1. תקנות חתימה אלקטרונית (רישום גורם מאשר וניהולו)




76
ועדת החוקה חוק ומשפט
4.9.2001

פרוטוקולים/ועדת חוקה/3760
ירושלים, ז' בתשרי, תשס"ב
24 בספטמבר, 2001

הכנסת החמש-עשרה נוסח לא מתוקן
מושב שלישי
פרוטוקול מס' 356
מישיבת ועדת החוקה, חוק ומשפט
יום שלישי, ט"ז באלול התשס"א (4 בספטמבר 2001), שעה 10:00
נכחו: חברי הוועדה: אליעזר כהן - היו"ר
מיכאל איתן

עו"ד טנה שפניץ - משנה ליועמ"ש, משרד המשפטים
ליהי פלדמן - משרד המשפטים
עמית אשכנזי - משרד המשפטים
לימור ברוכים - משרד המשפטים
יריב שישינסקי - משרד המשפטים
עדנה הראל - יועמ"ש, משרד המדע
בועז דולב - משרד האוצר
מיכל דויטש - נציבות מס הכנסה
עו"ד יעל ייטב - נציבות מס הכנסה
עופר ישי - יועץ מקצועי לסגן מנהל מינהל האוכלוסין,
משרד הפנים ונציג משרד האוצר
עו"ד עדי מלמד - פרקליטות צבאית, משרד הביטחון
צבי אילן - בנק לאומי
אבי שוורץ - בנק לאומי
עו"ד ורדה לוסטהויז - משנה ליועמ"ש, בנק ישראל
מוטי פיין - ממונה על תחום יחסי בנק לקוח, בנק ישראל
גבי גרינשטיין - הבנק הבינלאומי הראשון
עו"ד אמיר שרף - סגן היועץ המשפטי, הרשות לניירות ערך
עו"ד מוטי ימין - הרשות לניירות ערך
אבי פרידמן - מנכ"ל לשכת רואי חשבון בישראל
עו"ד ירון הרמן - יועמ"ש, לשכת רואי חשבון בישראל
אלכס וירין - לשכת רואי חשבון בישראל
יוסי אבני - חברת ANC
זאב שטח - מנכ"ל קומדע בע"מ
עו"ד חנה אזולאי - קומדע
רוני בס - איגוד האינטרנט הישראלי
אסתר סקורניק - איגוד האינטרנט הישראלי
דורון שקמוני - איגוד האינטרנט הישראלי
עופר עגור - רכז תקינה במכון התקנים
דוד גוטמן - מכון התקנים
דוד סומר - מנהל שיווק תוכנה במכון התקנים
יהושע פרייס - מהנדס במכון התקנים
מייק סטון - חברת ארטנט
איתמר היים - חברת XOR, נציג איגוד בתי התוכנה
צבי גם - חברת אוקטון
אילן יפה - חברת אוקטון
רון כהן - חברת אקספרט טוסטד סיסטם
עו"ד יורם הכהן - סמנכ"ל סקיורינט
אבי נגר - מנכ"ל סקיורינט
משה שחר - מנהל פיתוח עסקי בחברת קומקס
עו"ד ויויאן גרוטברג - שירותי בריאות כללית
חדוה גרוס - ישראכרט
ענת ורונסקי - ישראכרט
יורם ביטון -

שלמה שהם קצרנית: תמר מרימוביץ

1. תקנות חתימה אלקטרונית (רישום גורם מאשר וניהולו), התשס"א-2001.
2. צו חתימה אלקטרונית (קביעת תוספות לחוק), התשס"א-2001 – אישור הצו
והתקנות.

1. תקנות חתימה אלקטרונית (רישום גורם מאשר וניהולו), התשס"א-2001
2. צו חתימה אלקטרונית (קביעת תוספות לחוק), התשס"א-2001 – אישור הצו והתקנות

אני פותח את הישיבה. סיכמתי עם חבר-הכנסת מיכאל איתן, שביצע את כל העבודה ומכיר את כל פרטי הפרטים, שנקרא את הנייר, נתקדם וננצל את הזמן, עד שחבר-הכנסת איתן יגיע לישיבה, כי הוא תקוע בפקק. אם ניתקל באי הסכמה, אני אסמן אותה ונמשיך הלאה, וכשחבר-הכנסת איתן יגיע, נחזור לנקודות שסימנתי.

ניתן לכולם להתבטא, כולל אלה ששלחו את הפקסים אתמול בלילה. הנושא הוא רגיש מאד מכדי שלא נתייחס לפרט הקטן ביותר. אנחנו נקשיב לכולם, ונקבל את כל ההערות. גם חבר-הכנסת איתן וגם אני תמימי דעים בעניין הזה, ולפיכך לא נשחק בלחץ זמנים. מי שלא יהיה לו זמן וזה לא יתאים לו, נשחרר אותו. הנושא הוא תקנות חתימה אלקטרונית. אנחנו נקרא את התקנות. מי שיש לו הסתייגות, יצביע בבקשה, נעצור את הקריאה, נסמן את ההסתייגות ונמשיך הלאה.

אנחנו מתחילים בהגדרות: "1. בתקנות אלה –

"מבקש" – כמשמעותו בסעיף 18(א) לחוק;
"מסמך נהלים" – הוראות נוהל שלפיהן פועל גורם מאשר, הערוכות על-פי מסמך RFC
2527;
" ת"י" – תקן ישראלי כמשמעותו בחוק התקנים, התשי"ג-1953;
" RFC" – סדרת מסמכים מוכרים של צוות המשימה להנדסת האינטרנט (IETF).

בקשה לרישום

בקשת רישום 2. גורם המבקש להירשם כגורם מאשר יגיש לאישור הרשם בקשה בכתב

(1) עותק של מסמך נהלים שעל פיו הוא פועל;
(2) תעודת בדיקה בדבר התאמה לת"י 7799 חלקים 1 ו-2;
(3) אישור חתום בידי רואה חשבון כי מבקש הרישום מקיים את הוראות פרק ג' לעניין ערובה וביטוח;
(4) אישור על רישום בפנקס מאגרי המידע לפי חוק הגנת הפרטיות, התשמ"א-1981.
(5) הסכמה בכתב לכך שהרשם יקבל, בכל עת ולפי דרישתו, פרטים על מבקש הרישום ועל מי שמועמד להיות מנהל בגורם המאשר, מן המרשם הפלילי, על פי חוק המרשם הפלילי ותקנת השבים, התשמ"א-1981;
(6) קבלה על תשלום אגרת הרישום, כמפורט בתקנה 20;
(7) חוות דעת של מבקר בדבר התאמת מערכות המידע, מערכות הבקרה ואמצעי הבקרה של מבקש הרישום לתקני ביקורת מקובלים; על המבקר יחולו הוראות סעיפים 4, 9 ו-10 לחוק הביקורת הפנימית, התשנ"ב-1992, בשינויים המחויבים;
בסעיף זה – "מבקר" – מי שמקיים את הוראות סעיף 3(א) לחוק
הביקורת הפנימית, התשנ"ב-1992, והוא בעל מומחיות בתחום
ביקורת מערכות מידע או אבטחת מערכות מידע, להנחת דעתו של
הרשם".

אני מתייחס לתקנה 2 המוצעת, ואני רוצה להתחיל בסעיף (7). אנחנו סבורים שההפניה הגורפת בהגדרה של מבקר בחוק הביקורת הפנימית להחלה של הוראות מסוימות מחוק הביקורת הפנימית היא לא רצויה, מכיוון שהיא יוצרת יותר מדי ספציפיקציה לא נחוצה לדרישות שמתייחסות לניסיון בביקורת פנימית. אנחנו חושבים שצריך להסתפק בדרישות הכשירות הבסיסיות, ואת הניסיון לקבוע או בתקנות או באמצעות שיקול דעת של רשם הגורמים המאשרים.

אתם רוצים רואה חשבון מבקר גם כן?

אנחנו סבורים שרואי החשבון הם אחד הגורמים שיוכלו להיות גורמים מאשרים, מכיוון שרואי החשבון הם בעלי תקינה - גם ישראלית וגם על בסיס תקינה בינלאומית של ארגונים של רואי חשבון - מאד נרחבת בתחום מאגרי המידע, בין בביקורת חשבונאית באבטחת מערכות מידע ובין בתקינה באמצעות ההתאחדות של לשכות רואי החשבון בארצות-הברית ובקנדה שהקימו את ה-WEBTRUST, שהוא היום הגורם המוביל בעולם בתחום של ביקורת על אתרי אינטרנט והדרישות, כולל: הדרישות החשבונאיות, הדרישות האיכותיות, הדרישות המערכתיות, מבחינת החומרה, התוכנה ואבטחת המידע באותם אתרים.

היום הצטרפו לפעילות הזאת, לפי הסטנדרטים של ה-WEBTRUST, 22 מדינות ברחבי העולם, כולל ארצות-הברית ורבות מהמדינות המובילות באירופה. אנחנו העברנו לוועדה חומר, ואנחנו מוכנים להעביר חומר נוסף על הסטנדרטים.

בסטנדרטיזציה של ה-WEBTRUST היום משתמשות חברות מהמובילות בעולם, הן חברות וגופים פיננסים והן חברות מחשבים. לאחרונה הודיעה גם חברת "מיקרוסופט", שהיא מאמצת את הסטנדרטים שקבע ארגון ה-WEBTRUST. בנוסף לכך, כשנשיא ארצות-הברית לשעבר, ביל קלינטון, דיווח על החקיקה בתחום הטכנולוגיה והחתימה הדיגיטלית, הוא בהחלט הביא כדוגמה את הסטנדרטים של ה-WEBTRUST כסטנדרטים מתאימים וראויים, והשיטה האמריקאית והטכנולוגיה האמריקאית אימצה את הסטנדרטים האלה.

יש לנו הצעה חלופית.

אנחנו נעשה את זה עם חבר-הכנסת איתן, כשהוא יגיע.

האם המבקרים הפנימיים נמצאים פה?

לא, הם לא היו מעורבים.

ירון הרמן, ההערה מובנת, רשמנו אותה, ונדון בה בהמשך.

אני מדבר עכשיו בשם משרד האוצר. אנחנו מבקשים להוסיף תת סעיף נוסף, שיחייב את הגורם המאשר לעמוד בתקן ISO 9000, כלומר: להוסיף תת סעיף (8), שיאמר שבעת הבקשה הגורם המאשר ימסור העתק מההסמכה שלו לתקן ISO 9000. התקן הזה מדבר על נושא של אבטחת איכות בפעולת הארגון והחברה, ומאחר שמדובר במערכות מחשוב די מורכבות, חשוב לנו שנושא האיכות יקבל את הביטוי שלו.

אני רוצה לומר משהו לגבי תקן ISO 9000.

אנחנו נפתח מחדש את ההערות האלה, כשיגיע חבר-הכנסת מיכאל איתן. הוא פשוט מומחה בנושא.

"פרסום 3. (א) מיד לאחר רישום מבקש הרישום במרשם, יפרסם הרשם את רישומו
רישומו של באתר אינטרנט שישמש לכך, וכן בשני עיתונים יומיים נפוצים.
גורם מאשר (ב) ביטל הרשם רישום של גורם מאשר, לפי סעיף 14 לחוק, או התלה את
וביטולו תוקפו לפי סעיף האמור, יפרסם הודעה על כך בדרך האמורה בתקנת משנה
(א).

דיווח תקופתי 4. גורם מאשר יגיש לרשם, אחת לשנה מיום רישומו, את המסמכים הבאים:
(1) מסמכים המעידים על עמידה בבדיקות תקופתיות על פי ת"י 7799;
(2) אישור החתום בידי רואה חשבון, המעיד על קיום ערבות, ביטוח או ערובה אחרת, ועל סכומיהם ותנאיהם, כנדרש לפי פרק ג';
(3) חוות דעת של מבקר המבוססת על ביצוע ביקורת על גורם מאשר.

שמירת 5. הרשם יותיר בידיו העתק של כל המסמכים שקיבל לצורך רישום גורם
עותקים מאשר, ויחזיקם למשך 25 שנים לפחות."

בשבוע שעבר הערתי פה, שיש פה שני סעיפים של תקנות, שיש מידה של חפיפה ביניהם, למשל: אם אנחנו מסתכלים על תקנה 2 ועל הדרישות מגורם המבקש להירשם כגורם מאשר, ואנחנו קוראים את כל הסט שמופיע שם. תקנה 2 בתקנות משבוע שעבר, גם דורשת דרישה מסוימת, שהיא בעצם חלקית לתקנות האלה. נוצר איזשהו בלבול מסוים. אני חושב שהיה טוב, אם אפשר היה – למרות שזה כפוף לשתי ועדות שונות של הכנסת – לאחד את כל התקנות לסט אחד מסודר ללא סתירות.

זאת הערה טכנית.

זאת הערה טכנית, והתשובה היא גם טכנית – טכנית, אי אפשר. יש סמכויות שונות לוועדות השונות, ואי אפשר לאחד אותן.

למרות הסמכויות השונות, זה עדיין אולי יכול להיות באותו קודקס.

אפשר וצריך.

אני גם חושבת כך, אבל אולי צריך תיקון חקיקה, כדי שנוכל לעשות את זה.

בעצם היה צריך או לדון בזה בוועדה משותפת, או למצוא דרך שהדבר הזה יחוקק - -

אבל כך הוחלט, מה נעשה? היו לנו רעיונות.

היום אתם רוצים לאשר את התקנות, אבל השאלה היא האם יש אפשרות טכנית היום למצוא דרך לעשות זאת.

בלי לתקן את החוק, אי אפשר.

אבל אנחנו מוכנים אחרי זה לבדוק את זה.

נניח שזה יהיה כתוב פעמיים, זה אמנם לא טוב, אבל זה פחות גרוע. השאלה היא האם לא תהיינה סתירות, כי שם יש סט דרישות אחר ופה יש סט דרישות אחר.

פה ספציפית זאת לא סתירה.

הוא אומר שזאת כפילות. אולי תמצאו את הנוסח החדש ותסכמו אותו על דעת שלמה שהם וחבר-הכנסת איתן?

אבל לדעתי אין סמכות לעשות את זה. האמת היא שאני גם בדעה הזאת, אבל לאור הדחיפות של העניין, אני מציעה שנאשר את התקנות האלה. לדעתנו, אין סתירות,יש קצת חלוקה שהיא לא סבירה כל-כך. אין אפילו כפילויות, אלא זה מחולק בצורה לא אידיאלית.

הוא הגדיר את זה "חפיפה".

בינתיים נתחיל לרוץ עם הדברים, ואחר-כך נעשה סדר.

בהמשך להערה הקודמת, אני רוצה להוסיף בסעיף 4 תת סעיף (4), שמדבר על דיווח על ביקורת תקופתית ועמידה בתקן ISO 9000, כדי להשלים את התמונה בהמשך.

מה באמת עמדתכם לגבי 7799? מדוע אתם רוצים ISO 9000?

ISO 9000 מדבר על הנושא של אבטחת האיכות, ומהניסיון שלנו זה דבר קריטי וחיוני למערכת כזאת חשובה.

ואתם לא מסתפקים בתקן 7799?

זה בנוסף.

שלום חבר-הכנסת איתן. עד עכשיו עברנו על הסעיפים עד פרק ג'. אנחנו רשמנו לפנינו הסתייגויות, ונדון בהן ביחד.

אולי נחזור לעניין של רואי החשבון?

אני קראתי את המכתב של רואי החשבון.

צבי אילן מאיגוד הבנקים אמר שיש כאן שני סטים, ויש כאן שתי תקנות, שכאילו יוצרות כפילות ובלבול, כי יש ביניהן חפיפה. קיבלנו את ההערה הטכנית הזאת, אבל אני שומע שזה יהיה קשה מאד לתקן את הבעיה ברגע האחרון, אף על פי שיש מוכנות לתקן אותה.

האם יש כאן הסתייגות מהכיוון השני?

רואי החשבון זה סיפור אחר. קודם כל נאמרה הערה טכנית, שאומרת שבגלל שיש שתי ועדות, למעשה יש שני סטים של תקנות. זאת הערה נכונה. כדי לפתור את העניין הזה היום, צריך תיקון חקיקה.

ואם תאחד את התקנות, איפה הן יהיו?

לא אכפת לי, זה יכול להיות בוועדה הזאת או בוועדה השנייה, או בוועדה משותפת. אפשר למצוא את הפתרון.

זה תיקון מאוחר יותר.

ההחלטה היא לא החלטה עניינית לגופו של העניין החוקי, אלא לעניין עבודת הכנסת.

אין כאן סתירה בתקנות, אלא יש חפיפה וכפילות.

מאחר שאתה חבר משותף של שתי הוועדות, נדמה לי שזה החוק הראשון שהוועדה לענייני מחקר ופיתוח מדעי וטכנולוגי מציעה. עשינו את זה מתוך מגמה לתת איזושהי סמכות לעניין המדע. אמרנו שאם יש כאן דברים טכניים, ניתן לוועדה לענייני מחקר ופיתוח מדעי וטכנולוגי סוף כל סוף איזה חוק. זאת הסיבה היחידה שעשינו את זה, וזאת היא האמת.

הוועדה לענייני מחקר ופיתוח מדעי וטכנולוגי יכולה הבוקר לקרוא שהביוטכנולוגיה קיבל 50,000,000 דולר להתפתחות. הביוטכנולוגיה צריכה לקבל תקציבים גדולים פי כמה.

אם ועדת החוקה, חוק ומשפט מוכנה להעביר את הכל לוועדה לענייני מחקר ופיתוח מדעי וטכנולוגי , נעשה תיקון בחקיקה ונגמור את העניין.

אבל לא כדאי שזה יהיה כרגע, כי צריך לתקן את זה בחקיקה הראשית. לאור הדחיפות של העניין, אני רוצה להגיד שמכיוון שאין סתירות, אלא רק מעט חפיפה, נעשה זאת בהמשך.

יושב-ראש הוועדה ידבר עם יושב-ראש הוועדה הקבוע, אופיר פינס-פז, ואם הוא יסכים שהכל יעבור לוועדה לענייני מחקר ופיתוח מדעי וטכנולוגי, נעשה את השינוי בחקיקה. אם לא, עליו להיפגש עם יושבת-ראש הוועדה לענייני מחקר ופיתוח מדעי וטכנולוגי, חברת-הכנסת ענת מאור, ומה שהם יסכמו, יהיה מקובל ונבצע את זה בחקיקה. כרגע ממילא אנחנו לא יכולים לעשות דבר.

מגמת התיקון ברורה.

לדעתי, לוועדת החוקה, חוק ומשפט לא תהיה בעיה לוותר על זה, וזה לא העניין. החשש שלי הוא שברגע שהתקנות האלה יעברו, הסיכוי לתיקון בחוק ולאיחוד התקנות האלה הוא סיכוי שזה יהיה בזמן סביר, זאת אומרת: שבע-שמונה שנים.

אנחנו לא נחכה שבע-שמונה שנים. אז תהיינה שתי תקנות, מה יכול להיות?

אני לא מתנגד לכך שיעבירו היום את התקנות, אבל אני מציע שאתה תיקח על עצמך את העניין שהתיקון בחקיקה הראשית יהיה מהיר.

אני מתחייב לעזור בוועדה לקידום מחקר ופיתוח מדעי וטכנולוגי.

אתם צריכים לפתור את הבעיה? בבקשה, תביאו את הפתרון. יש לי עוד עניינים לדחוף. מדובר ביושב-ראש ועדת החוקה, חוק ומשפט וביושבת-ראש הוועדה לענייני מחקר ופיתוח מדעי וטכנולוגי. זה לא עניין מקצועי, זה עניין פוליטי בין שניהם.

אנחנו נמשיך הלאה. אם היתה כאן הסתייגות או התנגדות, הייתי חושב פעמיים, אבל מכיוון שמסכימים לתקן, אנחנו נטפל בזה. אני לוקח את זה על עצמי, ואני אדבר עם חבר-הכנסת אופיר פינס-פז.

לגבי פרסום רישומו של גורם מאשר, האם יש איזושהי כוונה שהפרסום או האישור יהיו דיגיטליים? אנחנו בכל זאת דנים בחתימה דיגיטלית.

הנושא הזה עלה. יש סמכות כזאת לשר המשפטים לקבוע שהרשם יאפשר זאת אלקטרונית. עוד אין תשובה סופית, והנושא הוא לאו דווקא בסמכות הוועדה, אבל הוא צריך להיות נידון. הנטייה היא, כנראה, לפסוק שזה לא ייעשה כך בשלב הראשון מכל מיני סיבות, שאנחנו לא נפרט אותן כאן.

אולי נגמור את העניין של רואי החשבון וה-ISO 9000.

אני רוצה להעיר לגבי העניין של רואי החשבון. יש לי פשוט דז'ה וו, כי בחוק החברות זכינו למופעים יפים ומעניינים מצד רואי החשבון אל מול המבקרים הפנימיים. ההערה נשמעת ונראית הגיונית. המבקרים הפנימיים לא מיוצגים פה. אינני יודע האם הם הוזמנו, אבל הם היו צריכים להיות מוזמנים. מעצם העובדה שפותחים את זה למבקרים שאמונים על ביקורת פנימית, למבקר שהוא מבקר רואה חשבון, כמובן שאיזשהו אינטרס כלכלי שלהם יכול להיפגע.

לפני הנוסח שהונח היום, הנושא של הביקורת הפנימית בכלל לא עלה. זה עלה רק בימים האחרונים, אז מטבע הדברים אפשר להתייחס אליו. זה לא שייך לוויכוח בחוק החברות.

השאלה השנייה שלי היא שאלה מהותית.

אולי תשמעו את ההצעה החדשה, ואז אפשר יהיה להתייחס אליה?

אנחנו ננקה את השולחן, ואז נמשיך בצורה מסודרת. ירון הרמן מלשכת רואי חשבון טוען שיש כאן ספציפיקציית יתר, כי מהסעיף משתמע שנדרשות מהם יותר מדי ספציפיקציות ותכונות, והוא ממליץ להעביר את התקנות בנושא הזה.

לקבוע את תנאי הכשירות, אבל לא להתנות ניסיון ספציפי על-פי חוק הביקורת הפנימית.

יש לנו הצעה חלופית. אנחנו מדברים כרגע על סעיף הכשירות של חוק הביקורת, שבו מדובר על רשימת קריטריונים פלוס ניסיון בביקורת פנים, והוא באמת לאו דווקא רלוונטי לתחום הזה. אנחנו מציעים לקחת משם את הדרישות המקבילות, שאומרות: מבקר הוא מי שמתקיימים בו כל אלה: הוא יחיד, הוא תושב ישראל, הוא לא הורשע בעבירה שיש עמה קלון, הוא בעל תואר אקדמי ממוסד להשכלה גבוהה, או שהוא רואה חשבון או שהוא עורך-דין, והדרישה המיוחדת שאנחנו מוסיפים היא שהוא בעל הסמכה מקובלת – לעניין זה, הסמכה מקובלת היא הסמכה CISSP, או WEBTRUST, או CYSTRUST או הסמכה אחרת שאישר הרשם - או שהוא בעל ניסיון של חמש שנים רצופות בביקורת במערכות מידע, או באבטחת מערכות מידע, שזאת ההכשרה הספציפית שאנחנו צריכים בתחום הזה.

מה יש להם להגיד נגד?

אין להם.

אז למי יש משהו נגד זה?

זה לא הנוסח המקורי.

הנוסח שהובא בפנינו היום אינו הנוסח הזה שהוצע עכשיו על-ידי ליהי.

ועל הנוסח הזה יש הסכמה?

כן.

אנחנו מסכימים.

