פנקס הבוחרים דלף? החוק בכלל לא חושב שזו בעיה

חקיקה מתקדמת להגנה על הפרטיות מגדירה בצורה רחבה מאוד את המושג "מידע אישי". אצלנו, לעומת זאת, עובדים עם חוק מ-1981 ועם רשות ממשלתית מוחלשת כדי להקל על טרגוט בוחרים

חיים רביה
חיים רביה
מעבר לטוקבקיםכתוב תגובה
הדפיסו כתבה
השקת קמפיין הליכוד בירושלים, בחודש שעבר. נתניהו קרא לחברי המפלגה להוריד את האפליקציה
השקת קמפיין הליכוד בירושלים, בחודש שעבר. נתניהו קרא לחברי המפלגה להוריד את האפליקציה צילום: אמיל סלמן
חיים רביה
חיים רביה

הידיעות על דליפת פנקס הבוחרים של מדינת ישראל לאינטרנט בעקבות פרצת אבטחה באפליקצית "אלקטור", המשמשת את הליכוד בבחירות, מעוררות חלחלה. זהו יום הכיפורים של הפרטיות בישראל. חמורה מכך יכולה להיות רק דליפת המאגר הביומטרי המושמץ שהקימה המדינה עם טביעות האצבע ותמונות הפנים של אזרחיה. שמותינו, כתובותינו הרשומות במשרד הפנים, מספרי תעודות הזהות שלנו - כולם ברשת. גם מספרי הטלפון של חלקנו וזהותנו הפוליטית.

עם הדליפה הזו צריך להתמודד חוק הגנת הפרטיות אלא שהוא מיושן עד כאב. כעת, יש מקום לחשוד שהמצב הזה נוח לפוליטיקאים. חוק עתיק ולא רלבנטי מתאים לצרכי שלטון הרוצה לפלח את בוחריו, לטרגט אותם, להביא בפניהם פרסומים שיניעו אותם לבחור בו בקלפי או להימנע מבחירה אם אינם תומכים בו. הפרטיות לשיטתם היא עניין לאכיפה על חברות מסחריות, רצוי לא גדולות וחזקות מדי, לא על פוליטיקאים.

תקנות שנכנסו לתוקף ב-2018, מכוח החוק המיושן, מחייבות לאבטח מאגרי מידע. מה שהוא רק "מידע אישי" שאינו מצטרף לכדי "מאגר מידע" אינו חייב באבטחה. אך האם פנקס הבוחרים שלנו הוא מאגר מידע?

חקיקה מתקדמת אינה מתלבטת כלל בשאלות כאלה ונסובה סביב הגדרה רחבה מאוד של המושג "מידע אישי". החקיקה של האיחוד האירופי (GDPR) קובעת כי מידע אישי הוא כל מידע המזהה אדם או עלול לזהותו. כך נהוג גם בקליפורניה (CCPA). יתרה מכך, החקיקה המתקדמת לא עוסקת כלל בשאלה מהו המידע. היא גם לא מסווגת כ"מידע אישי" רק את מה ששמנו מופיע עליו. אם למשל בצמוד למידע יש כתובת מחשב זמנית שהוקצתה לנו עבור גישה לאינטרנט, או מספר החומרה הייחודי של הסמארטפון שלנו, או אולי מספר אקראי שהוקצה לנו לצורכי ניסוי רפואי בבית חולים - זהו "מידע אישי", מפני שגם בהיעדר שמנו אפשר יהיה לאתר אותנו באמצעותו.

ובישראל? החוק מ-1981 מגדיר "מידע" באופן מאד מצומצם: "נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו". האם מספר תעודת הזהות הוא "מידע" כהגדרתו בחוק? גם אם יש פסיקה המשיבה על כך בחיוב, זוהי פסיקה האונסת את לשון החוק למציאות החיים המודרנית, המכירה בכך שמספר תעודת זהות הוא המפתח למידע אינסופי על אודות כל אחד ואחת מאיתנו. ומה בדבר מידע ביומטרי? יוק. ומידע גנטי? שום דבר. מידע על מיקומו של אדם? שתיקה מוחלטת. שלא לדבר על הקושי בפירוש ביטויים כמו "צנעת אישותו של אדם". האם פירוט של עסקות ספורות בכרטיס אשראי יהיה "מידע על מצבו הכלכלי של אדם"?

גרוע מכך, עצם העובדה שמדובר ב"מידע" אינה מספיקה בכדי שחוק הגנת הפרטיות יפרוש עליו את חסותו. צריך, כאמור, שיהיה מדובר ב"מאגר מידע" כדי שהחוק יתעורר לפעולה. ו"מידע", כמה מייגע, הוא רק רכיב בהגדרת מאגר מידע. מאגר מידע הוא "אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב".

נו, אז תגידו שברור כי פנקס הבוחרים הוא כזה, לא? זהו שלא. מפני שלהגדרה המשפטית יש החרגה: "אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר אפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו". רשימה של 6,453,254 בעלי זכות בחירה כשלעצמה אינה מאופיינת. עד כמה שהדבר יישמע מדהים, היא, כמות שהיא, לא תיחשב למאגר מידע הכפוף בין השאר לחובה לאבטח אותו. מסקנת ביניים: כשאתה מפרסם תקנות מודרניות מכוח חוק מיושן, התשתית הרעועה שמתחתן פוגעת אנושות באפקטיביות שלהן.

מתוך האתר של אלקטור
האתר של אפליקציית אלקטור. מקש ימני והוראה פשוטה חשפו את הססמאות של המנהלים

מה איפה יגן עלינו מפני השערורייה שבדליפת מאגר הבוחרים לרשת ויאפשר נקיטת צעדים משפטיים נגד האחראים לזלזול הבוטה במידע על אודותנו? כדי שניתן יהיה לעשות משהו צריך שאפליקציית "אלקטור" ומאגר המידע שדלף מתוכה יאפשרו אפיון של הבוחרים. לדוגמה, זיהויים כבעלי נטיה פוליטית כזו או אחרת או בניית עץ המשפחה שלהם. "למרבה המזל", חוקר האבטחה נעם רותם, שחשף את דבר הדליפה ביחד עם רן בר-זיק, מסר שבסיס הנתונים מאפשר לקבל את רשימת קרוביו של אדם ומידע מועשר שפעילי הליכוד הזרימו לאפליקציה: האם אדם תומך במפלגה, מיהם חבריו, מי גייס אותו ועוד. אפשר איפוא "לנשום לרווחה". זהו כבר לא סתם "מאגר" אלא מאגר מידע רגיש מפני שהוא כולל אינפורמציה על דעותיו ואמונותיו של אדם.

כעת צריכים להיכנס לפעולה משטרת ישראל (זו שכבר שנה אין בראשה מפכ"ל) ומערך הסייבר הלאומי (זה שכבר שנה לא מצליח לקדם את החוק המסדיר את פעילותו). מי שעוד אמורה לפעול מיד ובנחישות היא הרשות להגנת הפרטיות, שגם היא נעדרת ראש רשות במינוי של קבע מאז ינואר 2019. אלא שמדובר ברשות מוחלשת, שעובדים בכירים רבים עזבו אותה בשנה האחרונה. ספק רב אם היא תצליח להתמודד עם מפלגת השלטון הכוחנית של ישראל.

כל אלה אינם מבטיחים טובות כשנדרשת הגנה על פרטיות האזרחים מפני שהממשלה והליכוד מזלזלים בכך. תגובת הליכוד ש"מדובר בספק" מעליבה את האינטיליגנציה. תקנות אבטחת מידע והנחיות של רשות הגנת הפרטיות מ-2011 מחייבות בעלי מאגרים להבטיח שספקיהם עומדים בדרישות אבטחה. ברור שהדבר לא נעשה פה. ב-7 בפברואר דיווח רותם למערך הסייבר הלאומי על כך שפנקס הבוחרים הפרוץ והמועשר נמצא ברשת. נכון לעכשיו, רותם אומר, המאגר עדיין זמין שם. כל בעל עניין מישראל ומהעולם יכול לגשת אליו ולהוריד אותו.

חוק חזק ורשות איתנה היו נוקטים מיד בפעולה ומודיעים על פתיחת חקירה ברבים. הם היו מגיעים לאלקטור, מחרימים את מחשביה ובוחנים את סידורי האבטחה בה. הם היו נוקטים צעדים גם נגד הליכוד, ברגישות המתחייבת מתקופת בחירות, אבל בנחישות המתאימה למחדל פרטיות בהיקף כזה. אצלנו, עם זאת, קול דממה דקה. אולי הפגיעה בביטחון המדינה הנגרמת מדליפת הענק הזו תזיז משהו למישהו אחרי שהסוסים ברחו כבר מהאורווה. אחרי הכל, הביטחון מזיז פה הכל. אני מקווה.

חיים רביה

חיים רביה | |מיינד דה גפ

על הפער והממשק שבין פרטיות לטכנולוגיה. עו"ד חיים רביה, שותף בכיר וראש קבוצת האינטרנט והסייבר במשרד עורכי הדין פרל כהן צדק לצר ברץ, עוסק בהיבטים המשפטיים של טכנולוגיות מידע מאז שהאינטרנט פרץ לחיינו במחצית שנות ה-90 של המאה הקודמת. הוא שמע יותר buzz words מכפי שיוכל או ירצה לזכור, בעודו מתמחה בייעוץ לחברות וארגונים כיצד לכבד את פרטיות לקוחותיהם ועדיין לעשות עסקים בעולם שמתקדם במהירות הבזק.

הדעות בבלוג מייצגות את הכותב ולא את משרדו או לקוחותיו.

תגובות

משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