יש להוסיף בעבירת החדירה למחשב הגנה שתכשיר חדירות מסוימות ומוסריות. לצורך בירור מוסריות החדירה למחשב, הפוסט שואב השראה מהדין העברי בנוגע להיתרים לקריאת מכתבים השייכים לזולת.
פרשת החדירה הלכאורית של העיתונאית הדס שטייף לטלפון החכם של אפי נווה מעלה דילמה ערכית. מצד אחד ישנו הצורך בהגנה על הפרטיות, הקניין והאוטונומיה של בעל המידע הממוחשב. מהצד האחר עולה השאלה אם יש לממש אינטרסים מנוגדים, כגון חשיפת שחיתות לכאורית. שאלה נוספת, אם כי פחות הרת גורל, עולה לגבי חדירה לטלפון החכם של אדם המתכוון להתאבד (הזכות לפרטיות מול קדושת החיים) או במקרה של חדירה למחשב של עובד, שיש חשש שהוא גונב סודות מסחריים (הזכות לפרטיות של העובד מול הגנת הקניין של המעסיק). לרוב, המשפט מנסה לאזן בין ערכים. לדעתי, הגדרה ראויה לעבירה היא זו המאזנת כראוי בין זכויות לבין אינטרסים מנוגדים. דוגמא לעבירה מאוזנת היא עברת התקיפה (סעיף 378 לחוק העונשין). מצד אחד, הגדרת העבירה מגנה על שלמות גופו של אדם. מצד שני, העבירה כפופה לסעיף 34י לחוק העונשין, המתייחס להגנה עצמית אשר מבטיחה את הזכות לחיים: "לא יישא אדם באחריות פלילית למעשה שהיה דרוש באופן מידי כדי להדוף תקיפה שלא כדין".
נשאלת השאלה, אם כך, אם עבירת החדירה למחשב, המנויה בסעיף 4 לחוק המחשבים, התשנ"ה–1995, מאזנת כראוי בין זכויות ואינטרסים מנוגדים. כלומר, האם היא מגנה מפני חדירה למחשב (הגנת הזכויות לקניין ופרטיות) ומאפשרת זאת בנסיבות שבהן האינטרס החברתי מצדיק זאת? אם העבירה אינה נותנת מענה ראוי לאינטרסים, ניתן לבחון מה קובע הדין העברי בנושא, כדי לשאוב ממנו השראה. על רקע זה אעמוד על האופן בו יש להסדיר את הנושא.
האם בסעיף 4 לחוק המחשבים יש הגנות?
סעיף 4 לחוק המחשבים קובע: "החודר שלא כדין לחומר מחשב הנמצא במחשב, דינו – מאסר שלוש שנים". הסעיף מגן בצורה רחבה על זכויות כמו פרטיות, קניין ואוטונומיה, שכן הוא אוסר חדירה ללא רשות למחשבו של אדם. אך האם הסעיף מגן גם על אינטרסים אחרים? היסוד המרכזי שעשוי לסייע בעניין זה הוא הביטוי "שלא כדין" הקבוע בלשון הסעיף. יסוד זה מפורש בפסיקה בקשר לעברה כ"ללא הסכמה". משמעותו המקובלת של המונח "שלא כדין" היא ללא הצדק בדין חיצוני. כלומר, הצדקים והגנות, הקבועים בהוראות חוק החיצוניות לחוק המחשבים, יכולים לפטור מאחריות בגין חדירה למחשב. הגנות אלה עשויות לצמצם את התחולה של עבירת החדירה למחשב באשר הן פורשות את חסותן על אינטרסים מנוגדים. כך למשל, בהתבסס על הביטוי "שלא כדין", ניתן "לייבא" הגנות מפני חדירה למחשב המנויות בשני חוקים חיצוניים – חוק הגנת הפרטיות וחוק עוולות מסחריות.
ראשית, ניתן להסתמך על סעיף 18 לחוק הגנת הפרטיות, התשמ"א–1981 המתיר פגיעה בפרטיות בתנאים מסוימים. חוק הגנת הפרטיות מכיל שלוש הגנות חלופיות מפני תביעה פלילית או אזרחית בגין פגיעה בפרטיות: פרסום מוגן, בנוגע לפרסומים של גופים רשמיים, כמו הממשלה (סעיף 18(1)); תום לב, בנסיבות מסוימות (סעיף 18(2)); ועניין ציבורי (סעיף 18(3)). שלוש הוראות אלה עשויות להכשיר חדירה למחשב. לפיכך, ניתן לפרש את הביטוי "שלא כדין" המופיע בסעיף 4 לחוק המחשבים, כהצדק לחדירה למחשב הנעשית בתוך דלת אמותיו של סעיף 18 לחוק הגנת הפרטיות. מחד גיסא, ניתן לטעון שסעיף 18 מאזן בין הערכים המתנגשים בכל הנוגע לפגיעה בפרטיות. מאידך גיסא, בסעיף 18 אין מנגנון מובנה של קבלת צווי חדירה למחשב או לפגיעה בפרטיות, כך שלמעשה הוא מכשיר עשיית דין עצמי, ללא מסננות נורמטיביות מספקות. מבחינה זו מדובר בעברה המנסה לאזן בין זכויות ואינטרסים מנוגדים, אך לא מצליחה לעשות כן בצורה מיטבית.
שנית, ניתן לפנות לסעיפים 16–21 לחוק עוולות מסחריות, התשנ"ט–1999, המאפשר חדירה למידע גזול ואף השמדת מידע גזול (סעיף 21) באמצעות כונס נכסים, המשמש כידו הארוכה של בית המשפט (סעיף 16). חוק זה רלוונטי לדיני מחשבים ולסוגיית החדירה למחשב, שכן הוא מאפשר לבית המשפט לחדור למידע גזול, היכול להימצא במחשב. ברם, הגנה "מיובאת" שכזו הינה מעורפלת ולא מסייעת דווקא במקום שבו הדין דורש הבהרה בנוגע למותר ולאסור בתחום המחשבים. כמו כן, פריסתו של חוק עוולות מסחריות מצומצמת למדי ל"סוד מסחרי" ואינה נותנת מענה רחב דיו. עולה אם כן, שהעבירה המנויה בסעיף 4 לחוק המחשבים אינה מציעה איזון ראוי. אכן, ככל הידוע לי, אין פסיקת מחשבים המכירה בקונסטלציה המשפטית המורכבת הזו שלפיה חדירה כדין היא חדירה שיש לה הצדק בדין חיצוני אחר – אולי בשל עמימות הביטוי "שלא כדין" בהקשר זה, המצריך ייבוא של הוראת החוק החיצונית לחוק המחשבים.
האיזון שבין ההגנה ההלכתית על הפרטיות לבין הגנה על אינטרסים מנוגדים
כיוון שהאיזון בין הזכויות והאינטרסים המנוגדים בתחום המחשבים מהווה ארץ לא נודעת, בחרתי לפנות להלכה העברית, המפתיעה ברלוונטיות שלה לנושא החדירה למחשב, שהרי היא נתגבשה בחלקה לפני מאות בשנים – ולפני עידן המחשב.
נקודת הפתיחה בהגנה על הפרטיות היא איסור הפצת מידע על הזולת ללא הסכמתו. מקורו של איסור זה בפסוק "לא תלך רכיל בעמך, לא תעמוד על דם רעך" (ויקרא יט, טז). איסור זה פורש בצורה רחבה, ככולל לא רק איסור על הפצת מידע של הזולת, אלא גם איסור חדירה למידע סודי של הזולת. את הקפיצה הלוגית הזו מסביר הרב חגיז בציינו שאם אסור לפלוני להפיץ לצד שלישי מידע סודי על אלמוני, הרי שאסור לפלוני להפיץ לעצמו את אותו המידע, קרי אסור לו לחדור למידע הסודי של אלמוני. איסור החדירה למידע סודי של הזולת יושם בעיקר על פתיחה של אגרות של הזולת והוא מתבטא, בין היתר, בחרם דרבנו גרשום. מכאן אני מבקשת להסיק שחדירה למידע סודי של הזולת, כמוה כחדירה למחשב.
נקודת הציון הבאה עוסקת בהגנה ההלכתית על אינטרסים באופן שעשוי להצדיק פגיעה בזכות לפרטיות. הפסוק המקראי "לא תעמוד על דם רעך" מפורש כחיוב לסייע לזולת הנמצא בסכנה ואף כהיתר לפגיעה בזולת הפוגעני, כדי להציל אחרים. למשל, אם אנחנו רואים אדם טובע, חובה עלינו להצילו ואסור לנו לעמוד ולהתעלם מהסכנה. כדברי חז"ל, "מנין לרואה את חבירו טובע בנהר וכו' שחייב להצילו ... שהוא חייב להציל? ת"ל [תלמוד לומר] 'לא תעמוד על דם רעך'" (בבלי, סנהדרין עג, א). כלומר מדוע יש חובה פוזיטיבית להציל את הזולת מסכנה? הדבר נלמד מהפסוק "לא תעמוד על דם רעך".
