מקל בגלגלי כלכלת המידע

כלכלה מודרנית מחייבת תעבורת מידע גלובלית. חשבו על שירותי ענן. מיליארדי ביטים של מידע עוברים ממקום למקום בכל שבריר רגע. חלקו מידע רגיש מאד. הוא נוגע לבריאותם של אנשים, לנתוניהם הגנטיים או הביומטרים, למיקומם הפיזי, למצבם הפיננסי. הטכנולוגיה ברורה: אין חשיבות למיקום הפיזי של המחשב. אבל גם המשפט ברור ודעתו הפוכה וב-6 באוקטובר באה הערכאה המשפטית הגבוהה באירופה ושמה מקל של פלדה בגלגלי תעבורת המידע העולמית.

לאירופה ולארצות-הברית תפיסות שונות של פרטיות. האירופאים אוסרים העברת מידע למדינה שרמת ההגנה על הפרטיות בה אינה נאותה. כדי לגשר על הפערים הללו גובש ב-2000 הסדר של 'נמל מבטחים' (Safe Harbor). חברות אמריקניות שמקיימות את תנאיו נחשבות כמי שניתן להעביר אליהן מידע בביטחה. בכך התאפשרה העברת מידע מהיבשת הישנה לאמריקה.

כעת פסל בית המשפט האירופי לצדק את 'נמל המבטחים'. הוא קבע שלא גובש לפי כללי הדין האירופי. בין השאר, לא נלקחה בחשבון העובדה שרשויות הביטחון והחקירה בארצות-הברית אינן צד להסדר. החקיקה האמריקאית מאפשרת להן לנטר באופן גורף ונרחב מידע אישי על משתמשים. יישומה בפועל פוגע באופן בלתי מידתי בפרטיות וחורג מהמותר לפי הדינים האירופאים.

זהו שיאו של תהליך שהחל ב-2013 לאחר שאדוארד סנואדן חשף את עומק הריגול האמריקני אחר תנועת המידע העולמית. גילוייו עוררו חשדנות עצומה. חברות אירופאיות סרבו לא אחת לאכסן מידע בשרתים בארצות-הברית. סטארטאפים ישראלים שהסתמכו על שרתי המחשב של ענקיות כאמאזון וגוגל נאלצו למצוא פתרונות חלופיים, או לדרוש שהמידע של לקוחותיהן יאוחסן בחוות שרתים באירופה. הפגיעה בכלכלת המידע האמריקנית נאמדה אז בסכומי עתק.

מה אפשר לעשות עכשיו? הדין האירופי מתיר במקרים חריגים העברת מידע גם אם מדינת היעד לא מבטיחה רמה נאותה של הגנה. לדוגמה, מותר לעשות זאת כאשר נשוא המידע נתן הסכמה מפורשת ומדעת להעברה. לכאורה הסכמה כזו מייתרת את הצורך של חברות אמריקאיות להזדקק לנמל המבטחים. אולם קבלתה כרוכה בקשיים משמעותיים: לפי פרשנות הרגולטורים האירופאים, היא דורשת גילוי נרחב לנשוא המידע על טיב ההעברה והסדרי הפרטיות במדינת היעד. בנוסף, נשוא המידע רשאי בכל עת לחזור בו מהסכמתו. יתר על כן, כמה מהרגולטורים הלאומיים לפרטיות באירופה נוקטים פרשנות מחמירה האוסרת להשתמש בחריגים הנקובים בדירקטיבה לצורך העברות תכופות או נרחבות של מידע אישי מחוץ לאירופה.

מלבד הסייגים לאיסור על העברת מידע, הדין האירופי גם מסמיך את נציבות האיחוד לגבש נוסחים של חוזים אחידים דו-צדדיים. הנציבות פרסמה נוסחים כאלה, שנועדו לשמש חברות חוץ-אירופאיות המבקשות לקבל מידע מבעלי מאגרים אירופאים. התחייבות לפי החוזים הללו נחשבת כמספקת רמה נאותה של הגנה על פרטיות המידע והיא מכשירה את העברת המידע בין הצדדים החתומים על החוזים.

כלי משפטי נוסף שבאמצעותו תתאפשר העברת מידע מחוץ לאירופה קרוי 'כללים תאגידיים מחייבים'. הוא מאפשר לחברה רב-לאומית להעביר מידע אישי לעיבוד ואחסון בין יחידותיה הפזורות ברחבי העולם, לאחר שגיבשה מדיניות פנים-ארגונית לעיבוד מידע העומדת בדרישות הדינים באירופה והתחייבה לפעול לפיה. מדיניות פנים ארגונית כזו טעונה אישור מראש של הרגולטורים לפרטיות באירופה והיא מכשירה כאמור רק העברת מידע בין זרועותיה של החברה. עשרות חברות עושות שימוש בכלי זה, בהן אמריקן אקספרס, אי-ביי, HP ואינטל.

ועדין, אף אחד מהפתרונות החלופיים אינו מקיף ופשוט כהסדר שבוטל.

ב-2010 הכירה הנציבות האירופית בישראל כמי שאפשר להעביר אליה מידע בביטחה. הפסיקה החדשה קוראת לבצע בדיקות תקופתיות במדינות שזכו להכרה כזו, כדי לוודא שהן עוד זכאיות לה. בדיקה בישראל, אם תערך, עלולה לחשוף שחיקה בהגנה על הפרטיות: חוק המאגר הביומטרי נכנס לתוקף, הממשלה מציעה תיקון מהותי בחוק נתוני אשראי שיאפשר איסוף מידע על הסטוריית האשראי של כל אחד מאיתנו בלי הסכמתו. בהתחשב בתקופה של שקט יחסי מצד הרגולטור הישראלי על הפרטיות והטיה פוליטית אנטי-ישראלית הרווחת באירופה, אין לדעת כיצד תסתיים בחינה כזו.