לחוקק מאגרי מידע: האם החוק הביומטרי באמת נחוץ?

0. אבסטרקט
[ביום רביעי הקרוב אני ארצה כחלק מקבוצת המחקר של LiSS בכנס באוניברסיטת חיפה. זו ההרצאה שלי]. מאז 2003 ועד היום, ממשלת ישראל עבדה קשות על מנת לחוקק את חוק המאגר הביומטרי והצוים והתקנות לפיו. אולם, המאגר הביומטרי שיוקם הוא לא המאגר הביומטרי היחיד בישראל ולא יהיה המאגר היחיד שלרשויות שלטוניות יש גישה אליו. בהרצאתי הקצרה, אני אציג גישה שונה, ואשאל האם חוק המאגר באמת היה נחוץ ומה הסיבה לבחירה באקט תחיקתי כאשר הקימו את המאגר. בעת שאעשה כן, אבחן האם החוק דרוש כיוון שהאמנה החברתית נשברה או כיוון שזה היה אקט מגלומני מתוך רצון לעצור כל גישה אלטרנטיבית למאגר.

1. חוקי מאגרי מידע, פרטיות.
ראשית, אנחנו צריכים להבין כיצד מאגרי מידע ממשלתיים עובדים. נסתכל על חוק הגנת הפרטיות ונבין שזה חל גם על הסקטור הציבורי ולא רק על הפרטי; מעבר לכך, סעיף 23ד לחוק מאפשר לכל אדם את הזכות לדעת, בעת שהוא מוסר מידע לרשויות, מה השימושים שיעשו עם המידע וסעיף 23ג מאפשר לרשויות שלטוניות את העברת המידע בין רשות אחת לאחרת בעת שהדבר נחוץ על פי חוק או לצורך מילוי פעילותו של אותו הגוף. לבינתיים, אם זה היה רצון המחוקק, היה הוא יכול להקים מאגר מידע ולהפעיל אותו בהתאם לחוק הגנת הפרטיות, אך הוא לא היה יכול לחייב את האזרחים לתת את פרטיהם הביומטריים.

אז מה כן היה יכול המחוקק לעשות? הוא היה יכול לשנות את חוק מרשם האוכלוסין. חוק מרשם האוכלוסין הוא חוק שמסדיר את ניהול המרשם הישראלי (שכמו שראינו כבר,הודלף בעבר לאינטרנט); סעיף 2 לחוק הוא סעיף טכני לחלוטין, שכותב מהם השדות במסד הנתונים שירשמו, ואותם יש חובה לספק. במצב כזה, תיקון של החוק שיוסיף את סעיף "טביעת האצבע" היה יכול לטפל בבעיה, ללא כל תיקון חקיקה נוראי וארוך.

אולם, המחוקק הישראלי החליט להעביר חוק בן 30 עמודים, שמתאר לפרטי-פרטים את השימושים במידע. בכדי להבין מדוע, הבה נצייר כיצד מאגרים אחרים עובדים.

2. מאגרים ממשלתיים וחקיקה.
ראשית הבה נראה מהם המאגרים שחוקקו ומה לא; מאיר שטרית, יזם המאגר הביומטרי אמר בזמנו שבישראל יש מספיק מאגרים ביומטריים“. אולם, אם נבחן את הטענה שלו נמצא פרספקטיבה אחרת, כזו שאומרת מי נדרש ומתי נדרש אדם לספק את המידע הפרטי שלו בצורה רצונית למאגר המידע.

מהם בעצם המאגרים שהוסדרו בחקיקה? ראשית, יש לנו את חוק איסור הלבנת הון שהקים מאגר רגיש במיוחד, לאחריו יש את חוק מרשם האוכלוסין שלא הקים מאגר, אבל הרשה את איסוף המידע, מאגר הDNA המשטרתי (חוק סדר הדין הפלילי (סמכויות אכיפה – חיפוש בגוף החשוד)), והמרשם הפלילי (חוק המרשם הפלילי ותקנות השבים).

מנגד, יש לא מעט מאגרי מידע שמכילים מידע רגיש ואישי כמו המאגרים הסטטוטוריים, לרבות מאגר העובדים הזרים, מאגר בעלי רשיונות הנהיגה שלטענת משרד התחבורה, למרות שמכיל מידע ביומטרי אינו מאגר ביומטרי, ומעבר לכך, משרד התחבורה מעביר את המידע הזה למשרד הפנים), יש גם את מאגר המובטלים של לשכת התעסוקה, שמכיל מידע על טביעות אצבע ולסיום יש את מאגר המידע של משרד התחבורה בנוגע לשימוש בכרטיסי רב-קו והאזרחים המחזיקים אותם.

3. אז מדוע מחוקקים מאגרי מידע?
אנו יכולים לראות שלמרות שמספר מאגרים חוקקו בגלל הטבע הרגיש שלהם (נניח, הלבנת הון), אין הבדל מהותי בין רגישות המידע במאגרים מחוקקים ללא-מחוקקים; אין הבדל משמעותי בין המידע הפיננסי (הלבנת הון) לבין פרטים ביומטריים של עובד זר. אנחנו יכולים גם לומר שהחקיקה לא הגיעה בגלל הטבע הלא-וולונטרי של המידע; לאדם אין את הבחירה החופשית להיות מובטל או לא לנסוע הן ברכב והן בתחבורה ציבורית. אף אחד מהמאגרים הלא-מחוקקים אינו בהכרח וולונטרי, הם פשוט פונים לצרכים ספציפיים שמעמידים את האדם ה"מסכים" בפינה קשה ודורשים מהם לתת את הפרטים האישיים שלהם מעמדת נחיתות: האדם הוא מובטל, או שהוא מחפש עבודה בישראל, או שהוא רוצה לנסוע בישראל ברכב או באוטובוס. כל אלה הן פעולות בסיסיות שאדם לא יכול להסתדר בלעדיהן.

4. מדוע חקיקה?
כעת, נצא מהנחה תיאורטית שההקמה של המאגר הביומטרי היתה יכולה להעשות תוך חקיקה קצרה יותר. היתה אפשרות רק לשנות את חוק הדרכונים, מתוך הנחה שלרוב הישראלים יש דרכון, ולהחזיק את המידע הביומטרי ש"דרוש" לצורך הוצאת הדרכון; הממשל היה יכול גם ללכת באותה בדרך שמשרד התחבורה הלך, ולדרוש את מתן טביעות האצבע ואחסנתם. אלא, שהבחירה לחוקק את המאגר התקיימה, ומדוע?

הסיפור האמיתי הוא חוק הגנת הפרטיות, אבל לא הדרישה למתן "הסכמה מדעת" לפגיעה בפרטיות או הסעיף שדורש ליידע את האדם על זכויותיו, אלא בגלל סעיף 23ג. הבה נבחן את הסעיף:

ג. מסירת המידע מותרת, על אף האמור בסעיף 23ב, אם לא נאסרה בחיקוק או בעקרונות של אתיקה מקצועית –
(1) בין גופים ציבוריים, אם נתקיים אחד מאלה:
(א) מסירת המידע היא במסגרת הסמכויות או התפקידים של מוסר המידע והיא דרושה למטרת ביצוע חיקוק או למטרה במסגרת הסמכויות או התפקידים של מוסר המידע או מקבלו;
(ב) מסירת המידע היא לגוף ציבורי הרשאי לדרוש אותו מידע על פי דין מכל מקור אחר;
(2) מגוף ציבורי למשרד ממשלתי או למוסד מדינה אחר, או בין משרדים או מוסדות כאמור, אם מסירת המידע דרושה למטרת ביצוע כל חיקוק או למטרה במסגרת הסמכויות או התפקידים של מוסר המידע או מקבלו;
אולם לא יימסר מידע כאמור שניתן בתנאי שלא יימסר לאחר.

וובכן, צריך לקרוא את הסעיף בזהירות, למרות שלכאורה מדובר על היתר גורף למתן המידע. יכול היה לקום מאגר מידע ביומטרי כלל ארצי, אבל במצב כזה למשטרה (ולשאר כוחות הבטחון) לא היתה יכולה להנתן הגישה למידע. מדוע? בהתחשב בכך שסעיפים 23ג(א)(1) ו23ג(א)(2) לא מאשרים את זה. החוק אומר במפורשות שלמשטרה תהיה הסמכות לדרוש את המידע במקור. אולם, המשטרה לא רשאית להכריח אדם לתת את פרטיו הביומטריים סתם כך ולהקים מאגרים, ומשרד הפנים לא היה מוסמך בחוק להעביר מידע כזה למשטרה.

כלומר, בניגוד למאגרים אחרים, ניוד המידע והניתוק בינו לבין הסיבה לאיסופו היא מה שהביא לצורך האמיתי בחקיקה.

5. פסילת גורמים אחרים.
כעת, אנו יכולים לתהות האם זו באמת הסיבה; האם יש יד נעלמה שדרשה זו. הסיבה היחידה להסביר חקיקה באורך 30 עמודים היא לבחון את החלופות שעמדו מול הממשלה: הממשלה דחתה את הצעת עדי שמיר, להקים מאגר מידע לא מזהה ואת הבחירה להמנע מלאחסן הן את טביעות האצבע והן את תמונות הפנים שלו (כאשר בבירור נאמר על ידי משרד הפנים שהם אינם זקוקים הן לצילום פנים והן לטביעת אצבע,על ידי יורם אורן שהבהיר שניתן להשיג מאגר אמין גם ללא שתיהן). כלומר, למחוקק עמדו לפחות שתי אלטרנטיבות שלא סתדרו את הגישה למאגר שמונע הרכשה כפולה ולא מכיל מידע כל כך רגיש, אבל הוא בחר לדחות זאת.

פסילת האפשרות של ניהול המאגר ללא חקיקה יכולה להיות חלק מהדיון אחר כך כאשר ידון חוקתיות החוק בבתי המשפט, אבל זה לא העקרון. הבחירה בין חקיקה לבין בניית ארכיטקטורה אחרת מובאת אך ורק כדי לאפשר את המעקב, וזה העקרון.

6. סיכום
אנו יודע שהמחוקק יכל היה לבחור לא לחוקק מאגר (או להקים אותו מבלי לחוקק), ושהוא היה יכול להקים את המאגר מהר יותר, ללא כל פיילון ואף לכפות אותו על האזרחים. אך במצב כזה, המשטרה וגורמי אבטחה אחרים לא היו יכולים לקבל גישה למאגר. לכן, ההסתכלות על החקיקה חייבת להעשות דרך המשקפת הזו: של מטרת החוק והיא הקמת מאגר משטרתי של כל אזרחי ישראל.

[פורסם במקור באנגלית]

10 תגובות ל-“לחוקק מאגרי מידע: האם החוק הביומטרי באמת נחוץ?

  1. גדי,

    ככל הידוע לנו, לפי מה שנאמר בדיונים בועדה, בצה"ל המאגר הוא לא ממוחשב ולכן לא מוגדר כ"מאגר מידע" על פי חוק.

  2. יהונתן,

    מדוע חשוב כל כך לבחון האם היה צורך בחקיקה מחודשת, כזו או אחרת, בהשוואה לזו שכבר היתה קיימת?

    מה שחשוב לאזרחים, זה לבטל את המאגר האסוני הזה…
    הרי אין שום צורך במאגר מרכזי, על מנת ליישם תעודות זהות ביומטריות.
    תעודות זהות ביומטריות הן דבר מבורך ורצוי. מאגר מרכזי – אסון. אין שום קשר הכרחי בין השניים.

    אשמח מאוד לקבל לינק למאמר מקיף ומקצועי, אשר מדגיש את הבעייתיות הרבה שבעצם הקמת המאגר, מבחינת אבטחת מידע ומבחינת שמירה על פרטיות, וזאת ללא קשר לשאלה על איזו חקיקה המאגר נשען.

  3. נראה לי שפספסת את הנקודה המרכזית כאן – העובדה שהחקיקה הזו מצביעה על כוונת שימוש במאגר שאיננה המטרה המקורית המוצהרת שלו (מניעת הרכשה כפולה של תעודות זהות חכמות) אלא משטרתית.

  4. גדי,

    זה שהשימוש המרכזי יהיה משטרתי זה ברור לי, אבל לעניות דעתי המאמר הספציפי הזה לא כיוון לשם מבחינת תוכנו. יתכן שזאת היתה הכוונה, אבל זה לא היה ברור לי מקריאת (רוב) התוכן.

    אגב, בנוגע ל-"מניעת הרכשה כפולה"…מדוע כביכול קיים *הכרח* במאגר ביומטרי מרכזי על מנת למנוע הרכשה כפולה?! הרי ישנם אלפי מאגרים קריטיים בעולם, שמצליחים למנוע רישום כפול, פתיחת חשבונות כפולים על ידי אותו משתמש, וכו'… וזאת ללא אגירת פרטים ביומטריים כלל. הטענה הזאת זה בלוף.

  5. אפשר לטעון שזה בלוף, אבל זו מטרה מוצהרת של המאגר, אפילו רשמית, ומה שדובר עליו בדיוני הועדה שעסקה בנושא. אין גם ממש ספק שמאגר ביומטרי *משפר* את יכולת ההתמודדות עם הרכשה כפולה (אני חייב להודות שאני לא מכיר שיטות שבהן משתמשים בעולם האמיתי כדי למנוע הרכשה כפולה, בוודאי שלא נגד מקצוענים שמנסים לזייף בכוח).

    הנקודה היא שאולי ברור לי ולך שהשימוש המרכזי יהיה משטרתי אבל זו לא הטענה הרשמית, וצריך להילחם בטענה הרשמית עם יותר מסתם אמירות "זה ברור לי".

  6. אפשר להשתמש בשיטות קונבנציונאליות, שמערבות שימוש בסיסמאות, ונתוני זיהוי אישיים אחרים (שאינם ביומטריים), על מנת למנוע רישום כפול ("הרכשה כפולה").
    כפי שמונעים פתיחת חשבונות מרובים על ידי אותו האדם במאגרים אחרים, כך ניתן לעשות גם כאן. איך יודעים שאזרח לא נרשם פעמיים לשירותים ממשלתיים שונים אחרים (נניח ב- gov.il)? איך יודעים שאותו אדם לא פותח יותר מחשבון אחד במס הכנסה ומע"מ? בקופת חולים? עובדה שיש פתרונות, והם לא מערבים שמירת תווי פנים וטביעת אצבע.

    לא תצליח להילחם בטענה הרשמית על ידי רמיזות שלא היה צורך בחקיקה חדשה (כי קיימת כבר אחת שמכסה את המקרה). צריך לפעול לביטול המאגר המוצע כולו. את זה לא אני אומר, אלא פרופ' שמיר ופרופ' ביהם אומרים.

  7. הנקודה היא שהשיטות הקונבנציונליות הן או פחות בטוחות (משמעותית) או פחות יעילות. גם בבניית המאגר הביומטרי עצמו יצטרכו להשתמש בהליך תשאול מקיף (וחודרני) כדי לוודא שמי שנרשם הוא אכן מי שהוא מתיימר להיות; השאלה היא אם אנחנו מוכנים לשלם את המחיר לפיו זה תמיד יהיה מה שיידרש לעבור כל מי שאיבד את תעודת הזהות.

    ושוב, אני חושב שאתה מפספס את העיקר. צריך לפעול לביטול המאגר המוצע כולו, זה נכון ועל זה אף אחד לא מתווכח. אבל הדיון על החקיקה כאן לא בא לומר "שמעו, תראו לאיזו חקיקה מיותרת המאגר גורם". הוא בא לומר "החקיקה הזו מצביעה על כך שמדובר על מאגר משטרתי, לא מאגר שבא לשרת את משרד הפנים". ההבהרה של הנקודה הזו היא קריטית במאבק נגד המאגר, וחשוב מאוד שמישהו בא ונותן נימוק שפוי והגיוני לנכונותה במקום ההתלהמות הסטנדרטית של אנשים שצועקים "האח הגדול, האח הגדול" בלי לבסס את דבריהם ביותר מאשר אסוציאציות.

  8. תושבי הישוב שלי קיבלו הודעה שהוקמה רשת חברתית פנימית. התושבים הנרשמים יכולים למצוא בה כתובות מייל ומספרי טלפונים ניידים של כל התושבים, תאריכי לידה שלהם ולאלו קבוצות הם שייכים. לדוגמה: לקבוצת מקבלי תרופות כרוניות.
    התלוננתי, ושם הקבוצה שונה. משחק חברתי: לנחש מה כל אחד מקבל.

  9. הרצאה תמציתית ונאה.

    אגב, נתחלפה לה "ט" ב-"ן" ב"פיילון" שבסעיף 6… הייתכן שלא במקרה ? (-;

    השאלה שמעניינת אותי היא כמה זמן ייקח, ובאיזו צורה יבוא היום שבו יוסיפו די.אנ.איי למאגר הביומטרי…. כנראה שיידרשו כמה שנים להתקבעות החוק בתודעה, ואז בחוק ההסדרים עוד כמה שנים, בסעיפון קטן שינוסח בצורה עלומה, תתווסף האפשרות…. כשהתשתית מוכנה, המעבר למשחק האמיתי פשוט וקל.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *