למה המאגר הביומטרי לא עובר בשקט?
הפרה של פרטיות או קדמה הכרחית? סכנה לדליפת מידע או שיפור הביטחון האישי? הקולות בעד ונגד הקמת המאגר הביומטרי מתגברים
השבוע התפתח גם כאן הוויכוח על הגנת הפרטיות, כאשר בקול תרועה רמה יצא לדרך מיזם המאגר הביומטרי של אוכלוסיית ישראל. במעמד חגיגי בלשכת מרשם האוכלוסין בראשון לציון חנך שר הפנים גדעון סער את הפיילוט לקראת המעבר ל"תעודות זהות חכמות" והפציר באזרחים למהר ולהזמין תעודות כאלה, שכן "אין יסוד לפאניקה המופצת על ידי אנשים חסרי מידע מספק לטעמי", אמר השר.
מי ששמע וכמעט יצא מכליו היה השר לשעבר מיכאל איתן, הפועל בניסיון לעצור את המאגר הביומטרי עוד מאז שהוגש כהצעת חוק לכנסת ב-2008. איתן ניהל מאבקים עזים מול שר הפנים דאז, מאיר שטרית, שראה במאגר פרויקט אישי שלו והמשיך לקדמו בכנסת הבאה כיו"ר ועדת המדע והטכנולוגיה.
"בדקה ה-90 הצלחתי לעצור את החוק לפני הקריאה השלישית", מספר איתן. "להכניס ספקות גם בלבו של ראש הממשלה (אולמרט) ולהביא לכך שיוכנס סעיף של פשרה, שיקבע תקופת ניסוי בת שנתיים לפני שמובילים את כל עם ישראל למהלך שבפירוש אינו לטובתו. כעת צריך לנצל את הזמן ולהסביר לאזרחי ישראל שמדובר בחוק הפוגע בזכויותיהם הבסיסיות, ועליהם לנהוג כמו במדינות אחרות דוגמת צרפת, גרמניה, הולנד או בריטניה, שם בוטל החוק אחרי שכבר הוציאו מיליוני פאונדים על יישומו".
למעשה מדובר בשני מהלכים שונים שלכאורה אין כל קשר ביניהם. ניתן להנפיק תעודות חכמות הכוללות מידע ביומטרי אף ללא קיום מאגר מידע כזה. יסודו של המהלך בעובדה שמדי שנה מנפיק משרד הפנים יותר מ-160 אלף תעודות זהות בעקבות דיווח על אובדן או גניבה. הדבר מהווה תשתית נוחה למעשי מרמה, הונאות כספיות, התחזות ואף לפגיעה בביטחון המדינה.
התעודה החכמה כוללת מידע דיגיטלי של טביעת שתי אצבעותיו של נושא וצילום פניו. בניגוד לפרסומים, כל מידע נוסף כמו מפת רשתית העין או נתונים פיזיים נוספים לא נכללים שם. הדבר יקשה ביותר על המזייפים למיניהם כאשר בכל מקרה ניתן יהיה לבצע השוואת נתונים על ידי קורא נתונים מתוחכם.
אלא שמשרד הפנים אינו מסתפק בכך. אחרי שנצטלם, נספק את טביעות שתי אצבעותינו ונקבל את התעודה החכמה - הנתונים לא יושמדו אלא יתווספו למאגר דיגיטלי, שבו יישמרו לעד. לצורך ניהול המאגר הוקמה הרשות לניהול המאגר הביומטרי שתפקידה לאגור, לשמור, לאבטח ולנהל את רשומות האזרחים, ולדאוג לבל יודלפו או יועברו לידי גורמים בלתי רצויים.
בעוד לגבי הנפקת התעודות החכמות שוררת הסכמה כללית שאכן הגיע הזמן שישראל תצטרף, אף אם במאוחר, למדינות המתוקנות בנושא זה, המאגר מעורר ויכוח חריף והגיע לפתחו של בג"ץ בעתירה שהגישו מיכאל איתן, פעילי זכויות הפרט ואנשי אקדמיה. ב-2009 חתמו 24 אנשי מדע, בהם זוכי פרס נובל פרופ' ישראל אומן ופרופ' עדה יונת, ומומחי אבטחת מידע על מכתב הקורא לחברי הכנסת להתנגד לחוק מאגר המידע הביומטרי.
