הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 05-2025

הגנת הפרטיות בישראל 

תחולת חוק הגנת הפרטיות על מערכות בינה מלאכותית – טיוטה להתייחסות

הרשות להגנת הפרטיות פרסמה טיוטת הנחיות ראשונה המתייחסת להיבטי פרטיות בשימוש במערכות בינה מלאכותית, זאת במטרה להתמודד עם האתגרים וההשלכות של שימוש גובר בטכנולוגיה זו ולהבטיח הגנה מיטבית על זכויות הפרט ובפרט על הזכות לפרטיות. הציבור מוזמן להגיש הערות לטיוטה עד לתאריך 5.6.2025.

להלן עיקרי ההנחיות כפי שהוצגו:

1. חוק הגנת הפרטיות חל לא רק על מידע גולמי המוזן למערכות בינה מלאכותית, אלא גם על מידע אישי שהמערכת מסיקה מהנתונים הללו.
2. נדרש בסיס חוקי לעיבוד מידע אישי בכל שלבי מחזור החיים של המערכת, החל משלב הפיתוח והאימון ועד שלב השימוש בה. בנוסף, יש לציין מטרה ברורה ומדויקת לאיסוף המידע בכל שלב.
3. לקבלת הסכמה מדעת לעיבוד מידע, יש לכלול תיאור מפורט של אופן פעילות המערכת, סוג המידע הנאסף וכן הסיכונים הנובעים מהשימוש במידע. עיבוד המידע צריך לעמוד גם בעיקרון המידתיות.
4. כריית מידע אישי מהאינטרנט לצורך אימון מודלים דורשת הסכמה מדעת מנושא המידע. לדוגמה, שימוש בתמונה מפרופיל פייסבוק ללא הסכמת האדם המצולם מהווה הפרה של החוק.
5. פלטפורמות לשיתוף מידע אישי באינטרנט (כמו רשתות חברתיות) חייבות לנקוט צעדים למניעת כרייה אסורה של מידע אישי. כריית מידע אישי באופן אסור נחשבת "אירוע אבטחה חמור" שיש לדווח עליו לרשות להגנת הפרטיות.
6. הזכות לעיון ותיקון מידע של נושאי מידע עשויה לחול גם על תיקון האלגוריתם שהפיק את המידע. לגבי מידע שמקורו באיחוד האירופי, על בעל השליטה להפעיל מנגנון יזום כדי להבטיח את נכונות, שלמות, בהירות ועדכניות המידע במאגר, גם בשלבי האימון.
7. בשל הסיכון המשמעותי לפרטיות בשימוש במערכות בינה מלאכותית, הרשות מתכוונת להקפיד על אכיפת חובת מינוי ממונה על הגנת הפרטיות. ממונה זה נתפס כגורם המיומן ביותר לטפל בסוגיות אלו בארגון. בנוסף, הרשות תמשיך לקדם את מתודולוגיית תסקיר השפעה על הפרטיות (שעריכתו מומלצת מזה מספר שנים).
8. יתכנו מאגרי מידע שיסווגו ברמת אבטחה גבוהה עקב השימוש בהם במערכות בינה מלאכותית בעלות סיכון גבוה.
9. בעת יישום תקנות אבטחת מידע, יש להביא בחשבון את מכלול הסיכונים הייחודיים הנובעים משימוש במערכות בינה מלאכותית. סיכונים אלו צריכים להשתקף במסמכי המאגרים, בסקרי הסיכונים, במבדקי חדירה, בניטור שוטף, בבדיקות עודף מידע, בסיכוני דליפת מידע, במתן הרשאות לעובדים, בהדרכות ובהנחיות לשימוש במערכות אלו ועוד.

גילוי דעת בנושא הסכמה בדיני הגנת הפרטיות

בגילוי דעת זה מציגה הרשות להגנת הפרטיות את עמדתה בעניין יישום עיקרון ההסכמה בראי המציאות הדיגיטלית המתפתחת וביחס לתחולת חוק הגנת הפרטיות.

