שנת 2024 היתה רוויית התפתחויות משמעותיות בתחום הגנת הפרטיות. בעולם, כניסתה של הבינה המלאכותית כמעט לכל תחום הביאה עמה אתגרים חדשים בתחום אבטחת הסייבר, ובישראל אושר תיקון נרחב לחוק הגנת הפרטיות, לאחר שנים של קיפאון.
זה לא עזר למנוע את העלייה הדרמטית במתקפות סייבר מצד גורמים עוינים במהלך המלחמה, שהובילו לדליפות מידע והפצת נתונים רגישים של אזרחים ישראלים. בנוסף, עלו שאלות מורכבות סביב האיזון בין צורכי הביטחון הלאומי לבין שמירה על זכויות הפרט, בעיקר במעקב אחרי אזרחים באמצעות כלים טכנולוגיים מתקדמים, הנמצאים בסמכות השב"כ.
אז איפה עומדת הפרטיות שלנו ומה עוד נדרש כדי להבטיח הגנה על זכות בסיסית זו לכלל האזרחים במדינה? יום הגנת הפרטיות הבינלאומי שמצוין היום ברחבי העולם נועד בדיוק כדי לדון בשאלות כאלה ולהעלות את המודעות לנושא חשוב זה.
עידן חדש של פרטיות בדין הישראלי
בתום חודשים ארוכים של דיונים בכנסת, אושר השנה תיקון 13 לחוק הגנת הפרטיות. התיקון מהווה אבן דרך חשובה בהתאמת החוק הישראלי למציאות הטכנולוגית, מגביר את ההגנה על הזכות לפרטיות המידע האישי, ומחזק את יכולות האכיפה של הרשות להגנת הפרטיות כנגד הפרות החוק ואי עמידה בדרישות הדין בתחום אבטחת המידע. התיקון נועד להבטיח כי ישראל תוכר כמדינה בעלת חקיקה התואמת את סטנדרט הפרטיות הנדרש לפי תקנות ה-GDPR האירופיות.
לדברי עו"ד גפנית לגזיאל שבבו, שותפה וראש תחום הגנת הפרטיות ואבטחת המידע במשרד פירון, "מדובר בתיקון דרמטי, שכן הוא מדביק את הקצב, ביחס להתפתחות הטכנולוגית ולסיכון המוגבר לפרטיות הכרוך בה".
התיקון מרחיב חובות קיימות ומייצר חובות חדשות ומחמירות בנוגע לאיסוף, עיבוד, שמירה ושימוש במידע אישי של לקוחות, עובדים ושותפים עסקיים, ולצד זאת מגביר את האחריות ועלול להוביל לסנקציות כספיות בסך מיליוני שקלים, סנקציות פליליות, או תביעות ייצוגיות ואזרחיות בגין אי ציות לחוק ולתקנות.
לגזיאל שבבו מוסיפה כי "חשוב כי חברות ינהלו את הסיכונים הללו באופן שיבטיח שהמידע שהן אוספות ומעבדות יהפוך לנכס יקר ערך ולא לנטל, יגביר את אמון הלקוחות ואף יתרום לעליית שוויה של החברה בעיני משקיעים ורוכשים פוטנציאליים".
"2024 סימנה נקודת מפנה בתחום הגנת הפרטיות, כאשר אירועי חירום ומלחמה בישראל חשפו אתגרים חסרי תקדים," אומר גל רינגל, מנכ"ל ומייסד Mine. "התיקון לחוק הגנת הפרטיות שהתקבל השנה מקרב את ישראל לסטנדרטים הבינלאומיים ומחייב ארגונים לאמץ גישות מתקדמות לניהול מידע אישי. בנוסף, כניסתן לתוקף של רגולציות כמו ה-AI Act האירופי מדגישה את הצורך בהבנה עמוקה של השפעת הבינה המלאכותית על פרטיות המשתמשים."
רינגל מציין גם כי "השנה מודול חדש לניהול נכסי AI, המסייע לארגונים להיערך מבעוד מועד לרגולציות עתידיות ולהגן על עצמם מפני סיכונים. במקביל, זיהינו עלייה בבקשות פרטיות מצד משתמשים, מה שמדגיש את החשיבות של פתרונות טכנולוגיים מתקדמים לניהול מידע."
לדברי רינגל, "בשנת 2025 אנו צפויים לראות התפתחות מואצת בדרישות רגולטוריות. האתגר המרכזי הוא להפוך את ניהול הפרטיות לאסטרטגיה עסקית הוליסטית המשלבת תאימות וצמיחה תוך חיזוק אמון המשתמשים - ארגונים שינקטו גישה פרואקטיבית יוכלו לא רק לעמוד בחוקים, אלא גם לבנות אמון מול לקוחותיהם, להוביל בחדשנות ולמנף את ניהול הפרטיות כיתרון תחרותי."
אולם בעוד שארגונים וחברות יצטרכו לעבוד קשה יותר כדי להבטיח שמירה על המידע של לקוחות, בשב"כ לוקחים סמכויות יתר למעקב אחר אזרחים, והפרדוקס בולט מתמיד.
סמכויות השב"כ לביצוע מעקב וחדירה למחשבים וטלפונים
תזכיר חוק השב"כ שפורסם בדצמבר 2023, נועד להתאים את סמכויות השב"כ להתפתחויות הטכנולוגיות, בהתחשב באיומים עמם מתמודד השב"כ. לצורך כך הורחבו דרמטית הסמכויות המוקנות לשב"כ, בדגש על תחומי המחשב והסייבר, ואפשרו לו לקבל גישה כמעט לכל מאגר מידע שקיים במדינה. המועצה להגנת הפרטיות התריעה בנייר עמדה ביחס לתזכיר, כי השימוש באמצעים הטכנולוגיים לצרכי ניטור ומעקב חשאיים בידי השב"כ יפגע פגיעה ממשית בזכות לפרטיות של תושבי המדינה.
עו"ד נועה גבע, מנהלת במשותף את תחום הגנת הפרטיות במשרד וקסלר ברגמן ושות' וחברת המועצה הציבורית להגנת הפרטיות מציינת כי "על אף החששות הקשים בעקבות אירועי ה-7 באוקטובר, התזכיר נועד לספק הסדר חוקי ארוך-טווח לימי שגרה וחירום כאחד, ולכן נדרש לאזן באופן מידתי בין צרכי הביטחון לבין זכויות הפרט בישראל.
לאור המידע הרב והרגיש הנצבר על אדם בעת השימוש במחשבים ובשירותי תקשורת, מדובר ללא ספק בסמכויות חריגות, גם ביחס לחקיקות המקובלות בעולם המערבי, אשר יש לקבוע לצידן מנגנוני בקרה ואמצעי פיקוח מתאימים, פנימיים וחיצוניים.
לדברי עו"ד גבע, "השימוש בסמכויות השב"כ לתכלית חריגה זכור לכולנו מתקופת הקורונה, במסגרת איתור מגעים עם חולי קורונה וחקירות אפידמיולוגיות. עם זאת, הדבר נעשה באמצעות חקיקת הוראת שעה מיוחדת, והנושא עלה לסדר היום הציבורי ואף עמד לביקורת שיפוטית, דבר שהוביל לצמצום משמעותי של השימוש האמור עד להפסקתו המוחלטת. כל אלה אינם מתקיימים בנוגע לפעילותו השוטפת של השב"כ, שאינה עומדת לביקורת שיפוטית ואינה חשופה לעין הציבור".
לאור כל אלה, אומרת עו"ד גבע, "יש לקבוע בתזכיר מנגנון פיקוח ייעודי ועצמאי המתמחה בתחום, כדי לוודא כי מתקיימות נסיבות המצדיקות שימוש באמצעי המעקב וכי ננקטים מירב האמצעים למיתון הפגיעה".
פייק ניוז בשעת חירום: בין פגיעה בפרטיות לעבירה מוסרית ומשפטית
בתקופות של חוסר ודאות, מתגברות השמועות והודעות הפייק ניוז, שגורמות לבהלה בקרב הציבור ולעיתים נכתבות ומופצות על ידי אנשים מהשורה בתום לב ובחוסר מודעות. ברחבי הרשת ישנם גורמים המנסים לזרוע בלבול, לפלג ולגרום לחוסר אמון בין הצדדים השונים.
עו"ד לימור ארגוב שנהב, שותפה מנהלת במשותף את תחום הגנת הפרטיות במשרד וקסלר ברגמן ושות', מסבירה כי "הפצת שמועות כוזבות בתקופות משבר, ובפרט במהלך מלחמה פוגעת בליבת הזכות לפרטיות ועומדת בניגוד לערכי המוסר והחוק. חשיפת שמות, תמונות ופרטים אישיים של חיילים פצועים או חללים, לעיתים עוד לפני שגורמי הצבא הספיקו להודיע למשפחותיהם, חורגת מכל נורמה אתית ומערערת את האיזון בין חופש המידע לשמירה על כבוד האדם".
חוק הגנת הפרטיות בישראל מתווה קו ברור: הפצת מידע אישי ללא הסכמה, במיוחד כאשר היא כרוכה בפגיעה בכבוד או בפרטיות, מהווה עבירה פלילית חמורה ועילה לתביעה אזרחית. כאשר מדובר במידע רגיש על חיילים, האחריות כפולה ומכופלת, שכן פגיעה זו אינה רק אישית - היא חותרת תחת תחושת הביטחון הקולקטיבית.
לדברי עו"ד ארגוב שנהב, "הפלטפורמות הדיגיטליות חייבות להחמיר את מנגנוני האכיפה, אך האחריות מוטלת גם על כל משתמש ומשתמשת להצליב מידע ולהימנע משיתוף תוכן בלתי מאומת. שמירה על פרטיות אינה רק חובה משפטית - אלא צו מוסרי מן המעלה הראשונה".
אתגרי הפרטיות לארגונים בישראל
עמית שקד, מנכ"ל רובריק ישראל (מרכז הפיתוח הישראלי של ענקית הסייבר האמריקאית), מסביר שבעולם הדיגיטלי של היום, מידע רגיש רב נמצא בידיים של ארגונים ועסקים, ואלו הם הגורמים שצריכים להבטיח את פרטיותו.
לדבריו, "השלב הראשון בהגנה על מידע של לקוחות מתחיל עם חוק בסיסי אחד: לדעת היכן מאוחסן כל המידע הרגיש, ולוודא שהוא מאובטח כראוי. זה אולי נשמע אלמנטרי, אבל הרבה עסקים פשוט לא יודעים את התשובה לשאלה הזו. כפי שאמר לי פעם אחד הלקוחות: 'איך אני יכול לוודא שהמידע שלי מוגן וניהול הגישה אליו נעשה בצורה נכונה, כשיש לי אלפי שרתים ואני אפילו לא יודע היכן כל המידע הזה נמצא?'" משתף שקד.
מתוקף עבודתה כמנהלת שותפויות אסטרטגיות ב-UST Spark, מעין שחר עובדת מול לקוחות גלובליים גדולים של UST וחשופה לאתגרים הייחודיים שאיתם הם מתמודדים בכל הנוגע לאבטחת מידע ופרטיות, במיוחד עם עליית הבינה המלאכותית.
לדברי שחר, "אחד האיומים המרכזיים שאני נתקלת בהם שוב ושוב אצל לקוחות הוא החשיפה של מידע רגיש כתוצאה מכניסת ה-AI לכל אספקט בחיינו - הפרטיים והעסקיים. בסביבות כמו מערכות בריאות ושירותים פיננסיים, שבהן המידע לא רק רגיש אלא גם כפוף לרגולציות מחמירות, כל טעות עלולה להוביל להשלכות חמורות - מפגיעה בפרטיות הלקוחות ועד סנקציות משפטיות," משתפת שחר.
"לדוגמה, אנחנו עובדים עם ארגוני בריאות שחייבים להשתמש בכמויות גדולות של דאטה כדי לאפשר מחקר ולייעל תהליכים ארגוניים, אבל הם נתקלים בחסם: ברור שלא ניתן לתת גישה למידע רגיש ופרטי לכל כך הרבה אנשים, כי פוטנציאל החשיפה של המידע נעשה גדול מידי ולא עולה בקנה אחד עם הסביבה הנוקשה רגולטורית של ארגוני בריאות. אחד הפתרונות טכנולוגיים החדשים להתמודדות עם הבעיה הזאת היא לייצר דאטה סינטטי: דאטה 'מלאכותי' שמדמה נתונים של מטופלים אמיתיים אך אינו חושף שום פרט מזהה שלהם. כך, ארגונים יכולים לאמן מודלים של בינה מלאכותית בצורה מאובטחת שאינה מסכנת פרטים אישיים של מטופלים. בסופו של דבר המודלים הללו מאפשרים להם להפיק תובנות מחקריות ולשפר ביצועים מבלי להתפשר על אבטחת המידע ועל פרטיות הלקוחות."
שקד מסכם: "עם ציון יום הגנת הפרטיות ובפתחה של שנת 2025, חובתם של ארגונים להעניק ללקוחות את הביטחון שהמידע שלהם מוגן - לא משנה היכן הוא נמצא - גם בעודם מנצלים מלוא הפוטנציאל של כלי AI. פתרונות מתקדמים שמאפשרים לארגונים למפות, להגן ולנהל גישה למידע שלהם הם המפתח להבטחת פרטיות הלקוחות ולהפחתת הסיכונים לדליפות ולפגיעות. פרטיות אינה רק עניין של עמידה בתקנות רגולטוריות —היא היסוד לאמון הלקוחות בארגון ובסופו של דבר מה שמאפשר לעסקים לצמוח בביטחון".