בשנים האחרונות העולם מתעורר ומבין שהגנה על הפרטיות הפכה מ"עוד תחום" לאחת הרגולציות הרגישות והנחוצות ביותר. לא רק שטכנולוגית ניתן לאסוף ולשמור הרבה יותר מידע, גם היכולת להשתמש במידע הזה עברה שינוי.
בשנים האחרונות ראינו רנסנס רציני של התחום שהולך ומתחדש. זה התחיל בחקיקה האירופית (GDPR) והמשיך לחקיקה בקליפורניה (CCPA, שהורחב ב-CPRA). והשנה התחילו לקדם בארה"ב חקיקה פדרלית – American Data Privacy and Protection Act. כמו שהעולם הולך לכיוון של טכנולוגיית מידע, אין ספק שהעולם הרגולטורי הולך לכיוון של הגנה על המידע הזה ועל הפרטיות.
אבל לצד החשיבות של הפרטיות, חשוב לזכור שזה לא הדבר היחיד שחשוב.
למה בכלל פוגעים לי בפרטיות?
אם הטלפון או המחשב שלכם עם חיבור לאינטרנט, יש לכם גישה להיקף עצום של מידע. אתם יכולים לגשת לנתונים על כמעט כל נושא, לדבר עם אנשים, לקבל שירותים ומה לא.
הפלטפורמות הדיגיטליות שמאפשרות את השירותים האלו חייבות להכניס כסף. ואחת הדרכים המקובלות היום להרוויח כסף משירותים דיגיטליים היא באמצעות המידע שנאסף, בדרך כלל לצרכי פרסום.
אם הפלטפורמות הדיגיטליות לא יוכלו להכניס כסף – רוב השירותים שהתרגלנו שזמינים לנו מכל מקום פשוט יעלמו.
ובאותו נודה על האמת – רובנו לא מוכנים לשלם על רוב השירותים שבהם אנחנו משתמשים. האם אתם מוכנים לשלם על קריאת חדשות? על גלישה ברשת החברתית האהובה עליכם? על פרסום / צפיה במודעות למכירה ביד שנייה? על עריכת תמונות? על תיבת אימייל? על צפיה בסרטונים?
עיקרון ההסכמה
עד היום חקיקת הפרטיות הייתה מבוססת על עקרונות של יידוע וקבלת הסכמה. כולנו מכירים את זה – כשאנחנו מתחברים לאינטרנט אנחנו כל הזמן נשאלים אם אנחנו מסכימים למדיניות הפרטיות של אתרים ושירותים. כמובן שהקונספט הזה לא מושלם: החל מדרכים אפלות להשיג את אותה הסכמה, דרך החוויה של הצפה מדרישה לאשר מדיניות פרטיות ועד חוסר שקיפות או עדכון לקוי לגבי מדיניות הפרטיות ושינויים בה.
בהחלט אפשר לחשוב על שיפורים, אבל לפני שמשנים צריך גם לשמור על הקיים.
למשל, יוזמות החקיקה העדכניות בארה"ב מציעות לחייב הסכמה של המשתמש שתהיה מפורשת ונפרדת לאיסוף כל סוג של מידע, גם אם המידע משמש רק לשיפור שירות הלקוחות, להבדיל ממידע שמשמש לפרסום מטורגט. תחשבו על תהליך שבו אתם צריכים לאשר בנפרד שימוש בכל סוג של מידע – זה מייצר הכבדה על המשתמש ולא בטוח שזה יעלה את המודעות כי בשלב מסויים אנחנו מתחילים להקיש אוטומטית בלי לקרוא. גם הטרטור שבקבלת הסכמה הוא בעיה והעיסוק בטפסים ובאישורים מסרבלים את התהליך לכולם, גם לחברה וגם ללקוח.
אם אתם שואלים את עצמכם – אז איך מגבשים רגולציית פרטיות טובה? – תוכלו למצוא את התשובה בפוסט הקלאסי שפרסמתי לפני מספר שנים.
בארה"ב פועל ארגון ללא כוונות רווח בשם Uniform Law Commission, שמתמקד בשקיפות, וודאות ועקביות בחקיקה. הארגון גיבש המלצה לחקיקת פרטיות שמבחינה בין שני העקרונות: ידוע והסכמה. למשל, הם מציעים שעבור חלק מהמידע החברות רק יצטרכו ליידע את המשתמש שהמידע נאסף אבל לא יצטרכו לקבל את ההסכמה שלו.
הרעיון הוא לא לפגוע במשתמשים. הם פשוט מבינים שהצפה של המשתמש בדרישות לתת הסכמה הופכת את המשתמש לרובוט שמאשר כל דבר ולוחץ על כפתור ה"קראתי את התקנון ואני מסכים" בלי לקרוא אפילו מה כתוב על הכפתור. צמצום הצורך לקבל הסכמה יכול להפחית את העומס גם על החברות באינטרנט אבל בעיקר על המשתמשים ולהחזיר את ההסכמה למקום יותר מרכזי ופחות אוטומטי. לפי ההצעה, מידע שהוא רגיש יותר או שהשימוש בו מעורר סיכונים – יהיה חייב בקבלת הסכמה של המשתמש.
למה משמש המידע?
אפשר לחשוב על שלושה שימושים מרכזיים למידע שהחברות אוספות:
1. מטרות שקשורות בפעילות העסקית ובמוצר – יש מידע שנאסף כדי שהמוצר יפעל, או כדי שיפעל באיכות טובה. למשל, מידע שהאפליקציה משתמשת בו כדי לספק שירות. גם מידע שמשמש את החברה לצרכי שיווק.
2. מטרות כלכליות אחרות – כאשר מוכרים את המידע עצמו לצד שלישי.
3. מטרות רגולטוריות – כאשר המידע נאסף לאור חובה רגולטורית.
מידע שמשמש לפעילות העסקית ובמוצר
אם הלקוח לא מוכן למסור מידע או שיעשה שימוש במידע שלו, בחלק מהמקרים זה לא יאפשר להציע לו שירות. הדוגמה הקיצונית היא אתר שמספק שירותי השמה מקצועית (מקשר בין מועמדים לעבודה לבין מקומות עבודה). נניח שאדם לא מוכן שיאסף ויעשה שימוש במידע על ההשכלה והניסיון המקצועי שלו – יהיה מאוד קשה לספק לו שירות.
זו דוגמת קיצון. במציאות הסיפור מסתבך בגלל – איך לא – רגולציה.
רגולציית ה-GDPR באירופה וגם רגולציות פרטיות בארה"ב קובעות שהמשתמש יכול לבחור שמידע מסויים לא יאסף (עיקרון ה- opt-out). הרגולציה גם אוסרת על החברות לנהוג אחרת במשתמשים שביקשו שהמידע עליהם לא יאסף.
רק שיש כאן בעיה. הרגולציה מחייבת את החברות לספק את אותם שירותים באותה רמה למשתמשים שמאפשרים שימוש במידע שלהם ולמשתמשים שלא מאפשרים שימוש בו. אבל מתן השירותים וגם האיכות שלהם תלוייה במידע של המשתמש. ולכן בחלק מהמקרים אי אפשר לספק את כל סל השירותים למשתמש שלא מוסר את המידע שלו. התוצאה היא שאם חייבים לספק את אותם שירותים לכולם – רמת השירותים תדרדר כדי "להתיישר כלפי מטה". התוצאה היא שגם המשתמשים שכן מוסרים את המידע יקבלו שירות פחות טוב.
איסוף מידע כדי למכור אותו
עוד בעיה היא שאם החברות לא יכולות לאסוף מידע למטרות כלכליות – זה פוגע במקורות ההכנסה שלהן. כמובן שלא צריך לאפשר להן לעשות במידע הכל, אבל בלי איסוף של המידע יהיה להן קשה לייצר הכנסות ולממן את השירות הדיגיטלי שהן מציעות. אם אחוז משמעותי מהמשתמשים לא יסכימו שהמידע עליהם יאסף – עלולה להיגרם פגיעה כלכלית קשה לחברות, מה שעלול להסתכם בפחות שירותים דיגיטליים או בשירותים פחות טובים.
