יום חמישי, 10 באפריל 2014

חוק נתוני תקשורת נפסל - באירופה. בישראל ספקיות השירות חוגגות בחסות החשאיות הביטחונית

בית הדין העליון של האיחוד האירופי פסל השבוע חקיקה שאפשרה למדינות לשמור נתוני תקשורת כיוון שמדובר במידע אישי רגיש. אצלנו, חברות הסולולר שומרות נתוני תקשורת במשך עשר שנים. נחשו כמה זמן מותר לעשות זאת באירופה.

בית הדין לצדק של האיחוד האירופי פסל השבוע את הדרקטיבה בדבר אגירה של נתוני תקשורת (1). בהתאם לדרקטיבה (2) (Directive 2006/24/EC) על מדינות האיחוד לחייב ספקיות שירותי תקשורת לשמור על נתוני התקשורת של לקוחותיהן על מנת שסוכנויות הביטחון ורשויות אכיפת החוק יוכלו לקבל אותם לצרכי חקירה.

בית הדין (3), קבע שמכלול נתוני התקשורת שלנו – פירוט שיחות, נמענים, משכי שיחה, נתוני מקום ועוד' – נותן מידע מדויק ומפורט על חיינו האישיים: הרגלים ואורחות חיים, מקום מגורים קבוע או זמני, תנועות ופעילויות יומיומיות, יחסים חברתיים ועוד. לאור זאת, אגירתם של נתוני התקשורת, באופן שיאפשר לשלטונות לקבל אותם, מסב פגיעה רצינית לזכויות היסוד לפרטיות ולהגנת המידע האישי - סעיפים 7 ו-8 לצ'ארטר זכויות היסוד של האיחוד האירופה (4).

פגיעה חמורה זו בזכויות היסוד נועדה אמנם לשרת תכלית ראויה – מניעת פשיעה וטרור והגנה על שלום הציבור – אך עדיין עליה להיות מידתית, דבר שלא מתקיים בעניינו. בית הדין האירופי קבע שהדרקטיבה היא גורפת מדי – מחייבת לשמור על נתוני תקשורת של כ-ו-ל-ם ללא חשד כלשהו, ללא יוצאים מן הכלל, ללא אבחנה בין סוגי המידע (למשל, בין נתוני מקום לבין פירוט שיחות), וללא קביעת ערובות אפקטיביות להגנת המידע מפני ניצול לרעה. לאור זאת, קבע בית הדין, הדרקטיבה בטלה.

מה אצלנו? בשנת 2007 נחקק חוק נתוני תקשורת, שמסדיר את הכללים להעברת נתוני תקשורת מחברות התקשורת והאינטרנט למשטרה ולרשויות חוקרות אחרות. באופן מוזר החוק אינו מסדיר את חובתם של ספקי השירות לאגור את נתוני התקשורת. הכיצד? מה ערך לסמכות לקבל נתוני תקשורת מפלאפון, למשל, אם זו אינה כפופה לנורמה דוגמת הדרקטיבה האירופית ואינה חייבת לאגור ולשמור את הנתונים הללו? מסתבר שהשב"כ כבר דאג לזה. בשנת 2002 נחקק חוק השב"כ. ספק אם מישהו בכנסת בכלל הבין אז את המשמעות של נתוני תקשורת לפני שאישרו את סעיף 11, שלפיו ראש הממשלה יקבע ב"כללים" הוראות בדבר שמירת נתוני התקשורת בידי החברות הפרטיות, תקופת השמירה, ובדבר דרך העברתם לשב"כ. וה"כללים" הללו - איך לא - חסויים (5)

לפני כמה שנים הגיש עו"ד אמיר לירן תביעה נגד פרטנר ופלאפון וביקש להורות להם למחוק את נתוני התקשורת שלו מרישומיהם לאחר שאלה כבר אינם נחוצים לצורך חישוב התמורה שהוא חב תמורת השירותים שקיבל. אורנג' ופלאפון טענו, שהן רשאיות לשמור את הנתונים למטרות עסקיות שונות ומשונות, לרבות "לצרכים שיווקיים והנדסיים". עוד הן ציינו, שנעשה שימוש במאגרים לצרכים ביטחוניים.

