פרוטוקולים/ועדת מדע/1569

1
הוועדה המשותפת לוועדת מדע ולוועדת חוקה, חוק ומשפט
לנושא הצ"ח חתימה אלקטרונית
2.10.2000

פרוטוקולים/ועדת מדע/1569
ירושלים, י"ב בתשרי, תשס"א
11 באוקטובר, 2000

הכנסת החמש-עשרה נוסח לא מתוקן
מושב שני

פרוטוקול מס' 5
מישיבת הוועדה המשותפת (לוועדת מדע וטכנולוגיה ולוועדת החוקה, חוק ומשפט)
לנושא הצעת חוק חתימה אלקטרונית
יום שני, ג' בתשרי תשס"א (2 באוקטובר 2000), שעה 12:00

הצעת חוק חתימה אלקטרונית, התש"ס-2000

חברי הוועדה: מיכאל איתן - היו"ר

עו"ד טנה שפניץ - משנה ליועץ המשפטי לממשלה, משרד המשפטים
עו"ד ליהי פלדמן - עוזרת למשנה ליועץ המשפטי לממשלה,
משרד המשפטים
עידית גרינבוים - מתמחה, משרד המשפטים
נמרוד קוזלובסקי - משרד המשפטים
עו"ד זאב שר - משרד המשפטים
בועז דולב - מנהל פרוייקט תהיל"ה (שירותי אינטרנט
מאובטחים למשרדי הממשלה), משרד האוצר
עו"ד יעקב לייטון - משרד האוצר
חיים גונן - יועץ מחשוב, הנהלת בתי המשפט
עו"ד לאה רקובר - ייעוץ משפטי, הנהלת בתי המשפט
רפי הוידה - מדען ראשי, משרד התקשורת
מיכאל הואש - עוזר שר התקשורת
סנ"צ אלינוער מזוז - לשכת יועמ"ש, המשרד לביטחון פנים
מיטל גרייבר-שורץ - מנהלת אדמיניסטרטיבית, איגוד האינטרנט
הישראלי
עו"ד צבי אילן - בנק לאומי
עו"ד עמי סלע - בנק הפועלים
עו"ד אלונה חזן - בנק דיסקונט
דניאל מאיר - הפיקוח על הבנקים, בנק ישראל
ניר נעמן - סמנכ"ל פיתוח חברת EXPERT TRUT
SYSTEM
עו"ד רחל פשר-אייקנאר - איגוד BSA
זאב שטח - מנכ"ל חברת קומדע
עו"ד חנה אזולאי - עו"ד חברת קומדע
עו"ד עדי קידנר - לשכת עורכי הדין
עו"ד שר פרלי - רשות הדואר
עו"ד מיכאל הרצברג - חברת ויזה כ.א.ל
עו"ד מירון הכהן - משרד התעשייה והמסחר
עו"ד יצחק קמחי - הממונה על הגנת הצרכן
נעמי קמחי - מנהלת הספרייה בכנסת

שרי אברמוב

ענת לוי

תמר מרימוביץ

הצעת חוק חתימה אלקטרונית, התש"ס-2000

בוקר טוב, אנחנו פותחים את הישיבה. אני מבקש מהמדען הראשי של משרד התקשורת לסייע לנו הפעם, והוא יהיה ה-MODERATOR של הדיון הציבורי. כפי שאתה יודע, כאשר תעלינה – ואם תעלינה – תגובות מן הציבור, יש לך זכות מלאה לעצור כאן את הדיון ולהעלות סוגיות שעולות שם, אם הן בהתאם לנושאים שעולים פה. אנחנו נשתדל למזג את הדיונים. אל תהסס לעצור כאן את הדיון.

הנושא של הכללת התאריך כחלק מהחתימה, זה נושא שאנחנו כנראה נוטים בשלב זה שלא להכליל. כפי שהתרשמתי עד לרגע זה, זה גם לא מקובל במערכות חוקים אחרים. אחת הנקודות המרכזיות שצריכות להדריך אותנו היא ההרמוניה בין החקיקה שלנו כאן לבין החקיקה שנעשית בעולם כולו.

האם יש מישהו שרוצה להתייחס בהערות נוספות לסעיף ההגדרות?

אנחנו רוצים להעיר הערה בנוגע להגדרת "חתימה אלקטרונית מאובטחת ומאומתת".

אבל אולי אנחנו נקרא קודם את הגדרת "חתימה אלקטרונית מאובטחת".

סיימנו אותה.

אז אנחנו נקרא את ההגדרה "חתימה אלקטרונית מאובטחת ומאומתת".

"חתימה אלקטרונית מאובטחת ומאומתת" – חתימה אלקטרונית מאובטחת שאומתה בתעודה אלקטרונית".

ההגדרה כפי שהיא היום, למעשה מחייבת את מי שרוצה להסתמך על חתימה אלקטרונית המאומתת בתעודה אלקטרונית, להקדים ולהוכיח שהחתימה שלו היא חתימה אלקטרונית מאובטחת. באופן זה, אין משמעות לכל הפרקים בחוק - שזה למעלה ממחצית סעיפי החוק - שדנים בגורם המאשר בחובות שמוטלות עליו.

למה אין משמעות?

מאחר שממילא מי שנרשם כגורם מאשר במרשם הגורמים המאשרים, צריך להוכיח שהטכנולוגיה שלו עונה על יסודות הטכנולוגיה המוגדרים כחתימה מאובטחת. מדוע אם כן עליו להוכיח זאת שוב, כשהוא רוצה להסתמך על החתימה המאומתת?

אני רוצה קודם כל להבין היטב את הסוגייה. אנחנו נמצאים בהגדרה של "חתימה אלקטרונית מאובטחת ומאומתת". כנגד מה בעצם הטענה שלך?

החתימה הזו מוגדרת למעשה כחתימה אלקטרונית מאובטחת שאומתה בתעודה האלקטרונית. זאת אומרת שמי שרוצה להסתמך עליה, צריך קודם כל להוכיח שהחתימה היא מאובטחת.

נכון, היא צריכה להיות מאובטחת.

היא מאובטחת בוודאי, בגלל שהוא לא יכול להירשם במרשם הגורמים המאשרים, אם החתימה היא לא מאובטחת.

אבל לא כל אחד חייב להירשם במרשם הגורמים המאשרים.

כן, אבל גורם מאשר מוגדר כמי שרשום במרשם הגורמים המאשרים לפי הוראות סעיף 8.

אבל חתימה מאובטחת לא צריכה לעבור גורם מאשר.

לא, אבל היא מדברת על "חתימה אלקטרונית מאובטחת ומאומתת".

נכון, "חתימה אלקטרונית מאובטחת ומאומתת" צריכה לעבור גורם מאשר.

ואז לא צריך להוכיח שהיא מאובטחת, כי הגורם המאשר כבר דאג לזה. לגורם המאשר לא היו מאשרים להיות גורם מאשר, אם הוא לא היה מנפיק חתימות מאובטחות.

אני לא חושב שזה קשור.

בזמן ניסוח החוק היה לנו ברור שאם היא מאומתת, חזקה עליה שהיא מאובטחת ולא צריך להוכיח את זה, ולא ראינו לנכון להוסיף את זה. מאחר שהתעורר הספק, כשנגיע לסעיף 3, יש לנו הצעה כן להכניס חזקה שאם היא מאומתת, חזקה עליה שהיא כבר מאובטחת. נראה את זה בסעיף 3.

זה פתרון.

הרעיון הוא שהוא לא צריך לבוא ולהוכיח שהיא מאובטחת. יש חזקה שהיא מאובטחת – על זה עולה העניין. זה פשוט כדי לחסוך הוכחה.

השאלה האם זה מספיק. ברגע שהוא נקט באמצעי האבטחה שהגורם המאשר אישר ורשם הגורמים המאשרים נתן לו, פועלת החזקה שהיא גם חתימה מאובטחת. איפה אנחנו נראה את זה?

בסעיף 3 יש לנו הצעה לתיקון. אין בעיה בהגדרה.

אם כך צריך להשאיר את ההגדרה כך ונתקן את סעיף 3.

האם יש תגובה מהציבור?

יש התייחסות לגבי חקיקה בינלאומית שלא כוללת תאריך.

ומה הם אומרים?

אם רוצים להתייחס לזה, צריך לציין את זה בחוק, אבל זה לא ברור לי בדיוק.

תגיד שאני מבקש ממי שפנה לפרט בדיוק למה הוא מתכוון, ותשאל אם יש לו אסמכתא לחקיקה בינלאומית שבה כן מופיע התאריך כחלק מההגדרה.

אני רואה שהוא מדבר פה על האלמנט של NON-REPUDIATION, והוא אומר שיש לזה שני מרכיבים: התכחשות עקרונית לשליחת המידע והתייחסות לתזמון. הוא אומר שאם רוצים שהחתימה גם תכיל אלמנט של NON-REPUDIATION, היא צריכה להכיל תאריך.

אני מסכם את דברי עורכת הדין ליהי פלדמן ממשרד המשפטים:

התשובה להערה היא שאנחנו מציעים לתקן את סעיף 3 לחוק, וכשנגיע לדיון בסעיף 3, אתם תראו שיש הגיון בקביעת ההגדרה כאן כחתימה אלקטרונית מאובטחת שאומתה בתעודה אלקטרונית; ועל פי סעיף 3 המתוקן תתבהר התמונה ותתקבל התוצאה שעליה דובר כאן, לפיה חתימה אלקטרונית מאובטחת ומאומתת – חזקה שהיא מאובטחת, ואין צורך להוכיח פעמיים שהיא מאובטחת לצורך היותה מאובטחת, ומאובטחת לצורך היותה מאובטחת ומאומתת.

האם יש איזה שהן הערות לגבי הסעיף הזה?

שלחתי תזכיר פחות או יותר מפורט לגבי עמדת חברת כרטיסי אשראי כ.א.ל.

האם שלחת את זה גם בדואר אלקטרוני?

כן.

חילקו את זה בישיבה הקודמת לכולם.

נדמה לי שזה כבר באתר.

זה כבר בטח נמחק. היום בבוקר ביקשה הגברת שפניץ שאולי גם נגיש הצעות לנוסח, ואנחנו נעשה את זה בזמן הקרוב. ההערות שלי הן עקרוניות יותר מאשר פרטניות.

לסעיף ההגדרות היו לי שתי ההערות. הערה אחת כללית - המושג חתימה אלקטרונית מאובטחת מוגדר בנוקשות. הצעתי לקחת את ההגדרות של ועדת האו"ם למשפט מסחרי. שלחתי גם את הטיוטה האחרונה של הצעת חוק המודל שלהם.

של המסגרת לחקיקה שהם ניסחו. הם לא ניסחו חוק, אלא מסגרת לחקיקה.

מה ההבדל בין מסגרת לחקיקה לחוק? זה לא חוק מחייב כי הם לא מדינה, אבל זה חוק מודל.

זו הצעה למדינות ליצירת תשתית מאוחדת.

זאת מסגרת לחקיקה.

כל מדינה עושה עם זה מה שהיא רוצה.

נכון, אין חובה לקבל את זה. באופן יותר ספציפי להגדרה של חתימה אלקטרונית מאובטחת, נדמה לי שלפחות פסקה (3) להגדרה שניתנת לשליטתו הבלעדית של בעל החתימה, נותנת פתח לחותם לומר שגם למזכירתו יש גישה וגם אולי לרעייתו אם זה מהמחשב בבית, וכדומה. צריך או לכתוב חזקה שאם עשה את זה אדם הקשור בו, כאילו הוא עשה את זה, או למצוא פתרון משפטי כדי לא לתת אפשרות לשימוש לרעה בהגדרה מאד נוקשה זו.

הערה נוספת שלא הערתי במכתב היא שנדמה לי שההגדרה של "חתימה אלקטרונית" קצת חוזרת על עצמה. אומרים חתימה אלקטרונית היא חתימה, אבל מה זאת חתימה?

ההנחה היא שכולם יודעים מה היא חתימה.

אבל כאן לא מדובר על חתימה במובן שכולנו יודעים אותו. פה מדובר על שימוש בתוכנה, הקשת קוד או משהו כזה. חתימה אלקטרונית היא לא חתימה במובן של לקחת עט ולרשום.

כן, אבל הכוונה - -

אני יודע מה הכוונה.

לא אם אמרת את מה שאמרת. אני מסכם את מה שאמרתי – אני מצטרף להערה הזו. אני סבור שאכן אנחנו נצטרך לטפל בסוגייה שדנה במה שקורה לאדם שיש לו גישה אבל אין לו סמכות, והוא נכנס למחשב וביצע פעילות. כמו כן, נשאלה שאלה באחת מקבוצות הדיון - מה קורה כאשר מבצע את התהליך אדם מול מסוף, כאשר אתם מגדירים את כל האמצעים הנחוצים להפקת חתימה, הכוללים בין השאר: מקלדת, מסך, ומה קורה כאשר אדם ניגש למסוף ומבצע פעילות של חתימה אלקטרונית מול אמצעים שהם לא בשליטתו, בטח לא הבלעדית?

כאשר אדם נמצא מול מסוף בשדה התעופה למשל, והוא מבצע את הפעילות, האמצעים הם לא בשליטתו הבלעדית. אתם כותבים שכל האמצעים צריכים להיות בשליטתו הבלעדית.

לא, ניתנים לשליטה. ההגדרה היא בדיוק מה סוג האמצעי שהוקצה לכך.

אז אתם תענו. זאת הערה שאני קראתי אותה. אנחנו צריכים לשקול את ההסתייגות שלך לגבי חוסר ההגדרה של המושג חתימה, משום שלפי הבנתי, היוזמה של משרד המשפטים באופן הגיוני מנסה להשוות ככל שניתן את המשטר של החיים החדשים הדיגיטליים למשטר שהיה מקובל עד היום, וליישם על פי אותם עקרונות גם את דיני החוזים ואת ההיבטים של ההתקשרות ושל החתימה.

במובן הזה אנחנו מפרשים את המושג חתימה – כך אני מבין – לא על פי ההגדרה הצורנית, אלא על פי הגדרת הכוונה. כל אדם מבין מה נקרא רצון לחתום, לבצע של פעולה של חתימה, כלומר: לתת אישור. במובן הזה אין הגדרה אחרת, כי לא צריך הגדרה אחרת. אתה טוען שאולי צריך הגדרה אחרת בגלל הצורה השונה ובגלל שבאמצעים האלקטרוניים זה נעשה בדרך אחרת.

אני רוצה לשאול אותך, האם אתה גם מתכוון שהפעילות האלקטרונית הזאת לא רק תהיה שונה מבחינה צורנית, אלא גם המושג של חתימה יקבל הרחבה לפעולות שעד היום לא התכוונו אליהן, כאשר אנשים היו מתייחסים לאמירות ולמסרים, אבל הם לא התכוונו שהם יהיו חתומים. האם בגלל שהן ייעשו בדרך אלקטרונית, הן יהפכו להיות מסרים מסוג חדש שיש בצדם, מה שאנחנו אומרים, חתימה, כפי שהיה מקובל קודם לכן?

אני חושב שאין כוונה כזאת, ולכן לדעתי, כאשר אנחנו משתמשים בחוק במושג חתימה בלי להגדיר אותו, מטבע הדברים, הפרשנות תהיה חתימה כמקובל וכידוע בחיי בני האדם הנוהגים כיום, כפי שהם היו נוהגים עד להמצאה הזאת של החתימה הדיגיטלית. אם אני לא ייצגתי טוב את משרד המשפטים, אתם מוזמנים להצטרף.

בהערה האחרונה לא התכוונתי לשאלות המהותיות שאני מוכן גם להתייחס אליהן, אלא התכוונתי שאי אפשר להגדיר שחתימה היא חתימה. כתוב חתימה אלקטרונית היא חתימה.

אנחנו התכוונו לזה ועשינו את זה בכוונה.

אני יכול להיתלות באילנות גבוהים, ובטיוטה הקודמת של משרד המשפטים למשל, היה כתוב שחתימה אלקטרונית היא מידע, או אות בצורה דיגיטלית וכו' וכו', שזאת הגדרה יותר נכונה לדעתי.

אתה חוזר עוד פעם למה שאמרתי קודם. ברגע שאתה מגדיר חתימה אלקטרונית כמידע, אתה משנה את מה שמקובל היום אצל בני אדם ואת תפיסתם כפי שכל אחד יודע מה זאת חתימה. עכשיו אתה אומר שיש פה דבר חדש, זאת בכלל לא תהיה חתימה - זה יהיה מידע עשוי בדרך מסוימת, אבל זאת לא תהיה חתימה. אתה רוצה לתת למידע עשוי בדרך מסוימת, תוקף כאילו הוא חתימה. אני לא פוסל את זה על הסף, אבל זאת מהפכה אחרת לגמרי.

מיכאל הרצברג צודק מבחינה זו שזאת לא חקיקה אידיאלית. קודם התעוררו כל מיני בעיות, ולכן רצינו להעלות את זה לפסים, דע לך שחתימה אלקטרונית במושג המופשט היא חתימה, ואז המשכנו הלאה.

אני גם חושב שצריך להרחיב את זה, אבל אני חושב שהזמן כאן מצומצם.

אני רציתי להעיר עוד הערה טכנית אחת לעניין החתימה. לא ברור לי בהגדרת החתימה – אולי משום שלא השתתפתי בדיונים הקודמים – איך תחתום חברה. מי בעל החתימה? האם זאת החברה? האם זה אדם בחברה שהוא מורשה חתימה? מה אם דרושות שתי חתימות? איך תחתום חברה, שזה חלק גדול מהעסקאות?

