דוח טכנולוגי חקיקה עכשיו: לא עד כדי כך מסובך לאזן בין חופש הפרט לצורך של המשטרה בפגסוס
דוח טכנולוגי
חקיקה עכשיו: לא עד כדי כך מסובך לאזן בין חופש הפרט לצורך של המשטרה בפגסוס
כל מה שצריך לעשות כדי למנוע הישנות של מקרים כמו אלה המתוארים בתחקירי "כלכליסט" על שימושי המשטרה בתוכנת הריגול של NSO זה קופי-פייסט מדמוקרטיות מתקדמות כמו בריטניה וגרמניה. וזה בדיוק מה שהמכון הישראלי לדמוקרטיה בוחן כעת
מי שעקב אחרי תגובות המשטרה לסדרת התחקירים שפרסם תומר גנון ב"כלכליסט" בשבוע האחרון, על השימוש הבעייתי שהיא עושה בתוכנת הריגול פגסוס של NSO הישראלית, עלול היה להתרשם שיש רק שתי ברירות אפשרויות: או שניתן למשטרה להמשיך לעשות שימוש בתוכנה באותו אופן שבו פעלה עד עכשיו, ללא הסדר ופיקוח מתאימים, או שיהיה כאוס עם פדופילים ורוצחים שרצים ללא הפרעה ברחובות ישראל.
אבל המציאות, כתמיד, לא כזו דיכוטומית. יש פתרונות שיאפשרו למשטרה להשתמש בפגסוס או דומותיה וגם ימנעו או יגבילו משמעותית שימוש לרעה בתוכנה. ומה שיפה שלא צריך להתאמץ יותר מדי כדי ליצור או ליישם אותם. כל מה שצריך לעשות זה להתנהג כמו הסטודנט שלא חזר על החומר לפני הבחינה, ולהעתיק ממדינות אחרות שכבר עשו את זה.
וגם בהעתקה לא צריך להתאמץ יותר מדי, כי ד"ר תהילה שוורץ אלטשולר ועו"ד עמיר כהנא מהמכון הישראלי לדמוקרטיה בחנו פתרונות אפשריים תוך השוואת המצב החקיקתי בישראל לזה בבריטניה ובגרמניה ודרך התייחסות לארבע שאלות מרכזיות. בחינה קצרה זו מספקת מפת דרכים ברורה לאסדרה ראויה של השימוש בתוכנותת מעקב על ידי המשטרה.
שתי מדינות נבחרו מכיוון שמדובר בדמוקרטיות, חלק מאירופה או קרובות אליה, בהן יש חקיקה דיגיטלית מתקדמת ומאוזנת ומתקיים דיון ציבורי ער על סמכויות המעקב של רשויות המדינה. בנוסף, במסגרת מחקרי המדיניות של המכון סקרו כבר החוקרים לעומק את דיני המעקב המקוון בבריטניה ובגרמניה, מה שהקל על הפקת ההשוואה המהירה. בהמשך מתעדים החוקרים לבחון את ההסדרים במדינות מערביות אחרות.
השאלה הראשונה שנבחנה היא האם אמצעי המעקב המקוון השונים (האזנות סתר, קבלת נתוני תקשורת) מוסדרים בחקיקה תחת חוק אחד? בישראל התשובה די ברורה: לא, הפוך משתי המדינות שנבדקו. בבריטניה, חוק סמכויות חקירה (Investigatory Powers Act) מסדיר את סמכויות גופי המודיעין הבריטיים וגופי אכיפת החוק לעשות שימוש באמצעי מעקב מקוון: יירוט תקשורת והאזנות סתר, השגת נתוני תקשורת ושימוש באמצעי סייבר, לרבות במסגרת איסוף חסר אבחנה. גם בגרמניה יש חקיקה אחת שמסדירה פעילות איסוף המודיעין הדיגיטלי (סיגינט), אם כי שם קיימת הפרדה לא לפי סוג הפעילות אלא לפי גופי הביטחון והמשטרה השונים: פעילות המשטרה הפדרלית מוסדרת בחוק המשטרה הפדרלית (BKAG). פעילות של סוכנויות המשטרה במדינות הפדרציה השונות מוסדרת בקוד סדר הדין הפלילי (StPO).
