דלגו לתוכן
לקהל הרחב23 במאי 202610 דק׳ קריאה

סוחרי המידע: מי אוסף עליכם נתונים, מה הם שווים ומה אפשר לעשות

תעשייה של מאות מיליארדי דולרים סוחרת בפרופילים שלכם — מהמיקום שמדווחת אפליקציית מזג האוויר ועד היסטוריית הקניות במועדון הלקוחות. איך הצינור עובד, מה תיקי ה-FTC נגד סוחרי המיקום חשפו, ולמה תיקון 13 הישראלי מכוון בדיוק לסוחרי מידע — כולל המכתב שכדאי לכם לשלוח השבוע.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

השיחה מגיעה בשמונה בערב. נציגה נעימה מחברה שמעולם לא שמעתם עליה פונה אליכם בשם הפרטי, יודעת באיזו עיר אתם גרים, שיש לכם שני ילדים ושאתם ״בדיוק בגיל המתאים״ לביטוח משלים. לא נרשמתם אצלם לשום דבר — אז מאיפה הם יודעים? התשובה הכמעט-ודאית: הפרטים שלכם נקנו. אי-שם בין אפליקציה חינמית, מועדון לקוחות וטופס ישן באינטרנט נבנה עליכם פרופיל, והוא עבר מיד ליד. במאמר הזה נפתח את הקופסה השחורה של תעשיית סוחרי המידע: איך היא עובדת, מה היא יודעת עליכם, מה הדין הישראלי אומר עליה מאז תיקון 13 — ומה אפשר לעשות בפועל.

מיהו ״סוחר מידע״ (Data Broker)?

חברה שהמודל העסקי שלה הוא איסוף מידע אישי — לא על הלקוחות שלה, אלא עליכם — ומכירתו או השכרתו לאחרים. רוב סוחרי המידע לעולם לא פוגשים אתכם: אין לכם חשבון אצלם, אין להם אפליקציה בטלפון שלכם, ואין דרך פשוטה לדעת שאתם בכלל קיימים במאגר שלהם. זה מה שמבדיל אותם מגוגל או מטא — שם לפחות יש ממשק ישיר מולכם, והגדרות שאפשר לשנות.

תעשייה של מאות מיליארדים — שלא שמעתם עליה

כמה גדולה התעשייה הזו? הערכות של חברות מחקר שוק — Grand View Research, Market Research Future ואחרות — מציבות את שוק סוחרי המידע העולמי בטווח של כ-280 עד 320 מיליארד דולר בשנה נכון ל-2024, והוא פועל כמעט לגמרי מתחת לרדאר. במרשם סוחרי המידע של קליפורניה, אחת המדינות הבודדות בעולם שמחייבות רישום, רשומות יותר מ-600 חברות — רובן שמות שלא אומרים לכם דבר: Acxiom, LiveRamp, Kochava, InMarket.

סדר הגודל של האיסוף מטריד לא פחות מסדר הגודל של הכסף. כשרשות הסחר הפדרלית האמריקאית (FTC) תבעה את חברת Kochava — חברת אנליטיקה שרוב האנשים מעולם לא שמעו עליה — היא טענה שהחברה סחרה בנתוני מיקום שנאספו ממאות מיליוני מכשירים ניידים. חברה אחת. וזו לא הגדולה בתעשייה.

איך המידע זורם: הצינור, שלב אחר שלב

כדי להבין את התעשייה, צריך להבין את הצינור. המידע שלכם לא ״נגנב״ — הוא נאסף כחוק (לרוב), בהסכמה שנתתם בלי לשים לב, ואז זורם במורד שרשרת של קונים ומוכרים. אלה הברזים המרכזיים:

  • אפליקציות חינמיות עם SDK מוטמע. אפליקציית מזג אוויר, פנס או משחק חינמי מטמיעה רכיב קוד (SDK) של חברת פרסום, שמדווח החוצה את המיקום המדויק שלכם ואת מזהה הפרסום של המכשיר — המנגנון שפירטנו במדריך הגדרות הפרטיות לסמארטפון. האפליקציה מרוויחה, ואתם המוצר.
  • מועדוני לקוחות. כל סריקה בקופה קושרת רכישה לת״ז או לטלפון. היסטוריית קניות מספרת על הרגלים, הכנסה, מצב משפחתי ואפילו בריאות.
  • מקורות פומביים. מרשמים פתוחים, פנקסי בעלי מקצוע, אתרי דרושים, מודעות יד שנייה — כל מה שפורסם פעם ברבים נאסף ונשמר.
  • גרידת רשתות חברתיות (Scraping). פרופילים ציבוריים בלינקדאין, בפייסבוק ובאינסטגרם נקצרים שיטתית: שם, מקום עבודה, תמונות, קשרים.
  • חברות שמוכרות הלאה. עסקים שאספו מכם פרטים כדין מעבירים אותם ל״שותפים עסקיים״ — בזכות תיבת סימון אחת שאישרתם בהרשמה.

בשלב השני נכנסים האגרגטורים: הם קונים את הזרמים האלה ומצליבים אותם לפי מזהים משותפים — מזהה הפרסום של הטלפון, מספר טלפון, כתובת אימייל. התוצאה: פרופיל אחוד של אדם אחד, שנבנה מעשרות מקורות שאף אחד מהם לא ראה את התמונה המלאה. ובשלב השלישי — המכירה: למפרסמים, לחברות ביטוח ואשראי שמעריכות סיכון, למשווקי רשימות דיוור, ולמעשה לכל מי שמשלם.

תרשים זרימה: איך מידע אישי עובר מאפליקציות, מועדוני לקוחות ומקורות פומביים אל סוחרי המידע ומהם למפרסמים, מבטחים וקוני רשימות
צינור המידע: מהטלפון שלכם ועד לקונה — לפי ממצאי ה-FTC והערכות שוק של Grand View Research

מה יש בפרופיל שלכם — ומה הוא שווה

מה בפרופילמאיפה זה מגיעלמי זה שווה כסף
זהות ודמוגרפיה: שם, גיל, כתובת, מצב משפחתי, ילדיםמרשמים, טפסים, מועדוני לקוחותמשווקים, חברות ביטוח, גובי חובות
מיקומים: בית, עבודה, מסלולי תנועה, מקומות שביקרתםSDK באפליקציות, Wi-Fi, מזהה פרסוםמפרסמים מבוססי-מיקום, מודיעין עסקי
הרגלי צריכה: מה קניתם, מתי, בכמהתוכניות נאמנות, אתרי קניות, סליקהרשתות שיווק, חברות אשראי
תחומי עניין והתנהגות: אתרים, אפליקציות, חיפושיםעוגיות, SDK, גרידת רשתותפלטפורמות פרסום, מכוני מחקר
הסקות רגישות: מצב בריאותי משוער, דת, נטייה, הכנסההצלבה של כל השארמבטחים, מלווים — וכל קונה סקרן

וכמה הפרופיל הזה שווה? כאן חשוב להיות כנים: אין מחירון רשמי לאדם בודד, וכל מספר נקוב שתראו ברשת הוא לכל היותר הערכה. הפרופיל הבודד שלכם שווה לתעשייה סנטים בודדים עד דולרים ספורים; הכסף הגדול נעשה מצבירה — מאות מיליוני פרופילים שנמכרים שוב ושוב. אבל האסימטריה היא הנקודה: לתעשייה אתם שווים סנטים, ולכם אותו פרופיל יכול לעלות בפרמיה גבוהה יותר, בדחיית בקשת אשראי, בשיחות מכירה בלתי פוסקות — ובמקרי הקיצון, בחשיפת הדברים הפרטיים ביותר שלכם.

