שימוש באמצעים דיגיטליים למאבק בנגיף הקורונה

 

An English version of this post can be found at the bottom of the page, below the Hebrew.

מאמר זה נכתב בבוקר יום 15.3.2020.

לאחר כתיבתו החליטה ממשלת ישראל כדלהלן:

הממשלה אישרה תקנות לשעת חירום שיאפשרו לשירותי הבטחון הכללי (השב״כ) לאכן את מיקומי הטלפונים הסלולריים של חולי קורונה ומי ששהו בסביבתם ב-14 הימים שקדמו לאבחונם, כדי ליידע אותם באמצעות הודעת סמס שעליהם להכנס לבידוד. 

התקנות דרושות אישור של ועדת השירותים החשאיים — ועדת משנה של ועדת החוץ והביטחון של הכנסת.

התקנות חלות רק בנושא המאבק בקורונה ותקפן 30 יום. בסיום תקופה זו יימחק כליל כל המידע שנאסף על ידי הממשלה. השב״כ לא יעשה שום שימוש אחר במידע והוא יועבר ישירות למשרד הבריאות שישלח את ההודעות לציבור. הפרת ההנחיות להכנס לבידוד תהווה עבירה פלילית.

****

זמנים נואשים דורשים אמצעים נואשים? מעניין שאמירה זו מיוחסת ללא אחר מאשר היפוקרטס, הרופא היווני אבי הרפואה המערבית, שהעניק לנו גם את יסודות האתיקה הרפואית ב״שבועת היפוקרטס״. ואכן אנחנו ללא ספק נמצאים בעת יוצאת דופן, אשר מאתגרת את הערכים שאנו מחזיקים בהם ומזמנת לנו דילמות מוסריות. האנושות ידעה מגפות בעבר, אך האמצעים הטכנולוגיים העומדים לרשותנו היום לניטור תנועותיהם של אנשים, זיהוי מדדים גופניים שלהם, הצלבה של נתוני עתק (Big Data) והסקת מסקנות לא היו בידינו אז. מגיפת הקורונה מייצרת משבר המעמת בעוז את זכויות האדם הבסיסיות לחיים ולבריאות עם זכויות האדם לפרטיות ולחירות. היום אנו ניצבים על סף החלטה שעלולה להוות תקדים מסוכן של חדירת הממשל לחיי האזרחים, אם לא תלווה באמצעים מרסנים משמעותיים כך שישראל לא תהפוך למדינת משטרה. 

ראש הממשלה הודיע אמש, כי בכוונת הממשלה לפעול באמצעים טכנולוגיים על מנת להלחם בנגיף הקורונה. ההחלטה אשר תובא לאישור בישיבת הממשלה היום כוללת כפי הנראה שימוש ביכולות המצויות בידי שירותי הבטחון הכללי בישראל, שהופעלו עד היום רק לצורך המאבק בטרור. זהו רגע דרמטי כאשר יכולות כאלו מופנות כלפי אזרחים חולים או ספק חולים, ואין להמעיט בסכנות לערכים הדמוקרטיים שלנו. ראש הממשלה ציין כי זהו צעד חריג אשר יש בו פגיעה בפרטיותם של אנשים אך הוא נדרש. ההודעה לא פירטה מה בדיוק מתוכנן. אילו סוגי מידע ינוטרו, לאילו שימושים בדיוק, על ידי מי, מה יהיו ההשלכות של ניתוח המידע ומסקנותיו ואילו מנגנוני בקרה וריסון הפעלת האמצעים ייושמו. ייתכן שינוטרו חולים מאומתים על מנת לאכוף בידוד, ואז אנחנו מדברים, בשלב זה, על מעקב אחר מאות בודדות של אנשים. יתכן כי האמצעים כוללים ניטור או איסוף נתוני מיקום של כלל האזרחים, והצלבתם עם נתוני מיקום של חולים מאומתים. כך ניתן יהיה לאתר אנשים ששהו בקרבתם של חולים מאומתים, ואף להעריך את משך הזמן שארכה השהות המשותפת, ולהציג לכל אחד מאתנו את ההסתברות שנחשף או הודבק. ואפשר שאנו נתבקש לדווח באמצעות המכשיר הנייד איך אנחנו מרגישים והיכן היינו.

