ישיבת ועדה של הכנסת ה-15 מתאריך 30/08/2001

תקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות), התשס"א-2001

פרוטוקול

 
פרוטוקולים/ועדת מדע/3741



הוועדה לענייני מחקר ופיתוח מדעי
2
וטכנולוגי – 30.8.2001


הכנסת החמש עשרה נוסח לא תוקן
מושב שלישי

פרוטוקול מס' 67
מישיבת הוועדה לענייני מחקר ופיתוח מדעי וטכנולוגי
שהתקיימה ביום ה', י"א באלול התשס"א, 30.8.2001, בשעה 10:00



ס ד ר ה י ו ם

תקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות), התשס"א-2001
נכחו
חברי הוועדה: מ"מ היו"ר מיכאל איתן
מוזמנים
עו"ד טנה שפניץ - משנה ליועץ המשפטי לממשלה, משרד
המשפטים
עו"ד ליהי פלדמן - עוזרת למשנה ליועץ המשפטי לממשלה,
משרד המשפטים
עו"ד עמית אשכנזי - משרד המשפטים
לימור ברוכין - משרד המשפטים
אהוד נסימיאן - משרד המשפטים
שרית עוגן-צדקה - משרד המשפטים
יריב שי שישינסקי - משרד המשפטים
עו"ד עדנה הראל - יועצת משפטית, משרד המדע
בועז דולב - מנהל פרוייקט תהיל"ה (שירוי אינטרנט
מאובטחים למשרדי הממשלה, משרד
האוצר
עופר ישי - אגף החשב הכללי, משרד האוצר
עו"ד רם רביב - הלשכה המשפטית, משרד הביטחון
מאיר וולצוביץ - סגן למערכות כלכליות, משרד הביטחון
גד גילאון - ראש אגף מחשוב ומערכות מידע,
שירותי בריאות כללית
עו"ד ויויאן גרודברג - הלשכה המשפטית, שירותי בריאות
כללית
נסים אליאסף - מנהל יחידת המיכון, מינהל האוכלוסין,
משרד הפנים
רפ"ק משה אבו - מפקח ואיש תשתיות, המשרד לביטחון
פנים
רפ"ק אבי פרנקל - עוזר ליועץ המשפטי, המשרד לביטחון
פנים
עו"ד ורדה לוסטהויז - הלשכה המשפטית, בנק ישראל
דניאל מאיר - הפיקוח על הבנקים, בנק ישראל
עו"ד אבישי פדהצור - הנהלת בתי המשפט
דוד גוטמן - ראש ענף תוכנה, מכון התקנים
עופר עגור - רכז תקינה בנושאי אבטחת מידע, מכון
התקנים
יהושע פרייס - אחראי על תקן אבטחת מידע, מכון
התקנים
דוד סומר - מנהל שיווק ותוכנה, מכון התקנים
עו"ד פרלי שר - הלשכה המשפטית, רשות הדואר
נתן הרשקוביץ - מנהל מחלקת מערכות מידע, הרשות
לניירות ערך
עו"ד אמיר שרף - סגן מנהל המחלקה המשפטית, הרשות
לניירות ערך
עו"ד מרדכי ימין - הלשכה המשפטית, הרשות לניירות ערך
עו"ד עדי קידנר - לשכת עורכי-הדין
דורון שקמוני - נשיא איגוד האינטרנט הישראלי
אסתר סקורניק - הנהלת איגוד האינטרנט הישראלי
רוני בס - הנהלת איגוד האינטרנט הישראלי
רוני גרוס - לשכת מנתחי מערכות מידע בישראל
זאב שטח - מנכ"ל חברת "קומדע"
עו"ד זאב מאי - מייצג את חברת "קומדע"
אבי נגר - מנכ"ל חברת "סקיורינט"
יורם הכהן - סמנכ"ל חברת "סקיורינט"
יוסי אבני - מנהל טכנולוגי, חברת ANC
אלי חמון - מנהל אדמיניסטרטיבי, חברת ANC
יוסי גוטליב - סמנכ"ל טכנולוגיות, חברת "אקספרט"
רון כהן - מנהל מוצרי אבטחת מידע, "אקספרט"
יצחק לבטון - נשיא חברת "אנקוטון"
פרופ' מיכאל בן-אור - מדור פיתוח, חברת "אנקוטון"
אילן יפה - סמנכ"ל אסטרטגיה ופיתוח עסקי,
חברת "אנקוטון"
דניאל רפ - חברת "אנקוטון"
ד"ר אלי טלמור - מנכ"ל חברת "סנטריקום"
יוסף חי אנג'ל - סמנכ"ל פיתוח עסקים, "סנטריקום"
יוסי דן - מנהל חברת "קרט"
דוד קרט - חברת "קרט"
נסים בראל - יועץ ביטחון, איגוד הבנקים בישראל
עו"ד צבי אילן - בנק לאומי, איגוד הבנקים בישראל
עו"ד שלמה כץ - בנק המזרחי, איגוד הבנקים בישראל
אבי שוורץ - בנק לאומי, איגוד הבנקים בישראל
שי זנדני - בנק לאומי, איגוד הבנקים בישראל
יועצת משפטית
מירב ישראלי
מנהלת הוועדה
ענת לוי
נרשם על-ידי
חבר המתרגמים בע"מ


תקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות), התשס"א-200
מ"מ היו"ר מיכאל איתן
אני מתכבד לפתוח את ישיבת הוועדה לענייני
מחקר ופיתוח מדעי וטכנולוגי. התכנסנו כאן על-מנת להביא לאישור את התקנות הנוגעות לחוק החתימה האלקטרונית. תהיה לנו עוד ישיבה אחת של ועדת החוקה שתתקיים ב4- בספטמבר, אז אני מקווה שנשלים את העבודה מבחינת החקיקה וחקיקת המשנה, כך שהחוק יוכל לצאת לדרך ב4- באוקטובר, אז הוא אמור להיכנס לתוקף. כמובן שעוד יידרשו צעדים שונים על-מנת שהחוק יוכל להיות מבוצע במלוא היקפו, כמו למשל מינויים.
טנה שפניץ
הכל בתהליך.
מ"מ היו"ר מיכאל איתן
ב5- באוקטובר אני אוכל להגיש אותו.
טנה שפניץ
להגיש, בוודאי.
מ"מ היו"ר מיכאל איתן
השאלה מתי אני אקבל את התשובה. זה יהיה
הנוהל הרגיל? אם זה המצב וב4- באוקטובר אנחנו מקבלים הערכה אופטימית אפשר יהיה להגיש בקשות וזה לא ייקח יותר מכמה חודשים לבקשה הראשונה, כך שאחרי חודשיים נקבל תשובה, בעצם המועד עליו אנחנו צריכים להסתכל הוא המועד שבו נקבל את האישור הראשון.

אין לנו היום הרבה עבודה. גם משרד המשפטים וגם אני קיבלנו כמה פניות בהקשר לשאלה שבה התחבטנו בפעם הקודמת כאשר אחת מהן היה שימוש במה שמכונה ECD SA. ההחלטה כפי שהתגבשה באיזשהו דיון טלפוני מוקדם ביני לבין עורכת-הדין ליהי פלדמן שאנחנו נאשר את האפשרות של התקן הזה כאלגוריתם שיאפשר לנו לומר על החתימה הדיגיטלית שנעשתה על-פיו כחתימה אלקטרונית מאובטחת והדבר הזה נעשה על-בסיס השיקול הבא כאשר ההחלטה התקבלה לאור איזשהו קו שאני מבקש להציג אותו ולהסביר אותו, ואם מישהו יתנגד או חושב שההחלטה היא לא נכונה, אני אשמח לשמוע אותו לאחר מכן.

כפי שהבנתי, ותקנו אותי אם אני טועה, בארצות-הברית האלגוריתם הזה מוכר והוא כן נחשב כחלק ממערך של חתימות אלקטרוניות מאובטחות אבל עדיין לא באירופה. אני אמרתי לעצמי, וגם לעורכת-הדין ליהי פלדמן, שלא הייתי רוצה בשום פנים ואופן שישראל תהיה הגורם המוביל בתחומים כאלה. הייתי תמיד רוצה שאנחנו נהיה או אחרי ארצות-הברית או אחרי אירופה וזאת בגלל כל מיני טעמים, ואני לא רוצה להיכנס ולומר כרגע למה. תמיד בכל דבר אני שואל מה קורה בארצות-הברית ומה קורה באירופה. לא הייתי רוצה שחתימות שאירופה מכבדת, בארץ לא נכבד, ולא הייתי רוצה שאותו הדבר יקרה גם לגבי ארצות-הברית. אם ארצות-הברית עשתה שגיאה, אני לוקח את הסיכון הזה ואני מוכן שגם אנחנו נעשה שגיאה. אם ארצות-הברית פרצה דרך, אני מוכן שאנחנו ניקח את הסיכון ונהיה אחרי ארצות-הברית ולפני אירופה. אם נצטרך לתקן את השגיאה הזאת נתקן אותה. נכנס את הוועדה ונקבע שהאלגוריתם הזה לא ייכלל, אבל כרגע אין אדם שטוען שהדבר הזה אינו טוב מספיק אלא אומרים שהוא לא נבדק מספיק. בשבילי הבדיקה בארצות-הברית היא בינתיים מספקת ואני רוצה לקבל את ההחלטה בכיוון הזה.

אם יש מישהו שרוצה להשיג על ההחלטה, עכשיו זה הזמן והמועד.
עופר ישי
אני מדבר בשם ועדת PTI במשרד האוצר ומתואם
עם גורמים במערכת הביטחון. אנחנו מתנגדים באופן חד-משמעי להכנסה של ה-ECC לתקנות. ההסבר והנימוק שלנו לדבר הזה הוא שהמנגנון הזה לא מוכר ולא נכלל כתקן ישראלי, לא בצורה מפורשת ולא בצורה משתמעת, והוא לא מוכר כתקן בינלאומי של ארגון התקינה הבינלאומי איזו. אני לא מדבר על פורמליסטיקה אלא על נושא של אחריות.

אני רוצה לשאול את הפורום כאן מי הגורם שייקח על עצמו את האחריות במקרה של תקלה, במקרה שיוחלט להסתמך על מנגנון שהוא לא מוסמך תו תקן ישראלי או בינלאומי בנושא התקנים, האם זה יהיה משרד המשפטים? האם יהיו אלה הגורמים המומחים שנשכרו על-ידי משרד המשפטים? הם ייתנו את הדין אם אחרי כן יהיו תקלות בפריצות בבנקים?

אני רוצה להמחיש את חוסר הסבירות של ההחלטה הזאת על-ידי שתי דוגמאות פשוטות. כמו שנאשר עכשיו לשימוש אגרת ילדים כשאין לה תקן ישראלי, אבל כשיקרה משהו לילדים, מי ייתן את הדין על זה? אין תקן. יש אולי תקן בארצות-הברית. אנחנו עדיין לא המדינה ה52- של ארצות-הברית ולא כל מה שמתאים לה, אוטומטית מתאים פה. לא כל פסיקה של בית-המשפט בארצות-הברית אוטומטית נכנסת כאן. יש פה שיקולים ותנאים אחרים.

זה כמו שנחליט לסלול כבישים באספלט שזה נראה נהדר כי זה מהיר וזה טוב, אבל אחרי כן הכביש ישקע, ואז מי ייתן את האחריות לזה?

לא ברור לנו במקרה של התקנות האלה למה צריך לפעול בבהילות כזאת, למה צריך לעגל את הפינות, למה צריך לקצר תהליכים ולמה צריך להתעלם מהתרעות ומאזהרות. אין לזה שום הצדקה.