פרופ' אלי ביהם, דיקן הפקולטה למדעי המחשב בטכניון ומומחה להצפנה ואבטחת מידע שיזם את המכתב, אמר כי מדובר בקטסטרופה: "גרמניה החליטה לא להקים מאגר ביומטרי בגלל ההיסטוריה הגרמנית.
הולנד החליטה לא להקים מאגר ביומטרי בטיעון המפורש שבזמנו אספו יהודים לפי תעודות זהות, ועכשיו הטכנולוגיה של טביעות אצבע יותר טובה. אנחנו היינו בראש המדינות שהטיפו לאחרים לא לאסוף מידע מיותר על אזרחים. מדינות אחרות פועלות בדיוק ההפך ממדינת ישראל בגלל ההיסטוריה. אני לא מבין איך מישהו מעז לעשות את זה אצלנו", אמר ביהם.
"זו פגיעה מהותית בזכויות הפרט", אומרת לנו פרופ' קרין נהון, חוקרת מידע ותקשורת באוניברסיטת וושינגטון שהייתה בין יוזמי העתירה לבג"ץ. "אין מדובר רק במידע שרוב הרשויות כבר מחזיקות עלינו. באמצעות המאגר ניתן להגיע לכל אחד, להפלילו ומה שמפחיד יותר, לזהות יחידים וקבוצות בתוך קבוצות.
"כולנו זוכרים כיצד המשטרה משתמשת בתמונות לזיהוי אנשים בהפגנות. כך יוכלו לסווג ימנים ושמאלנים, הומוסקסואלים, ג'ינג'ים ולבנים, גבוהים ונמוכים וקבוצות אחרות ולמנוע מהם מראש את הזכות להפגין.
"תאר לעצמך שהיה מאגר ביומטרי בהפגנות המחאה של 2011. מזהים אנשים או קבוצות שהתנהגו בצורה מסוימת זיהוי חד-ערכי ומענישים אותם. הם לא יוכלו כבר להגיע להפגנה הבאה. ברגע שיכולים לזהות קבוצות מוחלשות, מבחינתי זה משהו מאוד מסוכן. ראית מה עשו לאנשי שמאל שהפגינו במוסררה או למפגיני הימין בהתנתקות".
חוץ מתחושה לא נוחה, מה הנזק בכך? הרי ממילא תמונותינו מופיעות בכל מקום, והמשטרה מצלמת בווידיאו את כל ההפגנות.
"אין מדובר רק באי-נוחות. הפגיעה בפרטיות היא אמנם מושג אמורפי, אבל יש להתייחס אליו בשלושה מישורים: היכולת שלי לשלוט במידע עליי שאובדת, זכותי לשמור על אנונימיות ויכולתי להימנע ממעקב של הרשויות. כל אחד משלושת המישורים נפגע באופן טוטלי. לא נוכל להיות אנונימיים יותר. בדמוקרטיה האיזונים עדינים מאוד. למדינה יש כוח רב, ואתה נותן לה אקסטרה כוח, וזה עוד לפני שדיברנו על מה יקרה אם המידע ידלוף".
פרופ' נהון ובן זוגה, השר לשעבר מיכאל איתן, מובילים את ההתנגדות למהלך, שלו שותפים כמה ארגונים, בהם האגודה לזכויות דיגיטליות. "האם תם עידן הפרטיות? " שואל איתן. "אנו מצויים בעידן חדש של מהפכת מידע, וצריך לזכור שטכנולוגיית מידע יכולה להרע מאוד עם בני האדם.
