Intellect or Insanity

0.
הבחירות תמיד מספקים לנו אייטמים מעניינים וקצת רכילותיים, שגם מאפשרים לנתח מצבים אחרים. שני מקרים מעניינים קרו בשבוע שעבר שלא קיבלו מספיק התייחסות בתקשורת מבחינת החשיבות האמיתית שלהם: במקרה הראשון נגנב הטלפון הסלולרי של שלי יחימוביץ' * ובמקרה השני התגלה נסיון פריצה לטלפון הסלולרי של נפתלי בנט. עכשיו, שני דברים מאוד מדאיגים אותי במקרה של יחימוביץ', ודברים אחרים במקרה של בנט. לכתבה בYnet הגיבו מטעמה של יחימוביץ' כי "אובדן הסלולרי, שלושה שבועות לפני בחירות 2013, עלול לחשוף בפני מי שמצאאותו, מסרונים או אינפורמציה שהיו על המכשיר. גורמים במפלגה אמרו כי האבידה הגדולה היא בעיקר רשימת הטלפונים והזיכרונות האישיים של יחימוביץ'".

* ואני מקווה ששלי יחימוביץ' מאבטחת את המידע בסלולרי שלה בצורה יותר טובה מזו שהיא שומרת על מאגר המתפקדים במפלגה שלה, אבל זה רק אני.

1.
לצורך העניין, אקדיש רק פסקה אחת לעניין הפתרון הטכנולוגי, כי הוא לא באמת משנה. מפליא אותי שראשת מפלגה, שמחזיקה מידע רגיש מאוד שכולל בטח מסרונים מבכירים וממקורבים, לא מחזיקה על הטלפון שלה תוכנת איתור למקרה שיאבד. אם היתה בעלים גאה של מכשיר iPhone, היתה יכולה להשתמש בתכנת Find my iPhone שפותחה על ידי Apple בעצמה ומאפשרת לאתר את המכשיר; אם היתה בעלים של מכשיר Android, אז יש לא מעט אפליקציות שמאפשרות זאת אפילו אחרי שהטלפון נגנב; (מאבד את הטלפון שלו ומצליח ליצור קשר עם הגנב ולהחזיר את הטלפון תחת איומי פטיש. אבל ביננו, הבעיה האמיתית היא כיצד ראשת מפלגה לא מגבה את המכשיר; הדאגה כיצד הגב' יחימוביץ' לא מצלחה להשתמש במערכת הסנכרון לאנשי הקשר שמובנית במכשירים מדאיגה מאוד.

במקרה של בנט, העניין מדאיג בצורה אחרת מעט. נפתלי בנט הוא איש אבטחת מידע ברמ"ח איבריו. עכשיו, אני רוצה להניח שהכתבה בYnet נכונה, ונשלח לבנט מסרון המכיל קישור לתוכנה זדונית; אלא, שאם קוראים בהמשך, רואים משהו אחר מדאיג מאוד: "בדו"ח תשובה שהועבר למפלגה צויין כי שלושה טלפונים ניידים נמצאו נקיים מהאזנות סתר, אך במכשירו של היו"ר נמצאה תוכנה שעליה מתקינים תוכנת ריגול". מהי "תוכנה שעליה מתקינים תוכנת ריגול", אני לא יודע. אבל ביננו? הבעיה האמיתית היא מי הדליף את הידיעה לתקשורת, הרי לבית היהודי אין ממש אינטרס לדווח על כך שניסו (ולא הצליחו) לפרוץ לראש המפלגה, נכון?

2.
עכשיו, כשסיימנו עם העניין, עולה השאלה הבאה: גם לבנט וגם ליחימוביץ', וגם לכל אחד מאיתנו, יש מאגר מידע קטן בכיס. מדוע מאגר מידע? אם נסתכל על הוראות חוק הגנת הפרטיות, נוכל לראות ש'מאגר מידע' מוגדר כ"אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב"; עכשיו, יש חריגים להגדרה, אבל בכל מכשיר טלפון סלולרי היום יש מידע רגיש: יש מידע על שיחות בין בני אדם, יש מידע על אנשים אחרים שלא נמסר על ידם (אם חבר נותן לי טלפון של חבר שלו), ויש מידע נוסף. עכשיו, אם היה בטלפון הסלולרי שלי רק מידע שלי, לא היתה בעיה. הבעיה מתחילה כשיש לי מידע על אנשים אחרים: הטלפונים שלהם, מידע אישי שהם שלחו לי בדואר אלקטרוני או במסרונים, תמונות וכדומה.

3.
וכאן בדיוק העניין: סעיף 17 לחוק קובע כי "בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע". ואז השאלה: בהנתן שתקנות אבטחת מידע טרם הפכו לרשמיות ובהנתן שהן משמשות כיום לפרשנות של החוק, האם אפשר לגזור חובת אבטחה אישית לטלפונים סלולריים? כלומר, לדרוש מבעלי טלפונים סלולריים לאבטח את הטלפונים שלהם בצורה סבירה אם הם רוצים לשמור מידע?

4.
לשיטתי, דווקא כאן הבעיה: ניתן לקבוע שאדם שלא אבטח את הסלולרי שלו הוא רשלן ועשוי להיות אחראי בפגיעה בפרטיות של אחרים במקרה שהסלולרי שלו יאבד, אבל האם צריך לקבוע חובה רגולטורית על כך? כלומר, אפשר לקבוע שמי שמחזיק מידע רגיש מעל רמה מסוימת יהיה חייב לאבטח את הטלפון ברמה סבירה שכוללת הצפנה. להתחיל בלחייב את עובדי המדינה והמגזר הציבורי באבטחת הטלפונים שלהם לצרכי עבודה (לא האישיים). אבל, כאן בדיוק העניין: האם אנחנו כמדינה רוצים להיות גננת שמחייבת כל ילד שמשתמש בטלפון סלולרי לעבור קורס באבטחת מידע?

5.
יכול להיות שכן. יכול להיות שכשם שאנו דורשים רשיון נהיגה, אנו נדרוש הדרכה כלשהיא בשימוש בסלולרי; ההדרכה יכולה לבוא גם לא בכפיה, כלומר לחייב את מערכת החינוך לדאוג לתלמידים, ואת משווקי הטלפון להדריך את הרוכשים. יכול להיות שהמדינה צריכה להחזיק מרכזי הדרכה. העניין הוא שלאף אחד באמת לא איכפת.

0.
אמש מחקה הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים מאגר מידע של חברת נס טכנולוגיות. מחיקת מאגר המידע התרחשה כיוון שהמאגר התבסס על מרשם האוכלוסין שדלף בשנת 2006. עכשיו, חברת נס לא היתה מי שהוריד את המאגר בצורה לא חוקית מהאינטרנט (ככל שחברה בכלל יכולה לעשות את זה ולא אנשים פרטיים), אלא רכשה את חברת גילון, שבעבר רכשה את המאגר מחברה אחרת, בשם תכלית. בפוסט הזה אני לא רוצה לדבר על העונש הקל יחסית שקיבלה נס (רק למחוק את המאגר, בלי לשלם קנס נשמע רע) ולא על כך שהאחריות של חברה לברר אם מאגרי מידע שהיא רוכשת הינם חוקיים (במסגרת הליך due diligence) אלא על נושא אחר.

1.
נס טכנולוגיות היא חברה שצמודה מאוד לממשל. לדוגמא, היא זכתה במכרז להקמת מערכת ניהול תוכן ממשלתית, מעורבת במערכת נט-המשפט שמפעילה את בתי המשפט וגם, תאמינו או לא, זכתה לאחרונה במכרז שמאפשר את הקמת המסלקות הפנסיוניות. למי שלא מכיר או זוכר, המסלקות הפנסיוניות הן בעיה של פרטיות בעיצוב; בשביל לפתור בעיה שקיימת, של אי מודעות של אזרחים לחסכנותיהם וליכולת להתנייד בין חברות. המסלקה הפנסיונית אמורה לבצע כמה פעולות: להעביר מידע בין סוכנים ויועצים על המידע שקיים על לקוח מסוים, כדי לתת לו ייעוץ אופטימאלי, ולבצע פעילות של העברת כספים.

