פרוטוקול של ישיבת ועדה
הכנסת העשרים-וארבע
הכנסת
33
ועדת החוקה, חוק ומשפט
08/11/2021
מושב שני
פרוטוקול מס' 104
מישיבת ועדת החוקה, חוק ומשפט
יום שני, ד' בכסלו התשפ"ב (08 בנובמבר 2021), שעה 9:45
ישיבת ועדה של הכנסת ה-24 מתאריך 08/11/2021
ההגנה על הפרטיות ברשתות החברתיות והתגברות מתקפות הסייבר - האם יש לישראל את הכלים המשפטיים על מנת להגן על פרטיות אזרחיה
פרוטוקול
סדר היום
ההגנה על הפרטיות ברשתות החברתיות והתגברות מתקפות הסייבר - האם יש לישראל את הכלים המשפטיים על מנת להגן על פרטיות אזרחיה.
מוזמנים
¶
יגאל גואטה - חכ"ל
איל זנדברג - ראש תחום משפט ציבורי, משרד המשפטים
ענת אסיף גיל - ראש אשכול ביטחון, ייעוץ וחקיקה, משרד המשפטים
ראובן אידלמן - היועץ המשפטי, הרשות להגנת הפרטיות, משרד המשפטים
עמית יוספי עמיר - משרד המשפטים
אמיר שגיא - מתאם סייבר, משרד החוץ
גיל דיין - ע' יועמ"ש, המשרד לביטחון הפנים
רפ"ק מורן בייביץ' - סיגינט, המשרד לביטחון הפנים
עדי טל - קמ"ד אח"מ וטכנולוגיות יועמ"ש, המשרד לביטחון הפנים
נאוה אביגדור כהן - ראשת האגף האזרחי במטה הלאומי להגנה על ילדים ברשת, המשרד לביטחון הפנים
עמית אשכנזי - היועץ המשפטי, מערך הסייבר הלאומי
עמרי לוי - יועץ ראש מערך הסייבר הלאומי, מערך הסייבר הלאומי
יורם הכהן - מנכ"ל, איגוד האינטרנט הישראלי; יו"ר, הוועד המנהל, עמותת פרטיות ישראל
נועה אלפנט - מנהלת בכירה למדיניות ציבורית וקשרי ממשל, google
יהודה קונפורטס - עורך, עיתונאים
אורית פודמסקי - יושבת-ראש, המועצה להגנת הפרטיות
דן אור-חוף - חבר המועצה, המועצה להגנת הפרטיות
נעמה מטרסו - מנכ"ל, עמותת פרטיות ישראל
אסף אבן-חן - עורך דין
איילת רזין בית אור - היועצת המשפטית, איגוד מרכזי סיוע לנפגעות תקיפה מינית
משתתפים באמצעים מקוונים
¶
ד"ר תהילה אלטשולר - ראש התוכנית לדמוקרטיה בעידן המידע, המכון הישראלי לדמוקרטיה
חיים רביה - עו"ד - פרל כהן - קב' הסייבר
רישום פרלמנטרי
¶
טלי רם
ההגנה על הפרטיות ברשתות החברתיות והתגברות מתקפות הסייבר - האם יש לישראל את הכלים המשפטיים על מנת להגן על פרטיות אזרחיה
היו"ר גלעד קריב
¶
מכובדיי, בוקר טוב לכולם ולכולן, תודה על הצטרפותכם והגעתכם לדיון החשוב. אנחנו מקיימים היום דיון שהוא דיון מדיניות ומעקב בסוגיית ההגנה על הפרטיות. זהו דיון ראשון מתוך סדרת דיונים שהוועדה תקיים בסוגיית הגנת הפרטיות, שדומני שכולנו מסכימים הייתה והופכת ביתר שאת לסוגיה מאוד מאוד משמעותית בכל הנוגע להגנה על זכויות-יסוד במדינת ישראל.
אנחנו מקיימים את הדיון הזה עם התייחסות ספציפית לסוגיית ההגנה על הפרטיות ברשתות החברתיות, אבל כפי שכבר אמרתי, אני רואה את הדיון הזה כדיון פתיחה לעיסוק של הוועדה בסוגיית הפרטיות, סוגיה שנוגעת גם לפעילותן של ועדות נוספות בכנסת. הבוקר הזה מתקיים דיון בוועדת הבריאות סביב מתקפת הסייבר על בית החולים הלל יפה, וכולנו הרי יודעים שבסופו של דבר בכל אחת מזירות החיים האישיות שלנו והקיבוציות שלנו, קיימים איומים על זכות היסוד שלנו לפרטיות, ומטבע הדברים כמעט כל אחת מוועדות הכנסת יכולה לעסוק בהיבט כזה או אחר של סוגיית הפרטיות, אבל העיסוק הכולל בחוקי הפרטיות של מדינת ישראל נמצא בידי הוועדה הזו.
בחצי השנה האחרונה, לצערנו בשל סדר-היום הפוליטי והמקצועי של הוועדה הזו, טרם עסקנו בעניין הזה ואני בפתח הדברים מבקש לומר שמבחינתי כיושב-ראש הוועדה, הסוגיה הזו של ההגנה על הפרטיות, הן מבחינת שדרוג משמעותי של החקיקה הקיימת, החקיקה והתחיקה שקיימות בתחום הזה, והן מבחינת התמודדות עם איומים חדשים שאנחנו הולכים ונהיים מודעים יותר ויותר אליהם, הנושא הזה יהיה אחד הנושאים המרכזיים שוועדת החוקה תעסוק בהם בשנת 2022. אני מקווה שהדבר ייעשה יד ביד עם צעדים יזומים של הממשלה ואנחנו נשמע על חלק מהצעדים האלה היום, אבל גם במקום שבו הממשלה לא תפעל אנחנו כוועדה בהחלט רואים את תפקידנו לבחון, לבקר, לפקח, ליזום מהלכים, וכך נעשה.
נמצאים איתנו בפתח הדיון לא מעט חברי כנסת, ברוכים וברוכות הבאות כולם, מייד נזכיר את המשתתפים. נעים לנו גם לקדם בברכה חבר כנסת לשעבר, את חברנו יגאל גואטה, שבחר היום בזירה עוד יותר משפיעה מזירת הכנסת ותודה על כל עשייתך בשלל הסוגיות הציבוריות והחברתיות.
היו"ר גלעד קריב
¶
חבר הכנסת רוטמן, כפי שיכולתם לראות כבר בדיון הקודם הגיע במצב רוח טוב בפתח שבוע הדיונים הנוכחי. חבר הכנסת לשעבר גואטה, אני מברך אותך על הצטרפותך וגם על העיסוק התקשורתי בסוגיה החשובה הזו.
אני מבקש להקדים עוד הערה שאני מוצא אותה כחשובה. בסוגיית הגנת הפרטיות אנחנו נאלצים להתמודד עם אתגר שקיים גם בזירות אחרות, אבל אני חושב שבתחום הגנת הפרטיות הוא אתגר מאוד מאוד מובהק ויסודי. מן הצד האחד, יש לנו ציפייה שהרשות המבצעת, על סמך חקיקה של הכנסת, תהיה גורם מאוד מאוד פעיל, משמעותי ומשפיע בהגנה על הפרטיות של אזרחי ישראל. ההתקפה על שרתי האינטרנט שאירעה בשבוע האחרון והפגיעה בתשתיות האינטרנט של בית החולים הלל יפה שאירעה לפני מספר שבועות, והתקפות סייבר רבות נוספות, מחדדות את התפקיד של הממשלה, הן בפיקוח וביצירת סטנדרט ובאכיפת סטנדרטים של הגנה רשתית והגנה על הפרטיות ברשתות, באתרים וכו', והן ביצירת משאבים לאומיים בתחום הגנת הסייבר, תשתיות לאומיות בתחום הגנת הסייבר.
ברור לנו שגם אם למגזר הפרטי ישנה אחריות גדולה בנושא הזה של הגנת תשתיות האינטרנט ומאגרי המידע שכל עסק מחזיק בידו, המצב הגיאופוליטי המיוחד של מדינת ישראל מחייב גם היערכות מתאימה מצד הממשלה בכל מה שנוגע להגנה על תשתיות הסייבר ועמידה לצד אותם גורמים במגזר הפרטי או גורמים אחרים במגזר הציבורי שזקוקים לעזרת הממשלה בהגנה על המערכות, וזאת בצד כפי שאמרתי, תפקיד הפיקוח והבקרה וקביעת הסטנדרטים.
באותה נשימה, כולנו גם מודעים שהאיום על זכות היסוד לפרטיות נשקפת לא אחת גם מצד הממשלה עצמה. אנחנו בשבועות הקרובים, בחודשים הקרובים, נעסוק כאן בוועדה הזו בהצעת חוק ממשלתית שעוסקת בהעברה של התקשורת בין גורמי השלטון לאזרחים לתווך דיגיטלי, הצעת חוק הדיוור האלקטרוני. ההצעה הזאת הופיעה במקורה בחוק ההסדרים, פוצלה מחוק ההסדרים, אבל הוועדה תידרש לדון בנושא הזה.
אחת מסוגיות המפתח בחוק הדיוור האלקטרוני היא שאלת ההגנה על מאגרי המידע שמופקדים בידי הממשלה. וזו רק דוגמה אחת, אני מניח שחברי הכנסת הוותיקים כאן היו מעורבים מאוד בדיונים על המאגרים הביומטריים. אנחנו יודעים שהיום בזירות אחרות לגמרי של החקיקה הפלילית אנחנו עוסקים בסוגיות של הגנת הפרטיות ומציאת איזונים חדשים במסגרת חוק סדר הדין הפלילי, בין הזכות לפרטיות לבין האינטרס הציבורי, בהיאבקות בתופעות פליליות.
הממשלה היא בו בזמן שחקן מאוד משמעותי בהגנה על זכות הפרטיות של כל אחד ואחת מאיתנו, ובאותה נשימה גם גורם שלצערנו, אבל זה חלק מההתמודדות שלנו עם העידן החדש, לא אחת הממשלה היא הגורם שמאיים גם לפגוע בפרטיות שלנו.
אנחנו נצטרך לנהל בשנה הקרובה את מגוון הדיונים שלנו, מהלכי החקיקה שלנו בתחום הפרטיות, מתוך ניסיון למצוא את נקודות האיזון הנכונות במתח הזה. כיצד אנחנו מדרבנים את הממשלה ומגבים את הממשלה בהתמודדות עם האיומים שנשקפים על הפרטיות שלנו ברשתות החברתיות, בעולם הסייבר, ומצד שני, מקפידים מאוד עם העמידה של הממשלה ויתר רשויות השלטון בסטנדרטים המתחייבים להגנה על פרטיות האזרחים.
אני חושב שמה שהתגלה בשבועות האחרונים מלמד על הפיגור המשמעותי שאנחנו חווים בתחום ההגנה על הפרטיות. גם העובדה שהחקיקה בתחום הגנת הפרטיות היא חקיקה שעומדת לנו מ-1981, ואין ספק שכל מציאות החיים שלנו שרלוונטית לסוגיה הזו השתנתה לבלי הכר בעשורים האלה, אנחנו במובן הזה בפיגור משמעותי בהדבקת הפער באמצעות עדכון חקיקת הפרטיות. הדבר הזה, צריך להיאמר, קורה למרות שבשנת 1992 הוכרה הזכות לפרטיות כזכות יסוד בעלת מעמד מיוחד בחוק-יסוד: כבוד האדם וחירותו. עדיין ישנו הפיגור החקיקתי הזה וזה מונח לפתחה של הממשלה אבל גם לפתחו של הבית הזה.
כפי שכולנו יודעים, בשנים האחרונות אנחנו מגלים בעצם שחלק גדול מהמידע האישי שלנו פרוץ ברגע שהוא נמצא במרחב האינטרנטי, ברשתות החברתיות, וכאן גם בנושא הזה דומני שנסכים כולנו שישנו פיגור רגולטורי משמעותי בהגדרת הגבולות לענקיות טכנולוגיה ולגורמים שבסופו של דבר מקבלים מאיתנו מידע אישי לפעמים רגיש, מתוך – לא אומר מכירת אשליה או יצירת אשליה – שהמידע הזה מוגן.
בשני התחומים האלה יש לנו פיגור רגולטורי משמעותי ואנחנו נצטרך להדביק אותו – עוד פעם, בחוכמה, בזהירות, באיזונים המתבקשים.
ישנם איתנו היום גורמים רבים. מכיוון שאנחנו רבים בחדר, יש גם בזום, אנחנו לא נזכיר בפתח הישיבה את כל מי שאיתנו אבל נמצאים פה גם נציגים של משרדי הממשלה הנוגעים בדבר והרשויות הממשלתיות הנוגעות בדבר, גם נציגי החברה האזרחית. לא נעלמה מנגד עיניי העובדה שלמרות הזמנתן, חברות הטכנולוגיה הבין-לאומיות והמקומיות שהוזמנו לדיון, רובן לא שלחו נציגים. זאת ההגדרה הנכונה.
היו"ר גלעד קריב
¶
פייסבוק לא מתה, זה בסדר. כפי שאתם יודעים, הכול בסדר, אבל אני אומר עוד פעם, הוזמנו לכאן מגוון של חברות טכנולוגיה עילית לדיון, רובן לא שלחו לדיון הזה נציגים. אנחנו מתכוונים להמשיך ולהזמין אותן ולהמליץ בחום שיצטרפו לדיונים האלה מכיוון שחלק משמעותי מהמהלך הרגולטורי הנדרש היום במדינת ישראל ובעולם כולו נוגע אליהן, ולא רק לפעילות הממשלה ורשויות השלטון, ואני מקווה שהן תתייצבנה לדיונים, תשמענה מה שיש לחברי וחברות כנסת לומר להן וגם תקבלנה כמובן את ההזדמנות החשובה שהן תשמענה את עמדתן ואת קולן.
ברשותכם, נאפשר לחברי הכנסת שמבקשים לומר דברי פתיחה לדיון לפתוח, אחרי כן אדוני היועץ המשפטי, אם תרצה להעיר, ואז אנחנו נפנה לנציגי הממשלה השונים לשמוע את ההתייחסות שלהם לאתגרי השעה שניצבים בפנינו, כמובן משם נפנה גם אל החברה האזרחית ואל המגזר העסקי. ושוב, תודה לכולם על שהצטרפו לדיון. חבר הכנסת להב הרצנו, בבקשה. חבר הכנסת רוטמן אחריו, וכל אחד מחברי הכנסת שיבקשו לפתוח, בבקשה.
יוראי להב הרצנו (יש עתיד)
¶
תודה לך, אדוני היושב-ראש, על הדיון החשוב הזה. השיח שפתחת איתו הוא השיח שאני מכיר על זכות הפרטיות, על העומק שלה, על ההיקפים הדרושים שלה. זה השיח שאני הורגלתי אליו בבית ספר למשפטים בתל אביב ואז בשיקגו, ככה אני מכיר את הזכות לפרטיות עד היום.
השבוע האחרון, בעקבות מבול של פניות ללשכה שלי, העביר את השיח על זכות הפרטיות למקום אחר, מטלטל יותר, שמבול של אנשים פנו אליי והציפו חרדה עמוקה, חרדה קיומית, כי הם גילו שהפרטים שלהם, הסודות הכי כמוסים שלהם – של ההוויות שלהם, של המאוויים שלהם – הופצו לכל עבר.
אני לא רוצה להתייחס לאירוע של הפריצה עצמה כי אני מבין שהוא נמצא כרגע בחקירה. אני כן רוצה לומר איזושהי אמירה כללית, כבוד היושב-ראש. המצב הוא בלתי מתקבל על הדעת. לא יכול להיות שהפרטים הכי כמוסים של אזרחי מדינת ישראל יופצו לכל עבר, עם הדברים שכתובים בהם, והזכות לפרטיות משקפת את הזכות של אדם לאגור סודות כמוסים, לשתף סודות כמוסים, ושהסודות הכמוסים הללו יישארו סודות כמוסים, ככל שהם ירצו.
אני כן רוצה להתייחס, כשאני מפרק את האמירה של בלתי מתקבל על הדעת אני רוצה להתייחס לשני היבטים. ראשית כול, לאופן שבו הוחזקו הפרטים הללו, הסודות הכמוסים הללו, המידע הכי רגיש של אדם, שמעצב את אישיותו בתוך המאגרים הללו; ההיבט השני הוא האופן שבו נשמר המידע הזה. בלתי מתקבל על הדעת שהרשויות במדינת ישראל – ושוב, אני לא רוצה להיכנס האם הרשויות של המדינה עשו את מה שנדרש מהן או לא עשו את מה שנדרש מהן כי כרגע הדבר נמצא בבדיקה – בלתי מתקבל על הדעת שהגענו למצב שבו אזרחי מדינת ישראל רבים מרגישים חרדה קיומית כי הפרטים שלהם לא נשמרו כהלכה, וזה מצב שאי אפשר להתייחס אליו.
אני רוצה להודות בהקשר הזה לראש רשות הפרטיות או לממלאת מקום ראש רשות הפרטיות, שלומית וגמן, שמהרגע שבו נודע על הפריצה, נמצאת איתי ועם יתר חברי הכנסת והגורמים הרלוונטיים בקשר ודואגת לעדכן אותנו על אשר היא עושה, אבל אני אומר שוב – כחבר כנסת, הרבה מאוד פעמים פונים אלינו ומבקשים מאיתנו עזרה. זאת הפעם אולי הראשונה שהרגשתי בה חוסר אונים כחבר כנסת כי הרשויות שאמורות לתת את המענה אומרות, אנחנו לא יודעות מה המצב ואנחנו לא יודעות איך לסייע או אין לנו את הכלים איך לסייע, ובמצב הזה אני מוכרח למתוח קו אדום ולומר, בהמשך למה שאתה אומר, הדיון האקדמי הפילוסופי של זכות הפרטיות חייב לקבל המשגה ברורה ברגולציה, בחקיקה, באופן שיבטיח שהפרטים הכי כמוסים של אזרחי מדינת ישראל יאופסנו בצורה נכונה ושאותם מאגרים יקבלו את ההגנה הדרושה על מנת שמקרה כזה לעולם, לעולם לא קורה שוב.
