חומר רקע

PDF 77,785 תווים המסמך המקורי ↗
1 חוות דעת הרשות להגנת הפרטיות בהתאם לחוק הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש (הוראת שעה), התש"ף– 2020 2 .2020 07 .4 1 חוות דעת הרשות להגנת הפרטיות ב התאם ל חוק הסמכת שירות הביטחון הכללי ,)לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש (הוראת שעה התש"ף– 2020 הרשות להגנת הפרטיות (להלן- "הרשות ") מתכבדת להגיש את חוות דעתה בהתאם לסעיף12 לחוק הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש (הוראת שעה), התש"ף– 2020 (להלן– "חוק הסמכת השירות" " או החוק" .) חוק הסמכת השירות קובע כי ימונה צוות שרים לבחינת הצורך בהמשך ההסתי יעות בשירות מכוח החוק "בהתחשב במצב התחלואה בישראל בשל נגיף הקורונה החדש , בתרומת תוצאות פעולות הסיוע לצמצום התפשטות המחלה ובקיומן של חלופות להסתייעות כאמור , והכל בהתחשב, בין "השאר, בפגיעה בזכות לפרטיות (להלן– "צוות השרים)" . עוד קובע סעיף12 ל חוק כי בפני ה צוות תונח חוות דעתה של הרשות להגנת הפרטיות במשרד .המשפטים בעניין זה תקציר חוות הדעת האמצעי בו נוקטת כיום מדינת ישראל לצורך איתורם של מי שבאו במגע עם חולה קורונה בפרק הזמן שקדם לאבחונו– קרי, שימוש ביכולות הטכנולוגיות של שירות הביטחון הכללי לצורך איכון החולה ומגעיו– טומן בחובו פגיעה קשה ביותר בפרטיותם של כל אזרחי המדינה לגביהם מופעל הכלי, ומעורר קשיים בהיבטים מרכזיים נוספים. כפי שקבע בית המשפט העליון בפסק הדין בעניין בן מאיר "הבחירה לעשו ת שימוש בארגון הביטחון המסכל של המדינה לצורך מעקב אחר מי שאינם "מבקשים לפגוע בה, מבלי שניתנה הסכמה לכך מצד מושאי המעקב, מעוררת קושי רב ביותר1 . הרשות להגנת הפרטיות ערה לצורך הדוחק שבהפעלת אמצעי יעיל לאיתור המגעים של חולי קורונה מאומתים, בשים לב לנתוני התחל ואה ולהכרח בבלימת התפשטות המגפה. אולם, במצב הדברים הנוכחי, כאשר ברור שנגיף הקורונה אינו צפוי להיעלם בקרוב והעולם כולו נערך ל ""שגרת קורונה העשויה להימשך חודשים ואולי אף שנים, מתחזק הצורך באיתור ובשימוש ב אמצעים חלופיים מידתיים, אשר יוכלו לשמש לטווח ארוך, גם .בעתות גאות ושפל של המגפה בתוך כך, קיימה הרשות במרוצת השבועות האחרונים פגישות ובדיקות מקיפות לבחינת האמצעים הדיגיטליים השונים העומדים כיום בפני הממשלה לשם הגשמת התכלית של איתור מגעים וקטיעת .שרשרת ההדבקה כפועל יוצא מתהליך בחינה זה, הרשות סבורה כי לעת הזו ישנה חלופה הולמת אחרת, והיא יישומון "המגן2 ." 1 בג "ץ2109/20 בן מאיר נ 'ראש הממשלה ( 26.4.20 ), פסקה46 לפסק הדין. 3 יישומון המגן2 פותח על ידי משרד הבריאות תוך שמירה על עקרונות העיצוב לפרטיות, באופן המאפשר איתור יעיל של מגעים בטווח זמן מיידי, ובד בבד שומר בצורה המיטבית על פרטיותם של ה משתמשי ם . היישומון העדכני עוצב כך שהוא משקלל נתוני מיקום ונתוני קרבה, באופן שעתיד להגדיל דרמטית את יעילות איתור המגעים לעומת החלופות האחרות. הגם שנדרש עוד לטייב את היישומון האמור הן בהיבטים טכנולוגיים והן בהיבטי הגנת פרטיות ואבטחת מידע, הרי שלעת הזו , ובהינתן החלופות האחרות הזמינות כיום לתפעול מ היר- .הרשות סומכת ידיה על יישומון זה היישומון ,מוכן להפעלה אך טרם הושק ובהתאם לאמור בחוות דעת זו- הרשות קוראת להפעלתו ולהטמעת ו בקרב הציבור לאלתר. היתרונות ביישומון המגן2 על פני האמצעים המופעלים כיום גלומים בשורה ארוכה של מאפיינים – היישומון פועל על פי המודל הביזורי, כך שכל נתוני המיקום ונתוני הקרבה הנאספים על ידו נשמרים ומעובדים אך ורק על גבי המכשיר הנייד של המשתמש . ליישומון ישנה יכולת גבוהה לאיתור ,מגעים מבוססי קרבה ברמת דיוק של עד סנטימטרים ,לרבות בתוך שטח סגור ו יכולת הבחנה בין קו מות. הנתונים כלל אינם מדווחים למשרד הבריאות או לכל גורם אחר (להבדיל ממודל ריכוזי בו המידע מועבר למשרד הבריאות), ונמחקים במועד הפיכתם ל בלתי- רלוונטיים; מדובר במערכת מבוססת- הסכמה, באופן שכל פעולה ביישומון טעונה הסכמה אקטיבית של המשתמש, וכך גם התקנתו על גבי המכשיר הנייד; המידע שנאסף ונשמר ביישומון הוא המידע המינימלי הדרוש .להגשמת תכליתו, והסרת היישומון מביאה למחיקת המידע כולו היישומון מבצע שימוש בנתוני מיקום ובנתוני קרבה, ו על כן הוא בעל פוטנציאל להגשים ביעילות רבה – שאינה נופלת מזו של מנג נ ון השב"כ– את התכלית של איתור המגעים ,הן מבחינת דיוק הממצאים והן מבחינת ההגנה על הפרטיות. ,להבדיל השימוש באמצעי האיכון של השב"כ, המבוסס על נתוני מיקום במודל ריכוזי , מהווה פגיעה משמעותית בפרטיות ,. בנוסף גם מנגנון איכון השב"כ אינו מיטבי מבחינת הדיוק ולראייה היקף האיכונים השגויים שבוצעו ב תקופה האחרונה . ,על כן הרשות סבורה כי המשך השימוש באמצעים המופעלים על ידי ה ,שב"כ על מידת דיוקם המוגבל ו בהינתן,שמידת פגיעתם בפרטיות גדולה לאין שיעור גם לאחר ש היישומון בגרסתו המשודרגת יופעל , תהווה פגיעה לא מידתית בפרטיות, וכן עשוי ה להוביל לפגיעה באמון הציבור במערכות השלטון, לכרסם באופן משמעותי במעמדה של הזכות החוקתית לפרטיות, ולהביא לנרמול של שימוש ביכולות טכנולוגיות של גופי בטחון לצורך פרקטיקות של מעקב אחר אזרחים שומרי .חוק נוסיף, כי עצם השקת היישומון אינה מספיקה . יעילותו והצלחתו כאמצעי חלופי תלויה בראש ובראשונה במידת התפוצה ו ההטמעה שלו בקרב הציבור הרחב . לשם כך יש להשקיע את מירב המאמצים בפעילות הסברתית מואצת ומאומצת בהיקף נרחב, לצד פעילות הסברה ממוקדת במגזרים מסוימים , שקיפות מלאה, הכל במטרה להעלות את אמון הציבור ביישומון ולגרום לציבור להתקינו . 4 יודגש, כי יישומון המגן2 אינו חף מטעויות וכטבעה של טכנולוגיה מתפתחת– גם לו יי דרש המשך שיפור וטיוב . עם זאת, וכפי שהשתקף בבירור במהלך השבועיים האחרונים, מנגנון השב"כ , מעבר ,לפגיעה הדרמטית בהיבטי פרטיות מזמן אף הוא טעויות למכביר, ועל רבים נגזר בידוד והגבלה דרמטי ,ת על חופש התנועה כאשר למעשה כלל לא באו במגע עם חולה קורונה ( ,כמו כן מנתוני הדיווח של משרד הבריאות מיום 9/7/2020 עולה כי אחוז החולים ה מאומתים מבין המבודדים שקיבלו התראת איכון עומד על כ 5% מסך המבודדים בלבד). בהינתן שאף אחת משתי מהחלופות הקיימות כעת אינה מושלמת, ובכוחן של שתיהן להגשים את התכלית של איתור המגעים ביעילות ובמהירות– יש להעדיף את החלופה שפגיעתה בפרטיות .פחותה לאין ערוך כך מתחייב גם מפסיקת בית המשפט העליון, אשר קבע בעניין בן מאיר כי ..."המאמץ לאיתורה של חלופה יעילה חייב להימשך ללא לאות במסג רת חיפוש חלופה כאמור, יש ליתן את הדעת לפגמים המהותיים הקיימים במנגנון הנוכחי, ובמיוחד יש לשקול אם ניתן להשיג את התועלות החשובות הנדרשות באמצעות שימוש במנגנון וולונטרי ושקוף למשתמש." לפיכך, עמדת הרשות היא שיש להשיק ללא דיחוי את גרסת" המגן2.0 " , שכן בהינתן החלופות הקיימות היא עדיפה לאין שיעור על פני שימוש בכלי מעקב פוגעני של גוף בטחון שאינו מיועד .למטרה זו בכל הנוגע לאמצעים המשלימים שנבחנים כיום, סבורה הרשות להגנת הפרטיות כי לפני הטמעתם במסגרת פתרון כולל, יש לבצע תסקיר מעמיק לניתוח השפעה על הפרטיות, וכן לשלב את הרשות במסגרת תהליך האיפיון והפיתוח של אמצעים אלה, שכן הם נושאים בחובם פגיעה משמעותית .בפרטיות חוות הדעת שלהלן סוקרת בהרחבה מגוון טכנולוגיות ניטור, לרבות אלו המשמשות מדינות שונות ברחבי העולם, מציגה את המודלים השונים הקיימים בתחום, ובונה מדרג אמצעים לאיתור מגעים .בראי הפרטיות לשם הנוחות, מדרג האמצעים מוצג גם בגרף ויזואלי (רא ו עמוד 12 .) כמו כן , כולל ת חוות הדעת נספח רחב היקף הסוקר בהרחבה פרקטיקות ניטור בהקשרי מגפת הקורונה, הננקטות נכון להיום ב- 16 .מדינות מובילות ברחבי העולם 5 תוכן העניינים תקציר חוות הדעת ................................ ................................ ................................ ............. 2 עקרונות דיני הגנת הפרטיות בקליפת האגוז ................................ ................................ .......... 6 מבוא ................................ ................................ ................................ ................................ 6 התשתית הטכנולוגית ................................ ................................ ................................ .......... 7 1. נתוני מיקום והסכנה לפרטיות ................................ ................................ ........... 7 2. נתוני קירבה והסכנה לפרטיות ................................ ................................ ........... 8 3. המודל הריכוזי אל מול המודל הביזורי ................................ ............................. 10 מדרג אמצעים לאיתור מגעים בראי הפרטיות ................................ ................................ ...... 11 אמצעים לניטור דיגיטלי ................................ ................................ ................................ .... 13 עידוד התקנת היישומון ונשיאת המכשיר ................................ ................................ ............ 14 אמצעים משלימים להרחבת הכיסוי ................................ ................................ ................... 15 התממשקות לסטנדרט בינלאומי ................................ ................................ ........................ 15 עיצוב לפרטיות בשמירה על המידע ................................ ................................ ..................... 16 דגשים לפרטיות במאגרי משרד הבריאות ................................ ................................ ............ 17 עמדת הרשות להגנת הפרטיות ................................ ................................ ........................... 17 1. יישומון המגן2.0 ................................ ................................ ............................... 18 2. שימוש באמצעים משלימים להרחבת הכיסוי ................................ .................... 19 3. השימוש בכלי השב"כ ................................ ................................ ......................... 20 'נספח א– פרקטיקות ניטור ברחבי העולם ................................ ................................ .......... 