להצפין זה לא להיות פרטי: מה המטא-נתונים אומרים עליכם

המנעול שלא מגן על הכל

חלק גדול משירותי ההודעות של ימינו מפרסמים הצפנה מקצה לקצה. וזה נכון: תוכן ההודעות עובר מוצפן, כך שאף אחד בדרך – אפילו לא ספק השירות – לא יכול לקרוא את הטקסט בזמן שהוא מועבר. עד כאן ההצהרה מדויקת.

הבעיה היא שהתוכן הוא רק חלק מהסיפור. למרות שאף אחד לא יכול לקרוא את מה שאתם אומרים, השירות יודע דברים אחרים בדיוק גבוה מאוד: עם מי אתם מדברים, באיזו שעה, באיזו תדירות, מאיזה מיקום משוער, באיזה מכשיר, כמה הודעות אתם שולחים וכמה אתם מקבלים, כמה קבצים אתם משתפים. כל זה נקרא מטא-נתונים (metadata). ומטא-נתונים, במקרים רבים, אומרים כמעט כמו ההודעה עצמה.

מה המטא-נתונים חושפים

אין צורך לקרוא הודעה כדי לדעת דברים רבים. אם אדם מתקשר או כותב לאונקולוג בכל יום שלישי בבוקר בשעה תשע במשך שישה חודשים, אין צורך לשמוע את השיחה כדי לנחש מה קורה. אם שני אנשים מחליפים מאה הודעות ביום ופתאום מפסיקים, אין צורך לקרוא אף אחת כדי להבין מה קרה. אם יועץ מס מקבל עשרים הודעות ברצף מאותו לקוח בלילה שלפני סגירת רבעון, הדפוס מדבר בעד עצמו.

מטא-נתונים חושפים דפוסי התנהגות: מי בקשר עם מי, מהם לוחות הזמנים של כל אדם, מתי הוא ער, מתי הוא ישן, מתי הוא נוסע, אילו לקוחות הם הפעילים ביותר, אילו יחסים מקצועיים הם האינטנסיביים ביותר. שרת שאוסף מטא-נתונים יכול לבנות פרופיל מפורט של החיים האישיים והמקצועיים של כל משתמש מבלי שקרא אי פעם מילה אחת ממה שהוא כותב.

יש דוגמה היסטורית הממחישה זאת בחומרה. מנהל ה-NSA לשעבר, מייקל היידן, ניסח זאת בבוטות ב-2014: "We kill people based on metadata". האמירה התייחסה למבצעים צבאיים של ארה"ב נגד מטרות שזוהו אך ורק על סמך דפוסי התקשורת שלהן. אף לא הודעה אחת שנקראה. רק גרף אנשי הקשר ולוחות הזמנים.

העובדה ששירות אוסף מטא-נתונים אינה אומרת בהכרח שהוא ישתמש בהם נגד המשתמשים שלו. המשמעות היא שיש לו את היכולת לעשות זאת, ושגם לצד שלישי עם גישה לנתונים אלו – באמצעות צו בית משפט, פרצת אבטחה או מכירה לצדדים שלישיים אם תנאי השירות מאפשרים זאת – יש אותה.

הגישה לספר הכתובות

וקטור נוסף שעובר כמעט ללא תשומת לב: רשימת אנשי הקשר. חלק גדול משירותי ההודעות מבקשים גישה לספר הכתובות של הטלפון בעת ההרשמה. הם מעלים את כל המספרים לשרת שלהם כדי להראות מי עוד משתמש בשירות. מאותו רגע, לחברה יש מפה מלאה של מערכות היחסים של המשתמש, גם אם הוא מעולם לא כתב הודעה אחת לאף אחד.

עבור איש מקצוע בעל חובת חיסיון – עורך דין, רופא, פסיכולוג, יועץ – ספר הכתובות הזה מכיל לקוחות. אם ספר הכתובות הועלה לשרת של צד שלישי, שמות הלקוחות נמצאים בתשתית שתחת סמכות השיפוט והמדיניות שלה אין לאיש המקצוע שליטה. החיסיון המקצועי אינו נפרץ ביום שבו מישהו מדליף שיחה: הוא נפרץ הרבה קודם לכן, ברגע ההסכמה להעלאה.

ההבדל בין להצפין לבין לא לאסוף

להצפין זה להגן על התוכן. להיות פרטי זה לא לאסוף את מה שאין בו צורך. אלו דברים שונים, וההבדל הוא קריטי מבחינה תפעולית. שירות יכול להצפין באופן מושלם את כל ההודעות ובו-זמנית לדעת כמעט הכל על המשתמשים שלו דרך מטא-נתונים. שני הדברים תואמים לחלוטין. למעשה, זהו המודל העסקי הדומיננטי במגזר.

השאלה הנכונה להערכת הפרטיות האמיתית של שירות אינה "האם הוא מצפין את התוכן?". על שאלה זו כבר יש תשובה מזה שנים. השאלה הנכונה היא: "אילו מטא-נתונים הוא מייצר והיכן הם נשמרים?". ומעל לכל: "אילו מטא-נתונים הוא לא צריך לייצר?".

ארכיטקטורה שממזערת מטא-נתונים לפי תכנון (privacy by design) – לא לפי הבטחה, לא לפי מדיניות פנימית – היא פרטית יותר מבחינה מבנית מאשר ארכיטקטורה שאוספת ומצפינה אותם. מכיוון שנתונים שאינם קיימים לא יכולים להיות מודלפים, לא יכולים להימכר, לא יכולים להימסר לצו בית משפט ולא יכולים ללכת לאיבוד בפרצת אבטחה.

לקורא המקצועי

אם הפעילות המקצועית שלכם כוללת סוד, סודיות או פשוט כבוד למידע של צדדים שלישיים, כדאי לשאול את השאלות בסדר הזה:

1. האם האפליקציה שבה אני משתמש לתקשורת מצפינה את התוכן? (כנראה שכן.)
2. האם היא מצפינה את המטא-נתונים? (כנראה שלא.)
3. האם היא מייצרת מטא-נתונים שהיא לא צריכה כדי לפעול? (כמעט בוודאות שכן.)
4. היכן נשמרים המטא-נתונים הללו ותחת איזו סמכות שיפוט? (כנראה מחוץ לאזור הכלכלי האירופי.)
5. האם הלקוח או המטופל שלי יודע שהנתונים שלו נמצאים שם?

השאלה האחרונה היא הלא נעימה. כי התשובה הכנה ברוב המקרים היא: לא.

---

מאמר זה הוא הראשון בסדרה על אופן הפעולה האמיתי של כלי תקשורת מקצועיים. הגיליונות הבאים יעסקו בעמידה ב-GDPR בהודעות ובמושג החיסיון המקצועי בעידן הדיגיטלי.