יום הגנת הפרטיות, שצוין אתמול ברחבי העולם, לא מספק שום סיבה לחגיגות בישראל. השנה החולפת הייתה שנה שבה פרטיות אזרחי ישראל ספגה פגיעות קשות בזו אחר זו. יותר ויותר מידע פרטי שלנו נאסף, נאגר ובחלק מהמקרים גם דלף. יכול להיות ש-2020 הייתה השנה שבה הפרטיות בישראל מתה.
לדברי עו"ד חיים רביה, ראש קבוצת האינטרנט והסייבר במשרד פרל כהן וממייסדי עמותת פרטיות ישראל, "2020 הייתה שנה שחורה לפרטיות בישראל, אני לא זוכר שנה כמוה. זה לא רק שהיו מעקבי השב"כ, זו השנה שבה התברר בגלוי שהמשטרה מפעילה מערכת מעקב שמזהות מספרי רישוי של כלי הרכב ואנשים בתוכן. זו השנה שבה התברר שמשרד הרישוי העביר תמונות פנים ביומטריות לרשויות אחרות כולל למשרד ראש הממשלה שזה שם כיסוי לשב"כ או למוסד.
"זו שנה שבה הועלו רעיונות מעוררי חלחלה כמו לתת לכל אזרח ציון הדבקה שמשקף את הסיכון ממנו. זו השנה שבה משרד התקשורת פרסם שימוע שלפיו ירצה לקבל מכל חברות התקשורת בישראל נתונים מזוהים על המנויים שלהם כולל מידע אינטימי. זכות הפרטיות קבועה בחוק יסוד כבוד האדם וחירותו, אבל יש פער בלתי נתפס בין המעמד החוקתי של הזכות הזו לבין המימוש שלה בפועל בידי הממשלה".
האם יש קשר בין הקורונה לבין ההידרדרות בהגנה על הפרטיות?
"אני חושב שזו התלכדות של כמה דברים, ששיאם בקורונה. הם מבטאים פער אדיר בין התפיסה של פרטיות כזכות חוקתית בישראל, לבין זלזול גמור ומוחלט של המדינה בזכות הזו של יחידים. אין כמעט סיבה שלא הצדיקה בעיני המדינה לחמוס את הזכות לפרטיות".
בואו נחזור רק כמה חודשים לאחור, וניזכר מה קרה לפרטיות בישראל ב-2020.
הפריצה לאלקטור
בתולדות המדינה היו כמה דליפות מידע של אזרחי ישראל, נתוני ספר הבוחרים דלפו שוב ושוב, אחריהם דלפו גם נתוני מרשם האוכלוסין. השנה דלף גם מידע של מבוטחי שירביט להאקר איראני. אבל שום דבר מאלה לא מתקרב לדליפה ממערכת "אלקטור", שהתרחשה בפברואר השנה. כלכליסט חשף אז כי נתונים במאגר, שהכיל 6.5 מיליון בעלי זכות בחירה בישראל, כללו תעודת זהות, שם, כתובת, מספרי טלפון וכן מידע שאספו פעילי הליכוד כמו גיל, שפת הדיבור, מגבלות בריאות ונטייה פוליטית.
הרשות להגנת הפרטיות סיימה את חקירת הפרשה השבוע: "חברת אלקטור ומפלגות הליכוד וישראל ביתנו הפרו את חוק הגנת הפרטיות והתקנות מכוחו". ברשות מתכוונים לקנוס את האחראים, אבל האפקט לא מוחשי - גובה הסכום יגיע לכמה לעשרות אלפי שקלים בלבד.
איכוני השב"כ
הו, כמה עסקנו באיכוני השב"כ השנה. החלטת הממשלה לגייס את השב"כ למעקב אחר חולי קורונה מאומתים חשפה את העובדה שהשב"כ מנהל מעקב קבוע אחר מיקומם של כל אזרחי המדינה באמצעות "הכלי" לאיכון הטלפון שלהם. זה התחיל במרץ 2020, כשהממשלה התקינה תקנות שעת חירום שאפשרו את הפעלת השב"כ, והוויכוח נמשך עד היום.
"איכוני השב"כ מהווים פגיעה אף יותר חמורה ממה שחשבנו בהתחלה", אומרת ד"ר תהילה שוורץ אלטשולר, ראש התוכנית לדמוקרטיה בעידן המידע במכון הישראלי לדמוקרטיה, "איכוני השב"כ פתחו פתח לעשות דברים, שבעבר היה ברור שאסור לעשות אותם". לדבריה, העובדה שאין מדינה דמוקרטית אחרת שהלכה בעקבות ישראל מוכיחה שמדובר באמצעי לא סביר. "הבעיה היא שהמדינה לא מצליחה להיגמל מאיכוני השב"כ, גם כשמתברר בדיעבד שהם לא יעילים ושכבר הקימו מערך בדיקות אפידמיולוגיות", היא אומרת, ומתריעה: "אם יש משהו שאנחנו יודעים על מידע שיוצא החוצה, זה שאנחנו לא יודעים למה הוא ישמש. כבר היום אני רואה שהמדינה מתכוונת להכניס את נתוני המעקבים למאגר חולי הקורונה הגדול. אנחנו לא יודעים אילו שימושים עתידיים יהיו בנתונים האלה ומי ישתמש בהם".
עו"ד אמיר זולטי, מומחה פרטיות ממשרד ליפא מאיר, אומר שתשומת הלב הציבורית לפגיעה בפרטיות דווקא בלמה חלק מהיוזמות לפגיעה נוספת: "השימוש באמצעי מעקב של השב"כ שיעילותו התגלתה כבעייתית, שלילת הפרטיות והאוטונומיה ממי שנלקחו לבידוד כפוי, החקירות האפידמיולוגיות במסגרתן נדרשו חולים מאומתים למסור דיווח מפורט על התנהלותם ובראשית הדרך פורסמו נתונים אלה בציבור - כל אלה זכו לתשומת לב רבה ביותר ובכךֿ באופן אירוני נבלמו מספר יוזמות שלטוניות, שהיו עלולות ליצור פגיעה נוספת בפרטיות כמו חיוב קניונים לרשום את פרטי המבקרים, מתן הסמכה למשטרה לפרוץ לבתים בהם מצויים חשודים בהפרת בידוד ועוד". להערכתו מגמה זו תימשך ויהיה יותר ויותר קשה לפגוע בפרטיות שלנו.
גורם רשמי ביקש לציין: "מסיכום שנת 2020 שפרסם השב"כ עולה כי באמצעות הסיוע הטכנולוגי של שב״כ למניעת התפשטות נגיף הקורונה בישראל, אותרו למעלה מ-90,000 חולים. כתוצאה מכך, על פי נתוני משרד הבריאות, נמענו כ-50,000 נדבקים חדשים, שמשמעותם, מניעת למעלה מ-1,000 מקרי תחלואה קשים וכ-400 מקרי תמותה״.
חייכו, מצלמים אתכם
מצלמות מעקב הפכו השנה לחלק קבוע בנוף העירוני. יש מצלמות ברחובות, במגרשי החניה, לאורך המדרכות ובכל חנות, משרד, קניון. פעם צילומי הווידאו היו נשמרים אצל מפעיל המצלמה בלבד. היום יותר ויותר מצלמות מחוברות מרחוק, מעבירות מידע למאגרים מרכזיים, וכשמחברים את זה ליכולות הבינה המלאכותית לזהות פנים, מקבלים את האח הגדול במלוא מסוכנותו.
