ת"צ 7322-10-18 אקסלרוד נ' Facebook Inc ואח'

פייסבוק פרטיות וסייבר
מאת‏ עו"ד טל קפלן

שותף וחבר בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

אולי יעניין אותך גם

זמן קריאה: 4 דקות
שמור ב"תכנים שלי"
עיון במסמך

העולם אינו מושלם, ואין בו מערכות חסינות לגמרי מפני תוקפים (החלטה, מחוזי חיפה, השופט ד"ר מנחם רניאל):

העובדות: בקשה לאישור תובענה ייצוגית בטענה להפרת חוזה, הפרת חוק הגנת הצרכן, הפרת חוק הגנת הפרטיות ועוד, עקב פרצת אבטחה שהתגלתה בפייסבוק בשנת 2018. המבקש הוא בעל משרד עו"ד ובעל עמוד פרטי ועסקי בפייסבוק. המשיבות הן מפעילות הרשת החברתית פייסבוק. המבקש טען, בין היתר, כי פייסבוק כשלה והתרשלה בנקיטת פעולות המתחייבות להגנת המידע האישי של משתמשיה. פייסבוק טענה, בין היתר, שמתקפת הסייבר בוצעה על ידי עבריינים שניצלו חולשת אבטחה חבויה היטב, שלא היתה ידועה קודם לכן בפלטפורמה, וכי התרחשות מתקפת סייבר, כלשעצמה, אין משמעה שחברה עוולה באופן כלשהו, פעלה באופן בלתי סביר, או הפרה חוזה. 

נפסק: הבקשה נדחתה, הן משום שאין למבקש עילת תביעה אישית כלפי המשיבות והן משום שלא התקיימו כל התנאים לאישור תובענה ייצוגית, לפי סעיף 8 לחוק תובענות ייצוגיות. יש לדחות את הבקשה נגד פייסבוק אירלנד (המשיבה 2) על הסף. המשיבות טענו כי המשיבה 1 היא המספקת את השירות בישראל, לרבות במועד ההתקפה. המבקש לא הוכיח שהשירותים ניתנו על-ידי פייסבוק אירלנד ולא נסתרה הטענה שהמשיבה 1 היא שסיפקה והפעילה את השירות. המבקש יישא בהוצאות פייסבוק אירלנד בסך 8,775 ש"ח. הגשת בקשת אישור נגד פייסבוק אירלנד, בהעדר יריבות כנגדה, מטילה ספק בכך שהמבקש וב"כ מייצגים את הקבוצה בדרך הולמת. על המבקש היה לטעון את טענותיו ביחס לחשבונו העסקי על פי דין קליפורניה, ומשלא עשה כן יש לדחות את טענותיו באשר לחשבון העסקי. טענותיו לגבי החשבון הפרטי יתבררו לפי הדין הישראלי.

הטענה להפרת חוזה - הבסיס ליחסיו החוזיים של המבקש עם פייסבוק הוא תנאי השירות. פייסבוק הסירה מעצמה אחריות לליקויים או פגמים באבטחת מוצריה. היא לא הציגה את מוצריה ומערכותיה כבלתי חדירים מפני התקפות. אכן, היא הציגה בפני משתמשיה שהיא עושה כמיטב יכולתה להגן על המידע האישי שלהם ולהותירו בשליטתם המוחלטת, אך רצונה להגן על המידע והשתדלותה לעשות כן אינם סותרים את הגבלת חבותה המפורשת. יש לדחות הטענה כי פייסבוק הפרה את חובת תום הלב וההגינות החוזית לקראת ובמהלך כריתת הסכם השירות. זה השירות, בלתי מושלם ככל שיהיה. אכן, מדובר בחוזה אחיד, אך תניית הגבלת החבות אינה תנאי מקפח בחוזה אחיד. הצהרת פייסבוק בתנאי השירות שמוצריה מסופקים כפי שהם ושאין ערובה מוחלטת לבטחון המידע - אינה מקפחת את לקוחותיה, אלא נותנת להם מידע על תוכן השירות ומזהירה אותם שמערכותיה אינן חסינות מפני תוקפים. זו הצהרה הגיונית ולגיטימית מצד פייסבוק.

