הרשות הביומטרית: "אם לאזרח אין אמון שום נימוק לא יפיג את חששו"
ניסחנו שאלות לרשות הביומטרית, וקיבלנו תשובות מלאות ומפורטות אך במקרים רבים מאוד לא מספקות, כמו זו שמופיעה בכותרת ונועדה לענות על החשש מהרחבה מתמשכת של השימושים במאגר בנימוקים כמו ביטחון המדינה
לאורך שתי שנות הפיילוט של המאגר, נותרו פתוחות שאלות רבות שנוגעות לפעילותו. בניסיון לענות עליהן, העברנו לרשות הביומטרית רשימה מפורטת של 20 שאלות שעוסקות בסוגיות הבעייתיות ביותר. אף שברשות השיבו על כולן בפירוט ובחלק מהמקרים גם לעניין, פעמים רבות התחושה היא שהשאלה לא זכתה למענה ראוי. מטבע הדברים, לא נוכל להביא כאן את מסמך השאלות והתשובות המלא. תחת זאת, הנה סיכום הסוגיות המרכזיות שהועלו ותשובות הרשות. אם יש בכך די כדי להרגיע את הספקות שעלו? קראו ושפטו בעצמכם.
- ההכרעה הביומטרית בעולם: בפורטוגל קיים מאגר, בבריטניה הוא כבר בוטל
- "1% מהאזרחים יבקר במשטרה אם המאגר הביומטרי יופעל"
- הדו"ח החשאי על פיילוט המאגר הביומטרי ייחשף לציבור
מה עם חלופות?
אחת הסוגיות המרכזיות בפעילות המאגר היא שאלת בדיקת החלופות השונות והצגתן בדו"ח המסכם של הרשות, שם קיבל המאגר את הציון הגבוה ביותר וחלופות תשאול נטולות המאגר את הציון הנמוך ביותר. במדד החשוב ביותר, מניעת הרכשה כפולה, אמנם קיבלו חלופות התשאול ציון של 11.4 מתוך 12, ואולם משקלו של מדד זה היה נמוך יחסית, בוודאי לעומת חשיבותו. בתשובה לשאלה מה הסיבה לכך נמסר מהרשות שהמשקל של המדדים נקבע על ידי הוועדה המייעצת ולא על ידה, ואף שהוצע לתת לו משקל גבוה יותר החליטה הוועדה שלא לעשות זאת.
תשובה זו אמנם נראית עניינית וישירה, אך לא עונה על הסוגיה המרכזית – מדוע נבחר המשקל שנבחר למדד – ותחת זאת מטילה את האחריות על הוועדה המייעצת (בה חברים הממונה על יישומים ביומטריים במשרד רה"מ, ראש הרשות למשפט, טכנולוגיה ומידע, ראש המטה ללוחמה בטרור, הסטטיסטיקן הראשי ונציג ציבור).
גם כשביקשנו התייחסות רחבה יותר לאופן שבו חושבו כלל המדדים והציונים של המאגר וחלופותיו בדו"ח המסכם זכינו לתשובה דומה: “הציונים נקבעו על פי תהליך מפורט ביותר אשר הוצג לוועדה המייעצת, עבר מספר עדכונים ושינויים ובוצע תוך היוועצות מתמשכת עם הועדה המייעצת. במקרים מסוימים שונו הציונים ואופן קביעתם בהתאם להערות הוועדה. צורת קביעת הציונים אושרה על ידם בתהליך ארוך ומפורט, שבסיומו הוסכם על כל חברי הוועדה שהציונים ניתנו בתהליך סדור וראוי”.
בשנתיים האחרונות מיצבה עצמה הרשות הביומטרית כפנים הציבוריות של המאגר הביומטרי, ולאורך התקופה שאלות בתחום הועברו לרוב אליה גם אם הופנו בתחילה לגורם אחר. לכן, מצופה מהרשות לספק בעצמה את התשובות לשאלות שעולות בהקשר לפעילותו, ועל אחת כמה וכמה בהקשר לדו"ח שחיברה בעצמה, הסתפקות באמירה שלפיה התהליך היה מפורט, סדור וראוי אינה תשובה ראויה, ולו לאור העבודה שהיא אינה מספקת מידע שניתן לבחון בצורה עצמאית ועל ידי כך לבקר את התהליך. מה היתה תשובה טובה? הצגת התהליך עצמו.
