ב-28 במאי 2018 נכנסה לתוקף החקיקה החדשה של האיחוד האירופי בדבר ההגנה על פרטיות בעיבוד מידע אישי (GDPR). קדמה לה בהלה גלובלית, "היסטריה" כך קראנו לזה חבריי למקצוע ואני, מפני המנגנון האימתני שקבע ב-GDPR קנס של עד 20 מיליון אירו או 4% ממחזור ההכנסות של חברה (הגבוה מבין השניים) בגין הפרת החוק. קנסות העתק הללו היו מהסיבות העיקריות לכך שהעולם התאגידי, ולא רק הוא, נערך בקדחתנות ל-GDPR.
סקר שפרסם בראשית השנה, טרם משבר הקורונה, משרד עורכי הדין DLA Piper, מצא כי מאז אמצע 2018 הטילו הרגולטורים באירופה קנסות על הפרת GDPR בסכום כולל של כ-114 מיליון אירו. את הקנס הגבוה ביותר, כ-50 מיליון אירו, ספגה גוגל מהרשויות בצרפת (CNIL) בגין הפרה של חובות השקיפות כלפי נושאי המידע וקבלת ההסכמתם לעיבוד המידע עליהם. אלא שמקרה אחר, הקשור לפייסבוק, חידד את ההבנה לפיה כשמדובר בחברות כה גדולות ועשירות, גם קנסות עתק הם פחות ממכה בכנף, ולכן הפתרון לפגיעה בפרטיות אינו מצוי בהם.
ביולי 2019 החליטה נציבות הסחר הפדרלית בארה"ב להטיל קנס עצום של חמישה מיליארד דולר על פייסבוק. זהו הסכום הגבוה ביותר שהושת אי-פעם על חברה כלשהי בשל הפרות פרטיות. הקנס נקבע בהסכמה עם פייסבוק והוא הוטל בעקבות חקירה שניהלה נציבות הסחר סביב פרשת קיימברידג' אנליטיקה ומצאה כי פייסבוק הפרה צו פשרה מוסכם שחתמה עם הנציבות ב-2011. צו הפשרה חייב את החברה לקבל את הסכמת המשתמשים לשינויים מסוימים בהגדרות הפרטיות שלהם.
באורח פלא, מניית פייסבוק הגיבה לידיעה על הקנס האדיר דווקא בעליה של 2%, אולי מפני שהחברה שהרוויחה 58 מיליארד דולר ב-2018 (כך שהקנס ביטא רק כ-9% מהכנסותיה) וכבר דיווחה כי היא תיקנס והקצתה לכך מלכתחילה שלושה מיליארד דולר. באותו רבעון שבו הוקצה הסכום, רווחי פייסבוק אמנם הצטמצמו אבל היא לא הגיעה לכדי הפסד.
למי שהספיק לשכוח, במארס 2018 דיווחו ניו יורק טיימס האמריקאי ואובזרבר הבריטי כי מידע על עשרות מיליוני משתמשי פייסבוק הגיע שלא כדין לידי החברה הבריטית קיימברידג' אנליטיקה שייעצה למסע הבחירות של דונלד טארמפ. איסוף המידע החל עוד ב-2014 באמצעות אפליקציה מקושרת-פייסבוק שפיתח חוקר פסיכולוגיה בריטי. היא הופצה ככלי המציע ניבוי פסיכולוגי למשתמשים וצברה קהל של יותר מרבע מיליון משתמשים. מפרופיל הפייסבוק של אותם משתמשים נאסף מידע לא רק עליהם אלא גם על החברים שלהם. המשתמשים יכלו אמנם לחסום את הגישה למידע האישי עליהם, אך הגדרות ברירת המחדל של פייסבוק התירו זאת. קיימברידג' אנליטיקה השתמשה במידע, הצליבה אותו עם מידע ממקורות אחרים, וכך התאימה למשתמשים פרסומות, עודדה אותם לתמוך בטראמפ או הניאה אותם מתמיכה בהילרי קלינטון.
