הרשמה לניוזלטר

    כל השדות הם חובה למילוי

    ו. במקום סיכום: מתווה לפיתוח האסדרה של חיפוש במכשירים חכמים אישיים

    כפי שציינו בפתח מסמך זה, מטרתו העיקרית היא לספק נתונים ועובדות על יכולותיהן חסרות התקדים של טכנולוגיות פורנזיות לחדירה ולחיפוש בטלפונים חכמים ובחשבונות הענן המקושרים אליהם ועל מסגרת הדין והנוהל להפעלתם. בחלק מסכם זה נבקש להציע תשתית רעיונית באשר לעקרונות שאנו סבורים כי ראוי ונדרש לאמץ על מנת להבטיח איזון ראוי בין האינטרס הציבורי בחקר האמת ואכיפת הדין לבין זכויות היסוד לפרטיות, להליך הוגן ולכבוד האדם של תושבי ישראל.

    נדגיש כי המלצות אלו ממוקדות למקרים של חדירה וחיפוש בחומר מחשב לאחר תפיסתו (מכוח פקודת החיפוש), ולא למקרים של "חיפוש מרחוק" או שימוש ברוגלות. עם זאת, גם בתחום זה יפה המלצתה המרכזית של ועדת מררי.

    הגבלת האפשרות לחיפוש בטלפונים ניידים ובמשאבי ענן על בסיס הסכמה וללא צו שיפוטי

    כפי שהסברנו בתיאור שלבי החקירה, ככלל, הליך החיפוש דורש צו שיפוטי. עם זאת, בשנים האחרונות קיימת גם פרקטיקהשל חיפוש בהסכמת החשוד. "הסכמה" זו, שניתנת לא אחת במפגש לא סימטרי בין בעל סמכות חוקרית לבין נחקר/חשוד שמנסה לרצות את בעל הסמכות שמולו, מעלה סוגיות משפטיות ואתיות רבות. חיפושים בהסכמה על ידי שוטרים הם מדאיגים בכל הקשר,[1] אבל האסימטריה בסמכויות ובמידע במקרה של חיפושים בהסכמה בטלפון סלולרי היא עצומה במיוחד, בייחוד כאשר מדובר בחיפוש הנעשה באמצעות כלים טכנולוגיים.

    סביר להניח שלאדם שמסכים לחיפוש בטלפון שלו אין מושג מה באמת המידע שניתן לחלץ מהמכשיר שלו, ומה יקרה למכשיר. עקב היעדר דיון ציבורי על הכלים הפורנזיים שמפעילות רשויות האכיפה, סביר להניח שרוב האנשים יופתעו מהעוצמה של הכלים שרשויות אכיפת החוק יכולות להשתמש בהם כדי למצות ולנתח נתונים מהמכשיר. יתרה מזו, מרבית הטפסים לחיפוש בהסכמה של טלפון אינם מפרטים כיצד הן תבצענה חיפוש בטלפון, באילו כלים ובאיזה היקף יהיה החיפוש. בנוסף, הניתוח שהצענו לעיל מלמד כי בפועל אין כמעט מגבלות על השימוש שרשויות אכיפת החוק יכולות לעשות עם נתונים שמוצו מטלפון סלולרי לאחר שמישהו הסכים לחיפוש. אם טופס ההסכמה נוסח באופן רחב מספיק, אין הגבלת זמן על התקופה שבה רשות אכיפת חוק יכולה לבדוק מחדש נתונים שמוצו מטלפון סלולרי.

    בעיה נוספת בפנייה הרחבה של הרשות החוקרת לאפיק ההסכמה על פני צו שיפוטי היא כי חיפוש בהסכמה אינו מתייחס לשיקול הפגיעה בצדדים שלישיים, שהוא אחד משלושת השיקולים המרכזיים באפיק הצו השיפוטי, לאישור הצו ולקביעת היקפו. כלומר, גם אם אפשר להכשיר את השרץ על ידי טיוב ההסכמה מדעת שניתנת על ידי בעל המכשיר, אין הסכמתו מכשירה פגיעה בפרטיותם של צדדים שלישיים אשר מושפעת גם היא מתוכן המחשב.

