תדמיתה החדשה של הפרטיות
תמצית הכתבה של
ד. דאפי
בענייני פרטיות האמריקאים לא סומכים על ממשלתם,
ומצד שני מסוגלים למסור מידע אישי לקונצרן על מנת לזכות בהנחה
במוצרי מכולת. מאידך, האירופאים יתנו לממשלותיהם כוח פיקוח נרחב,
אמנם אוסרים בחומרה לארגונים פרטיים לגשת לכל מידע אישי ללא הסכמתם
הכתובה והמפורשת. בעולם האבטחה הארגונית, הדבר גרם לנתק
אידיאולוגי: אנשי עסקים אמריקאים חושבים שהאירופאים מפספסים
הזדמנויות עסקיות המובטחות על ידי מנגנוני איסוף מידע אישי.
האירופאים, מצידם, רואים את עמיתיהם האמריקאנים כמשוחררים עד לחוסר
רגישות בעניין פרטיות תושביהם. לאחרונה חזו מומחים אירופאים
באבטחת מידע כי חברות אמריקאיות יועמדו מול קו נוקשה חדש של אכיפת
חוקי הפרטיות בעסקיהם בעולם הישן.
ערכי החופש של האבות
המייסדים הנחילו בעם האמריקני תרבות של חייה ותן לחיות. רוב
התושבים עדיין מעקמים את אפם מול כל הצעה שתרמוז על הגברת הרגולציה
הממשלתית, ולכן הנושא של פרטיות טופל עד כה כנושא של התעשייה על
ידי התעשייה, ורק סקטורים רגישים במיוחד כגון שירותי בריאות
ופיננסיים נטו לכפות חקיקה. בינתיים, רוב העסקים נשארו חופשיים
לאסוף, להשתמש ולסחור במידע אישי מאחורי מסך דקיק של "תקינה
עצמית". במרכז כל מערכת הלחצים הזו של חקיקה ממשלתית, לחץ בינלאומי,
והוויכוח הציבורי בדבר אבטחה מול פרטיות, נמצא ה-
(CSO (Chief
Security Officer, האחראי לנווט בסערה. תפקיד זה הינו בעל
השפעה משמעותית על הפיתוח, ביצוע ויעילות של מדיניות הפרטיות
הארגונית, גם אם האחריות נמצאת בידי קבוצת האבטחה, הועדה המשפטית,
כוח האדם, או בממונה מיוחד. ה- CSO הוא מי
שנותן חיים לתוכנית שמירה על הפרטיות. ראש צוות האסטרטגיה לפרטיות
החדש של Microsoft אומר: "תתכן אבטחה
מצוינת ללא פרטיות, אבל אין פרטיות מצוינת ללא אבטחה מצוינת".
המלחמה בטרור במיוחד הביאה לכותרות את היחס בין אבטחה לפרטיות,
והיחסים ביניהן הסתבכו לאחרונה עקב מקרים כגון זה של אישה אמריקנית
מוסלמית בפלורידה שלא הסכימה להסיר את רעלתה לצורך צילום לרישיון
הנהיגה, וההכרזה על תוכנית ממשלתית הנקראת Total Information
Awareness Program אשר תאפשר את סריקת מסדי נתונים בחיפוש אחר
איומי אבטחה. משום מה נראה שעם פרטיות ואבטחה, תמיד יישום האחת
בא על חשבון האחרת.
הבעיה מחריפה בהיבט הארגוני
עם הקצר בתקשורת הקיים לעיתים קרובות בין אנשי האבטחה ואנשי
הפרטיות. קיים שוני בשני השטחים בדבר ההחלטיות של הנושאים: בשטח
האבטחה למשל - האנטי וירוס יכול להיות דלוק או כבוי. אבל בפרטיות
קיים מגוון רחב של מצבי ביניים. מה שלאדם אחד נראה חודרני, יכול
להיות חסר חשיבות לאדם אחר.
בפברואר השנה יותר מרבע מן
הנשאלים בסקר בארה"ב זיהו את עצמם כ-"פונדמנטליסטיים של פרטיות".
