וירוסים, פרטיות, וטכנולוגיה / מיכאל בירנהק ומיקי זר

מידע הוא כלי עזר רב חשיבות בניהול מגיפה; כאשר מדובר במידע אישי על אודות אנשים מזוהים, מתעוררות מיד שאלות של פרטיות. האתגר הניהולי, החברתי והמשפטי הוא כיצד להשיג גם וגם: כיצד לבלום את התפשטות הנגיף תוך שמירה על הפרטיות. ברשימה קצרה זו נטען ששתי המטרות כרוכות באופן הדוק זו בזו. בניגוד לטענה פופולרית, שמצאה גם הד בפסיקת בג"ץ,[1] אין צורך לאזן בין האינטרס של בריאות הציבור לבין הזכות לפרטיות של יחידי הציבור, משום שאין כאן בהכרח ניגוד. שמירה על פרטיות היא כלי בשירות המאבק בנגיף, ולא מכשול בדרכו של מאבק זה.

נתמקד באיתור מגעים של חולים, כלומר איתור של מי שבאו במגע קרוב עם חולים ונשאים, אשר לפי דעת גורמי הבריאות מעורר סיכון להידבקות. נציג בקצרה את מדיניות הממשלה בנושא, בעיקר תוך הדגשת המהלך הדו-ראשי: שימוש בשב"כ לצורך מעקב אחרי אזרחיות ואזרחי המדינה, ובמקביל, ניסיון לפתח יישומון אזרחי (היישומון ציבורי, והוא אזרחי במובן שאינו ביטחוני) שנועד להשיג את אותה תכלית, "המגן".[2] עיקר הדיון הוא ביישום והטעמה של עקרונות פרטיות בפיתוח היישומון, בדרך של הנדסת פרטיות (Privacy by Design).[3]

מידע בשירות המאבק במגיפה

ניהול מגיפה הוא עניין מורכב מאוד, ולא בכדי ממשלות ברחבי העולם נוקטות שורה של אמצעים מגוונים. אחת המטרות המרכזיות היא קטיעה של שרשרת ההדבקה, וגם לכך יש כמה כלים אפשריים, ובעיקר, שילוב שלהם: החל בהנחיות לשמירת מרחק והיגיינה, בדיקות רבות ומהירות ככל האפשר, ועד למגבלות של מניעת התקהלויות וכידוע, אפילו סגר ועוצר. אחד האמצעים המרכזיים הוא איתור מגעים.

דרך אחת לאיתור מגעים הוא תשאול אנושי, המכונה "חקירה אפידמיולוגית": החולים (או במקרה של נגיף הקורונה, גם נשאים שאין להם תסמינים) נשאלים היכן היו בשבועיים שחלפו מאז גילוי מחלתם, ואת מי פגשו. המידע שנאסף משמש כדי להודיע למגעים על דבר המגע, ולהנחותם להיכנס לבידוד ולהיבדק, לפי הצורך. תשאול אנושי מחייב כוח אדם מיומן, בעל יכולות תשאול טובות, וגם רגישות למצב: החולה מטבע הדברים עלול להיות במצוקה פיזית בגלל המחלה ובמצוקה רגשית, שמא הדביק את יקיריו או אחרים. החולה אינו זוכר בהכרח היכן היה ואת מי פגש, וייתכן שפגש זרים שאינו מכיר. המדינה מעוניינת בקבלת מידע מדויק, מלא ככל האפשר, ובמהירות.

