חוק הנתונים הביומטריים – הכצעקתה?


עוד לפני שהחלו הדיונים על החלטת הממשלה המאשרת את הצעת החוק ליצירת תעודות זהות ומאגר נתונים ביומטריים, פורסמו בכלי התקשורת דעות רבות בגנותו של החוק המוצע. השאלה, אם אכן בנטילת טביעות אצבע ותצלום תווי פנים מאזרחי ישראל גלומה פגיעה כה קשה ובלתי הפיכה בזכויות אדם, אינה פשוטה כלל ועיקר.

תזכיר חוק תעודת זהות, מסמך נסיעה ומאגר מידע ביומטריים, התשס"ח- 2008" מבקש לשלב בתעודות זהות ובדרכונים שתי טביעות אצבע ותצלום פנים ממוחשב של בעל התעודה. בנוסף, מבקש תזכיר החוק ליצור מאגר מסווג הכולל את הנתונים הביומטריים הללו של כל אזרחי המדינה ולאפשר לרשויות החקירה לגשת למידע לצרכים שונים.

לפני שבועות מעטים נכנס לתוקפו חוק נתוני התקשורת, המאפשר לרשויות גישה נוחה לנתוני איכון ותעבורה של מסרי טלפוניה ואינטרנט. נגד החוק, ש"זכה" לכינוי (יותר נכון לגינוי) חוק 'האח הגדול', הוגשה עתירה לבג"ץ בטענה שפגיעתו בפרטיות עולה על הנדרש. כעת, תזכיר חוק הנתונים הביומטריים עלול, כך נטען, לצבוע את הפגיעה בפרטיות הטמונה בחוק נתוני התקשורת באור חיוור מול חוק הנתונים הביומטריים, שלעומת 'האח הגדול' תיחשב כ'אח הענק'.

מצדדי החוק המוצע, דהיינו, ממשלת ישראל, טוענים שהחוק נועד להתמודד בדרך יעילה עם זיופי תעודות זהות ודרכונים. מקטרגיו רואים בו סכנה גדולה לפרטיותנו.

שימוש רווח בעולם


האומנם זהו חוק כל-כך רע? כדי לתהות על קנקנו של החוק המוצע, נציג מספר עובדות להעמדתו בהקשר הנכון:

ראשית, ישראל איננה חלוצה בתחום הזיהוי לפי נתונים ביומטריים, ששימושם בעולם רווח יותר ויותר. כ-40 מדינות כבר אימצו הסדרים חוקיים המחייבים את אזרחיהן בדרכונים עם נתונים ביומטריים. דוגמה נוספת היא ארצות הברית - זר הבא בשעריה מחויב לתת טביעות אצבעות וצילום פנים, כתנאי לכניסה למדינה.

שנית, כבר כיום, בכפוף למגבלות ולהליכים הקבועים בחוק, רשאית המדינה לפגוע קשות בפרטיותו של אדם. היא רשאית להאזין לשיחות טלפון, לאכן מיקום, לנבור בקובצי מחשב אישיים, לקרוא הודעות דואר-אלקטרוני, לפשפש בחפצים אישיים, ואפילו לפלוש לגופנו. בניטור פעילות ובאיסוף נתונים אישיים אנו נתקלים גם במקום העבודה, ברשת האינטרנט, במקומות בילוי המצלמים את המתרחש בהם ועוד. הזכות לפרטיות נהנית בחברה המודרנית ממעמד-על חוקתי, אך בפועל, חל כרסום רב בהגנה עליה, ולפרט אין יכולת טובה לשלוט על השימוש במידע האישי הנוגע אליו.

שלישית, פעולת מעקב נסתר על-ידי המדינה נתפסת כפוגעת יותר בפרטיות מאשר פעולת זיהוי. טלו לדוגמה את ההבדל בין האזנת סתר הנחשבת לפעולה פוגעת במיוחד, לבין החיוב להזדהות באמצעות תעודת זהות, שאינו נתפס כפוגע בפרטיות. לפי התזכיר, איסוף הנתונים הביומטריים נועד לאפשר זיהוי טוב יותר, ולמנוע זיופי זהות. זהו אמצעי שפגיעתו בפרטיות פחותה יותר, לכאורה, מאשר אמצעי מעקב.

