חומר רקע
1
:לכבוד
מר
רועי גולדשמידט
רכז בכיר מחקר ומידע לועדת המדע והטכנולוגיה
מרכז המחקר של הכנסת
רועי שלום,
:הנדון
בקשתך ל
מידע בנושא פרטיות בטלפונים ניידים ובאינטרנט
פנייתך אלינו מ-
6.7.16
אני מודה לך :על פנייתך לאיגוד האינטרנט הישראלי (להלן
האיגוד) בסוגיה שבנדון . האיגוד רואה בהגנת הפרטיות
נושא
חשוב מאין כמוהו בעידן הדיגיטלי, ש
חשוב וחיוני ש
הכנסת תעסוק בו.
מענה מפורט לשאלותיך ניתן במסמך זה, אך בטרם נענה נבקש לציין כי האיגוד קיים לאחרונה( סקר גדול אשר
טרם פורסם
, והוא נמצא בשלבי עיבוד סופיים )על אודות שימוש באינט ,רנט בישראל. במסגרת הסקר נבחנה בין
,היתר .עמדת הציבור הישראלי לסוגית הפרטיות באינטרנט במסגרת:הסקר נשאלו הנסקרים
א.
מהם הנושאים שמדאיגים אותך באינטרנט? מרבית העונים (כ-
37%
) ענו כי הנושא שהכי מדאיג אותם
באינטרנט הוא החשש מפגיעה בפרטיות שלהם (גניבת מידע אישי, ה.)'פצת נתונים אודותיהם וכד
ב.
33%
.מהנסקרים ענו כי היו רוצים ללמוד טיפים לשמירה על פרטיותם במחשב ובסלולר
ג.
עוד נמצא בסקר כי אחוזים גדולים מהציבור עושים פעולות שונות למען שמירה על פרטיותם. בין הפעולות
הפופולריות–
עדכון ססמאות בתדירות גבוהה (כ-
24%
), אי העלאת תמונות חושפניות שלו או של בני
משפחתו (כ-
16%
.) וכן הלאה
.כאמור, נתוני הסקר המלאים עדיין לא פורסמו והם צפויים להתפרסם בתקופה הקרובה
ו במענה לשאלותיך-
כיצד פועל איגוד האינטרנט בנושא הגנת הפרטיות בטלפון הנייד ו/או
?ברשת האינטרנט
:איגוד האינטרנט פועל בסוגיות פרטיות ברשת במספר רבדים. להלן עיקרם
א.
כחלק מפעילות
ו , מפעיל
ה איגוד מרכז לאינטרנט בטוח(
www.safe.org.il
)
אשר מטרתו ,לתת תמיכה
ייעוץ וטיפול בפגיעות ברשת ו להגביר את המודעות לשימוש נבון ברשת בקרב
כלל האוכלוסיה, ובפרט ב בני
,נוער, הורים מחנכים.ועוד
בין
כלל
הנושאים המטופלים ע"י המרכז לאינטרנט בטוח
נמצאת
הפרטיות
.ברשת בנושא
האיגוד
שפרסם
וכללים
וכלים
רב
מידע
האיגוד
באתר
:(ראהhttp://www.isoc.org.il/safe/privacy
.)
מתוך
למעלה מ-
3000
פניות שהגיעו למרכז לאינטרנט
בטוח של האיגוד במהלך שנת2015
,
10%
מהן עסקו בסוגיות של( פגיעה בפרטיות פריצה לחשבון, הפצת
'פרטים אישיים וכד ). ראה מצ"ב גרף המציג את התפלגות הפניות לפי סוגי הפגיעות וסוגי השירותים
.לגביהם מדווחות הפגיעות
כלים וכללים אלה לשמירה על פרטיות ברשת מועברים דרך קבע גם למגזר דובר הערבית במסגרת
פעילותנו הנרחבת במגזר
להגברת המודעות ולקידום האוריינות הדיגיטלית.
