חומר רקע
י' בטבת התשע"ז
8 בינואר 2017
אל: חברי ועדת החוקה, חוק ומשפט
מאת: הייעוץ המשפטי לוועדה
תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016
מאגרי מידע – רקע
חוק הגנת הפרטיות, התשמ"א-1981 (להלן – החוק), קובע הוראות לגבי הגנה על הפרטיות במאגרי מידע. ההגדרה בחוק של "מאגר מידע" היא רחבה, והיא כוללת כל אוסף של נתוני מידע המיועד לעיבוד ממוחשב, למעט אם מדובר באוסף לשימוש אישי שאינו למטרות עסק או באוסף הכולל רק שם, כתובת ודרכי התקשרות שאינו יוצר איפיון שיש בו פגיעה בפרטיות (סעיף 7 לחוק).
בעל מאגר מידע חייב לרשום את המאגר בפנקס מאגרי המידע, ואסור לו לנהל את המאגר או להחזיק בו ללא רישום כאמור, בכל אחד מהמקרים הבאים (סעיף 8(א) ו-(ג) לחוק):
אם מספר האנשים שמידע עליהם נמצא במאגר עולה על 10,000;
יש במאגר "מידע רגיש";
המאגר כולל מידע על אנשים, והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם;
מדובר במאגר של "גוף ציבורי";
מאגר המשמש ל"שירותי דיוור ישיר".
ואולם, חובת הרישום אינה חלה על מאגר שמכיל אך ורק מידע שפורסם לרבים על פי סמכות כדין או שהועמד לעיון הרבים על פי סמכות כדין (סעיף 8(ד) לחוק). עוד קובע החוק, כי אסור לעשות שימוש במידע שבמאגר מידע שחייב ברישום, אלא למטרה שלשמה הוקם המאגר (סעיף 8(ב) לחוק).
מיום 11.4.1996
תיקון מס' 4
ס"ח תשנ"ו מס' 1589 מיום 11.4.1996 עמ' 290 (ה"ח 2234)
אבטחת מידע במאגרי מידע – הדין הקיים
אחת מהחובות המרכזיות שהחוק מטיל על בעל מאגר מידע, היא האחריות על אבטחת המידע שבמאגר (סעיף 17 לחוק), שמטרתה צמצום החשש מפני שימוש לרעה במידע שבמאגר או פגיעה בשלמות המידע. לעניין זה, "אבטחת מידע" מוגדרת כ"הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין" (סעיף 7 לחוק).
תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), תשמ"ו-1986 (להלן – התקנות הקיימות) שהותקנו מכוח החוק, מטילות כבר היום חובות שונים בתחום אבטחת המידע, ובכלל זה: קיום הגנה פיזית על מערכות המאגר; מתן הרשאות גישה למאגר; נקיטת אמצעי אבטחה למניעת חדירה למערכת; יצירת קובץ נהלים; רישום הרשאות גישה; ניהול יומן אירועים חריגים, ועוד (תקנות 3(ב), 9, 14 ו-15 לתקנות הקיימות).
התקנות המוצעות
התקנות המוצעות מבקשות לקבוע את כללי אבטחת המידע הקשורים בניהול ובשימוש במידע במאגרי מידע, מתוך מטרה של הגנה על זכויות נושאי המידע במאגר המידע, מפני שימוש לרעה במידע אודותיהם הן על ידי גורמים מחוץ לארגון והן על ידי העובדים.
המנגנונים המוצעים בתקנות נחלקים לשני רבדים מרכזיים:
רובד אחד קובע מנגנונים וכלים פנים-ארגוניים, שלפי דברי ההסבר לתקנות המוצעות, מטרתם הפיכת אבטחת המידע במאגר המידע, בהתאם למאפייני המאגר, לחלק משגרת ניהול הארגון בכלל וניהול המידע בפרט. כך, למשל, מוצע לחייב את בעל המאגר לכתוב מסמך עם הגדרות המאגר (תקנה 2(א)), לכתוב מסמך של מיפוי מערכות המאגר (תקנה 5(א)), לקיים הדרכה לעובדים כל תקופת זמן (תקנה 7(ג)), לקיים דיון באירועי אבטחה כל תקופת זמן (תקנה 7(ג)), ועוד.
רובד שני קובע הוראות מהותיות בתחום אבטחת המידע. כך, למשל, מוצע לחייב בעלי מאגרים ברמת אבטחה מסוימת לבצע סקר סיכוני אבטחת מידע (תקנה 5(ג)), לתעד כניסה ויציאה מהאתרים הפיזיים שבהם נמצאים מערכות המאגר (תקנה 6(ב)), להתקין מנגנון תיעוד אוטומטי שמאפשר בקרה על הגישה למערכות המאגר (תקנה 10(א)), לקבוע הוראות באשר להתקנים ניידים (תקנה 12), ועוד.
בהתאם להוראות סעיף 17 לחוק, האחריות הכוללת לעמידה בתקנות המוצעות, תהיה של בעל מאגר המידע (כלומר, הגוף הציבורי או הפרטי שלמטרותיו ולצרכיו המידע נאסף ומעובד), מנהל המאגר (כלומר, מנכ"ל הגוף או בכיר אחר שהוא הסמיך לכך), ומרבית החובות יחולו באופן דומה גם על המחזיק במאגר מידע (כלומר, הגוף שאחראי על הפעלת המאגר והתחזוקה שלו) (תקנה 19).
