סגור

האם המערכת הפיננסית תבלום את מאגר המידע של הנגיד?

הבנקים וחברות כרטיסי האשראי שיספקו את הנתונים האישיים למאגר המידע שיקים בנק ישראל - לא צפויים להתנגד למהלך למרות אזהרות של מומחי אבטחת מידע. גורם בכיר: "יש דברים יותר גדולים שלא הולכים עליהם לבג"ץ נגד הרגולטור"

האם הבנקים וחברות האשראי יתנגדו לבקשתו של בנק ישראל לקבלת מידע צרכני אישי ופרטני על כל אזרחי ישראל? גורמים שמכירים את הנושא הביעו ספק בכך, והעריכו שהם מעדיפים להשאיר את ההתנגדות לגורמים חיצוניים. "מי אנחנו שנגיד לא לבנק ישראל?" אומרים בגופים הפיננסיים.
בשבוע שעבר חשף צבי זרחיה ב"כלכליסט" תוכנית של בנק ישראל להקים מאגר מידע שירכז נתונים אישיים ופרטניים על הפעילות הפיננסית של אזרחי ישראל, שיעבירו אליו בצורה מזוהה כל הבנקים וחברות האשראי. זאת במטרה ליצור פרופיל פיננסי של כל אזרח, כדי להפיק תובנות מבוססות ביג־דאטה על ההתנהגות הצרכנית ולחזות מגמות קצרות־טווח וארוכות־טווח.
2 צפייה בגלריה
אמיר ירון נגיד בנק ישראל
אמיר ירון נגיד בנק ישראל
אמיר ירון על רקע בנק ישראל
(צילומים: אלכס קולומויסקי, רויטרס)
על מנת ליצור פרופיל שכזה, בנק ישראל גם חייב לקבל את המידע מהבנקים וחברות האשראי כשהוא מזוהה (שם ותעודת זהות), לבצע לו התממה (אנונימיזציה) באמצעות הסרת הפרטים המזהים. במקור ביקש בנק ישראל שיועבר מידע לתקופה של שבע שנים, אך בעקבות פניות הבנקים קיצר את התקופה לחמש. המידע יועבר על בסיס חד־פעמי, ויישמר רק לתקופה שנחוצה לצורך ביצוע המחקר.
התוכנית זכתה לביקורת חריפה מצד מומחי פרטיות ואבטחת מידע, שהסבירו שהקמת מאגר מידע שכזה חייבת להתבצע בהליך חקיקה ראשי, ולא באמצעות צו נגיד שיועבר לבנקים ולחברות האשראי, והתריעו מכך שהליך ההתממה שמתכוון הבנק המרכזי ליישם אינו מספק על מנת למנוע זיהוי חוזר של האזרחים. חרף זאת, משיחות עם גורמים בתחום, חלקם בבנקים ובחברות האשראי, עולה שאין כוונה להתנגד למסירת המידע, למשל באמצעות עתירה לבג"ץ או פנייה ליועץ המשפטי לממשלה.
"יש דיונים מול הרגולטור, אבל ברגע שיש הוראה או צו אנחנו נותנים מידע בלי בעיה", אמר גורם בתחום ל"כלכליסט". "כל הנושא של המידע הוא לא משהו שכל כך מלחיץ, גם אם מידע פיננסי זה עדיין משהו שרוצים לשמור קרוב לחזה, לא רוצה שידעו מה יש לי בעו"ש, כמה מניות ושל מי. לצערי זה משחק שהרכבת יצאה מהתחנה".
גורם אחר סיפר שלהחלטה של בנק ישראל קדמו דיונים עם הבנקים וחברות האשראי על היקף המידע שיועבר. "יצאה טיוטה והתקיימו שיחות בנושא בסוגיות כמו כמות המידע שיועבר, השנים שייכללו, והשדות שיועברו. חלק מההתנגדות היתה משיקולים טכניים, טכנולוגיים ותפקודיים. מבחינה משפטית, הובהר שהיה הליך סדור וברור מול משרד המשפטים, שהכל נבדק ומוסדר מבחינת אבטחת מידע והגנת הפרטיות שיהיו ברמה הכי גבוהה. יכול להיות שהתהליך צריך להיות יותר שקוף לציבור, אבל זה לא תפקידנו במקרה הזה".
2 צפייה בגלריה
כרטיסי אשראי כרטיס אשראי ויזה ישראכרט
כרטיסי אשראי כרטיס אשראי ויזה ישראכרט
כרטיסי אשראי
(צילום: שאטרסטוק)
לדברי אחד הגורמים, בעקבות השיחות עם הבנק, ואחרי שנבחנו היבטים שונים והובהר הצורך בהקמת המאגר, השתכנעו החברות שצריך להעביר מידע. "לא היה מישהו שערער על זה", אמר. "צו נגיד הוא שווה ערך לחוק. זו לא המלצה. יש דברים הרבה יותר גדולים שלא הולכים עליהם לבג"ץ נגד הרגולטור. מפוקח לא יגיש בג"ץ נגד המפקח עליו".
גורם נוסף אמר שבכוונת החברה שבה הוא עובד לשתף פעולה עם הבקשה. "מי אנחנו שנגיד לבנק לא? אם הוא חושב זה טוב ומועיל נשתף פעולה. סומכים על בנק ישראל שישמור על פרטיות הלקוחות".
בחלק מהגופים מקווים שמהלכים עצמאיים של מתנגדי התוכנית יחסכו מהם קונפליקטים אפשריים. "יש כבר פנייה לבנק ישראל ששואלת שאלות", אמר אחד הגורמים, כשהוא מתייחס לפנייה ששלח עו"ד שחר בן מאיר לנגיד, ושבה הוא מבטיח לעתור נגד התוכנית. "אם נעמד גורם חיצוני למערכת, אז איפה העניין לקפוץ בראש"? לדבריו, הכי טוב שבג"ץ ייתן החלטה ואף לקוח לא יוכל לבוא בטענות".
השגות פורום חברות כרטיסי האשראי
באמצע יולי, פורום חברות כרטיסי האשראי באיגוד לשכות המסחר פנה לבנק ישראל עם השגות שונות לגבי התוכנית להקמת המאגר, חלקן מהותיות ואחרות טכניות. האמצעים בהם מבקש בנק ישראל לעשות שימוש, ובמיוחד חלקן של חברות כרטיסי האשראי באמצעים אלו, מעלים חשש לגבי אופן ביצוע העברת הנתונים, ובסיסה החוקי", נכתב במכתב שמוען לנדב אשל, כלכלן בלשכת הנגיד', ושהגיע לידי כלכליסט. "עיון בחוק בנק ישראל מלמד כי לא קיימת הסמכות לדרוש מידע כה גורף אודות התנהלותם הפיננסית של אזרחים משלל מקורות שונים, חופפים ומתחרים, לכדי איחודם וריכוזם במאגר מידע יחיד אשר ינוהל ויוחזק על ידי בנק ישראל. גם סעיפים רלוונטיים בחוק הגנת הפרטיות מעלים שאלות לגבי המאגר הנבחן ובפרט לגבי הליך החקיקה המתאים לשם הקמתו ואסדרתו".
כן התריע הפורום מסכנה של דליפת המאגר: "ייתכן מאוד כי מאגר זה יהפוך ל'גביע קדוש' למתקפות סייבר. במצב הקיים, טרם הקמת המאגר, המידע מבוזר בין הגופים הפרטניים המחזיקים בו, ועל כן פרצה או חולשה במוסד אחד מסכנת רק את המידע האגור אצלו. לעומת זאת, זליגה של מידע מתוך המאגר הנבחן משפיעה באופן רוחבי על המערכת כולה. בהתאם לכל האמור, נדמה כי הפעלת הסמכות נעשית במקרה זה באופן נרחב, שאינו מוגבל או מצמצם כלל, וייתכן שנכון יעשה בנק ישראל אם ישקול את דרישתו מחדש".
עם זאת, לפי מידע שהגיע לכלכליסט, מאז שליחת המכתב קיימו חברות כרטיסי האשראי שורת דיונים עם בנק ישראל, במסגרתם הסכים הבנק לוויתורים מסוימים לגבי המידע שיועבר, והבהיר את הבסיס החוקי למהלך. ויתורים והבהרות אלו סיפקו את חברות האשראי שכעת לא צפויות עוד להציג התנגדות משמעותית למהלך.
ממקס (לשעבר לאומי קארד) נמסר בתגובה: "טרם התקבל צו הנגיד בנושא". מישראכרט נמסר: ״ישראכרט הביעה את דעתה בפני בנק ישראל ותמלא אחרי כל הוראה כנדרש״. מהבנק הבינלאומי נמסר: "בבנק עדיין לומדים את הנושא ולא גיבשו עמדה או דעה". לאומי, דיסקונט, הפועלים, מזרחי וכאל בחרו שלא להגיב.