זיהוי ביומטרי ופרטיות 

זיהוי ביומטרי הוא זיהוי חד-משמעי של בני-אדם באמצעות מדידה של תכונות פיזיות של הגוף החי. התכונות הביומטריות מייצגות פרמטרים או דגימות יחודיות ושונות בגופו של אדם האופייניות באופן ייחודי ושונה לכל אדם בנפרד. מאפיינים אלו אינם ברי שליטה ואינם ניתנים להכחשה ו/או ניתנים לשינוי.

·           מידע ביומטרי

·          זיהוי ביומטרי

·          שימושים מעשיים בביומטריה

·          שילוב ביומטריה במערכות ממוחשבות

·          היבטים משפטיים

·          הסיבוכיות ביישום החוק המוצע ל"איסוף מידע ביומטרי"

·          המכשולים ביישום תזכיר "חוק תעודת זהות, מסמך נסיעה ומאגרי מידע ביומטריים, התשס"ח-2008"

·          קישורים חיצוניים

מידע ביומטרי הוא מידע התנהגותי (כתב יד, אופן הליכה, תזוזת העיניים, וכד') או פיזיולוגי (טביעת אצבעות, מבנה קשתית העין, תווי פנים או כל איבר אחר בגוף, או DNA וכד'), הנאסף מגופו של האדם באמצעות סורק ביומטרי מתאים, וייחודי לאותו אדם. את המידע אפשר לאכסן באמצעי אכסון חיצוני כלשהוא, כגון בסיס נתונים מרכזי או כרטיס חכם הנמצא ברשותו של בעל המידע הביומטרי.

מידע ביומטרי יאוכסן לצורכי מעקב, השוואה ומדידה במאגר ממוחשב וניתן להשוות בין התכונות שנאגרו במאגר הממוחשב, לבין ממצא חיצוני אחר כדי לשייכו לבעליו - גם ללא השתתפותו של בעל המידע בהליך ההשוואה.

דוגמה: טביעת אצבעותיו של חשוד [1] שנאספו מזירת פשע ישמשו את רשויות אכיפת החוק ובית המשפט כהוכחה חד משמעית להמצאותו של החשוד - בעליו של המידע בזירת האירוע בה נאסף המידע. חובת ההנמקה לסיבת המצאותן של ראיות ביומטריות חלות תמיד על בעליו של המידע הביומטרי.

זיהוי ביומטרי

זיהוי ביומטרי נחשב משפטית כפולשני כי הוא עוסק במאפיינים ההתנהגותיים ו/או הפיזיולוגיים של האדם, הניתנים למדידה ולשמירה והיכולים לשמש לאימות זהותו. לכל אדם מאפיינים ביומטריים ייחודיים לו. בראשית הייתה טביעת האצבעות, אחר-כך נוספו זיהוי קולי, זיהוי מאפייני הפנים וזיהוי הגאומטריה של כף או גב היד. קיים בנוסף זיהוי על-פי קשתית העין, זיהוי לפי טביעת כף הרגל, ולאחרונה - זיהוי לפי,DNA,  לפי אופן ההליכה, ואפילו לפי הריח.

שימוש בדגימה ביומטרית שנלקחה ממאגר מידע במנותק מנוכחותו הפיזית של בעליה בעת ההשוואה, דומה משפטית לשימוש שלא מרצון במכונת-אמת - בתי המשפט בכל רחבי העולם, לא מכירים בתוצאות מדידה של מכונת אמת (ביו-פידבק) כהוכחה ראייתית, לא בהכרח בגלל העדר אמינות המנגנון. מכונת-אמת כמו הביומטריה עוקפת את המנגנון התודעתי קוגניטיבי והרצוני של הנדגם ולמעשה מעבירה מידע לצד שלישי ללא שליטה ו/או רצון חופשי, קטגוריה המוגדרת כסוג של "כפיה" ללא מתן יכולת ושליטה מוחלטת של נדגם בכל רגע נתון, על תוצאות מידע ה"יוצא מרשותו" באופן לא רצוני. כך גם דגימת מידע ביומטרית הנגזלת ונדגמת מתוך מאגר מידע ללא נוכחות ו/או רשות בעליה.

דגימה ביומטרית היא מפתח, שבאמצעותו אפשר לקשר מידע אודות אדם המצוי במאגרי מידע שונים, ליצירת פרופיל מדויק וחודרני. מידע ביומטרי שנפל לידי עבריינים ואו גופים זרים, יסכן את שלומו של בעליו.

למקומות מאובטחים נדרש זיהוי ביומטרי לפני הכניסה. בישראל, למשל, נעשה שימוש בדרכונים ביומטריים למטרת זיהוי מהיר של העוברים ושבים בנתב"ג. ישנם כיום גם מחשבים המשלבים בהם יכולת ביומטרית כדי להפעיל אותם. בעקבות פרשת ההצבעות הכפולות, הוחלט להכניס מערכת ביומטרית שתכלול זיהוי טביעת אצבעות בלחצני ההצבעה של חברי הכנסת.

משטרות ברחבי העולם עושות שימוש בזיהוי ביומטרי על מנת לפענח מעשי פשע. במיוחד רווח השימוש במציאת התאמות של טביעות אצבע ודגימות DNA.

רעיון אימוץ השימוש בביומטריה במערכות ממוחשבות בא לחפות על החולשה הגדולה ביותר הקיימת כיום בעולם אבטחת המידע והיא יכולת מכונה לזהות מי בפועל עומד מולה.