2.
הבעיה היא, שלפחות לפי הכתבה בדה-מרקר, "נס נבחרה במסגרת מכרז שערך האוצר וכלל פרמטרים של איכות, זמן ומחיר". משרד האוצר, שאמור להיות אמון על הכספים שלנו, לא שקלל את הנושא של אבטחת מידע. כלומר, עומדת כאן חברה, שנמצאת בתהליכים של שימוע פלילי מול משרד המשפטים על נושא של אבטחת מידע (ההודעה על המחיקה יצאה יום אחרי ההודעה על המכרז) והדבר לא נכנס בתוך תנאי המכרז.

3.
עצימת העיניים של נס, כשהיא רכשה חברה שהחזיקה מאגר שמפר את החוק, לא יכולה לעמוד כאשר מדובר בחברה שצריכה לטפל במידע הרגיש ביותר של כל אחד מאיתנו. מערכת המסלקה הפנסיונית תהיה תמנון גדול שיקבל גישה לכל הגופים שמטפלים בחסכונות פנסיונים של האזרחים; וחברה שרק לפני מספר ימים החזיקה מאגר מידע לא חוקי לא יכולה לקבל פרס של טיפול במאגר כזה. העניין הוא פשוט מאוד: אם אזרח קטן (ולא חברה גדולה) היה נתפס כמחזיק של מרשם האוכלוסין, היו עושים לו "נו נו נו" ונותנים לו קנס של אפס נקודה שבע אגורות לכל אזרח, אבל לא היו מאפשרים לו יום אחרי להתמודד על מכרז לטיפול במידע רגיש. יותר מזה, היו מבררים כיצד המידע הגיע ובוחנים אפשרות לסיים הסכמים קיימים וגישה למידע רגיש.

4.
כאשר מדובר באבטחת מידע, יש צורך להבין בדיוק מה העניין: כאשר אדם מחזיק במאגר מידע, הוא לא יכול לומר "אני לא יודע מאיפה המידע". בעל מאגר מידע ומי שמטפל בו חייבים לבדוק את המאגר, לראות מהיכן הוא. מי שלא עושה את זה, אולי לא ישלם קנס (כמו שראינו), אבל גם לא יכול להיות זכאי לפרס.

0.
משרד המשפטים פרסם אמש תזכיר תיקון לחוק הגנת הפרטיות, אשר בגדול משנה את תפישת הפרטיות שלנו ואת הדרך בה אנו מתייחסים למאגרי מידע (לנוסח התזכיר); שינוי זה, יחד עם סיום כהונתו הקצובה של עו"ד יורם הכהן, ראש הרשות למשפט, טכנולוגיה ומידע מהווה סימן ששנת 2012 אכן היא השנה בה הפרטיות הפכה להיות זכות שמדברים עליה ומתייחסים אליה, ולא נחלתם של מספר קשקשנים. השינוי המהותי העיקרי בתזכיר החוק הוא אימוץ מסקנות ועדת שופמן (ולא רק את החלק הרע שבהן) ולבטל את חובת הרישום על מאגרי מידע.

1.
כיום, רישום מאגר מידע הוא הליך פשוט טכנית, אך מטיל חסם כלכלי ובירוקרטי על הפעלה של טכנולוגיות חדשות. נניח שאני מעוניין לפתוח אתר שעוסק במסחר אלקטרוני, הרי שאני חייב לרשום את מאגר המידע (ולקבל אישור על הרישום) בטרם אחל את הפעילות (ראו סעיף 8 לחוק הגנת הפרטיות). כלומר, הרבה פעמים אדם שמעוניין לפתוח עסק חייב להמתין לאישור הבירוקרטי הזה. מנגד, ההיתר הזה של "מאגר רשום" הרבה פעמים מהווה דרך שבה אנשים מעוניינים להכשיר פעילויות שאינן רצויות ואף אינן חוקיות, בטענה ש"אין מה לעשות, המאגר שלנו רשום במשרד המשפטים אז הכל כשר"; טענה זו לא שונה מכך שתרופות סבתא שונות היו "באישור משרד הבריאות" עד לא מזמן.

2.
אלא שהבעיה בתזכיר החוק היא לא ביטול חובת הרישום, אלא אי ההתייחסות לסידורי האבטחה במאגר. על פי הוראות תזכיר החוק החדש, בעל המאגר "יקיים סדרי ניהול וכללי עבודה הנדרשים לשם ניהול המאגר לפי הוראות חוק זה, יתעד את ביצועם במסמכים המתארים את אופן ניהול המאגר, השימוש בו, אבטחתו ומימוש זכויות נושאי המידע בו ויחזיקם מעודכנים"; כלומר, יש חובה לאבטח את המאגר ולהחזיק נהלים מסודרים. הבעיה היא שכאשר אנחנו מדברים על זכויות בעלי המידע (האנשים עליהם שמור המידע במאגר), הרי שאין להם את הזכות לדעת מהם הכללים, אלא רק פרטים על זהות בעל המאגר, מנהל האבטחה ופרטים על מטרות המאגר וסוגי המידע האגורים בו. בגדול, פרטי המידע הינם מתוך סעיף 9(ב) לחוק, ומתוך סעיף 7א(ב) לתזכיר החוק, והם חופפים קצת. לדוגמא, זהות בעל מאגר המידע, המחזיק במאגר ומנהל המאגר, ומעניהם בישראל מופיעה פעמיים (סעיף 9(ב)(1), אבל גם סעיף 7א(ב)(1-3)).

3.
העניין הוא מה שאין חובה לפרסם ולהביא לידיעת בעל המידע, ואלה נהלי אבטחת המידע של המאגר. כלומר, בא אדם, מבקש ממני מידע רגיש, ואומר לי מי הוא, ושאני לא חייב למסור את המידע, אבל אם אמסור אותו אני אוכל לקבל הנחות ומבצעים, ואז אני שואל אותו "ואיך אתה שומר על המידע שלי?" והוא אומר לי "אני לא חייב לענות לך על זה". זו בדיוק הבעיה הרצינית בתזכיר החוק; שדווקא את נהלי האבטחה (שהרשות למשפט, טכנולוגיה ומידע מוציאה נהלים כל הזמן בשביל לעדכן) הציבור לא צריך לדעת.

4.
נהלי אבטחת המידע חייבים להיות פומביים בכל מאגר; וזה מה שחסר בתזכיר: החוק צריך לבטא מצב שבו אם אין חובה לרישום, ואין איזה בירוקרט ששואל את בעל המאגר איך המידע מאובטח, אז הציבור (וחכמת ההמונים) יכולה לעשות את זה: כלומר, כל בעל מאגר מידע יהיה חייב להציג בפני הציבור את מסמך אבטחת המידע, ואישור של גורם עצמאי שבדק את מסמך האבטחה, מראה שהוא מספק ועומד ברמות סבירות ובדק שמסמך האבטחה תואם למצב בשטח.

