הצורך במעבר למעקב וולנטרי
אל מול המחיר של שימוש בשירותי השב"כ במעקב אחר אזרחים הכרוך בפגיעה נרחבת בזכות לפרטיות קיימות שתי חלופות מרכזיות: איסוף מידע מחברות הסלולר ועיבודו על ידי משרד הבריאות או שימוש וולנטרי באפליקציות לאיתור האזרחים המחוייבים בבידוד. לפניכם מסמך המפרט את החלופות למעקב אחר אזרחים במסגרת המאבק בנגיף הקורונה
תקציר מנהלים
מטרת מסמך זה היא להציג את החלופות השונות הקיימות לשימוש בשב"כ לצורך התמודדות עם התפשטות נגיף הקורונה באמצעות איתור מגעים דיגיטלי.
הניתוח שלנו כולל מספר היבטים מרכזיים:
יש חלופות לשימוש בשב"כ:
גם אם בימים הראשונים והמבולבלים של ההתמודדות עם המגיפה אפשר היה להבין את הטיעון של מקבלי ההחלטות לפיו אין בנמצא חלופות להפעלת השב"כ לצורך מעקב אחר אזרחי ישראל, הרי שכיום קיימים שני סוגי חלופות: הסוג האחד הוא שימוש במידע סלולרי ועיבודו על גבי שרתים של משרד הבריאות באמצעות מומחיות מתוך המשרד או באמצעות חברות פרטיות, והסוג השני הוא התקנת יישומוני מעקב מגעים תוך מתן פתרון לפלח האוכלוסיה שאין בידיו טלפון חכם.
אין נחיצות בשימוש בשב"כ:
- מצב ההדבקה בישראל הוא נמוך לאין שיעור מן התחזיות הראשוניות, וכולנו מברכים על כך. עם זאת, יש לפסול את הטיעון האומר שדווקא בשל כך יש להמשיך את השימוש באמצעי מעקב פולשניים. משך הזמן שעבר אמור היה לשמש את הרשויות להיערכות עתידית, הן בהיבטים של בדיקות; כוח אדם בבתי חולים; ציוד רפואי וגם בהיבט של חלופות למעקבים פולשניים.
- הטיעון לפיו בתחילת המשבר נדרשנו לשימוש ב"כלי" של השב"כ מחוסר ברירה ועתה עם היציאה מהמשבר, שחרור הסגר וחזרה הדרגתית לשגרה אנו זקוקים לשימוש ב"כלי" של השב"כ עוד יותר, הוא טיעון מטעה ומוטעה מיסודו. חריגותו של ה"כלי" של השב"כ מחייבת שימוש בו אך ורק בעתות מצוקה וחירום ואין להפוך אותו לכלי נוסף בארגז הכלים של משרד הבריאות שניתן לעשות בו שימוש לטווח ארוך ובעת שגרה, אף אם מדובר ב"שגרת קורונה".
- ה"כלי" שאותו מפעיל השב"כ אינו נותן מענה בחלק מן המרחבים החשובים למעקב מגעים, למשל בקניונים ובבתי דירות גבוהים, לעומת מעקב מגעים המבוסס על טכנולוגיית בלוטות' שבה יכולים לעשות שימוש ביישומונים. גם בהיבטי תוצאה אחרים הפער בין יישומונים לבין השב"כ אינו גדול באופן המצדיק את החסרונות העצומים לדמוקרטיה ולחברה בישראל הטמונים בהפעלת השב"כ.
תכלית מעקב אישי ומזוהה היא אך ורק איתור מגעים:
גם אם יש צורך במעקב פרטני, הוא חייב להיות תחום אך ורק לצורך יידוע מי שנחשף לחולה קורונה מאומת שעליו להיכנס לבידוד. ניתוח כוללני לצרכי מדיניות (כגון יצירת מפות חום על מוקדי התפרצות, הצגה גרפית של נתונים, מערכות חיזוי והיערכות) צריך להסתמך על נתונים אגרגטיביים בלבד (או לפחות על נתונים מותממים). ניתוח כוללני לצרכי מדיניות המבוסס על מידע אישי מזהה הוא פעולה בלתי מידתית.
פגיעה בפרטיות צריכה להיות בהסכמת נושאי המידע ולא פגיעה כפויה:
העובדה שמדובר במשבר אזרחי, עומק הפגיעה בזכויות אדם, "מרחב הנשימה" שניתן כרגע בשל דעיכת ההתפרצות והצורך לבסס אמון עם האזרחים – מחייבים זאת. הבחירה בכל המדינות הדמוקרטיות עד כה היא ביישומונים (אפליקציות) ייעודיים לאיתור מגעים שהאזרחים מורידים אותם לטלפונים שלהם באופן וולונטרי.
מידע ממעקב מגעים צריך להיות תחום בידי רשויות בריאות ואין לערב רשויות שיש להן סמכויות אכיפה וחקירה:
קיימים הבדלים מהותיים בין גופים אוספי מידע אזרחיים לבין גופים אוספי מידע שיש להם גם סמכויות חקירה או אכיפה. הבדלים אלה נוגעים לתפיסת ההפעלה, גדרי הסמכות וגדרי האחריות. יש לשאוף לכך שאיסוף המידע לא יהיה על ידי גופים מהסוג השני. גם במדינות שבהן נעשה איסוף מידע מיקום באופן מרכזי מחברות הסלולר - אף מדינה דמוקרטית לא הפעילה את השירות החשאי שלה לשם כך.ראו: תהילה שוורץ אלטשולר ורחל ארידור הרשקוביץ, מעקב אחר אזרחים בזמן הקורונה, מה קורה בעולם? "פרלמנט" גיליון 84 , 25 למרץ 2020. https://www.idi.org.il/parliaments/30997/31088 וכן רחל ארידור הרשקוביץ, מעקב מגעים ככלי למאבק בנגיף הקורונה, סקירה השוואתית של מדינות אירופה וארצות הברית, 31 למרץ 2020, https://www.idi.org.il/media/14257/nispah2.pdf
מה אנחנו מציעים?
על בסיס ניתוח החלופות וניסיונן של מדינות אחרות אנו ממליצים על החלופה שיש לאמץ בישראל: שידרוג יישומון "המגן" והפיכתו למבוסס בלוטות'; עידוד משמעותי להתקנת "המגן" ומתן פתרון ייעודי לבעלי טלפונים כשרים.
א. יישומון המגן כיום
היישומון הושק על יד משרד הבריאות בסוף מרץ 2020 כיישומון ייעודי לאיתור מגעים, שפותח במערכת של קוד פתוח בליווי מומחי פרטיות ואבטחה. התקנתו היא וולונטרית והוא נשען על איסוף נתוני איכון סלולרי של המשתמש והשוואתם לנתוני המיקום של חולה קורונה מאומתים כפי שמעודכנים בשרתי משרד הבריאות. משתמשי היישומון מקבלים התראה על שהיה בקרב חולה מאומת ויכולים לבדוק את אמינות המידע עבורם ולדווח על כניסה לבידוד או על שגיאה בנתונים. נתוני האיכון נשמרים בזיכרון הפנימי של מכשיר הסלולר האישי ומועברים לשרת משרד הבריאות בהסכמת המשתמש במידה שאובחן כחולה בקורונה (גישה ריכוזית).
סביב היישומון לא הושק קמפיין ציבורי ובנוסף הוא סבל משגיאות רבות הנובעות הן מחוסר הדיוק באיכון סלולרי והן מטעויות אנוש בהזנת הנתונים בשרתי משרד הבריאות.עודד ירון, משתמשים מדווחים על תקלות בזיהוי מיקום ליד חולי קורונה באפליקציות המגן, הארץ (28.03.20); רפאל קאהאן, משבר הבריאות: תקלה באפליקציית המגן המאתרת חולי קורונה, כלכליסט (29.03.20); אדיר ינקו, משרד הבריאות על התקלה באפליקציית "המגן": "הפעילו שיקול דעת", Ynet (29.03.20). אלה הובילו לאחוזי התקנה נמוכים וכן להסרת היישומון לאחר שהותקן.בדיון בבג"ץ מיום 14.04.20 מסרה עו"ד שוש שמואלי ממחלקת הבג"צים בפרקליטות כי רק כ-1.5 אנשים התקינו את היישומון ומתוכם כ – 400,000 הסירו אותה לאחר התקנתה. ראו אבישי גרינצייג, לבקשת "גלובס": דיון בבג"ץ הועבר היום בשידור חי, גלובס (16 באפריל, 2020). ב -19 למאי 2020 פרסם משרד הבריאות מכרז לשידרוג יישומון המגן.משרד הבריאות, אגף המיחשוב: בקשה למכרז 5-2020 אפליקציה לאומית למלחמה בנגיפים.
ב. הצעה לפעולה: יישומון המגן משודרג
היישומון יעשה שימוש באותות בלוטות' ויפעל בהתאם ל"שיטה הריכוזית"בהמשך חוות הדעת ניתן למצוא הסברים ופירוט כיצד פועל יישומון מעקב מגעים המבוסס על בלוטות'; מהי השיטה הביזורית ומהם יתרונותיה וחסרונותיה; ומהם היישומונים הפועלים בשיטה זו ובאלו מדינות.
הטכנולוגיה למעקב המגעים ביישומון תהיה מבוססת אותות BLE אשר אינם מצביעים על מיקומו או תנועותיו של המשתמש, נשמרים רק על מכשירו האישי ואינם נשמרים במקביל על ידי חברות הסלולר. בנוסף, היא תהיה מדוייקת יותר מאשר נתוני איכון סלולריים, ביחוד בממד הגובה (ולכן תאפשר קירוב טוב יותר גם מרחב עירוני צפוף, במבני קומות ובקניונים).
היישומון יקבל היישומון מפתח הצפנה להפקת קודי זיהוי אקראיים וישדר אותם בפערי זמן של כחמש דקות באמצעות אותות BLE שהם אותות בעוצמה נמוכה יחסית וכך מובטח שלא יקלטו במרחקים פיזיים גדולים.אותות ה Bluetooth כן עשויים להיקלט מבעד לקירות סמוכים, בעוד נגיף הקורונה אינו חודר דרך קירות. מפתחי היישומונים נתנו דעתם לאפשרות זו בהתייחסם לאופן עיבוד וקביעת הסמיכות הפיזית. עם זאת, יתכנו אחוזים נמוכים של דיווחי סמיכות פיזית שגויים עקב תכונה זו של אותות Bluetooth. ראו Andy Greenberg, Does Covid-19 Contact Tracing Pose a Privacy Risk? Your Questions, Answered, Wired (April 17, 2020). מאחר ומדובר בקודי זיהוי אקראיים המופקים על ידי מפתח הצפנה הנמצא על גבי מכשיר הטלפון עצמו, שני אותות שנשלחו מהמכשיר של משתמש מסוים לא ייראו אותו הדבר ולא יוכלו לסמן בעתיד כי נוצרו באותו המכשיר.נעיר כי יישומון איתור המגעים ההודי, Aarogya Setu, מעניק לכל משתמש קוד זיהוי קבוע. תכונה זו היא אחת הסיבות שהיישומון נחשב כפוגעני מבחינת הזכות לפרטיות. ראו Sarvesh Mathi, India’s Covid-19 App Is A Privacy Nightmare, ONE ZERO (May 7, 2020).
כל מכשיר טלפון שעליו מותקן היישומון יקלוט וישמור אצלו "לוג אותות" של כל קודי הזיהוי המשודרים בסביבתו ממכשירים אחרים, בצירוף חותם זמן ועוצמת אות ה-Bluetooth שנקלטה, כדי להעריך את המרחק הפיזי בין המכשירים. הקביעה האם משתמש נחשף לחולה קורונה מאומת תיעשה על ידי השוואת קודי הזיהוי השמורים על מכשירו האישי עם אלו שנשמרו על מכשיר הסלולר של החולה.
