האחראים לדליפת פנקס הבוחרים של ישראל

פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד חיים רביה

שותף בכיר וראש קבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

מאמר זה נערך ופורסם ע"י קבוצת האינטרנט, הסייבר וזכויות היוצרים בפרל כהן בראשות חיים רביה
זמן קריאה: 7 דקות
שמור ב"תכנים שלי"

הבחירות האחרונות לכנסת היו זירת מאבק יצרית מאד. בין האמצעים ששימשו את המערכת הפוליטית – פגיעה מאסיבית בזכות לפרטיות במידע. פרטיות משפיעה בעשור האחרון במישרין על ההכרעות בדמוקרטיות המערביות: מפרשת קיימברידג' אנליטיקה ופילוח הבוחרים האמריקנים כדי לקדם את בחירתו של טראמפ, ועד הבחירות בישראל 2020. היא אינה יכולה עוד להיחשב אזוטריה שמאלנית. השמירה על הפרטיות מגינה על ליבת התהליך הדמוקרטי.

פנקס הבוחרים שדלף באמצעות אפליקציית אלקטור, ששימשה את הליכוד, היה סימן ראשון לבאות בישראל. הפנקס כלל את שמותיהם של כשישה וחצי מיליון בעלי זכות בחירה, ביחד עם כתובותיהם ומספרי תעודות הזהות שלהם ושם האב. האפליקציה איפשרה גם איתור קרובי-משפחה והוספת מידע כדוגמת מספרי טלפון, פרטים על הזהות הפוליטית של הבוחר ועוד – כל זאת בלא קבלת הסכמה.

בסיס הנתונים של אלקטור נחשף לאינטרנט מפני שנועד לשמש רבבות פעילים פוליטים של הליכוד מבלי שננקטו אמצעי אבטחת מידע הולמים. הדליפה הניבה ביקורת חריפה מאד על הרשות להגנת הפרטיות, שבשנים האחרונות נחלשה עד כדי העלמות. בעוד שיש בהחלט מקום לביקורת על תפקוד הרשות במקרה זה, האש לא כוונה לשחקנים אחרים, שתרומתם לאירוע חשובה לא פחות, ואולי אף יותר, מאשר זו של הרשות להגנת הפרטיות –

משרד המשפטים. חוק הגנת הפרטיות הישראלי הוא מ-1981. במרוצת השנים, כמעט ולא תוקן. בו בזמן הטכנולוגיה התקדמה בקצב ענק: מידע עתק (Big data), בינה מלאכותית, למידת מכונה, מידע ביומטרי וגנטי, נתוני מיקום - אם לנקוב רק בכמה דוגמאות – היו דימיון רחוק כשנחקק החוק. הפער בין החוק לטכנולוגיה לא ניתן לתיקון בדרך של טלאים בחקיקה המיושנת. בזמן שישראל נימנמה, אירופה כבר החליפה פעמיים את דיני הגנת המידע והפרטיות שבה.

תיקון חקיקה הוא באחריות ישירה של משרד המשפטים. המחלקה למשפט ציבורי–חוקתי בראשות המשנה ליועץ המשפטי לממשלה, עו"ד רז נזרי היא האחראית לתחום הפרטיות. יש בה גם אחראי לתחום הפרטיות, אבל המחלקה לא עשתה דבר כדי להחליף את חוק הגנת הפרטיות הקורס.

לא רק שמשרד המשפטים שקט על שמריו, הוא התעלם מהצעת חוק מקיפה שהכין צוות מומחים שכינס המכון הישראלי לדמוקרטיה (גילוי נאות: יזמתי את הכינוס ביחד עם דר. תהילה אלטשולר שוורץ מהמכון ונמניתי על צוות המומחים). גם אם לא היו מאמצים אותה כמות שהיא, ההצעה יכולה הייתה לשמש בסיס לחקיקה ממשלתית. אחד המשנים ליועץ המשפטי לממשלה אמר בהזדמנות אחת בביטול, שאין היתכנות לקידומו של חוק כולל חדש. הימים היו ימי שלטונה של אילת שקד במשרד המשפטים. שקד התנגדה לפרטיות כי ראתה בה רגולציה מכבידה על השוק הפרטי. מנכ"לית המשרד המיתולוגית, אמי פלמור, דיברה בכנס השנתי הראשון של הרשות להגנת הפרטיות כמעט בלגלוג על הזכות הזו. האחראי לחקיקת הפרטיות במחלקתו של המשנה נזרי אמר בכנס שנערך השנה שאין דחיפות להחליף את החוק. לשיטתו צריך לגשת לתיקון פרקים בחוק. גם את זה הוא לא עשה.