"רבים מאיתנו מוותרים מראש על פרטיותנו. אנחנו משתמשים למשל ב'ווייז', חושפים את עצמנו בפייסבוק, וכולם יודעים היכן אנו ומה אנו חושבים, נותנים הרשאות לאפליקציות ושימושים שגורמות לפגיעה בפרטיות, אבל השאלה היא אם בדמוקרטיה אנחנו יכולים להרשות לעצמנו ליצור מין 'אח גדול' שלטוני שיודע עלינו הכל ויכול להשתמש בזה לטובתו ולרעתנו.
"אנחנו חייבים לשים לכך מגבלות. במקום שמדינת ישראל תרתום את הטכנולוגיה לשיפור השירות לציבור ולחיזוק הדמוקרטיה, ישראל מצטיירת כמדינה שרותמת את הטכנולוגיה כדי לפקח על תנועותיהם של אזרחיה".
איתן מצטט את מנכ"ל "גוגל" אריק שמידט, שאמר: "הרשת מספקת לדיקטטורים כלים שלא היו ברשותם קודם לדיכוי מתנגדי המשטר".
"זו פרנויה", קובע גון קמני, ראש הרשות לניהול המאגר הביומטרי ויועץ ראש הממשלה לקביעת המדיניות בנושא הביומטריה. "כבר 20 שנה מדברים אצלנו על הצורך בשינוי התיעוד, וברור שהתצורה הנכונה היא זו שעליה אנחנו מדברים: תעודות חכמות ומאגר בסיס נתונים מרכזי. לדעתי, המתנגדים שהם מיעוט מבוטל אך קולני, מטעים את הציבור ומלעיטים אותו במידע שגוי.
"זיופי התעודות הפכו אצלנו למכת מדינה, יש תופעות פליליות קשות, התחזות בבחירות, עבריינות פיננסית, והתברר גם שמחבלים וסייענים השתמשו בתיעוד ישראלי מזויף בימי הפיגועים הקשים כדי לנוע בחופשיות. אנשים הסתובבו עם ארבע תעודות, פתחו חשבונות בנק בזהות בדויה, מכרו דירות שלא שלהם או השתמשו בדרכון מזויף כמו שעשה אותו מחבל איראני שעבר מנפאל לתאילנד. התיעוד הביומטרי הוא מהימן, והוא יאפשר לזהות באופן חד-ערכי את ההתאמה בין האדם לתיעוד שלו".
על זה אין ויכוח, אך לשם מה המאגר?
"הכל בחיים זה ניהול סיכונים. המאזן מראה לטובת המאגר. אין טעם להשקיע עשרות מיליונים בתיעוד חכם אם משאירים חור בגודל שער של גדר. ללא מאגר הנתונים, מה ימנע מאדם להתחזות למישהו אחר ולקבל תעודה חכמה בזהות בדויה? עד היום, עם מאמץ מסוים ותחקיר טוב על האדם שאת זהותו אתה מבקש לזייף, יכולת 'לעבוד' על הפקיד ולקבל תעודה כרצונך. כעת המאגר יגלה לפקיד כי הנתונים הללו כבר מצויים שם בזהות אחרת, והזיוף יימנע. המאגר יידע להשוות ולבדוק אם הזהות הזו כבר קיימת".
אדם יוכל לשקר כבר בפעם הראשונה ולקבל מלכתחילה זהות בדויה?
"נכון, אבל אם שיקרת פעם אחת וכבר קיים אדם בזהות הזו, לא תצליח לקבל זהות אחרת. רק בסיס נתונים יוכל למנוע מאדם לקבל שתי תעודות ויותר עם אותם פרמטרים ביומטריים. היום אדם בא לפקיד, עונה על שתי שאלות ומקבל תעודה".
אולי במקום להשקיע מיליונים במאגר היה עדיף לייעל את התשאול?
"מספרי התעודות הם עצומים. כל שנה אנו מנפיקים 600 אלף תעודות, רבע מהן בגין אובדן או גניבה. זה אומר בוודאות שאנשים מנסים לגנוב זהויות במספרים לא קטנים. בניהול סיכונים - זה שווה יותר".
