חומר רקע

PDF 37,261 תווים המסמך המקורי ↗
13 באוקטובר2021 לכבוד ועדת הכלכלה של הכנסת ,שלום רב :הנדון הערות איגוד הבנקים להצעת חוק שירות מידע פיננסי, התשפ"א- 2021 איגוד הבנקים בישראל1 מתכבד להגיש בזה את הערותיו הכתובות לסעיפים1 עד40 להצעת החוק שבנדון , כפי שהוצגו על ידי נציגינו בעל פה בדיוני הוועדה. ,נעשה כל מאמץ להעביר את הערותינו ליתר סעיפי הצעת החוק .מוקדם ככל שניתן איגוד הבנקים מברך על הצעת החוק ומכיר בחשיבות הרבה הטמונה בקידו ם ההסדרה של תחום שיתוף המידע הפיננסי בישראל, בדומה לרפורמת ה - PSD2 האירופאית , במטרה לצמצם את פערי המידע , לייעל את השירותים הפיננסיים בישראל .ולקדם את התחרות בשוק יחד עם זאת, מצאנו לנכון להביא בפניכם מספר הערות ו הסתייגויות ממוקדות ומהותיות ביחס לחלק מההוראות הנכללות ב הצעת החוק , ו.הכל כמפורט להלן הערותינו יובאו בהתאם לסדר הסעיפים ולאו דוו .קא בהתאם לחשיבות ההערות .א 'הערות לפרק א– הגדרות 1. "להגדרת המונח "מידע פיננסי – יש להבהיר כי המידע הפיננסי האמור בחוק זה הינו המידע הפיננסי .המתקבל במערכת הממשק למידע פיננסי, בלבד, ולא כל מידע פיננסי אחר, המצוי בידי הגוף הפיננסי 2. להגדרת המונח "מערכת הממש"ק למידע פיננסי – בדברי ההסבר להגדרת מונח זה הובהר, מחד, כי ישנה ;חשיבות להבטיח כי המנגנון הטכנולוגי המאובטח של נותני השירות עם מקורות המידע השונים יהיה אחיד ומאידך, כי כל מאסדר מקור מידע יוכל לקבוע סטנדרטיזציה של מערכת הממשק, בעבור כל מקורות המידע שבפיקוחו, ובכלל זה את או .פן יישומם של המאפיינים הקבועים למערכת האמורה בתוספת השנייה המוצעת עולה החשש, שמא כל מאסדר ומאסדר של מקורות המידע השונים, יקבע סטנדרטיזציה שונה כאמור, שלא .תהיה תואמת את הסטנדרטיזציה שתקבע על ידי מאסדר אחר 1 עמדת איגוד הבנקים בנושא זה אינה מייצ גת את עמדת הבנק הדיגיטלי הראשון - 2 - אנו סבורים, כי אין הצדקה לקיומם של סטנדרטים שוני ם בין מקורות המידע השונים, כאשר מדובר באותו "מגרש משחקים", וכי יש לפעול לכך שכלל הגופים שיפעלו בסביבת הבנקאות הפתוחה, יפעלו על פי אותו סטנדרט. בנוסף, הואיל וכידוע, בנק ישראל כבר קבע זה מכבר סטנדרט, שכבר פותח על ידי הבנקים, נבקש כי סטנדרט זה יחול על כלל מקו .רות המידע 3. להגדרות המונחים "מקור מידע" ו- ""סלי מידע : 3.1 . מוצע כי הגדרת המונח "מקור מידע" תכלול כבר כעת, עם חקיקת החוק המוצע, גופים פיננסיים נוספים כמפורט להלן, וכי המחוקק לא יסתפק לעניין זה בסמכות שניתנה לשר כאמור בסעיף קטן (8) להגדרת "מקור מידע" ובאמירה שנ כללה בדברי ההסבר ולפיה "השאיפה היא שבעתיד תוטל חובת מתן הגישה למידע לפי החוק על מקורות מידע שהם גופים פיננסיים נוספים... במטרה ."שלקוח יוכל לקבל את כלל המידע הפיננסי על אודותיו באופן מקוון ומרוכז אמנם, הגדרת "מקור מידע" בהצעת החוק כוללת גופים ,פיננסיים נוספים, שלא נכללו בתזכיר החוק כגון גופים מוסדיים. יחד עם זאת, הגדרה זו חסרה עדיין חברי בורסה, המנהלים כידוע תיקי ניירות ערך עבור לקוחותיהם (שהרי סלי המידע כוללים גם מידע אודות תיק ניירות הערך של הלקוח), ואנו .סבורים כי יש להוסיפם להגדרה כאמור כמ ,ו כן, ובפרט לגבי הגופים המוסדיים, תחולת הוראות החוק נותרה עדיין מצומצמת הלכה למעשה לאור הגדרת סלי המידע במסגרת התוספת השלישית לחוק המוצע, המחילה על הגופים המוסדיים .סל מידע על אודות אשראי, בלבד לעניות דעתנו, חוסרים אלו הנזכרים לעיל חוטאים לתכלית החוק, א שר נועד לאפשר לנותני שירותי מידע פיננסי לספק לכלל ציבור הלקוחות במדינת ישראל שירותים מלאים ומקיפים בהתבסס על מצבם הפיננסי הכולל. העובדה כי הצעת החוק אינה מחייבת, עדיין, את כלל נותני השירותים החוץ - בנקאיים להנגיש את מלוא המידע הפיננסי שברשותם במסגרת החוק המו צע, עלולה לפגוע במטרת החוק כאמור, ולהביא את נותני שירותי המידע הפיננסי להציג, בעל כורחם, מידע פיננסי חלקי, חסר .ובלתי מדויק לציבור הלקוחות בהקשר זה, מוצע ללמוד מהניסיון, באשר כבר ראינו, כי מודלים של ייעוץ המתבססים על מידע חלקי ועל חלק מהמוצרים הפיננסיים )הרלבנטיים, בלבד (דוגמת מודל הייעוץ הפנסיוני האובייקטיבי .מתקשים להתרומם ולהצליח - 3 - בנוסף ומבלי לגרוע מהאמור לעיל, אי- ,הכללת סוגי מידע פיננסי אלו במסגרת התוספת השלישית תייצר פגיעה בעיקרון השוויון והפליה שספק אם ניתן להצדיקה, בין הבנקים לבין גופים פיננסיי ם אחרים. פגיעה, אשר ספק רב אם מקבלת מענה מספק במסגרת המגבלה המוצעת בסעיף25 (ד) להצעת .החוק 3.2 . הערות נוספות להגדרת המונח "סלי מידע" והתוספת השלישית : 3.2.1 . מוצע, להוסיף ולהבהיר בהגדרת המונח "סלי מידע" (או לחלופין, בסעיף38 (א) להצעת החוק), כי מקור מידע יהיה מחויב ליתן גישה לנותן שירות מידע פיננסי, רק לאותם סלי .מידע אותם מציג מקור המידע ללקוחותיו באופן מקוון 3.2.2 . עוד מוצע להתאים את תכולת סלי המידע כאמור בתוספת ה שלישית, לזו המוגדרת בהוראה368 ,להוראות ניהול בנקאי תקין ("בנקאות פתוחה") ובתקן הבנקאות הפתוחה על מנת שלא לייצר פער בסוגי הסלים ובפיתוחים שפותחו זה מכבר על ידי הבנקים, כחלק .