ארה״ב: דו״ח חדש שופך אור על השימוש הפדרלי הנרחב בטכנולוגיות זיהוי פנים
עשרים סוכנויות פדרליות, כמעט מחצית מאלו שנבדקו על ידי משרד המבקר, משתמשות בטכנולוגיות אלו. ואולם, למרביתן אין מנגנוני בקרה נאותים, ולכן אינן יכולות להעריך את הסיכונים
מנדי קוגוסובסקי
| 04/07/2021
BIGSTOCK/Copyright: World Image
דו״ח ממשלתי חדש שופך אור על השימוש הנרחב בטכנולוגיות זיהוי פנים ביומטריות בארה״ב. מתוך 42 סוכנויות פדרליות שנבדקו, עשרים מהן משתמשות בטכנולוגיות זיהוי פנים עבור מטרות שונות הקשורות באכיפת החוק. כך עולה מדו״ח שהגיש לקונגרס משרד האחריותיות הלאומי, ה-GAO (Government Accountability Office), המקבילה של מבקר המדינה בישראל. הבחינה התבצעה בעקבות בקשה של מספר סנאטורים וחברי קונגרס דמוקרטיים, שהעלו חשש לשימוש בלתי נאות, לפגיעה בפרטיות האזרחים ולזיהוי שגוי, ובחנה את התקופה שבין אוגוסט 2019 לבין אפריל 2021.
בין הסוכנויות שמשתמשות בטכנולוגיות ביומטריות ניתן למצוא את ה-FBI, השירות החשאי, לשכת בתי הסוהר הפדרלית, סוכנות המכס והגנת הגבולות, סוכנות ההגנה של הפנטגון, שירות המרשלים, אכיפת המכס וההגירה (סוכנות ICE , הידועה לשמצה בכך שהפרידה בגבול בין הורים וילדים שהגיעו באופן בלתי חוקי), משטרת הקפיטול, המנהל לאכיפת סמים, שירות הדגים וחיות הבר, שירות הדואר, משטרת הפארקים והמחלקה לחקירות פליליות של רשות גביית המיסים (ה-IRS).
מאגר של שלושה מיליארד תמונות שימש לחקירת מהומות הגזע וההסתערות על הקפיטול
הסוכנויות השונות דיווחו על שימוש במערכות רבות הכוללות טכנולוגיות ביומטריות, שחלקן כוללות מאגרי תמונות שונים. לשכת בתי הסוהר, לדוגמא, נדגמה במרץ 2020 והמאגר שלה כלל כ-8,000 תמונות של עובדיה ושל אנשי שירות. המשרד לביומטריה וניהול זהות דיווח כי מערכת הזיהוי הביומטרית האוטומטית שלה כללה כ-836 מיליון תמונות פנים, גם כן במרץ 2020. התמונות כוללות כאלו של אזרחים שהגישו בקשה לדרכון, זרים שהגישו בקשה לויזה, תמונות מעצר ועוד. חברת קלירוויו (Clearview AI) השנויה במחלוקת, שבשירותיה משתמשות עשר סוכנויות פדרליות מבין אלו שנבדקו, מחזיקה בכשלושה מיליארד תמונות זמינות לציבור, שנאספו כולן מהרשת.
מתוך עשרים הסוכנויות, 14 דיווחו כי הן משתמשות בטכנולוגיות אלה לסיוע בחקירת פשעים. כך, למשל, מאגר המידע המתקדם של התוכנה בה משתמש ה-FBI כולל למעלה מ-40 מיליון תמונות, ומסייע בחקירות של פשעים אלימים, גניבות כרטיסי אשראי, גניבות זהות, איתור נעדרים ועוד. המערכת הביומטרית של המחלקה לביטחון המולדת מאפשרת חיפוש במערכת של אדם שזהותו אינה ידועה והצעת התאמות פוטנציאליות – כלומר, ייצור קצות חוט לחקירה.
ב-25 במאי 2020 רצח שוטר לבן במיניאפוליס את האזרח השחור ג׳ורג׳ פלויד, מה שהוביל לתסיסה אזרחית ברחבי ארה״ב שכללה הפגנות והתפרעויות אלימות. שש סוכנויות פדרליות דיווחו כי בפרק הזמן שבין הרצח לאוגוסט 2020 הן השתמשו בתמונות שאספו באותם אירועים בטכנולוגיות זיהוי פנים וכן במאגרים קיימים דוגמת זה של קלירוויו, בכדי לבצע חקירות של מעשים פליליים שנעשו במסגרתם (ונדליזם, ביזה, אלימות ועוד). הסוכנויות הנ״ל כוללות את ה-FBI, שירות המרשלים, והרשות לאכיפת נושאי אלכוהול, טבק, נשק ונפיצים.
אירוע מרכזי נוסף בו נעשה שימוש נרחב בטכנולוגיות אלו הוא ההסתערות על הקפיטול, בשישה בינואר השנה. משטרת הקפיטול השתמשה במאגר של קלירוויו כדי לנסות לזהות חלק מהתוקפים, סוכנות המכס והגבולות בדקה את המאגר שלה תוך שיתוף פעולה עם רשויות חוק נוספות, וכן גם שירות הביטחון הדיפלומטי, שהשתמש במערכת הביומטרית של מחלקת המדינה וחלק את המידע עם סוכנויות נוספות (הדו״ח שפורסם מהווה את הגרסה הבלתי מסווגת של מה שהוגש לקונגרס לפני כחודשיים, ולא כולל את כל המידע על שיתופי הפעולה).
הבעיה העיקרית: היעדר מנגנוני בקרה
אבל כמובן שלא למטרות אכיפת חוק גרידא נועדה הטכנולוגיה הזו, אלא גם למעקב ולזיהוי נרחבים. לדוגמא: השירות החשאי ערך פיילוט לבחון אם ניתן לשלב טכנולוגיות זיהוי במערך האבטחה שלו, מערכת בתי המשפט אפשרה אימות זהות מרחוק במהלך מגפת הקורונה בשביל פגישה מקוונת עם קצין המבחן או הופעה בפני בית המשפט, סוכנות המכס בוחנת ופורסת טכנולוגיה זו בשלבים עבור כל הנכנסים לארה״ב והיוצאים ממנה באוויר, בים וביבשה (כפי שיודע כל מי שהגיע לביקור בארה״ב בשנים האחרונות), וישנם עוד שימושים רבים בקרב הסוכנויות השונות.
נקודה מטרידה במיוחד שעלתה מן הדו״ח, היא של-13 מתוך 14 הסוכנויות הנעזרות בטכנולוגיות זיהוי פנים חיצוניות (כלומר, לא של הארגון עצמו אלא של גורם מסחרי כלשהו דוגמת קלירוויו או Vigilant Technologies הישראלית), אין מידע לגבי שמות התכנות ומאגרי המידע בהן משתמשים העובדים, או שיש להן מידע חלקי בלבד, ולכן אינן יכולות להעריך כיאות את הסיכונים הכרוכים בשימוש בכל הנוגע לפרטיות ולטעויות זיהוי (למשל, הטיה גזעית).
כמו כן, היעדר הפיקוח ואפשרות המעקב אחרי העובדים בנושא רגיש זה פותח פתח נרחב לאפשרות של שימוש לא נאות. אותן סוכנויות כוללות את ה-FBI, השירות החשאי, משטרת הקפיטול, שירות הדואר ועוד. מחברי הדו״ח ממליצים בתוקף להקים מנגנוני בקרה בהקדם.
״כאשר סוכנויות משתמשות בטכנולוגיות זיהוי פנים מבלי לבצע תחילה הערכה של ההשלכות על הפרטיות, קיים סיכון כי לא יצייתו לחוקי הפרטיות, לתקנות ולמדיניות״, נכתב בדו״ח. ״ישנו גם סיכון כי בעלי אותן חברות לא ממשלתיות יחלקו מידע רגיש (למשל, תמונה של חשוד) עם הציבור או עם גורמים אחרים״. עוד מציין הדו״ח חששות שהעלו ארגונים שונים בנוגע לפריצה למערכת שתחשוף נתונים רגישים. ״מכיוון שפניו של אדם הנם מובחנים, קבועים ובלתי הפיכים, לחשיפת מידע כזה עלולות להיות השלכות חמורות יותר מאשר חשיפות אחרות כגון סיסמאות, אותן ניתן לשנות״.
עשרים סוכנויות פדרליות, כמעט מחצית מאלו שנבדקו על ידי משרד המבקר, משתמשות בטכנולוגיות אלו. ואולם, למרביתן אין מנגנוני בקרה נאותים, ולכן אינן יכולות להעריך את הסיכונים
BIGSTOCK/Copyright: World Image
דו״ח ממשלתי חדש שופך אור על השימוש הנרחב בטכנולוגיות זיהוי פנים ביומטריות בארה״ב. מתוך 42 סוכנויות פדרליות שנבדקו, עשרים מהן משתמשות בטכנולוגיות זיהוי פנים עבור מטרות שונות הקשורות באכיפת החוק. כך עולה מדו״ח שהגיש לקונגרס משרד האחריותיות הלאומי, ה-GAO (Government Accountability Office), המקבילה של מבקר המדינה בישראל. הבחינה התבצעה בעקבות בקשה של מספר סנאטורים וחברי קונגרס דמוקרטיים, שהעלו חשש לשימוש בלתי נאות, לפגיעה בפרטיות האזרחים ולזיהוי שגוי, ובחנה את התקופה שבין אוגוסט 2019 לבין אפריל 2021.
בין הסוכנויות שמשתמשות בטכנולוגיות ביומטריות ניתן למצוא את ה-FBI, השירות החשאי, לשכת בתי הסוהר הפדרלית, סוכנות המכס והגנת הגבולות, סוכנות ההגנה של הפנטגון, שירות המרשלים, אכיפת המכס וההגירה (סוכנות ICE , הידועה לשמצה בכך שהפרידה בגבול בין הורים וילדים שהגיעו באופן בלתי חוקי), משטרת הקפיטול, המנהל לאכיפת סמים, שירות הדגים וחיות הבר, שירות הדואר, משטרת הפארקים והמחלקה לחקירות פליליות של רשות גביית המיסים (ה-IRS).
מאגר של שלושה מיליארד תמונות שימש לחקירת מהומות הגזע וההסתערות על הקפיטול
הסוכנויות השונות דיווחו על שימוש במערכות רבות הכוללות טכנולוגיות ביומטריות, שחלקן כוללות מאגרי תמונות שונים. לשכת בתי הסוהר, לדוגמא, נדגמה במרץ 2020 והמאגר שלה כלל כ-8,000 תמונות של עובדיה ושל אנשי שירות. המשרד לביומטריה וניהול זהות דיווח כי מערכת הזיהוי הביומטרית האוטומטית שלה כללה כ-836 מיליון תמונות פנים, גם כן במרץ 2020. התמונות כוללות כאלו של אזרחים שהגישו בקשה לדרכון, זרים שהגישו בקשה לויזה, תמונות מעצר ועוד. חברת קלירוויו (Clearview AI) השנויה במחלוקת, שבשירותיה משתמשות עשר סוכנויות פדרליות מבין אלו שנבדקו, מחזיקה בכשלושה מיליארד תמונות זמינות לציבור, שנאספו כולן מהרשת.
מתוך עשרים הסוכנויות, 14 דיווחו כי הן משתמשות בטכנולוגיות אלה לסיוע בחקירת פשעים. כך, למשל, מאגר המידע המתקדם של התוכנה בה משתמש ה-FBI כולל למעלה מ-40 מיליון תמונות, ומסייע בחקירות של פשעים אלימים, גניבות כרטיסי אשראי, גניבות זהות, איתור נעדרים ועוד. המערכת הביומטרית של המחלקה לביטחון המולדת מאפשרת חיפוש במערכת של אדם שזהותו אינה ידועה והצעת התאמות פוטנציאליות – כלומר, ייצור קצות חוט לחקירה.
ב-25 במאי 2020 רצח שוטר לבן במיניאפוליס את האזרח השחור ג׳ורג׳ פלויד, מה שהוביל לתסיסה אזרחית ברחבי ארה״ב שכללה הפגנות והתפרעויות אלימות. שש סוכנויות פדרליות דיווחו כי בפרק הזמן שבין הרצח לאוגוסט 2020 הן השתמשו בתמונות שאספו באותם אירועים בטכנולוגיות זיהוי פנים וכן במאגרים קיימים דוגמת זה של קלירוויו, בכדי לבצע חקירות של מעשים פליליים שנעשו במסגרתם (ונדליזם, ביזה, אלימות ועוד). הסוכנויות הנ״ל כוללות את ה-FBI, שירות המרשלים, והרשות לאכיפת נושאי אלכוהול, טבק, נשק ונפיצים.
אירוע מרכזי נוסף בו נעשה שימוש נרחב בטכנולוגיות אלו הוא ההסתערות על הקפיטול, בשישה בינואר השנה. משטרת הקפיטול השתמשה במאגר של קלירוויו כדי לנסות לזהות חלק מהתוקפים, סוכנות המכס והגבולות בדקה את המאגר שלה תוך שיתוף פעולה עם רשויות חוק נוספות, וכן גם שירות הביטחון הדיפלומטי, שהשתמש במערכת הביומטרית של מחלקת המדינה וחלק את המידע עם סוכנויות נוספות (הדו״ח שפורסם מהווה את הגרסה הבלתי מסווגת של מה שהוגש לקונגרס לפני כחודשיים, ולא כולל את כל המידע על שיתופי הפעולה).
הבעיה העיקרית: היעדר מנגנוני בקרה
אבל כמובן שלא למטרות אכיפת חוק גרידא נועדה הטכנולוגיה הזו, אלא גם למעקב ולזיהוי נרחבים. לדוגמא: השירות החשאי ערך פיילוט לבחון אם ניתן לשלב טכנולוגיות זיהוי במערך האבטחה שלו, מערכת בתי המשפט אפשרה אימות זהות מרחוק במהלך מגפת הקורונה בשביל פגישה מקוונת עם קצין המבחן או הופעה בפני בית המשפט, סוכנות המכס בוחנת ופורסת טכנולוגיה זו בשלבים עבור כל הנכנסים לארה״ב והיוצאים ממנה באוויר, בים וביבשה (כפי שיודע כל מי שהגיע לביקור בארה״ב בשנים האחרונות), וישנם עוד שימושים רבים בקרב הסוכנויות השונות.
נקודה מטרידה במיוחד שעלתה מן הדו״ח, היא של-13 מתוך 14 הסוכנויות הנעזרות בטכנולוגיות זיהוי פנים חיצוניות (כלומר, לא של הארגון עצמו אלא של גורם מסחרי כלשהו דוגמת קלירוויו או Vigilant Technologies הישראלית), אין מידע לגבי שמות התכנות ומאגרי המידע בהן משתמשים העובדים, או שיש להן מידע חלקי בלבד, ולכן אינן יכולות להעריך כיאות את הסיכונים הכרוכים בשימוש בכל הנוגע לפרטיות ולטעויות זיהוי (למשל, הטיה גזעית).
כמו כן, היעדר הפיקוח ואפשרות המעקב אחרי העובדים בנושא רגיש זה פותח פתח נרחב לאפשרות של שימוש לא נאות. אותן סוכנויות כוללות את ה-FBI, השירות החשאי, משטרת הקפיטול, שירות הדואר ועוד. מחברי הדו״ח ממליצים בתוקף להקים מנגנוני בקרה בהקדם.
״כאשר סוכנויות משתמשות בטכנולוגיות זיהוי פנים מבלי לבצע תחילה הערכה של ההשלכות על הפרטיות, קיים סיכון כי לא יצייתו לחוקי הפרטיות, לתקנות ולמדיניות״, נכתב בדו״ח. ״ישנו גם סיכון כי בעלי אותן חברות לא ממשלתיות יחלקו מידע רגיש (למשל, תמונה של חשוד) עם הציבור או עם גורמים אחרים״. עוד מציין הדו״ח חששות שהעלו ארגונים שונים בנוגע לפריצה למערכת שתחשוף נתונים רגישים. ״מכיוון שפניו של אדם הנם מובחנים, קבועים ובלתי הפיכים, לחשיפת מידע כזה עלולות להיות השלכות חמורות יותר מאשר חשיפות אחרות כגון סיסמאות, אותן ניתן לשנות״.
