בואו נדבר עוד קצת על המאגר הביומטרי

עם קוראי הבלוג חובבי המתמטיקה הסליחה - אני עומד להקדיש עוד פוסט לאותו נושא שאינו ממש קשור למתמטיקה (ואולי כן קשור חלקית, בהתחשב בקשר בין מתמטיקה והגיון בריא) - המאגר הביומטרי. הפוסט הקודם היה חלקי בלבד שכן טרם יכלתי להתייחס לאותו דיון שכל כך הרגיז אותי של ועדת המדע בעניין תקנות המאגר הביומטרי. עכשיו הוא פורסם סוף סוף, ואני ממליץ לכולם בחום לקרוא אותו לפני שהם קוראים את הפוסט, כדי לאפשר להם לגבש דעה משל עצמם. למי שרוצה תקציר שיעזור לו לגבש דעה שלילית, יהונתן קלינגר כבר פרסם מאמר משלו בעניין.

כפי שקיוויתי, אחרי הפוסט הקודם קיבלתי לא מעט תגובות, הן נגד המאגר והן בעדו. מכיוון שאני (אולי כבר ניחשתם) מוטה נגד המאגר ועל חסרונותיו כבר דנתי בפוסט הקודם, אני רוצה לפתוח את הפוסט הזה בלהציג את הטיעונים שהביאו לי בעד המאגר (ונגד הביקורת עליו), אולי עם עוד התייחסות נגד קטנה משל עצמי. אני מקווה שזה יתרום לקיום דיון מאוזן על הנושא שפשוט לא קיים כיום ברשת (כמעט בשום מקום לא הצלחתי למצוא נימוקים מסודרים בעד המאגר, וקשה לי להאשים את הבלוגרים בכך).

נתחיל.

מה המאגר עושה יותר טוב מהמצב כיום?

יורם אורן ענה על זה כבר בדיון ההוא של ה-30 ביוני 2009: מונע את הסיטואציה שבה אותו אדם מוציא שתי תעודות זהות שונות בשמות שונים. בואו נחדד את זה: אם מישהו הצליח להכניס את עצמו למאגר הביומטרי מלכתחילה בשם בדוי, הוא יקבל תעודה עם השם הבדוי; אבל, הוא לא יוכל לקבל שתי תעודות. כפי שאומר יורם אורן בדיון של 2011:

האמינות של המאגר זה להבטיח שלאדם אחד יש זהות אחת. זאת אומרת, אם אתה נכנסת למאגר לא בזהותך האמיתית, אתה בעצם ויתרת על זהותך האמיתית.

את הדבר הזה מאגר ביומטרי עושה היטב. אני לא חושב שמישהו יתווכח על זה. השאלה היא האם ניתן להשיג את אותו אפקט בלי מאגר ביומטרי מרכזי. אני מניח שאפשר, למשל, שהמאגר יכיל מידע הקושר בין מידע ביומטרי ובין תעודת זהות ספציפית (המספר שלה), וכאשר מישהו מנסה להנפיק תעודת זהות חדשה ניתן יהיה לבדוק אם המידע הביומטרי שלו מקושר כבר עם מס’ תעודת זהות אחרת במאגר (אם אובדת תעודה מן הסתם יש לדווח עליה כאבודה…).

הרעיון שלי (שהוא סתם מחשבה רגעית, לא מבוסס על מחקר כלשהו, וכנראה עמוס בבעיות) בוודאי מעלה מחדש את הקושי באימות הזהות של מי שמבקש תעודת זהות, כך שאפשר לומר שהמאגר גם בא לפתור בעיה נוספת - הקושי שבאימות אמין שאדם שמזדהה בשם מסויים הוא אכן אדם זה (וגם האספקט הזה תואר כבר בדיון של יוני 2009). גם עם מאגר יהיה צורך לעשות זאת באופן חד פעמי עבור כל אדם (וחלק לא קטן מהדיון של 2011 עוסק בפרטים של הבדיקה הזו), אבל חד פעמי היא מילת המפתח כאן.

יפה. אם כן, זה מה שהמאגר עושה טוב וזו המטרה המוצהרת שלו. שימו לב שלא מדובר כאן על תעודות זהות ביומטריות/חכמות; אלו, כפי שכבר אמרתי בפוסט הקודם, יכולות להתקיים ללא קשר למאגר. מניעת זהויות כפולות היא ללא ספק מטרה חשובה, ומי שלא רואה את זה כרגע, חשבו לשניה על אחד המקומות שבהם זהות כפולה באה שוב ושוב לידי ביטוי - הצבעה בבחירות.

המטרה השניה של המאגר, ואולי המטרה האמיתית שלו, היא סיוע לכוחות הביטחון. על כך נדבר בהמשך.

האם באמת המאגר הישראלי הוא משהו שאין כמותו באף מדינה דמוקרטית בעולם?

גם אם התשובה היא “כן”, לא נראה לי שזה יישאר המצב לאורך זמן. בדיון של 2011 יורם אורן מביא רשימה:

מכוח דירקטיבה של מועצת האיחוד האירופאי, משנת 2004, כל דרכוני האיחוד האירופאי יכילו גם טביעות אצבע החל משנת 2007, בפועל הם איחרו, זה משנת 2008. לכן פורטוגל, שזה לדרכונים, זה מכיל תמונות וטביעות של שתי אצבעות. אני אפילו הייתי במאגר וראיתי בעין את תהליך ההרכשה ואת הדבר שהם עושים את זה. בספרד, לנושא תעודות זהות ודרכונים, כולל תמונות פנים וטביעות אצבע. באוסטרליה, לדרכונים, לתמונות פנים. בקנדה, לדרכונים, גם בתמונות פנים. מקסיקו, שהיא מדינה דמוקרטית, חברה ב-OECD עוד הרבה לפנינו, יש לה חוקה מאוד ותיקה ובמקסיקו יש את המאגר הביומטרי כרגע הכי גדול בעולם שמשמש לרישום בוחרים, אתה לא יכול להצביע אם אתה לא שם. המאגר הוא לצורך מניעת כפילויות וזיופים בבחירות.

וחוץ מזה, יש מאגר נפרד במקסיקו שמופעל על ידי משרד החוץ והוא בשביל לאתר הרכשות כפולות בדרכונים ובוויזות. במאגר הגדול במקסיקו יש כ-100 מיליון רשומות, במאגר הקטן יש כ-44 מיליון רשומות. מתוך ה-44 מיליון רשומות, היות וחלקן רשומות לגאסי, יש 22 מיליון רשומות שכוללות תמונות פנים וטביעות של אצבעות. בפרו, שגם היא דמוקרטיה וגם לה יש חוקה וכולי וכולי, יש מאגר ביומטרי שהוא מיועד למנוע הרכשות כפולות לתעודות זהות. ההבדל בין פרו ובין מדינות אחרות, שלמאגר הזה יש חיבורים מכוונים מכל המדינה. פינלנד העבירה ביוני 2009… חוק, אני יודע מי מפעיל את זה, מפעילה בפינלנד את המאגר הזה המשטרה והצורך הוא מניעת הרכשה וביקורת גבולות. הוא נועד בשלב מאוחר יותר להשתלב גם בתעודות הזהות, עוד לא ברור בדיוק איך.

בהודו נגמר לפני מספר שבועות מפקד אוכלוסין. מפקד האוכלוסין היא פאזה ראשונה. במקביל לזה, לפני כשנה החלה הרכשה ביומטרית של כל אלה שכבר נכנסו למפקד, שזה היה תהליך מאוד ארוך. עד היום כבר יש בפנים הרבה מיליונים של רשומות והקצב הולך וגדל. המטרה של המאגר הזה היא לתת לכל אזרח הודי מספר זהות ייחודי, מה שאין היום. המאגר הזה כולל טביעות של עשר אצבעות, כולל צילומי פנים וכולל תמונות של קשתיות של שתי עיניים. מי שרוצה, ותאמינו לי, זה מאוד מרתק, יש לי סרטונים שצילמתי בעצמי בתהליך ההרכשה הזה, אתם מוזמנים לבוא ולראות אותם אחרי זה. קולומביה. מדינה עם דמוקרטיה נשיאותית, עם חוקה, לא כזאת ותיקה, רק מ-1991. יש שם 40 וכמה מיליון תושבים ויש שם מערכת ביומטרית למניעת הרכשות כפולות עבור תעודות הזהות שלה. המערכת הזאת כוללת כ-35 מיליון רשומות, וגם כוללת טביעות אצבע וצילומי פנים.

בארצות הברית יש לא מעט מערכות קטנות, נגיד לצורך בקרה של קבלת שירותי רווחה, אבל יש גם כמה מערכות גדולות. יש 20 מדינות בערך ש… עבור רישיונות נהיגה. יש מערכות שמבוססות על זיהוי פנים למניעת הרכשות כפולות. בארבע מדינות יש מערכות שכוללות גם טביעות אצבע וגם זיהוי פנים, ביניהן זה טקסס וקליפורניה, שהן לדעתי השתיים הגדולות. במאגרים. טקסס בטוח הכי גדולה. גם ל-FBI יש גישה למאגרים האלה. חוץ מזה, יש מערכת ביומטרית נוספת לזרים בארצות הברית, שנקראת US VISIT, שמשמשת לניהול אשרות, היא הוזכרה כאן קודם, יש בה איזה 80 מיליון רשומות. הרשימה היא חלקית והיא כוללת רק כאלה שמצאתי באמת אסמכתאות ממש ממש מלאות ואמינות.