מהיערכותם למתן השירותים בתחום זה 3.2.3 . עוד נבקש לתקן את התוספת השלישית, כך שסלי המידע ש יחולו על חברות כרטיסי אשראי שאינן נשלטות על ידי בנקים ולפיכך אינן מוגדרות עוד כתאגידי עזר (דוגמת שתי חברות כרטיסי האשראי שהופרדו מהבנקים), יכללו גם את סלי המידע המנויים בפרטים (1) ו-(2 ) לחלק א' לתוספת השלישית, דהיינו, גם סלי מידע המתייחסים ל"חשבון ."תשלום זאת, היה וחברות כרטיסי האשראי כאמור, יבקשו להציע ללקוחותיהן שירותים של ניהול חשבון תשלום כאמור. כך או כך, איננו רואים לעניין זה כל הצדקה להבחין בין חברת כרטיסי אשראי שהיא תאגיד עזר, לבין חברת כרטיסי אשראי שאינה .תאגיד עזר 4. להגדרת המונח "נותן שירות מידע פינ "נסי( "ו"נותן שירות) – מאחר שבעל רישיון, ובעיקר בעל אישור למתן שירות מידע פיננסי, עוסקים, וצפויים לעסוק, גם בתחומים פיננסיים נוספים ואחרים שאינם בהכרח מתן "שירות מידע פיננסי", נבקש לתקן את ההגדרה ולהוסיף בסופה את המילים: "בעיסוקו במתן שירות מידע ."פיננסי - 4 - 5. "להגדרת המונח "שירות מידע פיננסי – ( נבקש, כי בסוגי שירות המידע הפיננסי המנויים בסעיפים קטנים2 ) ו-(3 ) להגדרה זו, יימחקו המילים "באופן מקוון". כידוע, השימושים של נותן שירות במידע פיננסי שנאסף על פי החוק המוצע, יכולים להיות רבים, שונים ומגוונים, ובכלל זה שימ וש עצמי ו/או שימוש לצרכים סטטיסטיים, והכל בכפוף להוראות החוק המוצע ובכפוף לקבלת הסכמת הלקוח כנדרש. לעניין זה ראו גם את דברי ההסבר לסעיף25 (א) להצעת החוק, ולפיהם "שימוש עצמי של נותן השירות במידע יכול להיות רחב יותר ממתן הצעה להתקשרות עם הלקוח ולשמש, בין השא ר, גם לצורך ניטור אחר החזרי הלוואה שניתנה ,"או לצורך ביצוע חיתום". לאור האמור, לא ברור מדוע נדרש להגביל, בהגדרת המונח "שירות מידע פיננסי .את השימוש שיעשה נותן השירות במידע הפיננסי שנאסף על ידו על פי החוק, רק לשימושים באופן מקוון אנו סבורים, כי לא זו היתה כ .וונת המחוקק, וכי המילים "באופן מקוון" התווספו להגדרה בשגגה .ב 'הערות לפרק ב– רישיון מאת הרשות 6. לסעיף2 (" חובת רישיון או אישור") – בכל הכבוד הראוי, אנו מתנגדים בתוקף להחלת החובה הקבועה בסעיף קטן2 (ב), לפיה יידרש מקור מידע לקבל אישור מאת מאסדר מקור המידע לצורך עיסוק במתן שירות מידע פיננסי, על הבנקים. אנו סבורים, כי החלת חובה זו על הבנקים, מלבד היותה חריגה ובלתי מקובלת בהשוואה לדברי חק יקה אחרים בתחום הפיננסי, הינה מיותרת ולא נדרשת, מעוררת קושי משפטי לא מבוטל הכרוך בפגיעה בחופש העיסוק, וצפויה להטיל נטל והכבדה רגולטוריים שלא לצורך על הבנקים, אשר ממילא מפוקחים באופן הדוק על ידי בנק ישראל ביחס לכלל פעילותם, ובפרט לעניין עיסוקם בתחומי הבנקאו ת :הפתוחה 6.1 . עיסוק הבנקים במתן שירות ללקוח הנוגע להתנהלותו הכלכלית מהווה עיסוק קיים, אשר בבסיס ליבת השירותים הבנקאיים : כידוע, הבנקים רשאים לפעול כבר היום מכוח החוק והרישיון הקיים שניתן להם על ידי נגיד בנק ישראל, במגוון תחומי עיסוק המשיקים לשירותי המידע הפיננסי, ובפרט, בתחום "מתן שירות ללקוח הנוגע להתנהלותו הכלכלית" כאמור בסעיף25 (א) רישא. לאור האמור, לא ברור כיצד ניתן להגביל את הבנקים בפעילותם זו (בדרך של הטלת חובה לקבלת אישור מרא ש לעיסוק בפעילות כאמור), ובמיוחד ,כאשר מתן ייעוץ כספי וכלכלי ללקוח הינו בבסיס ליבת השירותים הבנקאיים שבנק נותן ללקוחותיו .השזור בכל פעולה בנקאית, בכל שירות בנקאי ובכל אינטראקציה בין הבנק לבין לקוחותיו 6.2 . חובת האישור פוגעת בחופש העיסוק של הבנקים – פגיעה המתחדדת מקום בו עסקינן בהגבלה של שירות קיים הניתן על ידי הבנקים ללקוחותיהם במהלך העסקים הרגיל זה שנים רבות : - 5 - קביעת מגבלה בדמות הטלת חובת אישור לעיסוקם של הבנקים במתן שירות מידע פיננסי, מהווה ,פגיעה בזכות היסוד החוקתית של הבנקים לחופש העיסוק. כידוע וכפי שנקבע בפסיקת בית המשפט ,העליון הכפפת עיסוק כלשהו לצורך בקבלת רישיון ,(או אישור) מרשות ממשלתית מהווה הגבל ה של חופש העיסוק , אשר חייבת לעמוד בתנאי חוק יסוד: חופש העיסוק, ולהיעשות במשורה ומנימוקים מיוחדים. לעניין זה, ראו למשל דברים שנאמרו בבג"ץ5026/04 ד יזיין22 נ' ראש ענף היתרי עבודה בשבת2: "כל הסדר חקיקתי המגביל את חירותו של האזרח או התושב להיכנס לעיסוק, למקצוע :או למשלח יד או לנהל אותם באופן שבו הוא יבחר לנכון, פוגע בחופש העיסוק שלו '...חופש העיסוק הוא החופש לפעול בגדריהם של עיסוק, של מקצוע או של משל ,ח יד בלא איסורים או הגבלות. אקט שלטוני המטיל הגבלות על דרך הגשמתם של עיסוק, של מקצוע או של משלח יד פוגע... [ב]חופש העיסוק' (בג"ץ4330/93 גאנם נ' ועד מחוז תל- א[ ביב של לשכת עורכי הדין22 '], בעמ 233 ). על כן כל הוראה בחוק הדורשת היתר או רישיון לניהול עסק פוגע :ת בחופש העיסוק' החוק מטיל חובת רישוי. עיסוק שהיה 'חופשי' מכל חובת רישוי הפך למקצוע שהכניסה אליו 'מוסדרת'. מעבר זה פוגע בחוק העיסוק' '(פרשת תנופה, בעמ442 ). " האמור לעיל מקבל משנה תוקף, מקום בו חובת האישור הקבועה בסעיף2 (ב) להצעת החוק דנן, חלה ומתייחסת לפע ילות קיימת, המצויה בליבת השירותים הבנקאיים הניתנים על ידי הבנקים ללקוחותיהם מזה שנים רבות, מכוח הסדרה קיימת. לעניין זה ובהיקש לענייננו, נקבע בפסיקת