# פרטיות אמיתית מול מדומה: השאלות שכדאי לשאול

> Cuadernos Lacre
> https://solo2.net/he/yoman/articulos/pratiyut-adrichalit-neged-pratiyut-hatzharatit.html

תמצית מעשית של מחזור 2: השאלות שמבחינות בין שירות בעל פרטיות ארכיטקטונית לבין שירות בעל פרטיות הצהרתית. שאלון עבור המקצוען האירופי לפני אימוץ כל כלי דיגיטלי לנתונים רגישים.

---

> כדי שנבין זה את זה: שני שירותים בעלי אותה הודעה משפטית עשויים להתנהג באופן שונה מאוד. האחד מגן בעיצוב טכני. האחר מגן בהבטחה חוזית. ההבדל אינו נקרא בהודעה — הוא מתגלה בשאילת השאלות הקונקרטיות. איכות התשובות אומרת על המוצר לא פחות מתוכנן עצמו.

## ההבדל בין פרטיות ארכיטקטונית לפרטיות הצהרתית

לאורך שבעת המאמרים הקודמים של מחזור זה עברנו דרך שכבות שונות של אותו עניין. דיני ההעברות הבינלאומיות עם Schrems II. הרעיון המתמטי של הגיבוב הקריפטוגרפי שחותם כל Cuaderno. הבחירה הארכיטקטונית של kill switch וההשתלטות המוסדית שכמעט תמיד מלווה אותה. מנגנון ההצפנה מקצה לקצה והשאלה המעשית היכן שוכנים המפתחות. יישור התמריצים על-פי המודל העסקי. הזהות הקריפטוגרפית הריבונית-עצמית. האירוח העצמי כאסטרטגיה מידתית. כל מאמר עסק בזווית. זה, האחרון במחזור, מאחד אותם בשאלון.

ההבחנה שכדאי לזכור פשוטה: יש שירותים שפרטיותם *ארכיטקטונית* ויש שירותים שפרטיותם *הצהרתית*. הראשונה מוטמעת בעיצוב הטכני: הפרות מסוימות של מחויבות הפרטיות קשות טכנית או בלתי אפשריות משום שהארכיטקטורה אינה מתירה אותן. השנייה מופקדת בנוסח ההודעה המשפטית: הפרות מסוימות יהיו ניתנות לענישה חוזית אם יתרחשו, אך טכנית דבר אינו מונע אותן. שני המודלים יכולים לעמוד ב-RGPD; אך אחד מגן מתוקף הבנייה והאחר מגן מתוקף הבטחה, וההבדל עצום מבחינה מעשית.

השאלות שלהלן מתוכננות להבחין בין מקרה אחד לאחר. אין אלו שאלות טכניות מתקדמות. אלו השאלות שכל ספק כן יכול לענות עליהן בתיעוד הציבורי שלו. איכות התשובה ודיוקה אומרים על המוצר לא פחות מהתשובה עצמה. השאלות מתקבצות לשש שכבות; כדאי לשאול את כולן לפני אימוץ השירות לנתונים רגישים, לא רק את אלה שהאינטואיציה הראשונה מזהה.

## שכבה 1: ארכיטקטורה

לפני שנמשיך, נגדיר מונח אחד. ב*מפעיל* אנו מתכוונים לחברה שמספקת את השירות: הגוף ששולט בשרתים ובתוכנה, ולא אדם מסוים. לאחר הבהרה זו, השאלה הארכיטקטונית הבסיסית היא: מה עושה המפעיל עם התוכן שבין השולח לנמען? יש שלוש תשובות אפשריות וכדאי לדעת להבחין ביניהן, משום ששלושתן משווקות לעיתים באוצר מילים דומה.

השאלה המשלימה —שכבר נוסחה ב-Cuaderno על הצפנה— היא: מי מחזיק במפתחות הקריפטוגרפיים המאפשרים לקרוא את התוכן? אם מחזיק בהם המשתמש ורק המשתמש, ההצפנה אמיתית. אם מחזיק בהם גם המפעיל בכל צורה —אפילו תחת השם «שחזור חשבון» או «סנכרון בין מכשירים»—, ההצפנה נומינלית. השאלה אינה מתירה תשובת ביניים כנה.

