האח הגדול באינטרנט !?
בחודש נובמבר, 1999, RealNetworks www.real.com החלה לשנות את מדיניותה החשאית בפועל, בניגוד למדיניותה המוצהרת, על-ידי שמירת פרטיות המשתמשים בשרותיה. שינוי דרמטי זה, נעשה בעקבות גילוי ופרסום מדיניותה החשאית, על-פיה RealNetworks "ריגלה" אחרי מאזינים ברשת באמצעות קוד ייחודי הטבוע בכל אחד מהתוכנות שפיתחה. תוכנות אלה ניתנות לרכישה ו/או הורדה בחינם מהאינטרנט ונועדו למטרות שונות בכל הנוגע לשמיעה, צפייה והורדה של קבצי קול ווידאו.

טכנולוגיית מעקב דומה נתגלתה לפני חודשים מספר, כאשר התברר שחברת אינטל יישמה קוד ייחודי במיקרופרוססורים מן הדור החדש שעמדו לצאת לשוק. בתגובה לסערה הציבורית שקמה, אינטל יישמה מנגנון המאפשר את הפעלתו או כיבויו של אותו קוד ייחודי.

במקרה של RealNetworks, מר ריצ'רד סמית, העוסק בייעוץ ביטחוני, גילה את ההפרה החמורה בזמן שבחן את המידע שנוצר על-ידי תוכנת “RealJukebox” בעת השימוש בתכונותיה באינטרנט (RealJukebox הינה תוכנה המאפשרת הורדה ושמיעה של קבצי קול MP3 וכך ניתן לשלוף יצירות מוסיקליות מן האינטרנט, הקלטתן על כרטיס זיכרון ושמיעת המוסיקה במכשיר נייד).

באופן כללי, התוכנות השונות של RealNetworks חולשות על פלח שוק גדול באינטרנט, הן בגלל היות RealNetworks מן החלוצות בנושא הזרמת מוסיקה באינטרנט בזמן אמת, והן בגין איכות התוכנות והשירות שהן מספקות. העובדה שהתוכנות, בגרסתן הבסיסית, ניתנות לשליפה ושימוש בחינם ודאי שאינה מזיקה לדרישה.

בקליפת אגוז, המעקב אחרי אותו קידוד ייחודי הסתכם בכך שכל משתמש אשר שמע או הקליט מוסיקה ברשת, שלח מבלי משים אותות למערכת ניטור של החברה שבה נרשמו דפוסי שמיעה והקלטה של כל גולש וגולש. הבעיה שצצה בעניין זה, לא נבעה מכך שהחברה עקבה אחר מעשי גולשים ברשת והשתמשה במידע זה. אלא בכך שהחברה לא הבהירה את מדיניותה זו בשלבים שלפני הורדת ו/או רכישת התוכנה וכן לא הבהירה את מדיניותה האמיתית, למשתמשים שנכנסו לאתר שלה במגמה להשתמש בתוכנותיה.

לאחר הגילוי, הוסיפה RealNetworks לספח מדיניותה המתפרסמת באתר, שורה נוספת המסבירה כי המשתמשים חשופים ל- “Globally Unique Identifier” (GUID). השינוי כלל את ההסבר הבא: “We may use GUIDs to understand the interests and needs of our users so that we can offer valuable personalized services such as customized RealPlayer channels… GUIDs also allow us to monitor the growth of the number of users of our products and to predict and plan for future capacity needs for customer support, update servers, and other important customer services.”

בנוסף, פרסמה החברה התנצלות רבתי על אופן ה"ריגול" אחר המשתמשים הנאמנים וכן הציעה לכל המעונין "טלאי" שלאחר התקנתו, יירשמו שורה של אפסים במקום ספרות הקוד ובכך תבוטל האפשרות לשייך מאילו משתמשים מגיע המידע. כך תוכל החברה להשתמש במידע לצרכים סטטיסטיים בלבד, לניתוח והבנת שוק, ולא לשם צבירה ויצירת פרופיל משתמש אישי.

