לפני מספר ימים משרד המשפטים פרסם תזכיר חוק הנוגע לתיקון חוק הגנת הפרטיות שנועד לחזק את ההגנה על מידע במאגרי מידע. הצעה זו, יחד עם תקנות אבטחת המידע החדשות שעומדות לצאת לדרך, מראות כי משרד המשפטים החליט להגן על המידע הפרטי ולקיים דיון משמעותי על חובות אלה. עם זאת, ובעיקר מתוך הבנה כי דרישת משרד המשפטים לסמכויות היא חיובית ומלאה רצון טוב, יש לזכור כי יש צורך לאזכן כאן בין לא מעט אינטרסים (וראו את מאמרו של עומר טנא בTheMarkerIT).

אחת הבעיות עם הצעת החוק, היא סמכויות החיפוש הרחבות שניתנות למחלקה במשרד המשפטים. לכאורה, מוגדר סוג חדש של מידע: "נתוני מערכת". בדומה ל"נתוני תקשורת" מתוך חוק נתוני תקשורת, הרי שנתוני מערכת הינם הMeta-data של המערכת: הארכיטקטורה והגישה. אלא שעם כל הרצון הטוב, נתוני מערכת אינם במיוחד מובהקים ולעיתים אף נדרשת העברת מלוא מאגר המידע כדי לאמת את נתוני המערכת.

למפקח על הפרטיות ניתנת סמכות נרחבת, לעיתים מדי, להכנס לחצרים על מנת לפקח על ההגנה על מידע במאגרי מידע. כך, לפי תזכיר החוק, סעיף 23י(ב)(1) רשאי המפקח לחדור לחומר מחשב שיש בו נתוני מערכת, ולבצע חדירה לחומר מחשב. ראוי לציין כי חדירה לחומר מחשב הינה עבירה פלילית בכל מקרה אחר, על פי הוראות חוק המחשבים. כלומר, למען מטרה ראויה כלשהיא, אשר אינה מובהרת דיו בחוק, ניתן לאפשר חדירה לחומר מחשב ופריצה של ממש של מנגנוני אבטחה. לדוגמא, מקרה בו הממונה מאמין שמתנהל מאגר מידע שאינו רשום, רשאי הממונה לפרוץ למחשב (בין אם על ידי כניסה לחצרים ובין אם בכניסה מרחוק) ואפילו לעשות במידע שימוש לצורך חקירת עבירות אחרות (סעיף 23יג). אלא שבנוסח יש לא מעט בעיות: בין היתר, הוא אינו תפור בצורה מידתית אלא יוצר הגנה מלאה למי שחודר לחומר המחשב ומחזיר אותנו להחלטת הרוב בOlmstead v. United States, 277 U.S. 438 (1928) שדחתה את הסברו האלמותי של השופט וורן ברנדייס, בהשאלה, כי "כאשר מקרים בלתי חוקיים אלה בוצעו, הרי שהם בוצעו על ידי הקצינים כאינדיבידואליים. הממשלה היתה חפה מפשע, במבט משפטי; כיוון שאף קצין פדראלי אינו מוסמך לבצע עבירה בשם מדינתו. כאשר הממשלה, בידיעה מוחלטת ובאמצעות משרד המשפטים, מזמנת עצמה לפירות של פעולות אלה בכדי להגשים את מטרותיה, היא נטלה את האחריות המוסרית למעשי קציניה".

החשש הממשי משימוש לרעה בסמכויות, למרות איכות כח האדם ברשות למשפט, טכנולוגיה ומידע היא משמעותית: אין צורך בחקיקה אשר מרחיבה את פקודת סדר הדין הפלילי (מעצר וחיפוש) יתר על המידה ומקימה גוף נוסף שרשאי לא רק לפקח, אלא להכנס אף ללא צו למחשבים של אזרחים. הדבר חמור שבעתיים כאשר מסתכלים על האופי האוניברסאלי של הרשת: הרי אתר כדוגמת פייסבוק אינו מנהל מאגר מידע ישראלי, אך לכאורה, לפחות לפי עמדת משרד המשפטים בבש 90861 (מחוזי תל-אביב) קרלטון נ` היחידה הארצית לחקירות הונאה הרי שכל אתר אינטרנט המחזיק מידע על ישראלי וזמין לישראלים כפוף להוראות חוק הגנת הפרטיות. מצב כזה יאפשר, לדוגמא, קבלת צו מבית המשפט (או חמור מכך, חדירה ללא צו) וצפיה במידע בשרתים. מצב כזה לא רק שהופך לאבסורדי, אלא גם יעודד החזקת מאגרי מידע מחוץ לישראל שכן לא תתאפשר גישה פיזית למאגר, ותרחיק את המאגרים מפיקוח.

המלצות דו"ח ועדת שופמן, אשר בעקבותן הוגשו תיקוני החקיקה לא דיברו אפילו בקירוב על הנושאים האלה. המלצות שופמן, בין היתר, באו לבטל את חובת הרישום של מאגרי מידע כיוון שאלה הפכו למיותרים בעידן בו כל אתר אינטרנט המיועד למסחר זעיר יהיה חייב לרשום, והמליצו להחליפו בסטנדרטים ראויים של אבטחת מידע ובחובות רישום רק למאגרים אשר סוחרים במידע. אולם, בחירתו של משרד המשפטים להגדיל את הסמכויות שיש לו מבלי להגדיל את החירויות של האזרחים יוצרת כאן חשש של ממש שבחירה סלקטיבית ביישום נועדה להיות לא-מידתית במתכוון.

מעבר לכך, העובדה כי לשון סעיף 23י אינו ברורה דיו כדי להבהיר האם הצו ניתן במעמד צד אחד, או ex-parte והאם ניתן לערער על הצו, מראה כי העבודה שהושקעה בחשיבה על צווים מסוג זה אינה מספקת ויש עדיין זמן לשקול את החקיקה מחדש.

החקיקה המוצעת אינה ראויה מסיבות הגיוניות: היא מקבעת מצב שכבר במועד החקיקה אינו הגיוני, כאשר מאגר המידע כלל לא נמצאים ב"חצרים", אלא ככל הנראה באחסון מבוסס ענן, כשחדירה לחומר מחשב ככל הנראה אינה אפשרית ללא ידיעת הססמא (וראו Boucher v. State, United States District Court for the District of Vermont, 2007 WL 4246473), כשיש מיליוני מאגרי מידע בישראל ומעט מאוד מאגרים רשומים, הרי שהצעת חוק שנועדה רק להגדיל את סמכויות הרשות ולא לאפשר לה לאכוף היא מיותרת שוב.

[עותק מהפוסט נשלח למחלקת תזכירי חקיקה במשרד המשפטים]