מערך הסייבר הלאומי מבקש להתקשר עם אוניברסיטת חיפה “לטובת הקמת מרכז מחקר ביומטרי”

משרד ראש הממשלה/מערך הסייבר הלאומי מבקש להתקשר עם אוניברסיטת חיפה “לטובת הקמת מרכז מחקר ביומטרי”. ההתקשרות היא על בסיס “תקנה 3(30) – מיזם משותף”.

בהודעת מערך הסייבר מ- 27.7.2022 נאמר כי “למערך הסייבר מיזם משותף עם אוניברסיטת חיפה להקמת מרכז מחקר סייבר משנת 2017. תוקף המיזם פג ב- 2021.

“בשנים 2015-2014 מערך הסייבר התקשר עם אוניברסיטאות שונות להקת מרכזי מחקר (באוניברסיטאות חיפה, הטכניון, תל אביב, בר אילן, האוניברסיטה העברית בירושלים, אוניברסיטת בן-גוריון בנגב).

“בהמשך, בשנים 2019-2018, המערך התקשר עם אוניברסיטת ת”א, אוניברסיטת בן-גוריון ואוניברסיטת אריאל להפעלת מרכזי המחקר במתוכנת מחודשת (שלב ב’).

“בכוונת מערך הסייבר להתקשר במיזם משותף חדש עם אוניברסיטת חיפה לצורך המשך הפעלת מרכז המחקר לסייבר, וזאת בכפוף לקבלת אישור מועדת הפטור בחשכ”ל. במסגרת מרכז המחקר בכוונת מערך הסייבר לפתוח באוניברסיטת חיפה תת מרכז לנושאי ביומטריה כמרכז מחקר אקדמאי לאומי בתחום זה.

“בתהליך בחינת הקמת מרכז ביומטרי בשנת 2020 נערכו פגישות עם חוקרים פוטנציאליים בתחום, והתקיימו שיחות עם נציגי מרכזי המחקר מהאוניברסיטאות השונות. כיום, ישנה עשייה מעטה מאוד בתחום הביומטריה בקרב חוקרים ישראלים, ולאחר בחינת ההתכנות להקמת מרכז מחקר עם פעילות משמעותית בתחום הביומטרי, עלה כי אוניברסיטת חיפה היא האכסניה היחידה המתאימה לכך.

“רקע להתקשרות: מרכז המחקר הינו מסגרת של מצוינות למינוף מחקר הסייבר. מרכז המחקר מתבסס על תשתית פיזית וארגונית תומכת. במרכז המחקר מובלים מחקרים בתחום הסייבר וכן פעילויות נוספות כגון כנסים רלוונטיים לנושא לקהל האקדמאי וקהל רחב ועוד.

“עם סיום המיזם המשותף הנוכחי עולה כי המיזם עונה על הציפיות שעלו בהקמתו. לשם שימור הפעילות לאורך זמן, בכוונת המערך לקדם מיזם משותף נוסף שיאפשר את ההתבססות האקדמית של המרכז תוך כדי הובלת המרכז לכדי עצמאות כלכלית לאורך זמן.

“משך ההתקשרות: שנתיים מיום החתימה על ההסכם. בתום השנתיים הראשונות של התוכנית, תהיה אפשרות להאריך את ההסכם בשנה אחת נוספת בכפוף להסכמת הצדדים ואישור ועדת המכרזים כאמור בתקנה 3ג לתכ”מ. בכל מקרה, בתום תקופת ההתקשרות, תהיה תקופת השלמה בת שנה שמטרתה לאפשר למרכזים להשלים את מימוש המחקרים שהחלו בזמן ההתקשרות.

“שווי ההתקשרות: בשנתיים הראשונות, סכום של 6 מיליוני ₪ מתוכם 3 מלש”ח מתוך תקציב המערך.  ככל שיוחלט על סיום ההתקשרות בתום השנתיים הראשונות, בשנת ההשלמה יתבצע ליווי של מחקרים הכלולים בתקציב זה.  ככל שיוחלט להרחיב את ההסכם בשנה אחת נוספת: תוספת של 2 מיליון ₪, מתוכם 1 מלש”ח מתקציב המערך. בשנת ההשלמה, יתבצע ליווי של מחקרים הכלולים בתקציב זה.

“כל מי שמבקש לבצע מיזם דומה למיזם האמור רשאי לפנות לוועדת המכרזים במהלך התקופה עד ליום 16 באוגוסט 2022. וועדת המכרזים תשקול את הפניות שקיבלה, בהתאם לתקנות חובת המכרזים, ולאחר מכן תקבל את החלטתה”.

שרת הפנים בכנסת: הלשכה המשפטית הוציאה הנחייה להפסיק את העברה לגורמי חוץ תמונות מבקשי תיעוד “וכך נעשה”; בתוך כך, משרד המשפטים פירסם את תקנות נתיבים מהירים (הגנת הפרטיות)

בדיון שנערך במליאת הכנסת ביום רביעי 1.6.2022 השיבה שרת הפנים על שאילתה שהוגשה לה לגבי המאגר הביומטרי.

ח”כ גבי לסקי שאלה בשאילתה דחופה: “הממונה על היישומים הביומטריים דרש ממשרד הפנים בשלושה דו”חות למחוק מאגר ביומטרי בלתי חוקי שנמצא ברשותו. היום פורסם שהמשרד חלק את המאגר עם רשות נוספת. ברצוני לשאול: איך ייתכן שרשויות השלטון מחזיקות מאגרים בלתי חוקיים וחולקות אותם ביניהן?”

שרת המשפטים איילת שקד השיבה לשאילתה: “בשלושה דו”חות דרש הממונה על היישומים הביומטריים ממשרד הפנים למחוק מאגר ביומטרי שנמצא ברשותו. היום פורסם שהמשרד חלק את המאגר עם רשות נוספת.

“בבסיסו של הפרוייקט הביומטרי במדינת ישראל עמדה ההבנה כי רשות האוכלוסין וההגירה נדרשת להחזיק תמונות פנים של האזרחים והתושבים הנכללים בפרוייקט, וזאת כדי לאפשר מתן שירות סביר ומיידי לפונים אליה בהיבטים של זיהוי ומניעת התחזויות.

“כדי שרשות האוכלוסין לא תחזיק מאגר תמונות ביומטרי מחוץ למאגר הביומטרי ניתן פתרון טכנולוגי הולם. התמונות שהורכשו על ידי רשות האוכלוסין עברו עיבוד – הפחתה שבוצעה על ידי אלגוריתם שנכתב ייעודית למטרה הזאת. הוא לא רק מעביר את התמונה לגוני אפור, אלא גם מעמיס לתמונות הרבה רעשי רקע – כל מיני נקודות שחורות – שמעוותים את התמונה. ואולם, גם אחרי העיבוד האמור התמונה נשארת כזאת שהאדם שהוא עובד רשות האוכלוסין יוכל להשתמש בה לזיהוי באופן ויזואלי לצורך מילוי תפקידו.

“הפתרון באותה עת מנע לחלוטין את האפשרות לשימוש במערכות להשוואה ביומטרית בתמונות המופחתות האלה. לאחרונה, עם התקדמות הטכנולוגיה, מנועי ההשוואה המשמשים ליישומים ביומטריים התקדמו באופן משמעותי, ומשכך, למעשה, ההתקדמות הטכנולוגית הכללית הפכה את ההשוואה הביומטרית אפשרית גם עם התמונות המופחתות.

“משכך העיר הממונה על היישומים הביומטריים שהתמונות המופחתות בידי רשות האוכלוסין כבר אינן מופחתות באופן מעשי כמוגדר בחוק, ולכן יש לרשות האוכלוסין בעיה עם החזקת תמונות באופן שאינו עומד בהוראת החוק אף כי בוצעה הפחתה שבשעתה הלמה את הוראות החוק.

“מנגד, אין לרשות האוכלוסין דרך להמשיך ולתת שירות ללא התמונות האמורות. הועלו כמה רעיונות לפתור את הבעיה, והפתרון שמתגבש, כמו כל הפתרונות שנבחנו, מחייב שינוי חקיקה.

