הרשות להגנת הפרטיות פרסמה מסמך בנושא פרטיות ואבטחת מידע בשימוש בטכנולוגיות Deepfake לאחרונה גובר השימוש בטכנולוגיית Deepfake ("זיוף עמוק"), אשר מאפשרת הפצה של תמונות או קטעי וידיאו שעברו מניפולציה. הטכנולוגיה מאפשרת, בין היתר, "להשתיל" או להחליף (Face swap) דמויות פנים של אנשים בתמונות ובקטעי וידאו, וכן לתמרן הבעות פנים ולעוות מלל הנאמר על ידי אנשים בקטעי וידאו, וזאת באמצעות זיוף קול ואופן תנועת פני הדוברים. טכנולוגיית ה-Deepfake עשויה לשמש למטרות לגיטימיות כגון אומנות, פרסום וסאטירה. עם זאת, בשנים האחרונות ניתן לזהות שימוש רב בטכנולוגיה זו למטרות פסולות, כגון השפלה וביוש אנשים ברבים, יצירת תוכן מיני ופורנוגרפי מזויף, והטיה של שיח פוליטי (על-ידי זיוף סרטונים של דמויות פוליטיות וכדומה). זמינות וקלות השימוש בטכנולוגיה זו, בשילוב עם ריבוי ומגוון התמונות וקטעי וידאו הנמצאים ברשת (ובעיקר ברשתות חברתיות), עלולים להביא לעלייה ביצירה ובהפצה של תכנים מזויפים באיכות גבוהה. לאור האמור, הרשות מבהירה כי לעמדתה, הפצה ללא הסכמה של תמונה או סרטון שזויפו בטכנולוגיית Deepfake המציגים תוכן משפיל או כזה הנוגע לצנעת חייו האישיים של אדם ויכול להיתפס בציבור כאותנטי (כך שהוא נעשה באיכות העלולה להטעות את הציבור) - מהווה הפרה של חוק הגנת הפרטיות.
תמצית הנחיות והבהרות לציבור:
כמו כן, ניתן לפנות בבקשה ישירה לאתרים בהם הופץ התוכן להסרת התכנים ואף להגיש תביעה לפיצויים נגד מי שהפיץ אותם. ניתן גם להיעזר ברשות להגנת הפרטיות במקרים אלו.
הרשות להגנת הצרכן ולסחר הוגן פרסמה טיוטה להערות הציבור בנושא גילוי מידע בעת רכישת מוצרי IoT כחלק מההתפתחות הטכנולוגית ניכרת עלייה בהיקף השימוש במוצרי IoT (אינטרנט של דברים, כגון מזגן הנשלט באפליקציה, טכנולוגיה לבישה ועוד). שימוש במוצרים אלו טומן בו מגוון אתגרים וסכנות הנובעים, בין היתר, מכך שלרוב מדובר במוצרים עם חומרה ותוכנה חלשים ופשוטים אשר לא ניתן להתקין עליהם אמצעי אבטחה. כמו כן, הגורמים הבאים "תורמים" להגדלת הפוטנציאל שבה משתמש יחווה פגיעה זאת, בעת שימושו במוצרי IoT: עלייה בכמות תקיפות במרחב הסייבר הן בעולם ובפרט בישראל; הקלות בה ניתן להוציא לפועל מתקפות מסוג זה; ריחוק גאוגרפי בין התוקף לנתקף, אשר מאפשר תקיפה ללא תלות במיקומו של התוקף; אנונימיות שממנה נהנה התוקף במרחב הסייבר וכן הקושי באיתור התוקפים ונקיטת פעולות אכיפה נגדם; גמישות מרחב הפעולה של התוקף, אשר פועל "מעל החוק", לעומת קיומן של מגבלות חוקיות על הנתקפים-אשר מקשה עליהם להגן על הרשתות שבשליטתם. כלל הסיכונים הללו הביאו את הרשות להגנת הצרכן ולסחר הוגן בשיתוף מערך הסייבר הלאומי לפרסם טיוטה להערות הציבור בנושא חובת גילוי מידע בעת רכישת מוצרי IoT.