היועץ המשפטי לממשלה התייצב, כנראה שבלי הרבה חשק (בית המשפט היה צריך להתעקש וכמעט לגעור בו כדי שיתייצב) ותמך בחברות הסלולר. בנייר העמדה השערורייתי שהגיש, נאמר בין היתר, ש" חזקה על כל לקוח של חברת התקשורת שהוא מודע לכך שנתונים כאמור נאגרים בידי החברה, ואף אם אין תניה מפורשת לענין זה בהסכם ההתקשרות, יש לראותו כמסכים לכך מכללא. ככל שאין הסדר זה מקובל עליו, בידיו להימנע מרכישת שירותים אלה." מין הסכמה מדעת שכזו: לא טוב לך? תתקשר עם חבריך במורס.

בית המשפט דחה את התביעה, אבל הותיר פתח חשוב אחד: "יובהר כי אין באמור משום קביעת מסמרות… לעניין משך התקופה שבה יש לשמור מידע זה – באשר מדובר בסוגיות נכבדות, שאין צורך להידרש להן במסגרת הדיון בתובענה שבפניי." (תא (ת"א) 1994-06 לירן נ' פלאפון תקשורת בע"מ (ש' ענת ברון, 30.11.2010)).

אז כמה זמן שומרים אצלנו נתוני תקשורת? כאמור, איננו יכולים לדעת את פרק הזמן שהשב"כ דורש לשמור נתונים אלה, כיוון שעניין זה מוסדר בכללים חסויים. באירופה ניהלו דיון מתמשך וקולני לפני שחוקקו את הדרקטיבה – זו שנפסלה השבוע. אצלנו – סוד.

מה שבטוח הוא, שספקי התקשורת שומרות את הנתונים הרבה מעבר למה שהשב"כ דורש? בעניין  לירן הודיעה פרטנר שהיא שומרת לעצמה את נתוני התקשורת שלנו למשך 8 שנים ואילו פלאפון משתעשעת עם הנתונים שלנו במשך עשר שנים תמימות. מותר להניח שלא השב"כ אחראי לשונות בתקופות – הוא מסתפק בתקופה צנועה יותר – ושכל חברה שומרת מחליטה כמה זמן לשמר את המידע האישי שלנו בהתאם לגחמה התאגידית שלה.

באירופה, אגב, הדרקטיבה מחייבת את החברות לשמור נתוני תקשורת במשך שישה חודשים לכל הפחות, אבל מחייבת את מחיקתם לאחר 24 חודשים.שנתיים לכל היותר! ומהשבוע – לאחר שבית הדין פסל את הדרקטיבה – גם זה לא.

נ.ב. ושם גם מותר ואף רצוי לקיים דיון ציבורי על דברים כאלה. לא הכול סודי. ושירותי הביטחון באירופה לא קורסים. אבל מה הם מבינים…

 ________________________
2 Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC (pdf)
3 (Court of Justice of the European Union  לא לבלבל עם European Court of Human Rights של מועצת אירופה   - wikipedia)

4 Charter of Fundamental Rights לא לבלבל עם  European Convention on Human Rights) ECHR)  למרות שהאחרון שימש בסיס לניסוח הצ'ארטר

5  סעיף 22 לחוק השב"כ "(א) תקנות לפי חוק זה יפורסמו ברשומות; כללים, הוראות השירות ונוהלי השירות לפי חוק זה אינם טעונים פרסום ברשומות או פרסום פומבי אחר"; בדקתי ולא מצאתי התייחסות לתקופות השמירה בכללי הבזק (ביעור חומר ארכיוני שבידי החברה), התש״ן 1989 (pdf).



