חוק נתוני נוסעים עשוי לגרום לדליפת מידע רגיש
הצעת החוק יוצרת כפל מטרות תמוה בין זיהוי וסיכול טרור לבין אבטחת נוסעים לישראל וממנה. יותר מכך, היא מסמיכה דווקא את רשות המיסים לעבד את הנתונים האישיים שייאספו.
הצעת חוק סמכויות לאיסוף ואבחון של נתוני נוסעים הנכנסים לישראל או היוצאים ממנה, התשפ"ב – 2022 (להלן: "הצעת החוק") נועדה להסדיר בחקיקה את חובת חברות התעופה להעביר לידי רשויות המדינה המתאימות במדינות היעד נתוני API ו-PNR (להלן: "נתוני נוסעים") אודות הנוסעים ואנשי הצוות בכל טיסה בהתאם לאמנת שיקגו של האו"ם, ואת השימוש שתעשה המדינה במידע אישי מזוהה זה.Annex 9 to the Convention on International Civil Aviation, International Standards and Recommended Practices ICAO, Chapter 9 (5th Edt., Oct. 2017).
לצד מנגנוני הפרטיות החשובים והחיוניים המוצעים בהצעת החוק, היא מעוררת חששות משמעותיים בנוגע להיקף השימושים שמבקשת המדינה לעשות במידע אישי מזוהה, המגיע לידיה בכפייה. על חששות אלה נבקש להצביע בחוות הדעת.
בעידן הנוכחי קיימים הרבה מאוד מאגרי מידע בידי המדינה ובידי חברות מסחריות, וקל מאוד להצליב ולשלב מידעים ממאגרים שונים. קלות זו יוצרת בידי המחזיק במידע כוח רב שבצידו פיתוי לעשות שימושים שונים במידע על מנת לחשוף, לגלות ולהבין נושאים שונים ומגוונים. עם זאת, יש לזכור שלשימוש במידע יש מחיר הבא לידי ביטוי בפגיעה בפרטיות, בפגיעה באוטונומיה של הפרט ובסופו של דבר ביסודות שעליהם מושתת המשטר הדמוקרטי. משום כך, יש להיזהר מפני ההתאהבות בכוח ובאפשרויות האין-סופיות שמעניקות הגישה והשליטה בכמויות עצומות של מידע אישי. הבנה זו היא שצריכה לשמש כבסיס לבחינת השימוש בנתוני הנוסעים המוצע בהצעת החוק.
הצעת החוק מגדירה באופן רחב מאוד את מטרות השימוש, אופי השימוש והגופים המוסמכים לעשות שימוש בנתוני נוסעים ובכך מביאה איתה סכנה משמעותית לפגיעה בזכות לפרטיות.
באמנת שיקגו הוגדרה מטרת שימוש רחבה – לאפשר לכל מדינה לגבש תמונת מצב בנוגע לנכנסים לשטחה.Annex 9 to the Convention on International Civil Aviation, International Standards and Recommended Practices ICAO, Chapter 9 (5th Edt., Oct. 2017). בארצות הברית מוסמכת רשות המכס לשתף את נתוני הנוסעים ששלפה עם רשויות פדרליות אחרות לצורכי הגנה על הביטחון הלאומי או בהתאם להוראות חוק אחרות.לפי החוק בארה"ב, מחויבות חברות תעופה, כבר משנת 2012, להתמשק עם מערכות המידע של רשות המכס על מנת שזו תוכל, לפי שיקול דעתה, להתחבר למערכות המידע של חברת התעופה על מנת לשלוף מהן נתוני נוסעים מסויימים. נתוני נוסעים אלה כוללים את זהות הנוסע ותוכנית הנסיעה שלו, ובלבד שמדובר בנתונים שחברת התעופה אוספת ממילא במסגרת פעילותה הרגילה באמצעות מערכת דיגיטלית לאיסוף נתוני PNR. ראו: 49 U. S. Code §44909 – Passenger manifests; 19 CFR § 122.49d – Passenger Name Record (PNR) information. באיחוד האירופי השימוש בנתוני נוסעים מוגבל למטרת מניעה, גילוי, חקירה ואכיפה של עבירות טרור ופשעים חמורים.ראו; Directive (EU) 2016/681 of the European Parliament and of the Council of 27 April 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime;.