"אני מעז לומר שהמאגר הזה יחסוך כסף רב למדינה, ובתוך כמה שנים ההשקעה תחזיר את עצמה", מבטיח ראש רשות האוכלוסין, ההגירה ומעברי הגבול אמנון בן עמי. "אם לא יהיו הונאות כלכליות ותשלומי קצבאות כפולים, המדינה תרוויח כלכלית מהעניין. בעתיד, כאשר ניתן יהיה לבצע שירותים מרחוק מול ממשל מקוון, אני משוכנע שגם גופים מסחריים ישמחו לייעל את תפקודם כאשר יידעו שמולם עומד אזרח שזהותו ודאית וסיכויי המרמה נמוכים.
"אנשים יוכלו, למשל, לעבור מהר יותר את הבידוק בשדה התעופה ולקנות יותר בדיוטי פרי, והמדינה רק תרוויח מזה. התועלת שבמהלך תיבחן כעת, במשך שנתיים, ואז נהיה יותר חכמים. אך לדעתי בעוד כמה חודשים נדע אם הפרויקט מצדיק את עצמו".
מה הפרמטרים שייבדקו בפיילוט?
"אנחנו אמורים לדווח לכנסת מדי כמה חודשים. נבדוק מול המשטרה והביטוח הלאומי אם אכן ירדה כמות הזיופים. הלשכה המרכזית לסטטיסטיקה אמורה ללוות את כל התהליך".
אבל למרות ההגדרה של תקופת ניסוי, הבעיה המסתמנת בפיילוט היא כי מי שיבקש תעודה חכמה יצטרף בעל כורחו לניסוי. לא ניתן יהיה לקבל תעודה חכמה בלי להירשם במאגר. הדבר ימנע מהבודקים לקבל נתוני השוואה אמיתיים בין האפשרויות.
מסיבה זו פרופ' נהון אינה בוטחת בניסוי. "הפיילוט אינו פיילוט. יורם אורן (מומחה לאבטחה, איש משרד הפנים) אמר לנו בחיוך באחד מדיוני הוועדה בכנסת: 'ראיתם פעם פיילוט שנכשל?' הם לא בודקים נחיצות, אמצעי בקרה וחלופות, אלא מה שנוח להם. למשל, הם בודקים את היעילות. איש אינו מתווכח שהמערכת יעילה. מדוע שלא יבדקו את חלופת 'המאגר המעומעם' שמציע פרופ' עדי שמיר (שבו אין זיהוי אישי אלא השתייכות לקבוצות קטנות יותר, שבאמצעותן יינתן זיהוי מבוטח תוך שמירה טובה יותר על הפרטיות - מ"ט)? הם בודקים רק את מה שנוח להם".
גון קמני, שהוביל את הקמת המאגר, התמנה לתפקידו ב-2011 אחרי שעבד כמנהל אבטחת מידע בלאומי קארד ושימש מנהל פרויקטים בחברות אבטחת מידע אחרות. הוא דוחה על הסף את ההפחדות בדבר אותו "אח גדול" שיפקח, יעקוב ויפגע בזכויות הפרט.
"יש הנחיות ברורות מאוד בחוק מי יהיה רשאי לקבל נתונים מהמאגר. בשנתיים הראשונות של הניסוי לשום גורם לא תהיה נגישות לנתונים. אחרי שנתיים תוכל המשטרה להגיש שאילתות אוף-ליין רק לגבי התאמת הנתונים לחשודים או איתור חשודים במעשי פשע חמורים בלבד ובאישור קצין משטרה בכיר. הדבר ייעשה רק במקרים שכולנו היינו רוצים לאתר רוצח או אנס אכזרי".
תאר לעצמך תסריט בלהות שבו אני מבקר ומשאיר באופן תמים טביעת אצבע באתר שבו מתבצע יממה לאחר מכן רצח. באופן אוטומטי אהפוך לחשוד ואולי אף איעצר ל-24 שעות.
