May 2018

Cybersecurity's Taxonomy Problems: The Do's and Don'ts of Conflation

By: Cedric Sabbah.

Read More
In the post-Snowden era, much of the domestic and international debate on cybersecurity law and policy has become entangled with related questions of privacy, law enforcement and cybercrime, cyber warfare, and surveillance. This interweaving of concepts can often confuse and sometimes misinform the important conversations taking place domestically and internationally on each of these topics. In this post, I would like to briefly unpack some of these concepts and explore how their proper framing is crucial for robust policy and law discussions between government, academia, and other stakeholders.

Let’s Talk Taxonomy

Very broadly, we can distinguish between cybersecurity, cybercrime, and cyber defense.

Cybersecurity, at a basic level, is about securing networks and computers (see here and here for more expansive definitions). Government policy development and deployment for cybersecurity usually involves regulatory incentives and deterrents motivating organizations –particularly other government departments and critical structure organizations – to improve their respective defensive posture, cyber awareness, cooperation between the private and public sectors to enable quick recovery after a cyber incident (including information sharing), and damage mitigation in real-time. Israel’s government resolutions 36112443 and 2444 establishing a sole-purpose cybersecurity agency, its Cyber Defense Methodology for Organizations, the NTIA’s NIST Framework, and the EU’s NIS Directive are examples of government-level policy/law in the field of cybersecurity.

Cybercrime refers to acts committed by individuals and organized criminal or terrorist groups through or against computers (e.g. hacking into a computer/network without authorization, tampering with data, and distributing child pornography through the internet). This field also raises questions of digital forensics. The main applicable legal framework is domestic criminal law. Current salient issues in this field include law enforcement authorities’ access to data stored in other countries, the “going dark” problem, and the role of internet platforms in monitoring and removing content inciting terrorism or contains child pornography. Internationally, the Council of Europe’s Cybercrime Convention (the “Budapest Convention”), comprising 56 members, reflects the baseline understanding of state parties as to what constitutes a “cyber crime” and provides a mechanism for cross-border cooperation.

Cyber defense refers to a state’s response to actual and potential cyber attacks emanating from other states and non-state actors. The national cyber defense mission is generally the responsibility of a state’s armed forces and national defense organizations. In international law, the law of armed conflict and the law of state responsibility are relevant legal frameworks.

Unfortunately, as will be seen below, these concepts are often conflated with one another, resulting in lack of clarity as to how a particular issue is construed and analyzed. This in turn affects discussions on the policy to be pursued, the government body in charge of its implementation, and the applicable legal framework(s).

The Pitfalls of Conflation – Three Examples

Cybersecurity vs privacy: The regulation of and response to data breaches often call into play the application of cybersecurity and privacy regimes. Both regimes share the overarching policy goal of “protecting information,” but they have a different focus: privacy regulation is about data concerning individuals, whereas cybersecurity is concerned with security as a whole, including securing systems and data that may be entirely unrelated to individuals’ private records. Thus, a large-scale cyber incident would typically trigger action on the part of the relevant cybersecurity authority, but if no breach of personal data was involved, it would likely be irrelevant from a privacy perspective (conversely, not all privacy breaches are necessarily cybersecurity incidents – e.g. Cambridge Analytica, based on what we know so far.) For the cybersecurity authority, what matters most is not the breach of privacy per se, but the attack and its consequences: forensic analysis, patching, mitigation, etc. By focusing exclusively on the privacy aspect of data breaches, the broader cybersecurity picture may be obscured. This also poses a challenge for governments, which must properly define the respective mandates of cybersecurity and privacy regulators and ensure that these mandates are interoperable and not overly duplicative.

recent blog post endeavored to compare the privacy-security trade-offs embodied in the EU’s new privacy protection regulation, the GDPR, with those of China’s new Cybersecurity Law. In my view, the premise behind such a comparison is questionable: in the GDPR, privacy is the starting point, the rule from which national security exceptions can be carved out. By contrast, China’s Cybersecurity Law is at its core national security legislation, with only a passing reference to privacy. These two legislative texts operate in very different spheres and emanate from very different perspectives of what the privacy-security balance should look like. Given these widely diverging starting points, it is doubtful whether meaningful comparisons can be made between the two can be made that can help policy-makers strike an appropriate balance.

“Cyber operations”: The recently published Tallinn Manual 2.0 on the Law of Cyber Operations addresses, from an academic perspective, how international law might apply to “cyber operations” above and below the “use of force” threshold. Setting aside the criticism that the Manual has received on certain substantive issues (for example, on matters of sovereignty, countermeasures and due diligence, as well on extraterritorial law enforcement jurisdiction), I would note here that it takes a very amorphous view of “cyber operations,” blurring traditional distinctions between cybersecurity, cybercrime, and cyber defense.[1] Indeed, in the part of the Manual dealing with the law of armed conflict, the term “cyber operation” is typically used to refer to cyber operations of a military nature; however, the part dealing with international law in peacetime uses the term much more broadly to refer to almost any kind of use of information and communications technology, including uses having little to do with military operations (for example government measures to block internet access to its own population, legislative restrictions on freedom of speech,[2] and law enforcement on the cloud).[3] This approach undermines traditional distinctions between different branches of law and suggests a false parallel between the military, civilian, and law enforcement activities of the government. Ultimately, such blurring of lines hinders rather than enhances robust legal debates.

