הכנסת העשרים

מושב שלישי

פרוטוקול מס' 314

מישיבת ועדת החוקה, חוק ומשפט

יום שלישי, י"ב בטבת התשע"ז (10 בינואר 2017), שעה 10:00

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016

חברי הוועדה: רויטל סויד – מ"מ היו"ר

זאב בנימין בגין – מ"מ היו"ר

מיכאל מלכיאלי

אורי מקלב

אוסאמה סעדי

יוליה מלינובסקי

מנהלת מח' בלשכה המשפטית, רשות האוכלוסין - אודליה אדרי

מנהל אבטחת מידע, משרד הפנים - עידו תלמי

עוד לשכה משפטית, משרד הפנים - קרן בהט

מנהל תחום הגנת הפרטיות, משרד הפנים - מאיר גופשטיין

ראש הרשות למשפט טכנולוגיה ומידע, משרד המשפטים - אלון בכר

ארגון ומנהל, משרד המשפטים - חופית זהוראי

ממונה משפט וטכנולוגיה, משרד המשפטים - ניר יעקב גרסון

ממונה בכיר-מח' יעוץ וחקיקה, משרד המשפטים - איל זנדברג

משפטנית, משרד המשפטים - ליאת בן מאיר שלום

יועצת משפטית, משרד המשפטים - גילי בסמן ריינגולד

מנהל אבטחת מידע, משרד הרווחה - מונס שמואל

ממונה סייבר מגזרי, משרד הרווחה - איציק קלבו

מנהלת תחום תשתיות ושירות סייבר - CTO, משרד הבריאות - ראובן אליהו

לשכה משפטית, משרד הבריאות - טליה אגמון

ראש אגף בכיר לאסדרת המשק, משרד ראש הממשלה - רפאל פרנקו

מנהל מחלקה משפטית, משרד הביטחון - ישי יודקוביץ

יועמ"ש דו"צ, משרד הביטחון - רפי סלמה

מלווה-חטיבת הדוברות-מ"י, בטחון פנים - שבתי גרברצ'יק

ק' חו' יחב"מ, המשרד לבטחון פנים - דיאנה האמר

ר' חוליית יחב"מ, המשרד לבטחון פנים - שמוליק ויזנר

עוזר ליועמ"ש-מ"י, בטחון פנים - יעקוב עזרא

עו"ד, בנק ישראל - שירלי אבנר

פיקוח על הבנקים, בנק ישראל - רחל יעקובי

חבר מועצה, המועצה להגנת הפרטיות - דן אור-חוף

עו"ד, המועצה להגנת הפרטיות - שרון גיא

יו"ר המועצה, המועצה להגנת הפרטיות - אורית פודמסקי

מנהל הגנת הפרטיות והסייבר בכללית, קופות החולים - איציק כוכב

יועצת משפטית, איגוד לשכות המסחר - שרון כ"ץ

מרכז תחום אבטחת מידע, מכון התקנים הישראלי - יהושע פרייס

CTO, עיריות ומועצות אזוריות ומקומיות - הילי זליבנסקי

מנהל מח' אבטחת מידע, עיריות ומועצות אזוריות ומקומיות - מרסלו מיטלמן

יועץ משפטי, חברות היי טק ותקשורת - יונתן ברוורמן

פורום הגנת הפרטיות, לשכת עורכי הדין - ליאב שפירא

פורום הגנת הפרטיות, לשכת עורכי הדין - ליאב תלמוד

מנהל תחום אבטחת מידע והגנת סייבר, חברות כרטיסי האשראי - עמרי נחום

שותף - עמית דת

עורך דין, סייבר וטכנולוגיות מידע - עמרי רחום-טוויג

עורך דין - רועי ברית

עורך דין - ניר פיינברג

ממונה חקיקה, לשכת עו"ד - פנחס מיכאלי

עורך דין - יהונתן קלינגר

שדלן/ית (מאיר אסרף משרד עו"ד), מייצג/ת את ארגון עובדי צה"ל, המח"ר - הסתדרות האקדמאים במדעי החברה והרוח - מתן צדיק

שדלן/ית (כהן-רימון-כהן), מייצג/ת את חברת ישראכרט - רוני ליטינצקי

אלעזר שטרן

אסף פרידמן

שרון רפאלי

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016

בוקר טוב לכולם. אנחנו פותחים את ישיבת ועדת חוקה בנושא שהוא גם תקדימי וגם חשוב לכולנו – תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016. אין ספק שהתקנות הולכות לחולל מהפך ושינוי מאוד מהותיים בכל מה שקשור לאבטחת מידע, מאגרי מידע תוך רצון לשמור על זכויות הפרט ואת הזכות לפרטיות בכלל.

אנחנו נשמע קודם כול את רמו"ט, משרד המשפטים, את היועץ המשפטי לוועדה ואחר כך כל מי שירצה לומר דברים יוכל להירשם או שכבר נרשם. חברי כנסת שייכנסו יוכלו גם הם להביע את עמדתם. כשכולם יסיימו להביע את העמדה שהוא רוצה להשמיע אנחנו נעבור להקראת סעיפי התקנות בהנחה שנצליח כבר היום להגיע לזה. הישיבה קבועה עד 12:00, ואם נראה שיש טעם נאריך אותה בחצי שעה נוספת. שיהיה לנו בהצלחה.

בבקשה, איל.

בוקר טוב. אני אפתח בדברים קצרים. ראשית אני רוצה להודות לוועדה וליושבת ראש הוועדה על כך שהוועדה לקחה על עצמה לטפל בתקנות. אלה תקנות ששרת המשפטים הניחה על שולחן הוועדה לפני חודשים רבים. אני מסתכל על חצי הכוס המלאה על כך שהוועדה הגיעה לטפל בנושא, ואני מקווה שנוכח החשיבות שלו נוכל לקבוע סדרה של דיונים כדי שהעניין יסתיים בהקדם אחרי קיום כל הדיונים והליבון הדרוש, אבל כדי שנגיע לקו הסיום מוקדם ככל האפשר.

מדובר בסט של תקנות שהוא תוצר של עבודה ממושכת ומשמעותית שנעשתה במשרד המשפטים בשיתוף מלא של שתי יחידות במשרד: רשות משפט וטכנולוגיה בראשות רשם ההגנה החדש שיושב כאן לצדי ומחלקת ייעוץ וחקיקה. נמצאת כאן גם ליאת בן מאיר שליוותה את הנושא מטעמנו.

כדי לא להכביד על הוועדה ולא להשמיע דברים בכפל ובשילוש, אלון יציג מיד בשם המשרד את עיקר הדברים. כמסגרת מאוד כללית אני רק אומר כמה משפטים. כפי שחברת הכנסת סויד מזכירה לי מידי פעם אני אשתדל לא לדבר כמשפטן, אבל אני לא מבטיח שלא אומר משהו על משפטים. אני לא אדבר כעורך דין בעצם, זאת ההערה.

אני עדיין עובדת על זה. אחרי שנתיים אני עדיין מנסה לא לדבר כמשפטנית.

בדיון שעוסק בהגנת הפרטיות רציתי לפתוח באמירה יפה שאין חולק על חשיבות הגנת הפרטיות. אבל נזכרתי בדיונים אחרים שנכחתי בהם גם בכנסת שבהם יש מי שאומר גם היום שבעולם שבו אנחנו חיים זה נאיבי לדבר על פרטיות. איש לא יכול לצפות שתהיה איזושהי פרטיות וסודיות ביחס למידע אודותיו. אף על פי שזה לא ליבת הדיון שלנו היום זאת אמירה שגויה ובעייתית. חשוב לשים אותה בצד ולהזכיר שהגנת הפרטיות דווקא בעולם שבו אנחנו חיים בעולם, בעולם של מהפכה דיגיטלית ואתגרים טכנולוגיים, חברתיים וכלכליים – כל מה שאנחנו רואים סביבנו כאזרחים – דווקא בתקופה הזאת ההגנה על הפרטיות היא חשובה, והיא אתגר משמעותי גם למחוקק. להגנת הפרטיות יש היבטים רבים. אנחנו עוסקים בהיבט אחד שלו. זאת הזדמנות לא רק להזכיר את החשיבות של הגנת הפרטיות, אלא גם את ההיבט המסוים התשתיתי של אבטחת מידע. הרבה פעמים בדיונים בכנסת מדברים על רשתות חברתיות ועל מעמדו של נושא המידע שהמידע אודותיו, אזרח כצרכן, כמי שמדבר בתוך הרשת ועם חבריו. אבטחת מידע היא רכיב שנראה לפעמים טכני, והוא יותר תשתיתי ובסיסי, אבל הוא לא פחות חשוב בתוך הדיון על הגנת המידע כי הוא בעצם שלב חיוני והכרחי כדי להבטיח בסופו של דבר את אותה זכות אדם שמעוגנת, כמובן, בחוק זכויות אדם וחירותו – הזכות לפרטיות. כך שהדיון אמנם עוסק בטכנולוגיה, ואם מישהו חושב שהוא טכני זה לא נכון. מטרתו להגן על זכות אדם, אבל נכון שבתווך יש הסדרה מאוד פרטנית שנגיע אליה במהלך הדיונים שיורדת לפרטים. אבל זאת המטרה והמסגרת של הדיון כולו.

התקנות שלפניכן הן תוצר של תהליך ארוך וממושך. הקפדנו בהקשר הזה גם לשמוע את הציבור, ואנחנו מבינים שיש לזה השלכות והרבה מאוד שותפים מבית ומחוץ – הליך שהחל בשנת 2011-2010. הגענו לפה, ואני מקווה שנצלח גם את הדיונים כאן. התקנות עוסקות בכל ההיבטים של אבטחת מידע – גם אבטחה פיזית וגם לוגית, כלומר מערכות המחשב, וגם היבטים שהם קצת יותר חדשים ומשוכללים שמטפלים בעולם של הניהול – הכשרה, הרשאות, תיעוד – פעולות שהן מעבר לאבטחה שבמושג הרגיל אנשים מדמיינים מה כלול בתוכו. היו הרבה אתגרים בגיבוש של המסגרת. אתגר אחד שאני רוצה להדגיש בפתיח נוגע לכך שמאגרי מידע שאליהם מתייחסות התקנות נמצאים כמעט בכל מקום. אין אב טיפוס אחד מובהק של מי שהוא הבעלים או המחזיק – לא ניכנס כרגע להוראות המשפטיות – הוא מנהל של מאגר מידע. זה יכול להיות בנק או חברה שמגלגלת מיליארדים ומחזיקה הרבה מאוד מידע, וזה יכול להיות גם אדם פרטי או מסגרת יותר צנועה ולא מסחרית. מתוך הבנה שאבטחת מידע היא חשובה לגבי כל מאגרי המידע, אולי היא חשובה בצורה שונה או יש לה ביטויים שונים, האתגר המרכזי שלנו היה לתת מענה לדבר הזה, ולייצר תקנות שיתייחסו לשונות בין המאגרים השונים. לדעתי, עשינו את זה על-ידי הבחנה בין רמות אבטחה שונות ובין מאגרים שונים, לפי רמת הסיכון שהם מייצרים לפרטיות.

רמו"ט, שזה חלק ממשרד המשפטים, אתם מדברים בקול אחד?

כן, לחלוטין. אין מחלוקות. זאת עבודה משותפת לגמרי. אני בטוח שאלון יידע להציג גם את רמו"ט וגם את העבודה וגם בחלוקה בינינו הוא יציג את הפרטים. כמובן, ברור שכשנגיע לתקנות אנחנו נשיב על כל שאלה. אני מנסה רק לתת מסגרת כללית לדיון.

אנחנו מבינים במסגרת האתגר שיש לנו כאן שוק עם הרבה מאוד אבות-טיפוס של מאגרים. אנחנו מבינים שיש כאן מה שאפשר לראות כרגולציה, והדבר הזה לעיתים מרתיע ומפחיד. אני רוצה להזכיר שכבר היום החוק קובע את חובת אבטחת המידע, ומכוחו כבר הותקנו תקנות. כאן אנחנו מביאים תקנות מעודכנות יותר ופרטניות יותר שהוסיפו הנחיה, הכוונה וודאות. אנחנו בעצם לא מחדשים את הרעיון שיש תקנות אבטחת מידע. מעבר לכך החשש שאנחנו מטילים נטל – אני חושב שנתנו לו מענה פרטני כשנגיע לתקנות תוך הפרדה בין סוגים שונים של מחזיקים ועוד כל מיני הגמשות שכלולות בתקנות. אני מברך על הדיון, ומודה לכם על הזמן. אנחנו עומדים לרשותכם. ככל שיעלו שאלות אני מקווה שנוכל לסייע גם בין הדיונים כדי שנוכל לסיים את הדיון בתקנות האלה מוקדם ככל האפשר. תודה רבה.

תודה, איל. אלון בכר, ראש הרשות למשפט, טכנולוגיה ומידע – רמו"ט – בבקשה.

תודה. בוקר טוב. כפי שאיל אמר התקנות האלה הן תולדה של שיח ציבורי וממשלתי מקיף וארוך שנים. למעלה מחמש שנים השיח הזה כלל היוועצות, העברה להערות, פגישות ושיחות עם גופים מסחריים ועם משרדי ממשלה ובעלי עניין אחרים. התקנות עברו הרבה התאמות, ונידונו הסוגיות המרכזיות שהתקנות האלה מעלות. זה יום חשוב למדינה בכלל ולא רק לפרטיות כזכות חוקתית ספציפית. הליך החקיקה פה מהווה דוגמה לדרך שבה עושים חקיקה משתפת. אולי לקח יותר מדי זמן, אבל בסופו של דבר בתקנות בהיקף כזה ובמורכבות טכנולוגית כזאת הן היו משתפות ככל שניתן לשתף בתהליך חקיקה כזה.

באופן כללי התקנות האלה שואבות השראה וחופפות לתקני אבטחת מידע מקובלים בעולם. אני אדבר בהמשך על הדברים שמתרחשים בישראל בהקשר הזה. חשוב לי מאוד לומר גם בהיבט הכלכלי אבל גם בהיבט של מעמדה של ישראל בכלל בקרב אומות העולם, שמעבר שלהן והטמעה שלהן יקדמו את המעמד של ישראל בזירת הפרטיות הבין-לאומית. אני גם אגיד כמה מילים על זירת הכלכלה הגלובלית משום שאנחנו חיים היום בעולם שיש בו גלובליות, דיגיטציה וכלכלה דיגיטלית. אבטחת מידע אישי היא סוגיה מאוד מרכזית שנידונה בכל גוף בינלאומי משמעותי שעוסק בכלכלה. אם אנחנו מדברים על פרטיות, בוודאי מי שעוסק בפרטיות.

חוק הגנת הפרטיות בנוסחו היום בעצם קובע הוראות ספורות וכלליות בתחום אבטחת המידע על מי שמנהל מידע אישי דיגיטלי. אני רוצה לעשות סדר בבליל ובבלגן שיש כאשר אנשים צריכים להבין לפי הוראות ספורות וכלליות מה הם צריכים לעשות. אנחנו לא מדברים פה על מעט גופים ומעט מידע, אלא מדברים על הרבה מאוד גופים שמנהלים מאות אלפי מאגרים על כל האזרחים בישראל. הצורך לדעת איך לעשות את זה, ומה הרף המינימלי שאתה צריך לעמוד בו כשאתה מנהל את המידע הזה הוא צורך חיוני. לטעמנו, ההבהרה של הדבר הזה חסרה כיום. אנחנו נתקלים על בסיס יומיומי כשאנחנו עושים פיקוחים וחקירות בקרב גופים שמנהלים מידע אישי, ומגלים את שני הצדדים של מטבע אי הוודאות. גופים מסוימים לוקים בחסר ועושים פחות מדי, ובעצם עוברים על החוק, וגופים אחרים עושים הרבה מדי לפעמים; מוציאים יותר מדי כסף, ועושים אבטחת יתר לעומת מה שהחוק מחייב אותם. בהקשר הזה הוודאות הרגולטורית שנכונה לכל דבר נכונה מאוד גם בתחום מתפתח כזה שבעצם נוגע להרבה מאוד גופים, ולא רק לגופים מתמחים.

לטעמנו, התקנות האלה יסירו ספקות לגבי אמצעי האבטחה הבסיסיים למידע אישי ולשמירה על פרטיות של מידע. במובן הזה אנחנו חושבים, כפי שאיל אמר, שאין פה יצירת רגולציה חדשה, אלא יותר הבהרה של רגולציה קיימת. אנחנו לא תמימים לחשוב שזה לא ייצר פעילות בכלל המשק בקרב גופים שיגלו שלמרות שהחוק חייב את זה עוד קודם הם לא עמדו ברף המינימלי, ויצטרכו לעשות התאמות. אנחנו גם מבינים את זה וגם נהיה מאוד רגישים לזה.

אתה אומר שאין רגולציה חדשה, אבל מצד שני אנחנו כן מטילים חובות חדשות. במהות לא, אבל התקנות כן מטילות.

מעט מאוד. אנחנו ניכנס לזה כשנגיע לתקנות, אבל התקנות מכילות מעט מאוד חובות חדשות, והן בעיקר מפרטות את החובות הקיימות בצורה יותר סדורה ובהירה עם הפרדה ומודולריות בין סוגי המידע והגופים הרלוונטיים שמחזיקים אותם. חשוב לי להדגיש את זה כי אני מבין שזה משהו שיכול להטריד וזה בסדר שזה מטריד שההטמעה של הדבר, האכיפה של הדבר מכל בחינה שהיא – גם כי אנחנו מבינים שזה נכון, וגם מכיוון שאנחנו צריכים להיערך לאכיפה, להטמעה ולהסברה של שינוי כזה שייעשו בצורה מאוד מדודה וזהירה, ויינתן זמן למשק להתאים את עצמו. אף אחד פה לא רץ לעשות שום דבר במהירות. מה שכן חשוב זה שהתקנות יעברו במהירות. אם יש משהו שכל אנשי אבטחת המידע, אנשי הפרטיות ובכלל אנשי הטכנולוגיה בישראל שאיתם נדבר, יגידו שהמצב של ישראל בהקשר הזה הוא לא מצב טוב. זה צריך לקבל קפיצת מדרגה, והוא מטופל בכמה רמות. אנחנו מדברים פה על רמת המידע האישי. יש פה עוד רבדים של מידע שמטופלים על-ידי גופים אחרים. אני גם אתייחס לזה עוד כמה דקות.

לגבי האינטרס הציבורי אני אומר רק בכמה מילים קצרות – העידן שבו אנחנו חיים, עידן המידע, עידן הדיגיטציה, עידן שבו המידע האישי שלנו הוא חלק ממערך של big data שבו עושים שימושים גופים שונים בכל רחבי העולם מחייב את כולנו ואת מי שמנהלים את המידע שלנו לעשות את זה באחריות תוך שמירה על הפרטיות שלנו ועל השימושים הראויים והנכונים. במובן הזה אנחנו נמצאים בזמן האמת. בזמן הזה – פרסום של נורמה כללית והטמעה מסודרת שלה הוא משהו שהפך להיות לא מאוחר מדי. אנחנו כבר ברגע הנכון מאוד כדי שהדברים האלה יוטמעו משום שהעולם כבר שם, והעולם הולך למקומות יותר מפותחים בעניין הזה, ואנחנו רוצים להימנות עם העולם המתקדם בעניין הזה, ולא להישאר אחורה. חשוב לי להדגיש אינטרס כלכלי לאומי בהקשר הזה בהעברה והטמעה של התקנות האלה ודברים נוספים שהממשלה עושה במקביל.

בכלכלה הכלכלית הגלובלית וכמי שיושבים ב-OECD ובמקומות אחרים שבהם הדברים נדונים אגב אבטחת מידע ופרטיות הנושא של אמון צרכנים ברשת ואמון צרכנים במידע שהם נותנים שנעשה בו שימוש ראוי ונכון, והוא נשמר בצורה תקינה זה אבן יסוד לכלכלה העולמית המתקדמת והמתפתחת, וזה דבר שנדונים בגופים הכלכליים הבינלאומיים המפותחים והמשמעותיים ביותר. בהקשר הזה הצרכנים גם מוטרדים בכל הרמות גם בארץ וגם בעולם משימוש עודף במידע שהם נותנים; גם מוטרדים מהשאלה מה יקרה עם המידע שהם נותנים, מי עושה בו שימוש, ולאן הוא הולך; וגם הגופים הבינלאומיים שקובעים את הרגולציות לדבר הזה שמים על זה דגש מאוד גדול. במובן הזה מעבר של התקנות האלה ישים את ישראל, לפחות בהיבט הפרטיות, במקום טוב בקרב המדינות המפותחות, בקרב מדינות OECD. את זה אנחנו לא יכולים להגיד כרגע כאשר השימושים והיישומים של אבטחת המידע האישי נתונים לפרשנות מאוד רחבה, ובהרבה מאוד מקרים אנחנו מגלים שהם לוקים בחסר.