הצעת החוק מציגה בנק מטרות רחב יותר מזה הקבוע בארצות הברית ובאיחוד האירופי אשר כולל, למשל, גם מאבק בהגירה בלתי חוקית והגנה על בריאות הציבור, החי והצומח. אף שבדברי ההסבר מכירים בשוני משמעותי זה לא מוצג בהם הסבר מניח את הדעת להרחבה זו.סעיף 12(א) להצעת החוק ודברי ההסבר לסעיף. יתרה מכך, לפי דברי ההסבר, מטרות השימוש המוגדרות בהצעת החוק מצויות בהלימה עם המסגרת הכללית שבהנחיות ארגון התעופה הבין-לאומי, ICAO. אולם, בחינה מעמיקה של מטרות השימוש המוגדרות בסעיף 12(א) להצעת החוק מלמדת על מסגרת שימושים רחבה יותר אף מזו המוצעת באמנת שיקגו של האו"ם.
ראשית, לא ברורה לנו ההבחנה בין "זיהוי, מניעה, סיכול, חקירה או העמדה לדין של חברי ארגון טרור, פעילות טרור או עבירת טרור", שבסעיף 12(א)(1) להצעת החוק, לבין המטרה של "אבטחת התעופה האזרחית אל ישראל וממנה, ובכלל זה הגנה על ביטחונם של הנוסעים מישראל ואליה פני איומים ביטחוניים" שבסעיף 12(א)(2) להצעת החוק. לדעתנו, מדובר בכפילות מיותרת.
שנית, על אף צמצומה של רשימת העבירות שזיהוין, מניעתן, סיכולן או חקירתן הוא אחת מהמטרות המנויות בסעיף 12(א)(3) להצעת החוק מזו שהוצעה בתזכיר, עדיין מדובר ברשימה רחבה מדי לדעתנו. כך, למשל, מדוע נדרשים נתוני הנוסעים לשם מניעה או סיכול עבירות הנוגעות להעתקה, מכירה, יבוא או החזקה של יצירה המוגנת בזכות יוצרים לפי חוק זכויות יוצרים, תשס"ח – 2007? עבירות של מרמה, זיוף, אי גילוי מידע ופרסום מידע מטעה בידי נושא משרה בכיר בתאגיד, היזק בזדון לנכס או מכירה, קנייה, פירוק או הרכבה של רכב גנוב לפי חוק העונשין, התשל"ז – 1977?
נדרשת בחינה מעמיקה של רשימת העבירות שבתוספת החמישית להצעת החוק וצמצום משמעותי שלה אך ורק לגילוי ולסיכול עבירות שיש בינן לבין נתוני הנוסעים קשר ברור ומובהק.
נתוני הנוסעים יישמרו במאגר נתוני הנוסעים וניתן יהיה לעבדם לצורך "הערכה" או מענה ל"שאילתה".סעיף 16 להצעת החוק. להבנתנו, בעוד שמטרתה של "שאילתה" היא לאפשר התמודדות עם איום ממשי, מעין "פצצה מתקתקת", משמעותה של "הערכה" היא שימוש במידע אישי מזהה, לצורך זיהוי כללים ומאפיינים. המדובר בסוג של מחקר הערכה. אין לדעתנו כל הצדקה לעשות שימוש בנתוני הנוסעים לשם כך. מחקרי הערכה ניתנים לביצוע על בסיס מידע שאינו מזוהה ואין מקום לעשות שימוש במידע אישי ורגיש לשם כך.
בהקשר זה נציין גם שלא ברורה ההבחנה בין "הערכה" לבין עיבוד נתוני נוסעים לצורך הפקת נתון סטטיסטי לפי סעיף 16(ה) להצעת החוק.