זה מקבל עוד יותר חומרה כשיש הסתייגות קונקרטית של גורמים גם במשרד האוצר וגם במערכת הביטחון של אנשים שהם מומחים לדבר הזה וזה לא סביר שעל הסתייגויות כאלה בהחלטה כזו כבדה יתקבלו החלטות מבלי שנערך דיון משותף אחד בסוגייה הזאת ולא נערך שום דיון משותף בסוגייה שעומדת על הפרק וזה דיון שמחייב תיאום, דיון שמנתח את התקנים של אנסי לעומת תקני האיזו שנמצאים בעבודה ואומר מה ההבדלים. לא היה דיון כזה ואין עליו שום אסמכתא כתובה. היו דיונים מסוימים בנושא הזה, אבל אין שום סיכום דיון אחד כתוב ומחייב שניתן להתייחס אליו כאיזושהי אסמכתא, אין שום מכתב רשמי על-ידי שום גורם מקצועי נייטרלי ונטול פניות שלוקח על עצמו את האחריות על הדבר הזה.

בדיון הקודם רצינו והצענו לקיים פגישת עבודה אבל זה לא יצא אל הפועל. בימים האחרונים ניסינו באמצעות האינטרנט להתכתב ולהגיע להסכמה, אבל חילוקי הדעות נותרו בעינם כאשר לא התקיים דיון מסודר. לכן במצב הזה זו תהיה פעולה בלתי סבירה ולא מקצועית לאשר את ה-ECC.

פניתי אישית לגורם בשוק האירופי, שאחראי על הנושא של חתימה אלקטרונית בשוק האירופי, הצגתי בפניו את הסוגייה ושאלתי אותו מה היו עושים בשוק האירופי בסוגייה דומה, והוא נתן לי את אותה תשובה שאני נותן לכם היום.

לא מדובר אם ה-ECC תקף או לא תקף אלא האם אפשר להסתמך על משהו שאין לו בסיס תקן בינלאומי או ישראלי.

אני מצהיר עוד פעם שבמידה שמכון התקנים הישראלים יאמץ את התקן הזה או שיהיה תקן איזו בינלאומי אפילו מבלי שמכון התקנים הבינלאומי יאמץ אותו, מבחינתנו זה מספק, אבל במצב הנוכחי אין שום צורך לקחת סיכון כזה בלי שאף אחד לוקח על עצמו את האחריות לתקלות אם תהיינה.

לכן אנחנו מבקשים למחוק את הדבר הזה ולדון בו בצורה מכובדת ומסודרת.
מ"מ היו"ר מיכאל איתן
יש מישהו בדעה הזאת? אני שמעתי ואני בעד
שהדבר הזה ייכנס עכשיו. אני הייתי בדעה לחשוב פעמיים כאשר הנושא עלה בפעם הקודמת, שמעתי את הדעות, שמעתי אנשי מקצוע, שמעתי - לא ישירות אבל מובאות - מהמומחים הגדולים ביותר שישנם בארץ ואולי גם מהטובים בעולם. אני מבין את העמדה של האוצר ואני לא מזלזל בה, היא עמדה של הגורמים ששותפים באיזו ושלאיזו יש בהחלט מקום וכולי, אבל במסחר ובנישות שישראל יכולה וצריכה להתמודד אתן, לזריזות, למהירות ולהעזה צריך לתת מקום. אם אנחנו נהיה יותר בירוקרטיים מאחרים או כמו אחרים, נאבד את היתרון היחסי שלנו.

אנחנו בכל התחומים האלה נמצאים בנישה טובה כשאנחנו מהירים ומקדימים את האחרים ואני רוצה שתהיה הזדמנות גם לחברות ישראליות להשתמש בטכנולוגיה הזאת ולכבוש שווקים, ולעסקים ישראלים לעשות עסקים עם ארצות-הברית שאולי יעדיפו לעשות חלק מהעסקים כשיש אפשרות דרך כאן ולעשות עסקים בהם לסוחר המקומי יהיה בגלל זה יתרון. מה עוד שאני לא רואה כאן שום בעיה. תהיה תקלה, אז אני מניח בסדר סבירות שהתקלה תתעורר קודם בארצות-הברית ואחר-כך בישראל. יש לי רושם שכך יותר סביר להניח. אז הספרות המקצועית ואנשים יבואו ויאמרו שזה פרוץ, אבל היום אף אחד לא טוען את זה. הטענה שלך היא בירוקרטית.
עופר ישי
לא, היא לא בירוקרטית אלא היא טענה
מקצועית.
מ"מ היו"ר מיכאל איתן
היא מקצועית אבל היא בירוקרטית. אתה לא בא
לגופו של עניין ואומר שהנה אתה מוכיח לי שפרופסור עדי שמיר לא יודע על מה הוא מדבר ובקלות רבה אתה מראה לי איך פורצים את זה.
עופר ישי
זה לא הטיעון שלי.
מ"מ היו"ר מיכאל איתן
אני שמעתי את הטיעון שלך ומסכים לו אלא שאני
מנסה להסביר מדוע אני לא מקבל אותו.
עופר ישי
עדי שמיר לקח אחריות על ההחלטה הזאת?
מ"מ היו"ר מיכאל איתן
תסלח לי, אתה תיקח אחריות על זה שאתה אומר
לא ואתה תפגע בעסקים?
עופר ישי
אני לוקח אחריות על זה. כן.
מ"מ היו"ר מיכאל איתן
זה רק בפה.
עופר ישי
לא, זה לא בפה.
מ"מ היו"ר מיכאל איתן
אני לוקח את האחריות. אתה יכול לרשום את זה
בפרוטוקול שאני לוקח את האחריות ואם תהיה תקלה, אני אעמוד ואני אתן את הדין על כך. אני חושב שהשיקולים שלי הם סבירים.
עופר ישי
אני רוצה להעיר לסדר היום שאני מכבד את דעתך
אבל מבחינתנו אנחנו לא שלמים עם הדבר הזה ואנחנו נפעל כפי שאנחנו מבינים.
מ"מ היו"ר מיכאל איתן
לא, אתם לא תפעלו כפי שאתם מבינים אלא אתם
תפעלו על פי ההחלטה הזאת.
עופר ישי
בוודאי.
מ"מ היו"ר מיכאל איתן
ואתם תכבדו את ההחלטה הזאת. אני לא מקבל
את זה שאתה תבוא ותגיד לכנסת, ולא רק לכנסת – אני לא רוצה להיכנס כאן לעניינים שקשורים ביחסים בתוך הממשלה בינה לבין עצמה – אבל אתה עכשיו אמרת דבר מאוד חמור. אתה לא עובד מדינה אלא רק יועץ. התקנות האלה באות הנה כתקנות שמוצגות על-ידי הרשות המבצעת לאישור הכנסת. ברגע שאנחנו קיבלנו את התקנות האלה, יש להן גושפנקה גם של הרשות המבצעת, קרי הממשלה, וגם של הכנסת. אין שתי ממשלות ובטח לא אתה כמי שעובד עבור הרשות המבצעת. אל תגיד שאנחנו נעשה מה שאנחנו נעשה. אני לא מוכן לשמוע את הדברים האלה.
עופר ישי
לא זה מה שאמרתי.
מ"מ היו"ר מיכאל איתן
זה בדיוק מה שאמרת.
עופר ישי
אני רוצה להבהיר שאנחנו בוודאי נכבד כל דבר
אבל התפקיד שלנו, של כל אחד, של כל גורם מקצועי, להביע את דעתו ולהזהיר.
מ"מ היו"ר מיכאל איתן
נתתי לך להביע את דעתך. לא רק שאתה העלית
אותה בשבוע שעבר אלא אני גם קיבלתי אותה כטיעון כבד משקל ולא קיבלתי החלטה וביקשתי לעכב ולשקול. חשבתי על העניין הזה וקיבלתי גם תגובות. זה לא שהדבר הזה היה כלאחר יד, אבל ברגע שהתקבלה החלטה, ההחלטה מחייבת. אני לא אוהב לשמוע את הטיעון הזה שאומר: טוב, קיבלתם החלטה ואנחנו ננהג כפי שאנחנו מבינים. בטח לא ממך. אין לך שום סמכות לומר את זה. לא משלמים לך כסף כדי שאתה תגיד כלפי החלטת כנסת וממשלה, כיועץ של משרד ממשלתי, אנחנו נעשה. בשם מי אתה אומר אנחנו?
עופר ישי
לא אמרתי שנפעל. זה גם מערכת הביטחון.
מ"מ היו"ר מיכאל איתן
אתה לא מייצג את מערכת הביטחון. אף אחד לא
נתן לך סמכות לייצג את מערכת הביטחון.
טנה שפניץ
ההחלטה היא החלטה ואנחנו נקיים דיון. אם
יהיה צורך עד הכניסה לתוקף לבוא עם איזשהו תיקון, נבקש זאת.
מ"מ היו"ר מיכאל איתן
אני חוזר ואומר שאפשר לקיים דיון ובתוך שנייה
אני אכנס את הוועדה אבל ברגע שיבואו ויאמרו לי אחת מהשתיים: שההחלטה שלי שגויה על-בסיס עובדות חדשות, כלומר, או שארצות-הברית שינתה ומצאה שהיא עשתה טעות, או שכאן בארץ מישהו בא ומראה שהייתה פריצה והדבר הזה הוא לא ישים, הוא לא בטוח והוא לא תקין. אני לא אשנה את ההחלטה בגלל פוליטיקה שיגידו לו תשמע, צריך לחכות לאיזו ולזה ולזה כי הנציג שלנו שם הוא גם הנציג פה ואז יש לו אינטרס או נאמנות גם לאיזו. בסדר, אני לא מזלזל גם בדברים האלה, גם במחויבויות האלה, אבל אני שקלתי, ההחלטה התקבלה ואני לא אשנה את דעתי בעניין הזה. אני אשנה את דעתי אם אתם תבואו, תקיימו דיון ותגידו לי טעינו, התגלו הוכחות שהמפתח הזה פרוץ יותר מאחרים ולכן אי-אפשר לאמץ אותו.
טנה שפניץ
אם יהיה בעיות, אנחנו נביא אותן.
מ"מ היו"ר מיכאל איתן
אני אשמח מאוד שלא יהיו בעיות, אבל אם יהיו
בעיות, אני מבטיח לך בכל שעה שתעירי אותי אני אכנס את הוועדה ואנחנו נשנה את זה תוך דקות.
מירב ישראלי
הוכנסו התיקונים בישיבה עליהם הוחלט בישיבה
הקודמת ויש עוד כמה נושאים שצריך לדון בהם.
קריאה
יש מקום להגיב על התקנות מתחילתן?
מ"מ היו"ר מיכאל איתן
אני מציע שהסדר יהיה שנסיים את מה שיש לנו
לסיים. אם אחר-כך יהיו הערות לגבי סעיפים שלא דנו בהם כרגע, נשמע אותן בקצרה ונחליט אם להיכנס לדיון מחודש.
מירב ישראלי
בהגדרת מסמך נהלים עלה בישיבה הקודמת
הנושא שהתקן RFC הוא בעצם לא תקן. אני מתייחסת לסעיף 1 – הגדרות. בישיבה הקודמת עלה שלא מדובר בתקן דה-יורה אלא בתקן דה-פקטו ועלתה השאלה האם לא להשתמש פה במילה תקן. בסופו של דבר נעשה כאן שימוש במילה תקן בגלל סעיף 8 החדש שהכנסנו שאנחנו רוצים שכל שינוי ייכנס גם הוא. זאת אומרת, שכל שינוי בתקן בעצם יהיה מחייב. לכן הושארה המילה תקן למרות סימן השאלה שעלה בישיבה הקודמת.