העלאת רמת אבטחת המידע הפרטי במשק ויצירת סטנדרט שיהיה נהיר לכולם הוא גם חיוני לשיפור התועלת הכלכלית והחברתית וישפרו גם את המעמד הבינוני שלנו. חשוב שנזכור את זה.

לגבי התקנות עצמן והמבנה שלהן – המתכונת המודולרית שלהן, בניסוחן הבאנו בחשבון את העובדה שיש מידע אישי מכל מיני סוגים שמוחזק על-ידי כל מיני גופים. כל סוג מידע וכל סוג של גוף ושימושים בו מייצר סיכון אחר, רגישות אחרת; יש אלמנט של גודל, יש אלמנט של סוג המידע, יש אלמנט של שימושים במידע. במובן הזה נקבעו שלוש דרגות לאבטחת המידע, לפי אופי המאגר, תוך התחשבות מרבית ככל שיכולנו אחרי כל הדיונים לחשוב אחריה בעוסקים יחידים ובעוסקים קטנים כי אנחנו מבינים שהפוטנציאל המשמעותי לקושי ביישום הוא על עסקים קטנים וגורמים שההוצאה של אבטחת המידע ברמה וברף המינימלי עדיין יהיו לא פשוטים בשבילם. במובן הזה עשינו ניסיון להביא למצב שבו ככל שמדובר בגוף קטן שגם האמצעים שלו מוגבלים וגם הסיכון מהמידע שהוא מנהל הוא יחסית לא גדול, כך תחול עליו חובה יחסית פחותה. אנחנו מבינים את הרגישות – זה לא נסתר מעינינו. היה ניסיון מאוד משמעותי להגיע לניסוח ולפילוח כזה שיאפשרו את ההקלות האלה.

דבר נוסף שחשוב לציין, ויש בו היבטים משפטיים וכלכליים זה הנושא של הניטרליות הטכנולוגית. התקנות האלה מבוססות על עיקרון של ניטרליות טכנולוגית. לא ניתנה בתקנות העדפה לטכנולוגיה כזאת או אחרת מכל מיני סיבות. הסיבה הראשונה היא שההתפתחויות בתחומים האלה הן כל כך מואצות וכל כך בלתי צפויות, שהניסיון לקבוע סוג של טכנולוגיה כזאת או אחרת או רשימת טכנולוגיות יהיו טעות. התקנות האלה אמורות להישאר אתנו שנים רבות, ולא נהיה זקוקים לחזרה לכנסת בעוד שנה או שנתיים כדי לבקש לעשות תיקונים. הדבר השני שהוא חשוב לא פחות, ובמובנים מסוימים אמור לתת סוג של קריאת הרגעה למה שצפוי בשנים הקרובות בהקשר הזה, הוא שברגע שאין העדפה לסוג טכנולוגיה אחת אנחנו לא פוגעים בתחרות במשק, אלא פותחים את זה לשימושים של כל גוף טכנולוגי שכבר עושה שימוש בטכנולוגיות כאלה או מפתח טכנולוגיות כאלה. אנחנו מעריכים שמכיוון שההטמעה של זה שתהיה מתונה, אבל תתחיל בחודשים הקרובים, תייצר גם שוק חדש ותחרות גדולה שאנחנו מקווים שגם יוביל להוזלה של עלויות. הרי אנחנו יודעים שבתחומים שבהם יש מעט אנשים שמבינים במשהו ומוכרים את המוצר, המוצר הזה הוא יקר ולא נגיש, וברגע שמתפתחת תחרות ונכנסים גופים נוספים שמפתחים ככה זה יותר נגיש, ועם הזמן גם הופך להיות יותר זול.

יש לכם מצגת שאתם רוצים להראות? לא צריך, אוקיי.

זה קורה תוך כדי שאני מדבר. אני לא נכנס לרמת התקנות.

אפרופו ההיערכות, ההטמעה וההנגשה של התקנות האלה – אף על פי שאמרנו בהתחלה התקנות משקפות סטנדרט שכבר קיים, וגם אומץ בפועל על-ידי לא מעט גופים. אנחנו נאפשר וניתן זמן היערכות להטמעת התקנות בצורה מסודרת על-ידי גופים שלא אימצו את הסטנדרט הזה או סטנדרטים דומים. האכיפה שרמו"ט תבצע בהקשר הזה תתבצע בהדרגתיות - -

מה זה הדרגתית?

זה אומר שבשלב הראשון עושים הסברה והנגשה ודואגים שהנושא יחלחל ויגיע, ורק בשלב מאוחר יותר נעסוק באכיפה של ההוראות ובווידוא שהוראות החוק מקוימות בהקשר הזה. אנחנו נבין שהמשק צריך זמן להסתגל לשינויים האלה, ובוודאי גופים שקודם לא הטמיעו את הדברים או לא הבינו אותם עד תום, וצריכים לעשות את זה. אנחנו יודעים שתהליכים כאלה לוקחים קצת זמן, הם לא קורים מהיום להיום. במובן הזה – לא שהיום אנחנו לא עושים את זה אבל אחרי שזה יפורסם, יוטמע ויונגש לא רק היישום יהיה מודולרי והתקנות מודולריות, אלא גם האכיפה תהיה הדרגתית.

אתה יכול לתחום בזמן את תהליך ההנגשה ההדרגתי?

אני לא יודע אם אני יכול להגיד את זה בצורה סכמטית - -

לא, באופן רופף. חודשים? שנים? עשור?

חודשים בוודאי.

יש פה שני דברים – קודם כול התקנות ייכנסו לתחולה לא באופן מידי גם כך. אז יש ההיבט הראשוני מתי התקנות בכלל נכנסות לתוקף. זאת הרמה הראשונה, וזה חשוב, כי ברגע שהן מפורסמות אבל לא בתוקף כבר יש לשוק הזמן להתחיל להיערך. הטמעה של התקנות האלה אחרי שהן כבר בתוקף היא תהליך שלוקח חודשים. לכן הזמן שבו הן ייכנסו לתוקף והזמן שבו האכיפה תיכנס להילוך משמעותי – מדברים על חודשים כאן וחודשים כאן, ולכן אנחנו מדברים על תקופת זמן שתספיק ליישום הדברים בצורה סבירה בלי מהירות יתר או לחץ. במובן הזה אכיפה של אבטחת מידע אישי מתקיימת כל הזמן גם בימים אלה וגם ברגעים אלה על-ידי אנשי האכיפה של רמו"ט. גם במובן הזה כל מקרה לגופו ייבדק. כשיהיה אירוע מאוד קשה או מידע רגיש שתהיה אתו בעיה, בוודאי שנאכוף את זה גם אחרי שהתקנות יעברו. אבל בכל מקרה שאנחנו לא מדברים על משהו קיצוני שממילא נאכף גם היום בצורה משמעותית, אנחנו נעשה את זה בצורה מאוד מתונה.

עוד דבר שאנחנו רוצים להדגיש הוא כפול. אחד זה נושא של ההנגשה לאנשים שהם לא עורכי דין ולא אנשי אבטחת מידע. בימים אלה אנחנו בעיצומה של עבודה על כתיבת מדריך למשתמש שיהיה בעברית, ויסביר בדיוק מה כתוב בתקנות. מכיוון שהתקנות פונות גם לאנשי מקצוע - -

תחכו עם ההדפסה, לפחות עד שנסיים את הדיונים.

אנחנו לא מדפיסים, אנחנו כותבים. זה גם עוזר לנו להבין טוב יותר את מה שכתוב שם.

אחרי שהתקנות יעברו ואחרי שהנוסח יושלם אנחנו נפיץ כמה שיותר מהר אחר כך מדריך בצורה מאוד פשוטה כדי שכל אדם יוכל לקרוא, להבין ולקבל רצף שבו יישאלו שאלות, ויהיו מין "כן" ו"לא" מאוד פשוטים כדי שהאדם הפשוט שהוא לא איש אבטחת מידע ולא עורך דין יידע מהר מאוד להבין לאיזו קטגוריה הוא נופל, ומה הוא צריך לעשות כדי לשמור על החוק ועל המידע האישי שהוא מנהל.

זה יהיה באותיות יותר גדולות, נכון?

זה יהיה יותר גדול.

מה מספר הארגונים שהאנשים בארגונים צריכים לקרוא ולהבין? אני רוצה להבין סדרי גודל – מאות, אלפים, רבבות?

רבבות. גופים שמנהלים מידע אישי, יש רבבות לפחות.

סיימת, אלון?

עוד דבר אחד: אנחנו לא פועלים בוואקום. לצדנו מוקמת בימים אלה רשות לאומית להגנה בסייבר שעוסקת בכלל בהגנת הסייבר הלאומית. חשוב שיודגש שהתקנות האלה וגם הפעילות שלנו מתואמות לחלוטין גם עם תורת ההגנה שנכתבת על-ידי הרשות הלאומית להגנה בסייבר וגם עם פעילות שהיא תעשה להטמעה של תורת ההגנה. במובן הזה אם יש מישהו שחושש מהתנגשות או מדרישות כפולות או סותרות אני רוצה להרגיע אותו פה. לא יהיו כאלה. זה תואם לחלוטין. אנחנו עובדים בשיתוף פעולה הדוק. במובן הזה לא יהיו כפילויות ולא דרישות שונות בנושא אבטחת מידע מרשות שעוסקת בהגנת מעטפת סייבר לבין רשות שעוסקת בהגנת מידע אישי.

- - - בעניין הזה? "עובדים בשיתוף פעולה" זה דבר מאוד רחב.

קודם כול אני מצהיר את זה לפרוטוקול. התקנות מאפשרות להכיר בתקנים ובחקיקה מקבילה. במובן הזה כבר התחלנו לעשות שימוש בדיונים שקדמו להגשת התקנות לכנסת - -

לחקיקה קיימת.

כן, לרגולציה קיימת. התקנות מאפשרות להכיר ברגולציה קיימת שעומדת בסטנדרט כדי שלא יהיו כפילויות, לא יהיו סתירות ולא יהיו אי בהירויות שייצרו משהו חדש.

אני אשמח שאחרי אלעזר גם חברי הכנסת ידברו ואז גם תוכל לענות כי זה מעלה עניין.

חבר הכנסת סויד, אם אפשר רק להשלים משפט ששכחתי. שכחתי להזכיר את יושבת ראש המועצה הציבורית להגנת הפרטיות שנמצאת כאן, גברת אורית פודמסקי. המועצה הזאת היא גם גוף שפועל תחת שרת המשפטים, והוא רלוונטי בהיבט הזה.

תצטרפי אלינו לשולחן, אורית.

אלעזר, בבקשה. אחר כך חברי הכנסת.

אני אגיד כמה נקודות כלליות שראוי שישרטטו את מתווה הדיון. קודם כול אין חולק על החשיבות של התקנות ושל הצורך באבטחת מידע וגם על הצורך בהסדרה מעודכנת יותר של הנושא. כיום ההסדרה שלו אינה מעודכנת למצב הנוכחי. עם זאת צריך לקחת בחשבון כמה נקודות. התקנות האלה מעוררות שאלות מכל מיני היבטים הן בהקשר להיקף של הרגולציה והן בהקשר של העומק של הרגולציה. מעל כל הנקודות שאני אגיד בקצרה עכשיו אנחנו צריכים לזכור כל הזמן שההגדרה למאגר מידע היא מאוד רחבה כיום לפי החוק. לכן אנחנו צריכים להסתכל על התקנות האלה במנעד מאוד רחב בין המאגרים הכי גדולים, כבדים ורגישים עד למאגרים של האזרח הקטן, המשתמש, בעל המקצוע הקטן. כל מאגר הוא רגיש, אבל יש פה מנעד מאוד רחב. כשנעבור על כל תקנה אנחנו צריכים לראות מול העיניים את המנעד הרחב הזה. התקנות עושות דיפרנציאציה בין סוגים שונים של מאגרים, ובכל זאת כדאי שזה יהיה במודעות.

אני אתן בקצרה כמה סוגיות. קודם כול היחס בין הרגולציה הזאת לבין רגולציות אחרות שיש בהקשרים אחרים של אבטחת מידע וגם בתוך הרגולציה הזאת - -

אדוני, אם תוכל להחליף אותי רגע.

(היו"ר זאב בנימין בגין, 10:30)

- - הנושא הזה של הרבדים השונים, של הסוגים השונים של המאגרים – מה בדיוק התמהיל של ההיבטים שצריך לעשות כדי להבחין בין סוגי המאגרים השונים, מה היחס בין סטנדרט האבטחה שהתקנות האלה מבקשות להנחיל לעומת סטנדרט האבטחה המקובל בעולם ומקובל בשוק כיום; מה המשמעויות הכלכליות של התקנות האלה הן בהתחשב בעובדה שלחלק מהגופים כבר היום יש הוצאות על אבטחת מידע וכן נוכח העובדה שכבר היום יש בכל מקרה חובה לאבטחת מידע.

היבט מאוד חשוב לתת עליו את הדעת זה ההיבט היישומי של התקנות האלה. הוא יישומי בשני מובנים: עד כמה באמת גורמים, ובמיוחד הגורמים הקטנים והבינוניים, יהיו מסוגלים ליישם את התקנות האלה; ובעיקר יישומי במובן עד כמה הציבור יידע על החובות שלו. מכיוון שהמנעד מהם מאגרי המידע הוא מנעד כל כך רחב, כמובן, חשוב שהוועדה תאשר תקנות שמצד אחד יוצרות את הסטנדרט המיטבי לאבטחת המידע ומצד שני לא יוצרות מצב שבו אנשים – בגלל חוסר מודעות, בגלל חוסר אפשרות, בגלל עלויות כלכליות – בגלל היבטים כאלה ואחרים הופכים בעצם למפרים של התקנות שלא בכוונה. זאת אומרת לא מתוך רצון להפר, אלא בגלל חוסר מודעות. הם לא יודעים בכלל שמה שיש להם זה מאגר מידע, והם לא מבינים מה החובות שלהם.

נקודה שחשוב לי להבהיר – ופה אני אציג את הדברים בצורה קצת שונה מאלון. בעיני, כשיש חובה כללית בחקיקה – וקיימת חובה כללית של אבטחת מידע כבר היום – לבוא ולחוקק תקנות בהיקף כזה ובעומק כזה – קשה לי לראות בזה רק הבהרה של המצב הקיים או עשיית סדר. קיימת חובה לאבטחת מידע כללית ועקרונית. יש גם היום בתקנות הקיימות שהן לא כל כך מעודכנות חובות מסוימים שהן מחילות, ואנחנו צריכים להתייחס לזה במלוא הרצינות הראויה לא רק כסוג של הבהרה של מצב קיים. זה באופן כללי. כשניכנס לתקנות נתייחס בצורה יותר נקודתית.

תודה, אלעזר. חבר הכנסת סעדי, בבקשה.

רציתי להגיד פעם אחת "גברתי היושבת-ראש" לרויטל, אבל היא יצאה אז היא הפסידה.

אני אמסור לה.

זה רשום בפרוטוקול, זה בסדר.

אדוני היושב-ראש, חברי חברי הכנסת, מדובר בנושא חשוב מאוד. אני קראתי את התקנות בעיון, ועכשיו אני יודע – אמרת "איזו עבודה מעלפת", ועכשיו אני יודע מי עומד מאחורי זה אז אני לא מתפלא אחרי היכרות של יותר משלושים שנה.

אין ספק בחשיבות הנושא במיוחד שחוק ההגנה על פרטיות הוא אחד החוקים החשובים. כל הזמן יש פרצות בחוק הזה, ויש ניסיונות לצמצם את החוק הזה, ולפגוע בפרטיות של אנשים. לכן חשוב מאוד שהתקנות האלה יחליפו את התקנות הישנות. אבל אני סבור שבחלק מהתקנות מדובר בעקרונות שהיה ראוי להכניס לחקיקה הראשית ולא להסתפק בתקנות. כל עקרון האבטחה וממונה על אבטחה וביקורת מערכתית או משפטית – עקרונות כאלה הייתי מכניס לחוק, ואז התקנות רק מפרטות איך לעשות את הנהלים האלה, איך ממנים את הממונה, מה הדרישות מהמונה, מה הכישורים של הממונה. אבל עקרונות כאלה, בוודאי, המקום שלהם היה בתוך החוק עצמו.

על אף ההתקדמות הטכנולוגית והאבטחה ראינו גם מקרים בעולם שפרטים ומידע אישי דלפו ואפילו מסמכים סודיים ביותר דלפו. אני לא רוצה להזכיר את המילה "ויקיליקס" שעשרות אלפי מסמכים גם של אנשים וגם דפי חשבון של אנשים, מספרי ויזה – הכול דולף היום. אז על מה אנחנו מדברים? לכן חשוב מאוד שברגע שנתחיל בתקנות עצמן יש לי הרבה תיקונים והצעות לשיפור. אבל הכיוון הכללי הוא שאנחנו מברכים על העבודה הזאת, על התקנות החדשות. הכיוון הוא חשוב – לעגן את כל העניין של הגנה על הפרטיות בתקנות ולהתאימן לקדמה ולחידושים בטכנולוגיה המודרנית. תודה, אדוני היושב-ראש.

תודה רבה, אוסאמה. חבר הכנסת מקלב, בבקשה.

האמת היא שאתה צריך לדבר, לפי הסדר.

לא, אני לא יכול להשתמש לרעה בסמכותי זאת. אני אשמח להשתמש לרעה בסמכויות אחרות, אבל אין לי סמכויות אחרות.

תודה, אדוני היושב-ראש. אני לא הייתי בתחילת הדיון ויכול להיות שפספסתי משהו. הנושא הזה של ההסדרה מעסיק אותנו ומטריד אותנו מאוד. אני בכובע של יושב-ראש ועדת המדע והטכנולוגיה. אנחנו מודעים לכך וחלק - - - של הסייבר. אבל אין ספק שממילא זה גם נושא של מאגרי מידע. הוא מטריד אותנו, ואנחנו נתקלים בו בהרבה צמתים. אני בטוח שעכשיו כשאנחנו מביאים תקנות זה באמת דבר בעתו ובזמנו.

בעיני אני רואה שזה מתחלק לשלושה חלקים: החלק הראשון הוא החלק המרכזי – החלק של המאגר. כל מאגר הוא מאגר. כאן יש גם הדרגתיות לגבי המידע הרגיש שיש במאגר הזה. לכן כשאנחנו באים לעשות רגולציה צריך לדעת שצריך להיות מאוד רגישים כי הרגולציה מעורבת מאוד, וצריך לדעת לעשות את זה בהתאמה, וטוב שזה דיפרנציאלי. אבל צריכה להיות גמישות והתאמה לכל מיני סוגים. אין שפה אחת בעניין הזה. המאגר הוא שם מאוד כולל, אבל הוא כולל הרבה מאוד דברים שצריך לתפור חליפות והסדרה להרבה סוגים. החוכמה היא שנדע לעשות את זה בצורה שלא תפריע למהלך תקין או שלא תחיל תקנות במקומות שלא צריכים. אבל במקומות שצריכים שתהיה גם התאמה. זה הנושא של מאגר – מה מותר, מה אסור, ואיך צריך להשתמש בו.

החלק השני הוא העברת המידע עוד לפני שאני אומר "סייבר". מי שיש לו מאגר מידע – איזה שימושים הוא עושה בו. גם אם הוא יכול להוכיח שהוא מנהל את המאגר שלו נכון אני לא יודע איך הוא יכול להעביר את המידע או אפילו לסחור אתו. זה חלק חשוב.

