איסור איסוף מספרי זהות: "הסוסים כבר ברחו"
מומחה לדיני מחשבים טוען כי הנחיית משרד המשפטים להגביל איסוף מספרי זהות מרחיקת לכת ודורשת שינוי בחוק הגנת הפרטיות. "הסוסים כבר ברחו מהאורווה, לא כשה'האקר הסעודי' פרץ, אלא כאשר המדינה אפשרה את דליפת מרשם האוכלוסין"
משרד המשפטים הציג הבוקר (יום א') טיוטת הנחיה בנוגע לאיסור על איסוף מספרי זהות "ללא הצדקה משמעותית", וקרא לציבור שלא למסור פרטים לפני שברור מי שומר עליהם וכיצד. עם זאת, מומחה בתחום טוען כי המדינה פועלת כעת לתקן נזקים שהיא בעצמה לא הצליחה למנוע, וגם מסביר בשיחה עם ynet מדוע ההנחיה לא עומדת לדעתו בקנה אחד עם חוק הגנת הפרטיות.
עוד בערוץ החדשות של ynet:
הקשישים נפגעו מהאש יום לפני סגירת בית האבות
לוחם "כיפת ברזל" הציל טכנאי רגע לפני שיגור טיל
שטייניץ: ההגבלה תוכל למוטט כלכלית את איראן
המסמך שהתפרסם להערות הציבור, קובע כי איסוף מספרי זהות במאגרי מידע טרם שנבחנה ונמצאה הצדקה לאסוף נתון זה - אסור. טיוטת ההנחיה מפרטת את התהליכים הנדרשים לצורך הבחינה,
ברשות למשפט טכנולוגיה ומידע (רמו"ט) במשרד מסבירים כי הצורך בפרסום ההנחיה התחדד לאחר שהתגלה כי פרטי מידע אישי שנשמרו במאגרי מידע נגנבו על ידי פצחנים (האקרים) ופורסמו באינטרנט בפרשה שכונתה "ההאקר הסעודי"; וכן בהמשך לדיונים שהתקיימו בוועדת המדע והטכנולוגיה בכנסת ובעקבות פניות מהציבור לגבי איסוף גורף של מספרי זהות על ידי גורמים עסקיים.
עו"ד חיים רביה, מומחה לדיני מחשבים ואינטרנט, חבר המועצה הציבורית להגנת הפרטיות לשעבר, אמר בהתייחס להנחיה כי "הסוסים כבר ברחו מהאורווה, אלא שהם לא ברחו בעת ש'ההאקר הסעודי' פרץ למאגרי נתונים וגנב מהם את מספרי תעודות הזהות וכרטיסי האשראי של עשרות אלפי אזרחים ישראלים. הם ברחו כאשר המדינה עצמה אפשרה את דליפת מרשם האוכלוסין ופנקס הבוחרים של ישראל, הזמינים ברשתות לשיתוף קבצים ברשת".
בנוגע להחלטה להקשות כעת על המגזר הפרטי אמר עו"ד רביה כי "כל נזק שעלול לנבוע ממאגרי מידע פרטיים, מחוויר לעומת הנזק שגרמה המדינה עצמה לפרטיות אזרחיה, כאשר התרשלה באבטחת מאגרי המידע הרגישים הללו. לא רק תעודות הזהות של כל אזרחי ישראל מצויים בהם, אלא גם תאריכי הלידה שלהם, כתובותיהם ועץ-משפחה הקושר אותם להוריהם וילדיהם. חמור מאוד שהמידע הזה לא הוצפן כהמלצת הרשות, גם אם דלף שנים לפני הקמתה של אותה רשות".
עו"ד רביה, שותף וראש קבוצת האינטרנט טכנולוגיות מידע וזכויות יוצרים במשרד "פרל, כהן, צדק, לצר", הוסיף כי "קודם שפונים למגזר הפרטי, ראוי שנבין אם וכיצד המדינה ורשויותיה עומדות בדרישותיה של הרשות. אדרבה, ימציאו לציבור דו"ח בעניין זה. אחרי הכול, דליפת המידע הגדולה בהיסטוריה של מדינת ישראל לא התרחשה בסקטור הפרטי אלא מתוך מאגרי המידע הממשלתיים הרגישים ביותר".
העו"ד, שכיהן בעבר כיו"ר ועדת מחשוב ארצית בלשכת עורכי הדין וכחבר בצוות הבדיקה להסדרי רישום מאגרי המידע בישראל, מסביר בנוגע להנחיה החדשה כי "הרשות מבקשת להחיל על המגזר הפרטי אמות מידה חמורות מאוד, שבהן, בעבר הקרוב לפחות, המדינה עצמה לא עמדה". מטרת ההנחיה, על כל פנים, ראויה: "הגנת המידע וזמינותו הן היבט חשוב מאוד של השמירה על פרטיות האזרחים".
האם ההנחיה החדשה של משרד המשפטים מרחיקת לכת? עו"ד רביה סבור שכן. לדבריו, "בכפוף להוראות חוק הגנת הפרטיות (התשמ"א 1981) ניתן לאסוף כל מידע אישי, כולל מספרי זהות, כל עוד עומדים בדרישות החוק. אחת ההוראות החשובות בחוק זה קובעת שכאשר פונים לאדם בבקשה לאגור את פרטיו, צריך להודיע לו אם הוא חייב לפי חוק במסירת אותם פרטים, מה ייעשה בהם ולמי יימסרו".
עו"ד רביה הוסיף כי "אם נמסרה לאדם הודעה כזו והוא בחר לאחריה למסור את פרטיו, הרי שנתן הסכמה מדעת לדברים. והנה, כל עוד ניתנה הסכמה מדעת, אפשר לאסוף מספרי תעודות זהות לביצוע, גם אם אין צורך עכשווי. ייתכן שאין זה נבון לאסוף אותם, כי צריך יהיה לאבטח את המאגר, אבל הדבר מותר. הרשות מבקשת לאסור זאת ובכך היא מרחיקה לכת מעבר להוראות החוק".
חוק הגנת הפרטיות קובע בסעיף 1 כי "לא יפגע אדם בפרטיות של זולתו ללא הסכמתו". עו"ד רביה טוען כי ההנחיה החדשה לא עומדת בסעיפי החוק. לדבריו, "הרשות מפקפקת בהנחייתה לגמרי באפשרות לקבל הסכמה מדעת מאדם כלשהו. היא תולה זאת בעיקר בכך שאין יחיד יכול לבדוק את רמת אבטחת המידע במאגר שאליו התבקש למסור את פרטיו ולהעריך את הסכנה אם ייחשפו הפרטים הללו. בכך היא חותרת תחת עיקרון יסודי בחוק הגנת הפרטיות והוא שההסכמה מרפאה כל פגיעה פוטנציאלית בפרטיות".
עו"ד רביה הוסיף בהקשר זה כי "אם אין די בהסכמה, נשאלת השאלה מה נדרש מעבר לה. כאן החוק הקיים שותק. אין פלא שהוא שותק, כי הוא מיושן והשעה להחליפו כבר הגיעה מזמן, אלא שמשרד המשפטים אינו ממהר להחליף את החוק, למרות שהרשות למשפט טכנולוגיה ומידע בעצמה המליצה לו לעשות זאת לפני כשלוש שנים. החוק הקיים אינו נותן מענה לשאלות יסוד הנוגעות אף לאירועים שביסוד ההנחיה הנוכחית. לדוגמה, אין בו התייחסות לשאלה אם יש למי שמספק שירותי אירוח לאתרי אינטרנט, אחריות או זיקה כלשהי לאבטחת מידע בהם".
