הסכמי שימוש בענן: למה לשים לב?

 בשנים הספורות מאז שהוא בא לעולם, מחשוב ענן הספיק להשתרבב למרכזו של משבר פוליטי-מדיני בין ארצות-הברית לאיחוד האירופי (ע"ע גילוי סנואדן); להיות הכוח המניע להמצאה הטכנולוגית שמאתגרת את מערכת הפיננסים העולמית (ע"ע ביטקוין); ולהיות יעד אטרקטיבי לפריצות האקרים, שעלו שוב לכותרות בעקבות הפריצה לפני כמה חודשים למאגרי תמונות פרטיות ורגישות של ידוענים (ע"ע הפריצה ל-iCloud).

חברות ישראליות מספקות שירותי ענן בתצורות וגוונים שונים, אולם רבות מהחברות הפועלות בארץ מצויות דווקא מעברו השני של המתרס, כצרכניות של שירותים אלה. השימוש בשירותי ענן לא מאפיין רק חברות הייטק, אלא הולך וגובר בקרב חברות מסורתיות, בהן בנקים ומוסדות פיננסיים, מוסדות חינוך, מוסדות רפואיים ועוד.

שירותי ענן בעיני המשפט

כמו במרבית תחומי החיים, יש למשפט מה לומר גם על שירותי ענן. וכפי שהמשפט תמיד משתרך אחרי התפתחויות טכנולוגיות, כך גם עם שירותי ענן. ארגונים שצורכים שירותי ענן נדרשים אפוא להתמודד עם אתגרים משפטיים משמעותיים שהחקיקה והרגולציה הקיימת מציבים בפני שימוש בשירותים אלה.

בדין הישראלי יש תשתית המאפשרת שימוש בשירותי-מחשוב בענן, בכפוף להוראות חוק שונות שבראשן חוק הגנת הפרטיות והתקנות שנקבעו מכוחו ובכפוף לשורה של הנחיות רגולטוריות. לדוגמה, בחודשים האחרונים פרסם המפקח על הבנקים בבנק ישראל טיוטת מכתב הנחיה בעניין שימוש בשירותי מחשוב ענן בבנקים ובחברות אשראי. הטיוטה מזכירה ששימוש של תאגיד בנקאי בשירותי ענן עלול לחשוף אותו "לסיכונים תפעוליים מהותיים הקשורים לאבטחת מידע, המשכיות עסקית, שליטה ובקרה על נכסי ה-IT וכדומה".

עוד קודם לכן, הרשות למשפט, טכנולוגיה ומידע (רמו"ט) במשרד המשפטים – המאגדת בין היתר את רשם מאגרי המידע (רגולטור הפרטיות בישראל) – פרסמה הנחיה בדבר השימוש של ארגונים בשירותי מיקור חוץ לצורך עיבוד מידע אישי שבידיהם. שירותי ענן נחשבים, בדרך-כלל, לסוג של מיקור חוץ הכפוף להנחיה זו, ככל שהמידע שמיועד לטיפול בענן כרוך במידע אישי. במאמר מוסגר נציין שרמו"ט הודיעה כבר לפני מספר שנים על כוונתה לפרסם הנחיה שתעסוק בנושא השימוש בשירותי ענן, אולם מאז לא פרסמה דבר, וחבל.

הסוגיות המשפטיות הכלליות שיש לתת עליהן את הדעת בעת התקשרות בהסכם לקבלת שירותי ענן נחלקות לשלושה תחומים עיקריים: דיני העברת מידע בין-מדינתית, חובות אבטחת מידע על-פי דין, ומנגנוני הגנה חוזיים.

העברה בין-מדינתית של מידע

אחד המאפיינים המרכזיים במחשוב ענן הוא האדישות למיקום הפיזי של חוות השרתים המשמשות לעיבוד המידע ואחסנתו. העמימות עשויה להיות מוחלטת, כך שצרכן שירותי הענן אינו יודע היכן ברחבי תבל נמצאת התשתית הפיזית התומכת בעיבוד ואחסון המידע בכל רגע נתון. כיוצא בזה, עיבוד מידע בענן כרוך לעתים קרובות בהעברת מידע אל מחוץ לגבולות ישראל. בעניין זה, תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), קובעות כי לא יעביר אדם מידע אישי מישראל אל מחוץ לגבולותיה, אלא בכפוף למספר תנאים שהכרחי לתת עליהם את הדעת בעת התקשרות בהסכם לקבלת שירותי ענן.

ככלל, התקנות אוסרות להעביר מידע אישי לתחומיה של מדינה זרה, אלא אם כן ניתנה על העברה זו הסכמתם מדעת של האנשים שעליהם המידע, או שנתקבלו התחייבויות הולמות של ספק שירותי הענן שמטפל במידע. לחילופין, התקנות מאפשרות להעביר מידע למדינות באיחוד האירופי או למדינות שהוכרו על-ידי האיחוד האירופי ככאלה שדיניהן מספקים רמה נאותה של הגנה על מידע אישי. בכל החלופות הללו טמון אתגר משמעותי משום ששירותי ענן מערבים תהליכים סמויים של העברת מידע אישי בין חוות שרתים שונות שמיקומן המדויק ברחבי תבל לא בהכרח ידוע. יוצא אפוא שההגבלות הטריטוריאליות שהתקנות מטילות על התנועה החופשית של מידע אישי סותרות את מהותם ועקרונם הבסיסי של שירותי ענן.

אם לא די באתגרים אלה, הרי שהתקנות מתנות כל העברת מידע אישי, תהא מדינת היעד אשר תהא, בקבלת התחייבות בכתב מספק שירותי הענן על כך שלא יעביר את המידע לכל אדם אחר, בין באותה מדינה ובין במדינה אחרת. כדאי גם לזכור שבעת רישום מאגר מידע בפנקס מאגרי המידע, או עדכון הרישום (שניהם חובה על-פי חוק), בעל המאגר נדרש לספק פרטים על העברת מידע מחוץ לגבולות המדינה. הקשיים הללו מעידים שהגיע הזמן לתקן את התקנות. הן אינן עונות עוד על צרכי הזמן. בכך אינן שונות מדיני הגנת הפרטיות של ישראל בכלל. אבל משרד המשפטים אינו עושה דבר לתיקון הדין והבהרתו.

הוראות חוק אחרות שעוסקות בהעברת מידע מחוץ למדינה עשויות להיות רלבנטיות לעיבוד מידע בענן, כתלות באופיו של המידע או החברה המבקשת להשתמש בשירותי הענן. לדוגמה, חומר ממוחשב שנועד לאחסון בענן עשוי לערב "ידע ביטחוני" כמשמעותו בחוק הפיקוח על יצוא ביטחוני – למשל אם הוא בגדר מידע שנוגע לציוד ביטחוני או מידע שמתייחס לכוחות הביטחון, מדיניות ביטחון או שיטות אבטחה. על אחסון ועיבוד של מידע כזה בענן עשויות לחול הוראות דיני היצוא הביטחוני, שמגבילות את העברת המידע אל מחוץ לישראל.

חובות אבטחת מידע אישי על-פי דין

אבטחת מאגר הכולל מידע אישי היא חובה ראשונה במעלה בדין הישראלי. תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), שהותקנו בשנת 1986 ועודכנו קלות לפני כעשור, מחייבות לנקוט באמצעי אבטחת מידע הדרושים לקיום התקנות, בהתאם לנסיבות השימוש במאגר המידע. נסיון של רמו"ט לתקן את התקנות כדי שיתאימו יותר לרוח הזמן נעצר ב-2012. מאז הנושא לא קודם.

