ההפקרות של פרטיות אזרחי ישראל עלולה להוות סכנה לביטחון הלאומי
ההאצה הטכנולוגית בעשור האחרון חשפה מיליארדי משתמשים ברחבי העולם למגוון רחב של שירותי אינטרנט כגון מדיה חברתית, קניות אונליין, פעולות בנקאיות, שירותי דואר אלקטרוני, יומן אישי, שירותי ניווט וכויו"ב. אותם שירותים לרוב ניתנים בתנאי לשימוש במידע האישי של המשתמשים, בין אם לרכישת מוצר ובין אם המשתמש הוא המוצר בעצמו. לצד ההאצה הטכנולוגית ששיפרה את איכות חיינו נחשפנו לסיכונים רבים כאזרחים יחדים וכחברה.
משתמשים הורגלו לקבל שירותים "בחינם" כגון תיבת דואר, שטח אחסון ורשתות חברתיות ללא תשלום כספי. כידוע, אין דבר כזה "חינם" והתשלום שלנו עבור אותם שירותים נעשה בפועל על ידי מסירת מידע אישי אודותנו, מה שלרוב הופך אותנו למוצר עבור תאגידים שמספקים לנו את אותם שירותים.
מרבית המשתמשים אדישים לנעשה במידע האישי אודותם, שלרוב נובע מחוסר הבנת הסיכונים במידע שאנו מוסרים המידע החבוי, מטרת השימוש בו והסכנות במקרה שהמידע שלנו דולף החוצה. חוסר המודעות לעניין השימוש במידע גורם למשתמשים לחשוב שהמידע שהם מסרו לא יכול לחשוף רבות על אורך חייהם, אמונתם, השקפתם הפוליטית ומצבם הכלכלי.
דוגמה למידע חבוי היא מעקב אחר מיקום מכשירים. על ידי מעקב אחר טלפון חכם תוכלו ללמוד על השקפות פוליטיות של האדם, כאשר המשתמש משתתף בהפגנות, מצב בריאותי אישי על פי ביקורי בית חולים, מצב כלכלי לפי מקום העבודה של האדם, אזור מגורים, טיסות נופש וכן הלאה. נורמת האדישות השוררת לגבי מידע אישי מאפשרת לתאגידים לקבל את החותם השקט להשתמש בנתונים אישיים למטרות בלתי הולמות בפי שראינו בשערוריית פייסבוק וקיימברידג' אנליטיקה בבחירות בשנת 2016 בארה"ב .
לכאורה, אותה עסקה של שימוש "חינם" בשירותים דיגיטליים, בתמורה ובהסכמה לשימוש במידע אישי למטרת השירות נשמעת כמו עסקה משתלמת. בפועל אותה עסקה מעמידה את המשתמשים בפוטנציאל ממשי לפגיעה בפרטיותנו ואף בביטחון הלאומי של מדינת ישראל.
הסכנות לצרכנים
חוק הגנת הפרטיות קובע שפגיעה בפרטיות על פי החוק אינה פגיעה אם האדם מסכים לכך. אומנם, להסכמה בין אם משתמעת ובין אם מדעת, פנים רבות ופשרנותה אינה ממצה דיה בדין הישראלי. בניגוד לנעשה באירופה וארה"ב, הדין הישראלי לא ירד לעומק הקורה בכל הנוגע לדרך לקבלת הסכמת המשתמשים לשימוש במידע וכך ניתן להשיג את הסכמת המשתמשים בצורה קלה ומבלי לחשוף את המשתמש למדיניות הפרטיות אשר מגדירה את אופן השימוש במידע אודותיו.
אחת הבעיות העיקריות היא פערי הידע בין המשתמשים לתאגידים. סקר פירמת דלויט מצא כי למעלה מ -90% מהצרכנים מקבלים את מדיניות הפרטיות מבלי לקרוא, וכתוצאה מכך רוב המשתמשים לא יודעים איזה מידע התאגידים אוספים אודותיהם.
