היבטים משפטיים בדיני מחשבים
המשפט והטכנולוגיה
האם יכול המשפט להסדיר את הטכנולוגיה?
ישנן מספר גישות פילוסופיות ותאורטיות להסתכלות ולבחינת השאלה המועלית.
גישה אחת גורסת כי הטכנולוגיה רצה קדימה והיא בבחינת החדשנות והקידמה, לעומת כללי המשפט וניסיונותיהם להתערב, אשר עלולים להזיק להתפתחות הטכנולוגית, להאט אותה ולמנוע מהקדמה לעשות את שלה.
כדוגמא נגזרת ניתן להציג מדינות מסוימות, סין למשל, אשר אינן מסכימות לקבל את הקדמה ואף מגבות את הנושא בכללים ורגולציה ואף מציגות את הטכנולוגיה, הגלישה החופשית בכל אתרי האינטרנט ומערכות מידע באור רע, אשר עמו מגיעה הגלובליזציה, חוסר הייחוד, יצירת עולם ללא גבולות ועגול. הטכנולוגיה דוהרת ללא הפסקה ועכבות רגולטוריות של מדינות פרטניות הן בבחינת הדרך היחידה למנוע את כניסתה של הקידמה למדינות הללו. כמו כן, ישנן מדינות אשר מעוניינות לעשות צנזורה וחסימה של אתרים ותכנים בכדי להימנע מטרור, דבר אשר מגיע מתוך חשיבה הגנתית על הנתינים. עם זאת, אין המדינות יכולות לעצור את מה שקורה בשאר העולם.
אם להיזהר בלשון, מדיניות זו של המדינות הללו, מעכבת את התפתחותן של המדינות הללו ומהווה דוגמא מובהקת לכך שככל שהמדינה אינה דמוקרטית היא דוחה מעליה עד כמה שניתן את הטכנולוגיה בכדי להשליט סדר ואף טרור על נתיניה. על אף האמור, מדינות אלה לא בוחלות בשום אמצעים טכנולוגיים ושימוש מערכות מידע, כאשר הן נדרשות למידע מדיני, צבאי וכו' בכדי להשיג מטרות כאלה ואחרות.
לפיכך, אנו חוזים באינספור צורות ודרכים להגביל ולשלוט רגולטורית ומשפטית במערכות המידע, הטכנולוגיה וכל מה שבא עמן אך במקביל לעשות שימושים בתחומים אשר רצויים ואף מקובלים בכל מדינה ומדינה.
גישה שניה, אשר מהווה עמדה משפטנית טהורה ולפיה, הטכנולוגיה החדשה, מערכות המידע, והאינטרנט מהווים עילה לבחינת הסדר המשפטי הקיים ועדכונו בהתאם, אך ידו של המשפט צריכה וראויה להיות על העליונה. זאת כיוון וגם הטכנולוגיה מהווה תוצר אנושי אשר זקוק לבחינה משפטית, מתעדכנת ואקטואלית, שכן לא ניתן יהיה לאפשר למידע כה רב להתפזר כאש בשדה קוצים ואשר עליו לא יהיה פיקוח, רגולציה והגבלות. הדוגמאות הינן אינסופיות: מתכנים לא ראויים לקבוצות מסויימות באוכלוסייה ועד נזקים מדיניים כתוצאה מכשלים בביטחון מידע, נושאים אשר עליהם ארחיב בהמשך.
אין תשובה נכונה או פחות נכונה. ישנן דעות רבות בנושא. מדובר בקבוצות, מגדרים וזהויות רבות אשר מבקשות מחד לשמור על זהותן, על זהות קרוביהן ועל תמימות ילדיהן ומצדו השני של המתרס עומדים להם עקרונות רבים כגון, זכות הציבור לדעת, חופש המידע, זכותו וכבודו של כל אדם ואדם.
אלה עקרונות אשר כל מדינה צריכה לקחת בחשבון במערך שיקוליה לאימוץ הטכנולוגיה, הקידמה, שימושי האינטרנט ומערכות המידע.
האינטרנט בנוי כרשת מבוזרת, כלומר, מבחינה טכנולוגית, שלטונית, ולמעשה מכל בחינה, אין לה מרכז. בהיעדר מרכז ששולט בכל קצות הרשת, אין למשפט מקום להניח את ידו.
נראה כי, ניסיונות ההתערבות של המשפט עלולים, מחד להזיק להתפתחות הטכנולוגיה במובנה הגלובלי חוצה הגבולות ומאידך להוות כלי שרת רגולטורי, מדיני ולעתים אף כלי פוליטי, לכל מדינה ריבונית המבקשת שלא לחשוף את פגיעותיהן, סודותיהן, כיוון וישנם אינטרסים רבים לשמור עליהם.
לאחר שנגענו מעט בצד התיאורטי העומד מאחורי ההסדרה הממשלתית והמשפטית של עולם המחשוב, נעבור לפרקטיקה ולעיסוק בחוקים השונים החלים על עולם זה ועל השפעותיהם.
חוק המחשבים
חוק זה, שנחקק כבר בשנת 1995, הינו החוק המסדיר את האיסורים וההגבלות אשר קיימים על עולם המחשוב.
כבר בפתיחת דברי ההסבר לפרק העבירות בהצעת החוק, בחרו מציעי החוק להביע את הצורך בחקיקה מיוחדת הנוגעת למחשבים. צורך זה נובע לדידם, מכך שהוראות עונשיות קיימות, העשויות להיות רלוונטיות לעניין שימוש במחשב, מגינות על אינטרסים מוחשיים כגון: הסגת גבול, גניבה והתפרצות. ואילו ההוראות שבהצעת החוק באות להגן באופן מיוחד על אינטרסים מופשטים, שהמרכזי בהם הוא חומר מחשב. מתוך כך ניתן להבחין כי המחוקק הישראלי בחר במגמה של הרחבה של הדין באופן משמעותי, על מנת שיכלול בתוכו את שלל העבירות שניתן לבצע באמצעות המחשב.
הגדרות החוק למונחים מעולם המחשוב
חוק, חייב להיות מדויק ומפורט, וזאת על מנת להימנע, ככל הניתן, מסטיות בפרשנות של דברי החוק הכתובים על ידי האזחרים ובתי המשפט. חוק המחשבים, מעצם היותו עוסק בתחום חדש, קובע גם הוא מספר הגדרות יסוד למושגים מעולם המחשוב, להלן מושגי היסוד הנזכרים בחוק:
- "חומר מחשב" - תוכנה או מידע;
- "מחשב" - מכשיר הפועל באמצעות תוכנה לביצוע עיבוד אריתמטי או לוגי של נתונים, וציודו ההיקפי, לרבות מערכת מחשבים, אך למעט מחשב עזר;
- "מחשב עזר" - מחשב המסוגל לבצע פעולות חישוב אריתמטיות בלבד ופעולות הכרוכות בביצוע פעולות כאמור;
- "מידע" - נתונים, סימנים, מושגים או הוראות, למעט תוכנה, המובעים בשפה קריאת מחשב, והמאוחסנים במחשב או באמצעי אחסון אחר, ובלבד שהנתונים, הסימנים, המושגים או ההוראות אינם מיועדים לשימוש במחשב עזר בלבד;
- "פלט" - נתונים, סימנים, מושגים או הוראות, המופקים, בכל דרך שהיא, על ידי מחשב;
- "שפה קריאת מחשב" - צורת הבעה המתאימה למסירה, לפירוש או לעיבוד על ידי מחשב או מחשב עזר בלבד;
- "תוכנה" - קבוצת הוראות המובעות בשפה קריאת מחשב, המסוגלת לגרום לתיפקוד של מחשב או לביצוע פעולה על ידי מחשב, והיא מגולמת, מוטבעת או מסומנת במכשיר או בחפץ, באמצעים אלקטרוניים, אלקטרומגנטיים, אלקטרוכימיים, אלקטרואופטיים או באמצעים אחרים, או שהיא טבועה או אחודה עם המחשב באופן כלשהו או שהיא נפרדת ממנו, והכל אם אינה מיועדת לשימוש במחשב עזר בלבד.
המשפט הפלילי ודיני המחשבים
פרק ב' לחוק המחשבים קובע את העבירות אשר אסורות על פי חוק זה ואת העונשים הנלווים לעשיית הפעולות האסורות (עונשי מאסר של 3-5 שנים, תלוי בעבירה).
עבירות אלה כוללות בין היתר:
סעיף 2(1) - שיבוש או הפרעה לפעילותו התקינה של מחשב אחר.
סעיף 3(א)(1) - העברה או אחסון במחשב של מידע כוזב או פלט כוזב בין אם על ידי כתיבת תכנה אשר תוצאת השימוש בה תהיה מידע כוזב או שימוש בתכנה כאמור.