אין גבול ליכולות הטכנולוגיה. היא יכולה לזהות את מצבו הבריאותי של אדם, את מוצאו העדתי, את מצב רוחו. המאבק בקורונה הביא לפרץ של יצירתיות בתחום זה, וחברות ההייטק הציעו שלל פיתוחים כולל מדידה מרחוק של הטמפרטורה שלנו, הדופק, כמה אנשים במכונית שלנו, האם אנחנו עוטים מסכה, האם אנחנו נראים חולים, האם אנחנו נשמעים חולים. חברת NSO הציעה מערכת שמדרגת אוטומטית כל אדם לפי מידת הסבירות שהוא חולה, חברת Viisights הציעה מערכת שתזהה אי-שמירת ריחוק חברתי. והפרטיות, היא הייתה ואיננה.
אילן שעיה, חבר דירקטוריון בחברת הגנת הסייבר Cybowall טכנולוגיות: "הנדבך האחרון בפגיעה בפרטיות הוא יכולות המעקב הן של מצלמות האבטחה והשימוש בתשתיות סלולריות. אם בעבר הדבר בוצע במחשכים, כיום החברות דורשות מאיתנו בתנאי ההסכם לעשות שימוש במידע כרצונם. מערכות האבטחה לא מבקשות אישור לעקוב אחרינו והדבר חמור עוד יותר כאשר זה נמצא בידיים פרטיות. גם הפעם הטכנולוגיה מקדימה את החוקים וגם החוקים הקיימים לא תמיד ברורים או ניתנים לאכיפה. לאדם הפשוט, כל מה שנותר זה לעקוב מקרוב על דברים שחשובים לו ולהיזהר מגניבת זהותו".
המאגרים של משרד הבריאות
ההסכם בין ממשלת ישראל לחברת פייזר בסוף 2020 על קבלת מיליוני חיסונים בתמורה למסירת מידע מלא לפייזר על המתחסנים, הסב את תשומת הלב הציבורית לכמויות המידע העצומות שמשרד הבריאות צובר עלינו, מידע רגיש ביותר שכולל את כל הבעיות הרפואיות והטיפולים שקיבלנו. במשרד הבריאות הקימו מאגר של חולי הקורונה בישראל, כולל כל הרגע הרפואי שלהם. על הדרך צצו שאלות מציקות כמו למשל האם מבצע החיסונים אינו ניסוי נרחב של פייזר, שכולנו שפני הניסיונות בו, והאם לא נדרשה הסכמתנו לפני שהפכו אותנו לנסיינים? וגם איך מוודאים אילו שימושים יעשו במידע ולמי שייך המידע ולמי שייכים הרווחים ממנו? העניין טרם נפתר, הפגיעה בפרטיות כבר בעיצומה.
"יש במאגר הקורונה 600 אלף איש, זה המון אנשים", אומרת שוורץ אלטשולר, "לא רק שלא נגמלים מהשימושי באיכוני השב"כ, אלא שעכשיו אוספים גם את הנתונים האלה ואנחנו יודעים שרוצים להשתמש בו לצרכי מחקר וגם להנגיש אותו החוצה. אנחנו רק לא יודעים מה יהיו השימושים העתידיים שלו ולכן זו פגיעה מאוד קשה בפרטיות ובעיני לא מוצדקת, אפילו נוכח הקורונה".
נמרוד וקס, מייסד שותף וסמנכ"ל המוצר בחברת BigID המתמחה בניהול מדיניות פרטיות ברשת, אומר: "המעקב של הממשלה אחרי תנועות האזרחים לטובת חקירות אפידמיולוגיות העלה הרבה סימני שאלה באשר לחדירה אל מידע הפרטי שלנו. אין ספק כי בשעה של מגיפה עולמית הצורך להגן על בריאות הציבור עומד בראש סדר העדיפויות והזכות לפרטיות תפגע אבל גם פגיעה כזו ראוי שתהיה מבוקרת, היה צורך לספק שקיפות לגבי המידע שנאסף, להגביל אותו למטרות ספציפיות ולמחוק אותו כשכבר אין צורך. אבל ההגדרות נותרו מעורפלות".