הפוליטיקאים. לפני שנים ארוכות נפגשתי עם טומי לפיד, אז שר המשפטים, ביחד עם עוד כמה חברים מהמועצה הציבורית להגנת הפרטיות הפועלת לפי החוק מ-1981. לפיד הקשיב לנו בשקט ואז לא התאפק, רכן לעברנו, ואמר בחיוך שנמסכו בו חיבה וארס: "אבל אתם האנשים היחידים בישראל שפרטיות מעניינת אותם...". במשך שנים, פרטיות לא עניינה פוליטיקאים בישראל.

כשפרטיות הפכה לנושא גדול, היא החלה לעניין פוליטיקאים אבל אז כבר היה להם מה להפסיד. חברות ענק רב לאומיות המבססות את עסקיהן על מידע פרטי, בפרט פייסבוק, מקדמות את הפוליטיקאים. הן מאפשרות להם שיח ישר עם הבוחרים, ומהדהדות את מסריהם בלא תיווך התקשורת המסורתית. מי שחשב שחברי כנסת יירתמו להגביל את החברות הללו צריך היה לראות אותם נרתמים לדיוני ועדות הבית שהכינו לקריאה שניה ושלישית חוקים שנגעו לאותם ענקים בינלאומיים: 'חוק הפייסבוק' לדוגמה, שביקש לעסוק בהסרת תכנים מהרשת הוקפא על ידי ראש הממשלה נתניהו, רשמית מחשש לפגיעה בחופש הביטוי.

המפלגות. ואז הגיעה שרשרת הבחירות של 2019-2020, והפוליטיקאים גילו מה הם יכולים לעשות באמצעות מידע אישי: לפלח מצביעים, לתייג אותם, למצוא עוד תומכים פוטנציאלים, לדרבן את תומכיהם ולרתום אותם לפעילות ולהוציא אותם להצבעה מאסיבית.

נציגי המפלגות ישבו בקלפיות במרץ 2020 מצוידים באפליקציות והזינו במרץ את פרטיהם של מי שהגיעו לבחור. תארה זאת היטב נעמי זוסמן במאמר שפרסמה בהארץ ("כל העת זרם מידע על המצביעים"): "הנוכחים בחדר עסקו כל הזמן ברישום מספרי הבוחרים: חברי הוועדה מחקו אותם בספרי הבוחרים כנדרש, אבל בתוך כך עסקו גם בהזנת הנתונים באפליקציות שבטלפונים הניידים שלהם, שמהן הם עברו למטות המפלגות הרלוונטיות בזמן אמת". צריך לומר שזו אינה פרקטיקה חדשה, גם אם לא הסתייעה בעבר באפליקציות ייעודיות, מה גם שדירבון בוחרים להצביע הוא אינטרס ציבורי לגיטימי, לא פחות מכפי שהוא ענין מפלגתי.

אבל כשאדם מגיע להצבעה הוא כפוי מכוח חוק למסור את פרטיו לועדת הקלפי. הוא עושה כן כדי לממש את זכות ההצבעה. הוא לא מוסר את פרטיו כדי שיועברו למפלגות. כשהן מקבלות את המידע הן משתמשות בו שלא למטרה שלשמה נמסר. זו אבחנה דקה: בפנקס הבוחרים מותר למפלגות להשתמש לצרכי הקשר עם הבוחרים; לא כן במידע בזמן אמת על הצבעתם. שימוש במידע כזה שנמסר לועדות הקלפי יכול להיחשב עוולה לפי חוק הגנת הפרטיות ואם נעשה בזדון, גם עבירה פלילית. חברי ועדת קלפי המעבירים מידע למפלגות משתמשים בסמכות שניתנה להם לפי חוק כדי לפקח על טוהר הבחירות ומהלכן התקין, לצורך אחר לגמרי. הפתרון לכך הוא לקבל את הסכמת הבוחרים להעברת פרטיהם. לא הסכים המצביע, לא תדווח הצבעתו.

