ב- 12 באפריל נכנס לתוקף חוק נתוני אשראי. ידיעות ליוו את כניסתו לתוקף באופטימיות ("החוק פותח בפני צרכנים וגופים פיננסייים עולם חדש של התאמת אשראי אישית ואפשרויות חדשות", אמרה כותרת משנה אחת). הן התעלמו מכך שהחוק אוסף מידע כלכלי אינטימי על כל תושבי ישראל בלי הסכמתם. חמור מזה, הידיעות לא הזכירו שאנחנו יכולים לסרב לאיסוף מידע 'חיובי' המעיד שפרענו כסדרו את האשראי שניתן לנו. לא רק ידיעות עתונאיות התעלמו מזה. המדינה עצמה מצניעה את האפשרות הזו והיא לא חייבה שום צד שלישי להודיע לנו על קיומה.
כשאלוהים רוצה אפילו מטאטא יורה, וכשהמדינה רוצה היא מטאטאה את הזכות לפרטיות לצידי החדר ובדברי ההסבר לחוק מדברת ב'הסדר מאוזן' שנועד 'להבטיח את ההגנה על פרטיות הלקוח'.
חוק נתוני אשראי החליף את קודמו בעל השם הדומה עד כדי בלבול, חוק שירות נתוני אשראי משנת 2002. שני החוקים, זה החדש וזה הישן, עוסקים באיסוף מידע על האופן שבו יחידים (אתם ואני) פורעים אשראי, לדוגמה הלוואות בנקאיות שקיבלנו.
אלא שיש ביניהם הבדל מהותי.
החוק הישן התיר לאסוף רק מידע שלילי – מידע על אשראי שלא פרענו במועד, באופן שמאפשר להיזהר מפנינו אם אנחנו מועדים לצרות. אם רצינו שייאסף אודותנו מידע חיובי, המעיד שאנו מחזירי-הלוואות מצטיינים, היה עלינו לבקש זאת במפורש. לעומתו, החוק החדש מתיר לאסוף עלינו גם מידע על אשראי שאנו פורעים בדייקנות של שעון שוויצרי. את פורעת את המשכנתא שלך בזמן? מאגר מידע ענקי בבנק ישראל יקבל וישמור את המידע על כך. המאגר יוזן במידע מבנקים, חברות כרטיסי אשראי, חברות אשראי חוץ בנקאי וגם גופים ממשלתיים או רשויות ציבוריות כדוגמת הכונס הרשמי, לשכת ההוצאה לפועל, מדור חשבונות מוגבלים בבנק ישראל, בנק הדואר וחברת החשמל. המידע יישמר לעשר שנים. ומן המאגר הזה, המידע יעבור באמצעות לשכות שירותי אשראי לעסקים השוקלים לתת לך אשראי. איסוף המידע לא תלוי ברצונך או בהסכמתך. להפך, כדי שלא ייאסף המידע את צריכה לדרוש זאת במיוחד. מסירת המידע ללשכת אשראי שתערוך דוח אודותיך, היא תלויה בהסכמתך המפורשת.
בשפה המקצועית קוראים לזה opt out. אם לא תגידי שאינך מוכנה לאיסוף המידע אודותיך, הוא ייאסף בעל כורחך. אולם איך תוכלי להודיע שאינך מוכנה לאיסוף המידע אם כלל לא הודיעו לך על עצם האיסוף ועל האפשרות שמוקנית לך למנוע אותו? שלא לדבר על כך ש-opt out הוא היפוך מושלם של תפיסת-יסוד המתבטאת אפילו בחוק הגנת הפרטיות המיושן של מדינת ישראל: אין פוגעים בפרטיותו של אדם בלי הסכמתו מראש. ההסכמה צריכה להיות מדעת, כלומר להינתן לאחר שנמסר לאדם כל המידע הדרוש לו כדי לקבל את החלטתו אם להיפרד מהמידע אודות עצמו או לא. את המידע יש למסור בשפה מובנת. הסכמה מראש היא opt in. לא בא זכרה בחוק שירותי אשראי. מי שחסרים דוגמאות לאופן שהמדינה רומסת את הפרטיות ברצותה – לדוגמה, מי שנרדמו בעת שנחקק חוק המאגר הביומטרי או, לפניו, חוק נתוני תקשורת – יכולים לרשום לעצמם שגם חוק נתוני אשראי מלמד זאת.