"לוג האותות" שנשמר על גבי מכשיר הטלפון של מי שנמצא חולה קורונה, יועברו בהסכמת המשתמש, לשרת מרכזי שבמשרד הבריאות שבו יהיו המפתחות לפיענוח ההצפנה של המידע. משרד הבריאות יוכל לזהות את את המשתמשים שנמצאו בסמיכות פיזית לחולה ויודיע להם להיכנס לבידוד. משרד הבריאות לא ידע בהכרח היכן היה המפגש בין הטלפונים אלא את עצם העובדה שמפגש כזה התרחש .לגבי הגישה הריכוזית והמדינות המשתמשות בה – ראו בפירוט בהמשך חוות הדעת
יעד ההתקנה של היישומון – כארבעה וחצי מיליון משתמשים,Digital Contact Tracing Can Slow or Even Stop Coronavirus Transmission and Ease Us Out of Lockdown, BIG DATA INSTITUTE (April 16, 2020). וזאת בהסתמך על המחקר המשמעותי ביותר שנערך בעניין זה, באוניברסיטת אוקספורד, ואשר הצביע על הצורך שלפחות 60% מהציבור יתקין את היישומון כדי להבטיח את יעילותו.
הטמעת ההתקנה של היישומון:
1. עידוד "רך" להתקנת יישומונים:
יש להשקיע מאמצים פרסומיים ניכרים לעידוד הציבור להתקנת יישומונים, דוגמת דרכי פעולתה של ממשלת אוסטרליה בהשקת קמפיין עידוד התקנת היישומון COVIDSafeממשלת אוסטרליה השקיעה רבות בשיווק היישומון לציבור ובהסברת חשיבות התקנתו על ידי מספר רב ככל האפשר של אנשים באמצעות קמפיין תקשורתי מקיף שכלל סרטונים, כרזות רחוב, דיווחי רדיו ופוסטים ברשתות החברתיות. ראש ממשלת אוסטרליה התראיין פעמים רבות בתקשורת והסביר שהתקנת היישומון היא המפתח לחזרה הדרגתית לשגרה, להתנעת הכלכלה. עוד השווה את היישומון לקרם הגנה מפני חשיפה לשמש. היישומון, כך הסביר, יגן על המשתמש ומשפחתו, על עובדי מערכת הבריאות ובסופו של דבר יגן על מקור הכנסתו של המשתמש ומשפחתו שכן יאפשר התנעת הכלכלה האוסטרלית מחדש. מאמצי התקשורת נשאו פרי ובתוך 10 ימים הותקן היישומון על ידי מספר שיא של 5 מיליון משתמשים. ראו: COVIDSafe App Campaign Resources, https://www.health.gov.au/resources/collections/covidsafe-app-campaign-resources; Australians Urged to Sign Up to Tracking App, BBC NEWS (April 29, 2020); Treat Tracing App Like Sunscreen: Aussie PM, OTAGO DAILY TIMES (April 29, 2020); Coronavirus Tracing App CovidsAFE Hits 5 Million Downloads as Government Concedes Incompatibility With Older Phones, ABC NEWS (May 6, 2020). שהובילו לכך שבתוך עשרה ימים הותקן היישומון על ידי חמישה מיליון משתמשים;Coronavirus Tracing App CovidsAFE Hits 5 Million Downloads as Government Concedes Incompatibility With Older Phones, ABC NEWS (May 6, 2020). ודוגמת ממשלת בריטניה העומדת להפיץ באמצע מאי יישומון (NHS CV19), ופועלת כבר עכשיו במאמצי הסברה מקיפים המבהירים כי התקנת היישומון היא שתאפשר לשמור ולהגן על המשתמשים ומשפחותיהם, תמנע את הצפת מערכת הבריאות וקריסתה ותהיה אמצעי מרכזי בהשבת המדינה והכלכלה לשגרה ולתפקוד מלא.Rowland Manthorpe, Coronavirus: Public Will Be Urged to Download NHS Contact-Tracing App – How it Works, SKY NEWS (May 5, 2020); Natasha Lomas, NHS COVID-19: The UK’S Coronavirus Contacts-Tracing App Explained, TECHCRUNCH (May 5, 2020).
יש להפסיק לאלתר את השימוש ב"כלי" של השב"כ משום שכל עוד הציבור חושב שממילא התקנת היישומון הינה למראית עין כיוון שמשרד הבריאות מסתמך על ה"כלי" של השב"כ, לא ניתן יהיה לגייס אמון להתקנה בהיקפים נרחבים של היישומון.במחקר שבחן את יעילות איתור המגעים הפיזי מול הדיגיטלי בארצות הברית נמצא כי היעדר אמון הציבור בממשל וחשדנות הציבור ביחס לנציגי ממשל ולאנשים זרים מובילה לכך שאנשים אינם עונים לטלפונים ממספר שאינו מזוהה ואם עונים, מנתקים מיד כשנציג איתור המגעים מבקש פרטים אישיים, גם אם הנציג הציג את עצמו ואת מטרתו באופן שקוף וברור. ראו: James Temple, Why Contact Tracing May Be A Mess in America, MIT TECHNOLOGY REVIEW (May 16, 2020).
- חלק מהמאמץ הפרסומי צריך להיות מבוסס על העצמת המשתמשים: נדרש הסבר לגבי תכלית השימוש ביישומון וההקשר המוסרי של סיוע להצלת הזולת; הסבר לגבי אופן פעולת היישומון ואמצעי הגנת הפרטיות שהוטמעו בו.
- יש לבחור צעדים מתחום הכלכלה ההתנהגותית על מנת להגביר את היקף הטמעת היישומון בקרב האוכלוסיה. למשל, מתן עדיפות בקבלת שירותים ציבוריים מסויימים (מענקי סיוע, הנפקת רישיונות ותעודות שונות) או מתן תגמול חומרי (שוברי קנייה או הנחה) למי שהתקין את היישומון.
- יש להתאים את הקמפיין הפרסומי לצרכים שונים של אוכלוסיות שונות, וללוות אותו במחקר שיוכל לבחון את הצלחת הקמפיין ואת היקפי התקנת היישום.
- במקרה של "שגרת קורונה" ארוכת ימים, אפשר לשקול אימוץ מודל opt out במסגרתו היישומון יותקן מראש בכל מכשירי הסלולר ובידי המשתמשים תהיה האפשרות להסירו אם רצונם בכך. בבחינת ההיבטים האתיים בשימוש ביישומוני איתור מגעים ואיזונם למול צרכי בריאות הציבור, יש שהציעו את מודל ה opt out כחלופה שיש לבחור מלכתחילה.רעיון זה הועלה כרעיון יעיל העומד גם בכללי אתיקה על ידי קבוצת מומחים במאמר שהתפרסם בכתב העת Science בתחילת מאי 2020. ראו: Michelle M. Mello & C. Jason Wang, Ethics and Governanace for Digital Disease Surveillance, SCIENCE (May 11, 2020).
2. עידוד "אינטנסיבי" להתקנת יישומונים:
- ניתן לחייב את התקנת היישומון באזורים ספציפיים בהם נרשמת התפרצות במספר הנדבקים בנגיף.בהודו שווק היישומון (Aarogya Setu) בתחילה להתקנה וולונטרית ושמונים מיליון אזרחים התקינו אותו. ככל שהחלו צעדי החזרה לשגרה הפכה ההתקנה לחובה על אוכלוסייות כמו עובדים חיוניים, העובדים במגזר הציבורי ותושבים באיזורים המוגדרים בסיכון גבוה להתפרצות המגיפה. האחריות לוודא את התקנת היישומון מוטלת על המעסיקים ומנהלי מתחמי מגורים באיזורים שבסיכון. Ankita Chakravarti, Voluntary Aarogya Setu Now Mandatory in Noida, FIR, Rs 1000 Fine or 6-Mounth Jail if App Not Downloaded, INDIA TODAY (May 5, 2020); India Today Tech, Coronavirus Lockdown: No More Voluntary, Aarogya Setu App Now Mandatory For Office Workers, INDIA TODAY (May 1, 2020); FE Online, Govt of India’s Voluntary Aarogya Setu App Made Mandatory For Smartphone Users In Noida, Greater Noida, FINANCIAL EXPRESS (May 5, 2020).
- התניית השימוש בתחבורה ציבורית בהתקנת היישומון.
- הטלת חובה על בעלי חנויות לוודא שהלקוחות המגיעים לחנות התקינו את היישומון. לתפיסתנו, שיטה זו עדיפה בהרבה על פני חובת הזדהות בכניסה לחנויות ולקניונים שהוצעה במקומות שונים.
- הטלת חובה על מעסיקים שונים במשק לוודא שעובדים התקינו את היישומון כתנאי לחזרה לעבודה: עובדים חיוניים; עובדי השירות הציבורי; חברות גדולות. שיטה זו תאפשר להימנע ממצב שבו מעסיקים אוספים מידע בלתי נדרש על עובדים, וגם ממצב שבו מעסיקים גדולים יחליטו באופן עצמאי לפתח יישומונים משלהם ולחייב עובדים להתקין אותם.
3. כרטיס חכם כפתרון לאוכלוסיות שאין ברשותן טלפון חכם:
אין ספק שחסם בפני הטמעת השימוש ביישומון נעוץ בעובדה שלא כל האוכלוסייה מחזיקה ברשותה מכשיר סלולרי חכם המאפשר את התקנת היישומון והפעלתו. אין מדובר בבעיה ייחודית למדינת ישראל,למשל, בהודו 450 מיליון אנשים מחזיקים במכשיר טלפון חכם לעומת 550 מיליון מחזיקים במכשיר "טיפש". ממשלת הודו בחרה להפיץ יישומון איתור מגעים, שבהמשך התקנתו הפכה לחובה שהוטלה על קבוצות מסויימות ובמקביל פועלת למציאת פתרון שיתבסס על מעקב באמצעות הרשתות הסלולריות ביחס לאוכלוסייה המחזיקה במכשיר טלפון שאינו חכם. Robbie Harb, India to Build Contact-Tracing App for Feature Phones that Still Use 2G, Don’t Have Bluetooth and Can’t Run Apps, THE REGISTER (April 30, 2020). ונדגיש, כי לפי מחקר של מכון Pew האמריקני, נכון לאביב 2018 היתה ישראל במקום השני בעולם (אחרי המובילה – דרום קוריאה) מבחינת אחוז האוכלוסייה הבוגרת המחזיקה במכשיר טלפון חכם. Pew Research Center, Smartphone Ownership In Advanced Economies Higher than in Emerging (Feb. 4, 2019) בהתאם למחקר, בישראל 88% אחוז מהאוכלוסיה הבוגרת מחזיקים בטלפון חכם לעומת עשרה אחוז שיש להם מכשיר "טיפש" ושני אחוז שאין להם טלפון בכלל. בגרמניה, למשל, מדובר ב78%; 16%; ו – 6% בהתאמה ובאנגליה 76%; 19% ו – 5%,ו והדבר לא הפריע למדינות אלה לבחור שימוש ביישומונים.
הערכות הנוגעות לחברה החרדית בישראל אומדות את מספר מנויי "הקומה הכשרה", כלומר האנשים המחזיקים במכשירי טלפון כשרים שאינם מכשירים חכמים, בכ-500,000 משתמשיםנתי טוקר, האיש ששולט בסלולרי של מיליון ישראלי – ומה יקרה אם תחייגו ממספר שמתחיל ב-052-76? דה מרקר (05.07.19). וגם מתוך קבוצה זו יש מספר רב של משתמשים המחזיקים במקביל בטלפון חכם או לחלופין משתמשים בטלפון חכם כשר אשר ניתן להתקין בו אפליקציות מבוססות מיקוםראו מוטי גרין, יצאנו לבדוק: כמה תשלמו על סמארטפון, ואיזה מכשיר הוא הכשר ביותר?, בחדרי חדרים (י"ח בשבט, תשע"ז; 14 בפברואר, 2017); עומר כביר, אלה האפליקציות שיריצו אתכם לקלפי, כלכליסט (05.02.20); דני זקן, איך מצליחות המפלגות החרדיות להגיע את כל הקהלים שלהן, גלובס (16.09.19). טלפונים כשרים כאלה מותרים לשימוש על ידי וועדת הרבנים כבר משנת 2013 ונעשה בהם שימוש רב למשל ביישומונים שמטרתם לסייע למפלגות החרדיות להניע בוחרים. או יישומונים על מערכת ההפעלה של המכשיר.
בין אם המספר המדוייק של מספר המשתמשים במכשירי טלפון שאינם חכמים עומד על 500,000 או על 10% מכלל האוכלוסייה הבוגרת, יש לאפשר למי שאין ברשותו טלפון חכם, או שאינו רוצה להתקין את היישומון, להשתמש בכרטיס חכם בגודל של כרטיס אשראי, שיפעל בדומה ליישומון באמצעות אותות BLE ובשיטה ריכוזית, בדומה לCOVIDCard שהוצע כאחד מהפתרונות לאיתור מגעים דיגטלי בניו זילנד.Marc Daalder, NZ Considering $100m Contact Tracing ‘COVIDCard’, Newsroom (April 17, 2020). המדובר בכרטיס המסוגל לשדר ולקלוט אותות BLE ועל בסיסם לחשב את הסמיכות הפיזית של המחזיק בו למחזיק כרטיס אחרים. ניתן לתכנת את הכרטיס כך שישדר ויקלוט אותות BLE המגעים לא רק מכרטיסים אחרים אלא גם ממכשירי טלפון חכם שעליהן מותקן יישומון המגן. הנתונים נשמרים למשך 30 יום על גבי הכרטיס עצמו. במידה שמחזיק בכרטיס נמצא חיובי לנגיף הקורונה יכול נציג משרד הבריאות, בהסכמת מחזיק הכרטיס או במסגרת חיובו לשתף פעולה עם חקירה אפידמיולוגית, להעביר את הנתונים לשרת משרד הבריאות לשם איתור מגעים.Marc Daalder, Coronavirus: New Zealand Considering $100m Contact Tracing ‘CovidCard’, STUFF (April 17, 2020); JC Torres, CovidCard Phone-Free Contact Tracing Proposed in New Zealand, Slash Gear (April 20, 2020).
4. שדרוגים אפשריים נוספים ליישומון
- התרעה למשתמש באמצעות צליל או הודעה במידה ואינו שומר על המרחק הדרוש בינו לבין משתמש אחר כאשר הוא נמצא במרחב הציבורי
- התרעה למשתמש על כך שנחשף במהלך תקופת זמן שתוגדר לפי מדדים אפידמיולוגיים (למשל, שבוע) לכמות של אנשים שתיקבע (למשל, למעלה מעשרים וחמישה אנשים שונים) ועידודו ללכת להיבדק האם הוא חולה בקורונה. זהו נדבך פעולה קריטי שיאפשר איתור מגעים של חולים א-סימפטומטיים שעשויים להיות "מדביקי על" (super spreaders).
- הוספת האפשרות להסיר מיקומים מהיסטוריית משלוח האותות לפני שהם נשלחים אל משרד הבריאות או "לכבות" את היישומון לזמן מסויים (snooze) אם המשתמש מגיע למקום שלא היה רוצה שידעו לגביו. זאת, בשל הרצון לעודד את אמון המשתמשים, ולהתמודד עם אוכלוסיות העוסקות בפעילות רגישה כגון עיתונאים.
מטרת מסמך זה היא להציג את החלופות השונות הקיימות לשימוש בשב"כ לצורך התמודדות עם התפשטות נגיף הקורונה באמצעות איתור מגעים.
בדיונים בוועדת החוץ והביטחון ובתשובת המדינה לבג"ץ בעתירה נגד הסמכת השב"כ לבצע מעקב מגעים,בג"ץ 2109/20 בן מאיר ואח' נ' מדינת ישראל ואח'. טענה המדינההודעה מעודכנת מטרם המשיבים 1-7, בג"ץ 2109.20 בן מאיר ואח' נ' מדינת ישראל ואח'. כי על אף הפגיעה חסרת התקדים בזכות לפרטיות של אזרחי ישראל ולמרות שאף אחת מן המדינות הדמוקרטיות בעולם איננה מפעילה את השירות החשאי שלה לצורך איתור מגעים בזמן הקורונה, אין חלופה לשימוש בשב"כ.
בפסק הדין מיום 26 באפריל, 2020 העלתה נשיאת בית המשפט העליון, כבוד השופטת אסתר חיות, את הצורך בהצגת חלופות לשימוש בשב"כ:
"אכן, המאמץ לאיתורה של חלופה יעילה אחרת חייב להימשך ללא לאות... על רשויות המדינה לשקול כל העת אם צרכי השעה עודם מצדיקים את האמצעים הקשים שבהם היא נוקטת...במסגרת חיפוש חלופה כאמור, יש ליתן את הדעת לפגמים המהותיים הקיימים במנגנון הנוכחי, ובמיוחד יש לשקול אם ניתן להשיג את התועלות החשובות הנדרשות באמצעות שימוש במנגנון וולונטרי ושקוף למשתמש".בג"ץ 2109/20 בן מאיר ואח' נ' מדינת ישראל ואח' (26.04.20), פסקאות 41-42 לפסק דינה של נשיאת ביהמ"ש העליון, כב' השופטת אסתר חיות.
בנוסף, הפניה המקורית אל השב"כ לצורך איסוף נתונים נעשתה, באופן מוצהר, לתכלית איתור חבי בידוד. ואולם, ביום 05.05.20 האריכה הממשלה את הסמכת השב"כ עד ליום 26.05.20החלטה מספר 5051 של הממשלה מיום 05.05.20. ובמקביל הודיעה כי תפעל לעיגון הסמכה זו בחוק ולהרחבת השימוש בו.יש להניח כי הכוונה לבצע גם ניתוחים של מידע המיקום, יצירת "מפות חום" וניתוחי ניבוי היכן קיימים מוקדי התפרצות (ממיקום ספציפי שבו נדבקו אנשים רבים כגון מסעדה, סופרמרקט או בית כנסת ; בשכונות ובערים). ראו ועדת המשנה למודיעין אישרה לממשלה ארכה של 3 שבועות בלבד לשימוש בכלי של השב"כ למאבק בקורונה – על מנת לאפשר הליך חקיקה, הודעות ועדת החוץ והביטחון (5 במאי 2020, י"א באייר תש"פ, בשעה 15:30). זאת, לפי הטענה, דווקא בשל הרצון לשחרר את הסגר והמגבלות ולאפשר חזרה חלקית לשגרה.יעל פרידסון, משרד הבריאות בשידור החי מבג"ץ: האיכון של שב"כ יתרחב לקראת היציאה מהסגר, Ynet (16 באפריל, 2020). לדברי פרופ' סדצקי "לו יכולנו לעקוב אחרי כל אדם – היינו יכולים להוריד את הבידוד החברתי". בדיון בוועדת החוץ והביטחון שנערך ביום 05.05.20 הוצג מסמך של המועצה לביטחון לאומי הקובע כי אין חלופות לשב"כ במעקב מגעים.
אכן, מן ההיבט של יעילות ואפקטיביות קיימים יתרונות לשימוש בשב"כ לצורך איתור מגעים – יכולת טכנולוגית זמינה לעיבוד המידע, דאטה זמין (אין צורך לעבור דרך חברות הסלולר בשל קיומו של "הכלי"), תרבות של שמירת סוד וקבוצה קטנה של אנשים שתיגע בחומר.
ואולם, המחירים של השימוש בשירות הביטחון מבחינה דמוקרטית כבדים גם הם: מעקב של המדינה אחר אזרחיה, שאינם חשודים בדבר, באמצעות השירות החשאי שלה; פגיעה חסרת תקדים, נרחבת, עמוקה ובהיעדר שקיפות בזכות לפרטיות תוך שימוש בכלים קיצוניים המיועדים ללחימה בטרור; גוף שלטוני יודע היכן נמצאים כל אזרחי מדינת ישראל לפרקי זמן ארוכים; תפיסה של חשד מוקדם ואימוץ גישת "Command and Control" נגד אזרחים, המנוגדת לממצאים מתחום הכלכלה ההתנהגותית ולמחקרים מתחום האפידמיולוגיה; חוסר השקיפות האינהרנטי הכרוך בהפעלת השב"כ: אין לדעת מה בדיוק נאסף, כיצד והאם נמחק; הפיקוח המשפטי, הפרלמנטרי והציבורי המוגבל על השב"כ; והנזק שנגרם לשב"כ עצמו בחשיפת שיטות פעולה שלו ופגיעה באמון הציבור בו.
בנוסף, כפי שנפרט להלן, יש מספר סיבות להסיק כי השימוש בכלי של השב"כ איננו מדוייק ומוביל לאחוז גבוה של שגיאות מסוג של False Positives ו-False Negatives. נתוני מיקום באמצעות הרשת הסלולרית פחות מדוייקים לעומת אותו BLE (Bluetooth Low Energy) ו – WIFI. זאת בשל חוסר הדיוק הנובע מגודל התאים הסלולריים והעובדה שאיכון סלולרי מבוסס על אותות GPS, שעשויים להיות חלשים כתוצאה מתנאי מזג אויר או הפרעות פיזיות. באיכון סלולרי רמת דיוק של עד 500 מטר ובמעקב BLE מדובר ברמת דיוק של 2 מטר. איכון סלולרי גם מתקשה בזיהוי קירבה בממד הגובה, ולכן אינו מדויק בבניינים רבי קומות.
המועצה לביטחון לאומי קבעה כי השב"כ מאתר רק שלושה מבין עשרה חולי קורונה חדשים ולכן המליצה על הקמת 500 צוותי חקירה אפידמיולוגית "מסורתיים", מה שככל הידוע לנו לא נעשה עד כה.ראו: דו"ח מס' 3 של צוות המומחים הרב-תחומי במינוי המל"ל לתמיכה בקבלת ההחלטות כסיוע לניהול המערכה הלאומית בוירוס הקורונה התמודדות עם מגפת הקורונה: הבטחת הבלימה ותכנון שלב היציאה,2 לאפריל 2020.
מכל מקום, חסרונות אלה מובילים, בין השאר, לכך שהשב"כ צריך להשתמש בסוגי מידע פרטי נוספים כמו היסטוריית שיחות והודעות, מידע ממצלמות ועוד, וכן לכך שמקבלי החלטות בכירים בתוך משרד הבריאות דרשו במקביל סוגי מעקב נוספים, כגון מערכות מעקב שיהיו בשימוש בתוך קניונים.ראו: שלי אפלברג, מנכ"ל משרד הבריאות: רוצים לפתוח קניונים? תעקבו אחר הקונים. דה מרקר, 23.4.2020 https://www.themarker.com/coronavirus/1.8793390 . מנתוני משרד הבריאות שהוצגו כמה פעמים עולה כי כיום ישנן 400 אחיות העוסקות בחקירות אפידמיולוגיות אך לא ברור אם מדובר במשרה מלאה.
"איתור מגעים" Contact Tracing Apps)) מיועדים לאתר אנשים שהיו בסמיכות פיזית לחולה קורונה מאומת, וכך לאפשר בידוד מהיר של אנשים שיתכן שנדבקו בנגיף הקורונה. הסמיכות הפיזית לחולה קורונה מאומת נקבעת בהתאם למדדים אפידמיולוגיים של משך זמן החשיפה ומרחק מהחולה במשך תקופת הזמן במהלכה היה החולה מדבק.כרגע, בישראל, מדובר על ארבעה עשר ימים לפני מועד אבחון המחלה. כאשר ההיסק בנוגע לסמיכות הפיזית המבוצע על ידי איסוף וניתוח של נתונים ממכשירי הסלולר של אזרחים, כגון נתוני מיקום, קשר ישיר בין משתמשים בעזרת אותות Bluetooth Low Energy (BLE) או טכנולוגיות אחרות (למשל, תקשורת אקוסטית) הוא נקרא "איתור מגעים דיגיטלי".
מאמרים מדעיים ודוחות יישומיים ממדינות שונות מלמדים כי לאיתור מגעים דיגיטלי פוטנציאל גבוה לתרום למאבק במגפת הקורונה, וכי הוא משמש כתוספת (או תחליף לעתים) לחקירה אפידמיולוגית מסורתית. בעיקר, הוא יעיל לבידוד אנשים שהיו בקרבת "מפיצי על" (Super-Spreaders) המוגדרים כחולים מאומתים ששהו בקרבת אנשים רבים מאוד טרם אובחנו, במיקומים ספציפיים דוגמת מרכולים, בתי כנסת ומקומות בילוי. Luca Ferretti et. al., Quantifying SARS-CoV-2 Transmission Suggests Epidemic Control with Digital Contact Tracing, SCIENCE (March 31, 2020); Marcello Lenca & Effy Vayena, On the Responsible Use of Digital Data to Tackle the COVID-19 Pandemic, 26 NATURE MEDICINE 463 (2020); Richard Mark Kirkner, Contact Tracing, Isolation Have Impact, Study Shows, THE HOSPITALIST (April 29, 2020) .
שתי החלופות המרכזיות לאיתור מגעים המבוצע על ידי השב"כ הן:
- איתור מגעים בכפיה אך על ידי גופים שלטוניים אזרחיים, באמצעות איסוף מידע מחברות הסלולר ועיבודו בעזרת פיתוח יכולות בתוך משרד הבריאות או באמצעות חברות פרטיות על גבי שרתים מאובטחים של המדינה, בשקיפות ותחת פיקוח שיפוטי, פרלמנטרי וציבורי.
- מעקב מגעים וולונטרי באמצעות שימוש ביישומונים ייעודיים לאיתור מגעים המותקנים על ידי הציבור במכשירי הטלפון הסלולרי.
יתרונות:
- שקיפות באשר ליכולת הטכנולוגית, לאיסוף המידע ולשימושים בו.
- מעקב אחר כלל האוכלוסייה המחזיקה בטלפון סלולרי ללא תלות בסוג מכשיר הטלפון או בהורדת יישומון.
- יכולות פיקוח על השימושים במידע ומחיקתו הן באמצעות תנאי התקשרות הן באמצעות שקיפות ציבורית ושיפוטית.
- משרד הבריאות איננו גוף חקירה ואכיפה ולכן אין חשש שמידע שיגיע לידיו ישמש לצורך אכיפת חוק (אכיפת בידוד, פיזור התקהלויות בזמן אמת וכיו"ב).
חסרונות:
- נתוני מיקום באמצעות הרשת הסלולרית פחות מדוייקים לעומת אותות BLE, אותות אקוסטיים, או מיקום בעזרת WiFi. זאת בשל חוסר הדיוק הנובע מגודל התאים הסלולריים והעובדה שנתוני מיקום מבוססי אותות GPS עשויים להיות חלשים כתוצאה מתנאי מזג אויר או הפרעות פיזיות. באיכון סלולרי רמת דיוק של עד 500 מטר ובמעקב BLE מדובר ברמת דיוק של 2 מטר. איכון סלולרי גם מתקשה בזיהוי קירבה בממד הגובה, ולכן אינו מדויק ברבי קומות.
- אם חברה פרטית תקבל את המידע מחברות הסלולר ישירות אליה יתכן שימוש לרעה בדאטה; היעדר אבטחת מידע מספקת שעלולה להוביל לדליפת מידע; הפיכת המאגר למטרה לארגוני ביון זרים.
פתרונות:
- שימוש במידע ממקורות שונים (איכון סלולרי ו-BLE).
- עיבוד המידע יתבצע רק בשרתים מאובטחים בניהול המדינה והמידע לא יועבר לשרתים של חברות פרטיות.
- ההסכמים עם חברות פרטיות יכללו איסורים על שימוש במידע (גם אם תהיה אפשרות של גישה למידע בזמן הטמעה או שדרוג של המערכת) לכל מטרה שחורגת מאיתור מגעים; הגבלת תחולת ההסכם ואיסוף ועיבוד מידע מכוחו לתקופה מוגבלת עם אפשרות להארכה כל עוד צו הבידוד בנוגע למצב החירום עקב מגיפת הקורונה עומד בעינו;צו בריאות העם (נגיף הקורונה החדש) (בידוד בית והוראות שונות) (הוראת שעה), התש"ף – 2020 (להלן: "צו הבידוד"). חובת מחיקת מידע בנוגע לכל נושא מידע בתום תקופת הזמן הרלוונטית לאיתור מגעים.
- האחריות לאבטחת המידע ולמניעת שימוש לרעה בו תהיה על המדינה. יש להניח כי במשרד הבריאות כשלעצמו, אבטחת המידע נמוכה מזו של השב"כ. עם זאת, ככל שמדובר בתכנון לטווח ארוך, יהיה צורך ביצירת סטנדרט אבטחה ואמינות עובדים גבוה.
- חובות השקיפות החלות על המדינה מכוח חוק חופש המידע יוחלו גם על איסוף ועיבוד המידע המדובר.
תתי חלופות:
תת חלופה ראשונה: יצירת "משפך" לצורך העברה ישירה של דאטה מכל חברות הסלולר אל שרתים מאובטחים של משרד הבריאות.
אפשרות 1: עיבוד המידע על ידי משרד הבריאות עצמו - פיתוח מומחיות "In House" במשרד הבריאות כדי לעבד את המידע, לאתר מגעים וליידע את מי שנדרש להיכנס לבידוד.
אפשרות 2: האלגוריתמיקה והניתוח של המידע למטרת איתור מגעים יתבצעו על ידי חברות פרטיות אבל על גבי שרתי משרד הבריאות בלבד. מוצרים כאלה לאיתור מגעים מוצעים על ידי חברות כדוגמת NSO, Verint, Palantir.
חברת NSO מציעה את Fleming - מערכת שפותחה יחד עם מפא"ת, המסוגלת לספק מגוון שירותים שונים הכוללים איתור מגעים, יצירת מפות חום ומערכות חיזוי התפרצויות; זיהוי שרשרות הדבקה ומיקום ההדבקה על ידי מפיצי על (למשל חנויות מזון, בתי כנסת, מקומות בילוי וכיו"ב) ויצירת ציון אישי לפוטנציאל הדבקה של אדם אם נחשף לחולים. המערכת המוצעת אינה עוסקת באיסוף המידע ותופעל על מידע שיימצא על שרתים של משרד הבריאות בשילוב איכון סלולרי מרשתות הסלולר. מוצר זה הוצע למשרד הביטחון בישראל ולמדינות אירופאיות.Zack Whittaker, A Passwordless Server Run by Spyware Maker NSO Sparks Contract-Tracing Privacy Concerns, TECHCRUNCH (May 6, 2020).
חברת Palantirמשתפת פעולה עם חברת הסטארט-אפ הבריטית Faculty לשם מתן שירות ניתוח, עיבוד והצגת מידע עבור שירותי הבריאות הבריטיים (NHS). המידע איננו נאסף על ידי החברות אלא על ידי שירותי הבריאות עצמם וגופים אחרים עבורם ונשמר על שרתי שירותי הבריאות הבריטיים. ההסכם בין NHS ופלנטיר פורסם לציבור, וכן גם התחייבות של NHS למחוק את המידע מן השרתים בתום המשבר.Paul Lewis, David Conn & David Pegg, UK Government Using Confidential Patient Data in Coronavirus Response, THE GUARDIAN (April 12, 2020).
לתפיסתנו, במיוחד אם מדובר בצפי ארוך זמן של התמודדות עם הנגיף, יש לפתח ולחדד יכולות ניתוח מידע וכן אבטחת מידע בתוך משרד הבריאות, ולהיעזר לצורך כך במומחיות מארגונים ממשלתיים אחרים (כגון התקשוב הממשלתי או יחידות בצבא כמו 8200) מבלי שאלה יהפכו להיות מנתחי המידע. במידה ונבחרת חלופה א, זו צריכה להיות החלופה העדיפה ויש לפעול כדי לממש אותה.
תת חלופה שניה: יצירת מערכת שאילתות מוצפנות ממשרד הבריאות ישירות אל חברות הסלולר.
אפשרות 1: קידום יכולת עיבוד מידע אין האוס בחברות הסלולר בצורה שתאפשר למשרד הבריאות לבקש מהן את הנתונים הרלוונטיים לקביעת סמיכות המגעים לחולה קורונה מאומת (אותות Bluetooth או בעדיפות פחותה יותר - נתוני המיקום) ושיפוי החברות על עבודתן.
אפשרות 2: מערכת אשר תאפשר להעביר "שאילתות" מוצפנות מגוף לגוף, בלא שיהיה צורך להוציא דאטה או להעביר אותו לשרת נפרד או לענן.נעיר כי אחד המומחים המובילים בעולם בתחום זה הוא פרופ' בני פנקס מן המחלקה למדעי המחשב באוניברסיטת בר אילן. מדובר בתוכנה "מצפינה" היושבת במחשבי משרד הבריאות ובתוכנה "מחשבת" היושבת במחשבי חברות הסלולר, וזאת בלא שיש צורך בהעברת כלל נתוני המיקום של כלל האזרחים אל שרתי המדינה או אל החברה הפרטית או שמי מעובדיה חשוף אליו. התוכנה המותקנת במשרד הבריאות מצפינה את זהותו של אדם שאובחן כחולה קורונה, ומעבירה את השאילתה המוצפנת אל התוכנה היושבת בחברות הסלולר. כך, מקבל השאילתה המוצפנת אינו יכול לדעת מיהו החולה, מיהם האנשים שאיתם בא במגע והיכן. כאשר הוא מחזיר את המידע אל משרד הבריאות, נעשה שימוש במפתח ההצפנה בתוכנה הנמצאת במחשבי משרד הבריאות ומשרד הבריאות יכול לדעת את זהותם של מי שבאו במגע עם החולה ולשלוח אליהם הודעה לגבי בידוד. מערכת שמישה כזאת היא למשל זו המוצעת על ידי חברתDuality והטכנולוגיה שלה מבוססת על מה שמכונה בעולם המתמטי פרטיות דיפרנציאלית (מבדלת) , ונעשה בה שימוש בחקירת הלבנות הון, למשל.עומר כביר, "אפשר להגן על הציבור בלי לעקוב אחריו", כלכליסט (06.05.20).
יתרונות:
- הסכמה של המשתמשים המתבטאת בהתקנת היישומון הייעודי על מכשיר הסלולר שלהם.
- העצמת המשתמשים, הפנמת התפיסה שלפיה במשבר אזרחי יש צורך באמון הציבור שלא יושג בכפיה.
- מודעות המשתמשים לגבי הפגיעה בפרטיותם אשר תתבסס על חשיפתם לתנאי השימוש ולמדיניות הפרטיות ביישומון ושליטה שלהם בפונקציות השונות.
- שמירה על פרטיות המשתמשים (ברמות שונות – ראו להלן הגישה הריכוזית מול הביזורית).
- ביישומונים המבוססים רק על אותות BLE - דיוק רב יותר באיתור מגעים מאשר התבססות על איכון סלולרי.
חסרונות:
- ככל שמדובר ביישומון שאינו מעביר מידע אחורה לשרת מרכזי (ראו להלן מודל ביזורי מול ריכוזי) – אין למדינה כלים לדעת מיהם חבי הבידוד ולפקח עליהם.
- היישומון מאפשר איתור מגעים ויידוע מי שחייב בבידוד רק ביחס למי שהתקין אותו ולא לכלל הציבור. בכך הוא נתפס ככלי "תומך לחימה" בלבד.
- על פי הערכות נדרש כי אחוז משמעותי מהציבור (מחקר מאוניברסיטת אוקספורד הצביע על הצורך שלפחות 60% מהציבור במדינה)Digital Contact Tracing Can Slow or Even Stop Coronavirus Transmission and Ease Us Out of Lockdown, BIG DATA INSTITUTE (April 16, 2020). יתקין את היישומון הייעודי לאיתור מגעים על מנת שהוא ישמש ככלי יעיל ומדויק לאיתור מגעים.
- יישומון מיועד לרוב להתקנה על טלפון סלולרי חכם ובישראל ציבור גדול של משתמשי טלפונים "כשרים". עם זאת, מדובר לפי הנתונים הקיימים על כ-חצי מיליון בעלי טלפונים כשרים מתוך ציבור של כמיליון חרדים בישראל, וגם מתוך קבוצה זו יש מספר רב של משתמשים המחזיקים במקביל בטלפון חכם או לחלופין משתמשים בטלפון חכם כשר אשר ניתן להתקין בו אפליקציות מבוססות מיקוםראו מוטי גרין, יצאנו לבדוק: כמה תשלמו על סמארטפון, ואיזה מכשיר הוא הכשר ביותר?, בחדרי חדרים (י"ח בשבט, תשע"ז; 14 בפברואר, 2017); עומר כביר, אלה האפליקציות שיריצו אתכם לקלפי, כלכליסט (05.02.20); דני זקן, איך מצליחות המפלגות החרדיות להגיע את כל הקהלים שלהן, גלובס (16.09.19). טלפונים כשרים כאלה מותרים לשימוש על ידי וועדת הרבנים כבר משנת 2013 ונעשה בהם שימוש רב למשל ביישומונים שמטרתם לסייע למפלגות החרדיות להניע בוחרים. או יישומונים על מערכת ההפעלה של המכשיר.
- יש צורך בהשקעת מאמצים בפרסום נרחב ופעולות מתחום הכלכלה ההתנהגותית כדי שהציבור יוריד באופן מסיבי את היישומון (למשל תגמול כספי באמצעות שוברים (וואוצ'רים) על הורדת יישומונים ועל הסכמה להעביר נתונים אחורה לשרת מדינתי).
- יש צורך בשכבת הגנת סייבר שלא תאפשר לגורמים עוינים לפרוש משדרים או מקלטים שיעוותו את נתוני המגעים הנשמרים על גבי היישומון או יעשו בהם שימוש לרעה.
תתי חלופות, מאפיינים של יישומונים לאיתור מגעים, היבטי פרטיות וקשיים אפשריים:
א. עיקרון מיזעור המידע,עיקרון מיזעור המידע או צמידות המטרה מבוסס על סעיף 2(9) לחוק הגנת הפרטיות, התשמ"א – 1981, ומופיע גם בסעיפים 5(1) ו-6(4) ל-GDPR. פרטי המידע הנאספים וטכנולוגיית האיסוף (נתוני איכון סלולרי, GPS, WIFI, Bluetooth)
נתוני איכון סלולרי ניתנים לאיסוף באמצעות רשת הסלולר עצמה, כלומר, באופן רחב ועל ידי חברות הסלולר, ואף ללא התקנת יישומון ייעודי או שמירתם על מכשיר הסלולר האישי של המשתמש. כך, למשל, הם ניתנים למעקב ע"י השב"כ.
מנגד, אותות (BLE) אינם מצביעים על מיקומו או תנועותיו של המשתמש, הם נשמרים רק על מכשירו האישי של המשתמש ואינם נשמרים במקביל על ידי חברות הסלולר.
בנוסף, נתוני איכון סלולרי פחות מדוייקים לעומת אותות BLE ו – WIFI. באיכון סלולרי רמת דיוק של עד 500 מטר ובמעקב BLE מדובר ברמת דיוק של 2 מטר. חוסר הדיוק נובע מגודל התאים הסלולריים והעובדה שנתוני איכון סלולרי מבוססים על אותות GPS שעשויים להיות חלשים כתוצאה מתנאי מזג אויר או הפרעות פיזיות. איכון סלולרי גם מתקשה בזיהוי קירבה בממד הגובה, ולכן אינו מדויק במרחב עירוני צפוף ובמבני קומות.
כמו כן, לשם השגת התכלית של איתור מגעים בלבד אין צורך במעקב אחר תנועותיו של חולה הקורונה במרחב הגיאוגרפי אלא רק בידיעה מי היה בסמיכות פיזית אליו לפי מדדים אפידמיולוגים.כיום מדובר על מרחק של עד 2 מטרים למשך 15 דקות ומעלה. לשם כך אין צורך בידיעת המועד המדויק (יום ושעה מדויקים) בו הגיע אדם למיקום גיאוגרפי מסוים אלא די בידיעת התאריך ומשך זמן השהייה בקרבת מכשירי סלולר סמוכים.
יישומון המבוסס על אותו BLE אומד את הסמיכות הפיזית באופן הבא: עם התקנת היישומון על מכשיר הטלפון מקבל היישומון מפתח הצפנה להפקת קודי זיהוי אקראיים. אין מדובר ב"שם בדוי" (פסדונים) קבוע ובוודאי שאין מדובר בנתוני זיהוי של המכשיר. לפי מפתח ההצפנה נשלח צופן שונה בכל פרק זמן נתון (בין דקה לחמש עשרה דקות) והיישומון משדר את קודי זיהוי האקראי בפערי זמן אלה. ככל שפערי הזמן בין שידור לשידור נמוכים חישוב משך הזמן לקיומה של סמיכות פיזית מדויק יותר. שידור קודי הזיהוי האקראיים נעשה באמצעות אותות BLE שהם אותות בעוצמה נמוכה יחסית וכך מובטח שהאותות לא יקלטו במרחקים פיזיים גדולים.אותות ה Bluetooth כן עשויים להיקלט מבעד לקירות סמוכים, בעוד נגיף הקורונה אינו חודר דרך קירות. מפתחי היישומונים נתנו דעתם לאפשרות זו בהתייחסם לאופן עיבוד וקביעת הסמיכות הפיזית. עם זאת, יתכנו אחוזים נמוכים של דיווחי סמיכות פיזית שגויים עקב תכונה זו של אותות Bluetooth. ראו Andy Greenberg, Does Covid-19 Contact Tracing Pose a Privacy Risk? Your Questions, Answered, Wired (April 17, 2020). בנוסף, מאחר ומדובר בקודי זיהוי אקראיים המופקים על ידי מפתח הצפנה הנמצא על גבי מכשיר הטלפון עצמו, שני אותות שנשלחו מהמכשיר של משתמש מסוים לא ייראו אותו הדבר ולא יוכלו לסמן בעתיד כי נוצרו באותו המכשיר.נעיר כי יישומון איתור המגעים ההודי, Aarogya Setu, מעניק לכל משתמש קוד זיהוי קבוע. תכונה זו היא אחת הסיבות שהיישומון נחשב כפוגעני מבחינת הזכות לפרטיות. ראו Sarvesh Mathi, India’s Covid-19 App Is A Privacy Nightmare, ONE ZERO (May 7, 2020). כל מכשיר טלפון שעליו מותקן היישומון קולט ושומר אצלו "לוג אותות" של כל קודי הזיהוי המשודרים בסביבתו ממכשירים אחרים, בצירוף חותם זמן ועוצמת אות ה-Bluetooth שנקלטה, כדי להעריך את המרחק הפיזי בין המכשירים. הקביעה האם משתמש נחשף לחולה קורונה מאומת נעשית על ידי השוואת קודי הזיהוי השמורים על מכשירו האישי עם אלו שנשמרו על מכשיר הסלולר של החולה ובדיקה האם נתקבלו קודי זיהוי זהים ברצף, כדי לוודא שהסמיכות הפיזית היתה אכן לפרק זמן הנדרש לפי המדדים האפידמיולוגיים. במקרה של חפיפה המסקנה המתבקשת היא שחולה הקורונה והמשתמש היו בסמיכות פיזית זה עם זה ועל המשתמש להיכנס לבידוד.
כלומר, אותות BLE מספקים בדיוק את נתוני מידע דרושים אלו, ועומדים משום כך בעיקרון מזעור המידע. הם אינם מאפשרים איסוף נתוני מידע נוספים שאינם נדרשים לשם השגת התכלית של איתור מגעים.
לכן, ההבדלים בין נתוני איכון סלולרי לבין אותות BLE מלמדים שפוטנציאל השמירה על הפרטיות באמצעות BLE גדול בהרבה לעומת נתוני איכון סלולרי. משום כך גם המליץ האיחוד האירופי לעשות שימוש בטכנולוגיות BLE ביישומונים למעקב מגעים בזמן הקורונה.Communication from the Commission, Guidance on Apps Supporting the Fights Against COVID 19 Pandemic in Relation to Data Protection (2020/C 124/I/01).
מסקירת יישומוני איתור המגעים הקיימים כיום בשימוש במדינות דמוקרטיות בעולם עולה כי מרביתם מבוססים על איסוף מידע באמצעות אותות BLE. במובן זה, איסוף המידע שלהם מדוייק בהרבה מזה של השב"כ והם אינם זקוקים למידע נוסף משלים (כגון היסטוריית שיחות, הודעות וגלישה) ולחקירה אפידמיולוגית מקיפה על ידי אנשי מקצוע.
הקושי הטכנולוגי
יישומון המתבסס על איסוף מידע באמצעות אותות BLE מחייב הפעלה פרואקטיבית תמידית וקבועה של משדר ה Bluetooth במכשיר הטלפון הסלולרי. כלומר, מכשיר הסלולר חייב להישאר פתוח (לא נעול) כל העת על מנת לאפשר את שידור אותות ה BLE בפרקי זמן קצרים.השארת המכשיר פתוח אינה הכרחית בחלק מהמכשירים מבוססי מערכת ההפעלה של אנדרואיד. כתוצאה מכך, יישומונים אלו צורכים חיי סוללה ועל כן ההיענות הקיימת להתקינם עשויה להיות נמוכה.
עם זאת ניתן להתגבר על קושי זה. כך, ממשלת אוסטרליה ניהלה מגעים עם חברת אפל בנושא יישומון איתור המגעים האוסטרלי (COVIDSafe). בסופם נקבע שהיישומון יתוכנן כך שיהיה חייב להיוותר פתוח על מנת לפעול אך ימשיך בפעולתו גם אם המשתמש נועל את מסך מכשיר הטלפון. באופן זה מצטמצמת צריכת חיי הסוללה של היישומון.Josh Taylor, Covidsafe App: How Australia’s Coronavirus Contact Tracing App Works, What It Does, Downloads and Problems, THE GUARDIAN (May 5, 2020).
בנוסף, החל מאמצע מאי קושי זה כנראה לא יהיה רלוונטי לחלק מיישומוני איתור המגעים. זאת משום שענקיות הטכנולוגיה אלפבית ואפל הודיעו על שיתוף פעולה נדיר ביניהן שבמסגרתו ישחררו באמצע חודש מאי API אשר יאפשר פיתוח והתקנת יישומונים שיעשו שימוש באותות Bluetooth ברקע של מערכת ההפעלה וכך להימנע מזלילת חיי סוללה. החברות הודיעו כי יאפשרו זאת באופן מוגבל אך ורק ליישומונים למטרת איתור מגעים (מכונה על ידן "exposure notification") שיופעלו על ידי או עבור ממשלות או שירותי בריאות כחלק מהמאבק בהתפשטות נגיף הקורונה.Apple and Google Partner on COVID-19 Contact Tracing Technology, APPLE NEWSROOM (April 10, 2020); Darrell Etheringron, Apple and Google Release Sample Code, UI and Detailed Policies for COVID-19 Exposure-Notification Apps, TECHCRUNCH (May 4, 2020).
אולם ההישענות על ה API של חברות אלו מחייב ציות לדרישות הארכיטקטורה, לסטנדרט הגנת הפרטיות ולתנאי השימוש שיקבעו ענקיות הטכנולוגיה בעצמן ועל דעתן.הבעייתיות בחובת הציות לדרישות הארכיטקטורה של אלפבית ואפל באה לידי ביטוי באימוץ הגישה הביזורית לעומת הגישה הריכוזית כפי שנדון בסעיף ג להלן. בכל הקשור לפרטי המידע הנאספים על ידי יישומוני איתור מגעים ייעודיים כבר הודיעו ענקיות הטכנולוגיה כי לא יאפשרו שימוש באיכון סלולרי במערכת חשיפת המגעים שבכוונתן להטמיע במערכות ההפעלה שלהם בתחילת יוני ושתייתר את הצורך בהתקנת יישומון ייעודי נוסף.Stephen Nellis & Paresh Dave, Apple, Google Ban Use of Location Tracking in Contact Tracing Apps, REUTERS (May 4, 2020).
ב. שמירת המידע ומחיקתו
על מנת לאפשר איתור מגעים יעיל יש לשמור את המידע הנחוץ להגשמת תכלית זו למשך תקופה של לפחות 14 יום שזהו, ככל הידוע כיום, משך זמן דגירת נגיף הקורונה בגוף האדם לפני התפרצות מחלת הקורונה. בתום תקופת הזמן הרלוונטית לאיתור מגעים מבחינה אפידמיולוגית המידע אינו נחוץ עוד להגשמת התכלית של איתור המגעים, ועל כן מבחינת הגנת הזכות לפרטיות יש למחוק אותו.מרגע שהמידע אינו נחוץ עוד להגשמת המטרה אין בעל השליטה במידע מורשה עוד לעשות בו שימוש לפי דרישת קיום המטרה שבסעיף 2(9) לחוק הגנת הפרטיות, התשמ"א – 1981. דרישת המחיקה נלמדת גם לפי סעיפים 5(1), 6(4) ו-17(1)(a) ל-GDPR.
נציבות האיחוד האירופי, למשל, הנחתה את מפתחי יישומוני איתור המגעים לשמור את המידע כל עוד הוא נחוץ לשם איתור ואזהרת אנשים העלולים להיחשף לחולה קורונה. על בסיס הנחיה זו גזרה הנציבות תקופת זמן שאינה עולה על חודש (תקופת דגירה של הנגיף המוערכת בכ-14 ימים + מרווח ביטחון). בסיום תקופת זמן זו או במידה שהמשתמש נבדק ונמצא שלילי לנגיף הקורונה יש לפי הנחיית הנציבות למחוק את המידע גם ממכשיר הסלולר של המשתמש.Communication from the Commission, Guidance on Apps Supporting the Fights Against COVID 19 Pandemic in Relation to Data Protection (2020/C 124 I/01)).
באשר למיקום המידע במהלך תקופת שמירתו, שמירת המידע בזיכרון הפנימי של מכשיר הסלולר האישי של המשתמש והכרה בזכותו להסיר את היישומון בכל עת ולמחוק בדרך זו את כל המידע שנאגר עליו ע"י היישומון מאפשרת את שליטתו של המשתמש במידע ומהווה מדד להגנה חזקה יותר על זכותו לפרטיות. כאשר המידע שנאסף על המשתמש מועבר מראש לשרת מרכזי שבידי גוף ציבורי או פרטי האמון על ביצוע איתור המגעים המדובר במידע רב הנחשף לעיני אותו גוף שלא לצורך, בכל הקשור במשתמשים שלא חלו בקוקונה או שלא נחשפו לחולה כאמור, ופוטנציאל הפגיעה בפרטיות גבוה יותר.
ג. מקום הפיענוח של ההצפנה, ביצוע עיבוד המידע ומורשי הגישה אליו - גישה ריכוזית מול גישה ביזורית
על מנת לבצע איתור מגעים, כלומר לבחון מי היה בסמיכות פיזית למשתמש שנמצא חולה קורונה, יש צורך בעיבוד המידע שנאגם עליו על ידי היישומון ובחינה לפי נתוני האיכון הסלולרי או "לוג האותות", כאשר מדובר ביישומון הנשען על איסוף אותות BLE, מיהם המשתמשים ששהו בסמיכות פיזית אליו.
בכל הנוגע למידע שנשמר על מכשיר הסלולר האישי של המשתמש, קיימות כיום שתי חלופות למורשיי הגישה למידע ולעיבודו לשם איתור מגעים:
- הגישה הריכוזית: המידע (או "לוג האותות") שנשמר על גבי מכשיר הטלפון של משתמש א', שנמצא חולה קורונה, מועברים, אם משתמש א' מסכים לכך, לשרת מרכזי שבשליטת רשות הבריאות הממשלתית במדינה. בידי המדינה או רשות הבריאות נמצאים המפתחות לפיענוח ההצפנה של המידע המותמם שנאגם על המשתמש וכך היא מזהה את המשתמשים שנמצאו בסמיכות פיזית למשתמש א' חולה הקורונה ומודיעה להם להיכנס לבידוד. משרד הבריאות לא יודע בהכרח היכן היה המפגש בין הטלפונים אלא את עצם העובדה שמפגש כזה התרחש.
הגישה הריכוזית, המבוססת על הפרוטוקול של קבוצת המומחים שהקימה את פרויקט PEPP-PTראו להלן בטבלה שבסעיף 4. שבהובלת חברת הבינה מלאכותית Arago הגרמנית,עם זאת, בשיחות רשמיות עם נציגי פרויקט PEPP-PT הם הבהירו שהארכיטקטורה המוצעת על ידם תומכת הן בגישה הביזורית והן בגישה הריכוזית, שכן לטענתם שתי הגישות מספקות רמת הגנת פרטיות נאותה והבחירה בין גישה ריכוזית לביזורית צריכה להיעשות על ידי המדינה. ראו: Lauria Clarke, European Coronavirus Contact Tracing App Sparks Uproar in the Privacy Community, NS TECH (April 17, 2020). או על ארכיטקטורה אחרת, מוטמעת ביישומון איתור המגעים "המגן" הישראלי,רן בר זיק, המגן: משרד הבריאות הוציא אפליקציה למחמה בקורונה, והפעם כמו שצריך, הארץ (22 במרץ, 2020). "TraceTogether" בסינגפור,GovTech, TraceTogether – Behind the Scenes Look at its Development Process (March 25, 2020). ביישומון האוסטרלי COVIDSafe המבוסס עליו,Josh Taylor, Covidsafe App: How Australia’s Coronavirus Contact Tracing App Works, What It Does, Downloads and Problems, THE GUARDIAN (May 5, 2020). ביישומון StopCovid שבשימוש ממשלת צרפת,Isobel Asher Hamilton, France Attacked Apple for not Helping to Build Its Contact-Tracing App, BUSINESS INSIDER (06.05.20). ביישומון NHS CV19 שבשימוש ממשלת אנגליה,Hasan Chowdhury, Matthew Field & Margi Murphy, NHS Contact Tracing App: How Does it Work and When Can You Download it?, THE TELEGRAPH (May 6, 2020). ובישומון Aarogya Setu שבשימוש ממשלת הודו.Campbell Kwan, India Orders Mandatory Use of COVID-19 Contact Tracing App for All Workers, ZDNET (May 4, 2020); Ankit Kumar, How Aarogya Setu Works, and How It Compares to Contact Tracing App in Other Countries, INDIA TODAY (May 6, 2020). גרמניה שתחילה צידדה אף היא בגישה הריכוזית חזרה בה והודיעה ב 27.04.20 שבכוונתה לפתח אפליקציה שתתבסס על הגישה הביזורית.Douglas Busvine & Andreas Rinke, Germany Flips to Apple-Google Approach On Smartphone Contact Tracing, REUTERS (April 26, 2020).
- היתרון: למדינה יש שליטה במידע שממנו אפשר להבין מי חייב בידוד ולגבי שרשרות ההדבקה.
- החשש: כאשר המידע מועבר לשרת מרכזי שבשליטת המדינה ובידה גם המפתחות לפיענוח ההצפנה מתעורר החשש מפני זיהוי חוזר של נושא המידע וחשיפת זהותו ומכלול תנועותיו. למשל, על ידי קישור לכתובת ה-IP של מכשיר הסלולר האישי שלו אפשר לגלות את כתובת המגורים של בעל המכשיר ולזהותו. זיהוי חוזר עלול להוביל לשימוש לרעה במידע על ידי המדינה או גופים מסחריים שיצליחו לשים את ידם על המידע.The DP-3T Project, Security and Privacy Analysis of the Document ‘PEPP-PT: Data Protection and Information Security Architecture’ (April 19, 2020). למשל, המדינה עלולה לפענח אותות המשודרים ממכשירים של משתמשים שלא זוהו כחולי קורונה, לדוגמא – לזהות את כל האנשים שהגיעו להפגנה מסויימת.
- הגישה הביזורית: כאשר משתמש א' נמצא חיובי לנגיף הקורונה ומעדכן בכך, מרצונו החופשי, את היישומון, שולח היישומון (דרך שרת מרכזי כחלק מתעבורת המידע) את המפתחות ששימשו להצפנת המידע על משתמש א' לכל המשתמשים האחרים של היישומון (להלן יכונו במרוכז "משתמש ב'"). אז מתבצע בכל מכשיר סלולרי שעליו מותקן היישומון פיענוח של המידע המוצפן שהתקבל ממשתמשים אחרים ועיבודו על מנת לבחון האם התקיימה סמיכות מגעים בין משתמש א' למשתמש ב'.כלומר, כאשר היישומון נשען על איסוף קודי זיהוי מותממים באמצעות אותות BLE, שולח משתמש א', שאובחן כחולה קורונה ומעוניין לשתף אחרים במידע על כך, את המפתחות ששימשו להצפנת קודי הזיהוי לאורך התקופה הקובעת לאיתור מגעים (שכיום עומדת על 14 ימים לפי מדדים אפידמיולוגיים) למשתמש ב'. היישומון המותקן על גבי מכשיר הסלולר של משתמש ב' בודק האם מפתחות ההצפנה שנשלחו מתאימים לפיענוח אי אלו מקודי הזיהוי שנקלטו על ידו ונשמרו בזיכרון הפנימי של מכשיר הסלולר של משתמש ב'. במידה ונמצאה התאמה, וקודי הזיהוי המפוענחים על ידי מתפחות ההצפנה נשלחו ברצף לזמן העולה על 15 דק' (לפי המדדים האפידמיולוגיים הקיימים כיום) ישלח היישומון הודעה למשתמש ב' כי הוא שהה בסמיכות פיזית לחולה קורונה. כלומר, הבדיקה האם התקיימה סמיכות פיזית לחולה קורונה מתבצעת על מכשיר הסלולר האישי של כל משתמש ולא על גבי שרת מרכזי שבשליטת משרד הבריאות או גוף ציבורי או פרטי אחר. למשתמשים מסור שיקול הדעת מה לעשות והאם להיכנס לבידוד נוכח הידיעה ששהו בסמיכות פיזית לחולה קורונה. כמו כן, בגישה הביזורית לא ניתן לחבר את הזהות האמיתית של המשתמש אל האותות המשודרים ממכשיר הסלולר שלו, והשליטה האם לחשוף את הזהות (כלומר המפתח לחשיפה) נמצאת בידי המשתמש ולא בידי משרד הבריאות או החברה המספקת את היישומון. כלומר, המידע המועבר למשרד הבריאות לא מאפשר למשרד הבריאות לדעת היכן היתה החשיפה; האם שני אנשים שונים נחשפו לאותו חולה אלא רק שהתקיימה חשיפה.
לפי הדיווחים, ביישומונים הפועלים לפי השיטה הביזורית נוספה בימים האחרונים אפשרות המקנה למשתמש את זכות הבחירה האם לאשר את העברת מספר הטלפון שלו או פרטים מזהים אחרים על מכשיר הנייד שלו לרשויות הבריאות וכך להקל על רשויות הבריאות להיות עמו בקשר ולספק לו עצות כיצד עליו לנהוג במידה וקיים חשש שנחשף לחולה קורונה או נדבק בעצמו בנגיף.Douglas Busvine & Andreas Rinke, Germany Flips to Apple-Google Approach On Smartphone Contact Tracing, REUTERS (April 26, 2020). כך, למשל, היישומון המוצע על ידי חברת TrackVirus בשיתוף עם ארגון איחוד הצלה נוקט את הגישה הביזורית תוך הותרת הבחירה בידי המשתמש. היישומון מנטר את מסלול תנועתו של המשתמש ושומר את המידע על גבי מכשיר הסלולר האישי. בקבועי זמן מוגדרים משווה היישומון את המידע שאגור אצלו למסד הנתונים של משרד הבריאות ובודק האם קיימת חפיפה. במידה שנמצאה חפיפה מקבל המשתמש התראה כי נחשף לחולה קורונה וכי עליו ליצור קשר עם רשות הבריאות המקומית ולדווח על כך. אם משתמש נמצא חולה קורונה ואותר על ידי רשות הבריאות, באפשרותו לייצא את היסטוריית המיקומים שלו לשרת משרד הבריאות.https://1221.org.il/track-virus/; https://www.track-virus.com/.
בקווים המנחים שפרסמה נציבות האיחוד האירופי נקבע שהגישה הביזורית עומדת בצורה טובה יותר בדרישת מיזעור המידע לפי ה-GDPR, אולם לא ניתנה הנחייה המחייבת העדפת הגישה הביזורית על פני הגישה הריכוזית.Communication from the Commission, Guidance on Apps Supporting the Fights Against COVID 19 Pandemic in Relation to Data Protection (2020/C 124 I/01)). הגישה הביזורית, המבוססת על הפרוטוקול של קבוצה אקדמית המכונה DP-3T,https://github.com/DP-3T/documents/ . תוטמע ביישומון שבשימוש ממשלת גרמניה,Douglas Busvine & Andreas Rinke, Germany Flips to Apple-Google Approach On Smartphone Contact Tracing, REUTERS (April 26, 2020). ב Immuni שבשימוש ממשלת איטליה וב-DP-3T שבשימוש ממשלות שוויץ ואוסטריה.Miles Johnson, Leila Abboud, Helen Warrell & Tim Bradshaw, Europe Split Over Approach to Virus Contact Tracing Apps, FINANCIAL TIMES (May 1, 2020). היו שהציעו כי הגרסה העתידית של יישומון "המגן" הישראלי תנקוט אף היא בגישה הביזורית לפחות בנוגע לאותות ה-BLE.https://github.com/eyalr0/HashomerCryptoRef
בנוסף, כחלק מהתווית הארכיטקטורה והעדפות הפרטיות שדורשות ענקיות הטכנולוגיה אלפבית ואפל הודיעו החברות שיאפשרו שימוש ב-API שלהן רק ליישומונים שינקטו את הגישה הביזורית, כאשר למשתמש שאובחן כחולה קורונה ניתנת הבחירה האם להעביר את לוג האותות שלו למאגר המידע של רשות הבריאות המקומית המכיל את לוג האותות של חולי קורונה מאומתים. רשות הבריאות המקומית לא תוכל לדעת את זהותו אך מידע על תנועותיו הנדרש לשם בחינת הסמיכות הפיזית למשתמשים אחרים יועבר לשרת מרכזי שלה.Apple & Google, Exposure Notification, Frequently Asked Questions, Preliminary – Subject to Modification and Extension 3, 5 (May 2020, v. 1.1). עמדתן של ענקיות הטכנולוגיה כבר משפיעה על מדינות נוספות שתחילה דווח שיעשו שימוש בגישה הריכוזית אולם עתה הן שבו להתלבט בנושא. כך, למשל, נטישת הגישה הריכוזית ואימוץ גישה ביזורית על ידי גרמניה הושפעה, לפי הדיווחים, מסירובה של חברת אפל לאפשר שימוש באותות BLE ע"י יישומון המבוסס על גישה ריכוזית.Douglas Busvine & Andreas Rinke, Germany Flips to Apple-Google Approach On Smartphone Contact Tracing, REUTERS (April 26, 2020); Natash Lomas, Germany Ditches Centralized Approach to App for COVID-19 Contacts Tracing, TECHCRUNCH (April 28, 2020). ממשלת צרפת שיישומון איתור המגעים שפיתחה מבוסס על הגישה הריכוזית במטרה, לטענתה, לאפשר שליטה בניהול משבר הקורונה לרשות הבריאות הממשלתית, תקפה לאחרונה את חברת אפל על סירובה של זו לאפשר שימוש באותות BLE ברקע מערכת ההפעלה גם במסגרת הגישה הריכוזית.Isobel Asher Hamilton, France Attacked Apple for not Helping to Build Its Contact-Tracing App, BUSINESS INSIDER (06.05.20).
כפיית הארכיטקטורה הביזורית על ידי ענקיות הטכנולוגיה אלפבית ואפל הינה בעלת השלכות מרחיקות לכת. היא הובילה לפיצול בין המדינות החברות באיחוד האירופי, שחלקן (צרפת, אנגליה ונורבגיה) בחרו בגישה הריכוזית בנימוק שזו הגישה אשר תאפשר לשירותי הבריאות להתכונן ולנהל ביעילות גל התפרצות נוסף של הנגיף, בעוד גרמניה, שוויץ, אוסטריה ואיטליה בחרו לאמץ את הגישה הביזורית בעיקר בכדי ליצור יישומון שהפעלתו קלה בניסיון להביא לאימוצו המהיר ע"י מספר רב של משתמשים.Leila Abboud, Joe Miller & Javier Espinoza, How Europe Splintered Over Contact Tracing Apps, Financial Times (May 10, 2020).
נציבות האיחוד האירופי פועלת לגישור על הפערים בניסיון להביא לאימוצה של גישה אחידה ע"י כל מדינות האיחוד ואף רואה בשיתוף הפעולה בין אלפבית וגוגל הזדמנות ל"שלום" בין נציבות האיחוד האירופאי לענקיות הטכנולוגיה, כל עוד אלה יפעלו בשקיפות.Vivienne Walt, Europe’s Digital Czar Says COVID-19 Gives Big Tech a Chance to Redeem Itself, Time (May 6, 2020).
יש הטוענים שבכל הקשור לאיתור מגעים, התעקשות זו הובילה להיווצרותה של משוואת איזונים שגויה בין פרטיות ליעילות ומיצבה את הזכות לפרטיות ככזו הפוגמת באופן בלתי מידתי ביכולתן של מדינות לנהל ביעילות את מאבקן בנגיף הקורונה ולהגן על בריאות הציבור.Zack Doffman, Forget Apple and Google: Contact-Tracing Apps Just Dealt Serious New Blow, FORBES (May 12, 2020). בנוסף, היא מבליטה בכל העוצמה את כוחן של ענקיות הטכנולוגיה לכפות מדיניות אף אם זו מנוגדת לרצונן של ממשלות נבחרות. מעניין שבארה"ב, מדינת הבית של ענקיות הטכנולוגיה, נראה שמחלחלת דווקא ההבנה שהפעם התפיסה כאילו ביכולתה של הטכנולוגיה לתקן את כל בעיות העולם היא יותר מיתוס מאשר אמת, ויישומונים ביזוריים לא יועילו. מדינות כגון ניו יורק, קליפורניה ומסצ'וסטס וערים כגון בולטימור וסאן פרנסיסקו בחרו שלא להישען כלל על הטכנולוגיה במאמציהן לאיתור מגעים בנימוק לחוסר יעילות והעדפת גיוס כוח אדם נוסף למשימה.Fred Vogelstein & Will Knight, Health Officials Say ‘No Thanks’ to Contact-Tracing Tech, Wired (May 8, 2020); Jack Kelly, Contact Tracing: A Newly Created ‘Big Brother’ Bureaucracy Tracks Down COVID-19 – Infected People And Those Who Have Been In Contact With Them, FORBES (May 12, 2020).
- היתרון: הגנה על פרטיות המשתמשים ברמה גבוהה יותר לעומת הגישה הריכוזית, כתנאי מוקדם לכך שמשתמשים ירצו להוריד את היישומון וכן לא ינסו "לרמות" אותו באמצעות כיבוי או הותרתו בבית.
- החששות:
- הכניסה לבידוד בהתאם לממצא של איתור המגעים מותנה ברצונו הטוב של המשתמש חולה הקורונה כאשר לרשות האחראית על בריאות הציבור אין כל שליטה או מידע על זהותו ועל מעשיו ולכן אין תועלת שלטונית. עם זאת, ניתן לחייב משתמש שנמצא חיובי לנגיף הקורונה ושנתוני המגעים שלו נשמרו על המכשיר האישי שלו באמצעות היישומון, להעביר את הנתונים לשרת של משרד הבריאות או של חברה פרטית.סעיף 20(1)(ג) לפקודת בריאות העם, 1940 מסמיך את מנכ"ל משרד הבריאות להתקין, בצו או בהוראה או בכל דרך אחרת, הוראות שיחייבו כל אדם, לרבות קופות החולים, לעשות "כל עניינים או דברים שימצאם רצויים לשם מניעתה או הקלתה של המחלה." מכוח סמכות זו ניתן לחייב שיתוף פעולה עם חקירה אפידמיולוגית בדרך של העברת היסטוריית המגעים ממכשיר הטלפון האישי לשרת משרד הבריאות.
- חלק מהמומחים הטכנולוגיים טוענים שמכשירי הסלולר האישיים לא יוכלו לעמוד, מבחינת כוח המיחשוב שלהם, בעיבוד הנדרש לפיענוח ההצפנה של כל קודי הזיהוי של כל חולה קורונה שיעביר את הנתונים לגביו (ככל שיותר אנשים ישתמשו ביישומון וככל שיהיו יותר חולים שאת הנתונים שלהם יהיה צריך לבדוק יהיה מדובר בכמויות אדירות של דאטה). אחד הפתרונות (למשל זה שהוצע על ידי קואליציית אלפבית ואפל) הוא לחלק לאיזורים ומדינות ומשתמשים יקבלו מידע רק בנוגע לאיזור שלהם. עם זאת הפתרון מעורר שני קשיים – רמת הרזולוציה של המיקום (יכולה להגביר אפשרות לזיהוי חוזר); צורך בנתוני מיקום באמצעות GPS בנוסף על אותות BLE.
ד. יעילות איתור המגעים באמצעות יישומון ייעודי - בהתחשב בהיקף התקנתו על ידי הציבור
(1) נכונות אחוז ניכר מהציבור להתקין את היישומון על מכשיר הסלולרי
יעילותו של יישומון ייעודי לאיתור מגעים תלויה בהיקף התקנתו ע"י אחוז ניכר מהאוכלוסייה.חוקרים מאוניברסיטת אוקספורד סוברים שיש צורך בהתקנת היישומון ע"י לפחות 60% על מנת שהיישומון ישיג את תכליתו – איתור מגעים – ביעילות. ראו: Digital Contact Tracing Can Slow or Even Stop Coronavirus Transmission and Ease Us Out of Lockdown, BIG DATA INSTITUTE (April 16, 2020). אחד החששות המרכזיים בהישענות על יישומון ייעודי שהתקנתו וולונטרית היא היעדר שיתוף פעולה מצד הציבור אשר ימנע מהתקנת היישומון. ככל שהיישומון יקשה על השימוש במכשיר הטלפון החכם, אם על ידי האטתו או צריכת חיי סוללה מוגברת, תפחת גם נכונות הציבור להתקינו.
אי עמידתו של היישומון בסטנדרט הגנת הפרטיות שדורשות ענקיות הטכנולוגיה אפל וגוגל עשוי למנוע את האפשרות לעשות שימוש ב-API שיפרסמו לשם הפעלת היישומון ברקע מערכת ההפעלה וכתוצאה קשיים אלו הבאים לידי ביטוי בצריכת חיי סוללה מוגברת והכבדה על פעילות המכשיר עלולים להתגבר.אפל וגוגל דורשות שהיישומון יופעל בהתאם לגישה הביזורית ובעתיד גם שלא יעשה שימוש באיכון סלולרי. ראו הטקסט הנלווה להערות שוליים 47 - 49.
נכונות נמוכה בקרב הציבור להתקין את היישומון עלולה להתרחש גם אם היישומון יספק דיווחים מוטעים בנוגע לחשיפה לחולה קורונה מאומת והצורך להיכנס לבידוד, כפי שהיה עם יישומון "המגן" בתחילת דרכו.עודד ירון, משתמשים מדווחים על תקלות בזיהוי מיקום ליד חולי קורונה באפליקציות המגן, הארץ (28.03.20); רפאל קאהאן, משבר הבריאות: תקלה באפליקציית המגן המאתרת חולי קורונה, כלכליסט (29.03.20); אדיר ינקו, משרד הבריאות על התקלה באפליקציית "המגן": "הפעילו שיקול דעת", Ynet (29.03.20).
החשש מפני היעדר שיתוף פעולה מצד הציבור והימנעות מהתקנת היישומון על ידו אינו מנת חלקה של ישראל לבדה. מדינות דמוקרטיות רבות מתמודדות עתה עם סוגיה זו. בבחינת חוקיות השימוש ביישומון איתור מגעים ייעודי אף המליצה נציבות האיחוד האירופאי שהתקנת היישומון תהיה וולונטרית וכי חיוב התקנת היישומון יכול להיעשות רק מכוח חוק נחוץ, ראוי ומידתי לשם השגת מטרות מסוימות.(Communication from the Commission, Guidance on Apps Supporting the Fights Against COVID 19 Pandemic in Relation to Data Protection (2020/C 124 I/01)).
באוסטרליה, למשל, הסביר ראש הממשלה טרם הפצת היישומון לאיתור מגעים COVIDSafe לציבור, כי אינו פוסל הפיכת התקנתו לחובה על כלל האוכלוסייה.Amanda Meade, Australian Coronavirus Contact Tracing App Voluntary and With ‘No Hidden Agenda’, Minister Says, The Guardian (April 18, 2020). אולם, בחוק שנחקק לקראת הפצת היישומון לציבור נאסר על התניית כניסה למקומות שונים או קבלת שירות או מוצר בחיוב התקנת היישומון,Biosecurity (Human Biosecurity Emergency) (Human Coronavirus with Pandemic Potential) (Emergency Requirements – Public Health Contact Information) Determination 2020 (25 April, 2020), סעיף 9. ועם הפצת היישומון לציבור הכריזו ראש הממשלה ושריו כי מדובר ביישומון שהתקנתו וולונטרית.Fergus Hunter, Scott Morrison Rules Out Making Virus Tracing App Mandatory, THE SYDNEY MORNING HERALD (April 18, 2020). עם זאת ממשלת אוסטרליה השקיעה רבות בשיווק היישומון לציבור ובהסברת חשיבות התקנתו על ידי מספר רב ככל האפשר של אנשים באמצעות קמפיין תקשורתי מקיף שכלל סרטונים, כרזות רחוב, דיווחי רדיו ופוסטים ברשתות החברתיות.COVIDSafe App Campaign Resources, https://www.health.gov.au/resources/collections/covidsafe-app-campaign-resources. ראש ממשלת אוסטרליה התראיין פעמים רבות בתקשורת והסביר שהתקנת היישומון היא המפתח לחזרה הדרגתית לשגרה, להתנעת הכלכלה. עוד השווה את היישומון לקרם הגנה מפני חשיפה לשמש. היישומון, כך הסביר, יגן על המשתמש ומשפחתו, על עובדי מערכת הבריאות ובסופו של דבר יגן על מקור הכנסתו של המשתמש ומשפחתו שכן יאפשר התנעת הכלכלה האוסטרלית מחדש.Australians Urged to Sign Up to Tracking App, BBC NEWS (April 29, 2020); Treat Tracing App Like Sunscreen: Aussie PM, OTAGO DAILY TIMES (April 29, 2020); מאמצי התקשורת נשאו פרי ובתוך 10 ימים הותקן היישומון על ידי מספר שיא של 5 מיליון משתמשים.Coronavirus Tracing App CovidsAFE Hits 5 Million Downloads as Government Concedes Incompatibility With Older Phones, ABC NEWS (May 6, 2020).
באנגליה העומדת להפיץ באמצע מאי יישומון איתור מגעים בפיתוחה (NHS CV19), פועלת הממשלה כבר עכשיו במאמצי הסברה מקיפים המבהירים כי התקנת היישומון היא שתאפשר לשמור ולהגן על המשתמש ומשפחתו, תמנע את הצפת מערכת הבריאות וקריסתה ותהיה אמצעי מרכזי בהשבת המדינה והכלכלה לשגרה ולתפקוד מלא.Rowland Manthorpe, Coronavirus: Public Will Be Urged to Download NHS Contact-Tracing App – How it Works, SKY NEWS (May 5, 2020); Natasha Lomas, NHS COVID-19: The UK’S Coronavirus Contacts-Tracing App Explained, TECHCRUNCH (May 5, 2020).
בהודו שווק היישומון (Aarogya Setu) בתחילה להתקנה וולונטרית. שמונים מיליון אזרחים התקינו את היישומון. אולם, ככל שהחלו צעדי החזרה לשגרה הפכה הורדת היישומון לחובה על אוכלוסייות מסוימות וכיום מחויבים בהתקנתו עובדים חיוניים, כלל העובדים במגזר הפרטי והציבורי ותושבים באיזורים המוגדרים בסיכון גבוהה להתפרצות המגיפה. האחריות לוודא את התקנת היישומון מוטלת על המעסיקים ומנהלי מתחמי מגורים באיזורים שבסיכון.Ankita Chakravarti, Voluntary Aarogya Setu Now Mandatory in Noida, FIR, Rs 1000 Fine or 6-Mounth Jail if App Not Downloaded, INDIA TODAY (May 5, 2020); India Today Tech, Coronavirus Lockdown: No More Voluntary, Aarogya Setu App Now Mandatory For Office Workers, INDIA TODAY (May 1, 2020); FE Online, Govt of India’s Voluntary Aarogya Setu App Made Mandatory For Smartphone Users In Noida, Greater Noida, FINANCIAL EXPRESS (May 5, 2020).
בסינגפור מתמודדת הממשלה עם אחוזי התקנה נמוכים יחסית של היישומון, בעיקר עקב צריכת חייב הסוללה המוגברת שלו והכבדתו על פעילות המכשיר הסלולרי עקב אי התאמתו לארכיטקטורה הנדרשת ע"י שותפות אלפבית ואפל, ועל כן גוברים שם עתה הקולות הקוראים לחיוב התקנת היישומון לכלל האוכלוסייה, רק לעובדים חיוניים או לכלל העובדים כתנאי לחזרה לשגרה מלאה.Tatiana Mohamad Rosli, TraceTogether App Should Be Mandatory for All: Experts, THE NEWPAPER (May 04, 2020). עם שחרור המגבלות וחזרת המשק לפעילות השיקה ממשלת סינגפור יישומון נוסף בשם SafeEntry.ראו https://www.safeentry.gov.sg/. המדובר במערכת מעקב כניסה ויציאה דיגיטלית העוקבת אחר מי שנכנס ויוצא ממקומות שונים כסיוע לאיתור מגעים. המעקב נעשה באמצעות סריקת כרטיס הזיהוי או קוד QR במכשיר הסלולר האישי של האדם עם כניסתו ויציאתו ממקום העבודה, החנות, המסעדה, הסופרמרקט או בית הספר. האחריות להתקנת המערכת הוטלה על מקומות עבודה, מפעלים, בתי ספר ומוסדות חינוך, גני ילדים, מוסדות בריאות, בתי אבות, מספרות, סופרמרקטים, שווקים מסויימים, קניונים ובתי מלון החייבים בהתקנתה החל מה 12 במאי, 2020. רשימת המקומות החבים בהתקנתה תתעדכן ככל שתחודש הפעילות הכלכלית במדינה.COVID-19: SafeEntry Digital Check-in System Deployed to More than 16,000 Venues, CNA News (May 9, 2020); רשימת המקומות החייבים בהתקנת היישומון SafeEntry: https://www.safeentry.gov.sg/deployment; Businesses Ensure Safe Distancing, Contact Tracing Measures In Place, THE STRAITS TIMES (May 12, 2020); Eileen Yu, Singapore Turns to Businesses to Bloster Contact Tracing Efforts, ZDNET (May 10, 2020). המידע הנאסף באמצעות SafeEntry כולל שם, קוד הזהות, מספר טלפון נייד, המקום בו שהה, מועד השהייה המדוייק (זמני כניסה ויציאה). מסירת המידע היא מנדטורית והמידע יישמר בשרת שירותי הבריאות באופן מותמם והגישה אליו תינתן רק לבעל מקצוע מוסמך לתכלית איתור מגעים. המידע ישמר רק למשך הזמן הדרוש לשם איתור מגעים.SafeEntry, Data Protection / Privacy, https://support.safeentry.gov.sg/hc/en-us/categories/900000073246-Data-protection-privacy.
*ד"ר ערן טוך, מרצה בכיר, הפקולטה להנדסה, אוניברסיטת תל אביב
רשימת מקורות ששימשה לטבלה ההשוואתיתFuture of Privacy Forum, Privacy & Pandemics: The Role of Mobile Apps (Chart) (April 2020).
Sophie Shulman, Coronavirus Shines A Spotlight on Telemedicine, CALCALIST (April 10, 2020).
אבישי גרינצייג, לבקשת "גלובס": דיון בבג"ץ מועבר כעת בשידור חי, גלובס (16 באפריל, 2020).
Coronavirus: EU and Australian Tracing Apps ‘Ready in Weeks’, BBC (April 17, 2020).
Asha Barbaschow, Australia Looks to ‘Go Harder’ with Use of COVID-19 Contact Tracing App, ZDNET (April 15, 2020).
Malcolm Farr & Daniel Hurst, Australian Government Plans to Bring in Mobile Phone App to Track People With Coronavirus, THE GUARDIAN (April 14, 2020).
Natasha Loman, Europe’s PEPP-PT COVID-19 Contacts Tracing Standard Push Could be Squaring Up for a Fight with Apple and Google, TECHCRUNCH (April 17, 2020).
Laurie Clarke, European Coronavirus Contact Tracing App Sparks Uproar in the Privacy Community, NSTECH (April 17, 2020).
Luca Ferretti, et. al., Quantifying SARS-CoV-2 Transmission Suggests Epidemic Control With Digital Contact Tracing, SCIENCE (March 31, 2020).
Bbc, “All Random Contacts In the Subway Can Also be Warned”, BANDERA COUNTRY COURIER (April 17, 2020).
Scott Ikeada, Contact Tracing Apps Attempt to Balance Necessary Public Health Measures With User Privacy, CPO Magazine (April 17, 2020).
Benjamin Powers, Europe Debates COVID-19 Contact Tracing That Respects Privacy, COINDESK (April 13, 2020).
Rtan Browne, How Governments and Big Tech are Looking to Curb the Spread of Coronavirus with Your Smartphone, CNBC (April 16, 2020).
Apple and Google Partner On COVID-19 Contact Tracing Technology, Apple Newsroom (April 10, 2020).
Ramesh Raskar et. al., Apps Gone Rogue: Maintaining Personal Privacy in an Epidemic, White Paper PrivateKit: MIT.
Andy Greenberg, Clever Cryptography Could Protect Privacy in Covid-19 Contact Tracing Apps, WIRED (April 8, 2020).
Casey Ross, After 9/11, We Gave Up Privacy for Security. Will We Make the Same Trade-Off After Covid-19?, STAT (April 8, 2020).
Hannah Devlin, NHS Developing App to Trace Close Contacts of Coronavirus Carriers, THE GUARDIAN (March 31, 2020).
Sarah Knapton, Gordon Rayner, Mike Wright and Jessica Carpani, New Contact-Tracing App Could Be Key to Ending the Coronavirus Lockdown, THE TELEGRAPH (March 31, 2020).
Sebastain Klovig Skeltopn, Coronavirus: NHSX Working on Contact Tracing App, COMPUTER WEEKLY (April 1, 2020).
Katie Collins, Europe’s Contact-Tracing Apps are a Test of Its Privacy-Focused Culture, Cnet (April 19, 2020).
Shona Ghosh, The UK Scrambles to Launch Its COVID-19 Contact-Tracing App, After Getting Derailed by Apple and Google, BUSINESS INSIDER (April 17, 2020).
Isobel Asher Hamilton, THE UK Will Release an App to Track People Reporting COVID-19 Symptoms and to Alert People They Had Contact With, BUSINESS INSIDER (April 14, 2020).
Hasan Chowdhury, NHS Coronavirus App: How Does Contact Tracing Work and When can You Download It?, THE TELEGRAPH (April 19, 2020).
Norimitsu Onishi and Constant Mëheut, Frabce Weights Its Love of Liberty in Fight Against Coronavirus, THE NEW YORK TIMES (April 17, 2020).
Marc Daalder, NS Considering $100m Contact Tracing ‘CovidCard’, NEWSROOM (April 17, 2020).
Rowland Manthorpe, Coronavirus: NHS Unveils ‘Data Platform’ to Track Beds, Staff and Ventilators, Sky News (March 26, 2020)
Shona Ghosh and Isobel Asher Hamilton, Google, Microsoft, and Palantir are Building a COVID-19 Dashboard for the UK’s Health System, BUSINESS INSIDER (March 30, 2020)
Matthew Gould, Indra Joshi and Ming Tang, The Power of Data in a Pandemic, DEPARTMENT OF HEALTH AND SOCIAL CARE (March 28, 2020)
Andy Greenberg, India’s Covid-19 Contact Tracing App Could Leak Patient Locations, Wired (May 6, 2020)..
Pew Research Center, Smartphone Ownership In Advanced Economies Higher than in Emerging (Feb. 4, 2019)
Norway Launches ‘Smittestopp’ App to Track Coronavirus Cases, THE LOCAL (April 16, 2020).
David Nikel, Spittestopp: How Norway’s New Coronavirus App Works, LIFE IN NORWAY (April 16, 2020).
Mobile App to Help Prevent the Spread of COVID19 Developed by RISE Centre of Excellence (April 5, 2020).
Alessio Dellanna, Coronavirus: Cyprus Launches Voluntary Tracking App to Halt Spread, EURONEWS (May 5, 2020)
Vala Hafstao, No New Cases of COVID-19 in Iceland, ICELAND MONITOR (April 28, 2020).
Bloomberg, Covid-19: The World Embraces Contact-Tracing Technology to Fight the Virus, LiveMint (April 30, 2020).
Aaron Mauro, Coronavirus Contact Tracing Poses Serious Threats to Our Privacy, THE CONVERSATION (May 10, 2020).
BNT News, COVID-19 Virusafe App Is Now Available to All Smartphone Users (April 7, 2020).
Finnish Government, Preparation for Introduction of an Application to Trace Chains of Transmission Continues – Proposal for a Roadmap Circulated for Comments (April 28, 2020).
App for Tracking Coronavirus Contacts Trialled in Finland, GOODNEWS FROM FINLAND (May 6, 2020).
Ciara O’Brien, HSE Covid-19 Tracing App Data Will Be Stored On Individual Devices, THE IRISH TIMES (May 12, 2020).
Private Tracer, Statement Private Tracer 21 April. 2020.
Patrick Howell O’Neill, Tate Ryan-Mosley & Bobbie Johnson, A Flood of Coronavirus Apps Are Tracking Us. Now It’s Time to Keep Track of Them, MIT TECHNOLOGY REVIEW (May 7, 2020).
Sarvesh Mathi, India’s Covid-19 App Is A Privacy Nightmare, ONE ZERO (May 7, 2020).
Singapore Government, Safe Management Measures Required At the Workplace After the Circuit Breaker Period (May 9, 2020).