PAGE
30
,ועדת החוקה, חוק ומשפט
20/06/2012

הכנסת השמונה-עשרה
נוסח לא מתוקן

מושב רביעי
<פרוטוקול מס' 633>
מישיבת ועדת החוקה, חוק ומשפט
יום רביעי, ל' בסיון התשע"ב (20 ביוני 2012), שעה 9:00

<הצעת חוק הגנת הפרטיות (תיקון מס' 12) (סמכויות אכיפה), התשע"ב-2011>

חברי הוועדה: >
דוד רותם – היו"ר
יצחק הרצוג

אורי מקלב

>
אורית קורן - עו"ד, המשנה ליועץ המשפטי לממשלה, משרד המשפטים

רביד דקל - עו"ד, ראש תחום עונשין במחלקת ייעוץ וחקיקה פלילי, משרד המשפטים

גבריאלה פיסמן - עו"ד, ייעוץ וחקיקה-פלילי, משרד המשפטים

ענת אסיף - עו"ד, ייעוץ וחקיקה פלילי, משרד המשפטים

מילי בך - מנהלת מחלקת חקירות, משרד המשפטים

ליאת בן מאיר שלום - משפטנית, משרד המשפטים

לימור שמרלינג מגזניק - עו"ד, מנהלת מחלקת רישום ופיקוח, משרד המשפטים

רס"ן אנפה כרמלי - יועצת משפטית מנהלת מגורים פרקליטות צבאית

שוקי פלג - מנהלת אבטחת מידע ברשות התקשוב הממשלתי, משרד האוצר

מגי בראום - אגף שוק ההון, משרד האוצר

חיים אמיגה - עוזר היועץ המשפטי, המשרד לביטחון פנים

רפ"ק יעל אהרונוביץ - קמ"ד חקירות באח"מ, המשרד לביטחון פנים

סנ"צ אליעזר כהנא - עוזר יועץ משפטי, המשרד לביטחון הפנים

יורם הכהן - עו"ד, ראש הרשות למשפט, טכנולוגיה ומידע

עמית אשכנזי - עו"ד, יועץ משפטי, הרשות למשפט, טכנולוגיה ומידע

ניר גרסון - עו"ד, ממונה משפט וטכנולוגיה, הרשות למשפט, טכנולוגיה ומידע

אייל שליסל - מתמחה, הרשות למשפט, טכנולוגיה ומידע

חיים ויסמונסקי - עו"ד, ממונה ידע מקצועי, משפטי וטכנולוגי, פרקליטות המדינה

דן חי - עו"ד, לשכת עורכי הדין

לבנת קופרשטיין דאש - עו"ד, איגוד הבנקים בישראל

ירון אליאס - עו"ד, יועץ משפטי, איגוד חברות הביטוח

שמואל מלכיס - מנהל מחלקה כלכלית, איגוד חברות הביטוח

דן כרמלי - עו"ד, סמנכ"ל קשרי ממשל כנסת וחקיקה, איגוד לשכות המסחר

סוזנה רבינוביץ - עו"ד, מנהלת המחלקה המשפטית, איגוד לשכות המסחר

עידו יד-שלום - פיקוח על הבנקים, בנק ישראל

רחל יעקובי - פיקוח על הבנקים, בנק ישראל

אור סופר - פיקוח על הבנקים, בנק ישראל

שלמה שתיל - פיקוח על הבנקים, בנק ישראל

אפרת שחר - עו"ד, יועצת משפטית, בנק הפועלים

עופרה שוחטמן - עו"ד, מנהלת מחלקה משפטית, לשכה מרכזית לסטטיסטיקה

יהושע שופמן - יו"ר המועצה להגנת הפרטיות

דן אור-חוף - עורך דין

חיים רביה - עורך דין

דותן המר - עורך דין

דורון רונן - רו"ח, נשיא האיגוד הישראלי לביקורת ואבטחת מערכות מידע

משה שפר - מנהל שפר-אבטחת ענ"א

יצחק ספיר - יועץ עצמאי לנושא יישום הגנת פרטיות

חובב ינאי - פעיל המשמר החברתי

סיגל קוגוט; נעמה מנחמי

דורית ואג

שרון רפאלי
<הצעת חוק הגנת הפרטיות (תיקון מס' 12) (סמכויות אכיפה), התשע"ב-2011>

בוקר טוב. הצעת חוק הגנת הפרטיות (תיקון מס' 12) (סמכויות אכיפה), התשע"ב-2011. איפה השר איתן? טוב, בסדר. מי רוצה להציג את החוק?

אני אפתח, אבל אחר כך אני אעביר את המקל לחברי. אנחנו מקווים שבסוף המהלך הזה הוא ייקרא הממונה על הגנת הפרטיות, זה אחד התיקונים כאן.

הצעת החוק הזאת היא הצעה ראשונה במהלך של תיקונים שאנחנו עובדים עליהם בקשר לפרק ב' לחוק הגנת הפרטיות. התכלית העיקרית שלה היא לתת בידי יחידת הממונה על המידע במשרד המשפטים שתפקידה הוא הגנה על זכות היסוד לפרטיות במאגרי המידע, כלי פיקוח ואכיפה מתאימים והולמים את מידת הסיכונים לפרטיות כיום ואת המעמד של הזכות לפרטיות במשפט הישראלי. כידוע, הזכות לפרטיות מעוגנת מפורשות בחוק יסוד כבוד האדם וחירותו ואף נחקק בהקשר להגנתה החוק להגנת הפרטיות שכולל בפרק א' את ההגנה על הפרטיות הקלסית, ובפרק ב' את ההתמודדות עם הפרטיות במאגרי מידע, ובפרק ד' את מסירת המידע מגופים ציבוריים.

ההצעה הזאת נוגעת, כאמור, לפרק ב' שמסדיר את ההגנה על המידע במאגרי מידע ממוחשבים, מגדיר מהו מאגר מידע, קובע חובת רישום של מאגרי מידע מסוימים, סמכויות פיקוח, הוראות לעניין איסוף מידע, שימוש בו, אבטחה, זכויות נושא מידע ועוד. התיקון הזה נועד להתמודד עם האתגרים הייחודיים שנוגעים היום למאגרי המידע. פירטנו על זה בהרחבה בדברי ההסבר להצעת החוק, אני לא אחזור על זה שוב. מדובר בתחום הולך ומתפתח, וכמובן, יש לו תועלת רבה בעולם המודרני. מצד שני הוא מייצר סיכונים רבים לפרטיות. ההתמודדות עם הסיכונים האלה איננה פשוטה, ולכן נדרשים כלים משוכללים יותר, מודרניים יותר לפיקוח ולאכיפה של הפרטיות במאגרי המידע.
במקביל אנחנו מקדמים תיקון לחוק שנועד לצמצם את חובת הרישום של מאגרי מידע ולהמיר אותה, לפחות לגבי חלק מן המאגרים, בחובה לקיום סדרי ניהול וכללי עבודה בתוך הארגון שישפרו את הציות להוראות פרק ב', וקביעה של חובות מפורטות לאבטחת מידע. בהקשר להם גם פרסמנו טיוטת תקנות אבטחת מידע שגם היא נמצאת בשלבים מתקדמים, וסוף המהלך יהיה בתיקונים שאנחנו נבקש לעשות גם בהוראות המהותיות בחוק. בסופו של דבר הכוונה שלנו היא לייצר הסדר עדכני, שלם שמתמודד עם מכלול הסיכונים להגנת מידע אישי במאגרי מידע.

חוץ מזה יש לכם גם בקנה הצעת חוק חדשה של כל נושא הגנת הפרטיות.

לא, בתוך הגנת הפרטיות אנחנו מקדמים פרקים-פרקים, תיקונים, כאמור בפרק ב' שזאת הראשונה, ויש כמה בקנה כמו שציינתי, גם הצעה שנוגעת לצמצום חובת הרישום והמרתה בהסדרים אחרים.

תביאו הכול יחד, נעשה גם קודקס אזרחי. יש לכם אמנות איך למשוך חוקים במשך שנים.

אנחנו לא מושכים חוקים במשך שנים.

ההסדרה של הנושא בכללותו מורכבת, ויש צרכים שלנו נראים דחופים שאנחנו סבורים שמרגע שההסדר בעניינם בשל, יש מקום כבר לקדם אותם. השימוש של כלי האכיפה הוא אמנם חלק ממתווה כללי שאנחנו מבקשים לקדם לעדכון ולשיפור הכלים של טיפול במידע אישי במאגרי מידע, אבל הוא גם עומד בפני עצמו, ויש לו חשיבות גדולה כדי לאפשר לממונה על הגנת המידע להביא לידי פיקוח אפקטיבי ואכיפה נכונה כלפי הפרות של חוק הגנת הפרטיות. הוא אמנם חלק ממתווה כולל, אבל יש לו חשיבות, והוא עומד בפני עצמו. הוא הדין גם לגבי התיקון שנמצא בימים אלה לקראת השלמת הכנת התזכיר, והוא יופץ בימים הקרובים בכל הנוגע לצמצום חובת הרישום והמרתה בכלים אחרים לאבטחת הציות והמידע בהוראות של החוק.

הצעת החוק הזאת, עיקרה הוא הקניית כלי פיקוח יותר מקיפים ויותר מודרניים לממונה על הגנת המידע וגם שיפור של כלי האכיפה – ראשית, יצירה של מסלול אכיפה מנהלית עם כלי בירור מתאימים ומתכונת על-פי מה שמקובל גם בחוקים אחרים שהכנסת חוקקה בשנים האחרונות לאכיפה מנהלית וגם חידוד של העבירות הפליליות כדי שיהיו יותר בהירות וקוהרנטיות בתוך המתווה הכללי.

נדמה לי אולי שמעבר להצגה הראשונית הזאת שעשיתי עכשיו היה נכון שהרשם יציג את העבודה של היחידה שהוא עומד בראשה. זאת נקודת מוצא נכונה לפתוח את הדיון בנושא הזה.

אין שום בעיה. יש לי רק דבר אחד שאני רוצה עליו תשובה: אני מבין שהצעת החוק הזאת, הציבור לא הגיב עליה. זאת אומרת אתם לא פניתם אל הציבור בצורה רצינית להגיב עליה. אני קיבלתי לפחות אימייל שבו כל הציבור הוזמן לבוא להגיד את מה שיש לו להגיד כאן כי הוא לא הגיב במקומות אחרים.

אני מניחה שהרשם יתייחס גם לנקודה הזאת במסגרת ההתייחסות הכוללת שלו.

טוב, בבקשה, הרשם.

בוקר טוב, אדוני היושב ראש. שמי יורם הכהן, ואני ראש הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים. ראשית אני רוצה להתנצל על עניין ההפצה הזאת. הנושא הזה טופל מול מזכירות הוועדה. אני לוקח על זה את האחריות במובן הזה שאנחנו רצינו ליידע את הציבור שמתעניין בפרטיות על עצם קיום הדיון. לא הייתה כוונתנו שהדיון הציבורי ייעשה פה. ודאי שעשינו דיון ציבורי מקדים במסגרת שקבועה, של הפצת תזכיר וקבלת הערות הציבור.

זה בסדר שרציתם שהדיון הציבורי ייערך כאן. הוא גם ייערך פה.

זה משודר באינטרנט.

כן, כן.

הרצוג מייצג את הציבור.

אני מתחיל את המצגת. יש לי סרט.
הרשות למשפט, טכנולוגיה ומידע זאת יחידה במשרד המשפטים שהוקמה מכוח החלטת ממשלה לפני כחמש שנים. מטרתה, בין היתר, היה שיפור ההגנה על הפרטיות. אני עצמי נושא בשלוש סמכויות שהמרכזית שבה היא סמכותו של רשם מאגרי מידע שהוא הרגולטור לפי חוק הגנת הפרטיות. בנוסף אנחנו מתמחים גם בסוגיות של חוק נתוני אשראי וחתימה אלקטרונית, וזה קשור בעיקר לעניינים של המעמד המשפטי של מסמכים אלקטרוניים.

