בימים אלה ממש, רבים מאתרי האינטרנט, השירותים והיישומים המרכזיים שאתם משתמשים בהם, ממהרים להתאים את מדיניות הפרטיות ותנאי השירות שלהם לתקנה חדשה. קרוב לוודאי שהבחנתם בכל ההודעות בנושא זה במכשירי הטלפון ובתיבות הדואר האלקטרוני.
האסדרה הכללית להגנה על מידע, General Data Protection Regulation ובקיצור GDPR, היא שאחראית על ההתקפה על תיבת הדואר הנכנס שלנו.
קרוב לוודאי שהבחנתם בכל ההודעות בנושא זה במכשירי הטלפון ובתיבות הדואר האלקטרוני. ממש לאחרונה התקבלו הודעות כאלו מ-Etsy, ,Square ,Squarespace ,GoDaddy ,Instagram SoundCloud ,Strava ,LinkedIn וכמעט מכל אפליקציה שמחייבת חתימה לפתיחת חשבון משתמש. הכוח המניע את השינויים הללו הוא התקנה האירופית החדשה בדבר האסדרה הכללית להגנה על מידע (GDPR), שאושרה כבר מאז 2016, אך נכנסה לתוקף ב-25 במאי 2018.
GDPR היא תיקון רחב היקף של מדיניות הפרטיות באינטרנט, המתואר במסמך המשתרע על פני 261 עמודים וזמין לקריאה ברשת – למי שממש מתחשק… ואולם, גל ההודעות האחרון בעניין מדיניות פרטיות ותנאי שירות הוא בעיקרו תוצאה של חלק מהתקנה הנוגעת להסכמה ולנקיטת אמצעים המונעים מחברות לקשור משתמשים לתנאים הנחבאים במסמכים משפטיים מפלצתיים, שרוב האנשים אינם טורחים לקרוא לפני שהם לוחצים על לחצן האישור.
מחקר משנת 2008 מעלה כי האדם הממוצע צריך להקדיש כ-244 שעות בשנה כדי לקרוא את כל כתבי מדיניות הפרטיות באתרים שבהם הוא גולש, או במילים אחרות – כ-40 דקות ביום. תיאור זה נכון לשנת 2008, כאשר זמן הגלישה היומי המשוער באינטרנט היה שעה ו-12 דקות. זמן זה התארך מאז לכ-3 שעות ו-10 דקות. אין ספק שהרבה יותר קל לסמן את התיבה עם הכיתוב "אני מסכים" ולאחר מכן להתחיל להשתמש באפליקציה או בשירות.
מבחינה טכנית, קרוב לוודאי שנתתם לשירותים רבים את הסכמתכם לקיים מעקב אחרי הפרטים שלכם ולעשות בהם שימוש בדרכים שונות, כאשר הסכמתם לתנאים של אתר או אפליקציה כאלה או אחרים. הדבר קורה כאשר אפליקציה כגון Facebook מציגה בפניכם קיר ענק של טקסט ובסופו תיבה לסימון שמביעה רעיון כללי כגון: "אני מתחייב שקראתי את כל הסעיפים המשפטיים, אני מבין את משמעותם ואני כבר לא יכול לחכות לרגע שתתחילו להפיק תועלת מהפרטים האישיים שלי". מובן שהדברים האחרונים נאמרו בהגזמה, אך כך, למעשה, מתפקדים שירותים מקוונים רבים.
"כתבי מדיניות הפרטיות כתובים בצורה מעורפלת בכוונה", אומרת קירסטן מרטין, פרופסורית-חברה לאתיקה עסקית באוניברסיטת ג'ורג' וושינגטון ומומחית לפרטיות סייבר. "הם כוללים מילים כמו ספקי צד שלישי מהימנים. הם משתמשים במילים מעורפלות כדי 'לשפר את השירות למענך' ואינם מסבירים מה בעצם קורה." במסגרת תקנות GDPR, אין – או לפחות לא אמור להיות – מקום לערפול כזה.
ציטוט מתוך דף GDPR FAQ הרשמי מסכם את המאפיינים העיקריים של התיקון במונחים של מדיניות פרטיות: "תנאי ההסכמה הודקו, והחברות לא יוכלו להמשיך להטיל תנאים והתניות ארכניים ובלתי קריאים, עמוסים במינוח משפטי מסובך, מאחר שבקשת ההסכמה חייבת להיות מנוסחת בצורה ברורה ומובנת בקלות, מתוך מטרה הקושרת עיבוד נתונים עם הבקשה האמורה."