עוד שאלנו את הרשות לגבי חלופות שלא נבדקו בפיילוט, דוגמת הסתמכות על המאגר המשטרתי במקום מאגר כללי (בעקבות טענה של הרשות שלפיה מי שצפוי להוציא תעודה במרמה הוא בעל עבר פלילי); השיטה הבלגית (לכל אזרח מוצאת תעודת זהות עם לידתו שמוחלפת כל שש שנים עד גיל 18, התחזות דורשת תכנון של שנים רבות מראש ושיתוף פעולה עם הורים וגורמי רפואה); או חלופות כמו אימות זהות באמצעות קרובי משפחה, קביעת שאלת זיהוי בעת ההרכשה הראשונה או הסתכמות על מאגרי מידע חיצוניים (למשל, של חברות האשראי).
לכך נמסר בתגובה: “כל אחת מהחלופות שצוינו גוררת בעיות משפטיות וחוקתיות קשות, תוך הטלת עומס שאיננו סביר הן על התושבים והן על משרדי הממשלה המעורבים”. לנו לא ברור על סמך מה נקבע דבר זה, שהרי חלופות אלו כלל לא נבדקו.
לגבי השימוש במאגר משטרתי נמסר: "מתן גישה למאגר המשטרתי מגביל את היכולת לאתר רק עבריינים מוכרים, ויוצר בעיות פרטיות קשות (לא כל רישום פלילי צריך למנוע מתושב תיעוד או לפגוע בו). אם הובע בעבר חשש מפני שינוי התנהגות בעקבות קיומו של מאגר, הרי כאן יש משהו מפחיד בהרבה – כל סכסוך שכנים יסתיים בתלונה שמטרתה ליצור לצד השני רישום פלילי, שיפגע אפילו בחופש התנועה שלו”.
תשובה זאת, לטעמנו, מטעה. חלופת המאגר המשטרתי מחייבת עדיין העברת טביעות אצבע של כל אזרח לבדיקה (על מנת לראות האם הוא רשום במאגר המשטרתי, ואם כן האם באותה זהות שביקש להנפיק), כך שמי שיש לו מרשם פלילי לא יידרש להליך ארוך יותר מכל אזרח אחר. לא ברור איך עצם הרישום במאגר המשטרתי ייפגע באזרח שבא להנפיק תעודת זהות, שכן כל עוד הוא מבקש להנפיק את התעודה תחת זהותו האמיתית לא צפויה להתעורר שום בעיה וההליך יהיה זהה, מבחינת אורכו לזה שבו האזרח לא מופיע במאגר. בהתחשב בעובדה שגם הרשות עצמה אומרת, בתגובה לשאלה אחרת שהעברנו לה, כי "רבים מאלו המדווחים על אובדן או גניבה של תעודת זהות רשומים במרשם המשטרתי הפלילי" יש בכך לכל הפחות בסיס רחב דיו על מנת לבדוק חלופה זו כמו שנבדקו חלופות אחרות.
השיטה הבלגית לא זכתה להתייחסות ישירה. לגבי חלופות אחרות נמסר: “לגבי שימוש בנתוני חברות אשראי או באופן כללי יותר בדיקה של 'טביעת רגל חברתית' לצורך אימות זהות, נתונים כאלו אינם נגישים לרשות האוכלוסין וראוי שכך יהיה גם בעתיד, כדי למנוע ריכוז יתר של נתונים, נגישות של רבים אליהם ופגיעה אנושה הרבה יותר בפרטיות”.
לאורך פעילות הפיילוט הוצגה תופעת גניבת הזהויות כמכת מדינה מסוכנת, הרשות עצמה טענה בכמה מקרים כי מתוך 600 אלף תעודות זהות שמונפקות מדי שנה, 160 אלף מונפקות בעקבות דיווחים על אובדן או גניבה, וכן כי יש קשר מובהק בין דיווח זה לפעילות פלילית. ואולם, לפי נתונים של לשכת האוכלוסין, ב-2014 זוהו רק 71 מקרים של גניבת זהות, 70 מהם בוצעו באמצעות גניבה או זיוף של תעודה רגילה – בעיה שתעודה חכמה היתה פותרת גם ללא מאגר.