בהתאם להחלטה בישיבה הקודמת הוספו הגדרות של תושב ותושב חוץ.
ליהי פלדמן
בסוף ההגדרות, בהגדרה האחרונה, X, מה שהיה
בנוסח הקודם ההגדרה של X509, אמרנו שבמקום יהיה תקן של איזו, ההגדרה תלך לפי איזו ונזכיר גם את המינוח המקובל.
מירב ישראלי
זה תיקון בהתאם להחלטה.
תקנה 5 הקודמת הועברה לתקנות של ועדת החוקה.
ליהי פלדמן
בישיבה הקודמת היה דיון ברמת האבטחה
שאנחנו דורשים ממרכיבי המערכת ועלתה פה הצעה לבחון משהו חדש, את הנושא של ה-CIOC. מאחר שזה לא תקן רשמי ולא אושר עדיין על-ידי אף גוף, לא הכנסנו את זה בתקנות.
מירב ישראלי
הייתה שאלה לגבי רמת אבטחה שלוש או ארבע
וזה נשאר ארבע.
מ"מ היו"ר מיכאל איתן
על זה היה הוויכוח.
מירב ישראלי
נכון. על זה היה הוויכוח כשהייתה הצעה חלופית.
ליהי פלדמן
מההצעה החלופית ירדנו כי היא לא מוסדרת
ודובר על רמת ביטחון של תקן COMMON CRITERIA EAL4. זה אומר שרמת הבדיקה שאתה מבצע לעמדת ההתאמה של המערכת היא בדיקה ברמה גבוהה.
מירב ישראלי
בסעיף 6 הוכנס תיקון שעל פיו לא כל המערכת
תישמר במקום בטוח אלא רק החלקים החיוניים של המערכת.

תקנה 8 היא תקנה חדשה ואני אקרא את התקנה כפי שהוצעה על-ידי משרד המשפטים.
צבי אילן
סליחה שאני מפריע בשטף הזה. בתקנה 6 למשל
מדובר על חלקי המערכת החיוניים מבלי שראיתי לזה הגדרה. ראיתי הגדרה של חלקים חיוניים בתקנה 7.
מירב ישראלי
העברנו את זה לתקנה 6. זה להלן, "חלקי
המערכת החיוניים לפעילותו כגורם מאשר". מה שמחייב לצורך הפעילות כגורם מאשר ולא חשבונות או משהו כזה.
צבי אילן
בתקנה 7(ג) נאמר "גורם מאשר ינהיג אמצעי זיהוי
שיבטיחו זיהוי ותיעוד גישתו". חשוב מאוד שיהיה פירוט בכל הרמות של הפעילות.
קריאה
רק בפעולות חיוניות.
מ"מ היו"ר מיכאל איתן
אנחנו כרגע לא קובעים את ההוראות אלא
משאירים סמכות לרשם. אם רוצים להכניס עוד, צריך לקבוע באופן כללי.
צבי אילן
לפי דעתי זו נקודה קריטית.
מ"מ היו"ר מיכאל איתן
אפשר להוסיף "ופעולות מהותיות שביצע".
צבי אילן
מאגר התיעוד לא יהיה נגיש לאף אחד אלא רק
למערכת עצמה. זאת אומרת, שלא תהיה יכולת למחוק נתונים מהמאגר הזה.

כרטיסי המערכת, הזיהוי צריך להיות מבוסס לפחות על שני ארגומנטים.
מ"מ היו"ר מיכאל איתן
הזיהוי של אותו אדם?
צבי אילן
מפעיל המערכת.
מ"מ היו"ר מיכאל איתן
אנחנו לא נכנסים לזה עכשיו. אלה יותר מדי
פרטים. לשם כך יש רשם והוא יצטרך לראות אם הוא עובד טוב או לא. אני רק קובע ברמת העיקרון כי אחרת אין סוף לדברים האלה.
מירב ישראלי
תקנה 8 – שינוי תקן.
(א) הוחלף תקן מן התקנים הנזכרים בתקנות אלה בתקן חדש, יהיה התקן החדש מחייב במקביל לתקן הישן, זולת אם התקן הישן אינו מקיים עוד תנאי אבטחה נאותים, להנחת דעתו של הרשם, שאז יחייב התקן החדש בלבד, תוך זמן שקבע לכך הרשם.

(ב) הרשם יפרסם, מזמן לזמן, באתר האינטרנט שיועד לכך, רשימה מעודכנת של התקנים הנדרשים לפי תקנות אלה.

אולי צריך לתקן ולומר, כפי שהיה בנוסח הקודם, שהרשם צריך להודיע שיש תקן חדש ושהוא מחייב, כי מהנוסח החדש עולה שהם צריכים לנחש בעצמם שיש תקן חדש למרות שאולי הם יודעים.
מ"מ היו"ר מיכאל איתן
למה? הם מעיינים באתר.
מירב ישראלי
מזמן לזמן זה לא מספיק טוב. ברגע שיש תקן
חדש, הרשם צריך להודיע את זה ומהתאריך הזה זה מחייב. הנוסח הזה הוא יותר מדי מעורפל.
מ"מ היו"ר מיכאל איתן
בסדר. תקני.
מירב ישראלי
זמן סביר צריך להיות לפי שיקול הדעת שלו והוא
חייב להיות סביר.
קריאה
סעיף 8(א) מתכוון לתת סמכות לאחת
הטכנולוגיות שב4-(1) וזה בעצם לדבריה של עורכת-הדין שפניץ, אבל זו טכנולוגיה ולא תקן.
ליהי פלדמן
זה רק בתיקון הטכנולוגיות בבדיקה ישירה.
מירב ישראלי
או אם הרשם מחליט לפי סעיף 10(2).
אילן יפה
בתקנה 6 הכנסתם את ההגדרה של החלקים והיא
בעצם כללית. בתקנה 5(א) את מגדירה מרכיבי המערכת המשמשים לזיהוי ולהנפקה ולביטול. כדאי לקרוא לאלה החלקים החיוניים.
מ"מ היו"ר מיכאל איתן
כתוב להלן הפעולות החיוניות.
אילן יפה
חוץ מהפעולות החיוניות. תגיד שהמרכיבים של
המערכת שעושים את הפעולות החיוניות הם המרכיבים החיוניים. כך נדע על מה מדובר. כלומר, כאן תגדיר את זה.
מ"מ היו"ר מיכאל איתן
עם כל הכבוד, יעשה את זה הרשם. אנחנו לא
צריכים להיכנס לכל דבר. תבינו, אתם מסתכלים וחושבים שלפי זה יצטרכו לעבוד, אבל זה לא כך כי לא על בסיס זה עובדים. זה מחלק, זה נותן הנחיות וסמכויות ברמה העקרונית לרשם והוא אחר-כך יעשה את הפיין-טיונינג הזה. אני לא יכול עכשיו להיכנס לכל פרט קטן אלא אני נותן הנחיות כלליות והוא כבר יכניס בזה תוכן.
מירב ישראלי
הנקודה המהותית הבאה היא הנושא של זיהוי
המבקש, תקנה 11(2)(א).
קריאה
לפני כן, לגבי 9(ב). הייתי אומר להעלות את זה
לרמה אחת לפחות.
ליהי פלדמן
הוסבר שממשתמש הקצה אי-אפשר לדרוש יותר
מרמה אחת.
אילן יפה
אני רוצה להעיר לגבי 9(ג), אמצעי הכרוך בשימוש
בסיסמה.
מ"מ היו"ר מיכאל איתן
לאחר שנסיים נחזור לדברים שלא התייחסנו וכל
אחד יוכל להעיר את הערותיו. זה נושא חדש שתוכל להתייחס אליו אחרי שנסיים את הדברים שתיקנו כאשר בסיום כל אחד יוכל להעיר לאיזה סעיף שהוא רוצה.
מירב ישראלי
בסעיף 11(2)(א), הוחלט לשקול להכניס את הנושא
של מרשם האוכלוסין. הנוסח שהוצע הוא נוסח כמו בתקנות הלבנת הון והסיפא אומרת: "הגורם המאשר יאמת את פרטי הזיהוי עם מרשם האוכלוסין במשרד הפנים וישווה את תאריך הנפקת התעודה המופיע בתעודה עם תאריך הנפקת התעודה האחרון כפי שרשום במרשם האוכלוסין".

קיבלנו הערה בכתב מטעם לשכת רואי חשבון שאומרת שהעלות של הדבר הזה לא תאפשר למשרדים קטנים לשמש כגורם מאשר.
עדי קידנר
לשכת עורכי-הדין מסכימה ותומכת בגישה זו כי
זה לא יאפשר רכישה לנוטריונים ועורכי-דין.
נסים אליאסף
הבאנו נתונים כמותיים וכספיים שנוכל להציג אותם עכשיו כדי שתתרשמו לפחות לגבי הנתונים. יש גם לקוחות גדולים וגם לקוחות קטנים. אם ניקח למשל לקוח גדול שעוסק בפתיחת כל חשבון, אנחנו מדברים על מחיר חודשי עבור 354,200 שאילתות ראשונות בחודש הם משלמים מחיר אחיד של 0.572 שקלים לשאילתה. יש לי פה פירוט והשדות החשובים שבודקים את תעודת הזהות הם שנים: תאריך הנפקת תעודת הזהות האחרונה, כי כל תעודת זהות חדשה שמנפיקים, אנחנו רושמים את התאריך העדכני, ואם מישהו גנב תעודת זהות ובא להזדהות איתה כשאותו אדם, בינתיים, הנפיק תעודה חדשה, התאריך לא יהיה אותו תאריך. עדכון נוסף הוא סיבת הפקת תעודת הזהות האחרונה. כלומר, אם התעודה אבדה או התקלקלה, זה נשמר במערכת והבנק יכול לראות את זה. אם יש משהו חשוד, הבנק פועל בהליכים שלו. כלומר, סדר גודל של חצי סדר לגישה.

יש לנו היום 47 בתי חולים ממשלתיים שמחוברים למערכת מרשם האוכלוסין וכאן מדובר על 28 אלף שאילתות לחודש בכל בתי החולים כשהמחיר הוא 1.745 שקלי לגישה.