כמו כן, הגדרות המונחים "הערכה" ו"שאילתה" מתבססות על מגוון פעולות הנקראות "עיבוד ממוכן", אולם מונח זה אינו מוגדר. אכן, גם בדירקטיבה האירופית בנוגע לשימוש בנתוני נוסעים נעשה שימוש במונח "עיבוד" מבלי להגדירו.ראו Directive (EU) 2016/681 of the European Parliament and of the Council of 27 April 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime. אולם, באירופה המונח "עיבוד" מוכר מוגדר באופן ברור ב-GDPR.סעיף 4(2) ל-GDPR. בישראל, לעומת זאת, המונח "עיבוד" לא מוזכר בחוק הגנת הפרטיות, התשמ"א – 1981 (להלן: "חוק הגנת הפרטיות"). לפיכך, על מנת לקבוע גבולות ברורים ונדרשים למגוון הפעולות שניתן לעשות בנתוני הנוסעים יש הכרח בהגדרה ברורה של המונח "עיבוד". לדעתנו, מניית הדרכים בהן יכול להתבצע "עיבוד ממוכן" במסגרת "הערכה" כהגדרתה בסעיף 1 להצעת החוק הינו מבורך, אולם אין בו כדי לתת מענה להבנת מגוון הפעולות שהצעת החוק מתירה לבצע במידע אישי במסגרת "עיבוד ממוכן" שלו.
לפי הצעת החוק, הרשות הממונה על אחסון נתוני הנוסעים ועיבודם היא רשות המיסים. בה יוקם "מרכז לאומי לאבחון נתוני נוסעים" (להלן: "המכרז"), ינוהל מאגר המידע ועובדיה יהיו עובדי המרכז, אם כי בעת העסקתם במרכז אין הם מורשים לעבוד בכל תפקיד אחר ברשות המיסים.סעיפים 7, 10 להצעת החוק. עובדי המרכז הם מורשי גישה לנתוני הנוסעים לשם עיבודם.
הבחירה ברשות המיסים לתפקיד תמוהה ביותר. אין מדובר ברשות האחראית במהלך תפקידיה הרגילים על מידע הקשור בכניסה וביציאה לישראל, בהגירה, או בביטחון המדינה. בארצות הברית, הרשות האחראית לעיבוד נתוני הנוסעים הינה רשות המכס. באיחוד האירופי הרשויות המורשות לעבד את נתוני הנוסעים הן אלה שאחראיות למניעה, חקירה ואכיפה של העבירות המנויות במטרות החוק – מניעת מעשי טרור ופשיעה חמורה.19 CFR § 122.49d – Passenger Name Record (PNR) information; סעיף 7(2) ל Directive (EU) 2016/681 of the European Parliament and of the Council of 27 April 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime.
נוכח מטרות החוק והרציונל שבבסיסו הגיוני יותר שהרשות האחראית על שמירה ועיבוד נתוני הנוסעים תהיה רשות האוכלוסין המורגלת בנתוני מידע מסוג זה, מחזיקה במומחיות המתאימה ומנגד אינה מחזיקה במאגרי מידע אחרים הקשורים לפעילותם הכלכלית של אזרחי המדינה או בסמכויות חקירה ואכיפה בתחום זה כרשות המיסים. העובדה שרשות האוכלוסין אף הקימה בעבר ממשק טכנולוגי לאיסוף נתוני נוסעים והחלה באיסוף סוג מסוים של נתוני נוסעים במסגרת פיילוט רק מחזקת את העמדה שהיא הרשות המתאימה להובלת המרכז.
לצד רשות המיסים בתפקידה כמנהלת המרכז הלאומי לאבחון נתוני נוסעים, מוגדרים השב"כ, המוסד והמשטרה כרשויות מוסמכות. משרד התחבורה, משרד הבריאות, רשות האוכלוסין וההגירה ורשות המיסים מוגדרים כ"רשויות מורשות". רשויות מוסמכות רשאיות להקים בחצרן העתק של מאגר נתוני הנוסעים, לעבד את המידע שבו ולהצליבו עם נתונים ממאגרי המידע שברשותן. מידע שעובד יועבר למאגרי מידע של הרשות המוסמכת אם מורשה הגישה מוצא שתוצאת העיבוד דרושה לשם מימוש סמכויותיה או תפקידי של הרשות המוסמכת ולמימוש אחת מהמטרות המנויות בסעיף 12(א) להצעת החוק.סימן א לפרק ה להצעת החוק. רשויות מורשות רשאיות לפנות למרכז בבקשה לעבד נתוני נוסעים לצורך מימוש המטרות הקבועות בסעיף 12(א). רשויות מורשות ומוסמכות רשאיות גם להעביר לידי המרכז מידע חיצוני ממאגרי מידע שברשותן, לשם הצלבתו עם נתוני הנוסעים למימוש אחת מהמטרות המנויות בסעיף 12 להצעת החוק. לעובדי המרכז ולמורשה הגישה ברשות שהעבירה את המידע החיצוני רשות לגשת גם לתוצרי העיבוד המשלבים מידע מנתוני הנוסעים וממידע חיצוני.סעיף 9(ב) להצעת החוק.