עיקרי גילוי הדעת:

1. תוכן הבקשה לקבלת הסכמה מדעת – תוכן הסכמה צריך להיות ברור, בולט נגיש ומובן. בנסיבות מורכבות כגון שימוש בטכנולוגיה חדשה בעלת השלכות לא ידועות או כאשר מדובר בפעולה בעלת פוטנציאל פגיעה קשה בפרטיות – חובה זו מוגברת.
2. רצון חופשי, פערי כח והסכמה "חשודה" – במקרים בהם קיים חשש שההסכמה ניתנה באופן חשוד, נטל ההוכחה לעצם ההסכמה עשוי להיות מוטל על כתפי מבקש ההסכמה. לשם בחינת ההסכמה יבדקו, בין השאר: נסיבות מתן ההסכמה, מועדה, אופן הצגת בקשת ההסכמה, זהות הצדדים ויחסי הכוחות ביניהם.
3. אופן קבלת ההסכמה – מתן הסכמה בעל פה היא עניין טעון הוכחה, ולכן תמיד עדיף לתעד אותה. במקרים בהם נדרשת הסכמה לצרכי "פרופיילינג" שאינו קשור ישירות למטרת השירות בין צדדים שביניהם יש פערי כח – לא ניתן בכל מקרה להסתפק בהסכמה פסיבית.
4. עיבוד מידע ללא הסכמה – מי שפוגע בפרטיות ומבקש להסתמך על ההגנות שמעניק החוק, צריך לעמוד בעיקרון המידתיות כגון שקבלת הסכמה לא הייתה אפשרית בנסיבות העניין.
5. חזרה מהסכמה – כאשר אדם מבקש לחזור בו מהסכמתו, שהתקבלה כדין, יש לבחון זאת בחיוב, בעיקר אם המשך השימוש במידע יפגע קשות בפרטיות המבקש.

חיילים נשפטו בגין הפרת פרטיות תוך שימוש במחשבי צה"ל

כ- 400 חיילים נשפטו על הפרת פרטיות לאחר שחיפשו פרטים אישיים על פוליטיקאים ומפורסמים אחרים במחשבי צה"ל. מדובר על חיילים המשרתים בתפקידי כח אדם המחזיקים בהרשאות מתאימות, והם נתפסו לאחר שנערך סביבם מעקב. 

באכ"א הקימו לאחרונה מחלקה חדשה שאחראית על הטמעת המדיניות בכל הקשור להגנת הפרטיות בצבא.

אנו מזכירים כי סעיף 7(ג) לתקנות אבטחת המידע קובע בעל שליטה במאגר מידע יקיים פעילות הדרכה תקופתית לבעלי הרשאות שלו, בדבר מסמך הגדרות המאגר, נוהל האבטחה והוראות אבטחת המידע לפי החוק ולפי תקנות אלה, בהיקף הנדרש לצורך ביצוע תפקידיהם, ובדבר חובות בעלי ההרשאות לפיהם.

חשיפת פרצת אבטחה חמורה בממשק חלוקת הטבות למשרתי צה"ל

עיתנואי דה-מרקר, רן בר זיק, חשף פרצת אבטחה חמורה מאוד הקשורה לשיתוף פעולה בין צה"ל לבין מערכת רכישת כרטיסים בשם טיקצ'אק. הפרצה כללה אפשרות גישה למאגר מידע עם פרטים אישיים על כל אנשי הקבע בצה"ל, כולל הבכירים ביותר.מקור הבעיה היה אופן הגישה למערכת טיקצ'אק; במקום הרשמה מסודרת עם סיסמה, אנשי הקבע נדרשו רק להכניס את מספר תעודת הזהות שלה כדי להיכנס לאזור האישי.מכיוון שמערכת טיקצ'אק הכילה את כל מספרי תעודות הזהות של אנשי הקבע, כל מי שהזין מספר תעודת זהות תקין קיבל גישה. באזור האישי, ניתן היה למצוא פרטים אישיים נוספים כמו שם מלא ומספר טלפון. דליפה כזו של מידע ביטחוני רגיש נחשבת מסוכנת וחמורה.

שופט הורה להעביר פרטי סטודנטים כדי לאתר חשוד

חשד שהתעורר לפיו, לכאורה,  אחד הסטודנטים פגע במכתזית בזמן הפגנה נגד הממשלה, הוביל לצו המחייב את האוניברסיטה העברית למסור למשטרה תמונות ונתונים אישיים של מאות סטודנטים.

לאוניברסיטה לא נמסר כל נימוק המסביר לשם מה נדרש המידע, ובשל כך היא הגישה ערר בטוענה כי הצו גורף ובלתי מידתי.

החלטה טרם נמסרה.