22 6 חוות דעת הרשות להגנת הפרטיות במסגרת הוראות חוק הסמכת ה שירות מונחת בזאת בפניכם חוות דעת הרשות להגנת הפרטיות. עקרונות דיני הגנת הפרטיות בקליפת האגוז הזכות לפרטיות הינה זכות חוקתית הקבועה בסעיף7 לחוק- יסוד: כבוד האדם וחירותו. זכות זו היא נגזרת של כבוד האדם כמו גם זכות אזרחית המבטאת את החירות הבסיסית של האדם "להיעזב במנוחה". פרטיות בהקשר זה מתיישבת עם הצורך של אנשים להישאר אנונימיים וכן להיות מוגנים מפני התערבות פסולה של רשויות המדינה וגורמים אחרים, בחייהם. תפיסה זו באה לידי ביטוי בדין הישראלי, בין היתר, בהוראות סעיף2 (1) לחוק הגנת הפרטיות, התשמ"א- 1981 " :(להלן חוק הגנת הפרטיות ."") המגדיר פגיעה בפרטיות כ"בילוש או התחקות אחר אדם העלולים להטרידו חוק הגנת הפרטיות כולל מספר עקרונות מרכזיים. עיקרון אחד הוא עיקרון ההסכמה , המבטא את שליטתו של הפרט ביחס למידע הנוגע אליו, ולפיו ה פרט הוא האחראי ביחס לאיזה מידע הנוגע אליו ייחשף, ולמי. עיקרון זה בא לידי ביטוי, בין היתר, בסעיף1 לחוק הגנת הפרטיות, הקובע כי "לא יפגע אדם בפרטיות של זולתו ללא הסכמתו". על פי חוק הגנת הפרטיות, הסכמה בהקשר זה צריכה להיות "מדעת", קרי כזו הניתנת רק לאחר שאדם .מבין את משמעות הסכמתו, ואת השלכותיה עיקרון מרכזי נוסף הוא עיקרון צמידות המטרה . על פי עיקרון זה, המוסדר תחת סעיפים2 (9) ו- 8 (ב) לחוק הגנת הפרטיות, שימוש במידע יכול להיעשות אך ורק בהתאם למטרה שלשמה הוא נאסף מלכתחילה. שימוש במידע למטרה אחרת מזו שלשמה הוא נ .אסף, מהווה פגיעה בפרטיות ,אמנם, ככל הזכויות גם הזכות לפרטיות אינה מוחלטת ובהחלט יתכנו נסיבות בהן אינטרסים .אחרים יצדיקו פגיעה מסוימת בזכות לפרטיות תפיסה זו מוסדרת, בין היתר, במסגרת ההגנות הקבועות בסעיף18 לחוק הגנת הפרטיות. עם זאת, פגיעה שכזו צריכה להיעש ות בהתאם לתכלית הוראות הדין ולעמוד בדרישת המידתיות. מבוא ,כחלק מהצורך למגר את התפשטות מגפת הקורונה ישראל ומדינות רבות נוספות ברחבי העולם עושות שימוש באמצעי ל ם ניטו.ר דיגיטלי השימוש העיקרי ב אמצעים לניטור דיגיטלי נועד ל איתור אנשים אשר שהו בקרבת חולה קורונה, לצורך קטיעת שרשרת ההדבקה, וזאת בשל מאפייניה הייחודיים של המחלה. לפי מאפיינים אלה רבים מהחולים נושאים את הנגיף מבלי לגלו ת תסמינים כלשהם ולעיתים אלה מתגלים רק מספר ימים לאחר ההדבקות בנגיף. 2 מדובר בנשאים שטרם אובחנו, אשר מפיצים את הנגיף ב סביבתם ולכן מדינות רבות מבקשות לבודד לא רק את מי שאומתו כחולי קורונה או נשאים של הנגיף, אלא גם את מי ששהו בקרבתם . 2 שימושים באמצעי ניטור דיגיטלי ברחבי העולם נעשים ככלל לצורך קבלת נתונים אגרגטיביים בדבר התפשטות המחלה, ולצורך אכיפת חובת בידוד. אמצעי ניטור לצורך אכיפת בידוד אינם מקובלים ברוב ן המכריע של הדמוקרטיות .המערביות, כפי שעולה מהסקירה הבינלאומית הרצ"ב למסמך זה, ולכן המסמך עוסק באיתור קרבה לחולה קורונה 7 איתור קרבה ונתוני מיקום3 מעוררים ,חששות כבדים לפגיעה בפרטיות הציבור וביכולת ו של אדם להתנהל במרחב הציבורי באופן אנונימי ובלתי מזוהה. מצב זה עלול להביא ליצירת תחושה של מעקב תמידי אחר מיקומו של היחיד במרחב הציבורי, ו מכאן התפתחו טכנ יקות שונות המאפשרות לאתר קרבה לחולה קורונה גם מבלי.לאסוף נתוני מיקום התשתית הטכנולוגית 1. נתוני מיקום והסכנה לפרטיות 1.1 . נתוני מיקום מתייחסים לאזור בו שהה אדם ולמועד בו הוא שהה ב אותו אזור . שני המקורות העיקריים לאיסוף נתוני מיקום הם רשתות טלקומוניקציה המופעלות לפי דיני התקשורת המקומיים, וספקי שירותים שונים המוצעים (בדרך כלל במסגרת של יישומונים ) על גבי רשתות תקשורת (דו גמת יישומוני ניווט, תחבורה חכמה, פעילות גופנית וכיו"ב). הנתונים ,נאספים במקרה הראשון על ידי בעלי רישיונות התקשורת וב מקרה ה שני באמצעות יכולות המיקום המותקנות על המכשיר הנייד , הכוללותGPS , גישה לנתוניWi-Fi ועוד ,ו נשמרות ומעובדות על ידי מערכת ההפעלה או ה יישו מון .הספציפי 1.2 . גם כאשר נתוני מיקום נאספים או מועברים בתצורה אנונימית, ישנם מקרים בהם ניתן לבצע הליך של זיהוי מחדש לנתונים שעברו תהליך אנונימיזציה (דה- .)אנונימיזציה מכיוון שהמידע ה"אנונימי" כבר הועבר לידיים חיצוניות, ברגע שהמידע אשר זוהה מחדש - נחשף, לא ניתן להחזיר את הגלגל ל אחור, ומידע אישי ורגיש חשוף לכל המבקש לנצלו לרעה . ככל שהזמן חולף טכנולוגיות המידע משתפרות, ומקורות מידע רבים נעשים פומביים, דבר המגביר את הסיכון של הצלבת המידע הגלוי עם המידע ה"אנונימי" באופן יגר ש ום לחשיפת המידע וזיהוי מחדש של המש.תמש 1.3 . גם במקרה בו נתוני מיקום יהיו אנונימיים לחלוטין , ולא יהיו מקושרים ל כל פרט אשר יאפשר זיהויו של ,אדם הצלבת ם .עם מידע זמין אחר עלולה לגרום לזיהוי כך למשל - - הצלבת קו או רדינטות של מכשיר נייד4 עם מספר ה- MSIN 5, מספר ה- IMEI 6 או מספר ה- MAC 7 ,המצויים בידי ספק השירות עשויה לגלות מי הוא בעליו והיכן היה; - הצלבת כתובתIP ,המשמשת לגישה לאינטרנט עם חשבון האינטרנט של המשתמש מגלה מי הוא בעליו והיכן שהה; הצלבת צילומי תנועת מכוניות עם מספר רישוי רכב מגלה נתוני מיקום של,נהג הרכב שהוא לעתים קרובות גם בעל י;ו 3 נתוני מיקום ואיכון דרך חברות הסלולר יאפשרו למשרד הבריאות לקבל מידע אישי מזהה אודות חולה מאומת או כל מי שנתוני המיקום של מכשיר הסלולר שלו יעידו ש שהה במרחק מסוים מחולה הקורונה 4 רשתות סלולריות מחולקות לתאים, ובכל תא ממוקמת אנטנה. כאשר משתמש נקלט בתא מסוים, הרשת מכירה .את המיקום ויודעת באיזה מרחק מהאנטנה נמצא המשתמש 5 Mobile Subscriber Identification Number 6 מספר מזהה של המכשיר הסלולרי. 7 מזהה ייחודי )המוטבע על רכיבי תקשורת נתונים (כגון כרטיס רשת או ראוטר. 8 - הצלבת נתוני מיקום עם מידע המצוי ברשתות חברתיות, מצלמות אבטחה במרחב הציבורי, רישומיPNR, עסקאות אשראי וכיו"ב, עלולים גם הם לגרום לזיהוי פרטיו של אדם. 1.4 . מחקרים מראים כי מעקב במשך שנה וחצי אחר נתוני מיקום אנונימיים של חצי מיליון ,איש, מעלה כי לרובם יש שובל ייחודי המאפשר לזהות95% מהם. 8 1.5 . שימוש בשירותיGPS , רשתותWi-Fi ו- Bluetooth מייצר שובל דיגיטלי של נתוני ,מיקום, אשר מגלים מידע רגיש על חייו והרגליו של אדם זאת הרבה מעבר למיקומים .בהם שהה כך למשל– - מצבו הבריאותי והנפשי של אדם ( כגון אדם המבקר במוסדות רפואיים); - אמונותיו (ביקור בבית כנסת, מסגד או כנסייה, או העדר תנועה ושימוש בימי שבת); - דעותיו ה פוליטי ו ת (ביקור במוסדות מפלגתיים או השתתפות בהפגנות); - נטייתו המינית (ביקור במקומות בילוי ייעודיים לקהילה מסוימת); - מצב ו ה כלכלי (אזור מגורים, מקום עבודה ו מקומות בילוי עשויים כולם ל למד על מצב סוציו-אקונומי); - קשריו ה חברתיים ה או מקצועיים , ומצב תעסוקתו (מקום הימצאו במהלך יום )העבודה; - ( מצבו האישי של אדם כגון מקום לינה השונה מכתו)בת מגוריו. 1.6 . נתוני מיקום הינם בסיס לשירותים מסחריים רבים (נתוני מיקום מאפשרים יצירת פרופילים המאפשרים הצעת שירותים ומוצרים באופן ממוקד ולחלופין במועד ההגעה למיקום מסוים), ולכן יש להם ביקוש רב בקרב סוחרי מידע וגורמים מסחריים למטרות כלכליות ואחרות . הביקוש הגובר לנתוני מיקום מייצר תמריץ לשימושים שלא כדין במידע (למשל, מכירת המידע לסוחרי מידע), הן ע"י מי שמורשים לגשת למאגר (עובדי הארגון המנהל או המחזיק במאגר) והן ע"י פורץ חיצוני , זאת באמצעות ניצול המידע לצרכי .סחיטה, התנכלות, אפליה תעסוקתית, ביטוחית ועוד 2. נתוני קירבה והסכנה לפרטיות 2.1 . נתוני קרבה יכול ים להיאסף ב מגוון של טכנולוגיות. קיימים אמצעי ם לאיתור נתוני ק רבה האוספים ומצליבים נתוני מיקום (נתונים על תנועה של אדם , הנאספים ע"י חברות תקשורת או ספקי שירותים האוספים נתוניGPS , ניתוח צילומי וידאו וכיו"ב). בנוסף קיימים אמצעים טכנולוגיים אשר אוספים נתוני קירבה בלבד ( ,קרי מידע על העובדה שאנשים הי ו במרחק מסו ים זה מזה) , זאת מבלי לאסוף בהכרח מידע על המקום שבו ארעה האינטראקציה,. כך למשל לצורך איתור המקרים בהם חולה קורונה שהה במרחק מסוים לפרק זמן מסוים ליד אדם אחר, לא נדרש לדעת היכן בדיוק ארע ה מפגש ביניהם. 8, Scientific Reports, 3 article 1376 (2013), Unique in the Crowd: The Privacy Bounds of Human Mobility 01376 https://www.nature.com/articles/srep 9 2.2 . איתור באמצעות נתוני קירבה מתבסס בדרך כלל על אותות המועברים ב- Bluetooth בין משתמשים אשר הורידו יישומון רלוונטי למכשיר ה נייד, ונמצאים בק רבה מספקת זה לזו . טכנולוגיה זו מכונהBluetooth Low Energy (BLE) . 2.3 . קביעת ק י רבה בשיטתBluetooth נעשית בדרך כלל :באופן הבא כל משתמש ב יישומון הייעודי מקבל מספר רנדומלי אנונימי הנשמר במכשיר הטלפון הנייד שלו – טוקן. טוקן זה יכול שי תחלף בפרקי זמן קבועים ותדירים, מטעמי אבטחת מידע ושמירת פרטיו המזהים של המשתמש .כאשר משתמשים נמצאים בק רבה מספקת מבחינה טכנולוגית , מכשירי הטלפון יוצרים קשר( Hand Shake ) ומחליפים ביניהם את הטוקנים במקרה ש עוצמת האות ומשך המפגש עומדים בקריטריונים המוגדרים במסגרת השירות (בד רך כלל )על פי פרמטרים של זמן ומרחק מינימליים. כל מכשיר נייד שומר את הטוקן של המשתמש השני ובצמוד לו חתימת זמן המציינת את מועד המפגש. :לדוגמא משתמש 'א' פוגש את משתמש ב והמכשירים מתקשרים בינם לבין עצמם . אם פרטי המפגש עומד ים בפרמטרים שהוגדרו במערכת (לדוגמא עד2 מטר ומעל15 )דקות , ה יישומון 'של משתמש א שומר את פרטי הטוקן 'של משתמש ב בצמוד לחתימת הז ,מן ולה י.פך 2.4 . ,יצויין כי בהיבט הטכנולוגי ,טכנולוגיה המבוססת על נתוני קירבה מסוגלת לזהות את המרחק ממכשיר שכן בדיוק של סנטימטרים, ועל כן הינה מדויקת יותר ו עדיפה בהרבה על נתוני מיקום שמקורם ב- GPS שעל המכשיר , המאפשר דיוק של מטרים בודדים , ואלה בתורם מדויקים יותר ועדיפים על איסוף נתוני מיקו ם מספקיות התקשורת , אשר באזורים בהם הכיסוי הינו חלקי יכול להגיע ל"דיוק" של מאות מטרים . רמת הרזולוציה שנתוני הקירבה מספקים היא גבוהה הרבה יותר מזו של נתוני מיקום מבוססיGPS ועוד יותר מזו של נתוני מיקום מבוססי ספקיות תקשורת. זאת משום ש הפקת נתוני מיקוםGPS תלויה בקישור ללוויינים ורשתות אלחוטיות וסלולריות , ונתוני מיקום ספקיות התקשורת תלויה בהצלבה טריאנגולרית שבין תאים סלולריים , אשר אינם מספקים נתונים במידת הדיוק הנדרשת לצורך קב יעה כי אנשים שהו בקרבה זה לזה( אשר על פי הגדרות משרד הבריאות נדרשת קרבה של עד2 מטר למשך15 דקות) , ( דבר המביא בפועל לרמה גבוהה של איתור שגויFalse positives) הגור ם להכנסתם של א נשים לבידוד ולפגיעה חמורה בחופש ,התנועה שלהם.אף שהם לא נדרשים בפועל לכך עוד יצויין כי טכנולוגיות לקביעת נתוני מיקום ,להבדיל מאלו של נתוני קירבה אינן פועלות כנדרש במקומות סגורים ואינן מסוגלות להבחין באנשים הנמצאים בחללים בקומות נפרדות או במיקומים משתנים (כגון קרון רכבת נע). 2.5 . בשל העובדה שנתוני מיקום מגלים מידע על תנוע ת ו של אדם במ רחב באופן שוטף, להבדיל מ נתוני קירבה אשר רק מציינים כי אנשים שהו במרחק מסוים זה מזה ברמת דיוק גבוהה יותר , השיטה האחרונה עדיפה משמעותית בהיבט של שמירה על פרטיות .