החלק השלישי זה הגנת המידע שגם אם הוא מתנהל אחרת שמישהו מבחוץ לא יתנהל אתו. לכן נשאלת כאן השאלה לגבי ההסדרה בין הרשות להגנת הסייבר בהתאמה שיש לכם. שלושת הדברים האלה: מאגר המידע, העברת המידע והגנת המידע הם שלושת הנדבכים המרכזיים שהם חשובים וצריכים לקבל מענה. על כולם צריך להיות הפיקוח. כל תקנה שאנחנו נעשה – אם לא תהיה לנו אכיפה ולא פיקוח בעניין הזה אנחנו לא תהיה לזה כמעט משמעות כיוון ששם המשחק בעניין הזה הוא פיקוח מתוחכם. חבר הכנסת בגין שאל בכמה מדובר. לא נוכל לעשות את זה אם לא נעשה את הפיקוח על זה בצורה מתוחכמת שתהיה גם גורם הרתעה וגם כדי שנוכל לראות שהכול פועל. אני מקבל מה שאמר היועץ המשפטי שחוסר מודעות זה נושא מאוד גדול, וצריך לעבוד יחד עם הסברה מודרנית כחלק מהטכנולוגיה החדישה. תודה, אדוני.

תודה.

חברת הכנסת מלינובסקי, בבקשה.

תודה רבה, כבוד היושב-ראש, חברי חברי הכנסת. הרשות למשפט, טכנולוגיה ומידע קיימת תחת משרד המשפטים. לפי הבנתי ולפי בדיקתי – ואני מסתייגת, אולי אני טועה – הרשות הזאת חסרת שיניים גם היום. גם היום הסמכויות הן לא סמכויות, האכיפה היא לא אכיפה. נחשפתי לסיפור מצחיק שאחד החוקרים של הרשות פנה לבנק בשאלה כלשהי, ואחרי חמש דקות הוא קיבל סמס שהציעו לו בו הלוואה. זאת אומרת הטלפון שלו נכנס ישר למאגר של הבנק. זה לא סיפור דמיוני. זאת אומרת הבעיה היא הרבה יותר עמוקה ממה שאנחנו נחשפים לה פה.

התקנות האלה מתגלגלות, לפי הבנתי וידיעתי, כבר חמש שנים. כבר חמש שנים הרשות לא מצליחה להעביר את התקנות האלה, וזאת פעם ראשונה שזה בא על שולחן הכנסת. זה לא טוב. זה סימן מאוד מדאיג. למה רק עכשיו? חמש שנים זה כבר בעבודה ואיכשהו מתגלגל.

אבל יש תקנות.

לא, אבל כבר חמש שנים הם רצו להתקדם עם זה וזה לא הלך להם. לפי מה ששמעתי, שרי המשפטים לדורותיהם לא היו מעוניינים בזה כל כך. עכשיו שרת המשפטים איילת שקד סוף-סוף מתעניינת בנושא הזה, אז כנראה זאת הסיבה שזה על שולחננו.

אני חוזרת ואומרת שעד שהרשות הזאת תהיה כפי שהיא היום בחוסר סמכויות, בחוסר כוח אדם ובחוסר יכולת להתנהל אז אף תקנה לא תעזור כי צריך לאכוף אותן, והם כרגע לא יכולים.

לעצם התקנות – התקנות נבנו בדירוג גבוה, בינוני ונמוך. מה שקשור לממשלה ולמגזר הציבורי צריך להיות בהגנה הכי גבוהה; מערכות גדולות זה בינוני; ועסקים קטנים זה ההגנה הקטנה שאפשר לעשות אותה - - - או - - - אני לא מסכימה עם החלוקה הזאת. למשל, יש עמותות שמתעסקות עם אימוץ. היה מקרה שדלפו לרשת אלף חמש מאות תיקים על אימוץ ילדים, וזה כביכול עמותה. אז כביכול לפי ההגדרה הזאת זה ילך לפי הגנה נמוכה. אבל זה מידע סופר-רגיש. יהיה נכון לעשות את זה ברמת הרגישות כי יכול להיות שיש גוף קטן, אבל המידע שהוא מחזיק הוא רגיש מאוד עד ששם צריך סופר הגנה. אז אני כבר חולקת על הבנייה של התקנות האלה. צריך לשנות את זה.

אני יודעת שיש התנגדות מאוד חריפה של הבנקים ומערכות פיננסיות. הם טוענים שהם יושבים תחת רגולציה של בנק ישראל, והם לא צריכים שום רגולציה אחרת. גם על זה אני חולקת. בנקים יודעים על המידע שלהם, אבל מה עם הלקוחות? אני לא אספר פה חדשות – רק לפני שנתיים היה סיפור עם לאומי כארד שהמידע של המאגר דלף, אחר כך ניסו לסחוט את החברה. לכן אני סבורה ובטוחה שזה צריך לחול על כל המשק בדגש על מערכות פיננסיות כי זה מידע סופר רגיש. מה שחשוב לנו בחיים זה ילדים וכסף. בגדול זה שני דברים שמאוד נוגעים בנו, וזה מידע שאנחנו לא רוצים שילך לשום מקום.

עוד שאלה ששאלתי את עצמי היא איך להתייחס למגזר מוניציפלי. כי גם בעיריות ובמגזר המוניציפלי נמצא הרבה מידע. האם זה ציבורי שזה בדירוג גבוה או זה עיריות? מי יכול לענות לי על זה לפי הדירוג הזה? אלה שאלות שעולות לי תוך כדי דיון. אז שוב אני אומרת, לא ללכת לפי גודל. יכול להיות שגם וגם. אבל עם סייג לרגישות ששם זה יהיה משהו נקודתי-ספציפי.

אפרופו דיון מאגרי מידע וכמובן לחזק את הרשות – כפי שזה היום שום תקנה לא תעזור. לגבי מאגרי מידע – אנחנו רואים את הקלות הבלתי נסבלת שבה זה דולף אפרופו מאגר ביומטרי שזאת בעיה בפני עצמה. תודה רבה לך. אני מאוד שמחה שזה כבר קורה, אבל אני לא חושבת שזה יקרה מאוד מהר כי שמעתי שחשבתם שהיום כבר יהיו הצבעות. זה רחוק משם.

לא באמת חשבנו.

חברת הכנסת מלינובסקי, רק תשובה קצרה לשאלתך. רשות מקומית היא גוף ציבורי, לפי ההגדרה שבסעיף 23 לחוק.

אבל עמותה שמתעסקת באימוץ?

אני לא מכיר אותה עד הסוף, אבל אם יש לה תפקיד סטטוטורי, והיא מוכרת על פי דין זה משהו אחד.

לא, לא. אתה הבנת את הבעייתיות?

רשות מקומית, לפי ההגדרה בסעיף 23, היא גוף ציבורי.

לא. היא מדברת על עמותה.

רשות מקומית - -

היא שאלה גם על עמותה.

זה תלוי בטיב העמותה. אם זאת עמותה שיש לה הכרה סטטוטורית, והיא ממלאת תפקיד סטטוטורי לפי דין היא תיחשב גוף ציבורי. אם לא זה גוף פרטי.

יש גם עמותות פרטיות שמתעסקות באימוץ. אתה יודע את זה.

בסדר גמור. זאת ההגדרה של גוף ציבורי בסעיף 23.

גם אין לה רישום גדול. הרישומים שלה מאוד קטנים אבל מאוד רגישים.

תודה רבה.

את רואה, חברת הכנסת מלינובסקי, שהדברים לוקחים זמן, אבל הם קורים. בהקשר זה כדי לנסוך אופטימיות אני מבקש להזכיר שההחלטה על מימוש רכבת חשמלית בירושלים נפלה ב-1907 בעירייה העותומנית של ירושלים. חלפו רק מאה שנים – ויש לנו רכבת, והיא אפילו מצוינת. אז מה זה חמש שנים? גם אם יתמהמה בוא יבוא. זה בכל זאת נותן לנו פרספקטיבה.

אתה אומר, חצי הכוס המלאה.

אנחנו מתקדמים. הבעיה היא שהקצב של ההתפתחות, על פי חוק מוּר, הוא שקשה לנו להשיג את ההתפתחות של מזעור השבבים והעוצמה שלהם.

אני אוסיף שאלות – אנחנו רואים כאן שילוב של הגדרה של מידת החומרה, מידת החשיבות או הרגישות של המאגר לבין בתוספת השנייה הגדרה של הגודל. ייתכן שחלק מהדיון הוא בשתי התוספות הן הגדרות הגודל והן הגדרות הרגישות. אם כי לגבי אימוץ, לדעתי, בתוספת השנייה 3(א) – מידע על צנעת חייו האישיים – זה כבר מכניס אותנו לבינונית. אבל יכול להיות שאפשר אף על פי שאנחנו לא רוצים לסבך מדי את הטבלאות ולהכניס הגדרות משנה. ודאי שאנחנו רואים שההגדרה בתוספת השנייה - -

אם תשים לב במסמך שהנחתי על שולחן הוועדה, באמת אחת הסוגיות המרכזיות לדיון היא בין היתר שאלת הריבוד של סוגי המאגרים השונים, ומה בדיוק התמהיל בין ההיבטים השונים של סוג המידע, היקף הגורמים שעליהם - - - המערכת. יש פה תמהיל מסוים שהתקנות יצרו, שכדאי להסתכל עליו.

לכן אני אומר, אנחנו עובדים בשיטה העשרונית, ולכן המספר של מאה אלף הוא הכי עגול שאפשר היה להגיע אליו, אבל לו עבדנו על בסיס 2 היינו מקבלים, כנראה, מספר אחר.

אני רוצה לשאול שאלה שהיא מעבר לאלגברה. שאלנו שאלה כזאת בחוק השקיפות של העמותות. מציבים כלל, אבל אז כדאי לשאול במידה שאפשר לקבל תשובה, מי עומד מאחורי האלגברה; מי הם הארגונים שיש להם מאגר מידע שיש בו מידע על אודות מאה אלף אנשים ומעלה. אני מדבר על הגדולים, ולא על עשרות אלפי הארגונים הקטנים. על מי אנחנו מדברים? מידע רפואי – אנחנו מכירים כך וכך קופות חולים. אני יכול לנחש כולן בתוכו, אבל מי עוד? בתי חולים פרטיים, ארגונים אחרים – מי נשאר ברשת כשאני מפעיל את הנפה הזאת. אז אם אפשר לקבל יותר - -

"יד שרה", למשל.

"יד שרה". מאה אחוז.

דוגמה לארגון - - -

מצוין.

זה בראש - - -

אבל יהיה לנו מושג ממשי. זה אלגברה, מספרים כלליים. אז אולי אחד החברים יוכל לומר, רגע, כשאני רואה את הדבר הזה, אז יש לי עוד ארגון כמו "יד שרה" שייתכן שלא חשבנו עליו או נוהגים בו לחומרה, ולא כהלכה. אז אם אפשר לקבל על כך תשובה. לדעתי, אלון, לא קיבלתי תשובה לשאלה על מספר המאגרים הקטנים הביתיים. יכול להיות שאתם לא יודעים, אבל ההערכה צריכה להיות על מה מדובר כי זה נוגע ליכולת להנגיש את התקנות, ושנית לשאול את אותה שאלה, האם המאגרים האלה אכן חשובים. יכול להיות בעל חנות לצורכי חשמל שיש לו עשרת אלפים ואחד קליינטים – אני לא יודע להעריך אם הוא קרוב לפשיטת רגל או לא – אבל אני הייתי רוצה משהו יותר ממשי.

רפי פרנקו מהרשות להגנת סייבר, בבקשה.

(היו"ר רויטל סויד, 10:52)

אני רק אחדד את השאלה של חבר הכנסת בגין: האם אתם גם יודעים לומר כהשערה, לפחות, כמה מתוך המאגרים רשומים, כמה לא רשומים, כמה מתחת לרדאר שלכם, כמה אתם כן מכירים ולא רשומים. זאת אומרת האם יש לכם קנה מידה להעריך?

להעריך מי שלא נכנס?

להעריך בכלל.

להעריך בכלל כדי שנדע את היקף התופעה.

מר פרנקו, הרשות להגנת הסייבר, בבקשה. אנא, האר את עינינו.

בוקר טוב, גברתי היושבת-ראש, חברי הכנסת, הרשות הלאומית להגנת סייבר הוקמה השנה באפריל, ומי שקצת מכיר את הרשות, אז השלד הראשוני שלה הוקם וה-CERT כבר פועל בבאר-שבע. אנחנו כבר מקימים את המגזרים בממשל הישראלי, אותם מגזרים שינחו את היחידות המגזריות ודרכם, כמובן, לארגונים. למעשה, השלמנו את ההקמה. בתוך זה אנחנו כבר אחרי טיוטה ראשונה של תורת ההגנה הלאומית. תורת ההגנה הלאומית מסתכלת מרמת הממשל דרך תשתיות קריטיות – בנקים, פרטיות ועד האדם ברחוב ובביתו. כלומר היא מסתכלת על כל המכלול הזה. אלון אמר בהתחלה שאנחנו מדברים, והתורה שלנו מתכתבת עם התקנות, אבל חשוב לומר שהתורה רואה את כל המדינה מקצה לקצה. בהקשר הזה היא נתמכת, כמובן, באגף ה-CERT, האגף המודיעין ואגפי ההכוונה. מי שמחברי הכנסת לא ביקר עדיין ב-CERT הלאומי בבאר-שבע, כמובן מוזמן. הוא כבר עובד ופעיל ואפילו מבצעי. הוא חלק מתורת ההגנה הלאומית. לכן מבחינתנו התקנות מתואמות אתנו, והן גם לא סותרות את תורת ההגנה הלאומית. תורת ההגנה הלאומית אפילו יורדת לרמת ההנחיות, איך נכון להנחות את המשק הישראלי מארגון קטן לארגון בינוני וגדול. אחד העקרונות הוא שהארגון יכול להבין איפה הוא נמצא על רצף החשיבות שלו, הקריטריות שלו והתלות שלו במערכות סייבר. כלומר בנינו תהליך שלם שבו הארגון יכול להוביל את עצמו להערכה עצמית ולהבין עד כמה הוא חשוף לפעילות סייבר, ועד כמה הוא צריך להשקיע ואיפה הוא צריך להשקיע. מעין "מפת חום" בשפה שלנו ברמה המקצועית.

זאת המלצה. כאן מדובר על תקנות. אם אני מבין נכון, אתה מדבר על המלצה. אתה מדבר על עצם המיפוי. אבל מדבריך לא מובן שמדובר בחיוב. החיוב אמור להגיע בתקנות.

כשאנחנו מסתכלים על עולם הסייבר בתוכו יש תשתיות קריטיות, היבט כלכלי, חיי אדם, שירות חיוני לציבור, פרטיות וכולי. מתוך החלטת ממשלה כשהקמנו את הרשות ובתוכה תורת הסייבר הלאומית יש גם פרק הפרטיות שרואה עצמו ומתכתב עם התקנות האלה. הנושאים לא סותרים זה את זה, שזה מה שחשוב לי לומר היום.

התקנות האלה נעשו בשיתוף פעולה איתכם ומקובלות עליכם בכול?

חיובי.

עוד משהו?

הפעילות שלכם גם מול גופים פרטיים מסחריים?

חיובי.

אבל במעורבות קלה מאוד.

ברמת המגזר. אם נסתכל על מגזר האנרגיה שמנחה תחנות כוח פרטיות הוא יונק את עצמו מתורת ההגנה הלאומית עד לרמת תחנת הכוח הפרטית.

אבל אנחנו לא מדברים על רמת מסחר כמו בנקים שהם איברים חיוניים. אנחנו מדברים על רמה של רשתות שיווק או מועדוני חברים.

חיובי. על מפת חום הם מן הסתם יקבלו הרבה פחות - -

אני לא מבינה - - -

הוא עונה לאורי.

כשאנחנו מסתכלים על ארגון קטן כמו שאמרת אנחנו קודם כול נותנים לו את הכלים לעשות הערכה עצמית איפה הוא נמצא על עולמות התוכן שלו, ולפי זה הוא יראה איפה הוא נופל במפת חום, ויקבל הנחיות מפורטות כדי לעזור לעצמו לשפר את המוכנות שלו נגד התקפות סייבר. כמובן, פרטיות זה אחד המנעדים שאנחנו מטפלים בהם בתוך כל מה שאמרתי.

בעניין הדרכה והנגשה ברורה חלוקת העבודה – מי מדריך, מי מנגיש, מי אחראי. יכול להיות שכפילות היא טובה מבחינת redundancy, אבל יכול להיות גם שזה יהיה שימוש לא יעיל במשאבים. אז ברור מי עושה מה.

זה לא ברור שזה אתם? רמו"ט?

בתקנות הגנת הפרטיות זה ברור שזה רמו"ט.

אתם מגבים זה את זה אבל הרגולציה היא שלכם.

גברתי היושבת-ראש, אני מציע להציף את הנושא כי כמו שאני מכיר מערכות ציבוריות וממשלתיות כאן הם מראים שהכול בסדר, אבל בפנים אנחנו מגלים שיש כל מיני חילוקי דעות. חשוב שאנחנו נחשוף את הדברים האלה בלי שאני יודע.

אני לא רוצה להרוס את התדמית השלילית של הממשלה אבל גם בחדרי חדרים אנחנו מתואמים ורואים עין בעין.

וזה אמר לך חבר קואליציה.

גם כשהייתי באופוזיציה זה היה. זה עובר - -

- - -

רק רגע, יוליה. רפי, אתה רוצה להשלים את הדברים שלך?

אנחנו מתואמים, וחשוב לי לומר שבהקשר הזה איך נוציא את זה החוצה ככל שניתן – כי אין רק פרטיות בסייבר, יש גם פרטיות מחוץ לסייבר. ככל שזה פרטיות בסייבר אנחנו נוביל את העולם הזה בתיאום מסודר. ככל שהפרטיות היא לא בסייבר, כמובן, שם אין לנו אמירה. חשוב להגיד שלא כל הפרטיות נמצאת בעולם הסייבר אף על פי שהוא חלק גדול.

מה צריך לעשות זה באמת לא ה-say שלהם.

הוא מדבר על הדרכה.

יוליה, רצית לשאול שאלה לפני שנעבור לאורית.

אתה אמרת שעסק או גוף כזה או אחר יכול לפנות אליכם.

נכון, כבר היום.

זה בתשלום?

לא.

כבוד היושבת-ראש, כשלא היית פה דיברנו על עמותת אימוץ. במקרה כזה העמותה פונה, ואתם נותנים הנחיות או המלצות, ואז לפי ההמלצות שלכם אתם יודעים להגיד באיזו רמה אני נמצאת? איך זה עובד ביחד טכנית?

- - - לפי התקנות עצמן. התקנות מגדירות מה הקריטריון - -

האם ההנחיות שלו יחייבו את רמת - -

ההנחיה היא לא שיוך לאיזו קטגוריה, אלא מה הפעולות הדרושות.

הנחיה על היישום.

היישום. השאלה, מאגר מסוים להיכן הוא נופל היא שאלה, שלדעתנו, מפורטת בתקנות עצמן.

מכיוון שעלתה גם מחבר הכנסת מקלב וגם מחברת הכנסת מלינובסקי תחושה לא נוחה במקום הזה, ההנחיות תהיינה הנחיות משותפות גם של רמו"ט וגם שלכם? והרגולציה תהיה רק של רמו"ט?

אני אנסה להבהיר ולעשות סדר. אנחנו מדברים היום על תקנות הגנת הפרטיות שעוסקות באבטחת מידע אישי. זאת שכבה אחת של מידע מעוד הרבה שכבות של מידע ומערכות דיגיטליות שלא קשורות רק למידע שהרשות הלאומית להגנה מגנה עליהן ותטפל בהן. מה שחשוב לשים על השולחן כרגע זה העובדה שאנחנו בחנו האם תורת ההגנה שנכתבת ותקנות הגנת הפרטיות (אבטחת מידע) – האם יש ביניהן סתירה? האם אנחנו אומרים פה משהו שהם אחר כך יגידו אחרת או האם הם ינחו משהו שיסתור את התקנות שלנו? התשובה היא לא. אין כזה דבר. מי יפעיל את התקנות הללו? רמו"ט. זה תקנות לפי חוק הגנת הפרטיות, הן עוסקות בפרטיות, והרשות להגנת הפרטיות תאכוף אותן. האם יהיו שיתופי פעולה? בוודאי. יש כבר עכשיו, ואני מניח שיהיו יותר ויותר. לכולם ברור שכשמישהו מקבל מעטפת הגנת סייבר אז כל המערכת שלו מוגנת יותר. פה יש הדגשים שקשורים למידע אישי ולמה שקורה עם מידע אישי. זה רק חלק מתוך המערכות שבהן מדובר. נגיד ככה – רמו"ט לא מספיק גדולה כדי לעשות דברים שמישהו אחר יעשה, ואף אחד מאתנו לא ירצה לעשות דברים לא בכפילות ולא בסתירה. בסתירה אנחנו מוודאים שאין; בכפילות, בוודאי, נוודא שגם לא יהיה. ההנגשה של הדבר הזה, ההסברה של זה, האחריות לכך שהציבור והגורמים הרלוונטיים יבינו מה כתוב, ויידעו מה צריך לעשות הן אחריות שלנו. אנחנו צריכים גם לאכוף את זה וליישם את זה אחר כך. האם אנחנו נעבוד בשיתוף פעולה, והאם נעשה שימוש במכפילי הכוח בזה שיש עוד גוף שעוסק בתחומים משיקים ויימצא בגופים? התשובה היא כן. אנחנו יושבים ביחד, אנחנו נפגשים על בסיס קבוע - -

אתם תשאבו את המידע המקצועי מהם.

