מאת עו”ד שחף קצלניק

צמד המילים “אני מסכים” נשמע לכם מוכר? אין מדובר בצרוף מקרים ואתם בהחלט לא לבד. מדובר במינוח שכיח השזור כחוט השני בקרב הוראות מסמכי מדיניות הפרטיות המצויים בפלטפורמות דיגיטליות שונות כגון אפליקציות ואתרי אינטרנט.

מדיניות פרטיות אמורה לשקף למשתמש את כללי המשחק בכל הקשור לאיסוף המידע האישי שלו ומידת חשיפתו בהתאם לפרמטרים שונים. מטרתה הגלויה היא לאפשר לו לקבל החלטה מושכלת ביחס לכך, ומכאן נגזר הרציונל לפיו פלטפורמות דיגיטליות שונות מציבות את מדיניות הפרטיות שלהן באופן גלוי ונגיש למשתמשים.

קצת רקע משפטי

המנגנון עליו נסמכת מדיניות הפרטיות מבוסס על שילוב בין שני מקורות נורמטיביים – דיני הפרטיות מחד ודיני החוזים מאידך.

ראשית, מדיניות הפרטיות אמורה לבסס, בין היתר, את ה’הסכמה’ הנדרשת בדין, לפיה לא תיפגע זכותו של אדם לפרטיות אלא בהסכמתו. היכולת של מדיניות הפרטיות לספק את ההסכמה הדרושה טמונה בכך שהדין מאפשר קבלת הסכמה מדעת גם מכללא, קרי כזו הנלמדת מעצם התנהגותו של אדם, ובעניינו – כניסת המשתמש לפלטפורמה ועשיית שימוש בה.

כמו כן, יש במדיניות הפרטיות כדי לשמש גם כמתן הודעה בהתאם להוראות הדין, המחייבות ליידע את מושא המידע בדבר איסוף המידע (ובעיקר: האם חלה עליו חובה חוקית למסור את המידע או שמא מסירתו תלויה ברצונו ובהסכמתו, המטרה לשמה מתבקש המידע ואף את זהות הגורמים להם המידע עשוי להימסר).

שנית, בבחינת היבטי דיני החוזים, מסמכים דיגיטליים כגון מדיניות פרטיות מהווים מעין חוזה מחייב בין בעל הפלטפורמה לבין המשתמשים. על-כן, משתמש המבצע פעולות החורגות מאלה המנויות במסמכים אלה, ככלל, מפר בכך את ההסכם שנכרת בינו לבין בעל הפלטפורמה.

גם בעולם דיני החוזים קיים מונח מקביל להסכמה מכללא. הוראות הדין קובעות כי קיבול (המונח המדובר) יכול שייעשה גם בהתנהגות. הווה אומר, עצם הכניסה לאתר האינטרנט ו/או לאפליקציה עשויה ללמד על קיבול של תנאי מדיניות הפרטיות אשר לפיהם מתקיימת כל פעילות בקשר עם מידע אישי באותה פלטפורמה.

דרך ההסדרה הנוכחית באמצעות מסמכים דיגיטליים כגון מדיניות פרטיות זכתה לקיתונות של ביקורת. כך למשל – בבחינת דיני הגנת הפרטיות, ישנן טענות המעלות ספקות ביחס ליכולתו של מסמך זה לשמש הן כהודעה הנדרשת בהתאם להוראות הדין והן כהסכמה מדעת בכלל.

כחיזוק לנחיצותם של שקיפות ויידוע ביחס לפעולות במידע אישי, ראוי לציין את תקנות הגנת המידע האירופיות (GDPR), המהוות מקור חקיקה מקיף ומתקדם בתחום המידע האישי, וככאלה, סביר כי הדין הישראלי עתיד להתחקות אחריהן. כך למשל – ישנה דרישה לנקוט בכלל האמצעים המתאימים והנדרשים על מנת לפעול בשקיפות ולספק כל נתון רלוונטי ביחס לפעילות המתבצעת בקשר עם המידע, והכל באופן תמציתי, שקוף, מובן ונגיש, תוך שימוש בשפה ברורה ופשוטה.

