יזמי ובכירי ההייטק בישראל נאלצו ללמוד לפני כמה שנים קללה חדשה: GDPR - תקנות הפרטיות האירופיות שנכנסו לתוקף ב-2018 היו בעלות השפעה בינלאומית, פשוט כי חלו על כל חברה שמשרתת אזרחים אירופאיים או תושבי מדינות אירופה. החקיקה הרחבה הטילה על חברות שורה חדשה של מחויבויות בתחומי הפרטיות וייצרה להן לא מעט כאב ראש. בנוסף, התקנות סיפקו הרבה עבודה לעורכי דין, כי לתקנות נלווה גם שוט בדמות קנסות גדולים.
בדיוק כשהיה נדמה שהתרגלנו לכל זה, על חברות ההייטק צפויות לנחות שתי מכות חדשות: חוקי ה-DMA וה-DSA שחוקקו באירופה בשנה שעברה גורמת לתקנות ה-GDPR להיראות כמשחק ילדים. ה-DMA (שהוא ה-Digital Marketing Act) דרמטי יותר עבור מגרש המשחקים הדיגיטלי ועתיד שוק הטכנולוגיה, ועוסק בפלטפורמות גדולות שמוגדרות כ-gatekeepers של הכלכלה המקוונת. חוק ה-DSA (שהוא ה-Digital Service Act) פחות היסטורי, אף מטיל חובות ישירות גם על חברות בגודל בינוני, ולכן רלוונטי יותר לשחקנים הישראלים.
"שני הכללים באים להחליף דירקטיבה ותיקה באירופה בתחום השירותים הדיגיטליים", מסביר עו"ד ליאור אתגר, ראש תחום הגנת הפרטיות והמידע בפירמת ארדינסט, בן נתן, טולידאנו ושות', "ה-DSA הוא כמו רגולציית GDPR לתוכן". או כפי שמוסבר באתר הייעודי של האיחוד האירופי לנושא, "מטרת הרפורמה ליצור מגרש משחקים שמאפשר חדשנות ותחרות [באמצעות ה-DMA] וליצור סביבה דיגיטלית בטוחה ששומרת על הצרכנים מוגנים [באמצעות ה-DSA]".
חוק ה-DSA מטיל שורה של חובות על חברות שמעסיקות יותר מ-50 עובדים ובעלות הכנסות שנתיות של יותר מ-10 מיליון יורו. למעשה, עד 17 בפברואר - שישי הזה - נדרשות חברות לפרסם באתר שלהן את מספר המשתמשים האירופיים הפעילים שלהן
חוק השווקים הדיגיטליים, ה-DMA, מגדיר את השירותים הקריטיים שהמפעילות שלהם משמשות כמעין שומרות סף לתחרות המקוונת: שירותי חיפוש, רשתות חברתיות, מסרים מידיים, מערכות הפעלה, דפדפנים ושירותי אירוח ענן. בקיצור, כל השירותים המרכזיים שהתרגלנו לקבל מחברות הביג טק אמזון, אפל, גוגל מיקרוסופט ומטא. ה-DMA רוצה לפרוץ את הגנים הסגורים של הביג טק.
"אם יש לך אנדרואיד ואתה רוצה להשתמש ב-iMessage, היום אתה צריך לקנות אייפון", מחדד נועם שוורץ, מייסד ומנכ"ל הסטארט אפ ActiveFence, שעוסק במודרציית תוכן. "זו בעיה מבחינת ה-DMA, כי לא מאפשרים לך לתקשר עם מערכת הפעלה אחרת. ויש גם את נושא חנויות האפליקציות ובעיית החנויות האלטרנטיביות. ה-DMA היא רגולציית הגבלים עסקיים מאוד אירופית, שרוצה לקבוע שאסור לחברות הגדלות לתת עדיפות למוצר שלהן על פני מוצרים אחרים".
דוגמאות נוספות שמציין שוורץ הן חסימת האפשרות של אמזון להשתמש בדאטה שהיא נחשפת עליו מהמוכרים בפלטפורמה שלה לטובת קידום מוצרים של עצמה. או הכניסה הצפויה של שקעי usb-c באייפונים של אפל. "זה עוד המון דברים, כמו למשל שלקוח גוגל Ads יוכל להעביר את הדאטה שלו לספקית אחרת, או לפתוח לתחרות את תחום החיפוש", הוא אומר.
