מבוא. פרק א: מהו מטאדאטה? פרק ב: הרגע הסנודני של ישראל – חשיפה אקספוננציאלית. פרק ג: חשיפת "הכלי". פרק ד: "הכלי" – התשתית המשפטית הגלויה. פרק ה: הרגע הסנודני של ישראל? 1. צריך רפורמה? אפקט מצנן; 2. צריך רפורמה? ישראל ואירופה; 3. צריך רפורמה? פיקוח ושקיפות. סיכום: רפורמות עושים על רקע של סקנדלים – הרגע הסנודני המוחמץ של ישראל
[המאמר פורסם במקור באתר כתב-העת "משפט ועסקים" של בית ספר הארי רדזינר למשפטים, המרכז הבינתחומי הרצליה. הוא מתפרסם ב-law.co.il באישור המחבר]
מבוא
בחודש יוני 2013 נודע לאזרחי ארצות הברית, בעקבות חשיפותיו של אדוארד סנודן, כי מדינתם אוספת את כל רישומי שיחות הטלפון שלהם (CDR)[1] באמצעות הסוכנות לביטחון לאומי (NSA), במסגרת פעילות מודיעינית המכונה "תוכנית 215". החשיפה – יחד עם גילויים נוספים על היקף המעקב המקוון שמנהלת ארצות הברית אחר אזרחיה שלה, לרבות שיתופי הפעולה של הסוכנות לביטחון לאומי עם סוכנויות סיגינט[2] זרות אחרות (דוגמת אלו של בריטניה, אוסטרליה וקנדה), הולידה שערורייה ציבורית בארצות הברית ובעולם. גלי ההדף של הפרשה הביאו, בין השאר, לשתי חקירות עצמאיות של הממשל האמריקני כלפי הפעילות הסיגינטית של הסוכנות לביטחון לאומי,[3] לרפורמה בדיני המעקב המקוון בארצות הברית ובמדינות אחרות,[4] להפסקת שיתופי פעולה מודיעיניים עם ארצות-הברית ולביטול הסדר אזרחי-מסחרי להעברת מידע אישי בין חברות אמריקניות לאירופה.[5]
בישראל אנו חווים עתה – ואולי מחמיצים – "רגע סנודני" משלנו. החשיפה נעשתה לא במסגרת מרי אזרחי. היא גם לא נעשתה באופן מרוכז, אלא באמצעות הצטברות של ידיעות ומהלכים פוליטיים ששיאם בתחקיר של רונן ברגמן ועידו שברצטבוך,[6] לפיו שירות הביטחון הכללי אוסף "מטאדאטה" (metadata) על תושבי ישראל, מהרגע שהוסמך לכך בחוק, היינו מזה כעשרים שנה, בהיקף חסר תקדים.
פרק א: מהו מטאדאטה?
בטרם נמשיך לתיאור הרגע הסנודני עצמו, רצוי להתעכב על המונח מטאדאטה. הדינים החלים על פעילות סיגינטית נוטים להבחין בין נתוני תוכן לבין מטאדאטה (נתונים על אודות נתוני תוכן). ההבחנה הקלאסית היא בין תוכנו של מכתב לבין פרטי המוען והנמען שעל חלקה הגלוי של המעטפה, המהווים את המטאדאטה.[7]
מאחר שבדין הישראלי יש מנעד רחב להגדרות של סוגים שונים של מטאדאטה, בחרתי להשתמש במונח זה ולא במונח "נתוני תקשורת" השגור יותר בהקשר הסיגינטי. חוק נתוני תקשורת, למשל, מבחין בין "נתוני מיקום", "נתוני תעבורה" ו"נתוני זיהוי", שכולם סוגים שונים של "נתוני תקשורת" כהגדרתם שם.[8] לאחרונה, במסגרת הסדרת המעקב המקוון אחר נשאי נגיף הקורונה, נוספה הבחנה בין נתוני מיקום לנתוני מיקום אחרון.[9] לעומת זאת ההגדרה של "מידע" בחוק השב"כ היא על דרך השלילה: "לרבות נתוני תקשורת ולמעט תוכן שיחה כמשמעותו בחוק האזנת סתר".[10] הגדרת "מידע טכנולוגי" שבתקנות שעת חירום שהסמיכו את השב"כ לסייע במאבק בנגיף הקורונה מהדהדות נוסח זה,[11] ואילו הגדרתו בהחלטת הממשלה מס' 4950, המאוחרת לתקנות, מציעה נוסח מצומצם יותר (הנותר עמום), הדומה להגדרת נתוני תקשורת בחוק נתוני תקשורת.[12]
נתוני תוכן נתפסו באופן מסורתי כראויים להגנה חזקה יותר מפני עיון, יירוט או השגה בלתי מורשים. ואולם כיום, נוכח ההיקף העצום של מטאדאטה שמופק יום-יום, שעה-שעה, על אודות כל אדם, ובפרט מי שברשותו אמצעי קצה מתקדמים במקביל ליכולת העיבוד המתקדמת של נתונים אלה, נראה שפוטנציאל הפגיעה בפרטיות הגלום במטאדאטה משתווה ואולי אף עולה על זה שגלום בנתוני תוכן. לא בכדי העיר ראש הסוכנות לביטחון לאומי (NSA) והסוכנות המרכזית למודיעין (CIA) בדימוס, הגנרל מייקל היידן, כי "אנו הורגים אנשים בהסתמך על מטאדאטה".[13] גם סוכנות התקשורת הממשלתית (GCHQ), המקבילה הבריטית של ה-NSA, סבורה כי במסגרת החומר שמופק מאיסוף חסר אבחנה (bulk collection), למטאדאטה ישנו ערך משמעותי יותר מלנתוני התוכן עצמם.[14]
פרק ב: הרגע הסנודני של ישראל – חשיפה אקספוננציאלית
יריית הפתיחה של הרגע הסנודני הישראלי הייתה הצהרתו של ראש הממשלה בנימין נתניהו באמצע חודש מרץ 2020 על הכוונה להשתמש "...באמצעים דיגיטליים למאבק בטרור" כחלק מהמאבק בהתפרצות נגיף הקורונה. ראש הממשלה נמנע מלהרחיב באשר לאותם אמצעים דיגיטליים, והשיח הציבורי התמלא בספקולציות לגביהם – מהשערות כי מדובר באיכון סלולארי בלבד, לבין חששות מפני שימוש בטכנולוגיות מתקדמות של זיהוי פנים. גם המתווה המשפטי שיכשיר מהלך זה נותר לוט בערפל.[15]
החלטת הממשלה להסמיך את שב"כ לאסוף "מידע טכנולוגי" (ללא הגדרת מונח זה) נתקבלה למחרת הצהרתו של ראש הממשלה. מכוח הוראות חוק השב"כ,[16] החלטה זו כפופה לאישורה של ועדת המשנה למודיעין ולשירותים חשאיים של ועדת החוץ והביטחון של הכנסת, ואולם ההחלטה נותרה סודית ולא הועברה לעיונה (אם כי בהמשך ניתן לה פומבי) אלא למחרת היום, שעות ספורות טרם פיזור הכנסת ה-22. משלא הספיקה לדון בהחלטה לעומקה, ואולי משיקולים פוליטיים הנוגעים למשא-והמתן הקואליציוני שהתנהל ברקע, סירבה ועדת המשנה לאשר את ההחלטה טרם פיזורה יחד עם הכנסת.
