עו"ד עמית אשכנזי, רמו"ט: "השמירה על הפרטיות בישראל מורכבת יותר מבשאר העולם"

"המציאות בישראל בהיבט השמירה על הפרטיות מורכבת יותר מבשאר מדינות העולם", כך אמר עו"ד עמית אשכנזי, רשם הגורמים המאשרים ברמו"ט – הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים.

אשכנזי דיבר אתמול (ד') במפגש פורום CISO למנהלי אבטחת מידע של אנשים ומחשבים. מנחה המפגש היה יו"ר ועדת ההיגוי של הפורום, אבי ויסמן, מנכ"ל שיא סקיוריטי.

עו"ד אשכנזי הביא כדוגמה לבעייתיות שבשמירה על הפרטיות מקרה בו אושפז סלבריטי בבית חולים. אשפוזו הביא לכך ש-160 איש צפו בתיקו הרפואי, כולם כאלה שמורשים לעשות זאת – רופאים ואחיות. כתוצאה מזה, הרשומה הרפואית האלקטרונית שלו נחסמה לגישה ופרטי הטיפול בו הועברו לנייר.

לדבריו, "קיימת חפיפה בין אבטחת מידע ושמירה על הפרטיות. מה שמנחה את הטיפול בתחום הוא חוק יסוד: כבוד האדם וחירותו". לצד החוק, ציין, יש הנחיות ותקנות שונות לתחום, ביניהן תקנות אבטחת מידע, והנחיות שעוסקות במיקור-חוץ, העברת מידע לתקשורת, העברת מידע בתוך גופים ציבוריים, חופש המידע והפרטיות והנחיות לטיפול במאגרי מידע.

"לרמו"ט, כרגולטור בתחום ההגנה על הפרטיות, יש שתי רגליים: להעלות את מודעות ההנהלה של הארגון ולשקף את אחריותה לתחום ההגנה על הפרטיות ולניהול סיכונים, וכן להתאים את החוקים השונים הנוגעים לתחום, לפי מגזרים", אמר עו"ד אשכנזי.

הוא הוסיף שאחד הלקחים של פיגועי הטרור בספטמבר 2001 היה "הצורך לשתף מידע בין סוכנויות הביון ורשויות שונות. מנגד, האמריקנים חרדים לחירות הפרט ומידע הוא כוח. נוצר ניגוד, כי נדרש להפנים את עקרונות הפרטיות. המענה לכך היה הקמה של משרד הממונה על הפרטיות במחלקה להגנת המולדת בארצות הברית, שעוסק בתחום באופן פומבי, עם תהליכים מוסדרים". לדבריו, "קשה למצוא מוסד מקביל לכך באירופה. האירופים לא הפנימו את מה שנעשה בתחום בארצות הברית".

"המסקנה", על פי עו"ד אשכנזי, "היא שנדרשים כלים להגנה מפני האויבים בעלי היכולת להפר את הפרטיות ולגנוב מידע, ומנגד – נדרשת אחריות מוגברת מצד המגנים על מה שהם עושים". לדבריו, התנועה הדלילה של ארגונים למודל שימוש במיחשוב ענן "נובעת בין השאר מהחשש של ארגונים שמעבירים מידע מחוץ להם, בעל כורחם".

בהתייחס למצב בישראל הסביר עו"ד אשכנזי כי "יש הסדרים איך גופי הביטחון אוספים מידע, תוך מענה לצורך לעשות זאת לפי החוק. הדבר מעוגן בחוק האזנות סתר ובחוק השב"כ. לשב"כ יש תקנות שונות מהתקנות של המשטרה, כאשר כל אחד מהגופים רוצה לבצע האזנות". לדבריו, "קיימים מנגנוני בקרה על הפעילות בתחום, נדרשים אישורים של בכירים רמי דרג לביצוע הפעולות הללו. יש מעורבות ופיקוח של היועץ המשפטי לממשלה, או נציגיו. זאת, לצד פיקוח פרלמנטרי ושיפוטי".

