"למאגרי המידע הממוחשבים יש את הפוטנציאל הרב ביותר לפגיעה בפרטיות האזרחים בישראל"

מאגרי המידע הממוחשבים הם בעלי הפוטנציאל הרב ביותר לגרום נזק להגנה על פרטיות האזרחים. כל מיני חברות אוגרות עלינו - האזרחים - מידע, ומשתמשות בו לצרכים שונים. יש 16,000 מאגרי מידע, ונדרש עליהם פיקוח איכותי יותר. כל מה שג'ורג' אורוול תיאר בספרו '1984' – מבחינת הפוטנציאל הטכנולוגי לפחות – נמצא כבר כאן, ויש לכך השלכות חמורות מבחינת הנזק הפוטנציאלי להגנה על הפרטיות של האזרחים. המצב בישראל בהיבט ההגנה על הפרטיות לא טוב. האנשים אינם מודעים לזכות שלהם לפרטיות. נפעל לשינוי המצב"; כך אומר בראיון בלעדי לאנשים ומחשבים, עו"ד יורם הכהן ראש הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים, שמקים בימים אלה את הגוף שהוא עומד בראשו.

"המצב בישראל בהיבט ההגנה על הפרטיות לקוי", הוא אומר בצער. "מבחן ההצלחה של הרשות, יהיה ביכולת שלה למלא את החלל הגדול, שמאפיין את החוקים השונים הקיימים בנושאי מחשבים והגנה על הפרטיות, וכן בקידום חקיקתי של התחומים הללו. אני מקים כרגע את הרשות, אחרי שגורמים במשרד המשפטים הבינו שזו הדרך הנכונה להתמודד עם סוגיות הקשורות למשפט ולטכנולוגיה – הן לגבי הפונקציות הקיימות במשרד, שכבר מטפלות בהיבטים שונים של IT, והן לגבי סוגיות הקשורות לקידום חקיקה בתחום ולייעוץ בנושאים טכנולוגיים".

לדברי עו"ד הכהן, שהחל את תפקידו בספטמבר האחרון, "הרשות שאני עומד בראשה כפופה למנכ"ל משרד המשפטים, ומבחינה מקצועית – ליועץ המשפטי לממשלה. אני אחראי להיבטי ה-IT במגזר הציבורי. הרשות תפקידה להוות מרכז ידע לתפר, לממשק שקיים בין עולמות המשפט והטכנולוגיה".

חברות מסחריות אוגרות מידע על האזרחים – ומשתמשות בו הקמת רשות חדשה בישראל היא מהלך חריג, וקורית רק אחת לכמה שנים. הקמת הרשות למשפט, טכנולוגיה ומידע, היא תוצאה של מהלך שהחל לפני שלוש שנים במשרד המשפטים. בחודש ינואר 2006, אישרה הממשלה את החלטתו של הקבינט הכלכלי-חברתי, על הקמת הרשות, שמטרתה לאחד תחתיה שלושה גורמים - רשם מאגרי המידע (לפי חוק הגנת הפרטיות, תשמ"א – 1981), רשם ה"גורמים המאשרים" (לפי חוק חתימה אלקטרונית, התשס"א – 2001) והרשם שאמור לפעול לפי חוק שירותי נתוני אשראי, התשס"ב – 2002.

מטרתה של הקמת הרשות, היא לערוך חיבור טוב יותר בין שני עולמות רחוקים – ה-IT והמשפט - ולשנות את המצב של התרדמה הרגולטורית שבה מצויים טכנולוגיות המידע והגנת הפרטיות בישראל. ביסוד ההקמה של הגוף, נמצאת העובדה שמשרד המשפטים הגיע למסקנה, לפיה טכנולוגיות המידע וההגנה על הפרטיות בישראל, מחייבים טיפול שונה מיסודו. לפי התפיסה שהניעה את הקמת הגוף, המדינה מחויבת לספק לגורמי הממשל ולאזרחים, כלים שיאפשרו להם ליהנות מהפוטנציאל העצום שב-IT, ולמזער את האיומים הנובעים משימוש לרעה באותה טכנולוגיה ממש. הרשות הוקמה ביוזמת משרד המשפטים, על מנת לקדם טיפול מערכתי מקיף בתחום דיני המחשבים, המידע והפרטיות, ובין היתר, בשל הצורך לתת מענה הולם לאיומים החדשים על משתמשי טכנולוגיית המידע ובשל ריבוי עבירות המחשב.

