הטור החודשי בנושא הגנת הפרטיות בארץ ובעולם 11-2024
הגנת הפרטיות בישראל
דו"ח בנושא שימוש בבינה מלאכותית במגזר הפיננסי פורסם להערות הציבור
ההתפתחויות האחרונות בטכנולוגיות בינה מלאכותית מעוררות עניין חסר תקדים ועשויות להוביל למהפכה של ממש בחיינו. בעולמות הפיננסיים היא עשויה להניב יתרונות רבים מאוד, בהם שיפור ניכר באיכות המוצרים והשירותים, הוזלת עלויות, הגברת תחרות והנגשת שירותים.
יחד עם זאת כניסתה של הבינה המלאכותית מציבה אתגרים חדשים וייחודיים, העלולים להוביל, בין שלל הסיכונים, לסיכונים בתחום הגנת הפרטיות.
טכנולוגיות בינה מלאכותית מתבססות על "מידע אישי", המניע אותן ואף תוצריהן מגלמים תובנות פרטניות ואישיות, לעיתים – רגישות ביותר, לגבי בני אדם .
דו"ח ביניים, שפרסם הצוות הבין-משרדי לבחינת השימוש בבינה מלאכותית בסקטור הפיננסי, סוקר שימושים וסיכונים פוטנציאלים בשימוש בטכנולוגיה זו, ופתוח כעת להערות הציבור.
בין כל הסוגיות הנוגעות לשימוש בבינה מלאכותית, סוקר הצוות גם היבטים של פרטיות והגנה על מידע, וממליץ להנחות בעניין זה על ביצוע הערכת סיכונים בכל הנוגע לזיהוי מידע אישי.
דו"ח ביקורת נוקב של מבקר המדינה בנושא בינה מלאכותית והגנת הסייבר
בדו"ח שהוגש ביום 12/11/2024 מתריע מבקר המדינה על כשלים חמורים בהגנת המידע בביטוח הלאומי, דואר ישראל ומערכי ממשל נוספים, המסכנים מידע של מיליוני אזרחים.
על אף מתקפות יומיומיות על מאגרי מידע רגישים, נותרה רמת אבטחה לקויה ומערכות מיושנות המשאירות את פרטיות הציבור חשופה ופגיעה בשירותים חיוניים. מקצת מהממצאים:
המוסד לביטוח לאומי – גוף המחזיק במאגר המכיל מידע הולך וגדל על כל תושבי מדינת ישראל מיום לידתם ועד ליום פטירתם, לא עדכן עד לרגע עריכת הביקורת את מדיניות ונהלי אבטחת המידע והגנת הסייבר שלו משנת 2014! על אף עשרות אלפי ניסיונות לתקיפות סייבר נגדו מידי יום ועל אף שהדבר מנוגד למדיניות שלו עצמו.
המבקר מביע חשש כי לא יתאפשר לזהות אירועי אמת בזמן סביר או בכלל, כיוון שבנוסף למצב הקיים, בביטוח הלאומי אין צוותים ייעודיים לניהול משברי סייבר, וצוות ההנהלה לניהול אירועי סייבר שהוקם בסוף ינואר 2024 לא התכנס, לא הוכשר ולא תורגל.
המבקר חושף גם התנהלות בעייתית ברפא"ל, וקובע כי במשך 12 שנים לא יישמו מערך הסייבר הלאומי ומלמ"ב (הממונה על הביטחון במשרד הביטחון) את החלטת הממשלה בנוגע לקביעת הסדרים מיוחדים לקידום ההגנה במרחב הסייבר. נוסף על כך, המלמ"ב לא פרסם הנחיות לגופים שתחת אחריותו לגבי ההיערכות הנדרשת לניהול אירועי סייבר.
גם במערך התקשוב הממשלתי המצב מדאיג. מערך הדיגיטל הממשלתי לא גיבש תמונת מצב כוללת של סיכונים, לא פעל להפחתתם, ובמשך כשנתיים וחצי גם לא מונה בו מנהל סיכונים ראשי. מנהלים כאלה גם לא מונו ברוב משרדי הממשלה שנבדקו ולא בוצע בהם סקר סיכונים.
