Intellect or Insanity

0.
אחד הדברים היפים שקורים בחזית הטכנולוגית בשנתיים-שלוש האחרונות הוא ההפרדה בין 'יכול' ל'מותר' שהופכת להיות חדה יותר ויותר. בעבר, התפישה החוקית היתה שאם דבר מסוים הוא פומבי, הרי שהוא הופך להיות חלק מנחלת הכלל ומותר לשימוש. לדוגמא, בתיקים שצצו בראשית האינטרנט, עלתה השאלה האם הפעילות של מנועי חיפוש כמו גוגל חוקיים. כלומר, באו בעלי אתרים וטענו שמנועי חיפוש אשר סורקים את האתר פוגעים בזכויות הקנייניות שלהם, ולכן אסור להם לזחול באתר (נניח, Kelly v. Arriba Soft Corp., 77 F. Supp. 2d 1116 – Dist. Court, CD California 1999). הפסיקה הכירה בכך שמותר לאסוף מידע ציבורי ולייצר לו ערך מוסף, כמו במנועי חיפוש, ושיש לכך ערך חיובי. לדוגמא, בישראל, נפסק כי אין מניעה לאסוף מידע ציבורי ולייצר ממנו לוחות מודעות (נניח, א 1074/05 מעריב הוצאת מודיעין בע"מ נ' אול יו ניד בע"מ ואח', ת"א 5310-08 קווי מידע ופרסום בע"מ נ' בל תקשורת פרסום ויחסי ציבור ואח').

1.
אלא, שככל שזה נוגע לפרטיות, יש הנחיות יפות לאחרונה, שאומרות 'הגם שהמידע שאתם מעבדים הוא ציבורי, עדיין הצבירה שלו היא בעייתית מבחינת פרטיות ואסור לכם לעשות זאת'. זאת שיטת הכמות עושה איכות שבארצות הברית באה לידי ביטוי באיסור על מעקב באמצעות מכשירי GPS, הגם שאותו אדם מתנייד במרחב הציבורי (Maynard v. Unites States) ובפסיקה של בית המשפט המחוזי בישראל ש"מצבור של פרטים, שכל אחד לבדו אין בו משום פגיעה חמורה בפרטיות, הרי שביחד עם אחרים הם יעלו כדי פגיעה חמורה בפרטיות" (עא 2319/08 פלוני נ' פלונית, ראו גם). לכן, דווקא ההחלטה המעניינת של הנציבות האירופית מהשבוע שעבר עושה טוב לאוזן.

2.
הנחיה חדשה של האיחוד האירופי אוסרת על שירותי רשת להשתמש בתמונות לצורך זיהוי ביומטרי ללא קבלת הסכמה מפורשת; (ההחלטה המלאה, PDF); בפועל, ההגיון של ההחלטה הוא כזה: נכון, ניתן היום לבנות מנוע חיפוש שאוסף שלל תמונות מהרשת ומאנדקס אותן, ניתן גם לייצר פרופיל ביומטרי על כל אחת מהתמונות ולנסות לשייך אותן אחת לשניה (וFace.com עושים זאת יפה מאוד); אבל, בשביל לעשות זאת, יש לקבל היתר ממי שצולם בתמונה, או לפחות ממי שצילם אותה. לפי ההחלטה:

The images obtained by search engine were displayed with the intention for viewing and not for acquisition by a facial recognition system. The search engine provider would be required to obtain consent from the data subjects to be enrolled into the second facial recognition system.

3.
כך גם בנוגע לשימוש במערכות לזיהוי פנים על ידי רשתות חברתיות (ובמיוחד Facebook). נכון לעתה, Facebook מפעילה, ככל הנראה, מערכת של זיהוי פנים בין התמונות שמועלות, אך היא מאפשרת למשתמשיה לבטל את האפשרות 'להציג לחברים את הזיהוי האוטומטי'. כלומר, לא בטוח שהיא לא מחזיקה מאגר של המשתמשים שביטלו את האפשרות, אלא היא פשוט לא מודיעה לחברי המשתמשים כי הם תויגו בתמונות. כעת, לפי ההחלטה למשתמשים רשומים תהיה האפשרות לבחור האם לרשת החברתית יורשה לעבד את התמונה או לא, לא רק האם להציג אותה לאחרים.

registered users must also have been given a further option as to whether or not they consent to their reference template to be enrolled into the identification database. Non-registered users and registered users who have not consented to the processing will therefore not have their name automatically suggested for a tag because images in which they appear will produce a “no-match” result.

4.
המהפכה האמיתית היא בתפיסה של הצברת מידע. כלומר, היום מדובר על ביומטריה פשוטה, על זיהוי פנים. מחר ידובר על מידע סודי\פרטי\אישי של אדם, שניתן יהיה לאבחנה ממידע אחר. כלומר, דמיינו מצב שבו ההנחיה לא היתה נוגעת לזיהוי פנים, אלא דווקא למידע על היסטוריה תעסוקתית או על עבר מיני, האם ניתן היה לאסור על מנועי חיפוש לאנדקס מידע כזה על ידי זחילה של אתרים כמו LinkedIn? אני בספק.

הערכת מרכז המחקר והמידע של הכנסת כי הקמת המאגר הביומטרי, לרבות כח האדם שלו, יועצים ורשיונות תוכנה לא תעלה יותר מחמישים מיליון ש"ח היא לא יותר מבדיחה, וחבל שמרכז המחקר והמידע של הכנסת בחר להסתמך רק על נתונים שסופקו לו על ידי משרד הפנים ולא טרח לערוך מחקר השוואתי על מנת לראות מה המצב במדינות העולם (כמו בריטניה, בה הוערך המאגר בחמישה וחצי מיליארד ליש"ט). מדינת ישראל, הרי, אינה מנוסה במיוחד בפתרונות מחשוב גרנדיוזיים; לשם הדוגמא, פרויקט מרכב"ה למחשוב משרדי הממשלה החל בהערכת עלויות של 375 מיליון ש"ח וכבר מזמן עבר את כפליים הסכום, במערכת נט-המשפט למחשוב בתי המשפט הושקעו כחצי מיליארד ש"ח וזו עדיין אינה מתפקדת כראוי ולמרות זאת חרגה בהיקפים גדולים מהתקציב המיועד, ואף מערכות צבאיות דומות ננטשו. ככלל, רוב פרויקטי המחשוב הממשלתי בישראל כשלו וחרג מהתקציב, והרבה פעמים מתכנון לקוי.