כשתציע איך אפשר לעשות שתי חתימות - -

אפשר לעשות שתי חתימות.

אי אפשר לעשות אותן על אותו מחשב באותו זמן.

למה הן צריכות להיות על אותו מחשב באותו זמן?

עובדה היא שכשאתה עובד על מחשב מאובטח שבו אתה מבצע את החתימה, כדי לקבל את החתימה השנייה, אתה לא יכול שהוא יבוא ויבצע את החתימה שלו. על כל פנים, הספרות מציינת במפורש ששתי חתימות חייבים לעשות בשני שלבים כשלמעשה חתימה אחת מאשרת גם את החתימה השנייה.

אבל זה קיים גם בחוק כשצריכים שתי חתימות.

בחתימה דיגיטלית?

לא, כשצריכים שתי חתימות שניהם לא חותמים באותה שנייה.

נניח שהחתימה הדיגיטלית מבוצעת באמצעות כרטיס חכם?

החתימה היא כשכל אחד יחתום, אחד יחתום והשני יחתום.

היום במסחר של חתימה דיגיטלית, כשלמשל חברה שולחת הצעה מחייבת, יש שם חתימה דיגיטלית של החברה. היא לא חותמת שתי הצעות עם חותמת החברה.

חתימה דיגיטלית היא ישות משפטית שעומדת גם באחריות.

אז כל אחד בחברה יוכל לחתום?

לא כל אחד יוכל לחתום, אלא מי שהחברה תיתן לו ייפוי כוח לחתום.

כן, אבל בסעיף כתוב שהחתימה הופקה על ידי אדם שזה בשליטתו הבלעדית.

אדם זה ביטוי משפטי. אדם זה גם חברה וגם תאגיד. כל תאגיד המיוצג על ידי בני אדם. למה לסבך דברים פשוטים? אדם זה תאגיד, תאגיד מיוצג על בני אדם. אם תאגיד קבע שהחצרן הוא הכתובת, תכתוב החצרן. אם הוא קבע ששלושה אנשים, יכתבו שלושה. אם הוא קבע חמישה אנשים, יכתבו חמישה.

אז הגורם המאשר צריך גם לבדוק מי בעלי זכות החתימה בחברה.

זה לא מחייב אותו. זה לא מתוקף תפקידו של הגורם המאשר להיות הבודק של כל פעולת העסקה ואם חתמו בסמכות או לא חתמו בסמכות. ויזה לא אחראית אחר כך לפצות אנשים אם היתה גניבה או טעות. הגורם המאשר מוגבל לבדוק רק את הצד הטכנולוגי של הפקת החתימה, ואת הוודאות של האדם שחתם ושהוציא את התעודה הזאת. הוא אפילו לא אומר שהאדם הזה הוא גם זה שחתם, אלא שהאדם הזה הוא מי שרכש אצלו את התעודה, והתעודה או החתימה שלו לא חוללה. זה כל מה שהוא אומר. הוא לא אומר יותר שום דבר. לכן זה לא המקום להיכנס עכשיו לכל דיני החברות והתאגידים.

יש גורם מאשר רק במקרה אחד. ברוב המקרים לא יהיה גורם מאשר.

אתה מחזיר אותנו אחורה. את הפרק הזה עברנו. יכולה להיות חתימה אלקטרונית מאובטחת. יכולה להיות גם חתימה אלקטרונית לא מאובטחת. יכולה להיות חתימה אלקטרונית מאובטחת מאומתת, וכל הצדדים יקבעו לעצמם מה הם רוצים לעשות.
בשלב זה, כשאתה מדבר על הנושא של התאגידים, התאגידים יפעלו כמו שפועלים תאגידים, ואותם הדינים יחולו עליהם גם לגבי החתימה האלקטרונית. אנחנו לא משנים דבר.

האם אני יכולה לומר הערה לגבי הניתנים לשליטה?

מר רפי הוידה, תקריא לי מה נאמר בהתייחסויות של הציבור.

יש שאלה של משה הראל, מה ההבדל בין מורשה חתימה קונבנציונלית לבין מורשה חתימה אלקטרונית.

נמרוד קוזלובסקי כותב שהכללים לגבי זהות החותם בחברה לא צריכים להשתנות במאומה עם המעבר לחתימה אלקטרונית.

אפשר להעיר שאותה חברת ויזה נותנת כרטיסי אשראי בחתימה אחת לתאגידים. זה הכל בקונסטיטוציה הפנימית של החברה.

אני מודה להערות של משה הראל, נמרוד קוזלובסקי ועורכת הדין ענבר בן-ציון שאינם כאן אתנו. אני מבין שההערות שלהם משקפות את הרוח הכללית כאן, לפיה אין צורך שניכנס לכל מה שקשור ליחסים הפנימיים בתוך התאגידים, והדינים שחלים ימשיכו לחול ללא שינוי גם בעידן של היישום של החתימה האלקטרונית.

עורכת הדין ליהי פלדמן מבקשת להתייחס לגבי חתימה אלקטרונית מאובטחת.

בכוונה דרשנו, כי החתימה תופק באמצעים הניתנים לשליטה של בעל החתימה, ולא בהכרח באמצעים שבשליטתו בפועל, ובכך דרשנו למעשה מעין דרישה טכנית, המחייבת אמצעי נוסף, בין אם קוד, סיסמה, כרטיס חכם, או כל דבר אחר הניתן לאותו בעל חתימה. זו גם הגישה שמופיעה בדירקטיבה האירופית, המחייבת את המדינות החברות באיחוד האירופי, וזאת בניגוד לארגון הסחר הבינלאומי של האו"ם, שמהווה רק מצע כללי. קודם כל צריך להגיד הבהרה לגביו, הם כל שלושה חודשים נפגשים ומשנים עדיין את הכללים.

קודם כל, מה הם אומרים כרגע? הם מציעים שלוש אפשרויות חליפיות לגבי הגדרת חתימה מאובטחת.

והם גם משנים אותה כל הזמן.

האחת דורשת ארבע דרישות סף שהן דומות לשלנו.

לא כדאי שנתעמק בזה כרגע. אני רוצה להבין את ההערה שלך. יש סעיף אחר בהגדרה – "אמצעי חתימה", שהוא "תוכנה, חפץ או מידע ייחודיים הדרושים, לבד או יחד עם תוכנה, חפץ או מידע אחרים, להפקת חתימה אלקטרונית מאובטחת".

הדגש פה הוא על הייחודי.

האם המקלדת זה חפץ דרוש?

זה האחר. יש פה משהו ייחודי פלוס משהו נוסף. יש פה משהו שרק אני יכולה להפעיל פלוס אותו מחשב ותוכנה.

"אמצעי חתימה" זה "תוכנה, חפץ או מידע ייחודיים" - -

הדרושים יחד עם תוכנה, חפץ או מידע אחרים שהם לא ייחודיים, שהם התוכנה שכולם משתמשים בה או המקלדת שכולם משתמשים בה. אבל נדרש אלמנט ייחודי שרק אני יכולה לשלוט בו.

נכון, אבל את אומרת בהגדרה "היא הופקה באמצעי חתימה הניתנים...", זאת אומרת: אמצעי חתימה זה הדבר הייחודי - -

שיש לי יכולת לשלוט בו.

לא נכון, כי את אומרת שאמצעי חתימה מורכב משני חלקים: חלק ייחודי וחלק נוסף, אבל ההגדרה של אמצעי חתימה כוללת גם את החלק הנוסף. הוא גם חלק מאמצעי החתימה, למרות שהוא לא ייחודי. האם את יורדת לסוף דעתי?

הדגש פה על ה"ניתן".

אני לא אדקדק בזה כרגע, אבל אני מבקש להסב את תשומת לבכם לגבי הוויכוח כרגע.

יש שאלה מעניינת לגבי חברה – לא רק חתימה דרושה, לעתים גם חותמת. השאלה היא איך לאמת את הדבר הזה.

זאת הקונסטיטוציה הפנימית של החברה. חברה שתרצה לעבוד באינטרנט, גם חותמת נדרשת בחברה והיא מקבלת כרטיס אשראי, ואיש לא הולך עם כרטיס אשראי, חותמת ושתי חתימות.

תענה לו ישירות. תכתוב לו שאלה הסדרים פנימיים של החברה, כמו בכרטיס אשראי, כשחברה חותמת בכרטיס אשראי, לא מביאים את החותמת.

או שני מורשים.

אני חוזר לסוגייה שלנו. בהגדרה של "חתימה אלקטרונית מאובטחת" קיימת דרישה מספר (3), שהחתימה הופקה באמצעי חתימה הניתנים לשליטתו הבלעדית של בעל החתימה. כאשר אנחנו מנסים לברר מה זה אמצעי חתימה, אנחנו פונים להגדרה בחוק בסעיף 1, שקובעת כי אמצעי חתימה הוא צירוף של תוכנה, חפץ, או מידע ייחודי, הדרושים לבד או יחד עם תוכנה, חפץ או מידע אחרים (שאינם ייחודיים), בכדי להפיק חתימה אלקטרונית מאובטחת.

הבעיה המתעוררת היא למשל, כאשר אני בא למקום מסוים ומשתמש במקלדת, במסך, במודם ובתוכנות שקשורות באותו מחשב שאינם שלי מביתי ואינם גם ניתנים לשליטתי הבלעדית. מאחר שהמקלדת והמסך אינם בשליטתי הבלעדית, למרות שתהליך ביצוע החתימה נעשה על ידי אמצעים שהם כן בשליטתי הבלעדית והם ייחודיים, התוצאה המצטברת ההגיונית היא שאין כאן חתימה מאובטחת, וממילא היא גם לא תהיה מאובטחת ומאומתת.

ההערה שלי אינה מתייחסת רק לעניין תיאורטי, אלא לכך שאנחנו יודעים שבעולם הדיגיטלי ובמסחר האלקטרוני, הרבה מאד עסקאות עשויות להיות מבוצעות מכל מיני מקומות, וצריך לאפשר את הדינמיות ואת היכולות לנצל את טכנולוגיות המידע בכל מקום ובכל זמן; ואם מפרשים בצורה דווקנית את החוק, אנחנו מטילים מגבלה רצינית מאד על היקפים גדולים של פעילות עתידית.

יש פה טעות בניסוח. הבעיה לא קיימת. למעשה המצב הוא כך, אמצעי חתימה זה "תוכנה, חפץ או מידע ייחודיים הדרושים" לביצוע החתימה. כשאנחנו אחר כך מגיעים להגדרה של "חתימה אלקטרונית מאובטחת" ואנחנו אומרים "היא הופקה באמצעי חתימה הניתנים לשליטתו הבלעדית של בעלי החתימה", בלי או יחד עם אמצעי חתימה אחרים. כלומר, הבעיה היא שכשאתה צריך ליצור ביצוע חתימה, אתה זקוק לאמצעי שהוא ייחודי שלך – כרטיס האשראי שלך, הכרטיס החכם שלך, או דבר אחר.

לאחר מכן, כשאתה בא להגדיר חתימה אלקטרונית מאובטחת, יש לזה שני יסודות: יסוד אחד הוא האמצעי הייחודי שלך, ואז החתימה כשרה.

למה לנו לדוש בזה כל כך הרבה? מה ההצעה שלך?

ההצעה שלי היא למחוק את המילים "לבד או יחד עם תוכנה, חפץ או מידע אחרים" בהגדרה של "אמצעי חתימה", ולהוסיף אותם בסוף פסקה (3) של "חתימה אלקטרונית מאובטחת".

אז גם לא צריך אותם בסוף פסקה (3). אתה מגדיר "אמצעי חתימה" בגישה המצמצמת רק לגבי החלק הייחודי.

אבל אחר כך אני אומר שהחתימה היא חתימה מאובטחת, גם אם השתמשת יחד עם האמצעי הייחודי שלך, באמצעים אחרים.

זה ברור, לא צריך לכתוב את זה.

יכול להיות שאפשר גם כך, אבל אני הייתי כותב זאת כפי שהצעתי.

כאילו האמצעים הייחודיים לא מספיקים לך. אפשר להשמיט זאת.

אני חושב שהתוספת כאן תהיה משהו שעלול לסבך אותנו.

הכוונה היא באמת לייחודי. לאמריקאים יש אותה בעיה. אני מציעה שאולי נאמר שהכוונה היא באמת לאמצעי הייחודי בכיוון שדיבר עליו מר שר, ואחר כך נבדוק אם צריך את ההמשך או לא.

אני מסכם את מה שאמר עורך הדין זאב שר: אני מציע לצמצם את הגדרת "אמצעי החתימה", ולהסתפק במילים הבאות: "אמצעי חתימה" – "תוכנה, חפץ או מידע ייחודיים הדרושים להפקת חתימה אלקטרונית מאובטחת".

למה שלא נכתוב "אמצעי חתימה ייחודיים"? שם יהיה כתוב שלחתימה מאובטחת צריך אמצעי חתימה ייחודיים. זה ההגיון, למה היא מאובטחת? כי השתמשו שם באמצעי חתימה ייחודיים. לא נגדיר סתם כללית באוויר "אמצעי חתימה", כי יש אמצעי חתימה שהם לא ייחודיים. כשאנחנו הולכים לאמצעי חתימה, אנחנו אומרים שיש אמצעי חתימה לא ייחודים, וזכותי גם לחתום באמצעי חתימה לא ייחודיים. אתם הלכתם בגישה הזאת שאומרת שאנשים יכולים להסכים לחתום באמצעי חתימה לא ייחודיים.

אתם כל הזמן אומרים שיש להתמקד בדברים שאנחנו מביאים כתוספת. התוספת שאנחנו אומרים היא שאנחנו נותנים משקל ראייתי למה שנעשה בדרך מיוחדת. לכן אנחנו אומרים בואו נגדיר אמצעי חתימה ייחודי. כשיש אמצעי חתימה ייחודי, זה הופך את ההגדרה לחתימה אלקטרונית מאובטחת.

הבעיה ברורה.

אני רוצה לשפר את ההצעה שלי מההתחלה, מדוע? כי בהצעה שלי כשאני מגדיר אמצעי חתימה, בחיים יהיה דבר אחר מהחוק.

זה פשוט כבד להיסחב עם זה.

אבל אנחנו מגדירים משהו שלא קיים בחיים ואנחנו עושים אותו רק לצורך החוק. אם אנחנו אומרים "אמצעי חתימה ייחודי", החיים משתווים למה שאנחנו כותבים בחוק. אם אנחנו כותבים "אמצעי חתימה" ואנחנו קובעים שאמצעי חתימה זה רק אמצעי חתימה ייחודי, החיים שונים מהחוק.

זה מסורבל, כי קבענו שאנחנו אומרים בכל מקום לא בעל חתימה, אלא בעל אמצעי חתימה. זה צריך להיות "בעל אמצעי חתימה ייחודי".

אני לא מתווכח, כי זה לא המקצוע שלי, אלא שלכם. אני אמרתי את שלי, ואתם תחליטו מה שתחליטו.

עקרונית אין בעיה, אבל השאלה היא האם זה יסרבל את החוק.

נבדוק את זה.

למה שזה יסרבל? בעל אמצעי חתימה ייחודי.

אין בעיה.

האם אתם דואגים לסרבול? אנחנו ביקשנו "חתימה אלקטרונית מאומתת" בלי "מאובטחת" באמצע.

לנו לא אכפת, זה פשוט עניין שיצר הרבה אי הבנות. אין לי בעיה. קיבלנו הדים שאמרו שזה לא ברור.

אני מסכם: במקום להגדיר "אמצעי חתימה", אני מציע להגדיר במילים האלה "אמצעי חתימה ייחודיים", ובסעיף ההגדרה של "חתימה אלקטרונית מאובטחת" לומר "היא הופקה באמצעי חתימה ייחודיים הניתנים לשליטתו הבלעדית של בעל החתימה".

ההגדרה הזאת אינה מוציאה מגדר אפשרות שישתמשו גם באמצעים נוספים, אם אנחנו הולכים בדרך הזאת. אז אדם יאמר שהשתמש גם במקלדת ובמסך, אבל העיקר שהוא השתמש באמצעי חתימה ייחודי שהוא מיוחד אליו.

יש הערה של נמרוד קוזלובסקי. הוא טוען שהעובדה שהחתימה מבוצעת ממחשב שהוא אינו מחשבו של בעל אמצעי החתימה, פוגעת בבלעדיות השליטה.

בבלעדיות השליטה במחשב.

יש גם הערה של אלכס פינקלשטיין: יש צורך לבצע ייפוי כוח למערכת לבצע חתימה בשמך. פתרונות טכניים כאלה כבר קיימים, והם גם מאובטחים.

זה לא קשור כרגע למה שאנחנו עוסקים בו. תשיב לו שברגע שיש לך אמצעי חתימה ייחודי, אתה יכול להשתמש בו ולשמור על הייחודיות גם במחשבים אחרים ובסביבות אחרות.

לא, למעשה הוא ענה לעצמו.

אני לא בטוח שהבנתי את שאלתך הקודמת. מה בדיוק מפריע לך במחשב הזה בשדה התעופה או באינטרנט קפה? הרי כאן כתוב "תוכנה, חפץ או מידע". היחס ביניהם הוא כל הזמן "או". מספיק שאחד מהם יהיה ייחודי על מנת שיהיה לך אמצעי חתימה כהגדרתו פה, ולכן גם אם המחשב לא שלך והמקלדת לא שלך, אבל ה-PASSWORD הוא כן שלך, אני חושב שזה מספיק לפי ההגדרה.