מהם יעדי הרשות? "יש מתחתיה שלוש פונקציות: רשם מאגרי המידע, רשם ה'גורמים המאשרים' ורשם שירות נתוני אשראי. רשם מאגרי המידע היא פונקציה הקיימת לפי חוק הגנת הפרטיות, אשר מטפלת ברישום ובאכיפה של מי שיש לו מאגרי מידע ממוחשבים, שבהם נמצא מידע רגיש. מדובר, בין השאר, במאגרי מידע של קופות חולים, מוסדות פיננסיים וחברות האשראי, חברות הסלולר, ועוד. המדובר בנושא חשוב ביותר, כיוון שהמידע המצוי כיום במאגרי מידע אלו – הוא מידע מרחיק לכת בהיבט הגנת הפרטיות.

עוד תכניות

אם קמתי בבוקר והדלקתי את הטלפון הנייד שלי – הנתון הזה נרשם. נכנסתי לאינטרנט – הספק רושם את הרגלי הגלישה שלי. חיפשתי במנוע חיפוש – זה מתועד. במכונית, חברת הסלולר יכולה לאכן אותי. שילמתי בתחנת הדלק בכרטיס אשראי – גם זה נרשם. על כל מיליוני הנתונים הללו החברות מפעילות כלי BI וניתוח חכמים, ומשתמשות בו לכל מיני צרכים".

מה מצבינו לעומת שאר העולם? "אני גר בצפון, ומחשבי כביש חוצה ישראל (כביש 6) רואים שאני נוהג לעלות לירושלים. ולפתע, אני מתחיל לקבל פרסומים על מסעדות בעיר. אם לא הסכמתי לקבלת הפרסומים – הרי שמדובר בפעולה שאינה לגיטימית. שילמתי לכביש 6 על הזכות להשתמש בכביש, ולא על מנת לתת את פרטי לחברות דיוור פרסומי. אנשים לא מודעים לחומרה שבמצב, ולזכויות המוקנות להם.

מצבינו לעומת ארה"ב הוא מצויין. אנו קרובים לאירופה, מבחינת ההסדר החקיקתי. חוק הגנת הפרטיות, משנת 1981, הוא מתקדם יחסית, והוא נייטרלי מבחינה טכנולוגית. צוותים במשרד המשפטים והרשות פועלים לשינוי החוק, על מנת להתאימו למצב כיום. אנו מכינים נוסח של הצעת חוק, שאני מעריך שתאושר במהלך שנת 2008. מי שצפוי להתנגד להצעה הם גורמים כלכליים, אשר סוחרים במידע. בין השאר, אנו מציעים לצמצם את חובת רישום מאגרי המידע. יש לנו כיום 16,000 מאגרי מידע רשומים, זוהי כמות גדולה מדי. אנו מציעים לצמצם את הכמות לגבי המאגרים המכילים מידע פחות רגיש, ולגביהם – להנחות ברמה העקרונית".

ומה לגבי "המודל הקליפורני"? "בהצעת החוק שאנו מקדמים, יש שני היבטים: האחד הוא להחיל את ה'מודל הקליפורני', לפיו גופים אשר נמצאו אצלם כשלי אבטחת מידע, ויש בכך סיכון לפרטיות - יהיו חייבים לדווח לציבור על כך. הכנסת המודל הזה לחוק, תשיג שתי מטרות – אם קרה כשל שכזה, אז אנשים יהוו מיודעים עליו ועל הסיכונים הנובעים ממנו. בנוסף, זה יתמרץ גופים ליישם אמצעי אבטחת מידע בצורה מסיבית יותר ממה שיש להם כיום, כי הם יבינו שלא יוכלו להסתיר את הכשלים, ויחששו מפגיעה במוניטין שלהם. להערכתי, זהו מודל אפקטיבי; היבט נוסף שנכניס להצעת החוק, הוא היכולת של הרשם, לתת צווים אישים לאבטחת מידע. אני יכול להתנות את המשך הפעילות של הגורם שאוציא לו את הצו – בכך שהוא יפעל כמה פעולות לשיפור מצב אבטחת המידע בארגוני. ההגנה על הפרטיות היא דבר חשוב מאד, '1984' – מבחינת הפוטנציאל הטכנולוגי שלה – כבר כאן. מצב ההגנה על הפרטיות אינו טוב, אנשים אינם מודעים לזכותם לפרטיות".