כשזה משתבש: הפרשות שכבר תועדו

זו לא תיאוריה. בינואר 2024 הטילה ה-FTC לראשונה בתולדותיה איסור על מכירת נתוני מיקום רגישים: חברת X-Mode Social (כיום Outlogic) מכרה נתוני מיקום מדויקים שאפשרו לעקוב אחרי ביקורים במרפאות, בבתי תפילה ובמקלטים — בלי לסנן את המקומות הרגישים מהנתונים שמכרה. תשעה ימים אחר-כך הגיע צו דומה נגד InMarket Media, שנאסר עליה למכור נתוני מיקום מדויקים בכלל. ובמאי 2026, אחרי כמעט ארבע שנות ליטיגציה, הסכימה Kochava להסדר שמחייב אותה לחסום הפצת נתוני מיקום ממקומות רגישים, למחוק נתוני עבר ולהקים מנגנון הסרה לצרכנים.

ובאירופה — פרשת Grindr. רשות הגנת המידע הנורווגית קנסה את אפליקציית ההיכרויות ב-65 מיליון קרונות (כ-6.5 מיליון אירו) על שיתוף נתוני משתמשים עם שותפי פרסום בלי הסכמה תקפה: מיקום GPS, מזהה פרסום, גיל, מגדר — ועצם העובדה שהאדם משתמש באפליקציה, שהיא לבדה מידע רגיש. הקנס אושר סופית בערעור ב-2023. ולפי דיווחים נרחבים מ-2021, כתב-עת קתולי אמריקאי זיהה איש כמורה בכיר באמצעות נתוני מיקום שנרכשו בשוק החופשי ונקשרו לאפליקציה. לא האקרים, לא פריצה — רק כסף.

״אבל זה אנונימי״ — המיתוס שמת מזמן

התעשייה אוהבת להגיד שהיא סוחרת ב״נתונים אנונימיים״ — מזהה פרסום, לא שם. בפועל, מזהה שמבלה כל לילה בכתובת מגורים אחת וכל בוקר בכתובת עבודה אחת הוא לא אנונימי לאף אחד שמוכן להשקיע חמש דקות. תיקי ה-FTC נגד סוחרי המיקום התבססו בדיוק על הנקודה הזו.

הפרק הישראלי: תיקון 13 מכוון ישירות לסוחרי מידע

בישראל אין Acxiom, אבל יש שוק מקומי ותיק של רשימות דיוור למכירה, שירותי ״העשרת נתונים״ ומאגרים שעוברים מיד ליד. והנה עובדה שכדאי להכיר: כשתיקון 13 לחוק הגנת הפרטיות (בתוקף מ-14.8.2025) ביטל כמעט לחלוטין את חובת רישום המאגרים במגזר הפרטי, הוא השאיר אותה בכוונה תחילה בדיוק לקטגוריה אחת — מאגרים שמטרתם העיקרית היא איסוף מידע אישי לשם מסירתו לאחרים, כעסק או בתמורה, עם מידע על יותר מ-10,000 אנשים. כלומר: סוחרי מידע ונותני שירותי דיוור ישיר. אי-רישום חשוף לעיצום של 150,000 ש״ח, וגופים כאלה חייבים גם במינוי ממונה הגנת פרטיות (DPO). המחוקק זיהה את סחר המידע כסיכון שדורש פיקוח ייעודי — גם כשהקל על כל השאר.

לצד חובת הרישום קיים בחוק פרק שנוגע ישירות אליכם: סעיפי הדיוור הישיר (סעיפים 17ג–17ו). כל פנייה שיווקית שמבוססת על השתייכותכם לקבוצה שאופיינה במאגר — ״הורים לילדים״, ״בני 50+ במרכז״ — חייבת לציין שהיא דיוור ישיר, לזהות את בעל המאגר ואת מקורות המידע, ולאפשר לכם לדרוש בכתב מחיקה. אלה זכויות מקבילות לזכות העיון והמחיקה הכללית — אבל חדות יותר, כי הן תוקפות את מודל הרשימות עצמו. והבחנה חשובה: חוקיות הרשימה וחוקיות השיגור הן שאלות נפרדות — ״רשימות קנויות״ כמעט לעולם לא עומדות בדרישת ההסכמה של חוק הספאם, כך שלרשותכם שני מסלולי תקיפה במקביל.

כרטיס זכויות: מה מותר לכם לדרוש מסוחרי מידע לפי הדין הישראלי — גילוי מקור, מחיקה, תלונה לרשות ופיצוי ללא הוכחת נזק
הזכויות שלכם מול סוחרי מידע לפי חוק הגנת הפרטיות ותיקון 13 — מקור: המדריך המקצועי של הרשות להגנת הפרטיות

מה עושים בפועל: המכתב, הדרישה, התלונה

  1. דרשו לדעת את המקור. בכל שיחת מכירה או דיוור לא מוכר שאלו: מאיזה מאגר הגעתי אליכם, ומי בעל המאגר? הם חייבים לענות — זו חובה חוקית.
  2. שלחו דרישת מחיקה בכתב. אימייל מספיק. נוסח עובד: ״בהתאם להוראות הדיוור הישיר בחוק הגנת הפרטיות, אני דורש/ת למחוק את פרטיי מכל מאגר המשמש אתכם לדיוור ישיר, שלא להעבירם לגורם אחר, ולאשר לי בכתב את המחיקה ואת מקור המידע.״
  3. תעדו הכול. צילום מסך, שם החברה, תאריך ושעה — זו הראיה שלכם בהמשך.
  4. לא נענו? התלוננו לרשות להגנת הפרטיות. טופס מקוון באתר הרשות, ללא עלות. מאז תיקון 13 יש לרשות סמכויות עיצום שלא היו לה קודם.
  5. ודעו את שווי התביעה. תיקון 13 קבע פיצוי ללא הוכחת נזק של עד 10,000 ש״ח על הפרות כמו סירוב לדרישת מחיקה — בגובה תביעה קטנה.

לסגור את הברזים: לצמצם את מה שנאסף מלכתחילה

מחיקה מרשימות היא טיפול בסימפטום. הטיפול בשורש הוא במעלה הזרם — לצמצם את כמות המידע שיוצא מכם מלכתחילה:

  • הרשאות אפליקציות. מיקום ל״רק בזמן שימוש״, וביטול מוחלט לאפליקציות שלא זקוקות לו. אפסו או הגבילו את מזהה הפרסום של המכשיר — זה החוט שמחבר בין המקורות.
  • מועדוני לקוחות במשורה. הצטרפו רק היכן שההטבה אמיתית, ותנו את המינימום: טלפון בלבד, בלי אימייל, בלי תאריך לידה. אין חובה למלא כל שדה בטופס.
  • הפעילות מחוץ למטא. כלי ה-Off-Meta Activity חושף אילו עסקים מדווחים למטא על הקניות והביקורים שלכם — ומאפשר לנתק. עברנו על זה צעד-צעד במדריך ניקוי הפרטיות בפייסבוק.
  • תיבות הסימון בהרשמה. ״אני מסכים/ה להעברת פרטיי לצדדים שלישיים ולשותפים עסקיים״ — זו הנקודה שבה אתם הופכים לסחורה. בטלו את הסימון. תמיד.
טיפ מהשטח: 30 השניות ששוות שנים של שקט

כמעט כל מסע של פרטים אישיים במורד שוק הרשימות מתחיל בתיבת סימון מסומנת-מראש בטופס הרשמה. הרגל אחד פשוט — לקרוא את שורת ההסכמות ולבטל את ״העברה לצדדים שלישיים״ — סוגר את הברז הכי גדול, וזו הפעולה הבודדת שראינו מפחיתה הכי הרבה שיחות שיווק לאורך זמן.

