח”כ שמחה רוטמן כי לא יקבל את תיקון 14, אלא אם משרד המשפטים, שאמון על הרשות להגנת הפרטיות (בראשות גלעד סממה), יפיץ מסמך מקדים בנוגע לתיקון 15.

מימין: ראש הרשות להגנת הפרטיות גלעד סממה ויו”ר ועדת חוקה שמחה רוטמן. חקיקת הבזק לא נועדה לדאוג לפרטיות אזרחי ישראל | צילומים: אוהד צויגנברג, אלכס קולומויסקי

בינתיים, עד שיתפנו להעביר תיקונים עם רלבנטיות מוגבלת למציאות הדיגיטלית הנוכחית, יכולים אזרחי ישראל לראות כיצד חברות ישראליות, העובדות מול מדינות האיחוד האירופי, נוהגות בנתונים של אזרחי האיחוד בזהירות גבוהה ולטובת התושבים האירופים, בעוד הנתונים הנאספים על התושבים בישראל לא נהנים מאותן הגנות. אם מישהו חיפש הגדרה מדויקת למונח הפופולרי “אזרחים סוג ב’”, הוא קיבל אותה בצורת “תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי)”, שעברו בבזק במאי ונכנסות לתוקף באוגוסט. כשרוצים יכולים.

השיטה: התמקדות בזכות של כל אדם לעיין במידע שנאסף עליו ולתקנו, אלא שהתהליך מסורבל, לא אחיד וחסר תכלית

החקיקה הקיימת אינה אות מתה, יש בה חלקים מהותיים וחשובים להגנת הפרטיות, אך פחות לאופן שבו אנו יכולים לנהל את המידע ולשלוט בו - מה שהיה מהותי הרבה יותר ב־GDPR אך למרבה הצער ישראל לא בחרה לאמץ. בכל זאת, אחד הסעדים החשובים בחוק, שדומה לאיחוד האירופי, הוא הזכות של כל אדם לבקש את המידע שנאסף עליו, לעיין ולתקן אותו. הזכות הזו לעיון ותיקון חשובה במיוחד בכל הנוגע לנתונים הפיננסיים שלנו, המרכיבים כיום את “דירוג האשראי” שלנו, שעל פיו כל חברת חיתום אשראי ובנק קובעים באילו תנאים, אם בכלל, להעניק לנו אשראי.

כדי להבין כמה “קל” לממש זכות זו ומה הטעם כשמצליחים, יצאתי למסע בניסיון לעיין במידע שנאסף עליי מפלטפורמות, חברות ושירותים שונים. ההליך הניב מסקנה אחת מפתיעה: אין שום מסקנה אחת שניתן לגבש. ההליך שונה ומשונה, נגיש או לא נגיש באופן שונה בכל חברה. כדי להשיג את המידע עליי נדרשתי לשורת פעולות משתנות, בין היתר אפילו דרישה לשלוח בקשה בצורת מכתב בדואר ישראל לגוף פיננסי גדול כמו גם פנייה לנציב פניות הציבור, שיחות עם שירות לקוחות שלא בקיא בכללים ותזכורות חוזרות ונשנות לגופים השונים.

ההליך התחיל בחיפוש אחר מדיניות הפרטיות המוצהרת של כל חברה פיננסית שהעניקה לי שירות לאורך השנים, בנקים, חברות כרטיסי אשראי, קרנות פנסיה ואחרות, ובנוסף פנייה לחברת החשמל ולערים שבהן התגוררתי. כבר כאן ניכר הבדל בין הגופים. חיפוש אחר מי שאמון על מדיניות הפרטיות או מימוש הזכות אינו נגיש, לפחות לא תמיד. גם אם קיים עמוד באתר חברה כזאת או אחרת בנוגע לתקנות הפרטיות, פעמים רבות עמוד זה לא מוביל למקור פנייה נהיר.

אם נמצא מי שאמון על מדיניות זו, זה לא אומר שיצירת הקשר פשוטה. אנו בעידן הדיגיטלי, סטארט־אפ ניישן, ועדיין חברות רבות לא יסכימו לשלוח את המידע הקיים, כנדרש בחוק, אלא אם יבוצע הליך מורכב למדי ולא מקוון של אימות הזהות. אפשר להבין את הבנק שאינו מעוניין לשלוח תקציר של ההיסטוריה הפיננסית שלי שבידיו דרך התכתבות מחשבון הג’ימייל שלי, אך מנגנוני הזיהוי שהם מבקשים הופכים את המעשה למתיש במיוחד. דווקא החברות הפרטיות כמו למשל Me, שמציעה שירותי זיהוי טלפון, נענו במהרה לבקשה לעיון במידע אחרי אימות זיהוי בווטסאפ.

ואז, אחרי שמגיע המידע, קשה שלא להתרשם כמה קשה להתמצא בו. לעתים הוא מגיע בקובץ אקסל לא קריא, לעתים בקובץ Notepad משונה, לפעמים זהו סיכום כללי בקובץ גנרי מסוג PDF שממנו קשה להתרשם מה יודעים עליי ומי יודע זאת.

