הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 06-2024
הגנת הפרטיות בארץ
משתמשים בסלאק? יכול להיות שהודעות ומידע שלכם שימשו לאימון AI
אחת מהדרכים הפופולריות ביותר לתקשר בתוך חברות טכנולוגיה כיום, היא Slack, פלטפורמת התקשורת הארגונית של Salesforce. כעת מתברר שלסלאק יש תנאי שימוש מאוד מעורפלים, שבין היתר, מאפשרים לחברה לאמן את מודלי ה-AI החדשים שלה גם על המידע הכי פרטי ורגיש שלכם.בימים האחרונים הנושא הצית זעם ברשתות החברתיות בקרב משתמשים שהבינו שיכול להיות, שהמידע הכי רגיש של הארגון משמש לכאורה כחומר לאימון עבור סלאק, בלי שהם בכלל היו מודעים לכך או אישרו את זה (Opt-In).ביחד עם הזעם, הגיעה התגובה המתבקשת של אדמינים בסלאק שמיהרו לחפש איך הם יכולים לעשות Opt-Out למידע של הארגון שלהם, ומצאו את הדרך - מבחינת Slack, אדמין יכול לשלוח להם מייל... (אם תתפללו חזק, אולי סלאק יגיבו)."המידע שלכם נשאר בשליטתכם והוא משמש רק את הארגון שלכם. הוא לא עוזב את הגבולות של סלאק ולא מגיע לגורמי צד שלישי, בהם ספקי המודל" – הגיבה החברה בפוסטים ברשתות החברתיות, ואף העלתה פוסט נפרד בה טענה שוב, כי הם לא משתמשים במידע של משתמשים כדי לאמן את המודלים שלהם או של גופי צד שלישי, אלא במידע כללי אחר כמו חותמות זמן של הודעות וכמות ההודעות שנשלחה בין משתמשים.את הגולשים פוסט ברשתות החברתיות לא מספק, והם דורשים כי החברה תעגן את האמירות האלה בתנאי השימוש שלה.
הצעת חוק הגישה לתוכן דיגיטלי לאחר פטירתו של אדם, התשפ"ד–2024
הצעת חוק חדשה מונחת בימים אלו על שולחן הכנסת. מטרתה לאפשר לאדם לקבוע בחייו מה יעלה בגורל התוכן הדיגיטלי האישי שלו - הנמצא ברשות ספקי שירותי תוכן דיגיטליים - לאחר מותו, או אם נבצר ממנו לגשת לתוכן, ולאפשר לו לקבוע כי לבני משפחתו או לאנשים קרובים אחרים תהיה גישה לתוכן. ההצעה מבקשת לחייב ספקי שירות של תוכן דיגיטלי לקבוע מדיניות לטיפול בתוכן אישי של משתמש שנפטר או שנצבר ממנו לגשת לתוכן, וליידע את המשתמשים עליה.כיום ישנן אפליקציות הקשובות לצרכי השעה, ונוקטות בגישות עצמאיות בכל הנוגע להסדרת הגישה לחשבונות של משתמשים שנפטרו אשר מאוחסנים על שרתיהן. (בפייסבוק לדוגמה יש אפשרות למינוי איש קשר כ"נאמן מורשת" שיוכל לדאוג לפרופיל המשתמש שנפטר ולהפוך אותו לפרופיל זיכרון. כך גם באינסטגרם ובאפל). מצד שני חברת מיקרוסופט, לדוגמה, בוחרת נכון להיום שלא לספק ממשק למינוי איש קשר, אלא מאפשרת פנייה בבקשה להסרת חשבון או בקשה לגישה במקרה של פטירה באמצעים משפטיים בלבד. כך גם רבים אחרים. בהיעדר חקיקה בעניין, הגישה למידע דיגיטלי שנותר אחרי מות האדם כפופה לחוזה שבין המשתמשים לבין ספק השירות.
