על חובת הזהירות במאגרי מידע | המחשב מול הנייר

יש בעיה קטנה עם חוק הגנת הפרטיות ככל שהוא נועד להגן על מאגרי מידע. ההגדרה של מאגר מידע בחוק הגנת הפרטיות הינה "אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב"; כלומר, כאשר אדם מחזיק אוסף רגיש, ואפילו רגיש ביותר של מידע, אך אינו מאוחסן באמצעי אופטי או מגנטי, אז כללי אבטחת המידע החלים על מאגרי מידע אינם קיימים. בעוד שמנהל מאגר חייב לאפשר למושא המידע לעיין במידע, או לאפשר מחיקה, הסרה ותיקונים, ברשומות שאינן ממוחשבות הדבר אינו קיים. כך גם האחריות לאבטחת המידע. סעיף 17 לחוק הגנת הפרטיות קובע כי "בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע".

ומה הבעיה? כאשר ישנן דליפות של מידע שאינו ממוחשב, כמו גליונות ציונים של סטודנטים באוניברסיטת חיפה (תודה! חגי) או תעודות פטירה של תינוקות, ברור שהמידע אינו אגור במאגר כהגדרתו בחוק, אלא על הנייר. במצב כזה, אכן חוק הגנת הפרטיות מאפשר להעניש על דליפת המידע (כפגיעה בפרטיות לפי סעיף 2) אבל הוא לא מטיל סנקציות על אבטחה רעועה. האם יש הבדל בין פרצת האבטחה באתר איכילוב שחשפה מידע פרטי לבין הנחת המידע בפח הזבל? כנראה שלא.

האפליה בין מאגר ממוחשב, בו ישנן סנקציות גם על כשלי אבטחה גם אם לא נגרמה פגיעה בפרטיות (או נגרמה פגיעה בפרטיות ללא נזק) לבין מאגר שאינו ממוחשב יוצרת דיסוננס שאומר שדרושה רפורמה קטנה: או שתבוטל הדרישה לאבטחה סבירה, או שהדרישה תוחל גם על מאגרים שאינם ממוחשבים.

ומדוע לבטל את דרישות האבטחה בחוק? כיוון שדרישות האבטחה הינן משניות: הענשה צריכה לבוא, כמובן, נגד נזק בפועל ולא נגד נזק תיאורטי או פרצות אבטחה. לעומת זאת, אנו מכירים בכך שגם על ליקויי אבטחה יש להעניש, בסנקציות אחרות; כאשר מישהו מפקיר את המידע של אחרים ונוהג בו בקלות דעת, ברור שיגרם נזק מתישהו, פשוט על ההפקרות הזו לא בטוח שראוי להטיל אחריות (פלילית או אזרחית) אלא להשתמש במונח הסנקציה הפלילית של דליפה.

5 thoughts on “על חובת הזהירות במאגרי מידע | המחשב מול הנייר

  1. אין מקום לחוק שמגדיר איך צריך לשמור על הפרטיות שלנו, או על מה צריך לשמור.
    הפתרון היחידי לבעיית הפרטיות היא על ידי היכולת של אנשים לבחור.
    מי שהפרטיות שלו חשובה לו – לא יפקיד את המידע הרגיש שלו אצל מי שלא יודע לשמור עליו, או שידאג להבטיח בחוזה את השמירה על פרטיותו.

    הבעיה מתחילה כשאנחנו, על פי חוק, חייבים למסור את המידע הרגיש שלנו, ונלקחת מאיתנו הבחירה למי אנחנו רוצים לתת את המידע שלנו ולמי לא.
    לא סתם 3 המקרים שציינת מגיעים מגופים ממשלתיים או מונופולים בחסות הממשלה.
    בשוק הפרטי והחופשי – יש סנקציות חמורות מצד הלקוחות שבוחרים לנטוש את הגופים שמפקירים את סודיותם ופרטיותם.
    במגזר הציבורי המנופח – יש בעיקר חוסר אונים.

    תודה על עוד דוגמאות מעולות לאיך המדינה לא רק שלא עושה את תפקיד להגן עלינו, ואף לוקחת מאיתנו את היכולת להגן על עצמנו.

    אחד הרופאים האהובים עליי, מסביר את זה מעולה במאמר הבא:
    http://www.jpands.org/vol9no1/paul.pdf

  2. מה עושים עם העובדה שיש כיום בשוק כונני SSD מבוססי זכרון flash שאינם נכללים בהגדרה "אמצעי מגנטי או אופטי"?

Comments are closed.