החזירו אותם הביתה עכשיו

ג. נתונים על חדירה וחיפוש בטלפונים חכמים וחשבונות ענן בישראל: תמונת מצב

ג.1 משטרת ישראל ורשויות נוספות משתמשות בכלים מתקדמים לפריצה ולחיפוש דיגיטליים

השימוש בכלים טכנולוגיים מתקדמים לפריצה ולחיפוש במכשירים חכמים, ובפרט בכלים מתוצרת חברת Cellebrite שנסקרו בהרחבה לעיל, אינו מוגבל רק למשטרת ישראל, אלא גם לשורה ארוכה של רשויות אכיפה אחרות הנדרשות לביצוע חקירות שאינן משטרתיות: הרשות להגנת הפרטיות, רשויות המס ומצ"ח.

גורמי החקירה השונים ברשות להגנת הפרטיות במשרד המשפטים (ובעבר, רמו"ט – הרשות למשפט, טכנולוגיה ומידע) משתמשים בשנים האחרונות באופן נרחב בטכנולוגיות החדירה והחיפוש של חברת Cellebrite, ובכלי Ufed Touch Ultimate Standard בפרט. למעשה, מסמך רשמי של החשב הכללי עבור משרד המשפטים מלמד כי עוד בראשית שנת 2015 הצהירה רמו"ט שהיא פונה למשטרת ישראל לקבלת שירותי חדירה וחיפוש כאמור.[1] ממסמך זה ניתן ללמוד על היכרות טובה של הרשות עם יכולות הכלים הטכנולוגיים, שאותם היא מתארת כמאפשרים "פריצת סיסמאות לטלפון; העתקה בינארית של המידע בהתאם למערכת ההפעלה והחומרה על הטלפון; הנגשת המידע לחוקר בטלפון ובתוכנות הנלוות".

בנוסף, מסמך רשמי של החשב הכללי עבור הרשות להגנת הפרטיות מיום 18.8.2020 מלמד כי היחידות החוקרות ברשות להגנת הפרטיות משתמשות מזה שנים מספר בכלים מתוצרת Cellebrite המאפשרים העתקה פיזית פורנזית של מוצרי Apple, ו"מיצוי מכספות של macOS".[2]

הממצא המעניין ביותר העולה ממסמכי הרשות להגנת הפרטיות הוא שהשימוש בכלי החדירה והחיפוש של חברת Cellebrite הוא חלק מסביבת העבודה של רשויות אכיפה נוספות מלבד משטרת ישראל, כגון רשויות המס, המכס ומצ"ח.

ג.2 טכנולוגיות פורנזיות לפריצה ולחיפוש בטלפונים חכמים מופעלות בהיקף עצום

"למעלה מ-20,000 צווי חיפוש במחשבים – ובכלל זה במכשירי טלפון ניידים חכמים – ניתנים מדי שנה. לרוב, הדבר נעשה לאחר דיון במעמד צד אחד, ובלי שתינתן לבעלי המכשירים הזדמנות נאותה לטעון באשר לנחיצות החיפוש והיקפו בטרם יבוצע". כך פתח כ' השופט אלרון את פסק דינו בעניין שמעון, שניתן באמצע שנת 2021.[3]

ואכן, חדירה וחיפוש בטלפונים ניידים הפכו לפרקטיקה נפוצה ביותר בקרב רשויות החקירה. כך למשל, בשנת 2019 התבקשו וניתנו כ-24,000 צווי חיפוש במכשירי טלפון נייד,[4] ובמהלכה נפתחו סך הכול כ-301,000 תיקי חקירה.[5] לצד זאת, במקרים רבים נוספים נתן הנחקר את הסכמתו לחיפוש ללא צו.

גם מנתוני המשטרה הצבאית נראה כי החדירה לטלפונים הפכה לתופעה נרחבת, כאשר רוב החיפושים נעשו בהסכמת הנחקר וללא כל צו, גם כאשר מדובר במכשירים אישיים-אזרחיים ולא צבאיים. כך למשל, בין החודשים פברואר 2014 למרץ 2015 נבדקו על ידי המשטרה הצבאית 2,499 טלפונים ניידים, כאשר רק 490 מתוכם נבדקו באמצעות צו שיפוטי, וב-2,009 המקרים הנותרים נעשו החיפושים בהסכמת החייל ללא צו. בשנה העוקבת נערכו חיפושים בטלפונים ניידים בהיקף דומה.[6]

בנוסף, צווים לפי חוק האזנת סתר זוכים לאישור נרחב יחסית מצד בתי המשפט. בעוד שבבחינת כלל תקופת הזמן בין השנים 2002–2016 עמד אחוז הבקשות שנדחו על 34%, בהתבוננות פרטנית על השנים 2011–2016 הצטמק שיעור הדחייה לאחוזים בודדים.[7] בשנת 2020 הפך המספר לזעום במיוחד – מתוך 3,692 בקשות שהוגשו ב-2020 נדחו 26 בלבד, שהן 0.7% מכלל הבקשות.[8] מגמה זו נמשכה בשנת 2021, בה הגישה המשטרה לבית המשפט 3,359 בקשות להאזנת סתר, מהן התקבלו 3,350, אשר מהוות יותר מ-99 אחוז.[9]

נתונים אלו מציגים על קצה המזלג את היקף התופעה ומחדדים את פוטנציאל הפגיעה העצום בפרטיותם של עשרות אלפי אנשים בשנה, ובהתחשב בפגיעה האינהרנטית שיש לחיפוש במכשירי טלפון חכם בפרטיותם של צדדים שלישיים, מדובר בהיקף עצום של אזרחים שמושפעים מהשימוש המשטרתי בטכנולוגיות מתקדמות לפריצה, חיפוש ומיצוי נתונים מטלפונים חכמים.

ג.3 אילו נתונים חשובים עדיין איננו יודעים

דיון אחראי וממצה בהבנה ובעיצוב של מסגרת הדין והנוהל להפעלה של כלים מתקדמים לפריצה, להעתקה ולחיפוש במחשבים ניידים ובטלפונים חכמים מחייב תשתית עובדתית מקיפה על ההיקף ועל האופן שבו מתבצעים בשנים האחרונות חיפושים בחומר מחשב, ובפרט בטלפונים ניידים,[10] ועל הערך החקירתי שלהם עבור האינטרס הציבורי באכיפת הדין, למשל כמה חיפושים בטלפונים חכמים נעשו מבלי שהחקירה הבשילה לכתב אישום.

מטבע הדברים, נתונים אלו זמינים לרשויות האכיפה בלבד ולא נחשפו מעולם באופן מלא ושיטתי.[11] על כן, לצורך דיון ציבורי וחקיקתי ממצה יש לבחון, בין היתר, את השאלות העובדתיות הבאות:

שאלות לגבי הפעלת כלים טכנולוגיים למיצוי נתונים ממכשירים חכמים שנתפסו

מה היקף ההפעלה של כלים פורנזיים לחדירה ולחיפוש בטלפונים חכמים כדוגמת מוצרי Cellebrite על ידי רשויות החקירה והאכיפה השונות בישראל? כמה מתוך אלו נעשים בדרך המלך של צו שיפוטי וכמה על בסיס הסכמה? האם הפעלתם מוגבלת לעבירות בדרגת חומרה מסוימת?אם לא – כמה שכיח השימוש בכלים אלו בחלוקה לעבירות השונות שבמסגרתן הוא נעשה?

האם לכל אחד מגופי החקירה שמפעילים מערכות כדוגמת Cellebrite יש מדיניות ברורה בנוגע לאופן השימוש בהן, למשל בנוגע לסוג העבירות או מידת הנחיצות של האמצעי? אם אין נהלים, זה חמור במיוחד כי הם משתמשים בכלים הללו כבר שנים רבות. אם יש נהלים, האם אין הם מעורפלים להפליא, והאם הם מתייחסים למלוא החששות הקשורים לחיפושים דיגיטליים, כגון היקף החיפושים ומיקודם או שמירה ושימוש בנתונים שחולצו? בנוסף, יש לבחון האם קיימים כללים שונים לסוגי מידע רגישים יותר, וכמה גורמי חקירה מקבלים גישה למידע.

שאלות לגבי הפעלת כלים טכנולוגיים מסוג "הדבקה מרחוק" כלפי מכשירים חכמים

מה היקף ההפעלה של כלים לביצוע האזנת סתר לתקשורת בין מחשבים באמצעות "הדבקה" מרחוק, כדוגמת סייפן, על ידי רשויות האכיפה השונות בישראל?

מה האורך הממוצע של צווי האזנת סתר לתקשורת בין מחשבים, וכיצד מובטחת הסרת הגישה בסיום תקופת הצו?

האם יש טכנולוגיות נוספות של האזנת סתר לתקשורת מחשבים המיושמות על ידי גופי אכיפת חוק ואינן עוברות בחינה משפטית אובייקטיבית? זאת, למשל, על רקע פרסומים מהשנים האחרונות לפיהם משטרת ישראל מפעילה את ספקיות הגישה לאינטרנט על מנת לנטר תעבורת נתונים של אזרחי ישראל.[12]

מה פוטנציאל זיהום החקירה של מערכות אלו? בהינתן העובדה שהן משבשות את פעילותו התקינה של המכשיר, ובפרט את מערכות אבטחת המידע שלו.

שאלות נוספות על הפעלת טכנולוגיות לחדירה, לחיפוש או להאזנת סתר כלפי מכשירים חכמים

כמה מהחיפושים שבוצעו בטלפונים ניידים כללו גם מיצוי מידע מחשבונות ענן המקושרים למכשיר? אנו יודעים על מקרים לא מעטים שבהם כללה הפעלת כלים פורנזיים למיצוי מידע מטלפונים חכמים שימוש גם ביכולת זו,[13] אך היקף התופעה לוט בערפל.

כמה מהחיפושים שנעשים באמצעות טכנולוגיות פורנזיות במכשירים חכמים, וטלפונים ניידים בפרט, מניבים כתבי אישום והרשעות?

עד כמה בתי משפט נענים לבקשות חיפוש בטלפונים ניידים, תוך הבחנה בין קבלה מלאה, קבלה הכוללת קביעת תיחום נוסף לבקשה, ודחייה? הזכויות החוקתיות לפרטיות, לשמירה על כבוד האדם ולהליך הוגן מחייבות להגדיר באופן מפורט את המקומות שבהם יתקיים חיפוש ואת יעדיו. דרישה זו נועדה להגן מפני ״צווים כלליים״, ולמנוע מהרשויות לחטט ללא הבחנה ברכושו של אדם. כך גם בחוק סדר הדין הפלילי לגבי חיפוש בחומר מחשב. ואכן, קיימים מקרים בודדים שבהם צמצם בית המשפט באופן אקטיבי את היקף צו החיפוש בחומר מחשב שהובא לאישורו, באמצעות תיחום הצו לשירותים ספציפיים בלבד (למשל, אפליקציות להעברת מסרים מיידיים בלבד, להבדיל משירותי מיקום); סוגי נתונים ספציפיים שרק אותם יורשה לחלץ מהטלפון הנייד (למשל איסור לכלול קובצי תמונה או סרטונים או היסטוריית גלישה);[14] או תיחום החיפוש לנתונים שהופקו בתקופה מוגדרת בלבד.[15] עם זאת, אין בפנינו נתונים שיאפשרו לבחון האם צמצום אקטיבי של צווי החיפוש על ידי בתי המשפט הוא פרקטיקה שגורה.

מה עולה בגורלם של הנתונים שהכלים הפורנזיים מחלצים מטלפונים ניידים ומחשבונות ענן לאחר החקירה? למשל, האם החומרים נשמרים כחומר מודיעיני שניתן להשתמש בו בחקירות אחרות? האם החומרים נמחקים במידה שתיק החקירה נסגר מחוסר אשמה? האם עקרון צמידות המטרה המוכר לנו מדיני הגנת הפרטיות חל גם על אופן השימוש בחומרים שנאספים במסגרת החקירה, חשאית או גלויה?

מה מידת הגישה של ספקיות הכלים הטכנולוגיים למידע שמתקבל מהם או למידע על הפעלתם ויעדיהם?

לצורך בדיקת הטענות שהועלו ושלשמה הוקמה הוועדה, דו"ח מררי מציג כיצד פנתה הוועדה לחברת NSO לצורך קבלת מידע האגור אצלה. לפי הדו"ח, החברה מחזיקה נתונים על אודות "כל הדבקה שבוצעה באמצעות המערכת לאורך כל שנות פעילותה במשטרה; המועד המדויק שבו בוצעה ההדבקה; והטלפון הנייד שנדבק באותו מועד".[16]

מקורות

[1] משרד המשפטים (רמו"ט, מח"ש) חוות דעת מקצועית במסגרת כוונה להתקשר עם ספק יחיד / ספק חוץ (27.1.2015) (קישור). ראו גם: הודעה מטעם משרד המשפטים: "התקשרות בפטור ספק יחיד עם חברת Cellebrite לרכישת ותחזוקה למערכת UFED עבור מח"ש ורמו"ט" (2021) (קישור).

[2] FileVault הוא הכלי המובנה של מערכת ההפעלה Mac OS X 10.3 ואילך להצפנת קבצים או דיסקים במטרה למנוע גישה לא-מורשית אליהם (קישור).

[3] בש"פ שמעון, לעיל ה"ש 4, בפסקה 1 לפסק הדין של השופט אלרון.

[4] שם, בפסקה 24.

[5] משטרת ישראל השנתון הסטטיסטי 2019 7 (2020).

[6] עדי ריטיגשטיין־אייזנר "האם הסכמת הנחקר יכולה להוות מקור סמכות לחיפוש בטלפון הנייד שלו?" מעשי משפט ח 131, 132 (2016). הנתונים נמסרו לידי המחברת מדובר צה"ל על פי חוק חופש המידע.

[7] עמיר כהנא ויובל שני "רגולציה של מעקב מקוון בדין הישראלי ובדין המשווה" מחקר מדיניות 123, 34–42 (2019).

[8] יהושע (ג'וש) בריינר "בכירים במשטרה: שופטים שמאשרים האזנה לא יודעים באיזה כלי המשטרה תשתמש" הארץ (19.1.2022).

[9] צבי זרחיה ותומר גנון "היקף השימוש ברוגלות הוסתר גם בדיווחי האזנות הסתר לשנת 2021" כלכליסט (20.06.2022).

[10] שם. משטרת ישראל טוענת כי השימוש בתוכנות ריגול אפשרי בזכות חוק האזנות הסתר. כחלק מחוק זה, המשטרה צריכה למסור לוועדת החוקה של הכנסת את הנתונים המדויקים בדבר מספר ההאזנות שבוצעו. עם זאת, משטרת ישראל אינה מספקת כחלק מנתונים אלה פירוט של הבקשות והאישורים להאזנות סתר מסוג תקשורת בין מחשבים.

[11] לסקירה עכשווית, ראו: עמרי רחום-טוויג "חיפושים ממוחשבים – על סמכויות חקירה בגישה מרחוק למחשבים ומידע דיגיטלי", פורום עיוני משפט מו (30.1.2022) (קישור).

[12] ראו למשל: עמי רוחקס דומבה "המשטרה מבקשת מספקי התקשורת אפשרות לרגל אחרי תעבורת גלישה של אזרחים" Israel Defense (13.12.2020) (קישור); "משטרת ישראל מרגלת אחר הגלישה שלנו באינטרנט" CyberCyber (12.12.2020) (קישור).

[13] תפ"ח 42209-04-19 מדינת ישראל נ' סילבר (3.8.2022).

[14] ראו למשל צ"א (שלום ב"ש) 30588-12-20 מדינת ישראל נ' אבקסיס (15.12.2020(; צ"א (שלום ב"ש) 47580-12-20 מדינת ישראל נ' און (24.12.2020(; צ"א 64974-12-20 מדינת ישראל נ' פלוני (30.12.2020); צ"א (שלום ב"ש) 68831-12-20 מדינת ישראל נ' פלוני (31.12.2020).

[15] ראו למשל צ"א 5669-01-21 מדינת ישראל נ' פלוני (6.1.2021).

[16] דו"ח מררי, לעיל ה"ש 39, בעמ' 29.