לא כמו שהיה כתוב קודם.

אנחנו התכוונו לזה, אבל אפשר לפרש את זה גם כך שאם אחד מהם הוא לא ייחודי - זה ממוטט את ההגדרה.

כתוב כאן "היא הופקה באמצעי חתימה הניתנים – הניתנים כולם – לשליטתו הבלעדית של בעל החתימה".

אז כאן הייתי מחדד באמצעי חתימה אחד או יותר.

אבל מצאנו כבר דרך אחרת. אני ממילא רוצה לתקן. עזבו את הנקודה הזאת. אם תיקנו את זה, התיקון הזה כבר עונה על הבעיה, אז למה עכשיו לתקן?

אני לא רואה איך הוא עונה, אבל יכול להיות שלא שמתי לב.

התיקון שעכשיו הצענו, עונה על הבעיה. הבעיה היתה שיכולה היתה להתקבל פרשנות לכך שהיא הופקה באמצעי חתימה הניתנים לשליטתו הבלעדית של בעל החתימה, שמישהו היה אומר שכל אמצעי החתימה היו צריכים להיות בשליטתו הבלעדית של בעל החתימה. זו פרשנות הגיונית, כי הנוסח של האמירה כאן בא לשמור על השליטה. הפרשנות תמיד תהיה פרשנות מרחיבה לכיוון כל אמצעי השליטה צריכים להיות בידיו. אנחנו לא רוצים שיהיה על זה ויכוח, אז עשינו הפרדה בין אמצעי חתימה ייחודי לאמצעי חתימה אחרים. אנחנו מטפלים כעת רק באמצעי חתימה ייחודיים.

ואיך זה פתר את הבעיה הזאת? אני פשוט לא מבין.

כי כאן יהיה כתוב "היא הופקה באמצעי חתימה ייחודיים".

אז מה?

אז אמצעי חתימה ייחודיים יהיו מעכשיו רק PASSWORD, כרטיס חכם וכו'.

יש שני מרכיבים לחתימה: החלק הייחודי פלוס החלק הכללי שמשמש את כולם. הרעיון הוא להשמיט את הכללי, ולכן להשאיר בהגדרה רק את אותו חלק ייחודי, והשליטה נדרשת רק לאותו חלק ייחודי. המחשב לא מופיע פה בהגדרה.

אני צריך לראות את הניסוח הסופי, כי כרגע עוד לא השתכנעתי.

אנחנו התכוונו למה שאתה אומר, אבל להם זה יוצא אחרת.

באמצעי חתימה מדובר על הפקת חתימה מאובטחת, ובחתימה מאובטחת חוזרים לאמצעי חתימה.

אי אפשר לצאת מזה אחרת.

אני מסכים שההצעות שעלו פה מבהירות את כוונת החוק. אני רק מבקש לוודא שאנחנו כולנו מדברים על אותו דבר, מכיוון שהתחושה שלי גם מהערות הציבור וגם ממה שעולה פה, שאנחנו כבר לא מדברים על מה שהתחלנו לדבר בחוק. לפי ההגדרות הקיימות עכשיו, תרחיש שבו אמצעי החתימה הוא סיסמה שהמשתמש מקליד לתוך מערכת - למשל של הבנקים - מכיוון שהמערכת כבר לא חייבת להיות בשליטתו הבלעדית אלא רק אמצעי החתימה הייחודי שזה הסיסמה, אפשר להגיע יחסית בקלות עם פתרונות טכניים, כגון: רישום הפעולה בבנק למדיה שהיא לכתיבה בלבד, בכדי להבטיח את תת סעיף (4) של הגדרת "חתימה אלקטרונית מאובטחת".

אני מסיק כי כל הצדדים יכולים לצאת מרוצים, אבל המשמעות של חתימה אלקטרונית שמתבצעת כאשר המסמך שעליו בעל האמצעי חותם יוצג לו על ידי מערכת שאיננה בשליטתו, והפעולה הרצונית הבלעדית שהוא מבצע היא המצאת האמצעי הייחודי לידי המערכת שאיננה בשליטתו, מובילה אותנו למסקנה שאחריות החותם היא להחליט למי הוא נותן את השליטה הרגעית באמצעי החתימה שלו, האם הוא סומך על המערכת החותמת שהיא לא תגנוב או תעשה שימוש לרעה באמצעי החתימה שלו.

אבל זה היה גם קודם. מה ההבדל?

קודם היתה הנחה שכל פעולת החתימה היא באמצעים הנשלטים על ידי - -

לא, זאת לא היתה ההנחה.

מצוין.

הם אמרו במפורש שהם התכוונו גם מקודם לאפשר פעילויות גם במקומות אחרים, אך הם חשבו שאפשר לפרש את ההגדרה בצורה אחרת ממה שאני פירשתי אותה. לא שינינו דבר בהנחת הבסיס.

אז בסדר.

אפשר גם לפרש ככה, ואם יהיו אי הבנות...

אם למשל פעולת החתימה מתבצעת על ידי מחשב הבנק באמצעות הסיסמה שלי שהיא מידע שהוא ייחודי לי, זה בסדר.

אני אסכם את הדברים: אם אני מבין נכון, עכשיו הורחבו אפשרויות השימוש, וזה שונה ממה שניתן היה להבין בתחילת הדיון, כלומר: בתחילת הדיון ניתן היה להבין שכוונת המחוקק אינה מאפשרת ביצוע חתימה אלקטרונית מאובטחת מול מכשירים או מערכות שאינם בשליטתו הבלעדית של הלקוח, למשל: לקוח על פי הפרשנות הזאת יכול היה לבצע עסקה מול הבנק רק מביתו או מהמחשב שלו, ואילו עתה אתם מסבירים שבעצם הוא יוכל לעשות את זה בתוך הבנק עם המחשבים של הבנק, כאשר כל מה שהוא צריך זה רק להוסיף את אמצעי החתימה הייחודי שלו שיכול להיות באמצעות סיסמה, כרטיס חכם או אמצעים אחרים, כמו: אמצעי זיהוי ביומטריים וכיוצא בזה.

הכוונה שלנו היא לא להגביל את הפעילות של הסחר האלקטרוני, אלא להרחיב אותה ולאפשר עוד ועוד אפשרויות. הכוונה שלנו היא לא להגביל אותה רק לבית.

אבל היו פה דיונים שלמים האם החתימה היא כן מאובטחת או לא מאובטחת, דיברו פה על הבנקים אם כן או לא והחליטו שלא, ודיברו על עוד דברים רבים. עכשיו פתחנו את זה למצב שהצגת סיסמה למערכת אחרת – בסדר, זה הגיוני וקוהרנטי.

לא רק שזה הגיוני, זה רצוי ואנחנו רוצים להגיע לתוצאה הזאת. האמת היא שבעצם מלכתחילה התכוונו להגיע לתוצאה הזאת.

זו לא חתימה מאובטחת, כי הגורם שאתו אתה עושה את החתימה יכול לשכפל אותה, ואז זאת כבר לא חתימה מאובטחת.

האם ברגע שאני העברתי את זה דרך המקלדת ודרך התוכנה של הגורם שעשיתי אתו את העסקה, אני איבדתי את השליטה על המפתח הפרטי שלי, למשל בשיטה הסימטרית?

כן, אבל אתה סומך עליו. אתה אומר: אני סומך עליך שלא תעשה שימוש לרעה.

ואם שלחתי את זה מהמחשב שלי?

מהמחשב שלך לא איבדת את זה. זה שינוי מהותי.

לא בהכרח איבדת.

אני מדבר בשמו של ניר נעמן: המצב החדש הוא שאם אדם מבצע פעילות, כאשר למשל המקלדת והמחשב הם בשליטה של הצד השני, נפגע העיקרון הבטיחותי, כלומר: אם הצד השני ירצה לעשות שימוש לרעה באמצעי החתימה הייחודי של הצד הראשון, נפתחת עכשיו בפניו אפשרות לכך, ויהיה לנו קשה לקרוא במצב דברים כזה לחתימה, חתימה מאובטחת.

אבל שכחו את התנאי הרביעי.

אני לא מבין את מה שהוא אמר.

אתן סתם דוגמה. אפשר להעביר מיליון דולר ואתה לא רואה זאת, כי אתה רואה רק מה שנמצא במסך. החתימה מתבצעת על מיליון דולר, לא על מה שאתה רואה. מה שאתה רואה זה בשליטת מישהו אחר. יש נתק בין מה שאתה רואה לבין מה שאמצעי החתימה שלך רואה. מכיוון שלאמצעי החתימה שלך אין תצוגה בהכרח – לא לפי הגדרת החוק – לך מציגים שאתה עכשיו חותם על פעולה א', ובפועל אתה חותם עם אמצעי החתימה שלך על פעולה ב'.

מה שאתה אומר זה נכון, אבל אני שאלתי שאלה אחרת. אתה מתייחס עכשיו לבעיה אחרת. שאלתי האם כשאני מבצע את זה על המחשב של הצד השני, הוא יכול לקלוט את המפתח הפרטי שלי?

האם הוא יוכל להשתמש בזה בעתיד? תלוי באמצעי, ותלוי בפירוש החוק. לאו דווקא, לא יודע. אבל מספיק גרוע שבנקודת החתימה - -

זה נושא אחר. אני רוצה לסגור בעיה אחת, ואחר כך תענה לי טכנולוגית לגבי הנושא השני. אתה לא יכול לעבור מעניין לעניין. אני מדבר כרגע על שליטה בלעדית באמצעי החתימה. דרך אגב, נדמה לי שמבחינה זו אין לי בעיה, כי אם אני בא לבנק ומסתבר שאני השתמשתי בכרטיס שבעצם אני מאבד בו את השליטה הבלעדית, ממילא הוא גם נופל לי בהגדרה, וזו כבר לא תהיה חתימה מאובטחת, אם זה ייצא כך. כי ההגדרה שלנו היא שיש אמצעי של חתימה מאובטחת כאשר יש אמצעי חתימה ייחודי שהוא בשליטתי הבלעדית.

נגיד שאנחנו מדברים עכשיו בטכנולוגיה של כרטיס חכם. יש לי כרטיס חכם, אני מעביר אותו דרך המקלדת של הבנק, ואתה אומר לי עכשיו מבחינה טכנולוגית: מיכאל איתן, תביא בחשבון שאם אתה עושה את זה במקלדת של הבנק ולא במקלדת שלך בבית וזה עובר דרך מחשב הבנק, לבנק יש אפשרות לפענח את הקוד של הכרטיס החכם ולבצע אחר כך עוד פעילויות של כרטיס חכם, או להיכנס גם לפעולה הזאת ולשנות אותה. עזוב את המסך.

זה תלוי בתרחיש הטכני. אני יכול לתת מספר תרחישים, שבהם הצד השני שמקבל את השליטה הרגעית באמצעי חתימה, אכן יכול גם בעתיד להציג מסמכים חתומים על ידך.

התשובה היא כן.

אנחנו הרי לא רוצים להיכנס לזה.

סלח לי, זה לב העניין. עכשיו אנחנו דנים בלב העניין, כי אם מה שאתה אומר נכון, זה לא עונה על ההגדרה של החוק. אם אני שופט עכשיו ובאים אליי שני צדדים וצד אחד אומר: אני לקחתי את הכרטיס החכם, אבל השתמשתי בו בבנק, ולכן הסתבר שהבנק יכול היה אחר כך לשנות את המסמך. אני מסתכל בחוק, ואומר שזה לא אמצעי חתימה ייחודי, כי אם הוא מאבד את הייחודיות שלו על ידי זה שהוא מעביר את זה במקלדת של בנק, באותה שנייה הוא כבר לא ייחודי.

הוא גם לא עונה על התנאי הרביעי.

הוא לא עונה עליו, ואז אני אומר לו שזאת לא חתימה מאובטחת.

ניר נעמן אומר שהתנאי הרביעי זה בדיעבד.

אני לא מדבר כרגע על זה, זה לא משנה. ברגע שאני חתמתי בחתימה שאני מאבד בה את הייחודיות, היא לא עונה על תנאי חתימה מאובטחת. אם אומרים לי טכנולוגית שאני משתמש באמצעים אחרים של מישהו אחר – יכול להיות שאני צריך לחזור להגדרה הראשונה.

אבל גם אז לא פתרת את הבעיה.

היא פותרת את הבעיה, כי אז המחשב לא היה ניתן לשליטתי הבלעדית, ולכן היא לא תהיה מאובטחת.

אבל אז תצטרך לקחת את המחשב שלך לכל מקום.

אבל לפי מה שנאמר פה, זה רק אם הכל באמצעי החתימה מצטבר, זאת אומרת: זה צריך להיות גם החלק הייחודי פלוס המחשב, פלוס המידע פלוס המקלדת.

נכון, הכל ניתן לשליטתו הבלעדית. כך היה כתוב בחוק, ואני כך הבנתי את החוק.

רשום בין לבדו או לא.

לא, כתוב "היא הופקה באמצעי חתימה הניתנים לשליטתו הבלעדית של בעל החתימה". "אמצעי חתימה" מוגדר "תוכנה, חפץ או מידע ייחודיים הדרושים, לבד או יחד...". אם יש אמצעי חתימה, בטוח שזה מצטבר. 99.9% מהפעילויות יהיו באופן מצטבר, ואז יוצא ששניהם היו צריכים להיות ניתנים לשליטתו, ויכול להיות שזאת דרישה נכונה מהותית. חשבתי שהיא לא נכונה מהותית.

אבל אם זה היה נכון, יש לנו בעיה, כי מעצם ההגדרה, המחשב האישי שלך בבית ניתן לשליטה בלעדית, אבל רובנו לא שולטים בו בלעדית, כי אנחנו מאפשרים לבני המשפחה להשתמש בו.

מאפשרים זאת שליטה בלעדית.

לא, אבל תסתכל על סעיף 5. ברגע שאיבדת את השליטה, אתה צריך לדווח.

לא.

תראה את סעיף 5(א).

אתה יכול לשלוט בכל אמצעי שייחודי לך.

אבל זה לא טוב. ליהי פלדמן, אסביר לך מה הבעיה. אומר ניר נעמן שיש שתי צורות של שימוש נגיד בעניין של החתימה הדיגיטלית. אני יכול להפיק חתימה דיגיטלית מהמחשב שלי בבית, או מה-LAPTOP שלי, ואני יכול להפיק חתימה דיגיטלית כשאני יושב מול פקיד הבנק וגמרנו איזו עסקה, ואני משום מה מחליט כך או אחרת לחתום לו דיגיטלית. אז הוא אומר לי שאחתום במחשב שלו. אני מכניס במחשב שלו את כל הסיסמאות הדרושות ומבצע את החתימה.

מה שאומר ניר נעמן זה שברגע שעשיתי את זה, איבדתי את הייחודיות על החתימה שלי. איבדתי את הייחודיות, לא בגלל שהשתמשתי באמצעי החתימה הייחודי, אלא בגלל שהשתמשתי במחשב ובמקלדת של מישהו אחר.

האם למשל אני לא אוכל לקבל כרטיס חכם שיש עליו חתימה אלקטרונית והוא יהיה גם כרטיס כספומט שאוכל להוציא באמצעותו כסף מהבנק?

את יכולה, אבל אם את מעבירה את הכרטיס הזה באמצעי של מישהו אחר בחומרה, בכספומט, והבנק יכוון אותו בצורה כזאת, הוא יוכל להוציא לך את החתימה. יכול להיות תרחיש כזה.

מה שניר נעמן אמר - -

ניר נעמן ואני נמצאים פה. אם לא אמרתי נכון את דבריו של ניר נעמן, הוא היה מעיר לי.

לא, אתה אומר מצוין.

אני רוצה להתייחס למה ששניכם אמרתם. זה בעצם נכון, אם אנחנו ניקח את המציאות של החתימות האלקטרוניות, יש זירות של מסחר אלקטרוני. יש B TO B, יש C TO B, יש כל מיני דברים, כאשר צד אחד בעצם מספק את הפלטפורמה למסחר האלקטרוני, והצד השני עושה בה שימוש.

לפי דעתי, ב-90% מהמקרים, אם לא יותר מזה, כאשר אני כלקוח מקבל לחתום חתימה אלקטרונית, אני עושה את זה באמצעות המערכת שסופקה לי על ידי הצד השני. אם הצד השני הוא נוכל, זה לא יעזור, ואז הבעיה שאתה מעלה היא בעיה כלל עולמית, משום שהצד השני תמיד יכול לפעול באחת משתי דרכים: אחת – אני חתמתי, ואז הוא מפעיל קודם את החתימה האלקטרונית שלי והכל בסדר והמסר יוצא לדרכו; הדרך השנייה, אם הוא נוכל – לקחת את הסכום של 100 שקל שאני כתבתי ולהפוך את הסכום ל-1,000 שקל, ורק אחר כך לחתום בחתימה האלקטרונית. הבעיה הזאת היא גלובלית.