לגבי הדרישה לניסיון של חמש שנים, האם זאת דרישה נוספת או דרישה חלופית?

הסמכה מקובלת אחת מאלה, או ניסיון של חמש שנים.

חמש שנים באבטחת מידע?

זה מאד רחב.

האם בסופו של דבר הוא חייב להיות רואה חשבון או עורך דין?

לא.

הוא יכול להיות CISSP, גם אם הוא לא רואה חשבון?!

נכון.

אותי מעניין לדעת מי הם הגופים המוסמכים להוציא הסמכות.

אבי פרידמן אולי יענה לגבי הנושא של ה-WEBTRUST וה-CYSTRUST. CISA זה גוף בינלאומי, שמקורו באיגוד רואי החשבון האמריקאי. גם בישראל יש איגוד המבקרים. CISSP זה ארגון פרטי.

האם להסמכות שמוציא איגוד המבקרים יש איזשהו מעמד פורמלי בחקיקה האמריקאית?

אני לא יודע.

אני מבקש לבדוק את זה. אני לא מוכן שאנחנו נקדם עסקים פרטיים וגופים וולונטריים, אם אין לזה תקדים ואין לזה הכרה. WEBTRUST, למיטב ידיעתי – אני לא בטוח – זה גוף מסחרי פרטי, אז למה לי להכניס אותו פה בכלל?

גם CISSP זה גוף פרטי.

אנחנו קובעים שגוף פרטי קובע כישורים למישהו שהחוק הישראלי נותן לו מעמד? למה?

התקינה המקובלת בנושאים האלה בחקיקה במקומות שונים בעולם היא שכן יש הפניה למבחנים האלה ולהסמכות האלה.

אם מחר תבוא איזו פירמה אחרת ותגיד שגם היא רוצה, מה תגידי לה?

קודם כל, השארנו את זה מאד פתוח ורחב, ולהנחת דעתו של הרשם. אלה היום הגופים שהם פעילים ומקובלים, ואלה ההסמכות שמוכרות גם בחקיקה הזרה.

אז אני מעדיף שיהיה כתוב להנחת דעתו של הרשם. אני לא חושב שיש הגיון שנכניס, אפילו לחקיקה משנה, שמות של גופים פרטיים. תאר לעצמך שאנחנו כותבים שזה צריך לעבור אישור של "אסם".

זה אמנם מה שראינו בחקיקות בחוץ לארץ, אבל אני מסכימה.

היא לא אמרה שזה מופיע שם.

יש הפניות כאלה בתקנות חתימה אלקטרונית של כל מיני מדינות.

אבל גם הרשם יכול להסתכל בזה.

כדאי שהרשם יסתכל ויחליט.

הרעיון של הפניות הוא רעיון נכון.

אבל יש הבדל בין אדם שאומר שהוא צריך לספק את רצונו של הרשם, לענות על דרישותיו ולעשות עליו רושם טוב, ואז הוא מביא את כל האישורים ואת כל התעודות, והוא גם יכול להביא תעודות מבית-ספר פרטי ומחברה פרטית, ולכן הרשם יאמר: התרשמתי באופן כללי ולכן אני נותן אישור, לבין מצב שבו אני כותב בתקנה בישראל שאיזה עסק פרטי נתן אישור, וזה מחייב אותי להכיר בו.

ברגע זה נוח לנו להסתמך על ההסמכות שלו, אבל יותר מאוחר אתה עלול להשתעבד לו. זו הערה נכונה.

גם יבואו פירמות אחרות. למה אני צריך להיכנס לעסקים פרטיים?

ישנם דברי חקיקת משנה גם בארץ, שמכירים בגופים שהם לאו דווקא גופים פרטיים מסחריים, אבל גם כאלה, למשל: כל ההכרה לצורך תארים אקדמיים, מוסדות להשכלה גבוהה כאלה ואחרים. לא תמיד אלה גופים ממשלתיים, לפעמים אלה גופים פרטיים.

לפני שאלה "זכו", אתה יודע איזה בדיקות הם עברו?

הגופים האלה הם גופים בינלאומיים, שזכו להכרה של הממשל האמריקאי והאירופי.

זה לא כל-כך חשוב, זה באמת עסק שולי.

זה גם ברור.

אף אחד מאתנו לא בדק את זה, אני לא מכיר את האותיות האלה.

אנחנו העברנו לוועדה חומר רב בנושא הזה, כולל סקירה ודברים של הממשל האמריקאי, שמבססים את ההכרה הבינלאומית, כולל ההסכמים הבינלאומיים שנחתמו בנושא. זה נמצא בפני הוועדה, היא תעיין בהם, ואם נצטרך, נספק חומר נוסף.

אין שום רע שיבדקו את זה עוד פעם.

אני רק מזכיר, שכל נושא האינטרנט, בסופו של דבר לא מוסדר בחקיקה בכלל. כל הסטנדרטיזציה של התחומים האלה, כולל שמות הדומיינים ו-1,001 נושאים אחרים בתחום הזה הוא מאד ייחודי מבחינת המטריה שלו לעומת דברי חקיקה אחרים.

אני אומר עוד פעם, שבכל מקום שאני לא חייב מבחינת העניין, אני מעדיף שלא. אני יכול להשאיר את זה לרשם כהתרשמות כללית, אבל אני לא בעד להכניס את זה לכאן.

במקום הפירוט של האותיות, יופיע "מי שיניח את דעתו של הרשם", או משהו כזה.

שהוא בעל מומחיות בתחום הזה והזה.

בניסוח היה כתוב: בעל תואר אקדמאי, או עורך-דין, או רואה חשבון, מה הרבותא?

היום יש רואי חשבון שהם לא אקדמאים. נשארו עוד כאלה משרידי העבר.

ועורכי דין?

אני לא חושב.

אין שום רבותא לזה שאתה עורך-דין.

יש, כללי הרישוי שנקבעו בדין. יש כללי רישוי שנקבעו בדין, נבחנו ונבדקו והוכחו למחוקק.

רציתי להעיר לעניין הסיפא של התקנה. כתוב: "בדבר התאמת מערכותיו של מבקש הרישום לתקני בקרה ואבטחה מקובלים", ואז מופיעה ההגדרה שלהם, שעליה דיברנו עכשיו. בסעיף 5 לתקנות הקודמות של הוועדה לענייני פיתוח ומחקר מדעי וטכנולוגי, כתוב באיזו רמת אבטחה צריכים לעמוד מרכיבי מערכת המחשב של הגורם המאשר, שמשמשים לזיהוי המבקש, להנפקת התעודה ולביטולה, שאלה רוב הפעולות. למה לא להפנות פשוט לתקנים המפורטים בתקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות)? יש כאן איזושהי סתירה.

הסעיף הזה עוסק בנהלי ביקורת, בכללים המקובלים בתחום הביקורת, שהבסיס לרמת הסטנדרט יהיה באמת מה שקבוע בתקנות חומרה ותוכנה.

רציתי להגיד משהו לגבי העומס שעלול להיות על גורם מאשר עם כל מיני תקנות ותקנים שיוטלו עליו, כמו הנושא של ה-WEBTRUST לעומת הת"י 7799 ו-ISO 9000 שעלה כאן. אני חושב ש-ISO 9000 יחד עם ת"י 7799 נותנים כיסוי מלא לכל מה שהגורם המאשר צריך לעניין האבטחה בנושא אבטחת המידע ולעניין האיכות שהוא צריך לתת.

CISA זה תואר של לשכת מבקרי ענ"א בארצות-הברית. אנשים שלומדים בארץ קורס מבקרי ענ"א - -

אני מתנצל אם היה איזה שמץ של ביקורת כלפי איזשהו תואר מהתארים שדיברנו עליהם. אני רק אמרתי את הדברים ברמה העקרונית.

צריך רק לבדוק את זה.

האם הכוונה היא שגם בסעיף 2(2) יהיה תיקון, ושזה גם יעבור לסמכות הגורם המאשר? אמר חבר-הכנסת איתן, שכל נושא ההתאמה לדרישות הסטנדרטים ייקבע על-ידי הרשם.

לא, התייחסתי לפסקה (7).

בהתייחס להערה של מכון התקנים, אם קובעים את כל הסטנדרטיזציה במסגרת הסמכות של הרשם, אני מבין שתקן 7799 כלל עוד לא קיים, והוא בהכנה.

הוא קיים, אבל אנחנו לא מתייחסים לזה כעת.

אני מבחין בין הנושא של הכשירות של הגורם המאשר לבין הסטנדרט שהוא צריך לבדוק. סעיף (7) מתייחס לכשירות של הגורם המאשר.

לזה התייחסנו, ותו לא.

אגב, זה לא מדויק. כתוב שזה בדבר התאמת מערכותיו של המבקש.

אנחנו נחזור לעניין שהעלה עופר ישי מהאוצר. הוא מבקש להוסיף סעיף נוסף על ISO 9000 ואבטחת איכות בשני מקומות.

אנחנו חשבנו שתקן 7799 צריך להספיק. האם אתם אומרים ש-ISO 9000 זה דבר נוסף?

7799 זה תקן לניהול אבטחת מידע, ו-ISO 9000 אלה תקני איכות. אלה דברים אחרים, ואין חפיפה בין הדברים.

שניהם דרושים?

כן.

גם לזה יש ריח מסחרי לחלוטין, עובדה שמשרדי הממשלה אינם אוכפים את ה-ISO. אני לא מתנגד ל-ISO, זה דבר נהדר, אבל מפעילים אותו גופים פרטיים. ISO 9000מבוצע על-ידי גופים פרטיים בשוק, שזה אחד ממקורות ההכנסה שלהם. זה לא מייחד רק את מכון התקנים, ויש לו ריח מסחרי, בדיוק כמו לכל דבר אחר.

בדיוק כמו סטנדרט של WEBTRUST, או כל סטנדרט של CYSTRUST.

אני קודם כל מצהיר, שהמטרה שלנו היא לוודא שאותו CA יעבוד לפי תקנים של אבטחת איכות. הדבר הזה משמעותי. מי שהתעסק במערכות מידע, בעיקר בערכות מידע מורכבות, יודע עד כמה זה קריטי. אני לא מאחל לאף אחד לעבוד עם גוף שלא השקיע והטמיע את הנושא של מדיניות האיכות, כי זה באמת בנפשנו.

אין לזה שום קשר לנושא מסחרי. גם ההסמכה של זה לא רק נעשית על-ידי גוף אחד. אנחנו רוצים בין היתר להביא לכך שיתאימו בחוץ לארץ חתימות אלקטרוניות שהונפקו בישראל. זה גם איזשהו שידור כלפי חוץ, כי היתרון הוא שזה דבר מבוסס וידוע, שגם חברות לא בתחום המחשוב עושות את זה, כי הן מבינות כמה שזה חשוב.

מדובר על גוף שמלבד הטכנולוגיה יש לו הרבה נהלים בנושאים שעונים על שאלות, כמו: איך מזמינים, איך רושמים, מי ישמור על השומרים? אנחנו צריכים מישהו, כמו: מנהל אבטחת איכות בארגון, שיבדוק שמבצעים את הדברים. אני אומר לכם שאין לזה שום קשר לנושא מסחרי, וחבל שמעלים את זה, כי זה לא לעניין. זה דבר מהותי ונדרש.

אנחנו חושבים שהרעיון הוא רעיון טוב, לא מדובר באיזושהי פעילות עלומה. אנחנו מבקשים שזה לא יהיה תנאי הכרחי לרישום, מכיוון שלמיטב ידיעתנו, אף אחד מהגורמים שמתעתדים בטווח הקרוב להיות גורמים מאשרים לא עומד בתקן הזה. זה תהליך לא פשוט ולא קצר, ולדרוש את זה כדרישת הכרח לרישום, משמעותו דחייה בעצם הפעלת החוק. לכן, גם במשרדי הממשלה מוכר הסטטוס של ISO 9000 בתהליך, זאת אומרת: שארגון נכנס לתהליך של ISO 9000.

בהתייחס לתקן ISO 9000, קודם כל תקן ISO 9000 מסווג ומפריד בין חברה יצרנית לחברה שנותנת שירות.

כבר לא.

הגורם המאשר הוא נותן שירות. נניח ניקח חברה שמייצגת חברה בחוץ לארץ שתהיה גורם מאשר, והיא תשווק מוצר. השאלה היא האם הוא צריך להיות בהתאם לתקנים של ISO 9000, והאם התקן יחייב את היצרן לעמוד בתקן ISO 9000. צריך להתייחס לכל הנקודות האלה.

בהמשך למה שנאמר כאן, ובגלל הגודש של התהליכים שגוף מאשר יצטרך לעבור, אני בהחלט מקבל, גם כמייצג את מכון התקנים, שארגון שירצה להירשם כגורם מאשר, ייכנס לתהליכים של הסמכה ל-ISO 9000, ויצטרך תוך שנה מיום הרישום שלו לעבור את ההסמכה. בצורה כזאת יינתן לו פרק הזמן המספיק, כדי להטמיע את הנהלים ולעשות כל מה שנדרש.

אני ממשיכה לקרוא:

בקשר לערבות ובקשר לביטוח, סעיף 19(א)(8) לחוק קובע שניתן להתנות בתעודה האלקטרונית סוגי עסקאות שניתן להסתמך עליהן לצורך התעודה וסכומים של עסקאות. סעיף 21 לחוק קובע שהגורם המאשר פטור מחבות לנזק שנגרם לצד שלישי. התקנות שלפנינו - גם הערבות וגם הביטוח - לא מתייחסות בכלל לסוגי העסקאות ולהיקפים שלהן לצורך קביעת גובה הערובה וגובה הביטוח.

נראה לי שייווצר מצב שתעודה אלקטרונית, שלמשל משמשת לעסקאות קטנות בסכומים מאד קטנים, שוות ערך לתעודה אלקטרונית בסכומים מאד גבוהים, או אפילו לעסקאות שאין להן שום מגבלה, כמו: חתימה אלקטרונית על דו"חות כספיים, כשאז היקף החשיפה הוא בלתי ידוע בכלל. לכן אני חושב שצריך לקבוע מגבלות של שלבים פר סוגי עסקאות ופר היקפים שלהן, הן בערבות והן בביטוח.

אני חשבתי על זה, אבל לדעתי, זה יגרום לסרבול גדול, כי אתה יכול לקחת חברה שחייבת להוציא תעודות נגיד עד גובה מסוים, אבל ההיקפים יכולים להיות - -

ומחר היא גם משנה.

זאת יכולה להיות מכפלה.

אז נמנה עכשיו עוד פקיד שגם יערוך בדיקה, ומישהו שיעשה ביקורת, ואז לא נגמור עם זה.

השאלה היא מה המטרה של הערובה והביטוח. כמו שהבנתי, המטרה שלהן היא להגן על צדדים שלישיים, במקרה שיש כשל במנגנון של הנפקת התעודה או של הביטול שלה כלפי צדדים שלישיים, שהסתמכו על התעודה.

זה כמו חברות ביטוח.

הן קובעות את הפרמיה בהתאם לסיכון.

כן, אבל הן נותנות איזושהי ערובה אחת, ועל סמך זה הן עושות ביטוחים קטנים וגדולים.

אני רוצה לקחת דוגמה מתחום קצת שונה, למשל: מנהלי תיקים, שצריכים להפקיד ערבות בנקאית, ביטוח, או הון עצמי. זה נקבע ביחס להיקף הנכסים שהם מנהלים, זאת אומרת: ככל שהם מנהלים סכומים קטנים יותר, היקף הנזק שהם יכולים לגרום, תיאורטית קטן יותר. ככל שהסכום גדול יותר, היקף הנזק גדול יותר.

אמיר, אבל איך זה יהיה בחיים? היום הוא אומר שהוא עושה עסקאות קטנות, וגם נתנו לרשם איזשהו שיקול דעת לרדת, או לשנות את סכום הערובה בסעיף. מחר הוא ייכנס לתחומים אחרים, אז האם הוא יצטרך לחזור אליי, ואני אעשה לו התאמה של הערבות? זה לא מעשי. אני לא יכולה לעקוב אחריו, ולבדוק האם מחר הוא יעשה עסקאות יותר גדולות.

קבענו נקודת מוצא עם סמכות לסגת.

אני לא יכולה לשמור עליו כל הזמן.

זו באמת שאלה, איך אפשר יהיה לעקוב אחרי זה.

לפי הגישה הזאת של טנה, אני מציע בכלל לוותר על זה, כי זה בעצם לא נועד לפתור איזושהי בעיה.

אני קראתי השגה של רואי החשבון. הם רוצים להגיע למצב, שגם רואי חשבון במשרדים קטנים יוכלו להיות גורם מאשר. באופן טבעי, כדי לעודד את הציבור שלהם, הם רוצים להוריד את הסכום עוד יותר, כי גם הסכום שנקבע הוא גבוה. חשבתי אולי ש-400,000 שקל הם דמי רצינות. אם אתה רוצה לפתוח עסק, תביא ערבות של 400,000 שקל, ואם אתה לא מסוגל לקחת ערבות של 400,000 שקל או 100,000 דולר, אל תתעסק בעסק הזה. זה לא מתחיל מדוכן פלאפל.

מה מטריד אותך? על מי אתה מגן?

מה שמטריד אותי פה זה צדדים שלישיים, שהסתמכו על אותן תעודות אלקטרוניות, ובסופו של דבר, יבואו לתבוע בצדק, ובית-משפט יכריע שהם ניזוקו כתוצאה מההסתמכות הזאת, אבל הכסף שיהיה לכסות עליהם הוא זניח ואפסי, למשל: אם מדובר בגורם מאשר שהנפיק תעודות מאשרות על עסקאות אדירות, או על סוגי עסקאות שאי אפשר בכלל לכמת את החשיפה שלהן, ובעצם מה שיש להם זה 400,000 שקל או מיליון שקל, שזה סכום עלוב, כשאנחנו מדברים במונחים של חשיפות אפשריות.

אני חושב שמה שנכון לעשות זה איזשהו מנגנון מתעדכן כל חצי שנה או שנה, שבו הגורם המאשר צריך לדווח על היקף החשיפה שלו. היקף החשיפה יהיה המכפלה של מספר התעודות כפול היקף העסקאות שהוא הגביל.

אבל איך הוא יידע?

לגורמים המאשרים יש חובה לדווח לרשם.

אני לא מבין, איך הוא יידע מה היקף העסקה?

בואו נחזור רגע לחוק. החוק קובע שגורם מאשר יכול לקבוע בתעודה האלקטרונית - -

הוא יכול, אבל הוא לא חייב.

אבל אם הוא לא חייב, הוא יהיה ברמה הגבוהה ביותר, אבל מכיוון שסעיף 21 לחוק אומר: קבע גורם מאשר הגבלות על סוגי השימוש בתעודה, או על סכום העסקאות שלגביהן ניתן לעשות שימוש בתעודה, לא יהיה הגורם המאשר אחראי לנזק שנגרם עקב שימוש החורג מההגבלה, ובלבד שההגבלה הזאת תפורט בתעודה. משמעות הדבר היא שגורם מאשר ישאל את האדם שיבוא אליו: מה אתה רוצה לעשות עם זה? אם הוא רוצה בלי מגבלה, הסכום שאותו לקוח ישלם לגורם מאשר יהיה בהתאם. אם הוא יגיד לו שהוא רוצה עסקאות רק עד 1,000 שקלים כל פעם, הסכום שהגורם המאשר יגבה יהיה בהתאם לחשיפה שיש לו.

יש פה בעיה בהבנה של תפקידו של הגורם המאשר, כי בסופו של דבר, הגורם המאשר הנפיק את התעודה הדיגיטלית, ובעזרתה מתבצעות חתימות על עסקאות או על צ'קים, כשלא בטוח שלגורם המאשר יש פיקוח מלא על הסכומים עליהם חתמו.

הנושא של הערבות חוזר לשאלה ששאלת, למה אנחנו שמים פה את הערבות? אם הערבות היא איזשהו חסם רצינות, יש לה איזשהו הגיון מסוים. אם הערבות היא ערבות על העסקאות שהתבצעו בעזרת הגורם המאשר, אני קצת בספק, כי בואו ניקח אולי גם את כמות העסקאות שמתבצעות.

הוא לא יכול לדעת.

יש פה איזשהו אלמנט שהוא לא הגיוני.

כל חוזה שפלוני יעשה עם פלמוני על גרגר של פלפל, או על חצי האי מנהטן – איך הוא יידע מה לעשות עם זה, והם חתמו?

בשביל זה קיים סעיף שאומר: מידע בדבר קיומן של הגבלות על השימושים המותרים בתעודה, אם על סכום או על סוג עסקה, יופיע בתעודה. אם אין שום מגבלה, כמובן שאי אפשר לדעת, ואז אנחנו צריכים לקחת, לפי דעתי, סכום גבוה בהרבה.

כמה?

אני לא יודע כמה, אבל מדובר בהרבה. אני מאמין שכדי להקטין את החשיפה של הגורמים המאשרים - כי כך הם שומרים על עצמם – יקבעו מגבלות, אם הם יכולים, בהתאם להסכם שלהם עם אותו לקוח, ולכן יהיה להם מידע על היקף החשיפה התיאורטי שלהם. כמובן שסכום הביטוח לא צריך להיות בגובה סכום העסקאות, אלא איזושהי נגזרת.

הגורם המאשר אחראי רק לנכונות תהליך הזיהוי, וזה אולי מחזיר אותנו לדיון שקיימנו בשבוע שעבר בעניין של משרד הפנים כן או לא. תעודה שזוהתה תוך הסתמכות על משרד הפנים - המעמד שלה יותר גבוה, ולכן לצורך העניין זאת תהיה תעודת ג'וקר, שאתה יכול לעשות איתה כל מה שאתה רוצה, כי מבחינת החשיפה שלי, אני יודע שתהליך הזיהוי שעשיתי הוא המקסימלי האפשרי, ויכול להיות שאני אעשה גם תהליך נוסף, שהוא לא קשור לרשויות ממשלתיות. אני אעשה בדיקה בדן אנד ברדסטריט לצורך העניין, אם זאת תעודה לתאגיד, אבל אין זיקה ישירה לעסקה.

אז מה המשמעות של סעיף 21(ב) שפוטר את הגורם המאשר מאחריות, אם הוא הגביל את סכום העסקאות?

יש אופציה כזאת, והיא מתייחסת לדירקטיבה האירופית.

בתחום שבו הוא אחראי, יש לו גם שם אחריות מופחתת, אם הוא הגביל את סכום העסקאות.

אם הוא הגביל.

נראה לי שאנחנו קצת מקדימים את זמננו. השאלה שהעלית היא שאלה סופר רצינית, אבל היא תלויה בהתפתחות של הענף הזה. אנחנו עוד לא יודעים בדיוק איך זה יהיה, כי אתה יוצר קשר בין הגורם המאשר לבין העסקה עצמה.

אתה הופך אותו למעריך סיכונים כלכליים.

בקונספט שלך היקף האחריות שלו מתייחס כעת למה שיעשו האנשים, שהוא נותן להם את האפשרות להנפיק את התעודות. אנחנו לא עבדנו כך, אבל יכול להיות שכן צריך לעבוד כך.

יכול להיות שלא הסברתי את עצמי טוב.

אמיר, סליחה שאני מפסיקה אותך, כי אני חושבת שהסברת מצוין. אני לא דורשת מהגורם המאשר להגביל את עצמו. אני לא דורשת ממנו להגיד לי בתור רשם, איזה תעודות הוא מנפיק, איזו הגבלת אחריות הוא יעשה, ואני לא דורשת ממנו לשמור על הרמה הזאת חצי שנה. אם הוא מבחינה עסקית פתאום רוצה להיכנס לעסקאות הרבה יותר גדולות, הוא יכול לעשות את זה. לכן אתה אומר שכל חצי שנה הוא ידווח לי? מה שהוא יעשה בחודש הרביעי של חצי שנה זאת, יכול להיות מעל ומעבר.