באותו הלילה העבירה ופרסמה הממשלה תקנות שעת חירום הנוגעות לסמכויות שב"כ והמשטרה להשתמש בכלים סיגינטיים לצורך המאבק בהתפשטות נגיף הקורונה.[17] תקש"ח קורונה (שב"כ) הסמיכו את שב"כ לתקופה קצובה בת שבועיים ימים,[18] לאסוף, לקבל ולעבד "מידע טכנולוגי" כדי לסייע למשרד הבריאות בביצוע חקירות אפידמיולוגיות בנוגע לשבועיים שלפני אבחונו של חולה,[19] כדי לזהות נתוני מיקום ונתיב תנועת החולה, וזיהוי אנשים שבאו במגע קרוב עמו.[20]
לבית המשפט העליון הוגשו שלוש עתירות נגד תקש"ח קורונה (שב"כ) ותקש"ח קורונה (נתוני מיקום), שאושרו בהצבעה טלפונית על-ידי הממשלה באישון לילה. בצו ביניים מיום 19 במרץ 2020 בעניין בן מאיר,[21] הגביל בית-המשפט העליון את השימוש בסמכויות מכוח תקש"ח קורונה (שב"כ), ואסר על שימוש באלו המוקנות תחת תקש"ח קורונה (נתוני מיקום). החלטת בית המשפט אפשרה להשתמש בסמכויות מכוח תקש"ח קורונה (שב"כ), באופן מצומצם[22] למשך חמישה ימים, ולאחר מכן בכפוף להקמת הוועדות הפרלמנטאריות הרלוונטיות לפיקוח על תקנות אלה.[23] בית המשפט ציין כי הוצגו בפניו הנחיות מסווגות במעמד צד אחד שאושרו על ידי היועץ המשפטי לממשלה.[24]
משהושבעה הכנסת ה-23 והוקמה ועדת החוץ והביטחון, כונסה ועדת המשנה למודיעין על מנת לדון בתקש"ח קורונה (שב"כ). בצעד נדיר, נוכח העניין הציבורי בסוגיה, חלקו של הדיון שבהשתתפות נציגי משרד הבריאות, נציגי משרד המשפטים, ונציגי האקדמיה וארגוני החברה האזרחית נערך שלא בדלתיים סגורות.[25] הוועדה דנה ביתרונות הכלי הטכנולוגי של השב"כ באיתור אנשים שבאו במגע הדוק עם נשאי נגיף הקורונה החדש ובנחיצותו למשרד הבריאות. חברי הוועדה תהו לגבי מהות ה"מידע הטכנולוגי" שבתקנות, ושאלו מדוע נזקק שב"כ לפירוט שיחות של אזרחים.[26] נציגי משרד המשפטים השיבו שהנושא יובהר בחלקו החסוי של הדיון, שנערך בהמשך בהשתתפות נציגי שב"כ.
לאחר מספר ישיבות נוספות שהתפרשו על פני שבוע, ועדת המשנה למודיעין גיבשה נוסח מוצע, המקובל עליה, להחלטת ממשלה להפעיל את השב"כ למעקב אחר חולי קורונה.[27] הידיעה של ברגמן ושברצטבוך, שפורסמה לאחר הישיבה הראשונה, לא אוזכרה בישיבות העוקבות של ועדת המשנה, אך מספר הערות בדיון העידו על הבחנה בין סוגי מאגרי מידע, ועל ניסוח עמום במתכוון של חלק מסעיפי ההחלטה. עם זאת, צמצום הגדרת "מידע טכנולוגי" ביחס לתקש"ח קורונה (שב"כ), כמו גם ההתייחסויות בה לענן מידע, עשויה לרמוז במקצת על היכולות המבצעיות ודרכי הפעולה של שב"כ.
נראה, אם כן, כי מסתמנת דינמיקה של חשיפה הדרגתית של יכולות השב"כ,[28] שראשיתה בהצהרתו של ראש הממשלה בדבר אותם אמצעים דיגיטליים, המשכה במתן פומבי להחלטת הממשלה בעניין ולתקש"ח קורונה (שב"כ), כמו גם לפתיחת חלק מדיוני ועדת המשנה למודיעין לציבור, תוך שמירה על היבטים מסוימים תחת ערפל של חשאיות – כמו, למשל, מהותם של ה"אמצעים הדיגיטליים" ו"המידע הטכנולוגי", או תוכנם של נוהלי השירות – וסופה בתחקיר של ברגמן ושברצטבוך.
פרק ג: חשיפת "הכלי"
שיאה של דינמיקה זו הוא בכתבתם של ברגמן ושברצטבוך, שחשפה את קיומו של מאגר המידע הסודי של השירות המכונה "הכלי". ברגמן ושברצטבוך מתארים איסוף מתמשך של שב"כ של מטאדאטה במשך כשני עשורים (ממועד חקיקת חוק השב"כ) שמקורו בבעלי רישיון בזק, בתוכו נתוני תקשורת כהגדרתם בחוק נתוני תקשורת, אך גם מטאדאטה הקשור להיסטוריית גלישה ברשת.