"אנחנו מנסים לייבא את תפיסת משרד הממונה על הפרטיות בארצות הברית לגופים הביטחוניים אצלנו", אמר. "צריך להיות גורם פנימי שפעילותו תוקדש לנושאים אלה, כזה שמסתכל על ההגנה על הפרטיות ולא רק על אבטחת המידע. זה מה שמנחה את הגורם האבטחתי, והוא מצוי בקשר מול גורמים חיצוניים".

עו"ד אשכנזי סיכם באמרו כי "לגורמי ביטחון יש היבטים ייחודיים בפעולתם. יש לפעול למנוע שימוש לרעה או לצמצם את סיכוני המידע תוך שקלול והתבססות על מאפייני פעילותם של ארגונים אלה. קיימים מנגנוני בקרה מובנים בשלבי התהליך ויש צורך בחיזוק הבקרה הפנימית. זו תסייע לעמידה במשימה".

"השמירה על הפרטיות – מטרה ולא מכשול"
עו"ד יהונתן קלינגר, המתמחה בדיני מידע ופרטיות, אמר במפגש כי במקרים רבים מתייחסים לשמירת הפרטיות כאל מכשול, בעוד שנדרש להתייחס להגנה עליה כאל מטרה לכשעצמה.

הוא הביא כדוגמה את אגירת הפרטים על הנוסעים בתחבורה הציבורית באמצעות כרטיס הרב קו. "יש משמעות מבחינת הפרטיות לעובדה שנאגר מידע על תנועת הנוסעים באוטובוסים", אמר. "הורים לא הייתם רוצים לדעת, חלילה, שהמידע אודות הילדים שלהם, שמגיעים הביתה, לבית ריק, אחרי הנסיעה באוטובוס, יגיע לידי פדופיל".

"יצירת מאגרי מידע מיותרים ולא נחוצים היא בעלת משמעות בהיבטים רבים: אישיים, פליליים וביטחוניים", ציין עו"ד קלינגר. "יש גורמים רבים שיכולים לעשות שימוש במאגרי מידע, החל מהבעל השוכר את שירותי החוקר הפרטי לטובת מעקב אחרי אשתו, עבור בפדופיל וכלה בטרוריסט".

כך, אמר, "ספקיות האינטרנט לא באמת צריכות את כתובת ופרטי ה-IP של הגולשים או את היסטוריית הגלישה שלהם. עולה להן כסף לאחסן את כל הנתונים הללו, הרבה מעבר למה שנדרש מהן. חברות הסלולר מרוויחות מיליונים כי המשטרה משלמת להן על כל שאילתא. הבעיה היא לא השימוש במידע שלשמו הוא נועד אלא בשימושים אחרים, מסחריים או לא חוקיים. לכן, בשלב הראשון יש להחליט מה עושים, אילו פרטי מידע אוספים ומה לא".

לדברי עו"ד קלינגר, הדיון הציבורי על מאגרי המידע כולל שתי הנחות יסוד שגויות: "האחת היא שלא נעשה שימוש לא ראוי בנתונים והשנייה היא שמידע סטטיסטי הוא רק מידע סטטיסטי. מפעם לפעם מתפרסמים מקרים בהם שוטרים עושים שימוש בפרטי מידע שמצויים במאגרי המשטרה שלא לטובת עריכת חקירות. מבדיקה שערכתי, בין 25%-15% מכלל העבירות של עובדי מדינה הן שימוש פסול במידע. לכן, המסקנה היא שאין לשמור מידע שלא צריך אותו". לגבי ההנחה השנייה אמר עו"ד קלינגר כי "יש דרכים רבות להצליב מידע חלקי עם מידע חלקי ולהגיע לתובנות ממוקדות ופרטניות על אנשים, אבל התוצאה זהה: ניתן להגיע לפרטי מידע שהם לכאורה חסויים".

"הבעיה מתחילה כשאתה שומר מידע", סיכם עו"ד קלינגר. "קיימת נטייה שגויה לחשוב לפיה המידע ייאסף, יטופל ולאחר מכן יישמר כיאות ותבוצע עליו בקרת גישה. זה לא נכון. עקב כך, נדרש לטפל במידע תוך שילוב הפרטיות כמרכיב חשוב כבר מהההתחלה: Privacy by Design, באופן שנועד להגן על פרטיות האנשים עליהם נאסף המידע, תוך מזעור הסיכונים לפגיעה בהם".