סעיף 4 - חדירה לחומר מחשב שלא כדין, זאת ניתן לעשות על ידי חדירה באמצעות התקשרות או התחברות עם מחשב או על ידי הפעלתו, למעט חדירה למחשב שמהווה האזנת סתר ואשר כבר גולש לעבירה אחרת מחוק האזנת סתר, אשר גם עליו קיימת ענישה.
סעיף 6 - פעולות אסורות בתוכנה, מעבר לביצוע בפועל של העבירות שפירטתי לעיל, גם עריכת תוכנה בצורה שתאפשר למשתמש בה לבצע את אחת מן הפעולות הללו מהווה עבירה על החוק.
דיני הנזיקין ועולם המחשוב
פרק ג' לחוק עוסק בהשלכות הנזיקיות (מדובר בעוולות אזרחיות, בניגוד לפליליות בגינן ניתן לתבוע אדם כי ישלם פיצויים למי שנפגע ממעשיו, זאת בניגוד לעונשי המאסר המוטלים על עבירות על הדין הפלילי אותן ציינתי) של עבירות הקבועות בחוק זה.
סעיף 7 - קובע את העוולות הנזיקיות אשר אינן מהווה עבירה פלילית, אך בגינן ניתן לתבוע באופן אזרחי את המעוול.
דוגמא לכך הינה הפרעה שלא כדין לשימוש במחשב או בחומר מחשב, בכל דרך שהיא, לרבות על ידי גזילת דבר המגלם חומר מחשב ו/או מחיקת חומר מחשב, גרימת שינוי בו או שיבושו בכל דרך אחרת, שלא כדין (סעיף 7(1)).
חשוב לשים לב, כי בעבירות על פי סעיף 7, אשר התובע הוכיח את הצד העובדתי, נטל ההוכחה הינו הפוך, ומוטל, בניגוד לנהוג במערכת המשפט הישראלית, דווקא על הנתבע, אשר נדרש להראות כי המעשה שלו היה חוקי.
הבחנה חשובה נוספת שיש לערוך, הינה בין פעולות שנועדו לגרום נזק למחשב עצמו, לבין פעולות שנועדו לגרום נזק מחוץ למחשב עצמו. למשל, טרוריסט המחבל במערכת מחשב של תשתיות לאומיות קריטיות כמו מחשבי חברת החשמל, חברות הטלפון, מערכת בקרת רמזורים או בקרה אווירית. שיבוש פעולת המחשב במקרה כזה נועד לפגוע בתשתיות הקריטיות. השימוש במחשב אינו כאמצעי תקשורת לעבור עבירה אחרת כמו בדוגמת הקשר הפלילי, אלא מטרתו היא לגרום לנזק ממשי בעולם המוחשי.
נראה, כי חוק זה בא להסדיר נורמטיבית את נושא העבירות באמצעות המחשבים וטכנולוגיית המחשוב והאלקטרוניקה בכללותה. האלמנטים העונשיים באים ללמדנו, כי עבירות אלה, הכוללות בחובן גם עבירות סייבר הינן סכנה אשר יש לדעת כיצד להתחקות אחריה, להעניש עבריינים המתחבאים מאחורי מסך מחשב ואשר ביכולתם לבצע נזקים בסדרי גודל רבים.
ההיבט הקנייני
סעיף 4 לחוק המחשבים, קובע מניעת פריצות חיצוניות למחשבים ומערכות מידע, בין אם אלה נועדו להשיג יעדים של טרור או פשיעה ובין אם נועדו לפגוע בשלמות המידע וזמינות המערכת. הכניסה הלא-מורשית למערכת נתפסת כפריצה - בדומה לפריצה בעולם הפיזי.
לפיכך, עולה השאלה, כיצד יש להתייחס אל סוגייה זו?
האם הערכים הבלתי מוחשיים בכל הנוגע להסגת גבול, מלבד העבירה המוגדרת והתחומה של חוק המחשבים, יכולה להוות גם פגיעה קניינית?
התשובה בחקיקה:
המחוקק בחר שלא להגן על הערכים הבלתי מוחשיים המשמשים בעבודת המחשב בכל הנוגע להסגת גבול במחשב. להחלטת המחוקק שלא לחוקק עוולה פרטיקולרית, הנוגעת לחדירה למחשב, ניתנו שני הסברים: ההסבר האחד מובא בדברי ההסבר למבוא לפרק ג' ("נזיקין") להצעת חוק המחשבים והוא מתייחס לכך שהמחוקק אינו מעוניין להעניק הגנה כוללת למידע, אף כשהוא אינו אישי-פרטי או סוד מקצועי: "אילו נקבעה עוולה כזו משמעותה הייתה שגם מידע שאיננו סוד מסחרי או מידע אישי-פרטי, היו זוכים [כך במקור] להגנה קניינית כוללת רק משום אמצעי האחסון של המידע; הגנה כזו היא רחבה מדי, ועדיף להותיר נושא זה לתחולתם של הדינים הכלליים כמו דיני סודות מסחר ודיני הגנת הפרטיות.
