הפוסט הזה נכתב במסגרת הערות הציבור לתזכיר חוק השב"כ. הוא הוגש במקביל לפרסומו באתר התזכירים של משרד המשפטים. אם יש לכם גם מה לומר, כדאי שתאמרו זאת שם.
נכבדי,
במסגרת הערות הציבור לתזכיר חוק הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש (הוראת שעה), התש"ף-2020, אני מבקש להעמיד כמה דברים על השולחן ולהציג מספר דרכים בהן ניתן להשיג את אותה המטרה ללא שימוש בכלי כה פולשני כזה המוצע כאן. לצורך כך, אני פורש את התשתית העובדתית מראש על סמך חומר ידוע, ומציג מדוע עדיף להגיע לפתרון כולל צופה פני עתיד מאשר להשתמש בשירות הבטחון ככלי נקודתי. כעניין עקרוני, אני מאמין כי הסמכה של שירות בטחון לצורך ביצוע פעילות בתחום של בריאות הציבור אינו בריא למדינה דמוקרטית, וזאת בהתחשב בחשאיות השירות, ובכך ששירות זה נועד לפתור בעיות בטחוניות ומגיע מחשיבה בטחונית. כאיש הגנת הפרטיות, אני גם מאמין שערבוב הכלים יוצר מדרון חלקלק שמאפשר לרכב על הפתרון שנוצר למטרה מסוימת בלבד ולהתחיל זחילת שימושים רעה. לכן, מסמך זה יחולק למספר חלקים.
בחלק הראשון נדון במהות המאגר של השירות, ובכך שכל שימוש בו שמשנה את אופי המאגר הוא בעייתי.
בחלק השני, נדון בצורך הממשי ובאתגרים שמדינות אחרות חוו בהתמודדות.
בחלק השלישי, נדון בנתונים ובמספרים.
בחלק הרביעי, נדון בסוגיית החלופות ונציג מספר חלופות פוגעניות פחות שאינן מבוססות על התקנת יישומונים על ידי משתמשי קצה.
בחלק החמישי, לסיכום, נדון בדרכים בהן ניתן להשיג את המטרה.
לא נעלם מעיני הסיכון כי הגשת תזכיר החוק נועדה למטרה אחרת, והיא משיכת זמן. יכול שיהיה שנכבדי יודעים כי תזכיר החוק הוא בעייתי ואינו מידתי, אולם לאור האמירה של בית המשפט העליון לפיה ניתן להמשיך באיכוני השב"כ כל עוד הצעת החוק יושבת על השולחן (בג"ץ 2109/20 שחר בן מאיר נ' ראש הממשלה), מעדיפים הם להשתמש בחריג זה כדי להמשיך את הפרקטיקה מתוך הבנה שהצעת חוק זו לא תגיע לדיון לפני שיסתיים משבר הקורונה, ולכן הצעותי הן נייטרליות אפידימולוגית ומאפשרות צפי פני עתיד עם הסדר קבוע. אני מקווה כי לא אפול על אזנים ערלות, וכי במקום לדון בחוק זה תדון הממשלה, והכנסת בתורה, בחלופות במקום בשיטת ביצוע. עניין זה לא בא לידי ביטוי בעת שהתקדמה הממשלה בזמנו עם חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, תש"ע-2009, והדבר הוביל לחקיקת חוק רע, שלא משיג את מטרותיו. לכן, אני מקווה כי תזכיר זה אכן הופץ בנפש חפצה לקבלת הערות.
מהות המאגר של השירות, וכל שימוש בו שמשנה את אופי המאגר הוא בעייתי.
כזכור, ובהתאם לחוק שירות הביטחון הכללי, תשס"ב-2002, הרי שכללי ונהלי השירות הם חשאיים. בשנת 2007 פרסם יובל יועז בדה-מרקר כי לחברות הסלולר יש נספח סודי ברשיון הספקית שלהם. נספח זה, לפי הכתבה, מאפשר להן גישה מתמדת לנתוני התקשורת. אולם, דבר לא פורט לגבי מהות השימושים ודרכן. בעצם, עד לחשיפה שבוצעה על ידי רונן ברגמן רק לאחר פרוץ משבר הקורונה, בה התגלה גם השם, "הכלי", לא נודע דבר על מאגרים אלו וכלים אלו. כל שאתייחס במסמך זה נובע ממידע ציבורי זה בלבד.
ראשית, הבה נדון במטרות המאגר שהוקם. המאגר של השירות הוקם למטרה מסוימת: מניעת טרור והגנה על בטחון ישראל. לצורך הנחת המוצא, אני מניח כי המאגר אוסף את נתוני המיקום של כל תושבי ישראל בזמן אמת ואוגר אותם ללא הגבלת זמן.
בהתאם לחוק הגנת הפרטיות, תשמ"א-1981, הרי שמדובר במאגר מידע לכל דבר ועניין אשר חב ברישום, ואשר נועדו לו מטרות ספציפיות. בקשת הרישום של המאגר צריכה היתה לכלול את מטרות המאגר בהתאם לסעיף 9(ב)(2) לחוק. בעת איסוף המידע היה ליידע את בעלי המידע על מטרות השימוש.
שינוי של מטרות המאגר, רטרואקטיבית, ושימוש במידע בו לצורך אחר הוא בעייתי אף אם נעשה בחוק. כך הבהיר ראש הרשות להגנת הפרטיות, בזמנו, עו"ד אלון בכר, עת הוציא הנחיות לשימוש במידע בעת מיזוג או מכירת חברה: "על כולנו לזכור שמידע אישי שייך תמיד לאדם עצמו. גם כשחברה או עסק מנהלים מידע אישי על לקוחות, המידע לא הופך להיות שייך להם. טיוטת ההנחיה שאנו מפרסמים להערות הציבור, באה להבהיר לחברות כי המידע שהן מנהלות על אנשים שייך לציבור. מכירה או מיזוג של חברות או עסקים, אינם מאפשרים העברה חופשית של מידע אישי, לפי שיקול-דעת החברה. יש ליידע את הציבור ולדרוש את הסכמתו לכך".
כלומר, שינוי של מטרות המאגר דורש הסכמה מכלל בעלי המידע. שינוי של מטרה כזו.
למותר לציין כי חרף החובה בחוק, לא נמצא כי מאגר זה רשום כלל מחיפוש בפנקס המאגרים. בכך יש כדי להבין כי הרשות להגנת הפרטיות טרם בחנה כלל מאגר זה.
לדעתי, שינוי אופי המאגר, לאחר שמידע נכנס למטרה מסוימת ובעת שהמטרה השתנתה, אומר כי הכלים שנמצאים בתוך המאגר הם כלים שנועדו למטרה מסוימת, והשימוש בהם למטרה אחרת הוא בעייתי. לצורך העניין, ועל בסיס הנחה בלבד, נניח כי במאגר קיימים כלים לניתוח על בסיס נתוני Big Data של דפוסי התנהגות מסוימים וקרבה. נתונים אלו מאפשרים לשירות לנתח סיכונים על בסיס אלגוריתמים שפותחו למניעת טרור. הם יודעים לזהות פעילי טרור. שימוש בכלים אלו לפתור בעיה של בריאות הציבור עשויה להביא לתוצאות שגויות, כפי שראינו בתקשורת. בכתבתו של אורי ברקוביץ' הובאו מספר מקרים שבהם הזיהוי היה שגוי, וזה נובע הן מכך שאיכונים אינם מסוגלים לאתר גובה או קירות, ועל כן אנשים שמתגוררים בבניין משותף מאוכנים יחדיו, וכן כי הכלים שנמצאים הם כלים בעלי אופי תאי (סלולרי) ולא מדויק במיוחד.
מעבר לכך, בהתחשב בכך שלהבדיל מארגוני טרור, נגיף הקורונה אינו יכול להשתמש בכללי השב"כ לרעה כדי להתחמק מגילוי, הרי שהיה ראוי כי כלי שנועד להאבק במחלה מדבקת יהיה כזה השקוף בפני הציבור. שימוש בכלים של שירות הבטחון, אשר הם חסויים, נוגד מטרה זו ואינו מאפשר ביקורת ציבורית רחבה על הכלי. כל עתירה לביטול החלטה שבבסיסה המידע החסוי תוביל לכך ששירות הבטחון יטען כי בגילוי המידע יש פגיעה בשיטות עבודתו.