בתשאול האנושי חשוב לעורר אמון. זהו מופע ראשון של הקשר ההדוק בין פרטיות לבין ניהול יעיל של המגיפה. אם לא תובטח לחולה המתושאל פרטיות במידע שימסור, הוא עלול להסתיר מידע או למסור מידע שגוי. שמירה על הפרטיות בתשאול, היא תמריץ לחשיפת האמת. תשאול עשוי בהחלט להעלות מידע רגיש: ביקור במרפאה לפריון או הפלות, ביקור אצל פסיכולוג, בילוי במועדון עם מאפיינים מסוימים, חריגה מנורמות מקובלות בקהילה של האדם שבו מדובר – למשל אדם דתי שביקר באזור חילוני, ואולי גם נסע בשבת, ועוד. הפרטיות של החולה חשובה מול המדינה – כדי שהמידע לא ישמש למטרות אחרות שלא לטובת האדם; הפרטיות חשובה מול אנשים אחרים – כדי שהמידע לא יגיע למעסיק, לעמיתים לעבודה, לשכנים, לקרובי המשפחה. אם המתושאל מסכים למסירת המידע – אדרבא, הסכמה מודעת ומרצון חופשי היא עקרון יסוד של הפרטיות, ואינה מנוגדת לה.[4]

דרך שנייה לאיתור מגעים היא טכנולוגית. אנחנו משאירים שובל דיגיטלי במקומות שונים, למשל, תשלום בכרטיס אשראי מתעד היכן היינו ומתי. שימוש בכרטיס נסיעה בתחבורה ציבורית מעיד היכן היינו ומתי. גם עצם הנשיאה של מכשיר טלפון נייד מייצרת מגוון של נתונים על אודותינו. חלק מאלה הם נתוני מיקום: רשת הטלפונים הסלולרית בנויה כך שבין המכשירים לבין תחנות הממסר שפזורות בכל מקום יש איתותים הדדיים. איסוף מידע כזה והצלבתו יכול לזהות ברמת דיוק סבירה – אבל לא מלאה – היכן היינו ומתי. חלק אחר של נתונים כאלה הם נתוני קירבה: באמצעות טכנולוגיית בלוטות', אפשר לקבוע מהו המרחק בין מכשירי טלפון שונים שמשדרים אותות כאלה. יש צורות שונות לאיסוף נתוני מיקום או קירבה, אך לעניינינו, למידע כזה יתרונות לעומת התשאול: הוא מפורט יותר ואינו תלוי בזכרוננו; הוא מלא יותר מאשר נקודות אקראיות לאורך יומנוּ – כמו שמעיד למשל השימוש בכרטיס אשראי. השימוש הנרחב במכשירים הניידים הופך אותם לאטרקטיביים למטרה של איתור מגעים, אולם כבר כאן יש לזכור, שהכיסוי שלהם אינו מלא: ילדים קטנים אינם נושאים מכשיר כזה, יהודים שומרי שבת אינם נושאים מכשיר כזה בשבת, וכמובן, לא לכולם יש מכשיר כזה. ייתכן גם שיש מי שיימנעו מנשיאת מכשיר סלולרי במכוון.

לעקוב בשני קולות: מגן ולא ייראה

הממשלה פעלה בו-זמנית בשני אפיקים מקבילים לאיתור מגעים. האחד, הפעלת השב"כ למעקב אחרי הציבור, והשני, פיתוח יישומון וולונטרי, "המגן". האפיק הראשון עבר שורת גלגולים בקשר למקור ההסמכה, תחילה, בתקנות שעת חירום, ובהמשך בהחלטת ממשלה לפי חוק השב"כ. החלטת הממשלה נבחנה בבג"ץ, תוך שבית המשפט מנחה את הממשלה לפעול לקידום חקיקה.[5] הממשלה קידמה והכנסת חוקקה, תחילה חוק זמני אחד, ובהמשך חוק זמני נוסף, שהוא בתוקף כיום: חוק הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש וקידום השימוש בטכנולוגיה אזרחית לאיתור מי שהיו במגע קרוב עם חולים (הוראת שעה), התש"ף-2020 (להלן: חוק הסמכת השב"כ). עתירות נגד חוקתיות חוק זה נדחו מחמת העילה החדשה (או המתחדשת) והעמומה, של אי מיצוי הליכים בהקשר החוקתי.[6]

