אי אסדרת טכנולוגיה מתקדמת ופולשנית במשפט הפלילי מאפשר פעולה פוגענית, חמקמקה ומפקחת על הפרט
הגנה של מדינה על תושביה מפני חדירה למחשבים ולטלפונים חכמים – בין היתר כדי להגן על זכויות אדם, למשל מפני מתקפת סייבר מצד מדינה אחרת, היא משימה מורכבת אך טבעית ביחס לתפקידי המדינה בחברה דמוקרטית וליברלית. בדומה, גופים פרטיים וחברות מסחריות מגנים על לקוחותיהם מפני תקיפות סייבר, ואם לא הגנו די הצורך ופרטי הלקוחות דלפו, החברות יאלצו לפצות על הפגיעה בפרטיות (לרוב בסכומי עתק). לעומת זאת, חדירה של המדינה עצמה למחשבים ולטלפונים חכמים במסגרת הליכים פליליים ללא הסדרה בחוק היא חריגה ובעייתית. לצערי, ישראל היא דוגמה למדינה אשר הפעילה כלי חדירה למחשבים ולטלפונים ללא הסדרה מתאימה בחוק, והחקיקה הקיימת רחוקה מלהתאים לכלים הטכנולוגיים שבשימוש המדינה. כמו במדינות רבות בעולם, ההסדרה בישראל של תחום החיפוש הדיגיטלי באמצעים מתקדמים ופולשניים, נמצאת בסדר חקיקתי ישן בעל היגיון משלו, שאינו תואם את ההתפתחות הטכנולוגית של השנים האחרונות, כמו למשל הכנסת תוכנת הרוגלה "סייפן" לשימוש משטרת ישראל ותוכנות דומות הפועלות במדינות נוספות. רשומה זו עוסקת באיסוף ראיות על ידי רשויות אכיפת החוק, בעיקר באמצעות פעולות חיפוש, קבלת נתוני תקשורת והאזנת סתר, המוסדרות בחקיקה (כאן, כאן וכאן), בהקשר של טכנולוגיות חדשות, מתקדמות ופולשניות שרשויות אכיפת החוק משתמשות בהן בשנים האחרונות. תת-פעולות אלו נכללות כולן תחת הפעולה הכללית הנקראת "איסוף ראיות" שעורכת המשטרה בשלב החקירה לצורך העמדה לדין: חיפוש במקום ובמחשב, קבלת נתוני תקשורת וביצוע האזנות סתר. כמוסבר להלן, לפי עמדת הרשויות, האזנת הסתר יכולה להיעשות באמצעות הרוגלה באופן חוקי. עם זאת, "חיפוש סמוי", הכולל שאיבה גורפת של מידע מטלפונים ומחשבים על ידי תוכנות התקפיות, אינו נכלל בפעולות החיפוש ואיסוף הראיות שהחוק כיום מאפשר, כמפורט להלן.
הכוח הטכנולוגי מתערב בסדר הרגולטיבי ובהיררכיה שבסדר החקיקתי הישן, משבש ופורם את הקטגוריות שבו ואת עקרונותיו. ברשימה זו אתמקד במבנה החוקי הקיים כיום בישראל כמקרה בוחן, שכן מדינות נוספות מתמודדות עם מצבים דומים. גם הכתיבה המחקרית על פרטיות במשפט הפלילי, מציינה שאם בעבר נאמר "ביתי הוא מבצרי", היום יש לומר "מחשבי הוא מבצרי". כאמור, מדינות נוספות מתמודדות עם הפער בין הטכנולוגיה לבין ההסדרים שבחוק ועם הצורך לבצע תיקוני חקיקה לצורך איסוף ראיות דיגטיליות ממחשבים. כך, למשל, גרמניה תקנה את החקיקה (לגבי חדירה ופריצה למחשבים וטלפונים חכמים, ובהולנד נעשה תיקון לחוק הפרוצדורה הפלילית שעבר בשנת 2018 ונכנס לתוקף בשנת 2019). מובן שלא ניתן לקבל פעילות מדינתית במסגרת אכיפת החוק של פריצה למחשבים, בדומה לפעילות האקרים, ללא הסמכה מפורשת בחוק.