מנגד, עומדת הצעה אופטימית של משרד הפנים, לפיה במיליון ש"ח בלבד עבור הקמת מערך המחשוב הראשוני (ועוד כ-719,000 ש"ח עבור "תוכנת השוואה ביומטרית", כלומר משרד הפנים כבר בחר את התוכנה); בסכום זה לא יוכל משרד הפנים לתת את המאגר המאובטח ברמה 11 כפי שהבטיח לנו מאיר שטרית, אלא עדיף שישים כבר את הקבצים על שרת שיתופי בחוות השרתים של נטוויז'ן כדי שכל האקר וארגון טרור יוכל להעתיק את המאגר.

מדינת ישראל לא צריכה להיות שאננה. אכן, אני התנגדתי למאגר ביומטרי ועדיין מתנגד. אבל, אם מקימים מאגר כזה, יש לעשות זאת בצורה הטובה ביותר: אם נסתכל על כמות הגורמים שצריכים לקבל גישה למאגר הביומטרי: משרד הפנים, משרד החוץ, משטרת ישראל, שירותי הבטחון, מערך ההנפקה של תעודות הזהות ועוד כמה גורמים חשאיים, הרי שלא ניתן להקים מערך נפרד (כדירשות החוק), אשר יהיה מופרד מכל מערכת המחשוב, בבונקר מאובטח ומגובה, אשר מאפשר את חיפוש המידע והשימוש בו, בתקציב כזה.

דווקא אני, שהתנגד למאגר, מוכן להלחם בכל תוקף שזה יקבל את התקציב הראוי לו, כל עוד הוא מוקם. עם כל הכבוד, בחמישים מיליון שקל עדיף כבר למסור את טביעות האצבע שלנו ישר לחמאס.

[פורסם בTheMarkerIT]

ביום ד' הקרוב (מחר) אעביר במסגרת קורס דיני עבודה של דר' אמיר פז-פוקס הרצאת אורח על פרטיות במקום העבודה. השאלה של פרטיות במקום העבודה היא שאלה משפטית מאוד (וראו גם מעקב בעבודה: טיילור, בנת'האם והזכות לפרטיות, מיכאל בירנהק) אבל היא גם שאלה טכנולוגית; כדי להבין כיצד פרטיות במקום העבודה מושגת\נפגעת, יש צורך להבין את המנגנונים הקיימים כיום קודם כל, ומהם האינטרסים והאיזונים. האינטרס של המעביד הוא שליטה מוחלטת בעובד: קבלת מידע מקסימאלי בכל רגע (וראו Workplace Privacy and Employee Monitoring Fact Sheet, Privacy Rights Clearinghouse) והעובד מעוניין להעזב בשקט (כדברי Samuel D. Warren וLouis D. Brandeis במאמרם מ1890 The Right to Privacy). למעביד ישנם אינטרסים מובהקים כדי לעקוב אחר התנהגויות של עובדים במקרים בהם הוא מעוניין להגן על סודותיו המסחריים מפני גזילה (בש"א 10105/07 כלל פינננסים נ' בני דקל), ולהגן על כך שעובדיו לא יעדרו ממקום העבודה (עמר"מ 13028-04-09 בנימין אליהו נ' עיריית טבריה) או יבצעו בו שימושים אישיים.

אלא שכדי להבין את מהות הזכות לפרטיות במקום העבודה, ובטרם נתחיל לדון בדיני העבודה והייחוד שלהם, יש להבין את הזכות לפרטיות. הזכות לפרטיות אינה זכות מוחשית כמו הזכות לקניין (מיכאל בירנהק, שליטה והסכמה: הבסיס העיוני של הזכות לפרטיות) אלא היא זכות מופשטת כמו הזכות לכבוד; לא בצורה מקרית מאוגדת הזכות לפרטיות בתוך חוק יסוד: כבוד האדם וחירותו, וחוק הגנת הפרטיות מגדיר את הפגיעה בפרטיות בצורה קאוזאלית, כאשר סעיף 2(1) לחוק מותיר קשת רחבה של מקרים להגדרת הפרטיות על ידי "הטרדה אחרת" (וראו לעניין זה דנ 9/83 בית הדין הצבאי לערעורים נ' ועקנין), אולם דומה ששינויי הטכנולוגיה והמהות מונעים את היכולת להגדיר מהי פגיעה בפרטיות, עד כדי שלעיתים מעשה שלא היה פוגע בפרטיות אם היה נעשה מול אדם אחד או פעם אחת פוגע בפרטיות כאשר הוא מבוצע כלפי ציבור או בצורה מתמשכת (08-3030 Maynard v. United States). כלומר, את הזכות לפרטיות ניתן להגדיר בצורה חברתית (א 6023/07 אפריאט נ' ידיעות אחרונות) כתלויה בנסיבות העניין ובהתאם לתחושת הבטן. אלא שהעדר היכולת לספק הגדרה בטוחה של מהי פגיעה בפרטיות מונעת גם את היכולת לספק ייעוץ משפטי ודאי לעובדים או מעבידים.

מהות הזכות לפרטיות היא טיפול במידע על אודות הפרט, על רכושו שמהווה את זרועו הארוכה (כגון רכב או טלפון סלולרי), ועל הגלישה שלו באינטרנט (רע"א 4447/07 רמי מור נ' ברק) ופרסומים שהוא ביצע. בניגוד לתפיסות עבר, הזכות לפרטיות אינה קיימת רק על התנהגויות של אדם ברשות הפרט (בג"צ 6650/04 פלונית נ' בית הדין הרבני האזורי בנתניה) או במקומות שהם קואזי-פרטיים, אלא גם על מקומות ציבוריים (רע"א 6902/02 צדיק נ' ליבק, עניין אפריאט). אולם, הפסיקה קבעה חד משמעית כי הזכות לפרטיות היא זכות אנושית (ע"א 7151-10-09 גרפונט בע"מ ואח' נ' גיא פלד ואח') ולא חלה על תאגידים; מעבר לכך, הפסיקה גם הכירה בכך שהפגיעה בפרטיות לא יכולה להתרחש כאשר אדם מראש מתפרנס מעצם הצגת דמותו (תא (חי') 534-08 חוה קורן ישראלי נ' שי כהן). אבל במקום לומר כיצד הפרטיות אינה מוגדרת או מוגדרת, קיומה של פרטיות תלוי יותר מכל בתחושת הבטן הסובייקטיבית של הפרט.