אלא שתנאי החלת החוק רחבים יותר מחמש החשודות המיידיות. למעשה, גם שורה של שחקניות ישראליות גדולות כוויקס, לייטריקס, פייבר, eToro, טאבולה ופייבר עשויות ליפול תחת תנאיו. סעיפי החוק קובעים כי המגבלות והדרישות הכלולות בו יוטלו על חברות B2C שמשרתות 45 מיליון משתמשים חודשיים ומעלה בקרב האיחוד האירופי, או חברות B2B שמשרתות יותר מ-10 אלף עסקים בשנה. אי עמידה בכללי החוק עשויה לגרור קנס כבד בגובה של עד 6% ממחזור המכירות הגלובלי.
"עבור החברות הקטנות ה-DMA הוא דווקא חדשות טובות. משיחות עם השוק אנחנו חושבים שזו אפילו הזדמנות, כי השוק נפתח לחדשנות", אומרת ע"ד אושרית אביב, מייסדת חברת הייעוץ Entero בתחום הציות והרגולציה".
הודות לחוק, ייתכן שחברות שרצו לפתח שירותים על בסיס נתונים שהיו עד כה כלואים בפלטפורמות הגדולות עשויות לקבל אליהם גישה. למשל בתחום האדטק. "מטרה החוק היא למנוע מהגדולות להשתמש בכוח השוק שלהן בערוץ אחד כדי להשתלט על ערוץ אחר", מפרטת אביב, "הונחו מגבלות חמורות שיוצרות הזדמנות לסטארט אפים להיכנס עם פתרונות משלהם".
ה-DMA צפוי להיכנס לתוקף כבר ב-2 במאי הקרוב, אך באיחוד האירופי עדיין מגבשים את הגדרת שומרי הסף והאכיפה עצמה תבוצע בשלבים עד להחלתה המלאה במרץ בשנה הבאה. עם זאת, דווקא החוק השני, ה-DSA, דורש מהחברות המקומיות ציות כבר השבוע.
מה הדרישות החדשות שמטיל חוק ה-DSA?
ה-DMA צפוי לספק לנו ככל הנראה לא מעט כותרות בשנים הקרובות, אבל זהו דווקא ה-DSA שעשוי להשפיע יותר על סטארט אפים ושחקנים ישראלים. בארה"ב מבקש הממשל לפתוח מחדש את הדיון בפיסקה 230, אותה פיסת חקיקה שמאפשרת לפלטפורמות מקוונות להסיר מעליהן אחריות לתכנים המתפרסמים בהן; אך באירופה כבר הלכו רחוק יותר ודורשים מהפלטפורמות אחריות הולכת וגוברת.
"בארה"ב יש את מה שמכונה Section 230, שמאפשר לשחקניות דיגיטליות להגיד אני רק הצינור, ולהסיר מהן אחריות", אומר עו"ד אתגר. "האירופים הלכו לכיוון הפוך - הם דורשים Liability על התוכן, זה כמו GDPR לתוכן".
"ה-DSA בא להגן על משתמשים מפני תוכן", מפרט שוורץ, "זה כולל תוכן שהוא בלתי חוקי בעליל, כמו פדופיליה, גזענות או הסתה לטרור, אבל גם תוכן שהוא חוקי אך מזיק. למשל, הפצה של דיסאינפורמציה. אין חוק נגד זה, אבל שקרים יכולים לגרום למישהו לפעול באלימות. או תכנים שמסבירים לילדים איך לפתח הפרעות אכילה או מקדמים זנות, גם במדינות שבהן זה חוקי".
סעיפי ה-DSA חלים על חברות הפועלות באירופה גם אם הן עצמן לא מוצבות ביבשת אלא למשל בישראל. כדי למנוע פגיעה בתחרות הוענקה הגנת ינוקא ופטור מחלק הארי של חובות החוק לחברות קטנות: כאלו שמעסיקות פחות מ-50 איש ובעלות הכנסות שנתיות או מאזן שנתי של פחות מ-10 מיליון יורו.
