הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 02-2024
הגנת הפרטיות בארץ
דליפות אבטחה וחשיפת פרטים אישיים של אזרחים מתרחשות לעיתים קרובות בגופים קטנים או גדולים, פרטיים או ממשלתיים כאחד. החודש פורסם כי עשרות אלפי מסמכים הכוללים תעודות זהות מלאות, לרבות הספח ובו פרטי הילדים ופרטים אישיים נוספים — הגיעו למנועי החיפוש של גוגל והפכו נגישים לכל. מינהל התכנון הינו גוף ממשלתי המשמש כגורם האחראי במדינת ישראל על גיבוש מדיניות תכנון ארצית בנושאים שונים. במסגרת פעילותו, מפעיל אתר שאליו ניתן להגיש בקשות שונות בתחום התכנון והבנייה ובראשן בקשת התנגדויות לתוכניות בנייה. כחלק מהגשת הבקשות, מעלים אזרחים תצלומים של מידע אישי רגיש, הכולל תעודת זהות, הודעות מייל, מידע רפואי רגיש הכולל תיעוד של ביקורים אצל רופאים מומחים שונים ועוד נתונים שמאפשרים לזרים מוחלטים להתחבר לשירותים ממשלתיים ופיננסיים ולבצע הזדהות בדויה ואף לגנוב זהות. בנוסף, חלק מן הבקשות כוללות מידע על תוכניות בנייה של מתקנים רגישים, כדוגמת מתקנים צבאיים.
לרגל יום הגנת הפרטיות הבינלאומי שחל החודש, פרסמה חברת הסטארט-אפ "מיין" נתונים אודות השירותים הישראלים והבינלאומיים שמחזיקים במידע עלינו ואופן התנהלות הישראלים ברשת מול שירותים אלה, לרבות הרגלי שיתוף המידע של צרכנים ברשת. מהממצאים עולה כי הישראלי הממוצע השאיר את פרטיו האישיים בלא פחות מכ-300 אתרי אינטרנט של חברות ושירותים מקוונים, 20% יותר מהממוצע העולמי, זאת על אף שב-85% מהאתרים הוא מבקר פעם אחת בלבד. יחד עם זאת, בשנה האחרונה ניכרת עלייה משמעותית במודעות של הציבור לנושא הפרטיות, הגולש הישראלי מודע יותר לתוכן שהוא משתף ולמידע שהוא חולק ויותר משתמשים מגלים את חשיבות השימוש ב"זכות להישכח", כלומר לדרוש מחיקה של פרטיהם בשירותים השונים (בשנת 2023 התקבלו יותר מ-50 אלף בקשות מחיקה לכ-19 אלף שירותים מקוונים). בהשוואה לשנה החולפת, בקרב המשתמש הישראלי ניכרת ירידה של 30% בכמות "העקבות הדיגיטליים" (נתונים אישיים, הנאספים אודות המשתמשים ברשת) שמשאיר אחריו ברשת. עם זאת, מדובר בכמות שהיא עדיין כאמור גבוהה ב-20% מהממוצע בעולם.
אברהם אבנעים, בשנות ה-50 לחייו המשמש כסגן מנהל במוסד חינוכי במעלה אדומים, נעצר ונחקר בחשד שהציץ לקטינים ובגירים בקניון בעיר ואף צילם אותם בתאי השירותים. המשטרה פתחה בחקירה בעקבות תלונות שהתקבלו בתחנת מעלה אדומים בחשד לפגיעה בפרטיות וצילום ברשות היחיד ע"י תושב מעלה אדומים. על פי ממצאי החקירה עולה כי נהג החשוד לצלם במכשיר הסלולרי שלו סרטונים של בגירים וקטינים במצבים אינטימיים בשירותים ציבורים בקניון בעיר.
הפרשה שעוררה סערה ציבורית - בשנת 2021 הואשם סגן אלוף דן שרוני, לשעבר מפקד בבה"ד 6, ב-78 עבירות של חדירה לפרטיות ומעשים מגונים בחיילות ובאזרחיות. כעת תיעוד חקירותיו במצ"ח נחשף לראשונה, ומציג את התייחסותו להאשמות החמורות נגדו ואשר בקרוב תינתן הכרעת הדין בעניינו. מי שחשפה את הפרשה הייתה חיילת של שרוני שגילתה שהתקין לה מצלמות נסתרות בחדר השינה בבסיס כשזיהתה עינית קטנה בראש מטען הפלאפון הנייד שלה והבינה שמדובר במצלמה נסתרת. התקנת המצלמות הייתה באמתלה כי יש גניבות בבסיס וכי שרוני רוצה לתפוס את הגנבים. בחקירתו, סיפר שרוני על הפעם הראשונה שבה החליט להתקין מצלמה בחדרה של אחת מחיילותיו והרצון להצליח לחדור למרחב האישי שלה שוב הלך וגבר. כידוע השימוש במצלמות אבטחה עלול להיות כרוך בפגיעה בפרטיות המצולמים. אי לכך - נוכח הצורך שזיהתה באסדרת התחום המתפתח פרסמה הרשות להגנת הפרטיות חוות דעת שונות שהתוו את העקרונות המנחים לשימוש במצלמות. בשנת 2012 הוסיפה ופרסמה הנחיה בנושא "שימוש במצלמות אבטחה ומעקב ובמאגרי התמונות הנקלטות בהן" (להלן: "הנחיית המצלמות הכללית"). כהמשך להנחיה זו בשנת 2016 פרסמה הרשות להגנת הפרטיות הנחיה נוספת שמסדירה את השימוש במצלמות במקום העבודה "שימוש במצלמות מעקב במקום העבודה ובמסגרת יחסי עבודה". בשורה התחתונה הצבת מצלמות ללא ידיעת המצולמים ושלא בהתאם לחוק הינה אסורה.