היו"ר גלעד קריב
¶
תודה רבה, חבר הכנסת להב הרצנו. אני רוצה להוסיף לדבריך. אנחנו לא ניכנס אולי לפרטי מקרה ספציפי מפאת החקירה, נשמע התייחסות גם של המשטרה. אני שמעתי היום ואני מבקש לאחר מכן מהגורמים הרלוונטיים להתייחס לזה, שאותה חברה ספציפית שגם אתה התייחסת אליה, גם העמידה תנאי או תנאים לבקשות של מחיקת המידע, זאת אומרת לפני האירוע.
אני אבקש גם התייחסות של הגורמים לעניין הזה, לא רק של היכולת שלנו או הוודאות שיש לנו על שמירה נאותה של פרטי מידע אישי שאנחנו נותנים, אלא גם מה הזכות ומה ההסדרים הרגולטוריים של אדם לבקש שמידע שהוא מסר כבר, יימחק כי גם זה היבט של זכות הפרטיות שהופך להיות משמעותי יותר ויותר בעידן הנוכחי.
יוראי להב הרצנו (יש עתיד)
¶
אני מדבר על שני היבטים, כמו שאמרת: על אופן שמירת המידע, כלומר הצפנתו, היכולת למחוק אותו, היכולת לשמור עליו וממנו, וההיבט השני זה איך מונעים את הפריצה. בהינתן זה שהפריצה היא בלתי ניתנת להגנה מוחלטת, בואו נוודא שקשה יותר לפענח את הפרטים.
לא ניגשתי לקבצים שהופצו, אבל אני אומר לך מתוך אנשים שכן, ורבים מהם פנו אליי - גלעד, אני אומר לך, בחרדה קיומית - לא נתקלתי בפניות מהסוג הזה. אני נבחר ציבור כבר ארבע כנסות, מעולם לא נתקלתי בפניות ונותרתי חסר אונים והרגולטור נותר חסר אונים, וזה מצב שכאמירה נורמטיבית אנחנו מוכרחים לומר, זה בלתי מתקבל על הדעת.
שמחה רוטמן (הציונות הדתית)
¶
תודה, אדוני היושב-ראש. השאלה היא לא האם מאגר מידע שמכיל מידע רגיש ייפרץ אלא השאלה מתי זה יקרה, את זה אנשים צריכים להבין, והדרך באמת לשמור על פרטיות היא בידיו גם של כל אדם. אני לא חושב שהמדינה בהקשר הזה – וזה קשור מאוד למה שדיברת עליו מול פייסבוק והחברות הגדולות – אני חושב שהמדינה היא לא התרופה, המדינה היא המחלה בהקשר הזה, סליחה שאני אומר, כי הפוגעת הגדולה ביותר בפרטיות - - -
שמחה רוטמן (הציונות הדתית)
¶
הווירוס, כמובן. וירוס, שמענו הבוקר שזה דבר טוב – אתה לא היית בדיון הקודם.
שמחה רוטמן (הציונות הדתית)
¶
שאלתי את נציגת משרד הבריאות. אבל המדינה היא הפוגעת הגדולה ביותר בפרטיות והיא עושה את זה – בהקשר לדיון הקודם שלנו – כן, בלי לספר לנו ובלי לעדכן אותנו. יש סיבה מאוד טובה שפייסבוק וטוויטר לא פה. פייסבוק, אני יכול לספר סיפור.
היו"ר גלעד קריב
¶
אני רק אציין, כיוון שאמרתי את זה בהתחלה, שנמצאת איתנו נציגת חברת גוגל, נועה אלפנט, מנהלת בכירה מדיניות ציבורית וקשרי ממשל, אנחנו שמחים שאת כאן ותודה, והוזכרו חברות נוספות בשמן שהוזמנו לדיון ובחרו לא להגיע.
שמחה רוטמן (הציונות הדתית)
¶
יש סיפור שיצא לי לספר אותו כבר פעם אבל נראה לי שאני אספר אותו שוב כי הוא נוגע לדבר. כשהתחלתי את עבודתי בתנועה למשילות ודמוקרטיה עשינו ככה סבב בעולם, בעולם הפרלמנטרי, לנסות להבין מי השחקנים, איך זה עובד. נפגשתי עם חברת לובינג, לשמוע איך עובד עולם הלובינג גם, וראש חברת הלובינג סיפר לי שאחד מחבריו הטובים ביותר הוא שר בממשלה – אז, זה סיפור ישן – והוא בא אליו כמה חודשים אחרי שהוא התמנה להיות שר והוא אמר לו: מה, אנחנו כבר לא חברים? נהייתי שר, אתה לא פונה אליי בכלל, אתה לא מבקש ממני שום דבר. אז הוא אומר לי: אני לא צריך שום דבר, אני יושב עם היועץ המשפטי שלך.
למה פייסבוק וטוויטר לא פה? כי יש להם ממשק ישיר עם ויסמונסקי ממשרד המשפטים, הם לא צריכים אותך. הם לא צריכים אותך לחקיקה, הם לא צריכים אותך לשום דבר. יש פה יחסי רגולטור-מפוקח, מה שנקרא, שנעשים מאחורי הקלעים, וגם כאשר הקשר עם משרד המשפטים לא עובד מספיק טוב, אז גם הם יצרו את הקשר באופן ישיר עם הנהלת בתי המשפט כדי שהם ייצרו להם איזושהי הסרת פרטים מזהים על שופטים באופן עוקף אפילו את המנגנון של משרד המשפטים, שגם הוא כמובן עוקף את המנגנון של ועדת חוקה ושל החקיקה, ואז הם לא צריכים אותך. ומי שמשתף עם זה פעולה, כמובן, כן - שלום איל, אתה מסתכל ומחייך דרך המסכה - אני אומר את זה עם קצת חיוך אבל אני בכלל לא צוחק.
זאת אומרת, המדינה פה מאשרת פרקטיקה מאוד מאוד פסולה, בהיעדר הסדרה מצד המחוקק, ומייתרת בעצם את ההסדרה מצד המחוקק כי כאשר פרטים של עובדי מדינה או של שופטים עולים לרשת, אז יש להם מנגנון האח הגדול שלהם ששומר עליהם, כאשר האזרח הפשוט, מספרים לנו על פגיעה בפרטיות שלו, אז עומד חבר כנסת ואומר, אני עומד חסר אונים ואין לי מה לעשות כי אין כלים.
ברור, אני בטוח שבסופו של דבר גם הרשות להגנת הפרטיות וגם מחלקת הסייבר של עורך דין ויסמונסקי יתגייסו ויעזרו כמיטב יכולתם, אני חלילה וחס לא מזלזל במאמצים שנעשו על ידם, אבל זה בדיוק העניין, שאין לנו חקיקה ואין לנו פיקוח ויש לנו מנגנונים פרטאץ' בנושא זה. אני אפילו לא מדבר על מקרים שבהם הפגיעה - וזה קצת קשור לדיון שעשינו בזמנו על הרגולטור על הרגולטורים, מי שומר על השומרים שלנו - במשרד המשפטים אני חושב שגילו בהפתעה רבה שהמשטרה מפעילה את "עין הנץ", את אותו מאגר שעוקב אחרי כל אזרחי מדינת ישראל, ללא כל הסדרה, והם באו רק אחר כך. אז המשטרה יודעת איפה אנחנו נוסעים בלי שום פיקוח, רשויות המדינה אוספות עלינו מידע ללא שום פיקוח. ביקשתי ממך ואני מזכיר את זה פה, לקיים דיון על נט המשפט, מאגר פרוץ לחלוטין שמוחזק על ידי המדינה עם המידע הכי רגיש על נפגעות עבירות מין וכדומה, ועכשיו אנחנו באים ואומרים למה אין יותר רגולציה על הרשתות החברתיות.
אז חבר'ה, הרשתות החברתיות זו בעיה, צריך לטפל בהן, אבל בניגוד למאגרים שמוחזקים על ידי המדינה, ברשתות החברתיות יש לי בכל זאת קצת עוד טיפה, כאזרח, את אפשרות השליטה, לא להכניס את הפרטים שלי פנימה, לא לחשוף יותר מאשר אני רוצה לחשוף. כאשר מדובר במדינת ישראל, אני חשוף לחלוטין.
היו"ר גלעד קריב
¶
תודה, חבר הכנסת רוטמן. שמחתי לשמוע בהבלעה בתוך דבריך שבח לעובדה שבחוק הרגולציה האחרון עמדנו, חברי הקואליציה, על הכנסת עיקרון השקיפות של הרגולטורים בתוך החוק.
היו"ר גלעד קריב
¶
ואין ספק שזאת רק יריית פתיחה כי צריך עוד להגביר את חובת השקיפות של הרגולטורים, אבל יצאנו לדרך בחוק ההסדרה בניגוד לנוסח המקורי של הצעת החוק הממשלתית. אני שמח שדיברת אחרי חבר הכנסת להב הרצנו כי אני חושב ששיקפתם בדברים שלכם באמת את הדילמה הגדולה ואת המתח הגדול, שמצד אחד, אולי בניגוד למה שקצת השתמע מדבריך, יש צורך בעזרה של המדינה בהגנה על הפרטיות של אזרחיה, כשם שיש צורך הרבה פעמים בעזרה של רשויות השלטון בהגנה על זכויות היסוד שלנו. ובאותה נשימה, אתה בהחלט צודק, חבר הכנסת רוטמן, אחד האיומים הגדולים לפרטיותו של כל אזרח בעולם וגם במדינת ישראל נשקף דווקא מצידן של רשויות השלטון.
ואנחנו, כמחוקק, כגוף הפרלמנטרי, נצטרך לפלס את דרכנו בעניין הזה, תוך מתן מענה לשני ההיבטים המשמעותיים של סוגיית הפרטיות. אי אפשר להתעלם מכך שבעשורים האחרונים, עוצמת הפגיעה האפשרית בפרטיות שלנו מצד גורמים שהם לא ממשלתיים עלתה בטור הנדסי. אסור לנו לעצום את העיניים שהיום עוצמת האיומים, כלים, עוצמות שהיו בידי ממשלות, נמצאת היום בידי גורמים עסקיים וגורמים פרטיים, והדבר רק מסבך את ההתמודדות שלנו עם סוגיית הפרטיות.
היו"ר גלעד קריב
¶
לפחות בחודשים האחרונים מסתבר שלא כך הם פני הדברים, ואני רוצה להזכיר שסוגיית הפרטיות לא כוללת רק את השאלה של שמירת המידע אלא גם את שאלת השימוש במידע, וזה היבט לא פחות חשוב של סוגיית הפרטיות. לפעמים אתה מפקיד מידע בידי גורם שיודע לשמור עליו מצוין מפני גורמים אחרים, אבל אותו גורם עושה שימוש שלא מאושר על ידינו במידע שאנחנו מסרנו. גם זה היבט דרמטי של סוגיית הפרטיות שעליו נצטרך לתת את הדעת. חברת הכנסת בזק, חברת אלינה ברדץ' יאלוב וחבר הכנסת איתן גינזבורג נמצאים איתנו. מישהו מכם ירצה לומר דברי פתיחה? חברת הכנסת ברדץ' יאלוב, בבקשה.
אלינה ברדץ' יאלוב (ישראל ביתנו)
¶
תודה רבה, אדוני היושב-ראש. אני מרגישה בשבועות האחרונים שאני די רצה בין הוועדות בכל הנושאים של פגיעות ברשת. לפני כשבוע אני יזמתי דיון בוועדה למעמד האישה בנושא של הפצת תמונות עירום בטלגרם, בווטסאפ ובכל מיני רשתות אחרות, שזאת מן הסתם פגיעה, אחת הפגיעות הכי חמורות בפרטיות. עכשיו אני מגיעה לוועדה שלך, אומנם אני לא חברה בוועדה אבל זה היה דיון מאוד מאוד חשוב ואני החלטתי להשתתף כדי להבין מה קורה פה, לפני כן הייתי בוועדה לביטחון פנים גם כן באותו נושא של פגיעה ברשת ואני מרגישה שהנושא הזה הוא מאוד מאוד רחב אבל הוא לא מקובץ ולא מאוגד תחת איזשהו גורם אחד.
אני שומעת על דיונים אצל שר התקשורת, אצל שר המשפטים, וכולם דנים בפגיעות ברשת, ובסופו של דבר כל אחד עושה משהו ואין משהו משותף בין כל הגורמים שכרגע דנים באספקטים כאלה ואחרים. כאן זה פגיעה של סייבר וכרגע יש דיון בוועדת הבריאות גם בנושא של פגיעה.
מה שאני מנסה להגיד, שזה חייב להיות איכשהו מאוגד תחת ועדה כזאת או אחרת, ועדה בין-משרדית – לא יודעת, משרד כזה או אחר – אבל לא יכול להיות שכל פעם בוועדה אחרת דנים באספקט אחר של אותה סוגיה ולפעמים מדברים על אותו אספקט מהיבטים שונים בדיוק.
אני לא יודעת מי צריך להיות פה הגורם. אני חייבת להודות שאני תמיד חשבתי שזו צריכה להיות איזושהי ועדה בין-משרדית שתדון בנושא הזה, יכול להיות שיש פה חברים הרבה יותר ותיקים ממני ויכולים להציע איזשהו פתרון יותר טוב, אבל אני מרגישה ואני רואה פה נציגים שהיו אצלי בדיון ובדיונים אחרים, שגם הם רצים בין הוועדות רק כדי לתת תשובות או לקבל תשובות. בעיניי זה לא נכון ואני פשוט מעלה את הסוגיה הזאת בוועדה אצלך, אדוני היושב-ראש. תודה.
איתן גינזבורג (כחול לבן)
¶
ממש בקצרה, אדוני, תודה רבה על ההזדמנות. א', דייקת מאוד בהבחנה. פעם באמת חששנו שהמידע החל על הפרט היה מצוי בידי גורמי ממשלה, ולא ידענו, תמיד דאגנו מה יעשו עם הפרטים האלה, מה יעשה השלטון עם הפרטים האלה, אבל היום הפרטים שלנו כבר מסתובבים בכל רחבי הרשת, בכל רחבי העולם, מגיעים לידי ידיים פרטיות – אגב, על ידינו, אנחנו אלה שמספקים את המידע הזה – ואנחנו יודעים שיש לגורמים שונים – עסקיים, עוינים או מדינתיים שונים – יכולת גם לפרוץ לאותם מאגרי מידע, הן ממשלתיים והן פרטיים. חווינו את זה לאחרונה גם במקרה של בית החולים בחדרה וגם עם השרת האחרון שנפרץ לפני שבוע וחצי ובו היו הרבה מאוד פרטים – פרטים אישיים, העדפות כאלה ואחרות, כרטיסי אשראי כי גם היו שם אתרי סליקה, וכו' וכו'.
מה שנדרש היום, אדוני, מה שמשותף לכל הפריצות האלה, גם להלל יפה וגם למקרה הזה, שהיו התראות, ידעו שזה הולך לקרות ואם היו נוקטים באמצעים הנדרשים מראש, אפשר היה למנוע את הזליגה של המידע הזה, וזה דבר מצער.
זה מוביל אותנו כנראה למסקנה שצריכים לחוקק את חוק הסייבר. זה חוק שאני מניח יגיע לכאן בסופו של יום, בין אם הממשלה תיזום את החוק ובין אם אנחנו ניזום את החוק הזה, חייב להיות חוק שמחייב את אותם גורמים שמחזיקים בפרטי מידע, במאגרי מידע של אזרחים שונים, לנקוט באמצעים, ואם לא ינקטו באמצעים, היכולת של המדינה לפעול, לפקח, לאכוף ומה שצריך לעשות כדי שהדברים האלה לא יזלגו, זה דבר שהוא נדרש והוא חשוב, כמובן לצד ההגנות של חוק הגנת הפרטיות שצריכים לראות אם עוד צריך לעשות שם דיוק ועיגון.
אלה דברים מאוד מאוד חשובים בעולם הגלובלי שבו המידע נמצא בכל מקום. אלה הדברים הנדרשים הבאים, ונדמה לי שבקדנציה הזאת, זו המשימה שמוטלת עלינו. תודה.
היו"ר גלעד קריב
¶
תודה, חבר הכנסת גינזבורג. חשוב לציין בעקבות הדברים שלך, שהפיגור הרגולטורי בישראל הוא מאוד מאוד משמעותי, ובצד טענות שיש לנו לחברות או לשחקנים במגזר העסקי, ישנה גם התופעה שבה לעיתים המגזר העסקי מקדים את הממשלה, אנחנו רואים את זה עם סוגיית הסטנדרט של ה-GDPR האירופאי, שהמדינה עוד מתקשה להטמיע אותו ברמה הרגולטורית ואנחנו רואים גורמים במגזר העסקי – בין השאר באמצעות לחץ של, לא מדינות אחרות אבל האינטרסים העסקיים הבין-לאומיים של אותן חברות שבהן החברות הללו מקדימות את הרגולטור באימוץ הסטנדרטים האלה, כפי שראינו לצערנו בשבועות האחרונים, זה לא המצב בחלק גדול מהגורמים והגופים שמחזיקים את המידע הרגיש שלנו.
איתן גינזבורג (כחול לבן)
¶
אני מסכים לחלוטין. תמיד המגזר העסקי יקדים את המגזר הממשלתי, אך טבעי הוא ולעיתים אפילו טוב שכך, אבל כשכבר הממשלה יודעת שהולכים לתקוף והגופים העסקיים לא עושים שום דבר בנושא הזה – אגב, העסקיים או הממשלתיים – ואין לרשות הסייבר איך לאכוף את הדבר הזה, אנחנו נמצאים שם בבעיה. את הלקונה הזאת צריך לסגור.
ענבר בזק (יש עתיד)
¶
אני אתייחס בהמשך. אגב, אנקדוטה לגבי הדיון הזה. אתה יודע מה באמת עשיתי לפני שהגעתי לכנסת? הייתי מנהלת שיווק דיגיטלי, אני הייתי עסוקה בלקחת את המידע של אנשים ולנצל אותו לצרכים עסקיים, אז אני בדיון הנכון.
היו"ר גלעד קריב
¶
קולך חשוב שיישמע - אחרי היוועצות עם עורך דין. סתם. פעם שאלו את פרנץ רוזנצווייג, הפילוסוף היהודי, אם הוא מניח תפילין, אז הוא אמר, עדיין לא. אני לא אומר את זה כדי לעודד אתכם לפרקטיקה דתית אבל חכי, מי יודע, אולי גם בסוף תהיה הסמכה.
