דעה
קדחת המאגרים מכה שוב
שני אירועי פרטיות משמעותיים התרחשו בימים האחרונים: האחד, דיווח על כוונת הממשלה להקים מאגר מידע חדש, והשני, דיווחים על דליפת פנקס הבוחרים המלא לרשת, דרך אפליקציה שבשימוש הליכוד. המשותף לשני המקרים: היעדר איזונים ובלמים שימנעו מראש קשיים כמו אלה שצפויים במאגר הראשון, ותקלות קשות כמו אלה שהתרחשו במאגר השני
שני אירועי פרטיות משמעותיים התרחשו בימים האחרונים. האחד, דיווח על כוונת הממשלה להקים מאגר מידע חדש, והשני, דיווחים על דליפת פנקס הבוחרים המלא לרשת, דרך אפליקציה שבשימוש הליכוד.
המשותף לשני המקרים האלה הוא היעדר איזונים ובלמים שימנעו מראש קשיים כמו אלה שצפויים במאגר הראשון, ותקלות קשות כמו אלה שבמאגר השני.
- פרצת האבטחה באפליקציה של הליכוד: הפרטים האישיים של כל הבוחרים נחשפו
- הממשלה תקדם הקמת מאגר רגיש עם פרטי מידע על כל היוצאים והנכנסים לישראל
- דליפת המידע בפייבוקס: תמרור אזהרה לעתיד התשלומים החכמים
אפליקציית אלקטור מוצגת בכנס הליכוד צילום: Youtube
מרכז נתוני תעופה
בכלכליסט דווח בשבוע שעבר כי הממשלה מתכוונת לקדם הקמת מאגר מידע חדש, על כל היוצאים והנכנסים לישראל, שייקרא מנ"ת: מרכז נתוני תעופה. המטרה המוצהרת: מאבק בטרור, אכיפת חוק, מניעת הגירה לא חוקית, ושמירה על בריאות הציבור. הבהלה סביב נגיף הקורונה היא העילה המידית. לפי הדיווח, המאגר יכלול לא רק שם, מספר מזהה, תאריך לידה ולאום – נתונים שיש להניח נאספים ממילא על ידי משטרת הגבולות, אלא גם מסלול נסיעה מתוכנן, מספר טלפון ומספר כרטיס אשראי. התכליות המוצהרות – בוודאי חשובות, אבל שימו לב מי אמור לנהל את המאגר: רשות המסים. מה לפקידי השומה ולנגיף הקורונה? הקדחת פה אינה של הנגיף המפחיד, אלא קדחת אחרת, קדחת מאגרים. מאגרי מידע נתפסים ככלי ניהולי רב עוצמה. "נקים מאגר – ויבוא לציון גואל". פרטיות? "לא קשור", בוודאי פוסק פקיד רב דרג, ומצביע על סיכון ביטחוני כלשהו. זוכרים את המאגר הביומטרי ואת המאגר המשטרתי של נתוני תקשורת?
פנקס הבוחרים
היום דווח כי פנקס הבוחרים, שנמסר לפי חוק לכל המפלגות לקראת בחירות, דלף לרשת. הדליפה אירעה, לפי הדיווח הזה, דרך אפליקציה בשימוש הליכוד, שמיועדת ליום הבחירות, כדי לברר מי טרם הגיעו להצביע וכך לזרז אותם להצביע. נגד השימוש באפליקציה הוגשה עתירה של עו"ד שחר בן מאיר, שתתברר בוועדת הבחירות המרכזית. מידע כזה שווה הרבה מאוד כסף, הוא בוודאי ישמש לרעה (זיופים, התחזויות), ויש לו ערך עצום בדיוק לאויבנו. רגע, מי דיבר על ביטחון?
