שימו לב, אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר. קראו עוד הבנתי
אינטרנט

לידיעת ההאקר הסעודי: ייאסר על אתרים לבקש תעודת זהות בלי הצדקה

מטיוטת ההנחיות החדשות שפרסם משרד המשפטים עולה כי האתרים יחויבו לנמק מדוע הם זקוקים למספרי הזהות של הגולשים, ולבחון אפשרויות לזיהוי חלופי. האם זה מה שיעצור את דליפת המידע?

עומר כביר 11:0318.03.12
משרד המשפטים הודיע הבוקר (א') כי הוא מתכוון לאסור על אתרי אינטרנט לאסוף מספרי זהות של משתמשים ללא הצדקה ממשית.

 

בשבועות האחרונים פרסם האקר המוכר בשם עומאר ("ההאקר הסעודי") פרטים אישיים של גולשים ישראלים, שנגנבו בפריצות לאתרי אינטרנט מקומיים. אלו כללו שמות, כתובות מייל, מספרי כרטיסי אשראי ובפרט מספרי תעודות זהות. כמו כן נערכו בתקופה האחרונה דיונים בוועדת המדע והטכנולוגיה של הכנסת, לאור תלונות שהתקבלו על איסוף גורף של מספרי תעודות זהות מצד עסקים שונים.

 

בעקבות זאת החליטה הרשות למשפט, טכנולוגיה ומידע (רמו"ט) במשרד המשפטים לגבש הנחיות מפורטות, שיסדירו את איסוף מספרי תעודות הזהות בידי עסקים, אתרים ומאגרי מידע. הבוקר פורסמה טיוטת הנחיות אלו, כאשר כעת ניתנים לציבור 45 ימים להגיב עליהן.

 

ההנחיות קובעות כי חל איסור על מפעילי מאגרי מידע לאסוף ולהשתמש במספרי תעודת זהות, אלא אם הם עומדים בכל התנאים שנקבעו על ידי רמו"ט. ראשית, יש לבחון ולנמק את הצורך באיסוף מספר הזהות, ולבחון אפשרויות לעשות שימוש בנתון חלופי לזיהוי.

 

למשל, אתרי קניות רבים אוספים מספרי זהות לצורך אישור כרטיס האשראי בעת התשלום. ואולם, חברות האשראי מספקות דרכי זיהוי חלופיות, כמו מספר ה-CVV או המיקוד של הלקוח. לפי ההנחיות, "אין הצדקה או צורך באיסוף מספר זהותו של אדם... כאשר ניתן לבצע את זיהויו באופן סביר בדרכים אחרות". במקרים אלו, לכאורה, לא יוכלו עוד אתרים לאסוף מספרי תעודת זהות.

 

בנוסף, גם אם לעסק כלשהו יש צורך אמיתי במספר הזהות בשלב כלשהו בהליך ההתקשרות עם הלקוח, ההנחיות החדשות קובעות כי יש לאסוף מספר זה רק ברגע שבו נוצר צורך זה – ולא במקרה של בירור ראשוני שבו אין התחייבות להתקשר בעסקה. בנוסף, על העסק לעשות הבחנה בין התקשרות חד-פעמית לבין התקשרות קבועה, כאשר ההנחה היא שבמקרה של התקשרות חד-פעמית אין צידוק לאיסוף מספר הזהות.

 

למנוע מתעודת הזהות לדלוף לרשת למנוע מתעודת הזהות לדלוף לרשת צילום: שאטרסטוק

 

לא צריכים את המספר יותר? תמחקו

 

גם לאחר שנמצא כי יש צידוק לאיסוף מספר הזהות, על הגורם האוסף לעמוד בהנחיות נוספות. "על בעל המאגר ליידע בצורה מפורשת אם חלה על אותו אדם חובה חוקית למסור את מספר זהותו, או שמסירת המידע תלויה ברצונו ובהסכמתו", נכתב. "עליו להבהיר לאדם את המטרה לשמה מבוקש מספר הזהות, כולל הסבר מדוע לא ניתן להשיג את המטרה של זיהויו בדרך אחרת. עוד יש למסור לאדם למי יימסר המידע בדבר מספר זהותו ומטרות המסירה". פרטים אלו, נקבע, חייבים להימסר בשפה פשוטה וברורה.

 

ההנחיות מתייחסות גם לאופן אחזקת המידע עצמו. לאחר איסוף מספר הזהות ואכסונו, "נדרשת הקפדה יתירה באבטחת מאגר המידע". רמת האבטחה, נכתב, צריכה לעמוד בדרישות המינימום של תקנות הגנת הפרטיות. 

 

בין השאר מומלץ להצפין את מספר הזהות, ומפעילי מאגרי מידע שכבר מחזיקים כיום במספרי זהות ללא הצדקה מתבקש להמירם למספרי לקוח ייחודיים. בנוסף, במקרה של סיום מתן שירות על מפעיל מאגר המידע לבדוק האם יש צורך בהמשך שמירת מספר הזהות, ואם אין - למחוק אותו.
יורם הכהן. "בעיית אבטחת מידע לאומית" יורם הכהן. "בעיית אבטחת מידע לאומית"

 

"טיוטת הנחיה זו אמורה להניע מהלך של שינוי חשיבתי על ידי עסקים לגבי האופן שבו נאסף מידע אישי", מסר ראש רמו"ט, יורם הכהן. "במקרים רבים אין צורך בזהות הוודאית שנותן הקישור למספר הזהות, ואיסופו יוצר בעיית אבטחת מידע לאומית. הגופים אשר כן נדרשים למידע זה ידרשו להגן על המידע באופן שהולם את הסיכונים, לרבות הצפנתם. אני קורא לאזרחים לא למסור בקלות את פרטי מספר הזהות שלהם, ולברר כבר היום עם העסקים המבקשים אותו לשם מה הוא נדרש, וכיצד הוא מוגן".

 

איך זה יעבוד?

 

ההנחיות, אם אכן ייכנסו לתוקף, נראות כניסיון חשוב להגן על הפרטיות של אזרחי ישראל - אך ספק אם יצליחו להשפיע. דליפתם לרשת של מאגרי המידע של רשם האוכלוסין ופנקס הבוחרים כבר הביאה לחשיפת מספרי הזהות של כל אזרחי ישראל, לצד שמותיהם ופרטים אישיים נוספים.

 

בנוסף, החוק הקיים מחייב את העברת פנקס הבוחרים לידי המפלגות לפני כל מערכת בחירות. לפיכך מוחזק מידע רגיש זה בידי עשרות אנשים אם לא מאות, וקשה לראות איך ניתן למנוע את דליפת מספרי הזהות ומידע מעודכן בעתיד ללא שינוי בחוק זה.

 

עדיין לא ברור כיצד רמו"ט מתכוונת לאכוף את ההנחיות שפרסמה על אלפי האתרים שכבר היום אוספים את מספרי הזהות של הגולשים, לצד פרטים אישיים לא הכרחיים נוספים כמו תאריך לידה או מין המשתמש. פניית "כלכליסט" לרמו"ט בבקשה להבהיר סוגיה זו לא נענתה עד מועד פרסום הידיעה.

בטל שלח
    לכל התגובות
    x