רק 10% מן הנשאלים היו "חסרי דאגה לגבי פרטיות". ואילו 63% מודעים
ומודאגים לגבי נושאים הקשורים לפרטיות, אבל מוכנים להחליף מידע
אישי בתמורה להטבה מספיק מפתה עם סיכון נמוך של שימוש לא נכון של
המידע.
באירופה נושא הפרטיות עובר
את גבולות ההעדפה ומתקבל כזכות בסיסית של האדם. על כן, קל יותר
לשלב את שני הנושאים באתיקה אחת של ניהול המידע. גם בתוך הייחוד
האירופאי קיים שוני של גישה בין הארצות. תושבי הממלכה הבריטית,
למשל, מוגנים על ידי אמנת ה- "EU Data Privacy Directive", המאפשרת
להם זכויות הודעה, בחירה וגישה למידע האישי - מה שלא קיים בארה"ב.
אבל הם גם גרים בתרבות בה קיימות מצלמות בקרה בכל פינה
ורמזור, והתושבים נמצאים תחת תצפית מתמדת, כנראה מבלי שזה מפריע
להם. למרות זאת, החברה מכבדת את הפרטיות בפומבי, אנשים אינם
תוקעים מבטים למפורסמים, או צועקים אל תוך הטלפונים הסלולאריים
שלהם ברכבות.
הניסיון הגרמני עם הנאציזם
השפיע עמוקות על התפישה התרבותית הגרמנית בנושא פרטיות, וכמו כן גם
בשאר ארצות אירופה. במלחמת העולם השנייה הקהל ראה את הכוח ההרסני
של המידע בידי ממשלה הרסנית. המסקנות שלאחר המלחמה עודדו את אמונה
של זכות האדם לפרטיות. היום, למשל, יש לשירות החשאי הגרמני
סמכות רחבה, לבקרה הקשורה לחקירת הטרור בלבד. לא ניתנה להם
אפשרות חוקית להריץ חקירה על כל הוכחה לפשע-ברמה-נמוכה היוצאת לאור במהלך
חקירה הקשורה לטרור, ובכך כבולות ידיהם והם מנועים מלצאת למסעות ציד
אחר מידע.
הצרפתים, לעומת זאת, בעד תקינה
ממשלתית בכל עניין. שלא כמו האמריקנים, אינם מרגישים צורך להגביל
את התערבות הממשלה במדיניות הפרטיות, ויש להם אחת החקיקות הנרחבות
ביותר באירופה בנושא פגיעות בכבוד האדם.
כאשר האירופים קיבלו ב-
1995 את החקיקה לגבי פרטיות עם הנחלת הדירקטיבה של השוק המשותף
לגבי פרטיות המידע, האמריקנים נאלצו להגיב. בכדי לשמר את ההמשכיות
של הסחר הטראנס אטלנטי, הועדה הפדראלית לסחר תיווכה לקיום הסכם עם השוק
המשותף בשם Safe Harbor, הדורש מחברות אמריקניות החותמות את הסכמתם
אליו לנהוג על פי עקרונות הפרטיות הבסיסיים בייחוד האירופי. רק
מאות ספורות של חברות אמריקניות חתמו למעשה על הסכם זה. רובן הן
חברות קטנות, ולא הגדולות ומפורסמות. ההסכם חוסם חלקית את הזרמת
המידע בין
אירופה לארה"ב, בעת שלרוב החברות הרב לאומיות דרכים עקיפות של
הזרמת
מידע. בנוסף, ה- Safe Harbor אינו כולל נכון לעכשיו את השירותים
הפיננסים, מפני שהצדדים לא הגיעו להסכמה עדיין בדבר כיסוי התקינה
האירופאית על ידי חוקי הגנה על המידע האמריקנים השולטים בארגונים
הפיננסיים.
