מלקחי פרשת NSO: נדרשת נציבות לפיקוח על הפעלת סמכויות מעקב במרחב הדיגיטלי
מתוך פרשת NSO עולה צורך אקוטי בפיקוח כולל על איסוף מידע דיגיטלי שמבצעות רשויות אכיפת החוק. לשם כך יש להקים נציבות עצמאית שתראה את התמונה הגדולה ותהווה חומת מגן
אם הפרסומים בדבר השימוש שמשטרת ישראל עשתה בתוכנת "פגסוס" מבית NSO לצורך מעקב אחר אזרחים, מפגינים, ראשי ערים ובכלל לצורך "דיג" כדי לחפש חשודים פוטנציאליים – הם נכונים, אין ספק שזו רעידת אדמה בעוצמה שלא ידענו אולי מאז שגילינו ששימושים כאלה נעשים בכל המדינות שקיבלו לידיהן את מערכת פגסוס. מסתבר שהיכולת להתאפק מלהפעיל טכנולוגיה שמאפשרת להגיע אל המוח והנפש של כל אזרח – היא מצומצמת, אפילו בדמוקרטיות. לכן, השאלה היא בעיקר שאלה של פיקוח. מי יודע על השימושים האלה, מי מאשר אותם ובאיזו דרך.
בתגובת המשטרה לתחקיר של תומר גנון בכלכליסט נכתב שהכל נעשה באישור היועץ המשפטי לממשלה. אכן, כל מי שעוסק בעולמות של פרטיות יודע שבשנים האחרונות מחלקת ייעוץ וחקיקה ביועמ"ש מעניקה אישורים לרשויות המדינה השונות להשתמש בטכנולוגיות זוללות פרטיות (מצלמות בערים, בבתי חולים ובנתיבי תחבורה ציבורית, מערכת עין הנץ ועוד ועוד), ומתווה ומנחה אותן באשר למסגרת השימושים. כל זאת, מבלי שקיימת הסמכה בחוק להשתמש בטכנולוגיות האלה. יש בזה היגיון, שהרי הטכנולוגיה מתקדמת במהירות, חוק הגנת הפרטיות מיושן ולרשויות הביטחון יש גם פטור מתחולתו. מסגרת החקיקה הקיימת, שכוללת את חוק האזנת סתר, חוק נתוני תקשורת וחוק סדר הדין הפלילי (מעצר וחיפוש), פשוט לא מכסה את כל הנושאים: איסוף נתונים ברשת האינטרנט הפתוחה ("אוסינט"), פריצת סייבר במטרה לאסוף נתונים (כמו בעניין פגסוס), הבנת הערך הסינרגטי שנוצר מאיגום של כל מיני סוגי מידע יחד. לכן המסגרת גם פתוחה לפרשנויות סותרות וטוב שהמשטרה לא מחליטה בעצמה על שימושים כאלה אלא פונה לגורם חיצוני – ליועץ המשפטי לממשלה.
אלא שהגולם קם על יוצרו. הרוחב והעומק של ההנחיות והאישורים האלה באשר לשימושים במגוון של טכנולוגיות, הופך את אגף ייעוץ וחקיקה למיני-בג"ץ. יותר מזה, בשנים האחרונות התנהל מאבק חופש מידע ממושך בשל סירוב עיקש של ייעוץ וחקיקה לפרסם לציבור את ההנחיות וההסכמות האלה. כך נוצר מצב שבו אגף ייעוץ וחקיקה של היועמ"ש מאשר טכנולוגיות מעקב שאין הסמכה מפורשת להשתמש בהן, והכל ללא שקיפות וללא ביקורת ציבורית. התחקיר שפורסם מלמד שהמחשבה של אנשי היועמ"ש שהם יוכלו לרסן בעצמם והרחק מהעין הציבורית את הסוס הדוהר של שטף השימוש בטכנולוגיות מעקב, היא נאיבית מצד אחד ומלאת יוהרה מהצד האחר.
אבל, נניח שהיתה מסגרת חוקית שהיתה מחייבת פניה לבתי משפט כדי לקבל צווים שיפוטיים. גם אז, אנו יודעים ששופטים מאשרים את הרוב המוחלט של הבקשות האלה, וזאת מבלי שיש להם ראיה רחבה של כמות הבקשות, מה נעשה בסופו של דבר במידע ולאן הוא עובר. החלטת בית המשפט מהשבוע שעבר בדיון הנוסף בעניין החיטוט בטלפון של יונתן אוריך, יועצו של נתניהו, מחריפה עוד את הבעיה משום שהיא מאפשרת למשטרה להציג את המידע שנאסף באופן לא חוקי כראיות קבילות במשפט פלילי, מה שבתורו יוצר תמריץ נוסף להמשיך את הרחרוח ואת החיטוט.
בקיצור, מכל אלה עולה שהצורך בפיקוח כולל על איסוף מידע דיגיטלי שמבצעות רשויות אכיפת החוק הוא צורך אקוטי. יש צורך בהקמת נציבות עצמאית שתיקרא "הנציבות לפיקוח על הפעלת סמכויות בתחום המעקב המקוון", ויהיה לה תפקיד כפול: ראשית, גישה למידע ולמערכות המידע כדי לבדוק מה אוספות הרשויות ופיקוח שהן לא אוספות, מאחסנות, מעיינות ומנתחות את מה שאסור להן. שנית, הנציבות תהווה חומת מגן או "נעילה כפולה" נוספת כשמדובר בצווים ובבקשות לבתי משפט לאסוף מידע והיא תצטרך לאשר למשטרה לפנות לבתי משפט ולבקש צווים. רק נציבות כזאת, שתחיה בפועל אל כלל עולם הבקשות למידע ותראה את התמונה הגדולה, תוכל לאשר למשטרה, מראש, להגיש בקשות לבית משפט. הנציבות תהיה גם מען לתלונות של עובדי גופים אלה ושל אזרחים באשר לענייני מעקבים מקוונים. אגב, לא המצאנו כאן שום דבר. נציבות כזאת קיימת גם בבריטניה ובהולנד. יידרש כאן גוף שיורכב ממומחי מודיעין, מומחי טכנולוגיה ומשפטנים ובראשו צריך לעמוד מי שכשיר לכהן כשופט מחוזי.
אבל עינינו הרואות: מערכות שמירת הסף קרסו כמגדל קלפים ואין להן יכולת לעמוד בפני התיאבון למידע. הפרשה הקשה הזאת חייבת לעורר את כולנו, אזרחים ומחוקקים כדי להבין: דאטה הוא כמו אורניום. בעל ערך אדיר אבל גם רעיל מאד כשהוא נמצא בידיים שלא הוסמכו לכך.
המאמר התפרסם לראשונה בהארץ