הסחורה הלוהטת ביותר של קליפורניה מאז הבהלה לזהב

פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד דותן המר

שותף בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

מאמר זה נערך ופורסם ע"י קבוצת האינטרנט, הסייבר וזכויות היוצרים בפרל כהן בראשות חיים רביה
זמן קריאה: 4 דקות
שמור ב"תכנים שלי"

פרטיות היא אחד הנושאים הבולטים בתערוכת האלקטרוניקה הגדולה CES 2020 שנערכה החודש בלאס וגאס. היא מושכת תשומת לב מצד יצרני-ענק כדוגמת גוגל, אפל, אמזון ואחרים. ישנה סביבת חיים שלמה האופפת אותה: חברות המספקות כלי תוכנה לניהול הדרישות הרגולטוריות בתאגידים, ארגונים המגבשים כללי התנהגות ענפיים, קציני הגנת מידע מקצועיים בגופים המטפלים במידע אישי ועוד. כל זה הוא תוצאת שינויים דרמטיים בשנתיים החולפות בחקיקה העולמית בתחום. האחרון בהם נכנס לתוקף ב-1 בינואר השנה, בקליפורניה.

חוק הפרטיות לצרכנים בקליפורניה - California Consumer Privacy Act  - CCPA -  מטיל על ארגונים רבים חובות מורכבות בתחום הפרטיות. החוק חל על חברות בינוניות וגדולות מבחינת מחזור עסקי והיקפי איסוף מידע,  שעושות עסקים בקליפורניה, בין אם הן מאוגדות בקליפורניה, במדינות אחרות בארצות הברית, או אפילו מחוץ לארצות הברית. גם חברות בישראל אינן יכולות להתעלם ממנו, והן נערכות ליישומו.

החוק חולק כמה עקרונות משותפים עם ה-GDPR – תקנות הגנת המידע האירופאיות שנכנסו לתוקף לפני מעט פחות משנתיים. הרוח המשותפת לשניהם כוללת שקיפות מוגברת כלפי משתמשים עליהם נאסף מידע וזכויות מוגברות למשתמשים אלה לקבל עותק מהמידע עליהם ולדרוש את מחיקתו. במישור היישומי, לעומת זאת, החוק החדש בקליפורניה שונה במידה רבה מאחיו הגדול מאירופה. הוא דורש נוסחים ייחודיים של מדיניות פרטיות, דרכים ייחודיות לאימות זהות משתמש המבקש לממש את זכויותיו, ונוסחים חוזיים ייחודיים להתקשרויות של החברה עם ספקים ונותני שירותים המעורבים בעיבוד מידע עבורה. 

לאכזבת רבים, החוק בנוי ומנוסח באופן המקשה על הבנתו ועל פירושו. הטעם לכך נעוץ בהליך החריג בו נחקק. הוא אושר בהליך בזק בבתי המחוקקים בקליפורניה. החקיקה המזורזת נעשתה במטרה לסכל משאל עם שהוביל איש עסקים אמיד מקליפורניה. הוא הציב אולטימטום למחוקקים במטרה לדחוף לרפורמה בדיני הפרטיות במדינה: הוא העמיד למשאל עם הצעת חוק מטעמו ובה-בעת הודיע שיחזור בו מההצעה אם חקיקה מקבילה תאושר בבתי המחוקקים במדינה מבעוד מועד. העברת חוקים במשאלי עם אפשרית בקליפורניה. במטרה למנוע את אישור הצעת החוק הפרטית, בתי המחוקקים בקליפורניה פעלו בחיפזון לאשר חקיקה מטעמם. הם השלימו את המלאכה ברגע האחרון. התוצאה הזו ניכרת לאורך ורוחב החוק.

חוסר הבהירות בחוק מודגם בגישה השונה שנקטו גוגל ופייסבוק בעניין שימוש במידע אישי בפרסום מקוון. החוק מסדיר מכירת מידע אישי. אם חברה מוסרת לגורם אחר מידע אישי בתמורה לכסף או לדבר אחר בעל ערך, יש ליידע את המשתמשים ולתת להם אפשרות להורות שלא למכור את המידע אודותם. חברות בעלות נוכחות באינטרנט נדרשות להציג קישור קריא ובולט באתר שלהן תחת הכותרת "אל תמכור את המידע האישי שלי", שיאפשר למשתמשים להתנגד למכירת המידע עליהם. 

