מידע אישי רגיש

מידע אישי רגיש (באנגלית: Sensitive personal information, בקיצור SPI) או מידע המאפשר זיהוי אישי (באנגלית: Personally identifiable information, בקיצור PII) הוא מידע אודות פרטי אישיותו של אדם, הרגליו המיניים של אדם ("צנעת אישיותו"), מצב בריאותו, מצבו הכלכלי, דעותיו ואמונותיו. הפסיקה הרחיבה את ההגדרה כך שהיא כוללת גם מספר ת.ז., מידע גנטי, מידע ביומטרי ועוד.^[1]

מידע אישי רגיש מוגדר באופן שונה ממדינה למדינה. על פי ההגדרות המקובלות בארצות הברית מידע זה כולל כל פריט מידע שניתן להשתמש בו כדי לזהות אדם או לעקוב אחריו, כגון שם פרטי ושם משפחה, מספר תעודת זהות, תאריך ומקום לידה, שם הנעורים של האם, פריטי זיהוי ביומטרי, וכן פריטי מידע נוספים הנוגעים לאותו אדם, למשל מצב בריאותי, חינוך והשכלה, מצב פיננסי ומידע תעסוקתי.

ניתן לנצל מידע אישי רגיש לגנבת זהותו של אדם כמו שקרה בישראל עם קובי פרץ ועידן עמדי, או כדי לסייע בתכנון מעשים פליליים. כתגובה לאיומים אלה, מדינות שונות חוקקו חוקים המגבילים את אופן ההפצה של מידע אישי.

להסדרת מערכות מידע שכוללות מידע אישי רפואי פורסם בשנת 2010 תקן ISO 27799.

פריטי מידע אישי

המכון הלאומי לתקנים וטכנולוגיה בארצות הברית הגדיר מספר פריטי מידע המהווים מידע אישי רגיש, בהם:

שם מלא
כתובת מגורים
כתובת דואר אלקטרוני פרטית
מספר תעודת זהות
מספר דרכון
כתובת IP (כאשר היא מקושרת לנתונים אחרים)
מספר לוחית רישוי לרכב
מספר רישיון נהיגה
פנים, טביעת אצבע, כתב יד
מספרים של כרטיסי אשראי
זהות דיגיטלית (Digital identity)
תאריך לידה
מקום לידה
מידע גנטי
מספר טלפון
שם משתמש באתר אינטרנט

כשאדם מבקש להישאר אנונימי, נמסר לעיתים מידע חלקי על האדם, למשל "גבר בן 34 שעובד בבנק." מידע זה הוא מידע אישי, אך איננו מספיק לצורכי זיהוי. עם זאת, שילוב של מספר רב של פריטי מידע יכול לשמש לזיהוי אדם ספציפי. (באופן דומה, במשפט פלילי מקובל להציג מספר רב של ראיות, שהשילוב שלהן יוצר זיהוי חד משמעי.)

מחקר שפורסם בשנת 2000 מצא כי 87% מכלל האוכלוסייה של ארצות הברית יכולה להיות מזוהה באופן ייחודי לפי מין, מיקוד (דואר), ותאריך לידה^[2]. מחקר עוקב שפורסם בשנת 2006 מצא כי על אותם פרמטרים ניתן לזהות ב 63% באופן ממוצע (כאשר יש שוני בין קבוצות גיל ואזורים שונים)^[3]^[4].

בסלנג באינטרנט קיים מושג הנקרא "דוקסינג" (doxing), שמשמעותו היא חשיפת אדם באמצעות הצלבת המידע האישי שהוא פרסם באינטרנט, על מנת לאתרו. איתור האדם נעשה בדרך כלל על ידי רשויות החוק, למטרת מעצר, במקרים של חשד לפלילים, או למתן סיוע במקרים של מצוקה נפשית.

זכות האדם שלא להיחשף באינטרנט היא אחת מהזכויות הדיגיטליות המקובלות (Digital rights).

מידע אישי רגיש בחוק

במדינות שונות חוקקו חוקי פרטיות (Privacy law) המסדירים את ניהול המידע האישי במאגרי מידע, ומעגנים את זכותו של אדם לפרטיות המידע עליו.

במדינת ישראל, חוק הגנת הפרטיות הוא החוק המרכזי המסדיר את סוגיית הזכות לפרטיות. בחוק זה מוגדר מידע רגיש: "נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו". לשר המשפטים נתונה הסמכות להרחיב הגדרה זו.

באירופה, הוראות הפרלמנט האירופי להגנה על מידע אישי (General Data Protection Regulation), מוגדר מידע אישי רגיש כמידע החושף מידע אודות גזעו או מוצאו של אדם, דעותיו הפוליטיות, דתו או דעותיו, חברותו באיגוד, מידע גנטי, מידע ביומטרי, מידע רפואי ומידע אודות נטיותיו המיניות של אדם.^[5]

זיהוי פלילי

בתהליך של זיהוי פלילי נבחנים פרטי מידע אישי רבים. עבריינים משתדלים להימנע מהשארת עקבות של מידע אישי באופנים שונים, למשל לבישת מסיכה, משקפי שמש או בגדים המסתירים סימנים מזהים כמו צבע עיניים, עור ושיער, תווי פנים או קעקועים.

ביטחון אישי

במקרים רבים מקובל להסתיר פרטים אישיים לצורכי הביטחון האישי. להלן מספר דוגמאות:

אנשי סוכנויות המודיעין, שאינם מעוניינים לחשוף את עיסוקם בפני אחרים.
פוליטיקאים ואנשי ממשל בסטטוס גבוה.
שופטים ועורכי דין אשר עלולים להיות חשופים למעשי נקמה מאנשים וקבוצות כגון ארגוני פשיעה.
עשירים, ידוענים ואושיות רשת שלא מעוניינים בחשיפה, גניבות, התנכלות או תרמיות מצד הציבור.
אנשים החוששים מאלימות ואיומים אחרים, כמו אנשי התוכנית להגנת עדים, מקלט לנשים מוכות, וקורבנות של אלימות במשפחה.
עיתונאים אשר חושפים פרשיות ושחיתות מול השולטים בגופי כח.
חושפי שחיתות ופעילים חברתיים שבדומה לעיתונאים נוגעים בפרשיות בעלות רגישות ומסכנים עצמם.
אנשים הסובלים או חוששים מהתנכלות משטרתית.
הוגי דעות ויוצרי תוכן המעוניינים לאתגר את דעותיהם שלהם ושל אחרים מבלי לסבול מביטול חברתי.
מתנגדי איסוף מידע אישי שעלול לפגוע בהם בצורה של תרמיות, דוקסינג וכדומה.

ראו גם

הערות שוליים

^ הרשות להגנת הפרטיות, מונחון פרטיות
^ Latanya Sweeney, Simple Demographics Often Identify People Uniquely, https://dataprivacylab.org/, Carnegie Mellon University, ‏2000
^ Philippe Golle, [https://crypto.stanford.edu/~pgolle/papers/census.pdf Revisiting the Uniqueness of Simple Demographics in the US Population], crypto.stanford.edu, ‏2006
^ Philippe Golle, Revisiting the uniqueness of simple demographics in the US population, Proceedings of the 5th ACM workshop on Privacy in electronic society, WPES '06, Association for Computing Machinery, 2006-10-30, עמ' 77–80 doi: 10.1145/1179601.1179615
^ What personal data is considered sensitive?, commission.europa.eu (באנגלית)

[1] הרשות להגנת הפרטיות, מונחון פרטיות

[2] Latanya Sweeney, Simple Demographics Often Identify People Uniquely, https://dataprivacylab.org/, Carnegie Mellon University, ‏2000

[3] Philippe Golle, [https://crypto.stanford.edu/~pgolle/papers/census.pdf Revisiting the Uniqueness of Simple Demographics in the US Population], crypto.stanford.edu, ‏2006

[4] Philippe Golle, Revisiting the uniqueness of simple demographics in the US population, Proceedings of the 5th ACM workshop on Privacy in electronic society, WPES '06, Association for Computing Machinery, 2006-10-30, עמ' 77–80 doi: 10.1145/1179601.1179615

[5] What personal data is considered sensitive?, commission.europa.eu (באנגלית)

[1]

[2]

[3]

[4]

[5]