דו"ח טכנולוגיהמאגר שמבקש בנק ישראל להקים מסוכן, הפרת פרטיות מחייבת חקיקה ראשית
דו"ח טכנולוגי
המאגר שמבקש בנק ישראל להקים מסוכן, הפרת פרטיות מחייבת חקיקה ראשית
האם המאגר ובו נתונים אישיים ופרטניים על הפעילות הפיננסית של כל אזרחי ישראל יכול להביא לבנק ישראל תובנות משמעותיות? בוודאי. אבל זו לא סיבה ליצור אותו לאור הסכנות הרבות שטמונות בעצם הקמתו
מדינת ישראל אוהבת מאגרי מידע. וכמה שיותר פולשני, יותר טוב. מאגר ביומטרי, מאגר נתוני אשראי, מערכת זיהוי לוחיות הרישוי שהמשטרה כבר מפעילה, ומערכת מצלמות זיהוי הפנים שהמשטרה מקדמת בימים אלו בהליך חקיקה. תוסיפו לזה מידע רפואי נרחב שמשרד הבריאות אוסף, הניסיון של משרד התקשורת לבקש מספקיות טלוויזיה מידע פרטני על הרגלי הצפייה של לקוחות, ועוד מספר עצום של מאגרי מידע שמפעילה המדינה ברמה משתנות של פירוט, שקיפות ואבטחת מידע – ונראה שאין שום בעיה שלתפיסת המדינה אי אפשר לפתור באמצעות איסוף מידע על האזרחים.
אבל המהלך הנוכחי של בנק ישראל, הוא עלול להתברר כמסוכן מכולם. גם בגלל אופי המידע שמבקש בנק ישראל לאסוף, גם בגלל ההליך שלפיו יתבצע האיסוף, וגם בגלל מה שהוא מאותת לעתיד לבוא אם אכן יצא לבסוף אל הפועל. לא בכדי עמיתי צבי זרחיה, שחשף את המהלך, השווה את בנק ישראל לאח הגדול הידוע לשמצה של ג'ורג' אורוול. למעשה, מאגר המידע שמבקש בנק ישראל להקים ולתפעל כל כך רגיש שהוא היה גורם אפילו לאח הגדול להוריק מקנאה.
במאגר הנוכחי מבקש בנק ישראל לרכז במקום אחד נתונים אישיים ופרטניים על הפעילות הפיננסית של כל אזרחי ישראל, שיעבירו אליו בצורה מזוהה כל הבנקים וחברות האשראי. הבנק המרכזי מעוניין ליצור פרופיל פיננסי מאוחד לכל אזרח, שיאפשר לו להפיק תובנות מבוססות ביג-דאטה על ההתנהגות הצרכנית ולחזות מגמות קצרות-טווח וארוכות-טווח. ואכן, על מנת ליצור את התובנות המדויקות והלרוונטיות ביותר, יש באמת צורך במידע פרטני כזה. על מנת ליצור פרופיל מאוחד לכל אזרח, בנק ישראל גם חייב לקבל את המידע כשהוא מזוהה (שם ותעודת זהות), אחר לא יוכל לדעת שפלוני עם חשבון בבנק א' הוא אותו לקוח פלוני של של חברת אשראי ב'. הבנק מתחייב גם שאחרי איגום המידע המקורות השונים הוא יעבור התממה – כלומר הפרטים המזהים יוסרו ממנו ויוחלפו במספר מזהה רנדומלי.
אבל כל התוכנית, כל הרעיון הזה, שגוי מיסודו ולוקה בפגמים רבים. נתחיל מהפגם הבסיסי ביותר: האופן שבו בחר בנק ישראל לבצע את ההליך. בנק ישראל בעצם מבקש מהבנקים וחברות האשראי להעביר לו את המידע מכוח צו. זה מהלך שמצביע על חוסר הבנה עמוק לגבי מהות ורגישות המידע שהוא מבקש. יצירת מאגר מידע מסוג זה, אפילו כזה שיופעל רק באופן זמני כפי שמתחייב הבנק, לא יכולה להתרחש מכוח צו או תקנות אלא חייבת לעבור בהליך חקיקה ראשי, כפי שנעשה עם מאגרים רגישים אחרים כמו המאגר הביומטרי.