“הרשות מקדמת עבודת מטה ומכינה את השינויים שיגובשו בחקיקה, וכאשר ייכנסו לתוקף תיפתר הבעייה.

“לגבי העברת התמונות – לא הועבר מאגר התמונות; מדובר בהעברה של תמונות מופחתות. כאשר הוצף העניין במסגרת דיוני פיקוח עם הממונה על היישומים הביומטריים, נערך בירור בנושא, והלשכה המשפטית הוציאה הנחיה להפסיק את העברת התמונות, וכך נעשה”.

משרד המשפטים פירסם את תקנות נתיבים מהירים (הגנת הפרטיות)

משרד המשפטים פירסם (2.6.2022) את תקנות הנתיבים המהירים (הגנת הפרטיות). הנושא היה פתוח להערת הציבור עד ליום 23.6.2022. “[…] כל זאת, על מנת לצמצם את מידת הפגיעה בפרטיות, כך שיתאפשר לעוברי הדרך לשקלל את מעשיהם בידיעה כי הם מצולמים, בראי עקרון ההסכמה המעוגן בסעיף 1 לחוק הגנת הפרטיות, תשמ”א – 1981 לפיו אסור לפגוע בפרטיותו של אדם ללא הסכמתו, ועם עיקרון השקיפות הקבוע בסעיף 11 לחוק הגנת הפרטיות, הקובע כי איסוף מידע על אדם למאגר מידע ילווה, בין היתר, ביידוע על האיסוף ועל מטרותיו”.

לגבי ‘מטרת התקנות המוצעות והצורך בהן’ נאמר כי “חוק נתיבים מהירים, התש”ס – 2000, מסמיך את שרת התחבורה להכריז על נתיב כ’נתיב מהיר’, המוגדר כנתיב שהנסיעה בו כרוכה בתשלום אגרה ושניתנת בו עדיפות לנסיעת רכב ציבורי. תכלית ההסדר לתת מענה לבעיית הגודש באזורים מסוימים, תוך דגש על מעבר לשימוש בתחבורה ציבורית ועידוד נסיעות משותפות (carpool) למוקדי הביקוש.

“במסגרת חוק התכנית הכלכלית (תיקוני חקיקה ליישום המדיניות הכלכלית לשנות התקציב 2021 ו-2022, תשפ”ב – 2021, חוקק תיקון מס’ 3 לחוק ונוספו סמכויות לבעל זיכיון המנוי בתוספת לחוק. בין היתר, נוספו לבעל הזיכיון סמכויות להצבה, לתפעול ולתחזוקה של מצלמות לשם זיהוי רכב שנסע בנתיב המהיר וספירת הנוסעים ברכב כאמור, ולהפקת צילומים שתועדו במצלמות האמורות למטרה האמורה, והכול בכפוף להוראות שייקבע שר המשפטים בתקנות.

“תיקון החוק כלל הוראות שונות שתכליתן הגנה על פרטיותם של נוסעים ועוברי דרך בתחומי השטח המצולם, ובכללן הוראות הנוגעות לשימוש במידע ואופן שמירתו, חובת סודיות, פירוט הגורמים המותרים בקבלת המידע ועוד.

“כמו כן, נקבע במסגרת תיקון החוק כי סמכות בעל הזיכיון תכנס לתוקפה רק לאחר ששר המשפטים, באישור ועדת הכלכלה של הכנסת, יקבע בתקנות הוראות בעניינים שונים, ובהם: אופן הצבת המצלמות ותפעולן; אופן שמירת הצילומים והמידע המתועד בהם ומשך הזמן לשמירת הצילומים שיהיה משך הזמן הקצר ביותר הנדרש לפי העניין; אופן הגישה לצילומים והרשאות השימוש בהם, ובכלל זה חיבור מאגר המידע למאגרים אחרים ואופן הפקת הצילומים והדו”חות; אופן המצאת הצילומים לבעליו של הרכב שתועד בהם; אופן יידוע הציבור על הצילום.

“יצוין כי קיימים בחקיקה שני הסדרים מקבילים הנוגעים לאכיפה כלפי כלי רכב באמצעות מצלמות: ס’ 27א1 לפקודת התעבורה ותקנות התעבורה (הפעלת מצלמות בידי רשות מקומית לשם תיעוד שימוש שלא כדין בנתיב תחבורה ציבורית), תשע”ז – 2016 שהותקנו מכוחו, וכן חוק מס להפחתת גודש התנועה באזור גוש דן, תשפ”ב – 2021 שנחקק אף הוא במסגרת חוק התכנית הכלכלית (תיקוני חקיקה ליישום המדיניות הכלכלית לשנות התקציב 2021 ו-2022, תשפ”ב – 2021.

“האכיפה בשני הסדרים אלו נוגעת לזיהוי כלי הרכב בלבד, ונעשית כיום באמצעות מערכת צילום מיוחדת המבוססת על טכנולוגיית זיהוי לוחית רישוי (License Plate Recognition, LPR) המסוגלת לזהות באופן אוטומטי מספרי רישוי, לאגור את המספרים שנקלטו, על מנת לאפשר את הצלבתם עם מערכות אחרות לצורך שימוש בנתונים במתווה מסוים.

“בענייננו, סמכויות ההצבה, התפעול והתחזוקה של המצלמות נוגעות הן לצורך זיהוי כלי הרכב הנעשית כיום באמצעות מצלמות LPR כאמור, והן לצורך ספירת הנוסעים בכלי הרכב, הנעשית כיום באמצעות מצלמות מסוג High Occupancy Vehicles, HOV Verification, ונועדה לזהות את מספר הנוסעים ברכב.

“התקנות המוצעות להלן גובשו על יסוד הוראות התיקון לחוק, על מנת לאפשר את הגשמת תכלית הצבת המצלמות, תוך צמצום היקף התיעוד והשימושים האפשריים בו למידה הנדרשת לשם כך. כל זאת, לשם צמצום הפגיעה בפרטיותם של העוברים והשבים במרחב הציבורי, תוך התאמה למאפייני הצילום המותרים על פי התיקון לחוק ולתכליתם כאמור לעיל”.

בין היתר נקבע כי “המערכת הטכנולוגית שתשמש את בעל הזיכיון בהפעלת סמכויותיו לפי סעיף 2ג לחוק, תתוכנן באופן שימנע ככל האפשר, ובשים לב לחלופות טכנולוגיות מקובלות, את הסיכון לפגיעה בפרטיות הנוסעים ברכב המצולם או עוברי דרך אחרים, ואת הסיכון לפגיעה באבטחת מידע. המערכת תעוצב ותעודכן בהיבטים אלה בהתייעצות עם רשם מאגרי המידע”.

“האחראי יכין נוהל אבטחת מידע שיבטיח כי שמירת הצילומים במצלמה, העברתם למאגר הצילומים, שמירתם בו ומתן גישה אליהם – ייעשו כולם תוך הפעלת אמצעי אבטחת מידע נאותים כדי לצמצם ככל האפשר את הסיכון לשימוש לא מורשה בצילומים או במידע שמקורו בצילומים כאמור, שיבושו, חשיפתו או העתקתו בלא רשות כדין. נוהל כאמור יוכן בהתאם להוראות תקנה 4 לתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017, ויאושר על ידי המפקח, בהתייעצות עם רשם מאגרי המידע.

“מידע המתקבל מכוח תקנות אלה, לרבות המצלמות, מאגר הצילומים המתקבל ממנו והתקשרות ביניהם, יאובטחו ברמת האבטחה גבוהה לפי תקנות אבטחת מידע”.

ה- Investigatory Powers Tribunal  בבריטניה שומע כי משרד הפנים הבריטי העניק בצורה לא-חוקית אישור גורף לבקשות של ה- MI5 לצווי מעקב; זאת לאחר שהארגון סיפק למשרד ‘מידע כוזב’ כדי להבטיח את כל הצווים הללו

ארגוני זכויות האדם Liberty  ו- Privacy International  הודיעו במסגרת שימוע ב- 25.7.2022 כי משרד הפנים הבריטי העניק בצורה לא-חוקית אישור גורף לבקשות של סוכנות הביון הבריטית, ה- MI5, לצווי מעקב סמוי. זאת לאחר שהארגון סיפק למשרד ‘מידע כוזב’ כדי להבטיח את כל הצווים הללו.

