פוסט זה נכתב כתשובה לקריאה הציבורית של המשרד לשיתוף הציבור של השר מיכאל איתן ליתן הערות בדבר Google Street View ופורסם גם כתגובה באתר האינטרנט.
0. רקע, על אודות Google Street View (להן: גס"ו).
אתר שיתוף הציבור של השר מיכאל איתן ביקש את התייחסות הציבור לנושא התחלת השימוש בשירות גס"ו בישראל; בקצרה, שירות גס"ו הוא שירות המורכב משני חלקים: החלק הראשון הוא רכיב הצילום; רכביה של חברת גוגל מצלמים את הרחובות בתמונה רב-מימדית ומעבירים את המידע לשרתיה של החברה. בעבר, אף, החברה אספה מידע נוסף שאינו רק צילומי, וכלל גם נתוני רשתות אלחוטיות, פרטי חשבונות התחברות ושמות של נקודות גישה; השמירה הזו, ככל הנראה, אפשרה לשירותים דומת סקיהוק להתקיים ומיפתה את המיקום הגיאוגרפי המדויק של עשרות נקודות גלישה. אלא, שלאחר ביקורת ציבורית רבה, הפסיקה גוגל את איסוף המידע הזה ונותרה אך ורק עם המידע הויזואלי. חלקו השני של השירות הוא מנוע חיפוש שמאפשר צפיה בתמונה תלת-מימדית של הרחוב וניווט בו כאילו היה הצופה חלק מהרחוב. חלק זה מציג בפני הגולש מידע רב, שכבות של סוגי מידע שונים ואפילו יכול לאפשר פרויקטים נוספים.
כנקודת מוצא יש להניח ששירות כמו גס"ו הוא שירות יעיל ומבורך כיוון שהוא מאפשר הנגשה של מידע רב לציבור ושימוש חופשי בו. האפשרות הניתנת לאדם לצפות בקרן הרחוב אליה הוא מעוניין להגיע נותנת לו גם את היכולת לנווט בצורה מושכלת ואף מאפשרת לאנשים שידם אינה משגת לראות אתרים זרים להגיע אליהם ולצפות.
1. איסוף מידע על ידי גס"ו:
ככל שירות מקוון, גם גס"ו שומרת מידע פרטי. על סמך מדיניות הפרטיות של שירות גס"ו ניתן להבין כי גוגל אוספת מידע ויזואלי בלבד ולא מאנדקסת (בצורה אוטומאטית) אובייקטים [לפחות בצורה הזמינה לציבור]. כמו כן, גוגל טוענת כי היא מטשטשת אוטומאטית פנים אנושיות ולוחיות רישוי. אלא, כפי שלמדנו טשטוש תמונה הוא מהלך הפיך טכנולוגי לעיתים וניתן לקבל תוצאה די מקורבת על ידי שימוש בכלים טכנולוגיים זולים.
1.1 סוגי המידע.
נקודת המוצא היא שגס"ו שומר מידע פרטי ומזהה אישית, במיוחד לאור טכנולוגיות שמאפשרות זיהוי ביומטרי (או זיהוי פנים) שנמצאות כבר אצל חברות כמו גוגל. כך, ניתן להסיק שגוגל שומרת מידע ציבורי על אודות מראה הרחובות, סידורם ומיקומם של עסקים ברחוב זה; אף אחד מסוגי מידע זה לא אמור להיות מידע פרטי כיוון שכל אלה מוצגים לציבור בצורה פומבית ובשל כך יש להניח שהציבור נתן את הסכמתו לשמירת המידע (השווה, לעניין זה רע"א 6902/02 צדיק נ' ליבק, א 6023/07 אפריאט נ' ידיעות אחרונות ו08-3030 Maynard v. United States). כלומר, גס"ו שומרת הן מידע אישי והן אישי שאינו אישי אך ניתן לזיהוי. המידע ניתן לחיפוש ולאחזור אך לא בצורה מדויקת להפליא.