יש לציין כי מעשיה של חברת RealNetworks לא נגדו את חוקי ארה"ב. בארה"ב סוגיית מאגרי מידע הכוללת מידע על משתמשים במוצרים ושירותים באינטרנט, טרם זכה להבהרה חוקית. מזה מספר שנים מתנהל דו-שיח בין ארה"ב לשוק האירופאי בנושא מאגרי מידע וזכויות הפרט, במטרה להביא לאיחוד מגמות. מפליא הדבר, שדווקא בנושא שמירת הפרטיות לקח השוק האירופאי המשותף את היוזמה באמצעות חקיקת “Directives” להגנת הפרטיות בכל הקשור למידע הנאגר במאגרי מידע. לעומת זאת, ארצות הברית נמצאת במהלך חקיקתי אשר יאמץ חלק, אם לא כל, המגמות אשר אומצו בחוק האירופאי. עד לחקיקת חוק זה, נושאי הגנת הפרטיות במידע הנאגר במאגרי מידע פרטיים מוסדר באמצעות לחץ ציבורי ומדיניות מאומצת על-ידי כל חברה וחברה. כך היה הדבר במקרה של RealNetworks.

הסערה הציבורית קמה לא רק בגלל עצם העובדה שהחברה נהגה בניגוד למדיניותה המוצהרת, אך גם בגלל החשש מה ייעשה עם המידע שנאגר. השימוש ב-GUID, שהונפק לכל משתמש, בצירוף למידע שנאגר מנוהג גלישת המשתמשים באינטרנט ומידע אישי הנובע ממספר כרטיס אשראי, כתובת פיסית וקיברנטית (דרישות החברה לפני מתן אישור רכישת ו/או הורדת התוכנה מהאתר) הם אלה שגרמו לתגובות החריפות בציבור המשתמשים. הרי כל יחידת מידע בודדת שכזו יכולה לחבור ליחידות מידע נוספות המצטברות לפסיפס גדול, המאפשר הקמת מאגר מידע המכיל פרופיל פרטני לגבי מיליוני משתמשים. במידע שנאגר ניתן להשתמש למטרות "טובות" ו"רעות" כאחד.

מקרה מפורסם בשימוש נכון בפיסות מידע נעשה על-ידי הסופר האמריקני, טום קלנסי, שנעצר על-ידי רשויות הביטחון בארה"ב לאחר צאת ספרו "המרדף אחר אוקטובר האדום" בגין גילוי פרטים רבים שנחשב בזמנו כסודיים ביותר. ברם, תשובתו של מר קלנסי היתה פשוטה למדי, הוא הוכיח כי את כל המידע שפרט בספרו ניתן למצוא ללא קושי בספריות ציבוריות, מגזינים שונים, תוכניות טלוויזיה וכל אמצעי אחר המותר לפרסום.

הגדולה באיסוף פיסות מידע אישיות באינטרנט, הינה הרכבת תצריף מכל אותם שבבי מידע, יצירת קשר לוגי ביניהם לציור תמונה גדולה וכוללת. כך, גם חברת RealNetworks אספה פיסות מידע על אותם משתמשים, מידע הניתן לשימושים רבים החל משיווק וכלה בחדירה לתחום הפרט על-ידי גופים שונים בעלי גישה למאגר המידע.

בכדי להתגבר על החלל החקיקתי, קמו בשנים האחרונות קבוצות פרטיות באינטרנט אשר, לאחר בדיקה, מעניקות חותם שמצהיר לציבור כי אתר אינטרנט ספציפי עומד בקריטריוני איסוף מידע ושמירת הפרטיות. אחד המפורסמים במתן שירותים אלו היא חברת TRUSTe (www.trustee.com) המספקת כלים לייצור מדיניות סבירה וישימה מבחינה מעשית ומסחרית, בד בבד עם הבטחה כי זכויות הפרט של הגולשים באתר יישמרו. במידה והאתר אינו עומד בדרישות הרשיון שהוענק לו, האתר עלול לאבד את הרשיון והזכות להשתמש בחותם, או במקרה יותר גרוע תלונה לגורמים המוסמכים (בארה"ב Federal Trade Commission)

המקרה של חברת RealNetworks נותן בסיס לטענה כי במקרים מסוימים המדיניות המוצהרת והמאושרת אינה תמיד המדיניות המיושמת בפועל.

בהתאם למחקר שנערך בארה"ב נמצא כי מתוך 364 שמות מתחם עסקיים שנבחרו אקראית מתוך מדגם של 7,500 אתרים מבוקשים, רק 65.7% מאותם אתרים נקטו בהפניה למדיניותם להגנת הפרטיות. אולם, אך ורק 9.5% מן האתרים הינם בעלי מדיניות זכויות פרט נאותות התואמות את אופן וסוג איסוף המידע האישי מהגולש.

יש הגורסים כי לרוב הגולשים באינטרנט אין התנגדות מוצקה נגד מסירת פרטים אישיים באינטרנט (העובדה היא, שהגולשים באינטרנט עושים זאת יום יום, על-ידי מסירת פרטים בכניסה לאתרי אינטרנט שונים או ברכישה מקוונת של שירותים או מוצרים דרך אתר באינטרנט).

המגמה המסתמנת כיום באינטרנט מתרחקת מן העיקרון ששלט עד לפני שנים מספר על-פיו יש לאפשר שיטוט בעולם האינטרנט תחת עילום שם ומסתורין. השינוי במדיניות ובגישה נעשה עקב עליה מטאורית בשילוב יישומים מסחריים באינטרנט תוך ניצול לרעה בכסות עילום השם. יתרה מכך, ציבור הגולשים מכיר בעובדה שאיסוף מידע לגביהם מאפשר לנשוא מבוקשם באינטרנט להציע מידע ייחודי הנחוץ להם באופן פרטני, או תפור לצורכיהם הייחודיים. על כן איסוף מידע אישי (ומכירתו) על-ידי ספקי שירותים ו/או מוצרים באינטרנט, מאפשר לאותם גורמים לספק מוצרים ושירותים כביכול בחינם לגולש, בעוד שבפועל התמורה ניתנת על-ידי הגורם שירכוש את המידע. צעדים כלכליים אלו הינם לכאורה לגיטימיים כל עוד הגולש באינטרנט מודע ופועל באופן קוגנטיבי למסירת המידע האישי, תוך ידיעה שיתכן וייעשה במידע זה שימושים שונים.

המתחרה של חברת RealNetworks, חברת MusicMatch, חשפה זה מכבר את העובדה שהיא עוקבת אחר הגיוון המוסיקלי של לקוחותיה וזו במטרה להציע מבחר חדש של מוסיקה על-פי הקריטריונים הפרטניים של כל משתמש ומשתמש המתבסס על טעמם האישי. אין רע בשימוש שכזה כל זמן שהוא נעשה ביודעין.

העובדות בשטח משקפות שהצהרה פתוחה בשימוש במידע אישי אינו גורע מן ההצלחה המסחרית. לדוגמא, חברת Skymall, החלה להשתמש בתוכנה מבית היוצר Net Perception המאפשרת ניתוח רכישת מוצרים בזמן אמת ומציעה לצרכן לפני סיום רכישתו מוצרים נוספים על-פי מסקנות הניתוח. לפי ממצאי החברה, הצרכנים אכן רוכשים מוצרים נוספים שהוצעו להם, וכל זאת בהתאם לחתך הפרופיל האישי שנקבע בהתאם לרכישה המקורית.

המתנגדים לגישה זו גורסים כי רוב המשתמשים באינטרנט אינם מודעים באופן קוגנטיבי לכמות ופירוט המידע שנאסף, לאפשרויות הטמונות בצירוף פיסות המידע השונות לקבלת תמונה גדולה בהרבה, וכן לשימוש שגופים שונים עלולים לעשות בפרופיל הכולל. טענה זו מבוססת, בין השאר, על אופן איסוף המידע כיום הכולל גם מערכות איסוף אקטיביות המחפשות אינפורמציה "מחוץ" לאתר ייחודי, לעומת מערכות פסיביות הממתינות למשתמש שיספק את המידע באופן עצמאי.