מהרשות נמסר בתגובה: “אנו מפנים למסמכים רבים של האיחוד האירופאי, המוכיחים בצורה מובהקת שכאשר לא ניתן יותר לזייף תיעוד פונים העבריינים למסלול של זיוף זהות. עם שיפור רמת אבטחת המסמכים, השגת מסמכים אותנטיים במרמה הופכת לנפוצה יותר ויותר בעולם כולו, לעומת ירידה חדה ומתמשכת בזיופי מסמכים. מלבד האמור לעיל, השכל הישר, וכן הניתוח שבוצע לאחרונה בהובלת מטה לוט"ר, אומר שכל עוד קיים מסלול מקביל של הנפקת תיעוד ישן, קל מאד לזיוף, עבריינים פשוט יימנעו מהוצאת תיעוד ביומטרי, שעלול לסכן את פעילותם העבריינית. לא ברור מקור האמירה בדבר יכולת מניעת עבירות כאלו ללא מאגר".
הרשות לא סיפקה בתגובתה הפניה ישירה לאותם מסמכים של האיחוד האירופי או לניתוח של הלוט"ר. בנוסף, תגובה זו רק מחזקת לטעמנו את הצורך בבחינת חלופת המאגר המשטרתי, שיכול לזהות את "העבריינים".
הרף נמוך? מה פתאום
לפי נתוני הלמ"ס, לאורך הפיילוט כמעט שני שלישים ממנפיקי התעודות החדשות סירבו להוציא תעודה ביומטרית. ואולם, ברשות רואים נתון זה כהצלחה, שכן הוא גבוה מהרף שנקבע של 20% מכלל התעודות. בתשובה לשאלה מדוע נקבע רף נמוך כל כך נמסר: “לא מדובר ברף נמוך כלל וכלל אלא רף שמשקף חוסר איזון מובנה לרעת התיעוד הביומטרי". זאת, לטענת הרשות, מכיוון שתעודה ודרכון ניתן לקבל בהליך מיידי וקצר, בעוד שתעודה ביומטרית דורשת הליך נטילה ארוך יותר וביקור חוזר על מנת לקבל אותה, כאשר ההמתנה יכולה להגיע לעשרה ימים.
סוגיה מרכזית נוספת, שבה עסקנו ב"כלכליסט" בהרחבה, היא מערכת ההשוואה הביומטרית, הלב של המאגר שבלעדיה הוא לא יותר מאוסף של נתונים חסרי שימוש. המכרז למערכת קבועה הושלם רק בסתיו שעבר, והתקנתה תושלם רק ברבעון האחרון של 2015. לאורך הפיילוט טענה הרשות שהמערכת הזמנית מבוססת על מנועי השוואה המובילים בעולם שפועלים בפרויקטים רחבי היקף ושפעילותה נבחנה ואושרה על ידי כל אנשי המקצוע. ביקשנו פרטים קונקרטיים על המערכת, כמו שמה המסחרי ושם החברה שסיפקה אותה, על מנת שניתן יהיה לאמת טענות אלו באופן עצמאי. תחת זאת, זכינו לאותה תגובה גנרית ובלתי ניתנת לאימות לגבי איכותה של המערכת והאישור שלו היא זכתה.
בתשובה לשאלה מדוע יש צורך ברכישת מערכת חלופית אם זו הקיימת עומדת בכל דרישות החוק נמסר: “תחומי הטכנולוגיה ומערכות המידע מתפתחים ללא הרף. שאיפתנו הינה להיות בחזית הטכנולוגיה, הן מבחינת הביצועים והן מבחינת יכולות המערכת. ההתקשרות עם חברה אשר מתמחה בתחום הביומטריה תאפשר לרשות לשמור על עדכניות מערכות ההשוואה ותאפשר למדינת ישראל למלא את חובתה בהגנה על זהותם של תושביה”.