איסור "לא תעמוד על דם רעך" פורש גם בהקשרים לא פיזיים, כלומר לא רק במקרים כדוגמת הצלה מטביעה או משודדים. כך, מכח "לא תעמוד על דם רעך", יש חובה להפיץ מידע על הזולת כדי להגן על צד שלישי תמים מפני היזק: "וכל היודע היזק שיבא לחבירו ואינו מזהירו עובר על 'לא תעמוד על דם רעך'" (רבי מרדכי הלוי, שו"ת דרכי נועם, יורה דעה, יא). היתר הפצה זה כפוף לרשימת תנאים שאותם מנה החפץ חיים, למשל, דיוק המידע המופץ, הבאת תועלת בעצם ההפצה, יסוד נפשי של תום לב (הלכות לשון הרע, י, ה). עולה, שמצד אחד ההלכה היהודית אוסרת הפצת מידע ומגנה על הזכות לפרטיות ומצד שני היא מגנה על האינטרס במניעת נזק.
האם ההלכה העברית מתירה חדירה למחשב? – שלושה מקרי בוחן
נשאלת השאלה אם האיסור "לא תעמוד על דם רעך" עשוי להתפרש גם כהיתר לחדור למידע של הזולת. לצורך המענה על שאלה זו אבחן להלן שלושה מקורות הלכתיים, המתייחסים לפתיחת אגרות של הזולת. המקור הראשון הוא פסק הלכה של ר' יעקב חגיז (1620–1674) (הלכות קטנות, א, קעג). הפסק בוחן אם שליח המעביר מכתב מפלוני לאלמוני רשאי לפתוח את המכתב, שכן הוא חושש שהמכתב מכיל הוראה להרוג אותו־עצמו. הרב חגיז מתאר בהחלטתו שלוש אפשרויות פעולה גרועות ואפשרות אחת פחות גרועה: אם השליח יפתח את המכתב ויראה מה כתוב בו, זו תהיה הפרת תקנה פוזיטיבית – חרם דרבנו גרשום, האוסר פתיחת אגרות של הזולת. אם השליח יעביר את המכתב ליעדו מבלי לפתוח אותו, ייתכן ויגרם לו־עצמו נזק. אם השליח יסרב להעביר את המכתב ליעדו ויחזירו לבעליו, יתכן והבעלים ישלח את המכתב בידו של אחר ושוב יהיה חשש לשלומו של השליח. לפיכך פסק ההלכה מורה על השמדת המכתב: "אין לו תקנה, אלא פורר וזורה לרוח או מטיל לים". כלומר, בשעה שמול פגיעה ודאית בפרטיות מונח חשש לפגיעה בחיים, יש להשמיד את הנכס ולא לחדור לתוכו.
מקור שני עוסק גם הוא במקרה שבו אלמוני מעביר לפלוני מכתב באמצעותו של שליח, אשר פלוני חייב לו כסף. השליח חושש שמא במכתב יש הוראה לפגוע בו. בפנייתו לגר"ח פלאג'י (1788–1869) הוא שואל אם מותר לפתוח את המכתב כדי שלא יזיק לו השולח. הגר"ח פאלג'י פוסק שלמרות האיסור לפתוח ללא רשות מכתב של הזולת, יש היתר גמור לפתוח את המכתב הואיל ופתיחתו נועדה להצלת חיים וממון. הרב מתנה את פתיחת המכתב בחשאיות הפתיחה, כדי לוודא שמרוב כעס הלווה לא יגרום לנזק נוסף. באמרת אגב הגר"ח פלאג'י מציין שאם החשש שבו מדובר היה רק חשש כלכלי, ייתכן וגם יהיה מותר לפתוח את האיגרת בשל החשש לנזק: "כיון דאיכא [שיש] חששא שגוזלו ומזיקו וע"י כתב זה יתברר האמת". ברם, במקרה פשוט יותר שכזה פתיחת המכתב מותנית בקבלת צו דייני ובית הדין הוא שיפתח את האיגרת. כלומר במקרה של חשש לחיים הותרה עשיית דין עצמי במסגרתה ניתן יהיה לחדור אל המידע ולפגוע בפרטיות, בעוד שכשעל כף המאזניים יש חשש לפגיעה כלכלית יש לפנות לבית הדין לקבלת צו. פסק ההלכה של הגר"ח פלאג'י מייצג תפיסה נורמטיבית ראויה. מצד אחד הוא מגן על מספר ערכים ראשוניים: ערך פוזיטיביסטי – כיבוד חרם דרבנו גרשום; הגנה על מצפוני לבו של הפרט – צורך רגשי בפרטיות; הגנה קניינית מפני גזל מידע. מנגד, פסק ההלכה מגן על חיי אדם ואינטרסים כלכליים.
המקור השלישי הוא פסק הלכה של החתם סופר ועוסק במקרה שבו תושבי עיירה חשדו שפלוני קיבל שוחד בחירות. כדי לאמת חשד זה, חברי הקהילה פתחו מכתב של אחד מחברי הקהילה וחששם אושש, שכן במכתב ישנה התייחסות לקבלת שוחד. מקרה זה מעלה דילמה הקשורה להתנגשות בין הזכות לפרטיות מצד אחד, לבין טוהר הבחירות ונקיון כפיים מהצד האחר. בין שני אלו מעדיף החתם סופר את ההיצמדות ללשון חרם דרבנו גרשום, האוסר על חדירה למידע השייך לזולת. לפיכך, החתם סופר לא נותן כל משקל ראייתי למידע שמופיע במכתב לעניין השאלה אם ניתן או לא ניתן שוחד ואם בשל השוחד יש לבטל את הבחירות. עולה אם כן, שבמתח שבין הזכות לפרטיות לבין קדושת החיים, ההלכה העברית נותנת משקל רב יותר לקדושת החיים. לעומת זאת, במתח שבין הפרטיות לבין שמירת טוהר המידות והבחירות, ניתנת עדיפות גדולה יותר לזכות לפרטיות. מכאן ניתן ללמוד, שלמרות האיסור ההלכתי על חדירה למידע של הזולת, ובמשתמע, גם למחשב, הרי שיש שניתן לחדור למחשב, או להשמיד מידע ממוחשב, אך זאת רק לשם הגנה על ערך גבוה, כדוגמת קדושת החיים, וגם זאת בתנאים מוגבלים.
מהו הדין הרצוי בנוגע להיתרים לחדירה למחשב?
ומהדין העברי לדין הראוי במשפט הישראלי. כדי לאזן בין ערכים ראשוניים לשניוניים, מוצע שבחוק עצמו תשולב הוראת הגנה פרטית המתייחסת להיתר לחדירה למחשב ואשר תפנה לתקנות סדר הדין אשר ייחדו תקנה המאפשרת לבית המשפט ליתן צו חדירה למחשב הזולת, גם בהעדר הסכמה של בעליו. בשני המקרים החדירה למחשב תתאפשר בכפוף לארבעת התנאים שלהלן (המבחן המרובע).
בשלב הראשון ייערך איזון בין הזכויות והאינטרסים המנוגדים במקרה הנבחן. למשל, פרטיות, וקניין דיגיטלי מצד אחד, והזכות לחיים, מניעת רצח, מניעת נזק כלכלי, צדק, תחרות הוגנת, ופגיעה באמון מהצד האחר. בשלב זה יתקיים דיון נורמטיבי בשאלה כיצד יש לאזן בין הערכים והאינטרסים המתנגשים.
בשלב השני תיבחן רמת הוודאות של החשש שבגינו אנו מבקשים לחדור למחשב. האם מדובר במידע מוסמך או בחשש בעלמא? לדוגמה, סבורתני שחשש בלתי מבוסס לטוהר הבחירות אינו מצדיק פגיעה בפרטיות.
בשלב השלישי ייבחן אופי הפגיעה הנובעת מהחדירה למחשב ובהתאם לכך ייקבע הסעד המתאים בהתאם למידת הפגיעה בפרטיות. סעדים אפשריים כוללים צו עשה לחשיפת מידע או מחיקת הודעת דואר אלקטרוני, צו לא תעשה שאוסר לשלוח את הודעת הדואר האלקטרוני, או צו לצילום המסך או לחדירה למחשב עצמו. לדוגמה, כאשר מדובר בחשד לגניבת מידע על ידי עובד, ניתן לקבוע שרק החומר הרלוונטי ייחשף ושלא תהיה חדירה שיטתית למחשבי העובד.
בשלב הרביעי יש להתייחס לאופן הפגיעה הכרוכה בחדירה למחשב. צו חיפוש שיפוטי הוא דרך המלך ועדיף על פני עשיית דין עצמי. כלומר, ברוב המקרים חובה על מי שמבקש לחדור למחשב הזולת לפנות לקבלת צו. רק כשיש קרבה לוודאות לפגיעה בחיי אדם ואין יכולת לפנות לערכאות, שכן הזמן הוא קריטי, ראוי שהחוק יאפשר עשיית דין עצמי. במקרים אלו אדם יוכל לחדור למחשב הזולת גם ללא הסכמתו.
הפוסט מבוסס על מאמר העומד להתפרסם בספר סיני דויטש.
ד"ר שרונה אהרוני־גולדנברג היא מרצה לדיני סייבר ועברות צווארון לבן. היא עומדת בראש מרכז iFOR לחופש אקדמי וחוקרת את הנושא.