אבל זה לא רק הם.

מה זאת אומרת? המידע המקצועי יהיה שם? לא.

כן.

לא. ממש לא.

אבל הם הגוף המקצועי - - - במעלה הראשונה במדינה.

זה שני דברים שונים.

אני לא יודעת מה פספסתי פה, אבל נוצרה כאן אי בהירות. אז תחדדו.

הרי יש עוד גופים שעוסקים ומעבירים הנחיות לגופים. גם משרד הבריאות מעביר הנחיות לבתי חולים.

אבל הוא נבחר כרשות להגנת הסייבר שהוא הגוף המקצועי שמוביל הכול ומרכז הכול - -

אולי תחזור לחדד את הנושא.

את המידע המקצועי אתה שואב ממנו או לך יש המידע המקצועי המקסימלי? הרי הגנה על מידע זה משהו מקצועי.

אלון, תענו. אצל מי נמצא המידע?

אנחנו ממוקצעים בזה כבר כעת. לא חיכינו לתקנות.

אם אתה דורש רק מהגוף שאתה מכריע עליו שצריך לעשות הגנה על המידע, ואתה לא מנחה אותו ולא מפקח עליו בעניין הזה זה דבר אחד. אתה צריך לעשות את ההגה המקסימלית על המידע. אתה אוגר מידע, ואתה צריך גם לומר איך אתה משתמש בו, איך אתה צריך לדעת לא להעביר אותו הלאה, וגם איך להגן עליו מפני זרים או אחרים שייכנסו אליו, בין גופים מסחריים ובין גופים אחרים. מי שיודע לקחת את הכלים המקצועיים – כי בסך הכול לגוף קטן אין. המדינה יודעת היום שהיא צריכה לתת מעטפת כללית על כולם – על דברים חיוניים יותר וחיוניים פחות. מי שנמצא פה יש לו חשש שהוא נמצא במלחמה בעניין הזה, ויכול להיפגע. לכן הגוף המקצועי הוא מנחה ופועל. אז אם בחלק הזה אתם מפנים אליהם זאת אפשרות אחת. אתה חייב להגן על המידע בצורה מקסימלית - -

תקבל שם ייעוץ ועל סמך זה נקבע.

- - אתה יכול ללכת לרשות ולקבל ייעוץ פרטי כדי לעשות את זה; או שיש לך גם הנחיות מקצועיות. אתה שואב את המקצועיות וגם מפקח על זה בסוף. הרי מי יעשה את הפיקוח?

אנחנו.

זאת שאלה אחרונה, ואחר כך נעבור: מי יעשה את הפיקוח ועל סמך מה? אחר כך נעבור לשאר הדוברים.

אם הדאגה היא לקואורדינציה בין גופי הממשלה אז דווקא בין שני הגופים האלה לא צריכה להיות דאגה. אנחנו מתואמים.

זה היום. מחר לך תדע מה יהיה.

אבל זה נכון לכל דבר בכל עניין. אני רק רוצה לעשות סדר כדי שנדבר באותה שפה. רמו"ט קיימת למעלה מעשר שנים, ועוסקת באבטחת מידע אישי ואבטחת מידע פרטי בכל תקופת פעילותה. היא עושה את זה על בסיס יומיומי, ולא חיכתה לתקנות לעשות את זה. יש לה הידע, יש לה האנשים, יש לה הסמכויות, ויש לה המפקחים. היא לא תפסיק לעשות את זה, היא רק תעשה את זה יותר בהמשך. הידע קיים, הסמכויות קיימות, הפעילות קיימת. עכשיו אתה שואל שאלה אחרת – יש עוד גופים שעוסקים בכל מיני דברים. אז נעזוב רגע את הרשות לסייבר כי זה פתאום מבלבל בגלל המינוחים ולא בגלל המהות. יש עוד גופים שמנחים גורמים לעשות כל מיני דברים, וגם שם אנחנו עובדים בתיאום איתם. כך הממשלה עובדת. ככה זה כשיש רגולציה מגזרית – יש רגולציה על מערכת בריאות, יש רגולציה על מערכת פיננסית, יש רגולציה על הרבה מאוד מערכות, ויש רגולציה ממשלתית פנימית על משרדי הממשלה. אנחנו כגוף שאמור לאכוף משהו מסוים ספציפי עם מומחיות ואחריות שלנו מתואמים בעניין הזה עם הגופים האחרים שעושים רגולציה מגזרית.

יש ועדת מנהלים שמתכנסת?

הרשם הוא שלהם. כשנעבור על החוק נראה את הדברים האלה.

אין ועדת מנהלים. בכל הפעלה של כל סמכות רגולטורית של מישהו אתה אומר, איך זה מתואם? אתה מתאם. התקנות שבהן אנחנו דנים כרגע נידונו עם כל הגורמים הרלוונטיים. בצורה מאוד מעמיקה הובהר שמה שכתוב בהן תואם את הרגולציה האחרת, ואיפה שצריך לעשות רגולציה הם יעשו.

- - - הרשות להגנת סייבר או לא?

מי אחראי עליכם? מי אחראי על המידע שיש אצלכם?

אנחנו רשות של משרד המשפטים. שרת המשפטים אחראית עלינו.

אבל הרשות להגנת הסייבר לא אחראית היום על כל משרדי הממשלה?

באיזה מובן אחראית?

היא הגוף המנחה היום.

היא מנחה את הגנת הסייבר של כל המדינה.

אוקיי, הנקודה הזאת מוצתה.

אני מקווה שהצלחתי להבהיר.

לא כל כך. אבל נחזור לזה עוד בהמשך.

בהמשך נחדד את זה.

אתה השתדלת, הבעיה היא כאן. אתה עשית כמיטב יכולתך. הבעיה היא אצלנו.

אורית פודמסקי, המועצה להגנת הפרטיות, בבקשה.

שלום לכולם. אני אציג בקצרה את המועצה בפני הוועדה הזאת בהרכב הנוכחי. פה אנחנו נמצאים לראשונה. היינו כבר אצל חבר הכנסת מקלב בוועדת המדע בשני עניינים לאחרונה.

המועצה הציבורית ממונה על-ידי שר המשפטים, אבל היא מועצה עצמאית. היא לא כפופה ואין לה סמכויות מוגבלות. ככלל היא מועצה מייעצת גם לשרת המשפטים וגם לכנסת בהקשרים של החקיקה שנוגעים בנושא הפרטיות. בוועדה הזאת יש חברים גם מתחום האקדמיה וגם מהעולם הפרטי בתחום המשפט ובתחומים טכנולוגיים. אנחנו משתדלים להתייחס ככל הניתן לכמה שיותר נושאים שיש להם ממשקים עם הגנת הפרטיות. היום להרבה דברי חקיקה יש קשרים של הגנת הפרטיות.

אנחנו נמצאים פה כדי לתמוך באופן מאוד נחרץ בצורך המידי בהתקנת תקנות האלה. הן שוכבות על המדף הרבה זמן. ברור שאולי יש עוד ניואנסים שצריך לטפל בהם. אבל ככלל אנחנו נמצאים בדיוק בסיטואציה של האויב של הטוב מאוד הוא המצוין, שבע שנים. העולם הזה מתקדם בקצב מאוד מהיר. אנחנו חשופים כל הזמן, והחשיפה שלנו הולכת וגדלה ככל שאנחנו לא מתאימים את עצמנו.

את החשיבות אנחנו מבינים, וגם את העובדה שהגיעה העת שהתקנות יותקנו. אולי תגידי מה הניואנסים שאת חושבת שצריך לשים עליהם דגש כדי שנוכל לדעת לאן להתכוונן.

באופן ארגוני אנחנו תומכים בתקנות כמו שהן. נמצא אתי פה חברי מהמועצה עורך דין דן אור-חוף. הוא אולי יתייחס ספציפית לנקודות. העיקרון שבאנו להמחיש פה הוא הצורך שלנו לתמוך בתקנות ועכשיו.

בבקשה, עורך דין אור-חוף. אם תוכל לומר לנו בקצרה מה הנקודות שאתם חושבים שאנחנו צריכים לשים עליהן את הדגש בוועדה.

לפחות הם לא מסכימים. זה מה שמעניין. אתם מסכימים, זה מצוין.

זה לא טריוויאלי. בגלל העצמאות שלנו יש דברי חקיקה שאנחנו ממש לא מסכימים עליהן.

כשאנחנו מתנגדים לדברים שהם עושים אנחנו יודעים לומר להם את זה וגם למשרד המשפטים.

תודה על הדיון הזה. בקצרה אני אומר רק כדי לדעת איפה אנחנו עומדים – סעיף 13 לתקנות הקיימות מדבר על הצורך ב"בירור מידע של סרטים ותקליטונים לקלידת נתונים שנקלטו במערכת" – ציטוט מתוך התקנות. אלה התקנות שאמורות נכון להיום להכווין התנהגות של השוק המודרני בישראל ב-2017. זה המצב שאנחנו חיים אתו. אני בא מתוך השוק הפרטי, ואני עובד עם השוק הפרטי, ואני יודע עד כמה המצב הרגולטורי היום איננו מסוגל להכווין באמת התנהגות. אנחנו חייבים ליישר קו עם העולם ועם הוראות שיידעו להכווין התנהגות בצורה נכונה.

מה אתה מציע?

הוראות כדוגמת הצורך בהצפנה, הוראות שנוגעות לדיווח על אירועי אבטחה לרגולטור כדי שיהיה שיתוף מידע ושאפשר יהיה לדעת על התקיימות של אירועים מהסוג הזה – דברים שלא קורים כאן בארץ. אלה דברים שנמצאים היום בתקנות. אנחנו בהחלט מביעים את התמיכה שלנו בתקנות. אנחנו חושבים שבשלב הזה של הדיון יש שתי נקודות שצריך לשים עליהן את הדגש ברמה העקרונית: א', צריכה להיות תקופת התאקלמות לתקנות הללו, במיוחד לעסקים הקטינים והבינוניים. העסקים הגדולים, את רובם ככולן של ההוראות הם עושים ממילא - -

מה אתם מציעים?

תקופה של לפחות חצי שנה של התאקלמות.

והנקודה השנייה?

הנושא השני שבוודאי צריך לעשות, ואולי הוא לא מצא ביטוי בתקנות זה לבטל את ההוראות של התקנות הקיימות בנושא של אבטחת מידע כדי שלא יהיה כפל של הוראות באותו נושא.

תודה רבה.

עורך דין ליאב שפירא, נציג לשכת עורכי הדין, בבקשה.

אני שותף במשרד דן חי. אנחנו מייצגים את ועדת הגנת הפרטיות בלשכת עורכי הדין. אני לא אחזור על הרבה דברים שנאמרו פה, אלא רק על שלושה עניינים עיקריים שאני רוצה להדגיש: קודם כול התקנות מאוד מבורכות וראויות, ואנחנו כמובן תומכים בהן.

עניין שאני רוצה להדגיש, ועורך דין בכר גם הזכיר קודם – התקנות לא קובעות מענה שלא קיים כבר בחוק. זה הסדרים מקיפים ומשלימים חובות שנקבעו זה מכבר בנוגע למאגרי מידע והחשיבות הגוברת לאבטחתן. זה לעומת האופן שהיה מעט עמום במה שקיים היום, וזה שני סעיפים מאוד לקוניים. אנחנו אכן חושבים שראוי מאוד לצקת יותר תוכן בחלק מהתקנות כי חלקן מאוד כלליות. למשל, פירוט ההכשרה הנדרשת לאבטחת מידע, קורסים מסוימים שצריך לעבור, הכשרה אקדמית מסוימת; גיבוי מידע – צריכות להיות דרישות הרבה יותר ספציפיות. למשל, מקום הגיבוי, אופן הגיבוי וכל מיני עניינים נוספים שזה לא השלב לדון בהם, אני מניח.

עניין אחרון שכדאי להדגיש – לדעתי, התקנות נותנות הרבה יותר כלים בידי הרגולטור שזה רמו"ט, ומאפשר לה למלא את התפקיד שלה באופן הרבה יותר יעיל בסופו של דבר כדי להגן על הפרטיות של כולנו.

תודה רבה.

איציק כוכב, מנהל הגנת הפרטיות, שירותי בריאות כללית, בבקשה.

תודה רבה, גברתי וחברי הכנסת, גם מפאת שיער השיבה שלי ושל שוקי פרייס שנמצא פה אנחנו אנשי העשייה בשטח. אנחנו עוסקים בנושא כארבעה עשורים. אני האיש המבצע את אבטחת המידע. כידוע לכם, שירותי בריאות כללית, מבטחת 4.4 מיליון תושבי מדינת ישראל וגם נותנת שירותים בבתי החולים שלה לקופות אחרות. לכן יש אצלי הרבה מאוד מידע של בני אדם.

אישית אני חושב שהפרטיות זאת קליפת הגנה משמעותית ביותר בהישרדותו של האדם. חייבים להפנים את העניין הזה כי אנחנו נמצאים בתקופה מאוד פרובלמטית; אנחנו נמצאים בתקופה שבעידן האינטרנט האגרסיבי כל כך הפרטיות שלנו כמעט נעלמת. בכניסה של האינטרנט של הדברים לחיינו המצב הרבה יותר קשה. לכן, לדעתי, יש מקום להדק את החוקים ואת התקנות ולעדכן אותם בהתאם לאיומים ברציפות, אפילו פעם בשנה או בשנתיים עד כדי התאמתם לתקנות אירופיות – GTPR. אנחנו צריכים להיות, לדעתי, במקום אחר. המצב של פרטיות האדם במדינת ישראל הוא קשה, לעניות דעתי. בסולם מ-1 עד 10 אנחנו אולי ב-5, אני לא בטוח.

אני גם מפנה את תשומת לבכם ששירותי בריאות כללית היא הגורם היחיד שחרת על דגלו שאבטחת המידע תהיה קודם כול מנקודת מבט של פרטיות, ולכן אני היחיד במשק שנקרא "הממונה על הגנת הפרטיות והסייבר".

יש לי שאלה לאור הניסיון שיש לכם והמידע הרגיש שאתם מחזיקים בשירותי בריאות כללית. כשאתה רואה את התקנות האלה עכשיו, ואתה קורא אותן לאור ארבעים שנות ניסיון אצלכם – אני באמת לא יודעת למי יש עוד מידע רגיש על אדם חוץ מבנקים ושירותי ביטחון – אתם חושבים שהתקנות האלה באמת מספקות? יש דברים נוספים שאתם חושבים שאתם עושים היום או שצריך פחות או יותר?

אנחנו משתדלים להיצמד לכל דרישות החוק ותקנות והוראות משרד הבריאות. אנחנו משקיעים בזה הרבה מאוד מאמץ. אבל, לשאלתך, התקנות האלה הן במקום, אבל אני אומר ברשותך שהן מאוחר מדי. הן היו צריכות להיות הרבה יותר מוקדם כאן. בחלק מהדברים צריך להדק אותן. אני אגיד לחלק מהאנשים שדיברו כאן מה זה מידע רגיש לעומת מידע כמותי שצריכים לדעת שרופא עצמאי פרטי גניקולוג, שיש לו שלוש מאות מטופלות, יש אצלו מידע רגיש ביותר שצריך לקבל תשומת לב עם הצפנה. צריך להתייחס אליו בכובד ראש, ולא להתייחס למידע כמותי, אלא לרגישות המידע.

- - - מידע מוגן גם אם לא - - -

בוודאי. אני אגיד על זה משהו.

התעשייה דוחפת חזק מאוד להעביר הרבה מידע לשירותי ענן, ביניהם שירותי ענן בינלאומיים. בכל מה שקשור למידע רגיש של תושבי מדינת ישראל אסור לנו להיות שם. ברגע שהמידע הזה ייצא לענן יהיה לנו מאוד קשה לעשות אבטחת מידע, וצריך להתייחס לזה.

אתה נגד?

אני נגד מידע רפואי מזוהה בשירותי ענן. לדעתי, זאת בעיה.

דבר נוסף שאני רוצה להגיד, גברתי, ארגונים או אפילו התקנות או רשות הסייבר שעושה עבודה יוצאת מגדר הרגיל, צריכה לחשוב על אפשרות שמידע רגיש שנחליט עליו שהוא רגיש לא יהיה מידע שמחובר לאינטרנט. אני מגדיר אותו כרשת אדומה. אנחנו צריכים להגיד את זה בקול רם כי היום הכול מחובר לסייבר; גם ציוד ומכשור רפואי מחובר לסייבר, גם דפיברילטור שנמצא בתוך קוצב לב מחובר לסייבר – הרבה מאוד מידע מחובר לסייבר, וצריך להתחיל להפריד אותו.

למה חשובות התקנות? מנהלים במשק, קשה להם להקצות תקציבים לאבטחת מידע ובעיקר בגלל היעדר הבנה של הנושא, וגם הם אומרים לעצמם – לי זה לא יקרה.

נכון.

אני חושב שהתקנות האלה יחייבו את המנהלים להקצות משאבים לאבטחת מידע. אבטחת מידע והגנת מידע הם חלק אינטגרלי מכל תהליך שיש בו מידע של בני אדם. תודה רבה.

האם אתה מדווחים לציבור על ניסיונות של פריצות או פריצות שהתממשו במערכות שלכם?

ואני מקדימה שאלה: האם היו לכם פריצות למאגר?

אני בדעה שבתחום הגנת הפרטיות הכול צריך להיות שקוף. לכן אם יש פריצה או קורית תקלה אנחנו מדווחים אותה ישירות לרמו"ט ולמשרד הבריאות.

האם אתם מדווחים לציבור?

מכיוון שלא הייתה פריצה למאגר המידע שלי אז לא דיווחתי עדיין לציבור כלום.

לא שאתה יודע, זאת אומרת.

כבוד היושבת-ראש, אני רוצה שישימו לב שהתפקיד של האדון - -

קופת חולים כללית. הוא לא משרד הבריאות.

ממונה על הגנת הפרטיות.

והסייבר.

הדיון הקודם שהיה על הוויכוח הקודם זה בדיוק התשובה. הגנת הפרטיות היום לא יכולה להיות בלי סייבר. זאת הגדרה מצוינת.

בעיניים שלי כאיש ביצוע, רמו"ט בעיני קובעים כיצד להגן על הפרטיות, ורשות הסייבר ומדע הסייבר אומרים למדינה איך לעשות את זה. כי זה לא פשוט, זה מורכב מרבדים שלמים של עשייה – חינוך וטכנולוגיה ומה יותר חשוב ומה פחות חשוב. לכן, לדעתי, הם צריכים לעבוד בסינרגיה מלאה.

תודה רבה, איציק. עורכת הדין טליה אגמון ממשרד הבריאות. אחר כך עורך הדין יהונתן קלינגר מהתנועה לזכויות דיגיטליות.