אחת הסוגיות שעמדו בלב הסערה סביב חשיפות "כלכליסט" בימים האחרונים היא ההסדר החוקי שמאפשר למשטרה להשתמש בפגסוס. במשטרה טענו תחילה שהשימוש בפגסוס אפשרי במסגרת חוק האזנת סתר - פרשנות שנסתרה על ידי דברים שאמר ב-2018 מי שמכהן כיום כיועץ המשפטי למשטרה, והשבוע בכנסת ראש מחלקת הסייבר בפרקליטות. במרכז המחלוקת עומדת השאלה האם החוק, שמתיר יירוט תקשורת חיה בין מחשבים, מכסה את הפעילות של פגסוס שיושבת על המכשיר עצמו ויכולה גם לשאוב נתוני עבר.
איך בריטניה וגרמניה פתרו את המחלוקת הזו? הן לא היו צריכות להתמודד אתה בכלל, כי הסדירו בחקיקה ייעודית פעילות של תוכנות דוגמת פגסוס. בבריטניה, חוק סמכויות חקירה כולל פרק שעוסק בצווים ל"התערבות בציוד" (קרי, שימוש באמצעי סייבר) כדי להשיג מידע. צו הזה מאושר רק לצורך מניעה או גילוי של פשע חמור. הוא מבוקש ישירות על ידי ראש רשות אכיפת חוק (כמו מפכ"ל) ונדרש לאישור של נציב שיפוטי מנציבות סמכויות החקירה. במקרים דחופים ניתן לאשר את הצו ללא אישור נציב שיפוטי, ובתנאי שהוא יאושר בדיעבד תוך שלושה ימי עבודה.
קוד סדר הדין הפלילי הגרמני מתיר שימוש ב"אמצעים טכניים" לתכליות של "חיפוש חשאי מרחוק במערכות מידע", בחקירות פשע חמור במיוחד (רשימה מוגדרת שכוללת עבירות דוגמת הקמת ארגוני פשיעה, פדופיליה, רצח, חטיפה, סחר בבני אדם ועבירות נוספות שבוצעו בנסיבות מחמירות). אמצעים טכניים אלו יופעלו ככלל רק נגד החשוד ולא לשם דיג בסביבתו של החשוד. ניתן להתערב בציוד מחשב של אחרים רק אם בסיס עובדתי שמאפשר להניח כי החשוד עושה שימוש בציוד מחשב של אותם אחרים ושההתערבות בציוד של החשוד לבדו לא תוביל לבירור עובדתי. חקיקה כזו בישראל היתה מונעת מקרים שחשף גנון שבהם במסגרת איסוף מודיעין על ראשי ערים הושתלה פגסוס במכשירים של קרובי משפחתם.
הוראות דומות מצויות גם בחוק המשטרה הפדרלית, שמתיר שימוש באמצעים טכניים רק כאשר נשקפת סכנה לחיי אדם, לגופו או לחירותו, או לטובין ציבוריים שנשקף להם איום המשפיע על יסודות הקיום של הממשלה, המדינה או המין האנושי, ובכפוף לצו בית משפט לבקשת ראש המשטרה הפדראלית. צווי התערבות בציוד יינתנו על ידי בית משפט מחוזי בכפוף לבקשת משרד התובע הציבורי.
"כיום, מעקבים מקוונים יכולים להתבצע במדינת ישראל מכוח שלושה חוקים: חוק האזנות סתר, חוק נתוני תקשורת, פקודת סדר הדין הפלילי", אמרה שוורץ אלטשולר ל"דו"ח טכנולוגי". "אבל לאמיתו של דבר, אף אחד מהחוקים האלה בפני עצמו לא יכול להספיק בשביל שימושים בתוכנה כמו פגסוס, משום שכל אחד מהם נוגע להיבט אחר של איסוף. גם אם היינו מפרשים את המצב המשפטי ככזה שמאפשר שימוש בפגסוס, הרי שלמעשה צריך להוציא צו האזנת סתר, על ידי שופט מחוזי, ובנוסף צו חיפוש בחומר מחשב – על ידי שופט שלום. די בשופט שלום כדי לחטט במחשב, אבל בשביל להאזין יש צורך בסגן נשיא מחוזי.