לפי הכתבה של ברגמן ושברצטבוך, לאורך השנים מאגר המידע עצום המימדים שטיפח השירות סייע לו רבות במילוי תפקידיו[29] בסיכול פיגועים ובפרשיות ריגול.[30] בכתבה מתוארים מספר מקרים שבהם נדחו בקשות להשתמש ב"כלי" לתכליות החורגות מתפקידיו הסטטוטוריים, ובהן פיקוח על מעגל שותפי הסוד בנושא התוכנית לתקוף באיראן,[31] איתור מסתננים בלתי חוקיים, ולחקירת מבקר המדינה בפרשת הרפז.[32] יחד עם זאת, הכתבה מזכירה "מעידות" במסגרתן בתחילת הדרך נעשה שימוש לא ראוי במאגר על יד בעלי תפקידים בודדים בארגון למטרות פרטיות, ומצביעה על אפשרות לזליגת מודיעין וזליגת תכליות (purpose creep) בשל העובדה שמדי פעם אושרו בקשות להפעלת "הכלי" שלא קשורות בטרור או בריגול. נוכח רתימת יכולות אלו לסיוע בחקירות אפידמיולוגיות, אפשרות זו אינה בלתי מתקבלת על הדעת.
עוד עולה מהכתבה כי הביקורת הפרלמנטרית שמפעילה ועדת המשנה למודיעין על הפעלת "הכלי" היא "שטחית, וזה במקרה הטוב". פניות ליוצאי הוועדה בנושא "הכלי" העלו כי רבים מהם חסרי ידע והבנה לגביו. אפשר שדבר זה גם ניכר בשאלות חברי ועדת המשנה בדיון הפומבי על הסמכת השב"כ לסיוע במאבק בהתפשטות נגיף הקורונה, המתפלאות על כך שהגדרת "מידע טכנולוגי" כוללת גם פירוט נתוני שיחות. לעומת זאת, הביקורת הרבעונית של היועץ המשפטי לממשלה על הפעלת "הכלי"[33] מתוארת כיסודית, מעמיקה ומאתגרת.
פרק ד: "הכלי" – התשתית המשפטית הגלויה
חרף הדרמטיות שבחשיפה של ברגמן ושברצטבוך, אין היא מפתיעה. בכיר שב"כ המצוטט אצל ברגמן ושברצטבוך סיפר כי "כשהתפוצצה פרשת סנודן, כולנו צחקנו שהדבר שאותו קהילת המודיעין האמריקאית מנסה להסתיר, ואשר גרם לסערה כל כך גדולה בציבוריות האמריקאית, כתוב אצלנו בחוק באופן כה ברור". ואולם נראה שלשון החוק אינה כה ברורה,[34] ולאחר קריאה זהירה[35] בו לא ניתן אלא לשער שמאגר נתונים כזה, כגון "הכלי", יכול להתקיים. אישוש להשערה זו ניתן רק כשני עשורים לאחר הקמתו, בחשיפתם של ברגמן ושברצטבוך.
ואכן, בחינת הסעיפים המתאימים בחוק השב"כ ובחוק התקשורת מעלה שהשלד המשפטי שעל בסיסו הוקם "הכלי" היה גלוי, בעוד שפרטיו המדוייקים נותרו חשאיים בחסות הדין.
חוק שירות הביטחון הכללי מסמיך, בין השאר, את השירות להשיג "מידע" מבעלי רישיון בזק.[36] הגדרת "מידע", כאמור, היא הרחבה ביותר בדין הישראלי – "לרבות נתוני תקשורת ולמעט תוכן שיחה כמשמעותו בחוק האזנת סתר." מהמתואר בכתבתם של ברגמן ושברצטבוך, השב"כ אכן לא מסתפק באיסוף נתוני תקשורת כמשמעם בחוק נתוני תקשורת, אלא בהשגת סוגים נוספים של מידע שאינם נתוני תוכן.
המטאדאטה שנאגר על-ידי השב"כ במשך שנים מקורו בבעלי רישיון בזק[37] - ספקי שירותי אינטרנט ומפעילי שירותי טלפוניה קווית וסלולארית. חוק התקשורת מסמיך את ראש הממשלה להורות לבעל רישיון בזק בעניינים הנוגעים, בין השאר, ל"התקנת מיתקן, ביצוע פעולת בזק, או ביצוע התאמה טכנולוגית למיתקן בזק, בידי בעל הרישיון או בידי נציג כוחות הביטחון בסיוע בעל הרישיון, לרבות מתן גישה למיתקן, ככל שהדבר דרוש לצורך ביצוע תפקידיהם של כוחות הביטחון או להפעלת סמכויותיהם לפי כל דין".[38] הוראות שנתן ראש הממשלה לפי סעיף זה הן חסויות,[39] וכך גם הנספחים לרישיונות המסדירים העברת נתוני תקשורת מבעלי הרישיונות לשב"כ.[40]
סעיף 11 לחוק השב"כ מסמיך את ראש הממשלה לקבוע כללים – שיוותרו חשאיים – לעניין העברת נתונים ממאגרי מידע של בעל רישיון בזק לשירות הביטחון הכללי. בכללים אלו רשאי ראש הממשלה לקבוע כי סוגי מידע מסוימים שמצויים במאגרים של בעלי רישיון דרושים לשירות הביטחון הכללי לצורך מילוי תפקידו, וכי על בעל הרישיון להעביר מידע כזה לשירות. שימוש במידע זה ייעשה לפי היתר מראש השירות, לאחר ששוכנע כי השימוש דרוש לצורך מילוי תפקידיו לפי חוק זה. ההיתר יהיה לתקופה שלא תעלה על שישה חודשים, אך ראש השירות רשאי לשוב ולחדשו. החוק קובע כי גם הוראות בדבר החזקת מידע, שמירתו, אבטחתו, ביעורו או מחיקתו ייקבעו בכללים (חשאיים) שיקבע ראש הממשלה.
פרק ה: הרגע הסנודני של ישראל?