לדברי הארגונים הללו, משרד הפנים הבריטי לא השכיל לחקור הפרות החוק מצד ה- MI5, מקצתן אירעו כבר בשנת 2010.

לדברי Megan Goulding עו”ד של ארגון ליברטי הדבר מעיד על כך שחוקי המעקב בבריטניה אינם מתאימים עוד ליעדם ואינם מציעים את ההגנות לוודא שלא יהיה ניצול-לרעה של הסמכויות נגד הציבור. היא הוסיפה כי הממשלה נכשלה לחקור את הנושא למרות שהתנוססו דגלים אדומים המתריעים על כך. “במקום זאת, משרד הפנים המשיך להעניק צווי מעקב ללא בסיס וה- MI5 מנע מידע מהרשויות לגבי האופן הגרוע  בו טיפל בנתונים הללו”.

ה- Security Service אישר בשימוע כי החזיק בנתונים של הציבור שעה שלא הייתה לו כל זכות חוקית לעשות זאת וכי לא העלה את הנושא בפני משרד הפנים או כל גורם רשמי אחר. בנוסף, ה- Security Service גם נכשל במימוש ההגנות המיועדות להבטיח היבטים שונים ובהם התכתבויות פרטיות בין עורכי דין לבין לקוחותיהם.

Caroline Wilson Palow היועצת המשפטית של ארגון Privacy International אמרה בשימוע כי הכישלון המתמשך של ה- MI5 בשמירת החוק הוא דבר שלא ניתן לסלוח עליו. היא קראה לבצע תיקון רדיקלי, כלשונה, בחוקים ובכללים הקיימים.

נציב המידע הבריטי קורא למשטרה להפסיק ‘איסוף מופרז’ של נתונים אישיים מקורבנות אונס ותקיפה

ג’והן אדוורדס נציב המידע הבריטי [UK’s Information Commission Office, ICO] קורא לתובעים [Crown Prosecution Service, CPS] ולמשטרה בממלכה המאוחדת להפסיק לאלתר את ‘האיסוף המופרז’ של הררי נתונים אישיים מקורבנות אונס ותקיפה מינית חמורה [גברים ונשים כאחד].

לדברי הנציב, המשטרה מבקשת מנפגעי עבירה להסכים – בכתב [Stafford statements] – לגילוי כמויות גדולות של נתונים אישיים רגישים, ולעיתים לא רלבנטיים, וזאת תוך הפרה של חוקי הגנת הפרטיות.

הפרקטיקה הזאת מאפשרת למשטרה גישה למספר הטלפון, ההיסטוריה הרפואית, רשומות הביטוח הלאומי, תרשומות של שיחות פרטיות של הקורבנות על מטפלים וכן רשומות לגבי מוסדות הלימוד של הקורבנות בעבר. פרקטיקה זו מרתיעה קורבנות מלדווח על פשעים חמורים. הנציב הוסיף כי התביעה והמשטרה חושפים את הקורבנות לטראומה נוספת בכך שהם מוצגים כחשודים.

“נחוץ שינוי כדי לבנות-מחדש את האמון שיאפשר לקורבנות לחפש אחר צדק לו הם זכאים”.

לדברי ה- Victims Commissioner for England and Wales , אחד מכל חמישה קורבנות ביטל את התלונה שלו בין היתר בשל דאגה לגבי חשיפה אפשרית של נתונים אפשריים. לדברי London Rape Review, הקורבנות ב- 58% מהחקירות משכו חזרה את תלונותיהם מסיבה זו.

אנשי Aadhaar ID סירבו לבקשה לקבל נתונים ביומטריים לסיוע בחקירת רצח בדלהי

ה- Unique Identification Authority of India, UIDAI, הסוכנות הפדרלית ההודית האחראית על תוכנית הביומטריה Aadhaar ID  הודיעה לבית-המשפט העליון של הבירה דלהי שלא ניתן להשתמש במאגר טביעות האצבע שלה לגבי חקירה של רצח ושוד. זאת בשל מגבלות טכניות ומשפטיות.