הרשות למשפט וטכנולוגיה בנויה כרשות רגולציה טיפוסית. יש לנו שלוש מחלקות: צוות הניהול של הרשות למשפט ולטכנולוגיה נמצא פה לימיני: עמית אשכנזי, מנהל המחלקה המשפטית, מירי בך, מנהלת מחלקת חקירות ולימור שמרלינג, מנהלת מחלקת רישוי ופיקוח.

ברשות למשפט ולטכנולוגיה עובדים כ-25 אנשים – כולם בעלי רקע טכנולוגי; רובם המכריע הם משפטנים, עורכי דין, וזה אחד מתחומי הייחוד המרכזיים שלנו. אנחנו יחידה מתמחה שמבינה מצוין את הממשק בין המשפט לבין הטכנולוגיה, ופרטיות במידע זאת האג'נדה המרכזית שלנו.

חוק הגנת הפרטיות שחוקק בשנת 81' ראה מולו את התופעה הזאת. הוא ראה מולו בהקשר של פרטיות במידע מאגרי מידע ענקיים שהיו בערך כ-300 מהם באותו מועד, ולכן הוא קבע עקרונות, שהם עקרונות שמקובלים בכל רחבי העולם בהקשר לדרך שבה שומרים על הפרטיות – חובה של צמידות מטרה, חובה של שימוש במידע אך ורק למטרה שלמענו הוא נמסר, חובה של אבטחת מידע שהיא חובה מרכזית בהגנה על פרטיות וזכויות של שקיפות, של עיון ותיקון לנושאי מידע. הוא קבע גם מסגרת רגולטורית של דבר שנקרא "רשם מאגרי מידע", שבראייה של המחוקק בשנת 81' הייתה החלטה נכונה במובן הזה שהוא ראה 300 מאגרי מידע ורצה לתת לציבור אפשרות לדעת באלו מאגרים המידע על אודותיו מוחזק.

כדי להבין את המציאות שלנו היום אני מבקש להקרין פה סרט. הסרט הזה הוא סרט שהכנו לקראת כנס של רשויות רגולציה מהסוג שלנו שערכנו אותו בירושלים ב-2010. הוא נותן את הסטטוס של הפרטיות היום, ואני מבקש להקרין אותו.
(צפייה בסרטון)

זה המצב שלנו היום, וזה המצב שלנו כרגולטור ישראלי. אנחנו היום מטפלים בעולם מאוד עשיר של גורמים שרשם מאגרי מידע, אותה פונקציה ארכאית מ-81', אמורה להתמודד איתם. מדובר בכל משרדי הממשלה ובכל הגופים הציבוריים שמחזיקים היום מידע עשיר מאוד על אודות אנשים. מדובר בגופים פרטיים רבי עוצמה, כגון מגזרים פיננסיים – בתי חולים, חברות, כרטיסי מועדון, חברות סלולר שכולם מאבדים כמויות אדירות של מידע, ונדרשת הסדרה רגולטורית מקיפה של העולם הזה. זה האתגר שלנו כרשם מאגרי מידע היום וכממונה על הגנת מידע, אם הכנסת תקבל את הצעתנו לשנות את השם. אבל זה, כמובן, רק פורמליסטיקה.

בוא נאמר ככה, את השם שיניתי לך, עכשיו בוא נלך הלאה.

אנחנו באים אליכם אחרי שעשינו מה שאני חושב שהוא מעניין, וזאת בדיקה של עמדות הציבור. אנחנו קיימנו במהלך 2010-2009 תוכנית במימון השוק האירופי שמטרתה הייתה חיזוק ההגנה על פרטיות במדינת ישראל. במסגרתה עשינו סקר על תפיסות הציבור הישראלי לגבי פרטיות שנעשה על-ידי חברת סקרים חיצונית. הוא נעשה, אגב, למתאר שנעשה בכל מדינות אירופה, עם אותו טמפלייט, זה לא מה שהרשות למשפט ולטכנולוגיה הזמינה למטרותיה. אלה נקודות הציון מהסקר הזה: 70% מהציבור הישראלי סבור שהמידע שלו אינו מאוגר כראוי; 70% חושש מהשארת מידע - -

אז למה הוא משאיר?

כי הוא מתמכר. המכונה הזאת שולטת עלינו בין אם אנחנו רוצים, בין אם לאו.

אנחנו עדים לדיסוננס הזה, והדיסוננס הזה הוא בבסיס התרבות האנושית, כנראה, בין החשש לפרטיות וההבנה בסיטואציה שזה קורה לבין ההתנהגות היומיומית. לכן לטעמנו, נדרש רגולטור שיהיה בדיוק זה שמייצג את הראייה הציבורית ואת האינטרס הציבורי של אותם אנשים שביום-יום לא שמים לב לנקודה הזאת. כמו שעולה בסקר, 60% מהציבור הישראלי חושב שהחקיקה הקיימת אינה מסוגלת להתמודד - -

כמה אנשים שאלתם?

מדגם מייצג של הציבור הישראלי – 540.

חבל שלא שאלתם אותם מה אומרת החקיקה. ואז הייתם מגלים שהתשובה הזאת בכלל לא לעניין כי הציבור לא יודע מה קובעת החקיקה.

שאלנו, והציבור באמת לא יודע.

זהו. לכן אתה לא יכול להגיד אם היא מסוגלת או לא מסוגלת להתמודד.

זה חלק מהתפקידים שלנו, ואנחנו עושים את זה.

אגב, אחת המטרות של התוכנית הייתה העלאת מודעות בקרב הציבור, ואנחנו עשינו הרבה מאוד פעילויות ציבוריות בנושא הזה שהסרט שהראינו שהיה בכנס בינלאומי – זאת הייתה אחת המטרות שלו, לחשוף את הנושא לציבור הישראלי.

אנחנו באים לפה אחרי פעולה מקיפה בתחום הגנת הפרטיות במשך חמש השנים שהרשות קיימת. כשאני הגעתי לתפקידי, התמצות פעולת רשם מאגרי המידע הייתה בעיקרה ברישום מאגרי מידע וגביית אגרות. לטעמי, זה לא נושא שתורם משמעותית להגנת הפרטיות במידע, ואנחנו עשינו שינוי פרדיגמה מאוד משמעותי בפעולה של רשם מאגרי מידע, שהצעת החוק שמובאת בפניכם היא תוצאה של שינוי הפרדיגמה הזאת במובן הזה שאנו חושבים שצריך לבוא עם כלים מודרניים להתמודד עם התופעה הזאת. אז אנחנו עשינו פעולות שהן פעולות רגולטוריות טיפוסיות שאינן קשורות לאכיפה, ומנהלית או פלילית אנחנו יוזמים שינויי חקיקה, כמו שינוי החקיקה הזה וכמו שינוי תקנות שהגברת קורן דיברה עליו. אנחנו מוציאים הנחיות ומסמכי מידע בנושאים מסוימים, אנחנו מלווים תהליכי מדיניות מידע שנעשים בשירות הציבורי שיש להם השפעה על הפרטיות; ואנחנו עושים גם את הפעולות של האכיפה המנהלית שנפרט עליה בהמשך וגם האכיפה הפלילית, שלדעתנו, הצירוף של שתיהן יוצרות את אותה הרתעה שנדרשת בעולם המודרני כיום אל מול כמות ענקית של גופים שמאבדים מידע. כמו שאמרתי, ההצעה הזאת שאנחנו מביאים בפניכם, יש בה הרבה מאוד ניסיון וידע שנצבר ברשות למשפט ולטכנולוגיה בהפעלת החוק. זה חוק מ-81' שלקחנו אותו והתחלנו להפעיל אותו, ובסיטואציות מסוימות נתקלנו בקיר כי החוק הזה הוא לא מודרני, הוא לא מתאים למציאות הזאת, ואנחנו במקביל לצבירת הניסיון הזאת התחלנו את התהליך הזה, ומה שאנחנו מביאים לכם היום מבוסס על הרבה מאוד ידע.
אני מבקש להעביר את השרביט ללימוד שמרלינג מגזניק, מנהלת המחלקה המנהלית שלנו, מחלקת רישוי ופיקוח, שתתאר מה עשינו – מה אנחנו עושים במובן של אכיפה מנהלית. לימור, בבקשה.

כמו שיורם אמר משימת הפיקוח שלנו היא לא טריוויאלית גם מבחינת המורכבות וגם מבחינת סמכות הפיקוח שהיא על כלל המשק, הגופים הציבוריים והגופים הפרטיים כאחד. אנחנו צוות שמונה שישה מפקחים, עורכי דין ומומחה טכנולוגי, שיש להם הכשרה נוספת וניסיון נוסף בתחומים שונים של טכנולוגיה, מדעי המחשב, אבטחת מידע, חומרה ותוכנה. המפתחים שלנו עוברים גם הכשרות איך להפעיל את ההליך המנהלי בצורה תקינה לפי כל כלליו. אנחנו מבצעים פיקוחים גם בצורה יזומה, גם לבירור תלונות של הציבור שאנחנו מקבלים; אנחנו עשויים לנהל תיק פיקוח לבדיקה של אירוע נקודתי לא תקין או של תופעה או לעשות איזושהי ביקורת רוחבית על תחום מסוים או על סקטור מסוים. הסמכות שלנו מופעלת גם דרך דרישת ידיעות ומסמכים בכתב וגם בפיקוח במקום. אנחנו יוצאים בצוותים, לעיתים בהפתעה ולעיתים בצורה מתואמת לגופים, לארגונים, מגיעים אליהם ועושים במקום פיקוח של אבטחת מידע. התוצרים שלנו יכולים להיות או הנחיה של הגופים – כיצד הם צריכים לפעול לתיקון הליקויים או קביעות של הפרה או הטלה של קנסות מנהליים או ביטולי רישום מאגר. אני אתן כמה דוגמאות לפיקוחים ספציפיים, למשל, תיק פיקוח שבו פעלנו עסק בשימוש במידע על-ידי חברת ביטוח – מידע שהתקבל מכוח ההוצאה לפועל. נעשה בו שימוש שלא למטרה במקרה של אדם ספציפי; עשינו פיקוחים רוחביים לבדיקה של עמידה של גופים ציבוריים בהוראות החוק בהקשר של העברות מידע בין גופים ציבוריים בצורה תקינה ומינוי ממונה אבטחת מידע בגופים הציבוריים, כנדרש בחוק - -

אתם יושבים במשרד המשפטים, נכון?

נכון.

עשיתם פעם פיקוח על מכשירי הפרקליטות? על העברת מידע כשהתיק נסגר וממשיכים להעביר את זה?

אם יורשה לי - -

תתחילו בבית, זה הכי חשוב.

כמו שאתה רואה ברשימה אנחנו דווקא כן פועלים בבית. אנחנו עשינו פיקוח לאפוטרופוס הכללי שהוא יחידה של משרד המשפטים. גם יש לנו אינטראקציה עם הפרקליטות, לא רק בהיבטים של האכיפה, אלא גם בהיבטים של האופן שבו המידע מתנהל שם. מבחינתנו דין משרד המשפטים ודין הפרקליטות הוא כמו כל גוף ציבורי וכמו כל גוף פרטי בעניין הזה. כמובן, ההתייחסות לגופים ציבוריים היא שונה מעצם היותו גוף ציבורי בהקשר של האופן שבו אנחנו מפעילים, אבל התוצאה הסופית היא זהה, ולדעתי, המגזר הציבורי כבר מכיר היום את יכולות הפיקוח שלנו ואת הדברים. לימור אולי תרחיב על זה קצת.

