מומחים מתריעים: החוק שיאפשר קבלת פטור מוויזה לארה"ב פוגעני ומהווה סכנה לפרטיות
מומחים מתריעים: החוק שיאפשר קבלת פטור מוויזה לארה"ב פוגעני ומהווה סכנה לפרטיות
הכנסת אישרה היום את חוק הסמכויות לאיסוף ואבחון נתוני נוסעים, הנדרש כתנאי שהציבה ארה"ב לקבלת פטור מוויזה לישראלים. החוק יחייב חברות תעופה הממריאות או נוחתות בישראל להעביר מידע על נוסעים ואנשי צוות לרשות המסים, אך הוא יהיה זמין גם לגופים נוספים. "החוק יוצר צינור להעברת מידע אישי ורגיש על נוסעים", אמרה מומחית בתחום
הכנסת אישרה היום בקריאה שנייה ושלישית את הקמת המרכז הלאומי לאיסוף ולאבחון נתוני טיסות ונוסעים לישראל וממנה. הקמת המרכז היא אחד מהתנאים שהציבה ארה"ב לקבלת פטור מוויזה בעבור ישראלים, ואולם מומחי פרטיות ואבטחת מידע מתריעים שהחיפזון שבחקיקת החוק, היעדר דיון ציבורי מספק והגישה הרחבה שיש לגופים שונים למאגר יוצרים סיכונים שאפשר היה להימנע מהם.
הצעת החוק, "סמכויות לאיסוף ואבחון של נתוני נוסעים הנכנסים לישראל או היוצאים ממנה, התשפ"ג-2023", אושרה בכנסת בתמיכת 18 חברי כנסת ללא מתנגדים. היא מורה על הקמת מרכז לאומי לאבחון נתוני נוסעים (מלא"ן) שיפעל ברשות המסים אך שגישה אליו תהיה פתוחה גם לרשות האוכלוסין, משרד הבריאות ומשרד התחבורה. בנוסף, המשטרה, השב"כ והמוסד יוכלו ליצור אצלם העתקים מהמאגר.
החוק יחייב חברות תעופה הממריאות או נוחתות בישראל, הן זרות והן ישראליות, להעביר שורה של פריטי מידע על נוסעים ואנשי צוות, ובהם שם מלא, אזרחות, מגדר, תאריך לידה, מידע על מסמך הנסיעה כמו מספר ומועד תפוקה, כתובות פיזיות, כתובות אימייל, מספרי טלפון, אמצעי התשלום, מועד הכרטוס, מידע על מארגן הנסיעה, השתייכות למועדוני נוסע מתמיד, מספר המושב של הנוסע בטיסה ומידע על כבודה. בחוק לא מוגדרת סנקציה לחברות שלא יעבירו את המידע, אך הצפי הוא שיעשו זאת.
הצעת החוק הונחה על שולחן הכנסת בספטמבר אשתקד, אך בגלל הקדמת מועד הבחירות הדיונים עליה בוועדת חוץ וביטחון החלו רק ב-20 בפברואר השנה, והתקיימו עליה ארבעה דיונים בלבד.
רשמית, המאגר הוקם כדי להילחם בטרור, לשפר את אבטחת התעופה, להיאבק בהגירה בלתי חוקית, להגן על בריאות הציבור באמצעות זיהוי ומניעה של מגפות, לזהות, לסכל ולחקור עבירות שעונשן שלוש שנות מאסר ומעלה. בפועל, הקמת המאגר נעשית כמענה לדרישת ארה"ב, והוא אחד התנאים הדרושים על מנת לאפשר לאזרחים ישראלים לקבל פטור מוויזה. לאור זאת, קיימות בחוק הוראות המאפשרות להעביר מידע מהמאגר לגופי שיטור ואכיפת חוק במדינות זרות, ובהם אינטרפול, אירופול, גופי משטרה, רשויות תביעה, משטרות גבולות, סוכנויות שעוסקות במאבק בטרור וסוכנויות מדינתיות או בינלאומיות שעוסקות בבריאות הציבור.