מטרת החוק רצויה, אמנם. הוא נועד להגביר את התחרות בשוק האשראי. באמצעות נתוני המאגר ניתן יהיה להעריך את הסיכון הפיננסי שנשקף מלווים. התקווה שליוותה את החקיקה היא שבנקים וספקי אשראי חיצוניים יוכלו להציע ריביות אטרקטיביות ללוים משום שידעו טוב יותר לתמחר את הסיכון הפיננסי הנשקף ממבקש ההלוואה. משרד ראש הממשלה קידם את החוק באגרסיביות. Credit Score הוא שירות רווח בארצות-הברית. מי שחוששים, ובצדק, מהעובדה שהחוק פוגע בפרטיות הצביעו על כך ששיעור ההלוואות הלא-מוחזרות בארצות-הברית דווקא עולה משמעותית על שיעורן בישראל ששירותי נתוני האשראי בה היו מוגבלים יותר. אבל החוק עבר ועימו המנגנון הכופה איסוף מידע חיובי ומאפשר לנו רק להודיע שאיננו מעוניינים באיסוף כזה. אם אנו ערים לזה שהוא מתרחש, כמובן.
סעיף 22 לחוק נתוני אשראי מאפשר ללקוח לבקש מבנק ישראל שנתוני אשראי אודותיו לא יכללו במאגר. במקרה זה יחדול הבנק המרכזי מאיסוף נתונים כאלה וישמיט את פרטי הזיהוי של הלקוח מנתונים שכבר אסף (המממ, מכחכח בגרונו בספקנות מי שמבין מעט בפרטיות, האמנם אי אפשר יותר לייחס אלי את הנתונים בדרכים שחוקרי אבטחה מצטיינים חדשות לבקרים במציאתן?). הזכות לדרוש אי-הכללת נתונים אינה מוחלטת. אם הועברו למאגר נתונים המעידים באופן מובהק שאינך עומד בתנאי אשראי שקיבלת, לא תהיה זכאי לדרוש מחיקה מהמאגר עד לתום שלוש שנים מהעברתם. במילים אחרות, הזכות ל-Opt out מוגבלת למידע שמעיד כי את עומדת בפרעון האשראי שניתן לך.
למה בעצם הועלמה בידיעות על כניסת החוק לתוקף האפשרות להודיע שאיננו רוצים באיסוף מידע כזה אודותינו? הנה ההשערות שלי: תחילה היא הועלמה, מפני שמי שמקים מאגר מידע ענק רוצה שיהיה בו כמה שיותר מידע. להודיע לאנשים על זכותם שלא יימסר מידע – זה מנוגד לסיבת קיומו של המאגר. לאחר מכן, מפני שהרגולטור של הפרטיות בישראל מת מזה זמן לכל צורך מעשי. לו היה ממונה על הגנת פרטיות, שהוא פעיל ובעל שיניים, הוא היה מחייב כל אחד מהבנקים או חברות האשראי, לדוגמה, להודיע ללקוחותיהם על האפשרות להימנע מאיסוף המידע אודותם. אלא שזה כשלושה חודשים אין ראש לרשות להגנת הפרטיות בישראל (רק ממלאת מקום), וכשהיה ראש רשות הוא נמנע מטיפול בעניינים הנוגעים לבנקים בגלל חשש מניגודי עניינים. אגב, הרשות להגנת הפרטיות – היא הרשות למשפט, טכנולוגיה ומידע בשמה הקודם – הייתה הממונה על חוק שירות נתוני אשראי הישן. בגרסתו החדשה ויתרה על כך, אולי מפני שהבינה כי קשה לגשר על הפער בין תפקידה העיקרי, הממונה על הגנת פרטיות בישראל, לבין יחסו של חוק נתוני אשראי לפרטיות.
איך, בפועל, נדרוש לחדול מאיסוף המידע אודותנו? לשם כך יש לפנות לאתר נתוני אשראי בכתובת https://www.creditdata.org.il. להירשם לאזור האישי, תהליך הכרוך בזיהוי אישי קפדני למדי, ואז להגיש בקשה כזו. הבקשה נענית בהודעה שהיא בטיפול (מדוע בעצם לא בהודעה האומרת שהיא נקלטה ותבוצע בתוך 24 שעות, נניח? כללי נתוני אשראי שהותקנו מכוח החוק מחייבים את בנק ישראל לטפל בבקשה "בתוך יום עסקים אחד"). עם הכנת הפוסט לפרסום ביקשתי לחדול מאיסוף המידע אודותי. אני ממתין בסקרנות לתשובה. מה תהיה השלכת סירובי לאיסוף מידע? את זה עוד נשאר ללמוד. אם בפועל לא אוכל לקבל אשראי, מפני שארגונים יבקשו להסתמך אך ורק על נתונים מן המאגר, הזכות להימחק ממנו תהיה, הלכה למעשה, אות מתה.
[פורסם לראשונה ב-Mind the Gap, בלוג הפרטיות של המחבר בהארץ]