משרדי הרשות לטכנולוגיה ומידע אינם נראים כמו שנראה משרד ממשלתי, אף שהרשות מהווה יחידה הפועלת במשרד המשפטים. על קירות המשרדים, במגדל הממשלה בקרייה בתל-אביב, תלויים פוסטרים של סרטי אקשן ומדע בדיוני, כמו מטריקס, "משחקי מלחמה" ואחרים. הפוסטרים הללו תלויים גם בתוך המחלקה החדשה שהחלה לפעול ברשות - מחלקת החקירות.
לפני כ-4 חודשים קיבלה הרשות הסמכה מהשר לביטחון פנים לקיים חקירות פליליות בחשד לעבירות על חוק נתוני אשראי וחוק הגנת הפרטיות, ובינתיים הוכשרו 5 חוקרים והותקנו חדרי חקירות, כולל חמ"ל טכני שבו ניתן לטפל בחומרות ותוכנות ממוחשבות.
לפי שעה לא הגיע עדיין שום נחקר לחדרי החקירות הללו, שעומדים עדיין מיותמים, אך ראש הרשות, עו"ד יורם הכהן, אומר כי כבר מתנהלות חקירות פליליות על-ידי המחלקה, אלא שאף אחת מהן עדיין לא הגיעה לשלב שבו מזמנים חשודים לתשאול באזהרה.
"אנחנו נמצאים היום בבנייה של מחלקת האכיפה", אומר הכהן, "בראשה עומדת נילי בך, שהיתה ראש צוות חקירות ברשות להגבלים עסקיים. יש דמיון בין הגופים, כי גם אצלנו רוב העבירות הן עבירות צווארון לבן, שיש להן היבטים כלכליים". אם יבשילו החקירות הללו לכתבי אישום, הרשות לא תנהל את המשפטים בעצמה אלא תיעזר בפרקליטות.
סמכויות החקירה הפלילית הצטרפו לשורה של כלים המצויים ממילא בידי הרשות - הסמכות לפקח על מאגרי מידע, לרבות מאגרי נתוני אשראי המצויים בידיים פרטיות, וכן על מאגרי מידע המצויים בידיים ממשלתיות, והסמכות להטיל קנסות מינהליים ועיצומים כספיים על מי שמפר את ההוראות הנוגעות להגנת הפרטיות בשמירה על המידע. "קו הגבול בין חקירה לפיקוח מינהלי איננו מוגדר עד הסוף", מודה הכהן, "אנחנו נמצאים בתהליכי גיבוש של תזכיר חוק שייתן תמונה מקיפה מתי צריך להטיל עיצום כספי, מתי לבצע אכיפה מינהלית ומתי ללכת לכתב אישום".
אלא שכלי הפיקוח האפקטיבי ביותר, נמצא לדבריו דווקא בידי הציבור - באמצעות הגשת תביעות ייצוגיות נגד גופים עסקיים המפרים את הוראות החוק וגורמים לפגיעה בפרטיות באמצעות המידע הנשמר בידיהם. כמו למשל, במקרה של חברת פלאפון, שהוגשה נגדה תובענה ייצוגית בעקבות חשיפת העובדה שהחברה שמרה בידיה הודעות אס-אם-אס שהעבירו לקוחותיה. "מאוד חשוב שהציבור יבין", אומר הכהן, "שיש לו ביד כלי אכיפה חזק מאוד, לפעמים אפילו יותר חזק מהרגולטור".
"אין מספיק מודעות מצד המדינה לסוגיית הפרטיות"
באופן חריג, מטפלת הרשות למשפט וטכנולוגיה לא רק במאגרי מידע המצויים בידיים פרטיות, אלא גם באלה הנמצאים בידי רשויות המדינה - המשטרה, הצבא, משרד הבריאות, משרד הפנים ועוד. במסגרת הפיקוח שמפעילה הרשות, טופלה הפרה שבוצעה על-ידי משרד הביטחון, שלא עמד בהוראות אבטחת מידע במסגרת פעולות מיקור-החוץ שנעשו למאגר מידע של אגף השיקום. הרשות נקטה באופן תקדימי סנקציה כלפי משרד הביטחון, כשהודיעה כי היא משעה את האפשרות של אגף השיקום לעשות שימוש במאגר המידע ונאסרה העברת מידע כלשהו מתוכו. בסופו של דבר החל משרד הביטחון בתהליך של ניתוח, בשיתוף הרשות, כיצד להתמודד עם שאלות של אבטחת המידע שבידיו.