יום שני, 3 במרץ 2014

גיזום מדאיג בגינת המשפט המנהלי - חובת הפרסום של הנחיות כמשל

כל מי שהמשפט המנהלי הוא לחם חוקה תעשה שירות חשוב לעצמה וללקוחותיה אם תגייס אותם לפעולה כדי להבטיח, שהקודיפיקציה החדשה של המשפט המנהלי לא תגרע מזכויות האזרח. 

משרד המשפטים פרסום לאחרונה תזכיר חוק, שעתיד לאגד ולעגן בחקיקה את המשפט המנהלי המקובל. על פניו זהו צעד מבורך שיכול "לעשות סדר", להבהיר ולחזק את ההלכות הפסוקות שביססו את זכויות האזרח אל מול הריבון ואת חובות המנהל הציבורי כלפי נתינותיו ונתיניו. אבל יש להיזהר: חקיקה מעצם טיבעה קובעת עקרונות כלליים וחשוב מאוד לוודא שהיא לא תהפוך ל"מיטת סדום", ותקצוץ בפסיקות שהרחיבו או יישמו את העקרונות בנסיבות קונקרטיות. ניסוח בלתי זהיר גם עלול להכריע לרעת האזרחית סוגיות שבתי המשפט הותירו בצריך עיון.

לא צריך להרחיק לנסיבות נדירות ולפסיקות שכוחות אל על מנת להבין את הסכנה שנעוצה ב"רפורמה" חקיקתית מהסוג המוצע. טלו למשל את האופן שבו מסדיר תזכיר החוק את חובת הפרסום של הנחיות מנהליות. בהתאם לנוסח המוצע "הנחיות מנהליות שיש להן השפעה ממשית על הציבור יפורסמו…". קצת מוזר שמסדירים מחדש עניינים שכבר הוסדרו בחוק החרות. והרי סעיף 6 לחוק חופש המידע כבר קבע חובת פרסום נהלים. השוואה חטופה בין ההסדר הקיים לבין ההסדר המוצע מעוררת את החשש מפני צמצום שלא מדעת בחובת פרסום הנהלים.

בהתאם לחוק חופש המידע, יש לפרסם הנחיות מנהליות "שיש להן נגיעה או חשיבות לציבור" – ניסוח רחב הרבה ממה שמשרד המשפטים מציע בתזכיר החדש ("הנחיות שיש להן השפעה ממשית על הציבור"). הלכתי לדברי ההסבר, ושם אמנם מצטטים את ההסדר שבחוק חופש המידע, אבל לא מספרים לנו מדוע ראו לנכון לסטות ממנו. אפילו לא מבהירים שיש סטייה או צמצום של חובת הפרסום: "ההסדר המוצע מאמץ את הנורמה שנקבעה בפסיקה לפיה ישנה חובה לפרסם הנחיות מנהליות שיש בהן כדי להשפיע על זכויות הפרט." וכאן מפנים לפסיקה שקדמה לחוק חופש המידע [בג"צ 5537/91 אפרתי נ' אוסטפלד (1992)].

לעומת זאת, כשמגיעים לחריגים לחובת פרסום ההנחיות – כאן גילה הנסח "נדיבות": אפילו הנחיות שיש להן "השפעה ממשית על הציבור" אפשר יהיה להסתיר על סמך שורה של עילות. נכון, גם בהתאם לחוק הקיים, חובת פרסום הנהלים כפופה לחריגים דומים (סעיף 9 לחוק). אבל דומה שדיי בחריגים הללו ואין צורך בתוספות, דוגמת סעיף הסל שנוסף כאן: "נסיבות מיוחדות המצדיקות זאת". חשוב מכך: בהתאם לחוק הקיים, גם במקום שיש עילה שלא לפרסם את ההנחיות (סעיף 9) עדיין על הרשות לבצע איזון (לפי סעיף 10) ואפילו אם יש מניעה של ממש לפרסם את ההנחיה עדיין יש לעשות מאמץ ולפרסם אותה באופן חלקי (סעיף 11).