למעביד ישנן דרכים רבות לשלוט בהתנהגות העובד, וחשוב להבין שפגיעה בפרטיות העובד לא נועדה לאיסוף המידע, אלא לייצר תחושה של פיקוח אשר תשלוט בהתנהגויות נורמטיביות או מותרות. המעביד משתמש במספר כלים כיום כדי לפקח ולשלוט בעובדיו; אלא חשוב לזכור כי טכנולוגיות חדשניות עשויות לערער ולשנות את המסד לשיח ולהציע אתגרים חדשים. לדוגמא, חברת Microsoft רשמה לאחרונה פטנט המאפשר לה לבדוק את היכולת של עובדים לעמוד ביעדים בהתאם לקצב ליבם, זיעה, ועוד. בעצם, את הפגיעה בפרטיות במקום העבודה אפשר לחלק לפי שלוש המתודות של אבטחת המידע: "מה שאתה יודע, מה שיש לך ומה שאתה". כל אחת מהפגיעות בפרטיות עשויה לבוא בצורה אחרת, אך כולן מגדירות את הזכות לפרטיות טוב יותר מההגדרות המקובלות.

את המתודלוגיה של הזכויות לפרטיות במקום העבודה אפשר לחלק כך: מה שהעובד יודע; החל מהמרשם הפלילי של התובע, אופיו המיני, העדפתו הדתית ומידע אישי עליו, דרך ססמאותיו לחשבונותיו הפרטיים, סודותיו המסחריים וסודותיהם המסחריים של מעבידים קודמים. מה שיש לעובד: ניטור אמצעי התקשורת של העובד, החל מהטלפון הסלולרי שלו ותכתובות הדואר האלקטרוני שלו, בחינת תעבורת האינטרנט ופלט השיחות שלו, ביצוע איכון GPS וסלולרי על מיקומו וגם בחינת אחסנה פיסית שלו: קבצי המחשב במקום העבודה, רשומות ומגירות אישיות. לבסוף, מה שהעובד הוא: ביומטריה, על שלל שלביה: טביעות אצבע, רשתית, קרנית, הזעה ודופק; תחת ההגדרה הזו תכנס גם הביומטריה הקיימת בפוליגרף, כלומר: האם העובד משקר על מה הוא יודע ומה יש לו, וגם מעקב מתמד אחר העובד באמצעות מצלמות והאזנה.

ראשית, נתייחס לשאלת מה שאתה יודע: חוק שוויון הזדמנויות בעבודה אוסר מהמעסיק לבקש מעובדים מידע אודות עברם הצבאי, אבל גם חוק המרשם הפלילי ותקנות השבים שקובע בסעיף 19(ב) כי "מי שיש עליו מידע אינו חייב לגלות הרשעה שהתיישנה למי שאינו רשאי להביאה בחשבון; שאלה בדבר עברו הפלילי תיחשב כאילו אינה מתייחסת להרשעה שהתיישנה והנשאל לא ישא באחריות פלילית או אחרת מחמת שלא גילה אותה למי שאינו רשאי עוד להביאה בחשבון". מעבר לכך, החוק מטיל איסור פלילי (סעיף 22(א)) על מי שמבקש מידע שאין לו סמכות על פי דין לקבל מהמרשם: כלומר, שאלה האם לעובד יש עבר פלילי.

אולם, מה שהעובד יודע אינו רק המרשם הפלילי והשירות הצבאי, אלא גם אמונותיו, דתו ועוד; במקרה אחד, חייב כונס נכסים נתבעים בתביעה של סוד מסחרי למסור את ססמאת ההצפנה (בש"א 9455/09 תום קפלן נ' קבוצת PCIC, וכך גם היה במקרה אחר, תפ (ת"א) 40071/04 מדינת ישראל נ' חברת בוריס פקר הנדסה בע"מ, בו לא ברור כיצד קיבלו החוקרים גישה למחשב הנאשמים) אולם, במקרים אחרים בבתי משפט זרים, נפסק כי אין חובה להעביר את ססמאות המחשב של אדם (Boucher v. State, United States District Court for the District of Vermont, 2007 WL 4246473).

סביר להניח שבהתחשב בהלכת בנימין אליהו והמגמות הגוברות בתחום הפרטיות, יש להתייחס ביתר משקל להלכות זרות ולהלכות אלו על חשבון הלכות אחרות כמו עב (ת"א) 5524/03 אנט קירש נ' זכוכית בידודית 18 ז.ב. בע"מ, בה קבע בית המשפט כי אין נטילת הססמא מהעובד מנוגדת להוראות הדין ובניגוד לעב (ת"א) 7615/02 דוד בנימין נ' קוריג'ין בע"מ בה בית המשפט אישר את ניתוקו של עובד מהדואר האלקטרוני הארגוני והחלפת הססמא. כלומר, השאלה האם למעסיק מותר לבקש את ססמתך או מידע הנמצא בראש שלך כפופה בין היתר לדין הכללי, אך דיני העבודה נוטים להגן על העובד מלחשוף מידע פרטי.

לעומת ההגנה על מה שאתה יודע, ההגנה על מה שיש לך היתה פחותה בבתי המשפט. אכן, בהלכת בנימין אליהו עיגן בית המשפט המחוזי את הזכות לפרטיות בדואר אלקטרוני של עובד (באותו המקרה, דובר על פסילה חוקתית של ראיות שהושגו בפגיעה בפרטיות לפי סעיף 32 לחוק הגנת הפרטיות), אבל גם במקרים אחרים עוגנה הזכות בצורה יחסית (עב 010121/06 טלי איסקוב נ' הממונה על חוק עבודת נשים ו‫עב' 1158/06 רני פישר נ' אפיקי מים) במקרה אחר בית המשפט המחוזי החליט, בהליך של המרצת פתיחה כי "מתחם הפרטיות אינו נקבע עפ"י דיני הקניין והזכות לפרטיות היא זכותו של האדם ולא זכותו של המקום, וכלל זה חל גם כאשר תוכן הודעת הדוא"ל הוא בעניין עסקי. גם העובד במישור של יחסי עובד-מעביד זכאי למתחם פרטיות במקום העבודה כאשר הוא משתמש בדוא"ל בשרת החברה, וכל שכן בעל מניות בחברה במישור מערכת היחסים בין  בעלי המניות בחברה" (ה"פ 1529/09 חן בת שבע ואח' נ' יוני בן זאב).