על משרדי הממשלה גם מוטלת חובה למנות ממונים על הגנת הפרטיות לגבי כל מאגר מידע בנפרד. לפני כחצי שנה פירסם מבקר המדינה דו"ח שבו נקבע כי משרד הפנים לא מינה ממונה על אבטחת מידע כנדרש בחוק, וכן שמידע ממרשם האוכלוסין דלף ונמצא בידיים פרטיות, ואף מוצע למכירה באינטרנט. נוהלה אף חקירת משטרה כדי למצוא מהיכן דלף המידע, ואולם החקירה נכשלה, לאחר שהמשטרה הודיעה כי המידע נמצא בידיים כה רבות עד שלא ניתן לאתר מהיכן דלף.
"מה שנמצא בחוץ", מנסה הכהן להרגיע, "איננו הקובץ השלם של מרשם האוכלוסין. אל תבין אותי לא נכון, מה שדלף זה חמור ביותר, אבל מרשם האוכלוסין עצמו הוא הרבה יותר עשיר. באפליקציה שמסתובבת בחוץ יש מידע על קשרי משפחה בין תושבים".
* האם עצם העובדה שמידע כל-כך רגיש דלף, לא משדרת שהמדינה איננה יודעת לשמור על מאגרי המידע הרגישים שנמצאים בידיה?
"מה שזה אומר הוא שמידע כשלעצמו הוא נכס מאוד בעייתי, מאחר שהוא קל לשכפול, וזה אומר שהמדינה צריכה להשקיע הרבה יותר באבטחת מידע פרטי שנצבר אצלה. יש מאגרי מידע שהם יותר מוגנים ויש כאלה שפחות, אבל אין היום מספיק מודעות מצד המדינה לסוגיה של הפרטיות".
אחד ממאגרי המידע הרגישים ביותר הוא המאגר הביומטרי, שעל הקמתו החליטה בשבוע שעבר הכנסת, שאישרה בקריאה שנייה ושלישית את חוק המאגר הביומטרי. תהליך חקיקת החוק לווה בסערה ציבורית, נוכח הסכנה הצפויה מדליפה של מידע כה רגיש, ובסופו של דבר התקבלה הצעת פשרה, שלפיה בשנתיים הראשונות יהיה המאגר וולונטרי, ואזרחים לא יחויבו למסור מידע ביומטרי אודותיהם. במקרה כזה, הם לא יזכו בתעודת זהות חדשה "חכמה", אלא בתעודה הכחולה הנושנה.
"אם אתה שואל אותי", אומר הכהן, "הייתי שמח יותר אילו לא היה מאגר ביומטרי. כי אז היה פחות איום בדליפת מידע, אבל אני מקבל את ההכרעה הדמוקרטית, ואני לא חושב שהיא מופרכת לחלוטין. זה נכון שמידע שאיננו קיים לא צריך לאבטח אותו. בסיטואציות מסוימות, אי קיומו של המידע היא אבטחת המידע הטובה ביותר. אנחנו ליווינו את תהליך החקיקה של חוק המאגר הביומטרי בהיבט המקצועי, והכנסנו היבטים של הגנת פרטיות שנכנסו לחוק".
* המאגר הביומטרי באמת כל-כך חיוני?
"יש תכלית מסוימת של המאגר, שאי-אפשר לקיים אותה בלעדיו, או שאפשר אבל בעלויות מאוד גבוהות, וזו מניעה של הנפקה כפולה של תעודת זהות. מצד שני, יש סיטואציות שממילא לא נפתרות על-ידי הקמת המאגר הביומטרי. למשל, אם אדם מקבל מסמך זיהוי אחד, והמסמך הוא מזויף כי הוא קיבל זהות של מישהו אחר או אדם שנפטר, את זה המאגר הביומטרי לא פותר".