אני רוצה להגן על מה שהוא אומר. הוא אומר שזה בכלל לא עניין שהוא צריך לדווח או לא. זאת בעיה שלו, כי הוא חושף את עצמו לאחריות כזאת או אחרת.

אבל הוא כותב לי 400,000 שקל, ואני עושה עסקאות קטנות. מחר הוא ירצה להיכנס לעסקאות יותר גדולות, והוא עדיין ב-400,000 שקל.

פר תעודה, לא פר עסקה. התעודה מגבילה את הסכומים שלה.

הוא אומר שכשהוא נתן ערבות של 400,000 שקל, הוא עובר עבירה פלילית, אם הוא מאפשר הוצאת תעודות - -

או שהוא מייד צריך להגדיל את הערבות, בהתאם לתעודות שהוא מנפיק.

מי יבדוק את זה? ולמה לי להיכנס לו לקרביים?

רשם הגורמים המאשרים צריך לקחת את הדיווח מהגורם המאשר.

מבעל אמצעי החתימה.

לא, הגורם המאשר יכול להגיד: אני מנפיק רק תעודות לא מוגבלות בסכום. הוא יכול להגיד: אני מנפיק תעודות רק לעסקאות עד 1,000 שקלים, ותיקבע לו ערבות נמוכה יותר. רשם הגורמים המאשרים רק יאמר לו: זאת החשיפה שלך, וזה הסכום שאתה צריך להפקיד.

סעיף 11(א)(3) אומר את מטרת הערבות: הגורם המאשר הפקיד ערבות בנקאית או ערובה מתאימה אחרת...הכל לפי קביעת הרשם, לשם הבטחת פיצויו של מי שנפגע עקב מעשה או מחדל של הגורם המאשר.

לא מדובר על אחריות לעסקאות עצמן, אלא לפעילות של הגורם המאשר, למשל: הוא לא בדק את האדם ונתן לו תעודה אלקטרונית, בלי הגבלה של סכום. מי שהסתמך על זה, נפגע. זאת מטרת הביטוח, ולכן היקף הביטוח צריך להיות בהתאמה להיקף החשיפה שעשויה להיגרם לצדדים שלישיים.

מה אומרים אנשי הביזנס?

צריך לזכור שגם תעודה עם הגבלה של 1,000 דולר או 1,000 שקל – אפשר להשתמש בה מיליון פעם, ואני לא אדע מזה שום דבר. אם למשל כולם סומכים על התעודה שאני מנפיק, כי היא נחשבת תעודה טובה, אנשים לא ילכו לבדוק בכלל האם התעודה תקפה או לא, כי זה 1,000 שקל ולא שווה לי את עלות הבדיקה. אז יכול להיות מצב שיש עסקה בהיקף של מיליארד שקל, שאני בכלל לא יודע עליה.

אני אמרתי את הטיעון הזה כבר לפני רבע שעה. בסדר, אתה צודק, אבל האם אין כאן הגנה, כאשר אנחנו מדברים על עסקאות בודדות, שהן בסכומים יותר גבוהים, לעומת הרבה עסקאות, שבהן יכולה להיות רשלנות של הגורם המאשר? הסיכון שייגרם נזק לאותו גורם שלישי תמים הוא יותר קטן, כאשר זה יתבצע על-ידי הרבה עסקאות בודדות, מאשר כאשר זה תתבצע עסקה אחת, ואז אני יכול לפחות להגן עליו במידה מסוימת, כלומר: אם אני הולך בשיטה הזאת, נכון שלא פתרתי את הבעיה של הרבה עסקאות בודדות, אבל כן פתרתי את הבעיה, כשאין כיסוי מספיק להגן על אותו נפגע, כאשר היתה עסקה אחת, הגורם המאשר פעל ברשלנות, ואין לו כסף וגם אין מי שיפצה אותו.

ראשית, הפתרון הזה הוא באמת פתרון ביטוחי של רשלנות מקצועית. זה המודל הביטוחי שנמצא, כי אנחנו רק מדברים על סיטואציה של רשלנות מקצועית. צריך לזכור שהצד המסתמך הוא לא מסתמך בעלמא.

אנחנו מדברים על מצב שהגורם המאשר היה או פלילי, או פעל ברשלנות וחייב לשלם פיצוי למי שהוא גרם לו נזק. אז בא האדם אלינו ואומר: אני הפסדתי פה 10,000,000 דולר, ויש פה ערבות על סך 400,000 שקל, מה אתם עשיתם?

אבל יש פה גם ביטוח.

בסדר, גם הביטוח לא מותנה בגדלים.

התשובה היא שאחד כזה יודע שבחוק זאת הגבלת האחריות.

זאת אומרת שאין הגנה.

אם הוא הולך לעשות עסקה מאד גדולה, שיעשה ביטוח נוסף.

מתחילת הליך החקיקה, נקטנו בגישה שהחתימה לא קשורה לעסקה. אני חושב שנקטנו בגישה הזאת לכל אורך החוק. אני מבין ש-400,000 שקל, כמו שאמרו כאן ידידיי וכמו שאתה אמרת, הם דמי רצינות.

זאת בדיחה.

תהיתי מתי תעלה את הטיעון הזה.

הביטוח צריך לכסות את המקרה הזה שדובר עליו ואת הסכום הגבוה הזה, ולא הערבות.

זה אותו כסף, מה זה משנה אם זה בערובה או בביטוח?

שברנו את העיקרון גם בעניין הביטוח, לא?

יידע זה שקונה את החתימה מגורם מאשר מסוים, שפה הוא מבוטח כך ופה הוא מבוטח אחרת, ויידע שאם הוא מתקשר עם גורם מאשר א', הוא מבוטח עד סכום כזה, ואם הוא מתקשר עם גורם מאשר ב', הוא מבוטח עד סכום אחר. אם רואי חשבון רוצים להיות גורמים מאשרים, למשל, בסדר, לגבי מה שאותו רואה חשבון מבטח, יעשו עסקאות בהיקף של מה שאפשר לקבל מחברת הביטוח, אבל הסעיף הזה הוא יותר לכיוון של דמי רצינות, ולא לכיוון של סוג העסקה.

אני לא רואה הבחנה בין הערבות לביטוח, אלה פנים שונים של אותו עניין, אבל לא אכפת לי לדבר על הביטוח. בואו נדבר על הביטוח. הסכום צריך להיות תואם להיקף הסיכון. איזה מן ביטוח זה שהוא אחיד לכולם ושאין שום וריאציה בין היקף החשיפה לסכום הכיסוי?

יש פה שני וריאנטים.

אם אנחנו הולכים על וריאנט, הווריאנט הכי נכון זה היקף החשיפות.

מה, נתחיל לספור את התעודות?

יש לנו התייחסות למספר תעודות.

יש חברות שיציעו היקף ביטוחי כזה ויש חברות שיציעו היקף ביטוחי אחר.

אבל כאן מדברים על דרישות מינימום. אני חושב שדרישות המינימום פה זאת בדיחה.

כל מודל חוק החתימה האלקטרונית שותק לגבי הצד המסתמך, כי יש איזושהי הנחה של "ייזהר הקונה", או "ייזהר המסתמך".

אם כך, אפשר לבטל בכלל את הביטוח. אם זאת הגישה, למה ביטוח בכלל?

מכיוון שרוצים לתת איזושהי סביבת פעולה.

מדובר על מספר תעודות ולא עסקאות.

מה זה שייך? מספר העסקאות והיקפן קובע את הגובה.

אבל את זה אנחנו לא יכולים לדעת. מי שיש לו 50 תעודות, יש לו פחות סיכון לעומת מי שיש לו 200 תעודות.

מה זה יאמר מבחינה מסחרית לגבי הסיכון הכספי?

זה נותן לי איזושהי אינדיקציה, כי את העסקאות אני לא יכולה לדעת.

את סתם תספרי תעודות?

כן.

ספירת התעודות היא חסרת משמעות. הרי תעודה של סכום קטן ותעודה בלי הגבלה של סוג עסקה – לא ניתן לשים אותן באותה חבילה.

קודם כל אני רוצה להזכיר לכם שסעיף 11(א)(3) הוא מקור הסמכות, ומדבר על הפקדת ערבות בנקאית, או ערובה מתאימה אחרת, או אם ביטח את עצמו אצל מבטח, זאת אומרת: לרשם יש שיקול דעת להחליט האם זה ביטוח או ערבות בנקאית, וכשאני שואל למה באה הערבות הבנקאית, החוק אומר: לשם הבטחת פיצויו של מי שנפגע, עקב מעשה או מחדל של הגורם המאשר, שזה די אבסורד.

אם אתה מדבר על הבטחת פיצוי, צריך להיות יחס בין הערבות הבנקאית לבין החשש להיפגע. אם אתה לא מדבר על הבטחת פיצוי, אלא רק על אלמנט של רצינות, יכול להיות שהסכום הוא גבוה מדי.

אני לא הייתי שותף להליך החקיקה, אבל החוק אומר שזה בעצם בא להבטיח פיצוי. קודם כל, אני לא בטוח שהרשם יכול לדרוש את שניהם, כי החוק אומר "או", וזאת שאלה לא פשוטה; נניח שכן, ללא ספק, הביטוח צריך להיות זהה או קוהרנטי לעלות העסקה. זה צריך להיות איזשהו הליך, שהרשם צריך לפקח עליו; שהוא לא קשור בכלל לערבות הבנקאית, אבל הוא הליך שצריך לפקח עליו, ושביטוח יהיה ביטוח קוהרנטי ושווה לעלות העסקה. לדעתי, אנחנו לא יכולים לחרוג בתקנות. אם החוק אומר "או", אני לא יכול לחייב כל אחד לעשות "ו", ודרך אגב, התקנות אומרות "אם החליט הרשם לחייב", זאת אומרת: הוא יכול להגיד לאדם: אני לא מאשר בלי ערבות בנקאית, ולפי מה הוא יחליט? זאת שאלה לא פשוטה.

החוק גם מאפשר דברים נוספים שהרשם רוצה, או שהם דרושים, כך שאפשר להכניס את זה בתקנות.

נשארנו עם הבעיה המרכזית. בואו לא נפתח עכשיו עוד בעיה.

אם יש מסמך שמאחוריו מסתתרת איזושהי הבנה של עסקאות שיתרחשו בעתיד, והשווי שמאחוריו לא מצוין, אי אפשר לכמת ולהעריך אותו ברמת שווי החתימה הזאת והביטוח שמאחוריה. זה מעבר לסתם חתימה על צ'ק.

זה כמו חתימה רגילה. אתה יכול להגיד כמה שווה חתימה רגילה? אתה פעם אחת חותם על כוס תה שאתה שותה, ופעם אתה כשאתה קונה בית.

הבעיה במהות אינה שונה מהבעיה שיש עם הרבה מאד נותני שירותים שונים במשק. בגלל שאין אפשרות כימות והערכה, הם מבטיחים את עצמם באמצעות פוליסת ביטוח, הן על רשלנות והן בדרך אחרת, אבל לא ידוע לי על איזשהו חוק שמגדיר שעסק חייב לקנות פוליסת ביטוח ברמה כזאת או אחרת.

אבי, אני יכול לעדכן אותך. היקף הביטוח, ההון העצמי והערובה שמנהלי תיקים צריכים להפקיד, נגזרים משווי הנכסים שבניהולם, בהתאם לסיכון האפשרי. אני מדבר על מנהלי תיקים, ובמקרה הזה, זה הקריטריון הדומה ביותר, בגלל הנזק שהם יכולים לגרום.

קח הנפקה, שאתה ממונה עליה ויש לה סיכון גדול מאד.

אין לזה משמעות. יש אחד שמוציא 200,000 תעודות, כשבכל אחת נעשו עסקאות במיליון שקל, ואחד יוציא 200,000 תעודות, כל אחת על 10 גרוש.

זה יצורף בביטוח.

זה לא הגיוני.

המנגנון שיש לנו פה הוא מנגנון של עלה תאנה, כי הוא אומר שלכאורה יש ביטוח, אבל בפועל אין הגנה לאותם צדדים שלישיים שעשויים להסתמך, מכיוון שהוא קובע איזה מנגנון לא רלוונטי.

אבל מי שעושה עסקאות גדולות, צריך לבדוק את הדברים, והוא צריך לדעת מה ההגבלה.

אם כך, בשביל מה דרישת הביטוח בחוק?

מי ש"נכנס" בתוך הסכום הזה - -

מה הרלוונטיות של מספר העסקאות? אם את אומרת שהביטוח הוא ביטוח מסחרי, אז למה צריך שזה יהיה בחוק?

ההסתברות שזה יקרה היא הרבה יותר גבוהה כשאני עושה הרבה מאד עסקאות מאשר כשאני עושה מעט מאד עסקאות.

אני לא חושב שזאת ההסתברות, כי אם את עושה עסקאות בסכומים מאד גבוהים - -

טנה, את טועה.

החוק אומר: הכל לפי קביעת הרשם, לשם הבטחת פיצויו של מי שנפגע, זאת אומרת: הרשם צריך להיות אחראי לכך שיהיה יחס שווה בין היקף העסקאות לבין הביטוח – ואם זה צריך להיות כל יום, כל יומיים, באמצעות פיקוח כזה או אחר, או איך הוא יעשה את זה, אני לא יודע, אבל זאת חובתו. כתבתם את זה בחוק. אם זאת חובתו, הוא צריך לעשות את זה בצורה כזאת או בצורה אחרת, ואז לדעתי, גם הערבות הבנקאית, עם כל הכבוד, מאבדת את חשיבותה, משום שאם יש באמת יחס שווה בין היקף העסקאות לבין הביטוח, והביטוח באמת מכסה את זה, אולי ערבות בנקאית זה רק בבחינת הבטחת רצינות, או משהו כזה. לא נוכל לפקח על זה.

בגלל זה אנחנו קובעים את הסכום.

אני מנסה לחבר בין כמה נקודות. מצד אחד, נתחיל מנקודת הבסיס שציינת, שזאת היתה כוונת המחוקק. אני חושב שזאת היתה כוונתו, וזאת היתה כוונתנו. זה לא עסק פרוץ לגמרי, וזה לא מסחר בשוק. סוג הפעילות הכלכלית הזאת שאנחנו מדברים עליה דומה קצת לפעילות ביטוחית ולפעילות בנקאית. החברה והמדינה קובעות שבסוג פעילות כזה, האינטרס הציבורי מחייב שיהיה פיקוח ותהיה אבטחה, שייתנו ממד של ביטחון. זה גם עוזר לאלה שעוסקים בזה, כי אז אפשר לתת ביטחון לפעילות הכלכלית בתחום הזה.

זה הרקע התיאורטי הכללי לסיבה להתערבות שלנו, ולכך שאנחנו לא יכולים להגיד: מה אכפת לנו שמי שיכתוב במודעה שיש לו ביטוח יותר גבוה, יקבל ביזנס יותר גדול? אנחנו אומרים: לא, בסוג כזה של עסקים, יש איזושהי ביקורת ציבורית. אז אנחנו אומרים שרשם הגורמים המאשרים מבחינתנו הוא הכתובת הציבורית, שאחראית לכל מיני היבטים של הפעילות הזאת, ובין השאר, לנורמה שאנחנו קבענו, שאם גורם מאשר פועל בזדון, או ברשלנות, הוא יצטרך לשלם פיצוי, כמו שחברת ביטוח שרוצה להתחיל בעסקים, צריכה להפקיד סכומים מסוימים, כדי שאם היא תעשה ביטוחים שלא כהלכה והיא תצטרך לפשוט רגל, יהיה ממי להיפרע. אנחנו אומרים שאנחנו רוצים שכאשר הגורם המאשר יעשה משהו לא בסדר, יהיה ממי להיפרע, ולכן אנחנו רוצים לדעת מה חוסנו הכלכלי.

קבענו ערבות על-סך 400,000 שקל, כדי שלא כל אחד יתחיל לנהל את העסקים האלה. עכשיו אנחנו עוברים ליכולת הממשית לצקת תוכן למה שאמרנו, במקרה של פגם בעבודת הגורם המאשר. כאן אנחנו נכנסים לבעיה קשה מאד – מדוע? תפקידו ואחריותו של הגורם המאשר הם רק לדאוג ולוודא שאדם שהנפיק חתימה אלקטרונית מסוימת, זהותו היא אכן של גורם פלוני או אלמוני.

מי שמוציא את התעודות ועושה את העסקאות זה אותו פלוני או אלמוני. הגורם המאשר יכול להגיד, שכל תעודה שהוא מוציא, תוקפה יהיה עד סכום מסוים, אבל הוא לא יודע כמה תעודות יצאו, זאת אומרת: הוא לא יודע כמה עסקאות יתבצעו. הוא לא יודע עכשיו מה היקף העסקאות.

יש כאן הצעה, שנשחק עם גובה הביטוח, על מנת להגביל או לא להגביל את היקף התעודות. חשוב לי מה אומרים על העניין האנשים שמתכוונים לעסוק בתחום הזה, כי בסופו של דבר, העלאת דמי הביטוח, כמובן תאפשר לחברות הביטוח להרוויח. הדילמה שלי היא שאם אני רוצה לשמור על עצמי, אני יכול להגדיל את דמי הביטוח, אבל השאלה היא האם לא יהיו ביטוח והוצאה מיותרים מבחינת ההפעלה של כל העסק, כי אני יכול לקבוע עכשיו דמי ביטוח גבוהים, וזה בסופו של דבר ייפול על הצרכן, כשצריך לקחת בחשבון שיכול להיות שדמי הביטוח האלה הם בכלל מיותרים. האם אנחנו יכולים לקבוע איזה שהן מדרגות כמנגנונים?

אני מבין מאד את העניין הכלכלי. יש שתי אפשרויות, שאחת מהן היא ליצור איזשהו מדרג, ואז אתה יכול לומר שכאשר הגורם המאשר מאשר חתימה, הוא צריך לקבל דיווח על הסכום.

הוא לא צריך, זה לבחירתו. זאת בחירה עסקית של הגורם המאשר, אם יש מגבלה או אין מגבלה.

הוא לא מאשר חתימות. על כל עסקה הוא יצטרך לקבל דיווח.

לא על כל עסקה. אני אתחיל מהסוף. קודם כל, צריך לשנות את החוק.

לפני שתיתן עצה משפטית, אתה מוכרח להבין קודם כל מה קורה. אני מקבל אישור שהחתימה שלי בצורה דיגיטלית היא של מיכאל איתן מכוכב יאיר, ואני שולח תעודה כזאת.

אתה יכול לחתום על שקל, או על מיליון דולר.

מה אתה רוצה שהגורם המאשר יעשה?

אני יכול לרשום את הילדה שלי לגן, אבל איך תעריך את הנזק, אם היא לא נכנסה לגן היוקרתי?

זאת כבר שאלה משפטית.

אבל אם אתה רוצה לעשות דירוג ולקבוע גורם א', גורם ב' וגורם ג', האם הוא יכול לחתום על ההרשמה של הילדה לגן או לא?

לתעודה יש גובה של כיסוי, או של הסכום אותו היא מכסה.

אז אנחנו מחייבים.

אני לא חושב שצריך לחייב, אלא רק לאשר את זה לבחירה העסקית של הצדדים. אני חושב שהאינטרס של הגורמים המאשרים יהיה במידה שהלקוח שלהם לא רוצה את זה בלי מגבלה של סכום, הם יקבעו את המגבלה בתעודה.

אבל אם הם לא חייבו, אז מה?

הם לא צריכים לחייב. אם הם לא רוצים, החשיפה שלהם גדולה יותר.

אבל הבעיה היא לא החשיפה שלהם, אלא מה הביטוח שמחייב אותם לעשות - -

זה השלב השני. אם החשיפה שלהם גדולה יותר, הביטוח גבוה יותר.

אז מה זה עזר לי? בא גורם מאשר ואומר: אני לא רוצה להוציא בכלל תעודות עם גובה סכום, כמה אני צריך לדרוש ממנו ביטוח?

אני לא יכול לשלוף מהשרוול. חבר-הכנסת איתן, מה שיש לנו פה זה איזשהו מדרג מאד מאד נמוך, ואפילו בתור רצפה הוא פשוט בדיחה. אני חושב שנציגי משרד המשפטים צריכים לעשות איזושהי עבודה.

אבל הם לא יודעים יותר טוב ממך.

שיתייעצו עם מומחים לגבי החשיפות.

קודם כל, אלה התשובות שקיבלנו. זה לא ביטוח אבסולוטי. זה איזשהו סכום שאנשים יכולים להיפרע ממנו. אנשים שעושים עסקאות בסכומים גבוהים, או גורמים מאשרים שמרגישים שהם חשופים ביותר, כל אחד יעשה לו את החשבון שלו ואת הביטוח שלו. העובדה שאנחנו אומרים שצריך להיות פה סכום מסוים, לא אומרת שכל אחד יקבל את מלוא הנזק שלו, ואם הילדה לא נכנסה לגן, יממנו לו את התהליך המשפטי, כי יורם הכהן ישב בבית, ולכן הוא יקבל פיצוי.

אבל הוצעה כאן הצעה.

אני לא יודעת לעבוד עם ההצעה הזאת.

ההצעה שלו, כפי שאני מבין אותה, אומרת כך: גורם מאשר שירצה להוציא תעודות ללא הגבלה, יצטרך ביטוח הרבה יותר גדול, וגורם מאשר שלא ירצה להוציא הרבה כסף על ביטוח, שאני כאן בצורה שרירותית מחייב אותו, במטותא ממנו שיוציא רק תעודות עם הגבלה, ואז יידע האדם שהעסקאות מוגבלות עד לגובה כזה. אז השאלה היא מה נעשה, אם הוא יוציא הרבה תעודות כאלה.

אנחנו כל הזמן נסתבך.

כשהמדינה באה להיות שם, היא באה להבטיח איזשהו ביטחון, ולכן היא "יושבת" שם. למה המדינה "יושבת" שם?

לדעתי, אנחנו התבלבלנו פה לגמרי. הגורם המאשר צריך לאשר שאתה בעל התעודה, ואם עבדת עליו, הוא הוציא לך תעודה, ואתה לא אתה, הוא לוקח סיכון.

מי לוקח סיכון?

הגורם המאשר.

כן, אבל אדם שלישי הסתמך ונגרם לו נזק.

גם אם תעודה טובה ונכונה, אני יכולה לעשות מעשי תרמית.

אין על זה חשיפה.

אנחנו לא מדברים על זה.

זה לא דומה למנהל התיקים. מנהל התיקים מגן על עצמו. מחר הוא יעשה פעולה טיפשית, והוא יפסיד את כל הכסף של הלקוח בבורסה, אין קשר.

גברתי, את טועה. מדובר כרגע על הקטע שבו הגורם המאשר טעה, פעל ברשלנות, ובאים אליו בתביעה. אנחנו מדברים רק על הקטע הזה. הוא לא אחראי ממילא על שאר הקטעים.

הוא אחראי רק לזה. היקף עסקאות ועסקאות גרועות אני יכולה לעשות גם עם תעודה אותנטית.

זה בדיוק כמו יועץ השקעות, שפעל ברשלנות.

זה לא אותו דבר. האחריות המקצועית של איש שעוסק בניהול תיקים, או בהשקעות, היא לעשות השקעות הגיוניות סבירות, נכון?

אני הבאתי את הדוגמה של מנהל התיקים רק כדי להראות שיש יחס בין היקף החשיפה להיקף הביטוח.

האם אי אפשר להקביל את הפעילות של הגורם המאשר לנוטריון היום בשטח? כשאני הולך אליו היום, על סמך איזשהו כתב, ייפוי כוח, אני עושה עסקאות ענקיות. האם הנוטריון, נכון להיום, מבטח את עצמו כנגד העסקאות שאני עושה היום? האם לכל נוטריון בארץ יש היום ביטוח בסכומים כאלה? אני מנסה להקביל את זה לתהליך הנוכחי היום.

זה לאו דווקא נוטריון, אלא גם עורך-דין רגיל. יש לו ביטוח אחריות מקצועית, אבל לא נקבע בחוק, שהרשם שיש לו גורם כזה - -

אז למה אנחנו פה - -

אני לא יודע, זה נקבע בחוק.

יש איזשהו בלבול עם העניין של היקף העסקה בתעודה. יכול להיות שבתעודה עצמה יהיה כתוב מה הוא ההיקף הביטוחי שיש לתעודה הזאת, זאת אומרת: זה יהיה מפורסם ב-CP, ואז האדם יודע - -

מה הוא יודע? האם הוא יודע כמה תעודות הונפקו? הוא לא יודע דבר.

לא, בתעודה הספציפית.

האם הוא יודע מה הסיכון ומה היקף העסקאות?

הוא יודע שהוא יכול לקבל פיצוי במקסימום עד 10,000 דולר, וזה כתוב לו ב-CP ובמאפיינים של התעודה כשהוא הסתמך, ועכשיו הוא צריך להעריך האם הוא רוצה להסתמך על התעודה הזאת, או לא רוצה להסתמך עליה.

זה מה שאמרנו עכשיו.

אני דיברתי על היקף העסקאות. החוק קובע שאפשר להגביל את היקף העסקאות בתעודה. יורם הכהן מדבר עכשיו על היקף הביצוע, איזשהו גילוי על הביטוח, ואני לא חושב שזה רלוונטי. אנחנו מדלגים על השלב של סעיף ההסמכה בחוק.

זה נכון שסעיף ההסמכה בחוק הוא בעייתי, כי לפי מה ששלמה שהם אמר, הוא קובע איזושהי דרישה שיהיה כיסוי לפעילות. אם לשיטתכם זה לא כיסוי מלא, זה בסדר, והציון של זה ב-CP הוא פתרון טוב.

ההגבלה של היקף החתימה שאיתה השתמשו, היא רלוונטית אולי למסמכים בנייר, אבל לא לעולם ממוחשב, שבו אני יכול באותה קלות לבצע 1,000 עסקאות של 1,000 שקל או אחת של 1,000,000 שקל ובפחות זמן. זה פשוט לא רלוונטי לעניין החשיפה. אם פעם אחת הוא פעל ברשלנות וקיבלתי תעודה שמאפשרת לי לעשות עסקאות של 1,000 שקל, מבחינתי היא גם שווה מיליארד שקל. אף אחד לא בודק את הנייר, אלה מערכות ממוחשבות. אני מבצע 1,000 עסקאות בשנייה אחת, וזה פשוט לא רלוונטי.

אני לא בטוח שהפער נובע מהנייר או לא מהנייר. יש כאן שני פרמטרים, שליהי חזרה עליהם: האחד – היקף העסקה, והשני – מספר התעודות. ביחד הם נותנים לנו את היקף החשיפה הכוללת. הנייר פה מתייחס אך ורק למספר התעודות, ויש התעלמות מוחלטת מהיקף העסקאות.

יש שלושה פרמטרים: אחד – מספר התעודות, השני – מה ההיקף שנעשה בכל תעודה, והשלישי – תעודה מסוימת שהנפקנו עליה 1,000 שקל, כמה פעמים נעשה בה שימוש? לכאורה, כרגע יש מספר אפשרויות: אחת – שרשם הוציא תעודה, ואין לו שום מושג כמה פעמים השתמשו בה. יש היום גם טכנולוגיות קיימות, שמאפשרות לדעת כמה פעמים נעשה שימוש בכל תעודה, ויותר מזה, נותנים אפילו אישור מראש לתעודה לפני שהיא מונפקת פר חתימה. יש גם טכנולוגיה כזאת, ואז אפשר לעקוב בדיוק אחר הסכום. זאת טכנולוגיה קיימת שרצה אוטומטית.

זה מאד מסורבל.

זה סותר את הגרסה שהגורם המאשר לא מעורב בעסקאות מבחינת החוק.

אני אגיד למה זה לא סותר. הגורם המאשר לא חייב להיות מעורב. הוא נותן אישור לזיהוי, וכל מה שהוא יכול לעשות זה לספור כמה פעמים נעשה שימוש בדבר הזה, ואין לו שום מושג האם החתימה נעשה כאן עבור גן ילדים, כמו שנאמר כאן, או למשהו אחר. אין לו שום צורך לעקוב. הוא יכול רק לעקוב מספרית כמה פעמים הדבר הזה הונפק בסכום מסוים באותה תעודה. הוא בכלל לא מעורב בעסקה. זה פותר את היקף החשיפה.

זה לא נותן היקף חשיפה, אלא מספר שימושים.

כן, אבל אם כל תעודה חשופה נניח עד לסכום של 1,000 שקל, ומופיע מספר הפעמים שנעשה בה השימוש, אני יודע בדיוק כמה תעודות הוא הנפיק ולאיזה סכום הוא נחשף.

זה בתפיסה שהוא הציע כאן, שמה שמוגדר בכל תעודה זה סכום עם כיסוי. פה מדובר על כך שיש לך תעודה, שאתה יכול להשתמש בה לפעולות עד 1,000 שקל. נזק יכול להיגרם לך גם בהרבה יותר.

הרשם אומר: אני זיהיתי אותך ברמה מסוימת, ולכן אני מאשר שאני חשוף לתביעה – ואת זה יודע גם המסתמך – עד סכום כזה וכזה, זאת אומרת: המסתמך יודע שהוא קיבל כאן תעודה אלקטרונית, שהיא עם זיהוי שהוא טוב עד לסכום כזה וכזה. הוא יכול להחליט האם הוא משתמש בה, או לא משתמש בה. אם זאת חשבונית על פיצה, הוא ישתמש בה, כי זה בסדר, ואם זאת קניית בית, הוא יגיד שהוא לא משתמש בה.

האם מישהו יכול להגיד, כמה יעלה לגורם מאשר לבצע ביטוח, אם נלך לפי הצעת התקנה, ולפי מה שקבעו כאן? כמה תדרוש ממנו חברת הביטוח עבור 50,000 תעודות כדי לבטח את עצמו נגד נזק ב-1,000,000 שקל?

עוד אין מודל כזה בארץ.

תזרקו סכום. האם מותר לי סתם לזרוק סכום? היא תבקש ממנו 1,000 שקל, או 2,000 שקל לשנה?

עוד לא ראיתי חברת ביטוח שתעשה משהו בשביל 1,000 שקל.

זה עשרות אלפי דולרים. תסתכל על הפוליסות לרשלנות מקצועית לכל העיסוקים החופשיים. ראשית, אין כלים למדוד ולהעריך זאת, ואף חברה לא תסתכן. שנית, היא מחויבת בביטוחי משנה.

אבל התחום הוא צר מאד, מדובר רק על הרשלנות המקצועית שלו. החשיפה לסיכון היא קטנה מאד.

אף אחד לא יודע. הן פשוט יחששו, מפני שאין ניסיון קודם.

זה מיליון שקל למקרה או לתקופה? זה מיליון שקל למקרה.

אני זרקתי בכוונה סכום נמוך, אבל אתה זרקת סכום גבוה.

פוליסות של רופאים שמתפלגות על-פני אלפי רופאים הן בסדרי גודל של 4,000 דולר. פוליסות של משרדי רואי חשבון בינוניים הן בסדרי גודל של עשרות אלפי דולרים. הסכומים נקבעים על-פי הערכות הסיכונים של מבטחי המשנה ושל המבטחים בארץ. לעניות דעתי, אין כאן עדיין שום ניסיון קודם, וכדי להבטיח את עצמם, הם "יתקעו" סכומים מההפטרה. מה שאנחנו מנסים לעשות עכשיו זה אקדמי לחלוטין, כי אין לנו שום אינפורמציה, אבל בתחום הזה גם בעולם אין עדיין אינפורמציה, שתוכל לבסס איזה שהן הערכות.

יש פוליסות בעולם.

לא בחקיקה. גורמים מאשרים בחוץ לארץ צריכים להפקיד ערבות בסכום של 50,000 דולר, 75,000 דולר, ובזה נגמר הסיפור.

ואין להם צורך בביטוח?

הם בטח עושים ביטוח, אבל אף אחד לא דורש בחוק. אומרים שיש להפקיד משהו לדברים הרגילים. אנשים "לא מי יודע מה" שעושים עסקאות, יקבלו את הפיצוי, ואנשים אחרים לא יקבלו את הפיצוי.

למה נקבעה בחוק את הדרישה של הביטוח לכיסוי?

כי רצינו לאפשר גמישות. אנשים בוועדה אמרו שאולי יהיו אנשים שיהיה להם קשה עם הערבות, והם ירצו את האופציה של הביטוח, אז נתנו את האופציה של הביטוח.

אבל לפי התקנות זה לא חלופי.

זה חלופי, וזה אפשרי ביחד, לפי מה שהרשם יקבע. נתנו את מקסימום הגמישות. אנחנו רוצים שהגורמים יוכלו להיכנס לפעילות, ואנחנו לא רוצים להרוג אותם בתחילת הדרך. לרשם יש סמכות לשנות את הערבות. אם הוא יראה שיש בעיות, הוא ישנה אותה.

יש לו סמכות לשנות את הערבות כלפי מטה.

לא נכון, לפי החוק יש לו סמכות לשנותה לכל הכיוונים.

כדאי להבדיל בין ערבות לבין ביטוח מבחינת הכיס של ה-CA, למרות שאנחנו לא CA. הערבות היא סכום שהאדם שם בבנק. לגבי ביטוח, הוא יכול בסכום מאד קטן לבטח סכומים מאד גבוהים, ואלה שני דברים שונים.

רצינו ללכת לקראתם ולאפשר גמישות. רצינו להבטיח איזשהו מינימום, ולא לעשות פה חישובים אקטוארים. ניתן להם לצאת לדרך. הרשם יכול לשנות את הערבות, כשהוא רואה שיש בעיה.

מדובר על הערבות. הביטוח הוא סכום קבוע, שאין לרשם יכולת לשנות אותו.

למה הוא לא יכול לשנות אותו?

שאלת כאן לגבי ניסיון. יש ניסיון מסוים בנושא של ביטוח לצורך הזיהוי. זה גם תלוי בטכנולוגיה שבה אתה מזהה, כי אחד הדברים שחברת הביטוח תבדוק זה איך בדקת ואיך אתה בודק באופן רציף. בגלל ששאלת מה הפרמיה, אני מדבר על הפרמיה.

אבל הפרמיה היא מול הסיכונים. הביטוח לא מכסה כל מיני מקרים שקרו, אפילו בגלל בעיות שקרו בדרך בביצוע העסקה והנזק שנגרם לאדם.

אך ורק בגלל רשלנות של ה-CA בקטע של הזיהוי.

רשלנות והתנהגות פלילית.

זאת לא רק הרשלנות, אלא גם היכולת שלו, זאת אומרת: מה קורה אם קרתה כאן איזו תקלה, למרות שאף אחד לא היה רשלן, ובכל אופן היתה התנהגות פלילית של החותם. יכול להיות שה-CA היה בסדר, ויחד עם זה לחותם היתה התנהגות פלילית.

זה לא מכסה, וזה לא מעניין אותנו. לכן אני אומר שהפרמיה כאן לא צריכה להיות כל-כך גבוהה, כי בתוך כל העסקה הזאת, המקטע של האחריות של הגורם המאשר הוא מאד קטן.

לכן אמרתי שזה תלוי בטכנולוגיה של תהליך הזיהוי.

זה לא תלוי בתהליך הזיהוי. אם הוא משתמש בתהליך זיהוי מיושן לחלוטין, אבל רשם הגורמים המאשרים לא פסל אותו, והוא מקובל עליו, הוא לא אחראי.

אין לנו דבר כזה.

אבל את חברת הביטוח מעניין הסיכון, כמו שאמרת.

הוא צריך לעבוד לפי התקנות ולפי הוראות הרשם, זה הכל, ובזה הוא מילא את חובתו. זה לא משנה כרגע מה הטכנולוגיות או מה קורה בעולם.

איזו תביעה יכולה להיות מול הגורם המאשר?

שהוא התרשל בתפקידו מול הדרישות בחוק. אם החוק אומר שעליו לבצע בדיקה בצורה מסוימת והוא בדק לפיה, ואתה תוכיח שהחוק אידיוטי, זה לא חשוב. אנחנו מדברים רק על מצב שבו הוא לא מילא את מה שדורשים ממנו למלא, ולכן אחריותו היא די צרה.

לדעתי, גובה הביטוח צריך להיות ביחס ישר לאחריות של הגורם המאשר. יש דוגמאות לרשלנות, למשל: מה קורה כשבעל התעודה הוא בעל תעודה מזויפת, או אם אני מנפיק תעודה לפלוני בעל עבר פלילי? אני סתם נותן דוגמאות. מה קורה כשפלוני הוא בעל עבר פלילי? האם גם אז יש לי אחריות על המעשים שלו? יכול להיגרם נזק, גם אם הכל בסדר, אבל כל פעם שאני אעביר את הכרטיס, ייאמר לי שאני לא מצליח לפתוח את המסמך, כי המסמך מוצפן.

מה הבעיה? למה זה שייך אלינו?

זה גם נזק שנגרם.

זה שייך לגורם המאשר.

זה נקבע בחוק.

אני סיפקתי טכנולוגיה.

לא מדובר כעת על בעיות של טכנולוגיה, זה משהו אחר.

אבל אם מכניסים לפה ביטוח, בוודאי ייכנסו לפה עניינים שייפגעו גם כתוצאה מ-FALSE REJECTION, ויתבעו מהגורם המאשר פיצוי עבור הנזקים. זה אומר שלמעשה הגורם המאשר צריך להטמיע מנגנון שהוא מקביל לכרטיסי אשראי. יש אחד שיש לו כסף ויש לו כרטיס פלטינה, והוא יכול לעשות עסקאות, ולעומת זאת יש אנשים שהם די מוגבלים. לדעתי, לפי המגמה שאני שומע עליה כאן, יש להכניס מנגנון שמגביל את השימוש בחתימה הדיגיטלית, וכן מערכת סיווג רמת האבטחה, כלומר: יהיו אנשים שיהיה להם סיווג יותר גבוה ואנשים בעלי סיווג יותר נמוך. סיווג יותר גבוה, ידרוש יותר בדיקות – וזה לדעתי מה שמשתמע מהדברים.

השאלה היא האם אנחנו צריכים להיות הראשונים בעולם שעושים את זה.

לדעתי, לא. אני חושב שהגורם המאשר צריך לבוא עם תכנית לרשם, המפרטת איך היא מכניסה רשימה כזאת, ויש לה נהלים כאלה ואחרים.

אבל אנחנו מדברים כעת על ביטוח.

אבל זה מקטין את רמת הסיכון.

אבל אנחנו לא מדברים על התוכנה.

אני חושש משני דברים, יותר מהכיוון שאליו גררנו את הדיון עכשיו. קודם כל, אני חושש מהמודל התחרותי. מדובר פה על עסק ועל פעילות שהיא פעילות עסקית. אני מצטרף למה שאמר אבי פרידמן מלשכת רואי החשבון על כך שאין ניסיון, אבל יש פה סיכון, ובלי לדעת פרטים ואינפורמציה - כי אין היסטוריה – נקבע איזשהו רף, שיגרור כלפי מטה את כל הביזנס, בכיסוי שהוא מעניק לשחקנים, שמשתמשים בכלים האלה לביצוע חתימותיהם.

מה המסקנה מהמשפט הזה?

אני מחבר את זה לעניין התחרות. לו אני הייתי אדם שמשתמש בחתימות אלקטרוניות, היה לי מאד חשוב לדעת מי הוא אותו גורם מאשר שמולו אני עובד. אשמח מאד לקבל מגורם מאשר א' תעודה, שמאפשרת לי לפעול בכיסוי ביטוחי מלא מול כל העולם, שעלול להיפגע או לא להיפגע מפעילותי, כנ"ל לקבל חתימות מצדדים אחרים, וכאשר אני רואה על התעודה שיש ביטוח שמכסה את הפעילות בגין העסקה הספציפית עד גובה מסוים, להחליט לבד מה לעשות. מדובר במודל תחרותי.

אם תשלם עבור זה, אין בעיה, תקבל.

אני אשלם, ואם אני אחליט לקחת את הסיכון, אני אחליט לקחת את הסיכון, והוא יהיה עליי. בתוך מודל תחרותי כזה, יישארו מספר גופים שייתנו את השירות הנאות.

אם אני מסתכל על הרציונל שעומד מאחורי ההבדל בין הערבות למודל הביטוחי, אני חושב שהמודל הביטוחי אמור באמת לכסות את הפעילות העסקית של המסתמכים, אבל הערבות אמורה – וזה לא הנוסח בתקנות – לכסות מקרה שגורם מאשר מפסיק לעבוד, מכיוון שאני חושב שהרציונל שעומד מאחורי אותו סכום הוא שאם גורם מאשר מפסיק לעבוד, והנטל כמו שאתם אומרים בתקנות הוא על הרשם, זה צריך להיות המקור שבו ישתמשו.

את זה לא קבענו בחקיקה.

זה לא שייך, אם הוא פישל, בית-המשפט יאמר שיש ערבות על סך 400,000 שקל.

זאת אומרת שהרשם ייגש לבית-המשפט?

אם נגרם לי נזק, ואני מצליחה להוכיח לבית-משפט שנגרם לי נזק בשווי של 100,000 שקל, אני אומר לבית-משפט: אני מבקשת להיפרע מהערבות, והוא יאמר לרשם שעליו לשלם לי 100,000 שקל.

אבל אני מקצה את הערבות הזאת.

אתה לא מקצה דבר, זה נמצא אצל הרשם, מוגבל לסכום של 400,000 שקל.

אבל זאת הערבות שלי. אני רוצה לכסות את זה בביטוח.

אתה אומר שזה רק למקרים של פשיטת רגל, ואני אומרת לך לא.

אני אומר שכשאתה יושב במשרדי הגורם המאשר ודורש סכום כסף, ההגיון אומר שסכום הכסף הזה צריך לשמש למצב שבו אין גורם מאשר. הגורם המאשר הפסיק לעבוד, ועכשיו הרשם גם כן נפגע, ומוטלים עליו חובות.

אם אתה תגיד: בבקשה אל תגעו בערבות, כי אני אוציא מהכיס 100,000 שקל ואתן אותם לטנה, מאה אחוז, אין שום בעיה, לא ניגע בערבות ולא בביטוח.

זה מה שיקרה, כי אני אכסה את עצמי בביטוח.

אם מצד שני תאמר שאין לך כסף, שאתה לא רוצה לשלם, או יהיו לך כל מיני עילות אחרות, אני אומר שיש לך ערבות. נכון שזה יכול לקרות לעתים קרובות, כשהגורם המאשר לא נמצא, אבל זה לא הכרחי.

אגב, הסעיף הזה היה סעיף שדנו עליו הרבה מאד וחשבנו עליו הרבה מאד, כך שלא תחשבו שהוא נכתב בקלות. מסתבר יותר ויותר שהגעתם לעמק השווה.

נראה לי שאין טעם לדבר על כל נושא העסקאות, כי הגורם בכלל לא מודע לעסקאות בין שני אנשים, והן מחוץ למשחק, כך שכל הדיון הזה מיותר. לכן אני חושב, שאם מה שכתוב בתעודה זה הסכום שהתעודה מוגבלת לצורכי ביטוח בלבד, אני כלקוח בא לרשם, ותמורת חצי שקל קונה תעודה ששווייה לצורכי ביטוח 1,000 שקל. אם אני רוצה תעודה ששווייה לצורכי ביטוח 1,000,000 שקל, אני אחזור לגורם המאשר ואני אשלם לו שמונה שקלים, שמגלמים את הפרמיה לצורכי ביטוח וכו' וכו', ואני אקח תעודה ששווייה לצורכי פיצוי ביטוחי 1,000,000 שקלים. כך הרשם מול הגורם המבטח שלו יודע בדיוק כמה תעודות ובאיזה שווי הוא הוציא, והלקוח יודע מה יש לו ביד, ומה הוא יכול לעשות עם זה.

זה לא ביטוח. צריך לזכור שמה שהלקוח יקבל, זה ביטוח רק על הקטע של הפעילות של הגורם המאשר. הוא בעצם לא מקבל ביטוח לשום דבר.

אבל אלה כללי המשחק.

לא בעל התעודה - -

גם הגורם המסתמך לא מקבל כאן שום דבר, הוא מקבל רק ביטוח למקרה שהגורם המאשר חרג ופעל ברשלנות, אבל כשהוא מסתכל על זה, הוא אומר לו: אז מה? אבל זה עדיין משאיר אותי באי ודאות לגבי 14 דברים אחרים, אז מה עשיתי פה? אחד עשה ביטוח על הרכב, אבל רק נגיד לימי גשם.

אני רוצה להציע הצעה, ברוח מה שנאמר. בסעיף 7(ב) בסיפא כתוב: "ונוסח פוליסת הביטוח יהיה להנחת דעתו של הרשם". אני מציע לכתוב "גובה הביטוח והנוסח", כי זה דבר שבזמן אמיתי הוא יוכל לבדוק את זה. הוא יוכל לפנות לחברת "ענבל" ולמי שהוא רוצה, אבל אין לקבוע כרגע את הגובה, כשאין מספיק נתונים.

אז יש לנו הסמכה לחוק. האם בתקנות מסמיכים את הרשם?

אתה גם יכול לשנות כל הזמן את הביטוח.

ב-15(ב) יש לו סמכות.

אני חושב שיש לנו פה הסכמה די רחבה, שהיקף הביטוח צריך להיות פחות או יותר באיזשהו יחס להיקף החשיפה. הבעיה שלנו היא בעיית מדידה, כי אנחנו אומרים שאנחנו לא יודעים למדוד את היקף החשיפה, אבל אם זאת בעיית מדידה, אנחנו לא יכולים להגיע בדיוק לנקודה אחרי האפס, אבל אנחנו יכולים לעשות איזשהו קירוב. הקירוב הזה בוודאי יהיה טוב יותר, אם נכניס פנימה גם את היקף המגבלה על העסקאות, ולא רק את מספר התעודות האלקטרוניות שהוצאו, ואז אנחנו נהיה קרובים יותר להיקף החשיפה. לא נגיע לתוצאה מדויקת, אבל נהיה קרובים יותר.

זה הפחד שלנו, כי אנחנו יושבים פה ולנו זה לא עולה דבר. אנחנו יכולים לכתוב דברים, כי העט סובל הכל, ואנחנו יכולים גם לקחת עוד שלייקס, ולהיות מבסוטים שאנחנו נותנים הגנה, אבל בסוף אנחנו עושים ביטוח מיותר, הביטוח המיותר עולה כסף, והכסף הזה מושת על הצרכן, ובסוף אנחנו גם מסדרים את מי שאנחנו רוצים להגן עליו, ואנחנו אומרים מראש שאנחנו לא יודעים.