- כנס DPO של הרשות להגנת הפרטיות –
בתחילת חודש פברואר, הרשות להגנת הפרטיות ערכה כנס מקוון לממונים על הגנת הפרטיות בגופים שונים, השתתפות יו"ר הרשות. הכנס עסק בנושאים הבאים: בחירת ספקי ענן ואחריותם, העברת מידע בתווך מאובטח בין החברה ללקוח, מחיקת מידע בסיום ההתקשרות, שימוש במערכות EDR&SOC והטמעת חוקי YARA, הוספת נספח אבטחת מידע בהסכם התקשרות ומינוי ממונה הגנת המידע בארגון, מבדקי חדירות – התדירות הנדרשת על פי החוק והתנהלות עם ריבוי סביבות ענן.
הגנת הפרטיות בעולם
ביום ה-26 באפריל 2006 החליטה מועצת אירופה להשיק את יום הגנת הפרטיות הבינלאומי שיצוין מדי שנה ב-28 בינואר, התאריך שבו נפתחה אמנת הגנת המידע של מועצת אירופה לחתימה, הידועה בשם "אמנה 108". היום נועד להעלות את המודעות של ארגונים, חברות, עסקים ואזרחים לזכות לפרטיות ולהגנה על מאגרי מידע אישי, לחשיבותה של הזכות וההגנה עליה, וכן לחובות ולזכויות החלות ביחס לגורמים השונים במשק. ביום זה נערכות פעילויות הסברה שונות, מתפרסמים מדריכים והמלצות, ונערכים אירועים ודיונים בפורומים שונים במטרה להעלות את מודעות הנושא לסדר היום הציבורי ולקדם את תחום הגנת הפרטיות. הפעילות הבינלאומית מהווה פוטנציאל והזדמנות לשיתופי פעולה בקרב מגזרים שונים, ממשלה, תעשייה, אקדמיה, ארגוני מגזר שלישי, אנשי מקצוע בתחום הפרטיות ואנשי חינוך.
ביום ה-31 לינואר 2024, הרשות ההולנדית להגנה על נתונים (DPA) הטילה קנס של 10 מיליון אירו על חברת Uber Technologies, Inc ו-Uber B.V ("אובר") בגין הפרת תקנות הפרטיות בנוגע למידע האישי של נהגיה. הקנס ניתן בתגובה לכך שהחברה לא חשפה את הפרטים המלאים אודות תקופות השמירה שלה על נתונים הנוגעים לנהגים אירופאים, ולא נקבה בשמות המדינות הלא-אירופיות שבהן היא משתפת נתונים אלה. בנוסף, אובר שיבשה את מאמצי נהגיה לממש את זכותם לפרטיות. יו"ר הרשות ההולנדית, וולפסן: "לנהגים יש את הזכות לדעת כיצד אובר מעבדת את המידע האישי שלהם. עם זאת, אובר לא הסבירה זאת בבהירות מספקת. היא הייתה צריכה ליידע את נהגיה טוב יותר בעניין זה. שקיפות היא חלק בסיסי בהגנה על נתונים אישיים. אם אינך יודע כיצד הנתונים האישיים שלך מטופלים, אינך יכול לקבוע אם אתה נמצא בעמדת נחיתות או אם מתייחסים אליך בצורה לא הוגנת ואתה לא יכול לעמוד על הזכויות שלך".