עם זאת, ברשות למשפט וטכנולוגיה אומרים כי השלב המשמעותי מתחיל למעשה רק כעת, לאחר חקיקת החוק, והוא הליווי המקצועי של יישומו - עצם הקמת המאגר, וההסדרים המשפטיים והטכנולוגיים שילוו אותו. "יש הרבה דברים במישור הטכנולוגי שאפשר לעשות, כדי ליישם את הקמת המאגר באופן שפוגע בפרטיות במידה הקטנה ביותר. למשל, יש הצעה של פרופ' עדי שמיר המומחה בהצפנה, לעמעם את הקשר בין הרשומה של האדם לבין מאפייניו הביומטריים. אפשר לייצר את העמעום הזה באופן שהתכליות המקוריות של החוק מתקיימות, ובכל זאת אם המאגר ידלוף זה לא יגרום לנזק כל-כך גדול. בחוק יש גם פונקציה מוגדרת של ממונה על הגנת הפרטיות במאגר הביומטרי, שתהיה כפופה אלינו".
"להיזהר במידע שמעלים לרשת"
בדף של הכהן באתר פייסבוק לא תוכלו לראות את תמונות ילדיו. מבחינתו, יש קווים מסוימים של פרטיות שהוא לא מוכן לחצות, כשמדובר על רשות הכלל - והאינטרנט הוא כר למידע נגיש וזמין על כל אחד. "יש לי עמוד פייסבוק, מתוקף תפקידי", הוא אומר, "אבל נתוני הפרטיות מוגדרים אצלי בצורה מאוד מוקפדת. אפילו נשיא ארה"ב ברק אובמה אמר לפני כמה שבועות לצעירים, 'תשימו לב למידע שאתם מעלים לרשת'. מבחינת היחס שלי לפייסבוק, אני לא חושב שזה נכון מצד הרגולטור של הגנת הפרטיות להגיד רק 'לא לא לא', שהכל מפחיד ונורא".
* למה אני צריך לחשוש מכך שהתמונות של בנותיי נמצאות בפייסבוק?
"הבעיה היא הקישוריות בין המידע. יכול להיות שפריט מידע מסוים יעלה, וכשלעצמו אין בו בעיה, אבל הבעיה היא באינטגרציה של מידע. חיבור כל המידע שמצוי בשרתים של גוגל, אי-ביי, אמזון ואחרים, שאתה אפילו לא יודע איפה הם יושבים, עלול לתת תמונה מבהילה. לכן צריך להיזהר במידע שאתה מעלה. חלק מהמידע עליך בכלל לא מועלה על-ידך. כשמישהו מתייג אותך בתוך תמונה שהוא העלה, זו בעצם פגיעה בפרטיות שלך, ואין לך שליטה על זה".
ואכן, כמות המידע שנאסף במאגרים שונים על פעולותיו של אדם, מציירת תמונה מבהילה ממש של חדירה לפרטיות חייו. "אתה קם בבוקר, הדלקת את הטלפון הסלולרי", אומר הכהן, "וכבר בחברת הסלולר יש רשומה שאפשר להסיק ממנה שהתעוררת ושאתה נמצא במיקום גיאוגרפי מסוים. הלכת לבדוק אימייל, ובספק המייל שלך נרשם שבדקת, וכמובן שהם מחזיקים גם את המיילים שלך. יצאת מהבית, נכנסת לאוטו, במחשבי חברת הסלולר יש רישום של מסלול הנסיעה שלך, ואם עצרת בתחנת דלק אז במחשבי חברת כרטיסי האשראי יש רישום מפורט של מה שרכשת. הגעת לעבודה, אתה מתחיל לגלוש באינטרנט, ובמנוע החיפוש האהוב עליך יש רישום של כל הנושאים שמעניינים אותך, או שמפחידים אותך. הבנקים יודעים בדיוק עד כמה טוב או רע מצבך, והם עושים שימוש במידע הזה לצורך הפעילות שלהם. אני כבר לא מדבר על קופות החולים, שירותי הביטחון ועוד".