ע"מ למנוע מצב בו כל משתמש שיגש למערכת המחשב, יוכל לבצע פעולות אסורות, או תתאפשר גישה לאזורים אסורים, מתכנת המערכת כותב תכנית ובה סידרת בדיקות "אימות" ("שם משתמש" ו"סיסמא") ה"בודקות" את תוקפן של ההרשאות של מבצע הפעולה שעומד כרגע לפני מערכת המחשב.

השימוש ב"שם משתמש" ו"סיסמא" הם חלק ממערכת פקודות לוגיות שחיבר מתכנת המערכת. סידרת פקודות זו תמוקם בד"כ בתחילת התכנית, לפני סידרה של פקודות נוספות שהפעלתן תחייב בקרת גישה, הרשאות, ואישור להפעלה של סידרת פקודות נוספות המתאימות למשתמש הנוכחי. לדוגמה, גישה לחשבון בנק או גישה למערכת אחרת הדורשת סביבה ממודרת כלשהיא. ברגע שהמשתמש (לגיטימי או מתחזה) יקליד סידרת תווים "מוסכמים" שאמורים להיות ידועים רק לאותו משתמש ולתכנית הלוגית של המחשב, יתאפשר מעבר לסידרת הפקודות הבאה בהתאם להרשאה. סידרת תווים זאת מוכרת יותר כ"שם המשתמש" וה"סיסמא" כאשר תווי "שם המשתמש" הם תווים גלויים ואילו תווי ה"סיסמא" "מוסתרים" כדי למנוע מצופה סמוי לזהות את התווים או את הצרוף שהוקש.

מהתאור הקצר ניתן מייד להסיק שגם "פעולת הזיהוי", הנעשית באמצעות תווים האופייניים למשתמש מסויים ("שם משתמש" ו"סיסמא") גם היא סידרה של פקודות לוגיות שאינה שונה מהותית, משאר פקודות המחשב הרגילות. כלומר סידרת פקודות "האימות" אינה יכולה לתת למערכת המחשב כלים אמיתיים לוודא זהות של מפעיל. (ההנחה הרווחת היא, שרק למפעיל או למשתמש מסויים יש את צרוף התווים המתאים אך ורק לו).

המסקנה המיידית המתבקשת היא, שללוגיקת פקודות מכונה אין דרך אמיתית "לוודא" מי למעשה מפעיל אותה, וברשותה רק כלי תכנה ה"מתאימים" את מקיש סידרת התווים לסדר פעולות ש"התאים" מתכנת המערכת ל"מפעיל" או ל"משתמש" שהוכיח "ידע" בסדר הקשת התווים המסויים שאותו המחשב יקבל כ"מזהה כניסה מורשה".

נסכם ונאמר שלמערכת מחשב במתכונת הנוכחית אין דרך ממשית לוודא שאדם העומד מול המערכת, הינו אכן ה"בעלים" האמיתי של התווים המוקלדים, ובבוודאי שאין ללוגיקה של המחשב דרך אמיתית לדעת ש"שם המשתמש" וה"סיסמא"" התקבלו כתוצאה מידיעה או לחילופין מהעתקה, פריצה, וירוס, 'רוגלה' או "דלת אחורית" שהושתלו בזדון.

בעיה לוגית זאת קיימת בכל מערכת ממוחשבת אחרת - לדוגמה, מכשיר הכספומט: במכשיר זה נדרשים שני פרמטרים  (כרטיס מגנטי וקוד סודי) בכדי לגרום למכונה להוציא שטרות של כסף... למכשיר הכספומט אין דרך ו/או כלים ל"דעת" מי למעשה עומד מולו, והאם מדובר בבעליו הלגיטמי של הכרטיס והקוד הסודי. כך גם בתשלום בכרטיס אשראי באמצעות המכונה - למקבל התשלום ו/או לחברת האשראי אין כלים לוודא שמספר האשראי שהוקש למכונה הועתק מכרטיס אשראי אמיתי או מפיסת נייר, שהתוכן שלה הועתק מכרטיס לגיטימי של לקוח (במסעדה, תחנת דלק או ממערכת מידע שנפרצה)... כל מה שזייפן פוטנציאלי צריך שיהיה ברשותו כדי לבצע עיסקה הם: מספר כרטיס האשראי, תאריך הפקיעה, שם הלקוח המודפס על הכרטיס ואת שלושת ספרות האימות שמאחוריו (מספר תעודת הזהות אפשר "להשלים" מ"נשורת" משרד הפנים). המידע הזה כולו ויזואלי - למכונה אין דרך לוודא מי למעשה מקיש את המספרים או באיזה אופן הם הועתקו למחשב. מבחינת המחשב כל זמן שהנתונים נכונים והכרטיס לא דווח כגנוב, אין ללוגיקת החיוב כל דרך לדעת שמדובר בגניבה. מבלי להכנס לפרטים נציין רק שההנחה שהמידע העובר בין מחשבים מוצפן אינו רלוונטי ואינו נותן מענה לבעית אימות הזהוי של בעליו, מכיוון שהזייפן ו/או לחילופין בעליו הלגיטימי של כרטיס האשראי מאתחלים גישה לשרת התשלום באותו אופן.

ביומטריה יכולה לתת מענה לעניין זהות המשתמש ו/או קשירת משתמש לפעולה המתבצעת אם כי היום המאפיינים הביומטריים הפשוטים (טביעת אצבעות או גאומטרית גב היד [2]) ניתנים להעתקה די בקלות [3] אבל הדרך להשיג כרטיס אשראי או כרטיס כספומט או קוד גישה למחשב יחד עם הביומטריה של בעליהם הופכת את פעולת הזיוף לקשה יותר. בעיה נוספת היא בעית הפרטיות האם הבנק יאסוף דגימות ביומטריות מלקוחותיו? והאם הבנק יעביר מזהים ביומטריים לבנקים אחרים? מה יעשה הבנק אם לקוח יבצע פעולה בחו"ל האם הבנק יפיץ את הביומטריה של לקוחותיו בכל פעם שידרש לכך? הדרך היחידה לפתור את הקושי הוא שימוש בביומטריה ללא עקבות  (Traceless Biometrics).