בנסיבות אחרות, החשיפה של ברגמן ושברצטבוך הייתה זוכה להד ציבורי שאינו נופל מזה שקיבלו אלו של אדוארד סנודן. ואולם אפשר שהצירוף של עיתוי החשיפה ושל היבטים נוספים המבדילים בין פרשת סנודן לחשיפה של ברגמן ושברצטבוך הביא לכך שזו כמעט ולא זכתה להתייחסות בתקשורת. במועד החשיפה, תשומת הלב התקשורתית בישראל הייתה נתונה להתמודדות עם מגיפת הקורונה ולניסיונות להרכבת ממשלה לאחר הבחירות לכנסת ה-23.
נוסף על כך, להבדיל מחשיפותיו של סנודן, שהיו שלא על דעת קהילת המודיעין האמריקנית ולכן פורסמו תוך מנוסה וחיפוש מקלט במדינה זרה, כתבת התחקיר על אודות "הכלי" ככל הנראה עברה את משוכות הצנזורה הישראלית ולווה בתגובת עמומה של השירות, שלא אישרה במפורש את דבר קיומו של המאגר, אך ציינה כי "הנתונים המתקבלים מכוח חוק שב"כ מסייעים לשירות בצורה דרמטית במימוש ייעודו לסיכול טרור וקיימות אינספור דוגמאות למקרים שבהם השימוש בנתונים אלה הביא לסיכול של פיגועים קשים ביותר והצלת חיי ישראלים רבים". אפשר שהיעדר ההתנגדות (הגלויה) של שב"כ לפרסום מהווה אינדיקציה להערכת השירות שאין בפרסום נזק ביטחוני – אם משום שהסוסים כבר יצאו מן האורווה, ואם מתוך הנחה שהתקשורת, העסוקה בענייני קורונה וקואליציה, תפסח על הידיעה.
אך גם לוּ הציבור היה מתוודע בימים שכתיקונם לקיומו של מאגר מידע בן עשרים שנה שבו נשמרים, בין השאר, כל נתוני התעבורה, התקשורת, הזיהוי, והיסטוריית הגלישה שלהם, ספק אם הדבר היה מביא לשערורייה. האדישות שגילה הציבור לשלוש דליפות המידע העוקבות מאפליקציית "אלקטור" של מפלגת הליכוד חודש לפני כן מלמדת על שיוויון נפש מסוים ביחס לפגיעה בפרטיות, או חוסר הבנה של חומרתה. קל וחומר, כאשר אין המדובר בדליפת מידע, ובארגון ביטחוני – לא מפלגה פוליטית – הנהנה מהילה של מקצוענות בסיכול טרור. כמו כן, נראה כי רוב הציבור הישראלי נכון לספוג פגיעה בזכויות הפרט, לרבות בזכות לפרטיות, לתכליות ביטחוניות.
האפקט של כתבת התחקיר של ברגמן ושברצטבוך אינו הפתעה אלא רק אישוש של השערות המבוססות על קריאת החוק (כפי שתואר לעיל), שבעידן שלאחר סנודן כבר לא נדמות בלתי מתקבלות על הדעת. למדנו אפוא כי שירות הביטחון הכללי, בחסות תת-האסדרה, הדין הישראלי הרזה,[41] והחשאיות שבחוק,[42] אכן עושה שימוש מירבי בסמכויותיו. למדנו כי אל יכולות אלו, שנרתמו באופן חריג להתמודדות האזרחית עם מגפת הקורונה, לוטשים עיניים רשויות אחרות, גורמים פוליטיים ופרטיים. מבלי לקבוע עמדה ביחס לנחיצותו של מאגר מידע כזה, ניתן להבין את הפוטנציאל המסוכן שבשימוש בו למטרות חורגות.
- צריך רפורמה? אפקט מצנן
קיומו של מאגר דוגמת "הכלי" מייצר אפקט מצנן – וביתר-שאת נוכח חשיפתו – על מאפייני פעילות המקוונת של המשתמשים. מאגר המתעד את האינטראקציה התקשורתית של מנוי בחברת סלולר עם אחרים, וייתכן שמאפיינים מסוימים בחיפושי הרשת שלו, עשוי להשפיע גם על חופש ההתאגדות. נוכח הכללתם של נתוני מיקום במאגר, האפקט מצנן עשוי להשפיע גם על חופש התנועה של הפרט. יובהר כי האפקט המצנן על חירויות אלו אינו מוגבל להימנעות מהתנהגות או מהתבטאות בלתי חוקיות בשל חשש לסנקציה פלילית, אלא הוא עשוי לכלול מצבים שבהם הפרט נמנע מפעילות חוקית, שעשויה להיות שנויה במחלוקת מבחינה חברתית, מתוך ידיעה שהוא מנוטר.[43]
דוגמה לאפקטים המצננים של איסוף המטאדאטה של השב"כ – וזאת בהקשר הצר של איכון נשאי נגיף הקורונה – ניתן למצוא בחשדנות של חלק מהישראלים כלפי אפליקציית "המגן", המשמשת לכאורה חלופה עדיפה (מבחינת שיקולי הגנה על פרטיות המשתמשים) להפעלת השב"כ לאיכון נשאי הקורונה, כמו גם מהתבטאויות ברשתות החברתיות המציעות להתהלך ללא מכשיר הטלפון ולהימנע מהמעקב.
- צריך רפורמה? ישראל ואירופה
לפרסומו ברבים של דבר קיומו של "הכלי", מאגר עתיר ידע שמבוסס על איסוף חסר הבחנה (bulk collection) של השב"כ של מרבית המטאדאטה העובר בצינורות התקשורת הסלולרית, הטלפונית והאינטרנטית בישראל, עשויות להיות השלכות בין לאומיות.
ההחלטה האירופית בדבר תאימות הדין הישראלי למשטר הגנת הפרטיות באיחוד האירופי, שנתקבלה לפני למעלה מעשור, טרם החשיפות של אדוארד סנודן וטרם כניסתן לתוקף של התקנות האירופיות בדבר הגנת מידע (GDPR), מאפשרת זרימה חופשית של נתונים בין מדינות האיחוד לישראל. להחלטה זו משמעות כלכלית רבה, במיוחד לסקטור ההייטק הישראלי, שמבקש לפעול באיחוד האירופי.
