ביום 27.3.2006 גזר בית-המשפט המחוזי בתל-אביב, כב' השופטת ברכה אופיר-תום, את דינם של בני הזוג רות ומיכאל האפרתי, מנאשמי פרשת הסוס הטרויאני, לעונשי מאסר בפועל של ארבע שנים ושנתיים (בהתאמה), מאסר על תנאי וכן עונש של פיצוי כספי בסך 1,000,000 ₪ על כל אחד מהם [ת.פ. (מחוזי-ת"א) 40061/06]. הנאשמת רות האפרתי הורשעה בעבירות על חוק המחשבים, חוק הגנת הפרטיות, חוק האזנת סתר, חוק העונשין (קבלת דבר במרמה, קשירת קשר לביצוע פשע). הנאשם מיכאל האפרתי הורשע בעבירות של סיוע לכל העבירות שצוינו לעיל. סיום עניינם של בני הזוג, אף אם אינו מהווה סיום של פרשת הסוס הטרויאני על היבטיה הפליליים השונים, בהחלט מהווה הזדמנות נאותה להתייחס לחקיקה הקיימת בסוגייה. המחוקק הישראלי בחר להתמודד עם ריגול עסקי פסול באופן ישיר בחוק עוולות מסחריות, התשנ"ט – 1999, שם נקבעו עוולה נזיקית של גזל סוד מסחרי. יחד עם זאת, נעדרת מחוק זה התמודדות עונשית ספציפית למקרה של גזל סוד מסחרי.
ההוראה העונשית הספציפית היחידה המבקשת להתמודד עם ריגול עסקי מצויה בחוק העונשין, בסעיף 496 שכותרתו "גילוי סוד מקצועי" וזו לשונו - "המגלה מידע סודי שנמסר לו אגב מקצועו או מלאכתו, שאינו סוד רשמי כמשמעו בסימן ה' לפרק ז', ואינו נדרש לגלותו מכוח הדין, דינו - מאסר ששה חדשים". הוראה זו נועדה להתמודד עם עובד המגלה סוד מקצועי לו נחשף אגב עבודתו (הוראת ה"מראה" לתניות אי-התחרות ולסעיפי ה-non-disclosure המצויים בחוזי העסקה רבים כיום). הוראה זו, היא כשלעצמה, בוודאי אין בה כדי להתמודד עם כל אופני הריגול העסקי הנוהגים כיום (כפי שיפורט בהמשך) ועם כל ה"שחקנים" בזירה זו, בכללם מפתחי כלי הריגול העסקי, מבצעי הריגול העסקי ומזמיני הריגול העסקי . ועוד, בחינת הפסיקה הדלה-יחסית, הדנה בסעיף 496 לחוק העונשין, מלמדתנו כי הסעיף נבחן במסגרת קובלנות פליליות פרטיות, להבדיל מתיקים פליליים בהם הוגשו כתבי-אישום על-ידי המדינה.
כיום, הריגול העסקי הפלילי אינו נשען עוד על עובדים שמועלים באמון מעסיקם ומסגירים סודות לחברה המתחרה. שיטות הריגול הועתקו למרחב הממוחשב, ונמצאנו עדים לתופעות של חדירות בלתי מורשות למחשבי החברה באמצעות מחשב מרוחק, השתלת סוסים טרויאניים, השתלת key-loggers (תוכנות או רכיבים פיזיים המתעדים את הקלדות המקלדת של המשתמש במחשב), השתלת רכיבים זדוניים המייצרים תמונות מסך (screen-capturing) כל פרק זמן נתון של המחשב המרוגל וכיו"ב. החדירות למחשבי התאגיד המרוגל מתבצעות עפ"י רוב באחד משני האופנים הבאים: באמצעות ניצול פרצות אבטחה, או באמצעות הינדוס חברתי של התאגיד המרוגל באופן שיביאו להחדיר את התוכנה הזדונית לתוך מחשבו תחת מצג שווא מצד מבצע הריגול העסקי. שיטת העברת המידע הרגיש מהתאגיד המרוגל כוללת, עפ"י רוב, שיגור של המידע באמצעות רשת האינטרנט, לעתים תוך שימוש בהצפנות מתוחכמות ובכתובות IP דינמיות, המאפשרות למבצעי הריגול ליהנות מאנונימיות.
בהיעדר חקיקה עונשית ספציפית להתמודדות עם תופעת הריגול העסקי הפלילי, מתאפשרת העמדה לדין פלילי במקרים אלה באמצעות הוראות חוק המשיקות לתחום הפעילות העבריינית הנדונה, כגון עבירות על חוק המחשבים, התשנ"ה – 1995 (עריכת נגיף מחשב, העברת נגיף מחשב, חדירה לחומר מחשב שלא כדין), חוק הגנת הפרטיות, התשמ"א – 1981 (עבירות על סעיף 2 ביחד עם סעיף 5 לחוק), חוק האזנת סתר, התשל"ט – 1979 (עבירות על סעיפים 2(א)-2(ג) לחוק, ככל שפעולת הריגול אכן מהווה "האזנת סתר") וחוק העונשין (עבירות מרמה וכן עבירות של קבלת נכס שהושג בפשע/עוון). הוראות חוק אלו אמנם מאפשרות העמדה לדין גם של מעגלי הפעילות הרחבים יותר בתחום הריגול העסקי – מזמינים, מבצעים ומפתחים. ואולם, יש לבחון באם ההישענות על הוראות חוק אלו מאפשרת כיסוי של כל העוקצים הפליליים המגולמים בפעילות של ריגול עסקי פלילי באמצעות חדירה למחשבי התאגיד המרוגל:
- עוקץ של מרמה בנסיבות מחמירות – אלמנט ההתחזות, ההינדוס החברתי (social engineering) המאפשר החדרה במרמה של רכיב זדוני למחשבי התאגיד המרוגל. עניין המרמה "מכוסה" על-ידי עבירת קבלת דבר במרמה שבחוק העונשין.
