האם פייסבוק פוגעת בפרטיות של מי שאינם משתמשים?

הסיפור הבא התחיל לפני שבע שנים, ביוני 2018, כשמתן אליהו גרינבלט הגיש לבית המשפט המחוזי מרכז-לוד תביעה ובקשה לאישורה כייצוגית נגד ענקית הטכנולוגיה פייסבוק, כיום מטא. לטענתו, החברה אוספת מידע אישי על גולשים ברחבי האינטרנט שאינם משתמשים רשומים שלה, וזאת באמצעות כלים טכנולוגיים שהיא מטמיעה באתרים רבים - פיקסלים, עוגיות, ותוספים כמו כפתורי "לייק" ו"שיתוף". גרינבלט טען כי מדובר במעקב שיטתי ובלתי חוקי הפוגע בזכותם של אזרחים לפרטיותם, וכי פייסבוק אף יוצרת על בסיס המידע הזה "פרופילי צללים", שהם מאגרי מידע על אנשים שמעולם לא פתחו חשבון ברשת החברתית.

בבקשה נטען כי פייסבוק הפכה את עצמה למונופול עולמי בתחום הרשתות החברתיות, וכי היא מנצלת את כוחה כדי לאסוף מידע בהיקפים עצומים לצורכי פרסום ורווח כלכלי. לדבריו, "החברה עוקבת ושומרת מידע על אנשים המבקרים באתרים שונים ברשת, מידע המתייחס למה אותם אנשים עושים ברשת, גם כאשר הם מעולם לא נרשמו לשירותי פייסבוק ולא נתנו לה כל הסכמה לפעולותיה". הוא העריך את הנזק לכל אדם בכ-1,000 שקל, ואת הנזק הכולל לציבור בכמיליארד שקל. בנוסף, הוא ביקש צו עשה שיאסור על פייסבוק להמשיך לעקוב אחר הציבור ויחייב אותה למחוק את הנתונים שכבר נאספו. הקבוצה שאותה ביקש גרינבלט לייצג כללה, לדבריו, "כל אדם וכל גוף שאינם רשומים כמשתמשים בפייסבוק או שחדלו להיות רשומים, אשר פייסבוק אספה לגביהם מידע בהתייחס לאתרים שהם מבקרים בהם". לטענתו, במדינת ישראל לבדה מדובר במיליוני אנשים, מתוך כ-6 מיליון גולשים באינטרנט שרק כ-5 מיליון מהם משתמשים פעילים בפייסבוק.

במהלך השנים התנהלה הבקשה לסירוגין. פייסבוק הגישה תשובה מפורטת מטעמה, אליה צורפו תצהירים וחוות דעת מומחים. בין היתר העידה מטעם החברה עובדת בכירה, הגברת Narvaez, וכן פרופ’ גיא אבן, מומחה לטכנולוגיות אינטרנט, שהסבירו כי השימוש בעוגיות, פיקסלים ותוספים הוא חלק אינטגרלי ומקובל מהאופן שבו פועל האינטרנט המודרני. לטענת פייסבוק, "התביעה יוצאת נגד שימוש מקובל בטכנולוגיות רשת נפוצות שהן חלק אינטגרלי מהאינטרנט ונמצאות בשימוש מרבית האתרים", וכי הנתונים שהיא מקבלת אינם מזהים אדם ספציפי ולכן אינם מהווים פגיעה בפרטיות.

בסיס חוקי להעברת הנתונים

פייסבוק הדגישה כי היא אינה יוצרת פרופילי צללים או מאגרי מידע אישיים על מי שאינם משתמשים רשומים. "הנתונים הנאספים אינם נשמרים במתכונת שמאפשרת את זיהוי המשתמשים הלא רשומים", היא ציינה, "ולכן אדם סביר לא יכול לקשור בין המידע שנאסף לבין אדם מסוים". החברה הוסיפה כי אתרי צד ג׳ המתקינים את כליה נדרשים על פי תנאי השימוש לקבל הסכמה מדעת מהגולשים, ליידע אותם על הפעלת הכלים ולהבטיח שקיים בסיס חוקי להעברת הנתונים.

