"זה השירות, גם אם אינו מושלם": נדחתה בקשה לייצוגית נגד פייסבוק לאחר ש-50 מיליון חשבונות נפרצו

בית המשפט המחוזי בחיפה דחה בקשה לניהול תובענה ייצוגית נגד פייסבוק שעניינה פרצת אבטחה בפלטפורמת הרשת החברתית. השופט ד"ר מנחם רניאל לא חסך את שבט ביקורתו מהתובע עו"ד אלי אקסלרוד, שיוצג על-ידי שותפו למשרד.

בקשת האישור עוסקת כאמור בפרצת אבטחה שפייסבוק גילתה בספטמבר 2018, אז ניתקה כ-90 מיליון משתמשים וביקשה מהם להתחבר מחדש לחשבונם. פייסבוק טענה שכ-50 מיליון מהחשבונות נפרצו, וכ-40 מיליון חשבונות נוספים נותקו ליתר ביטחון, משנעשה בהם שימוש ב-feature ששימש למתקפה.

בעקבות כך, הגיש עו"ד אלי אקסלרוד בקשה לנהל תובענה ייצוגית, כאשר הגדרת הקבוצה היא: "כל מי שברשותו קיים ו/או היה קיים חשבון פייסבוק שנפרץ ו/או היה קיים חשש שנפרץ, בעקבות פרצת האבטחה שהתגלתה על-ידי פייסבוק ביום 25.9.2018".

אקסלרוד טען שסמך על מצגי פייסבוק בנוגע לאבטחת המידע של הפלטפורמה, והפקיד בידה מידע אישי שלו במהלך 11 השנים האחרונות שבהן השתמש בשירותיה - ובכלל זה פרטיו האישיים, כתובות דואר אלקטרוני, חשבונות דוא"ל לשחזור, מספרי טלפון, תאריך לידה, סיסמאות, תשובות לשאלות אבטחה, אירועים ממהלך חייו, תמונות, סרטונים וכו'. לטענתו, פרצת האבטחה העמידה בסכנה גם את פרטי המידע האישי של עסקו בדף העסקי בפייסבוק. עוד נטען על-ידו כי פייסבוק כשלה והתרשלה בנקיטת פעולות המתחייבות להגנת המידע האישי של משתמשיה.

פייסבוק טענה בתגובה, באמצעות עו"ד ד"ר יואב אסטרייכר, כי מתקפת הסייבר בוצעה על-ידי עבריינים שניצלו חולשת אבטחה חבויה היטב שלא הייתה ידועה קודם לכן בפלטפורמת הרשת של פייסבוק. עוד נכתב כי סוגי המידע שהתוקפים הצליחו לגשת אליהם שונים ממשתמש למשתמש, אך כללו רק שם, פרטי התקשרות בסיסיים, ועבור כחצי מהמשתמשים שדות מידע מסוימים מהפרופילים שלהם, כגון מקום עבודה, מוסד חינוך והעיר בה התגוררו. התוקפים לא יכלו לגשת לפרטי כרטיס אשראי, מידע על חשבון בנק, סיסמאות, או כל מידע פיננסי אחר.

פייסבוק: "הבקשה הוגשה בחופזה ולא מתבססת על חוות-דעת מומחה"

פייסבוק טענה כי אקסלרוד הגיש את בקשת האישור בחופזה חמישה ימים לאחר ההודעה לציבור על ההתקפה ושלאחר שבועיים תיקן את הבקשה, אך הן הבקשה המקורית והן הבקשה המתוקנת אינן מתבססות על חוות-דעת מומחה. לדברי עו"ד אסטרייכר, טענותיו של התובע נשענות על ההנחה שרק מפני שההתקפה התרחשה, פייסבוק נושאת באחריות בגינה. אף חוק אינו מטיל אחריות קפידה בנסיבות אלה, והתרחשות מתקפת סייבר, כלשעצמה, אין משמעה שחברה עוולה באופן כלשהו, פעלה באופן בלתי סביר, או הפרה חוזה.

השופט רניאל דחה על הסף את התובענה בכל הנוגע לפייסבוק אירלנד. לדבריו, "הבקשה מבוססת על שירותי פייסבוק שלא הוכח בבקשה שהם ניתנים על-ידי פייסבוק אירלנד, ולא נסתרה טענת המשיבות שפייסבוק היא שסיפקה והפעילה באופן בלעדי את שירות פייסבוק טרם מועד ההתקפה".

רניאל כותב: "המלצתי למחוק את הבקשה נגד פייסבוק אירלנד, והמלצתי לא התקבלה והמבקש חזר על טענה זו בסיכומיו. המבקש לא הראה כל עילת תביעה נגד פייסבוק אירלנד. על כן, אני דוחה את הבקשה נגד פיסבוק אירלנד על הסף בהיעדר יריבות, ומכיוון שהמבקש לא העמיד בבקשתו שום עילה נגדה ולא ביקש למחוק אותה משהסתבר לו שהיא אינה בעלת הדין הנכונה, אני מחייב אותו בתשלום הוצאות פייסבוק אירלנד".

עוד כתב כי "יתר על כן, הגשת בקשת אישור נגד פייסבוק אירלנד בהיעדר יריבות נגדה, מטילה ספק בכך שהמבקש ובא-כוחו מייצגים את הקבוצה בדרך הולמת... על אחת כמה וכמה כאשר נדחתה המלצת בית המשפט למחוק את הבקשה נגד פייסבוק אירלנד".

השופט רניאל: "זה השירות, בלתי מושלם ככל שיהיה"

בנוגע לעילת התביעה נגד פייסבוק, כתב רניאל כי "הצהירה פייסבוק שהיא מספקת את שירותיה 'כפי שהם' (as is), ללא ערובה להיות בטוחים במאה אחוז או היותם נקיים מליקויים או שגיאות. בסעיף זה פייסבוק הסירה מעצמה אחריות לליקויים או פגמים באבטחת מוצריה. בניגוד לדברי המבקש, פייסבוק לא הציגה את מוצריה ומערכותיה כבלתי חדירים מפני התקפות. אכן, היא הציגה בפני משתמשיה שהיא עושה כמיטב יכולתה להגן על המידע האישי שלהם ולהותירו בשליטתם ורשותם המוחלטת, אך רצונה להגן על המידע והשתדלותה לעשות כן אינם סותרים את הגבלת חבותה המפורשת. על כן, אני דוחה את טענות המבקש כאילו הפרה פייסבוק את חובת תום-הלב וההגינות החוזית לקראת ובמהלך כריתת הסכם השירות. זה השירות, בלתי מושלם ככל שיהיה".

לדברי רניאל, "זו הצהרה הגיונית ולגיטימית מצד פייסבוק. העולם אינו מושלם, ואין בו מערכות חסינות לגמרי מפני תוקפים. אזהרה לציבור המשתמשים שהמערכת אינה חסינה מפני תקיפה היא צעד אחראי שנועד לאפשר למשתמשים החלטה מושכלת בדבר המידע שאותו יחשפו בחשבונות הפייסבוק שלהם".

רניאל הוסיף כי "המבקש לא הראה שיש שירות אחר, מקביל, שבטחון המידע בו גבוה יותר, והוא גובה עבור שירותיו סכום נמוך יותר מהשירות של פייסבוק שעבורו לא שילם המבקש בחשבונו הפרטי, שבו היה יכול לבחור אילולא נמנעה ממנו הבחירה".

"המבקש חשף את המידע מיוזמתו"

בהחלטתו כתב רניאל כי מגיש ההליך כלל לא הוכיח נזק שנגרם לו באופן אישי על-ידי ההתקפה. "המבקש אישר בחקירתו הנגדית שרוב המידע ששותף על-ידו בפרופיל הפרטי שלו, שיתכן ונחשף בהתקפה, אינו מידע פרטי. המבקש הודה שחשף מידע זה מיוזמתו לציבור הרחב על-ידי הגדרתו כפומבי בהגדרות הפרטיות שיישם... כדי להסיר ספק, בזמן החקירה פתחו ב"כ המשיבות חשבון חדש בפייסבוק ומתוכו הגיעו לכל המידע הזה, ללא התקפה וללא ניצול חולשוןות כלשהן. על כן, לא נגרם למבקש נזק עקב ההתקפה, שהוא תנאי לתביעה לפי חוק הגנת הצרכן".

עוד כתב רניאל כי הוא "דוחה את טענת המבקש שנגרמה לו עוגמת-נפש עקב הפגיעה באוטונומיה הפרטית ובחופש הבחירה הצרכני, וכי איבד אמון בפייסבוק ובגופים מסחריים אחרים. הוא הודה שהמשיך להשתמש בשירות פייסבוק גם לאחר שקיבל הודעה על ההתקפה, והוא ממשיך להשתמש בו עד היום. כנראה שלא איבד אמון".

לבסוף, מתח השופט רניאל ביקורת על ההגשה החפוזה של ההליך. "המבקש הגיש את בקשת האישור זמן קצר לאחר הודעת פייסבוק לציבור על ההתקפה, והודה בחקירתו שהחליט להגישה לאחר "שיחת מסדרון" עם שותפיו למשרד. למרות חיונית הוכחת עילת הבקשה, לא צירף לבקשת האישור חוות-דעת מומחה בתחום אבטחת הסייבר, על אף טענותיו הרבות בבקשת האישור העוסקות במחדלי פייסבוק באבטחת המידע. לאחר שהותר למבקש לצרף חוות-דעת (לאחר חוות-דעת המשיבות) זו הוגשה בשפה האנגלית, אף שהוברר כי שפת האם של המומחה נורי היא עברית. הותר למבקש להגיש תרגום של חוות-הדעת לשפה העברית, ואז התברר כי בתרגום נעשה מקצה שיפורים לחוות-הדעת, ללא רשות. בנוסף לכך, הסתבר שמר נורי אינו מומחה מתאים לאבטחת סייבר בשילוב של הכשרתו ונסיונו".

עו"ד אלי אקסלרוד יוצג על-ידי עו"ד יוסף בן-דוד ועו"ד אורי אמיתי. פייסבוק ופייסבוק אירלנד יוצגו על-ידי עו"ד ד"ר יואב אסטרייכר ממשרד מיתר.