אותו מידע שנאסף על ידי הגופים מוצא את עצמו פעמים רבות בידיים עויינות, עקב דליפות מידע שקורות לרוב עקב רשלנות של תאגידים או המדינה. בעשורים האחרונים אירעו מספר דליפות מידע של מאגרים המכילים כמות מידע אדירה אודות אזרחי ישראל כגון: מאגר מרשם האוכלוסין של מדינת ישראל, הדליפה בשירות פייבוקס, דליפת המידע בחברת החשמל, הרגלי הצריכה של משתמשים באתר שופרסל, דרך ארץ – כביש 6, חברת הרץ ישראל וזה רק קצה הקרחון.
מאגר מידע שדולף יכול לשמש גורמי פשיעת סייבר להונאות פישינג על ידי התחזות לכל רשות, אדם או חברה, זאת מאחר שבמדינת ישראל אין פיקוח על הודעותSMS וצורה פשוטה ניתן לשלוח הודעה מכל נמען.
אם ניקח לדוגמא את דליפת המידע בחברת החשמל שנחשפה בשנת 2019 על ידי רן בר זיק, וכללה פרטים אישיים רבים וחלק מפרטי האשראי של הלקוחות, אדם פלוני יכול לשלוח מסרון ממספר 103 (חברת החשמל) שזו תוכנה: "שלום מר ישראל ישראלי, בחשבון החשמל האחרון שלך, מספר חשבון חוזה 123456, בוצע חיוב יתר של 320 ₪, הנך זכאי להחזר. לקבלת ההחזר אנא מלא את פרטי האשראי שלך בקישור המצורף XXXXX.co.il" הסיכון ליפול בפח של הודעת פישינג גדל פי כמה וכמה לאותם אזרחים שאינם מתמצאים בטכנולוגיה, לרוב אוכלוסיות מוחלשות וקשישים.
בסוף שנת 2019 היה נדמה שהתקופה של הפקרות המסרונים הסתיימה בהחלטתו של שר התקשורת דאז דודי אמסלם, הנחה את הדרג המקצועי במשרד התקשורת לטפל בתופעת המסרונים המזוייפים. למרבה הצער מאז לא השתנה מהומה, עדין ניתן לשלוח מסרונים מכל נמען וההפקרות המשמשת ככלי הונאה מסוכן חוגגת.
סכנה נוספת היא דרישת כופר בעברית "מתקפת כופרה. כופרה היא תוכנה מזיקה הנועלת את המחשב ומונעת מהמשתמשים גישה לקבצים או ציוד, בדרך כלל באמצעות הצפנת מידע ודורשות תשלום כופר בתמורה להשבת הגישה. על פי נתונים מהעולם, עלות הנזק החציוני לחברות קטנות -בינוניות ממתקפות סייבר מגיע ל-170 אלף דולר לארגון.
הסכנות לביטחון המדינה
בחלק לא מבטל של אותם דליפות מידע אודות אזרחים נמנים גם בעליי נבחרי ציבור, שופטים ונושאי תפקידים בטחונים אשר גם משתמשים בשירותים דיגיטלים ומשלמים חשבונות בצורה דיגיטלית. לאחרונה שמענו על אירוע שאירוע בתחילת חודש נובמבר שבו התחזו האקרים איראנים לראש המחקר לביטחון לאומי, האלוף בדימוס עמוס ידלין, באמצעות פרטיים אישיים שהחזיקו אודותיו.
אותם האקרים איראנים הצליחו להניח את ידם על מסמך בטחוני רגיש בנושא המהפכה בלבנון, באמצעות יצירת אמון פסיכולוגי בעזרת שימוש במידע שהיה ברשותם אודות האלוף בדימוס ידלין. מקרה זה אינו ראשוני ודפוסי הפעולה באמצעות הונאות פסיכולוגיות הנעזרות במידע אישי קרו בעבר ואין לדעת איזה מידע בטחוני דלף בשיטות אלו.
מקרה זה היינו דוגמא אחת לכאוס המתחולל בהגנת הפרטיות של אזרחי ישראל ולתוצאה המהווה סכנה לביטחון הלאומי של מדינת ישראל. מדינת ישראל צריכה לצאת מנקודת הנחה שכל דליפת מידע היינה עוד חלק בפאזל הפרופיל האישי שנבנה על כל אחד מאזרחי ישראל מתחת לרדאר ולבסוף גם מוצא את דרכו לידיהם של אויבינו.