כל דרך טכנולוגית שנוסתה כמו שימוש בכרטיס חכם נכשלה[4] ככל שהטכנולוגיה הופכת למתוחכמת יותר המוטיבציה לפריצתה הופכת לאתגר גדול[5] יותר הדרך הנכונה היא פישוט הפתרון תוך הצבה של מכשולים שה"פיצוח" שלהם לא יהיה כדאי וגורף לפורצים ו/או למערכת שיצרה אותם.

רמת הדיוק של מידע ביומטרי נחשב לגבוה מבחינה טכנולוגית. לדוגמה, בספרות המקצועית מצוין שרמת הדיוק [6] של בדיקת קול היא כ 90 אחוז. הניסיון המעשי מלמד כי הדיוק נמוך במקצת ונמצא באזור ה 82%. עם זאת תוצאת בדיקת הקול אינה ראיה קבילה לבתי המשפט ותכליתה העיקרית להוות כלי מסייע בחקירה ולשמש ככלי תומך החלטה.

רמת דיוק של 82% (18 התאמות שגויות לכל מאה השוואות) יקשה במציאת התאמה של דגימה יחידה במאגר מידע המכיל מספר גדול של דגימות, ככל שהמאגר גדול יותר, רמת ההתאמות תהיה בעייתית יותר. רמת הדיוק של הביומטריה לזיהוי קולי נמוכה ביחס לרמת הדיוק של ביומטריית טביעת האצבעות. רמת הדיוק של השוואת טביעת אצבע יחידה למאגר של טביעות אצבע אחרות מאוד גבוהה ויכולה להגיע כמעט ל 99%. מבחינה מעשית מדובר באחוז בודד של שגיאה הנחשב מבחינה טכנולוגית לטוב ויעיל במיוחד במאגר מידע קטן שבו עד עשרות בודדות של דגימות ביומטריות.

ככל שמספר הדגימות הביומטריות גדל, יגדל מרחב השגיאה של מערכת ההתאמות. בהיבט סטטיסטי, על כל 'סט' (סידרה) השוואות של דגימה בודדת אחת ל 100 דגימות ביומטריות אחרות במאגר, תתקבל שגיאה אחת (לפחות), בהנחה שרמת הדיוק, גבוהה מאוד ומגיעה ל- 99%. במאגר בו 1000 דגימות נצפה לקבל 10 התאמות שגויות לכל 'סידרה' של השוואות, ובמאגר עם מיליון רשומות נקבל 10,000 התאמות שגויות.

משרד הפנים בבואו להנפיק "תעודות זהות ביומטריות" ובמהלכן לאגור חתימות ביומטריות במאגר מידע, במטרה למנוע "הרכשה כפולה"  כלומר למנוע מצב בו אזרח יחיד יקבל יותר מזהות אחת, ולא בהכרח בהליך פיזי של זיוף מסמכים אלא במצב בו יש ניצול מודע של נתק הזיהוי במערכות מידע ממוחשבות שקיים היום לעניין זיהוי וודאי של "אדם מול מכונה", המבקש הנפקה חוזרת ונשנית של מסמכי זיהוי, תחת שמות שונים, ממשרדים שונים, למשל במטרה לזכות בכספי ביטוח לאומי או תשלומי סעד אחרים שלא כדין. ע"פ החישוב שהודגם, על מאגר שבו מיליוני רשומות ביומטריות וברמת דיוק גבוהה של 99%, יתקבלו 10,000 (עשרת אלפים) התאמות לכל מיליון חתימות ביומטריות, בעבור כל דגימה שתושווה למאגר כולו (סידרה אחת של השוואות). בתרחיש תאורטי אם הפרמטר היחידי האמור למנוע "הרכשה כפולה" הוא איתור רשומה במאגר ביומטרי, (למרות הדיוק הגבוה), אזרח יוכל לקבל הרבה יותר מזהות כפולה אחת מבלי להתגלות. שוטר משטרת הגבולות, באמצעות השוואת טביעת אצבע, המוודא כי האדם המגיש לו את הדרכון הוא האדם שהדרכון נושא את שמו תוך שימוש במנגנון השוואה ביומטרי, עלול להגיע למסקנות שגויות ביחס לאדם תמים העומד מולו אם המאגר בו ישתמש להשוואה יהיה מאגר ביומטרי של אזרחי המדינה כולה, ולהיפך לשחרר חשוד שמאגר חשודים קטן היה מאתר אותו ברמת דיוק גבוהה יותר. מאגר ביומטרי ככל שהוא גדול יותר, הוא מהווה מכשול גדול יותר ביכולת שלו לאתר רשומה נכונה. בנייה והשוואה למאגר נתונים ביומטרי גדול, לא ימנע "הרכשה הכפולה", ולא יכול לצדד בצורך בבנית מאגר כזה תוך פגיעה אפשרית בפרטיותם של אזרחים תמימים. באמצעים הקיימים היום ניתן כמובן באמצעות סריקה מעמיקה יותר של טביעת האצבעות, להגיע לרמת דיוק העולה על 99%, והטכנולוגיה היא כלי מצוין לזיהוי פלילי, וזאת כמובן כאשר מחשב מרכזי יעבוד במשך שעות על כל זיהוי וגם כאן מדובר במאגר נתונים קטן יחסית (מאגר של אנשים עם עבר פלילי).  בסריקת בקרת הגבולות, נדרשת מהירות גבוהה יותר (לא סביר יהיה לעכב נוסעים במשך שעות רק כדי לקבל תוצאות ברמת דיוק גבוהה יותר), הדרך היחידה לקבל תוצאה טובה במאגר גדול היא השוואה של 1:1 כפי שמקובל היום בשדה התעופה במסלול המהיר כל נסיון להשתמש בשיטת חיפוש1:N  במאגר גדול צפוי להכשל. במערכות הסריקה האזרחיות [7] הקיימות היום בשוק, הוויתור על הדיוק הוא חלק בלתי נפרד מהעשייה בשל המספר הנמוך יחסית של חתימות ביומטריות בכל אחד מ"מאגרי המידע הפרטיים".

ביומטריה מעצם הגדרתה, מכילה מאפיינים שאינם ברי שליטה ואינם ניתנים להכחשה ו/או ניתנים לשינוי. כשמידע אישי שאינו ניתן לשינוי ו/או להכחשה מנותק מגופו החי של בעליו במיוחד אדם החף מכל פשע ועוד ע"י המדינה באמצעות חקיקה, יוצרת סתירה משפטית חריפה לעניין הזכות לפרטיות. הזכות לפרטיות הוא אחד מחוקי היסוד הראשונים ואולי היחידים הנמצא בקונצנזוס מלא ואין עליו כל מחלוקת. הזכות לפרטיות היא אחת מההיבטים המשפטיים המובהקים, שהוכרה במקורות ישראל כזכות משפטית מקדמת דנא. הנביא בלעם בדבריו: "מה טובו אוהלך ישראל" מבטא לדעת חז"ל את התפעלותו של הנביא מן העובדה שבני ישראל נהגו אף במדבר לכבד איש את פרטיותו של רעהו: "ראה פתחיהם שאינן מכוונים זה מול זה".

ד"ר עומר טנא מרצה בפקולטה למשפטים במכללה למנהל כותב במאמר שפרסם בדה מרקר: "זיהוי ביומטרי: חוק האח הענק הוא הסיוט הקפקאי הבא": "משרד הפנים טוען כי החוק יאפשר להתמודד עם התופעה הרווחת של זיוף תעודות זהות ומסמכי נסיעה, וישמש בתנאים מסוימים "לצורך גילוי, חקירה או מניעה של עבירות מסוג פשע או לצורך תפיסת עבריינים"."

לפי הוראת סעיף 32 לחוק הגנת הפרטיות, "חומר שהושג תוך פגיעה בפרטיות יהיה פסול לשמש אסמכתא בבית משפט ללא הסכמת הנפגע". איסוף של מידע ביומטרי מהווה פגיעה בפרטיות עוד בטרם נעברה העבירה ולכן מראש יהיה פסול לשמש כראיה או כאסמכתא ויש לפסול את השימוש במידע מלכתחילה.

הטענה שה"שימוש בטביעת אצבעות ימנע זיוף" מטעה - לא זו בלבד שתופעת הזיוף תחריף, היא תהפוך לנפוצה ובתי המשפט יתמלאו ב"עבריינים" (לכאורה) שאינם יכולים להתכחש לביומטריה שלהם בשל עבירות זיופי זהות ביומטרית, שבוצעו על ידי זייפני רחוב...

רק כדי להמחיש את הקלות הבלתי נסבלת של זיוף ביומטרי: כדי לייצר זיוף של טביעת אצבע מחפץ בו נגע קורבן הזיוף נזדקק: למכסה של בקבוק, שפורפרת של דבק מגע מהיר (סופרגלו), מצלמה דגיטאלית, מעט דבק נגרים, דבק איפור שקוף, שקף A4 נקי, ומדפסת. - הקש/י כאן להפעלת סרטון הדגמה.

המידע הביומטרי כיום (לפני המאגר) הוא בחזקת נתון פרטי ואנונימי המשמש את המשטרה רק לצרכי זיהוי פלילי, כלומר אין סיבה מעשית לציבור לעשות בו שימוש יומיומי. אולם לאחר הפיכתו של זה לאמצעי זיהוי נפוץ של אזרחים, תגדל המוטיבציה להפוך את הזיוף שלו לזמין, שהשפעתו תהיה הרסנית לרשות השופטת ורשויות אכיפת החוק לעניין קשירת אדם באופן וודאי למקום או אירוע בהסתמך על טביעת אצבעותיו או כל ראיה ביומטרית אחרת שיעשה בה שימוש רחב.

הבעיה תהפוך להרת אסון למנגנוני אכיפת החוק ביום בו יתקבל תקדים משפטי, ובית המשפט יכריז שטביעת אצבעותיו של "חשוד" איננה עוד ראיה קבילה, בשל תדירות זיופה...

ד"ר עומר טנא במאמרו מוסיף וטוען כי   "תזכיר החוק התקבל בשקט מפתיע, לנוכח העניין הרב שעורר השנה חוק נתוני תקשורת, שכונה בציבור "חוק האח הגדול". אם חוק נתוני תקשורת, שהותקף באחרונה בבג"ץ, הוא חוק האח הגדול, חוק המאגר הביומטרי הוא חוק האח הענק".

שימור דגימה ייחודית הנשמרת לצורכי השוואה לצורך מניעת זיוף של תעודת זהות, לא מאפשר מניעת מצב בו גוף כלשהו (המשטרה, לדוגמה) יעשה שימוש במידע הייחודי האגור, למטרות אחרות. לכן קיימת סכנה שיעשה שימוש בדגימה ביומטרית של אזרח תמים ללא עבר פלילי שנמסרה רק לטובת "אימות זיהוי" הבעלות על תעודה מזהה, שיקשור את המידע שנאגר למטרות אחרות שאינן קשורות למטרות האימות של תעודת הזהות. אדם באופן טבעי נושא את תכונותיו הביומטריות תמיד איתו. למה אם כך יש לאגור אותן במאגרי נתונים? אם אכן מטרת החוק הינה רק לוודא שתעודה מזהה אכן שייכת לבעליה...

כדי להמחיש שהמדינה לא עשתה הכל כדי להמנע מפגיעה באזרחיה - ניקח את רעיון ה"ביומטריה ללא עקבות" [9] העושה שימוש בעיקרון הבסיסי שאם האדם נושא תמיד את המידע הביומטרי שלו אין צורך לאגור אותו - המידע הזה יכלל רק בהליך הזיהוי בזמן אמת ללא שימור של מידע ביומטרי ייחודי וללא הפרה של הזכות לפרטיות.

עבור שימוש במכשיר כספומט (חלק מ"פטנט ביומטריה ללא עקבות" שפותח באינוויה מחקר ופיתוח) לדוגמה הלקוח מקבל מהבנק כרטיס מגנטי, במקום שהבנק ינפיק ללקוח קוד סודי אקראי הבנק יעשה שימוש במנגנון "ביומטרי ללא עקבות" כלומר לקוד הסודי תהיה קורלציה (יחס גומלין) נניח למבנה הפנים של הלקוח. מצלמה ביומטרית בבנק תסרוק את פניו של הלקוח ותפיק לו במעטפה סגורה, קוד סודי חדש בן ארבע ספרות שנוצר הפעם כתוצאה ממבנה תווי הפנים של הלקוח. לארבע ספרות אלו אין כל הבדל מבחינה מתמטית אקראית לכל ארבע ספרות אקראיות אחרות שהבנק היה מנפיק ממילא. לספרות אילו כמובן אין יכולת להצביע ו/או לשחזר את תווי פניו של הפרט מכיוון שהם נוצרו בהליך מתמטי נגזרתי כך שאין לו השפעה ישירה על המקור לעומת זאת כשהלקוח יעמוד מול מכשיר הכספומט ומצלמת הכספומט (שקיימת היום כמעט בכל מכשיר) תסרוק את פניו ללא התערבותו. המערכת הלוגית של הכספומט תבצע הליך דומה להליך ההקצאה והפעם המערכת תצפה לקבל קוד סודי שיש לו קשר "פיזי" ללקוח, ואם אכן הלקוח "מתאים" לקוד ה"ביומטרי" שלו, המערכת תעבור שלב ותבדוק כרגיל את ההתאמה של הקוד לכרטיס. אם הכל תקין הלקוח יקבל את הכסף.

נסכם: מנגנון הביומטריה ללא עקבות לא דורש שמירה של מידע ביומטרי ייחודי שיאגר במערכת הבנקאית, ולא דורש מהבנק כל התחייבות או אישור להחזקה של מידע מסווג, ומונע ממנו את הדאגה לפצות לקוח במקרה בו המידע הביומטרי "יחשף". מכיוון שמנגנון הזיהוי חופף טכנולוגית למערכת הקיימת, אין בעיה להמשיך ולהפעיל את המערכת גם בכספומטים שטרם עברו שינוי ללא ביומטריה באופן שקוף.

ד"ר טנא במאמרו טוען ומוסיף כי "שתי שיטות הזיהוי העיקריות המוכרות לנו כיום מבוססות על משהו שאדם יודע, כמו סיסמה, או על משהו שהוא נושא עמו, כמו כרטיס או תעודה. מכשיר הכספומט,למשל, דורש שילוב בין השניים, שכן עלינו להכניס למכשיר כרטיס ולהקיש סיסמה. הייחוד במערכת זיהוי ביומטרית הוא שהיא מאפשרת זיהוי של אדם לא על פי משהו שהוא יודע (אך עלול לשכוח) ולא על פי משהו שהוא נושא עמו (אך עלול לאבד), אלא על פי מה שהוא - כלומר, על פי "דגימת גוף" מכיוון שזיוף ביומטרי הפך לפשוט וקל היכולת להכחיש ארוע בו היה מעורב מידע ביומטרי מזוייף תהפוך למשימה בלתי אפשרית לפרט.

מידת הפגיעה בפרטיות של הטכנולוגיות הביומטריות אינה אחידה. מידע ביומטרי שמותיר "סימנים בשטח", כמו טביעת אצבע, מאפשר מעקב אחר תנועותיו של אדם, ולכן פוגע בפרטיות יותר ממידע שאינו מותיר סימנים, כמו סריקת גב או כף יד. מידע ביומטרי שאפשר לאגור ללא ידיעתו של אדם, כמו צילום פנים (ושמירת הצילום במבנה מתמטי יחודי במאגר ביומטרי שיאפשר סריקה), מסוכן יותר לפרטיות ממידע שמסירתו מחייבת שיתוף פעולה, כמו סריקת קשתית.

מסקנה: פגיעה בפרטיותו של אדם מתרחשת כאשר בעליו הלגיטימי (לא זייפן) של מידע ביומטרי, אינו מודע או נוכח פיזית בהליך המדידה ו/או החיפוש הביומטרי ו/או ההשוואת המידע לאחרים - בכל פעם מחדש.

אם נשמרה דגימה ביומטרית על מקור חיצוני (במאגר או בכרטיס אישי) ונעשית סריקה ביומטרית תוך שימוש במאפייניו הייחודיים של הפרט שלא בידיעתו ו/או בהסכמתו המפורשת בכל פעם מחדש, תהיה זאת הפרה של הזכות לפרטיות (שימוש במידע אנונימי, ייחודי ופרטי ללא רשות).

מערכת ביומטרית הפועלת ע"פ החוק חייבת לבצע אימות 1:1 (דגימה חיה אחת מול מזהה יחיד שווה או חופף) ואסור לה לבצע חיפוש ו/או השוואה (שאין וודאות למקוריותה) לדגימות אחרות ייחודיות ופרטיות שהוצאו מרשותם של אזרחים תמימים וחפים מכל פשע ומכילות מידע אישי פרטי ויחודי ועלולות להפלילם (קל וחומר כאשר הביומטריה שלהם זוייפה). לפיכך לאחר הבנת מהות האיסור להשוואת ו/או לחפש, יוצא שעצם צבירתו של מאגר מידע ביומטרי המכיל מידע מהותי שאינו בר שליטה ואינו ניתן להכחשה ו/או לשינוי על אנשים חפים מפשע, פוגע בצנעת הפרט ואינו חוקי בעליל.

המידע האגור ב"כרטיס חכם" צפוי ע"פ הנסיון בעולם, להתבטל. כל פתרון "אלקטרוני" (פולשני) ביחוד לעניין זהות, מטבע הדברים והמשמעויות עשוי  ל"הפצח" או ל"הנטרל". המוטיבציה במקרה הזה,  אינה "עבריינית" אלא אידיאולוגית. כל נסיון להדוף נסיונות סיכול בשם ה"פגיעה בפרטיות" עלולים להיכשל וללא ספק  כל נסיון להלחם בתופעה יגרור דילמות משפטיות מובהקת לעניין "חוקיות הסיכול" ולו רק בשל הפגיעה בחוקי יסוד ומחשש "האח הגדול" ואצטלת ה"פגיעה בפרטיות".

בהיבט טכני - במקרה בו הליך ה"זיהוי" יעשה שימוש בטביעת אצבעות מתוך מידע האגור ב"כרטיס חכם" כדי לבצע "התאמה" בין תוכן כרטיס שיצא מרשותו של בעליו (נגנב או אבד) לטביעת האצבעות של בעליו הלגיטימי הניתנות בקלות לזיוף לא יעברו מימלא, את ההתנגדויות המשפטיות הצפויות. אזרח שלא ירצה שהמידע הביומטרי האישי שלו "יחולץ" מגופו (זכות לגיטימית ויסודית ע"פ הזכות לפרטיות וחוק הגנת הפרטיות), יוכל תאורטית כ"חלק" ממימוש זכות יסוד לפרטיות  לנקוט ב"פעולות הגנה" אקטיביות ו...למחוק את המידע מהכרטיס האישי שלו בהליך "פרימיטיבי" ביתי פשוט - הכנסתה של תעודת הזהות "החכמה" למכשיר מקרוגל ביתי במשך 5 עד 7 שניות שלא תפגע במזהים הויזואליים של הכרטיס ו"בכך" איש לגופו יבטלו את החשש מפגיעה בפרטיותם... באופן תאורטי ה"פגיעה" תהיה "רק" בתפקודי הרכיבים  האלקטרונים החבויים בכרטיס וביכולת האגירה של נתונים פוטנציאלית "של הכרטיס". מטעמים מובנים ואותם לא נפרט כאן, קיימות היום טכנולוגיות החדשות ואלטרנטיבות לאימות ודאי וקשירה של כרטיסי זהות לאזרחים עצמם, ומניעת זיוף גם ללא מאגרי נתונים ביומטריים, ללא כרטיס "אלקטרוני חכם" וללא (יצירת) חשש לפגיעה בפרטיות - תוך שמירה על החוק.

law.co.il  מסכם תזכיר חוק תעודת זהות, מסמך נסיעה ומאגרי מידע ביומטריים, התשס"ח-2008: "פרויקט טכנולוגי-אזרחי שהיה אמור להסדיר את הזיהוי האלקטרוני במסמכים בישראל הפך לפרויקט בטחוני-פלילי אשר יוצר סיכונים פוטנציאליים חריפים מבחינת אבטחת המידע והגנת הפרטיות בישראל"

"לפי התזכיר, תעודות הזיהוי הביומטריות יכילו את נתוני טביעת שתי אצבעותיו של כל אזרח שיחוייב במסירתן ותצלום של תווי פניו. נתונים אלו ישמרו במאגר מידע לאומי באופן דיגיטלי ואף על שבב שיוטמע בתעודת זהות   אלקטרונית שתופק לכל אזרח או בדרכון אלקטרוני. תעודת הזהות האלקטרונית תאפשר לבצע "חתימה אלקטרונית" לפי חוק חתימה אלקטרונית. בהתאמה, יוקם מאגר מידע ממשלתי. הוא יפוקח על ידי רשות ייחודית שתוקם אף היא לפי תזכיר חוק זה. כך, לטענת משרד הפנים, יפסקו הזיופים הרבים לתעודות הזהות הקיימות. על פי התזכיר, המאגר הביומטרי הלאומי לא מוגבל בהכרח באופי הנתונים שינוהלו בו (טביעות האצבע ותווי הפנים של אזרחי המדינה), אלא הוא יכול להכיל גם "כל מאפיין ביולוגי או פיזיולוגי אנושי ייחודי אשר ניתן למדידה ואשר ניתן לעשות בו שימוש לצורך זיהוי או אימות זהותם של בני אדם באופן ממוחשב או ממוחשב בחלקו".

• דרישת תום הלב היא דרישה מקדמית להגנות לפי הזכות לפרטיות: אם לא נגן על הדמוקרטיה, היא לא תגן עלינו  (נשיא בית המשפט העליון בדימוס, השופט אהרון ברק, מזהיר),  ודמוקרטיה מתחילה משמירה על הזכות לפרטיות המאפשרת לאדם מרחב פרטי, שיכול להיות מרחב פיסי או מרחב וירטואלי. יש תחומים מסוימים בחיי האדם אשר אסור שיהיו ברשות הרבים, כל עוד לא ניתנה הסכמה לכך מפי האדם הנוגע בדבר בכל פעם מחדש. לפי חוק הגנת הפרטיות, תשמ"א-1981, ההסכמה יכולה להיות מפורשת או משתמעת מהנסיבות. זכות יסוד זו היא זכות הנגזרת מן הזכות לכבוד.

•  ע"פ הוראת סעיף 32 לחוק הגנת הפרטיות: "חומר שהושג תוך פגיעה בפרטיות יהיה פסול לשמש אסמכתא בבית משפט ללא הסכמת הנפגע" ברור שהשאלה אינה מתעוררת כאשר הפגיעה מותרת מסיבה כלשהי. יתרה מזאת, לעתים מותר אף מלכתחילה לפגוע בפרטיותו של עבריין, כדי להביאו לדין. ואולם קשה יותר היא שאלת דינה של ראיה (או אסמכתא) שהושגה תוך כדי פגיעה אסורה בפרטיותו של אדם חף מכל פשע, ועל אחת כמה וכמה, פגיעה בפרטיותו של אזרח תמים במדינה דמוקרטית עוד בטרם נעברה כל עבירה, שתבטל מראש את שאלת דינה של ראיה או אסמכתא מהותית שהושגה תוך כדי פגיעה אסורה בפרטיותו של אדם.

•  קלות הזיוף הביומטרי ("כסיות ביומטריות") עלולה לעודד גניבה של זהויות גם ללא צורך בשיכפול התעודה תוך שימוש ב"חתימה אלקטרונית" המגובה בטביעת אצבעות של אחרים דבר שייקל מאוד על זייפני הזהות החדשים, לעשות שימוש במצגים ביומטריים מזוייפים שלכאורה "לא מאפשרים" התכחשות בעליהן ותוצאותיה, פגיעה בחירות הפרט.

•  במקרה של אבדן או גנבה של תעודת זהות,  עשוי משרד הפנים לבקש מאזרח טביעת אצבעות שונה. דבר שעלול להוות מכשול במספר הפעמים בו אזרח "יוכל לאבד" תעודת זהות. (מספר "האפשרויות" לא גדול)... בהנחה שבחירת האצבעות לא תשתנה לא יהיה הבדל בין תעודה שאבדה לתעודה החדשה, כפי שהיה בעבר. לפיכך התועלת למדינה במהלך מוטלת בספק.

•  זיוף ביומטרי עלול להביא תאורטית לסיטאציה משפטית בה עבריין יוכל לטעון בבית המשפט שהחתימה הביומטרית שלו זוייפה (טענה שאינה מצויה בלקסיקון ההגנה היום), כסיבה להמצאות טביעת אצבעותיו בזירת פשע.

•  לוחמים ו/או בעלי תפקידים רגישים שהותירו שרידי מידע ביומטרי בזירת פעילותם ייחשפו במקרה בו המידע הביומטרי שלהם יהפוך לפומבי כתוצאה מאבדן או חשיפה. כלומר אנשים אלו יצאו מאלמוניותם, המידע החסוי עלול להיות משוייך אליהם פיזית ו/או שמית במאגרי מידע בינלאומיים, וייסכן את שלומם ואת שלום בני משפחותיהם לכל ימי חייהם.

•  החלפת מערכת הצפנה של מידע ביומטרי אגור, בכל פעם שמתגלה שיכפול או אבדן או חשיפה מהווה מלכודת מערכתית. לכן אבדן ביומטרי הוא נזק בלתי הפיך.

• מספר מקורות המידע הביומטריים של אדם מוגבל וסופי. אבדן מידע ביומטרי הוא אבדן לכל ימי חייו של בעליו. המדינה תאלץ לפצות אזרחים שהמידע הביומטרי שלהם נחשף וכתוצאה, נגרם להם נזק.

•  מאגר ביומטרי לצורכי זיהוי אזרחים בעייתי לעניין כפילות המידע. מאגר המידע ביומטרי מוגדר כ"מידע סודי ומסווג", לא ברור כיצד תתיחס המדינה למאגרי מידע אזרחיים הקיימים היום במקומות עבודה. המונח "מסווג" או "סודי" מאבד מערכו. כדי למנוע כפילות ולגרום למידע רגיש זה להחשף המדינה תמצא עצמה נאלצת לדרוש בחקיקה מספקי פתרונות אזרחיים של זיהוי ביומטרי להפסיק את פעילותם... המסקנה לעניין "מידע מסווג" המתבקשת, היא שאסור לקחת מאזרחים דגימה ביומטרית המשמשת אותם גם בתעודת הזהות... אחרת המידע לא יוכל להקרא "מסווג" וה"חתימה האלקטרונית" תאבד מערכה ה"ייחודי".

• מידע המשוייך לתעודת הזהות בשעה שיהפוך לגלוי או חשוף (הדרישה ל"אגירה אזרחית" של מידע עם "ערך מוסף מזהה" יהפוך ל"מבוקש" ובעל ערך רב בידיהם של עבריינים), תפגע אמינות המידע ובעקבותיו המונח המשפטי "ראיה קבילה"...

• "ישנם חששות מפני מאגרי מידע הפוגעים בפרטיות האזרח והעלולים לשמש גורמים עברייניים. כפי שאמר בינואר 2003 עוזי ברלינסקי ז"ל, שישמש ראש אגף בכיר לביקורת המדינה וביקורת פנימית, במסגרתו פועלת היחידה לביקורת ואבטחת מידע, "האתגר שלנו הוא מצד אחד להבטיח שיהיו הכלים הטובים ביותר לשירות המדינה והאזרחים, מצד שני למנוע מצבים של התפתחות 'האח הגדול' במדינה".[10]"

• מידע הביומטרי מוגדר כ"זיהוי חד ערכי"... המחוקק יאלץ להוסיף סייגים לחוק, שימנע מאזרח או ספקי ציוד ביומטרי לעשות שימוש נוסף במאפיינים הביומטריים של לקוחות באופן חופשי לצרכי "אימות זיהוי כניסה" - משרד הפנים ידרש לשאלת הפגיעה בחרותם של האזרחים או לחילופין פגיעה בזכות חופש העיסוק ובוודאי לעניין הפגיעה בפרטיות. הרשות המחוקקת תצטרך להכריע בעניין הגבול הדק העובר בין פגיעה אסורה בפרטיותו של אדם לבין פעולה לגיטימית הראויה להבנה ושיתוף פעולה.

להחלטה האם ליישם את הלכות תזכיר "חוק תעודת זהות, מסמך נסיעה ומאגרי מידע ביומטריים, התשס"ח-2008" עם או בלי שינויים, יהיו תוצאות מרחיקות לכת בשאלת תחולת חוקי הכנסת ובשאלת זכות היסוד של אדם לפרטיות וכפיפותם של משרדי הפנים, המשפטים, בטחון הפנים ורשויות החוק וההגירה לחוקי יסוד שהם עקרונות היסוד של המשפט הישראלי. ייתכן שכפיפות זו תחייב את ההרשויות ובתי המשפט לפסוק בהתאם לעקרונות יסוד אלו גם כאשר יישומם סותר את הדרישות הבילאומיות לעניין איסוף מידע ביומטרי תוך המנעות בשל כך בפגיעה בפרטיות האזרחים. יש להניח שקביעתו של בית המשפט (בהנחה שהסוגיה תעמוד לפתחו), היקפה ותוצאותיה עוד יזכו לדיונים נוקבים ולתגובות הן מבחינת הציות ל"צו השעה", הנכונות המשפטית והבילאומית והן לתגובות מצדו של המחוקק והשופטים.

סיכום: מתכנית העבודה של רשמת מאגרי המידע והממונה על הפרטיות, עו"ד יוספה טפיירו עולה, כי למשרד הפנים בישראל יש הסטוריה די מדאיגה ביכולת של המשרד לפקח על מידע רגיש [11], גם ללא מאגר ביומטרי... שתוצאתה, הפצה ברשת האינטרנט  של מידע חסוי ממרשם התושבים של מדינת ישראל עם מידע אישי ורגיש על תושבי המדינה, ראוי לציין שלא מדובר ב"מעידה חד פעמית" העדר תשומת הלב בשמירה על המידע הרגיש, נחשף מחדש בכל מערכות הבחירות ה"ממוחשבות" האחרונות. לא לחינם אמר המומחה הבכיר ביותר לזיופי זהות בFBI  - פראנק אבנגייל כשהתראיין, ש"אין לסמוך על ממשלות בכל הנוגע למידע ביומטרי" אבנגייל אמר את הדברים לאחר שבבריטניה איבדו מידע אישי על 25 מליון אזרחים כולל חתימות ביומטריות בהתהפכות של רכב ממשלתי. עו"ד ד"ר עומר טנא מהפקולטה למשפטים של המכללה למנהל כותב במאמרו בדה מרקר": "פרצת אבטחה במאגר מידע ביומטרי עלולה להיות הרת אסון: סיסמה אפשר לשנות ותעודה להחליף, אבל טביעת האצבע מלווה אותנו כל החיים, ומרגע שנגנבה אנו חשופים. בעיה נוספת היא הסיכון של טעות מערכת. אדם שנקלע בטעות לרשימה שחורה עלול לאבד את היכולת לטוס   לחו"ל, ללוות כסף מהבנק או ליהנות מביטוח רפואי. מאגר מידע ביומטרי עם שגיאות יעורר סיוט קפקאי של בני אדם המנסים  להוכיח כי הם אינם הם"."

• זיהוי ביומטרי - חוק האח הענק הוא הסיוט הקפקאי הבא - ד"ר טנא מרצה למשפטים במכללה למינהל - מאמר בדה מרקר יוני 2008
• תזכיר חוק תעודת זהות, מסמך נסיעה ומאגרי מידע ביומטריים, התשס"ח-2008
• קבילות ראיה שהושגה תוך פגיעה בפרטיות - נחום רקובר
• זיהוי ביומטרי - כתבה מינואר 2003
• פורטל ביומטריה
• התאחדות תעשיית הביומטריה הבינלאומית
• הקונסורציום הביומטרי
• חדשות ביומטריה
• ?System and method for traceless biometric identification

Traceless Biometrics Technology

• NO2ID
• British tax authority lost 25 million households records because privacy isn't a priority there
• Why we should not trust Governments on Biometrics