איזה גוף ממשלתי יודע עליכם הכל?

מהשכר ועד אחוזי הנכות, מגודל הדירה ועד הקילומטראז' של האוטו, משמות הילדים ועד תאריך הגירושים: מסתבר שהלשכה המרכזית לסטטיסטיקה מתעקשת שהמידע שהיא שואבת מכלל הרשויות בישראל יהיה מזוהה פרסונלית ומחזיקה מאגרי מידע עם כמויות אדירות של מידע פרטי על כל אזרח ואזרחית בישראל. למה בדיוק זה נחוץ לדוחות סטטיסטים? הלמ"ס מעדיפה שלא להסביר. תחקיר שומרים

איור: מורן ברק

מהשכר ועד אחוזי הנכות, מגודל הדירה ועד הקילומטראז' של האוטו, משמות הילדים ועד תאריך הגירושים: מסתבר שהלשכה המרכזית לסטטיסטיקה מתעקשת שהמידע שהיא שואבת מכלל הרשויות בישראל יהיה מזוהה פרסונלית ומחזיקה מאגרי מידע עם כמויות אדירות של מידע פרטי על כל אזרח ואזרחית בישראל. למה בדיוק זה נחוץ לדוחות סטטיסטים? הלמ"ס מעדיפה שלא להסביר. תחקיר שומרים

איור: מורן ברק
איור: מורן ברק

מהשכר ועד אחוזי הנכות, מגודל הדירה ועד הקילומטראז' של האוטו, משמות הילדים ועד תאריך הגירושים: מסתבר שהלשכה המרכזית לסטטיסטיקה מתעקשת שהמידע שהיא שואבת מכלל הרשויות בישראל יהיה מזוהה פרסונלית ומחזיקה מאגרי מידע עם כמויות אדירות של מידע פרטי על כל אזרח ואזרחית בישראל. למה בדיוק זה נחוץ לדוחות סטטיסטים? הלמ"ס מעדיפה שלא להסביר. תחקיר שומרים

איזה גוף ממשלתי יודע עליכם הכל?

מהשכר ועד אחוזי הנכות, מגודל הדירה ועד הקילומטראז' של האוטו, משמות הילדים ועד תאריך הגירושים: מסתבר שהלשכה המרכזית לסטטיסטיקה מתעקשת שהמידע שהיא שואבת מכלל הרשויות בישראל יהיה מזוהה פרסונלית ומחזיקה מאגרי מידע עם כמויות אדירות של מידע פרטי על כל אזרח ואזרחית בישראל. למה בדיוק זה נחוץ לדוחות סטטיסטים? הלמ"ס מעדיפה שלא להסביר. תחקיר שומרים

איור: מורן ברק

שחר סמוחה

יחד עם

10.6.2020

תקציר הכתבה

א

יזה גוף בישראל מחזיק הכי הרבה מידע אישי ופרטי על כל אזרח ואזרחית? אפשר להעריך במידה רבה של ודאות שישראלי שישאל על כך יתלבט בין השב"כ למשטרה ואחרי מחשבה אולי יצרף לרשימה גם את הביטוח הלאומי. התשובה מתברר רחוקה מאוד והרבה יותר אפורה: הלשכה המרכזית לסטטיסטיקה יודעת עליכם כמעט הכל.