גוגל נערכה לחוק החדש בקליפורניה מתוך הבנה שאתרים המפרסמים את עצמם באמצעות כלי Google Ads עשויים להיות מעורבים ב"מכירת מידע אישי". האתרים מעמידים לרשות גוגל מידע אישי על הגולשים שלהם בתמורה לשיפור דיוק הפרסום בו הם מעוניינים בעוד שגוגל מצידה משתמשת בנתונים כדי להעשיר את הפרופיל שהיא בונה על גולשים. מסיבה זו, העמידה גוגל לרשות מפרסמים כלים המאפשרים להם להגביל את השימוש שגוגל עושה במידע, אם משתמש שלהם בחר באפשרות "אל תמכור את המידע האישי שלי".

פייסבוק, לעומת זאת, כופרת בסברה שהיא בהכרח קונה מידע שמפרסמים מעמידים לרשותה כאשר הם משתמשים בשירותי הפרסום שלה. פייסבוק, מבחינתה, היא ספק שירות פרסום שמנצל את המידע רק כדי לשרת את המפרסם ולא לאף צורך עסקי משלו. עבור פייסבוק, מכירת מידע היא בעיה של המפרסם, ולא שלה. היא לא העמידה למפרסמים כלי כלשהו שמאפשר להם להגביל את השימוש שהיא עושה במידע שהיא מקבלת מהם לצורך רשת הפרסום המקוון שלה.

פיזור הערפל סביב החוק הקליפורני יארך עוד זמן מה. עד אז גם חברות ישראליות הנערכות ליישומו יצטרכו להתמודד עם אי-ודאות. בחודשים הקרובים יפרסם התובע הכללי של קליפורניה תקנות סופיות המיישמות את החוק. הן צפויות לסייע במידה מסוימת להבהרת סוגיות רבות בחוק. מהלכי האכיפה של החוק החדש יחלו במחצית השנייה של השנה בידי משרד התובע הכללי של קליפורניה. הוא קיבל לידיו סמכות כמעט בלעדית לתבוע על הפרות החוק. מהלכי האכיפה צפויים גם הם לסייע בפיזור הערפל, או לפחות בהבנה כיצד רואה את הדברים הרגולטור האמון באופן כמעט בלעדי על אכיפת החוק. 

בה-בעת, מדינות אחרות בארצות-הברית מקדמות חקיקת פרטיות מדינתית משלהן, לאחר שהתרשמו מהמהלך שנעשה בקליפורניה. אם הן ישלימו את מלאכת החקיקה, צפויה לנו תפזורת של חוקים מדינתיים שונים ברחבי ארה"ב, שרק חקיקה פדרלית אחידה שתגבר עליהן תוכל להציל מהם. 

חקיקת פרטיות פדרלית מעסיקה את הקונגרס שנים רבות, עד כה ללא תוצאות. המהלך האחרון בשרשרת הארוכה של ניסיונות חקיקה פדרליים בתחום הפרטיות נעשה בחודש האחרון. סנאטורים דמוקרטים הניחו על שולחן הקונגרס את הצעת החוק Consumer Online Privacy Rights Bill. הצעת החוק, שנועדה לחול על פעילות מידע בסביבת המקוונת, כוללת איסור כללי על חדירה בלתי סבירה לפרטיות וחובה כללית על ארגונים לפעול בשקיפות ליידע משתמשים מה נאסף עליהם ולאיזה מטרות. לפי הצעת החוק, תינתן למשתמשים שליטה רבה יותר לאפשר או לאסור על שיתוף המידע עליהם עם צדדים שלישיים. הצעת החוק גם מאמצת את עקרונות התקנות האירופאיות בדבר זכות המשתמשים להורות על מחיקת המידע עליהם ועל ניוד של המידע לספק אחר. 

עם זה, בהתאם לעמדת הדמוקרטים בקונגרס, הצעת החוק קובעת כי היא לא תגבר על חקיקה מדינתית. הרפובליקנים, לעומתם, עומדים על כך שכל חקיקה פדרלית תגבר על חוקים מדינתיים. שליטת הרפובליקנים בסנאט (הבית העליון) מחד, והרוב הדמוקרטי בבית המחוקקים (הבית התחתון) מאידך, מחייבים את שתי המפלגות להתפשר לשם קידום חקיקת פרטיות פדרלית. הם לא הצליחו בכך עד כה.

בשנת 2020 צפויות אפוא התפתחויות – טובות יותר או טובות פחות – בתחום הפרטיות בארה"ב, והן ישפיעו על העולם כולו – גם על חברות ישראליות.

[פורסם לראשונה במוסף סייברטק של דה-מרקר]