- עוקץ של עבריינות מחשב – עבירות פליליות באמצעות מחשב נחשבות ככאלו המחייבות התייחסות עונשית מחמירה, בשל אלמנט התחכום והקושי בחשיפת העבירות (והשווה: ת"פ (מחוזי-ת"א) 40250/99 מדינת ישראל נ' מונדיר בדיר, תק-מח 2001(3) 4272). עוקץ זה מבוטא בעבירות הפליליות השונות המוגדרות בחוק המחשבים.
- עוקץ של פגיעה בפרטיות – לעתים קרובות בתהליך הריגול העסקי הפלילי נרמסת פרטיותם של עובדי התאגיד המרוגל. המחשב המרוגל אוצר בחובו נתונים פרטיים אודות המשתמש במחשב מהמדרגה הראשונה. עוקץ הפגיעה בפרטיות זוכה להתייחסות בחוק הגנת הפרטיות ובחוק האזנת סתר.
- עוקץ של פגיעה רכושית, כספית, בתאגיד המרוגל עקב גזילת קניינו הרוחני בדרכים פסולות. פן זה, של "גניבת" הסוד העסקי, אינו בא לידי ביטוי מלא בהוראות החוק הקיימות. כאן המקום להעיר כי חרף השימוש השגור במלה "גניבה" (של הסוד העסקי), הרי עפ"י הפסיקה אין לראות בהעתקת הסודות המסחריים משום גניבה, כהגדרתה בחוק העונשין, באשר אין שלילת קבע של המידע המועתק [ע"פ (מחוזי-ירושלים) ד"ר אלה רום ואח' נגד מדינת ישראל].
יוער כי בעניינם של בני הזוג האפרתי ניתן היה לכסות את הפן הרכושי, של נטילת הסודות העסקיים, באמצעות העבירה של קבלת דבר במרמה, ואולם, במקרים בהם הריגול העסקי הפלילי אינו כולל אלמנטים של התחזות, מצגי שווא כלפי הקורבן ומרמה, אלא פריצה למחשבי התאגיד המרוגל תוך ניצול פרצות אבטחה למשל, יקשה לאתר עבירה פלילית המתייחסת למשמעות ולערך הרכושי של התכנים ה"גנובים".
דומה כי להתפתחות תופעת הריגול העסקי הפלילי באמצעים מקוונים, כפי שבאה לידי ביטוי בחשיפת פרשת הסוס הטרויאני, צריכה להיות השלכה גם במישור החקיקתי, של קביעת חוק עונשי למניעת ריגול עסקי פלילי. אם נפנה אל הדין האמריקאי בסוגיה, יימצא כי קיימת חקיקה פלילית האוסרת על ריגול עסקי פסול הן במישור הפדראלי (ה-Economic Espionage Act משנת 1996) והן במישור המדינתי (ראה למשל סעיף 31.05 ל-Texas Penal Code; סעיף 499C(b)(1) ל-California Penal Code). התבוננות אל החוק הפדראלי האמריקאי הנ"ל מלמדתנו כי שם נקבע עונש של 10 שנות מאסר או קנס עד לסך 500,000$ (או 5,000,000$ כאשר הנאשם הוא תאגיד) למי שמזמין או מבצע פעולת ריגול עסקי, הכוללת העתקה, גניבה או צילום של סוד עסקי, כאשר ההגדרה של סוד עסקי רחבה וכוללת למעשה כל פעילות חסויה של בית עסק.
חוק ישראלי בעל היבט עונשי למניעת נטילת סודות עסקיים, כפי המוצע כאן, יוכל לקבוע עבירות ועונשים התואמים את חומרת המעשים והמבטאים נכונה את האינטרס הרכושי הנפגע בעבירות אלו. על החוק יהיה לקבוע עבירות פליליות לשלושת מעגלי הריגול העסקי הפלילי: מעגל מזמיני הריגול, מעגל מבצעי הריגול בפועל (שלוחיהם של המזמינים) ומעגל מפתחי כלי הריגול (כדוגמת בני הזוג מיכאל ורות האפרתי בפרשת הסוס הטרויאני). שאלת ההגדרה של ה"מידע הרגיש" או ה"סוד העסקי" האסור בנטילה צפויה להיות שנויה במחלוקת, באשר על פיה יוגדר תחומו של האיסור הפלילי. כנגד הרחבת ההגדרה של "מידע רגיש" כאמור, עלולה להיטען טענה בדבר פגיעה בחופש העיסוק של מזמין הריגול העסקי וכן פגיעה באינטרס המאקרו של עידוד תחרות הוגנת בשוק.
כן מוצע כי החוק יקבע תקרת קנס גבוהה מהתקרה הסטנדרטית הקבועה בחוק העונשין, זאת על מנת להלום את טיב העבירות בהן מדובר (בדומה לנעשה בחוקים עונשיים פיסקאליים כגון חוק ניירות ערך, חוק ההגבלים העסקיים וכיו"ב). עוד מוצע כי החוק יקבע חזקות ראייתיות בדבר אופן הוכחת רגישותו וסודיותו של החומר הנפגע וכי תיקבענה פרוצדורות ייחודיות לטיפול בחומר החקירה הכולל את המידע הרגיש שניטל שלא כדין מרשות קורבן הריגול.
המחבר הינו ראש צוות התביעה מטעם הפרקליטות בפרשת הסוס הטרויאני ומרצה לדיני אינטרנט. רשימה זו אינה מבטאת עמדה של פרקליטות המדינה.