• נמל התעופה החדיש נחנך בישראל והרשת החברתית משנה שם ואסטרטגיה
• תשלם לנהג המונית: הערעור של גוטליב נדחה
• המלצת המערכת: כל הכותרות 24/7

מנגד, המבקש טען כי מדובר בהתחמקות. הוא הדגיש כי הזיהוי שמבצעת פייסבוק אינו תלוי בשם המשתמש אלא במזהים טכנולוגיים ייחודיים לדפדפן, המאפשרים לה לקשר בין נתוני גלישה לבין משתמש מסוים גם אם אינו רשום. לדבריו, "הזיהוי באמצעות דפדפן הוא חד-חד ערכי... המשיבה יודעת לגבי הלא-משתמש נתונים כדוגמת מקום, שעות השימוש באתרים, מה הוא רוכש ועוד, ובממוצע 1,500 פרטי מידע". גרינבלט טען כי עצם העובדה שפייסבוק מחייבת את האתרים להעביר אליה מידע על כל מבקר באתר מהווה כפייה הפוגעת בפרטיות, וכי מדובר בהשתלטות על מרחב האינטרנט כולו.

פייסבוק טענה מנגד כי למבקש עצמו אין עילת תביעה אישית, מפני שהוא היה בעבר משתמש בפייסבוק, גם אם לא בשם האמיתי שלו, ולכן הוא לא נמנה על הקבוצה שאותה הוא מבקש לייצג. גרינבלט טען בתגובה כי אמנם פתח בעבר עמוד פייסבוק בשם אחר לצורך עסקי, אך לא הזדהה בשמו האמיתי ומעולם לא מסר פרטים מזהים, ולכן פייסבוק לא יכלה לקשר בינו לבין החשבון. בכך, לדבריו, הוכחה עצם טענתו כי החברה עוקבת ומצליבה מידע כדי לזהות גולשים גם בלי שמסרו את פרטיהם.

לא התקיימו יחסי עוסק-לקוח

השופטת איריס רבינוביץ-ברון בחנה את הטענות של הצדדים בהרחבה. היא ציינה כי שאלת סמכותו של בית המשפט לדון בתובענה ייצוגית שכזו נבחנת לפי סעיף 3 לחוק תובענות ייצוגיות, הקובע רשימה סגורה של תחומים שבהם ניתן לאשר תובענה ייצוגית. במקרה הזה, הסתמך המבקש על פרט 1 לתוספת השנייה לחוק, המאפשר תובענה "נגד עוסק בקשר לעניין שבינו לבין לקוח". אלא שבית המשפט קבע כי מאחר שהתביעה מוגשת בשם מי שאינם לקוחות של פייסבוק, כלומר לא התקיימו בינם לבינה יחסי עוסק-לקוח - היא לא יכולה להיכנס תחת הסעיף הזה.

• חופשת לידה ומלחמה: החלטה חשובה בהליכי היטל השבחה
• ביטול כתב האישום בפרשת מצלמות המהירות נותר על כנו
• תוכן שיווקי שוק הסקנדרי בישראל: הציבור יכול כעת להשקיע ב-SpaceX של אילון מאסק

"לא ניתן לקבל את גישת המבקש לפיה די בכך שהמשיבה היא 'עוסק' וחברי הקבוצה הם 'לקוחות' כדי להביא את התובענה בגדר פרט 1", כתבה השופטת בהכרעתה, "יש לבחון האם התביעה מתקיימת במסגרת יחסי עוסק-לקוח, ובענייננו לא מתקיימים יחסים כאלה, שכן חברי הקבוצה הם דווקא מי שבחרו שלא להירשם לשירותיה של המשיבה". בהמשך היא הדגישה כי ניסיון להביא תביעה בגין פגיעה בפרטיות של מי שאינם לקוחות תחת הכותרת של "יחסי עוסק-לקוח" הוא מלאכותי, והוסיפה כי אין זה מתפקיד בית המשפט להרחיב את מסגרת החוק מעבר למה שקבע המחוקק. היא אף ציינה כי בימים אלה קיימת הצעת חוק ממשלתית להוסיף לחוק תובענות ייצוגיות סעיף שיאפשר הגשת תביעות ייצוגיות בעילה של פגיעה בפרטיות, אך כל עוד ההצעה לא התקבלה, לא ניתן לעשות זאת במסגרת הדין הקיים.