"ההיגיון מחייב צורך בחשיבה על מסגרת חקיקה רחבה שתעסוק בעולם הסייבר האיסופי או המעקבים הדיגיטליים. יהיה צורך להסתכל בהסתכלות רוחב על כל דברי החקיקה הקיימים, ולהוסיף פיקוח על טכנולוגיות נוספות – בעיקר איסוף ממקורות גלויים (רשתות חברתיות, עיתונות, בלוגים). חוק כזה יכלול גם הסדרים מוסדיים – מי מפקח במשטרה על האיסוף, מתי מותר להשתמש באיזה סוג של טכנולוגיה, מה משמעות הפניה לבתי משפט לבקש צווי מעקב ואיך מפקחים עליהם, כיצד מאבטחים את המידע שנאסף בכל סוג של איסוף ועוד".
שאלה נוספת שנבחנה היא האם יש פיקוח עצמאי וייעודי על מעקב מקוון. בישראל, לא תופתעו לגלות, התשובה היא לא. בבריטניה, משרד נציב סמכויות החקירה (IPCO) מפקח על הפעלת סמכויות חקירה מכוח החוק הן לפני מעשה (באמצעות אישור מעין שיפוטי לצווי סיגינט) והן אחרי מעשה (באמצעות בדיקה וחקירה של עבודת הגורמים החוקרים). בגרמניה, יש פיקוח חלקי בלבד: ועדה מפקח על פעילות סיגינט של שירותי המודיעין והביטחון. על פעילות סיגינטית של רשויות החוק מפקח בית המשפט באמצעות צווים (כלומר, רק פיקוח לפני מעשה).
לבסוף בחנו החוקרים האם עומדת לנעקבים זכות לדעת שהושתלה במכשירם תוכנת ריגול. בישראל התשובה היא, כרגיל, לא. בבריטניה יש זכות מוגבלת שמופעלת רק אם נתגלתה טעות חמורה בהפעלת סמכויות מעקב. בגרמניה, מנגד, הן לפי חוק המשטרה הפדרלית והן לפי קוד סדר הדין הפלילי, קייימת חובה ליידע את הנעקבים על כך שהיו מטרה לאמצעי יירוט תקשורת, כל עוד היידוע לא מסכן את מטרות החקירה, או חיי אדם או חירותו. במקרים יוצאי דופן, ובאישור בית משפט, ניתן לדחות את יידוע הנעקבים עד לשנה לאחר תום החקירה.
לדברי שוורץ אלטשולר, ממצאי הבדיקה מעלים שתי מסקנו חשובות: "ראשית, שאכן נדרשת מסגרת כוללת של התייחסות לעולם הסייבר האיסופי, וזו הגישה שמאמצות מדינות אחרות. שנית, הוא מלמד כבר ממבט ראשון על עומק הפיגור החקיקתי שקיים במדינת ישראל בכל הנוגע למעקבים דיגיטליים ולטכנולוגיה בכלל. בהמשך נראה גם את החקיקה בהולנד ובקנדה, ואחר כך נגיע לאוסטרליה. קנדה ואוטרליה מעניינות משום שהן, כמו ישראל, זקוקות לתאימות מול דיני חקיקת הפרטיות האירופיים".
הסקירה גם מדגימה בעיני נקודה חשובה נוספת: ישראל לא צריכה להמציא את הגלגל. המשטרה אמרה בשבוע האחרון שהיא צריכה כלים כמו פגסוס כדי להלחם בפשיעה חמורה. והיא צודקת בכך. הטעות שלה היתה שהחלה לעשות שימוש בכלים אלו ללא הסמכה מספקת בחוק וניסתה להשחיל אותם דרך חוקים קיימים, חלקם בני כמה עשורים, שלא נועדו למטרה זו. יש פתרון למצב שנוצר, והוא לא קיצוני חדשני או ניסיוני. מדינות אחרות הסדירו בחקיקה ברורה את הכלים שכוחות אכיפת חוק יכולים להשתמש בהן, את הנסיבות ואת הפיקוח שיוטל עליהם, ואת השקיפות כלפי האזרחים שהיו יעד למעקב.
יש דרך לאפשר למשטרת ישראל גישה לכלים מתוחכמים שדרושים להתמודדות עם פשיעה מודרנית, וגם להבטיח שהשימוש בהם לא יפגע בזכויות אזרח ובפרטיות מעבר למידה הנחוצה. לא צריך יצירתיות, דמיון או כושר המצאה כדי לעשות את זה. מספיק קופי/פייסט, וקצת עבודת התאמה שחורה.