אולם, קריאתו של דואר אלקטרוני היא רק פן אחד של הפגיעה במה שיש לך, כאשר לעובד יש מחשב, אשר הוא גם רכוש של המעביד, או כל ציוד אלקטרוני אחר, ניתן להשתמש במידע עליו על פי התורה הקניינית, כפי שההלכה בעניין טלי איסקוב אימצה. אולם, בעניין בשא (ת"א) 5298/09 עודד רובין נ' חברת תשתיות נפט ואנרגיה איפשר בית המשפט להגיש דוחות איכון של איתוראן אך לא להציג את הדוחות שנאגרו מחוץ לשעות העבודה, כאיזון בין הזכות לפרטיות לזכות המעביד לקניין. בעניין אחר, הרחיב בית הדין את הזכות של המעביד לקבל או להחזיק מידע על מיקום עובד ופסק כי: "לא מצאנו ממש בטענות המבקשת לפיהן השימוש שעשתה המשיבה בדו"חות איתוראן מהווה פגיעה בפרטיות. מדובר בעובדי המשיבה, הנוהגים לצורך עבודתם בכלי רכב השייכים למשיבה. בכלי הרכב מותקנים מכשירי איתוראן. הדו"חות של איתוראן המלמדים היכן היו העובדים, מתייחסים לשעות העבודה של העובדים ולא מעבר לכך. איתור מקום הימצאם של העובדים בזמן העבודה עת מדובר בעבודה שמטיבה הינה ניידת, אינו פוגע בפרטיות, והוא בא לסייע בידי המעבידים לפקח על העובדים. זאת במיוחד כאשר העובד מוסר מידע בדו"חות הנוכחות היכן הוא נמצא והבדיקה של המעביד נעשית בדיעבד" (סק (ב"ש) 1026/06 הסתדרות העובדים הכללית החדשה נ' תש"ן תשתיות נפט ואנרגיה בע"מ).

מנגד, כאשר לא היה אינטרס חזק למעביד, היו מקרים שקבעו כי אין אפשרות לקבל קבצים, תוכנות או מידע הנמצאים בחזקת העובד, אם אינם מהווים סוד מסחרי (עב (י-ם) 1808/03 אופטיק דורון בע"מ נ' זכאי מיכל, עב (ת"א) 1733/01 דיימקס מערכות 1988 בע"מ נ' נטקוד בע"מ). כלומר, דרישת המידתיות לצורך הפגיעה בפרטיות התקיימה בצורה רפויה יותר כאשר מדובר במה שיש לך לעומת מה שאתה יודע, כאשר הרציונאל לכך היה הרציונאל הקנייני, שניתן להבין ממנו שמידע גבוה יותר (פלט שיחות ואיכונים) נחשבים פחות פוגעים בפרטיות מאשר תוכן דואר אלקטרוני (והשוו פ 40206/05 מדינת ישראל נגד פילוסוף ואחרים). התפישה של הבנת החפץ (חומר המחשב) כמקרה פרטי של שיחה, כזה שמבין שהקריאה של הדואר האלקטרוני, כמו האזנה לקו הטלפון (אשר במקרה הזה יש חוק ספציפי נגד, חוק האזנת סתר), היא בעלת פוטנציאל פוגעני יותר מאשר איכון או פלט שיחות היא תפישה ארכאית שאינה מתחשבת בכך שבעידן הדיגיטלי זהות הנמען או מיקומו של עובד מהווים פגיעה בפרטיות לא פחות מאשר תוכן השיחה (ראה, לעניין זה את עניין Maynard). לעניין זה, אגב, בתי המשפט פסקו כי התקנת מצלמות אשר נועדו לפקח על העובדים היא כהרעה בתנאי העבודה ופגיעה בפרטיותם (דמ 2734/00 אייזנר אוסנת נ' ריצ'מונד מפעלי סריגה בע"מ), אך עניין המצלמות עוד רחוק מלהתחיל כדיון נפרד.

אולם, הנושא המעניין יותר הוא הפרטיות של מי שאתה. הפגיעה בפרטיות של מי שאתה היתה באה לידי ביטוי לאחרונה בפרשיה שהייתי מעורב בה, בה עובדת של צומת ספרים סרבה לתת טביעת אצבע עבור שעון הנוכחות ופוטרה מעבודתה (בקשה דחופה לבית המשפט להחזרה לעבודה: עב 17342-07-10 דק נ' צומת ספרים, החלטת בית המשפט במעמד צד אחד: עב 17342-07-10 דק נ' צומת ספרים). לאחר התערבות של בית המשפט הוחזרה העובדת למשרתה, אולם השאלה עוד נמצאת בחיתולים וראוי לשאול מהי המידה בה מעסיק יכול לשמור מידע על מיהו העובד שלו. מדובר על מעקב מסוגים שונים של ביומטריה. קודם כל, השאלה היא מהי היכולת של מעביד להעביר את עובדיו בחינת פוליגרף.

במקרה אחד, תא (אשד') 2016/03 פרחצ'קוב יוליה נ' חב' מיל סטון עיבודי שיש בע"מ, עובדים שפוטרו לאחר כשלונם בבדיקת פוליגרף תבעו את מעבידם בגין פגיעה בפרטיות; אלא שבמקרה הנ"ל התביעה היתה בעקבות פרסום תוצאות הפוליגרף, ולא בטענה כי הפוליגרף עצמו פוגע בפרטיות. לכן, בית המשפט נמנע מלדון בשאלה האם איומים בפיטורין לאחר אי הסכמת עובד לבדיקת פוליגרף היא פגיעה בפרטיותו בהקשר של דיני העבודה, כך היה גם במקרה אחר, בו בית הדין הארצי לעבודה הותיר את השאלה האם בדיקת פוליגרף לעובד היא חוקתית בצריך עיון (דב"ע 4-70/97 אוניברסיטת תל-אביב – ההסתדרות הכללית החדשה, האגף לאיגוד מקצועי ואח'). לעומת זאת, אהרן ברק רואה (פרשנות במשפט, כרך שלישי, פרשנות חוקתית (ירושלים, תשנ"ד), עמ' 433-431) את הצורך בבדיקת פוליגרף כפוגעת בכבוד האדם ולא כפגיעה בפרטיות: "היפנוזה בחקירה פוגעת בכבוד האדם. שימוש בפוליגרף פוגע בכבוד האדם. 'שוק חשמלי' פוגע בכבוד האדם. כפייה לתת 'טביעות אצבעות' פוגעת בכבוד האדם".