שיפור רמת האבטחה במשרדי עורכי דין
אירועי אבטחת מידע ותקיפות סייבר לא פוסחים על משרדי עורכי הדין, המחזיקים אצלם לעיתים מידע פרטי רגיש רב. הרשות להגנת הפרטיות זיהתה עליה במספרם של האירועים במגזר זה, ולשם כך הכינה מדריך להתמודדות עם הבעיה.
במדריך מפורטות מספר פעולות קלות ליישום, שישפרו באופן ניכר את ההתמודדות אל מול האיומים. פעולות אלה כוללות: הכרת התהליכים הממוחשבים במשרד, שימוש בתוכנות מורשות בלבד ועדכונן באופן סדיר, וידוא אמצעי אבטחת מידע נדרשים במקרה של קיום אתר אינטרנט, התקנת מערכות הגנה לתחנות הקצה וסביבת הענן, וידוא שמירת קבצי תיעוד לכלל המערכות למשך 24 חודש לכל הפחות, וידוא קיום הגדרות גיבוי רלוונטיות ושחזור המידע מהגיבוי אחת לרבעון, הצפנת הנתונים, אבטחת חיבור מרחוק, ניהול בקרת הרשאות ועריכת סקרים ומבדקי חדירה למערכות השונות.
בנוסף מזכירה הרשות חובת דיווח מידי בכל מקרה של חשש לאירוע אבטחה חמור.
חוק הצבת מצלמות בגני ילדים אושר במליאת הכנסת
בהתאם להוראות החוק, בנוסף לצפייה אונליין באמצעות הטלפון הנייד, קיימים שני מסלולים נוספים לשם צפיה בהקלטות: הגעה פיזית של נציגת ההורים לגן אחת לשבוע או צפיית הורים מרחוק פעם בחודש.
מנגנוני התקנת המצלמות ואפשרויות הצפייה בהן על ידי ההורים עוגנו בחוק עם נהלי אבטחת מידע מחמירים בתיאום עם מערך הסייבר הלאומי והרשות להגנת הפרטיות.
בהתאם לכך - כדי לאפשר צפייה להורים בתנאים אלו, על המפעיל לעמוד במספר תנאים, בהם: יידוע ההורים, העובדים והמועמדים לעבודה במעון על כוונתו להפעיל את הצפייה, ואם הסתיים מועד הרישום למעון – לקבל את הסכמת כלל הורי פעוטות המעון; הצבת שילוט במעון לגבי הפעלת הצפייה; ויידוע נותני השירותים הקבועים במעון. חשוב לציין, כי התקנת המצלמות אינה חובה, ונתונה לשיקול דעת מנהלת הגן.
משלוח מסמכי ביטוח עם מידע אישי באמצעות הדואר
בית המשפט המחוזי בת"א דן לאחרונה בבקשת הסתלקות מתביעה ייצוגית שעניינה היה משלוח מסמכי ביטוח הכוללים פרטים אישיים (ת"צ 39020-08-22 עזרן נ' הראל חברה לביטוח בע"מ).
המבקש טען, כי חברת הביטוח הפרה את הוראות חוק הגנת הפרטיות בעצם שליחתה אליו את מסמכי הביטוח, הכוללים פרטי תעודת זהות, כרטיס אשראי, מידע רפואי – באמצעות מעטפה בדואר.
בית המשפט אישר את בקשת ההסתלקות והתביעה נמחקה, אך טען כי המבקש העלה סוגיה מהותית, והראיה היא שחברת הביטוח שינתה את התנהלותה ומעתה שולחת רק ארבע ספרות אחרונות של כרטיס האשראי.