עשינו פיקוח גם על הנהלת בתי המשפט בהקשר של פרסום פסקי דין ופרטים זהים בפסקי דין. הפיקוחים על הגופים הציבוריים מתנהלים, כמו שיורם אמר, תוך הבנה שאנחנו גוף ציבורי שמפקח על גופים ציבוריים, אבל באותה נחישות ובאותה התמדה כמו שאנחנו מנהלים פיקוחים על המגזר הפרטי.
אתם רואים כאן דוגמאות לפילוח של תיקי הפיקוח לפי מגזרים בשנת 2011. כאן אתם רואים נושאים שונים שטופלו בתיקי פיקוח מתוך העקרונות המהותיים של חוק הגנת הפרטיות, בין אם זה שימוש במידע שלא למטרה שלשמה הוא נמסר, בין אם זה פניות בדיוור ישיר, בין אם זה תחום אבטחת המידע שהוא מאוד משמעותי וצובר יותר ויותר תאוצה וטיפול בפיקוחים שלנו.

כמה תיקים סך-הכול?

כ-100 תיקים מטופלים בשנה.

זה מעט מאוד.

אנחנו לא סבורים כך, כי התיקים הם מורכבים. הפעילות שנדרשת היא הבנה יחסית מעמיקה של מערכות המידע של הגוף שעליו אנחנו מפקחים. הרמה הראייתית שנדרשת היא משמעותית כדי להוכיח את ביצוע ההפרות של החוק.

יש כתבי אישום?

כתבי אישום זה בתחום האכיפה הפלילית, ומיד אני אעביר את המקל למילי בך כדי שתסביר את תחום החקירה הפלילית.

בוקר טוב. אני מילי בך, אני מנהלת מחלקת החקירות ברשות. לפני כשלוש שנים התחלתי בהקמה של מחלקת החקירות שלא הייתה קיימת קודם לכן. אני עצמי באה מרשות ההגבלים העסקיים ששם שימשתי ראש צוות חקירה במשך כ-9 שנים והתעסקתי בעבריינות של צווארון לבן ובעבריינות כלכלית של גופים גדולים במשק. ראיתי מחקרים, חקירות וגם כתבי אישום. מרחב החקירות ברשות משתרע על מגוון רחב של תופעות חמורות כמו איסוף לא חוקי של מידע, סחר לא חוקי, גניבה והפצה של מידע אישי. מאחר שהתרבות האופיינית בישראל אינה נותנת את מלוא תשומת הלב למידע, לערך שלו ולשליטה עליו אנחנו חושבים שמעבר להצפת המודעות, לחינוך הציבור ולאכיפה מנהלית יש כמובן גם צורך לנהל הליכי חקירה במקרים המתאימים.

מאז הקמת המחלקה יצרנו מתודולוגיות, דפוסי עבודה ונהלים, ואנחנו מכירים את המפתחות שדרכם צריך להגיע לאותם עבריינים שמסתתרים מאחורי מסך האנונימיות. מטבע הדברים לא על כל החקירות אני יכולה לדבר, אבל אני רוצה לתת כדוגמה את תיק האגרון שזה התיק הראשון שחקרנו שבו התחלנו את האכיפה הפלילית. אני יכולה לדבר על זה כיוון שהפרשה החמורה הזאת הסתיימה בכתבי אישום - -

יש הרשעות?

אני מהפרקליטות. אנחנו הגשנו את כתב האישום ממש לפני כחודש, והדיון הראשון קבוע לעוד שבוע בערך.

מי הנאשם פה?

אני אפרט פה, זאת שרשרת של נאשמים.

רק ליישר קו ולספר על התופעה: מדובר על גניבת מרשם האוכלוסין של מדינת ישראל. מרשם האוכלוסין נמנה עם הערכות שמוגדרות קריטיות ואסטרטגיות עבור המדינה. המערכת מונחית על-ידי משרד ראש הממשלה, ופעולתה התקינה חיונית לקיום התקין של משטר דמוקרטי במדינה.

התופעה שאיתה התמודדנו היא באמת בלתי נסבלת מבחינת הפרטיות. כל מרשם האוכלוסין של כל מדינת ישראל כולל חיים, כולל נפטרים, כולל ילדים – כולו מצוי היה באינטרנט בסדר גודל של למעלה מ-9 מיליון רשומות עם הרבה שדות מידע לכל רשומה, עם קשרי משפחה של כולנו, עם עומק היסטורי – עד המאה ה-19. היקף פגיעה כזה הוא נזק חסר תקדים. אפשר לומר שזה לפחות מיני קטסטרופה לפרטיות. לראשונה בישראל נחקר תיק שכל עניינו הוא מאגרי מידע. הייתה פרשה חריגה בהיקף שלה ובחומרה שלה, והיא פוצחה באופן מלא על-ידי מחלקת החקירות. חקירה מאוד מורכבת ומתוחכמת.
הנזק הציבורי שנגרם מזה שמרשם האוכלוסין של המדינה נגיש לכולי עלמא באינטרנט הוא ברור. די לומר שהמידע זמין לכל המדינות הזרות בכל העולם; המידע הזה מהווה בסיס לעבירות נוספות אחרות פליליות כמו מרמה וכמו הונאה והתחזות. נעשים בו שימושים מסחריים רחבים, חוקרים פרטיים משתמשים בו, כמובן. נעשה בו שימוש לצורכי שיווק וסתם, גם לצורך יצר של סקרנות ומציצנות. היה שיח ציבורי נרחב על העניין שהתנהל במשך מספר שנים. הייתה חשיפה בתקשורת, בתי המשפט התייחסו, מבקר המדינה. זה ציטוט מוועדת הפנים ב-2007. אומר יושב ראש הוועדה דאז: "העניין של זליגת מרשם האוכלוסין כולו, הכול בחוץ, זה דבר מטורף". הוא מבקש שתהיה פנייה של משרד הפנים למשטרה, שהמשטרה תפתח בחקירה נוכח התופעה הזאת.
אז מה עשתה המדינה? איך קרה בעצם שאחד הקבצים הכי רגישים במדינה הצליח לעלות לרשת האינטרנט? מי האנשים שהייתה להם היכולת הטכנולוגית לקחת קובץ כזה על דיסק או-קי ולחשוף אותו לפני כולם? אני מונה פה בקצרה את התחנות המרכזיות - -

ראית שהתיק נסגר?

עבריין לא נודע. אתה שם לב שזה מ-2007, ומתי הוגש כתב האישום?

אני רוצה להדגיש שאנחנו לא היינו קיימים אז, אנחנו קמנו ב-2009. המשטרה חוקרת את התיק - -

זה כאילו מ-2009.

לא, זה לא הם, זאת הפרקליטות.

בסדר, הם לא חקרו. המשטרה לא חקרה.

גוף החקירה שלנו לא היה קיים. זה עבר אז למשטרה. המשטרה מפרסמת בהודעה שלה שנוכח הריבוי הפוטנציאלי של עבריינים, מאחר שמרשם האוכלוסין עובר בצורה לגיטימית למאות גופים, ולכן נגיש לעשרות אלפי אנשים שעובדים באותם גופים, וכל אחד מהם נצבע בצבע חשוד, לא ניתן, לדעת המשטרה, לפענח את הפרשה, והתיק נסגר ב"עבריין לא נודע".

הבעיה היא שלקח שנה לפרקליטות להגיש כתב אישום. מ-2011 עד 2012.

מדובר בתיק רחב היקף: מאות דיסקים, עשרות ארגזים, וזה קצב טיפול סביר, ואפילו יותר מזה. לא שאני רוצה לטפוח לעצמי על השכם. זה מספר חודשים – סוף 2011 ותחילת 2012 למען הדיוק.

זה ודאי סביר. זה שהפרקליטות עושה משהו תוך שנה זה מאוד סביר.

לא, זה מספר חודשים בתיק שהוא מגה-תיק. הוא התיק המרכזי של הרשות למשפט וטכנולוגיה. תיק אדיר ממדים.

כמה נאשמים יש בתיק?

שישה.

שישה, אני כבר אפרט. כמו שאתם רואים, ב-2009 השר לביטחון פנים מעניק לנו סמכויות פליליות. יש לנו סמכויות חקירה, יש לנו סמכויות חיפוש ותפיסה, ואנחנו מתחילים לנהל חקירה באמת מאוד סבוכה ומאומצת, מאוד לא טריוויאלית. גם עבר זמן, גם עבריינים יודעים שהתיק נחקר ונסגר. עבריינים בדיעבד – אבל יכולנו לדעת את זה מראש – מאוד מתוחכמים – כולם אנשי טכנולוגיה מבריקים שעשו את כל הדברים תוך כדי מודעות, כמובן; התאמצו מאוד להסתתר, כפי שאני אדגים קצרות. אנחנו מנהלים את התיק הזה, והתיק עובר לפרקליטות. בד בבד אנחנו עובדים יד אחת עם עורך הדין חיים ויסמונסקי שהוא פרקליט ותיק. מוגשים כתבי אישום, וכאמור, בשבוע הבא מתחיל המשפט.

איפה הוגש כתב האישום?

בבית משפט השלום בתל-אביב.

כמה זמן לקח עד שקבעו אותו לדיון ראשון?

אני לא עם הנתון כאן מולי, אבל כחודש וחצי.

הבנתי. ועכשיו תהיה כפירה, ואז זה ייקבע לא פחות לעוד - -

בסדר, זה תהליך משפטי.

יש הליכים מאוד סבוכים של חומר חקירה בתיק הזה - -

למה הגשתם בתל-אביב? אין איזה בית משפט אחר שאפשר להגיש בו? רמלה, לוד, ששם שהתיקים רצים יותר?

איך מתחילים בכלל חקירה כזאת? האם בכלל אפשר להצליח מראש בחקירה שמשטרת ישראל כשלה בה, ואנחנו הקטנים והחדשים נצליח בנקודה שבה אין קצה חוט, והתיק נסגר, והמעשה העברייני ישן, וקשה לנו עם סמכויות, ואנחנו מעט מאוד אנשים, בעיקר הראיות דיגיטליות.

אני לא רוצה ולא יכולה לחשוף כאן שיטות חקירה, אלא כן רוצה לתת דוגמאות לדברים שעשינו. מהר מאוד ניתחנו את בסיס הנתונים כי זאת, כאמור, המומחיות שלנו. יש לנו מעבדה פורנזית שהיא מהווה בעצם "חדר הניתוח" של מאגרי מידע. שם אנחנו מפרקים מאגרי מידע למרכיבים ומנסים להתחקות אחר העבריינים. אנחנו מזהים את הרשומה האחרונה שנכנסת למאגר ומבינים מתי הוא נגנב או לפחות מתי הוא יצא ממשרד הפנים בתצורה הנוכחית שלו, ומתחילים בחקירה מאוד אינטנסיבית של אנשי משרד הפנים ו-hp שהוא הגוף החיצוני שנותן שירותי מחשוב כדי לבדוק את ההתנהלות המלאה, את הקבצים, את הלוגים, את התוכניות שיש שם, את האנשים – זאת חקירה מאוד סבוכה כי, כאמור, אין שום קצה חוט. אנחנו מזהים את החריגות ואת האנומליות בבסיס הנתונים, ממפים את כל מה שצריך, ומגיעים לסיפור הבא.
משרד הפנים מעביר מכוח החוק גרסאות של המרשם למשרדי הממשלה השונים ולגופים אחרים, פרטיים וציבוריים מכוח החוק. בין השאר הוא מעביר את זה למשרד הרווחה. במשרד הרווחה לעובד מיקור חוץ יש אחריות וגישה - -

אדוני היושב ראש, חשוב לציין שזה היה בתקופתו של שר רווחה קודם, השר הקודם. חוץ מזה זה רק מראה למה אסור מיקור חוץ ממשרדי הממשלה, אבל זה כבר נושא אחר לגמרי.

