כחלק מהמאמצים למגר את התפשטות מגפת הקורונה, משתמשת ישראל, בדומה למדינות רבות בעולם, באמצעים לניטור דיגיטלי על מנת לאתר אנשים ששהו בקרבת חולי קורונה. השימוש באמצעי ניטור דיגיטליים מאפשר חזרה של המשק לפעילות, תוך בידוד ממוקד של חולים ושל מי ששהו בקרבתם, כדי לצמצם את המשך התפשטות המגפה ולהימנע מסגר כללי.
ביום 26 במאי 2020, פרסמה הרשות להגנת הפרטיות סקירה מקצועית בנושא חלופות טכנולוגיות ומודלים אפשריים לניטור חולי קורונה. במזכר זה נציג בתמצית את עמדת הרשות לגבי הסיכונים הנגרמים לפרטיות מאיסוף נתוני מיקום, עדיפותן של טכנולוגיות איתור שאינן מבוססות על נתוני מיקום אלא על נתוני קרבה, ומדרג הדרכים האפשריות לניטור בהיבט של שמירה על הפרטיות.
נתוני מיקום והסיכונים לפרטיות
נתוני מיקום מתייחסים לאזור בו שהה אדם והמועד בו שהה בו. הנתונים נאספים על ידי בעלי רישיונות התקשורת או על ידי אמצעים לאיתור מיקום המותקנים על המכשיר הנייד. לנתונים אלו ביקוש רב בקרב סוחרי מידע וגורמים מסחריים, שכן שירותים מסחריים רבים מבוססים עליהם (כמו יצירת פרופילים המאפשרים שיווק ממוקד). על כן יש תמריץ משמעותי לשימושים שלא כדין במידע הנאסף, על ידי מי שמורשים לגשת אליו או פורצים חיצוניים.
בסקירה מבהירה הרשות כי גם כאשר נתוני מיקום נדמים להיות אנונימיים, לעיתים ניתן להצליבם עם מידע אחר הזמין במאגרי מידע וברשתות חברתיות, וכך לזהות למי שייך המידע, וכן פרטים אישיים נוספים רבים אודותיו. לכן איסוף נתוני מיקום יוצר סכנה לפגיעה קשה בפרטיות הציבור.
טכנולוגיות ניטור דיגיטלי למיגור התפשטות הקורונה
ישנם אמצעים לאיתור קרבה האוספים נתוני מיקום (כמו נתוני GPS או תנועה) ואמצעים אחרים שאוספים נתוני מרחק (מידע על הקרבה בין משתמשים). אמצעים האוספים נתוני מרחק עדיפים הן מבחינת דיוק והן בהיבט של שמירה על פרטיות המשתמשים, מאחר שלא נאסף מידע על המקום בו ארעה האינטראקציה. יש שני מודלים טכנולוגיים לאיסוף נתוני מרחק: ריכוזי ומבוזר.
כשהחל משבר הקורונה, לרוב נעשה שימוש בנתוני מרחק במודל ריכוזי (מודל זה מוחל לדוגמא באוסטרליה, אנגליה ופולין). לפי המודל הריכוזי כל משתמש באפליקציה מקבל מספר מזהה רנדומלי שמשתנה בתדירות קבועה. מכשירי טלפון הנמצאים בקרבה מחליפים ביניהם את המספר האנונימי באמצעות Bluetooth. כאשר משתמש נמצא חולה, עליו להזין קוד לאפליקציה, וזו מעבירה לשרת מרכזי את היסטוריית האינטראקציות שלו. השרת המרכזי שולח הודעה למשתמשים שהיו בקרבתו של החולה ופרטיהם הוחלפו עמו, מבלי לקבל את פרטיו. יש לשים לב כי על אף שהמספר אותו מקבל כל משתמש אינו מזוהה, בחלק מהמדינות הרישום לאפליקציה כרוך בהזנת פרטים מזהים שעשויים לאפשר זיהוי.
על אף שאמצעי ניטור זה מתבסס על נתוני מרחק ולא על נתוני מיקום, בשל השימוש בשרת מרכזי הביעה קהיליית הפרטיות באירופה חששות כבדים מפניו. לכן פותח מודל מבוזר (מודל זה מוחל בין היתר בגרמניה, שוויץ ואירלנד), לפיו המספר האנונימי המתחלף בתדירות קבועה מונפק על ידי מכשיר הטלפון הנייד של המשתמש. משתמש אשר אומת כחולה שולח הודעה לשרת עם המספר האנונימי שלו. כל המשתמשים מורידים מידע מהענן באופן קבוע והוא מוצלב עם המידע שבמכשיריהם. אם משתמש היה בקרבה למי שאומת כחולה תהיה התאמה בין המידע מהענן והמידע במכשיר שלו והוא יקבל על כך הודעה.
במודל המבוזר רוב הפעולות מתבצעות במכשיר הטלפון הנייד של המשתמש ולא בשרת מרכזי (הקצאת המספר הרנדומלי האנונימי, הצלבת המידע לשם קביעת הקרבה), והמידע המועבר לשרת מינימלי, לכן הוא מגן יותר על הפרטיות.
מדרג השיטות לקביעת קרבה לחולה קורונה בפרספקטיבת פרטיות
ההחלטה על האמצעי לקביעת קרבה תלויה במטרה שהממשלה מקווה להשיג מהשימוש באמצעי לניטור דיגיטלי. הממשלה נדרשת לבחור באמצעי שמגשים את התכלית ושפגיעתו בזכות היסוד לפרטיות היא הפחותה ביותר. בתסקיר, רשות הפרטיות מבהירה מהו מדרג המודלים לניטור דיגיטאלי לפי רמת ההגנה לפרטיות אותה הם מספקים בסדר יורד:
-
- אפליקציה לאיתור קרבה, בהתבסס על נתוני מרחק במודל ביזורי, בהסכמת המשתמשים – מודל זה מקנה את ההגנה הגבוהה ביותר לפרטיות.
- אפליקציה לאיתור קרבה בהתבסס על נתוני מרחק במודל ריכוזי, בהסכמת המשתמשים – מודל זה מקנה הגנה חזקה לפרטיות.
- אפליקציה לאיתור קרבה בהתבסס על נתוני מיקום בהסכמת משתמשים – פוטנציאל הסיכון לפגיעה בפרטיות במודל זה גבוה יחסית, אך יש לו עדיפות מסוימת בשל דרישת ההסכמה.
- אפליקציה לאיתור קרבה בהתבסס על נתוני מרחק, במודל מבוזר או ריכוזי, בכפייה או כפייה רכה (לדוגמא התניית כניסה למקומות עבודה) – במודל זה למשתמש שליטה חלקית על המידע אודותיו ובכך הוא פוגע בפרטיות, אך סוג המידע הנאסף מפחית את הפגיעה.
- אפליקציה לאיתור קרבה בהתבסס על נתוני מיקום בכפייה רכה – הרשות מבהירה כי מודל זה גורם לפגיעה קשה בפרטיות, הן בשל השליטה החלקית והן בשל סוג המידע הנאסף (מודל זה אומץ על ידי ממשלת הודו).
- איסוף נתוני מיקום ישירות מחברות טלקום על ידי רשויות המדינה ללא הסכמה של התושבים – מודל זה גורם לפגיעה המשמעותית ביותר בפרטיות ובאמון הציבור באמצעי הניטור.
לסקירה המלאה של רשות הגנת הפרטיות הכוללת גם מבט משווה לעולם לחץ כאן.