5.
כל מצב אחר יהפוך את ביטול חובת הרישום להפקר אחד גדול. לדוגמא; בחודש שעבר פסק בית המשפט העליון בעניין עעם 1386/07 עיריית חדרה נ' שנרום; אותו המקרה היה רצון של חברה מסחרית לשלוח דיוור לכל תושבי העיר (דומה למה שקרה בעתמ (נצ') 62-10 ד"ר הנריק רוסטוביץ ושות, חברת עורכי דין נ' יצחק שריקי, הממונה על חוק חופש המידע בעיריית עפולה, כאשר חברת עורכי דין רצתה גישה למאגר העסקים הפועלים בעיר). פסק הדין ביטא גישה חדשה ושונה לזכות לפרטיות, שמכירה בזכותם של האזרחים להעזב בשקט; אבל הוא לא דן בהסדרים בהם צריכה אותה חברה שמקבלת מידע לאבטח אותו. הצורך שלנו לאבטח מידע ולמנוע שימוש לרעה ממנו מתגבר כאשר כל יום אנחנו רואים מה עושים עם מאגרים פרוצים: הפעם, אגב, זה פדופיל שפיתה נערות באמצעות פרטים ממרשם האוכלוסין.

6.
לכן, אם דעתי היתה נשמעת, הדרך הבטוחה היא לקדם לא רק רישום אלא גם הסדרה עצמית ותקינה עצמאית של מאגרי המידע: לתת לאנשי מקצוע שמוכנים לסכן את שמם לפקח על מאגרים; כאשר אם יש דליפה, ואם יש אי עמידה בנהלים ובהוראות הם נותנים את הדעת באחריות אישית.

בהערת שוליים גדולה אחת בהיסטוריה, כחלק מהגזירות שנועדו להגביר את הכנסות המדינה, הודיעה הממשלה שהיא תקדם חקיקה שתאפשר העברת מידע  ממאגר המידע של הרשות לאיסור הלבנת הון לידי רשות המסים. הרעיון עצמו הוא מבורך: להביא יותר כסף למדינה, להלחם בהון השחור ולאפשר גביה של מס אמת. הבעיה כמובן היא לא תשלום מס האמת, אלא הפגיעה הנלווה בפרטיות בהצלבה בין המאגרים. בשנת 2000 נחקק החוק לאיסור הלבנת הון, שקובע בין היתר, הקמה של מאגר מידע שירכז את כל הדיווחים על פי החוק: בעיקר דיווחים של בנקים, חלפני כספים, מנכי המחאות ודומיהם, על פעילויות חריגות וחשודות שיכולות להיות קשורות להלבנת הון או לעבירות של טרור.

בגלל חומרת העבירות, הוטלה חובת דיווח משמעותית מהרגיל. על המאגר הוטלו חובות אבטחה משמעותיות, ויש איסור על שימוש במידע אלא לצורך מניעת עבירות של הלבנת הון וטרור. כך, לדוגמא, ישנם איסורים על עובדי הרשות לעבוד בגורמים אשר מדווחים למאגר בתקופה של לפחות שנה. אותם איסורים והגבלות לא הפריעו, כמובן, בשנת 2008 למידע לדלוף על אודות ליאוניד נבזלין ולהגיע לידי רודפיו הפוליטיים ברוסיה.

אבל הרשות עוד בת כבוד לאזרחי ישראל ולפרטיותם (על אף שהיא יכולה לעשות עוד דברים עמם); מנגד, רשות המסים בישראל אינה ממש בת כבוד לפרטיות האזרחים תמיד. אכן, היא זכאית לקבל לא מעט מידע במסגרת החוק אחת לשנה מדיווחיהם של האזרחים; אך לעיתים השימושים שעובדיה עושים עשויים להיות בעייתיים ולא מורשים. מבקר המדינה קבע כבר כי זו לא עשתה מספיק כדי לאבטח את המידע. כמובן, הכל בדרכים הרגילות: מוצאים עובד חלש ומשחדים או סוחטים אותו.

המקרים של שמואל ציילר, שהורשע בשליפת מידע שלא כדין ממחשבי רשות המסים (עשמ 3275/07 שמואל ציילר נ' נציבות שירות המדינה) ושל יוסף אסדו, שעבר עבירה דומה (עש"מ 222/07 יוסף אסדו נ' נציבות שירות המדינה) אינן אלא קצה הקרחון: כאשר מדובר על כח אדם שלא מוכשר באבטחת המידע, כאשר מדובר בכח אדם שהמטרה שלו היא גביה מקסימאלית, מתוך כיוון ברור, אז אין מה לעשות: חייבים לא לאפשר את זה.

אני לא אומר שלא צריך לשלם מס אמת: ההפך, זו החובה בחוק ועל המדינה לעשות הכל כדי לגבות אותו. אבל, מנסיון העבר אנו לומדים שחלק מהמידע שמועבר אינו דרוש. לכן, הפתרון הוא הפומביות: הרשעה פומבית בעבירות של הלבנת הון, ורק כזו, תגרור העברת המידע. במקרה כזה, אין חשש לצפיה סבירה לפרטיות ומנגד, אין שימוש לרעה במידע.

בכל מקרה אחר, אנו פשוט מבזים את העבירות של הלבנת הון ומחזירים אותן להיות עבירות רגילות כמו כל דבר אחר.

בינואר 2010 פרסמה הרשות למשפט, טכנולוגיה ומידע טיוטא לתקנות בנושא אבטחת מידע והגנה על פרטיות, מאז ועד היום עמלה הרשות קשה, אבל מסיבותיה שלה לא הצליחה להפוך במשך למעלה משנתיים את טיוטאת התקנות לתקנות מאושרות. ביני לביני התרחשו לא מעט מקרים, ובשבוע שעבר עדכנה הרשות את טיוטאת התקנות, בין היתר בגלל פרשת 'ההאקר הסעודי'.  השינוי המשמעותי כנראה ביותר בהבדלים בין הטיוטאות הוא החובה לדווח על דליפת מידע והוספה של חובת דיווח על דליפה לרשות ולציבור.

טיוטאת תקנה 11 בתקנות של שנת 2010 שונה בצורה מהותית מהטיוטא של 2012; בכך שהתווסף סעיף קטן (ה) לתקנה, אשר מאפשר לרשות לחייב את בעל המאגר לדווח לאנשים עליהם המידע הוחזק כי המידע דלף. הפעילות הזו ברוכה (הגם שהיא קצת מוגבלת, וחלה רק על מאגרים ברמת אבטחה בינונית ומעלה, כך שלא בטוח שאתרי קופונים וחבריהם בכלל יכנסו תחת הביקורת הזו), אבל מה שחשוב יותר הוא מה שהושמט מהתקנות.

בטיוטאת 2010 הופיעה תקנה מספר 15, אשר קבעה בזו הלשון: "מידע המצוי במאגר מידע שכבר אין בו צורך לתפעולו השוטף של המאגר, יימחק אלא אם קיים צורך על פי דין לשמורו לצרכי גיבוי; גיבוי כאמור ישמר בנפרד באופן שיפחית את סיכוני אבטחת המידע לשימוש לא מורשה בו".

התקנה הזו, לטעמי, היתה התקנה החשובה ביותר והמשמעותית ביותר, ומחיקתה היא הליכה בכיוון הלא-נכון. הכלל החשוב באבטחת מידע הוא שכל מידע מיותר הוא סיכון ואין טעם לשמור אותו; לכן, לדוגמא, הרשות מקדמת הנחיה שתאסור שמירת מספרי תעודות זהות שלא לצורך. העקרון של מזעריות הסיכון מקדש את המטרה של הזכות החוקתית לפרטיות: יש לשמור על מידתיות ולא לשמור מידע מעבר לנדרש, ויש לדאוג לכך שהמידע שנשמר ישמש רק למטרה ראויה.

נכון, כעקרון אפשר היה לגזור את החובה הזו כעניין של פרשנות מתוך תקנה 2 שקובעת כי יש לבנות את המאגר בצורה שתמזער את הסכנות, אבל מבחינת ההבנה, מרגע שהכניסו חובה כזו, להעלים אותה עכשיו אומר הרבה.