המקרה של RealNetworks והמגמה הנשקפת מעליה בתביעות בגין זכויות הפרט על-ידי קבוצות שונות באינטרנט, הינם אות אזהרה לכל אותן חברות העוסקות במסחר אלקטרוני. ניתן להבחין כי המאמצים ליישום עקרונות הגנת הפרטיות, תוך יישום עקרונות ממערכות חקיקה קיימות באינטרנט, רק יגדלו. כך, לדוגמא, AOL נתבעה בתחילת חודש נובמבר, 1999, בבית המשפט הפדראלי בבוסטון, על-ידי ארגון הצרכנים העיוורים בטענה שהם מפרים את החוק האמריקני המחייב מתן אפשרויות גישה שוות לאנשים עם מוגבלויות שונות. החוק נחקק בזמנו להבטיח גישה נוחה לנכים לתוך בניינים, או מתן אותות חצייה במעברי חציה הניתנים להמחשה לעיוורים. המחוקק ודאי לא שיער בזמנו שתעלה הטענה שאתר אינטרנט הינו מתקן אשר יש להבטיח אפשרויות גישה שוות לתוכו. העיוורים דורשים בתביעתם כי AOL תשנה את מערכת ההפעלה שלה כך שאינפורמציה דיגיטלית המופיע על המסך כאותיות ותמונות תוסב באמצעות טכנולוגית "גישת-מסך" המתרגמת את המידע הדיגיטאלי למצג ברייל או למערכת מבוססת קול.

רק הזמן יאמר כיצד תתמודד עם כך מערכת בתי-המשפט, בארה"ב ובעולם. שפע התביעות שהוגשו בארה"ב בחודש האחרון בגין זכויות פרט שונות גרמו להשפעה שלילית על מאמצי איחוד הרשת העולמית World Wide Web Consortium (W3C) המנסה מזה זמן רב למצוא פתרון טכנולוגי לגישה של צרכנים עם מוגבלויות פיזיות לרשת ולסוגיית זכויות הגנת הפרטיות.

הפלטפורמה שנוצרה לשמירה על הפרטיות באינטרנט Platform for Privacy Preferences (P3P) נכנסת בימים אלה לשלב האחרון בהקמתה וזאת על מנת לאפשר לגולשים לקבוע מראש איזה מידע הם מעוניים שייאסף לגביהם וישותף עם אתרים שונים. בהתאם ל W3C חברות רבות וגדולות כמו IBM, AT&T, ו-NEC החלו ליישם חלק מן העקרונות הטבועים ב-P3P. בישראל העיקרון החולש על הגנת הפרטיות מעוגן בסעיף 7 לחוק יסוד כבוד האדם וחירותו, שקובע כי כל אדם זכאי לפרטיות ולצנעת חייו ; אין נכנסים לרשות היחיד של אדם שלא בהסכמתו ; אין עורכים חיפוש ברשות היחיד של אדם, על גופו, בגופו או בכליו ; אין פוגעים בסוד שיחו של אדם, בכתביו או ברשומותיו. בתחום צנעת הפרט, אין המדינה מתערבת אלא מטעמים כבדי משקל, הנעוצים בצורך להגן על זכות הפרט או על אינטרס ציבורי נרחב יותר. לעניין מאגרי מידע, חוק הגנת הפרטיות, התשמ"א – 1981 ותקנותיו, מעגנים את נושא הרכבתו, ניהולו ואחזקתו של מאגר מידע. לרשם קיימת סמכויות שונות ובניהן, סירוב רישום מאגר מידע המשמש מסווה לפעילות בלתי חוקית. רשם מאגרי המידע, בטרם הענקת רישיון לניהול המאגר, בוחן את המאגר ואופן ניהולו מהיבטים שונים, אם אופן איסוף המידע, צבירתו ו/או החזקתו של המאגר ומטרותיו, ואם בחינה שאף אחד מאלמנטים אלו אינו מוכתם באי חוקיות. וזאת על-ידי איזון האינטרסים בין הזכות לפרטיות של כל אזרח לבין אינטרסים אחרים מתנגשים. בשבוע הבא ננסה להציע צעדים מעשיים שאותם יכול בעל אתר האינטרנט ליישם בכדי להימנע מטענה שהינו מפר את זכויות הגנת הפרטיות של הגולשים באינטרנט.