ביחס לגרינבלט עצמו, קבעה השופטת כי הוא לא יכול להיחשב חבר בקבוצה, משום שפתח בעבר חשבון פייסבוק ולא הוכיח שסגר אותו. הנציגה מטעם החברה הסבירה בעדותה כי גם אם החשבון נפתח בשם שונה, המערכת מזהה את המשתמש באמצעות נתוני עוגיות ייחודיים לדפדפן, כך שכל פעולה שבוצעה דרך אותו דפדפן מקושרת לחשבון שנפתח. "משעה שהמבקש פתח בשעתו חשבון פייסבוק, גם אם השתמש בשם אחר, ולא פעל לסגירתו - הוא איננו יכול להיחשב כמי שאינו משתמש רשום", כתבה השופטת, וקבעה כי אין לו עילת תביעה אישית.

פגיעה בפרטיות מתרחשת רק כשהמידע שנאסף מאפשר זיהוי של אדם

בית המשפט גם דן בשאלה האם קיימת תשתית ראייתית מספקת להניח כי פייסבוק פגעה בפרטיות מי שאינם משתמשים. השופטת ציינה כי על פי העדות שהובאה מטעם החברה, הנתונים שנאספים מאתרי צד שלישי אינם מאפשרים לזהות אדם ספציפי. "לא ניתן לקבוע כי המידע שנאסף הוא מידע אישי, כאשר אדם סביר לא יכול לקשור בין הנתונים לבין אדם מסוים", היא כתבה בהכרעת הדין, בהסתמך על פסיקת בית המשפט העליון שלפיה פגיעה בפרטיות מתרחשת רק כשהמידע שנאסף או פורסם מאפשר זיהוי של אדם.

נציגת פייסבוק העידה כי כשגולש שאינו משתמש מבקר באתר שבו מותקן פיקסל של פייסבוק, "האתר שולח לפייסבוק אירוע טכני, אך הוא אינו מקושר לחשבון כלשהו, ואינו משמש לצורכי פרסום אלא למטרות אבטחת מידע ותחזוקה טכנית". גרינבלט לא הציג ראיות שסותרות עדות זו ולא הביא חוות דעת מומחה מטעמו. השופטת קבעה כי, "הטענה כי פייסבוק מחזיקה מידע אישי מזהה של מי שאינם משתמשים, או כי היא יוצרת 'פרופילי צללים', לא הוכחה ברמה הנדרשת אפילו לשלב אישור התובענה".

בהמשך התייחסה השופטת גם לטענת המבקש שלפיה פייסבוק לא קיבלה הסכמה כדין מאתרים צד שלישי או מהגולשים עצמם. לדבריה, לפי תנאי השימוש של פייסבוק, כל אתר שמתקין את הכלים שלה, נדרש להצהיר כי בידיו "בסיס חוקי לחשיפת נתוני הלקוח והשימוש בהם". העדה מטעם החברה הסבירה כי האתרים מחויבים לכללים האלה, וכי האחריות לקבלת ההסכמה מוטלת עליהם. המבקש לא הציג כל ראיה לכך שאתרים בישראל מעבירים נתונים לפייסבוק בניגוד להסכמת הגולשים. לכן קבעה השופטת כי ,"לא הונחה תשתית ראייתית לכך שהמשיבה אוספת מידע ללא הסכמה, או שהמידע שנאסף מאפשר זיהויו של אדם ספציפי. משכך, אין מקום לקבוע כי מדובר בפגיעה בפרטיות לפי חוק הגנת הפרטיות".

לגבי בקשתו של גרינבלט שבית המשפט ימנה תובע חלופי שימשיך את ההליך, השופטת דחתה גם את זה. היא ציינה כי האפשרות להחליף תובע ייצוגי קיימת רק כשכל יתר התנאים לאישור התובענה מתקיימים, אך במקרה זה הבקשה כולה אינה עומדת בדרישות החוק.

בסיכומו של דבר, קבעה השופטת רבינוביץ-ברון כי הבקשה לאישור התובענה הייצוגית נדחית. לדבריה, "לא שוכנעתי כי ישנה אפשרות סבירה שהשאלות המהותיות תוכרענה לטובת הקבוצה במסגרת תובענה זו, וזאת מעבר לכך שבקשת האישור אינה באה בגדר פרט 1 לתוספת השנייה". עם זאת, היא הדגישה כי עצם הדיון בבקשה אינו חסר חשיבות, שכן הוא נוגע לסוגיות עקרוניות בעידן הדיגיטלי שבו המידע האישי נהפך למטבע עובר לסוחר. ואולם כל עוד החוק לא תוקן כך שיכלול עילה מפורשת של פגיעה בפרטיות במסגרת תובענות ייצוגיות, לא ניתן להחיל את ההליך במקרה זה. לבסוף, הטילה השופטת על גרינבלט הוצאות משפט בסכום כולל של 40 אלף שקל לטובת פייסבוק, וציינה כי אמנם מדובר בהליך שנדרש לו בירור מקיף שכלל חקירות מומחים ודיוני הוכחות, אך יש להימנע מיצירת "אפקט מצנן" שירתיע אזרחים מהגשת תובענות ייצוגיות בנושאים בעלי חשיבות ציבורית.