נראה כי השאלה האם אי הסכמת העובד להבדק בפוליגרף, עם מלוא ההסתייגויות החוקתיות שיש מאמינות המכשיר  צריכה להבחן לפי מבחנים חוקתיים של מידתיות וסבירות; בעניין אוניברסיטת תל-אביב נאמר כי " לגבי כל מבחן ומבחן יש לבדוק באיזו מידה המבחן אכן משקף נכונה את הנתונים שבדיקתם נתבקשה. יש לבדוק את דייקנות כל מבחן על-פי תוקפו (VALIDITY) ומהימנותו (RELIABILITY)". אולם לא די בכך; הפוליגרף הוא רק ביומטריה מסוג אחד של "מה שאתה", אלא "מה שאתה" במובן הרחב יותר. למרות התפיסה הרווחת כי ביומטריה היא טכנולוגיה מאובטחת, הרי שבעקבות הצורה הרעועה שביומטריה זולגת (אנו משאירים טביעות אצבע בכל מקום, וניתן לצלם אותנו מרחוק), ביומטריה היא אחת הצורות הבטוחות פחות לאבטחה של מידע אצל המעביד (וזה עוד לפני ששאלת המאגרים הביומטריים נכנסה לפועל)

לסיכום, ניתן לחלק את המידע הפרטי שנאגר על העובד בצורה של מידע שהעובד יודע, עליו הדין מגן יותר באמצעות איסורים על אפליה או שאילת שאלות מסוימות, מידע שהעובד מחזיק, בו בתי המשפט יישמו את השיטה הקניינית ומידע שהעובד הוא, שבהם בתי המשפט עדיין לא הצליחו להחליט מהי הגישה המועדפת.

0.

"עבודה בתחום האבטחה מחייבת ידע רב בטכנולוגיה. הידע יכול לנגוע במחשבים ומערכות, או במצלמות ואופן הפעולה שלהן, או בכימיה של איתור חומרי נפץ. אבל למעשה אבטחה היא הלך רוח. דרך חשיבה. מרקוס הוא דוגמא מצוינת לדרך החשיבה הזאת. הוא תמיד מחפש כשלים במערכות אבטחה. אני מוכן להתערב שהוא לא יכול להכנס לחנות מבלי למצוא דרך לסחוב ממנה משהו. לא שהוא יעשה את זה – יש הבדל בין הידיעה כיצד להביס מערכת אבטחה לבין ביצוע הלכה למעשה – אבל הוא ידע שהוא יכול.
ככה חושבים אנשי אבטחה. אנחנו כל הזמן בוחנים מערכות אבטחה ואת האופן שאפשר לעקוף אותן. כאלה אנחנו.
סוג החשיבה הזה חשוב, ולא משנה באיזה צד של תחום האבטחה אתם נמצאים. אם שכרו אתכם כדי להקים חנות שאי אפשר לסחוב ממנה כלום, כדאי מאוד שתדעו איך לסחוב מחנויות. אם אתם מתכננים מערכת מצלמות שמזהה הליכה ייחודית לכל אדם, כדאי מאוד שתהיו מוכנים להתמודד עם אנשים ששמים אבנים בנעלים. כי אם לא, שום דבר שתתכנו לא יהיה טוב" (ברוס שנייר, אחרית דבר, האח הקטן מאת קורי דוקטורוב)

1.
בשביל להבין מערכת אבטחה צריך להבין את הכשלים בה: הכשלים האנושיים, החור האנאלוגי או כל בעיה אחרת; צה"ל, לעומת זאת, מראה שהוא לא מבין כשלים אנושיים אלא רק מביא לפתח של פרשת ענת קם 2. במסגרת "הפקת הלקחים", החליט הצבא לאסור על הדפסת מסמכים מסווגים ולהקים מאגר ביומטרי של חיילים המורשים לגישה למסמכים האלה. שתי החלטות שגובלות בהפקרות אבטחתית, ומראות את כיוון החשיבה הלא נכון של צה"ל.

2.
נתחיל עם בעיית המאגר הביומטרי. צה"ל, אחד הגורמים לא מצליח לשמור על בטחון המידע ולא יודע לטפל במידע רגיש ברשת עד שאפילו גליון מספר 1 של המגזין מוניטור (זהירות, קידוד עברית ויזואלית) מראה שצה"ל לא מצליח לשמור על מסמכים מסווגים ברשת. כעת, צה"ל, עם שש תקלות אבטחת מידע קריטיות בשנה וחצי האחרונות, רוצה להקים מאגר ביומטרי של קצינים בעלי גישה למסמכים מסווגים. כלומר, כעת די שלמישהו יהיה גישה למאגר הזה על מנת לפתוח את הסיווג, לפרוץ או להתחבר למערכת הצה"לית. ענת קם הבאה כבר לא תצטרך לצרוב דיסקים עם מסמכים מסווגים, היא רק תצטרך לתת לאורי בלאו את המאגר הביומטרי של צה"ל. רשלנות אבטחתית כזו היא אותה רשלנות שתספק גם במקרה הצורך אצבעונים עם טביעות אצבע כדי שפקידה תוכל לגשת למסמכים עבור המפקד שאינו מסוגל להקליד; הרי את הססמאות כותבים בטוש על מדבקה שצמודה למחשב, אז למה לא להחזיק גם אצבעון?

3.
ואז מתעוררת הבעיה השניה: איסור הדפסה של מסמכים מודפסים. התכונה, של איסור הדפסה היא מערכת בסיסית של ניהול זכויות קניין (נז"ק – DRM) אלא שגם אז ישנן אלפי דרכים לעקוף הגנות בצורה כזו או אחרת, אך הפשוטה ביותר היא כפתור PrtSc הנמצא על כל מחשב ומאפשר את לכידת המסך. גם צילום המסך על ידי כל מצלמפון קיים כיום יכול לעזור; אבל שוב: אם שכרו אתכם כדי להקים מערכת אבטחת מידע שתמנע מאנשים לגנוב מידע מצה"ל, כדאי שתעדו איך לגנוב מידע.

