גופי הביטחון קיבלו גישה ישירה למאגר הביומטרי ולמצלמות

המשטרה וגופי ביטחון יוכלו ליצור נגזרת של המאגר הביומטרי הלאומי ללא פיקוח ומנגנוני הגנה הולמים, צה"ל ושב"כ יוכלו לחדור למצלמות אבטחה פרטיות ללא צורך באישור בית משפט וללא מנגנון שימנע שימוש לרעה במידע, ומערך הסייבר והשב"כ יוכל להורות לעסקים פרטיים לבצע פעולות שונות בתגובה למתקפת סייבר. בחסות המלחמה ובשם צרכים ביטחוניים אמיתיים מקדמים ומאשרים משרדי הממשלה שורה של חוקים, תזכירי חוק ותקנות שעת חירום שמאיימים לשנות סדרים מגובשים באופן שיכול לפגוע בפרטיות ובהגנת המידע של כולנו, חלקם עלולים ליצור מצבים בלתי הפיכים, וכל זאת בלי פיקוח ראוי של הרשות השופטת או הכנסת.

המהלך הראשון עוסק במאגר הביומטרי הלאומי, שבו שמורות תמונות פנים, ובחלק מהמקרים גם טביעות אצבע, של כ־7 מיליון ישראלים. ברביעי אישרה הכנסת בקריאה שנייה ושלישית תיקון לחוק המאגר הביומטרי שיאפשר למנף את נתוני המאגר כדי לסייע בזיהוי נרצחים, חטופים ונעדרים. החוק אושר בהליך מזורז, שבוע בלבד לאחר שפורסם לציבור תזכיר החוק בנושא. המהירות צורמת לאור השנים הרבות שנדרשו כדי לחוקק ולהפעיל את המאגר.

דברי ההסבר לתזכיר חוק תיארו צורך דחוף בשינוי סדרים אלו: "לנוכח היעדרו של מענה מלא לצורכי הזיהוי במאגרי המשטרה וצה"ל, נוצר צורך חיוני ודחוף באפשרות להעברת מידע מהמאגר הביומטרי במשרד הפנים הן למשטרה, והן לשירות הביטחון הכללי, למוסד למודיעין ולתפקידים מיוחדים ולצה"ל לצורך זיהוי הנרצחים, הנעדרים, האלמונים והשבויים וכן לאפשר למשטרה לקבל מידע מגורמים נוספים", נכתב.

תקנות לשעת חירום מהשבוע הראשון של המלחמה איפשרו לרשות הביומטרית להעביר לגופי הביטחון נתונים ביומטריים לצורך אימות או בירור זהותו של אדם, "ככל שהם נדרשים כתוצאה מהאירועים שבעטיים הוכרז מצב מיוחד בעורף". תזכיר החוק ביקש להסדיר את הנושא כחלק מהוראת שעה בת שנה.

לפי התיקון לחוק, לבקשת המשטרה תספק לה הרשות לניהול המאגר הביומטרי אמצעים או נתונים ביומטריים שנחוצים לאימות או בירור זהותו של אדם, חי או מת, בהקשר של המלחמה. מדובר בשינוי יסודי באופן עבודת המאגר הביומטרי, שכן לפי החוק שמסדיר את פעילותו, הנתונים עצמם נשמרים במאגר בלבד והוא מורשה למסור למשטרה רק תוצאות זיהוי (כלומר, המשטרה יכולה להעביר תמונת פנים או טביעות אצבע למאגר, ולקבל מידע על התאמתם, אך אינה יכולה לקבל את הנתונים הביומטריים עצמם).

החוק גם מבצע שינוי נוסף באופן פעילות המאגר, וקובע שטביעות האצבע, שרק לפני שנה נקבע שלא יצורפו עוד למאגר הביומטרי, דווקא יישמרו מעתה עד לסיום תוקפה של הוראת השעה. מדובר בשינוי שמחזיר למאגר מידע שהוחלט שכבר אינו נחוץ לתפקודו השוטף לצורך מטרתו העיקרית (אימות זהות אדם), ושתרומתו לזיהוי תהיה אפסית (מספר האזרחים שימסרו את טביעותיהם למאגר בשנה הקרובה ולאחר מכן גם יהיה צורך לזהות אותם באמצעותן יהיה בוודאי שולי).

תזכיר החוק גם קובע שטביעות האצבע, שרק לפני שנה נקבע שלא יצורפו עוד למאגר הביומטרי, דווקא יישמרו מעתה עד לסיום תוקפה של הוראת השעה

מדאיג יותר הוא ההיתר להוציא נתונים מתוך מהמאגר, מה שיוביל למעשה ליצירתו של מעין מאגר ביומטרי חדש, אך בלי כל ההגנות ואמצעי הזהירות שקיימים כיום סביב המאגר הביומטרי הלאומי. בהקשר זה יש חשש שגם לאחר שתפוג הוראת השעה לא יימחקו הנתונים מהמאגר הביומטרי החדש וייווצר למעשה מאגר ביומטרי נוסף קבוע, הפעם בידי המשטרה, שתוכל להשתמש בו ללא פיקוח הולם.

