חומר רקע

PDF 14,739 תווים המסמך המקורי ↗
26 ביוני 2023 לכבוד ועדת החוקה, חוק ומשפט בראשות חבר הכנסת שמחה רוטמן התייחסות מכון תכלית - טיוטת צו הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע (תיקון והוראת שעה) (הארכת תקופת הוראת השעה), התשפ"ג- 2023 1 . מבוא אנו שמחים להגיש התייחסות בשם מכון תכלית למדיניות ישראלית לטיוטת הצו שבנדון. טיוטת הצו בא ה להאריך אתתוקפהשלהוראתהשעה,המסדירהאתנושאשמירתתמונותפניםוטביעותאצבעבמאגרהביומטרישלמשרד הפנים,למשךשנהנוספת.מטרתההארכה,כמפורטבדבריההסבר,היאלצורךהשלמתתהליךרכישהשלאמצעים טכנולוגיים אשר יאפשרו מעבר למערכת זיהוי על בסיס תמונות פנים בלבד. מדובר בהארכה השנייה של הוראת השעה, משנת 2017 . אנו מברכים על התקדמות תהליך הרכישה של המערכות הטכנולוגיות. יחד עם זאת, ישנם מספר אתגרים יסודיים בתחוםאמצעיהזיהוי הביומטרייםש טיוטתהצואינ הנותנ ת להםמענה.במסגרתהתייחסותזו,נתמקדבשתיסוגיות עיקריות: א) אבטחת מאגרי מידע ביומטריים; ב) סוגית ההסכמה מדעת. 2 . רקע 2.1 . טיוטתצוהכללתאמצעיזיהויביומטרייםונתוניזיהויביומטרייםבמסמכיזיהויובמאגרמידע(תיקוןוהוראת שעה) (הארכת תקופת הוראת השעה), התשפ"ג- 2023 טיוטת צו הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע (תיקון והוראת שעה) (הארכת תקופת הוראת השעה), התשפ"ג- 2023 (להלן: טיוטת הצו) מבקש להאריך את תוקפו של הוראת השעה שנחקקה בשנת 2017 לתקופה של חמש שנים, בשנה נוספת, כך שתוקפו יעמוד עד לסוף חודש יוני שנת 2024 . החוק המקורי, שהתקבל בחודש פברואר 2017 , קבע חובה כי המאגר הביומטרי יכלול רק תמונות תווי פנים של אחדעם35 ,תל-אביב 6578403 |tachlith.org.il|03-6584775| [email protected] 1 תושבים. בנוסף, נקבע כי תהיה אפשרות לשמירת והכללת תמונות טביעות אצבע של תושבים שהסכימו לכך בכתב במאגר. כאמור, החוק נחקק כהוראת שעה לתקופה של חמש שנים, ויש בו גם כן הוראה המאפשרת לשר הפנים להאריך את הצו בתקופה נוספת של עד חמש שנים. במהלך השנים בהם הוראת השעה חלה, כפי שצוין בדברי ההסבר, שר הפנים בחן פעמיים את הנושא לעומק וקבע כי אין מקום לקצר את תוקפה. לאחר סיום חמש השנים, בהתאם לסמכותה, שרת הפנים דאז איילת שקד האריכה את תוקפת החוק למשך שלושה עשר חודשים, וזאת עד לסוף חודש יוני 2023. יצוין,כי במקורהתבקשההארכת הוראתהשעה למשךשלוששנים, אך עלרקעעמדתה שלועדת הכנסת, ולאחר בחינת התקדמות ההליכים של משרד הפנים לרכישת מערכת טכנולוגית חדשה, קוצרה ההארכה לשלושה עשר חודשים בלבד. כיום, לקראת סופה של תקופת הארכת הוראת השעה הראשונה, מתבקשת הארכה שנייה של שנה נוספת. זאת, לצורך סיום ההיערכות וההתארגנות לתקצוב ורכש האמצעים הטכנולוגיים לקראת המעבר למערכת לזיהוי על בסיס תמונות פנים בלבד. מערכת זו, בתקווה, תאפשר לייתר את הצורך בשמירת טביעות אצבע במאגר. 