לא בכדי במהלך הדיון בעתירת בית המשפט העליון כנגד האיכונים נכלל חלק חסוי. ומדוע? מדוע יש לנהל דיון על התפשטות מחלה בצורה חסויה?
כל אלו יחד מעידים כי שינוי של מטרות המאגר של שירות הבטחון הכללי עשוי להביא לנזק רב.
הצורך הממשי והאתגרים שמדינות אחרות חוו בהתמודדות.
לאחר שהבנו את האתגרים, נתחיל בשאלה מדוע משמש שירות הבטחון הכללי כקבלן-ביצוע של משרד הבריאות. התשובה לכך היא כי לשירות, ולשירות בלבד, קיים מידע כזה כיום. כלומר, לו שירות הבטחון לא היה אוגר מידע זה מלכתחילה, הרי שהיה צריך להקים מערך שנועד להגן על בריאות הציבור בצורה חלופית. לכן, שירות הבטחון התנדב לנהל את המאגר. בעצם, לולא היה מחזיק מראש את המידע, לא היה צורך זה קיים.
כעת, לאחר שהבנו זאת, נשאל כיצד התמודדו עם הנושא במדינות אחרות. בעת קידום הסמכת השב"כ הבהיר ראש הממשלה כי השיטה דומה לשיטה בטאיוואן. אלא, שלא כך הדבר. בטאיוואן הופעלו מספר רב של משתנים ואיכון סלולרי לא היה אחד מהם. האיכון בוצע בהסכמה ולמכשירים ייעודיים, והיה חלק מתוך מספר רב של צעדים שננקטו.
גם השיטה הסינגפורית, אליה יפנו מלומדים אחרים אינה חפה משגיאות. השיטה הסינגפורית דומה בעקרונותיה לאפליקציית "המגן" בכך שהיא לא משתפת מידע מזהה, אלא מאפשרת לאדם להחליף "מפתחות" עם האנשים שנמצאים בקרבת מקום אליו, וכאשר אחד מהם מתגלה כחולה הרי שהוא נכנס גם כן לבידוד. אלא, שבמקרה כזה לא ניתן לזהות את מהות ההדבקה ולא ניתן לערער על הממצא.
לא ניתן למצוא מדינה דמוקרטית אחת שמבצעת מעקב המוני ומתמד על אזרחיה כדי להאבק בקורונה. אכן, הקורונה היא סיכון שיש לטפל בו, אבל כמו כל דמוקרטיה, יש לקחת בחשבון שכל מאבק הוא מאבק בו צריך לשמור על זכויות האדם. גם בשעות חירום אין לפגוע בהן במידה העולה על הנדרש.
ומכאן, לצורך הממשי שלנו. הצורך הממשי שלנו הוא לאתר את האנשים עמם חולים מאומתים באו במגע. ככל שנמצא כלי אחר אשר יספק צורך זה, ופוגע פחות בפרטיות, גם אם מחירו גבוה יותר במונחים כספיים, הרי שיש לקבל אותו ולהמנע מפתרון כואב ויקר לזכויות אדם.
הצורך שלנו הוא כזה: מרגע שאדם זוהה כחולה מאומת, אנו מעוניינים לקבל את מסלול הביקורים שלו ולאבחן מי האנשים שבאו עמו במגע.
נתונים ומספרים.
נתחיל בנתונים שמביאים באיגוד רופאי בריאות הציבור. לדבריהם, המידע שמועבר על ידי שירות הבטחון אינו טוב מספיק. הוא מחליף את שיקול הדעת של הרופא המקצועי והופך את המידע למדע.
בכלל הפרסומים בתקשורת על היעילות של כלי השירות מדובר על הצלחתו במניעה. אלא, שבשום מקום לא דנים בשאלה האמיתית: מה היה מספר החולים והמבודדים שהיינו מגיעים אליהם ללא השימוש בטכנולוגיה זו, אלא בהסתמכות על חקירות אפידימולוגיות? כלומר, לא רק בשגיאות של השירות והחולים המאובחנים, אלא גם בהצלחה של החלופות.