מפעילות תחבורה ציבורית מבקשות לאפשר שימוש בנתוני הרב קו לבירור תלונות

תשע מחברות התחבורה הציבורית הגדולות בישראל הגישו עתירה מינהלית לבית המשפט המחוזי בירושלים נגד משרד התחבורה והרשות להגנת הפרטיות. העותרות ביקשו לבטל את החלטת משרד התחבורה, שאוסרת עליהן לעשות שימוש בנתוני נוסעים מהכרטיס החכם ("רב-קו"), לצורך בירור תלונות של לקוחות או התגוננות מפני תביעות משפטיות.

העותרות טוענות, כי לא נעשה שימוש בשמות הנוסעים, מספרי תעודת זהות, כתובות הנוסעים או כל מידע מזהה אחר אלא בפרטי נסיעה נקודתיים. לא כל שכן - כל נוסע שמפיק כרטיס רב-קו אישי מאשר מראש את הסכמתו לשימוש כזה, שנחשב חלק בלתי נפרד ממתן השירות.

משרד התחבורה טוען מנגד, כי שימוש בנתוני הרב קו לצורך התגוננות משפטית הינו צורך פרטי של העותרות, אשר אינו עומד בהנחיות הרשות ואינו נמנה בין המטרות לאיסוף המידע.

העתירה טרם התבררה.

רשות המיסים גילתה עובד שפלש למאות תיקים ושתקה

עובד ותיק שמילא בעבר תפקידים בכירים ברשות נהג במשך שנים להוציא ממחשביה מידע אסור ולהעבירו לידי גורמים פרטיים. ברשות המיסים התספקו בפיטוריו ולא עירבו את המשטרה.

הגנת הפרטיות בעולם

מנכ"ל חברת אבטחת סייבר נעצר בגין התקנת תוכנה זדונית במחשבי בית חולים

ראש חברת Veritaco שבסיסה באוקלהומה עומד כעת בפני שני סעיפי אישום פליליים במסגרת חוק פשעי מחשב לאחר שנתפס בצילומי האבטחה של מתקן רפואי גדול באוקלהומה סיטי משוטט במדרונות ומנסה לגשת למשרדים שונים.לאחר שמצא שני מחשבים ללא השגחה, נטען כי התקין בהם תוכנה זדונית ששולחת צילומי מסך כל 20 דקות לכתובת IP חיצונית.תקרית זו מדגישה את החשיבות של אבטחה פיזית איתנה, בקרות גישה קפדניות, ניטור מתמיד ותהליכי סינון קפדניים עבור כל מי שבא במגע עם מערכות פנימיות - אפילו ספקים ומומחים לכאורה.תודות לפעולה מהירה של צוות בית החולים, במקרה זה - אף רישומי מטופלים לא נחשפו.

אחרי צרפת, גם איטליה חוקרת את חד קרן הישראלי- לושה

לאחר  תלונות שהתקבלו מאזרחים איטלקיים שקיבלו פניות שיווקיות או שיחות מסחריות לא רצויות בעקבות מידע שהושג משירותי לושה, הרשות האיטלקית להגנה על מידע דורשת מהחברה לפרט כמה מידע אספה על אנשים במדינה, כיצד היא אוספת מידע, והאם היא מקבלת הסכמה לאיסוף המידע מנושאי המידע.נזכיר, כי בשנת 2022 הרגולטור הצרפתי קבע, כי  לושה אינה מחויבת לעמוד בתקנות ה- GDPR מאחר והיא רשומה בארה"ב ובישראל וקהל היעד שלה אינו אירופאי. החלטה זו ספגה ביקורת קשה והיה מי שטען שההחלטה עלולה להביא לתקדים מסוכן שיפתח פתח עבור חברות לא אירופאיות לאיסוף מידע אודות אזרחים אירופאיים. בעקבות זאת פתח הרגולטור הצרפתי בחקירה חוזרת.

גוגל תשלם כ- 1.4 מיליארד דולר על פגיעה בפרטיות

גוגל הסכימה לשלם  כ- 1.4 מיליארד דולר למדינת טקסס כדי לסיים תביעות פרטיות שהוגשו נגדה, בטענה שהיא אספה מידע אישי של משתמשים ללא הסכמתם, כולל נתוני מיקום, חיפושים במצב גלישה בסתר ונתונים ביומטריים כמו טביעות קול וגיאומטריה של פנים. התביעות הוגשו ב 2022 ע"י התובע הכללי של טקסס, והן טענו כי גוגל עקפה את הגדרות הפרטיות של המשתמשים, גם כאשר הם ניסו למנוע מעקב.גוגל לא הודתה בטענות, וציינה כי מדובר בטענות ישנות וכי מאז עודכנו מדיניות המוצרים שלה. ההסכם לא מחייב את גוגל לבצע שינויים במוצריה.

