עוגיות (cookies) הן פיסות מידע הנשלחות מאתרי האינטרנט למחשב האישי של הגולש ברשת. העוגיות יכולות לכלול מידע על המשתמש, זהותו, האתרים שביקר בהם, הפרסומות שהוצגו בפניו, המוצרים שהזמין באינטרנט ועוד. ממחשב המשתמש מוחזרות העוגיות אל הרשת - בין אם אל האתר שיצר אותן ובין אם לאתרים אחרים, נוספים. התהליך מתבצע בחשאי, מבלי שהמשתמש יהיה מודע לחילופי המידע המתרחשים מאחורי גבו. ככל שהן נצברות במחשבו מסוגלות איפוא ה- cookies לשרטט תמונת דיוקן של המשתמש, רצונותיו והעדפותיו. אף כי לעתים קרובות אין המשתמש מזוהה בשם וכתובת אלא רק במספר המשתנה מגלישה לגלישה (IP Address) הרי שאם הזין פעם אחת את נתוניו האישים לאתר, הוא עלול למצוא עצמו עם עוגיה המצביעה ישירות אליו, אל האיש שמאחורי מסך המחשב. ההיבטים הטכניים של פעולת העוגיות, מטרתן, תועלתן וחסרונותיהן נסקרו בהרחבה במאמר הקודם.
לפי שעה, הדין הישראלי אינו ערוך להתמודד עם "סוכנים חשאיים" אלה, השוכנים במחשב המשתמש ומסוגלים להפיץ מידע אודותיו ברחבי העולם הוירטואלי: לכאורה, חוק הגנת הפרטיות, התשמ"א-1981 הוא המקור הטבעי להסדרת הסוגיה. אלא שהחוק מגדיר רשימה סגורה של פעולות העולות כדי פגיעה בפרטיות. דחיקתן של העוגיות לרשימה זו אינה נקיה מספקות.
האם משלוח העוגיות יכול להחשב "התחקות אחר אדם העלולה להטרידו" (סעיף 2(1) לחוק הגנת הפרטיות)? המצדדים בהפעלתן יאמרו ודאי שלא זו בלבד שהעוגיה אינה מטרידה כשלעצמה את הגולש ברשת, אלא שיש בה הפוטנציאל לסייע לו. לדוגמה, כאשר העוגיות חוסכות את הצורך בהקלדה חוזרת ונשנית של סיסמאות כניסה לאתרים, או כשהן מתאימות את הפרסומות המוצגות לגולש לתחומים שבעבר משכו את תשומת לבו.
סעיף 2(9) לחוק, המדבר ב"שימוש בידיעה על עניניו הפרטיים של אדם... שלא למטרה שלשמה נמסרה" בעייתי יותר מבחינתם של מפיקי העוגיות. בעיתי, מפני שככל שפעולתן של העוגיות סמויה מן העין ספק אם ניתן לומר שהמשתמש "מסר" את המידע הגלום בהן. בעיתי גם מפני שעצם השימוש במידע - ולא רק פרסומו ברבים או מסירתו לצד שלישי - עולה כדי עוולה של פגיעה בפרטיות. מאידך גיסא, האם גולש ברשת אינו מסכים מכללא להיבטים הטכניים בפעולתה של האינטרנט, ובכלל זה לעוגיות? דומה שטעון זה ילך ויצבור עוצמה ככל שתוכנות השיטוט ברשת, הדפדפנים, יאפשרו למשתמשים שליטה גוברת בהתנהגות העוגיות. עד כה, לדוגמה, אפשרו התוכנות לקבל התראה על משלוחן של עוגיות למחשב המשתמש. מעתה, תוכנת נטסקייפ נביגטור 4.0 מאפשרת לגולש לסרב באופן מוחלט לקבל עוגיות, או להתיר רק קבלתן של עוגיות המיועדות לחזור לאתר שיצר אותן אך לא למחשבים אחרים. באופן זה מצטמצם מאד הסיכוי שהמידע האישי הנאגר אודות המשתמש יגיע למקומות בלתי רצויים. אם משתמש לא הגביל את פעולתן של העוגיות, האם לא הסכים במשתמע לאיסוף המידע הכרוך בקבלתן ובמשלוחן מאחורי גבו בחזרה אל העולם הוירטואלי?
השימושים בידיעות שנאספו באמצעות העוגיות כפופים למגבלות חוק הגנת הפרטיות. כך לדוגמה, מסירת שמותיהם של אנשים שביקרו באתרי מין לספקים בתחום זה - אסורה לכאורה מפני שהמידע עלולה להחשב כנוגע בצנעת חייו האישיים של אדם ובפעולות שעשה ברשות היחיד (סעיף 2(11) לחוק). ספקי גישה לאינטרנט חייבים גם בקבלת רישיון להפעלתם של מאגרי מידע המכילים אינפורמציה שנאספה בדרך זו (פרק ב' לחוק) - בין אם בגלל מספר האנשים הנזכרים ברשומות המאגר, בין אם מפני שניתן לטעון כי מידע זה נאגר בלא הסכמתם של אנשים אלה (רובנו אינם מודעים ל- cookies) ובין אם מפני שתכליתו לשמש לפעולות פרסומת שונות, כדוגמת דיוור ישיר.
