ראו הערות השוליים בסוף המסמך
בפתח דבריי1 אני רוצה להודות לוועדת החוקה חוק ומשפט על הזמנתה של האגודה לזכויות האזרח לדבר בפניכם. לוועדת החוקה נועד תפקיד חשוב בהגנת זכות היסוד לפרטיות, ורבים מדיוניה מוקדשים לנושא זה, כמו אותו דיון, שנערך בנובמבר אשתקד, ושבעקבותיו יזם יו"ר הועדה ח"כ מיכאל איתן את יום העיון הזה2.
לפני כשנה הכריע בג"ץ בעתירה, שהגישה האגודה לזכויות האזרח בנושא העברת מידע ממרשם האוכלוסין לגופים ציבוריים ולבנקים3. אם לדייק – העתירה לא יצאה נגד העברת מידע כלשהי ממרשם האוכלוסין, אך טענה שהעברות המידע בהיקף ובאופן שהן מתבצעות, פוגעות שלא כדין בזכות היסוד לפרטיות. בפסק הדין קיבל בג"ץ את העתירה. לגבי העברת מידע ממאגר הנתונים של מנהל האוכלוסין לגופים ציבוריים אחרים קבע בית המשפט, כי העברה זו נעשית באופן, שאינו עולה בקנה אחד עם הזהירות, שיש לנהוג בפרטיותם של תושבי המדינה.
לגבי העברת מידע השמור בידי המדינה לגופים פרטיים דוגמת הבנקים קבע בג"ץ, כי המדובר בפגיעה בפרטיות, וכי פגיעה מעין זו אינה יכולה להיעשות אלא בהתאם לחקיקה מיוחדת. זאת כיוון, שהזכות לפרטיות מעוגנת כזכות חוקתית על-חוקית בחוק יסוד: כבוד האדם וחירותו. וכידוע, פגיעה בזכות יסוד יכולה להיעשות רק בהתאם ל"חוק ההולם את ערכיה של מדינת ישראל, שנועד לתכלית ראויה, ובמידה שאינה עולה על הנדרש או לפי חוק כאמור מכוח הסמכה מפורשת בו."
את דבריי שלהלן אייחד להעברת מידע למאגרי מידע פרטיים, ולאתגרים שמעמידים מאגרים אלה בפני הפרטיות שלנו.
אחד המשיבים בעתירת האגודה לזכויות האזרח היה איגוד הבנקים. בתגובה לעתירה טען איגוד הבנקים, שחיבור הבנקים למסוף מרשם האוכלוסין הוא חיוני לצורך המלחמה בהלבנת הון ונסמך על חוק איסור הלבנת הון משנת 2000. אבל מסתבר שלפני למעלה מ-10 שנים – הרבה לפני שנחקק חוק איסור הלבנת הון – חוברו מסופי הבנקים בחיבור ישיר למאגר הנתונים הממוחשב של משרד הפנים. בשלב מאוחר יותר חוברו למחשב משרד הפנים גם מסופי מחשב של חברות ביטוח וגופים פינאנסיים אחרים. כל זאת – ללא היתר בדין, וחשוב לא פחות – מבלי שמשרד הפנים יקבע כללים, שיבטיחו שהשימוש שיעשה במידע המועבר יהיה בהתאם לדין.
איגוד הבנקים טען עוד, כי אזרח ישר, שמציג את תעודת הזהות שלו בפני פקיד הבנק, מוותר ממילא על פרטיותו, וכי אימות הנתונים מול מאגר הנתונים של משרד הפנים אינו חושף פרטים נוספים אודותיו. לבסוף נאמר, כי גם אם קיימת פגיעה בפרטיות הרי שהיא פגיעה של מה בכך שאינה דורשת עיגון בחוק. דעת המיעוט בפסק הדין אימצה טענות אלו.
בכל הכבוד, טיעונים אלה מחמיצים את המהלך הדרמטי של חיבור ישיר של מסופי המחשב של גוף פרטי למאגר נתונים ממוחשב של המדינה. חיבור מחשב בקו נל"ן – גם אם הוא נעשה למטרה מוגדרת ומצומצמת, וגם אם הגוף הפרטי מקבל המידע נוקט באמצעי אבטחה שנראים לו חיוניים – הוא מתכון לחריגות, לשימוש לרעה ולהעברת מידע אסורה לגופים פרטיים. ואם נדרשנו להוכחה לכך, הרי שזו ניתנה בהרצאה, שנתן בנקאי בכיר בשנה שעברה בכנס לשכת עורכי הדין באילת, ואשר במהלכה הוא תקף את פסק הדין, שניתן בעתירה האגודה לזכויות האזרח. אותו בנקאי טען, שפסק הדין מונע קבלת מידע חיוני על חייבים ובכך קושר את ידי הבנקים. הוא הוסיף ותאר כיצד עושים הבנקים שימוש במסופים, המחוברים למחשב משרד הפנים, במסגרת הליכי גבייה ולצורך בדיקת פרטים של חייבים4. הבעייה היא, שמטרה של איתור חייבים לא נזכרה כלל בטיעון, שהגיש איגוד הבנקים במסגרת ההתדיינות בבית המשפט. כזכור, נטען שם, שהבנקים עושים שימוש בנתוני מרשם האוכלוסין, רק לשם אימות נתוניו של לקוח בעת שהוא מתייצב בפני פקיד הבנק ומציג תעודת זהות. יתר על כן, במאמר שהתפרסם לאחרונה גם למדנו לדעת, שאחת מהדרכים שבהן ניצלו בנקים מסויימים את המידע שבידם, היא שליחת מכתב הזמנה לכוס קפה ופגישה, מותאם אישית, לכל מי ששינה כתובתו במשרד הפנים ואינו לקוח של הבנק, מהסניף הקרוב למקום מגוריו החדש5.