לבסוף לא ברור מדוע תזכיר החוק מסכם את ההלכה הפסוקה באופן ששולל באופן חד משמעי את האפשרות שאי פרסום הנחייה יפגום בתוקפה. בדברי ההסבר נאמר: "לכאורה ניתן היה לקבוע, כי אי פרסום יגרור בעקבותיו חוסר אפשרות של הרשות לפעול על פי ההנחיות הפנימיות, אולם לאור המדרג הנורמטיבי הנמוך של ההנחיות והחשש כי סנקציה כאמור עלולה לגרום לנזק לאינטרס הציבורי הרחב, נראה שאין לכך הצדקה. לא כל פגם בהליך המינהלי (במקרה זה – אי פרסום הנחיות פנימיות) צריך לגרור בעקבותיו ביטול החלטה מינהלית".

רגע, רגע. נכון שהנחיות פנימיות אינן תקנות, ושאי פרסומן אינו חייב לגרור אחריו תמיד את בטלות ההחלטה המנהלית שנסמכה עליהן. אבל פעמים רבות דווקא כן. רק לאחרונה בית המשפט העליון פסל החלטה מנהלית בשל כך שהיא נסמכה על נוהל שלא פורסם, והזכיר (תוך שהוא מפנה לאותה פסיקה ותיקה בעניין אפרתי, שמופיעה בדברי ההסבר אבל דווקא בפן האנכרוניסטי שלה) "שכבר נקבע בבית משפט זה כי תנאי מוקדם להחלתן של הנחיות פנימיות האוצלות על זכויות הפרט הוא פרסומן באופן סביר" [עע"מ 4014/11 אבו עיד נ' משרד הפנים רשות האוכלוסין (1.1.2014)].

כאמור, הדברים שלעיל הם פרי בדיקה חטופה בלבד ולמותר לציין שאין בהם כדי להטיל דופי בפרויקט החשוב. אבל הם מלמדים על הצורך הדחוף בבחינה דקדקנית של כל תג וסייג בתזכיר החוק. עורכת דין שהמשפט המנהלי הוא לחם חוקה תעשה שירות חשוב לעצמה וללקוחותיה אם תעיר את תשומת ליבם, ותשכנע אותם להשקיע משאבים ומאמץ שיבטיחו שהקודיפיקציה החדשה של המשפט המנהלי לא תעשה "יישור קו" אגרסיבי ולא תגרע מזכויות האזרח.

יום שלישי, 21 בינואר 2014

מנהל מאגר מידע חייב "לשכוח" מידע אישי למרות שהמחשב "זוכר"

בית המשפט העליון אישר בשבוע שעבר פסיקה, שמבצרת את סמכויות רשם מאגרי המידע ואת עקרון צמידות המטרה: לרשם מאגרי המידע יש סמכות לקבוע מדיניות כללית המשקפת את הפרשנות שהוא נותן להוראות חוק הגנת הפרטיות, ולהשתמש במדיניות זו כבסיס לצעדי אכיפה נגד מפרים; מי שמקבל מידע אישי למטרה מסוימת מנוע מלעשות בו שימוש למטרה אחרת - עליו "לשכוח" את המידע גם אם המחשב "זוכר" אותו; עצם העובדה שמידע נשמר במאגר מידע הופכת אותו לרגיש יותר ואת חשיפתו לפגיעה חמורה יותר בפרטיות. 

חברת ביטוח קיבלה לידה צו עיקול, מכוח היותה מחזיק בנכסי חייב. צו העיקול נועד לתפוש כספים של חייב המצויים בחזקתה. לימים, כאשר אותו חייב ביקש לרכוש ממנה ביטוח הוא סורב, על בסיס אותו מידע, לפיו ניתן כנגדו צו עיקול. רשם מאגרי המידע קבע, כי חברת הביטוח הפרה את סעיפים 2(9) ו-8(ב) לחוק הגנת הפרטיות: שימוש במידע אודות ענייניו הפרטיים של אדם שלא למטרה שלשמה נמסר ושימוש במידע שבמאגר  שלא למטרה שלשמה הוקם. הרשם גם פרסם הנחיה כללית בסוגיה זו: "איסור שימוש במידע בדבר הטלת עיקול אצל צד שלישי".

חברת הביטוח עתרה בטענה, שאין לרשם סמכות לקבוע כללי התנהגות ואתיקה לבעלים, מחזיקים או מנהלים של מאגרי מידע והוא נעדר סמכות לפרסם הנחיות בעניין זה. עוד טענה, שרישום על עיקול אינו "מידע" כהגדרתו בחוק. השופטת מיכל אגמון גונן דחתה את העתירה (עת"מ (ת"א) 24867-02-11 איי.די.איי חברה לביטוח בע"מ נ'  רשם מאגרי המידע (1.8.2012; doc), ובשבוע שעבר נמחק ערעורה של חברת הביטוח, תוך ששופטי העליון מדגישים בפסק הדין: "מקובל עלינו פסק הדין קמא על הנמקותיו" (עע"מ 7043/12 איי. די. איי חברה לביטוח בע"מ נ' רשם מאגרי המידע (15.1.2014)).

ואלה עקרי פסק הדין

סמכות אכיפה ופרסום הנחיות של הרגולטור: "מסמכות הפיקוח הכללית שהוקנתה למשיב על פי חוק הגנת הפרטיות, נגזרת סמכותו לקבוע כי פלוני הפר את הוראות החוק" ולהטיל עליו קנסות וסנקציות אחרות. הרשם גם מוסמך "להפעיל את שיקול דעתו על פי מדיניות כללית שקבע לעצמו, כפי שעשה בהנחיה הכללית … המשקפת את פרשנותו לחוק הגנת הפרטיות, שעל אכיפת הוראותיו הופקד."

רגישותו של מידע אישי נגזרת גם מהיכולת להסיק ממנו מסקנות - בצו העיקול גלום מידע אישי רב. "עצם העובדה שעל נכסיו של פלוני נרשם עיקול יש לה נופך שלילי ולא נדרש הסבר מפורט מדוע מידע זה כרוך בענייניו הפרטיים של אדם… מידע בדבר קיומו של צו עיקול שהוטל על נכסיו של פלוני אף מאפשר הסקת מסקנות בנוגע ליכולתו הכלכלית… שכן הוא עשוי לכלול גם פרטים בדבר נכסים וזכויות … האפשרות להסקת נתונים אלה אכן חודרת שלא כדין את מעטה הפרטיות."
 
מאגרי מידע מחמירים את הפגיעה בפרטיות – "בשונה מפגיעה חד פעמית בפרטיות (צילום, מעקב), מאגרי מידע בעצם קיומם מסכנים את הפרטיות. הכמות הופכת בעניין זה לאיכות היינו, כמות המידע האגור במאגרי המידע השונים, והעובדה שמדובר במידע דיגיטלי הופך את הסכנה לפרטיות לחמורה יותר. יש לקחת שיקול זה בחשבון שבוחנים מידע הנמצא במאגר מידע… יש לדאוג כי מאגרי המידע הדיגיטליים לא יביאו לאבדן הפרטיות."