מה שאומר ניר נעמן זה שכשאני עומד מול נוכל, אבל אני מבצע את הכל באמצעים שהם בשליטתי הבלעדית, הנוכל לא יוכל להפוך את הסכום ל-1,000 שקל בלי שאני אדע מזה. לעומת זאת, כאשר אני אבצע את זה מול נוכל שהאמצעים הם בשליטתו, אני גם לא אדע, אבל כשיבואו אליי עובדי הבנקים לגבי הכסף שנלקח ממני, אני כבר ארגיש את זה טוב בכיס. זה ההבדל. אני חוזר ואומר לך מה ההבדל: כאשר אתה מבצע את זה מהבית, יש לך ביטחון ברמה יותר גבוהה.

פה אני חולק עליך.

לא עליי, אלא על ניר נעמן.

אני לא בטוח שהוא חושב כך. אני חושב שגם כשאני עובד מהבית, אם אני עובד עם מערכת שסופקה לי על ידי הצד השני - -

מה זאת מערכת? אנחנו הגדרנו אמצעי חתימה ייחודי. אמצעי החתימה לא יכול להיות מסופק לך על ידי מערכות אחרות. אתה חייב שהוא יהיה אמצעי ייחודי שלך, אחרת לא עשינו דבר. מה זאת אומרת סיפקו לך מערכת?

אתן לך דוגמה. קח איזושהי חנות וירטואלית שמוכרת ברשת. היום זה לא עובד כל כך באמצעות חתימות, אבל מחר היא תגיד לי: מילאת את עגלת הקניות שלך, ועכשיו בוא לקופה ותחתום. היא מספקת לי את כל התוכנה, מלבד מפתח החתימה.

אבל הדוגמה שלך לא תוביל אותך לשום מקום, כי אני חוזר ואומר לך שאנחנו קבענו כבר בהגדרה, שחתימה כזאת לא תהיה מאובטחת, כי היא לא ייחודית.

זה לא נכון.

אני אשתמש במפתח הפרטי שלי, אבל אם אותו אתר מוליך אותי צעד-צעד באמצעות התוכנה שלו באתר שלו לאזור החתימה ואומר לי: עכשיו תחתום, הוא יכול לעשות אחד משני הדברים שציינתי קודם: או שהוא יהיה ישר, או שהוא יפעיל את התוכנה שלו בצורה כזאת שקודם הוא ירמה ואחר כך הוא יריץ את החתימה שלי.

במה הוא ירמה?

הוא יהפוך את הסכום של 100 ל-1,000 שקל ורק אחר כך יריץ את החתימה שלי.

אז שלא יחתום.

אבל אני לא אראה את זה.

אין דבר כזה, זאת בדיוק הבעיה שהוא מצביע עליה. כשאתה שולח חתימה ואומר שאתה קונה ב-1,000 שקל, כשתעשה זאת מהבית, אתה רואה את המסך שלך, מה שאתה תחתום ומה שיוקלד יהיה ה-1,000 שקל, ועל זה תהיה חתימה, כאשר הטקסט הזה לא ישונה. הוא לא יכול להיות משונה, כי זה יצא מהמחשב שלך בשליטה שלך. לא כך אם אהיה בחנות הזאת ואעשה זאת דרך מישהו אחר.

התשובה היא שזה גם מהמחשב שלך.

לא, מהמחשב שלי הוא לא יוכל לעשות זאת.

המחשב שלך, אבל התוכנה והאתר שלו.

הוא לא יוכל, כי ההתחייבות לא יוצאת מהתוכנה שלו. אני מפיק את החתימה, לא הוא מפיק את החתימה, וגם את המסמך. למה לו להסתבך? הוא יכול לעשות הרבה דברים, הוא גם יכול לא לשלוח לי אחר כך את הסחורה. אנחנו לא דנים על כל מיני רמאויות וכל מיני נוכלויות. אנחנו דנים כעת על מתן מעמד ראייתי למסמך שהופק בחתימה אלקטרונית מאובטחת. זאת הנקודה שלנו.

לא משנים לי כל מיני דברים שהיו בתוכנה כזאת או אחרת. לי משנה - כשאני בביתי או במקום אחר - שאני מפיק את החתימה ואת המסמך, ואני צריך לוודא שאני נותן חתימה על מסמך שקראתי אותו. זה דומה לאדם שהולך לחנות והמוכר מבקש שאחתום לו ואעצום את העיניים. אין לי הגנות נגד דברים כאלה.

אני בכלל לא מבין איך אפשר לעשות את ההבחנה בין בית לסניף הבנק, משום שכל הדברים היום הם תקשורת מחשבים. לא משנה אם אני נמצא מטר מהפקיד, או עשרה קילומטר ממנו.

זה לא הבית. מה שמשנה כרגע זה המחשב והמקום שבו אתה מפיק את החתימה. הנקודה כרגע היא המקום שבו אתה מפיק את החתימה.

אל"ף, אני רוצה להבהיר את ההערה של צבי אילן. הוא מתאר תרחיש שבו בעל אמצעי החתימה מתפתה על ידי נוכל לוותר על השליטה שלו על אמצעי החתימה שלו, כי הוא הסכים שיפרצו לו למחשב ויתקינו לו תוכנה זדונית במחשב שלו. התרחיש של צביקה הוא נכון, אם אני מסכים להתקין על המחשב שלי תוכנה, ומעניק לה הרשאות לגשת לאמצעי החתימה שלי.

אנחנו הולכים מהעיקר לכל מיני דוגמאות שלא רלוונטיות בכלל. הן רלוונטיות מבחינת הציור שלהן, אבל בחיים הן קיימות יום יום. אנשים מביאים לך שק מלא גרגרי זהב, אתה קונה ולמטה בסוף יש חול. כל מיני דברים קורים. אנחנו כעת מתמקדים בסוגייה אחת, שנוגעת ללב העניין שלנו. העניין שלנו מדבר כרגע על הצורה בה מפיקים חתימה עליה אחר כך אפשר יהיה לייחס ערך ראייתי יותר חזק, כי היא מאובטחת.

עדיין יהיו הרבה מאד מקרי רמאות, אבל אני מדבר כרגע על הגישה שלנו, של מחוקק, שאומר לאזרח שאם יעשה כך וכך וכך, תהיה לו חתימה מאובטחת. זה שאחר כך יפילו אותו בפח, יפילו אותו בפח עם כל מה שלא נכתוב. תמיד יהיו כל מיני מקרים שיפילו אותו בפח. יכול להיות מצב שמישהו יעמוד מאחורי גבו ויראה את מה שהוא מקליד, ואחר כך יקליד את זה כשהוא לא יראה. אנחנו לא יכולים לשלוט בזה.

אנחנו כעת מנסים לאבחן רק דבר אחד, האם כאשר אנחנו דורשים ברמת סבירות שחתימה תהיה מאובטחת, יהיה ביטחון במושג הזה חתימה מאובטחת, מה אנחנו דורשים ממפיק החתימה.


הדילמה שאיתה אנחנו כרגע מתמודדים, היא מה הן הדרישות שאנחנו דורשים מבעל חתימה, כאשר הוא בא להפיק את החתימה. האם אנחנו מסתפקים בכך שהוא שולט בלעדית באמצעי החתימה הייחודי שלו, או שאנחנו דורשים ממנו שישלוט בלעדית לא רק באמצעי החתימה הייחודי, אלא גם בכל האמצעים הנוספים – או בחלק מהאמצעים הנוספים שנפרט - שגם הם חייבים להיות בשליטתו, במהלך הפקת החתימה. שאם לא כן, היא לא תהיה חתימה מאובטחת על פי ההגדרה שאנחנו מגדירים.

הדילמה היא בגלל העובדה שאם אנחנו דורשים בהגדרה שגם האמצעים הנוספים מעבר לאמצעי החתימה הייחודי, יהיו בשליטתו, אנחנו מקטינים את היקף הפעילות שתתבצע, במידה מסוימת לפחות. מצד שני, על פי מה שהסביר ניר נעמן, אם אנחנו מוותרים על השליטה באמצעים הנוספים להפקת החתימה מעבר לאמצעים הייחודיים, אנחנו מצמצמים את הביטחון שהחתימה היא אכן מאובטחת.

זו הדילמה, ואני רוצה להציע שתי אפשרויות לצאת ממנה. הראשונה, להכריע לכאן או לכאן, ואם נוקטים בגישה זו, אני סבור שאין לנו ברירה אלא להגיע לחתימה מאובטחת רק כאשר אמצעי החתימה הייחודי ואמצעי הפקה נוספים, הם בשליטתו של בעל החתימה. אבל, אולי ניתן מתוך מחשבה וליבון ליצור בתנאים מסוימים שבהם יש הסכמה על כך וידיעה ברורה בדבר הסיכונים שנוטל בעל החתימה, הפקת חתימה אלקטרונית מאובטחת תוך שימוש באמצעי חתימה ייחודי ושימוש באמצעי חתימה נוספים שאינם בשליטתו הייחודית הבלעדית של בעל החתימה. אני משאיר את זה לתגובות שלכם ושל הציבור. האם ההתלבטות ברורה?

כן.

אחד האמצעים הנוספים שאף אחד לא דיבר עליהם זה גם כשאתה יושב בבית ואתה שולח את החתימה שלך, אם הערוץ לא מאובטח, גם אפשר להשתמש בחתימה שלך. בכל פעם שאתה מתקשר לאיזשהו בנק למשל, ערוץ התקשורת חייב להיות מאובטח. היום זה כמעט קורה אוטומטית, כי ב-EXPLORER יש הצפנה, אבל זה חייב להיות ידוע.

אבל גם את ההצפנה הזאת אפשר לפצח.

אבל מה המסקנה? האם לדעתך זה מספיק שניתן לשלוט באמצעי הייחודי?

אני אחבר לך את הצד הטכני עם הצד המשפטי מייד.

אני הבנתי שהמסקנה היא שאין טעם לדרוש שגם המחשב, גם המקלדת - -

את צריכה שהערוץ יהיה מוצפן.

טנה שפניץ, את מפספסת פה את הנקודה. את צריכה לשאול אותו שאלה אחרת, או שהוא ישאל אותך שאלה אחרת. הוא אומר שאמצעי השליחה הוא לא אמצעי הייצור. אמצעי השליחה בכלל לא הוזכר בחוק.

המסקנה שלי היא אחרת. אתה צריך שיהיה לך אמצעי ייחודי, המפתח הפרטי. בזה אתה צריך לשלוט. כל מה שמעבר לזה יכול להיות בעייתי, אז אנחנו משלימים איתו.

לא בהכרח.

אתה חושב על המקלדת ועל המחשב, ואתה יכול לחשוב על עוד הרבה מאד דברים אחרים – על התוכנה. אומרים לך כאן: עצם העובדה שמוליכים אותך בתוך תוכנה - -

אבל אני לא מקבל את מה שאומרים לי, עם כל הכבוד.

אבל אלה החיים.

לא אלה החיים, זה לא נכון.

החיים הם שאני לא יכולה לייצר לעצמי תוכנה.

זה לא נכון. בדוגמה שאני הולך אחרי תוכנה ואומרים לי: תעשה כך ותעשה כך ואני לא שואל ונותן מספרים וכו' ובסוף עוד רימו אותי, עם כל הכבוד אני כן יודע. היום יש אנשים שעוד לא כל כך חיים את החיים האלה, אבל זה כמו שאני הולך ברחוב. אנחנו עוד לא רגילים ללכת בשדות האלה. יש כללי זהירות מסוימים לגבי אדם שהולך ברחוב. זה לא אותו דבר כמו הדוגמה שמיכאל הואש מציג כאן, שאדם עושה פעולה שאי אפשר בלעדיה והוא עושה פעולה סבירה, הוא שולח את זה. השאלה היא שונה לגמרי, בכלל מדובר במשהו אחר.

אני רוצה קצת לחדד את השאלה. אני אתן לך דוגמה. אדם לקח את המפתח הפרטי שלו, והוא כבר לא בשליטתו הבלעדית. הוא פרסם את זה, והוא ממשיך להשתמש בו. החתימות שלו הן לא חתימות מאובטחות.

הוא אחראי לכל מה שהיה בו שימוש לרעה.

אני מתאר מצב שבו לאדם יש מפתח פרטי. הוא פרסם אותו ונתן אפשרות שימוש בו לאנשים אחרים. נגיד שהגורם השלישי לא יודע, אבל כשמגיעים לבית משפט, מהדין הכללי הוא לא יוכל להשתמש בחזקה הזאת שזאת הראיה.

ישתמשו נגדו. הוא לא יוכל להגיד: נתתי לאחר, ולכן אני לא חייב, זה לא אמצעי ייחודי.

חבר הכנסת איתן, אתה סוטה מהנושא. אני דיברתי על הערוץ.

לצערי הרב, אני חבר הכנסת היחיד כאן, ואני צריך להיות אחראי לחוק. אין ברירה, אבל אתם צריכים לשכנע אותי, ולא אני אתכם. אתם מוכרחים להבין מה מציק לי. אני חוזר ואומר – ואני לא סוטה משום נושא, אנחנו בעניין – שאנחנו מדברים כרגע על הגדרה של חתימה מאובטחת. אחת הדרישות מהחתימה המאובטחת היא שמי שהפיק את החתימה הזאת, אמצעי החתימה יהיו בשליטתו. אנחנו אומרים שברגע שחתימה הופקה באמצעי החתימה שלא היו בשליטתו, ראשית כל בהגדרה החתימה היא לא מאובטחת.

עכשיו אנחנו מנסים להבין מה הם אמצעי החתימה שלא היו בשליטתו הבלעדית. אמרנו שאמצעי החתימה יכולים להיות כל מיני דברים. הרציו של המשפט הזה אומר שאנחנו רוצים שבמידה רבה של סבירות, זה יהיה דבר שאפשר לסמוך עליו, שאי אפשר יהיה להעתיק אותו, שאי אפשר יהיה לעשות בו שימוש נפוץ ושאי אפשר יהיה לרמות בעזרתו. לכן אנחנו אומרים בשליטתו הבלעדית.

יש כל מיני מקרים שהם לא בשליטתו הבלעדית. בהתחלה אמרתי שאני רוצה שאדם יוכל להפיק את החתימה שלו בכל מקום בעולם, גם אם הוא לא מפיק את זה במחשב אצלו בבית, כי ההגדרה קודם כפי שקראתי אותה אמרה שבשליטתו הבלעדית פירושו של דבר שגם האמצעי הייחודי יהיה בשליטתו וגם כל חפץ המסייע להפיק את החתימה, כלומר: מחשב, מקלדת או כל דבר אחר.

אמרו: בסדר, בואו נשנה ונכתוב שבשליטתו הבלעדית צריך להיות רק אמצעי ייחודי, הזיהוי הביומטרי, PASSWORD או כרטיס חכם. זה צריך להיות בשליטתו הבלעדית. אני מבין שאם מדובר ברשתית, הבעיה פתורה – בעצם, גם לא בטוח. אם אנחנו נמצאים במצב שאני הולך לאמצעי הנוסף כדי להפיק את החתימה ומסתבר שהאמצעי הנוסף הזה מוציא משליטתי הבלעדית לא רק את המקלדת, אלא גם את החתימה עצמה.

איך הוא עושה את זה?

הוא עושה את זה בטכנולוגיה שאני לא יודע אותה. זה לא מעניין אותי איך הוא עושה את זה. לי הוא אומר שאם הוא יעשה את זה במחשב של הבנק, הבנק תיאורטית יכול להשאיר את זה אצלו. באותה שנייה אני איבדתי את השליטה.

אבל אתה מדבר על סוגייה מאד סבוכה.

אני לוקח דוגמה קיצונית אחרת, על מנת להבין במה אנחנו עוסקים. אדם הפיץ את החתימה שלו. באותו רגע היא כבר לא בשליטתו הבלעדית. אני לא מדבר כרגע על כך שהוא בא לבית משפט כך או אחרת. כל מיני סיטואציות יהיו בחיים. מבחינתי, אדם שקורא חוק, קורא שכתוב "אמצעי חתימה הניתנים לשליטתו הבלעדית".

זה עדיין ניתן לשליטה. הוא בחר שלא לשלוט.

זה לא משנה. אמצעי חתימה כבר לא ניתן לשליטה בלעדית.

זה לא נתון לשליטתו, זה ניתן.

אני לא מבין. יש לי מפתח ואומרים לי שהמפתח הזה יכול לפתוח רק דלת אחת בעולם. עכשיו הוא יכול לפתוח 1,000 דלתות. זה לא אותו מפתח.

אתה יכול לשים אותו בכיס ולא לתת אותו לאף אחד.

אבל אי אפשר כבר לשמור עליו. אני רוצה להגדיר כרגע את הוויכוח ביני לבין טנה שפניץ וליהי פלדמן. אתן אומרות שגם כאשר אדם פרסם את המפתח הפרטי שלו לכל העולם, עדיין הוא יכול להפיק חתימה מאובטחת. זה סותר את סעיף 3.

זה לא סותר, משום שהוא מפיק חתימה שלפי סעיף 3 היא ראיה לכאורה שהיא מאובטחת, כלומר: האמצעי היה ניתן לשליטה בלעדית.

הוא כבר לא ניתן.

כל העולם לא יודע שהוא איבד את השליטה. כל העולם לא יודע שהוא פרסם את זה. אף סוחר לא יודע, אלא אם כן הוא עבד לפי סעיף 5, כלומר: פרסם שאני איבדתי את השליטה. כל עוד האמצעי ניתן לשליטה הבלעדית, אפילו אם הוא איבד את השליטה, זו עדיין חתימה אלקטרונית מאובטחת, קרי: התקיימה הראיה לכאורה.

לא בא בחשבון.

זה עניין משפטי, לא טכנולוגי.

זה לא יכול להיות.

אתה קיבלת נתון שרק אתה קיבלת אותו ואף אחד לא קיבל והוא ניתן לשליטה בלעדית.

הוא לא ניתן לשליטה בלעדית.

הוא ניתן. אחת מהשתיים - או שבחרת לפרסם אותו, או שאני פיצחתי אותו ופרסמתי אותו. זה החוק, וזו המהות של החזקה.

לא, החוק נותן לי ליהנות מחזקה.

למי הוא נותן?

למי שחתם.

לא למי שחתם, למי שמסתמך. הוא נותן לי ליהנות מחזקה לגבי שני דברים.

עם כל הכבוד, ראשית כל זה לא מתחיל במי שהסתמך, אלא במי שחתם, כי מי שלא רוצה לחתום, לא יחתום, ומי שחתם, חתם כי כדאי לו והוא רוצה לחתום. בואו נבין גם את זה. זה לא תמיד המסתמך. אם יגידו לי: אם אתה לא רוצה לחתום לי, תבוא אליי לבנק, אומר לו שאני לא רוצה לבוא לבנק, אז הוא יאמר: שלח לי את זה. אני נהנה מזה, לא רק הוא.

איזו הגנה אתה רוצה לתת למי שמפזר את האמצעי שלו? כל מה שהחזקה אומרת זה שני דברים: אחד – אתה מסכים איתי שזו עדיין חתימה ששייכת לבעל החתימה, גם אם הוא פרסם; שניים – וזה הבעייתי, שהוא אישר את החתימה, כלומר: אם גנב אישר אותה, הוא יכול להגיד שלמרות שזו ראיה לכאורה, הוא רוצה לטעון בבית המשפט. הצד המסתמך בא עם החזקה. טוען זה שנגנב ממנו האמצעי הייחודי שהוא איבד את השליטה, ואז בית משפט צריך להכריע בשני דברים: אחד – האם הוא באמת מאמין לזה, ושניים – האם סעיף 5 התקיים, אבל זה חוק משפטי. הוא לא אומר שלא ניתן לאבד שליטה.

החוק בנוי כך: אתה נותן זכות חתימה שהיא ייחודית. אני נותנת לך דבר שאם אתה תהיה בסדר, אתה יכול לשמור עליו – אני לא אומרת אם אתה שומר או לא. ברגע שאני נותנת לך את החתימה, אני לא יודעת מה אתה תעשה עם זה. תיאורטית, אתה מקבל פה צירוף של ספרות שאם תהיה זהיר, תוכל לשמור עליו. אני לא מחייבת אותך להיות זהיר. אם אתה לא תהיה זהיר, אתה תישא בתוצאות המשפטיות. מה זה אומר? שאתה תהיה חייב בעסקה, בהתקשרות וכו'. ככה זה בנוי.

אנחנו אף פעם לא התיימרנו לומר שהחתימה המאובטחת היא אבסולוטית ושאי אפשר לפרוץ אותה ולא ייתכנו איתה בעיות. נותנים לך דבר שבאותו זמן בטכנולוגיה, אדם זהיר יכול לשמור עליה. אם הוא שומר או לא, זה לא משנה אם היא מאובטחת או לא. ברגע שהוא קיבל אותה, היא נכנסת להגדרת מאובטחת.

זה צריך להיות כמו כרטיס ויזה, שהוא יוכל להגיד שהוא איבד את זה.

אם הוא איבד אותה, הוא יישא בתוצאות. ככה זה בנוי, למה? כי הוא לא שמר. אני נתתי לו דבר טוב מאד, והוא התרשל, אז עליו לשאת בתוצאות.

כן, אבל מי שיישא בתוצאות זה הצד המסתמך ולא הצד שחתם.

שהצד המסתמך ינקוט במה שהוא רוצה. יש דבר יותר חמור. אם אתה תגיד שחלק מההגדרה שהוא שמר בפועל – כן או לא - -

לא, אני לא יכול להגדיר את זה ככה. זה בכלל לא הכיוון שלי. אל תכניסי לי מלים לפה.

אם אני אגדיר שהחתימה היא כזאת אם הוא לא שמר עליה, על ידי זה שיאמר כל בעל חתימה שהוא לא שמר, הוא יצא כבר מ"חתימה אלקטרונית מאובטחת".

זה ברור. אני לא אמרתי מה התוצאות.

לכן, התוצאה היא באחריות ולא בטכנולוגיה.

כי את מדברת כל הזמן על הצד המשפטי.

לא, זה הצד הטכני.

זה לא צד טכני.

כל החוק משרת את החזקה, והחזקה הזאת מדברת על רמת סבירות מסוימת, והיא מחלקת את האחריות. הגורם המסתמך צריך היום להגיד: לטובתי עומדת החזקה של סעיף (3). עדיין הגורם החותם יכול להפריך את החזקה של סעיף (3), כי היא רק ראיה לכאורה. אם הוא הפריך, הולכים לסעיף 5 ומחפשים מי אחראי כן או לא, ובאיזו רמה.

אבל אם אתה היית נותן היום מבחינה טכנולוגית חתימה אלקטרונית מאובטחת שהיא אבסולוטית בלתי ניתנת לפיצוח, לא היה צריך חוק. הראשון שהיה מוכיח את זה בבית משפט, הכל היה ברור. זה כמו טביעת אצבע, לא צריך שום דבר. זה משרת רק את נטל הפרת ההוכחה.

גם לטביעת אצבע יש סטייה די גדולה.

אין היום דבר כזה.

אין מאה אחוז.

אין היום מאה אחוז. אני לא מבין מה ניר נעמן ניסה לעשות כאן, אבל אין ספק שכל מערכת מחשב ניתנת לפריצה. זו הנחת היסוד שלנו. לכן כשאנחנו אומרים "מאובטחת", אנחנו מדברים על איזושהי מידת סבירות. מידת הסבירות, לדעתי, מתקיימת כאן. בכל ארבעת הסעיפים סך הכל היא מגיעה לאיזשהו מיצוי.

אני רוצה להזכיר לכולם שאנחנו דנים כעת בביטוי "ניתן לשליטתו הבלעדית".

אבל חבר הכנסת איתן, תבדיל בין המפתח שאותו הוא מחזיק, בין אם זה כרטיס או כל דבר אחר, לבין האמצעי שבו הוא מעביר את זה הלאה. תעזוב רק את האמצעי, כי גם באמצעי הוא דיבר על ערוץ מאובטח, וגם ערוץ מאובטח הוא לא מאובטח, כי הוא בגודל הצפנה מסוים. בואו ניגע כרגע ב-PRIVATE KEY עצמו. הוא מאובטח במידה מסוימת ככל האפשר כיום.

אני לא רוצה לערבב. אני עוד לא ברחתי מהנקודה שלו.

אבל הוא מתעסק כבר בטכנולוגיה.

זו לא טכנולוגיה. אני לא יצאתי מהנקודה שלו, תעזוב את זה לדקה ונחזור לזה אחר כך. אני רוצה לסגור קודם כל את העניין כאן. אני חוזר ואומר שאנחנו צריכים להחליט מה זה "ניתנים לשליטתו הבלעדית של בעל החתימה". מה זה? האם מדובר רק באמצעי החתימה הייחודיים?

בדיוק. לדעתי, כל החוק של חתימה דיגיטלית שאנחנו מדברים עליו כאן יאבד מתוכנו אם אנחנו נגיע לאיזושהי - -

אלה שני הדברים שבשליטתו.

אני מסכם את דבריו של בועז דולב ממשרד האוצר: אני רוצה להסב את תשומת לבו של חבר הכנסת מיכאל איתן לעובדה שממילא אין ביטחון בשום מערכת, ומדברים על אמצעי זהירות סבירים וביטחון יחסי גבוה, ולכן אי אפשר לדרוש שאמצעי החתימה יהיה ייחודי במאה אחוז, או ניתן לשליטה במאה אחוז. מדברים על משהו יחסי שעונה בשעה נתונה ובזמנים נתונים על מה שהטכנולוגיה מסוגלת לספק, וזה כמובן גם משתנה במהלך הזמן, ועל זה עוד נדבר.

לגבי המקלדת והמסך, האם גם הם צריכים להיות ניתנים לשליטה בלעדית – כן או לא?

אני חושב שאפילו אם הוא חושב שזה בשליטתו, זה לא בטוח שזה בשליטתו.

האם הם צריכים להיות או לא צריכים להיות?

לדעתי, הם אינם צריכים להיות בהכרח בשליטתו.

אני מסכם את דבריו של בועז דולב: אני מעריך שניתן לתבוע שחתימה תהיה מאובטחת, גם אם היא הופקה באמצעים שאינם בשליטתו של בעל החתימה, ובלבד שאמצעי החתימה הייחודיים יהיו בשליטתו.

ניתן שהיו בשליטתו. לא חשוב אם בפועל אם היו או לא, תמיד חוזרים לאותה נקודה.

בסדר. אנחנו נעשה הפסקה של חמש דקות, לא יותר.

הישיבה הופסקה בשעה 14:20


חידוש הישיבה

אני רוצה להבהיר את התמונה לגבי המפתחות. מרגע שמשתמשים במפתח הפרטי ומצפינים באמצעות אותה נוסחה מתמטית, אנחנו מניחים שהחומר הוצפן ואף אחד לא יכול לקחת אותו ולהעתיק אותו.

הנקודה הבעייתית היא הקוד שהוא המפתח עצמו, שבאמצעותו אתה יוצר אחר כך את ההצפנה. זה איזשהו קוד, שאם הוא נמצא במחשב שלך, הוא שמור אצלך בביתך, אבל אם אתה צריך להקיש אותו במחשב זר – של בנק, של רשות שדות התעופה או כל מחשב זר – הרי ברגע שהקשת אותו, המחשב הזר נמצא בתוכו. אם הוא יחליט לנצל אותו לרעה, באותו רגע הוא יכול להיות כאילו המפתח הפרטי שלך.

מה המסקנה? לא יודעים.

האם יש כאן מישהו סביב השולחן הזה שמתנגד למה שנאמר עד עכשיו מבחינה טכנית? אני לא מדבר עכשיו על ההשלכות ועל המסקנות. עובדתית הוא אומר: אדוני, ברגע שאתה מקליד את הסיסמה למחשב של מישהו אחר, המפתח הפרטי שם יכול - -

לאו דווקא המפתח הפרטי, הסיסמה הזאת שם.

והכרטיס נמצא ב-READER של המחשב הזר.

אבל הכרטיס יכול להיות ב-READER מבלי שתהיה יכולת לשכפל את המידע שנמצא בכרטיס.

אבל אולי זה לא כרטיס, אולי זאת רק סיסמה שמקישים אותה?

המפתח הפרטי נמצא על כרטיס - -

הסיסמה היא באמת לא רלוונטית כאן. איזו סיסמה?

היתרון בסיסמה זה שמישהו שייקח לי את הכרטיס, יוכל לדעת את הסיסמה שלי.

הכרטיס כבר נתון אצל רשות זרה.

מה פתאום, הכרטיס אצלי.

אתה הכנסת אותו ב-READER - -

הכנסתי אותו, אבל הוא לא ניתן לשכפול.

אבל לא הכרטיס משנה, אלא האינפורמציה שהוא מייצר.

לא נכון, האינפורמציה שהוא מייצר זה על כל מסמך שנשלח ממילא.

נמרוד קוזלובסקי, אני מבקש לעצור כאן. אני אסכם את הנקודה הזאת, כפי שאני מבין אותה. אני הבנתי שטכנית הדבר הזה ניתן לביצוע. יש אפשרות לגניבת המפתח הפרטי באמצעים אחרים גם כן, אבל אנחנו כרגע לא ניכנס לזה, כי רמת הוודאות שזה יקרה היא נמוכה. אני חוזר לנושא התקשורת.

זה אותו דבר.

זה אותו דבר, אבל אנחנו בכלל לא מתייחסים לתקשורת.

זה כמו ה-KEYBOARD.

לא, כי זה לא אמצעי להפקת החתימה. זה רק אמצעי להעברתה, ולא עשינו הבחנה בחוק בין המילה הפקתה להעברתה. השאלה האם הפקתה והעברתה זה אותו דבר.

לא, אין צורך.

למה אין צורך?

זה חלק מהאמצעי לשמור - -

אין לו בכלל שליטה.

את לא צריכה שליטה, אבל לפחות את צריכה לדאוג שהוא יעביר את זה בצורה מאובטחת.

אתה הורג את המסחר האלקטרוני לגמרי. המחשב של כל אחד בבית אמנם ניתן לשליטה בלעדית, אבל אם נתת לילדיך גישה, איבדת את השליטה הבלעדית בתיאוריה.

אנחנו עברנו נושא.

ואותו דבר בדיוק על הערוץ. זה לא משהו שאתה יכול לשלוט בו בלעדית.

לא נכון.

בתקשורת אתה לא מסוגל לשלוט, זה משרד התקשורת.

מספיק שזה ניתן לשליטה בלעדית.

אני חושב שאנחנו באמת מבזבזים הרבה זמן על הסוגייה. אני רוצה לסכם אותה. אני מדבר על התקשורת. יבוא אדם ויגיד: אני מציע לך אדון לקוח ערוץ מאובטח, KEYBOARD מאובטח, מחשב מאובטח.

אני מסכם, כפי שאנחנו מבינים מדברי הנוכחים כאן, הסוגייה של גניבת המפתח הפרטי, או אמצעים אחרים היא אפשרית, אבל ברמת סבירות נמוכה ובהיבט שלנו זניחה, ועל כן אני מציע שנעבור הלאה.

בהקשר לזה אני רוצה לברר את שאלת התקשורת. אנחנו מדברים על הגדרה ודורשים שחתימה תהיה מאובטחת, אבל מתעלמים לחלוטין מאופן העברתה. האם אין צורך שגם אמצעי העברתה יהיו ברמה כזאת או אחרת של אבטחה, כפי שציין מיכאל הואש?

כשהיום אתה מתחבר לבנק כדי לראות את החשבון שלך, אתה מייד יוצר ערוץ מאובטח. אם לא תהיה אבטחה אצלך ב-EXPLORER, לא תוכל להתחבר לבנק. באותה צורה חייבים להבטיח שגם ההתחברות של שליחת חתימה תהיה מאובטחת.

הבנק מבטיח את זה, לא החוק.

זה נכון, אבל קודם אמר חבר הכנסת איתן שהוא רוצה לדרוש מה שמינימלי ממי ששולח את החתימה.

אמרתי שאנחנו דורשים אבטחה על אבטחה לגבי החתימה.

אז שלפחות יהיה ערוץ מאובטח. אולי יהיה מישהו שכן יקבל אותו לא מאובטח? זאת באחריותו של מי ששולח את החתימה.

אני חושב שכפי שאני מבין את החוק ואת רוח החוק, הוא מטיל אחריות על החותם, גם על הגורם המאשר וגם על המסתמך. כדי שאזרח, אדם או ארגון יוכלו לבצע את הדברים שכתובים בחוק, יבואו גורמים, כמו: בנקים, גורמים מאשרים וכו', וינסו לשכנע אותו להשתמש במחשבים שלהם ובערוצים שלהם, ושכל מה שהם מציעים עונה על דרישות החוק טוב יותר, נניח מהמתחרים שלהם.

אני מניח שגורם א' יבוא ויגיד: אצלי הערוץ מאובטח, המחשב מאובטח ולא ניתן לקרוא מהכרטיס החכם, ואתה מאובטח לגמרי. יהיה פה מצב שהאזרח יגיד שהוא מקשיב לגורם הזה, כי הדברים שהוא אומר נראים לו הגיוניים. אי אפשר לחוקק חוק שיעצור את הסחף הזה שבו יאמרו שהערוץ מאובטח, המחשב מאובטח וה-KEYBOARD מאובטח.

ושהמחשב של המקבל מאובטח.

נכון. אני השתתפתי בכמה כנסים בנושא הזה, והסוגייה של פריצה למפתח הפרטי היא סוגייה שכל הזמן מדברים עליה. נתתי הרצאה ביום חמישי שעבר בגני התערוכה, וניגשו אליי כמה אנשים בסוף ההרצאה ושאלו: מה יקרה אם יגנבו לנו את המפתח הפרטי? זאת באמת סוגייה שמדאיגה. אני לא אומר שהיא לא קיימת, כי היא קיימת והיא אפשרית באופן תיאורטי, אבל אם אנחנו נגיד שהיא מאה אחוז של העניין, אנחנו לא צריכים לחוקק את החוק. היא לא מאה אחוז של העניין, היא איזשהו היבט שהטכנולוגיה עכשיו תנסה לפתור אותו ותשתכלל עם הזמן. באופן תיאורטי, ניתן לגנוב מפתח פרטי של אדם. באופן מעשי, זה מקרה קצה.

גם ממחשב של מישהו אחר?

גם ממחשב של מישהו אחר. הוא צריך מיומנות די רבה לשם כך. באופן מעשי, זה מקרה קצה.

כשאנחנו מדברים על הפעולה שאנחנו עושים, אנחנו לוקחים מסר מסוים, אנחנו מצפינים אותו, אנחנו שמים עליו טביעת אצבע מסוימת ואנחנו שולחים אותו. בפעילויות האלה אנחנו מדברים כאן על ההגדרה שלהן על ידי הגדרה של חתימה אלקטרונית מאובטחת, ואנחנו בכל אופן דורשים ממי שמבצע את הפעילות הזאת שינקוט באמצעים סבירים שהחתימה הזאת תהיה ייחודית, שהיא תאפשר את הזיהוי, שהיא תופק באמצעים שניתנים לשליטה, ושהיא תאפשר לזהות את השינוי.