2
ב.
במסגרת תוכנית העבודה של האיגוד לשנת2016
נכתב בימים אלה ,, על ידי מומחה ששכרנו מסמך הצעה
ל מדיניות לאומית שעניינו"פרטיות קטינים", שהוא תת-
.נושא חשוב של סוגיות הפרטיות ברשת
ג.
האיגוד גם פועל לשיפור הפרטיות של משתמשי הרשת ברבדים הטכנולוגים שהוא מנהל. השבוע הסתיים
השלב הראשון בהקמת תשתיתDNSSEC
על ידי איגוד האינטרנט, תשתית אשר תמנע אפשרות של
הפניית גלישה מאתרים אמיתי ים לאתרים מתחזים, ובין היתר לגנוב דרך האתר המתחזה פרטי מידע
.)שונים על אודות הגולשים (כגון שמות משתמש, סיסמאות ופרטים אישיים נוספים
,בנוסף
בוחן האיגוד
בימים אלה את מדיניות פרסום המידע במסגרת שירות ה-
whois
, במסגרתו ניתן לעיין במידע על אודות
מי שהוא מחזיק בשם מתחם תחת הסיומת.IL
., מרשם המנוהל על ידי האיגוד
האם להבנת האיגוד, היקפי האיסוף של מידע אישי של משתמש הקצה והשימוש בו ע"י גורמים שונים
מהווים סיכון לפרטיותם או לאבטחת המידע?של הציבור בישראל
השימוש ברשת
האינטרנט ו בשירותי
סלולר כרוך ב .איסוף מתמיד של מידע חלק מהמידע נדרש באופן
מהותי לצורך אספקת השירות–
לדוגמא,
מפעיל סלולרי נדרש לתעד את מיקום הטלפון הנייד על בסיס
של
מיקום
ה אנטנות שלו הפרושות ברחבי הארץ כדי לספק לו
את ה שירותים
ה
שונים .
,בדומה
ספק שירותי
גישה לאינטרנט(ISP)
נדרש לתעד פעולות מסוימות של גלישת הלקוחות לצורך תפעול מערך האינטרנט
.ולשם הגנה עליו
אשר
לסוגית אבטחת המידע, הרי שבאופן טבעי ככל
שנצבר מידע רב יותר, הסיכון לדליפתו גדל(
הן מאחר
והוא אטקרטיבי יותר לתוקף, והן משום שיש יותר מה שידלוף החוצה, מתוך רשלנות או במזיד) .
לכן אין
בעיה לקבוע, כי סיכוני אבטחת המידע הולכים וגדלים, ועדות לכך אנו רואים בגידול באירועי גניבה ו/או
דליפה של מידע אישי, החל בפרשת ה"אגרון" ומרשם האוכלוסין, וכלה באירועי הענק בארה"
ב של חדירה
לבסיסי נתונים רגישים של הממשל האמריקאי, או בגניבה של מידע אישי מרשתות צרכניות כגוןTarget
.'וכד
אשר לפגיעה בפרטיות, הרי שעל שאלה זו קשה יותר לענות שכן יש צורך להגדיר קודם–
פרטיות ,מהי
ופגיעה בפרטיות מהי?