אולי הדבר לא נדרש ובכל זאת ברצוני להדגיש, שהאגודה לזכויות האזרח אינה עוכרת קידמה, ואינה מחזיקה בעמדה אנכרוניסטית שלפיה יש להימנע מכל פגיעה בפרטיות גם כאשר, למשל, פגיעה קלה יחסית עשויה לקדם אינטרסים חברתיים כבדי משקל. מניעת הלבנת הון, פעולות לאכיפת החוק, ואפילו פעילות כלכלית ומסחרית – כל אלה הן רק דוגמאות לאינטרסים חשובים, שיכולים להצדיק בנסיבות מסויימות פגיעה בפרטיות על דרך של העברת נתונים ממאגרי מידע מדינתיים לגופים אחרים, גם לגופים פרטיים. אבל גם במקרים כאלה חשוב שנכיר בכך, שישנה פגיעה בזכות היסוד לפרטיות, וחשוב שנפקח על האופן שבו היא מתבצעת, על מנת שהיא לא תחרוג מהנדרש לשם השגת המטרה, שלמענה הסכמנו לוותר על מקצת מפרטיותנו.
יש לזכור, שעצם קביעת עריכתו של מפקד אוכלוסין והטבעת מספר זיהוי על כל אישה ואיש בחברה האזרחית שלנו, מהווים חדירה לפרטיות ודריסת רגל בתחום האוטונומיה. חוק מרשם האוכלוסין מהווה פגיעה בזכות לפרטיות. בדומה לזה, גם חיובו של כל אזרח להחזיק תעודת זהות ולהזדהות באמצעותה, היא הפרה של הזכות לפרטיות. בהקשר זה ראוי להזכיר, שבבריטניה ובארצות הברית עד היום אין תעודות זהות. בריטניה עתידה להכניס את תעודת הזהות לשימוש, אך זאת רק לאחר פולמוס ציבורי עז, שיכול ללמדנו עד כמה הדברים אינם ברורים מאליהם.
כאשר אנו ניגשים לדון בסוגייה של העברת מידע ממאגרי מידע ממשלתיים צריך לזכור אפוא, שנקודה המוצא לדיון היא, שעצם קיומם של מאגרי מידע ממשלתיים, ואפילו מאגר המידע הבסיסי של מרשם האוכלוסין, מהווה פגיעה בפרטיות. אפשר שפגיעה זו היא מוצדקת, ואולם עדיין אין בכך כדי לטשטש את מהותה כפגיעה בזכות יסוד, ועקב כך – את הרסן שיש להציב בפני פקידי המינהל, שעה שהם מטפלים במאגרי המידע שבשליטתם6. בוודאי שהעברת נתונים ממאגרי המידע הללו לגורמים פרטיים אינו עניין של מה בכך.
לכן, המחוקק, ולא מאן דהוא במינהל האוכלוסין, הוא שצריך להכריע האם תותר התחברות גוף פרטי, דרך קבע, למאגר מידע ממשלתי, ואם תותר – כיצד תבוצע, באופן שיקיים את האיזון הראוי בין זכות היסוד לפרטיות לבין אינטרסים אחרים. המחוקק הוא שצריך להחליט על המידה הראוייה של פגיעה בפרטיות, הוא שיאזנה מול אתגרי ההווה, אגב יצירת מנגנונים, שיבטיחו פיקוח ובקרה. העדר חקיקה מתאימה הוא שהביא למצב דהיום, שבו גופים פרטיים מחוברים מזה למעלה מעשור דרך קבע למאגר מידע ממשלתי, רק על יסוד החלטתו של פקיד הרשות, ללא מגבלות נורמטיביות כלשהן וללא פיקוח7. וללא פסק הדין, שניתן בעתירת האגודה לזכויות האזרח, יש להניח גם, שהיקף העברת הנתונים היה ממשיך לגדול עם הזמן על סמך החלטות של "אנשי השטח", ללא שיהיה לכך בסיס חוקי, וללא פיקוח ובקרה מספקים.
אגב, בארצות הברית, שאינה בהכרח הדוגמא הטובה ביותר למדינה שמגנה על פרטיות, אין כאמור, תעודת זהות, ואחד מאמצעי הזיהוי הפופולאריים הוא רישיון הנהיגה. בעבר אירעו מקרים של שימוש לרעה, שעשו מדינות שונות במאגרי המידע של רשיונות הנהיגה – מכרו נתונים לגורמי שיווק פרטיים. בתקופת ממשל קלינטון, בשנת 1994, חוקק הקונגרס חוק פדראלי – The Drivers Privacy Protection Act (DPPA) ,8 שאסר על משרדי הרישוי במדינות להעביר מידע שבידן, וקבע עונשים פליליים וסעדים אזרחיים בשל הפרה של איסור זה. עתירה שהגישה מדינת דרום קרוליינה נגד החוק נדחתה על ידי בית המשפט העליון האמריקני9.
דומה שאין צורך להכביר במילים על התשוקה העזה של גופים פרטיים רבים לדעת עלינו כמה שיותר פרטים. בעידן של צריכה ושל שיווק אגרסיבי, מידע מגוון, למשל – אודות מצבנו הכלכלי, מצבנו המשפחתי, אמונותינו, תחומי העניין והתחביבים שלנו – מידע שכזה מהווה אוצר שלא יסולא בפז עבור מי שרוצים למכור לנו מוצרי צריכה שונים. את השימוש שעושים באגירת המידע הקדחתנית אנו יכולים לראות, למשל, בערמות מכתבי הדיוור הישיר, שמחכות בתיבות המכתבים שלנו, או בשיחות הטלפון השיווקיות, שמטרידות אותנו לעתים בשעות הערב בביתנו. וכפי שאסביר בהמשך, הבעייה אינה רק במתקפות השיווק האגרסיביות. זוהי רק אחת מהתוצאות הלא הנעימות, שעלולות להיות למאגרי מידע לא מוגבלים בסקטור הפרטי – אבל בשום פנים ואופן לא החמורה שביניהן.