ענבר בזק (יש עתיד)
¶
יש באמת הבדל גדול מאוד, לתפיסתי, בין פייסבוק, רשתות חברתיות שאנשים מוסרים את המידע שלהם מרצונם, לבין פריצה למאגרי מידע רגישים כמו האירועים שראינו, זה באמת סיפור אחר לגמרי.
היו"ר גלעד קריב
¶
נכון. אם כי עמדנו על זה. א', גם כשאנחנו מוסרים מידע מרצוננו אנחנו מוסרים אותו למטרה מסוימת, ויש חשש כבד מאוד היום שהמידע הזה, או מועבר שלא בהסכמתנו לגורמים אחרים או מבוצע בו שימוש שלא הולם את הסיבות שבגינן מסרנו את המידע.
איתן גינזבורג (כחול לבן)
¶
אגב, יש גם את ההערות האלה שאף אחד לא קורא אותן, תנאי השימוש באותן אפליקציות, זה תמיד כתוב שם באיזה סעיף: אתה מרשה להעביר את זה לגורמים אחרים וכו' וכו'.
היו"ר גלעד קריב
¶
כן. מכירים את דוקטרינת החוזים האחידים. אם סיימנו עם הערות הפתיחה של חברי הכנסת אז נעבור להערות פתיחה חשובות של אזרח, האזרח גואטה, הוא במקרה גם חבר כנסת לשעבר. יגאל, ברוך הבא ותודה על העיסוק התקשורתי שלך בסוגיה הזו. בבקשה.
יגאל גואטה
¶
תודה רבה. אדוני היושב-ראש, אני קודם כול באמת מאוד מודה לך שאזרת אומץ, ותכף אני אסביר למה זה לאזור אומץ, כי כשנבין את הכוח של כל ענקיות הטכנולוגיה האלה ומה הן עשו בעבר ומי שניסה לקדם איזה חוק שמגביל אותנו, לאן זה הגיע, אז באמת תודה שהרמת את הכפפה בכל הקשור לנושא הפרטיות מול ענקיות הטכנולוגיה. אנחנו נמצאים כפי שאמרת עם חוק מיושן מ-1981 שלא מגן על האזרחים מפני כוחן העצום של ענקיות הטכנולוגיה האלה.
אני חייב לומר שלפחות ממה שאני בדקתי וממה שאנחנו למדים, זה משהו הרבה יותר עמוק כי הכוחות הגדולים האלה עד עכשיו בעצם עצרו כל יוזמת חקיקה שכבר עלתה, שרק ניסתה לגעת במשהו, פתאום זה נעצר. ומה שקורה בישראל היום באמת זו שערורייה כי אנחנו רואים, בכל העולם כבר התעוררו, בארצות הברית עושים להם שימועים בקונגרס, מנסים לפרק את כוחם המונופוליסטי, באירופה קונסים אותם, ורק פה לא עושים כלום. פעם אחר פעם נופלות פה יוזמות חוק, ולא רק חוק הפרטיות. חוק הפייסבוק. זו שערורייה בפני עצמה, זה עבר קריאה טרומית, עבר קריאה ראשונה, זה הגיע לקריאה שנייה ושלישית, אדון ראש הממשלה בנימין נתניהו קורא לגלעד ארדן ולאילת שקד ואומר להם, תורידו את החוק. אני לא יודע אם זה פחות חמור מפרשת ישראל היום אבל יש מי שיחליט מה לעשות עם זה.
באמת הגיע הזמן שהכנסת תתחיל לפעול למען האזרחים בנושא הזה. האזרחים באמת באמת חסרי אונים, ולהבין שיש פה גופים שפשוט לא סופרים, לא את האזרחים ולא את הכנסת, סוללה מטורפת של לוביסטים שמצליחים פעם אחר פעם להפיל כל יוזמה, ואני חושב שזה שהם לא הגיעו לפה היום מעיד כמאה עדים או כאלף עדים על זה שהם לא סופרים פה אף אחד.
אבל אני מבטיח לך דבר אחד. ברגע שתתחילו להוביל איזשהו חוק שמגביל אותם, אתה תראה אותם פה בהמוניהם, עם סוללה של לוביסטים, מטורפת. זה שנציגת גוגל נמצאת פה זה באמת חשוב מאוד, אבל אתם רואים, טוויטר ופייסבוק פשוט לא סופרים את האנשים, ובאמת אם הגברת נציגת גוגל נמצאת פה, אולי צריך לשאול אותה באמת איך זה יכול להיות שהם עושים פה הון עתק במדינה הזאת, לא משלמים שקל אחד מיסים. זה לא הגיוני, זה לא נורמלי, על זה שהם מתנהגים בכוחניות ודורכים על כל מתחרה שקיים – אנחנו נפגשנו עם האנשים האלה – ופשוט הם מתנהלים בכוחניות דורסנית שאין לה אח ורע בשום מקום, לא משלמים מיסים, לא נותנים דין וחשבון לאף אחד.
זה נכון שמשרד המשפטים גורר רגליים, והיום ברור מעבר לכל ספק שאחרי הבשורה הגדולה של הרשתות החברתיות האלה יש פה איזה גולם שקם על יוצרו, שאני לא יודע בסוף אם הם בעצמם יוכלו לשלוט בו.
ולכן, צריך לקחת את הנושא הזה לידיים אבל בשביל לקדם את כל הדברים החשובים שאמרו חברי הכנסת צריך ללכת לבסיס ולהבין שמדובר פה בחברות כוחניות, דורסניות, ואני לא מתבייש לומר את זה – כן, זה הסיפור. אתם תשאלו את חברי הכנסת שניסו להוביל את חוק הפייסבוק מה קרה להם, הישיבה הראשונה התחילה בקול תרועה רמה, וזה חמור וכו' וכו', ופתאום בקול ענות חלושה הכול התמוסס ונגמר, ויש לזה סיבה. אני מבטיח לך שג'ורדנה קטלר, ברגע שאתה תקדם איזשהו חוק שמגביל את פייסבוק, אתה תראה אותה פה עם כל הסוללה שלה.
היו"ר גלעד קריב
¶
לא, זה בסדר גמור. אתה יכול לשאול את חבריך לסיעתך המקורית. אני לא ידוע כבעל רגליים קרות אבל זה לא עניין אישי שלי. אני חושב שקבוצת חברי הכנסת שיושבת כאן, רק שניים מהם חברים רשמיים בוועדה, הדבר מעיד על ההבנה שאתה יודע, זה כבר לא עניין של בחירה, לפעמים אתה עם רגליים קרות עד הרגע שהמציאות מכריחה אותך לפעול.
אני חושב שמה שקרה בשבועות האחרונים גם בהתקפה על בית חולים הלל יפה וגם בגל ההתקפות האחרון, שאת נזקיו אנחנו עוד לא יודעים, נזקיו לא הטכנולוגיים, האנושיים, המשפחתיים, הקהילתיים, מי ישורם, אני חושב שהגענו לרגע שבו זה כבר לא עניין של בחירה ורגליים קרות.
יגאל גואטה
¶
לא. אני חושב שזה התחיל עם המתקפות שאולי לא רואים אותן על חברי הכנסת שרצו להעביר חוקים כדי להגביל אותם. שם מתחילה הבעיה. המתקפה על הלל יפה זה כבר הרבה הרבה אחרי. המתקפה על חברי כנסת שניסו לחוקק חוק ששומר על האזרחים, ששומר על הפרטיות שלהם – שתבין, כל הרשתות האלה נכנסות לנו לעצמות, לוורידים, לעורקים. אתה אומר לאשתך: מה את אומרת, אולי נלך לנוח קצת? מייד קופץ לך צימר בצפון. אני אומר לאשתי: אני מחר הולך לרופא לבדוק אם יש לי סוכר, מייד חברה שמוכרת צמחים לסוכר. תגיד לי, מה הולך פה? זה מטורף לגמרי, הם יושבים לנו בתוך העצמות, בתוך הוורידים, והם לא נותנים דין וחשבון לאף אחד. לא נורמלי. תודה.
היו"ר גלעד קריב
¶
נעסוק בכל העניינים האלה, ונציגת חברת גוגל, נשמע את ההתייחסות שלך וכמובן תוכלי להתייחס בהרחבה. אני מבקש לעבור לנציגי הממשלה. אם חברי הכנסת ירצו לשאול שאלות או להעיר הערות, הם מוזמנים כדרכה של הוועדה. יש איתנו מספר גורמים ממשלתיים, אנחנו נבקש התייחסות מכולם. מבלי להגביל אתכם בדברים שתבקשו להציג, אני רוצה לבקש גם מכם וגם מנציגי החברה האזרחית שנמצאים איתנו להתייחס בין השאר בדברים גם לנקודות הבאות: הראשונה היא מה לשיטתכם הפערים שקיימים היום בחקיקה וברגולציה הממשלתית בתחום הזה, על היבטיו השונים, מהדברים שהתייחס אליהם חבר הכנסת לשעבר יגאל גואטה ועד לשמירת המידע שלנו שמופקד בידי הממשלה.
סוגיה שנייה, לאור מה שאירע כאן בשבועות האחרונים, מהם הצעדים שיש לנקוט בהם בטווח המיידי, מה הצעדים שצריך לנקוט ומה הצעדים שאפשר לנקוט בהם בטווח המיידי כדי לקדם את פני הפריצה הקרובה לאתרי מידע, וברור לנו שזה עניין של ימים או של שבועות, ואם נעשו כאן צעדים ממשלתיים, מה נעשה.
לאחר מכן מהם הצעדים לטווח היותר ארוך בהקשרים האלה שהם לאו דווקא חקיקתיים. אנחנו נבקש גם התייחסות של גורמי הממשלה, בדגש על הרשות להגנת הפרטיות ויתר גורמי משרד המשפטים, על שאלת האיזון בין הצורך להגן על פרטיות האזרחים מפני גורמי שלטון לבין תפקידה של הממשלה בסיוע לאזרחים, בהגנה על הפרטיות שלהם למול גורמים במרחב העסקי או בזירות אחרות, וגם התייחסות לדברים שאמרה פה חברת הכנסת ברדץ' יאלוב לגבי תכלול עבודת הממשלה.
נמצאים פה נציגים של הרשות להגנת הפרטיות, נציגים של משטרת ישראל, נציגים של מערך הסייבר הלאומי. אנחנו רוצים להבין כיצד עבודת הממשלה מתוכללת בנושא הזה של הגנת הפרטיות וההתמודדות עם תופעות שאנחנו רואים גם ברשתות החברתיות, בעולם האינטרנטי. מי הכתובת הממשלתית המתכללת היום של הנושא הזה?
מטבע הדברים, הגורמים הראשונים שנפנה אליהם יהיו הרשות להגנת הפרטיות. נמצא איתנו היועץ המשפטי ראובן אידלמן. ממלאת מקום ראש הרשות או ראשת הרשות התנצלה על היעדרותה, הגברת שלומית וגמן. לאחר מכן אנחנו נבקש מאורית פודמסקי, יושבת-ראש המועצה להגנת הפרטיות, שהיא גם גוף סטטוטורי, להתייחס, ומשם נמשיך – משרד המשפטים, משטרת ישראל, מערך הסייבר – ואז נעבור לחברה האזרחית ולמגזר העסקי. בבקשה, עורך הדין אידלמן.
ראובן אידלמן
¶
בוקר טוב. ראשית, אנחנו מודים ליושב-ראש הוועדה על הנכונות לקדם דיון בנושא החשוב הזה שהוא כמובן בראש מעייננו ואנחנו מובילים את החשיבות שלו, נגיד ככה, בתוך הממשלה, בין היתר.
אני אגיד לגבי הרשות באופן כללי, שבשנתיים האחרונות הרשות האיצה מאוד את פעילותה בשורה ארוכה של תחומים, בהובלת ממלאת מקום ראש הרשות, שלומית וגמן, כמו שציינת. אנחנו בהחלט מצפים לקפיצת מדרגה נוספת בפעילות של הרשות לאחר עדכון החקיקה שתגיע בקרוב מאוד לשולחנה של הכנסת.
רק לשם המחשה, הרשות בשנה האחרונה, בשנה החולפת, פרסמה כ-40 הנחיות ועמדות לציבור במגוון רחב של נושאים ואנחנו ממשיכים בקצב כזה גם השנה הזו.
הרשות היא בעצם הרגולטור, לפי חוק הגנת הפרטיות היא הגוף היחיד שיש לו סמכויות אכיפה מכוח החוק, סמכויות לפי חוק לטפל באירועי אבטחת מידע בכל רחבי המשק, לאכוף נגד גופים שלא עומדים בהוראות חוק הגנת הפרטיות או התקנות מכוחו. יש גם חובת דיווח לרשות על כל אירוע אבטחת מידע חמור שהוא מוגדר בתקנות ואנחנו אכן מקבלים הרבה מאוד דיווחים על אירועים כאלה לאורך הזמן.
בגדול, מה הרשות מוסמכת לעשות? אני אגיד את זה כי גם באירועים של השבוע החולף שחבר הכנסת הרצנו התייחס אליהם, הרשות בעצם ירתה בכל התותחים שיש לה והפעילה למעשה כמעט את כל הסמכויות שיש לה ביחס לאירועים האלה. אז קודם כול, הרשות מוסמכות לחקור כל אירוע כזה שקורה גם בחקירה פלילית וגם בחקירה מינהלית שיכולה להסתיים בקנס. היא מוסמכת לדרוש כל מידע במסגרת החקירות שלה, לחקור תחת אזהרה, לתפוס מחשבים אם צריך, לבצע חקירות מחשב, וכו'. בסיום החקירה היא יכולה או להטיל קנס או להמליץ לפרקליטות המדינה על הגשת כתב אישום, ככל שמדובר בחקירה פלילית. היא גם מוסמכת להורות לגוף שאירע בו אירוע כזה – כמו האירוע של שבוע שעבר – לא להעלות מחדש את המערכת לאוויר עד שהגוף הזה יניח את דעתה של הרשות שדלף המידע לא ימשיך, ואנחנו בהחלט נוהגים לעשות שימוש בסמכות הזאת. אם הגוף לא מציית להוראות של הרשות היא רשאית להתלות את הרישום של מאגר המידע שלו, המשמעות היא שאסור לנהל או להחזיק את מאגר המידע, זאת אומרת, מאגר מידע שרשום או חייב ברישום, הרישום שלו הותלה, אסור להמשיך לעשות בו שימוש, זו סמכות מאוד משמעותית.
מעבר לכך, הרשות רשאית להודיע לגוף כזה למסור הודעה אישית ללקוחות שנפגעו כתוצאה מאירוע דלף המידע כשהמידע לגביהם דלף ומה המידע שדלף.
היו"ר גלעד קריב
¶
האם כל הסמכויות האלה הן רטרואקטיביות? האם יש לרשות סמכות פרואקטיבית לאתר מקום שההגנה בו היא לא מספקת ולתת את ההוראות לפני האירוע?
ראובן אידלמן
¶
בהחלט. אמרתי, אנחנו גוף האכיפה, אנחנו מקיימים הליכי פיקוח והליכי אכיפה בכל המשק ביחס להרבה מאוד גופים. 75% מהתיקים שהרשות מנהלת – לא בדיעבד, בהמשך לשאלה של יושב-ראש הוועדה, אלא מבעוד מועד – 75% מהתיקים שהרשות מנהלת מסתיימים בתוצר אכיפתי כלשהו, בין אם זה קנס שמוטל, בין אם זה קביעה שגוף מסוים מפר את החוק או את התקנות, ובין אם זה בהנחיות לתיקון ליקויים.
היו"ר גלעד קריב
¶
האם הסמכות הזאת כוללת גם עניין של הגנה מפני התקפות סייבר? האם אתם יודעים היום לבוא לגוף מסוים, לבחון את מערכי ההגנה האינטרנטיים, הדיגיטליים שלו, על מאגרי המידע, ולתת לו הוראות ברורות תוך התליית הרישיון שלו לפני שקרה המקרה? ואם יש לכם את הסמכות הזאת, אתה יכול לתת לנו סדר גודל של פעולות שנקטתם בהן בשנה האחרונה בהקשר הזה?
יוראי להב הרצנו (יש עתיד)
¶
אני אוסיף על השאלה שלך. נניח מקרה היפותטי של אתר שלא שומר כראוי על מאגרי המידע, לא בהיבט של איך הוא אמור לשמור עליהם ולא בהיבט של ההגנות שנדרשות, מקרה היפותטי, ומערך הסייבר הלאומי שעושה את הפיקוח על הנושא הזה מגלה שיש את הליקויים הללו, האם אתם מדברים עם מערך הסייבר? האם יש לכם תקשורת? האם אתם מנהלים איזשהו מגע סדור עם אותו מערך? ואם כן, בהמשך לשאלתו של היושב-ראש, האם במקרה ההיפותטי הזה אתם יכולים אקס אנטה, לפני שהפריצה קורית, להנחות את האתר?
ראובן אידלמן
¶
ברשותכם, אני אשיב במענה לשאלת חבר הכנסת הרצנו, בהחלט, אנחנו מקיימים קשר שוטף עם מערך הסייבר, מחליפים מידע ועושים שימוש במידע שמתקבל, גם אנחנו וגם הם. אז בהחלט יש שיתוף פעולה בין הגופים.
רוב הפעילות שאנחנו עושים היא אקס אנטה, היא לא בדיעבד, אני התייחסתי עכשיו לאירוע הגדול של השבוע שעבר. רוב הפעילות שלנו היא אקס אנטה, בהחלט, שאנחנו מאתרים מראש. קודם כול, הרשות פועלת בגישה מבוססת סיכון. יש לנו סקר סיכונים ואנחנו מזהים את המגזרים שבהם הסיכונים גדולים יותר. בחלק מהמקרים אנחנו פועלים לפי מידע מודיעיני על גוף ספציפי ואז אנחנו נכנסים להליך פיקוח, עושים בחינה של הגוף הזה, אוספים את המידע שצריך, תופסים לפעמים מה שצריך, מתשאלים את האנשים. אם אנחנו מגיעים למסקנה שהגוף הזה לא עומד למשל בחלק מתקנות אבטחת המידע, מה שחושף אותו כמובן למתקפת סייבר, לאירוע סייבר, לדלף מידע, אנחנו נותנים הנחיות ברורות ומפורשות מה הגוף הזה צריך לעשות.
צריך לומר ותכף אני אתייחס לזה, שנכון להיום אין בחוק סנקציה על אי עמידה בתקנות אבטחת מידע, וזה פער רגולטורי חקיקתי מאוד מאוד גדול.
ראובן אידלמן
¶
היא קביעה שהגוף לא עומד בהוראות החוק. זה יותר מהמלצה כי אם מוגשת תביעה אזרחית למשל נגד אותו גוף על בסיס הקביעה שלנו, יש בסיס משפטי.
היו"ר גלעד קריב
¶
אבל לכם אין שום סנקציות, לא ענישתיות אבל גם לא הייתי אומר צווי עשה ואל תעשה, יכולת להוציא צווי עשה ואל תעשה לפני האירוע.
ראובן אידלמן
¶
לא, אז אני אגיד ככה. ראשית, על חלק מהדברים אנחנו מוסמכים להטיל קנסות, לא על היבטי אבטחת מידע. יש תקנות אבטחת מידע מ-2017 מאוד מפורטות, מתקדמות, עדכניות, אין עליהן סנקציה. שם אנחנו לא יכולים להטיל קנסות, על דברים אחרים שהגוף עושה בהיבטים של פגיעה בפרטיות, הפרת הוראות אחרות בחוק הגנת הפרטיות שגם אותן אנחנו בודקים, אנחנו יכולים להטיל קנסות. אבל אנחנו כן יכולים, כמו שאמרתי, במקרים שההפרות הן חמורות אנחנו יכולים להתלות את הרישום, אנחנו יכולים לתת הנחיות, אנחנו גם עוקבים אחרי הביצוע שלהן אבל אם אנחנו רואים שההנחיות לא מבוצעות אנחנו יכולים גם כפי שאמרתי להתלות את הרישום או לתת הוראה כשהמשמעות היא שהגוף לא יכול בעצם להמשיך לנהל את מאגר המידע.
היו"ר גלעד קריב
¶
האם משרד המשפטים שוקד על תיקון תקנות אבטחת המידע כדי להקנות היום לרשות את היכולת להטיל סנקציות כבר בשלב המקדים?
ראובן אידלמן
¶
בהחלט. אני יכול לעדכן שאתמול ועדת השרים לחקיקה אישרה הצעת חוק שהיא תיקון משמעותי מאוד לחוק הגנת הפרטיות, שכולל בין היתר סמכות של הטלת עיצומים כספיים על הפרת הוראות החוק ותקנות אבטחת מידע, איפה שהיום כפי שאמרתי אין סנקציה בכלל. הצעת החוק הזאת כוללת עדכון גם של ההגדרות בחוק. יושב-ראש הוועדה ציין בפתח דבריו שהחוק הוא חוק בן 40 שנה, וחלק מההגדרות שלו לא עודכנו בעצם מאז. הצעת החוק הזאת מעדכנת את כל ההגדרות המהותיות בחוק, מתאימה אותן גם לסטנדרט הבין-לאומי, לסטנדרט האירופאי, ל-GDPR, ובכך בעצם מתאימה את ההגנה שהחוק פורס אותה בהתאם לסטנדרט המודרני שקיים היום.
אני אוסיף ואתייחס לעוד כמה דברים שהזכרנו כאן. בהקשר לאירועים הספציפיים כמו האירוע של שבוע שעבר, וכאן אני חוזר לדבר על מה הרשות עושה בזמן אמת באירוע כזה, התפקיד של הרשות באירועים האלה הוא קצת שונה. אנחנו לא תופסים את תפקידנו כמי שאמורים לסגור את הפרצה, יש גופים אחרים שעושים את זה – בין במגזר הפרטי ובין מערך הסייבר, ודאי אם זה גוף ממשלתי – הרשות רואה לנגד עיניה את טובתם של נושאי המידע, לקוחות, אלה שנפגעו באירוע.
אנחנו מגיעים מהזווית הזאת. אנחנו גם פותחים בחקירה ומגיעים למסקנות בסוף החקירה, אבל בזמן אמת כשהאירוע קורה, זה מה שאנחנו שואלים את עצמנו.
אחת הסמכויות שיש לרשות והיא הופעלה גם בשבוע שעבר לגבי מספר חברות וגם בעבר - למשל באירוע של פרשת שירביט - זה לחייב חברה שאירע אצלה דלף מידע למסור הודעה לכל הלקוחות שלה: דעו לכם שהמידע לגביכם דלף, מה המידע שדלף ומה אנחנו ממליצים לכם לעשות, למשל להחליף סיסמאות, למשל להתנהל בצורה זהירה יותר. הרבה פעמים אנחנו מגיעים כי לא יוצאת בכלל הודעה ללקוחות, גופים הרבה פעמים לא מעוניינים להודיע ללקוחות שהיה אצלם דלף מידע. במקרים שבהם זה מוצדק אנחנו בוודאי עושים את המהלך הזה.
יוראי להב הרצנו (יש עתיד)
¶
מאחר והתייחסת ספציפית לאירועי שבוע שעבר, האם לפני קרות הפריצה עצמה העברתם התראה למי מהגופים שנפרצו?
ראובן אידלמן
¶
אנחנו לא קיבלנו התראה לגבי הגופים האלה שנפרצו בשבוע שעבר לפני הפריצה, נכון. בהקשר לאירוע של שבוע שעבר פרסמנו גם הודעה לכל הציבור שאומרת שכל שימוש, אפילו הורדה של הקובץ שדלף לרשת, עצם ההורדה שלו למחשב האישי של אדם היא עבירה לפי חוק הגנת הפרטיות שהעונש המירבי עליה הוא חמש שנות מאסר.
מעבר לכך, עבדנו בשיתוף פעולה עם מחלקת הסייבר בפרקליטות המדינה שפעלה כדי לקבל צו שיפוטי שמורה על חסימת כל האתרים הישראליים, איפה שיש סמכות לבית משפט ישראלי, כל האתרים הישראליים שבהם קיים הקובץ שדלף, גם זה מהלך חשוב שנעשה בהקשר הזה.
אני רוצה להגיד עוד כמה מילים בהקשר לנושאים נוספים שעלו פה. ראשית, הרשות פרסמה מסמך מדיניות בשנה האחרונה לגבי צמצום מידע. זה מתחבר לאמירות הכלליות לגבי המידע שמוחזק על האנשים. יש חובה, וזאת חובה מפורשת בתקנות גם היום, לכל מי שמחזיק מידע אישי לבחון כל שנה האם הוא לא מחזיק מידע עודף. אנחנו באנו ואמרנו: אם בחנת, ואתה בעצמך, בעל המאגר, הגעת למסקנה שאתה מחזיק מידע עודף ולא פעלת, לא מחקת, זאת הפרה של חוק הגנת הפרטיות.
היו"ר גלעד קריב
¶
האם יש היום הגדרה בחוק הישראלי של חובה של מי שמחזיק במידע למחוק את המידע על פי בקשת מוסר המידע ללא תשלום? האם מוטלת היום חובה סטטוטורית? אני מסרתי מידע אישי שלי, רגיש או לא רגיש, לגורם, בין אם הוא ממשלתי ובין אם הוא לא ממשלתי, וזו מסירה וולונטרית, היא לא מכוח הוראת חוק כמו במרשם האוכלוסין שאדם מחויב למסור. האם קיימת היום הסדרה נורמטיבית של החובה של מקבל המידע למחוק את המידע, לרבות הגדרת עבירה אם הוא לא מבצע את העניין הזה, ולא לדרוש על זה תשלום?
ראובן אידלמן
¶
הוראה מפורשת שמחייבת מחיקת מידע, מה שנקרא זכות מחיקה גורפת, לא קיימת היום בחקיקה הישראלית. זה אחד מהנושאים המובהקים שאנחנו פועלים כדי לקדם במסגרת תיקוני החקיקה שאנחנו מקדמים.
היו"ר גלעד קריב
¶
אנחנו עכשיו נתעסק עם תיקון 13 שהפך להיות 14, וה-GDPR רובו יגיע אלינו בתיקון 15, והסוף מי ישורנו. האם לא הגיוני שבעקבות מה שראינו בשבועות האחרונים, הדבר הראשון שהממשלה צריכה לעשות – ואני כבר ראיתי איך הממשלה הנוכחית וגם קודמותיה, יודעת לפרסם תזכיר חוק, אפילו חוק-יסוד, להערות הציבור במשך שלושה ימים ולהעביר אותו פה בבליץ של שבוע – האם אתם לא צריכים עכשיו לאלתר ליזום תיקוני חקיקה לאור מה שקרה, ובראש וראשונה לתת כלי בידי הציבור שמסר מידע רגיש לכל מיני אתרים, כלי אפקטיבי לדרוש את הסרת המידע הזה?
ראובן אידלמן
¶
ראשית, יש הרבה מאוד GDPR גם בהצעת החוק שכבר אושרה בוועדת השרים ותגיע בקרוב לשולחן הכנסת. זה לא רק שה-GDPR הוא במה שעדיין צפוי להגיע. הנושא של סנקציות על תקנות אבטחת מידע זה הכלי הראשון במעלה לטעמנו שצריך לקרות כדי להעלות את רמת ההגנה על המידע האישי של הציבור. ברגע שיהיו סנקציות ושתהיה סמכות עיצומים כספיים, והתקנות יהיו משהו שאם לא עומדים בו, כל גוף חשוף לנזק כלכלי משמעותי, אין ספק שרמת ההגנה ורמת הציות לתקנות האלה – שאני אומר, הן תקנות טובות ועדכניות ומודרניות – תעלה. אז בראש ובראשונה זה המהלך הזה.
לגבי מה שיושב-ראש הוועדה ציין, בהחלט. קודם כול, אנחנו שומעים את הערות יושב-ראש הוועדה, אנחנו בהחלט פועלים כדי לקדם גם את זכות המחיקה אבל צריך להגיד שמה שקיים היום, גם היום לפי החוק הקיים יש הוראה שאומרת שאם המידע לצורך העניין לא מעודכן ואדם פנה וביקש לעדכן את המידע לגביו, בעל המאגר צריך לפעול על פי בקשת אותו אדם, אז אין זכות מחיקה אבל יש זכויות נוספות שקיימות כבר היום בחוק ואפשר לממש אותן בעניין הזה.
אלינה ברדץ' יאלוב (ישראל ביתנו)
¶
מה זה נזק כלכלי משמעותי במונחים של ענקיות טכנולוגיה? מה הסכומים כרגע ומה אתה מציע?
ראובן אידלמן
¶
החוק היום הוא ישן. אמרנו, זה חוק מתחילת שנות השמונים, הסכומים היום הם סכומים נמוכים מאוד שמדברים על אלפי שקלים, בסיטואציות מסוימות עשרות אלפי שקלים. העיצומים הכספיים שנכללים בהצעת החוק שתכף תגיע לשולחן הכנסת מדברים כבר על סכומים הרבה יותר משמעותיים, עיצומים בסך מאות אלפי שקלים ועל הפרה של הרבה יותר הוראות חוק. היום הקנסות מצומצמים רק לעבירות מסוימות.
אז אפשר להגיד, לגבי ענקיות המידע בוודאי שהמשמעות תהיה אחרת, אבל צריך להגיד שרוב אירועי דלף המידע שאנחנו רואים הם לא בענקיות המידע, הם בחברות יותר קטנות מהענקיות שאנחנו מדברים עליהן.
מעבר לכך לגבי מה שעלה כאן באופן כללי, גם לגבי העבודה הבין-משרדית וכו', אני מזכיר שיש צוות, שר המשפטים הורה על הקמת צוות בראשות מנכ"ל משרד המשפטים שמטרתו לבחון את כל הרגולציה בנושא הרשתות החברתיות, ההתמודדות, בחינה איזה רגולציה נדרשת כדי להתמודד בעניין הזה ואני מניח שחלק מהדברים יידונו גם שם.
אלינה ברדץ' יאלוב (ישראל ביתנו)
¶
סליחה. שר התקשורת, אני מתנצלת. שר התקשורת הודיע גם על משהו דומה, חוץ משר המשפטים, או שאני טועה.
ראובן אידלמן
¶
נכון. יש הודעה ברוח הזאת. לגבי מה יהיה היחס בין שני הצוותים אני מניח שזה ילובן כשהצוותים יוקמו, זאת לא שאלה שאני יודע לענות עליה היום.
היו"ר גלעד קריב
¶
ברשותך, עורך הדין אידלמן, אנחנו מקיימים דיון כללי ולאט לאט בחסות האירועים של שבוע שעבר, הוא ככה מתמקד בתחום מסוים, תכף נשמע גם פריסה יותר רחבה.
קרה פה רצף של אירועים. בית חולים הלל יפה עדיין מתפקד ללא תשתיות האינטרנט שלו, אז הם עושים עבודה הרואית אבל אין ספק שזה פוגע באיכות הטיפול. זה די טריוויאלי, הם לא עושים את זה מתוך רצון כשהם עדיין תשתיות אינטרנט מכובות. יש לנו את האירוע משבוע שעבר שהגיע לכותרות סביב אתר כזה או אתר אחר, זה לא משנה, הנזק הוא מערכתי. עדיין הציבור לא בדיוק יודע מה אירע בפרשת שירביט, מה עוצמת הנזק שם.
אני מתעקש על שתי שאלות. אחת, מה מבחינת הרשות להגנת הפרטיות - שהיא בסוף הכתובת המרכזית מבחינת הפגיעה בזכות לפרטיות, לא בהיבטים אחרים של ביטחון לאומי, שזה מערך הסייבר - מה הצעדים המיידיים שאתם מתכוונים לנקוט בהם, לא ברמה של יידוע הציבור אלא מה הפערים הרגולטוריים שאתם מתכוונים לסגור באופן מיידי בעזרת הבית הזה או בעזרת הממשלה? מה השינוי בדפוסי העבודה שלכם לנוכח כנראה איום מתקפות הסייבר?
הדבר השני שאני מבקש להבין זה מהי שיטת העבודה המקדימה, מה דרך העבודה שלכם היום עם מערך הסייבר הלאומי. האם בסופו של דבר מערך הסייבר הוא זה שאמור לזהות את האיום בפריצה ואז אתם מקבלים צי"ח והולכים ובודקים את היבטי הגנת הפרטיות באותם יעדים, איך זה עובד? אתם מקבלים התראות, לא מקבלים התראות? האם אתם בודקים את רמת ההגנה? כשאתם באים ובודקים את רמת הסיכון לפרטיות אתם בודקים את רמת ההגנה, את ה-Firewall מפני פגיעה של האקרים? אתם פונים למערך הסייבר שיעשה? מה שיטת העבודה היום של ממשלת ישראל על כל זרועותיה בהגנה על המידע האישי שלנו שנמצא בידי אתרים לא ממשלתיים? תכף נשאל אתכם או יותר נכון את המועצה מה קורה ביחס למה הערכתכם לגבי המידע שלנו שנמצא באתרים ממשלתיים, אבל כרגע מה קרה בשנה האחרונה, איך שיניתם את שיטת העבודה שלכם?
ראובן אידלמן
¶
לגבי השאלה האחרונה של כבוד היושב-ראש, ברשות ישנה המומחיות הטכנולוגית ואנחנו בוחנים בעצמנו מה מצב אבטחת המידע. בכל גוף שאנחנו נכנסים אליו אנחנו בוחנים את זה טכנולוגית, בוחנים את זה משפטית, מגיעים למסקנות, נותנים הנחיות ברורות לאותו גוף. אנחנו לא תלויים במערך הסייבר לצורך בחינה של גוף פרטני. לנו יש את הסמכויות, את הידע ואת היכולת לעשות את זה.
יש בינינו חילופי מידע עם מערך הסייבר. מטבע הדברים, כמו שני גופים שעוסקים באותו נושא, הוחלף מידע מודיעיני. אנחנו מעבירים להם, הם מעבירים לנו, אבל בוודאי שאין תלות. כשאנחנו נכנסים לגוף מסוים אין תלות במערך הסייבר לצורך השלמת הטיפול, המשך הטיפול ובפן המקצועי של הרשות.
מעבר לכך, הרשות פועלת מעבר למידע ספציפי שאנחנו מקבלים – בין אם זה תלונות מהציבור או מידע מודיעיני כזה או אחר לגבי גופים ספציפיים שאנחנו נכנסים אליהם – הרשות כמו שאמרתי פועלת לפי סקר סיכונים, אנחנו מזהים מגזר שיש בו סיכון מוגבר ונכנסים לשם.
ראובן אידלמן
¶
אני בדיוק מגיע לזה. אחד מהדברים שהרשות עושה זה מכסה מגזר שלם. אנחנו שולחים – זה נקרא פיקוח רוחב – אנחנו לוקחים מגזר שלם, למשל התחלנו את זה עכשיו במגזר בתי החולים, עוד לפני אירועי הלל יפה, ההחלטה התקבלה עוד לפני, החלטנו שמגזר בתי החולים זה מגזר שאנחנו בודקים השנה. שלחנו שאלון רוחבי אחיד לכל בתי החולים בישראל - במובן הרחב של בתי חולים, לא רק בתי החולים המוכרים, נגיד ככה, גם מוסדות גריאטריים וכו' - מקבלים תשובות לשאלון הזה, על בסיס זה אנחנו גם נותנים הנחיות תיקון ליקויים ספציפיים לבתי החולים לפי הפערים שאנחנו מזהים בשאלון ואנחנו גם מקבלים תמונת מצב מגזרית שעל פיה אנחנו מחליטים שזה מגזר שאנחנו צריכים למקד בו יותר את מאמצי האכיפה האחרים שלנו.
ההליך הזה של פיקוח רוחב הוא הליך שבסופו אין סנקציה נגד הגופים הספציפיים כי אנחנו יוצאים למגזר שלם. יש לזה יתרונות וחסרונות, אבל מספרים לנו הגופים עצמם מה קורה אצלם בפנים ועל בסיס זה אנחנו מחליטים אם לנקוט הליך אכיפה, שכן יש סנקציה בסופו. הרשות גם מפרסמת את הדוחות שלה על המגזרים האלה, הכול זמין באתר הרשות, דוחות מפורטים ואפשר לפיהם לראות מה המצב בכל מגזר. ככה אנחנו מגיעים לסדר גודל של 250 הליכי פיקוח בשנה במגזרים שונים. עכשיו בין היתר אנחנו מתמקדים למשל במגזר בתי החולים.