קשה לדמיין שהסיבה שהתקנה נמחקה בין הטיוטות היתה טעות משרדית; מדובר בנקיטת עמדה מכוונת שאומרת "למרות שיש תקנות נהדרות שמקדמות את הזכות לפרטיות, ולצד כל החובות הרבות שמטילים על בעל מאגר מידע ועלויות מרשימות, אנחנו נאפשר לו לשמור גם מידע שהוא לא חייב לשמור לצורך הפעלת המאגר". זו בעיה שחייבים לטפל בה; הסיבה לכך? דווקא היום, בעולם בו אנו יודעים שהכל דולף, צריך למזער את המידע שילדוף, לכשידלוף.

אחד הדברים שחשוב לעשות כשמסתכלים על ההיסטוריה של מסמך הוא לחפור, לבצע את הארכיאולוגיה שלנו ולראות מה השתנה; אולי תגלו לפעמים דברים נפלאים.

0.
אחד הדברים היפים שקורים בחזית הטכנולוגית בשנתיים-שלוש האחרונות הוא ההפרדה בין 'יכול' ל'מותר' שהופכת להיות חדה יותר ויותר. בעבר, התפישה החוקית היתה שאם דבר מסוים הוא פומבי, הרי שהוא הופך להיות חלק מנחלת הכלל ומותר לשימוש. לדוגמא, בתיקים שצצו בראשית האינטרנט, עלתה השאלה האם הפעילות של מנועי חיפוש כמו גוגל חוקיים. כלומר, באו בעלי אתרים וטענו שמנועי חיפוש אשר סורקים את האתר פוגעים בזכויות הקנייניות שלהם, ולכן אסור להם לזחול באתר (נניח, Kelly v. Arriba Soft Corp., 77 F. Supp. 2d 1116 – Dist. Court, CD California 1999). הפסיקה הכירה בכך שמותר לאסוף מידע ציבורי ולייצר לו ערך מוסף, כמו במנועי חיפוש, ושיש לכך ערך חיובי. לדוגמא, בישראל, נפסק כי אין מניעה לאסוף מידע ציבורי ולייצר ממנו לוחות מודעות (נניח, א 1074/05 מעריב הוצאת מודיעין בע"מ נ' אול יו ניד בע"מ ואח', ת"א 5310-08 קווי מידע ופרסום בע"מ נ' בל תקשורת פרסום ויחסי ציבור ואח').

1.
אלא, שככל שזה נוגע לפרטיות, יש הנחיות יפות לאחרונה, שאומרות 'הגם שהמידע שאתם מעבדים הוא ציבורי, עדיין הצבירה שלו היא בעייתית מבחינת פרטיות ואסור לכם לעשות זאת'. זאת שיטת הכמות עושה איכות שבארצות הברית באה לידי ביטוי באיסור על מעקב באמצעות מכשירי GPS, הגם שאותו אדם מתנייד במרחב הציבורי (Maynard v. Unites States) ובפסיקה של בית המשפט המחוזי בישראל ש"מצבור של פרטים, שכל אחד לבדו אין בו משום פגיעה חמורה בפרטיות, הרי שביחד עם אחרים הם יעלו כדי פגיעה חמורה בפרטיות" (עא 2319/08 פלוני נ' פלונית, ראו גם). לכן, דווקא ההחלטה המעניינת של הנציבות האירופית מהשבוע שעבר עושה טוב לאוזן.

2.
הנחיה חדשה של האיחוד האירופי אוסרת על שירותי רשת להשתמש בתמונות לצורך זיהוי ביומטרי ללא קבלת הסכמה מפורשת; (ההחלטה המלאה, PDF); בפועל, ההגיון של ההחלטה הוא כזה: נכון, ניתן היום לבנות מנוע חיפוש שאוסף שלל תמונות מהרשת ומאנדקס אותן, ניתן גם לייצר פרופיל ביומטרי על כל אחת מהתמונות ולנסות לשייך אותן אחת לשניה (וFace.com עושים זאת יפה מאוד); אבל, בשביל לעשות זאת, יש לקבל היתר ממי שצולם בתמונה, או לפחות ממי שצילם אותה. לפי ההחלטה:

The images obtained by search engine were displayed with the intention for viewing and not for acquisition by a facial recognition system. The search engine provider would be required to obtain consent from the data subjects to be enrolled into the second facial recognition system.

3.
כך גם בנוגע לשימוש במערכות לזיהוי פנים על ידי רשתות חברתיות (ובמיוחד Facebook). נכון לעתה, Facebook מפעילה, ככל הנראה, מערכת של זיהוי פנים בין התמונות שמועלות, אך היא מאפשרת למשתמשיה לבטל את האפשרות 'להציג לחברים את הזיהוי האוטומטי'. כלומר, לא בטוח שהיא לא מחזיקה מאגר של המשתמשים שביטלו את האפשרות, אלא היא פשוט לא מודיעה לחברי המשתמשים כי הם תויגו בתמונות. כעת, לפי ההחלטה למשתמשים רשומים תהיה האפשרות לבחור האם לרשת החברתית יורשה לעבד את התמונה או לא, לא רק האם להציג אותה לאחרים.

registered users must also have been given a further option as to whether or not they consent to their reference template to be enrolled into the identification database. Non-registered users and registered users who have not consented to the processing will therefore not have their name automatically suggested for a tag because images in which they appear will produce a “no-match” result.

4.
המהפכה האמיתית היא בתפיסה של הצברת מידע. כלומר, היום מדובר על ביומטריה פשוטה, על זיהוי פנים. מחר ידובר על מידע סודי\פרטי\אישי של אדם, שניתן יהיה לאבחנה ממידע אחר. כלומר, דמיינו מצב שבו ההנחיה לא היתה נוגעת לזיהוי פנים, אלא דווקא למידע על היסטוריה תעסוקתית או על עבר מיני, האם ניתן היה לאסור על מנועי חיפוש לאנדקס מידע כזה על ידי זחילה של אתרים כמו LinkedIn? אני בספק.

לא כל כך נעים לראות אתר סגור; זה במיוחד נכון כאשר מדובר על אתר MegaUpload שנסגר בסוף השבוע האחרון על ידי הרשויות הפדראליות בארצות הברית לאחר חשד להפרת זכויות יוצרים שבוצעו על ידי האתר עצמו, וחשוב לזכור את זה: האתר עצמו, שכן החוק בארצות הברית אומר בצורה די ברורה שאתרי אינטרנט לא יהיו אחראים לתוכן הגולשים אם הם הפעילו מדיניות של הודעה והסרה (ראו את סעיף 512 לחוק זכויות היוצרים האמריקאי 00-55902 UMG v. Veoh), או כאשר מדובר על סגירת אתרים בישראל ללא צו שיפוטי.

אבל לעיתים סגירה של אתרים היא משהו הכרחי (ותודה לחץ על ההפניות); בשבוע שעבר הוציאה הרשות למשפט וטכנולוגיה צו לסגירה של מספר אתרים אשר התראחו בשרת אשר ככל הנראה לא שמר על נהלי אבטחת המידע והיה מעורב בפרשת ההאקרים הסעודים האחרונה. אחד המכתבים ששלחה הרשות מצא עצמו, ככל הנראה, לאינטרנט (ביחד עם תגובת החברה המעורבת) ועולה השאלה מה בדיוק הסיבה לסגירת האתרים.

כאמור, הרשות מפרטת באותו מכתב כי ככל הנראה המידע שאוסחן על אותה ספקית אירוח דלף בפרשה, וכי בכך יש חשד להפרה של חובות אבטחת המידע שקיימות על בעל כל מאגר מידע (ובתוך זה גם בעל מאגר מידע שמפעיל אתר אינטרנט). החוק בעניין הזה די סתמי. סעיף 17 לחוק הגנת הפרטיות קובע כי "בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע". החוק עצמו לא מגדיר מהי אבטחה, לא קובע את הסטנדרטים, לא דורש הצפנה ולא אומר שום דבר בעצם לגבי אבטחה.

