ראיון כלכליסט
"אי אפשר להטיל איסור גורף על איסוף מידע אישי"
הלן דיקסון, רגולטורית הפרטיות האירופית, מנהלת יותר מ־20 חקירות נגד ענקיות הטכנולוגיה הבינלאומיות כשעל הכוונת שלה גם מאגרי מידע ממשלתיים וגם חברות ביטוח. בראיון לכלכליסט היא מצהירה: "העתיד הוא לא יותר פרטיות אלא יותר שליטה במידע"
במשך שנים היתה הלן דיקסון עובדת מדינה מוכשרת ומסורה שמחזיקה בתפקידים שנתפסים אפורים ולא מסעירים, כמו רשמת החברות של אירלנד. גם לפני כחמש שנים כשמונתה לנציבת הפרטיות של אירלנד, היא לא חשבה שזה עומד להשתנות. פרטיות מקוונת היתה נושא חשוב בעיניה ובעיני רבים, אך כזה שלא הסעיר יותר מדי את התקשורת, את המשתמשים ואת דעת הקהל.
אבל ב־2018 שני אירועים דרמטיים שינו את המצב. הראשון, פרשת קיימברידג' אנליטיקה שהציתה עניין גלובלי בפרטיות מקוונת ובהתנהגות של ענקיות כמו פייסבוק וגוגל בתחום. השני, כניסתן לתוקף של תקנות הפרטיות החדשות של האיחוד האירופי (GDPR), שבפועל הפכו את דיקסון לנציבת הפרטיות של כל האיחוד ולמי שמחזיקה את השוט כשמדובר בענקיות טכנולוגיה - מאפל, גוגל, פייסבוק ומיקרוסופט ועד טוויטר, דרופבוקס ורבות אחרות.
- פייסבוק מבטיחה שליברה לא יסכן את הפרטיות. מי מאמין לה?
- יוטיוב תיקנס במיליוני דולרים על שפגעה בפרטיות קטינים
- נציג פייסבוק מול הסנאט: מיזם ליברה לא יפגע בפרטיות
למעמד הנוכחי שלה כמי שמכהנת בפועל כרגולטורית הפרטיות של האיחוד האירופי הגיעה דיקסון בזכות אחד הסעיפים בתקנות GDPR. "קודם לכניסת התקנות לתוקף כל חברה גדולה כמו פייסבוק, גוגל או מיקרוסופט היתה נתונה בנפרד לסמכות של כל מדינה שבה יש לה משרד", היא אומרת בראיון מיוחד ל"כלכליסט". "רשויות הגנת המידע בכל המדינות האלו יכלו ליישם את החוקים המקומיים נגדן. GDPR קובע שהמדינה שבה נמצא המטה הראשי של החברה באירופה היא סמכות הפיקוח. ולהרבה חברות אמריקאיות יש מטות באירלנד, ולכן אנחנו הרגולטור בכל הסוגיות האלו".
למעשה, פרט לאמזון שהמטה האירופי שלה ממוקם בלוקסמבורג, אין כמעט ענקית טכנולוגיה שלא נמצאת תחת אחריותה של דיקסון. "זה אומר שיש לנו נפח עבודה עצום", היא אומרת, "הרחבנו את המשאבים שלנו משמעותית. יש לנו צוות של 140 עובדים ואנחנו מבקשים להגדיל את התקציב ואת המשאבים שלנו כדי שנוכל לגייס עוד עובדים. אנחנו מטפלים בתלונות מאנשים פרטיים מכל האיחוד האירופי, אנחנו גם פותחים חקירות סביב סוגיות גדולות יותר, ויש לנו עבודת תיאום נרחבת מול נציבי פרטיות במדינות אחרות. החלוקה לא מאוזנת, אבל זה המצב".
דיקסון לא פועלת בחלל ריק. בשנתיים האחרונות התעצמו קולות הפוליטיקאים והפעילים החברתיים שקוראים להגברת הפיקוח על חברות הטכנולוגיה. ענקיות שירותים מקוונים, בראשן אפל ואמזון, נמצאות תחת בדיקות וחקירות בארה"ב ובאירופה, על נושאים שנעים בין פרטיות וזכויות גולשים ועד להגבלים עסקיים ותחרות לא הוגנת.
שנה אחרי שקיבלה את סמכויותיה, עם 20 חקירות פעילות נגד ענקיות טכנולוגיה, דיקסון אומרת כי למרות העניין הגלובלי העצום בפרטיות, עבודתה שלה ושל רגולטורי פרטיות אחרים היא לא יותר מ"אצבע בסכר" שלא תצליח לבלום את השיטפון של שיתוף מידע אישי. "הגולשים יתפתו ליותר ויותר טכנולוגיות שעושות שימוש במידע אישי. זו לא מגמה שאפשר לעצור על ידי כך שמישהו יגיד 'אני מודאג מהפרטיות שלי'".