העבירה של חדירה שלא כדין הוגדרה בצמצום ונקבעו בה מגבלות: האחת היא הביטוי העמום "שלא כדין", הזועק לליווי של פרשנות, והשנייה היא דרישת המחשבה הפלילית. (גם אי הגדרתה של החדירה שלא כדין כעוולה במשפט האזרחי אינה מקרית). פרופסור מיגל דויטש, שהיה פעיל בניסוח טיוטות החוק, מעיד שהעבירה נועדה למנוע עבירות באמצעות מחשב, ולא עבירות כנגד מחשב.
אבטחת מידע
העיגון הנורמטיבי של נושא אבטחת המידע מגיע מסעיף 17 לחוק הגנת הפרטיות- "אחריות לאבטחת מידע - בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע."
את העבירות אשר מצוינות בחוק המחשבים ואשר הוזכרו לעיל, יש לפרש על רקע עקרונות אבטחת מידע. הנורמה החברתית המוגנת שאותה מבקש החוק לקדם, כלומר תכלית החוק, חופפת את עקרונות אבטחת המידע.
אבטחת מידע היא מושג כללי ורחב בתחום מערכות המידע, שנעשה בו שימוש בהקשרים שונים שאינם תמיד אחידים, והוא גם משתנה לאורך השנים, ככל שהטכנולוגיה משתכללת והעבריינים מתעדכנים גם הם.
מטרת העל של אבטחת המידע ומערכות המידע היא לוודא שהמחשב או מערכת המחשבים יבצעו את הפעולות והמשימות שאותן יועדו לבצע, ללא התערבות או הפרעה חיצונית ושמידע רב, מסויים, סודי, בטחוני, מדיני וכיו' לא ייפול לידיים זרות, ו/או לעיניים לא נכונות אשר עלולות לעשות שימוש לרעה במידע הזה. מצבים אלו עלולים להגיע לקני מידה גלובליים ולנזקים אשר לא ניתן אף לאמוד אותם. לפיכך, זהו נושא אקוטי אשר עליו יש להקפיד ולשים בצד את כל חשיבות הטכנולוגיה, הרשתיות, הגלובליות וכן להביא בחשבון פיקוח רגולטורי המסדיר את היחסים בין אבטחת המידע לבין חשיבות חופש המידע, היכולת לשוטט ו"לגלוש".
אבטחת מידע אינה עוסקת בכשלים ("באגים") במערכת עצמה, אלא בסיכול שיבושים מכוונים. הסיכונים האלה יכולים לבוא "מבחוץ", הווה אומר, מגורמים שהמערכת לא נועדה לשימושם, או "מבפנים", כלומר מגורמים המורשים להשתמש במערכת ברשות ובסמכות, אולם לא בדרך בה הם עושים זאת בפועל. זהו אם כן עקרון-העל של אבטחת מידע: לוודא שהמערכת ממלאת את ייעודה ללא הפרעה.
כעת אציג מספר דוגמאות לפריצה באבטחת המידע ולחדירה שלא כדין למחשב:
פרשת הסוס הטרויאני:
פרשת ריגול עסקי שנחשפה בישראל בסוף המחצית הראשונה של שנת 2005. דובר בתוכנה שפותחה בידי מיכאל האפרתי ובת-זוגו רות האפרתי. התוכנה מיועדת לחדור למחשב המחובר לרשת האינטרנט, בלא ידיעתו של בעל המחשב ובתוך כך לקבל ולהעביר מן המחשב נתונים ומידע המצויים בו. בעקבות חקירת המשטרה, 11 חוקרים פרטיים משלושה משרדי חקירות נחשדו בכך שרכשו מהזוג האפרתי תוכנת ריגול בשם "TargetEye" ושתלו אותה במחשביהן של חברות מרכזיות במשק הישראלי באמצעות תוכנה שהופצה בצורת הצעות עסקיות על גבי תקליטור ובמשלוח דואר אלקטרוני. בין החברות שהיו קורבנות למעשה זה: הוט, פרטנר, קבוצת שטראוס, צ'מפיון מוטורס, סטימצקי, מלם מערכות.