ראובן אידלמן
¶
אתרי היכרויות זה אולי צריך להיות יעד להליכי פיקוח ספציפיים, שכן יש בסופם סנקציה אבל הכוונה פה היא לכסות מגזרים גדולים, מגזרים שלמים.
יוראי להב הרצנו (יש עתיד)
¶
ראובן, אני רוצה לחדד את ההערות של היושב-ראש. התיקון שהבאתם ואושר בוועדת שרים נוגע בעיקר לעיצומים הכלכליים, זאת אומרת להגברה ממאות ואלפי שקלים למאות אלפי שקלים.
מה שאני תוהה זה האם אתה סבור או אתם סבורים שההתנהלות שלכם עד כה הייתה בסדר, האם התקשורת שלכם, סדורה או לא סדורה מול מערך הסייבר, הייתה מספקת? האם הפיקוח שלכם – בין אם זה מחסור בכוח אדם או מחסור אני לא יודע במה – מספק? ובעיניי ובעיני היושב-ראש, אני חושב שהתשובה היא לא ולא ולא.
אני אומר שוב, אני חוזר על אמירתי בתחילת הדיון, המצב הנוכחי הוא בלתי מתקבל על הדעת. עכשיו אתה תגיד מה צריך לקרות כדי שהוא יתקבל על הדעת כי הזכות לפרטיות היא לא דיון אקדמי. מדובר פה בבני אדם, זו סוגיה בביטחון הלאומי של מדינת ישראל והמצב היום לא טוב, אז אני רוצה להבין ממך מה צריך לקרות כדי שהוא יהיה יותר טוב. האם אתה סבור שהמצב הוא טוב? לשיטתך כן. אתם עושים 250 פיקוחים, אתם עוברים סקטורים, הכול בסדר, אבל המציאות של השבוע שעבר מוכיחה לנו שהיא לא בסדר.
אני מבקש שתגיד – וזה מה שהיושב-ראש ביקש ממך לומר – מה בעיניך, חוץ מלהעלות את העיצומים הכלכליים, את היכולת להטיל עליהם במגוון של עבירות את הסכומים, מה עוד צריך לקרות? האם אתה צריך עוד כוח אדם? האם אתה צריך להכניס עוד תיקונים ספציפיים לגבי היכולת למחוק מידע כדי להגן על אזרחי ישראל בסוגיית הפרטיות?
היו"ר גלעד קריב
¶
אני רוצה לחדד כי אני רוצה לשמוע גם דוברים אחרים. אנחנו נקיים על הסיפור הזה דיון מעקב מהר מאוד.
הייתי אומר כך. הציפייה שלנו היא לשמוע מכם – אחרי כל מה שקרה כאן בשבועות האחרונים – תוכנית פעולה חדשה של הרשות, שבאה ואומרת, מה שהיה הוא לא שיהיה. באנו בדברים עם משרד האוצר, עם משרד המשפטים שהוא המשרד הממשלתי של הרשות, עם מערך הסייבר, אנחנו היום מזהים 10,000 אתרים ישראליים - הרי אין פה מיליוני אתרים - 10,000 אתרים ישראליים שהם ברמת סיכון, או בגלל רגישות המידע או בגלל היקף המידע, הנה תוכנית שלנו לבדוק מה רמת אבטחת המידע בכל אחד מהאתרים האלה. אם צריך כרגע להעניק לכם סנקציות שאין לכם בידיים, אז אני אומר עוד פעם, הכנסת יודעת לעשות מהלכי חקיקה מאוד מאוד מהירים. לא יכול להיות שהם יהיו רק מוקצים לטובת יציבות קואליציונית. גם הגנה על זכויות מצדיקה מהלכי חקיקה מהירים.
אז אני חייב לומר עוד פעם. אני ישבתי אתכם, אני מעריך את העבודה שלכם, טוב שאנחנו יוצאים מאיזושהי תקופת קיפאון עם תיקוני החקיקה, ברור שצריך לעשות פה מהלך חקיקתי רחב, זה לא דבר שיקרה בן לילה, אבל מה צעדי החירום? ישראל נמצאת תחת מתקפת סייבר מתמשכת. זה ברור לכולם, לא צריך להיות ראש אמ"ן בדימוס בשביל להבין שאנחנו נכנסים לעידן חדש בהקשר הזה.
מה תוכנית החירום של הרשות להגנת הפרטיות? האם מערך הסייבר שותף לתוכנית החירום הזאת? זה מה שצריך כרגע. אישרנו תקציב שבוע שעבר. מה הסעיף בתקציב שאומר, הנה אנחנו יודעים שיש פה מצב חירום והולכים לטפל בו? אם אתה רוצה להתייחס, בבקשה כי אנחנו נעבור הלאה, ואני אומר, אנחנו נקיים דיון ספציפי בתקופה המאוד קרובה סביב שאלת קיומה של תוכנית חירום של הממשלה לטיפול ברמת אבטחת המידע של אתרים רגישים, מבחינת היקף המידע ומבחינת תוכנם. התייחסות אחרונה ונעבור למועצה להגנת הפרטיות.
ראובן אידלמן
¶
הצעת החוק שמונחת עכשיו – שאמרתי, ועדת השרים אישרה ותכף תגיע – זה לא בין קנסות של 10,000 לקנסות של 100,000. הצעת החוק הזאת היא שדרוג דרמטי בסמכויות האכיפה של הרשות. אם אתם שואלים אותי, שאלתם, מה הדבר הכי דחוף שצריך לקרות - קביעת סנקציה בחוק על תקנות אבטחת מידע. זה לא עניין של סכומים, זה משהו שהיום לא קיים בכלל.
איל זנדברג
¶
תכף אני אתייחס בצורה מסודרת. בהצעת החוק יש את החלק הזה. הוועדה תריץ את זה, אנחנו נשמח להירתם להפוך את זה לחקיקה מאוד מאוד מהירה.
היו"ר גלעד קריב
¶
אנחנו נבקש מכם בדיון הבא – אנחנו נעשה את שלנו מבחינת הטיפול ביכולת הזאת לסנקציות. אתם תצטרכו לומר לנו דברים יותר קונקרטיים מאשר ישנו את הסנקציות. מה תוכנית העבודה שלכם? א', כמה אתרים להערכתכם? זה דבר שאנחנו נבקש מכם לבוא עם תשובה לוועדה. כמה אתרים מבחינתכם במדינת ישראל היום – ממשלתיים או שלטוניים ופרטיים – אתם מגדירים אותם כאתרים רגישים או אתרים בצי"ח מרכזי שלכם, ומה אתם מתכוונים לעשות עם אותם אתרים? האם אתם הולכים לדגום? האם אתם הולכים לבדוק את אבטחת המידע בכל אחד מהאתרים האלה? מה תוכנית העבודה שלכם לאור התרגשות מתקפות סייבר על אתרים שלטוניים ועל אתרים פרטיים רגישים במדינת ישראל?
תודה, עורך הדין אידלמן. בבקשה, גברת פודמסקי, יו"ר המועצה להגנת הפרטיות. אני גם אשמח אם תאמרי שני משפטים על המועצה ותפקידיה ואיך אתם רואים את הנושא. אתם הגוף המייעץ לממשלה, אם אינני טועה, אז תיטיבי את ההגדרה.
אורית פודמסקי
¶
שלום לכולם. למעשה, המועצה היא גוף מאוד ייחודי משום שחברי המועצה ממונים על ידי שר המשפטים. יחד עם זאת, הנציגים שהם חברי הוועדה הם נציגים מהאקדמיה, מהחברה האזרחית, מהמגזר הפרטי, יש לנו גם נציג שהוא עובד המדינה, משרד המשפטים, יושב פה איתנו, אבל ברמת העיקרון אנחנו עוסקים בייעוץ, גם לשר המשפטים ולמשרדי הממשלה בנושאי פרטיות, זו המומחיות של הוועדה הזו. חברי הוועדה באים מתחומים דיסציפלינריים שונים - גם עולם המשפט, גם עולם המחשוב, גם טכנולוגיה, תקשורת, חברה, תחומים שונים - ובעצם התקשורת הראשונית שלנו עם הכנסת היא שאנחנו מגישים לוועדה הנכבדה הזו דוח שנתי של הרשות ובמסגרת ההגשה הזו אנחנו מחווים את דעתנו ואת הנקודות החשובות שאנחנו רואים אותן כרלוונטיות במסגרת המלצות והדגשים של המועצה איך ניתן ומה צריך לעשות כדי להסדיר ולקדם את נושא הפרטיות.
כמו שאדוני היושב-ראש אמר, המסגרת המשפטית של הפרטיות בישראל היא רחוקה מאוד מאוד מהרצוי והיא מפגרת בהרבה אחרי המקובל בעולם, אני חושבת שמה שאנחנו רואים כאן בימים אלה זה תוצאה של ההזנחה הזו, והיכולת לשפר את הפעילות של הגופים האלה – אנחנו מלווים את הרשות בפעילות שלה, לא באופן שוטף ויומיומי אלא במפגשים שבהם אנחנו מנסים להבין את התהליכים ולהציע הצעות, אנחנו גם עובדים עם ייעוץ וחקיקה במקביל, ואם כבודכם יסתכלו בדוחות שאנחנו מגישים, במכתבים שלנו, אנחנו שמים הדגשים על דברים ספציפיים שבראשם חקיקה. בלי חקיקה עדכנית, מאוד מאוד קשה לגופים לבצע את העבודה שלהם. זה המצב. בין הבנה מה לא בסדר לבין היכולת לתקן את זה ניצבת החקיקה והסמכויות של החקיקה. ללא סמכויות אכיפה, נעשים הסקרים, מתגלים הכשלים, ושם פחות או יותר העניין נעצר, אז זו בעיה אחת.
אדוני שאל מה הפערים בחקיקה וברגולציה בין המצב הקיים למצב הרצוי. במכתבים שלנו אנחנו מנסים מפעם לפעם לתת highlights. נמצא איתי חברי, עורך דין דן אור-חוף מהמועצה ואני אבקש ממנו שיציג את הנקודות האלה, ברשותכם.
היו"ר גלעד קריב
¶
בסדר גמור. בבקשה. אני מבקש רק הצגה בקצרה כי אנחנו עושים סבב. אני כן מבקש מהמועצה להעביר לוועדה פירוט של עמדתכם ביחס לצעדים או לפערים החקיקתיים והרגולטוריים, וכמובן כל צעד נוסף שאתם חושבים שאנחנו צריכים לבצע. בבקשה.
דן אור-חוף
¶
אנחנו בהחלט נשמח לעשות את זה. אני חוזר במילה על מילותיה של חברתי היושבת-ראש שלנו. המועצה באופן כללי מקדמת את רפורמת החקיקה בתחום הגנת הפרטיות בברכה. צריך בהחלט לחדש, לעדכן, צריך בוודאי לייצר ודאות טובה יותר גם לפרט וגם לארגונים ולמוסדות ממשל ולחברות בתחום הזה ולהביא את החקיקה הישראלית בתחום הזה למאה ה-21.
יחד עם זאת, אדוני, וזה נוגע לעניינים יותר פרקטיים, המועצה מוצאת לנכון להעיר שנושא הדין המהותי נעדר כרגע מהצעות החוק שתגענה בפני הוועדה, וזה פער מדאיג, אדוני, מה שאולי ייקרא תיקון 15 יום אחד, והוא עדיין לא קיים.
אני רוצה לגעת בשתי דוגמאות פרקטיות ולהתמקד בהן כדי להדגיש ולהמחיש את הפער הזה שהוא קשור בטבור שלו לסיכונים הגדולים או לאי ההיערכות הנכונה גם של גופים פרטיים ואולי גם של גופי ממשל לנוכח הסיכונים שכרוכים בניהול של מידע אישי.
נקודה אחת שחסרה בחקיקה שלנו, אדוני, וחסרה גם בהצעות החוק, זאת החובה לקיים סקרי סיכוני הגנת פרטיות לפני הקמת מאגר חדש, לפני הקמת פעילות חדשה שכרוכה בניהול של מידע אישי. קיימות מתודולוגיות מסודרות איך מבצעים סקר סיכונים בתחום של הגנת הפרטיות כדי להעריך בצורה מדויקת, טובה, מתודולוגית, מה הסיכונים שכרוכים בפעילות הזאת או בהקמת מאגר, ובהתאם לזה למצוא את הפתרונות שנדרשים לצורך הפעילות הזאת.
אדוני הזכיר את ה-GDPR. הדרישה לקיים סקרי סיכונים כאלה ב-GDPR היא חוק, היא דרישת חוק. בחוק שלנו אין דבר כזה, יש המלצה של הרשות להגנת הפרטיות בנושא, ההמלצה הזאת איננה מחייבת. הדרישה הזאת או המתודולוגיה הזאת, שהיא מתודולוגיה מודרנית וקיימת היום כבר בהרבה דברי חקיקה מהסוג הזה בעולם, לא קיימת בהצעות החוק שמונחות כרגע על הפרק, וזה פער שבעיני המועצה הוא פער גדול.
הפער השני, כדוגמה אדוני, זה הקמת פונקציה ארגונית שנקראת ממונה על הגנת מידע או ממונה על הגנת פרטיות.
דן אור-חוף
¶
בתוך הארגון, ומנהל את היבטי הגנת הפרטיות. זה בוודאי רלוונטי לאותם ארגונים וחברות שמנהלים מאגרים גדולים או מאגרים רגישים במיוחד. התפקיד הזה הוא תפקיד שהוא כבר נפוץ בעולם, הוא תחת חקיקה, הוא קיים – שוב, ב-GDPR הוא דרישה בחוק – אצלנו זאת המלצה שקיימת של הרשות להגנת הפרטיות, המלצה לא מחייבת. זה לא חלק מהצעות החוק היום.
אלה שתי דוגמאות. אם הייתה דרישה כזאת בחוק וארגונים היו גם ממנים אימא או אבא בדמות של ממונה כזה, שיעשה את העבודה מבפנים וינהל אותה כמו שצריך ויקיים וינהל סקרי סיכונים כמו שצריך ובצורה טובה לפני כל פעילות חדשה, רמת הסיכון שהייתה כרוכה בניהול מידע הייתה בהחלט יורדת או מנוהלת בצורה ראויה. זה לא קיים וזה משהו שאנחנו חושבים, בשם המועצה כמובן, אנחנו חושבים שבהחלט צריך להכניס את זה כאן ועכשיו ולא להמתין לעתיד עם זה.
אני אומר עוד מילה, אדוני, וזה שאנחנו כמובן סבורים שלוועדה הנכבדה יש תפקיד מפתח בקידום החקיקה. חלק מהצעות החוק שמונחות כרגע לקראת תהליך חקיקה הונחו לפני הרבה שנים בפני הוועדה הזאת ולצערנו לא קרה עם זה כלום.
אנחנו שמחים על כך שאדוני ציין שקידום החקיקה בתחום הגנת הפרטיות יהיה במוקד העשייה של הוועדה במהלך 2022, ואנחנו במועצה כמובן נשמח לסייע ולעזור ככל שנדרש. תודה.
היו"ר גלעד קריב
¶
תודה. תודה על הדברים החשובים. אנא, שלחו לנו את העמדה של המועצה לגבי פערי החקיקה. אנחנו נעבור למשרד המשפטים, עורך הדין זנדברג. א', נשמע ממך כמובן את התוכנית שלכם בתחום. אחד הדברים שאני מבקש ממך כן להתייחס אליהם זה האם לאור מה שאנחנו רואים בשבועות האחרונים לא ראוי להכניס לתוך תיקון מס' 14 מרכיבים שאולי חשבתם לעסוק בהם בתיקונים הבאים, אבל הם מחייבים כן חשיבה מחודשת, ואז במסגרת הדיונים בוועדה הוזכר פה אלמנט אחד – אני עוד לא יודע אם זה הדבר המרכזי שנדרש.
האם לא צריך לצמצם את לוחות הזמנים של החקיקה כדי להעמיד במהירות את מירב הכלים להתמודדות עם הנושא הזה?
איל זנדברג
¶
תודה רבה, אדוני. אני אתייחס גם לנקודה הזאת, אנסה ללכת כסדר הדברים. אתייחס לדברים שעלו כאן קודם. ראשית, גם אני מברך כמובן על הדיון. כל דיון בדיני הגנת הפרטיות הוא מבורך, גם אם אולי כחלק מזה כמובן יש ביקורת ופיקוח על הממשלה, זה באמת מבורך כי זה מסוג הנושאים שלא זכו לצערנו - אני יכול להגיד לאורך ההיסטוריה, לא לוועדה מסוימת - להתייחסות מספקת.
אני חושב שעלו פה הרבה מאוד דברים, אולי כדאי להבחין ביניהם כי הנושא של פרטיות הוא נושא מורכב, זו זכות אדם. קודם כול, זו זכות אדם, זוכה בעצם לפירוט הארוך ביותר, הרב ביותר בחוק-היסוד, אבל בעוד שברור למה זו זכות אדם כהגנה אל מול השלטון, זו גם זכות שיש לה משמעות, ובימינו אולי הרבה יותר – או לא הרבה יותר – לא פחות - - -
איל זנדברג
¶
לא פחות גם ביחסים בין פרטים וביחסים בין פרט לתאגיד. יש תאגידי ענק שהכוח שלהם בהקשרים מסוימים הוא דומה לכוח שלטוני, ויש איזשהו משהו מעט מתעתע כי בעוד שזכויות אדם בדרך כלל הן לא נתונות בוויכוח, יש איזונים כאלה ואחרים, לגבי הזכות לפרטיות הרבה פעמים יש שאלה על עצם קיומה של הזכות.
מאיפה זה נובע? זה נובע מכך שאנשים פועלים כאזרח מול השלטון אבל גם כצרכן מול החברות שמספקות שירותים, ואנשים מתרגלים – אני מדגיש את זה, זה גם עניין חינוכי תרבותי – אנשים מתרגלים בעצם לחשוב שכבר אין פרטים. אומרים לי, הפרטיות מתה – השתמשו בזה אפרופו השם החדש – אני שמח שהדיון הזה מוכיח שהפרטיות לא מתה, אבל אנשים מתרגלים לחשוב שפרטיות מתה ולכן הם לא מצפים בכלל ואומרים, מה זאת אומרת, זה לא פוגע לי בפרטיות, מקום שברור שיש פגיעה בפרטיות כי הם מניחים שכך מתייחסים אליהם אז זה בסדר שכולם יתייחסו כך למידע אודותם, וכדומה.