באיזו תקופה?

זה היה ב-2006.

מי היה שר הרווחה?

לא היה. רביץ זיכרו לברכה היה סגן שר, ואני לא יודע אפילו אם הוא כיהן אז. לדעתי, לא. אז נכנס שר רווחה מאוד מוצלח ב-2007.

ואז - - -

ב-2006, נכון? לפי מה שקראתי זה היה ב-2006. לא היה שר. אולמרט היה.

אולמרט היה. הכול מובן.

אותו גנב הוא עובד קבלן, והוא מצוי בתפקיד הרגיש של אחראי על מאגרי המידע. יש לו הרשאה חוקית לגשת לכל מאגרי המידע, והוא גם לוקח לו עותק אחד הביתה. למה? כי יש לו גם לקוחות חיצוניים, והוא נותן להם שירותים. הוא משביח בין השאר גם מאגר תורמים של ישיבה בבית יתומים בירושלים, ובמסגרת עבודתו הפרטית החיצונית הוא מתקין עותק של המאגר בשרת של הישיבה.
אני רוצה לציין שמכאן הדרך ברורה כי מדובר במסלול חד-סטרי. זה ברור לגמרי שברגע שזה יוצא מהשליטה זה רק עניין של זמן עד שזה יעבור ידיים ויגיע, לצערנו, לאינטרנט ולכל העולם. אותו איש מחשבים של הישיבה מזהה את הפוטנציאל הרב של מה שיש לו ביד, ומפזר כמה עותקים לחברים שלו בישיבה, ביניהם לחבר שמבין היטב שהוא יושב על מכרה זהב; מקבל עותק חינם, ומחליט למכור אותו למישהו שמבין במאגרי מידע. הקונה הוא איש מאוד רציני, הוא אספן. מה הוא אוסף? הוא אוסף מאגרי מידע. יש אנשים במדינת ישראל שאוספים מאגרי מידע, ואנחנו נמצאים כאן בשביל לתת להם את המענה כי זאת באמת לא תופעה שאפשר להקל בה ראש.

צריך לאשפז אותם.

בוא נתחיל עם אכיפה פלילית.

שום אכיפה פלילית, ישר אשפוז.

בחיפוש בבית שמתנהל אצל אותו אספן כפייתי אנחנו מוצאים כמה מאות הארד-דיסקים וטקליטורים. יש לו מאגרי מידע מכל המינים, הצבעים והגדלים. הוא טכנאי מחשבים. אבל מה הוא עושה עוד? הוא גם מסרב לפתוח את הדלת לחוקרים שבאים עם צו חיפוש של בית משפט. החוקרים עומדים בפתח הבית שלו במשך כרבע שעה ומודיעים שהם מצוידים בצו שיפוטי, והוא בינתיים מתחבא מאחורי הדלת. הוא לא מחביא את התכשיטים, הוא לא זורק סמים לאסלה – הוא רק הולך למחשב שלו ומוחק 3,800 מסמכים ומאגרי מידע. זה מה שהוא עושה במשך קרוב ל-20 דקות תמימות. אנחנו מתגברים אחר כך על חלק גדול מהדברים, אבל רק להדגים לכם את הנדיפות של המידע – בלחיצת כפתור נמחקות הראיות. לאותו קונה יש גם מאגרי מידע ישנים שהוא אסף באדיקות החל משנות ה-90, ומה שהוא מחליט לעשות זה לקחת את הקובץ הגנוב ולהעשיר אותו ולטייב אותו בהמון נתונים אחרים שיש לו במשך הרבה שנים. הוא מעביר את זה לחוליה המכובדת הבאה שזה המתכנת של האגרון. האגרון זה בסיס נתונים שנבנה יחד עם תוכנה שמאפשרת לכל אחד, לכל ילד, לחפש כל מי שהוא רוצה, לראות את קשרי המשפחה שלו. יש מין שרשור אין סופי – לראות מי ההורים שלו ומי האחים שלו ומי בן הזוג שלו או בן הזוג שלו לשעבר. ככה אנחנו מגיעים לכל מדינת ישראל. אני מדגישה שהמוטיבציה של המתכנת היא מוטיבציה כלכלית. המטרה שלו היא למכור עותקים של המרשם. אבל תוכניות לחוד ומציאות לחוד, ותוך כמה חודשים התוכנה הזאת נפרצת, ומשם היא מגיעה לחוליה הסופית, אל האדם שגרם לנזק ציבורי אדיר לפרטיות, לביטחון האישי של כולנו ולדברים נוספים, והעלה במכוון ותוך התרסה את תוכנת האגרון לאינטרנט.
ארי – זה הכינוי שלו – מקים אתר אינטרנט, ובו הוא בעצם פורס בעשרות עמודים מדריך למשתמש ומעודד את כולם להפיץ את מרשם האוכלוסין של מדינת ישראל. זה המקום גם להזכיר שהוא מעלה שם גרסה פרוצה של פרויקט השו"ת. זה פרויקט שמאגד בצורה דיגיטלית כתבים תורניים ונמכר בצורה מסחרית. מכיוון שהוא העלה את פרויקט השו"ת, ומעלה את המניפסט שלו - -

איפה נמצא הקובץ הזה?

יש כבר גרסאות מעודכנות יותר.


מהכתבים של ארי אנחנו רואים שהוא מודע בהחלט לנזק הביטחוני, הוא מודע לכך שמה שהוא עושה זאת עבירה, הוא מודע לעונשי המאסר, והוא עושה הכול בידיעה ברורה. חשיפת הזהות שלו יכולה לפרנס ספר שלם – זה לא המקום, ואני לא רוצה לגזול את הזמן היקר של הוועדה. אני רק אומר שהוא נוקט את כל אמצעי ההסתתרות שאפשר, הוא לא משאיר שום טביעות אצבע טכנולוגיות, הוא משתמש בשרתי "פרוקסי".

אני רוצה רק לציין שמדובר בתיק תלוי ועומד, והדברים - - -

בסדר, בסדר. לא מרשיעים פה אף אחד.

- - - לכאורה, והכול ייקבע בבית המשפט.

אנחנו ערים לכך שהכול נקבע בבית המשפט.

אני אסיים בכך שחשיפתו של ארי מתאפשרת אחרי מאמצים רבים וטעויות שהוא עושה מכיוון שהוא אוהב את התקשורת ומאדיר את עצמו.

אני אסיים אולי בחקירה התלויה ועומדת הזאת. גם מטבע הדברים על החקירה הזאת אני לא יכולה לדבר. אבל למי שזוכר – לפני מספר חודשים נחשפו עשרות אלפי כרטיסי אשראי פרטיים אישיים של אישים, כתובות מייל, סיסמאות, טלפונים, שמות. הייתה פניקה ציבורית. היה איזשהו איוע מתגלגל, ואנחנו פתחנו בחקירה פלילית בעניין.

בקיצור, לא סעודי ולא נעליים.

ואנחנו פתחנו בחקירה פלילית בעניין. תודה.

אני ברשותכם רוצה להמשיך. לפני שאנחנו עוברים באופן קונקרטי לתיאור הצעת החוק אני רוצה רק לדבר על האסטרטגיה הרגולטורית שלנו: אנחנו מקדמים חשיבה, וגברת קורן דיברה על התזכיר של צמצום - - - אנחנו מקדמים חשיבה שבה אנחנו מבקשים לעבור מחובות פורמליות כמו רישום מאגרי מידע לחובות מהותיות של ניהול תקין. אנחנו צריכים להכיר בעובדה, וזה גם נקודת המבט הפוזיטיבית שמידע מנוהל עד היום על ידי כל ארגון. אנחנו חיים בכלכלת מידע, וצריך לתת לארגונים אפשרות לנהל את המידע הזה. אבל מהצד השני, ברגע שאתה מנהל מידע אתה חייב לנהל אותו באופן נכון ותקין. זה גם רלוונטי לעניינים של אבטחת מידע, זה ברור. אבל זה גם רלוונטי לכך שאתה חייב להישאר בגדר "ההרשעה החוקית" שלך לעשות שימוש במידע. לדעתנו, כרוכה בזה גם החובה של אחריות הדרג הבכיר בארגון – אנחנו נראה את זה תכף בהצעת החוק – וגם בחובות פרוצדורליות שיגרמו לכך שהעסק מנהל את ענייניו בנושא זה בצורה נכונה.
הרשות למשפט ולטכנולוגיה או רשם מאגרי מידע מקדם בשנים האחרונות תפיסה שנקראת "עיצוב הפרטיות". זאת תפיסה עולמית שנקראת "Privacy by design". דווקא בהיסטוריה שלנו כיהודים אפשר להגיד שבמידה מסוימת אנחנו המצאנו את התפיסה הזאת כי האמירה שמיוחסת לפרטיות שבה המשפט "מה טובו אוהליך, יעקב, משכנותיך, ישראל" – בדין העברי מייחסת לפרטיות מכיוון שהטענה היא שאותם אוהלים שהיו יותר טובים מאחרים היו מכיוון שהם נבנו באופן שהם שמרו על הפרטיות, בצורה כזאת שלא ניתן היה לראות את הבן אדם שנכנס לאוהל כי הכניסות היו בניצב זו לזו. זאת תפיסה. שלצורך העניין אנחנו לוקחים אותה לעולם המודרני. אנחנו אומרים, כן, אפשר לעשות שימוש במידע, אבל צריך לעשות את זה תוך לקיחת שיקולי הפרטיות החל מהשלב הראשון של הפעילות שלך, החל מהרעיון הראשוני של ייזום מאגר המידע או הפעילות של המידע. זה, כמובן, חל על כל מחזור החיים של הטיפול במידע האישי. זה משהו שאנחנו קידמנו וגם מקדמים אותו - -

אפשר לשאול כמה שאלות?

בבקשה.

קודם כול, מה אתם עושים עם הנושאים הרגישים יותר – מידע רפואי, מס הכנסה, בנקים וכיוצא בזה. האם יש לכם עדיפות בעבודת המטה שלכם בנוגע לכך?

כן. יש לנו עדיפות. כל שנה אנחנו קובעים לעצמנו יעדים באיזה נושאים נטפל. כמו שמובן מהמצגת שלנו, ולפי גודל היחידה, אנחנו חייבים לתעדף את הנושאים שלנו. אנחנו מגדירים, כמו שלימור הציגה, שיש דברים שאנחנו עושים פיקוח רוחב שאנחנו מסתכלים על תופעה מסוימת. עשינו את זה, למשל, במגזר הסלולר, עשינו את זה בפיקוח על הבחירות במובן של הפצת פנקס הבוחרים; עשינו את זה בהעברת מידע בין גופים ציבוריים. אז אנחנו מסתכלים על זה לפעמים במובן הזה. אנחנו גם, כמובן, מבוססי תלונות מכיוון שאנחנו בגישה שמה שמציק לאזרח, והוא מביא בפנינו אנחנו צריכים לטפל בו. זה בהחלט דרייב לניהול של תיק. בוודאי מה שאנחנו רואים מולנו הוא משהו שמחייב בדיקה.
זה ברור שמגזרית, כמו שראינו בשקף קודם – אנחנו מסתכלים על זה בראיה מגזרית, אנחנו יודעים, וזה גם בא לידי ביטוי בהצעת החוק במובן של דירוג המידע – מהו מבחינתנו המידע הרגיש, כי ההגדרה בחוק הגנת הפרטיות כיום היא מאוד רחבה, ובהצעת החוק הזאת אנחנו מצמצמים את התחולה לנושאים שלשיטתנו, הם הנושאים המרכזיים בדרישות של הסמכויות שלנו.

