יש לברך על הרצון של המדינות הנאורות והדמוקרטיות להגן על זכות תושביהן לפרטיות, אולם יש להיזהר מעודף עשייה והכבדה בתחום זה. הרצון להגן על הפרטיות בכל מחיר, כשכל מדינה רואה לנכון לעשות זאת בדרך שונה, מעורר חשש שאנו בדרך לרגולציה גלובלית עודפת בנושא.
התקדמות הטכנולוגיה ומהפכת האינטרנט והתקשורת בשני העשורים האחרונים, הביאו עימן חשיפה משמעותית ופגיעה מהותית בפרטיות שלנו. די אם נזכיר למשל את היכולת של כל אחד ואחת מאיתנו לפרסם תמונות והגיגים ברשתות החברתיות ולקבל תגובות בתוך שניות מכל רחבי העולם; או את היכולת של ממשלות ותאגידים לבנות פרופיל אישי ביחס לכל אזרח, צרכן או תייר ולעקוב אחר הרגליו, צרכיו והעדפותיו.
מצב דברים זה הצריך רגולציה ייעודית לשם הגנה על הפרטיות שלנו, וכך התפתחו בשנים האחרונות דיני הגנת פרטיות מפורטים ומורכבים ברחבי העולם. כחלק מכך, במאי 2018 נכנסו לתוקף בישראל תקנות הגנת הפרטיות (אבטחת מידע) ובמדינות האיחוד האירופי נכנס לתוקף ה- GDPR. מטרת רגולציות אלה היא ברורה: לשמור על המידע האישי ועל הזכות לפרטיות של האזרחים והתושבים.
כיום, בחלוף קרוב לשנה וחצי מאז נכנסו לתוקף רגולציות אלה, ניתן לומר בפה מלא, כי הן משפיעות באופן קרדינלי על רמת אבטחת המידע של הרבה ארגונים וחברות בארץ ובעולם. אמנם ניסיונות תקיפה וחדירה למאגרי מידע לא פסו מן העולם, וכנראה שאי-אפשר יהיה למנוע אותם באופן מוחלט, אך אין ספק שמי שמקפיד על הוראות הרגולטור מקשה על התוקפים.
עם זאת, עדיין הרבה חברות ובעלי עסקים נותרו חשופים לתקיפות סייבר, היות שלא כולם מקפידים ליישם את הוראות הרגולטור, לרוב משיקולים כלכליים – עלות שיפור רמת אבטחת המידע של העסק אל מול היקף הסיכון שתתרחש תקיפה. ישנם עדיין לא מעט בעלי עסקים, שמעדיפים להימנע מהקצאת התקציב הנדרש, תוך הדחקה של פוטנציאל הנזקים שעשויים להיגרם להם במקרה של תקיפת סייבר.
גם ליישום הוראות ה- GDPR עוד לא כל החברות ערוכות. עד כה הוגשו כ- 100,000 תלונות לעניין אבטחת המידע האישי; דווחו כ- 60,000 הפרות של מידע והוטלו קנסות בהיקף של כ- 60 מיליון יורו בגין הפרת הוראות ה- GDPR.
ה- GDPR מתרחב לצפון ודרום אמריקה
ה- GDPR השפיע רבות על שיפור רמת אבטחת המידע, ולא רק באירופה. שכן, ה- GDPR תקף ומחייב לא רק ביחס לחברות ובעלי עסקים שמקום מושבם באירופה, אלא במקרים מסויימים הוא חל גם על חברות שמקום מושבן מחוץ לאיחוד האירופי, כאשר מדובר בחברות שאוספות ומרכזות מידע על תושבי מדינות האיחוד האירופי. כתוצאה מכך, חברות מכלל רחבי העולם השקיעו מיליוני דולרים בהיערכות לרמת אבטחת מידע התואמת לצרכי ה- GDPR, עקב כך שחלק מלקוחותיהן הם תושבי האיחוד האירופי.
אין ספק שה- GDPR הינו הצעד המשמעותי הראשון שנעשה בקנה מידה גלובלי לשם הגנת הפרטיות בצורה כה רחבה ומעמיקה, ולכן מדינות רבות מבקשות לנצל זאת ולחוקק אצלן חוק בעל מאפיינים דומים או חופפים. ואולם, מדינות שאינן חלק מהאיחוד האירופי לא מסתפקות באימוץ ה- GDPR כפי שהוא, אלא לוקחות את עקרונותיו ומחוקקות רגולציה דומה אך שונה.
כך למשל, בקליפורניה עתיד להיכנס לתוקף ב-1.1.2020 חוק ה- CCPA, השואב את עקרונותיו מה-GDPR האירופי, עם שינויים מסויימים. לדוגמא, ה- CCPA תקף כלפי מי שאוסף מידע על תושב קליפורניה, גם במקרה שהתושב נמצא באופן זמני מחוץ לקליפורניה, לעומת ה-GDPR החל כלפי תושבים הממוקמים פיזית בתחומי מדינות האיחוד האירופי. מדינות נוספות בארה"ב צפויות ללכת בעקבות מדינת קליפורניה ולחוקק חוקים דומים. הצעות חוק דומות כבר תלויות ועומדות במדינות נוספות בארה"ב וגם לדרום אמריקה הגיעה בשורת הפרטיות. כך למשל, בברזיל התקבלה הצעת חוק המבוססת על עקרונות ה- GDPR, וחוק זה צפוי להיכנס לתוקף באוגוסט 2020.
