פרלמנט | גליון 83

סוף פרטיות במחשבה תחילה

על הנדסת פרטיות והדרכים למימושה

| מאת:

בחברת מעקב טכנולוגיות חדשניות של מחשוב ומידע מאפשרות לאסוף מידע אישי רב על אנשים ועל קבוצות, לשמור אותו, לעבדו וליישמו לצורך שינוי התנהגות ויצירת רווח. נגד תופעות אלו עולה הצורך ליישם עקרונות של הנדסת פרטיות, כלומר, הטמעה שיטתית של פרטיות והגנת מידע מהשלבים הראשונים של פיתוח המוצר, השירות או הטכנולוגיה.

shutterstock

מהי הנדסת פרטיות?

השימוש הגובר בנתוני עתק (big data), בלימוד מכונה ובמחשוב מקיף (ubiquitous computing) – ומכאן עלייתה של חברת המעקב – נמצא בראש סדר היום הן של רשויות הגנת מידע ברחבי העולם והן של חוקרי הפרטיות באקדמיה ואנשי החברה האזרחית. בחברת מעקב זו טכנולוגיות חדשניות של מחשוב ומידע מאפשרות לאסוף מידע אישי רב על אנשים ועל קבוצות, לשמור אותו, לעבדו וליישמו לצורך שינוי התנהגות ויצירת רווח. נגד תופעות אלו עולה בשיח על הסדרת פרטיות הצורך ליישם עקרונות של הנדסת פרטיות (privacy by design) – הטמעה שיטתית של פרטיות והגנת מידע מהשלבים הראשונים של פיתוח המוצר, השירות או הטכנולוגיה.העיקרון מזוהה במידה רבה ביותר עם אן קאבוקיאן (Ann Cavoukian), מי שהייתה נציבת המידע והפרטיות של אונטריו בקנדה. ראו: Ann Cavoukian, Privacy by Design, Info. & Privacy Comm’r, 1 (2009)

מה משמעותה בפועל של הנדסת פרטיות לחברות ולארגונים? החוקרים אירה רובינשטיין (Rubinstein) ונת'נאל גוד (Good) טוענים למשל כי לו יישמה גוגל עקרונות של הנדסת פרטיות, היא הייתה מפתחת מנוע חיפוש שמאפשר חיפוש אנונימי או ריבוי פרופילים, ושירות Gmail שמפריד בין המידע בהתכתבויות של המשתמשים ובין המידע שנאסף בידי יתר השירותים שגוגל מציעה. פייסבוק, בדומה, הייתה מספקת למשתמשיה שליטה רבה יותר בשיתוף מידע כבר מהשלבים המוקדמים של פעילותה, מספקת להם זמן רב יותר להתרגל לשינויים בממשק המשתמש, ומספקת כלי ניהול לפרטיות (privacy dashboard) באופן יזום ולא בתגובה ללחץ מצד החברה האזרחית וגורמי אסדרה.Ira S. Rubinstein & Nathaniel Good, Privacy by Design: A Counterfactual Analysis of Google and Facebook Privacy Incidents, 28 Berkeley Tech. L. J. 1333 (2013)

אבל הנדסתו של מוצר לפרטיות יכולה גם לחרוג מהעולם המקוון ומהפלטפורמות הדיגיטליות אל עבר מחוזות אחרים. מערכות ממוחשבות מתוחכמות הן כבר מנת חלקם של רוב המוצרים שאנו קונים כיום או מתכננים לקנות בעתיד הקרוב. חשבו על שואב האבק הרובוטי שבביתכם. הרובוט, תוך כדי עבודתו, כבר כנראה למד בדיוק מה גודל הבית וסביר להניח שמיפה את רובו. השואב הרובוטי כבר כנראה הבין כמה נפשות יש בבית ומתי הוא מופעל אוטומטית (ולכן כנראה אין איש בבית) ומתי הוא מקבל הוראה ידנית לפעול (ואז כנראה יש מישהו בבית). ייתכן שתוך כדי הניקיון הוא גם אסף מידע על רשת האינטרנט האלחוטית הפרוסה בבית ועל מספרם של המחשבים והמכשירים המחוברים אליה, וכן על סוגיהם ומיקומיהם. ייתכן שהשואב הרובוטי כבר אסף את כל המידע הזה בבית הפרטי שלכם – אבל מה קורה למידע זה? איפה הוא נשמר? מה עושים בו? והאם מוכרים אותו לגורמים אחרים – אם לצורך מכירה של מוצרים זהים (הגרסה המקבילה, הטובה או הזולה של השואב הרובוטי), פרסומות רלוונטיות (מוצרי ניקוי משלימים לבית), אולי אפילו פרסומות שאינן קשורות בכלל לשואב האבק אלא רק רוצות להשיג את תשומת לבכם ולנסות למכור לכם מוצר שלא ידעתם שאתם צריכים? ואולי המידע דלף והגיע גם לגורמים שלישיים, שישמחו לדעת מתי אנשים אינם בביתם? הנדסת פרטיות לשואב הרובוטי יכולה לענות על רוב השאלות הללו, ואולי על כולן.