הרגולציה ואוזלת היד בהשוואה לעולם –
הרשות להגנת הפרטיות היא הרגולטור על פי חוק הגנת הפרטיות בישראל. תפקיד הרשות הוא הגנה על הזכות לפרטיות ולהגנת מידע אישי של אזרחי ישראל בדגש על מאגרי מידע דיגיטליים ועל ביצורה של הזכות לפרטיות. הרשות מפעילה רגולציה לרבות אכיפה פלילית על כלל הגופים המחזיקים או מעבדים מידע אישי.
חוסר ההבנה של סוגיית הפרטיות בעיניי המדינה, מעמדה ההולך ונחלש של הרשות להגנת הפרטיות וכמעט שני עשורים ללא תיקוני חקיקה יצרו תהום בין הטכנולוגיה לדין ולתהום הזו כולנו נופלים.
האכיפה בתחום הגנת הפרטיות בישראל מגוחכת להחריד, והסיכוי שאדם או חברה ייתפסו על הפרת הוראות החוק כמעט ואינה קיימת. בזמן שבישראל הרשות להגנת הפרטיות מחזיקה כלים דלים לאכיפה של החוק, הרשויות באירופה יכולות להטיל על מפרי החוק קנסות של עד 20 מליון יורו או 4% ממחזור ההכנסות השנתי של החברה.
אם לא די בהיעדר החקיקה, המצב הפוליטי הרגיש בו נמצאת מדינת ישראל וההתעכבות במינויי בכירים יצרה מצב שבו אין ראש לראשות הגנת הפרטיות מאז סוף שנת 2018. ד"ר שלומית ווגמן ממלאת מקום אשר משמשת כממלאת מקום במקביל לתפקידה כרש הראשות לאיסור הלבנת הון ומימון טרור
גרירת הרגליים של המחוקק והיעדר האכיפה מצד הרשות יצרו פתח לתובענות ייצוגיות רבות כנגד אותם חברות אשר התרשלו באבטחת המידע של המשתמשים. כיום תובענות אלו מהוות ככלי אכיפה האזרחי כנגד אותם מפרים.
למרות שחוק תובענות ייצוגיות אינו כולל אפשרות לתבוע בגין פגיעה בפרטיות, בסוף שנת 2019 בית המשפט העליון קבע בפסק דין כי תובענה ייצוגית בגין פגיעה בפרטיות תתאפשר, אך הגביל זאת למקרים מצומצמים בלבד. זאת, לעומת חוקי הפרטיות באירופה ובארצות הברית, המאפשרים הגשת תובענות כאלה בצורה רחבה הרבה יותר.
לפי חוק תובענות ייצוגיות, כל שנדרש הוא סיכום עם שר האוצר, באישור ועדת החוקה של הכנסת, שגם פגיעות בפרטיות נכללות בגדר האפשרות להגיש תובענות ייצוגיות. את השאר כבר יעשו עורכי דין חרוצים כדוגמת כותב המאמר.
הגיע הזמן לרפורמה בפרטיות ויפה שעה אחת קודם.
בשעה טובה וכמעט מוצלחת, פורסם השבוע (ביום 29.11.2020) קול קורא בעניין תיקון חוק הגנת הפרטיות בתקווה שיגיע תיקון חוק או חוק חדש המתאים לבור המחשב בו אנו נמצאים כיום ויספק הגנה למידע האישי אודות אזרחים ואפשרות למימוש זכויותיהם במידע.
מדינת ישראל חייב לפעול בהקדם ויפה שעה אחת קודם. הפקרות פרטיות אזרחי ישראל יצרה פער הולך וגדל שעליה לצמצמם כדי למנוע את הנזק הכלכלי, הבטחוני ולזכויות האזרח במדינה. בנוסף, יש לקחת בחשבון שכל שינוי שנדרש באופן התנהלות הארגונים במשק הישראלי מצריך זמן ללמידת הרגולציה והטמעתה על ידי כלל הגופים במשק.
כותב המאמר, עו"ד אורי אלדר, היינו שותף במשרד ירקוני אלדר ושות' המתמחה בדיני הגנת הפרטיות וסייבר. לשאלות : [email protected]