מן הפח אל הפחת (I)

 

מה כבר לא נאמר על הגנת הפרטיות באינטרנט !?! כנראה שעדיין לא נאמר מספיק. בכל יום שאנו מתעדכנים בקורה בעולם הקיברנטי, יותר ויותר מתברר כי הנחת היסוד, שאין אנונימיות ברשת ולו הבסיסית ביותר, הינה נכונה מתמיד.

כידוע, נושא הגנת הפרטיות, אשר תמיד היה חשוב כשלעצמו, עלה לכותרות בסוף האלף הקודם, בעיקר בגלל מקרה RealNetworks, והנה בכל יום שעובר נגלים לעינינו המשתאות מחזות מדהימים של הפרות, חמורות יותר או פחות, של פרטיות הגולשים באינטרנט, אך לא רק הם. הדעה הרווחת בעולם הינה כי יש לשמור ולהגן על זכות בסיסית זו, ברם, בפועל קיימות חברות רבות המעדיפות לפגוע פגיעה חמורה בפרטיות הגולשים וזאת כמובן תחת איצטלת "חופש המידע". חמורה מכך העובדה כי ישנם מקרים רבים בהם הפגיעה בפרטיות הגולשים נעשית באופן אקטיבי ולא פסיבי.

 

    במילים אחרות, איסוף המידע נעשה באופן שבו המעוניין במידע מתחקה אחרי שביבי המידע שנשארים מאחורי הגולש ברשת, ואוסף עליו מידע פרטי רב למטרות שונות. לאחרונה חברת RealNames הודיעה למשתמשים בשירותיה כי מאגרי המידע שלה נפרצו ומספרי כרטיסי האשראי והקודים הסודיים שלהם כנראה הועתקו. פריצה זו למאגרי מידע, הפכה בתקופה האחרונה לעניין שבשגרה. בחודש האחרון הותקפו אתרים גדולים מאוד כמו Yahoo ו-Amazon עד כדי שיתוק האתר ומניעת כניסת גולשים (ההתקפה ידועה כ- DDOS “distributed denial of service") חדירות שכאלו משולות לחדירה לרשותו של הפרט, וכמוה ככניסה בלתי חוקית לביתו של אדם ומניעת כניסה של אנשים המורשים להיכנס לבית. חדירות אלו לאתרי אינטרנט, למרות מטרתן להפגין בפרהסיה כמה אתרים ברשת שלכאורה נחשבים בטוחים, בפועל אינם כך - למעשה אינם מהווים הפרה של זכויות הגנת הפרטיות כשלעצמן. לעומת זאת, החדירה למאגרי מידע ואיסוף מידע מהווה פגיעה חמורה יותר מאשר שיתוק אתר זה או אחר למספר שעות. פגיעה בזכות בסיסית שכזו, באם לא תטופל בהקדם, יכולה להאט באופן משמעותי, את רכבת המסחר התקין באינטרנט וזאת כאשר בעולם הפיזי, אנשים פרטיים יפחדו להכניס את פרטיהם האישיים לאינטרנט, פרטים נחוצים בכדי לנהל פעילות מסחרית תקינה, עד מהרה יהפוך האינטרנט ללא יותר מאשר לוח מודעות, כאשר הפעילות המסחרית עצמה תעשה בדרכים סטנדרטיות יותר.

 

    מבחינה היסטורית, עד להתפתחות האינטרנט, לא הייתה גישה המונית למידע אישי רגיש (כגון זהותו של גולש, תעודת זהות במידה וקיימת, מספר ביטוח לאומי, מספר כרטיס אשראי, קודים סודיים שונים, כתובות מגורים וכיו"ב). מידע שכזה היה מונח בעיקר בידי גופים ממשלתיים או גופים המפוקחים על-ידי גופים ממשלתיים. לא שלא היה ניתן לאסוף מידע אישי, אך זו הייתה מלאכה מורכבת ויקרה שרק במקרים נדירים נוצלה.

אולם, כיום ניתן לאסוף פרטים אישיים לגבי כמעט כל אדם על-ידי חיפוש ישיר ועקיף אחר נתונים לגביו וכלה בגישה ישירה למאגרי מידע לגביו. כאשר כתבנו לפני מספר שבועות על ה"אשלון" חשבנו כי עצם הפרסום הרב שנמצא ברשת על אופן יירוט, איסוף ועיבוד המידע העובר ברשת יהא אבן פינה בניכוי הרשת מגורמים המפרים באופן סיסטמאתי את צנעת הפרט. רק לפני מספר שבועות נתגלה עד כמה הנחה זו הייתה מוטעית. לאחרונה נתגלה כי חברה המתמחה בפרסום באינטרנט, ובפיתוח אמצעים טכנולוגיים הקשורים בפרסום, חברת DoubleClick האמריקאית (שאינה קשורה ב- DoubleClick הישראלית) ניהלה אמצעי מעקב בלתי-חוקיים בכך שניצלה והשתמשה בעוגיות “Cookies” בכדי לעקוב ולדעת בכל רגע נתון שבו גולש נמצא באתר מסוים היכן הוא נמצא, באיזה דפים גלש, לכמה זמן ומה עשה. אין עניין זה מפתיע כשלעצמו - מאחר ומעל ל- %70 מכלל מנהלי האתרים באינטרנט משתמשים בטכנולוגיה זו.

 

    הבעייתיות המתעוררת במקרה של חברת DoubleClick מתגלה בכתב התביעה שהוגשה כנגדה בקליפורניה. בכתב התביעה נטען כי חברת Double Click נהגה מזה זמן רב לפרסם ברבים כי הינה מקפידה להגן על פרטיות האדם ושאינה אוספת מידע אישית. אך הינה מתברר שבמהלך 1999 רכשה DoubleClick את חברת Abacus Direct Corp שלה מאגר מידע על משקי בית בארה"ב, ושהשילוב בין מאגר המידע של חברת Abacus לשימוש במידע שנצבר מהעוגיות של DoubleClick פתח פרצה לאיסוף והצלבה בלתי חוקיים של מידע רגיש ופרטי. מעניין לציין שמספר ימים לפני הגשת כתב התביעה פרסמה חברת DoubleClick שהיא מתכוונת להצליב בין מידע שנאסף על מנהגי הגולשים באינטרנט לבין מידע אישי אחר הידוע עליהם, ובהתאם שינתה את המדיניות המוצהרת שלה בנושא הגנת הפרטיות.

השאלה המתעוררת היא האם די בהצהרה קצרה וסתומה החבויה בין שורות המדיניות שחברה מפרסת בכדי להעמיד את ציבור הגולשים בחזקת מודעים למעשי החברה ובכך מנועים הם מלהתנגד? או שמא יש צורך לחייב את החברה כי תאסוף מידע רגיש ואישי אך ורק לגבי ציבור לקוחות שבחר במודע להצטרף לתוכנית? גם באם יאושרו כוונות החברה לעשות כפי שהיא מפרסמת עתה במדיניותה, שאלה נוספת היא, האם יורשה לחברה לעשות שימוש במידע שנאסף בעבר, בכפוף למדיניות הישנה שלה?

 

    גם בישראל משתמשים בטכנולוגיות דומות. יתרה מכך, פעילות זו נעשית על-ידי גופים שלא היינו משערים שהם נוהגים כך, ולעתים, גם ללא ידיעתם כי באמצעותם נאסף מידע רגיש. רק לפני זמן קצר, אתר מבקר המדינה נתפס בקלקלתו כי שידר עוגיות למחשבי הגולשים בתחומו, מבלי להתריע על כך.