אם הוא מיותר כי אין חשיפה, חברות הביטוח יבינו את זה, והפרמיה תרד כשיש תחרות.

או שהעסק ימות, לא יהיה שום עסק, ולא יידעו למה, עד שיחקרו ויבינו.

אם אתם חושבים שיש להוריד את הביטוח, אפשר להוריד את הביטוח בשלב זה ולהישאר רק עם הערבות. זאת היתה אופציה שנועדה להקל על הגורמים, מתוך הנחה שיש חברת ביטוח, שעושה איזה שהן הערכות, ומספר התעודות זאת אינדיקציה מסוימת לפעילות של העסק. נכון שאחד יכול להשתמש בתעודה מיליון פעם, ואחד לא ישתמש בה בכלל. אין ניסיון בעניין הזה. יש לנו סמכות בתקנות, אז בואו נצא לדרך.

ככל שאנחנו מדברים על זה יותר, אני רואה שהניסוח המקורי הוא בסדר.

מן הסתם נראה שחלק גדול מהבעיות שעולות כאן, הן בעיות שעלולות להתעורר, והן בעיות אמיתיות. יש ניסיון אצל האמריקאים לתת פתרון לנושא הזה באמצעות בקרת תהליכים מסוימת. אנחנו מוכנים, אם זה מתאים, להשאיר את הנושא הזה למשרד המשפטים. אנחנו נעביר לכם את החומר האמריקאי שקיים. יש להם איזשהו תהליך בקרה, שבמהלך ההכנות עוברים אותו, כדי להבטיח גם את הביטחון הכספי וגם את יתר הביטחונות. אנחנו יכולים להעביר לכם את החומר. אם תוכלו לעשות בו שימוש, תשלבו אותו.

אני מציעה שקודם כל נאשר משהו. אנחנו נלמד את הכל, נקרא את זה ונראה האם זה מתאים. לאמריקאים אין דרישה בחוק ואין להם דרישה בתקנות.

בואו נחזור להצעה המקורית של חבר-הכנסת איתן לחכות שישה חודשים.

הטענה היתה שהביטוח הוא נמוך מדי, אז כדאי להשאיר אותו כרגע כמו שהוא.

אבל הפרמטרים הם לא פרמטרים רלוונטיים.

כדאי "לשים משהו", כי אם אין שום דבר, לא יהיה ביטוח ולא יהיה דבר. אם נשאיר את זה כפי שזה, מקסימום יחזרו אלינו בתלונות, ונשמע שהביטוח לא גבוה מספיק או גבוה מדי, אבל תהיה התחלה של תהליך.

ככל שאנחנו מדברים על הנושא הזה, מסתבר שחשבו על הנושא הזה הרבה מאד, וזה המכנה משותף.

יש פה בעיה עם הסכום. למה מתייחס הסכום, למקרה בודד או לסך הכל?

כל הזמן צריך להיות הסכום הזה.

אנחנו יושבים כבר הרבה זמן עם חברת ביטוח בישראל, ונציגיה שואלים האם סכום הביטוח הוא פר מקרה.

התשובה של משרד המשפטים היא שהוא פר מקרה.

אבל זה לא כתוב. חברת הביטוח לא מבינה את זה.

אז אולי כדאי להבהיר את זה יותר טוב בתקנות.

טנה, חברת הביטוח לא מבינה מה זה אומר "כל הזמן".

בסדר.

מה ההחלטה?

הניסוח הקיים הגיע ככל הניתן למכנה המשותף.

הגיע למכנה משותף, לא בהתאם להוראות של החוק. אין פה הגנה על ציבור המשקיעים.

שמענו אותך, אתה תעביר לנו את ההצעות, ומקסימום נשנה את הדברים.

אבל הוועדה מאשרת עכשיו את התקנות. זה לא רלוונטי להעביר אחר-כך הערות.

אין ניסיון. נתחיל לעבוד, ונראה מה יהיה.

אני ממשיכה לקרוא: "מימוש 8. (א) מימוש הערבות הבנקאית, ערובה אחרת שקבע הרשם, או תגמולי הביטוח,
ערובה לזכות מי שנפגע ממעשה או מחדל של גורם מאשר בפעילותו לפי סעיף 18 לחוק,
יהיה בהתאם לקביעת בית המשפט.
(ב) בית המשפט יקבע האם הפיצוי יבוא ממימוש הערבות הבנקאית, הערובה
האחרת אם ניתנה, או מתגמולי הביטוח או מצירוף שלהם, וכן למי ישולם הפיצוי
ובאילו סכומים.
(ג) הרשם יממש את הערובה והמבטח ישלם את תגמולי הביטוח כפי שקבע בית
המשפט, עם הצגת אחד מאלה:
(1) פסק דין של בית משפט בתובענה של הנפגע כנגד הגורם המאשר;
(2) הסכם פשרה בין הנפגע לבין הגורם המאשר שקיבל תוקף של פסק דין;
(3) פסק בורר שאישר בית המשפט בסכסוך בין הנפגע לבין הגורם המאשר."

האם לא ראוי שגם לערובה יהיה תוקף של שנה נוספת כמו הביטוח?

התשובה לזה היתה שבנוסח כתב הערבות שמוגש לאישור הרשם יש כמה סייגים כאלה.

זאת אומרת שזה יהיה בתוקף עד שנה אחרי גמר פעילותו של הרשם?

אפשר להכניס את זה גם לפה.

אז אמרנו שלא נכניס את כל הפרטים.

כתוב בנוסח הערובה.

אני משער שזה יחסוך התדיינות, כשהרשם יגמור לעבוד וירצה את הערובה בחזרה.

האם לא ראוי שכל גורם מאשר יפקיד את הערובה ואת הביטוח? למה זה נתון לשיקול דעת מוקדם של הרשם? ממילא יש גם שיקול דעת להפחית את זה.

לשנות את זה, לא רק להפחית את זה.

כי החוק אומר פה.

לא, החוק אומר סעיף ההסמכה, אבל בתקנות 6 ו-7 כתוב: "קבע הרשם כי גורם מאשר יפקיד בידיו ערבות בנקאית". למה צריך קביעה פוזיטיבית של הרשם בכל מקרה ומקרה? צריכה להיות קביעה אוטומטית, שכל גורם מאשר מפקיד את הערובה ואת הביטוח, ובנסיבות מיוחדות הרשם יכול להפחית את הדרישה.

הוא יכול או זה או זה.

או זה או זה, או גם וגם. הוא צריך לקבוע בכל מקרה לגופו, האם הוא רוצה גם את זה וגם את זה, חלק מזה או חלק מזה.

זאת אומרת שיש גורמים מאשרים, שיכול להיות שבכלל לא יהיה להם לא ביטוח ולא ערבות בנקאית?

לא, נדרש בחוק "או זה או זה".

או זה או זה. אם זה לא ברור מהנוסח, נבהיר את זה.

אני הייתי מציע בסעיף 8(ב), במקום "בית המשפט יקבע", לכתוב "יהיה רשאי לקבוע", ולהשאיר את העניין הזה לשיקול דעת של בית-המשפט.

חייבים לדעת ממה לקחת את הפיצוי.

יכול להיות שהשווי גם יעלה - -

אני ממשיכה לקרוא: "מסמך נהלים 9. גורם מאשר יפעל על פי מסמך הנהלים כפי שהוגש לאישור הרשם, ולא
ישנה אותו שלא באישור הרשם.

פעולות הגורם 10. (א) גורם מאשר יבצע בישראל, את כל הפעולות הנדרשות לצורך הנפקת
המאשר תעודה אלקטרונית, ובכלל זה זיהוי המבקש, הנפקת תעודה, וניהול מאגרי
תעודות תקפות ובטלות.

(ב) גורם מאשר יביא את מסמך הנהלים לידיעת הציבור באופן נח וזמין,
בין השאר באמצעות אתר אינטרנט, בדרך המוגנת באופן סביר מפני חדירה
ושיבוש.

(ג) גורם מאשר ינפיק תעודה רק לאחר שביצע פעולת אלה:

(1) זיהה את המבקש ובדק את אמצעי אימות החתימה שבידיו, לפי
הוראות תקנות חתימה אלקטרונית (מערכות חומרה ותכנה ובדיקת בקשות), התשס"א-2001;

(2) בדק כי כל הפרטים בבקשה לקבלת תעודה נכונים ומלאים;

(3) הזהיר את המבקש בדבר הסכנות הכרוכות בשימוש בחתימה אלקטרונית, החובות המוטלות עליו, והמבקש אישר בכתב כי הוזהר כאמור."

כתוב "גורם מאשר יבצע בישראל". המילה "בישראל" היא בעייתית, משום שיכול להיות שיהיה גורם מאשר בישראל, שלמשל, ירצה לזהות את הלקוחות שלו בחוץ לארץ. ניקח למשל את אותו משרד רואי חשבון שדובר עליו קודם, או בנק לצורך העניין. לבנק יש שלוחות ונציגויות בחוץ לארץ. יבוא לקוח שירצה לקבל תעודה מהבנק בניו-יורק, ולפי מה שכתוב פה, הוא לא יוכל.

אני גם רוצה להפנות לתקנה 15 מהתקנות שדנו בהן בשבוע שעבר. שם נאמר: היה מבקש יחיד אשר זוהה שלא לפי תעודת זהות, תכלול התעודה האלקטרונית שתונפק לו את מספר הזיהוי על פיו זוהה לפי תקנה 11, ואם היה המבקש תושב חוץ, גם את מקום הנפקת המסמך המזהה, כלומר: התקנות של שבוע שעבר לקחו בחשבון שהמסמך יכול להיות מונפק מחוץ לישראל, וכאן כתוב "בישראל".

הזיהוי עדיין נעשה פנים אל פנים כאן.

הבעיה היא בעיה, אבל זה לא שייך לתקנה ההיא.

אני חושב שיש איזשהו הגיון כלכלי מאחורי העניין הזה. אם אנחנו רוצים לעודד את הפעילות הכלכלית, ואנחנו בעיקרון הטלנו חובת זיהוי, האם לא יכול להיות מצב שאנחנו נאפשר למישהו לצאת לחוץ לארץ לצורך זיהוי?

על פניו התשובה היתה שלא.

למה לא?

אם לבנק לאומי יש סניף בניו-יורק, אין לי בעיה, כי זה חלק מהבנק.

אתה אומר שאפשר למחוק את המילה "בישראל", ולומר: "גורם מאשר יבצע את כל הפעולות הנדרשות".

זה בכלל לא פשוט, כי אתם צריכים להבין שהרשם צריך לפקח על הגורמים האלה. יורם הכהן עוד מעט יגיד לנו שיש אולי עוד פעולות שאולי לא כדאי לעשות בישראל. השאלה היא איזה אחריות הרשם לוקח, ומה הוא יכול לבדוק. הוא צריך לבדוק, שהגורם המאשר פועל, איך הוא פועל, ולעשות את הפיקוח במקום.

זה לא הגיוני. אנחנו חיים בעידן של גלובליזציה, עסקאות בינלאומיות, עסקים שזורמים מפה לשם, ואנשים שנוסעים לכמה שעות לניו-יורק. לא יכול להיות שאנחנו נעצור את הדברים האלה, בגלל שהרשם צריך לוודא שמישהו לא רימה, ואז יאמר לשניהם לבוא לישראל.

למה? הוא צריך לעמוד בדרישות תקן מסוימות.

אנחנו אומרים לו: אתה צריך לזהות אישית.

האם אתה מדבר רק על הזיהוי, או על הפעילות?

אני מסתכל על מה שיקרה מחר בבוקר. אנשים שירצו לעשות עסקה, יצלצלו מניו-יורק, ויגידו לאדם: אתה חייב לבוא לכאן.

מה רע אם נמחק את המילה "בישראל"?

אם נגיד גורם מאשר עושה את הפעילות שלו בניו-יורק, כרשם עליי לוודא שהוא בטוח, שיש לו תקנים, שהמקום שלו בטוח וכו'.

אם אומרים לו: יש לי עסקה מיוחדת בניו-יורק ולכן צריך לאפשר שם את הזיהוי, הוא אומר לו: בסדר, סע, אני מסכים.

אתה מדבר רק על זיהוי, לא על פעילות.

זיהוי מתבצע בעיניים שלי, השאר – אני לא יודע מה.

אם מאגרי המידע לא יהיו בישראל, אין עליהם שליטה.

אני דיברתי עכשיו על זיהוי. אם אתה אומר לא מאגרי מידע, שכנעת אותי. יכול להיות שיש משהו אחר שגם מתאים.

אני רוצה להוסיף פה ארגומנט. הרי החוק מכיר באפשרות להכיר בגורם מאשר זר.

בסדר, אבל אנחנו בינתיים לא מכירים. אם יהיה גורם מאשר זר, שמישהו אחר לקח עבורו ערבות, בדק אותו וסקר אותו, אני אבדוק טוב טוב מי זאת המדינה, מה היא בדקה ואיזה תנאים יש לה, ואז יכול להיות שאני אאשר אותו, אבל אז זאת מעין חבילה שלמה. גורמים מאשרים ישראלים צריכים להתנהל בישראל, כדי שאפשר יהיה לפקח עליהם.

אבל הרשם - -

מה אנחנו רוצים מהרשם? אנחנו צריכים לתת לו איזה מרווח סביר.

בעיניי, זה סביר מאד.

אם יהיה לו שיקול דעת בתנאים מסוימים, או יהיה לו נוטריון בחוץ לארץ וכל מיני תנאים מכבידים שם לזיהוי, אין לי בעיה, אבל זה לא נראה לי לגבי כל שאר הפעילות.

ברירת המחדל היא שזה צריך להיות בישראל, ומשיקולים שיירשמו, הרשם רשאי לאשר - -

אבל איך הוא יידע?

הוא יראה לו איזו בקרה יש לו, איזו ביקורת ואיזה תקנים.

מה קורה אם העסק שלך נמצא בחוץ לארץ, והרשם יצטרך כל הזמן לבדוק - -

כמו שאמרת, הוא יביא לו אישור נוטריוני.

שיש לו בטיחות?

לא.

רק זיהוי?

על זיהוי ספציפי. תני לו את שיקול הדעת, ממה את מפחדת?

משום שאם אני הרשם ואני צריכה להגיד לרשם שלנו: אתה יכול לעשות את זה או לא, תהיה לנו ביקורת שנוסעת ניו יורק-ישראל.

לא, יהיו לנו ביקורות בשלט רחוק דרך המחשבים.

אנחנו כתבנו בנוסח של התקנות לעניין החתימה, שהגורם המאשר יכול לפעול באמצעות נציג או שלוח בישראל. אולי אפשר להוסיף פה "גורם מאשר יבצע באמצעות נציג שאושר בידי הרשם", ואז נפתרת הבעיה, מפני שאם זאת שלוחה בחוץ לארץ של בנק לאומי, הגורם המאשר יגיש בקשה לרשם.

לגבי הזיהוי?

הבעיה היא בעיקר לגבי הזיהוי. אם הגורם המאשר מסמיך את בנק לאומי ניו-יורק לבצע את הזיהוי, זה בסדר.

גם יכול להיות מצב שאנחנו לוקחים את הביזנס מגורם מאשר ישראלי, שיכול להרוויח כסף, ושולחים אותו לגורם מאשר חוץ, כי שם הוא יוכל לעשות את הביזנס, והישראלי לא יוכל לעשות. הזיהוי הוא אותו זיהוי.

בשבוע שעבר הוזכר IDENTRUST, שזה איזשהו מיזם בין בנקאי בינלאומי, ושם לפחות חלק מהתכנית מדברת על מחשבים שלא נמצאים בארץ, ושם יונפקו התעודות. אני לא רואה סיבה להפיל את כל הפרויקט הזה רק בגלל הדרישה בישראל.

בשביל מה אנחנו דורשים רשם עם סמכויות מפה עד להודעה חדשה, שצריך לפקח? בשביל זה משלמים, ויש לו פעילויות.

המיזם לא ייפול.

אז מה? אז שהוא יישב בניו-יורק?

המיזם לא ייפול, הוא רק לא יהיה ישראלי. הוא יקבל אישור של הרשם, אבל הוא לא יהיה ישראלי.

כמו שהיית מוכנה לקבל פיקוח בנוסח המקורי של התקנות של WEBTRUST לדוגמה, שזה איזשהו פיקוח חיצוני, אפשר לקבל פיקוח של גורמים, שהרשם יקבל אותם לצורך בקרה על אותו חלק מפעילות הגורם המאשר, שנמצא בחוץ לארץ. זה עולם גלובלי.

אנחנו לא יודעים לעשות את זה. אנחנו לא יודעים להכיר בהם, אנחנו לא יכולים לסמוך עליהם, אנחנו לא יודעים האם הם חיים או מתים. אנחנו רוצים לעשות עסקים בארץ.

יש כמה סניפים בישראל ויש כמה סניפים בחוץ לארץ. אחד מה-REGISTRATION AUTHORITY - אותו מסוף שבו מתבצעת פעולת הזיהוי - נמצא בסניף הבנק בניו-יורק, והגורם המאשר בישראל בדק, חתם והסמיך. כמו שתפקידו של הגורם המאשר לנסוע לטבריה, ולבדוק שם שה-REGISTRATION AUTHORITY פועל כהלכה והוא חותם על זה, הוא יטרח, ייסע לניו-יורק ויבדוק.

אין בעיה.

אם הוא פועל באמצעות נציג שהוא בדק ואישר, זה בסדר, ואני חושב שזה עונה על הבעיה.

מבחינת הזיהוי אין לי בעיה.

הבעיה העיקרית זה הזיהוי. אני מסכים שכל שאר הפעילות מתבצעת בארץ.

IDENTRUST מדברים על משהו אחר.

אז אם אפשר, לפחות את הזיהוי יש להוריד, ולהשאיר רק "הנפקת תעודה".

צריך לשלוח אותה - -

לא צריך לשלוח, זה באופן אוטומטי. אין עם זה שום בעיה.

ואם הוא מנפיק את זה ב-IDENTRUST?

IDENTRUST צריך אפשרות לפעול בארץ ולהנפיק את זה בארץ. למעשה, המשמעות היא שפוסלים את העניין של גורם מאשר חוץ לארץ.

אני מבקש שיוסיפו בסוף, שהרשם בנסיבות מיוחדות, יהיה רשאי לפטור מהוראות סעיף זה.

ואז מי שמבקש את זה, יצטרך לשכנע שיש נסיבות מיוחדות.

אני לא רוצה להגיד מילים חריפות, אבל אני מוכרחה לומר לכם שלי זה נראה לא אחראי. אנחנו נכנסים לפרטי פרטים - גם עם נציגי מכון התקנים - כדי שנוכל לפחות בחצי שנה הראשונה, או בשנה הראשונה, לפקח בצורה רצינית על הפעילות. לא נראה לי שצריך לנסוע לארצות-הברית כדי לעשות שם פיקוח, עם כל הכבוד, ושהרשם יצטרך להתלבט בעניין הזה. מה אנחנו רוצים מהרשם? איך הוא יכול לדעת?

מה זאת אומרת מאיפה הוא יכול לדעת?

הוא לא יודע דבר.

אז לא צריך רשם. הרשם יודע שיש לו שליחות כללית לוודא שהכל יעבוד כשורה, לעשות ביקורות ולשמור על הביטחון הכלכלי של כל הצדדים, ולכן הוא מפקח על הגורם המאשר ועל פעילותו.

לא על הגורם הכלכלי, על הפיסי.

תפקידו לפקח על הגורם המאשר. עכשיו בא אליו גורם מאשר.

והוא אומר לו: תפקח עליי בניו-יורק.

הוא אומר לו: תפקח עליי בניו-יורק, אז הוא שואל אותו למה, והוא עונה לו: כי יש לי אפשרות להרוויח כסף. הוא יאמר לו: אדוני, זה עוד לא מספק אותי. הוא יאמר לו: יש כאן עסקה מאד גדולה, שמבחינה כלכלית תועיל למדינה. עדיין חובת הרשם נשארת בעינה. הוא מבקש ממנו להסביר לו איך הוא יכול לתת לו אמצעי ביטחון חליפיים. הוא לא יגיד לרשם באותו רגע: אתה כבר לא בתמונה.

אני חושב שכדאי שזה ייעשה, אבל אין לי כלים. הרשם יגיד: אין שום בעיה, מה שאתה מבקש הגיוני, והכל בסדר, אבל אני לא יכול לעשות זאת. אני שואל, מה את מפחדת שיקרה? שהרשם הזה יוותר כל-כך מהר על סמכויות הפיקוח שלו?

אני חושבת שאתה מטיל עליו עול כבד מאד.

זה לא עול. הוא לא ייקח את זה על עצמו, אם זה יהיה עול. אם זה יהיה עול, הוא לא יסכים לכך.

בואו נשים את הדברים שאתה אומר בפרופורציה. אנחנו מדברים על אזרחי מדינת-ישראל, ועל מקרים חריגים של אזרח ישראלי שעובד בחוץ לארץ וצריך להזדהות. אתה אומר שכביכול יהיו מיליוני תעודות, או איזו עסקה יוצאת מן הכלל של אזרחים בחוץ לארץ שירצו להזדהות בפני גורם מאשר ישראלי. לפי דעתי, זה מקרה חריג. לכן, יותר כדאי להקפיד להגן על אזרחי מדינת-ישראל ועל 99% מהמקרים, כי זה התפקיד הראשון שלנו, ולאפשר לאחוז אחד להזדהות בניו-יורק - רק לעניין הזיהוי - כדי שלא יצטרך לנסוע לישראל כדי להזדהות. מבחינה זאת, צריך לתקן את התקנות, כדי שאפשר יהיה להזדהות גם בשלוחת בנק לאומי בניו-יורק.

להחליט עכשיו שגורם מאשר ישראלי יכול לפעול גם בחוץ לארץ בשביל עסקה שתצא? בתור אינטרסנט אני אומר, שלא נראה לי שייתנו לחברה ישראלית להיות גורם מאשר בחוץ לארץ.

אני רוצה לחדד את הנושא של הזיהוי בחוץ לארץ לגבי פעילות כמו של משרד הפנים או משרד החוץ, כלומר: קונסוליות בחוץ לארץ מהוות למעשה זרוע של משרד הפנים, ויש פעולות רבות שנרצה לאפשר, של חתימה על טפסים והעברתם. זה חשוב לאפשר פעילות מסוימת, של זיהוי למשל, בחוץ לארץ. שם יש נהלים, שמפרטים איך מאשרים ואיך מזהים אנשים.

אולי אפשר לסכם שהמילה "זיהוי" תרד מפה, כי אתם מסכימים שהזיהוי יהיה גם בחוץ לארץ.

שלרשם תהיה סמכות לאשר שהזיהוי יהיה בחוץ לארץ.

אני הייתי מציע שהזיהוי יכול להיות בכל מקום, אם הוא ינוהל לפי מה שכתוב פה, גם בלי סמכות הרשם.

אבל אני לא יודעת מי זה המזהה. אתה אומר: אם זה יתנהל כמו שכתוב פה, אבל איך אני אדע? בשביל מה יש רשם ופיקוח? זה נראה לנו דבר כל-כך רגיש, משקיעים בזה הון תועפות, וכשאחר-כך צריך לפקח על זה בפועל, אתה אומר לי: בניו-יורק אמרו לי שזה בסדר. למה ניו-יורק, מה רע באנגולה?

הסעיף הזה יישאר כמו שהוא, ובסוף יהיה כתוב שבנסיבות מיוחדות, הרשם יהיה רשאי לאשר פעילויות מסוימות גם בחוץ לארץ. אם לא תיכתב פסקה זאת, גם אף אחד לא יבוא לבקש זאת מהרשם.

