ההגנה על המידע: בין פרטיות לבין מאגרי מידע ואבטחת המידע

מאת עו”ד דן חי

אחת משאלות היסוד המובילות את העיסוק בהגנה על הפרטיות בישראל הינה, מה בין הזכות לפרטיות לבין ההגנה על המידע האגור במאגרי המידע הממוחשבים, אותם מאגרים שבעת חקיקת חוק הגנת הפרטיות (1981) היו רק על קלטות מידע או סלילי מחשב גדולים ואילו כיום מצויים בכל מכשיר נייד חכם בו ניתן לאגור ולעבד מידע ממושב.

המחוקק השיב לשאלה זו בעצם הכללתו של פרק ב’ בחוק, העוסק במאגרי מידע, בחוק עצמו ולא בחקיקה נפרדת. יחד עם זאת השאלה אינה פתורה וקולות להפריד את העיסוק בנושא לחוק נפרד עולים תוך עיסוק בסוגיה; לא יהא זה מופרך להעריך שהפרדה כזו אכן תעשה ביום מהימים. עד אז תחום ההגנה על המידע עדיין מהווה חלק מחוק הגנת הפרטיות.

אבטחת מידע

בדרך כלל, כאשר עולה לדיון שאלה זו, מוצעת התשובה המצביעה על מציאת מכנה משותף רחב. כך המידע האישי, בסופו של דבר מוגדר אצל כל אדם כחלק בלתי נפרד מפרטיותו. מנגד, בעיקר עם התקדמות הטכנולוגיה, שיטות איסוף המידע בעולם המודרני הולידו סוגיות שונות וייחודיות, עד כי במדינות רבות העיסוק בהן שמור לחוק נפרד העוסק בהגנה על המידע האישי ובאבטחתו[1]. ההפרדה בין התחומים מקטלגת את אותם תחומי פרטיות שאינם עוסקים בעולם הדיגיטאלי המתקדם של איסוף המידע, כפרטיות הכללית או ה’קלאסית’, להבדיל מזו שהיא לכאורה ‘מתקדמת’ או ‘מודרנית’, זו הכוללת את ההגנה על המידע האישי.

לא במקרה, אולי, קרה שכאשר הונחה הצעת חוק הגנת הפרטיות לקריאה ראשונה על שולחן הכנסת, לא נכלל בה פרק העוסק במידע הנאגר במאגרי המידע. זאת כהמשך ישיר למסקנות הועדה המכינה של החוק, ברשות השופט יצחק כהן. במסקנותיה התייחסה הועדה לנושא הפגיעה בפרטיות על-ידי מאגרי מידע ממוחשבים: “בנושא זה לא נתגלו עד כה בארץ תקלות רציניות המחייבות פעולת חקיקה דחופה, ומכיוון שההתעמקות בנושא זה דורשת מומחיות רבה ועבודת מחקר, העדפנו שלא לכלול הוראות מיוחדות בעניין מחשבים והפיקוח עליהם בחוק המוצע”[2]. בסופו של דבר הפרק העוסק במאגרי המידע הממוחשבים הוסף רק בנוסח שהונח על שולחן הכנסת לקריאה שניה ושלישית של החוק, פרי עבודה מואצת של ועדה, אשר עמד בראשה דוד גלס, יו”ר ועדת חוקה חוק ומשפט של הכנסת באותה עת.

כאשר נדון תיקון תשנ”ו לחוק, הודגש הצורך לבצע התאמות ותיקונים בחוק, לדברים שהיו תולדה של מהלך החקיקה המהיר בו הוסף פרק מאגרי המידע. היו שראו בפרק ב’ ובפרק ד’ לחוק, שהוסף במסגרת תיקון תשמ”ה לחוק, חוק נפרד שאוחד באופן מלאכותי עם יתר פרקי החוק. אבל גם לאחר התיקון, עדיין יש בחוק דברים שרלבנטיים רק לפרקים ב’ ו-ד’ של החוק.

הליך החקיקה עורר שאלות, אשר חלקן נותרו ללא מענה עד עתה. בראשן, השאלה האם פרק ג’ לחוק, העוסק בהגנות, חל גם על פרקים ב’ ו-ד’ לחוק. הטענה כנגד החלה זו מבוססת על אותו חיבור מלאכותי של פרק ב’ לחוק אל מתכונת החוק ומאוחר יותר אף פרק ד’ לחוק, העוסק בהעברת מידע בין גופים ציבוריים. על בסיס זה ניתן, לכאורה, להעלות טענה, כי לא הייתה כוונה להחיל על פרקים ב’ ו-ד’ לחוק את אותה רשימת הגנות אשר כוחה יפה ביחס לפרק א’ לחוק, אותו פרק העוסק ב’פרטיות הקלאסית’. מנגד, אין כל תימוכין לטענה כזו, לא בחוק עצמו ולא בחקיקה שבאה בעקבותיה והמסקנה המתבקשת הינה, כי פרק ההגנות בחוק חל על כל פרקי החוק, ופרקים ב’ ו-ד’ בכלל זה.