המצב החקיקתי הקיים
כדי להבין את המצב בישראל ביחס לאיסוף ראיות דיגיטליות ממחשבים וטלפונים חכמים על ידי המשטרה במסגרת חקירה פלילית, יש לחזור לחקיקה הקיימת מאז 2007, שמאפשרת לרשויות אכיפת החוק לאסוף ראיות מסוג נתוני תקשורת (נתוני מיקום, תעבורת נתונים ועוד) ממחשבים וממכשירי טלפון של האזרחים. חוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), התשס"ח–2007 (״חוק נתוני תקשורת״) והפרוטוקולים של הדיונים לקראת חקיקתו מלמדים שהמחוקק הישראלי יצר מבנה היררכי ברור המסדיר את אופן החדירה המותרת של רשויות אכיפת החוק למכשירי טלפון ולמחשבים. בהחלטה להסדיר את חוק נתוני תקשורת בחוק נפרד התייחס המחוקק גם ליחס בין חוק נתוני תקשורת לבין שני חוקים נוספים, פקודת סדר הדין הפלילי (מעצר וחיפוש), תשכ״ט–1969 (״פקודת החיפוש״) וחוק האזנת סתר, תשל״ט–1979, והציב את חוק נתוני תקשורת ביניהם.
מתוך רצון הממשלה לאפשר איסוף נתוני תקשורת על ידי המשטרה, עלו עקרונות מארגנים וקטגוריות שיצרו את המבנה החדש. בעבודת ההכנה של חוק נתוני תקשורת נדונו מיקום הסמכות לאסוף נתוני תקשורת, ומהות המבחנים לאישור האיסוף והרף לאישור זה, בין אם על ידי הדרג הפקידותי המחליט על האיסוף ובין אם על ידי בית המשפט. בין היתר עלו השאלות הבאות: האם יש למקם את סמכות המשטרה לאסוף נתוני תקשורת במסגרת פקודת החיפוש או בחוק נפרד? האם איסוף ראיות דיגיטליות דומה לאיסוף ראיות אחרות? האם הרף לבחינת מתן אישור לאיסוף ראיות הוא זהה לרף לאישור חיפוש ואיסוף ראיות חפציות?
אחד הדברים החשובים שהתרחשו בדיונים אלו, בהם הגיב המחוקק להתפתחות הטכנולוגית בתחום נתוני התקשורת, הוא יצירת קטגוריות מתחום הגנת הפרטיות שהיוו את הבסיס להבדלים בין החוקים ולמבנה חוקי ברור בתחום זה. הקטגוריות שהנחו את המחוקק עסקו בהבחנות שבין תוכן לבין מעטפת, בין שימוש במה שנאסף בעבר לבין אישור לאיסוף בעתיד, בין ראיות דיגיטליות לבין ראיות חפציות, ועוד. לאור קטגוריות אלו, התאים המחוקק את הסטנדרטים השונים לאישור פעולות חיפוש ואיסוף הראיות באמצעות החוקים השונים. כך, בפקודת החיפוש שהוא החוק הכללי והרחב ביותר, אשר במסגרתו הפגיעה בפרטיות פחותה יחסית, הרף המאפשר איסוף ראיות הוא הנמוך ביותר. לעומת זאת, בחוק האזנת סתר שהוא הנוקשה ביותר ואשר בו החשש לפגיעה בפרטיות הוא הגבוה ביותר, המבחן הוא המחמיר ביותר. חוק נתוני תקשורת נמצא בתווך בין שני חוקים אלו מבחינת מידת פגיעתו בפרטיות, ובהתאם לכך, המבחן במסגרתו הוא מבחן ביניים. ניתן לראות במקרה זה כיצד בעקבות השינוי הטכנולוגי, החקיקה בהליך הפלילי בתחום זה עוצבה מחדש.
פקודת החיפוש בהקשר של איסוף נתונים טכנולוגיים מסדירה את החיפוש במקום מסוים, בבית למשל. היא מאפשרת גם את תפיסת המחשב תוך כדי חיפוש וקובעת כי חיפוש במחשב דורש צו. מדובר בחיפוש ממוקד וחד פעמי. כפי שנקבע בענין אוריך (פרשת החיפוש בטלפונים של יועצי ראש הממשלה), הדיון בבקשת החיפוש במחשב מתקיים במעמד צד אחד ללא אפשרות ערעור על צו החיפוש אלא בסוף ההליך, בהסתמך על דוקטרינת פסילת הראיות הפסיקתית. המחוקק קבע שחדירה לחומר מחשב היא פעולת חיפוש לפי סעיף 23א לפקודת החיפוש, וקבע כי תנאי למתן צו על ידי שופט להתיר חיפוש במחשב הוא, בין היתר, כי "החיפוש בו נחוץ" לצרכי חקירה ומשפט או שקיים "יסוד להניח" שנעברה עבירה – תנאי המציב סטנדרט נמוך יחסית. החיפוש במקרה זה נערך בידיעת בעל המחשב שמחשבו נתפס.