בפועל, כאשר מספר הנדבקים היומי קטן במיוחד, החלפה של כלי זה בכלים אנושיים יותר, ובמיוחד כפי שיוצע בהמשך מסמך זה, יכול להקטין את הנזק לפרטיות מאגירה של מידע מלא בכל עת. אולם, בהעדר מספרים ודיווחים, כל מידע שמובא מצד רשויות הבטחון הוא מידע מעורפל, שנובע כאמור מחשאיות המידע שלהם.
החלופות.
כדאי לקרוא את המסמך הטאייוני מראש כדי להבין כי אין חלופת קסם אחת למיגור הקורונה. אולם, בכל הנוגע לפגיעה מופחתת בפרטיות יש מילת קסם אחת: "הסכמה". הנחת המוצא שלי מבוססת על שני דברים: (א) אף חולה קורונה מאומת לא ירצה להמשיך להפיץ את המחלה, או לשקר לרשות; (ב) לספקיות הסלולר יש את נתוני המיקום של לקוחותיהן בכל מקרה.
החלופה שאני מציע, במקרה זה, היא כזו: בנוסף לחקירות האפידימולוגיות, ינסו לאתר את המסלול בו עבר החולה בצורה מקורבת מיטבית. מרגע שלא ניתן, תתבקש הסכמתו האקטיבית לביצוע איכון מחברת הסלולר שלו. איכון זה, נקודתי, יגיע למשרד הבריאות.
מרגע שאיכון זה נמצא בידי משרד הבריאות, הרי שהוא יכין קובץ שיועבר לחברות הסלולר השונות. כל חברת סלולר תוכל להצליב את המאגר מול מנויה ולשלוח להם הודעה כי נמצאו בקרבת חולה מאומת ועליהם להכנס לבידוד. החברה תשמור את המידע עם מספרי הטלפון האלו ולא תשתמש בו, אלא במקרה הבא.
המקרה החריג הוא מקרה בו אדם קיבל הודעה ולא נכנס לבידוד, ולאחר מכן התגלה כחולה מאומת. במצב כזה, בעת עריכת האיכון הראשוני, תבדוק חברת הסלולר האם אותו אדם שמתבקש מידע על מסלולו קיבל הודעת בידוד. אם קיבל הודעת בידוד ולא נותר בבידוד, הרי שיפתח כנגדו הליך בגין הפרת צו הבידוד.
כעת, עניין זה פותר חלק משמעותי מהפגיעה הדרושה בפרטיות. מה נותר לנו? ובכן, נותר לנו המקרה החריג בו חולה מאומת לא יסכים להעברת המידע. ומדוע שלא יסכים? יכולים לקום לכך מספר מקרים, בין אם חסיון עיתונאי או חסיון עורך דין-לקוח, או סיבה דומה אחרת. במצב כזה, הרי שניתן יהיה לעשות אחד משני דברים: הראשון הוא לפנות לבית המשפט לקבלת צו נתוני תקשורת. פניה כזו תבוצע כאשר לאדם תעמוד הזכות לטעון מנגד.
הדבר הנוסף שניתן לעשות הוא להעביר לאותו אדם את הרשימה של מיקומיו, בלא שנציג משרד הבריאות רואה את המיקומים. וזה יבחן שוב מה מבין המיקומים עשוי לפגוע בחסיון מקצועי. במצב כזה, הוא יחריג את המיקום הנ"ל.
שוב, במצב כזה, כאשר אין הצלבה בין המיקום של אותו אדם (שכן חברת הסלולר לא מקבלת את הזהות של החולה) ובין האדם שנפגש עמו, הרי הסכנה לפגיעה פחותה.
סיכום.
לסיכום, השיטה המוצעת בתזכיר החוק היא פוגעת מדי, ודומה שהיא נועדה למטרה לא ראויה, והיא המשך פגיעה והכשרה של פרקטיקה שנפסלה על ידי בית המשפט העליון. במסמך הזה הצגנו חלופה אחת פוגענית פחות אשר ניתן ליישם כבר מיום זה וללא שינוי חקיקה כלל. במצב כזה, הרי שהמשך החקיקה עצמה עשוי לגרום יותר נזק מתועלת.