בקיצור, GDPR מעניקה לאזרחי האיחוד האירופי את הזכות לבחור באופן ברור ומפורש לאפשר איסוף ועיבוד של הנתונים שלהם על ידי חברה באינטרנט.
העדכון האחרון של מדיניות הפרטיות של Twitter הוא דוגמה טובה לאופן שבו החברות מתכוונות ליישם את השינוי. להלן צילום מסך של הודעת הפרטיות שקיבלתי בתחילת השבוע, ובה אפשרויות הסכמה שונות לשימוש במידע שלי. אמנם זה הרבה יותר ברור מהררי המינוח המשפטי שעליכם לעבור באתרים ובשירותים, אך עדיין יש לא מעט שכבות שמצריכות התעמקות. לחיצה על 'מידע נוסף' בכרטיסייה 'פרסומות מותאמות אישית', למשל, מעבירה אתכם לדף אחר שמציג כמה דוגמאות מציאותיות המסבירות את אופן הפעולה של פרסום ממוקד. לעומת זאת, בחלק התחתון נאמר גם כי סירוב לפרסומות מותאמות אישית עדיין מאפשר לשירות להציג פרסומות המבוססות על "תוכן הציוצים שלך, משתמשים שאתה עוקב אחריהם, סוג הטלפון שברשותך, מקום הימצאך והקישורים שאתה לוחץ עליהם ב-Twitter."
כך אתם מוגנים מפרסום ממוקד של צדדים שלישיים שמחזיקים ברשותם את כתובת הדוא"ל שלכם או עקבו אחרי המידע שלכם באמצעות שילוב Twitter באתרים שלהם, אך אין הדבר פוטר אתכם לחלוטין ממודעות פרסום ב-Twitter.
יש בכל זאת יתרון להודעה, בכך שכל הסעיפים שאינכם מעוניינים להצטרף להם, מרוכזים במקום אחד ואין צורך לחפש אותם מתחבאים במקומות שונים. הודות לסידור זה, החשבון שלי עבר מהצטרפות מלאה לאי הצטרפות מלאה. "GDPR קובעת כי ביטול ההצטרפות צריך להיות פשוט בדיוק כמו ההצטרפות", אומרת מרטין. כדי להגיע לתפריט ההגדרות ב-Twitter על מנת לשנות את ההגדרות הללו לאחר ביטול ההודעה הראשונית, יש צורך בארבע הקשות בתפריטי היישום.
מתוך סקרנות, פתחתי חשבון חדש ב-Twitter (ולכן מעתה יש לי חשבון שנקרא @babymanrampge) ולא הוצגה לי בקשה להיכלל במעקב אחרי המידע שלי. כברירת מחדל, צורפתי לכל תהליכי המעקב חוץ מהחלק העוקב אחר הפעילות שלי באינטרנט, וכך אני יכול לבקר באתרים אחרים שמשולבים ב-Twitter.
מחסום השפה
תפיסת מדיניות הפרטיות המסובכת יתר על המידה הייתה מצב הדברים מתחילת ההיסטוריה של האינטרנט, בימים שבהם שלטו ברשת תמונות של טוסטרים מעופפים. אולם לא היה זה כורח המציאות. "כאשר עסקים נאלצים לפשט דברים מסובכים כדי שיהיו מובנים, הם מצטיינים בכך", אומרת מרטין. "הם עושים זאת כל שנה בדוחות השנתיים שהם מגישים למשקיעים ולרשויות. לולא עשו זו, היו עומדים בפני תביעה משפטית."
עם זאת, העובדה שאתרים מסוימים מציעים אמצעי בקרה וכללי מדיניות ברורים יותר, אינה מבטיחה בהכרח שכל ההגנות של GDPR יחולו על משתמשים בארה"ב ובארצות אחרות. העדכון של Etsy, למשל, כולל את הטקסט הבא: "בהתאם למיקום שלך, ייתכן שנעניק לך יכולת לגשת, להוריד ולבקש למחוק את הפרטים האישיים שלך." הוא מבדל את הזכויות הספציפיות של המשתמש על סמך התקנות החלות בארץ מגוריו. כאשר סנטורים ונציגי ציבור שאלו את מארק צוקרברג אם עדכוני GDPR ב-Facebook יחולו באופן גורף, משמעות תשובתו הייתה "סוג של".
מאז יזמה Facebook מספר שינויים במדיניות הפרטיות. מעתה תוכלו להוריד את נתוני המשתמש שלכם ב-Instagram, כולל התצלומים וההערות. שינוי זה הוא תגובה ישירה לדרישה של GDPR ל"ניידות נתונים" המאפשרת למשתמשים להעביר את התוכן שלהם לשירות אחר או לשמור אותו למען הדורות הבאים.