אישור הצעת החוק עורר ביקורת חריפה מצד מומחי פרטיות. "החוק מותח עוד את גבולות הפרטיות של כל אזרחי ישראל ונראה גם שללא דיון ציבורי", אמר ל"כלכליסט" פרופ' ערן טוך, ראש התוכנית לתואר ראשון בהנדסת תעשייה וניהול באוניברסיטת תל אביב. "ברור שהוויזה לארה״ב היא הגביע הקדוש של הישראלים, אבל לא התקיים דיון אמיתי על גבולות המאגר, ובעיקר איך שומרים עליו ואיך מוודאים שפרטיות האזרחים לא נפגעת. לא ברור, למשל, האם מדובר בנתונים המינימליים שאפשר לאסוף כדי לעמוד בדרישות ארה"ב, ומדוע אזרחי ישראל לא מקבלים יותר זכויות במאגר, למשל זכות לדעת מהן פעולות העיבוד שנעשו על המידע שלהם במאגר או איזו רשות ניגשה למידע".
ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה אמרה שהחוק כולל מספר הוראות המייצרות סכנה לא נדרשת לפרטיות הנוסעים. "מדובר במידע אישי, ולעתים רגיש, שלכאורה אוספים כדי להגן על הביטחון אבל בפועל מיועד לשימושים רחבים ויכללו למשל טיפול בעבירות העתקה וזיוף לפי חוק זכויות יוצרים", הסבירה. "זאת, בעוד בחקיקה במדינות אחרות מוגבלת מטרת השימוש למניעת טרור ושמירה על ביטחון הציבור". שוורץ אלטשולר הוסיפה: "החוק מאפשר לשב"כ, למוסד ולמשטרה להקים מאגרי מידע של כל מידע התעופה שייאסף אצלם ולשלב אותו עם מאגרי מידע ממאגרים המצויים אצלם. למה זה משנה? כי רשויות אלו אינן כפופות לאותן הוראות הגנת פרטיות כמו רשות המסים ואינן מחויבות בהן. בעקבות זאת, החוק יוצר צינור להעברת מידע אישי ורגיש על נוסעים לשב"כ, למוסד ולמשטרה ללא מגבלות נוספות להגנה על הפרטיות".
חוות דעת שכתבה שוורץ אלטשולר עם ד"ר רחל ארידור הרשקוביץ מרחיבה על הבעיות השונות בחוק שאושר. אחת מהן היא שימוש רחב במידע אישי שנאסף בכפייה. "החוק מגדיר באופן רחב מאוד את מטרות השימוש, אופי השימוש והגופים המוסמכים לעשות שימוש בנתוני נוסעים ובכך מביא סכנה משמעותית לפגיעה בזכות לפרטיות", נכתב. "בעידן הנוכחי קיימים הרבה מאוד מאגרי מידע בידי המדינה ובידי חברות מסחריות, וקל מאד להצליב ולשלב מידעים ממאגרים שונים. קלות זו יוצרת בידי המחזיק במידע כוח רב שבצידו פיתוי לעשות שימושים שונים במידע על מנת לחשוף, לגלות ולהבין נושאים שונים ומגוונים".
גם ביחס למדינות אחרות שמפעילות מאגרים דומים, החוק שאושר בישראל רחב יותר: "החוק מציג בנק מטרות רחב יותר מזה הקבוע בארה"ב ובאיחוד האירופי וכולל, למשל, גם מאבק בהגירה בלתי חוקית והגנה על בריאות הציבור, החי והצומח. אף שבדברי ההסבר מכירים בשוני משמעותי זה, לא מוצג בהם הסבר מניח את הדעת להרחבה זו. יתרה מכך, לפי דברי ההסבר מטרות השימוש המוגדרות בהצעת החוק מצויות בהלימה עם המסגרת הכללית שבהנחיות ארגון התעופה הבנלאומי (ICAO). אולם, בחינה מעמיקה של מטרות השימוש המוגדרות מלמדת על מסגרת שימושים רחבה יותר".
