פרוטוקולים/ועדת מדע/2546



21
הוועדה המשותפת לוועדת המדע והטכנולוגיה ולוועדת החוקה
מיום 31.12_.2000

פרוטוקולים/ועדת מדע/2546
ירושלים, י"ד בטבת, תשס"א
9 בינואר, 2001

הכנסת החמש-עשרה נוסח לא מתוקן
מושב שלישי

פרוטוקול מספר 7
מישיבת הוועדה המשותפת לוועדת המדע והטכנולוגיה ולוועדת החוקה
שהתקיימה ביום א', ה' בטבת התשס"א, 31.12.2000, בשעה 10:00

הצעת חוק חתימה אלקטרונית, התש"ס - 2000

מיכאל איתן – היו"ר

משרד המשפטים:
עו"ד טנה שפניץ – משנה ליועץ המשפטי לממשלה
עו"ד ליהי פלדמן – עוזרת למשנה ליועץ המשפטי לממשלה

רפי הוידה – מדען ראשי
מיכאל הואש

מאיר ולצוביץ – ראש היחידה למערכות כלכליות במל"נ (אגף
למיחשוב ומערכות מידע לניהול)
עו"ד גדעון מרץ – לשכה משפטית

מוטי צ'יקו – מנהל אבטחת מידע
עו"ד טליה אדרי - לשכה משפטית

בועז דולב – מנהל פרוייקט תהיל"ה (שירותי אינטרנט
מאובטחים למשרדי הממשלה)
עו"ד רג'ין יהודה-חלף - מכס
יעל אופיר - מכס

עו"ד עדי קידנר
עו"ד אושר בן עזרי – חבר בוועדה לענייני מחקר

ליאור יותם – סמנכ"ל חברת קומדע
עו"ד חנה אזולאי – עו"ד של חברת קומדע

אילן עמרם – הממונה על המידע הצרכני

עמי סלע – בנק הפועלים
עו"ד אלונה חזן – בנק דיסקונט

שמואל קלפנר – מנהל שירות העברת מסרים

עו"ד שלמה רכטשאפן – הפקולטה למדעי המחשב באוניברסיטת
בר-אילן

משרד הפנים
שרה מקסימוב – רשם העמותות

עו"ד שולה בן-עזרי

מרב ישראלי
שרי אברמוב – מתמחה בלשכה המשפטית

ענת לוי

רקורד שירותי הקלטה

בראשית הדברים אני רוצה להתנצל על שינוי
בתוכניות. הישיבה היום תסתיים לא בשעה 15:00 כפי שתכננו, אלא בשעה 12:00. אני מצטער מאוד שגרמתי לשיבושים בלוח הזמנים שלכם, אבל בגלל מערכת הבחירות הקרובה והתפקיד שאני ממלא בה כנציגו של מר אריק שרון בוועדת הבחירות המרכזית, נקבעה להיום ישיבה לחתימה על אמנה בדבר טוהר הבחירות. אינני יודע אם יש דבר כזה, "טוהר הבחירות", אבל כנראה שתהיה אמנה. בשעה 12:30 אמורה להתקיים הישיבה, ועל כן אנחנו נאלץ לסיים קודם לזה. אני מתנצל, אבל העדפתי לנצל את השעתיים האלה - ולא לבטל את הישיבה לגמרי; ואני מקווה שבשעתיים האלה נשלים את הקריאה של החוק, ולישיבה הבאה נכין את הסוגיות ששנויות במחלוקת, ונטפל בניסיונות לפתור אותן - ונראה לי שבזה אנחנו בעצם נסיים את עבודת החקיקה, ונוכל להעביר את החוק לקריאה שניה ושלישית במליאה. ייתכן שנזדקק לישיבה נוספת - זאת אומרת עוד שתי ישיבות - אבל אני חושב שאנחנו לקראת הסוף.


אני רוצה מכאן לשלוח את תנחומיי ואת תנחומי הוועדה לפרופסור עדי שמיר, שאמור היה להופיע כאן היום, פרופסור עדי שמיר ממכון וייצמן -אימו נפטרה, והוא הודיע לי שעל כן הוא לא יוכל להגיע; ואנחנו נזמין אותו לישיבה הבאה.


אני מקדם בברכה את מרב ישראלי. היא קיבלה מינוי של יועצת משפטית של ועדת המדע, והיא תלווה את דיוני ועדת המדע. היום היא נמצאת כאן בהופעה ראשונה - הופעת בכורה - אבל בכל מה שקשור לחוק החתימה האלקטרונית, גברת שרי אברמוב, שפעלה איתנו עד עכשיו, תשלים את המלאכה - ואני מקווה שבאותה דרך טובה, כפי שעשתה זאת עד היום.

הוועדה העבירה מכתב שמעיר בעניין הסעיף של פלט
מחשב.

האם אנחנו נמצאים באוויר?

כן.

איני יודע מי יודע שאנחנו באוויר. לאחר ה"פשלה"
שהייתה בשבוע שעבר, פחדתי להתחייב. אם הכול יפעל כשורה, כי אז בשבוע הבא נודיע לכל מי שאינם יכולים להגיע להיות נוכחים פיסית, להשתתף איתנו בדיון הווירטואלי.

אנחנו בסעיף 16 – "פרטי תעודה אלקטרונית –

1. גורם מאשר יכלול בתעודה אלקטרונית לפחות את הפרטים הבאים:

1. שמו של בעל אמצעי החתימה ומספר תעודת הזהות שלו ופרט מזהה אחר, כפי שייקבע בתקנות

2. אישור על אימות חתימתו האלקטרונית המאובטחת של בעל אמצעי החתימה


3. … של בעל אמצעי החתימה

4. … מועדי תחילת … התעודה

5. שמו ומענו של הגורם המאשר לפי דבר …

6. חתימתו האלקטרונית המאובטחת של הגורם המאשר

7. הגבלות על השימושים המותרים לפי התעודה, ככל שישנן

8. הגבלות על אחריותו של הגורם המאשר, ככל שישנן

9. הפניה למאגר התעודות האלקטרונית הבטלות


ב. השר רשאי לקבוע פרטים נוספים, אשר ייכללו
בתעודה האלקטרונית".

"השר רשאי לקבוע פרטים נוספים אשר ייכללו
בתעודה האלקטרונית באישור ועדה…" האם יש
התייחסויות?

אני רוצה להביא דווקא הסתייגות טכנולוגית, ולא
משפטית, שעלתה פה מצדו של מר זאב שטח בפעם הקודמת. הוא המתין בסבלנות עד לסעיף 16, והיום אני רואה שהוא איננו נוכח.


נאמר שיש לתעודות טכנולוגיות תקנים בינלאומיים. מכיוון שאנחנו רוצים שהחוק הזה יהיה חוק שיאפשר גם לגורמים מחוץ לארץ לעבוד כגורמים מאשרים בארץ, צריך להביא בחשבון ולוודא שהדרישות שמפורטות בסעיף 16 תואמות לתקנים הנחוצים או השימושיים יותר בתחום הזה. אינני יודע אם זה נעשה או לא, אבל מה מבחינת משרד המשפטים? יש תקנים בינלאומיים, שבין היתר מפרטים גם מה צריך להיות בתעודות אלקטרוניות באישורי חתימה כאלה - התקנים האלה מפרטים אילו פרטים צריכים להיות בתעודות האלה. אנחנו רוצים שלא ייווצר מצב שבו אנחנו בחוק דורשים משהו שאיננו נדרש בתקנים הבינלאומיים, ובכך אנחנו הופכים את זה לגורמים מחוץ לארץ, גורמים גדולים מחוץ לארץ - קשה מאוד להיכנס לשוק הגורמים המאשרים.

למיטב הבנתנו, התקן מחייב שדות מסוימים
ומאפשר שדות נוספים. הטענה שעלתה היא שתוכנות הנפוצות היום לא בהכרח בנויות על כל השדות האלה, אבל אין מניעה טכנולוגית, בעלות ככל הנראה לא גבוהה, להוסיף שדות. זה איננו סותר את התקן הבינלאומי שעליו כולם מסתמכים. התקן מאפשר את כל אותם פרטים.

אין הוא מאפשר. הבעיה היא שאינו מאפשר. הטענה
של העורך דין אושר בן עזרי היא שתעודה אלקטרונית - על פי החוק כאן - תכלול לפחות את הפרטים הבאים, ואם מחר בבוקר אחת החברות המובילות בעולם שמנפיקה תעודות אלקטרוניות במקום אחר, מנפיקה תעודה אלקטרונית שאין בה מענו של הגורם המאשר, יש שם רק השם, כי אז בארץ לתעודה הזאת אין שום תוקף.

יש פה שתי נקודות: האחת היא -מהן הדרישות של
גורמים שירצו לעבוד מול הארץ, ואותם אנחנו נצטרך לרשום. מבחינת גורמים שבאים להירשם, אין מניעה פעילה מצדם לענות לדרישות האלה. זה איננו סותר תקן; זה איננו מעורר בעיות טכנולוגיות בלתי פתירות. מבחינת הגורמים בחוץ לארץ: מה שיקול דעת הרשם להכיר באותם גורמים? וזאת מסכת שיקולים קצת שונה.

לא, אבל אני רוצה להבין. יש חברה בינלאומית,
שהיא מנפיקה תעודות אלקטרוניות בכל העולם, כמו מיקרוסופט. כמו שיש היום מעבד תמלילים וורד. זה כבר הפך להיות מעין תקן בכל העולם - לא ישנו את זה בשביל ישראל, אם אנחנו נחליט. החברה הזאת משתמשת בתעודות אלקטרוניות, והם יבואו למדינת ישראל; יגידו להם - שנו עכשיו את התעודה. הם יגידו: אנחנו איננו משנים את התעודה. וכי אז, מה נעשה?

אנחנו מדברים פה על גורם מאשר שבא להירשם
בישראל. הוא צריך לבוא אל הרשם ולהראות לו שהתוכנה שלו עושה דברים מסוימים - שהפעולות שהוא עושה הן מסוימות.

גורם מאשר יהיה בחברות מסחריות גדולות. לא?

כן.

המשק יוביל לכיוון כזה שיהיו חברות מסחריות,
אולי עולמיות, שיפיקו תעודות אלקטרוניות - שיהיו מוכרות בכל העולם ויפעלו בכל העולם. השאלה היא אם אצלן בתקן - זאת בעצם השאלה שאנחנו מתחבטים בה - אם אצלן בתקן יהיה שוני לעומת החובה שאנחנו מטילים כאן. אם כן, אנחנו נמצא את עצמנו במצב שהתעודות שהן יפיקו לא יהיו מוכרות כאן, ואנחנו מבחינתנו בעצם לא נוכל לאפשר להן לפעול בארץ.

צריך להפריד בין שני דברים. הדרך הראשית היא
קודם כל אותם גורמים שפעילים בארץ, ולגביהם קבענו מה שקבענו. השאלה השניה היא ההכרה בתעודות בחוץ לארץ, שזה מעורר כמה וכמה בעיות, או תעודות של גורמים מאשרים מחוץ לארץ. השאלה היא עד כמה אנחנו רואים את הנתונים האלה כקריטיים. אם מישהו רוצה להיות פעיל בארץ ונרשם בארץ, כי אז אין זה נראה שהדבר צריך להיות כל כך מסובך כמו שמר בועז דולב אומר, שיש להם שדות ריקים שבהם הם יכולים למלא עוד דרישה או שתיים ממה שאנחנו דורשים.


אם אתה עובר על זה, לנו נראה שאלה דברים די יסודיים. הרי אנחנו נותנים לתעודה הזאת משקל די רציני אחרי שהם קיבלו אישור. או אז היא צריכה לשקף גם את מי שמסתמך עליה בעיקר. למשל הוספנו עכשיו את 9. אפשר לומר שזה איננו חיוני. מה זה אומר? ש"אנחנו מפנים את תשומת לבו של המסתמך" בכל זאת, לך ותבדוק אם התעודה הזאת לא בוטלה בינתיים. אפשר להגיד שזה לא כל כך חשוב, ואם איזה גורם מאשר בחוץ לארץ אינו עושה את זה, אזיי בכל זאת נכיר בו. אני אינני חושבת שעל הגבלות אפשר לוותר או לוותר על החתימה של הגורם המאשר, או על זהות אותו גורם, אם אנחנו רוצים לפנות אליו.

מה את אומרת לגבי ההוספה?

זה לא בסעיף הזה. ברור שבארץ הכל צריך להיות
בעברית.

מדוע זה ברור?

כאשר נגיע לסעיף 19 שמכיר בתעודות מחוץ לארץ…

או אז, בואי נדבר על זה עכשיו. הקריאי את
סעיף 19, ונעשה את סעיף 19 עכשיו.

"תעודה אלקטרונית של גורם מאשר מחוץ לישראל –

א. הרשם רשאי להכיר במי שמאמת חתימות אלקטרונית מאובטחות כגורם מאשר, ובלבד שהוא עומד בתנאים הדומים לאלה הנדרשים ממי שמבקש להירשם כגורם מאשר לפי חוק זה. להלן: "גורם מאשר מחוץ לישראל".

ב. הרשם ירשום את הגורמים המאשרים מחוץ
לישראל, שהכיר בהם לפי סעיף קטן א'. רישום
זה יהיה פתוח לעיון הציבור.



ג. דין תעודה אלקטרונית שהופקעה בידי גורם
מאשר מחוץ לישראל שהוכר בידי הרשם ונרשם על ידו לפי סעיף זה, כדין תעודה אלקטרונית שהונפקה על ידי גורם מאשר בישראל לפי חוק זה.


ד. השר רשאי לקבוע תנאים נוספים להכרה בגורם
מאשר מחוץ לישראל, לפי סעיף זה".

יש אילו שהן הערות?

אנו רוצים להעיר או אולי להציע משהו.

"ובלבד שהוא עומד בתנאים הדומים…". או אז,
יכול להיות שבשפה אחרת זה נקרא: "תנאים דומים". דרך אגב, אני גם לא הייתי שולל לגבי השפה, שגם בארץ השפה האנגלית תהיה בתוקף לעניין הזה. אני חושב שזאת גישה לא נכונה שתעודות בארץ יונפקו רק בעברית. אזיי איך יקראו אותן בחוץ לארץ, אם ירצו לעשות בהן שימוש בחוץ לארץ?

זה "גם וגם".

איפה כתוב: "גם וגם"?

אין כתוב שום דבר בשום מקום. זאת הצעה חדשה
- העברית. אין זה משהו שאנחנו מתייחסים אליו.

אני הייתי מעז ללכת לתת לגיטימציה בעולם המודרני
והמתקדם הזה להכרה שהשפה האנגלית בתקשורת הבינלאומית הזאת, יש לה מעמד מסוים לגבי דברים כאלה, או שאני הולך בצעד דרסטי מדיי?

בסעיף 19, לגבי ההכרה בגורמים מחוץ לארץ, הנוסח
כאן הוא בעצם שיקול דעת מוחלט לרשם להכיר על סמך תנאים דומים כאלה או אחרים, כפי שייראה לו לנכון באותו זמן. אנחנו מציעים כאן להכניס סייג, שלפיו השר יוסמך להתקין תקנות שיאפשרו לו ... להכיר, והדבר הזה יוכל להיעשות רק כשאנחנו נתבסס לגבי השיקולים המקובלים בעולם.


חוקים שונים בעולם מכירים באופציה להכיר בגורמים זרים באופן חד צדדי, אך במקומות רבים הפירוט לגבי ההכרה יתבצע בשלב מאוחר יותר בתקנות שטרם הותקנו בהרבה מקומות. מאחר שאנחנו רוצים לעמוד באותם תקנים כפי שמקובל בעולם, ייתכן שעדיף גם כאן, בסעיף 19, לתת הסמכה לשר לאפשר לרשם להכיר בעתיד בגורמים מאשרים זרים.

לשם מה אנו צריכים תקנות גם פה? יש יותר מדיי
תקנות.

אין לנו בעיה - הרי אנחנו התחלנו גם ממקום
אחר, אבל ניסינו קצת לראות בחוץ לארץ איך הם עושים את ההכרות האלה. אני מאוד מוטרדת איך מכירים בתעודה מחוץ לארץ.

אנחנו משאירים את זה לרשם, לשיקול דעתו.

כן. אבל אם מחר החוק נכנס לתוקף, ובאים לרשם,
והוא בעצם אז כבר צריך להפעיל את שיקול דעתו - ואין לנו כל כך דוגמאות טובות איך עושים את זה במקומות האחרים, ומהם השיקולים…

איך זה יהיה בתקנות?

נאמר… ויירשמו כל הגורמים הישראליים או
הגורמים מחוץ לארץ שבאים להירשם אצלנו.

אין לנו די דוגמאות טובות מה עושים במקומות
אחרים.

לעניין ההכרה בגורמים מאשרים ממדינה אחרת,
חשבנו שאולי עדיף שהם יתבססו שם, ונראה איך הם מכירים בתעודות של מדינות אחרות. במידה מסוימת גם יכול להיות שיהיו הרבה שיירשמו פה ממילא, ואז הם יעמדו בתנאים שלנו, ולא יהיה כל כך צורך. אבל, עקרונית, אנחנו חושבים שצריך להכיר.

גברת טנה שפניץ, השאלה שאני מנסה "לחדד" כרגע
היא אם אנחנו מאפשרים את שיקול הדעת לרשם או קובעים בחוק שיהיו תקנות, ועל פיהן הרשם יחליט.

בכל מקרה יישאר שיקול דעת לרשם.

אבל, עיזבו את התקנות בעניין הזה.

אם מחר החוק נכנס לתוקף, ובאים לרשם, והוא
צריך להתחיל עכשיו להכיר, ואנחנו עדיין איננו
כל כך יודעים איך עושים…

אזיי בתקנות גם כן לא תדעי.

לא. אבל אני אומר לרשם: התחל בהכרה מחוץ
לארץ כשהתקנות יגידו לך להתחיל, מתוך הנחה שעד אז אנחנו כבר נבין יותר איך עושים זאת במדינות אחרות.

אם את תביני, גם הרשם יבין.

התמריץ פה הוא דווקא לא היסוד החזק.

אין זה עניין של תמריץ.

אין רוצים לעודד להירשם באופן חד צדדי. זאת
אינה מטרת החוק.

הרעיון הוא שלרשם תמיד יישאר שיקול הדעת אם
להכיר במישהו או שלא להכיר בו.

לשם מה אני צריך תקנות בעניין הזה? יש כאן
מצב די פשוט. הרשם יודע שהוא צריך לאשר מי שעומד בתנאים דומים, והוא יפרש את הביטוי "דומים". למה אני צריך להיכנס עכשיו לתקנות, שממילא את אומרת שגם הן אינן מוכנות כרגע, שגם הן לא יגדירו באופן קבוע - אלא לתקופת זמן מסוימת - את המשתנים. או אז, למה לא להשאיר לרשם? למה לסרבל עם עוד תקנות, עם עוד פרסומים? למה?

הסיבה היחידה היא שבמשך הזמן לא הצלחנו
בדיוק לאתר איך מכירים ממדינה למדינה.

הרשם יעשה את זה.

נאמר שאני הרשם. החוק נכנס לתוקף, ואני
צריכה להתחיל להכיר.

אזיי תלמדי את העניין, ותקבעי אמות מידה
דומות למה שקובע לך החוק, ולפי זה תכירי. מדוע
השר יעשה זאת יותר טוב?

השר רק יגיד: עכשיו אתה יכול להתחיל בהכרה,
כי אני כבר מבין איך עושים את זה במדינות האחרות. אם עושים הסכם דו צדדי –זו איננה בעיה כל כך גדולה. אבל אם מחר בא אלי מישהו עם היחסים המתפתחים עם אינדונזיה, ואני צריכה להתחיל - כרשם - להחליט אם התנאים באינדונזיה דומים או לא, השאלה אם יש לי די כלים, אם אני כבר יכולה להטיל את זה על הרשם.


אנחנו הכנסנו את החוק בלי התקנות, והעתקנו את זה, או שיש הוראות די דומות בחוקים אחרים - ולקחנו את זה משם, ומלכתחילה חשבנו שנדע להסתדר. עכשיו, כשראינו שיותר פירוט לא מצאנו - למשל סינגפור. בסינגפור עובדים עכשיו על התקנות האלה - איך לעשות את זה. אין חייבים. אפשר גם להשאיר את זה כמו שהוא, אבל חשבנו – אולי, ליתר ביטחון.

צריך אולי להבהיר שלפי הנוסח הזה הרשם בעצם
בודק רק מקרה אינדווידואלי. הרשם בודק לפי הנוסח הזה של סעיף 19 כל מקרה פרטני לגופו, ובמשך הזמן הוא יגבש גוף של הנחיות כלליות.

לא.

סביר להניח.

אנחנו מניחים שהוא יעשה קודם הנחיות - אבל זה
איננו צריך להיות כתוב. הוא צריך לתת
תשובה פרטנית.

ההצעה של משרד המשפטים אומרת שקודם, באופן
ברור, יבואו ההנחיות - בין של השר ובין של מישהו
אחר. קודם יבואו התקנות, שיגבשו בעצם אילו שהן הנחיות כלליות לגבי ההכרה, ואז הרשם יפעל על פי התקנות האלה. אנחנו מבהירים פה שיהיו קודם הנחיות כלליות.

זה עלול להביא לסרבול משפטי מסוים, אם יהיו
תקנות שמתארות מה נדרש כדי להיות מוכר לגבי גורם מאשר חיצוני, והרשם עדיין - מסיבות כאלה או אחרות, מינהליות בעיקר - לא אישר אותו. מצד אחד יבוא גורם מסתמך ויגיד: הסתמכתי על תעודה אשר לפי התקנות עונה על כל אמות המידה, והגורם המאשר הזה עדיין לא הוכר כמאושר; ואז אנשים עלולים "ליפול בין הכיסאות".

אין כאן בעיה, כי החוק קובע במפורש שצריך את
ההכרה של הרשם. אין אדם יכול להסתמך על דבר שהרשם לא נתן לו את הכרתו. אני איני חושב שזה הטיעון, ושזאת הבעיה שלנו.


הבעיה שלנו, כפי שאני רואה אותה, היא פשוט סרבול מיותר; בעצם מה שאומר לנו היום משרד המשפטים - הוא שואל את עצמו שאלה אמיתית: איך הרשם יקבע את התנאים? ואז הוא אומר: בעצם הוא יקבע את זה לפי התקנות שיגדירו לו מרחב כלשהו של שיקול דעתו. בהיעדר תקנות, מה מרחב שיקול הדעת שלו? איך הוא יחליט? מה הוא יעשה? מתי הוא יתחיל בפעולתו, בעוד אין הוא יודע את כל התנאים הנדרשים? התשובה שלי להערות האלה של משרד המשפטים היא כמו של כל יהודי – בשאלה: ומאין השר יידע? עונה על כך משרד המשפטים: השר יידע משום שהוא יעקוב אחר ההתפתחויות הבינלאומיות. או אז, אני שואל: אם השר יידע כתוצאה מהתפתחויות בינלאומיות, אזיי גם הרשם יוכל לדעת כתוצאה מהתפתחויות


בינלאומיות. מלבד זה, ההתפתחויות הבינלאומיות לא יעצרו ביום שבו ייקבעו התקנות. חיש מהר אנחנו נוכל פתאום למצוא שההתפתחויות הבינלאומיות מתקדמות לעומת התקנות, ואז הרשם לא יוכל להפעיל שיקול דעת על פי ההתפתחויות הבינלאומיות - משום שהתקנות יעכבו אותו, וגם התקנת תקנות איננה עניין גמיש לגמרי.

הכוונה של התקנות לא הייתה שאנחנו נכניס את
עצמנו לסד הזה, וכמו שאתה אומר: לא נוכל להתקדם. הכוונה של התקנות הייתה להכניס את המנגנון של ההכרה מחוץ לארץ לפעולה, מתוך הנחה שאנחנו מרגישים די אחריות שעכשיו אפשר להתחיל ולהכיר מחוץ לארץ, והרשם יכול להתחיל להפעיל את שיקול דעתו, משום שאנו כבר רואים איך הדברים האלה מתנהלים. זאת הכוונה - לא להכניס את עצמנו לסד הזה של פרטים אלה ואחרים.

אינני חושב שכדאי להרחיב את הדיבור בעניין
התקנות. אם משרד המשפטים עומד על כך שיש להתקין תקנות שעל פיהן יפעל הרשם, למרות שאני סבור שהקביעה הזאת אינה נקייה מבעיות ומבירוקרטיה מיותרת, אני מוכן להיעתר לפנייתם.

בהקשר לסעיף 16, הרי שיש דרישות על פי
תקן בינלאומי שקרוי 509X-, ומופיעה בו דרישה כי בתעודה אלקטרונית גם יופיע מספר סידורי ייחודי של התעודה; וזה עונה להערה של נציג לשכת עורכי הדין, שתהיה תאימות לדרישות על פי תקן בינלאומי. אני מציע להוסיף בנוסף ל8- הדרישות, גם דרישה של התעודה שיהיה מספר סידורי ייחודי. מה שמבדיל תעודה אחת מהאחרת הוא המספר שלה.

ואם יהיה גורם מאשר מחוץ לארץ - ואין לו?

אבל לפי התקן הבינלאומי זה נכלל.

אין אנו יודעים על מי חל התקן הבינלאומי, ועל מי
הוא איננו חל.

אבל אנחנו מדברים על אותו תקן.

מר רפי הוידה מבקש לציין כי בתקן בינלאומי
שמספרו 509X- נדרש ציון של מספר התעודה, ועל כן יש לצרף דרישה זאת לדרישות הקבועות בסעיף 16. מה אתן אומרות על זה?

אין מניעה שהמספר הסידורי יופיע בכל מקרה.

אבל השאלה אם זה צריך להיות תנאי. אנחנו פה
מדברים על תנאים. אם אנחנו נשאיר את הסעיף, הרי ככל שיהיו פחות תנאים הכרחיים, כן ייטב.

גברת טנה שפניץ, אמרי לי: האם אתם בעד או נגד?

אינני יודעת אם זה חיוני. אני נגד.

את נגד. וגברת ליהי פלדמן?

אין מניעה להכניס.

נתבקשתי להעביר הבהרה מסוימת למשהו שנאמר
בוועדה הקודמת.

אינך מדבר כעת על שום דבר מחוץ לעניין הזה.

בהתייחסות למה שנאמר מבחינת המספר הסידורי
לתעודה דיגיטלית, הדבר הוא - לפי דעתי ולפי
דעת המתכננים הבינלאומיים - דבר הכרחי.

הדרישה לציון מספר התעודה תוכנס בסעיף 16 כאחד
התנאים.

לגבי סעיף 16, תת סעיפים 7 ו8-. "הגבלות על
השימושים המותרים לפי התעודה, ככל שישנן, והגבלות על אחריותו של הגורם המאשר ככל שישנן…". בעניין הזה אני רוצה להביא את המצב הקיים היום בעולם, והוא כך: היום, בתעודה דיגיטלית, קיימת קישורית בצורת קישור לאתר אינטרנט אחר נוסף ציבורי, שניתן לעיון על ידי כל מי שגולש באינטרנט, שבו יש מסמך מסוים המתאר את ההגבלים לגבי אותה תעודה. לדוגמה: הנפקתי תעודה דיגיטלית שאני מכנה אותה "קלאס1-". בתעודה "קלאס1-" אני מבצע זיהוי טלפוני. "קלאס1-" זה זיהוי טלפוני, ו"קלאס2-" זה זיהוי פיסי. זאת אומרת: מי שרוצה לקבל ממני תעודה "קלאס1-", אני מוודא את זהותו באמצעות התקשרות בטלפון, ומי שרוצה לקבל תעודה "קלאס2-" יהיה צריך לבוא אליי למשרד - ואני מזהה אותו פיסית ונותן לו תעודה "קלאס2-". עכשיו אני רוצה להגיד לציבור הרחב, בייחוד לאותם אנשים שהסתמכו על התעודה הדיגיטלית הזאת - אני רוצה לעמוד על ההבדל בין "קלאס1-" לבין "קלאס2-". מה אני עושה?


בתעודה "קלאס1-" אני מוסיף קישורית שמכוונת לאיזה שהוא מסמך. דרך אגב, המסמך הזה מוגדר בעולם כ-CPS, שבו נאמר בדיוק מה אני, כגורם המאשר, ביצעתי כדי לאפשר הנפקת תעודת "קלאס1-", ולכן אני ארשום שם באותו אתר, "תעודה קלאס1-" – אני, הגורם המאשר, מתחייב שביצעתי על פי מיטב ידיעתי זיהוי באמצעי טלפוני. כמובן שב"קלאס2-" ארשום שביצעתי זיהוי פיסי. לאחר מכן אני ארשום את ההגבלות לפי ראות עיניי, לגבי כל אחד מהסוגים.

מה יהיה כתוב על התעודה?

יהיה CPS:HTTP://COMSUM/CO.IL/CPS CLASS.

1. נתתי את הדוגמה הזאת כי יש לזה חשיבות, כי ל"קלאס1-" אפשר גם להגיע סתם. אדם גולש באינטרנט ורוצה לראות לצורך ידע כללי מה זה ב-COMSUM "קלאס1-. זה לאו דווקא מתוך התעודה.

זה רק ב-COMSUM או בעוד חברות?

כל חברה שהיא SARTIFICATE AUTHORITY
ציבורי. זה חשוב מאוד להסביר. כל חברה שמוגדרת כ-SARTIFICATE AUTHORITY ציבורי, חייבת להחזיק את אותו קובץ כגורם מאשר בעולם. היא מחויבת להחזיק את אותו CPS. זאת חובה משפטית שחלה על כל גורם מאשר.

ואיש לא שם את זה על הנייר?

וכולם שמים את זה בתור קישורית על התעודה. על
התעודה אין מתארים שום מגבלות - זה מה
שקורה כיום.

לא עד 100. שום דבר לא אחראי?

בשום אופן אין מזכירים סכומים כספיים על
התעודה הדיגיטלית. אין מתפקידו של הגורם המאשר להחליט - זו אינה חובה. הוא יכול, אם הוא רוצה, להוסיף את זה - אבל זאת איננה חובה של הגורם המאשר להגיד מה מותר ומה אסור לבצע.

אבל אני מניחה שהוא גם איננו רוצה להיות
אחראי מעבר לסכום הזה.

מקובל.

סעיף 18 של החוק שלנו פוטר את הגורם המאשר
מאחריות מעבר לאותן הגבלות שאותו גורם מאשר בחר לקבוע - ובלבד שהוא פרסם את אותן הגבלות, כך שהמסתמך יוכל לראות אותן ולדעת אותן. לא די בפרסום ה-CPS, שכולנו יודעים שהוא מסמך ארוך.

כתבתם: "ובלבד שפירט הגבלה זו על גבי
התעודה…".

אין די לכם בקישורית.

לי אין די בהפניה. המסמך CSP, שהתייחסו
אליו, הוא מסמך ארוך ומסורבל. הסיכוי שאדם יילך ויחפש בתוך ה-CPS את ההגדרות, יבין במה מגבילים אותו - ובעצם מה מותר לו לעשות באותה תעודה, צריך להתעמק בזה לא מעט בשביל להבין, ואני לא הייתי רוצה לתת פטור גורף מאחריות לגורם המאשר, כמו שסעיף 18 בא ועושה, אלא אם כן הדבר יובהר למסתמך - והוא חייב להיעשות בצורה גלויה, ואין די בהפניה לאותו מסמך של הגורם המאשר.

אולי את יכולה לומר לי מה הוא תחום האחריות של
הגורם המאשר? את דיברת על גבולות; אני מדבר כעת על תחום האחריות. מהו תחום האחריות של הגורם המאשר?

השאלה מתעוררת אם מישהו מסתמך על תעודה
מסוימת, הסתמך על העובדה שמדובר בתעודה
שאומתה. אם אני מסתמך על תעודה שאומתה על ידי גורם מאשר - ויודע שבדקו את זהותי בצורה מסוימת, כי אז האחריות תהיה מוגבלת לאותה בדיקה שבוצעה ולאותו סכום, אם נקבע סכום כזה.

אם לא נקבע סכום?

אם לא נקבע, כי אז האחריות יכולה להיות לא
מוגבלת.

לפי הדין, או חוזית או נזיקית, למעשה בדרך כלל
זהו הנזק שצפית או היית צריך לצפות שיקרה.

זה בדין הכללי.

אתה חוזר לדין הכללי.

היתרון הוא שאם אני מבצע בדיקה בדרגת נאמנות
מסוימת ומגביל אותה לעסקאות של עד 100 דולר, אני כגורם מאשר פטור אם מישהו הלך ועשה עסקה ב500- דולר על סמך אותה תעודה, ונגרם לו נזק. אני יכול להגביל את עצמי.

אני מבקש להשיב שבמקום להפנות ל-CPS, שזה
מסמך ארוך, להציע שפשוט תהיה אפשרות לגורם המאשר או לכלול את ההגבלות בתוך התעודה, או לעשות קישורית למסמך קצר שיפרט אך ורק את ההגבלות על השימושים המותרים לפי התעודה ועל אחריותו של הגורם המאשר. ומדוע אנחנו רוצים אופציה כזאת? בגלל שמבחינה טכנית, כפי שהוסבר לי, קיים קושי רציני להתחיל להכניס פסקאות מלל שלמות לתוך התעודה עצמה, וזה גם עלול ליצור בעיה מבחינת התאמה עולמית; מכיוון שבעולם זה איננו מקובל. מקובל רק לכלול בתעודה את הפרטים המופיעים בסעיפים קטנים 1-6 לסעיף 16, בנוסף למספר הסידורי וקישור למסמכים אחרים. אין לי בעיה שזה יהיה במסמך נפרד, כי אני מקבלת את דעתך בנוגע ל-CPS.

מה קורה בעולם?

את ההגבלות האלה לדוגמה אנחנו לקחנו מאירופה,
ששם נדרש באופן גלוי וברור שיהיה גילוי של אותם סעיפים. צריך גם לזכור שמדובר פה בעצם על חוזה אחיד, וכל המגבלות - אנחנו נותנים פה פטור שמתגבר גם על אותם תנאים בחוזים אחרים, ולכן הגילוי צריך להיות ברור ונאות על פני התעודה. ייתכן שאפשר למצוא דרך ביניים שאומרת ב3- מילים: " הגבלה עד 100" וקישור שיסביר לך מה זה אומר. אבל לא די במין הפניה כללית למסמך, שאין זה ברור מה יש לחפש בו.

אפשר אולי לכתוב שהגבלות על אחריות והגבלות על
שימושים יופיעו במסמך איקס - ולהפנות למסמך שיכלול רק את הדברים האלה. אפשר לעשות הפניה כללית בתעודה, שתאמר שלגבי הגבלה לעניין השימושים המותרים לפי התעודה ולעניין אחריות הגורם המאשר, יש לפנות לקישור; ואז מי שילחץ על הקישור יוכל להיכנס למסמך שיכלול אך ורק את אותן הגבלות, וזה יפתור את הבעיה גם מבחינת הידיעה של אותם צדדי ג' שמסתמכים על התעודה. זאת תהיה אופציה, לא חובה. מבחינה טכנית אנחנו איננו בטוחים שזה אפשרי.

אני רוצה לבקש שתנסו לנסח את ההצעה בכפוף לכך
שהגבלה על סכום תופיע על התעודה, כי זה פשוט, וכאן אין שום בעיה לכתוב אם יש הגבלה על סכום שיופיע על התעודה. מה הקושי? אם התעודה מוגבלת לשימושים מסוימים, כי אז יופיעו על התעודה בעיקרון, שתעודה זאת מוגבלת לשימושים מסוימים והפניה - אבל המקום שבו תהיה הפניה יכלול רק את השימושים. הגבלה בכסף תופיע על פני התעודה.

עצם ההגבלה תופיע על התעודה, ואז תוכל
להיות הפניה למסמך סביר. אבל צריכות להיות
הגבלת הסכום וידיעה שקיימות הגבלות.

אמרתי שאם יש הגבלה על כסף, הסכום הכספי
יופיע. זה איננו נראה לי בעייתי.

שני דברים: הסכום עצמו; ואם יש הגבלות נוספות -
ציון שיש הגבלות כאלה, ותהיה הפניה למסמך.

יהיה כתוב: "תעודה זאת מוגבלת לשימושים…".
צריך לנסח את זה.

אנחנו ננסח זאת.

אני רוצה להתייחס בפני הוועדה ולעמוד על הנקודה
החשובה. אולי אני אקדים ואסביר מה בעצם תפקידו של הגורם המאשר. אני חושב שהייתה פה איזו שהיא "בריחה" ממשמעותו. גורם מאשר, תפקידו אינו לבצע הגבלות כספיות.

אזיי הוא לא ירצה - לא יבצע.

אפשר לוותר על האחריות, ולמרות שהוא אמר

דע לך, אני מאשר עסקאות עד 100 שקל; וההוא לקח את התעודה ועשה 1,000 שקל והסתמך עליה ב1,000- שקל.

הסעיף הזה הוא לטובתכם. אינכם רוצים, אל
תשתמשו בו - ואל תיתן לנו עכשיו הרצאות מהו התפקיד של הגורם המאשר, כי זה איננו רלוונטי. מדובר עכשיו באפשרות שהגורם המאשר יוכל לקבל הגנה. הוא יגן על עצמו בכך שהוא יבוא ויאמר: אני אהיה אחראי עד 100 שקל על סמך תעודה, ואם אין הוא רוצה, כי אז הוא לא יכתוב: עד 100 שקל; ואז האחריות שלו תהיה בלתי מוגבלת.

בכל מקרה, לגורם המאשר אין אחריות
לטרנסקציה מסוימת.

יש לו אחריות מלאה.

יש לו אחריות על אימות הזיהוי של אדם.

לגורם המאשר, כמו לכל אדם ולכל בעל מקצוע, יש
אחריות לכל מה שהוא עושה. כל אחד מאיתנו הוא
אחראי.

אני אגיד את זה אחרת…

כל אחד מאיתנו אחראי. כאשר אתה נוהג, אתה
אחראי לנהיגה ולמכונית שלך. כאשר אתה גורם מאשר, אתה אחראי לפעילויות שלך. אנחנו אומרים עכשיו: אתה יכול להגביל את האחריות שלך בתנאים מסוימים. אינך רוצה להגביל - אל תגביל.

עד היום, לפי מיטב ידיעתי, בכל העולם אין
אף תעודה דיגיטלית, והונפקו מעל 40 מיליון תעודות עד היום, שבתוכן כתובה איזו שהיא הגבלה מסוג כלשהו.

אזיי, אל תנפיק תעודות כאלה. אף אחד איננו
מחייב אותך שעל התעודות שתוציא יהיה דבר כזה. אל תוציא תעודות עם הגבלה. האם מישהו מחייב אותך? אל תוציא. עכשיו יבוא מישהו שכן רוצה לעשות תעודות עם הגבלה - מה זה מפריע לך?

הסיטואציה שלי מתקשרת בעיקר לסעיף 19. מה
קורה כאשר שלומי הישראלי עושה עסקה סטנדרטית עם מיקי האמריקאי? שלומי הישראלי, חתימתו אומתה על ידי גורם מאשר ישראלי, ומיקי - חתימתו אומתה על ידי גורם מאשר אמריקאי. העסקה התפוצצה. השאלה שלי היא כפולה: ראשית, האם החוק הישראלי יחול או החוק האמריקאי יחול? ואם נצמצם את זה יותר, מה יהיה מעמדה של החתימה המאומתת האמריקאית? יכול להיווצר כאן מצב אבסורדי, שיכירו בחתימה המאומתת הישראלית ולא האמריקאית.

אין אנו מתחילים לעשות קורס למשפט בינלאומי
פרטי.

זה איננו בינלאומי פרטי. אין זה מדוייק. אזיי אני
אוסיף עוד מילה אחת - וזה אולי יהיה ברור.

מה יעשו בתי המשפט אחר כך? הם יעסקו בזה.

לא. הם אינם יכולים לעשות כלום. השאלה שלי

האם אין זה כדאי להוסיף בסעיף 19 שאפשר יהיה להכיר בגורם מאשר למפרע. זאת אומרת, אחרי שהעסקה התפוצצה, הרשם יוכל להכיר בחתימה הזאת כחתימה מאומתת. שיוכלו להכיר בחתימה למפרע, באימות למפרע – כלומר, שיש גוף אמריקאי מאוד רציני שאימת אישור עסקה של אדם אמריקאי.

צריך לתת לזה את המשקל הבעייתי שיהיה לזה.

אבל הוא לא יהיה מאומת.

אי אפשר לעשות למפרע כאשר הצד האחר
כלל לא הסכים וכלל לא ידע.

אינני יודע מדוע אי אפשר לעשות זאת
למפרע.

זה דבר שאיני יכולה לבדוק לגביו כלל מה היה
המצב לפני 5 שנים.

לא. אפשר לבדוק.

רציתי רק לדעת מהי עמדת משרד המשפטים בעניין
חזקה שהמידע שמצוי בתעודה האלקטרונית נמסר על ידי המבקש. סעיף כזה מצוי בחוק הסינגפורי.

נטל ההוכחה יהיה על מי שטוען כנגד הפרטים
הכתובים בתעודה. אני חושב שזה נובע מדיני הראיות
הכלליים. זה מסמך כתוב.

לאור כך שזה מצוי בחוק אחר, רציתי לדעת אם אתם
חושבים שאין צורך בכך.

עצם ההכרה בתעודה קושרת את התעודה.

על כל פרטיה.

או אז, היא קושרת את בעל התעודה.

הרי הוא צריך לאמת את הפרטים. אזיי, קרוב לוודאי
שהוא ידאג שזה יבוא מהמבקש.

בסעיף 16 אנחנו סבורים שיש מקום להוסיף הפניה
למאגר התעודות המבוטלות.

יש נוסח חדש.

הבנתי. אם כן, יכול להיות שאני מחזיק נוסח ישן.
סעיף 19, בנוסחו כפי שהוא מופיע בהצעה, הסעיף עצמו כלל איננו מדבר על כך שמדובר בגורם מחוץ לארץ, למעט הכותרת. אנו מציעים שהנוסח יהיה: "הרשם רשאי להכיר כגורם מאשר במי שמאמת חתימות אלקטרוניות מאובטחות, אך אינו עונה על דרישות סעיף 8א'1- לחוק זה…".

סעיף 17 – "א. גורם מאשר יבטל תעודה אלקטרונית

1. לפי בקשה של בעל התעודה, מייד לאחר קבלת הבקשה ואימות זהות המבקש.

2. מייד כשנודע לו כי פרט מהפרטים המופיעים בתעודה אינו נכון, או כי נפגמה מהימנות התעודה בדרך אחרת.

3. לפי הודעה על מותו של בעל התעודה, ואם הוא תאגיד - עם פירוקו, מייד אחר קבלת ההודעה ובדיקת אמיתותה.

4. מייד כשנודע לו על פגם בחתימתו האלקטרונית המאובטחת או במערכות החומרה והתוכנה של הגורם המאשר עצמו.


ב. מייד עם ביטול תעודה אלקטרונית, יודיע על כך
הגורם המאשר לבעל התעודה וירשום את דבר הביטול במאגר, כאמור בסעיף 15ג', באופן שקבע השר".

לעניין הערבות לגבי גורם מאשר מחוץ לארץ. יש פה
בעייתיות, שגורם מאשר מישראל הפקיד ערבות, שהערבות הזאת נועדה - אפשר לחלט אותה במידה שנגרם נזק לאדם מסוים.

יש בעייתיות מסוימת לגבי המונח "עם פירוקו",
סעיף א'3-. לפי דיני החברות, כאשר מוגשת בקשת פירוק, וניתן צו הפירוק - צו הפירוק מקבל תוקף למפרע למועד הגשת בקשת הפירוק מבחינת מועד הפירוק. לדעתנו צריך לעשות אחת מהשתיים: או להוסיף בסעיף 16, כאחת הדרישות הנוספות בתעודה, הודעה על הגשת בקשת פירוק כנגד תאגיד; או לשנות את סעיף 17א'3- ולבטל את התעודה כאשר תוגש בקשת פירוק, במידה שאנחנו סבורים שזה דרסטי מדיי.

במקום; "עם פירוקו…", פשוט: "עם מתן צו הפירוק". כי צו הפירוק אומנם חל למפרע, אבל הגורם המאשר יכול לדעת על הפירוק רק מרגע שניתן צו הפירוק - ולא מהרגע שהוגשה בו הבקשה לפירוק; כי יכול להיות שהבקשה לפירוק תתקבל או לא תתקבל, ולכן זה צריך להיות עם מתן צו הפירוק.

צו הפירוק מגיע לאחר קבלת ההודעה. איש איננו
מבקש מהגורם המאשר לדעת מה שאין הוא יודע.

כן. אבל אם אתה אומר: אחרי שנודע לו על הגשת
בקשה לפירוק, יכול להיות שנודע לו על הגשת בקשה לפירוק, אבל הבקשה הזאת לא תתקבל, ולא יינתן צו פירוק.

על בעל אמצעי החתימה עצמו יש החובה למסור
את המידע לגורם המאשר - כל מידע שהוא רלוונטי. חברה שהוגשה כנגדה בקשת פירוק צריכה להודיע לגורם המאשר שהוגשה נגדה בקשת פירוק.

צריך להיות כתוב במקום" "עם פירוקו", "עם מתן
צו הפירוק". ומדוע? משום שעם הגשת הבקשה לפירוק - ייתכן שהבקשה לא תתקבל, ובסופו של יום לא יינתן צו פירוק – או אז, אין טעם לחייב את הגורם המאשר לבטל תעודה עם הגשת הבקשה, אלא עם מתן צו הפירוק.

מה אומר משרד המשפטים?

הרשם צריך לקבל תעודה שעליה הוא מסתמך. הוא
איננו יכול להסתמך על מה שנודע לו, או על זה שהוא שמע. בקשות פירוק מוגשות גם כלחץ או מכל מיני סיבות, ולפעמים הן מתבטלות מהר מאוד; לכן זה בהחלט שלב מוקדם מדיי. אני מסכימה שברגע שיש צו פירוק, יש איזה שהוא מועד ותעודה חד משמעית שהוא יכול להסתמך עליה.

או אז, קיבלתם את זה?

כן.

ברגע שזה זמני, בדרך כלל גם מופקעות ממילא כל
זכויות החתימה.

אם כן, זה בסדר.

האם רוצים גם לתת לרשם במקרים מסוימים
להורות על ביטול או על פרסום של ביטול תעודות?

החתימות אינן עוברות דרך הרשם.

לא החתימות - התעודות.

התעודות אינן קשורות לרשם.

זה לגורם המאשר.

במסגרת הפיקוח שלו, האם אין יכולים לתת לו
סמכות להורות לגורם המאשר לפרסם בעניין תעודה
בטלה, אם אין הוא עושה את תפקידו?

יש מאגר של תעודות בטלות.

נכון. השאלה אם רוצים לתת גם לרשם סמכות
להורות לגורם המאשר על פרסום לגבי תעודה בטלה, בתור מפקח על הגורמים המאשרים. יכול להיות שיתקיימו מקרים שיהיה צריך להורות.

מי מנהל את המאגר של התעודות הבטלות?

כל גורם מאשר.

יש זכות לרשם רק במקרה שיש בעיה בניהול המאגר
עצמו, בניהול הבדיקות, ואז תהיה הוראה כללית שהוא לפי סעיף 1 – על פי סמכויות הפיקוח הרגילות שלו… אין מדובר בבעיה ספציפית של תעודה ספציפית עם מסמכים ספציפיים, אלא ככלל הוראות של אי קיום הוראות החוק, ואז הוא כן מוסמך להורות או לתקן, או להפסיק את פעילותו.

במהלך הדברים הרגיל, מי שרוצה לבדוק את
התעודה ואינו מסתפק בנתונים שמופיעים על התעודה עצמה, יפנה למאגר של הגורם המאשר ויוודא שהתעודה בתוקף וכל השאר.

סעיף 18 – "אחריות גורם מאשר – א. גורם מאשר לא
יהיה אחראי לנזק שנגרם עקב… התעודה האלקטרונית שינפיק, אם יוכיח שנקט את כל האמצעים הסבירים לקיום חובותיו לפי חוק זה.


ב. קבע גורם מאשר הגבלות על סוגי השימוש בתעודה, או על סכומי העסקאות שלגביהן ניתן לעשות שימוש בתעודה, לא יהיה הגורם המאשר אחראי לנזק שנגרם עקב שימוש החורג מההגבלה - ובלבד שפירט הגבלה זו על גבי התעודה".

מקובל בעולם לאפשר לגורם המאשר להגביל את
אחריותו גם לסוגי נזקים כגון נזקים ישירים,
ולא לנזקים תוצאתיים ו/או עקיפים.

האם אתם רוצים לחרוג מהוראות הדין הכללי על
אחריות?

גם לחברות ביטוח יש אפשרות להגביל בפוליסות,
שתפקידן ללא ספק לא פחות חשוב - יש אפשרות להגביל בפוליסות את אחריותן לסוג הנזק, ובכל פוליסה תראה שהאחריות של חברת הביטוח היא לנזק ישיר בלבד - ולא לנזק עקיף או תוצאתי. זה טוב גם לצרכן, כי אם הגורם המאשר יהיה צריך לעשות ביטוח עבור נזקים תוצאתיים או עקיפים, הוא יגלם את זה בתעודה, והמחיר יהיה לא סביר. בעבור תעודה שמונפקת בעשרות שקלים בודדות, אין זה הגיוני לדרוש מהגורם המאשר להיות אחראי גם לנזקים עקיפים ותוצאתיים.

אינני יודע מהם נזקים עקיפים ותוצאתיים.

מדובר בהפסדי רווחים. נאמר שאדם הסתמך
על התעודה…

גם היום, כפי שאמרתי קודם, הדין הכללי קובע שלא
על כל נזק אדם אחראי אם הוא מפר חוזה. הוא אחראי רק על נזק שהיה יכול לצפותו; כך שאם הוא לא יכול היה לצפות את הנזק, הוא לא יהיה אחראי - וזה גם לפי הדין הכללי.


לפי סעיף 18 אין זה מונע מגורם מאשר להכניס בחוזה שלו הגבלות נוספות על הדין, אבל אין זה רצוי לקבוע בחוק באופן גורף שכל הגבלה כזאת תהיה תקפה, אלא הגבלה כזאת תיבחן מאוחר יותר לאור הדין הכללי - כולל דיני החוזים האחידים.

סעיף 18 לדעתי - "מכלל הן כאן מעידים על
הלאו". מכיוון שהסעיף אומר "קבע גורם מאשר הגבלות על סוגי השימוש בתעודה או על סכומי העסקאות, לא יהיה הגורם המאשר אחראי…". מבחינת כללי הפרשנות אפשר ללמוד מכאן ש"מכלל הן הם מעידים על הלאו". מזה שכתוב בסעיף מפורשות מתי הגורם המאשר לא יהיה אחראי, זה אומר שכשאין מדובר באותן הגבלות שמפורטות בסעיף, הוא כן יהיה אחראי.

כאלה שאינן בסעיף 16.

סעיף 18 מסביר אילו הגבלות הוא יכול לעשות, ואותן
הוא יכול לכתוב בסעיף 16.

אין הוא יכול להיות אחראי מעבר לאחריות הכללית
המוטלת עליו מכוח הדין הכללי. מאין הוא
לוקח אחריות נוספת?

אני חוששת שלא תהיה לו אפשרות להגביל את
אחריותו, כמו שעושות, לדוגמה, חברות ביטוח בפוליסות לנזקים ישירים בלבד. אם הוא לא יוכל להגביל את אחריותו על נזקים ישירים, לחשוף גורם מאשר שלוקח בעבור תעודה מספר עשרות שקלים או מספר מאות שקלים לאחריות על נזקים עקיפים כלשהם, זה פשוט לא הגיוני; וזה גם יכול ליצור מצב שזה ייקר את המחיר לצרכן בצורה מאוד ניכרת, שזאת גם הסיבה שבפוליסות מאפשרים להגביל.

הוא יכול לקבוע את ההגבלות שלו על סוגי השימוש
בתעודה, על סכומי העסקאות. אז הוא יגן על עצמו בסכום העסקה. הוא יכול להגיד: אני אחראי עד לסכום מסוים. הרי הוא איננו אחראי מעבר לאותו סכום.

לא. הוא אחראי אם השתמשו בתעודה עד סכום
מסוים; הוא יהיה אחראי לכל נזק שנגרם
משימוש בתעודה עד אותו סכום.

נכון.

אבל אם כתוב בתעודה שהוא אחראי לחצי מיליון
שקל, יכולים להיגרם כתוצאה מחוזה של חצי מיליון שקל נזקים של מיליוני שקלים - הפסדי רווחים למיניהם. או אז, זה איננו אומר שהוא אחראי רק לחצי מיליון שקל. הוא אחראי לכל נזק שייגרם כתוצאה מאותו חוזה.

מה פתאום?

בוודאי.

אם הוא חותם על תעודה מוגבלת בגובה סכום, כי
אז - הוא אומר מראש שהוא אחראי עד גובה הסכום
הזה.

אבל זה לא בגובה הסכום - זה בגובה העסקה. זה
איננו אומר מהו הנזק. זה אומר מהי העסקה. העסקה יכולה להיות רק על חצי מיליון שקל, אבל נזק מחוזה של חצי מיליון שקל יכול להיות מיליוני שקלים.

אני מבינה את הטיעון של העורכת דין חנה אזולאי.

אני מנפיק תעודות, אבל אני כותב שגובה הפיצוי
שאתן כתוצאה מהפעולה שלי לשימוש בתעודה הזאת מוגבל עד ל500- שקל. האם אפשר יהיה לדרוש ממני 1,000 שקל?

השאלה אם מפרשים את סעיף 18, שמאפשר לי
לקבוע הגבלה כזאת. זאת איננה הגבלה שקבועה כאן. ההגבלה היא על גובה השימוש בתעודה.

היא קבועה לי בסעיף 16.

לא - זה השימוש בתעודה.

"הגבלות על אחריותו של הגורם המאשר ככל
שישנן…". אזיי מותר לו לקבוע. היא אומרת שאם זה לא נאמר במפורש, או אז גם כאשר כתוב 500 שקל לגבי גובה העסקה, האחריות הנוספת תהיה מכוח הדין הכללי, והיא רוצה שתינתן האפשרות שבמקרה הספציפי של התעודות הללו, לא יוכלו להחיל את הדין הכללי - וכל תביעה מעבר לסכום תיעצר.

בדין הכללי אפשר בחוזה ביני לבין מישהו, לקבוע
אחריות - זכותי.

נכון.

אבל אני חוששת שהסעיף הזה, בגלל שהוא קובע
אילו סוגי הגבלות מותר לי להגיד - שיפרשו אותו, שיש כלל פרשנות שאומר שבחוקים "מכלל ההן מעידים על הלאו". אם כתוב אם מותר, זה אומר שמותר רק מה שכתוב.

אבל כתוב כאן "הגבלות על אחריותו של הגורם
המאשר, ככל שישנן…".

כן. אבל אז סעיף 18 בא ואומר אילו הגבלות אפשר.

אני מבינה את הטיעון, ואנחנו יכולים לבדוק את זה.

הרעיון צריך להיות שלגובה העסקה, לסכום שכתוב, הם אחראים בין בישיר ובין בעקיף. על הנזקים העקיפים שיכולים להיגרם, מותר להגביל את האחריות.

זה ברור גם כך.

אבל אם זה איננו ברור, אזיי אולי אפשר להבהיר.

בסדר.

זה עניין חשוב - או אז נבדוק אותו. העורכת דין
חנה אזולאי אומרת שבסעיף 16 מניתם כל מיני עניינים, אבל עכשיו - בסעיף 18ב' - אתם קובעים מתי הוא יהיה פטור, ואתם מזכירים מתוך זה.

"קבע גורם מאשר הגבלות על סוגי שימוש בתעודה או
על סכומי העסקאות…".

אתה יכול להשתמש בתעודה רק לעסקאות עד 500
שקל, אבל אם אחר כך, אגב זה, נגרם גם איזה נזק עקיף, הרי פה אני כבר אינני פטור. או אז, נבדוק את זה. זאת איננה הכוונה, ואין בעיה.

יש פה שאלה, ואני זוכר שדיברנו לגבי הבעיה של
הערבות של הגורם המאשר מחוץ לארץ. גורם מאשר מהארץ מחוייב בערבות, ובמידה שנגרם נזק, ניתן לחלט ערבות לטובת מי שניזוק. גורם מאשר מחוץ לארץ - אין עליו חובה של ערבות. כך שאם נגרם נזק, אין מאין להיפרע.

אזיי, מה אתה מציע לנו?

אולי צריך לקבוע בתנאים שגם גורם מאשר מחוץ
לארץ, במידה שהוא ירצה להירשם פה - לחייבו
בערבויות.

יכול להיות שהפתרון הוא בכך שאפשר יהיה לבדוק
מה היא היציבות הכלכלית שנדרשת כשאותו גורם מאשר נרשם במדינה שעל פיה אני מסתמכת שבדקו. בדקו שהוא הפקיד ערובה מסוימת, בדקו שיש לו ביטוח מסוים, שיש לו נכסים מסוימים שאפשר להיפרע מהם - הרי זאת המטרה: להבטיח שיש ממה להיפרע.

כלומר יבדקו לכל אחד. אם יש ערבויות בחוץ לארץ,
אי אפשר לחלט אותן כאן.

נכון. יכול להיות שזה במסגרת השיקולים של הרשם,
שנצטרך לראות שיש איזה שהוא ביצוע על חלק
מסוים - אילו שהן דרישות שכן מבטיחות.