בוליביה, שהיא גם דמוקרטיה, יש לה חוקה משנת 1982 וחוקה חדשה שאפילו רעננו אותה בשנת 2009, וגם שם יש מערכת ביומטרית שמיועדת לרישום בוחרים. זאת אומרת הזכות הדמוקרטית הכי יסודית תלויה במערכת הזאת. הרשימה עוד גדולה, אבל אלה באמת מדינות עם אסמכתאות.

אני חושב שהנקודה ברורה. לדעתי טוב יעשו מתנגדי המאגר הביומטרי אם יפסיקו לדבר על מה שלא קורה בשאר העולם, ויעברו לדבר על מה שקורה - איך בדיוק המאגרים הללו מתנהגים, מה הדמיון שלהם למאגרים שלנו, והאם הם נתקלו בבעיות שמתנגדי החוק מדברים עליהן. זו נקודה מהותית בויכוחים על המאגר הביומטרי, ואם מתנגדי המאגר ימשיכו להתעלם ממנה הם פשוט יירו לעצמם ברגל.

האם המאגר פרוץ יותר ממאגרים אחרים?

זה אולי הטיעון הנפוץ ביותר שהועלה מצד תומכי המאגר כנגד הטיעונים שהצגתי בפוסט הקודם - נכון, סכנות קיימות עבור המאגר הביומטרי, אבל כך גם עבור אלף ואחד המנגנונים הקריטיים האחרים שיש למדינה. שירותי הביון, כורים אטומיים, בנקים, מאגרי טביעות האצבע של צה”ל, של ביקורת הגבולות בנתב”ג וכדומה - ישנן המוני נקודות תורפה, רובן קריטיות לא פחות מהמאגר הביומטרי, וכל הסכנות שתיארתי של אנשים מבפנים ואידיוטים שבוחרים ססמאות גרועות וכדומה - כולן קיימות גם כאן. ועם זאת המדינות עדיין קיימות והעולם לא נחרב. בפועל, יש מנגנוני הגנה שעובדים ברמה סבירה, גם אם הם אינם מושלמים.

הטיעון הזה טוב ונכון. מצד שני, הוא לא מתייחס לכך שהמאגר הוא תוספת סיכון - תוספת סיכון שצריך סיבה טובה לקחת. גם חייל שהשתתף בקרבות מסמרי שיער מסתכל ימינה ושמאלה לפני שהוא חוצה את הכביש (אנלוגיה לא מושלמת שכעת כולם ילעגו לה כי מי מסתכל לצדדים כשחוצים כביש?) בנוסף, הוא לא מתייחס לכך שהמאגר הוא “יחודי” מבחינה זו שהדלפה שלו, שהיא בסך הכל הוצאה של מידע שכנראה (ניחוש; אין לי מושג) אפשר יהיה להכניס ל-DOK בן זמננו גורמת לחשיפה של מידע על כל אדם שאותו מאוד, מאוד קשה לשנות.

נשארנו עם השאלה האם המאגר הביומטרי עצמו יהיה מאובטח ברמה שתמנע הדלפה שלו. כפי שאמרתי בפוסט הקודם, אני לא יודע ואין דרך לדעת כי מי שאחראים להקמת המאגר לא חושפים את המידע הזה. הנימוק שלהם, שהוא נימוק טוב ונכון, הוא שאי-חשיפת פרטי המאגר המדוייקים משפרת את ההגנה עליו (הגנה שמבוססת רק על הסתרת מידע שכזו היא אסון; אבל כתוספת הגנה זה לגיטימי). הם גם לא חושפים האם מבוצעים נסיונות התקפה על המאגר מצד מומחים שזה מה שהם מנסים לעשות; בקיצור, אין לנו ידע כלשהו על רמת האבטחה של המאגר. השאלה היא אם אנחנו מאמינים או לא. ליורם אורן אני נוטה להאמין; למאיר שטרית אני נוטה לא להאמין; ואיפה האמת, אין לי מושג. זו עוד נקודה קריטית בדיון (מתנגדי המאגר מדברים על הדלפה כעל עניין של זמן בלבד) שאין לי תשובה חד משמעית עליה.

האם המאגר מספק לאח הגדול יכולת מעקב טובה אחרינו?

בתיאוריה כן. בפועל, כנראה שלא. למעקב המוני אחרי האזרחים לא ברור איזה שימוש יש במאגר הביומטרי במתכונתו הקיימת - מידע טביעות האצבע לא יכול לשמש בשום צורה ככלי ליצור מעקב המוני אחרי אזרחי המדינה, ואפילו אחרי אזרח בודד לא ממש סביר לעקוב כך (לא ניתן לאבק כל מקום שבו הוא אולי היה בתקווה שהוא השאיר את טביעת האצבע שלו שיש במאגר, ואפילו אם נמצאה כזו אין עליה נתוני זמן). בקיצור, זה אולי הטיעון החלש ביותר שניתן להעלות כנגד המאגר. אלא שהאח הגדול עדיין חזק בתמונה, לדעתי, ואדבר על זה בהמשך.

בכל זאת, אי אפשר שלא להזכיר כאן את העובדה שאחרי רוב האנשים במדינה, קל יותר לעקוב באמצעים אחרים - למשל, הטלפון הסלולרי שלהם. כמובן שהאנלוגיה לא מושלמת והייתה כזו רק אם המדינה הייתה מחליטה שחובה על כל אדם לשאת עליו טלפון סלולרי שמשדר את מיקומו (מה שהיה מעורר מהומה רבתי).

אז מה בעצם הייתה הבעיה, תזכיר לי?

או, טוב ששאלתם.

אני מקווה שכיסיתי פחות או יותר את הטיעונים של תומכי המאגר ומתנצל על ההשמטות שבוודאי כן השמטתי. אני חושב שכל הטיעונים הללו הם טובים וחזקים ואולי היו משכנעים אותי אפילו שכל עניין המאגר הביומטרי הוא באמת לא ביג דיל, אלמלא מלכתחילה הבעייה שלי עם המאגר לא הייתה שונה. והיא שונה בגלל האופן שבו המאגר הזה מוקם. והדיון בועדה של ה-2 ביוני 2011 הוא המייצג הבולט ביותר של האופן הזה.

כדאי להעיר שתומכי המאגר יגידו שחוק המאגר עבר הרבה, הרבה יותר עיון ובדיקה ודיונים ממרבית החוקים הקיימים האחרים. הם כנראה צודקים, וזה רק הופך את העניין למטריד עוד יותר.

ראשית, אני מזהיר מראש שכאן אני מפסיק להיות אובייקטיבי. אני עדיין אנסה להציג את הצד שאני לא תומך בו, אבל הדעה שלי תהיה ברורה לחלוטין, ואין לי ספק שהיא תשפיע על המשך הכתיבה. בניגוד לכל מה שנאמר עד כה על המאגר, שבו אני לא ממש בטוח באיזה צד אני, מכאן והלאה כבר אין לי ספק.

אני רוצה לדבר כאן על שתי בעיות עקרוניות בהליך החקיקה הזה. הראשונה היא שמכרו לנו את המאגר בתירוץ א’ מתוך אמירה שהוא לא ישמש למטרה ב’ חוץ מאולי טיפ-טיפה, והגילוי שתירוץ א’ הוא אכן בעיקר תירוץ והמטרה האמיתית של המאגר היא ב’. א’ הוא מניעת הרכשה כפולה; ב’ הוא שימוש כוחות הביטחון. הבעיה השניה היא האופן שבו הועדה מתייחסת לביקורת ותרבות הדיון שלה, שככל הנראה אומרת משהו על האופן שבו החוק הזה הועבר כבר מראשיתו.

אני רוצה להתחיל עם דיון על נושא שהיה יחסית בכותרות בשעתו - ההחלטה לדחות את שיטת שמיר. אז בואו נדבר על שיטת שמיר. משם כבר נגיע באופן טבעי לכוחות הביטחון.

מה היה כל העניין עם שיטת שמיר?

אי שם בתחילת מהומת המאגר הביומטרי ב-2009 בא פרופ’ עדי שמיר ממכון וייצמן, אולי המדען הבולט ביותר בישראל בתחום הקריפטוגרפיה, עם הצעת שיפור כלשהי של המאגר. פירוט אפשר לקרוא כאן. הרעיון הבסיסי פשוט - במקום שהמאגר יישמר באופן כזה שניתן ליצור קישור ישיר בין אדם וטביעת האצבע שלו (כפי שיורם אורן תיאר באחד מדיוני הועדה, למרות שיהיה קיים קישור ישיר הוא לא יהיה מיידי ויהיה צורך בפניה לשני מאגרים שונים כדי להשלים אותו), המאגר יישמר כך שקבוצה של 100 איש (בגרסה של Ynet; אולי המספר השתנה במקומות אחרים שדיברו על ההצעה) תהיה מאוחסנת כולה באותה “מגירה”. כלומר, הקישור יהיה בין כל אדם מקבוצת 100 האנשים הללו לאוסף 100 טביעות האצבע שלהם. בהינתן טביעת אצבע לא ניתן יהיה לומר של מי היא, אלא רק שהיא שייכת לאחד מתוך אותם 100 איש; ובדומה, בהינתן אדם, לא נוכל לדעת בודאות מה טביעת האצבע שלו אלא רק שהיא אחת מתוך אוסף של כ-100 טביעות אצבע.