בעיה אחרת היא אופי השימוש בנתונים: "נתוני הנוסעים יישמרו במאגר נתוני הנוסעים וניתן יהיה לעבדם לצורך 'הערכה' או מענה ל'שאילתה'", כתבו החוקרות. "בעוד שמטרתה של 'שאילתה' היא לאפשר התמודדות עם איום ממשי, מעין 'פצצה מתקתקת', משמעותה של 'הערכה' היא שימוש במידע אישי מזהה לצורך זיהוי כללים ומאפיינים. המדובר בסוג של מחקר הערכה. אין כל הצדקה לעשות שימוש בנתוני הנוסעים לשם כך. מחקרי הערכה ניתנים לביצוע על בסיס מידע שאינו מזוהה ואין מקום לעשות שימוש במידע אישי ורגיש לשם כך".
עוד התריעו החוקרות מהגישה הרחבה שיש לרשויות שונות למידע: "ארבע רשויות מוסמכות לעבד את המידע שבמאגר נתוני הנוסעים כרצונן ובחצרן וארבע נוספות מוסמכות לעשות זאת בתנאים. המספר הרב של הרשויות מורשות הגישה למאגר נתוני הנוסעים הוא תוצאה ישירה של ההגדרה הרחבה של מטרות השימוש במאגר. אולם, יש לזכור שמדובר בשימוש שמבקשת המדינה לעשות במידע אישי, רגיש ומזוהה, שנאסף בכפייה מנושאי מידע למטרות שונות בתכלית מאלו המצויינות בהצעת החוק. כבכל מאגר מידע גם כאן יש סיכוי שהמידע שבנתוני הנוסעים יאפשר לימוד מידע אחר או נוסף, לרבות מאפיינים או דפוסי התנהגות. אולם, אין בכך כדי להצדיק את הפגיעה החמורה והלא מידתית בזכות לפרטיות. יש לצמצם את מטרות השימוש במאגר ובהתאם לצמצם את רשימת הרשויות מורשות הגישה אליו".
היועץ המשפטי של התנועה לזכויות דיגיטליות, עו"ד יהונתן קלינגר, הוסיף: "החוק בעייתי ומראה בדיוק כיצד בוחרים תמיד בישראל את הפיתרון הפוגעני ביותר. הבחירה לנהל את המאגר ברשות המסים ולא ברשות עצמאית נפרדת, כאשר ראינו את היקף עבירות הפרטיות שבוצעו במהלך השנים אצל עובדי הרשות, מראה בדיוק לאן המאגר הזה גם ילך. מלבד זאת, המטרות, הגם שהן ראויות, לא מנוסחות בצורה מאוזנת ודקה מספיק. מידע עודף רב, לרבות מידע על כרטיסי חיוב (אשראי, דביט), המושב במטוס או סוג המושב, ומידע שלא אמור להימצא בידי הרשות", אמר קלינגר. "יצירת העתקים במשטרה, שידועה בכך שמידע ממנה דולף תדיר, מעיד על כך שהייעוד של המאגר הזה הוא לדלוף. אם המחוקק היה לוקח את הזמן, מקבל ביקורת ראויה ומחליט לפעול נכון, היה ניתן לנטרל את הסיכונים במאגר הזה".
טוך ציין עם זאת שיש גם צדדים חיוביים בחוק. "למשל, הגדרה של ממונה הגנת הפרטיות במאגר והגדרה של עיצומים כספיים על מי שמפר את הפרטיות של האזרחים", אמר. "חייבים לתת קרדיט לרשות להגנת הפרטיות שהיו מעורבים בכתיבת החוק. אבל לא ברור אם אזרחי ישראל באמת קיבלו כאן את העסקה הטובה ביותר".