השאלות והמענה להן באמצעות הנדסת פרטיות נהיו רלוונטיות גם במסגרת החוק והאסדרה של פרטיות ומידע בישראל. הנדסת פרטיות (שלעיתים נקראת גם "עיצוב לפרטיות") כבר מוזכרת בהנחיות של הרשות להגנת הפרטיות (לשעבר רמו"ט) ובפרויקטים ציבוריים כגון מערכת הסליקה הפנסיונית, המאגר הביומטרי ומערכת הרב-קו.

מאמר זה יציע סקירה של אסדרת פרטיות בדרך של הנדסת פרטיות, יתרונותיה וחסרונותיה, אבל ראשית אסקור את העקרונות שבבסיס משטר אסדרת הפרטיות שעליהם מתבססים התומכים בהנדסת פרטיות.

עקרונות הגנת מידע

ככלל, רוב משטרי הגנת המידע בעולם מבוססים על כמה עקרונות להגנת מידע אישי שמלווים את שיח הגנת הפרטיות משנות השבעים של המאה ה-20, ואף עוגנו במסמכים בינלאומיים וזכו לשם Fair Information Practice Principles או בקצרה ה-FIPPs. כך לדוגמה הנחיות ה-OECD, שפורסמו בשנת 1980, OECD, OECD Guidelines on the protection of Privacy and Transborder Flows of Personal Data (1980); בשנת 2013 יצא עדכון לאמנה, ראו: http://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf. עוד אמנה בין-לאומית שמבססת עקרונות של FIPPs היא זו של מועצת אירופה, ראו: Council of Europe, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (Strasbourg, 28.1.1981); בשנת 2001 יצא פרוטוקול נוסף לאמנה. לפרוטוקול הנוסף, ראו: Details of Treaty No.181. קבעו שמונה עקרונות יסוד שמבססים תפיסת פרטיות ליברלית של אוטונומיה מידעית (informational self-determination).ALAN F. WESTIN, PRIVACY AND FREEDOM (1967). תפיסה זו קוראת לאפשר לפרטים לקבל החלטות לעצמם בכל הנוגע לשאלה מתי, איך ובאיזו מידה מידע עליהם יימסר לאחרים. במסגרת זו, ה-FIPPs מטילים גם חובות על הגורמים האוספים ומעבדים מידע,שמונת העקרונות הם: collection limitation; data quality principle; purpose specification; use limitation principle; security safeguards; openness principle; individual participation principle; and accountability  לרבות הודעה (בהתאם לנסיבות) למושא המידע על איסוף ועיבוד המידע, אחריותיות, עיקרון של צמידות מטרה בין הסכמתו הראשונית של מושא המידע למטרות של איסוף ועיבוד המידע, חובת סודיות וחובת אבטחת מידע. שתי החובות האחרונות מבטיחות שאף גורם אחר לא יפגע ביכולתו של מושא המידע לשלוט במידע עליו, אם ברשלנות ואם בכוונה.מיכאל בירנהק, "חשיפה מקוונת וחשיפה משפטית: על פרטיות ופומביות של פסקי דין ברשת" משפטים 48, בעמ' 50 (2019). למעשה, ה-FIPPs הוא דוגמה מובהקת לאסדרה מבוססת עקרונות (principles-based regulation). בהתאם לשיטת אסדרה זו, קובעי המדיניות מגדירים עקרונות מסגרת ליישום מדיניות, ובכך מאפשרים למדינות ולארגונים גמישות ביישום של העקרונות לתוך הפרקטיקות, השירותים והטכנולוגיות שלהם תוך כדי הישארות במסגרת הנורמטיבית שקבעו העקרונות.

