פרשנות: הנחיות רמו"ט אינן תחליף לחוק חדש וברור

אולי יעניין אותך גם

הרשות למשפט, טכנולוגיה ומידע (רמו"ט) פרסמה הבוקר טיוטת הנחיה המבקשת לאסור, ולמצער להתנות בתנאים חמורים, איסוף מספרי תעודות זהות. הטיוטה מתפרסמת על רקע פרשת 'ההאקר הסעודי' שפרץ לאתרי אינטרנט למסחר אלקטרוני, גנב מתוכם את בסיס המידע הכולל פרטי כרטיסי אשראי ומספרי תעודות זהות של לקוחות, והפיץ אותם ברבים.

הסוסים כבר ברחו מהאורווה. אלא שהסוסים לא ברחו בעת ש'ההאקר הסעודי' פרץ למאגרי נתונים וגנב מהם את מספרי תעודות הזהות וכרטיסי האשראי של עשרות אלפי אזרחים ישראלים. הם ברחו כאשר המדינה עצמה גרמה לדליפת מירשם האוכלוסין ופנקס הבוחרים של ישראל, הזמינים ברשתות לשיתוף קבצים ברשת. כל נזק שעלול לנבוע ממאגרי מידע פרטיים מחוויר לעומת הנזק שגרמה המדינה עצמה לפרטיות אזרחיה, כאשר התרשלה באבטחת מאגרי המידע הרגישים הללו. לא רק מספרי תעודות הזהות של כל אזרחי ישראל מצויים בהם, אלא גם תאריכי הלידה שלהם, כתובותיהם ועץ-משפחה הקושר אותם להוריהם וילדיהם. חמור מאד שהמידע הזה לא הוצפן, כהמלצת הרשות למשפט, טכנולוגיה ומידע, גם אם דלף שנים לפני הקמתה של אותה רשות.

כעת, הרשות למשפט, טכנולוגיה ומידע מבקשת להחיל על המגזר הפרטי אמות מידה חמורות מאד, שבהן - בעבר הקרוב לפחות - המדינה עצמה לא עמדה. המטרה היא ראויה: הגנת המידע וזמינותו הם הבט חשוב מאד של השמירה על פרטיות האזרחים. ועם זה, קודם שפונים למגזר הפרטי יראוי שנבין אם וכיצד המדינה ורשויותיה עומדים בדרישותיה של הרשות. אדרבא, ימציאו לציבור דו"ח בעניין זה. אחרי הכל, דליפת המידע הגדולה בהיסטוריה של מדינת ישראל לא התרחשה בסקטור הפרטי אלא מתוך מאגרי המידע הממשלתיים הרגישים ביותר.

גם אם ראוי לסגור את דלתות האורווה אחרי שהסוסים ברחו, הרשות הרחיקה לכת בהנחייתה:

בכפוף להוראות חוק הגנת הפרטיות, התשמ"א-1981, ניתן לאסוף כל מידע אישי, כולל מספרי זהות. כל עוד עומדים בדרישות החוק, אחת ההוראות החשובות באותו חוק קובעת שכאשר פונים לאדם בבקשה לאגור את פרטיו, צריך להודיע לו אם הוא חייב לפי חוק במסירת אותם פרטים, מה ייעשה בהם ולמי יימסרו. אם נמסרה לאדם הודעה כזו, והוא בחר לאחריה למסור את פרטיו, חזקה היא שנתן הסכמה מדעת לדברים. והנה, כל עוד ניתנה הסכמה מדעת, אפשר לאסוף מספרי תעודות זהות לבצע גם אם אין צורך עכשווי. ייתכן שאין זה נבון לאסוף אותם, כי צריך יהיה לאבטח את המאגר - אבל הדבר מותר. הרשות מבקשת לאסור זאת. בכך היא מרחיקה לכת מעבר להוראות החוק.

יותר מזה: הרשות מפקפקת בהנחיתה לגמרי באפשרות לקבל הסכמה מדעת מאדם כלשהו. היא תולה זאת בעיקר בכך שאין יחיד יכול לבדוק את רמת אבטחת המידע במאגר שאליו התקש למסור את פרטיו ולהעריך את הסכנה אם ייחשפו הפרטים הללו. בכך היא חותרת תחת עקרון יסודי בחוק הגנת הפרטיות והוא שהסכמה מרפאה כל פגיעה פוטנציאלית בפרטיות. אם אין די בהסכמה, נשאלת השאלה מה נדרש מעבר לה. כאן, החוק הקיים שותק. אין פלא שהוא שותק, כי הוא מיושן והשעה להחליפו כבר הגיעה מזמן. אלא שמשרד המשפטים אינו ממהר להחליף את החוק, למרות שהרשות למשפט, טכנולוגיה ומידע בעצמה המליצה לו לעשות זאת לפני כשלוש שנים ואף הגישה נוסח מפורט של הצעת חוק! החוק הקיים אינו נותן מענה לשאלות יסוד הנוגעות אף לארועים שביסוד ההנחיה הנוכחית. לדוגמה, אין בו התייחסות לשאלה אם יש למי שמספק שירותי אירוח לאתרים אחריות או זיקה כלשהי לאבטחת מידע בהם (גילוי נאות: משרדנו מייצג חברה שכמה אתרים שהיא מאחסנת נפרצו).

יותר מזה - אבטחת מספרי תעודות זהות היא רק חלק מאבטחת מידע כוללת במאגרי מידע. גם בעניין זה החוק מיושן ביותר, והתקנות דלות עד בושה. גם בנושא זה רמו"ט עוד לא הצליחה לשנות את החוק. לפני כשנתיים היא פרסמה טיוטת תקנות חדשות להערות הציבור. לפני כחצי שנה, אחרי תהליך ממושך - ממושך מדי! - של קבלת וניתוח הערות הציבור היא העבירה את התקנות לחתימת שר המשפטים. התקנות טרם נחתמו והן עדיין לא בתוקף...

הנחיות של הרשות למשפט, טכנולוגיה ומידע אינן יכולות לבוא במקום חוק מודרני: אין בהן את היציבות, הוודאות והאיזונים הפנימיים שהם תוצאה של תהליך חקיקה שבו נלקחו בחשבון דיעותיהם של כל המגזרים הרלבנטים. לפי טיבן הן נלקחות בחשבון בעיקר על-ידי ארגונים גדולים מאד (חברות תקשורת, מוסדות פיננסיים) המודעים לנושאים אלה ופחות מכך על ידי גופים קטנים, כדוגמת אלה שמאגריהם נפרצו על ידי ההאקר הסעודי.

מספר מזהה ייחודי לאדם, נחוץ פעמים רבות. בוודאי כאשר מתבצעת עסקה בכרטיס אשראי. בהקשרים אחרים, אפשר להסתפק במספר לקוח ייחודי כפי שמציעה הרשות. אלא שדרכם של אנשים לשכוח מספרים כאלה והמציאות מראה שדרישה זו מציבה קושי קודם כל ובראש ובראשונה בפני אותם יחידים שיפנו לקבל שירות מתאגידים. את מספריהם האישיים ישכחו; את מספר תעודת הזהות שלהם - לעולם לא. כיוצא בזה הרשות מציבה קושי כשהיא ממליצה (ממליצה, לא דורשת) להצפין מספרי תעודות זהות או לגבב אותם (לבצע בהם פעולה אריתמטית שתוצאתה מספר ייחודי). הקשיים הללו הם בתחום התקורות והעלויות בפיתוח מערכות מחשב מתאימות, יעילותן, הצורך המתמיד לעדכן אותן וכיו"ב.

עו"ד חיים רביה