התובנה
המקובלת היא ש
איסו ף ,ואגירה של מידע בין אם באופן ישיר הקשור לזהות של אדם(
כגון מספר
טלפון)
., או כזה שניתן להסיק ממנו על זהותו של האדם, מעלים את פוטנציאל הפגיעה בפרטיות ל עניין זה
ראוי לציין, כי מומחי פרטיות גורסים .שעצם איסוף המידע ושמירתו במאגר מידע, הינה פגיעה בפרטיות
הסיבה
לכך הינה שכאשר אדם יודע שמידע מסוים שמור לגב יו, וכי מן דהוא יוכל לעשות בו שימוש, הוא
ישנה את התנהגותו בשל עובדה זו בלבד, אף אם ל .א יעשה כל שימוש במידע בפועל זו ההנחה הפועלת
בבסיס הפרישה המסיבית של מצלמות אבטחה ברחבי הערים–
ההנחה שעצם ,הידיעה כי המרחב מצולם
יג.רום לאנשים לשנות את התנהגותם ולהמנע מפעולות לא חוקיות
פגיעה בפרטיות עשויה להגיע משימוש
ו
של
אוגר
המידע במידע למטרות שונות מאשר אלה הידועות
והמובנות לנושא המידע(data subject), ול
ה .ן לכאורה נתן את הסכמתו,בדומה
,איסוף יתר של מידע
שאינו נדרש באופן ישיר לצורך אספקת השירות מגדיל את הסיכון לפגיעה בפרטיות
הן בשל היקף המידע
שנאסף, והן בשל הגדלת האפשרות לפגיעה בפרטיות על בסיס מידע זה .
הפגיעה בפרטיות
עשויה להגיע ,
3
,כמובן
גם מאירוע בו ישיג צד שלישי אפשרות שימוש במידע, מבלי לקבל את הסכמתו של נושא המידע
ואף לא
של מי שאסף את המידע למטר
יו תו.
מאחר ובדין הישראלי אין חובת מחיקה מוגדרת של מידע, ועלויות נפחי האחסון של מידע דיגיטלי הולכות
קו טנות באופן דרמטי, יש לקחת בחשבון כי מידע רב נאסף על .אודות משתמשים ישראלים ברשת מידע
זה
נאסף על ידי תאגידים ישראלים וזרים
, גופי מדינה ישראלים ויש להניח שגם גופי מדינה זרים , על ידי
גופים ללא מטרות רווח וכן גם על ידי יחידים.
בשנים האחרונות התפתחו מודלים כלכליים המתמרצים אנשים לייצר מידע על אודותם, ולחלוק אותו עם
.גופםי שונים תמרוץ
זה בא, בעיקר, ממודלים כלכ ליים של מתן שירותים בחינם, תוך מימון פעילות
השירות משימוש שונים
במידע
.האישי שנצבר
בדרך כלל השימוש שנעשה במידע האישי הוא
ל
התאמת
פרסומות ל פרופיל הספציפי של
משתמש האינטרנט
בהתאם לאפיון שלו, הנבנה על בסיס המידע שנאסף על
אודותיו. מ ודל זה מגדיל את היקף המידע הנוצר, נאסף ומופץ על אודות נושאי מידע, וטומן בחובו כמובן
סיכון גדול.יותר לפרטיות בשל כך
האמצעים
הטכנול
וג
ים הקשורים בשימוש באינטרנט וברשת הסלו לרית מכילים בתוכן חיישנים רבים
האוספים מידע באופן רציף ואוטונומי(כגון חיישני תנועה ו-
GPS
, מצלמות, מקלטיwifi
), ואנחנו
,בפתחו
אם לא בעיצומו, של עידן ה-
IOT (Internet of Things)
שבו מילארדי סנסורים יאספו פרטי מידע שונים
.וישדרו אותם למערכות אשר ינתחו אותם לצורך פעולה אופטימלית מסוימת
ל סיכומה של תשובה זו, ברור כי היקפי איסוף המידע והשימוש בו על ידי השחקנים השונים מעלה את
.הסיכון לפרטיות של האזרחים בצד זה, המודעות של הציבור הישראלי לנושאי
ה פרטיות
לעומקם
אינה
גבוהה, וזאת
למרות שהמסגרת החקיקתית בישראל מספקת הגנה חוקתית
לפרטיות
ובאופן קבוע
בס
קרים פרטיות מו עלת כחשש עיקרי בהקשר של
שימוש ב.אינטרנט
החסמים המרכזיים
למימוש יעיל של הגנה על הפרטיות
החסמים
המרכזיים בישראל למימוש יעיל של הגנה על הפרטיות הינם, לדעת כו
תב מסמך זה:
א.