על מה בעצם התלונן גרינבלט נגד פייסבוק?

גרינבלט טען שפייסבוק עוקבת אחרי אנשים שגם לא רשומים אליה בכלל, כלומר אחרי גולשים באתרים אחרים שיש בהם כפתורי "לייק" או "שיתוף" של פייסבוק. לפי מה שטען, היא אוספת עליהם מידע אישי בלי לשאול אותם, ויוצרת עליהם מעין "פרופילי צללים" כדי להשתמש במידע הזה לפרסום.

מה זה בכלל פרופילי צללים?

זו טענה שחוזרת מדי פעם בעולם הפרטיות, שמדובר במידע שפייסבוק אוספת על אנשים שאין להם חשבון בפייסבוק, כדי לדעת עליהם כמה שיותר ולהתאים להם פרסומות או לשכנע אותם להירשם. פייסבוק טענה מנגד שאין דבר כזה אצלה, ושאם היא מקבלת מידע טכני מאתרים אחרים, זה מידע שלא מאפשר לזהות אדם ספציפי.

למה גרינבלט רצה שתהיה זו תובענה ייצוגית?

מכיוון שהוא טען שהפגיעה לא נוגעת רק לו אלא למיליוני גולשים בישראל שלא רשומים לפייסבוק. לכן הוא ביקש לייצג את כולם בתביעה אחת, בטענה שכל אחד מהם נפגע באותה הדרך.

אז למה בית המשפט דחה את הבקשה?

בית המשפט קבע שהתביעה כלל לא עומדת בתנאים שמאפשרים להגיש תובענה ייצוגית מהסוג הזה. לפי החוק הקיים, אפשר להגיש תובענה ייצוגית רק במקרים שיש קשר של עוסק-לקוח בין הצדדים, למשל בין חברה ללקוחות שלה. כאן מדובר דווקא באנשים שבחרו לא להיות לקוחות של פייסבוק, ולכן אין את הקשר הדרוש לפי החוק.

מה השופטת אמרה לגבי החוק עצמו?

היא הסבירה שהחוק הקיים לא מאפשר להגיש תובענה ייצוגית רק בגלל טענות לפגיעה בפרטיות, אלא אם הפגיעה התרחשה במסגרת מערכת יחסים שמופיעה ברשימה הסגורה של החוק. היא גם ציינה שיש הצעת חוק חדשה שמבקשת להוסיף אפשרות כזו, אבל היא עדיין לא נכנסה לתוקף.

האם בית המשפט בדק אם פייסבוק באמת אוספת מידע על לא-משתמשים?

כן, זה נבדק. פייסבוק הסבירה איך המידע מגיע אליה - דרך אתרים שמתקינים את הכלים שלה, אבל טענה שהמידע הזה לא מאפשר לזהות אדם מסוים. נציגת החברה העידה שהנתונים האלה משמשים בעיקר לצורכי אבטחה ותפעול, לא לפרסום. גרינבלט לא הצליח להראות אחרת ולא הציג ראיות שמוכיחות פגיעה אמיתית בפרטיות.

אז גרינבלט עצמו בכלל לא היה "לא-משתמש"?

בדיוק. התברר שהוא בעצמו פתח בעבר חשבון בפייסבוק, גם אם בשם אחר, ולא הוכיח שסגר אותו. לכן השופטת קבעה שהוא לא יכול לטעון שפייסבוק עקבה אחריו בלי שהיה משתמש שלה, והוא גם לא יכול לייצג אחרים שלא רשומים לפייסבוק.

האם השופטת האמינה לטענות שפייסבוק יוצרת פרופילי צללים?

לא. היא קבעה שלא הוצגה אף ראיה שמוכיחה שפייסבוק יוצרת מאגרי מידע על מי שאינם משתמשים, או שהמידע שהיא מקבלת מאפשר לזהות אדם ספציפי. לדבריה, בלי הוכחה לזיהוי של אדם, אי אפשר לדבר על פגיעה בפרטיות.