בימים כתיקונם אם המדינה מבקשת מידע ממכשיר סלולרי של אזרח, עליה לקבל צו שיפוטי, לאחר שנציג רשות חקירה מוסמכת הציג תשתית ראייתית המצדיקה את הפלישה למרחב הפרטי של אותו אדם בשל חשד לביצוע עבירה. זאת בין אם המדינה מבקשת לחדור לטלפון עצמו אם הוא ברשותה, ובין אם היא מבקשת לקבל נתוני תקשורת על אנשים מספק שירותי הטלפון. האמצעים שמפעילים שירותי הבטחון לצרכי מאבק בטרור, האזנה ואיכון, אינם נתונים למשטרה ולמשרדי הממשלה. במדינה דמוקרטית, זכויותינו האזרחיות והפוליטיות הבסיסיות ביותר, כוללות הגנות מפני מעקב וחדירה למרחב הפרטי שלנו על ידי המדינה, זאת כדי להגן על זכויותינו ובהן חירות דעה ואמונה, חופש ביטוי וחופש תנועה.

בעת הזו פועל משרד הבריאות מכח פקודת בריאות העם וצוים שבסמכותו של מנכ״ל משרד הבריאות לפרסם, וייתכן שכוונת הממשלה להשתמש במסגרת הזו. יש בכך חצייה של גבול חשוב בחברה המושתתת על ערכי יסוד כישראל, שבה סמכויות ממשלה ניתנות על ידי הכנסת, ומבוקרות על ידי בית המשפט. שימוש בכח הפקודה בשיקול דעת של מנכ״ל משרד ממשלתי ללא בקרה של הכנסת ובית המשפט עלולה לפגוע בזכויות הדמוקרטיות הבסיסיות של כולנו. 

תהיה אשר תהיה מסגרת ההסמכה החוקית שאישר היועץ המשפטי לממשלה, ישנן שאלות שטרם הובהרו לציבור (ובהחלט ייתכן שנדונו על ידי נציגי הממשל) וחיוניות להערכת מידת הסיכון לפרטיות וחירות של אנשים מהפעלת אמצעים טכנולוגיים על ידי המדינה במטרה להגן על בריאות וחיים. מה מטרות השימוש בנתונים הסלולריים? האם לתת לכל אחד מאיתנו אינדיקציה האם היינו בקרבת חולה מאומת כדי לאפשר לנו לקבל החלטות מושכלות על בידוד עצמי? או שאולי המטרה היא אכיפה של הנחיות הבידוד ומעקב אחר חולים מאומתים כך שלא יפרו את חובות הבידוד? יש הבדל במדרג הפגיעה בחופש האזרחים בין עידוד אחריות חברתית למשטור ומעקב כפוי. אולי מתוכננת סריקת מקבצים של אותות סלולריים מעל 100 אנשים בתא שטח קטן על מנת לאכוף את איסור ההתקהלות והפעלת שוטרים ופקחים באופן יעיל? שאז הפגיעה בפרטיות כל אדם פחותה מאחר שהמידע הוא מצטבר ולא אישי. או שעוקבים באופן פרטני אחרי כל אחד ואחד מאתנו בכל רגע.

אפשר שבעת הזו ונוכח הערכת הסיכונים מהמגיפה יש מקום לשינוי באיזונים בין חופש אזרחי המתבטא בפרטיות לבין בריאות הציבור. חיוני שהחלטה על שינוי כאמור תיישם את האמצעים הבאים: ראשית לכל – שקיפות. ליידע את הציבור מה בדיוק עומד לקרות על מנת שניתן יהיה להעריך את ההחלטה ולבקרה. בנוסף יש ליידע אנשים שהמכשירים שלהם תחת האזנה. ככל שהמטרה היא לאכוף השארות בבידוד עצם הידיעה תייצר הרתעה מהפרה של ההוראה. שנית – קביעת מסגרות זמן. יש לקבוע משך זמן מקסימלי שאחריו המידע יימחק ולא יוחזק עוד בידי המדינה. יש לבחון באופן שוטף את נחיצות ההאזנה למכשירי האזרחים ולהפסיק את הפעילות מיד כאשר היא אינה חיונית עוד לעצירת המגיפה. שלישית – היצמדות למטרה. יש להגדיר בבירור את מטרות השימוש במידע, שיהיו מצומצמות אך ורק לצורך השעה, וליצר מנגנוני בקרה ואכיפה על עובדי המדינה וספקים חיצוניים שלה שנגישים למידע שלא יעשו שימושים אחרים. ורביעית – נדרשת אבטחת מידע נאותה למניעת דליפה. 

בהתמודדות עם מגיפת הקורונה יש לאנושות יותר כלים מאשר היו בעבר וייתכן שאלו יאפשרו לנו להתגבר עליה תוך פגיעה מצומצמת משמעותית בחיי אדם, אך חיוני שנשתמש בהם בזהירות, באחריות ובמידתיות, מאחר שבהעדר איזונים ובלמים משמעותיים ועצמאיים אנו פותחים את הדלת לאחד החששות הגדולים ביותר במדינה דמוקרטית, מדינת משטרה.

*******************************************************

This article was written on the morning of March 15, 2020.

On March 16 Israel’s government has adopted a resolution and on March 17 approved Emergency Regulations which allow the General Security Services (SHABAK) to monitor the location of the mobile devices owned by COVID-19 patients and people who interacted with them in the 14 days before being confirmed with the virus. The stated purpose of the monitoring is to notify the confirmed and suspected patients with a text message that they need to go into home quarantine and to enforce the quarintine obligation. The specific process will be determined by the Health Ministry and approved by the Attorney General.

The directives apply only to the COVID-19 situation and are in place for 14 days. The SHABAK will not save the data produced and will make no other use of the data. The data will be forwarded directly to the Health Ministry, which will be responsible for sending the text messages to the public. The entire information collected by the government will be purged after the regulations expire, and a 60-day period of evaluation by the Heath Ministry of its function has ended. The data obtained by these means will not be used for a legal or criminal process.  

 

Do Desperate Times indeed call for Desperate Measures? This adage is believed to have been coined by Hippocrates, the Greek physician and the father of Western medicine, who also gave us the tenets of medical ethics with the Hippocratic Oath.

Indeed, the current situation is unusual. It challenges our values and confronts us with moral dilemmas. Humanity has known epidemics before, but the technologies available to us today to monitor people’s movement, physiological biometrics, the crossing of Big Data, and insight generation were not in existence in previous eras. The COVID-19 epidemic started a crisis that juxtaposes the basic human rights to life and health with the right to privacy and liberty. We are now on the verge of a decision, which, unless restrained with significant measures, may constitute a dangerous precedent of the government penetrating citizens’ life, transforming Israel into a Police State.

Last night, the Prime Minister announced the government is planning to use technology to fight COVID-19. The resolution, which will be put before the government today, will probably talk about adopting the capabilities usually reserved to Israel’s General Security Service, which to this day have been restricted to fighting terrorism. The use of such capabilities at ill or suspected-ill civilians is a dramatic development. Let us not underestimate the danger that such a decision poses to our democratic values. The Prime Minister pointed out that this is an extreme measure, which is nonetheless required, even though it violates people’s privacy. The announcement provided no details of the plans, the types of information to be monitored, the purposes the information is meant to serve, and by whom or the implications of the analysis of the information collected. The Prime Minister provided no details on the checks and restraints that will apply to the use of these measures.

The government has pointed out that this is an extraordinary measure, which violates people’s privacy, but is required nonetheless. The announcement gave no details of the plans, the types of information to be monitored and for what uses, the consequences of the analysis of the information, or which control and restraint measures will be implemented. It is possible that only confirmed patients will be monitored to enforce their isolation. At this stage, confirmed patients amount to merely several hundreds of people. It is possible, however, that the measures will include monitoring or collection of location data from all of the Israeli citizens and their cross-matching with the location data of the confirmed patients to identify the people who were in the vicinity of a confirmed patient and for how long. If this is the plan, the State will be able to tell each one of us how probable it is that we have been exposed to the virus or contracted it. Yet another possibility is requiring us to report our whereabouts and how we feel on a daily basis.

During regular times, a State agency that believes it needs information from a citizen’s cellphone must apply for a court order and present enough evidence to justify the invasion of privacy because of a suspected offense. This procedure applies whether the State seeks to investigate a cellphone in its possession or asks the telecom provider for data on communication between persons. The police or the government ministries are not allowed to use the measures reserved for the Secret Services to fight terrorism, namely eavesdropping and monitoring. In a democratic state, our most fundamental civilian rights include protection against surveillance and breach of our private space by the State. This protection is critical to preserve the freedom of opinion and faith, freedom of expression, and freedom of movement.

But during this particular time, the Health Ministry issues directives under the People’s Health Ordinance and orders which the Ministry’s Director General is authorized to issue. The government may be planning to rely on this framework. Note that in so doing, the government is crossing a significant boundary in a State that is built on fundamental values, where the Knesset grants authority to the government, and where the courts serve as auditors. Resorting to an ordinance that does not require approval by the Knesset or the judicial system is a potential risk to the elementary democratic rights of all Israeli citizens.

Regardless of the legal authorization framework approved by the Attorney General, some issues have not been clarified to the public (although the government probably discussed them). Clarification of these issues is essential for assessing the risk to individuals’ privacy and liberty posed by the State’s use of technology to protect health and life.

How will the mobile data be used? Is it to inform us of possible exposure to a confirmed patient so we confine ourselves to our houses? Or is it to enforce disobedient confirmed patients to enter quarantine? Along the continuum of civilian liberty, lies a distance between encouraging social responsibility to policing and forced monitoring. Is the government planning to scan the cellular signals of clusters of more than 100 people to enforce the prohibition on gathering? If this is the case, the breach of privacy of each one of us would be smaller, since the information collected is aggregated, not personal. Or is the government going to track us individually at all times?

Given the current risk assessment, it makes sense to fine-tune the balance between civilian freedom (as reflected in individual privacy) and public health. However, any decision that attempts to modify the balance must ensure the following:

  • Transparency: the public must receive the details of the resolution so it can assess and monitor the decision. People whose mobile devices are being tapped must be notified. If the purpose of device monitoring is to force people to stay home, then the mere knowledge that one’s phone is being tapped will achieve the desired deterrence.
  • A time limit must be set following which the information collected will be purged and no longer held by the State. The need for tapping citizens’ devices should be evaluated regularly, and the monitoring stopped as soon as it is no longer essential for ending the epidemic.
  • Stick to the purpose: provide a clear definition of the intention of using the information. These purposes must be restricted to the order of the day, no more. Audit and enforcement mechanism must be applied to civil servants and external suppliers with access to the information, to prevent abuse.
  • Robust information security is required to prevent leaks.

In grappling with the COVID-19 pandemic, humanity has many more tools than it ever had. These may come in handy in overcoming the disease as a significantly lower loss of human lives. Nonetheless, we must be cautious, responsive, and proportionate in employing these measures. In the absence of independent checks and balances, we risk letting in one of the biggest threats to democracy: a Police State.