לפני חודשים אחדים התקיים בתל-אביב כנס בהשתתפות בכירי הרגולטורים ממדינות אירופה בנוגע לתפישת הפרטיות במידע אישי, זאת בנוסף לשיתוף פעולה הדוק בין הרשות הישראלית למקבילתה מספרד. באוקטובר 2010 תארח הרשות בירושלים כנס בינלאומי של חבר נציבי הגנת הפרטיות והמידע האישי. בכנס שהתקיים בחודש שעבר במדריד התקבלה ישראל לחבר הנציבים - עד עתה היתה במעמד משקיף בלבד, ובנוסף זכתה באירוח הכנס הבא. "אחד הנושאים בכנס הזה יהיה תפישת הפרטיות החדשה", אומר הכהן, "כלומר, בין היתר השאלה האם העלאת מידע לפייסבוק היא בכל מקרה נוראית, או שאפשר ללמד את הדור הצעיר מה ההשלכות של פעולותיו. אבל לא מנקודת מבט שזה נורא וצריך לסגור את זה, כי אי-אפשר לעצור את זה. העולם התקדם".
האיש שיצר את "תקדין"
שנים רבות לפני שהתמנה עו"ד יורם הכהן (49) לתפקיד ראש הרשות למשפט טכנולוגיה ומידע, עוד בימיו כסטודנט למשפטים, היה הכהן האחראי על אחד הפרויקטים הראשונים לאחזור אלקטרוני של מידע משפטי - תקליטור ה"תקדין", שהיווה מאגר ממוחשב ראשון של פסקי דין של בית המשפט העליון. עד אז, היו עורכי הדין והסטודנטים למשפטים נאלצים לכתת את רגליהם אל ספרי הפד"י הכחולים כדי למצוא פסקי דין.
"התמחיתי בעליון אצל השופט תיאודור אור, ושם היה מאגר של פסקי הדין שלא פורסמו בפד"י, ואנחנו המתמחים היינו עושים חיפושים במאגר. אחר-כך, כשעברתי להתמחות במחלקת הבג"צים בפרקליטות, היה ארון פח גדול בחדר של מנהלת המחלקה נילי ארד, ובתוכו היו קלסרים עם פסקי הדין שלא פורסמו, לפי נושאים. חוץ מארון הפח הזה, לא היתה שום דרך להשיג אותם".
כשהכהן חבר לחברת CDI - המפעל הראשון לתקליטורים בישראל, ששכן בכרמיאל - הוא החליט לבטל את ההבחנה בין פסקי דין שפורסמו לכאלה שלא פורסמו, ויצר שיטת ציטוט חדשה, שכונתה "תק-על" (תקדין עליון). כיום ממשיכים מאגרי פסקי הדין להנפיק תקליטורים, אך המאגרים המעודכנים נמצאים ממילא באינטרנט. "היום", אומר הכהן, "אין יותר משמעות לשאלה אם פסק דין פורסם או לא".
בהמשך הקריירה שלו העניק הכהן ייעוץ בתחום אבטחת מידע והגנת הפרטיות, יזם פרויקט בתחום החתימה האלקטרונית ואפילו ניהל חברת סטארט-אפ. בינואר 2006 החליטה הממשלה על הקמת הרשות למשפט טכנולוגיה ומידע, ומאז עומד הכהן בראשה. הרשות עוסקת בתחום הפרטיות במידע, ראיות אלקטרוניות כולל חתימה אלקטרונית, רישום ופיקוח של מאגרי מידע ונתוני אשראי, ומערכות הגנה על קניין רוחני.
תפיסת הפרטיות בקרב הציבור בישראל:
- 70% מהציבור סבורים כי המידע האישי איננו מוגן כראויץ
- 58% מהציבור סבורים כי החקיקה הקיימת איננה מסוגלת להתמודד עם התגברות העברת המידע, לעומת 34% הסבורים שכן.
- 25% מהציבור מודע לקיומה של יחידת רשם מאגרי המידע במשרד המשפטים.
- 69% מהציבור מודאגים מהשארת מידע אישי באינטרנט, 70% סבורים כי העברת מידע באינטרנט איננה בטוחה
תפיסת הציבור לגבי מידת הביטחון בהגנה על מידע אישי לגבי מוסדות שונים:
- רופאים: 74%
- בנקים 58%
- חברות כוח-אדם: 56%
- רשויות המס: 46%
- משרדי ממשלה: 41%
- חברות סקרים: 30%
- חברות דיוור ישיר: 29%
(מקור: סקר פנימי שנערך בעבור משרד המשפטים, אוקטובר 2009)
כתבות
ני"ע