מדוע המסע הזה מרגיש כה חסר תכלית? משום שהתוצר אינו עומד בהלימה לערכו. הנתונים האישיים שלנו מייצגים ערך כספי בכלכלה מונעת הנתונים שבה אנו חיים. הנתונים הללו הם ממש נכס עסקי ואחרי עיבוד מסוים גם מוגנים באמצעות סודות מסחריים על ידי אותן חברות. שימת חסמים בפני היכולת להבין את הערך הכלכלי של אותם נתונים מונעת את ההכרה בערכם הכלכלי וגם את כוחנו כפרטים בשוק הדיגיטלי.

כשמשתמשים לא מודעים למחירים הללו, הם גם לא דורשים את הסמכות האפקטיבית להגן על פרטיות המידע שלהם. המשמעויות לכך עצומות. כשראש הממשלה, למשל, מתחיל לדבר על בינה מלאכותית ועל הרצון של ישראל להיות מובילה בתחום, הוא אינו מדבר על מובילה בתחום הרגולציה או על הגנות פרטיות לאזרחים, הוא מדבר על עידוד ופיתוח מוצרים והקמתן של חברות שונות בתחום. גישה זו מבוססת עסקים, ומפקירה לחלוטין את אזרחי המדינה המופקרים גם כך.

קחו לדוגמה את העיקרון שלפיו מדינה צריכה לבלום איסוף מידע מיותר. כמובן שאף חברה לא תגיד היום כי מידע אחד רלבנטי בעוד שאחר לא, אך ניכר כי מי שרוצה יכולה להגן יותר או פחות על לקוחותיה. אם נתבונן, למשל, על אפליקציות של הבנקים בישראל, נגלה כי קיימת שונות אמיתית בגישה שלהן לפרטיות. למשל, בנק הפועלים מעדכן בחנות Google Play שהאפליקציה שלו לא אוספת את נתוני המשתמשים, בעוד בנק מזרחי טפחות אוסף פחות או יותר הכל, כולל נתוני מיקום, וגם מציין כי הנתונים יכולים להיות משותפים עם צדדים שלישיים, ובאפליקציה של בנק בדיסקונט לא מתבצע שיתוף נתונים עם צדדים שלישיים וגם לא אוספים נתוני מיקום.

מהרשות להגנת הפרטיות נמסר בתגובה: “בימים אלה מקודם תיקון מקיף נוסף לחוק הגנת הפרטיות. העבודה על טיוטת תזכיר החוק כבר הסתיימה והוא מצוי לקראת פרסום להערות הציבור, בכפוף לאישור שר המשפטים. החודש נכנסו לתוקף תקנות שחלות בשלב ראשון רק על מידע אישי שהועבר לישראל מהאזור הכלכלי האירופי. יובהר כי התקנות לא נועדו להחליף את הרפורמה המקיפה שמקודמת בחוק הגנת הפרטיות והן קודמו כפתרון ביניים. במסגרת החוק הקיים הרשות מפרסמת עשרות רבות של הנחיות, גילויי דעת, מסמכי מדיניות והמלצות למשק.

"כמו כן, הרשות עושה שימוש בסמכויות האכיפה הנתונות לה, הן במישור הפלילי והן המינהלי. פעולות אלו כוללות הטלת קנסות, ניהול חקירות פליליות המובילות להגשת כתבי אישום, השהיה וסירוב לרשום מאגרי מידע בלתי חוקיים שמשמעותם איסור לנהל את המאגר, קביעה כי גופים הפרו את הוראות החוק והתקנות, שמשמעותה היא בין היתר חשיפה לתביעות אזרחיות, פגיעה במוניטין ועוד, ומתן הנחיות לתיקון ליקויים. הרשות מפעילה גם מנגנון פיקוח על מנת לבחון את רמת העמידה בחוק של גופים ממגזרים שונים".

מה אפשר לעשות: דרושה חקיקה מחמירה יותר, שתייצר מנגנונים חזקים יותר של שקיפות ותסמן גבולות ברורים לאיסוף והחזקת מידע

בעולם המונע יותר ויותר על ידי תעשיית הבינה מלאכותית, מי שמחפש לפתח מערכות תחרותיות זקוק לגישה נרחבת לנתונים. הכללים שממשלות יקבעו ישפיעו אפוא על התחרות. אבל מכיוון שמגבלות על איסוף נתונים יגבילו את התחרות, למדינה אין באמת תמריץ לבנות משטר נתונים שיגן על האזרח. במקום זאת סביר להניח, שאם ישראל תתחיל לזוז כבר בנושא היא תייצר מנגנונים שכוללים שליטה מוגברת לכאורה של נשואי הנתונים.

אבל אינדיבידואלים לא יכולים להיות מוסמכים להבין ולהבחין כיצד נעשה שימוש בנתונים שלהם. תקנות כלליות לגבי פרטיות מייצרות אשליה של שוויון בין החברות המרגלות ובינינו האזרחים, כאילו אנחנו יכולים להבין מה הן זוממות כשהן אוספות מידע כזה אבל לא מידע אחר. איום על פרטיות דורש תגובה קולקטיבית.

דרושה חקיקה שתגן על המשתמשים, תייצר מנגנונים חזקים יותר של שקיפות ותסמן גבולות ברורים לגבי איסוף מידע. אלו יגדירו כללים ברורים לאיסוף, לניהול ואחסון מידע, יאסרו איסוף לשם איסוף, או החזקה לשם החזקה, יטילו מגבלות גדולות יותר על מידע ביומטרי, ויגדילו את העלויות לחברות במקרה של פריצות נתונים או אי־ציות לכללים.