אין לגולשים על מי לסמוך

בלי יכולת אכיפה על ענקיות הרשת, לא תעזור לנו כל החקיקה לשמירת הפרטיות שבעולם

מארק צוקרברג / רויטרס
מארק צוקרברג / רויטרס

פייסבוק נמצאת בבעיה. לכאורה. היא עדיין לא התאוששה מהפרשה שנחשפה בחודש מארס השנה, שבה דלף מידע על מיליוני משתמשים לחברה הפרטית קיימברידג' אנליטיקה. ולא סתם מידע - מהסוג הרגיש מאוד שכלל פרטים כמו תוצאות של מבחנים פסיכולוגיים, שהיה אמור להיות מאוחסן באנונימיות, אך נחשף לגולשים ללא הגבלה, כאשר אמצעי המיגון שסיפקה פייסבוק, הסתברו כבלתי מספקים. כתוצאה מכך, נחשפה זהות המשיבים לשאלונים. באמצעות שם משתמש וסיסמה ניתן היה לראות דירוגי אישיות של 3.1 מיליון משתמשים ב-5 מדדים, דוגמת מצפוניות ונוירוטיות, וכן לזכות בגישה ל-22 מיליון פרסומים (פוסטים) של יותר מ-150 אלף משתמשים לצד מידע אישי, כמו גיל, מגדר ומצב מערכת יחסים, של 4.3 מיליון איש. המשתמשים במאגר המידע סומנו במספר מזהה ייחודי, שחיבר בין הפרופיל הפסיכולוגי שלהם למידע האישי, הפוסטים, המיקום ועוד. אף שהמידע לא כלל שם, נטען כי בחיבור בין הפרטים האישיים השונים לפוסטים שנכתבו, ניתן היה להגיע ללא קושי לזהות המשתמשים.

האירוע הזה העלה שוב לסדר היום את השאלה, מה קורה כאשר המשתמשים השונים, בארץ ובעולם, מעלים מידע לפייסבוק. גם בשימושים ה"מסורתיים" של הרשת החברתית, מעלים אנשים רבים מידע, כאשר הם מסווגים אותו לעיתים כמידע שרק הם עצמם יכולים לראות אותו או חברים קרובים בלבד.

האירועים הקשורים לפייסבוק מדגימים שוב את חוסר הביטחון שהמשתמשים צוברים באחרונה, בעת השימושים שהם עושים בשירותים שמציעים להם ענקיות האינטרנט, כמו פייסבוק, אמזון, מיקרוסופט או גוגל. האם הביטחון שהיה למשתמשים האלה בענקי הרשת היה בלתי מבוסס? האם יש לשנות את הרגלי הגלישה?

באירופה נתנו מענה לשאלות האלה, במסגרת "תקנות הגנת מידע חדשות" (GDPR), שנכנסו לתוקפן לפני כמה שבועות ואשר מסדירות הן את נושא אבטחת המידע, והן גם את זכותו של המשתמש לשלוט במידע המצוי עליו ברשת. על-פי תקנות אלה, משתמש יכול לבקש מגורם כמו פייסבוק לדעת איזה מידע בדיוק יש להם עליו, ובין היתר, גם למחוק כליל את המידע הזה, זכות שזכתה לכינוי כעוד נגזרת של "הזכות להישכח".

גם בארץ נכנסו לאחרונה לתוקף תקנות אבטחת מידע חדשות. לפי תקנות אלה, כמו במקבילה האירופית האמורה, יש דרישות מקיפות וראויות בנושא אבטחת המידע. דומה כי פייסבוק, אם תיבחן בארץ על פעילותה נשוא הדליפה האמורה, עלולה להימצא כמי שלא קיימה את התקנות האלה. מנגד, חסרה בארץ הסדרה ברורה של זכויותיו של המשתמש ברשת. על רקע זה נשמעו לאחרונה קולות של גורמים משפטיים שונים, שלפיהן יש לחוקק בארץ חוק הדומה למקבילו האירופי.

אמנם לא בטוח שמה שיש באירופה מתאים לארץ, אבל ברור שיש לנער את החקיקה הקיימת בארץ, המתבססת על חוק הגנת הפרטיות שחוקק ב-1981, ותוקן בפעם האחרונה באופן מקיף ב-1996. חקיקה כזו צריכה להתקבל לאחר דיון ציבורי מקיף בשאלה - איזו הסדרה אכן מתאימה לישראל.

עוד לפני שעוסקים בשינויי חקיקה, הסוגיה החוזרת מהאירוע הנוכחי של פייסבוק באה מתחום האכיפה, ומניחה שוב על סדר היום את השאלה - האם גורמי האכיפה השונים יצליחו להשתלט על ענקיות האינטרנט? האירוע הקודם שהיה קשור בפייסבוק הגיע עד לדיון בקונגרס האמריקאי. השאלה היא, אם זה יעזור ומה יעשו הרשויות באירופה באירועים כאלה.

בינתיים, דומה כי העצה הנכונה למשתמשים היא להיות מאוד בררנים וסלקטיביים, בעניינים שהם מעלים לרשת. באקלים הקיים היום, כשמשתמש מעלה משהו לרשת, הוא כבר לא יכול לדעת לאן המידע הזה יגיע.

■ הכותב הוא מומחה לדיני טכנולוגיה, פרטיות וסייבר, ועומד בראש משרד עורכי הדין דן חי.