בצידו השני של המטבע ביחס לדיני החוזים, אמנם קיבול יכול שייעשה בדרך של התנהגות, אך כידוע על מנת שקיבול יבוא מלכתחילה אל העולם צריכה תחילה להינתן הצעה, המורכבת גם מ”פניה”, וספק אם ניתן לראות במסמך מדיניות פרטיות שאינו מועבר במפורש לידי המשתמש כמתווה המקיים את הדרישה כאמור.

עוד יש לקחת בחשבון, כי הוראות מסמכים אלה אינן נקבעות בשוק חופשי בו המשתמשים נהנים מחופש הבחירה, ומשכך עשויים להיתפס גם כחוזה אחיד המנוסח בלעדית על-ידי בעל הפלטפורמה, דבר אשר מעלה ספק רב אם ניתן להסיק מהם הסכמה מדעת. משכך, ועל-מנת שניתן יהא לראות בכניסת המשתמש לפלטפורמה או בשימוש בה כביטוי להסכמתו, יש לכל הפחות להבטיח כי הוא יכול היה להיות מודע להוראות מדיניות הפרטיות מראש ולהיחשף אליהן באופן סביר.

פרטיות וטרמינולוגיה

מחקרים שונים ברחבי העולם מגלים כי הרשת החברתית פייסבוק, לצד תאגידי על נוספים העוסקים באיסוף מידע, משפיעים על התת-מודע שלנו באופן מניפולטיבי ומעוותים את דרך החשיבה והעדפות הפרטיות של כולנו. כך, בין היתר, נעשה שימוש חזור ושנה בדפוסי פעולה שנויים במחלוקת על מנת לגרום לנו לחשוף באופן אקטיבי ותחת “הסכמה” לכאורה כמה שיותר נתונים ופרטי מידע אודותינו.

במחקרים שונים אף הגדירו את אותם דפוסי פעולה שנויים במחלוקת תחת המונח הלא-מחמיא “פרטיות צוקרית – Privacy Zuckering”, ייתכן כי בהשראת השחקנית המרכזית בתחום. המונח נועד לשקף נאמנה תרחיש לפיו דפוסי הפעולה, כאמור, הוליכו שולל את המשתמש, בכך שגרמו לו לשתף בפומבי מידע אישי אודותיו באופן רחב יותר מהמידע אשר הוא התכוון לשתף מלכתחילה.

להלן מספר דוגמאות לאותם דפוסי פעולה:

  • משתמשים קיבלו הודעת pop-up תחת הנוסח “אתה בשליטה“, מיד לפני שהוזמנו “להפעיל מודעות בהתאמה אישית על מנת לשפר את המודעות שאתה רואה כיום” בפלטפורמה.
  • משתמשים אשר דחו “התאמה אישית” זכו לקבל pop-up נוסף תחת הנוסח “אתה בטוח? בחירה בהתאמה אישית תעניק לך חוויית משתמש עשירה יותר“;
  • משתמשים אשר קיבלו הודעות אזהרה מפני ביטול תוכנות איסוף מידע, כגון תוכנת זיהוי פנים, תחת הנוסח כדלקמן: “אם תמשיך לבטל את הגישה לזיהוי הפנים במכשיר, לא נוכל להיעזר בטכנולוגיה זו אם וכאשר אדם זר ינסה לעשות שימוש במכשירך ו/או בתמונה שלך על מנת להתחזות לך“. (לא למותר לציין, כי כפתור הפעלת הטכנולוגיה נצבע בצבע כחול בוהק ומושך לעין, ואילו כפתור השבתת הטכנולוגיה הופיע בגוון אפור חיוור ונחבא אל הכלים);

הרשימה החלקית של הדוגמאות לעיל רק מתחילה להמחיש את דרך החתחתים שאותן פלטפורמות מחייבות את המשתמשים לעבור כאשר הם מעזים לבקש, רחמנא ליצלן, להפסיק את קבלת השירות ולמחוק את החשבון (כך למשל – מדוע את/ה מוחק/ת את החשבון? האם מסיח את דעתך? הנה – נסה לכבות את ההתראות. אולי נדרשת רק הפסקה קצרה? בחר/י להתנתק באופן זמני במקום זאת). חוקרי פסיכולוגיה התנהגותית סבורים כי פעולות אלה מכניסות את המשתמש לחיכוך פנימי עם עצמו, מתוך כוונה להקשות עליו להיגמל מהתנהגות שאינה עוד רצויה בעיניו, ולמעשה הופכים את כל הליך העזיבה לכאב פסיכולוגי מורגש.