קודם ליום הבחירות יצאה הרשות להגנת הפרטיות לפיקוח חסר תקדים במפלגות. מה העלו ממצאיה ביחס לשימוש המפלגות בפנקסי הבוחרים ובאפליקציות, אין לדעת. מן הראוי שהרשות תפרסם דוח לציבור על כך ותתייחס לשאלה אם מותר להזרים מידע על בוחרים מתוך ועדות הקלפי, ובמידה שלא אילו צעדים היא נוקטת נגד המפלגות שעשו כן.

על כל פנים, דבר אחד ברור כעת: כל תיקון בחוק הגנת הפרטיות ייתקל ברוח חזיתית מצדם של חברי כנסת. הם לא ירצו לחזור אחורה. את הצעצוע הזה לא יסכימו בקלות שייקחו מהם. אם ב'חוק הספאם' דאגו להחריג מסרים פוליטיים, נקל לשער שכך ירצו לעשות בחוק הגנת הפרטיות.

משרד הפנים. פנקס הבוחרים מופץ למפלגות על פי חוק הבחירות לאחר שהתחייבו בכתב שלא יעשו בו שימוש אלא לצורך התמודדותן בבחירות והקשר עם הבוחרים. לשר הפנים הסמכות להורות שהפנקס יכלול אמצעי הגנה אלקטרוניים. המשרד רשאי לכלול רשומות כוזבות בפנקס הבוחרים כך שכל מפלגה תקבל רשומה אחרת. רשומה כזו היא טביעת אצבע. נמצאו רשומות כאלה בעותק של הפנקס באינטרנט, ברור יהיה מהיכן דלף. משרד הפנים יכול היה אפוא למזער מראש את הסיכון שיתרחש פיאסקו כדוגמת דליפת פנקס הבוחרים לרשת. מה עשה בפועל? דממה דקה. איש אינו מתייחס לזה.

מערך הסייבר הלאומי. מערך הסייבר פועל במשרד ראש הממשלה. הוא נמצא במאבק מול הרשות הקורסת להגנת הפרטיות בשאלה מי יהיה הצאר של אבטחת המידע בישראל (רמז: אלה לא באמת כוחות...). המאבק הזה גרם לכך שתיקון שהרשות ביקשה לקדם בחוק, כך שיינתנו לה סמכויות אכיפה רחבות, נכשל על אף שעבר בקריאה ראשונה בכנסת. בתזכיר חוק הגנת הסייבר ומערך הסיבר הלאומי שפירסם משרד המשפטים ב- 2018, מגדיר עצמו המערך כ"גוף ביטחוני מבצעי". על פי התזכיר, המערך כפוף לראש הממשלה בלא שום פיקוח של הממשלה או הכנסת. הוא אמור להיות רגולטור העל של אבטחת המידע בישראל, לפי התזכיר. ראש המערך מנחה את כלל הרגולטורים ואישורו נדרש לכל אסדרה בתחום ההגנה בסייבר.

והנה, העובדה שמהערך הוא "גוף ביטחוני מבצעי" הפועל במסגרת משרד ראש הממשלה מחייבת אותו לזהירות מיוחדת בעת התערבות בענייני בחירות. אם הליכוד משתמש באינטנסיביות באפליקציית אלקטור, קשה לראות איך המערך הכפוף לראש הליכוד מסמן את בסיס הנתונים שלה כסיכון סייבר מהותי ומגביל את השימוש בו מראש, או פועל לאסור אותו לגמרי מרגע שדלף, בדיעבד. אם יש משהו שברור מהדליפה של פנקס הבוחרים הוא שהכפפת המערך לאישיות פוליטית באופן שתזכיר החוק מבקש לעשות, הוא טעות חריפה. סיכוני סייבר בסביבה הפוליטית הולכים ונערמים לא רק בישראל. למערך הסייבר הלאומי תפקיד קריטי במניעתם. פעולתו צריכה להיות נקיה משיקולים זרים של מה יאמר הממונה עליו או מה יאמרו אחרים כשהוא נתון למרותו של לפוליטיקאי.

ועדת הבחירות המרכזית ובית המשפט העליון. ועדת הבחירות אחראית על ניהול הבחירות באופן תקין. הגנת הפרטיות אינה בין סמכויותיה המפורשות בחוק. מסיבה זו דחתה הוועדה את עתירת עו"ד שחר בן מאיר לאסור את השימוש באפליקציית אלקטור. בית המשפט העליון אישר את הדחיה. השופט אלכס שטיין, ביחד עם השופטים מזוז ומינץ, קבע כי בית המשפט לא יוכל להורות ליו"ד ועדת הבחירות לקבוע מהם שימושים מותרים בפנקס הבוחרים מפני שהוא ממעט להתערב בהחלטותיו של יושב ראש ועדת הבחירות המרכזית אלא במקרים חריגים וקיצוניים.

ועם זאת, יו"ר ועדת הבחירות המרכזית יכול היה לפעול באופן נחרץ יותר למניעת שימושים מפרי פרטיות בפנקס הבוחרים ביום הבחירות , מפני שמניעת השפעה לא הוגנת על הבחירות, והסכנה לתהליך הבחירות, הם במובהק בתחום סמכותו. חברי ועדות קלפי הפועלים מכוח מינוי של ועדות בחירה אזוריות המתמנות על ידי הוועדה המרכזית. היא מפרסמת תדריך לחברי הוועדות. היה עליה לאסור כל העברה של מידע על הצבעת בעלי זכויות הבחירה אל המפלגות אלא בכפוף לקיום הדרישות בחוק הגנת הפרטיות. היות שלא עשתה כן, יש כעת יש בידי מפלגות בישראל, הליכוד וש"ס נזכרות בהקשר זה במפורש, מידע מפורט על אזרחי המדינה ומי מהם מימש את זכותו להצביע.

הציבור. הציבור אדיש. במציאות שבה הכל כן ביבי או לא ביבי, דליפת המידע האישי אודותיו לא ממש מעניינת אותו. ספק אם הוא מבין את חשיבותה. זה שיקוף מדויק של יחס הציבור לפרטיות. עד שהציבור לא יתעורר והפוליטקאים יבינו שפרטיות חשובה לבוחריהם, המלחמה על שינוי הדין ואכיפתו תמשיך להיות קשה לאין ערוך מכפי שמתחייב ממעמדה החוקתי של הזכות לפרטיות.

בבחירות לכנסת האחרונה נפגעה באופן מאסיבי פרטיותם של אזרחי המדינה. לפגיעה הזו אחראים גורמים רבים. יש מעט תקווה בדבריו של יו"ר ועדת הבחירות המרכזית, השופט ניל הנדל, שציין כשדחה את העתירה נגד השימוש באפליקציית אלקטור כי בכוונתו לשקול הקמת ועדה ציבורית לאחר הבחירות לשם בחינת מכלול הסוגיות המתעוררת בנקודת המפגש שבין פרטיות וטכנולוגיה בדיני בחירות. הנדל אמר כי יתכן שראוי לשנות את הדין הקיים. דיבור מתון ומדוד כל כך לא יסייע מול הפגיעה החריפה בפרטיות. זוהי שעתם של אנשי הייעוץ המשפטי לממשלה. עליהם ליזום מהלך תקיף לתיקונו של חוק הגנת הפרטיות בגיבוי אנשי מערך הסייבר הלאומי. עבודתם לא תהיה קלה, הפוליטיקאים יתנגדו בשל האינטרס הצר שלהם. אירגוני החברה האזרחית והציבור הרחב יצטרכו לתת להם רוח גבית.

[פורסם לראשונה במיינד דה גפ, בלוג הפרטיות של המחבר בהארץ]