עקומת הלימוד של משרד החינוך
גם בימים כתיקונם, הזכות לפרטיות של התלמידים אינה בבת עינם של ראשי משרד החינוך. דו"ח של הרשות להגנת הפרטיות שהתפרסם בינואר 2020 מצא ליקויי הגנה על מידע אצל 23 מתוך 24 גופים וחברות המפעילים אפליקציות ואתרים חינוכיים לילדים ומחזיקות בשל כך במידע רגיש ופרטי עליהם. גם מבקר המדינה מצא ליקויים בהגנת מידע על ילדים במשרד החינוך.
תקופת הקורונה רק החמירה את המצב כשמשרד החינוך לא נערך ולא הכשיר את המורים כיאות. הילדים נמצאים שעות ארוכות מול המחשבים והטלפונים, משתתפים בשיעורים בזום ונמצאים תחת מעקב של אפליקציות ופלטפורמות שאוספות מידע על הילדים. היו גם מקרים שזרים חדרו לשיעורים זום של בתי ספר, שלא נערכו להגנה על פרטיות התלמידים ולשמירה שלא ינוצלו, לא יידרשו לעשות דברים שאינם צריכים, לא יחושו בושה או עלבון. לפעמים עקומת הלימוד של משרד החינוך ובתי הספר באה על חשבון התלמידים.
האפליקציות של משרד התחבורה
מעט מודעות לפרטיות לא הייתה מזיקה גם למשרד התחבורה, שתחת אחריותו מתנהלים כמה פרויקטים תחבורתיים שמעוררים חשש לפרטיות המשתמשים בהם. הרשות להגנת הפרטיות הפנתה השנה את תשומת הלב לצורך בהגנה על פרטיות הנוסעים בתחבורה הציבורית. אפליקציות התשלום והתיקוף בתחבורה הציבורית, אפליקציות הנסיעות במוניות והנסיעות המשותפות ואפליקציות הארנק דיגיטלי, כולן אוספות פרטים אישיים ומיקומים, לעיתים בכמות מופרזת שאינה נדרשת. ברשות אומרים כי משרד התחבורה לא הסדיר את היבטי השמירה על הפרטיות של הציבור, ולא איזן בין הצורך באיסוף, עיבוד ושימוש במידע לבין השמירה על פרטיות המשתמשים בשירותים אלה.
עין הנץ של המשטרה
שנת 2020 הייתה השנה שבה נחשפה לציבור הרחב מערכת עין הנץ, מערכת הריגול של המשטרה אחרי הנהגים. המצלמות של המערכת קולטות את מספרי הרישוי של המכוניות ומאפשרות זיהוי בזק של בעלי המכוניות ומעקב אוטומטי אחריהן. החלק המפתיע היה, שהמשטרה השתדלה לשמור את דבר קיומה של המערכת בסוד, כאילו אין מדובר בזכותם של אזרחים לדעת שהמשטרה עוקבת אחרי תנועותיהם באמצעים אוטומטיים.
חמור מזה, השימוש במערכת לא אושר ולא נמצא תחת פיקוח כלשהו. המידע על מיקום כל המכוניות בכל המדינה מצטבר, אך לא נרשם כמאגר מידע כפי שמחייב החוק. ככל הידוע אין נהלים שקובעים מי רשאי להשתמש במידע, כמה זמן יישמר המידע ואם יימחק אי פעם, והאם הוא מוגן בצורה שמבטיחה שלא ידלוף בפריצת סייבר. גם בתי המשפט מצאו ליקויים בשימוש במערכת. האגודה לזכויות האזרח ועמותת פרטיות ישראל עתרו אתמול לבג"ץ כנגד המשך השימוש ב"עין הנץ" בטענה כי הוא פוגע בזכויות החוקתיות לפרטיות ולחירות, ונעשה ללא הסמכה מפורשת בחוק.