הפעולות המתוארות לעיל ורבות נוספות, נתפסות כחלק מאותם דפוסי פעולה שנויים במחלוקת, אשר כל תכליתם הינה קבלת אישור מאולץ לאיסוף, שימוש, עיבוד והעברת מידע אישי בהתאם לאינטרסים של אותם תאגידי על.

לשם הבהרה, דפוסי פעולה שיווקיים לגיטימיים קיימים בכל רחבי הרשת ומחוצה לה. דוחפים להירשם לעלונים ועדכונים, להוסיף פריטים לעגלות, קבלת שירותים, הטבות וכיו”ב. ואולם, מה שהופך את דפוסי הפעולה המתוארים לעיל לערמומיים במיוחד, הוא האופן בו הם מתוכנתים לגרום לך להבין שאתה הוא זה שבוחר לוותר על זכותך לפרטיות, לכאורה, על מנת ליהנות מכל מה שיש לאותה פלטפורמה להציע במיוחד עבורך ועבור יתר פתיתי השלג הייחודים כמוך.

דומיניק קוב (אותו מגלם השחקן ליאונרדו דיקפריו ביצירת המופת “התחלה”), הציג פרפרזה עתידנית בזמנו לתאוריה לפיה הווירוס העמיד והמדבק ביותר בעולם הוא – ‘רעיון’ (לזכותו ייאמר שהוא לא הכיר את עידן COVID-19). לשיטתו, הדרך היחידה באמצעותה ניתן יהא “להדביק” אדם אחר ברעיון, אינה טמונה ברעיון עצמו, אלא מתבססת רובה ככולה על היכולת לגרום לאותו אדם להאמין כי הרעיון הוא למעשה פרי דמיוני, שכן אחרת, בדומה לדרך התמודדותו של גוף האדם עם ווירוסים אחרים, יידחה הרעיון על-ידי הגוף הקולט. זו למעשה תמצית הסוגסטיה. בשונה מהיפנוזה, למשל, אשר משנה את מצב התודעה, ומספקת גישה לזיכרונות או למידע המצויים מלכתחילה במוחו של אותו אדם, הסוגסטיה יכולה להיעשות קבל עם ועדה ובמצב של הכרה מלאה. העיקר שלחצתם “אני מסכים”.

(הידעת? *סוּגֵסְטְיָה, או הַשָּׁאָה בעברית, מתארת תהליך פסיכולוגי במסגרתו ננקטות פעולות שונות, לרבות כאלה הקשורות בניסוח וטרמינולוגיה, על מנת לגרום לאדם לשנות את עמדותיו ודעותיו באמצעות השפעה תת מודעת).

בסיכומו של דבר, הכל מתכנס לכדי מניפולציה זולה אשר נרקחה במוחם הקודח של קברניטי תאגידי העל העסוקים בכריית מידע מתמשכת, והם יעשו כל שביכולתם על מנת להמשיך לאסוף ולעשות שימוש ביחידות מידע אינסופיות אודות המשתמשים כאוות נפשם, ורק נסו לעצור אותם. בעולם המצוי בתאוצה תמידית, בו FOMO (חרדת החמצה) נחשב לערך עליון, ספק רב אם האדם הסביר ירצה להעמיד עצמו בתרחיש לפיו “יפספס”, חלילה, הזדמנות / שירות / מוצר אשר נועדו, לכאורה כמובן, לשפר ולהעשיר את חייו.

במאמר מוסגר יוער, כי האירוניה לא חמקה מעיניו של כותב שורות אלה. ברי כי במאמר דעה, מעצם טיבו וטבעו, טמון וטבוע נרטיב מסוים המעביר את המסר לקוראיו. ואולם, כאשר הרציונל העומד מאחורי אותו נרטיב מעניק חשיבות יתרה לקידום ערך השקיפות, אזי נראה כי יש בו כדי לחזק את היסודות הפונדמנטליים עליהם מושתתת הזכות לפרטיות בכלל ובעידן הדיגיטל בפרט.

