דוח זה בוחן את היבטי הפרטיות של טכנולוגיות לאיתור מגעים של חולים במחלה מדבקת בעת מגיפה. נקודת המוצא היא שהטכנולוגיה יכולה לסייע באיתור מגעים כדי לקטוע את שרשרת ההדבקה, וכך, לקדם את בריאות הציבור. עם זאת, בטכנולוגיה כזו יש סיכוני פרטיות. לכן, בעת התכנון ראוי ליישם גישה של הנדסת פרטיות, שיש לה יתרונות ניכרים וסיכויי הצלחה טובים במגזר הציבורי. <br>כדי לברר את היבטי הפרטיות של הטכנולוגיות לאיתור מגעים, הדוח מדייק תחילה את הפגיעלולה להיגרם בשימוש בהן: בקשר למידע רפואי, נתוני מיקום, ומידע על קשרים בין-אישיים. כדי לגשת למלאכת העיצוב הטכנולוגי, יש תחילה לברר את זהות השחקנים השונים ואת האינטרסים, החובות והזכויות שלהם. הדיון מדגיש את הצרכים הפונקציונליים של המדינה בפיתוח טכנולוגיות לאיתור מגעים (יעילות, מהירות, דיוק, הטמעה רחבה ככל האפשר, אבטחת מידע, תאימוּת עם מערכות אחרות), ואת הצרכים החברתיים (בניית אמון ציבורי במקבלי ההחלטות וטיפוח סולידריות חברתית) וכן נגישות לפלחים שונים בחברה תוך רגישות לפערים דיגיטליים). גם לחולים ולמגעים יש אינטרסים חשובים ראויים להגנה, בקשר למידע האישי מהסוגים השונים. לגופים פרטיים שמעורבים בתהליך יש זכויות קניין.<br>כדי להגדיר את דרישות המערכת בהיבט הפרטיות מתוך כוונה להטמיע אותם בטכנולוגיות, אנחנו מציעים גישה משולבת: מצד אחד, גזירת הנחיות לפעולה מתוך עקרונות משפטיים ("מלמעלה למטה"), ומצד שני, זיהוי הערכים שמהנדסים כבר הטמיעו בטכנולוגיות לאיתור מגעים שקיימות כיום בעולם ("מלמטה למעלה"). את הניתוח מהסוג השני אנחנו מכנים "הנדסה ערכית חוזרת". בחינת טכנולוגיות לאיתור מגעים בדרך זו מעלה כי עד כה הודגשו שיטת האיתור (נתוני מיקום או קירבה), התצורה הטכנולוגית (ריכוזית או מבוזרת), וזהות המפעיל (גורם מדינתי או פרטי). דגשים אלה ממעיטים בהיבטי מידע נוספים שיש במערכות הטכנולוגיות: מי יוזם את העברת המידע, מי מעביר מידע למי, ומתי. מימדים נוספים אלה מאפשרים להבין את שאלת השליטה במידע באופן מורכב ומדויק יותר מכפי שמאפשר מיפוי דיכוטומי לפי האפיונים הקיימים. ניתוח הנדסה ערכית חוזרת שערכנו מעלה שמפתחים סבורים שנתוני מיקום הם מידע רגיש יותר מאשר נתוני קירבה; החשש שמנחה אותם הוא האיום של המדינה על הפרטיות – יותר מאשר איום של גורמים פרטיים. עמדות כאלה משקפות דגש על פרטיות כזכות של היחיד, וממעטות בפן החברתי של הפרטיות.<br>הדיון נערך במסגרת הדין הישראלי, תוך בדיקה משווה למדינות אחרות. הדיון מתמקד בטכנולוגיות וולונטריות, אך בוחן גם את איתור המגעים שנעשה בישראל במהלך מגפת הקורונה באמצעות מעקב השב"כ.<br><br><br><b>English Abstract:</b> This Report examines the privacy aspects of Contact Tracing Technologies (CTT) in the context of pandemics. The premise is that CTT can assist in identifying contacts, in order to curtail the spread of the disease. CTT has some privacy risks. Accordingly, in designing CTTs, developers should apply a Privacy by Design approach, which has better chances in the public sector than in the private sector. The analysis turns to Israel as a case study.<br><br>In order to figure the privacy aspects of CTTs, the Report first points to the kinds of personal data involved: health data, location data, and data about inter-personal interactions. The design should begin with identifying the different players involved and their interests, duties, and rights. We emphasize the state’s functional needs (efficiency, speed, accuracy, broad dissemination, data security, interoperability) and social needs (facilitating public trust and social solidarity, as well as accessibility and sensitivity to digital divides). Sick and infected people, as well as contacts, have privacy interests and rights regarding the data. Private entities have property rights.<br><br>In order to better define the privacy requirements, we offer an integrated approach. Firstly, deducing guidelines from legal principles, in a top-down manner; secondly, deciphering the values that engineers and developers have embedded in the technologies they have designed, in a bottom-up manner. We call the latter analysis Reverse Value-Engineering.<br><br>Applying this integrated analysis to available CTTs indicates that designers have so far emphasized the method (location-based or proximity-based), the system’s overall structure (centralized or distributed), and the identity of the data controller (public or private). <br><br>These emphasis underestimate additional dimensions, which should be taken into consideration: who initiates the data transfer, what is the direction of the data flow, and when does this take place. These dimensions enable a better and more nuanced understanding of the control of the data. Our analysis indicates that developers consider location data more sensitive than proximity data, and they are concerned with the state more than with private entities. The latter concerns reflect an individualistic privacy conception, and underestimate its social dimension.