4.
וזו הבעיה של צה"ל: אני לא האקר, אני רק עורך דין עם טיפה חוש ביקורתי, וכבר אני יכול לעקוף את מערכות האבטחה שלהם. הסיבה היא שצה"ל לא מעוניין באבטחת מידע, הוא מעוניין בהרתעה; צה"ל רוצה להגיד "הקמנו מאגר ביומטרי של קצינים כדי שאף אחד לא יפרוץ לנו" ולא מבין שהמאגר הביומטרי שהוא רוצה להקים יהיה נטל בטחוני, צה"ל רוצה להגיד "עכשיו אף אחד לא ידפיס את הקבצים שלנו" ולא מבין שהבעיה היא כבר מזמן לא הדפסה; ענת קם לא הדפיסה מסמכים: היא צרבה אותם על CD. מעניין איך צה"ל ימנע העתקה של קבצים, במיוחד אם בפעם הבאה מישהו פשוט יעשה DD לדיסק הקשיח.

5.
את האח הקטן קיבלתי במתנה מהוצאת גרף; מאז רכשתי עותק נוסף, שניתן כמתנה למישהי. בכל מקרה, אם לא הייתי מקבל במתנה, הייתי מוריד אותו בחינם מהאינטרנט כנראה.

0.
אני מותש. הדיונים על חוק המאגר הביומטרי, הצורך בלהמשיך לעבוד במקביל ולהתפרנס איכשהוא, הורגים אותי. הדיונים בחוק הם עניין שוחק, ולמעט דורון אופק, אבנר פינצ'וק ואנוכי, כמעט ואין נוכחים בועדה שמוכנים להתנגד בצורה אקטיבית לחוק. לדוגמא, כאשר תהיתי מדוע לפי סעיף 3 לחוק מוחזק על תעודת הזהות גם תמונת טביעת האצבע (מה שמכונה בחוק "אמצעי זיהוי ביומטריים") וגם המפתח שלה (מה שמכונה "נתוני זיהוי ביומטריים") קיבלתי תשובות מצחיקות ולא רציניות. החשיבות של אי החזקת המפתח והתמונה נועד למנוע מצב בו מי שגונב את התעודה יכול להעתיק את זהות האדם, לא את התעודה. כעקרון, מרגע שיש את התמונה על כרטיס הזהות, כל אחד יכול להדפיס אותה במדפסת ביתית ולצור תבנית שתאמת אותה (למרות שאפשר לשחזר את התמונה גם מתוך המפתח לפעמים). כך קורה שבעצם דיון בנושא חשוב מאוד, שהיה ראוי שהכנסת תדון בו, לא מגיע לדיון מתוך כך שמאיר שטרית רוצה להעביר את החוק בלהיטות ודחיפות. אף אחד מחברי הכנסת לעולם לא יבין שמרגע שנגנבה תעודה, כל אחד יכול להתחזות לך.

1.
בבג"צ 4885/03 ארגון מגדלי העופות בישראל אגודה חקלאית שיתופית בע"מ נ' ממשלת ישראל, הסבירה כב' השופטת דורית ביניש כי "הליך חקיקה חפוז שאינו מאפשר לקיים דיון ראוי בהצעת החוק עלול אף לפגום בתוצר של הליך החקיקה" (…) "משטר דמוקרטי-פרלמנטרי אמיתי מחייב שחקיקה תיעשה הן להלכה והן למעשה בבית המחוקקים ועל ידי בית המחוקקים". לכן, למרות הרצון העז לעתור כבר עכשיו לבג"צ, כאשר מובהר כי המחוקק מעוניין בהליך חקיקה זריז וקיבע את דעתו סורסו רק בגלל ההחלטה בבג"צ 4302/09 לשכת עורכי הדין נ' ממשלת ישראל די מונעת זאת. שם, בג"צ הסביר כי "הלכה ידועה היא כי למעט בנסיבות חריגות ביותר לא ייטה בית משפט זה להתערב בהליך החקיקה בכנסת בטרם השלמתו; וזאת על בסיס עקרון הכיבוד ההדדי בין הרשויות, ומתוך תפיסה כי השלב הראוי לבחון את חוקתיותו של חוק מסוים ואת תקינות ההליך בו הוא נחקק הוא לאחר השלמת הליך החקיקה בכנסת". כלומר, נחכה, נקבל מאגר ביומטרי ואז כשנבקש לבטל אותו המדינה תאמר שהיא הוציאה כבר מאות מיליונים ולכן לא ראוי לבטל את היוזמה (והשוו בנושא שיקולים תקציביים וזכויות חוקתיות, בג"צ 4541/94 אליס מילר נ' שר הבטחון, בו קבע ביהמ"ש כי: "על כל פנים, כשעל הפרק ניצבת תביעה למימוש זכות יסוד – וכזה הוא המקרה שלפנינו – משקלם היחסי של השיקולים התקציביים אינו יכול להיות גדול").

2.
הפחד ממאגר ביומטרי הוא הפחד הבלתי סופי מזליגת מידע, אבל גם ממדרון חלקלק בו הביומטריה תהיה מפתח לפגיעה מתמדת בפרטיות שלנו. מאגר צילומי הפנים שישמר במאגר יוכל לשמש לזיהוי חשודים, והמשטרה לא הכחישה שהיא מעוניינת לעשות כן. בדיון שנערך ביום חמישי האחרון הסבירה המשטרה כי הגדרת "נטילה" של אמצעים ביומטריים חייבת להיות רחבה כדי לאפשר סוג כזה של "נטילה" של תמונות של מפגינים (להזכירכם, ישנה קלות משמעותית לזיופים כאן); כעת, כשישנה גישה למאגר לכל עובד במעברי הגבול למאגר התמונות, נוצרת נקודת כשל ראשונה: כולנו יודעים שניתן להאזין למקלדות מרחוק ולקבל חלק אחר מהמידע אחרי שמקבלים ססמאות. אבל על הכשל של סעיף 13 לחוק אף אחד לא דיבר, הסבירו שמדובר בתמונות ברזולוציה נמוכה.

3.
ועדה משותפת לודעת המדע וועדת הפנים בכנסת משקיעה זמן ניכר בחוק הביומטרי; מדובר בשבעה מפגשים של חמש שעות כל אחד. יותר משלושים שעות עבודה שלי, אך להערכתי הדבר כלל לא מספיק כדי לגעת בקצה הקרחון של הנקודות. שלושים שעות הכנסת משקיעה בשאלה תקציבית של מיליארדי שקלים, בדיון בסוגיות עמוקות של פרטיות ובטחון, הסבר על אבטחת מידע וצפנים; כל זה לא בנמצא. האם הייתם מוכנים להקדיש שלושים שעות מזמנם ולבוא גם לועדה על מנת להסביר זאת?

4.
הכנסת לא דנה מספיק במאגר הביומטרי, מעניין כמה היא דנה בנושאים שאתם לא מבינים בהם?

דמיינו את המצב הבא: מדינת ישראל מכשירה את תעודות הזהות הביומטריות ומוציאה למכרז את הנפקת התעודות וניהול המאגר. אותה חברה שמנהלת את המאגר היא חברה פרטית, הפועלת למטרות רווח, ועובדיה מספקים שירותים גם למאגר הביומטרי וגם למספר ארגונים אחרים. כיוון שמדובר בחברה פרטית, אף אחד לא חשב לאסור על אותה חברה להתקשר עם גורמים אחרים (לדוגמא משרדי חקירות פרטיות), אך הבהירו כי לא יעשה שימוש במידע.

ואכן, כך עובדים קשה עובדי הקבלן שמשתכרים 19 ש"ח לשעה, וכאשר הם רוצים לחסוך בזמן, הם מדי פעם משתמשים בהרשאות הגישה שלהם כדי לעזור לחברים ואולי כדי לקבל כמה שקלים מהצד. הבוס, כמובן, מעלים עין; אבל הוא מעלים עין רק כי הוא יודע שככה הוא יכול להרוויח יותר. אבסורד?

וובכן, אם קוראים את דו"ח מבקר המדינה ה59ב, ניתן לראות שליקויים דומים במיוחד התרחשו בביטוח הלאומי, שהפריט את מוקד השירות לאזרח (עמ' 876 לפרק הגנת הפרטיות בדו"ח מבקר המדינה). כפי שנחשף בדו"ח מרכז מחקר ומידע של הכנסת לפני למעלה משנה (ינואר 2008) עובדי המוקד הטלפוני של ביטוח לאומי העבירו מידע לאחרים. אולם, בעוד שהציפיה הסבירה היתה שחשיפה בינואר 2008 תאמר שבאותו מועד בדיוק יסתיים הליקוי, מבקר המדינה מתריע שנהלי אבטחת המידע עודכנו רק בנובמבר 2008.

אולם, זו לא הבעיה היחידה שמוצגת בדו"ח. הדו"ח אף מפרט כי מאגרי המידע על מספרי הזהות והקשרים המשפחתיים נמצאים ברשת, וכי משטרת ישראל לא הצליחה למצוא מי מבין 20 הגורמים שקיבלו את מאגר המידע הדליף אותו. ראינו כבר שמאגרים שמנוהלים על ידי גורמים פרטיים הם בעייתיים במיוחד, אולם התכנית כיום היא לפחות לתת לאחרים גישה לאותו מאגר (לפחות לבנקים) כדי לשפר את השירות לציבור.

מדינת ישראל לא מיישמת ליקויים ולא מתקנת אותם. הליקויים ש'נחשפו' בדו"ח מבקר המדינה היו ליקויים כבר מספר שנים, אנשים ידעו עליהם, אך רשויות השלטון לא עשו דבר. האם זו המדינה שראוי שתחזיק מידע?

ושוב: המאגר ידלוף, זו רק שאלה של זמן.

0.
אולי העובדה שהידיעה הבאה הגיעה רק לאתר אזוטרי כמו "ערב ערב באילת" מדאיגה במיוחד. קופת חולים מכבי החליטה, במסגרת ייעול השירות, להפטר מהכרטיסים המגנטיים הבעייתיים ולעבור לזיהוי חברי קופת חולים מכבי על ידי נתונים ביומטריים. כלומר, כל חבר בקופת החולים נדרש (כבר עכשיו) לתת את טביעת האצבע שלו על מנת להזדהות מול הקופה.

0.1
הזדהות מול הקופה משמעה שכל אדם שמגיע לביקור אצל רופא יצמיד את האצבע לקורא טביעות אצבע : זה, מנגד, יקבל גישה מיידית לתיק של אותו אדם, לכל נתוניו הרפואיים ולכל בעיה רפואית שהיתה לו, כמו גם לנתונים אודות מגוריו.

0.2
אם זה לא נשמע מפחיד, אז תזכרו שבאמצעים הכי פשוטים ניתן להפוך טביעות אצבע שהשארתם על מכשירים לאמצעי זיהוי ושהאמינות של אותם אמצעים מוטלת בספק.

0.3
כלומר, כל פקידת קבלה בקופת חולים מכבי, עם הידע הטכני המספק, תוכל לקחת את טביעת האצבע שהשאיר בן הזוג שלה מהדייט אתמול על כוס הבירה שלו ולבוא לעבודה כדי לקרוא את התיק הרפואי שלו. היא תוכל לבדוק מה ההיסטוריה הרפואית במשפחה והיא תוכל לבדוק גם אם יש לו בעיות רפואיות ספציפיות.

1.
אבל זה עוד כלום, אם רכישת תרופות באינטרנט נדמתה כסכנה, דמיינו מה יקרה כשארגוני פשיעה שמעוניינים להשיג מרשמים לסמים יזהו את הפוטנציאל העסקי כאן ויתחילו להנפיק טביעות אצבע מזויפות: גם ויאגרה במחיר מוזל וגם אפשרות לרמות את קופות החולים. תענוג של ממש.

1.1
וזה עוד לפני שמדברים על האפשרות שחוקרים פרטיים ישחדו פקידות זוטרות בקופת חולים כדי להתחבר למסוף שלהם. הם יוכלו להיות בלשים דמיקולו ולאסוף טביעות אצבע כדי להצליב אותן עם המאגר; והנה, כל הפחד מתעודות זהות ביומטריות נעלם כאשר יש את המידע הזה אצל גופים פרטיים.

