בעקבות חשיפת פרטי האשראי ברשת מדליפי המידע הגדולים הם הצרכנים עצמם

"המידע שאנחנו מוסרים הוא קצה הקרחון ביחס לשובל המידע הנאסף אודותינו", מזהירה פרופ' ניבה אלקין-קורן, ראש המרכז למשפט וטכנולוגיה באוניברסיטת חיפה. ואכן, פוטנציאל לאיסוף מידע אודותינו אינו מסתתר רק באתרי הקניות אלא גם בערוצים אחרים, מקוונים או לא. ביותר מדי מקרים אנחנו נדרשים למסור פרטים אישיים לרבות מספר תעודת זהות, כתובת מגורים ותאריך לידה לטובת גופים כמו מועדוני לקוחות, הרשמה לאתרי אינטרנט ואפילו לצורך מנוי רב-קו לתחבורה ציבורית.

במקרים אחרים, הכוללים לדוגמה רשתות חברתיות, את המידע אנחנו חושפים ביוזמתנו, ולפעמים שוכחים שהוא נגיש גם לגורמים לא רצויים.

אלקין-קורן ממפה עוד שורה של מוקדים: החל ב-GPS, החיפושים בגוגל והמדורים שאנחנו קוראים באתרים החדשות, דרך התמונות המתויגות ועד הקניות שערכנו: "שובל המידע מייצר פרופיל זהות דיגיטלית שאפילו אנחנו לא מכירים בעצמנו. אנשים עברו למצב של שקיפות, והמידע אינו מחיק. כשאדם מוסר מידע כמו מספר טלפון לשם הגרלה, או כשהוא מפרסם תמונה בפייסבוק, הוא מתקשה לאמוד את הנזק שייגרם לו לטווח ארוך לעומת התועלת שהוא מפיק בזמן הקצר. אותה תמונה, למשל, עלולה להיות בעייתיות כשיחפש עבודה. האיום על הפרטיות הוא אבסטרקטי, בעוד שהיתרון הוא קונקרטי".

הבעייתיות גדלה כשהמרחבים מתחברים והמידע מוצלב: מהקניות בסופר, ועד הרגלי השימוש בטלפון הנייד, פעולות בנקאיות ואפילו עד התיק הרפואי: "החירות הולכת ומצטמצמת וזו הבעיה האמיתית. אדם צריך להבין שמידע הוא כוח שמי שמחזיק בו יכול להשתמש נגדו, ובאמצעות מספר תעודת הזהות כל הנתונים מוצלבים".

המידע חייב להיאסף בהסכמה

החוק קובע שאיסוף מידע צריך להיעשות בהסכמה ואסור להשתמש במידע שנאסף למטרה אחת עבור מטרה אחרת. החוק קובע רישום מאגרים והסכמה מראש, ומציע אפשרות להימחק. לדברי אלקין-קורן, הזכויות לא מותאמות לאתגרים של היום: החשש הוא לא מ"האח הגדול" אלא דווקא מ"האח הקטן"- לא במאגר שמייצר תאגיד ענק אלא דווקא באתרים קטנים ובמידע פרטי ונגיש כמו ברשתות החברתיות, שם מתייחסים פחות לתקני אבטחת מידע ומגיבים פחות לתמריצי החקיקה. לצערנו, גם המדינה לא המדינה לא מצייתת לחוק הגנת הפרטיות אבל עליה יש כלים לפקח. על אנשים פרטיים יכולת הפיקוח היא מצומצמת".

ומה ממליצה אלקין-קורן לעשות? "הלחץ צריך לבוא מכיוון הצרכן. בדומה לאג'נדה ירוקה שהנחילו חברות כתוצאה מלחץ הציבור כך צריך הציבור לייצר יותר ביקוש לפרטיות ולהבין שהוא נתון תחת איום על האוטונומיה והבחירה האישית המאפשרת לגבש זהות אנונימית".

"גלובס" מונה שלושה ערוצים שהקלות בה המידע שלנו מועבר אליהם צריכה להדליק נורה אדומה אצל כולנו:

רשתות חברתיות

פייסבוק ורשתות חברתיות הם כבר מזמן הרבה מעבר לפלטפורמה החברית, והנגישות הבלתי נסבלת אל כרטיסי החברים עושה את החיים קלים לגורמים שלא ממש מתעניינים עד כמה נהניתם בתאילנד או מתי הילד עשה את הצעד הראשון.

גנבים, למשל, עשויים להפיק תועלת ממידע של מי שמצהיר כי בשבועיים הקרובים לא יהיה בבית או מי שמבלה בחו"ל ומכוניתו נותרה מיותמת בחניה. חברות הביטוח, במקום לבלוש ולעקוב פיזית אחר תובעים שטוענים לפגיעה בתפקודם עקב תאונה למשל, מציצות בדף הפייסבוק ומגלות ש התובע נמצא בעיצומה של צלילה מרתקת במלדיבים, כדי להפוך על פיה תביעה לפיצויים.

גם מעסיקים מוצאים את הפייסבוק שימושי - אחד מהסרטונים הנפוצים ברשת הוא של אותו עובד מסור שדיווח על מחלה אולם שכח, כשהעלה סרטונים מהמסיבה הסוערת בה בילה, שהם זמינים גם לבוס.

מועדוני צרכנות

מאגר מידע של צרכנים הוא נכס יקר לבית העסק. לצד היכולת לדוורר אודות מבצעים ופרסומים, לעיתים גם מגורם שלישי, חשיבות המאגר היא ביכולת לנתח את אפיוני הלקוחות. הקופונים האישיים שנשלחים על-ידי הרשתות לא במקרה כוללים מוצרים שאתם נוהגים לרכוש: תכולת העגלות נבדקת לא רק לשם אותם קופונים אלא בעיקר לתועלת הרשתות. ומה באשר למידע רגיש או לצריכת מוצרים שתעדיפו לשמור לעצמכם? אז זהו שפרטיות אינה בראש מעייניהם.

במעמד ההצטרפות למועדון הלקוחות, נדרשים הלקוחות למלא טפסים. במקרים רבים אלה כוללים פרטים שאינם רלוונטיים למועדון, לדוגמה: דרישה למסור מספר תעודת זהות במועדוני לקוחות שאינם במסגרת כרטיס אשראי. גם אם המידע הרגיש הזה נלקח לשם זיהוי במערכת הרי שהמנגנון יכול להסתמך על מספר סידורי פנימי. הבעיה היא שמדובר בדרישה שכיחה שנמצאת כמעט כל טפסי ההצטרפות של כרטיסי מועדון שאינם כרטיסי אשראי.

החברות המקימות מאגרי מידע נדרשות לרשום את המאגרים כחוק. אלא שאם אתם מקבלים טלפון מגוף שלא ממש מוכר לכם ודורשים לדעת מהיכן מספר הטלפון שלכם הגיע לידיו, לפי חוק יש חובה למסור את מספר המאגר בו אתם נכללים בכדי לאפשר את הסרת שמכם. המאגרים, למותר לציין, עשויים לנדוד מחברה אחת לשנייה בהתאם להסכמים שונים ומשונים, ועל הוויתור לפרטיות, אנחנו חותמים במו ידינו על גבי חוזה ההתקשרות.

תחבורה ציבורית: כתובת תמורת רב-קו

באופן אוטומטי אנחנו נוטים למלא אחר הפרטים הנדרשים בטפסים השונים. כדאי לעצור ולשים לב למי אנחנו מעבירים את המידע ובעיקר מה תוכנו: במכתב ששיגרה המועצה לשלום הילד לגורמים בממשלה בעקבות פנייה של אם מודאגת, עולה סוגיה חשובה אודות שמירה על פרטיות הילדים במידע שנדרשים ההורים למסור עבור הנפקת כרטיס רב-קו.

"זה שנים שאנחנו מלמדים את ילדינו "אל תמסרו פרטים מזהים לזרים". והנה באה מדינת ישראל (משרד התחבורה במקרה זה) ומאפשרת לחברה מסחרית פרטית לאסוף מידע ופרטים מזהים על ילדים ובני נוער ללא כל צורך והצדקה", כותב יצחק קדמן, מנכ"ל המועצה. במכתב דורש קדמן לאסור על החברות המסחריות העוסקות בתחבורה ציבורית ובהנפקת כרטיסי רב-קו, לאסוף פרטים אישיים על קטינים כתנאי להנפקת הכרטיס. במקביל פנה קדמן לרשות למשפט טכנולוגיה ומידע במשרד המשפטים בדרישה למחוק את מאגר המידע המכיל את הפרטים שנאגרו על הקטינים.

את המכתב כתבה אם לשלושה, לאחר שנדרשה לספק מספר תעודת זהות של ילדיה לצד פרטיהם המלאים שיוצמדו לתמונה סרוקה בעבור הנפקת כרטיס הנסיעה: "כשהגעתי לביה"ס להעביר את האינפורמציה הרלוונטית, הבנתי מהן המשמעויות הנלוות לכך. אני נאלצת לתת את הפרטים הכי חסויים של ילדיי הקטינים, זאת במסווה של העברת נתונים לטובת כרטיס רב-קו... הנתונים מועברים לחברה, אשר קיבלה את היתרה לדרישה זו ממשרד התחבורה, כאשר בפועל אינני יודעת מי מנהל אותה ומה עושים עם הנתונים, יתרה מכך הבנתי כי לכרטיס זה קיים תיעוד מלא לגבי מהלך מסלולי הנסיעות של ילדי , זאת ברמה היום יומית נתון אותו אינני מוכנה לחשוף גם לא במחיר של הפקת כרטיס רב-קו". "באמצעות מילוי והעברת נתונים אילו אני למעשה מפיקה ת.ז. לילדיי הקטינים ובתחושתי אני מפקירה את ביטחונם וזהותם לכל מאן דבעי".

תגובת משרד התחבורה: "פרטיהם של המשתמשים ברב-קו נשמרים על ידי מפעילי התחבורה הציבורית באדיקות. המפעילים נוקטים בהסדרי אבטחה מחמירים ביותר כדי למנוע דליפה של המידע. לא נעשה כל שימוש, מסחרי או אחר, בפרטים אלה".

תגובת משרד המשפטים בשם הרשות למשפט, טכנולוגיה ומידע: "במסגרת פיקוח שנעשה ב-2010 על מפעילות התחבורה הציבורית התברר כי לא ניתנה הדעת בהיקף מספק בעת עיצוב פרויקט הכרטיס החכם ואופן השימוש בו, לעיצוב לפרטיות (כלומר שהטכנולוגיה לא תאסוף מידע שאינו נדרש לצורך אספקת השירות), ולעניין השקיפות וההסכמה של הציבור להיבטים אלה. בעקבות זאת הוצאה הנחייה למפעילי התחבורה הציבורית שמטרתה לקבוע עקרונות לאיסוף ולעיבוד המידע שבידיהם. במסגרת זו הכוונה היא לאפשר שימוש בתחבורה ציבורית גם על בסיס כרטיס אנונימי, וללא היבטי פרטיות. במסגרת חוק ההסדרים, פורסמה הצעת חוק שמטרתה הסדרת הפרויקט של הכרטיס החכם בתחבורה ציבורית. בשבוע הבא צפוי דיון בוועדת הכלכלה בנושא זה".

סקר: 44% מאשימים את חברות האשראי

דליפת פרטי האשראי ברשת גובה מחיר: שליש מהצרכנים יפסיקו לקנות ברשת - כך לפי סקר מכון רותם TRI עבור "גלובס". 44% מאשימים את חברות האשראי במחדל ועם זאת סבורים שהן פעלו היטב.

לפי תוצאות הסקר, 28% לא שינו את הרגלי התשלום שלהם באתרי אינטרנט וימשיכו לקנות כמו קודם. 37% טענו שמעולם לא מסרו את פרטי האשראי שלהם ברשת.

מי אשם בכישלון אבטחת המידע? כמעט 30% מהנשאלים פשוט לא יודעים, ו44% מהם מפנים אצבע מאשימה לחברות האשראי. 13% מאשימים את הצרכנים שמסרו את פרטיהם ברשת, 12% מפנים את האשמה לממשלת ישראל, ו-2.5% סבורים שמשטרת ישראל היא האשמה.

רוב הצרכנים מרוצים מהאופן שבו הגיבו חברות האשראי לפרשה: 36% מהנשאלים בסקר השיבו כי חברות האשראי פעלו היטב, 29% טענו שהן פעלו "בסדר" אך היו מצפים ליעילות רבה יותר, 19% טענו כי תגובת חברות האשראי הייתה איטית מדי.