הקדמה
אז בריטניה יצאה באקט חוקתי יוצא דופן - ניסיון להגן על הילדים באינטרנט.
הם עטפו חוקים רבים במה שנקרא Online Safety Act 2023
והכריזו רשמית:באפריל 2025 יש ליישם את החוק במלואו
.
הפור נפל, הזמן הגיע והחוק הבריטי איננו רק המלצה - אלה גם בתוקף וגם נאכף.
מה לי ולחוק בריטי?
אני יודע מה אתם חושבים - אתם ישראלים או חיים בארה”ב או בוטים מאיראן שמתרגמים הכל לפרסית,
למה זה רלוונטי אליכם גם כן?
- אנחנו מושפעים מהחוק הבריטי עד היום! בעצם רוב המערכת החוקתית והממשלתית שלנו בנויה מחוק בריטי.
- ישראל איננה חזקה ברגולציה, היא מאמצת רגולציות מהעולם.
- פלטפורמות שמיישרות קו עם רגולציות בינלאומיות לרוב יכולו את הרגולציות על כל העולם.
- המדינה יכולה לאמץ חוקים דומים או לייצר שיח ברמה דומה
מה זה Online Safety Act 2023?
החוק מייצר מסגרת רגולטורית חדשה לשירותים מקוונים המופעלים בבריטניה שמחייב אותם למגוון של תקנות חדשות.
ביניהם:
- בדיקת שגרתית יזומה על כמות הילדים שמתמשים בפלטפורמות
- להסדיר מנגנון דיווח
- להגביל גישה של תכנים פוגעניים לילדים
- דיווח והסרה של מודעות מזויפות
- חובות אימות גיל של המשתמש ע”י תעודות זהות, רישיונות שונים ואפילו תמונות של המשתמש.
- סמכויות לגוף התקשורת הסטטוטורי של בריטניה לבדוק ואפילו להעניש פלטפורמות שלא עומדות בתקנות.
אתם יכולים לצלול פנימה לכל החוק כאן:
https://www.legislation.gov.uk/ukpga/2023/50/pdfs/ukpga_20230050_en.pdf
הטוב
רגולציה לא תמיד שם כדי לפגוע בנו, אלה כדי ליישם איזשהו מנגנון שמגיע להגן על אנשים.
המטרה והכוונה תמיד טובות - במקרה הזה להגן על ילדים מפני תכנים פוגעניים.
מעבר לכך אם ניקח את החוק ברמה המשפטתית שלו נוכל לראות כאן הסדרים שונים,
הדבר הראשון שחוק צריך לומר לנו זה הגדרות.
במידה והחוק מחייב “שירות אינטרנט” אז החוק חייב להסדיר, מיהו שירות אינטרנט?
דוגמאות: אתר אינטרנט, משחק משותף ברשת, אימיילים וכדו’.
בהגדרות האלו אנחנו יכולים לפגוש 2 עולמות ביחד - המשפטי והטכני.
מישהו צריך לקחת את העניין הטכני של מוצר טכנולוגי ולהמיר אותו להגדרה משפטית.
אז בחוק הזה יש כמה דוגמאות מעניינות:
- הגדרה של “User to User service” - פלטפורמה שמשתמש אחר יוצר תוכן ומשתמש אחר יכול לפגוש את התוכן הזה.
- “Regulated user-generated content” - כל תוכל שמשתמש יוצר מלבד כל מיני יוצאי דופן כולל סמס, ממס, אימיילים וכדו…
- “Search Engine” - פלטפורמה המאפשרת לחפש על אתרים רבים או מסדי נתונים רבים, אם החיפוש הוא על אתר בודד אז זה לא מנוע חיפוש.
- “Functionality” - תכונה המאפשרת אינטרקציה בין משתמשים.
מה שמעניין כאן שלוקחים הגדרות טכניות כמו מנוע חיפוש, פונקציונליות, סרביס, ונותנים לו הגדרה משפטית.
יש לשים לב שההגדרות האלו תקפות אך ורק באותו החוק ולא מחוצה לו.