המשתמשים 10 3. המודל הריכוזי אל מול המודל הביזורי השימוש בנתוני מיקום וקירבה לצורך זיהוי המגעים וקטיעת שרשראות ההדבקה נעשה על ב סיס שני מודלים עיקריים; 3.1 . המודל הריכוזי מתבסס על כך ש כל ת מש מש במערכת מקבל מספר מזהה רנדומלי משרת מרכזי (לדוגמא של משרד הבריאות) . כאשר משתמש מאובחן כ חולה קורונה, הוא יישאל במסגרת החקירה האפיד מיולוגית ה אם הוא משתמש ב יישומון , ו ככל שהתשובה חיובית ו תינתן סכ ה מתו ,להעברת המידע ה יישומון/המכשיר יעביר לשרת מרכזי את יה סטוריית האינטראקציות שלו אשר תכלול את פרטי כל המספרים המזהים עימם נפגש למשך התקופה הרלוונטית שקדמה למועד האבחון ,באופן שהמשתמשים אשר היו בקרבת ו יקבלו על כך .הודעה בנוסף, יצוין כי על מנת שהמודל הריכוזי יוכל לנתח את המידע המועבר כהלכה, נדרש כי כל האינטראקציות של כל המשתמשים יועברו באופן גולמי לשרת המרכזי. ריבוי המידע מכלל המשתמשים במערכת מאפשר ללמוד על אינטראקציות בין ישויות גם ללא זיהויים, ועל הקשרים החברתי ים בין משתמשים שונים, על אף היותם אנונימיים. שימוש בטכנולוגיות ביג .דאטה מאפשרות אם כן ביצוע זיהוי חוזר של מידע אנונימי 3.2 . ב מודל ה מבוזר ,לעומת זאת המספר המזהה הרנדומלי מונפק ע"י מכשיר הטלפון הנייד של המשתמש . כאשר משתמש או בחן כחולה , תישלח הודעה לשרת הכוללת את המספר האנונימי שלו (ומכיוון שבד"כ מספר זה מתחלף כל פרק זמן לצרכי אבטחה, יועלו כל המספרים המזהים )של המשתמש וחתימות הזמן בהם השתנו. מידע זה י ועבר לכלל המשתמשים האחרים במסגרת העדכון הקבוע שעו רך ה יישומון . אם נמצא אצל משתמש אחר מידע אודות מפגש עם חולה ש היה בקרבה מספקת אליו , נוצרת הצלבה והוא יקבל על כך הודעה מה יישומון עצמ ו , כך שהמערכת המרכזית בשלב זה לא מיודעת על קיומו של מפגש כאמור . יובהר כי במודל ה מבוזר, המידע המועלה למערכת אינו כולל כלל את פרטיהם של משתמשים אחרים, אלא רק את הטוקנים המשתנים וחתימות הזמן של המשתמש עצמו אשר נתגלה ,כחולה מאומת ומידע זה כלל אינו מעובד במערכת המרכזית. מכיוון ש במודל המבוזר רוב הפעולות מתבצעות במכשיר הטלפון הני י ד של המשתמש ולא בשרת מרכזי (הקצאת המספר ים הרנדומלי ים , מיקום הקביעה כי היתה אינטראקציה, וקביעה )של היקף המידע המועבר למערכת המרכזית כי ו נדרשת הסכמתו לכל שימוש והעברה של המידע - הרי ש פרטיות ו של נושא המידע מוגנת טוב יותר .בהשוואה למודל הריכוזי היות ו המידע האישי לא מועבר למערכת מרכזית, סיכוני האבטחה בגישה לא מו רשית למידע זה או .בדלף מידע, קטנים הרבה יותר 11 מדרג אמצעים לאיתור מגעים בראי הפרטיות פגיעה בפרטיות אשר הינה זכות יסוד, ועל אחת כמה וכמה פגיעה הנעשית על ידי המדינה, צריך שתיעשה לתכלית ראויה ובאופן מידתי. על כן, הכלל הוא כי יש לבחור באמצעי אשר מגשים את .התכלית ואשר פגיעתו בפרטיות היא הפחותה ביותר כפועל יוצא מכך, כשמחליטה הממשלה כי מצב התחלואה במגפת הקורונה מצריך שימוש באמצעי ניטור דיגיטלי אשר יסייע בהשגת מטרת קטיעת שרשראות ההדבקה, יש לבחור באמצעי לניטור דיגיטלי שיגשים תכלית זו באופן שפוגע בפרטיות הציבור במידה הפחותה ביותר, ולהשתמש בו .באופן ובתנאים שיפגעו גם הם בפרטיות במידה הפחותה להלן מדרג מודלים לקטיעת שרשרת ההדבקה המוצגים בסדר יורד ב ראי הפרטיות. ,קרי מהאמצעי המעניק למשתמש את ההגנה על הפרטיות ברמה הגבוהה ביותר ועד לאמצעי המספק הגנה על ה פרטיות ברמה הנמ :וכה ביותר 1. ,יישומון לאיתור מגעים, בהתבסס על נתוני קירבה (ללא נתוני מיקום) במודל ביזורי בהסכמת המשתמשים- מודל זה מקנה את ההגנה הגבוהה ביותר לפרטיות, מבין ,המודלים לעיל, משום שהיקף איסוף המידע ועיבודו בשרת מרכזי הוא הקטן ביותר והסכנה לפרטיות הנגרמת מסוג המ)ידע שנאסף (נתוני קירבה, ,לרבות סכנה לזיהוי חוזר היא הנמוכה ביותר. בנוסף, במודל זה בידי ה משתמש השליטה הגבוהה ביותר במידע .בהשוואה למודלים האחרים הקיימים היום 2. יישומון לאיתור מגעים וחקירה אפידמיולוגית, בהתבסס על נתוני קירבה ונתוני מיקום במודל ביזורי, בהסכמת המשתמשים- על אף ש מודל זה אוסף גם את נתיב המיקומים של המשתמש מה- GPS ,של המכשיר הוא עדיין מקנה הגנה גבוהה לפרטיות המשתמש, משום שאיסוף המידע ועיבודו נעשה על גבי מכשיר הטלפון, וכל העברת מידע לשרת מרכזי נעשית .בהסכמת המשתמש 3. יישומון לאיתור מגעים בהתבסס על נתוני קירבה (ולא נתוני מיקום) במודל ריכוזי- מודל זה עדיין מקנה הגנה לפרטיות, כאשר אינו משולב עם שירותים נוספים . זאת משום שאין איסוף של נתוני מיקום אלא איסוף של נת וני קירבה בלבד. ככל שבמערכת מסוג זה משולבים שירותים נוספים, וככל שהרישום למערכת נעשה באמצעות מסירת מזהה חד ערכי (כדוגמת מספר טלפון, מספר ציוד קצה וכיו"ב), יש להפריד בין המידע המזהה ובין נתוני המיקום, ויש להקפיד על שימוש במנגנוני אנונימיזציה והרשאות גישה למ.ערכת 4. יישומון לאיתור מגעים בהתבסס על נתוני קירבה (ולא נתוני מיקום), במודל מבוזר או ריכוזי (בהתאמה), בכפייה או בהתניית כניסה למקום (לדוגמ ה התניית כניסה למקומות )עבודה, תחבורה ציבורית וכיו"ב בהורדת היישומון- במודל זה למשתמש שליטה חלקית על המידע שלו, אולם בש ל סוג המידע שנאסף, המודל מאפשר הגנה מסוימת על פרטיותו של המשתמש. ככל שנעשה שימוש במודל זה, ראוי כי השירות לא יהיה כרוך באיסוף מידע .נוסף, מעבר לנתוני קירבה 12 5. יישומון לאיתור קרבה וחקירה אפידמיולוגית בהתבסס על נתוני מיקום בהתניית כניסה למקום (לדוגמ ה התניית כני סה למקומות עבודה, תחבורה ציבורית וכיו"ב בהורדת )היישומון- לעמדתנו מודל זה גורם לפגיעה קשה בפרטיות הן מבחינת סוג המידע שנאסף והן מבחינת השליטה החלקית בלבד שיש למשתמש על המידע שלו ( מודל מסוג זה אומץ ע"י ממשלת הודו) . 6. איסוף נתוני מיקום ישירות מחברות טלקום ע ל ידי רשויות המדינה ללא ידיעה או הסכמה של האזרחים - מודל זה גורם לפגיעה המשמעותית ביותר בפרטיות ובאמון הציבור. שימוש .באמצעי ניטור מסוג זה גורם לאזרחים לתחושה שהם נתונים למעקב מתמיד מצד המדינה היקף הפגיעה בפרטיות יושפע, בין השאר, גם מזהות הגורם הממשלתי שמנה ל את המידע (גורם ממשלתי ייעודי לתחום בריאות הציבור או רשות בעלת סמכויות אחרות וטיבן) וכן .ממתכונת היידוע, המחיקה, ניהול והעברת המידע מדרג האמצעים לאיתור מגעים– בהסכמה המגן2.0 13 מדרג האמצעים לאיתור מגעים–בכפייה אמצעים לניטור דיגיטלי הבסיס למנגנון אשר יאפשר קטיעתן של שרשראות הדבקה וכן יאפשר את פעילותו ה תקינה של המשק, ,"תוך קיום "שגרת קורונה מושתת על ביצוען של חקירות אפידמיולוגיות לחולים מאומתים על ידי משרד הבריאות , תוך .ניתוח אופן הידבקותם והגורמים עימם באו במגע האמצעים הטכנולוגיים נועדו לסייע ולתמוך בהליך חקירה זה , ו ם הינ רק מקטע אחד בשרשרת הפעולות הנדרשות לשם קטיעת שרשראות ההדבקה; 1. אמצעים מבוססי איכון – דורשים את קיומו של מכשיר טלפון בחזקתו של האדם – דבר המגביל את יכולת הזיהוי באוכלוסיות כגון ילדים ,מתחת לגיל מסוים אשר אינם נושאים עימם מכשיר סלולרי. אמצעים אלה מוגבלים בדיוק רזולוציית המיקום, וביכולת להפריד בין מגעים אשר נחזים כקרובים מבחינת שיטת הטריאנגולציה של רשת התקשורת, אך בפועל אינם עומדים בדרישות הקרבה, כגון בשל קיומם של פערים אנכיים (קומות אחרות בבניין), מקומ.ות סגורים ומקומות ללא קליטה מלאה 2 . אמצעים מבוססי נתוני מיקום ו קירבה על בסיס יישומון– דורשים את קיומו של מכשיר טלפון חכם ואת היכולת הטכנולוגית והאוריינות הנדרשת בהתקנת היישומון הו שימוש ם בה . דוגמאות למגבלות אפשר למצוא במגזרים מסוימים אשר אינם נושאים מכשיר נייד ,)(טלפונים כשרים במגזר החרדי בקבוצות גיל מסוימ ות (התקנת יישומון ,אצל קשישים )או ילדים קטנים נטולי מכשיר נייד ובמגזרים המתנגדים להתקנתו של יישומון ממלכתי. כלי השב"כ 14 3 . שימוש ב תשתיתApple – Google לאיתור מגעים 3.1 Google ו- Apple ( להלן– "החברות" ( ) פיתחו ממשקAPI ) אשר נועד לאפשר תאימות בין שתי הפלטפורמות במטרה לסייע לרשויות ה בריאות ברחבי העולם להפעיל יישומונים לאיתור מגעים בטכנולוגייתBLE .במודל המבוזר 3.2 בחודש מאי 2020 פרסמו החברות את תנאי השימוש לשירות, בה ם הן מתנות את השימוש בשירות בכך שהשירות יינתן רק לרשויות ממשלתיות רשמיות במטרה להתמודד עם משבר הקורונה אשר יקבלו את מדיניות הפרטיות. כל זאת ב כפוף לקבלת הסכמת המשתמשים להורדת הממשק, קבלת הסכמת משתמשים שאובחנו כחולים להעביר דרך הממשק הודעה על דבר מחלתם, היעדר גישה לנתוני מיקום של משתמשים, והימנעות מאיסוף פרטים מזהים, לרבות מספרי טלפון . 3.3 כ ש פי ,נמסר ממשרד הבריאות בין הסיבות בשלן הוחלט כי שירות זה לא ישמש תשתית ליישומון "המגן" , היו תנאי השירות שקבעו כי לחברות עומדת האפשרות לקבוע את מועד התפוגה של השירות (עם סיום המשבר), ואף שהדבר יעשה בתיאום עם כל רשות מדינתית– ההחלטה הסופית נותרת בידי החברות. כמו כן דורש השירות כי ה יישומון העושה בו שימוש לא י פעל לאיסוף נתוני מיקום– ועל כן לא י הווה חלק מתהליך החקירה האפידמיולוגית של רשויות הבריאות בכל מדינה. עידוד התקנ ת היישומון ונשיאת המכשיר ,הקמתה של תשתית מינימלית אשר תאפשר זיהוי מגעים ותסייע בהליך החקירה האפידמיולוגית מחייבת תפוצה מספקת של היישומון באוכלוסייה .זאת משום ש קיומו של יישומון פעי ל רק אצל אחד מהצדדים במפגש בין חולה מאומת לבין מגע, לא יאפשר את זיהוי המפגש, וכתוצאה מכך לא .תישלח הודעה לאותו מגע לאחר זיהויו של החולה המאומת ,על כן, ובמטרה לעודד התקנה של היישומון בחלקים נרחבים מהאוכלוסייה נדרשת היערכות הסברתית נ רחבת בכל הנוגע ,לחשיבות התקנת היישומון והפעלתו וכן התייחסות להיבטי ההגנה על הפרטיות וה שקיפות, אשר מהוו ים נדבך משמעותי ב העלאת אמון הציבור בה ובחשיבות התקנתה. 1. הסכמה – בסיס וולונטרי להורדת ה יישומון , להתקנת ו , להפעלת ו התקינה וכן הסכמה להעלאת מידע לשרתי המערכת במקרה בו הפך המשתמש לחולה מאומת. 2. פעילות הסברה ציבורית – קמפיין נרחב בערוצים השונים לשם העלאת המודעות לשימוש באמצעי החליפי כמפתח לחזרה לשגרה , שקיפות ומתן דגש לחשיבות שניתנה לפרטיות המשתמשים.בעיצוב הפתרון דרך מהירה לקידום נרחב של ההתקנה הינה קריאת גורמי ממשל .בכירים לציבור להתקין היישומון 3. פעילות הסברה מגזרית – תיש וף פעולה עם מעצבי דע ת הקהל במגזרים ספציפיים, ולדוגמ ה פנייה ל גורמים מוכרים ואמינים, כגון פוסקי הלכה לשם בחי נת האמצעי שיתאים לקהל הרלוונטי , וקידום קמפיין בשפה ובתרבות המתאימה למגזרים השונים. 15 4. שקיפות ויצירת אמון במערכת –פרסום של כל האמצעים אשר נועדו לשמ ו על ר פרטיותם של המשתמשים , על ידי קביעת מנגנונים וולונטריים בהורדה, בהתקנה, בהפעלה הקבועה של ה יישומון ו בנשיאת המכשיר בכל עת . בתהליך זה יש להדגיש את העובדה שבמודל הביזורי עיבוד המידע מתבצע במכשיר ואינו כולל כל העברת מידע לשרת מרכזי של משרד הבריאות או ל כל גורם אחר. התייחסות לנושא צריכת החשמל ועידוד אי-כיבויו של מנגנון ה- GPS / BLE אשר מאפשר את זיהוי המגעים , בשימוש בקוד פתוח– וקבל ת ופרסום תוצאות הבדיקות של המערכת על ידי גורמים בלתי תלויים. כן יש לשקף כי היישומון לא חף מקשיים ושיפורים .נוספים יוטמעו בהמשך אמצעים משלימים ל הרחבת הכיסוי לכל אמצעי טכנולוגי אשר יופעל על ידי הממשלה במאבק בקורונה ישנן מגבלות המונעות איתור מושלם של כלל( המגעיםFalse Negative) וכאלה המזה ים חשודים במגע אף שבפועל לא נחשפו ( לחולה מאומתFalse Positive .)על כן ,ישנה האפשרות כי ידרשו אמצעים משלימים לזיהוי גורמים אשר אינם נושאים טלפונים ניידים . הרשות בוחנת בימים אלו מספר אפשרויות שעלו לדיון בדיוני צוות החלופות שמוביל ה מל"ל. יודגש כי לגבי כל אחד מהאמצעים המשלימים יש לבצע בחינה של מידת הפגיעה בפרטיות, הן מבחינ ת טכנולוגי ית ה אמצעי (כרטיס חכם, קוראQR ,)'וכו הן מבחינת הגישה של אמצעי זה למאגרים חיצוניים ( כגון ניתוח מצלמות במרחב הציבורי לזיהוי פנים או ניטור פעילות בכרטיס אשראי , שהינם בעלי פוטנציאל כבד ל פגיעה בפרטיות וליצירת אפקט של תחושת מעקב מתמדת,) הן מבחינת האופן בו יידרש הציבור לעשות בו שימוש )(בכפייה/הסכמה ו הן מבחינת ה מצבים בהם יופעל וייאכ ף (חזרה מחו"ל, כניסה לאיזור הומה אדם , כניסה/יציאה מאיזור בסגר וכו'). הרשות להגנת הפרטיות תעביר .חוות דעתה בנושא זה לצוות השרים ככל שתקודם ותישקל הטמעת אמצעים אלו התממשקות לסטנדרט בינ לאומי קיימת חשיבות לכך שכל פתרון יתייחס לאפשרות ה התממשקות לסטנדרט הבינלאומי אשר פותח באירופה )(אינטראופרביליות , אשר יאפשר לתיירים ומב קרים מחו"ל, כמו גם לישראלים הנוסעים לנסיעות עסקי ם או לטיול בחו"ל, לשמור על רצף אפידמיולוגי ולחזור לארץ. נדרש במקביל גם לפתח תיש פ וף עולה עם גופי בריאות בחו"ל לשם השלמת החקירה האפידמיולוגית, כאשר זוהו מגעים בחו"ל או עם זרים אשר עושים שימוש ב יישומון .""זר מבחינה זו, התממשקות עתידית של המגן לאפליקציות בעלות תאימות עולמית הינה בעלת יתרון משמעותי, ויש לשקול הטמעתה .בעתיד 16 עיצוב לפרטיות בשמירה על המידע ,הפעלתם של אמצעים טכנולוגיים לקטיעת שרשרת ההדבקה, כוללים ניטור של פעולות האזרחים שמירת מידע והעברות מידע מרובות בין היישומונים וכן ל מערכת המרכזית. כל מערכת הכוללת אספקטים של מידע רגיש, נדרשת לעמוד בדרישות החוק, קל וחומר כשמדובר במידע רגיש ביותר ו עוד לפני שהושלמו כל הבדיקות לפעילות ה התקינה של המערכת . ,כדי למנוע דלפים ופגיעה בפרטיות המשתמשים נדרש לבצע מראש עיצוב לפרטיות( Privacy by Design )לכלל האספקטים של המערכת, ו ותיפ כן ח ותיקוף נוהל ומערכת הרשאות לאיסוף המידע ול העברתו בין המערכות והגופים השונים לשם יידוע מגעים ,למערכות האבטחה והבקרה . להלן מפורטים האלמנטים העיקריים שיש לו ודא עמידתם בכללי העיצוב לפרטיות. 1. ודי וו א חיוניות שדות המידע שנאספים על ידי המערכת א. פרטי זיהוי של המכשיר ושל המשתמש. ב. מידע שנמסר באופן וולונטרי על ידי המשתמש בעת ההתקנה. ג. נתוני שימוש ב יישומון ובשירותים הנדרשים להפעלת ו. ד. נתוני מיקום - היקף האיסוף ורזולוציית המיקום. ה. נתוני קירבה - היקף המידע המועבר ב( עת יצירת מגעHand Shake ) – טוקן רנדומלי מתחלף ללא פרטי זיהוי של המגע. ו. כל כמה זמן מתבצע רישום ללוג. ז. .נתונים נוספים שנשמרים 2. מחיקת מידע א. מחיקה של כל מידע שנאגר במכשיר ובמערכת המרכזית עם הפיכתו ללא רלבנטי (לדוגמא נתוני מיקום וקרבה לאחר14 או10 י מים). ב. מחיקת המידע מהמכשיר בעת הסרת ה יישומון. ג. ( מנגנון יציאה מהשירותOpt out ) או השהייה זמנית– אשר יאפשר למשתמש לעבור למצב לא מנטר של המערכת. 3. העברת המידע מהמכשיר למערכת המרכזית א. וולונטריות והסכמת המשתמש להעלאת המידע רק במקרה בו זוהה כחולה מאומת. ב. אופן העלאת המידע – הצפנת המידע ופתיחתו במערכת המרכזית , המעבר דרך שרתים ועננים בארץ ובחו"ל. ג. היקף המידע המועבר . למשל, מידע הכולל נתוני מיקום יעביר מיקומים וזמנים בלבד. מידע הכולל נתוני יק רבה יעביר את רשימת המפתחות המשתנים ו- Time stamp של המשתמש בלבד ולא של המגעים שלו. ד. יש לשים דגש על כך ש ה יישומון לא י עדכן את המערכת המרכזית במקרה בו זוהה מגע על ידי המערכת, אלא י עדכן רק את המשתמש על כך ויידע אותו בדבר חובתו להיכנס לבידוד, א,פשרויות הערעור העומדות בפניו ו חובתו לדווח למ שרד הבריאות (באמצעי אחר וחיצוני ל יישומון.) על כניסתו לבידוד 17 דיווח אוטומטי של המערכת למשרד הבריאות– ללא קבלת הסכמתו או ללא ידיעתו של המשתמש– תהווה משבר אמון של המשתמשים במערכת, ותפגע אנושות ביכולת להטמיע את היישומון ב חלקים נרחבים ב.אוכלוסייה דגשים לפרטיות במאגרי משרד הבריאות 1. תשתית המאגר – ה טכנולוגיה בה מאוחסן המ ,ידע ה מערכת בה ,מנוהל מיקום פיזי של ה מידע; 2. הרשאות הגישה - למשתמשים (לאיזה צרכים ובאיזה היקפים) ולשירותים השונים בהם עושה המערכת שימוש , ;אופן קבלת והכשרת כוח האדם בעל ההרשאות לגישה למידע 3. טיוב המידע– במסגרת החקירה האפידמיולוגית אל מול נושא המידע– רק ביחס לנתוני המיקום - ,מחיקת נקודות פרטיות (כגון בית מגורים), זיהוי טעויות, הגדלת רזולוציה (מיקום במבנה לעומת מיקום בקומה8 .'במבנה), אגרגציה של נתונים וכד 4. השימוש במידע רק על ידי בעלי הרשאה ובמסגרת הסמכות – - צרכי החקירה האפידמיולוגית - פרסום נתוני החקירה האפידמיולוגית – כגון אתר המשרד. - העברת המידע הרלוונטי למשתמשי ה יישומון – לשם עיבוד וזיהוי מגעים באופן מקומי על גבי המכשיר. - אנונימיזציה של הנתונים לצורך ניתוח סטטיסטי וקביעת מדיניות – כגון זיהוי של אזורים .אדומים, זיהוי מגמות בדבר אופן ההדבקות 5. העברת מידע מהמערכת לצדדים שלישיים - )כגון ספקים חיצוניים (לצרכי משלוח הודעות ופנימיים (לצורךCall center ) 'גופי ממשלה, דוחות מנהלים וכד; 6. העברת מידע מהמערכת למגעים – עדכון שעתי של תוצר החקירה האפידמיולוגית למכשירים עליהם מותק ן ה יישומון – לצורך עיבוד מקומי על גבי המכשי ,ר הצלבת נתונים וזיהוי ו עדכון המשתמש בדבר קיום מגע עם חולה מאומת. העברת מידע לצרכי בירור וערעור על החלטת בידוד ;'וכד 7. מנגנוני הבקרה והתיעוד; 8. אבטחת המידע – מערכות, כלים ובקרות מפצות לשם השמירה על אבטחת המידע ב יישומון ובמערכת המרכזית , מנגנוני הצפנה וזיהוי המשתמש , מבחני חוסן מחמירים ,של הקוד הפלטפורמה והתשתיות .'וכד עמדת הרשות להגנת הפרטיות הרשות ערכה פגישות ובדיקות מקיפות לבחינת ה אמצעים השונים אשר עומדים כיום בפני הממשלה לצורך הגש מ ת התכלית של קטיעת שרשראות ההדבקה של מחלת הקורונה, לרבות הפתרון מבוסס כלי השב"כ, אפליקציית המגן (בגרסת המגן 2.0 )הכוללת נתוני מיקום וקרבה ותשתיות נתוני קרבה המסופקות על ידי חברותGoogle ו- Apple . 18 ,על יסוד כלל המידע המונח בפניה נכון להיום להלן עמדתה :של הרשות להגנת הפרטיות 1. יישומון המגן2.0 הרשות ערכה פגישות עם צוות הפיתוח של משרד הבריאות, ועברה על מפרטי היישומון והעיצוב לפרטיותו, לבחינת פתרון יישומון המגן (בגרסה2 הכוללת נתוני מיקום וקרבה) ויישומו להגשמת התכלית שהוגדרה ו בראי .של עיצוב לפרטיות ואבטחת המידע " בהמשך למדרג שפורט לעיל ונכון למועד כתיבת חוות דעת זו, יישומון המגן 2 "מ הווה פתרון ברמה2 – שכן הוא כולל איסוף של נתוני מיקום ונתוני קירבה, ואף שהגרסה הנוכחית כוללת בעיות בהפעל ת ה רקע בנייד9 - נכון לעת הזו ובראי כלל החלופות האפשריות– הרשות להגנת הפרטיות סומכת את ידיה על פתרון זה, ו קוראת לוועדת השרים לקדם את העלאתה של אפליקציית" המגן2 " בגרסתה המחודשת בהקדם האפשרי, לצד קידום קמפיין הסברתי ו ,אינטנסיבי אליו יש לגייס גם ,מקבלי ההחלטות לשם הטמעתו באוכלוסייה בהיקף נרחב מהר ככל האפשר . ככל שפתרון זה יתפוס פלח נרחב יותר ויותר מההצלחה באיתורם של מגעים ובקטיעתן של .שרשראות ההדבקה, יהיה מקום לבחון גם את הכנסתם של אמצעים משלימים לתורת ההפעלה ( בעת אפיונו ופיתוחו של יישומון המגן אומצו עקרונות העיצוב לפרטיותPrivacy By Design - PbD) בצורה המגנה ב אופן מיטבי על פרטיותם של המשתמשים בה– א. מערכת ביזורית – כל המידע שנאסף ביישומון– הן נתוני המיקום והן נתוני הקירבה- .נשמרים על גבי המכשיר, מעובדים על גבי המכשיר, ונמחקים במועד הפיכתם ללא רלוונטיים היישומון והמכשיר אינם מדווחים כלל למשרד הבריאות או לכל גורם אחר על כל ממצא שנמצא במסגרתו (ובכלל זה גם על מציאתו ;)של מגע עם חולה מאומת המקרה היחיד בו מופעל מודל ריכוזי ביישומון הוא כשהמשתמש עצמו מאובחן כחולה מאומת, אז– בהסכמתו בלבד וכחלק מתהליך החקירה האפידמיולוגית– מועלה המידע :שנאגר ביישומון למערכת המרכזית של משרד הבריאות באופן הבא - נתוני מיקום – מטוייבים ביחד עם המשתמש לצורך יצירת נתיב אפידמיולוגי אשר יפורסם (אנונימית באתר המשרד ודרך האפליקציה) ואינם מגלים דבר על מי שהיה .בקרבת המשתמש הדבר ישמש לצורך קביעת מדיניות הממשלה על ידי ניתוח המידע באופן סטטיסטי ואגרגטיבי– דבר שאיסוף נתוני קירבה בלבד לא יסייע בו (כגון לצורך זיהוי של אזורים בהם יש ריכוז גבוה של חולים, לצורך קבלת החלטות בנושא סגרים .)מקומיים והקצאת משאבים לבתי חולים לפי נתוני התחלואה - נתוני קירבה – לא מועלים כלל לשרת, אלא רק הטוקנים הרנדומליים שיצר היישומון למשתמש . אלה נשלחים ללא כל עיבוד לכל המשתמשים האחר ים ביישומון, לשם עיבוד מקומי אצלם וקבלת חיווי מקומי אם שהו בקרבת המשתמש שזוהה כחולה קורונה- .למשרד הבריאות אין כל מידע לגבי מגעים אלה 9 בעיקר בטלפונים סיניים וכן ביחס לגרסאות היישומון המותקן על מערכת ההפעלהiOS אשר אינה משדרת נתוני קירבה 19 ב. מערכת וולונטרית מבוססת הסכמה – לכל פעולה ביישומון נדרשת הסכמה אקטיבית של המשתמש– ,להורדת היישומון ולהתקנתו על גבי המכשיר למתן גישה ליישומון לתשתית המיקום והקירבה הקיימים במכשיר, להעלאת המידע שנאגר במכשיר לשרתי משרד הבריאות במסגרת של חקירה אפידמיולוגית (וזאת רק במקרה בו החולה הינו מאומת, ורק במסגרת החקירה), ואף לדיווח על איתורו של מגע עם חולה מאומת (היישומון אינו מעדכן את משר ד הבריאות או כל גורם אחר בדבר מגע כאמור– אלא רק מעדכן את המשתמש בדבר חובת הבידוד, ומפנה את המשתמש לטופס הדיווח על באתר משרד הבריאות). ג. מערכת מאובטחת ומעוצבת לפרטיות – המידע שנאסף ונאגר ביישומון הינו המידע המינימלי שנדרש להגשמת תכלית היישומון, המידע שאינו רל וונטי נמחק ואינו נשמר, והסרת היישומון .מוחקת את כל המידע שנאגר בה המערכת נכתבה בקוד פתוח, לוותה, אומצה ונבדקה על ידי מומחים וגורמים חיצוניים ובלתי .תלויים, כמו גם על ידי גופים ממשלתיים ,כמובן, ייתכן שבהמשך ייתגלו בהפעלת המערכת באגים פירצות ,אבטחה או בעיות פרטיות אך אפיון המערכת, פיתוחה והפצתה מהווה תשתית מיטבית להגנה על פרטיותם של ה משתמש ים. 2. שימוש ב אמצעים משלימים להרחבת הכיסוי הן כלי השב"כ והן השימוש ב יישומון המגן או כל יישומון אחר, ם אינ כולל ים כיסוי מלא של כלל האוכלוסייה , שכן יש פלחים בקרב האוכלוסייה אשר אינם עושים שימוש בטלפונים סלולריים או מ מילא מ תנגדים לשימוש ביישומון ממלכתי . לשם הגשמת קטיעת שרשרת ההדבקה גם בפלחים ,אלה נבחנת כעת אפשרות הטמעת אמצעים משלימים על ידי משרד הבריאות , אך אלה טרם נבחנו על ידי הרשות באספקטים של עיצוב לפרטיות . הרש ות להגנת הפרטיות סבורה ביחס לאמצעים המשל י מים, כי לפני הטמעתם במסגרת ,פתרון כולל יש לבצע תסקיר מעמיק לניתוח השפעה על הפרטיות, ו כן לשלב את הרשות במסגרת תהליך האיפיו ן .