העדר מודעות
של הציבור
הרחב
ל
חשיבותה של ה
הגנה על ה
פרטיות למשטר החיים הדמוקרטי. ה עדר
.מודעות זה קיים גם בגופי מדינה שונים, וגם אצל מחוקקים
ב.
העדר
הבנה של הציבור
הרחב ושל המחוקק
להשלכה של המודלים הכלכליים
והעסקיים של האינטרנט
על פרטיות האזרחים
, ובחינה מעמיקה של ה איזון הנכון בין השימושיות המתקבלת משירותי אינטרנט
שונים אל מול הסיכו.ן שבאיסוף המסיבי של המידע
ג.
העדר
דיון ציבורי
בבית המחוקקים ובתקשורת על סוגיות הקשורות בפרטיות, והשארת הנושא לקבוצה
.קטנה של מומחים הדוגמה המובהק
ת לכך היא תהליך החקיקה בנושא המאגר הביומטרי, אש ר נוהל
כמעט לכל אורכו על ידי חבר כנסת אחד ,קבוצה של נציגים מארגוני זכויות אזרח
שונים ומספר פקידי
.מדינה
ד.
חקיקה לא עדכנית–
חוק
הגנת הפרטיות, התשמ"א-
1981
עבר את השינוי האחרון הקשור ישירות
ובמובהק בסוגיות של מידע ממוחשב בשנת1996
)!(
', במסגרת תיקון מס4
.לחוק,מאז
למרות שינוי
4
.טכנולוגי עצום בסביבת החיים של האזרח, לא שונה החוק גם התקנות אשר תוקנו מכח החוק, אינן
עדכניות–
תקנות אבטחת המידע נוסחו בשנת1986
)!(
., עוד בטרם חדר האינטרנט לשימוש מסחרי ונפוץ
תקנות
העברת מידע לח
ו"
ל נוסחו בשנת2001
.
ה.
משטר
רגולציה חסר משאבים –
בשל
ה
מורכבות הטכנולו
גית והעסקית של האינטרנט, נדרש ש
ל רגולטור
העוסק ב .נושא יהיה ידע עמוק בסוגיות שעל הפרק, כמו גם משאבים כדי לקיים רגולציה אפקטיבית
משאבים
אלה הינן:
סמכויות מודרניות לניהול רגולציה אפקטיבית, חוק ברור ומודרני המאזן באופן ראוי
בין פוטנציאל הפגיעה בפרטיות ובין השימוש הנדרש במידע
אישי ומשאבים כספיים להפעלת המסגרת
הרגולטורית הנ"ל, ו לצורך.ביצוע מחקרים ועידוד טכנולוגיות משפרות פרטיות
ו.
ה פקדת
קידום התהליך החקיקתי בידי מחלקת ייעוץ וחקיק
ה –
ו לא בידי הרגולטור המדינתי(
הרשות
ל
משפט, טכנולוגיה ומידע)
., בניגוד למקובל אצל רגולטורים אחרים על בסיס עקרון ההתמחות
ז.
מודל העסקים באינטרנט לפיוhe winner takes it all
t –
מודל זה נותן עדיפות
מ ובהקת לגוף גדול
ראשון שתופס את נתח השוק
העיקרי (
,רשת חברתית, מנוע חיפוש'מערכת מסחר אלקטרוני וכד) .
התוצאה של תהליך זה היא שלא נעשית בפועל"בחירה"
, ועל כן לא מתקיימת"הסכמה"
לעיבוד המידע
.האישי, כי אין מעשית חלופה אחרת
ח.