קנסות של עד 4% מההכנסות הגלובליות
כיום יש לישראל תאימות (Adequacy) וחפיפה מול האיחוד האירופי בכל הנוגע להגנות פרטיות. תאימות זו שניתנה ב־2011, מאפשרת לחברות ישראליות להשתמש במידע של תושבי היבשת ולמכור להם מוצרים מבוססי מידע. אולם התאימות ניתנה על בסיס חוקי הפרטיות הישנים שהיו בתוקף לפני כניסתם לתוקף בשנה שעברה של חוקי GDPR המחמירים יותר. עתה נמצאת התאימות בבחינה מחודשת כאשר יש חשש שהפער שנוצר בין החוקים החדשים באיחוד לחקיקה המיושנת שבישראל יביא לשלילתה. "אני לא יכולה להתייחס לתאימות עם ישראל באופן ישיר, אלא להגיד רק שלישראל תהיה הזדמנות לפעול מול הנציבות בכל הנוגע לשינוי חקיקה שהיא מתכננת", אמרה דיקסון ל"כלכליסט". נציבת הפרטיות השתתפה לאחרונה באירועי המכון הישראלי למדיניות טכנולוגיה בראשות לימור שמרלינג מגזניק וארגון Future of Privacy Forum האמריקאי בראשות ג'ולס פולונצקי, שהתקיימו במסגרת שבוע הסייבר באוניברסיטת תל־אביב.
כשהיא מתבקשת לסכם את השנה הראשונה של GDPR היא אומרת כי "זו היתה שנה עמוסה מאוד, אבל היה עומס גם בתקופה שלפני כניסת התקנות לתוקף. הבנו בבירור שמרגע שהחוק יאומץ נצטרך להגביר את המודעות אז התחלנו קמפיין מודעות נרחב. GDPR גם מחייב חברות להודיע לנו על כל פרצה ודליפה של מידע. קודם לכן פעלנו לפי קוד וולונטרי, ועכשיו כשזה חלק מהחוק מספר ההתרעות גדל פי שניים".
מסתבר שהפעילות שמשכה הכי הרבה עניין היא החקירות נגד ענקיות טכנולוגיה.
"יש לנו כיום 21 חקירות נגד חברות טכנולוגיה כשרבות מהן עוסקות בפייסבוק, ווטסאפ ואינסטגרם. מאפיין מרכזי של GDPR הוא מנגנוני אכיפה יעילים יותר עם אפשרות להטיל קנסות של עד 4% מההכנסות הגלובליות השנתיות של החברה. הוא גם מעניק לסוכנויות כמו שלי אפשרות להורות לחברות לבצע שינויים במדיניות ובדרכי הפעולה שלהן. מיד כשהתקנות נכנסו לתוקף עמותות שהוקמו במיוחד על מנת לקדם תלונות על הפרות שלהן הגישו לנו תלונות כבר ב־25 במאי 2018. הן אלו שדחפו אותנו לחקור את פלטפורמות הטכנולוגיה הגדולות. במקביל, החברות הודיעו לנו על פרצות משמעותיות מה שחייב אותנו לפתוח בחקירות נוספות. לגבי ווטסאפ אנחנו בודקים אם יש שיתוף מידע בינה לבין פייסבוק. פייסבוק אמרו שהם עצרו את התוכנית לשיתוף מידע באירופה עד להשלמת הדיונים עם המשרד שלי".
יש עלייה בעניין הציבורי לגבי פרטיות מקוונת. זה לא היה בעבר.
"אני מסכימה, והיו כמה דברים שהניעו את זה. קודם כל, לפרשת קיימברידג' אנליטיקה היתה השפעה גדולה על אנשים. היא לכדה את הדמיון שלהם. רק אחרי הפרשה אנשים הבינו שחברות כמו פייסבוק מנטרות אותם ואוספות מידע מפעילויות כמו סקרים, לייקים, חברים, ואז עושות שימוש במידע הזה כדי להציג להם פרסומות וסיפורים ממוקדים. הרבה אנשים לא הבינו שזה המודל העסקי. זו תוצאה חיובית אחת של קיימברידג' אנליטיקה. באיחוד האירופי התקנות החדשות והפרסום האדיר סביבן תרמו גם הם להעלאת המודעות".
היו כבר שערוריות פרטיות בעבר, מה שונה כאן?
