המשך השימוש של המשטרה ברוגלות להאזנת סתר בכפוף לתנאים מסוימים, התאמת הכלים הטכנולוגיים המשמשים להאזנה לסמכויות המשטרה, יישום מנגנוני פיקוח ובקרה מקצועיים ומשפטיים, ותיקון של חוק האזנת סתר כך שיסדיר סוגיות של מעקב בעידן הדיגיטלי – אלה ההמלצות העיקריות של הצוות לבדיקת האזנות סתר לתקשורת בין מחשבים, שפורסמו אתמול (ב') בדו"ח מקיף, המתפרש על פני כמאה עמודים. בין ממצאי הדו"ח - המשטרה התעלמה מדרישת הייעוץ המשפטי לממשלה לנוון בתוכנת המעקב יכולות לאסוף פרטי אנשי קשר, פגישות, פתקים ורשימת אפליקציות - ולא דיווחה לייעוץ על אופן פעולת המערכת והפוטנציאל שלה לחרוג מסמכויות המשטרה לפי דין.
הצוות מונה בסוף חודש ינואר על ידי היועץ המשפטי לשעבר מנדלבליט, בעקבות תחקיר כלכליסט שטען כי המשטרה עוקבת אחר אזרחים באמצעות "פגסוס" של חברת NSO, בלא קבלת מידע מודיעני ובירור החשדות קודם לביצוע ההאזנה, וממילא בלא קבלת צו שיפוטי מתאים – ותוך איסוף מידע עודף. לטענת התחקיר העתונאי הפעולות בוצעו בחריגה מסמכות המשטרה לפי חוק האזנת סתר, התשל"ט-1979 ולביצוע האזנת סתר לצורך מניעה, גילוי או חקירה של עבירות פשע, בכפוף לאישור בית משפט מחוזי בלבד (או, במקרים דחופים, ללא היתר ולמשך 48 שעות בלבד). בסוף חודש פברואר פרסם הצוות, שבראשו עומדת המשנה ליועמ"ש עו"ד עמית מררי, דו"ח ממצאים שבו נאמר כי המשטרה ניסתה להדביק ברוגלה רק שניים מתוך כלל מספרי הטלפון שנטען בתחקיר כלכליסט כי הודבקו – שניהם, לאחר קבלת צו בית משפט מתאים.
בהמשך לדו"ח הממצאים, פורסם אתמול הדו"ח המקיף שבוחן לעומק את העיסוק המשטרתי בהאזנות סתר ואת מידת ואופן התאמתם של הכלים המצויים בידי המשטרה לסמכויות הנתונות לה לפי חוק. לפי הדו"ח, בבדיקת המומחים הטכנולוגיים אותרו במערכת "סייפן" - תוכנת NSO המשמשת את המשטרה - ארבעה מקרים של ניסיונות להדבקת מכשירי טלפון ברוגלה ללא צו שיפוטי. כל המקרים הסתיימה ללא הצלחה וכולם, לטענת המשטרה, היו "טעויות בתום לב". במערכות מעקב נוספות שבידי המשטרה לא נמצאו אינדיקציות לניסיונות הדבקה ללא צו שיפוטי. לפיכך, התרשם צוות הבדיקה כי "קיימת בחטיבת הסייבר הקפדה על ביצוע האזנה רק לאחר קבלת צווים כדין".
באשר לטענה לפיה המשטרה אוספת מידע עודף, שאינו מותר על פי דין, נמצא כי אכן קיימות חריגות ביכולות הטכנולוגיות של מערכת סייפן של המשטרה, באופן המאפשר לה לקבל תוצרים מסוימים שאינם מותרים לפי החוק. ראשית, המערכת מסוגלת לאתר במכשיר היעד חומרים שנוצרו קודם למועד ההדבקה ואף קודם למועד הצו. למימוש יכולת זו של המערכת נדרשת הפעלה אקטיבית שלה – וכך המשטרה אכן עשתה במספר מקרים, בניגוד להנחיות המפורשות של הייעוץ המשפטי לפיהן היה עליה לנוון מ"סייפן" יכולות טכנולוגיות החורגות מהסמכויות הנתונות לה בחוק.
שנית, "סייפן" אפשרה איסוף מידע שאינו מהווה תקשורת בין מחשבים, כגון פרטי יומן, אנשי קשר ופתקים האגורים במכשיר, וזאת בניגוד לנוהלי חטיבת הסייבר האוסרים על הפקת מידע כאמור. במקרה זה, הייתה אפשרות להגביל מראש במערכת את איסוף המידע האסור, אך המשטרה לא מימשה אפשרות זו. יצוין כי פעולות אלה לא הובאו לידיעת הייעוץ המשפטי למשטרה, על אף שמדובר בסוגיות הנוגעות לשורש גדרי סמכויותיה של המשטרה, ולמרות שחטיבת הסייבר נדרשת לעשות כן על פי חוק. law.co.il מעיר כי פעולותיה של המשטרה בחריגה בוטה מסמכויותיה מהוות, הלכה למעשה, פגיעה בפרטיות שאינה מידתית – קרי, שאינה עומדת בתנאי פסקת ההגבלה שבחוק יסוד כבוד האדם וחירותו – ומכאן שאינה חוקתית.
בניגוד לרושם, דוח מררי הוא דוח חמור שמעיד על כשלים משמעותיים בתיפקוד המשטרה וכתוצאה מכך - פגיעה קשה בפרטיות ובזכויות חשודים. הצוות קבע שהמשטרה שאבה בניגוד לחוק ולצווים שיפוטיים מידע מטלפונים שהודבקו ברוגלה. אבל...
— גיל جيل Gil Gan-Mor 🌈 (@Gil_GanMor) August 1, 2022
בקשר עם ממצאים אלה קבע צוות הבדיקה כי אמנם היה על המשטרה לבצע את החסימות הטכנולוגיות הנדרשות מראש, אך להתרשמותו, ו"מבלי להקל ראש בהיקף הפגיעה בפרטיות" אי ניוון המערכת לא נבע מרצון המשטרה לעשות שימוש במידע החורג, אלא מהסתמכותה על האיסור (הבלתי מספק) הקבוע בנוהלי חטיבת הסייבר, ומהיעדר הבנה מעמיקה של הטכנולוגיות המשמשות להאזנת סתר.
בהתבסס על ממצאיו מליץ צוות מררי שורה של המלצות, שבראשן ההמלצה להמשיך לאפשר למשטרה לבצע האזנות סתר באמצעות הדבקת מכשירי טלפון ברוגלות, בכפוף לכך שיבוצעו כלל החסימות הטכנולוגיות הנדרשות (ותוך בחינת הצורך בהטלת מגבלות נוספות, לפי העניין), בציות לנהלים ברורים שיאושרו על ידי היועצת המשפטית לממשלה, ובפיקוח מוגבר מטעמה. עוד נקבע בהקשר זה, כי הסמכות המוקנית למשטרה להיכנס למקום כדי לבצע בו האזנת סתר, טומנת בחובה גם סמכות "להיכנס" לאינטרנט כדי לבצע האזנה כאמור – היינו, סמכות להדביק מכשירי טלפון ברוגלה, בין השאר. על פרשנות מרחיקת לכת זו כתב בטוויטר פרופ' מיכאל בירנהק:
דוח מררי: את סיכום ההמלצות תקראו אצל אחרים ובדוח עצמו, אז הנה הערותיי:
— Michael Birnhack (@Birnhack) August 1, 2022
1. חשיבות התחקיר של @calcalist עצומה. העיתון אולי לא דייק בכל הפרטים, אבל חשף את הבלגן והפרטאצ' (מילים שלי, לא של הדוח) במשטרה ובפרקליטות בנושא הזה. המלצות מררי חשובות מאוד, בעיקר אם ייושמו.
אבל >>
בין השאר, כלל הדו"ח גם את ההמלצות הבאות –
- התאמת הכלים הטכנולוגיים לסמכויות המשטרה – קביעת איסורים בנוהלי המשטרה אינה מספקת. יש לוודא כי קיימים חסמים מספקים שיבטיחו כי המערכות הטכנולוגיות שהמשטרה עושה בהן שימוש להאזנת סתר אינן חורגות מהסמכויות הנתונות לה על פי חוק.
- ליווי משפטי צמוד של הייעוץ המשפטי למשטרה – המשטרה נדרשת לעדכן את הייעוץ המשפטי למשטרה בכל סוגיה המחייבת את ידיעתו ומעורבותו, ובייחוד אלה שיש בהן רגישות ציבורית מיוחדת ואשר נוגעות לשורש שאלת הסמכות של המשטרה. כמו כן, יש לקבל את אישור הייעוץ המשפטי לממשלה טרם הטמעה של כל כלי טכנולוגי חדש שהמשטרה מעוניינת להשתמש בו להאזנות סתר, על מנת לאפשר דיון עקרוני בכלי, ביכולותיו בטכנולוגיות, ובפוטנציאל שלו לחריגה מסמכויות המשטרה הקבועות בחוק.
- מנגנוני פיקוח ובקרה – על המשטרה להטמיע מנגנוני בקרה ופיקוח שיאפשרו בחינה עיתית של התאמת האמצעים המשמשים להאזנת הסתר והתוצרים המופקים מהם להוראות החוק, הצווים השיפוטיים ונוהלי המשטרה. בנוסף, על כל מערכת להאזנת סתר לכלול בסיס נתונים כדי לאפשר הפקת נתונים בקלות ביחס לכל אחד משלבי תהליך ההאזנה, לשם מעקב ופיקוח.
- טיוב נוסח הבקשות להיתרי האזנת סתר – על הבקשות המוגשות לבתי המשפט לקבלת צו שיפוטי להאזנת סתר להרחיב באשר לשיטת ההאזנה שהמשטרה מעוניינת ליישם, ולהיות קונקרטיות ככל הניתן בנוגע לסוגי המידע הנדרשים בפועל עבור החקירה.
- תיקון חוק האזנת סתר – לעמדת צוות הבדיקה, קיים צורך ממשי בתיקון החקיקה, כך שתסדיר בבירור את גבולות סמכויות המשטרה ואופן הפעלתן, בהתחשב במאפיינים הייחודיים של הפגיעה בפרטיות הכרוכה בהאזנת הסתר באמצעים טכנולוגיים כמו רוגלות.
law.co.il מסכם - המשטרה חרגה מסמכותה לפי חוק (דרך מעודנת לתאר פגיעה רחבת היקף בזכות לפרטיות של אזרחים; דרך מדויקת יותר היא לומר שהמשטרה הפרה את החוק), לא ניוונה את תוכנת המעקב בניגוד להנחיית הייעוץ המשפטי לממשלה ולא דיווחה לו על אופן פעולת המערכת (AKA "רחמים לא ידע"... כלומר, הייעוץ ידע שיש תוכנה פולשנית שצריך לנוון אבל לא בחן אם אמנם קוימו הנחיותיו) - אבל איש לא נדרש לתת על כך את הדין. כיף בשירות הציבורי.