ביוני 2016 צוטט ב"הארץ" בכיר באגף החקירות והמודיעין במשטרה, שטען כי יותר מ–80% מהשוטרים שעברו תחקיר ביטחוני בשנים האחרונות העידו כי השתמשו במאגר המידע המשטרתי לצרכים אישיים, לעתים למטרות רווח. הציטוט המטריד הזה קיבל משנה תוקף השבוע, עם אישור חוק המאגר הביומטרי. החוק קובע כי מעתה ואילך תיעשה ההנפקה של תעודות זהות ודרכונים באמצעות שביב אלקטרוני שיושתל בהם ויישא נתונים ביומטריים — תצלום פנים וטביעת אצבע — שבעזרתם אפשר לזהות אדם באופן ודאי.

מאז 2008 נמשך הליך אישור החוק, שעורר התנגדויות רבות. אמנם החוק עבר השבוע בכנסת, אך הוא ייכנס לתוקפו רק ביולי, לאחר שיאושרו תקנות נוספות בוועדה המשותפת שדנה בנושא. עד אז ימשיך לפעול הפיילוט במאגר הביומטרי כפי שפעל עד כה. בין התקנות שבהן ידונו בשנית נכללים השימושים המשטרתיים שייעשו במאגר, ולאחר ששר הפנים יביא את התקנות לאישור הכנסת ייכנס החוק לתוקפו.

אחד המתנגדים הוא פרופ' אלי ביהם, ראש מרכז הסייבר בטכניון. "דמיינו סיטואציה שבה בעל מוצא טביעת אצבע בחדר השינה שלו ושל אשתו. הוא פונה לחוקר פרטי, וזה משחד שוטר כדי שיבדוק עבורו את טביעת האצבע במאגר. למה בכלל שיהיה פתח לדבר כזה?", תוהה ביהם. "עשו פיילוט, אבל אף אחד מעולם לא ביקש עבודה שתבדוק אם יש סיכון במאגר או מה צריך לעשות כדי להקטין את הסיכון".

לדברי ביהם, "האפשרות לשוחד היא בעייתית, אבל יש פה פרצה בכל הנוגע להפרת הפרטיות. לשמחתי, השבוע הצלחנו לקבוע שנוהלי העבודה בין הרשות הביומטרית למשטרה יאושרו בתקנות, כך שעוד אפשר לצמצם את הפגיעה".

ביהם אינו היחיד שחושש מהחוק החדש. אנשי אקדמיה, חברי כנסת מהקואליציה והאופוזיציה וארגונים אזרחיים רבים טוענים כי אין זה הגיוני שהמדינה כופה על אזרחיה מאגר ביומטרי לאומי, בעוד שמדינות מערביות אחרות בעולם אינן שומרות נתונים ביומטריים באופן שיטתי ומקיף כזה. השבוע רשמו מתנגדי החוק הישג, כשנקבע כי החוק לא יחייב מתן טביעות אצבע. ואולם המדינה מעודדת מהלך כזה, ומי שיסכים לתת טביעת אצבע יקבל דרכון לעשר שנים, בעוד שהמסרבים יקבלו דרכון לחמש שנים בלבד. כיום, לאחר פיילוט של כשלוש שנים וחצי, יש כבר יותר ממיליון טביעות אצבע של אזרחים ישראלים במאגר.

עברו לתצוגת גלריה צילום חשודים ברצח מחמוד אל־מבחוח עוברים בנמל התעופה של דובאי ב-2010, כפי שהפיצה המשטרה המקומית צילום: AFP ללא

מי שיזם את המאגר הביומטרי הוא המטה ללוחמה בטרור. היוזמה קודמה על רקע דאגה ממקרי זיוף של תעודות זהות ודרכונים, ובטענה שיש למנוע לא רק את זיוף התעודות, אלא את זיוף הזהות. לשיטת המטה ללוחמה בטרור, אם אדם מגיע למשרד הפנים ומתחזה למישהו אחר ("הרכשה כפולה", בפי המומחים), אין לפקיד יכולת לזהות התחזות, למרות שאלות הזיהוי שהוא מפנה לאותו אדם.

מתנגדי החוק טוענים כי טיעון ההרכשה הכפולה הוא תירוץ בלבד, ויש דרכים אחרות להתגבר על הבעיה, שהיא זניחה ממילא. "הנתונים שנאספו בתקופות המבחן מוכיחים כי תופעת ההרכשה הכפולה, שהוצגה כרציונל להקמתו של מאגר ביומטרי, כמעט אינה קיימת, ולכן אין צורך במאגר לשם הנפקת תיעוד חכם לציבור. אם רשויות הביטחון דוחפות להקים מאגר ביומטרי לצורכיהן, יש לומר זאת לציבור באופן ברור" — כך כתבו מומחי סייבר ואבטחת מידע בדו"ח שפירסמה בינואר התנועה לזכויות דיגיטליות, המובילה את המאבק הציבורי נגד המאגר.

מבחינת מאיר שטרית, לשעבר שר הפנים (קדימה) שהיה הדמות הדומיננטית בהתנעת התהליך לפני עשור, המתנגדים הם דמגוגים ופופוליסטים. "אם הייתי עוד שנה במשרד הפנים כל המדינה היתה בביומטריה. לא הייתי שואל אף אחד", הוא אומר. "חבל שקבוצת מתנגדים קולנית ורועשת הצליחה להפחיד את הציבור ואת הממשלה. בארה"ב יש טביעות אצבע של כמעט 2 מיליון אזרחים ישראלים. בשל שיתופי פעולה בין המדינות, טביעות האצבע אלה נמצאות גם בבריטניה, בניו זילנד ובאוסטרליה. שם זה בסדר, ורק ממשלת ישראל חשודה? זה מעליב".

החקיקה השבוע אינה סוף פסוק. הכנסת, כאמור, צריכה עדיין לאשר את התקנות שיתקן שר הפנים, אריה דרעי, הממונה על החוק. בתוך כך, בימים אלה שוקדת התנועה לזכויות דיגיטליות על ניסוח עתירה לבג"ץ, שתוגש בשבוע הבא ככל הנראה. "מאגר שיכלול את תווי הפנים של כל אזרחי המדינה, וסביר שייפרץ או שיעשה בו שימוש לרעה על ידי עובדים החשופים אליו, כפי שקרה בעבר, הוא מסוכן", אומרת ד"ר תהילה אלטשולר־שוורץ, ראש התוכנית לדמוקרטיה בעידן המידע במכון הישראלי לדמוקרטיה. "מאגר מידע כה רחב על תושבים הוא בשורה רעה לאזרחי ישראל, והוא פוגע קשות בפרטיותם ובזכויותיהם. יש לפעול כדי לבטלו באופן מוחלט".

סכנה: דליפת נתונים

עברו לתצוגת גלריה

ביולי 2015 נכנסו 35 מיליון איש ברחבי העולם, מהם 170 אלף ישראלים, לכוננות ספיגה. קבוצת האקרים פרצה לשרתים של אתר הבגידות אשלי מדיסון, וגנבה מידע רב מבסיס הנתונים והמשתמשים של האתר. בין היתר נגנבו פרטי אשראי ומידע אישי מהזן הרגיש ביותר.

הפריצה שהביכה רבים לא היתה הפעם הראשונה שבה הודלפו נתונים אישיים. בשנים האחרונות הודלפו בישראל ובחו"ל מאגרי מידע גדולים וחשובים. בישראל דלפו פרטיהם של 9 מיליון ישראלים (חיים ומתים), שעדיין נמצאים באינטרנט וברשות מי שרק ירצה (אגרון), ומאגר התמונות של משרד התחבורה. מעבר לים דלפו מסמכים של חברות בינלאומיות שפעלו במקלטי מס ממשרד עורכי דין גדול בפנמה, ומאגרי מידע ממשלתיים בארה"ב. ההדלפות הגדולות ביותר היו של וויקיליקס ושל אדוארד סנודן, שחשף מידע סודי ביותר של הסוכנות לביטחון לאומי האמריקאית (NSA).

הדוגמאות האלה ממחישות כיצד גם האקרים חיצוניים וגם אנשים בתוך המערכות משתמשים לרעה במידע שמצוי במאגרים המאובטחים ביותר בעולם, ומתברר שגם הם לא הרמטיים לחלוטין. האפשרות לדליפת מידע מעלה שלל תרחישים בעייתיים לגבי המאגר הביומטרי בישראל.