יש היבטים נוספים שהופכים את הזכות לפרטיות אני חושב למאוד חשובה ורגישה ואני מבין שאדוני רוצה שאני אקצר, אבל בכותרות, בשונה מזכויות אחרות, גם הפגיעה בהן הרבה פעמים היא נסתרת. אם מישהו משפיל אותי, פוגע בי, נכנס אליי לדירה שלי, אז ברור שהוא פגע בי ואני יכול למחות על כך, אבל הגנת פרטיות נעשית גם בצורה נסתרת וגם בידי מי שפוגע בלי שאני בכלל יודע, היא הרבה פעמים בלתי הפיכה מרגע שהתפרסם מידע וכדומה אז אי אפשר לדעת.
כאמור, יש גם מחלוקת אם יש פרטיות, אין פרטיות, יסוד ההסכמה שהוא חמקמק – פגעו בי אבל הסכמתי אז בעצם לא פגעו בי, שאלות מורכבות שעולות וזה כמובן משפיע על השיח ואיך אנחנו אמורים גם כוועדה כאן בכנסת וגם אנחנו כממשלה, שמנסים להביא את ההצעה.
אני עדיין מציע להבחין בין פגיעות במאגרי מידע, פגיעות ששם אין מחלוקת שהן רעות, שם יש רעים וטובים ברורים, זה סוג אחד של בעיות ולכן גם סוג אחד של מענים. כמובן שמי שמחזיק את המידע צריך להתגונן ולמנוע את זה ולא תמיד הוא רוצה להשקיע בכך את המשאבים ולכן זה קשור גם למה שאמר עורך דין אידלמן מבחינת הגנת הפרטיות אבל זה עדיין תחום אחד, והתחום האחר הוא מקום שבו גופים, גורמים – בין אם גופים ממשלתיים ציבוריים ובין גופים עסקיים ופרטיים אחרים – עושים פעולות של עיבוד מידע, שיש מחלוקת אם הן חוקיות או לא חוקיות, לגיטימיות, לא לגיטימיות. אלה גופים נורמטיביים, הם לא באים ובחשכת הליל פורצים למישהו, ואז עולות שאלות שהיושב-ראש הזכיר קודם, שאלות של איזונים – מה מותר ומה אסור ואיך אנחנו מקפידים שמי שיחליט מה מותר ואסור זה מי שהוא נושא המידע, המידע אודותיו, ומתי ואיך, השאלות הן לא פשוטות אבל הן קיימות וצריך לזכור את זה.
אני חושב שהדיונים שונים וגם עלו פה חלק מחברי הכנסת שלא נמצאים כרגע אבל הזכירו את שאלת הרשתות החברתיות ופגיעה ברשת, גם זאת שאלה, הצוותים שהוקמו, זו כבר שאלה מסוג אחר. העובדה שמשתמשים ברשת החברתית כדי לפגוע, להעליב, להשפיל, לשון הרע, וגם לפגוע בפרטיות של דוברים אחרים או אנשים אחרים, היא רובד אחר שהיא לפעמים נוגעת לפרטיות, לפעמים לא נוגעת לפרטיות, וחשוב להפריד כי שוב, הפתרונות הם שונים לבעיות השונות.
נוח לנו להיות פה היום בעיתוי הזה, זה יצא – לא אגיד כמעט במקרה כי אנחנו משקיעים בזה – אבל שר המשפטים טרח וקידם הצעה לתיקון חוק הגנת הפרטיות, שכבר נסקרה פה, אני לא אחזור על הפרטים. עיקריה בהחלט יובילו גם לחיזוק המעמד של הרשות להגנת הפרטיות ולכן גם – אני מקווה מאוד – להכוונת התנהגות של כל אותם גורמים שאמורים בעצמם להבטיח שלא יהיה דלף מידע, שלא תהיה פגיעות, שלא יהיה ניצול לרעה. אין כוונה, הרי הפיקוח הממשלתי הוא לעולם מבוסס על כך שרוב הציבור יציית לחוק ויפקחו ויזהו איפה שלא, והכלי ההרתעתי הזה אני חושב יספק את ההגנה והוא בוודאי הכלי הראשון, אולי המיידי, שצריך לטפל בו, ויטפלו גם בהיבטים אחרים.
נסקרו פה היבטים אחרים, אכן יש פער בין החקיקה כפי שמופיע בחוק לבין אולי היבטים שהיינו רוצים שיהיו כתובים אבל אני חייב לומר שבשונה מן הנושא של האכיפה, סמכויות אכיפה אתה לא יכול לפרש – או שיש סמכות או שאין סמכות – בנושא של הזכויות של נושא מידע ואמות המידה המהותיות אני חושב שהפסיקה הובילה אותנו הרבה קדימה למרות שהחוק עצמו הוא משנת 81' ולכן אני חושב שהפערים שם במהות מצומצמים, ועדיין אנחנו חושבים שזה נכון לכתוב את הדברים בחוק כדי שהדברים יהיו ברורים, להוסיף בריאות למשק ובכלל. זכויות צריכות להיות כתובות ולא להסתמך רק על פרשנויות, גם אם הפרשנויות האלה הולכות במגמה חיובית ונכונה.
אנחנו נגיע לזה אני מניח בהמשך. אני מזכיר שהפגיעות או הפגיעה האפשרית בפרטיות באמת יכולה להיות לאורך כל השלבים, אני חושב שרמזתם לזה. זה יכול להיות גם בשלב איסוף המידע, יכול להיות איסוף עודף או יכול להיות איסוף מניפולטיבי, כולנו מכירים את זה כצרכנים, מתקשרים ומסתבר שאנחנו מייד מוסרים תעודת זהות. התקשרתי רק לשאול מתי אתם פתוחים אבל קודם כול צריך להקליד תעודת זהות, כבדוגמאות רבות, בשלב השימוש במידע שהוא יכול להיות שלא למטרה, שוב, הוא למטרה שאיפשהו בעמוד 17 בהסכם השימוש שלי אני הסכמתי לזה, וזה יכול להיות כמובן גם בסוף בשמירה, במחיקה, כן או לא, אלה שאלות שאני מניח שתתבררנה בהמשך כי אני מניח שיהיו דיוני המשך אגב הצעת החוק גם.
היו"ר גלעד קריב
¶
יהיו עוד דיונים רבים. אני אומר, הנושא הזה זה נושא שהוועדה הזאת תעסוק בו. הוא הופך להיות פשוט נושא גורלי לכל אזרח ואזרחית במדינת ישראל.
איל זנדברג
¶
אני אתייחס לשאלה ששאלת מה לעשות באופן מיידי. אני יודע שיש ביקורת רבה על החקיקה שקודמה ולא קודמה. בסדר, זה המצב.
איל זנדברג
¶
אני חושב שצריך לזכור שהצעת החוק הזאת הייתה על שולחן הכנסת כבר פעמיים, לא כדי לחלק כאן אחריות בין הרשויות.
איל זנדברג
¶
לא, מימד צופה פני עתיד. אתמול, הצוות המקצועי, אני חייב להודות, היה לנו איזה רגע של נחת ומייד הרגענו את עצמנו לא לשמוח – גם מישהו ממשתתפי הדיון פה שיש לו היסטוריה הזכיר לי, מה אתה מתרגש, כבר היינו שם. אז התקווה והבקשה שנצליח לקדם את הנתח הזה, ולשאלתך אם לא צריך להוסיף נתחים אז אנחנו למודי ניסיון וההנחה היא שעדיף לקדם את מה שיש, ואנחנו עדיין עובדים ונעבוד ונקדם במרץ, גם לפי דרישה של שר המשפטים, את החלק הנוסף, אבל אם נקודת המוצא תהיה למה לא מביאים איזה משהו אידיאלי שהוא רחב וגדול ואז הוועדה תטפל בזה - -
איל זנדברג
¶
- - תקופה ארוכה יותר, אנחנו מעדיפים לעבוד בשלבים, לקדם את הדבר הזה מהר, ואנחנו נביא בהקדם גם את החלק הבא כדי שהכול יהיה שלם, אבל בואו נעשה משהו, והמשהו הזה הוא כבר משמעותי. זה לא איזו פיסה קטנה של נקודה שהבאנו רק כדי לכסות. ממש לא. יש שם נתח משמעותי שאם אותו נחוקק – בשינוי כזה, בשינו אחר, ויכול להיות שעל הדרך גם יתווספו נקודות - - -
היו"ר גלעד קריב
¶
זו הנקודה. לפחות על פניו – הצעת החוק עוד לא הונחה על שולחננו – לאור צוק העיתים, העמדה שלי דומה כרגע לעמדתכם. ישנן טיוטות של הצעות חוק פרטיות שמבקשות להקיף את כל נושא הפרטיות. היושב-ראש הקודם עסק בנושא הזה בעזרת ארגונים חשובים בחברה האזרחית, תכף נשמע את קולם.
אני חושב שבעת הזו יש צורך ללכת ולעשות טיפול של עזרה ראשונה או טיפול דחוף, שבמרכזו השאלה מה הכלים שעומדים לרשות הגורמים השונים למנוע את מה שראינו בשבועות האחרונים. אנחנו נשקוד גם על דרבונה של הממשלה לצעדים היותר תשתיתיים.
אני מעלה בעצם שתי שאלות. א', התיקון שיונח על שולחננו, בתקווה תוך שבועיים אחרי שיעבור קריאה ראשונה, האם הוא באמת כולל את כל הכלים לאותו מענה ראשוני והאם ישנם כלים שאמרתם, טוב, נעסוק בהם בעתיד אבל לאור מה שקורה כרגע צריך להכניס אותם במסגרת דיוני הוועדה.
השאלה השנייה היא, מלבד החקיקה מה השינוי, לא במדיניות הרגולטורית אלא בפעולה. מה תוכנית הפעולה של הממשלה? זה שיש פה צורך בהשלמת פער חקיקתי אני מבין, אבל אם בסופו של דבר מה שעמד לרשות הרשות להגנת הפרטיות לפני שנתיים עומד לרשותה גם היום, אז יש לנו בעיה. השאלה האם כרגע הרשות להגנת הפרטיות, אם היא הגוף האחראי, יודעת להציג בישיבה הבאה תוכנית חירום שאומרת, אחרי מה שראינו בהלל יפה, אחרי מה שראינו בפגיעה האחרונה בשרתים, הנה איזושהי תוכנית להאצת הבדיקות שלנו, הפיקוח שלנו. זאת השאלה, אנחנו נשאל אותה, אני חושב שהתשובה חייבת להיות ברורה. עולם לא כמנהגו נוהג. תכף נשמע את מערך הסייבר ואת ההערכה שלהם מה מצפה לנו בתקופה הקרובה.
איל זנדברג
¶
שני משפטים לסיום, כמובן שהרשות כגוף עצמאי תתייחס ותגיב. נשאלה פה שאלה על התיאום. אני מניח שהייתה כוונה לתיאום בין מערך הסייבר לרשות להגנת הפרטיות וגם התיאום הפנים-ממשלתי. הרשות להגנת הפרטיות, הסמכויות שלה כמובן חלות גם על הגופים הציבוריים. מטבע הדברים, הייעוץ המשפטי לממשלה – שאותו אני מייצג פה גם כמשרד משפטים וגם כיועץ משפטי לממשלה – מנחים את כל הגופים הממשלתיים, כל מי שכפוף לפרשנות המשפטית של היועץ, להבטיח שהפעולה היא חוקתית וחוקית וכדין ומידתית וכן הלאה, ואנחנו עושים את זה ביומיום בדיונים על מיזמים כאלה ואחרים, בין שהם מגיעים לחקיקה ובין שאינם מגיעים לחקיקה, עושים את זה בהצלחה כזו או אחרת אבל הפעילות שלנו היא ישירה מול הלשכות המשפטיות של המשרדים כדי להבטיח שכשמשרד נכנס לפעילות חדשה – להקים מאגר חדש או פעילות חדשה – הוא מברר לעצמו את השאלות גם של דיני הגנת הפרטיות כמו שהוא חייב לברר דינים אחרים. זה התפקיד שלנו ואנחנו משתדלים לעשות אותו הכי טוב שאפשר, כפוף כמובן לדין. בהקשר הזה, למרות שקיימות סמכויות לרשות, אנחנו רוצים לקוות שמשרדי הממשלה לא זקוקים לסמכויות האכיפה כדי להבטיח שזה יקרה, אבל מסגרת אחת, המסגרת הכוללת לאכיפת החוק היא כמובן בידי הרשות, גם כשזה פונה כלפי חוץ אבל גם כשפונה פנימה.
הנקודה השנייה שעלתה פה, קודם נסקרה אבל אני חושב שהיא הופנתה גם אולי אלינו כמשרד משפטים – אני לא דובר פה של הפרקליטות והפעולות שנעשו, אבל נזכרה פה בעיקר ביקורת על הפעילות שנעשית מול רשתות חברתיות. שוב, זה בעולם תוכן אחר, שם מדובר בפרסומים שהפגיעה שלהם היא גם אולי פרטיות אבל גם - - -
איל זנדברג
¶
לשון הרע, וכדומה. זה עולם תוכן אחר, ראוי לדיון – שאלות של חופש ביטוי – נדמה לי שזה לא המוקד של הדיון פה.
היו"ר גלעד קריב
¶
אני לא בטוח שמה שעלה פה במוקד מבחינת חברי הכנסת שדיברו זה תופעת השיימינג וכו'. אם העלו את שאלת השימוש במידע לצרכים שלא לשמם נמסר המידע, הסוגיה של הפרת הפרטיות על ידי אמצעים טכנולוגיים כדי לקדם אינטרסים מסחריים, הזכיר את זה חבר הכנסת לשעבר יגאל גואטה בדברים שלו, אלה הדברים שהם בליבם עוסקים בסוגיית הפרטיות. אני שם את תופעת השיימינג ברשתות, שדורשת התייחסות רגע בצד, בסדר גמור.
איל זנדברג
¶
בהקשר זה ברור שגם תאגידים גדולים כקטנים, בין-לאומיים וישראליים, בסופו של דבר מה שמעניין אותנו זה להגן על הזכויות של אזרחי ישראל ותושביה.
היו"ר גלעד קריב
¶
חבר הכנסת סעדי ביקש להתייחס. אנחנו מייד אחרי כן עוברים למערך הסייבר ואז אנחנו עוברים לארגוני החברה האזרחית.
אוסאמה סעדי (הרשימה המשותפת)
¶
חבר הכנסת לשעבר. חכ"ל – גם אני הייתי חכ"ל, זה בסדר. יש לך אפשרות לחזור, יגאל.
אוסאמה סעדי (הרשימה המשותפת)
¶
הוא עושה עבודה מצוינת בתקשורת, זה בסדר. אני באמת מודה לך על הדיון החשוב הזה בעניין חוק הגנת הפרטיות וחשוב מאוד שהוועדה הזאת תמשיך לעקוב אחרי הנושא החשוב הזה. אני מתנצל, יש עוד דיונים חשובים בעוד ועדות, אבל אני רוצה להגיד שאני כמובן מצטרף לכל הדברים שעלו כאן.
את הנושא הזה אני חוויתי על בשרי ביחד עם חברי, חבר הכנסת אחמד טיבי, בבחירות הקודמות, שבאמת היו פרסומים בכל הרשתות החברתיות ובסרטונים בווידאו, והכול בשמות עלומים. פנינו ליו"ר ועדת הבחירות המרכזית דאז, המשנה לשעבר, השופט מלצר, והוא נתן כמה החלטות תקדימיות בנושא הזה, אבל לא היה יכול לחשוף. פנינו לפייסבוק ופנינו לכל מי שצריך, היינו קרובים קמעה באמת לחשוף את מי שעומד מאחורי הדברים האלה, ואני חושב שפה המחוקק, הרגולטור, צריך להיכנס לעובי הקורה הזאת על מנת לחשוף כי יש כל מיני עמודים בשמות בדויים. ואז הם מתחילים לעשות שיימינג, כל מתקפת הסייבר האחרונה על בתי חולים, על בתי עסק, מפרסמים חשבונות. איך אפשר לפרסם דברים כאלה? המדינה לא יכולה להתמודד עם הדברים האלה שהם כל הזמן מאיימים ומבקשים כופר? מפרסמים נתונים, תעודות זהות, כרטיסי אשראי, כל הדברים האלה.
אני אומר, היום בעידן הטכנולוגי הזה, אם אנחנו לא נצליח להתמודד עם זה ולשים הגבלות ומגבלות על הנושא הזה זה יהיה פרוץ וכולנו נשלם מחיר בסוף.
היו"ר גלעד קריב
¶
תודה, חבר הכנסת סעדי. אני מבקש התייחסות של מערך הסייבר ואחריו כאמור נפנה לארגוני החברה האזרחית.
עמית אשכנזי
¶
תודה, אדוני. עמית אשכנזי, אני היועץ המשפטי של מערך הסייבר הלאומי. למרות השעה המאוחרת, אני רוצה למקם את הדיון בין סייבר, אבטחת מידע לבין זכויות מהותיות ותוכן כי הנושא הזה הוא מאוד מהותי כדי שנבין מה תפקיד כל אחד מהגופים שהממשלה הטילה עליו את התפקיד – במענה לשאלותיך החשובות – וכמובן אנחנו, כמו חברינו האחרים ברשות המבצעת, תמיד שמחים על תשומת לב פרלמנטרית לנושאים האלה, בזה הכול מתחיל.
אנחנו רוצים להבחין בין האופן שבו המכונות עובדות בינן לבין עצמן ברשת של ארגון אצלך בטלפון ומתחברות בינן לבין עצמן במרחב האינטרנט, לבין מה שאנשים עושים על גבי המכונות. על גבי המכונות אנשים מדברים – כמו ששמענו עכשיו – הם מוסרים מידע, מקבלים מידע וצורכים שירותים. התפקיד של מערך הסייבר להתעסק בתפקוד התקין של מרחב הסייבר שהוא מרחב המכונות האלה שמחוברות ביניהן, ובשונה מהקולגות שלנו בתחום הפרטיות או בתחום הפרקליטות בהסרת תוכן פוגעני, אנחנו לא מתעסקים בתוכן של אנשים. אנחנו מתעסקים בתוכן של מכונות כי התוקפים, האנשים הרעים שמנצלים לרעה את המכונות, הם לא מדברים בשפת בני אדם אל המכונות – המכונות לא מבינות, הן מדברות בשפת מכונה וככה הם נותנים להן פקודות שתפקידן לגרום למכונה לעשות משהו אחר, כמו: תספרי לי את הסודות ששמרו אצלך או אל תעבדי יותר, או הנה אנחנו רוצים להשבית אותך.