הגנת הפרטיות בעולם
קנדה סוגרת את משרדי TikTok במדינה בטענה ל"סכנה לביטחון הלאומי"
בהמשך לצו הנשיאותי של נשיא ארה"ב ביידן המורה ל- ByteDance חברת האם של TikTok, שבסיסה בסין, להימכר עד ה 19 בינואר 2025 לחברה בבעלות אמריקאית, אחרת היא תיחסם לשימוש בארה"ב, מצטרפת גם ממשלת קנדה שהורתה על סגירת הפעילות העסקית של TikTok במדינה, בשל סיכונים לביטחון הלאומי. עם זאת, גישת המשתמשים במדינה לאפליקציה או היכולת שלהם ליצור תוכן – לא נחסמה. ההחלטה התקבלה לאחר שבשנה שעברה פתחה הממשלה הקנדית בבדיקת התוכנית של TikTok להשקיע ולהרחיב את עסקיה בקנדה. לפי החוק הקנדי, הממשלה רשאית לבצע הערכה של הסיכונים הפוטנציאליים לביטחון הלאומי מצד השקעות זרות. ההחלטה על סגירת הפעילות העסקית התבססה על המידע והראיות שנאספו במסגרת הבדיקה ובהתבסס על ההמלצה של קהילת הביטחון והמודיעין הקנדית. ההחלטה זו מצטרפת להחלטה קודמת, שאסרה על הורדת האפליקציה למכשירים ממשלתיים, זאת בשל רמת סיכון חסרת תקדים לפרטיות ולאבטחה.
אירלנד מגבירה את מאמציה בנושא רגולציית פרטיות בתחום הבינה המלאכותית
הוועדה האירית להגנה על נתונים (DPC) - גוף אירי המצוי בחזית הטיפול בבעיות בינה מלאכותית ופרטיות - מבקשת הנחיות מהמועצה האירופית להגנה על נתונים (EDPB) בנוגע לטיפול בסוגיות פרטיות הקשורות לבינה מלאכותית, במסגרת תקנות להגנת נתונים של האיחוד האירופי (תקנות ה- GDPR). נציבי הגנת המידע באירלנד הדגישו בפנייתם למועצה את הצורך בבהירות, במיוחד לגבי השאלה אם נתונים אישיים ממשיכים להתקיים בתוך מודלים של אימון AI. המועצה צפויה לספק את חוות דעתה לפני סוף השנה, ובכך להביא לאינטגרציה בין גישות רגולטוריות שונות בנושא בינה מלאכותית ברחבי אירופה. לטענת הוועדה האירית, ההבהרה נחוצה במיוחד לאור העובדה שחברות הענק כמו מטא, גוגל ו-X (לשעבר טוויטר) משתמשות בנתוני משתמשי האיחוד האירופי כדי לאמן מודלי ענק של AI. כמובן שחברות הטכנולוגיה הגדולות טוענות, כי תקנות מחמירות מידי עלולות לעכב חדשנות. אך הוועדה האירית מצידה טוענת, כי היא מחויבת לאכוף ציות ל-GDPR, תוך שהיא מציינת צעדים משפטיים שנקטה לאחרונה כגון: הטלת קנס של 310 מיליון אירו על LinkedIn בגין שימוש לרעה בנתונים.
אירופה- חוק חוסן סייבר " Cyber Resilience Act"
בסוף אוקטובר 2024 האיחוד האירופי העביר את חוק Cyber Resilience Act (EU) 2024/2847 חוק חוסן הסייבר העוסק בנושא דרישות אבטחת סייבר למוצרים עם רכיבים דיגיטליים. החוק מסדיר סוגיות אבטחת סייבר בעיצוב, תכנון, פיתוח, ייצור, ייצור והנגשה של מוצרי חומרה ותוכנה המחוברים, במישרין או בעקיפין, למכשיר אחר או לרשת (כגון: מצלמות ביתיות מחוברות, מקררים, טלוויזיות, צעצועים ומוצרי IoT אחרים). החוק יחול בכל המדינות החברות באיחוד האירופי, ומרבית הוראותיו ייכנסו לתוקף החל מדצמבר 2027 למעט חריגים שייכנסו לתוקף מוקדם יותר, ובכלל זה חובות הדיווח על אירועי סייבר. אי עמידה בדרישות החוק עלולה לגרור קנסות מנהליים של עד 15 מיליון יורו או 2.5% מהמחזור השנתי העולמי של החברה בשנת הכספים הקודמת, הגבוה מבניהם.
הדרישות העיקריות שנקבעו בחוק:
1) על יצרנים להבטיח שמוצרים מתוכננים כשהם: נקיים מפגיעויות ידועות; בעלי הגדרות מאובטחות ובקרות גישה; תוך הגנה על סודיות, שלמות וזמינות נתונים; הגבלת עיבוד נתונים ומשטחי תקיפה; צמצום סיכוני ניצול לרעה; ואספקת יומני אבטחה.