בפס"ד נגד אהוד טננבאום, אשר כונה "האנלייזר" אנו רואים מספר אישומים אך הגדולים והמדוברים ביותר הינם:
האישום הראשון: במהלך שנת 1997 ובחלק משנת 1998 קשר המשיב קשר עם אחרים לביצוע עבירות שונות באמצעות רשת האינטרנט. המשיב השיג תוכנות אשר אפשרו את ביצוע העבירות ואף ערך בהן תיקונים ושיפורים. המשיב גם למד שיטות לביצוע חדירה למחשבים ושיטות להסוואת פעולותיו ופיתח שיטות כאלה באופן שלא יהא ניתן להתחקות על עקבותיו.
האישום השני: במהלך תקופת הקשר חדר המשיב, שלא כדין, באמצעות האינטרנט לעשרות מחשבים בארץ ובחו"ל, ובין היתר חדר למערכת מחשבי נאס"א ולמחשבים של מוסדות ממשל וביטחון בארצות-הברית. המשיב עשה זאת תוך שימוש בחשבונות האינטרנט של מנויים אצל ספקי אינטרנט בארץ. המשיב שיבש את פעולות המחשבים על-ידי כך ששינה קבצים והשתיל קבצים שיאפשרו לו לחדור למחשב פעמים נוספות.
הגנה משפטית על תוכנות מחשב
במדינת ישראל תוכנה של מחשב נחשבת כיצירה ספרותית לעניין זכות היוצרים וכך מוגנת ע"י חוקי זכויות היוצרים (תיקון מס' 5 לפקודת זכויות יוצרים).
פסק הדין, החשוב ביותר בנושא, הוא ע"א 139/89 הרפז נ' אחיטוב, בו בית המשפט העליון פסק, בעקבות פסק הדין האמריקאי WHELAN, שזכות היוצרים בתוכנת מחשב משתרעת הן על כל אחד משלבי הפיתוח והן על היצירה המוגמרת עצמה.
"זכות יוצרים לגבי תוכנת מחשב משתרעת מעבר לקוד המילולי של התוכנה ומוענקת גם לצורה (ARTWORK), למבנה (STRUCTURE), ולהזנת המשתמש (INPUT USER), לסדר (SEQUENCE) ולארגון (ORGANIZATION) של התוכנה". (ע"א 139/89 הרפז נ' אחיטוב)
כיום ניתן צו מניעה זמני כדרך שגרה. בטענה של הפרת זכויות יוצרים, צו המניעה אוסר על העתקת ו/או הפצת תוכנת מחשבים, עד תאריך מתן פסק הדין בתביעה. קיים גם צו המאפשר לב"כ המבקשים או למי שמונה על ידי ביהמ"ש להיכנס לחצרי המשיבים ולתפוס את המוצרים מפרי זכויות היוצרים ואת האמצעים ששימשו להכנתם. קיימת גם אפשרות למינוי ב"כ התובעים ככונס נכסים על העותקים המפרים את זכות היוצרים הנמצאים ברשות המפר זכות יוצרים.
אחת התופעות המזיקות והפוגעות ביותר בחברת התוכנה היא רכישת מספר קטן של עותקי תוכנה חוקיים על ידי ארגונים וחבורת גדולות, ושימוש בלתי חוקי במספר רב של עותקי תוכנה נוספים. שימוש כזה מהווה עבירה פלילית.
המשפט של האיחוד האירופי מגן על תוכנת מחשב אם היא מקורית, דהיינו רק במידה שהיא יצירתו האינטלקטואלית של היוצר. לבעל הזכות, זכות בלעדית להשתמש בתוכנה כולל הזכות הבלעדית ליצור או להרשות העתקה של התוכנה והפצתה לאחרים.
ההגנה האמורה איננה מוחלטת. במצבים מסוימים אין צורך באישור בעל הזכות כדי להעתיק, כדלקמן:
בהעדר תניות חוזיות מסוימות, העתקה של התוכנה לא תחייב הרשאה מטעם בעל הזכות היוצר, כאשר ההעתקה נעשית כדי שרוכש חוקי של התוכנה יוכל להשתמש בתוכנה למטרותיה החוקיות;
אין למנוע יצירת גיבוי של התוכנה;
אדם אשר זכותו להשתמש בהעתק של התוכנה יוכל, ללא הרשאת בעל זכות היוצר, לעיין בעקרונות תפקוד התוכנה אם הוא עושה זאת תוך כדי פעולות המותרות לו לפי הדין;
ניתן להעתיק נתוני תוכנה כאשר זה חיוני כדי למזגה לתוך מערכת הפעלה עם תוכנות מחשב אחרות.