1.2 הסכמת בעלי המידע לאיסוף.
האם בעלי המידע נתנו את הסכמתם לאיסוף מידע? הנחת המוצא היא שאדם הנמצא ברחוב נותן הסכמה מכללא לצילומו. סעיף 2 לחוק הגנת הפרטיות קובע כי פגיעה בפרטיות היא "פרסום תצלומו של אדם ברבים בנסיבות שבהן עלול הפרסום להשפילו או לבזותו"; ומתוך איסור זה ברור שפרסום תצלומו של אדם ברבים בנסיבות בהן הצילום לא משפיל או מבזה מותר. כך פסקו גם בתי משפט במספר מקרים, וזאת כל עוד הצילום היה במקום בו אדם היה מודע לצילום (ע"א 1055/09 ליאת שרצר בר נ' רבקה סמיירה, תא (חי') 39332-09-10 מירה אלגרסי נ' קרים ערטול). במקרה ערטול פסק בית המשפט כי "אם המשיב מצלם את משטח החניה כמעקב אחר רכבו ונקלטות בו תמונות של באי הבתים – אין בכך כדי פגיעה בפרטיות – כל זמן שהמצלמה לא פועלת לתיעוד ספציפי של מי מהבאים אלא הם נקלטים באקראי".
1.3 על אודות הזכות לפרטיות במרחב הציבורי.
בתי המשפט בחול (עניין Maynard) הבדילו בין מקרה בו הטכנולוגיה קולטת את צילומו של אדם בצורה אגבית (אינצידנטלית) לבין מצב בו הצילום נעשה לצורך התחקות אחר אדם ספציפי. כאשר מדובר באדם ספציפי, קיבל בית המשפט את הטענה כי הכמות עושה לאיכות וקבע כי התחקות אחר אדם במרחב הציבורי פוגעת בזכותו החוקתית לפרטיות. במקרה אחר בו גוגל נתבעה על גס"ו על ידי בני הזוג בורינג על חדירה לפרטיותם פסק בית המשפט כי שירות גס"ו אינו מפר את זכויותיהם של הזוג בורינג וכי אינו משיג גבול לתוך ביתם (09-2350 Aaron c. Boring v. Google Inc.). בעניין בורינג בית המשפט הסביר כי "דפיקה על דלתו של אדם היא דוגמא להתנהגות שלא תהיה פוגענית במיוחד לאדם בנסיבות רגילות [ולכן לא תהווה עילה לפגיעה בפרטיותו – י.ק] … הטענה של משפחת בורינג לחדירה לפרטיותם עומדת על טענות פחות פולשניות מדפיקה בדלת".
1.4 על הבעייתיות של הזכות לפרטיות של חפצים גם כן.
אלא, שהפסיקה בנושא משפחת בורינג עשויה להיות בעייתית בישראל, בישראל לאחרונה נפסק כי גם הצגת ביתו של אדם בצורה בה ניתן לזהותו כביתו של אותו האדם עשויה להיות הפרה של פרטיותו (א 1229-09 ורדי נ' גוטסמן). באותו המקרה, פסקה כב' השופטת ענת ברון כי הצגת הדמיה של ביתו של אדם פוגעת בפרטיותו גם אם מדובר בבית נטול בני אדם (טענה שנדחתה בעניין בורינג). פסיקה זו עשויה להעמיד את גס"ו בעין בעייתית במיוחד לאור מדיניות של חלק מהרשויות המקומיות (ובמיוחד עיריית תל-אביב) נכסו לעצמן את המרחב הציבורי וגובות עבור הצילום בו.
2. הצגת מידע על ידי גס"ו.