3 . התייחסות מכון תכלית אנו מברכים על ההתקדמות בתהליך הרכישה, כמתואר בטיוטת הצו. מידע ביומטרי הינו מידע רגיש ביותר, והחשיבות בניהול מאגר עם יכולות טכנולוגיות הנדרשות לשמירה נכונה על המידע הזה חיוני. כמו כן, יש להצביע בחיוב על כך שמתבקשת הארכה של שנה בלבד, למרות שעומדת בהוראת השעה אפשרות להאריך את התקופה לארבע שנים נוספות. שכן, הדבר מראה על גישה זהירה אשר מבקשת לצמצם את השימוש בהוראת שעה כאמצעי חקיקתי לטווח ארוך. ובכל זאת, ישנן בעיות עקרוניות העולות משימוש באמצעי זיהוי ביומטרי, כפי שעולה מהניסיון המצטבר בעולם ובישראל בפרט. כפי שנראה, על חלק מהבעיות הללו התריע הממונה על יישומים ביומטריים מטעם מערך הסייבר הלאומי, רועי פרידמן, כמו גם מבקר המדינה, מר מתניהו אנגלמן. בפרט, עולה החשש כי הגברת הנגישות וההיקף של השימוש במידע ביומטרי, מבלי להתמודד עם אתגרים אלו, עלולים להחריף את הסכנות ולהביא לפגיעה באותה אחדעם35 ,תל-אביב 6578403 |tachlith.org.il|03-6584775| [email protected] 2 האוכלוסייה אשר הצעת החוק מבקשת להיטיב עמה. כנאמר לעיל, נבקש להתמקד בשתי סוגיות עיקריות: ראשית, רמת אבטחת המידע הביומטרי בישראל. שנית, סוגית ההסכמה מדעת. 3.1 . רמת אבטחה מספקת מידע ביומטרי הפך כבר לחלק בלתי נפרד מחיינו על מנת להתמודד עם הסכנות של שימוש לא נכון במידע זה,. פועל הממונה על היישומים הביומטריים, רועי פרידמן, בכדי לפקח ולטייב את אופן הניהול של המאגרים ההולכים והגדלים בישראל. בדיווחו של הממונה על היישומים הביומטריים, משנת 2022 , עולות מספר בעיות הנוגעות לאופן ניהולהמידע,ובפרטלסוגיתהאבטחה שלהמאגרים.1 חשובלצייןכיהדאגותשהועלובדו"חזהאינןראשוניות,אלא מדובר בסוגיות חוזרות בדיווחיו של הממונה, שאף הועלו בעבר על ידי מבקר המדינה. כך, לגישת הממונה על היישומים הביומטריים לא נעשתה היערכות להנפקת תיעוד לכלל האוכלוסייה בישראל עד שנת 2024 , שזה למעשה חלק מן המהלך הנוכחי שהתזכיר דנן בא לקדם. בנוסף, העלה הממונה בעיות מהותיות הנוגעות לניהול מידע ביומטרי בישראל, ובפרט העברת תמונות לגופים ממלכתיים אחרים ושלא על פי חוק, אי היערכות לפקיעת הוראת השעה המסדירה את הניהול של המאגרים הביומטריים בישראל, פגם בכיול מערכת ההשוואה הביומטרית ועוד. פערים אלו מעידים על בעיות עם אופן הניהול התקין של מאגר ביומטרי עצום ורגיש, מה שחושף את אזרחי ישראל לפגיעה אפשרית בזכותם החוקתית לפרטיות. דאגה מיוחדת העולה מן הדו"ח, נוגעת לרמת האבטחה של מאגרי מידע ביומטרי בישראל. אנו חוששים כי כעת, עם הרחבת השימוש במידע ביומטרי וגם מעגל האנשים העוסקים בתחום, לרבות כאלו שאינם עובדי מדינה, תגדל החשיפה לפגיעה אפשרית באותם האזרחים עליהם המאגר הביומטרי מבקש להגן. מעבר לחששותיושל הממונהעל היישומים הביומטריים,ראוי לצייןגםאת הביקורת המקיפה שביצע מבקר המדינה בשנת 2020 בנושא ניהול מאגרים ביומטריים בישראל ושימוש במידע הנאגר בהם.2 בין היתר, ציין מבקר המדינה 1 דו"ח הממונה על היישומים הביומטריים - מס’ 12 הממונה על היישומים הביומטריים במערך הסייבר הלאומי,, 18.05.22 , סימוכין 1313 , . 25_ci_bg_2060443.pdf (knesset.gov.il) 2 מבקר המדינה, היבטים בהסדרת השימוש במאגרים ביומטריים, דוח שנתי 70 ב, 04.05.2020 , היבטים בהסדרת השימוש במאגרים ביומטריים (.)il. gov . mevaker אחדעם35 ,תל-אביב 6578403 |tachlith.org.il|03-6584775| [email protected] 3 כי נדרשת אסדרת המאגרים הביומטריים הממשלתיים בחקיקה וכן לוודא את עמידת המאגרים הביומטריים בעקרונות המדיניות הלאומית ליישומים ביומטריים ובקווים המנחים ליישומה. כפי שניתן לראות, מבקר המדינה מחזק את החששות שמופיעים בדיווחיו של הממונה על יישומים ביומטריים. בעוד כמות המידע שיש במאגרים הביומטריים רק גדל מאז שפורסמו מסקנות מבקר המדינה, קשה לומר שרמת ההגנה עליו השתפרה במקביל. נראה כי החששות אשר הועלו על ידי הממונה על היישומים הביומטריים, כמו גם מבקר המדינה, טרם קיבלו מענה מוסדי, או חקיקתי. גם יוזמת החקיקה הנוכחית לא מבקשת להתמודד עמם. בהתאם, מתעורר החשש כי הגברת היקף השימוש במידע ביומטרי, מבלי להתמודד עם בעיות שורשיות הנוגעות לאופן ניהול המאגרים, עלול להחטיא אתהמטרהשלשמהנתכנסנו.ישחשיבותרבהלכךשהמדינהתנהלאתהמאגריםהביומטרייםבאחריותהעםרמת אבטחהמספקת,בכדילמנועסכנותבאמצעותחשיפהלאמורשיתלמידעאישיוביומטרי,ובשביללהגןבצורהטובה יותר על זכויות הפרט.3 איננו זרים בישראל להשלכות מרחיקות הלכת של תקיפות סייבר על מאגרי מידע, כפי שקרה ביחס למתקפה על חברת הביטוח שירביט , על רקע ההתמודדות עם התפשטות 4 19. - Covid החשש איננו רק מדליפת המידע הקיים, אלא ישנן סכנות נוספות אותן יש להביא בחשבון.5 זאת, מאחר ומדובר במידע עם חשיבות אדירה, בעל ערך כלכלי רב, אשר שחקנים שונים, דוגמת חברות פרטיות, יכולים לנצל בקלות. 3 ראו: , (hrw.org) Watch Rights Human | Afghans New Evidence that Biometric Data Systems Imperil , 30/03/22 דוגמת קיצון הוא נטישת מאגרי מידע ביומטריים שנוהלו על ידי מדינות מערב, בהם ארצות הברית, באפגניסטן,. והשארתם לידי הטליבאן. במרץ 2022 , ארגון Watch Rights Human פרסם כי ממשלות מערביות השאירו באפגניסטן מאגרי מידע אשר נשמר בהם מידע ביומטרי של אלפי אזרחים אפגניים ועכשיו נמצאים בידי הטליבאן. מצב זה מסכן אנשים המיוחסים לממשלה הקודמת, משפטנים ושופטים, עובדי ציבור ונשים, מאחר ולטליבאן היסטוריה של שימוש במידע ביומטרי על מנת לעקוב ואף להוציא להורג. הדו"ח של Watch Rights Human הבהיר כי חלה על הממשלות המעורבות בסכסוך, כמו גם ארגונים הבינלאומיים וחברות, חובה שלא ליצור מאגרי מידע מבלי לאבטח אותם כראוי. דוגמה זו, אף שהיא רחוקה שנות אור ממצבנו בישראל, מדגישה בכל זאת את הצורך בחשיבה לטווח ארוך בעת פיתוח וניהול מאגר ביומטרי, ומעידה על הסכנות של גישה למידע ביומטרי בידיים הלא נכונות. 4 (Dec. 30, 2020), at L , Israel, Cyberattacks and International Law Tal Mimran and Yuval Shany, AWFARE . law - international - and - cyberattacks - https://www.lawfareblog.com/israel 5 ר' למשל: at Institute, Management Identity , Biometric Authentication Benefits and Risks .. risks/ - and - benefits - authentication - https://identitymanagementinstitute.org/biometric אחדעם35 ,תל-אביב 6578403 |tachlith.org.il|03-6584775| [email protected] 4 ישנה חשיבות רבה כי תהיה הגנה מרבית ומיטבית על המידע של אזרחי ישראל, אותו הם מחויבים למסור למדינה על פי חוק. זאת, בפרט בעת הוצאת מסמך רשמי חדש של המדינה ובמיוחד תעודת זהות, או דרכון. בהתאם, נמשיך כעת לסוגיה השנייה אליה נבקש להתייחס. והיא, שאלת ההסכמה מדעת על מתן מידע ביומטרי. 3.2 . הסכמה מדעת ופרטיות נושאנוסףבעלחשיבותרבהלתפקידאסדרתהמידעהביומטריהינוסוגיתההסכמהמדעתוהזכותלפרטיות.טיוטת הצו אינו מתמודד עם רמת ההסכמה וההסברה הנדרשת על מנת להבהיר לאזרחים את משמעות נטילת מידע ביומטרי ויכולותיו- ומגבלותיו- של המאגרכפישמנוהל כיום. כמו כן, שאלת האיזוןשל הזכות לפרטיות,אשרנהנית ממעמדחוקתיבמדינתישראל,עדייןנותרתללאמענה. כמוכן,לאצויןאילוצעדיםיינקטועלמנתלהבהירלאזרחים את משמעות הליך הנפקת מסמך הזיהוי הביומטרי, וכיצד נעשה איזון עם הזכות לפרטיות שנהנית ממעמד חוקתי במדינת ישראל. עלפיהספרותהמקצועיתבתחום,אחתמןהסכנותהגדולותהכרוכותבניהולמאגרביומטריהיאהאפשרותשיחדרו למאגר, או ישתמשו במידע השמור בו באופן שונה מהמטרה למענה נלקח המידע. כתוצאה מכך, במונחים של דיני פרטיות, הפעולה נעשית תוך הפרה של חובת ההסכמה מדעת של בעל המידע למסירה שלו.6 סכנה נוספת, היא היעדר חקיקה מספקת אשר יכולה להגדיר את גבולות הגזרה, ומערכת האיזונים והבלמים, ביחס לניהול מידע ביומטרי. לכן, בנוסף לחשש של חדירה למאגר - אשר התייחסנו אליו לעיל – ישנה דאגה כי המידע ישמש מטרות שנושא המידע לא נתן את הסכמתו. כאשר אדם מנפיק דרכון ביומטרי, לדוגמה, הוא אינו מבטא הסכמה לאפשרות של העברת המידע שלו לרשויות אחרות. העברתו ללא רשות ומבלי שתהיה אסדרה חוקית להעברת המידע, פוגעת בפרטיותו של האדם ובאוטונומיה שלו. כמובן, ישראל אינה אי בודד בים. מדינות רבות מנהלות מאגר מידע ביומטרי ומשתמשות במסמכי זיהוי ביומטריים. במחקר שבחן את המדיניות הביומטרית באוסטרליה, ניו זילנד, מקסיקו וספרד, נבחנו הגישות השונות לגבי נטילת 6 , 20.7.22, R T , The Basics, Usage and Privacy Concerns of Biometric Data Sterling Miller, EUTERS HOMSON - biometric - of - concerns - privacy - and - usage - basics - https://legal.thomsonreuters.com/en/insights/articles/the . data אחדעם35 ,תל-אביב 6578403 |tachlith.org.il|03-6584775| [email protected] 5 מידע ביומטרי ושמירתו.7 למשל, באוסטרליה וניו זילנד, ישנה דרישה שכל רשות ציבורית המעוניינת בכך תגיש בקשה מפורטת על מנת לקבל מידע מן מאגר המידע הביומטרי. בספרד ומקסיקו, לעומת זאת, שיתוף מידע נעשה באופן סיסטמי בין הרשויות השונות. כמובן, מוקדם לטעון כי ישנה מוסכמה בינלאומית אחידה בנוגע לאופן הניהול והשימוש במידע ביומטרי. אלא, ישנו מקום לאפשר למדינות לעצב מערכת אשר מביאה לידי ביטוי את ערכיה, ואת צרכיה, בהתאם ליכולות הטכנולוגיות שעומדות בפניה.8 על מדינת ישראל להביא בחשבון את השיקולים השונים, ולגבש הכרעות ערכיות אשר יעצבו את המסגרת המשפטית באופן אשר יגביר את ההגנה על זכויות הפרט אגב מיצוי היתרונות של שיטות זיהוי ביומטריות. בבואה לעשות כן, ניתן לשאוב השראה ממקומות בהם ישנה חקיקה המסדירה את הנושא של נטילת וניהול מידע ביומטרי. באיחוד האירופי, למשל, התקנות הכלליות בעניין הגנת המידע (GDPR מגדירות מהו מידע ביומטרי,) כיצד ניתן לעבד אותו, לשמור אותו, להעביר אותו ומהם מנגנוני ההגנה הנדרשים על פי חוק על מנת להחזיק מידע ביומטרי באופן מוגן. בנוסף, בארצות הברית ישנן חמש מדינות אשר חוקקו חוקים על פרטיות ומידע ביומטרי - וושינגטון,אילינוי,טקסס,קליפורניהוניויורק.9 למשל,נתקבל בקליפורניהחוקפרטיותהצרכן(CCPA )אשרמטילה חובות על נטילת נתונים ביומטריים על ידי חברה, בהתאם לרף המוצב באיחוד האירופי.10 מדינת ישראל, שהיא אחת מן המדינות המתקדמות ביותר מבחינה טכנולוגית ברחבי העולם, צריכה להכריע כיצד היא מבקשת לנהל מידע ביומטרי של אזרחיה, ומהם האיזונים הנכונים בין צרכי ביטחון ממשיים (למשל, לצורך הפעלת מערכת איתור החשודים בנתב"ג), לבין זכויות הפרט של אזרחי ישראל (ובמיוחד, פרטיות, חופש התנועה, אוטונומיהוכבודהאדם).עלמדיניותזולהתגבשאגבניהולדיוןציבוריפתוחושקוףבנושא,כזהאשריאפשרלהביא 37 R L M stems, 7(1) Legal challenges of biometric immigration control sy Vanessa Diaz, EVIEW AW EXICAN (2014). 8 , 5.20.21. H T , Biometrics: An Evolving Industry with Unique Risks Andrew Zarkowsky, ARTFORD HE 9 om). EU, UK and US) (thalesgroup.c - Biometric data protection (privacy 10 Facial Recognition and the Fourth Amendment in the Wake of Carpenter v. United Matthew Doktor, https://scholarship.law.uc.edu/uclr/vol89/iss2/10 vailable at: , a , 89 U. Cin. L. Rev. 552 (2021) States . פסיקת בית המשפט העליון הפדרלי של ארצות הברית קבעה כי מידע דיגיטלי הנשמר על מכשירים ניידים חב בהבאת צו לחיפוש בו, על פי הזכות לפרטיות המעוגנת בתיקון הרביעי לחוקה. בהמשך לפסיקה זאת, בתי משפט נמוכים וכן חוקרים רבים בוחנים את משמעות ההלכה וטוענים כי מידע דיגיטלי רגיש - וכן מידע ביומטרי - אמור להיות מוגן ברמה החוקתית. אחדעם35 ,תל-אביב 6578403 |tachlith.org.il|03-6584775| [email protected] 6 לידי ביטוי את הגישות השונות בחברה המגוונת הישראלית, ואשר תאפשר גם לאקדמיה ולחברה האזרחית לתרום מהמומחיות שלהן על מנת לטייב את המשטר הקיים. הארכתהוראתהשעהוכןקידוםתיקוןהחוקהמוצע,אךמבלילהתמודדעםהבעיותהעקרוניותשנוצרוביחסלניהול מידע ביומטרי בישראל, מהווה הזדמנות מפוספסת להליך בחינה ציבורי ופתוח. 3.3 . סיכון לשימוש מטעה חשוב לציין כי ההסתמכות על מידע ביומטרי כשלעצמה עלולה גם להביא לקושי - שכן אנו מסתמכים על טכנולוגיה מתקדמותאךלאמושלמותשיכולותלטעותבזיהוי. טעויותאלה,בתורן,יכולותלהוביללהשלכותמשמעותיותעבור האדם המזוהה בטעות. לשם ההמחשה, במחקר שנערך על ידי האגודה לזכויות אזרחיות האמריקאית (ACLU ,) נתגלה כי טכנולוגיה לזיהוי פנים של חברת אמזון עש תה 28 חיבורים מוטעים בין חברי קונגרס אמריק נ ים לבין תמונות חשודים בעת מעצר.11 המחקר הדגיש כי האלגוריתם נוטה לטעות ביחס לנשים יותר מגברים, ואנשים ממוצא אפריק ני או אוריינטלי יותר מאנשים לבנים. ע ל כן, כרוכה בכל שימוש במידע ביומטרי סכנה לשימוש לרעה, גם כאשר הגורם המשתמש במידע מוסמך, שכן הטכנולוגיה עצמה עלולה להטעות. מדינת ישראל, בבואה להסדיר, להרחיב ולהאריך את השימוש במידע ביומטרי, צריכה להביא בחשבון חשש זה, ולייצר מנגנוני התמודדות דוגמת הוספת מנגנון אימות מידע או מנגנון ערעור מובנה. 4 . סיכום טיוטת הצו באה להאריך את ההסדר הנוכחי הקיים בטרם סיום תהליך רכישת הטכנולוגיות הנדרשות. אולם, בהתחשב במכלול השיקולים הרלוונטיים לתחום הזיהוי הביומטרי, נראה כי הטיוטה אינה מתמודד ת עם בעיות עקרוניות הנוגעות לאבטחת מידע ביומטרי בישראל, או להתמודדות עם סוגיית ההסכמה מדעת. בעקבות הרגישות 11 Jason Murdock, Amazon Face Recognition Tech Matches 28 Members of Congress with Mugshots, NEWSWEEK (27.07.18), https://www.newsweek.com/amazons-face-recognition-tool-matches-28- members-congress-criminal-mugshots-1044850. אחדעם35 ,תל-אביב 6578403 |tachlith.org.il|03-6584775| [email protected] 7 הרבה שיש למידע ביומטרי, ראוי כי החקיקה תביא לידי ביטוי שיקולים רחבים יותר מן הפתרון הצר לבעיה מעשית שהתעוררה בעת הנוכחית. יש מקום לנצל את ההזדמנות הנוכחית על מנת להגביר בצורה משמעותית את רמת האבטחה, בהתאם להמלצות הממונה על יישומים ביומטריים ומבקר המדינה. התעלמות מצורך זה, אגב הרחבת היקף השימוש במידע ביומטרי בישראל,עלולהלייצראתהתחושהשמדינתישראללאלוקחתברצינותאתהחששותהנוגעיםלניהולמידעביומטרי בישראל, כפי שהועלו על ידי גורמי פיקוח בכירים מטעמה. טוב יהיה עם המחוקק ינצל הזדמנות זו בכדי לתקן את הכשלים הקיימים, ובכדי לייצר מנגנון אשר מאפשר הנאה מן היתרונות של מאגרי מידע ביומטריים, אגב ביצוע חשיבה ארוכת- טווח שמביאה בחשבון את הניסיון המצטבר בתחום. ד״ר טל מימרן ראש תוכנית, תַּכְלִית – המכון למדיניות ישראלית אחדעם35 ,תל-אביב 6578403 |tachlith.org.il|03-6584775| [email protected] 8