אריכטקטורה של אבטחה רעועה.

0.
משרד המשפטים פרסם אמש תזכיר תיקון לחוק הגנת הפרטיות, אשר בגדול משנה את תפישת הפרטיות שלנו ואת הדרך בה אנו מתייחסים למאגרי מידע (לנוסח התזכיר); שינוי זה, יחד עם סיום כהונתו הקצובה של עו"ד יורם הכהן, ראש הרשות למשפט, טכנולוגיה ומידע מהווה סימן ששנת 2012 אכן היא השנה בה הפרטיות הפכה להיות זכות שמדברים עליה ומתייחסים אליה, ולא נחלתם של מספר קשקשנים. השינוי המהותי העיקרי בתזכיר החוק הוא אימוץ מסקנות ועדת שופמן (ולא רק את החלק הרע שבהן) ולבטל את חובת הרישום על מאגרי מידע.

1.
כיום, רישום מאגר מידע הוא הליך פשוט טכנית, אך מטיל חסם כלכלי ובירוקרטי על הפעלה של טכנולוגיות חדשות. נניח שאני מעוניין לפתוח אתר שעוסק במסחר אלקטרוני, הרי שאני חייב לרשום את מאגר המידע (ולקבל אישור על הרישום) בטרם אחל את הפעילות (ראו סעיף 8 לחוק הגנת הפרטיות). כלומר, הרבה פעמים אדם שמעוניין לפתוח עסק חייב להמתין לאישור הבירוקרטי הזה. מנגד, ההיתר הזה של "מאגר רשום" הרבה פעמים מהווה דרך שבה אנשים מעוניינים להכשיר פעילויות שאינן רצויות ואף אינן חוקיות, בטענה ש"אין מה לעשות, המאגר שלנו רשום במשרד המשפטים אז הכל כשר"; טענה זו לא שונה מכך שתרופות סבתא שונות היו "באישור משרד הבריאות" עד לא מזמן.

2.
אלא שהבעיה בתזכיר החוק היא לא ביטול חובת הרישום, אלא אי ההתייחסות לסידורי האבטחה במאגר. על פי הוראות תזכיר החוק החדש, בעל המאגר "יקיים סדרי ניהול וכללי עבודה הנדרשים לשם ניהול המאגר לפי הוראות חוק זה, יתעד את ביצועם במסמכים המתארים את אופן ניהול המאגר, השימוש בו, אבטחתו ומימוש זכויות נושאי המידע בו ויחזיקם מעודכנים"; כלומר, יש חובה לאבטח את המאגר ולהחזיק נהלים מסודרים. הבעיה היא שכאשר אנחנו מדברים על זכויות בעלי המידע (האנשים עליהם שמור המידע במאגר), הרי שאין להם את הזכות לדעת מהם הכללים, אלא רק פרטים על זהות בעל המאגר, מנהל האבטחה ופרטים על מטרות המאגר וסוגי המידע האגורים בו. בגדול, פרטי המידע הינם מתוך סעיף 9(ב) לחוק, ומתוך סעיף 7א(ב) לתזכיר החוק, והם חופפים קצת. לדוגמא, זהות בעל מאגר המידע, המחזיק במאגר ומנהל המאגר, ומעניהם בישראל מופיעה פעמיים (סעיף 9(ב)(1), אבל גם סעיף 7א(ב)(1-3)).

3.
העניין הוא מה שאין חובה לפרסם ולהביא לידיעת בעל המידע, ואלה נהלי אבטחת המידע של המאגר. כלומר, בא אדם, מבקש ממני מידע רגיש, ואומר לי מי הוא, ושאני לא חייב למסור את המידע, אבל אם אמסור אותו אני אוכל לקבל הנחות ומבצעים, ואז אני שואל אותו "ואיך אתה שומר על המידע שלי?" והוא אומר לי "אני לא חייב לענות לך על זה". זו בדיוק הבעיה הרצינית בתזכיר החוק; שדווקא את נהלי האבטחה (שהרשות למשפט, טכנולוגיה ומידע מוציאה נהלים כל הזמן בשביל לעדכן) הציבור לא צריך לדעת.

4.
נהלי אבטחת המידע חייבים להיות פומביים בכל מאגר; וזה מה שחסר בתזכיר: החוק צריך לבטא מצב שבו אם אין חובה לרישום, ואין איזה בירוקרט ששואל את בעל המאגר איך המידע מאובטח, אז הציבור (וחכמת ההמונים) יכולה לעשות את זה: כלומר, כל בעל מאגר מידע יהיה חייב להציג בפני הציבור את מסמך אבטחת המידע, ואישור של גורם עצמאי שבדק את מסמך האבטחה, מראה שהוא מספק ועומד ברמות סבירות ובדק שמסמך האבטחה תואם למצב בשטח.

5.
כל מצב אחר יהפוך את ביטול חובת הרישום להפקר אחד גדול. לדוגמא; בחודש שעבר פסק בית המשפט העליון בעניין עעם 1386/07 עיריית חדרה נ' שנרום; אותו המקרה היה רצון של חברה מסחרית לשלוח דיוור לכל תושבי העיר (דומה למה שקרה בעתמ (נצ') 62-10 ד"ר הנריק רוסטוביץ ושות, חברת עורכי דין נ' יצחק שריקי, הממונה על חוק חופש המידע בעיריית עפולה, כאשר חברת עורכי דין רצתה גישה למאגר העסקים הפועלים בעיר). פסק הדין ביטא גישה חדשה ושונה לזכות לפרטיות, שמכירה בזכותם של האזרחים להעזב בשקט; אבל הוא לא דן בהסדרים בהם צריכה אותה חברה שמקבלת מידע לאבטח אותו. הצורך שלנו לאבטח מידע ולמנוע שימוש לרעה ממנו מתגבר כאשר כל יום אנחנו רואים מה עושים עם מאגרים פרוצים: הפעם, אגב, זה פדופיל שפיתה נערות באמצעות פרטים ממרשם האוכלוסין.

6.
לכן, אם דעתי היתה נשמעת, הדרך הבטוחה היא לקדם לא רק רישום אלא גם הסדרה עצמית ותקינה עצמאית של מאגרי המידע: לתת לאנשי מקצוע שמוכנים לסכן את שמם לפקח על מאגרים; כאשר אם יש דליפה, ואם יש אי עמידה בנהלים ובהוראות הם נותנים את הדעת באחריות אישית.