## שכבה 2: מודל עסקי

השאלה על המודל העסקי חשובה לא פחות מהשאלה הארכיטקטונית, ומאותה סיבה מהותית: התמריצים מייצרים, לאורך זמן, מוצרים שונים באופן שיטתי אף עם מטרות מוצהרות זהות. כיצד מרוויח המפעיל כסף היום? מקור אחד, שניים, תערובת? אם המימון כולל פרסום או הפקת רווח מנתונים, אילו נתונים מופק מהם רווח ועל איזה בסיס משפטי של RGPD נעשה הדבר? האם המטרה המוצהרת בהודעה המשפטית מכסה את נתוני הצד השלישי שהמקצוען מתכוון להפקיד בשירות?

והשאלה מהסדר השני, שאינה תמיד מנוסחת: מהו מצבו הפיננסי של המפעיל בטווח של שלוש עד חמש שנים? חברה בשלב הון סיכון פועלת תחת לחצים שונים מחברה ברווחיות יציבה. שינוי מודל המימון הוא, שוב ושוב, הרגע שבו החוזה המשתמע עם המשתמשים נכתב מחדש ללא משא ומתן.

## שכבה 3: שיפוט

עבור המקצוען האירופי, שאלת השיפוט אינה רטורית. באיזה שיפוט התאגד המפעיל? באיזו מדינה נמצאים פיזית השרתים המעבדים את הנתונים? האם התשובה לשתי השאלות הקודמות זהה או שונה, ואם היא נבדלת, איזו חקיקה חלה? אזור אירופי המופעל בידי חברה אמריקאית אינו, לצורכי Schrems II, תשובה אירופית: החברה כפופה ל-FISA 702 ללא תלות במיקום השרתים.

השאלה המשלימה המעשית היא: אם יגיע מחר צו מודיעין תקף בשיפוט של המפעיל הדורש למסור את הנתונים שלי או של לקוחותיי, מה היה קורה? אם התשובה הכנה מתחילה ב«החברה תהיה מחויבת למסור אותם», השירות אינו מגן מפני אותו צו ככל שהפרסום מרמז אחרת. אם התשובה הכנה מתחילה ב«החברה לא תוכל למסור אותם משום שאינה מחזיקה בהם בטקסט גלוי», השירות אכן מגן; וההבדל תלוי כמעט כולו בשתי השכבות הראשונות, לא באיכות מדיניות הפרטיות.

## שכבה 4: המפעיל ו-kill switch

איזו יכולת טכנית שומר המפעיל להשעות, לחסום, להסיר או להחליש את השירות מרחוק? השאלה אינה פרנואידית: היא מעשית. הפלטפורמות הדיגיטליות מימשו יכולת זו שוב ושוב בשנים האחרונות, לעיתים ביוזמתן, לעיתים בצו ממשלות, לעיתים לאחר שינויי בעלות או מדיניות. אם היכולת קיימת, כדאי לדעת תחת אילו הנחות מוצהרות חוזית היא ממומשת, ולשמור מרווח להנחות הלא-מוצהרות שהפרקטיקה של השנים האחרונות הראתה כי הן חשובות לא פחות: צו שיפוטי בלתי צפוי, סנקציה בינלאומית, שינוי בממשל התאגידי, רכישה בידי גורם בעל מדיניות אחרת.

השאלה האחות היא שאלת תוכנית ההמשכיות: אם המפעיל יממש את היכולת נגד המקצוען —מכל סיבה שהיא, מוצדקת או לא—, כמה זמן פעילות יישאר זמין, איזה נוהל ייצוא נתונים קיים, ולאיזה ספק חלופי ניתן יהיה לעבור? אם התשובה מתחילה ב«זה לא אמור לקרות», אין זו תשובה מעשית; זו הבטחה.

## שכבה 5: זהות וגישה

מי שולט באישורי הגישה לשירות? אם המפעיל יכול לאפס את הגישה של המשתמש ללא השתתפות המשתמש —נוהל הנקרא בדרך כלל «שחזור חשבון»—, אזי המפעיל הוא, טכנית, שומר החשבון ויכול גם להעבירו למי שמבקש זאת באמצעות הנוהל המתאים. אם המפעיל אינו יכול לאפס את הגישה משום שהזהות שוכנת קריפטוגרפית במכשיר המשתמש, אזי המפעיל גם אינו יכול להעבירה, אף לא בצו. שני הדפוסים לגיטימיים לפי ההקשר; אך, שוב, הם שונים, וכדאי לדעת איזה מהם מאמצים.

מה קורה לנתוני המקצוען אם המקצוען מאבד את הגישה? האם קיימים מנגנוני שחזור —של חשבון, של קובץ, של הפעלה— התלויים במפעיל? האם מנגנונים אלו תואמים את האתיקה המקצועית של הענף אם המפעיל ייאלץ להשתמש בהם?

## שכבה 6: עתיד

שכבה אחרונה זו נוטה להיות מוזנחת משום שהיא דורשת השלכה קדימה. מה היה קורה אם השירות היה נרכש בידי חברה אחרת? כמעט כל הרכישות גוררות בחינה מחודשת של תנאי השירות בחודשים שלאחר מכן. מה היה קורה אם הדרישות הרגולטוריות היו משתנות? המשפט האירופי הגדיל את חובות ההסרה והחסימה מאז 2022, לא צמצם אותן. מה היה קורה אם המפעיל היה נעלם? חלק משמעותי משירותי הענן אינו בעל תוכנית יציאה מתועדת לתרחיש סגירת המפעיל; המקצוען מגלה את הבעיה כשכבר אין זמן להיערך אליה.

יש ניסוח שכדאי לזכור לשכבה זו: ארכיטקטורות התלויות פחות במפעיל עמידות יותר בפני שינויים במפעיל. האירוח העצמי בכל אחת מצורותיו, הזהות הקריפטוגרפית הריבונית-עצמית, התקשורות ללא שרת באמצע, כל אלה מצמצמים את משטח הסיכון העתידי בדרך של צמצום משטח התלות ההווה. הם אינם מבטלים אותו; הם מצמצמים אותו.

## ההבדל בין מבנה להבטחה

אם היינו צריכים לזקק את המחזור למשפט אחד, הוא היה זה: התשובות המבניות נשמרות אף אם המפעיל, הרשות או החקיקה משתנים; התשובות שבהבטחה נשמרות כל עוד מי שמבטיח יכול ורוצה לשמור עליהן. שתיהן יכולות להיות נכונות ברגע האימוץ. רק אחת מהשתיים מחזיקה מעמד ללא תלות בחלוף הזמן ובשינוי הנסיבות.

אין פירוש הדבר שכל מקצוען חייב לדרוש תשובות מבניות מכל השירותים שהוא מאמץ. המידתיות נותרת לגיטימית: גיליון אלקטרוני לחשבונאות פנימית אינו זקוק לאותה תשובה הנדרשת לתיק הרפואי של מטופל. פירוש הדבר, כן, שהמקצועיות מתבטאת בידיעה איזה סוג של תשובה התקבל בכל מקרה, ובכך שהוחלט במודע שאותו סוג תשובה מידתי לנתון הקונקרטי.

## השאלון, מסודר

שתים-עשרה שאלות קונקרטיות המתמצתות את המחזור, מסודרות כך שהתשובה לכל אחת מהן תיידע את הבאה:

1. האם התוכן עובר דרך שרת של המפעיל? אם כן: בטקסט גלוי, מוצפן במפתחות המפעיל, או מוצפן במפתחות בלעדיים של המשתמש?
2. אם נטען להצפנה מקצה לקצה, היכן שוכנים המפתחות הקריפטוגרפיים? האם המפעיל מכיר או שומר חלק כלשהו מהם בכל צורה, לרבות «שחזור»?
3. אילו מטא-נתונים יוצר ושומר השירות? לכמה זמן? למי הם גלויים?
4. כיצד מתממן המפעיל? אם המימון כולל פרסום או הפקת רווח מנתונים, האם המטרה המוצהרת מכסה נתוני צד שלישי שהמקצוען הפקיד?
5. מהו מצבו הפיננסי של המפעיל בטווח של שלוש עד חמש שנים? האם יש גורמים המרמזים על שינוי קרוב במודל (הנפקה ראשונית צפויה, סבב מימון שמתקרב לסיומו, רכישה סבירה)?
6. באיזה שיפוט התאגד המפעיל? באיזו מדינה השרתים נמצאים פיזית? אם הם נבדלים, איזו חקיקה לאומית חלה על העיבוד?
7. מה היה קורה אם צו מודיעין תקף בשיפוט של המפעיל היה דורש למסור את הנתונים שלי? האם החברה יכלה לציית לו טכנית?
8. איזו יכולת טכנית שומר המפעיל להשעות, לחסום או להסיר את השירות? תחת אילו הנחות חוזיות? תחת אילו הנחות לא-חוזיות המתועדות היסטורית?
9. איזו תוכנית יציאה קיימת אם המפעיל יממש את אותה יכולת נגדי, בצדק או שלא בצדק? האם יש נוהל מתועד לייצוא נתונים לספק חלופי?
10. מי שולט באישורי הגישה? האם המפעיל יכול לאפס אותם ללא השתתפותי? האם זה מגן עליי או חושף אותי?
11. האם קיימת חלופה אירופית, מאורחת עצמית או ללא שרת באמצע, עבור פונקציה קונקרטית זו? מהי עלותה האמיתית, בהשוואה לסיכון שהוערך?
12. אם ההחלטה של היום תיבחן בעוד חמש שנים בידי מפקח, מבקר או לקוח שנפגע מפרצה, האם הבחירה הנוכחית תהיה ניתנת להגנה בטיעונים הזמינים היום, או שתחייב התנצלות על אי-שאילת שאלות סבירות?

השאלות אינן מצפות לתשובות מושלמות. הן מצפות לתשובות כנות, שהמפעיל הכן יודע לתת ושהמפעיל הפחות כן נמנע מלנסח בדיוק. ההבדל המעשי בין שני סוגי המפעיל, נאמר זאת ללא דרמטיות, ניכר בדרך כלל בקריאה איטית של התשובות שהם מציעים מרצונם, עוד לפני שצריך לבקש יותר.

---

*במאמר זה אנו חותמים את המחזור השני של Cuadernos Lacre. התחלנו בחוב המערכתי שירשנו מ-Schrems II ואנו מסיימים בשאלון מעשי. בדרך עברנו דרך מושגים —גיבוב, הצפנה, זהות— וניתוחים יישומיים —kill switch, מודל עסקי, אירוח עצמי—. הכוונה המערכתית המוצהרת של הפרסום לא הייתה להציף את הקורא ברשימה ממצה של בעיות, אלא להעניק לו כלים שיאפשרו לו, מול כל שירות חדש, להבחין איזה סוג של תשובה הוא מקבל. אותה הבחנה —בין ארכיטקטורה להבטחה— היא הכלי. את השאר יעמיד כל מקצוען לשירות הנתונים שייחשבו לו, בעבודתו, ראויים לשאלה.*

## מקורות וקריאה נוספת

- פרסום זה, מחזור 2 (מאי 2026) — *Schrems II, חמש שנים אחרי*, *מה זה באמת SHA-256*, *Kill switch ותפיסה מוסדית*, *הצפנה מקצה לקצה, ההסבר האמיתי*, *המודל העסקי כאות לאמון*, *24 המילים: מהי זהות קריפטוגרפית*, *אירוח עצמי כפרקטיקה מקצועית*. שבעת המאמרים שעליהם נשען שאלון זה.
- תקנה (האיחוד האירופי) 2016/679 — התקנה הכללית להגנת הנתונים. המסגרת המשפטית המנחה לכל השאלות שהשאלון מעלה, ובמיוחד סעיפים 5, 6, 25, 28, 32, 33 ופרק V.
- המועצה האירופית להגנת הנתונים — קווים מנחים וחוות דעת מעשיות בנושא Schrems II, העברות בינלאומיות, הערכות השפעה ואחריותיות יזומה (פרסומים 2020-2024).
- הסוכנות הספרדית להגנת הנתונים — סנקציות שפורסמו 2022-2024 נגד בעלי שליטה בעיבוד בשל מכשירי העברה בלתי הולמים או בשל הערכות השפעה פורמליות ללא תוכן מהותי.
- noyb.eu — המרכז האירופי לזכויות דיגיטליות, בהנהלת Maximilian Schrems. מאגר ציבורי של תלונות, ערעורים וניתוחים על הציות האמיתי, לא המדומה, לכללי הגנת הנתונים האירופיים.

---

*Cuadernos Lacre · פרסום של Menzuri Gestión S.L. · נכתב על ידי R.Eugenio · נערך על ידי צוות Solo2.*
*https://solo2.net/he/yoman/*