ובכל זאת: פרטיות
שני האירועים מעידים על זלזול עמוק בזכות לפרטיות. אבל הפרטיות היא זכות יסוד במדינה דמוקרטית, ויש לה עיגון מפורש בחוק יסוד: כבוד האדם וחירותו, שקובע כי "כל אדם זכאי לפרטיות ולצנעת חייו". כמובן, הזכות אינה מוחלטת, וניתן לפגוע בה לפי המתווה של פסקת ההגבלה שבחוק היסוד: הפגיעה תותר רק אם היא נעשית בדרך של חקיקה, שנועדה לתכלית ראויה, שהולמת את ערכי המדינה, ובמידה שאינה עולה על הנדרש.
במשרד המשפטים פועלת הרשות להגנת הפרטיות. זה גוף חלש יחסית, עם תקצוב-חסר, והוא מכוון בעיקר לרגולציה של השוק. לרשות יש אמנם סמכות כלפי המדינה וגם כלפי מפלגות, אבל, נו, בהצלחה לכולנו עם גוף קטן, שתלוי בשר המשפטים, ובשנה האחרונה, בשל השיתוק המדינתי הכללי, יש בראשו ממלאת מקום (מצוינת אגב, אבל עם סמכויות מצומצמות). גם רשות הסייבר כפופה למשרד ראש הממשלה.
הרגולציה האירופית להגנת מידע אישי (ה-GDPR) מחייבת תאגידים למנות ממונה הגנת פרטיות בארגון. התפקיד עמום משהו ואינו מוגדר עד תומו, אבל ברור שממונה כזו אמורה להנחות את הארגון, לפני הקמת מערכת טכנולוגית מבוססת מידע, בדבר שמירת החוק: למשל, עריכת תסקיר הגנת פרטיות מוקדם, הנחייה למהנדסים לפעול ברוח עקרונות של הנדסת פרטיות, לצמצם את איסוף המידע למינימום הדרוש, לקבוע כללים טכנולוגיים וארגוניים בדבר הגישה למידע, משך שמירתו, השימושים בו, וכמובן, להנחות את הגורמים הטכנולוגיים לוודא אבטחת מידע. תאגידים ישראלים גדולים כבר מינו ממונים כאלה. הם פועלים גם באירופה.
דרוש/ה: ממונה הגנת פרטיות למדינת ישראל
ראוי שגם המדינה תמנה ממונה הגנת פרטיות ראשי. מחלקות משפטיות במשרדי הממשלה יודעות לנסח תקנות ומדיניות. אבל ניהול פרטיות אינו רק עניין משפטי, אלא שילוב טכנולוגי-משפטי-ארגוני. לפני שרצים לאיזונים של פסקת ההגבלה כדי לחפש איך המדיניות תעבור בשלום מבחן חוקתי בבג"ץ, צריך רגע לעצור, ולתת לזכות לפרטיות את הכבוד שמגיע לה. הפרטיות היא סימן מובהק שמבדיל בינינו לבין ברית המועצות של הקג"ב, מזרח גרמניה של השטאזי, או רומניה של הסיקוריטטה. גם אם הכוונות במאגר החדש טובות, אפשר לתכנן אותו מראש כך שהפגיעה בפרטיות תמוזער, ואל תספרו לנו על קורונה, כשהמאגר ממוקם ברשות המסים. גם אם דליפת פנקס הבוחרים מהליכוד לרשת הייתה בתום לב, אפשר היה למנוע אותה.
ברקע, מתנהל משא ומתן בין משרד המשפטים לאיחוד האירופי. לבקשת הממשלה, ישראל הוכרה על ידי האיחוד האירופי כבעלת הגנה משפטית מספקת על מידע אישי. זה היה ב-2011. להכרה הזו יש חשיבות רבה לזרימת מידע מצרכנים אירופים לעסקים ישראליים. לאור ה-GDPR, הסטטוס היוקרתי הזה נבחן שנית. עם מאגרים חדשים שעל פניו יש בהם תכלית זרה, ודליפות מסיביות של מידע – מגורמי השלטון עצמם – בהצלחה לכולנו.
הכותב, פרופ' מיכאל בירנהק, הוא סגן דקאן למחקר, הפקולטה למשפטים, אוניברסיטת תל אביב