עם זאת, אין בחוק הגנת הפרטיות תשובה לכל ההבטים המטרידים בפעולתן של העוגיות או כל טכנולוגיה עתידית אחרת שתאפשר ללקט אינפורמציה באמצעות רשתות מחשב. בדו"ח על ישראל בעידן המידע, שנמסר לאחרונה לראש הממשלה כלול פרק משפטי, שנכתב על ידי ועדת משנה בראשות פרופ' משה בר-ניב. פרק זה מתייחס גם להגנת הפרטיות: "עקבות" שמשאיר הפרט בעולם הוירטואלי (היכן דפדף, איפה נמצא, לכמה זמן, מה רכש) יוצרות סכנה של יצירת פרופיל פרטי שלו, קובעת הוועדה. יש להתמקד בהבטחה שמידע כזה לא יהיה זמין לציבור במערכת מתוקשרת הפתוחה לכל, ולהגביל את השימוש שעושות רשויות המדינה במידע שכזה. הוועדה, ממליצה, בין השאר, לעמוד על עמידת האחראים למאגרי המידע בחובות אבטחת המידע שקובע חוק הגנת הפרטיות.
העוגיות חוצות גבולות, ימים ויבשות בשניות ספורות. הסדר חוקי, שיהיה ייחודי למדינה אחת, עלול להיות חסר תועלת או לעורר שאלות מורכבות של ברירת דינים. שוו בנפשכם עוגיות שנאספו למחשב בישראל מאתרים בארצות הברית, אוסטרליה, גואם וברזיל ונפרקו למחשב במלזיה... זוהי סיטואציה טריוויאלית בהחלט. הפרנסה הצפויה לעורכי הדין רק בוויכוח איזה דין יחול על העוגיות - עוד בטרם הדיון בשאלה האם יש במידע שפרקו העוגיות משום עוולה או הפרת חובה כלשהי - מעוררת השראה.... נראה אפוא שבנושא זה - כבנושאים רבים אחרים - תיטיב ישראל לעשות אם תאמץ נורמות בינלאומיות כדי ליצור הרמונה בדינים החלים על הטריטוריה הבלתי-מוגדרת של האינטרנט. זהו, כמובן, גם ענינן של מדינות אחרות ודומה כי אמנה בינלאומית המסדירה מותר ואסור היא מענה שיש לשוקלו.
עד שיתרחש הדבר, הולכת הטכנולוגיה של ה- cookies ומקימה לה מתנגדים:
במאמר נרחב שפורסם ב- Technology West Virginia Journal of Law and מגיע ויקטור מאייר, מבית הספר למשפטים של אוניברסיטת וינה, למסקנה כי העוגיות אינן עומדות בדרישות שמציב הדין האירופי בנושא הגנת המידע: בשנת 1995 אימץ האיחוד האירופי directive מחייב, שלפיו צריכות כל מדינות הקהיליה לתקן את חוקי הגנת המידע הנוהגים אצלן עד לשנה הבאה. ה- directive קובע אילו תנאים צריכים להתקיים כדי שעיבודו של מידע אישי ייחשב לחוקי. בין השאר, יש לעבד את הנתונים "באופן הוגן וחוקי", וללקטם "רק למטרה מוגדרת, מפורשת ולגיטימית". אין לבצע במידע עיבוד נוסף שאינו עולה בקנה אחד עם הדרישות הללו, וניתן לשומרו רק למשך הזמן הדרוש למטרה שלשלמה נאסף. מאייר מגיע למסקנה שהשימוש הנוכחי בעוגיות מפר את הנורמות הקבועות ב- directive זה, וכי ספקי תכנים באינטרנט, המוסיפים להשתמש בעוגיות המפרות, והתאגידים המפתחים את התוכנות לעיון ברשת צפויים לחבות משפטית אם לא יתאימו את מוצריהם לדרישת הדין.
ההתנגדות בארה"ב לשימוש בעוגיות גרמה לפירסום הזמנה לקבלת תגובות (RFC -Request for Comments) על ידי כוח המשימה ההנדסי של האינטרנט, שתכליתה לאפשר לגולשים שליטה טובה יותר על העוגיות. מסמך זה יכול להפוך ל"תקן מחייב" באינטרנט והוא מוליד מחלוקות בין תומכי העוגיות למצדדי הפרטיות. הנושא נסקר ב- BNA's electronic Information.
במה שנראה כחזון אחרית הימים חברו היריבות המרות מייקרוסופט ונטסקייפ כדי לקדם תקן מוצע שיאפשר למשתמשי מחשב להחליף מידע עם אתרי אינטרנט בלא חשש לפגיעה בפרטיותם. התקן, Open Profiling Standard) OPS) מתבסס על יצירת "פרופיל אישי" במחשבו של כל משתמש. בהגיעו לאתר אינטרנט, יתבקש הגולש למסור את המידע האצור בפרופיל זה. או אז יוכל להחליט אם ברצונו לחלוק עם האתר את המידע כולו, חלקו או אף לא ביט אחד מתוכו. תיאור של הטכנולוגיה המוצעת ניתן למצוא באתר של מייקרוסופט.