אופטימיות זהירה

בצד החיובי, מסך הבערות הולך ומתפוגג בקרב האוכלוסייה הכללית ביחס לפעולות תאגידי העל בקשר עם המידע האישי. תשאלו את פייסבוק, שכן זו כמובן לא הפעם הראשונה (וככל הנראה גם לא האחרונה) שדפוסי הפעולה שלה כמקרה בוחן בעניין זה ובכלל מככבים במדורי החדשות.

אם אי פעם תהיתם כיצד נראית שינוי פרדיגמה, השנה האחרונה היא סממן אמיתי לכך. במהלכה, הטילה נציבות הסחר הפדרלית בארה”ב על פייסבוק קנס חסר תקדים בסך של 5 מיליארד דולר (במסגרת הסדר פשרה), בין היתר בשל אזלת יד ומחדלי פרטיות שונים, לרבות בגין טענות מטעות ביחס ליכולתם של המשתמשים לשלוט בפרטיות הנתונים והמידע האישי שלהם. ממש לאחרונה, גם רשות התחרות הקנדית הטילה על פייסבוק קנס בסך של 9 מיליון דולר קנדי (אף הוא במסגרת הסדר פשרה), הפעם בשל העובדה שהצהרת הפרטיות שלה ושל רשת מסנג’ר המצויה בבעלותה מטעה ואינה מפרטת במדויק את השימושים המלאים במידע האישי הנאסף אצלן.

המגמה קיבלה חיזוק בשנה שעברה, עת הוצגה בפני הסנאט של ארה”ב הצעת חוק שתאסור (או לכל הפחות תגביל) דפוסי פעולה הטומנים בחובם השפעה מניפולטיבית. במסגרתה הצעת החוק צוין כי דרכי השיווק הערמומיות קיימות זה מכבר ביחס למוצרים ו/או שירותים אחרים, אם כי בעולם בו המידע נתפס כאחד מהמשאבים המבוקשים ביותר, ספק אם ניתן לערוך השוואה כנה בין הדברים.

גם בחצי הכדור הדרומי לא נותרו אדישים לתופעה. רשות התחרות והצרכנות האוסטרלית האשימה את גוגל במסגרת הליך המתנהל נגד האחרונה בבית המשפט הפדרלי באוסטרליה, בעשיית שימוש במידע אישי תוך הטעיית משתמשים והפעלת שיטות שנויות במחלוקת, בין היתר במסגרת מדיניות הפרטיות שלה. בתוך כך, הצהירה הרשות כי היא עתידה לדרוש הטלת קנס ‘עתיר ממון ובעל השפעה’, לדבריה, ואף כי היא מעוניינת לקבוע תקדים חשוב בעניין זה.

קריאה למחוקק ולרגולטור

במציאות של ימינו ובעולם אשר פוסע בצעדי ענק אל עבר מודעות אמיתית והענקת חשיבות ראויה לזכות הפרטיות, עצם התפיסה לפיה ניתן לתחום אותה באמצעות מסמך המנוסח באופן חד צדדי, במסגרתו מחליטים עבורנו כיצד המידע שלנו נשמר, מעובד ומועבר בהתאם לצרכיו של תאגיד על מסוים, לעתים אף במשיכת קולמוס, הינה מקוממת וכזו העומדת בסתירה לקדמה הנחוצה בתחום.

הן המחוקק (קריצה לאחד מתזכירי תיקון חוק הגנת הפרטיות הבאים עלינו לטובה) והן הרשות להגנת הפרטיות, המשמשת כגוף המפקח והמנחה בהיבטי הגנת הפרטיות ואבטחת המידע בישראל, לא יכולים עוד לעמוד מנגד ולהעלים עין מ’המערב הפרוע’ השורר ברחבי הרשת בכל הקשור למסמכי מדיניות הפרטיות, אשר הלכה למעשה הם אלה המעצבים את הזכות לפרטיות בעידן הדיגיטלי.

אין חולק כי הליך ההסדרה של השיטות הנהוגות בהיבטים אלה אינו חף מאתגרים, שכן תחילה יש להגדירן באופן מובהק ולשרטט עבורן גבולות גזרה. יחד עם זאת, ועל אף שכותב שורות אלה אינו נמנה על חובבי עודף רגולציה, נראה כי אין מנוס מכך שהאמונים על הזכות לפרטיות בישראל יפרסו את משנתם ויקבעו כללי אצבע נהירים וישימים להליך ההסדרה העצמית שנוצר כיום.

האם את/ה מסכימ/ה?