צבי דביר מהתנועה לזכויות דיגיטליות מסר ל"כלכליסט": "במהלך הדיון הובהר שרשויות הביטחון מעוניינות להפוך את החוק בעתיד לחוק של קבע. ההחלטה כי בתקופת הוראת השעה לא יימחקו טביעות אצבע של אזרחים המחדשים תיעוד ביומטרי מוכיחה את המטרה האמיתית של החוק. אין שימוש בנתונים הביומטריים של אזרחים המגיעים ללשכת האוכלוסין למטרות החוק המוצהרות. לכן מטרת החוק הנסתרת, שכבר אינה כל כך נסתרת, היא להפוך את החלטות העבר, לפיהן המאגר הביומטרי יתבסס על תמונות פנים בלבד וכי נתוני טביעות האצבע יימחקו ממנו. בדברי ההסבר נאמר ש'לפי נתוני רשות המאגר הביומטרי, המצב הקיים הביא בשנה האחרונה למחיקה של כמיליון טביעות אצבע מהמאגר'. מטרת החוק היא להפסיק את תהליך הריקון של המאגר, ולהצניע את המטרה הסמויה מאחורי הטרגדיה האיומה של משפחות החטופים והנעדרים".

המהלך השני הוא תזכיר חוק שמקדם משרד הביטחון, המבקש לתת לצה"ל ולשב"כ אפשרות לגשת, לשלוף ולמחוק מידע ממצלמות אבטחה פרטיות שמחוברות לרשת. הגישה למצלמות אלו פעמים רבות אינה מאובטחת דייה (אין סיסמת גישה או שלא הוחלפה סיסמת ברירת המחדל של היצרן), ולא פעם הן צופות לאזורים ציבוריים או מתקנים רגישים ויכולות לשמש את האויב לאיסוף מודיעין.

התזכיר, שנועד לקבע בחקיקה תקנות שעת חירום (תקש"ח) שאושרו בשבועיים הראשונים של המלחמה, יאפשר לקצין מוסמך להסמיך חייל צה"ל לחדור למחשב שמשמש להפעלת מצלמה נייחת, ולבצע פעולות דוגמת מחיקה, שינוי או שיבוש במידע החזותי שאספה המצלמה, אם יש במידע זה כדי לסכן את ביטחון המדינה או הפעילות המבצעית של הצבא, והפעולה נדרשת באופן "מיידי ודחוף". החוק מתיר לבצע פעולה זו גם ללא ידיעת בעל חומר המחשב, ובלי צורך בקבלת צו בית משפט. סמכות דומה מוענקת לשב"כ, שיכול בנוסף גם לקבל מידע מתקשורת בין מחשבים מבלי שזו תיחשב כהאזנת סתר. לפי התזכיר, החוק יהיה בתוקף לחצי שנה, כאשר שר הביטחון, בהסכמת ראש הממשלה ובאישור ועדת חוץ וביטחון, רשאי להאריכו בעד שישה חודשים נוספים.

אף שמדובר בצורך חיוני, היעדר מנגנוני הפיקוח הוא סיבה משמעותית לדאגה. ההליך נעשה בלי שום צורך בקבלת צו בית משפט, או אפילו בפיקוח בדיעבד של בית המשפט. אין מנגנונים בתזכיר שמוודאים שלא ייעשה שימוש לרעה בסמכות זו (למשל, למעקב אחרי אנשים) או להגנה על ביטחון המידע או הפרטיות של מידע שיישלף, פרט לאמירה שלפיה "צה"ל ושב"כ לא יעשו שימוש ולא ישמרו מידע, לרבות ידיעה על ענייניו הפרטיים של אדם".

גם הפיקוח מצד הכנסת והממשלה מוגבל ביותר, ומסתכם בדיווח חודשי לוועדת חוץ וביטחון וליועצת המשפטית לממשלה על מספר החיילים או עובדי השירות שמוסמכים לבצע פעולות חדירה ועל מספר המחשבים שבוצעו פעולות כלפיהם וכן סוגי הפעילות. הדיווחים עצמם יהיו חסויים.

שר הביטחון יואב גלנט | צילום: עמית שעל

לצד שני תזכירים אלו, מגבשת הממשלה גם תקש"ח שירחיבו את סמכויות מערך הסייבר הלאומי וייתנו לו סמכות לתת הוראות מחייבות לעסקים מסוימים במקרה של מתקפת סייבר. לפי טיוטת התקנות, שנחשפה בשבוע שעבר ב"כלכליסט", יקבלו מערך הסייבר, השב"כ או הממונה על הביטחון במערכת הביטחון (מלמ"ב) סמכות לתת הוראות מחייבות לספקי שירותי מחשוב מסוימים במקרה של מתקפת סייבר. בנוסף, ספק שירותים אלו יהיה מחויב לדווח על מתקפת סייבר בתוך ארבע שעות לכל היותר מרגע זיהויה.

במערך הסייבר הסבירו שהתקנות לא נועדו להחליף את חוק הסייבר, ושהן חלות רק על מגזר אחד. ואולם, מומחי פרטיות התריעו שהבחירה של מתן סמכות זו בדרך של תקש"ח ולא בחקיקה ראשית שגויה, שכן מדובר בהסדר רחב יותר ביחס לתקש"ח אחרות שהועברו מאז תחילת המלחמה, ושאין כל סיבה שלא לפנות לחקיקה ראשית מאחר שהכנסת פועלת. בנוסף, נוסח התקנות מקנה להן תחולה רחבה מאוד והן עלולות לחול על מספר רב של עסקים. חובת הדיווח שכלולה בתקנות אלו היא רחבה מאוד, ועלולה ליצור הכבדה על מערך הסייבר שיוצף בפניות שאיתן יתקשה להתמודד.