מה קובע מי גורם מאשר מהארץ ומי בחוץ לארץ? אם
אני חברה ישראלית, נרשמתי בארצות הברית כגורם מאשר, האם אני גורם מאשר בארץ או מחוץ לארץ? אם אני מחוץ לארץ, אני אינני צריך לתת ערבות. אם אני נחשב מהארץ, אני כן צריך לתת ערבות. איך קובעים מאין אני? אין פה בהגדרה שום דבר בעצם לגבי מה שמבדיל בין גורם מאשר מחוץ לארץ לגורם מאשר מהארץ.

גורם מאשר מהארץ הוא כזה אשר מקיים את
הוראות סעיף 8 ובא ונרשם אצל הרשם שלנו, דבר המקנה יכולת פיקוח וכל המשתמע מכך. סעיף 19 נועד לאפשר הכרה חד צדדית, ששוב הרעיון הוא להכיר בגורמים גדולים מחוץ לארץ, כדי למנוע חסמים בסחר עם גורמים מול גורמים גדולים, ולאפשר הכרה בגורמים מאשרים המקבילים בצורה מסוימת לאלה שבישראל; כשההנחה היא שיש מישהו שהרשם שלנו סומך עליו, שמפקח על אותם גורמים ובודק שהם מקיימים את אותן הוראות חוק. יכול להיות שהעניין יתפתח לכיוון של הסכמים בינלאומיים או הכרות הדדיות, ובשלב זה ההכרה תהיה מוגבלת, כפי שדובר קודם, לפי סעיף 19 - ושיקול הדעת של הרשם הוא מוגבל.

אין ערבויות כספיות במקרה הזה, שניתן לחלט אותן.

אין ערבויות; תהיה חלופה כלשהי.

אפשר גם לפתור את זה בזה שברוב המדינות דורשים
ביטוח. אזיי אפשר לפתור את זה, לעשות התאמה בין ישראל לבין שאר המדינות ולדרוש ביטוח במקום ערובה. כי ביטוח זה דבר טוב דייו. אפשר לקבוע את התנאים של הביטוח; אפשר שהרשם יראה את הביטוח. כל גורם מאשר שמכבד את עצמו, ושהוא באמת פועל בצורה הגיונית, יעשה ביטוח לעצמו, בלי קשר לדרישת החוק - כדי לכסות את עצמו; ולכן זה יכול לפתור את בעיית ההתאמה.

כתוב שהרישום יהיה פתוח בסעיף 19 לעיון הציבור,
ואני מציע שגם באתר האינטרנט של הרשם – כלומר,
לרבות באתר האינטרנט של הרשם.

בסדר.

אם כן, זה רק לגבי גורמים מאשרים מחוץ לארץ?

לא. זה לגבי הרשם. הרשם יצטרך להפעיל את
שירותיו.

הכוונה: לרבות באתר האינטרנט של הרשם.

באתר האינטרנט של הרשם - זאת אומרת שהרשם
יצטרך להקים אתר כזה.

עכשיו יש לו אתר.

סעיף 20 – "שר המשפטים רשאי לקבוע תנאים
מיוחדים להעברת מסרים אלקטרוניים אל רשויות המדינה או מהן, לרבות קביעת מיהות הגורם המאשר או קביעת תקנים לפעולתו…". או אז, העלינו את העניין - אם באמת שר המשפטים רשאי לקבוע מיהו הגורם שיספק שירותים; והועלו פה הסתייגויות לעניין: אם רוצים לתת לשר המשפטים לקבוע - ובכך לפגוע בתחרות.

מהו העניין של: "העברת מסרים אלקטרוניים"?
מה זה? מה פתאום הכנסתם את זה לכאן?

מה הבעיה?

זה סעיף ענק. האם אתם רוצים להחליט שכל
מסר אלקטרוני יקבע איך ומה? אנחנו בכלל דנים כאן בחוק חתימה אלקטרונית - האם אתם, בהזדמנות הזאת, רוצים ששר המשפטים יהיה האחראי על כל התעבורה בין המדינה בכל מסר אלקטרוני?

לא. מה פתאום?

אם אני שולח עכשיו מכתב אלקטרוני לפקיד ממשלה,
זה נכלל בתוך העניין. אינני יודע למה זה צריך
להיות פה.

אם הוא קבע שתכתובת השר תיעשה רק דרך תעודה
אלקטרונית פלונית…

אין זה שייך לתעודה. אנחנו איננו דנים כאן
בתעודה. אנחנו דנים במסרים אלקטרוניים.

לא. כאלה שחתומים בחתימה אלקטרונית.

אם כן, זה איננו כתוב פה.

זה צריך להיות קשור בחתימה.

מה זה "מיהות"?

הסעיף צריך להיות מוגבל למסרים אלקטרוניים
החתומים בחתימה אלקטרונית.

מה ההבדל בין "מיהות" ל"זהות"?

כמו שאומרים מהות שזה "מה הוא", שם העצם, כך
"מי הוא" זה "מיהות", וזה ישנו כבר בחקיקה.

ומה ההבדל בין "מיהות" ל"זהות"?

אין הבדל.

את המילים "לרבות קביעת מיהות…" אני
מציע למחוק. באיזה חוק כתוב ששר המשפטים יקבע ממי קונים נייר להדפסה? מה העניין כאן?

העניין הוא למשל שאם בעניינים ביטחוניים רגישים
או בעניינים שרוצים לתת אפשרות, הרי הרעיון הוא שהכל ייעשה על ידי גורמים פרטיים לחלוטין, ובדרך כלל המדינה לא תתערב - אם זה גורם מאשר וחתימה מאושרת, המדינה תקבל אותם. יכול להיות שבעניינים מאוד רגישים ירצו גורמים מאשרים מסוימים בלבד.

אלה דרישות נוספות…

שהם עומדים בדרישות יותר גבוהות...

מה זה שונה מכל פעילות אחרת של אותם גורמים
ביטחוניים?

מדוע לא ניתן מראש, אם המשטרה רוצה דוחות?

שר המשטרה יקבע.

הוא איננו יכול.

אני רוצה להביע את דעתי ולומר מדוע בעיניי הסעיף
הזה הוא מיותר. בסעיף הזה בעצם ניסו להגדיר איזה שהוא מקרה פרטי מסוים - ואני אגיד מדוע אין פה מקרה פרטי. קמה רשות מסוימת בישראל, כדוגמה נתנו פה משטרה… אומרים שהמשטרה פה רוצה לסמוך - מעוניינת לסמוך - על תעודות דיגיטליות שהונפקו אך ורק על ידי גורם X. המשטרה פה איננה שונה משום חברה אחרת, כי גם חברת IBM הגדולה תוכל ביום מן הימים להגיד שהיא סומכת אך ורק על ידי גורם Y. לכן גם אם זאת המשטרה, לדוגמה, גם היא יכולה להגיד בדיוק באותו אופן שחברה X אומרת שהיא סומכת אך ורק על הגורמים המסוימים האלה; גם גורם מסוים נוסף, כגון השלטון המקומי, יחליט שהוא סומך אך ורק על גורמים מסוימים. לכן בעצם זה סעיף שאמור לפרט איזה שהוא מקרה פרטי מסוים, שבעצם איננו קיים במציאות. זהו בעצם המקרה הכללי. אני מסכים לחלוטין עם יושב ראש הוועדה בעניין הזה. אין שום משמעות לסעיף הזה!

אני רוצה להעיר למשרד המשפטים שזה סעיף מיותר.
אם אנו הולכים למה שהצענו בדיונים הקודמים יותר מפעם אחת, והוא שאין יחסים אלקטרוניים בכפייה - וכאשר צדדים מסכימים להיקשר ביחסים אלקטרוניים, הם אלה שקובעים את הדרך ואת ההיקף של היחסים שיהיו ביניהם. זה חל גם על המדינה.

את ה:"לרבות" וה:"מיהות" אפשר למחוק.

אני אינני צריך את כל הסעיף הזה. נניח לרגע
אחד שמשרד הביטחון ירצה לקבל מסרים אלקטרוניים שמאומתים על ידי גורם מאשר כזה או אחר. הוא יוציא תקנות או הוראות או החלטות המנהל הכללי - הדברים המחייבים. יבוא מישהו ויגיד: יש כאן אפליה. השאלה תיבחן בבית המשפט - האם אפליה היא מן הדין או שלא מן הדין - כמו שהוא נוהג בעשרות תחומים אחרים, שבהם הוא רוכש מפלוני ולא מאלמוני, שהוא אומר לעובד שגר בבקעה-אל-גרבייה: אתה תוכל לעבוד אצלי; ולשכן שלו - לא תוכל לעבוד אצלי. זה איננו כתוב בשום חוק. אני חושב שזה צריך להיות המצב גם כאן.

יש שני היבטים. סעיף 20 נועד בעיקר לאותם מצבים
שבהם המדינה אינה משמשת כצד לחוזה בין שווים, כמו הדוגמה שהוזכרה כאן - שאז דיני החוזים הרגילים קובעים מהן ההסכמות בין הצדדים - אלא מדובר ביחסים של המדינה כרשות מול הפרט. באותן סיטואציות, אם נסתכל על סעיף 2, כל שנדרש לאותם מצבים שבהם מדובר במסמך שבו נדרשת חתימה הוא שתהיה זאת חתימה מאושרת. עם זאת, ייתכנו מצבים - כמו באותן דוגמאות ביטחוניות - שהמדינה תדרוש תנאים נוספים; לא רק שתהיה מאושרת על ידי גורם מסחרי העונה על דרישות בסיסיות כמו כולן, אלא דרישות נוספות, דרכי הגשה נוספות, דרכי גיבוי נוספות - דרישות נוספות, שמשרתות את המדינה כרשות ולא כצד מסחרי. לכן סעיף 20 נועד לאפשר באותן סיטואציות תנאים נוספים. אפשר לשנות את נוסח הסעיף, אולי להשמיט את הסיפא.

אינני בטוחה. אולי אפשרי ששר הביטחון, אחרי שיש
סעיף כזה בחקיקה הראשית, יוכל כל כך בקלות - בהנחיות פנימיות או בתקנות - להתנות את הזכות הזאת. בעצם - שניתן לעשות את הפעולה הזאת בחתימה מאושרת, וזה מה שזה בא לומר. למשל, אם המשטרה רוצה לקבל מסרים אלקטרוניים, שהיא תוכל לקבוע לה תנאים מעבר לזה שזאת "חתימה מאושרת רגילה" לפי סעיף 2. זה מה שזה בא לומר בעצם - ולא להתחבט אחר כך אם אנחנו חורגים מסמכות על ידי הנחיות פנימיות או לא; וגם שהאזרח יידע. אני חושבת שאם אזרח רוצה לפנות במסר אלקטרוני למשטרה, שהוא יידע מראש שהוא צריך לעשות את זה על ידי מאפיינים מסוימים של החתימה.

מה הוא צריך לדעת? הוא צריך לדעת שהפניה שלו
צריכה להיות חתומה בחתימה אלקטרונית המאושרת על ידי גורם מאשר, שהמדינה מוכנה להכיר בו כגורם מאשר לצורך העניין.

זה סעיף 20. בגלל שהזכות היא בחקיקה ראשית,
חשבנו שעדיף פה לעשות זאת בצורה ברורה גם בחקיקה ראשית. ולא - אלה יכולות להיות הנחיות או תקנות מול חקיקה ראשית.

הרשם יכול לרשום: "כל הציבור". זאת הבעיה
שלו אם הוא יסתמך על זה. האם רק דמו של השלטון
יותר אדום?

אבל הציבור יכול להסכים או שלא להסכים.

את זה לא היית מוכנה לתת לנו.

לא. אבל כאשר המדינה עושה חוזה, אינני מודאגת.

לא חוזה; לא בדיני החוזים.

אני אינני מודאגת ממנה.