אני אעמוד לרשותכם בכל שאלה נוספת.
מדוע המידע צריך להגיע לממשלה?
מדוע דין חולי קורונה כדין פושעים מועדים?
מדוע לא לספק אפליקציה כשירות, וההתקנה תהיה בהסכמת המשתמש?
ראו לדוגמה COVIDSafe אפליקציה שהופעלה באוסטרליה.
המידע נשמר במכשיר ולא נשלח לשרתים ממשלתיים, ומבוסס על נתוני קרבה סלולרית ו – location.
אם המשתמש מקבל התראה, הוא יכול ללכת להבדק. שליחת המידע לשרת מרכזי עקב זיהויו כחולה תהיה על פי הסכמתו בלבד.
אם האפליקציה תזכה לאמון המשתמשים, כולם יתנו את הסכמתם.
פוסט חשוב מאוד. המון סוגיות סבוכות, רק צריך לשים לב:
אתה מתמקד בחקירה אפידימולוגית אנושית, כחלופה בסיסית ( בנוסף לביצוע איכון מאוחר) ושואל , מה היה ההבדל אלמלא ( מה היה מס' החולים והמבודדים שהיינו מגיעים אליהם ללא השימוש בטכנולוגיה) אבל, הרציונל הוא לא רק להגיע לחולים, אלא, להגיע מהר יותר לחולים, מצטט מן התזכיר:
" לכן, יש חשיבות עצומה לקיצור מירבי של הזמן המכונה "זמן סגירת מעגל": הזמן בין פנייה של אדם להיבדק וקבלת תוצאה חיובית בבדיקה, ועד מסירת הודעה למירב האנשים שהיו במגע קרוב איתור ב-14 הימים האחרונים (להלן: "מגעים"), עם הנחיה לכניסה מיידית לבידוד אישי. קיצור הזמן מאפשר בידוד המגעים בטרם החלו להדביק את הסובבים אותם, ובכך מצומצם פוטנציאל ההדבקה של כל אחד מהם. זמן היעד המיטבי והריאלי ל"סגירת מעגל" יעילה, הוא כ-24 שעות. "
ועוד מצטט הלאה:
"תהליך החקירה האפידמיולוגית של חולה מתחיל כאשר מתקבלת תוצאה חיובית לנגיף. במקביל למסירת התוצאה לחולה מועבר המידע גם לשירותי בריאות הציבור במשרד הבריאות, ומופנה לאחות לשם ביצוע חקירה אפידמיולוגית אנושית מול החולה ומשפחתו. חקירה זו כוללת שיחה ממושכת עם החולה, תחקור פעולותיו ב-14 הימים שקדמו לאבחון, תיעוד פרטי המקומות והאנשים המוכרים לו שאליהם נחשף, קביעה אילו מבין האנשים צריכים להיכנס לבידוד (והודעה אישית לאותם אנשים), וקביעה אילו מבין המקומות בהם שהה יפורסמו לציבור. תהליך זה נמשך בממוצע 36 שעות – שהן זמן ארוך מדי במגיפה מסוג זה. לכן, במקביל, מעביר משרד הבריאות את הפרטים הדרושים לבדיקת השירות, ומקבל בתוך מספר שעות בחזרה רשימה של מי שבאו עימם במגע קרוב, לפי ההגדרות שנקבעו, ומועדי החשיפה. אותם מגעים מקבלים הודעה אוטומטית (במסרון או בהודעה מוקלטת) ובה דרישה להיכנס לבידוד ולדווח על כך, וכל זאת בתוך כ- 18-24 שעות, זמן רב פחות מאשר הזמן הנדרש להשלמת חקירה אפידמיולוגית אנושית. מניתוח הנתונים שבידי משרד הבריאות עולה באופן עקבי כי הסיוע שניתן מהשירות הועיל באיתור מוקדם ומהיר של האנשים שבאו במגע עם חולים ובכך יש תרומה של ממש לצמצום התפשטות המגיפה, יחד עם צעדי הגבלות התנועה והריחוק החברתי."
לגבי השאר, לא נישאר צעירים יותר פה….
תודה