מכאן צריך להבין שאבטחת מידע הגנת סייבר זה סוגיה רוחבית שהממשלה מטפלת בה כבר כמה שנים טובות כאשר המשאב המשפטי הוא במחסור. וצריך להבין גם מבחינה רוחבית, אנחנו חווינו בשנים האחרונות, במיוחד מפרוץ הקורונה והתגברות הדיגיטציה, סיכוני סייבר מאוד משמעותיים שאינם מסכנים רק את הזכות לפרטיות אלא גם בתחום אספקה רציפה של מים ושירותים אחרים.
דבר נוסף שצריך לדעת זה שאנחנו עובדים באופן רציף מול מרחב הסייבר הישראלי, שהוא בסוף מורכב מארגונים, והארגונים האלה מורכבים מאנשים, כשהאנשים האלה צריכים להשקיע תשומת לב בלטפל במחשבים שלהם, לצד אינטרסים אחרים שמניעים את אותם אנשים, כדי להפנות את תשומת לבם לבעיות שיכולות להיות במערכות שלהם ולעודד אותם ולתמרץ אותם לסגירת החולשות האלה.
מאחר שבדרך כלל כמו שנהוג לומר אצלנו, ארגונים לא אוהבים להתאבד, יש לנו שיעור הצלחה מאוד גדול מול עסקים שאנחנו פונים אליהם ומצביעים, באמצעים שהם זמינים לנו וגם לצערנו לתוקפים, על חלונות לא סגורים אצלם בארגונים, וכפועל יוצא מזה אנחנו בעצם יכולים לגרום לעליית החוסן במשק הישראלי.
התפקיד של מערך הסייבר בשיחה הזאת או במדיניות הלאומית הוא לגרום לזה שארגונים יפנימו את הסיכונים מראש מבחינת הטמעת תקנים מתאימים, ובמובן הזה העבודה שהרשות להגנת הפרטיות עושה מול מי שמחזיק מאגרי מידע זה מקרה פרטי של הנושא הזה, אנחנו מצפים לאותו סוג של התגייסות במגזר המים שלא מחזיק מידע פרטי ובמגזר החשמל שלא מחזיק מידע פרטי, ובמגזר הבנקאי ובמגזר הביטוח, שמחזיק גם הוא מידע פרטי. זאת נקודה ראשונה.
נקודה שנייה שחשוב שוב להדגיש והיא חלק נקרא לזה מהאתגר בשיח הציבורי – וזה עלה גם בצורה מאוד טובה פה באקספוזיציה שלך, אדוני – שכאשר אנחנו מתעסקים בעולם הזכויות המהותיות אנחנו נדרשים לאזן בין שימושים ציבוריים או עסקיים לגיטימיים לבין הצורך להגן על הפרטיות, וזה דבר שלפעמים שוכחים כשמדברים על דיני פרטיות במידע מודרני. דיני פרטיות במידע מודרני – הן הצהרות ה-OECD, הן ה-GDPR שכולם נתלים בו – פותחים בהצהרה כפולה. מצד אחד, לגיטימי לאסוף ולעבד מידע לצרכים שלטוניים ועסקיים, זו המציאות שבה אנחנו חיים, ומצד שני אנחנו מעוניינים לנהל סיכון.
לצערנו, חלק מהשיח בנושא הסמכויות של המדינה במרחב ההגנה על הסייבר נקלע לאיזושהי דיכוטומיה של שחור-לבן, שבתוכה יש הסתכלות מאוד מאוד חד-צדדית – חלק מהדברים נאמרו פה בהתחלה לגבי מה תפקיד המדינה בנושא הזה – ואותנו, כמו שעסקו בזה גם מול משרד המשפטים, הדבר הזה מטריד מפני שהוא מעיד על קוצר ידו של המשפט החוקתי.
אני אגיד למה אני אומר משפט כזה כבד פה בוועדת חוקה. אנחנו כמשפטנים חוקתיים יודעים לעצב מסגרת שיכולה מצד אחד לאזן בין הצרכים הלגיטימיים שאנחנו מבקשים לקדם, קרי היכולת למנוע המשך סיכון לאינטרס הציבורי בסיטואציות מסוימות, לבין הסיכונים שהפעילות הזו עצמה עושה. שהרי מה עשתה הוועדה הזאת בשנת הקורונה? בדיוק את הדיונים האלה – מתי לגיטימי להשתמש בפעולות מסוג מסוים ומתי אנחנו מרסנים את הכוח.
דבר אחרון שחשוב לי להבחין. אנחנו בעצם מפעילים כמו במדינות הים את ה-Cert הלאומי. מהו ה-Cert הלאומי? Cyber Event Response Team. זה אותו מוקד שעומד בקשר רציף עם המשק ומקבל התראות על אירועי סייבר מהמשק, בעצם מרכז המחלות, ובהתאמה לזה גם מפיץ התראות ודרכי טיפול באותן מחלות. זה כשירות שהמדינה הקימה במערך הסייבר כ-Cert לאומי, זה לא כשירות של רגולציה, היא לא עוסקת בהחזרת אנשים למוטב, היא לא עוסקת בהטלת קנסות.
היו"ר גלעד קריב
¶
א', אני מקבל כמובן את הדברים. אני רוצה לשאול שאלה קונקרטית: מה כרגע הפעולות של מערך הסייבר? יכול להיות שהתשובה שלכם שהכול ברשות להגנת הפרטיות, זה בסדר.
היו"ר גלעד קריב
¶
אני רוצה להבין כרגע איך מערך הסייבר מבין את תפקידו בהקשר הספציפי של סיוע לגורמים הממשלתיים שמופקדים על הגנת הפרטיות. מה קורה בפועל?
עמית אשכנזי
¶
מערך הסייבר לא מחכה לרשות להגנת הפרטיות. צריך להבין פה, משימת האפס שלנו היא למנוע אירועים מהסוג הזה בכלים שיש לנו. ולכן, האירוע הזה זה אירוע שהתפוצץ, כמוהו יש עשרות ומאות אירועים בשנים האחרונות, שנמנעו. הם לא הגיעו לדיון בכנסת מפני שאנשים בצד השני פעלו בהיגיון, ו/או שיתפו פעולה, ו/או הייתה לנו אינפורמציה, ו/או הפעלנו כלים, ו/או – אני לא רוצה להיכנס לאירוע הספציפי.
לכן צריך לומר, זה לא שאתה עכשיו בדיון הזה אומר לנו, בוקר טוב, האחריות אצלכם. האחריות אצלנו.
היו"ר גלעד קריב
¶
סליחה, אדוני. אף אחד לא אמר לכם את זה. התפקיד שלנו – ואני מתכוון למצות את התפקיד הזה – הוא להבין בצורה קונקרטית מה קורה.
היו"ר גלעד קריב
¶
יתקיים דיון מעקב על העניין בעוד פרק זמן מאוד קצר. גם בנושאים אחרים אנחנו חילקנו את הדיונים העקרוניים לשני חלקים מפאת לוחות הזמנים.
מערך הסייבר מתבקש להגיש בכתב לוועדה פירוט של תפקידיו ופעילויותיו למול גורמי ממשלה אחרים וגם בכוחות עצמו. אני בטוח שאתם עושים את תפקידכם נאמנה וזה גוף חשוב. אנחנו רוצים להבין מה בסופו של דבר תרשים הזרימה של הפעולה הממשלתית בנושא הזה. אני מניח שישנן הרבה מאוד מתקפות סייבר שנבלמות, והן נבלמות אולי ברמה לאומית. האם כתוצאה מהן מתגלות פרצות אבטחה באתרים שונים, בארגונים שונים? האם המידע עובר בצורה מסודרת ורציפה לרשות הגנת הפרטיות? האם היא עושה את פעולתה? זאת סוגיה שאנחנו נבקש לעסוק בה.
אני גם אבקש, אני אומר עוד פעם, בדיון שאנחנו נקבע אותו לא בשבוע הבא אבל לשבוע אחרי זה, להבין גם את התחזית שלכם לגבי מה האיומים שניצבים בפנינו בחודשים הקרובים, האם באמת אנחנו בעיצומה של מערכה הולכת ומתגברת בנושא הזה.
עמית אשכנזי
¶
חשוב לי, אדוני, אני מבין שאתה מעוניין לסיים וכמובן שאין שום בעיה, חלק גדול מהמידע הזה פומבי ונמצא ויועבר אליכם בהקדם.
צריך רק להבין את ההבדל בתפקידים ובייעוד. כאשר קורית תקיפת סייבר או פיגוע סייבר כזה בארגון, אנחנו נכנסים לאירוע על מנת למצוא את הסימנים של הפצצה ולסלק את התוקף. זה פעילות של "כבאי" ממשלתי בסייבר ולמצוא את הסימנים האלה כדי להפיץ אותם ליתר הארגונים במשק בזמן אמת. זה כשירות שלא קיימת במקומות אחרים.
היו"ר גלעד קריב
¶
בסדר גמור. תודה רבה. מכובדיי, אנחנו נשמע עכשיו ארבעה גורמים מחוץ לממשלה. כאמור, יכונס עוד דיון המשך שבו גורמים נוספים ישמיעו את קולם, תוך שבועיים. אני כבר אומר, אני אומר את זה גם בסיכום הדברים בעוד זמן קצר. אנחנו בשבועיים האלה מצפים מהרשות להגנת הפרטיות לחזור אלינו עם התייחסות לגבי תוכנית הפעולה מעבר לסגירת הפרצה הרגולטורית בתחום הסנקציות. מה אתם מתכננים לעשות ב-2022 בצורה מאוד קונקרטית? כמה משאבים מוקדשים לעניין הזה? כמה תקני כוח אדם פועלים בנושא הזה? ולראות גם את הנתונים של 2021 ו-2020, תכף נדבר על זה.
אני מבקש מד"ר תהילה אלטשולר מהמכון הישראלי לדמוקרטיה את התייחסותה. לאחר מכן נשמע את נעמה מטרסו, מנכ"לית פרטיות ישראל; את יורם הכהן, מנכ"ל איגוד האינטרנט הישראלי; וכמובן את נציגת חברת גוגל כי הייתה גם התייחסות פרטנית אליכם. בבקשה, ואני אומר עוד פעם מכובדיי, יתקיים דיון נוסף תוך שבועיים, יהיה עוד זמן לומר את הדברים שלא נספיק הפעם.
ד"ר תהילה אלטשולר
¶
תודה רבה, אדוני, אני מתנצלת שלא יכולתי לבוא בעצמי. כמו שאומרים על היחס בין פרטיות ווירוסים, אפשר שכל אחד יוותר על הווירוסים או על החשיפה לווירוסים של עצמו אבל יש לזה השפעה גם על צדדים שלישיים, ולכן אני כאן. אני מברכת אותך, אדוני, על הקיום של הדיון החשוב הזה ועל כך שלקחת על עצמך באמת לטפל בעולם של הגנת הפרטיות שהוא עולם שהוזנח מאוד בשנים האחרונות.
אני אקדים ואומר שבשנת 2019 אנחנו פרסמנו הצעה לחוק הגנת פרטיות חדש למדינת ישראל שמתאים לעולם הדיגיטלי אחרי עבודה עם צוות מומחים, שחלקם – עורך דין רביה ועורך דין יורם הכהן – יושבים כאן בחדר, והמסמך הזה שוכב כבר על שולחנם של מעצבי המדיניות יותר משנתיים.
אני רוצה להקדים ולומר שהזכות לפרטיות היא לא פחות מאשר בנקט זכויות האדם בעולם הדיגיטלי, הן בגלל העובדה שכולנו הפכנו להיות אוספי מידע, מושאי מידע ומארגני מידע, והן מפני שיש לה השפעה מהותית שלא הוזכרה כאן עדיין היום על עצם היכולת לנהל הליך דמוקרטי תקין – הן בגלל היכולת של מפלגות לאסוף מידע על בוחרים וליצור מלכודות על האוטונומיה של אותם בוחרים, אבל לא פחות מזה בגלל הקיטוב החברתי, הפייק ניוז וכל הדברים האלה שלמעשה מבוססים על טרגוט של מסרים בהסתמך על סמני אישיות של האנשים.
אנחנו נמצאים באמת במצב חירום אבל מצב החירום הוא לא רק בגלל מתקפות הסייבר. בגלל שאני נמצאת פה לקראת סוף הדיון אני רוצה לדבר על שני מרחבי פערים, אחד מהם קצת יותר בצורה מעמיקה והשני יותר מהר.
כשאנחנו מדברים על הפערים שקיימים ביחס לרשתות החברתיות, הפערים האלה הם מכל מיני סוגים. זה נכון, הפער הראשון הוא הפער של הגנת הפרטיות – לנו מגיע בתור אזרחי ישראל שהסטנדרט שמגן עלינו יהיה לפחות כמו באירופה. אין שום סיבה שההגנה שמקבלים תושבי היבשת תהיה גבוהה יותר מאשר ההגנה שמקבלים תושבי מדינת ישראל.
אבל כשמדברים על רשתות חברתיות יש עוד הקשרים – הגנת צרכן, הסרת תכנים נאמר פה קודם, תעמולת בחירות, תחרות, מיסוי – כל הדברים האלה הם פערים במדינת ישראל. זה הדבר האחד.
הדבר השני הוא באמת הקשר בין המרחב של הסייבר לבין המרחב של הגנת הפרטיות, ופה אני רוצה לעשות את זה באופן הפוך. נניח שאני המנכ"ל של חברה כמו אטרף, ונניח אפילו שב-2019 מישהו פונה אליי ואומר לי שיש בעיות בהגנת המידע שלי, במערכת, שמזהה איזו חולשה.
אני צריכה לעשות ניהול סיכונים, חברות מסחריות עושות ניהול סיכונים, ואני שואלת את עצמי למה לי בכלל להשקיע בהגנת סייבר, בואו ננסה לחשוב. אולי בגלל שאם תהיה מתקפת סייבר, אתה אדוני, תזמן אותי בתור מנכ"ל אטרף לוועדה שלך ותעשה לי שיימינג מטורף כמו שעושים בקונגרס האמריקני. אני בחיים לא ראיתי שדבר כזה קרה במדינת ישראל.
אפשרות אחרת היא שבעצם מערך הסייבר היה יכול להתריע מראש, להבין שיש פה בעיה, לייצר סטנדרט אכיף של הגנת סייבר. מערך הסייבר אכן בספטמבר הוציא כבר מהדורה שנייה של מדריך הגנת סייבר בארגונים. מה כתוב במדריך הגנת הסייבר בארגונים? כתוב, תעשו ניהול סיכונים. מה ניהול הסיכונים? ניהול הסיכונים מבחינתי, מבחינת מערך הסייבר זה שאין לו שום סמכות עליי. למדריך הגנת סייבר בארגונים של מערך הסייבר יש ערך של ברושור כי למערך הסייבר אין שום סמכות על ארגונים פרטיים. הוא יכול להציע להם הצעות, אז אם אנחנו מדברים על דברים שחירום לעשות אותם, זה למשל דבר שצריך לחשוב עליו.
אולי באמת אני אפחד בתור מנכ"ל אטרף מהרשות לפרטיות? זה נאמר פה כבר עשר פעמים בדיון הזה. לרשות לפרטיות אין סמכויות אכיפה מספיק טובות, לא ביחס לתקנות אבטחת מידע ולא ביחס לעיצומים כספיים שהיא יכולה לתת - - -
היו"ר גלעד קריב
¶
עכשיו אנחנו שומעים. אני ממליץ שתכבי את התמונה אצלך כי אנחנו גם קרובים לסיום. אני רוצה לומר עוד פעם, עשינו את זה גם בדיונים בתחום השוויון. יהיה עוד דיון בעוד שבועיים שבו אנחנו נשמע את הדברים גם יותר לעומקם ולאורכם מנציגי החברה האזרחית והאקדמיה.
ד"ר תהילה אלטשולר
¶
אני כבר כמעט מסיימת. מה שרציתי לומר הוא שלרשות לפרטיות אין סמכויות ומה שהובא כאן – ואני מברכת עליו – בוועדת השרים לחקיקה, עשר שנים שוכב כמו פגר שלא מטפלים בו. אז שאף אחד לא יספר לנו באמת על איזו רפורמה גדולה שנעשית פה עכשיו. יש עוד המון דברים שחסרים ואנחנו עוד לא ראינו טקסט של תיקון 15, וצריך לזכור – בהיעדר רשימה של זכויות מהותיות, אגד זכויות במידע, אז גם להרחיב את סמכויות האכיפה של הרשות לא באמת עוזר.
אני רוצה לסיים רק בדבר אחד אחרון. אם למשל היה קל להגיש תובענות ייצוגיות על פגיעה בפרטיות במדינת ישראל, זה היה יכול להיות שוט הרבה יותר טוב מאשר המון רגולציות, ואם צריך לדבר על איזשהו צעד של חירום שהיה כדאי לעשות עכשיו, זה היה צעד לא פחות חשוב מאשר סמכויות הרשות לפרטיות. תאפשרו או תפחידו אותי בתור מנכ"ל אטרף בזה שיפסקו לי תביעות במיליונים. אני מבטיחה לכם שמבחינת ניהול הסיכונים זה דבר הרבה יותר יעיל.
ורק לסיכום, אדוני, אני רוצה לשאול שאלה אחת. הגיעו לכאן שלושה גופים ממשרד המשפטים: הרשות לפרטיות, המועצה להגנת הפרטיות וייעוץ וחקיקה. אדוני, כדאי שתשאל את עצמך מה היחס בין הגופים האלה, מה הסמכויות של כל אחד מהם, איפה נמצא צוואר הבקבוק שמעכב חקיקה, איפה נמצאות בעיות האכיפה. יש לנו איזה ביזור כאן שמאוד משרת את הבעיה הזאת של חוסר ההתייחסות באמת לצורך להגן על הפרטיות. תודה רבה.
נעמה מטרסו
¶
תודה רבה על זכות הדיבור ותודה רבה על קיום הדיון החשוב הזה ואני מאוד שמחה לשמוע סוף סוף שהוועדה שמה לעצמה יעד לטפל בנושא החשוב של פרטיות אחרי שהתרגלנו כמעט להגיע לכנסת בכל פעם שהמדינה דווקא פוגעת בפרטיות, אז אנחנו שמחים ומקווים שבאמת הדיונים יימשכו ויהיו אופרטיביים ופרקטיים.
אני רוצה למסגר את הדברים שלי קודם כול בזה שמידע הוא נכס, וצריך להתייחס אליו כנכס כלכלי, נכס אסטרטגי של חברות, ופרטיות מהצד השני, מתייחסים אליה במקרה הטוב לנטל, נטל רגולטורי, במקרה הרע פשוט לא מתייחסים אליה.
הסיבה לכך נעוצה בכך שהפער בין החקיקה הקיימת לבין המצב בפועל הוא לא רק פער בין החוק לבין הטכנולוגיה, הוא ממש משבר בתחום המידע והפרטיות בישראל. המשבר הזה יוצר כאוס במידע גם במדינה – רק השנה, בשנת 2021 ראינו שש יוזמות למאגרי מידע אימתניים על כלל אזרחי מדינת ישראל. הכאוס הזה מצוי כמו שאנחנו רואים גם במגזר הפרטי עם אירועי הסייבר שתקפו אותנו בשבוע האחרון, וחשוב לי גם לציין שסייבר זה רק אחת מההשלכות של הבעיות הקיימות והרבות.
כפי שצריך להתייחס למשבר חירום, אי אפשר להסתפק בטלאי חקיקה ובתיקוני חקיקה כפי שמציעים במשרד המשפטים. צריך להתייחס לנושא הזה כאל רפורמה, כפי שתהילה ציינה. יש הצעת חוק כוללת שניסחו מומחים, צריך להתייחס אליה ברצינות, צריך לקדם אותה, אי אפשר להסתפק בתיקוני חקיקה קטנים.
אם שאלת לגבי הפערים, התיקונים המיידיים והדברים לטווח הארוך, אני חושבת שאי אפשר לדבר על אכיפה ועל התיקון שעבר אתמול בלי לדבר על תובענות ייצוגיות. תובענות ייצוגיות זה הכלי של האזרחים לאכוף את הזכויות שלהם, זה כלי אכיפה פרטי שחשוב ולא קיים היום במדינת ישראל. היום, בשביל לתבוע על פרטיות בייצוגית צריך ללכת דרך הצינור של חוק הגנת הצרכן, זה מצב שהוא בעייתי, ולכן התיקון שעבר אתמול מבחינתנו הוא רק פלסטר על פצע מדמם, אי אפשר להסתפק בו לבד. כמובן שהוא מבורך כי כן דרושות סמכויות אכיפה לצד סמכויות פיקוח, כשחשוב גם להגיד שסמכויות הפיקוח לא מייצרות הרתעה בפועל היום. זה המצב הקיים, שחברות, משתלם להן להפר את הפרטיות של אזרחים.
דבר נוסף זה האחריות של דירקטורים. אין היום אחריות ניהולית, אחריות עסקית של דירקטורים של חברות כלפי המידע. אמרנו שמידע הוא נכס כלכלי, צריך להתייחס אליו כנכס כלכלי, לא להתייחס אליו כאיזושהי הוצאה שולית במאזן הכוחות העסקי.
בנוסף, זכויות נושאי מידע, כמו שציינת, צריך להסדיר את זה ברמה המיידית, הגדרת סמכויות שיפוט – היום הרבה תובעים מבלים הרבה מאוד זמן, הרבה מאוד שנים בבתי משפט להילחם מול חברות כמו גוגל ופייסבוק על סמכויות השיפוט, האם ניתן בכלל לתבוע בישראל לפי הדין הישראלי. זה משהו שחייבים להגדיר אותו כדי שלאזרחים יהיו הכלים המשפטיים להתמודד עם הסיכונים ועם המצב בפועל.
לטווח הארוך, כפי שאמרתי, רפורמה דרושה אבל חייבים לטפל בנושא של האכיפה הפרטית, אכיפה ציבורית וזכויות נושאי המידע.
היו"ר גלעד קריב
¶
תודה, נעמה. יש לנו עוד שני דוברים ואנחנו מסיימים. אני מבקש גם מהמכון הישראלי לדמוקרטיה וגם מעמותת פרטיות ישראל – אם אתם כמובן מוכנים – לדיון הבא אנחנו נדבר בצורה יותר רצינית על כלים מהמשפט האזרחי, לצד הכלים של המשפט המינהלי והפלילי ואני אשמח שתתייחסו לנושא הזה, ורצוי גם בכתב כדי שנוכל להפיץ ליתר חברי הכנסת. אני קורא גם לממשלה לחשוב האם ברגע הזה, גם אם זה היה מתוכנן לשלבים יותר מתקדמים, האם בדיאלוג עם הוועדה אחרי שהחוק יאושר בקריאה ראשונה, לנוכח מה שקורה כרגע, כדאי להוסיף עוד כלים או מתחום המשפט המסחרי אזרחי או מתחום המשפט המינהלי פלילי, שיחזקו את היכולת להתמודד עם הצרה שמתרגשת עלינו ביתר שאת. עוד שני דוברים ואנחנו חותמים. יורם הכהן, מנכ"ל איגוד האינטרנט הישראלי, ואחריו נציגת חברת גוגל. יהיה עוד דיון, אז רק בקצרה. בבקשה.
יורם הכהן
¶
תודה רבה, אדוני, ואני מברך על הדיון הזה. אני מנכ"ל איגוד האינטרנט הישראלי ויושב-ראש הוועד המנהל של פרטיות ישראל, אבל ב-2006 אני מוניתי על ידי הממשלה להקים את הרשות למשפט וטכנולוגיה, ששמה הוחלף לרשות להגנת הפרטיות, ככה שיש לי ניסיון של שבע שנים בתפקיד הרגולטור בנושא הזה.
אני רוצה בראש ובראשונה לדבר על הפיל בחדר, שלא דובר עליו בצורה מסודרת, וזה פער הסמכויות בין הרשות להגנת הפרטיות ומערך הסייבר הלאומי. יש לנו פה מצב שבו יש לך רשות אחת – ואיגוד האינטרנט הישראלי הוא גוף שמפוקח על ידי מערך הסייבר הלאומי אז אני מכיר אותו היטב – יש לך גוף שיש לו יכולות גבוהות מאוד ואין לו סמכויות, ומהצד השני יש לך גוף שיש לו סמכויות, חלקן מוגבלות אבל יש לו סמכויות, אבל היכולת שלו היא מאוד מאוד מוגבלת.
מדינת ישראל, במקום לעשות ריב של יהודים הייתה צריכה לייצר או מסגרת שיתוף פעולה או הסכם שבו בסיטואציה שבה עמית דיבר על אי ציות או אי נכונות לציית של גופים, להגיע עם הסמכויות של הרשות להגנת הפרטיות. אני הפעלתי בפעם הראשונה בשנת 2008 את הסמכויות של רשם מאגרי מידע בסוגיות של אבטחת מידע כנגד משרד הביטחון הישראלי שסירב להנחיות אבטחת מידע, ורק אחרי התליית המאגר הוא התחיל לציית.
אגב, אני רוצה להגיד משהו מאוד מאוד מעניין. הגופים שאני פגשתי שמסרבים לציית הם גופים במגזר הציבורי. במגזר העסקי, כשאתה מגיע עם סמכויות ואתה אומר למנכ"ל: אדוני, הפעילות שלך היא בלתי חוקית, רוב הגורמים יצייתו – ואני הצגתי את תיקון מס' 12, שזה תיקון מס' 14 קצת מתוקן, בשנת 2012 פה בוועדה הזאת.
היו לנו עשר שנים לטפל בעניין הזה ואני רוצה להגיד, האירוע הראשון שבו פרסמו מידע אישי כאקט טרוריסטי מדינתי היה בפרשה שנקראה ההאקר הסעודי, זה היה בינואר 2012, ובדיון שעשינו בוועדת חוקה זה כבר היה בנוכחות האירוע הזה. היו למדינת ישראל עשר שנים להבין שגורמים ייקחו מידע פרטי וישתמשו בו כדי להשפיע על הציבור הישראלי. זה מה שהיה בפרשת ההאקר הסעודי. אגב, זה לא ידוע, אבל פרשת ההאקר הסעודי הייתה תקיפה איראנית, ואנחנו נמצאים עשר שנים אחרי עם אותו דבר.
אני חושב שכל הגופים צריכים לשאול את עצמם את השאלות למה עברו עשר שנים ולא קרה שום דבר. זה גם משרד המשפטים, זה גם מלחמות היהודים בין מערך הסייבר לרשות להגנת פרטיות, יש הרבה מאוד דברים שצריך לטפל בהם. זה דבר אחד שאני רוצה להגיד.
הדבר השני שאני רוצה להגיד לוועדת החוקה, וזה קשור להיסטוריה של חקיקת חוק הגנת הפרטיות – אני לא יודע כמה אנשים פה מכירים את זה – שבעצם כל החלק של פרטיות במידע לא היה בהצעת החוק הממשלתית בשנת 80' כשהיא עלתה לדיון בוועדת חוקה, והוועדה ביוזמתה הכניסה את מסקנות ועדת גלס שעסקה בפרטיות במאגרי מידע לתוך נוסח החוק. אגב, זו אחת הבעיות של חוק הגנת הפרטיות מכיוון שאתה מנסה לקרוא את החוק הזה, אתה לא מבין בכלל את כל הפערים שיש שם ומנסים לתקן את זה.
אז אני קורא לוועדה, אפרופו הדברים של תהילה, להיות יוזמת בעניין הזה, ואיל זנדברג אמר פה שזה נושא מאוד מאוד מורכב. נכון, זה נושא מאוד מאוד מורכב, ובכלל, בחקיקת טכנולוגיה, מדינת ישראל אני חושב ב-20 השנים האחרונות הבינה שלא בטוח שיש לה את היכולת לעשות את הדבר הזה באופן עצמאי והיא צריכה לקחת מקורות זרים – חקיקת חתימה אלקטרונית שלנו מבוססת על החוק האירופי – ולהיות קצת יותר צנועים בעניין הזה, לקחת את הדוח הזה, שאני, היה לי את הכבוד להיות חלק מהמנסחים שלו, ואולי להתחיל את הדיון פה. נכון, יש דברים מסובכים, יכול להיות שזה לא מושלם אבל בוודאי המצב יהיה הרבה יותר טוב מהמצב שקורה היום כי משרד המשפטים הוא משרד מאוד מאוד איטי, והטכנולוגיה, מה לעשות, והמודלים העסקיים, הם רצים הרבה יותר מהר.
היו"ר גלעד קריב
¶
ברור. צר לי שאני קוטע, אנחנו נשמע את קולך גם בדיון הבא, ברשותך. אני גם מכם מבקש. אני אשמח לקבל מכם נייר עמדה עם הצעות קונקרטיות לדברים שצריכים להתבצע, כולל במהלך החקיקתי שיבוצע כאן במסגרת תיקון מס' 14. אחרונות הדוברות לדיון הזה, נציגת גוגל, בבקשה, ואני מסכם.
נועה אלפנט
¶
תודה. אני באמת אהיה קצרה מפאת הזמן אבל אומר דבר מה עקרוני. קודם כול, בוודאי שאנחנו כאן, היינו כאן בעבר ונמשיך להגיע ואנחנו רואים את עצמנו כשותפים לדיון, אז תודה על ההזמנה וראה בנו שותפים גם בעתיד.
אני חושבת שההתייחסות לגוגל עלתה כאן, אין לנו באמת זמן להעמיק אבל היא עלתה כאן בשלושה מישורים כי הדיון מאוד רחב ומורכב. פעם אחת על האופן שבו אנחנו יכולים או נדרשים לסייע במקרים כמו המקרה שקרה בשבוע שעבר, בפניות אלינו להסיר מידע מהפלטפורמות שלנו וכדומה. פעם שנייה באופן שבו אנחנו עצמנו מנהלים את המידע של המשתמשים שלנו ושמים את הפרטיות במרכז או הגישה שלנו לפרטיות בפלטפורמות שלנו, וההקשר השלישי הוא כלים שיש לנו – וחשוב להגיד, אני ממש לא באה למכור שום דבר אבל יש לגוגל גם כלים מאוד טובים שמספקים פתרונות אבטחה לחברות אחרות ולאתרים אחרים ובהחלט מי שבוחר להשתמש בהם, מצבו טוב יותר, אז גם במובן הזה הוזכרו פתרונות טכנולוגיים שחלקם מוצעים על ידי גוגל.
בכל אחד מהתחומים האלה נשמח להעמיק את השיחה, נשמח להעמיק את הדיון. עלו פה כל מיני טענות לגבי תהליכי חקיקה שנפסקים לכאורה בגלל מעורבות של חברות, אני לא יודעת על מה מדובר. אותו תהליך ספציפי שהוזכר משנת 2018, למרבית השמחה המעורבות שלנו מתועדת בפרוטוקולים, בהגשות פורמליות שעשינו ובהחלט חשבנו שזה היה תהליך חשוב שהתקדם בצורה מאוד מקצועית על ידי משרד המשפטים ועל ידי הכנסת, אנחנו חשבנו שאותו תהליך בהחלט הגיע לתוצר טוב ונמשיך להיות חלק מהשיח ככל שתזמינו אותנו.
היו"ר גלעד קריב
¶
תודה רבה. חברים וחברות, אני מבקש לסכם. הדבר הראשון הוא שדיוננו רק התחיל. זה לא דיון שמתקיים לצורך העברת וי, ועדת חוקה דיברה על הגנת פרטיות. אנחנו מתכוונים – ואני אומר עוד פעם, אמרתי את זה גם בראיונות לתקשורת – מבחינתי, נושא הגנת הפרטיות הוא אחד מהנושאים המרכזיים שהוועדה תעסוק בו, בין אם במענה ליוזמות ממשלתיות בתחום החקיקה ובין אם באופן יזום על ידינו, במהלך השנה הקרובה. תכננו לעשות זאת עוד לפני האירועים האחרונים, האירועים האחרונים רק מחזקים את המוטיבציה.
נקודה שנייה, ברור לנו שמחמת האירועים האחרונים, הדיון היום התמקד בעיקר בהגנה על מידע מפני התקפות סייבר, עוצמת האבטחה של המידע באתרי אינטרנט. ברור לנו לחלוטין שסוגיית הגנת הפרטיות היא הרבה הרבה יותר רחבה והיא נוגעת היום הרבה מאוד למידע דיגיטלי, אבל עדיין היא גם רלוונטית לסוגים היותר קלסיים וותיקים של סוגיית הפרטיות, וגם בנושאים האלה אנחנו מתכוונים לעסוק.
ברור לנו - ופה אני מסכים עם ד"ר אלטשולר - ראוי היה להימצא היום עם חקיקה חדשה, מקיפה, מלאה בתחום הגנת הפרטיות ולחדש לחלוטין את החקיקה הקיימת אבל אנחנו פועלים באיזשהו מצב חירום, ובמצב החירום הזה אנחנו נתייחס ליוזמות הממשלתיות והתפקיד שלנו יהיה לוודא שלא תהיה פה יוזמה ממשלתית שתאושר בוועדה ואז ניקח עוד עשור כדי לנוח. במקום שלא תהיה יוזמה ממשלתית תהיה יוזמה של חקיקה פרטית ויכול להיות שאנחנו גם נניח הצעת חוק פרטית מקיפה שתהיה רפרנס להתקדמויות של הממשלה.
במצב העניינים הנוכחי אנחנו מצפים לראות מענה ממשלתי מהיר למציאות שמתרגשת עלינו, שיש בה סכנות גדולות על מידע שנמסר על ידי אזרחים, בין אם לגורמי ממשלה ובין אם לגורמים עסקיים פרטיים. אנחנו מבינים את העניין של יוזמת החקיקה, אנחנו מצפים לראות במקביל לה תוכנית עבודה של הגורמים הרלוונטיים הממשלתיים, בראשם הרשות להגנת הפרטיות.
אני אומר מראש, עוד לפני דבריו של יורם הכהן התחושה הייתה שמשהו באינטראקציה בין רשות להגנת הפרטיות לבין מערך הסייבר הלאומי, שאין לנו ספק שהוא הגורם עם המומחיות המרכזית בתחום הסייבר ברשות המבצעת, משהו שם דורש איזשהו חידוד וטיוב ואנחנו נידרש לזה בדיון הקרוב.
אני מבקש לדיון הבא שייקבע בזמן הקרוב, אנחנו נראה עד אז בתקווה את התזכיר הממשלתי, אני מבקש מרשות הגנת הפרטיות התייחסות כתובה לפני הדיון מהם הצעדים, מה תוכנית העבודה שלכם להתמודדות עם גל האיומים הנוכחי בתחום אבטחת המידע הדיגיטלי, בחינה של משרד המשפטים האם יש עוד דברים שאפשר כבר עכשיו לשלב בתיקון שיטייבו את המענה. אני מזמין את הארגונים האזרחיים שנמצאים כאן לתת לנו גם מניסיונם ומחוכמתם בשתי הסוגיות האלה – מה ניתן לעשות, גם בתחום של המשפט האזרחי והמסחרי ואיך ניתן להתקדם לנושא הזה.
יש המון סוגיות שלא נגענו בהן והתחושה היא כרגע שאנחנו מסתכלים בעיקר על המרחב הפרטי ואיך הממשלה עוזרת לנו בהגנה על הפרטיות שלנו למול המגזר העסקי. ברור לנו שישנה פה סוגיית ענק שהיא הפגיעה בפרטיות על ידי גורמים שלטוניים. מתנהלות כמה עתירות חשובות בבג"ץ בעניין "עין הנץ", בעניין סוגיות אחרות של פרטיות. יש הצעות חוק של משרד המשפטים שעוסקות בזכות הפרטיות, כל נושא החיפוש, שינוי דיני החיפוש זה גם משיק לסוגיית הפרטיות.
הנושא לא נסתר מעינינו. הממשלה היא פרטנר במאבק למען הפרטיות והיא גם גורם שמייצר סיכונים, כמו בכל סיטואציה של האזרח למול השלטון, אז נתייחס גם לסוגיות האלה.
תודה לכולם, תקבלו כמובן הודעה על דיון ההמשך שיתקיים בקרוב. תודה, אנחנו מתכנסים עוד חמש דקות לדיון הבא. הישיבה נעולה.
הישיבה ננעלה בשעה 11:55.