רק לשם הדוגמא, לפני כחצי שנה טיפלה האגודה לזכויות האזרח בפנייה של חולה שאושפזה בבית חולים במרכז הארץ10. סוכני מכירות של חברה המספקת שירותי אמבולנס חירום, נכנסו למחלקות האשפוז בחלוקים לבנים והשיגו באופן בלתי חוקי מידע על החולים. הם עשו זאת על ידי עיון ברשומות הרפואיות התלויות על מיטות האשפוז של החולים ועל ידי שיחות עם אותם חולים, שטעו לחשוב, כי מדובר באנשי צוות רפואי. על פי החשד, לאחר שחולים אלה שוחררו לביתם, התקשרו אליהם אנשי מכירות של אותה חברה במטרה לשכנע אותם לרכוש מנוי על שירותיה. על פניו, מדובר ביצירת מאגר מידע לא חוקי, ובאגירת מידע בדרכים, הגובלות בהוצאת דבר במרמה11.
דוגמא נוספת. במהלך החודשים האחרונים מנהלת האגודה לזכויות האזרח התכתבות עם גורמים שונים בעקבות סעיף קטן, ששרבבה חברת כרטיסי אשראי לחוזה האחיד בינה ובין לקוחותיה. סעיף זה, שמנוגד להנחיות מפורשות, שהוציאה רשמת מאגרי המידע לכל חברות כרטיסי האשראי, מתיימר לאפשר לאותה חברת כרטיסי אשראי לעשות שימוש במידע, שמצטבר אודות פעולות, שמבצעים הלקוחות בכרטיס האשראי, לצורך שיווק שלה ושל "ספקים וגורמים עסקיים שונים". הסעיף מאפשר גם "פילוח ואפיון של הרגלי השימוש בכרטיס". המשמעות של אותה תנייה חוזית תמימה למראה היא היתר לבצע הרצות מחשב, להצליב מידע, וכך – להרכיב פרופיל צרכני ואישי לכל לקוח ולקוח.
בחברת הצריכה בת ימינו, כל צעד ושעל בחיי אדם, מעשיו, תחומי העניין שלו, תשוקותיו וחלומותיו באים לידי ביטוי בפעילותו הצרכנית, וחלק נכבד מהפעילות הצרכנית נעשה אגב שימוש בכרטיסי אשראי12. כפועל יוצא מכך, נצברת כיום בחשבון כרטיס האשראי של הלקוחות או בקשר אליו, כמות עצומה של מידע, המשקף את אורחות חייהם היומיומיים, לאו דווקא בקשר למה שמקובל לתאר כפעילות "צרכנית" גרידא. כך, למשל, יכול המידע שנצבר על לקוח ללמד ש… הוא שוכר נכס מסוים; האם יש לו ביטוחים ואצל איזה מבטח; מה היקף התשלומים שהוא משלם לביטוח לאומי, נתון שמלמד על היקף הכנסותיו; לאיזו רשות מקומית הוא משלם תשלומים דרך קבע, מה שיכול ללמד על החזקה ו/או בעלות בנכס, המצוי בתחומי אותה רשות; האם עבר לאחרונה בדיקות או טיפול במכון רפואי או במכון לרפואה אסתטית; מהם התחומים הקרובים ללבו, עד שהוא מוכן לתרום מכספו למענם; האם ועל איזה עיתון הוא מנוי… וכיוצא באלה פרטים אודות הלקוח.
בהתכתבות שהיא מנהלת בעניין זה טוענת האגודה לזכויות האזרח, כי "ההסכמה" כביכול, שחברת כרטיסי האשראי "לקחה" מלקוחותיה, מאפשר לה, לפגוע פגיעה קשה בפרטיותם. כך, למשל, על פי לשונו הרחבה של סעיף "ההסכמה" שבו מדובר, תוכל החברה לאתר את הלקוחות, שהיקף רכישותיהם מעיד על מצב כלכלי שפיר במיוחד, ולהעמיד את פרטיהם לרשות "ספקים וגורמים עסקיים שונים", שיבקשו לפנות רק ללקוחות אמידים; סוכני ביטוח חיים יוכלו לאתר בעזרת החברה – אם רק תרצה בכך – לקוחות, שביצעו רכישות מוגברות של ציוד לתינוקות, ומנגד – של לקוחות שאיתרע מזלם וש"הרגלי השימוש בכרטיס" שלהם מצביעים על בעיות בריאות; יצרני מצבות יוכלו לקבל מידע של לקוחות, ששילמו זה עתה לשירותי קבורה; וגם לקוחות שהם במקרה חובבי מגזינים אירוטיים למשל, "יוכלו" לקבל, מבלי שיבקשו, פניות מ"ספקים שונים" בתחום זה.