הגורמים העוינים מתחלקים לשניים — טרוריסטים ועבריינים. "מרגע שדלף המאגר והגיע לידיים עברייניות, יכול העבריין לבצע שלל פעולות הפוגעות בתושבים", אומר דורון שקמוני, פעיל נגד המאגר הביומטרי ומומחה סייבר, שבעבר היה ממתכנני מערכת תהיל"ה, המערכת המרכזית של הממשלה להפצת מידע באינטרנט. לדבריו, "הפעולות הפוגעניות הן החל בכניסה לא מורשית לטלפונים החכמים כיום, או לטכנולוגיות אחרות בעתיד, דרך התחזות לתושב מול רשויות וגניבת זהותו, ועד להפללת תושב בפשע על ידי שתילת טביעות אצבעותיו בזירה".

אף שיוזמת המאגר היתה מתוך רשויות הביטחון בישראל, האפשרות שהמאגר ידלוף יכולה לפגוע בישראלים השוהים דווקא בחו"ל. בשנים האחרונות היו מקרים שבהם ישראלים נהרגו באירועי טרור בעולם כשנקלעו לזירה במקרה. מאגר תמונות של ישראלים בידי ארגון טרור כבר עלול לשנות את המצב לרעה. "נניח שלאחר דליפת המאגר הוא מגיע לגורם עוין, שמחזיק מאגר עם תמונות הפנים של תושבי ישראל", אומר שקמוני. "אדם כזה יכול לשים את המאגר על המחשב הנייד, להגיע למרכז לונדון, ובאמצעות מצלמה ותוכנת זיהוי פנים פשוטה לסרוק את העוברים ושבים. עכשיו הוא יכול לזהות מי ישראלי ומי לא, ולפגוע בישראלים בלבד".

מאגר ביומטרי שייפול בידיים הלא נכונות יכול לעבוד גם באופן הפוך: ממשלה זרה יכולה לזהות סוכני מוסד או אנשי ביטחון ישראלים אחרים בפעילות מבצעית בחו"ל. סביר להניח שהזהות של אנשי רשויות הביטחון כלל לא תוזן למאגר, אבל אדם צעיר שעדיין לא יודע כי הוא עתיד לעבוד במוסד, למשל, כן ייכנס למאגר, ואז הוא בבעיה.

המקרה של חיסול מחמוד אל־מבחוח בדובאי, שבו משטרת דובאי טוענת כי זוהו סוכני מוסד באמצעות מצלמות האבטחה בבית המלון, הוא תזכורת לבומרנג שעלול לפגוע באנשי הביטחון, גם אם המאגר לא ידלוף החוצה. "רשויות חוק בחו"ל יכולות, אם באמצעות המאגר או באמצעות פנייה רשמית לממשלת ישראל מתוך ידיעה שהיא מחזיקה מאגר כזה, לזהות ישראלים שנשלחו מטעם המדינה לפעילות ביטחוניות", אומר שקמוני.

עברו לתצוגת גלריה דרכונים שהציגה משטרת דובאי לאחר חיסול אל-מבחוח

השבוע, בעקבות לחץ המחוקקים, ובעיקר של סיעת ישראל ביתנו מהקואליציה, אושר כי חוקרי משטרה יקבלו גישה למאגר רק באמצעות אישור של שופט מחוזי. ואולם סעיף 7 בחוק עדיין נותר על כנו, ולפיו שוטר מוסמך, לצורך זיהוי או אימות זהות של אדם הנמצא לפניו (כלומר, ברחוב. בניגוד למצב של חקירה שבה נדרש אישור שופט מחוזי לחיפוש כללי במאגר), לבקש מהרשות להשוות את נתוניו הביומטריים של האדם עם הנתונים שבמאגר. זאת, במקרה שהאדם אינו נושא מסמך זיהוי וצריך לברר את זהותו או לאמת אותה.

