מאמר דעה

ישראל צריכה חוק חדש שיגן על הפרטיות של כולנו

| מאת:

חוק הגנת הפרטיות המיושן לא מתייחס לאופן בו מעובד המידע הנאסף על כולנו. הצעת חוק חדשה של המכון הישראלי לדמוקרטיה יחד עם מומחים מהמגזר הפרטי, האקדמיה, החברה האזרחית והממשלה, מבקשת להתמודד עם האתגרים שמביאה עמה הטכנולוגיה

Shutterstock

הרשתות החברתיות יודעות מה אנחנו מקלידים ומוחקים עוד לפני שפרסמנו. ספקיות המייל מבטיחות שלא יקראו את תוכן המייל ואנחנו מגלים אחר כך שהן כן ממשיכות לקרוא ולתעד. משרד התחבורה מחליט לייצר מעקב אחר כל הנסיעות שלנו כתנאי לשימוש בתחבורה ציבורית. ובמשרד החינוך לא החליטו עדיין איך לשמור את הדאטה שהם אוספים על הילדים שלנו. 

זה מגיע מכל מקום, ובכל יום עולה סיפור חדש. במקום פחם - כורים מידע, ומי שברשותו מאגרי מידע, עשיר לפחות כמו מי שברשותו מאגרי נפט. עד כאן אין כל חדש. העניין הוא שדווקא בעולם הזה, אין במדינת ישראל כלים מספיק טובים להגן על הפרטיות שלנו. חוק הגנת הפרטיות נחקק בשנת 1981, עודכן לאחרונה לפני 12 שנים, והטכנולוגיה המתקדמת ביותר שהוא עוסק בה היא דיוור ישיר.

בשבועות האחרונים סיימנו, יחד עם קבוצת מומחים מן המגזר הפרטי, האקדמיה, החברה האזרחית וגם הממשלה, עבודה של שנתיים על הצעה החוק הגנת פרטיות החדש. עשינו זאת, בגלל ההבנה שהמדינה לא טיפלה בכך כראוי. בראש ובראשונה, הבנו שהחקיקה הקיימת בארץ עוסקת באיסוף המידע מצד אחד, ובפרסום שלו מצד שני אבל לא מתייחסת למה שניתן לעשות בו ולהפיק ממנו. לכן, לרשימת עילות הפגיעה בפרטיות, כגון הטרדה, צילום ברשות היחיד, פרסום מידע פרטי שעלול להשפיל או לבזות, הוספנו עילה של "עיבוד מידע אישי על אדם", שתהיה עמוד השדרה של הגנת הפרטיות במידע אישי דיגיטלי.

הצענו לבטל את חובת רישום מאגרי מידע, שהפכה לאות מתה בשל היעדר אכיפה מספקת, אבל בעיקר משום שבעולם דיגיטלי היא מטילה נטל בלתי סביר על כל אדם המחזיק רשימת שמות של לקוחות, צרכנים, או משתמשים בשירות שהוא נותן. מנגד, הרחבנו את החובות של מי שמעבד מידע עלינו, למשל בהיבטים של אבטחת מידע, חובת תיעוד אירועי אבטחה וחובה להבטיח הטמעת אמצעי הגנה על פרטיות, כבר בשלבי התכנון והפיתוח של מערכות לעיבוד מידע. במקביל טיפלנו גם בעיבוד מידע על קטינים וגם על קשישים.

כדי להתמודד עם ענקיות הטכנולוגיה והחובות שלהן כלפינו, הוספנו הסדר הקובע כי הוראות החוק חלות גם על חברות הנמצאות מחוץ לישראל, אם הן מעבדות מידע אישי על ישראלים. קבענו חובה על חברה שמעבדת מידע על יותר ממספר מסוים של ישראלים, להקים נציגות בארץ. מנגד, כדי להתמודד עם המדינה והחשש מפני האח הגדול, הצענו לבטל את הפטור הגורף הקיים היום לכוחות הביטחון מאחריות על פגיעה בפרטיות, ולחייב חקיקה ספציפית לפעולות שאותן הם מבקשים לנקוט, כמו למשל עיבוד מידע אישי לצורך חיזוי פשיעה.

הבנו, שתגובת הנגד הטבעית לאיגום רחב ההיקף של מידע פרטי צריכה להיות שכלול השליטה שלנו במידע אודותינו. ואמנם, יצרנו אגד של זכויות שליטה במידע אישי שלא קיימות היום בישראל באופן מספק, ובכלל זה הזכות לעיין במידע, הזכות לקבל הסבר כאשר עיבוד המידע נעשה על ידי מכונות, הזכות לנייד מידע מחברה לחברה, והזכות להישכח ולהימחק ממאגרים. במקביל הוספנו חובת לתת הודעה לנושאי מידע בעניין זכויותיהם.

כל זה טוב ויפה. הבעיה היא שקשה לתת הסכמה לפגיעה בפרטיות בעולם שבו מידע מעובד במגוון של דרכים ולמטרות שאת חלקן אי אפשר לצפות מראש בעת ההסכמה. רובנו גם ממילא לא קוראים את תנאי השימוש.. לכן, בניסוח הצעת החוק יצרנו, בדומה לחקיקה האירופית, "בסיסים לגיטימיים" לפגיעה בפרטיות, שההסכמה היא אחת מהן, אך האחרונה שבהן.

יותר מזה, אנחנו יודעים היום שהיכולת לעבד מידע אישי כדי לבנות פרופילים אישיותיים, פסיכולוגיים והתנהגותיים מדויקים מאוד באמצעות ניתוח על ידי מכונות לומדות, היא האתגר הגדול שאיתו נצטרך להתמודד בשנים הקרובות. כאשר ניתן להסיק מהתנהגות ברשתות חברתיות תובנות בנוגע לנטיות רגשיות, וממצלמות רחוב ניתן ללמוד על אנומליות התנהגותיות ויכולות בינאישיות- הרי שזיהוי אנשים שפגיעים לשינוי דעה, התמקדות אישית וחודרנית בהם ויצירת פרופילים התנהגותיים ורגשיים לצורכי מכירת מוצרים והשפעה על בחירות–  הם חלק חשוב מהסיפור של התקופה הזאת.

לכן, הצעת החוק החדשה משקפת את התובנה שלפיה הזכות לפרטיות לא יכולה עוד להיות רק זכותו האינדיבידואלית של כל פרט לשליטה על המידע אודותיו, אלא יש לה היבטים חברתיים רחבים. ללא פרטיות אין משמעות למימושו של הליך דמוקרטי תקין המבוסס על בחירה חופשית.

באופן מעניין, לצורך הדחוף בחוק פרטיות חדש שותפים, בצירוף אינטרסים ייחודי, ארגוני זכויות האדם מצד אחד, והמגזר הפרטי ובראשו תעשיית הטכנולוגיה מצד שני. זאת, מפני שבשנת  2011 זכתה מדינת ישראל להכרה בדבר תאימות הדין הישראלי למשטר הגנת הפרטיות באיחוד האירופי, מה שמאפשר העברת מידע פשוטה וקלה בין האיחוד לבין חברות, ארגונים ומוסדות מחקר בישראל. יש יסוד להניח שההכרה הזאת תישלל בשנת 2020 בגלל הפער הגדול בין תקנות הגנת המידע החדשות באירופה (ה-GDPR) לבין המצב אצלנו.

הנה משימה בוערת לכנסת ולממשלת סטארטאפ ניישן הבאות - הטמעת הצעת החוק החדשה שתיטיב עם כולנו: אזרחים וגם תעשייה.

פורסם לראשונה בדה מרקר.