תודה רבה. אני אקצר, כי אני לא רוצה לחזור יותר מדי על דברים שנאמרו. משרד הבריאות העביר הערות לטיוטות הראשונות של התקנות. חלקן התקבלו, וחלקן לדעתנו לא התקבלו שלא בצדק. אחת מהן היא הסוגיה של החלוקה של רמות האבטחה. ברור בוודאי שכל מערכת הבריאות מחזיקה מידע רגיש, והמידע במערכת הבריאות הוא במינימום רגיש, אבל התקנות האלה לא מייצרות מדרג פנימי בתוך המידע הרגיש שלדעתנו, הוא רלוונטי. זאת אומרת החיתוך הוא לפי מספר האנשים שעליהם המידע או מספר הניגשים למידע ולא מידת הרגישות של המידע. אנחנו מבחינים בתוך מערכת הבריאות בין מידע רפואי שגרתי שהוא, בלי ספק, רגיש לבין מידע עוד יותר רגיש כמו מידע על הפסקות היריון, מידע על גנטיקה, מידע על פסיכיאטריה – דברים מסוימים שנחשבים רגישים יותר בעיני הציבור. אנחנו לא רואים את המדרג הפנימי הזה בתוך התקנות האלה, וזה חבל. זה מתקשר למה שאמר מר כוכב בעניין הצורך להקדיש משאבים להגנה נוספת. אז אם יש דרישות של תקנות שהן דרישות מינימום, לדעתנו, בסיטואציה הזאת הם יהפכו להיות גם המקסימום. זאת אומרת יהיה מאוד קשה לדרוש להוסיף עליהם על דברים שאנחנו כמערכת בריאות חושבים שהם יותר רגישים אם זה לא מתחייב מכוח התקנות. לכן אנחנו חושבים שצריכה להיות חשיבה נוספת על המדרג ועל ההיררכיה של רמת ההגנה.

יש לכם הצעה?

יש לנו עמדה בנושא הזה. העברנו אותה. יש לנו התייחסות - -

תאמרי אותה בקצרה.

חבר הכנסת מקלב יכול להיות מרוצה. הנה, הממשלה לא מדברת בקול אחד. אף על פי שהיא אמרה אז הנה, החזון - -

אנחנו חושבים שהחלוקה בין נמוכה, בינונית, גבוהה – בתוך מה שהוכנס לגבוהה יש מקום לעשות הפרדה. יש מידע רפואי על הרבה מאוד אנשים בדרגה המינימלית של הפרטיות: זימון תורים למרפאה - -

לא, סליחה, זה לא בגבוהה. לפי הבנתי, המעבר בין הבינוני לגבוהה הוא המעבר הכמותי.

נכון.

אבל השאלה של המדרג האיכותי היא בדרגה בינונית.

הבסיס הוא למשל שהמידע הוא רפואי. אז אם הוא על מאה אלף איש או שיש יותר ממאה אנשים שיכולים לגשת למידע הוא הופך להיות ברמת אבטחה גבוהה. אבל יש מידע רפואי שהוא - -

זה לא רמת אבטחה, זה - - - יש עוד חובות שחלות על הרמה הגבוהה. האבטחה לא שונה בין הרמה הבינונית לרמה הגבוהה.

ברור.

ואם כבר אתם מאבטחים את המאגר על המידע הרפואי מה זה משנה כבר זימון תורים? זה כבר ממילא אותה אבטחה לכל המאגר.

המאגר הוא לא אחד, גברתי.

לא אחד?

לא.

זה לא מנוהל כאחד.

אוי ואבוי אם הוא היה אחד.

אבל יש גם סוגים של מידע שנמצאים במערכת הבריאות שאני לא בטוחה שהם צריכים להיות ברמת האבטחה המקסימלית שיש בתקנות האלה. יש הבדל בין מידע על הפסקות היריון, למשל, לבין מידע על זימון תורים למרפאה או לטיפת חלב. לשים את כל הדברים האלה בסל אחד נראה לי טעות. צריך לעשות רזולוציה פנימית בנושא הזה.

אז את אומרת ב'1, ב'2 או ב'3.

יכול להיות.

לפחות ב'1 או ב'2 כש-ב' עומד במקום בינוני.

אני גם אזכיר לאדוני שבצבא יש "סודי ביותר", יש "סודי ביותר" סגול, אדום, שחור.

משם אני שואל את זה.

זה לא מה שניסיתם לעשות בארבע הרמות האלה?

זאת הערה פרטנית כשנגיע לסעיף שמדבר על זה.

גברתי היושבת-ראש - - - שנמצא במאגר גדול וברמה הגבוהה. הרמה הגבוהה צריכה להיות מקסימלית. בתוך הרמה הגבוהה, אבל לא לרדת.

אני לא יורד. להפך, אני עולה.

טליה, אני מציעה שאת ההערה הזאת - -

אני אומר אותה שוב כשנגיע לסעיף המתאים.

בדיוק. כשנגיע לסעיף הרלוונטי ונצטרך לבחון את ההגדרה של כל מאגר. אז ננסה להעביר את הקו במקום המדויק.

גם תוצאות של ביקורת של מעבדות צריכות להיות ברמת הגנה גבוהה.

על זה אין ספק.

זה נכון שהאמצעים שאתם עושים בתוכו זאת הרמה המינימלית שדורשים מכם. נכון שבגוף כזה כמו משרד הבריאות וקופות חולים שיש מידע רגיש, שם צריכה להיות רמת אבטחה יותר גבוהה בתוך המעטפת הגבוהה. זה צריך להיות מהדרין מן המהדרין.

החשש שלי הוא שברגע שמגדירים בתקנות רמה מסוימת היא תהפוך להיות לא המינימום, אלא המקסימום, ולדעתי זה לא נכון. דבר נוסף הוא מידת היכולת של התקנות לאפשר גמישות והתפתחות הטכנולוגיה בלי שנבוא לתיקון תקנות כל שנה, אלא שהתקנות ייתנו מסגרת, ואפשר יהיה לקדם את הטכנולוגיה בצורות אחרות.

תודה רבה, טליה. עורך דין יהונתן קלינגר, התנועה לזכויות דיגיטליות; לאחר מכן מיכל לב שבתאי מ"לאומי כארד".

בוקר טוב, תודה רבה. אני רוצה להתחיל בהתייחסות לפיל בחדר. בשנת 2009 מדינת ישראל קיבלה הכרה של הלימות מבחינת הגנת הפרטיות מהאיחוד האירופי. זה הפך אותנו למקום הרבה יותר טוב לעשות עסקים גם עם אירופה וגם עם שאר העולם, וזאת בזכות הרבה עבודה קשה של רמו"ט. בזכות העבודה הזאת הכלכלה הישראלית צמחה, והרבה מאוד דברים טובים קרו. אבל מאז ועד היום גם הדין באירופה השתנה והחמיר, והחוק האירופי הפך להיות יותר נוקשה ויותר קשוח לגבי הגנת הפרטיות. גם התקבלה הדירקטיבה האירופית להגנה על הפרטיות, וישראל נשארה מאחור.

אם אנחנו לא נתאים את עצמנו בתקנות האלה – ויכול להיות שבעוד שיפורי חקיקה – לדין האירופי; ואם לא נאמץ תקנות חמורות, לדוגמה בדיווח על אירועי אבטחת מידע לא רק במאגרים ברמה הגבוהה, אלא לכל המאגרים; אם לא נגביל גישות למאגרים; אם לא נעשה יותר מאמצים כדי לשמור על הפרטיות אז הרבה מאוד מהתעשייה בישראל, הרבה מאוד מהסטארט-אפים, הרבה מאוד מחברות ההייטק לא יוכלו לעבד מידע של אזרחים אירופים, ואנחנו נאבד את ה-adequacy . במצב כזה ייגרם לישראל ולכלכלה הישראלית נזק שאי אפשר אפילו להתחיל לדמיין אותו. אחד הדברים הכי חשובים תקנות האלה זה לשמור על adequacy ולהחמיר כמה שאפשר כדי לעשות את זה. אם אנחנו מייצרים רגולציה מחמירה פה הרבה דברים יכולים לקרות. הדבר הראשון שיקרה הוא שאנשים שלא צריכים לשמור מידע לא ישמרו. גניקולוג שמנהל מאגר מידע רגיש יכול גם להעביר את הניהול של המידע למערכת חיצונית מאובטחת יותר, שמורה יותר, טובה יותר שמתמחה בניהול של מאגרי מידע ולהוציא את הסיכונים האלה החוצה ממנו. כלומר להגיד, שיש אלפי עסקים קטנים שמחזיקים מאגרי מידע ולא כדאי להטיל עליהם רגולציה, זה להגיד, אוקיי, יש הרבה מאוד אנשים שיש חקיקה שלא בהכרח תואמת את מה שהם עושים. אפשר לייצר את הטכנולוגיות שיביאו את אותם אנשים לחקיקה. נכון, זה ידרוש הוראות מעבר קצת יותר ארוכות מאשר חודש, חודשיים, שלושה או חצי שנה. אם תראו מה שקורה עם נגישות אתרים – אני לא רוצה להיות שם – שההוראות נמשכות כבר ארבע שנים, אבל אנחנו כן יכולים לייצר את התעשייה הזאת. זה גם יעזור לתעשיית אבטחת המידע והגנת הפרטיות בישראל שיהיו גופים שמתמחים בכך. לכן אנחנו, כמובן, תומכים בתקנות, רוצים אותן, ורוצים להחמיר. אנחנו נדבר כשניכנס לתקנות הספציפיות לנושא הזה. תודה.

תודה. מיכל לב שבתאי מ"לאומי כארד". עמרי נחום אתך? אחד מכם ידבר.

כן. רועי הוא ממונה אבטחת מידע וסייבר ב"לאומי כארד".

אני רק אגיב לדברים של חברת הכנסת מלינובסקי שלא נמצאת כאן כרגע, כי היה נשמע שדווקא בגוף כמו "לאומי כארד" וגופים פיננסיים שמעבדים מידע רגיש, ודווקא כגוף שחווה אירוע לא פשוט לפני שנתיים היה נשמע מהדברים שמנסים לחמוק מחובות אבטחת מידע. כמובן, זאת לא הכוונה. "לאומי כארד" וגופים אחרים משקיעים משאבים עצומים באבטחת מידע, ובעקבות האירוע שהיה השקיעו משאבים נוספים כדי לתקן כדי שאירוע כזה לא יחזור על עצמו. אז היה חשוב רק להתחיל עם זה. הכוונה הייתה שאם יש רגולציה שמנהל ומקיים, ואותו גוף עומד באותם תנאים רגולטוריים אין צורך לחזור על החובות שהן מתוקף התקנות, גם כדי שתהיה כפילות וגם מכיוון שאנחנו ניתן מענה. כמו שלימדו אותי בצבא – יש מפקד אחד, אז יש רגולטור אחד שימנע את הסתירה.

מה שהזכירו כאן אני מאוד תומכת בו, והוא נוגע להבחנה איזה סוג מידע. מה שכיום יש בהוראות של "לאומי כארד" זאת גישה מבוססת סיכון, והיא צריכה, לדעתי, לחול גם בתקנות. כלומר אין דין של מידע על פרטי כרטיס אשראי בעולם שלנו או פירוט עסקאות בכרטיס אשראי כדין טלפון או שם של בן אדם, לא לעניין ההצפנה כאשר שולחים מייל ללקוח, לא לעניין הסקרים, המבדקים והבקרות שיש בו. אז אני מאוד מתחברת למה שעלה כאן.

עוד דבר – לדעתי, חשוב שהתקנות האלה יחולו גם על עוד עסקים. אפשר לקחת אותן ולהשתמש בהן כדי לקדם תקנים שחברות כרטיסי האשראי מנסות לקדם כבר הרבה מאוד שנים, דוגמת תקן PCI שעוזר לבתי עסק לאבטח את פרטי כרטיס האשראי שאותם בתי עסק עצמם מחזיקים. אם תהיה התייחסות מפורשת לתקן הזה אז יותר בתי עסק יהיו נכונים להשקיע את המשאבים כדי להטמיע את התקן שיעזור להגנת הפרטיות, והם לא משאבים מבוטלים.

עוד דבר שהזכירו כאן זה שירותי הענן שמצד אחד מהווים סיכון מוגבר יותר ומצד שני אי אפשר כיום לא להיות בעולם הזה.

אתם שומרים את הנתונים שלכם בשירותי ענן?

תלוי איזה מידע. בנק ישראל הוציא הנחיות בעניין הזה. יש מערכות שאי אפשר להעביר אותן, ומידע שאי אפשר בהגדרה לשמור אותו על ענן. אנחנו גם עושים גישה מבוססת סיכון איזה נתונים אפשר להעביר לשם. אבל אם נראה את התקנות כלשונן אז אותו גוף שיש לו שירותי ענן ייחשב מחזיק וידרוש מגוף כמו "אמאזון" או גוף אחר גדול להחיל על עצמו את ההוראות האלה, יהיה מאוד קשה עד כדי בלתי אפשרי. זה מניסיון שלנו מול אותם גופים. מניסיון באיחוד האירופי קבעו מראש לאיזה גופים אפשר להעביר את המידע. זה אפשר לקחת ולעשות גם כאן, בין היתר דרך התקנות שכבר היום חלות לעניין הוצאת מידע מחוץ לישראל. זה משהו שאפשר יהיה להסדיר כאן.

אני רוצה להעיר על מה שהיא אומרת. אני לא בטוח שיש דבר כזה מידע פחות רגיש. אני אתן לך דוגמה: גם רשומה של גוף מסחרי – חנות או בית מסחר – שמחזיק רק מאגר של כרטיסי האשראי של העסקאות שנעשו אתו, וזה ודאי שהוא מחזיק את זה – דהיינו אני בא היום עם כרטיס האשראי שלי, הוא מחזיר אחורנית מה שקניתי לפני שנתיים כדי לבדוק אם קניתי אצלו. אין לו שום בעיה לעשות את הביררו הזה. זה מידע. יכול להיות שברגע שיש לו כרטיס אשראי הוא לא יודע מי אני. אבל היום כשיש אפשרות של הצלבות במידע אחר, שלמישהו אחר יש רשימה של שמות של אותם מחזיקי כרטיס אשראי, וההצלבה נעשית היום בצורה מאוד קלה, בקלות הוא לוקח נתון מפה ונתון משם, והוא יודע היום לחבר את זה בצורה הכי מהירה, ויש לו המידע הכי רגיש שיכול להיות. אז המידע הופך לרגיש. כשאתם אומרים שהמידע הוא לא רגיש או פחות רגיש - -

מה שאומר חבר הכנסת מקלב זה שכל מידע יכול להיות רגיש בשילוב של מספר נתונים יחד.

בשיתוף פעולה עם עוד נתון אתה מקבל את כל המידע.

יש לכם עמדה לגבי שמירה בענן?

אין לנו עדיין עמדה כתובה רשמית ומעודכנת, אבל אנחנו עוסקים בזה. בהנחיות שהוצאנו בדברים של מיקור חוץ ונושאים מהסוג הזה יש התייחסות לזה. אנחנו עובדים על עדכונים של הדברים כדי שזה יתאים להקשר הזה.

בהקשר של מה שנאמר על-ידי נציגי "לאומי כארד" אני רוצה לומר שהייתי פחות סקפטי ממך לגבי ההתאמות של החברות הבינלאומיות הגלובליות לדרישות הלאומיות והמדינתיות. אנחנו עומדים בקשר עם גורמים כאלה בדיוק - -

אנחנו נשמח.

- - ואפשר להיות יותר אופטימיים לגבי התאימות שלהם לדין הישראלי כשהם פועלים בישראל.

מר פרנקו, אתה רוצה להתייחס?

כן, גברתי היושבת-ראש. ראשית יש מדיניות ענן למדינת ישראל.

שמה היא אומרת?

לממשלת ישראל.

לממשלת ישראל כבר יש מדיניות מה יכול לעלות לענן ומה לא, ומי יכול לספק בכלל שירותי ענן ומה רמת האבטחה, השרידות שהוא יכול להפעיל. בנוסף למדיניות יש ועדה שמאשרת בקשה-בקשה בממשל הישראלי באשר להעלאה לענן.

של כל גוף או רק של משרדי הממשלה?

כרגע של כל משרדי הממשלה פלוס התשתיות הקריטיות של מדינת ישראל, שקרויים בעגה גופי טמ"ק – עשרים וחמש תשתיות שהוגדרו כתשתית קריטית לאומית. הנתח הזה בענן מכוסה. כבר בתורת ההגנה הלאומית יש פרק מפורט איפה נכון ואפשר להעלות לענן, ואיפה מומלץ מאוד שלא להעלות לענן. אנחנו לגמרי בתהליך הזה. חשוב להגיד מילה למי שפחות מכיר. הסיבה שגופים רוצים להעלות לענן זה צמצום עלויות תפעול דרמטי. מאידך יש מספר גופים חזקים מאוד בעולם שמסוגלים לתת שירותי אבטחה לא רעים בכלל. לכן באיזון הזה רשות הסייבר מנתחת אותו ומפעילה עליו את ניהול הסיכונים הנכון.

תודה. דן אור-חוף, בבקשה. אבל במשפט כי אני רוצה לעבור לשוקי פרייס ממכון התקנים.

מילה אחת קצרה על שירותי ענן. מהידע והניסיון שלי בשוק הפרטי דווקא ברוב המכריע של המקרים שירותי מבוססי ענן גם בינלאומיים, רמת האבטחה שהם מציעים היא לאין שיעור הרבה יותר גבוהה ממה שחברות וארגונים פה בארץ יודעים לאבטח בעצמם.

חשוב. תודה.

שוקי פרייס, מכון התקנים ואחר כך עורכת הדין שירלי אבנר מבנק ישראל.

אני בא מעולם התקנים והתקינה. אני בעיקר רוצה לדבר על הניסיון שנוצר לי בעיקר כשגוף כמו משרד הבריאות מחליט שכל מערכת הבריאות הציבורית אמורה לעמוד במערכת הגנה שמתאימה למידע רפואי אישי, שאין ספק שזה אחד הנושאים הרגישים ביותר, לפחות עבור הפרטיות. מנכ"ל משרד הבריאות הנחה שכל הגופים שמתעסקים עם מידע רפואי אישי יצטרכו לעמוד בשני תקנים: ISO 27001 שהוא תקן כללי לאבטחת מידע שנותן שיטה מסודרת, עקבית מאוד ושיטתית איך צריך להגן על המידע. דבר שני – האינטרפרטציה שמתאימה לעולם הבריאות – ISO27799.

מאחר שאני סוקר את המערכת הזאת – ועד היום סקרתי את כל מערכת הבריאות, זאת אומרת את כל קופות החולים, את כל בתי החולים, כולל בתי החולים הממשלתיים ובתי החולים של שירותי בריאות כללית והפרטיים, עכשיו אנחנו נכנסים גם לגופים הגדולים שנותנים שירות או עם הספקים הגדולים של מערכת הבריאות. אתם לא מתארים לעצמכם איזה מהפך נעשה בשנים האחרונות בנושא של הגנה על המידע בתוך המערכות האלה. אם אני יושב היום אחרי כארבע שנים עם מנהלים של ארגונים, לא של מערכות מידע, ואני שואל אותם איך הם מרגישים לגבי הצורך ברמת ההגנה שהמערכות האלה עומדות בה, הם אומרים בפירוש שהם מרגישים היום הרבה יותר בטוחים כי הם יודעים שיש שיטה מסודרת שעובדת לפי מדיניות שהארגון קבע שיודע להגן על נכסי המידע שלו, לטפל בנכסי המידע שלו, כפי שזה צריך, לעשות סקרי סיכונים ולטפל בסיכונים, לפי שיטה מסודרת; ושיש גוף חיצוני אובייקטיבי ומקצועי שבודק אותם אחת לשנה כדי לוודא לא רק שהם עומדים בדרישות של התקן, אלא שמערכות הגנה על המידע שלהם הולכות ומשתפרות.

לכן מה שאני רוצה להציע זה קודם כול את הדוגמה הזאת של מערכת הבריאות, ולהכליל בתוך התקן את הדרישה שמי שרוצה לעשות נכון הגנה על מידע יואיל להפנים את הדרישות של תקן 27001 ISO ושיהיה מישהו חיצוני שגם ינחה אותו ואחר כך גם יבדוק אותו שהוא באמת עשה את מה שהוא צריך לעשות. לכן אם דיברו קודם איך אנחנו מפקחים על הנושא הזה – ויש לנו כאן עשרות אלפי ארגונים שנצטרך לפקח עליהם – רק בצורה הזאת שיש גם תקן שנותן את העקרונות מה לעשות וגם העקרונות איך לבדוק זה ייתן את המענה לאותה דרישה של פיקוח.

תודה רבה. עורכת דין שירלי אבנר מבנק ישראל.

תודה רבה. אני קצת פורמליסטית, וקשה לי עם זה שנאמרים לפרוטוקול דברים לא מדויקים. חבל לי שחברת הכנסת שהדברים מכוונים אליה לא נמצאת כאן. אבל אני רוצה להציג את הפעילות של בנק ישראל בתחום. ככל שיהיה צורך בכך אני אשמח לדבר עם כל אחד ואחד ולהמשיך ולהציג ולהרחיב את הפעילות בנושא.

להגיד שהמערכת הבנקאית לא רואה את עצמה כפופה לתקנות אבטחת מידע או הגנת הפרטיות או לא רואה חשיבות בדברים האלה זה חוסר ידע. אלה הדברים שמאוד חשובים לנו בבנק ישראל וגם למערכת הבנקאית בגלל רגישות המידע שמוחזק על-ידי הבנקים ועל-ידי המערכת הבנקאית. תעיד על כך קודם כול הקמת יחידה לטיפול בסייבר לאבטחת מידע בתאגידים בנקיים בבנק ישראל. זאת הייתה פריצת דרך מבחינה בינלאומית. אנחנו היינו הבנק המרכזי הראשון שהקים יחידה כזאת ב-2012. יש לנו שורה של הוראות לניהול בנקאי תקין שהן ברמה של תקנות של חקיקת משנה שחלות על הבנקים על ההיבטים של המשכיות עסקית, של הגנת הסייבר, של אבטחת מידע, של הגנה על פרטיות. אנחנו עושים ביקורות על המערכת הבנקאית; אנחנו עושים פיקוח שוטף; אנחנו דורשים מהם לעמוד בסטנדרט בינלאומי. בהוראות שלנו יש הוראה בנוגע למחשוב משנת 2015 שמתייחסת לנושא הזה ודורשת מהתאגידים הבנקאיים לעבוד באותה רמת אבטחת מידע והגנה כנהוג בדירקטיבה האירופית. אנחנו נשמח להציג את הדברים ביתר הרחבה. אבל שוב – להעמיד דברים על דיוקם: המערכת הבנקאית כפופה לשורה של הנחיות, לרגולציה מאוד הדוקה של בנק ישראל בנושא. ככל שיש שאלות אנחנו נשמח לענות עליהן.

תודה רבה.

רק עוד נקודה אחת, ברשותך. שכחתי לציין שבעקבות הערות שהתקבלו מהמועצה ומרמו"ט מתקיים אצלנו גם הליך של מינוי ממונה על הגנת הפרטיות בבנק ישראל, שכמובן, יתכלל את כל הנושאים האלה. אבל גם היום הנושא נמצא בראש סדר העדיפויות של בנק ישראל. גם ללא ממונה על הגנת הפרטיות אנחנו רואים בנושאים האלה חשיבות רבה.

תודה.

הילי זליבנסקי מעיריית תל-אביב, בבקשה. אם יש מישהו שנמצא פה ורוצה לומר דברים, בבקשה להירשם אצל אסף.

שלום. התקנות האלה המוצעות הן ראויות. אבל התחום המוניציפלי, לצערי – ואני מייצג כרגע את עיריית תל-אביב, אבל כל מי שמסייע רואה צורך לסייע לעיריות ולגופים מוניציפליים אחרים - - - את מצבן. התקנות האלה לא מכירות את המצב, לפחות בתחום המוניציפלי. אנחנו סוג של גוף שאין לו באמת רגולציה. אין הסדרה בתחום ברמה לא של מחשוב ולא של אבטחת מידע בפועל.

בתקנות נקבע גוף ציבורי, ואתם גוף ציבורי לעניין זה, לפחות. אני חושב שבכלל, אבל לפחות לעניין זה.

אני מסכים לחלוטין. העניין הוא שהעיריות פוגשות את האזרח במגוון של ערוצים. המידע הרגיש בנושא חינוך, בנושא שירותים חברתיים ובנושא סיוע כזה ואחר הוא מידע שכשמסתכלים על התמונה הכללית לא של מאגר מידע ספציפי, אלא של כלל מאגרי המידע מגלים שגופים מוניציפליים מחזיקים בסופו של דבר במידע רב; ואם מסתכלים ספציפית על כל מאגר אז אולי זה יהיה בינוני-גבוה, ואם מסתכלים על הכללי אז רואים שלרשות מוניציפלית – ואני מייצג את עיריית תל-אביב אז אני יודע להגן על עצמנו כי ברמת IT אנחנו גוף גדול של כארבע מאות איש. אבל אם אני מסתכל על עיריות אחרות שאני מסייע להן או לרשויות מקומיות – יש שם שני אנשי מחשוב, ולהטיל עליהם כאלה תקנות בלי להבין את המשמעויות של זמן ביצוע ועלות הביצוע התקנות האלה קצת חוטאות. צריך לתת לזה מענה בצורה כזאת או אחרת.

תחדד במה?

בזמן שצריך כדי ליישם את התקנות. אני לא צולל למטה, אבל יש מקומות שאני לא רואה איך גופים שאנחנו מסייעים להם, כולל אותנו עצמנו, נצליח לעמוד בתקנות האלה; העלויות שהתקנות דורשות מאתנו מבחינת היישום הכספי נאמדות במיליונים. אני לא אומר את זה לצאת ידי חובה, אלא אני מסתכל על הדברים האלה. אני עובד עם רמו"ט בצורה צמודה. לעיריית תל-אביב יש כמה עשרות מאגרים, וצריך להסתכל על התמונה הגדולה ולא על הפרטים. לפעמים אנחנו מאבדים את עצמנו כשאנחנו מסתכלים על העצים ולא על כל היער.

אתה אומר שהיישום של התקנות יעלה לעיריית תל-אביב מיליונים?

כן. ברמת הביצוע כשאני לוקח את התקנות לאורך השנים, ואני אומר, איך אני בונה תכנית יישום, ואני נמצא בתכנית היישום – כשאני מסתכל כמה עולה וכמה אני משקיע על הדבר הזה – זה עלויות של מיליונים.

ובלי התקנות לא היית עושה את ההשקעות האלה?

זה כבר כשיש לך ארבע מאות איש. כי אם יש עירייה שיש לה שניים, הם יצטרכו חמישה עשר, לא ארבע מאות - -

עיריית תל-אביב מונה כמה אלפי עובדים. ארבע מאות איש הם ב-IT, ויחידת אבטחת מידע מונה כחמישה עשר איש. אנחנו גוף ייחודי שאנחנו עוברים ועובדים גם עם משרדי הממשלה וגם עם גופים נוספים כדי לעשות את זה, ואנחנו מכירים את התחום.

מאיפה זה בא?

באיזה מאגר אתם נמצאים?

כגוף ציבורי אוטומטית אני נמצא בבינוני או בגבוה. בגלל מספר התושבים הרוב זה גבוה. יש גם אנשים שלא גרים בתל-אביב. מי שלמשל מקבל דוח חנייה לא גר בתל-אביב, הוא נרשם באיזשהו מאגר.

אני מסתכל על התמונה הגדולה – התקנות פה בעייתיות.

אם אתה יכול לומר באופן כללי מהו סעיף ההוצאה העיקרי שאתה חושב שיושת עליך כשכבר יש לך חמישה עשר עובדים בתחום.

זה לא קיים כיום, אבל זה חשוב.

כל העובדים אצלך. הם מקבלים שכר.

אז אני אגיד. סקרי הסיכונים ונבדקי - - - שנדרשים לכל מאגר ספציפי כזה או אחר- -

לא - - -

תן לו להשלים. תוכל אחר כך לענות לו.

ככה אני מבין את היישום. אני מאוד שמח, דרך אגב, כי הבנתי בדיון הוועדה שהולך להיות ספר שיסביר את זה להדיוטות, ואני רק שלושים שנה בתחום. אז, כנראה, אני עדיין - - -

הספר הזה יסביר, אבל לא יתקצב.

אין בעיה - - -

תן לנו מושג על מה אנחנו מדברים.

אבל היום אתה לא עושה סקרי סיכונים ומבדקי חדירה?

בוודאי שאני עושה.

באותה תדירות או בתדירות גבוהה יותר אפילו?

לא בתדירות גבוהה יותר. שוב, אנחנו צוללים לתקנות – שמונה עשר חודש זה חלק מהדברים. רק להתניע סקר סיכונים ולעשות אותו בצורה נכונה זה עניין של כחצי שנה פלוס. אנחנו נמצאים כרגע בסקר סיכונים מאוד גדול.

אתה מתייחס להוצאה הגבוהה של סקר סיכונים. כפי ששמת לב ארגון שיש לו כמה מאגרי מידע באותה רמת אבטחה יכול לעשות את סקר הסיכונים לגבי כולם. אז בהקשר הזה אתה אומר שההוצאה הנוספת להוצאה שיש לך היום במסגרת סקרי סיכונים נאמדת במיליונים?

היום אני לא מחויב לסקר סיכונים בצורה רגולטורית. אני עושה את זה - -

אבל אתה עושה אותו. אתה עושה אותו, ולא תגיע למיליונים.

אני עושה את זה לעצמי במקומות שאני צריך.

בסדר גמור.

עם כל הכבוד, יש לעיריית תל-אביב כמה מאות מערכות מידע. אם עכשיו אני צריך לפרט את זה אני אקח את הדוגמה הספציפית של עיריית תל-אביב. בעבר היה לעיריית תל-אביב כמאה מאגרים רשומים. צמצמנו את הכמות הזאת, ואיחדנו אותם והגענו לרמה של כמה עשרות, והמטרה היא להגיע לעשרים בערך. זאת עיריית תל-אביב שעובדת מסודר עם מטה מסודר שיודע לעשות את זה.

בכל זאת יהיו לכם עלויות של מיליונים.

יש לכם נתונים על העלויות? אפילו בחלוקה לרמות של המאגרים – עלויות שיוטלו על בעלים או מחזיקי המאגרים?

יש לנו נתונים. העלויות, כמובן, מאוד משתנות משום שהטווח מאוד גדול. לא עיריית תל-אביב כרשות מקומית ולא העסק הקטן שקודם הזכיר חבר הכנסת כמו גוף פיננסי גדול. סקרי סיכונים ומבדקי חדירה יכולים לנוע מכמה אלפי שקלים עד מאות אלפי שקלים לגוף גדול. אבל הגופים הגדולים ממילא נוקטים את האמצעים האלה היום. לכן בהקשר הזה התקנות לא מוסיפות חובות. הן אולי מחדדות את התדירות שצריך לעשות את זה, ואפשר שכשצוללים לתקנות לדבר על התדירות. נשמח לשמוע הערות שעוד לא שמענו עד היום. אנחנו הבנו שהזמנים הם סבירים. הם גם חופפים למה שרגולציה אחרת מכתיבה, אבל ההוצאה הכספית, לפי מה שאנחנו מבינים, בטח על גוף כמו עיריית תל-אביב ההוצאה הנוספת היא לא כזאת משמעותית, לפי התקנות.

זאת אומרת שהעלויות כמו שאתם מחשבים את זה יהיו רק ברמה של מאות אלפי שקלים.

מאות אלפי שקלים לגוף שקלים לגוף גדול, עשרות אלפי שקלים לגוף יותר קטן, אלפי שקלים לגופים בינוניים-קטנים. זה כמובן, תלוי במאגר שיש.

אני רוצה לומר עוד משפט בהקשר הזה כי זה עלה קודם ואולי לא קיבל תשומת לב מספקת. גופים גדולים, גופים בינוניים וגופים שעוסקים במידע משמעותי ורגיש כבר היום עושים את זה. אז כאן התוספת לא קיימת או שולית לפעמים. מה שחשוב לזכור, וזה עלה קודם בדיון, זה שנכון שיש נטייה בקרב מנהלים של ארגונים לא לתת לאורך שנים תשומת לב מספקת לנושא אבטחת המידע בארגון. זה הגיע גם לאזור של הממשלה, אז לא בכדי גם ממשלת ישראל העבירה החלטת ממשלה לפני כשנה, שאומרת שתקציבIT לא יכול להיות רק לדברים של נחמדות ותדמית, אלא ש-8% מתקציב ה-IT של ארגוני הממשלה חייב ללכת לאזור של אבטחת מידע כהוראה מנדטורית. מדוע? כי הנטייה בהרבה מאוד מקומות וארגונים הייתה לא להקצות את המשאבים שחשוב מאוד לקדיש ב-IT לנושא אבטחת המידע. אז במובן הזה, נכון – הגופים יצטרכו לעבור התאמות, אבל ההתאמות האלה נדרשות כבר הרבה מאוד שנים; ההתאמות האלה קיימות בכל ארגון בינלאומי שמכבד את עצמו. במובן הזה נכון שהתקנות יכוונו את זה למקום הנכון, והם יעשו הרבה מאוד פעמים שיפטינג של תקצוב. הן לא בהכרח יעלו את התקציב של IT, אלא ידאגו שחלק משמעותי מספיק ממנו יופנה לאבטחת מידע שהוא חלק מאוד מהותי. במובן הזה אני חושב שכולם צריכים קצת יותר להירגע. לא הייתי דואג לגופים הגדולים שממילא תקציב ה-IT שלהם מאוד גדול, והם רק צריכים לעשות אותו מחולק נכון ולנהל את זה בצורה חכמה. במקומות שבהם אתה גוף קטן ותקציב ה-IT שלך הוא קטן יש פתרונות בשוק, ואני מניח שגם יהיו יותר בקבלת השירותים האלה ממקומות שיעשו את זה חיצונית, יעשו את זה באמצעות גוף מתמחה, יעשו את זה באמצעות גופים תחרותיים שייתנו שירותים כאלה. אני לא אומר שזה הולך להיות קל, אני רק אומר שהשוק יתאים את עצמו ברגע שהסטנדרט הזה יהיה ברור ונהיר, ויהיו פתרונות. הפתרונות האלה הם לא ברמה שימוטטו גופים. זה ברור לנו לחלוטין.

תודה. איציק, בבקשה.

ברשותך, אני רוצה להזכיר את הדברים שאמרתי. לנו בעולם הבריאות אנחנו מחויבים, לפי הנחיות משרד הבריאות, לתקן ISO לאבטחת מידע. עצם העובדה שאני מחויב זה יצר שאני צריך לנהל סיכונים וצריך לעשות בדיקות חדירה. הפעילות הזאת אצלנו כבר עשר שנים. עשר שנים אנחנו חיים באותה אטמוספירה. למשל, מכל מה שעולה בתקנות אני אומר באחריות שאצלנו בארגוני הבריאות העלות היא לא קריטית. בשנה אני משקיע כמיליון שקלים וחצי על בדיקות חדירה, בדיקות חוסן וסקרי סיכונים. זה לא הרבה כסף במושגים של ארגון גדול כל כך, והוא נעשה באופן טבעי רק מכורח התקן ISO שאנחנו נמצאים בו. לכן לדעתי, התקנות האלה יבהירו למנהל שהוא צריך להשקיע את אותם 8% שאלון אומר. חלק אינטגרלי מתהליך זה 8% להגנת מידע. ואז זה יהיה טבעי.

אני רוצה להוסיף עוד משהו. אחד הדברים שהתקן מחייב זה לקטלג את רשימת נכסי המידע של הארגון. בתשובה של השאלה הזאת, מה המשמעות של הקטלוג? זה לדעת איזה מידע יש לנו, איפה הוא נמצא, מה הקריטיות שלו, מה רמת הזמינות שנדרשת ממנו – כל מיני פרמטרים נוספים. מכאן אנחנו מגיעים לדבר נוסף – על פי רמת הקריטיות שנדרשת להגנה על המידע אנחנו גם צריכים לעשות סקרי סיכונים. כמובן, אנחנו מתחילים בהתחלה עם אותם נכסים שהם קריטיים יותר. עזוב מידע שנוגע ללוגיסטיקה וכל מיני דברים כאלה. קח את המידע האישי, ותתחיל לטפל בו קודם כול. אתה רואה פתאום ש-40%-30% מכלל העבודה שהיית צריך לעשות צריכה להיות מושקעות קודם כול בדברים הרגישים יותר. אחר כך כשירחיב תעשה את הדברים האחרים. כלומר יש כאן שיטה אם אתה מאמץ את התקן. השיטה הזאת מלמדת אותך איך לעשות את הדברים בהדרגה. לא להשקיע בבת אחת ולא להיבהל ולא לבוא למנהלים עם תקציב ענק שהם יגידו שהם לא מקבלים את זה. להתחיל בהתחלה עם דברים שנוגעים קודם כול לנכסי המידע הראשון. תעשה אותם, תבדוק אותם, תטפל בסיכונים שלהם ואחר כך תרחיב.

אני רוצה להגיד עוד משהו.

תענה בקצרה ואחר כך גילי.

עיריית תל-אביב עושה פעילות של אבטחת מידע, ואנחנו עושים סקרי סיכונים. זה לא נפל עלינו כרעם ביום בהיר. עם זאת צריכים להבין את ההבדל בין ביצוע סקר סיכונים לאבטחת מידע לבין טיפול בתובנות ובתוצרים של סקר הסיכונים. אם בסקר הסיכונים עולה שצריך לעשות כמה דברים, הפעילות היא לא לשלם כמה עשרות או מאות אלפי שקלים לגוף שיבצע את זה כי הוא חייב להיות גוף חיצוני, אלא לשנות סדרי עולם של מערכות שקיימות לפעמים ארבעים שנה, ולהטיל עליהן דברים שבעבר לא היו. אם המחוקק יקבע שצריך שגם מוניציפליים יהיו גם תחת הגדרה של 8% מסכום ה-IT באבטחת מידע אז אני בעד. אבל בין זה לבין הביצוע בפועל – ושוב, לא נסתכל על עיריית תל-אביב, אלא על כל שאר הגופים.

תודה. עורכת הדין גילי בסמן ריינגולד. אחר כך אם ניר ירצה להתייחס וגם פרנקו אז גם כן ואחר כך נעבור להקראה. בבקשה.

שמענו פה קצוות בין מי שאומר שאנחנו צריכים להחמיר יותר לבין מי שאומר שאנחנו צריכים להקל. זה בדיוק הראיה הטובה ביותר לכך שחסר הסטנדרט שאנחנו מסתכלים עליו, וזה בדיוק מה שהתקנות האלה מנסות לעשות – ליצור סטנדרט ולאזן בין מי שחושב שאסור בכלל להיות על הרשת לבין ההבנה של המציאות שאי אפשר לא להתחבר לרשתות. זה בדיוק מה שאנחנו מנסים לעשות כרגולטור שגם מחובר לשטח וגם מכיר בחשיבות של האבטחה. חשוב לי להדגיש שני דברים שקיימים בתקנות. הרי כל אחד מביא לפה את המקרה הפרטי הכואב שלו. יש אפשרות לרשם להכיר בתקנים של אחרים, לפתור רגולציות מקבילות, לקבוע מה בדיוק הדלתא שצריך להוסיף; וגם הצד ההפוך שהוזכר קודם – אם יש גוף שרמת האבטחה לגביו היא יחסית נמוכה, לפי דעתו של הרשם, וצריך לקבוע רמה גבוהה יותר – גם זה קיים בגדר הסמכות, וזה בדיוק מה שהתקנות מנסות לעשות – לקבוע את הסטנדרט ובכל אותם מקרים קיצוניים אפשר ויש דרך לטפל בהם.

ניר, אתה רצית להתייחס?

לא. רק רציתי להזכיר לגבי סקר סיכונים שמדובר בחובה שתחול רק על המאגרים הגדולים והרגישים שממילא כמו ששמענו, עושים אותם. לכן על הגדולים לא תהיה תוספת כי ממילא עושים, ועל הקטנים החובה הזאת לא חלה.

תודה. רפי פרנקו, בבקשה. אחר כך נעבור להקראת החוק.

גברתי היושבת-ראש, ראשית חשוב להגיד שגם המוניציפלים נהנים וייהנו מתורת ההגנה. כלומר בתוך האירוע הזה תורת ההגנה הלאומית שמדינת ישראל שמה לנגד עיניה מתכתבת עם תקנים כמו ISO ועם תקנים נוספים. חשוב לומר שאנחנו אולי אפילו המדינה הראשונה שמסתכלת מהאדם ברחוב דרך המוניציפלים, דרך התשתיות הקריטיות של מדינת ישראל ועד הממשל ועד בכלל. בהקשר הזה גם המוניציפלים יידעו מהר מאוד למצוא את עצמם בתוך התורה הזאת, וייעשה להם סדר, בעיקר לאלה שהם יותר קטנים או משקיעים פחות מעיריית תל-אביב שהיא גדולה, ואני מכיר אותה מתפקידיה הקודמים.

בהקשר של הפרטיות וההוצאה הפרטית – החלטת הממשלה שאנחנו הובלנו של 8% מתקציב IT לאבטחת המידע נבעה מתהליך עמוק שעשינו וראינו מה קורה בעולמות מקבילים לנו. חשוב לומר שלא בכל מקום המצאנו את הגלגל. אבל בתוך 8% האלה חשוב לציין שמכוסה ומגולם כל עולם הסייבר. אנשים שומעים 8%, ואולי עשויים להיבהל – זה 8% למרחב ההגנה בסייבר בתוך תקציב IT; לא פרטיות או כלכלי או ביטחוני. לכן כשאנחנו מסתכלים על הרבדים האלה ההוצאה לפרטיות תהיה נמוכה יותר. בסופו של דבר אם מסתכלים מקצה לקצה העלות מידתית, בטח בעולם שהופך להיות יותר ויותר מקוון.

תודה. אנחנו נעבור להקראת התקנות. בבקשה, אלעזר.

אני רוצה להציע הצעה לסדר. התקנות בשלב של ההגדרות מאוד שלובות בהוראות המעשיות שיש בתקנות. - - - לדון בהגדרות בנפרד מהתקנה עצמה. אני מציע שננסה לעשות פינג-פונג, ולא נקרא כל תקנה יחד עם ההגדרה שלה, אבל נתעמק בהגדרות, ונראה אותן על רקע הנפקות המעשית שלהן בהמשך.

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו- 2016

בתוקף סמכותי לפי סעיף 36 לחוק הגנת הפרטיות, התשמ"א-1981 (להלן - החוק), ובאישור ועדת חוקה חוק ומשפט של הכנסת, אני מתקינה תקנות אלה:

הגדרות

בתקנות אלה -

"אירוע אבטחה חמור" - כל אחד מאלה:
במאגר מידע שחלה עליו רמת אבטחה גבוהה - אירוע שנעשה בו שימוש במידע מן המאגר, לרבות אירוע בו הייתה כניסה למערכות המאגר באופן שמאפשר גישה למידע שבמאגר, בלא הרשאה או בחריגה מהרשאה או שנעשתה פגיעה בשלמות המידע;
במאגר מידע שחלה עליו רמת אבטחה בינונית - אירוע שנעשה בו שימוש בחלק מהותי מן המאגר בלא הרשאה או בחריגה מהרשאה או שנעשתה פגיעה בשלמות המידע לגבי חלק מהותי מן המאגר;

יש פה כמה רבדים. אנחנו לא ניכנס פה כי זה יבוא מההגדרות הבאות, מה זה בכלל מאגר שחלה עליו רמת אבטחה גבוהה או בינונית. אנחנו נראה בהמשך, בייחוד במה שיש בהמשך בתוספות לתקנות. לא נתמקד כרגע בתקנה 11, אבל חשוב להזכיר שהנפקות של ההגדרות מהו אירוע אבטחה חמור הוא לעניין תקנה 11 – מה בדיוק צריך לעשות בעל מאגר כאשר לו אירוע אבטחה חמור. בהקשר הזה רציתי להעלות שאלה לגבי ההגדרות השונות של אירוע אבטחה חמור. מכיוון שהנפקות של אירוע אבטחה הוא דיווח לרשם, לרמו"ט, מדוע כאשר מדובר על מאגרי מידע ברמת אבטחה בינונית, שאם ניזכר האבחנה בין הרמה הבינונית לגבוהה היא לא בטיב המידע, אלא בהיקף נושאי המידע, מספר האנשים שלגביהם המידע או בהיקף מורשי הגישה. מדוע יש ההבחנה המוצעת בין רמות האבטחה השונות? כי בסך הכול אם הנפקות היא של דיווח, מדוע לא ידווחו שמדובר במידע רגיש? גם במאגרים ברמת אבטחה בינונית מדובר על מידע רגיש של מידע רפואי, מידע גנטי, מידע ביומטרי. מדוע שלא גם בדברים האלה ידווחו לרשם גם כאשר השימוש במידע שבמאגר הוא לא היה שימוש מהותי, אלא רק בחלק מהמאגר?

תרצו להתייחס?

כן. אני ליאת בן מאיר ממשרד המשפטים. גם בהיבט הזה אנחנו ערכנו איזון שמשקף את מידת הסיכון מהאירוע. יש פה נטל גם על בעלי המאגרים, ואנחנו גם לא רוצים שתהיה הצפה באופן שלא תאפשר להתמקד בדיווחים הנכונים והמתאימים. השקלול של מידת הנזק כשמדובר ברמת אבטחה גבוהה בשים לב להיקף מורשים או להיקף נושאי המידע הוא, כמובן, יותר גבוה. לכן במאגר מידע שחלה עליו רמת אבטחה גבוהה הכנסנו גם אירוע שבו הייתה כניסה למערכות המאגר באופן שמאפשר גישה למידע במאגר גם אם לא ידוע אם הייתה גישה בפועל כי לא תמיד יש בהכרח דרך לדעת מה מידת החשיפה של הגורם הבלתי מורשה למידע שמצוי במאגר.

יהונתן, בבקשה.

מכיוון שזה נוגע לתקנה 11 ולנושא ה-bridge notification – ושוב, אני מנסה להיצמד לסטנדרט האירופי – אז קודם כול צריך לשאול אם לא יכולים להתקיים אירועים חמורים במאגרים שהם לא בינוניים. לדוגמה במאגר שמכיל הרבה מאוד מידע שלכשעצמו הוא לא רגיש, אבל דליפה שלו שיכולה להיות מוצלבת עם מאגר אחר יכולה לייצר מידע רגיש. כשנגיע לסעיף 11 נדבר גם על ה-notification – אם זה חייב להיות רק לרשם וכדומה. אבל אולי צריך להגדיר את זה כך שסטנדרט בינוני וגבוה יכיל עוד רשימה של מקרים שגם אם לא נמצאת בבינוני או בגבוה תהיה חייב לדווח גם לרשם ויכול להיות שגם לנשאי המידע.

אני אשמח להתייחס להערה. יש כאן חזרה להערה הכללית לגבי החלוקה לרמות אבטחה. אנחנו ניסינו ליצור כאן מטריצה שקשורה להיקף נושא המידע, היקף מורשים, מידת רגישות המידע ואופיו של הגוף. אנחנו נשמח לשמוע הערות. זה בחלק הכללי של חלוקה לרמות אבטחה. לצד זה מכיוון שהתקנות הן כלליות ונועדו לאפשר התייחסות למכלול המאגרים קבועה בתקנה 20א סמכות לרשם לפתור או להחיל מאגר מסוים בתקופה זאת או אחרת, ולדעתי, בכך יש גם מענה אפשרי להערה של עורך הדין קלינגר.

אלעזר, מה אתה בעצם אומר? אתה אומר שבין מאגר מידע ברמת אבטחה גבוהה לרמת אבטחה בינונית לא צריך להיות הבדל בשני מובנים: לגבי הכניסה - -

אני שואל.

אתה מעלה גם לעניין הכניסה?

לא יודע אם לעניין הכניסה, אבל מכיוון שהנפקות היא של דיווח אז שאלתי למה באירוע במאגר ברמת אבטחה בינונית צריך שייעשה שימוש בחלק מהותי של המאגר כדי שידרוש דיווח? הרי אם מדובר על מאגרים שבסך הכול ההיקף שלהם הוא פחות – כי אין מאה אלף אנשים – אבל מדובר על מידע ברמת רגישות גבוהה, אז מדוע רק אם נעשה שימוש בחלק מהותי של המאגר יהיה דיווח ולא אם נעשה שימוש בחלק לא מהותי? זאת השאלה.

הסיכון מושפע מההיקף, וזה שאלה של איזון. בהוראות דומות בעולם יש תמיד חשש מהצפה. זה דבר שליאת הזכירה קודם. אם נקבע כהוראה כללית - -

הצפה של פניות אליכם?

של דיווחים. אם נקבע את זה כהוראה כללית ולא במסגרת סעיף השסתום הספציפי שמאפשר לנו לברור אז גם מאגרים ברמה הבינונית שזאת קבוצה הרבה יותר נרחבת תציף אותנו בדיווחים על כל חשש של גישה גם לרשומה אחת במאגר בדרגה בינונית.

אז נניח שגם אם לא מכניסים את רכיב הכניסה, אבל שזה לא יהיה שימוש רק בחלק מהותי מן המאגר, אלא יהיה שימוש במידע מן המאגר.

גם אז אם זה שימוש אפילו ברשומה אחת מדובר בהצפה. וזה לא סוף פסוק. הרי במאגרים בעלי רגישות או ייחוד שנחליט שצריך לגביהם בכל זאת דיווח יש לנו כלי שאותו הזכרנו קודם. אבל אם נקבע את זה כהוראה כללית הפירוש יהיה הטלת נטל גדול על הציבור וגם הצפה שלנו במידע. הרי העולם לא מושלם, ואם יציפו אותנו בדיווחים גם על מאגרים בינוניים או קטנים לא נוכל להתמודד עם זה ולא נוכל לברור את המוץ מהתבן. זה איזון בשאלות שמעסיקות בסעיפים דומים רגולטורים בכל העולם.

בנוסף – אנחנו אמנם לא נכנסים עכשיו לגופה של תקנה 11, אבל תקנה 11 קובעת חובות נוספותעל בעל מאגר במקרה שאירע אירוע אבטחה גם אם הוא לא עולה כדי אירוע אבטחה חמור. זה רק לעניין הדיווח לרשם.

ומעבר לדיווח, כמובן, האירוע אמור להיות מטופל. אנחנו מדברים פה רק על הדיווח, זה לא שהאירוע לא מטופל ולא קיימות חובות של אותו בעל עסק כלפי לקוחותיו מחוץ לתקנות האלה.

איך את יודעת שהאירוע מטופל, ואיך את יודעת שבעל העסק ממלא את חובותיו כלפי הלקוחות?

זה חלק מהחובה. חובת האבטחה, הטיפול והדיון בהנהלה הן חובות שקיימות אצלו.

אבל אם הוא לא מדווח אליכם - -

הוא גם לא מדווח למי שהמידע עליו מאוחסן, וזה מה שמדאיג. הוא מדווח רק אם אתם מורים לו לדווח.

בדיוק.

לזה נחכה לתקנה 11 כי זה כבר לא הדיון של ההגדרה. הרי היינו חייבים לעשות איזושהי חלוקה, ותמיד כשעושים חלוקה פורמלית יש מי שנופל בין הקצוות. בשביל זה יש תקנה 20 עם הסמכות של הרשם לקבוע מה בכל זאת יכול למרות שהוא לא בגדר התקנה.

עוד הערות? נמשיך.

(הקראה):

אנחנו מקריאים. מי שיש לו הערות לסעיפים מוזמן.

לי יש שאלה: משרד המשפטים, האם חומר מחשב מתכוון למידע אלקטרוני באשר הוא אלקטרוני? כי גם קול זה מידע אלקטרוני.

חומר מחשב מופנה להגדרה שקבועה - - -

אוקיי. אז אין לי הערה.

שאלה מקצועית למשפטנים. כל עולם הביגוד הלביש, כמו נעליים, שעונים וכולי, נכנס בהתקנים ניידים?

לא הבנתי את השאלה.

הרי אנחנו בעולם של מה שקוראים לו עכשיו "ביגוד לביש": שעונים, סמאטרפונים, נעליים. האם כל הדבר הזה - -

ביגוד הוא בדרך כלל לביש. ציוד לא.

ציוד ומחשוב לביש. זה נקרא "ביגוד לביש". אני שואל האם זה נופל תחת התקנים של החסנים ניידים?

אם הוא מצע שמשמש לאחסון מחשב התשובה חיובית.

אבל לפעמים לא תהיה לזה רלוונטיות. אם אתה יכול לחבר את זה ליציאת USB אז יש לזה חשיבות.

- - -

למשל המקרר הביתי שיהיה מחובר לאינטרנט, ובין היתר יש לו מצלמה שהוא רואה אותי, האם הוא נכנס לקטגוריה הזאת?

כן, אבל יכול להיות שאין לה רלוונטיות לתקנות.

הבנתי.

את ההגדרות יש לקרוא רק בתוך החקיקה עצמה ולא כעומדות בפני עצמן כי אז ההקשר מנותק. ההגדרות משרתות הוראה אופרטיבית בהמשך. אז שווה לקרוא אותן תמיד בתוך אותה תקנה, כי אחרת מתפתח דיון שיכול להיות שהוא עקר לעניין התקנות האלה.

אז אתה מציע שעכשיו כשהכרנו את ההתקן נקרא את תקנה 12 במקביל? או שנגיע לתקנה 12 ונחזור חזרה להגדרות?

נחזור להגדרות.

"חומר מחשב" ו- "מחשב"– כהגדרתו בחוק המחשבים, התשנ"ה- 1995;
"מאגר המנוהל בידי יחיד" - מאגר מידע שמנהל יחיד או תאגיד בבעלות יחיד, ואשר מצוי ברשותו של היחיד או התאגיד בלבד, ורק היחיד רשאי לעשות בו שימוש ורק באפשרותו לעשות שימוש במאגר, ואשר מטרתו העיקרית אינה איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר;

זאת הגדרה שיש הרבה מה לדון בה. בניסיון לרבד את התקנות ולהתייחס באופן דיפרנציאלי לסוגים שונים של מאגרים היה צורך לתת מענה לגורמים – שוב, בגלל שההגדרה של מאגר מידע היא כל כך רחבה רבים האנשים הפרטיים שבמחשבם האישי והפרטי מחזיקים מאגר מידע, לפעמים אפילו בלי לדעת שמה שהם מחזיקים זה מאגר מידע. לכן כשהתקנות מכילות הוראות אופרטיביות על מאגרים שמנוהלים בידי יחיד הוועדה צריכה לתת את הדעת על מספר היבטים: א', העלויות; זאת אומרת מה אנחנו מצפים שיהיה באותם מקרים של אנשים בודדים, של עסקים קטנים שמי שיש שם זה אדם אחד או שניים. איזה נורמות נכון ומוצדק להחיל עליהם וגם מה יהיה ישים; שלא נמצא את עצמנו במצב שהוועדה קובעת סטנדרט שמבחינה קונספטואלית הוא הגיוני ונשמע מוצדק, אבל אם נפרוט לפרוטות את המקרים של אנשים שנמצאים בקצה זה פשוט לא יקרה, אנשים לא יעשו את זה. לכן צריך לחשוב גם על ההגדרה. אני רוצה לומר שלא הייתה קודם הגדרה מדויקת לזה לפני כן וגם בסיג ושיח שהיה עם אנשי ייעוץ וחקיקה ועם רמו"ט היא בהחלט הורחבה לעומת המצב המקורי. בכל זאת צריך לתת על זה את הדעת. זה ברור שכל הגדרה שלא נקבע בכל ארבעת הרבדים של המאגרים השונים, ניתן יהיה לתת דוגמות לכאן ולכאן. ברור שאפשר למצוא מאגר יחיד שמנוהל רק על ידי יחיד שהוא מאגר סופר-רגיש עם מידע רב ורגיש; מצד שני אפשר גם תמיד לתת דוגמאות הפוכות. אני לא אומר שיש פה תשובה אחת ברורה וחד משמעית, אבל צריך לתת את הדעת גם על ההגדרה והאם יש מקום להרחיב אותה, גם מה בסופו של דבר חל על ההגדרה הזאת – שנראה בהמשך התקנות – אלו חובות יחולו על בעל מאגר יחיד; ועד כמה הדברים האלה ייושמו. זאת אומרת יש צפי סביר שאנשים מהשורה יבינו מה הם צריכים לעשות ויישמו את זה.

כשאתם אומרים "תאגיד בבעלות יחיד", אתם מתכוונים לבעלי מניות? מה זה תאגיד בבעלות יחיד?

חברות יחיד זה מאוד פופולרי היום. לדעתי, זה נובע משיקולים של מס או ביטוח לאומי. הרעיון היה לתת מענה כשראינו בעינינו את היחיד שרצינו להקל עליו. זאת אומרת להיות מודעים למה שקורה בשוק, ולתת גם פתרון לאותן חברות "אני". זה מקובל אצל עורכי דין, אצל רופאים שרשומים כחברה.

זה עניין של בעלי מניות?

זאת חברת יחיד.

יש פה "מאגר המנוהל בידי יחיד", ויש הגדרה: "מנהל יחיד או תאגיד אשר מצוי ברשותו של היחיד או התאגיד, ורק היחיד רשאי לעשות בו שימוש". מה זאת אומרת "רק היחיד רשאי לעשות בו שימוש"? עובדים שלו חוסים תחתיו?

הרעיון היה שזאת רמת היסוד לפני הרמה הבסיסית – מאגר המנוהל בידי יחיד. יש לו גרעין מאוד בסיסי של חובות שצמודות לו. אפשר אולי לפרט אותן אף על פי שזה יהיה מוזר כי לא דיברנו על התקנות המהותיות. אבל ייחדנו את אותו בסיס רק ליחיד אמתי – לא משנה אם הוא התאגד בתאגיד. זה אדם יחיד שגם נורמטיבית וגם מעשית הוא היחיד - -

מזכירתו זה הוא לצורך העניין?

הכוונה הייתה למישהו בלי מזכירה.

הכוונה הייתה רק יחיד.

איפה היום יש דבר כזה?

התשובה היא שיש. אבל אני רוצה לציין בהמשך לדברים של אלעזר – יש המון יחידים שעובדים מהבית - -

אני רוצה להוסיף עוד משהו. חשוב להבין שההגדרות האלה מאוד חשובות כי בין הרמה התחתונה של אותו מאגר יחיד לבין הרמה הבאה אחריה של רמת אבטחה בסיסית יש קפיצה איכותית בהיקף החובות שחלות. בעיני זה לא רק עניין כמותי של עוד חובה כזאת או אחרת, כי ההתייחסות לאותו גורם יחיד היא בדרישות הרבה יותר מינוריות. לקפיצה הזאת יש משמעות, ולכן צריך לשקול את האיזון בין היקף ההגדרה מיהו אותו גורם יחיד להיקף החובות עליו לבין הקפיצה למדרגה הבאה בתור.

אולי כדאי לתת דוגמות כדי שזה יהיה ממשי. המורה לפסנתר שמגיעים לה תלמידים, ויש לה רשימה של התלמידים והגילאים שלהם וההתקדמות והציונים שלהם – היא מנהלת מאגר, ואנחנו כמובן לא רוצים להחיל עליה את כל התקנות - -

אולי גם פרטים על אמצעי התשלום של ההורים שלהם.

כנראה, לא, אבל יכול להיות. אולי אפילו גם קשרי משפחה כי גם כל האחים במשפחה לומדים אצלה. ברור שלא הייתה כוונה להכניס אותה לעלויות, לסקרי סיכונים ולהחיל עליה את כל התקנות. הרעיון היה להחיל על אותה שכבה משהו מצומצם. בדיונים עלו כל מיני דוגמות: יועצת הנקה שמנהלת את סקרי - - - שלה מהבית.

פסיכולוגית שמטפלת באופן בודד במטופל.

נכון. גם פסיכולוג שמטפל באופן בודד. פה זה גם המקרה שאנחנו מדברים על מידע שהוא קצת יותר רגיש.

זאת סוגיה חשובה שצריך לדון בה. רגישות המידע אצל הבודד יכולה להיות קריטית, ולכן צריך להתייחס לזה. אגב, אני מבית שמאי בהקשר הזה, ואני אומר שאם יש עכשיו פסיכולוגית שיש לה עסק, והיא מטפלת במידע כל כך רגיש חלק מעלויות העסק זה אבטחת מידע רצינית על המידע. הלוא המידע של המטופל נמצא על מחשב שמחובר לאינטרנט ולא מאובטח ב-95% כי היא לא יודעת איך לאבטח אותו. אנחנו צריכים להתייחס לזה.

איפה יש הלימה בין תאגיד של יחיד או מאגר יחיד לבין מאגר כזה שיש בו מידע סופר רגיש?

אנחנו ניסינו ליצור איזון ולא להטיל נטל גדול מדי על אותם יחידים. בעקבות דיוני ההכנה עם הלשכה המשפטית עשינו את השינוי גם בהקשר של תאגיד בבעלות יחיד. אנחנו שומעים את הדברים שאומרת הוועדה לשני הכיוונים: גם בהיבט של נטל על יחידים שיש להם מזכיר או מזכירה וגם בכיוון השני של בעלי רישיונות שאולי יש להם חובות סודיות פרטניות. אנחנו נעשה בזה - - - ונשוב לוועדה בעניין הזה.

רק כדי להניח את החששות שעולם. לגבי יחיד שיש לו מידע מאוד רגיש, רק לסבר את אוזני הוועדה – לצד רגישות המידע יש הוראות בתקנות שיש להן חשיבות בעיקר בהקשר של כמה אנשים, של ארגון. לכן לפעמים יש הוראות פחות רלוונטיות לעוסק יחיד, ויש הוראות שמאוד רלוונטיות לו.

תחזרי על המשפט האחרון שלך, ליאת.

אמרתי שאחרי שהסברנו את האיזון אנחנו שומעים את הדברים שנאמרים בוועדה לשני הכיוונים – גם בהקשר הצורך בהרחבה נוספת בהקשר של יחיד שיש לו מזכיר או מזכירה וגם לכיוון הצד השני של בעל הרישיונות. אנחנו נעשה חשיבה נוספת, ונשוב לוועדה בעניין הזה.

אוקיי. זאת נקודה. אנחנו נמשיך היום עד 12:30. יהונתן קלינגר, בבקשה.

אני רוצה להחמיר בדבר אחד ובדבר אחר להקל. אני אתחיל בהקלה. בהגדרה כאן אנשים שעושים שימוש בשירותי ענן למיניהם או כשיש מחזיק שהוא אחר כהגדרה שלו בחוק, למשל תכנת הנהלת החשבונות שלי שהיא בענן אז אני לא אכנס להגדרה של מאגר המנוהל בידי יחיד, לצערי, וזה חבל כי תכנת הנהלת החשבונות שלי כנראה מאובטחת יותר מאשר אם אני אחזיק קובץ אקסל אצלי על המחשב כי המאגר כבר לא מצוי ברשותי בלבד. ניר, אתה מבין אותי, נכון?

כן.

אתה מתכוון ליחיד לגמרי, אבל שיש לו מחזיק.

אז יש כאילו לעוד מישהו גישה.

לצורך העניין המחזיק פה הוא הענן.

לא, זאת חברת הנהלת החשבונות שלי שלה יש גם מאגר רשום, ויש לה בתיאוריה גישה לתכנת הנהלת החשבונות שלי, אבל הם לא ניגשים בגלל נהלי האבטחה שלהם. אבל גם אני מאגר מידע וגם הם – כל אחד מאתנו לחוד.

לחומרה אולי צריך להחריג פה לדוגמה, למעט אם המאגר הזה, על פי דין, יוגדר כמאגר ברמה הגבוהה. נניח אם יש מנתח פלסטי שקנה אוסף של מאה אלף לידים של אנשים שמתעניינים בניתוח כלשהו. במצב כזה גם אם הוא עובד לבד וגם אם אין לו מזכירה או אסיסטנטית, ולאף אחד אחר אין גישה, אולי במקרה כזה צריך להגדיר שהסעיף הזה לא יחול עליו.

בגלל הרגישות של המידע.

כן. אם יש לו מאגר מאוד רגיש. אני אתן דוגמה בלי להעליב אף אחד מחברי הכנסת – חבר כנסת שיש לו רשימת מתפקדים, והוא משתמש ברשימת המתפקדים הזאת אז כשרשימת המתפקדים נמצאת אך ורק בידי המפלגה היא מאגר מידע רגיש. היא מאגר שהרמה הגבוהה צריכה לחול עליו. לעומת זאת כשחבר הכנסת מקבל קובץ אקסל לקראת הפריימריז, ואחר כך מתחיל לשלוח לכל מיני אנשים הודעות ולא מאפשר להם להסיר, אז אם רק לו יש גישה למידע הזה זה נכנס כמאגר בבעלות יחיד, ואולי צריך להחריג את זה גם כן.

אני פה לא עונה.

אני נתתי את חברי הכנסת כדוגמה, אבל יש עוד דוגמות דומות.

עורך דין קלינגר, אני מסב את תשומת לבך לסיפא של ההגדרה שבה יש החרגה - -

דיוור ישיר.

שירותי דיוור זה לא דיוור.

נכון. אני רק מסב את תשומת לבך שיכול להיות שבחלק מהמקרים האלה זה ייכנס לשירותי דיוור ישיר.

רופא ששולח סמסים לאנשים ואומר להם, שהוא ראה שהם מתעניינים בניתוח כלשהו, והוא מציע להם לעשות את הניתוח במחיר מוזל יותר כי הוא קנה מאגר של מאה אלף אנשים, לא צריך להיכנס למאגר המנוהל בידי יחיד.

בהחלט ראוי לחשוב על הדברים האלה.

בהחלט תהיה חשיבה נוספת, ונחזור לוועדה.

"מאגרים שחלה עליהם רמת האבטחה הבסיסית" – מאגרי מידע שאינם מן הסוגים המפורטים בתוספת הראשונה או השניה ואינם מנוהלים בידי יחיד;

יש פה בעצם הגדרה שיורית – מה שלא זה ולא זה ולא זה.

"מאגרים שחלה עליהם רמת האבטחה הבינונית" - מאגרי מידע מן הסוגים המפורטים בתוספת הראשונה;

"מאגרים שחלה עליהם רמת האבטחה הגבוהה" - מאגרי מידע מן הסוגים המפורטים בתוספת השנייה;

מבחינת סדר הדיון אפשר לעבור על התוספות ולנסות להחליט. יש בזה גם טעם בניגוד למה שאיל אמר על תקנות אחרות כי התוספות פה הן ממש חלק מההגדרה, וזה ילווה אותנו לאורך כל התקנות.

אולי אחרי שהוועדה תלמד מה המשמעות של החובות ותעבור לתקנות אז יהיה יותר קל להגיד מה מתייחס למה. החלוקה של התוספת עצמה, אין לה מהות אלא שהיא משקפת את כובד הנטל. כובד הנטל נלמד מגוף התקנות, אבל זה אומר - -

אפשר כך ואפשר כך.

אולי כדאי לעבור כדי להבין.

כשהוועדה תחוש מה אנחנו מבקשים.

אם הם מבקשים ככה אז בסדר.

אוקיי.

"מידע ביומטרי" – מידע המשמש לזיהוי אדם, שהוא מאפיין אנושי פיזיולוגי, ייחודי, הניתן למדידה ממוחשבת;

זאת הגדרה שייעשה בה שימוש בתוספת לגבי הגדרה של מאגר ברמת אבטחה בינונית.

התקנות האלה יחולו על המאגר הביומטרי או שיש לו כללים ייחודיים לו?

גם וגם.

הן חלות עליו - - -

רק שם הוא הרבה מעבר למינימום שהתקנות האלה קובעות.

המאגר הביומטרי הוא כמובן באבטחה הגבוהה.

זה כן מעורר שאלה שהעליתי בתחילת דברי של מצבים שבהם יש הסדרות ייחודיות ספציפיות לסוגים שונים של מאגרי מידע. באמת צריך לתת את הדעת על היחס בין אותן הסדרות לבין ההסדרה הכללית הזאת.

שיהיה ברור על מה אנחנו מדברים – האם זה אומר שכל צילום, גם צילום פנים וגם צילום רנטגן הוא מידע ביומטרי, לפי ההגדרה פה?

שאלה טובה, טליה. נכון.

אולי כדאי לדון על זה בהקשר הפונקציונלי של זה שזה בתוספות. התוספת מפרטת סוגים שונים - -

כמו שההגדרה כתובה כרגע התשובה תהיה כן.

אבל יש הבדל, לפי התוספת, בין תמונות פנים של העובדים שאת מנהלת על כרטיסי עובד שזה רמה אחרת לגמרי לבין תמונות של צילומי רנטגן. יש דיפרנציאציה בדרישות.

לא הבנתי.

יהיה יותר נכון לדון בזה בהקשר של התוספת שקובעת מה חל על איזה מידע ביומטרי. כי מידע ביומטרי הוא רחב. יש כל מיני סוגים של צילומים, כמו שטליה הזכירה, שנכנסים בגדר - - - וחלות עליהם דרישות שונות.

אז אולי באמת נעבור בכל זאת לתוספת כדי לראות את זה?

ההנחה היא שמידע ביומטרי הוא רגיש, ולכן הוא כלול ברמת רגישות ברשימה של המידע הרגיש. מה בדיוק נתפס בגדר מידע ביומטרי באותו הקשר זה ניואנסים. אנחנו חושבים שזה מכסה היטב דברים. אז אפשר לראות שם שלמשל תמונות פנים בהקשר של עובדים שזה פחות רגיש, החרגנו. זה בנוי בתוך התוספת. אבל לקראת התוספת נראה בהשוואה. זה לא מידע ביומטרי. מידע ביומטרי הוא רגיש אבל כללנו אותו עם מידע רפואי, מידע גנטי. נדע מה המשפחה של סוגי המידע הרגיש שחשבנו לכלול בתוספת מסוימת, ואז אפשר לשאול האם צילומי רנטגן הוא במשפחה הזאת או לא. ההקשר פה מלמד על ההכרעה שאתם רוצים להכריע.

זה גם מחדד שוב את ההקראה שצריך לתת עליה את הדעת לפני כן.

טליה, התשובה היא – תתאזרי בסבלנות. זאת התשובה.

"ממונה על אבטחה" - כמשמעותו בסעיף 17ב לחוק;

"מערכות המאגר" - מערכות המשמשות את המאגר ואשר יש להן חשיבות בהיבטי אבטחת מידע;

פה אני רוצה לשאול שאלה טכנית: האם יש מערכות המשמשות את המאגר שאין להן חשיבות בהיבטי אבטחת מידע?

לא. אם אנחנו אחראים על זמינות אז אנחנו גם אחראים על זמינות.

זאת שאלה טכנית להבנת ההגדרה.

אנחנו לא רוצים להכביד סתם על הציבור. יכול להיות שיש דבר כזה. לא עלה בדעתנו משהו כזה, אבל אם יש אז לא יחולו עליו חלק מההוראות של התקנות.

הרעיון הוא שאנחנו מתמקדים בכל מה שיש לו חשיבות בהיבטי אבטחת מידע. השאלה אם בפועל יש דברים שאין להם משמעות אבטחתית היא שאלה מקצועית וגם יכולה להשתנות.

מערכת החשמל של העסק שלי

מערכת ניהול ציי הרכב. זה משפיע? היא מערכת של החברה, אבל היא לא במאגר.

היא משמשת את המאגר?

היא לא.

אז אין לה חשיבות.

אז לא תיכנס להגדרה.

אני מבקש להעיר הערה. נגעת במילה "ממונה על אבטחת מידע". אני סבור שאנחנו צריכים להיות היום במקום אחר. היום כולנו מדברים במושגים של סייבר והגנת סייבר. לכן המילה הנכונה, לדעתי, צריכה להיות "ממונה על הגנת מידע" או "ממונה על הגנת הסייבר" גם מכיוון שיש חוק הגנת הפרטיות שלפיו אני עובד, גם כי מטה הסייבר נקרא "מטה להגנת הסייבר", "הרשות להגנת הסייבר"; ואני עצמי הובלתי מהלך בישראל שאנחנו עוסקים ב"הגנת מידע" שהוא מילה כוללת לטיפול בכל סוגי המידע ולא רק במערכות מידע. אבטחת מידע זה מימוש של הגנת המידע בטכנולוגיה.

מעבר למינוח מה המשמעות?

אנחנו משתמשים באותו מינוח. מכיוון שאנחנו במסגרת של תקנות וחקיקת משנה אנחנו לא יכולים לסטות מהמינוחים ומההגדרות שיש בחקיקה הראשית.

הבנתי.

כיום בחקיקה הראשית זה המינוח.

יש מקום לחשוב על זה.

המקום להערה שלך הוא במידה שיהיה תיקון לחקיקה.

בחוק הוא מוגדר "הממונה". לא "ממונה על אבטחה". זה הכותרת של הסעיף, אבל זה "להלן: הממונה".

לכן כתוב פה "כמשמעותו" ולא "כהגדרתו" כי אין שם הגדרה.

אבל משמעותו של הממונה על אבטחה זה לא נכון כי בחוק זה "הממונה" ולא "הממונה על אבטחה".

איציק, אני לא הבנתי את הניואנס. מעבר למינוחים במה זה שונה במהות?

אנחנו עובדים במתאם מול כל גורמי המדינה שמתעסקים בהגנת הסייבר. אז אצלי בארגון מיד שאלו, מי מתעסק בסייבר, ולכן שינו את השם שלי ל"ממונה על הגנת הפרטיות והגנת הסייבר". אנחנו עובדים ברשות הסייבר, הכול מתנהל בעולם של סייבר. עולם המחקר באקדמיה זה הגנת סייבר. לכן יש מקום להתאים. אבל עמיתי צודקים כאן שיכול להיות שצריך לעשות את זה בחקיקה ולא בתקנה. על זה אין לי ויכוח. אבל שווה לפתוח את זה לדיון. הממונה על אבטחת המידע, לדעתי, היום נקרא "הממונה על הגנת הסייבר".

אבל סייבר זה לא רק אבטחת מידע.

סייבר זה לא רק אבטחת מידע.

מצד שני פרטיות והגנת מידע ומאגרי מידע זה לא רק סייבר. בעבר הייתה הצעת חוק ממשלתית שהונחה על שולחנה של ועדת החוקה, והיא כללה גם שינוי של המינוח ל"אחראי על הגנת מידע" במקום "ממונה אבטחה".

ומה עם זה?

כרגע היא - -

ממתינה.

לא - -

לימדו אותי להגיד במשרדי ממשלה, זה ממתין.

זה לא ממתין. זה המתין על שולחן הכנסת כשש שנים.

תודה. בבקשה, גברתי.

אני מהפיקוח על הבנקים. ישבתי בשקט ושמעתי את כל המוזמנים. שירלי הגיבה גם בשמי. אני חייבת להגיד רק דבר אחד. מי שלא יודע הגנת סייבר זה לא רק אבטחת מידע. העולם עבר מעולם אבטחת המידע לעולם הגנת הסייבר. ודאי שהיא מתייחסת לעולם אבטחת המידע; ודאי שהיא מתייחסת להגנה על המידע, אבל לא רק. אם תרצו פעם, אתן לכם הרצאה על הנושא הזה. זה עולם הרבה יותר רחב, כמעט עולם אין סופי שארגון צריך להגן מפני האיומים שלו. זה לא רק בתחום אבטחת המידע. תודה.

תודה.

אני מסכים שמעולם האבטחה עברנו לעולם ההגנה כדי לחדד. עולם ההגנה הוא גדול יותר מעולם האבטחה. כלומר אם בעולם האבטחה מדובר על טכנולוגיה או על אמצעים אז עולם ההגנה מדבר על תגובה ראשונית ועל מחקר, על התאוששות, על התכוננות ועל מודיעין. זאת אומרת הוא מכיל הרבה מאוד רכיבים. השאלה היא האם הסוגיה היא לשנות. יש כאן שאלה יותר משפטית. האם מקצועית המושג מעודכן? התשובה היא לא.

השאלה אם אנחנו לא יכולים, לאור ההערה של יהונתן - -

אני מצטער, עם כל הכבוד – עורך דין קלינגר לא נמצא – אבל מהחוק עולה בוודאות שזה המונח המתאים. מדובר על אדם שבעל הכשרה מתאימה שיהיה ממונה על אבטחת מידע. זה המונחים של החוק, ואני לא חושב שבמסגרת התקנות אנחנו יכולים לשנות את זה. ככל שיתוקן החוק - -

זה עניין של נוסח החוק. בחוק אנחנו משתמשים במינוח. ההערה היא לא של מהות, אלא הפניה בשימוש של המינוח – אם זה ממונה אבטחה. אנחנו מסתכלים על סעיף 17ב ופועלים לפיו.

אבל אם אנחנו עושים תקנות שהן בהחלט צופות פני עתיד בעולם שמשתנה תדיר ובמהירות אז יכול להיות שזה שווה. אני מבינה שבמהות זה לא משפיע, אבל במסר שעובר גם לציבור וגם בכלל, כשאתה נמצא בהגדרה מצומצמת, גם אם במהות, זה לא משנה שום דבר. אבל ההגדרה מצומצמת. אז יושבים בבנק ישראל ובשירותי הבריאות הכללית ואומרים, הם באבטחת מידע, לא בסייבר.

עולם הסייבר הוא לא מכוח חוק הגנת הפרטיות. חוק הגנת הפרטיות מקנה סמכויות לשרת המשפטים להתקין תקנות. לכן היא לא מוסמכת לעסוק בעולם הסייבר.

אבל כשיבוא לפה חוק הסייבר לדיון ידונו במקצועות הסייבר. כל מקצועות הסייבר זה "מומחה הגנת סייבר", "טכנאי הגנת סייבר", "מנהל הגנת סייבר". כדאי שתהיה הלימה, זאת דעתי.

אנחנו מבינים שכשהוא יבוא יהיו התאמות.

איציק, קיבלת את התשובה. זה לא בסמכות. אנחנו עוברים האלה.

כשנגיע עם תיקונים לחוק הגנת הפרטיות ולא לתקנות הגנת הפרטיות נבקש, בין היתר, לשנות כל מיני הגדרות שיש בחוק הוותיק הזה. אין לנו באמת ויכוח שחלק מההגדרות לא מתאימות, כולל במינוחים.

שוקי, בבקשה.

בעניין ממונה ההגנה על המידע או הממונה על אבטחת מידע – מה שחסר לי כאן בתקנה זה שאותו ממונה יצטרך לקבל את הכישורים המתאימים. לא יכול להיות מצב שיטילו על מישהו תפקיד בלי שיהיו לו הכישורים או הידע המתאימים.

זה במסגרת תקנה 3.

זה נעשה כשנגיע לתקנה עצמה.

אלעזר, בבקשה.

"נושא המידע" – האדם אודותיו קיים מידע במאגר המידע;

"עובד" - יחיד המועסק על ידי בעל מאגר או מחזיק, במישרין או בעקיפין, ואשר יש לו גישה לאחד מאלה על פי הרשאתו של בעל המאגר או המחזיק:
(1) מידע מהמאגר;
(2) מערכות המחשוב של המאגר;
(3) מידע או רכיב הנדרש לצורך הפעלת המאגר או לצורך גישה אליו.
על אף האמור, יחיד המועסק על ידי מחזיק מאגר מידע, לא ייחשב כעובד של בעל אותו מאגר;

מכיוון שההגדרה של עובד פה היא מנותקת מהגדרת יחסי עובד מעביד על-פי דיני העבודה המקובלים, אלא זאת הגדרה פונקציונלית של גישה למידע; ומכיוון שמדובר פה גם על העסקה בעקיפין ולא רק העסקה במישרין, המטרה של הסיפא היא להבהיר שכאשר המאגר מנוהל לא על-ידי בעל המאגר, אלא בעצם על-ידי מחזיק, העובדים של המחזיק הם העובדים של המחזיק, והעובדים של בעל המאגר הם עובדים של בעל המאגר, והם לא מתערבבים זה עם זה. העובדים של המחזיק לא נחשבים לעניין החובות. אנחנו נראה שיש כמה וכמה חובות לגבי עובדים. הם לא ייחשבו כעובדים של בעל המאגר.

אני שמחה שהבהרת מה שהבהרת, רק שזה לא מה שכתוב כאן בדיוק. אם אתם רוצים אולי להוסיף בסוף אחרי "יחיד המועסק על-ידי מחזיק מאגר מידע לא ייחשב כעובד של בעל אותו מאגר" את המילים: "אם המחזיק והבעלים הם לא אותו אחד". זה עניין של ניסוח.

"מחזיק" – הכוונה לא לשונית, אלא כמשמעותו בהגדרה בחוק הגנת הפרטיות. למחזיק יש הגדרה בחוק. זה לא מי שמחזיק, אלא מי שמבצע - - -

בהגדרה לפי חוק הפרשנות המונחים מקבלים את המשמעות שלהם לפי המונחים בחוק.

ברור. השאלה אם זה ברור תמיד שמחזיק הוא לא הבעלים.

המחזיק הוא לא הבעלים.

"הרשות הלאומית להגנת הסייבר" – הרשות הלאומית להגנת הסייבר שייעודה הגנה על מרחב הסייבר, שהוקמה על פי החלטת הממשלה ופועלת בהתאם להחלטותיה;

"רשת ציבורית" – רשת תקשורת המאפשרת שימוש גם על ידי מי שאינו עובד.

סיימנו את סעיף ההגדרות.

אנחנו נצטרך לחזור אליו בכמה וכמה הקשרים.

כן.

תודה רבה לכולם. הישיבה נעולה.

הישיבה ננעלה בשעה 12:40.