הקנס שהטילה הנציבות הפדרלית הצטרף לקנס שהוטל על פייסבוק באירופה באותו עניין, אבל בכך לא הסתיימו הדברים. לפני כארבעה חודשים התפרסם שפייסבוק הגיעה לפשרה בתביעה ייצוגית שהוגשה נגדה בארהב ולפיה תשלם 550 מיליון דולר בגין איסוף מידע ביומטרי (זיהוי פנים אוטומטי במקרה זה) ללא ידיעת האדם שעליו נאסף המידע וללא קבלת הסכמתו. אותו זיהוי הסתמך על מאגר של תבניות הפנים של משתמשי פייסבוק, כשהמשתמש מתויג בתמונה מסוימת ובוחר שלא לבטל (opt-out) את יכולת התיוג לגביו.
העובדה שהקנסות בארהב, הגבוהים בהרבה מאלה שקבועים ב-GDRP האירופי, לא הרתיעו את פייסבוק היא עדות לכך שהיא לא רואה בסכומים כאלה מכשלה. האם היא לפחות למדה את הלקח? נראה שממש לא. מאז התפוצצה פרשת קיימברידג' אנליטיקה נפתחו נגד פייסבוק חקירות בגין הפרת פרטיות באירלנד (אחסון ללא אבטחה נאותה של מאות מיליוני סיסמאות) ובניו יורק (איסוף לא מורשה של כתובות דואר אלקטרוני ממיליון וחצי משתמשים)
בנוסף, יותר מ-400 מיליון רשומות עם מספרי טלפון של משתמשי פייסבוק נמצאו חשופות ברשת משום השרת שבו אוחסנו לא היה מוגן בסיסמה. חלק מהרשומות כללו מגדר ואזור מגורים. במקרה אחר, יותר מ-540 מיליון רשומות מידע מפייסבוק הכוללות מידע אישי על משתמשים נחשפו ברשת. מידע זה נאסף במקור על ידי אפליקציות צד שלישי. המידע נשאב אל מאגרים שיצרו אותן אפליקציות ונמצאו ללא הגנה בשרתי הענן של אמזון. בטורקיה הוטל על פייסבוק קנס של 27- אלף דולר בגין פרצת פרצת אבטחה שאפשרה ליישומים לגשת באופן לא מורשה לתמונות משתמשים בפייסבוק.
קנסות ענק אינם הפתרון כשמדובר בענקיות המידע הגלובליות. רגע לפני שהן הופכות גדולות מדי גם עבור מערכת המשפט, יש מקום לפנות לגביהן לדיני ההגבלים העסקיים. בסוף שנות התשעים ניהל משרד המשפטים האמריקאי משפט מתוקשר נגד מייקרוסופט, על כך שכרכה במערכת ההפעלה חלונות את הדפדפן שלה אינטרנט אקספלורר כדי להשיג הגמוניה בשוק. המשפט הסתיים בהסדר מוסכם. 20 שנה לאחר מכן, מייקרוסופט, פעם כאויב המר של חברות הטכנולוגיה, היא ענק בסדר גודל של פייסבוק, גוגל, אמזון ואפל, אבל שערוריות והתנהגות תאגידית ברוטלית אינן נקשרות עוד בשמה. המשפט הטראומטי שניהל נגדה משרד המשפטים האמריקני שינה את התרבות התאגידית בחברה.
אין שום אינדיקציה שהממשל האמריקאי מתכוון לפעול באותה דרך נגד פייסבוק למשל, על אף שמזה זמן הוא מנהל בעצלתיים חקירה נגד חברות הטכנולוגיה הגדולות. רכישת וואטסאפ ואינסטגרם בידי פייסבוק קיבלה אישור של הרגולטור והגדילה לאין שיעור את מוטת השליטה של החברה. אם יש תקווה לפרטיות, נראה שהיא תבוא מאירופה. בראשית פברואר דווח בוול סטריט ג'ורנל כי רשויות התחרות של האיחוד האירופי מעמיקות את בדיקתן לגבי הצעדים האנטי- תחרותיים שנקטה פייסבוק. אם עבור דיני הפרטיות היא גדולה מדי, אולי בהגבלים עסקיים יש צעדים שניתן לנקוט.
[פורסם לראשונה במיינד דה גפ, בלוג הפרטיות של הכותב בהארץ]