סכנה: שימוש לרעה על ידי המדינה

אמנם במדינות נוספות בעולם קיימים מאגרים ביומטריים ממשלתיים, אבל ברוב המקרים מדובר במאגרי דרכונים, כך שאדם שאינו מעוניין שהמדינה תחזיק בתמונה שלו או טביעת האצבע, יכול להחליט לא לשתף פעולה במחיר של אי־יציאה מארצו. החוק בישראל, לעומת זאת, קובע כי כל תושב מחויב לשאת בכל רגע תעודת זהות (חוק החזקת תעודת זהות והצגתה, תשמ"ג־1982, שלפיו תושב שמלאו לו 16 שנה חייב לשאת תמיד תעודת זהות ולהציגה בפני קצין משטרה בכיר, ראש רשות מקומית, שוטר או חייל במילוי תפקידם, כשידרשו זאת ממנו). המשמעות היא פגיעה בחופש התנועה, שכן אזרחי ישראל ינוטרו בכל רגע נתון.

לאחר שאושר חוק המאגר הביומטרי השבוע, ישראל הצטרפה לרשימת מדינות מצומצמת יחסית ולא מחמיאה, הכוללת את פקיסטן, עירק ופורטוגל, שבהן הנפקת תעודת זהות ביומטרית היא חובה. שאר המדינות שהתחילו להשתמש ביישומים ביומטריים לתעודות זהות או הדרכונים אינן מחייבות בכך את תושביהן. עוד כדאי לציין כי בריטניה ביצעה בעבר ניסוי בתעודות חכמות מבוססות על סריקת פנים וקשתית העין, והחליטה לחדול מאיסוף נתונים ביומטריים מתושבים והכנסתם למאגר ממשלתי, בעקבות מחאה ציבורית. ב–2010 החליטה הממשלה לא רק על ביטול החוק, אלא שהמאגר הקיים יימחק.

הקשר של המשטרה ושל רשויות מדינה אחרות למאגר הוא הדבר שממנו חוששים המתנגדים יותר מכל. הם מצביעים על כך שבעידן שבו כמעט כל רחוב מרושת במצלמות אבטחה, הרי שהצלבת התמונות מהמצלמות למאגר היא מסוכנת לזכויות הפרט. מי שבעיקר עלול לסבול מכך הם קבוצות מיעוטים, שמסומנות מראש במשטרה, כמו צעירים מהקהילה האתיופית וערבים. בכמה מקרים בשנים האחרונות השתמשה המשטרה בצילומים יזומים או בניטור סטטוסים מפייסבוק כדי לעקוב אחר תנועות של מפגינים.

"מרגע שלמדינה יש אוסף תמונות במאגר ביומטרי, היא יכולה להשתמש בו באירועים רבי משתתפים כמו הפגנות, או להצליב מול צילומים ממצלמות שכבר כיום פרושות לרוחב המדינה, ולדעת איפה היה האזרח ומתי", אומר שקמוני. "מציאות כזו אינה סבירה במדינה דמוקרטית. יותר מכך: כיום אנו חיים במשטר נאור בסך הכל. בתרחיש קיצוני מעט יותר, של עליית קואליציה דמוקרטית מעט פחות, הרי שמשטר כזה יכול לעקוב אחריך באופן רציף, או למשל לשתול טביעת אצבע שלך בזירת אירוע כלשהו — ונסה אז להוכיח שלא היית שם".

עברו לתצוגת גלריה ג'וליאן אסאנג', מייסד וויקיליקס צילום: Kirsty Wigglesworth/אי־פי

אלטשולר־שוורץ מוסיפה כי "בעזרת המצלמות, כיום המשטרה יכולה לדעת בכל מקום איפה אתה נמצא. אז אומרים שהתמונות של כולם נמצאות ממילא בפייסבוק, אבל יש הבדל גדול — פייסבוק לא יכול לעצור אנשים. משטרה כן. לכן היה המאבק הגדול על זה שרק שופט מחוזי יאפשר גישה להרצת חיפושים במאגר. אבל עדיין יש מקום לחשש. שופטים מאשרים די בקלות האזנות סתר, ולצערי יש לא מעט שופטים שאינם מבינים לעומק סוגיות של פרטיות המידע בעידן הדיגיטלי".

אלה הבעיות כל עוד ישראל היא עדיין דמוקרטיה. ומה יקרה אם חס וחלילה יום אחד יקום כאן משטר דמוקרטי פחות. אנשים ברשות הביומטרית דוחים אפשרות כזאת, ואומרים כי אם יהיה בישראל משטר דיקטטורי, הרי שאז ממילא הוא יחייב את כל האזרחים להיכנס למאגר ביומטרי, בתנאים נוקשים יותר, או לחילופין ישתמש לרעה במידע שכבר כיום יש בידי המדינה.