רבים יודעים שהלמ"ס מוסמכת בחוק לערוך סקרים נרחבים המחייבים את המשתתפים למסור פרטים אישיים רבים, אבל רק מעטים יודעים שהלמ"ס גם שואבת מידע משלל הרשויות הפועלות במדינה. וזהו רק חלק קטן מהסיפור: הלמ"ס, כפי שמתברר ממקרה שיפורט בהמשך הכתבה, מתעקשת לקבל את המידע הזה כשהוא מזוהה בשמות ובמספרי תעודות זהות. ההתנהלות הזאת גורמת לכך שבלמ"ס מרוכזת כמות מידע אדירה על כל אזרח ואזרחית במדינה – מתי אדם נולד ומתי הוא מת; מה דתו; עם מי הוא התחתן וממי הוא התגרש; כמה ילדים יש לו ובאילו מוסדות הם לומדים; על איזו מכונית הוא נוהג וכמה קילומטראז' היא צברה; כמה חדרים בדירתו ומה גודלה. וזה לא נעצר שם: הלמ"ס שואבת מידע גם ממס הכנסה, מביטוח לאומי ומהרשויות המקומיות, מה שאומר שהיא יודעת כמה אתם מרוויחים והאם היתה לכם שנה טובה או רעה בעסק; לאיזו קופת חולים אתם שייכים ומתי הצטרפתם אליה; מדוע יש לכם הנחה בארנונה; כמה פעמים בחייכם חתמתם בלשכת התעסוקה כדי לקבל דמי אבטלה, וזאת רשימה חלקית מאוד. גורם בלמ"ס אמר לשומרים שהלשכה היתה שמחה גם לדעת מה הנטייה המינית של כל תושב, אולם ויתרה על כך משום שהגיעה למסקנה שהעלאת השאלה בסקרים (שנזכיר שהחוק מחייב להשיב עליהם) עשויה לסכן את הנשאל במגזרים מסוימים וכי במילא יהיה קשה לאמוד את מידת אמינותן של התשובות שיתקבלו. במילים אחרות, מבלי שמישהו נתן על כך את הדעת, הלמ"ס הפכה לליבת מה שמכונה בשפה מקצועית "חברת המעקב" ומחזיקה על אודותיכם מידע אישי מקיף הכולל כמעט כל אספקט של החיים.

הלמ"ס מתעקשת לקבל את המידע כשהוא מזוהה בשמות ובמספרי תעודות זהות. ההתנהלות הזאת גורמת לכך שמרוכזת אצלה כמות מידע אדירה על כל אזרח ואזרחית במדינה – מתי אדם נולד ומתי הוא מת; מה דתו; עם מי הוא התחתן וממי הוא התגרש; כמה ילדים יש לו ובאילו מוסדות הם לומדים; על איזו מכונית הוא נוהג וכמה קילומטראז' היא צברה; כמה חדרים בדירתו ומה גודלה. וזה לא נעצר שם: הלמ"ס שואבת מידע גם ממס הכנסה, מביטוח לאומי ומהרשויות המקומיות, מה שאומר שהיא יודעת כמה אתם מרוויחים והאם היתה לכם שנה טובה או רעה בעסק; לאיזו קופת חולים אתם שייכים ומתי הצטרפתם אליה

פרקטיקת דרישת המידע המזוהה על ידי הלמ"ס וקבלתו מהרשויות השונות מתקיימת ככל הנראה ללא תהיות או הפרעות כבר עשרות שנים. במשך רובה של התקופה הזאת יכולת השימוש במידע האישי הייתה חלקית בשל דרך שמירת הנתונים, שנעה בין קלסרי נייר לאחר הקמת המדינה ועד 'קסטות' של מחשבים בשנות השמונים המוקדמות. העידן הדיגיטלי והאפשרות להעביר בקלות כמויות אדירות של מידע, כמו גם להצליב מידע שנמצא בקבצים נפרדים, פתח את הדלת לשלל בעיות אפשריות, מהיכולת להרכיב במקום אחד פרופיל מפורט להפליא של כל אזרח, דרך חיטוט לא מורשה לצורכי רכילות, סחיטה או שיימינג ועד שימוש לרעה על ידי גורמים שמקבלים מידע מהלמ"ס בהיתר ועל פי חוק. חמורה במיוחד האפשרות לדליפת מאגרי המידע לידי עבריינים או גורמים עוינים. בעבר הראה מחקר אקדמי שהלמ"ס לא בדיוק הצטיינה בתחום הזה.

אין חולק על חשיבותה של הלמ"ס ושל המחקרים שהיא עורכת עבור תהליכי קבלת ההחלטות בממשלה ובכנסת כמו גם עבור גופים רבים במגזר הפרטי. השאלה המרכזית העולה מהכתבה הזאת היא מדוע מתעקשת הלמ"ס על קבלת מידע מזוהה שאינו רלוונטי כלל לעריכת דוחות סטטיסטים. הערכה שנשמעה מפי מומחה שנשאל על כך היא שהדבר נעשה כדי לטייב ולאמת מידע (למשל ההנחה בארנונה שמקבל תושב מול אחוזי הנכות שלו לפי הביטוח הלאומי). אם זאת אכן הסיבה הפגיעה בפרטיות חמורה במיוחד שכן הדבר מצביע על היכולת של הלמ"ס להצליב את נתוניו של אדם ספציפי בין אינספור מאגרי המידע שבידה. הלמ"ס עצמה לעומת זאת העדיפה לא לספק שום הסבר. שומרים ביקש פעמיים התייחסות לשאלה אולם בתגובתה (שמובאת בהמשך במלואה) היא הסתפקה במשפט המעורפל הבא: "מערכת סטטיסטית מבוססת נתונים מנהליים ומרשמים סטטיסטיים מושתת על היכולת לזווג באופן חד ערכי את הנתונים המנהליים המתקבלים ממקורות המידע השונים".

