הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 03-2023

הגנת הפרטיות בארץ   

פישינג על חשבונות בנק הפועלים. 

ביום ה-6 במרץ 2023, עם הגשת כתב אישום, נחשפה פרשת פישינג חמורה בה חשודים 3 ישראלים בגניבת 1.5 מיליון ₪ מחשבונות פרטיים בבנק הפועלים. לאחר שהבחינה בתלונות רבות המתארות עוקץ וירטואלי, יחידת הסייבר המשטרתית במחוז מרכז בשיתוף תחנות המשטרה ביבנה וחולון, ומערך ביטחון הבנקים ניהלו במהלך החודשים האחרונים חקירה סמויה בחשד לביצוע עבירות מרמה והתחזות למוסדות פיננסיים. על פי החשד, בשלב הראשון שלחו החשודים הודעות פישינג (דיוג) שהתחזו להודעות של בנק הפועלים, כאשר הזינו הקורבנות את פרטי הכניסה לחשבונות המקוונים של הבנק קיבלו הודעה על פעילות חריגה בחשבונותיהם ועל כך שנציג הבנק ייצור עימם קשר. בשלב זה, החשודים ביצעו שיחת התחזות כאנשי הביטחון של הבנק וביקשו מהקורבנות קודי משיכה או קוד להחלפת מינוי טלפון בחשבונות. כמכרה זהב, המידע שהיה בידיהם הספיק על מנת למשוך כספים מכספומטים ולבצע העברות בין חשבונות. 

רשות התעופה האזרחית – תקנות טיס חדשות. 

בתאריך 2 במרץ 2023 פרסמה רשות התעופה האזרחית את ניסוחן הסופי של תקנות הטיס החדשות כפי שהן תוצגנה בפני שרת התחבורה. התקנות החדשות מאפשרות לסגור מרחב אווירי במצבי חירום על מנת לאפשר פעילות מרובת רחפנים. כמו כן, התקנות מאפשרות לגורמי ביטחון ואף רשויות להגדיר מרחב אווירי ייעודי להטסת כלים בלתי מאוישים ולנהל בו פעילות רחפנים לתצפית. ניתן להניח כי התקנות החדשות יאפשרו למשטרת ישראל להפעיל מערך רחפני צילום במטרה לפקח על הפגנות או הפרות סדר. כמו כן, יוכלו הגורמים המורשים להשתמש ברחפנים גם כדי להתריע באמצעות רמקולים אודות אירועים ביטחוניים. התקנות החדשות טומנות בחובן היבטי פרטיות וסוגיות לעניין הפיקוח בעת השימוש בפעילויות אלו. 

משרד הבריאות מפרסם – חוק ניוד מידע בריאות. 

בתאריך 14 לפברואר 2023 נסגר להערות הציבור תזכיר חוק ניוד מידע בריאות שפרסם משרד הבריאות באתר החקיקה הממשלתי. מטרת ההצעה היא להנגיש למטופלים את המידע שקיים אודותיהם עבור קבלת שירות בריאות. כיום, ישנה דיגיטציה של המידע הרפואי במערכות בריאות שונות, אך האתגר גדל כאשר עולה צורך לממשק את המידע בין הגורמים השונים. הטיפול בציבור נחלק בין שחקנים רבים: קופות החולים, בתי חולים, מכונים, בתי אבות ודיור מוגן, מוסדות רווחה ועוד. החוק מקדם את הורדת חסמי האינטגרציה באמצעות שימוש בממשקי העברת מידע עדכניים ומציע תשתית רגולטורית לשם השינוי הנדרש. המענה עשוי להביא עימו מורכבויות ואתגרים בתחום הפרטיות, למשל כאשר מידע רפואי יעבור בקלות לחברות פרטיות (לפי החוק - "כל תאגיד הרשום בישראל"). החוק יאפשר לגורם שאסף מידע בהסכמת מטופל, להעבירו הלאה לגוף אחר, למשל גוף עסקי או חברת מחקר תוך אנונימיזציה, אך ללא צורך באישור נוסף של נושא המידע. החוק גם מאפשר להשתמש במידע הרפואי לצורך הליכים משפטיים. 

הרשות להגנת הפרטיות מחדדת את ההבדל בין "גורם חיצוני" לבין "מחזיק".