בית המשפט העליון ב בג"ץ1715/97 לשכת מנהלי ההשקעות בישראל נ' שר האוצר , ביחס להוראות מעבר הקובעות את תחולתו של משטר רישוי חדש המוטל על עוסקים קיימים, כי אלו יעמדו בתנאי המידתיות לגבי העוסקים הקיימים3 :, אך ורק " אם הן מתחשבות באופן הולם במעמדו של העוסק הישן, בניסיון שהצטבר אצלו בניהול ובהשפעתו על הצורך להחיל עליו את כללי הרישוי החלים על העוסק החדש, כולם או מקצתם; אם הן בוחרות במדרגת התחולה שפגיעתה בעוסק הישן היא פחותה בהתחשב בתכלית החוק; ואם התועלת לכלל הצומחת מהן עולה על הנזק הנגרם לעוסקים הישנים. " 2 בג"ץ5026/04 דיזיין22 – שארק דלוקס רהיטים בע"מ ו- 18 אח' נ' רוזנצווייג צביקה, ראש ענף היתרי עבודה בשבת– אגף הפיקוח משרד העבודה והרווחה(, ס1 ) 38 ( 2005 ) . וראו גם בג"ץ1255/94 בזק, החברה הישראלית לתקשורת בע"מ נ' שרת התקשורת(, מט3 ) 661 ( 1995 ) ; עע"מ702/20 א.מ. עומר נכסים והשקעות בע"מ נ' ד"ר משה ברקת הממונה על שוק ההון, ביטוח וחיסכון (נבו13.08.2020 ) ; בג"ץ450/97 תנופה שרותי כוח אדם ואחזקות בע"מ נ' אלי ישי שר העבודה והרווחה [ 21 (עמ'], נב2 ) 433 ( 1998 ) . 3 בג"ץ1715/97 לשכת מנהלי ההשקעות בישראל נ' שר האוצר, (נא4 ) 367 ( 1997 ) . - 6 - 6.3 . ,ממילא, הבנקים מפוקחים באופן הדוק על ידי הפיקוח על הבנקים בבנק ישראל, ובפרט כפופים לדרישות פרטניות ולפיקוח מחמיר של הפיקוח על הבנקים בתחום מתן שירותי הבנקאות הפתוחה: לעניין זה יודגש, כי כידוע, כבר נקבעה על ידי המפקח על הבנקים הוראת ניהול בנקאי תקין ספציפי ת המסדירה את עיסוק הבנקים בתחום הבנקאות הפתוחה (הוראה368 .)להוראות ניהול בנקאי תקין הוראה זו, לא רק שקובעת דרישות מפורטות בהן על התאגידים הבנקאיים לעמוד בהקשר זה, אלא גם מהווה מקור עצמאי של סמכות בידי המפקח, לדרוש מהתאגידים הבנקאיים מידע ומסמכים על פי שיק ול דעתו (ו/או מכוח הוראות הדיווח לפיקוח על הבנקים שנקבעו במקביל) ולערוך ביקורות על ,התאגידים הבנקאיים בקשר עם עיסוקם במתן שירותי בנקאות פתוחה כאמור (בין כמקורות מידע ובין כנותני שירות מידע פיננסי). בנוסף, הוראה368 מחייבת את התאגידים הבנקאיים, לקיים דרישות קיימות שנקבעו זה מכבר בהוראות אחרות (כגון הוראה301 להוראות ניהול בנקאי תקין) ביחס לשירותים בתחום הבנקאות הפתוחה, אשר מעוררות חשש לניגודי עניינים. כך למשל, ראו סעיף49.5 להוראה368 , אשר מחייב את התאגידים הבנקאיים, כאשר הם מציעים שירותים תוך שימוש במידע שה תקבל בידם ממקור מידע, "באופן אשר מונע חשש לניגודי עניינים, ככל שעלולים להיות, עם פעילות אחרת" של אותו תאגיד בנקאי (חובה המתכתבת עם סעיף16 להוראה301 .)כאמור ,זאת ועוד, גם לעניין הדרישות הקונקרטיות החלות על נותן שירות מידע פיננסי על פי החוק המוצע חזקה על הבנקים, כי הם עומדים בדרישות אלו, מכוח הוראות ניהול בנקאי תקין השונות החלות עליהם. כך למשל, ברור כי האמור בסיפה של סעיף13 (ב) לחוק, הקובע כי תנאי לקבלת אישור המאסדר למתן שירות מידע פיננסי על ידי מקור מידע הינו עמידת מקור המידע בדרישות סעיף4 ()(א3 ) להצעת הח ,וק (מיומנות טכנית ואמצעים מתאימים, ובכלל זה דרישות הנוגעות להגנת הפרטיות .אבטחת מידע, הגנת סייבר וניהול סיכונים), אינו רלבנטי ואינו נדרש ככל שמדובר בתאגיד בנקאי בדומה, ברור גם, כי הדרישה הקבועה בסעיף14 (ב), ולפיה על מבקש האישור לצרף תכנית עסקית לבקשתו כאמ ,ור, אינה רלבנטית כלל ביחס לתאגידים הבנקאיים, אשר מפוקחים כידוע באופן הדוק .שוטף ויומיומי על ידי הפיקוח על הבנקים 6.4 . מתן פטור גורף לבנקים מכל חובת רישוי, אישור או היתר, לעסוק בתחומי פעילות קיימים בעולם השירותים הפיננסיים, מהווה מדיניות ופרקטיקה מקובלות ונוה גות בחקיקה הישראלית : - 7 - מתן פטור גורף לבנקים מכל חובת רישוי, אישור או היתר, לעסוק בתחומי פעילות קיימים בעולם השירותים הפיננסיים, מהווה מדיניות ופרקטיקה מקובלות ונוהגות בחקיקה הפיננסית, לרבות בחקיקה פיננסית עדכנית וחדשה מן השנים האחרונות. ראו למשל, סעיף9 ל חו ק הסדרת העיסוק בייעוץ השקעות, בשיווק השקעות ובניהול תיקי השקעות, תשנ"ה- 1995 וסעיף13 (א) לחוק הפיקוח על שירותים פיננסיים (שירותים פיננסיים מוסדרים), תשע"ו- 2016 4. בהקשר זה, ובשים לב לכל הטעמים הנזכרים לעיל, לא מצאנו כל נימוק או סיבה (גם לא בדברי ההסבר להצע .ת החוק) אשר היו עשויים להצדיק בענייננו, חריגה ממדיניות ופרקטיקה קיימות אלו 6.5 . לאור כל האמור, מוצע להסתפק בחובת דיווח של הבנקים לעניין זה, חלף חובת האישור הנזכרת בסעיף2(ב) להצעת החוק : ,לאור כל האמור לעיל, ובדומה לדברי חקיקה אחרים בתחום הפיננסי כאמור לעיל אנו סבורים כי יש לפטור באופן גורף את התאגידים הבנקאיים מכל חובת רישוי או אישור, במסגרת החוק המוצע. חלף חובת האישור הקבועה בסעיף2 (ב) להצעת החוק, מוצע לעגן במסגרת הוראות פרק ב' לחוק חובת דיווח של תאגידים בנקאיים לפיקוח על הבנקים ו/או לרשות, אשר תכלול את הפ רטים הנזכרים בסעיף19 (ב) להצעת החוק. זאת, על מנת שלא לפגוע ביכולתה של הרשות לנהל מרשם של נותני השירות כאמור בסעיף19 הנ"ל, אשר יכלול גם את התאגידים הבנקאיים, וכל זאת, מבלי שתחול על .התאגידים הבנקאיים חובת אישור כאמור 6.6 . לחלופין, מוצע כי חלף חובת האישור הקבו עה בסעיף2 (ב) להצעת החוק, תוקנה למפקח על הבנקים הסמכות ליתן אישור "גנרי" וכללי, שאינו מתייחס לתאגיד בנקאי מסוים, ואשר בו יפורטו התנאים והדרישות בהם על תאגיד בנקאי לעמוד לצורך מתן שירותי מידע פיננסי. והכל, מבלי שיידרש התאגיד הבנקאי להליך פורמלי, בירוקרטי ומ .כביד הכולל פנייה מראש ובכתב למפקח 4 וראו גם סעיף25 כח המוצע לחוק הפיקוח על שירותים פיננסיים (שירותים פיננסיים מוסדרים), תשע"ו- 2016 , אשר נכלל במסגרת תזכיר חוק)... 'הפיקוח על שירותים פיננסיים (שירותים פיננסיים מוסדרים)(תיקון מס (מתן שירותי תשלום), התשע"ח- 2018 , לעניין הצורך .בקבלת רישיון למתן שירותי תשלום - 8 - 7. לסעיף4 )"("תנאים למתן רישיון – אנו סבורים, כי על ההסדרים שייקבעו בחוק המוצע להבטיח את קביעתו של סטנדרט אחיד בהיבטים הנוגעים להגנת הפרטיות, אבטחת מידע, הגנת סייבר וניהול סיכונים, אשר יחול על כלל נותני שירותי המידע הפיננסי, ואשר יהיה זהה לסטנדרט החל בנושאים אלו על הבנקים לרבות מכוח הוראות ניהול בנקאי תקין שמוציא המפקח על הבנקים. אנו סבורים, כי קביעה כאמור, יש לעש ות באופן מפורש ובגוף החוק, וכי לעניין זה לא די בהוראות סעיף68 (ב) להצעת החוק, המסמיכות את השר (אך לא מחייבות אותו) להתקין תקנות כדי להבטיח שמירה על אחידות בהוראות החלות על גופים שונים שמפוקחים .על ידי מאסדרים שונים זאת, בייחוד מקום בו על פי החוק המוצע (ר או סעיף38 (ב) להצעת החוק), בנק, בכובעו כמקור מידע, אינו .רשאי לדרוש מנותן שירות מידע פיננסי להתקשר עמו בהסכם בקשר עם מתן גישה למידע פיננסי החשש הוא, כי בהעדר הסכם כאמור, שבו יוכלו הבנקים לחייב את נותני השירות לעמוד בסטנדרטים נאותים של הגנת הפרטיות, אבטחת מידע והגנת סייבר, יהיו חשופים הבנקים, כמקורות מידע, לטענות ותביעות בגין פגמים במידע שנפלו אצל נותני שירותי המידע הפיננסי. זאת ועוד: קביעת סטנדרט אחיד כאמור, מהווה תנאי בלעדיו אין להצלחת השירות החדש. בהעדר סטנדרט אחיד כאמור, יקשה על הבנקים לנהל את הסיכונים הנובעים ממתן הגישה לנותני שירותי המידע הפיננסי, וחשוב מכך– לא ניתן יהיה להבטיח כי המידע הפיננסי הרגיש הנוגע לכלל ציבור הלקוחות יהיה מוגן כיאות ולא יהיה חשוף לדלף מידע ולמתקפות .סייבר יזומות בנוסף ומבלי לגרוע מהאמור לעיל, אנו סבורים כי אין כל הצדקה לקיו מו של ארביטראז' רגולטורי בין הבנקים לבין נותני שירותים אחרים, בייחוד משעה שכל אותם גופים יפעלו באותו "מגרש משחקים". גם .משום כך, יש להבטיח קביעתו של סטנדרט אחיד כאמור לאור האמור, נדרש כי עמידה בסטנדרט מחמיר כאמור תעוגן כאחד מהתנאים הנכללים בסעיף4 להצעת ה חוק, לקבלת רישיון למתן שירותי מידע פיננסי. בהקשר זה, אנו סבורים כי התנאי האמור בסעיף4 ()(א3 ) איננו מספק, וכי יש לחדד ולהבהיר, בין בגוף סעיף קטן זה ובין על דרך ההפניה לסעיף34 להצעת החוק, כי תנאי לקבלת רישיון למתן שירותי מידע פיננסי הוא קיומם של מנגנונים נא ותים לאבטחת מידע, ניהול סיכונים והגנת סייבר, וזאת לכל הפחות ברמה שאינה נופלת מהמנגנונים המחייבים לעניין זה במערכת .הבנקאית כך גם, יש לקבוע בחוק המוצע (בין בסעיף4 זה ובין בסעיף34 ) הסמכה מתאימה לפיה ייקבעו הוראות מפורטות לעניין הסטנדרט האחיד הנדרש בהקשר זה מבעל רישיון, אשר יבטיח את שמירת המידע אודות הלקוחות, ברמה שלא תפחת מאופן שמירתו היום על ידי הבנקים (אחרת, חזקה שהמידע שיועבר על פי החוק .)מהבנקים לנותני שירותי המידע הפיננסי החוץ בנקאיים, יהיה מוגן פחות בהשוואה להיום - 9 - לפיכך, ולכל הפחות, מוצע לקבוע, כי תנאי לכניסת החוק המוצע לתוקף, יהיה כי השר יתקין תקנות בהתאם לסמכותו לפי סעיף68 (ב) לחוק המוצע, כך שיובטח שכל מי שיקבל רישיון או אישור לפעול וליתן שירותים על פי החוק המוצע, יהיה כפוף לסטנדרט הנדרש בתחום אבטחת המידע, הגנת הפרטיות, ניהול הסיכונים והגנת הסייבר . 8. לסעיף7 )"("ביטול או התליה של רישיון : 8.1 . מוצע להוסיף ולקבוע בסעיף7 זה, כי הרשות תפרסם באופן פומבי החלטה לביטול או התליה של רישיון, וכי הפרסום כאמור יועבר באופן מיידי ומקוון לכל מקורות המידע. זאת, על מנת שמקורות ,המידע יוכלו לדעת בזמן אמת כי בוטל (או הותלה) הרישיון לנותן שירותי מידע פיננסי מסוים על מנת לאפשר למקורות המידע לנקוט אמצעי זהירות בפעילותם מול אותו נותן שירות מידע ועל )מנת למנוע מקרים של חשיפת מידע פיננסי רגיש אודות לקוחותיהם למי שבוטל (או הותלה .רישיונו כאמור 8.2 . ביטול (או התליה) של רישיון כרוך, בין היתר, בהליך במסגרתו לא נדרש רק יידוע מקו רות המידע על עצם הביטול (או ההתליה), כאמור בסעיף8.1 לעיל, אלא גם בהליך טכנולוגי של ביטול ה"סרטיפיקט" שהונפק על ידי יחידת ממשל זמין ברשות התקשוב הממשלתית. נבקש לוודא , למען הסר ספק, כי הליך זה יתבצע באותו האופן שבו הוגדר במסגרת הוראות המפקח על הבנקים לעניין הבנקאות הפתוחה (הוראה368 .)