קראו את האותיות הקטנות

1. למה בדיוק אנחנו מסכימים כשאנחנו כותבים ש"קראנו והסכמנו לתנאי השימוש"? זהו, הרי, אולי השקר הפופולרי ביותר ברשת. במאמר הקצר שלי אני אסקור כמה בעיות שנוצרו בגלל אותה ההסכמה, אספר על מעט אנקדוטות של אבטחת מידע, ואפילו אציע פתרון יחסית פשוט שלא כולל לקרוא את תנאי השימוש (כי לאף אחד חוץ ממני כנראה אין את הרצון הרב לעשות את זה). המאמר יורכב מכמה סיפורים קטנים, אנקדוטליים, ולא בהכרח במחקר כמותי מדויק. הסיבה לכך? קשה מאוד לאסוף נתונים כשמדובר במערך של הסכמים שאינו ניתן לאינדוקס, חיפוש וכדומה. נתחיל בכמה מספרים, שלא בטוח שהם מדויקים או רלוונטיים: שבעה אחוזים מאזרחי בריטניה טוענים שהם קוראים את תנאי השימוש. הנתון הזה מאוד מפתיע, כי אם היית צריך אכן לעשות זאת, היה לוקח לך 76 ימי עבודה בשנה לקרוא את כל ההסכמים שאתה מסכים להם ביום-יום. העלות הממוצעת של קריאת מדיניות הפרטיות, בזמן מבוזבז, היא 3,534 דולר לשנה. מחצית מהאמריקנים לא יודעים מהי "מדיניות פרטיות". במקרה הגרוע, בו לא תסכים לרשיון התוכנה של מיקרוסופט שמגיע יחד עם מחשב חדש, תצטרך לעבור דרך בית משפט לתביעות קטנות כדי לקבל החזר עבור רשיון התוכנה. כלומר, למרות שאתה לא מסכים למוצר מסוים, אתה עדיין צריך לפעמים לציית לתנאים המוזרים שלו. אז בואו נתחיל לספר את הסיפורים המוזרים של ההסכמים שאתם אף פעם לא קוראים. 2. השנה הייתה 2005, ושוק התוכנה היה מעניין. תוכנה בשם Gain שהייתה משהו באזור הרוגלה וסרגל הכלים, אספה לא מעט מידע על המשתמשים (ולזה נגיע בהמשך), אבל היה עוד עניין קטן: Gain הציעה, ברשיון התוכנה שלה, סכום כסף משמעותי למי שישלח לה אימייל ויצהיר שהוא הוריד את התוכנה. Gain שלחו לאותו אדם שקרא, לאחר כמה אלפי הורדות, את הסכום של 1,000 דולר, ושילמו למישהו עבור קריאה של רשיון התוכנה שלהם. כלומר, לקרוא את רשיונות התוכנה זה עניין משתלם. הבעיה ש-Gain הצליחו להציף היא בעיה ידועה: איש לא קורא את רשיונות התוכנה. לכן, בתי המשפט הציבו לא מעט כללים נוקשים לשאלה כיצד אפשר להפוך את הכפתור "אני מסכים" לכזה שניתן אחר כך לאכיפה בבית משפט. כאשר, רוב החוזים כוללים סעיפים רעים מאוד ללקוח, שמתבססים על פערי מידע, חוסר קריאה של ההסכם, וגם בעיקר חוסר יכולת לנהל משא-ומתן על התנאים שלהם (הרי, אתה לא יכול שלא להסכים לרשיון התוכנה של Microsoft Windows). המסקנה הראשונה כאן היא שבאמת איש לא קורא את הרשיונות האלו; הבעיה היא שלפעמים גם אי-קריאת הרשיון לא עוזרת; כי גם אם הרשיון עובד לרעתך, הוא לא תמיד יהיה אכיף בבית המשפט. בפועל, המספר הקטן במיוחד של אנשים שטרחו לקרוא את הרשיון לא רק אומר שאיש לא מייחס חשיבות למה שכתוב שם, אלא גם שאיש לא מאמין שיהיה כתוב שם משהו בעל יכולת להשפיע על העתיד שלו. 3. האמנות של ניסוח רשיונות תוכנה ותנאי שימוש היא אמנות שנרכשה בדם. הכללים כיום מחוקקים בכלל על-ידי Google, Facebook וחברותיהן, ולא על-ידי בתי משפט; אותם תאגידים שמהווים פלטפורמה להפצה של תוכנות קובעים בדרך הכלל את הדרך בה עלינו להסכים לתנאי השימוש. לדוגמה, כאשר אתה רוצה למכור תוכנה באמצעות Google Play, הכלל הוא שהמשתמשים יוכלו להוריד את מדיניות הפרטיות ולקרוא אותה לפני התקנת האפליקציה. אבל, כדי שההסכם יהא אכיף משפטית, הדרישה היא שהמשתמש יאשר את מדיניות הפרטיות בצורה אקטיבית (כלומר כפתור "קראתי את תנאי השימוש") ושהתנאים יוצגו לו לפני המדיניות (תא 1963-05-11 אווא פיננסי בע"מ נ' מלכה). כלומר, תיבה של הסכמה, בלי קישור לתקנון, היא בעייתית. הכללים היום כדי לקבל אכיפות מקסימלית הולכים כך (רשימה ממצה של מקרים באתר ה-EFF): א. הלקוח צריך לקרוא את ההסכם, או לפחות