הרשות להגנת הפרטיות פרסמה לפני כחודשיים הבהרה חשובה הנוגעת לתקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע). על פי הרשות הובהר כי התקנה מרחיבה את משמעות המונח "גורם חיצוני" מעבר ל"מחזיק" במאגר מידע, ומתייחסת אליו כאל כל גורם בעל גישה בפועל למאגר מידע וכן למערכותיו, גם אם הגישה אינה לשם אספקת שירות. לעניין זה הגישה למאגר המידע אינה מתייחסת רק לגישה למידע במאגר, אלא גם לגישה למערכות המאגר, וכי אין הכרח שהגישה תינתן דרך קבע על מנת לראות בגורם בעל הגישה, "גורם חיצוני" לעניין תקנה 15. משמע, "גורם חיצוני" יוגדר כ"מחזיק" לכל דבר בעת ניתנת לו הרשאה לשימוש במידע, לעיבודו ו/או לאחסונו. ככתוב, גורם חיצוני יוגדר כמחזיק גם בעת מתן שירותי אחסון או גיבוי של המידע, גם אם התוכן מוצפן והמפתח אינו מצוי בידי הגורם החיצוני, וזאת בהתאם לדו"ח פיקוח רוחב בקרב מגזר חברות אחסון ועיבוד מאגרי מידע שפרסה הרשות להגנת הפרטיות.

מחקר של גוגל ו-BCG: חברות טכנולוגיה, נסיעות, ובידור הכי פחות אמינות באיסוף נתוני גולשים. 

מחקר שנערך ע"י בוסטון קונסלטינג גרופ (BCG) בשיתוף גוגל, על יותר 1,000 צרכנים בארה"ב ובקנדה, בחן את הרגשתם לגבי אופן איסוף הנותנים שלהם, אילו נתונים הם מוכנים לשתף ועם איזה שימוש הם מרגישים בנוח. הנתונים שהגולשים הרגישו הכי בנוח למסור: מגדר, כתובת וגיל, ואילו נתונים כגון הקלטות של שיחות, פעילות במייל או נתוני חשבונות במדיה החברתית, הם נתונים שהצרכנים הביעו התנגדות למסור. עוד נמצא כי תפיסת הצרכנים לגבי אופן השימוש בנתונים שלהם ורמת האמון שלהם בחברה, משפיעה עליהם לחלוק אותם מלכתחילה. טכנולוגיה, נסיעות ותחבורה, ומדיה ובידור הם הענפים הכי פחות אמינים בעיניי צרכנים. מנגד, שירותי הבריאות והשירותים הפיננסים נמצאים כבעלי האמון הגבוה ביותר בעיני הצרכנים. בעיה נוספת עבור חברות הטכנולוגיה היא שרבים לא מבינים איזה שימוש חברות עושות עם הנתונים שלהם. כך למשל 57% מהצרכנים מאמינים שחברות מוכרות את הנתונים שלהן. לאור נתוני המחקר, עורכי המחקר ממליצים לחברות שאוספות נתונים לאמץ גישה הדוגלת בפרטיות, להיות מוכנות לקדם שינויים ככל שתקנות אבטחת המידע ממשיכות להתפתח, ולהעניק לצרכן תחושה שהגנה על הנתונים שלו עומדת בראש סדרי העדיפויות של החברה. 

הגנת הפרטיות בעולם 

מרכז הבריאות בניו יורק – הפרת אבטחת מידע רפואי.

WEBPT, המספקת שירותי רשומות רפואיות אלקטרוניות עבור מרכז TCC בניו יורק, שלחה מכתבי הודעה ל-747 המטופלים, והסבירה כי קרתה שגיאה בעת שדרוג המערכת שגרמה לדליפת המידע. למרות השבתת המערכת, שינוי תהליכים וביצוע הדרכת מודעות לעובדי הספק, דלף מידע רגיש הכולל את הפרטיים הרגישים של המטופל, אופני הטיפול ואף פרטי המטפל שלו. עקב הפריצה, מרכז TCC הפסיק את התקשרותו עם הספק. על פי מכתב ההודעה שלהם לנפגעים, דווח כי הפריצה התרחשה ביום ה-22 בדצמבר ב-WebPT. 

ארה"ב – מכירת מידע רפואי בחסות החוק?

 "נתוני בריאות הם חלק מהנתונים הרגישים ביותר שיש, ולרובנו אין מושג כמה מהם נמצאים שם למכירה, לעתים קרובות תמורת כמה מאות דולרים בלבד", כך אמר ג'סטין שרמן, עמית בכיר באוניברסיטת דיוק שניהל צוות מחקר בנושא מכירת מידע רפואי. מתווכי מידע (Data Brokers) מציעים למכירה מידע רפואי של תושבים אמריקאים ללא הסכמתם, ומה שמעניין שזה בחסות חוק ה-HIPAA. אמנם ה-HIPAA מגביל את אופן שיתוף המידע ע"י מוסדות רפואיים, אך הוא אינו חל על גופים אחרים כדוגמת יצרני אפליקציות שמשתפות ומוכרות נתונים באופן חוקי לגמרי. גם חברות ביטוח בריאות וקציני אכיפת חוק פדרליים השתמשו במתווכי מידע לבחינת עלויות רפואיות של אנשים ולאיתור מהגרים בלתי חוקיים. GoodRX - חברה לרכישת תרופות באופן מקוון, נקנסה בסך של 1.5 מיליון דולר על הרכבת רשימות של משתמשים שקנו תרופות מסוימות הכוללות מחלות של לחץ דם ולב והשתמשו במידע זה למיקוד המודעות שלה בפייסבוק. 