כשלטון. אם המדינה אומרת שתעודה מסוימת של
גורם מאשר שנרשם הוכרה על ידי הרשם של השלטון, זה מהימן כדי שכל הציבור יסתמך עליה; אך אני, כשלטון, רוצה משהו יותר טוב.

מס הכנסה או מקומות כאלה.

כלומר, אם תעודה מסוימת אינה די טובה בשבילי
כאזרח - אולי צריך לבטל את האישור של
הגורם המאשר.

לא. יש הרי דרגות שונות.

אתם יוצרים שתי דרגות של גורמים מאשרים - אמין
על המדינה; ואמין ליתר הציבור. אין זה תקין.

זה תקין מאוד. ברגע שמדובר בפעולה שלטונית
לעומת שני צדדים שיכולים להסכים…

האם המדינה איננה יכולה שלא להסכים לקבל
מסרים אלקטרוניים בחתימה דיגיטלית?

מסעיף 2 משתמע כך.

האם היא חייבת לקבל את זה?

אני חושבת שלא. לפי סעיף 2 זה יכול להשתמע.

אני מסכים. אם את קובעת כאן שהמדינה תהיה
חייבת לקבל - מה שאת לא קבעת עד עכשיו - אבל אם את קובעת את זה, אני מוכן להסכים שזה יהיה בכפוף לכך שהגורם המאשר יאושר על ידי המדינה. אבל אז היא תהיה חייבת לקבל את המסרים ולא תוכל להגיד: לא. מה דעתך על העסקה הזאת?

זה יוצא לא רחוק ממה שמשתמע היום מהחוק, אבל
זה מחמיר, משום שאנו איננו יודעים שהם ערוכים
ושהם יכולים.

אני מציע לך אחת משתי האפשרויות. אני חושב שזה
הוגן למדיי, ואתם תחליטו.

אל תעשה לנו "גלובלי".

אני עושה לכם כך כי זה בגדר ההגיון. אינכם
יכולים ליהנות משני העולמות - גם לשנות את מצבכם בטענה שאתם שונים מכלל האזרחים, כי אתם מחוייבים לקבל את המסרים החתומים והמאושרים, וגם – מן הצד האחר - אחר כך להגיד שאתם בעצם אינכם מוכנים לקבל על עצמכם את החובה הזאת. אני מציע לכם אחת משתי החלופות: או שייאמר במפורש בחוק שהמדינה חייבת לקבל כל מסר אלקטרוני חתום בחתימה מאומתת, ובצד האחר של הקביעה הנורמטיבית הזאת אנחנו גם נקבע שתהיה רשות למדינה לקבוע רשימה מיוחדת של גורמים מאשרים שהעברת המסרים דרכם תהפוך את המדינה לחייבת לקבל אותם; או לחילופין - שאנחנו אומרים שהמדינה, כמו גורמים מסחריים ופרטיים אחרים, לא בהכרח חייבת לקבל יוזמה של אזרח לפנות אליה במסר אלקטרוני חתום ומאומת. ואם היא איננה חייבת לקבל את המסר של האזרח, כי אז כמובן שאין טעם גם להגביל את זהותם של הגורמים המאשרים שבאמצעותם האזרח יכול לפנות אל הממשלה.

התוצאה יכולה להיות לא רצויה, משום שאם
המדינה תחשוש שבעצם אין לה הסמכות לקבוע לעצמה את ההנחיות, כי אז היא פשוט לא תכיר במסרים אלקטרוניים חתומים, למרות שתיאורטית היא הייתה יכולה להכיר, אם היה עוד דבר מה המבטיח את זה יותר. לכן, לדעתי, התוצאה יכולה להיות נסיגה לצד של הבטוח והשמרני יותר, במקום לאפשר את הגמישות הזאת.

מדוע?

משום שאם ישאלו אותי מס הכנסה, המשטרה,

אם אני צריך להסתפק בעניין הזה, אזיי אילו הייתי עושה עסקה מסחרית "בסדר", לא הייתה לי בעיה. אם זה עניין שאחר כך נסגר בחוק, יש לו תוצאות אחרות, אזיי אינני מסתכן בזה. שיפנו אליי כמו שרגילים לפנות.

אני מציע לכם אפשרות.

לא. אבל מה זה: החובה לקבל? המשרדים אינם
ערוכים, אינם יכולים, אינם בטוחים - איזו מין חובה כזאת אני מביאה לעולם מבלי שאני יודעת שמישהו יכול לקיים אותה? לכן אם נמחק את זה, לדעתי אנחנו שולחים את המשרדים היותר רגישים לדרך הפעילות השמרנית ולא לדרך של לנסות "למתוח" את עצמם לקבל את המסר עם איזו שהיא תוספת של בטיחות - שבסופו של דבר זה לטובת האזרח שהדברים יותר אמינים. אם אתה עומד על זה, אזיי אנחנו נמחק.

אני מוכן להציע לכם הצעה נוספת שלישית, שייאמר
שהמדינה תהיה רשאית לקבוע כללים או לקבוע רשימה של גורמים מאשרים שבאמצעותם ניתן יהיה להעביר מסרים אלקטרוניים חתומים ומאומתים.

הרעיון הוא שזה לא בהכרח גורם מאשר. יכול להיות
לפעמים תנאי חיצוני שאתה תדרוש - הגורם
המאשר פלוס עוד איזה תנאי מיוחד.

לא. אני מדבר כרגע על עניין הזהות.

אנחנו נשמיט את הזהות, ונקשר את זה לחתומים.

אם כך, אני מוכן: "תנאים מיוחדים להעברת
אמצעים אלקטרוניים אל רשויות המדינה ומהן…".

"החתומה חתימה מאומתת…"

אבל אני מעוניין בכל אופן להכניס באיזו שהיא צורה
שיהיה ברור שהמסר הוא שאנחנו מדברים על עיקרון של משק חופשי ושל משק פרטי - ולא של גורם ממשלתי, שהוא יעשה בסוף את הכל.

לא. זה לא יהיה. אנחנו כבר נערכים אחרת.

דווקא לצד המעשי של העניין - גורם אזרחי שפועל
בשוק יכול לקבוע לעצמו שהוא בעצם נערך לעבודה מול גורם מאשר אחד או שניים ולהגיד: אני אינני עושה שום עסקה מסחרית מול מי שלא נערכתי מולו; והוא מכתיב לצד האחר, מה שאיננו חל לדעתי על רשות ממשלתית או על רשות ציבורית, כי בעצם קיים חוק המכרזים.

זה קובע רק את הרשימה של הספקים.

יפה. אזיי זה אומר שצריך אולי לעגן זאת בצורה
החד משמעית, בצורה החיובית - להגיד שבעצם משרד ממשלתי יוכל לקבוע דרך כל מכרז את התנאים; ולקבוע 2-3 גורמים מאשרים שהוא עובד מולם, אבל לאפשר לו - ולא לחייב משרד ממשלתי להיערך כך עכשיו מול כל גורם שיקום בשוק.

הבה נתסכל על הצד המעשי. הרי החתימה יכולה
לבוא מאזרח הרוצה לשלוח טופס או דוח. האזרח מפיק את התעודה, ויש לו גורם מאשר שהוא עבד איתו בשוק. כאן אתה אומר לו: עצור - אתה פונה לממשלה.

אבל מן הצד האחר, אתה מחייב עכשיו את הממשלה
לפעול מול כל הגורמים המאשרים להיערך לעבודה. ברגע שקם גורם מאשר מסוים, עוד גורם ועוד גורם מאשר - אתה מחייב לעבוד מול כולם.

נכון.

ואני אינני יודע עד כמה זה אפשרי מבחינה מעשית.

הגורם המאשר שעובר פיקוח - יכול להיות שצריך
לתת שם אילו שהן דרישות.

אני אינני יודע מה משמעות הדבר.

גם היום אינכם עובדים מול כולם. אתם עושים
לכם את החברות.

על פי חוק המכרזים, יש למדינה הזכות לעשות
מכרז. יש למדינה הזכות לעשות מכרז כזה.

הבעיה איננה המכרז. הבעיה היא שמשרד הביטחון
יכול להגיד מחר, או ירצה להגיד מחר: אני מבקש שכדי שאני אהיה מחוייב, זה יעבור דרך גורם מאשר שיש לו כישורים מיוחדים או העושה בדיקות ביטחוניות לעובדיו. השאלה אם זה יהיה בסדר או לא יהיה בסדר. אני מוכן לאפשר את האופציה הזאת, אבל אינני מוכן שבשם הביטחון, כמו שהרבה פעמים קורה במדינה הזאת, "חונקים" כל מיני דברים, ואז יהיה מצב ששר המשפטים ייקח את הסעיף ויגיד משהו, ובסופו של דבר ייתן - או לגורם אחד בלבד לגבי הפעילות של הממשלה; או שהממשלה תקים בסוף בעצמה, והיא תהיה הגורם המאשר ותעשה זאת.

אינני מדבר דווקא על הצד הביטחוני. אני מדבר
על הצד המעשי של ההיערכות. לי אין ברור עדיין מהי המשמעות של ההיערכות הנדרשת לעבוד מול גורם מאשר. יכול להיות שמול כל גורם מאשר צריך עכשיו להיערך היערכות נפרדת ומיוחדת, כדי לדעת לעבוד מולו.

יש כאן היבטים ביטחוניים.

אני אינני מדבר כלל על היבטים ביטחוניים.

אזיי היבטים אחרים אין. היבטים אחרים איני
רואה.

אני מדבר על היבטים של היערכות, על היבטים
של היערכות שאינני בטוח שהם ישימים מבחינת
ה"גזירה שהציבור יכול לעמוד בה".

צריכים חתימות אלקטרוניות. אם אינך ערוך
כלפי גורמים חיצוניים…

אני, לא ברור לי שמול כל הגורמים החיצוניים זאת
אותה היערכות. יכול להיות שמול כל גורם מאשר צריך היערכות אחרת, כי אנו מדברים על מערכות ממוחשבות שמדברות זו עם זו. או אז, יכול להיות שעכשיו מול כל גורם מאשר צריך היערכות נפרדת. הבה נצא מהנחה שמחר קמים 1,500 גופים מאשרים. מחר, משמעו שמשרד ממשלתי או כל גורם שמחוייב לעבוד מול כולם - עכשיו צריך להיערך – אין זה בטוח שהוא בכלל יכול לעמוד בזה.

מה הבעיה של משרד ממשלתי, שהוא מקבל מסמך
חתום בחתימה אלקטרונית מאומתת - למה הוא
צריך להיערך?

אני אינני יודע מה משמעות הדבר. אינני יודע מה
המשמעות הטכנית של היערכות מול גורם
מאשר. אין זה ברור לי.

מה זה להיערך?

שהמחשב שלי יידע לקבל את המסר של המחשב שלו.

אין זה שייך.

הרי כך זה פועל.

נשאלה פה השאלה: מה המשמעות של צד מסוים -
זה איננו חייב להיות ארגון ביטחוני - של צד מסוים לעבוד מול גורם מאשר? זה מה שנאמר. השאלה שבעצם נשאלה היא מה המשמעות - איך אני מאמת תעודה של גורם מאשר? זה באופן הבא: גורם מאשר - כל גורם מאשר - חותם על תעודה דיגיטלית עם המפתח הפרטי שלו. זאת אומרת, תעודה דיגיטלית הונפקה על ידי גורם מאשר מסוים, נחתמה על ידי אותו גורם מאשר, וכל שעליי לעשות זה להחזיק את המפתח הציבורי של אותו גורם מאשר.

אבל זאת טכניקה אחת. יכולה להיות גם טכניקה
אחרת.

או בקיצור "קליק" אחד בדפדפן שלי היום, ואני
סומך על גורם מאשר חדש. אין שום היערכות.
אין צורך בשום היערכות מיוחדת.

זה איננו נכון.

