הצעת חוק חתימה אלקטרונית - מעמד הגורם המאשר

שונות
מאת‏ עו"ד חיים רביה

שותף בכיר וראש קבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

מאמר זה נערך ופורסם ע"י קבוצת האינטרנט, הסייבר וזכויות היוצרים בפרל כהן בראשות חיים רביה
זמן קריאה: 3 דקות
שמור ב"תכנים שלי"

טיוטת הצעת חוק חתימה אלקטרונית, שמשרד המשפטים חשף לתגובות הציבור ב- 5 במרץ, מסירה את מעמדן של רשויות רישוי (Certification Authorities). רשויות אלה כונו בעבר בעברית "נוטריון אלקטרוני" (דו"ח הוועדה על היערכות ישראל לקראת עידן המידע), אולם טיוטת הצעת החוק מתייחסת אליהם בשם "גורם מאשר" ותו לא.

גורם מאשר, קובעת טיוטת הצעת החוק, הוא גורם שעיסוקו הנפקת תעודות אלקטרוניות ללקוחות, אשר נרשם במרשם הגורמים המאשרים לפי הוראות חוק זה (סעיף 1 לטיוטה). לצורך כך ימנה שר המשפטים רשם גורמים מאשרים, אשר ינהל את המרשם. הרשם ירשום גורם מאשר המבקש להירשם במרשם אם הוא מקיים את התנאים הבאים:

המבקש הוא אדם תושב ישראל או תאגיד שאוגד בישראל ומטרתו ניהול עסק כגורם מאשר או שהוא נוטריון מורשה. נובע מכך שגורם מאשר יכול שיהיה יחיד, ואינו חייב להיות מאוגד כחברה. החוק מוסיף ודורש שהגורם המאשר ומי שיפעל מטעמו הינם "בעלי הכישורים הדרושים להפעלת גורם מאשר" וכן שיש לגורם המאשר חסינות פיננסית ("בידי המבקש ערובה הנדרשת להבטחת פיצויו של מי שנפגע עקב מעשה או מחדל של הגורם המאשר" - סעיף 3(8) לטיוטה המוצעת). דרישות אחרונות אלה מנוסחות בלשון כללית ומעורפלת: מיהו "מי שיפעל מטעמו" של גורם מאשר? מהם "הכישורים הדרושים להפעלת גורם מאשר"? מהי "ערובה מספקת"? וכיו"ב. מרווח שיקול הדעת שמוקנה בסעיפים אלה לרשם הגורמים המאשרים הינו רחב במידה בלתי מוצדקת. מן הראוי שהמבקשים לשמש כגורמים מאשרים יידעו לבטח מהן דרישות הסף לכך. היות שהרישוי מהווה מגבלה, גם אם מוצדקת, על חופש העיסוק, ראוי שדרישות מוגדרות אלה תקבענה בחקיקה ראשית.

עוד תנאי סף לגורמים המאשרים: עליהם להירשם כמאגר מידע לפי חוק הגנת הפרטיות, ומנהל הגורם המאשר או הבעלים שלו לא הורשעו בעבירה אשר מפאת מהותה, חומרתה או נסיבותיה אין הם ראויים לשמש מנהל או בעלים כאמור; עבירות לפי חוק המחשבים או לפי חוק הגנת הפרטיות (לפי שני חוקים אחרונים אלה כמעט לא הורשע אדם בישראל, כך שדרישה זו מציבה רף נמוך במיוחד - ואילו הדרישה הראשונה מעורפלת ומותירה לרשם מרווח רחב של שיקול דעת).

הרושם המצטבר מדרישות הכשירות לגורמים המאשרים הוא שמשרד המשפטים מבקש להציב חסמי כניסה נמוכים בפניהם. זו אינה בהכרח הגישה הנכונה. גורם מאשר, למרות כינויו המינורי, מנפיק תעודות זיהוי דיגטליות. ככזה, הוא המקבילה האינטרנטית למשרד הפנים. יש לכאורה יסוד להחמיר בדרישות מגורם זה.

