סעיף 1(2) לחוק הגנת הפרטיות, התשמ"א - 1981 קובע כי "בילוש או התחקות אחרי אדם, העלולים להטרידו, או הטרדה אחרת" מהווים מעשה של פגיעה בפרטיות. לכאורה, זהו סעיף שלפי פשוטו יש להחילו על התחקות מקוונת אחר פעולותיהם של משתמשי אינטרנט. תכליתו של בילוש נסתר זה לשרטט פרופיל אישי של העדפותיהם, טעמיהם ורצונותיהם. ספק, עם זאת, אם מתקיימת בו הדרישה להטרדה ("משפט באינטרנט מיום 3 בפברואר 1999). בנסיבות אלה לא ניתן לקבוע בפסקנות, כי סעיף 1(2) לחוק הגנת הפרטיות, התשמ"א - 1981 אוסר על איסוף מידע באופן בלתי מורגש, באמצעות מערכות מחשב. האם הוראות אחרות בחוק יכולות לסייע בכך?
סעיף 5(2) לחוק הגנת הפרטיות אוסר העתקת תוכן של מכתב או כתב אחר שלא נועד לפרסום, או שימוש בתכנו, בלי רשות מאת הנמען או הכותב. אחד החששות הרווחים בעולם המקוון מתמקד במידע, שנצבר באמצעות Cookies (קבצי טקסט זעירים הנוצרים במחשבו של המשתמש לפי פקודה מאתר האינטרנט שבו הוא מבקר ומכילים מידע, כדוגמת הדפים שבהם ביקר, המודעות שבהן צפה, הפריטים שרכש וכיו"ב). הטכנולוגיה מאפשרת למחשב-שרת אחד לקרוא עוגיות שנוצרו על-ידי מחשב-שרת אחר, למרות שבמקורה לא נועדה לכך: שרתים יכולים להזדהות כמחשבים אחרים, ובכך לקרוא את העוגיות שיועדו לאותם מחשבים אחרים, והגדרות מסוימות בעוגיות מאפשרות לכל מחשב לראותן (ראה הדגמה באתר Cookies Central).
האם העוגיות הן "כתב אחר שלא נועדו לפרסום"? הרי אין להן תכלית אם אינן מתפרסמות בדרך כלשהי. מאידך ניתן לומר שאם מחשב-שרת אחד מזמין עוגיות שלא נועדו אליו כשהוא מתחזה למחשב-שרת אחר, הוא משתמש בתוכנו של כתב, שלא יועד אליו, בלא רשות הנמען או הכותב.
סעיף 9(2) לחוק הגנת הפרטיות מורה, כי שימוש בידיעה על עניניו הפרטיים של אדם או מסירתה לאחר, שלא למטרה שלשמה נמסרה מהווה עוולה של פגיעה בפרטיות. הפסיקה בענין זה הרחיקה לכת וקבעה כי אף שימוש בשמו של אדם, כתובתו, מספר הטלפון שלו וכיוצא באלה פרטים טריוויאלים ייחשב לשימוש בידיעה על עניניו הפרטיים (ע"א 439/88 רשם מאגרי המידע נ' ונטורה, פ"ד מח (3) 805). ברשת יש שפרטים הנאגרים אודות אדם באתר אחד יימצאו דרכם לאתר אחר (לדוגמה, חלוקת מידע בין שתי חנויות מקוונות, שהוקמו באמצעות אותו ספק שירות). דומה כי במקרה כזה, שבו אדם מוסר את פרטיו לחנות פלונית כדי לקבל ממנה מוצר אלמוני, והמידע משמש כדי לתפור פרסומות לצרכיו באתר אחר, תהיה תחולה להוראת סעיף 9(2) לחוק.
פתרון נוסף נמצא אולי בחוק המחשבים, התשנ"ה - 1995, האוסר על חדירה שלא כדין לחומר מחשב. מחשב-שרת יוצר עוגיה (פקודתSet Cookie), ולאחר מכן מורה למחשבו של המשתמש להחזיר אליו את העוגיה והמידע האגור בה (פקודתGet Cookie). לכאורה יכולה הפקודה להחשב למעשה אסור של חדירה לחומר המצוי במחשבו של היחיד, ולו מפני שהיא מתבצעת בלא ידיעת המשתמש. לבטח זהו המצב כאשר לא המחשב שיצר את העוגיה מבקש לקבלה אליו, אלא מחשב אחר. אולם אליה וקוץ בה: חוק המחשבים אינו קובע שמעשה של חדירה לחומר מחשב הוא עוולה של פגיעה בפרטיות! זהו ליקוי מהותי בחוק, המחייב את מי שיבקשו להסתמך עליו לבסס את טיעונם על עוולת המסגרת של הפרת חובה חקוקה.
ניתן להמשיך ולמנות הוראות שונות בדין, ולבחון באיזו מידה יחולו על סיטואציות אפשריות בעולם המקוון. בוודאי יימצא כי לחלק מן המצבים יש תשובה בהוראות הדין הקיים. אולם אין מנוס מהמסקנה כי הדין אינו הולם התחקות נסתרת אחר מעשי היחיד בעולם המקוון, במטרה לשרטט פרופיל אישי שלו ולהשתמש במידע זה לצרכים שיווקיים. יחיד זה יכול להיות בגיר או קטין; אפשר שמסר את המידע אודותיו בתום לב לחנות אחת, ואפשר שהוא נאסף בסתר גמור בלא שיידע על כך: תהיינה אשר תהיינה הנסיבות, כלל לא בטוח שחוק הגנת הפרטיות, התשמ"א - 1981 מגן עליו.
דו"ח הוועדה על ישראל בעידן התקשוב קבע לפני כשנתיים כי יש להדק את הפיקוח על מאגרי המידע. כדי להבטיח את עמידת האחראים למאגרי המידע בחובת אבטחת המידע שקובע חוק הגנת הפרטיות, המליצה הוועדה לעמוד על הקמתה של יחידת פיקוח ברשם מאגרי המידע בהיקף וברמה מקצועית נאותה, ולהבטיח שיעמדו לרשותה משאבים ושיטות פעולה אשר יאפשרו הרגשת הפיקוח בשטח וייצרו תמריץ ליישומן של ההוראות החקוקות בנושא.
דומה שבכל אלה לא די. העולם המקוון מחייב, במידה רבה, בחינה מחודשת של השאלה מהי הפרטיות הראויה להגנה, והאם פרטיותו של יחיד שאינו מזוהה בשמו או במענו הפיסי ראויה בכלל להגנה. במלים אחרות - איזה נזק, אם בכלל, ייגרם מכך שעסק מקוון יידע שבעלcookie מסוימת יתעניין במחשבים אישיים ניידים, לדוגמה, ויציג בפניו מודעות פרסומת למוצרים אלה או שיציע לו מבצעים מיוחדים בתחומם, התפורים במיוחד לטעמו. ואולי טמונה בכך רק תועלת?