במקביל, פיתח משרד הבריאות את יישומון "המגן", תחילה בגרסה שמבוססת על איסוף נתוני מיקום בלבד באמצעות איכון המכשיר, שמירתם במכשירי המשתמשים בלבד, והצלבה של נתונים אלה עם מידע שמתקבל ממשרד הבריאות על מיקומיהם של חולים מאומתים (מידע שמתקבל בחקירה אפידמיולוגית או מהשב"כ), הצלבה שגם היא מתבצעת רק במכשירי המשתמשים. בהמשך, פותחה גירסה שנייה, "המגן 2", שמוסיפה לנתוני המיקום גם נתוני קירבה: אלה נאספים בדרך של החלפת איתותים מוצפנים בין מכשירים של משתמשים ששניהם התקינו את היישומון. איתור מגעים על בסיס נתוני קירבה נחשב למדויק יותר, אם כי לשתי השיטות יש מגבלות טכנולוגיות שונות, כמו אבחנה בין קומות בבניין, או אי-זיהוי של קיר שמפריד בין אנשים.

בלחץ גורמי חברה אזרחית, ובין היתר הצעת חוק שנוסחה על ידי עו"ד חיים רביה ועל ידי אחד מאיתנו (בירנהק), שולב בחוק הסמכת השב"כ סעיף לקידום השימוש בטכנולוגיה אזרחית לאיתור מגעים,[7] או במילים אחרות – שיפור "המגן" (בדרך של "המגן 2") וקידומו בציבור. קידום טכנולוגיה כזו ראוי, אולם גם חוק הסמכת השב"כ לוקה באותו קושי שקדם לו: דיבור בשני קולות.

עצם הפעולה בשני האפיקים האלה, אפיק השב"כ (שסיסמתו היא "מגן ולא ייראה"), ואפיק "המגן", משדר לציבור מסרים סותרים, ולטענתנו, פוגע באמון הציבור. אפיק השב"כ הוא כפוי, סמוי, ומקיף, ללא שקיפות מספקת,[8] וללא אפשרות לבקרה ציבורית של הטכנולוגיה – למעט באמצעות הכנסת; ואילו אפיק "המגן" הוא וולונטרי, גלוי, ושקוף בכל היבט – ציבורי וטכנולוגי, שכן התוכנה פורסמה כקוד פתוח, פרסום שאפשר למומחי טכנולוגיה לבחון אותו ולאמת את אי-העברת המידע מהיישומון לשום גורם אחר. כאשר הממשלה מבקשת לשכנע את הציבור להתקין את היישומון הוולונטרי ובו-זמנית עוקבת אחריו באופן סמוי, אך מובן שלציבור לא ברור מדוע יש צורך בשני האפיקים. ברמה העמוקה יותר, המסר של "המגן" הוא של סולידריות, השתתפות במאמץ הקולקטיבי למיגור המגיפה, ואילו המסר של מעקב השב"כ הוא של פעולה חד-צדדית של המדינה כלפי (כנגד?) הציבור. לא בכדי, מעקב ממשלתי סמוי עלול להביא להתנגדות בדרכים שונות, באופן שפוגע ביעילות המעקב.[9] זהו מופע נוסף של הקשר בין פרטיות לניהול המגיפה: הפגיעה בפרטיות מערערת את אמון הציבור בגורמים שאמורים לנהל את המגיפה, ומקטינה את שיתוף הפעולה הציבורי, שכה נחוץ לשם התמודדות עם המגיפה.

ראוי לחדול ממעקב השב"כ: פגיעתו רבה, מידת הדיוק שלו נמוכה – לאור דיווחים רבים על טעויות באיכון – ותועלתו מוטלת בספק. את החלופה הלא-ביטחונית ראוי לקדם, וכדי לשפר את סיכוייה, אנו סבורים שיש להמשיך בקו שבחר בו משרד הבריאות באפיק "המגן": הטמעה של ערכי הפרטיות בתוך הטכנולוגיה. זו גישה של הנדסת פרטיות.