לא מטפל בסקיורנט ובקומסיין עו"ד הכהן, בן 45, משפטן בוגר האוניברסיטה העברית, הוא בעל תואר שני בהצטיינות במנהל עסקים למנהלים מאוניברסיטת תל-אביב. הכהן מתמחה בהיבטים של משפט וטכנולוגיה, ובעל ניסיון ניהולי רב בתחום טכנולוגיות מידע. הוא נבחר לעמוד בראש הרשות, לאחר בחינה של ועדה מקצועית מטעם אנשי משרד המשפטים. כהן גבר על 14 מועמדים שהגישו את מועמדותם. הוא חבר לשכת עורכי הדין מ-1992, ובא מהתעשייה: עד 2005 היה סמנכ"ל "גורם מאשר" בחברת אבטחת המידע סקיורנט, ובין 1996-2001 היה מנכ"ל מיוזיקנוטס, חברת סטארט-אפ שפיתחה כלי תוכנה להפצה אלקטרונית של תווי מוזיקה. בצבא היה קצין מחקר מודיעין.

התחום השני שבאחריותו ברשות הוא "גורם מאשר" לחתימות אלקטרוניות, המעניק את האישור בתהליך הנפקת החתימה האלקטרונית ומספק לחתימות תוקף משפטי מאושר. בשל מעורבותו בעבר בסקיורנט, התחום הזה מטופל על ידי אחד מעובדיו, עו"ד עמית אשכנזי, והכהן מטפל בכך רק ברמה העקרונית ולא בסקיורנט וב"גורם המאשר" השני – חברת קומסיין.

מהי עמדתך לגבי כוונתה של המדינה, שהפריטה את תחום ה"גורם מאשר" לחברות מסחריות, להלאים אותו חזרה ולקחת אותו תחת טיפולה? "רשם 'גורמים מאשרים' הוא גוף תחת אחריותי, אולם בשל ניגוד אינטרסים שעלול להיווצר בשל עברי בסקיורנט, אינני מטפל בהם ישירות, כמו גם במתחרה קומסיין. אני כן מטפל בהיבטים הכלליים של הנושא, למשל, שינוי חוק חתימה אלקטרונית.

הרציונל לשינוי המצב, נובע מהעובדה שעל פי המצב כיום, המדינה איננה רשאית לפעול כ'גורם מאשר'. המדובר במצב מאד נדיר, כיוון שיש מעט מאד נושאים, שהמדינה אינה רשאית לפעול בהם. לכן אנו פועלים לשינוי מצב זה, על מנת שהמדינה כן תוכל להיות 'גורם מאשר'. שוק החתימות האלקטרוניות הוא שוק רגיש, ונוצר מצב של תלות ממשלתית בגורמים חיצוניים. לדוגמה, בפרויקט מגנ"א של הרשות לניירות ערך, ונט-המשפט – של מיחשוב בתי המשפט. הללו תלויים בחתימה אלקטרונית, והמדינה לא יכולה להרשות לעצמה להיות מנועה על פי חוק ולא לפעול כדי לקדם אותם. מי חשב על כך שהחברות שזכו להיות 'גורם מאשר' – תצאנה מהמשחק? ספציפית, אינני מעוניין להתייחס לטענות מנכ"ל קומדע, זאב שטח. ברמה הכללית, אומר כי לאחרונה היינו בכנס בינלאומי במזרח הרחוק, ובו עלה הנושא באופן מובהק: איפה שנעשתה הפרטה של התחום – היה כשלון, איפה שהמדינה לקחה את הנושא תחת ידיה – היתה הצלחה. המדינה חייבת ליצור לעצמה תשתית הזדהות אלקטרונית, זו תשתית, בדיוק כמו כבישים.

בסופו של דבר, אני מעריך כי ייתכנו כמה מצבים, של שילוב בין המדינה וגופים אזרחיים, שיספקו הזדהות דיגיטלית וחתימה דיגיטלית. למרות כל הרעש, אני חושב שיש עתיד ל'גורמים המאשרים', יש תחומים שקשה למדינה לעשות".