ראוי להכפיף טכנולוגיה לערכים כדי להגן על הפרטיות - אין להתעלם מכך כי במציאות הטכנולוגית המודרנית עמדתו של הרשם אכן יוצרת מידה מסוימת של ניתוק מלאכותי בכל הנוגע לידיעתם של גופים פיננסיים, כאשר מצופה מהם להתעלם ממידע שהגיע אליהם מתוקף מעמדם כמחזיקים. אולם, דווקא קיומן של הטכנולוגיות המודרניות, המאפשרות שילוב בין יכולת העברת המידע במהירות והיכולת לאוספו, מחייבות הטלת מגבלות על יכולות אלה, ומאפשרות את הטלתן. אכן:  'אין הכרח שהזכות לפרטיות "תמות" לנוכח טכנולוגיות חדשות. הזכות ניצבת בפני אתגרים, אבל ההחלטה על גורל הזכות – לחיים או לחידלון – היא החלטה ערכית-חברתית, ולא טכנולוגית. בניגוד לעמדה הדטרמיניסטית, הטכנולוגיה אינה מנותקת מערכים בכלל או מערך הפרטיות בפרט. אפשר להשפיע עליה ואפשר לעצב אותה. הפרטיות והטכנולוגיה משפיעות זו על זו השפעה הדדית ודינמית' (ראו בירנהק, הזכות לפרטיות, עמ'  44-45). במקרה זה תפקידו של בית המשפט הוא למנוע פגיעה בפרטיות, על ידי גופים פיננסיים, המקבלים מידע על עיקולים, כדי להקל על גבייה מחייבים. אין לאפשר שימוש במידע זה לצרכים אחרים…"




עיקרון צמידות המטרה - באחרית פסק הדין מצינת השופטת אגמון-גונן את "הניתוק המלאכותי" שנוצר עקב האיסור על מי שמחזיק במאגר מידע לעשות שימוש במידע האישי שברשותו אלא למטרה שלשמה הוא הגיע לידיו. בפסק הדין הקצרצר של בית המשפט העליון, חזרו השופטים והדגישו נקודה זו:
"אכן אין לעשות שימוש במידע שהגיע לגוף כגון חברת ביטוח או בנק בעניין פלוני לצרכים שמחוץ לשימוש המקורי המותר, ויש להסירו מזיכרונם המוסדי לכל צורך למעט המקורי; אך מסכימים אנו מנגד, כי אי הסתמכות על המידע בהקשר אחר בשל האיסור שבפסק הדין, אינה אמורה להיות לרועץ לגורם שהחזיק בו, באותו הקשר אחר"

זהו נדבך נוסף בביצור העיקרון של צמידות המטרה: קיבלת מידע למטרה מסוימת? מחובתך להיצמד למטרה. גם אם המידע יכול לסייע לך בקידום מטרה ראויה אחרת – עליך לנהוג כמי ששכח אותו. התעלמות מהמידע אינה התרשלות, התחשבות בו היא עוולה של פגיעה בפרטיות ולעיתים גם עבירה פלילית



חלק גדול מהבעיות שהתעוררו בתיק זה מקורו באנכרוניזם של חוק הגנת הפרטיות. צוות שופמן ששקד על גיבוש רפורמה בפרק "מאגרי מידע" סיים את עבודתו לפני 7 שנים. מאז נוספו תובנות חשובות אגב עבודתה של הרשות למשפט ולטכנולוגיה (רמו"ט). אבל מלאכת התיקון הולכת ומתמשכת דבר שמאפשר למפרים להתחכם ולהעלות טענות מסוגן של הטענות שהועלו כאן. דווקא בשל כך יש חשיבות גדולה לגישה המרחיבה שבה מצדד בית המשפט, ואשר שמשה בענייננו בעת קביעת סמכויות הרשם ובהתייחס למונח "מידע". פסק הדין מאשרר את עמדותיו של רשם מאגרי המידע הקודם, יורם הכהן, ונותן "ברכת הדרך" לרשם החדש, אלון בכר: גם היום, עוד בטרם התיקון המיוחל של החוק, נתונות לו סמכויות נרחבות לפעול נגד מפרים.

אל תשתתפו בניסוי - אמרו לא למאגר הביומטרי

CC By Daehyun Park