חברת הכנסת יוליה מלינובסקי (ישראל ביתנו), ילידת אוקראינה שגדלה בבריה"מ הקומוניסטית, יודעת דבר או שניים על דיקטטורה. לדבריה, עדיף פשוט לצמצם מראש את יכולתו של השלטון במעקב אחר האזרחים. היא אומרת כי הבעיה עם המאגר היא ההתייחסות אליו ככלי עזר עבור המשטרה או כוחות הביטחון, ולא ככלי אזרחי. "המאגר הזה של תיעוד חכם נועד לצרכים אזרחיים של החברה האזרחית, ולא לשימושים ביטחוניים", היא אומרת. "דעתי לא נוחה לתת כלי כזה למשטרה".

מלינובסקי מסבירה שהיא בעד הקמת מאגר לתקופה מצומצמת של חמש שנים, ולאחר מכן להשמיד את המאגר. "אני בעד להקים מאגר בשביל ההליך הראשוני של ההצטיידות בתעודה ביומטרית, כדי למנוע גניבת זהות. לפי מומחים שעמם דיברתי, ברגע שהתעודות האלה יהיו ברשות 80% מהאוכלוסייה, אז אין צורך במאגר ודינו להתבטל. אני מבינה את הצורך בתיעוד חכם, אבל אין סיבה להחזיק את המאגר אחרי חמש שנים. נולדתי וגדלתי בבריה"מ. בתקופה ההיא אמרו שלכל אחד יש תיק, המדינה יודעת עליך הכל, ולמי שאין תיק — המדינה כבר תדאג לתפור לו אחד כזה. אני לא רוצה שנתקרב לשם אפילו במילימטר".

תגובת הרשות הביומטרית

"מנתוני המשטרה וממסקנות עבודת המטה ללוחמה בטרור שבוצעה ב–2014 עולה כי עבריינות הזיוף וההונאה היא רחבת היקף ומהווה איום כלכלי, חברתי וביטחוני. תופעות העבריינות הנלוות להתחזות וגניבת זהות נעות מפתיחת חשבון בנק ומשיכת כספים בזהות מזויפת, קבלת תגמולים מהמוסד לביטוח לאומי, מכירת דירות וכלי רכב, ועד הצבעה בבחירות.

"לצד סוג זה של עבריינות, קיימת הפעילות החבלנית והסיוע לטרוריסטים בעזרת זהויות בדויות. היקף הבעיה מחייב פתרון בטווח הקצר והארוך. ההערכות הן כי עשרות אלפי אנשים משתמשים בתיעוד מזויף לצורכי התחזות וגניבת זהות. אם לא יהיה מאגר ביומטרי, תופעת ההתחזות תיהפך לנפוצה בהרבה. מערכות המאגר מאפשרות השוואת נתוניהם של כלל מבקשי התיעוד, ובכך מאפשרות למנוע את תופעת ההתחזות וגניבת הזהות.

"העולם מתקדם לשימוש בביומטריה ככלי מרכזי לאימות זהות אזרחים. עשרות מדינות מהמובילות בעולם מחזיקות מאגרים ביומטריים של אזרחיהן. מדינות כגון שווייץ, בלגיה, הולנד, אוסטרליה, יפן, קנדה, פינלנד, אירלנד, בריטניה, צרפת, מקסיקו, ברזיל, הודו, טורקיה, ויותר מ–35 מדינות בארה"ב מחזיקות מאגרים ביומטריים של אזרחיהן ורישיונות נהיגה ביומטריים. המאגר שהוקם בישראל שונה מהמאגרים של מדינות אלה בכך שאינו כולל נתונים ביוגרפיים.

עברו לתצוגת גלריה מחאה של בני הקהילה האתיופית נגד גזענות. יש אוכלוסיות שהרשויות מפלות לרעה כבר כיום צילום: אילן אסייג

"בחינת החלופות הנרחבת שבוצעה בתקופת המבחן הביאה את מומחי המרכז למחקרים צבאיים ברפא"ל ואת מומחי הביומטריה למסקנה חד־משמעית בדבר העובדה ששימוש במגוון רחב של נתונים ביומטריים יאפשר איתור מתחזים ומניעת גניבת זהות בצורה מדויקת ויעילה, בד בבד עם מספר מינימלי של התראות שווא.