Surveillance: A recent “draft legal instrument on government-led surveillance and privacy,” published by the UN Rapporteur on Privacy attempts to provide a single set of common standards applicable for the surveillance of nationals and foreigners for domestic law enforcement purposes and national security purposes. The draft briefly concedes the difference between these activities, yet it does not address the full breadth of these differences. Surveillance for law enforcement and intelligence purposes are each governed by distinct rules domestically and internationally, while oversight mechanisms are aimed at different goals. The legal thresholds for authorizing surveillance, the scope of authorized surveillance, and the effect on privacy, vary greatly between the two. Furthermore, espionage is not prohibited under international law (though an individual caught spying against a country may be indicted and tried under the domestic law of that country). In order to truly advance the discussion on surveillance and privacy, these distinctions must be acknowledged and addressed more fully. The above problem is not unique to cyber, and relates to the broader issue of the “fragmentation” of international law. Here, the human rights law perspective should be complemented and informed by other disciplines such as national security and cybersecurity technology and law in order to yield richer policy recommendations that can be implemented in practice.

The Good Kind of Conflation

Of course, the cyber domain cannot be neatly confined to, or analyzed through the prism of, any single legal framework. Some cross-fertilization of concepts is inevitable and indeed relevant, as many of the issues are in fact intertwined. The following are a few examples:

  • The debate on “active defense” in the private sector stems from a cybersecurity issue (the call to afford some measure of flexibility to companies in order to enable them to respond to cybersecurity incidents when government’s ability to intervene in real-time is limited). At the same time, the policy discussion on active defense requires an understanding of the cybercrime context (e.g. law and jurisprudence on what constitutes unlawful access to a computer), as well as international law and international relations implications. This is not a case of accidental conflation, but rather a multidisciplinary approach to a unique problem.
  • The US Department of Justice has increasingly been indicting foreign hackers as part of a broader cybersecurity strategy (for example, Chinese hackers affiliated with the PLA and Iranian hackers affiliated with the Revolutionary Guard). This approach shows how cybercrime enforcement intersects with and complements cybersecurity goals, contributing to a state’s deterrence tools against would-be hackers (see John Carlin’s comprehensive article on this subject).
  • DHS actions to curb the use of Kaspersky products within the federal government serve a similar dual goal: cybersecurity (limiting the use of software with security flaws within government agencies and departments) and defense against suspected Russian espionage.
  • Another interesting case was raised by Russia’s alleged interference with the US elections. In a recent thought-provoking post on the Lawfare blog, renowned technology and policy Professor Susan Landau argues for expanding our traditional definition of cybersecurity to include “influence operations” of the type used in the 2017 US elections (see here Herb Lin and Paul Rosenzweig’s response to the proposal). I do not take a position as to whether or not this is desirable from a policy perspective. The point here is to note that the conflation between cybersecurity on the logical layer and broader notions of “information security” on the content/social layer is deliberate in this case, and stems from clearly-defined policy goals.

Where Do We Go from here?

The cyber domain is unique precisely because it enables so many types of activities and interactions, on so many levels, among such diverse actors. Given the current pace of events and technical developments, numerous challenges face policy-makers, private companies, the technical community, and academics in the fields of cybersecurity, cybercrime, and so forth. In order to address these challenges, stakeholders must avoid the trap of generalizations, appreciate the applicable legal frameworks and constructs, and be mindful of nuances. Insisting on these nuances isn’t just an exercise in taxonomy for its own sake. It is a threshold condition for coherent and sophisticated cybersecurity law and policy development.

 

* This blog post is written in my personal capacity. It does not necessarily reflect the views of Israel’s Ministry of Justice or the Israeli government.

[1] The Tallinn Manual 2.0 defines “cyber operation” as “the employment of cyber capabilities to achieve objectives in or through cyberspace. In this Manual, the term is generally used in an operational context.”

[2] Tallinn Manual 2.0, Chap.6.

[3] Tallinn Manual 2.0, Chap.3.

Read Less

Two-Track Law Enforcement in the Online Domain

ByHaim Wismonsky.

Read More
In a precedent-setting move, Tel Aviv District Court granted eight decisions in April blocking or removing websites advertising prostitution services.[1] All the cases involved websites in Hebrew intended for an Israeli target audience and explicitly offering prostitution services. The publication of prostitution services is prohibited in accordance with the Israeli penal code: section 205C prohibits the publication of prostitution services of adults, while section 205A prohibits the publication or delivery of information concerning prostitution services of minors. Both offenses were first added to the penal code in 1998. Despite this, until the above-mentioned groundbreaking step, online prostitution services flourished and to a large extent the prostitution market shifted to the internet. It hardly seems necessary to explain in depth the gravity of the phenomenon of prostitution. Today the Israeli legislator is attacking all circles of prostitution, with the exception of engagement in prostitution itself and the consumption of prostitution services by adults.[2] As noted, those who publish prostitution services are also criminalized among the various circles of prostitution. The damage inherent in the publication of prostitution services is two-fold:[3] Firstly, such publication increases demand for prostitution services; secondly, it provides precise information about the addresses of brothels or about places and persons offering prostitution services. The fact that prostitution services were offered to anyone interested on the open web (rather than on the Darknet), in a format that could readily be located using a search engine by entering such search words as “escort girls,” “paid sex services,” and so forth, clearly proved that the provisions prohibiting the publication of prostitution services are not in practice being enforced in a satisfactory manner.[4]

The game changer in this context is the Powers to Prevent the Committing of Offenses by Means of a Website Law, 5777-2017, which came into effect in September 2017 (hereinafter: “The Powers Law”). The law relates to websites that include prohibited activities of five types: Indecent publication including the image of a minor; trade in dangerous drugs; the organization of gambling and prohibited games; publication of prostitution services; and publications of a terror organization. The law authorizes an empowered judge of the district court to order one of the three following reliefs: Restriction of access to websites including a prohibited activity of the above-mentioned types;[5] filtering of the above-mentioned websites from the search results in a search engine; and removal of the website from the host server, insofar as the server is stored in Israel.

The prosecutors in the Cyber Department of the State Attorney’s Office were authorized by the Attorney General to submit requests in accordance with the new law. In March 2018, 10 initial applications were submitted to the District Court in Tel Aviv. All the applications involved websites advertising prostitution services. As mentioned above, to date eight rulings have been given out of these 10 applications. In all these decisions, the state’s application to remove or block access to the website has been accepted, without time limitation (pending another decision).

Alongside this law, the Knesset Constitution, Law, and Justice Committee is currently discussing a government bill called the Removal of Content Constituting an Offense from the Internet Web Bill, 5776-2016.[6] According to the bill, an empowered judge at the district court will be able to order the removal of content constituting an offense and endangering state security, public security, or the security of an individual. This bill, which has become known as the “Facebook Bill,” is broader than the Powers Bill, since it addresses all types of prohibited content, whereas the Powers Law relates solely to five types, as detailed above. Conversely, the bill is narrower than the Powers Bill in the sense that, in addition to the prima facie presence of a criminal offense, the power of removal will apply only if the court is convinced that the content endangers state security, public security, or the security of an individual, whereas the Powers Law does not include a requirement of dangerousness of this type.

These two legislative initiatives reflect a perceptional change concerning law enforcement in the online domain and seek to augment the classic perception of criminal law enforcement. According to the classic perception, criminal law enforcement is effected by locating the perpetrator of the offense, collecting sufficient evidence against him, interrogating and prosecuting him, and so forth. According to the new perception, which I will term the “alternative enforcement” approach, the focus is on the act, rather than the perpetrator; on the offense, and not necessarily on the offender. The shift to the alternative enforcement approach is due to the legal, architectural, and technological characteristics of the online domain. This domain is decentralized, international, permits any user to become a speaker without charge and rapidly, facilitates anonymity, and is mediated by service providers.[7] These and other characteristics of the online domain make it particularly attractive to those who commit offenses by means of “publication,” enabling them to reach a wide audience without direct physical contact, and at minimal risk of being apprehended.

Put simply, the purpose of the alternative enforcement operations is to halt the ongoing committal of the offense, even if no perpetrator has been arrested and interrogated. Can restricting access, filtering search results, and removing a website from its host server (if that server is located in Israel) actually be efficient in preventing the ongoing committal of the offense? The question of the efficiency of the alternative enforcement means was discussed by the Knesset Constitution, Law, and Justice Committee during its consideration of the Powers Law. The issue also arose during the court hearings regarding the first applications submitted under the terms of the Powers Law. I shall discuss this aspect in more detail.

Critics of the alternative enforcement perception regarding cybercrimes raise two arguments, among others: Firstly, restricting access to particular content – for example by filtering it out of search results or by blocking access from a specific country – does not prevent users accessing the address by proxy, using a mediating agent. Secondly, the owner of the blocked site may rapidly establish a new domain in its place, thereby quickly regaining connectivity.

Regarding the first argument, there is no doubt that surfing by proxy permits the circumvention of access blocking based on an order granted to internet access suppliers in Israel.[8] However, this does not negate the justification of using these means in order to confront criminal offenses committed by means of “publication.” The reason is that a substantial portion of offenses of expression were intended for publication to a random audience, or one with a limited level of interest. In offenses committed by means of publication from an individual to the masses, such as the forwarding of an advertisement for prostitution services, and as in other offenses – including incitement to violence, incitement to racism, praising terror acts, degrading sexual publications,[9] and so forth – the goal is to reach as wide and non-specific a target audience as possible that is liable to be influenced by the publication. For such a target audience, blocking access or filtering search results will certainly secure the relatively effective outcome of reducing exposure to the prohibited content. The reason for this is that at least part of that target audience will not feel a particular need to search for the specific content by circumventing the technological mechanisms. Conversely, in the case of two persons involved in a criminal exchange, such as two persons jointly planning by means of internet communication to commit a specific criminal act – the communication is between individuals, between two persons interested in communicating with each other exclusively, and who will therefore be able to overcome technologically inefficient blocking mechanisms.

Turning to the second argument: it is indeed true that as long as the director or owner of the website containing prohibited activity has not been arrested, they may ostensibly reestablish the site under another name. However, the reestablishment of the website – even if it is simple in technical terms – requires the regaining of the clientele and recouping status in the relevant market, including the trust of potential customers that the proposed criminal serve is “high-quality” and “reliable.” Since the name of the game is the level of exposure of the website, the process of gaining customers is the most important aspect for the website director or owner. Moreover, when the relief is the removal of content (if the site is hosted on an Israeli server), rather than restriction of access, the information uploaded to the website is liable to be deleted, or access is liable to be denied to the website operators. Thus reloading the website content is also liable to prove problematic.

