פרטי לקוח דלפו מחברת התעופה - האם הוא יפוצה?

הכול התחיל בתוכנית פשוטה לחופשה. אזרח ישראלי תכנן לטוס עם חברת התעופה היוונית Aegean Airlines. ואולם מה שהחל כעוד חופשה סטנדרטית, הסתיים בקרב משפטי עקרוני שנוגע באחת הסוגיות הרות הגורל של עידן המידע: מהי אחריותה של חברה מסחרית כשהאבטחה שלה נפרצת, והמידע האישי של לקוחותיה מתגלגל לידיים זרות? פסק הדין של בית המשפט המחוזי מרכז בלוד, שניתן באחרונה על ידי השופט אבי סתיו, עוסק בדיוק בכך. זוהי כנראה אחת ההכרעות המשפטיות הראשונות בישראל שמנסה להתמודד חזיתית עם אחריות נזיקית של חברות תעופה על פגיעות בפרטיות שנגרמות כתוצאה ממתקפות סייבר.

באוגוסט 2019 קיבל האיש הודעת דואר אלקטרוני שנראתה תמימה. לכאורה, היא נשלחה מ-Aegean Airlines, ובישרה לו כי זכה בהטבה במסגרת מועדון הנוסע המתמיד. אלא שהיה מדובר בהונאה מתוחכמת: ההודעה היתה חלק ממתקפת פישינג שהתבצעה לאחר פריצה למערכות המחשוב של החברה. התובע, שהקליק על הקישור שבהודעה, הגיע לדף שהתחזה לאתר הרשמי של החברה. הוא הזין שם את פרטיו האישיים, בהם כתובת מייל, סיסמה ואמצעי זיהוי נוספים. בכך למעשה הוא נפל קורבן לגניבת זהות דיגיטלית. בהמשך נודע כי לא רק הוא נפל קורבן לכך, לאחר שמתקפת הסייבר פגעה באלפי לקוחות. חלקם דיווחו על התחזויות, ניסיונות הונאה נוספים, ובמקרים מסוימים אף נזק כלכלי.

"על הנתבעת היה לצפות את האפשרות שפריצה שכזו תתרחש"

אבקסיס לא הסתפק בהתמרמרות על מה שקרה. הוא פנה לבית המשפט ותבע את חברת התעופה בגין רשלנות, פגיעה בפרטיות ואי-קיום חובות בסיסיות לפי חוק הגנת הפרטיות, התשמ"א–1981. לדבריו, Aegean התרשלה בכך שלא נקטה אמצעים סבירים כדי להגן על מאגרי המידע שלה, ובכך חשפה את לקוחותיה  ובהם הוא - לפגיעה ממשית. בכתב התביעה טען האיש כי, “נוכח מהות המידע הרגיש המוחזק על ידה, על הנתבעת היה לצפות את האפשרות שפריצה שכזו תתרחש, ולנקוט אמצעים מתקדמים יותר למניעתה”. לדבריו, הפגיעה בפרטיותו היתה חמורה וממשית, הן ברמה האישית והן ברמה התדמיתית.

מנגד, החברה טענה כי היא נקטה אמצעי אבטחה נאותים, וכי מדובר באירוע של "כוח עליון", כדבריה, שאין לה שליטה עליו. בנוסף, טענה חברת התעופה כי האיש עצמו התרשל, כשמסר את פרטיו לאתר מתחזה, אף שהיה עליו להבין שמדובר בהונאה.

• לקוחה מסרה את פרטי האשראי למתחזה - חברת האשראי תשלם
• המהלך שאמור "להרוג" את מסרוני הפישינג ומכירת הקנאביס

השופט סתיו נדרש להכריע בסוגיה חדשה יחסית: האם ניתן להטיל אחריות נזיקית על גוף פרטי בגין מתקפת סייבר שבוצעה על ידי צד שלישי עוין, והאם המידע שנגנב אכן מהווה "מידע אישי" כהגדרתו בחוק. בית המשפט קבע כי המידע שנגנב מהמאגרים של Aegean הוא אכן "מידע אישי רגיש", שכולל פרטים כמו שם, כתובת, כתובת מייל, פרטי אשראי, והרגלי צריכה. לפי פסק הדין שפורסם, “אין חולק כי המידע שנגנב מהווה מידע אישי כהגדרתו בסעיף 7 לחוק הגנת הפרטיות, והמקרה נכנס לגדר מקרים שבהם חלה חובת הגנה מוגברת".