וחברות כרטיסי אשראי? אתה יודע איפה המאגרים הכי גדולים. יש לך דירוג של המאגרים הכי גדולים במדינה? אתה יכול להגיד מי המאגרים הכי גדולים?

אני יודע את זה מתוך היותנו מומחים במידע. אגב, חובת הרישום ההיסטורית הייתה אמורה לתת את הדבר הזה, אבל אני יכול להגיד לכם שבחדר הזה יש כ-300 מאגרי מידע חייבים ברישום. כי בכל טלפון סלולרי אדם מחזיק. אז חובת הרישום פשטה את הרגל מנקודת המבט הזאת. אנחנו משאירים אותה רק למקרים - -

לא, אבטחת המידע. השאלה אם אתה קשור לאבטחת מידע.

זה העיסוק המרכזי שלנו.

אז נגיד אחרי הפרשה הזאת שהראיתם לנו, מה היו הלקחים? מה עשיתם? באתם למשרדי הממשלה ואמרתם שאתם רוצים לוודא שהליך גירושים בין בני זוג ותזכיר קצין מבחן של לשכת רווחה בעיר פלונית על ילד לא דולף – מה אתם עושים בעניין הזה? הבחורצ'יק הזה יכול היה לחפור לכל אחד פה בחיים שלו.

נכון. אנחנו עושים את הפעולה בכמה מישורים: ראשית אנחנו מעדכנים, כמו שתואר פה, את החקיקה הרלוונטית. תקנות אבטחת מידע זה דבר מאוד חשוב מכיוון שאנחנו רואים עכשיו שתקנות אבטחת המידע האלה מניעים תהליכים בתוך השירות הציבורי של תאימות. במקביל כשאנחנו עושים פיקוח - -

איזה כוח יש לכם נגד הממשלה? תטיל עליו עיצומים כספיים?

אדוני, זה - -

על פי החוק הזה שאתם מציעים אין לכם שום כוח - - - הממשלה. הממשלה זה המדליפה הכי גדולה, והיא קושרת לכם את הידיים מאחורי הגב. זה אולי לא אתה צריך לענות לי, זה אולי תענה לי הגברת קורן.

החוק, כמובן, מסדיר את ההתמודדות אל מול גורמי הממשלה, וחלק מההסדרים בו, כמובן, חלים גם על הממשלה עצמה, וגם יש הסדר של התמודדות מול עובד ציבור או מנהל רשות ציבורית שנתפס אחראי - -

העברנו את החוק הזה. הסיפור הזה עם ההדלפה ממשרד הרווחה. נגד מי אתם פועלים ומה אתם עושים לו? לא במישור הפלילי שמגישים כתבי אישום. עיצומים כספיים – למי? משרד הפנים או משרד הרווחה?

עיצומים כספיים נכון להיום אין לנו, והמנגנון של עיצומים כספיים, כמובן, לא עובד מול המדינה.

העברתי כבר את החוק. איך אתם אוכפים - - -

אנחנו נותנים הוראות לראש הרשות הציבורית. אם אנחנו עשינו פיקוח וגילינו – אני מדבר עכשיו על מקרה קונקרטי, כי במקרה ספציפי יש עכשיו משהו שאני לא יכול לדבר עליו כי זה עדיין נמצא בתהליכים פנימיים. אבל אנחנו עשינו פיקוח בגוף ציבורי מסוים, וגילינו שרמת אבטחת המידע בו איננה ראויה. נתנו הוראות לגוף הזה איזה תיקונים הוא צריך לעשות, ועכשיו מתקיים - -

משא ומתן.

זה לא משא ומתן. אני בהחלט מסכים אתך שלנו, כגוף ציבורי אחד, לתת הוראות לגוף ציבור אחד זה דבר לא טריוויאלי, ואנחנו הכנסנו מנגנון שלדעתנו, הוא אפקטיבי. אם הכנסת חושבת שיש דברים אחרים - -

בוא נפתח את זה, בסדר? אנחנו לא באים אליכם בטענות, אתם גוף חדש. אבל אם יש משהו שהממשלה שולטת בו זה מידע. פה יש בעיה אמיתית. החשב הכללי, לדוגמה – לא אכפת לי שנזמין לפה את החשבת הכללית ונוודא שיש הוראות תקן, ובכל המכרזים יש הוראות ברורות לגבי הפעלת קבלני משנה ב-outsourcing של המדינה והרשויות השונות שלה כי כמות המידע שעוברת שם היא מטורפת, והיא באמת מסוכנת.

אדוני צודק לחלוטין. אגב, אנחנו עושים את התהליכים האלה פנימית. כרגולטור חדש וצעיר באזור כל התופעות האלה שתיארנו בסופו של דבר גורמות לזה שמכירים בסמכות שלנו ומתחילים לעשות תהליכים. זה לא דבר שקורה ביום אחד, זה נגזר גם מהסמכויות שיהיו לנו ומהיכולות שלנו לעשות דברים. זה כמובן נגזר גם מתקצוב, אבל זה לא המקרה הזה. אבל אנחנו רואים כבר שינוי. אבל זה שינוי ארוך טווח, ואין ספק שהשירות הציבורי, כמו גם המגזר הפרטי צריכים להבין את המשמעויות שנובעות מזה שכמות כזאת גדולה של מידע מנוהלת על-ידו. אני מסכים אתך שלשירות הציבורי יש ראיה אחרת מכיוון שהמגזר הפרטי רואה הרבה פעמים את המידע גם כנכס העסקי שלו, ולכן יש לו מוטיבציה להרוויח.

המגזר העסקי יודע שתהיה סנקציה ציבורית. אם דולף לבנק פרטים על חשבון של פלוני אז הלקוחות יעברו לבנק אחר. אצלך יש בעיה אולי של "ויקיליקס", אבל שם יש לך את מלמ"ב, והם יודעים לשלוט יופי בדברים.

פרשת האגרון היא "ויקיליקס" לצורך העניין. היא בדיוק "ויקיליקס".

נכון. השאלה אם רשות האוכלוסין הפיקה לקחים.

רשות האוכלוסין בהחלט הפיקה את המסקנה.

אני היועץ המשפטי של הרשות. תחת השקף "הגברת הוודאות והוזלת עלויות" באמצעות הבהרת הדין מסתתרת כל העבודה שאנחנו עושים בשנים האחרונות כדי לתת למי שרוצה להיות בסדר, את הכלים. צריך רק לזכור, ואני לא הולך להגן פה על מידת הציות של גופים ציבוריים בהכרח, אבל גופים ציבוריים בעיקרון עושים עוד משימה, ציבורית בדרך כלל, ובמשפט המנהלי עדיין עומדת להם אותה חזקת תקינות שבסך הכול הם לא פועלים למטרות רווח. אז אתה נתקל בדילמות שאנחנו נשמח לדבר עליהן במקום המתאים שאנחנו נתקלנו בהם – יורם, לצורך העניין, כאשר הודיע למשרד הביטחון שאופן שמירת המידע של משרד הביטחון על נכי צה"ל - -

אגף השיקום.

- - האופן שבו הוא נוטל את המידע לקבלנים, הסיטואציות שראינו והתלונות החוזרות ונשנות של נכי צה"ל שרואים פתאום שהם מקבלים פניות שיווקיות שיודעים - -

מה זה גופי ביטחון שעל פי החוק זה אסור לכם בכלל לבדוק אותם?

- - -

לא, כי משרד הביטחון הוא לדעתי אחד מגופי הביטחון האלה שאתה לא יכול לעשות להם כלום.

הנה, אגף השיקום.

בסיפור על משרד הביטחון אולי הגברת קורן תוכל לסייע בעניין.

אגב, משרד הביטחון היה הגוף הציבורי הראשון שאנחנו ביצענו בו פעולת רגולציה, כולל התליה של מאגר מידע. זה היה ב-2008.

כי לא העברנו את החוק.

מה קורה עם הסיפור של אגף השיקום? נכים התחילו לקבל פתאום פניות - -

הנכים התחילו לקבל פתאום פניות, ואז הגיעה יחידה שנקראת "רשם מאגרי מידע" והתחילה להציק למשרד הביטחון הגדול לגבי אופן התפעול שלו של המידע. אז לקח זמן עד שהם הבינו מה בכלל רוצים מהם, כי מי אנחנו בכלל לשאול אותם שאלות כאלה. ניתנו להם הנחיות, לאט-לאט עלינו בדרגים. בסופו של דבר הם הודיעו לנו שאם אנחנו רוצים על המצפון שלנו את זה שהמדינה תשלם קצבת נכות לאנשים שמתים כי הם לא יקבלו מידע ממרשם האוכלוסין כי זאת הייתה הסנקציה האפקטיבית, אז אנחנו ניקח את זה על המצפון שלנו. בקיצור, מאוד מסובך העניין הזה של התנהלות מול גופים ציבוריים, ואין לזה תשובת "בית ספר".

נכון. הבעיה היא שאז מגיע החוקר הפרטי שמביא לך את כל החומר, ואז - - -

אני גם אשלים, אדוני, שהמחלקה שלנו בתחום האכיפה המנהלית בפיקוח על גופים ציבוריים, מילת המפתח שלה היא התמדה ונחישות. אנחנו מתעקשים ומתנדנדים, מלווים את הגופים הציבוריים בהליך של תיקון הליקויים, אנחנו מוודאים שהגוף נכנס לתהליך עבודה, הכניס לתוכניות העבודה שלו את תיקון הליקויים שאנחנו מנחים. במקרה של משרד הביטחון גם היה שיתוף פעולה מן הצד השני של משרד הפנים שהחליט על הפסקת העברת המידע למשרד הביטחון נוכח הפעילות הלא תקינה.

עד עתה דיברתי על דברים שלא קשורים להצעת החוק, אבל אנחנו צריכים כלי אכיפה מודרניים ויעילים. הצעת החוק הזאת שמובאת בפניכם היא בדיוק התוצאה של מה שתיארנו בפניכם. אנחנו שמים בפניכם את הצורך שהיחידה הזאת שמטפלת בהיקף כזה ובשונות כזאת תקבל את כלי האכיפה, הפיקוח והחקירה שמותאמים לה.
אני אעביר עכשיו לעמית אשכנזי, היועץ המשפטי שיציג את העקרונות של הצעת החוק. בבקשה.

המצב שאנחנו נמצאים בו כרגע כתוצאה ממה שראינו בטכנולוגיה הוא שיש עומס מאוד גדול על הזכות לפרטיות. העומס הזה נובע מכיוון שהשימוש במידע היום, גם בגופים ציבוריים וגם בגופים עסקיים, הפך להיות דבר מאוד משמעותי בפעילות, הרבה יותר מאשר בעבר. הטכנולוגיה נותנת היום לגופים פרטיים יכולת ניתוח ופילוח של הלקוחות שלהם באופן שלא היה בעבר. זה יכול לתת להם יתרונות תחרותיים משמעותיים. לגופים ציבוריים המרחבים הטכנולוגיים החדשים – ואנחנו רואים את זה חדשים לבקרים, וחלק מהדברים האלה עוברים, כמובן, את הכנסת – נותנים גם לגופים הציבוריים כלים חדשים, והאיזונים הם הרבה יותר מורכבים.
במסע שאנחנו עושים בנושא הזה בשנים האחרונות – ויושבים פה אנשים בחדר שמלווים אותנו בתחום המקצועי – הקולגות מאיגוד לשכות המסחר, ואני יכול לדבר גם על שיתופי פעולה עם ארגון אמון הציבור, ISACA וגורמים נוספים שהם אנשי מקצוע – אנחנו נתקלים הרבה פעמים בעובדה שבשיח של אנשי מקצוע, של פרטיות ושל אבטחת מידע וטכנולוגיה יש לנו שפה משותפת נהדרת, הם מבינים בדיוק על מה אנחנו מדברים. הבעיה היא לקבל את תשומת הלב של מועצת המנהלים ושל המנהל הבכיר בארגון. חוזרת ונשנית האמירה הזאת מכל העוסקים בנושא הזה, והקהל הזה הולך וגדל בישראל – אלה הסוכנים של הנושא הזה, אלה הסוכנים של הביצוע בסוף. זה לא הפקידים בקומה 9 בקריית הממשלה שאמונים על הפרטיות בפועל, אלא הם רק המפקחים. הנקודה שצריך לחדד כאן היא שכולם מדברים על כך שבלי איום אפקטיבי הנהלות לא מסתכלות ברצינות על הנושא הזה ולא מפנימות את זה. אתה יכול להיות הכי נחמד, הכי מסביר – אתר האינטרנט שלנו מלא בדברים שאנחנו מדריכים: איך להתנהל מול קטינים, איך לעשות חוזה מיקור חוץ. את התהליך של תקנות אבטחת מידע התחלנו שנתיים לפני ההאקר הסעודי, ולשמחתנו, ההאקר הסעודי נתן את הרוח הגבית הנדרשת. במובן הזה הוא היה אירוע מאוד חשוב. אבל בלי זה כשמגיעה השעה לדעת כמה זה יעלה לנו לציית לפרטיות אז אנשים אומרים, תשמע, אולי עדיף לי לקנות עכשיו עוד עשרה לאפטופים במקום להשקיע בפרטיות, כי זה בא מהתקציב הזה.