שתי רשויות התקוממו

תפיסת הפרטיות העדכנית דפקה על דלתה של הלמ"ס כנראה רק בחודשים האחרונים כאשר בשני מקרים נפרדים סרבו שתי רשויות מקומיות להעביר מידע מזוהה שנדרש על תושביהן וקראו תגר על עצם הדרישה להעבירו בטענה שאין בכך שום צורך סטטיסטי.

תחילת הסיפור במכתבים לקונים בשפתם ששלחה הלמ"ס במארס לעיריות ולמועצות מקומיות ובו דרשה להעביר אליה מידע בנושאי ארנונה ובכלל זאת מי מהתושבים מקבל הנחה בארנונה, באיזה היקף, באיזה נכסים ומאיזו סיבה. הנחות בארנונה, נזכיר, ניתנות לעיתים קרובות מסיבות כמו נכות, הכנסה נמוכה, הורות יחידנית וכו', והן בפירוש מידע פרטי שלא בטוח שבעליו ירצה שיופץ. כדי למנוע חוסר הבנה הלמ"ס דרשה במכתבים בפירוש שהמידע יכלול שמות, תעודות זהות וכן פרטים מזהים של הנכסים עצמם.

אלא שבניגוד לציות האילם שבו כנראה הלמ"ס מורגלת הפעם סירבו שתי מועצות - גן רווה וזכרון יעקב - ללא תיאום מוקדם ביניהם, להעביר את המידע. "מרשתי רואה בחומרה רבה את נסיון הלמ"ס לאסוף נתונים שאינם סטטיסטים באופן החוטא לתפקידה", נפתח מכתב התשובה של גן רווה. בהמשך נטען בו כי הדרישה להעברת המידע לא כוללת "הסבר על מקור הסמכות, לא נימוק המבסס את הצורך, ואף לא חוות דעת משפטית עדכנית מהגורם הרלוונטי" (הרשות להגנת הפרטיות במשרד המשפטים, ש"ס).

המועצה גם תהתה במכתבה אם הדרישה לקבל מידע מזוהה מרשויות מקומיות ידועה לרשות להגנת הפרטיות והאם זו אכן אישרה כי העברת המידע האישי המזוהה אינה נחשבת לפגיעה בפרטיותם של התושבים.

בירנהק: "זה אומר שגם אם לכל רשות בנפרד יש את המידע הדרוש לצורך מילוי תפקידה, יש גוף אחד בישראל שמרכז את כל המידע במקום אחד. זה הופך את מאגר המידע המאוחד שלהם למאגר סופר־סופר רגיש שעשוי להיות יעד לזליגת שימושים – כשמישהו יאמר 'אם כבר יש לנו את המידע, בוא כבר נעשה בו עוד שימושים' – או לדליפה"

הלמ"ס מיהרה לענות וטענה כי היא זכאית לקבל מידע סטטיסטי על פי החוק. גם כאן בחרה הלמ"ס להתעלם מהשאלה מדוע היא דורשת לקבל מידע שמזהה את התושבים וקושר אותם לנכסים ספציפיים. במכתב הנעלב ששלחה לגן רווה העוזרת הראשית ליועצת המשפטית של הלמ"ס, עו"ד שרון נגארי, היא כותבת כי "הגורם המוסמך להפעיל שיקול דעת על פי החוק, ולקבוע מהו סוג המידע הנדרש לצורך עריכת הפעולות הסטטיסטיות על ידי הלמ"ס, הוא הסטטיסטיקן הלאומי; ולא הרשות הנדרשת למסור מידע או באי כוחה". ובמילים אחרות: אנחנו מבינים בסטטיסטיקה, אתם לא.

בנוסף קובעת נגארי כי "סמכותו של הסטטיסטיקן הלאומי לדרוש ממוסדות המדינה למסור מידע לצורך עבודת הלמ"ס על פי חוק גוברת על כל חיוב או איסור סותרים המצויים בחוק אחר", ודוחה את התהיה שמא הלמ"ס נדרשת לאישור הרשות להגנת הפרטיות. המכתב מסתיים בעיקום אף פקידותי: "יוער כי נוסח המכתב אשר נשלח אלינו מטעמכם בוטה, ואיננו מכבד רשות שלטונית".

נכון להיום, כשלושה חודשים מאז קבלת הדרישה הראשונה מהלמ"ס להעברת המידע המזוהה, נמשכים חילופי המכתבים בין הלמ"ס למועצות המקומיות שעומדות בסירובן. יש להניח שרוב הרשויות והעיריות המקומיות שקיבלו דרישות דומות לא הערימו קשיים דומים בפני הלשכה אלא העבירו את הנתונים הנדרשים.

אז מי צודק?

פרופ' מיכאל בירנהק, סגן הדיקן למחקר בפקולטה למשפטים באוניברסיטת תל אביב, המתמחה בתחום הפרטיות בעידן הדיגיטלי, הופתע מפרטי הסיפור. "פקודת הסטטיסטיקה היא פקודה מנדטורית מימי הבריטים ואף שתוקנה מדי פעם על ידי הכנסת היא עדיין כפופה לפרשנות לפי חוקי היסוד", הוא אומר. "על כן יש לפרש אותה לפי חוק היסוד שמגן במפורש על זכות היסוד לפרטיות ומאפשר לפגוע בה רק לתכלית ראויה ובמידה שאינה עולה על הנדרש. בנוסף, בפרק ד' של חוק הגנת הפרטיות יש הסדר מפורש שעוסק בהעברת מידע בין גופים ציבוריים. בשביל להעביר מידע צריך שלשני הגופים תהיה סמכות – ללמ"ס יש סמכות לדרוש מידע אבל צריך גם שלרשויות תהיה סמכות למסור את המידע. בעיני, צריך לצמצם העברות מידע אישי שעשוי להיות מידע רגיש למינימום הדרוש ונראה לי נכון שההתממה (אנונימיזציה, ש"ס) תעשה על ידי הרשויות המקומיות, כלומר הצד המוסר. למה? כי כבר יש להם את המידע. בנוסף זה צריך להיעשות בזהירות כי אנשי מחשבים יכולים בקלות יחסית ובאמצעות הצלבה של מאגרי מידע פומביים לזהות אדם מסוים".

*למה צריך להיות אכפת לנו שהלמ"ס מקבלת את כל המידע הזה? הרי משתמשים בו כדי לספק מידע נחוץ למקבלי החלטות

"התכלית של סטטיסטיקה בהחלט ראויה. זה אכן מידע שדרוש למקבלי החלטות ולחוקרים.. אבל צריך לצמצם את העברת המידע על אזרחים למינימום הדרוש. כל העברת מידע פירושה עוד זוג עיניים אם לא יותר מזה ועוד מחשבים שבהם המידע הזה נמצא. כשמידע זורם ממקום למקום הוא יכול לזלוג. לפעמים זה קורה ברשלנות ולפעמים בזדון. אני לא חושד באנשי הלמ"ס חלילה אבל ברשויות אחרות היו דברים מעולם ומידע דלף. הדרך הכי טובה להגן על פרטיות מידע זה לצמצם את העברתו ממקום למקום".

הלמ"ס העדיפה לא לספק הסבר לשאלה מדוע היא זקוקה למידע מזוהה. שומרים ביקש פעמיים התייחסות לשאלה אולם בתגובתה היא הסתפקה במשפט המעורפל הבא: "מערכת סטטיסטית מבוססת נתונים מנהליים ומרשמים סטטיסטיים מושתת על היכולת לזווג באופן חד ערכי את הנתונים המנהליים המתקבלים ממקורות המידע השונים"

בירנהק מעריך כי הסיבה שהלמ"ס דורשת מידע מזוהה נובעת מרצונה להצליב נתונים. הוא מגדיר את הפרקטיקה הזאת כ"מדאיגה מאוד" ואומר כי "זה אומר שגם אם לכל רשות בנפרד יש את המידע הדרוש לצורך מילוי תפקידה, יש גוף אחד בישראל שמרכז את כל המידע במקום אחד. זה הופך את מאגר המידע המאוחד שלהם למאגר סופר־סופר רגיש שעשוי להיות יעד לזליגת שימושים – כשמישהו יאמר 'אם כבר יש לנו את המידע, בוא כבר נעשה בו עוד שימושים' – או לדליפה".

להערכתו של בירנהק מצטרף עוד גורם שמכיר מקרוב את עבודת הלמ"ס. לדבריו, הבעיה מתחילה מאיכות נמוכה מאוד של המידע שמעבירים משרד הממשלה השונים ללמ"ס, שמחייבים את טיובו המתמיד. לדברי הגורם, אפילו בפרטים טריוויאלים כמו למשל מחיקת הנפטרים ממרשם התושבים יש אינספור טעויות. הלמ"ס, לפי הגורם, מצליב מידע כדי לעדכן את הפרטים. כך למשל אם כתובתו של אדם מסוים מופיעה במרשם התושבים בתל אביב אך הוא משלם ארנונה דווקא באילת, הלמ"ס מתקנת את הרישום.

כמות המידע האישי וההצלבות מובילה לעניין אבטחת המידע והשאלה אם ללמ"ס יש את היכולת הנדרשת. במאמר של פרופ' טל ז'רסקי מאוניברסיטת חיפה, ושל ד"ר שרון בר־זיו ממכללת ספיר, שפורסם בשנה שעברה בגיליון נושא על פרטיות של כתב העת "משפט חברה ותרבות", כותבים השניים לאחר דיון מעמיק בסוגיית ההתממה, כי "בצד הידע המקיף והניסיון המצטבר, הטיפול של הלמ"ס בהתממה ידע גם כישלונות. לדוגמה, חוקרים באוניברסיטת תל אביב הצליחו לבצע כמה התקפות על מידע שפרסמה הלמ"ס בפומבי (בעיקר תוך איתור קבוצות בעלות מספר חברים קטן מאוד)... ייתכן שיש פער בין הרטוריקה המקצועית של הלמ"ס לבין ביצוע הדברים בשטח".

המחקר שז'רסקי ובר־זיו מתייחסים אליו נערך לפני כשמונה שנים במסגרת סדנה באבטחת מידע שהנחה פרופ' ערן טרומר מבית הספר למדעי המחשב (אז, ד"ר). הסטודנטים שערכו אותו, גולן סלמן וראזי מוקטרן, השתמשו בנתוני סקר הלמ"ס לשנת 2011 ושנתוניו פורסמו באתר הלשכה לאחר שלכאורה עברו התממה.

לאחר שימוש באלגוריתם שפיתחו השניים, הם הצליחו לשחזר את תשובותיהם של 1005 נשאלים מתוך 7064 שהשיבו על הסקר ואף לאתר באופן פיזי את אחת המשיבות עליו, להקריא לה את כל התשובות שהשיבה לסוקר של הלמ"ס ולוודא שהיא אכן זו שהשתתפה בו. נזכיר שוב שההשתפות בסקר היא חובה לפי חוק וכי הלמ"ס מתחייבת שהמידע האישי שהם מוסרים יישמר בסודיות ופרטיותם לא תיפגע.

הלמ"ס: תפקידנו לערוך פעולות סטטיסטיות ולפרסם נתונים

מהלמ"ס נמסרה התגובה הבאה:

"הלמ"ס מקבלת ממשרדי ממשלה נתונים בהתאם לסמכות החוקית הנתונה לה, והמידע מתבקש ומתקבל רק על בסיס צורך (מידע שאיננו נדרש לעבודת הלמ"ס, לא נדרש וממילא לא מתקבל). "תפקידה של הלמ"ס ע"פ חוק הוא לספק סטטיסטיקה רשמית. כדי לבצע את תפקידה ברמה מספקת עליה לאסוף נתונים מגופים שונים. שימוש בנתונים שנאספו ממילא ע"י רשויות שונות של המדינה מבטיחה בין היתר גם חסכון רב בכספי ציבור ובמשאבים.

"מערכת סטטיסטית מבוססת נתונים מנהליים ומרשמים סטטיסטיים מושתת על היכולת לזווג באופן חד ערכי את הנתונים המנהליים המתקבלים ממקורות המידע השונים. זו הסיבה שהמחוקק קבע שיש ללמ"ס את הסמכות לכך. לא ניתן לבנות מערכת אורכית או רוחבית של נתונים סטטיסטים לכל ישות, בין אם מדובר בנפש, במשק בית או בישות עסקית ללא היכולת לזווג בין בסיסי הנתונים".

ביחס להתנהלות מול המועצות המקומיות שהוזכרו בכתבה נמסרה ההתייחסות הבאה:

"בין היתר תפקידה של הלמ"ס הוא לערוך פעולות סטטיסטיות ולפרסם נתונים בנושאי דמוגרפיה, כלכלה וחברה, ובכלל זה גם בתחום הנדל"ן. לשם כך, ומתוקף סעיף 15 בפקודת הסטטיסטיקה, מקבלת הלמ"ס לאורך עשרות שנים את נתוני הארנונה המזוהים מהרשויות המקומיות. נתונים אלה נחוצים לצורך עדכון מרשם דירות ומבנים (מאגר מתעדכן של כל הדירות והמבנים בישראל, על מאפייניהם השונים). רשומות המאגר הן ברמת הדירה, ולכל דירה ישנו זיהוי חד ערכי המאפשר מעקב ועדכון שוטף של מאפייני דירה פיזיים (מיקום וגודל), מאפייני ערך (תעריפי ארנונה, ערך דירה), מאפייני הגרים בה (זהות, מקבלי הנחות לפי מאפיינים חברתיים־כלכליים), ושל האנשים הקשורים אליה בקשר קנייני (בעלים, מחזיק, שוכר). הדירות במרשם מעוגנות בתשתית מרחבית גיאוגרפית ברמת המבנה, ויוצרות (ומתקפות) בכך את מאגר המבנים. המרשם האמור מבוסס על נתוני הארנונה המתבקשים של כל הרשויות מקומיות. מרשם זה מהווה אחד מעמודי התווך בתשתיות המידע של המדינה, והוא משמש, בין היתר, מסגרת לדגימה לסקרי משפחות, בכללם סקר כוח אדם וסקר הוצאות משק הבית; חישוב מדד המחירים לצרכן; פרסום רשויות מקומיות, מידע על אודות מספר דירות למגורים בעיריות ובמועצות מקומיות; בסיס ליצירת חישוב מחירי מלאי הדירות בישראל; עיבודים מיוחדים עבור מקבלי ההחלטות בישראל בכללם משרדי ממשלה, רשויות מקומיות ועוד.

"לפי חוק הגנת הפרטיות אין מניעה להיעתר לבקשת הלמ"ס, מאחר שהחובה למסור את הנתונים מעוגנת בפקודת הסטטיסטיקה. באופן דומה הלמ"ס רשאית לאסוף מידע מזוהה מגורמים שונים, לרבות רשויות המס, והיא עושה זאת במקום בו יש צורך בכך. בהקשר זה חשוב לציין כי מידע זה נאסף ליצירת סטטיסטיקה, והוא אינו מפורסם באופן המאפשר זיהוי פרטים, ונשמר בסודיות מוחלטת בהתאם להוראות מחמירות בעניין זה של פקודת הסטטיסטיקה, ותחת תקנים מחמירים של אבטחת מידע (הפרת חובת הסודיות מהווה עבירה פלילית).

מהרשות להגנת הפרטיות נמסר כי "למועצות הועברו חוות דעת של ייעוץ וחקיקה במשרד המשפטים שהוכנה לפני כשנתיים בסוגיה זו. בחוות הדעת הובהר כי סמכותה המקצועית של הלמ"ס לקבוע מה המידע הדרוש לה לצורך ביצוע תפקידה, עריכת פעולות סטטיסטיות, כמובן תוך עמידה במבחני המידתיות הקבועים בחוק יסוד: כבוד האדם וחירותו. כמו כן, הובהר שסעיפים 15 ו–15א לפקודת הסטטיסטיקה מאפשרים ללמ"ס לדרוש את המידע, כולל מידע פרטי מזוהה, אף אם גילויו אסור על פי דין אחר ובכפוף לחריגים הקבועים בסעיף 15א".