על היחס בין פרטיות לרשיונות תוכנה

חברת תוכנה ישראלית, שפיתחה תוכנה פופולרית, מתמודדת בימים אלה עם משבר יחסי-ציבור לא-פשוט: התוכנה, שפיתחה החברה, מחולקת בחינם ואת הכנסותיה מפיקה החברה מפרסומות, שהיא מציגה לעיני המשתמשים בתוכנה. המוצר זכה לפופולריות רבה, ומספר משתמשיו נאמד במליונים רבים ברחבי העולם. אולם זה כשבועיים מופצת הודעת דואר-אלקטרוני בין משתמשי התוכנה, הטוענת כי הגרסה החדשה של התוכנה כוללת רכיב, המשגר מידע המצוי בכונן הקשיח של מחשבי המשתמשים אל החברה. רכיב מעין זה מכונה spyware או תוכנת-ריגול. החברה, בתגובה, נאלצה לפרסם הכחשות רמות, ובהן אמרה כי אינה אוספת או מתכוונת לאסוף מידע אודות האתרים שבהם ביקרו משתמשי התוכנה וכי כל מה שהיא עושה הוא לנטר כמה פעמים השתמשו בתוכנה שלה ולאילו פרסומות נחשף.

דומה שאין פסול משפטי בעסקה שבה מקבל המשתמש דבר-מה בחינם, במקרה זה תוכנה מוצלחת, ומתחייב בתמורה להחשף לפרסומות או אף למסור מידע כזה או אחר אודותיו. כל עוד נעשה הדבר בהסכמה, יקשה למצוא בכך פסול על-פי הדין הקיים, אפילו ניאות המשתמש למסור את פרטיו האינטימיים ביותר. פגיעה בפרטיות היא מעשה המתבצע שלא בהסכמה (סעיף 1 לחוק הגנת הפרטיות). קבלת הסכמה מודעת מראש מאיינת טענה אפשרית לפגיעה בפרטיות. בעולם התוכנה מתקבלת הסכמה בדרך של "הקש וקבל": במהלך התקנת התוכנה מוצג לעיני המשתמש הסכם, והוא נדרש לאשר את הסכמתו לו בלחיצה על כפתור הנושא את המלים "אני מסכים". אם יש לקח ראשון בולט מהפרשה שאנו דנים בה פה, הוא שיישום נבון של הסכמי "הקש וקבל" יכול לחסוך לחברת-תוכנה או לאתר אינטרנט כשל תדמיתי ופגיעה בעסקים, ולפחות לצמצמם.

בעת תהליך ההתקנה נחשף המשתמש בתוכנה שכאן לשני מסכים, הכוללים טקסט משפטי: הראשון מסביר בפשטות שהתוכנה נתמכת על-ידי פרסומות. נוסחו קצר ובהיר. הוא אומר למשתמש רק שבעת שיתחבר לאינטרנט הוא יקבל פרסומות חדשות במקומן של אלה שפקעו. שמח וטוב לב מאשר המשתמש את הסכמתו ועובר למסך הבא. גם כאן ממתין לו טקסט משפטי, הפעם ארוך ומפורט. המשתמש התמים יכול לסבור שאת סוגיית הפרטיות כבר זנח מאחוריו - הן בשלב הקודם הוסבר לו כיצד פועל מנגנון הפרסומות בתוכנה. עתה, כדרכו, הוא יכול להקיש "אני מסכים" מבלי לקרוא את הטקסט. לא במקרה זה. החברה הישראלית זימנה למשתמש כמה הפתעות ברשיון, שהיא מבקשת ממנו לאשר. לנוכח זאת, אפשר להבין מדוע זכתה הטענה שהחברה עוקבת כביכול אחר משתמשיה להד גדול, למרות שהחברה טוענת בתוקף כי אין לה בסיס ועל אף שהיא מבטיחה נאמנה, כי היא מייחסת עדיפות עליונה לשמירה על פרטיותם של לקוחותיה-

  • ברשיון התוכנה שומרת החברה על זכותה להכניס שינויים פונקציונליים בתוכנה, לרבות ברכיבים הנוגעים לפרטיות, בכל עת, לפי שיקול דעתה הגמור ובלי להודיע על כך למשתמש מראש...


  • המשתמש מאשר, שהשימוש בתוכנה כפוף למדיניות של החברה, המצויה באתר האינטרנט של החברה. תנאי המדיניות אינם מוצגים לנגד עיניו בעת תהליך ההתקנה והחברה רשאית לשנותם מעת לעת. הודעה על השינוי תתפרסם בתוכנה (ניחא) או באתר האינטרנט של החברה. יראו את המשתמש כמסכים לתנאים החדשים אם יוסיף להפעיל את התוכנה לאחר פרסומה. תמיהה היא: אם הופיעה הודעה כזו באתר האינטרנט של החברה, כיצד ניתן לסבור משפטית שהמשתמשים ראו אותה והם כפופים לה? חוק החוזים האחידים, התשמ"א-1981 מורה במפורש כי תנאי המקנה לספק כוח בלתי סביר לשנות באופן חד-צדדי את תנאיו של חוזה הוא תנאי מקפח ובטל.