"אנחנו לא מדינת קג"ב. אין תרחישי בלהות כאלה. איש לא יהפוך לחשוד כי כולם מכירים את המציאות. יש מצלמות אבטחה, איכון סלולרי ונתונים נוספים שיסייעו למציאת החשודים האמיתיים. המצב הוא טוב ומאוזן מבחינת ניהול הסיכונים, ואתה ואני נשמח מאוד כאנשים שומרי חוק לסייע למשטרה להניח ידה על פושעים ביעילות ובמהירות".
מה לגבי סיווג קבוצות מפגינים, למשל?
"זו שאלה פרנואידית ודמגוגית. אם מישהו רוצה לחפש מפגינים, הוא יכול לעשות זאת בלעדינו. המאגר לא יאפשר גם למשטרה לקבל נתונים על משתתפים בהפגנה. קשה לי להבין את המתנגדים, כי הרי כל הנתונים שלנו נשמרים כבר במאגרים. מי ששירת בצבא - כל המידע נמצא עליו שם. מי שעובר בנתב"ג ביקורת גבולות ביומטרית - כף היד שלו רשומה שם. מי שהיה מובטל ונרשם בלשכת התעסוקה השאיר טביעת אצבע במקום לעמוד בתור לפקיד.
"יש במאגרים מיליון ומאה אלף טביעות אצבע. מכל המאגרים האלה ניתן לדלות מידע כי הם אינם מוסדרים בחוק. מדוע קמה הזעקה דווקא אצלנו, כאשר כל המגבלות על מסירת המידע מוסדרות ומעוגנות בחקיקה ובתקנות?".
המאגר הביומטרי הוא חוליה נוספת בשרשרת מאגרי המידע האינסופיים שכבר קיימים בישראל. כמה מדענים כבר הגדירו את ישראל כחברת מעקב. כמעט כל פעולה שאנו מבצעים - רכישה בחנות בכרטיס אשראי, העברת כרטיס מועדון, ביקור אצל רופא, שיחה בטלפון הסלולרי, שימוש ב-GPS או החתמת כרטיס במקום העבודה - מתועדת, נרשמת ונאגרת.
אמנם המאגר נבנה כדי למנוע את הסיכון, אך באותה שעה הוא עלול להגביר סכנה. לדוגמה, מידע על עורקי תחבורה עשוי לייעל בניווט התנועה, אך גם לספק מידע לטרוריסטים על קווי התחבורה הצפופים יותר למטרות פיגועים. מערכת זיהוי באמצעות טביעות אצבע מאפשרת לשמור על חשבונות הבנק, אך גם פותחת פתח לזיוף באמצעות תבניות סיליקון, כמו אותה מורה בברזיל שאספה את טביעות האצבע של חברותיה לעבודה לצורך דיווחי רמייה על נוכחות בעבודה.
"מי שחושב שהמאגר הביומטרי בישראל מוגן לחלוטין מפני דליפה טועה ומטעה", אומרת פרופ' נהון. "זה ייקח שנה, שנתיים או עשר שנים, אבל שלא יהיה לאיש ספק - זה ידלוף. אחרי שזה יקרה - גמרנו, אין מה לעשות. זה לא כרטיס ויזה שניתן לבטל. אלה הם הנתונים שלך, של עצמך, שהולכים איתך כל החיים".
המתנגדים מצביעים על רשומות מספרי כרטיסי האשראי שהסתובבו ברשת באופן חופשי ועל מאגר מרשם האוכלוסין שדלף ב-2006 והפך לנחלת הכלל. בן עמי מסביר לנו כי פרטי המרשם הודלפו אז דווקא משום שהחוק הורה למשרד הפנים להעביר את הנתונים לכל משרד ממשלתי שיבקש אותם.
"המאגר הועבר למשרד העבודה והרווחה לפי בקשתו, ושם, כך התברר, היה איזה יועץ חיצוני שעשה מעשה אסור. הפעם החוק אוסר על העברת הנתונים לגורם כלשהו, והוא מובטח, מאובטח וסודי ביותר. אזרחי ישראל היום מספקים לכל דורש את מספר כרטיס האשראי שלהם, אז שלא יתפלאו שהמידע בסופו של דבר דולף. המאגר שלנו הוא ברמת האבטחה הגבוהה ביותר".