הכוונה שמחוץ לחוק הזה להגדרות האלו יכולות להיות הגדרות שונות!
כן, חוק ומשפט זה קשה.
הדבר השני שחוק צריך לעשות זה לומר לנו מה לעשות ומה ייקרה אם לא נעשה את זה.
בחוק הזה יש איזשהו צורת דירוג לנותני שירות שונים,
לא כל שירות יהיה תחת רגולציה כבדה.
וכך גם הבודק של השירותים - Ofcom
יהיה חייב לוודא כל שירות בנפרד.
הדבר האחרון שאני רוצה לומר בתור דבר טוב - חוק בסוף בא להסדיר צורת התנהגות של ספקים ואנשים.
אם לא היו לנו הוראות בטיחות לחנויות ומקומות זה היה פתח לתאונות מרובות מאוד,
אפילו דבר בסיסי כמו חובת בטיחות במדפים גבוהים, נשמע מובן מאליו לא? אז זהו, שלא.
הרע
אני אחלק את הרע ל-2, מבחינה טכנולוגית ומבחינה משפטית.
משפטית
יש מגוון הגדרות עמומות כמו Content that is harmful to children
.
מהו תוכן פוגעני? עד כמה פוגעני?
הגדרות עמומות בחוק בדרך כלל מהוות בעיות לבית המשפט לפתור, כאשר זה יגיע לבית משפט השופט ייצטרך להתמודד עם הסוגיה הזו.
הדבר שני הבעייתי זה כמובן הפגיעה בפרטיות.
נניח ואתם רוצים להקשיב למוזיקה, למה אתם צריכים לספק אימות שאיננו חלק מהותי מהאפליקציה?
זה מובן מאילו שצריך להזדהות כדי להשתמש בשירות ממשלתי,
אולם בשביל ספק מוזיקה שדרך אגב, ניתן להקשיב בדרך כלל בחינם ללא הזדהות, זה ייפגע בזהות המשתמש.
דרך שנייה לפתור את זה, זה ע”י הגבלת השימוש בשירות ואז מה עשינו בזה?
מה שמביא אותי לנקודה השלישית - יעילות רגולטורית.
צריך לשפוט חוק ולהבין אם הוא טוב לנו או לא,
- האם החוק ענייני?
- האם החוק מסובך?
- האם החוק פותר את הבעיה בצורה הקצרה ביותר?
- האם יישום החוק שומר על זכויות היסוד שלנו?
- האם יישום החוק הוא בגדר הסביר?
פה יש גם נקודה טכנולוגית מעט, אם שירות מוזיקה צריך לספק שירותי זיהות או לשלם לצד שלישי שייאמת את הזהות,
זה מייקר את השירות או יוצר ריכוזיות.
נניח תוקפים את שירות הזהות ע”י ddos
, זה אומר שלא אוכל להקשיב למוזיקה בגלל זה?
הנקודה הרביעית הבעייתית זה היכולת של הרגולטור לשלוט על האינטרנט.
יש לנו מוסכמות - גם חוקתיות- שהאינטרנט הוא ציבורי ונגיש לכולם.
להכיל הגבלות על האינטרנט זה פגיעה בחופש שלנו כבני אדם, ממש כמו שחוסמים לכם רחוב כדי שלא תוכלו ללכת בו.
הרגולטור בעזרת החוק הזה יכול לאסור על אתר לפעול בתחומי בריטניה, זוהי נקודה מאוד בעייתית לחופש התעסוקה והביטוי.
כנקודה אחרונה אני אעלה צרה אחרת - חוקים בינלאומיים.
נניח שפלטפורמה מספקת שירותים גם בבריטניה וגם בארה”ב, על איזו רגולציה עליה ללכת?
התשובה היא שהיא צריכה לעמוד בכל כללי הרגולציה, אולם כמו הנקודה הקודמת - זה מייקר את תהליכי הפיתוח והאימות.
טכנולוגית
הבעיה הראשונה ברגולציה זה להבין את הרגולציה.