הרי משתמשים בפרוטוקולים של אבטחה גם לצורך המשלוח, לפני שאתה שולח את העותק הזה ב-SSL. בפועל אתה עושה את זה, וכאילו החתימה האלקטרונית כבר היתה קיימת קודם. לפני ששלחת אותה, היא כבר חתימה אלקטרונית מאובטחת. בתהליך של הפקת החתימה, אתה יושב במחשב שלך ומפיק את החתימה.

האם אתה מדבר על המפתח הפרטי?

אתה מפיק את זה במחשב שלך. אתה כבר יצרת חתימה אלקטרונית מאובטחת, והיא עדיין במחשב שלך ולא עשית איתה דבר. האם יכול להיות מצב כזה מבחינה משפטית?

יכול להיות.

עד עכשיו דרישות החוק הן לגבי חתימה אלקטרונית מאובטחת. השאלה האם החוק לא צריך לדרוש או להתייחס גם לאקט הזה של שליחת החתימה הזאת. אני צריך לשלוח אותה. אני עושה איתה משהו. הפקתי אותה, היא קיימת, ועכשיו אני שולח אותה. השאלה האם החוק אומר שצריך לשלוח אותה באיזושהי דרך מאובטחת, או שאפשר לשלוח אותה איך שרוצים.

אין צורך לדרוש לשלוח אותה בדרך מאובטחת.

אם יהיה בה שינוי, אפשר יהיה לראות אותו.

פרקטית, את המסר המקורי עצמו יצפינו.

אני מסכם את מה שאמרה המשנה ליועץ המשפטי לממשלה: התשובה לשאלה היא שאין צורך להתייחס לנושא התעבורה, מאחר שאם יהיה שינוי במסר האלקטרוני, ניתן יהיה לזהות אותו.


נתקדם הלאה. אנחנו מתייחסים היום למצב שבו חתימה אלקטרונית מאובטחת ניתן יהיה להפיק גם באמצעים שהם לא בשליטתו הבלעדית של האדם, ובלבד שהאמצעי הייחודי יהיה בשליטתו הבלעדית. האמצעים האחרים יכולים להיות שלא בשליטתו.

אנחנו מגיעים למסקנה שברצוננו שהחוק יאפשר הפקת חתימה אלקטרונית מאובטחת באמצעים שאינם בהכרח בשליטתו הבלעדית של בעל החתימה, ובלבד שאמצעי החתימה הייחודיים לבעל החתימה יהיו בשליטתו הבלעדית.

ניתנים לשליטתו הבלעדית. אם הם לא, נלך לסעיף 5 ונראה מה לעשות.

אני מתקן - ניתן שיהיו בשליטתו הבלעדית. אנחנו עוברים הלאה.

אנחנו עוברים להגדרה של "מסר אלקטרוני" – מידע אשר נוצר, נשלח, נקלט או נשמר באמצעים אלקטרוניים או אופטיים, המאפשרים לראותו, לקראו, לשמעו או לאחזרו".

אנחנו עוברים להגדרה של "תעודה אלקטרונית" – "מסר אלקטרוני שמפיק גורם מאשר, המאשר כי חתימה אלקטרונית מאובטחת מסוימת היא של אדם מסוים".

בהגדרת "תעודה אלקטרונית", בסופה יבוא במקום "של אדם מסוים" – "של בעל אמצעי חתימה".

אולי נוסיף גם ייחודי לאור ההערות הקודמת.

זה אחר כך. עוד לא גיבשנו את זה סופית.

ההגדרה האחרונה היא "השר" – "שר המשפטים".

האם אפשר להציע שזה אוסף של מסרים אלקטרוניים? כי בפועל זה לא נכון. מסר אלקטרוני שמפיק גורם מאשר בפועל לא נכון, כי בפועל נדרשים לפחות שניים או יותר בדרך כלל של מסרים אלקטרוניים כדי לאמת חתימה. לכן במקום שכתוב "מסר אלקטרוני שמפיק גורם מאשר" אני מציע שיהיה כתוב "מסר אחד או יותר".

מסר זה תמיד אחד או יותר, נכון?

כן.

בעקבות מה שאמרתי בזמנו לגבי ההבדל בין חתימה אלקטרונית רגילה שמוגדרת פה בחוק לבין חתימה אלקטרונית מאובטחת גם בנוגע לסעיף 3, אני מבקשת לשנות את העמדה שלנו לאור התגובה של הוועדה; לפיה אמנם חתימה אלקטרונית מאובטחת תהיה זו שתקבל את החזקה, אולם אנחנו מבקשים שייאמר שחתימה אלקטרונית רגילה קבילה כחתימה רגילה בהליך משפטי, שאינה אלקטרונית. זה אינו עולה מסעיף 3.

כפי שהבנתי, משרד המשפטים אמר שזו דעתו – כל אחד יכול להשתמש באיזו חתימה אלקטרונית שהוא רוצה. לא נכון הוא שהחזקה תהיה על חתימה אלקטרונית רגילה, אבל אנו מבקשים שיהיה כתוב למנוע נחיתות כזאת שהיא גם קבילה.

לא שהיא תהיה נחותה, לא אכפת לי מבחינה ראייתית שהיא תהיה נחותה, אלא שהיא תהיה בלתי קבילה.

לא, אני לא רוצה שיהיה כתוב שהיא תהיה בלתי קבילה.

את רוצה שהיא לא תהיה בלתי קבילה. את לא רוצה שהיא תהיה יותר בעלת מעמד ראייתי, אבל לפחות שהיא תהיה בעלת מעמד .

נכון.

האם אפשר לתמוך בזה בנימוק?

אני כבר לבד אתמוך בזה, אבל בדרך אחרת. אני רוצה להשיב לעורכת הדין רחל פשר-אייקנאר: נדמה לי שלא תהיה התנגדות של משרד המשפטים לניסוח של אמירה בנוסח שאין לשלול את תקפותו של מסמך אך ורק בגלל העובדה שהוא נערך ונחתם בדרך אלקטרונית.

וגם לא אם הוא נכתב על נייר צהוב או שמו עליו איזה ציורים בצד.

למה? נייר צהוב זה בסדר. השופט לא יגיד לי שחוזה על נייר צהוב הוא לא בסדר. זה לא אותו דבר, זה לא נכון.

אני אבהיר את דבריי. אני מקבל את הגישה שאומרת שגם אם הדבר לא מוזכר, הוא קיים, כי הוא נגזר מהדין הכללי וחופש ההתקשרות בין אנשים, במיוחד כפי שמקובל בשיטת המשפט שלנו. אבל צריך לזכור שאנחנו מעונינים – וזאת גם המטרה של החוק – לעודד את הסחר האלקטרוני, ולכן אם לפעמים רוצים לתת יותר ביטחון לציבור הרחב, כדאי לחזור גם על דברים שהם מובנים מאליהם למשפטנים מומחים.

ייתכן שיש כאן מידה של סרבול חקיקתי שאינו ראוי בדרך כלל, אבל צריך לאזן את החיסרון הזה מול היתרון שיש בהבעת המסר הברור שלפיו החוק והמחוקק מעונינים לעודד שימוש באמצעים אלה.

חבל על הזמן, זה ממש לא קריטי.

זה לא הוכרע. נלך הלאה.

בואו ניכנס לחוק, ובסוף נראה האם מה שיטריד אתכם זה הדבר הזה. זאת לא שיטת חקיקה.

טנה שפניץ, אבל הבעיה היא שהציבור הולך לבתי משפט. הציבור לא צריך לחכות שבע שנים לפסק דין.

גם אם הדבר יהיה בדברי ההסבר לחוק, שהם המפתח לכל זה - -

זה לא רק לציבור, זה גם לשופטים.

בואו נתקדם.

ייקח הרבה זמן עד שתהיה פסיקה בעניין, שנים.

שמענו את הטיעון הזה. אני אומרת שבואו נגיע לסוף, ואז נראה.

ביקשנו לפני סעיף 2(א) תחת הכותרת "תוקף חתימה אלקטרונית מאובטחת" להכניס את הסעיף שמשרד המשפטים הגדיר כאבן היסוד של החוק, שהחוק אינו כופה את עצמו. הצענו נוסח.

אבל זה לא פה, זה יותר מאוחר. תנו לנו לקרוא קצת את החוק...

אנחנו לא יודעים אם תכניסו את זה או לא. אנחנו לא רואים את התיקונים.

"2. (א) נדרשה לפי חיקוק חתימתו של אדם על מסמך, תקוים דרישה זו לגבי מסמך שהוא מסר אלקטרוני רק באמצעות חתימה אלקטרונית מאובטחת ומאומתת."

יש לנו הצעה לתיקון בעקבות ההערות שקיבלנו.

אני אקריא זאת: בעקבות ההערות שקיבלנו, אנחנו מציעים לשנות את הסעיף, שעל פי הצעתנו יהיה כדלקמן: "נדרשה לפי חיקוק חתימתו של אדם על מסמך, ניתן לקיים דרישה זו גם באמצעות חתימה אלקטרונית, ובלבד שתהא זו חתימה אלקטרונית מאובטחת ומאומתת." האם יש למישהו הערות?

האם אפשר לקבל הסבר על ההבדל?

אני סמכתי על הנוסח הזה, כי מקודם היה כתוב "נדרשה לפי חיקוק חתימתו של אדם על מסמך, תקוים דרישה זו לגבי מסמך שהוא מסר אלקטרוני רק באמצעות חתימה...". ההדגשה היתה על "באמצעות חתימה אלקטרונית מאובטחת ומאומתת". לא היתה הדגשה על כך שהיום אפשר להשתמש בחתימה אלקטרונית מאובטחת ומאומתת על מנת לענות לצרכים של חיקוק שדורש חתימה.

זה בעצם מה שרחל פשר-אייקנאר ביקשה לגבי חתימה אלקטרונית קודם, שעתה ניתן לקיים את הדרישה הזאת, כלומר: אתה מכניס כאן תביעה פוזיטיבית שדינה של חתימה אלקטרונית מאובטחת ומאומתת שווה לחתימה הנדרשת על פי חיקוק, שעד היום היתה חתימה בכתב יד. המסר הזה עובר כאן בצורה הרבה הרבה יותר ברורה ופוזיטיבית, כאשר מקודם היית צריך להבין את זה מתוך זה.

לא, אבל עכשיו זה גם עם כתב יד. הנוסח מקודם היה "תקוים דרישה זו" רק באמצעות חתימה אלקטרונית.

לא, מה פתאום!

זה אותו דבר בעצם, אבל זה נותן קצת דגשים אחרים,למשל: יש פה רמז למה שהטריד את רחל פשר-אייקנאר. בדרך כלל אתה יכול לעשות את זה באמצעות חתימה אלקטרונית, אבל אם זה נדרש ממך לפי חיקוק, אז אתה צריך לעשות חתימה מאובטחת ומאומתת. לא שינינו את התוכן.

אז למה לא תגידו את זה ברחל בתך הקטנה? אני עקרונית הייתי יכול להסכים להוראה החדשה הזו, אבל היא לא מתייחסת לגמרי לשאלה.

תשאיר את זה לסוף.

אנחנו רצינו להעלות את הטענה בלי לפגוע בסעיף 2(א) כפי שהוא, שיחסים אלקטרוניים הם יחסים שאינם בכפייה.

דיברנו על זה. אל תדאג, הסוגייה הזאת תעלה.

התיקון הזה הוא גם לפי בקשתנו. זה בא לאפשר גם חתימה רגילה ידנית, וזה נובע מכך שההגדרה של מסר אלקטרוני היא הגדרה רחבה, למשל: היא אומרת מידע אשר נוצר באמצעים אלקטרוניים, מה שיכול להיות שמידע שהוא פלט נוצר באמצעים אלקטרוניים, ואנחנו רוצים שתהיה אפשרות בנסיבות כאלה לחתום על פלט באופן ידני ורגיל, כאשר על פי החוק נדרשת חתימה.

לכן התיקון הזה מבהיר שאם אפשר פיסית לעשות חתימה רגילה, אפשר יהיה לעשות חתימה רגילה. אם נדרשת או נבחרת הדרך של חתימה אלקטרונית, תידרש חתימה אלקטרונית "הכי טובה", המאובטחת והמאומתת, כאשר מדובר בחתימה שנדרשת על פי החוק.

בואי נאמר חתימה סבירה, לא הכי טובה.

הדרישה הכי גבוהה שבחוק.

אני לא משפטן. אני רוצה לדעת אם אני חותם ב-WORD בציור, האם זה תופס או לא?

תופס לצורך מה?

אני מדבר על מקרה בו מישהו דורש ממני טופס עם חתימה שלי, כאשר אני חותם את השם עם החתימה שלי בצורה אלקטרונית.

זאת חתימה אלקטרונית, אבל היא לא מאובטחת ובטח לא מאומתת.

אם אני שולח אותה באופן מוצפן, היא מאובטחת.

מיכאל הואש, טוב שאמרת שאתה לא משפטן... היא לא מאובטחת על פי מה שהחוק קובע. החוק קובע מה זאת חתימה אלקטרונית מאובטחת, למשל: הכנסת יכולה לחוקק חוק שאומר – אדם הוא ייצור שיש לו ארבע ידיים וארבע רגליים, ומהיום זה נקרא אדם. החוק כאן קובע מה היא חתימה אלקטרונית מאובטחת. צריך לבדוק בהגדרות מה כתוב, ולא מה שאתה קורא לו חתימה אלקטרונית מאובטחת.

לגבי מה שאמרה קודם רחל פשר-אייקנאר, אם אני ראשית כל מסכים איתך שהחתימה הזאת מספקת אותי, ואתה חתמת ויש לי מסמך ששלחת לי – לא מאובטח או כן מאובטח – לא תוכל להגיד שזה אוויר ולא כלום. יש לזה ערך מסוים. זה לא מאובטח, זה לא נותן חזקה ראייתית, אבל זה עדיין מסמך.

צריך לשקול האם ההוראה הזאת בכל זאת לא מחמירה מדי. היא שוללת קבילות של מסמך שהוא חתום באמצעי חתימה מאובטחים לא מאומתים. הרי אין יתרון לעניין מסמך ספציפי לחתימה מאובטחת מאומתת לעומת חתימה מאובטחת.

על פי חיקוק - -

אבל לעניין של מסמך ספציפי ועסקה ספציפית אין יתרון לחתימה המאומתת, כי היא מאמתת את אמצעי החתימה ולא את החתימה עצמה.

כאשר נדרשת חתימה על פי חוק, אנחנו לא מתייחסים אליה כאל חתימה של מה בכך, אלא רוצים לתת לה מעמד יותר בטוח. בדרך כלל היא גם לא במערכת יחסים של רצונם החופשי של בני אדם, אלא במערכת יחסים שבה החוק כבר מצא לנכון להתערב. לכן אנחנו דורשים שהיא לא תהיה רק מאובטחת, אלא גם מאומתת.

החתימה המאובטחת והמאומתת - הביטחון בה מה שלא יהיה, הוא יותר חזק מאשר חתימה מאובטחת בלבד.

אני לא חושבת שיש לה יתרון לעניין העסקה הספציפית. אולי אם רוצים לתת יתרון, אז יתרון בצורת חזקה, זה כן, אבל לשלול קבילותו של כל מסמך אחר?

אבל אלה דרישות של חוק. את יכולה לומר שיכולים להיות הסכמים בעל פה בין בני אדם, ובני אדם יכולים להגיע להסכם בעל פה לכל מיני עסקאות אדירות, אבל החוק אומר שאם העסקה היא למשל במקרקעין, היא צריכה להיות בכתב. האם זה שולל את העובדה שיהיו הסכמים בעל פה? לא, רק זה אומר שהסכמים במקרקעין צריכים להיות בכתב. אותו דבר כאן, במקום שבו החוק תובע חתימה, אנחנו בשלב זה רוצים שהיא תהיה מאומתת. אני לא חושב שזאת דרישה מופרזת בשלב זה.

על איזה סעיף בחוק לא עונה החתימה ביד שציינתי קודם?

היא לא עונה על כל ארבע ההגדרות. דבר ראשון, היא לא ייחודית, מכיוון שאני יכול לעשות COPY&PASTE למה שאתה הקלדת ולשים את זה על מסר אחר.

אבל זה נכון לגבי כל דבר.

לא, אתה לא יכול לעשות זאת בחתימה אלקטרונית מאובטחת ומאומתת. על פי ההגדרה של הטכנולוגיה, הטכנולוגיה מאפשרת זיהוי שלך - -

האם החוק מגדיר את הטכנולוגיה?

קיימנו על זה דיון שלם.

דרך אגב, עוד לפני שנסיים לעבוד על החוק הזה, אני אלמד את הצד המשפטי של החתימה המקובלת. בהגיון שלי מתוך הבנת עולם המשפט, נדמה לי שאם אדם יעשה "וי" על מסמך ויגידו לו שהוא חתם עליו, הוא יגיד שזאת לא חתימה והיא לא תוכר כחתימה.