גם ה-NSA (הסוכנות לביטחון לאומי) האמריקאית חשבה כך עד שבא סנודן.
קמני מתקומם: "אנחנו לא NSA ולא FBI. אנחנו רשות קטנה עם מספר עובדים מצומצם שעובדים ברשת סגורה לא מקושרת. שם מדובר ברשת מאוד רחבה ואלפי עובדים במאות מדינות. הנתונים אצלנו מוגדרים על ידי השב"כ כסודיים ביותר, ואנו מונחים על ידי הרשות לאבטחת מידע גם לגבי האבטחה הפיזית וגם לגבי אבטחת המידע. אין כל חיבור חוטי ואלחוטי לרשת אחרת, והנתונים עוברים בצורה מאובטחת. הכל לפי הסטנדרטים הגבוהים ביותר. רק לבודדים יהיו הרשאות למידע הביומטרי".
אתה יודע איזה סיווג ביטחוני היה לסנודן?
"יהיו תהליכי בקרה יומיומיים כשכל פעולה נרשמת ומבוקרת על ידי מנהלי האבטחה. אני בטוח שאחרי סנודן לא עקבו כמו שצריך".
קמני מכחיש את טענתו של עו"ד יהונתן קלינגר, ממתנגדי החוק, שאמר כי יהיו אלפי אנשים בעלי נגישות כלשהי למידע, דבר ההופך את אבטחתו לבלתי אפשרית. "כל העובדים בעלי הנגישות למידע הם בעלי סיווג ביטחוני סודי ביותר. המערכת היא אוטונומית ונפרדת מכל רשת אחרת", הוא אומר.
בבריטניה הפיקו לקחים וביטלו את הפרויקט. למה שלא נלמד מהם את הלקח?
"שם ניסו לאכול את כל העוגה ותכננו את כל השירותים סביב המאגר הביומטרי: קשר עם בנקים, חברות ביטוח ועוד; משהו ענק במאות מיליוני פאונד. המפלגה השמרנית חרתה על דגלה את ביטול החוק, ואכן כך עשתה עם עלייתה לשלטון. ההחלטה הייתה מנותקת לחלוטין מהנושא הביומטרי. הם בכלל החליטו לבטל את חובת נשיאת תעודת זהות, שכן הם טענו כי דרישת שוטר מאזרח להציג תעודה מזהה היא פגיעה בחופש הפרט. בינתיים 60 או 70 אחוז מתושבי בריטניה מחזיקים בדרכונים ביומטריים שנתוניהם שמורים במאגר".
"זה מדרון חלקלק", מזהיר מיכאל איתן. "משלמים מחיר אנושי תמורת יעילות מוגזמת. מדוע אנו צריכים להיות מספר אחת בעולם בבלשות אחרי התושבים, ומספר 20 בשירות לאזרח? מדוע שלא יהיה ההפך?", הוא תוהה.
"אנחנו בתחילת הדרך ויש לפנינו אתגר אדיר", אומר בן עמי. "אני אומר לכולם: בואו ללשכות ותזמינו תעודות חכמות. המבחן שלנו הוא שהציבור יביע אמון במהלך. אפילו טרם יצאנו בקמפיין הסברה. נעשה זאת רק אחרי שכל הלשכות יפעלו להנפקת התעודות החכמות.
"סקרים שערכנו מוכיחים שהציבור ממש מבקש שנמהר וננפיק תעודות כאלה. ביומיים הראשונים נרשמו יותר מבקשי תעודות חכמות מתעודות ישנות. הציבור לא מטומטם, הוא מתעניין, שואל ומבקש. גם בסקרי דעת קהל ראינו שזו המגמה. אני מאוד אופטימי".
נא להמתין לטעינת התגובות
אקו"ם