באשר לאפשרות הרשויות המוסמכות להקים בחצרן "שלוחה" של המאגר, המדובר בכפילות שפשרה אינו ברור. הרשויות המוסמכות אינן כפופות למנגנוני הגנת הפרטיות להם כפוף המרכז או למידת השקיפות והדיווח הנדרשת ממנו. הקמת ה"שלוחה" תאפשר בפועל מסלול עוקף המרכז, לרבות ממונה הגנת הפרטיות בו.
בנוסף, העברת נתוני הנוסעים לרשויות המורשית מהווה עקיפה של הוראות חוק הגנת הפרטיות לעניין מסירת מידע או ידיעות מאת גופים ציבוריים. המנגנון המצוין בהצעת החוק מאפשר מתן גישה לנתוני הנוסעים בתנאים מסוימים, אולם לא ברור האם בנוסף עליהם חבות הרשויות המורשות גם בחובות המוטלות עליהן, למשל, לפי סעיפים 23ד לחוק הגנת הפרטיות.
התוצאה היא שארבע רשויות מוסמכות לעבד את המידע שבמאגר נתוני הנוסעים כרצונן ובחצרן וארבע נוספות מוסמכות לעשות זאת בתנאים. המספר הרב של הרשויות מורשות הגישה למאגר נתוני הנוסעים הוא תוצאה ישירה של ההגדרה הרחבה של מטרות השימוש במאגר. אולם, יש לזכור שמדובר בשימוש שמבקשת המדינה לעשות במידע אישי, רגיש ומזוהה, שנאסף בכפייה מנושאי מידע למטרות שונות בתכלית מאלה המצוינות בהצעת החוק. כבכל מאגר מידע גם כאן יש סיכוי שהמידע שבנתוני הנוסעים יאפשר לימוד מידע אחר או נוסף, לרבות מאפיינים או דפוסי התנהגות. אולם, אין בכך כדי להצדיק את הפגיעה החמורה והלא מידתית בזכות לפרטיות. יש לצמצם את מטרות השימוש במאגר ובהתאם לצמצם את רשימת הרשויות מורשות הגישה אליו.
נתוני הנוסעים טומנים בחובם מידע רב על מוצאו האתני של אדם, גילו, המגדר אליו משתייך, מצבו הכלכלי ואורחות חייו. המדובר במידע רגיש ומזהה שהשימוש בו צריך להיעשות בזהירות. בדירקטיבה האירופית, למשל, מובהר, מספר פעמים, כי אין לעבד את נתוני הנוסעים באופן העלול להביא לגילוי מידע רגיש כגון מוצא אתני של אדם, המגדר אליו משתייך, דעותיו הפוליטיות או אמונותיו הדתיות. אם פרטי מידע כאמור מגיעים לידי הרשות האחראית על ניהול מאגר נוסעי הנתונים עליה למחקם במיידי.סעיף 13(3) ל - Directive (EU) 2016/681 of the European Parliament and of the Council of 27 April 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime. ואולם, הצעת החוק אינה כוללת מגבלות על השימוש במידע רגיש כאמור. הרשויות המוסמכות והמורשות רשאיות לעבד, באמצעות מורשה גישה, כל מידע הכלול בנתוני הנוסעים כל עוד יש בכך צורך לשם מימוש המטרות המנויות בסעיף 12(א) להצעת החוק. נוכח מגוון הרשויות המוסמכות והמורשות לעבד את נתוני הנוסעים ורשימת מטרות השימוש הרחבה, המדובר בחסר משמעותי העלול להביא לפגיעה בלתי מידתית בזכות לפרטיות ולהפליה אסורה.