למרות הקביעה כי המידע היה רגיש, ולאור העובדה שמדובר בפריצה "מורכבת ומתקדמת", בית המשפט קבע כי לא הוכח שהחברה פעלה ברשלנות חמורה. השופט הדגיש כי “המדיניות הראויה אינה מטילה על תאגיד אחריות מוחלטת בגין כל מתקפה אפשרית, אלא דורשת נקיטת אמצעים סבירים בלבד". בהתאם לכך, נדחתה התביעה של האיש, ונקבע כי "לא ניתן להטיל אחריות נזיקית על הנתבעת כאשר פעלה לפי הסטנדרטים המקובלים, אף אם התוצאה בפועל הייתה דליפת מידע". עם זאת, השופט לא חסך ביקורת גם בהחברה עצמה בהכרעת הדין שלו. לדבריו, “יש לקוות כי הנתבעת תלמד מן האירוע ותנקוט צעדים נרחבים יותר לעתיד, אף אם אינה מחויבת על פי דין". או במלים אחרות, לא כל מה שחוקי הוא גם מוסרי או ראוי.

מערכת המשפט מדדה אחרי הטכנולוגיה

אמנם בית המשפט לא פסק פיצוי לאבקסיס, אך פסק הדין שופך אור חשוב על גבולות האחריות של גופים מסחריים בעידן שבו מידע אישי הוא הסחורה היקרה ביותר. בפועל, הציבור נדרש כיום לגלות ערנות יתרה ולשאת בעצמו חלק מהעול - מציאות שאינה פשוטה כלל. וכמו שקורה פעמים רבות, כשמדובר בטכנולוגיה, מערכת המשפט מדדה אחריה ומנסה לצמצם את הפער. פסק הדין הזה, על כל מורכבותו, מהווה צעד נוסף בשיח המתהווה בין פרטיות, טכנולוגיה, ואחריות משפטית.

• קנתה קפה בדרך למשרד, נפצעה - ודרשה הכרה כתאונת עבודה
• כפל מבצעים? האשה ביקשה גם חלוקת רכוש וגם כתובה
• תוכן שיווקי "הקרנות הפאסיביות מהוות 60% מהענף"

האם בית המשפט התייחס לשאלה אם התובע עצמו נהג ברשלנות בכך שנפל בפח ההונאה?

כן. השופט אמנם לא קבע באופן נחרץ שהתובע אכן התרשל, אך כן הדגיש כי יש חשיבות להתנהגות המשתמש עצמו, בייחוד כשמדובר במקרה של הונאה מסוג פישינג, שבו נדרשת פעולה אקטיבית של הזנת פרטים. מדובר ברמז לכך שבמקרים עתידיים, התנהגות "לא זהירה" מצד המשתמש עלולה להיחשב תרומה לרשלנות.

האם נקבע אם Aegean הפרה את הוראות רשם מאגרי המידע בישראל?

לא במפורש. החברה פעלה מיוון והיתה כפופה לרגולציה האירופית (GDPR), ולכן בית המשפט נדרש בעיקר לשאלה אם חלה על החברה חובה מכוח הדין הישראלי להגן על מידע של אזרחים ישראלים. ניכר שבית המשפט גילה מידה של זהירות בפרשנותו, ולא אימץ עמדה נחרצת לגבי תחולת הדין הישראלי על חברות זרות.

האם נידונה בפסק הדין שאלת תחולת ה-GDPR במקרה הזה?

השופט אזכר את ה-GDPR, אך נמנע מלבסס את הכרעתו עליו. הוא ציין כי מדובר בתקינה אירופית מחמירה, אך בחר להתמקד בהוראות חוק הגנת הפרטיות הישראלי. בכך בעצם רומז בית

אילו סטנדרטים נחשבים "אמצעים סבירים" לאבטחת מידע לפי גישת בית המשפט?