אינני בטוח שאתה צודק. זה בטכנולוגיה אחת. מחר
תהיה טכנולוגיה אחרת, ואתה תחייב כל משרד ממשלתי להיערך ב"אפס זמן" לטכנולוגיה אחרת שאינך יודע כלל מהי.

הטכנולוגיה הידועה היום מאפשרת לנו לנהוג כך.
בסופו של דבר, התקנות יתירו לרשם גם לגשת לבדיקות טכנולוגיות שלא יאפשרו דברים כאלה, או שיקשו עליהם. אני אינני יודע אם אנחנו כרגע יכולים לחשוב על כל התפתחות אפשרית ובגלל זה לחסום את ההליך, שהוא כל כך פשוט. אתה אומר: מה יהיה אם אצטרך לעשות היערכות? אבל אינך יודע עדיין מתי, איך ומה. אני אינני יודע מדוע אנחנו צריכים להיכנס לעניין הזה עכשיו, כבר בשלב הנוכחי.


מאחר שאנחנו מתקרבים לשעת הסיום, והסוגייה הזאת תהיה אחת הסוגיות שנצטרך להקדיש לה עוד זמן, ומאחר שממילא משרד המשפטים כבר מוכן לשנות או לשפר את הניסוח, יחשבו על סמך ההערות שהושמעו כאן - ונביא את זה לפעם הבאה. עכשיו ננצל את הזמן להקריא את סעיפים 21, 22, 23 כדי שנוכל לסיים את קריאת החוק. אני רוצה להקריא את הסעיפים ורוצה גם להקדיש מספר דקות לעניין משרד הבריאות. משרד הבריאות, יש לכם אילן שהן השגות מיוחדות?

יש לנו הרבה הערות, אבל אני אצטמצם.

אני מבקש שתעבירו אותן.

עם כל הכבוד - היה תזכיר; היו דברים.

משרד הבריאות, כבעלים של כל בתי החולים
הממשלתיים וכמכתיב נהלים לבתי החולים האחרים, עובד על תהליך של מחשוב של כל עניין הרשומות הרפואיות והדיווח בתוך מערכת הבריאות למשרד הבריאות, והרבה מאוד דברים שפועלים בתוך המערכת של משרד הבריאות, נדרשת עליהם חתימה, אם מכוח חיקוק או מכוח הנהלים שלנו. אנחנו שואלים את עצמנו אם גם חתימות שעוברות בתוך המערכת יצטרכו לשאת את התעודה שמאשרת אותן, ובמה זה כרוך מבחינת היערכות, כי תהליך המחשוב נמצא כבר בשלבים די מתקדמים.


אנו העברנו בזמנו הערות למשרד המשפטים - יכול
להיות שהן לא התקבלו או לא הגיעו - אבל הן יותר
שאלות מאשר הערות.

מה ההשגות שלכם כרגע לגבי החוק? יש הצעה
לעוד תיקונים? אתה יכול להגיד לי: בסעיף זה אני רוצה לשנות את זה. בסעיף זה אני רוצה לשנות את ההוא.

מדוע משרד הבריאות התעורר? מה קרה?

אני אינני יודע על התעוררות מאוחרת של
משרד הבריאות. אנחנו העברנו את כל השדות.

האם אתה רוצה להגיד לנו עכשיו מה השינויים
שאתם מציעים, או שאתה רוצה שבישיבה הבאה?

בסעיף 1 רצינו להוסיף בנוסף ל:"תוכנה אוכפת
מידע…", רצינו להוסיף גם עניין של מנגנון
זיהוי ביומטרי.

אינני בא עכשיו לדון איתך על כל החוק מתחילתו.
האם יש בעיות ספציפיות של משרד הבריאות, שנוגעות לחקיקה בעניין מרשמים, תעודות רופא, תעודות פטירה וכוליה, האם יש לכם איזו שהיא בעיה, ויש לכם הצעה קונקרטית - שאם אנחנו נשנה, הבעיה הזאת תיפתר?

באמת דיברתם עכשיו על העניין של אם המדינה
חייבת או איננה חייבת לקבל חתימה אלקטרונית.

ספציפית למשרד הבריאות.

למשל, אם אפשר למשל להוציא מרשם החתום
בחתימה אלקטרונית? האם בית מרקחת חייב לקבל אותו? האם בית מרקחת יכול לומר: אני איני מקבל מרשמים עם חתימה אלקטרונית?

אחרי החוק הזה, הוא יהיה חייב לקבל.

או אז, זאת באמת השאלה אם כאשר יש דרישה
לחתימה בחיקוק - לפני רגע אמרנו שהחוק אינו
מחייב. הדבר הזה איננו ברור.

הוא איננו חייב לכבד גם אם זה חתום בחתימת כתב
יד. זה איננו משנה. אבל הדין של החתימה האלקטרונית יהיה כדינה של חתימה - זה הכל. הוא איננו חייב בשום דבר אחר.

אני אינני רואה מצב שבו אדם מגיע לבית מרקחת
עם מרשם החתום על ידי רופא, ואומרים לו: את זה
אין אנו מכבדים.

תארי לעצמך שהוא איננו ממוחשב. אזיי, מה הוא
יעשה? האם הוא חייב לקבל?

כמו שאני רואה היום את סעיף 2, אינני בטוחה
שמשתמע ממנו שזה איננו חובה.

אני רוצה להבין את הבעיה שלכם. הבעיה שלך
היא לגבי החיוב. אנחנו אומרים: דינה של חתימה אלקטרונית יהיה כדינה של חתימה ידנית. כלומר, אם הוא היה חייב בחתימה ידנית לקבל, הוא יהיה חייב גם בחתימה אלקטרונית. אינו חייב בחתימה ידנית - איננו חייב בחתימה אלקטרונית. אנחנו איננו מתייחסים לדברים מעבר לכך.

סעיף 21 – "ביצוע ותקנות – שר המשפטים ממונה על
ביצוע חוק זה, והוא רשאי להתקין תקנות

1. אגרות עבור הרישום במרשם והעיון בו

2. הוראות לעניין הערבות הבנקאית, הערובה והביטוח, לרבות סוג הערובה וסכומיה, דרכי הפקדתה וחילוטה, לפי סעיפים 8 ו14-

3. סוגי מערכות אשר חזקה עליהן שהן מערכות חומרה ותוכנה מהימנות לפי סעיפים 8, 14 ו15-, לרבות סוגי חתימה אלקטרונית מאובטחת, אותם רשאי הגורם המאשר לאמת

4. הוראות לעניין, סוג ואופן ההגבלה על פעילותו של הגורם המאשר וקביעת תנאים לרישומו לפי סעיף 5

5. תנאים לאימות חתימה לצורך קבלת תעודה אלקטרונית לפי סעיף 15

6. הוראות לעניין ניהול מאגרים של תעודות אלקטרוניות תקפות ותעודות אלקטרוניות בטלות, לרבות לעניין אופן העיון בהן, משך החזקתן של תעודות אלקטרוניות במאגר ודרכי שמירתן לפי סעיפים 15 ו17-

7. פרטים הדרושים בבקשה לקבלת תעודה אלקטרונית לפי סעיף 15

8. פירוט מידע שהגורם המאשר ימסור לבעל אמצעי חתימה, לרבות בדבר הסיכונים הכרוכים בשימוש בחתימה אלקטרונית מאושרת והחובות המוטלות על בעל אמצעי החתימה לפי חוק זה".

אני מבקש שיהיה כתוב: "באישור ועדת כנסת".

השאלה אם אתה רוצה את הדברים הטכניים.
עקרונית אין לי בעיה שזה עובר, אבל אתה יודע שיש
דברים ממש טכניים.

כאן זה עולם ומלואו. בתקנות האלה כלול כל החוק.

אני מבקשת להעיר לעניין סעיפים קטנים 3 ו4-,
לעניין התוספת האחרונה שנעשתה בהם, שאלה הסעיפים המודגשים. הסיפא של סעיף 3, המתחילה במילים "לרבות סוגי חתימה אלקטרונית", הסיפא הזאת למעשה מרוקנת מתוכן את סעיף ההגדרות. ישבנו כאן, ודנו, ונקבע בדיוק מהי חתימה אלקטרונית מאובטחת, ומהן אמות המידה - או מה התנאים שצריכים להתמלא - כדי שחתימה מסוימת תוכר כחתימה אלקטרונית מאובטחת.

ולכן את רוצה למחוק?

כן, ולהכניס את זה כרגע זה גם לרוקן מתוכן את
סעיף ההגדרות ולתת לשר אפשרות לעשות משהו שכבר נעשה בחוק; וזה גם למעשה יגביל בצורה מאוד רצינית את הגורם המאשר, כי בסך הכל מבחינה ראייתית אין הרבה הבדל בין חתימה מאובטחת לחתימה מאומתת, וייווצר מצב שבו לגבי חתימה מאומתת יגבילו את האפשרות של הגורם המאשר להשתמש בחתימות מאובטחות, דבר שיכול להגביל באופן משמעותי את פעילותו.

מדוע?

אם השר יבוא ויקבע ש4- אמות המידה של חתימה
מאובטחת, אין בהן די, והוא רוצה לקבוע עוד
תנאים…

הסעיף הזה הוכנס בעקבות דיון בוועדה, שבו רצו
להגן על הוודאות של הצרכנים, בבואם להשתמש בחתימה אלקטרונית מאובטחת מאומתת. טרם הוכרע אם הרשימה תשמש רק את הגורמים המאשרים, או שתהא זאת רשימה כללית של חתימות אלקטרונית מאובטחות. החזקה היא כי כל טכנולוגיה המופיעה ברשימה זו, חזקה עליה שהיא מאובטחת, ולכן גם הגורם המאשר יכול להסתמך עליה ככזאת.

אין זאת חובתו של הגורם המאשר
לאפשר רק את אלה, אלא זו רשות. כלומר -
זאת פריבילגיה.

הוועדה הייתה מוטרדת איך מישהו מהציבור יידע
שחתימה היא מאובטחת, ואז נתבקשנו בעצם
שיידעו.

העורכת דין חנה אזולאי, אחת הבעיות שלנו
הייתה, שלא קבענו סטנדרטים בחקיקה, ואמרנו שהכל צריך להיות גמיש. אזיי כמובן שהגדרה היא גמישה, ולכן אי אפשר לעגן אותה, ולכן כל מה שלא נעשה בעצם ירוקן מתוכן את סעיף ההגדרות. אנחנו מעוניינים לרוקן מתוכן את סעיף ההגדרות.

עם אפשרות לשנות ולהוסיף לאותה הרשימה, אבל
צריכה להיות רשימה; ואני גם חושבת שמוסכם שיש מעט טכנולוגיות היום שאפשר לסופרן ולהגדיר אותן.

היום זה ברור.

לכן בתקנות אפשר יהיה להוסיף בעתיד, אבל
הרשימה צריכה להיות מוגדרת לכל רגע נתון. אין זה צריך לעורר מבחינתכם בעיה, כי אין מדובר פה באין סוף טכנולוגיות.

סעיף 22 "שמירת דינים – הוראות חוק זה באות
להוסיף על הוראות כל דין ולא לגרוע מהן…".

אין הערה על זה. נכון?

סעיף 23 "תחילתו של חוק זה שישה חודשים מיום
פרסומו".

למה 6 חודשים?

כי צריך רשם; צריך להיערך; צריך גורמים
מאשרים; צריך לקבוע תקנות - יש המון עבודה.

כדאי שיתחילו "לזוז" עם זה.

אנחנו זזים. בצרפת עדיין אין עד היום.

מדוע אין?

אין להם עדיין חקיקה בחתימה אלקטרונית.

תודה רבה, ונתראה ביום ראשון בשבוע הבא.






הישיבה ננעלה בשעה 12:30