לנושא המידע זכות לעיין במידע השמור אודותיו במאגר נתוני הנוסעים ולבקש את תיקונו או עדכונו.סעיף 19 להצעת החוק. המדובר באגד זכויות מצומצם, בדומה לאגד הזכויות החסר בחוק הגנת הפרטיות כיום. כחלק מהענקת מעטפת הגנת פרטיות רחבה ראוי היה להעניק לנושא המידע זכויות נוספות המקובלות במדינות אחרות בעולם כחלק מאגד הזכויות לפרטיות. למשל, זכות המחיקה או הזכות להתנגד להחלטה הפוגעת בזכות משפטית של נושא המידע המתקבלת על סמך עיבוד אוטומטי בלבד של מידע אישי.זכויות אלו מוענקות למשל ב - Directive (EU) 2016/681 of the European Parliament and of the Council of 27 April 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime.
החיוב במינוי ממונה הגנת פרטיות הוא חשוב וחיוני ויש לברך על כך. עם זאת, לדעתנו, הוא לוקה בחסר. ראשית, הגדרה מינוי הממונה על הגנת הפרטיות היא הגדרה מעגלית. לפי סעיף 11(א) להצעת החוק הממונה על הגנת הפרטיות ימונה על ידי ראש המרכז לאחר היוועצות עם ראש הרשות להגנת הפרטיות, כאשר כללי הכשירות לתפקיד ייקבעו על ידי ראש הרשות להגנת הפרטיות, בהיוועצות עם ראש המרכז. לדעתנו, ראש הרשות להגנת הפרטיות הוא המחזיק במומחיות הנדרשת על מנת להגדיר את תנאי הכשירות המקצועיים הדרושים לתפקיד ממונה על הגנת הפרטיות במרכז. ראש המרכז הוא המופקד על גיוס עובדים מתאימים למרכז, אולם מרגע שמועמד עומד בדרישות הכשירות לתפקיד עובד במרכז, הדרישות המקצועיות למינוי כממונה הגנת הפרטיות צריכות להיקבע על ידי ראש הרשות להגנת הפרטיות בלבד.
תפקיד הממונה על הגנת הפרטיות הוא תפקיד חשוב, חיוני ומרכזי בכל ארגון. ככזה יש להבטיח שיהיו בידו על האמצעים והמשאבים לבצע את תפקידו ביעילות. לפיכך, לדעתנו, אין מקום לאפשר העסקתו של הממונה על הגנת הפרטיות בכל תפקיד נוסף, למעט תפקיד הממונה על פניות הציבור לפי סעיף 19 לחוק המוצע בתזכיר. זאת, גם אם אין חשש שהתפקיד הנוסף יעמיד את הממונה על הגנת הפרטיות בחשש לניגוד עניינים.
ההוראה בסעיף 11(ב) להצעת החוק לפיה כהונתו של הממונה על הגנת הפרטיות תופסק או הוא יועבר מתפקידו רק בהסכמת ראש הרשות להגנת הפרטיות היא חשובה ויש בה כדי להבטיח שהממונה על הגנת הפרטיות יבצע את תפקידיו ללא חשש מפיטורין. כמו כן, הדרישה בסעיף 11(ד) להצעת החוק לפיה על המרכז להעמיד לרשות הממונה על הגנת הפרטיות אמצעים נאותים הדרושים למילוי תפקידו, היא חיונית, שכן יש בה כדי להבטיח את פניותו של הממונה על הגנת הפרטיות לתפקיד.
עם זאת, לדעתנו, יש מקום לציין בנוסף גם את הצורך בהבטחה כי המרכז יעמיד לרשות הממונה על הגנת הפרטיות גם את האמצעים הדרושים להבטחת עצמאותו של הממונה במילוי תפקידו. זאת בדומה לדרישה המקבילה ב-GDPR ובדירקטיבה האירופית בנוגע לשימוש בנתוני נוסעים וכן כפי שהומלץ על ידי הרשות להגנת הפרטיות בגילוי דעת בנושא.ראו סעיף 38(3) ל-GDPR, וסעיף 5(2) ל - Directive (EU) 2016/681 of the European Parliament and of the Council of 27 April 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime; הרשות להגנת הפרטיות, מינוי ממונה הגנה על הפרטיות בארגון ותפקידיו (29.10.20), בסעיף 4. התוספת בסעיף 11(ב) להצעת החוק הקובעת כי הממונה יונחה מקצועית בידי רשם מאגרי המידע היא חיובית וחשובה, אך אין בה כדי לתת מענה לחוסר זה.