הפעלתם את אפליקציית התשלום מהטלפון? אתם משתמשים באפליקציית העברת כספים בין חברים? יכול להיות שפרטיותכם נפגעה הרבה מעבר לנדרש. מסמך המלצות שמפרסמת הרשות להגנת הפרטיות במשרד המשפטים קובע כי החברות דורשות מאיתנו הרבה יותר מדי נתונים, חלקם כאלה שנועדו ל"פרופיילינג" ולמעקב אחרינו.
ברשות הגנת הפרטיות קובעים כי על פי חוק הגנת הפרטיות, על הבנקים וחברות כרטיסי האשראי שמפעילות את האפליקציות, לספק לנו הרבה יותר מידע על הנתונים שהן אוספות מאיתנו ולאפשר לכל אחד לקבוע אם הוא מוכן למסירת הנתונים או לא. הרשות בחנה את אמצעי התשלום המתקדמים להעברת כספים, ואת השימוש שנוסף באחרונה לאפליקציות הבנקים וכרטיסי האשראי - לשלם בקופה ישירות מהטלפון. השימוש הזה מתבצע באמצעות רכיב NFC בטלפון, שמעביר את אישור התשלום ישירות לקופה בה מותקנת מערכת EMV החדשה. קופות EMV נכנסו בשנה האחרונה לשימוש במטרה עיקרית לקלוט כרטיסי אשראי בעלי אבטחה בשבב אלקטרוני.
הרשות ביצעה בחינה הן של מדיניות הפרטיות והן של תנאי השימוש של היישומונים ואמצעי התשלום המרכזיים הפועלים כיום בשוק הישראלי ומפרסמת, לראשונה, לאחר שאפשרה לציבור להתייחס לתוכן המסמך המתגבש, דגשים מרכזיים הנוגעים לפרטיות המשתמשים אשר עלו במסגרת הבחינה שערכה.
הדו"ח מביא דוגמאות לפגיעה בפרטיות: "ההחלטה על שימוש במיקרופון המותקן במכשיר הטלפון לשם מטרת זיהוי משתמשים עשויה להגדיל באורח משמעותי את הפגיעה בפרטיותו של משתמש. דברים אלו נכונים גם ביחס לשימוש בטכנולוגיה עתידית מבוססת בינה מלאכותית, העשויה להביא את הפרופיילינג של זהות משתמשים לרמת דיוק כה גבוהה, עד שהיא תהווה שינוי דרמטי בכל הנוגע ליכולתו של הפרט לשמור על פרטיותו".
ברשות הגנת הפרטיות מצאו כי ההרשאות שאנחנו נותנים לבנקים וחברות כרטיסי האשראי מאפשרות להם לאסוף מידע רגיש רב עלינו, כמו מספר תעודת זהות ופרטי כרטיס אשראי, ומאפשרות ניתוח של התנהלותנו הכלכלית "באופן העשוי להעיד רבות על אישיותם של המשתמשים, העדפותיהם ואורח חייהם". חלק מהאפליקציות דורשות גם הזנת מידע ביומטרי כמו זיהוי פנים וטביעת אצבע, מה שמהווה מידע רגיש אף יותר. חלק מהמידע גם מועבר לחברות אחרות, צד ג', שמשתמשות בו לניתוח סטטיסטי, להגשת הצעות שיווקיות ואולי אף למטרות נוספות.
מהבדיקה עלה כי חלק מהאפליקציות מקבלות גישה לרכיבים במכשירים ניידים - מצלמה, נתוני מיקום, תמונות, לוח שנה, רשימת אנשי קשר, וחלקן אוספות מידע על השימוש באפליקציה באמצעות קבצי "עוגיות". כל אלה אינם הכרחיים למתן השירות ומעוררים חשש למטרות נוספות שמסתתרות מאחוריהם. "להרשאות שכאלו, נדמה שאין הצדקה עקרונית כי הם יידרשו במסגרת של ברירת מחדל, ללא בקשה לקבלת הסכמה אקטיבית מצד המשתמשים".
בדו"ח הרשות להגנת הפרטיות נקבע שהמידע שנדרש באפליקציות אלה מוגן על פי חוק הגנת הפרטיות וכי על החברות להבטיח, שהשימוש באמצעי תשלום מתקדמים ייעשה באופן שמגן על פרטיותם של המשתמשים, ושמאפשר להם לשלוט במידע. "הצורך בקבלת הסכמה אקטיבית לאיסוף מידע מתחדד במיוחד בנסיבות בהן מדובר במידע מזוהה על אדם, כאשר איסוף המידע והשימוש בו נועדו לצרכי פרופיילינג, וכאשר ההסכמה ניתנת בנסיבות בהן קיימות פערי כוחות בין מבקש ההסכמה למעניק אותה".
המלצת הרשות להגנת פרטיות: לפרט במסמכי מדיניות הפרטיות את כלל הרשאות הגישה המבוקשות במסגרת הרישום והשימוש, כולל הסבר לנחיצות של כל הרשאה ולהעניק למשתמש אפשרות לסמן שאינו מעוניין בכל תכונה או גישה למידע, שאינה מחויבת לצורך פעולתה של האפליקציה. ועדיין, גם אם החברות יפעלו על פי חובתן בחוק ויאפשרו הסרת שירותים פוגעניים, האחריות הסופית על הסרת השירותים האלה תהיה עלינו, המשתמשים. מי שחושב שאין לו מה להסתיר ולכן אינו חושש, עלול לגלות ברבות הימים שהמידע שימש לפעילות שפגעה בו.