***

In conclusion, the Powers Law enables the law enforcement authorities to apply a new tool for coping directly with prohibited content and publications in the online domain. This tool creates an alternative enforcement track, alongside classic criminal enforcement, reflecting the understanding that the legal, technological, and architectural characteristics of the online domain require an effort to halt the ongoing offense, separately from the question of the possibility to locate, question or prosecute the perpetrator of the offense. Action to prevent the ongoing committal of an offense is not unique to the online domain, and may also certainly be appropriate in the physical domain, since one of the functions of the Israel Police is not only to investigate crime, but also to prevent it.[10] By way of example, the Restriction of the Use of a Place to Prevent the Committal of an Offense Law, 5765-2005 grants powers to close a physical place containing criminal activity of various types, including offenses in the fields of prostitution, drugs, copyright law, trading in content violating copyright, and so forth. However, in the physical domain there is usually an overlap between the criminal investigation and the action to prevent the ongoing committal of the offense. In the online domain, by contrast, it is certainly possible that the action to halt the ongoing committal of the offense will be undertaken even if the prima facie perpetrator has not been located and questioned.

The alternative enforcement actions (blocking access, filtering search results, and removing content when the server is located in Israel) are intended to create disruption in the committal of the offense, thereby impeding its perpetration. Impeding the process of committing and realizing an offense removes the attractiveness of the offense and effectively, in economic terms, increases its cost and thereby renders it less appealing to the perpetrator. The argument that the disruption is not hermetic and the impeding is not total should not lead us to the conclusion that this approach is not to be employed. As with any law enforcement method, there is no magic solution and no single move that can completely eradicate an undesirable phenomenon. Law enforcement is an arduous and ongoing process that entails many achievements (and, perhaps, failures) along the way. Nevertheless, it is valuable to continue actions in the legal sphere to disrupt the circulation of illegal publications in the online domain, provided that such actions are undertaken in a balanced manner, while avoiding over-generalization liable to cause disproportionate damage to the freedom of expression of website directors and the freedom of use of internet surfers. Needless to say, the actions in the alternative sphere do not negate actions in the class criminal enforcement sphere. Both tracks may be employed simultaneously, since they serve different goals: the former focuses on the offense, while the latter focuses on the prima facie offender. Together, the two tracks seek to reduce the attractiveness of the offense – but each one concentrates on a different variable in the equation.

 

[1] See EP 55175-03-18 (TA Dist.) State of Israel v MILENA Internet (19 Mar. 2018); EP 55340-03-18 (TA Dist.) State of Israel v Libuy Internet (29 Mar. 2018); EP 55312-03-18 (TA Dist.) State of Israel v Special License (29 Mar. 2018); EP 55226-03-18 (TA Dist.) State of Israel v Companies with a License to Grant Internet Access Services (2 Apr. 2018); EP 55308-03-18 (TA Dist.) State of Israel v Operators of the Website www.escortinisrael.com (2 Apr. 2018); EP 55344-03-18 (TA Dist.) State of Israel v Companies with a Special License (26 Apr. 2018); EP 55369-03-18 (TA Dist.) State of Israel v Companies with a Special License (26 Apr. 2018).

[2] The consumption of the prostitution services of a minor is currently prohibited in accordance with section 203A of the penal code. Regarding the criminalization of the consumption of the prostitution services of adults, see: Criminalization of Clients of Prostitution and Supplementary Income for the Victims of Prostitution Bill, 5777-2017, Knesset Law Proposals P/20/4078. For detailed discussion of the issue, see the Palmor Report: Ministry of Justice Report of the Interministerial Committee to Examine Tools for Reducing the Consumption of Prostitution (26 Apr. 2018).

[3] CA 10545/04 State of Israel v Aldenko, p. 28 of the ruling of Justice Rubinstein (published in Nevo, 6 Feb. 2006).

[4] In this context, see the discussion in the Knesset Committee for the Advancement of the Status of Women and Gender Equality: Protocol of Meeting No. 10 of the Committee for the Advancement of the Status of Women an Gender Equality, 20th Knesset (13 Dec. 2016).

[5] Restriction of access may be effected in various ways; the two most prominent means are blockage by the IP address of the website and blockage on the DNS level of the site domain. As a general rule, blockage on the DNS level is narrower than blockage by the IP address, insofar as it may relate to a specific URL of a page or to an “area” within the website, so that on occasions, in appropriate circumstances, it is sometimes possible to tailor a more precise blockage of specific areas within the website embodying the prohibited activity. For further discussion, including details of additional blockage methods, see: Steven J. Murdoch & Ross Anderson, Tools and Technology of Internet Filtering, in Access Denied: The Practice and Policy of Global Internet Filtering 57, 59-63 (Ronald Deibert, John .Palfrey, Rafal Rohozinski & Jonathan Zittrain eds., 2008).

[6] Removal of Content Constituting an Offense from the Internet Web Bill, 5776-2016, PL 742.