המידע שווה כסף ולכן מדיניות פרטיות אגרסיבית שמונעת צבירת או שמירת מידע – שווה כסף או תעלה כסף.
בדרך כלל לקוחות מקבלים שירות ומוצרים טכנולוגיים יותר טובים מחברות עסקיות בהשוואה לאיכות השירות והטכנולוגיה שמקבלים מחובבן או מגוף ללא מטרת רווח. הסיבה היא שגוף שמרוויח יכול לממן פיתוח של טכנולוגיות ומוצרים טובים יותר.
מגבלות על השירותים והשפעות לא מכוונות
בהחלט חשוב לתת מענה לחששות של המשתמשים באינטרנט ולהגן על הפרטיות שלהם. יש פרקטיקות בעייתיות שצריך לטפל בהן. רק שצריך לשרטט את הגבול בצורה זהירה – להגדיר באיזה מידע מותר להשתמש ובאיזה מידע צריך לטפל בזהירות רבה.
אבל חשוב שלא נהיה מופתעים מעצם העובדה שחברה שמספקת לנו שירותים מועילים צריכה הכנסות כדי לממן אותם. שרת הדואר האלקטרוני של גוגל – Gmail – ניתן לנו בחינם. ממשק נוח, אחסון, סינון ספאם, יכולות חיפוש ועוד. הפיתוח והתחזוקה של השירות הזה עולים לא מעט.
אם הרגולציה לא תאפשר שימוש במידע – אנחנו המשתמשים נפגע.
ה-GDPR היא רגולציית הפרטיות המודרנית הגדולה הראשונה. לחצו כאן כדי לקרוא את הניתוח שלי על השפעות ה-GDPR.
וזה לא רק עניין צרכני. רגולציית פרטיות יקרה או מחמירה עלולה לשחק לידיים של ענקיות הטכנולוגיה (שאפילו מבקשות רגולציה). סיפרתי כאן בעבר שרגולציית הפרטיות האירופית, ה-GDPR, קבעה דרישות כל כך מחמירות ויקרות, שחברות קטנות וסטארטאפים לא יכלו לעמוד בה כלכלית. התוצאה הייתה שחברות רבות סגרו את הפעילות שלהן באירופה. וכך בעקבות חקיקת ה-GDPR נתח השוק של גוגל באירופה גדל. הרגולציה חיסלה בשבילה את המתחרים.
וכמובן שאם הרגולציה מחסלת את החברות הקטנות, כמו סטארטאפים חדשים, אז נפגעת גם החדשנות הטכנולוגית והיכולת להציע שירותים חדשים.
כדי לשמר שוק תחרותי, אנחנו צריכים לאפשר לחברות לפעול ולהתחרות. רגולציה מחמירה מאוד (ביחסים מול הלקוח, במדיניות אבטחה ובמגבלות על שימוש במידע) עלולה לשרת את הפרטיות אבל לפגוע בתחרות. ואם אתם עוקבים אחרי העיתונות – יום אחד מזהירים אותנו שענקיות הטכנולוגיה יפגעו לנו בפרטיות אבל למחרת מזהירים אותנו שהן משתלטות על השוק ותופסות מעמד מונופוליסטי. חשוב שהמדיניות הממשלתית תהיה קוהרנטית ותביא בחשבון את כל התמונה.
הצורך באיזון
פרטיות היא זכות יסוד וגם אינטרס שיש חשיבות ציבורית להגן עליו. אבל במדיניות ציבורית כשאנחנו מזיזים כלי אחד – אנחנו עלולים להשפיע לרעה במקום אחר.
אם לא ניזהר מהשפעות סותרות – אנחנו עלולים לחזק את הפרטיות תוך פגיעה קשה באינטרסים חשובים אחרים. בין אם זה עצם קיומו של השירות הדיגיטלי, חדשנות טכונלוגית, או תחרות.
רגולציית פרטיות איכותית צריכה לספק הגנה הולמת, וגם לייצר מינימום מעורבות כדי לאפשר שימוש במידע, כי הוא מה שמניע את הכלכלה הדיגיטלית.
הרגולטור - גיא מור 