חיזוק למסקנה זו ניתן לראות בכך שמאז שחוקק החוק, ניתן לסמן מגמה ליצור חוק אחיד שהוראותיו יחולו על כל הפרקים שלו. כך במסגרת תיקון מס’ 9 לחוק, שנעשה בחודש יוני 2007, שונתה כותרת סעיף 29 לחוק, העוסק בסמכות להוציא שורה של צווים, כך שתחול על כל פרקי החוק ולא על הפרטיות הקלאסית, כפי שהיה בנוסח שקדם לתיקון. נוסח הרישא של הסעיף לפני תיקונו קבע כי ניתן להוציא את הצווים במשפט “בשל פגיעה בפרטיות”, והכוונה הייתה למשפטים בשל פגיעה בהוראות סעיף 2 לחוק, סעיף הקובע “פגיעה בפרטיות מהי”, כלשון כותרת הסעיף. אולם במסגרת תיקון מס’ 9 לחוק שונה הנוסח לזה שקיים היום, לפיו ניתן להוציא צווים “בשל הפרה של הוראה מהוראות” החוק, כאשר הכוונה כמובן גם לפרקים ב’ ו-ד’. ההסבר בתזכיר החוק לשינוי היה הרצון “שסמכותו של בית המשפט לתת צווים בנוסף לכל עונש או סעד במשפט פלילי או אזרחי, תחול על כל עבירה לפי חוק הגנת הפרטיות ולא רק על פגיעה בפרטיות המנויה בסעיף 2 לחוק העיקרי”[3]. זאת מתוך ראייה שאין זה נכון לייחד את הוראות הסעיף רק לפרטיות אלא יש להרחיב את היקפו גם ביחס למאגרי המידע.[4]

מנגד, כאשר תוקן באותו מעמד החוק והוספה לו הוראות סעיף 29א, הקובעת את האפשרות לפסוק פיצוי ללא הוכחת נזק, נקבעה האפשרות רק ביחס לפגיעות בניגוד לפרק א’ לחוק, העוסק ב’פרטיות הקלאסית’. הדבר עולה מההפניה הברורה בסעיף 29א(א) לחוק לעבירה לפי סעיף 5, המונה עברות על סעיפי משנה של סעיף 2 לחוק, ובסעיף 29א(ב) לסעיף 4 לחוק, הקובע כי פגיעה בפרטיות תהווה עוולה אזרחית, תוך התייחסות לפרק א’ לחוק בלבד. הקביעה הזו נעשתה מתוך ראיה, כי בנושא הפיצוי ללא הוכחת נזק, ראוי לקבוע הסדר שונה ביחס לפרקים ב’ ו-ד’ לחוק[5].

דומה שעד שהמחוקק לא יאמר את דברו, אם בכלל, ויפריד את ההגנה על המידע האישי מיתר פרקי החוק אל חוק אחר, ימשיכו אותם יחסי ‘אהבה שנאה’ בין שני חלקי החוק – ה’פרטיות הקלאסית’ שבפרק א’ וההגנה על המידע שבפרקים ב’ ו-ד’ לחוק. דומה כי הוויכוח בשאלה אם הפרדה כזו אכן ראויה, לא יפוג גם במקרה ויוחלט על אותה הפרדה. יהיה אז מי שיטען, כי ההפרדה אינה המעשה הנכון ויבקש לאחד את החוקים מחדש.

  1. זהו, למשל, המצב באוסטרליה ובקנדה – ראו “הזכות לפרטיות לאחר המוות – סקירה השוואתית”, הכנסת – מרכז מחקר ומידע, 24.5.2007 , בעמ’ 2
  2. דו”ח הועדה להגנה בפני פגיעה בצינעת הפרט (יו“ר: השופט יצחק כהן), מדינת ישראל, תשל“ז 1976- , בעמ’ 4
  3. משרד המשפטים, תזכיר הצעת חוק הגנת הפרטיות (תיקון – פרטיות של נפטר, הסכמה מדעת ופיצוי ללא הוכחת נזק), התשס”ד 2004- , בעמ’ 10
  4. פרוטוקול ישיבה מס’ 214 של ועדת חוקה חוק ומשפט של הכנסת, הכנסת ה 17- 6.6.2007 , בעמ’ 25
  5. פרוטוקול ישיבה מס’ 214 של ועדת חוקה חוק ומשפט, הכנסת ה 17- 6.6.2007 בעמ’ 30