עקרונות הנדסת הפרטיות

בדומה לאסדרה המבוססת עקרונות שהוצגה לעיל, פועל גם העיקרון של הנדסת פרטיות. בשנת 2010, בכנס הבין-לאומי של נציבי הפרטיות והגנת המידע שהתקיים בירושלים, הכירו הנציבים בהנדסת פרטיות בתור חלק אינטגרלי ממשטרי הגנת המידע שעליהם הם מפקחים.Resolution on Privacy by Design (32nd International Conference of Data Protection and Privacy Commissioners, 2010) למעשה, החלטת ירושלים כוללת שבעה עקרונות מדיניות, שחלקם מבוססים על עקרונות ה-FIPPs ואחרים מוסיפים עליהם. העקרונות קוראים (1) להטמיע פרטיות באופן פרואקטיבי; (2) להגדירה כברירת המחדל בארגונים; (3) להטמיע אותה בעיצוב, בארכיטקטורה של הטכנולוגיה ובפרקטיקה העסקית באופן שאינו מוסף למוצר כתוסף, אלא בנוי כחלק הכרחי של המערכת; (4) להטמיע אותה באופן ששומר באופן מוחלט על הפונקציונליות המלאה של המוצר, השירות או הטכנולוגיה; (5) לשמור על אבטחת מידע מקצה אל קצה (end-to end security); (6) לשמור על שקיפות ועל נראות כחלק מיצירת אחריותיות ואמון; (7) לכבד את הפרטיות של המשתמש ואת האינטרסים שלו.

הערכה של עקרונות הנדסת הפרטיות

העקרונות של הנדסת הפרטיות מבקשים מצד אחד להתגבר על חיסרון בולט בעקרונות הגנת מידע אישי (FIPPs) – חיסרון שמקורו בהיותם של עקרונות אלה תוצר של עידן שבו רק ממשלות ותאגידי ענק יכלו לאסוף מידע אישי, ומידע זה יועד ברובו לשימוש פנימי בארגון או בתאגיד. כתוצאה מכך עקרונות הגנת מידע אישי (FIPPs) לא צפו עידן שבו חברות, בין היתר, מלמדות אלגוריתמים לאסוף ולעבד בעצמם מידע, מקימות פלטפורמות הבנויות על יכולתם של משתמשים לשתף מידע עם משתמשים אחרים, ומתבססות על מודל כלכלי שנשען על עיבוד המידע ששיתפו המשתמשים ומכירתו לגורמים עסקיים אחרים למשל לצורך פרסום ממוקד.

מצד שני, בדומה לעקרונות הגנת מידע אישי (FIPPs), גם בעקרונות של הנדסת פרטיות אפשר לזהות את החסרונות של שיטת אסדרה זו. כשקיבלו נציבי הפרטיות והגנת המידע את החלטת ירושלים, הם לא רק קבעו עקרונות מסגרת, אלא גם בחרו להסדיר התנהגויות על ידי הגדרת חובות וכללים מופשטים. בכך למעשה נמנעו נציבי הפרטיות והגנת המידע – הפועלים כקובעי מדיניות למשטרי הגנת המידע שעליהם הם ממונים – מלהגדיר למושאי האסדרה שלהם אילו אמצעים ואילו תהליכים עליהם ליישם בפעילותם היומיומית. בכך מושאי האסדרה – שבחוקי הגנת המידע מוגדרים באופן נרחב כאלה הכוללים כמעט כל גורם שמחליט לעניין מטרות או אמצעי עיבוד המידע – יכולים למצוא את עצמם מתקשים ליישם את המדיניות ומסתכנים בהפרת העקרונות, אלא אם ישקיעו מאמצים וכסף רב בגילוי ובמניעת סיכונים למידע האישי.

יישום של עקרונות הנדסת הפרטיות

כיצד אפוא על מושאי האסדרה לפעול כשהם נדרשים ליישם את עקרונות הנדסת פרטיות? במידה מסוימת קובעי המדיניות האירופאיים שחוקקו את התקנות הכלליות בדבר הגנת מידע (GDPR – General Data Protection Regulation) – חקיקת הגנת המידע האירופית שנכנסה לתוקף בשנת 2018 – התמודדו עם קושי זה.Regulation 2016/679 of the European Parliament and of the Council on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Advancement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation), 2016 O.J. L 119/1 (להלן: ה-GDPR). ראו גם רחל ארידור, "החידושים העיקריים בתקנות הכלליות של האיחוד האירופי בדבר הגנת מידע (GDPR)", פרלמנט 83 (גיליון זה) (2019). קובעי המדיניות האירופיים בחרו ליישם את העיקרון של הנדסת פרטיות בדרך של אסדרת תהליכים ואסדרה דרך גורמי ההנהלה בארגונים – בחירה בכלי מדיניות שדורשים מהמנהלים של מושאי האסדרה לפתח תוכניות ארגוניות שיישמו את המטרות ואת עקרונות המדיניות – במקרה זה פרטיות והגנת מידע.