איגוד ההייטק הישראלי מתנגד לחוק המאפשר חדירה לפרטיות של כל אזרח ישראל
ב-14 באוקטובר, אישרה הממשלה תקנות לשעת חירום (תקש"ח) המסמיכות את צה"ל לבצע חדירה ופעולה במחשב המשמש להפעלת מצלמות נייחות. שלושה ימים לאחר מכן, אושרו תקש"ח שנותנות סמכות דומה לשב"כ.באיגוד ההייטק הישראלי מביעים התנגדות לחוק. "חדירה למצלמות של חברה מצריכה גישה לרשת שלה ולשרתים שלה, וזה יכול לגרום לבעיות רבות. אם יגרם נזק או ימחקו נתונים של לקוחות, וכל זה בלי ליידע את החברה. גופי הביטחון מבקשים להאריך את החוק ליותר מפי שניים מהזמן המקורי, ולא בטוח שזו תהיה הבקשה האחרונה להארכה. זה מדרון חלקלק".באיגוד טוענים כי ניתן לפתור את הבעיה הן על ידי מיפוי המצלמות הבעייתיות ובקשה לכיבויין והן על ידי שיבוש מצלמות בלבד.בנוסף טוענים, כי הארכת החוק מתבצעת ללא יידוע הציבור בדבר כמות הפעמים שהשתמשו בו, ובמצב דברים זה אין אפשרות לוודא שהשימוש בחוק היה תקין ושאין סיבה לדאגה.
הלם בעולם העסקים: האקרים פרצו למשרד עורכי הדין הגדול בישראל?
משרד עורכי הדין המוביל גולדפרב-זליגמן מסר שקיבל עדכונים ממערך הסייבר הלאומי, לפיהם התגלה חשד שבוצע ניסיון חדירה נוסף לרשת החברה על ידי גורם עוין, לאחר ששבוע קודם לכן נרשמה מתקפת סייבר במערכות המחשוב של המשרד.בפעם שעברה, ההאקרים הצליחו ככל הנראה לפרוץ בין היתר לתכתובות דואר אלקטרוני של לקוחות בכירים, בהם מידע רגיש. מהמשרד נמסר, כי התגלתה חדירה מוגבלת לאחד משרתיו, במסגרתה הועתק מידע. האירוע טופל באופן מיידי ועדכון נמסר לרשות הגנת הפרטיות. המשרד מסר, כי אין ולא היתה כל פגיעה בעבודתו השוטפת .
בחודש ינואר 2024 נכנס לתוקף החוק לתיקון פקודת המשטרה (מס' 40), התשפ"ד-2024, שזכה לכינוי "חוק המעקבים", כיוון שנועד להסדיר את השימוש במערכת "עין הנץ" - המשמשת את משטרת ישראל לקריאת לוחיות זיהוי של רכבים ומאפשרת לה לעקוב אחר תנועת אזרחים בכבישים. החוק קובע כללים לגבי הצבה והפעלה של מערכות צילום מיוחדות על ידי משטרת ישראל ושימוש במידע הנאגר בהן. בהתאם לחוק, על השר לביטחון לאומי לקבוע, תוך שישה חודשים מיום תחילתו של החוק (היינו - בימים אלו ממש), תקנות בעניינים אלה: (1) שמירה או מחיקה של מידע הנאגר במערכת צילום מיוחדת.(2) תנאים לגישה למידע הנאגר.(3) העברת מידע ממערכת הצילום המיוחדת לגורם אחר.(4) יידוע הציבור בדבר הצבת מצלמות מיוחדות.(5) אמות מידה לקביעת אמינות מערכות הצילום המיוחדות ובקרה על פעילותן.
"מדינת האח הגדול" - החוק המדאיג שיאפשר לחדור לכם לטלפון ללא פיקוח ממשי
ברקע ימי הקרב בהם אנו נמצאים, בשירות הביטחון הכללי ובמשרד המשפטים שוקדים בימים אלה על תיקון לחוק השב"כ, שהחל להתגבש כבר לפני ארבע שנים, והוא צפוי להיות מונח על שולחן הכנסת בעוד מספר חודשים.התיקון לחוק יאפשר לשב"כ לערוך חיפוש סמוי במחשב ובטלפון הנייד של כל אזרח באמצעות רוגלות (כמו "פגסוס") באישורו של ראש הממשלה, ויעניק לשירות גישה גורפת למאגרי המידע הרגישים ביותר של רשויות המדינה כמו משטרה, משרדי הממשלה וביטוח לאומי, כל זאת ללא פיקוח של שופט ותחת פיקוח מינימלי ביותר של הכנסת.בדברי ההסבר לחוק נכתב, כי "ישנו צורך חיוני במתן סמכות לביצוע פעולות בדבר המגלם חומר מחשב הקשור לפעילות טרור, או לפעילות ריגול במטרה לשבש את פעילות הטרור או לסכלה כדי למנוע פגיעה בחיי אדם או למנוע פגיעה חמורה בביטחון המדינה".אלא שמאחורי הניסוח הפתלתל הזה, עומד חוק פולשני ובעל פוטנציאל ממשי של חדירה לפרטיות, שאם לא יפוקח בצורה יסודית עלול להפוך את ישראל לחלק מהמועדון המפוקפק של מדינות המנצלות מידע המצוי ברשות גופי הביטחון כדי לרדוף יריבים פוליטיים ולסכל פעולות מחאה לגיטימיות.
במקרה של "צורך דחוף", וזה כמעט תמיד "צורך דחוף", יוכל ראש השירות לקבל את החומרים גם ללא היתר של ראש הממשלה, ויהיה עליו להודיע על כך בדיעבד לרה"מ ולייעוץ המשפטי.בשב"כ מודעים לחששות להערות הציבור על החוק, והסכימו שנציג מיוחד מטעם הרשות להגנת הפרטיות במשרד המשפטים יישב באופן קבוע במטה השב"כ ויתריע במידת הצורך מפני פולשנות יתר.
בנק אינו רשאי להשתמש במסמכים פרטיים כדוגמה עבור לקוחות אחרים
חברי קבוצת ווטסאפ של הקיבוץ בו הם חברים, גילו כי הבנק שלח כדוגמה עבור שאר חברי הקבוצה, מסמך בנקאי, וניתן היה להסיק כי עוסק בהם, על אף ההשחרות שבוצעו בו. במסגרת התביעה, בית המשפט פסק, כי הבנק לא היה רשאי ליטול מסמכים פרטיים ולמסור אותם ללקוחות אחרים שלו לצורך דוגמה. לפי פסיקת בית המשפט, בין בנק ללקוחותיו קיימת חובת סודיות מוסדית היסטורית מכח מערכת היחסים החוזית המיוחדת ביניהם, וחובה זו קדמה להגנה לפי חוק הגנת הפרטיות ועולה עליה בהיקפה. בנוסף הייתה כאן גם הפרה של סעיף 2(7) לחוק הגנת הפרטיות.
הגנת הפרטיות בעולם
EDPB מאמצת חוות דעת על זיהוי פנים בשדות תעופה
המועצה האירופית להגנה על נתונים ("EDPB") אימצה חוות דעת בנושא שימוש בטכנולוגיות זיהוי פנים על ידי מפעילי שדות תעופה וחברות תעופה לייעול זרימת הנוסעים בשדות התעופה. חוות הדעת מעריכה את השימוש בזיהוי פנים למטרה ספציפית של ייעול זרימת הנוסעים בשדות התעופה ביחס לסעיפים מתוך התקנה הכללית להגנה על נתונים של האיחוד האירופי (GDPR). בחוות הדעת בחנה ה-EDPB עמידה בדרישות עיבוד הנתונים הביומטריים של הנוסעים באמצעות ארבעה סוגים שונים של פתרונות אחסון, לרבות פתרון הכולל אחסון תבנית ביומטרית רשומה בידי הפרט, למשל במכשיר האישי שלו, ופתרון הכולל אחסון מרכזי, בתוך שדה התעופה, של תבנית ביומטרית רשומה בצורה מוצפנת עם מפתח בידי הנוסע בלבד. עבור כל פתרון, ה-EDPB יבחן אם הוא יציית לסעיפי ה-GDPR והאם יש ליישם אמצעים נוספים.
נברסקה מחוקקת חוק פרטיות מדינתי מקיף
מושל נברסקה חתם על הצעת חוק המחוקקת את חוק פרטיות הנתונים של נברסקה ("NEDPA"). בדומה לחוקי פרטיות מקיפים אחרים של המדינה, ה- NEDPA דורש מבעלי השליטה להגביל את איסוף הנתונים האישיים למה שמספיק, רלוונטי ונחוץ באופן סביר ביחס למטרות שלשמן נתונים אלה מעובדים, כפי שנחשפו לצרכן. בנוסף, אוספי נתונים זקוקים להסכמת הצרכן כדי לעבד נתונים רגישים או כדי לעבד נתונים אישיים למטרות שאינן נחוצות באופן סביר למטרות הגלויות שלשמן מעובדים נתונים אישיים אלה או תואמות להן, כפי שנחשפו בפני הצרכן.NEDPA גם דורש מהספקים לספק הודעת פרטיות נגישה וברורה באופן סביר, לבצע ולתעד הערכת הגנה על נתונים של כל אחת מפעילויות העיבוד הבאות הקשורות לנתונים אישיים: עיבוד נתונים אישיים למטרות פרסום ממוקד; מכירת נתונים אישיים; עיבוד נתונים אישיים למטרות יצירת פרופילים, אם יצירת הפרופיל מהווה סיכון צפוי מסויים.
הצהרה משותפת של ICO ו-Ofcom בבריטניה בנושא רגולציה של שירותים מקוונים
משרד נציב המידע הבריטי ("ICO") והרגולטור הבריטי לתקשורת ובטיחות מקוונת, Ofcom, פרסמו הצהרה משותפת בנוגע לשיתוף הפעולה ביניהם בנושא רגולציה של שירותים מקוונים בהם בטיחות מקוונת והגנה על נתונים מצטלבים. ה-ICO ו-Ofcom יפעלו לזהות ולנטר את הופעתן של בעיות בעלות עניין משותף בשל "הרלוונטיות הנושאית והמהותית" שלהן לבטיחות מקוונת ולהגנה על נתונים - אלה מכונות "ערכות נושא לשיתוף פעולה", וכוללות הגדרות ברירת מחדל והגדרות מיקום גיאוגרפי עבור משתמשים ילדים, כמו גם הבטחת גיל; לקדם "שיתוף פעולה רגולטורי משותף יעיל יותר" על ידי זיהוי חברות או שירותים הכפופים הן למשטר הבטיחות המקוונת והן למשטר הגנת הנתונים, והם בעלי עניין רגולטורי נוכחי הן ל-ICO והן ל-Ofcom; וגילוי מידע בינם לבין עצמם, לרבות ביחס לחברות או שירותים מסוימים.
חוק זכויות הפרטיות האמריקאי מתקדם עם תיקונים משמעותיים
ועדת המשנה של בית הנבחרים האמריקאי לאנרגיה ומסחר בנושא נתונים, חדשנות ומסחר אישרה טיוטה מתוקנת של חוק זכויות הפרטיות האמריקאי ("APRA"). הטיוטה המתוקנת כוללת מספר שינויים בולטים מטיוטת הדיון הראשונית, ביניהם:
- הוספת מטרה מותרת נוספת לעיבוד נתונים בתנאים מסוימים עבור פרויקטי מחקר מדעיים, היסטוריים או סטטיסטיים ציבוריים או בעלי ביקורת עמיתים.
- הרחבת החובות של אוספי נתונים על ידי דרישה מהם לכלול מנגנון ליחידים להגשת בקשת "מחק את הנתונים שלי". מנגנון זה, בדומה לחוק המחיקה של קליפורניה, מחייב את אוסף הנתונים למחוק את כל הנתונים המכוסים הקשורים לאדם שלא אספו ישירות מאותו אדם, אם האדם מבקש זאת.
אפליקציות נסיעות מובילות אוספות נתונים רגישים ללא קבלת הרשאות מהלקוח
CYBERNEWS בחנו 22 אפליקציות אירוח ותכנון חופשות שנמצאות בשימוש נרחב, שהורדו על ידי מיליוני משתמשים בחנות Google Play, כדי לקבוע אילו נתונים הן נגישות ועשויות לאסוף.נמצא כי לא רק אפליקציות מסוימות אינן חושפות שהן אוספות את הנתונים הרגישים שלך, אלא שנראה שגם אין סיבה לגיטימית לאיסוף.בין היתר, נמצא כי:
- לכל האפליקציות יש גישה למיקום מדויק.
- לכ-12 אפליקציות יש גישה למצלמה שלך.
- אפליקציה אחת מתוך הנבדקות יכולה לקרוא את הודעות ה- SMS שלך.
- HotelTonight יכול לתפעל מערכות קבצים.
- חברת הילטון יכולה לשלוט בתיבות דו-שיח פתוחות במכשיר שלך.
- ענקית סינית יכולה לשנות שפות ולשנות הגדרות.
- לאפליקציות מסוימות יש גישה למיקרופון שלך.
- אפליקציות אלה יודעות מי נמצא ברשימת אנשי הקשר שלך.
טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.