הבחינה מחדש[44] של החלטת האיחוד האירופי עתידה להתקיים בקרוב, וזו עשויה לייחס משקל משמעותי לדינים המסדירים את השימוש "בכלי" ולתאימותם עם הדין האירופי. בשים לב לכך שמשקל משמעותי בשיקולים שהביאו לביטול הסדר העברת המידע בין אירופה לארצות-הברית על ידי בית המשפט האירופי לצדק (ECJ) בעניין Schrems ניתן לאי-הלימת תוכניות האיסוף הגורף האמריקניות עם הדין האירופי,[45] קשה להניח שהאיחוד יתעלם מקיומו של מאגר עצום זה של נתונים אישיים, ומאיסופם השוטף והמתמשך על ידי השירות, מהיעדר הפיקוח החיצוני עליו[46] ומחוסר השקיפות שבהסדרתו בדין.[47]
- צריך רפורמה? פיקוח ושקיפות
"הכלי" של השב"כ לא משליך רק על הפיקוח שיש להפעיל על השימוש בו בהקשר של תקש"ח קורונה (שב"כ). בכתבה של ברגמן ושברצטבוך נטען שישנן שכבות של אישורים ובקרות מפני ניצולו לרעה, אך לצד ביקורת פנים-ארגונית של השירות נדרש גם גורם חיצוני המפקח שהכל כשורה, ושביכולתו לדווח על כך לציבור. עצם קיומו של מנגנון פיקוח חיצוני ועצמאי מייצר את "אפקט הצופה" (observer effect), המשפיע על מקבלי ההחלטות בארגון ומחוצה לו בבואם לעצב את מדיניות השימוש במאגר.
פיקוח חיצוני זה נדרש להיות מקיף ושלם, על מנת שלא יווצרו חורים שחורים שאותם הוא מכסה, בין השאר, מבחינה טמפורלית ומבחינה תהליכית. יש הכרח גם לוודא כי מתבצעת הערכה תקופתית של אפקטיביות מערך הפיקוח.[48] מבחינה טמפורלית. על מערך הפיקוח, באמצעות רכיביו השונים, להפעיל ביקורת מראש (אקס אנטה),[49] במהלך ולאחר הפעילות הסיגינטית (אקס פוסט).[50] מבחינה תהליכית, מערך הפיקוח צריך להקיף את כל תהליכי הפקת המודיעין: איסוף, אחסון ושימור, בחירה ועיון במידע וניתוחו.[51]
יש לערוך דיון ציבורי על סוגי הנתונים שנאגרים על-ידי השירות. מומחי פרטיות הופתעו לגלות, למשל, שבכוונת-מכוון הגדרת "מידע טכנולוגי" בתקש"ח קורונה (שב"כ) אינה מוגבלת לנתוני מיקום וזיהוי. כך גם יש לדון בתקופת שימור הנתונים במאגר של השב"כ. האם לצרכים מבצעיים ומודיעיניים נדרשות יכולות הצצה 20 שנים אחורנית אל העבר?[52]
הפתיחה לציבור של דיוני ועדת המשנה למודיעין בעניין הסמכת השב"כ לסייע בהתפשטות נגיף הקורונה היא מבורכת, ויש להגביר את השקיפות של עבודת הוועדה גם בשגרה. שיתוף הציבור בדיונים גלויים, פרסום דיווחי ביקורת עתיים על הפעילות הסיגינטית, ופרסום של הכללים החלים על השימוש "בכלי", הם חלק מהאמצעים שבהם ניתן להגביר את השקיפות – ובכך לחזק את אמון הציבור בשב"כ ואפשר שגם את איכות הפיקוח עצמו.
כמו כן, יש לתת את הדעת ש"הכלי" עשוי להיות פחות ופחות יעיל בחלוף הזמן, ועם השינויים במאפייני השימוש בתקשורת מקוונת. עם המעבר לתקשורת דרך אפליקציות מסרים מידיים, חלק מהנתונים שהיו זמינים לשירות מוסתרים על ידי ספקי פלטפורמות מקוונות שאינם נדרשים לרישיון בזק (ולנספחים הסודיים שבצידו) – בשנים האחרונות לא נעשה כמעט שימוש בתוכנית 215 האמריקנית שנחשפה על ידי אדוארד סנודן, בין השאר מטעמים אלו. יש להיזהר, אפוא, מהסתמכות יתרה על אמצעים סיגינטיים שעשויה לנוון יכולות מודיעיניות אחרות ולהקשות על מציאת פתרונות "מחוץ לקופסא" בצוק העיתים.
נוסף על כך, חשוב לזכור כי "הכלי" שנחשף בכתבה של ברגמן ושברצטבוך אינו בגדר כל האמצעים הסיגינטיים המופעלים על ידי השב"כ, וכי השב"כ אינו הגוף היחיד שעושה שימוש בסיגינט לתכליות של ביטחון ואכיפת חוק. רפורמה בדינים החולשים על הפרקטיקות הסיגינטיות בישראל צריכה לתת את הדעת גם על הסדרת הפעילות של אמ"ן, המוסד, משטרת ישראל ואף של רשויות אחרות, הלוטשות עיניים ליכולות סיגינטיות שונות.[53]
סיכום: רפורמות עושים על רקע של סקנדלים – הרגע הסנודני המוחמץ של ישראל
הספרות נוטה להבחין בין שני מודלים של פיקוח פרלמנטרי – מודל השיטור ומודל כיבוי השריפות.[54] תחת מודל השיטור, פעולות הפיקוח הפרלמנטריות נעשות באופן שוטף, על-מנת לבדוק בשגרה שהכול כשורה – בדומה לסיורי משטרה. מודל כיבוי השריפות הוא מודל ריאקטיבי. כפי שכוחות הכיבוי וההצלה מגיבים בדיעבד לשריפות שפרצו, כך גם פיקוח במודל כיבוי השריפות מגיב לאחר שנתגלה מחדל הטעון תיקון. בהקשרי מודיעין וביטחון לאומי, מחדלים אלו לרוב מלווים בשערוריות ציבוריות, שמפנות את אור הזרקורים לפעילות הפיקוח הפרלמנטרית.[55] במקרים שבהם מדובר במחדל מודיעיני, התמודדות במודל כיבוי השריפות תיטה להרחיב את סמכויות סוכנויות המודיעין. כאשר המחדל מושא השערורייה הוא פעילות בלתי חוקית של סוכנויות אלה – התיקון הפרלמנטרי ייטה להקשיח את המגבלות על פעילותן.