מעל פקודת החיפוש, בהיררכיית מידת ההגנה על הפרטיות, נמצא חוק נתוני תקשורת, שמאפשר למשטרה לקבל נתונים מחברות התקשורת בעלות רישיון למתן שירותי בזק. בתחילה הוצע להסדיר את איסוף נתוני התקשורת בפקודת החיפוש, אך לבסוף הוצא מתוכו בשל החשש לפגיעה בפרטיות במסגרתו. חוק זה מתייחס לקטגוריות שונות, הן של תוכן התקשורת והן של מעטפת התקשורת, שהיא לרוב נתון מספרי אך כוללת גם את נושא ההתקשרות או פרטים מזהים של אנשי קשר, כגון "פסיכיאטר" או כמו "אונקולוג", ולכן עשויה ללמד גם על תוכן המידע.
המבחן שנקבע למתן צו על פי חוק נתוני תקשורת הוא שונה מהמבחן בפקודת החיפוש ("יסוד להניח") והוא חמור יותר ממנו: המחוקק בחר במבחן המידתיות, ולפיכך יינתן צו, לפי ס' 3 לחוק נתוני תקשורת, אם שוכנע בית המשפט שהדבר נדרש למטרה של הצלת חיי אדם, גילוי עבירות, חקירתן ומניעתן, גילוי עבריינים והעמדתם לדין, או חילוט רכוש על פי דין, ובלבד שאין בקבלת נתוני התקשורת כאמור כדי לפגוע, במידה העולה על הנדרש, בפרטיותו של אדם. לפי ס׳ 3(ב) לחוק נתוני תקשורת, העוסק בקבלת נתוני תקשורת של ״בעלי מקצוע״, כגון רופאים, עורכי דין, עיתונאים, מטפלים ועוד, הרף המצדיק קבלת נתונים הוא מחמיר יותר, של "יסוד לחשד" למעורבות בעבירה לגבי מי שחל עליו חסיון מקצועי. כך, לבקשת המשטרה, שופט שלום יכול להורות לבעל רישיון בזק להעביר אליה נתוני תקשורת, והחוק מפרט את המידע שהמשטרה צריכה לפרט במסגרת הבקשה. נתוני תקשורת שיכולים להתקבל מוגבלים לשלושים ימים ממועד הצו. בעת חירום (מקרים דחופים בהם המידע נדרש לשם מניעת עבירה מסוג פשע או גילוי מבצעה או לשם הצלת חיי אדם יש צורך, שאינו סובל דיחוי) קצין מוסמך רשאי לבקש את הנתונים ללא צו. לא ניתן לבקש נתונים ב"שיטת הדייג" שהיא גורפת, אלא רק באופן קונקרטי לגבי אדם מסוים. החוק הסדיר גם הקמת מאגר של נתוני זיהוי.
מעל שני החוקים האלו ניצב חוק האזנת סתר. חוק זה מאפשר ליירט תוכן שיחות בזמן אמת בעבירות מסוג פשע. כדי לבצע האזנת סתר, המשטרה צריכה לקבל צו מנשיא בית המשפט המחוזי, ולשם כך עליה להראות שההאזנה נחוצה לגילוי, חקירה או מניעה של עבירות מסוג פשע, או לגילוי ותפיסת עבריינים שעברו עבירות כאלו. השיקולים בהחלטה אם להתיר האזנת סתר הם מידת הפגיעה בפרטיות והצורך בהאזנת הסתר לשם גילוי, חקירת עבירה או מניעתה או לתפיסת העברייניים.
לסיכום, בחוק שעוצב בשנת 2007 הייתה חקיקה מפורטת וקוהרנטית אשר יצרה קטגוריות שצפו התפתחות טכנולוגית, ושנתנו לרשויות כלים ברורים ופשוטים להסדרה גם בהמשך. הפרטיות היתה העקרון המארגן בעיצוב החקיקה, וניתן למצוא קטגוריות ברורות המתייחסות להגנת הפרטיות שקיבלו ביטוי בחוקים אלו: תוכן של שיחות שטרם התקיימו – המשטרה תוכל להשיג רק באמצעות חוק האזנת סתר; מידע אגור על המחשב – יכול לעבור למשטרה רק בידיעת בעל המחשב על פי פקודת החיפוש; נתוני תקשורת שמערבים גם מעטפת נתונים וגם תוכן – יכולים לעבור למשטרה רק מכוח חוק נתוני תקשורת. כעת, לעומת זאת, אין חקיקה כלל להסדרת השימוש בטכנולוגיה החדשה "סייפן" שבשימוש רשויות אכיפת החוק.