בכל פעם שהמדינה ניסתה לעשות משהו דומה, היא חטפה את המקבילה המשפטית של סטירה לפנים מבג"ץ. בשנה באפריל 2020, כשהחלה המדינה להשתמש באיכוני שב"כ במסגרת מאמצי בלימת הקורונה מכוח החלטת ממשלה, דרש בג"ץ להעביר את האיכונים בהליך חקיקה. וגם חקיקה זו זכתה בסופו של דבר לביקורת חריפה בפסיקה של בג"ץ בנושא ממרץ השנה. ורק לאחרונה ספגה המשטרה ביקורת חריפה על "עין הנץ" – מערכת מצלמות שמנטרות את כבישי ישראל ומזהות רכבים לפי לוחיות רישוי ומרכזת את המידע שנאסף במאגר מידע מרכזי שמאפשר לעקוב אחרי תנועת רכבים פרטנית בישראל לאורך זמן – כשכבר בהליך מקדמי הבהיר בג"ץ שפעילות המערכת חייבת להיות מוסדרת בחקיקה (תזכיר החוק שמקדמת המשטרה בנושא בעייתי בפני עצמו, אבל זה כבר סיפור אחר).
המאגר של בנק ישראל הוא רגיש יותר ובעל פוטנציאל גדול יותר לפגיעה בפרטיות מאיכוני השב"כ או עין הנץ. מאיכוני השב"כ אפשר לחמוק באמצעות השארת הטלפון בבית או כיבויו. עין הנץ עוקבת אחרי מספרי לוחיות רישוי, אך במכונית משתמש יותר מאדם אחד וזיהויה אינו חד-ערכי. במקרה של המאגר שמבקש בנק ישראל ליצור, הזיהוי הוא ישירות עם בעל החשבונות, ולמרביתנו אין אפשרות להפסיק להשתמש בחשבונות בנק או בכרטיסי אשראי. וגם אם יכולנו לעשות זאת, בנק ישראל מבקש נתוני עבר מתקופה של עד שבע שנים לאחור, שאין לנו שום אפשרות למחוק.
המאגר מהווה הפרה מהותית בזכות לפרטיות, הפרה כל כך מהותית שאין שום אפשרות מציאותית להעביר אותו ללא חקיקה ראשית, ואם ינסה בנק ישראל לעשות זאת הוא צפוי להתקל בחסמים רבים ועתירות לבג"ץ שיש להן סיכוי טוב להצליח.
בנק ישראל, כמובן, מקווה ליצור נרטיב שהמאגר לא כרוך בפגיעה בפרטיות. "המאגר עצמו לא יחיל כל סימן מזהה, ת"ז, מספר חשבון וכו'", הוא מסר בתגובה ל"כלכליסט". "אלו יימחקו מייד עם קבלת הנתונים והשימוש בהם לתחקור המאגר יהיה מותמם, קרי לא ניתן לזיהוי של אדם מסוים כי יוחלפו במספר חד-חד ערכי אחר".
אמירה זו היא לא פחות ממביכה, ומעידה על חוסר התמצאות במחקר שקיים כיום בתחומי ההצפנה והפרטיות. כי ההתממה שבנק ישראל מדבר עליה כל כך בסיסית שאין שום בעיה לעקוף אותה ולבצע זיהוי חוזר של בעל המידע. לכאורה, הסרת שם ותעודת הזיהוי מהפרופיל הפיננסי המאוחד לא מאפשרת להבדיל אותו ממיליוני הפרופילים האחרים של אזרח ישראל שיהיו במאגר. פרטי, מה אתם רוצים?