התגובה הפרלמנטרית להצהרת ראש הממשלה בעניין הפעלת "האמצעים הדיגיטליים" לסיוע בחקירות אפידמיולוגיות של נשאי נגיף הקורונה החדש מסתמנת כפעולת שיטור. אומנם ועדת המשנה למודיעין לא הוכנסה בסוד העניינים עד לשעות האחרונות שלפני פיזורה, אך חרף טיבה הריאקטיבי של פעולת הוועדה נוכח הצעת הממשלה, אין המדובר בכיבוי שריפה "קלאסית", שכן הפעלת השב"כ למאבק בהתפשטות נגיף הקורונה החדש לא הודלפה לציבור בדיעבד, ואין מדובר במחדל מודיעיני הטעון תיקון, אלא בביקורת פרלמנטרית על הסדר חריג.
מבחינה זו, המעקב המקוון אחר נשאי הקורונה הוא הזדמנות פז לגורמים המפקחים אחר פעילות השירות להיחשף באופן מבוקר, מבלי למסגר את הגילוי בדבר "הכלי" כשערורייה, ולחזק את אמון הציבור בהם בעיצומה של שעת חירום. יתר על כן, נוכח השאלות של חברי ועדת המשנה למודיעין במהלך הדיונים על אודות אישור החלטת הממשלה להסמיך את השב"כ לסייע באיכון חולי קורונה, נראה כי הם לא היו מודעים ליכולות של "הכלי" ולא פיקוחו על הפעלתו באופן שוטף.[56]
בימי שגרה, סביר להניח כי כתבת התחקיר של ברגמן ושברצטבוך הייתה תופסת את סדר היום התקשורת; אך פרסומה במקביל לעיסוק התקשורתי השוטף בבהלת הקורונה ובהמולה הפוליטית התורנית סביב פירוקה של מפלגת כחול לבן, אפשר לידיעה זו להתפוגג מתודעת הציבור. העיסוק במעקב השירות אחר חולי הקורונה מקשה עוד יותר על ההבחנה בין השימוש הנקודתי בחירום ב"כלי" לבין עצם קיומו והשימוש השוטף בו על-ידי השירות זה כעשרים שנה. משכך, ספק אם הפרסום על אודות קיומו של מאגר המידע של השב"כ יתורגם לרפורמה בדיני המעקב המקוון של ישראל. התעקשותה של ועדת המשנה למודיעין על חיזוק הבקרות על השימוש החריג בשירותי הביטחון למעקב אחר אזרחים, מלמדת על הפוטנציאל שלה לקדם רפורמה, והנסיבות שבהן עשתה זאת – על מגבלותיו.[1] Foreign Intelligence Surveillance Act, 50 U.S.C. §§1861(k)(c). להרחבה על משטר האיסוף האמריקני של מודיעין זר, ראו עמיר כהנא ויובל שני, רגולציה של מעקב מקוון בדין הישראלי ובדין המשווה 85–94 (המכון הישראלי לדמוקרטיה, 2019).
[1] Foreign Intelligence Surveillance Act, 50 U.S.C. §§1861(k)(c). להרחבה על משטר האיסוף האמריקני של מודיעין זר, ראו עמיר כהנא ויובל שני, רגולציה של מעקב מקוון בדין הישראלי ובדין המשווה 85–94 (המכון הישראלי לדמוקרטיה, 2019).
[2] סיגינט (מודיעין אותות או Signals Intelligence) הוא מודיעין שמופק באמצעות יירוט אותות. להרחבה ראו Julian Richards, Signals Intelligence, in Routledge Companion to Intelligence Studies 84–94 (Robert Dover, Michael S. Goodman & Claudia Hillebrand, Eds., 2014).
[3] Privacy and Civil Liberties Board, Report on the Telephone Records Program Conducted Under Section 215 of the USA PATRIOTACT and on the Operations of the Foreign Intelligence Surveillance Court (Jan. 23, 2014) (להלן: PCLOB 2015); Richard A. Clarke, Cass R. Sunstein, Geoffrey R.Stone, Michael J. Morell & Peter Swire, The NSA Report: Liberty and Security in a Changing World, Chap. 3 (Princeton, 2014).
[4] USA Freedom Act of 2014, Pub. L. No. 114–23, 129 Stat. 268. להרחבה ראו כהנא ושני, לעיל ה"ש 1, בעמ' 88–94.
[5] CJEU, C-362/14 (Maximillian Schrems v Data Protection Commissioner) para. 36m 38–66 (Oct. 6, 2015).
[6] רונן ברגמן ועידו שברצטוך, "'הכלי', מאגר המידע הסודי של השב"כ, אוסף נתונים על כל אזרחי מדינת ישראל ויודע: איפה הייתם, עם מי דיברתם, ומתי עשיתם את זה" ידיעות אחרונות (25.3.2020).
[7]Ex Parte Jackson, 96 U.S. 727 (1877). למורכבות האבחנה בין מטאדאטה לבין תוכן בדין האמריקני ראו כהנא ושני, לעיל ה"ש 1, בעמ' 56–58. למורכבות ההגדרה של secondary data בדין הבריטי, ראו כהנא ושני, שם, בעמ' 145, ה"ש 490.
[8] ס'1 לחוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), התשס"ח-2007 (להלן: חוק נתוני תקשורת).
[9] ראו ס'4(א)(א1)(1) לחוק נתוני תקשורת כפי שתוקן על ידי תקנות שעת חירום (נתוני מיקום), התש"ף-2020 (להלן: תקש"ח קורונה (נתוני מיקום)), וכן ס' 4א(א) לחוק נתוני תקשורת לאחר התיקון המוצע בתזכיר חוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת) (תיקון מס'6)(קבלת נתוני מיקום לצורך פיקוח על קיום הוראת הבידוד), התש"ף-2020 (פורסם ביום 24.3.2020): "'לעניין סעיף זה "נתוני מיקום" – נתון מיקום אחרון של מנוי שנקלט בידי בעל רישיון בזק ואותו בלבד".