ארה"ב מתכננת להכריז על צו נשיאותי חדש שינסה למנוע מיריבים זרים גישה למידע אישי רגיש ביותר על אמריקאים ואנשים הקשורים לממשלת ארה"ב. טיוטת הצו מתמקדת בדרכים שבהן יריבים זרים מקבלים גישה לנתונים האישיים "הרגישים ביותר" של אמריקאים באמצעים משפטיים ובאמצעות מתווכים כמו סוחרי נתונים, הסכמי ספקים של צד שלישי, הסכמי העסקה או הסכמי השקעה. הממשל מודאג מאיסוף נתונים על דמויות פוליטיות, עיתונאים, אקדמאים, פעילים וחברי קהילות מודרות, כמו גם נתוני מטופלים שהושגו באמצעות ספקי שירותי בריאות וחוקרים. באוקטובר אשתקד חתם ביידן על צו נשיאותי המחייב מפתחים של מערכות בינה מלאכותית, המהוות סיכונים לביטחון הלאומי, הכלכלה וביטחון הציבור של ארה"ב, לשתף תוצאות של בדיקות בטיחות עם הממשל הפדרלי.
על חברת InMarket Media ייאסר למכור או להעניק רישיונות לנתוני מיקום מדויקים כלשהם עבור ועדת הסחר הפדרלית, זאת מכיוון שהחברה לא הודיעה באופן מלא לצרכנים ולא קיבלה את הסכמתם לפני איסוף ושימוש בנתוני המיקום שלהם לפרסום ושיווק. על פי הצו המוצע, ייאסר על החברה גם למכור, להעניק רישיון, להעביר או לשתף כל מוצר או שירות המסווג או מכוון צרכנים על סמך נתוני מיקום רגישים. "לעתים קרובות מדי, אמריקאים נמצאים במעקב על ידי אוגרי נתונים סדרתיים ששואבים בלי סוף מידע אישי ומשתמשים בו. הפעולה של ה-FTC מבהירה שלחברות אין רישיון חופשי לייצר רווחים מנתונים שעוקבים אחר המיקום המדויק של אנשים", אמרה יו"ר ה-FTC לינה חאן. "נמשיך להשתמש בכל הכלים שלנו כדי להגן על אמריקאים מפני מעקב תאגידי בלתי מבוקר". InMarket, שבסיסה בטקסס, אוספת מידע על מיקום ממגוון מקורות, כולל אפליקציות משלה ומאפליקציות צד שלישי המשלבות את ערכת פיתוח התוכנה (SDK) שלה. InMarket מצליבה את היסטוריית המיקומים של הצרכנים עם נקודות עניין הקשורות לפרסום כדי לזהות צרכנים שביקרו במיקומים אלה ולאחר מכן ממיינת צרכנים, בהתבסס על ביקוריהם בנקודות עניין אלה, לפלחי קהל שאליהם היא יכולה למקד פרסום בהתבסס על התנהגותם בעבר.
ארגון הגנת הצרכן Consumer Reports, ביצע מחקר וגייס מתנדבים שיסכימו לשתף עם החוקרים את הנתונים על המידע האישי שפייסבוק אוספת עליהם. נתונים אלו זמינים לצפייה לכל משתמש באמצעות כלי הורדת המידע של פייסבוק. 709 מתנדבים העבירו לבסוף לארגון את קבצי הנתונים הרלוונטיים למחקר, ואלו נותחו באמצעות כלים סטטיסטיים. מהממצאים עולה כי פייסבוק אספה על מתנדבים אלו מידע מ-186,892 חברות בסך הכל, כאשר בממוצע על כל משתמש נאסף מידע מ-2,230 חברות. חברה אחת, ברוקרית מידע בשם LiveRamp, סיפקה לפייסבוק מידע על 96% מהמשתתפים. 100 חברות ששיתפו מידע בתדירות הגבוהה ביותר סיפקו מידע על מחצית מהמשתתפים. שיתוף המידע עצמו יכול להתבצע בהתאם לאחד מכמה תרחישים. במקרה של אפליקציות וחנויות מקוונות, אלו אוספות מידע על משתמשים שמבקרים בהן, ואז מעבירות את המידע לפייסבוק לצורך הצגת פרסומות ממוקדות למשתמשים אלו בעת ביקורם ברשת החברתית. בתרחיש אחר, ברוקרים של מידע אוספים, מעבדים ומטייבים מידע של משתמשים ממגוון מקורות שונים (למשל, ביקורים במכון כושר), במטרה ליצור פרופיל משתמש לטרגוט. מפרסם יכול אז לרכוש מהברוקר מידע בהתאם ליעדי הפרסום שלו. למשל, מותג נעלי ספורט ירכוש פרופילים של משתמשים שביקרו במכון כושר בקביעות, וישלם למטא על מנת להציג פרסומות למשתמשים אלו.