בשל המגוון הרחב של גופים שמעבדים מידע במסגרת מאגרי מידע, התקנות המוצעות מבחינות בין 4 סוגים של מאגרים:
מאגר ברמת אבטחה גבוהה;
מאגר ברמת אבטחה בינונית;
מאגר ברמת אבטחה בסיסית;
ומאגר המנוהל בידי יחיד.
את רמת הרגישות של המאגרים מוצע לקבוע בהתאם לשילוב של מספר פרמטרים: היקף מורשי הגישה למידע שבמאגר, כמות האנשים שאודותיהם יש מידע במאגר וסוג המידע המעובד במאגר. ההנחה היא שנוסף על רגישות המידע, גם היקף החשיפה של המידע למספר רב יותר של מורשי גישה, כמו גם היקף רחב יותר של אנשים שאודותיהם יש מידע במאגר, מגבירים את סיכוני אבטחת המידע שהמאגר מעורר, ועל כן מוצדק לדרוש מהמאגר רמת אבטחה גבוהה יותר. לפיכך, התקנות המוצעות הן מודולריות, בכך שהן מחילות חובות ברמה הולכת וגדלה ככל שהמאגר הוא מאגר שפעילות עיבוד המידע שבו, בהקשר של חוק הגנת הפרטיות, היא משמעותיות יותר ורמת האבטחה הנדרשת בו היא גבוהה יותר.
נקודות לדיון
נוסף על הערות נקודתיות ביחס לתקנה זו או אחרת, שיוצגו במהלך הדיונים בוועדה, יש מספר סוגיות עקרוניות כלליות שמוצע לוועדה לתת עליהן את הדעת:
(1) בעלי מאגרי מידע קטנים / ביתיים – ההגדרה הרחבה הקיימת בחוק ל"מאגר מידע", מובילה למציאות שבה הרבה אנשים פרטיים או עסקים קטנים המחזיקים בקבצי מידע במחשב האישי או במחשב שבעסק, נחשבים ל"מאגר מידע" שהחובות המוצעות של אבטחת המידע יחולו עליהם. כפי שצוין, התקנות הן מודולריות וכוללות דרגה של "מאגר המנוהל בידי יחיד", שנועדה, בין היתר, לתת מענה לאותם המקרים האמורים, מתוך הבנה שרמת הסיכון של מאגרים אלה, בדרך כלל, היא נמוכה יותר, ושלא ניתן להטיל על בעלי מאגרים שכאלה את אותו היקף של חובות המוטלות על מאגרים של גופים עסקיים גדולים ומאורגנים.
מוצע לוועדה לתת את הדעת על מספר היבטים של סוגיה זו:
כיצד נכון להגדיר "מאגר המנוהל בידי יחיד"? האם רק כאשר מדובר במאגר שאדם בודד הוא בעל הגישה למאגר יש מקום להפחית את היקף הדרישות, או שיש מקום להרחיב את ההגדרה למקרים נוספים של מאגרים קטנים / ביתיים?
מה היקפן וטיבן של החובות שנכון שיחולו על אותם מאגרים המנוהלים בידי יחיד?
עד כמה ניתן לצפות שבעלי מאגרי מידע קטנים / ביתיים יהיו מודעים לחובות אבטחת המידע שיחולו עליהם מכוח התקנות המוצעות, ועד כמה יש היתכנות מעשית ליישומן של חובות אלה?
(2) רמת האבטחה הנדרשת לפי התקנות המוצעות – התקנות המוצעות מטילות דרישות אבטחה שונות על בעלי מאגרי מידע, בהתאם לסוג המאגר ורמת האבטחה הנדרשת בו. מוצע לוועדה לקבל נתונים ומידע מקצועי באשר לטיבן של דרישות האבטחה המוצעות, והאם הן תואמות את הסטנדרט המקובל של אבטחת מידע או שמא הן מחמירות או מקלות יותר מהסטנדרט הקיים.
(3) המשמעות הכלכלית של הטלת חובות האבטחה המוצעות – בשים לב לעובדה שגם היום חלה על בעלי מאגרי מידע חובת אבטחת מידע לפי החוק (אם כי ללא הפירוט שבתקנות המוצעות), ושחלק מבעלי המאגרים כבר היום נוקטים באמצעי אבטחת מידע ולכן לא כל הדרישות שבתקנות יטילו על בעלי מאגרים עלויות חדשות, יש מקום לבחון מהי המשמעות הכלכלית – ככל שישנה – של חובות האבטחה שיוטלו על מאגרי המידע בכל אחת מ-4 סוגים המאגרים?
(4) טיב החלוקה בין סוגי מאגרי המידע השונים – כפי שצוין לעיל, החלוקה בין סוגי המאגרים השונים, מבוססת על תמהיל של היקף מורשי הגישה למידע שבמאגר, כמות האנשים שאודותיהם יש מידע במאגר וסוג המידע המעובד במאגר. בהקשר זה, יש מקום לבחון את טיב התמהיל בין הפרמטרים השונים, והאם יש מקום לאיזון שונה בין הפרמטרים שמגדירים את סוגי מאגרי המידע השונים.