לאמיצים שפתחו את המסמך הם גילו מסמך מאיים לא פחות מ300 עמודים!
אדם המתמחה ברגולציה טכנולוגית חייב להבין מא’ עד ת’ את מהות הרגולציה ולדאוג ליישומה באופן טכנולוגי העומד ברגולציה.
הבעיה הטכנולוגית השנייה זה יישום שאיננו פוגע בפרטיות ואבטחה מאוד מאוד כבדה סביב הזהות.
גניבת זהות זו לא בדיחה ג’ים!
מה שקרה בעולמות הטכנולוגיה זה שמסדי נתונים יכולים להיפרץ ולהיגנב.
מקרים שקרו כבר:
- Armor games
- Tea
- 4chan
תארו לכם שמאיזושהי סיבה, האקר מצליח להשיג או להשתלט על תהליך אימות לאפליקציית המוזיקה הפופולרית.
בתכנון סיכונים אנחנו חייבים להבין את הסיכון אל מול התועלת.
תועלת? אולי הצלחנו לספק לכמה ילדים סביבה בטוחה לשירים עוצלי גוצלי.
הסיכון? אלפים או מיליונים של זהויות חשופות לשימוש.
אז האם באמת יש לנו פה איזון?
לי לא נראה כך.
צרה טכנולוגית נוספת היא יכולות האלגוריתמים.
על מנת לדעת מהו תוכן פוגעני ועל מנת לזהות את המשתמש שצורך תוכן פוגעני עלינו ליצור אלגוריתמים - או כמובן להשתמש בהון אנושי - על מנת לסווג את התוכן כפוגעני, ועל מנת לזהות שהאדם שצורך את התוכן הוא מעל גיל ההסכמה.
והנה עוד צרה, מה הבעיה פשוט ליצור תמונות מזויפות על ידי AI
?
אז לכל המרק הזה תוסיפו גם יכולת זיהוי תמונות של AI
.
ואם אתם יודעים את עולם ההאקינג כמוני, אתם יודעים שזה פתח למשחק של חתול-עכבר תמידי.
אחח אני כבר רואה את כל משחקי ה-CTF
שיוולדו מזה.
וצרה טכנולוגית אחרונה להיום זה - הצפנה!
מה זו צרה? כן כן…
נניח העלתי תוכן פוגעני לפני שנתיים לאפליקציה.
האפליקציה שומרת את התוכן בצורה מוצפנת.
איך נדע שזה תוכן מוצפן?
- עלינו לסרוק את זה בצורה עצלנית, רק כשניגשים לתוכן נסרוק אותו.
- עלינו לפצח את התוכן.
כמובן בלי פיצוח לא נוכל לגשת לתוכן ובמקרה הזה יכול להיות צרות גודלות יותר -
כדי שממשלה או גוף רגולטורי יוכלו לגשת למידע פרטי, עליהם בדרך כלל לקבל היתר לכך.
דעתי וסיכום
אז מה דעתי בעניין הזה?
אני לא בעד.
הסיכון מאבטחת מידע, הפגיעה בפרטיות ובחופש שלנו הם הרבה יותר עצומים מהתועלת.
חוץ מזה - ניתן לעקוף את האכיפה הזו מאוד בקלות - בעזרת VPN
.
וכמו מקלטי מס, אז גם אתרים בריטיים פשוט יפסיקו להיות בריטיים, הם יפתחו את הדומיין בארצות אחרות וייחדלו מפעילות ישירה בבריטניה.
האינטרנט צריך להישאר גמיש ופעיל, להכיל אחריות על כולם,
ההורים צריכים לשמור על הילדים שלהם בעוד שפלטפורמות צריכות לשמור על סביבה כמה שיותר נקיה,
אך לא מוגבלת, מידע הוא מידע בשביל השימוש.
וכמו האתר הזה שזמין לכם בחינם אני מאמין שכל מידע צריך להיות זמין עבורכם בלי מגבלות מוגזמות!
תודה על הקריאה ושמרו על עצמכם!