שתהיה לו את האפשרות לקרוא את ההסכם, לפני שהוא מאשר את התנאים. ב. ההסכמה שהלקוח נותן צריכה להיות ברורה, ועדיף לתת ללקוח עותק מיידי מההסכם. אי-מתן עותק מיידי, עשוי לגרור אחר כך אחריות על הספק. במקרה שבו חברת פרטנר, לדוגמה, לא נתנה ללקוחה עותק מהחוזה במעמד ההתקשרות, נפסק כי החוזה לא תקף (תאמ 2083-05-13 פרטנר נ' שדאפנה זועבי). כלומר, יש לשלוח ללקוח מייל עם עותק מההסכם, ולתייק את השליחה. ג. אישור התנאים צריך לכלול פעולה אקטיבית. הסכמים של "על-ידי גלישה באתר זה אתה מאשר את התקנון" לא יהיו תקפים (No. 12-56628, 2014 WL Nguyen v. Barnes and Noble). מכאן, ואחרי שסיימנו את הדרישות הצורניות, צריך גם לדון בתוכן הדברים עצמם. הרי, לא כל ההסכמים ייאכפו. 4. האמנות ממשיכה כאשר מדובר בשפה שניתנת לפירוש דו-משמעי, או כללית מדי. סעיף רע במדיניות פרטיות יכול להגיד "אנחנו עשויים לשמור עליך מידע מזהה אישית, וכן להעבירו לצדדים שלישיים". סעיף טוב במדיניות פרטיות צריך לפרט איזה מידע נשמר, ומיהם הצדדים השלישיים אליהם הוא עובר. ברשיונות תוכנה, שבסך-הכל אומרים "אנחנו נותנים לך זכות מוגבלת להשתמש בתוכנה שלנו, אל תעתיק אותה", מוסיפים בדרך כלל סעיפים ארוכים במיוחד שכוללים הגבלת אחריות (אנחנו לא אחראים לשום נזק שייגרם לך מהשימוש בתוכנה), אבל גם סעיפים קצת מוזרים. אפל, לדוגמה, אסרה באחת הגרסאות של רשיון התוכנה של iTunes להשתמש בתוכנה לצרכי כורים גרעיניים. אבל איסור על שימוש בכורים גרעיניים, ככל שהוא מצחיק, רק מראה כמה עורכי הדין השתלטו על היכולת לנהל עסקים. בתי המשפט, ככלל, קבעו שיש סעיפים שלא יהיו אכיפים גם כשההסכמה הייתה מפורשת. בעניין האריס (Harris v. Blockbuster, Inc., 622 F.Supp.2d 396) פסק בית המשפט במחוז הצפוני של טקסס שההסכם שכולל תנאי שמחייב את הצדדים לבוררות לא ייאכף, כיוון שמדובר בחוזה מקפח. בעניין סאצ'י (Sacchi v. VERIZON ONLINE LLC, Dist. Court, SD New York 2015), לעומת זאת, פסק שלא רק שהסכם בוררות בין לקוח לספק שירותי תקשורת הוא אכיף, אלא גם שהסעיף שמאפשר לספק התקשורת לשנות את התנאים בכל עת עשוי להיאכף, ואפילו הסעיף שקובע כי אסור לתבוע את ספק התקשורת בתביעה ייצוגית. כלומר, רמת אי-הבהירות לגבי מתי בית המשפט יבטל סעיף כזה או אחר היא גבוהה מאוד, ולא כל מה שנראה היום מקפח עשוי להיות מבוטל. 5. ביחד עם פסקי הדין, שהולכים לכאן ולכאן, עורכי הדין ניסו להקצין עם השנים את הדרישות ורשיונות התוכנה הפכו להיות קיצוניים יותר ויותר, וניסו ככל האפשר לייצר מודלים עסקיים כושלים. לדוגמה, בשנים האחרונות נוצרה מריבה משמעותית: מפתחי התוכנות החליטו להרוג את שוק התוכנות יד-שנייה; הם כתבו ברשיון התוכנה שאסור להעביר את זכויות השימוש לאחר. כך היה בפרשת ורנור (09-35969 Vernor v. Autodesk). באותו המקרה, מר ורנור מכר רשיונות משומשים של תוכנת AutoCad באינטרנט; חברת אוטודסק, היצרנית, החליטה לנקוט בהליכים כנגדו על הפרת רשיון התוכנה (שאוסר על מכירה של רשיונות משומשים). בית המשפט בתחילה הסכים עם ורנור כי יש לו זכות למכור את הרשיונות המשומשים למרות האיסור ברשיון, אולם בית המשפט לערעורים אכף את תנאי הרשיון, וקבע ההוראות ברשיון האוסרות מכירה חוזרת תקפות. הדוקטרינה הזו, של מכירת קניין רוחני משומש, נקראת "דוקטרינת המכירה הראשונה". בעוד שבנושאים כמו ספרים או דיסקים די ברור לנו שאפשר למכור ציוד משומש, דווקא בתוכנה, הטענה היא שמרגע ההתקנה לא ניתן לעשות זאת. ברשיונות התוכנה של מיקרוסופט, לדוגמה, נאסר עליך להעביר את התוכנה משומשת לאחר (למעט אירוע חד-פעמי). השקף הבא, שמצורף ממצגת שלי, מסביר על ההבדלים בין רשיון התוכנה של מיקרוסופט לבין כיסא: