הפגיעה הבאה כבר בדרך

השבוע הוגשו כתבי אישום נגד שישה אנשים בקשר לפרשה החמורה של הדלפת מאגרי מרשם האוכלוסין לרשת האינטרנט. למקרא הכותרות בנושא הלב התרונן לשבריר של דקה, מאחר שלכאורה, סופם של עבריינים להיענש. אולם, ככל שנוברים בפרטים מתברר שכלל לא בטוח שיש סיבה למסיבה. מדאיגה אותי יותר מכל ההרגשה שהפעם הבאה שבה תהיה פגיעה המונית בצנעת הפרט הינה רק שאלה של זמן.

ניתן להבחין בגודל האיום מכתב האישום, שעל פיו עובד קבלן בתחום המיחשוב גנב משך תקופה ארוכה את התכולה של מאגרי מרשם האוכלוסין. הוא חבר לעבריינים אחרים, שהשביחו את הסחורה הנגנבת על ידי הוספת פרטים ממאגרים גנובים אחרים, למשל ספר הבוחרים.

על פי כתב האישום, נגנבו מהרשויות עוד כ-10 מאגרים, חלקם רגישים ביותר, למשל מאגרים שקשורים באימוץ. מדובר כאן קודם כל בהפקרות. איך ייתכן שכל כך הרבה מידע נגנב מרשויות המדינה ובקלות יתרה?

מתמיהה לא פחות התגובה האיטית של הרשויות לאחר שהפרשה נתגלתה. המידע החסוי נחשף הרי לעין כל מי שגולש ברשת. האירועים שהתרחשו, על פי כתב האישום, ב-2007, החלו להיחקר על ידי הרשות למשפט טכנולוגיה ומידע במשרד המשפטים (רמו"ט) רק ב-2009 והפכו לכתב אישום כחמש שנים אחרי ביצוע המעשים. משפט שכזה צפוי עוד להימשך שנים ארוכות. אירונית מאוד בעיניי העובדה שבכירי רמו"ט מנסים להשתבח בממצאיהם ובפעולותיהם.

אין ספק שמי שפוגע בצנעת הפרט או בביטחון המדינה, או עובר על כל חוק אחר, חייב להיענש – ורצוי בחומרה. אולם אין בהבאת העבריינים שנתפסים לדין כדי לפתור את הבעיה כולה. ענת קם גנבה מידע סודי ממחשבי לשכתו של אלוף בצה"ל בקלות מעליבה. כעת, שלום ביליק, החשוד המרכזי בפרשה הנוכחית, ביחד עם אחרים, עולל זאת, כנראה ללא מאמץ מיוחד, למאגרי מידע של משרד הפנים, שהועברו למשרד הרווחה. האם במקרים אלה ודומיהם אין מקום לבדיקת האחריות המיניסטריאלית?

אולם, גם אם בארץ, אחריות מיניסטריאלית היא מושג כמעט לא מוכר, הרי שבמקרה המסוים של מערכות מידע המכילות פרטים אודות הפרט, מצטרף היבט חשוב ביותר – החוק הפלילי. על פי חוקי המדינה, לא זו בלבד שאסור לגנוב מידע שכזה, ישנה גם חובה מפורשת להגן עליו. מנוסח החוק ברור כשמש שהאחריות להגנה על נתונים של הפרט נופלת על בעל המאגר ועל מי שמנהל אותו, מחזיק בו ומתפעל אותו. במקרה שלנו אלה משרדי הממשלה הנוגעים בדבר.

מדובר בחוק פלילי שהעובר עליו צפוי לעונש של עד שנת מאסר. עד כה לא שמעתי, אפילו ברמז, שיש ניסיון או אפילו כוונה למצוא את האחראים למחדל בקרב אלה שהחוק מגדיר כמופקדים ישירות על אבטחת המידע. אם בוצעה עבירה כל כך בוטה, האם אין מקום להעמיד לדין גם את מי שעבר על החוק המפורש בכך שלא הגן כהלכה על המידע הרגיש של אזרחי המדינה?

אם ההפקרות בשטח תמשך, אם לא תיווצר אווירה של אחריות ניהולית בנושא ואם אף פעם לא יבואו חשבון עם מי שהחוק מחייב אותם להגן על הנתונים שלנו, בל נתפלא אם הפגיעה המאסיבית הבאה כבר יצאה לדרך. על רקע זה, אני כלל לא בטוח שאירועים שכאלה לא מתרחשים מבלי שייחשפו, אפילו לאחר מעשה.