הנדסת פרטיות

הנדסת פרטיות היא אמצעי להגנת הפרטיות באמצעות פנייה למהנדסים ומהנדסות להטמיע עקרונות הגנת פרטיות בטכנולוגיות ובמערכות שהם מעצבים, עוד בשלב הפיתוח, ולא להמתין שיתעוררו בעיות כדי לנסות לפתור אותן בדיעבד. במילים אחרות: סוף מעשה במחשבה תחילה. חשוב להדגיש: הגנת פרטיות איננה רק "אבטחת מידע". יש שורה של עקרונות להגנת מידע אישי כמו הסכמה מדעת, עקרון צמידות המטרה (שלפיו השימוש במידע שנאסף צריך להיות צמוד למטרה שלשמה נאסף, ואין להשתמש בו למטרות אחרות), מזעור איסוף המידע מלכתחילה למינימום הדרוש, זכויות גישה למידע למושאי המידע, ועוד. הגישה של הנדסת פרטיות היא כיום חובה משפטית בדין האירופי (ה-GDPR – רגולציית המידע האישי שנכנסה לתוקף ב-2018), והיא נקלטה בדין הישראלי בפסיקה, כחובה שמוטלת על רשות ציבורית.[10]

כדי לגשת לשולחן התכנון, יש לפתוח בזיהוי השחקנים השונים, האינטרסים, החובות והזכויות שלהם. זו מלאכה משפטית-ארגונית שצריכה להיעשות תוך דו-שיח עם המהנדסים והמפתחים. בחנו את הדברים בדוח מפורט,[11] בחינה שאפשרה לנו לחדד את הצרכים הפונקציונליים של המדינה (יעילות, מהירות, דיוק, הטמעה רחבה ככל האפשר, אבטחת מידע, תאימוּת עם מערכות אחרות), לזהות צרכים חברתיים (בניית אמון ציבורי במקבלי ההחלטות וטיפוח סולידריות חברתית) ונגישות לפלחים שונים בחברה תוך רגישות לפערים דיגיטליים. גם לחולים ולמגעים יש אינטרסים חשובים ראויים להגנה, בקשר למידע האישי מהסוגים השונים. לגופים פרטיים שמעורבים בתהליך יש זכויות קניין.

כדי להגדיר את דרישות המערכת בהיבט הפרטיות מתוך כוונה להטמיע אותם בטכנולוגיות, הצענו גישה משולבת: מצד אחד, גזירת הנחיות לפעולה מתוך עקרונות משפטיים ("מלמעלה למטה"), ומצד שני, זיהוי הערכים שמהנדסים כבר הטמיעו בטכנולוגיות לאיתור מגעים שקיימות כיום בעולם ("מלמטה למעלה"). את הניתוח מהסוג השני אנחנו מכנים "הנדסה ערכית חוזרת". בחינת טכנולוגיות לאיתור מגעים בדרך זו העלתה כי עד כה הודגשו שיטת האיתור (נתוני מיקום או קירבה), התצורה הטכנולוגית (ריכוזית או מבוזרת), וזהות המפעיל (גורם מדינתי או פרטי). דגשים אלה ממעיטים בהיבטי מידע נוספים שיש במערכות הטכנולוגיות: מי יוזם את העברת המידע, מי מעביר מידע למי, ומתי. מימדים נוספים אלה מאפשרים להבין את שאלת השליטה במידע באופן מורכב ומדויק יותר מכפי שמאפשר מיפוי דיכוטומי לפי האפיונים הקיימים.

בנוסף, ההנדסה הערכית החוזרת מעלה שמפתחים סבורים שנתוני מיקום הם מידע רגיש יותר מאשר נתוני קירבה; החשש שמנחה אותם הוא האיום של המדינה על הפרטיות – יותר מאשר איום של גורמים פרטיים. עמדות כאלה משקפות דגש על פרטיות כזכות של היחיד, וממעטות בפן החברתי של הפרטיות. אנחנו סבורים כי מערכות טכנולוגיות לאיתור מגעים עלולות לפגוע גם בסוגי מידע נוספים: מידע רפואי ומידע על קשרים בין-אישיים, ושהאיום על הפרטיות רחב מאשר המדינה: הפרטיות עלולה להיפגע, ולכן ראויה להגנה, גם מול גורמים פרטיים שונים, וביחסים שבין אדם לחברו, בין חולה למגעיו.