הטרור והטכנולוגיה שינו את
התקינה ואת הנהלים. מאז ה- 11 בספטמבר יש לממשלת ארה"ב דרישות
מוגברות מבעלי בריתה האירופיים בשם האבטחה, מה שמאלץ אותם במקרים
רבים לשבור את מדיניותם לגבי פרטיות. בתחום התעופה, למשל, ממשלת
ארה"ב דורשת מכל החברות הזרות להציג את רשימות הנוסעים המלאות
במטוסים הנוחתים באדמתם, תקינה הנוגדת את חוקי הפרטיות האירופאיות.
אמנם חברות כגון Lufthansa ו- Air France המעוניינות לנחות בארה"ב
ממלאות את הדרישה ללא מחאה. הדבר עורר רגשות עזים בין האירופיים,
הטוענים שבני בריתם "בגדו בהם". כתוצאה מכך, יתכן וסמכויות הפרטיות
האירופיות ינהגו בקשיחות יתרה עם אמריקנים שיעברו על תקנות
הפרטיות. למשל, יותר תשומת לב יושם על פרטי חוזים ועל זרם המידע,
ותהיה הקפדה רבה על פרוש קנאי של תקנות המידע. לכאורה זה יקרה בשל
הסיבות הלא נכונות, אבל זהו מצבו של העולם היום, ובגלל ההרגשה הרעה
בבטן של האירופים, הגנה על המידע תהיה אחד השטחים שיושמו בהקפדה.
טעות של עובד בחברת Eli Lilly, ששיגר מסר של דואל עם כמעט 700
כתובות של לקוחות בשדה ה-:TO כנגד מדיניות
הפרטיות של החברה עצמה, גררה לסוגיה משפטית שהסתיימה לא מזמן בפשרה.
הפשרה קובעת לחברה הנחלת תוכנית אבטחה בעלת ארבעה רמות עם האמצעים
הפיזיים, הטכניים והניהוליים הנדרשים למניעת טעות דומה בעתיד. על
החברה למנות כוח אדם מתאים לתיאום ובקרה של התוכנית, זיהוי וטיפול
בסכנות פנים וחוץ ארגוניות לאבטחת המידע האישי, ביצוע והגשה בכתב
של סקירה שנתית לתוכנית, כדי לנטר ולתעד את ההיענות לתוכנית,
ולהתאים את התוכנית בעתיד ביחס לממצאים והמלצות. מידות ענישה אלו,
הפכו את הצד הפדראלי למשתתף פעיל בתוכנית האבטחה של Eli Lilly, ועוררו
מודעות בחברות אחרות הנמצאות בסכנה לעבור -בטעות או במזיד- על
מדיניות הפרטיות שלהן.
בחודש יולי עבר בקליפורניה
חוק הדורש מחברות למסור פרטים במידע והן חוששות שפרצה הובילה
לשחרור מידע אישי. המידע הכלול בחוק זה הינו שם פרטי המשולב באחד
או יותר מפרטי המידע הבלתי מוצפנים הבאים: מספר ביטוח לאומי,
רישיון נהיגה או תעודת זהות, חשבון, או כרטיס אשראי עם הסיסמא
המאפשרת כניסה למידע הפיננסי. החוק מיועד להביא את התושבים למודעות
לגבי שימוש לרעה פוטנציאלי במידע האישי והפיננסי שלהם, יתכן ויצור
חלום בלהות תקשורתי עבור חברות החוששות כי פרצה התרחשה, גם אם אחרי
חקירה יתגלה שלא שוחרר כל מידע אישי.
התפקיד של האחראי לפרטיות
בארגון הינו לגשר בין מה שמובטח (במדיניות) למה שאפשרי הלכה למעשה.
עליו לבצע, להבין, ו-אם צריך- גם לאתגר את ההנחות של קובעי
המדיניות, במיוחד כאשר המדיניות דורשת ממערכות דרישות שלא ניתן
לבצע. תקינות מתפתחות אלו ממעיטות בחשיבות של הקשר האמיץ בין נהלים
ומדיניות אבטחה ופרטיות, כך שכל אחד תומך בשני.