אבל יש כאן רצון לאפשר לגורם מאשר חוץ לארץ, גורם כמו IDENTRUST, לאשר תעודות לישראלים.

לא, זה לא רלוונטי. פעילויות של גורם מאשר חוץ לארץ הן פעילויות של גורם מאשר חוץ לארץ. אנחנו נמצאים כעת במשרדו של הרשם ברחוב הנביאים 4 בירושלים. הפעילות צריכה להתבצע בישראל, אין פעילות מחוץ לישראל. בא אליו אדם ואומר שיש לו מקרה מיוחד, ומבקש לאשר חלק מהפעילות בחוץ לארץ.

פעילות של מה? של הנפקת תעודות למי? לאזרחי מדינת-ישראל?

פעולות של הגורם המאשר.

אבל הנפקת תעודות לאזרחי המדינה, או לאזרחים בחוץ לארץ?

כל פעילות של גורם מאשר. כל מה שעושה פה גורם מאשר, הוא יבצע בישראל – את כל הפעולות הנדרשות לצורך הנפקת תעודה אלקטרונית. הכל הכל צריך להיות בישראל. פתאום התעוררה סיטואציה, שבא מישהו לרשם ואומר לו: אני רוצה לעשות פעולה מסוימת מתוך כלל הפעולות באנגולה. הרשם יחליט האם כן או לא. היום הוא לא יכול להגיד לו דבר מלבד לומר לו: הייתי אומר כן, אבל אין לי אפשרות.

הרי לא יהיו פעולות. אם לא יהיו פעולות, אף אחד לא יבוא לרשם, והחוק יישאר כמו שהוא. אני רק נותן אופציה נוספת, והנורמה היא שהכל בישראל.

אני דיברתי עם האירופאים בעניין הזה. אני חושב שהאירופאים מחמירים מאד, ולא מוכנים בכלל לשמוע אפילו על האמריקאים, זאת אומרת: הם מקפידים מאד שרק הם יוכלו לאשר. אני לא חושב שגורם מאשר ישראלי יוכל להיכנס להנפיק תעודות לאזרחים באנגולה.

ממה אתה מודאג? אני פותח פתח, בכפוף לכך שהרשם גם יאשר את זה, גם יהיו נסיבות מיוחדות והוא גם יתבע ממנו סידורים על-פיהם הוא יאשר את זה. מה צריך לעשות עוד כדי שנוכל לסמוך קצת על ההגיון של רשם שהוא פקיד ממשלתי?

אני רוצה לחזור על מה שאמרת קודם, חבר-הכנסת איתן. אתה אמרת שאם נשאיר את הסעיף כפי שהוא כתוב כרגע, או לשיקול דעתו של הרשם מטעמים מיוחדים, אנחנו בעצם דוחפים את הלקוחות מהשוק הזה לשוק של גורמים זרים, כי החוק מאפשר את זה בסעיף 22, וזה ייכנס בשלב זה או אחר, כאשר יהיו גם תקנות מתאימות.

לית מאן דפליג שגורם מאשר זר הרי יבצע את הזיהוי שלו בחוץ לארץ, ינפיק בחוץ לארץ, ויעשה את הכל בחוץ לארץ, ואז נוצר פה איזשהו מצב של חוסר איזון. לכן אני אומר: בואו מראש נסתכל קדימה, ונוודא שיהיו בארץ גורמים מאשרים מחוץ לארץ, ונשווה את התנאים. לא ייתכן שתדרוש מאחד מה שאתה לא דורש מהשני.

מה חוסר האיזון? למה אתה מתכוון? האם בצרפת מאפשרים להנפיק תעודות בישראל? אירופה מאפשרת שגורם מאשר בישראל יאשר תעודות לצרפתים?

אתה בכיוון ההפוך. החוק מתיר לגורמים מאשרים זרים לעבוד בארץ בתנאים מסוימים. כפי שאמרתי, הגורמים האלה ינפיקו את התעודות שלהם בחוץ לארץ ויזהו בחוץ לארץ ויעשו את כל הפעילות בחוץ לארץ, ובכל זאת אנחנו נכיר בהם פה וניתן להם לעבוד, ויכול להיות שאזרח ישראלי יוכל להסתמך על תעודה כזאת שהונפקה בחוץ לארץ.

אבל זאת שאלה.

זאת לא שאלה.

זאת כן שאלה בינתיים.

אנחנו גם נעשה את זה, וזה גם יקרה בפועל במוקדם או במאוחר. מה, תבוא "וריסיין" מארצות-הברית ונגיד לה: לא מכירים בך בכלל?

בטח שלא, יש לה פה סניף.

לכן אני אומר שגם פה יכולה להישאל שאלת הפיקוח, ואיך אנחנו נדאג לכך שהם יעמדו בקריטריונים שאנחנו מבקשים מהם, אבל הבעיה הזאת צריכה להיפתר בדיוק באותה צורה.

מה, הוא ייסע לניו-יורק לבדוק את זה? הוא יישב בניו-יורק? מה הסיפור? את מאשרת תעודות לפעילות עסקית של גורם מאשר שיושב באנגולה, אז הרשם ייסע לאנגולה לבדוק את זה?

לא.

לארצות-הברית הוא ייסע? אז הוא ייסע פעם לארצות-הברית, אבל הוא יכול לשנות את זה אחרי חודשיים, אחרי שלושה חודשים ואחרי ארבעה חודשים. כאן אני אומר שהוא יאשר רק את התנאים שהוא קובע. כמו שאת אומרת לרשם שזכותו לאשר פעילות של גורם זר, וכשהוא נותן אישור, זה אישור די גורף, אני אומר שתתני לו כאן אישור, אפילו חד פעמי, בתנאים כאלה או אחרים, והוא יחליט. מה ההבדל? אי אפשר לשלוט על הכל. שולטים על ההגיון של האדם, והחוק לא צריך להגביל, אלא לאפשר מרווח פעולה. הוא עובד משרד המשפטים, האם את לא שולטת בו? תגידי לו: אל תאשר, זה עבר בניגוד לדעתי, ומהיום אתה לא מאשר.

טנה שפניץ, את כבר הסכמת קודם שאת הזיהוי נוציא - -

כפוף לרשם.

לזה אני מסכים.

כי אחרי זה אני קובעת את הרשם, אז אין כבר בעיות.

בסוף ייכתב סעיף, שיקבע שבנסיבות מיוחדות, הרשם יהיה רשאי לאפשר ביצוע פעולות בחוץ לארץ בתנאים ובמגבלות שהוא יקבע.

למה בנסיבות מיוחדות?

אנחנו אומרים שהנורמה היא שזה צריך להיות בישראל. זה צריך להיות חריג בכדי שהוא יסכים שזה יהיה בחוץ לארץ.

רק הזיהוי צריך להיות פה.

שמעתי את דעתך. אני גם מבין אותה, לא רק שמעתי אותה. אני גם הקשבתי לך ואני גם מבין.

אני אתו בלי שיש לי "וריסיין" בבית.

כי אחרת, אתה למעשה אומר לרשם: למרות מה שכתוב פה, תחליט ותעשה מה שאתה רוצה.

לא נכון. הרשם יפעל נגד הטבע שלו, אם הוא ישחרר את השליטה מהידיים שלו, ואם ייתן למשהו לקרות בחוץ לארץ.

דרך אגב, בזיהוי צריך להיות נוסח אחר. בזיהוי כן צריך לאפשר לשלוחות לפעול בחוץ לארץ.

יש לי הערה לסעיף 10(ב). אם אני הבנתי אותו נכון, זה מתקשר לסעיף 9. מתוך מה שניתן להבין, סעיף 9 דן במסמך הנהלים הפנימי של הגורם המאשר, שבו הוא קובע איך הוא מתמודד עם הצורך לזהות את האדם. נהלים מסוג הנהלים של - -

בהגדרה, לפי RFC - -

נהלים פנימיים של הגורם המאשר - -

אני ממשיכה לקרוא: "איסור 11. גורם מאשר לא יבצע התקשרויות אלקטרוניות בהסתמך על תעודה אלקטרונית
הסתמכות שהוא הנפיק, למעט פעולות הדרושות לצורך הנפקת התעודה, רישומה או
ביטולה."

יש לנו ספק לגבי סעיף, שהאיסור בו הוא כל-כך גורף. בהנחה שיישאר סעיף כזה, אני רוצה לדבר על ההשלכות שלו.
לא ברור למה האיסור כל-כך גורף, כשהנקודה הרגישה ביותר, שהיא אמצעי החתימה, נמצאת בידיו של בעל אמצעי החתימה, ולפי החוק היא בשליטתו הבלעדית. הדבר היחיד שהבנתי שיכול להיות בעייתי זה הנושא של האפשרות של הגורם שגם מבצע את הפעילות והוא גם הגורם המאשר, שיכול לעשות REVOCATION לתעודה.

אני לא יודע האם זה כתוב בתקנות, אבל זה דבר שניתן לשלוט עליו בצורה פשוטה, כי כל נושא ה-REVOCATION כרוך ב-TIME STAMPING וב-ARCHIVING, כלומר: נקודת הזמן שבה זה קרה ונקודת הזמן שבה נעשתה הפעילות הן ברורות, כך שלא יכול להיות קונפליקט בנושא הזה. האיסור כל-כך גורף, ולדעתי, אם יש נקודות ספציפיות, צריך להתייחס אליהן.

לגבי ההשלכות של איסור כזה, אני אתן דוגמאות מהעולם. כיום רוב הפעילות בעולם שקיימת היא פעילות IN-HOUSE, כלומר: בדרך כלל גופים גדולים, כמו: בנקים, רשויות דואר, חברות טלקום וממשלות, הופכות להיות הגורמים המאשרים והן אלה שבפועל גם מבצעות את הפעילויות העסקיות, מה שנקרא פה ההתקשרויות האלקטרוניות.

אם לדוגמה דיברו על הבנקים, על IDENTRUST, זה גוף שמאפשר לבנקים לעבוד בינם לבין עצמם, אבל עדיין הבנקים הם בעצמם מקימים את התשתיות של ה-CA ואחראים עליהם. הבנקים בעצמם הם גורמים מאשרים.

מטעם IDENTRUST.

לא מטעם IDENTRUST.

לא בעצמם.

ברוב המקרים זה בעצמם. זאת דוגמה אחת.

דוגמה אחרת של התקנת ה-PKI השנייה בגודלה בעולם בארצות-הברית התחילה מרשות הדואר. זה בא במטרה להנפיק בולים בצורה אלקטרונית. היתה שם בעיה של זיוף בולים, והם החליטו לעשות זאת בצורה אלקטרונית. בפועל, הם הופכים להיות גורם מאשר. מדובר בהתקנה השנייה בעולם בהנפקות של מיליונים.

דוגמה אחרת מהכיוון הממשלתי היא סינגפור. ממשלת סינגפור מנפיקה לכלל האזרחים תעודות, והם מבצעים איתן פעילויות עסקיות כאלה ואחרות. אלה רק דוגמאות קטנות מתוך מגוון רחב של פעילויות. אם הפעילויות האלה היו מסתמכות על החוק הישראלי, הן לא היו קורות.

האיסור פה הוא כל-כך גורף וחמור. אני אומר או להוריד את האיסור הזה לגמרי, או להגיד שיש בעיות של קונפליקט מסוים בין התקשרות עסקית לבין הנפקה, ולגעת בבעיות הספציפיות, שהן מאד פשוטות. הרי כל הזמן אנחנו אומרים שגורם מאשר עושה רק זיהוי. הוא לא רק עושה זיהוי, אלא גם ביטול של פעולות וחידוש של פעולות. אם הקונפליקט בנושא של הביטול של התעודות הוא שיש חשש שפעילות עסקית תתבצע והגורם המאשר יבטל את התעודה, הנושא הזה לדעתי לא רלוונטי, כי יש לכל הפעילות הזאת TIME STAMPING, יודעים מתי זה נעשה, והכל נמצא ב-LOG IN ומתועד במאגרי המידע. אני לא רואה שום בעיה או קונפליקט.

אולי שאלה משפטית.

זאת לא שאלה משפטית, כי נתקלנו גם בבעיה הזאת מול לקוחות שלנו. כיום הם מסתכלים על החוק, ואומרים: אני לא יכול להיות גורם מאשר, אני לא רוצה להשקיע בתשתית כל-כך כבדה של PKI, כשבפועל אני לא יכול לעשות עם זה דבר, מלבד להנפיק תעודות בלי לעשות פעילות עסקית.

לא יכול להיות גם זה שמסתמך על התעודה וגם זה שמנהל אותה - -

מה הרציונל של התקנה?

הסעיף הזה נובע מחשש לניגוד עניינים ושימוש לרעה.

יש ניגוד עניינים.

איזה דוגמאות יש?

אם גוף מסוים מהווה גם גורם מאשר וגם הצד השני לעסקה מול אותו צד שהנפיק לו את התעודה, יש לנו פה בעצם צד אחד שקיבל תעודה, והוא הצד החלש המובהק בעסקה. מולו עומד הגורם המאשר. לטובתו קיימות כל החזקות שהחוק מכיר, והוא גם הנהנה מהחזקות האלה.

ניקח כדוגמה קטנה את הבנק. הלקוח קיבל תעודה. באותו מצב שבו הבנק יהיה גם הגורם המאשר והלקוח עומד מולו, הבנק יכול לשנות את ה-CRL ולהנפיק תעודה אחרת.

זה מה שאני אומר, שהוא לא יכול.

בסדר, הוא יכול להשתמש בזהות ובמידע שיש לו מעצם היותו הבנק של הלקוח וליצור עבורו תעודה חדשה. יש לו פרטי זיהוי שלך, ובלי שאתה יודע מזה, הנפקתי עבורך תעודה ואתה לא יודע.

אבל הכל מתועד.

אז מה? אחרי חצי שנה זה מתועד.

אבל היום הבנק עושה את זה כשהוא מנפיק קוד סודי.

הכל נכון, אבל חוק חתימה אלקטרונית קובע כאן חזקות משפטיות, שאומרות שאם מישהו עשה שימוש בתעודה שלך, ואתה אכן האדם שמזוהה בתעודה, חזקה שזה אתה, ועכשיו אתה צריך לבוא ולהוכיח שאין לך אחות, כשמבחינת הכלים המשפטיים שעומדים לך מול הבנק, שהוא גם הגורם המאשר, אין לך כלים להוכיח את זה מבחינה ראייתית בבית-משפט.

קודם כל, אני כופר בשתי נקודות מרכזיות שאתה ציינת, שהעולם הולך ל-INDOOR SOLUTIONS. העולם הולך ל-OUTDOOR SOLUTIONS. רואים את זה לפי השווי של חברות שעוסקות ב-INDOOR SOLUTIONS ורואים מה מצבן.

אני מדבר על ההתקנות בפועל.

אתה נציג של חברת אקספרט, מה הבעיה שלך לקחת את התוכנה שאתה משווק, להירשם כגורם מאשר, ולעמוד מאחורי הטכנולוגיה שאתה מציע למי שאתה מציע? תקים את זה, תירשם, ותגיד את מה שאמרת עכשיו, זה בסדר. אתה שאמור להיות צד שלישי – אתה אמור להיות ה-TTP – אומר: בואו נאפשר לגורם שנותן את החתימות לעשות את זה בעצמו. המודל הזה לא הוכח בעולם. החברות פושטות רגל, החברות מפסידות, המנכ"לים התפטרו. זה כתוב בעיתון, ומה שאני אומר זה לא מידע חדש.

TIME STAMPING, מה TIME STAMPING? זה בסדר הכל עניין של זמן של החתימה. הנושא הגדול שבו הגוף לא יהיה ב-CONFLICT OF INTEREST עם מקבל החתימה זה בעצם הנושא הגדול שאנחנו רוצים למנוע פה.

אבל אין.

בוודאי שיש מצב כזה. אדם הוא בעימות עם ממשלה או עם בנק, הוא כן יכול להעביר אותו ל-REVOCATION LIST, בניגוד למה שאמרת, וכפי שאמרה ליהי, למה אתה אומר שלא?

הוא העביר אותי ל-REVOCATION LIST? קרה לי נזק? הוא שלט בחתימה שלי? הוא כן יכול לעשות כאוות נפשו. ברגע שהוא העביר אותי ל-REVOCTION LIST, בצורה כזאת או אחרת, הוא גרם לי איזושהי בעיה. אם הוא כן היה צריך או לא היה צריך, זה יתברר בבית-משפט, אבל הוא צד לעניין, אחרת אתה גם עומד פה בסתירה לעניין של צד שלישי. כל החוק בנוי על זה שצד שלישי, הגורם המאשר, הוא זה שבעצם יישא בכל החבויות. כל הפילוסופיה של החוק היא שיש פה צד שלישי, שהוא גורם מאשר, הוא לא צד לעסקה. יש סתירה במה שאתה אומר.

אני יכול לדבר פה בצורה רחבה על גורמים מאשרים בכלל, אבל מכיוון שאני נמצא פה מטעם איגוד הבנקים, אני רוצה לומר שאין זה טבעי לבנק להיות גורם מאשר.

כל מה שאנחנו דורשים זה איזושהי הפרדה, ולכן האיזון פה בין הסיכון שיש בקרבה הזאת לבין הפתרון שאנחנו מציינים פה.

קודם כל, לתעודה יש יותר מאשר פונקציה אחת. יש לה היבט נוטריוני ראייתי, אבל קיים גם עניין אבטחת המידע, אבטחת המסר.

בואו נתקדם. אנחנו לא נשנה את זה עכשיו.

זאת תקנה מאד בעייתית.

אחד משני הצדדים שעושים עסקה הוא גם גורם מאשר.

מה התשובה להערות האלה?

בבנק אין בעיה של ביטוח ושל ערבות. מה שלדיני הראיות, בואו נשאיר לדיני הראיות, כך גם עשינו בחקיקה.

זה גוף עצמאי, שלא עושה עסקאות. בגלל זה יש לזה משקל בבית-המשפט, ראיות לכאורה וכיוצא בזה.

אבל זאת רשות דואר - -

לא יקרה שום דבר, אם הגורם המאשר יהיה גוף שיהיה קשור בצורה זאת או אחרת מבחינה כלכלית עסקית, אבל מבחינה משפטית הוא יהיה גוף נפרד. יש חומות מסוימות. הן אולי לא גבוהות מדי, הן אולי לא סיניות, אבל יש איזושהי הבחנה.

הסעיף הזה הוא גורף. כשלקוחות שלנו מסתכלים על הסעיף הזה, הם אומרים: אני לא רוצה להתעסק עם CA.

זה לא נכון, הם כן רוצים להתעסק עם CA.

אתה יכול להגיד מה שהלקוחות שלך אומרים, לא שלי.

עובדה שיוצאים מכרזים.

הסעיף הזה הוא מאד גורף ובעייתי.

אני גם לא יודע האם זה לא אולטרה וירס, כי כתוב מי יכול ומי לא יכול.

אסור שיהיה ניגוד עניינים - -

לא בהכרח ניגוד עניינים.

בעינינו, זה בהכרח.

כמו שבנק מגיע לבית-המשפט עם הספרים שלו, ובית-המשפט קובע האם הספרים קבילים או לא לעומת מה שיש בידי הצד השני, כך גם פה. דיני הראיות בכללותם מאפשרים לכל אחד לטעון את טענותיו ולהביא את הראיות שלו.

לך לבג"צ, ותאמין לי שנציית למה שבג"צ יגיד.

אני חושבת שזה דווקא צריך להיות אינטרס ציבורי, שכן לבנקים ולחברות כרטיסי אשראי יש ניסיון בדברים האלה, כמו: הנפקת קוד סודי, שאולי זה דרגה אחת מתחת.

אנחנו שמענו גם את נציגי הציבור, והם אמרו לנו שהם דווקא היו רוצים שתהיה הבחנה בין אלה.

מי הם נציגי הציבור שאמרו זאת?

התקיים פה בזמנו הדיון. אנשים מפחדים מהבנקים, שיהיה להם גם זה וגם זה.

אני חושבת שאנשים בציבור ישמחו להסתמך על תעודות כאלה.

עד שהם יצטרכו לעמוד מול הבנק שלהם בבית-משפט.

מנפיק אותן גוף שיש לו ניסיון, אמינות וקשרים בינלאומיים.

כן, אבל זה הגוף שאתו הוא עושה עסק, זה לא גוף נייטרלי.

אחר-כך הוא יעמוד מולו בבית-משפט.

כשאני אעשה עסק עם גורם אחר, לא אכפת לי שהגורם המאשר יהיה הבנק.

יש לזה כמה אספקטים. כשנחקק החוק, אנחנו כאיגוד הבנקים ביקשנו תיקון, שיאפשר לבנקים להיות גורמים מאשרים, והתיקון הזה נכנס, משום שבהתחלה היה כתוב שמטרתו ניהול עסק כגורם מאשר, ואנחנו אמרנו: בואו נכתוב אחת ממטרותיו, כדי לאפשר גם לבנק למשל, שזאת לא המטרה העיקרית שלו, להיות גורם מאשר. זה נכנס מתוך הרציונל, שיאפשר לבנקים להיות גורם מאשר. עכשיו בתקנות משנים את זה.

אני גם חושבת שבנקים וחברות כרטיסי אשראי מפוקחים. אני דווקא חושבת שיש פה אינטרס ציבורי כן לקבוע את הבנקים ואת חברות כרטיסי האשראי כגופים מאשרים.

האם מישהו חושב שבנק או חברת כרטיסי אשראי ירמו ב-REVOCATION LIST?

הכל נלקח בחשבון. בדיונים הקודמים כל הדברים האלה הועלו. אנחנו משאירים כך את הדברים.

תקנה 12 היא תקנה שהועברה מהתקנות הקודמות: "איסור החזקת 12. גורם מאשר לא יקבל לידיו ולא יחזיק אמצעי חתימה של המבקש, או כל
אמצעי חתימה מידע המאפשר שחזור או יצירה של אמצעי חתימה עבור או במקום
המבקש, ולא יהיה בעל גישה לאמצעי חתימה או מידע כאמור."

את זה כבר אישרנו ועברנו את זה.

אני רוצה להבין את תקנה 12, כי היום בפרקטיקה לא לכל לקוח יש כרטיס חכם או אמצעי, והיום רואים שיש מגמה בעולם להקל על הלקוחות, וכן לאפשר לגופים לשמור אצלם את אמצעי החתימה, לדוגמה: לחברת ENTRUST יש מוצר שמאפשר בדיוק את הדבר הזה, אחרת אני אצטרך להתרוצץ עם כרטיס חכם, והיום אני לא יכול לעשות את זה מבחינה פרקטית.

אז תשמור על אמצעי החתימה, ואם קרה לו משהו, תקבל תעודה חדשה. המגמה בחקיקה היא כן לאסור.

ההנחה היא שחתימה תמיד פועלת קדימה, ואתה לא צריך אחר-כך אחורה לפתוח למשל מסמך מוצפן.

לא, הבעיה שלי היא שאת ה-PRIVATE KEY שלי אני לא יכול לשמור אצלי, אלא בבנק או במקום אחר. יש קונספט שלם שעושה את זה.

דיברנו על הדברים האלה. זה כאילו שאנחנו מתחילים מאל"ף.

יש היום חברות שמוציאות קופסאות לשמירת ה-PRIVATE KEYS במקומות אחרים, כמו: AR מחקר אלגוריתמים.

גוף שהוא לא גורם מאשר, יכול לעשות את זה.

אם אני כבנק רוצה לתת שירות ללקוחות שלי באמצעות המוצר של ENTRUST - -

אם אתה לא גורם מאשר, אין לך בעיה.