הצגת מידע שנאסף על ידי גס"ו עשוי להיות בעייתי במיוחד כאשר מדובר במידע שעשוי להיות פוגעני, בין אם על ידי פרסום פרטים אישיים, פרטים על נוכחותו של אדם במקום מסוים או פרטים שעשויים לשייך מעשה מסוים לאדם מסוים ובכך לפגוע בפרטיותו. לדוגמא, עורך דין אמריקאי בשם קווין בנקסטון נתפס על ידי מצלמות גס"ו כאשר הוא מעשן סיגריה; באותה העת, אשתו לא ידעה על כך ולמרות שלבנקסטון היתה צפיה סבירה לפרטיות בעת שהוא הולך ברחוב, גס"ו פגעה, שלא ביודעין בצפיה זו. לכן, השאלה היא כיצד מתמודדים עם החששות הקיימים מגס"ו. כאן, שאלת הצגת המידע הופכת להיות רלוונטית.
הפתרונות המוצגים כאן, ברמה הטכנולוגית, יכולים לסייע להבין כיצד ניתן ליישם את שירות גס"ו בישראל מבלי לפגוע בפרטיות האזרחים.
3. פתרונות אפשריים.
3.1 הסדרים טכנולוגיים: מנגנוני טשטוש פנים ומחיקת מידע אישי.
כיום גס"ו מיישמת כבר פתרון של טשטוש פנים ולוחיות זיהוי, אלא שפתרון מסוג זה אינו טוב מספיק מהסיבות שפורטו לעיל וכן אינו מושלם. לעומת זאת, ניתן יחסית בנקל לייצר תמונות שמופשטות מדמויות אנושיות על ידי מעבר כפול בכל רחוב והפשטה של ההבדלים. בצורה כזו, נוכחות האנשים ברחוב תועלם וחלק ניכר מהפגיעה ימוזער. כעת, נותרת השאלה האם גס"ו מציגה רק את חזיתות הבתים או גם את האפשרות לצפות בהם. מומלץ, על מנת להמנע מחדירה לביתו של אדם, ליישם מנגנונים המזהים חלונות שקופים באיזורי מגורים ולאחר זיהויים לטשטשם (בגבולות הסביר) או להעלים אלמנטים כך שלא יהיה ניתן לראות מה נמצא בתוך ביתו של אדם.
3.2 הסדרים טכנולוגיים: אזהרה.
חלופה טכנולוגית נוספת היא אזהרת הציבור מפני הצילום על ידי סימון הרכבים ומתן התראה מוקדמת לבאי הרחוב כך שמי שאינו מעוניין להופיע בצילומים יוכל להתרחק. לחלופין, גס"ו תוכל לשכור את הרחובות ולסגור אותן למספר שעות על מנת לבצע את הצילומים, ובכך גם להעשיר את הקופה הציבורית מעט.
3.3 הסדרים משפטיים: הודעה והסרה.
החלופה השניה היא מתן אפשרות לכל אדם להסיר את פרטיו מצילום; חלופה זו כבר קיימת בשירות גס"ו אך יש לשקול את הדרך בה אדם יוכל להודיע מראש או לאתר כל תמונה שהוא מופיע בה, בין היתר על ידי אותן טכנולוגיות זיהוי פנים עליהן דיברנו קודם. מעבר לכך, האפשרות הטכנולגית לחסום את המצלמה על ידי אלמנט מזהה (נניח, קוד QR) . הפתרון הוא אלגנטי יחסית: גוגל מודיעה מראש כי ביום X היא תצלם את איזור Y; היא מציעה לכל אדם שאינו מעוניין להופיע בתמונות שי צנוע: חולצה עם קוד QR (ברקוד תלת-מימדי) שכאשר המצלמה תצלם, היא תדע לא לתייג. החולצות יחולקו בחינם וישארו אצל מי שהזמין כדי לפצות על אי הנוחות [הסדר חלופי, של Opt-In גם יכול להשקל].
4. מסקנות והמלצות.