המגמה העולמית בהקשר זה ברורה וסביר להניח שמספר המדינות המחוקקות חוקים ברוח ה- GDPR רק תלך ותגדל, שכן הטכנולוגיה ממשיכה להתקדם, מאגרי המידע גדושים באינפורמציה אישית של תושבי העולם והגישה למידע האישי פרוצה בהרבה מדינות ובהרבה דרכים.
כמובן שיש לברך על הרצון של המדינות הנאורות והדמוקרטיות להגן על זכות תושביהן לפרטיות, אולם יש להיזהר מעודף עשייה והכבדה גם בהקשר זה. הרצון להגן על הפרטיות בכל מחיר, כשכל מדינה רואה לנכון לעשות זאת בדרך שונה, מעורר חשש שאנו בדרך לרגולציה גלובלית עודפת בנושא.
דרושה – אמנה עולמית לשמירה על הפרטיות
על-פי המצב הנוכחי, חברה המבקשת לבצע עסקים במספר מדינות, תצטרך לבחון היטב אם היא מיישמת את העקרונות של הגנת המידע האישי בכל מקום ומקום, אף שהיא כלל לא יושבת באף אחת ממדינות אלה. שכן, עקרון הגנת הפרטיות הוא הגנה על המידע האישי של תושבי המדינה, אף כשאוסף המידע אינו נמנה על תושביה.
מציאות זאת יוצרת מצב מורכב ואף כרוכה בעלויות נכבדות של קבלת ייעוץ במדינות שונות לשם עמידה בסטנדרטים שלהן. למשל, בעל אתר אינטרנט בישראל, אשר תקוותו כי יגלשו באתר שלו גולשים ולקוחות פוטנציאלים ממגוון מדינות העולם, צריך לבחון כל אחד ואחד ממבקרי האתר (כאשר לעיתים מדובר בעשרות ומאות אלפים), ולוודא כי אם הוא אוסף מידע על המבקרים באתר הוא עושה כן לפי הרגולציה המקומית של אותו מבקר.
כלומר, העובדה שאין רגולציה עולמית אחידה בנושא, גורמת קושי של ממש לחברות המתבססות על איסוף מידע אישי, כך שאלה חייבות לקבל ייעוץ מקיף ממומחים לעניין מאגרי מידע ואבטחת מידע במדינות שונות בכל צעד ושעל. ייתכן שההכבדה והמשאבים הכרוכים בכך הינם בגדר מחיר מתחייב להגנה על הפרטיות, אולם אין ספק שיצירת סטנדרט עולמי אחיד תהיה מועילה ומקלה ובוודאי תחסוך עלויות ותקלות רבות.
משכך, יתכן כי זהו הזמן הנכון לצאת בקריאה ליצירת אמנה משותפת בנושא, על מנת שתתאפשר שמירה אופטימלית על הפרטיות מחד גיסא, ויתאפשר קיומו של שוק עסקי יעיל המתנהל בצורה נורמלית וברורה, באמצעות אמצעים מוסכמים וידועים לשמירה על הפרטיות, בכל מקום שהוא ותוך חיסכון בעלויות והכבדה מינימלית, מאידך גיסא.
עד אז, הרגולציה הגלובלית של הפרטיות מחייבת כל חברה ובעל עסק האוספים מידע על לקוחותיהם להיוועץ ביועצים ומומחים לאבטחת מידע על מנת לוודא שהעסק שלהם אכן מותאם לדרישות אבטחת המידע של הרגולטורים השונים הרלוונטיים, שאם לא כן חשוף העסק לקנסות כספיים גדולים מאד, הליכים מנהליים, תובענות ייצוגיות וסיכונים נוספים, שיכולים לאיים על עצם קיומו.
כשליש מאירועי אבטחת מידע בענף הביטוח לא דווחו
בישראל, מרבית אירועי אבטחת מידע בשנה האחרונה התרחשו בסקטור הביטוח והפיננסים. הרשות להגנת הפרטיות קיימה קרוב ל- 150 הליכי אכיפה בעקבות אירועי אבטחת מידע חמורים, אך קרוב לשליש מאירועים אלה כלל לא דווח לרשות כנדרש, אלא נתגלה כתוצאה מתלונות, או מפעילות יזומה של הרשות.
הכותבים הם אלון פומרנץ, עו"ד, שותף מנהל וראש מחלקת ליטיגציה וישי לבנון, עו"ד במחלקת ליטיגציה, מובילי תחום סייבר ואבטחת מידע במשרדנו.
הכתבה פורסמה במגזין סייבר של עיתון דה מרקר. לקריאת הכתבה שפורסמה לחצו