השימוש ברוגלה ("הסייפן") ללא חקיקה
איסוף ראיות באמצעות רוגלה עדיין לא הוסדר בחקיקה. זאת, למרות שהמערכת נבחנה על ידי המשטרה לפני כעשור ומשמשת לאיסוף ראיות מזה כבר שבע שנים, וראיות שנאספו באמצעותה אף הובאו לבית המשפט במספר מקרים. הפעלת מערכת הרוגלה ללא הסדרה עומדת בניגוד לפיתוחה וביסוסה של הזכות לפרטיות במשפט הישראלי והמודעות הגוברת בחברה הישראלית לחשיבות ההגנה עליה.
מה ההבדל בין המהפכה הטכנולוגית של נתוני התקשורת לבין המהפכה הטכנולוגית בשימוש ברוגלה לצורך איסוף ראיות, זאת בהקשר של יחס רשויות אכיפת החוק והמחוקק לחובת הסדרתן? יתרה מזו, מדוע כיום, דווקא כאשר קיימים מנגנונים רציניים להגנת הפרטיות בכל זירה – אזרחית, מסחרית ועוד (ראו למשל את קנסות העתק שמטילה הרשות להגנת הפרטיות, על עצמאים וחברות מסחריות שלא מגנים על מאגרי הנתונים שברשותם), הרשויות פועלות בניגוד לעקרונות של הגנת הפרטיות שהנחו את המחוקק בעשור הקודם?
חוק האזנת הסתר רלבנטי לשימוש במערכת הרוגלה משום שבדיונים על יישום החוק בוועדת החוקה, חוק ומשפט שנערכו בשנה החולפת המדינה הצהירה שהשימוש במערכת הרוגלה נערך במסגרת חוק זה. הדבר הפתיע רבים מעורכי הדין בקהילת המשפט הפלילי והגנת הפרטיות, משום שחוק האזנות סתר מאפשר איסוף מידע בקטגוריות מצומצמות – רק תוכן שיחות, רק מידע תעבורתי (ולא מידע שכבר אגור במכשיר שמאזינים לו), רק שיחות עתידיות ביחס למועד מתן הצו (ולא קודם לו), ועוד. לטענת צוות הבדיקה בראשות המשנה ליועצת המשפטית לממשלה (פלילי) (דו"ח מררי), ניתן לראות בשימוש ברוגלה "האזנה" לפי חוק האזנת סתר משום ש"האזנה" כוללת האזנה או הקלטה של שיחת הזולת באמצעות מכשיר, בנוסף על כך, "שיחה" לפי החוק כוללת תקשורת בין מחשבים. על בסיס זה הצדיקו רשויות אכיפת החוק השימוש ברוגלה לצורך איסוף ראיות ועריכת חיפוש בהליך הפלילי ללא הסמכה מפורשת בחוק. אך יכולותיה של מערכת הרוגלה אינן מתאימות לקטגוריות של חוק האזנת סתר, שכן כפי שפורסם בעניין הפעלת רוגלות וסוסים טרויאנים בארץ ובעולם, מדובר במערכת ששואבת את כל המידע שעל מכשיר הטלפון ללא הגבלה, ובכך מבצעת חיפוש סמוי שאין לרשויות סמכות לבצעו על פי חוק. נוסף על כך, כדי שניתן יהיה להתקין את הרוגלה על מכשיר הטלפון הנייד של פלוני מרחוק, עשו רשויות אכיפת החוק שימוש בסמכויות העזר שבסעיף 10א לחוק האזנת סתר, שמאפשר מתן היתר להיכנס ל"מקום" לצורך התקנת אמצעי ההאזנה הנדרשים, תוך הסתמכות על הפסיקה שקבעה בהקשרים מסוימים כי מקום כולל גם מרחב ממוחשב (בדומה לאתרי הימורים ברשת). פרשנות מרחיבה זו של הסעיף עשויה לאפשר שימוש ברוגלה לצורך האזנת סתר, אך לא לצורך חיפוש סמוי.
