השבוע בכנסת (למרות הפגרה): דיון המשך לגבי תוכנת “פגסוס”

הכנסת יצאה השבוע לפגרה עד לאחר יום העצמאות [ע”ע הכנסת בשיפוצים/זלנסקי בזום]. ואולם מקצת מהוועדות ממשיכות לקיים דיונים גם בתקופת הפגר.

בין הדיונים הללו:

+ ועדת המשנה לקידום ההיי-טק בישראל [של וועדת הכלכלה] תקיים בשני, 21.3.2022, דיון בנושאים: פיתוח תעשיית ההיי-טק וצמצום המחסור בכוח אדם מיומן – הכשרת עובדים ושילובם בתעשייה – דיון המשך, ודיון בנושא היערכות לקליטת פליטים מאוקראינה לענף ההיי-טק.

+ ועדת המשנה לנושאים חסויים ומסווגים [של וועדת ביטחון הפנים] תקיים בשלישי, 22.3.2022, דיון המשך בנושא השימוש בתכנת “פגסוס” של NSO Group ע”י משטרת ישראל. [ב- 21.1.2022 דיווחתי באתר כי “יום שני הקרוב, 24.1.2022 ייערכו באותה השעה (12:00) שני דיונים מעניינים:  הוועדה לביטחון הפנים בראשות ח”כ מירב בן ארי תדון בנושא “הטענות אודות שימוש משטרת ישראל בתוכנת פגסוס” בעקבות החשיפה של תומר גנון מ’כלכליסט’.”].

+ וועדת החוקה, חוק ומשפט תקיים ברביעי, 23.3.2022, דיון המשך בנושא פרק ב’ (דיוור דיגיטלי). לדיון זה הוגשו שני מסמכים:

* אורית שרייבר עו”ד מנהלת מערך החקיקה ברשות ניירות ערך כותבת בין היתר כי “פרק ב’: דיוור דיגיטלי שבהצעת חוק התכנית הכלכלית (תיקוני חקיקה ליישום המדיניות הכלכלית לשנות התקציב 2021 ו- 2022), נועד לעצב הסדר דיגיטלי, שירותים או פעולות דיגיטליות במישור היחסים בו פונה גוף ציבורי לציבור.

“כמו כן, תזכיר החוק קובע דרכי המצאה דיגיטליות שיקנו וודאות לגוף הציבורי השולח ויהיו שקולות במישור הראייתי להמצאות מסמכים שמתבצעות באמצעות דיוור פיסי.

“התוספת השנייה להצעת החוק מפרטת את הגופים הציבוריים שנכללים בהגדרת “גוף ציבורי” שבסעיף 1 לצורך פרקים ג’ ו-ד’ להצעת החוק. בתוספת זו מבוקש לכלול את הרשות, כמו גם גופים נוספים, כגון, משרד ממשלתי, לרבות יחידותיו ויחידות הסמך שלו; המוסד לביטוח לאומי כמשמעותו לפי חוק הביטוח הלאומי [נוסח משולב]; שירות התעסוקה כמשמעותו בחוק שירות התעסוקה; האפוטרופוס הכללי כמשמעותו בחוק האפוטרופוס הכללי; רשויות מקומיות ועוד.

“הרשות ביקשה להיכלל בהגדרת “גוף ציבורי” שבהצעת החוק כדי להשלים את ההסדרים הקיימים המאפשרים לה תקשורת גמישה, יעילה ומהירה יותר באמצעים דיגיטליים, כפי שיוסבר להלן: הרשות מוסמכת על-פי חוק ניירות ערך, חוק להסדרת פעילות חברות דירוג אשראי, חוק השקעות משותפות בנאמנות, חוק הסדרת העיסוק בייעוץ השקעות, בשיווק השקעות ובניהול תיקי השקעות, וחוק שירות מידע פיננסי [“החוקים המסמיכים”] לפקח על תאגידים מדווחים, חתמים, רכזי הצעה, בורסה, מסלקות, זירות סוחר, חברות דירוג אשראי, מנהלי קרנות נאמנות, יועצי השקעות, משווקי השקעות, מנהלי תיקים ובעלי רישיון למתן שירות מידע פיננסי [“הגופים המפוקחים”].

“במסגרת פעילותה ועל פי סמכויותיה, מתקבלות ברשות באופן שוטף פניות ובקשות רבות הן מהגופים המפוקחים על ידה, הן מגורמים נוספים הפונים אליה. במקביל נדרשת הרשות למתן תשובות ולמשלוח הודעות והחלטות לגופים המפוקחים, לרבות ליחידים ולגופים המבקשים לקבל היתר או רישיון מהרשות, וכן לגורמים הנוספים האמורים.