אוסטרליה – הבהרות חדשות לחוק הגנת הפרטיות  

התובע הכללי של אוסטרליה פרסם ביום ה-16 בפברואר 2023 את סקירת חוק הפרטיות 1988, צעד משמעותי ברפורמה בחוק הפרטיות במדינה. דוח סקירת חוק הפרטיות כולל 116 המלצות המבוססות על 30 "נושאים והצעות מרכזיות" של בעלי עניין במהלך השנתיים האחרונות. הרפורמות הפוטנציאליות מכסות מגוון רחב של נושאים, החל מהצעה לביטול הפטור לעסקים קטנים, יישום מגבלות חדשות על פרסום ממוקד - במיוחד מודעות המכוונות לילדים – והתייחסות לזכויות הפרט של נושאי המידע, כגון "זכות המחיקה" הציבור יכול להגיב על הרפורמות המוצעות עד 31 במרץ. משרד נציב המידע האוסטרלי ברך על פרסום הדו"ח. "זוהי אבן דרך חשובה כאשר אנו מתקדמים לקראת רפורמה נוספת במסגרת הפרטיות של אוסטרליה", אמרה נציבת המידע האוסטרלית ונציבת הפרטיות אנג'לין פאלק. "ככל שהעולם נעשה מחובר יותר ויותר והמידע זורם בצורה מורכבת יותר, חוקי הפרטיות שלנו צריכים להתאים את עצמם כדי להבטיח שמידע אישי מוגן ומטופל בצורה הוגנת". 

אירופה וארה"ב נגד השימוש בטיקטוק. 

בתאריך 23 בפברואר פרסמה הנציבות האירופית כי על מנת לחזק את אבטחת הסייבר שלה, החליטה להשעות את השימוש באפליקציית TikTok במכשירים הארגוניים שלה ובמכשירים אישיים הרשומים בשירות המכשירים הניידים של הנציבות. צעד זה נועד להגן על הנציבות מפני איומי אבטחת סייבר ופעולות העלולות להיות מנוצלות למתקפות סייבר נגד הסביבה הארגונית של הנציבות. פיתוחי האבטחה של פלטפורמות אחרות יישמרו גם הם תחת בדיקה מתמדת. ההחלטה מתיישבת עם מדיניות אבטחת הסייבר הפנימית והמחמירה של הנציבות לשימוש במכשירים ניידים לתקשורת הנוגעת לעבודה. ההחלטה תואמת את העצות ארוכות השנים של הנציבות לצוות ליישם שיטות עבודה מומלצות בעת שימוש בפלטפורמות מדיה חברתית ולשמור על רמה גבוהה של מודעות סייבר בעבודתם היומיומית. מאוחר יותר, בתאריך 7 במרץ 2023 פרסם הסנאט האמריקאי את הצעת חוק ההגבלה (Restrict Act), אשר יבסס הליך לחשיפת איומים הקשורים לטכנולוגיות מידע ותקשורת במטרה למצוא פתרונות לאלו. החוק יעניק לשר המסחר את הסמכות לחסום טכנולוגיות זרות כאשר הראשונה שבהן היא טיקטוק. 

נציבות הסחר הפדרלית (FTC) קונסת את BetterHelp. 

ביום ה-2 במרץ 2023 פרסמה נציבות הסחר הפדרלית בארה"ב (FTC) כי בכוונתה לקנוס את חברת הייעוץ המקוון BetterHelp בגין שיתוף נתונים בריאותיים של צרכנים, כולל מידע רגיש על קשיים בתחום בריאות הנפש, לצורך פרסום. הצו מחייב את החברה לשלם 7.8 מיליון דולר לצרכנים במסגרת פשרה. לפי ההחלטה, BetterHelp חשפה נתונים רגישים של צרכנים עם צדדים שלישיים כמו פייסבוק וסנאפצ'ט למטרות פרסום, לאחר שהבטיחה לשמור על פרטים אלו חסויים. זוהי הפעולה הראשונה של הנציבות אשר מחזירה כספים לצרכנים שנתוני הבריאות שלהם נפגעו. בנוסף, הצו יאסור על BetterHelp לשתף מידע אישי של צרכנים עם צדדים שלישיים מסוימים לצורך מיקוד פרסומות לצרכנים שביקרו בעבר באתר האינטרנט של החברה או השתמשו באפליקציה שלה, כולל אלה שלא נרשמו לשירות הייעוץ שלה. הצו גם יגביל את הדרכים שבהן BetterHelp תוכל לשתף נתוני צרכנים בעתיד.

טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.