יש עוד גוף שעובד בצורה דומה וזו מחלקת רישום סרטן במשרד הבריאות כאשר הכמויות כאן הן יותר קטנות ומדובר ב3,400-.
מ"מ היו"ר מיכאל איתן
זה לא קשור לדיון שלנו, אבל הייתי רוצה לדעת
איך מגיעים למחיר.
נסים אליאסף
יש מחירון. בזמנו היה מכרז במערכת מרשם
האוכלוסין על-בסיס של אאוט סורסינג. הוצאנו את זה בשנת 1992 לאאוט סורסינג. הבסיס הכלכלי של תפעול המערכת התבסס על מחיר קבוע שמשרד הפנים משלם כל חודש, 84 אלף שקלים, ומחיר שמשתלם על-ידי הלקוחות החיצוניים. במסגרת המכרז בנינו תוכנית של פעולות כמו שאילתות וכולי ואמרנו לספקים שיציעו מחיר לכל דבר כזה וגם שם יש מדרגות. כל הספקים הציעו מחיר וזה הבסיס למחיר.
מ"מ היו"ר מיכאל איתן
את מערכת המחשוב של מרשם האוכלוסין עושה
ספק מסוים שנותן את השירות הזה לממשלה באאוט סורסינג. כשאתם באים ואומרים היום שאנחנו רוצים לפתח שירות של בתי-החולים כך שהם יוכלו ישירות להתקשר ויש 30-28 אלף פעולות כאלה בחודש, אנחנו מעמידים את זה למכרז חדש ועל המכרז הזה יכולים להתמודד כל מיני ספקים. זה המצב?
נסים אליאסף
לא. המצב הוא שהמכרז קבע שהספק הזוכה הוא
זה שיספק את השירותים כי רצינו ליצור בסיס כלכלי לתת את השירותים, אבל התוצאה היא שהמחיר שהיום המדינה משלמת כי משרד הפנים הוא המדינה לצורך העניין הזה, הוא נמוך בסדר גודל.
מ"מ היו"ר מיכאל איתן
אם הוא נמוך או גבוה, זה תכף נראה. את זה אני
לא יודע. אני קודם רוצה להבין. כשאנחנו יצאנו לאאוט סורסינג וחברת איקס - ולא ניכנס כאן לשמות – זכתה במכרז הזה של האאוט סורסינג, אנחנו ידענו מראש שיהיה שירות של חתימה אלקטרונית שיחייב את הגורמים המאשרים להיכנס? לא ידענו. אנחנו אמרנו שאנחנו רוצים לדעת כמה כל גישה תעלה לנו משרד הפנים כי אנחנו בעצם רוכשים את השירות.
נסים אליאסף
לא. אנחנו רוכשים שירות קבוע. אגב, המחיר הוא
אחיד כאשר ממשלה או בנק משלמים על אותו שירות את אותו הסכום. זה העיקרון שקבענו.
מ"מ היו"ר מיכאל איתן
למה כניסה של הבנק עולה איקס ושל
בית-החולים עולה וי?
נסים אליאסף
כי יש טבלה לפי כמויות. יש מחיר שהוא הדרגתי.
ככל שאתה צורך יותר, המחיר ליחידה הולך וקטן.
מ"מ היו"ר מיכאל איתן
אנחנו לא נפתור היום את הבעיה הזאת אלא
אנחנו רוצים מידע. כשאתה פונה לבן-אדם הזה שעושה את האאוט סורסינג ואתה אומר לו שעכשיו יש לנו שירות ממערכת של בתי-חולים, הוא צריך לעשות התאמות, לכתוב תוכניות וכולי. השאלה האם התוספת הזאת שהוא מחבר את מערכת המחשוב של בתי-החולים לצורך ביצוע השירות הזה בעלויות שלה היא כל כך יקרה שהייתה הצדקה נגיד לקחת מבית-החולים 1,5 שקלים. הרי אם אני אומר יתרון לגודל, יתרון לגודל זה אני, משרד הפנים, אני מקבל תעריף פר שאילתה ואני אומר שיהיו לי חמישים אלף שאילתות כאלה בחודש, ואז מה איכפת לי אם אחד ביקש אחד או אחד ביקש עשרה כי כולם באים דרך משרד הפנים ומשרד הפנים בעצם הוא גם הבעלים של המידע והוא נותן שירות כללי.
נסים אליאסף
אני אסביר למה זה לא עובד ככה. אני לא יודע אם
אתה יודע כמה אנשים עובדים ביחידת המחשב של משרד הפנים שמפעילה מערכת כזאת. יש מערכת של אאוט סורסינג, יש החלטת ממשלה על אאוט סורסינג, והמערכת הזו עובדת על-בסיס מכרז שיצא, מכרז שהוציאה מדינת ישראל שחתום עליו סגן החשב הכללי בזמנו וגם משרד הפנים. המכרז קבע בסיס כלכלי לתפעול. יש מחירים קבועים וזה שירות קבוע ואחיד לכולם. יש שירותים שהם לא שירותים רגילים. השירותים של ה-IPI הם כאלה שהשירות שמקבל הבנק הוא לא כמו אותו שירות שמקבל משרד הבריאות או מקבלים בתי-החולים. לכן המנגנון שקבענו הוא מנגנון של משא ומתן. מי שפונה ומבקש את השירות, הוא פונה לספק של משרד הפנים. קודם כל הוא צריך לקבל אישור שבכלל מותר לו על-פי חוק. עבר את זה, פנה לספק ועכשיו הוא יושב אתו ומנהל משא ומתן כלכלי.
מ"מ היו"ר מיכאל איתן
זה משא ומתן שאם אתה רוצה, טוב, אם אתה לא
רוצה, לך הביתה.
נסים אליאסף
לא. זה לא עובד כך. המשא ומתן היה מאוד קשה
בין הספק לבין הבנקים ועובדה שהם עובדים כבר למעלה מחמש שנים וכולם מרוצים. הם הגיעו לאיזשהו איזון כלכלי, השוק שיחק את שלו, משרד הפנים לא התערב בזה אלא אישר את זה. יש מצבים שלא מגיעים לסיכומים. היו לנו מספר מקרים שלקוח אמר שהוא חושב שהמחיר הוא גבוה ואז נכנסנו לעובי הקורה ובדקנו את זה והגענו לסיכומים על דעת כל הצדדים והדברים הסתדרו. הכל מבוקר והכל תחת החלטות.
מ"מ היו"ר מיכאל איתן
אני מודה לך על ההסבר. עכשיו נחזור לעניין
התעריפים. אני רוצה לומר לך שבגדול אני חושב שאולי צריכים לחשוב ליצור מצב שאם אתה הולך לאאוט סורסינג למישהו שבונה תשתית כל כך רחבה של שליטה במאגר נתונים, אתה צריך ליצור מצב שתהיה תחרות על התשתית שלו. כלומר, שיוכל לבוא ולבצע את ההתאמות על התשתית שלו ולעשות מכרז חדש. כשאתה עומד היום מולו, באופן טבעי יש לך את המגבלות כאשר אין תחרות, אין שוק ואין מחיר והמחיר נקבע בכל מיני משאים ומתנים.
נסים אליאסף
אני רוצה להציע הצעה. אני מציע ומזמין אותך
לבוא ולקבל הסברים מקצועיים ואז תוכל לראות שהמודל הזה הוא גם נכון וגם יפה ומהווה דוגמה חיובית למה שקורה.
מ"מ היו"ר מיכאל איתן
אני בטוח בתי-החולים לא כל כך מאושרים מזה.
קריאה
בתי-החולים מאוד רווחיים ולכן הם משלמים פי
שלוש מפעילות הבנקים.
מ"מ היו"ר מיכאל איתן
מה לגבי סוכני ביטוח?
נסים אליאסף
יש חברות ביטוח שעשו פעולות כאלה ושם הם
עושים פעולה קצת שונה ואני חושב שצריך לקחת זאת בחשבון. הם לא נותנים את מספר הזהות אלא הם נגיד נותנים את השם ומקבלים בחזרה. זו פעולה קצת יותר יקרה, אבל יש חברת ביטוח – אבנר - שעושה מאה פעולות בחודש שזה סדר גודל יותר סביר, יש את חברת מנורה שעושה 11 אלף פעולות בחודש, יש קרן גמלאות מרכזית עושה אלף פעולות בחודש. כאן מדובר בין שקל אחד לארבעה וחצי שקלים פר פעולה וזה תלוי בכמות. אנחנו ביקשנו קודם כל להיערך לעניין הזה ולתת הצעה ספציפית. אחת ההצעות שיכולה להיות על-בסיס מה שכתוב בתקנות תוכל לפשט ולייעל עוד יותר, ואני רק נותן דוגמה ולא אומר שזה מה שייכנס. למשל, שהם ייתנו את הנתונים של מספר הזהות ואת התאריך שכתוב על תעודת הזהות שהם רואים וכל מה שהם יקבלו מהמערכת יאמר להם רק אם זה בסדר או לא בסדר. זה גם פותר בעיה של צנעת הפרט ודברים כאלה. זה כמובן עוד יותר יוזיל את הפעולה. יהיה ויכוח על העלויות, ואני בטוח שהוא יהיה, אז אפשר גם לבוא לכאן ואתה תוכל לשפוט נקודתית בנקודה הזאת אם אתה חושב שזה יהיה מוגזם.
זאב מאי
אנחנו עוסקים כרגע בלוקליזציה מבחינת עבודות
ההכנה.
לגבי הדוגמאות שניתנו. אני חושב שזה אחד המקרים היחידים, בהבדל מהדוגמאות שהחבר נתן כאן, שהמחוקק מחייב גורם פרטי לרכוש את השירותים. אלו אינן הדוגמאות של מנורה או אבנר או חברות אחרות שמבחירתן האישית בחרו להיעזר בשירותים האלה. מרגע שתצא גזרה מטעם המחוקק, מעניין אותי לשבת באותה ישיבה ולנהל את המשא ומתן הכספי כשידיי קשורות ואין לי ברירה ואומרים לי אני חייב כי כך קובע החוק.

עניינית, וחשוב לומר את זה, לפי בדיקה שעשינו ולפי המספרים שהחבר נתן כאן, אנחנו נגיע למצב שעלות הפנייה למחשב משרד הפנים, וכנראה תידרש יותר מאשר פנייה אחת לעתים עבור תעודה מסוימת, תהיה הרבה יותר ממחיר התעודה.

המספרים הם בדוקים ואני מתייחס למספרים שנאמרו כאן. לא חשוב כמה תעלה התעודה כי הרי אנחנו לא עוסקים כאן כרגע בצד העסקי. אני נותן את זה רק כנתון.
מ"מ היו"ר מיכאל איתן
כמה עולה תעודה בארצות-הברית?
זאב שטח
אנחנו לא אמורים להיכנס כאן למחירים כי זה
נושא רגיש. אני אומר לך שבביזנס של גורם מאשר, כשאתה משקיע ואתה צופה החזר השקעה – שיעשו את זה הבנקים, גורמי הבריאות וגורמים אחרים – אתה מוסיף את העלויות האלה, אתה למעשה יכול לסגור את העסק מפני שזה מכניס אותך להפסדים שלא תעמוד בהם. בכל כמות שהוא אומר, זה פי כמה ממחיר התעודה. זאת אומרת, זה בכלל לא ריאלי מה שנאמר והוא לא מבין איך בונים עסק.
זאב מאי
הוא מייצג גורם אינטרסנטי והוא ירוויח מזה.
מ"מ היו"ר מיכאל איתן
זכותו לייצג את עמדתו וזכותכם לייצג את
עמדתכם וההערה הייתה מיותרת.
זאב מאי
אני מתנצל. הנקודה האחרת והחשובה שאני חושב
שהיא הערה הרבה יותר כללית. אם נסתכל בתקנה 11 באופן גורף נראה שהמחוקק מוצא לנכון להנפיק תעודות לתושבי חוץ, אבל דווקא לגבי יחיד תושב ישראל שלכאורה הוא זמין, הוא נמצא, אני יכול לדרוש ממנו דרישות זיהוי רבות ושונות, לגביו יש דרישה מאוד מאוד מסוימת.
עופר ישי
אנחנו לא מייצגים גורם אינטרסנטי. אני חושב
שהמחירים הם מאוד מאוד סבירים כשמדברים על העניין של עלות תועלת.
מ"מ היו"ר מיכאל איתן
אני לא יודע אם זה סביר או לא סביר. באופן טבעי
מה שלא היית אומר, הם היו רוצים להוריד כי הם רוצים שהביזנס ילך והם רוצים שבסך ההוצאה שהצרכן ישלם החלק שלהם יהיה יותר גבוה והחלק שלך יהיה יותר נמוך. השירות הזה, אם הוא ילך, כפי מה שאנחנו מבקשים שהוא ילך, יש בו מרכיבים שאתה מספק חלק והם מספקים.
עופר ישי
שיהיה ברור, אני לא מספק שום מרכיבים כאלה.
אני לא מייצג את החברה אלא אני מייצג את משרד הפנים. חשוב להדגיש שאני לא מייצג שום אינטרס.
מ"מ היו"ר מיכאל איתן
זה לא משנה. אדם מקבל שירות ובשירות הזה
משתתפים בהכנתו מבחינה כלכלית כמה גורמים כאשר חלק מהגורמים שמשתתפים בהכנת השירות הזה זה אתם וזה לפי החוק. אתם מקבלים כעת קונצסיה להשתתף בפעילות כלכלית מסוימת ועבור הפעילות הכלכלית הזו צריך לשלם. באופן הכי טבעי כשיש שני יצרנים של שירות מסוים, כל אחד אומר שלו מגיע 99 אחוזים מהכסף ולשני מגיע אחוז אחד ואולי גם זה לא. נכנסנו לסוגייה שהיא לא ראשונה ולא אחרונה אלא היא מתרחשת כל יום. השאלה איך אנחנו פותרים אותה.

בא הבן-אדם שאומר הוא הגורם המרכזי בהכנת השירות הזה והוא אומר שאם הגורם הנספח יבקש את המחיר שהוא מבקש, זה יותר גבוה מהשירות שאני נותן ולא יהיה ביזנס בכלל ואז כולנו נהיה מרוצים והמחיר יהיה ענק אבל לא יהיה ביזנס. השאלה איך היית אתה, אם היית יושב במקומי, מנסה לנתח את הסוגייה הזאת ולהבין מה קורה כי אני כן מעונין שהאלמנט הזה ייכנס למשחק אבל אני לא יכול לתת לכם אפשרות שכתוצאה מכך ייהרס כל העניין.
עופר ישי
יש לי הצעה. שיהיה מחיר מפוקח ומי שיחליט
בסופו של דבר יהיה הרשם של הגורמים המאשרים.
זאב מאי
תרשום בפרוטוקול שאני מסכים לעניין הזה
בצורה מוחלטת, אבל אני מציע שהתקנות יאפשרו לגורם מאשר לעשות את השאילתה. כפי שנאמר לנו כאן צריך קודם כל הסכמה חוקית וזאת לא תהיה דרישה מנדטורית.
מ"מ היו"ר מיכאל איתן
אנחנו הרי לא יודעים מה קורה כרגע ואין לנו זמן.
יהיה רשם וזה יהיה תפקידו. הוא ייסע ראשית כל לשבוע לארצות-הברית כדי לבדוק מה קורה שם ויהיה לו בטח יותר מושג מאשר יש לנו.
מירב ישראלי
צריך להיות זיהוי נוסף שזו אחת האופציות שלו.
מ"מ היו"ר מיכאל איתן
מה שמקובל עליכם, יהיה מקובל גם עליי.
טנה שפניץ
אפשר לעשות את הצירוף שכל בדיקה היא בדיקה
כפולה כאשר תעודת זהות פלוס יכולה להיות. אני מניחה שבסופו של דבר זה גם לטובת הגורמים המאשרים.
מ"מ היו"ר מיכאל איתן
זה יהיה לשיקול הרשם?
טנה שפניץ
לא. הייתי משאירה את זה לחברות בינתיים
משום שאני פוחדת להיכנס לשיקולים העסקיים. אנחנו צריכים להבטיח שבאמת זה יהיה מזוהה ואני חושבת שבסופו של דבר החברות ישתמשו בזה כי זה הכי בטוח וזה גם לטובתן כי הנזק של הבדיקה ייפול עליכם בסופו של דבר כשיש תקלות בזיהוי.
מ"מ היו"ר מיכאל איתן
את הולכת יותר מדיי לכיוון שלהם והם לא ירצו
את האופציה הזאת. הם אף פעם לא ילכו למאגר.
טנה שפניץ
בסופו של דבר זה מבטיח אותם. בסופו של דבר
הרשלנות שלהם אף פעם לא תהיה אם הם יצליבו מול המאגר. אם הוא לקח גם דרכון מזויף וגם תעודת זהות מזויפת, הוא עדיין יכול להיות אחראי.
זאב שטח
כשהתחלנו עם החוק הזה התחלנו עם הרבה מאוד
אופטימיות, אבל היום יש מציאות מסוימת ואני רוצה שתדעו שאנחנו יכולים להיות פה קצת מנותקים מהמציאות. המציאות בעולם היא – ואני כרגע לא רוצה להיכנס לשמות של חברות אבל אני מדבר על חברות בינלאומיות – שיש קשיים עם הנושא הזה והקשיים הם מכיוון שהנושא הזה מסובך וקשה ויש בו הרבה מאוד קשיים והוא לא פשוט. אני אומר את זה כאחד שמצוי עמוק בנושאים האלה.

פה יש קושי שמכניסים גם מבחינת עלות וגם מכל מיני בחינות שהוא בכלל קושי זר לכל הקשיים האחרים. הנושא הזה מספיק קשה ועולה יקר גם כך, וכל העלות הזו נופלת על הלקוח. הלקוח שואל את עצמו אם בסופו של דבר הוא צריך את הנושא הזה או לא צריך אותו. אם הוא יכול להכניס את זה בצורה חלקה וטובה ובעלות סבירה, בסדר, הוא מוכן לנסות ולבדוק את הנושא, אבל אם אנחנו נעמיס פה עוד עלות שבסופו של דבר תועמס על הלקוח, אני משוכנע שזו עלות כל כך גדולה שהיא לא תהיה.

הכוונה של טנה ואת אמרת לי שכדאי לי להכניס את זה, אני מקבל את זה. אני רוצה לומר שאני מוכן להכניס את זה אם אתם תכתבו בחוק שמשרד הפנים צריך לתת את זה לגורם שאושר. אם זה יהיה, אני האחרון שאתנגד לזה אבל כאן יוצא בדיוק הפוך. כאן יוצר שאתם מכניסים אותי לבעיה. זאת אומרת, אני צריך לרדוף אחרי משרד הפנים, לשלם לו, להתמקח אתו מתוך נקודת מוצא כפי שזאב מאי אמר כבר הכריחו אותי להכניס את זה ועכשיו אני צריך להתחנן שייתנו לי את זה במחיר נמוך.

אם את רוצה לתת לי את זה ותכתבי שמשרד הפנים חייב לתת את זה לגורם מאשר מאושר, אני לא אתנגד, אני אקבל את זה בששון ובשמחה, אבל להכריח אותי עכשיו לרדוף אחרי משרד הפנים ולהתחנן לעלויות נמוכות, זה מחסל את כל העניין.
יוסי אבני
אני חושב שהחתימה הדיגיטלית תאפשר בסופו
של דבר להקים מערכת שתהיה הרבה יותר אמינה שבסופו של דבר תחסוך הרבה מאוד כספים לכל הגורמים כאשר חברות ביטוח, בנקים וכולי ייהנו משימושים לא חוקיים של חתימות ועל-ידי כך ייחסכו הרבה מאוד נזקים. אם לקוח בינלאומי רוצה לקבל חתימה דיגיטלית בחברות הגדולות הסכומים נעים בין 25 דולר לשנה ל40- דולר לשנתיים. אם אתה משתמש במוצרים של חברות יותר קטנות, העלויות הן אולי חצי דולר והסכום הוא ממש מזערי.

לדעתי בנושא של תמחור, כשבנו את המערכת של משרד הפנים, לא לקחו בחשבון את החתימה הדיגיטלית ולכן אסור להיות מקובעים בנושא הזה. כשמקימים את המערכת הזאת, צריך לקחת גם את הצד של משרד הפנים כדי לבנות מערכת טובה ואמינה וגם לקחת את הצד של החברות. לכן אני מציע שכהתחלה ננסה להתחבר ביחד ולהבין את הצרכים האחד של השני.
מ"מ היו"ר מיכאל איתן
הדברים שלך הם נבונים ונכונים אבל הם לא
עוזרים לנו.
יוסי אבני
מבחינת המחיר, המחיר צריך להיות מאוד נמוך.
מ"מ היו"ר מיכאל איתן
אני חוזר ואומר שאנחנו נמצאים כעת במצב שיש
לנו אפשרות לקבוע בתקנות קביעה שהם רוצים שתתקיים. אין חילוקי דעות פה בין אף אחד שהיינו רוצים מאוד שכל הוצאת תעודה כזו, הגורם המאשר יחייב בדיקה מול משרד הפנים. משרד הפנים אומר שהוא בעד, הם אומרים בעד, אנחנו אומרים בעד, כולם אומרים בעד אבל השאלה עכשיו היא מי ישלם. השאלה יכולה להיות אחרת. אם יש עלויות גבוהות, יכול להיות שכולם בעד אבל זה לא שווה את המחיר וכרגע זה הדיון. מזה מתבקש האם אנחנו נקבע בתקנות חובה ואז הרשם יהיה הגורם הקובע מי ישלם מה והוא ינהל את המשא ומתן בין הצדדים ובסוף יכריע, או שאנחנו אומרים לרשם שאנחנו לא יודעים כאן היום כלום ונותנים לו אופציה להפעיל את זה או לא להפעיל את זה. יש לנו דרך אחרת והיא לקבוע כבר היום זה אחד מתוך שניים ולא לתת לרשם אפשרות להביא את זה לפעולה שתהיה מחייבת.
עופר ישי
לפי דעתי כל המנגנון של החתימה הדיגיטלית, כל
מה שאנחנו בונים, מבוסס בסופו של דבר אם קיים הבן-אדם הנכון.
מ"מ היו"ר מיכאל איתן
השלב הקריטי הוא לא הזיהוי. השלב הקריטי
הוא הקליינט כי אם אין קליינטים, אין כלום. בצד של הבירוקרטיה אצלנו תמיד יש את העניין של התקנות וזה התפקיד שלנו, אבל החיים הם לא כאלה. יכולים להיות עם תקנות נהדרות ועם מערכת הכי טובה ובטוחה בעולם אבל היא עולה כל כך הרבה כסף ולכן אף אחד לא ישתמש בה.
עופר ישי
אני מסכים שבמקרים מסוימים אולי יש נושא של
עלות תועלת. אני מציע לקבוע מנגנון מנדטורי אבל שהרשם יהיה רשאי לפטור מהדבר הזה במידה והוא ישתכנע שהמחיר לא סביר לכמות של אחד לשנה, אבל שתהיה איזושהי בדיקה של הדבר הזה כי אחרת אנחנו מפסידים פה כלי מאוד מאוד חשוב. אנחנו מקימים את הנושא הזה כדי למנוע זיופים. אתה נותן כלי כזה לבן-אדם, הוא מתרוצץ באינטרנט, קונה כל מיני דברים ואחרי כן יש בעיות משפטיות.
גד גילאון
אני חושב שלא צריך להפוך את זה למנדטורי אבל
אם תהיה החלטה להפוך את זה למנדטורי, הקביעה צריכה להיות שמאחר שיש צפי למספר קריאות לפחות כמו לבנקים, שהמחיר לא יעלה על מחיר הבנקים שמשלמים היום תחת הקביעה של התקנה הזאת. מאחר שמדובר על פנייה גנרית אחידה, הרי לא מייצרים פה עשרות אלפי שאילתות שונות אלא שאילתה אחת גנרית, אני מציע שעלות השאילתה ועלות הפנייה למשרד הפנים לא תעלה לפחות על המחיר המינימלי שמשולם היום.
עופר ישי
מקובל עלינו.
זאב שטח
אנחנו עובדים מול גופים גדולים, מול בנקים, מול
קופות-חולים וכדומה. אפשר להציע את זה כשירות. ירצה הבנק או תרצה קופת-חולים – ישלמו עבור זה ויקבלו את זה כתוספת. האזרח הבודד לא יוכל לעמוד בזה. הגופים הגדולים, הבנקים, ירצו את השירות, יגידו שרוצים זאת בתוספת משרד הפנים.
מ"מ היו"ר מיכאל איתן
למה האזרח הקטן לא יוכל לעמוד בזה? כמה עולה
לבנק שאילתה?
זאב שטח
חצי שקל.
גד גילאון
חצי שקל אני אשלם למשרד הפנים אבל אני צריך
לעשות פיתוח כדי שזה ייכנס לתוך התהליך הפנימי שלי של הנפקת התעודות. אני אשמח מאוד בתור גורם מאשר לחייב בחצי שקל על גישה אבל זה סכום מופרז בעליל.
מ"מ היו"ר מיכאל איתן
הדברים האלה הם לא פשוטים. רק כרגע הסברת
לי שגם לך תהיינה עלויות כדי להתאים את המערכת שלך. כאן הכל קל, אבל כשאתה בא אחר-כך לשם מתחילות הבעיות. אני לא איש מקצוע, אבל אני יודע איך זה עובד.
זאב שטח
חצי שקל, אם ניקח בכמות של מאה אלף תעודות,
מיליון תעודות, אני מניח שאתם יודעים לעשות את החשבון ויודעים מה הסכום בו מדובר.
קריאה
הלקוח משלם.
זאב שטח
אז בוא נכתוב בחוק שזו אופציה ללקוח. ירצה –
ישלם, לא ירצה – לא ישלם. אתה אומר שהלקוח משלם, בסדר, אבל בוא נטיל את זה על הלקוח. מה שקורה כאן שהאדון הנכבד מייצג כאן כביכול את הלקוח. יכול להיות שהלקוח יגיד שהוא קונה ואין לו בעיה, אבל נשאיר את שיקול הדעת ללקוח. אני אומר לו שזה המחיר שזה עולה, זה מה שאתה מקבל, תחליט.

אני אומר שאי-אפשר שהאדון ממשרד הפנים ייצג את כל הלקוחות. בוא נשאיר את שיקול הדעת ללקוח. אם הלקוח יבוא ויאמר שזה חשוב לו, הוא גם ירצה לשלם עבור זה. אם הלקוח יאמר שזה לא חשוב לו, הוא לא ירצה לשלם. למה אנחנו צריכים לחייב אותו?
מ"מ היו"ר מיכאל איתן
מה שאתה אומר זה נכון אבל יש מגבלות. אתמול
היה דיון על טובת הלקוח בנושא צמיגים ומישהו אמר שנשאיר את זה ללקוח, אבל הלקוח יכול לקנות צמיג מזויף ואחר-כך להיפגע. אני צריך להביא בחשבון שטובת הלקוח לפעמים זה לא רק המחיר אלא אני צריך לקבוע גם אמצעי בטיחות. החבר'ה האלה שהיום מושכים את הצמיגים בגלל שכמה עשרות אנשים בארצות-הברית נהרגו בגלל ליקויי בטיחות, אז הם דאגו לטובת הלקוח כשהם מכרו את הצמיגים האלה?

לדוגמה שלנו. נכון, אני צריך לדאוג שתהיה תחרות ואני צריך לדאוג שהלקוח יקבל את זה והוא יחליט, אבל אני גם צריך לדאוג לענייני הבטיחות בתחום שלנו. אמרתי מראש שאני בכלל מעונין שכל המערכות האלה תקבלנה חיות והמאגרים האלה יהיו מקושרים.
זאב שטח
הדבר הזה הוא מקל בגלגלי החיות.
קריאה
מאחר שמדובר בפעולות פנימיות, הפעולות
הפנימיות האלה יגררו פעילות יותר רחבה של שאילתות במשרד הפנים. אני לא הייתי ממהר לקבוע מחיר לפי כלל האצבע ולומר שזה המחיר אלא לדעתי צריך לבוא ולומר נכון להיום כמה פעולות מבצעים הבנקים וכולי.
מ"מ היו"ר מיכאל איתן
אני הגעתי להחלטה. אני מבקש שהניסוח יהיה
כדלקמן
שלרשם תהיה אפשרות לקבוע את זה. אנחנו נשאיר לו את החופש. תהיה אפשרות של שתי תעודות ובסוגי עסקאות מסוימות או בכולן לרשם תהיה אפשרות. במקום שאנחנו נקבע את זה בתקנות, אנחנו ניתן סמכות בתקנות לרשם לקבוע האם להידרש לאישור מול משרד הפנים או לא, לגבי חלק מהעסקאות או לגבי כולן, ובשיקול הדעת שלו הוא יצטרך להתחשב בשיקולים הקשורים במתן זיהוי, הגברת אמצעי הזיהוי וביטחון הזיהוי, ושיקולים כלכליים לגבי אספקת השירות הזה, עלויות המחיר של הזיהוי. הוא צריך למצוא את הגורם המאזן.
ליהי פלדמן
אחת הבעיות שמתעוררות במשרד הפנים
שבמקומות שאין הסמכה חוקית לדרוש את זה, יש בעיה לדרוש.
מ"מ היו"ר מיכאל איתן
אני משאיר לרשם את כל הדיון הזה ואני לא רוצה
להיכנס אליו עכשיו. אני אומר לרשם שהוא יאסוף את כל האנשים האלה, יקיים דיון, יגיע למסקנות ויחליט ויש לו כל מיני אופציות להחליט. הוא יכול להחליט שהוא לא רוצה לתת למשרד הפנים אמצעי לחץ, מנוף, כי הוא הגיע למסקנה שכך מתנהלים הדברים – יש לו אופציה לאשר רק זיהוי על-פי שתי תעודות. זה המינימום. אם הוא הגיע למסקנה שמשרד הפנים תובע תשלום צנוע והם לא רוצים לשלם גם את זה ולא איכפת להם ולא מעניין אותם מה קורה ולרשם חשוב העניין הזה בגלל הגברת אמצעי הזהירות – אז הוא יחליט שהוא מחייב אותם בסוגי עסקאות או בעסקאות או בכולן. הוא יחליט לפי סוגי התעודות ואני לא אכנס לזה.
זאב שטח
בכל העולם ההסתמכות מבוססת על הסתכלות
ב-CPS וב-CP. ב-CP כתוב במפורש מה הם התהליכים שנעשו במהלך מתן התעודה ובמקרה הזה מה הם תהליכי הזיהוי, כך שיש בדיוק את כל האינפורמציה כדי להחליט האם סומכים על התעודה הזו או לא סומכים עליה.
מ"מ היו"ר מיכאל איתן
אני משאיר את זה לרשם והרשם יחליט.
קריאה
הרשם הוא עובד ממשלה.
מ"מ היו"ר מיכאל איתן
מה זה משנה? אם הרשם יחליט החלטה
שרירותית, אפשר לעתור לבג"ץ.
קריאה
אם הוא ירצה ליצור תעודה מסוימת, הוא ירצה
שהתעודה תהיה מקלף מסוים הוא קלף מחייב. למה לתת את זה למישהו שיחליט שסוגי תעודות כאלה צריך לעשות? תנו לשוק להחליט על מה הוא רוצה להסתמך.
מ"מ היו"ר מיכאל איתן
אני אשאיר את זה לשיקול דעתו של הרשם.
מירב ישראלי
מדובר על עניין עקרוני, מה רמת האבטחה
הנדרשת ומה אנחנו דורשים. זו בעיה להשאיר את זה לרשם כשהוא עומד מול חברה מסוימת. זה צריך להיות עניין עקרוני.
מ"מ היו"ר מיכאל איתן
למה זו בעיה?
מירב ישראלי
ההכרעה כאן צריכה להיות עקרונית מה רמת
האבטחה הנדרשת.
טנה שפניץ
יש סמכות בחוק לקבוע תנאי זיהוי סבירים.
מ"מ היו"ר מיכאל איתן
המחיר יהיה מחיר אחד לפעולה הזאת ולא יהיו
כאן כמה מחירים.
טנה שפניץ
יהיה קריטריון למחיר.
מ"מ היו"ר מיכאל איתן
אני חושב שכך גם צריך להיות כי אנחנו רוצים
להגביר את התחרות ולא לתת יתרונות. בואו נשאיר את זה לרשם. תשאירו לרשם את הסמכות. אני רוצה שתהיה אפשרות לרשם, אם הוא יגיע למסקנות כאלה, לחייב את כולם לעבור את הזיהוי במשרד הפנים. אם הרשם יגיע למסקנה שהוא רוצה שהתהליך הזה יעבור אישור של משרד הפנים, תהיה לו סמכות לעשות את זה. החלטת הרשם תתבסס בין השאר על שיקול של עלות השירות.
אילן יפה
הדבר הזה לא קיים לא באירופה ולא
בארצות-הברית. אני בדקתי את זה. זו המצאה ישראלית.
מ"מ היו"ר מיכאל איתן
בסדר. זוהי המצאה ישראלית ואנחנו נלך על-פי
ההמצאה הישראלית הזאת כשאני סומך על שיקול דעתו של הרשם מצד אחד ועל האינטרסים ההדדיים כאן. אם תגיעו
להסדרים – תגיעו. אם לא תגיעו להסדרים – יהיה עוד מישהו שיסתכל אם שווה להתאמץ או לא שווה להתאמץ ולדרבן אתכם. האמן לי שגם את זה לוקח על אחריותי ולא יהיה שום נזק מזה אלא רק תהיה תועלת.
עופר ישי
הייתה הערה נכונה לגבי פטירה ופירוק חברות.
מ"מ היו"ר מיכאל איתן
גם את זה נשאיר לחיים.
עופר ישי
מקבלים תעודת פטירה ובא מישהו למשרד הפנים
שמסתכל על התקנות, אם מותר לו לתת או אסור לו לתת. אם אתה כותב את זה עכשיו כאן, חסכת.
מ"מ היו"ר מיכאל איתן
תכניסו את זה כאופציה אפשרית, שהרשם יהיה
רשאי.
אילן יפה
מדובר במשאב ציבורי שקיים ומתוחזק לצרכים
של המדינה בראש ובראשונה. זו המטרה לשמה הוקם ואי-אפשר להפוך את העסק על-פיו. הרי ההחלטה של כל הנושא של חתימות אלקטרוניות נובעת מתוך זה שרוצים לתת לשוק הפרטי לשחק פה משחק חשוב ולא לממשלה. אז אי אפשר מתוך מודל והבנה עם פילוסופיה עסקית-כלכלית שכזאת ללכת ולהפוך את הקערה על פיה וליצור מודל עסקי חדש למי שמתחזק את מאגר הנתונים של מדינת ישראל.
מ"מ היו"ר מיכאל איתן
עם כל הכבוד, אני לא מקבל את דעתך. הכי קל
שהשוק הפרטי ישחק את המשחק והממשלה תיתן לו בחינם את כל השירותים.
אילן יפה
לא אמרתי זאת.
מ"מ היו"ר מיכאל איתן
לצורך ביצוע העסקה צריך להיות אלמנט של זיהוי
ואלמנט הזיהוי, ואפילו אם הידיעה אם אדם נפטר או לא נפטר, כרוך בביצוע פעולה והפעולה עולה כסף ומישהו צריך לשלם עבורה. אני מסכים שלא צריך להיות מצב שבגלל שהממשלה היא מונופול והיא מחזיקה את זה, הגורמים שהופכים להיות ספקי הפרטים האלה מתעשרים ועושים את הביזנס הכי טוב על חשבון העסקים האחרים.
אילן יפה
זה בדיוק מה שהציק לי ואמרתי את הדברים
לאחר ששמעתי את המשא ומתן החד-צדדי הזה לקביעת מחיר.
מ"מ היו"ר מיכאל איתן
אי-אפשר גם ללכת לכיוון השני ולומר שהממשלה
תיתן חינם אין כסף לגורמים פרטיים את כל הוודאות בזיהוי, הם יגבו אגרה ותשלום והממשלה תיתן את זה חינם.
אילן יפה
אפשר לעשות סקירה ולראות איך התמודדו
ממשלות בעולם בהקניית האפשרות לעשות שימוש במאגר המידע הזה ולגזור מהדבר הזה.
מ"מ היו"ר מיכאל איתן
אני לא אעשה את זה. את זה יעשה הרשם.
עופר ישי
יש לי פה סט של נתונים שכולל את הנתונים
שהבנקים מקבלים היום פלוס נתונים של הפטירה. אפשר לרשום אותם ואחרי כן להחליט מה שרוצים, אבל אני אתן לכם אינדיקציה ותראו אם זה מספיק.

ראשית, מספר הזהות שזה ברור, שנית, שם המשפחה, שם משפחה קודם, שם פרטי, שם האב, שנת לידה, תאריך הנפקת התעודה האחרונה וסיבת הנפקת התעודה האחרונה. זה מה שמקבלים הבנקים. דבר נוסף שקיים הוא סטטוס, אם הוא חי או נפטר ותאריך הפטירה.
זאב שטח
כמה זה עולה?
עופר ישי
14 השדות הראשונים הם תמיד אותו מחיר. יש
כבר החלטה ואני לא נכנס לזה.
מ"מ היו"ר מיכאל איתן
חצי שקל.
זאב שטח
חצי שקל בכמות של 300 אלף, אבל אם אני מנפיק
עשרים אלף בחודש? אני שואל כמה זה עולה בכמות של 10,000 שאילתות בחודש ולא בכמות של 300 אלף.
מ"מ היו"ר מיכאל איתן
הוא אומר הוא ייתן לך את זה בחצי שקל.
זאב שטח
זה יעלה יותר.
מ"מ היו"ר מיכאל איתן
את זה אחר-כך תעשו עם הרשם. אני בטוח שבסוף
תסתדרו, ואם לא תסתדרו, יכול להיות שהמצב יישאר כך. אם הרשם יעשה איזשהו דבר לא הגיוני, גם עליו יש ביקורת.
זאב שטח
לא צריך שהמדינה תקבע את הליכי הזיהוי.
מ"מ היו"ר מיכאל איתן
את זה לא קיבלתי.
קריאה
צריכה להיות סמכות משפטית לתת את המידע.
מ"מ היו"ר מיכאל איתן
צריכה להיות ראשית כל סוגייה אחת שלא קשורה
למה שמדובר כאן והיא היכולת המשפטית לתת את המידע.
מירב ישראלי
צריך לכתוב את זה. בתאגידים לא נדרשת פנייה
למרשם.
מ"מ היו"ר מיכאל איתן
צריכה להיות היכולת החוקית להשתמש. זה דבר
אחד שצריך לסדר אותו כך שיהיה קיים ואתם תחליטו איך. הנקודה השנייה היא לקבוע כמינימום זיהוי תעודות ולתת שיקול דעת לרשם שיפעיל שיקול דעת בהתבסס על מכלול נימוקים וביניהם איזון נכון בין הצורך בהגברת הוודאות של הזיהוי לבין העלות הכלכלית של השירות הזה. אם הוא יגיע למסקנה שאפשר להגיע להסדר כזה, תהיה לו סמכות להודיע שחייבים לבצע זיהוי לא על-ידי שתי תעודות אלא על-ידי תעודה ואימות מול משרד הפנים, שזה יהיה התחליף.
ליהי פלדמן
אפשר להוסיף שבין השאר הוא יקבע לגבי
הפרטים האלה ולהכניס את רשימת הפרטים? כדי שיהיה ברור מה המידע שהוא יכול לתת.
מ"מ היו"ר מיכאל איתן
זה מתייחס להערה הראשונה שלי. זה מתן
היכולת המשפטית.
מירב ישראלי
לגבי מסמך זיהוי נוסף, כמובן מדובר על מסמך
זיהוי בתמונה נוספת וצריך להגדיר אולי באיזה מסמכים מדובר.

לגבי סעיף (ג) החדש שנוסף כאן, לגבי תושב שטחים, אני ראיתי את ההגדרה הזו רק הבוקר אבל היא קצת בעייתית מכל מיני בחינות. יש פה הצעה אחרת שמקובלת על כל המשרדים, כולל משרד הביטחון.
ליהי פלדמן
כמו שאמרנו בהתחלה, יש הגדרה של תושב
והגדרה של תושב חוץ שהוא כל מי שאינו תושב ישראל ולכן ההגדרה של תושב חוץ כוללת את תושבי השטחים. ההצעה כאן בסעיף 2(ב), על-פי דרכון חוץ או תעודת מסע או תעודת זהות. לכן, אם יש תעודת זהות כתומה, זה ייכנס כאן.
מ"מ היו"ר מיכאל איתן
מקובל.
מירב ישראלי
בסעיף קטן (ד), תאגיד רשום בישראל, קיבלנו
הערה של לשכת רואי חשבון. "והחלטת האורגן המוסמך בתאגיד בדבר מורשה החתימה מטעם התאגיד" וכדי להקל אפשר להוסיף דבר שקיים גם בתקנות הלבנת הון "או אישור של עורך-דין או רואה חשבון בדבר סמכות החותם לחתום בשם התאגיד".
צבי אילן
למה "או"? אפשר לומר "גם". הפרקטיקה היא
שמקבלים אישור עורך-דין על כך החלטת התאגיד התקבלה כדין.
מירב ישראלי
למה צריך גם את ההחלטה עצמה וגם אישור של
עורך-דין?
צבי אילן
משום שכאשר אני מקבל החלטה, אני לא יודע אם
היא התקבלה כדין.
מירב ישראלי
בסדר. אפשר להיצמד לנוסח של הלבנת הון.
צבי אילן
נדמה לי שרואי החשבון עצמם פעם קבעו שהם לא
יכולים לאשר פעולות שנעשו כדין.
מירב ישראלי
הם ביקשו את זה.
צבי אילן
הם יכולים לאשר דברים עובדתיים אבל לא
לקבוע אם פעולה נעשתה כדין.
טנה שפניץ
נלך לפי הנוסח של הלבנת הון.
צבי אילן
זה נכון גם לגבי תאגיד שאינו רשום בישראל. גם
כאן צריך אישור עורך-דין אבל איגוד הבנקים חושב שכדאי לאמץ את זה באישור קונסולרי כאשר מדובר בתאגיד שאיננו רשום בישראל. האופן הזה בו נאמר הדבר, זה נראה קצת מקל מדיי. אני מדבר על סעיף קטן (ה), על אימות מסמך מעיד על רישומו ואת ההחלטה שלו. הייתי אומר אימות הכל.

לגבי מורשה חתימה, אני רוצה להעלות כאן נקודה למחשבה בלי שיש לי עמדה מסודרת לגביה. היות שאנחנו דנים בעצם בחתימה אלקטרונית, אולי בכלל יש מקום לדבר שלא כחתימה אנושית על חתימתו של תאגיד. למה אני צריך לדעת מי מורשה החתימה של התאגיד?
מ"מ היו"ר מיכאל איתן
לא צריך להיכנס לזה בשלב אישור התקנות.
מירב ישראלי
אנחנו מוסיפים אישור קונסולרי?
מ"מ היו"ר מיכאל איתן
מה שתחליטו, מקובל עליי.
טנה שפניץ
זה נראה לי סביר.
צבי אילן
יש בנקים בהם זה מקובל.
מירב ישראלי
בתקנה 12 נשאר העתק מצולם.
ליהי פלדמן
מאחר שזה נוגע להסדר הכללי של כל הסוגייה של
הראיה הטובה ביותר בכל דיני הכפילות, הנושא כרגע במהלך של שינוי במשרד המשפטים. לעשות כאן שינוי חריג שלא יתאים למה שייקבע שם, לא רצינו לעשות ולכן השארנו כאן נוסח מצולם והחלטנו לשמור את המסמכים כמו שהם. אם לא יהיה שינוי במשרד המשפטים באופן כללי, אפשר לתקן פה ספציפית, אבל עדיף בשלב זה לא לעשות זאת אלא לחכות שנה. שנה ישמרו בצורה כפי שעשו עד היום.
גד גילאון
אני לא רוצה לחזור לדיון שהתקיים בדיון הקודם
משום שאני חושב ששם מיצינו את הנושא. לקחנו שבע שנים והפכנו ל15-, נשארנו עם ניירות, הבירוקרטיה נשארה ובעצם גם לא שמנו שום מחסום בפני מי שצריך אולי להתקין תקנה חדשה בעוד שנה. זאת אומרת, אני מסכים לעמדה שאולי יש בעיה בחדשנות, אבל אני מזכיר לכם שאותה סוגייה עלתה גם לגבי תחילת הדיון כאשר גם אז היה משהו בנושא חדשנות. דיברנו על סוגיית החדשנות, אז לפחות שיהיו כאן מחסומים.
מ"מ היו"ר מיכאל איתן
אני מסכים.
גד גילאון
אני התנגדתי לטרמינולוגיה העתק צילומי כי
העתק צילומי זה משהו שמוגדר בחקיקה.
מ"מ היו"ר מיכאל איתן
אבל אז יש לך בעיה.
גד גילאון
אתה מאפשר להציג העתק ולפחות החוק מאפשר
להגיש העתק. עכשיו השאלה שתהיה היא האם העתק של מערכת היא העתק. אני חושב שעם זה אפשר להתמודד. בהעתק צילומי הבעיה היא שהעתק צילומי זאת טכנולוגיה מיקרו-פיש וכולי.
מ"מ היו"ר מיכאל איתן
הבעיה היא נשאיר אותם באי-ודאות והם לא ידעו
מה בפועל לעשות. החברות ילכו לרשם ויאמרו שכאן כתוב העתק וישאלו מה צריך לעשות. ואז מה הוא יגיד להם?
גד גילאון
אתם רוצים להכניס סעיף שיאמר שהרשם יהיה
רשאי לאשר מערכות להעתקים?
טנה שפניץ
לא.
גד גילאון
בעצם הכנסת המילה העתק לתוך התקנות,
גמרתם את הנושא.
טנה שפניץ
מי כמוך יודע שזה לא דבר שעושים.
מ"מ היו"ר מיכאל איתן
אם נמחק את המילה מצולם, זה יהיה בסדר?
גד גילאון
אני חושב שכן. בתקנות של ועדת החוקה, שם
נדרש הסכמה של מקבל התעודה, שם מדובר במקור. אי-אפשר לבקש ממישהו שישאיר את תעודת הזהות שלו אצל הגורם המאשר, אבל שם ידרשו שיישאר המקור ופה הבעיה. זאת אומרת, במקרה הזה צריך לאשר העתק.
מ"מ היו"ר מיכאל איתן
אנחנו נמחק את המילה מצולם.
זאב מאי
אני רוצה להפנות את תשומת הלב. אני חושב שכל
התקנה הזו יש לה בעיה ניסוחית כי את מפנה לתקנה 11(ב) וזו טעות כי אין תקנה 11(ב). אם כבר אנחנו חוזרים לתקנה 11(1), אני לא פותח אלא אני אומר שכתוב שם גורם מאשר או נציגו שאישר הרשם. לפי הניסוח הזה, האם הרשם אישר את הנציג, את השליח או את הגורם המאשר? אני חושב שצריך ליישר את זה קצת.

לגבי ההמשך. אם תקראו, אני חושב שיש פה כשל ניסוחי. מדובר על 15 שנה, אבל אם התעודה חודשה, זה שבע שנים. כלומר, אם התעודה הייתה לשנה ואחרי שנה חידשתי אותה.
מירב ישראלי
הערת רואי חשבון אומרת שהם רוצים להשאיר
שבע שנים כי 15 שנה זו דרישה כבדה מדיי בעיניהם. הדבר השני שהם רוצים הוא להחזיר משהו שהיה בנוסח קודם של התקנות שאומר שגורם מאשר לא יעביר את המסמכים לפי סעיף זה לאכסון מחוץ למקום פעילותו אלא כעבור שנה מיום קבלתם.

לעניין תקנה 14(א), יש בה תיקון שנדרש ניסוחית ולא משהו מהותי. יש כאן הערה של לשכת רואי חשבון שמציעים לקבוע שתוקף תעודה אלקטרונית לא יעלה על תקופה של שנה או תקופה מירבית אחרת עקב התפתחות הטכנולוגיה.

בתקנה 15 צריך להיות שמו ותוארו ולא שמו או תוארו.

תקנה 16, דוח שנתי. בעקבות החלטת הוועדה בישיבה הקודמת:

(א) הרשם יגיש לשר ולוועדה לענייני מחקר ופיתוח מדעי וטכנולוגי של הכנסת אחת לשנה, לא יאוחר מיום 1 באוקטובר, דין וחשבון בדבר הפעלת סמכויותיו לפי תקנות אלה לרבות בדבר הטכנולוגיות שאושרו והליכי אישורן.

(ב) הדוח האמור בתקנת משנה (א) יפורסם באתר האינטרנט של הרשם.
מ"מ היו"ר מיכאל איתן
הערות כלליות והצעות לכל מי שרוצה להציע.
אילן יפה
אני רוצה להתייחס לתקנה 9(ג) שעוסקת בנושא
השימוש בסיסמה להפעלת אמצעי החתימה. למעשה מה שהתקן קובע הוא שהסיסמה תופעל על-ידי מספרים ואותיות. זה נובע לפי מה שאנחנו מבינים מהימים בהם אתה מפעיל סיסמה על מחשב וכאשר אנחנו מדברים על אמצעי חתימה, ברוב רובם של המקרים אמצעי החתימה לא יהיה על גבי המחשב אלא הוא יהיה באמצעים שהם אמצעים ניידים, בין אם זה יהיה מחר בטלפון הסלולרי, בין אם זה יהיה בכרטיסים חכמים עם מקלדת קטנה וכולי. כמו שאתם יודעים להכניס סיסמה במקשים של טלפון סלולרי או במקלדת של כרטיס חכם, יצריך, אם אתה צריך להכניס אותיות, להקיש לפחות שלוש פעמים על אותו מקש, דבר שיהפוך את כל הפעולה של גישה לאמצעי החתימה לדבר ארוך ומורכב. דיבר על זה קצת זאב בהתחלה. כל הנושא של שימוש באמצעי חתימה אלקטרונית נמצא היום בתהליך של כניסה, קליטה ותחילה של היקלטות על-ידי הציבור ואנחנו לא רוצים מראש בתקנות ליצור מצב שבו יקשה על הציבור לעשות שימוש קל, פשוט ואינטואיטיבי כדי להפעיל את האמצעי.
מ"מ היו"ר מיכאל איתן
אם כן, מה המסקנה שלך?
אילן יפה
המסקנה היא שהתקן הזה הוא לא תקן שמתאים
לאמצעי חתימה אלא תקן שמתאים למחשב.
מ"מ היו"ר מיכאל איתן
אבל נאמר רק במקרה שהייתה הפעלת אמצעי
חתימה תוך שימוש בסיסמה.
אילן יפה
ברוב המכריע של המקרים אתה מפעיל את אמצעי
החתימה על-ידי סיסמה כשיש לך שלוש או ארבע אפשרויות לבצע סיסמה.
מ"מ היו"ר מיכאל איתן
הוא בטח יגיד שיש לו אמצעים אחרים.
טנה שפניץ
אם אתה משתמש באופציה של סיסמה, אתה
מחייב אותו באותיות ומספרים והוא אומר שזה קשה לו.
מ"מ היו"ר מיכאל איתן
אם כן, מה תהיה האלטרנטיבה?
אילן יפה
האלטרנטיבה היא מספרים. אגב, בכלל כל התקן
הזה מדבר רק על סיסמה.
טנה שפניץ
סיסמה היא אופציונאלית. כתוב שמי שכן
משתמש בסיסמה, צריך לעשות את זה באותיות ובמספרים. אם קשה לך אותיות, אתה רשאי להוריד את התנאי הזה.
אילן יפה
שיהיו מספרים בלבד.
יצחק לבטון
התקן אומר אותיות, מספרים וסימנים ובמקרה
של טלפון סלולרי, זה בלתי אפשרי.
עופר ישי
המקום לדון בזה הוא מכון התקנים. אם אתה
חושב שהתקן לא מעודכן, תפנה אליהם.
אילן יפה
זה לא תקן לאמצעי חתימה. התקן הזה הוא תקן
לשימוש - ויושבים כאן מכון התקנים שיכולים לומר זאת - במחשב.
עופר ישי
אם זה לא רלוונטי – תעזוב את זה. אם זה כן
רלוונטי – תקן את התקן.
יצחק לבטון
התקן הזה מיועד למכשירים הקשורים לרשת כי
שם יש סכנות מסוימות.
מ"מ היו"ר מיכאל איתן
לי יש טלפון סלולרי או שיש לי מחשב, אני מפעיל
סיסמה כדי להפעיל את אמצעי החתימה. כדי שאני אפעיל את הסיסמה להפעלת אמצעי החתימה על-פי הדרישה הקבועה כרגע, הסיסמה הראשונית שאני מפעיל צריכה להיות מורכבת מתקן גבוה של מספרים ואותיות כאשר הם מבקשים שאפשר יהיה להסתפק רק בספרות בלבד. מה שמבקשים זה שווה ערך למה שאני יכול לעשות היום כשאני מפעיל את הכניסה שלי לכל כספומט.
קריאה
כספומט לא נמצא באינטרנט.
מ"מ היו"ר מיכאל איתן
השאלה היא אם יש לי ידע לשבור את הסיסמאות
של המספרים והאם העסקה הכי טובה שאני אעשה היא להנפיק אמצעי חתימה ולחתום חתימות אלקטרוניות. מבחינה פרקטית של עולם הפשע, האם אני פותח כאן פתח? נניח שתפסתי שיטה והשאלה איך אני אנצל אותה הכי טוב. כספומט אני יכול להוציא, אבל זה רק עד אלף שקלים או עד אלפיים או עד 5,000 או עד 10,000 שקלים.
אילן יפה
אני חושב שהדבר החשוב להבין זו בדיוק הדוגמה
הזאת שהיא דוגמה מצוינת של כספומט. כספומט מעצם מהותו לא מקושר לרשת פתוחה כי אתה מקיש את המספר וזה משהו בינך לבין המכשיר שאתה נמצא בו. הכספומט עצמו הוא לא מכשיר און-ליין. גם טוקנס בכרטיסים חכמים וגם טלפון סלולרי כאשר אתה תפעיל בו אמצעי לחתימה, הוא לא אמצעי שממהותו הוא מחובר און-ליין לרשת. עצם פעולת הקשת הסיסמה הסודית שלך היא משהו שבינך לבין המכשיר שהוא לא מכשיר שמחובר לרשת. ברגע שביצעת את זה, אפשרת פונקציונאלית למכשיר לבצע את האקט.
מ"מ היו"ר מיכאל איתן
הבעיה היא אחרת. אתה מסתכל על הצד של
הטכנולוגיה ואני מסתכל על הצד של הנזק. כלומר, בכספומט נותנים לך אפשרות עד גבול מסוים וכאן בעצם אתה יכול להגיע למצב שבגלל הקלות של שבירת הסיסמה אתה יכול לגרום נזק למישהו.
אילן יפה
אין גישה לסיסמה. בניגוד למצב שבו סיסמה כזו
יושבת על הדיסק הקשיח במחשב, שזה אחד הסיכונים של סיסמה קבועה, אז ניתן באמצעים כאלה ואחרים לפרוץ למחשב ולפצח ולאתר את הסיסמה הזו ולעשות בה שימוש, כאשר מדובר על אמצעים ניידים מהסוג הזה, מכשיר שנישא, בראש ובראשונה הוא יושב אצלך בכיס ולא יושב בתוך הדיסק הקשיח כך שאפשר לגנוב אותו, ויש בו אמצעי ביטחון יותר גדול. מה גם שאם עשית טעויות, יש לך חמש או תשע אפשרויות לנסות ולנחש את הסיסמה ולאחר מכן העסק הזה חדל לפעול והוא הופך להיות בלתי שמיש.
יוסי אבני
כמו שכתוב בתקנה הסיסמה זה אופציות. כלומר,
אפשר להשתמש בכרטיס חכם או בשיטות אחרות. אם משתמשים בסיסמה, מבקשים איזשהו חוזק מינימלי של הסיסמה. בין חוזק הסיסמה לבין הטרדה, צריך להחליט מה אנחנו רוצים.
גד גילאון
אני חושב שיש פתרון פשוט לעניין הזה. אני חושב
שסעיף (ג) מדבר על מצב שבו סיסמה עומדת בפני עצמה ואין אמצעי פיזי מאחוריה. יכול להיות שאם יש קשר לאמצעי פיזי, יכול להיות שאז אפשר להסתפק רק בסיסמה רגילה ולא בסיסמה מורכבת ואז אין את הבעיה והמהות שאנחנו מדברים עליה עכשיו. אני חושב שהסעיף הזה התכוון בעיקר למצב שבו הסיסמה היא האמצעי היחידי לזיהוי העסקה וזה לא מנוסח בצורה שזה מנוסח כאן.
יוסי אבני
בתקן יש שלוש רמות שמתייחסות לשלוש רמות
הגנה.
קריאה
שימוש בסיסמה יהיה בכל אמצעי החתימה חוץ
מאלה שמבוססים על זיהוי גיאומטרי כי אתה חייב את הדבר הנוסף שלא בן-אדם יוכל לקחת את התוכן של מישהו וישתמש בו. השאלה היא האם אנחנו דורשים באותה סיסמה את אותה רמה גבוהה. בדוגמה שהבאנו כאן היום יש באמת מנגנון שהוא לא מאפשר לעשות ניסוי שהוא בלתי מוגבל. זה הפרמטר שצריך להוסיף. שאם זה תלוי בסיסמה, יהיה אמצעי נוסף שמגן על יכולת הפיצוח של הסיסמה.
יצחק לבטון
באופן עקרוני מה שכתוב כאן שבמקרה שאמצעי
החתימה נמצא במחשב שמקושר לרשת, במקרה שלנו כמו שיש אמצעי אחר שהוא לא קשור למערכת, לא קשור למקרה הספציפי שלנו אלא קשור באופן אקוסטי, אין אפשרות לחדור. התקן שדרוש כאן הוא תקן לא מתאים לטלפונים הסלולריים.
ליהי פלדמן
נשאיר את זה כדרישה.
מ"מ היו"ר מיכאל איתן
תוסיפי. בסדר.
צבי אילן
לגבי תקנה 11. יש מושג שנקרא קרוס
סרטיפיקייט. אבי שוורץ שהוא מומחה לאבטחת מידע ולחתימה אלקטרונית ירחיב עליו את הדיבור. בעצם השאלה היא האם לא ניתן כאן להסתמך על סרטיפיקייט שהוציא גורם מאשר אחר לצורך הזיהוי אצל גורם מאשר חדש.
אבי שוורץ
אפשר להשתמש בגורם מאשר אחר כאמצעי
זיהוי.
צבי אילן
גם בנק ישראל יצא עם איזשהו רעיון של המערכת
הסגורה כאשר אם לקוח הזדהה בבנק מסוים, בבנק אחר הוא יוכל לפתוח למשל תוכנית חסכון בלי להזדהות פעם נוספת ואפילו צו איסור הלבנת הון מתייחס לאפשרות הזאת. זאת אומרת, אם פעם אחת הזדהית כדבעי, זה מספיק.
מ"מ היו"ר מיכאל איתן
על מי נופלת האחריות?
צבי אילן
כרגע זו שאלה פתוחה.
מ"מ היו"ר מיכאל איתן
נשאיר את זה כך. לא קיבלנו את הרעיון.
צבי אילן
הערה כללית וגם כאן, אם אני מתפרץ לדלת
פתוחה, אני מוותר עליה ומתנצל. אולי כבר מישהו עלה על העניין הזה שיש איזושהי חפיפה בין שני הסטים של התקנות וזה קצת לבלבל. למשל, אם אני מסתכל על תקנה 2 שקובעת מה צריך גורם מאשר לקבל, אז יש תקנה 2 ו4- בסט האחר שגם מתייחסת לדברים האלה.
מ"מ היו"ר מיכאל איתן
די לצרה בשעתה. נדון בזה בשבוע הבא.
קריאה
סעיף 9(ג), אותו סעיף שדיברנו בו. לא מוזכר
בצורה מפורשת באופן ישיר זיהוי ברימטרי והייתי מבקש להזכיר את הזיהוי הזה.
מ"מ היו"ר מיכאל איתן
למה צריך להיות כתוב? כתוב שבמקרה שהייתה
העברת אמצעי חתימה הכרוכה בשינוי סיסמה. זה מראה שיש מקרים שלא צריך.

תודה רבה לכולם.



הישיבה ננעלה בשעה 12:05

קוד המקור של הנתונים