הרשתות החברתיות
הסרט הדוקומנטרי "הדילמה החברתית" (מסכי עשן: המלכודת הדיגיטלית) של ג׳ף אורלובסקי עלה בנטפליקס בספטמבר השנה ועורר סערה רבתי. את העובדה שהרשתות החברתיות עוקבות אחרינו ידענו כבר מזמן. אבל כאן נחשף בצורה כואבת השימוש של הרשתות החברתיות בבינה מלאכותית כדי לגרום לנו להתמכר לשימוש ברשתות עם אלגוריתם שמטרתו למקסם את הכנסות החברות.
אומר גל רינגל, מנכ״ל ומייסד שותף של חברת Mine, שפיתחה מערכת שמאתרת עבורנו את המידע הפרטי שלנו ברשת: "אנחנו צורכים היום יותר ויותר באינטרנט, החל משירותי בריאות ועד לרכישת מוצרים והמידע הפרטי שלנו חשוף יותר, טביעת הרגל הדיגיטלית שלנו גדלה. כל זה, יחד עם פריצות הסייבר ושינוי בגישת הצרכן למוצרים הוליד דור חדש של צרכנים, שאינו מסתפק ברכישת 'מותג'. אותו דור, הביא לכך שווטסאפ דחתה את המועד האחרון לאישור תנאי השימוש החדשים, לאחר שעשרות מיליונים של משתמשים עברו למתחרות שלה, בשל חוסר הבעת אמון".
מוסיף רו"ח גיא מונרוב, מומחה לביקורת חקירתית וסייבר: "לא בטוח שכל החברות חושפות ללקוח את הדרכים בהן נאסף המידע עליהם ומה השימוש שנעשה בו. לדוגמה: עדכון הלקוח על 'קוקיס' שאוספות ואוגרות מידע עליו הוא דבר שהרשות להגנת הפרטיות המליצה עליו אך טרם נכנס לתוקף. יש חשש משיתופי פעולה בין ארגונים וחברות והעברת מידע ביניהן ללא ידיעת הלקוח וללא בקרה נאותה. העלייה בכמות אירועי סייבר וחשיפת מידע בשנה האחרונה מעידה שהמידע שלנו לא מוגן ולא יכול להיות מוגן. מי שחרד לפרטיותו - עדיף שלא ישמור מידע רגיש ברשת וגם לא בטלפון הפרטי שלו".
פרטיות 2021
מה יקרה לפרטיות שלנו במהלך השנה הנוכחית? האם נראה המשך של הידרדרות בהגנה על הזכות שלנו לפרטיות, או אולי להיפך, שיפור הדרגתי? עו"ד דלית בן ישראל, מנהלת תחום IT ופרטיות בנשיץ ברנדס אמיר, סבורה שהאיזון הראוי כבר נמצא: "האיסוף הנרחב של מידע אישי בקשר עם מגפת הקורונה חידד את ההבנה שהזכות לפרטיות אינה מוחלטת וניתן לפגוע בפרטיות לתכלית ראויה ובמידה שלא עולה על הנדרש. יש לוודא שימוש במידע למטרה שלשמה נאסף בלבד (כגון חקירה אפידמיולוגית) ולא לבצע שימוש נוסף במידע ללא הסכמה. יש לבחון את הצורך בהמשך החזקת המידע, ובנסיבות בהן אין בו יותר צורך, להביא למחיקתו בהקדם האפשרי".
מוסיף עו"ד דן חי, בעל משרד המתמחה בפרטיות וסייבר ויו״ר הועדה להגנת הפרטיות בלשכת עורכי הדין: "אירוע אלקטור ממחיש היטב כיצד נושא הפרטיות אינו שמור עוד לענקיות הטכנולוגיה ולמעשה מעולם לא היה. מדינת ישראל חייבת להביא את המידע שלנו והסדרת השימוש בו לעדיפות עליונה. מספר רב של הצעות חוק נמצאות בקנה וממתינות לעלות על סדר היום, האיחוד האירופי בוחן אותנו בעניין, וקצב אירועי אבטחת המידע עולה ועולה. שנת 2021 חייבת להיות מוקדשת לפרטיות, של כולנו".