אבל, רשם מאגרי המידע פרסם מספר הנחיות שמגדירות את הדרך לאבטחת מידע, ובכלל זה הנחיה על אבטחת מידע במיקור חוץ. ההנחיה חלה על מי שלא מנהל בעצמו את מאגר המידע שלו (נניח, אתרי אינטרנט שמחזיקים את מסד הנתונים שלהם אצל ספק האירוח), אבל חושב לזכור שהפרשנות שלה מאפשרת לנו להבין מהי מידת הסבירות של אבטחת המידע.

אבל קודם כל, מהו מאגר מידע? סעיף 7 לחוק הגנת הפרטיות מגדיר מאגר כ"אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב"; המילה "ממוחש" קריטית כאן כיוון שהכלל הוא שהוראות מאגרי המידע לא חלות על מאגרי נייר. מידע, לצורך המאגר מוגדר כ"נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו" ומידע רגיש מוגדר כ""נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו" או "מידע ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, שהוא מידע רגיש".

כלומר, די בכך שמאגר המידע מכיל מידע על מצב כלכלי של אדם או על צנעת אישותו (נניח, מידע על מהם המוצרים שאדם קנה) או מעמדו האישי (נניח, האם הוא נשוי), או אפילו על אישיותו (מיהם החברים שלו) כדי שהוא יוגדר כמאגר מידע בחוק. מאגר כזה, על פי סעיף 8 לחוק הגנת הפרטיות, חייב ברישום אם מתקיימים אחד מהתנאים הבאים: הוא מכיל מידע על יותר מ10,000 אנשים, או שהוא מכיל מידע רגיש (וכמעט כל מאגר הוא כזה), הוא מכיל מידע על אנשים שלא נמסר על ידם, מטעמם או בהסכמתם (נניח, אם מדובר במנוע חיפוש או מאגר נתונים עסקיים), הוא של גוף ציבורי או הוא משמש לדיוור ישיר. בפועל, כמעט כל מאגר חייב ברישום אבל אף מאגר לא נרשם.

לאחר הרישום, והתחלת פעילות המאגר, יש לאבטח את המאגר. אבל כיצד הרשות למשפט, טכנולוגיה ומידע מפרשת את החובה הזו? אם נתרשם מהמכתבים האחרונים, היא רואה את הפרשנות של הוראות מיקור החוץ כקריטריונים לדרך בה צריך לאבטח.  סעיף 3.1.4 להנחיות דן בחובות אבטחת המידע וקובע קודם כל שעל מנהל המאגר להחזיק מסמך אבטחה מחייב. כאשר מדובר על שימוש פנימי, ולא על מדיניות חוץ, המסמך לא צריך להיות שונה ממדיניות הפרטיות, שהיא המסמך שמסביר למי שהמידע מוחזק עליו מה השימושים שנעשים במידע ומהם פריטי המידע שמוחזקים עליו (ובכך מקיימים את חובת היידוע בסעיף 11 לחוק) וכן לאבטח את המידע לפי טיוטאת תקנות אבטחת מידע.

תקנה 2 קובעת כי בעל מאגר יוציא מסמך מחייב שיבהיר (1) מהם פרטי המידע שנשמרים במאגר; (2) מהם המטרות לשימוש במאגר; (3) יפרט האם מידע מהמאגר יוצא מחוץ לגבולות המדינה; (4) האם מחזיק מאגר המידע מעבד את המידע; (5) הסיכונים לפגיעה בשלמות המידע, בחשיפתו של המידע וכיצד הוא מתכנן להתמודד איתם.

לצורך הדוגמא, נדבר על חנות אלקטרונית שמוכרת מוצרי מזון לבעלי חיים; אותה חנות שומרת לא רק את פרטי הקשר של הלקוח אלא גם את רשימת ההזמנות הקודמות שלו. היא מתארחת בשרת שנמצא בארצות הברית וספק התשלומים שלה נמצא בישראל. אותה חברה צריכה להודיע למשתמשיה במדיניות פרטיות על המידע שהיא שומרת, וגם לפרט להם שהמידע מאוחסן בשרת בארצות הברית ועובר לספק התשלומים. היא עוד אמורה לפרט למשתמשיה כי במקרה של דליפה או פריצה, המידע שיחשף הוא אמצעי התשלום שלהם (אם היא שומרת אותם), פרטי הקשר שלהם ואף הרכישות האחרונות.

תקנה 3 קובעת כי על כל בעל מאגר מידע למנות "ממונה על אבטחת מידע" שצריך להיות עצמאי ותלוי רק בבעל המאגר. הממונה אמור להיות גם מי שמקבל תלונות אבל גם מי שמבצע את הבדיקות, ולכן כדי להמנע מניגוד עניינים, ראוי שהממונה לא יהיה מפתח האתר, אלא אדם עצמאי.

הממונה צריך לכתוב נהלי אבטחה (תקנה 4), אשר כוללים את רמת אבטחת המאגר, תיאור של רכיבי המערכת וקביעת הרשאות הגישה (לדוגמא, למנוע מכל אדם שעובד בחנות לראות את היסטורית הרכישות). במאגרים שחלה עליהם רמת אבטחה בינונית ומעלה (מאגרים שמשמשים לדיוור ישיר (רמה בינונית) או שמוגדרים ברמת אבטחה גבוהה (מאגרים גנטיים, מאגרים שמכילים מידע כלכלי, מאגרים שמכילים מידע על דעות פוליטיות, נטיות מיניות או מעשים מיניים, עבר פלילי, נתוני תקשורת (שיחות או ביקור באתרי אינטרנט), מידע ביומטרי)) יש עוד לדאוג שההנחיות יכללו הוראות על רמת האבטחה הפיסית (כלומר הגישה הפיסית לשרת), אבטחת התקשורת והאחסון, גיבויים ושחזורים ובדיקות תקופתיות.

כלומר, נהלי האבטחה לא רק שצריכים להיות מקיפים, אלא במאגרים רגישים יותר (ברמה הבינונית והגבוהה) צריכים לטפל גם באבטחה הפיסית של השרת (לא כל שרת באחסון משותף בסדר) ולבדוק שאין זליגת מידע בין האחסון הזה למאגרים אחרים.

תקנה 5 קובעת כי יש לערוך סקר סיכונים במאגרים ברמה בינונית ונמעלה; כלומר, על בעל המאגר לבדוק את מערכות החומרה ורכיבי התקשורת, לבדוק את ההתקנים הניידים בהם נעשה שימוש ואת מערכות התוכנה שמנהלות את המאגר (נניח, תוכנת הניהול). אבל הוא גם חייב לבחון את התוכנות המשמשות לתקשורת מחוץ למאגר ואת הרכיבים האחרים הדרושים להפעלת המאגר. במאגרים שאינם ברמה בינונית, יש רק לערוך פירוט של הרכיבים, ואין ממש חובה לבחון אותם.

תקנה 6 היא בעצם לב הפרשנות של חובת אבטחת המידע. כלשונה "אחראי המערכות יבטיח כי המערכות המפורטות בתקנה 5(א) יישמרו במקום מוגן, המונע חדירה אליו וכניסה בלי הרשאה והתואם את אופי פעילות המאגר ורגישות המידע בו"; שימו לב, למרות שיש חובה להגן על המאגר מגישה לא מורשית, אין חובה להצפין מידע ובמיוחד אין חובה להצפין מידע בצורה חד-כיווניית (כלומר, להצפין מידע כמו ססמאות, כך שאם המאגר ידלוף אלה לא יוכלו לשמש אנשים אחרים אינה חלק מהחובות כאן); במאגרים ברמה בינונית ומעלה יש גם צורך לתעד את הגישה למאגר. לדעתי האישית, וכדי להקטין את הנזקים האפשריים, עדיף להצפין מידע קודם כל ואם אין צורך במידע אלא רק לאימות שלו (נניח, במספרי תעודת זהות, כתובות דואר אלקטרוני שמשמשות לגישה לאתר או ססמאות) יש להשתמש בהצפנה חד-כיוונית.