התקנות הכלליות בדבר הגנת מידע (GDPR) מציינות בין היתר כי על מנהל המאגר (האחראי לעיבוד המידע, ה-controller) להשתמש באמצעים טכניים וארגוניים (technical and organizational measures),ראו סעיף 25 ל-GDPR. במטרה ליישם באפקטיביות את העקרונות של הגנת מידע ולהטמיע את ההגנות הנדרשות לתוך תהליכי עיבוד המידע. יישום זה צריך להיות בהתאם לטיב, להיקף, למטרות ולהקשר של עיבוד המידע, לרבות הסיכון לפגיעה בזכויות ובחירויות של פרטים. כמו כן, את היישום יש לבצע הן בשלב קביעת האמצעים לעיבוד המידע (שלב תכנון הפעילות) והן בשלב עיבוד המידע בפועל.

נוסף על הצורך להנדס לפרטיות, בתקנות הכלליות בדבר הגנת מידע (GDPR) מופיעה פעמים נוספות הדרישה ליישם אמצעים טכניים וארגוניים, בין היתר בהקשר של החובות הכלליות המוטלות על מושאי האסדרה לעבד מידע בהתאם לתקנות; הצורך ליישם אמצעים של אבטחת מידע; והשיקולים שעל רשויות הגנת המידע לשקול בעת הטלת קנס מינהלי.ראו למשל סעיף 24 (חובות כלליות של מנהל המאגר), סעיף 28 (הדרישות ממחזיק המאגר), סעיף 30 (חובות תיעוד פעולות עיבוד המידע), סעיף 32 (אבטחת מידע), וסעיף 83 ל-GDPR (התנאים להטלת קנס מינהלי וגובהו). מכאן שהצורך ליישם אמצעים טכניים וארגוניים חורג ממסגרת הדרישה להנדס לפרטיות, ומשפיע על כלל הפעולות של עיבוד מידע שהתקנות הכלליות (GDPR) מחייבות ועל הקנסות שיכולים להיות מוטלים על מושאי האסדרה.יש לציין כי הספרות האקדמית על פרטיות מפתחת גישות שמשלבות בין ההיבט הטכני להיבט הארגוני. כך למשל דיידרה מוליגן (Mulligan) וג'ניפר קינג (King) מציעות להנדסת פרטיות גישה מעורבת שמבוססת על תובנות בדבר פרטיות הקשרית (contextual privacy), אינטראקציית בין אדם למחשב (human computer interaction), ועיצוב רגיש ערכים (value sensitive design), ראו Deidre K. Mulligan & Jennifer King, Bridging the Gap between Privacy and Design, 14 J. OF CONST. L. 989 (2012)

אך מה הם אותם אמצעים טכניים וארגוניים שיש ליישם בהקשר של הנדסת פרטיות? הפסקאות הבאות דנות בשני סוגי האמצעים: אמצעים טכניים שמוכרים יותר כטכנולוגיות מקדמות פרטיות (Privacy Enhancing Technologies או בקצרה PETs), ואמצעים שמכוונים לתהליכים ארגוניים שעל מושאי האסדרה ליישם בארגונים.

א. טכנולוגיות מקדמות פרטיות

רבים נוטים לראות בטכנולוגיות המקדמות פרטיות את הפתרונות המובילים למימוש העקרונות של הנדסת פרטיות. ואולם אין הדבר כך, ולכן יש לעמוד על ההבדלים בין טכנולוגיות מקדמות פרטיות ובין הנדסת פרטיות. ראשית, טכנולוגיות מקדמות פרטיות הן יישומים או כלים שלהם מטרות ברורות המתייחסות להיבט יחיד של פרטיות כגון אנונימיות, פסידו-אנונימיזציה, סודיות או היבטים של שליטה במידע. שנית, אף שנציבי הפרטיות והגנת המידע אימצו את הנדסת הפרטיות רק לאחרונה ככלי מדיניות להגנת מידע, את הטכנולוגיות המקדמות פרטיות אפשר למצוא במסמכי מדיניות כבר מאמצע שנות התשעים – ולכן אלה נהנים מפיתוח מחקרי, טכנולוגי ואקדמי שלא תמיד קיים בהנדסת פרטיות. שלישית, בניגוד להנדסת פרטיות, שבדרך כלל מסמלת גישה מערכתית להנדסה של טכנולוגיות מידע תוך כדי הטמעה מראש של הפרטיות לתוך ההגדרות או הארכיטקטורה של הטכנולוגיה, טכנולוגיות המקדמות פרטיות יכולות להתווסף למערכת קיימת גם כטלאי. בכך אפשר להבין תובנה חשובה על הנדסת פרטיות – אף שמושאי האסדרה או יוצרי הטכנולוגיה יכולים לכנות הוספה של אמצעי אבטחה, מערכות הצפנה וקריפטוגרפיה כטלאי על מערכת "מוכנה" בשם "הנדסת פרטיות", זו אינה הנדסת פרטיות כהגדרתה של מדיניות הגנת המידע, שכן היא אינה מטמיעה את הפרטיות בתוך הטכנולוגיה על כלל שלבי הפיתוח.

אפשר לזהות שני סוגים של טכנולוגיות מקדמות פרטיות: תחליפיות ומשלימות. טכנולוגיות מקדמות פרטיות תחליפיות בנויות לעיתים על העיקרון שמידע שאינו מזוהה עם אדם ספציפי, אינו כפוף לאסדרה, ולעיתים עם תפיסה רעיונית בדבר מגבלות האסדרה, ובמקומה התמקדות בפעילות מונעת של איסוף מידע אישי. במילים אחרות, הטכנולוגיות מקדמות הפרטיות התחליפיות בנויות על צמצום הזיהוי של מידע אישי או מתבססות על אנונימיות כדי להגן על המשתמשים או לצמצם את הזיהוי שלהם. דוגמאות בולטות של טכנולוגיות מקדמות פרטיות תחליפיות הן כלים ושירותים שמאפשרים גלישה אנונימית, שימוש בדפדפן TORדפדפן TOR (קיצור של The Onion Router) הוא דפדפן המנתב את תקשורת האינטרנט באופן מוצפן ואנונימי בין שרתי רשת ה-TOR המפוזרים על גבי רשת האינטרנט (במקום יצירה של תקשורת ישירה). במעבר בין שרת לשרת מוסרת שכבת הצפנה אחת, באופן שבו עדיין נמנע הזיהוי של מקור המידע, תוכנו ויעדו (פרט לצומתי הכניסה לרשת וליציאה ממנה). לפירוט נרחב, ראו: About Tor (TOR). ובדואר אלקטרוני מוצפן. רבות מהטכנולוגיות המקדמות פרטיות התחליפיות הללו מיישמים בסופו של דבר משתמשי הקצה, והן דורשות מחקר, תחזוקה ותמיכה מתמשכים.

טכנולוגיות מקדמות פרטיות משלימות, לעומת זה, מיישמות את עקרונות הפרטיות או דרישות משפטיות אחרות במטרה להבטיח עמידה בדרישות האסדרה או לשם הצגת חזות של התחייבות לפרטיות. בהתאם, המטרה של טכנולוגיות מקדמות פרטיות אלה אינה לצמצם את איסוף המידע, אלא לצמצם את הסיכון לפגיעה בצרכנים על ידי איסוף ועיבוד מידע מתוך עמידה בעקרונות הגנת מידע אישי (FIPPs), שבבסיס משטר האסדרה. אף שאת אחדות מהטכנולוגיות המקדמות פרטיות המשלימות מיישם הלקוח (front end), מתוך מתן שליטה מוגברת למשתמשים – למשל דרך שיפור מערכות הודעה והסכמה וכלי ניהול לפרטיות; טכנולוגיות מקדמות פרטיות משלימות אחרות יכולות לפעול בצד השרת של המערכת (back-end) ובתשתית הרשת בתצורה של מערכות ניהול פרטיות, הרשאות גישה ומדיניות פרטיות ארגונית.

באופן שמזכיר במקצת את הטכנולוגיות התחליפיות, הטכנולוגיות המקדמות פרטיות המשלימות יכולות להשתמש בפרוטוקולי הצפנה בפעילות בצד השרת. יישום של אמצעים כאלה מאפשר מצד אחד לארגונים ולרשויות המדינה לעבד מידע בהיקפים שונים, ומצד שני לעמוד בדרישות משפטיות להגנה על פרטיות.Ira S. Rubinstein, Regulating Privacy by Design, 26 BERKLEY TECH. L. J. 1409, 1415-1419 (2011) אפשרות זו, יש לציין, יכולה להעלות ביקורת שכן אמצעים טכנולוגיים אלה למעשה מאפשרים לגופי המדינה ולארגונים פרטיים לאסוף ולעבד מידע אישי יותר ממה שאפשר היה לעשות בלעדיהם.

