יום שני, 14 במרץ 2011

המשטרה חטפה את המאגר הביומטרי: המאגר שמטרתו למנוע זיוף מסמכי זיהוי ייבנה בצורה מסוכנת רק כדי שהמשטרה תוכל לעשות בו שימוש יומיומי ואינטנסיבי

לפני כשנה התנהל כאן דיון סוער סביב הצעת חוק המאגר הביומטרי. עוד לפני שהחוק התקבל בכנסת הודיע שר הפנים ח"כ אלי ישי שהוא מוכן לשבת עם מומחים ולבנות בעזרתם מאגר ביומטרי שישרת את צרכי מערך ההנפקה של תעודות הזהות ובה בעת - פגיעתו בפרטיות תהיה פחותה ככל האפשר.

אחת ההצעות הבולטות והמבטיחות שיכולות להבטיח את המטרה הזו היא הצעתו של פרופ' עדי שמיר ממכון ויצמן, חתן פרס ישראל ופרס טיורינג (פרס בתחום מדעי המחשב שמקביל ביוקרתו לפרס נובל). פרופ' שמיר הציע להקים מאגר ביומטרי מוצפן בדרך שתצמצם את הפגיעה בפרטיות, ועדיין תמנע לחלוטין את האפשרות שמישהו יצליח להתחזות ולהנפיק לעצמו שתי תעודות זהות תחת שתי זהויות שונות.

בחודש אוקטובר היתה לי הזדמנות לשמוע שוב את פרופ' שמיר בכנס בינלאומי של נציבי אבטחת מידע ופרטיות שהתקיים בירושלים, במהלך דיון בנושא Privacy by Design. הנה כמה דברים של פרופ' עדי שמיר (בתרגום חופשי ומתומצת - החל מדקה 22):

ממשלות מוכנות לתת לך פרטיות עד השלב שבו הם רוצות לדעת עליך מידע. מרגע שהמשטרה רוצה לנהל עליכם חקירה היא רוצה שיהיה לה את כל המידע שלכם. ממשלות לא צריכות להפר את החוקים – הן יכולות פשוט לשנות אותם. היו לי פגישות רבות עם קובעי המדיניות ועם פקידים בקשר ליוזמת הממשלה להקים מאגר ביומטרי. אם המשטרה היתה מבקשת לחיב את כל תושבי ישראל לתת לה טביעות אצבע, קרוב לוודאי שהכנסת לא היתה מאשרת לה את זה. אבל עכשיו כשהממשלה החליטה על הקמת מאגר ביומטרי במטרה לסייע למערך ההנפקה של מסמכי זהוי, למנוע הנפקה כפולה וכד', כוחות רבים מאחורי הקלעים ממהרים לקפוץ על העגלה ודורשים לאפשר להם להשתמש במידע הזה גם למטרותיהם. כלומר, למרות שהמאגר מתוכנן למטרה מוגדרת, יש סכנה ממשית שישתמשו בו למטרות אחרות. "וזה לא סוד – המשטרה אומרת זאת במפורש". הטכנולוגיה שהצעתי התבססה על הרעיון שלא יהיה קשר של אחד לאחד בין נתונים מזהים של אדם לבין הנתונים הביומטריים שבמאגר. הקשר יהיה קשר חלש: קשר שיהיה חזק דיו כדי למנוע הנפקה כפולה וזיוף של תעודות זהות, אבל יהיה חלש מדי במקרה שהממשלה תחליט בעתיד לשנות את הכללים".

להמשך הרשימה …



במהלך הכנס ובזמן שחלף התברר לי, שהצעתו של עדי שמיר התקבלה בהתלהבות על ידי אנשי משרדי הפנים, המשפטים והאוצר. לדעתם, בניית המאגר הביומטרי באופן שמציע שמיר תבטיח את השגת מטרה שלשמה הם ביקשו להקים מאגר מלכתחילה: מערך אמין ובטוח של הנפקת תעודות זהות ודרכונים. גם ראש הרשות לאבטחת מידע בשב"כ צוטט כמי שסבור, שהצעתו של פרופ' שמיר היא הדרך הטובה ביותר לאבטח את המאגר הביומטרי.

אבל בסופו של דבר הצעתו של עדי שמיר נדחתה בשל התנגדות נחרצת של משטרת ישראל ושל השר לביטחון פנים. הארכיטקטורה שמציע שמיר עלולה להפריע להם לעשות שימוש נרחב ויומיומי במאגר הביומטרי. במילים אחרות, המאגר הביומטרי שהוצג לציבור כאמצעי להבטחת אמינות ההנפקה של תעודות הזהות, עומד להיבנות באופן מסוכן ופוגעני רק כדי שגם יוכל לעמוד בכל עת לרשות המשטרה.

כפי שאמר עו"ד יורם הכהן, ראש הרשות למשפט ולטכנולוגיה (באותו דיון - ראו בערך בדקה 65 ואילך) בניית מערכת טכנולוגית בהתאם לעקרונות של Privacy By Design היא הביטוי הטכנולוגי לאיזון חוקתי ראוי ולעקרון המידתיות. אבל לפחות בשלב זה מסתמן, שהמשטרה הצליחה להכריע את הויכוח הפנימי בתוך משרדי הממשלה - לתכנן מאגר ביומטרי שפגיעתו חמורה ולא מידתית. להלן תרגום חופשי מאוד ותמציתי של דברים נוספים שאמר יורם הכהן:

אני סברתי שמוטב בלי מאגר ביומטרי אבל הייתה החלטה דמוקרטית של הכנסת. כעת אנו עוברים לשלב היישום. לתקנות ולעיצוב הספציפי של המאגר. ובהיבט הזה אני חושב שהרעיון של עדי הוא הטוב ביותר. פיתרון חוקתי לבניית מאגר ביומטרי. הוא מאזן את המטרה הראשונה של מניעת הנפקה כפולה וזיופים. הוא אפילו מאפשר במידת מה לסייע לגורמי אכיפת החוק, אבל לצורך כך, לצורך שימושים הנוספים, יידרש מאמץ רב יותר. זו הדרך הראויה לעשות privacy by design. להימנע מ"זיהום" של מידע. מה שקורה עכשיו זה שאנשי המשטרה באים ואומרים שהפיתרון של עדי לא נותן להם את כל מה שהם רוצים להשיג מהמאגר. וכאן צריכים להחליט קובעי המדיניות.

עושה רושם שהדיון על המאגר הביומטרי ימשיך להעסיק את הציבור ואת בתי המשפט. בכל דיון עתידי, יהיה צורך לחזור לדברים של פרופ' שמיר, לדבריו של יורם הכהן, ולעוד כמה דברים מעניינים שהוחלפו במהלך הדיונים "החשאיים" שהתקיימו בתוך המנגנון הממשלתי.

אל תשתתפו בניסוי - אמרו לא למאגר הביומטרי

CC By Daehyun Park