[7] See Haim Wismonsky Criminal Investigation in the Cyber Domain 51063 (2015) (in Hebrew); see also Haim Wismonsky :”Alternative Enforcement on Expression Offenses in the Online Domain” Just Trial? The Criminal Proceeding in Israel – Defects and Challenges (in the Law, Society, and Culture series) 691, 696-709 (ed. Alon Harel, 2018) (in Hebrew).

[8] An order regarding the blocking of access was forwarded to internet access providers. The providers were required to block a request to access a specific IP address stated in the order. When an internet user from Israel serfs to a particularly proxy server, and from then surfs on to the blocked site, then from the perspective of the internet access provider, the surfing was to a permitted IP address (of the proxy server).

[9] The reference here is to an offense in accordance with section 3(A)(5A) of the Prevention of Sexual Harassment Law, 5758-1998, which was added as part of Amendment No. 10 to the Prevention of Sexual Harassment Act in January 2014. The section became known as the “video clip law” and prohibits the publication of a photograph, film, or recording of a person focusing on their sexuality, in circumstances in which the publication is liable to humiliate or degrade the person, and when they have not given their consent to the publication.        

[10] See section 3 of the Police Ordinance [Revised], 5731-1971.

 

אכיפת חוק דו-מסלולית במרחב המקוון

חיים ויסמונסקי[1]

במהלך חודש אפריל, בצעד תקדימי, ניתנו 8 החלטות של ארבעה שופטים שונים בבית-המשפט המחוזי בתל-אביב לחסימה או הסרה של אתרי אינטרנט המפרסמים שירותי זנות.[2] בכל המקרים, מדובר היה באתרי אינטרנט בעברית, שפנו לקהל יעד ישראלי, והציעו באופן מפורש שירותי זנות. תופעת פרסום שירותי הזנות אסורה בחוק העונשין הישראלי: סעיף 205ג אוסר על פרסום שירותי זנות של בגירים ואילו סעיף 205א אוסר על פרסום או מסירת מידע בדבר שירותי זנות של קטינים. שתי העברות הוספו לראשונה לחוק העונשין עוד בשנת 1998. חרף זאת, עד לצעד התקדימי האמור, פרחו שירותי הזנות המקוונים, ולמעשה במידה רבה שוק הזנות עבר לאינטרנט. דומה כי אין צורך להכביר מלים על חומרתה של תופעת הזנות. נכון להיום המחוקק הישראלי תוקף את כל מעגלי הזנות, פרט להפללת העיסוק בזנות עצמו וצריכת שירותי הזנות של בגירים.[3] בין מעגלי הזנות, מופללים כאמור גם המפרסמים של שירותי הזנות. הפגיעה המגולמת בפרסום שירותי זנות היא כפולה:[4] האחת, הגברת הביקוש לשירותי הזנות, והשנייה מתן מידע מדויק על כתובתם של בתי הבושת או המקומות והאנשים המציעים את שירותי הזנות. העובדה ששירותי זנות הוצעו לכל דורש ברשת הגלויה (לא בדארק-נט), באופן הניתן לאיתור בנקל באמצעות מנוע החיפוש תחת מלות חיפוש כ"נערות ליווי", "שירותי מין בתשלום" או כדומה – הוכיחה במובהק כי ההוראות האוסרות על פרסום שירותי זנות – אינן נאכפות בפועל באופן מניח את הדעת. [5]

ה-Game changer בהקשר זה הוא חוק סמכויות לשם מניעת ביצוע עברות באמצעות אתר אינטרנט, התשע"ז – 2017, שנכנס לתוקף בספטמבר 2017 (להלן: "חוק הסמכויות"). החוק מתייחס לאתרי אינטרנט הכוללים פעילות אסורה מחמישה סוגים: פרסום תועבה ובו דמותו של קטין, מסחר בסמים מסוכנים, ארגון הימורים ומשחקים אסורים, פרסום שירותי זנות וכן פרסומים של ארגון טרור. החוק מעניק לשופט מוסמך של בית-המשפט המחוזי את הסמכות להורות על אחד משלושת הסעדים הבאים: הגבלת גישה לאתרי אינטרנט הכוללים פעילות אסורה מן הסוגים הנ"ל;[6] סינון אתרי האינטרנט הנ"ל מתוצאות החיפוש במנוע החיפוש; והסרת האתר משרת האירוח, ככל שהאתר מאוחסן בישראל.

תובעי מחלקת הסייבר בפרקליטות המדינה הוסמכו בידי היועץ המשפטי להגיש בקשות לפי החוק החדש. במהלך חודש מרץ 2018 הוגשו 10 בקשות ראשונות לבית-המשפט המחוזי בתל-אביב. כל הבקשות עסקו באתרי אינטרנט המפרסמים שירותי זנות, ועד כה ניתנו, כאמור, החלטות ב-8 מתוך 10 הבקשות, כאשר בכל ההחלטות התקבלה בקשת המדינה להסרת האתר או לחסימת גישה אליו, ללא הגבלת זמן (עד החלטה אחרת).