ב. אמצעים ארגוניים להגנת מידע

לצד הצורך לאמץ אמצעים טכניים, גורמי אסדרה שונים אימצו ושילבו גם כמה אמצעים ארגוניים כחלק ממדיניות של הנדסת פרטיות:בשנים האחרונות החלו כמה חוקרים לעסוק יותר ויותר בפרקטיקות שארגונים מאמצים כחלק ממדיניות הפרטיות הארגונית ובתפיסות של אורגנים בתוך הארגון שנדרשים ליישם או לתווך מדיניות פרטיות. ראו למשל:KENNETH A. BAMBERGER & DEIRDRE K. MULLIGAN, PRIVACY ON THE GROUND: DRIVING CORPORATE BEHAVIOR IN THE UNITED STATES AND EUROPE (2015); Kenneth A. Bamberger & Deirdre K. Mulligan, Privacy in Europe : Initial Data on Governance Choices and Corporate Practices, 81 GEO. WASH. L. REV. 1529 (2013); Kenneth A. Bamberger & Deirdre K. Mulligan, Privacy on the Books and on the Ground, 63 STAN. L. REV. 247 (2011); Ari E. Waldman, Designing without Privacy, 55 HUSTON L. REV. 659 (2018); Ayalon et al., How Developers Make Design Decisions about Users’ Privacy: The Place of Professional Communities and Organizational Climate, CSCW ’17 COMPANION (2017)

  • ביצוע סקר השפעה על הפרטיות (data protection impact assessment) – סקר שיטתי להערכת סיכוני הפרטיות הנובעים מעיבוד מידע ושימוש בטכנולוגיות חדשות. משזוהו הסיכונים לאחר ביצוע סקר ההשפעה, יש להציע דרכים למזער את הפגיעה.
  • הגנה מפני פריצות למידע (data breach). להגנה זו שני היבטים: ראשית – זיהוי תהליכים ארגוניים ויישום אמצעים טכניים שאמורים לזהות סיכונים ולמנוע פרצות; שנית – משזוהתה פריצה, על הארגון להעריך אם כתוצאה ממנה יש חשש לפגיעה בזכויות ובחירויות של מושאי המידע. הערכה זו יכולה להשליך על חובת הדיווח לרשויות הגנת המידע ולמושאי המידע.
  • מינוי של ממוני הגנת מידע וקציני פרטיות. תפקידם של בעלי תפקידים אלה לפקח על הארגון ולהנחות אותו בכל הנוגע ליישום העקרונות של הגנת מידע וכן לסייע בפתרון השאלות האתיות, המשפטיות והרגולטוריות העולות תוך כדי פעילותו. כך למשל, התקנות הכלליות של האיחוד האירופי בדבר הגנת מידע (GDPR) מטילות בין היתר על ממוני הגנת המידע להכשיר עובדים בתחום של הגנת מידע ופרטיות, וכן לפקח על ביצוע סקר הסיכונים. אורגנים אלו לעיתים אחראים גם על תיעוד הפעילות הארגונית בהקשר של הגנת מידע ועל שמירת הקשר עם רשויות הגנת המידע ומושאי המידע.

מדיניות הנדסת הפרטיות מטילה איפוא על הארגונים את האחריות לשלב וליישם אמצעים טכניים וארגוניים לשם מימושה. אך מהם הטעמים להעברת שיקול הדעת והאחריות להטמעת האמצעים להגנת הפרטיות לידי הארגונים ומהן ההשלכות של צעד זה? לשם כך עלינו לבחון ראשית את אתגרי האסדרה בשוקים מבוססי מידע.

הנדסת פרטיות כתהליך בשוק שכולל פערי מידע בין שחקנים

בעקבות הפיכתו של המידע למשאב עיקרי של הייצור – כזה שהשבועון אקונומיסט ואחרים כינו "הנפט החדש"The Economist, The World’s Most Valuable Resource is no Longer Oil, but Data (2017) – השווקים הכפופים למשטרים של אסדרת פרטיות והגנת מידע, בפרט משטר ההגנה האירופי, נעשים הטרוגניים יותר ויותר. אלה כוללים כיום גורמים שעוסקים במידע פיננסי, בנקאי, רפואי וגנטי, וכן חברות שמפתחות פלטפורמות אינטרנט, טכנולוגיות מידע חדשניות, ובעתיד באופן מובהק יותר תופעות חברתיות וכלכליות כמו העיר החכמה ו"האינטרנט של הדברים".קיימות מספר הגדרות לתופעה של האינטרנט של הדברים. ה- Internet Architecture Board, למשל, מגדיר את האינטרנט של הדברים כטרנד בו מספר רב של מכשירים משובצים (Embedded devices) מפעילים תקשורת על בסיס פרוטוקולי אינטרנט. מרביתם של המכשירים החכמים הללו אינם מופעלים על ידי בני אדם. המכשירים מותקנים או משתלבים כרכיבים בבניינים, בכלי רכב, או שהם מפוזרים בסביבה. ראו: Internet Architecture Board (2015). RFC 7452, “Architectural Considerations in Smart Object Networking”. Retrieved from: https://tools.ietf.org/html/rfc7452.

בשל ההטרוגניות של השחקנים הפועלים בכל שוק ושוק, עם הזמן יתקשו קובעי המדיניות והרשויות להגנת המידע לקבוע כללים אחידים לכולם. לכן יש יתרון בהעברת שיקול הדעת לגורמים המכירים היטב ומקרוב את הסיכונים, ובחיוב שלהם ליישם תהליכים בהתאם לנסיבותיהם שלהם – תוך כדי הדרכתם אילו תהליכים עליהם ליישם ולמה עליהם לשים לב.ניתן לזהות גורמים נוספים אשר יכולים להשפיע על הבחירה להעביר את שיקול הדעת לשחקנים המכירים טוב ומקרוב את הסיכונים, לרבות כוחם הפוליטי של חברות האינטרנט, ההגנה המשפטית הרחבה הניתנת לקוד התכנות ולאלגוריתם של החברות במסגרת הגנת הסוד המסחרי, והעובדה כי מושאי האסדרה אינם נדרשים לעמידה בביצועים מדידים. להסבר כללי על העברת שיקול הדעת למנהלים והסדרה מבוססת תהליכים ראו: Cary Coglianese & David Lazer, Management-Based Regulation: Prescribing Private Management to Achieve Public Goals, 37 SOURCE LAW SOC. REV. 691 (2003); Sharon Gilad, It Runs in the Family: Meta-Regulation and its Siblings, 4 REGUL. & GOV. 485 (2010) הטלת שיקול דעת על גורמים פרטיים בנוגע להסדרת פרטיות בכלל וליישום של הנדסת פרטיות בפרט אינה פשוטה מבחינת מדיניות ציבורית, אבל כשניגשים לשקול את רמת הגנת המידע של שירותים וטכנולוגיות המוצעות לצרכנים, לא כל שכן כשמתגלה שאלה לא עמדו בתקן הנדרש, יש לקחת אותה ואת הגמישות בהתאם לנסיבות שהיא מציעה בחשבון. לצד זה יש לחזק את רשויות הגנת המידע בכלי מדיניות שיאפשרו להם להכווין, לייעץ ולאכוף עמידה בתקנים שהם יקבעו.

כשהחתול שומר על השמנת: פערי המידע בין גורמי האסדרה ומושאיה

אבל מהו אותו תקן שיש לעמוד בו? למען הסר ספק, תקן זה פתוח לפרשנות ולפערי מידע בין גורמי אסדרה כמו הרשות להגנת הפרטיות בישראל ומקבילותיה בעולם, מושאי המדיניות, צרכני השירותים מוטבי האסדרה, ובשלב מסוים אולי גם בתי המשפט. כך למשל מה היה קורה אם בבדיקה שגרתית של רשויות הגנת פרטיות או כחלק מהתייעצות מוקדמת (prior consulting) יימצא פער בין הרשויות ובין מושא האסדרה אף שייתכן שלדעתם של המנהלים הם יישמו אמצעים טכניים וארגוניים מספקים, רשות הגנת המידע עשויה לחשוב שיש ליישם אמצעים בתקן גבוה יותר ובעלות כלכלית גבוהה הרבה יותר. גודל הארגון, יכולתו לעמוד בעלויות ובמשמעויות הארגוניות, או אי-יכולתו ליישם אמצעים בעלות כלכלית גבוהה יותר יכולים להיות היבט חשוב בבחירה בתקן שמיושם בשירות או בטכנולוגיה. האם במצב שבו יושמו אמצעים המצויים ביכולותיו הכלכליות של הארגון אבל אינם מספקים את רשות הגנת המידע, יש לבוא לידי המסקנה כי הדין הופר וכי הפרטיות נפגעה?

פער מידע נוסף אינו עוסק ביחסים בין גורם המאסדר ובין המנהלים, אלא בפער בתוך הארגון – בין האורגנים הממונים על התאימות לחקיקה ולאסדרה כגון עורכי דין, רואי חשבון וקציני תאימות, ובין האורגנים הממונים על ההיבטים הטכניים כגון אנשי אבטחת המידע, המתכנתים והמהנדסים. כך למשל חוקרים מזהים כי בכל הנוגע לתפיסות של פרטיות קיים הבדל בין זו של קציני הפרטיות ובין זו של מתכנתים ומהנדסים שמזהים את הפרטיות באופן צר לעיתים רק בהקשר של אבטחת מידע.ראו Waldman, Designing without Privacy , לעיל ה"ש 14. אף שתפקידם של קציני הפרטיות, בייחוד ממוני הגנת המידע, להכשיר ולפקח – פער תפיסתי ביניהם ובין המתכנתים והמהנדסים בחברה יכול להביא לידי פער ביישום של אמצעי הנדסת הפרטיות מבחינה ארגונית וטכנית.

פער מידע שלישי הוא זה שבין הארגון האוסף את המידע ובין מושאי המידע. בפרט יש לציין את העובדה כי רוב מושאי המידע אינם מודעים תמיד לכלל הסיכונים שאליהם הם חשופים כשהם מפרסמים מידע אישי או משתמשים בשירותים מקוונים.ראו Rubinstein, Regulating Privacy by Design, לעיל ה"ש 13, בעמ' 1434. כאמור, אמצעים טכנולוגיים רבים מעצימים את הפרט – טכנולוגיות מקדמות פרטיות תחליפיות כמו הדפדפן TOR או טכנולוגיות מקדמות פרטיות משלימות כמו כלי ניהול הפרטיות. ואולם בהתחשב בעובדה שלא כל מושאי המידע מודעים באותה המידה לכלים אלה, לטכנולוגיות מקדמות פרטיות משלימות שפועלות בצד השרת של המערכת, להגדרות ברירות המחדל ולדרכי יידוע המשתמשים – לכל אלה תפקיד מרכזי בהגנה על פרטיותם, ולמען הסר ספק אלה נבחרות בתהליכים הארגוניים.

סיכום

במאמר זה הוסברו בקצרה העקרונות העומדים בליבו של התחום העולה של הנדסת פרטיות, ונסקרו האמצעים שמנהלים ואורגנים בארגון נדרשים ליישם. מכיוון שהנדסת פרטיות היא אמצעי של אסדרה עצמית שארגונים מיישמים בהתאם לנסיבות הארגוניות והטכנולוגיות שלהם, אין הכוונה במאמר לטעון כי יש להעדיף אמצעי זה או אחר, אלא לסקור את סוגי האמצעים הללו ואת פערי המידע והיישום שיכולים לצוץ לאורם. כמו כן נעשה מאמץ להדגיש את ההבדל בין כל אמצעי ואמצעי ובין העיקרון השלם של הנדסת פרטיות, ולציין כי הוספת אמצעי טכנולוגי אחד או יותר כטלאי על מערכת קיימת אינו הופך את המערכת למהונדסת פרטיות. רק השילוב בין השניים – האמצעים הארגוניים מכאן האמצעים הטכניים מכאן – כבר משלב התכנון של המערכת הוא שיוצר מערכת שלמה מהונדסת פרטיות.

על קובעי המדיניות (אלה העוסקים בפרטיות באופן כללי, אבל גם אלה שעוסקים בנושא בהקשר של פרויקט יחיד כגון רב-קו, המאגר הביומטרי או המסלקה הפנסיונית), על גורמי האכיפה (ובראשם הרשות להגנת הפרטיות), על מושאי האסדרה ובהינתן הצורך גם על בתי המשפט להכיר בחשיבות השילוב של כלל האמצעים בתכנון המערכת. על גורמים אלה גם להכיר בפערי המידע הקיימים בין הגורמים השונים ולפתח כלי מדיניות להתמודד איתם. כך למשל, יש לחזק את מעמדם של השחקנים בארגונים (כמו קציני הפרטיות וממוני הגנת המידע) ולתמרץ את השימוש בשירותים ויועצים חיצוניים (כמו גופי התעדה – certifiers) בתחום הפרטיות והגנת המידע. תפקידם של אלו לסייע ולייעץ ביישום הנדסת פרטיות אל מול גורמים שיתמקדו רק בהיבטים התפקודיים או הכלכליים של המוצר. גורמים אלו פועלים בצד הארגוני של הנדסת הפרטיות, אבל כמו שעולה מהדברים שתוארו כאן, משפיעים עליה ישירות גם ביחס להיבטים הטכניים של הנדסת הפרטיות וישפיעו על השאלה האם הפרטיות תיושם בארגון באופן כללי ובמוצר או בשירות שזה מספק. על כן בהינתן שהמשמעות של הנדסת פרטיות היא הטלת יותר אחריות על המנהלים ליישם פרטיות, על קובעי המדיניות מוטלת האחריות לפתח ולחזק מדיניות שתסייע בהטמעתה.