תפקידו של גורם מאשר הוא להנפיק תעודות אלקטרוניות לאדם, אומרת טיוטת הצעת החוק. יש מקום להבהיר בה כי אדם יכול שתהיה לו יותר מתעודה אחת (לדוגמה - הן בכשירותו הפרטית והן כנושא משרה בחברה), וכי תעודה יכול שתונפק לא רק לאדם אלא גם למחשב או לכל מערכת הטעונה זיהוי. תעודות המונפקות למחשבים מזהות אל נכון את החנות הווירטואלית שבה אדם מבצע רכישה או את השרת שאליו הוא מזין את פרטיו. הן מקנות ודאות ובטחון שמאחוריהן עומדת אישיות משפטית ידועה, שזוהתה על ידי הגורם המאשר. באופן זה יודע אדם המוציא את כספו או מתקשר בעסקה מרחוק, שהעסקה נערכת עם גורם של ממש ולא אם נוכל וירטואלי. זאת ועוד, רצוי להבהיר בחוק כי גורם מאשר אינו רק רשאי להנפיק תעודה אלקטרונית אלא גם להקצות מפתחות הצפנה הדרושים ליצירת חתימה דיגיטלית ולמלא תפקידים אחרים שיידרשו מעת לעת למימוש ייעודו.

הרף הנמוך שמציבה הטיוטה בפני גורמים מאשרים בולט גם בשאר ההוראות המתייחסות אליהם: גורם מאשר חייב במתן שירותיו לנקוט צעדים סבירים לבדיקת אמינות המידע בעת שנמסר לידיו, ולהשתמש רק במערכות חומרה ותוכנה מהימנות המעניקות הגנה סבירה מפני חדירה לחומר מחשב ורמה סבירה של זמינות ואמינות (סעיף 10 להצעה). לכאורה היה מקום לדרישות בטיחות גבוהות יותר מאלה המגולמות במבחן הסבירות גרידא. בפרט, כאשר אין עדין נסיון נצבר שיכול ללמד כיצד יפעל גורם מאשר סביר, בהתחשב בעובדה שגיבושן של אמות מידה ראויות בדרך של פסיקה ייארך שנים ובכך שבתי המשפט בישראל נדרשו רק לעתים נדירות לעיסוק במחשבים ואבטחתם, והנושא אינו בתחום מומחיותם. קביעת דרישות פרטניות לאבטחת מערכות המידע יכולה להיעשות, לדוגמה, בדרך של תקנות שמטיבן ניתנות לשינוי והתאמה קלים בחלוף השנים.

קודם שינפיק תעודה אלקטרונית על הגורם המאשר לנקוט צעדים סבירים לבדיקת אמינות הפרטים שבבקשה להנפיק תעודה (סעיף 11(ב) לטיוטה). דומה שדרישה תקיפה יותר הייתה במקומה: על הגורם המאשר לזהות בוודאות אם האדם או המחשב שלו הוא מנפיק תעודה אלקטרונית. זוהי מהות פעולתו ומן הדין שהחוק לא יקל עימו בכך.

גורם מאשר רשאי לבטל תעודה אלקטרונית בעקבות בקשה של בעל תעודה או מיד כשנודע לו כי פרט מהפרטים אינו נכון או אם נפגמה מהימנות התעודה בכל דרך אחרת, וכן מיד עם קבלת הודעה על מותו של בעל החתימה או פירוקו של תאגיד שהוא בעל חתימה.

הערה: המאמר מתייחס לנוסח ראשוני של הצעת החוק ועוד בטרם גובש אפילו תזכיר הצעה במשרד המשפטים. בחוק, כפי שהתקבל בכנסת במרץ 2001, מצויים שינויים ניכרים לעומת נוסח ראשוני זה