"ניהולו ואבטחתו של המאגר הביומטרי הופקדו בידיה של הרשות הביומטרית. ברשות, הפועלת בכפיפות לשר הפנים, יש בעלי תפקידים שאחראים לאבטחת הנתונים ולהגנה על פרטיות האזרחים. הרשות מונחית ומבוקרת בנושא האבטחה על ידי הגורם הרלוונטי בשב"כ. בחל ב–1 במארס האחריות על אבטחת המאגר עברה לרשות להגנת הסייבר. הרשות ועובדיה פועלים בהתאם למסגרת ולקווים המנחים של הקוד האתי, שנכתב עבורם על ידי פרופ' אסא כשר.

תצורת הקמת המאגר הביומטרי איפשרה איזון ראוי בין הגנה הפרטיות ליכולת ההתמודדות עם הפשיעה ופעילות הטרור. זאת, על ידי שימוש במינימום נתונים המאוחסנים ומעובדים במערכות הרשות הביומטרית וכוללים אך ורק שתי טביעות אצבע וצילום פנים, לצד מנגנונים מתקדמים ותהליכי עבודה מתאימים שמאפשרים רמה גבוהה ביותר של אבטחה והגנה על הפרטיות".

המרוויחה הגדולה מהנפקת התעודות הביומטריות

עברו לתצוגת גלריה יישום לזיהוי טביעת אצבע בטלפון חכם צילום: בלומברג

עלות הקמת המאגר הביומטרי מוערכת בקרוב למיליארד שקל. חלק מהסכום יופנה להנפקת התעודות החכמות, ומי שתרוויח מכך היא ענקית המחשוב HP, שקיבלה מהמדינה את המשימה בפטור ממכרז עד 2025. על ההתקשרות עם HP נמתחה ביקורת בדו"ח מבקר מדינה שפורסם ב–2011, ובאחרונה גם על ידי חברי כנסת מהקואליציה והאופוזיציה. באפריל צפוי להתקיים דיון בעניין בוועדה לענייני ביקורת המדינה, ביוזמת ח"כ עיסאווי פריג' (מרצ).

ביוני 2016 הגישה חברת דפוס בארי עתירה מינהלית לבית המשפט המחוזי בירושלים, בטענה שנפלו פגמים מהותיים בהחלטות שהתקבלו בוועדת הפטור ממכרז שבאגף החשב הכללי במשרד האוצר, בנוגע לפטור קיבלה HP, בהיקף של יותר מ–200 מיליון שקל. דפוס בארי טענה בעתירה שאין טעמי חיסכון המצדיקים את הפטור, ושהסיבה האמיתית להתקשרות היתה ויתור על תשלום חוב של משרד הפנים לחברה, בסך 70 מיליון שקל.

עוד טענה דפוס בארי כי מחירה של תעודת זהות לא נקבע בהליך מכרז פומבי, אלא במשא ומתן שהתקיים עם HP, והמחיר שנקבע בו לא היה תחרותי, אלא גבוה ב–23% מאומדן שנקבע לפני המכרז. מאז חלפו כבר יותר מעשר שנים: בתקופה זו היו התפתחויות טכנולוגיות, שחקנים נוספים הצטרפו לשוק, ולטענת דפוס בארי המחיר של HP נהפך לגבוה פי ארבעה ממחיר השוק. במשרד האוצר טענו מנגד כי החלטת ועדת הפטור ניתנה לאחר שיקול כל הנסיבות ובהתאם לתקנות חוק חובת מכרזים.

אף שבעתירה ננקב סכום של 200 מיליון שקל, למעשה ההכנסות של HP עשויות להגיע לסכום גבוה יותר, מכיוון שבאישור החוק השבוע נקבע שטביעת האצבע היא וולונטרית. כך, תעודות הזהות של אזרח שלא ייתן טביעת אצבע למאגר תהיה בתוקף לחמש שנים בלבד. הדבר מגדיל את הרווחים של HP, מכיוון שההתקשרות שלה עם משרד האוצר היא עד 2025. ככל שאזרחים רבים יותר יימנעו מלתת את טביעת האצבע, המשמעות היא שבין 2022 ל–2025 יהיו ל–HP יותר תעודות להנפיק, על חשבון קופת המדינה.