"ההבדל הגדול הוא שהפרשה יצרה מודעות לעובדה שחברות אינטרנט ופלטפורמות מדיה חברתית יכולות להיות מעורבות בערעור הליכים דמוקרטיים ולהוות איום לדמוקרטיה בגלל מיקוד זדוני באנשים שיותר נוחים לתמרון".
למה כל כך הרבה מהחקירות שלך הן נגד פייסבוק?
"חלק מהסיבה היא שהרבה עמותות וגופים הגישו תלונה נגד פייסבוק. ולפייסבוק היו הרבה פרצות שדווחו. אנחנו חייבים לטפל בתלונות שמגיעות אלינו ואנחנו לא קבענו שמרבית התלונות קשורות לפייסבוק".
לדיקסון, שלא נוהגת למסור את גילה המדויק ואומרת בראיונות שהיא ב"שנות ה־40" לחייה, השכלה אקדמית מגוונת שכוללת תואר שני בכלכלה מיוניברסיטי קולג' דאבלין, תואר שני בממשל מקווינ'ס יוניברסיטי בלפאסט, ולימודי המשך במדעי המחשב. היא עבדה במשך כמה שנים בחברות טכנולוגיה, וב־2009 מונתה לרשמת החברות של אירלנד. באוקטובר 2014 מונתה לנציבת הפרטיות הראשונה של אירלנד, לכהונה בת חמש שנים. במאי מונתה לכהונה שנייה בת חמש שנים נוספות.
"בוחנים לעומק את ליברה של פייסבוק"
הגנת הפרטיות אינה רק נחלת הרשתות החברתיות. חברות ביטוח למשל מתחילות להשתמש במכשיר ניטור ברכב או שעון חכם שמנטר פעילות גופנית ומציעות הנחה בפרמיה למשתמשים שעושים בהן שימוש. למעשה הן משלמות לצרכנים כדי לוותר על הפרטיות שלהם. דיקסון מאשרת שמדובר במוצרים מאוד מאתגרים. "להתקנה של משדר ואפילו מצלמת דאשבורד ברכב יש השלכות מבחינת הפרטיות", היא אומרת. "וכל מי שמתפתה בגלל ההנחה, במיוחד נהגים צעירים, צריך לקרוא טוב את מדיניות הפרטיות, להבין מה יהיו ההשלכות השליליות. להבין גם שחברת הביטוח יכולה לגלות בצורה זו הרבה מידע אישי. למשל, מה הדת שלך, כי הן יראו לאיזו כנסייה אתה נוסע כל שבוע. הן ידעו איפה אתה חי, איפה אתה עובד, מי החברים שלך. צריך לדעת גם מה מתרחש במקרה של תאונה, מה תעביר חברת הביטוח לרשויות החוק או לצד ג'. אותו דבר נכון לענידת מכשירים כמו שעונים חכמים שמנטרים את מידע הבריאות שלך. צריך לחשוב בזהירות האם התמריץ או ההנחה שמקבלים מצדיקים את המידע שעלול להיחשף".
אולי רגולטורים צריכים להתערב ולהגביל את השימוש במכשירים כאלו מצד חברות ביטוח?
"זו שאלה מעניינת. GDPR לא מגביל אוטומטית טכנולוגיה מסוימת. הוא קובע שכל מי שאוסף מידע אישי צריך לפעול לפי עקרונות מסוימים. התפקיד שלי הוא לא לחוקק חוקים, אני לא זו שמחליטה אם צריך להגביל אותם. אבל אני חייבת לאכוף את השימוש במוצרים האלו, ולוודא שהם פועלים לפי עקרונות ההגינות, השוויון, האחריות הכוללת והחוק. אני לא חושבת שאפשר להטיל על המוצרים האלו איסור גורף".
בשביל חברות כמו גוגל ופייסבוק, מידע הוא מקור ההכנסה שלהן. לא משנה כמה קנסות יוטלו עליהן, הן לא יוותרו עליו. יש מדיניות אפקטיבית שאפשר להפעיל נגדן?
"ההכנסות מגיעות ממפרסמים שרוצים להציג לי ולך מוצרים. אם הן ימצאו מודל עסקי שמאפשר להן לקבל הכנסות ממפרסמים אבל כזה שלא כרוך ביצירת פרופיל אישי מפורט של כל אחד מאתנו - הן יישתנו. כרגע הן יודעות שההמרה למכירה גבוהה הרבה יותר אם הן מציגות לנו פרסומת ממוקדת. אולי יהיו פתרונות טכנולוגיים שיאפשרו להפחית את רמות הניטור, הזיהוי והמיקוד. משהו חייב להשתנות".