תקנה 7 קובעת כי העובדים יודרכו בנוגע למידע הרגיש ונהלי אבטחת המידע, יחתמו על הוראות סודיות ויעברו הדרכות תקופתיות במאגרים ברמה בינונית ומעלה. תקנה 8 ממשיכה כיוון זה וקובעת כי הגישה תעשה רק על ידי עובדים שמורשים לכך (כלומר, עדיף ססמא לכל עובד ולא ססמאת מאסטר או גישה פתוחה למאגר); במאגרים ברמה בינונית ומעלה יש לדאוג לשאף עובד לא תהיה גישה למאגר במלואו אלא אם הדבר חיוני, וכי ביצוע פעולות חיוניות יהיה בשליטה של יותר מעובד אחד.

תקנה 9 ממשיכה את חובות התיעוד והניהול וקובעת כי הפעילות תבוצע רק על ידי עובדים מורשים וכי במאגרים ברמה בינונית או גבוהה יקבעו גם נהלים לגבי אורך הססמאות, החלפתן וכדומה. כמו כן, יש לדאוג כי עובדים שסיימו את עבודתם לא יוכלו להמשיך לגשת למאגר הרגיש.

תקנה 10 קובעת כי במאגרים ברמה בינונית ומעלה יש לערוך תיעוד של הגישה למאגר ושל נסיונות גישה שנכשלו, לשמור את המידע על הגישה לפחות לשנתיים וליידע את העובדים על העניין. תיעוד מסוג זה יכול לסייע בגילוי של שימוש לרעה במאגרי מידע בשירות המדינה (כמו בעשמ 3275/07 שמואל ציילר נ' נציבות שירות המדינה בו עובד במחלקת מיסוי מקרקעין הורשע בשליפת מידע שלא כדין) שכן מערכות ניהול ותיעוד גישה קודם כל ירתיעו את המשתמשים משימוש לרעה אבל גם ישמשו כדרך לגלות את דליפת המידע מאוחר יותר.

תקנה 11 מחייבת את אחראי האבטחה לנהל תיעוד של אירועי אבטחה ובמאגרים ברמה בינונית או גבוהה אף לקבוע נהלים לטיפול באירועי אבטחה.

תקנה 12 קובעת, בקצרה, כי העברה של מידע מחוץ למאגר על התקנים ניידים תעשה רק באופן שמונע שימוש לרעה בהם (כאן דווקא הצפנה נחשבת אמצעי סביר). תקנה זו נובעת, בין היתר, מכך שחדשות לבקרים שומעים אנו על כך שמאגרים שמכילים מידע רפואי נמצאים בזכרונות ניידים שנשכחים במקומות מסוימים, במאגרים ברמה גבוהה או בינונית יש גם לתעד את ההתקנים שנעשה בהם שימוש ולראות היכן נמצא כל אחד מהם, כמו גם להוציא אותם רק באישור של אחראי האבטחה.

תקנה 13 דורשת להפריד, באופן סביר, בין מערכות המידע הרגילות לבין מערכות מחשוב אחרות וכי מאגר המידע לא יחובר לרשת בלי מערכת המונעת גישה בלתי מורשית.

תקנה 14 דנה במיקור החוץ; לכך, כאמור, כבר פרסמה הרשות הנחיות. כשאנחנו מדברים על עולם של מערכות אחסון בענן, שירותי צד ג' שנותנים את ניהול מאגר המידע ועוד, ההנחיות יכולות להיות חשובות יותר ופי כמה. טיוטאת התקנות מדברת על בדיקת נחיצות ההתקשרות במיקור חוץ, כלומר ההנחה היא שאם ניתן לבצע את ניהול המאגר ברמה הפנימית, עדיף לעשות כן על להוציא את ניהול המאגר לגורם חיצוני. לי אישית יש הסתייגויות מהנושא, כי כאשר מדובר בניהול של מאגר מידע רגיש יחסית, עדיף שהוא ינוהל על ידי חברה שמודעת לסיכונים ויודעת לנהל מאגרים נוספים על חנות קטנה שאין לה את הידע. מנגד, מרגע שיותר מדי מידע נצבר במאגר מסוים, הוא הופך להיות יעד לתקיפה (כך היה במתקפת ההאקרים האחרונה, כאשר פרצו לאתר השכן שהתארח ודרכו גנבו, כנראה, את נתוני האשראי של כולם).

תקנה 15 קובעת כי מידע שאינו נחוץ ימחק. לדוגמא, אין צורך לשמור את פרטי כרטיס האשראי לאחר ביצוע החיוב, ולכן יש למחוק אותם. כמו כן, כל מידע שנמחק ימחק בצורה שאינה מאפשרת שחזור שלו, לא סתם באמצעות שליחתו לסל המחזור אלא על ידי השמדה של המידע. סביר להניח שהכוונה היא לכך שקודם כל במקום המידע יכתב מידע ריק וחסר משמעות, ורק לאחר מכן ימחק המידע, וכן שכל המידע הלא נחוץ יוסר מגיבויים קודמים. חשוב לזכור שאי עמידה בהוראה זו אינה שונה מפגיעה באבטחת המידע בכלל.

תקנה 16 קובעת כי במאגרים במידת אבטחה בינונית ומעלה יערכו גם בדיקות תקופתיות לבדיקת אבטחת המידע. גם אם אתם לא כאלה, אז כדאי להסתכל על שירותים כמו Kyplex או 6Scan שעורכים בדיקות תקופתיות לאבטחת המידע באתר שלכם, ובודקים אם תיקנתם את עדכוני האבטחה האחרונים.

תקנה 17 דנה בסוגיית הגיבויים, וקובעת שבמאגרים ברמת אבטחה בינונית ומעלה יערכו גיבויים לפחות אחת לשבוע (אני בכל מקרה ממליץ לגבות את המידע תמיד) וכן נהלי התאוששות לפתיחת הגיבויים. במאגרים שמוגדרים ברמת אבטחה גבוהה יש צורך שהגיבוי יהיה אף מחוץ למקום הרגיל של הארגון (כלומר, DRP: אפשרות להתאוששות במקרה אסון).

התקנות עצמן מראות שינוי מהפכני, ואני מקווה שיאומצו, גם אם הן חמורות מאוד. הבעיה עם התקנות היא המסובכות שלהן; לא מדובר בהנחיות קצרות לאבטחה ופרוטוקול אבטחה שיכול לאפשר ייצור של בדיקות אוטומטיות, אלא הן תקנות שמיצרות שוק לאנשי אבטחה. דרישות אלה עשויות להטיל עלויות כלכליות על עסקים קטנים שיהוו חסמים מכניסה לאינטרנט ולסחר אלקטרוני, ומכך צריך להזהר.

0.
בעוד שלושה ימים תתכנס ועדת המדע והטכנולוגיה של הכנסת לדון בצו ותקנות הדרושים לצורך הפעלת המאגר הביומטרי. הצו והתקנות דרושים על מנת להפעיל את המאגר הביומטרי ולקבוע הסדרי גישה אליו, וכן על מנת לקבוע את הקריטריונים לתקופת המבחן וההסדרים בו. כזכור בדצמבר 2009 קיבלה הכנסת את חוק המאגר הביומטרי הקובע כי יוקם מאגר ביומטרי שיאחסן את טביעות שתי האצבעות המורות של אזרחי ישראל וצילום פניהם. לאור מחאה ציבורית חריפה והתנגדות גורמים מקצועיים, הוחלט כי יחל פיילוט לתקופה של שנתיים בה תבחן הפעלת המאגר, ורק לאחר תקופת מבחן זו תחליט הכנסת האם לשוב ולהקים את המאגר או למחקו.

