אחד הדברים שאני חוזר עליו בחודשים האחרונים בהדרכות והרצאות שאני מעביר הוא העניין שבחירה בטכנולוגיה מסוימת לצרכי זיהוי או הזדהות משפיעה על הזכויות המשפטיות שלכם. מה זאת אומרת? הדרך שבה נועלים את המכשיר הסלולרי שלכם, בין אם זו טביעת האצבע, זיהוי הפנים או ססמא, יכולה להשפיע על השאלה איך אפשר לחפש לכם במכשיר והאם צריך לצו לצורך כך או לא.
מבינים? יש שתי טכנולוגיות שמיישמות את אותה הגנה: נעילה של מכשיר, עם תשתית טכנולוגית שונה, ובעקבות הבחירה בתשתית טכנולוגית יש הבדל מהותי בזכויות של הצדדים. מה זאת אומרת? זה דומה למצב שבו תהיה זכות שונה לפרטיות אם תנעלו את הרכב שלכם עם שלט-רחוק ועם מפתח (או אם תנעלו את הכספת שלכם עם קוד או עם מפתח, אבל זה זהה).
אז בואו נבין משהו על איך מזדהים. הפרקטיקה היא שיש שלוש דרכים להזדהות מול מערכות מחשב אלקטרוניות (ובכלל): מה שאתה יודע, מה שיש לך ומה שאתה. נתחיל מהקל לקשה. "מה שאתה יודע" זו ססמא. כלומר, כל מי שיודע ססמא מסוימת יכול לגשת. לצורך העניין, תחשבו על כספת או חשבון בנק שמזוהים במספר בלבד; כל מי שיודע את המספר יכול לגשת, וזהו. זה מה שצריך. "מה שיש לך" זה מפתח. כלומר, הדלת לבית שלכם. כל מי שיודע איפה הבית נמצא ויש לו מפתח יכול להכנס (בגלל זה לא להחזיק את המפתחות בארנק ליד הכתובת, כי עדיף שהם יאבדו לחוד). אבל מפתח יכול להיות גם כרטיס חכם או התקן פיסי אחר. ו"מה שאתה" זו ביומטריה. כלומר, טביעת האצבע שלך או משהו בסגנון.
כלומר, כל מי שמעצב מערכת יכול לבחור כל אחת משלוש השיטות הללו כדי לזהות את המשתמשים. לצורך העניין, מערכת ההפעלה Android מאפשרת לך להגדיר משהו כמו "כל עוד אני לובש את השעון החכם שלי לא צריך ססמא למכשיר" כי היא מניחה שכל עוד הטלפון על הגוף שלך אתה בטוח. אבל אפשר ליישם גם נעילה באמצעות צילום הפנים או טביעת אצבע; או, כמובן, סיסמא.
למה זה שונה? כי כל דרך שתבחרו משפיעה על זכויות משפטיות שלכם, תאמינו או לא.
מה הפסיקה לגבי חיפוש במכשירים עם קוד? כאן יש עניין משמעותי; הססמא שלך למכשיר היא משהו שאתה, ורק אתה, יודע. כלומר, היא בתוך הראש שלך כמו פריטי מידע אחרים. לכן, כפי שאי אפשר להכריח אותך לנדב לשוטרים מידע (לדוגמא, People v. Spicer, 2019 IL App (3d) 170814 – Ill: Appellate Court, 3rd Dist. 2019); למרות שזה לא מושלם, המקרים שבהם בתי משפט אישור חיפושים כאלה, כמו, State v. Stahl, 206 So. 3d 124 – Fla: Dist. Court of Appeals, 2nd Dist. 2016, היא במקרה בו המשטרה יודעת ספציפית מה אמור להיות מאחורי הססמא, והססמא היא טכנית לגמרי (כמו אם יש להם ראיות ספציפיות).
מה הפסיקה לגבי חיפוש עם טביעת אצבע. להבדיל מקוד או ססמא, על טביעת אצבע יש פסיקה בישראל. בית המשפט אישר למשטרה להפעיל את סמכותה ולקחת בכח טביעת אצבע מחשוד (עותק מהצו כאן). כך גם היה בפסיקה בארצות הברית (לדוגמא State v. Diamond, 890 NW 2d 143 – Minn: Court of Appeals 2017) Matter of Residence in Oakland, California, 354 F. Supp. 3d 1010 – Dist. Court, ND California 2019 בו אכן התקבלה הטענה כי מדובר על פגיעה בפרטיות, ונדחה הצו.
אז מה המשמעות? המשמעות היא ברורה: לשאלה איך אתם נועלים את הטלפון שלכם יש משמעות. האם ניתן לתפוס בכח את האצבע שלכם ולפתוח (בין אם על ידי שוטר או על ידי גנב או פורץ) או האם אפשר להכריח אתכם לגלות ססמא. זה אומר שאם חשובה לכם ההגנה, עדיף לבטל את הפתיחה באמצעות טביעת אצבע.
לא ציינת מה הפסיקה לגבי ״מה שיש לך״ מול שתי האחרות
אפשר לבטל חד פעמית את היכולת לפתוח עם טביעת אצבע באייפון ובאנדרואיד.
האם נושא ההצפנה של המידע עצמו לא עלה?
יש טלפונים ניידים שלא מצפינים את המידע ואז אפשר להתחבר עם חומרה יעודית לדיסק של הטלפון ולקרוא את המידע
פוסט חשוב, נושא חשוב מאוד. טוב אין הרבה פיתוח או שיכלול בנושאים אלו עדיין. כל הסוגיות המשפטיות די טריות. רק צריך לשים לב, מדובר קודם כל , בזכות להימנע מהפללה עצמית. הפללה עצמית דבר אחד, והגנת הפרטיות דבר שני, ולפעמים כרוכים עובדתית זה בזה. וזה הענין. בקייס של ספייסר למשל, עיקר הדיון, היה בהפללה עצמית. כלומר, האם התיקון החמישי לחוקה, חל על המקרה ( התיקון מאפשר לאדם להימנע מהפללה עצמית ). אז השאלה המרכזית הייתה : האם מתן הקוד או הסיסמא, נופלים לגדרי הפללה עצמית אם לאיו ( ולחריג המוזכר שם במצבים דנן , ה- Foregone conclusion exception ). בארה"ב , גם מדובר לא פעם, בפגיעה בחופש הביטוי ( תיקון ראשון ) להכריח אדם לתת סיסמא יכולה להיות מוגדרת כפגיעה בחופש הביטוי ( Compelling speech) .
תודה
הxkcd צריך להיות CC-BY-SA-NC לפי דעתי.
מרשים אוסף המובאות הנ״ל, שאין בינם למציאות שום קשר.
כשגוף חוקר מוציא צו חיפוש במכשיר טלפון, בימ״ש מסמיך אותו ״לפרוץ״ למכשיר, ואין רלוונטיות אם מדובר בסיסמא, טביעת אצבע או זיהוי פנים.
*כל* מכשיר ניתן לפרוץ היום, אז זה ממש לא משנה מהי הסיסמא
לגבי התמונה זה לא הקטע בהצפנת מכשיר נייד.
הצפנת מכשיר נייד טובה כנגד אובדן או גניבה שלא תגיע להסלמה או לעימות ישיר המוצגת מכל מיני סיבות. במקום שכל הקבצים שלך עם פרטי תשלום של לקוחות וסיסמאות לבנק יגיעו לידיים של גנב אלמוני נניח אם שכחת את המכשיר ברכבת או בשדה תעופה או שנגנב לך מהאוטו או מהבית, הגנב יקבל ג'יבריש שהוא לא יוכל לשחזר, ואז הצפנה חזקה שדורשת כוח מחשוב לא סביר היא אפקטיבית.
לגבי נעילת המכשיר
אז באנדרואיד למשל אחרי הפעלה מחדש לא ניתן לפתוח המכשיר בעזרת טביעת אצבע בשחרור הראשון. לכן כל שדרוש לעשות כשהמשטרה מתדפקת על דלתך, חלון רכבך או כבר כששוטר ניגש אליך הוא לחיצה ארוכה על כפתור הכיבוי משהו שקל לעשות גם כשהמכשיר בכיס או בתיק.
הלו, סיסמה כותבים עם ה', לא א'.
אנחנו לא כותבים בארמית.