תהיה בנק, אבל לא תהיה גורם מאשר, מה הבעיה? תפעילו קצת את היצירתיות שלכם. בואו נתקדם.

"שימוש בשפה 13. (א) המסמכים שנדרש הגורם המאשר לגלותם לציבור יהיו בשפה העברית,
העברית ויכול שיהיו, בנוסף, גם בשפה אחרת; לעניין זה, "מסמכים" – לרבות
מסמך נהלים, תעודות אלקטרוניות ומאגר תעודות אלקטרוניות בטלות.

(ב) קיום החובה לפי תקנת משנה (א), לעניין השפה העברית במערכות
התקשורת והמחשבים, יהיה בהתאם לת"י 1489 ולת"י 1500."

מה זה התקנים האלה?

תקן 1489 זה תקן כללי, שמדבר על ארכיטקטורה ליישום עברית במחשבים. התקנים האלה למעשה נולדו לפני משהו כמו 15 שנה, הן בתקינה הישראלית והן בתקינה הבינלאומית.

מה זה התקן השני?

התקן השני הוא מסדרת X500. X509 מוזכר בתקנה, ומסביר למשל איך לכתוב שם בעברית במחשב.

בתוך התעודה?

כן.

ואם יש צירוף כלשהו שהוא לא מכיר, איך הוא יסתדר?

יש תשתית מאד רחבה בעולם, וגם "מיקרוסופט" למשל - -

אבל הסט העברי לא נמצא בכל תוכנה שנמצאת בגרמניה לצורך הדוגמה - -

יש פה בעיה טכנית.

למה אנחנו צריכים להיות צמודים לתקן ישראלי? מה הבעיה?

הכוונה היא בסך הכל שזה יירשם באופן אחיד. אם היום אנחנו רוצים לשלוח דואר אלקטרוני באמצעות תוכנה של "מיקרוסופט", והדואר האלקטרוני שאני שולח, מגיע אליך, אתה פותח ומבין אותו - -

נפריד בין הנתונים עצמם לדברים שאין לנו שליטה עליהם. יש כאן דברים שכתובים, למשל: תעודה אלקטרונית, אבל אתה לא יכול להתערב בתוכנות של "מיקרוסופט", כי הכותרות הן באנגלית, והן מופיעות בכל תעודה. אלה דברים שאני לא חושב שמישהו מתכוון בכלל לשנות אותם. הניסוח פה הוא קצת בעייתי, כי הוא אומר שהכל צריך להיות בעברית, ואם יש שם אות אחת אפילו באנגלית או בלטינית, יש בעיה. אני לא חושב שאנחנו יכולים לשנות BROWSER של "מיקרוסופט" בצורה כזאת ששם הכל יהיה כתוב בעברית.

גם בתוכנות שקוראות את הסרטיפיקט.

צריך להוסיף סייג בסוף סעיף 13(ב), יש להוסיף: ובלבד שלא יסתור את תקן X509. מכיוון שיש דרישה בתקנות החומרה והתוכנה שהתעודה תהיה ב-X509, לא יכול להיות שיהיה מצב שפה תהיה דרישה שהיא סותרת. מכיוון שה-X509 בעקרון גובר, אם יהיו שדות שלמשל ב-X509 חייבים להיות רק באנגלית, אי אפשר לדרוש שהשדה הזה יהיה בעברית.

הרעיון שלנו היה – ויכול להיות שצריך לשנות אותו – שתעודה בישראל צריכה להיות בעברית. יכול להיות שצריך רק חמישה נושאים שיהיו בעברית, אבל לנו היה נראה בלתי אפשרי שמישהו בארץ רוצה שתהיה לו תעודה שהוא לא יכול לקרוא אותה משום שהוא לא יודע אנגלית, אז תמצא פתרון לזה.

אותה בעיה קיימת גם במדינות אירופה, למשל. יש מכנה משותף שהוא משותף לכולם, והוא השפה האנגלית. אחרי זה אפשר להוסיף נתונים נוספים, שאפשר להשתמש בשפה העברית, בשפה השוודית או בשפה אחרת, אבל המכנה המשותף הוא מינימלי, והוא צריך להיות השפה האנגלית, ואנחנו רוצים להשתמש בזה גם בחוץ לארץ.

אני חושב ששם ומען זה דבר שאולי יכול להיכנס בעברית.

אבל הגבלת אחריות הוא לא צריך לדעת לקרוא בעברית?

את לא יכולה למשל פרמטרים שניתנו באנגלית להתאים אותם לעברית - -

האם ברגע שאתה מוסיף הערה, שזה לא יסתור את התקן, זה עונה על הבעיה? אפשר להוסיף סעיף כזה.

יש מסגרת של נתונים שאתה צריך להכניס לתעודה, אבל אני יכול להעיד שגם התכולה המדויקת שאתה מכניס, זה נושא שעדיין לא סוכם גם בין מדינות אירופה. לכן צריך לאפשר להשתמש בשפה העברית, אבל יש דברים שעוד לא נקבעו.

צריך לתת עוד פעם שיקול דעת לרשם. למה שהרשם לא יקבע מדי פעם בפעם? זה יהיה בעברית, אבל הרשם יקבע מדי פעם בפעם - -

כמעט כל האנשים אומרים אותו דבר. כמו שאמרו פה כולם, כדאי להוסיף זאת כתוספת אפשרית, ואז ברור שאדם שיוסיף את השפה העברית יהיה אטרקטיבי יותר, זאת אומרת: יילכו אליו בתור גורם מאשר.

לא יכול להיות שבארץ יהיו תעודות שאנשים לא יכולים לקרוא את מה שכתוב בהן.

בסדר, אז נוסיף הערה שהשם צריך להיות בעברית.

והגבלת האחריות.

אפשר לומר שזה יהיה בעברית עם תוספת של אנגלית. ליהי פלדמן, האם אפשר להגיד שאתם תכניסו בהמשך את התיקונים?

איזה תיקונים? הם לא תיקנו דבר. הבעיה היא עם המשפט "המסמכים שנדרש הגורם המאשר לגלותם לציבור יהיו בשפה העברית".

אני לא חושב שזה צריך להיות רק בעברית, אלא גם בערבית. האם הערבית היא לא שפה רשמית?

זה לא עניין של שפות רשמיות. אמרנו שזה יכול להיות בשפה נוספת.

עם כל הכבוד, תפעיל קצת הגיון. כמה אנשים שלא יודעים עברית, ישתמשו בזה בשפה הערבית?

אני לא יודע. אפשר לעשות את זה, זאת לא תוספת משמעותית.

הכי טוב זה לא להסתבך, ולהשאיר את זה באנגלית.

הנושא של העברית הוא גורף. אם אני קורא לשדה שנקרא שם משפחה ושם פרטי בעברית, וזה מגובה גם לשם משפחה ושם פרטי בערבית - כי אולי כן נצטרך את זה - הנתונים האלה קיימים, השדות יהיו בשפה המתאימה, ואז נשתמש בתקן, אבל בשדה של אנגלית לא נשתמש בתקן העברי.

הבעיה היא שהתקן מגדיר X דברים, שקיימים היום רק באנגלית, ואי אפשר לעשות אותם בעברית, והשאלה היא איזה מהשדות אנחנו כן מחייבים שיהיו בעברית.

פרקטית התוכנה לא תמיד תומכת בעברית, יש בעיות טכניות. גם מה ש"מיקרוסופט" הכניסה – את ה-LOCALIZE ואת ה-ENABLE – עד היום, אפילו ב-WINDOWS 2000 עדיין נתקלים בבעיות. תכניסו את העברית לתוך הסרטיפיקט עצמו, שזה למטה ב-INTERNALS של "מיקרוסופט", אף אחד לא מסוגל להגיד מה קורה שם.

מדובר גם על REVOCTION LIST ועל הרבה דברים.

אז אני מתחיל בפרקטיקה.

אפשר להשתמש בטקסטים החופשיים ולהכניס שם את המידע החיוני לנו, ואפשר להגדיר שזה יהיה בעברית. אז נגיד שכשמישהו קורא את זה, הוא יידע מה השם ומה התאריך.

אם את עושה את זה כשדה אופציונלי ולא כ-CRITICAL, הרבה מאד מהתוכנות יתעלמו מהשדה הזה.

לתוכנות יש שדה באנגלית. אני רוצה שמשתמש בישראל יפתח תעודה וגם יקרא אותה, אם הוא לא מבין אנגלית.

למה שהרשם לא יקבע את זה? מה הוא יעשה? זה דיון מעניין וחשוב. אני רוצה שהכל יהיה בעברית. מישהו אומר לי שזה לא פרקטי, אחד ירצה להשתמש בשפה הערבית, והשלישי יגיד ירצה אתיופית, אמהרית ורוסית. למה אני צריך לשבור עכשיו את הראש? יש רשם. אני רוצה בעיקרון שהכל יהיה בעברית, ובמה שיש בעיות טכניות, הרשם יגיד: אני פוטר אתכם, והשדה הזה יהיה באנגלית.

אומרים לך שאתה מחוקק תקנות סותרות. נאמר כאן שיש פה X509 שהוא מחייב, והוא מחייב אותנו לפעול לפי X509. X509 זה כרגע באנגלית. אפשר לדרוש תוספת שדה בעברית, אבל לא להחליף את ה-X509.

X509 הוא לא מסמך שאתה מוציא לציבור.

כן, זאת התעודה. התעודה היא לפי סטנדרט X509, שם אני עכשיו צריך להתערב ב-INTERNALS ולשנות. זה מסובך מאד ואין לי שליטה על זה. כמו שדרשתם תוספת תעודת זהות – וזה לא מופיע ב-X509 - תוסיפו בנוסף לתעודת זהות, שם, כתובת ועוד שדות שאתם ציינתם מקודם בעברית.

דרך אגב, זה לא מתייחס רק לתעודה, יש עוד מסמכים.

בסדר, אז אני אומר לדרוש אותם כתוספת, ולא להחליף את הסטנדרט.

בסעיף 19(א) לחוק, שמכיל את פרטי התעודה האלקטרונית, יש 10 תת סעיפים. אם נגדיר שהמידע על-פי תת סעיפים 1 עד 9 כולל, יהיה בעברית, אני חושב שזה יספק את כולם.

זה לא יספק, זאת בעיה גדולה.

הרי מה הדרישה פה? בסיס הדרישה הוא שפרטי הזיהוי יהיו בעברית.

אז תן את זה כתוספת.

אבל שם בעל התעודה איננו EXTENSION. פרטים נוספים אינם EXTENSION.

אני אומר שתשאיר את השם הלועזי ב-X509 כפי שהוא, ותוסיף את השם העברי כ-EXTENSION.

אז זאת בעיה, מכיוון שאז אתה נדרש לתעתיקים לועזיים ולכל מיני דברים שלא מקובלים בארץ. אתה מאשר תקנות לצורך זיהוי בני אדם בישראל, ולכן הדרישה שהשם יופיע בעברית היא לא דרישה מוזרה.

זה עניין טכני. השאלה היא האם זה במקום השדה הראשון, או במקום השדה העשירי.

בשדה הראשון זה דו לשוני, מה הבעיה?

ברגע שתגדיר שהמידע על תת סעיפים 1 עד 9 יהיה בעברית, אין לך בעיה.

נכון שזה מפחית מאד את הבעיה, ואלה הנתונים שציינתי מלכתחילה, אבל עדיין השאלה היא האם לא כדאי להשאיר את ה-X509 כמו שהוא.

אתה אומר שאפשר לדרוש שתת סעיפים 1 עד 9 יהיו בעברית?

כן, אפשר לדרוש שהם יהיו בעברית.

מה עם 10? למה דווקא 9?

10 זאת הפניה, זה LINKAGE שיכולים להופיע בו תווים לועזיים. הוא יכול להיות HTTP:, או כל מיני דברים כאלה, אז בוודאי חייבים להופיע בו תווים לא עבריים, אבל תת סעיפים 1 עד 9 הם פרטים בסיסיים לזיהוי.

אין ספק שההצעה של דורון שקמוני מפחיתה בהרבה את הבעיה, זאת אומרת: היא מתייחסת רק לנתונים, כמו שאני ביקשתי בהתחלה.

ומה 7?

חתימתו המאובטחת של הגורם היא בינרית, כבר ברור שאף אחד לא ידרוש שזה יהיה בעברית. זה מידע דיגיטלי בינרי לא בעברית ולא באנגלית ולא בשום שפה.

לפי דעתי, אנחנו נכנסים לדיון טכני, כשחסרים לנו נתונים. יש דברים שגם במדינות אחרות עוד לא סודרו. אנחנו רוצים לוודא שאפשר יהיה לזהות בחוץ לארץ את התעודה שננפיק בארץ, ושאפשר יהיה לקבל שם שירותים, וגם אדם שיבוא לארץ מחוץ לארץ, יוכל לקבל פה שירותים.

לכן, אני מציע שהרשם יפרסם תוך זמן מסוים את פרטי התעודה, את המבנה שלה, ויאמר איזה שדה יהיה בעברית ואיזה שדה באנגלית. אין לנו מספיק נתונים כדי לעשות את זה.

אני לא חושב שכדאי להשאיר את זה לרשם.

אבל אין לנו כל הנתונים.

אנחנו קיימנו דיון במכון התקנים על הנושא הזה.

צריך לעבור על כל שדה, לבדוק ולראות מה עושים במקומות אחרים.

מה הבעיה עם ההצעה של דורון?

אני מסכים שפה זה לא המקום לרדת לרמה הטכנית, אבל X509 מגדיר קונספט, ולא מגדיר בדיוק את הדרכים לסימון בפנים, ויש כמה דרכים לעשות את זה. גוף מקצועי צריך לשבת, לקחת את כל הפרטים שהוגדרו בסעיף 19 ולהגיד באיזה שדה לעשות את זה, והאם אותו שדה יהיה עברי-אנגלי.

הדרישה שהמידע הזה יהיה בעברית, איננה מגדירה כרגע באיזה שדות הוא יופיע. המטרה כרגע היא להגיע לקונסנסוס ברמת התקנות, שאפשר יהיה לאשר היום. אם תגיד שהמידע המתבקש על-פי הסעיפים האלה יהיה בעברית, אחר-כך יישב הרשם ויוכל להגדיר איפה בתעודה הוא יופיע בדיוק. זה בסדר, וזה ייתן תשובה לך ולעופר ישי. אם השם יופיע בעברית, זה לא חשוב אם הוא יופיע בשדה השם הראשון או בשדה השם ב-EXTENSION.

זה חשוב מאד.

צריך להיערך. יש לזה חשיבות?

יש חשיבות למקום.

יש חשיבות לקבוע שפרטים מינימליים יהיו גם בעברית, או יהיו בעברית - ולא אכפת לי שגם באנגלית - או באיזה שדה הם יהיו, אבל העיקרון הזה הוא עיקרון חשוב שהוועדה תקבע אותו.

לא צריך להכתיב שדות מסוימים - -

לא מכתיבים שדות.

וגם לא את הסעיפים שהוא הפנה אליהם.

זה התוכן שאנחנו דורשים שיהיה בעברית, לא אכפת לנו איך.

בואו נמשיך הלאה, הגענו לניהול מאגרים.

מכיוון שאני נאלץ ללכת עוד מספר דקות, אני רוצה לשאול האם נטפל בהחרגה שהוציא משרד המשפטים.

נטפל בזה, אבל אנחנו חייבים לגמור קודם כל את התקנות האלה.

אני צריך לצאת, וזה מאד חשוב שנדבר על זה. זה נושא קריטי.

אז תישאר.

אני לא יכול, ואני מבקש לדבר על זה, אם אפשר, עכשיו. יש תוספת לחוק, שבה נמצאים משהו כמו 16 או 17 חוקים. האם היום זה נכנס לתקנות או לא? אם זה נכנס לתקנות היום, יש עם זה בעיה.

לא ייכנס לתקנות שום דבר. אני שומע פה סיפור חדש.

קודם תן לנו לגמור את התקנות. צריך גם לפרסם את התקנות, וזה דבר שלוקח זמן רב.

לא ברור לי מה בדיוק את אומרת.

יש עוד שש תקנות, נגמור לדון בהן ונוכל להריץ אותן ולפרסם אותן.

אבל אנחנו לא נאשר את התקנות, אם אני מבין נכון את מה שבועז דולב מעלה. ממילא לא נאשר את התקנות היום, אז מה הסיפור?

אבל לא הגענו לזה. אלה תקנות אחרות.

אני מסכים, אבל אני אומר שוב שאת מייצרת לעצמך ציפיות, אבל תביאי בחשבון שלפי מה שבועז דולב אמר, ולפי מה שהוא לא אמר – ואת יודעת בדיוק למה אני מתכוון – התקנות לא יאושרו היום. תהיי מוכנה לזה נפשית. בועז דולב, ההערכה שלי היא שאתה יכול ללכת בשקט, כי נראה לי שהתקנות לא יאושרו היום.

הצו אולי לא יאושר, אבל התקנות יאושרו.

"ניהול מאגרים" 14. (א) גורם מאשר ינהל מאגר של תעודות אלקטרוניות בטלות, וכן מאגר
נוסף של תעודות אלקטרוניות תקפות ובו תופיע גם תעודתו האלקטרונית

(ב) כל אחד ממאגרי התעודות האמורים בתקנת משנה (א) ינוהל ברמת
אבטחה גבוהה, להנחת דעתו של הרשם.

(ג) מאגר התעודות הבטלות יהיה זמין באופן מקוון ומיידי למי שמבקש
להסתמך על תעודה אלקטרונית מסוימת; גורם מאשר רשאי להתנות את
הגישה למאגרים, ובלבד שהתנאים יהיו גלויים מראש לבעל החתימה
ולמסתמך כאמור.

(ד) גורם מאשר רשאי לפרסם תעודות אלקטרוניות בטלות ובאופן שונה
מן האמור בתקנת משנה (ג), ובלבד שקיבל לכך אישור מראש ובכתב
מהרשם."

מה זה אומר "באופן מקוון ומיידי"? זה תיאוריה ומעשה?

זה ON-LINE זמין. זה תרגום.

לגבי תקנה 14(ד), אני מסתכל מה-POINT OF VIEW של המשתמש, מי שמסתמך על חתימה. הוא צריך לדעת שיש באופן סדיר מקום שבו הוא יכול לראות האם התעודה תקפה או בטלה, זאת אומרת: באתר האינטרנט של הגורם המאשר. אם נקבעים הסדרים חלופיים, אין לאותו מסתמך שום דרך לדעת עליהם, ולכן אני חושב שכדאי לבטל את האפשרות שהרשם יאפשר הודעה בדרך אחרת.

הרשם גם לא יבין את זה.

הוא לא יפרסם את זה.

או שתהיה חובה על הרשם לפרסם את האישורים שהוא נתן לפרסום בדרך אחרת - כי אחרת המסתמך מהציבור לא יוכל לדעת, האם התעודה בתוקף או לא - או לבטל את התקנה.

אם הגורם המאשר חורג מהנוהל שב-(ג), זה יופיע במסמך הנהלים.

בתנאים שיקבע הרשם.

אם אתה הסתמכת על תעודה, אתה לא יודע האם היא בוטלה או לא, אם הרשם נתן אישור.

הרשם יקבע מה התנאים.

אבל אתה כמשתמש לא תדע איפה לבדוק.

אבל אתה רוצה שהוא יפרסם את זה.

ההצעה היא שהגורם המאשר באתר שלו יפרסם שהוא נותן אישור לפרסם.

הרשם בעצמו יפרסם את זה, ולא הגורם המאשר. כמשתמש אני לא מכיר כל גורם מאשר. יש לי תעודה אלקטרונית, ואני מסתמך עליה.

איפה הוא יפרסם? בעיתון?

יהיה עוד אתר של הרשם.

למה בעצם דרושה הסמכות הזאת? למה לא כל גורם מאשר מפרסם את הרשימה של תעודות לא בתוקף? למה אנחנו צריכים שהרשם יקבע מסלולים אחרים? למה שלא יהיה סטנדרט בעניין הזה?

כי מקובל להשאיר חריגים כאלה לטכנולוגיות אחרות.

למה זה מפריע לך?

כי אני כמשתמש לא אדע האם התעודה בתוקף או לא.

אבל הרשם לא ישאיר אותך כמשתמש בלי שאתה תדע.

למה לא? לפי הסעיף פה, הוא מאשר.

מה, הוא עוכר ישראל? זה התפקיד שלו, לדאוג לציבור.

אני מציע שהסמכות הזאת תהיה כפופה לכך, שזה יפורסם באתר באותה רמת זמינות ונגישות.

אפשר להוסיף את זה, במילא זה מפורסם.

אפשר להוסיף, זה לא מפריע לנו.

בסעיף 14(א) כתוב ב"מפורט להלן".

זה בסדר.

זה זנב.

לגבי תקנת משנה (ג), REAL TIME זה זמן אמת, וזה לא זמין.
בדרך כלל אתה לא תפנה לשרת אחד, שהוא מחובר למאגר מידע. יש תהליך עדכון שדורש זמן. אני רק נותן לכם מידע, שלוקח זמן לעדכן ממאגר אחד למאגר הגיבוי שלו.

מדובר על 12 שעות.

לא 12 שעות - -

על מנת לקיים את סעיף 14(ב), הרשם למעשה צריך להיות בעל טכנולוגיה של גורמים מאשרים. כתוב: "גורם מאשר יחזיק...העתק מעודכן...החתום בחתימתו".

זה הנוסח הישן. יש נוסח עם תאריך של היום.

אני רוצה להעיר הערה קטנה לגבי סעיף 14(א) וגם לגבי (ג). כתוב: "גורם מאשר ינהל מאגר של תעודות אלקטרוניות". השאלה היא האם זה לא מאגר או מאגרים, כלומר: לאפשר לו לנהל מאגר נוסף, או מאגרים נוספים של תעודות אלקטרוניות, אם הוא מנהל מספר מאגרים.

מאגר כולל גם מאגרים.

מבחינה משפטית, מאגר כלל מאגרים.

אני ממשיכה לקרוא: "ביטול תעודה 15. (א) בבואו לבטל תעודה אלקטרונית לפי הנסיבות האמורות בסעיף 20
לחוק, יפעל הגורם המאשר לאמת את זהות המבקש או מהימנות הודעת
הביטול בהקדם האפשרי, ויבטל את התעודה מיד עם אימות הבקשה
כאמור;

(ב) גורם מאשר לא יחדש תעודה שבוטלה, אלא ינקוט בהליך להנפקת
תעודה חדשה במקומה.

(ג) אין להתלות תוקף תעודה אלא אם כן קבע הגורם המאשר את העילות
להתליה ואת השלכותיה, והביא מידע זה לידיעת הציבור באופן זמין
ומקוון."

האם מדובר כאן על 12 שעות?

לא, הורדנו את זה. מדובר על ההקדם האפשרי ועל ביטול מיידי.

בהתייחס לסעיף 15, אני מבין שאין דבר כזה שנקרא השעיית תעודה. אני מבין שבהכרח מקרים של השעיית תעודה יגררו עלות נוספת לאזרח, והוא יצטרך להנפיקה מחדש.

סעיף (ג) אומר בעיקרון שאין להתלות, אלא אם כן יש הסדר מיוחד שאושר מראש, הוא ב-CPS והוא פורסם והוא מקובל. ברירת המחדל היא שאין להתלות, אבל לא שוללים זאת.