[10] ס' 11 לחוק שירות הביטחון הכללי, התשס"ב-2002 (להלן: חוק השב"כ).
[11] תק' 2 לתקנות שעת חירום (הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש), התש"ף-2020 (להלן: תקש"ח קורונה (שב"כ)).
[12] ס' 3(א) להחלטה מס' 4950 של ממשלת ישראל, הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורנה החדש וביטול החלטת ממשלה (31.3.2020), לפיה "'מידע טכנולוגי' – נתוני תקשורת מסוג נתוני זיהוי, נתוני מיקום ונתוני התקשרויות, למעט תוכן שיחה כמשמעותו בחוק האזנת סתר, התשל"ט-1979, כפי שאושר על ידי ועדת הכנסת לענייני השירות."
[13] David Cole, We kill people based on metadata, N.Y. Rev. of Books (May 10, 2014).
[14] Intelligence and Security Committee of Parliament, Privacy And Security: A Modern And Transparent Legal Framework (March 12, 2015). לעמדות דומות ראו גם European Commission For Democracy Through Law, Report On The Democratic Oversight OfSignals Intelligence Agencies, Para. 48 (Dec. 15, 2015) (להלן: דו"ח ונציה (סיגינט)); Parliamentary Joint Committee on Intelligence and Security, Review of the mandatory data retention regime, submission 29 by the Law Council of Australia Para. 71 (July 18, 2019) Daragh Murray & Pete Fussey, Bulk Surveillance in the Digital Age: Rethinking the Human Rights Law Approach to Bulk Monitoring of Communications Data, 52 Israel L. Rev. 31–60 (2019).
[15] עמיר כהנא "אפקט מצנן: מעקב מקוון בימי קורונה" CSRCL Blog (16.3.2020).
[16] ס' 7(6)(ב) לחוק השב"כ.
[17] תקש"ח קורונה (שב"כ) ותקש"ח קורונה (נתוני מיקום).
[18] תק' 11 לתקש"ח קורונה (שב"כ).
[19] לפי תק' 1 לתקש"ח קורונה (שב"כ) חולה הוא מי שלגביו קיים ממצא מעבדתי חיובי לנגיף הקורונה החדש (nCoV) או מי שרופא קבע שהוא חולה במחלה, או שקבע כי יש חשד שהוא חולה בה בהתאם להנחיות משרד הבריאות גם אם טרם התקבל ממצא מעבדתי כאמור.
[20] תק' 2 לתקש"ח קורונה (שב"כ).
[21] בג"ץ 2109/20 בן מאיר נ' ראש הממשלה (פורסם באר"ש, 19.3.2020).
[22] פס' 4(ב) לצו הביניים בעניין בן מאיר מגבילה את הפעלת תקש"ח קורונה (שב"כ) לאיתור מי ששהו בסביבת חולים עם ממצא מעבדתי חיובי ל-nCoV, בלבד. השוו לתק' 1 לתקש"ח קורונה (שב"כ).
[23] עניין בן מאיר, לעיל ה"ש 21, פס' 4(א).
[24] עניין בן מאיר, שם, פס' 4(ב).
[25] ישיבת ועדת המשנה הזמנית של ועדת החוץ והביטחון למודיעין ושירותים חשאיים (הצעת הממשלה להסמיך את שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש) מיום 26.3.2020. פרוטוקול הישיבה טרם פורסם. הקלטתה זמינה באתר הכנסת.
[26] ראו, למשל, בעמ' 1 להערות הצוות המשפטי של ועדת חוץ וביטחון של הכנסת, בחומרי הרקע לישיבת ועדת המשנה מיום 30.3.2020.
[27] ראו החלטת הממשלה מס' 4950, לעיל ה"ש 12.
[28] פרסיקו טוען כי תדרוכי השירות לעיתונות טרם חשיפת "הכלי" הם בגדר הטעייה מכוונת. כך, למשל, מצטט פרסיקו כתבה שבה נכתב כי "בארגון מסבירים כי לא תהיה שום חדירה למכשירים הניידים של האזרחים ולא ייאסף עליהם כל מידע אישי – פרט למיקום. עוד אומרים בשירות הביטחון הכללי כי הם לא יאזינו לשיחות או יסתכלו בהודעות אישיות." נראה כי נוסח תגובת השירות, כפי שהובאה בכתבה, מהלכת בין הטיפות במטרה שלא לאשש את קיומו של "הכלי", ולהפיס את החששות בציבור לפיהן השב"כ נדרש לאסוף נתוני מיקום במיוחד לצורך המעקב אחר חולי קורונה, וכי הוא לא מסתפק בהם בלבד (ולמשל, מאזין לשיחות, או חודר לתוכן השמור במכשירי קצה). ראו אורן פרסיקו "מעקבי הקורונה: כך סובב השב"כ את העיתונאים על האצבע הקטנה" העין השלישית (3.4.2020).
[29] ס' 7(א) לחוק השב"כ.
[30] השוו עם דו"ח ועדת הפיקוח לענייני פרטיות וחירויות אזרח (PCLOB) ביחס לתוכנית 215, תוכנית האיסוף הגורף של נתוני תקשורת שהפעילה הסוכנות לביטחון לאומי (NSA), לפיו לא נמצאה תרומה ישירה של תוכנית זו לגילוי וסיכול מתקפת טרור בלתי ידועה. PCLOB 2015, לעיל ה"ש 3, בעמ' 11.
[31] אפשר גם כי הכחשת לשכת ראש הממשלה לפיה "הטענה שראש הממשלה ביקש מראש השב"כ לבצע האזנות לרמטכ"ל ולראש המוסד מופרכת לחלוטין" [הדגשות שלי – ע"כ] אין בה כדי להכחיש בקשה לשימוש ב'כלי' על מנת לעקוב אחריהם. "'רה"מ נתניהו ביקש לצותת לראש המוסד והרמטכ"ל'" מעריב אונליין (31.5.2018).
