חוק בן 43 לא יגן על הטלפון הנייד שלכם

הפרסום הסנסציוני של תומר גנון ב"כלכליסט" בדבר השימוש בתוכנת פגסוס על ידי המשטרה על מנת לפרוץ למכשירי טלפון של אזרחים ישראלים, הוביל דוברים מטעם המשטרה לטעון ששימוש בתוכנות פריצה מתקדמות נעשה בנסיבות ספציפיות (למשל, על מנת לפצח מכשירים המצויים כבר בחזקת המשטרה), בזיקה לחקירה קונקרטית ובאישור משפטי מתאים. כמו במקרים אחרים המערבים טענות בדבר שימוש לרעה בשיטות חקירה חשאיות בכלל ומעקבים מקוונים בפרט, קשה לדעת מה קרה באמת ביחידת הסייבר של המשטרה: מסך החשאיות החוסה על החקירה המודיעינית – אשר נועד על מנת להסוות אותה מהחשוד – מקשה גם על בירור טענות בדבר אי-חוקיותה של החקירה עצמה.
 
עם זאת, ברור מעל לכל ספק שהמסגרת החוקית אשר במסגרתה מתבצעים בישראל מעקבים מקוונים מטעם זרועות הביטחון השונות, אינה מתאימה כלל למציאות הטכנולוגית שבה אנו מצויים, והנה בגדר פרצה הקוראת לגנב. או, במקרה זה, לשוטר.

סמכות המשטרה לבצע מעקבים מקוונים מרחוק מבוססת על שני חוקים מרכזיים: חוק האזנת סתר משנת 1979 (!) וחוק נתוני תקשורת משנת 2007. חוקים אלה מאפשרים לכאורה למשטרה, בנסיבות מיוחדות, להאזין לשיחות המבוצעות על פלטפורמות דיגיטליות (טלפון, מחשב), לעקוב אחר תכתובת בין מכשירים דיגיטליים (כגון דואר אלקטרוני או מסרונים), ולאסוף נתוני תקשורת (מטה-דאטה) שיכולים לכלול נתוני מיקום, פלט שיחות נכנסות ויוצאות, והיסטוריית גלישה ברשת.

חוק האזנת סתר מאפשר גם התקנת מכשירי ציתות וייתכן שהדבר משמש גם להשתלטות מרחוק על מכשירי טלפון סלולריים והפיכתם למכשירי תיעוד שיחות באמצעים אודיו-ויזואליים. ככלל, סמכויות המשטרה לפי שני החוקים מותנות בקבלת צו מבית המשפט, אך בשניהם קיים חריג המאפשר במקרים דחופים איסוף מידע בלי צו ודיווח בדיעבד ליועץ המשפטי לממשלה.

ההסדר החוקי הקיים – שחלק הארי שלו התעצב במציאות טכנולוגית אחרת לגמרי מזו הקיימת כיום - מעניק למדינה כוח עצום לפגוע בפרטיותו של נשוא המעקב, אך מכפיף את הכוח הזה לפיקוח רופף, מראש או בדיעבד. במיוחד בולט המשקל הנמוך שהחוק הישראלי מעניק לשני עקרונות מרכזיים מתחום הגנת הפרטיות בעידן הדיגיטלי. הראשון הוא צמצום מידע וצמידות המטרה, כלומר, דרישה שאיסוף של מידע נחוץ יתבצע באופן ממוקד (ולא יהווה "מסע דיג" נרחב). והשני ששימוש במידע ייעשה אך ורק לצורך התכלית שעבורה הוא נאסף.

לצורך ההשוואה, בית המשפט האירופי לזכויות אדם קבע לפני פחות משנה בתיק שעסק באיסוף מידע נרחב לצורכי ביטחון לאומי, כי משטר המעקבים המקוונים על ידי גופי הביטחון בבריטניה שהיה נהוג בעבר (ושונה בינתיים) הפר את הזכות לפרטיות. וזאת בשל מספר סיבות: הוא לא כלל פיקוח אפקטיבי על תנאי החיפוש במאגרים ממוחשבים (כולל פיקוח על מילות החיפוש או על שדות החיפוש), לא בחן באופן יעיל אם החיפוש מפר חסיונות (כמו תכתובת עם עיתונאים), ולא העניק סעד למי שפרטיותו הופרה בצורה לא חוקית.

 

החוק הישראלי אינו כולל דרישה ברורה לעמידה בתנאים כאלה ביחס למעקבים המבוצעים על בסיס צו שיפוטי לפי חוק האזנות סתר, לא כל שכן ביחס למעקבים דחופים או למעקבים שמבצעות של רשויות ביטחוניות אחרות.

יתר על כן, הפרקטיקה הנהוגה בישראל, של הפעלת פיקוח מראש על ידי שופטים מכהנים או פיקוח בדיעבד על ידי היועץ המשפטי לממשלה, לא מספקת ערובה טובה מספיק נגד ניצול לרעה של הסמכויות שהחוק הקנה לזרועות הביטחון השונות. התפתחות כלים טכנולוגיים חדשים למעקב מקוון מצדיקה גם התפתחות של כלים חדשים לפיקוח על אופן הפעלתם, אשר ישלבו מומחיות טכנולוגית וידע על שיטות החקירה של זרועות הביטחון, עם הבנה משפטית עמוקה של אתגרי הפרטיות בעידן הדיגיטלי.

על רקע זה ממש הוקמה בבריטניה ב-2016 נציבות עצמאית לסמכויות חקירה שמפקחת על מעקבים מקוונים המבוצעים על ידי המשטרה וסוכנויות ביטחוניות אחרות. בנציבות מכהנים שופטים בדימוס, יועצים משפטיים, חוקרי משטרה ומודיעין לשעבר וכן מומחים לטכנולוגיה, והיא מפעילה גם סמכויות של פיקוח בזמן אמת וגם סמכויות של חקירה בדיעבד של אופן פעולתן של רשויות הביטחון בתחום האיסוף והשימוש במידע דיגיטלי.

טוב תעשנה הכנסת והממשלה אם בתגובה לפרסום ב"כלכליסט" הן יקדמו רפורמה של ממש בדיני המעקבים המקוונים של מדינת ישראל, אשר תכלול הסדרה מפורשת בחוק המתאימה למציאות הטכנולוגית של הסמכות לאסוף ולעבד מידע דיגיטלי באמצעות מעקב מקוון, תחיל עקרונות בסיסיים של דיני הפרטיות, לרבות הגבלות ממשיות על אופן הפעלת הסמכות, והעיקר - תיצור גוף פיקוח חדש, עצמאי ואפקטיבי, אשר יבטיח הגנה בזמן אמת על הזכות לפרטיות של תושבי ישראל, וזאת לצד מנגנוני הפיקוח הקיימים המספקים הגנה חלקית ומוגבלת מפני האתגרים שהעידן הדיגיטלי מציב בפנינו.

 

 
* פוסט זה פורסם במקור ב-YNET, ראו כאן