מגזין ברשת

משפט המכונה: אבטחת מידע וחוק המחשבים, ד"ר מיכאל בירנהק

[המאמר פורסם לראשונה בכתב העת שערי משפט ד (2006) 315.]

א. מבוא

פרשת "הסוס הטרויאני" שנחשפה בסוף חודש מאי 2005 היכתה את הציבור בתדהמה: לפי החשד, חברות מובילות במשק נעזרו בשירותיהם של חוקרים פרטיים כדי להחדיר תוכנת ריגול, "סוס טרויאני", למחשביהן של חברות מתחרות.1 "סוס טרויאני" מאפשר "לשאוב" מידע רגיש ממחשבי הקורבן, ללא רשות, כמובן, ולא ידיעת הקורבן, ומכאן הכינוי של תוכנות ריגול מעין אלה. הפרשה עוררה עניין רב, ובעת כתיבת מאמר זה היא מתגלגלת בבתי המשפט. מובן שהמשפט הוא רק כלי אחד להתמודד עם תופעות מעין אלה, ולצידו אמורות לפעול מערכות חברתיות של חינוך, אתיקה ועוד. האם בידי המשפט כלים להתמודד עם ריגול תעשייתי המתבצע באמצעות מערכות מחשב? אני סבור שחוק המחשבים, התשנ"ה-1995 (להלן: החוק) מספק מענה הולם, אלא שככל חוק, גם הוא טעון פרשנות. מאמר זה מציע פרשנות תכליתית של החוק, שקושרת אותו לעקרונות יסוד של אבטחת מידע, המקובלים במדעי המחשב. פרשנות תכליתית זו באה על רקע תפישה רחבה יותר של יחס דיאלקטי בין משפט לטכנולוגיה. זהו ציר אחד של המאמר.

ציר שני של המאמר יבחן את היישום השיפוטי של החוק בעשור האחרון. האם הצליח החוק במשימתו? האם יכול המשפט להסדיר את הטכנולוגיה? הדיון שאציע כאן בוחן את פסקי הדין שהצטברו בעשור האחרון בקשר לחוק ומבקש לשאול מהי עמדת בתי המשפט בבואם להחיל חוק על טכנולוגיה:2 האם הם סבורים שהמשפט יכול לחול באשר הוא? האם הם סבורים שהטכנולוגיה חסינה מפני המשפט? בדיקה זו אינה פשוטה, שכן הפסיקה מצומצמת; אין עדיין פסיקה מנחה של בית המשפט העליון ורוב פסקי הדין הם גזרי דין שניתנו בעקבות הסדרי טיעון או החלטות בקשר למעצר חשודים. עם זאת, ניתן כבר כעת להצביע על שתי עמדות שונות מאוד, או על שני נרטיבים כמעט הפוכים, העולים מתוך הפסיקה. האחד מגולם בעניין אהוד טננבאום ("האנלייזר"), והשני בעניין אבי מזרחי.3 העמדה הראשונה, זו שבעניין טננבאום, מקצה לבית המשפט תפקיד מרכזי בהגנת הטכנולוגיה, אולם למצער, מבלי שמתנהל שיח מספק בין המשפט לטכנולוגיה. בעניין מזרחי נמצא שיח כזה, וגם התוצאה, בהתאמה, עדיפה בעיניי.

ב. על משפט ועל טכנולוגיה

1. הצגת השאלה

מהו היחס שבין משפט לטכנולוגיה?4 שאלה זו הטרידה ומטרידה רבים. כל עוד התפתחה הטכנולוגיה בעצלתיים, ובימים בהם רק חלק מהארץ מלאה משפט, ההתנגשויות בין משפט לטכנולוגיה היו מעטות. הקצב המהיר של התפתחות הטכנולוגיה בסוף המאה הקודמת מחייב תשובה. האם ראוי שהמשפט יסדיר את הטכנולוגיה? האם המשפט יכול לכך? עד כה, המשפט היה הזירה החברתית הטבעית של הסדרת ההתנהגות האנושית. אולי כעת המשפט מיותר, שכן "הקוד הוא המשפט", כלומר, אולי הטכנולוגיה משפיעה על התנהגותנו יותר מאשר המשפט?5

במאמר זה אטען שיש להבין את היחס שבין משפט לטכנולוגיה כיחס דיאלקטי, ואציע לפרש את חוק המחשבים על רקע הבנה זו. בהתאם, אציע לפרש את החוק כך שיהיה קרוב יותר לעולם הטכנולוגי אותו הוא מבקש להסדיר ולפי עקרונות המשקפים הבנה רצויה של התפתחות הטכנולוגיה ומקומו של המשפט בהתפתחות כזו. אלה מתבססים על עקרונות אבטחת המידע המקובלים בקשר למערכות מידע: אטען שיש לאתר את הערך החברתי המוגן על ידי החוק בעקרונות האבטחה הטכנולוגיים.

אפתח בשרטוט מסגרת הדיון, שהיא היחס שבין משפט לטכנולוגיה. מסגרת זו הכרחית בעיניי כדי להבין את חוק המחשבים, לפרשו ולהפעילו בתבונה. אטען, כי בעת עיצוב מדיניות משפטית לטכנולוגיה, עלינו לאמץ נקודת מבט רחבה של דיני מידע: זו מסגרת שעֵרה ליחס המורכב בין משפט, טכנולוגיה וחברה. יש לפרש את כללי המשפט הקיימים או לעצב כללים חדשים, תוך גזירתם מערכים חברתיים ותוך דו-שיח עם מאפייניה הייחודיים הרלוונטיים של הטכנולוגיה שבה מדובר. תפישה כזאת מקנה עדיפות עקרונית לערכים חברתיים ואתיים על פני הטכנולוגיה, ואינה נופלת ברשתה כדבר מובן מאליו, אך גם אינה מתעלמת ממנה. התפישה הזאת מדגישה את הדינמיות של היחסים שבין משפט, ערכים וטכנולוגיה. זו הטענה, וכעת אסביר אותה.

2. דטרמיניזם טכנולוגי או אימפריאליזם משפטי?

מהו, אם כן, היחס שבין משפט לטכנולוגיה? תשובה קיצונית אחת היא עמדת הדטרמיניזם הטכנולוגי.6 לפיה, למשפט אין ברירה אלא לסגת מפני הטכנולוגיה. לפי עמדה זו, ניסיונות ההתערבות של המשפט עלולים להזיק להתפתחות הטכנולוגיה, הם בגדר איוולת, ובכל מקרה סופם להיכשל. כאן אתמקד בסביבה הדיגיטלית. המצדדים בעמדה הדטרמיניסטית מזכירים שהאינטרנט בנויה כרשת מבוזרת, כלומר, מבחינה טכנולוגית, שלטונית, ולמעשה מכל בחינה, אין לה מרכז. בהיעדר מרכז ששולט בכל קצות הרשת, אין למשפט מקום להניח את ידו. עוד מוזכר בהקשר הזה האופי הגלובלי של הרשת: למשל, גם אם מדינה פלונית תטיל צנזורה על אתר אינטרנט בשיטחה, יצוץ הטקסט המצונזר בנקודה אחרת בעולם.7 אבל הטענה אינה רק כי קשה לאכוף את המשפט ברשת. הטענה הדטרמיניסטית חזקה יותר, שכן היא מניחה שהטכנולוגיה נוצרת יש מאין, שהיא בלתי נמנעת, שהיא מתנהלת לפי "חוקים משלה", ואינה כפופה למשפט הקיים. נובע מכך כי למשפט אין בכלל מקום בהסדרת הטכנולוגיה.8

תשובה קיצונית הפוכה היא עמדה שאכנה אותה "עמדה משפטנית טהורה". לפי עמדה זו, הטכנולוגיה החדשה היא, לכל היותר, עילה לבחון מחדש הסדר משפטי קיים ולעדכנו, אולם ידו של המשפט היא שצריכה להיות על העליונה. עמדה כזו מניחה שהטכנולוגיה היא תוצר פעילות אנושית ככל פעולה אחרת, אין לה ייחוד מן הבחינה המשפטית וודאי שאין לקבל, לפי עמדה זו, שהטכנולוגיה מתנהלת לפי מערכת כללים עצמאית.9 בעיקר, המחזיקים בעמדה זו מקפידים על עקרונות יסוד של שיטת הממשל, כמו למשל ריבונות המדינה: העובדה שהרשת מאפשרת פעילות חוצת-גבולות אינה טעם, לשיטתם, לוותר על ריבונות המדינה.10

נדמה לי שהיחס בין המשפט לבין הטכנולוגיה מורכב יותר משתי אפשרויות הקיצון האלה, וכדי להבין את היחס המורכב הזה עלינו לפענח מעט יותר את "המשפט", ומעט יותר את "הטכנולוגיה". למשל, עלינו לשאול שאלות כמו כיצד נוצרת טכנולוגיה? אני סבור שיש, כעניין מצוי, רב-שיח בין המשפט לבין הטכנולוגיה, כלומר בין המחוקקים, בתי המשפט ושאר יוצרי-משפט מצד אחד, לבין יוצרי הטכנולוגיה מצד שני, הפועלים במסגרת תאגידית או במסגרת עצמאית/פרטית, ולבין משתמשי הטכנולוגיה, מצד שלישי. השיח שבין המשפט לטכנולוגיה מורכב: לעיתים שני הכוחות חוברים לסייע זה לזה בהשגת יעד חברתי מסוים.11 לעיתים הם רודפים זה אחר זה ומציעים חלופות המתנגשות זו בזו.12 בדרך זו הם משפיעים זה על זה, ויש ביניהם יחס דיאלקטי.

3. דיני מידע

כדי להכריע בתחרות שבין המשפט לטכנולוגיה, יש לתת את הדעת לגורם שלישי, והוא הערכים החברתיים והאתיים.13 הוספת הערכים לדיון הופכת את הציר "משפט-טכנולוגיה" למשולש: "ערכים-משפט-טכנולוגיה". אקרא לכך מודל המשולש של דיני המידע. הערכים עצמם אינם מקובעים. בחברה הדמוקרטית ישנם ערכים רבים המתגוששים ביניהם. ערכים חדשים דוחקים ישנים. לעיתים חברה מאמצת ומעדיפה ערך אחד על פני אחר, ולעיתים חוזרת ומעדיפה את האחר על פני האחד. מובן גם שהערכים שונים ממקום למקום: במדינה אחת מקדשים את חופש הביטוי גם במחיר פגיעה ברגשות, למשל כאשר נאמרים דברי שטנה נגד קבוצת מיעוט, ובמדינה אחרת מסרבים להגן על ביטוי-שנאה שכאלה.

4. עיצוב מדיניות טכנולוגית

אם המשפט מגלם ערכים, ואם גם הטכנולוגיה מגלמת ערכים, אפשר היה להסיק שעיצוב המדיניות לסביבה הטכנולוגית מוגבל רק לדיון בערכים עצמם, ובמונחי המשולש של דיני המידע שהוצג לעיל, רק לקודקוד של הערכים. האם בעת עיצוב מדיניות אפשר להתעלם מהטכנולוגיה שבה מדובר? אני סבור שהתשובה שלילית. לטכנולוגיה יש תפקיד מכשירני בעיצוב מדיניות. היא מהווה עילה טובה לבחון מחדש את ערכינו: היא מאתגרת אותנו ויוצרת מצבים חדשים שעלינו להתמודד עימם. מה תוכנם של הערכים ומה משמעותם? אולי יש מקום לשנות את סדרי העדיפות שלנו בקשר לערכים? לטכנולוגיה יש גם תפקיד מעשי. היא מהווה את המנוע של הפעילות האנושית אותה אנו מבקשים להסדיר. זו נקודה בסיסית: המשפט מסדיר התנהגות אנושית, ולא טכנולוגיה לכשעצמה. גם אם נדמה לנו שיש הסדרה של הטכנולוגיה, הרי המטרה היא - או ראוי שתהיה - להשפיע על ההתנהגות של המשתמשים בה.

מהדיון עד כה עולה הנחיה כללית לעיצוב מדיניות בסביבה הדיגיטלית, ולפיה כללי המשפט הקיים הם תחילתו של דיון, שצריך להפנות אותנו לערכים שמהם נגזרים כללי המשפט, ולהזכיר לנו שגם הערכים ניצים ביניהם ואינם מוחלטים. בין אלה יש למנות גם ערכים במובן המוסרי וגם במובן החברתי, ובכלל זה ערכים של שוק חופשי, במידה שבה אנו מחזיקים בהם. זו תפישה שמזכירה לנו שהטכנולוגיה אינה חסינה מפני הסדרה, אבל בד בבד, אין להתעלם ממנה. בעיצוב כללים משפטיים חדשים או בעת פרשנות כללים קיימים, יש להיות ערים לטכנולוגיה, ללמוד את מאפייניה הרלוונטיים, ולחלץ את הערכים המגולמים בה. הטעם לכך הוא שהטכנולוגיה מאתגרת את הערכים. היא יוצרת מצבים חדשים, אשר אין לנו תשובה מן-המוכן לגביהם. היא חושפת את קוצר ידם של ערכים מסוימים ואת עוצמתם של ערכים אחרים. בנוסף, רב-השיח שבין הערכים, המשפט והטכנולוגיה נדרש כדי שהכלל המשפטי הנגזר מהערכים יהיה אפקטיבי: אין טעם או היגיון בכלל משפטי שאינו ישים לרשת, או שניתן לסכלו בקלות, באמצעות טכנולוגיה מתאימה.

הלקח שנלמד מהדיון במודל המשולש של דיני המידע הוא שכדי לעצב משפט חדש, או לענייננו ברשימה זו, כדי לפרש את חוק המחשבים, המשפט צריך לנהל דו-שיח עם הטכנולוגיה. יוצרי המשפט חייבים ללמוד את הטכנולוגיה אותה הם מבקשים להסדיר, אבל לא רק. אין די בלימוד הטכנולוגיה המונחת על השולחן, אלא צריך להבין תהליכים מורכבים יותר: כיצד נוצרת טכנולוגיה, כצד היא מתקדמת, כיצד היא מושפעת או עלולה להיות מושפעת מכלל משפטי חדש? על המשפט להתערב רק כאשר הערכים המנחים אותו מגובשים וחזקים, רק כאשר הדבר אפשרי, ורק כאשר תוצאות ההתערבות אינן מזיקות יותר משהן מועילות. גם תהליך זה הוא דינאמי, ולמעשה, אינסופי. בנוסף, השיח הנדרש שבין המשפט לטכנולוגיה צריך להימשך כל העת: הטכנולוגיה משתנה, משמעותה משתנה, ולכן תוכן השיח משתנה, ובהתאם, נדרש שינוי בתוצאות השיח. ולענייננו, כדי לפרש את חוק המחשבים בצורה האופטימאלית, עלינו לערוך בירור ערכי: מהו הערך המוגן על-ידי החוק? זו פרשנות תכליתית, כמקובל במשפט הישראלי. אלא שיש ללמוד את הטכנולוגיה. לראות מה מאפייניה. לחשוב אילו מהם אנו מעוניינים להעצים ואילו אנו מעוניינים לצמצם. לאחר שנסיק מסקנות ערכיות מבירור כזה ונלמד את הטכנולוגיה בה מדובר, אין לחשוש מהטלת הערכים על הטכנולוגיה, במגבלת תכונותיה.

הדיון שלהלן בחוק המחשבים נועד להמחיש כיצד מיושמת המסגרת הכללית של דיני מידע: כיצד הכלל המשפטי נגזרת מתוך האינטראקציה המורכבת שבין המשפט לבין הטכנולוגיה, שמנהלים ביניהם שיח נמשך שיש בו היזון הדדי.

ג. על חוק המחשבים

חוק המחשבים כולל מספר עבירות פליליות שמקצתן מוגדר גם כעוולות אזרחיות. החוק אוסר פעולות מסוימות הנתפסות כשליליות ומזיקות, הקשורות למחשב.17 כדי למקד את הדיון, אצביע על מספר אבחנות מוכרות.18 אבחנה ראשונה היא בין עבירות באמצעות מחשב לעבירות כנגד מחשב, שהן פעולות שמטרתן היא הפגיעה במחשב עצמו או במערכות המחשב.19 כך למשל, עבריינים הקושרים ביניהם קשר לבצע עבירה באמצעות חילופי דואר אלקטרוני משתמשים אמנם במחשב, אולם השימוש במחשב הוא אגבי ומקרי: באותה מידה היו יכולים להשתמש בטלפון, שיחה פנים אל פנים וכדומה. העיקר כאן הוא קשירת הקשר. החוק קובע עבירה נפרדת, שעונשה חמור יותר, למי שמבצע חדירה לחומר מחשב כדי לעבור עבירה אחרת (סעיף 5). בכמה מקרים ציינו בתי המשפט את השימוש במחשב או ברשת האינטרנט כנסיבה מחמירה, למשל בהקשר של תרמית בניירות ערך שבוצעה באמצעות פרסום הודעות כוזבות באתר אינטרנט.20

אבחנה שנייה, היא שגם כאשר המחשב הוא היעד לפעולה האסורה, יש להבחין בין פעולות שנועדו לגרום נזק למחשב עצמו, לבין פעולות שנועדו לגרום נזק מחוץ למחשב עצמו. למשל, טרוריסט המחבל במערכת מחשב של תשתיות לאומיות קריטיות כמו מחשבי חברת החשמל, חברות הטלפון, מערכת בקרת רמזורים או בקרה אווירית. שיבוש פעולת המחשב במקרה כזה נועד לפגוע בתשתיות הקריטיות. השימוש במחשב אינו כאמצעי תקשורת לעבור עבירה אחרת כמו בדוגמת הקשר הפלילי, אלא מטרתו היא לגרום לנזק ממשי בעולם המוחשי. במקרים כאלה, המקום המשפטי המתאים לבחון את הפעולה החשודה הוא דיני העונשין הכלליים, האוסרים רצח, חבלה וכיוצא בזה, וברור כי מבחינת חומרת המעשים, העבירה שלפי סעיף 5 לחוק, של עבירה באמצעות מחשב מתגמדת נוכח העבירה האחרת. כמו כן, אם נגרם נזק למחשב עצמו - הרי ניתן להעמיד לדין גם בגין עבירה לפי חוק המחשבים, אולם שוב, ברור כי היא טפלה לעבירה העיקרית.