בנוגע לסעיף הענישה, עו"ד רביה מזכיר כי "החוק קובע שמי שאינו נותן הודעה לאדם בדבר השימוש במידע ולמי יועבר, דינו מאסר שנה אחת. זוהי עבירה של אחריות קפידה - כלומר אינה טעונה הוכחת מחשבה פלילית. אין בחוק עבירה פלילית של אי-אבטחת מידע, בהבדל מעבירות הנוגעות לצד המנהלי של פעולת מאגרים, כדוגמת אי-ביצוע ממונה על אבטחת מידע".
"הטיוטה משקפת איזון נכון"
במשרד המשפטים אמרו הבוקר כי "החשיבות בהגנה על מידע אישי הכולל מספרי זהות, נובעת מהעובדה כי מספר הזהות הינו מספר ייחודי אשר מלווה אדם כל ימי חייו ואף לאחר מותו, ומאפשר לקשר בין פרטי מידע אישיים ורגישים אודותיו הנמצאים במאגרי מידע שונים".
עמדת הרשות למשפט טכנולוגיה ומידע במשרד המשפטים היא כי "טיוטת ההנחיה משקפת את האיזון הנכון בין ההכרה בצורך של גופים מסוימים לאסוף מספרי זהות, תוך עמידה בדרישות חוק הגנת הפרטיות, כפי שבאות לידי ביטוי בטיוטת ההנחיה, מחד, ומנגד, איסור איסוף מספרי זהות כאשר לא נמצאה הצדקה לעשות כן".
בין היתר מצוין בטיוטה כי על בעל המאגר ליידע בצורה מפורשת אם חלה על אותו אדם חובה חוקית למסור את מספר זהותו, או שמסירת המידע תלויה ברצונו ובהסכמתו; עליו להבהיר לאדם את המטרה לשמה מבוקש מספר הזהות כולל הסבר מדוע לא ניתן להשיג את המטרה של זיהויו בדרך אחרת. עוד יש למסור לאדם למי יימסר המידע בדבר מספר זהותו ומטרות המסירה. במשרד המשפטים מציעים למשל להשתמש ב"מספר לקוח" כחלופה למספר הזהות.
"מהלך של שינוי חשיבתי"
יורם הכהן, רשם מאגרי מידע וראש הרשות למשפט טכנולוגיה ומידע, אמר שטיוטת ההנחיה "אמורה להניע מהלך של שינוי חשיבתי על ידי עסקים לגבי האופן שבו נאסף מידע אישי. במקרים רבים אין צורך בזהות הוודאית שנותן הקישור למספר הזהות, ואיסופו יוצר בעיית אבטחת מידע לאומית. הגופים אשר כן נדרשים למידע זה יידרשו להגן על המידע באופן שהולם את הסיכונים, לרבות הצפנתם".
הכהן קרא לאזרחים "לא למסור בקלות את פרטי מספר הזהות שלהם, ולברר כבר היום עם העסקים המבקשים אותו לשם מה הוא נדרש, וכיצד הוא מוגן". לפי הטיוטה, ההנחיות ייכנסו לתוקף תוך שלושה חודשים מיום פרסומן לעניין איסוף מידע שיחל לאחר הפרסום, ושישה חודשים מיום הפרסום לעניין מידע שנאסף לפניו. "לאחר מועדים אלה יפעיל רשם מאגרי מידע את מכלול הסמכויות הקבועות לו בדין", צוין.
עוד אמר הכהן כי "ההנחיה הופכת את המשוואה וקובעת שאסור לאסוף את מספרי תעודות הזהות אלא אם כן יש הצדקה טובה מאוד כמו במקומות שהם יש חובה חוקית, בנקים או קופות חולים. בתום הזמן שנקבע בהנחיה, לרשם מאגרי המידע יש יכולות פיקוח שמאפשרות לו לסגור את מאגרי המידע ולהטיל קנסות. בנוסף יש חקיקה שמתגבשת עכשיו בכנסת שתגדיל את הסמכויות הללו".