ומה עם DeleteMe וגוגל? מבט כן על הכלים האמריקאיים

ברשת תמצאו המלצות על שירותי הסרה בתשלום בסגנון DeleteMe ועל הכלי החינמי של גוגל, Results About You. האמת הפשוטה: הכלים האלה בנויים סביב השוק האמריקאי. שירותי ההסרה עובדים מול אתרי People Search ומאגרים אמריקאיים — שרובם ממילא לא מחזיקים מידע משמעותי על ישראלים בלי עבר בארה״ב. הכלי של גוגל שימושי לכולם, אבל הוא מנקה את תוצאות החיפוש, לא את המאגרים עצמם. לישראלים, המסלול האפקטיבי הוא המקומי שתיארנו למעלה — דרישות מחיקה לפי הדין הישראלי, מול הגורמים שמחזיקים בפרטיכם כאן.

לאן הרגולציה הולכת

העולם מתחיל לסגור על התעשייה. ורמונט חייבה רישום סוחרי מידע כבר ב-2018, וטקסס ואורגון הצטרפו ב-2023. קליפורניה הרחיקה לכת: מכוח ה-Delete Act הושק בינואר 2026 מנגנון DROP — בקשת מחיקה אחת שמחייבת את כל 600+ הסוחרים הרשומים במדינה, עם חובת ביצוע בתוך 90 יום מאוגוסט 2026. באירופה, קנס Grindr הוכיח שדרישת ההסכמה של ה-GDPR נושכת. וישראל בחרה בגישה ממוקדת: להשאיר את סוחרי המידע — וכמעט רק אותם — תחת רישום, ממונה ואכיפה. הכיוון ברור; הקצב עדיין איטי מהתעשייה.

צ׳קליסט: שבע פעולות לשבוע הקרוב

  1. עברו על הרשאות המיקום בטלפון, בטלו כל הרשאה לא הכרחית ואפסו את מזהה הפרסום.
  2. בשיחת השיווק הבאה — שאלו מאיזה מאגר הגיעו פרטיכם, ורשמו את התשובה.
  3. שלחו דרישת מחיקה בכתב לגורם אחד לפחות שמטריד אתכם (הנוסח למעלה).
  4. היכנסו לכלי Off-Meta Activity בפייסבוק ונתקו עסקים שמדווחים עליכם.
  5. בדקו במועדונים ובניוזלטרים האחרונים שנרשמתם אליהם אם אישרתם ״העברה לצדדים שלישיים״ — ובטלו.
  6. הסירו פרטי קשר חשופים מפרופילים ציבוריים (טלפון בלינקדאין, אימייל בפייסבוק).
  7. דרישת מחיקה נענתה בשתיקה? הגישו תלונה מקוונת לרשות להגנת הפרטיות.

שורה תחתונה: מצמצמים, לא מעלימים

בואו נסיים בכנות: אי אפשר להיעלם משוק סוחרי המידע. הפרופיל שלכם כבר קיים, בכמה עותקים, אצל גורמים שאת רובם לא תזהו לעולם. אבל ״אי אפשר להעלים״ הוא לא ״אין מה לעשות״: כל ברז שנסגר — הרשאה שבוטלה, תיבה שלא סומנה, דרישת מחיקה שנשלחה — מצמצם את הזרם ומקטין את הסיכוי שהמידע יגיע לידיים הלא-נכונות. והחוק הישראלי, מאז תיקון 13, סוף-סוף נותן לכם מנוף אמיתי מול מי שמסרב.

ובצד השני של המתרס: אם העסק שלכם קונה רשימות דיוור, מעשיר נתוני לקוחות או מוסר מידע לשותפים — תיקון 13 שינה עבורכם את כללי המשחק, מחובת רישום ומינוי ממונה ועד עיצומים כספיים. Cybertis מלווה ארגונים בהיערכות מלאה לתיקון 13 — מיפוי מאגרים, בדיקת חוקיות מקורות המידע ובניית מסלול ציות מעשי.

לשירות היערכות לתיקון 13

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי. יישום הוראות חוק הגנת הפרטיות וסעיפי הדיוור הישיר תלוי בנסיבות הקונקרטיות ומחייב בחינה פרטנית.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il