ותקן הבנקאות הפתוחה שנלווה אליה 9. לסעיף8 )"("פיקוח על מי שרישיונו בוטל : 9.1 . בסעיף זה מוצע להוסיף סעיף קטן חדש, (ג), ולפיו "אין באמור בהורא ות סעיפים קטנים (א) ו- )(ב לעיל כדי לגרוע מהחובה החלה על נותן שירותי מידע להפסיק באופן מיידי את עיסוקו במתן ,שירותי מידע פיננסי, ובכלל זה לחדול מלפנות אל מקורות מידע בבקשה לקבל גישה למידע פיננסי החל במועד ביטול הרישיון". זאת, על מנת להבטיח, כי מי שרישיונו ב וטל, יחדל באופן מיידי את עיסוקו בתחום (וכי לא תחול חובה על מקור מידע לספק מידע פיננסי לאותו נותן שירות ממועד .)ביטול הרישיון כאמור - 10 - 9.2 . ,כמו כן נבקש להוסיף ולהבהיר בסעיף קטן (א), את כוונת הסעיף, ולפיה מי שרישיונו בוטל ימשיך לקיים את הוראות החוק לעניין הגנת הפר טיות והשמירה על המידע המצוי בידיו, וכיוצ"ב, אך לא .ימשיך בקיום התחייבויות הכרוכות בהמשך מתן שירות מידע פיננסי ללקוחותיו 9.3 . בנוסף ועל מנת למנוע פגיעה בלקוחות נותן שירות שרישיונו בוטל, מוצע להוסיף ולקבוע בסעיף8 זה, כי על מי שרישיונו בוטל כאמור, תחול החובה למחוק את כל המידע הפיננסי שהתקבל אצלו ממקורות המידע, כאמור בסעיף27 .(ב) להצעת החוק 10 . לסעיף14 )"("בקשה לאישור – בלי לגרוע או לפגוע בהערותינו לסעיף2 (ב) להצעת החוק (כאמור בסעיף6 למכתב זה), וככל שבקשתנו כאמור לא תתקבל, נבקש, למען הבהירות והסרת הספק, להוסיף לסעיף14 )(א לחוק :, את המלל הבא (המסומן לנוחיותכם בקו תחתי), כדלקמן "בקשה לאישור תוגש למאסדר; בבקשה יפרט מבקש האישור את סוג שירות המידע הפיננסי ,שבו הוא מבקש לעסוק( בהתאם לאחד מהסוגים המנויים בפסקאות1 ( ) עד3 ) להגדרה "שירות "מידע פיננסי , ורשאי המאסדר לקבוע, בהוראות מאסדר, פרטים נוספים שייכללו בבקשה ."כאמור ג. הערות לפרק ג ' – נותן שירות מידע פיננסי 11 . לסעיף16 ("ביטול או התליה של אישור)" : 11.1 . לסעיף קטן16 )(א – בדומה להערה כאמור בסעיף8.1 לעיל, מוצע להוסיף ולקבוע בסעיף16 להצעת החוק, כי המאסדר הרלבנטי יפרסם באופן פומבי החלטה לביטול או התליה של אישור, וכי .הפרסום כאמור יועבר באופן מיידי ומקוון לכל מקורות המידע בדומה, ראו גם ההע רה כאמור בסעיף8.2 לעיל, לעניין ההליך הטכנולוגי הכרוך בביטול או התליה של רישיון, הרלבנטית גם לעניין ביטול או התליה של אישור כאמור בסעיף16 .להצעת החוק 11.2 . לסעיף קטן16 )(ב – נבקש להחיל לעניין ביטול או התליה של אישור, גם את הוראות סעיף7 )(ג .לחוק המוצע - 11 - 12 . לסעיף22 )"("חובת זהירות – מוצע, כי רמת הזהירות והמיומנות הנדרשת מנותן שירות מידע פיננסי תהיה בדומה לזו של מקור מידע. לעניין החשיבות והצורך בהשוואת הסטנדרטים והדרישות מנ ותני שירות מידע פיננסי, לאלו של גופים פיננסיים מפוקחים דוגמת הבנקים, ראו האמור בסעיף7 למכתב זה. קביעת סטנדרט אחיד של זהירות ורמת מיומנות כאמור, הינה ,הכרחית לצורך השמירה על עניינם של כלל ציבור הלקוחות .לרבות, אך לא רק, בהיבטים של הגנת הפרטיות ואבטחת המידע הפיננסי 13 . לסעיף23 )"("חובת סודיות : 13.1 . בהמשך ובדומה להערה לעיל לעניין סעיף22 להצעת החוק, מוצע לקבוע, כי חובת הסודיות החלה על נותן שירות מידע פיננסי תהא זהה לחובת הסודיות החלה על מקורות מידע מכוח הוראות כל .דין. זאת, על מנת לספק ללקוח הגנה זהה, ללא הבחנה היכן מצוי ומאוחסן המידע אודותיו 13.2 . מבלי לגרוע מהאמור, אנו סבורים כי יש להוסיף ולעגן במפורש בסעיף23 ,להצעת החוק, חריג נוסף בדומה לחריג לעיקרון הס ודיות הבנקאית, כפי שעוגן בפסיקת בית המשפט העליון5 , והוא החריג ולפיו חובת הסודיות אינה חלה מקום שאינטרס הבנק (או, בענייננו, עניינו של נותן השירות) מחייב זאת. חריג זה, הוא המאפשר לבנק (או כל נותן שירות אחר), המגיש תביעה אזרחית נגד לקוחו, או המבקש להתגונן מפ ני תביעה כאמור של לקוחו (או של צד ג'), לחשוף פרטים ומידע רלבנטיים אודות אותו לקוח בפני בית המשפט . ככל שלא ייכלל חריג זה בחוק המוצע, יקשה על נותן השירות .לעשות שימוש במידע על אודות הלקוח המצוי אצלו, במקרה של הליך משפטי אזרחי " לצורך כך, מוצע כי חלף המילים הליך פלילי" בסיפה סעיף23 ."זה, יבואו המילים "הליך משפטי 13.3 . עוד מוצע, כי אחרי המילים "לרבות המסמכים שהועברו לרשותו ותוכנם", יתווספו המילים: "וכן ."את המידע שהועבר לנותן שירות המידע הפיננסי ממקור מידע 14 . לסעיף24 )"("איסור קבלת טובות הנאה – מוצע לשלב בחזרה לתוך סעיף24 להצעת החוק את הנוסח הקודם של סעיף19 (ב) לתזכיר החוק, שעניינו איסור התניית שירות בשירות. זאת מתוך מטרה להחיל סטנדרט דומה בכל הנוגע להגנה בהיבט זה על הצרכן ביחס לכל נותני השירות, על מנת לעודד את התחרות בשוק, ועל מנת להימנע מארביטראז' רגולטורי, בהתחש ב בכך שעל הבנקים וגופים פיננסיים מפוקחים אחרים, מוטלת חובה .זו ממילא מכוח החקיקה הקיימת 5 :חריגים אלה אומצו מהפסיקה האנגלית. ראו רע"א1917/92 סקולר נ' ג'רבי(, פ"ד מז5 ) 764 , 772 ( 1993 ); ע"א 5893/91 טפחות בנק משכנתאות לישראל בע"מ נ' צבאח(, פ"ד מח2 ) 573 ( 1994 .) - 12 - 15 . לסעיף25 )"("הגבלות על איסוף או קבלה של מידע פיננסי ושימוש בו: 15.1 . )לסעיף קטן (א – מוצע להבהיר בנוסח סעיף קטן זה גופו, את האמור בדברי ההסבר המצורפים ( לו, כי הוראותיו יחולו אך ורק על סוגי השירותים המפורטים בפסקאות1 ( ,) 2) ו- (3 ) להגדרת "שירות מידע פיננסי" בסעיף ההגדרות. זאת, על מנת שסעיף זה לא יפורש באופן רחב, ובניגוד לכוונת המחוקק, כחל ע ל כל שירות הניתן על ידי גוף פיננסי בהתבסס על מידע פיננסי כהגדרתו .