2) לפני הכנסת מוצרים לשוק, על היצרנים לבצע הערכת סיכוני אבטחת סייבר מקיפה כדי לזהות ולהפחית סיכונים, למנוע ולצמצם אירועי אבטחה, ולהגן על בריאותם ובטיחותם של המשתמשים במוצר לאורך מחזור חיי המוצר.
3) המוצרים חייבים לכלול תיעוד טכני ברור ומובן והוראות משתמש, כולל מידע על תכונות האבטחה של המוצר, סיכונים פוטנציאליים והוראות לשימוש בטוח.
4) יצרנים חייבים לספק תמיכה שוטפת ולספק עדכוני אבטחה לתקופה של חמש שנים לפחות.
5) על היצרנים לבצע הערכת תאימות כדי להוכיח אם הדרישות החלות על מוצר מסוים מתקיימות.
6) יצרנים חייבים לדווח על כל פרצה שנוצלה באופן פעיל או תקרית אבטחה חמורה לסוכנות האיחוד האירופי לאבטחת סייבר ("ENISA") תוך 24 שעות מרגע שנודע להם על הבעיה. בנוסף ליידוע המשתמשים שהושפעו והצעת פעולות שהם יכולים לנקוט כדי להפחית את ההשפעה.
7) יצרנים חייבים להבטיח שרכיבים ותוכנות של ספקי צד שלישי עומדים בדרישות אבטחת הסייבר של החוק, ולבצע עליהם בדיקת נאותות ומעקב שוטף.
דרום קוריאה הטילה קנס כבד על Meta בשל איסוף מידע רגיש של משתמשי פייסבוק
רשות הגנת הפרטיות בדרום קוריאה הטילה קנס של 15 מיליון דולר על חברת Meta בגין איסוף לא חוקי של מידע אישי רגיש ממשתמשי פייסבוק. ממצאי החקירה העלו, כי נאסף מידע רגיש מכ-980,000 משתמשים, המידע כלל דעות פוליטיות, אמונות דתיות ונטייה מינית, המידע הופץ לכ-4,000 מפרסמים, וכל זאת נכון לתקופה יולי 2018 עד מרץ 2022. Meta אספה את המידע באמצעות ניתוח העמודים שהמשתמשים אהבו, מעקב אחר מודעות שהמשתמשים לחצו עליהן, ומבלי שקיבלה לכך הסכמה מפורשת מהמשתמשים.
בית המשפט המחוזי בהאג דחה (חלקית) בקשת גישה של לקוח לנתונים שלו בבנק
במסגרת תהליך בדיקת נאותות של הלקוח, ביקש בנק הולנדי מסמכים מהלקוח כדי לאמת את מקור הכנסתו, תוך התחייבות בשיקולי אבטחה וציות. הבנק חסם את חשבון הלקוח לפני המועד האחרון של הלקוח להגשת המסמכים המבוקשים. עם זאת הבנק ביטל את חסימת החשבון באותו יום לאחר שהלקוח סיפק את המסמכים המבוקשים. למרות זאת, הלקוח הגיש בקשת גישה לנתונים השמורים אודותיו בבנק לפי ה- GDPR בנוגע לעיבוד האישי בתהליך קבלת ההחלטה על חסימת החשבון שלו. הבנק העמיד לעיון הלקוח את הנתונים והסביר, כי תהליך בדיקת הנאותות של הלקוח החל עקב עסקת תשלום שסומנה כחשודה על ידי מערכת ניטור העסקאות של הבנק. למרות זאת הלקוח ביקש גילוי מלא של כל המידע השמור אודותיו, כולל הסיבות להחלטה לבצע חקירה, מכיוון שהלקוח הניח שהייתה מעורבת בכך קבלת החלטות אוטומטית. הבנק טען בבית המשפט, כי הוא נענה במידה מספקת לבקשת הלקוח ולא נדרש לספק פרטים נוספים על תהליך בדיקת הנאותות של הלקוח. הבנק גם הצהיר כי לא הייתה מעורבת קבלת החלטות אוטומטית, ולכן אין צורך לחשוף את ההיגיון מאחורי מערכת ניטור העסקאות שלו. בנוסף, הבנק ציטט את סעיף 41 של חוק יישום הרגולציה הכללית להגנה על נתונים (UAVG) ההולנדי כדי להצדיק אי מתן גישה נוספת, במטרה למנוע פעילויות פליליות ולהגן על סודות מסחריים. הבנק הדגיש את עמידתו בחוק ההולנדי להלבנת הון ומניעת מימון טרור והזהיר כי חשיפת פעולת המערכת עלולה לסייע לאנשים זדוניים לעקוף אותה. בית המשפט הסכים עם הבנק וקבע, כי החלטת הבנק מדגישה את האינטרסים של ישות פיננסית המוגנים על ידי חוקי איסור הלבנת הון עשויים לגבור על זכויות נושא הנתונים של ה- GDPR.
