מידע הוא הנפט של המאה ה-21 ולכן רגולציה של מידע תהיה הרגולציה של המאה ה-21.
זה כבר התחיל. בשנת 2018 נכנס לתוקף ה-GDPR (רגולציית הפרטיות האירופית) ובתחילת השנה הערכתי ששנת 2019 תהיה שנת הרגולציה על ההייטק. בין אם זה בגלל רשתות חברתיות ובין אם זה בגלל עידן ה-big data, רגולטורים בכל העולם מתעסקים בקביעת רגולציה על פרטיות.
כשפרשיה של פגיעה בפרטיות מתפוצצת יש דחף חזק למהר ולקבוע רגולציה ("מישהו חייב לעשות משהו"). המיידיות הזו היא תוצאה של הטיה קוגניטיבית שמונעת מאיתנו לגבש מדיניות בצורה מסודרת. הנה חמש שאלות שכדאי לשאול כשמגבשים רגולציה – וקצת תשובות ומחשבות בקשר לרגולציית פרטיות.
חמש שאלות שכל קובע מדיניות חייב לשאול את עצמו
1. מה בדיוק הבעיה שאנחנו מנסים לפתור?
הגדרת הבעיה היא הכל. היא מכתיבה את מסגרת הדיון ואת התוצאה. כמו שכוונת של נשק הכרחית כדי לפגוע במטרה. במקרה של פרטיות, הדיון בדרך כלל מתערבב עם עוד נושאים כמו ריכוזיות וכוח שוק ("גוגל ופייסבוק חזקות מידי"), מניפולציה על הליכים דמוקרטיים (המעורבות הרוסית בבחירות 2016 בארה"ב) ו"מתקפות סייבר" (ככותרת כללית ולא בעיה ברורה). הזליגה הזו מתחילה כשאין הגדרה של הבעיה שבה אנחנו רוצים לטפל.
אם נדבר בשפה של ניהול סיכונים: סיכון (בעיה) הוא סיפור עם התחלה, אמצע וסוף. ולכן אנחנו צריכים להיות מסוגלים להגדיר את הבעיה בצורה כזו: מישהו עושה x וכתוצאה מכך נגרם נזק למישהו אחר. למשל: עובד של בנק מחפש מידע פיננסי על אנשים שהוא מכיר (שהם לקוחות הבנק) ומרגל אחריהם. כשהבעיה מוגדרת ככה קל להבין מה מסגרת הדיון ואפשר לדון בה. כמובן שמדיניות בדרך כלל מיועדת להתמודד עם מגוון סיכונים (ולכן צריך לזהות את כולם).
בהקשר של פרטיות חשוב להגדיר על איזה מידע מדובר (אישי, רפואי, פיננסי, דפוסי התנהגות לאורך זמן); איפה הוא שמור ומהיכן הוא דולף; האם הפגיעה בפרטיות נגרמת כתוצאה ממעשה מכוון או בגלל טעות/ תקלה; כמה המידע הזה רגיש לבעליו וכמה הוא בעל ערך למי שמשיג אותו?
אם אנחנו לא יודעים לענות על כל השאלות האלו ולאפיין את הבעיה בצורה טובה על בסיס נתונים, אנחנו סתם יורים באפלה. במקרה הטוב – הרגולציה לא תפתור את הבעיה, במקרה הרע (והנפוץ) – ניצור בעיות חדשות.
2. האם הרגולציה המוצעת יכולה להשפיע על הבעיה?
האם החלופות השונות לרגולציה יכולות להשפיע על הבעיה? אם הבעיה נובעת מחוסר הרתעה – רגולציה בלי סמכויות פיקוח ובלי שיניים לא תעזור. אם הבעיה נובעת מהזנחה של תשתיות – לא יעזור אם נחייב הכשרה מינימלית של עובדים. נתקלתי לא פעם ברגולציה שחייבה את המפוקחים לפעול לפי פרוטוקול מקצועי מוגדר, כשהבעיה בכלל הייתה חוסר תיעוד של מידע.
צריך להיות קשר סיבתי ברור בין הפתרון המוצע (הרגולציה) לבין הבעיה והמנגנון שגורם לה. זה נשמע פשוט אבל זה לב העניין.
3. מהם היתרונות והחסרונות של המדיניות?
מאחר שמאחורי המדיניות יש כוונות טובות, בדרך כלל אנחנו נלכדים בראיית היתרונות ולא בחסרונות. זו הטיה שמכונה "אופטימיזם של מקבלי החלטות". התוצאה היא התאהבות ברעיונות של עצמנו, ועיוורון לבעיות שהם יוצרים.
הרבה פעמים החסרונות הם risk trade off: אנחנו מחליפים סיכון אחד בסיכון אחר (ראינו את זה בתחבורה, בבטיחות מבנים ובסימון בריאותי). בתחום הפרטיות הבעיה היא שהרגולציה מתוכננת סביב ענקיות הטכנולוגיה אבל היא תשפיע על כולם. אם הממשלה תכתיב פרוטוקולים טכניים – זה עלול לצמצם את מגוון השירותיים שקיים לציבור הצרכנים. מתוך רצון לבנות משטר הדוק וקשוח שיגן על הפרטיות שלנו, הרגולציה עלולה ליצור חסמים שיפגעו בעיקר בעסקים קטנים וימנעו ממתחרים חדשים להיכנס לשוק (סיכון לתחרות).
לעיתים רגולציה גורמת לחברות לוותר מלכתחילה על השוק (כמו במקרה של רגולציה גדולה על שוק קטן). לא מעט חברות ויתרו על השוק האירופי בגלל הדרישות המחמירות של ה-GDPR. זה קרה עם כלי תקשורת (LA times) ועם חברה לניהול תיבת הדוא"ל (Unroll.me). כנראה שזו הסיבה שנתח השוק של גוגל דווקא גדל באירופה בעקבות ה-GDPR.
4. האם הרגולציה הקיימת יכולה להיות חלק מהפתרון?
לשמחתנו/ לצערינו (מחקו את המיותר) כבר יש לא מעט רגולציה. גם רגולצית פרטיות וגם רגולציה אחרת יכולה להיות רלוונטית. למשל, בישראל קיימים חוק המחשבים וחוק הגנת הפרטיות. האם הם נותנים מענה לחלק מהסיכונים? אם לא – חשוב להבין למה. מצד שני קיימת גם רגולציה שמיועדת לעודד מעבר של מידע פרטי, למשל חוק שירות נתוני אשראי, שעוסק בהעברת מידע בין גופים פיננסיים. לעיתים הרגולציה גורמת בעצמה לבעיות שצריך לפתור. לכן כשבודקים מה המצב הקיים, לא מספיק לברר מי השחקנים ומה הפעילות בשוק. חשוב להכיר את כל הרגולציות שפועלות ומשפיעות על הסוגיה. זה גם יעזור למנוע סתירות בין הרגולציה הקיימת לרגולציה החדשה. במקרה של רגולציית פרטיות – הממשלה בעצמה היא גורם שאוסף ושומר הרבה מידע על הציבור. האם זיהינו את הממשלה כמפוקח מרכזי של רגולציית פרטיות?
בתור התחלה שאלנו אם הרגולצה הקיימת יוצרת או מחריפה את הבעיה. אבל היא יכולה להיות חלק מהפתרון. הרשות לניירות ערך עוסקת כיום ברגולציה על מידע למשקיעים והרשות להגנת הצרכן עוסקת ביחסים שבין צרכנים לעוסקים, כולל היבטי המידע. המקבילה האמריקאית של הרשות להגנת הצרכן – ה-FTC, הגישה לאורך השנים עשרות כתבי אישום בגין שימוש במידע פרטי של לקוחות.
לכן צריך לחשוב איך הרגולציה החדשה תשתלב במארג הרגולטורי הקיים, ובשאיפה בצורה הרמונית שלא תגרום לבלבול וכפילויות. השאלה החשובה היא האם צריך רגולציה חדשה או רק להשלים ולתקן את הרגולציה הקיימת?
5. מי מתאים להיות הרגולטור?
אם השאלה הרביעית היא "איפה", אז השאלה החמישית היא "מי". מי יהיה הרגולטור. הוא צריך מיומנות, משאבים, סמכויות פיקוח ואכיפה והבנה של הסקטור המפוקח. זהות הרגולטור היא שאלה קריטית במיוחד בתחומים חדשניים. מי יהיה הרגולטור של הפרטיות? האם בתחום הפיננסי יהיה רגולטור נפרד? לא בטוח שהיום אנחנו יודעים מספיק כדי לקבל החלטה מושכלת.
האם נושא רוחבי כמו פרטיות צריך להיות מטופל על-ידי רגולטור רוחבי אחד, או שבכל סקטור יהיה רגולטור ענפי? לפני 100 שנה השאלה הזו עלתה לגבי הגנה על תחרות והתשובה בעולם היא רגולטור רוחבי של הגבלים עסקיים. לפני 50 שנים השאלה הזו עלתה לגבי הגנה על הסביבה – מדינות הקימו משרד ייעודי שיחיל רגולציה רוחבית, אבל במקביל גם רגולטורים ענפיים עוסקים ברגולציה סביבתית (בישראל: משרד הבריאות, משרד האנרגיה, משרד התחבורה ומשרד החקלאות).
בפרפרזה על מאיר אריאל: בסוף כל רגולציה שאתם קוראים בעברית יושב רגולטור ("…עם נרגילה").
בדרך כללהרגולטור מעורב בגיבוש הרגולציה – כנראה שמי שיקדם רגולציית פרטיות גם יהיה הרגולטור שלה. ואם זה יקבע לפי "כל הקודם זוכה", הבחירה תהיה שרירותית.
חמש השאלות האלו הן שאלות חובה כאשר ניגשים לקבוע רגולציה על פרטיות (ורגולציה בכלל). השאלות קשות ומורכבות. הניסיון מלמד שאם לא חושבים עליהן מראש – משלמים על זה מחיר בדיעבד.
הרגולטור - גיא מור 