לאורך הפיילוט חתמה הרשות על הסכמים בשווי מאות אלפי שקלים עם בינת ועם בזק בינלאומי לצורך שירותי גיבוי. מתנגדי המאגר העלו חשש שמדובר בגיבוי של המאגר הביומטרי באתר חיצוני. מהרשות נמסר בתגובה לטענה זו: “זו דוגמא נוספת לניסיון לייצר דה-לגיטימציה תוך התבססות על חלקי מידע... ככל יחידה שפעילותה מבוססת על מערך המחשוב, נדרשת הרשות לשימוש באתר גיבוי. אתר הגיבוי מאובטח ברמה הנדרשת בהתאם להנחיות הגורם הרלוונטי בשב"כ. אתר הגיבוי לא כולל נתונים ביומטריים. אין ולא תהיה כל הוצאת נתונים ביומטריים מידי הרשות הביומטרית”.
סוגיה בעייתית נוספת היא אבטחת המידע ברמת העובד בעל גישה. אילו אמצעים ננקטים כדי להבטיח שעובד עם גישה למאגר לא ינצל אותה לצרכים אישיים או בעקבות סחיטה או קבלת שוחד. או בקצרה, איך עוצרים את ה"ואנונו" של המאגר הביומטרי. “עובדי הרשות בעלי הגישה לנתונים הביומטריים הינם עובדים ספורים העוברים תהליך של בדיקת מהימנות וסיווג ביטחוני ברמה גבוהה מאד בהתאם להנחיות הגורם הרלוונטי בשב"כ", נמסר מהרשות. "ברשות צוות אבטחת מידע, בנוסף על מנהל הגנת הפרטיות, אשר אמונים על ניטור שוטף ובקרה מלאה של הפעולות במערכות. מערכות הרשות הוקמו תוך מתן דגש לנושא אבטחת הנתונים, המניעה, הבקרה והניטור של הפעילות במערכות. הרשות מונחית ומבוקרת באופן שוטף על ידי הגורם הרלוונטי בשב"כ אשר הבהיר כי הוא שבע רצון מרמת האבטחה ברשות”.
הפגיעה בפרטיות
אחד החששות העיקריים מהקמת המאגר הוא מהליך של זליגת סמכויות. כיום החוק מגביל מאוד את השימושים אפשריים במאגר, למשל המשטרה יכולה לבקש נתונים רק בעקבות צו שופט או תלונה של עובד מורשה במשרד הפנים על חשש לגניבת זהות. ואולם, לדברי המתנגדים חוקים אפשר לשנות (במדינת ישראל לא פעם בקלות רבה) ויש חשש אמיתי שהשימושים במאגר יורחבו ויגרמו לפגיעה הולכת וגדלה בפרטיות אזרחים, למשל בשם "הביטחון". מהרשות נמסר בתגובה: "מניסיון רב שנים שינויי חקיקה הם קשים מאד ונעשים בתהליך שקוף ופומבי. זהו האמצעי החזק ביותר שבאמצעותו ניתן לקבע דברים. יתר על כן, תהליכים רבים שנקבעו בחוק אינם הפיכים בצורה קלה גם מבחינה טכנולוגית".
הרשות מציינת עוד את המאגר הצה"לי, שמכיל פרטיהם של שלושה מיליון אזרחים וששימושו לא הורחב מעבר לזיהוי חללים לשימוש המשטרה או לצרכים אחרים, וכן מאגרים דוגמת מאגר התמונות של משרד התחבורה או שירות התעסוקה, שגם בהם יכולה היתה המדינה לעשות שימוש מזדחל ללא צורך להמתין להקמת המאגר. “מול הטענה שהמדינה היא הגורם שיש לחשוש ממנו קשה להתמודד", מסכמים ברשות. "אם לאזרח אין אמון בגורמי השלטון ובכללן ברשויות השונות אין הסבר או טיעון אשר יפיג את חששו”.
וזו, אולי השאלה הגדולה ביותר: עד כמה אתם סומכים על הממשלה והכנסת, הקיימות ואלו שיקומו בעתיד, שיישמרו על המאגר הביומטרי כמו שהוא, מבלי להרחיב את היקף השימוש בו?