להלן תמצית טיוטת ההנחיות:
הוגשה בקשת לתביעה ייצוגית כנגד קופ"ח "כללית" בדבר הפרת פרטיות מבוטחיה אחת ממבוטחות קופת החולים "כללית" הגישה תביעה כנגדה, זאת בשל טענה להפרת פרטיות מבוטחיה בעת זימון תורים באמצעות המוקד הטלפוני של הקופה (*2700). התביעה הוגשה לאחר שהתובעת התקשרה למוקד זימון התורים של הקופה, הקישה על קבלת שירות "לזימון או לביטול תורים לרפואה יועצת", ונתבקשה להזין אך ורק את מספר תעודת הזהות שלה, ללא כל סממן זיהוי נוסף (כדוגמת-שנת לידה). לאחר מכן הושמעו בפניה פרטי התורים העתידיים שלה (הכוללים מידע רב: תאריך, שעה, מיקום וסוג המרפאה). לאחר שהתובעת לא זיהתה את פרטי התורים שנאמרו לה, התברר לה שהיא כנראה הזינה מספר תעודת זהות שגוי. המבוטחת ניסתה להקיש את תעודת הזהות של אמה וגם במקרה זה נאמרו לה כלל התורים העתידיים של אמה. יצוין כי לא זאת בלבד שניתן לשמוע את התורים העתידיים של המבוטח, אלא ניתן גם לבטל או לשנות את התור שנקבע. כמו כן, ניתן לדלות מידע רגיש גם על קטינים שהינם מבוטחי הקופה. ע"פ התביעה, חולשה זאת מהווה פגיעה בפרטיות מבוטחי קופת החולים, אשר עלולה לגרום לכך שגורמים זדוניים יכולים לעשות שימוש במידע שנחשף בקלות ולעשות בו שימוש, כדוגמת-הבנת הרקע הרפואי של המבוטח ואף מידע על מיקומו המדויק העתידי של המבוטח, וכן מהווה הפרה של חוק ותקנות הגנת הפרטיות. בנוסף, התביעה טוענת כי על קופת החולים היה לנקוט על פי הוראות הרגולטור הספציפיות החלות עליה בישראל, ובין היתר ליישם הצלבת מידע בין מספר הטלפון ממנו מתקשר המבוטח לבין מספר תעודת הזהות אותו הוא מקיש ו/או דרישת אמצעי זיהוי רב שלבי (MFA), כדוגמת שליחת הודעת טקסט לטלפון של המבקש. לפיכך, הוגשה תביעה ייצוגית כנגד קופת החולים בשם כלל לקוחות הקופה, אשר קבעו תור מכל סוג שהוא במהלך 7 השנים האחרונות, ופרטיהם הופיעו במענה האוטומטי במוקד זימון התורים של הקופה. בין היתר, התביעה דורשת מתן צו אשר מחייב את הקופה לתקן את פרצת האבטחה ולהגן על מאגרי המידע שברשותה על פי הנהלים שבדין, וכן ביצוע בדיקה המוודא כי פרטי חברי הקופה לא ידלפו ושליחת הודעה לכלל לקוחות הקופה בדבר תיקון פרצת האבטחה לצורך הגנה על פרטיותם.