העולם אינו מושלם, ואין בו מערכות חסינות לגמרי מפני תוקפים. אזהרה לציבור המשתמשים שהמערכת אינה חסינה מפני תקיפה היא צעד אחראי שנועד לאפשר להם החלטה מושכלת בדבר המידע שאותו יחשפו בחשבונותיהם. פייסבוק אינה חסינה מהתקפות והיא מודיעה זאת למשתמשיה על מנת שיכלכלו צעדיהם בתבונה. אין בכך כדי לפטור את פייסבוק מפעולות סבירות לאיתור התקפות ולהתמודדות איתן, אבל פייסבוק אינה חבה באחריות מוחלטת לכך שלא יהיו התקפות וגניבות מידע. פייסבוק הציגה את מלוא המידע שברשותה קודם להתקפות. היא עושה כמיטב יכולתה לספק את המוצר המוגן ביותר, אך מוצריה ניתנים כמות שהם, והיא אינה מתחייבת שמוצריה יהיו תמיד בטוחים או חפים מליקויים או שגיאות. פייסבוק לא יכולה לגלות למשתמשיה מה שהיא עצמה אינה יודעת. בעוד היא מנסה להגן על מלוא החזית ולבדוק כל חריגה בכל מאפיין ובכל מצב, כדי שהתקפה תצליח היא צריכה להידחק דרך סדק אחד בלבד. פייסבוק אינה יכולה ואינה חייבת לצפות מראש את כל האפשרויות האינסופיות להתקפה.

הטעיה צרכנית - יש לדחות את טענת המבקש כי פייסבוק הטעתה אותו הטעייה צרכנית בטיב שירותי אבטחת המידע שלה ויכולת המשתמשים לשמור על פרטיות המידע האישי שלהם. פייסבוק לא הטעתה אלא הבהירה ששירותיה מסופקים כפי שהם ללא ערובה לאבטחתם המוחלטת. המשמעות היא שכל אדם צריך להבין מכך שיש אפשרות שהמידע יזלוג, ואם לא הבין, לא היה זה בגלל הטעייה של פייסבוק. בהינתן העובדה שלא יכולה להיות ציפיה שמערכות פייסבוק יהיו חסינות באופן מוחלט מפני התקפה, העובדה שהיתה התקפה חריגה אינה מצביעה על הטעייה של פייסבוק, שאמרה מראש שאינה אחראית למקרה כזה. המבקש אף לא הוכיח נזק שנגרם לו באופן אישי על ידי ההתקפה, שהוא תנאי לתביעה לפי חוק הגנת הצרכן. יש גם לדחות הטענה להפרת חובת הגילוי. פייסבוק התנהלה בצורה סבירה ועניינית כאשר הודיעה וגילתה עובדות על ההתקפה בתוך פחות מ-72 שעות מרגע שהבינה שמדובר במתקפה זדונית. אין היא חייבת להודיע על כך לפני שהבינה שמדובר בהתקפה זדונית.

רשלנות - ציפיית המבקש שלא תהיינה לפייסבוק תקלות כלל היא ציפייה בלתי סבירה. המבקש לא הוכיח במידה מספקת שפייסבוק לא פעלה בצורה סבירה להכלת המתקפה, תיקון התוכנה והודעה עליה. משכך, לא התקיים יסוד ההתרשלות במעשי פייסבוק ובמחדליה. המבקש אף לא הוכיח את יסוד הנזק. פרטיות - פייסבוק לא פגעה בפרטיות משתמשיה ללא הסכמתם, אלא היתה נתונה למתקפה זדונית. המידע האישי של המבקש שבידי פייסבוק לא הושג על ידי פגיעה בפרטיותו, אלא המשתמשים בשירות פייסבוק מוסרים מרצונם ומשתפים את המידע האישי שלהם בפייסבוק. הם גם קובעים את אופן חשיפתו ולגבי המבקש, רוב המידע האישי שלו היה פומבי וחשוף לנחלת הכלל. על כן, טועה המבקש כשהוא טוען לפגיעה בפרטיות מצד פייסבוק. טענותיו אינם אלא להתרשלות מצד פייסבוק במניעת פגיעה בפרטיותו על ידי אחרים. פייסבוק עצמה לא פגעה בפרטיות המבקש ויתר חברי הקבוצה. יש לדחות את הטענות גם לפגיעה בפרטיות. הבקשה נדחתה.