רביעית, את עיקר האש מושכת ההצעה להקים מאגר מידע שיכלול את טביעות האצבע ותצלומי הפנים הממוחשבים של אזרחי ישראל. בפועל, המדינה כבר מחזיקה במאגרי ענק המכילים מידע עצום ורב על אזרחיה. מאגרים של רשות המיסים, משרד התחבורה ('משרד הרישוי'), משרד הפנים ('מרשם האוכלוסין') ומשרד הביטחון (מאגרי צה"ל), הם רק דוגמה. יהיו מי שיטענו שמאגר נוסף לא ישנה מהותית את המצב.

מהו אם כן הבסיס למחאה הגדולה שנשמעת בימים אלה בהקשר לתזכיר החוק?

בתחום טכנולוגיות המידע, ביומטריקה היא שם קיבוצי לאסופה של אמצעים, שמטרתם למדוד ולנתח מאפיינים פיסיולוגיים, כדוגמת טביעת אצבע, מבנה כף יד, קשתית ורשתית של העין, תווי פנים, תבנית קול וכיוצא-באלה. על-פי-רוב נעשה השימוש באמצעים ביומטריים למטרות זיהוי, שכן המאפיינים הללו הם ייחודיים ושונים מאדם לאדם.

זיהוי שאינו ניתן להכחשה


ההבדל בין נתון ביומטרי לבין נתון אישי אחר, טמון בכך שהקשר בינו לאדם שממנו נלקח הנתון הגופני, נתפס כבלתי ניתן להכחשה. אין זה נתון המתייחס אלינו, אלא בבואה של חלק מעצמנו ממש. כך לדוגמה, בחקירת פשע, טביעת אצבע היא כלי ראייתי חשוב כדי להוכיח שבעל טביעת האצבע נכח בזירת הפשע.

החשש הוא, שאם מידע יזלוג מהמאגר הביומטרי ויעבור לשימושו הבלתי מורשה של עבריין כלשהו, יוטל על האזרח נטל כמעט בלתי אפשרי להוכיח שהוא לא היה במקום, או שלא ביצע פעולה המיוחסת לו. יתר על כן, מרגע שיגיע נתון ביומטרי לידיים הלא נכונות, שוב לא ניתן יהיה להשיב את הגלגל אחורנית.

לשם המחשה, ראובן שנגנבה ממנו תעודת זהות רגילה, יכול לדווח על גניבתה. אם הגנב ינסה להזדהות באמצעותה בפני פקיד ממשלתי, יוכל ראובן להוכיח שלא הוא ביצע את הפעולה, על-ידי הצגת אישור על הגניבה. התעודה מתייחסת לראובן אך היא אינה בבואה של מאפיין פיסיולוגי שלו, ולכן הקשר בינה לבעליה ניתן להכחשה. מנגד, גניבת הנתונים של ראובן מהמאגר הביומטרי ושכפולם עלול ליצור בעיה נמשכת ובלתי פתירה - מסתובב "ראובן" נוסף, זהה לו מנקודת המבט של מערכות ההזדהות הביומטריות.

אמנם ייתכן ששכפול נתונים ביומטריים ושימוש בהם לצורכי הזדהות מחייבים שימוש בטכנולוגיה מתקדמת יותר מאשר זיוף תעודות זהות ודרכונים רגילים, אך העובדה שתהליך ההזדהות יישען על נתונים ביומטריים תשמש כתמריץ לגורמים מפירי חוק לפתח טכנולוגיות זיוף מתאימות. כך, שהשוואה בעת תהליך ההזדהות בין הנתונים בתעודה לנתונים הפיסיולוגיים של המחזיק בה, לא תאתר את הזיוף.