יש לך חתימה שהבנק תמיד מאמץ אותה - -

המושג חתימה זה לא רק עניין של צורה, אלא זה גם עניין של מה שהצורה הזאת רוצה לבטא, כי יכול להיות במקרה מסוים שמישהו יעשה "וי" ויגידו לו: כן, זו חתימה שלך, או שהוא ביטא פונקציה של חתימה, לבין מקום אחר שם זה לא יהיה כך. כי לפעמים אדם חותם א' ואומר שזו החתימה שלו. מהשרבוט עצמו של מה שאתה עושה לא נגמר הכל, אבל הוא צריך לתת לנו איזשהו ממד של מסר על מה שהיה במצב שבו אתה ביצעת אותו.

בחתימה הרגילה, לפחות במובן ההיסטורי שלה, בהרבה מאד מקרים, היתה גם איזושהי נוכחות פיסית בין האנשים. כאן אנחנו מוותרים עליה לגמרי. גם בחתימה הרגילה לא תמיד היתה נוכחות פיסית. אם רצו שתהיה חתימה, היה צריך ללכת לנוטריון שיאשר חתימה שלא נעשית בנוכחות פיסית בין הצדדים. ההתפתחות של מושג החתימה היתה תמיד גם כדי לוודא את הכוונה של האדם.

זאת עדיין איזושהי חתימה שעונה כל הדרישות פה.

זה לא עונה על אף אחת מהן.

כשאתה יודע מראש שאם אתה עושה קו וכל אדם יכול לעשות קו כך שאי אפשר יהיה לדעת מי עשה אותו, וכך אתה חותם – האם זאת נקראת חתימה?

אם זאת החתימה שלך...

אתה לא עושה קו, אתה אומר: אני מיכאל איתן. אתה יכול להגיש שהקו הזה מסמל את מיכאל איתן, כי כולם יודעים שמיכאל איתן חותם כך. אדם שחותם עושה משהו ייחודי, אבל אם בעולם הדיגיטלי אתה לוקח משהו שאתה יודע מראש שהוא לא ייחודי, איך אתה יכול להגיד שאדם עשה משהו ייחודי? אני לא מבין איך אתה לא מבין את זה. אם אתה חותם על המסמך, אתה עושה רק קו.

אף אחד לא "עושה" קו.

אבל זה מה שעשית, וזה כמו קו.

בדירקטיבה יש תוספת להגדרת חתימה כפי שהיא מופיעה כאן, והיא באה לפתור את הבעיה שאתה מעלה. הם אומרים כפי שנאמר פה: "חתימה שהיא מידע אלקטרוני או סימן אלקטרוני שהוצמד או שנקשר למסר אלקטרוני", ואז הם מוסיפים "והמשמשת כשיטה לאישור".

במקום זה אמרנו חתימה – חתימה אלקטרונית היא חתימה שהיא מידע. זה אותו דבר.

הרי אנחנו הגענו למסקנה שמסמך אלקטרוני הוא תקף, ובית המשפט יראה כחתימה כל סימן שיעשו, אם נהוג לראות שאותו אדם שעשה את הסימן משתמש בו למטרות שלשמן משמשת החתימה.

הוא יוכיח חתימה כמו שהוא מוכיח - -

לא, אבל בחתימה ביד הבעיה היא רק האם זה סימן אלקטרוני. יש פטנט ישראלי לגבי חתימה ידנית שנעשית על ידי אמצעי מיוחד שמה שאתה מזהה זה לא את החתימה עצמה, אלא את הדרך שבה אתה מבצע את החתימה.

זאת לא חתימה מאובטחת.

זאת כן חתימה מאובטחת.

זאת לא חתימה מאובטחת, לפי הנוסח של החוק. האנשים שיושבים פה בשולחן יכולים להשיג את אותו אפקט. אני השגתי את אותו אפקט.

חבר הכנסת איתן, האם ראית את ההערה של אליק? הוא טוען שזה נראה ממש מצחיק, שכן מצד אחד יש משפטנים שמבינים בחוקים אך לא במחשבים, ולהפך – אנשי המחשבים שלא מבינים משפטים.

כתוב לו שהוא צודק ושזאת בדיוק הבעיה.

אנחנו מתקדמים.

"(ב) השר רשאי, באישור ועדת החוקה חוק ומשפט של הכנסת, לקבוע בתוספת הראשונה הוראת חיקוק הדורשות חתימתו של אדם, ואשר על אף הוראות סעיף קטן (א), אין לקיימן באמצעות חתימה אלקטרונית, לרבות חתימה אלקטרונית מאובטחת ומאומתת."

האם יש מישהו שמתנגד לעניין הזה?

אני מציע שהשר יהיה רשאי באישור ועדת המדע, אבל אני צריך הסכמה של חבר הכנסת אמנון רובינשטיין לזה, כי אני מוניתי גם מטעמו, אז אני נאמן גם שלו. אני לא יכול לעשות את זה על דעת עצמי.

לא, זה צריך להיות באישור ועדת החוקה, חוק ומשפט.

זה לא עניין שלכם, זה עניין של הכנסת.

אבל מותר לנו להגיד שסוג כזה של מסמכים צריך את אישור ועדת החוקה, חוק ומשפט. מדובר בצוואות, במסמכים סחירים, בייפויי כוח וכו'.

את זה יגיד לי חבר הכנסת אמנון רובינשטיין.

לאחר שהסעיף הוקרא ולאיש מהנוכחים כאן לא היתה הסתייגות, אני מבקש לומר שאני אקיים התייעצות עם יושבי ראש ועדת המדע וועדת החוקה, חוק ומשפט - ששניהם היו שותפים בהסכמה למינוי שלי ואני נאמן של שניהם כאן - לגבי הוועדה שתדון באישור התקנות הנובעות מהחוק.

אני ער להערה של עורכת הדין טנה שפניץ, המשנה ליועץ המשפטי לממשלה, הגורסת שלאור העובדה שמדובר במסמכים משפטיים, רצוי שהוועדה שתדון בזה תהיה ועדת החוקה, חוק ומשפט.

אני רק רוצה להעיר מנגד שמאחר שמדובר בנושא שקשור במהפכת המידע ובנושאים טכנולוגיים, גם ועדת המדע יכולה להיות אכסניה, וכפי שאמרתי, אנחנו ניישב את זה בין יושבי ראש שתי הוועדות. האם יש הערות נוספות לסעיף 2?

רציתי להציע שסעיף (ב) ייראה כך: השר רשאי, באישור ועדת החוקה חוק ומשפט של הכנסת, לקבוע בתוספת הראשונה הוראות חיקוק אשר על אף הוראות סעיף קטן (א) ניתן לקיימן בצורת חתימה אחרת. אני רוצה להרחיב את זה לא רק להחמרה, אלא גם לקולא. יכול להיות שהשר יחליט באישור הוועדה, שבחתימות מסוימות לפי חיקוק מספיקה חתימה מאובטחת למשל ולא מאומתת.

הוא רשאי להחמיר לפי הנוסח הקיים. הוא אומר שיבוא בשר ודם ויחתום ולאו דווקא חתימה אלקטרונית. מציעים לאפשר לו גם להקל, כלומר: להגיד שלמרות שלפי חיקוק היה צריך חתימה מאובטחת ומאומתת, לחוק זה מספיקה גם חתימה מאובטחת בלבד.

רגע, בואו נסכם קודם כל את דבריו של עורך דין צבי אילן:

סעיף 2(ב) שבנוסחו הנוכחי מכביד במקרים מסוימים, כלומר: נותן אפשרות לשר לקבוע שכאשר חוקים מסוימים דורשים חתימה, אי אפשר יהיה להשתמש בחתימה האלקטרונית. ההצעה שלי היא שנשאיר את האפשרות הזאת, כפי שדורש משרד המשפטים, אבל מצד שני ניתן שיקול דעת לשר גם להקל, כלומר: במקום לתבוע חתימה אלקטרונית מאובטחת ומאומתת בכל מקרה שהחוק דורש חתימה של אדם על מסמך, תהיה לשר סמכות באישור ועדת הכנסת לקבוע שלעניין חוקים מסוימים מספיק שתינתן חתימה מאובטחת ולא מאומתת.

החוק הזה קובע את הנורמה הכללית, ולדעתנו במקום שהמחוקק כבר טרח וכתב במיוחד שצריך חתימה בחיקוק, צריך לתת לה את הדרגה הגבוהה ביותר. עם זאת, יכול להיות שיהיו חוקים ספציפיים שבהם יהיה מקום להוריד את רמת הדרישות, ואז אפשר באותו חוק נקודתית לטפל בנושא. יכול להיות שנגיע למסקנה כזאת, אבל זו לא תהיה נורמה כללית.

אני נוטה לקבל את עמדת משרד המשפטים. ייתכן שבעתיד, כאשר יתרחש ניסיון, ניתן יהיה לשנות את הכלל הבסיסי שלפיו כל חתימה הנדרשת על פי חוק, תהיה חייבת להיות גם מאומתת, אבל עד אז אני סבור שאין לאפשר לשר להיות המחוקק ולקבוע נורמה בחקיקה ראשית ששר יכול לשנותה לכל כיוון ללא כל קריטריונים ואמות מידה שקבועים בחוק.

"3. מסר אלקטרוני החתום בחתימה אלקטרונית מאובטחת, יהיה קביל בכל הליך משפטי כראיה לכאורה לכך –

(1) שהחתימה שייכת לבעל החתימה" – צריך להיות "בעל אמצעי החתימה".

(2) שתוכן המסר האלקטרוני החתום בחתימה אלקטרונית אושר על ידי בעל החתימה" – צריך להיות "בעל אמצעי החתימה".

אני מציע שנקרא את זה כבר עם התיקון.

אמצעי חתימה כבר תיקנו, זה בסדר.

אנחנו נכין אחר כך את התיקונים. אני רוצה להזכיר שסעיף 3 כרגע כבר עבר שינוי, וצריך לקרוא אותו, נכון לרגע זה – בכפוף לשינויים אם יהיו בהמשך – בכל מקום שבו כתוב "בעל החתימה" יבוא "בעל אמצעי החתימה הייחודי".

לא ייחודי.

אני אומר "בעל אמצעי החתימה הייחודי".

איך נדע מי זה בעל אמצעי החתימה? הרי חתימה מאובטחת לא מזהה את מי שחתם בפועל, אז איך נדע מי זה בעל אמצעי החתימה? לא ברור מה אומר הסעיף הזה ומה זה אומר שהחתימה שייכת לבעל אמצעי החתימה.

בעל אמצעי חתימה זה מי שהפיק את החתימה.

אבל איך נדע מי הפיק את החתימה?

מי שמזוהה על ידי אמצעי החתימה.

מי שנחזה להיות החותם. זה לא החותם, זה למעשה מי שנחזה להיות החותם.

זה נכון, הכל כאן נחזה. הסבירו לי קודם שניתן לשליטה זה רק נחזה שהוא ניתן לשליטה, הוא כבר איבד את השליטה מזמן.

אבל נניח שמשה הוא בעל אמצעי החתימה. משה הוא נוכל. הוא חתם בשם יצחק. אנחנו לא יודעים מי זה משה, אלא אנחנו רק יודעים שמי שחתום זה יצחק. זה לא נכון להגיד שהחתימה שייכת לבעל אמצעי החתימה, אלא שהיא שייכת למי שנחזה כחותם.

החזקה היא שהיא שייכת לאותו יצחק.

אבל יצחק הוא לא בהכרח בעל אמצעי החתימה.

הוא בעל אמצעי החתימה באותו רגע.

הוא לא החותם בפועל.

הוא הנחזה לבעל אמצעי החתימה.

אבל יש הבדל בין מי שנחזה כבעל אמצעי חתימה לבין בעל אמצעי חתימה, כי בעל אמצעי חתימה זה מי שבפועל הוא הבעלים של אמצעי החתימה.

הוא לא החותם בפועל.

הם עומדים כבר בבית המשפט ועומד שם יצחק המסכן. אומרים לו: אתה בעל זכות החתימה. עכשיו הוא יגיד שרימו וגנבו אותו, אבל באותה שנייה הוא עדיין בעל זכות החתימה. אם אנחנו מורידים את זה, אין לנו חוק.

מי יצטרך להוכיח? המסתמך יצטרך להוכיח?

מייד גם נגיע לזה, זאת שאלה, אבל נניח לרגע שבעל אמצעי החתימה יצטרך להוכיח. נקודת ההתחלה היא שיש מסמך, באים לבית המשפט, מבקשים לאכוף אותו, ואז אומר האדם: זה לא אני חתמתי, אלא מישהו אחר.

אבל אם יצחק יצטרך להוכיח, הוא בצרות.

עזוב מי יצטרך להוכיח. נתחיל קודם כל בעובדה שהוא בעינינו, נכון לרגע זה, נחשב כבעל החתימה.

כשאומרים בעל אמצעי החתימה, זה מי שבפועל הוא הבעלים של אמצעי החתימה, ויצחק הוא רק נחזה ככזה.

אבל זה כל העניין, בגלל זאת ראיה לכאורה. ראיה לכאורה פירושה מי שהוא הבעלים נחזה בעיני החוק להיות מי שחתם. אתה מעוניין להוכיח שלמרות שאתה בעל אמצעי חתימה שלא אתה חתמת, ועליך הנטל להוכיח זאת. ראיה לכאורה בלשונה בחוק פירושה חזקה עליך.

הוא אפילו לא יודע באיזה אמצעי השתמש משה.

יש לך צמד מפתחות. באים לבית משפט ואומרים לך: מצמד המפתחות שלך הופקה חתימה. אתה לא מתכחש לכך שצמד המפתחות שייך לך.

המהלך מתחיל בזה שבעל החתימה מוכיח שהחתימה שהוא מסתמך עליה מאובטחת, כלומר: שהיא הופקה בדרך שמנויה כאן. במקרה שלך, אני אומר: לי יש מפתח ציבורי של יצחק, ופתחתי את החתימה עם המפתח הציבורי שלו, ועכשיו יצחק אומר שזה בכלל לא הוא. יצחק צריך להסביר לנו איך קרה שאני הצלחתי עם המפתח הציבורי שלו לפתוח את החתימה, ויהיה לו קשה מאד לעשות את זה. אם הוא יצליח לעשות את זה – בסדר, אבל ההוכחה חלה עליו. אני קודם כל צריך לומר שיש לי מפתח ציבורי של יצחק.

אבל בגלל שזאת רק חתימה מאובטחת, יכול להיות שמה שיש לך זה בכלל לא המפתח של יצחק. גם אם יש לך שני מפתחות שנחזים להיות של יצחק, יכול להיות שהם לא יצחק.

אז הוא יגיד. אני אומר: רבותיי, אני הורדתי מפתח ציבורי של יצחק ממקום פלוני או אלמוני, או יצחק בעצמו שלח לי אותו בהזדמנות, ואני לקחתי ממנו את המפתח הציבורי שלו ופתחתי. אני אוכיח שיצחק אכן שלח לי אותו ופתחתי. אני צריך להוכיח את זה, זה החלק שלי. לפני כן עוד לא באים ליצחק בטענה. אבל אחרי שהוכחתי את זה, אומר יצחק: בכל אופן, זה לא אני חתמתי. הוא משקר ששלחתי לו. יהיה דיון אחר.

אתה היית מוטרד מנטל ההוכחה.

נטל ההוכחה פה הוא בעייתי.

הוא לא בעייתי.

זו לא בעיה להשיג זוג מפתחות שפותחים אחד את השני. זוג המפתחות של יצחק אבד עליהם הכלח ומשה השיג אותם ומתחזה כיצחק. אין לו בעיה לעשות את זה. רק אם הוא היה פונה לגורם המאשר, הגורם המאשר היה אומר לו: זה כבר לא של יצחק.

זה מסוג הוויכוחים עם אנשי מקצוע.

זה לא מקרה קצה.

הוא יגיד: לקחו לי את זה מהמחשב שלי. הוא יצטרך להוכיח, ועוד פעם ברמה סבירה, שהוא לא קשור לזה.

אני מסכם את מה שאמרה עורכת הדין חנה אזולאי מחברת קומדע:

אני רוצה לציין שמאחר שמדברים בחתימה שהיא רק מאובטחת אך אינה מאומתת, וגם היא יוצרת את החזקה ומעבירה את נטל ההוכחה אל בעל אמצעי החתימה כביכול, לדעתי, מוטלת עליו חובת הוכחה קשה, שבהרבה מקרים הוא לא יוכל לעמוד בה. כאשר מסתמכים על מסמך ומציגים אותו בבית המשפט, וכאשר מדובר במסמך שהוא רק מאובטח ואפשר לפתוח אותו באמצעות המפתח הציבורי, ואת המפתח הציבורי ניתן להשיג במקומות רבים בקלות יחסית, העברת נטל הראיה רק על בסיס זה היא קלה ויוצרת מצד שני מצב שבעל אמצעי החתימה יתקשה להוכיח שלא הוא חתם בפועל.

האדם שבא לבית המשפט ומסתמך על מסמך - ולא רק על זה שהוא פתח איזושהי הודעה סתמית – יצטרך להביא אתו גם את המסמך, את התמצית של המסמך ואת האישור שהוא קיבל בזמן מסוים במועד מסוים.

הוא לא קיבל שום אישור.

הוא קיבל את התמצית של המסמך במהלך - -

הרעיון אומר כך: יש לך אופציה להשתמש בחתימה מאובטחת ויש לך אופציה להשתמש בחתימה מאומתת. ברגע שאתה משתמש בחתימה מאובטחת, למעשה אדם שמסתמך על חתימה מאובטחת נוטל על עצמו סיכון. הוא אומר: אני יכול לבוא לבית משפט בעתיד, ואני אצטרך להוכיח שאכן נעשה מולי שימוש בחתימה אלקטרונית מאובטחת ומי הוא בעל החתימה.