1.2
עידו גנדל מנענע חולק על דעתי ותומך במאגר ביומטרי. לדבריו "כיוון שהמערכת מיועדת לשימוש רשויות אכיפת החוק ולא לעיון הציבור, כל עוד לא בוצע פשע, אין שום סיבה שהמעשים הסודיים הללו יגיעו לידיעת מי שאינו צריך לדעת." תוך שהוא באמת מתייחס לבעיות אך טוען שהבעיה האמיתית היא חוסר האמון של בני האדם בממסד (מומלץ לקרוא את כל הטור, אגב). גנדל צודק, יש בעיית אמון בממסד, אבל גם אין צורך במאגר מידע ביומטרי כדי לנהל את המדינה. מאגר ביומטרי הוא רק הצתה של מירוץ חימוש חכם יותר שיביא לכך שהפושעים ישתמשו באמצעים חכמים יותר (מי אמר כפפות גומי?) וידאגו לשחד יותר שוטרים כדי לסרוק את המאגר. זה עוד לפני שנדבר על כך שיש סיכוי לא רע שהם בכלל לא יחזיקו בתעודות זהות.

1.3
כדאי גם לקרוא את הכתבה הארוכה של נדב זאבי על קריסת הפרטיות בישראל כמגמה. למרות אורך הטור, שלא מחדש יותר מדי, חשוב להגיע לשני הסיפורים בסוף, הראשון הוא של העברת מידע רגיש על אדם ממשרד הבטחון במסגרת מכרז והשני הוא על כך שמגדל היהלום ברמת גן דורש ממבקרי המגדל להזדהות באמצעים ביומטריים.

1.4
למאגרים ביומטריים יש צדדים חיוביים, כמו היכולת לנהל חשבון בנק ללא כל תעודת זהות או זיהוי ממשלתי אחר, גם מול ציבורים שאינם יודעים קרוא וכתוב. אבל גם שם יש צורך לנהל משנה זהירות: טביעות אצבע קלות לזיוף והאפשרות לגניבת זהות קלה מתמיד.

2.
הסיפור הבא הוא דווקא אישי. ביום שני ישבתי עם תלמידי האזרחות שלי במסגרת ההתנדבות שלי ולימדתי אותם על בעיית הריבונות ובעיית הציות לחוק. שני נושאים שאני מנסה לקדם גם כאן בבלוג (היכולת להפר את החוק והעובדה שלמדינה אין באמת יכולת לשלוט על האזרחים). ואז אחד התלמידים שאל אותי מדוע אפשר בכלל לעבור על החוק?, כלומר מדוע מייצרים מכונית שיכולה לעבור על המהירות המותרת. התחלתי להסביר כיצד הבעיה עם הציות לחוק היא שבעצם אין דברים שאסור להגיד, אלא רק ענישה על ביטויים. הסברתי שהפיקוח של רשויות השלטון פוגע בחופש של האזרחים ושכזה פיקוח צריך להיות מינימאלי. אחד התלמידים שאל "כמו באח הגדול?" ואמרתי "כן!" תוך שאני חושב, משום מה, הוא מתכוון לספרו של ג'ורג' אורוול, 1984, ולא לסדרה. ואז שאלתי אותו: "קראת את הספר?" והוא הבהיר לי שמדובר בתכנית הטלוויזיה. מכאן, התחיל דיון ארוך על מדוע קוראים לתכנית כך בימינו.

3.
הזמנים משתנים, הבעיות לא.

בשנת 2005 הסכימה כנסת ישראל להצעת חוק נוראית: הצעת חוק סדר הדין הפלילי (סמכויות אכיפה-חיפוש אמצעי זיהוי ומאגר נתוני זיהוי) . מטרת הצעת החוק היתה להקים מאגר נתונים ביומטרי של חשודים בעבירות חמורות (ואלו שהורשעו) על מנת שהמשטרה תוכל להשתמש במאגר לגילו עבירות. האגודה לזכויות האזרח התנגדה להצעת החוק, בטענה שמאגר המידע עשוי לפגוע בפרטיות: "הצעה זו עומדת בניגוד מוחלט לעקרון חזקת החפות ונסמכת על ההנחה הפסולה, שניתן להתייחס אל חשודים ונאשמים כאל עבריינים. בהקשר זה יובהר, כי כאשר נטילת דגימה או אמצעי זיהוי נדרשת כחלק מהליך החקירה, מוסמכת המשטרה לנטלה בהתאם לדיני החיפוש הרגילים".

לא עברו שלוש שנים ומשרד הפנים בא לתקן אפליה פסולה זו, בכדי למנוע את אפליית החשודים והנאשמים מעוניין משרד הפנים בדגימות הביומטריות של כולכם. [תזכיר החוק, כתבה בYnet] כן, תזכיר החוק שמעוניין ליישם תעודות זהות חכמות מעוניין להיות מאגר מידע לחיפוש אחרי חשודים בעבירות (ראו גם את דעתו של עומר טנא). המשך כרסומן של זכויות האדם בישראל רק מדגים שמה שעושים בתחילה לפושעים, עובר גם לחשודים ולבסוף מגיע לכולנו [התכנית לתעודות זהות ביומטריות החלה ב2005, יחד עם חוק החיפוש הביומטרי]: הממשל מנסה "פיילוט" על אסירים (כמו שנערך עם דגימות הDNA) ולמרות זאת, מחדל בן שמונה שנים מונע מכולנו "תעודות זהות חכמות שקשות לזיוף" [משהו על המחיר של אותן תעודות, ויש דרכים יותר טובות לאמת זהות של אדם].

המדרון החלקלק של פרטיות האזרח ברור כאן: תיאורטית יכול שר המשפטים, באישור ועדת חוקה, חוק ומשפט של הכנסת לקבוע כי בנקים ורשויות אחרות לצורך חוק נתוני אשראי יהיו רשאיות לעשות שימוש במידע כדי לאמת את זהות החותמים לפי סעיף 23 לחוק הגנת הפרטיות שכן סעיף 6(ב) להצעת החוק מאפשרת העברת מידע לגוף שהוגדר כגוף ציבורי. מכאן ועד לדליפה של המידע החוצה הדרך קצרה מאוד, הרי בישראל מידע דולף מהר מאוד.

מצד שני, יש תהיה רבה מדוע יש צורך בביקורת חסויה (לפי סעיף 4 להצעת החוק) וכן בכך שסעיף 11 קובע שכללי המאגר ונהליו יהיו חסויים לגמרי (לצד איסור פלילי על פרסומם) מוביל למסקנה כי יעשה שימוש בלתי ראוי בנתונים, שהרי אם החוק היה מיושם בדרך טובה, בדרך שמגנה על האזרח, לא היה צורך בחסיון.