יוער ויודגש כי במדינות מסויות כגון בהולנד או בארה"ב ניתן לרשום תוכנת מחשב כפטנט.
קיימת הגנה נוספת על תוכנות מחשב בדרך חוזית, אך הגנה זאת היא רק כלפי הצדדים החתומים על ההסכם ולא כלפי כל העולם.
הגנה על מידע מקצועי - Know How
אין חקיקה מיוחדת המגנה על Know How, לכן לעתים יש צורך לברור דרכים אלטרנטיביות להגנה. אכן, בישראל, כמו גם בכל יתר המדינות בעולם, לא רק שאין חובת רישום של מידע מקצועי אצל הרשם הממשלתי אלא שאף לא ניתן כלל להגיש בקשה לרישום.
במדינות מסוימות קיימים חוקים האוסרים על שימוש או גילוי של סודות עסקיים ללא הרשאה על ידי חקיקה נגד תחרות לא הוגנת. במספר מדינות פעילות מסוג זה נחשדת כעבירה פלילית. בישראל השכיל המחוקק לקבוע בחוק העונשין תשל"ז - 1977 סעיף ספציפי בעניין זה, סע' 496, כדלקמן: "המגלה מידע סודי שנמסר לו אגב מקצועו או מלאכתו, שאינו סוד רשמי ... ואינו נדרש לגלותו מכוח הדין, דינו - מאסר ששה חדשים."
במשפט המקובל (המשפט הנהוג בישראל, ארה"ב בריטניה ועוד) עולה חובת סודיות בנסיבות מיוחדות, למשל מקרה של גישה לסודות מסחר על ידי עובד.
ההגנה על Know How בדרך כלל מבוססת על התקשרות חוזית עם עובדים, יועצים, בעלי רשיון, או קבלני משנה, בצורה של הסכם סודיות.
העדר הגנה אבסולוטית בחוק מצריך בנסיבות מסוימות יישומן של שיטות מונעות כגון:
- גילוי מידע לעובדים, סוכנים או צדדים שלישיים רק על בסיס Need To Know (רק במידת הצורך).
- הסכמי סודיות.
- נעילת הכניסה למקום אחסון המידע ו"נעילת" המחשבים.
- העסקת אנשי בטחון.
- נוהלי כניסה וליווי למבקרים בחברה, לרבות החתמתם על הסכמי סודיות.
- גדרות ומגבלות אחרות לכניסה.
- תיוק הולם ונעילת תיקים.
- מסמכים סודיים יוחתמו בחותמת "סודי".
- גריסה.
- מגבלות על הרצאות ופרסומים ע"י עובדים וסוכנים.
- כרטיסי עובד המאפשרים כניסה מבוקרת, לדוגמא ע"י זיהוי טביעת אצבעות, רשתית ו/או תמונת העובד, לחברה.
- הגבלה על צילומים (ע"י מכונת צילום). מדיניות מגבילה המקשה על ההוצאה של מידע ממוחשב.
- הצפנה, שיבוש עצמאי או נעילה של תוכנות מחשב בעת שימוש בלתי רצוי.
מאגרי מידע אלקטרוניים
החקיקה הרלוונטית
עיקר החקיקה הרלוונטית לעניין מאגרי מידע מצוי בחוק הגנת הפרטיות, תשמ"א- 1981 (להלן- "החוק") ובתקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), תשמ"ו- 1986 (להלן: "התקנות"). החוק והתקנות מסדירים את נושא רישום מאגרי המידע אצל רשם מאגרי המידע במשרד המשפטים ואת אופן השימוש במאגרים.
הגדרות (בהתאם לחוק ולתקנות) -
- "אבטחת מידע" - הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין;
- "מאגר מידע" - אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט אוסף לשימוש אישי שאינו למטרות עסק; או אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף;
- "מידע" - נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו;
- "מידע רגיש" – נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו; מידע ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, שהוא מידע רגיש;
- "מנהל מאגר" - מנהל פעיל של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לענין זה;
- "רשם" - מי שמתקיימים בו תנאי הכשירות למינוי שופט של בית משפט השלום, והממשלה מינתה אותו, בהודעה ברשומות, לנהל את פנקס מאגרי מידע (להלן - הפנקס) כאמור בסעיף 12;
- "שלמות מידע" - זהות הנתונים במאגר מידע למקור שממנו נשאבו, בלא ששונו, נמסרו או הושמדו ללא רשות כדין.