ה-NIST מעדכן את מסגרת פרטיות המידע – פתוח להערות הציבור עד ליום 13/6/2025

חמש שנים לאחר שהופיעו הנחיות שיכולות לעזור לארגונים להפיק תועלת משימוש בנתונים אישיים תוך שמירה על הפרטיות, המכון הלאומי לתקנים וטכנולוגיה (NIST) ניסח גרסה חדשה של מסגרת הפרטיות של NIST שנועדה לתת מענה לצורכי ניהול סיכוני הפרטיות הנוכחיים, לשמור על התאמה למסגרת אבטחת הסייבר שעודכנה לאחרונה ולשפר את היעילות. 

עיקרי העדכון:

1. תיקונים ממוקדים בסעיף הליבה. טיוטת העדכון עורכת שינויים ממוקדים במבנה הליבה ובתוכן שלו, חלק מהשינויים שומרים על התאמה לגרסה הקודמת, מה שמאפשר שימוש משולב ויעיל בין המסגרות.
2. העברה של הנחיות השימוש של מסגרת הפרטיות לאינטרנט. מי שמחפש מדריך לשימוש במסגרת הפרטיות כעת יכול למצוא מידע זה באינטרנט . החומר המקוון בנוי כדף שאלות נפוצות אינטראקטיבי שנועד לאפשר למשתמשים למצוא תשובות במהירות. שמירה על קטע זה מקוון גם תאפשר עדכונים בזמן בתגובה לצרכי המשתמש.
3. סעיף חדש בנושא AI וניהול סיכוני פרטיות.

OWASP Top 10 עבור מודלים גדולים של שפה (LLMs)

הפרויקט OWASP Top 10 עבור יישומי מודלים לשוניים גדולים (LLMs) אשר מטרתו לחנך מפתחים, מעצבים, ארכיטקטים, מנהלים וארגונים על הסיכונים הביטחוניים הפוטנציאליים בעת פריסה וניהול של יישומים המבוססים על מודלים לשוניים גדולים ובינה מלאכותית גנרטיבית.

מטרת הפרויקט הוא להעלות מודעות לסיכונים הקשורים לשימוש במודלים לשוניים גדולים.

רשימת OWASP Top 10: מציינת את עשרת הפגיעויות הקריטיות ביותר הנמצאות ביישומים אלה, כולל:

1. השפעה פוטנציאלית: עד כמה הפגיעויות חמורות.
2. קלות ניצול: עד כמה קל לנצל את הפגיעויות.

שכיחות: עד כמה נפוצות הפגיעויות בעולם האמיתי.

הנציבות האירופאית קובעת כי אפל ומטא הפרו את חוק השווקים הדיגיטליים

הנציבות האירופית קנסה את אפל ב-500 מיליון אירו ואת מטא ב-200 מיליון אירו על הפרות של תקנות שוקי הדיגיטל (DMA):

• אפל מנעה ממפתחי אפליקציות להפנות משתמשים להצעות זולות יותר מחוץ ל-App Store, בניגוד לחובת "אנטי-סטירינג".
• מטא לא סיפקה למשתמשים אפשרות אמיתית לבחור שירות שפוגע פחות בפרטיות.

הנציבות דורשת מאפל להסיר את המגבלות ולחדול מהתנהגות דומה בעתיד.
 חקירה נוספת נגד אפל בנושא חופש בחירה נסגרה בזכות שיתוף פעולה מוקדם.

בריטניה: נציב ה- ICO פרסם הצהרה על תיק א'וקארול  (O'Carroll) נגד מטא

משרד נציב המידע של בריטניה (ICO) פרסם הצהרה בנוגע לתיק או'קרול נגד מטא, המאשר את הזכות להתנגד לשימוש במידע אישי בשיווק ישיר, הכולל פרסום ממוקד באינטרנט. בהצהרתו, קובע ה-ICO כי תקנות UK GDPR חלות על פרסום ממוקד (Targeted Advertising) באינטרנט ופרופיילינג. לשיטת ה-ICO, פרסום מקוון שמכוון לאנשים ספציפיים הוא "שיווק ישיר". ולכן, בהתבסס על כך וראיות נוספות, עמדת ה-ICO היא שמטא מעבדת את נתוני הגב' או'קארול למטרות שיווק ישיר. ומכאן, לגב' או'קארול יש זכות מוחלטת להתנגד לעיבוד זה ולפרופיילינג הנלווה לו, לפי סעיף 21(2) ו-(3) של ה-UK GDPR.

צרפת ואירופה מבטיחות להקל על הרגולציה בתחום הבינה המלאכותית

אירופה תצמצם ברגולציה כדי להקל על פריחת הבינה המלאכותית באזור, אמר נשיא צרפת עמנואל מקרון ביום שני בפסגת בינה מלאכותית בפריז, וקרא להשקעה באיחוד האירופי - וליתר דיוק בצרפת.גם מנהלת הדיגיטל של האיחוד האירופי, Henna Virkkunen, הבטיחה כי הגוש יפשט את הכללים שלו ויישם אותם בצורה ידידותית לעסקים.בעוד נשיא ארה"ב דונלד טראמפ שבר  את חומות הבטיחות של קודמו בנוגע לבינה מלאכותית כדי להגביר את התחרותיות של ארה"ב, הלחץ נבנה על האיחוד האירופי להמשיך בגישה קלה יותר לרגולציה של AI כדי לעזור להשאיר חברות אירופאיות במירוץ הטכנולוגי.

דליפת ענק בענף המלונאות: נחשף מידע של מאות מיליוני אורחים

ענקית המלונאות מריוט נקנסה ונאלצת לשפר את אבטחת המידע בעקבות שורת פרצות חמורותרשות הסחר הפדרלית בארה"ב (FTC) דרשה ממריוט אינטרנשיונל וחברת הבת סטארווד לשפר דרמטית את אמצעי אבטחת המידע שלהן בעקבות שלוש פרצות נתונים נרחבות שאירעו בין 2014 ל-2020 והשפיעו על יותר מ-344 מיליון לקוחות ברחבי העולם. ה-FTC הדגיש כי "נוהלי האבטחה הגרועים של מריוט הובילו להפרות מרובות".כחלק מההסדר, מריוט וסטארווד הסכימו ליישם תוכנית אבטחת מידע מקיפה. בנוסף, הן יאפשרו ללקוחות בארה"ב לבקש מחיקה של מידע אישי הקשור לחשבונות שלהם.מריוט גם הסכימה לשלם 52 מיליון דולר ל-49 מדינות ולמחוז קולומביה כדי ליישב טענות על נוהלי אבטחה לא נאותים, למרות שלא הודתה באחריות רשמית. אירועים אלו מדגישים את הסיכונים המשמעותיים הכרוכים בהגנה על נתוני לקוחות בתעשיית המלונאות. מריוט הצהירה כי הגנה על נתוני אורחים נותרת בראש סדר העדיפויות שלה.

יפן עוברת למתקפה: אישרה חוק "הגנת סייבר אקטיבית" להתמודדות עם איומי סייבר סיניים

גניבת מידע מהמערכות הפנימיות של ממשלות וחברות באמצעות מתקפות סייבר הפכה בשנים האחרונות לבעיה מרכזית, והחשש מפני מתקפות סייבר בעלות יכולות חדירה מתקדמות שמטרתן להשבית פונקציות של תשתיות קריטיות גובר במהירות.ממשלת יפן אישרה חקיקה דרמטית המעניקה לה סמכויות נרחבות להתמודדות עם איומי סייבר, במטרה להדביק את הפער מול ארה"ב ולהתמודד עם מתקפות סייבר סיניות גוברות, ובפרט, מתקפות סייבר חמורות שמטרתן לשבש או להרוס תשתיות קריטיות מהוות חשש ביטחוני מרכזי, שכן הן מתבצעות כדבר שבשגרה על רקע המדינה.כדי להתמודד עם מצב זה מקדמת הממשלה יוזמות לשיפור יכולות התגובה בסייבר על בסיס "אסטרטגיית הביטחון הלאומי". להלן עיקרי התכנית:

• הקמת מועצת סייבר לאומית וועדת מודיעין;
• חובת דיווח על אירועי סייבר מספקי תשתיות קריטיות;
• סמכויות חדשות לצבא להגנה על מערכות צבאיות;
• מינוי קציני מניעת נזקי סייבר עם סמכויות פעולה מיידיות.

טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.