ובכל הדברים שלעיל עדיין לא הזכרנו את אינספור האפשרויות החדשות לפגיעה בפרטיות, שמציעה רשת האינטרנט. לא אפליג בנושא זה – הוא מצריך יום עיון נפרד, אם לא כמה ימי עיון. רק אזכיר כמה מופעים. חנות הספרים הוירטואלית amazon אוגרת מידע על כל תנועה של גולש ו"יודעת" מהם הספרים ומהם התחומים שמעניינים אותם13, שלא לדבר על תיעוד החיפושים והשאלות שאנו מפנים למנועי חיפוש דוגמת Google .14 אתרי אינטרנט משתילים cockies, העוקבים אחר הגולשים המבקרים אצלם15. אופי המעקב ודרגת הפלישה לפרטיות של אותן "עוגיות" משתנים מאתר לאתר, יש אתרים שמסתפקים ב"עוגיות", שמאפשרות לאתר לזהות גולש ותיק, שחוזר לביקור, ויש אתרים, שמנצלים את אותן "עוגיות" כדי "לבקר" את הגולש גם כאשר הוא אינו מבקר באתר. ישנם אתרים שמתחקים בעזרת ה"עוגיות" אחרי הרגלי הגלישה של הפרט, ולפעמים אפילו מעבירים את המידע שהם אוספים לצדדים שלישיים. ישנם גופים פרטיים שלא מסתפקים במידע שהם אוגרים ב-"online world" ומעשירים את המאגרים שלהם תוך הצלבת מידע ממאגרים אחרים שבידיהם. המחשה קטנה לשמירת מידע שלא כדין בידי אתרי אינטרנט ניתן לקבל לא אחת כאשר אנו יוצרים קשר עם אתר מכירות, שבו ביקרנו בעבר, ומסתבר לנו, שהאתר מחזיק ללא רשות את מספר כרטיס האשראי, שנתנו בקנייה הקודמת. והמדובר כאמור רק בדוגמאות "על קצה המזלג" לפוטנציאל הפגיעה האדיר של ניהול מאגרי מידע, שאינם כפופה להסדרה מתאימה ומספקת16.
לא אחת טוענים נציגים של המגזר הפרטי, כי פוטנציאל הנזק, שטמון במאגרי המידע האימתניים הללו, מתמצה בשיווק אגרסיבי: "בסך הכל, כל מה שהם רוצים זה למכור". הם גם מנופפים מייד בטענה, בדבר "שוק משוכלל" ויעילות כלכלית. טענות אילו אינן מדוייקות. מאגרי המידע מהווים כר נרחב לפגיעות נוספות, למותר לציין שגם בלתי חוקיות, בפרטיות. כך, למשל, מסתבר שבארצות הברית של היום גופי ממשל רוכשים מידע מחברות פרטיות, שמחזיקות מאגרי מידע עצומים על מיליוני אזרחים, כיוון שאותם גופי ממשל אינם מוסמכים לנהל בעצמם מאגרים כאלה17. זאת ועוד, פריצות וגניבות מידע הן בלתי נמנעות. לעניין זה לא צריך להיות מומחים למידע ולפרטיות. שאלו כל אינסטלטור והוא יאשר לכם, כי ככל שהצנרת גדולה יותר ומורכבת יותר, כך ירבו מספר הדליפות ממנה. אכן, ניתן לתחזק צנרת, ולהשתדל למנוע ככל האפשר למנוע תקלות ודליפות. אבל צריכים תמיד לקחת בחשבון, שהאפקטיביות של פעולות מניעה מעין אלו היא מוגבלת. כך קורה, שאדם הנזקק למידע אודות חברו ניגש לחוקר פרטי, וזה מאתר עבורו מידע אישי ורגיש תמורת סכומי כסף לא גדולים. לעניין זה אני מפנה גם למאמר, שהתפרסם אתמול ב-NY Times, ושממנו ניתן ללמוד בדאגה על פריצות למאגרי מידע של חברות פרטיות כמו ChoicePoint ו-LexisNexis.18
זאת ועוד, עם כל הכבוד לגורמים פרטיים כאלו ואחרים, נשאלת השאלה – האמנם אנו מוכנים להפקיד (או להפקיר) את הפרטיות שלנו בידם. כלומר – האם נסתפק בהנחה, שגורמים פרטיים ינהלו את מאגרי המידע אודותינו בצורה נאותה והגונה. המשימה הראשונה במעלה של גופים פרטיים היא רווח כלכלי, לא שמירה על ערכים נשגבים או הגנה על הפרטיות.
מעל הכל – חרף מאמציהם של "כוחות השוק" לשכנע אותנו, שאין סכנה של ממש באגירת המידע אודותינו, עדיין מרבית האזרחים אינם מוכנים להיות נתונים למעקב מתמיד של "אח גדול". אנו מסתייגים מקיומו של "אח גדול" בפרוזדורי השלטון, וזאת למרות שהיום השלטון נתון לפיקוח מסויים של העין הציבורית. קל וחומר שאין אנו מוכנים להפוך את "כוחות השוק" ל"אחים גדולים". ובל נשכח שבעוד שאותם "כוחות שוק" מבקשים לדעת אודותינו הכל, הם עצמם נהנים מחסיונות והגנות כמו, למשל, "סודות מקצועיים" וקדושת הקניין הפרטי.
מה לגבי הטענות בדבר יעילות כלכלית ו"שוק משוכלל"? העמדה הגורסת, כי במקום לעמול לשווא על הגנת הפרטיות מוטב לנו להתרפק על היתרונות הגדולים של הקדמה ושל היעילות הכלכלית, שטמונה במאגרי המידע בסקטור הפרטי19. כפי שהסברתי כבר קודם – יעילות, נוחות, קדמה טכנולוגית ורווחה כלכלית הינן מטרות נכבדות. אבל אסור שהטכנולוגיה וגופים כלכליים אינטרסנטיים יכתיבו את סדר היום הערכי שלנו. לקח חשוב, שניתן ללמוד מההיסטוריה ובמיוחד מאירועי המאה הקודמת, הוא שיש להכפיף את יישומי הטכנולוגיה ואת הדחף הבלתי פוסק ליצירת מקורות חדשים של עושר כלכלי לדיון ציבורי ערכי.