התקנות מאתגרות את השימוש בענן מפני שהן מניחות שליטה פיזית על מקום הימצאן של מערכות המידע. הן קובעות רשימה לא סגורה של תת-תחומים שיש לטפל בהם בנושא אבטחת מאגר מידע, ובכלל זה קביעת סדרי ניהול של מאגר המידע שיחולו גם על ספק שירותי הענן, אבטחה פיזית של מאגר המידע, שמירת שלמות המידע, סדרי בקרה לגילוי פגיעות בשלמות המידע ותיקון ליקויים, ואחזקת רשימה מעודכנת של מורשי גישה למידע לפי ההרשאות השונות.

להסדרי אבטחת המידע בענן ולהוראות החוזה שיחייבו את ספק שירותי הענן בנושא זה נודעה חשיבות עליונה. אולם בענייני אבטחת מידע אין מידה אחת המתאימה לכל. חובה אפוא להתאים את הסדרי אבטחת המידע ואת החובות החוזיות של ספק הענן בנושא זה, למידות ולמאפיינים הייחודיים של החברה המזמינה את שירותי הענן, ולאפיון הסיכונים הצפויים לגבי המידע והנזק המוערך אם יתממשו.

מלבד זה, הוראות חוזיות כלליות שניתן לשקול בהקשר אבטחת מידע הן התחייבות מצד הספק שלא יבצע פעולות כלשהן ביחס למידע החורגות מהוראות מזמין שירותי הענן; התחייבות לסודיות של הספק, עובדיו ומי שפועל מטעמו; התחייבות שלפיה בכל מקרה בו הספק נדרש לחשוף מידע לצד שלישי, על-פי צו או הוראה של רשות מוסמכת, עליו לדווח מידית למזמין שירותי הענן, זולת אם חל על הספק איסור על-פי דין למסור דיווח כזה; התחייבות הספק למחיקת המידע מיד עם סיום ההתקשרות עם המזמין, מבלי להותיר אצלו מידע, והמצאת אישור בכתב על השלמתה המוצלחת של המחיקה.

מנגנוני הגנה חוזיים

החוזה עם ספק שירותי הענן צריך להגן כמובן גם על האינטרסים המרכזיים של מזמין השירותים. אולם מטבע הדברים, הקושי בעניין הזה טמון באופיים של הסכמי ההתקשרות של ספקי שירותי הענן, בהן ענקיות כמו אמזון, גוגל ומייקרוסופט. במקרים רבים אלה חוזי 'הקש וקבל' שאי אפשר לשנות בהם אף תו. מה גם שההתמקחות עם ענקי השירות העולמיים קשה ומצויה רחוק מיכולתן של חברות רבות. יחד עם זה, ניסיון המיקוח לעתים עולה יפה והחברות מגלות גמישות מסיומת, ולו מינימלית, להתאמות חוזיות.

בנוסף, ספקי ענן מציעים לעתים סוגים שונים של התקשרויות או מאפייני שירות, שנבדלים בהתחייבויות החוזיות שספק הענן מוכן ליטול על עצמו. בירור מקיף של אלה, והשוואה בין ספקים שונים, יכולים להציף חלופות טובות יותר מכפי שנראה תחילה.

בין האינטרסים החוזיים שכדאי למזמין לתת עליהם את הדעת ניתן למנות את זכותו של המזמין לשנות את מאפייני והיקף פעילות המחשוב שהוא מבצע בענן, על פי צרכיו; הקצאת המידע לאחסנה בחוות שרתים מסוימות (לדוגמה, כאלה המצויות באירופה ולא בארצות-הברית); טיפול הספק בתקלות וזמינותו לתת להן מענה (Service Level Agreement - SLA); ועיגון זכות המזמין לסיים את ההתקשרות בכל עת או בהודעה קצרה מראש.

אלה הם על קצה המזלג כמה מהנושאים שיש לשים לב אליהם לקראת התקשרות בהסכם עם ספק שירותי ענן. כמו בנושאים רבים, גם בענן אלוהים נמצא כפי הנראה בפרטים הקטנים.