פסק הדין אינו מגדיר רשימה סגורה של אמצעים, אך ניתן להבין מדבריו של השופט כי מדובר בשילוב של טכנולוגיה עדכנית, פרוצדורות ניהוליות ובדיקות אבטחה תקופתיות. נרמז כי Aegean ביצעה את המינימום הנדרש, ולכן לא ניתן לומר שהתרשלה.

האם היה שיח בפסק הדין על נזק לא מוחשי, למשל תחושת פגיעה או חשש מהונאות עתידיות?

בהחלט. התובע טען כי נפגע גם רגשית, וכי עצם התחושה שפרטיו זמינים בשוק ההונאות מהווה נזק בפני עצמו. השופט התייחס לכך, אך הבהיר כי כדי להעניק פיצוי, נדרש להוכיח קשר סיבתי ונזק ממשי שנגרם, ולא רק תחושת איום כללית.

מה המשמעות של ההבחנה בין מידע אישי לבין מידע רגיש בפסק הדין?

ההבחנה חשובה מאוד. בעוד שמידע אישי הוא כל פרט המזהה אדם, מידע רגיש כולל סוגיות כמו מצב רפואי, נטייה מינית, השקפות פוליטיות וכדומה. ככל שהמידע נחשב לרגיש יותר, כך רף ההגנה המשפטית עליו גבוה יותר. במקרה זה, נאמר כי "המידע אינו מהרגישים ביותר", ולכן החובה המוטלת על החברה מחמירה פחות.

האם היתה בפסק הדין התייחסות למעמד הלקוח הישראלי מול חברות בינלאומיות?

כן. השופט הכיר בכך שלקוח ישראלי זכאי להגנה משפטית גם כשהשירות ניתן על ידי גוף זר, אך הדגיש כי לא ניתן להחיל על גופים כאלה סטנדרטים בלתי אפשריים. יש פה ניסיון למצוא איזון בין הגנה על הצרכן לבין אי-הרתעה של פעילות מסחרית לגיטימית.

במקרה אחר, הכריע בית המשפט בפברואר האחרון שבמקרה שבו חברת אשראי נתבעה על ידי צרכנית שנפלה קורבן להונאת פישינג, ואף מסרה את הקוד הסודי שהוביל לביצוע רכישות בלתי מורשות בשירות Apple Pay בסכום כולל של 4,600 שקל. בית המשפט ניתח את גבולות האחריות של הצרכן וחברת האשראי. הצרכנית, שהמתינה לחבילה שהזמינה, קיבלה הודעת טקסט שנראתה כמו זו של חברת המשלוחים, שבה היא התבקשה להזין את פרטי כרטיס האשראי שלה לצורך תשלום נוסף. לאחר שהזינה את הפרטים באתר שהופיע בהודעה, היא קיבלה הודעה נוספת עם קוד סודי (OTP) שנשלח על ידי חברת האשראי. מתוך מחשבה שמדובר בחלק מתהליך אימות הליך התשלום, היא הזינה גם את הקוד. התברר כי המתחזה השתמש בפרטים ובקוד הסודי כדי להוסיף את כרטיס האשראי שלה לשירות Apple Pay, וכאמור ביצע רכישות בסכום כולל 4,600 שקל, מבלי שהצרכנית היתה מודעת לכך. חברת האשראי טענה כי הלקוחה התרשלה בכך שמסרה את הקוד הסודי לצד שלישי, למרות האזהרות לשמור עליו בסודיות. החברה הסבירה כי לפי תנאי השימוש, הלקוחה מחויבת לנקוט אמצעי זהירות סבירים, וכי מסירת הקוד היא הפרה של חובתה להגן על פרטיה. עוד טענה החברה כי ברגע שהצרכנית מסרה מרצונה את פרטי האשראי והקוד הסודי, אין מדובר בעסקה בלתי מורשית, אלא במקרה שבו הלקוחה בעצמה אישרה – גם אם מתוך טעות – את העסקה.