בפסק דין, שנסב סביב הדלפות ממאגרי מידע ציבוריים, אמרה כב` השופטת ביניש: "ההישגים הטכנולוגיים של העידן המודרני הביאו עימם כתוצאת לוואי אפשרויות נרחבות לפגיעה בפרטיות. מאגרי המידע המצויים בידי הרשויות… נותנים בידי עובדי הציבור הנגישים אליהם, יכולת ועוצמה לאסוף מידע רב על כל אדם מהציבור בישראל בכל היבט מתחומי חייו. חזונו האפוקליפטי של ג`ורג` אורוול בדבר `האח הגדול`, עלול על נקלה להפוך למציאות חיים אם לא יושמו הגבולות לנגישות למאגרים ולשימוש בהם מעבר למטרה המוגבלת שלשמה ניתנה הסמכות למופקדים על מאגרי המידע"20. דברים אלה יפים מכוח קל וחומר גם לכל הקשור למאגרי מידע פרטיים.
מה ניתן לעשות?
בראש וראשונה, אם לחזור לנושא שבפתח דבריי, העברת מידע ממאגרי מידע ציבוריים לגופים פרטיים חייבת להיעשות אך ורק על פי חוק, בהתאם לעקרונות שייקבעו בחוק, ובהתאם לכללים שייקבעו בתקנות ובנהלים מפורטים. כללים אלה צריכים להבטיח, עד כמה שאפשר, שהעברות המידע יעשו באופן, שימזער את הפגיעה בפרטיות. יש להבטיח שהמידע אודותינו – המידע שהאזרחים הסכימו למסור בידי המדינה למטרות מסויימות בלבד, יועבר לגופים פרטיים אך ורק כאשר הוא הכרחי לשם מילוי חובה חוקית; יש להגדיר בתקנות בדיוק לשם מה מועבר המידע; יש להבטיח שגוף פרטי, שמקבל מידע ממאגר מידע ציבורי, יתחייב לאבטח אותו מפני שימוש לרעה ויעמוד לביקורות תקופתיות שיאשרו, שהוא אכן עומד בהתחייבותו זו. וכאמצעי ביטחון נוסף – יש לשמור על שקיפות ולהבטיח, שבכל עת נדע בדיוק איזה מידע מועבר ומדוע.
נחזור לרגע לפסק הדין, שניתן בעתירת האגודה לזכויות האזרח בנושא מרשם האוכלוסין ונזכיר, שפסק הדין התייחס גם להעברת מידע מגוף ציבורי אחד למשנהו. כזכור בפסק הדין נקבע בין היתר, כי העברת מידע בין גופי המדינה השונים אינה יכולה להיעשות אלא על פי נהלים מפורטים, שיבטיחו שההעברה תעשה אך ורק למטרות ראויות, כאשר היא הכרחית לתפקוד המנהל הציבורי, ותוך שמירה על כללי אבטחת מידע. קל וחומר שיש להחיל את כל העקרונות הללו כאשר מדובר על העברת מידע ציבורי לגורמים פרטיים.
רק לשם הדוגמא, בהתאם לחוק הגנת הפרטיות במתכונתו הנוכחית, הלא מספקת, העברת מידע ציבורי לגופים, שהם סמי-ציבוריים, כמו למשל, קופות חולים או איגודי עובדים נעשית על פי צו של שר המשפטים ובאישור ועדת החוקה חוק ומשפט של הכנסת. אין סיבה מדוע העברת מידע לגופים פרטיים מובהקים לא תהיה כפופה לפיקוח הפרלמנטרי של אותה ועדה.
אך בכך לא די. יש צורך ברגולציה ובפיקוח על פעילות אגירת המידע של השוק הפרטי. רגולציה ופיקוח על מאגרי מידע, שמוחזקים על ידי גורמים פרטיים, חייבת להיעשות לא רק על המידע שהגיע לידיהם מהמדינה, אלא על כל מאגרי המידע שברשותם. בהקשר זה יש להרחיב ולפרט בתקנות ובנהלים את ההוראות הכלליות, שנקבעו בחוק הגנת הפרטיות לגבי מאגרי מידע.
אסור לנו לסמוך על רגולציה עצמית של השוק. בלא מנגנוני הסדרה, ובהעדר מנגנונים שיאפשרו אכיפה של חוק הגנת הפרטיות, כמו למשל הסדרת סנקציות והסדרים, שיקלו על האכיפה העצמית של אזרחים – לא נצליח להבטיח את הפרטיות.
המחשה לחוסר היעילות של רגולציה עצמית ניתן למצוא, למשל, בהגבלות שהוטלו בארה"ב בתחום השיווק הטלפוני – טלקמרקטינג. ה-Federal Trade Commission (FTC) הנהיגה רשימה ארצית – Do Not Call Registry: כל אדם יכול להוסיף את שמו לרשימה ומרגע שנרשם מנועים חברות הטלמרקטינג להתקשר אליו הביתה. אגב, בכנסת שלנו הוגשו שתי הצעות חוק פרטיות, של ח"כ רומן ברונפמן ושל ח"כ רשף חן, המבקשות להנהיג הסדר דומה בישראל21. אם לחזור לארה"ב, ביום הראשון להנהגת ה- Do Not Call Registry הזדרזו ונרשמו בה 10 מליון אנשים, וכיום היא כוללת 80 מליון מספרי טלפון, דבר שמעיד על החלל העצום שמילא ההסדר. לשם השוואה, צעדים של רגולציה עצמית בתחום זה, שננקטו על ידי איגוד השיווק הטלפוני (DMA – Direct Marketing Association) נכשלו כישלון חרוץ. לאור הצלחה זו דורש עתה ארגון הפרטיות EPIC ( Electronic Privacy Information Center) להעתיק את העיקרון של רגולציה מדינתית לאתגרי המאה ה-21 המאיימים על הפרטיות – בעיקר הסדרה של הגנת הפרטיות בעולם הוירטואלי22.
להלן אציין רק כמה מקצת מן הנושאים, שראוי לתת עליהם את הדעת ולהסדירם.
הסכמה מדעת –
הכללתו של אדם במאגר מידע חייבת להיעשות על דעתו ובהסכמתו. קבלת הסכמה חייבת להיעשות רק לאחר, שניתן לאדם הסבר ברור אודות המטרות הספציפיות של איסוף המידע ואודות השימושים, שמבקשים לעשות בו. בשים לב לדינמיות ולאינטנסיביות, שמאפיינות את חיינו, יש לשקול במקרים מסויימים להגביל את תוקפה של ההסכמה ואת משכה. כדוגמא להסדרה בעניין זה אני מפנה להצעות חוק פרטית שהגישו ח"כ גדעון סער וח"כ זהבה גלאון23.
בנוסף לכך יש להנהיג הסדרים זמינים וקלים ליישום, שיתנו תוקף מעשי לזכותו של כל אדם להוציא את שמו ממאגר מידע, לחסום את השימוש בו, לעיין במידע שנאגר בו, ולתקנו. ההסדר הקיים בעניין זה כיום בחוק הגנת הפרטיות אינו מספק ואינו קל ונוח על מנת שאזרחים יוכלו ליישמו בקלות.
אבטחה –
המחוקק והרגולטור הם שיקבעו מהם אמצעי האבטחה המינימליים, שבהם יחויבו מנהלי מאגרי המידע. במקביל יש לדאוג שנוהלי האבטחה הללו יעמדו לביקורת של רשות ציבורית.
מפקח על הפרטיות –
מעמדו הסטטוטורי של מוסד "רשם מאגרי המידע" ודלות המשאבים הנוראה, שאיתה מתמודדת היום רשמת מאגרי המידע, אינם מאפשרים פיקוח אפקטיבי על מאגרי המידע. במרבית המדינות המערביות הבולטות, הונהג מוסד של מפקח על פרטיות, שנהנה מעצמאות, מסמכויות ומתקציבים, שמאפשרים אכיפה נאותה של חוקי הגנת הפרטיות24. מן הדין שכך יהא גם בישראל. יש לנהוג בהגנת הפרטיות כפי שמטפלים, למשל, בהגבלים עסקיים. מן הראוי שלמפקח על הפרטיות יהיו משאבים וסמכויות בדומה לאלה שמוקנים לממונה על ההגבלים העסקיים.
אכן, מדובר בפעילות שדורשת משאבים כספיים. מגבלות תקציביים עלולות לחסום כל ניסיון לשדרג את מעמד "רשם מאגרי המידע". הפתרון הראוי הוא, שהמימון לפעילות המפקח על הפרטיות יבוא מאותם מקורות, שמציבים סכנה לפרטיות ועקב כך מצריכים את פעילותו של המפקח. מי שמנהל מאגרי מידע עושה זאת בשל הפוטנציאל הכלכלי שלהם. הוא מפיק מהם הנאה כלכלית. לכן אין כל פגם בכך, שיהיה עליו גם לשאת בהוצאות, הנדרשות כדי לפקח עליהם וכדי למנוע חריגות.
הקניית מעמד לארגונים –
בעניין זה אני מפנה לדברי הסבר של הצעת חוק פרטית של ח"כ לשעבר אברהם בורג (הצעת חוק דומה הוגשה לאחרונה על ידי ח"כ נעמי בלומנטל)25. על פי הנאמר בדברי ההסבר, "אחד הקשיים המונעים אכיפה אזרחית של חוק הגנת הפרטיות על ידי הציבור הינו הקושי בניהול הליך משפטי, אשר מחייב משאבים רבים ואורך זמן רב. אדם פרטי אשר נגרמה לו פגיעה בפרטיות יחשוש מאוד מפני ניהול הליך משפטי בשל הפגיעה שנגרמה לו, והנטייה שלו תהיה לוותר ולספוג את הפגיעה, הן בשל העובדה שניהול הליך משפטי הוא עניין מסובך ויקר והן בשל החשש לפגיעה נוספת בפרטיותו מעצם ניהול ההליך. על כן מוצע לאפשר לארגון הפועל למטרות ציבוריות ואשר חלק ניכר מעיסוקו הינו בתחום הגנת הפרטיות, להגיש בעצמו תביעה בשל פגיעה בפרטיות או בשל עוולה אחרת לפי חוק הגנת הפרטיות (כגון הפרה של ההוראות בתחום הפיקוח על מאגרי מידע). ארגון כאמור אשר מקבל פניות ותלונות רבות על פגיעות בפרטיות ואשר מכיר את תחום הגנת הפרטיות, יש לו תמונה רחבה יותר של סוג הפגיעות והגורמים הפוגעים בפרטיות. ארגון כאמור יוכל לבחור את התביעות שיש להן סיכוי טוב יותר להתקבל, ולנהל אותן ביתר הצלחה, מבלי להסתכן בפגיעה נוספת בפרטיות. הצעה זו תחזק את הארגונים גם בפעילותם הציבורית הלא משפטית מול גורמים הפוגעים בפרטיות, אשר ידעו שקיימת אפשרות שהארגון עצמו יגיש נגדם תביעה." למרבה הצער, בניגוד למדינות רבות בעולם המערבי, בישראל עדיין אין ארגונים, שעוסקים באופן בלעדי באופן בנושא הגנת הפרטיות ויש לקוות שארגונים כאלה יקומו בעתיד הקרוב.
כפי שאמרתי – זוהי רק רשימה לא ממצה ולנוכח מסגרת הזמן המוגבלת – בוודאי שאינה מפורטת דייה. נושאים אלה ואחרים מעסיקים בימים אלה וועדה של משרד המשפטים בראשותו של המשנה ליועץ המשפטי יהושע שופמן, הדנה בתיקון פרק מאגרי המידע בחוק הגנת הפרטיות. בדומה לזה, נושאים אלה מעסיקים גם חברי כנסת שונים, שמעלים הצעות חוק פרטיות. כפי שציינתי בפתח דבריי, בשנים האחרונות היינו עדים גם לפעילות ברוכה של ועדת החוקה חוק ומשפט לשם הגנה על הפרטיות. למרבה הצער, פעמים רבות יוזמות פרטיות של חברי כנסת אינן מתקבלות בברכה על ידי הממשלה והמנגנון הביורוקרטי, ועקב כך – יורדות מסדר היום. יש להצר על כך. נושא הגנת הפרטיות אינו נושא פוליטי, לפחות לא במובן המקובל של המילה, וניתן לראות, ששוחרי הגנת הפרטיות בין חברי הכנסת באים מכל קצווי הקשת הפוליטית. יש לקוות, שהפעילות הפרלמנטרית לשם קידום הגנת הפרטיות תזכה לפחות לחשיפה מתאימה בתקשורת, ועקב כך – לזכות בתמיכה ובתגמול ציבוריים.
לסיום – פסק הדין, שניתן בעתירת האגודה לזכויות האזרח, ובאופן כללי – רגולציה של מאגרי מידע, אינם עומדים בדרכה של הקידמה! אין הם שוללים את אימוץ הישגי המדע והטכנולוגיה וגם לא את יישומם למען טובת הכלל והפרט. אלא מאי? כפי שאמר כב` השופט חשין בעניין אחר: "מתוך שהמדע והטכנולוגיה צומחים ומתפתחים בדרכם ועל-פי כללים פנימיים משלהם, אין כל כורח אפריורי כי נורמות התנהגות הנקבעות בידי החברה והמחוקק תאמצנה את כל הישגי המדע והטכנולוגיה, בלא כל הבחנה ובלא כל מיגבלות" "היעדר כל הסדר עשוי להיות שקול כנגד היתר כמעט ללא הגבלה או כנגד היפוכו: איסור כמעט ללא הגבלה"26.
1. נייר זה מפנה אל לינקים, והוא יועלה על אתר האגודה לזכויות האזרח. ניתן גם לפנות ולקבל את הקובץ מעו"ד אבנר פינצ`וק, במייל: apinchuk@acri.org.il
2. דיון מיום 15.11.2004 בנושא: תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים) (תיקון), התשס"ה-2004 – http://www.knesset.gov.il/protocols/data/html/huka/2004-11-15.html
3. בג"צ 8070/98 האגודה לזכויות האזרח נ` משרד הפנים, פ"ד פ"ד נח (4) 842
4. עלון לשכת עורכי הדין, "עורך הדין", יוני 2004, עמוד 53.
5. ראו: אייל גונן, "פרטיות: האם החזון של אורוול הולך ומתממש?", YNET 29.7.2004 – http://www.ynet.co.il/articles/0,7340,L-2955085,00.html
אחד החריגים לחוק האמור מתקיים כאשר יש "צרכים מסחריים לגיטימיים בעסקאות שיזם הפרט, בקשר לאימות פרטים שמסר" . בהקשר זה ראוי לציין, כי בית המשפט העליון אישר, כי כאשר אדם שיעבד את רכבו לבנק, יש לראות בכך משום אישור למשרד הרישוי לאפשר לבנק לאמת את נתוני הרכב המשועבד אל מול נתוני משרד הרישוי. ראו: ע"א 86/89 מ"י נ` בנק הפועלים, פ"ד מד (2) 726.
6. סעיף 11 לעיקרי הטיעון של האגודה לזכויות האזרח לקראת הדיון בעתירה, ראו באתר האגודה – https://law.acri.org.il/pdf/petitions/hit8070iqarim.pdf
7. ראו: תגובת האגודה לזכויות האזרח לבקשה לקיום דיון נוסף – https://law.acri.org.il/pdf/petitions/hit4907tguva.pdf
8. את החוק ראו: http://www4.law.cornell.edu/uscode/18/2721.html
9. ראו: Reno v. Condon, 528 U.S. 141 (2000).