לפיכך, האפשרות ששני אנשים יזוהו במערכת כאדם אחד בשל גניבת הנתונים, עלולה לפגוע גם במהימנות הזיהוי הביומטרי. אפשרות כזו נעשית מוחשית יותר ככל שהמאגר גדול יותר, ועקב כך פוטנציאל זליגת המידע ממנו רב יותר. שכרו של החוק עלול אפוא לצאת בהפסדו. יתר על כן, תוקפן של ראיות ביומטריות כדוגמת טביעות אצבע מזירת הפשע, עלול להיפגם, שכן ראיה אחת עשויה להצביע על נוכחות של יותר מאדם אחד בזירה.

על-פי-רוב, כאשר מופיעות טכנולוגיות חדשות, שגלום בהן פוטנציאל לפגיעה בפרטיות, מושג בסופו של דבר הסדר המושתת על אמצעי אבטחה ומערכת איזונים. ההסדר מבטיח את המשך השימוש בטכנולוגיה מצד אחד והגנה מרבית על הפרטיות מצד שני. כך לדוגמה, נהגו בארצות הברית בנוגע לטכנולוגיית אר.אף.איי.די ('RFID'), המיועדת בעיקרה לזיהוי מוצרים בתהליך הפצתם, ובנוגע לקבצי 'עוגיות' ('cookies') האוגרים מידע על משתמשים לשם אספקת שירותים באינטרנט.

האופי הבלתי הפיך של זליגת מידע ממאגר ביומטרי מעמיד בסימן שאלה את היכולת להגיע להסדר דומה, שכן מערכות אבטחת מידע אינן יכולות לספק הגנה מוחלטת, ומנגד זליגה כזו יוצרת נזק שקשה עד בלתי אפשרי לתקנו. חכמים אמרו: "מה שאין לי, אינני יכול לאבד". אם לא יוקם המאגר הביומטרי, גם לא תהיה סכנה לשימוש לרעה בנתונים השמורים בו.

שם המשחק - מידתיות


בשורה של חוקים מבקשת המדינה לאזן בין הצורך להגן על אינטרסים לאומיים, מצד אחד, לבין הפגיעה בזכויות אדם מצד שני. כאלה הם לדוגמה חוק האזנת סתר ופקודת סדר הדין הפלילי (מעצר וחיפוש), המקנים למשטרה כלי חקירה במחיר של פגיעה בזכות לפרטיות.

כמצוות חוק יסוד: כבוד האדם וחירותו, על הפגיעה בזכות לפרטיות להיות לא רק לתכלית ראויה (כדוגמת מניעת זיופי תעודות זהות), אלא גם במידה שאינה עולה על הנדרש. אחד המבחנים שנקבעו בפסיקת העליון לקביעת מידתיות הפגיעה הוא - אם יש דרכים חלופיות להשגת המטרה תוך פגיעה פחותה יותר בזכות הפרט.

בדברי ההסבר לתזכיר החוק מצוין נתון מדהים: 52% ממחליפי תעודות הזהות הם בעלי עבר פלילי. 10% מתוכם אף בעלי עבר פלילי של זיוף מסמכים והפצתם. מה שנעדר מדברי ההסבר הוא החלופות שנבחנו לצורך המלחמה בתופעה הידועה והממוקדת, של עשרות אלפי עבריינים (הידועים כעבריינים) המתדפקים על דלתות משרד הפנים. האומנם אין כל חלופה אחרת, אלא ליצור מאגר רגיש מאין כמוהו, שיהיה מטרה לניסיונות פריצה בלתי פוסקים מצד גורמים עוינים?

הנטל להוכיח את מידתיותו של ההסדר המוצע בתזכיר החוק, רובץ לפתחה של הממשלה. נטל זה אף כבד שבעתיים, כיוון שההיסטוריה המתועדת בפסקי דין רבים מלמדת שמידע אישי רגיש דלף בעבר ממאגרי מידע ממשלתיים ואף נמכר על-ידי עובדי ממשלה, תוך הפרה בוטה של החוק. אין פלא, אפוא, שהבטחת הממשלה על יכולתה לאבטח כראוי את המאגר הביומטרי נתקלת בחוסר אמון.