1.
לצורך התחלת תקופת המבחן נדרש שר הפנים לנסח תקנות וצו מבחן. התקנות נועדו להגדיר את הדרך בה יאסף מידע מאזרחי ישראל ואת המדדים להצלחת הניסוי. אלא, שעיון בתקנות ובצו מראה כי משרד הפנים, בנסחו את התקנות והצו, חרג מהוראות החוק. כך לדוגמא, משרד הפנים לא קבע בצו תנאים להצלחת הניסוי, מדדים להצלחה, יעדים ומטרות כנדרש בחוק. כמו כן, התקנות קובעות הסדר לפיו יאספו לא רק טביעות האצבעות המורות אלא גם טביעות אגודלים מאזרחים אשר לא ניתן לאסוף מהם את האצבעות המורות. הסדר זה מהווה הפרה של הוראות החוק, שמאפשרות למדינה לטול אך ורק את טביעות האצבעות המורות.

2.
תקנה 7(ב) קובעת כי "לא ניתן  ליטול מתושב תמונת טביעת אצבע מורה או תמונת טביעת אצבע העונה על דרישות האיכות המפורטות בתקנה 5(ב), יינטלו תמונות טביעת אצבע מורה אחת ואגודל אחד"; הדבר סותר במפורש את סעיף 2 לחוק, המגדיר "אמצעי זיהוי ביומטריים" כ"תמונת תווי הפנים של אדם ותמונות שתי טביעות האצבעות המורות של אדם שניתן להפיק מהן נתוני זיהוי ביומטריים". כלומר, למרות שהחוק מגדיר כאמצעי זיהוי אך ורק את טביעות האצבעות המורות, הרי שהמדינה רוצה עוד אצבעות, פתאום. זו גם הוראת החוק, סעיף 16(ב) לפקודת הפרשנות קובע כי "לא תהא תקנה סותרת הוראותיו של כל חוק" וכך גם קבע בית המשפט העליון:

"תקנה אין בכוחה לסתור, אמנם, הוראותיו של כל חוק, ואולם כך רק "אם אין כוונה אחרת משתמעת" (סעיף 16 רישה לפקודת הפרשנות); ולענייננו: אם אין כוונה אחרת משתמעת מהוראת החוק אשר הסמיכה את שר האוצר להתקין את תקנות הנכות. השאלה היא אפוא זו: היש בה בהוראת סעיף 9(5)(א)(ב) לפקודה הסמכה, במפורש או מכללא, לקבוע קביעה הסותרת את הוראת סעיף 160(א)? עד שנשאל וידענו כי התשובה לשאלה היא בשלילה. פירוש הדברים הוא, אם כן, שהוראת סעיף 9(5)(א)(ב) לפקודה, ובעקבותיה תקנה 13 לתקנות הנכות, לא נתכוונה כלל לקרוא תִּיגָר על הוראת סעיף 160(א) לפקודה; דהיינו: יש לקרוא את הוראת תקנה 13 בגידרה ובחסותה של הוראות סעיף 160(א) לפקודה,  וידה של האחרונה על העליונה" (עא 3602/97 נציבות מס הכנסה נ' דניאל שחר)

3.
כך גם בנושא הנוסף: על פי הוראות סעיף 41 לחוק, על הצו לבחון "את נחיצות קיומו של מאגר ביומטרי ומטרותיו, את המידע שיש לשמור במאגר ואת אופן השימוש בו. בצו כאמור ייקבעו בפירוט העניינים שייבחנו בתקופת המבחן, המדדים להצלחתו ואופן קבלת ההסכמה מאת תושבים להחלת הוראות החוק". עיון מעמיק בצו מגלה לנו כי השר הפנים כלל לא טרח להגדיר מדדים לבחינת נחיצות קיומו של מאגר ביומטרי ולא הגדיר מדדים להצלחה. ככל הנראה, סידר לעצמו משרד הפנים חיים קלים כאשר החליט שאינו מעוניין כלל לדון בשאלה האם הניסוי הצליח, אלא רק להגדיר את הניסוי.

4.
לכן, ביום חמישי יוכלו מספר פרלמנטרים לבחור: האם הם מבצעים את תפקידם ומפקחים על הממשלה, או האם הם נכנעים והופכים לחותמת הגומי שלה.

[פורסם במקור בעבודה שחורה]

האם לוחית הרישוי שלך היא מידע פרטי? או ליתר דיוק, האם מאגר שמאפשר לדעת מי האדם העומד מאחורי לוחית רישוי מסוימת הוא מאגר המכיל מידע פרטי. זו שאלה מעניינת שמציבה באמפ.קום. באמפ היא רשת חברתית לנהגים המאפשרת להם לתקשר אחד עם השני על בסיס לוחית הרישוי שלהם ולקבל מידע. מעבר לכך, באמפ גם שומרת מידע על לוחיות הרישוי של מי שלא נרשם לשירות, אך ללא המידע המזהה מאחוריו.

כשחושבים על זה, לוחיות הרישוי דומות מאוד לסוגיית פרטיות כתובת הIP של אדם כפי שעלתה ברע"א 4447/07 רמי מור נ' ברק: כתובת הIP של אדם היא פרט מידע שנוצר בצורה אגבית על מנת לאפשר לפעולות אדמיניסטרטיביות מסוימות להתרחש, וניתנת להצלבה עם שמו במקרים מסוימים. כך גם לוחית הרישוי: היא מוחזקת במאגר מרכזי (או לא מרכזי) ולכל אדם יש את הלוחית שלו, אפשר יחסית בקלות לזהות את בעלי לוחית הרישוי על ידי צפיה באדם הנוהג ברכב, אך כל עוד אין זיהוי המאפשר להצליב בין פניו של אדם לבין מידע אחר עליו, לא ניתן לקבל אלא את המידע שאותו אדם בחר לחשוף (כדוגמאת מדבקות המעידות על השתייכות פוליטית).  לדוגמא, אם רכב מסוים היה מעורב בתאונת פגע וברח שגרמה לנזק, לאדם אין את האפשרות לפנות לבית המשפט על מנת לקבל מידע זה, אלא רק למשטרה (כמו גם לגבי כתובת IP). ואם אני יודע את זהות [הנהג |  מחזיק כתובת הIP], אני יכול להצליב זאת בנקל. אכן, האיחוד האירופי החליט שכתובות IP הן מידע פרטי, אבל מה לגבי לוחיות רישוי?

CC-BY-SA Tim Patterson

באמפ, לראשונה, מעלה בעיה אמיתית: עצם קיומו של מאגר, גם אם מבחירה (אם כי לא בהכרח מבחירה) המאפשר חיפוש בעלויות על רכבים, הצלבתם עם נתוני תעבורה ומידע נוסף וניהול מוניטין של נהגים (גם ללא הסכמתם) מייצרת בעיית פרטיות ובעיית אבטחה. מעבר למדיניות הפרטיות העמומה של באמפ שלא מאפשרת לדעת מהם השימושים המדויקים הנעשים במידע, הרי שפילוח של אנשים שלא בהסכמתם עשויה לייצר כאן בעיה נוספת: המערכות של באמפ מזהות את הנהגים על סמך מספר הרישוי. כך, לדוגמא, אפילו אם אני לא משתמש רשום (ולכן לא הסכמתי למדיניות הפרטיות) יכול להווצר פרופיל על אודותי כיוון שאני נוהג ברכב מספר X, ובמאגרים נשמר מידע על הפילוח ההתנהגותי שלי. על סמך כך, שלטי חוצות או פרסום חכמים יכולים לפנות לבאמפ על מנת לקבל מידע שיכול להציג עבורי פרסומות מפולחות.

הצגה כזו של פרסומות תהווה פגיעה בפרטיות שלי, היא תשתמש במידע שלי (וראו את החלטת בית המשפט בארצות הברית הנוגעת למעקב מתמד אחר מכוניות) בניגוד לרצוני והסכמתי והיא תייצר שימושים בעייתיים במידע שאחרים יחפשו לעשות על גבי.

לוחיות רישוי דומות מאוד לכתובת IP: הן מאפשרות פרטיות יחסית ודורשות נקודת עוגן. הן דרושות על מנת לנהל את הרשת ולזהות את הפרטים בה בלי להשאיר פרטים מזהים. ההבדל העיקרי הוא שבעוד שכתובת IP אפשר להחליף, להסוות או לשנות אחת לכמה דקות, את לוחית הרישוי אי אפשר.

לפני מספר ימים משרד המשפטים פרסם תזכיר חוק הנוגע לתיקון חוק הגנת הפרטיות שנועד לחזק את ההגנה על מידע במאגרי מידע. הצעה זו, יחד עם תקנות אבטחת המידע החדשות שעומדות לצאת לדרך, מראות כי משרד המשפטים החליט להגן על המידע הפרטי ולקיים דיון משמעותי על חובות אלה. עם זאת, ובעיקר מתוך הבנה כי דרישת משרד המשפטים לסמכויות היא חיובית ומלאה רצון טוב, יש לזכור כי יש צורך לאזכן כאן בין לא מעט אינטרסים (וראו את מאמרו של עומר טנא בTheMarkerIT).

אחת הבעיות עם הצעת החוק, היא סמכויות החיפוש הרחבות שניתנות למחלקה במשרד המשפטים. לכאורה, מוגדר סוג חדש של מידע: "נתוני מערכת". בדומה ל"נתוני תקשורת" מתוך חוק נתוני תקשורת, הרי שנתוני מערכת הינם הMeta-data של המערכת: הארכיטקטורה והגישה. אלא שעם כל הרצון הטוב, נתוני מערכת אינם במיוחד מובהקים ולעיתים אף נדרשת העברת מלוא מאגר המידע כדי לאמת את נתוני המערכת.

למפקח על הפרטיות ניתנת סמכות נרחבת, לעיתים מדי, להכנס לחצרים על מנת לפקח על ההגנה על מידע במאגרי מידע. כך, לפי תזכיר החוק, סעיף 23י(ב)(1) רשאי המפקח לחדור לחומר מחשב שיש בו נתוני מערכת, ולבצע חדירה לחומר מחשב. ראוי לציין כי חדירה לחומר מחשב הינה עבירה פלילית בכל מקרה אחר, על פי הוראות חוק המחשבים. כלומר, למען מטרה ראויה כלשהיא, אשר אינה מובהרת דיו בחוק, ניתן לאפשר חדירה לחומר מחשב ופריצה של ממש של מנגנוני אבטחה. לדוגמא, מקרה בו הממונה מאמין שמתנהל מאגר מידע שאינו רשום, רשאי הממונה לפרוץ למחשב (בין אם על ידי כניסה לחצרים ובין אם בכניסה מרחוק) ואפילו לעשות במידע שימוש לצורך חקירת עבירות אחרות (סעיף 23יג). אלא שבנוסח יש לא מעט בעיות: בין היתר, הוא אינו תפור בצורה מידתית אלא יוצר הגנה מלאה למי שחודר לחומר המחשב ומחזיר אותנו להחלטת הרוב בOlmstead v. United States, 277 U.S. 438 (1928) שדחתה את הסברו האלמותי של השופט וורן ברנדייס, בהשאלה, כי "כאשר מקרים בלתי חוקיים אלה בוצעו, הרי שהם בוצעו על ידי הקצינים כאינדיבידואליים. הממשלה היתה חפה מפשע, במבט משפטי; כיוון שאף קצין פדראלי אינו מוסמך לבצע עבירה בשם מדינתו. כאשר הממשלה, בידיעה מוחלטת ובאמצעות משרד המשפטים, מזמנת עצמה לפירות של פעולות אלה בכדי להגשים את מטרותיה, היא נטלה את האחריות המוסרית למעשי קציניה".

החשש הממשי משימוש לרעה בסמכויות, למרות איכות כח האדם ברשות למשפט, טכנולוגיה ומידע היא משמעותית: אין צורך בחקיקה אשר מרחיבה את פקודת סדר הדין הפלילי (מעצר וחיפוש) יתר על המידה ומקימה גוף נוסף שרשאי לא רק לפקח, אלא להכנס אף ללא צו למחשבים של אזרחים. הדבר חמור שבעתיים כאשר מסתכלים על האופי האוניברסאלי של הרשת: הרי אתר כדוגמת פייסבוק אינו מנהל מאגר מידע ישראלי, אך לכאורה, לפחות לפי עמדת משרד המשפטים בבש 90861 (מחוזי תל-אביב) קרלטון נ` היחידה הארצית לחקירות הונאה הרי שכל אתר אינטרנט המחזיק מידע על ישראלי וזמין לישראלים כפוף להוראות חוק הגנת הפרטיות. מצב כזה יאפשר, לדוגמא, קבלת צו מבית המשפט (או חמור מכך, חדירה ללא צו) וצפיה במידע בשרתים. מצב כזה לא רק שהופך לאבסורדי, אלא גם יעודד החזקת מאגרי מידע מחוץ לישראל שכן לא תתאפשר גישה פיזית למאגר, ותרחיק את המאגרים מפיקוח.

המלצות דו"ח ועדת שופמן, אשר בעקבותן הוגשו תיקוני החקיקה לא דיברו אפילו בקירוב על הנושאים האלה. המלצות שופמן, בין היתר, באו לבטל את חובת הרישום של מאגרי מידע כיוון שאלה הפכו למיותרים בעידן בו כל אתר אינטרנט המיועד למסחר זעיר יהיה חייב לרשום, והמליצו להחליפו בסטנדרטים ראויים של אבטחת מידע ובחובות רישום רק למאגרים אשר סוחרים במידע. אולם, בחירתו של משרד המשפטים להגדיל את הסמכויות שיש לו מבלי להגדיל את החירויות של האזרחים יוצרת כאן חשש של ממש שבחירה סלקטיבית ביישום נועדה להיות לא-מידתית במתכוון.

מעבר לכך, העובדה כי לשון סעיף 23י אינו ברורה דיו כדי להבהיר האם הצו ניתן במעמד צד אחד, או ex-parte והאם ניתן לערער על הצו, מראה כי העבודה שהושקעה בחשיבה על צווים מסוג זה אינה מספקת ויש עדיין זמן לשקול את החקיקה מחדש.

החקיקה המוצעת אינה ראויה מסיבות הגיוניות: היא מקבעת מצב שכבר במועד החקיקה אינו הגיוני, כאשר מאגר המידע כלל לא נמצאים ב"חצרים", אלא ככל הנראה באחסון מבוסס ענן, כשחדירה לחומר מחשב ככל הנראה אינה אפשרית ללא ידיעת הססמא (וראו Boucher v. State, United States District Court for the District of Vermont, 2007 WL 4246473), כשיש מיליוני מאגרי מידע בישראל ומעט מאוד מאגרים רשומים, הרי שהצעת חוק שנועדה רק להגדיל את סמכויות הרשות ולא לאפשר לה לאכוף היא מיותרת שוב.

[עותק מהפוסט נשלח למחלקת תזכירי חקיקה במשרד המשפטים]