הצורך בחוק מעקבים דיגיטליים - בעקבות פרשת NSO

המכון הישראלי לדמוקרטיה ערך כנס מיוחד על הצורך בחוק מעקבים דיגיטליים בישראל בעקבות פרשת NSO, בשיתוף עם מרכז פדרמן לחקר הסייבר באוניברסיטה העברית ועם המרכז לחקר סייבר משפט ומדיניות באוניברסיטת חיפה.

"הכנס משקף את הניסיון ארוך השנים ליצור קהילת חוקרים בעולמות המשפט מדיניות וטכנולוגיה, וגם לשקף כבר עכשיו את כוחה של הקהילה זאת ולרתום אותה בשעת המשבר הגדול הזה", אמרה בפתיחת הכנס ד"ר תהילה שוורץ אלטשולר, "רצינו לשאול היום האם צריך חוק מעקבים דיגיטליים בישראל, ואם כן, איך הוא צריך להיראות? מה הוא צריך לכלול מבחינת שיטות איסוף, מנגנוני הבקרה שלו ומעגלי הפיקוח שיהיו סביבו? היכן החוסרים, מה קיים ועל מה צריך לחשוב מחדש?".

ד"ר מוטי גבע, יזם ומומחה לסייבר וטכנולוגיה, סקר את השינויים שחלו באופן הפעולה של הטכנולוגיה. הוא התייחס להתכנסות הטכנולוגיה – מכשירים שונים שמתכנסים לכדי מכשיר אחד: לכן, כשמקבלים גישה, מקבלים גישה להמון מכשירים בבת אחת. צריך להבין מה הכלים שאנו מדברים עליהם. כל ההמשגות המסורתיות מאבדות את הערך שלהן. יכולת האיסוף כפי שהכרנו אותה פעם הולכת ונעלמת, וככל שרוצים לתת אפשרויות לגורמי אכיפה, אלו לא ההמשגות שצריך להשתמש בהם".

בהמשך, פרופ' מיכאל בירנהק מהפקולטה למשפטים באוניברסיטת תל אביב, הציג את השינויים המשפטיים בתחום הטכנולוגיה. "המשמעות הגדולה העולה היא הנגדה בין מדינת חוק למדינת מעקב. במדינת חוק קודם יש חשד ואז אוספים את המידע, ובמדינת מעקב זה הפוך – זה מסע דיג. במדינת חוק פועלים רק כאשר יש סמכות, ובמדינת מעקב קודם עושים ואז מחפשים סמכויות מן היקב ומן הגורן, וזה כמובן פסול. המשטרה צריכה להפסיק מיידית את השימוש בתוכנת פגסוס. צריך בדיקה חיצונית עצמאית, ותיקוני חוק, אשר לא צריכים לכלול את הסמכות לשימוש ברוגלה".

עו"ד דנה יפה, מנהלת הקליניקה לזכויות דיגיטליות באוניברסיטה העברית, התייחסה לאפשרות להשתמש בטכנולוגיה כדי לצמצם את הפגיעה בפרטיות בהאזנת סתר: "כרגע צו חיפוש צריך לכלול בצורה מפורטת רק את המידע שרלוונטי לחקירה ולא את המידע הפרטי של אותו אדם. אם באמת נרצה כחברה - גם הרשויות החוקרות וגם האזרחים - לפעול להסדרה שמאזנת בין כל אלו, נוכל לעשות שימוש בתכנות כאלה דווקא כדי לצמצם פגיעה בפרטיות".

פרופ' בירנהק עסק באתגר של "גואונג דארק". לדבריו, לפי חוק התקשורת בישראל יש נספחים סודיים הנוגעים לרישיונות חברות התקשורת, ובאמצעותם המשטרה, שב"כ והמוסד יכולים לגשת לתכנים שלנו. הבעיה מתחילה כאשר הרבה מהתקשורת עוברת לכלים שלא נכנסים תחת המנגנונים הלו, כמו אפליקיציות וטסאפ וסיגנל".

פרופ' יובל שני, עמית בכיר במכון הישראלי לדמוקרטיה ופרופסור למשפטים באוניברסיטה העברית, ציין כי הבעיה הבסיסית היא היעדר חקיקה עדכנית. התובנה מפרשת NSO מאוד מחדדת היא שהפער הוא לא נייטרלי מבחינת השלכותיו על חלוקת כוח וסמכות. בסביבה רגולטורית רכה, כשהיא מלווה בפיקוח רך, ניתן כוח עצום לגורם הפרשני. זהו מקרה של כוח פרשני בלתי מוגבל שמזמין ניצול לרעה של כוח משפטי. בסביבות כאלה מה שקורה, והאמריקאים חוו את אותה מציאות, מגיע סנודן מומנט – שמייצר בקלאש נגד הכוח השלטוני המופרז. ייתכן שזה מה שאנחנו חווים. התשובה לרגע הזה היא רגולציה, חקיקה. החקיקה הזאת היא תמיד מעורבת – יוצרת מסגרת ומחזקת את הפיקוח, אך כן נותנת תוקף לחלק גודל מהפרקטיקות ושומטת את הקרקע לכך שעצם השימוש הוא לא חוקתי.

חוק מעקבים דיגיטליים – עם הפנים לעתיד

במושב השני, שעסק בשינויים הנדרשים במסגרת החקיקה, אמר עו"ד גלעד סממה, ראש הרשות להגנת הפרטיות: "המידע האישי הרגיש ביותר יושב היום במאגרים ממשלתיים בגופים ביטחוניים, וזהו נושא שהרשות צריכה לתת לו מענה גם ברמה האכיפתית וגם בפעולות הנעשות לפני כן, בין היתר באיזונים ובתזכירי סיכום, כדי שלא נגיע למצב שצריך להפעיל כלי אכיפה.

"חשוב לי לייצר תשתית שמונעת הפרה בתוך הגופים הכי רגישים, שהיא הזרוע הארוכה שלנו. היא צריכה להיות כזו שבוחנת את הפעולות קדימה, אם אלה פרויקטים, רפורמות או פעולות שגרתיות של הגופים, כדי שתהיה הנחלה של זכות הפרטיות בתוך הארגון, ואנו כמובן צריכים לפקח על כך. אם נגיע למצב שההנחלה של אותם כלים בתוך הארגונים לא מצליחה, אז כמובן יהיו לנו הסמכויות לפעול כנגד אותם גופים.

באשר לשאלת נציבות פיקוח חיצונית על ביצוע מעקבים, ציין כי אינו מאמין בפתרון זה, שיפגע באיזונים ובבקרה בזמן פעילות שגרתית של הארגונים. לדבריו, יש משמעות גדולה שהרשות להגנת הפרטיות ממוקמת במשרד המשפטים, המייצרת גם איזונים כלפי הפרקליטות, המשטרה וגופים בטחוניים נוספים, כי יש לה סמכויות פיקוח עליהם.

ד"ר מיקי זר מהפקולטה למשפטים באוניברסיטת תל אביב התייחסה לשתי סוגיות ערכיות בנושא החוק המוצע. "אני לא חושבת שרע שיהיה חוק שינסה לצמצם פרצות פעילות בלתי חוקית, אבל מה שמטריד אותי הם שני דברים. האחד הוא שאנחנו עשויים לשכוח בהנחה שחקיקה כזו תצלח, שאנחנו מדברים על כלים מאוד אלימים, תעשייה שלמה שהיא רווחית בצורה שערורייתית, שעושים את עבודת השיטור באופן פרטי. NSO זה רק דוגמה אחת. מה שעלול להשתמע מהמאמץ לקידום חקיקה זה שאנחנו מוכנים לשימוש בכלים האלו, ומשתתפים בהכשרת שרץ. אחת התוצאות לחקיקה שכזאת היא שינוי התפיסה בנוגע למה אנחנו כנעקבים יכולים לעשות וכן לגרום לנו להאמין שאנחנו מוגנים מספיק. הדבר השני הוא שאנחנו עסוקים בלדאוג לעצמנו אבל שוכחים שאיננו הצד הכי חלש. הפרטיות שלנו כאזרחים מן השורה היא זו שהכי קל לדאוג לה. הסכמנו שבענייני טרור מותר כמעט הכל – לפלסטינים אין ולא הייתה פרטיות. עכשיו שוב אנחנו דואגים לעצמנו כי כשמדובר בפשיעה חמורה, לעבריינים אין פרטיות. אבל לכל אלו יש זכויות לרבות פרטיות".

ד"ר שוורץ אלטשולר סיכמה את הכנס בהתייחסה לאחת השאלות הבולטות שעלו בו, שאלת ההתמודדות עם הפער בין החקיקה לטכנולוגיה. "בכל פעם עולה השאלה אם אנחנו לא יודעים לאן הטכנולוגיה תתקדם, אז איך נדע מה לאסדר? אבל אנחנו יודעים, בטח ברמת 10 שנים קדימה - אנחנו הולכים לתערוכות שבהן NSO מוכרת את מוצריה, יודעים היכן מושקעים כספי המחקר והפיתוח של החברות הגדולות ואילו פטנטים נרשמים.

"חקיקה צופנת פני עתיד יוצרים באמצעות הגדרות כלליות, ויש גם טכנולוגיות שיש עליהן מורטוריום, כלומר הוטל איסור שימוש בעולם. לא צריך להסדיר את הטכנולוגיות, אלא נדרשת מתודולוגיה. משטרת ישראל הלכה לאיבוד, היא רוצה ללכת לכיוונים של דיג, חיפוש בשחור ומעקב כללי, אבל חיפוש בשחור עושים ארגוני מודיעין ולא רשויות אכיפת חוק. מה שהיא אמורה לעשות זה חיפוש ממוקד בעקבות אירוע או ידיעה".

יתרה מזאת, היא הוסיפה כי האוריינות הדיגיטלית בכל דרגי קבלת ההחלטות מביכה, ואי אפשר להמשיך ולהשלים עם זה. לדבריה, נדרשת שקיפות שונה בתכלית במובן של יכולת להתחקות אחר מערכות.

נקודה אחרת אליה התייחסה הוא משך הזמן הארוך והלא סביר הנדרש לחקיקה בישראל. ולכן, גם נוצרים תוצרי הביניים של הפרשנות המרחיבה, ההנחיות מתחת לשולחן היועץ המשפטי לממשלה וכל אלו חייבים לרדת מהשולחן.