ביום ה-18 בינואר 2024 פרסם מושל וירג'יניה צו נשיאותי ליישום תקנים לשימוש בטוח בבינה מלאכותית. הצו דורש מכל סוכנויות המדינה ומוסדות החינוך הציבוריים של וירג'יניה ליישם מספר תקנים והנחיות של בינה מלאכותית (AI) והוא כולל: תקני AI IT שמספקים את הפרוטוקולים והדרישות שסוכנויות וספקים ממשלתיים צריכים לעקוב אחריהם בעת השימוש ב- AI. הנחיות חינוך AI – שמנחות כיצד לשלב בינה מלאכותית במוסדות חינוך, תוך הבטחת אמצעי הגנה להגנה על פרטיות הנתונים ולהפחתת תוצאות מפלות ותקני מדיניות AI. המדינה תשתמש במימון של 600,000 דולר כדי להשיק פיילוטים באמצעות בינה מלאכותית. המטרה היא לסייע למדינה להעריך את האפקטיביות של התקנים החדשים. תקנים אלה נחוצים בגלל מספר חברות אבטחת הסייבר, מכללות, אוניברסיטאות ומוסדות ביטחון לאומי ומודיעין צבאי הממוקמים בווירג'יניה. המדיניות ותקני טכנולוגיית המידע קובעים דרישות טכנולוגיות לשימוש בבינה מלאכותית בסוכנויות ממשלתיות וקובעים תהליך אישור כדי להבטיח שימוש בטוח ואתי בטכנולוגיה.
מידע פרטי מעשרות אתרים פופולריים, כולל X, דרופבוקס ולינקדאין, התגלה בעמוד לא מאובטח. יותר מ-280 מיליון רשומות טוויטר הודלפו בדליפת הנתונים, אומרים מומחים, בעוד שיותר מ-250 מיליון רשומות לינקדאין הושפעו. A Supermassive Mother of all Breach (MOAB בקיצור), מכיל 26 מיליארד רשומות על פני 3,800 תיקיות, כאשר כל תיקייה מתאימה לדליפת נתונים נפרדת. אתרים פופולריים אחרים ברחבי העולם שהושפעו כוללים את MyFitnessPal, Canva, MySpace, Adobe ו-Deezer. בוב דיאצ'נקו, הבעלים של SecurityDiscovery.com, גילה את דליפת הנתונים לצד חוקרים מ-Cybernews. למרות שבתחילה הבעלים של מסד הנתונים לא היה ידוע, Leak-Lookup, מנוע חיפוש של דליפות נתונים, אמר שהוא הבעלים של מערך הנתונים שדלף. הפלטפורמה פרסמה הודעה ב-X, ואמרה כי הבעיה מאחורי הדליפה היא "תצורה שגויה של חומת האש", שתוקנה. לדברי הצוות, בעוד מערך הנתונים שדלף מכיל בעיקר מידע מפרצות נתונים בעבר, הוא כמעט בוודאות מחזיק נתונים חדשים, שלא פורסמו בעבר. לדוגמה, בודק דליפות הנתונים של Cybernews, המסתמך על נתונים מכל דליפות הנתונים הגדולות, מכיל מידע מיותר מ-2,500 פריצות נתונים עם 15 מיליארד רשומות. אם מערך נתונים כה גדול כעת ציבורי (ובמיוחד כזה המכיל כל כך הרבה נתונים רגישים), איומי האבטחה המקוונים הקיימים עלולים להחמיר. בתור התחלה, ניסיונות מוגברים לגניבת זהות הופכים לאפשרות. זה המקום שבו שחקנים רעים לוקחים סיסמאות ידועות ואת כתובות הדוא"ל המשויכות אליהן, מנסים את השילוב הזה ברחבי האינטרנט ורואים לאילו חשבונות הם יכולים להיכנס. אם נעשה שימוש חוזר בסיסמאות (או נשתמש בסיסמאות דומות), תוקף עלול בסופו של דבר להשתלט על חשבון חיוני או רגיש ביותר.
ביום ה-29 בינואר, התובע הכללי של קליפורניה, רוב בונטה, הודיע על הצגת שתי הצעות חוק העוסקות בפרטיות בני נוער ובבעיות הולכות וגדלות בשימוש של קטינים במדיה חברתית. הצעת חוק הפרטיות, המכונה הצעת חוק פרטיות נתוני ילדים, נועדה לתקן את חוק פרטיות הצרכן בקליפורניה כדי להדק את ההגנה על בני נוער. החוק המוצע מבקש להגן על בני נוער מפני התמכרות למדיה חברתית ומתמקד באמצעים למיתון תוכן ולהגבלת תכונות או טכניקות פיתוי בפלטפורמות מדיה חברתית. הצעת החוק תאסור על עסקים לאסוף, להשתמש, לשתף או למכור נתונים אישיים של קטינים מתחת לגיל 18 ללא "אישור פוזיטיבי", בעוד איסוף, שימוש, שיתוף ומכירת נתונים אישיים של משתמשים מתחת לגיל 13 ידרשו הסכמה מדעת של ההורים. בנוסף, הצעת החוק מסמיכה את משרד המשפטים של קליפורניה לקבוע עונשים אזרחיים של עד 5,000 דולר על הפרות בודדות.