נעמה מטרסו קרפל חדש | צילום: עומר הכהן

חטא הביג דאטה של בנק ישראל

בנק ישראל דורש מהבנקים ומחברות כרטיסי האשראי להעביר לו מידע על ההתנהגות הצרכנית של הלקוחות בחמש השנים האחרונות. אלא שהמשימה שהבנק לקח על עצמו היא גדולה ומאתגרת, והיא לא יכולה להתחיל באיסוף המידע, אלא באפיון הצרכים, המטרות והכלים לשם השגתם

03.09.2021, 07:37 | נעמה מטרסו קרפל

בנק ישראל שיגר לאחרונה מכתב לגופים המדווחים בדבר כוונתו לקבוע בצו מיוחד חובת דיווח לגופים פיננסיים על הוצאות של יחידים בישראל מחמש השנים האחרונות, כך לפי חשיפת "כלכליסט" מיום חמישי האחרון. המידע שדורש הבנק כולל הוצאות מחשבונות הבנק, משיכות מזומן, הוצאות באשראי ובאמצעי תשלום אחרים ברמה יומית ו"ברמת השורה". כלומר כל החופשות, הרכישות, הגחמות, הצעצועים, החלב והלחם שאנחנו קונים – עתידים לעבור בצינור ישיר לבנק ישראל לבחינה, למידה וחיזוי.

קראו עוד בכלכליסט:

הגופים הפיננסיים שאליהם הופנתה הדרישה כוללים בין היתר את התאגידים הבנקאיים, חברות האשראי וחברות סליקה (שהבנק הודיע שיכלול אותן תחת ההגדרה של "גוף פיננסי" בצו נפרד).

למותר לציין שבידי החברות הללו מידע אינטימי רחב ומעמיק על המצב הכלכלי והרגלי הצריכה שלנו. ריכוז המידע במקום אחד עתיד ליצור מאגר נתונים חסר תקדים בהיקפו ויהווה מקור עניין בעל ערך רב לא רק לרשויות המדינה, אלא גם להאקרים ובעלי עניין פרטיים, ככל שיוקם.

בנק ישראל מעוניין במידע לצורך בקרה ופיקוח על צריכת האשראי בישראל וגיבוש מדיניות מוניטרית. אף שהתכלית בהחלט חשובה, הלגיטימיות של דרישת המידע היא חריגה ותלויה במידה רבה במטרות ובמשימות הרגולטוריות שלהן דרוש מידע פרטני, מזהה וחודרני. בהיעדר הגדרה ואפיון של המטרות שלשמן דרוש המידע, קשה לבחון את מידתיות הדרישה, או במילים פשוטות: קשה לומר אם ניתן להשיג את אותן מטרות עם מידע מדומה, סטטיסטי (שבחלקו כבר קיים בלמ"ס או בגופים הפיננסיים) או לחלופין מידע מדגמי של קבוצות אוכלוסייה, שיתקבל בהסכמה.

נראה כי בנק ישראל חוטא במקום שבו חברות רבות חוטאות: קודם אוספים את המידע וכמה שיותר ממנו, ולאחר מכן חושבים מה אפשר לעשות עם המידע ולאילו מטרות הוא יכול לשמש. רק שבמקרה שלפנינו, בדרך למטרה הנחשפת, המידע עלול לשכפל את עצמו לרשויות ציבוריות שלוטשות עיניים במידע, להיות מוצלב עם מאגרי מידע אחרים, ודרך כך להעשיר את הרשויות הציבוריות במידע רב ערך על אודותינו, ובעיקר להיות חשוף למספר רב של מורשי גישה. מכאן הדרך לניצול לרעה של המידע, דלף מידע או מתקפת סייבר – היא קצרה מאוד.

הדרישה של בנק ישראל מבוססת על סקירה רחבה בנושא ביג דאטה שערך ארגון BIS (הבנק להסדרי סליקה בינלאומיים), שמאגד בנקים מרכזיים ברחבי העולם. עיון בסקירה משנת 2019 יכול לרמוז, ולו במעט, על כוונותיו של בנק ישראל בנושא ביג דאטה.

ראשית, בסקירה מדובר על מידע עדכני שמוזרם לבנק בתדירות של כמעט זמן אמת, בשונה מהדרישה כעת של חמש שנים אחורה (יש למה לצפות). שנית, הסקירה מעודדת שימוש במקורות מידע מגוונים וחודרניים נוספים, דוגמת רשתות חברתיות, ביקורות גולשים, שאילתות במנועי חיפוש, הקלקות באתרים ועוד, זאת בשונה מהדרישה למידע על הוצאות אישיות ("בלבד"). שלישית, הסקירה מפרטת בהרחבה את היתרונות הגלומים ב"מידע אורגני", שבשונה ממידע סטטיסטי, שמקורו בלמ"ס או בסקרים פרטניים, המידע האורגני לא נאסף לצורך מטרה סטטיסטית מסוימת, ולכן השימוש בו גמיש יותר, והפגיעה בפרטיות קשה יותר.

מצד שני, הסקירה גם מדגישה את האתגרים הרבים שניצבים בפני בנקים שמעוניינים להשתמש במתודולוגיות של ביג דאטה, ובהם הצורך בפלטפורמות ומערכות שיודעות להתמודד עם היקף כה נרחב של מידע, אמצעי אבטחת מידע חדשניים ומקיפים; וגיוס מומחים מתחומים שונים שיהיו חלק אינהרנטי מהפרויקט. ובצניעות רבה, אוסיף אתגר נוסף, חשוב לא פחות: הגנה על הזכות החוקתית לפרטיות.

המשימה שבנק ישראל לקח על עצמו היא גדולה ומאתגרת, והיא לא יכולה להתחיל באיסוף המידע, אלא באפיון הצרכים, המטרות והכלים לשם השגתם. טוב יעשה הבנק אם בנושא מורכב כמו ביג דאטה, שמערב דיסציפלינות רבות ומגוונות, ייוועץ גם בגורמים חיצוניים לבנק, מומחים מהאקדמיה, מהחברה האזרחית ומהמגזר הפרטי. האתגרים איתם מתמודד בנק ישראל אינם שונים מאתגרים שצפים כל יום בחברות סטארט-אפ, במחקרים פורצי דרך ובסוגיות ציבוריות אחרות (לדוגמה: העברת מידע רפואי סטטיסטי לחברת פייזר).

עו"ד נעמה מטרסו קרפל היא מנכ"לית פרטיות ישראל

לתגובות על הכתבה ליחצו כאן