שירות גס"ו הוא אחד השירותים החשובים שיש, הוא מסייע ומקדם את רווחת הציבור ויכול לעזור לא מעט להקטנת פערים חברתיים, ללמידה, לעסקים ועוד. אלא, שיש בו סוגיות משמעותיות של פרטיות אגבית הנפגעת וסוגיות של יצירת מאגר מידע שניתן לחפש בו. לכן, כדי להמנע מכל אלה, יש צורך להסדיר את מאגר המידע (כמו כל מאגר מידע אחר, אגב) בצורה שתמנע את הפגיעה באזרחים, בין היתר על ידי קיומם של הכללים הקיימים בחוק הגנת הפרטיות: יידוע של הפרט על השימושים שנעשים במידע עליו, מתן אפשרות להסרה ומתן אפשרות לעיון במידע. לאחר קיום כללים אלה, ניתן יהיה להשתמש בשירות זה מבלי לפגוע בפרטיות האזרחים.
Excellent post!
But I don´t think you have proven that a blurred face is reconstructable.
Your links show that blurred text in a predetermined format can be reconstructed by testing all the options – true. The 2ns link shows that a face blurred using a ´´twirl´´ filter is reconstructable because the filter is reversible – true. But whaen you blur a face no one can go over all the possible faces a find the one that matches the blurred face, and blurring is non reversible.
Unless someone has a ling to prove otherwise,..
This actually does not apply for license plates.
שני תיקונים קלים:
קוד QR הוא בר-קוד דו-מימדי ולא תלת-מימדי.
בסוף פסקה צריך להיות "ומידע שאינו אישי אך" ולא ככתוב.
דניאל,
דמיין שמחר יקום המאגר הביומטרי, האם ניתן יהיה להשוות לתמונות בו? ככל הנראה כן.
שוב, גם אם הטכנולוגיה אינה מעשית במאה אחוזים, יש הרבה סממנים מזהים על גופו של אדם שאינם פניו, החל מבגדים אופייניים, תיק שרק הוא הולך איתו, סגנון לבוש ונעליים, שכולם מאפשרים לזהותו.
הבעיה היא הרבה יותר גדולה. המערכת כפי שהיא מאפשרת לבלוש אחרי אנשים (ועיקר הפחד הוא נשים), לפרוץ לבתים, לתקוף וכו'. אני הצלחתי להסתכל דרך שמשה לתוך דירה של אדם פרטי בקומה השניה(!) באיזה רחוב בברצלונה כשרציתי לבדוק אם לבחורה כמוני שגרה לבד בקומה שניה בדירה עם ויטרינות גדולות יש מה להיות מוטרדת. ועוד איך.
קטע מאוד מעניין ומעורר שאלות רבות
אבל אני חולק על נושא ההסכמה בדגש על:
"הנחת המוצא היא שאדם הנמצא ברחוב נותן הסכמה מכללא לצילומו"
חשוב לציין כי לאחר תיקון 9 לחוק הגנת הפרטיות מיום 26.6.2007, תוקן סעיף 3 לחוק הגנת הפרטיות, בעמ' 232. המציין, כי ההסכמה נדרשת להיות "מדעת".
בהקשר לטיב ההסכמה, קיימות שלוש סיטואציות אפשריות: הראשונה, ביצוע שימוש בגס"ו ללא ידיעתו של האדם. השנייה, ביצוע שימוש בשירותי גס"ו ללא הסכמתו של אדם אולם השימוש בשירות היה בידיעתו. השלישית, שימוש בשירותי בהסכמת האדם ובידיעתו. רק באפשרות השלישית מדובר בהסכמה לפי חוק הגנת הפרטיות.
ביחס להסכמה מכללא יש להבחין בין פעולה אקטיבית מפורשת כגון "שיחה עם עיתונאי", לבין פעולה משתמעת הנובעת מהעדר התנגדות ומחאה. ראה למשל,
אלי הלם דיני הגנת הפרטיות (2003), בעמ' 58:
"לא יהיה נכון להפעיל כלפי מי שפרטיותו נפגעה, והוא אינו מוחה על כך, קונסטרוקציות משפטיות של השתק ומניעות. ייתכנו מצבים שבהם תיפגע פרטיותו של אדם אך הוא לא יזהה את העוולה או את הסעד". המקרים בהם הספיקה הכירה בהסכמה מכללא הינם מקרים חריגים בהם ניתן ללמוד בצורה מפורשת על טיב ההסכמה. כגון צעידה במצעד הגאווה (ראה עניין שגב, פס' 41) או נסיבות בהם היה מדובר בידוען (עניין אלוניאל, פס' 33).