Facebook אפילו פרסמה את ההנחיות הפנימיות שלה לטיפול בתוכן המשתמש, והדבר מהווה אישור לדרישת השקיפות של GDPR. התפתחות זו מעניינת במיוחד, עקב האינטראקציה שלה עם הזיקה של Facebook לשימוש בכלי בינה מלאכותית לצורך הערכת תוכן. "אנו צריכים להיות מסוגלים להפנות שאלות על החלטות המתקבלות לגבי נתונים", אומרת מרטין. "Facebook נוטה להפוך תהליכים לאוטומטיים כאשר היא פועלת באופן לקוי. GDPR מעניקה לאנשים זכות לבדוק בעצמם החלטות שמתקבלות על ידי בינה מלאכותית ואלגוריתמים בכלל." בעצם הפרסום של הנחיות הבקרה והפיקוח על תוכן, Facebook מספקת הסבר מקדים של החלטות הבקרה והפיקוח שהיא מקבלת.
לדוגמה, ההנחיות של Facebook שופכות אור במיוחד על כללי המדיניות שלה לגבי עירום, שזכו לביקורות קשות כאשר תצלומים של הנקה ושל נשים שעברו ניתוח כריתת שד הוסרו מהשירות. עדיין קיימת אי בהירות מסוימת בשפה, אולם הדברים הרבה יותר ברורים לעומת העבר.
ייתכן גל שינויים נוסף
בשלב זה, ההתקפה של שינויים במדיניות הפרטיות שאנו עדים לה נובעת מחוקי הפרטיות באירופה. קשה מאוד להעריך כיצד תיראה בסופו של דבר מדיניות הפרטיות של ארה"ב. לפי שעה, המקרה של Facebook מעורר את הרושם כי התקנות של ארה"ב מעורפלות למדי. אפילו מאמצים חדשים לכפות צווים רגולטוריים מסוימים נעשים באופן מפוזר ובלתי רציף.
חוק המודעות ההוגנות (Honest Ads Act), למשל, הוא הצעת חוק דו-מפלגתית בארצות הברית שתכליתה למתן את היכולת של ארגונים לתמרן את המשתמשים באמצעות מודעות פוליטיות ממוקדות. Facebook וגם Twitter הביעו תמיכה בהצעת החוק, אך הצעת החוק מטפלת בחלק קטן מאוד של פאזל הפרטיות. יש אפשרות שנהיה עדים לתיקון גורף במידה רבה גם בארה"ב, אך קרוב לוודאי שעוד ארוכה הדרך, אם הדבר יקרה בכלל.
עם זאת, אנו נהנים מהיתרונות הנגזרים מהפעילות שנעשית באירופה, אשר תישא פרי בקרוב. מרטין משווה זאת לפעילות המתבצעת בקליפורניה המכוונת להעלאת הרף בנוגע לפליטות מזהמות של כלי רכב, על ידי אכיפה של דרישות מחמירות לגבי מאפיינים כגון קילומטר/ליטר ולאחר מכן לגייס מדינות נוספות לתמרץ את יצרניות המכוניות להגדיל את מאמציהן לשפר את הנצילות האנרגטית של רכביהן.
כל אלה מביאות לשיא את הרעיון "תכנון לפרטיות" (privacy by design) שהוא אחת המטרות המהותיות של GDPR. רעיון זה הופך את הפרטיות למרכיב בסיסי ולדרישת יסוד כבר בראשית תהליך התכנון, כך שלא יהיה צורך לטפל בהשלכות שלה בשלב מאוחר יותר. תיקונים אלה מטילים נטל כספי כבד על חברות ובדרך כלל מבלבלים את המשתמשים – היות ואפילו עדכונים של מדיניות פרטיות ותנאי שימוש כוללים כמות אדירה של ניסוחים מסובכים. חברות שרוצות להימנע מהקשיים הללו בשלבי ההתרחבות שלהן, יכולות לבנות את מאפייני הפרטיות כבר בתחילת מחזור החיים שלהן. "לא אופתע לגלות חברות אירופיות מציעות לצרכנים בצפון אמריקה חלופות מעשיות ל-Facebook או ל-Instagram", אומרת מרטין. "אפשרות לבחור מודלים של שירותים שאינם עוקבים אחרי פרטי המשתמשים שלהם עשויה להיות יתרון תחרותי ממדרגה ראשונה.