“כבר כיום, פרקים ז’1 ו-ז’2 לחוק ניירות ערך מסדירים את אופן הדיווח וההתכתבות בין הרשות לבין הגופים המפוקחים על ידה, באמצעות מערכות דיווח אלקטרוני ודואר אלקטרוני מאובטח. פרקים אלה מסדירים אמנם את מירב התקשורת של הרשות עם הגופים המפוקחים על-ידה אך אינם מסדירים את אופן ההתכתבות ומתן המענה בין הרשות לגורמים מסוימים, בין היתר, יחידים בעלי רישיון, גורמים המצויים בהליכים לקבלת רישיון או היתר מהרשות, כגון נבחנים בבחינות הרישוי.

“הכללת הרשות בהצעת החוק צפויה לפיכך להקל הן על הרשות הן על ציבור הגורמים הפונים אליה במתן שירות דיגיטלי נגיש, נוח ויעיל יותר, להשלים את ההסדרים הקיימים בחוק ניירות ערך שמאפשרים תקשורת אלקטרונית בטוחה ויעילה, ובכך להקנות ודאות משפטית בפרקי זמן קצרים יותר, בכפוף לעמידה בתנאים הנזכרים בהצעת החוק”.

* ב- 8 במארס 2022 פנו במכתב משותף עו”ד נעמה מטרסו-קרפל מנכ”לית פרטיות ישראל; ד”ר דלית קן-דרור פלדמן מהקליניקה למשפט טכנולוגיה וסייבר בפקולטה למשפטים שבאוניברסיטת חיפה; ד”ר אסף וינר, סמנכ”ל רגולציה ומדיניות, איגוד האינטרנט הישראלי.

השלושה כותבים בין השאר בפנייה שלהם: “הארגונים החתומים מטה, מתכבדים להגיש לוועדה הנכבדה את עמדתם ביחס לנושא שבנדון, בהתאם לבקשת יו”ר הוועדה במהלך הדיון שהתקיים ביום ראשון, 6 במארס 2022. עמדה זו נכתבה לאחר היוועצות עם מומחים בתחום אבטחת המידע מהאקדמיה ומהתעשייה.

“לפי הניתוח שערכנו, מסר שנשלח לפלטפורמה פרטית ו/או מסחרית, מכיל מספר רבדים של מידע. כל אחד מהרבדים כולל מידע אישי שניתן לעיבוד על-ידי צדדים שלישיים. הצלבה של רבדי המידע השונים אף עשויה להוביל ליצירה או להסקה של מידע נוסף, לרבות מידע רגיש, גם כאשר המידע הגולמי אינו מוגדר כמידע בעל רגישות מיוחדת או כמידע אישי.

“לאור העובדה שפוטנציאל הפגיעה בפרטיות עלול להתגלות רק לאחר שליחת המידע, אנו סבורים כי יש להחיל סטנדרט אבטחה גבוה וזהה על כלל סוגי המסרים שעתידה המדינה לשלוח באמצעות מנגנון הדיוור הדיגיטלי, מבלי לערוך הבחנה בין סוגי המידע השונים”.

בסיכום המסמך נאמר: “לאור כל זאת, בכל מסר דיגיטלי ישנו סיכון הן לכריית תוכן המסר ו/או הצרופה, והן להסקת מסקנות על תוכן המסר מנתוני המעטפת או מנתונים טכנולוגיים אחרים (מטה-מידע). על מנת למנוע את הסיכונים הללו, נציע לשמור על אחידות בשליחת כלל המסרים כך שיאובטחו כולם באותה רמת האבטחה.

“לשם השלמת התמונה, אנו סבורים כי התפתחויות טכנולוגיות שונות, הן בצד השולח (המדינה) והן בצד המקבל (התושב), עשויות לשנות את מכלול הסיכונים הנגזרים מהפעלת מנגנון דיוור דיגיטלי ממשלתי. לשם מתן מענה לסיכונים משתנים אלו, יש לדעתנו לחייב בחקיקה ראשית עריכת סקר סיכוני פרטיות עיתי (Assessment Impact Protection Data). חובה זו תחייב את מפעילת המערכת להעריך מראש את כלל הסיכונים, השיקולים והתהליכים הנוגעים לשירות הדיוור בצורה מסודרת ומתודולוגית, אחת לתקופה שתקבע. התוצאה של סקר זה, היא בהכרח צמצום משמעותי של הסיכונים הנוגעים לניהול מידע אישי ומניעת פגיעה שלא לצורך בזכות לפרטיות של תושבי ותושבות המדינה”.