[32] בפרשת הרפז סירב השב"כ להעביר למבקר המדינה נתוני תקשורת בטענה שלא ראוי שהשירות יעשה שימוש ביכולותיו למען עניינים שאינם נוגעים ישירות בתחומי אחריותו וסמכותו של השירות. מבקר המדינה, דו"ח ביקורת על פרשת 'מסמך הרפז' 24–25 (3.12.2012).
[33] ס' 11(ד) לחוק השב"כ.
[34] יוער כי לשון החוק האמריקנית הייתה, במידת מה, ברורה באותה המידה שלשון הדין הישראלי ברורה. ראו, למשל, את השימוש האמריקני במונח "any relevant tangible item" במסגרת הדין שעליו התבססה תוכנית 215. כהנא ושני, לעיל ה"ש 1 בעמ' 85–86. לדיון במקומם של סמנטיקה ושל פרשנות בדיני מעקב מקוון, ראו Maria Helen Murphy, Surveillance and the Law: Language, Power and Privacy (2018).
[35] ראו, למשל, כהנא ושני, לעיל ה"ש 1, בעמ' 52–53.
[36] ס' 11 לחוק השב"כ.
[37] כהגדרתם בס' 1 לחוק התקשורת (בזק ושידורים), התשמ"ב–1982 (להלן: חוק התקשורת).
[38] ס' 13(ב)(2) לחוק התקשורת.
[39] ס' 13(ד) לחוק התקשורת.
[40] בהערת אגב של בית המשפט בבג"ץ 3809/08 האגודה לזכויות אזרח נ' משטרת ישראל, פס' 37 (פורם באר"ש, 28.5.2012), אוזכר עניין עת"מ 890/07 התנועה לחופש המידע נ' משרד התקשורת (פורסם בנבו, 5.11.2007), שלפיו "אכן ישנם נספחים ביטחוניים סודיים המסדירים העברת נתוני תקשורת מחברות התקשורת לשירות הביטחון הכללי. עם זאת המשיבים שם מבהירים כי נספחים אלו אינם מסדירים את סמכויות שירות הביטחון הכללי לקבל את נתוני התקשורת אלא רק את האמצעים הטכניים לקבלתם, וכי הסמכויות לקבלת הנתונים כפופות לדין המהותי המסדיר אותן".
[41] ראו כהנא ושני, לעיל ה"ש 1, בעמ' 274–280.
[42] ס' 19 לחוק השב"כ; כהנא ושני, שם, בעמ' 280–281.
[43] ראו Margot E.Kaminski & Shane Witnov, The Conforming Effect: First Amendment Implications of Surveillance, Beyond Chilling Speech, 49 U. Rich. L. Rev. (2015) .
[44] רחל ארידור הרשקוביץ ותהילה שוורץ אלטשולר, הצעת חוק הגנת הפרטיות התשע"ט-2019 8 (המכון הישראלי לדמוקרטיה, 2019).
[45] עניין Schrems לעיל ה"ש 5, פס' 91–94. ראו גם ארידור הרשקוביץ ושוורץ אלטשולר, שם, בעמ' 18.
[46] ספק אם די בפיקוח רבעוני של משרד המשפטים לפי ס' 11(ד) לחוק השב"כ על השימוש ב"כלי", שעשוי להראות כחלק ממערך הפיקוח הפנימי של הרשות המבצעת על עצמה.
[47] מפאת קוצר היריעה, לא אנסה לאמוד כאן כיצד והאם ניתן להכשיר את "הכלי" תחת הדין האירופי. בעניין Big Brother Watch and others v. The United Kingdom Nos. 58170/13, 62322/14 and 24960/15 Eur. Ct. H.R. (2018) בית הדין האירופי לזכויות אדם (ECtHR) לא פסל מעיקרא פרקטיקות סיגינטיות של איסוף גורף, ואולם לפי שעה טרם פורסמה החלטתו בדיון הנוסף בעניין שנתקיים בלשכה המורחבת (grand chamber) בחודש יולי 2019, שאפשר ותגיע לתוצאה שונה. כמו כן, נראה כי ישנם הבדלים בין גישת בית הדין האירופי לזכויות אדם לבין בית הדין האירופי לצדק, שנוטה לשלול איסוף גורף מכל וכל.
[48] Hans Born & Gabriel Geisler Mesevage, Introducing Intelligence Oversight, inOverseeing Intelligence Services: A Toolkit 3, 17 (Hans Born and Aidan Wills, eds.,2012); Necessary and Proportionate: International Principles on the Application of Human Rights to Communications Surveillance 10 (2014); Council of Europe Commissioner for Human Rights, Democratic and effective oversight of national security services 14–15 (2015) (להלן: COEHR ).
[49] על היעדר ביקורת אקס אנטה על פעילות סיגינטית בישראל לתכליות ביטחוניות, ראו עמיר כהנא ויובל שני "כיסוי חלקי: ביקורת שיפוטית על מעקב מדינה מקוון בישראל" פרלמנט 83 (2019).
[50] Sarah Eskens, Ot van Daalen & Nico van Eijk, Ten standards for oversight and transparency of national intelligence services IViR 35–36 (Institute for Information Law, 2015); Born & Mesevage, לעיל ה"ש 48, בעמ' 20; דו"ח ונציה (סיגינט), לעיל ה"ש 14, פס' 20.
[51] Eskens et al., שם, בעמ' 36; COEHR, שם, בעמ' 11.
[52] לשימוש שעושה משטרת ישראל בנתוני תקשורת היסטוריים ראו התייחסות אצל כהנא ושני, לעיל ה"ש 1, בעמ' 253.
[53] להרחבה ראו כהנא ושני, שם, בעמ' 274–295.
[54] Mathew D. McCubbins and Thomas Schwartz, Congressional Oversight Overlooked: Police Patrols versus Fire Alarms 28 Am. J. Pol. Sci. 165–179 (1984).
[55] לתיאור הפיקוח של הקונגרס על קהיליית המודיעין במתווה של כיבוי שריפות, ראו, למשל, Loch K. Johnson, A shock theory of congressional accountability for intelligence, in Handbook of Intelligence Studies 343–360 (Loch K. Jhonson, Ed., 2006).
[56] כך גם הסיקו ברגמן ושברצטבוך לאחר שראיינו חלק מיוצאי ועדת המשנה.