מכאן הנחת העבודה לפיה אדם שהולך ברחוב הסכים לצילמו. אינה נכונה ככלל אלא תלויה נסיבות.
רונה,
לכן ההצעה לטשטש שמשות. מה גם שאני ממליץ תמיד שיהיו וילונות על החלון.
שחר,
אני בספק אם למרות התיקון שדורש הסכמה מדעת אין מקום להגדיר המצאותו של אדם ברחוב כמצב בו אינו מודע לכך שאחרים יכולים לצלמו. לצורך כך אני אפנה שוב לפסק הדין שרצר (א 47047/07 שרצר-בר נ' סמירה, לא לערעור), בו בית המשפט פסק כי "אין מדובר בהסתננות של צלם או בהשגת תמונות שצולמו באירוע פרטי בעורמה. לאור מכלול הנסיבות והעובדות ניתן להגיע למסקנה ולפיה, במקרה דנן, הצילום נעשה ברבים כמשמעותו בסעיף 2 (4) לחוק. התובעת לא צולמה ברבים בנסיבות שבהן עלול הפרסום להשפילה או לבזותה (סעיף 2 (4) לחוק)".
לדעתי די בכך כדי להבין כי הלאו אומר הן.
ואם החלונות פתוחים? ואם אנשים לא רוצים לחיות בכלוב? לו הייתי רוצה הייתי גרה בקופסאת נעליים ללא חלונות, זה גם היה עולה לי פחות. זו סכנה אמיתית ולא עוד פגיעה בפרטיות וגם אין טעם לבחון את זה לפי אמות מידה כאלה. מי שרוצה לרגל אחרי יכול, מי שרוצה לדעת מתי אני נמצאת בבית ומתי לא ואיפה אני קונה את האוכל שלי יכול גם כן, אבל שייצטרך להתאמץ קצת ושלא סתם ייתקל במידע הזה בטעות באינטרנט. לא צריך לספק לפושעים עוד כלים. אני מסכימה שפייסבוק יצברו עלי מידע מסוים אבל בחרתי להיות משתמשת, פה אני לא בוחרת בשום דבר, אני לא משתמשת שנהנית מהפירות של הכלי הזה. אגב, גוגל היום יודעלמפות רשתות ווייפיי לפי כתובות בישראל ולכן יודע להגיד בדיוק איפה נמצא כל משתמש שמחובר לרשת בוייפיי.
תודה על הפוסט.
עוד נתון שחשוב להבין – האם ישמרו במאגרים גם תמונות כפי שהיו לפני הטשטוש?
אני די משוכנע שישארו במאגרים תמונות.
שלום,
אני דווקא לא רואה בעייתיות גדולה מידי בנושא הפרטיות, מה שלי מפריע זו העוצמה האדירה שחברה פרטית אחת אוספת, גוגל היא כיום המונופול הגדול ביותר וזו סכנה.
לא סתם ממשלות נאבקות בגוף העצום הזה, צריך להיות מאוד זהירים במידה ומאשרים דבר שכזה לגוף פרטי.
למיטב ידיעתי המדינה גם לא תקבל תמלוגים מההון שיעשה בזכות שמידע הזה, זה מעיד גם על סוג של שליטה שאינה בריאה ויש בה טעם לפגם.
אין ספק שזה שירות מפתה וכוחו של השירות הזה ויתרונותיו ברורים, יחד עם זאת עלינו להיות ערים למונופול הוגוגליאני ולתוצאותיו שעשויות להיות הרסניות בעיקר למגזר העסקי, תוצאות שכבר מתחילים לחוש בהם.
http://it.themarker.com/tmit/article/12770
שהשלמו קודם
אמרת שיהיה אפשר לכתוב אלגוריתם שיזהה בני אדם שנכנסו לפריים באמצעות צילום כפול של הרחוב והשוואה של ההבדלים. יהיה נורא קשה למכוניות לחזור על אותו מסלול במדויק ולכן יהיה קשה להשוות בין תמונה א' לתמונה ב'. הפיתרון היחיד זה אלגוריתם שמזהה פנים ולוחיות רישוי ומטשטש אותם אבל גם בזה יש בעייה כי בשביל זיהוי איכותי צריך רזולוציה גבוהה ולא נראה לי שהצילום של גוגל עובד עם רזולוציה גבוהה (מה גם שזה ידרוש נפח אחסון מטורף כי זה יהיה משהו כמו 2MP * 30 FPS כשאורך זמן הצילום המקורי הוא גדול מאוד)
לדעתי, הייתרונות של GSV עולים על החסרונות באלפי מונים. הצילומים האלה עוזרים מאד כשמנסים להגיע למקום חדש, למצוא חנות או רחוב בלתי מוכרים וכדומה. יש בהם ערך תיירותי גבוה – אני נוסע המון ובמקום שיש SGV הרבה יותר קל לי להתמצא ואני מרגיש יותר בטוח.
מנגד שיקולי הפרטיות נפתרו ברובם על ידי גוגל. אתייחס לכמה נקודות:
1. מנגנון ההסרה עובד מצויין.
2. אתה טוען יהונתן שאלגוריתם הטשטוש בעייתי אבל לא הבאת לכך שום ראיה חוץ מאשר הקישור לאתר של שנייר שבו מתואר טשטוש מסוג אחר לחלוטין שהוא אכן הפיך. אתן לך $1000 מכספי אם תוכל לשחזר פנים של אדם שפניו טושטשו. גם לוחיות זיהוי מטושטשות. לצערי, גם מספרי בתים לרוב מטושטשים מכיוון שהאלגוריתם של גוגל עובד טוב מדי…
3. צילום לתוך דירות: דחילאק. אני ממליץ לכל אחד ואחת כאן במקום להתלהם – ללכת ולראות תמונות אמיתיות של GSV ולבחון האם באמת אפשר להשתמש בהם על מנת לצפות בחמוקיה של רונה. מי שחושף דברים בביתו שיכולים לפגוע בו כאשר הם נצפים מגובה הרחוב – מעבר לכך שהוא חושף את עצמו לסיכונים יותר משמעותיים מ-GSV – יכול להשתמש במנגנון ההסרה. רונה, שימי וילון.
4. הטענה המגוכחת שניתן לדעת מתי היא בבית ומה היא אוכלת מצוצה מהאצבע. הם לא מתקינים מצלמות מעקב, הם מצלמים פעם בכמה שנים.
5. כמו כן הטענה המגוכחת לגבי שימוש ב-Wifi. נכון שגוגל יודעים היכן נמצאות נקודות הגישה לרשתות, אבל כשאת מחוברת לרשת דרך Wifi המחשב שלך לא שולח לאינטרנט את שם הרשת בה את מחוברת. רק את כתובת ה-IP, וזהו הזיהוי היחידי.
לגבי הטענה שהמידע מרוכז אצל חברה אחת – זו טענה הוגנת. מצד שני אותה חברה השקיעה משאבים רבים באיסוף המידע הזה, וכל עוד אינו פרטי – זה נותן הזדמנות שווה לחברות אחרות לעשות בדיוק אותו דבר.
אהבתי את הרעיון של QR CODE. זול ופרקטי.
— אריק
הדרך להיות המונופול הגדול בעולם עוברת דרך אנדרואיד: http://bit.ly/i60vCm