אבל המציאות לא כל כך פשוטה, ומידע פיננסי יכול לשמש בקלות לחשיפת זהות.בחשבון הבנק, למשל, מופיעה המשכורת שלנו. בפריט מידע אחד, מי המעסיק, עברנו ממיליוני אנשים לאלפים במקרה הטוב, מאות או עשרות במקרה הרע. עכשיו נעבור לפירוט האשראי. מרבית הקניות שלנו מתרחשות בעיר בה אנו גרים, כאשר קניות שגרתיות כמו רכישה בסופר או יציאה לבית קפה שכונתי הן ברדיוס מצומצם עוד יותר. מיקום מוערך בשילוב עם זהות מעסיק כבר מצמצם עוד יותר את רשימם האנשים האפשריים. תוסיפו לכך עוד פרטים רגישים מהבנק וחברות האשראי – והזיהוי החוזר הופך לפעולה כמעט נטולת מאמץ. ביחד עם מאגרי מידע ממשלתיים שדלפו במלואם, כמו מאגר רשות האוכלוסין או פנקס הבוחרים שדלף רק בשנה שעברה, הכלים הדרושים לזיהוי חוזר נמצאים כבר בחוץ.
ובמקרים מסוימים, אפילו לא צריך להתאמץ כל כך. אם מישהו שכבר מחזיק במאגר מידע כלשהו, למשל מועדון לקוחות של סופר או רשת גדולה, מקבל את פירוט האשראי שלנו, כל מה שצריך על מנת לבצע זיהוי חוזר הוא פריט מידע אחד: רכישה שביצע הלקוח באותה רשת. סביר להניח שביום א', בסניף מסוים היה רק לקוח אחד שביצע קנייה בסך 486.42 שקלים.
אלו הן רק דוגמאות לרגישות של מידע פיננסי. המידע שירוכז במאגר כנראה שלא יהיה ברמת פירוט כזו, אך מספיק מפורט, אישי וייחודי על מנת לאפשר זיהוי חוזר של הבעלים. גם אם לא בקלות גדולה כל כך. הבעיה כאן, אגב היא לא רק של בנק ישראל. "יש חוסר הבנה מאוד עמוק ביחס לשאלה מה זו התממה של מידע", אמרה ל"כלכליסט" ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה. "מתייחסים למילה התממה כמילת קסם, כאילו שברגע שהמידע עבר התממה הוא לא מזוהה או פרטי, ואין בורות דיגיטלית גדולה מזו. צריך לשנות מהיסוד את התפיסה המעוותת, שמאפיינת המון גופים בממשלה, שמידע מותמם הוא מידע שאין בו בעיית פרטיות. אין בקרב החוקרים בתחום מומחה אחד שחושב שמידע כזה הוא מידע שלא ניתן לזיהוי חוזר.
המצב רע במיוחד לאור העובדה שמומחי שמומחי ההצפנה המובילים בעולם נמצאים בישראל, כאשר מדענים ישראלים כמו חתני פרס טורינג (הנובל של מדעי המחשב), פרופ' עדי שמיר ופרופ' שפי גולדווסר, אחראים לעיצוב תפיסת ההצפנה המודרנית. אבל תפיסות אלו, ופתרונות התממה מתקדמים הרבה יותר ממחיקת שם ומספר זהות, לא חלחלו למערכת הציבורית בישראל או לבנק ישראל.
למשל, פתרון שמכונה "פרטיות דיפרנציאלית", שעיקרו הזרקת רעש אקראי לתוך סט נתונים, על מנת למנוע אפשרות לזיהוי חוזר באמצעות הצלבה עם מאגר אחר. בפתרון זה, משנים אקראית את הנתונים השונים - לאדם אחד נוסיף 50 שקל ולאחר נחסיר 100. מכיוון שהרעש מתווסף באופן מדוד, עדיין אפשר להסיק מסקנות, תוך שמירה גדולה יותר על הפרטיות, כאשר ככל שבמאגר יש יותר נתונים על יותר אנשים מידת הרעש הנדרשת היא קטנה יותר. פתרון אחר, שמכונה "מידע סינטטי", מתמקד בייצור סט של "אנשים פיקטיביים" עם מאפיינים פיקטיביים שאף אחד מהם לא דומה ברוב פרטיו לאדם מקורי, אך כל היחסים הסטטיסטיים החשובים ביניהם נשמרים.
אלו פתרונות מוכרים וידועים במחקר, אך אין להם שום אזכור בתוכנית של בנק ישראל שמסתפק בהתממה ברמה הבסיסית ביותר. "הפיגור בהבנה הטכנולוגית לגבי התממה של מידע זה דבר שרואים בכל הממשלה והוא חייב להיפסק", אמרה שוורץ אלטשולר. "מי שסבור שהתממה של מידע אישי, במיוחד כשמדובר על מידע מהרבה מקורות מידע, מאיינת את הפגיעה בפרטיות לא יודע איפה הוא חי. האמירה שזה מאגר אנונימי היא שקרית. זה מאגר בר-זיהוי וככה צריך להתייחס אליו".
יש בעיות נוספות במהלך של בנק ישראל, שמעידות על חוסר הבנה של בעייתיות המהלך. כך, למשל, מזכיר הבנק את מאגר נתוני האשראי שקיים בבנק ופועל מ-2019 כהצדקה למאגר הנוכחי. אבל אזרחים יכולים לבקש למחוק את פרטיהם ממאגר נתוני האשראי, ולא יכולים לעשות זאת כאן. חשוב מכך: מאגר נתוני אשראי הוקם ופעול מתוקף חקיקה, ולא צו רנדומלי של בנק ישראל נטול מנגנוני פיקוח מינימליים.
בנק ישראל מציין גם להגנתו שמדובר בדיווח חד-פעמי, לא שוטף, ושהמאגר המדובר יימחק כולו "לאחר מיצוי התובנות הכלכליות". ככל הנראה, מדובר בתקופה של בין חצי שנה לשנה, אולם אין כל התחייבות לכך. הבעיה היא שהמאגר מסוכן דיו גם אם הוא נמחק אחרי שבוע של פעילות, מפני שאם הוא נפרץ בתקופה זו ותוכנו דולף אין שום חשיבות לשאלה מתי בנק ישראל מחק אותו. מספיק שהמאגר ידלוף רק פעם אחת על מנת שכל המידע הרגיש יהיה זמין לנצח ברשת. ולאור מה שאנחנו יודעים על הגנות מאגרי המידע הלקויות בישראל, ועל חוסר האפקטיביות של הרגולטורים בתחום, אפילו חצי שנה של פעילות למאגר שכזה היא נצח.
סכנה נוספת היא תיאורטית יותר, אך מסוכנת לא פחות: אין שום סיבה לחשוב זה יהיה חד-פעמי, כמו שטוען בנק ישראל. מצבים כלכליים משתנים, הרגלי צריכה מתחלפים. תובנות שהופקו היום, לא יהיו רלוונטיות בעוד שנתיים. ואם המהלך יצא לפועל ובנק ישראל יפיק תובנות משמעותיות, ואפילו המידע לא ידלוף ולא תגרם פגיעה בפועל בפרטיות, בעוד כמה שנים הוא יכול לבקש לחזור על המהלך שוב, כדי לעדכן את התובנות שלו. אולי אפילו יבקש כבר להפוך את המאגר לקבוע ואת העברת המידע לשוטפת. זה ייתן תובנות הרבה יותר עדכניות.
האם המאגר יכול להביא לבנק ישראל תובנות משמעותיות שיוכלו לשפר את יכולת החיזוי הכלכלית שלו ולהערך טוב יותר לשינויים עתידיים? בוודאי. אבל זו לא סיבה ליצור אותו, בוודאי לא שבאופן זה, לאור הסכנות הרבות שטמונות בעצם הקמתו. אם נשים הרי בכל בית בישראל מצלמות שמשדרות בזמן אמת את המתרחש שם למשטרה, ומתריעות מיד על כל מקרה של אלימות, נוכל לעצור כמעט לחלוטין רצח נשים על ידי בני זוגן, להפחית משמעותית פגיעה מינית בילדים והתעללות בקשישים ועוד שאר חוליים של החברה. ובכל זאת, אף אחד לא מציע תוכנית שכזו, כי הסכנות שבה עולות על התועלת.
זה גם המקרה כאן. מאגר הנתונים שמבקש בנק ישראל ליצור, בוודאי בדרך ובצורה הנוכחיים, הוא פשוט מסוכן מדי לא משנה אילו תועלות הוא יביא. טוב יהיה אם ימות כבר בשלב זה.