והפיתוח של אמצעים אלה, שכן הם נושאים בחובם פגיעה משמעותית בפרטיות בשלב זה הרשות ממליצה שלא לשלב אמצעים משלימים אלה , שכן תהליך בחינתם טרם הושלם. הרשות סבורה כי נכון יהיה להכניס את יישומון "המגן 2 " לשימוש מסיבי ה מלווה בהליך הסברה והטמעה לציבור, ורק לאחר ניתוח ממצאי ההטמעה בקרב האוכלוסייה הכללית ,לבצע בחינה של האמצעים המשלימים. יודגש כי, אמצעים משלימים הנסמכים על שימוש במאגרים חיצוניים– כגון מידע מיקום מחברות כרטיסי האשראי או חברת רב-קו ', זיהוי פנים ממצלמות במרחב הציבורי או במרחבים עסקיים וכד – אלה כאמור טומנים בחוב ם פגיעה קשה ביותר בפרטיות.הציבור דווקא השימוש באמצעים לבישים– דוגמת צמי ד– באזורים ייעודיים אשר יוגדרו מראש (כגון בתי )'חולים, מוסדות חינוך וכד ובמסגרת של התניית כניסה למקום בענידתם , נראה כניתנים לעיצוב לפרטיות– במיוחד אם הם יהוו נדבך נוסף ביישומון"המגן" .או ישתמשו בטכנולוגיה דומה 20 3. השימוש בכלי השב"כ הרשות כבר הביעה לא אחת ,את עמדתה בנושא זה כי בהיבטי הגנה על הפרטיות, ישנו קושי רב ו מהותי לבצע פעילות ניטור על ידי גוף שייעודו העיקרי הינו מאבק בסיכול פעילות טרור והגנה על .בטחון המדינה עמד על כך בית המשפט העליון בפסק הדין בעניין בן מאיר מיום 26.4.20 : "הפגיעה בפרטיות במקרה דנן היא קשה במיוחד משתי סיבות עיקריות: האחת עניינה במיהות הגורם אשר מפעיל את האמצעים הנדונים, היינו בעובדה כי השב"כ– שירות הביטחון המסכל של המדינה– הוא זה אשר מפעיל אמצעי מעקב אחר אזרחי ותושבי המדינה; והשניה עניינה במיהות האמצעים שנבחרו, קרי בעובדה שמדובר ב מנגנון כופה .ששקיפותו אינה מלאה אשר למיהות הגורם המפעיל את האמצעים הנדונים– השימוש בכלים אשר פותחו במטרה להילחם בגורמים עוינים והפנייתם כלפי אזרחי ותושבי המדינה שאינם מבקשים להרע .לה, הוא מהלך העשוי להדיר שינה מעיניו של כל שוחר דמוקרטיה [...] הבחירה לעשו ת שימוש בארגון הביטחון המסכל של המדינה לצורך מעקב אחר מי שאינם מבקשים לפגוע בה, מבלי שניתנה הסכמה לכך מצד מושאי המעקב, מעוררת קושי רב ביותר" 10 . בהינתן הנתונים העדכניים בדבר היקף ואופן התפשטות המגיפה, ובוודאי כשברור כי נגיף הקורונה אינו עומד להיעלם בקרוב וצפוי להיות חלק בלתי נפרד משגרת חיינו למשך חודשים ארוכים (ואולי שנים) של גלים ונסיגות של המגיפה, עולה הצורך למצוא פתרונות שישמשו לטווח בינוני- .ארוך יש הכרח לבחון בכל רגע מחדש את הצורך וההצדקה העדכניים בשימוש באמצעי מעקב של גוף ביטחון, אשר נועדו לסיכול טרור ולביטחון המדינה, ואשר פוגעים באופן ישיר ומובהק בזכותם לפרטיות של אזרחים ותושבים, כמו גם את המידתיות של אמצעים אלו, בהתחשב בחלופות השונות .וכחלק מאסטרטגיית היציאה הכוללת ללא הגדרה ברורה לגבי מטרת ותכלית השימוש בכלי, עלול להיווצר מדרון חלקלק, בו ניתן יה יה לעשות שימוש בכלים דרקוניים למיגור שלל תופעות הפוגעות בצורה כלשהי בביטחון הציבור או אף ברווחתו. כך למשל, מדוע לא להיעזר בגופי בטחון בעתיד לאיתור מגעים של חולי חצבת? פעילות פדופילים? נהגים מועדים אשר נוהגים ללא רישיון ולפיכך מעמידים בסכנת חיים ברורה ומייד ית נהגים אחרים בכביש? וההמשך ברור ומובן, גם אם נשמע כעת רחוק (כפי שנראתה עד לא מכבר .)האפשרות לעשות שימוש בשב"כ כדי לאתר את מי שבא במגע עם חולה במחלה כזו או אחרת " :חשש זה הובע גם על ידי בית המשפט העליון בפסק הדין בעניין בן מאיר עלינו לשמור מכל משמר שהאיר ועים החריגים שעמם אנו מתמודדים לא יותירו אותנו עם מדרון חלקלק של שימוש באמצעים חריגים ופוגעניים ללא הצדקה." 10 בג" ץ2109/20 בן מאיר נ' ר אש הממשלה ( 26.4.20 ) ,פ סקאות38 ו- 46 .לפסק הדין 21 הנוסחה המידתית לבחינת הפגיעה בפרטיות צריכה להגדיר באופן ברור ושקוף מה היא מטרת הכלי הטכנולוגי מבחינת צמצום המחלה, ולהבהיר את הפרמטרים על פיה ם תיגזר החלופה הרלוונטית מבין שלל החלופות האפשריות בכל מועד. כך למשל, יש לבחון במסגרת ניהול סיכונים את רמת ההצלחה והדיוק של כל כלי באיתור מגעים, את קלות השימוש בו ואת ההצלחה שלו בהפחתת נתוני .התחלואה כפי שהשתקף בבירור במהלך השבועיים האחרונים, מנגנון השב"כ, מעבר לפגיעה הדרמטית בהיבטי פרטיות, מזמן הוא טעויות( False Positive ) למכביר, ועל רבים נגזר בידוד והגבלה דרמטית על חופש התנועה, כאשר למעשה כלל לא באו במגע עם חולה קורונה . כמו כן , מנתוני הדיווח ש ל משרד הבריאות מיום9/7/2020 עולה כי אחוז החולים המאומתים מבין סך המבודדים על בסיס מנגנון איכוני השב"כ עומד על כ- 5% .בלבד 22 'נספח א– פרקטיקות ניטור ברחבי העולם מבוא ,סקירה זו נכתבה ברקע משבר הקורונה כאשר נבחנים בארץ ובעולם פתרונות שונים למיגור המגפה הכוללים גם אמצעים לניטור דיגיטלי. שימוש במערכות טכנולוגיות לניטור דיגיטלי עשוי להיות כרוך בפגיעה של ממש .בזכות לפרטיות מטרת סקירה זו הינה להציג את עיקרי ההתפתחויות בעולם ב.נושא זה ואת הפרקטיקות הננקטות על ידי המדינות השונות11 הדגש העיקרי בסקירה זו הינו על שימוש בטכנולוגיות מעקב דיגיטליות לצורך אכיפת חובת בידוד .וסגרים ולצורך איתור מקרים של שהייה בסמוך לחולה קורונה מהסקירה עולה כי הדמוקרטיות המערביות אינן משתמשות בטכנולוגיות ניטור דיגיטלי לצורך אכיפת חובת בידוד וסגרים. עוד עולה מהסקירה, כי מדינות דמוקרטיות רבות מפתחות ממש .בימים אלה טכנולוגיות אשר מטרתן לאתר קרבה לחולה קורונה :מהסקירה עולה כי קיימות שתי שיטות עיקריות לאיתור קרבה שימוש בנתוני קרבה המעידים על שהות בסמוך לחולה קורונה באופן אשר עלול לגרום להדבקה, מבלי לחשוף את תנועת המשתמש ,ומבלי לחשוף היכן התרחשה האינטראקציה. לעומתם שימוש בנתוני מיקום , המתייחסים לאזור בו שהה אדם בזמן נתון, עלול לגרום לפגיעה קשה יותר בפרטיות, ולכן מדינות המערב אימצו מנגנונים ה.מתבססים על נתוני קרבה ולא על נתוני מיקום :קיימות שתי שיטות לאיתור נתוני קרבה בהסתמך על נתוני מרחק שיטה ריכוזית , בה המידע נאסף ,)לשרת מרכזי (שיטה זו אומצה ע"י אוסטרליה, אנגליה ופולין ושיטה ביזורית , בה רוב איסוף המידע ועיבודו מרוכזים במכשיר הטלפון הנייד של המשתמשים, באופן אנונימי ומוצפן. השיטה הביזורית נתפסת ככזו המעניקה הגנה חזקה יותר ל פרטיות ול מידע אודות המשתמשים (שיטה זו .)אומצה ע"י גרמניה, שוויץ, אירלנד, פינלנד ועוד האיחוד האירופי 1. ברחבי אירופה נעשה שימוש ביישומים אשר אוספים מידע מטלפונים ניידים של משתמש ים בכדי לייצר "מפת קורונה", כלומר, כדי לאתר אזורי התפרצות (והמידע הנאסף הינו מידע אנונימי או אגרגטיבי) או כדי לאתר קרבה לחולה מאומת. השימוש באמצעים אלה כדי לאתר קרבה לחולה נעשה בדרך כלל בהסכמה (יצוין כי ההסכמה נדרשת הן בשלב הורדת ה יישומון והתקנת ו , והן בהפעלתה הסדירה- כלומר למשתמש יש את היכולת להסירה, להגביל את הרשאות ה יישומון , לכבות את ה- GPS או את תקשורת ה- BT .)במכשיר או לכבותו כליל 2. בשל השימוש ההולך וגובר באמצעי מעקב דיגיטליים, ראש ה- European Data Protection Supervisor הדגיש כי לאמצעים אלה עלולות להיו ת השלכות על חייהם האישיים של התושבים ולפיכך יש צורך בגישה פאן- .אירופית לנושא12 11 כל האמור בסקירה זו נכון ליום מועד פרסומה . .הסקירה מתבססת על אתרים רשמיים וכאלה שאינם רשמיים 12 06_eu_digital_solidarity_covid19_en.pdf - 04 - https://edps.europa.eu/sites/edp/files/publication/2020 23 3. ראש הוועדה לזכויות הפרט של הפרלמנט האירופי הכריז כי השימוש באמצעים לעיל כפוף להוראות ה- GDPR ולהוראות דירקטיבת ה- E-Privacy , וכי אמצעי מעקב מעוררים חשש .לפגיעה קשה בפרטיות13 4. הנציב ות האירופית פרסמה המלצה ל"ארגז כלים משותף" לשימוש מאוחד בטכנולוגיה ליציאה ממשבר הקורונה. במסגרת ההמלצה, הוצע לפתח גישה מתואמת פאן- אירופאית לשימוש באפליקציות סלולריות על מנת לאפשר בידוד ממוקד ויעיל, והוסבר הצורך בפיתוח מודל משותף לחיזוי התפתחות הנגיף, וזאת.ע"י שימוש בנתוני מיקום ניידים אנונימיים ומוצפנים 5. בתאריך16/04/2020 הנציבות האירופאית פרסמה הבהרות בנושא עקרונות לפיתוח אפליקציות לאיתור קרבה בהסכמת משתמשים. לפי הבהרות אלו, כדי לאתר קרבה עדיף להתבסס על העברת אותותBluetooth ולא על נתוניGNSS/GPS , וזאת הן משום שמחד אותותBluetooth מדויקים יותר ומאידך הם מונעים מעקב ובכך ממלאים אחר העיקרון החשוב של מזעור המידע המועבר. בנוסף, נקבע כי אין לאסוף נתונים אודות השעה בה נוצרה .הקרבה, אולם כדאי לשמור את התאריך בכדי להעריך את משך זמן הבידוד הנדרש 6. לגבי ההודעה למשתמשים .עמם משתמש חולה בא במגע, קיימות שתי גישות גישה מבוזרת - המשתמש מודיע דרך ה יישומון כי הוא נגוע, באישור רשות הבריאות, אליו מצורף קודTAN (נוסח ההודעה ייקבע ע"י משרד הבריאות). המספר הפסדונימי רנדומלי של מכשיר הנייד נותר .מוצפן על מכשיר הסלולר של המשתמשים גיש ה ריכוזית - המספר הפסדונימי רנדומלי של הטלפונים הניידים של המשתמשים (אשר כאמור לעיל, משתנה מעת לעת) נשמר גם בשרת של רשות הבריאות, באופן שבו הנתונים בשרת אינם מאפשרים זיהוי ישיר של המשתמשים. דרך .המזהים הללו, משתמשים יקבלו הודעה על כך שהיו בקרבת משתמש חולה רשויות הבריאות ,תידרשנה לקבל הסכמה של משתמש אשר שהה בקירבת חולה כדי לקבל את מספר הטלפון להתקשר אליו או לשלוח הודעתSMS .. במקרה זה נדרש לתעד לוגים לשרת 7. בתאריך19/03/2020 התפרסמה הודעת ה- European Data Protection Board 14 לפיה באיסוף נתוני מיקום יש להעדיף שימ וש במידע אנונימי ואגרגטיבי באופן שבו לא ניתן יהיה לבצע זיהוי חוזר של נושאי מידע. לפי דירקטיבת ה- E-Privacy , הכלל הוא כי ניתן לעשות שימוש בנתוני .מיקום רק כאשר המידע אנונימי או אגרגטיבי או כאשר ניתנה הסכמה לכך15 ,יחד עם זאת כאשר השימוש בנתוני מיקום מזוהים הכ רחי לצרכי בטחון הציבור, הדירקטיבה מאפשרת למדינות לעשות שימוש במידע בנסיבות חריגות ביותר, ובלבד שהשימוש מוסדר בחקיקה פנים .מדינתית, הכוללת אמצעי בקרה ראויים אשר יבטיחו מידתיות 8. .משמעות עקרון המידתיות היא כי יש להעדיף תמיד את האמצעי אשר פגיעתו בפרטיות פחותה אמצעי חודרני כגון מעקב אחר הפרט (לדוגמא: עיבוד היסטוריית התנועה של אדם באופן שוטף ושאינו אנונימי) יחשב לפי הדין האירופי כמידתי רק בנסיבות יוצאות דופן ובהתייחס לאופן 13 - to - data - smartphone - of - room/20200406IPR76604/use - https://www.europarl.europa.eu/news/en/press rules - ction prote - data - eu - respect - must - 19 - covid - manage 14 https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandco 19_en.pdf - vid 15 Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) content/EN/TXT/HTML/?uri=CELEX:32002L0058&from=EN - lex.europa.eu/legal - https://eur 24 שבו עיבוד המידע נעשה. פעילות כזו כפופה לביקורת מוגברת ולמגבלות מובנות (כגון משך זמן ,המעקב היקף המעקב, משך הזמן בו המידע יישמר, מגבלת המטרה ועוד), ובכל מקרה, יש .להעדיף את האמצעי אשר פגיעתו בפרטיות פחותה 9. בהמשך פורסמו הנחיות ה- EDPB לשימוש בכלים דיגיטליים לאיתור קרבה לנגועים .בקורונה16 ההנחיות כוללות אמצעים אשר נועדו להבטיח אחריות (קביעת משרד הבריאות כבעל המאגר), קבלת הסכמה, שקיפות, מזעור המידע, הצמדות למטרות איסוף המידע, אבטחת המידע, מחיקת המידע, ק ביעת האופן והמועד בו היישומון י פסיק לפעול עם תום המשבר והמידע יושמד בשרתים מרכזיים ובמכשי.ר הנייד ועוד יוזמת ה- PT - PEPP 17 10 . מטרת יוזמת ה- Pan European Privacy Proximity Tracing הינה לספק פלטפורמה פאן- אירופית לתמיכה ביוזמות של מדינות אירופה לעשות שימוש בטכנולוגיות מעקב דיגיטליות .לאיתור קרבה לנגועים בקורונה 11 . באמצעות מומחים מתחומי המדע והטכנולוג ,יה, הצפנה, אבטחת מידע, תקשורת ועודPEPP- PT מציעה פתרונות טכנולוגיים, סטנדרטים ושירותי תמיכה, זאת במטרה לאפשר למדינות אירופיות ומדינות נוספות ברחבי העולם, להשתמש באמצעי מעקב יעילים, המסוגלים לתקשר זה עם זה (אינטראופרביליים), העומדים בהוראות ה- GDPR וזאת מת וך ראייה אירופית (ואף .בינלאומית), אשר תאפשר איתור קרבה לנגוע גם במעבר של יחידים ממדינה למדינה 12 . יוזמה זו מסתמכת על אותות טלפונים ניידים אשר ישודרו ב- Bluetooth . הסטנדרט של PEPP-PT ,קובע כי קרבה לנגוע הינה שהייה של חצי שעה במרחק של עד שני מטרים ממנו ולכן נתונים יישמרו רק אודות אירועים מסוג זה (קרי, האפליקציה לא ת אסוף נתונים אודות מי ששהו במרחק רב יותר או לזמן קצר יותר). ה יישומון אוס ף נתוני זיהוי אנונימיים של ציוד הקצה ואינ ו אוס ף נתו .ני מיקום או מזהה את נושא המידע 13 . כאשר משתמשים נמצאים בקרבה, הם מחליפים מספרים מזהים רנדומליים ואנונימיים מבלי לקבל נתוני מיקום או מידע מזהה אחר. משתמש לא מקבל גישה להיסטוריית התנועה של עצמו .או של המשתמש השני. נתון שהופך ללא רלבנטי (בשל חלוף הזמן) נמחק 14 . כל עוד משתמש לא נמצא נגוע, היסטורית הקרבה האנונימית נותרת מוצפנת והוא אינו יכול לצפות בה. אולם, כאשר משתמש א' נמצא נגוע, רשויות הבריאות יקצו למשתמש א' קודTAN למטרות אבטחת מידע ולמניעת זיהום מערך ה- PEPP-PT . באמצעות הקוד, משתמש א', אשר הסכים לכך, מעביר ל- Trust Service , אישור להודיע לכל המשתמשים של אפליקציותPEPP- PT על כך שהיו בקרבת משתמש נגוע. מאחר והטלפונים שומרים נתונים אנונימיים של ציוד .קצה, לא ניתן לזהות את בעל ציוד הקצה 15 . המכניזם המייצר את המזהה הרנדומאלי מכיל פיסת קוד המאפשרת לזהות מאיזו מדינה מגיע .כל משתמש 16 - location - use - 042020 - documents/guidelines/guidelines - tools/our - work - https://edpb.europa.eu/our tracing_en - contact - and - data 5 1 / pt.org - https://www.pepp 25 16 . כאשר משתמשים מגיעים מאותה מדינה ויש חשש שמשתמש חולה בקורונה, המספר שלו מסומן בהתאם, ב- Trust Service , וכאשר הוא יבקש לברר מה מצבו האפליקציה תיודע כי יש חשש לכך שהמשתמ .ש נגוע 17 . כאשר המשתמשים הינם ממדינות שונות- מידע אודות משתמש א' משודר ל- Trust Service של מדינה ב'. השידור מוצפן וחתום אלקטרונית. גם ה- Trust Service במדינה א' מעבד מידע .במקרה זה 18 . במהלך חודש יוני פורסמו הנחיות טכניות ראשוניות, אשר מטרתן לייצר אינטראופרביל יות בין אפליקציות ממדינות שונות באירופה, במטרה לאפשר לאפליקציות להתממשק למערכת ההתרעות, כדי לבצע איתור מגעים, של אנשים העוברים ממדינה למדינה, מבלי להוריד אפליקציה נוספת. בינתיים ההנחיות רלבנטיות רק עבור אפליקציות לאיתור קרבה המתבססות על נתוני מרחק במודל המ בוזר18 . איטליה 19 . איטליה השיקה את אפליקצייתImmuni בתאריך1.6.20 . איטליה בחרה במודל הביזורי על בסיס ממשק אפל- גוגל. עשרה ימים לאחר השקתה, האפליקציה זכתה ל– 2.7 מיליון הורדות (באיטליה כ- 60 מיליון תושבים). בהתחשב בשיעור הילדים ותושבים נוספים אשר אינם מחזיקים בטלפונים ניידים, פוטנציאל ההורדות עומד על כ- 30 מיליון19 . גרמניה20 20 . הוחלט לאמץ מודל וולונטארי של הורדת אפליקציה על בסיס טכנולוגייתBluetooth , אשר תבדוק אינטראקציות, ללא איסוף נתוני מיקום. האפליקציה תשלח למשתמשיה הודעה על כך ששהו בקרבת אדם נגוע, מבלי לחשוף א ת זהות האדם הנגוע. האפליקציה פותח ה בידי ה- Fraunhofer Heinrich Hertz Institute (HHI) לחקר תחום הטלקומוניקציה יחד עם ה- Robert Koch Institute - מרכז לבלימת מחלות. ה- Federal Commissioner for Data Protection הגרמני אישר את השימוש בטכנולוגיה, והסביר כי איסוף מידע כאמור ייתכן אך ורק בהסכמת המשתמשים. ה- Commissioner הדגיש כי המידע יישמר לתקופה מוגבלת .ומוגדרת מראש, ולאחר מכן יימחק 18 https://ec.europa.eu/health/sites/health/files/ehealth/docs/mobileapps_interoperabilitydet ailedelements_en.pdf https://ec.europa.eu/health/sites/health/files/ehealth/docs/contacttracing_mobileapps_gui delines_en.pdf 19 - europe - apps - tracing - https://www.nytimes.com/2020/06/16/world/europe/contact coronavirus.html 20 spread - virus - track - to - app - to - turns - germany - mad - https://www.thelocal.de/20200402/privacy 26 21 . הרשות להגנת הפרטיות של מחוזRhineland Palatinate הבהירה כי יש לשלב באפליקציה את ,האלמנטים הבאים: הסכמה מדעת של משתמשים, האפשרות לחזור מההסכמה בכל רגע נתון מגבלת מטרה (אין לעשות שימוש במידע אלא לצורך איתור קרבה לנגוע בנגיף), שימוש בפסדונימים חזקים והעברת מידע מאובטחת, שמירת המידע על ציוד הקצה ולא בשרת מר כזי ומחיקת המידע תוך14 .ימים 22 . בתחילת הדרך ממשלת גרמניה תמכה במודל הריכוזי, אולם בשל ביקורת רבה אשר הושמעה על כך, גרמניה בחרה במודל המבוזר, והסתייעה במיזם שלGoogle ו- Apple עליו נרחיב .בהמשך 23 . , האפליקציה"Corona – Warn – App" , הושקה בתאריך25.6.20, ובינתי ים זכתה ל– 13 מיליון הורדות (אוכלוסיית גרמניה מונה כ- 83 תושבים). קנצלרית גרמניה, קידמה את האפליקציה והסבירה לציבור כי מדובר באמצעי חשוב לאיתור מגע ולניתוק שרשרת ההדבקה .במחלה21 נורבגיה 24 . קבינט השרים הודיע על אימוץ דירקטיבה לפיה הרשות לבריאות הציבור תפתח אפל יקציה לאיתור קרבה עם חולה/נשא. השימוש באפליקציה יעשה בהסכמה, והאפליקציה תודיע למשתמשים בה במקרה הצורך, על כך ששהו בקרבת חולה בקורונה. על האפליקציה יחולו הוראות ה- GDPR והוראות חוקי הבריאות בנושא סודיות רפואית. האפליקציה (Smittestopp) הושקה באפריל ומבוססת ע ל טכנולוגיית Bluetooth ועל טכנולוגיות לאיסוף .נתוני מיקום22 25 . הרשות הנורבגית להגנת הפרטיות Datatilysnet הבהירה כי כתנאי לשימוש באפליקציה, יש ,להודיע למשתמשים מה המידע שנאסף, מטרת איסוף המידע, משך הזמן בו יישמר המידע וכיצד ניתן לחזור מההסכמה. הובהר כי המידע יישמר למשך30 יום, ומחיקת האפליקציה ע"י .המשתמש תגרום למחיקת המידע או הפיכתו לאנונימי 26 . נתונים מזהים כגון מספר טלפון, יוחזקו בנפרד מנתוני המיקום, ורק עובדים מורשים של משרד הבריאות יקבלו גישה למידע מזוהה. המידע לא יועבר לצד שלישי ללא הסכמה מפורשת של נושא המי דע, לא ניתן להשתמש במידע כדי לוודא ציות להוראה חוקית ואין להשתמש במידע ,למטרות מסחריות. בנוסף, אין לעשות שימוש במידע רפואי או נתוני מיקום לצרכי אכיפה .ביטוח ותעסוקה 27 . האפליקציה הושקה במהלך חודש אפריל2020 . 28 . בחודש יוני2020 הרשות להגנת הפרטיות הודיעה למשרד ה בריאות כי עליו להשעות את השימוש באפליקציה, בשל העובדה שהאפליקציה אוספת מידע רב, למטרות שונות (האפליקציה אוספת מידע גם לצרכי מחקר), וזאת מבלי לאפשר למשתמשים בחירה אמ י תית בין השימושים השונים של האפליקציה. הרשות אף ציינה כי בשל מספר ההורדות הנמוך של האפליקציה , הפגיעה ב פרטיות אשר נגרמת ממנה אינה מידתית בהשוואה לתועלת הנמוכה 21 https://www.bbc.com/news/53168438 22 - download - people - million - 14 - https://www.forbes.com/sites/davidnikel/2020/04/25/norway concerns/#676e68a57832 - security - despite - app - tracking - ronavirus co 27 אשר ניתן להפיק מהאפליקציה (האפליקציה הורדה ע"י600,000 משתמשים בלבד, בשים לב לכך שאוכלוסייה נורבגיה מונה5.4 )תושבים23 . בריטניה24 29 . ה- National Health Institute .ואוניברסיטת אוקספורד מפתחות אפליקציה לאיתור קרבה האפליקציה החלה לפעול כפיילוט ב- Isle of Wight . השימוש באפליקציה יעשה בהסכמת המשתמשים ומבוסס על אותות אשר יועברו בין משתמשים באמצעות ה- Bluetooth . כאשר משתמש לוקה בתסמיני קורונה, המשתמש רשאי להודיע על כך לר שות הבריאות באמצעות האפליקציה. הרשות תעבד את המידע ובהתאם לניתוח הסיכונים, תחליט הרשות, אם לשלוח הודעה למשתמשים אחרים אשר שהו בקרבת המשתמש. האפליקציה תייעץ למשתמשים אשר שהו בקרבת משתמש הסובל מסימפטומים, כיצד לנהוג והאם יש צורך בכניסה לבידוד. הייעוץ יינתן ע ."י רופא בכיר 30 . בעתיד האפליקציה תאפשר למשתמשים לשלוח מידע נוסף, בהסכמתם, על מנת לאפשר .לרשויות לאתר התפרצויות 31 . .המודל בו בחרה בריטניה להפעיל את האפליקציה שלה הינו המודל הריכוזי 32 . בתאריך4/05/2020 , לקראת דיון בוועדה המשותפת לזכויות אדם בפרלמנט הבריטי, הרשות להגנת המידע הבריטית פרסמה מסמך הכולל עקרונות להגנת פרטיות אותם יש לצפות כי .ייושמו בתהליך הפיתוח וההפעלה25 33 . ראשת הרשות להגנת המידע בבריטניה הסבירה כי הייתה מעדיפה להפעיל את האפליקציה במודל מבוזר ולא במודל הריכוזי שנבחר. גורם במשרד הבריאות הבריטי הסביר כי האפ ליקציה מבוססת על מודל ריכוזי בשל הרצון לנתח את התנהגות הווירוס, 26 וכי לו שיקולי .פרטיות היו השיקולים היחידים שיש לבחור, בריטניה הייתה בוחרת במודל המבוזר 34 . במהלך חודש יוני התברר כי הפיילוט ב- Isle of White .לפיתוח המערכת במודל ריכוזי לא צלח מודל זה עבד טוב בז יהוי והערכת המרחק בין שני משתמשים אבל לא עבד טוב על מכשירי אייפון של אפל בהם היה זיהוי של כ- 4% מן המשתמשים בלבד (בשל מגבלות שאפל מעמ יד ה על אפליקציית בלוטות' אשר אינה משתמשת בממשק "אפל גוגל" המבוזר). כרגע העוסקים במלאכה ממשיכים לפתח את האפליקציה במודל המבוזר, על בסיס ממשק גוגל- .אפל האפליקציה תושק ככל הנראה במהלך חודש אוגוסט27 . 23 - to - due - app - acing tr - virus - suspends - https://www.theguardian.com/world/2020/jun/15/norway concerns - privacy 24 lives - saving - and - nhs - protecting - tracing - contact - https://www.nhsx.nhs.uk/blogs/digital / 25 - tracing - contact - organisations/documents/2617676/ico - https://ico.org.uk/media/for recommendations.pdf . 26 - app - tracing - 19 - covid - test - to - apps/uk - britain - coronavirus - health - https://www.reuters.com/article/us SKBN22G24U idU - week - this - wight - of - isle - the - on 27 לפי דיווח של נציג ה- ICO (Information Commissioners Office) .