כשאנחנו מסתכלים מה קורה סביבנו ברגולציות המתקדמות – ואנחנו רואים את עצמנו כרגולציה מתקדמת במובן הזה שאם אנחנו מבינים שהפנמה של נורמות עוברת דרך חדר מנהלים, אנחנו צריכים לראות מה עושים האחים הבוגרים שלנו גם בישראל וגם בעולם בנושא הזה. הכלי שעומד על השולחן הוא הכלי של האכיפה החילופית, העיצומים הכספיים. הכלי שיש לנו היום מכוח חוק הגנת הפרטיות, חוק העבירות המנהליות הוא כלי שיש לו בעיה. הבעיה המרכזית שבו – ודיברנו על זה לפני שנתיים בחדר הזה עם אדוני – היא שהוא חסום מלמעלה בסכומים. זאת אומרת שאם אנחנו רוצים למשוך תשומת לב של בנק או של חברת ביטוח, אז הסכומים האלה לא מרגשים אותם. יש לו גם מחיר מבחינת אותו גוף.
צוין פה אותו תיק נגד אותה חברת ביטוח. חברת הביטוח קיבלה מאתנו הודעה על אופן פרשנות שלנו של הדין והטלת קנס מנהלי. החברה שילמה את הקנס תחת מחאה ועתרה עתירה מנהלית על ההנחיות לתיקון הליקויים. מה מעניין בתהליך הזה? אני משער שהם לא בחרו ללכת למסלול הפלילי מפני שאף אחד שם לא רצה לקחת את הסיכון של הליך הפלילי. הם לא מיצו את הטענות שלהם במישור של זכות הטיעון שלהם על עצם תביעת הסנקציה כי ההסתה להליך הפלילי היא לא משהו שמישהו שם רצה לקחת אותו בחשבון. זאת עבירה של אחריות קפידה היום, לפי חוק הגנת הפרטיות. אנחנו מתנהלים עכשיו בבית משפט, וזה תיק מאוד מעניין כי הוא מזכיר לנו שוב מה זאת הגבלת המטרה של חוק הגנת הפרטיות. אני אגיד עליו מילה כי אני רואה שיש פה הרבה אנשים מהסקטור הבנקאי. דובר על כך שהבנקים, כמי שמחזיק כסף עבור הציבור הם גם אלה שאצלם אפשר לבצע עיקולים. אנחנו ראינו תהליך גדול בחוק ההוצאה לפועל שהאופן האפקטיבי של הטלת עיקול כאשר אתה לא יודע את חשבון הבנק של החייב היא באמצעות הטלת עיקול ממוכן. השלב הראשון של הטלת העיקול זה שאילתה שרצה לכל התאגידים הפיננסיים כדי לשאול האם בכלל האדם הזה מוכר. אז מה שקורה הוא שבתיק הספציפי הזה רצה שאילתה לגוף מוסדי שהאיש הזה לא היה לקוח שלו, ולכן חזרה תשובה שלילית. אבל – ואולי נוסיף עוד דבר אחד – שלפי התיקונים לחוק ההוצאה לפועל שהיו תנאי לדבר הזה, התאגיד הבנקאי מקבל תשלום עבור אותה פעולה שהוא מבצע כסוכן חברתי שמחזיק כספים. אבל אז הסתבר לפלוני שהתקשר לגוף הזה כדי לקבל הצעה לביטוח שהם מסרבים לבטח אותו מפני שלפני שבע שנים הייתה לו התראה על ליקויים. אז הוא שאל אותם איך הם יודעים את זה, והחברה הייתה מספיק בוטה, גם בפיקוח מולנו, להגיד שהיא יודעת את זה כי הם קיבלו את המידע הזה לצורך מימוש חובתה, לפי חוק ההוצאה לפועל, ולכן מותר לה להשתמש בו לצרכיה האחרים. אנחנו עכשיו מתנהלים בבית משפט מחוזי על הדבר הזה. אנחנו, כמובן, מחכים בכיליון עיניים לראות מה תהיה התוצאה, אבל זה מעיד גם על מידת ההרתעה של הנושא.

יש לי שאלה בקשר לזה: יש לכם סמכות להורות על ביאור חומר?

תיאורטית יש לנו סמכות כזאת. היא מאוד מוגבלת דרך זכות העיון והתיקון אם המידע איננו אקטואלי. אבל ממש סמכות כזאת במדויק אני לא משוכנע שיש.

זאת סוגיה שיש לדון בה.

אתה משוכנע שאין. זאת אחת הבעיות של החוק, שהוא כל כך מיושן.

אני לא רוצה להרחיב על זה כי יש לנו דיון על זה- -

אתה רוצה בעצם חומה סינית בתוך החברה?

לא, פה פשוט צריך לבאר.

אני לא בטוח אם לבאר או לא לבאר. מה שקבענו בסופו של הליך שימוע - -

זה בא במדיה אלקטרונית.

השאלה אם אתה מבאר את החומר או לא. אפשר לבאר?

לא יודע. איפה המפקח על הבנקים?

אנחנו כאן.

מה אתם אומרים על ההתערבות שלהם בנושא הבנקים?

הם מסכימים איתנו.

הסוגיה הזאת היא סוגיה מעניינת - -

אני לא יודע אם הם מסכימים איתכם. בוא נאמר ככה, הבנקים לא מסכימים לשום דבר.

אנחנו הגשנו עמדה משותפת לבית משפט. אני יודע את זה.

אוקיי, אבל עובדה שזה עוד לא הוכרע כי זה מסובך. הוא מקבל במייל הודעת התראה על לקוח, אז הוא צריך לדעת שהוא צריך להתעלם מהמידע? אז יגידו, למה התעלמת מהמידע. יש פה שאלות מסובכות. אחר כך הוא ישגע אותו – ידעת, עשית, לא עשית.

אדוני, אני חייב לחדד את זה כי זה יורד לשורש העניין, ואני ידעתי שהדוגמה הזאת תעורר עניין, ולכן הבאתי אותה.

נושא מאוד מעניין.

שים לב, זה רק עורכי הדין מתעניינים.

כבר ידוע שאני היועץ המשפטי, וכבר דיברנו על מה שיועצים משפטיים עושים. כבר הכול ידוע. העיקרון של הגבלת המטרה בדיני הגנת הפרטיות הוא העיקרון שבגללו בכלל נכנס המשטר במישור המשפטי. אבטחת מידע זה עניין מאוד מעניין, אבל זה נועד להבטיח את זה. אם אתה מקבל מידע למטרה אחת – לצורך העניין, אתה עכשיו חדר מיון ומגיע אליך אדם לקבל טיפול, ואתה שנייה אחר כך מציע לו שירותים משפטיים זאת הגבלת המטרה.

זה נכון, זה לא הגיוני. זה כמו בלוויות.

יש לנו גם מחלקת לוויות.

ברור. חברה קדישא מוכרים את המידע.

היה תיק פיקוח על חברה קדישא תל-אביב-יפו שנמצא שם עובד שהוציא מידע בצורה לא חוקית.

מה עם פיקוח על משרדי עורכי דין?

גם זה יש.

יש גם כזה. על תיק כזה בדיוק.

כמה שיותר. אנחנו בעד.

בטח שאתה בעד. אתה גם יכול לתת להם כתובת לאיזה משרד בעיקר.

במיוחד שהם עומדים במאחזים הבלתי חוקיים. הכול בסדר.

אחד-אחד?

לא, אין שם מאגרי מידע.

בקיצור, אנחנו גלשנו לעניין הגבלת המטרה כדי להציג את הדילמות בחדר המנהלים. דיברנו על הרגולטורים המקבילים, ניירות ערך, שוק ההון, הגבלים עסקיים בתור רגולציה שחלה על מגזרים רחבים ורוצה לכוון למנהלים.

דבר שני שאנחנו יכולים ללמוד ממנו זה מה עושים הרגולטורים המובילים בתחום שלנו בעולם. בחמש-שש השנים האחרונות יש מגמה של שינוי אופן האכיפה לאכיפה הרבה יותר אפקטיבית שבדרך כלל בארגונים האלה מלווה בשינוי ארגוני. אנחנו, למזלנו או לא למזלנו, התחלנו בשינוי הארגוני במובן הזה שכשהרשות הוקמה פחות או יותר רוב כוח האדם שלה גויס מחדש, ולכן מנסים לעשות את קפיצת המדרגה. אבל אם מסתכלים במדינות אירופה – צרפת, איטליה, אנגליה, ספרד – בכל המדינות האלה המנגנונים של האכיפה מאוד דומים למנגנונים שפותחו כאן בישראל על בסיס אותה ועדה של דוח "מקרורי" שהכנסת כבר מכירה היטב, כמובן, עם ההיבטים המקומיים החשובים.
מה יש בחקיקה הזאת? בעיקרון אנחנו כותבים בצורה ברורה ויותר מודרנית את סמכויות הפיקוח המנהליות; אנחנו מגדירים את אותו נושא שנקרא "אמצעי אכיפה מנהליים להפרות מאגרי מידע", שאני מיד אדבר על זה; אנחנו מדברים על הסדרה מסודרת של סמכויות החקירה הפליליות, לא בהשאלה.

זה החוק הזה.

זה החוק הזה. זה לא בהשאלה, אלא מכוח הדין ובמפורש; אנחנו מדברים על הגדרת עבירות במאגרי מידע. כאן ידידנו, עמיתנו המלומד מהפרקליטות חיים ויסמונסקי הוא שחקן חשוב לדיון הזה. כשהתחלנו את המסע של הגדרת עבירות במאגרי מידע – נושא שגם עלה פה מהערות של איגוד הבנקים – תמונת העולם שראינו הייתה מסוימת. אנחנו רצינו לסמן בעיקר שיש הבדל בין עבירה של פגיעת פרטיות לבין עבירת פגיעת פרטיות שבמאגרי מידע בגלל היקף החומר, בגלל פוטנציאל החשיפה, בגלל החומרה היתרה, ואפילו מבחינת הגדרת היסודות. בנושא הזה יש לסעיף 2 יתרונות שאנחנו בהחלט רואים אותם, ואנחנו נצטרך לדבר על כך בהמשך, אבל זאת לפחות הייתה נקודת המוצא. וכמובן, נושא של אחריות נושא המשרה בתאגיד וגם בגוף ציבורי. זה בגדול תוכן החקיקה הזאת.