- "גוף ציבורי" – משרדי הממשלה ומוסדות מדינה אחרים, רשות מקומית וגוף אחר הממלא תפקידים ציבוריים על פי דין; גוף ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, ובלבד שבצו ייקבעו סוגי המידע והידיעות שהגוף יהיה רשאי למסור ולקבל;
- "דיוור ישיר" - פניה אישית לאדם, בהתבסס על השתייכותו לקבוצת אוכלוסין, שנקבעה על פי איפיון אחד או יותר של בני אדם ששמותיהם כלולים במאגר מידע;
- "פניה" - לרבות בכתב, בדפוס, בטלפון, בפקסימליה, בדרך ממוחשבת או באמצעי אחר;
- "שירותי דיוור ישיר" - מתן שירותי דיוור ישיר לאחרים בדרך של העברת רשימות, מדבקות או נתונים בכל אמצעי שהוא.
- "מידע מוגבל" – מידע על מצב בריאותו של אדם או על צנעת אישיותו וכל מידע אחר ששר המשפטים קבע בצו כי הוא מוגבל;
- "מידע עודף" – מקום שמידע שמותר למסרו לפי חוק מצוי על גבי אותו קובץ עם מידע אחר;
- "ממונה אבטחה" – אדם שמונה לממונה על אבטחת מידע לפי חוק או אדם שמנהל המאגר קבע כי הוא אחראי על אבטחת המידע שבמאגר המידע;
- "פנקס" – פנקס מאגרי מידע המנוהל ע"י הרשם ופתוח לעיונו של הציבור.
- "שימוש" – לרבות גילוי, העברה ומסירה.
- "הוועדה להעברת מידע" – הרכב הועדה: לא יפחת משלושה חברים (האחד – יועמ"ש או נציגו, שניים - עובדים שתחום עיסוקם הוא בניהול מידע ואבטחתו); הוועדה תדון ותחליט אם ובאיזו מידה להיעתר לבקשות למסירת מידע, הוועדה תקבע הוראות לענין ההרשאות וההגבלות בענין הגישה למאגרי המידע;
דרישות רישום המאגר
בהתאם לסעיף 8 ג' לחוק, להלן התנאים המחייבים רישום מאגר (די באחד שמתמלא על מנת שתקום חובה לרישום):
מספר האנשים שהמידע עליהם נמצא במאגר עולה על 10,000 איש.
יש במאגר מידע רגיש.
מאגר המידע כולל מידע על אנשים והמידע לא נמסר על ידם, מטעמם או בהסכמתם לאותו מאגר מידע.
המאגר הוא של גוף ציבורי (משרדי ממשלה, מוסדות מדינה, רשות מקומית, גוף הממלא תפקידים ציבוריים ע"פ דין).
המאגר משמש לשירותי דיוור ישיר.
בקשה לרישום
בהתאם לסעיף 9 לחוק ולהנחיות הרשם, בקשה לרישום תוגש לרשם מאגרי המידע ע"ג טופס קבוע ותכלול את הפרטים כדלקמן:
- בעל מאגר המידע, המחזיק במאגר ומנהל המאגר, ומעניהם בישראל;
- מטרות הקמת מאגר המידע והמטרות שלהן נועד המידע;
- סוגי המידע שייכללו במאגר;
- פרטים בדבר העברת מידע מחוץ לגבולות המדינה;
- פרטים בדבר קבלת מידע, דרך קבע, מגוף ציבורי, שם הגוף הציבורי מוסר המידע ומהות המידע הנמסר, למעט פרטים הנמסרים בהסכמת מי שהמידע על אודותיו.
השימוש במאגר
בהתאם לסעיף 8 ב לחוק – "לא ישתמש אדם במידע שבמאגר מידע החייב ברישום לפי סעיף זה, אלא למטרה שלשמ ה הוקם המאגר."
לפיכך, יש לפרט את מטרות הקמת מאגר המידע על גבי הבקשה לרישום.
סודיות
בהתאם לסעיף 16 לחוק, לא יגלה אדם מידע שהגיע אליו בתוקף תפקידו כעובד, כמנהל או כמחזיק של מאגר מידע, אלא לצורך ביצוע עבודתו או לביצוע חוק זה או על פי צו בית משפט בקשר להליך משפטי... המפר הוראות סעיף זה, דינו - מאסר 5 שנים.
לאור האמור, אנו ממליצים כי תוגבל חשיפה למאגר לעיני אלו שהוסמכו לכך ע"י הקרן. ההסמכה תינתן בכתב שיכלול התחייבות לשמירה על סודיות.
אחריות לאבטחת מידע
בהתאם לסעיפים 17, 17 א-17ג לחוק, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע.
קיימים גופים המחוייבים במינוי "ממונה על אבטחה" היינו, אדם בעל הכשרה מתאימה שיהיה ממונה על אבטחת מידע (לא ימונה מי שהורשע בעבירה שיש עמה קלון או בעבירה על הוראות החוק).
ניהול מאגר מידע
מנהל מאגר יודיע לרשם בכתב את שמו של ממונה האבטחה.
בהתאם לסעיפים 2-3 לתקנות, מנהל מאגר אחראי לנקיטת האמצעים הדרושים לשם קיום התקנות וכן לאבטחת המידע במאגר המידע שעליו הוא מופקד ובכלל זה בתחומים אלה:
- קיום הגנה פיסית על מערכת עיבוד הנתונים האוטומטית (להלן - המערכת) ועל תשתיתה לרבות מבנה, אמצעי תקשורת, מסופים ותשתית חשמלית מפני סיכונים סביבתיים ופגיעות;
- קביעת סדרי ניהול של מאגר מידע, והוראות, לאיסוף, לסימון, לאימות, לעיבוד ולהפצה של המידע, הכל בהתאם להוראות החוק והתקנות; סדרים וכללים כאמור יחולו גם על נותן שירותים חיצוני לגוף שבבעלותו מאגר המידע;
- מתן הרשאת גישה למאגרי המידע והטלת הגבלות על מורשי הגישה בהתאם להוראות הוועדה להעברת מידע;
- קיום הוראות תפעול של המערכת תוך אבטחת המידע ושמירה על שלמות המידע;
- עריכת רשימה מעודכנת של מורשי הגישה למאגר המידע לפי הרשאות הכניסה השונות;
- החתמת מורשי הגישה על התחייבות לשמירה על סודיות ועל ההוראות שנקבעו;
- נקיטת אמצעי אבטחה סבירים, בהתאם לרמת רגישות המידע, שימנעו חדירה מכוונת או מקרית למערכת אל מעבר לתחומי המידע שאושרו למשתמש;
- קביעת סדרי בקרה לגילוי פגיעות בשלימות המידע ותיקון ליקויים.
בנוסף לאמור לעיל, באם המאגר מכיל מידע מוגבל, קיימים סדרי ניהול נוספים שהינם באחריות מנהל המאגר כמפורט בסעיפים 8-15 לתקנות.
סדרי הניהול כאמור יכולים להוות בגדר המלצה רעיונית לניהול מעמיק ויסודי יותר של מאגר המידע, אף שאינו בבחינת מאגר מידע מוגבל.
לסיכום, כפי שניתן לראות, נושא זה של היבטים משפטיים בעולם המחשוב, הינו ענף מסועף של המשפט, ומכיל בתוכו חוקים ותקנות רבים, ענף זה,כלל לא מסתכם בסוגיות אשר הועלו כאן, במסגרת זמננו הקצר.
עם זאת, סוגיות אלה מעלות חומר רב למחשבה באשר לתחום רחב ההיקפים זה, בכל הקשור לרגולציה עליו ותיחומו. נושא הגלובליות אינו מתיר התעלמות ממנו ולכן, לכל הפחות למדינת ישראל יש הרבה מה לומר בתחום הזה. הדעות הן רבות, אך החוק הוא קצר, הוא קובע לצדו עונשים, כיוון והוא תופש את הנושא בחומרה רבה.
הטכנולוגיה והתפתחותה ממשיכה להתקדם, בכל רגע נתון ויהיה קשה לעצור אותה. אך נכון יהיה לבחון כיצד והיכן נכון יהיה להגביל אותה, כיצד נכון יהיה להשתמש ברשתות החברתיות, מערכות מידע, אינטרנט וכיו"ב באופן שיטיב עם הכלל וימנעו כמה שפחות נזקים עקיפים ונלווים וביחד עם הטכנולוגיה אף למגר טרור ולא לתת לה להיות כלי שרת בידי ארגוני טרור.