עקרונות פרטיות לטכנולוגיות לאיתור מגעים

מתוך ניתוח כזה, אפשר לגזור עקרונות פרטיות לפיתוח טכנולוגיות לאיתור מגעים. בדוח שחיברנו הדגשנו במיוחד את העקרונות האלה:

  1. יש למנוע העברת נתוני מיקום או קירבה מהמשתמש אל המדינה, אלא בהסכמה מפורשת של המשתמש.
  2. יש לבנות מערכת שלא מעבירה נתוני מיקום או נתוני קירבה מהיישומון ליישומונים אחרים שהם בבעלות חברות מסחריות; העובדה שחברות אחרות "כבר יודעות" את נתוני המיקום של המשתמש אינה משנה לעניין זה, שכן המידע נמסר למטרות נפרדות ומובחנות.
  3. בכלל, יש למנוע הגעה של נתוני המיקום אל צדדים שלישיים. המניעה יכולה לבוא בדרך של איסור משפטי על העברה או שימוש כזה, או, והדברים יכולים לבוא במצטבר, מתן שליטה אפקטיבית למשתמש לשלוט במידע, ובכלל זה למחוק אותו.
  4. יש למנוע הגעה של המידע הרפואי לצדדים שלישיים. המניעה צריכה לבוא הן בהטלת החובות על המדינה למנוע דליפה של המידע, והן בדרך של איסור משפטי על שימוש במידע אם הגיע לידי הגורמים השלישיים, אלא בהסכמה מדעת של מושא המידע.
  5. יידוע של המגע על חשיפתו לחולה מאומת צריך להיעשות בלי למסור את זהות המגע, ותוך נקיטת אמצעים טכנולוגיים להתממה (אנונימיזציה של המידע), באופן שיקשה על זיהוי מחדש.
  6. כאשר המידע נשמר במכשיר המשתמש, יש להצפין את המידע כך שאדם אחר לא יוכל לגשת למכשיר המשתמש ולחטט בו סתם כך.
  7. אם בכל זאת נודעה לאדם זהותו של החולה המאומת אליו נחשף, הרי מדובר במידע אישי של החולה, ואין להשתמש במידע שעל החולה ללא הסכמתו. למשל, אין לפרסם את זהותו של מי שהדביק אותו.
  8. יש להשתמש בנתון בדבר הקירבה בין אנשים רק כדי ליידע את המגע על חשיפה לחולה מאומת, אולם אין לשמור את המידע ואין להשתמש בו לשום מטרה אחרת. כל שימוש אחר יהיה פגיעה בפרטיות ועשוי גם להיות שגוי.
  9. את הקוד של הטכנולוגיה ראוי לפרסם ברבים (קוד פתוח), כדי שיוכל לעמוד לבקרת מומחים והציבור.

סוף דבר

הנדסת הפרטיות יכולה לגשר בין הזכות לפרטיות לבין הצרכים של איתור מגעים לשם בלימת התפשטות מגיפה. שילוב בין המשפט לבין הטכנולוגיה יכול להחליף את העימות החוקתי המדומה: במקום איזונים חוקתיים שרירותיים במידת מה ומלאכותיים במידה רבה, ראוי לבחון כיצד אפשר להטמיע עקרונות פרטיות בתוך הטכנולוגיה. מתעוררים פה אתגרים אחדים: מהנדסים ומשפטנים מדברים בשפה שונה, צורכי המערכת עלולים להתנגש עם עיקרון פרטיות מסוים. אולם, יש פה כר פורה ליצירתיות טכנולוגית, באופן שממחיש את קשרי הגומלין המורכבים בין משפט לטכנולוגיה.

הנדסת פרטיות שקולה תחזק את אמון הציבור במקבלי ההחלטות, תוכל לטפח תחושת סולידריות, וכן לסייע בהתמודדות עם המגיפה.


פרופ' מיכאל בירנהק הוא סגן דקאן למחקר ופרופסור מן המנין בפקולטה למשפטים באוניברסיטת ת"א, וחוקר את הזכות לפרטיות.

ד"ר מיקי זר היא חוקרת הזכות לפרטיות. ספרה "הפוליטיקה של הפרטיות" זכה בפרס בהט לשנת 2020.

ציטוט מוצע: מיכאל בירנהק ומיקי זר "וירוסים, פרטיות, וטכנולוגיה" ICON-S-IL Blog (4.10.2020).


[1] בג"ץ 2109/20 בן מאיר נ' ראש הממשלה (פורסם באר"ש, 26.4.2020).

[2] לשם הגילוי הנאות: אחד מאיתנו (בירנהק) יעץ למשרד הבריאות לגבי היבטי הפרטיות של "המגן 1".

[3] רשימה זו מבוססת בחלקה על דוח מדיניות שחיברנו: מיכאל בירנהק ומיקי זר עקרונות פעולה משפטיים לפיתוח טכנולוגיות לאיתור מגעים (2020). הדוח נכתב במסגרת מענק מחקר מס' 3-16927 של משרד המדע והטכנולוגיה.

[4] ראו סעיף 1 לחוק הגנת הפרטיות, התשמ"א-1981, וסעיף 3 לחוק זה, שמגדיר הסכמה כ"הסכמה מדעת, במפורש או מכללא". גם בג"ץ ציין את חשיבות ההסכמה בהקשר הנוכחי. ראו עניין בן מאיר, לעיל ה"ש 1, פס' 38 לפסק דינה של הנשיאה חיות.

[5] עניין בן מאיר, שם; לביקורת על פסק הדין, ראו מיכאל בירנהק "פרטיות במשבר: הנדסה חוקתית והנדסת פרטיות" משפט וממשל (יתפרסם ב-2020).

[6] ראו בג"ץ 5261/20 בן מאיר נ' הכנסת (פורסם באר"ש, 20.8.2020), בג"ץ 5746/20 האגודה לזכויות האזרח נ' הכנסת (פורסם באר"ש, 30.8.2020). לביקורת העילה של אי מיצוי הליכים, ראו אדם שנער "על חוסר הגיונה של הדרישה למיצוי הליכים בעתירות חוקתיות" ICON-S-IL Blog (24.8.2020).

[7] ראו הצעת החוק של רביה ובירנהק והשוו לסעיף 12א לחוק הסמכת השב"כ.

[8] משרד הבריאות העביר כמה דיווחים לוועדת המשנה לשירותים חשאיים של ועדת החוץ והביטחון של הכנסת, אולם רב הנסתר בהם על הגלוי.

[9] על התנגדות למעקב, ראו מיקי זר הפוליטיקה של הפרטיות: הדרמה הטכנולוגית בזירת המידע (צפוי להתפרסם, 2021).

[10] עוד על הנדסת פרטיות, ראו מיכאל בירנהק "הנדסת פרטיות ציבורית: המקרה של העברת מידע ממרשם האוכלוסין" דין ודברים יב 15 (2019); לפסק הדין, ראו עת"מ (מנהליים ת"א) 28857-06-17 עמותת חברות הסיעוד נ' משרד הביטחון (פורסם בנבו, 1.7.2019).

[11] בירנהק וזר, לעיל ה"ש 3.

להשאיר תגובה

היכנס באמצעות אחת השיטות האלה כדי לפרסם את התגובה שלך:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s

בלוג בוורדפרס.קום. ערכת עיצוב: Baskerville 2 של Anders Noren.

למעלה ↑

%d בלוגרים אהבו את זה: