שאלות פתוחות, תשובה פתוחה

מחלקת חופש המידע חזרה אלי באיחור ורק עם תשובה אחת (מתוך ה-14 ששלחתי), וזאת למרות שהסברתי למה זה דחוף ולמרות ששילמתי את מחיר השאילתא המלא, שלהבנתי אינני אמור לשלם כאשר השאילתא מתייחסת לפרטיותי ולניהול פרטי האישיים. מאז בקשת המידע חלף למעלה מחודש וחצי, שזה יותר ממה שמצוין בחוק.

נשלח: 18 לפברואר (למעלה מהחודש הנדרש בחוק – ע.א.)

הנדון: פנייתך לקבלת מידע בנושא: מאגר התמונות של רשיונות הנהיגה

במענה לפנייתך בנושא שבנידון, הרייני להשיבך:

1. מאגר התמונות של משרד התחבורה אינו מאגר ביומטרי, לפיכך, החוק המוזכר בפנייתך אינו נוגע למאגר זה.

2. המשרד יוזם צילומי נהגים מכוח תקנה 174א לתקנות התעבורה, בה מצויה גם ההוראה לגבי צילום מחדש לכל מחדש החל מ-1.1.2006.

3. לענין הסרת תמונתך מהמאגר, רשיון הנהיגה הישראלי הרשמי הינו רשיון עם תמונה לכן לא ניתן להסיר את התמונה ולהפיק רשיון מחודש ללא תמונה.

בברכה,
אפרת קילשטוק
מנהלת תחום מידע ומחקר תחבורתי
ממונה על יישום חוק חופש המידע

העתקים:
צ'ארלס סולומון – סמנכ"ל בכיר תכנון כלכלי
עו"ד חוה ראובני – ס. ליועמ"ש
חסידה קופרברג – מנהלת אמ"מ
מינה קליין – אגף אמ"מ

מתבקש אם כך שתשובתי תהיה דומה למדי לתשובתי למחלקת תלונות הציבור, אבל ראשית, הנה מה שאומרת תקנה 147:

רשיון נהיגה ממוחשב
תק' (מס' 4)
תשנ"ד-1994
174א. (א) רשיון נהיגה כאמור בתקנה 173 יהיה בר תוקף רק אם הונפק יחד עם צילום בעלו, על ידי מחשב משרד התחבורה; רשות הרישוי לא תנפיק ולא תחדש רשיון נהיגה אלא כאמור בתקנה זו.
תק' (מס' 2)
תשנ"ט-1998
(ב) על אף האמור בתקנת משנה (א), רשאית רשות הרישוי להנפיק רשיון נהיגה זמני ובלבד שתוקפו לא יעלה על 180 ימים ויחולו עליו הוראות תקנה 174ב, לפי הענין.
(ג) מבקש רישיון נהיגה לאחר יום א' בטבת התשס"ו (1 בינואר 2006) או בעל רישיון נהיגה שרישיונו מחודש במועד הראשון שלאחר המועד האמור, יצטלם לצורך הפקת רישיון הנהיגה על פי תקנה זו, אף אם תמונתו מצויה כבר במחשב משרד התחבורה.

מישהוא ראה ביומטריה פה? איכות מגהפיקסלים גבוהה?

אז הנה התגובה שאשלח לגב' קילשטוק:

(נוסח סופי עודכן במרץ 26, לקח לי רק שלושה שבועות להגיע לזה סוף סוף)

לאפרת קילשטוק וצוות משרדה חג שמח וכשר,

הנדון: שאילתות בנוגע למאגר התמונות הממוחשב בשרד התחבורה

1. במכתבך האחרון מיום 18/2/2010 ציינת שהמאגר אינו ביומטרי, אך העובדות מצביעות לכיוון ההיפך הגמור. למעשה מנוהל פה מאגר ביומטרי ללא גיבוי בחוק או בתקנות. ראיות לכך אני מצרף בסוף מכתב זה (נספח ב' להלן), כפי שהן מוצגות באתר משרד התחבורה, משרד ראש הממשלה ומשרד בטחון הפנים.

2. קראתי את תקנה 174, לא מצוין שם כי על משרד התחבורה לנהל מאגר תמונות, לא כל שכן באיכות ביומטרית, איך לנהל אותו ועם מי מותר לחלוק אותו. משמע שאין כל גיבוי חוקי לצורה שבה מתנהל המאגר ביום, לפי הבנתי המועטה במשפטים, אבל שני עורכי דין שבהם נועצתי אף הסכימו עימי.

אם המידע מהמאגר ידלוף לידי גופים פרטיים, במיוחד גופי פשע או טרור, מדובר באסון שלא ניתן להשיבו, ולכן פירטתי את שאלותי. 14 סעיפים היו בשאילתא, אך לא קיבלתי תשובה אף לאחד מהם (ראו נספח א' בסוף מכתב זה). מדובר בעיני במידע שחייב להופיע באתר המשרד ובדו"ח השנתי של משרדך.

3. לשאלת הצילום, לא שאלתי לגבי קבלת רשיון ללא צילום, ביקשתי לקבל רשיון עם התמונה הישנה, שתוחלף תמונתי בתמונה בעלת רזולוציה נמוכה יותר, ולחילופין אם אין אפשרויות כאלו, האם תוסר תמונתי מהמאגר אם אוותר לחלוטין על רשיוני, ועל זכויותי לנהוג כאזרח חופשי אך החרד לפרטיותו?

4. לאור האמור לעיל אבקש שתאותו לתת לבעיה המוצגת כאן מעט יותר משקל ובדיקה קצת יותר מעמיקה. הצגתי 14 סעיפים בשאילתא (נספח א' דלהלן), שילמתי את אגרת חופש המידע, אך לא קיבלתי התייחסות אפילו לאחד מהם.

בברכה,
עירא אברמוב.
העתקים:

* צ'ארלס סולומון – סמנכ"ל בכיר תכנון כלכלי
* חסידה קופרברג – מנהלת אמ"מ
* אורית קרופ, לשכת מבקר משרד התחבורה
* התנועה לזכויות דיגיטליות
* עו"ד אבנר פינצ'וק, האגודה לזכויות האזרח
* המועצה הציבורית להגנת הפרטיות במשרד המשפטים
* הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים
* האינטרנט

לצערי אין לי את כתובתה של היועמ"ש עו"ד חוה ראובני, אודה לכן אם תעבירו את העתק המכתב גם אליה.

איפה הייתי ומה עשיתי (על שקרים וסטטיסטיקה)


אתמול בצהרים נאלצתי להקריב את פני למאגר. המחשב של עמדת הצילום מחובר כפי הנראה דרך חיבור אינטרנט רגיל למערכת ניהול מידע בכתובת https://mfapps.mot.gov.il, שבניתוח ראשוני של שני אנשים שיודעים משהו, איננה מרשימה באבטחתה. פרטים נוספים על ההרפתקאה יפורסמו בקרוב…

יצאנו לירושלים, בדרך דיסקסנו עדויות מומחה בבג"צ, ביומטריה לשירות האזרח וכלי סטטיסטיקה לבלוגים. גיליתי שניוקונומי כבר לא מציעים סטטיסטיקה חינם לבלוגרים, שגוגל אנליטיקס הם מהבודדים בשוק שמצליבים מידע על אותו הגולש באתרים השונים שהוא ניגש אליהם (אם כבר XSS אז כבר לנצל אותו עד הסוף) ושפיירסטאטס עכשיו פחות מכביד על הבלוג בגרסאות האחרונות, אז אולי אני אנסה אותו שוב.

הגענו למכון הישראלי לדמוקרטיה. הישיבה היתה אמורה להיות מחמש עד שמונה, אבל ניסו לקפל אותה כבר משעה שבע (השקרנים ((אני לא באמת כועס, גם שעתיים וחצי זה הרבה זמן לראות כמה מהפרצופים האלו יורדים מהאולימפוס כדי לענות על המינימום ההכרחי)) טענו שהפרסום באתר לא נכון). משכנו אותה עוד חצי שעה של שאלות טובות וישירות, קיבלנו מעט מאוד תשובות חדשות אבל כמה ציטוטים מעניינים. בין השאר, לשאלת ההרכשה הכפולה (שהיא התירוץ העיקרי למאגר) הסתבר ממשטרת ישראל (ורדה שחם) שהמשטרה מטופלת כרגע רק באלף מקרים סה"כ של אנשים עם זהות כפולה. גם אם נעריך שזו עשירית מסך העבריינים שעושים כן, או אפילו פחות, מדובר ב- 10,000 עד 20,000 אנשים עם תעודה כפולה, לא 350,000 כמו שטוען מאיר שקרית באופן רפיטטיבי (מספר תעודות הזהות שדווחו כאבודות בעשור האחרון, או משהו דומה). בקרוב יעלה המכון את הוידאו המלא של הישיבה, אם יבוא לכם לצפות.

בקהל פגשתי ידיד ותיק המוכר בתור reln לקהילת linux-il הותיקה. הוא בחור עם ראש על הכתפיים והסתבר לי שהוא דווקא בעד החוק, ושהוא מיודד עם יורם אורן שהבטיח דווקא להיות מאוד עוזר וגלוי איתנו בכל נושא התקנים של הכרטיסים והמערכות שסביבם. בשיחה חטופה לפני שהיינו חייבים לעוף משם החלפנו כרטיסים ואני מקווה לקבל תשובות מרגיעות נוספות על המערכת ברמה הטכנולוגית, אפילו שאני עדיין מאמין שברמה האנושית והדמוקרטית היא רעיון רע.

ואז בבית חיכה לי לינק מאהובתי על דמוקרטיה, מתמטיקה, שקרים וחופש דיבור. לילה טוב.

מילה וחצי על טלדור

דורון אופק הפנה הרגע את תשומת ליבי לכך שטלדור נשכרה לסרוק את כל ארכיון הביטוח הלאומי למיקרופיש וארכיון דיגיטלי. הם לא עושים את זה במרתפי הבט"ל אלא במקום חדש באשקלון, שם הם שכרו 60 מובטלים לענין ועוד היד נטויה. אני תוהה כמה קל יהיה למשפחות הפשע האזוריות לשחד או לאיים על העובדים האלו לברר כל מני סוגי מידע (או להעתיק אותו החוצה?). חברת טלדור, אם השם נשמע לכם מוכר גם מפעילים את מערך מבחני התאוריה של רשות הרישוי ואחת משתי החברות המפעילות את עמדות הצילום של מאגר התמונות הביומטרי של משרד התחבורה. קצת יותר מדי מידע עובר להם בין האצבעות בלי שיספרו לנו מהם האמצעים הננקטים כדי להבטיח שאף אחד לא ידליף או יסלף אותו…

חדשות הפרטיות, פרק 65

רשת צ'יזבורגר חוגגת שלוש שנים ומתניעה את failbooking.com, המקום שירכז לא מעט דוגמאות ל"יותר מדי אינפורמציה" (כרגע התג הכי נפוץ בבלוג) ועדויות לפער דורות תרבותי. אכן נראה שאחוז לא קטן הוא פאדיחות של פרטיות, ודוגמאות למה פייסבוק הוא דרך תקשורת מאוד מביכה ולא טבעית לאנשים. בנוסף אבל יש גם הברקות שאולי יום אחד יגיעו לרמת BASH הגיקי. האתר לא מוגבל למשתמשי "עלהפנים", גם ציוצים מוצלחים מטוויטר מתקבלים בברכה.

בחזית האישית והפחות מצחיקה, בהמשך לחששותי מתהליך חידוש רשיון הנהיגה שלי, שלחתי ביום ראשון לדובר משרד התחבורה אבנר עובדיה מכתב:

למר עובדיה וצוות משרדו שבוע טוב!

כיון שהנושא תחום באילוצי זמן (יפורט), אודה למשרד הדובר על התייחסות דחופה.

נדרשתי להצטלם כדי לחדש את רשיוני. כשביררתי בדרגים נמוכים יותר במשרד, גיליתי לאכזבתי כי בניגוד ללשון חוק הכללת אמצעים ביומטריים החדש, משרד הרישוי עדיין דורש ממני צילום למאגר הביומטרי של משרד התחבורה/הפנים.

  1. אבקשכם לאפשר לי לחדש את רשיוני ללא התניה בכניסה למאגר הביומטרי של משרד התחבורה/פנים.
  2. במקרה ובקשתי זו תדרוש זמן טיפול, אבקש כי יוארך תוקף רשיוני הזמני כנדרש עד לסיום התהליך.

אני מרגיש שהנושא דורש הסדרה, כי הוא מדאיג מספר לא מבוטל של אנשים. לפי החוק אין לגרוע כל זכויות ושירותים מאזרח המסרב להכנס למאגר, והנה כאן נראה שמשרד התחבורה מתנה את זכותי לתעודת רשיון נהיגה בכניסה למאגר.

עוד נאמר לי, שכיוון שתוקף הרשיון הזמני שבידי הוא רק לעוד כעשרה ימים, אם אתמהמה בהתלבטות ולא אצטלם, אאלץ לעבור מבחני נהיגה מחדש. מנקודת המבט שלי מדובר כאן במצב מטריד מאוד, כמו שתוכלו להבין.

מודה מאוד על תשובתכם המהירה,
עירא אברמוב.

כיון שלא זכיתי לתשובה עד רגע זה, שלחתי היום את רשימת הקושיות הבאה לממונה על חופש המידע של משרד התחבורה, גב' אפרת קילשטוק, עם עותקים לכתובות דואל רלוונטיות נוספות במשרד הרישוי ובאגף מערכות המידע של המשרד:

לגב' קילשטוק, מהלל וקופרברג שבוע טוב!

לאחרונה נתבקשתי להצטלם לחידוש רשיון הנהיגה שלי. מכל מה ששמעתי וקראתי עד היום על שיטת הצילום החדשה, ניהול מאגר התמונות במשרד הרישוי והגישה אליו, ברור לי כי הדרישה הזו סותרת את חוק המאגר הביומטרי שעבר בחודש שעבר, המציין שאין למנוע שירות וזכויות מאזרח המסרב להכנס למאגר ביומטרי. בפניותי למשרד בנתניה וגם במענה הטלפוני נאמר לי שלא אוכל לקבל רשיון זמני נוסף וגם לא רשיון עם התמונה הישנה. בנוסף נאמר לי, ספק באיום, כי אם אמשיך לסרב להצטלם למאגר ורשיוני יפוג, אאלץ לעבור מחדש את כל המבחנים.

אודה לכן מראש על תשובה מהירה שתרגיע את חששותי, שכן תוקף רשיוני יפוג בשבוע הבא. שאלה בנידון שלחתי למשרד הדובר, אך לצערי טרם קיבלתי את תשובתו. לכן אבקש בזאת מידע נוסף שנופל בתחום אחריות משרדיכן.

כמומחה ניהול ואבטחת מידע ארצה לדעת יותר על אופן ניהול המאגר הביומטרי של רשות הרישוי. לצערי לא מצאתי על כך מידע באתרכם. בהתאם להוראות עמוד חופש המידע באתר המשרד, אני מפנה אליכן את השאלות לפני שאמלא טופס שאילתא שכן נראה לי שהמידע הזה אמור להיות שקוף וציבורי. אשמח אם תוכלנה להשלים לי את הפרטים הבאים, ובמיוחד אשמח לתשובות טכניות מפורטות עד כמה שניתן מעמיתי, אנשי ונשות מערכות המידע ואבטחתו במשרד:

  1. מהם הצווים או התקנות שהביאו להקמתו ומגדירים את ניהולו של המאגר החדש?
  2. מתי הוצאו הצווים ומתי התחיל היישום?
  3. מה גודל המאגר כיום? (מס' רשומות, גיגה-בייטים)
  4. מה היא איכות התמונות הנשמרות ובאיזה פורמט?
  5. מה היא התשתית הטכנולוגית שבאמצעותה מנוהל המאגר? אשמח לפירוט תוכנות ניהול מסד הנתונים, רמות הצפנה של המידע והתקשורת, גישה ישירה דרך האינטרנט הציבורי לספקים חוץ-ממשלתיים.
  6. מי הגופים/ספקים המופקדים על ניהול תשתית המידע והתקשורת מלבד צוות המשרד?
  7. כל כמה זמן נערכות בדיקות אבטחה למערכת, ע"י מי? האם תוכלו לפרסם את תוצאות הבדיקות?
  8. התפרסם באתרכם ובמקומות אחרים כי המאגר הקיים נגיש למספר גופי ממשלה וחברות פרטיות. למי יש גישה לנתוני המאגר ולאילו שימושים? האם גופים חיצוניים מחוברים באופן מקוון? באיזו איכות נשלחים לחברות אלו קבצי התמונות?
  9. אילו עיבודים, ניתוחים או הפקות מידע ביומטרי נעשים היום על המאגר ע"י משרד התחבורה ושאר הגופים איתם הוא חולק את המידע?
  10. מה הם התנאים לקבלת גישה למאגר ואילו אמצעי פיקוח קיימים על הגופים שקיבלו גישה עד היום?
  11. האם ידוע על דליפה של עותקים מלאים או חלקיים של מידע ממאגר התמונות? כיצד טופלה הבעיה?
  12. מהו הנוהל שהכין המשרד לטיפול במקרה של דליפה?
  13. כיצד נערך משרד התחבורה לתיקון כל הנהלים הנ"ל כתוצאה מהחקיקה החדשה?

מודה לכן מראש,
עירא אברמוב.

הספח החדש לתעודת הזהות שלכם, תודה לדוד!
החזיקו לי אצבעות (ופרצופים)…

פוסט על הפנים

אני שמח לראות שמתייחסים גם למאגר התמונות בעיתונות, ואני מסכים שמאגר התמונות מעצבן אותי טיפה יותר ממאגר טביעת האצבע (זו תחרות צמודה) אבל לא על זה הפוסט הנוכחי. אם אתם זוכרים שפעם התייחסתי לפוסט של הגר על הפאנל. בפוסט הנ"ל הגר בחרה תמונה טיפוסית מהפאנל – שטרית מתלחשש עם סביבתו, ואלי ישי שולף תדירות את הטלפון שלו ומתכתב במסרונים, שניהם נראו משועממים פחד ולא ברור אם לגמרי מרוכזים בדוברים שעל הפודיום. התמונה משער ידיעות של השבוע מרמזת שזה לא משהו חד פעמי…

השר ישי מאוד השתעשע מכמות המצלמות, לא פעם דפק לי חיוך ואף כמה קריצות ממזריות, ורמז לי בראשו שאצלם יותר את שטרית ולא אותו…

ובכן, אחרי שבאותו היום מיינתי למעלה מ1000 תמונות של הפאנל אני חושב שברורה לי הבעיה. אלי ישי נראה טוב ויש לו חיוך מקסים (no homo!) אבל שטרית פשוט זכה בהגרלה הגנטית בפרצוף מהסוג שסומכים עליו. פשוט קשה לשכנע אנשים שהוא פועל לרעתם. מין דובי חמודי כזה… ולכן נזכרתי באייטם המצורף, על הפנים של ריקי ג'רבייס (האיש שפיתח את התוכנית המקורית של "המשרד" ושיחק בה, ואחראי לעוד כמה קומדיות חביבות)

Shitrit's baby face
AntiBiometrics-7313AntiBiometrics-7446AntiBiometrics-7576



ולבסוף, לינקים מצטברים שלא יצא לי לשלוח עד היום (כרגיל הפוסט נתקע בתור הטיוטות ושכחתי לשחרר):
דורון אופק ריכז מסמך בשפה פשוטה על משמעותה של הצעת החוק בנוסחה הנוכחי.
איתן כספי על הפאנל, וגם מתראיין בפודקאסט "רברס עם פלאטפורמה".
ישי ורטהיימר עשה לייב בלוגינג בפאנל. אפילו צילמתי
על טעויות בזיהוי לפי ט"א אצל עמרי ידן.

ההצעה של פרופ' עדי שמיר לא מסברת את אוזני

ניב ליליאן כתב על ההצעה שזרק לחלל האוויר עדי שמיר בזמן הדיונים אתמול. הרעיון הוא לעבור מזיהוי חד-חד ערכי למצב שבו קבוצות (נגיד מאה איש ומאה תמונות וטביעות אצבע) נזרקים ביחד באותה הפיילה. הזיהוי, לדבריו, יהיה בודאות של 100 מתוך 7 מליון במקום אחד מ7 מליון, וכך המאגר "די אמין" באימות זהות, אבל אם המאגר דולף הוא "לא שמיש" לזייפני זהות.

אבל לגנוב לי בקבוק בירה עם טביעת אצבע ולכייס לי את הארנק כשאני מוסח בפאב זה עדיין אפשרי? איך נמנעה פה גניבת זהות אם הטביעה הזו עדיין תזהה אותי מול מחשבי ממשלה, וה"סיסמא" לא ניתנת להחלפה?

לכן אני מודה שלי אישית ההצעה נשמעה טיפה נאיבית ולא מבושלת בלשון המעטה.

פרופסור שמיר, מתמטי מדי?

אני לא יודע אם פרופסור שמיר עצר לחשוב מעבר למתמטיקה או שפשוט זרק לאוויר את הרעיון "נא". אני רוצה להאמין למשל שביהם בחיים לא היה פולט דבר כזה כי הוא לא מסתכל רק על הפתרון המתמטי אלא גם על הצד הפראקטי של השוואת רשימות. אפילו במצב תיאורטי אידאלי של מאגר נאיבי, הדבר היחידי שזה "פותר" זה את השאלה של מה קורה אם דולף המאגר, וברור שבנקודת ההזדהות מוצלבים מחדש שמי, פני, מספר הת"ז שלי וטביעת האצבע ממילא בכל פעם שאזדהה, ומי אומר שאותה נקודה (קיוסק מידע או מחשב אישי ביתי) אמינה ונקיה מוירוסים ומאזיני RFID וכולי? הבטחון של מערכת עמימות "1 מתוך 100" שכזו איננו שונה מהמערכת המוצעת הנוכחית למעשה מבחינת במ"מ בנקודות הקצה, שהופכות להיות נקודה יותר מעניינת לגנבי הזהות (ויותר קשה להגנה ממאגר מרכזי).

אני יכול לדמיין כאן כמה התקפות – הרי אם שולחים למאגר את מספר תעודת הזהות שלי והוא מחזיר מאה ט"א אפשריות לתחנת הקצה שמשווה את כולן לאצבע (או אצבעון לטקס) שהצגתי למסוף, המסוף יודע עלי עכשיו יותר מאשר המאגר המרכזי – עדיף לשאוב ממנו מידע בטיפטופים מאשר להתקיף את המאגר בירושלים בבונקר… ובכל מקרה עדיין עומד פה מסוף שרוב האנשים לא יטרחו לנגב את טביעת האצבע שלהם מחלונית הסורק שלו אחרי השימוש.

אגב הועלה גם הרעיון של מאגר של גיבובים (HASH), אני לא יודע מספיק כדי להגיד מה דעתי עליו (טיפה יותר טוב ממאגר מידע מקורי אבל עדיין בעייתי?). על כל פנים ברור לי שכל מצב שבו הטביעה או התמונה מאוחסנות בצורתן המלאה (ולא רק גיבוב של הפירוק הפרמטרי) בכרטיס (במיוחד RFID) או במאגר, אינו מקובל עלי לחלוטין, ולא אכפת לי אילו עמימויות עדי שמיר מציע כאן. ארחיק ואומר שצוות המאבק כבר מקבל תעודות ביומטריות כרוע הכרחי, אבל למעשה כמו פרופ' ביהם גם תעודת זיהוי ביומטרית ללא מאגר מטרידה אותי. הסיבה היא ההתקהות של פקידים שנסמכים על הטכנוקרטיה הזו. אני מפחד מהיום שאצבעוני לטקס ישתוללו חופשי, פקידים יתעלמו בפיהוק כשיבוא מישהו שונה לגמרי מהתמונה, כי מהר מאוד הם ילמדו להגיד ש"המכונה אמרה שזה הוא אז חשבתי שהוא הסתפר או משהו". במקרה הממש גרוע יצומצמו כמויות הפקידים לקבלת קהל (צפו גל שביתות) ויוחלפו בקיוסקי מידע אלקטרוניים, וביום שיגלו את היקף זיופי הזהות בהם וגם יעיזו להודות שידעו את זה מזה זמן אבל אף אחד לא רצה ליטול אחריות, יצטרכו לשכור מחדש ולאמן דור חדש של פקידים (או, בינינו, עובדי קבלן), והברדק ימשך חודשים ארוכים.

שאננות מפעילי האמצעים הטכנוקרטיים תקרה בהכרח והיא מסוכנת, סוף פסוק.