בהקשר זה, מטריד הזיהוי התכוף שיוצרים מחוקקים בעולם בין עבירות מחשב לעבירות טרור.21 הנזקים שגורמים הטרוריסט ועבריין המחשב שונים בדרך כלל וגם כוונתם והמניע שלהם שונה. הקושי הוא שלמפעיל המערכת הנפרצת אין בדרך כלל יכולת להבחין ביניהם.22 החשש בטשטוש הגבול שבין הטרוריסט לעבריין המחשב הוא ההחמרה הניכרת שאינה במקומה ביחס לפעולות עבריין המחשב. לפחות חלק מאלה המהלכים על גבולו של חוק המחשבים אינם עבריינים, אלא חוקרי מחשבים, המבקשים ללמוד, לדעת, להבין. הדימוי הרומנטי של עברייני המחשב נכון לא אחת, ופעמים רבות מדובר בנערים סקרנים, אשר בהתבגרם הופכים להיות מובילים במחקר מחשבים או מומחים לאבטחת מידע. המחיר החברתי שאנו משלמים בהאחדת היחס לטרוריסט ולעבריין המחשב הוא הרתעת-יתר של חוקרי מחשב (נערים סקרנים או מיזמי אינטרנט) מפני ניסיון, לימוד ומחקר של מערכות מחשבים, הצפנה ומערכות אבטחה. אמנם, אפשר להבדיל בין הטרוריסט לחוקרי המחשבים באמצעות ענישה, אולם מאחר שבדרך כלל רק החוקר ייתפס, ומאחר שהכוח המרתיע של האיסור משפיע עליו יותר מאשר על הטרוריסט, יש חשש להרתעת יתר כאמור. בנוסף, וכפי שאסביר בהמשך, פעולתו של החוקר הסקרן חיובית ורצויה מבחינת חברתית, שכן זהו אמצעי לימוד מרכזי ואמצעי בקרה ביטחונית יעיל מבחינה חברתית. המחיר של כלל מחמיר במיוחד הוא גם שאננות של מפעילי אתרים, העלולים לסמוך על החוק לבדו.23

המוקד במאמר זה הוא, אם כן, בעבירות שיעדן הסופי הוא המחשב: נבחן את פעולתו של עבריין המחשבים המבקש להזיק למערכת המחשב עצמה. העבירות המרכזיות שבחוק המחשבים הן שיבוש או הפרעה למחשב (סעיף 2), העברת מידע כוזב או אחסונו (סעיף 3), חדירה לחומר מחשב (סעיף 4) ועריכת נגיף מחשב (וירוס) או הפצתו (סעיף 6). מבין אלה, ראויה לעיון מיוחד העבירה של חדירה לחומר מחשב. אמנם, כדי להרשיע בעבירה זו אין צורך להוכיח נזק, כלומר נזק אינו יסוד מיסודות העבירה, אולם חשוב לזהות את הערך המוגן על ידי העבירה, וזה אינו פשוט כלל וכלל לזיהוי: לא במקרה התעוררה מחלוקת בין פסקי הדין שיידונו בהמשך בקשר לעבירה זו דווקא, ולא במקרה יש הנחות רקע מנוגדות של השופטים בקשר לעבירה.

עוד הערה לסדר: איני מציע כאן ניתוח מלא של העבירה הפלילית. איני דן כאן במחשבה הפלילית הנדרשת להרשעה, או בשאלה של מרכיבי העבירות הנדרשים.24 המטרה כללית יותר: לזהות ברמת חידוד גבוהה יותר מזו הקיימת בהיסטוריה החקיקתית או בפסיקה את הערך החברתי המוגן על ידי העבירות שבחוק המחשבים. הטענה המרכזית היא שראוי לזהות את הערך החברתי המוגן בחוק המחשבים עם עקרונות האבטחה המקובלים בעולם המחשבים ומערכות המידע. עמדה כזו תוכל לדייק יותר בשרטוט הקו שבין פעולות רצויות ועידודן לבין הפעולות שאינן רצויות ויש להרתיע מפני ביצוען או להעניש בגינן. עמדה כזו תואמת גם את המודל של דיני מידע שהצגתי לעיל, בדבר עיצוב כללים משפטיים תוך דיאלוג של המשפט עם הטכנולוגיה.

נראה כי נסחי החוק פעלו מתוך מודעות לטכנולוגיה ולדו-שיח עימה.25 ההיסטוריה החקיקתית, במבט של עשור לאחור, נראית אנכרוניסטית ואפילו משעשעת, אולם יש להעריך את קפיצת המדרגה שנעשתה בשעתה. נסחי החוק נדרשו להבהיר שהחוק מיועד להגן על הפעילות במחשב, ולא על המחשב הפיזי. לפיכך, תפיסות קנייניות והגנות משפטיות מפני גזל, למשל, שהיו בדין הקיים לא היו רלוונטיות. כיום אבחנה זו, בין הגנה על המחשב להגנה על השימוש בו, נראית מובנת מאליה: זה ההבדל שבין אטומים לסיביות (ביטים).26 החוק מגן רק על הסיביות.27

כיצד יש להבין את החוק לפי המודל של דיני המידע? או במילים אחרות, מהי תפיסת החוק, כפי שהיא מגולמת בהוראותיו וכפי שפורשה על ידי בתי המשפט, באשר ליחס שבין משפט לטכנולוגיה? מקריאת החוק ומשמו ברור כי המחוקק היה מודע לכך שהוא מנסה להתערב ולהסדיר את השימוש בטכנולוגיה. החוק ודאי אינו מגלם עמדה של דטרמיניזם טכנולוגי. דברי ההסבר לחוק מונים מספר טעמים בקשר לצורך בחקיקת החוק, והראשון שבהם הוא "המקום המרכזי שהמחשב תופס בכל שטחי הפעילות של החברה המודרנית מחייב חקיקה כדי להגן כראוי על האינטרסים המגוונים המקודמים על-ידי המחשב".28 כלומר, המחשבים, וברמת הפשטה גבוהה יותר, הטכנולוגיה, נתפסים כאמצעי חיובי להשגת מטרות אחרות, רצויות לכשעצמן. התפקיד של הטכנולוגיה מוצג כאן כמכשירני. המחשב אינו יעד לכשעצמו. החוק, בתורו, כך עולה הן מההיסטוריה החקיקתית והן מלשונו, נועד לסייע לטכנולוגיה. אין מדובר כאן בחוק הנאבק בטכנולוגיה הנתפסת בעיני המדינה כשלילית,29 מסוכנת,30 או מזיקה לאינטרס ציבורי חשוב אחר.31 להיפך. החוק נועד לתמוך ולחזק. מיד בהמשך, מזכירים דברי ההסבר את עבריינות המחשבים, תוך הערה כי קשה להתאים את הדין הקיים לעבירות החדשות,32 ובהמשך דברי ההסבר, מודגש הצורך להגן מפני שימוש לרעה במחשב.33 מכל האמור עולה כי תכלית החוק נוסחה באופן רחב יחסית, כהגנה על השימוש במחשבים. בחלוף עשור משפטי, ושנות דור טכנולוגיות, אפשר לנסח את תכלית החוק בדרך ממוקדת יותר: החוק נועד להגן על עקרונות אבטחת המידע.

ד. אבטחת מידע

את העבירות הקבועות בחוק המחשבים יש לפרש בתוך מסגרת כללית של דיני מידע, כלומר מתוך הבנה של היחס הדיאלקטי שבין משפט לטכנולוגיה. את הכלל המשפטי יש לעצב תוך לימוד הטכנולוגיה, יתרונותיה וחסרונותיה, ותוך חילוץ הערכים עליהם אנו מבקשים להגן, ובחינה חוזרת אם ואיך ניתן לממשם. לפיכך, יש לפרש את העבירות שבחוק המחשבים על רקע עקרונות אבטחת מידע. הנורמה החברתית המוגנת שאותה מבקש החוק לקדם, כלומר תכלית החוק, חופפת את עקרונות אבטחת המידע.34

"אבטחת מידע" היא מושג-סל בתחום מערכות המידע, שנעשה בו שימוש בהקשרים שונים שאינם תמיד אחידים,35 והוא גם משתנה לאורך השנים, ככל שהטכנולוגיה משתכללת והעבריינים מתעדכנים גם הם. אולם מתוך הספרות המקצועית ניתן לחלץ גרעין מרכזי:36

המטרה הכללית של אבטחת המידע ומערכות המידע היא לוודא שהמחשב או מערכת המחשבים יבצעו את הפעולות והמשימות שאותן יועדו לבצע, ללא התערבות או הפרעה חיצונית, וכל זה בסודיות, ככל שהיא נדרשת.

אבטחת מידע אינה עוסקת בכשלים ("באגים") במערכת עצמה, אלא בסיכול שיבושים מכוונים. הסיכונים האלה יכולים לבוא "מבחוץ", כלומר מגורמים שהמערכת לא נועדה לשימושם, או "מבפנים", כלומר מגורמים המורשים להשתמש במערכת ברשות ובסמכות, אולם לא בדרך בה הם עושים זאת בפועל. זהו אם כן עקרון-העל של אבטחת מידע: לוודא שהמערכת ממלאת את ייעודה ללא הפרעה. השיבושים מפניהם מבקשים עקרונות אבטחת המידע להתגונן הם הפרעה לתפקוד התקין של המערכת ונטילה של מידע הנמצא במערכת. מניעת הפרעה לפעילות משמעה למנוע התערבות זרה, כמו למשל של וירוסים או סוסים טרויאניים, למנוע סילוף של המידע שבמערכת, ושאר אמצעים היכולים לשבש את פעילותה. מניעת נטילת מידע הנמצא במערכת באה להגן על אינטרסים המוגנים בדינים אחרים, כמו דיני זכויות היוצרים המגנים על קוד התוכנה, דיני הגנת הפרטיות המגנים בדרך כלל על תוכן המידע, חובות חיסיון על מחזיקי מידע, והגנה על סודות מסחריים כאשר מדובר על מערכות מחשב של גורמים עסקיים, או סודות מדינה כאשר מדובר במערכות מחשב ממשלתיות. תכליתו של עיקרון-העל של אבטחת המידע ברורה. מערכות מחשב חשופות לסיכונים רבים. תפקידם של המחשבים בחיינו מתחזק כל העת ואנו הופכים להיות תלויים בהם. משום כך חיוני שנבטיח שהמערכות יפעלו כפי שיועדו לפעול, בעוד אנו עמלים לפתח מערכות מתוחכמות יותר שיצעידו אותנו ואת האנושות עוד צעד אחד קדימה.

עיקרון-העל של אבטחת מידע נפרט לכמה עקרונות או כללים פרטניים. מובן שהפירוט הטכני הוא תלוי-מחשב ותלוי-מערכת. שלושת עקרונות אבטחת המידע המרכזיים הם שלמות המידע ומהימנותו (integrity), זמינות המערכת (availability) וסודיות המידע (confidentiality). עקרונות כלליים אלה נפרטים לכללי משנה, ובעיקר אימות זהות המשתמש (authentication), בקרת גישה חיצונית (access control) ובקרת שימוש פנימית (authorization). אדון בהם בקצרה, ואראה כיצד העבירות שבחוק המחשבים מתאימות לעקרונות אלה, וכיצד עקרונות אבטחת המידע הם תכליתו של החוק.37

1. אימות זהות

כלל אבטחת מידע ראשון שנועד להבטיח את שלמות המידע, אמינותו וסודיותו הוא הכלל בדבר אימות זהות: לפיו, יש לוודא שהגורם המבקש להשתמש במערכת אינו גורם עוין ושהוא מורשה להשתמש במערכת.38 בשיח של אבטחת מידע מקובל לדבר על שלושה אמצעי אימות, שניתן לצרפם כדי להגביר את רמת האבטחה:39 א. דבר מה שהאדם יודע (דוגמת סיסמא) ב. דבר מה שיש לאדם (דוגמת כרטיס אשראי, מחולל סיסמאות) ג. דבר מה של האדם (דוגמת טביעת עין, טביעת אצבע או טביעת כף יד הנקוטה בנמלי תעופה). הזיהוי יכול להיות גם של המחשב באמצעותו מבקשים להתקשר עם המערכת או המערכת האוטומטית המבקשת "לפנות" למחשב המוגן. דוגמה מוכרת היא השימוש בכרטיס אשראי למשיכת כסף מכספומט, המחייב שימוש בסיסמה ושימוש בחפץ פיזי.40 גם הפרוטוקולים הטכנולוגיים של תקשורת בין מחשבים יכולים לוודא את זהות המתקשרים ולהצפין את שיחתם (פרוטוקול SSL).41

חוק המחשבים אינו מגן במישרין על עקרון אימות הזהות,42 אולם, בחוק קיימת העבירה של "חדירה שלא כדין לחומר מחשב" (סעיף 4). מי שאינו מורשה וזהותו אינה מאומתת, ובכל זאת מצליח להיכנס למערכת מפר את העיקרון הזה, והמסגרת המשפטית לבחון זאת היא קורת הגג של העבירה שנזכרה ותידון בהמשך. עם זאת, אני סבור שיש להביא את עיקרון אימות הזהות בחשבון, במקרים המתאימים, גם בהיעדר הגנה משפטית ישירה על העיקרון. כך למשל, ראוי היה להביא זאת בחשבון במקרה שבו עובד לשעבר של חברה שסיפקה שירותי מרכזיה ללקוחות השתמש באמצעי הגישה שנותרו בידו כדי לחדור למרכזיה ולשבש את פעולתה.43 לבד מפגיעה בעקרונות אבטחת מידע נוספים (עקיפת בקרת גישה, ופגיעה בשלמות המערכת - ואכן, הנאשם במקרה זו הורשע בעבירות של שיבוש והפרעה למחשב וחדירה שלא כדין לחומר מחשב) - הייתה שם פגיעה בעיקרון אימות הזהות: הנאשם השתמש באמצעי זיהוי שנותר בידו לאחר סיום עבודתו כדי להשתמש במערכת. אין בחוק איסור ישיר על פעולה זו, אולם אני סבור שזהו שיקול ראוי בהערכת חומרתה של העבירה ובגזירת הדין.

במקרה אחר, הורשע נאשם, לפי הודאתו, בעריכת וירוס מחשב שנשלח לעובדי חברה מסוימת. הווירוס פעל כך שחשף בפני שולח הווירוס את שמות המשתמשים וסיסמאותיהם.44 ההרשעה הייתה, כמובן, בעבירה של עריכת נגיף מחשב (סעיף 6), אולם פרשנות ראויה של החוק ויישומו צריכים לגרור הבנה של חומרת המעשה. בנוסף, להפצת הווירוס, החומרה היא פעולתו של הווירוס - הפגיעה בעקרון אימות הזהות. זהו ערך המוגן בחוק המחשבים, ולכן ראוי להביאו בחשבון בעת גזירת הדין.

2. בקרת גישה וחדירה שלא כדין לחומר מחשב

מערכות מחשב משמשות בו-זמנית משתמשים רבים. מטעמים שונים מבקשים מפעילי המערכת להגביל את אפשרות הגישה והפעולה של המשתמשים השונים לאזורים מוגדרים במערכת ולפעולות מוגדרות מראש. בקרת הגישה נועדה לפעול הן כלפי פנים והן כלפי חוץ.

בקרת הגישה הפנימית מבוססת על מערכת של הרשאות (authorization) וקובעת היכן יכולה המשתמשת לגלוש ומה הפעולות המותרות לה. המקרה הפרדיגמאטי הוא של עובד, שמורשה לבצע פעולות מסוימות במערכת, אך חורג מההרשאה. בקרה פנימית מיועדת להשיג מידור בתוך הארגון, כדי שעובדים לא ייחשפו למידע סודי, למידע רגיש, לסודות מסחריים של המעסיק שיש חשש שידליפו אותו או למידע של צדדים שלישיים המוחזק במערכת ומוגן בדיני הגנת הפרטיות. כלומר, כלל אבטחה העוסק בבקרת גישה פנימית נועד להגן על שלמות המערכת וסודיות המידע. חשיבותם של כללי מידור בארגון באה לידי ביטוי בפסיקה אחרונה של בג"ץ: היעדרם של כללי מידור בקשר לבקרת הגישה היה טעם מרכזי לקבלת עתירה כנגד משרד הפנים, ולהוצאת צו מוחלט שבו הורה בית המשפט להפסיק את העברת המידע לידי גופים ציבוריים דוגמת רשות השידור, שבהם לא היו כללי מידור מספיקים.45 לפיכך, מטרתה של בקרת הגישה הפנימית היא הגנה על אינטרסים של מפעילי המערכות (המדינה, המעסיק) והגנה על אינטרסים של צדדים שלישיים (פרטיות).46

בקרת הגישה החיצונית (access control) מכוונת למנוע ממי שאינם מורשים להשתמש במערכת מלהשתמש בה בכלל, או מלבצע בה פעולות מסוימות. המערכת שמורה לבעליה, המבקש לשלוט בה, במידע הנמצא בה, בין מטעמים מסחריים של שמירה על סודות מסחר, בין מחמת חובה שהדין מטיל, למשל על אבטחת "מאגר מידע" כהגדרתו בחוק הגנת הפרטיות, או מטעם לגיטימי אחר.

אדון בשני פניה של בקרת הגישה לפי סדרם. במהלך הדיון אבחן את העבירה של "חדירה שלא כדין" שבחוק המחשבים, אטען שיש לפרשה בצמצום, ושאין מקום להרחיבה למישור האזרחי.

א. בקרת גישה פנימית

האם ראוי להגן על עיקרון אבטחת המידע של בקרת הגישה הפנימית באמצעות הגדרתה של עבירה פלילית בחוק? ההקשר, כזכור, הוא של עובד החורג מתחום ההרשאה. אני סבור שאין מקום לקבוע חריגה כזו כעבירה פלילית. האינטרסים והזכויות המוגנים על ידי עיקרון זה נהנים כבר עתה מהגנה משפטית רחבה: המידע על אזרחים המוחזק אצל המעסיק מוגן במסגרת דיני הגנת הפרטיות.47 האינטרסים של המעסיק בשמירת סודותיו העסקיים ומניעת ריגול תעשייתי מוגנים במסגרת דיני העוולות המסחריות ודיני סודות מסחר.48 אינטרסים של המדינה מוגנים בחובות אמון של עובדיה. למעסיקים (בין אם המדינה ובין אם מעסיק פרטי) יכולת לקבוע כללי התנהגות המגובים בתקנון משמעת או בסנקציות אחרות, עד כדי פיטורין. אם נעשה שימוש לרעה במידע - הרי הפעולה תהיה בדרך כלל גם עבירה פלילית וגם עבירת משמעת.49

במילים אחרות: האינטרסים השונים המוגנים כאן, בין אם הם של הציבור, של המעסיק או של צד שלישי כלשהו, נהנים ממבנה הגנה רב-שכבתי: הסדרה ציבורית ישירה (בדרך של חקיקה פלילית) המגנה על הסוד, המידע וכדומה.50 בנוסף, הסדרה עצמית הנהנית מגיבוי ציבורי, בדמות חוזי עבודה ותקנוני משמעת, שייאכפו במידת הצורך ובמקרים המתאימים לפי דיני החוזים ודיני העבודה. ובנוסף, הסדרה עצמית-טכנולוגית שיכול המעסיק או מפעיל המערכת לנקוט, כלומר אותם אמצעים שנדונו לעיל של אימות הזהות ואמצעים טכנולוגים להגבלת גישה.51

הצעת חוק המחשבים כללה בשעתה איסור על "שימוש במחשב תוך חריגה מהרשאה", אולם האיסור הושמט מהנוסח הסופי.52 כיצד אפשר להסביר את ההשמטה הזו? הסבר אפשרי אחד הוא שאין צורך באיסור כזה, משום שהוא כלול ממילא בעבירה של חדירה שלא כדין לחומר מחשב, למשל, במקרה שבו אדם המורשה להשתמש במחשב חדר לקובץ אליו לא היה מורשה לחדור (מה שמוגדר כאן כחריגה מהרשאה ובקרת גישה פנימית).53 סעיף 4 לחוק קובע כי:

"החודר שלא כדין לחומר מחשב הנמצא במחשב, דינו - מאסר שלוש שנים; לעניין זה, "חדירה לחומר מחשב" - חדירה באמצעות התקשרות או התחברות עם מחשב, או על ידי הפעלתו, אך למעט חדירה לחומר מחשב שהיא האזנה לפי חוק האזנת סתר, תשל"ט-1979".54

גם בכמה פסקי דין הביעו בתי משפט את עמדתם כי חריגה מהרשאה היא עבירה פלילית או הניחו זאת כמובן מאליו, כאשר המסגרת לכך נמצאה בעבירה של חדירה שלא כדין לחומר מחשב. כך למשל, בעניין אחד הורשע עובד לשעבר של חברה, לפי הודאתו, בעבירה זו.55 בית המשפט גזר עליו שנת מאסר על תנאי וקנס, מבלי שנדונה כלל השאלה אם התמלאו יסודות העבירה (כאמור, הנאשם הודה באישום). האם היה מקום להרשיע בעבירות אלה? האם יש לראות בחריגה מהרשאה משום "חדירה שלא כדין לחומר מחשב"? אני סבור שצדקה הכנסת כאשר סירבה לחוקק את האיסור, וכי יש לפרש את סעיף 4 הנ"ל בצמצום, כך שלא יוחל על חריגה מהרשאה.

נימוק אחד לפרשנות המצמצמת של סעיף 4 נגזר מהמסגרת של דיני מידע שהוצגה לעיל. המשפט מציע מספר מעגלי הגנה כדי להבטיח את בקרת הגישה הפנימית: הסדרה ציבורית ישירה, הסדרה עצמית בגיבוי ציבורי, והסדרה עצמית, בין אם משמעתית ובין אם טכנולוגית. די באמצעים אלה. לטעמי, לא רצוי שפעילות מסוימת תיאסר בו-זמנית בכמה דינים נפרדים. בכל אחד מהדינים הנזכרים יש מערכת איזונים פנימית המביאה בחשבון שיקולי-נגד.56 דיני זכויות יוצרים, למשל, מאזנים בין היוצרת לבין הציבור. פעולות מסוימות בדיני זכויות יוצרים, למשל, מותרות, בהיותן "טיפול הוגן".57 דיני העבודה מאזנים בין האינטרסים והזכויות של המעסיק לאלו של העובדים. כאשר המהות העיקרית של הפעולה הבעייתית מוסדרת בחוק אחר, ובכל זאת אנו פונים לעבירה של "חדירה שלא כדין לחומר מחשב", הרי אנו מתעלמים מכל אותם שיקולי נגד המצויים בדינים העוסקים בפעילות האסורה ממש. אנו עשויים למצוא עצמנו אוסרים בחוק המחשבים את שהתרנו בחוק זכות יוצרים. בנוסף, כפל האיסורים עלול לגרור סתירות בין החוקים: שמה שמותר בחוק אחד (שימוש הוגן) ייאסר בחוק אחר (חוק המחשבים). התוצאה תהיה אי-בהירות, ומאחר שאנו נמצאים בהקשר הפלילי, יש בכך פגיעה בעקרון החוקיות. אולם זהו רק נימוק אחד לפרשנות מצמצמת של העבירה.

נימוק שני, הוא שאת האיסורים על שימוש במחשב יש להטיל במשורה. ריבוי איסורים פליליים יוצר אווירה עוינת בקשר לשימוש במחשב. הוא משדר מסר לאנשי הטכנולוגיה כי מדובר במכשיר שהשימוש בו מסוכן, ולעיתים הוא על סף הפלילי. מסר כזה בעייתי במיוחד בהקשר של יחסי העבודה. יש בו הרתעת-יתר שאינה רצויה. עובד כפוף לשורת חובות בדין הכללי ובדין המשמעתי, ומחויב להישמע להוראות הממונים עליו. הכבדה נוספת מצד החוק הפלילי מתערבת שלא לצורך ביחסי העבודה ומציידת את המעסיק בכלי רב עוצמה שמחירו גבוה מתועלתו. דיני העבודה מושתתים על העיקרון של צמצום פערי הכוח שבין העובד למעסיק, ואם נפנה למסלול של חוק המחשבים, נימצא עוקפים את אותם איזונים מורכבים שבדיני העבודה.

מכאן עולה מסקנה פרשנית: במקרה שבו זוהתה חריגה מהרשאה (בקרת גישה פנימית), וככל שגרמה לנזקים, הרי זהו עניין שיש לבחון ולהכריע בו לפי הדין הכללי הקיים (פגיעה בפרטיות, הפרת זכויות יוצרים, הפרת סוד מסחרי, דיני חוזים ודיני העבודה, או לפי דין משמעתי, והיא ניתנת למניעה גם באמצעים טכנולוגיים פשוטים וזולים למדי. די בשילוב של הדין הכללי על רבדיו השונים, בדין המשמעתי ובאמצעי ההסדרה העצמית. אין לפרש את עבירת החדירה שלא כדין שבחוק המחשבים כאוסרת חריגה מהרשאה. כך נינתן משקל פרשני ראוי להיסטוריה החקיקתית של חוק המחשבים, כמו גם לתכליתו.

ב. סודיות ובקרת גישה חיצונית

מהי, אם כן, הפרשנות הראויה של העבירה של חדירה שלא כדין לחומר מחשב? לטעמי, העבירה מגלמת את עקרון אבטחת המידע של סודיות (confidentiality), שנועד להגן על המידע הנמצא במערכת המחשב מפני עיניים זרות. עקרון זה נפרט לכלל האבטחה של בקרת גישה חיצונית. יחד עם זאת, גם כאן, פרשנות העבירה של חדירה שלא כדין צריכה להיות זהירה, ממספר טעמים: (1) עמימות הגדרתה של העבירה (2) הבנת דרך התפתחותה של הטכנולוגיה (3) שימוש זהיר במטאפורות קנייניות (4) הבנת עולם המחשבים הנוכחי כרשת מחשבים ולא כמחשבים נפרדים.

(1) הטעם הראשון לפרשנות המצמצמת קשור להגדרת העבירה. עבירה זו כוללת מרכיב פעולה (אקטוס ראוס) עמום להפליא: מהי "חדירה"? מה בדיוק נחדר כאן? ומהי חדירה כדין או "חדירה שלא כדין"? סעיף 4 לחוק שצוטט לעיל, מגדיר חדירה לחומר מחשב כ"חדירה באמצעות התקשרות או התחברות עם מחשב, או על ידי הפעלתו, אך למעט חדירה לחומר מחשב שהיא האזנה לפי חוק האזנת סתר". זו הגדרה טאוטולוגית, שאינה מועילה במיוחד. כדי להבין מה כלול בה, ניתן להראות מה אינו כלול בה.

פרופסור Orin Kerr מנתח את הביטוי "unauthorized access", המקביל לביטוי הנקוט בחוק הישראלי.58 זהו ביטוי מרכזי המופיע ברבים מחוקי המחשבים בארצות הברית ובמדינות אחרות. קֵר מצביע על היעדר אחידות בפרשנות הביטוי, ומציע להבחין בין גולש שניגש למחשב תוך הפרת תנאי החוזה (המשתמע או המפורש) שבינו לבין מפעיל האתר, לבין גישה לחומר מחשב הכרוכה בעקיפת מנגנונים טכנולוגיים. לשיטתו, העבירה הפלילית אוסרת רק את המצב השני (או ליתר דיוק, כך ראוי שיהיה). פרשנות כזו, כך הוא מסביר, מאזנת בין שני ערכים מנוגדים: חירות השימוש ברשת מול פרטיות הגולשים שמידע אודותיהם מוחזק אצל האתרים בהם הם גולשים. אם יפורש הביטוי "גישה שלא כדין" כך שיקיף גם הפרת חוזה, טוען קֵר, משמעות הדבר היא שיופקד כוח רב מדי בידי בעלי אתרים על חשבון הגולשים.59

אני מצטרף לעמדתו של קֵר. אתרים רבים נוהגים לפרסם הודעה, שתוקפה החוזי אינו ברור תמיד,60 כי בגלישתו, מסכים הגולש לתנאים שמפורטים אי שם באתר (ובדרך כלל מנוסחים בשפה משפטית עמומה ומעורפלת להפליא). פעמים רבות תנאים אלה מתיימרים לצמצם את זכויותיו של הגולש, למשל בקביעת סמכות שיפוט וברירת דין במקומות שאינם נגישים לגולש, או בתניות גורפות של פטור מאחריות. תניות שימוש אחרות אוסרות לעיתים הנדסה חוזרת של האתר, הגם שזו מותרת לפי דיני סודות המסחר ופורשה בפסיקה האמריקנית כ"שימוש הוגן" במסגרת דיני זכויות יוצרים.61 האם גולשת שהפרה תנאי מהתנאים (אפילו אם מעמדם הוא של חוזה תקף), למשל בקשר למטרת השימוש באתר, הנדסה חוזרת וכיוצא באלה פעולות, אשמה בעבירה של "חדירה שלא כדין"? אני סבור שהתשובה שלילית. נזק שייגרם כתוצאה מהפרת חוזה כזה, בהנחה שהחוזה תקף והופר, צריך להיבחן במשקפי דיני החוזים, ואם נגרם נזק - גם במשקפי הדין הרלוונטי (למשל הפרת זכות יוצרים, אם פעולת המשתמש מגיעה לכדי כך). כל אחד מאפיקים האפשריים שמציע הדין הכללי מושתת על איזון מורכב בין אינטרסים. עקיפתם, ופנייה לחוק המחשבים מבטלת את השיקולים היריבים ואת האיזון שנערך שם. לפיכך, פרשנות ראויה של עבירת החדירה שלא כדין לחומר מחשב אינה מקיפה מצב של הפרת חוזה גלישה.

התוצאה היא כי העבירה של חדירה שלא כדין לחומר מחשב תחול רק על מי ש"פורץ" "מנעול" טכנולוגי שהגן על הגישה החיצונית לאתר (וכפי שאסביר מיד, יש להיזהר במטאפורות אלה, השאולות מהעולם הפיסי). כך למשל, כניסה לאתר דרך "פורט" (ולא "סריקת פורטים" לבדה)62 שלא נועד לכך, היא לכאורה חדירה שלא כדין לחומר מחשב. הפרת תנאי שימוש האוסרים גלישה באתר פלוני אינם מקימים אשמה בעבירה זו.

מצב מעניין אחר הוא זה שבו למשתמש אחד ניתנה רשות לגלוש באתר, למשל באמצעות סיסמת זיהוי, ונאסר עליו להעביר את ההרשאה (והסיסמה) לאחר, ובכל זאת העביר. מצב זה מתעורר למשל בקשר לאתרים "סגורים", המאפשרים גישה מבוקרת לאתר ולתכניו בכפוף להתחייבות לשימוש שאינו מסחרי בלבד, או בכפוף לתשלום. ברור כי למפעילי האתר עילת תביעה טובה נגד המורשה הראשון שהעביר את ההרשאה לאחר ללא רשות, שהרי המורשה הפר את התחייבותו החוזית. האם יש למפעילי האתר עילת תביעה לפי חוק המחשבים כנגד מקבל הסיסמה השני, הנעבר, אם זה גלש באתר תוך שימוש בסיסמה שקיבל מחברו? האם מדובר בחדירה שלא כדין לחומר מחשב? נראה לי כי המבחן לתשובה הוא צורת החדירה. אם באתר יש חוזה, שבלי לקבלו קיבול משפטי אין אפשרות לגלוש (למשל מסך המחייב אישור קריאה, בטרם מתאפשר המשך הגלישה), הרי עשויה לקום עילה חוזית, וכאמור לפי עמדתו של קֵר, אליה אני מצטרף, אין מקום להפלילה גם בחוק המחשבים.63 אם מדובר באתר שבלעדי הסיסמה אי אפשר לגלוש בו, או שננקט אמצעי טכנולוגי אחר המגביל גישה, הרי יש לראות בכך אתר "סגור", ומי שעוקף את האמצעי הטכנולוגי "חודר" אליו שלא כדין.64

ניתן להקשות: גם חוזה וגם טכנולוגיה המגנה על הגישה לאתר הם אמצעים של הסדרה עצמית, כלומר אמצעים שנוקט בעל האתר בעצמו. מדוע, אם כן, להתייחס באופן שונה לחוזה ולטכנולוגיה? הנה שתי תשובות: הראשונה, היא שמנעול טכנולוגי נהיר יותר לגולש מאשר חוזה. "החוזה" אינו תמיד נגיש, הוא "קבור" פעמים רבות במקום סמוי באתר, תוכנו מנוסח בשפה משפטית, מעורפלת ולא ברורה. "מנעול טכנולוגי", לעומת זאת, מציב תמרור ברור לגולשת: אם אינך יודעת את סיסמת הכניסה לאתר, לא תוכלי להיכנס אליו בדרך המלך. האיתות מובן יותר לגולש מאשר תנאי השימוש המעורפלים. תשובה שנייה, נסמכת על בדיקה כלכלית של עלויות ההגנה של בעל האתר. הוספת "חוזה" אינה עולה למפעיל האתר כמעט דבר, במיוחד אם החוזה מועתק מאתר אחר. מפעיל אתר המבקש להסתפק בהגנה חוזית מאותת בכך כי הגנת האתר אינה בראש מעיניו. לעומת זאת, שימוש באמצעי טכנולוגי מאותת את ההיפך: שמפעיל האתר מבקש להגביל את השימוש באתר, מסיבה זו או אחרת.65

גם כאשר מדובר בעקיפת מנגנונים טכנולוגיים מתעוררים קשיים. למשל, עם התרחבות השימוש בחיבור אלחוטי לרשת האינטרנט, עולות שאלות בדבר התחברות גולשים למשדרים (hotspot) של משתמשים אחרים. הטכנולוגיה הנוכחית מאפשרת לבעל המשדר לבחור אם ברצונו לאפשר גישה פתוחה או לסגור את השימוש לבעלי סיסמא בלבד. ברירת המחדל הטכנולוגית היא שהרשת פתוחה. כאשר גולש מצליח לעקוף סיסמה ולהשתמש ברשת סגורה, הרי ניתן לראות בכך חדירה שלא כדין לחומר מחשב (אם כי נדרשת פרשנות גמישה וכלל לא מובנת כלל של המונח "חומר מחשב" כדי שיקיף גם את החיבור האלחוטי לאינטרנט). כאשר נעשה שימוש ברשת שהושארה פתוחה, בין בכוונה תחילה ובין מחמת אי שינוי ברירת המחדל הטכנולוגית, אין לראות בכך חדירה שלא כדין לחומר מחשב. להיפך. במקרה כזה מגלמת הרשת ערך של פתיחות ושיתוף.66

(2) הטעם השני לפרשנות המצמצמת של סעיף 4, הוא חשש מהרתעת-יתר. בסביבה הטכנולוגית הדינמית יש ערב-רב של שחקנים שקשה להבחין ביניהם: החוקרים הממוסדים והחובבים מחד גיסא, ועברייני המחשב מאידך גיסא. המשפט הפלילי מנסה להבחין בין הראשונים לאחרונים. כאשר הכלל המשפטי מופעל בבתי המשפט, יש לקוות שהשופטים יידעו להבחין בין "הטובים" ל"רעים". אולם, הכלל המשפטי פועל גם מחוץ לבתי המשפט: בעצם קיומו הוא משדר מסר לציבור הרלוונטי. בכלל רחב מדי יש הרתעת-יתר, שמחירה בצידה. המחיר הוא פגיעה במחקר, בחופש לנסות, "לשחק" עם המחשב, ללמוד את דרך פעולתו, ולהכיר את יתרונותיה ואת חסרונותיה של מערכת המחשב. ה"משחק" במערכת המחשב הוא הדרך שבה נרכש ידע טכנולוגי. כך נוצר ידע חדש. כך, במידה רבה, מתוך ניסוי וטעייה, מתפתחת טכנולוגיה חדשה.

הדבר דומה בעיניי למגבלות על מחקר רפואי: דמו מנהלי מעבדת מחקר אוניברסיטאית האוכפים אכיפה קפדנית את חוקי הסמים במעבדות. ודאי שאסור לייצר סמים, ויש לכך איסורים מפורשים בדין הפלילי.67 כיצד תנהג סטודנטית החוקרת במעבדה, ומנסה תרכובות שונות כדי ללמוד את התנהגות החומרים, ואגב הניסוי מייצרת סם אסור? לכלל משפטי פלילי רחב יהיה אפקט מצנן על המחקר, והחוקרת עלולה להימנע ממנו מלכתחילה. השוני בהקשר של המחשבים הוא שהמעבדה שקולה כאן לכלל המחשבים בעולם. כל גולש ברשת שקול לחוקרת במעבדה. אם תפורש עבירת החדירה שלא כדין לחומר מחשב בפרשנות מרחיבה, הרי הניסוי התמים במחשבים עלול להסתיים בעבירה פלילית (כפי שאירע לאבי מזרחי, שבעניינו אדון בהמשך). מובן, שאת האבחנה בין החוקרת לבין עבריין הסמים, או בהקשרנו, בין הנערה המבקשת ללמוד כיצד פועלת מערכת מחשבים לבין עברייני המחשבים, ניתנת להשיג באמצעות הקפדה על המרכיב הנוסף הנדרש להרשעה: המחשבה הפלילית. אלא, כפי שעולה מהתנהגות רשויות האכיפה בעניין אבי מזרחי, האבחנה הזו לא תמיד מספיקה.68

רעיון זה, בדבר חשיבות הניסוי והטעייה בפיתוח טכנולוגי, אינו זר למשפט. דיני סודות מסחר, למשל, מתירים במפורש את הפעולה של הנדסה חוזרת, ולא בכדי.69 ההיתר בא מתוך מחשבה תחילה, ומתוך כוונה ברורה לעודד מחקר בדרך של "לימוד על ידי פירוק" של הטכנולוגיה, ומתוך הבנה כי רעיונות ועובדות צריכים להישאר בנחלת הכלל. על ידי פירוק מוצר ניתן ללמוד כיצד הוא פועל ומה העיקרון הטכנולוגי שביסודו. הרעיון עצמו, הנמצא ביסוד המוצר, אינו מוגן, ולכן יש לאפשר למעוניינים לחקור ולחשוף אותו. במילים אחרות, הטכנולוגיה מתפתחת בין היתר, בדרך של תהייה, ניסוי וטעייה, ובדרך של שימוש ברעיונות קיימים ויישומם למצבים חדשים. הטכנולוגיה מתקדמת כפרויקט כלל-אנושי מורכב, שבו כל משתתף מניח את תרומתו על גבי ידע קיים, אבן על אבן, נדבך על נדבך. זו גם עמדת-יסוד של דיני זכויות יוצרים.70 את התובנה הפשוטה והחשובה עד מאוד בדבר דרך התפתחותה של הטכנולוגיה, ראוי לקלוט גם לתוך פרשנות חוק המחשבים. עמדה כזו מושגת מתוך הבנת היחס הדיאלקטי שבין משפט לטכנולוגיה. מכאן נדרשת פרשנות זהירה של סעיף 4.

(3) שני הטעמים הבאים לפרשנות מצמצמת, שימוש זהיר במטאפורות והבנת עולם המחשבים כרשת, כרוכים זה בזה. מסעיף 4 לחוק עולה כי מטרתו היא למנוע פריצות חיצוניות למחשבים ומערכות מידע, בין אם אלה נועדו להשיג יעדים אחרים (טרור או פשיעה בעולם הפיזי), ובין אם נועדו לפגוע בשלמות המידע וזמינות המערכת (שני עקרונות אבטחת מידע שיידונו בהמשך). הכניסה הלא-מורשית למערכת נתפסת כפריצה - בדומה לפריצה בעולם הפיסי. זהו גם המקום שבו המטאפורה של העולם הפיסי מושלכת במלוא עוצמתה לעולם הווירטואלי, ופעמים רבות ללא תשומת לב למשמעות השימוש במטאפורה.71 כך למשל, דו"ח של מדינות חבר העמים הבריטי הדגיש את מרכזיות האיסור והעיר: "The offence is important in several respects. It is analogous to an offence of 'break and enter' as it involves accessing private 'premises' without excuse or justification".72 לפי גישה זו, האיסור על חדירה שלא כדין נתפס כמגן על הקניין הפרטי.

האומנם מערכת המידע הממוחשבת שקולה למקרקעין או מיטלטלין? האם ראוי לראות במחשב המחובר לרשת מחשבים - לאינטרנט - משום קניין פרטי? ברור שהאטומים - המחשב הפיסי - הם קניין פרטי של בעליו. אולם האם ראוי לראות גם את הסיביות כקניין פרטי?73 ההיסטוריה החקיקתית של חוק המחשבים מעלה שהגישה הקניינית נדחתה, ולטעמי, בצדק נדחתה. העבירה של חדירה שלא כדין הוגדרה בצמצום ונקבעו בה מגבלות: האחת היא הביטוי העמום "שלא כדין",74 הקורא כמובן לפרשנות, והשנייה היא דרישת המחשבה הפלילית. (גם אי הגדרתה של החדירה שלא כדין כעוולה במשפט האזרחי אינה מקרית). פרופסור מיגל דויטש, שהיה פעיל בניסוח טיוטות החוק, מעיד שהעבירה נועדה למנוע עבירות באמצעות מחשב, ולא עבירות כנגד מחשב.75 במובן זה, תכליתה של העבירה היא מכשירנית, וחריגה בנוף המשפט הפלילי: העבירה קובעת עבירת הכנה כעבירה פלילית.76 הטעם שדויטש מביא להצדקת הצעד החריג של הפללת פעולת הכנה והגדרתה כעבירה בפני עצמה, הוא הקושי להוכיח את העבירות המבוצעות באמצעות מחשב, כמו מרמה.77 מטעם זה, גם לא נקבעה עוולה מקבילה. מובן שלעדותו של דויטש אין מעמד מחייב בפרשנות חוק, אולם, אני סבור שהפרשנות הראויה של החוק (ותכלית החוק) תואמת את הכוונה ההיסטורית שהוא מעיד עליה. אין זה ראוי לפרש את העבירה בדרך הקיצונית המרחיבה כך שתקיף כל חדירה למחשב.

גם הרחבתו של האיסור לתוך השדה האזרחי אינה ראויה בעיניי.78 כלומר: יש לדחות את העמדה הקניינית הרואה בכל כניסה לחומר מחשב משום השגת גבול במיטלטלין. הפרשנות המוצעת כאן נסמכת על זהירות בשימוש במטאפורות, על עיון זהיר בטכנולוגיה שבה מדובר, מתוך העמדה הכוללת בדבר היחס הראוי שבין משפט לטכנולוגיה. טעמים אלה שפורטו מצטרפים לזהירות הנדרשת בעת פרשנות עבירה של הכנה, שגם היא לכשעצמה חריגה ובעייתית בנוף המשפטי.

(4) כאמור, המחשב הפיסי הוא מושא לבעלות קניינית. אלא שהסיביות שבמחשב נמצאות "שם" רק במידה מוגבלת. הן "שם" והן בכל מקום ברשת. מחשב המחובר לאינטרנט הוא חלק מרשת. ערכה של רשת האינטרנט הוא בדיוק במאפיין זה: בחיבור שבין המחשבים. בכך שערכו של כל אחד מהם לבדו קטן מאוד, והשלם - הרשת - גדול מסכום חלקיו. על מפעיל מחשב המחובר לרשת להבין כי המחשב אינו עומד בדד: הוא חלק ממערכת, חלק מרשת. על מפעיל המחשב לדעת כי פעולת הגלישה הטבעית ברשת מחייבת דו-שיח בין המחשבים, ועל כן "ביקורים" הדדיים של המחשבים זה אצל זה. אי הכרת הטכנולוגיה לכשעצמה אינה מצדיקה את השלכתן של המטאפורות הפיסיות על הסביבה הווירטואלית. עמדה קניינית המבקשת לקבוע כל כניסה לחומר מחשב כעבירה, משעתקת את התפישה האינטואיטיבית הפיסית שלנו לתוך סביבה שאינה פיסית. עמדה זו מתייחסת לאינטרנט כאל עוד מושא להסדרה משפטית רגילה, ומחילה עליו כללים משפטיים קיימים כמות שהם, מבלי לבחון את הטכנולוגיה בה מדובר, מבלי לעיין בערכים המגולמים בה, מבלי לבדוק את היתכנות ההסדרה. עמדה קניינית זו מחמיצה את הייחוד של הרשת: שאין היא צירוף מקרי של יחידות בודדות ונפרדות, אלא יחידה שלמה אחת מרובת מרכיבים.

אחד ממאפייני הטכנולוגיה הוא החיבור בין המחשבים. החיבור מאפשר זרימה של מידע מכל מי שמחובר לכל מי שמחובר. הרשת מאפשרת הזדמנויות ביטוי והשתתפות בשיח, אינטראקטיביות (הידוּדיות), שיתוף במידע, ועוד. במילים אחרות, הרשת מגלמת ערכים חיוביים. העמדה הקניינית מחמיצה אותם. עמדה קניינית כאמור תהפוך פעולות יומיומיות ברשת לבלתי חוקיות. כעניין טכנולוגי, הרשת בנויה על "דיאלוג" נמשך בין מחשבים. כאשר גולשת מבקשת לצפות באתר אינטרנט, לכתוב הודעה בפורום או צ'אט וכדומה, יש אוסף של "שיחות" בין מחשב הקצה של הגולשת לבין אתרי היעד. התקשורת עוברת דרך אינספור מחשבים אחרים. כך בנויה הרשת המבוזרת. העמדה הקניינית המשעתקת תפישה פיסית לרשת עיוורת לטכנולוגיה. כפי שטענתי קודם, עיצוב כללי המשפט בסביבה הטכנולוגית צריך לבוא מתוך דיאלוג עם הטכנולוגיה. לפיכך אין מקום לעמדה קניינית המבקשת להרחיב עד בלי די את האיסור של חדירה לחומר מחשב.

הפרשנות המוצעת, הדוחה את העמדה הקניינית ומעדיפה את העמדה הנובעת מתוך הדיאלקטיקה של המשפט והטכנולוגיה והבנת המחשב כחלק מרשת של מחשבים "המשוחחים" זה עם זה, משיגה איזון ראוי בין תכלית החוק של שמירה על עקרונות אבטחת המידע לבין המחיר הכרוך בהרתעת-יתר.

* * *

כל הטעמים שנמנו, ובהם עמימות העבירה, הבנת הרשת כרשת, הזהירות בשימוש במטאפורות ודחיית העמדה הקניינית אינם מאיינים את העבירה של חדירה שלא כדין. הם רק מכתיבים שיש לפרשה בצמצום. פרט לתיחום שהוצע לעיל, הרי האמצעים לפרשנות המצמצמת הם הקפדה על הרכיב של "שלא כדין" ועל המחשבה הפלילית הנדרשת, כמו גם אי הרשעה במקרה של זוטי דברים.79 בנוסף, אני סבור שיש מקום להבחין בין חדירה לחומר מחשב שלא גרמה נזק לכזו שהזיקה. אם נגרם נזק, הרי שחומרת המעשה רבה יותר, שכן יש פגיעה גם בעיקרון שלמות המידע ובזמינות המערכת. אבל חדירה לכשעצמה אינה מזיקה. היא עלולה אולי להטריד את מפעילי האתרים והמחשבים. במקרים רבים, לחדירה הלא-מזיקה דווקא יש שכר בצידה, ודווקא למפעילי האתרים: זו דרך לאתר פגמים באבטחת המידע שלהם. מובן שהם יכולים לחפש פגמי אבטחה בעצמם, אולם יכולתם לעשות כך מוגבלת. "פורצי המחשבים" תמי הלב הם בבחינת עיניים נוספות הבוחנות את המערכת. אריק ריימונד ניסח רעיון זה בפשטות: "given enough eyes, all bugs are shallow".80 עדיף שמפעילי האתרים יגלו את הפגמים באמצעות חובבי מחשבים המצביעים על כשלי האבטחה, מאשר באמצעות גורמים עוינים שלא יסתפקו ב"חדירה" למחשב, אלא יפגעו בשלמות המידע, בזמינות המערכת ואולי אף יעשו בו שימוש פלילי או חבלני.81

בהקשר זה ולהשלמת התמונה, יש להעיר, שלפי הדין הישראלי מוטלת חובה על בעלי מאגרי מידע, כפי שאלה מוגדרים בחוק הגנת הפרטיות (וכן על מחזיקים ומנהלים של מאגרי מידע), לנקוט אמצעי אבטחה.82 המטרה היא להגן על פרטיות מושאי המידע (data subjects). התקנות הנלוות מפרטות מעט יותר, אך עדיין מותירות עמימות רבה בקשר לרמת האבטחה הנדרשת.83 במילים אחרות, בעלי מאגרי מידע אינם יכולים להסתפק באמצעי אבטחה מינימאליים, ואינם יכולים לבוא בטרוניה למי שחושף את דלות האמצעים שנקטו או חדלו מלנקוט. בכך דווקא משרתת פעולת אלה החודרים לחומר מחשב את האינטרס הציבורי, כל עוד אין הם משבשים את המחשב אליו הם חודרים. למצער, נראה שלא כך פורש החוק עד כה.84

3. שלמות המידע

עקרון אבטחת מידע זה מכוון להבטיח את אמינותו של המידע המאוחסן במערכת המחשב, או של המידע העובר בין המחשבים ברשת. מובן שבלעדי שמירה על המידע, המערכת כולה אינה אמינה, ושימושיה לא יועילו ואף יזיקו. לפיכך, עיקרון שלמות המידע נועד להבטיח כי המידע לא שונה על ידי מי שאינו מורשה לכך. העיקרון מתייחס למניעת סילוף חיצוני של המידע, למשל על ידי הזנת נתונים שגויים, בין בכוונת עבריין ובין בטעות. העיקרון מאפשר גם וידוא פעולות צדדים למשא ומתן או עסקה, וכך להקשות על התכחשותם לעסקה.85 עיקרון זה נפרט לכללים בדבר אימות זהות המשתמש ובקרת הגישה (החיצונית), כמו גם לאמצעים טכניים כמו חתימה דיגיטאלית המקודדת את המידע. כאשר המידע מגיע למחשב אחר ברשת, ניתן להשוות את המידע לחתימה האלקטרונית וכך לדעת אם חלו שינויים. גם הצפנת המידע היא אמצעי להבטיח את שלמות המידע.

חוק המחשבים, כמו גם חוקים מקבילים בעולם,86 מגן במישרין על עיקרון שלמות המידע ובעת פרשנות החוק ויישומו יש לזהות את הערך החברתי המוגן הזה. סעיף 2 אוסר את שיבוש פעולתו התקינה של המחשב או הפרעה לשימוש בו, כמו גם מחיקת חומר מחשב או שינוי בו.87 סעיף 3 אוסר העברה או אחסון של מידע כוזב, וסעיף 6 אוסר עריכת נגיף מחשב. וירוס כזה יכול לשבש את המערכת, כמו גם את זמינותה.88 ראוי לציין כאן גם את חוק האזנת סתר, המספק הגנה משלימה - לסודיות המידע המועבר.89 כל אלה הם אמצעים משפטיים שתכליתם להגן על עקרון השלמות של המידע.

4. זמינות המערכת

עקרון אבטחת המידע של זמינות המערכת מכוון לסכל הפרעה חיצונית לשימוש האופטימאלי במשאבי המערכת הקיימים, ובכך לאפשר לבעלי המערכות ליהנות ממערכותיהם. מערכת מחשב צריכה להיות זמינה למשתמשיה המורשים. אחד האתגרים הטכנולוגיים הוא לבנות מערכת אשר למרות משאביה המוגבלים של הטכנולוגיה תוכל להיות זמינה לכל המשתמשים ולמלא את ייעודה. המגבלה המרכזית היא טכנולוגית, אולם מערכות מחשב חשופות לגורמים עוינים המבקשים לפגוע בזמינות. במובן זה, כפי שמציינים ניסנבאום, פרידמן ופלטן, עקרון הזמינות הוא ביטוי לרעיון של שליטת האדם במערכת שלו - כלומר רעיון קנייני וביטוי לאוטונומיה של בעלי המערכת.90 כידוע, מערכות מחשב נתונות למתקפות רבות של גורמים עוינים: וירוסים, סוסים טרויאניים, מתקפות סירוב-שירות (denial of service) ושאר מרעין בישין.91 גם כאן, התשובה לבעיה היא במידה רבה טכנולוגית - תוכנות בקרה וסינון שאמורות לחסום גורמים עוינים, ובדיקות חוזרות באמצעות תוכנות אנטי-וירוס למיניהן. גם כאן חוזר המבנה שראינו - המשפט מציע רובד הגנה נוסף על רובד ההגנה העצמי-טכנולוגי.

חוק המחשבים מתגייס לסייע לעיקרון זמינות המערכת, בכך שהוא אוסר עריכת נגיף מחשב או את הפצתו (סעיף 6).92 בתי המשפט, כך נראה, מבינים את העיקרון הזה, גם אם באופן אינטואיטיבי. כך למשל, נקט בית משפט השלום בתל-אביב לשון חריפה במיוחד כנגד נאשם שהודה (והורשע) כי כתב וירוס מחשב שנועד למחוק קבצים במחשב הנגוע, והחדירו למחשבים בבסיס צבאי בו שירתה חברתו.93 בגזר הדין הכביר השופט מילים כלליות על כך ש"עבירות המחשב הן עבירות של העת האחרונה, העידן המודרני", ולענייננו, "ככל שמדינה מתקדמת בשימושים בטכניקות המחשב, כך גם הסיכונים לשיבוש מערכות בעת הפגיעה בהן". אפשר להבין דברים אלה כזיהוי הערך המוגן על ידי העבירה: הפצת הווירוס פגעה בזמינות המערכת (וממילא בשלמות המידע).

ה. הנועזים (עברייני המחשב) והאמיצים (השופטים)

כיצד מיישמים בתי המשפט את חוק המחשבים? מהי עמדתם בקשר ליחס שבין משפט לטכנולוגיה? בעשור האחרון, עיקר הניסיון השיפוטי היה בקשר לגזירת הדין, ופחות מכך בקשר להכרעתו. ברוב המקרים שבאו לפני השופטים הודו הנאשמים בביצוע העבירות, כך שהשאלה שהתעוררה הייתה האם ניתן להסתפק בעונש ללא הרשעה (כאשר המגמה הכללית היא שיש להרשיע), ובשאלת העונש עצמו. משום אופיים של גזרי דין בכלל, המעמתים את הנסיבות האישיות של הנאשמים עם האינטרס הציבורי, נחשפת שם עמדת השופטים באשר למהות החוק. בחלוף עשור לחוק, מצטיירת התמונה הכללית הבאה: עמדת בתי המשפט נוטה להיות כוללנית, ולעיתים אף שבלונית, וקשה למצוא בה את אותו דיאלוג נחוץ כל כך שבין המשפט לבין הטכנולוגיה. נדמה לי שראוי לשופטים לדייק יותר: מהו בדיוק הנזק שנגרם כתוצאה מפעילות הנאשם שלפניהם. את הנזק יש לנסח לא רק במונחי נזק כספי, אם זה ניתן לכימות, אלא במונחים של הפגיעה בעקרונות אבטחת המידע, שהרי זו התכלית של חוק המחשבים. לימוד פסקי הדין מעלה שיש בהם שני נרטיבים מרכזיים. בכל אחד מהם יש מספר שחקנים - הנאשם, הטכנולוגיה, הציבור ובית המשפט, ויש ליהוק ברור בקשר לתפקידו של כל אחד. הנרטיבים מגולמים בשני פסקי דין מרכזיים - זה שדן את אהוד טננבאום, המכונה "האנלייזר", וזה שזיכה את אבי מזרחי, שבסך הכול רצה להצטרף לשורות המוסד.