"פגם בפעילות 16. (א) גילה גורם מאשר כי נפל פגם בחתימתו האלקטרונית המאובטחת, או
גורם מאשר במערכות החומרה והתוכנה שלו, שיש בו כדי לפגוע במהימנותו כאמור
בסעיף 20(א)(4) לחוק, יודיע על כך מיד לרשם ולכל מי שהנפיק לו תעודה
אלקטרונית הנסמכת על חתימה זו, לרבות באמצעים אלקטרוניים
ובאמצעות פרסום דבר הפגם בשני עיתונים יומיים נפוצים לפחות.

(ב) הרשם יפרסם מיד את דבר הפגם באתר האינטרנט שלו."

זה אומר שהרשם עובד "24 על 7"?

כן, בעניינים כאלה הוא יצטרך למצוא סידור לזה, הרי אנחנו לא מצפים שיודיעו לו שיש אמצעים פגומים, והוא יודיע שהוא חוזר בעוד שבועיים מחופש.

זה "פיקוח נפש". אני ממשיכה לקרוא: "סיום או 17. (א) פורסמה הודעה על פירוק תאגיד שהוא גורם מאשר, או החליט גורם
הפסקת מאשר על הפסקת פעילותו כגורם מאשר, או הודיע הרשם לגורם
פעילות גורם מאשר כי בכוונתו למחוק את רישומו מן המרשם לפי הוראות סעיף 14
מאשר לחוק, ינקוט הגורם המאשר בפעולות אלה:

(1) יימנע מלהנפיק תעודות אלקטרוניות חדשות;
(2) יבטל את כל התעודות האלקטרוניות התקפות שהנפיק, יודיע על כך מיד לבעליהן, ויכניסן לרשימת התעודות הבטלות;
(3) יעביר לידי הרשם את אמצעי החתימה ואמצעי אימות החתימה שלו, וכן העתק מדויק של מאגרי התעודות האלקטרוניות שהנפיק, ומאגר התעודות הבטלות, בתוך 72 שעות ממועד הפסקת פעילות או ממועד מחיקת הרישום, לפי העניין;
(4) יעביר לידי הרשם העתק מדויק של כל המסמכים שקיבל לצורך הנפקת תעודות אלקטרוניות, בתוך 7 ימים ממועד הפסקת הפעילות או מחיקת הרישום, לפי העניין;
(ב) על אף האמור בתקנת משנה (א), רשאי גורם מאשר אשר לא קיבל הודעה מאת הרשם בדבר מחיקתו, להעביר את ניהולו לידי גורם מאשר אחר הרשום במרשם (להלן – גורם מאשר מחליף); הפסיק גורם מאשר את פעילותו כאמור, יודיע על כך מיד לכל מי שהוא הנפיק לו תעודה אלקטרונית התקפה בעת הפסקת הפעילות.

(ג) ביקש בעל תעודה, כאמור בתקנת משנה (ב), לבטל את תעודתו האלקטרונית, יבטלה הגורם המאשר וינקוט לגבי תעודה זו בצעדים האמורים בתקנת משנה (א)".

זה צריך להיות (א)(2), כי בתקנת משנה (א) כולה יש דברים לא רלוונטיים.

עוד מעט נבדוק זאת.

"לא בוטלה התעודה, ימלא הגורם המאשר המחליף את כל זכויותיו וחובותיו של הגורם המאשר שהפסיק את פעילותו.

(ד) הרשם ישמור את כל המסמכים, אמצעי החתימה והמאגרים שקיבל לפי תקנת משנה (א), למשך 25 שנים לפחות מיום קבלתם."

בסעיף 17(א)(2) כתוב: "יבטל את כל התעודות האלקטרוניות התקפות", וצריך לציין תוך כמה זמן הוא יעשה את זה – מייד, או בהקדם האפשרי. המילה "מייד" מתייחסת רק להודעה לבעליהן.

ביחס למקרה של העברת גורם מאשר, או של גורם מאשר שהפסיק לפעול, מנקודת מבט של המשתמשים, ראוי שרשם הגורמים המאשרים יפרסם באתר האינטרנט שלו מי הוא הגורם המאשר שיחליף או מי הוא הגורם המאשר שבוטל, כי אחרת מי שיסתמך על תעודה אלקטרונית, לא יוכל לדעת את זה.

מקובל.

לגבי סעיפים 17(א)(1) ו-(3), אנחנו צריכים לזכור שגם לפי החוק יש גורם מאשר ויש גורם מאשר שאושר על-ידי הרשם, והסטטוס של גורם מאשר שאושר על-ידי הרשם יכול אמנם להשתנות, אבל זה לא אמור למנוע ממנו להמשיך לתפקד כגורם מאשר שאינו רשום.

סעיפים 17(א)(1) ו-(3) לוקחים ממנו בעצם את היכולת לעבוד. אין שום סיבה שאת (2) הוא לא יבצע ויבטל את כל התעודות שבהן הוא הצהיר שהוא מאושר על-ידי הרשם, אבל אף אחד לא אמור למנוע ממנו להמשיך להנפיק תעודות שהן לא מאושרות.

החוק לא אומר שרק מי שמאושר על-ידי הרשם - -

אתה יכול להיות גורם מאשר לא רשום, ולהנפיק תעודות שאינן תקפות לפי החוק, ואתה יכול להיות גורם מאשר רשום, שהחליט שאין ביזנס בלהיות גורם מאשר רשום, אבל יש ביזנס בלהיות גורם מאשר לא רשום, ואתה רוצה להמשיך לעבוד.

מבחינה פרשנית, גורם מאשר מוגדר רק מי שרשום.

אבל אני חייב להעביר לך את אמצעי החתימה ואת אמצעי אימות החתימה.

את אלה שאני אישרתי. איך מישהו יבחין - -

אני יכול לחתום על תעודה שהיא תעודה תקפה לפי החוק, ואני יכול באותו מפתח פרטי לחתום על תעודה, שאמצעי הזיהוי שלה היה בטלפון. זאת לא תעודה תקפה לפי החוק, אבל היא הונפקה על-ידי, לא בכובע של גורם מאשר רשום.

באותו מפתח?

כן.

רע מאד.

אתה נותן למסתמך יכולת להסתמך על משהו, שיש כאילו חזקה עבורו. הרי החזקה ניתנה למפתח מסוים, באמצעותו אתה מייצר את התעודות.

סוגי פעולות מסוימים.

זה לא משנה. אתה תייצר כתוצאה מזה תעודות, שההסתמכות עליהן תיעשה בתום לב, על-פי דברים שפורסמו, על-פי המפתח הציבורי שלך שפורסם כמפתח שאושר על-ידי הרשם, ולכן אסור לך לעשות דבר כזה. אולי צריך להוסיף חסימה לכזה דבר.

הבעיה היא שהוא משתמש באותו מפתח.

השאלה היא האם הוא צריך להשתמש באותו מפתח, כשהוא מפסיק להיות מאושר.

סעיף 19 בחוק אומר מה הפרטים שצריכים להיות לחתימה, שהיא חתימה חוקית, ובין היתר צריכה להיות גם הצהרה שנעשתה תחת כל התנאים האלה. יכול להיות שתעודות שהן לא תעודות חוקיות לא מכילות את הפרטים האלה, ואז אין שום בעיה.

אבל החוק לא חל עליהן.

בסדר גמור, אבל למה זה אמור למנוע מאותו גורם מאשר לייצר תעודות כאלה?

אבל איך זה מונע ממנו?

מי שמסתמך על תעודה, חייב לבדוק בהסתמכות הראשונית שלו, שזאת תעודה שהיא תקפה לפי החוק. איך הוא יידע את זה? או שהוא יילך ל-CP, שם יהיה כתוב מה הם תהליכי הזיהוי, ויכול להיות שב-CP גם יהיה כתוב שהתעודה הזאת היא תעודה תקפה על-פי חוק החתימה האלקטרונית.

דבר האישור צריך להיות כתוב בתעודה.

יפה, אם זה רשום בתעודה, בכלל אין בעיה.

לא הבנתי מה מפריע לך.

הוא רוצה להמשיך להשתמש באותו מפתח.

למה אתה צריך להשתמש באותו מפתח?

אני לא מבין, האם יש קיצוב במפתחות?

יש קיצוב בכסף.

אני לא שמעתי שיש קיצוב במפתחות. הבטיחו לי שיש מספיק...

ברמת הגורם המאשר אלה שתי מערכות שונות לחלוטין.

המפתח של הגורם המאשר שמור באמצעי חומרה מאד מאד יקרים. גם תעודות שהן לא תעודות לפי החוק, הן תעודות שאני לא רוצה שכל אחד יוכל להנפיק אותן בשמי, ואז אני אצטרך בעצם להכפיל את מערכות החומרה שלי. זאת המשמעות של הדרישה הזאת.

למה?

כי אני אצטרך לקחת עוד רכיב חומרה, שמכיל בתוכו מפתח פרטי אחר.

אני רוצה להתייחס לסעיף 17(ב). לפי דעתי, חסרים פה שני דברים בסיסיים, שיכולים לפתור גם חלק מהסוגיות שהעליתם כאן. לפי מה שאני קורא פה, אותו גורם מאשר מחליף - כלומר: זה שבא בנעליו של הגורם המאשר השני - לא חייב שום חובת דיווח מסודרת לרשם. אני חושב שקודם כל הוא צריך לדווח שהוא ביצע משהו שמקביל לתת סעיפים (1), (3) ו-(4) בתקנה (א), זאת אומרת: שהוא הפסיק להנפיק תעודות. מישהו צריך לדווח על זה.

דבר שני, אני חושב שבמקרה הזה צריך להחיל תהליך ביקורת תקופתי מיוחד, כלומר: קרה משהו, יש פה משבר, לוקחים מחשבים, מחברים אותם, אנשים עוזבים, תפקידים מתחלפים, וזה בעצם אותו אישור שניתן בזמנו לגורם המאשר, ועכשיו זאת יכולה להיות חיה אחרת. צריך לוודא שבאמת הוא לקח הכל.

מה אתה רוצה לכתוב?

אני מציע להטיל חובה על הגורם המאשר המחליף לעשות דיווח תקופתי מיוחד, בנוסף של הדיווח התקופתי הרגיל, אבל מיוחד, כי קרה משהו.

האם הגורם המאשר שמקבל, צריך להעביר את המבקשים תהליכי זיהוי כמו שכתוב בתקנות האחרות – כן או לא? אני מניח שהכוונה היא שלא, אבל זה לא כתוב. האם מותר לו להנפיק תעודה חדשה, משום שהוא גורם מאשר אחר, על סמך התעודה של הגורם המאשר הקודם?

אתה צודק, אולי יש עוד כמה סוגיות. אם הוא מעביר את הפעילות, אולי בכלל צריך להתנות את המשך פעילות הגורם המאשר בכך שהרשם יאשר שמה שהוא מציע זה בסדר, ואז הרשם יבדוק את כל הסוגיות האלה.

אם נגיד שהכללים של גורם מאשר יחולו גם על גורם מאשר מחליף, הבעיה תיפתר.

הכללים יחולו, אבל הסיטואציה עכשיו שונה, למשל: פתאום הוא לקח איזו נדוניה, והשאלה היא איך הוא מטפל בנדוניה הזאת, אולי הוא לא מטפל בה טוב? זה תהליך של חידוש האישור במובן מסוים.

השאלה היא האם צריך להכביד עליו או לא. הוא אומר: בו זמנית אני משתמש באותו מפתח למאושר לפי החוק וללא מאושר. מייק סטון מסמן בראשו לשלילה.

קודם כל, האם אנחנו מגבילים את הגורם המאשר רק להיות גורם מאשר שהוא רשום בארץ, או האם הוא יכול בו זמנית גם כן להיות מוכר ב"וריסיין"?

הוא יכול בו זמנית, אין מניעה כזאת.

אם הוא נניח בו זמנית מוכר על-ידי "וריסיין", יכול להשתמש בזה מישהו שזה מספיק טוב לו, אבל למישהו שהביא את כל המסתמכים שרוצים והתעודות שמאושרות רשמית בארץ – יש אחד משני פתרונות: או שהרשם יהיה ה-ROOT CA - -

אין.

אם אין כזה, אני חושב שאסור לגורם המאשר להשתמש באותה חתימה שהוא קיבל מהרשם.

זה כמו להנפיק תעודות שמתחזות להיות תעודות - -

אנחנו מדברים על פעילות מגבילה.

דורון שקמוני, מה אתה אומר? האם הוא יכול בו זמנית להיות גורם מאשר לפי החוק וגורם מאשר לא לפי החוק, ולהשתמש באותו מפתח?

השאלה היא מה זה להיות גורם מאשר לא לפי החוק.

הוא לא צריך לעבור את כל הפרוצדורה.

אל"ף - להנפיק תעודות מההתחלה, ובי"ת – לא בהכרח כל אמצעי הזיהוי - -

אבל למה אתה חושב שאתה פה בפנים? אתה לא פה בפנים.

אני פה בפנים, בגלל המפתח הפרטי שלי.

הוא מאפשר להשתמש באותו מפתח - -

אז אני צריכה לאסור את זה עליו או לא?

הוא לוקח את הסיכון, שאם הגורם המאשר הרשום שלו מתבטל, הלכו כל התעודות האחרות.

אנחנו לא ננפיק רק תעודות שהן לחוק החתימה האלקטרונית.

עם מפתח אחד.

המשמעות הכספית של זה היא דרמטית.

אם אתה עושה את זה באמצעות אותו מפתח, אתה לוקח על עצמך סיכון מסוים.

שכל התעודות האחרות שהן לא מכוח החוק, יושפעו מהחוק בכל זאת, אם נבטל את הרישום שלך מכוח החוק.

אני אתן דוגמה לדרך בה לדעתי הדברים צריכים להתנהל, ונראה מה הבעיה. נניח גורם מאשר X מקצה מפתחות חיתום שונים לגורמים עוזבים שונים. הוא מקצה לכל אחד מפתח חיתום שונה – הוא הקצה לבנק א', לבנק ב', לרשות הדואר.

זה SUB CA.

זה לא נכון, כתוב באמצעות נציג.

הזיהוי.

אם הוקצו מפתחות חיתום שונים, הבעיה היא שאם הגורם המאשר הלך לעולמו, עדיין בשטח נשארו מפתחות שהוא חתם עליהם, זאת אומרת: ארגונים פועלים לפי המפתחות שהוא חתם עליהם. צריך ליצור איזשהו מנגנון, ש"מאפשר" לגורם המאשר ללכת לעולמו, אבל עדיין הגורמים המסתמכים יכולים לעבוד על-פיו, ולא צריכים להתחיל את כל האופרציה מחדש.

זה לא המודל שמדובר עליו.

אבל הבעיה היא לא רק המפתח, אלא גם סתם ערבות, הוא נתן ביטוח. הגורם המאשר המחליף מקבל עכשיו פעילות שלא היתה לו קודם. צריך לבדוק את כל האופרציה, כאילו זה אישור מחודש במובן מסוים.

אם זה אישור מחודש, אין בעיה.

אני חושב שזה מה שצריך לעשות, כל התהליך צריך להיות מאושר מחדש.

בסעיף (ג) מפנים לתקנת משנה (ב) בקשר לביטול התעודה האלקטרונית, ואני לא מצאתי את זה פה. בתקנת משנה (ב) כתוב: "ביקש בעל תעודה, כאמור בתקנת משנה (ב)". אני משער שהכוונה שלכם היתה למשפט "הפסיק גורם מאשר את פעילותו...יודיע על כך...לכל מי שהוא הנפיק לו תעודה...התקפה בעת הפסקת הפעילות", ואז בעל התעודה הזאת יהיה רשאי לבטלה.

נתקן את זה. הפתרון לגבי המפתחות הוא שהרשם יעשה תהליך בקרה מיוחד בעת החילופים, ואת המפתחות מחזירים.

תדאג לשני מפתחות. זה הפתרון לצורך העניין. אני ממשיכה לקרוא:

"חובות תיעוד 18. על גורם מאשר לנהל רישום של כל הפעולות והאירועים הנוגעים
לפעילותו, סמוך לזמן האירוע, ובכלל אלה ירשום: זמני הפעלה והורדה
של המערכת וכל אחד מיישומיה, שינוי סיסמאות, ניסיונות בלתי מורשים
לחדור למערכת, ייצור או שינוי מפתחות, הנפקת תעודות וביטולן,
הרשאות גישה למערכת."

אחרי "הרשאות גישה למערכת", אנחנו מבקשים להוסיף "ניהול תצורה וניהול שינויי תוכנה במערכת". ניהול התצורה יחייב אותו לרשום את כל הפריטים של התוכנה על כל המהדורות וכל השינויים שהיו. זה דבר מאד חשוב, במידה שהוא מפסיק לפעול וגם לצורך הניהול השוטף. זה לא אוטומטית, איש ה-ISO ישב פה ובדקנו את זה.

יש נהלים ספציפיים.

חשוב להדגיש שזה לא אוטומטית. למה חשוב להוסיף שינויים בתוכנה? גם לפי סוגיות משפטיות, יכול להיות שבשנה מסוימת של פעילות ה-CA יש איזו תביעה, וחשוב לנו מאד לדעת איזו גרסה של תוכנה עבדה, האם באג מסוים שאולי גרם לבעיה הזאת תוקן או לא תוקן. נכון שה-ISO מתייחס לזה, אבל חייבים להדגיש את זה כאן, כי זאת מסגרת כללית, כלומר: במסגרת התיעוד יהיו לו ניהול תצורה וניהול שינויי תוכנה במערכת.

אז נכניס את זה.

אני הערתי בעניין הזה שצריך לכתוב: הפעולות והאירועים המהותיים, ואז דברים כאלה ייכנסו. הדרישה הזאת היא דרישה מאד רחבה.

כתוב פה: "זמני הפעלה והורדה של המערכת וכל אחד מיישומיה".

חבר-הכנסת איתן, האם אנחנו לא מוטרדים מזה שלפי הטיוטה המוצעת, אדם יכול להסתובב 12 שעות עם תעודה?

ביטלנו את זה. קיבלנו הערות, ולכן הורדנו את זה.

אני לא יודע איך להתייחס לזה, כי כתוב: "בכלל אלה ירשום: זמני הפעלה והורדה של המערכת וכל אחד מיישומיה". יש פה דברים שהם לא כל-כך הגיוניים.

מה הבעיה? זה יותר מדי מפורט?

זה יותר מדי מפורט. לדעתי, אנחנו צריכים להתמקד בבסיס המערכת, ולא ללכת לכל הגרורות שלה בנושאים האלה של רישום בדין.

אז מה לכתוב? נושאים מהותיים?

המשמעות היא לשמור את ה-LOG IN.

איזה LOG IN של RAO בסניף?

אבל זמני הפעלה והורדה של המערכת זאת דרישה שדווקא נראית לי סבירה.

לצורך העניין, RAO לא קשור לאחריות התעודה.

אבל אלה נראים לי פרטים מהותיים. הם נותנים פה דוגמאות לנתונים מהותיים, שנראים לי בסדר.

בואו נציין את המערכות. בואו נגיד שזה ה-CA, בואו נגיד שזה ה-DIRECTORY, בואו נגיד מה הדברים שחשובים לאורך החיים של התעודה, ולא כל דבר.

אני מבינה שהם בכל זאת רוצים להדגיש את זה בקטע הזה. האם יש פה איזה שיקול דעת?

אני חושב שהמערכת בעיקרון צריכה לפעול כל הזמן. אם יש דברים חריגים, אני חושב שכן צריך לרשום אותם.

אני מסכים. אם פקיד רישום לא נמצא, לא צריך לרשום את זה.

לא כתוב שצריך לרשום את זה.

כתוב "אחד מיישומיה", וזה חלק מהמערכת.

לא, יש גם עניין של שכל ישר. "יישומיה" לא שייך לעניין של פקיד שנמצא או לא. אני חושב שהניסוח הוא בסדר, מדובר בדברים מהותיים פה.

בואו נמשיך לקרוא: "גיבוי ושמירה 19. גורם מאשר –

(1) יבטיח אמצעי גיבוי נאותים, ברמה גבוהה של זמינות, אמינות והגנה מפני אבדן מידע, בהתאם לסוגי המידע, הכל להנחת דעתו של הרשם;
(2) ישמור מסמכים ומידע שקיבל לפי תקנות אלה, למשך 25 שנים לפחות, בתנאי אחסון המבטיחים הגנה מפני חדירה ושיבוש וכן מפני מפגעים סביבתיים, באמצעים המאפשרים גישה למסמכים ולמידע במשך כל תקופת האחסון."

בסעיף 19(1) הייתי מכניס לפחות רמה של RATE 5.

מה אתה רוצה? שיכתבו RATE 5?

מה זה "נאותים"?

מה שהוא יחליט.

עזוב, מחר יהיה RATE 6.

ליהי, מה הם המסמכים והמידע שקיבלתם לפי תקנות אלה? על מה זה חל?

כל האזהרה שקיבלת.

אזהרה שחתם עליה מקבל התעודה.

ואתה צריך לשמור אותה.

על האזהרה או על העתקה?

על האזהרה, על הנייר. את זה אמרנו בתקנות הקודמות שאנחנו כרגע לא נשנה. אנחנו נשאיר את זה, ונראה האם יהיה שם שינוי. אני ממשיכה לקרוא:

"אגרת רישום 20. (א) בעד רישומו כגורם מאשר ישלם מבקש הרישום, לפני הגשת הבקשה,
אגרה בסך 23,000 שקלים חדשים.

(ב) ב-1 בינואר של כל שנה (להלן – יום השינוי) ישתנה סכום האגרה
הנקוב בתקנת משנה (א), לפי שיעור עליית המדד החדש לעומת המדד
היסודי.

(ג) בתקנה זו: -

"מדד" – מדד המחירים לצרכן שמפרסמת הלשכה המרכזית
לסטטיסטיקה;

"המדד החדש" – המדד שפורסם לאחרונה לפני יום השינוי;

"המדד היסודי" – המדד שפורסם לאחרונה לפני יום השינוי הקודם,
ולעניין יום השינוי הראשון שלאחר תחילתן של תקנות אלה – המדד
שפורסם ביום כ"ו באב, התשס"א (15 באוגוסט 2001).

(ד) החליט הרשם שלא לרשום את מבקש הרישום כגורם מאשר, יחזיר לו את
מלא סכום אגרת הרישום, כשהוא צמוד לשינוי במדד, מן המדד שפורסם
לאחרונה לפני יום ההחזר."

אני רוצה להודיע שהאגרה הזאת עברה את ועדת האגרות הבין משרדית. היתה לנו קצת בעיה להספיק להחתים את שר האוצר, אבל אנחנו מניחים שהוא יחתום.

לפנינו התקנות השניות. עד עכשיו גמרנו את הסטים האלה, ועכשיו יש החרגות לפי סעיף 2 שזה בצו.

זה דיון נפרד.

בסדר, אבל זה נדרש לצורך כניסת החוק לתוקף. תראה, אולי זה נראה לך.

אני כבר ראיתי ואני כבר יודע, וכשבועז דולב אמר את מה שאמר, וגם כשראיתי איך את שומרת את זה מכל משמר, הבנתי עוד יותר.

לבועז דולב יש בעיות שלו, ואנחנו גם לא קיבלנו את הכל. עד כניסת החוק לתוקף, כתוב בחוק שצריך לאשר את התקנות האלה.

אז תקבעו תאריך.

החוק נכנס לתוקף ב-4 באוקטובר. צריך לקבוע דיון עד אז.

צריך לקבוע דיון הרבה לפני סוף ספטמבר, כי לפני שהחוק נכנס לתוקף, הוא צריך להתפרסם ברשומות.

תודה רבה, אני נועל את הישיבה.

הישיבה ננעלה בשעה 13:35