סוגיה חדשה יחסית היא ליברה, מטבע הקריפטו שנוצר ביוזמת פייסבוק.
"אנחנו בהחלט נתעדכן בנושא ונדרוש תדרוכים ככל שהמטבע מתקרב להשקה. ברור שאם הוא ישמש לתשלומים עקרונות הגנת המידע יהיו מרכזיים ונצטרך לוודא שאבטחת המידע וההגנה על המשתמשים מספקים. אנחנו בוחנים את זה לעומק. בשלב זה עוד אין לנו דאגות או חששות ספציפיים. אנחנו רוצים קודם להבין את הפלטפורמה הטכנולוגית שהוא יתבסס עליה, אילו שותפי צד שלישי יהיו מעורבים, מה יהיו הכללים והאחריות של הגורמים שיפעילו אותו. יש לנו הרבה שאלות, בנוסף לכל השאלות הרגילות לגבי אמצעי אבטחת המידע שיופעלו".
ריגול ממשלתי זו סוגיה שזכתה לפחות תשומת לב בשנה האחרונה. זה נושא שמעסיק כיום את הנציבות?
"פנינו לבית המשפט העליון של אירלנד ואמרנו שאנחנו לא חושבים שאזרחי האיחוד יכולים לנצל אפקטיבית את ההגנות על המידע שלהם כשפייסבוק מעבירה מידע לארה"ב. ביקשנו מבית המשפט העליון לפנות לבית המשפט לצדק של האיחוד, על מנת לקבוע האם המנגנונים המשפטיים שבהם משתמשים בפייסבוק כדי להעביר מידע מספקים הגנות מספקות. העברת מידע זה סיכון גדול. אין טעם בחוק חזק באירופה אם כל מה שהחברה צריכה לעשות זה להעביר את המידע החוצה".
עד כמה ההקפדה על פרטיות קשורה לכך שלא יצאו מאירופה מותגי טכנולוגיה חדשניים גדולים?
"הלוואי שזו היתה הבעיה, שהגנת מידע היתה חוסמת יזמות. אני חושבת שיש הרבה סיבות אחרות. אין לנו מספיק תלמידים, ובעיקר תלמידות, שלומדים מדע וחדשנות בבית הספר. אין לנו את אותה תרבות חדשנות שרואים בעמק הסיליקון ואין לנו את אותה גישה להון סיכון כמו בארה"ב. יש הרבה סיבות, ואני חושדת שהגנת מידע נמצאת בתחתית הרשימה של החסמים האפשריים".
כל פעם שיוצאת טכנולוגיה חדשה, נראה שהפרטיות שלנו מצטמצמת עוד יותר. זו מגמה שתימשך גם בעתיד?
"כולנו מכורים לקבלת מידע על דפוסי השינה שלנו ועל קצב הלב שלנו. תהיה מגמה מתמשכת של פרסונליזציה בכל מיני תחומים, כמו רפואה. אנחנו נתפתה ליותר ויותר השתתפות בטכנולוגיות שעוסקות בפרסונליזציה של מידע. חלקן לתועלתנו הרבה. זו לא מגמה שאפשר לעצור על ידי כך שמישהו יגיד 'אני מודאג מהפרטיות שלי'. לכן קריטי שנמצא פתרונות טובים יותר בכל מה שנוגע לאבטחת מידע, מינימיזציה של מידע, והאם אנחנו צריכים להיות מזוהים בכל עת. חייבים לפתח פתרונות טכנולוגיים לבעיות האלו, וחלק ממה שרגולטור כמוני עושה זה לשים אצבע בסכר בזמן שאנחנו מחכים לגורמים בתעשייה שיסבירו לנו איך הם עשו הערכת סיכונים, איך הם יכולים לגלות אחריות, ואיך הם יפחיתו סיכונים. אני לא רואה את הדאגות של האנשים לגבי פרטיות עוצרות את ההתקדמות של שירותים כאלו".
אז בעצם אין עתיד שבו אנחנו מוסרים פחות מידע והתפקיד שלך הוא רק לדאוג שהמידע יהיה כמה שיותר מוגן?
"התפקיד שלי הוא לצמצם את היקף המידע איפה שאפשר, לבנות שירותים שמעוצבים לפרטיות עם שקיפות מלאה מול המשתמש שיכול להבין את ההשלכות של מה שהוא נרשם אליו, להבין מה המודל העסקי ומה העסקה".
כלומר, העתיד הוא לא יותר או פחות פרטיות, אלא יותר שליטה במידע.
"כן, אני חושבת שזו תהיה פרטיות שונה בהקשר של שליטה במקרים רבים. יש יישומים שאנחנו רוצים לעודד".