על המחיקה [ועל תקנות אבטחת מידע]

בינואר 2010 פרסמה הרשות למשפט, טכנולוגיה ומידע טיוטא לתקנות בנושא אבטחת מידע והגנה על פרטיות, מאז ועד היום עמלה הרשות קשה, אבל מסיבותיה שלה לא הצליחה להפוך במשך למעלה משנתיים את טיוטאת התקנות לתקנות מאושרות. ביני לביני התרחשו לא מעט מקרים, ובשבוע שעבר עדכנה הרשות את טיוטאת התקנות, בין היתר בגלל פרשת 'ההאקר הסעודי'.  השינוי המשמעותי כנראה ביותר בהבדלים בין הטיוטאות הוא החובה לדווח על דליפת מידע והוספה של חובת דיווח על דליפה לרשות ולציבור.

טיוטאת תקנה 11 בתקנות של שנת 2010 שונה בצורה מהותית מהטיוטא של 2012; בכך שהתווסף סעיף קטן (ה) לתקנה, אשר מאפשר לרשות לחייב את בעל המאגר לדווח לאנשים עליהם המידע הוחזק כי המידע דלף. הפעילות הזו ברוכה (הגם שהיא קצת מוגבלת, וחלה רק על מאגרים ברמת אבטחה בינונית ומעלה, כך שלא בטוח שאתרי קופונים וחבריהם בכלל יכנסו תחת הביקורת הזו), אבל מה שחשוב יותר הוא מה שהושמט מהתקנות.

בטיוטאת 2010 הופיעה תקנה מספר 15, אשר קבעה בזו הלשון: "מידע המצוי במאגר מידע שכבר אין בו צורך לתפעולו השוטף של המאגר, יימחק אלא אם קיים צורך על פי דין לשמורו לצרכי גיבוי; גיבוי כאמור ישמר בנפרד באופן שיפחית את סיכוני אבטחת המידע לשימוש לא מורשה בו".

התקנה הזו, לטעמי, היתה התקנה החשובה ביותר והמשמעותית ביותר, ומחיקתה היא הליכה בכיוון הלא-נכון. הכלל החשוב באבטחת מידע הוא שכל מידע מיותר הוא סיכון ואין טעם לשמור אותו; לכן, לדוגמא, הרשות מקדמת הנחיה שתאסור שמירת מספרי תעודות זהות שלא לצורך. העקרון של מזעריות הסיכון מקדש את המטרה של הזכות החוקתית לפרטיות: יש לשמור על מידתיות ולא לשמור מידע מעבר לנדרש, ויש לדאוג לכך שהמידע שנשמר ישמש רק למטרה ראויה.

נכון, כעקרון אפשר היה לגזור את החובה הזו כעניין של פרשנות מתוך תקנה 2 שקובעת כי יש לבנות את המאגר בצורה שתמזער את הסכנות, אבל מבחינת ההבנה, מרגע שהכניסו חובה כזו, להעלים אותה עכשיו אומר הרבה.

קשה לדמיין שהסיבה שהתקנה נמחקה בין הטיוטות היתה טעות משרדית; מדובר בנקיטת עמדה מכוונת שאומרת "למרות שיש תקנות נהדרות שמקדמות את הזכות לפרטיות, ולצד כל החובות הרבות שמטילים על בעל מאגר מידע ועלויות מרשימות, אנחנו נאפשר לו לשמור גם מידע שהוא לא חייב לשמור לצורך הפעלת המאגר". זו בעיה שחייבים לטפל בה; הסיבה לכך? דווקא היום, בעולם בו אנו יודעים שהכל דולף, צריך למזער את המידע שילדוף, לכשידלוף.

אחד הדברים שחשוב לעשות כשמסתכלים על ההיסטוריה של מסמך הוא לחפור, לבצע את הארכיאולוגיה שלנו ולראות מה השתנה; אולי תגלו לפעמים דברים נפלאים.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *