המשטרה כבר שם. החוק — לא.
זיהוי פנים הוא עסקה אחת שבה הטכנולוגיה רצה קדימה ומערכת החוק מגיעה מאחור. בישראל 2026, יש כמה מציאויות שחיות זו לצד זו בחוסר נוחות: המשטרה משתמשת בטכנולוגיית זיהוי פנים, הבנקים מציעים אימות ביומטרי, ואתרי ביטחון סורקים פנים — וכל זה מתרחש בלי חוק ספציפי שמסדיר את הנושא.
זה לא תאונה. זה בחירה. כל פעם שמנסחים חוק רחב בנושא AI ופרטיות בישראל, הדיון מסתבך בין ביטחון לחירות. בינתיים, האזרח משלם את המחיר.
המסגרת המשפטית הקיימת
בהיעדר חוק ייעודי, הרגולציה מתבססת על כמה שכבות:
- חוק הגנת הפרטיות, תשמ"א-1981 — מגדיר "מידע אישי" ואוסר שימוש ללא הסכמה. נתוני פנים ביומטריים נחשבים "מידע רגיש" לכל דבר
- תקנות אבטחת מידע, תשע"ז-2017 — מחייבות אמצעי הגנה מוגברים למסדי נתונים ביומטריים
- רשות הגנת הפרטיות (PPA) — הגוף המפקח, שפרסם הנחיות על שימוש ראוי במידע ביומטרי
וכאן נכנס גורם מפתיע: חברות ישראליות שמשרתות לקוחות אירופאים כפופות גם ל-GDPR האירופאי, שמגדיר נתוני פנים כ"קטגוריה מיוחדת" הדורשת הסכמה מפורשת — סטנדרט גבוה בהרבה מהישראלי. ⚠️ הנחיות עדכניות של PPA — יש לאמת מול אתר הרשות.
הסכמה — הסוגיה שחברות מפספסות
כדי לאסוף ולעבד מידע ביומטרי — כולל תמונות פנים לצרכי זיהוי — צריך הסכמה מפורשת ומודעת. זה לא "עדכון מדיניות פרטיות" שאף אחד לא קורא. זה הסכמה ספציפית לאיסוף נתוני פנים, עם הסבר ברור על:
- מה נאסף ולמה
- כמה זמן נשמר
- עם מי משותף
- כיצד ניתן למחוק
מצלמות אבטחה עם זיהוי פנים בכניסה לבניין? שלט "אזהרה: מצלמות אבטחה" לא מספיק. צריך הסכמה פעילה. זה שינוי מהותי שרוב הארגונים לא יישמו.
קראו גם:
הבעיה הגדולה: אלגוריתם מוטה, אדם חף מפשע נעצר
מחקרים חוזרים ומראים שאלגוריתמי זיהוי פנים מדויקים פחות — לפעמים בשיעורים משמעותיים — לגבי נשים, אנשים כהי עור, ומבוגרים. זה לא תיאוריה: בארה"ב תועדו מספר מקרים של מעצר שגוי שנבע ממזהה פנים שגוי.
בישראל, אם המשטרה עצרה מישהו על סמך זיהוי פנים בלבד — זה ראיה שנויה במחלוקת. סנגור שמבין את הנושא יטען כנגד קבילות הזיהוי, ידרוש גילוי של פרטי האלגוריתם, ויבקש חוות דעת נגדית. ⚠️ הפסיקה הישראלית הספציפית בנושא קבילות זיהוי פנים — מתפתחת; יש לאמת עם פסיקה עדכנית.
מה קורה בעולם — ומה זה אומר לישראל
האיחוד האירופאי עבר את ה-AI Act (2024), שמגדיר שימוש בזיהוי פנים בזמן אמת במרחב ציבורי כ"סיכון בלתי מקובל" — וחוסם אותו כמעט לחלוטין לרשויות, למעט חריגים צרים. זה אחד החוקים הכי חדים בעולם.
ישראל לא חייבת לאמץ את ה-AI Act — אבל חברות ישראליות שמייצאות טכנולוגיה לאירופה, או שמשתמשות בה על אזרחים אירופאים, כפופות אליו. זה שוק שישראל לא יכולה להתעלם ממנו.
בתוך ישראל: נכון למרץ 2026, אין חוק ייעודי לזיהוי פנים. ⚠️ הצעות חוק ורפורמות בנושא — כפופות לשינויים פוליטיים; מומלץ לעקוב אחר עדכוני הכנסת.
מה צריך לעשות — מדריך מהיר לארגונים
אם הארגון שלכם משתמש בזיהוי פנים (כניסות, אימות, אבטחה):
- בצעו מיפוי — היכן ואיך נאסף מידע ביומטרי
- עדכנו מדיניות פרטיות — לכלול פירוט ספציפי על זיהוי פנים
- בנו מנגנון הסכמה — הסכמה פעילה, לא "שימוש באתר מהווה הסכמה"
- קבעו לוח זמנים למחיקה — לא לשמור נתוני פנים לנצח
- הגנו על מסד הנתונים — בהתאם לתקנות אבטחת מידע, תשע"ז-2017
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: בתביעות נגד רשויות שמשתמשות בזיהוי פנים — הכלי הבסיסי הוא עתירה מינהלית לחשיפת הפרוטוקולים והנחיות השימוש. רוב הרשויות לא פרסמו אותם, וכבר בשלב הגילוי אפשר להצליח.
- פסיקה רלבנטית: ⚠️ הפסיקה הישראלית ספציפית לזיהוי פנים עדיין בחיתוליה — מומלץ לעקוב אחר פסיקת בג"ץ בנושאי פרטיות וביומטריה ולאמת עם מאגרים עדכניים.
- טעות נפוצה: עורכי דין מניחים שמשטרה שהשתמשה בזיהוי פנים עשתה זאת "בחוקיות". לא — אין הסמכה חקיקתית ספציפית, ולכן כל שימוש נבחן לגופו מול עקרון חוקיות המינהל.
- נקודה טקטית: לקוח עסקי שמתכנן להשתמש בזיהוי פנים? לפני ההשקה — תיק ציות שכולל DPIA (Data Protection Impact Assessment) מקטין חשיפה ומשמש ראיה להתנהלות ראויה.