1. האנלייזר הנועז

לפי כתב האישום שבו הודה טננבאום, הוא קשר קשר עם אחרים לחדור שלא כדין למחשבים בארץ ובחו"ל, וכך עשה, תוך שימוש בשמות משתמשים ובסיסמאות של גולשים, ללא ידיעתם. בכמה מקרים חדר למחשבי NASA, משרד ההגנה האמריקני, שינה קבצים במחשבים אלה, השתיל סוס טרויאני ותוכנות מעקב (sniffer). הוא גם חדר למחשבי אתר נשיא המדינה, אתר הכנסת ואתר של מדרשת שדה בוקר. בחלק מהמקרים שינה את דפי הבית באתרים ובעקבות זאת הושבתו האתרים למספר ימים. לדבריו, בחלק מהמקרים תיקן חורי אבטחה, כמו באתר הכנסת.

בכל שלוש הערכאות שדנו בעניינו של טננבאום ניכר שהן נפעמו, מי יותר ומי פחות, מהחדשנות שבעבירות. אלה בוצעו בשנים 1997-1998, כתב האישום הוגש כשנתיים לאחר מכן, גזר הדין ניתן בשנת 2001, והערעור בשנת 2002. גזרי הדין ראויים לעיון מפורט.

תחילה לגזר הדין של בית משפט השלום.94 בית המשפט העיר כי "דיני המחשבים עושים צעדים כמעט ראשונים בכל הנוגע לאכיפת החוק ותוצאותיו". פסק הדין מדבר על "מהפכה חדשה", "עידן חדש", ועל כך ש"חדשנותו של חוק המחשבים רודפת אותו". במילים אחרות, נוכח קיומו של החוק, ברור כי בית המשפט סבור שהטכנולוגיה והשימוש בה כפופים וניתנים להסדרה משפטית, גם אם יש בכך קושי מעשי, נוכח קצב השינויים. בהמשך גזר הדין נכתב עוד כי "התיאורים שמסר הנאשם לגבי האופן בו בוצעו החדירות והכלים הווירטואליים בהם השתמש לקוחים מעולם אחר". הנאשם מתואר במאפיינים שחוזרים ועולים פעמים רבות בגזרי דין אחרים שלפי חוק המחשבים. הנאשם האופייני, וטננבאום הוא אב-טיפוס של הנאשם הזה, הוא גבר, צעיר, בעל ידע במחשבים, מתוחכם מאוד, כלומר מאפיינים של "בן טובים". כך למשל נכתב שם על טננבאום, שהיה כבן 18 בעת ביצוע המעשים שיחוסו לו: "למיטב ידיעתי הנאשם הוא פורץ המחשבים הנועז ביותר שנודע עד כה. הוא לא הסתפק באתרי המחשב בגבולותיה של המדינה וחצה יבשות. הוא חדר ל'קודש הקודשים' של מדינה ידידותית" [הכוונה למחשבי הפנטגון - מ.ב.]. בהמשך, השופטת מציינת את עיסוקו של טננבאום בעת המשפט - מנהל פיתוח בחברת סטארט-אפ המתמחה באבטחת מידע - ומעירה על האירוניה בקשר ל"מי שהפיל חיתתו" וכעת עבר לצד השני של המתרס. כמובן, כל אלה מתמצים בכינוי שדבק לטננבאום - בעקבות אחד הכינויים בהם השתמש - האנלייזר, שם הנשמע כלקוח היישר מתסריט הוליוודי מצוי.95 בית המשפט מעיר עוד כי הנאשם הפך לסלבריטי. לצד תכונות חיוביות אלה, מתואר הנאשם הטיפוסי כצעיר מבולבל, כזה שסובל מקושי לתפקד בסביבה האנושית ומוצא מפלט בסביבת המחשב. שם נותן הנאשם הטיפוסי דרור ליצריו האפלים. על טננבאום נכתב, בהתבסס על אבחון פסיכולוגי שנערך ועל אבחון דידקטי שנערך כשהיה בכיתה ט', כי "הקשר שלו עם החברה היה מוגבל... בעיות אלה העצימו עם הגיל, וככל הנראה הם אלה שהביאו לקשר שלו עם עולם המחשב, כאשר הוא מבין שהוא יכול לתקשר עם אנשים ללא הגבלה". ובהמשך: "מהאמור בחווה"ד [שהוגשה לבית המשפט - מ.ב] ניתן להגדיר את התעסקותו עם המחשב כתחליף לתקשורת הולמת. האובססיה עם המחשב נוצרה כתוצאה מליקויים בקומוניקציה ובמעורבות הבין אישית". מול דימוי זה של עבריין המחשבים כבן סורר ברור מה תפקידו של בית המשפט: למלא את מקום ההורה המחנך שאינו חוסך את שיבטו.96

מול האנלייזר הנועז, מוצגים הנפגעים, מפעילי האתרים והמחשבים שנחדרו, כחסרי אונים, שלקו ב"מבוכה ובהלה", חשו "כאילו פרצו אליך הביתה". חלקם נאלץ לסגור את האתרים למספר ימים ולזמן כוח אדם מיומן לתקן את הבעיה. בית המשפט אינו מזכיר כלל אם טרחו לנקוט אמצעי אבטחה, כיצד מנוהלים האתרים, על ידי מי וכדומה. נראה כי מתחת לפני השטח רוחשת כאן תפישה קניינית - כאילו האתר והמחשבים המחוברים לרשת הם יחידה קניינית נפרדת. הסברתי קודם מדוע עמדה כזו אינה משקפת את ההיסטוריה החקיקתית של חוק המחשבים, ומדוע היא אינה ראויה גם כעניין נורמטיבי. כך או כך, הקצנת התיאור של שני הצדדים - הנאשם והנפגעים היא מרכיב חשוב בסיפור השיפוטי.

עוד שני מרכיבים יש בסיפור השיפוטי: הנזק שנגרם ומקומו של בית המשפט. תחילה הנזק. יש נזקים ישירים שנגרמו לאתרים שהושבתו, ו"ברור שיש לראות בחומרה עבירות אלה שתכליתן פגיעה במערכות מחשבים. החדירות למחשבים נעשו לתופעה וככל שגוברת התלות במחשב, בעיקר במדינות מתקדמות, כך מתעצמים נזקיה בעת הפגיעה במאגרי המחשב שלה." בית המשפט נסמך גם על עמדת התביעה, שהדגישה את הנזק התדמיתי לישראל בגלל החדירה למחשבים בממשל האמריקני, והקשיים באכיפת עבירות מחשבים. נזק נוסף, תמוה משהו, שנזכר בגזר הדין, הוא כי עבירות המחשב יחייבו השקעה כספית רצינית במערכות מיגון ופיתוח תוכנה. חוששני, בכל הכבוד, שאזכור נזק אחרון זה מעיד על חוסר הבנה של מהותן של עבירות המחשב ותפקידיו של המשפט ביחס לטכנולוגיה, כמו גם היחס הכללי שבין איסור פלילי לנקיטת אמצעי הגנה פרטיים, כלומר היחס שבין הסדרה ציבורית להסדרה עצמית.97 עברייני המחשב רבים ופזורים ברחבי העולם. ברובם הם אינם כפופים לחוקי המדינה. לפיכך, ממילא יש צורך להגן על מערכות המחשב, ואי אפשר לסמוך על טוב ליבם של אזרחיה הנאמנים של המדינה. כך שהשקעה במערכות אבטחה חיונית ממילא - ובעיקר כדי להבטיח את הגשמתם של עקרונות אבטחת המידע שנדונו לעיל. ההגנה הטכנולוגית היא סעד עצמי, אמצעי של הסדרה עצמית. המשפט אינו מתיימר להיות תחליף לרובד זה, אלא תוספת אליו. מפעיל מערכת מחשב הנסמך רק על האיסורים שבחוק שימנעו פריצות למחשביו, ללא נקיטת כל אמצעי זהירות נוסף, פועל לטעמי ברשלנות. אם יש אצלו מידע על אזרחים, הרי הדבר עולה כדי הפרה של חובת האבטחה הקבועה בחוק הגנת הפרטיות בקשר להגנת מאגרי מידע, כפי שהם מוגדרים שם.98

וכאן, לאחר שעמדנו על "הרעים" שבסיפור, על הנזק שהם גורמים לתמימים, וכל זה בליווי אווירה דרמטית של הטכנולוגיה החדשה, מגיעה כניסתו של בית המשפט לבמה, זהו תפקיד ה Deus ex Machina, "האל מן המכונה" שבא להתיר את סבך העלילה ולהשיב את הסדר על כנו. את זאת משיג בית המשפט בענישה, אולם לפני כן נדרש עוד מהלך אחד, שחוזר ועולה בגזרי דין רבים: בית המשפט משווה את עבירות המחשב לעבירות פריצה וגניבה. כך בית המשפט: "אני תוהה האם אותו נאשם, ששם לעצמו מטרה להיכנס לפנטגון, היה רוכש לשם כך כרטיס טיסה, שם פעמיו לשדה התעופה, מגיע לארה"ב ומנסה להיכנס. האם גם אז היה פורץ מנעולים, מפיל את המאבטח ושועט לעבר היעד?"99 וכך מלהק בית המשפט את עצמו בדרמה שהוא גם מחברהּ. בית המשפט מתגייס למען הציבור, כדי לסכל את הנזקים או להשיב את המצב לקדמותו, ובעיקר, כדי להיות מגן הטכנולוגיה החדשנית. לבית המשפט תפקיד לחנך את הבן הגאון הטוב שסטה לסמטאות אפלות, ולהרגיע את אלה הנבוכים מפני החדשנות הטכנולוגית. המשפט יכול לטכנולוגיה, שהרי אין הוא נאבק בה אלא דווקא מסייע בעדה בכך שהוא מרחיק ממנה את המזיקים. ובא למחשב גואל.

במקרהו של טננבאום, שילוב התפקידים - בית המשפט כמגן הטכנולוגיה, הקידמה והציבור, כמחנך הנער הסורר ומגן החלשים - מביא לעונש. בית משפט השלום גזר שישה חודשי עבודות שירות. בית המשפט המחוזי שדן בערעור המדינה הקצין עוד יותר את הנרטיב, כבמאי הוליוודי המזהה חומרים לסרט מצליח. בערעור בבית המשפט המחוזי נחלקו הדעות באשר לעונש, אולם יש אחידות בנרטיב שנוקטים השופטים, והוא מעצים את הנרטיב שבפי בית משפט השלום. טננבאום מוצג כמי ש"פעל בדרך חסרת מעצורים", וכמי ש"שום דבר אינו קדוש בעיניו ואינו מעבר לתחום עבורו". השופטת דבורה ברלינר ערה להילה של הנאשם - וקשה להשתחרר מהרושם שההילה נוצרה במידה לא מועטה בזכות ההתנהלות התקשורתית של המשטרה והתביעה בעניין, וכמובן התקשורת ששמחה להצהיב את הסיפור. השופטת מתארת את הדימוי הציבורי של הנאשם ל"סופרמן או אולי רובין הוד מודרני", ובנשימה אחת מזכירה את הגאונות שלו, אם כי הביטוי מופיע במירכאות - רמז לבאות. גם כאן יש שרטוט סטריאוטיפי של הנאשם כמייצג את עברייני המחשב: "דומה שהכישורים השכליים, ה'גאונות' שמוצאת ביטויה ביכולת לחדור לכל אותם מחשבים מאפילה על כל שיקול אחר, ומסנוורת את הציבור הרחב ובמיוחד, כפי שאמרתי, את השכבה הטיפוסית של העבריינים הפוטנציאליים, דהיינו צעירים אינטליגנטיים ומוכשרים שדמיונם הולך שבי אחרי ההרפתקה".

ועוד. השופטת מאמצת את התווית שהציעה התביעה "ונדליזם אלקטרוני". ביטוי זה ראוי לעיון. הוא משקף קו חשוב במבנה הנרטיב השיפוטי: עבירת המחשב כמוה כעבירות של אחרון הפושעים הבזויים. בית המשפט מבקש לנתץ את הילת הגאונות הנכרכת סביב עברייני המחשב, ודרכו לעשות זאת היא להציגם כעבריינים פשוטים, אלימים, לא-מתוחכמים. הביטוי עצמו חדש, אינו טריוויאלי, והוא על כן בגדר "ציטטה טלוויזיונית שיפוטית" (judicial sound bite), כלומר אמירה הנקלטת היטב בתקשורת הלהוטה לכותרות מסקרנות.100 לא במקרה זכה הביטוי להבלטה בדיווחים אודות גזר הדין.101 בהמשך פסק הדין מופיע רעיון זה במפורש: טננבאום "אינו שונה ממי שעומד בראש כנופיה הפורצת לבתיהם של אנשים".

ומה באשר לנזק? השופטת מקבלת את הנזקים שפירט בית משפט השלום, ומציגה באופן כוללני משהו את עקרון אבטחת המידע היסודי: "בעולם שבו כל הידע שנצבר, בכל תחום שהוא, כל האינפורמציה, בין האינפורמציה הקשורה לנאס"א ולמערכות חלל, ובין אינפורמציה הקשורה לחשבון הבנק או לפרטיו של כל אדם שהוא, מצויה במחשבים, הצורך הראשון במעלה הוא להגן על מאגרי המידע העצומים המצויים במחשבים". מסקנתה הייתה חדה: שנת מאסר בפועל. אולם זו הייתה העמדה המקלה. השופט זכריה כספי הוסיף תיאורים משל עצמו, כאשר הקו המרכזי דומה: צורך להרתיע את דור העתיד של המחשבים ולעקר את ההערצה לטננבאום. הצעתו הייתה לגזור שנה וחצי מאסר. שופט הערעור השלישי, השופט המר, הציע להחמיר עוד יותר: שנתיים וחצי מאסר. בית המשפט העליון דחה את בקשתו של טננבאום לרשות ערעור.102

2. על האקרים, קראקרים ובתי המשפט

האם אהוד טננבאום גיבור? נראה (והדברים מבוססים על קריאת פסקי הדין לבדם) שטננבאום ניסה, למעשה, לכוון לדימוי אחר, זה המבחין בין ה"האקר" ל"קראקר". להאקרים דימוי עצמי שונה מזה שבו הם נתפשים ומוצגים על ידי בתי המשפט והחברה בכלל. ההאקרים רואים עצמם כחלק מאליטה חברתית בלתי מאורגנת הנמצאת פעמים רבות מחוץ לטווח החוק, אולם הם פועלים לפי חוקים בלתי כתובים משל עצמם בקשר למותר ולאסור.103 מטרתם היסודית היא לצבור מידע ולהופכו לידע.104 האתיקה ההאקרית כוללת אמונה מוחלטת כמעט בזרימה חופשית של מידע ללא מגבלות, בחוסר אמון מוחלט בשלטון המרכזי, ובעיקר, ההאקרים רואים עצמם חופשיים להפר חוקים שבעיניהם הם טיפשיים. ההאקר אינו פועל למטרת רווח, ועיקר סיפוקו הוא מטפיחת השכם הווירטואלית מחבריו. ההאקר המצוי אינו מתכוון להזיק, אלא ללמוד, לשחק, לבדוק וּלְאתגֵר. הוא שש אלֵי מערכות מחשב מתוחכמות, וככל שהאבטחה חזקה יותר - האתגר נמרץ יותר. ההאקר מבחין עצמו מהקראקר. האחרון הוא "האקר רע", שמנסה להזיק לשם הנזק. הקראקר מוציא שם רע להאקרים.105

מובן שמערכת המשפט ורשויות אכיפת החוק אינן מסוגלות להכיל ולקבל את הדימוי של ההאקר המצוי.106 לשלטון ולרשויות האכיפה חשוב להציב דימוי מתחרה לדימויו העצמי של ההאקר.107 אכן, נראה שבמידה רבה דימויו המצוי של ההאקר השתנה, ומהדימוי הפוחז הפך ההאקר לבריון אלקטרוני. השינוי בא על ידי סוכנים שונים, כמו רשויות האכיפה, בתי המשפט, והתקשורת.108 ההאקר והקראקר נמצאים באותה קבוצה, בעיני המשפט. ההבדל יבוא לידי ביטוי, אולי, רק בעונש. בעיני המשפט, איש אינו נמצא מחוץ לחוק, ודאי לא כאשר המעשים נעשים במודעות וביוהרה. במובן זה, הערות השופטים על כך שטננבאום הוא כאחרון הפושעים זבי החוטם הם דקירה עמוקה וכואבת להאקר המצוי. זו הצהרה שיפוטית שאין כאן הילה ואין אתיקה נפרדת, לא כבוד ולא הדר, אלא רק שוליים עלובים. ההערות האלה שבגזרי הדין, יש להניח, נופלות על אוזניים ערלות: הן תסווגנה על ידי ההאקר המצוי באותה קטיגוריה של חוקים שבעיני ההאקר מותר לו להפר: חוקים שאין להם תוחלת, והם בניגוד ל"חוקי הטכנולוגיה".

האם טננבאום אכן דומה לעבריין רחוב? האווירה התקשורתית שנוצרה סביב הפרשה לא הועילה לו. היא מיקדה אליה תשומת לב ציבורית, וחוששני שאין מנוס מלהסיק שבית המשפט מילא, ולא כמי שכפאו שד, תפקיד בדרמה התקשורתית. טננבאום ניסה להציג את מעשיו באור חיובי. הוא פרץ גם לאתרים פדופילים ואתרים אנטישמיים. הוא תיקן פרצות באתר הכנסת. כוונתו, במילים אחרות, לא הייתה להזיק, אלא אפילו להועיל. טננבאום ניסה ליצור קטגוריה חברתית-תרבותית משל עצמו: ההאקר הציוני.109 למעשה, בית המשפט השיב לו, אמנם בשפה משפטית ובדרך שתוארה, כי הוא אינו האקר, אלא סתם קראקר.

נדמה לי שיש לבחון את מעשיו של טננבאום לאור תכליתן של העבירות הקבועות בחוק המחשבים, כפי שהצעתי לעיל, כלומר לאור עקרונות טכנולוגיים של אבטחת מידע. במקומות בהם השתמש בשמות של גולשים תמימים ובסיסמאותיהם, פגע בעקרון אימות הזהות. במקרים בהם שיבש את פעולת האתרים בליווי רכיב המחשבה הפלילית הנדרשת - הרי פגע בעקרון שלמות המידע, ובחלק מהמקרים פגע בעיקרון זמינות המערכת. בגין כל אלה היה ראוי לעונש. אולם נראה כי מרכיב משמעותי בחומרה שייחסו השופטים למעשיו נבע מ"פריצתו" לאתרי הפנטגון ונאס"א. ברור כי הוא לא היה מורשה להיכנס למחשבי גופים אלה, ובכך שנכנס, פגע בעיקרון בקרת הגישה החיצונית. אלא שבלי שיבוש המערכות או פגיעה בזמינותן, כל שעשה היה לחדור לחומר מחשב. כאמור, הצעתי שאת עבירה זו - כאשר היא ניצבת לבדה, כלומר ללא פגיעה בשלמות מידע או בזמינות המערכת - יש לפרש בצמצום. אכן, לפי הדין הקיים היה מקום להרשיעו בעבירה לפי סעיף 4 לחוק. אולם לא היה מקום לייחס לכך את החומרה הרבה שיוחסה לו על ידי בתי המשפט. טננבאום רכש ידע רב, יש להניח, בניסיונות הפריצה שלו. ניסוי וטעייה היא דרך לימוד מרכזית בענף זה. מתוך ידע כזה נוצרת טכנולוגיה חדשה. בדרך זו הסב את תשומת לב בעלי האתרים לדלות האמצעים שנקטו כדי לאבטח את המידע. בדרך זו אפילו שירת את האינטרס הציבורי - של הגנת הפרטיות. חברות אבטחה מתמחות באיתור פרצות אבטחה באתרים של אחרים, גם כאשר לא נתבקשו לעשות כן.110 פעולתן נתפסת כבקרה חשובה. הדבר דומה לעיתונאי החושף שחיתות ברשות שלטונית. מדוע, אם כן, להתייחס בדרך שונה למי שפעולתו דומה, ואפילו מניע כספי אין לו? ככל שהעונש שהוטל עליו היה גם בגין מעשים אלה, של "חדירה נטו" ללא נזקים נלווים, נדמה לי שבתי המשפט החמירו יתר על המידה.

3. "באין תחבולות יפול עם ותשועה ברוב יועץ"111

אבי מזרחי התעניין באפשרות להצטרף למוסד. הוא גלש לאתר הבית של המוסד, אשר בשעתו כלל רק שאלון למועמדים ותו לא. מזרחי, כך מדווח בפסק הדין שדן בעניינו, תהה על סדרי האבטחה של האתר, חשדנות אשר נדמה לי שהיא במקומה ממי שמבקש להצטרף לארגון ביון חשאי. מזרחי לא התעצל, ומצא באינטרנט תוכנה הבודקת את אבטחתם של אתרים, פעולה המכונה port scanning, כלומר בדיקה האם יש "פתחים" דרכם ניתן "להיכנס" לתוכנה. הוא הפעיל את התוכנה, וקיבל פלט בקשר לאבטחה של אתר המוסד. מזרחי לא הבין את הפלט, תהה על כך בפורומים אחדים, לא נענה, ובכך תמה הבדיקה מבחינתו. לא כך סברו במוסד, שלא אהבו, בלשון המעטה, את הבדיקה של מזרחי. הוא הועמד לדין באשמת ניסיון חדירה לחומר מחשב. כאמור, בית המשפט זיכה אותו.112 העמדתו לדין של מזרחי תמוהה בעיניי, ונדמה שאת הסיפור כולו צריך להבין ברוח טענתה של ההגנה, כפי שהיא מובאת בהכרעת הדין המפורטת מאוד של השופט אבי טננבאום: "רצה מאן דהוא להפגין שרירים ולהראות כי עם ישראל חי וכל המתעסק עם המוסד מרה תהיה אחריתו, ונפל הפור על הנאשם דווקא...". התביעה השיבה כי החליטה לתבוע דווקא משום שהנאשם ישראלי, קל היה לאתרו, ומשום שמדובר באתר ביטחוני.113

הנרטיב המקופל בהכרעת הדין שונה מאוד, עד כדי היפוך, מגזר הדין והערעור בעניין טננבאום. ההשוואה אינה בין הנסיבות - אלה ודאי היו שונות. בעניין טננבאום דובר בגזר דין, לאחר הסדר טיעון. כאן מדובר בהכרעת דין. בעניין טננבאום דובר גם במעשים אקטיביים שבוצעו, כמו שינוי אתרים. בעניין מזרחי מדובר רק בבדיקה. עם זאת, נדמה לי שאפשר להשוות את הנרטיב הכללי. הנאשם אינו מתואר כצעיר מבולבל שסר מדרך הרע, אלא כאזרח תמים שהתעניין בהצטרפות למוסד - פעולה שהיא ציונית לעילא ולעילא, במרכז החברה ולא בשוליה. מזרחי מוצג, בניגוד להאקר המצוי, כמי שאינו מבין דבר במחשבים ובאבטחת מידע.114 בדיקת האבטחה של האתר, מבהיר השופט, אינה בהכרח חלק מפריצה למחשב. לעיתים, הבדיקה היא שלב מקדים, הכנה, לפריצה, אולם הבדיקה לכשעצמה אינה בגדר חדירה או ניסיון לחדירה כזו. כלומר, בסיפור השיפוטי שמתווה בית המשפט בעניין מזרחי אין "רעים". גם נזק אין, להיפך. בבדיקת אבטחתם של אתרים, כותב השופט, יש תועלת חברתית. הטעם הוא שהדבר יהיה תמריץ לאחראים על אבטחת המחשבים לפעול לתיקון חורי האבטחה.115 עמדה זו נסמכת על הבנת האינטרנט כרשת מחשבים: אין זה מקום שבו כל מחשב בדד ישכון, אלא המחשבים מחוברים זה לזה. לפיכך, עוצמתה - או חולשתה - של הרשת תלויה בקשר שבין המחשבים: "שרת שאינו מאובטח כיאות מהווה סיכון לשרתים אחרים מאובטחים", ומכאן מסיק השופט "כל המשתמשים באינטרנט תלויים זה בזה וערבים זה לזה".116 במילים אחרות, במקום התפישה הקניינית הרוחשת מתחת לפני השטח בעניין טננבאום או אצל אלה המצדדים בהכרה בעוולה של השגת גבול במיטלטלין או עוולה של חדירה שלא כדין לחומר מחשב, יש בהכרעת הדין תפישה של רשת, שמרכיביה קשורים ותלויים זה בזה.117

גם האווירה דרמטית שמלווה את פסקי הדין בעניין טננבאום אינה כאן. במקומה ישנה ראייה מפוכחת, וניסיון שיפוטי כן ומוצלח להתמודד עם הטכנולוגיה. פסק הדין ער, באופן יוצא דופן, להשפעת המטאפורות על החשיבה השיפוטית. בפסק הדין מנהל השופט את הדיאלוג הנחוץ כל כך שבין המשפט לטכנולוגיה. אין כאן החלה חד-צדדית של כלל משפטי קיים על הטכנולוגיה, אלא פרשנות הנסמכת על לימוד זהיר של מערכות המחשב, של הטכנולוגיה שביסודן, ושל המשמעות הערכית של הטכנולוגיה. מסקנתו של השופט נסמכת, לפחות באופן אינטואיטיבי, על זיהוי הערך המוגן על ידי העבירות שבחוק המחשבים עם עקרונות אבטחת המידע. פעולתו של מזרחי נתפסה ומוצגת בעיני בית המשפט ככזו שבאה דווקא להגן על עקרונות האבטחה: לא לפרוץ הוא בא, אלא לבחון ולבדוק. הבדיקה - כאשר אין היא מלווה בניסיון פריצה - אינה פסולה, להיפך. ההערה השיפוטית שבעניין טננבאום, כאילו האקרים גורמים להוצאות מיותרות על אבטחת מידע, מתנפצת כאן לרסיסים.118 ההאקר (להבדיל מהקראקר), ובמקרה מזרחי - "הטרום-האקר הזוטר" - אינו מזיק, אינו גורם להוצאות, אלא להיפך. הוא מסייע באבטחה.

נראה שהנרטיב השונה משקף גם תפישה שונה של אבטחת מידע. בעוד שבעניין טננבאום תפיסת האבטחה של בית המשפט היא של בטחון בדרך עמימות (security by obscurity) הרי תפיסת הביטחון של בית המשפט בעניין מזרחי היא של ביטחון בדרך של שקיפות (security by openness). לפי תפיסת האבטחה בדרך של עמימות, האבטחה מושגת על ידי הסתרת כשלי אבטחה, כדי להקשות על התוקפים הפוטנציאליים למצוא אותם.119 עמדה זו משלימה עם קיומם של פגמים שונים, למשל דרכים בהן ניתן לחדור למערכת המחשב, לשבשה, להפעילה כדי לפגוע במחשבים אחרים וכדומה, אולם מניחה שהתוקפים לא יצליחו לאתר את הפגמים. לפיכך, אין לבעלי מערכת כזו עניין לפרסם את דבר קיומם של פגמים וכשלי אבטחה. תפיסת האבטחה הנגדית, של ביטחון בדרך של שקיפות, כופרת בעמדה הקודמת. לפי מצדדי השקיפות, הרי העמדה של אבטחה על ידי עמימות צפויה להיכשל. כשלי האבטחה סופם להיחשף, ואז הנזק שייגרם רב וגדול מאוד, מה גם שהשגת העמימות עצמה כרוכה בהשקעת משאבים לא מועטה. מנגד, מצדדי השקיפות סבורים שחשיפת הפגמים, ובעיקר בדרך של חשיפת קוד התוכנה, תאפשר בקרה של רבים, גם מחוץ לארגון בו מדובר. ככל שעיניים רבות יותר יביטו, יבחנו, ויבדקו את המערכת, ייחשפו הפגמים והכשלים יתוקנו מהר יותר.

בין שתי העמדות ניטש ויכוח עז, והוא משקף במידה רבה עמדות יריבות בהקשר אחר - היקף ההגנה הקניינית הראויה לתוכנות מחשב. עמדת העמימות מתיישבת עם תפישה קניינית, לפיה תוכנות מוגנות בדיני זכויות יוצרים, בדרך שמאפשרת לבעליה שליטה מלאה. עמדה כזו משמעה "קוד סגור", כלומר תוכנה שניתן להשתמש בה, אולם לא לראות את קוד המקור שלה. מנגד, העמדה של שקיפות נסמכת על "קוד פתוח". לפיה, ראוי שתוכנות מחשב יהיו נגישות לכל, ושכל המעוניינת תוכל לראות, ללמוד ולהשתמש ברעיונות המגולמים בתוכנה. לשקיפות הקוד נלווית, יד ביד, תפיסת אבטחה של שקיפות.

המסקנה של הכרעת הדין בעניין מזרחי נבונה. היא אפשרית רק בתוך מסגרת חשיבה שערה למורכבות של היחס שבין משפט לטכנולוגיה, בשילוב הערכים שמנחים את שני הקודקודים האלה. מסקנת השופט בדבר זיכויו של מזרחי אך מתבקשת.120

ו. סיכום

במאמר זה טענתי שאת חוק המחשבים יש לפרש על רקע עקרונות אבטחת המידע המקובלים אצל מפעילי מערכות מידע, כלומר לפי עקרונות טכנולוגיים. הטענה הזו נסמכת על עמדה כוללת יותר, של דיני מידע, בדבר הקשר המורכב שבין משפט לטכנולוגיה. הקשר הזה אינו חד-צדדי, אלא הוא קשר דיאלקטי. המשפט והטכנולוגיה אינם זרים זה לזה, אינם עוינים זה לזה, אלא יכולים וצריכים לשתף פעולה, והכול לפי ערכיה של החברה שבה אנו פועלים. הדיאלוג הזה צריך להתנהל תוך תשומת לב לטכנולוגיה, לאפשרויות ולקשיים הגלומים בה, תוך ערנות לקשיי אכיפה אפשריים ולתגובה הטכנולוגית האפשרית.

מתוך העמדה העקרונית הכללית הזו, בחנתי את העבירות שבחוק המחשבים, והראיתי כיצד הן מגנות על עקרונות אבטחת מידע שונים. הדיון העלה גם כמה מסקנות פרשניות, בעיקר בקשר לפרשנות מצמצמת של העבירה של "חדירה שלא כדין לחומר מחשב", ולדחיית הטענה בדבר הרחבת האיסור גם לתחום האזרחי.

בעשור החולף נתקלו בתי המשפט בחוק המחשבים בכמה מקרים. הנסיון מעלה שני נרטיבים מרכזיים שנוצרו בפסיקה: זה המיוצג בעניין טננבאום ("האנלייזר"), ובו מלהק בית המשפט את עצמו כגיבור שנועד להציל את החברה ואת הטכנולוגיה ולהגן עליה מפני נערים שסרחו, ושאותם יש להחזיר לדרך המוטב. הנרטיב השני מיוצג בעניין מזרחי, ובו מלהק עצמו בית המשפט בתפקיד מורכב יותר, שבלוני פחות, של תומך במערך האבטחה של רשת מערכות המידע. הנרטיב הראשון, המיוצג בעניין טננבאום, מתלהב יתר על המידה, ומחטיא את הדו שיח הראוי שבין המשפט לטכנולוגיה. הנרטיב השני, שבעניין מזרחי, טוב בהרבה. הוא מפוכח, זהיר, ומעמיק בהבנת הקשר הזה. הוא גם מגלם תפישה עדכנית וטובה יותר של אבטחת מידע. הדרך הראויה ליצור את משפט המכונה אינה ליהוק של בית המשפט כ"אל מן המכונה", אלא כבן-שיח של המכונה.

הערות שוליים

  1. ראו: מאמרים ב"הארץ". הפרשה הניבה עד כה מספר החלטות שיפוטיות בקשר למעצרם של חשודים. ראו במיוחד בש"פ 7368/05 זלוטובסקי נ' מדינת ישראל (4.9.05).
  2. בדיקת הצלחתו של חוק היא עניין מורכב. מחקר אמפירי יכול לנסות לבחון אם וכיצד שינו "אנשי הטכנולוגיה" את התנהגותם בעקבות חוק מסוים. למשפטן כלים אחרים, גם אם מוגבלים: המשפטן בוחן את פסיקת בתי המשפט. יש לזכור שהפסיקה משקפת רק את מקרי הקצה, ובמישור הפלילי - רק את אלה שצלחו את משוכת שיקול הדעת של המשטרה והתביעה, ולא בהכרח את ההשפעה היומיומית של החוק.
  3. ראו דיון להלן, חלק ה.
  4. ראו, גם מיכאל בירנהק, "חורים ברשת: פורנוגרפיה, מידע ועיצוב מדיניות בסביבה דיגיטאלית", פוליטיקה, גיליון 13 (2005), 101;
    לגירסה מקוונת של המאמר במגאזין איגוד האינטרנט לחץ כאן
    Michael D. Birnhack and Jacob H. Rowbottom, "Shielding Children: The European Way", 79 Chicago-Kent L. Rev. 175 (2004);
    מיכאל בירנהק, "אתיקה עיתונאית ברשת: על הסדרה עצמית, חופש העיתונות, כוח ותחרות", פתו"ח - כתב עת בנושא פוליטיקה, תקשורת וחברה ה (2003) 173.
  5. לטענה, כי הטכנולוגיה הופכת בפועל לגורם מסדיר, ראו:
    Lawrence Lessig, Code and Other Laws of Cyberspace (1999, New York); Joel R. Reidenberg, "Lex Informatica: The Formulation of Information Policy Rules through Technology", 76 Texas L. Rev. 553 (1998).
  6. לדיון ביקורתי, ראו:
    Langdon Winner, "Cyberlibertarian Myths and the Prospects for Community" (CFP 1997)
    , יובל דרור, הפוליטיקה של הטכנולוגיה (2006).
  7. לדיון בצנזורה ברשת ובתמורות שחלו בה, ראו קרין ברזילי-נהון וגד ברזילי, "חופש הביטוי וחופש מדומיין באינטרנט: על בטלותה והולדתה מחדש של הצנזורה", שקט! מדברים: התרבות המשפטית של חופש הביטוי בישראל (עורך: מיכאל בירנהק, תשנ"ו) 483.
    לגירסה מקוונת של המאמר במגאזין איגוד האינטרנט לחץ כאן
  8. את העמדה הדטרמיניסטית אפשר למצוא בעיקר בשיח הפופולארי. הטקסט המובהק ביותר הוא "הצהרת העצמאות של האינטרנט", של ג'ון פרי בארלו. ההצהרה, שכל כולה נושבת רוח ליברטריאנית, מציעה הסדרה עצמית של הגולשים במקום משפט המדינה. ראו:
    John Perry Barlow, A Declaration of the Independence of Cyberspace (1996).
  9. לא מקרה הוא ששופטים מחזיקים בעמדה זו. ראו למשל את דברי השופט בעז אוקון בה"פ (י-ם) 003137/04 Ahava USA נ' ג'. דבלין בע"מ (10.10.04):
    "האינטרנט יכול להציב אתגרים לא פשוטים בכל הנוגע להפעלת הסמכות המקומית, העניינית והבינלאומית... ואולם, האינטרנט אינו הופך את המשפט לוירטואלי, כאילו אירע שבר או כאילו חדלו חוקי הכובד של המשפט לחול על כלי זה, באופן שהוא גורר אותנו למצב דמדומים של קיום מעשה או מחדל שאין עליהם תגובה משפטית מתאימה. השימוש באינטרנט טומן בחובו יתרונות גדולים, וכולל אפשרויות הנראות 'נארניות'. אך הוא אינו יכול לשבור את 'המצור' הרגיל של הדין. המתכון הנכון מצוי בהגיונם של הכללים הרגילים של הדין."
  10. ראו:
    Joel R. Reidenberg, "States and Internet Enforcement", 1 U. Ottawa Tech. L.J. 213 (2004).
  11. למשל תוכנות המקדמות הגנה על הפרטיות (הנקראות PETs- Privacy Enhancing Technologies); מנעולים דיגיטאליים המאפשרים לבעלי זכויות יוצרים לשלוט ביצירותיהם (Digital Rights Management - DRM), או תוכנות סינון, האמורות לחסום גישה של ילדים לאתרים פורנוגרפיים.
  12. ראו למשל את המאבק בקשר לשיתוף מוסיקה ברשת: תחילה באה תוכנת נאפסטר, שנסגרה בעקבות תביעות משפטיות:
    A&M Records Inc. v. Napster, Inc., 239 F.3d 1004 (9th Cir. 2001)
    . התוכנה הייתה מבוססת על מנגנון מרכזי של מאגר מידע דינאמי שקישר בין המשתמשים. לאחר הפסיקה פותחו תוכנות שיתוף קבצים נטולות-מרכז, דוגמת eMule. תחילה הכשירו בתי המשפט את התוכנה, אולם בית המשפט העליון סייג. ראו:
    MGM v. Grokster, Ltd., 125 S.Ct. 2764 (2005).
  13. לסיג מציג מודל שונה, ומציב במרכזו את הפעילות אותה אנו מבקשים להסדיר. ראו לסיג, לעיל הערה 5. לשיטתו, הפעילות מוסדרת על-ידי ארבעה גורמים: משפט, קוד (טכנולוגיה), ערכים חברתיים והשוק. בטקסט אני מתייחס לשוק ולערכים החברתיים בצוותא, שכן ככל שאנו מייחסים חשיבות לשוק החופשי, הרי זהו ערך חברתי. בנוסף, המודל של לסיג מתעלם מהקשרים שבין הגורמים השונים המסדירים את הפעילות שבה מדובר. המודל המוצג בטקסט כאן מדגיש את היחסים שבין גורמי ההסדרה.
  14. שני הפנים האלה אינם בהכרח מופיעים יחדיו. מי שמחזיק בעמדה הדטרמיניסטית עדיין עשוי לסבור שהטכנולוגיה היא מטבעה "טובה" או מטבעה "רעה" מן הבחינה הערכית.
  15. ראו למשל:
    Langdon Winner, "Do Artifacts Have Politics?", in The Whale and the Reactor - A Search for Limits in an Age of High Technology (Chicago, 1986) 19; Human Values and the Design of Computer Technology (Batya Friedman, ed., 1997).
  16. Winner, שם, בע' 22 ואילך.
  17. חוקים דומים אפשר למצוא היום במדינות רבות. לדיון ראו:
    Marc A. Goodman and Susan W. Brenner, "The Emerging Consensus on Criminal Conduct in Cyberspace", 2002 UCLA J.L. & Tech. 3; Neal Kumar Katyal, "Criminal Law in Cyberspace", 149 Pa. L. Rev. 1003 (2001).
  18. לניסיון לזהות את הייחוד שבפשיעת מחשב, ראו:
    Susan W. Brenner, "Is There Such A Thing as Virtual Crime?" 4 Cal. Crim. L. Rev. 1 (2001).
  19. ראו גם מיגל דויטש, "חקיקת מחשבים בישראל", עיוני משפט כב (תשנ"ט) 427, 435. החוק הישראלי הוא תוצאה של מספר הצעות וועדות לאורך השנים. ראו:
    Yoram Bar-Sela, "Computer Legislation in Israel: A Proposal Being Developed by the Ministry of Justice", 21 Isr. L. Rev. 59 (1986).
    וראו עוד את הפרוטוקולים של דיוני ועדת המשנה של הכנסת להצעת חוק המחשבים, של ועדת החוקה חוק ומשפט (להלן: ועדת המשנה של הכנסת), ישיבות מיום 24.1.95, 7.2.95, 14.2.95, 14.3.95, שייקראו בהמשך הפרוטוקול הראשון ואילך, בהתאמה. תודתי לעו"ד נעמי אסיא ולד"ר ויקטור בוגנים שהעמידו את הפרוטוקולים לעיון.
  20. ראו ע"פ (ת"א) 070571/01 מדינת ישראל נ' טל פודים (23.4.02). בית המשפט המחוזי שם הדגיש כי עובדת השימוש באינטרנט אינה משנה את אופייה של העבירה, שכן רשת האינטרנט שימשה רק כאמצעי "הטכני המשוכלל" לביצוע העבירות, ויותר מכך, עובדה זו פועלת לחובת הנאשם. בקשת רשות ערעור לבית המשפט העליון נדחתה: רע"פ 5729/02 טל פודים נ' מדינת ישראל, תק-על 2002 (2) 1049.
  21. דוגמה מובהקת להאחדת עבירות מחשב ופשעי טרור היא ה- Convention on Cybercrime , 2001 של מועצת אירופה. האמנה נדונה במשך כעשור, אולם הושלמה בזריזות בחודש נובמבר 2001, בעקבות אירועי האחד עשר בספטמבר. לביקורת על הטשטוש בין פשיעת מחשב לטרור, ראו:
    Ariel T. Sobelman, "Is Everyone an Enemy in Cyberspace?" 2(4) Strategic Assessment (2000).
    לדיון בשינוי פניה של הסביבה הדיגיטלית לסביבה ביטחונית בעקבות אירועי 9/11 ראו אודי אינהורן ואח', לוחמה בטרור בזירת המידע (חיפה, המרכז למשפט וטכנולוגיה, ניבה אלקין-קורן ומיכאל בירנהק עורכים, 2002), במיוחד ע' 1-6.
  22. אמנם יש אמצעים טכנולוגים מתוחכמים המאפשרים להבחין בין השניים, למשל לפי ניתוח ההתנהגות, מועד ההפעלה, יעד התקיפה (מבחינת המרכיב בתוכנת המחשב המותקף) וכדומה. אולם, לפי שעה הם יקרים, אינם מושלמים ואינם בשימוש רחב. ראו:
    Nimrod Kozlovski, A Paradigm Shift in Online Policing -Designing Accountable Policing, (SJD Dissertation, submitted to Yale Law School, June 2005).
  23. נקודה זו מעוררת שאלות בדבר השפעת כלל משפטי על התנהגות אנושית: במקרים רבים ניתן להשיג את התוצאה שהחוק מבקש להשיג, למשל הגנה על קניין, בדרך של נקיטת אמצעי הגנה עצמיים, כמו התקנת גדרות, הצבת שומרים וכדומה. הכלל המשפטי המגן על הקניין אמור לייתר את הצורך באמצעים עצמיים, ובכך להוזיל עלויות הגנה. אולם למרות שיש כלל קנייני, אנו נוקטים אמצעי אבטחה רבים. מדוע? גם לאכיפת החוק הקיים יש עלויות (שיטור, פנייה לגורמי אכיפת חוק, עורכי דין, סיכון להפסד בתביעה). לאזרח כדאי לנקוט אמצעי ההגנה עצמיים רק כל עוד עלותם קטנה מעלות אכיפת החוק. בטקסט אני מתאר מצב שבו החוק מחמיר מאוד. במקרה כזה, עלות הפעלת החוק מבחינת האזרח נשארת אולי דומה (עדיין יש לפנות למשטרה, לעורכי דין ובתי משפט), אולם אם וככל שחוק מחמיר יותר כלפי העבריינים-לעתיד ומרתיע אותם יותר, הרי תוחלת הזכייה של האזרח המפעיל את החוק גבוהה יותר. במקרה כזה, רבים מאיתנו עלולים לסמוך על החוק, ולהימנע מנקיטת אמצעי אבטחה פשוטים וזולים.
  24. לדיון בשאלות אלה, ראו יהונתן בר-שדה, האינטרנט והמשפט המסחרי המקוון (תל אביב, תשס"ב 2002), 687-690.
  25. הדיונים במליאת הכנסת אינם מלמדים רבות. ראו ד"כ התשנ"ד 9989 ואילך (קריאה ראשונה) וד"כ התשנ"ה 10817 ואילך (קריאה שנייה ושלישית). בדיוני ועדת המשנה של הכנסת התעוררה מדי פעם השאלה בדבר הערך המוגן על ידי החוק, וניתנו לה תשובות כלליות, שתכלית החוק היא "הגנה על הערך התיפקודי של המחשב" (פרוטוקול 1, ע' 3); האינטרס המוגן הוא השימוש הבלתי-מופרע במחשב ושלמות החומר (פרוטוקול 2, ע' 8); הגנה על המחשב (פרוטוקול 2, ע' 9, 19); והגנה על "פרטיות" של חומר מחשב (פרוטוקול 2, ע' 27).
  26. לאבחנה זו ראו ניקולאס נגרופונטי, להיות דיגיטלי (תרגום עמנואל לוטם, 1995).
  27. האינטרנט נזכרה רק פעם אחת בוועדת המשנה של הכנסת, ובדרך אגב. במליאת הכנסת האינטרנט לא נזכרה כלל.
  28. הצעת חוק המחשבים, התשנ"ד-1994, הצ"ח התשנ"ד, ע' 478.
  29. כמו למשל האיסורים בדין האמריקני על פיתוח, שימוש והפצה של טכנולוגיה שנועדה לעקוף מנגנוני גישה טכנולוגיים המגנים על יצירות המוגנות בזכויות יוצרים. ראו: 17 U.S.C. §§1201-1205.
  30. טכנולוגיה של הצפנה נתפסת בעיני המדינה כמסוכנת, אם תגיע לידיהם של טרוריסטים או פושעים, שאז יהיה קושי לעקוב אחריהם. הדיון סביב הסדרתה של הצפנה עורר ויכוחים עזים. לדיון בהקשר האמריקני ראו:
    Stephen Levy, Crypto: How the Code Rebels Beat the Government - Saving Privacy in the Digital Age (New York, 2001).
    בישראל: אינהורן, לעיל הערה 21, בע' 7 ואילך.
  31. למשל טכנולוגיות מעקב מסוימות הנתפסות כפוגעות בפרטיות, לפחות במדינות האיחוד האירופי. ראו:
    Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.
  32. לקושי זה ראו גם אליעזר לדרמן, "פעילות פסולה המסתייעת במחשבים ודיני העונשים בישראל", עיוני משפט יג (תשמ"ח) 499. נושא זה הובהר גם בדיוני ועדת המשנה של הכנסת.
  33. הדברים חזרו גם בהצגתו של שר המשפטים דאז דוד ליבאי את הצעת החוק בכנסת. ראו ד"כ התשנ"ד 9989 ואילך.
  34. האם בכלל יש מקום להתערב משפטית כדי להגן על המידע? איני כופר בהצדקת קיומו של חוק המחשבים, וחותר לפרשנותו הראויה. יתכן שבהיעדר חוק היה השוק מגיב, והיו ננקטים אמצעי אבטחה חזקים מאלה הקיימים. לאמצעי אבטחה חזקים מדי יש מחיר כלכלי, טכנולוגי, ומחיר של הכבדת הגלישה ברשת. בספרות יש הצעות מגוונות להסדרה לא-משפטית. למשל, נקיטת אמצעים התקפיים. לדיון ראו:
    Curits E.A. Karnow, "Launch on Warning: Aggressive Defense of Computer Systems" (Yale Law School, 2004).
    מלומד אחד הצביע על אמצעים פשוטים המקובלים להפחתת פשיעה בעולם הפיסי, ובחן את אפשרות יישומם ברשת: ליצור ניראוּת של הרחוב, תחושת קהילה אצל השכנים וכדומה. ראו:
    Neal Kumar Katyal, "Digital Architecture as Crime Control", 112 Yale L J. 2261 (2003).
  35. הדבר בולט בהתייחסות לאבטחת המידע הכלולה ב"מדיניות הפרטיות" של אתרים רבים. ממחקר אמפירי שבחן אתרים ציבוריים בישראל (אתרי ממשל, רשויות מקומיות, מוסדות אקדמיים וכדומה) התברר שאתרים רבים מתייחסים למדיניות אבטחת המידע שלהם, גם כאשר נראה שהם בכלל אינם כפופים לדרישה כזו. ראו ניבה אלקין-קורן ומיכאל בירנהק, "הגנת הפרטיות באתרים ציבוריים באינטרנט", ביטאון אוניברסיטת חיפה, (אביב 2004) 7. במדיניות אבטחת המידע, במקרים שבהם היא מופיעה, ניתן למצוא בדרך כלל התייחסות לשמירת המידע, המקרים בהם יימסר לצדדים שלישיים, וכן פטור מאחריות למפעילי האתר במקרים של פעולה עוינת.
  36. הדיון שלהלן מבוסס על קשת מקורות. ראו במיוחד:
    The Information Security Glossary ; Donald L. Brinkley and Roger R. Schell, "Concepts and Terminology for Computer Security", in Information Security: An Integrated Collection of Essays 40 (Marshall D. Abrams, Shushil Jajodia, Harold P. Podell., eds., Ca. 1995); Simon Garfinkel, Web Security, Privacy and Commerce (2d ed., O'Reily, Sebastopol, Ca. 2002).
  37. דברים אלה אמורים במערכת שבה נמצא המידע. אבטחת המידע מתפרשת גם על דרך ההתקשרות. על סודיות התקשורת ניתן להגן באמצעים טכנולוגיים, למשל באמצעות העברת נתונים בפרוטוקול מוצפן. ראו: Garfinkel, ibid, at 107. גם המשפט מגן על התקשורת, בחוק האזנת סתר, התשמ"א-1981. לצד אלה, מוזכרים בספרות המקצועית גם אבטחה פיסית של המחשבים, יצירת גיבוי ואפשרויות שיחזור של המערכת והמידע שבה. לאלה אין ביטוי בחוק המחשבים, ולא אדון בהם כאן.
  38. עקרון נספח הוא של אי-הכחשה (non repudiation), כלומר שהאימות אינו רק לזהות, אלא גם לפעולות, בדרך שמקשה או מונעת מהמשתמש להתכחש לפעולתו. מובן שלאימות פעולה יש חשיבות משפטית רבה בהקשר של סחר אלקטרוני, למשל הצעה וקיבול חוזיים. לדיון בעקרון זה, ובפער שבין המושג המשפטי של הכחשת פעולה (למשל התכחשות לחתימה על חוזה) למושג המקובל אצל אנשי מחשבים, ראו:
    Adrian McCullagh and William Caeli, "Non-Repudiation in the Digital Environment", First Monday Vol. 5(8) (August 2000),
    אמצעי מרכזי לממש את עקרון אי היכולת להתכחש לפעולה משפטית מושג על ידי חתימה אלקטרונית. ראו חוק חתימה אלקטרונית, התשס"א-2001.
  39. ראו למשל הגדרת "authentication" ב- Wikipedia: .
  40. ראו: http://he.wikipedia.org, בערך "אבטחת מידע".
  41. הכשל המרכזי בקשר לעקרון אימות הזהות הוא הגורם האנושי: איבוד סיסמאות, שימוש בסיסמאות שקל לנחשן ("1234", QWERT""), הפקרת האמצעי הפיזי המשמש לזיהוי וכדומה.
  42. השוו לחוק הקנדי: Criminal Code, R.S.C. 1985, c. C-46, s. 342.1 הקובע עבירה של שימוש לא מורשה במחשב, למשל באמצעים טכנולוגיים או שימוש בסיסמה של אחר.
  43. ראו ע"פ (ת"א) 71832/02 יעקב ואטורי נ' מדינת ישראל (26.11.03).
  44. ראו פ (ת"א) 002591/04 מדינת ישראל נ' בני אנור (31.10.04).
  45. ראו בג"ץ 8070/98 האגודה לזכויות האזרח נ' משרד הפנים, פ"ד נח(4) 842.
  46. ראו לדוגמה הנחיות מערכת המחשב של המינהל הבית ספרי, המיועדת לשימוש בתי ספר, המגדירות אילו בעלי תפקידים או אחרים רשאים לעשות אילו פעולות: .
  47. ראו חוק הגנת הפרטיות, במיוחד סעיפים 2(9), 8(ב), ובקשר לגופים ציבוריים גם סעיף 23ב.
  48. ראו חוק עוולות מסחריות, התשנ"ט-1999 (להלן: חוק עוולות מסחריות). כאשר "הריגול התעשייתי" כרוך בהאזנת סתר, בהעתקת יצירות המוגנות בזכויות יוצרים, עומדות לרשות התובע גם עילות אלה.
  49. ראו למשל רע"פ 10225/01 כהן נ' מדינת ישראל, תק-על 2002 (1), 216. באותו מקרה הורשע מפעיל מחשב בעירית נתניה בעבירות של קבלת דבר במרמה בנסיבות מחמירות, זיוף ועוד עבירות, בקשר עם שורת מקרים בהם נכנס לבסיסי נתונים של בעלי מקרקעין, הזין נתונים כוזבים ובכך הביא להפחתת תשלומי המס של הבעלים. ראו גם עש"ם 6348/01 בן דוד נ' הנציבות, פ"ד נו(2) 918.