השיטה הזו מנטרלת באופן משמעותי את הנזק (האמיתי או המדומה) שמתנגדי המאגר אומרים שייגרם אם המידע שבו ידלוף. ב-Ynet אומרים, למשל, שלא יהיה ניתן להשתיל טביעת אצבע של מישהו בזירה או לפרוץ מנעול של טביעת אצבע, פשוט כי לא יהיה ניתן לדעת באיזה מבין 100 הטביעות להשתמש, ולהשתמש ביותר מדי טביעות (למשל, לשתול את כל 100 הטביעות שבמגירה באותה זירת פשע) יעורר חשד. תומכי המאגר יגידו שמדובר בפתרון לבעיה שאינה קיימת כי מבחינה טכנולוגית שתילת טביעות אצבע היא בלתי אפשרית וגם פריצת מנעולי טביעות אצבע איכותיים בצורה כזו אינה אפשרית, למרות שביוטיוב לא חסרים סרטונים של מנעולים לא איכותיים שנפרצים כך (האם באמת לא ניתן לפרוץ כך גם מנעולים איכותיים? לא יודע, זה דיון מעניין לכשעצמו).

כדאי להעיר ששיטת שמיר לא פותרת את כל הבעיות - למשל, הבעיה שהעלה אלי ביהם ותיארתי בפוסט הקודם, לפיה אם המאגר מגיע למדינת אויב היא מסוגל לאתר סוכנים שמנסים להסתנן בדרכון מזוייף, לא נפתרת; לא חשובה הזהות המדוייקת של הסוכן, אלא רק העובדה שהוא מופיע במאגר הישראלי, כדי שהוא יעורר חשד. שמיר התייחס לזה במאמר המשך, שבו הבהיר שלמאגר ה”מעומעם” יוכנסו גם אנשים שאינם ישראלים - כל הנראה כל אחד שישראל תצליח להניח את ידה על ידיו (גם ארה”ב עושה את זה…). אני חייב להודות שאם אכן תצטבר כמות קריטית של לא ישראלים שבתוך המאגר, זה מקל משמעותית את הבעיה הזו (אם כל יום נכנסים למדינת האויב עשרות אנשים ש”חשודים כישראלים”, בסופו של דבר האזהרה הזו תהיה חסרת ערך).

בקיצור, על פניו נראה ששיטת שמיר עדיפה על פני ההצעה הקיימת. אלא ששיטת שמיר נדחתה על ידי ועדת השרים הרלוונטית, וגם מאיר שטרית (שאני רואה בו לכל דבר ועניין את האחראי לחוק - הוא היוזם, יו”ר הועדה שעוסקת בחוק והדמות הציבורית שמזוהה איתו יותר מכל) הצהיר בדיון של יוני 2011 שהוא מתנגד לו, וגם הסביר למה. כאן סוף סוף אנחנו מגיעים לאקשן. קודם כל כדאי לציין את הסכנה הברורה בשיטת שמיר - אם מודלפת מגירה כלשהי, כלומר אדם כלשהו יודע את זהות האנשים שנמצאים איתו באותה המגירה, הוא יוכל להתחזות אליהם (אולי לא בקלות - תלוי מה עוד בודקים במהלך הנפקה מלבד טביעת האצבע). זה פחות קריטי במקרה שבו כל המאגר מודלף (ואז קשה להניח שהעניין יישאר בסוד זמן רב), אבל אם מישהו מדליף רק מגירה בודדת, או אם אדם מסוגל לגלות מי איתו באותה מגירה בלי גישה ישירה למאגר, זה מאוד בעייתי.

יש בדיון התייחסות ישירה לכך, בדבריה של איילת אלישר:

הניתוח שנעשה בתוך המדינה העלה שבעצם בשיטה הזאת יש סיכון רב יותר שאדם יכול לקבל זהות בדויה. כל התכלית של החוק ושל המאגר היא כנגד זהויות בדויות, כנגד האפשרות, הוא נועד לסכל את האפשרות שאדם יקבל שתי זהויות או יותר, בשביל זה מקימים את המאגר. בשיטת עדי שמיר הסיכון הוא הפוך, זאת אומרת, אם אדם באיזה שהיא דרך יקבל את מי שנמצא איתו בתוך המגרה, החשש הוא שהוא יוכל לקבל בעצם את הזהות של אותם אנשים שהוא יודע שנמצאים איתו במאגר. שוב, זה נוכח איך שכל המאגר בנוי. אני סקרן לדעת מהי התגובה של שמיר לבעיה הזו - ייתכן שהוא מסוגל להמציא תעלול נוסף שיפתור אותה - אבל בדיון לא מדברים על פתרונות אפשריים לבעיה ושמיר עצמו לא משתתף בו. אלא שאני בספק אם שמיר בכלל יטרח לנסות למצוא את הפתרון לבעיה, כי יש שתי סיבות אחרות, מרכזיות הרבה יותר, שבגללן פוסלים את שיטת שמיר. הראשונה מביניהן סוכמה באופן נאה בידי מאיר שטרית: השיטה של עדי שמיר לא קיימת בשום מקום אחר בעולם. אני לא רוצה להיות שפן ניסיונות, לא של עדי שמיר ולא של מישהו אחר ואני מעריך אותו מאוד…. שאלתי אותו האם זה קיים במקום אחר. זה לא קיים בשום מקום אחר בעולם, אז זה ממש הפחיד אותי, למה? כי אני אהיה שפן ניסיונות של מישהו?

תקשיב, כשיש לך אפשרות לדעת לאיזה מגרה אתה שייך, אתה יכול לעשות הרכשה כפולה מאותה מגרה. אף אחד לא יכול לדעת את זה, אם אתה באת או לא באת, הסיכון להרכשה כפולה הוא הרבה יותר חמור ולכן גם מבחינה זו זה לא פותר את הבעיה הבסיסית שבשבילה הוקם המאגר… ואני לא לוקח סיכונים, לא רוצה לקחת סיכון של אחוז אחד, שתהיה הרכשה כפולה. אם כן, שטרית חושש מהלא נודע ולא לוקח סיכונים, אפילו לא של אחוז אחד. על האירוניה בכך מעיר דן חי: החוק הזה הופך את כולנו לשפני ניסיונות.

אבל שטרית פשוט לא מתייחס לכך. הוא גם לא מתייחס לכך שהמאגר עצמו הוא בעל סיכון של יותר מ”אחוז אחד”.

מתישהו אבנר פינצ’וק מנסה למלמל משהו על כך שהפיילוט של המאגר הוא בדיוק הזמן לבחון את שיטת שמיר, ולזה עונה שטרית ש”הפיילוט הוא לא לשיטה, אל תטעה”. אני לא יודע אם צריך להאשים פה את שטרית, או את הממשלה, או את מי שלא יהיה, אבל בפועל די ברור שלמרות שהמאגר עצמו הוא המצאה חדשה שכזו שדורשת ניסוי זהיר, לשיטת שמיר לא מתכוונים להעניק חסד דומה. האם לא היה ניתן לעשות זאת? די בבירור לא רוצים לעשות זאת או אפילו לדבר על האפשרות הזו. שטרית לא אומר, למשל, “אתה צודק, אולי היה כדאי לעשות זאת בזמן הפיילוט” או אפילו מציע לשנות את נוסח התקנות בהתאם או כלום; ההפך, הנה מה שיש לשטרית לומר על הפיילוט:

הפיילוט הוא לא לשיטה, הפיילוט הוא להפקת התעודות. אגב, אם היה תלוי בי, כידוע לך, מי שנסוג זו הממשלה מהעניין של צורת הפיילוט. לפי גרסתי, הפיילוט היה צריך להיות אחרת לגמרי, לא שנתיים ולא בטיח, היה צריך לצאת לדרך במהירות עצומה.

שימו לב איך לא לוקחים סיכון של אחוז אחד במדינה הזו. במהירות עצומה.

אבל כל אלו הם שטויות. הבעיה האמיתית בשיטת שמיר היא שהיא לא מתיישבת עם מה שמצטייר מהדיון בתור המטרה העיקרית של המאגר - כלי לשימוש כוחות הביטחון. הבה ונעבור לדבר על זה.

האם ואיך המאגר ישמש את כוחות הביטחון?

בואו נחזור לרגע אחורה, לדיון של יוני 2009. כזכור, המאגר משווק בתור אמצעי למניעת זיופי תעודות (באופן שבו הוא מעורבב היטב עם הרעיון הכללי של תעודות זהות ביומטריות כך שמטושטשת העבודה שהמטרה היחידה שלו היא מניעת הרכשה כפולה של תעודות שכאלו). בואו נזכור מה אמר מייק בלאס בדיון ההוא:

כשהכנו את החקיקה אז באו משטרת ישראל ורשויות הביטחון והציגו את הצרכים שלהם ממאגר ביומטרי. בסופו של דבר, לאחר ששקלנו את הדברים, הגענו למסקנה שאפשר לייצר איזונים מורכבים כדי לאפשר למשטרה לעשות שימוש במאגר לצרכים שמפורטים בהצעת החוק. למשל, צרכי זיהוי של אנשים שאין בידם מסמכי זיהוי. אחת הדוגמאות שהובאו היו אנשים חולי אלצהיימר שנמצאים באיזה מקום, הם לא יודעים לספר מי הם אבל יש אפשרות להגיע בזמן קצר לזהות שלהם, לחסוך למשפחה ואולי להם את המצב הלא טוב שהם נמצאים בו.

ישנם מקרים של אנשים שנתגלו אי התאמות בין טביעת האצבע שלהם לבין מסמך הזיהוי שהם מחזיקים או לשם חקירת עבירות מסוימות, שהרף המוצע כאן הוא רף של עוון ופשע, עבירות שעונשן מאסר.

לצרכי חקירה קבענו שהעברת המידע תהיה רק באישור בית משפט וכאמצעי אחרון בלבד על מנת שלא תהיה גישה קלה ישירה בין המשטרה לבין המאגר.

שטרית החרה-החזיק אחריו ואמר כי זה יהיה “רק במידה ואין אמצעים אחרים”.

בואו ונראה מה קרה בישיבה האחרונה, כשהתחילו לדבר על שיטת שמיר, שטרית החל את הדיון - הביקורת הראשונה שלו על השיטה, באופן הבא:

כאשר נמצאת טביעת אצבע, למשל, של מישהו שרוצים למצוא אותו, אז לא יכולים למצוא את האדם הספציפי שיש לו טביעת אצבע, אלא ימצאו מגרה עם 1,000 אנשים… ואמרו נציגי המשרד לביטחון פנים, משטרה ומשרד המשפטים… אם נגיד מצאו טביעת אצבע באתר פשע, שהתרחש בו פשע, ורוצים למצוא את טביעת האצבע, מוציאים פתאום עכשיו מאגר של 1,000 איש. אז נגיד שאם זה—

זה הקפיץ את הפיוז בו זמנית לעירא אברמוב ויהונתן קלינגר - שניהם כאחד העירו שהמאגר מיועד לשמש את משרד הפנים, לא את המשטרה (ולכן לא נכון שהביקורת על שיטת שמיר תהיה בראש ובראשונה בגלל פגיעה בחקירה המשטרתית). שטרית הגיב ב”לא נתתי לך רשות דיבור. שמעתי את ההערה ואני לא נותן לך רשות דיבור”, שזה לכשעצמו סביר אלמלא הדיון כולו התנהל על ידי התפרצויות של כל אחד לדברי כל אחד (לרבות התפרצויות של שטרית לדברי אחרים), ורק כאן שטרית משום מה מעיר למישהו שמתפרץ ומדבר על זכות דיבור.

עם זאת, מייד אחר כך שטרית יורד לעובי הקורה:

המאגר הוא לא לשימוש המשטרה, המשטרה אין לה שום גישה למאגר, בניגוד, אגב, לפרסומים, אין לשום שוטר או למשטרה שום גישה למאגר. כשהמשטרה מוצאת טביעת אצבע של מישהו לא מזוהה שהיא רוצה לזהות, בגלל אירוע של פשע, היא שולחת את הטביעה למאגר פיזית, במאגר בודקים האם יש טביעה כזו או אין, ואם יש טביעה, של מי זה, ומודיעים למשטרה, ‘זה פלוני’, זה אתה, או הוא, או הוא. יש רצח, תפסו טביעת אצבע באתר הרצח, המשטרה יכולה לפנות ולבקש ‘אנחנו מבקשים לדעת האם יש טביעת אצבע כזו במאגר שלכם’, מחפשים, אם במאגר מוצאים את הטביעה הזאת, מודיעים למשטרה, ‘זה פלוני’. זה לגיטימי לגמרי ואני חושב שצריך לעזור למשטרה במלחמה בפשע ואין שום סיבה לאף אחד להגן על פשע.

אני לא יכול להתאפק - שימו לב לרמת הדמגוגיה שאליה שטרית מגיע במשפט הסיום, על “אין שום סיבה לאף אחד להגן על פשע”.

אבל לפי ההצעה של עדי שמיר, אם היו מקבלים את השיטה שלו, של לשמור את כל המאגר במגרות של 1,000איש, התוצאה היתה שהיו צריכים להזמין 1,000 איש לחקירה, שאין להם שום קשר לעניין, הדבר היחיד שיש להם קשר, שהם באותה מגרה עם אותו בן אדם. זו פגיעה חמורה ביותר בפרטיות שאפשר לעשות לאנשים. זה אחד הדברים הכי חמורים שיכולים להיגרם לאנשים, שהמשטרה פתאום תצטרך להזמין, נגיד לא את ה-1,000, ימצאו גבר או אישה, אז יצטרכו להזמין 500 איש, או חצי מהאנשים האלה, ואלה אנשים שאין להם שום קשר, לא למקום, לא היו שם מעולם, אין להם שום קשר, סתם, צריכים לחקור אותם ולברר איתם מה פתאום הם מופיעים שם, אם זו טביעה שלהם או לא טביעה שלהם.

יהונתן קלינגר הגיע מייד לעניין שעולה מהנאום הזה (אני טיפה משנה את הציטוט):

כבודו, הסיבה היחידה ששיטת המגרות לא נבחרה, היא כדי להילחם בפשע? האם הסיבה המשטרתית היא הסיבה היחידה ששיטת המגרות לא נבחרה?

ולזה עונה שטרית:

לא, אבל זו סיבה טובה.

שנית, בכל מקרה, גם כשאדם הולך ומוצא גופה, אותו דבר לגבי גופה, אתה מוצא גופה, אדם לא מזוהה, מסיבה כלשהי, אדם לא מזוהה, אתה מאתר טביעה לא מזוהה שרוצים לזהות אותה, לזה נועד לפעמים גם המאגר, אתה שולח ואתה מקבל רשימה של 1,000 איש. אני חושב שזה חמור מאוד מבחינת הפגיעה בפרטיות. הנזק בזה הוא הרבה יותר חמור מאשר התועלת. זו הסיבה שנקבעה מראש נשארה ולא שונתה.

זה, ונימוק ה”לא רוצה להיות שפן ניסוי” הם הנימוקים היחידים ששטרית מביא נגד שיטת שמיר. כאמור, יש בשיטה גם פרצת אבטחה חמורה יותר, אבל היא מקבלת מקום משני בדיון ומוזכרת לרגע קט. די במובהק ההתנגדות לשיטת שמיר היא בגלל שהיא פוגעת ביכולת המשטרה להשתמש במאגר.

גם יורם אורן מדבר על כך שהתקיימו דיונים על שיטת שמיר:

התקיימו דיונים ומרבית הדוברים, לא בדיון אחד, תמכו באחד לאחד, השב”כ, לוט”ר (לוחמה בטרור) ומשטרה, כולל רשות האוכלוסין. יפה. אז כשמדובר על ההתנגדות לשיטת שמיר, יש לנו את השב”כ, את לוט”ר ואת המשטרה. ואומר גם אמנון בן עמי: ככל שהתקדמנו ושמענו יותר גופים והנציגים שלהם יושבים פה, שירות הביטחון הכללי, לוט”ר, משטרת ישראל, השתכנענו להמליץ על השיטה של אחד לאחד.

שוב - השב”כ, לוט”ר והמשטרה. כוחות הביטחון הם אלו שהטו את הכף נגד שיטת שמיר. וכאן אני חייב לתהות - למה?

בואו ניזכר מה אמר נציג המז”פ דוד אטיאס בדיון של יוני 2009:

זה המקום לומר שאם במאגר הזה יש לנו טביעות אצבע שטוחות של שתי האצבעות המורות, הסיכוי שלי שבזירת העבירה אני אמצא טביעת אצבע שתהיה בדיוק אחת מן השתיים האלה, נוטה לאפס. לכן השימוש במאגר הזה על-מנת לפענח פשעים הוא לא קיים. דורון שקמוני ניסה להזכיר את הציטוט הזה במהלך הישיבה האחרונה: הוא אמר בצורה ברורה, שנרשמה בפרוטוקול, שאין שום סיכוי שטביעת אצבע שנלקחה מזירת פשע תהיה בינה לבין טביעת אצבע שנמצאת במאגר הביומטרי הצפוי המתוכנן התאמה כלשהי. הוא לא אמר ‘שום סיכוי’ ,הוא אמר ‘הסיכוי הוא אפסי מאוד’. אני חושב שכדאי שנזכור את זה כאשר אנחנו מנפנפים בכל מיני סיועים כאלה ואחרים למערכת—

ולזה הגיב שטרית נחרצות (תוך שהוא קוטע את שקמוני) ב”זה לא מה שהוא אמר”. כלומר, שטרית לא זוכר (או בוחר לא לזכור) את הדברים העקרוניים ביותר שנאמרים בדיוני הועדה שבראשותו, כשהם עוסקים בחוק שהוא עצמו יזם, ומשתמש בחוסר הידע הזה כדי להפריע לביקורת על המאגר. זה אופן התנהלות הדיון, אם למישהו היו אשליות.

אני לא איש כוחות הביטחון ולא יודע איך הם מתכוונים להשתמש במאגר, וכמובן שהם לא אומרים זאת. הבעיה שדוד אטיאס מצביע עליה לא קיימת אם נתון בידי כוחות הביטחון אדם שהם יכולים לקחת ממנו טביעות אצבע באופן חופשי כדי לבדוק מהי זהותו - אולי זה השימוש שאליו הם חותרים? ואולי יש להם דברים יותר יצירתיים? לא יודע. הבה וניתן לד.ג., שהוא ראש תחום חקיקה, לשכה משפטית, שב”כ, משרד ראש הממשלה, לדבר על שיטת שמיר:

אנחנו התייחסנו לסוגיה בשני היבטים. ההיבט האחד זה ההיבט האבטחתי וההיבט השני זה ההיבט הסיכולי, החקירתי מודיעיני. בהיבט האבטחתי, שירות הביטחון הכללי, כמי שאחראי על אבטחת המאגר, אבטחת המידע, יידע לאבטח את המאגר בשתי השיטות. למרות שראוי לציין ששיטת פרופ’ שמיר אין לגביה שום ניסיון ושאפשר לומר פה דעה נחרצת בעניין.

לגבי ההיבט הסיכולי, לתכלית המודיעינית, החקירתית והסיכולית, עדיפה השיטה של אחד על אחד משום שאנחנו חייבים לקבל מידע ומענה ממוקד, מדויק ובזמן אמת ולא מתוך מאגר או מגרה של—

יפה. אם כן שוב, הבעיה האבטחתית של שמיר היא משנית, והבעיה האמיתית היא פגיעה בתכלית המודיעינית, שבה חייבים “מענה ממוקד, מדויק, ובזמן אמת”. איפה זה ואיפה ה”כאמצעי אחרון בלבד” והבירוקרטיה המשפטית שהבטיחו לנו? לא ברור לי כלל מה המטרה שלשמה זקוקים כוחות הביטחון בשביל המאגר, וייתכן מאוד שמדובר כאן רק על מטרות נעלות וחשובות מאין כמותן שבזכותן אנחנו יכולים לישון בלילה - אבל מה שכן ברור לי הוא שאי אפשר לסמוך על שום דבר ממה שנאמר בדיונים הללו. אם מבטיחים לנו בהן צדק שהמאגר לא ישמש למטרה מסויימת, אני לא מאמין לכך.

יותר מכך, אני חושב שמהדיון הזה עולה בבירור שהתכלית המודיעינית, גם אם לא הייתה התכלית המקורית שבגלל עלה רעיון המאגר הביומטרי, הפכה לסיבה העיקרית שמאחוריו, ולא עניין ההרכשה הכפולה של תעודות זהות ביומטריות. זה מה שמכתיב את הטון בדיונים על אופי השיטה שהולכים להשתמש בה. כמו שאמר דורון שקמוני:

אני חושב שנחשפת מתוך הדברים האלה המטרה האמיתית של מרכיב המאגר שבחוק.

לזה הגיב שטרית באופן משכנע ב”ממש לא”. ובכן, ממש כן.

עניין ה”זמן אמת” הוביל לדיון משעשע במיוחד, שאני רוצה להביא כאן בשלמותו:

יהונתן קלינגר: המלים ‘זמן אמת’ קצת לא הולכות בקנה אחד עם תנאי הגישה של סעיף ‎14 לתקנות.

ברוך דדון: פיגוע רב נפגעים כרגע, ‎30 הרוגים.

יהונתן קלינגר: יש סעיף שאומר שלא יהיה ערוץ תקשורת מהמאגר.

היו”ר מאיר שטרית: אין שום ערוץ תקשורת.

יהונתן קלינגר: אז איזה ‘זמן אמת’?

היו”ר מאיר שטרית: יהונתן, אתה מנסה—

יהונתן קלינגר: לא, אני אומר שהטענה של ‘זמן אמת’ קצת לא מחזיקה—

היו”ר מאיר שטרית: אני אענה לך על זה. זמן אמת פירושו שאם הוא שולח טביעת אצבע לזיהוי, הוא לא יקבל ‎500 איש לבדיקה. הוא יקבל את האיש שהוא שלח את טביעת האצבע שלו. זה זמן אמת. הוא יחכה חצי שעה, שעה, מאתרים את האיש ואומרים, ‘זה האיש’. אם זה ‎500 איש, זה ייקח שבועיים.

יהונתן קלינגר: אז קודם כל כשעדי שמיר דיבר על שיטת המגרות הוא דיבר על מספרים יותר קטנים—

היו”ר מאיר שטרית: 1,000 איש.

יהונתן קלינגר: הוא דיבר על באזור ה-100.

היו”ר מאיר שטרית: תסלח לי, 1,000 איש. אל תמציא דברים, אתה לא היית פה, אני הייתי ואין לי סיבה לשקר לך.

יהונתן קלינגר: בסדר, גם ב-‎1,000 איש תמיד אפשר, באמצעות חיתוכים סטטיסטיים נוספים, שכוללים גם מיקומים—

אברהם מיכאלי: כמה שניות זה לוקח?

יהונתן קלינגר: חיתוכים סטטיסטיים של גיל, מגדר, מקום וכדומה, להגיע לנתונים האלה אולי—

היו”ר מאיר שטרית: לפי מה תעשה חיתוכים סטטיסטיים? יש לך טביעת אצבע. איך תעשה חיתוך סטטיסטי, לפי מה?

יהונתן קלינגר: מקום מגורים, תיקול סלולרי של אותו אדם, בלי להגיע ל—

היו”ר מאיר שטרית: איך תעשה חיתוך? אני לא מבין. יש לך 1,000 איש, יש לך טביעת אצבע אחת, איך תעשה חיתוך?

יהונתן קלינגר: מה זאת אומרת? יש לך טביעת אצבע שיכולה להיות כוללת ל-‎1 מ-‎1,000 איש, אז קודם כל תוכל להעיף לדוגמה, אם אתה חושד בפשע, כל מיני קשישים, כל מיני אנשים ש—

היו”ר מאיר שטרית :למה? איך תעיף?

נראה ששטרית מתעקש כאן בכוח לא להבין שאפשר לבצע עוד סינונים, כמו שהמשטרה עושה בימינו. כנראה גם יהושע שופמן הרגיש כך, כי מאוחר יותר הוא ניסה לחזור לדיון ולהבהיר את הנקודה הזו. התוצאה היא דיון עוד יותר משעשע מאשר קודמו:

יהושע שופמן: נציג שירות הביטחון הכללי דיבר על התכלית הסיכולית. התכליות של ביטחון המדינה וביטחון הציבור בוודאי צריך להיות חשובות, אבל נדמה לי שזאת תהיה טעות לבוא ולהגיד ששיטת המגרות תחייב להזמין כל פעם ‎‎1,000 אנשים למשטרה, זה פשוט לא נכון. זה כמו להגיד שאם יש זיהוי בזירה של מכונית עם מספר רישוי חלקי ויש רשימה של ‎‎1,000 איש, אז כולם הופכים להיות חשודים. זה לא נכון. בתוך המגרה אנחנו מדברים על גברים ונשים, צעירים וקשישים—

היו”ר מאיר שטרית: איך אתה יודע של מי הטביעה? אתה מקבל טביעת אצבע, איך אתה יודע של מי הטביעה, אישה או גבר? קשיש או נמוך?

יהושע שופמן: כאשר עושים רשימה אפשרית של נניח ‎700 איש, אז מול מרשם האוכלוסין יודעים שמבין ה-700 איש האלה יש גברים ונשים.

היו”ר מאיר שטרית: אבל איך אתה יודע של מי הטביעה, אם זה גבר או אישה? אתה לא יודע של מי הטביעה, אתה מוצא טביעת אצבע, אתה רוצה לדעת של מי זה.

יהושע שופמן: הטביעה מובילה לרשימה—

היו”ר מאיר שטרית: איך תדע אם זה נשים או גברים? אתה לא יכול לדעת.

יהושע שופמן: הטביעה הזאת מובילה לא לאדם אחד, אלא ל—

היו”ר מאיר שטרית: ל-‎‎1,000 איש.

יהושע שופמן: לא יודע, דובר על—

היו”ר מאיר שטרית: יהושע, מאחר שאני הייתי בדיון הזה, לפחות ‎1,000 איש.

יהושע שופמן: נדמה לי שדובר—

יהונתן קלינגר: ‎700.

יהושע שופמן: את הרשימה הזאת ניתן לתרגם—

היו”ר מאיר שטרית: לא ניתן לתרגם, זאת טעות שלכם. אתם אומרים דברים לא נכונים. אתה מקבל טביעת אצבע, אין לך שום סימן לפיו אתה יכול לעשות חיתוך ב-‎1,000 איש, כלום, איך תדע? לפי מה? תסביר לי, אני רוצה להבין בעברית איך תדע את מי לסנן החוצה.

יהושע שופמן: אז אני אשוב לדוגמה של שוטרי רכב.

היו”ר מאיר שטרית: זו לא אותה דוגמה. תגיד לי איך אתה תסנן מישהו החוצה מתוך ה-‎‎1,000 איש, להגיד, ‘את זה אני מזמין, את זה אני לא מזמין’.

יהושע שופמן: ידוע שבזירת אירוע היה אוטו עם מספר רישוי ואני יודע את המספר החלקי, יש ‎100 מכוניות מהסוג הזה, ‎100 מכוניות בבעלות 100 אנשים, אולי 200 אנשים בבעלות משותפת. ואז עם המידע הזה אפשר לדעת מי מהם הם מתגוררים באזור.

היו”ר מאיר שטרית: מי אמר שמי שגר באזור היה? אולי בא מנצרת לתל אביב?

יהונתן קלינגר: זה תהליך חקירה.

היו”ר מאיר שטרית: תודה רבה, תחקור 700 איש.

יהושע שופמן: לא, מה שאני אומר זה שאתה לא מקבל תשובה אחת, ואתה גם לא צריך לזמן ‎1,000 איש לחקירה, זה פשוט דחליל שלא קיים.

היו”ר מאיר שטרית: אני מצטער, יהושע, אתה טועה בגדול. אני מנסה להסביר לך את זה, אתה לא רוצה להקשיב. אתה טועה בגדול. אתה מקבל טביעת אצבע בלתי מזוהה של אדם שנמצא בתוך מגרה. כשאתה מבקש לדעת זהות של האיש, אתה מקבל רשימה של ‎‎1,000 איש לפי עדי שמיר, אתה לא יכול לסנן אותם, לא יכול לחתוך, לא יודע אם זה גבר או אישה, אם זה קשיש או מבוגר, אתה לא יודע כלום.

יהונתן קלינגר: אבל קיבלת רשימה.

היו”ר מאיר שטרית: קיבלתי רשימה, אבל איך תדע את מי?

יהונתן קלינגר: כי יש לה את הפרטים, כי יצאו—

היו”ר מאיר שטרית: אבל איך תדע של מי הטביעה?

יהושע שופמן: חבר הכנסת שטרית, אתה תסכים איתי שאם הזירה היא זירה של נניח לצורך העניין פריצה, אז אפשר להוריד את בני ‎4 ו-‎5, נכון?

היו”ר מאיר שטרית: מאה אחוז.

יהושע שופמן: אז הסכמנו על העיקרון. הסכמנו שמהרשימה הארוכה הזאת—

יהושע שופמן: לא טביעת אצבע, תווי פנים.

היו”ר מאיר שטרית: אין תווי פנים, יש טביעת אצבע.

יהונתן קלינגר: את הקשישים אפשר ל—

היו”ר מאיר שטרית: אתה רואה שאתה מסתבך עם העניין. השיטה של עדי שמיר פוגעת בפרט בצורה החמורה ביותר, בעיניי, כי הסכנה להזמין מאות אנשים שאין להם שום שייכות לעניין, מעצם היותם במגרה, היא בעיניי הפגיעה הכי חמורה בפרטיות של האזרח. אני לא מבין למה אתם מנסים להגן על זה.

אני חושב שהציטוט הזה מבהיר יפה מאוד הן את איכות הדיונים שהלכו בועדה הזו והעומק שאליו הם הגיעו, והן איזה צד מדבר לעניין ואיזה צד עושה צחוק מהצד השני. הרי לכם דיון על הבעיה החמורה ביותר בשיטת שמיר על פי שטרית, ומישהו שאומר בדיוק שהבעיה הזו היא דחליל, ושטרית מתעקש בכוח רב ביותר לא להבין שום דבר ממה שאומרים לו ומדוע זו אכן בעיה, חוזר שוב ושוב על אותו טיעון פשטני ושגוי שלו, ובסוף סוגר את הדיון (לא חזרו יותר לדון בכך) ב”אתה רואה שאתה מסתבך עם העניין”.

כנסת ישראל.

השורה התחתונה של כל הדיון הזה על כוחות הביטחון נאמרה בדיון עצמו על ידי יהונתן קלינגר (ולא זכתה לשום התייחסות):

המטרה של החוק היא לא לשרת את המשטרה. המטרה של החוק היא לייצר מערך הנפקה אמין ואיכותי. אם הרציונל היחיד להשתמש בשיטת אחד על אחד הוא רציונל של לרצות את רשויות אכיפת החוק, אז צריך היה לכתוב את זה שחור על גבי לבן בחוק.

אז היה צריך. אבל יותר קל לעבוד על הציבור, כנראה. אני מקווה לפחות שעכשיו לא יהיו לציבור אשליות בנוגע לכך. בנוסף, אני מקווה שעכשיו גם ברור לכולם מדוע שיטת שמיר נדחתה על הסף.

האם הליך החקיקה היה משביע רצון?

זכות הדיבור למאיר שטרית:

תהליך החקיקה, אדוני, היה אחד התהליכים היסודיים ביותר שנעשה בכנסת.

לצורך הדיון, אני מוכן להאמין לשטרית בכל לבי. כמובן שזה יכול רק לומר דברים מדאיגים ביותר על הכנסת בכללותה, לא לחזק את אמינות תהליך החקיקה הספציפי הזה.

מצד שני, הבה ונביא ציטוט שהופיע גם במאמר של קלינגר (ומכיוון שאני יכול להרשות את זה לעצמי, בלי עריכה):

יהושע שופמן: באמת גם נאמר שהיה הליך מטה מאוד מסודר, רק שהתקנות לא פורסמו לעיון הציבור קודם לכן, לכן לא היתה הזדמנות לגופים, למשל כמו המועצה להגנת הפרטיות וגופים אחרים, להעיר הערות ולכן אנחנו נאלצים להעיר אותן עכשיו. חבל, הייתי שמח אילו לפני האישור הסופי תינתן הזדמנות להעביר הערות בכתב, יותר מפורטות. אני מבין שאפילו משרדי הממשלה לא לגמרי—

היו”ר מאיר שטרית: אתה רוצה לומר לי שפרסמו את כל התקנות הממשלתיות בציבור לפני הבאתם לדיון בכנסת?

יהושע שופמן: לא, ב—

היו”ר מאיר שטרית: לא דובים ולא יער.

אבנר פינצ’וק: אדוני, זה לא מצחיק, יש הנחיית יועץ משפטי בעניין.

היו”ר מאיר שטרית: לפעמים כן, לפעמים לא.

אבנר פינצ’וק: יש הנחיית יועץ משפטי לממשלה ב—

היו”ר מאיר שטרית: סלח לי, מאחר שאני חי בכנסת הזו הרבה מאוד שנים, אז היו הרבה תקנות שפורסמו והרבה תקנות שלא פורסמו.

אבנר פינצ’וק: זה לא בסדר.

היו”ר מאיר שטרית: מה לעשות, אני יכול להעיד על זה יותר טוב מכולם.

יהושע שופמן: זה בוודאי ובוודאי נכון והמבחן אמור להיות ככל שיש נגיעה וחשיבות ציבורית אז יש מקום, ולו זו בלבד, אלא לפעמים ההליך בכנסת הוא הליך שמאפשר את שיתוף הציבור, באמת כמו שכבר הוער רק לפני ימים מספר.

היו”ר מאיר שטרית: מאה אחוז, לכן אנחנו יושבים פה באמת. אני רק רוצה להעיר שוועדת המדע פרסמה את התקנות והן מתחילת השבוע באתר.

אז בגרסה הכי ליברלית כאן ניתן להאמין שהתקנות היו זמינות לעיון במשך חמישה ימים תמימים לפני שהתקיים הדיון הזה. ומי שאופן ההתנהלות הזה מפריע לו? ובכן, מה לעשות.

אוקיי, אז הליך החקיקה היה “יסודי”. האם הוא גם היה גלוי לציבור?

עירא אברמוב: דבר אחרון לגבי 10, את כל הסטטיסטיקות האלה שיאספו וידווחו כל חצי שנה, זה גם יהיה פתוח לציבור?

היו”ר מאיר שטרית: ברגע שזה מדווח בכנסת, זה פתוח לציבור.

יהונתן קלינגר: לא, הדיווחים בכנסת חסויים.

עירא אברמוב: היו בשנה האחרונה הרבה דיונים חסויים, בלי פרוטוקולים.

היו”ר מאיר שטרית: לא היה שום דיון חסוי אף פעם. אתם פשוט ממציאים.

עירא אברמוב: —בגלי צה”ל.

היו”ר מאיר שטרית: גלי צה”ל? באמת אורים ותומים, אפשר לתבוע איתם דיבה על זה.

עירא אברמוב: יצאו החוצה פרוטוקולים של ישיבה בנובמבר—

היו”ר מאיר שטרית: לא היתה שום ישיבה. תסלח לי, אני חוזר ואומר, אני לא מבין למה אתה מתעקש לחזור על זה, לא היתה שום ישיבה ולא היה שום פרוטוקול. היחידים שכותבים פרוטוקול זה הכנסת, כשעושים ישיבה בכנסת, לא אף אחד אחר.

יהנותן קלינגר: דין וחשבון כאן מוגש רק לשרים, הוא לא מוגש לוועדה.

היו”ר מאיר שטרית: לא היתה שום ישיבה. שני אנשים שמדברים ביניהם זו לא ישיבה.

קראו נא אצל עירא אברמוב עצמו על אותה ישיבה. אם מאמינים למה שנכתב שם, מסתבר שאצל שטרית “שני אנשים” זו דרך אחרת לומר “15 אנשים”. מיותר לציין שמקריאת רשימת הנוכחים בדיון (שלא התקיים מעולם וצריך לתבוע את גלי צה”ל על כך שהם טענו שכן) לא נראה שהשתתף שם נציג כלשהו של מתנגדי המאגר הביומטרי. אז ההליך הוא ככל הנראה יסודי מאוד, אבל גם חד צדדי מאוד. אנחנו צריכים לשאול את עצמנו - האם אנחנו באמת סומכים על הממשלה ועל ועדת המדע בראשות מאיר שטרית שהם פעלו באופן שבו זכויות אדם עמדו כל הזמן לנגד עיניהם?

צריך לזכור את הדבר הזה כשתוהים איך בדיוק המדינה עומדת להשתמש במאגר הביומטרי, והאם מחרתיים בבוקר נקום ונגלה שכללי המשחק שלו השתנו עוד קצת, ואז עוד קצת, ואז עוד קצת, ופתאום אפשר להשתמש בו נגדנו באופן שבכלל לא חשבנו עליו. ואז כמובן שכבר יהיה מאוחר מדי - המידע כבר יהיה בידי המדינה, ולא מדובר על מידע שאפשר לשנות.