מי לוקח את הסיכון?

הצד המסתמך, ולמה הצד המסתמך? כי כמו שאמר חבר הכנסת איתן, הצד המסתמך יבוא לבית משפט עם מסמך חתום אלקטרונית, וכשיגיע לבית משפט ישאלו אותו: למה אתה חושב שהאדם שעומד מהצד השני הוא זה שחתם? הוא יצטרך להוכיח - בהיעדר טענה סותרת - שאכן האדם שהוא רוצה לייחס לו את המסר, הוא בעל אמצעי החתימה.

יש לו ראיה לכאורה.

קודם אני צריך כשלב מקדמי, כפי שנאמר כאן, להוכיח דבר ראשון שזאת חתימה אלקטרונית מאובטחת, ושנית – שאכן מי שאני רוצה לייחס לו את המסר הוא בעל אמצעי החתימה.

הבעייתיות שלי תהיה פעמים רבות, כמו שאתם אומרים, סתם שני מפתחות מלוקטים מהאוויר, ובדוגמה של משה ושל יצחק, אני אומר שכתוב לי על המסר למטה יצחק, הנה אתה יצחק. זה לא עובד כך. אני צריך להוכיח שאכן יצחק שאני מנסה לשייך לו את המסר, הוא זה שמחזיק בצמד המפתחות הזה.

איך אני אעשה את זה? הרבה פעמים באינטראקציה שהיא אינטראקציה שכיחה בין הצדדים, בעיקר ברשתות סגורות, אין לי בעיה, מכיוון ששנינו בתחילת המסחר בינינו הבהרנו בינינו: אלה המפתחות שמשמשים אותי ואלה המפתחות שמשמשים אותך. אנחנו לא ברשת פתוחה שם אני לא יודע מי עומד מי נגד מי. אנחנו מסכימים בזה, ואני יכול אפילו כחלק מההסכמה הזאת, שכל אחד ייתן אישור בכתב לצד השני שאלה המפתחות שבהם אני משתמש.

נגיע לבית משפט, הוכחתי את שני השלבים הראשונים שזאת חתימה אלקטרונית מאובטחת מבחינת הטכנולוגיה שלה ושהוא בעל אמצעי החתימה, עומדות על הצד החותם שתי החזקות האלה, שאכן באמצעי חתימה שלך אתה חתמת, ושנית שאישרת את המסר. בשלב הזה, לאחר שהמסתמך עמד בשלבים המוקדמים הפרלימינריים של הוכחה שזה אמצעי חתימה מאובטחת, והוא בעל אמצעי החתימה, עומדות אכן שתי החזקות כנגד בעל אמצעי החתימה. כיוון שתנאי הסף להוכיח את זה כל כך קשים, יש פה איזון גדול מאד בין שני הצדדים.

ולכן, על פי רוב אנשים לא יסתמכו על חתימה אלקטרונית מאובטחת בלבד, כי הם יחששו שבזמן אמת הם לא יצליחו להוכיח שהוא אכן בעל אמצעי החתימה ללא אותה תעודה.

כמו שהחוק מנוסח היום, לא עולה ממנו שאותו אדם שרוצה להסתמך על החתימה האלקטרונית המאובטחת צריך להוכיח את הקשר שבין החתימה לבין הבעלים.

מה שאתה אמרת לא עולה מהחוק.

החוק אומר לך: דבר ראשון תעבור את מחסום הסף ותוכיח לי שזה מסר החתום בחתימה אלקטרונית מאובטחת, כלומר: תגיד שזאת חתימה מאובטחת. שנית, אחרי שעשית את זה, אתה רוצה לייחס את המסר לבעל החתימה. אתה צריך להוכיח לי מי הוא בעל החתימה שלו אתה רוצה לייחס את המסר. אתה צריך להוכיח שאכן הוא בעל החתימה.

אז מה אתה רוצה להגיד לנו? שזה יהיה בלתי אפשרי להוכיח את זה?

הסעיף הזה נועד בעיקר לאותן רשתות סגורות, או לאותם מקרים שבהם צדדים בהסכמה חיצונית לזה מסכימים: אני לא אתכחש לזה שאני בעל אמצעי החתימה.

ואם זו רשת פתוחה? אי אפשר יהיה להוכיח את זה?

ברשת פתוחה יהיה קשה מאד להוכיח את זה. איך אוכל להוכיח את זה? בלשון המשפטנים אדם שמסתמך על חתימה אלקטרונית מאובטחת ברשת פתוחה, שם את עצמו על קרן הצבי.

זה מה שגם אנחנו אומרים.

אלא מה? אלא אם הוא מסתמך על שירותיו של גורם מאשר בלתי רשום - -

המפתח הציבורי יזהה את מי ששלח את המסר כשהוא כתב אותו במפתח הפרטי.

בוודאי.

כלומר, התנאי הראשון הוא שהתובע נניח במקרה הזה, יודע או אמור לדעת, מי הוא השולח של המסר.

בוודאי.

נלך הלאה. בעל המפתח הפרטי יגיד: סליחה, זה לא אני כתבתי.

ואז תעמוד לו החזקה.

ואז זה כבר כמו כל מסמך אחר וכמו כל דיון אחר, השאלה היא מה הן העובדות הנוגעות לעניין, מה הקשר בין הצדדים וכן הלאה, כלומר: אתה זונח לגמרי את הצד האלקטרוני כאן והולך לצד המשפטי.

זה מה שצריך לדעת, שזה היתרון של שני המפתחות – זה שיש לו מפתח ציבורי לא יכול לכתוב מסר, ובעל המפתח הפרטי בדרך כלל יכול לקרוא את המסר, אבל על כל פנים לא אמור לדעת לקרוא אותו.

נמרוד קוזלובסקי, אני מסכימה עם מה שאתה אומר, אבל הבעיה שלי היא שלדעתי מנוסח החוק כמו שהוא היום לא ברור על מי הנטל להוכיח מי הם הבעלים של אמצעי החתימה, כי סעיף 1 הוא כאילו סעיף סתום.

איך את יכולה לייחס לבעל חתימה, אם את לא יודעת מי הוא? איך את עושה זאת מבחינה משפטית?

מה שאמרת מוסכם, אבל לא כתוב בחוק. לא כתוב בנוסח שמקבל החתימה והמסתמך צריך להוכיח.

אני אתן לך דוגמה. כשאתה רוצה בלשון משפטנים להגיד שאדם שגר בכתובת X, רואים אותו כמי שקיבל את המסמך, אומרים: מי שגר בכתובת X קיבל את המסמך. אני צריך להוכיח אם אני רוצה לייחס לך שאתה גר בכתובת X. אותו דבר אם אני רוצה לייחס לך מסר שאתה בעל חתימה, אני צריך להוכיח שאתה אכן בעל החתימה, אחרת איך אני אייחס לך את המסר?

אבל כאן לפי נוסח החוק כל מה שצריך להוכיח זה שזאת חתימה אלקטרונית מאובטחת ולא ברור מי זה בעל אמצעי חתימה.

אז למי אני אשייך אותו? כל הרעיון הוא שאני משייך אותו לזה. בפועל, זה נועד לאותן רשתות, לרוב רשתות סגורות.

אבל אפשר להשליך את זה גם לרשתות פתוחות.

צדדים יכולים להחליף ביניהם מפתחות. החליפו ביניהם מפתחות, אני יודע בדיוק מה המפתח שלך ואתה יודע בדיוק מה המפתח שלי.

העניין הוא שאנחנו מסכימים, אבל מה שאתה אמרת עכשיו גם לא כתוב בחוק - שזה לרשתות סגורות.

לא, זה לא רק לרשתות סגורות.

יש בקשה של ענבר לקבל תגובה של משרד המשפטים.

בסדר, נמרוד קוזלובסקי עונה בשם משרד המשפטים לעניין זה.

אבל שום דבר לא מוקלד.

כתוב להם שכרגע נמרוד קוזלובסקי מנמק, ותמצית הנימוק שלו תופיע עוד מעט.

ההסכמה בינינו של רשתות סגורות טובה לנו. לא רק מדובר ברשתות סגורות. הרי החוק שלנו אומר שחתימה מאומתת היא רק חתימה על ידי גורם מאשר רשום.

תגיד לפרוטוקול את תשובתך לשאלה של עורך דין אזולאי.

בפועל צדדים שיבקשו להסתמך על חתימה אלקטרונית מאובטחת שאינה מאומתת, יודעים מלכתחילה שבבית המשפט צד שיסתמך על חתימה אלקטרונית מאובטחת, עליו הנטל ראשית להוכיח כי אכן מדובר בחתימה אלקטרונית מאובטחת, נטל שיהיה פטור ממנו כאשר מדובר בחתימה אלקטרונית מאובטחת ומאומתת. שנית, עליו הנטל לקשור בין אמצעי החתימה לבין בעל האמצעי. משמע, עליו לשייך אדם ספציפי לאמצעי החתימה באופן שניתן יהיה להקים את החזקות שבסעיף 3.

רק לאחר שהוכיח הצד המסתמך את שני אלה, תקום החזקה שבחוק ולפיה החתימה שייכת לבעל החתימה והמסר אושר על ידי בעל החתימה. מטבע הדברים ברשתות מחשבים פתוחות לא ישושו צדדים להסתמך על חתימה אלקטרונית מאובטחת שאינה מאומתת. ההסתמכות על חתימה אלקטרונית מאובטחת שאינה מאומתת, צפויה ברשתות מחשבים סגורות, בהן הצדדים מכירים זה את זה ובמסמך נפרד או בהסכמה נפרדת, אישרו מה הם אמצעי החתימה שמשמשים אותם.

כמו-כן, הסעיף מאפשר להשתמש בחתימה אלקטרונית מאובטחת שמאומתת על ידי גורם מאשר שאינו רשום. על פי הגדרות החוק, לא תהא זו חתימה אלקטרונית מאובטחת ומאומתת, אך מדיניות משרד המשפטים היא שאין למנוע מצדדים לעשות שימוש בחתימה שכזו, שתהא קבילה בדין.

אפשר גם להוסיף ולומר שגם מטבע הדברים, אפילו אם היא תהיה מאושרת על ידי גורם שאינו רשום, יהיה לבית המשפט - -

עוד עד.

הייתי רוצה רק להשיב במשפט אחד, שאני מסכימה לחלוטין לדברים שנאמרו על ידי עורך הדין נמרוד קוזלובסקי, אך לדעתי סעיף החוק כפי שהוא מנוסח היום, לא מביע את אותם דברים. מסעיף החוק לא עולה שעל המסתמך על החתימה המאובטחת להוכיח את הקשר שבין אמצעי החתימה לבעל אמצעי החתימה. לדעתי, החוק הוא קצת סתום. אני קוראת את זה, ואני קוראת חוקים, ואני לא מבינה את זה.

הגענו לשעת הסיום. יש לנו "רק" עוד 20 סעיפים. מה שאני מנסה לחשוב עליו בקול רם זה איך אנחנו מתקדמים. אפשר יהיה חלק גדול מאד מהדיונים לחסוך, אם אתם תשתמשו בכלים שנמצאים באתר. אני לא בטוח שצריך להמשיך ולהיפגש כאן בצורה כפי שנפגשנו עד עכשיו. אנחנו נהיה מסוגלים לחסוך לעצמנו הרבה מאד מהדיונים כאן, אם אנשים ייכנסו לקבוצות דיון ויביעו שם את עמדותיהם.

אני יכול לומר לכם שאני מבחינתי, מי שצריך בסופו של דבר לנקוט עמדה, קורא מה כותבים שם, והדברים הללו מגיעים למודעות ולתודעה לא פחות מהדברים שנאמרים כאן. אני חוזר פעם נוספת ומבקש שבזמנכם הפנוי תגישו בכתב את ההסתייגויות שלכם מהסעיפים שיבואו בהמשך, על מנת שנוכל לבוא לישיבה, כשאני כבר מבין את חילוקי הדעות ואת העמדות השונות. זה יהיה הרבה יותר יעיל ויקל על כולנו. בסופו של דבר, אני מבין שנעים להיפגש פה, אבל לכל דבר כזה צריך להיות גם סוף, ואני לא רואה את הסוף בקצב הזה שבו אנחנו עובדים כרגע.

האם אפשר להציג באתר את הצעת החוק כפי שהיא שונתה וקיימת כיום?

יחד עם עורכת הדין ליהי פלדמן אנחנו נכין את הנוסח של הצעת החוק, כפי שעבר שינויים זמניים נכון לרגע זה. אני יכול רק לומר כאן שמרבית השינויים שכבר סיכמנו עליהם נוגעים לסעיפים שעברנו עליהם. יש רק מעט שינויים לגבי הסעיפים בהמשך.

אולי ברוח החדשנות נקבע מפגש אחד שיהיה וירטואלי לגמרי? קבע מועד מסוים ושעה מסוימת, כאשר יושב הראש יחלק את זכות הדיבור.

אם זה יכול להיחשב כישיבה.

אני מסכם את דברי עורך הדין צבי אילן: אני מציע שאנחנו נקיים דיון גם בלי להתכנס כאן, כאשר הצוות שנמצא פה יתווכח בשעה מסוימת שתיקבע מראש, כל אחד ממשרדו.

האם זה עומד בהוראות החוק לגבי קיום ישיבה?

אי אפשר יהיה לאשר סעיפים, כי צריך פרוטוקול.

אפשר "לאוורר" נושאים. לדבר אפשר.

אני מסכם את דברי שרי אברמוב, יועצת משפטית בכנסת: עדיין אי אפשר באופן פורמלי לאשר את סעיפי החוק בדרך וירטואלית, אבל אפשר בהחלט לקיים התייעצות, ואם רואים את זה בגדר התייעצות וזה חוסך זמן, אין מניעה. אבל לצורך פרוטוקול הכנסת, ובמיוחד בכל הקשור לאישור נוסח החוק בכל סעיף וסעיף, תהיה דרושה נוכחות פיסית של חברי הוועדה ואישור בדרך של הצבעה.

אני מבקש מענת לוי לרשום את כל הנוכחים כאן. אני אשקול את ההצעה של עורך הדין צבי אילן לעשות את הניסיון הזה, אבל אני מניח שנצטרך להכין ישיבה כזאת כשסדר היום יהיה קבוע מראש ואפשר יהיה להתכונן. אני גם רוצה לומר לך שאני לא יודע אם יש יתרון בכך שכולנו בו זמנית נמצאים ברשת. אם אנחנו מפרקים את הנושאים, מדוע לא להתייחס לנושא-נושא?

יש בזה יתרון, משום שאז הדיון הוא די מונחה ולפעמים בסעיף אחד אתה מכניס דברים מסעיפים אחרים ומתייחס בצורה צולבת, דבר שאתה לא יכול לעשות כאשר אתה מפריד בין הנושאים.

אחר כך יהיה צריך להצליב מחדש את קבוצות הדיון.

האם ראית את קבוצות הדיון?

הן לא בהכרח מתאימות. אם היה שם כל סעיף בנפרד, היה אפשר לכתוב לכל סעיף הערות, אבל כמו שזה עכשיו, יש שם אוסף של נושאים לדיון שלא ברור לי כיצד נבחר. הנושאים אמנם מאד מעניינים ואני תרמתי את דבריי, אבל הם לא נותנים איזושהי תחושה של קוהרנטיות.

אבל כשאנחנו דנים למשל בסעיף 1 – אם אנחנו נמקד את הבעיות, יכול להיות שכן תהיה לכך אפשרות. אני מוכן לנסות גם את זה, אבל אני פשוט מתייעץ אתכם. אם יש כאן הסכמה כללית לעשות את הניסוי הזה, נעשה ישיבה אחת כזאת.

צריך רק שמבחינה טכנית הדברים יתעדכנו הרבה יותר מהר, כי כרגע התהליך מאד איטי בין הרגע ששולחים משהו עד לרגע שזה מתעדכן על האתר.

יש לנו כאן בעיה שהיא ניתנת בקלות לפתרון. זה רק עניין ביורוקרטי ולא טכני. נשאיר את זה כך, אני אתייעץ ואני אודיע לכם. בכל מקרה, אנחנו צריכים לקבוע תאריכים.

מאחר שטנה שפניץ חוזרת אחרי סוכות, אנחנו ננצל את האמצעים האלה כדי לקיים ישיבה בלתי פורמלית כזאת, אבל לא נעשה שום דבר שיש בו ממד פורמלי. תוכלו להשתמש באמצעים הדיגיטליים. אני אנסה להודיע לכולכם.

אני מודיע בזאת כי הישיבה הבאה תתקיים לאחר סוכות, אבל בינתיים אנחנו נמשיך את העבודה בקבוצות הדיון, ואני מזמין את החברים כאן ואת הציבור לתרום את חלקכם בסוגיות השונות שיעלו שם. אני מצדי מבטיח להעלות את הבעיות המרכזיות בהן אנחנו מתחבטים, בפורום קבוצות הדיון באתר, ואני מבקש את ההתייחסות שלכם לגבי ישיבה מקוונת. אני נוטה בהחלט לקבל את ההצעה, ואני אודיע לכל הנוכחים כאן - אם הם ירשמו את עצמם לפני שייצאו - מתי הישיבה הזו תתקיים.

אני מבקש להכריז בזאת על סיום הישיבה.
הישיבה ננעלה בשעה 16:20