הפונקציה השלישית שתחת אחריותך היא "רשם שירות נתוני אשראי". מה זה? "המדובר בפונקציה שנותנת רשיונות לגורמים לאסוף מידע על יכולות אנשים ועסקים לעמוד בתנאים כלכליים מסויימים, ובודקים את יכולתם להחזיר אשראי. הרציונל הוא לפתוח את שוק האשראי לתחרות, אולם לוודא שאיסוף המידע הרגיש, ייעשה תוך פיקוח. כיום ישנם ארבעה גופים במשק שעושים זאת: BDI, דן אנד ברדסטריט, CIA ו-לב אמון. אנו מפקחים עליהם באופן הדוק – גם על האמצעים הטכנולוגיים שהם מיישמים במערכות ה-IT שלהם, וגם על נהלי העבודה, שלפיהם הם עובדים.

לשיטתי, אין הבדל בתפיסה בין המידע שאגור אצל החברות הללו, והמידע הנמצא בבנקים. גם בבנק יש מידע רגיש, ואני מצפה משניהם לאותה רמה גבוהה ומוקפדת של אבטחת מידע".

כוח אדם המשלב בין IT למשפט אילו עובדים תיקח לרשות שאתה מקים בראשותך? "הרשות תמנה כעשרים איש. אני מחפש משפטנים עם רקע בטכנולוגיה. אני מעריך כי אגייס בעיקר אנשים מהמגזר הפרטי. תהליך אישור התקנים נמצא בעיצומו, אצל נציבות שירות המדינה. נביא ערך מוסף לישראל ולמשרד המשפטים, בחיבור כוח אדם איכותי בעולם שבין ה-IT והמשפט".

מה דעתך על דברי השופט העליון בדימוס, מישאל חשין, לפיו מערכת המשפט מפגרת מול טכנולוגיות ה-IT "כל הרציונל בהקמת הרשות הוא לצמצם את הפער המובנה הזה. לא כל טכנולוגיה דורשת חקיקה בצידה. אני מאמין גדול בחקיקה שהיא נייטרלית מבחינה טכנולוגית, אבל כזו שעונה על צורכי המשפט, ועל הדינמיקה של הקידמה, חקיקה שעונה ומביאה לפתרונות מול האתגרים שמציבה הטכנולוגיה. התפקיד של הרשות הוא לצמצם את לוחות הזמנים בין האתגרים הטכנולוגיים והפתרונות החקיקתיים.

ניזום חקיקה בתוך ערוצי משרד המשפטים, על מנת לקדם נושאים שונים בתחומי הפעולה שלנו. לדוגמה, אנו פועלים כיום לשינוי החוק, הדן במסמכים שעברו המרה מאירכוב פיסי לאירכוב דיגיטלי. זאת, על מנת שמעמדם של שני סוגי המסמכים – יהיה זהה, גם אם המקור הפיסי שלהם יושמד. אלו נושאים שלצערי, אורכים זמן רב בטיפול בהם, ואשתדל לקצרם.

אני חושב שחשוב שהרשות תהיה במשרד המשפטים ולא במשרד לביטחון פנים. המדובר במימוש זכות יסוד אזרחית, שהיא אינה ברורה, יש בה צדדים מעומעמים".

מה המסר שלך לשוק ה-IT? "אני פונה לכל הספקים והלקוחות בשוק ואומר: אם יש דברים שמציקים לכם בתחומי הפעולה שלי, אשמח לשמוע. אני קשוב לשמוע על בעיות, כמו גם על פתרונות בתחום. אינני מפחד מגורמים בעלי אינטרסים, אני מאמין שניתן לשקלל בין האינטרסים השונים. אם מישהו חושב שהחיבור הזה, בין IT ומשפט – עוצר תהליכים חיוביים – הוא מוזמן לפנות אלי. מי שחושב שישנם חוקים שנדרש לשנות – מוזמן לפנות גם הוא. כל התשובות שלי בנושאים השונים, יפורסמו בקרוב באתר, שיהיה זמין לציבור הרחב. על האזרחים להבין כי אני – כראש הרשות – הוא נציגם בתחום".