אישה ויקטוריאנית זכתה ב-30,000 דולר למקרה שדן בזכות לפרטיות בחוק האוסטרלי
אישה ויקטוריאנית, תבעה את אביה על הפרת פרטיותה ויחסי האמון ביניהם לאחר שהאחרון התראיין וחשף מידע הקשור בניסיון רצח. בית משפט ויקטוריאני הכיר בפגיעה בפרטיות לפי המשפט המקובל האוסטרלי בהחלטה שפורסמה שבועות ספורים בלבד לאחר שהממשלה הפדרלית הגישה הצעת חוק להתמודדות עניין ההגנה על הפרטיות.
ארה"ב- CFPB גורס כי חוקי הפרטיות של המדינה אינם מגנים על נתונים פיננסיים אישיים
חוקי הפרטיות החדשים של המדינה אינם עושים מספיק כדי להגן על מידע אישי המשמש עסקים פיננסיים, לפי רגולטור פדרלי.
18 מדינות, כולל קליפורניה וטקסס, העבירו חוקי פרטיות בין ינואר 2018 ליולי 2024, אך בכל החוקים יש פטורים לחברות פיננסיות או נתונים הקשורים לחקיקה הפדרלית, כך מסרה היום (ג') הלשכה להגנה פיננסית לצרכן בדו"ח.
לפיכך, חוקי המדינה הללו מסרבים לספק לצרכנים את אותן הזכויות על הנתונים הפיננסיים שלהם כפי שהמדינות מספקות לצרכנים העוסקים בתעשיות אחרות", אמר ה-CFPB.
לדוגמה, ה-CFPB אמר כי חוקי המדינה אינם נותנים את הזכות לאנשים לתקן או למחוק מידע שגוי או דורשים מאנשים להסכים לאיסוף הנתונים הרגישים שלהם ולהשתמש בהם מסיבות כמו פרסום.
"פטורים מחוקי פרטיות הנתונים של המדינה יכולים להשאיר את הצרכנים בסיכון מוגבר ביחס לנתונים הפיננסיים שלהם", אמר ה-CFPB.
הפטורים הם באמצעות חוק Gramm-Leach-Bliley משנת 1999, חקיקה בנושא נתונים פיננסיים העומדים בפני ביקורת על כך שהם נותנים הודעה כללית ללקוחות בלבד על האופן שבו חברות פיננסיות חולקות את המידע שלהם תוך שהם דורשים מאנשים לבטל את הסכמתם להחלפת הנתונים שלהם עם כל מוסד פיננסי שהם לעשות עסקים עם.
חוקי המדינה פוטרים גם פעילות במסגרת חוק דיווח אשראי הוגן של שנות ה-70, חקיקה העומדת בפני ביקורת על יצירת תהליך ארוך ומסובך לתיקון שגיאות שנעשו על ידי סוכנויות לדיווח אשראי כגון Experian ו-Equifax.
"ככל שהצרכנים מסתמכים יותר ויותר על כלים פיננסיים דיגיטליים כמו בנקאות ניידת ואפליקציות תשלום, קיימות הזדמנויות חסרות תקדים לחברות לאסוף כמויות גדולות וסוגים שונים של נתונים הנוגעים לחיים הכלכליים של האמריקאים ולהתנהגויות", אמר ה-CFPB.
טור זה מהווה תקציר אירועים וחדשות שפורסמו ברשת, ואין לראות בו תחליף לייעוץ משפטי, רגולטורי או טכני. פריימסק אינה אחראית למהימנות המידע ושמורה לה הזכות לעדכן ולתקן את המידע בכל עת.