יום ראשון, 16 באוגוסט 2009

הצרה של שימוש חוזר במידע

"History will record what we, here in the early decades of the information age, did to foster freedom, liberty and democracy. Did we build information technologies that protected people's freedoms even during times when society tried to subvert them? Or did we build technologies that could easily be modified to watch and control? It's bad civic hygiene to build an infrastructure that can be used to facilitate a police state." (Bruce Scneier)
יעקב עמידרור, ראש הפורום הישראלי לאבטחת מידע, הנחה ביום ד' שעבר את הפאנל בנושא החוק הביומטרי, ולפי דיווח ב"הארץ" אמר במהלכו: "יש בעיה בהשתלבות של העשייה באקדמיה בהליכים הממשלתיים. קשה מאד למצוא אנשי אקדמיה שמצליחים להתרומם מעל תפישת העולם הערכית ולהביע רק עמדה מקצועית". עמידרור הוסיף וטען כי "לא נכון יהיה להגדיר את האקדמיה כאובייקטיווית".
יש הרבה מה לומר על הדברים המקוממים הללו. להמשך הרשימה …

אבל בשלב ראשון, כיוון שבדיוק נתקלתי במאמר ישן של ברוס שנייר, שנראה לי מתאים לנסיבות, אני מביא תרגום של עקרי הדברים של שנייר (Risks of Data Reuse; הופיע גם ב-Wired):
במלחמת העולם השניה, בעת הלחימה ביפן, ריכזה ארה"ב כ-127,000 אלף אזרחים ממוצא יפני במחנות מעצר. שנים רבות חלפו עד שהאזרחים היפנים זכו להתנצלות ולפיצוי על הפגיעה חסרת ההצדקה בזכויותיהם ובכבודם. שנים רבות עוד יותר חלפו עד שהתברר שהלישכה לסטטיסטיקה בממשל האמריקאי היא שהיתה המקור למידע ששימש לאיתור האזרחים שנשלחו למחנות. אמנם חוק משנת 1942 השהה את הוראות החוק הקיים, שאסר על שימוש במידע אישי שנאסף על ידי הלשכה לסטטיסטיקה, ואולם לאורך כל השנים הכחישו עובדי הלשכה את הטענות שלפיהן היא היתה המקור למידע. מחקר שראה אור בתחילת השנה מוכיח שהם פשוט שיקרו (ראו: כאן כאן כאן וכאן)

פרשה זו מדגימה היטב את אחת הבעיות המטרידות ביותר של עידן המידע: מידע נאסף למטרה אחת ובסופו של דבר נעשה בו שימוש חוזר למטרות אחרות (data reuse). מה שמטריד אותנו כשאנו חושבים על המידע האישי שלנו אינו האיסוף והשימוש הראשוניים אלא השימושים המשניים. בדרך כלל אנו מרוצים כאשר Amazon.com מציעה לנו ספרים שעשויים לעניין אותנו על סמך ההזמנות הקודמות שלנו או שחברת התעופה הקבועה שלנו יודעת איזה מושב ואיזה סוג ארוחה אנו מעדיפים. ממש לא אכפת לנו שחברת הניהול של כביש אגרה מחייבת אותנו באופן אוטמטי בעזרת פרטי כרטיס האשראי שהיא מחזיקה, או שחברת כרטיסי האשראי שולחת לנו סיכום של הרכישות שעשינו במהלך השנה האחרונה. מה שאיננו רוצים שיקרה, זה שהמידע שאוספות החברות הללו יימכר לחברות שיווק או גופים אחרים שמעבדים מידע אישי, או שרשויות אכיפת החוק יוכלו לקבל את המידע הזה ללא צו שיפוטי.

שני נושאים מטרדים בשימוש משני במידע. האחד האו אובדן השליטה על המידע האישי שלנו. בכל הדוגמאות שלעיל יש הסכם מכללא, שלפיו המידע ישמש המידע רק כדי לתת לנו שירות מסויים. ברגע שמחזיק המידע מוכר אותו לאחרים אנו מאבדים שליטה על המידע שלנו. הוא עלול להופיע על מסך המחשב של חברת טלמרקטינג, בדו"ח מפורט למעסיק פוטנציאלי או במערכת פרופיילינג, שמאתרת "מועמדים" שעשויים להיות סכנה ביטחונית. המידע האישי שלנו הופך לצל, שתמיד יעקוב אחרינו שעה שאנחנו לא נצליח לראות אותו.

כמובן שהחשש מפני שימוש משני משפיע על הנכונות שלנו לתת את המידע מלכתחילה. המידע שאוספת הלשכה לסטטיסטיקה הוא חסוי על פי חוק כדי לעודד אזרחים לשתף פעולה עם הסקרים שלה, וקרוב לוודאי שלא היינו עונים בחופשיות ובדייקנות לשאלות הסוקרים אם היינו יודעים שהמידע שלנו ישמש את ה-FBI לצורך ספקולציות סטטיסטיות שיקבעו את ההסתברות להיותנו טרוריסטים.

הבעייה הנוספת של שימוש משני במידע היא הטעויות הרבות שהוא מוליד. בכל מערכת מידע יש טעויות. שיעור שגיאות מסויים הוא נסבל בשימוש אחד אבל לא במישנהו. מאגר מידע של בני מיעוטים עשירים במיוחד (ראו דוגמאות של מאגרים שניתן לרכוש בארה"ב), אולי יכול לשמש לקמפיין שיווקי אפילו אם יש בו שיעור טעות של 10% אבל אם הוא משמש את רשויות אכיפת החוק חוסר הדיוק הזה עלול לגרום לפגיעות ולנזקים של ממש. הבנה של ההשלכות שיש לשיעורי המידע השגוי שבמאגר היא תנאי לשימוש משני הוגן ויעיל במיוחד כשמדובר ברשויות אכיפת החוק.
לקראת הבחירות לנשיאות בשנת 2000 רכשו בפלורידה מאגר מידע מחברה פרטית והצליבו אותו עם פנקס הבוחרים על מנת להוציא ממנו בעלי עבר פלילי (בארה"ב עבריינים מורשעים אינם מצביעים). המידע הכיל שגיאות רבות והצלבתו עם פנקס הבוחרים נעשתה באופן רשלני, דבר שהביא לשלילה חסרת בסיס של זכות הבחירה מאלפי בוחרים, רובם שחורים, ויתכן שגם השפיעה על תוצאות הבחירות (ראו כאן; כזכור בבחירות של שנת 2000 ניצח ג'ורג' בוש את אל גור בהפרש קטן, ובזכות רוב קטן ומפוקפק שקיבל בפלורידה).
כמובן שיש יתרונות לשימוש משני. קחו לדוגמא מידע רפואי - הוא פרטי ואישי אבל אגירתו ועיבודו יכולים להועיל מאוד לחברה. אפשר ללמוד השפעות ארוכות טווח של תרופות, חלופות טיפול, משתנים סביבתיים, ואורחות חיים. קיים פוטנציאל מחקרי אדיר בתוך המידע, וראוי למצוא דרכים לנצל אותו מבלי לפגוע בפרטיות.

זהו בעיקר תפקידה של החקיקה. טכנולוגיה לבדה אינה יכולה להגן על זכויותינו. יש יותר מדי סיבות מדוע לא לסמוך עליה ויותר מדי דרכים לנצל אותה לרעה. פרטיות המידע תלויה בראש וראשונה בחוקים שלנו, והגנות חוקיות חזקות הן תנאי הכרחי להגנה על המידע שלנו מפני ניצול לרעה.
ועדיין הטכנולוגיה היא חיונית. הסיפור של האזרחים ממוצא יפני במלה"ע השניה, והסיפור של מאגר המצביעים בפלורידה ממחישים לנו שחוקים יכולים להשתנות במהירות. עלינו לבנות מערכות עם "טכנולוגיות משפרות פרטיות" (privacy-enhancing technologies*) שיגבילו את איסור המידע היכן שרק ניתן. מידע שלא נאסף מלכתחילה לא ניתן יהיה לעשות בו שימוש משני. קשה לעשות שימוש חוזר במידע שנאסף באופן אנונימי, או במידע שנמחק מיד לאחר שנעשה בו השימוש המקורי שלשמו הוא נאסף.

קל לבנות מערכות שאוספות מידע על כולם - זה מה שמחשבים עושים באופן טבעי, אבל הרבה יותר חשוב להקדיש מחשבה, להבין לשם מה נחוץ המידע ומדוע, ורק אז לאסוף אותו.

דפי ההיסטוריה יתעדו מה שאנו, כאן בעשורים המוקדמים של עידן המידע, עשינו כדי לשמור על חופש, חירות ודמוקרטיה. האם בנינו טכנולוגיות מידע שיגנו על חירויות הפרט גם בזמנים שהחברה תנסה לכרסם בהן? או האם בנינו טכנלוגיות שיוכלו להשתנות בקלות ולהפוך לכלי מעקב ושליטה. רק חברה עם הגיינה אזרחית מפוקפקת בונה תשתיות יהפכו אותה מחר למדינת משטרה.

* ראו למשל קול קורא שפרסמה לאחרונה הרשות למשפט לטכנולוגיה ולמידע: "טכנולוגיות משפרות פרטיות (PET) - טכנולוגיות שמטרת למנוע או למזער פגיעה בפרטיות - אנונימיזציה של מידה, הצפנה מזעור היקף מידע ואבטחת מידע. ככל מדובר בטכנולוגיות ידועות ומקובלות לאבטחת מידע נבקש הפניה ספציפית להיבטי הפרטיות במידע העולים מהן, ולא להיבטי אבטחת מידע כלליים." אני מקווה שהפורום לאבטחת מידע מתעניין גם בטכנולוגיות משפרות פרטיות למרות שהן בהחלט משקפות תפיסה ערכית.
.

אין תגובות:

אל תשתתפו בניסוי - אמרו לא למאגר הביומטרי

CC By Daehyun Park