  • בסוף הרשיון מופיע נספח א' ובו פירוט מדיניות הפרטיות של החברה. והנה, למקרא מדיניות זו, מתברר שהחברה שומרת על זכותה לבצע בדיוק מה שבימים אלה היא מתאמצת לשכנע שלא תעשה כלל: החברה רשאית לאסוף מידע על הגדרות המחשב של השתמש ומידע טכני אחר, לרבות (כלומר, לא רק. ומה עוד?) על מערכת ההפעלה שלו, גרסת הדפדפן שברשותו, גרסת החברה שהוא מפעיל, נתונים על החיבוריות שלו לרשת, פרמטרים של תקשורת וכן "מידע אחר הנוגע לתפעול התוכנה". מהו אותו מידע מסתורי אחר? הרשיון שותק. האם, לדוגמה, צריך המשתמש לחשוש שאוספים מידע על הפעולות המדויקות שביצע באמצעות התוכנה, או באילו אתרי אינטרנט השתמש בה?


  • החברה מבטיחה אמנם שהמידע שהיא מחלקת עם מפרסמים הוא מצרפי בלבד, אך אינה מתחייבת בלשון ברורה וגלויה, כמקובל בהודעות מעין אלה, שאין ברשותה מידע היכול לזהות אישית את המשתמש ושלא תחלק מידע, המזהה משתמשים באופן אישי, עם צדדים שלישיים. ואכן, בהמשך תהליך ההתקנה מתבקש המשתמש למסור נתונים שונים כגון כתובת הדואר האלקטרוני שלו, גילו, מינו, עיסוקו המקצועי וכיו"ב.


  • החברה מודיעה שהיא אוספת מידע על דפוסי השימוש בתוכנה גם כדי לסייע לה לתפור הצעות למשתמשים באופן אינדיבידואלי. אם כך, תמה המשתמש הטורח לקורא את הטקסט החוזי, האם החברה אוספת מידע אישי או לא?


  • גם מדיניות הפרטיות אינה מסיימת את שלל ההפתעות שברשיון. אחריה מופיע... עוד הסכם. הפעם של חברה ישראלית שניה, שפתחה את מערכת הפרסומות המוטמעת בתוכנה. אותה חברה מתחייבת אמנם שלא לאסוף מידע המזהה אישית את המשתמש, אבל למרות זאת מקבלת רשות מפורשת מהמשתמש לנצל את המידע שהוא מוסר בתהליך הרישום של התוכנה כדי להחליט אילו מודעות יעניינו אותו. עוד תמיהה: אם המשתמש סבר שהמידע שהוא ימסור בעת הרישום (כאמור, דואר אלקטרוני, גיל, מדינת מגורים, מקצוע וכיו"ב) יועבר לחברה הראשונה בלבד, האם עליו להבין שהמידע יועבר גם לחברה שמנהלת את החלפת הפרסומות? האם חברה שניה זו מצליבה מידע, שהגיע מתוכנות שונות המשתמשות במוצר שלה, כדי ליצור פרופיל למשתמש מסוים?


  • לבסוף, החברה המקורית מודיעה שמשתמשים שאינם רוצים במודעות - כלומר, מבקשים לבטל את החשש שייחשפו מידע פרטי כלשהו - יכולים לרכוש את הגרסה המקצועית של התוכנה בכ- 20 דולר ארה"ב. הרוכש התמים יידהם לגלות שההסכם שהוא מתבקש לאשר בגרסה זו זהה להסכם שזה עתה תואר... איזה יתרון נובע לו, איפוא, מהוצאת כספו?

השמירה על הפרטיות בסביבת המידע מעוררת דאגה גוברת והולכת. דומה שחברות התוכנה לא הפנימו את המסר, לבטח לא במקרה זה. המסמכים המשפטיים שניסחו מקנים להן את הזכות לעשות מה שהן טוענות בתוקף שאין בדעתן לעשות. אם כך, איזה צורך יש בהוראות אלה? אם הן ממתינות שם ליום פקודה, אולי יש צדק בחששם של המשתמשים. אם אינן נחוצות, מוטב לסלקן מיד ולהבהיר בלשון חד משמעית את נוהגי החברה בתחום הגנת הפרטיות ולסלק כל אי-הבנה. לא תמיד צריך נסח החוזה לשמור את כל האפשרויות פתוחות; לבטח שאינו צריך לעשות זאת במקום שמדובר בחוזה אחיד. זוהי לא רק פרקטיקה משפטית נבונה, זוהי גם, ואולי בעיקר, פרקטיקה מסחרית נבונה. ככל שהדברים אמורים במשפט, ראוי שהמחוקק ישקול לתקן את חוק החוזים האחידים באופן שיורה, כי תנאי הפוגע בפרטיות במידה בלתי סבירה הוא תנאי מקפח ובטל.