אז מה הולך לקרות בפיילוט?

בזכות הלחץ הציבורי שהתעורר כשעניין המאגר הביומטרי רק התחיל להתגלגל, התקבלה מין הצעת פשרה - לפני שהמאגר יהפוך לעובדה מוגמרת וכולנו נאולץ לתת טביעות אצבע, עושים “פיילוט” של שנתיים שבא לבדוק את… ובכן, למה שאני אדבר? הבה וניתן לחוק לדבר בעד עצמו. גבירותי ורבותי, החוק הביומטרי:

השר יקבע, בהתייעצות עם שר האוצר ושר המשפטים ובאישור ועדת הכנסת המשותפת, בצו, תקופת מבחן של שנתיים שבמהלכה יחולו ההוראות לפי חוק זה על תושבים שיתנו הסכמתם לכך בכתב, במטרה לבחון בתקופה זו את אופן היישום של הוראות לפי חוק זה על תושבים אלה, את נחיצות קיומו של מאגר ביומטרי ומטרותיו, את המידע שיש לשמור במאגר ואת אופן השימוש בו (להלן - תקופת מבחן); בצו כאמור ייקבעו בפירוט העניינים שייבחנו בתקופת המבחן, המדדים להצלחתו ואופן קבלת ההסכמה מאת תושבים להחלת הוראות לפי החוק לגביהם בתקופת המבחן; בתקופת המבחן יחולו ההוראות לפי חוק זה בהתאם לצו האמור.

הפיילוט הזה הוא מה שעל פיו יקום ויפול דבר. לכאורה, הפיילוט הוא ה-Last, best hope של מתנגדי המאגר לעצור את התהליך. בפועל, האם מישהו מטיל ספק בכך שיהיה מדובר על משחק מכור מראש?

יש מטילי ספק? טוב, אז בואו נראה מה אומרים על הפיילוט באותה ישיבה של יוני 2011. בואו ננסה להבין איך מדינת ישראל בוחנת פרוייקט חדש כמו המאגר הביומטרי. כמובן ששם המשחק הוא מדדים - רק מדדים יכולים לקבוע אובייקטיבית אם הפיילוט הצליח או נכשל. המדדים אמורים להופיע (בפירוט) בצו - אותו צו שעליו דנו בישיבה של יוני 2011. הבה ונחפש שם את המדדים. הנה הדיאלוג המרכזי בעניין:

יהונתן קלינגר: איפה מופיע בצו המדדים?

נעמה פלאי: —זה לא נכון יהיה לכתוב את זה בצו.

היו”ר מאיר שטרית: אפשר למחוק את הסעיף.

נעמה פלאי: אפשר למחוק.

היו”ר מאיר שטרית: ונגמר העניין.

יהונתן קלינגר: אבל אז אין לך מדדים להצלחה.

היו”ר מאיר שטרית: יש מדדים בחוק .

יהונתן קלינגר: לא, אין מדדים, המדדים חייבים להיות בצו ואם הם לא מופיעים בצו, לצו לא יהיה תוקף.

עידו בן יצחק: יש את המדדים של סעיף ‎10.

יהונתן קלינגר: אבל הם לא מדדים—

היו”ר מאיר שטרית: אתה לא קובע מה המדדים, השר קובע מה המדדים.

וזהו. כמו ששטרית אומר, “נגמר העניין”.

טוב, רגע, אולי לא נגמר - מה קורה בסעיף 10 המדובר? הבה ונראה אותו.

“תיעוד בדיקות מול מאגר ובקרה. ‎10. במשך תקופת המבחן יתועד באופן ממוכן ככל שניתן, או יבוצע תיעוד ידני, על ידי עובד הרשות או עובד רשות האוכלוסין לפי העניין במקרים בהם לא ניתן לבצע תיעוד ממוכן, המידע שלהלן, באופן שאין בו כדי לזהות את התושבים לגביהם נאסף המידע:

“(1) מספר הפעמים בהם העבירה הרשות תוצאות זיהוי אל עובד רשות האוכלוסין;

“(2) מספר הפעמים בהם התקבלה תוצאת זיהוי מוטעית עבור אמצעים ונתונים ביומטריים שהועברו לרשות, או עבור בדיקות אימות נוספות שתבוצענה על גבי האמצעים או הנתונים הביומטריים במאגר, ובכלל זה דחייה מוטעית או קבלה מוטעית, תוך בדיקת ההנחה כי לגבי תמונות תווי פנים, מספר המקרים של קבלה מוטעית לא יעלה על ‎1 מתוך כל ‎5,000 נטילות, ומספר המקרים של דחייה מוטעית לא יעלה על ‎1 מתוך ‎250 נטילות, ואילו לגבי תמונת טביעת אצבע, מספר המקרים של קבלה מוטעית לא יעלה על ‎1 מתוך כל ‎10,000 נטילות, ומספר המקרים של דחייה מוטעית לא יעלה על ‎1 מתוך ‎100 נטילות;

“(3) משך הזמן הדרוש לקבלת תוצאת זיהוי והעברתה לידי עובד רשות האוכלוסין;

“(4) מה מידת ההתאמה שנמצאה בהתאם למאפיינים שנמדדים עבור כל אחד מהאמצעים הביומטריים;

“(5) מספר הפעמים בהם נעצרה ההנפקה, והסיבות לעצירה;

“(6) באיזה שלב נעצרה ההנפקה לאחר קבלת תוצאת זיהוי;

“(7) פרטי אירועי אבטחת מידע במאגר, ככל שיהיו.

בתקנה זו, “דחייה מוטעית” - מצב בו תוצאת הזיהוי הראתה אי התאמה בין אמצעי הזיהוי הביומטריים שניטלו, או נתוני הזיהוי הביומטריים שהופקו מהם, לבין האמצעים או הנתונים הביומטריים הכלולים במאגר, במקום בו היתה התאמה.

“קבלה מוטעית” - מצב בו תוצאת הזיהוי הראתה התאמה בין אמצעי הזיהוי הביומטריים שניטלו או נתוני הזיהוי הביומטרי שהופקו מהם, לבין האמצעים או הנתונים הביומטריים הכלולים במאגר, במקום בו לא היתה התאמה”.

הסעיף הזה מתאר היטב את הנתונים שצריך לאסוף במהלך הפיילוט; מה שהוא לא קובע הוא מדדים להצלחה. הדבר הקרוב ביותר לכך הוא מה שהם כותבים על קבלה או דחייה מוטעית, שהן בעיות שוליות יחסית של המאגר.

בכל זאת, מישהו מהקהל החליט לדבוק במדד הזה ולשאול את השאלה הפשוטה - האם זה מדד לכישלון? בלשונו, “אם זה עולה על זה, אז מבוטל הפיילוט אחרי שנתיים?”. שטרית ענה:

לא, ישקלו, מי שצריך לקבל החלטה יקבל את הנתונים ויחליט. ועדת השרים לענייני ביומטריה תצטרך לשבת עם התוצאות של הניסוי, לראות את התוצאה, להבין מה, מי נגד מי ולהחליט. אם זה היה תלוי בי, לא היה פיילוט כזה בכלל. אני אומר לך את דעתי. זה אינטרס של המדינה, לא הייתי שואל, לא הייתי עושה פיילוט, עם כל הכבוד.

זה בעצם מעיד על כך שכל הדרישה למדדים היא משחק אבוד מראש. יהיה פיילוט. יצטברו נתונים. אחר כך תשב ועדת השרים ותחליט. כמובן, כולנו מאמינים שהיא תחליט באופן ענייני לחלוטין.

בהמשך מתברר שבעצם אף אחד לא יודע איזה מדדים צריך, ושבכלל אי אפשר לקבוע מדדים:

אבנר פינצ’וק: אלה כל מיני דברים שהחוק קבע שאותם יש לבחון בפיילוט ועכשיו בצו צריכים לפרוט את כל הדברים האלה למטרות משנה, או לבחינות משנה, ולקבוע מדדים לגביהם, ורק אז אנחנו גם נוכל לראות האם באמת הוראות התיעוד הן מספיקות, כי יכול להיות שצריך לתעד עוד דברים.

היו”ר מאיר שטרית: אני לא בטוח שאפשר לקבוע מדדים לכל עניין. תיעוד של התוצאות הוא יהיה בעצם, כשיצטרכו להחליט אם זו הצלחה או לא הצלחה, יבחנו את התוצאות ויקבעו, אם בעיניהם זו הצלחה או לא הצלחה.

אבנר פינצ’וק: זה מה שאני שואל את מי ש—

היו”ר מאיר שטרית: אבל אתה לא יכול לקבוע מראש מדדים, איך תדע לקבוע מדדים?

אבנר פינצ’וק: אם הייתי חושב שאדוני בנה—

יהושע שופמן: השר צריך לקבוע את המדדים בצו.

היו”ר מאיר שטרית: שהשר יקבע לעצמו ויידע לוועדת השרים מה הוא רוצה.

וככה זה נמשך עוד ועוד. השורה התחתונה של כל העניין הזה הוא שהאופוזיציונרים, כשהם מדברים על “מדדים”, רוצים סף מסויים שמכשיל את המאגר - אין טעם במדדים אם המאגר עובר את הפיילוט בהצלחה בכל מקרה. אז בסופו של דבר מגיעים בדיוק לנקודה הזו:

עירא אברמוב: מדדים זה נחמד, אבל מה הסף שאומר, ‘המדד הזה מראה על הצלחה או כישלון’.

היו”ר מאיר שטרית: אנחנו לא קובעים מראש את הסף, מכיוון ש—

אבנר פינצ’וק: אדוני למד ביולוגיה, אתה יודע שמחקר צריך—

היו”ר מאיר שטרית: אבל זה לא מחקר, שוב פעם. זה לא מחקר, אנחנו לא קובעים את הסף מראש, כי אנחנו לא יודעים, לא מנוסים במאגר ביומטרי או בתעודות ביומטריות.

אבנר פינצ’וק: אנחנו לא מנוסים, אבל מאגרים יש.

היו”ר מאיר שטרית: בוועדת השרים יהיו התוצאות של הבדיקות והם יחליטו אם זה מוצלח או לא מוצלח.

כלומר: הפיילוט זה לא מחקר; לא בודקים הצלחה כי לא יודעים איך להגדיר הצלחה; בועדת השרים יחליטו מהי הצלחה; ואנחנו לא מנוסים וזה מתרץ את זה (למרות שגם שיטת שמיר נכשלה בגלל חוסר נסיון). העיקר ששטרית לא רוצה להיות שפן ניסוי.

היה עוד נסיון להתעקש על מתודולוגיה כלשהי:

אבנר פינצ’וק: מה עם מדגם מייצג? ואני לא שואל סתם. אם אנחנו עושים מבחן אמיתי, זה צריך להיות מדגם מייצג. סתם לשם הדוגמה, אם נניח שאוכלוסיית הג’ינג’ים היא עשויה להיות בעייתית בפרמטרים מסוימים, אז אני חייב שיהיה לי איזה שהוא ייצוג במדגם.

היו”ר מאיר שטרית: זה מחקר חברתי?

אבנר פינצ’וק: לא, לא. אדוני, אני אמרתי ג’ינג’ים וכולם יודעים למה, כי אני לא רוצה להתחיל ללכת לכל אלה שבדרך כלל עשויים להיות יותר, לפי כל מיני—

היו”ר מאיר שטרית: אני לא מבין מה אתה רוצה.

אבנר פינצ’וק: אני רוצה שיוודאו שיש פה מדגם מייצג.

היו”ר מאיר שטרית: למה מדגם מייצג?

אבנר פינצ’וק: כי כל מחקר, אדוני—

היו”ר מאיר שטרית: עם כל הכבוד, זה לא מחקר. תסלח לי, זה לא מחקר ולא הולכים לעשות שום מחקרים, הולכים לעשות פיילוט וולונטרי למי שמעוניין להירשם במאגר הביומטרי ולקבל תעודה ביומטרית. זה הכל. זה לא מדגם מייצג, לא מחקרים—

יהונתן קלינגר: לפיילוט יש מטרה.

היו”ר מאיר שטרית: אנחנו לא עושים שום מחקרים.

אם כן, חד משמעית, הפיילוט אינו מחקר. לא בודקים האם המאגר הביומטרי יהיה מוצלח או לא. אז מה בעצם כן בודקים…? לא יודע. נראה לי שהפיילוט קיים בגלל הלחץ הציבורי וכדי לתת מראית עין כלשהי; שטרית עצמו כבר אמר שוב ושוב כמה הוא מתנגד לו.

פינצ’וק עוד התעקש:

אבנר פינצ’וק: בסופו של דבר אנחנו צריכים להגיד כן או לא, נכון? לכל הפחות, נצטרך להגיד האם זה היה כך, האם זה הצליח—

היו”ר מאיר שטרית: לא חייבים להגיד על כל דבר. על העיקר צריך להגיד, לא על כל דבר.

אבנר פינצ’וק: על זה אנחנו לא מתווכחים כרגע. כל שאלה שאדוני יציב, נצטרך לענות עליה, עונים עליה בכן או לא בסוף, באחוזים.

היו”ר מאיר שטרית: נו?

אבנר פינצ’וק: זה מחקר, אדוני. אלא אם כן—

היו”ר מאיר שטרית: בסדר, תקרא לזה מחקר, אם זה מה שאתה רוצה. תקרא לזה מה שאתה רוצה. מאה אחוז, שמעתי.

אבנר פינצ’וק: אבל—

היו”ר מאיר שטרית: נגמר, שמעתי אתכם, לא מקבל. יש דברים שאני לא מקבל, מה לעשות. אני לא חייב לקבל מה שאתה אומר. אבנר, אני לא מקבל את מה שאתה אומר, נקודה.

שמעתם? יש דברים ששטרית לא מקבל. וכך הסתיים לחלוטין הדיון על מדדים. הדיאלוג המביך בין פינצ’וק ושטרית (מביך עבור אחד מהצדדים) נמשך עוד מספר דקות - אתם מוזמנים לחפש אותו בפרוטוקול אם דעתכם על שטרית עודנה חיובית.

טוב, אז הפיילוט לא יכול להכשיל את המאגר. כמו ששטרית אומר, “הניסוי נועד לבחון את הפקת התעודות הביומטריות, לא אם לעשות מאגר או לא לעשות מאגר”. אולי זה עדיין מוזר לחלקכם שרואים שבחוק הביומטרי עצמו אומרים שהפיילוט מיועד לבחון את עצם קיום המאגר - בפרט, את נחיצות קיומו. גם לזה התייחסו בדיון

יהונתן קלינגר: במטרה לבחון את אופן היישום של ההוראות לפי חוק זה, את נחיצות קיומו של מאגר ביומטרי.

היו”ר מאיר שטרית: כל החוק עומד על נחיצות קיומו.

יהונתן קלינגר: לא, החוק מטרתו לבחון את הנחיצות, במיוחד תקופת—

היו”ר מאיר שטרית: לא, החוק לא מטרתו לבחון את הנחיצות. החוק הוא להקים מאגר. שטרית כבר נעול על כך שמאגר קום יוקם, ובכל פעם שמצביעים על כך שהוא פשוט טועה במצח נחושה, הוא מנפנף את המצביעים. לרוע המזל, הוא יו”ר הועדה, ולכן הטעויות שלו הן האמת שנקבעת בסופו של דבר.

אז למי שהיו לו תקוות כלשהן מהפיילוט: שלא יהיו. זה מסך עשן.

אז מה השורה התחתונה של כל זה?

תסמכו עלי, לא מיציתי את כל מה שאפשר למצות מהפרוטוקול. אבל הפוסט הזה כבר ארוך מדי, ואני חושב שהנקודה הובהרה היטב; מי שמעוניין להזדעזע עוד קצת יכול לקרוא את הפרוטוקול בעצמו. למרות זאת, אני לא יכול להתאפק ורוצה להביא כאן ציטוט שאהבתי במיוחד, שהגיע מייד אחרי שיורם אורן סיים להקריא את רשימת המדינות שבהן יש סוג כלשהו של מאגר ביומטרי:

יהונתן קלינגר: אבל אין מדינה שבה חובה על כל אזרח לבוא ולתת את אצבעותיו על מנת להיות אזרח במדינה.

יורם אורן: קח כדוגמה את הודו.

היו”ר מאיר שטרית: אין חובה. בפיילוט אין חובה. מי שלא רוצה דרכון, שלא ייתן. אף אחד לא מכריח אותך להוציא דרכון.

יהונתן קלינגר: תעודת זהות יש לי חובה לשאת, ואני לא רוצה.

היו”ר מאיר שטרית: נכון, אל תוציא תעודת זהות.

יהונתן קלינגר: תעודת זהות זו עברה פלילית לא לשאת.

היו”ר מאיר שטרית: מבחינתי אל תוציא, יהונתן.

ה”מבחינתי אל תוציא” הזה היה קומי אלמלא זה היה האופן שבו שטרית סיים את הדיון על הנקודה שיהונתן קלינגר העלה. זה האופן שבו כל דיון על נקודה מהותית שהאופוזיציה העלתה נסתיים - בהערה מתחכמת כלשהי של שטרית שאחריה הוא קטע את הדיון לחלוטין. זה אופי הועדה, וזה האופן שבו ההחלטות על החוק הביומטרי מועברות כשיש דיון שפתוח לאופוזיציה (כאמור, יש גם דיונים סגורים יותר).

לכן, אם תשאלו אותי מה השורה התחתונה שלי, התשובה פשוטה: אני סומך על יורם אורן שהוא יודע מה שהוא עושה ושהמאגר שייבנה יעמוד בקריטריוני האבטחה שהמדינה תקבע. לרוע המזל, אני לא סומך בשום צורה על המדינה - לא שההליך שבו היא תחליט מה בדיוק יהיה במאגר יהיה תקין ולא שהשימוש שהיא תעשה במאגר יהיה תקין. נראה לי די ברור שמטרתו האמיתית של המאגר היא לשמש את כוחות הביטחון במה שזה לא יהיה, ושחלקים נכבדים מהליך היצירה של המאגר כוללים עבודה בעיניים על הציבור.

נהוג לומר שלא צריך לייחס לרוע את מה שאפשר לייחס לטיפשות. אז לסיום יש לי שאלה אחת לקוראים - האם אתם חושבים שאפשר להיות עד כדי כך טיפש?

נהניתם? התעניינתם? אם תרצו, אתם מוזמנים לתת טיפ:

Buy Me a Coffee at ko-fi.com