בבריטניה 28 צ רפת 35 . ממשלת צרפת פיתחה אפליקציה בשםStopCovid 28 . האפליקציה פותחה במודל הריכוזי ולא המבו זר ואוספת נתוני מרחק. האפליקציה מבוססת על טכנולגייתBLE . כאשר משתמש מאובחן כחולה בקורונה הוא מקבל מספר קוד אותו הוא רשאי להזין למערכת. אם החולה בחר להזין את הקוד במערכת, האפליקציה תעביר לשרת מרכזי את רשימת האינטראקציות של .החולה המאובחן 36 . האפליקציה הושקה בתא ריך2.6.20 , וזכתה עד כה לכ- 2 מיליון הורדות. נכון ליום23.6.20 רק 70 משתמשים הודיעו באמצעות האפליקציה כי אובחנו כחולי קורונה, ורק14 משתמשים קיבלו הודעה כי שהו בקרבת חולה קורונה29 . פולין30 37 . אכיפת חובת בידוד ומתן סיוע למבודדים- אפליקצייתHome Quarantine App פותחה ע"י המשרד לנושאים דיגיטליים ומשרד הבריאות, במטרה לאכוף את הוראות הבידוד של הממשלה. הממשלה העמידה בפני מי שחלה עליו חובת בידוד שתי חלופות: הורדת האפליקציה או ביקורים רנדומליים של המשטרה בביתם. מבודדים אשר בחרו להוריד את האפליקציה מוסיפים לה תמונת סלפ י כחלק מתהליך הרישום. כדי לוודא שהות המבודד בביתו, רשויות האכיפה שולחות דרישה להעלאת סלפי מזוהה מיקום, דרך האפליקציה, תוך20 דקות ממועד קבלת הדרישה. בנוסף, על מי שהוריד את האפליקציה חלה חובה להודיע על הופעת .סימפטומים של המחלה 38 . האפליקציה מאפשרת למשתמשים ל תקשר עם רשויות הרווחה ולבקש סיוע בקבלת מצרכים .חיוניים וטיפול דחוף 39 . .חובת הבידוד חלה על מי שחזר מחו"ל או מי שנמצא חולה איסלנד 40 . איסלנד השיקה את אפליקצייתRanking C-19 בראשית חודש אפריל2020 . האפליקציה אוספת נתוניGPS .)(נתוני מיקום ותנועה38% מתושבי איסלנד הורידו את האפליקציה31 . 28 / android - on - stopcovid - app - ng traci - contact - releases - https://techcrunch.com/2020/06/02/france 29 665 f 23 a 3 b 833 - 9 a 8 b - fbe 4 - ec 7 b - 5 d 255567 https://www.ft.com/content/ 30 3- 2020 - selfie - mandaotory - patients - coronavirus - app - https://www.businessinsider.com/poland 31 - contact - covid - c19 - rakning - https://www.technologyreview.com/2020/05/11/1001541/iceland / tracing 29 שוויץ 41 . שוויץ השיקה את אפליקצייתSwissCovid בתאריך25.6.20 32 . שוויץ בחרה במודל המבוזר המתבסס על ממשק אפל וגוגל. האפליקצייה הורדה ע"י כמיליון משתמשים33, (בשוויץ כ- 8.5 .)מיליון תושבים30 .משתמשים הודיעו דרך האפליקציה כי חלו בקורונה ניו-זילנד 42 . אפליקצייתNZ COVID Tracer app . האפליקציה סורקת קודי QR המופיעים על פוסטרים ושלטים במקומות ציבוריים ועסקים, ובכך מייצרת "יומן מיקום " של משתמשים. האפליקציה הושקה בתאריך25.5.20 , ומשתמשים בה כ– 541,000 תושבים. האפליקציה נסרקה 1,035,154 פעמים ו פורסמה ע"י56,552 .עסקים אוסטרליה 43 . בתאריך26/04/2020 , מחלקת הבריאות של ממשלת אוסטרליה השיקה אפליקציה לאיתור קרבה בשםCOVID Safe המתבססת על אותותBluetooth . 34 אוסטרליה בחרה לפתח .אפליקציה לאיתור קרבה במודל הריכוזי. השימוש באפליקציה כפוף להסכמת המשתמשים .במסגרת תהליך הרישום המשתמש מתבקש להזין שם, מספר טלפון, מיקוד וטווח גילאים ההתקנה תלווה בהודעת טקסט המאשרת את תהליך הרישום וכוללת מספרPIN . בתום תהליך .הרישום המערכת מייצרת עבור המשתמש קוד ייחודי ומוצפן 44 . ,כאשר האפליקציה מזהה קרבה למשתמשים אחרים, היא מתעדת את קוד המשתמש, תאריך .שעה ומשך זמן הקרבה. האפליקציה לא אוספת נתוני מיקום 45 . משתמשים יקבלו תזכורת להפעיל את ה- Bluetooth .מדי יום 46 . המידע מוצפן.על מכשיר הטלפון הנייד של המשתמשים ואין באפשרותם לגשת אליו 47 . מידע אודות משתמשים אשר שהו בקרבה יימחק לאחר21 .יום 48 . כאשר אדם אובחן כנשא של הנגיף, במסגרת החקירה האפידמיולוגית, רשויות הבריאות יפנו אליו וישאלו אם הוריד את האפליקציה. אם התשובה חיובית, המשתמש יתבקש לתת הסכמתו להעלאת רשימת המשתמשים אשר שהו בקרבתו, לשרת מאובטח. ההסכמה תינתן ע"י הזנת קוד ה- PIN אשר הונפק למשתמש בתהליך הרישום. רשויות הבריאות יצרו קשר עם המשתמשים האחרים כדי להודיע להם כי שהו בקרבת אדם נגוע בקורונה וכדי לתת הנחיות נוספות. רשויות הבריאות ל א ימסרו למשתמשים מידע מזהה אודות מי שאובחן כחולה קורונה .ושהה בקרבתם 32 - in - app - covid - switzerlands - for - downloads - 800000 - than - https://www.thelocal.ch/20200629/more days - three 33 נציג שוייץ בוובינר סגור מטעםGPA ארגון מיום6 ליולי2020 34 ראו האפליקציה אודות להסברים- tools/covidsafe - and - ww.health.gov.au/resources/apps https://w app - the - app#about ולמ דיניות הפרטיות של האפליקציה ראו - acy/privacy websites/priv - our - https://www.health.gov.au/using app - covidsafe - for - policy 30 49 . לאחרונה פורסמה הצעת חוק לפיה שימושים לרעה באפליקציה הם עבירה פלילית. לפי הצעת החוק, דרישה להורדת היישום כתנאי לאספקת שירות, כניסה למקומות ציבוריים או מסחריים .וכיו"ב הינה עבירה פלילית35 50 . נ כון ליום11.6.20 , האפליקציה זכתה ל– 6.2 מיליון הורדות, ושימשה לאיתור קרבה ב- 30 מקרים (בתקופה זו התגלו בסך הכל כ- 565 מקרים חדשים). בכל אותם מקרים לא התגלו קשרים נוספים מעבר לקשרים אשר התגלו בחקירה "ידנית". נטען כי האפליקציה לא גילתה מידע נוסף ומשמעותי בש ל העובדה שבאוסטרליה מספר החולים המאומתים נמוך36 . סינגפור 51 . אכיפת בידוד ותיעוד תנועה של חולה מאומת - חבים בחובת בידוד (חולים מאומתים ובני משפחותיהם) מקבלים מגורמי אכיפה הודעת טקסט מספר פעמים ביום. הודעת הטקסט כוללת לינק עליו יש ללחוץ, כדי להעביר לגורמי האכיפה את נתוני המיקום של המבודד על מנת לאשר .כי המבודד שוהה בביתו 52 . בנוסף, על מנת לייצר מפה אפידמיולוגית לאיתור המקומות בהם שהה חולה ב- 14 הימים לפני שאומת כחולה, הממשל עושה שימוש במצלמות אבטחה, נתוני מיקום סלולריים ותיעוד .עסקאות אשראי37 53 . איתור שהייה בקרבת חולה/נשא מאומת - סוכנות הטכנולוגיה של הממשלה הסינגפורית פיתחה אפליקציה, בשםTrace Together 38 המודיעה למשתמשים אם שהו בקרבת חולה מאומת (עד6.5 פיט משך30 .דקות לפחות). השימוש באפליקציה כפוף להסכמת המשתמש האפליקציה מתבססת על טכנולוגייתBluetooth Low Energy ומזהה משתמ שים אחרים אשר הורידו את האפליקציה. האפליקציה מעניקה לכל משתמש מספר מזהה זמני המגלם מספר זיהוי המוחזק ע"י משרד הבריאות, ועבר אנונימיזציה. כאשר משתמש א' נמצא בקרבת משתמש ב', הטלפון של משתמש א' מעביר את המספר האנונימי למשתמש ב', ולהיפך (משתמש א' מקבל את המספר האנונימי של משתמש ב'), והמספר האנונימי של מי ששהה בקרבת המחזיק נשמר בטלפון הנייד באופן מוצפן. אם משתמש יתגלה כחולה, האפליקציה תבקש מהמשתמש לאשר גישה לרשימת המספרים המוצפנים ותשלח לבעליהן הודעה כי שהו בקרבת .החולה המאומת האפליקציה לא אוספת נתוני מיקום או מ.ידע מזוהה אחר 54 . כ- 35% מתושבי סינגפור הורידו את האפליקציה. ,התגלו קשיים טכניים במכשירים של אפל בהפעלת הבלוטות' ,(יש להפעיל את האפליקציה כל הזמן באופן ש מקשה על השימוש באפליקציות אחרות, ובנוסף, הבטרייה מתרוקנת במהירות) ולכן, ממשלת סינגפור מתכוונת לחלק לתושבים אשר אין ברשותם טלפון נייד או תושבים אשר משתמשים ב- Iphone , אפליקצייתBluetooth לבישה. האפליקציה תזהה אותות, אולם לא ניתן יהיה לשלוח את 35 - for - legislation - draft - releases - vernment news/2020/may/04/go - https://www.theguardian.com/australia concerns - privacy - allay - to - app - tracing - covidsafe 36 - no - safe - covid - app - tracing - contact - 11/coronavirus - 06 - ce/2020 https://www.abc.net.au/news/scien contacts/12343138 - close 37 4- 2020 - challenges - new - containment - coronavirus - https://www.businessinsider.com/singapore 38 / https://www.tracetogether.gov.sg 31 המגעים ברשת, והדבר יעשה באופן ידני ע"י רשויות הבריאות, עם אימות המשתמש כנגוע בנגיף39 . 55 . בנוסף, כחלק מהמאמץ לבצע איתור מגעים , הוחלט להוסיף מערך ניטור לאומי בשם SafeEntry . מדובר במערכתcheck in אשר פותחה ע"י ממשלת סינגפור, ומטרתה לתעד כניסות ויציאות של עובדים ומבקרים, במקומות ציבוריים. המערך מתבסס על סריקת קודי QR בכניסה וביציאה, סריקת ת.ז. אלקטרונית או סריקת אפליקציית ה- Singpass אשר מקנה כניסה לשירותי ממשל. מבקרים ועובדים סורקים קודQR ,בכניסה למקום, ומעבירים שם מספר ת.ז ומספר טלפון למערכת40 . המידע מועבר לשרת של הממשלה ורק מורשי גישה מטעם הממשלה מקבלים גישה למידע (למפעילי המוסדות בהם מותקנת המערכת ולעובדיהם אין גישה למידע41 .) 56 . לה לן רשימה חלקית של גורמים אשר חוייבו להתקין את המערכת כדי לתעד כניסה של עובדים ומבקרים: משרדים, בתי חרושת, בתי ספר ומוסדות חינוך, גנים, מוסדות בריאות, מוסדות קהילתיים, מוסדות דת, מלונות, בנקים ומוסדות פיננסיים, חנויות, מספרות (כולל ספרים המקבלים לקוחות בבתי ם), מוסדות תרבות, מרכזי ספורט, בתי קולנוע, עסקים המתנהלים מבתים פרטיים ככל שהלקוחות מגיעים לעסקים אלה, מוניות ועוד42 . הונג קונג43 57 . אכיפת חובת בידוד - בהונג קונג נקבע כי כל הנכנסים למדינה חבים בחובת בידוד בית, ומי ששב עם סימפטומים או היה במגע עם חולה יושם בבידוד במתקן ממשלתי. לצורך אכיפת ההוראה הנכנסים למדינה נדרשים לענוד צמיד מעקב. הצמיד מתבסס על טכנולוגייתBluetooth . הצמיד לא אוסף נתוני מיקום אולם ב יכולתו לאתר יציאה משטח הבידוד (אשר בעקבותיה נשלחת .)הודעה לרשויות דרום קוריאה 58 . אכיפת חובת בידוד על הנכנסים למדינה - מי שנכנס למדינה חב בבידוד של14 יום. חובת הבידוד נאכפת באמצעות חיוב להוריד אפליקציה אשר שולחת לרשויות הודעה, כאשר חב הבידוד מתרחק ממקום הביד)וד (בנוסף, יש חובת דיווח על סימפטומים44 . 59 . איתור קרבה לחולה/נגוע - :דרום קוריאה מאתרת שהייה בקרבת חולה/נגוע בשלושה אופנים איסוף מידע מחברות אשראי על עסקאות (ניטור המידע מאפשר לדעת היכן בוצעו), מצלמות CCTV להן פריסה רחבה ברחבי הערים, ונתוני מיקום מחברות הסלו.לר 39 53146360 - news/technology https://www.bbc.com/ 40 - circuit - during - operating - businesses - all - for - tools - tracing - contact - https://www.gov.sg/article/digital aker bre 41 הרצאתו של ראש הרשות להגנת המידעpdpc )בסינגפור 42 15 - https://www.safeentry.gov.sg/latest_news#news 43 - coronavirus - enforce - to - wristbands - electronic - uses - kong - https://www.cnbc.com/2020/03/18/hong quarantine.html / www.theregister.co.uk/2020/03/19/hong_kong_wearable_trackers_mandatory https:// 44 https://www.youtube.com/watch?v=ljSBHaD_FDs 32 60 . הצלבת הנתונים משלושת מקורות המידע לעיל מאפשרת איתור הגורם המדביק ואיתור מי .