הבניה והגבלה של שיקול הדעת המנהלי בעת קביעת הפרה והטלת סנקציה. מאוד חשוב להבין את הדבר הזה כי אחת הטענות שחוזרות על עצמן היא הטענה של "השופט והתליין" וה"מוציא לפועל" וכולי. חשוב לשים את הדברים באיזשהו הקשר.

האמת היא שלכאורה פה המשטרה צריכה לחקור.

אני רגע רוצה להציג את זה מהצד של הסמכות המנהלית הטכנית. בגלל תנאי הארץ ותושביה אנחנו מכירים שיש הבדל בין מכתב שיוצא לגוף שכתוב עליו – אתה, אדוני, מפר את הוראות החוק – כאשר הסנקציה היחידה האפקטיבית המנהלית שאנחנו יכולים להטיל על אותו גוף היא מחיקתו מרישום, במרכאות. מה זה "מחיקתו מרישום"? לסגור את הבאסטה. לצורך העניין - - -

ועבירה מנהלית עם קנסות יותר נורמליים ממה שיש היום?

אבל אי אפשר כי חוק העבירות המנהליות סגור מלמעלה. אני לא מומחה לחוק העבירות המנהליות, אבל ביררנו את זה - -

לא חייב שיהיה 2,000 שקל.

חוק העבירות המנהליות הוא רלוונטי כאן משום שהוא קובע את הגבול המקסימלי של הקנס המנהלי כגובה הקנס המקסימלי של צד העבירה. זה לא הנימוק.

אז מה הנימוק?

אין לך בעיה. אתה צריך להסביר למה כלי האכיפה שיש היום, הפליליים והמנהליים, שהם רלוונטיים מבחינת זכויות ההתגוננות של הבן אדם – למה השתמשת בהם? אתה צריך להראות לוועדה שהשתמשת בהם, והם כשלו. לנו יש גם הסתייגויות מהמנגנון של עיצומים, במיוחד כלפי שוק בלתי מסוים של כל אזרחי המדינה.

אני אסביר את הדברים באופן מאוד כללי, ולדעתי, מנקודת המבט הסובייקטיבית שלנו אף על פי שבסופו של דבר מי שאמון על הדבר הזה זאת באמת רביד, וטוב שהיא תיקח את המושכות מכאן.

אנחנו מבינים שכאשר הכלי הוא מחיקה מרישום או מכתב התראה במקרים רבים מאוד אי אפשר להשתמש במחיקה מרישום כי אתה לא יכול לבוא לחברה סלולרית שמפרה באופן שיטתי את ההנחיות שלך לקיים תהליכי בקרה ודברים מהסוג הזה – ויש לנו דוגמאות כאלה - -

היא מקבלת רישיון, דרך אגב.

אבל גם ברישיון שלנו. אנחנו נגיד לה להפסיק לעבד מידע? זה לא יעלה על הדעת. נגיד לבנק להפסיק לעבד מידע? זה לא מתקבל על הדעת.

זה גם שוק מסוים. אבל אני לא מקבל רישיון.

כל עוד אתה לא פועל לצרכים עסקיים אתה גם לא מעניין אותנו. השאלה אם אתה אוסף את המידע הזה במסגרת פעילות עסקית. אני רוצה לחדד את זה שוב. אני אתן הדוגמה של "הרגולציה הרכה". אני בוודאי מייצג את הרגולציה הרכה, אני מתכתב עם עורכי דין, ואנחנו יושבים ומדברים על הדברים, ואיך לעשות את הדברים נכון. אז עושים פיקוח בחברה סלולרית מסוימת, פיקוח שלוקח כ-200 שעות בערך – זה די הרבה זמן – ומבררים, ומגיעים לחשיפה של כ-30% מהתהליכים באותה חברה, שזה די הרבה, ומגלים שם אינדיקציות לתהליכים לא תקינים. עכשיו צריך לתקן את כל המאה אחוז. כותבים מכתב לחברה: "נא לתקן את התהליכים", וזהו. במדינת ישראל כל עוד אין בצד הדבר הזה איזושהי סנקציה אמתית אז הדברים נמשכים – קיץ, חורף, סתו, אביב. זה המצב.

למה חוק העבירות המנהליות הוא כבר לא הכלי הרלוונטי ברגולציה הישראלית ב-2012?

אבל השתמשתם בו? ביטלתם קנסות?

כן, השתמשנו.

כמה קנסות הטלתם בסך-הכול, אפילו מספר מוחלט.

וכולם הלכו לבית משפט בערר על זה?

מה היקף הקנס?

אלפי שקלים.

אבל אם זאת חברה ציבורית היא צריכה להודיע על זה לבורסה. כלומר יש לזה אפקט ציבורי מעבר לקנס.


מפרסמים את זה או לא?

כן.

מרגע שהכנסת הקימה מוסד רגולציה שהתפקיד שלו לגשר בין הדיון בבית המחוקקים לבין המציאות המיוזעת, והדרך שלו לעשות את זה היא לפרש את הדין ולתת הנחיות למפוקחים – ככה זה עובד. על זה אני מניח שאין מחלוקת, וגם מובן שיש פה צורך במוסד רגולציה כי יש פה עניינים של מומחיות, ויש פה עניינים של פרשנות, ויש פה עניינים של פרטים. עכשיו השאלה היא איך הרגולציה הזאת גורמת לשינוי התנהגות אצל המפוקח. נוסיף עוד דבר אחד שהמשפט המנהלי מסתכל על הליך הפעלת שיקול הדעת של הרגולטור לפי הכללים של המשפט המנהלי באשר הם שם; שלא נגמר בקלון, כמובן.

נכון, אבל אתם מבקשים גם את הסמכויות של הבירור וגם סמכויות חקירה וגם סמכויות עיצומים. זה לא חייב שכל החבילה תהיה ביחד. כל אחד מהם צריך להצדיק. "אחד מהם" זה די פשיטא, אבל "אחד מהם" הוא לא די פשיטא.

אבל אז אנחנו לא ה"תליין" כי זה ברור לחלוטין. אם זה לא ברור – והנה, יושב פה חיים ויסמונסקי שראיתם שהוא עצמאי לחלוטין. אנחנו כפופים ליועץ המשפטי לממשלה ולפרקליט המדינה.

אבל יש כלי אכיפה היום.

מה? זה מפחיד אותי.

למה?

כי אני יודע שמתייחסים לזה נורא ברצינות.

אבל אם זה כמו הרשות לניירות ערך לכאורה? הוא כאילו נישתי.

אנחנו לא יכולים להגיש כתב אישום בלי פרקליט. זה ברור. ויש פה עוד הבניה של שיקול הדעת באישור היועץ המשפטי לממשלה או משנה שלו. זה ככה כתוב.

אבל עולה השאלה למה המשטרה לא צריכה לעשות את זה.

עצם הבחירה בין כלי האכיפה – למשל, התראה במקום עיצום – והדבר הזה זה הכול נהלים שבאים במקום אחר בכלל.

למשטרה הרי יש מיומנויות גדולות בחקירה בתחום המחשבים, נכון או לא נכון? או שתגידו לי שגם זה לא נכון?

למשטרה יש מיומנויות גדולות בתחום החקירה של המחשבים, אבל הדרך שאנחנו מסתכלים על זה היא כזאת – זה כמו שאם אתה עכשיו מחפש בחברת מחשבים איש מחשבים, ואתה מפרסם הודעה בעיתון, אף חברה אזרחית נורמלית לא כותבת "דרוש איש מחשבים". אין כזאת מודעה בלוחות ה"דרושים". תמיד כתוב מתחת לזה ספציפיקציה של התפקיד. הוא צריך להיות בעל רקע במערכות חומרה, הוא צריך להיות בעל רקע בתוכנה, הוא צריך להבין בדברים. אנחנו טוענים שלהיות חוקר מחשב מיומן, לפי ההסדרה היום של משטרה, זה מצוין וטוב. יש בכל זאת התמחות חקירתית שהתיק הזה מקדים אותה בנושא של בסיסי נתונים.

בוא נשמע את המשטרה.

תכף נשמע את המשטרה, אל תדאג.

אלעזר פה? טוב, בחייכם, אין לכם סיכוי. יש עוד מומחה כמו אלעזר?

זה נכון.

העובדה היא שכן קיבלתם הסמכה מהשר לביטחון פנים. הוא, כנראה, סבר שאתם יכולים לסייע לו.

זאת גם הצעת חוק שעברה בוועדת שרים לחקיקה.

זה גם מוכיח את עצמו. זה לא אומר שזה לא מוכיח את עצמו. הכול ברור. אבל יש פה דילמה שעולה לגבי היקף הסמכויות של רשות שנמצאת במשרד המשפטים, והיא לא נמצאת במשטרה.

במיוחד הקטע של המשטרה שהם באים אלינו ומדברים על ביזור סמכויות החקירה שלהם. זה נושא שעולה בוועדת חוקה, והוא נושא רוחבי. צריך להצדיק כל פעם כשרוצים - - - את סמכויות החקירה, גורם אחר.

אנחנו בהחלט חושבים שצריך להצדיק. המקרה הזה הוא בדיוק המקרה המוצדק, אבל אנחנו נדבר על זה.

רביד, את רוצה לדבר על עיצומים כספיים? נראה לי שזה הזמן.

אני תמיד שמחה לדבר על עיצומים כספיים, אבל אני מבינה שעכשיו אנחנו מדברים על סמכויות אכיפה פליליות ולא דווקא על סמכויות במישור הרגולטורי. זה מה שהוועדה שואלת.

אוקיי. אם אנחנו מדברים על סמכויות פליליות יש לנו בהחלט תשובות. מילי, תספרי קצת, בבקשה.

היו על זה דיונים לפני שלוש שנים. הסברנו את המומחיות הייחודית שלנו, כמו שעמית אמר. "מחשבים" זה שם כולל מדי. אנחנו מתעסקים בנישה מורכבת, וצברנו ניסיון. אנחנו כבר לא בלון ניסוי שנראה אם הוא מצליח או לא מצליח. במשך שלוש השנים האחרונות צברנו מומחיות בתחום הזה. יש כבר מציאות, ויש כבר אנשים שעובדים ומצליחים. חלק מהדברים, כמו שאמרתי קודם, אני לא יכולה לחשוף פה עכשיו. היו לנו דיונים עם המשטרה, והמשטרה השתכנעה אכן שנוכח גם הרצף עם האכיפה המנהלית בתוך גוף רגולטורי כדי לתת מענה לכל הקשת – החל בהפרה טכנית קלה וכלה בגנב של מרשם האוכלוסין, שאין ספק שצריך לטפל בו בכלים פליליים, לתת לנו את הסמכויות הפליליות הנוגעות לחוק הגנת הפרטיות. ראש - - - חתם על זה. זה נעשה כבר שלוש שנים, הם אפילו הגיבו לנייר של הצעת חוק אכיפה, ולא העלו מעולם את הטענה שהם חוזרים בהם, ואם חוזרים בהם אז אני לא יודעת למה. אבל הם לא העלו את הטענה הזאת.

נוכח הטענה של הביזור אפשר לומר, ואנחנו נצטרף לזה בשמחה, שאם תהיה רביזיה וכל גופי החקירה החוץ-משטרתיים, והגבלים עסקיים, וניירות ערך ואנחנו – כולם ייכנסו חזרה למשטרה זה משהו אחד.

זה לא נכון.

זה לא קשור בכלל.

או שכולם או שאף אחד? כל אחד צריך להצדיק את זה.

אני אומר כמה מילים כלליות כי אני באמת חושבת שנכון להיכנס לזה בשלב מאוחר יותר כשנתחיל לדון בסעיפים וגם תראו את התמונה הכללית.