ה בינלאומיות
של האינטרנט והעדרו של משטר משפטי גלובלי –
האינטרנט ,הוא, כידוע, חסר גבולות
ד ונע .ר משטר משפטי אחיד התוצאה
של
טבעו זה של האינטרנט היא שמקום שיש בו ארביטראג' רגולטורי
.ו/או משפטי, העסקים ישאפו לפעול משם ל א בכדי רוב שירותי המידע שיש להם פוטנציאל
גבוה ל פגיעה
בפרטיות , כגוןgoogle
,
Facebook
ודומיהם קמו בארה"
ב שם הגישה לפרטיות היא מקלה יותר יחסית
.לאירופה, כדוגמא
הפעילות הבינלאומית מקשה גם על פעולות אכיפה מעבר לגבול, בפרט לגופי אכיפה
.מוגבלים במשאבים ונעדרי מסגרת חקיקתית עדכנית
האם המסגרות החוקיות והרגולטוריות בישראל
מספקות מענה הולם?
המסגרת החוקית והרגולטורית בישראל אינה מספקת מענה הולם, מאחר ועיקרה גובש בשנת1981
, והיא עודכנה
לאחרונה בהקשר של שירותי מידע בשנת1996
,
.כאמור עניין
זה פוגע בכולם:
א.
מחד ,גיסא האזרחים
אינם מוגנים מספיק
מהאתגרים החדשים של פגיעה בפרטיות העולים משירותים
.חדשים באינטרנט מאידך,גיסא, מאחר והחוק אינו עדכני
גם נמנעים מהם שירותים חדשניים
ה מבוססים
על מידע
, ש קשה לממשם בשל מגבלות
הקבועות ב
חוק.
ב.
עסקים
אף הם מבקשים לצורך פעולת
ם וודאות רגולטורית
, קרי עקרונות ברורים של מותר ואסור
מחד
גיסא. אי מ דך
גיסא, הם נדרשים ל עדכניות רגולטורית כדי לפתח שירותים ומוצרים חדשניים המבוססים
על שימוש במידע אישי לטובת הציבור.
על מדינת ישראל לחוק חוק הגנת מידע אישי מודרני, אשר יאזן באופן נכון בין הצורך המהותי בהגנה על פרטיות
של הצי
בור מפני שלל טכנולוגיות ו .מודלים עסקיים המאפשרים פגיעה בפרטיות אך האיזון בחוק צריך לאפשר גם
.פעולה, באופן ראוי, של שירותים שונים המבוססים על מידע אישי, כמובן תוך שמירה על פרטיות האזרחים
5
חוק חדש זה צריך לגבש מסגרת רגולטורית אפקטיבית, אשר תיתן בידי
הרגולטור כלים לצורך הג
נה על הפרטיות
מפני איומים המגיעים מהמדינה, מהמגזר העסקי והשלישי ומיחידים, אך
גם כלים לקדם יוזמות ראויות של
שימוש במידע שנעצרות בשל חוסר היכול.ת המערכתית להתמודד עם קצב שינוי הטכנולוגיה
על החוק לאפשר אכיפה אזרחית מודרנית, בדרך של החלת חוק תובענות ייצוגיות באופן ברור ומושכל על אירועי
פגיעה.בפרטיות
על הכנסת לדרוש ממשרד המשפטים להציג תוך פרק זמן קצר הצעת חוק לחוק הגנת מידע אישי, אשר יסדיר
מחדש את הכללים לפיהם יש לאסוף ולעבד מידע
אישי(כגון:
הכנסת
חובה לעיצוב לפרטיות(Privacy by
(design
בכל תכנון, יישום והפעלה של מערכת המנהלת מידע אישי
או חובת הודעה על כשל אבטחת מידע
(breach notification notice)
)
וכן מסגרת רגולטורית עדכנית ואפטקיבית של
רשות להגנת מידע אישי , אשר
.תתוקצב באופן ראוי התואם את היקף המשימות
,בברכה
עו"ד יורם הכהן
מנכ"ל
איגוד האינטרנט הישראלי(ע"ר)