  50. במונח "הסדרה ציבורית" כוונתי לנורמה משפטית שמקורה ברשויות ציבוריות, דוגמת הכנסת או בתי המשפט. הסדרה ציבורית יכולה להיות ישירה - כאשר היא מגדירה במפורש את המותר ואת האסור, או עקיפה, כאשר היא יוצרת תמריצים חיוביים או שליליים לפעולה. הסדרה עצמית מקורה ב"שטח", והיא צומחת "מלמטה", בין בדרך של קוד אתי, קביעת מדיניות וכדומה. לדיון, ראו מיכאל בירנהק, "הסדרה עצמית - מסמך עקרונות", איגוד האינטרנט הישראלי (2004).
  51. למשל תוכנות ניטור המתעדות את השימוש במערכת, המכונות באופן כולל בשם audit-trail. ראו הגדרה ב- webopedia.
  52. בדברי הכנסת אין הסבר להשמטה. הפרוטוקולים של ועדת המשנה של הכנסת אינם ברורים בעניין זה.
  53. בעז גוטמן, "חקיקת מחשבים ויישומה", משפט וצבא 13 (התשנ"ט) 175, 180.
  54. בשונה מהעבירות שבסעיף 2, הרי חדירה שלא כדין לחומר מחשב אינה מוגדרת כעוולה. ראו סעיף 7 לחוק.
  55. ת"פ (ת"א) 123670/97 מדינת ישראל נ' נתנאל שפירא, דינים שלום יח 863.
  56. גם בית המשפט העליון מחזיק בגישה כזו, למשל בקשר לחוק הגנת הפרטיות. בית המשפט סבור שכאשר פעילות אסורה בחוק איסור לשון הרע, די בעבירה שם, ואין לפרש את חוק הגנת הפרטיות כך שישתרע גם הוא על אותה פעילות. ראו רע"פ 9818/01 ביטון נ' סולטן (טרם פורסם), בפסקה 40 לפסק דינו של הנשיא ברק. לטעמי דווקא שם טעה בית המשפט בנקודה זו, אולם זהו עניין למאמר אחר.
  57. ראו סעיף 2(1) לחוק זכות יוצרים, 1911.
  58. ראו:
    Orin S. Kerr, "Cybercrime's Scope: Interpreting 'Access' and 'Authorization' in Computer Misuse Statutes", 78 NYU L. Rev. 1596 (2003).
    ראו גם:
    Computer Fraud and Abuse Act, codified as 18 U.S.C. §1030.
    האמנה האירופית על פשעי מחשב נוקטת את הביטוי illegal access.
  59. שם, בע' 1649-1650.
  60. לסוגי חוזים ברשת ותוקפם, ראו:
    Specht v. Netscape Communications Corp., 150 F.Supp.2d 585 (S.D.N.Y. 2001).
  61. לדיון, ראו
    Pamela Samuelson and Suzanne Scotchmer, "Law and Economics of Reverse Engineering", 111 Yale L. J. (2002) 1575
    ניבה אלקין-קורן, "זכויות יוצרים ותחרות: משוק עותקים למשטר רישוי", דין ודברים ב (יתפרסם בתשס"ו).
  62. ראו הדיון בעניין מזרחי, להלן, פרק ה.3.
  63. יש לבחון את החוזה שבין האתר למקבל הסיסמה המורשה בקפדנות, שאולי העברת הסיסמה והרשות מותרות.
  64. השוו למקרה שנדון בארצות הברית: עובד לשעבר הקים אתר ביקורת על מעסיקו הקודם, שהגישה אליו התאפשרה רק באמצעות סיסמה. המעסיק השיג סיסמה מגולש מורשה, גלש באתר, ותבע על לשון הרע. בית המשפט קבע שמדובר בחדירה שלא כדין. ראו:
    Konop v. Hawaiian Airlines, Inc. 302 F.3d 868, 879 (9th Cir. 2002), cert. denied 537 U.S. 1193 (2003).
  65. יש להבדיל בין האיסור שבחוק המחשבים על פריצת מנעול טכנולוגי לבין איסור על עקיפת מנעולים טכנולוגיים המגנים על יצירות המוגנות בזכויות יוצרים (Digital Rights Management). איסורים מעין אלה, המכונים anti-circumvention, נחקקו בארצות הברית במסגרת ה Digital Millennium Copyright Act 1998, בסעיפים 1201-1205 שם, ואף נכללו ב: WIPO Copyright Treaty 1996. בישראל עדיין לא נחקק חוק מקביל, אם כי הנושא נדון במשרד המשפטים. לעמדתי, יש לפרש סעיפי ה- anti-circumvention כך שתותר "פריצה" של "מנעול טכנולוגי" כאשר היא מיועדת לאפשר שימוש הוגן ביצירה, לפי דיני זכויות יוצרים, מטעמים שביסוד דיני זכויות יוצרים. יש להקפיד, שחוק המחשבים לא ייצור מסלול העוקף את האיזון המורכב שבדיני זכויות יוצרים.
  66. לדיון בחשיבות השיתוף וביתרונות הכלכליים שלו גם בהקשר של רשת אלחוטית, ראו:
    Yochai Benkler, "Sharing Nicely": On Shareable Goods and the Emergence of Sharing as a Modality of Economic Production:, 114 Yale L. J. 273 (2004), 344-348.
  67. פקודת הסמים המסוכנים [נוסח חדש] התשל"ג-1973 אוסרת ייצור סמים, וקובעת חריג (בסעיף 6) שלפיו הדבר מותר ברישיון של המנהל הכללי של משרד הבריאות.
  68. יש להיזהר במטאפורות, וההיקש כאן אינו מלא. חיים רביה מעיר לי כי פורץ המחשבים אינו שקול לחוקר העורך ניסיונות במעבדה שלו, אלא לחוקר המנסה לחבל במעבדה אחרת. תשובתי היא שהרשת היא כולה מעבדה אחת, כפי שאסביר גם בהמשך, ולכן אין לראות כאן "מעבדות" נפרדות.
  69. ראו סעיף 6(ג) לחוק עוולות מסחריות, התשנ"ט-1999. מובן שאפשר להסביר את הכלל המתיר הנדסה חוזרת גם בדרכים אחרות, למשל כאיתות לבעלי הסוד לשקול את הכדאיות של הגנה באמצעות דיני הפטנטים.
  70. ראו סעיף 7ב לפקודת זכויות יוצרים, 1924. ככל שמדובר ברעיון מופשט, שאינו מגולם בהמצאה חדשה, מועילה ושיש בה התקדמות המצאתית, גם דיני הפטנטים אינם מגנים על רעיונות בעלמא. ראו סעיפים 3-5 לחוק הפטנטים, תשכ"ז-1967.
  71. למטאפורות תפקיד מכריע בעיצוב החשיבה, והיא אינה רק פיוט טקסטואלי. ראו:
    Dan Hunter, "Cyberspace as a Place and the Tragedy of the Digital Anticommons", 91 Cal. L. Rev. 393 (2003).
  72. ראו:
    Law in Cyber Space (Commonwealth Secretariat, 2001) 33.
  73. למונחים אטומים וסיביות, ראו נגרופונטי, לעיל הערה 26.
  74. לדיון ראו נעמי אסיא, דיני מחשבים - הלכה למעשה (תשס"ג, 2003), 345.
  75. דויטש, לעיל הערה 19, בע' 440.
  76. המשפט הפלילי נמנע בדרך כלל מקביעת מעשי הכנה כעבירות עצמאיות. ראו מרים גור-אריה, "על ההבחנה בין הכנה לבין ניסיון", משפטים לב (תשס"ב) 505. לכלל זה חריגים בודדים, למשל סעיף 497 לחוק העונשין, תשל"ז-1977 הדן ב"הכנת עבירה של חומרים מסוכנים".
  77. דויטש, לעיל הערה 19,בע' 441.
  78. ההרחבה לתחומי המשפט האזרחי אפשרית על ידי חקיקה עוולה מפורשת של חדירה שלא כדין, או על ידי פרשנות שיפוטית שתחייה את העוולה הנושנה והמיושנת של השגת גבול במיטלטלין. להצעה ברוח זו, ראו מאמרם של שרון אהרוני-גולדנברג ואריה רייך, "חדירה למחשב כעוולה נזיקית", שערי משפט ד (תשס"ו) 415. לעוולה של השגת גבול המיטלטלין בדין הישראלי, ראו סעיף 31 לחוק המיטלטלין, תשל"א-1971. הסעיף הופעל לאחרונה, ככל הידוע, בשנת 1973, בקשר לגניבת כבשה. ראו ע"פ 2/73 סלע נ' מ"י, פ"ד כח(2) 371. העוולה האחרונה מופעלת בשנים האחרונות בארצות הברית בסביבה הדיגיטלית. ראו למשל:
    eBay, Inc. v. Bidder's Edge, Inc.,100 F.Supp.2d 1058 (N.D. D. Cal., 2000) לביקורת, ראו : Dan L. Burk, "The Trouble With Trespass", 3 J. Small & Emerging Bus. L. 1 (1998);
    ניבה אלקין-קורן, "המתווכים החדשים ב'כיכר השוק' הווירטואלית", משפט וממשל ו (תשס"ג) 381. גם בישראל נזכרה העוולה בפסק דין של בית משפט לתביעות קטנות, אולם הדיון שם חסר מאוד. ראו ת"ק (ת"א) 00600/03 אבן-חן נ' סויסה (בית משפט לתביעות קטנות, 15.9.03). פסק הדין נהפך בר"ע (ת"א) 002542/03 סויסה נ' בן חיים (9.10.05).
  79. ראו למשל את החלטת האיחוד האירופי המאפשרת למדינות האיחוד לצמצם את העבירה רק למצבים בהם הופר אמצעי אבטחה:
    Council Framework Decision on Attacks Against Information Systems (Jan. 17, 2005).
  80. ראו:
    Eric S. Raymond, The Cathedral and the Bazaar: Musings on Linux and Open Source by an Accidental Revolutionary (O'Reilly, 1999), 41.
  81. חברות האבטחה מתגאות בחשיפת פרצות אבטחה אצל אחרים. ראו למשל גליה ימיני, "פינג'אן זיהתה פרצת אבטחה בגוגל שאפשרה גניבת זהות משתמשים; תוקנה תוך ימים", הארץ - The Marker, ע' 18 (11.10.05).
  82. סעיף 7 לחוק הגנת הפרטיות מגדיר: "אבטחת מידע" - הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין"; סעיף 17 לחוק קובע אחריות לאבטחת מידע.
  83. ראו תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ"ו-1986.
  84. חוק המחשבים מספק תמריץ נוסף לבעלי מחשבים לנקוט אמצעי אבטחת מידע מפני חדירה למחשביהם: בלי נקיטת אמצעים כאלה לא יקבל בית משפט את פלטי המחשב כראייה. ראו סעיף 36 לפקודת הראיות [נוסח חדש] תשל"א-1971, שתוקן באמצעות סעיף 10 לחוק המחשבים, ודיון אצל נמרוד קוזלובסקי, המחשב וההליך הפלילי - ראיות אלקטרוניות וסדרי דין (2000) 219.
  85. ראו לעיל הערה 38.
  86. ראו למשל את האמנה האירופית, לעיל הערה 21, בסעיף 4.
  87. בדברי ההסבר להצעת החוק נאמר שהערך המוגן הוא שלמות המידע. ראו גם דויטש, לעיל הערה 21, בע' 438.
  88. ראו למשל את ת"פ (חי') 8243/97 מדינת ישראל נ' גיל פז, דינים שלום יב 152, שבו הורשע עובד לשעבר של רפא"ל בהחדרת וירוס למחשב הארגון.
  89. חוק האזנת סתר, התשל"ט-1979, וכן ראו את דו"ח חבר העמים הבריטי, לעיל הערה 72, בע' 38.
  90.  
    Helen Nissenbaum, Batya Friedman, Edward Felten, "Computer Security: Competing Conceptions" (2001).
  91. לדיון מפורט במתקפות אלה, ראו יעל און ואח', פרטיות בסביבה הדיגיטלית (המרכז למשפט וטכנולוגיה, עורכים: ניבה אלקין-קורן, מיכאל בירנהק, 2005). ראו עוד את סעיף 5 לאמנה האירופית.
  92. ראו למשל ע"פ (חי') 002864/92 מ"י נ' קטין (17.2.03), בו הורשעו מספר קטינים בעריכת וירוס המחשב goner, שגרם לנזקים רבים למערכות מחשב ברחבי העולם. לפי כתב האישום, נועד הווירוס להציף ערוצי הידברות ברשת, ולהפלת תוכנות אנטי-וירוס ותוכנות הגבלת גישה (firewall). בית המשפט המחוזי הדגיש את חומרת העבירות "שנעשו בתחכום רב וגרמו לנזק כבד לאנשים תמימים". במונחי עקרונות אבטחת המידע, הנזק שנגרם כפול: נזק לזמינות המערכות, ופגיעה במערכות שנועדו להשיג את שאר עקרונות האבטחה, כמו בקרת גישה וחדירה עוינת.
  93. ת"פ (ת"א) 005177/99 מדינת ישראל נ' דימטרי גרינברג, דינים מחוזי לב(9) 363 (11.4.00).
  94. ראו פ (כפר סבא) 003709/00 מדינת ישראל נ' אהוד טננבאום (14.6.01).
  95. כינויים רבי עוז המעוררים דימוי של גיבורי-על נפוצים בקרב האקרים. כתב הניו-יורק טיימס מעיר כי בדרך כלל מאחורי הכינוי הנועז מסתתר לכל היותר חנון-על (super geek). ראו:
    Matt Richtel, "Nicknames on the Net: Bigger Bark than Bite", New York Times, March 12, 2000.
  96. ראו גם פ (ת"א) 005476/03 מ"י נ' אורן לוי (2.3.04): "עבירות כמו אלה שביצע הנאשם הן עבירות המתבצעות על ידי עבריינים כמותו. לא מדובר בעבריינים ערלי ראש ונפוחי זרוע, לא מדובר בפוחזים ובבריוני רחוב... מדובר באנשים משכילים ואינטליגנטים שצווארונם נקי ויגיעתם מוחית ולא שרירית. עבירות באמצעות מחשב הן עבירות שנולדו ובאו לעולם בשנים האחרונות. ההתפתחות הטכנולוגית, קפיצת הדרך הנחשונית בעולם המחשבים הביאו עימם עבירות שלא הכרנו וידענו קודם לכן. מדובר בעבירות המתבצעות מחדרים ממוזגים, עבירות המרחיקות לקצווי עולם בזמנים קצרים ונשלטות בידי בודדים המפעילים את כישרונותיהם ומכמני ראשם לפיצוח וחדירה אל תוככי מגירות אישיות, קבצים נסתרים וספריות חשאיות של אנשים פרטיים, חברות ענק ומודות ממשלתיים.... עבריינות המחשב עלולה לפגוע ולשבש מערכות חיים. עבירות המחשב עלולות לגרום נזקים לבתי חולים, שדות תעופה, מתקני בטיחות ובטחון, תוך סיכון חיי אדם, פגיעה בסביבה ובסדר הציבורי. עבירות המחשב הן עבירות נואלות וקשות. חומרתן אינה פחותה מעבירות פליליות אחרות. אדרבא, שכלולן ותחכומן מקנות להן נופך חומרה. ...".
  97. ראו לעיל הערות 23, 34.
  98. ראו סעיף 17 לחוק הגנת הפרטיות.
  99. ראו במקרים נוספים: "מדובר בעבירות שלהן השלכות הרסניות. הנאשם חדר למקומם של אזרחים תמימים, ועשה ברכושם כברכושו. אין הבדל בין פעילותו לבין פעילות עבריינים אחרים הפורצים לדירות ובתי עסק ונוהגים מנהג בעלים במקום שאליו התפרצו". - פ (ת"א) 005476/03 מ"י נ' יוסף שי, (5.1.05).
  100. השופט האמריקני פייר לבאל כותב:
    "Like politicians, [judges] sense the value of sound bite. Long, complicated sentences do not play well on Main Street. Therefore, judges, including the greatest of them, gave devised quotable quips" - Pierre N. Leval, "Judicial Opinions as literature", in Law's Stories: Narrative and Rhetoric in the Law 208 (Peter Brooks and Paul Gewirtz eds., 1996).
  101. ראו למשל משה ריינפלד, "העליון לא התיר ל"אנלייזר לערער"; היום הוא ייכנס לכלא", הארץ (18.06.2002); צבי הראל, "עונש מאסר לא וירטואלי", הארץ (16.06.2002); עמי בן דוד, "סטארטאפ במשטרה", מעריב (15.06.2002); "הפרקליטות עירערה למחוזי על קולת עונשו של ה"אנלייזר", הארץ (14.09.2001).
  102. רע"פ 5147/02 טננבאום נ' מדינת ישראל (טרם פורסם).
  103. ראו:
    Steven Levy, Hackers: Heroes of the Computer Revolution (New York, 1984) 27.
  104. ראו את ההגדרה שמובאת במגזין האקרים נפוץ:
    "Hacking encompasses all sets of things, the basic common denominator being the desire to obtain information out of something or someone in order to gain knowledge", 21(4) 2600: The Hacker Quarterly (2004-5) 30 .
  105. על הדימוי של ההאקרים, ראו:
    Bruce Sterling, The Hacker Crackdown: Law and Disorder on the Electronic Frontier (New York, 1992) 50-59.
    לניתוח מרתק של המעבר מדימוי ההאקר לדימוי הקראקר, ראו יעקב הכט, "האקרים: בין טכנופיליה לפשיעה וירטואלית", מגזין איגוד האינטרנט הישראלי, נובמבר 2004. ראו גם את ההסברים הבהירים של ויקיפדיה, בערכים "האקרים" ו"קראקרים".
  106. למתח שבין ההאקרים ורשויות האכיפה, ולהתנגשות הדימויים, ראו:
    Douglas Rushkoff, Cyberia - Life in the Trenches of Hyperspace (New York, 1994) 208-211.
    לעמדת המשטרה, ראו את הערותיו של מפקד מפלג עבירות מחשב במשטרה, מאיר זוהר, "ההאקר", מראות המשטרה, גיליון 178.
  107. דברה האלברט טוענת כי הבניית זהות "ההאקר הרע" חיונית כדי להגדיר את היפוכו של הרע - את האזרח הישר. ראו:
    Debra J. Halbert, Intellectual Property in the Information Age (1999), 102-103.
  108. לדיון ראו:
    Helen Nissbenaum, "Hackers and the Contested Ontology of Cyberspace", 6(2) New Media and Society 195 (2004).
  109. טננבאום לא לבד בקטגוריה הזאת. קבוצות האקרים ישראלית נוהגות לפרוץ לאתרים העוינים את ישראל. ראו למשל: ערן טל, "האקרים ישראלים "נקמו" בטורקיה: השחיתו מאות אתרים", ynet מחשבים (14.03.05) (נצפה לאחרונה במאי 2005).
  110. ראו לעיל, הערה 81.
  111. משלי יא, 14. זו הסיסמה שאימץ לעצמו המוסד למודיעין ולתפקידים מיוחדים..
  112. פ (י-ם) 003047/03 מדינת ישראל נ' אבי מזרחי (29.2.04).
  113. שם, בפסקאות 109-110.
  114. שם, בפסקאות 93, 104.
  115. שם, בפסקה 72.
  116. שם, בפסקאות 77, 80 , בהתאמה.
  117. ראו לעיל, חלק ד.2.ב.
  118. ראו והשוו לעיל טקסט להערה 97.
  119. ראו ההגדרה בויקיפידיה.
  120. הערעור על הכרעת הדין נדחה מהטעם שמעשיו של מזרחי היו בגדר "הכנה גרידא" וכי לא היה למזרחי היסוד הנפשי הנדרש. ראו ע"פ (י-ם) 008333/04 מדינת ישראל נ' אבי מזרחי (22.8.04).

אודות

Michael Birenhack ד"ר מיכאל בירנהק הוא מנהל (במשותף) של המרכז למשפט וטכנולוגיה ומרצה בכיר בפקולטה למשפטים באוניברסיטת חיפה. . הוא מרצה וחוקר בתחומי משפט האינטרנט, קניין רוחני, פרטיות וחופש הביטוי.

תודה לניבה אלקין-קורן, רחל ארידור, אורן גזל-איל טל ז'רסקי, נמרוד קוזלובסקי, חיים רביה, וברכה שפירא שהעירו הערות מועילות, וכן לעוזרי המחקר תומר אפלדורף ומיכאל גבע. האחריות, כרגיל, שלי בלבד.

זכויות היוצרים שמורות למחבר, ומאמר זה מתפרסם תחת רישיון של Creative Commons, המתיר כל שימוש שאינו מסחרי, לרבות העתקה, הפצה ופרסום, ובכלל זה הכנת יצירות נגזרות, כל עוד יישמר ייחוס המאמר לכותבו ולמקום פרסומו וכל עוד השימוש ביצירות הנגזרות יהיה בתנאים זהים.
הרישיון המלא נמצא ב: http://creativecommons.org/licenses/by-nc-sa/1.0/il.