אין בעיה. אתם רוצים בשלב מאוחר יותר? ניכנס לזה בשלב מאוחר יותר, אין שום בעיה.

רק אמירה כללית לגבי התפיסה שלנו כשהתחלנו לגבש מול הרשות את הסמכויות הנדרשות – בעצם, את כלי הפיקוח והאכיפה שנדרשים להם לצורך ביצוע תפקידם. בין היתר מה שעמד לנגד עינינו זה גם חוק הגנת הפרטיות בפורמט הקיים שלו שבעצם כבר היום מעניק סמכויות שנועדו לבדיקה של עבירות פליליות בלי להעניק את סמכות החקירה. יש כאן סמכות חיפוש, יש כאן סמכות תפיסה – כבר היום בחוק הקיים. זה כבר מבחינתנו היה אינדיקציה לכוונת המחוקק בשעתו ב-1981.

גבי, את יושבת פה יותר מדי זמן. למחוקק יש בכלל כוונה למשהו? הוא מבין מה הוא עושה בכלל?

כן, יש לו כוונה.

לא דיברתי על היועצים המשפטיים, דיברתי על המחוקק.

מהיכרות אתך אני יודעת שיש כוונות למחוקק.

אני באמת חושבת שנוכל לפרט את ההצדקות בשלבים מאוחרים יותר. אני מציעה שהרשות תמשיך כרגע עם ההצגה הכללית של הדברים.

תודה. צודקת.

המודל שאנחנו יישמנו ויושם עלינו בעצה אחת עם מחלקת ייעוץ וחקיקה בתוך העולם של האכיפה המנהלית על רקע הטווח הגדול של מפרים פוטנציאליים – ופה צריך להבין שגם לפעמים מפר פוטנציאלי קטן יכול לגרום הרבה נזק. בהאקר הסעודי אנחנו ראינו את זה בתיק פיקוח שהיה חלק מתיק החקירה, כאשר אתרים קטנים של מסחר אלקטרוני, בעצם זה שהם לא הגנו על עצמם כראוי גרמו לחשיפה של הלקוחות שלהם, ועכשיו התאגידים הבנקאיים ותאגידי העזר, חברות כרטיסי האשראי – כל המערכת נכנסה לסחרחורת, שלא לדבר על האנשים עצמם שלא יודעים מה לעשות.
אגב, להערה של היושב ראש זה מאפשר לי להגיד דבר מאוד משמעותי על הקשר בין פרטיות לבין אמון. אתה אומר, למה שאנשים ישתמשו באתרי האינטרנט בכלל? ואנחנו אומרים הפוך: אנחנו חושבים שככל שתהיה רגולציה טובה, ואנשים יפנימו את הסיכומים ואתרי האינטרנט, לדוגמה, אבל לא רק – יהיו מאובטחים וייתנו את השירות ברמה ראויה – זה מעודד את השימוש של אנשים, וזה לא דבר רע, זה דבר טוב. אבל האנשים צריכים להגיש בטוחים כשהם עושים את זה. זה התפקיד של הרגולציה פה.
מבחינת ההבניה אנחנו בעצם עשינו שלוש רמות של הפרות: הרמה הראשונה היא הפרת הוראות בסיסיות לפי פרק ב' כלפי הרשם. זאת הרמה הטכנית יותר, היא מפנה לנורמות, שחלקן, כפי שאתם כבר מבינים, כנראה, יעברו מהעולם בקרוב, ואז נעשה את השינוי המתאים; הרמה השנייה עוסקת בהפרת הוראות רגולציה שמטרתן הגנה על מושא המידע. כאן בחוק הגנת הפרטיות כבר היום יש סעיפים שמדברים על החובות של מי שאוסף מידע ושל מי שמשתמש במידע כדי להגן על זכויות של נושא המידע, בין היתר – השקיפות – צריך להגיד, למה אתה אוסף את המידע? מכוח איזו סמכות אתה אוסף את המידע? אם אתה פונה למישהו בדיוור ישיר, כלומר אתה אומר לו "שלום, אפשר להציע לך?", אתה צריך לתת לו כל מיני פרטים על הדבר הזה כדי שהוא יממש את זכויותיו. אז אלה הוראות רגולציה שמטרתן הגנה על מושא המידע, לכן עלינו ברמה.

הרמה השלישית היא רמה של שימוש לרעה במידע כבר, שפה אנחנו מתקרבים למדרג ההפרות הגבוה שבו מתעלמים, שלא לומר, מתכוונים, לעשות את אותו שימוש לרעה במידע. זה פרמטר אחד. הפרמטר השני הוא מדרג של סוגי מידע. אנחנו הבחנו בין מידע מסוג אחד לבין מידע מסוג שני – גם זאת הבנייה של שיקול הדעת - -

- - - שימוש לרעה במידע זה גם שימוש שלא לצרכים שאספתי אותו.

שימוש שלא למטרה. בדיוק.

הדין הישראלי הוא מאוד משמעותי בקטע הזה, ופה הצרכים או המטרות יכולות לבוא משני מקורות: מקור אחד זה החוק – זה רלוונטי בעיקר כשפועלים מכוח חוק או לפי חוק, לגופים ציבוריים; ומקור שני זאת אותה הסכמה שנתן האדם בעת ההסכמה לאיסוף. בסוגריים צריך לציין שהדין הישראלי עבר שינוי יפה ברמה הפורמלית – ונדבר עליו בהמשך ברמה הפרקטית – שהשתמש בתיבה "הסכמה מדעת" בדומה לחוק זכויות החולה. כלומר המחשבה של המחוקק היא שכאשר אדם מסכים לשימוש במידע על אודותיו הוא צריך להיות באותו מקום שבו הוא מסכים לטיפול רפואי. ואנחנו שוב, לצערנו, צריכים לקלקל קצת את השמחה מהניסיון גם שלנו כמטופלים אצל רופאים ברגעים שצריך לתת הסכמה מדעת, אבל גם כצרכנים שצריכים לתת הסכמה מדעת בכל מיני סיטואציות. זה מעלה שוב את הצורך ברגולציה שתסייע לאותם צרכנים באותם רגעי חולשה.

עמית, שים לב שיש לך עוד 8 דקות.

מעולה, זה בדיוק מה שאני צריך.

כי אחרת אתה תמשיך לנו את הסרט בפעם הבאה.

אז בוא נמשיך הלאה, זה בסדר גמור. זה השקף החשוב, ואני חושב שאני אסיים אתו אפילו. סוג הכלים הם כלים של עיצומים כספיים – התראה, עיצום, התחייבות להימנע מהפרה, וכמובן, בסעיף המידתיות האולטימטיבי – תקנות הפחתה שאמורות לאפשר במקרה שהעיצום הכספי, אף על פי שנגרם העיצום, הוא אינו מידתי על המפר הספציפי, גורם לו למכור את הבית, לפשוט את הרגל – התקנות האלה אמורות לפתור את זה. זאת הייתה התבנית.
על עבירות פליליות דיברנו. הדבר האחרון שאני רוצה לדבר עליו כי הוא גם סוגר לנו את המעגל עם נושא של אחריות מנהלים וגופים ציבוריים זה השקף האחרון.

אחריות נושא משרה בתאגיד – גם כאן אנחנו נתחיל קודם כול עם תאגידים. אנחנו

רואים קשר ישיר בין הטלת החבות בדיעבד על מנהלים שלא קיימו חובות פיקוח, לבין הנורמות שאנחנו נדריך אותם בהם בצמצום חובת הרישום לגבי איך שהם צריכים להתנהל. בהקשר הזה חשוב לומר שאנחנו מנסים מאוד לא להמציא את הגלגל. במובן הזה – ופה בחדר יש דווקא ייצוג גדול לסקטור הזה – כשאנחנו מסתכלים על הרגולטורים, הפיקוח על הבנקים, אגף שוק ההון, שמוציאים רגולציה מאוד ענפה בנושא של התנהלות אחראית בחדר הישיבות של התאגיד וגם בנושא אבטחת מידע, מה שאנחנו עושים בפועל זה הוראות התאמה בלבד. כלומר אנחנו בעצם לוקחים את ההוראה שלנו שאולי טובה למי שאינו מפוקח על-ידי רגולטור אחר, ואומרים לאותו גוף, אתה תעשה מה שהרגולטור השני אמר לך, אבל תתאים את התהליכים בכמה דגשים שלנו, של פרטיות, לתהליכים שלך. יש לזה דוגמה פומבית, תהיה לזה בקרוב עוד אחת בהנחיית מיקור חוץ שלנו. יש לה נספח – אופן התחולה על גופים בנקאיים וגופים שאגף שוק ההון מפקח עליהם, ומי שרואה את מה שנשאר מבין שאנחנו עושים את זה גם משיקולי יעילות של המפוקח. אין לנו רצון "לשגע" אותו עם הרבה רגולציה.


ברשות ציבורית יש סעיף שמבוסס על התבניות שעמדו לרשותנו: החובה לנקוט אמצעים שמטרתם הפסקת ההפרה, העבירה או מניעת הישנותה על ידי מנהל לפעמים לא ראוי להטיל על-ידי מנהל הרשות הציבורית. אבל כתב האישום הוא באישור היועץ המשפטי לממשלה. אני רק מתאר מה שיש בהצעת החוק, אדוני, וזה מכיוון שלעובדי ציבור יש אותה חזקת תקינות, ויש להם שחקנים נוספים לצדם. אני מצטער שאני טוען בשמם כאן, אבל יש אגף תקציבים, יש החשב הכללי, יש נציבות שירות המדינה. לפעמים לא ראוי להטיל על המנהל אחריות כאשר הוא לא מסוגל לקיים אותה בגלל אילוצים כאלה.

לא הבנתי, יש מצב שמדינת ישראל לא מקיימת את החוק בגלל כסף? לא קיים דבר כזה.

אני חושב שאני לא יודע לענות על זה.

הכרעה לא צריכה להיות רק בידי הרגולטור, אלא יש מקום שהיועץ המשפטי לממשלה יהיה שותף לשאלה, האמנם.

בקיצור, אין דין שווה בין השוק הפרטי ל - - - לעולם אין.

בדיוק.

חשבתם על תמריצים אחרים, כמו תמריצים כלכליים כלפי הרשות הציבורית, כמו תובנות ייצוגיות או תמריצים אחרים?

אפילו כתב אישום בנציבות שירות המדינה, בבית הדין של עובדי המדינה.

בעניין הזה אני חושב שלא נכון שאנחנו נרחיב כי זאת שאלת רוחב שקשורה בהרבה תחומי רגולציה אחרים. כמובן, אנחנו חושבים שפרטיות במידע הוא הדבר החשוב ביותר, הרגיש ביותר, והבלתי הפיך ביותר למול דברים אחרים. אבל אני מעדיף שיענו על זה קולגות שלנו ממשרד המשפטים. אבל אנחנו כן נחשוב לקראת הדיון שיהיה בזה האם יש בסל הכלים הרגולטוריים דברים נוספים שאולי אפשר לשלב פה שאינם קשורים.

יש רשות דומה לשלכם? כי ניירות ערך לא מגישים כתב אישום נגד עובד מדינה - -

באיזה מובן דומה, אדוני?

קהל.

הרשות לסחר הוגן די דומה. גם ברגולציה של הגנת הסביבה מדובר באותו ציבור. יש צמצום שלא נחזה לעין.

אתם הצגתם את אותו מודל או לא?

אנחנו לקחנו בחשבון שמבחינת הציבור המפוקח שהפיקוח עליו הוא לא פיקוח דרך רישיונות.

תודה רבה. אתה רוצה להגיד משהו, יורם?

תודה רבה על הקשב.

תודה רבה, רבותיי. אנחנו נשוב ונדון.
<הישיבה ננעלה בשעה 10:40.>