בחוק 15.2 . )לסעיף קטן (ב – מוצע להוסיף בסוף סעיף קטן זה את המילים: "ובכפוף למתן הרשאת גישה למקור המידע כאמור בסעיף39 ". זאת על מנת למנוע ספק ולהבהיר כי הסכמת הלקוח למתן הרשאת גישה כאמור, ניתנת י .שירות למקור המידע 15.3 . לסעיף קטן (ד() 1) : 15.3.1 . ראשית, נוסח הסעיף אינו ברור דיו. נבקש לנסח סעיף זה באופן ברור יותר, על מנת למנוע אי- .בהירות לעניין פרשנותו בעתיד 15.3.2 . ()כאמור בדברי ההסבר, מטרתו של סעיף קטן (ד1 ) להבטיח תחרות הוגנת ושוויונית, בין גופים פיננסיים שונים, כך שגוף פיננסי לא יהיה רשאי לעשות שימוש במידע, שהוא עצמו ,אינו מחויב לספק. לאור האמור, ועל מנת שסעיף זה ישיג את תכליתו כאמור באופן מלא נבקש כי בהגדרת המונח "מוצר או שירות דומה" (המפנה לתוספת הרביעית), ייכללו גם מוצרי השקעה לטווח ארוך, ולא מוצרי השקעה לטווח קצ .ר ובינוני בלבד 16 . לסעיף26 )"("הסכם למתן שירות מידע פיננסי : - 13 - 16.1 . לסעיף26 )(א – בהמשך להערתנו לסעיף25 (ב) כאמור לעיל, נבקש לחדד ולהבהיר בנוסח סעיף קטן זה, , כי בחירת החשבונות לגביהם מסכים הלקוח לתת לנותן השירות גישה למידע פיננסי, לא חייב שתינתן במסגרת ההסכמות שנותן הלקוח לנותן שירותי המידע הפיננסי, אלא יכולה להינתן על ידי הלקוח, למקו ר המידע בלבד. זאת, על מנת להתאים את הוראות החוק המוצע, לתקן הבנקאות הפתוחה שכבר מיושם במערכת הבנקאית ולאמור בסעיף23 להוראה368 להוראות ניהול בנקאי תקין, ולפיו מקור מידע יכול לאפשר ללקוח לבחור את חשבונותיו לגביהם יועבר מידע אל נותן השירות, בין באמצעות נותן .השירות ובין ישירות אצל מקור המידע 16.2 . לסעיף26 )(ב – אנו סבורים, כי ההסדר המוצע בסעיף קטן זה איננו מאוזן ועלול להכביד באופן :בלתי מידתי על נותני השירות. בהקשר זה נבקש את הדברים הבאים 16.2.1 . מוצע למחוק את האמור בסיפה סעיף קטן זה, ולפיו במקרה בו לא הצליח נותן השירו ת לוודא כי הלקוח מודע לאפשרות הגישה, יראו את הלקוח כאילו ביטל את ההסכם. אנו סבורים כי חזקה מוצעת זו, לבטלות ההסכם, הינה מחמירה, קשה ובלתי סבירה, הן בהתייחס לנותן השירות והן מנקודת מבטו של הלקוח, אשר ייתכן וכלל לא ביקש לסיים .את ההסכם בינו לבין נותן השירות אנו בדעה, כי לצורך השגת תכלית סעיף קטן זה, די בהטלת חובה על נותן השירות לנקוט בפעולות כדי לקיים את חובת הווידוא המוטלת עליו .כאמור בסעיף קטן זה, לרבות כפי שייקבעו בהוראות מאסדר 16.2.2 . :בנוסף ומבלי לגרוע מהאמור לעיל 16.2.2.1 . על מנת להימנע מפרשנות מחמירה של הוראות סעיף ז ה, ועל מנת שסעיף זה לא יפורש ככזה המחייב מנגנון של "ריענון הסכמות לקוח" אחת לשישה חודשים (בעוד שסעיף26 ()(א3 ) קובע כי הסכם עם נותן השירות יכול שיהיה לתקופה של שלוש שנים), מוצע לבטא בנוסח הסעיף גופו את רוח דברי ההסבר לסעיף זה, לרבות הדוגמה שנכללה בהם, ולפיה .די בניטור או חיווי אצל נותן השירות, בדבר שימוש של לקוח בשירות המקוון 16.2.2.2 . עוד מוצע, כי החובה על נותן השירות לוודא כי הלקוח מודע לאפשרות הגישה תחול אחת לשנה, ולא אחת .לשישה חודשים 17 . לסעיף27 )"("החזקת מידע פיננסי ומחיקתו : - 14 - 17.1 . )לסעיף קטן (א – אנו סבורים, כי ככל שהתקשר נותן השירות הפיננסי עם הלקוח, אזי במקרה כזה אין מקום להגביל את התקופה שבה יחזיק נותן השירות הפיננסי את המידע כאמור בסעיף זה, לתקופה מקסימלית של7 ,שנים לכל היותר. כך למשל, עשוי להתקשר נותן השירות עם הלקוח ,על בסיס המידע הפיננסי בהסכם למתן שירות פיננסי לטווח ארוך (כגון הלוואה שהחזרה נפרש ,על פני מספר רב שנים), וזאת לאחר שנתן הצעה להתקשרות, מטעמו, עם אותו לקוח. במקרה כזה .עשוי נותן השירות להידרש למידע כאמור, גם לצורך ניטור אחר החזרי ההלוואה שניתנה 17.2 . ()לסעיף קטן (ג4) – אנו סבורים, כ י יש למחוק סעיף קטן זה, אשר מרוקן מכל תוכן את ההוראה ,המאפשרת לנותן השירות לשמור את המידע (במאגר מידע נפרד), לשם ניהול הליך משפטי. כידוע הליך משפטי כאמור (הליך אזרחי אל מול לקוח או הליך אחר, כגון הליך מנהלי), יכול בהחלט שייפתח גם לאחר תום שבע שנים מיום שהג יע המידע לידי נותן השירות, שאז לא תהיה ביכולתו של נותן השירות– ()ככל שהוראת סעיף קטן (ג4 ) תיוותר בעינה– .להתגונן במסגרתו כך גם, יכול המידע להתייחס לשירות פיננסי מתמשך אשר ניתן ללקוח (על בסיס אותו מידע), כגון ,אשראי שהועמד ללקוח לתקופה ממושכת. במקרים אלו ככל שייפתח הליך משפטי בין נותן השירות לבין הלקוח, הרי זה מתבקש כי יהיה בידיו של נותן השירות כל המידע הרלבנטי הנדרש לו לצורך ניהול ההליך. והכל, בכפוף לעמידת נותן השירות ביתר הוראות סעיף זה (לרבות שמירת המידע במאגר .)מידע נפרד וכיוצ"ב לאור האמור, מבוקש כי במקום המילים "מיום שהגיע המידע לידיו" ייכתב "ממועד סיום מתן ."השירות ללקוח 18 . לסעיף28 )"("ביטול או צמצום הסכם למתן שירות מידע פיננסי בידי הלקוח : ()בסעיף קטן (ג2 ), מוצע לקבוע חובת דיווח מיידית של נותן שירות למקור מידע. כידוע, עסקינן בממשק מקוון הפועלon-line , ומשכך לא ברור מדוע לא יודיע באופן מיידי נותן השירות למקור המידע, על ביטול או צמצום הסכמת לקוח. ככל שלא תקבע חובת הודעה מידית כאמור, עשוי מקור המידע להמשיך ולהעביר מידע פיננסי על אודות אותו לקוח לנותן השירות, על אף שאותו לקוח ביטל או צמצם הסכמתו כאמור לע .יל 19 . לסעיף29 )"("העברת מידע לאחר – בדומה להערה בסעיף15.1 לעיל, מוצע להבהיר בסעיף קטן29 (א), ברישה לאותו סעיף, כי הוראות סעיף29 זה יחולו רק בקשר עם מידע פיננסי שנאסף על פי הוראות חוק זה. כך ."למשל, ניתן להציע כי לאחר המילים "או על ידי אחר" יתווספו המילים "מכוח הוראות חוק זה - 15 - 20 . לסעיף30 )"("אירוע אבטחה חמור: 20.1 . הגדרת "אירוע אבטחה חמור" בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז - 2017 , נגזרת, בין היתר, מגודל המאגר, ולא רק מהיקפו האבסולוטי של האירוע. לפיכך, הסדר זה יוצר חוסר סימטריה, שלא ניתן להצדיקו, בין הגופים השונים שיעסקו במתן שירותי מידע פיננסי, וקובע רף נמוך מדי ביחס למאגרים בינוניים, כאשר לא ניתן להסביר קביעת רף שונה לעניין זה, בין גופים שונים, בהתאם לגודל המאגר המוחזק על ידם, אלא יש להחיל וליישם לעניין זה, רק את הרף החל ( על מאגר מידע ברמת אבטחת גבוהה כאמור בסעיף קטן1 ) להגדרת "אירוע אבטחה חמור" כאמור בתקנות הגנ .ת הפרטיות הנ"ל 20.2 . ,"עוד מוצע, כי חובת ההודעה כאמור בסעיף זה תחול לא רק במקרה של "אירוע אבטחה חמור אלא גם באירועי אבטחה שאינם "חמורים", על מנת להבטיח רמה אחידה של דיווח ביחס לכלל השחקנים בשוק והגנה מיטבית על המידע הפיננסי של ציבור הלקוחות. דוגמאות לאירועי א בטחה שאינם "אירוע אבטחה חמור": ניסיונות מהותיים של חדירה ותקיפה למערכות נותן שירותי מידע ,פיננסי (אירועי סייבר), תקלות מהותיות במערכות אבטחת המידע של נותן שירותי מידע פיננסי או חשש סביר להתרחשותו של "אירוע אבטחה חמור" כאמור. לכל הפחות, מוצע כי במקרה של איר .ועי אבטחה שאינם חמורים כאמור, תחול חובת הודעה כאמור, למאסדר נותן השירות ולרשם 21 . לסעיף31 )"("ניגוד עניינים : 21.1 . ,כידוע הגופים הפיננסיים השונים ובהם הבנקים, עוסקים מאז ומתמיד במספר תחומי פעילות מותרים , גם מקום בו עיסוקם המקביל במספר תחומים כאמור עשוי לעורר שאלות מעולם ניגודי .העניינים הפתרון לשאלות אלו, ניתן בדמות חובות ומנגנונים שונים שנקבעו בדין , ואשר תכליתם מניעת פוטנצי אל ל ניגודי ה עניינים והבטחת מתן שירות אובייקטיבי ונטול פניות ללקוח: - 16 - 21.1.1 . כך לדוגמה, נדרשים הבנקים, כבר היום, בהתאם להוראה301 להוראות ניהול בנקאי תקין6 , לקבוע מנגנוני הפרדה בין הפעילויות של התאגיד הבנקאי במגזרים שונים, בין הפעילויות של התאגיד הבנקאי לפעילויות של תאגידים נשלטים, או בין הפעילויות של התאגיד הבנקאי והפעילויות של הקבוצה אליה הוא קשור, אם עלולים להיות ניגודי עניינים. פתרון דומה ניתן גם במסגרת הקונקרטית של הוראת ניהול בנקאי תקין 'מס368 לעניין הבנקאות הפתוחה, אשר קובעת, כי השירותים הניתנים ללקוח על ידי נותן שירותי )מידע פיננסי ("צרכן מידע", בלשון ההוראה הנ"ל והשימוש במידע ,של הלקוחות ייעשו באופן אשר מונע חשש לניגודי עניינים, ככל שעלולים להיות, ע ם פעילות אחרת של אותו נותן שירות , תאגידים נשלטים על ידו או תאגידים בקבוצה אליה הוא קשור . 21.1.2 . ברוח זו, נדרשים ה בנקים , כמו גם גופים פיננסיים אחרים העוסקים במספר תחומים כאמור, לקבוע הפרדות מבניות (ארגוניות, מקצועיות ועסקיות) ו"חומות סיניות" בין המערכים השונים אש ר תפקידם ליתן את השירותים הבנקאיים (ראו למשל האמור בהוראה322 להוראות ניהול בנקאי תקין בעניין "פעילות המערכת הבנקאית בשוק .)"ההון 21.1.3 . דוגמאות להפרדות מבניות כאמור קיימות למכביר. כך למשל, נדרשים גופים פיננסיים ל הפרדה בין תחום ייעוץ ההשקעות לבין תחום מתן האשרא י; בין שירותי הייעוץ (או שיווק) ההשקעות וניהול התיקים לבין מתן שירותי מסחר בניירות ערך או לבין שירותי המחקר והאנליזה; בין פעילות הנוסטרו לבין פעילות האשראי ופעילות ההשקעות עבור לקוחות; ועוד. כך גם, פעילות של מתן שירותי ניהול תיקים לא נאסרה על הקבוצות הבנקא יות, ובלבד שתתקיים הפרדה מבנית כאמור, וזאת בדרך של מתן שירותי ניהול ,התיקים על ידי חברות בנות נפרדות ש .בהן מכהנים נושאי משרה נפרדים 21.1.4 . זאת ועוד, הבנקים מחויבים כבר היום, לרבות מכוח הוראה368 האמורה, לא רק להימנע מניגודי עניינים בפעילותם בתחום הבנקאות הפתוחה , אלא אף לאשר כל פעילות בתחום זה וכל מתן שירותים בתחום, בהליך ארוך ומורכב (הליך אישור "מוצר חדש") ובאישור דירקטוריון הבנק, והכל לאחר שרשרת של אישורים ובקרות קפדניים וחוות דעת לבחינת ,היבטי הסיכונים השונים הכרוכים בפעילות. תהליכים פנים ארגוניים מורכבים אלה הנתונים לביקורת ומדווחים לפיקוח על הבנקים, מהווים מנגנון נוסף להסרת חשש לניגוד .עניינים בעיסוקם של הבנקים בתחום 6 ראו סעיף16 (ב) להוראה301 .האמורה - 17 - 21.2 . על כן מוצע, כי בסעיף31 ()(ג1 ), במקום הסמכת השר לקבוע נסיבות שבהתקיימן נותן שירות יוכל לבצע פעולה שיש בה ניגוד עניינים, יוסמך המאסדר הרלבנטי לק ,בוע נסיבות כאמור. בהקשר זה :אנו מסכימים עם דברי ההסבר לסעיף קטן זה, ולפיהם "כיוון שמדובר בשוק שטרם התפתח ולא ניתן לצפות מראש אילו שירותים או מוצרים שיכולים לסייע ללקוח יתפתחו, מוצע להעניק סמכות זו שתאפשר את הגמישות ."הנדרשת לאור זאת, הגורם המתאים ביותר לדון בנסיבות אלו וליתן מענה בטווחי זמן אשר יאפשרו גמישות .כאמור, הוא לדעתנו המאסדר האמון על הפעילות של נותן השירות הרלבנטי 22 . לסעיף34 )"("מנגנוני אבטחת מידע, ניהול סיכונים והגנת סייבר : 22.1 . כאמור בסעיף7 ,לעיל אנו סבורים, כי על ההסדרים שייקבעו בחוק המוצע או על פיו, להבטיח את קביעתו של סטנדרט אחיד בהיבטים הנוגעים להגנת הפרטיות, אבטחת מידע, הגנת סייבר וניהול סיכונים, אשר יחול על כלל נותני שירותי המידע הפיננסי, ואשר יהיה זהה לסטנדרט החל בנושאים אלו על הבנקים. זאת, בייחוד מקום בו על פי החוק המוצע, בנק, בכובעו כמקור מידע, אינו רשאי .לדרוש מנותן שירות מידע פיננסי להתקשר עמו בהסכם בקשר עם מתן גישה למידע פיננסי 22.2 . לאור האמור, מוצע לתקן את סעיף קטן34(ב) להצעת החוק, ולהבהיר בו במפורש, כי ההוראות שייקבעו על פיו על ידי מאסדר נותן השירות בעניינים אלו ישקפו דרישות ברמה שלא תפחת מהדרישות החלות על הבנקים מכוח הוראות ניהול בנקאי תקין. כל זאת, במטרה להבטיח את טובת הציבור בישראל וההגנה על פרטיותו. ויודגש– העברת מידע או דות לקוחות, ממקור מידע לנותן שירות שהינו בעל אמצעי אבטחת מידע חלשים יותר, תביא בהכרח לפגיעה בלקוחות ותפר .את האיזון שבין מתן זכות השימוש לנותן השירות במידע, לבין ההגנה הנדרשת על הלקוחות לכל הפחות (וכפי שכבר צוין לעיל), מוצע לקבוע, כי תנאי לכניסת החוק המוצ ע לתוקף, יהיה כי השר יתקין תקנות בהתאם לסמכותו לפי סעיף68 (ב) לחוק המוצע, כך שיובטח שכל מי שיקבל רישיון או ,אישור לפעול וליתן שירותים על פי החוק המוצע, יהיה כפוף לסטנדרט הנדרש בתחום אבטחת המידע .הגנת הפרטיות, ניהול הסיכונים והגנת הסייבר - 18 - 23 . הערות לסעיף36 "( ה וראות מאסדר נותן השירות )" – אנו סבורים, כי קביעת הוראות אלו של המאסדרים הרלבנטיים מהווה תנאי בלעדיו אין לעניין יישום חובותיהם של נותני שירות מידע פיננסי על פי החוק המוצע . ,לפיכך מוצע להוסיף ולקבוע בסעיף75 ,להצעת חוק כי גם הוראות מאסדר אלו ייקבעו לפני כניסת החוק המוצע לתוקפו, וכי נותן שירותי מידע פיננסי שהמאסדר שלו טרם קבע הוראות כאמור, לא יהיה רשאי לקבל רישיון על פי חוק זה. ד. הערות לפרק ד ' – מקור מידע 24 . הערות לסעיף38 )"("חובה לאפשר גישה למידע פיננסי של הלקוח : 24.1 . ראו ההערות כאמור בסעיפים15.2 ו- 16.1 .לעיל 24.2 . מוצע, להוסיף ולהבהיר בסעיף זה, כי מקור מידע יהיה מחויב ליתן גישה לנות ,ן שירות מידע פיננסי .רק לאותם סלי מידע אותם מציג מקור המידע ללקוחותיו באופן מקוון 24.3 . מוצע להחזיר את ההסדר שהיה קבוע בסעיף33 לתזכיר החוק, ולפיו תהליך זיהוי הלקוח ייעשה על ידי מקור המידע וזאת לפני או במסגרת מתן הרשאת הגישה, ולא להסתפק בהתייחסות שניתנה לסוגי 'ה זו במסגרת דברי ההסבר לסעיף זה (ראו בעמ1054 .)להצעת החוק 24.4 . עוד נבקש לאשרר את הנחת העבודה של הבנקים, ולפיה ההליך הטכני המתייחס להנפקת התעודות ("סרטיפיקטים") על ידי מערכת ממשל זמין, וכי מבנה התעודה כאמור, יהיו זהים להליך המוכר להם מהוראה368 ותקן הבנקאות ה פתוחה שנלווה אליה (וכי השוני היחיד לעניין זה, בהתאם .)לחוק המוצע, יהיה אך ורק בשדה שבו יוגדר שם המאסדר הרלבנטי 25 . ל סעיפים40 ,)"("סייגים לחובת מתן הגישה 64 ("סייג לתחולת הוראות החוק") ולתוספת השתים -עשרה: - 19 - 25.1 . לסעיף קטן 40 ()(א1 ))(ד – מוצע, להסמיך את מאסדרי מקורו ת המידע, בלבד, בלא צורך בקביעה של השר כאמור בסעיף קטן זה, לקבוע נסיבות נוספות שבשלהן מוצדק שלא לאפשר גישה כאמור בסעיף זה. זאת, לאור היכרותם העמוקה והשוטפת של מאסדרי מקורות המידע עם קשיי היישום המתעוררים מעת לעת אצל הגופים המפוקחים על ידם, לאור הדיאלוג השוט ף המתקיים בין הגופים המפוקחים לבין המאסדר הרלבנטי, ועל מנת להימנע מהליך מסורבל, מורכב וארוך של ,קביעת תקנות על ידי השר (בסוגיות המצריכות לעיתים מתן מענה בתוך פרק זמן קצר). והכל בשים לב, בין היתר, גם לכך שהתייחסות מקבילה לסוגיה המטופלת בסעיף40(א) זה, כבר נ יתנה על ידי המפקח על הבנקים, במסגרת הוראה368 להוראות ניהול בנקאי תקין (ראו סעיף30.2 .)להוראה האמורה ,בנוסף, נבקש להוסיף לרשימת הנסיבות שבהן מקור מידע רשאי שלא לאפשר גישה למידע פיננסי כאמור בסעיף40 ()(א1 ) להצעת החוק, מקרה נוסף, שבו חורג נותן שירות משימוש סביר במערכת הממשק. זאת, על מנת למנוע "הצפה" של מקורות המידע בפניות בכמות בלתי סבירה, למשל עקב .תקלה במערכת של נותן השירות 25.2 . לסעיפים קטנים40 ()(א2 ) ו-(3) – נבקש, כי ההודעה של מקור מידע לנותן שירות מידע פיננסי על פי סעיפים קטנים אלו, תיעשה על פי הקריטריונים שנקבעו בהוראה368 להוראות ניהול בנקאי תקין – קריטריונים אשר כידוע, כבר יושמו על ידי הבנקים– ולא לחייב את הבנקים, לפתח וליישם מנגנוני יידוע חדשים על פי החוק המוצע. כך למשל, על פי הקבוע בהוראה368 , יידוע נותן השירות על ביטול או השעיה של גישה (או על הסרת הבי טול או ההשעיה כאמור) יכול וייעשו אגב הפניה .הבאה של נותן השירות, ולא באופן יזום