בשנת 2018 נשדד ונהרג סוחר תכשיטים בשכונת Adarsh Nagar בעיר דלהי. המשטרה בדקה טביעות אצבע מזירת העבירה אולם לא נמצאה כל התאמה במאגר טביעות האצבע הביומטריה של המשטרה.

גם צילומים של הרוצח החשוד שהתקבלו ממצלמות האבטחה במעגל סגור לא הניבו התאמה במאגר זיהוי הפנים [Facial Recognition] של המשטרה.

בעקבות כך פנתה המשטרה לעזרת UIDAI בחקירה.

לפי דיווח של ה- Republic World, אנשי UIDAI אמרו לבית-המשפט כי אינם מורשים להנגיש את מסד הנתונים הביומטרי למשטרה. לדבריהם, חוק ה- Aadhaar Act מגביל אותם ליצירת מספרי זיהוי ייחודיים לפרטים כשחקירות פורנזיות אינן נכללו בקטגוריה זו. החוק לא מאשר לשתף את המידע עם אחרים (פרטים או ישויות) ללא הסכמת האזרח לגבי מדובר.

שופט בארגנטינה דורש לקבל תשובות כיצד המשטרה המקומית קיבלה נתונים ביומטריים

סוכנויות הביטחון הלאומי של ארגנטינה רכשו גישה לא שגרתית לנתונים ביומטריים של שבעה מיליון אזרחים במדינה, לרבות נשיאת המדינה לשעבר [Cristina Fernández de Kirchner וכיום סגנית הנשיא המכהן] וכן נשיא המדינה לשעבר [Alberto Fernández]. בנוסף מדובר על רכישת סרטונים מבואנוס איירס לצורך זיהוי מפגינים באמצעות טכנולוגיות זיהוי הפנים [Facial Recognition].

לפי דיווח ב- Página/12 publica, השופט Roberto Andrés Gallardo בבואנוס איירס שגילה את פרטי המקרה דורש עתה לקבל הסברים מ- Marcel D’Alessandro שר הביטחון והמשפטים של בואנוס איירס כיצד הנתונים הביומטריים של 62 תיקים הועברו ממסד נתוני זהות לאומי [ה- Registro Nacional de las Personas, ReNaPer] לידי משטרת בואנוס איירס. השופט הקציב יומיים לקבלת ההסבר הרשמי לכך.

סוכנות פורנזיקה תאית (הפועלת במסגרת משרד המשפטים) מציעה ליצור מרכז DNA לאומי לאחסון הביומטריה של אסירים וחשודים

העיתון  Bangkok Post דיווח באמצע אפריל 2022 כי Central Institute of Forensic Science, CIFS – סוכנות פורנזיקה תאית (הפועלת במסגרת משרד המשפטים) – מציעה ליצור מרכז DNA לאומי לאחסון מידע ביומטרי של אסירים וחשודים במדינה, שבאחריות – Department of Special Investigation, DSI, כשהמאגר המתוכנן מכונה על-ידה כ- Biometric Hub for Justice.

דו”ח חדש בבריטניה: מוסדות חינוך בממלכה המאוחדת מיישמים ביומטריה ללא כל גיבוי משפטי ובעיות ביישום

The State of Biometrics 2022: A Review of Policy and Practice in UK Education, הוא דו”ח חדש שהוכן ע”י ארגון Defend Digital Me.

את ההקדמה לדו”ח כתב Fraser Sampson שהוא הנציב הבריטי לענייני ביומטריה ומצלמות מעקב [UK Biometrics and Surveillance Camera Commissioner].

לדברי מחברות הדו”ח [Pippa King and Jen Persson] אילוץ התלמידים להשתמש בביומטריה כדי להוכיח זכאותם לקבל ארוחה במסגרת תוכנית Free School Meals במוסד החינוך שלהם מפר את המגבלה החוקית לגבי מערכות ביומטריות שבגדר חובה [obligatory biometric systems].

יצויין כי בחודש אוקטובר 2021 ניתנה הוראה רשמית לבית-ספר איזורי בסקוטלנד  להפסיק להשתמש בטכנולוגיית זיהוי פנים כלפי התלמידים.