פורסמה טיוטה להערות הציבור בדבר תיקון צו הגנת הפרטיות (קביעת גופים ציבוריים), התשפ"ב-2022 סעיף 23 לחוק הגנת הפרטיות מגדיר כי גוף ציבורי הוא אחד מאלה: משרדי הממשלה ומוסדות מדינה אחרים, רשות מקומית, גוף אחר הממלא תפקידים ציבוריים על פי דין וגוף ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת. צו הגנת הפרטיות (קביעת גופים ציבוריים), התשמ"ו-1986 בנוסחו הקיים מאפשר להעביר למוסד שהוכר כמוסד להשכלה גבוהה פרטי מידע אישיים המנויים בפרט (3) לצו, לצרכי מחקר בלבד. התיקון המוצע מבקש להרחיב את פריטי המידע שניתן יהיה להעביר למוסדות, וזאת לתכלית של בדיקת זכאות להמשך קבלת קצבת פנסיה תקציבית לגבי מקבל קצבה כאמור ממוסד להשכלה גבוהה. בהתאם להסכמים קיבוציים החלים על מוסדות להשכלה גבוהה, בהם נוהג הסדר של קצבת פנסיה תקציבית, הזכאות לקבלת קצבת פנסיה תקציבית עומדת לגמלאי, ואם הגמלאי נפטר, עומדת הזכאות לשאיריו של הגמלאי. מטבע הדברים, בעת פטירת הגמלאי או שאיריו, לפי העניין, פוקעת הזכאות לקבלת קצבת הפנסיה. לפיכך, על מנת להימנע מתשלום קצבה למי שאינו זכאי לה ופגיעה בחשבון הקופה הציבורית (שכן מוסדות אלו נשענים בעיקר על תקציב מהמדינה), מוסדות אלו נזקקים לקבלת מידע ממרשם האוכלוסין על אודות פטירתו של מקבל קצבת הפנסיה. התיקון המוצע מתבסס על ייחודיות הצורך ביחס למוסדות אלו. ככל שיתוקן הצו, יינקטו צעדים על מנת ליידע את מקבלי הקצבה על העברת המידע שתבוצע מכוחו. זאת, בדרך של הודעה יזומה לכלל מקבלי הקצבה הרלוונטיים (למשל, באמצעות הוספת הודעה בתלושי הקצבה).
הגנת הפרטיות ברחבי העולם
האיחוד האירופי העביר חוקים לפיקוח על שירותים דיגיטליים ביום 5/07/2022 הפרלמנט האירופי העביר באופן סופי שני חוקים דומיננטיים שיחולו על תחום הגנת זכויות הפרט בשירותים דיגיטליים: חוק השירותים הדיגיטליים (DSA) וחוק השווקים הדיגיטליים ((DMA. מטרת שני החוקים, יחד ולחוד, היא להבטיח הגנה על צרכני השירותים תוך הגנה על כללי וחוקי 'שוק חופשי'. נוכח התעצמות ענקיות הטכנולוגיה, קידם האיחוד תקנות אלו שנועדו לרסן את העוצמות וההשלכות של פעילותן. בין השאר נועדו התקנות שאומצו לצמצם את השפעתם של אלגוריתמים שנוצרו על ידי הענקיות, הממיינים והמציעים תוכן למשתמשים. החוק יבסס סמכות עתידית של האיחוד לדרוש מהחברות שקיפות על אופן ניהול התוכן ועל האלגוריתמים, וכן על אפליקציות מותקנות מראש ופרסום ממוקד. חוק השווקים הדיגיטליים יכנס לתוקף חצי שנה לאחר אישורם הרשמי של שני המחוקקים המשותפים (האיחוד והמדינות החברות בו). לעומתו, חוק השירותים הדיגיטליים יכנס לתוקף תוך 15 חודשים מיום אימוץ החוק בחוקת האיחוד ובחוקת המדינות החברות האיחוד או ב-01.01.2024, המועד המאוחר מבין השניים.
רגולציה אירופאית חדשה בתחום המימון הדיגיטלי בהתחשב באיומים הגוברים למתקפות סייבר, האיחוד האירופי פועל על מנת להקשיח אכיפה בתחום אבטחת המידע של גופים פיננסיים, כגון: בנקים, חברות ביטוח וחברות השקעות. בתאריך 10 במאי 2022 הכריז הפרלמנט האירופי על הסכמה זמנית לחקיקת "חוק החוסן התפעולי הדיגיטלי" (DORA- digital operational resilience for the financial sector and amending Regulations ), אשר מטרתו להבטיח כי המגזר הפיננסי באירופה יוכל לשמור על פעילות איתנה גם במקרה של תקיפת סייבר. DORA מציבה דרישות אחידות לאבטחת רשתות ומערכות מידע של חברות וארגונים הפועלים במגזר הפיננסי, כמו גם צדדים שלישיים מהותיים המספקים להם שירותים הקשורים ל-ICT (טכנולוגיות מידע ותקשורת), כגון פלטפורמות ענן או שירותי ניתוח נתונים. DORA יוצרת מסגרת רגולטורית בנושא עמידות תפעולית דיגיטלית, לפיה על כל החברות לוודא שהן יכולות לעמוד, להגיב ולהתאושש מכל סוגי השיבושים והאיומים הקשורים לתקשורת. דרישות אלה הן אחידות בכל המדינות החברות באיחוד האירופי, כאשר מטרתן המרכזית היא מניעה ומיתון של איומי סייבר. על פי ההסכם הזמני, הכללים החדשים יהוו מסגרת איתנה מאוד המחזקת את אבטחת המידע של המגזר הפיננסי. המאמצים שיתבקשו מגופים פיננסיים יהיו פרופורציונליים לסיכונים הפוטנציאליים. כמעט כל הגופים הפיננסיים יהיו כפופים לכללים החדשים. ספקי שירותי ICT מהותיים של מדינה שלישית, המעניקים שירות תשלומים דיגיטלי לגופים פיננסיים באיחוד האירופי, יידרשו להקים חברת בת בתוך האיחוד האירופי, כך שניתן יהיה ליישם את הפיקוח כראוי. באשר למסגרת הפיקוח, הסכימו המחוקקים לבחור בפיקוח משותף שיכלול תיאום בין רשויות הפיקוח האירופיות. על פי ההסכם הזמני, מבחני החדירה יבוצעו בזמן שגרה, וניתן יהיה לכלול מספר רשויות של מדינות חברות בהליכי הבדיקה. הצעת החוק תאומץ באופן רשמי לקראת סוף השנה ותחוקק על ידי כל מדינה חברה באיחוד האירופי. רשויות הפיקוח האירופיות הרלוונטיות, כגון רשות הבנקאות האירופית (EBA), רשות ניירות הערך והשווקים האירופית (ESMA) והרשות האירופית לביטוח ופנסיה תעסוקתית (EIOPA), יקבעו סטנדרטים טכניים לכל ארגוני השירותים הפיננסיים, החל מבנקאות, דרך ביטוח ועד ניהול נכסים. הרשויות המוסמכות הלאומיות המתאימות ייקחו על עצמן את תפקיד הפיקוח על הציות ויאכפו את הרגולציה לפי הצורך.
ארה"ב – נציבות הסחר הפדרלית תובעת חברת אנליטיקה על סחר בנתוני מיקום ביום 29.08.2022, נציבות הסחר הפדרלית (FTC) הגישה תביעה נגד חברת האנליטיקה "Kochava Inc" בגין מכירת נתוני מיקום גיאוגרפי שאספה ממאות מיליוני מכשירים ניידים, שניתן להשתמש בהם כדי להתחקות אחר תנועותיהם של אנשים. נתונים אלה עשויים לחשוף ביקורים של אנשים במרפאות לבריאות פריון, במקומות פולחן, במקלטים לחסרי בית ולאלימות במשפחה ובמתקני גמילה מהתמכרות. ה-FTC טוענת כי באמצעות מכירת נתונים העוקבים אחר אנשים, החברה מאפשרת לאחרים לזהות אנשים וחושפת אותם למעקבים, אפליה, אובדן עבודה ואפילו אלימות פיזית. התביעה של ה-FTC מבקשת לעצור את פעילות המכירה של נתוני מיקום גיאוגרפי רגישים ולחייב את החברה למחוק את המידע הרגיש שנוגע לנתוני מיקום גיאוגרפי שאספה.
בעניין דומה, בקליפורניה נרשם צעד אכיפה ראשון בגין הפרת חוק הגנת פרטיות הצרכן (CCPA) כאשר קמעונאית הקוסמטיקה האמריקאית Sephora נאלצה לשלם 2.1 מיליון במסגרת תביעה שהגיש התובע הכללי של קליפורניה. עיקר ההפרה מתבטא בכך שהחברה אינה מגלה לצרכנים על מכירת המידע האישי שלהם לצדדים שלישיים, וכן אינה מתייחסת לבקשות הצרכנים שהתנגדו למכירת המידע שלהם. במסגרת הסכם פשרה, מיושמים לראשונה אמצעי אכיפה שעיקרם הגנה על פרטיותם של צרכנים בנוסף לתשלום הקנס, נקבע כי על החברה להבהיר בפני הצרכנים כי היא מוכרת את המידע, לאפשר לצרכנים לבטל את ההסכמה שלהם למכירה ולהקשיח את דרישות האבטחה מול ספקי החברה.
טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.