ששהה בקרבת אדם אשר אותר כחולה45 61 . ,בנוסף, הממשל בדרום קוריאה משתמש במידע כדי לפרסם לציבור הרחב מפות קורונה המתבססות על מידע אנונימי, כדי לסייע לציבור לבצע הערכה עצמית, באמצעות אפל יקציות .בהן ניתן לעשות שימוש בהסכמה הודו46 62 . ממשלת הודו פיתחה בשיתוף עם חברה פרטית אפליקציה לאיתור קרבה לחולה קורונה, בשם ArogyaSetu . האפליקציה מנתחת אינטראקציות של משתמשים, ומתבססת עלBluetooth ונתוניGPS , בינה מלאכותית ואלגוריתמים. האפליקציה מקבלת מידע על משתמשים השוהים בקרבת המכשיר, ואוספת נתונים על תנועה (מייצרת גרף תנועה) ומידע רפואי. תהליך הרישום לאפליקציה כולל מסירת פרטים כגון מגדר, מספר טלפון, תאריך לידה, מקצוע, מידע רפואי ופרטים לגבי שהייה מחוץ למד ינה במהלך30 הימים אשר קדמו להורדת האפליקציה (עם .)הרישום המידע לגבי שהייה בחו"ל יוצלב עם מאגר מידע אודות חולי קורונה 63 . המידע יישמר על מכשיר הטלפון באופן אנונימי ומוצפן, עד למועד שבו יהיה צורך בהתערבות רפואית. האפליקציה אוספת נתוני מיקום ואותות47 Bluetooth . ,המידע מועבר לשרת ממשלתי יעבור האשינג עם מספר זיהוי דיגיטלי ייחודי. המידע מוצפן על הנייד, בתהליך ההעברה לשרת ובשרת עצמו. נתוני מיקום יימחקו לאחר30 יום (ממועד הקרבה למשתמש, אלא אם נמצא כי המשתמש חולה בקורונה. במקרה האחרון, המידע יימחק60 ימים לאחר שהמשתמש .)הבריא .מידע רפואי לא יימחק, ויועבר לגורמים רלבנטיים ככל שיהיה צורך בהתערבות רפואית 64 . עובדי הממשל הפדרלי ועובדי תעשיית המזון חייבים להוריד את האפליקציה, ובראשית חודש מאי הודיעה הממשלה, כי תנאי הגעה לכל מקום עבודה (ציבורי או פרטי), יהיה התקנת האפליקציה. 48 65 . בדומה לסין, האפליקציה נותנת חיווי באשר למצבו הבריאותי של המשתמש, ובממשל הפדרלי .יש דרישה כי רק מי שבריא יורשה לעבוד49 66 . לפי דיווחים לא רשמיים, האפליקציה תותקן בטלפונים ניידים כברירת מחדל, ויש כוונה .להתנות את התקנתה גם כתנאי לשימוש בתחבורה ציבורית 67 . ארגוני זכוי ות אדם ביקרו את האפליקציה בשל העדר שקיפות, צמידות מטרה, מזעור מידע ואחריותיות. בנוסף, הועלה חשש לפגיעה בפרטיות המשתמשים לאור העובדה שבהודו אין .רשות פרטיות וחקיקה מסדירה 68 . האפליקציה זכתה ל- 131 מיליון הורדות50 . 45 - its - to - due - is - disease - controlling - in - success - koreas - south - https://theconversation.com/coronavirus 134068 - surveillance -f o - acceptance 46 - if - out - find - and - app - setu - aarogya - use - to - https://economictimes.indiatimes.com/tech/software/how symptoms/articleshow/75023152.cms?from=mdr - 19 - covid - have - you 47 - your - by - fueled - app - tracker - coronavirus -a- building - is - https://thenextweb.com/in/2020/03/25/india / data - location 48 - tracing - government - makes - app/india - india - coronavirus - health - https://www.reuters.com/article/us idUSKBN22E07K - workers - all - for - mandatory - app 49 - india - over - up - heats - debate - trfn/privacy - tech - coronavirus - health - https://www.reuters.com/article/us idUSKBN22C2AV - app - tracing - contact 50 https://www.bbc.com/news/53168438 33 69 . האפליקציה זיהתה900,000 מגעים. בנוסף, האפליקצי ה כוללת אפשרות לבצע הערכה לגבי חשיפה לנגיף (דיווח סימפטומים). בהתאם לניתוח הנתונים, האפליקציה ממליצה על ביצוע בדיקת קורונה. כשני שליש מהמשתמשים השתמשו באפשרות זו. נמצא כי כרבע מהמשתמשים אשר זוהו כמי שהיו בקרבה לחולה קורונה או נשלחו לבדיקה בהמשך להערכה, אכן נדבקו בנגיף51 . ארה"ב 70 . כחלק מההתמודדות עם משבר הקורונה, הממשל קיבל מהשוק הפרטי נתונים על מגמות תנועה והתקהלויות. הנתונים מסייעים בחיזוי התפרצויות וניתוב משאבים בהתאם והממשל מקיים .מגעים עם גורמים רבים בשוק הפרטי לצורך קבלת נתונים אלה 71 . יש מדינות בהן הממשל השיק אפליקציה לאיתור קרבה. כך למשל מושל צפון דקוטה הודיע כי .משרדו, בשיתוף עם מחלקת הבריאות, השיקו אפליקציה לעצירת התפשטות נגיף הקורונה האפליקציה מעניקה לכל משתמש מספר זיהוי אקראי, ואוספת את נתוני המיקום במהלך היום. המשתמשים מתומרצים לקטלג את הפעילות שלהם במהל .ך היום לפי סוג הפעילות המשתמשים אינם מזוהים. אם משתמש מתגלה כחולה, עומדת בפניו האפשרות להסכים .להעביר את פרטיו למחלקת הבריאות כדי לאתר קרבה וכדי לסייע בחיזוי מקומות התפרצות 72 . גם במדינת יוטה הושקה אפליקציה לאיתור קרבהHealthy Together . השימוש באפליקציה כפוף להסכמת המשתמשים. האפליקציה מתבססת על נתוניGPS ו- Bluetooth , ויש לה גישה לאנשי הקשר של המשתמש. האפליקציה אוספת נתוני תנועה, ומודיעה למשתמשים על כך ששהו בקרבת חולה קורונה. ניתן לדווח דרך האפליקציה גם על סימפטומים ולקבל מידע לגבי מיקו ם מעבדת בדיקות קורונה. המשתמש מחליט איזה סוג של מידע להעביר. נתוני מיקום יימחקו תוך30 .יום ומידע רפואי יישמר כמידע אנונימי52 73 . הצעת חוק חדשה53 - בתאריך30/04/2020 פורסמה הודעה על כוונה לפרסם הצעת חוק פדרלית " חדשה בשםCovid–19 Consumer Data Protection Act" אשר מטרתה להגן על נתוני מיקום, נתוני מרחק ומידע רפואי (מידע), המשמשים חברות פרטיות המנסות לסייע במניעת התפשטות הנגיף, כאשר הן מציעות שירותים המאפשרים לבדוק קרבה לחולה או לצפות .התפרצות הנגיף באזורים מסוימים 74 . הצעת החוק לא חלה על מידע אנונימי ואגרגטיבי או מידע.פומבי 75 . לפי ההצעה, החוק יחול על גופים מסחריים המפוקחים ע"י הרשות לסחר הוגן(FTC) , חברות .המספקות שירותי טלקומוניקציה הכפופות לחוק התקשורת ועמותות 76 . לפי ההצעה, ככל שאין חובה חוקית לכך, יש צורך בהסכמה ויידוע מראש, לאסוף, להעביר או לעבד מידע למטרות של התמודדות ע .ם משבר הקורונה 77 . כמו כן, נקבע בהצעה כי יש להודיע למשתמשים, במועד האיסוף, כיצד יעשו שימוש במידע שלהם, למי יעבירו את המידע וכמה זמן המידע יישמר. יש להבהיר מהו מידע אנונימי ומהם האמצעים בהם החברה תנקוט למניעת זיהוי חוזר. חברות העוסקות בעיבוד מידע כאמור 51 ov.in/PressReleasePage.aspx?PRID=1626979 https://pib.g 52 / locations - user - track - will - app - tracing - contact - 19 - covid - new - https://qz.com/1843418/utahs 53 - to - plans - announce - blackburn - moran - thune - https://www.commerce.senate.gov/2020/4/wicker bill - privacy - data - introduce 34 יפרסמו דוחות ציבוריים בהם תתואר פעילותן. חברות כאמור כפופות לכללים של מזעור המידע ואבטחתו. החברות ימחקו את המידע כאשר המידע לא יהיה נחוץ לצורך התמודדות עם נגיף .הקורונה. התובע הראשי יהיה בעל הסמכות לאכיפת הוראות החוק קנדה 78 . במשך תקופה ארוכה הממשל הפדראלי הקנדי לא אמר את דברו בנושא אפליקציות לאיתור קרבה, אולם יש מחוזות אשר החלו לפתח אפליקציות וולונטריות לאיתור קרבה. במחוז אלברטה פותחה אפליקציה בשםABTraceTogether אותה ניתן להוריד למכשיר הטלפון הנייד. כאשר נרשמים לאפליקציה, מוסרים מספר טלפון. האפליקציה אוספת נתוני ק רבה ולא ,נתוני מיקום54 ,ולכן הרשויות והמשתמשים לא מקבלים נתוני מיקום. גם באפליקציה זו משתמשים אשר נמצאים בקרבה (קרבה של עד2 מטר), מחליפים מספר רנדומלי מוצפן המעיד .על כך 79 . כאשר משתמש מאובחן כחולה, הוא יישאל ע"י הרשויות האם הוריד את האפליקציה. אם התשובה חיוב ית, הוא יישאל אם הוא מסכים להעלות את המספרים הרנדומליים המוצפנים לשרת של שירותי הבריאות. אם המשתמש מסכים, הרשויות ייצרו קשר עם מי שהיה בקרבת ,המשתמש, לאחר קבלת המידע המוצפן. ניתן לבקש להימחק מהאפליקציה בכל שלב ואינטראקציות תשמרנה באפליקציה למשך21 ימים בלב.ד 80 . בתאריך7/05/2020 פורסמה הודעה משותפת של הרגולטורים הקנדיים בתחום הגנת המידע ( Daniel Therion, ראש ה- Office of the Privacy Commissioner , אשר הינו הרגולטור ,הקנדי יחד עם הרגולטורים של המחוזות). לפי ההודעה55 אפליקציות לאיתור קרבה מעוררות חששות בתחום הפרטיות ולכן יש לוודא כי הן יעמדו בכל אלה: הסכמה ובסיס חוקי, הכרח .ומידתיות, מגבלת מטרה, אנונימיזציה, מגבלת זמן, שקיפות, אחריותיות, אמצעי אבטחה 81 . באמצע חודש יוני הודיע ראש ממשלת קנדה על הכוונה להשיק אפליקציה לאומית לאיתור קרבה. האפליקציה וולונטארית, תתבסס על טכנולוגייתBLE ולא תאסוף נתוני מיקום. חולה מאומת יקבל קוד אנונימי רנדומלי. ,האפליקציה תושק בתחילת חודש יולי כפיילוט באונטריו וכל פרובינציה תחלי ט אם בכוונתה לאמץ את השימוש בה56 . האפליקציה פותחה ע"י הממשלה בשיתוף עםBlackberry ו– Shopify . פתרוןGoogle ו- Apple לתשתית אפליקציות איתור קרבה והמחלוקת בינן לבין בריטניה וצרפת תיאור הטכנולוגיה של החברות 82 . Google ו- Apple (החברות) פיתחו ממשק(API) אשר נועד לאפשר תאימות בין שתי הפלטפורמות במטרה לסייע לרשויות בריאות ברחבי העולם להפעיל אפליקציות לאיתור קרבה בטכנולוגייתBLE .במודל המבוזר 83 . גם במודל זה מועברים אותותBluetooth בין משתמשים הנמצאים בקרבה. המידע אשר יועבר לשרת מרכזי יכלול את תאריך המגע, משך ז מן הקרבה וחוזק האות. 57 54ראו הבהרות בא תר האינטרנט של האפליקציהfaq.aspx - together - trace - https://www.alberta.ca/ab 55להודעה הרשמית ראו / d_20200507 - news/speeches/2020/s - gc.ca/en/opc https://www.priv. 56 / nationally - launch - app - tracing - https://globalnews.ca/news/7079851/coronavirus 57 _FAQ_v1.0.pdf - https://blog.google/documents/63/Exposure_Notification_ 35 84 . בחודש מאי 2020 , פרסמו החברות תנאי שימוש חדשים ובהם הן מתנות את השימוש בממשק ,שלהן בכך שהשירות יינתן לרשות ממשלתית רשמית, במטרה להתמודד עם משבר הקורונה בכפוף לקבלת הסכמת המשתמשים להורדת הממשק, קבלת הסכמת משתמשים אשר חלו להעביר דרך ,הממשק הודעה על דבר מחלתם, היעדר גישה לנתוני מיקום של משתמשים .הימנעות מאיסוף פרטים מזהים לרבות מספרי טלפון ועוד58 85 . החברות מתנות את הגישה לממשק, בכך שמדינות המבקשות לעשות בו שימוש יתיישרו עם מדיניות הפרטיות שלהן הכוללת מודלBLE מבוזר, איסור על איסוף מידע מזה ה כגון מספר טלפון, .ואיסור על איסוף נתוני מיקום 86 . מדיניות זו של החברות אינה תואמת את המודל הריכוזי בו בחרו מדינות כמו אנגליה, צרפת ואוסטרליה, ולכן בשלב זה לא ניתנה לאפליקציות של מדינות אלה גישה לממשק, למרות שמתקיימים מגעים בין רשויות הבריאות של מדינות אלה לח.ברות 87 . נציין כי רשות הגנת המידע הבריטית, ה- ICO , בחנה את הפלטפורמה והתרשמה כי היישום משמר עקרונות פרטיות59 , אם כי ציינה את העובדה שהאפליקציה ממשיכה לפעול גם כאשר משתמש כיבה את מוד ה- Bluetooth . 58 - for - policies - detailed - and - code - sample - release - google - and - https://techcrunch.com/2020/05/04/apple / apps - notification - posure ex - 19 - covid 59 - april - final - opinion - api - google - ico/documents/2617653/apple - the - https://ico.org.uk/media/about pdf . 2020