הרוגלה פועלת באופן שהחקיקה הקיימת אינה מתירה. הרוגלה אספה מידע אגור, על אף שחוק האזנת סתר אינו מתיר לעשות זאת. כלומר, תוכנות זדוניות כמו הרוגלה שבשימוש המשטרה לא נכללות באף אחת מהקטגוריות שבחוק. כדי להפעיל רוגלה נחוצים צווים לפי כל שלושת החוקים – ולא רק לפי חוק האזנת סתר. דו"ח מררי והדיונים בעניינו בועדת חוקה אימתו את הפרסומים על הכשלים בשימוש ברוגלה, כמו שאיבת חומר אגור מטלפונים ניידים של חשודים ונחקרים (אנשי קשר, פתקים ועוד) והגשתו לבית המשפט בניגוד לחוק.
אי ההקפדה מצד הרשויות על "עיצוב לפרטיות" בשימוש ברוגלה בא לידי ביטוי בפגיעה בפרטיות במסגרת ההליך הפלילי, ממחיש את הכוח של השימוש בטכנולוגיה ללא ידיעתו של מי שהטכנולוגיה מופעלת עליו, ויוצר יחסי כוחות חדשים בין רשויות אכיפת החוק לבין קבוצות באוכלוסייה. לכן, חשוב תפקידם של שומרי הסף בעיצוב הטכנולוגיה. לכנסת ולמחלקת הסייבר במשרד המשפטים, המהווים מגנונים מרסנים לשמירה על המבנה החוקי הקיים, ניתן להוסיף את הרשות להגנת הפרטיות כאורגן שמעצב את השיח אודות הפגיעה בפרטיות. תהליך של רכישת תוכנה צריך לעבור תסקיר הגנת פרטיות ו"עיצוב לפרטיות" כדי למנוע פגיעה בפרטיות מהסוג ששהתרחשה.
סיכום
עד להפעלת הרוגלה היתה החקיקה בישראל ברורה ומאורגנת, והיא הגנה על הפרטיות בהליך הפלילי. המחוקק הראה כבר לפני כ־15 שנים כשביכולתו לשנות את המבנה החוקי כך שמצד אחד המשטרה תוכל לאסוף נתוני תקשורת ומצד שני תישמר פרטיות הפרט. למרות הניסיון הטוב של רשויות אכיפת החוק בפנייה למחוקק להעביר את חוק נתוני תקשורת, לא ברור מדוע בשנים האחרונות הן בחרו להפעיל את הרוגלה ללא פנייה למחוקק, ומבלי לעדכן את הגורמים המפקחים והמרסנים, ובהם יחידת הסייבר והרשות להגנת הפרטיות במשרד המשפטים.
נוסף על כך, יש להבין את המשמעות החברתית־פוליטית של הפעלת טכנולוגיה פולשנית ומתקדמת בהתעלם ממבנה החקיקה הקיים, וכל זאת במיוחד בסיטואציה של חקירה הכוללת הגבלת תנועה ולעיתים גם הגבלת חירות ומתוך מערכת יחסי כוחות מאוד ברורה בין החוקר לבין הנחקר. מפעילי המערכת העדיפו לפעול ללא חוק, ובכך הוציאו את הריבון ממוקד הדיון, שכן הם בחרו בפעולה בסתר. הרשויות יצרו כאן, כפי שהגדיר זאת פוקו, טכניקות כוח שחרגו ממנגנוני המדינה המוכרים – החוק ומגבלותיו אינם עוד תורת הכוח היחידה, אלא הכוח החדש משולב בטכניקות של שליטה וידע. הכוח מופעל באופן חמקמק, לא מורגש ולא מודע, באמצעות טכניקה "מנרמלת", אשר בנוסף לכך מסגלת את בני האדם לנורמות שליטה מצד רשויות אכיפת החוק ולהפנמה של פרקטיקות דכאניות . כפי שפוקו הציע, גם כאן הפעולה מסיטה את נקודת המבט מהחוק אל המנגנון, אל הפרקטיקות וטכניקות הכוח שיוצרות הכפפה. חדירה לטלפון נייד של אדם היא ללא ספק טכניקה של פיקוח, השגחה ושליטה והיא נעשית באמצעות מנגנון חדירה ומעקב. התפתחות הידע המדעי־טכנולוגי, שאפשר את יצירת הרוגלה, תרם להרחבת המנגנון האמור וליצירת מסלול עוקף לחוק.
* רשימה זו מבוססת על מחקר רחב בנושא זה הנמצא בתהליך הכנה מתקדם.