http://supct.law.cornell.edu/supct/html/98-1464.ZO.html
http://caselaw.lp.findlaw.com/scripts/getcase.pl?navby=case&court=us&vol=528&page=141#141
לסקירה כללית על פרטיות בארה"ב בהקשר של רשיונות נהיגה, של מספר ביטוח לאומי ועל ההצעות להנהיג תעודת זהות בארה"ב ראו באתר Epic.org:
| The Drivers Privacy Protection Act (DPPA) and the Privacy of Your State Motor Vehicle Record – http://www.epic.org/privacy/drivers/ ;Social Security Numbers – http://www.epic.org/privacy/ssn/ ; National ID Cards – http://www.epic.org/privacy/id_cards/ "Your Papers, Please: From the State Drivers License to a National Identification System": |
10. רן רזניק, "חשד: עובדי שח"ל התחזו והוציאו מידע חסוי על חולים", הארץ 26.9.2004
11. מקרה דומה של הוצאה במרמה של מידע ממאושפזים לשם מכירתו לגורמי שיווק, ראו פסק דין פלילי של השופטת נירה לידסקי ת"פ 6955/98 מ"י נ` שחם, פס"ד מיום 10.12.2001. ראו באתר בתי המשפט:
12. לשם המחשה ראו למשל, הלישכה המרכזית לסטטיסטיקה, מדד רכישות משקי בית בכרטיסי אשראי, 27.10.2004 –
13. ראו למשל: אליסון לין, האם אמזון הופכת לאח הגדול?" YNET 27.3.2005 – ttp://www.ynet.co.il/articles/0,7340,L-3063878,00.html
14. ראו למשל: Dan Kennedy, "Google Eyes – The company everyone loves knows more about you than you might realize" The Boston Poenix 21.1.2005." –
http://www.bostonphoenix.com/boston/news_features/top/features/documents/04414489.asp
15. ראו למשל: "מחקר: יותר גולשים לא אוהבים עוגיות", YNET 17.3.2005 –
http://www.ynet.co.il/articles/0,7340,L-3059651,00.html
16. בהקשר זה ראו למשל: ערן טל, "שימוש הוגן: אפס פרטיות, תתמודדו עם זה", YNET 13.1.2005 –
http://www.ynet.co.il/articles/0,7340,L-3032153,00.html
| Chris Jay Hoofnagle, Privacy Self Regulation: A Decade of Disappointment, Epic.org 4.3.2005 – http://www.epic.org/reports/decadedisappoint.html ; |
ראו גם מאמר מהשבוע שעבר: "תכירו, זה אחיכם הגדול, קוראים לו גוגל" קפטן אינטרנט, הארץ, 5.4.2005.
17.
| William Safire ,"Goodbye to Privacy", NY Times – Sunday Book Rev. 10.4.2005 (Robert O'Harrow Jr. No Place to Hide) – http://www.nytimes.com/2005/04/10/books/review/10COVERSAFIRE.html |
18. שם.
19. פיתוח מרתק של תזה זו ניתן למצוא בספרו של ניב אחיטוב, עולם ללא סודות- על חברת המידע הפתוח (עם עובד, 2001). גם אחיטוב מודע לסכנות שבניצול לרעה של רעיון חברת המידע הפתוח, אבל לפחות בספרו הוא משתדל לשמור על אופטימיות זהירה. הוא נשמע פחות אופטימי בדברים שפורסמו במקום אחר: גלית ימיני, עידן הפיאודלים החדשים באינטרנט, הארץ 6.2.2005.
ראו גם את דבריו של אייל גונן, המתייחס לפסק דין בעתירת האגודה לזכויות האזרח וליתרונות הכלכליים של ניצול מאגרי מידע על ידי הבנקים: "פרטיות: האם החזון של אורוול הולך ומתממש?", YNET 29.7.2004 – http://www.ynet.co.il/articles/0,7340,L-2955085,00.html
20. עש"ם 6843/01 בן דוד נ` נציב שירות המדינה, תק-על 2002(1), 133, 135
21. ח"כ רומן ברונפמן: ה"ח הגנת הפרטיות (תיקון – מניעת פניות בלתי מוזמנות), התשס"ד-2004 (פ/2757):
http://www.knesset.gov.il/privatelaw/data/16/2757.rtf
ח"כ רשף חן: ה"ח הגנת הפרטיות (תיקון – הסדרת פרסום באמצעות דיוור ישיר), התשס"ד-2003. פ/1487:
http://www.knesset.gov.il/privatelaw/data/16/1487.rtf
22.
| Chris Jay Hoofnagle, Privacy Self Regulation: A Decade of Disappointment, Epic.org 4.3.2005 – http://www.epic.org/reports/decadedisappoint.html |
23. הצעת חוק של ח"כ גדעון סער: הצ"ח הגנת (תיקון – מסירת נתוני תקשורת), התשס"ג-2003 (פ/1451): "הסכמה … לענין שימוש במידע … תעשה בכתב בצורה שתקבע על ידי שר המשפטים, באישור ועדת חוק חוקה ומשפט של הכנסת".
http://www.knesset.gov.il/privatelaw/data/16/1451.rtf
הצעת חוק של ח"כ זהבה גלאון: הצ"ח הגנת הפרטיות (תיקון – חובת הצגת שם החברה בדיוור ישיר), התשס"ה-2005 (פ/3258), http://www.knesset.gov.il/privatelaw/data/16/3258.rtf
ראו גם: ע"ש 195/97 היועמ"ש נ` בל"ל (פסק דין של בית הדין לחוזים אחידים מיום 10.6.2004) סעיפים 269 ואילך; וכן: ע"ש 7167/99 די בי אס נ` היועץ המשפטי לממשלה, (פסק דין של בה"ד לחוזים אחידים מיום 19.11.2004).
24. אתרים של מפקח על פרטיות במספר מדינות:
קנדה – http://www.privcom.gc.ca/index_e.asp
ניו זילנד – http://www.privacy.org.nz/top.html
בריטניה – http://www.dataprotection.gov.uk/commissioner.htm
איטליה – http://www.garanteprivacy.it/garante/navig/jsp/index.jsp
25. הצעת חוק של ח"כ אברהם בורג: הצ"ח הגנת הפרטיות (תיקון – מעמד לארגון העוסק בהגנה על הפרטיות), התשס"ג-2003 (פ/1132) – http://www.knesset.gov.il/privatelaw/data/16/1132.rtf
הצעת חוק של ח"כ נעמי בלומנטל: הצעת חוק הגנת הפרטיות (תיקון – מעמד לארגון העוסק בהגנה על הפרטיות), (התשס"ד-2004) (פ/2618) – http://www.knesset.gov.il/privatelaw/data/16/2618.rtf
26. בג"ץ 2458/01 משפחה חדשה נ` הועדה לאישור הסכמים לנשיאת עוברים, פ"ד נז (1) 419, 460