והחובות הללו מרובות: חברות יידרשו לפרסם דוח שקיפות שיסביר איך הן מנהלות את התוכן שלהן ואיך הן מחליטות על הסרת תוכן, וגם להציע למשתמשים מנגנוני ערעור נגישים. הן אף יחויבו להגדיר אנשי קשר בנוסע לבקשות הסרת תוכן עבור גופי מדיה ורשויות החוק. החברות יידרשו גם לשתף פעולה עם גופים חיצוניים שיוגדרו כמדווחים אמינים ויקבלו גישה מיוחדת לפלטפורמה לדיווח על תכנים בעיתיים, למשל מיזם "בודקים" בישראל.
דרישות נוספות יוטלו על שחקניות שמפעילות מרקטפלייס והן יחויבו בהליכי "הכר את הלקוח" (KYBC) כדי לוודא את זהות הספקים בפלטפורמה שלהן ולמנוע הונאות צרכנים. מגבלה אחת בתחום הפרסום תמנע מחברות אדטק לאסוף ולהשתמש במידע אישי רגיל של משתמשים, כנטייה מינית, עמדה פוליטית ומצב רפואי.
כל אלו הן רק הדוגמאות הבולטות, שממחישות כי ב-DSA שם המשחק הוא מודרציה. אם ה-GDPR קבע privacy by design, ה-DSA מנסה לקבוע moderation by design.
משיחות שערך tech12 עם מנהלים, עורכי דין ושחקנים בתחום עולה כי שורר חוסר ודאות מרובה לגבי תנאי הציות לחוק. חלק התלוננו על ניסוחים מעורפלים ולוחות זמנים לא ברורים ונראה כי סטארט אפים ישראליים רבים הנדרשים בציות לתקנות החדשות כלל לא מודעים לדרישה שעוד שניה נכנסת לתוקף
שאלת תחולת החוק כבר מעט יותר מורכבת והיא עולה בהדרגה בהתאם לגודל הפלטפורמה. החוק רלוונטי לשורה ארוכה של תחומים הנעים בין רישום דומיינים, ספקי אינטרנט ותשתית, דרך שירותי אירוח, ועד מה שמכונה Online Platforms. הגדרה אחרונה זו כוללת שורה ארוכה של שירותים, בהן כל מי שמספק מרקטפלייס, מנועי השוואת מחירים, רשתות חברתיות, שירותי מיפוי, שירותי כלכלה שיתופית, אמצעי תקשורת, אמצעי שיתוף וידאו, שירותי תשלום, אתרי אגרגציה של חדשות ועוד ועוד.
למעשה, כל מי שחוסה תחת החלת החוק נדרש לפרסם באתר שלו את מספר המשתמשים האירופים הפעילים שלו עד ל-17 בפברואר. כן, יום שישי הזה. זאת, כדי שהרגולטור האירופי יוכל לדעת תחת איזו קטגוריה של החוק פועלת החברה. ההחלה המוחלטת של החוק צפויה להיכנס לתוקף בעוד שנה בדיוק ממועד זה, ב-17 בפברואר 2024.
משיחות שערך tech12 עם מנהלים, עורכי דין ושחקנים בתחום עולה כי שורר חוסר ודאות מרובה לגבי תנאי הציות לחוק. חלק התלוננו על ניסוחים מעורפלים ולוחות זמנים לא ברורים ונראה כי סטארט אפים ישראליים רבים הנדרשים בציות לתקנות החדשות כלל לא מודעים לדרישה שעוד שניה נכנסת לתוקף.
"ה-DMA חל על השחקניות הגדולות וה-DSA על כמעט כל השחקניות באינטרנט ולמעשה אומר להן יש לכן אחריות על התוכן, גם זה שהמשתמשים מייצרים", מסכם ד"ר אבישי קליין, ראש תחום פרטיות במשרד עוה"ד ברנע ג'פה לנדה.
"שתי הרגולציות באות עם קנסות גבוהים וחקיקה אקס טריטוריאלית, ולכן רלוונטיות לחברות ישראליות", הוא מרחיב. "אנחנו הולכים למהפכה שהיא גדולה כמו ה-GDPR. יכול להיות שזה ייקח זמן, אבל מי שלא יערך מראש ימצא את עצמו עם בעיות גדולות מאוד. אני מציע ללקוחות להגיע למינימום אולימפי: לא צריך לשנות את המוצרים בהתאם לכל מיקום ורגולציה אבל כן להתיישר לסטנדרטים הבולטים בעולם, להטמיע את עקרונות הרגולציה בפתרונות חברה, כדי שתוכל להגיד אני compliant ולשדר שיש פה חברה רצינית וגלובלית".