לצד חוק זה, נדונה בימים אלה בוועדת חוקה, חוק ומשפט של הכנסת הצעת חוק ממשלתית הנקראת הצעת חוק הסרת תוכן המהווה עברה מרשת האינטרנט, התשע"ו – 2016.[7]על פי ההצעה, שופט מוסמך של בית-המשפט המחוזי יוכל להורות על הסרת תוכן העולה כדי מעשה עברה והמסכן את ביטחון המדינה, ביטחון הציבור או ביטחונו של אדם. הצעה זו, שזכתה לכינוי "חוק הפייסבוק", רחבה יותר מחוק הסמכויות במובן זה שהיא נוגעת לכל סוגי התכנים האסורים, בעוד שהצעת חוק הסמכויות נוגעת לחמישה סוגים בלבד כמפורט לעיל. לעומת זאת, ההצעה צרה יותר מחוק הסמכויות במובן זה שמעבר לקיומה-לכאורה של עברה פלילית, סמכות ההסרה תקום רק כאשר בית-המשפט ישתכנע כי התכנים מסכנים את ביטחון המדינה, ביטחון הציבור או ביטחונו של אדם, בעוד שחוק הסמכויות אינו כולל דרישת מסוכנות מעין זו. 

שני מהלכי חקיקה אלה מבטאים שינוי תפישה בנוגע לאכיפת החוק במרחב המקוון. הם מבקשים להוסיף על התפישה הקלאסית של אכיפת החוק הפלילי. על פי התפישה הקלאסית, אכיפת החוק הפלילי מתבצעת על דרך של איתור מבצע העברה, איסוף ראיות מספיקות נגדו, חקירתו, העמדתו לדין וכו'. על פי התפישה החדשה, אותה אכנה תפישת ה"אכיפה האלטרנטיבית", יש להתמקד במעשה, ולא בעושה; בעברה, ולאו דווקא בעבריין. המעבר לתפישת אכיפה אלטרנטיבית נובע ממאפייניו המשפטיים-ארכיטקטוניים-טכנולוגיים של המרחב המקוון. המרחב המקוון מבוזר, בין-לאומי, מאפשר לכל משתמש להיות דובר בחינם ובמהירות, מאפשר אנונימיות, מתוּוך באמצעות ספקיות שירות.[8] תכונות אלה ואחרות של המרחב המקוון הופכות אותו למזמין במיוחד למבצעי עברות על דרך של "פרסום", שבאפשרותם להגיע לקהל יעד רחב, ללא מגע פיזי ישיר, תוך סיכון מינימלי להיתפס.

תכליתן של פעולות האכיפה האלטרנטיבית היא, בפשטות, להפסיק את המשך ביצוע העברה, אף אם לא נעצר מבצע העברה ונחקר. האם אכן יהיה בפעולות של הגבלת גישה, סינון תוצאות חיפוש והסרה של אתר אינטרנט משרת האירוח שלו (כאשר השרת בישראל), כדי להצליח אפקטיבית למנוע את המשך ביצוע העברה? סוגיית היעילות של מהלכי האכיפה האלטרנטיביים נדונה הן בוועדת חוקה, חוק ומשפט של הכנסת, במהלך הדיונים על חוק הסמכויות, וכן עלתה במהלך הדיונים בבתי-המשפט סביב הבקשות הראשונות שהוגשו מכוח חוק הסמכויות. אפרט על הסוגייה.

מבקרי התפישה של אכיפה אלטרנטיבית כלפי עברות במרחב הסייבר טוענים בין השאר שתי טענות: האחת, הגבלת גישה אל תוכן מסוים – למשל על ידי סינונו מתוצאות החיפוש או על ידי חסימת הגישה אליו ממדינה מסוימת – אינה מונעת הגעה אל הכתובת בדרך של גלישה by proxy, קרי: באמצעות גורם מתווך. השנייה, הבעלים של אתר האינטרנט הנחסם, יוכל במהרה להקימו תחת שם מתחם חדש, ובכך להשיב עד מהרה את הקישור אליו.

אשר לטענה הראשונה, אין ספק שגלישה by proxy מאפשרת לעקוף מנגנון של חסימת גישה המבוסס על הוראה הניתנת לספקיות הגישה לאינטרנט בישראל.[9] אולם, אין בעובדה זו כדי לשלול את ההצדקה בדבר השימוש באמצעים אלה לצורך התמודדות עם עברות פליליות הנעברות על דרך של "פרסום". זאת מן הטעם שחלק ניכר מעברות הביטוי נועדו לפרסום ברבים, לקהל מזדמן או מעוניין ברמה מוגבלת. בעברות שנעברות על דרך של פרסום מיחיד-אל-רבים, כדוגמת העברה של פרסום שירותי זנות, כמו גם עברות נוספות – כהסתה לאלימות, הסתה לגזענות, שבח למעשי טרור, פרסומים מיניים מבזים[10] ועוד - המטרה היא להגיע לקהל יעד רחב ככל האפשר, בלתי-מסוים, היכול להיות מושפע מהתכנים. ההתקשרות בין הצרכנים לבין המפרסם אינה ישירה אלא מתוּוכת באמצעות הפרסום. עבור קהל יעד כזה, חסימת הגישה או סינון תוצאות החיפוש בהחלט ישיגו תוצאה אפקטיבית יחסית של צמצום החשיפה אל התכנים האסורים. זאת, משום שלפחות חלק מאותו קהל היעד לא יחוש צורך מיוחד לתור אחר התכנים המסוימים בדרך של עקיפת המנגנונים הטכנולוגיים. לעומת זאת, במקרה של שני מעורבים בעסקת העברה, למשל שני אנשים המתכננים יחד, באמצעות התקשרות אינטרנטית, להוציא לפועל עברה פלילית מסוימת – מדובר בהתקשרות מסוג יחיד-אל-יחיד, בין שני אנשים המעוניינים לתקשר זה עם זה באופן בלעדי, ועל כן יוכלו לעקוף מנגנונים של חסימה שאינם יעילים טכנולוגית.

אשר לטענה השנייה, אומנם נכון שכל עוד לא נעצר המנהל או הבעלים של אתר האינטרנט הכולל פעילות אסורה, הרי לכאורה הוא יכול להקים את האתר תחת שם אחר. אולם, ההקמה מחדש של אתר האינטרנט – גם אם מבחינה טכנית היא פשוטה – מחייבת השגה מחדש של קהל הלקוחות, והשגת מעמד מחודש בשוק המדובר, כולל אמון של הלקוחות הפוטנציאליים כי השירות העברייני המוצע הוא "איכותי" ו"מהימן". כיוון ש"שם המשחק" הוא מידת החשיפה שיש לאתר האינטרנט, הרי שתהליך השגת הלקוחות הוא העניין המשמעותי ביותר עבור המנהל או הבעלים של האתר. יתרה מכך, כאשר הסעד הוא הסרת התוכן (אם האתר מתארח בשרת בישראל), ולא הגבלת גישה אליו, הרי שהמידע שהועלה לאתר עלול אף הוא להימחק או שהגישה אליו, על ידי מפעילי האתר, עלולה להימנע, ומכאן שגם העלאה מחדש של תכנים לאתר האינטרנט המחודש עלולה להיות בעייתית.

* * *

לסיכום, חוק הסמכויות מאפשר לרשויות אכיפת החוק להפעיל כלי חדש להתמודדות ישירה עם תכנים ופרסומים אסורים במרחב המקוון. כלי זה מייצר מסלול אכיפה אלטרנטיבי, לצד האכיפה הפלילית הקלאסית, מתוך הבנה שמאפייניו המשפטיים-טכנולוגיים-ארכיטקטוניים של המרחב המקוון מחייבים לנסות להפסיק את המשך ביצוע העברה, במנותק משאלת האפשרות לאתר, לחקור או להעמיד לדין את מבצע העברה. פעולה להפסקת המשך ביצוע העברה אינה ייחודית למרחב המקוון, ויש לה בהחלט מקום גם במרחב הפיזי, שהרי מתפקידיה של משטרת-ישראל לא רק לחקור עברות אלא גם למנוע אותן.[11] כך, למשל, חוק הגבלת שימוש במקום לשם מניעת ביצוע עברות, התשס"ה – 2005, מעניק סמכויות לסגירת מקום פיזי הכולל פעילות עבריינית מסוגים שונים, ובהם עברות מתחום הזנות, עברות סמים, זכויות יוצרים, מסחר בתוכן המפר זכויות יוצרים ועוד. אולם, במרחב הפיזי קיימת בדרך כלל חפיפה בין החקירה הפלילית לבין הפעולה להפסקת המשך ביצוע העברה, ואילו במרחב המקוון ייתכן בהחלט שהפעולה להפסקת המשך ביצוע העברה תתבצע אף אם מבצע העברה לכאורה לא אותר ולא נחקר.

מהלכי האכיפה האלטרנטיבית (חסימת גישה, סינון תוצאות חיפוש והסרת תוכן כאשר השרת מצוי בישראל) נועדו ליצור מכשלה (Disruption) בתהליך ביצוע העברה, באופן שיכביד על ביצועה. הכבדה על תהליך ביצוע העברה ומימושה מעקרת את האטרקטיביות של העברה ולמעשה, במונחים כלכליים, מייקרת את ביצועה ובכך הופכת אותה לפחות אטרקטיבית עבורה מבצעהּ. הטענה שהמכשלה אינה הרמטית וההכבדה אינה מושלמת – לא צריכה להוביל כלל למסקנה כי אין להשתמש בה. כמו כל מהלך לאכיפת חוק – אין פיתרונות "קסם", ואין מהלך אחד שמצליח למגר תופעה פסולה באופן מוחלט. אכיפת חוק היא תהליך מאומץ, מתמשך, רצוף הישגים (ואולי גם כישלונות) במהלך הדרך. חרף זאת, יש ערך רב בהמשך הפעילות במישור המשפטי להכשלת התפוצה של פרסומים בלתי-חוקיים במרחב המקוון, ובלבד שהפעילות תתבצע באופן מאוזן, תוך הימנעות מהכללת יתר שתפגע באופן בלתי-מידתי בחופש הביטוי של מנהלי האתרים ובחופש השימוש של "גולשי" האינטרנט. מובן כי הפעילות במישור האלטרנטיבי אינה סותרת פעילות במישור האכיפה הפלילית הקלאסית, ושני המסלולים יכולים להתנהל במקביל, שכן הם משרתים מטרות אחרות: האחד ממוקד בעברה, והשני ממוקד בעבריין-לכאורה.  שניהם כאחד מנסים להקטין את האטרקטיביות של ביצוע העברות, אולם כל אחד מתמקד במשתנה אחר במשוואה.

 

 

[1] דוקטור למשפטים, מנהל מחלקת הסייבר בפרקליטות המדינה, עמית מחקר במרכז הסייבר האוניברסיטאי של האוניברסיטה העברית, מרצה מן החוץ באוניברסיטת תל-אביב ובאוניברסיטת חיפה. האמור במאמר מבטא את עמדתו האישית של הכותב בלבד.

[2] ראו בצ"א 55175-03-18 (מחוזי ת"א) מדינת ישראל נ' אינטרנט MILENA  (29.3.2018); בצ"א 55340-03-18 (מחוזי ת"א( מדינת ישראל נ' אינטרנט livuy (29.3.2018); בצ"א 55312-03-18 (מחוזי ת"א) מדינת ישראל נ' רישיון מיוחד  (29.3.2018); בצ"א 55226-03-18 (מחוזי ת"א) מדינת ישראל נ' רישיון מיוחד  (29.3.2018); בצ"א 55259-03-18 (מחוזי ת"א) מדינת ישראל נ' חברות בעלות רישיון למתן שירותי גישה לאינטרנט  (2.4.2018); בצ"א 55308-03-18 (מחוזי ת"א) מדינת ישראל נ' מפעילי אתר אינטרנט www.escortinisrael.com  (2.4.2018); בצ"א 55344-03-18 (מחוזי ת"א) מדינת ישראל נ' חברות בעלות רישיון מיוחד (26.4.2018); בצ"א 55369-03-18 (מחוזי ת"א) מדינת ישראל נ' חברות בעלות רישיון מיוחד (26.4.18).

[3] צריכת שירותי זנות של קטין אסורה כיום על פי סעיף 203ג לחוק העונשין. אשר להפללת הצריכה של שירותי זנות של בגירים, ראו הצעת חוק הפללת לקוחות זנות והבטחת הכנסה לנפגעות זנות, התשע"ז - 2017, ה"ח הכנסת פ/4078/20. לדיון נרחב בסוגייה ראו דו"ח פלמור: משרד המשפטים דו"ח הצוות הבין משרדי לבחינת הכלים לצמצום צריכת זנות (2017).

[4] ע"פ 10545/04 מדינת ישראל נ' אלדנקו, עמ' 28 לפסק דינו של השופט רובינשטיין (פורסם ב"נבו", 6.2.2006).

[5] ראו בהקשר זה הדיון בוועדה לקידום מעמד האישה ושוויון מגדרי: פרוטוקול ישיבה מס' 10 של הוועדה לקידום מעמד האישה ולשוויון מגדרי, הכנסת ה-20 (13.12.2016).

[6] הגבלת הגישה יכולה להתבצע במגוון דרכים, כאשר שתי החסימות הבולטות הן חסימה לפי כתובת IP של אתר האינטרנט וחסימה ברמת ה-DNS, של שם המתחם של האתר. ככלל, חסימה ברמת ה-DNS היא צרה יותר מחסימה לפי כתובת IP, במובן זה שהיא יכולה להתייחס לכתובת URL ספציפית של דף או "אזור" בתוך אתר האינטרנט, וכך למעשה ניתן לעתים, בנסיבות המתאימות, "לתפור" חסימה מדויקת יותר, גם לאזורים מסוימים בתוך אתר האינטרנט המגלמים את הפעילות האסורה. להרחבה ולפירוט על שיטות חסימה נוספות, ראו: Steven J. Murdoch & Ross Anderson, Tools and Technology of Internet Filtering, in Access Denied: The Practice and Policy of Global Internet Filtering 57, 59-63 (Ronald Deibert, John .Palfrey, Rafal Rohozinski & Jonathan Zittrain eds., 2008).

[7] הצעת חוק להסרת תוכן שפרסומו מהווה עבירה מרשת האינטרנט, התשע"ז – 2016, ה"ח 742.

[8] ראו חיים ויסמונסקי חקירה פלילית במרחב הסייבר 63-51 (2015); כן ראו חיים ויסמונסקי "אכיפה אלטרנטיבית כלפי עברות ביטוי במרחב המקוון", משפט צדק? ההליך הפלילי בישראל – כשלים ואתגרים (מסדרת "משפט, חברה ותרבות") 691, 709-696 (אלון הראל עורך, 2018).

[9] ההוראה בדבר חסימת הגישה נמסרת לספקיות הגישה לאינטרנט. ספקיות אלה נדרשות לחסום בקשת גלישה לכתובת IP מסוימת המצוינת בהוראה. כאשר משתמש אינטרנט מישראל גולש לשרת פּרוקסי מסוים, ומשם הוא גולש הלאה לאתר החסום, אזי מבחינתה של ספקית הגישה לאינטרנט בוצעה גלישה לכתובת IP מותרת (של שרת הפרוקסי).

[10] הכוונה לעברה על סעיף 3(א)(5א) לחוק למניעת הטרדה מינית, התשנ"ח – 1998, שהוסף במסגרת תיקון מס' 10 לחוק למניעת הטרדה מינית בינואר 2014. הסעיף זכה לכינוי "חוק הסרטונים" והוא אוסר על פרסום של תצלום, סרט או הקלטה של אדם, המתמקדים במיניותו, בנסיבות שבהן הפרסום עלול להשפיל את האדם או לבזותו, ולא ניתנה הסכמתו לפרסום.

[11] ראו סעיף 3 לפקודת המשטרה [נוסח חדש], התשל"א – 1971.  

 

Read Less