    הגבלת האפשרות להפעיל כלים פורנזיים למיצוי מידע מטלפונים חכמים על בסיס הסכמה אינה הצעה חדשה,[2] והיא גם לא פתרון אידיאלי, מכיוון שלרשויות אכיפת החוק לא קשה להשיג צו חיפוש. עם זאת, הגבלת חיפוש בהסכמה בטלפון סלולרי יכולה לעזור להגביל את שיקול הדעת של גורמי החקירה, להגביל את יכולת הכפייה שלהם, ולמזער את כמות המידע שאפשר לאסוף מאנשים שנמצאים תחת חקירה.

    בנוסף, ראוי לבחון מחדש את האבחנות ההיסטוריות בין "חיפוש" ל-"האזנת סתר" ובין ועבירות מסוג פשע לעבירות עוון, לצורך בקשה או מתן צווים בעניינים אלו על מנת ליצור מדרג עשיר יותר של שיקולים לפיו יאשרו בתי המשפט ביצוע חיפושים במחשב, לרבות חדירה בלי הסכמה של בעל המחשב. קל וחומר לגבי חדירה או חיפוש מרחוק.

    חובת תיעוד (audit logs) של פעילות הכלים הפורנזיים לחדירה ולחיפוש במכשירים חכמים

    הסכנה הטמונה בחיפושים רחבים מדאיגה במיוחד בהתחשב בעובדה שמי שאינם נמנים עם רשויות אכיפת החוק – כמו סניגורים – יתקשו מאוד לשחזר את הצעדים שנקט החוקר הפלילי בניסיונם לפקח על היקף החיפוש או לחלוק על אמינותו.

    קומץ מסמכי מדיניות אומנם מחייב את החוקרים לתעד כיצד נערך החיפוש, אבל לא סביר שרמת התיעוד הנדרשת תאפשר לסניגור לבצע ביקורת יעילה של פעולות החדירה, החילוץ והניתוח שביצעו רשויות החקירה באמצעות הכלים הטכנולוגיים שברשותם. באופן כללי יותר, יש להכיר בפערי המומחיות והמשאבים שבין רשויות אכיפת החוק לבין סנגורים (וסנגורים ציבוריים במיוחד), כאשר לאחרונים לרוב אין גישה לכלים הפורנזיים הרלוונטיים. במקום זאת, לעיתים קרובות סנגורים נאלצים לבחון דו"חות פורנזיים שמכילים אלפי עמודים וניתנים לניווט מעשי רק באמצעות תוכנה קניינית של חברה פורנזית, או על-ידי תשלום שכר טרחה בהיקף גבוה למומחים מקצועיים בתחום הפורנזיקה הדיגיטלית.

    על רקע זה, ראוי לקבוע בחקיקה כי לכלים שרשויות אכיפת החוק מפעילות על מכשירי טלפון ניידים יהיו פונקציות לניהול רשומות ברורות, ובאופן מיוחד יומני ביקורת (audit logs) מפורטים והקלטות מסך אוטומטיות. יומני ביקורת והקלטות מסך יספקו תיעוד כרונולוגי של כל האינטראקציות של רשויות אכיפת החוק עם התוכנה, כגון איך הן דפדפו בנתונים, באילו שאילתות חיפוש הן השתמשו, ואילו נתונים הן היו יכולות לראות. על בסיס יומנים כאלה, שופטים ואנשים אחרים יוכלו להבין טוב יותר את הצעדים המדויקים שרשויות אכיפת החוק נקטו במהלך מיצוי נתונים ובדיקה של טלפון, ולסנגורים ציבוריים יהיו כלים טובים יותר כדי לקרוא תיגר על הצעדים האלה במקרים המתאימים, ובפרט כאשר רשויות אכיפת החוק חרגו מהמגבלות של צו החיפוש בטלפון.

    המלצה זו עולה בקנה אחד עם עקרונות שנוסחו על ידי ארגוני עובדים בתחום אכיפת החוק, כגון איגוד מפקדי משטרה בארצות הברית, שקבע כי "יש ליצור ולשמר נתיב ביקורת… על כל התהליכים שיושמו על ראיות דיגיטליות. גוף שלישי בלתי תלוי צריך להיות מסוגל לבחון את התהליכים האלה ולהגיע לאותה תוצאה".[3]

    הסדרת היכולת של חוקרים להשתמש במידע מחוץ למטרת החיפוש הספציפי: צמידות מטרה?

    מסמכי מדיניות מעטים מספקים הנחיות לגבי הצעדים שחוקרים צריכים לנקוט אם נתקלו בראיות פוטנציאליות לפשע אחר שאינו מפורט בצו החיפוש הראשוני. שימוש בצו כדי לחפש ראיות דיגיטליות לפשע פוטנציאלי אחד רק כדי לחפש ראיות דיגיטליות לפשע אחר לגמרי מעלה שאלות חוקתיות חמורות. ללא הגבלת היכולת של חוקרים לגשת למידע החורג ממטרת החקירה הספציפית,יכולות רשויות אכיפת החוק לצאת ל״מסע דיג״ בחיפוש אחר ראיות לפשע כלשהו – הרבה מעבר לצידוק המקורי לחיפוש.

    על כן, האסדרה העתידית של אמצעים טכנולוגיים למיצוי מידע מטלפונים חכמים נדרשת לקבוע עקרונות ברורים באשר לסוגיות אלו אשר טרם זכו לליבון בפסיקה. אלו צריכים להיות מחמירים במיוחד לגבי נתונים שמקורם בהפעלת הטכנולוגיות הפורנזיות על בסיס הסכמה.

     חובות לגבי טיפול במידע שנאסף ממכשירים חכמים: חתימה ומחיקה

    בהיעדר חוק או מדיניות ברורים, רשויות אכיפת החוק עשויות להשתמש במידע אישי כגון רשימות אנשי קשר, תמונות ונתוני מיקום כדי להזין מערכות מעקב משטרתיות. זה נכון לא רק לגבי הנתונים של האדם שהטלפון שלו עבר חיפוש, אלא גם לגבי כל האנשים שאיתם היה לו קשר באמצעות הטלפון שלו. במובן זה, חיפושים בטלפון שונים מהחרמה מסורתית של חפצים מכיוון שרשויות אכיפת החוק ממצות את כל הנתונים מהמכשיר ורק אחר כך מחפשות מידע שקשור לתיק.

    מכיוון ששמירת מידע שאינו מוגדר בצו חיפוש דומה לשמירת זכותה של רשות אכיפת החוק לבצע חיפוש בבית ללא כל הגבלת זמן, ראוי לחייב את רשויות אכיפת החוק למחוק כל נתון שמוצה מטלפון סלולרי שאינו קשור למטרה של צו החיפוש – תוך חודשים ספורים מיום קבלת המידע. בתיקים שהסתיימו בהגשת כתב אישום – נתונים שנחשבו רלוונטיים צריכים להיגנז עם סגירת התיק. בתיקים אחרים, שבהם ההאשמות מבוטלות או אינן מסתיימות בהרשעה, כל הנתונים צריכים להימחק, בין אם הם רלוונטיים ובין אם לאו. נתונים שנחשבו רלוונטיים בתיק אחד אינם צריכים לעולם לשמש למטרות מודיעיניות כלליות או לשמש בתיקים שאינם קשורים לאותו תיק.[4] בנוסף, ראוי לקבוע כי אם רשויות החקירה מפעילות כלים טכנולוגיים למיצוי נתונים ממכשירים חכמים ו/או מחשבונות הענן המקושרים אליהם, על המידע המוזן למערכת ונשמר בתיק החקירה להיות רק זה שכבר סונן ונמצא רלוונטי על ידי גורמי החקירה, ולא כלל המידע שנשאב מהמכשיר.

    בהקשר זה ראוי לציין כי חוק האזנות סתר (שמהווה כעת לטענת משטרת ישראל את האכסניה המשפטית להפעלת רוגלות כגון "סייפן") מורה על מחיקת החומר רק לאחר תום ההליכים המשפטיים, באישור התובע, ורק כאשר ניתן למחוק את החומר במלואו (אחרת יש לנקוט מניעת גישה באמצעות תוכנה ייעודית). לגבי חומר האזנה ששמירתו נדרשת מטעמי ביטחון לא הותוו בחוק כללים ברורים למחיקה, והסמכות לקביעתם נתונה בידי ראש הממשלה.

    דרישות ברורות לשמירת רשומות יכולות לעזור לא רק לוודא שרשויות אכיפת החוק נותנות דין וחשבון על חריגה מההיקף של צו חיפוש, אלא גם להגביל באופן משמעותי את הנתונים שרשויות אכיפת החוק יוכלו לשמור במערכות פנימיות כגון מסדי נתונים מודיעיניים, מסדי נתונים על כנופיות וכלי מניעה משטרתיים; וכן להגביל את הנתונים האישיים שייחשפו כתוצאה משימוש לא מורשה על ידי אנשים בגופי האכיפה.[5]

    חובות שקיפות על רשויות החקירה

    קובעי מדיניות מדינתיים ומקומיים צריכים לחייב דיווח ורישום ציבורי על האופן שבו רשויות אכיפת החוק משתמשות בכלים פורנזיים למכשירים ניידים. יש צורך להפיץ את הרשומות הללו לפחות אחת לחודש, על מנת לאפשר גישה מיידית יותר למידע על ידי עורכי דין, קובעי מדיניות וגורמים בציבור שרוצים להבין את היכולות של רשויות אכיפת החוק שאמונות על ביטחונם. בנוסף לכך, הרשויות צריכות להפיץ דו"חות שנתיים על השימוש הכולל שלהן בכלים אלה, לרבות קביעת חובת דיווח לכנסת ולוועדותיה הרלוונטיות.

    הרשומות האלה צריכות לכלול מידע מצרפי על האופן שבו רשויות אכיפת החוק משתמשות בכלים פורנזיים למכשירים ניידים, לרבות:

    • בכמה מכשירי טלפון נעשה חיפוש בתקופה נתונה;
    • האם החיפושים האלה נעשו בהסכמה (אם כי חיפושים בהסכמה צריכים להיות אסורים), או באמצעות צו חיפוש;
    • מספרי הצווים שקשורים בחיפוש, אם זה ישים;
    • סוג(י) העבירות שנחקרות;
    • באיזו תכיפות הובילו הכלים למיצוי נתונים מוצלח;
    • הסברים על מיצויי נתונים שנכשלו;
    • אילו כלים (וגרסאות) שימשו למיצוי וניתוח נתונים, ומספרי הגרסאות שלהם.

    דוגמה מרכזית ליישום של חובות שקיפות מלאות כלפי המחוקק והציבור היא ארה"ב, שבה החוק מחייב את בתי המשפט לדווח את מספר הבקשות המדינתיות לצווים אשר מבקשים ליירט תקשורת קווית, אוראלית או אלקטרונית, ואת מספר הבקשות אשר התקבלו או נדחו.[6] בנוסף, הדיווחים כוללים בין היתר מידע מפורט ומנותח לגבי סוג העבירות שבו עסקו התיקים שבהם התבקש הצו, סוג המעקב, ומספר המעצרים וכתבי האישום שנבעו מהמידע שהושג באמצעות הצו.

    הבנת האופן, המועד והסמכות החוקית שמאשרת לרשויות אכיפת החוק להשתמש בטכנולוגיות העוצמתיות האלה יכולה להגדיל שקיפות ומתן דין וחשבון. מעבר לשקיפות כשלעצמה, רשומות כאלה הן חשובות מכיוון שהן יכולות לסייע לעורכי דין, לחוקרים, לקובעי מדיניות ולציבור. באופן כללי יותר, רשומות כאלה יכולות לעזור לקרוא תיגר על הנרטיב של רשויות אכיפת החוק בנוגע לשאלות איך, מתי ומדוע הן משתמשות בכלים האלה.

    אסדרת מערכת היחסים והגישה לנתונים בין רשויות החקירה לספקי טכנולוגיות פורנזיות דיגיטליות

    העובדה כי הכלים הפורנזיים שמפעילות רשויות האכיפה לפריצה ולחיפוש בטלפונים חכמים או להאזנת סתר לתקשורת בין מחשבים מסופקים לה על ידי חברות פרטיות מעוררת שאלות בנוגע לגישה של אותם גורמים פרטיים לנתונים על הפעלת הכלים הללו או מטרותיה. כפי שנוכחנו לדעת מדו"ח ועדת מררי, לחברת NSO למשל יש יכולת להפיק מידע על הפעלות הכלים שסיפקה למשטרת ישראל, ניסיונות להפעלה ואולי אף מידע על יעדיהם. על כן, אסדרה עתידית של תחום זה נדרשת להתייחס לכמה היבטים יסודיים.

    ראשית, אסדרה עתידית חייבת לכלול כללי סף להתקשרות גורמי האכיפה המדינתיים עם חברות פרטיות המספקות שירותי פריצה לטלפונים ניידים או "האזנה לתקשורת בין מחשבים", שייקבעו בחקיקה לגבי פעולות עתידיות של כלל גופי האכיפה הרלוונטיים. מגבלות אלו צריכות להתחיל ולהיות מבוססות על קביעת איסור גורף על נגישות של הגורם הפרטי למידע הנאסף בעזרת המכשירים אשר סיפק, והעיקרון שלפיו המידע המופק והכלים והמידע המתעד את הפעלתם ייאגר רק במאגרים מדינתיים.

    הדרכות והשתלמויות לשופטים על טכנולוגיות פורנזיות ויכולותיהן

    בדומה להמלצת דו"ח ועדת מררי כי יש לקיים השתלמויות עיתיות שבהן יוצגו לשופטים כלל הכלים הטכנולוגיים שבאמצעותם ניתן לבצע האזנות סתר ויכולתיהם,[7] יש לעשות כן גם בנוגע למכלול הכלים הטכנולוגיים שמפעילות רשויות האכיפה לחדירה ולחיפוש בחומר מחשב, ובטלפונים ניידים בפרט, לרבות סוג והיקף המידע המתקבל באמצעותם. יידוע כאמור של כלל שופטי הערכאות הרלוונטיות יחזק בדרך נוספת את האפשרות של בתי המשפט במקרים הקונקרטיים לבצע איזון בין הצורך החקירתי למידת הפגיעה בפרטיות, ואף לבחון האם קיים אמצעי שפגיעתו פחותה.

    מקורות

    [1] מחקר שבוצע לאחרונה ותוכנן "במיוחד כדי לבחון את הפסיכולוגיה של חיפושים בהסכמה" מדגיש את הבעיות בהסתמכות על כך ש"אדם סביר" יחליט מה לעשות בקשר לחיפוש בהסכמה. המשתתפים במחקר הובאו למעבדה והוצגה להם "בקשה מאוד פולשנית: לאפשר לחוקר גישה ללא פיקוח לטלפון החכם הלא נעול שלהם". יותר מ-97% מהמשתתפים מסרו את הטלפון שלהם לחיפוש כאשר התבקשו, למרות שרק 14.1% מהאנשים בקבוצה נפרדת של צופים אמרו שאדם סביר יסכים למסור את הטלפון שלו. המחקר מגלה שקיימת "הטיה שיטתית שגורמת לצופים ניטרליים מהצד לראות בהסכמה משהו יותר רצוני, ולראות בסירוב משהו יותר קל, מאשר האנשים שעוברים את החוויה". בעוד שקיימות טענות סבירות על כך שמחקרים במעבדה מגזימים בהערכת שיעורי ההיענות לבקשות חיפוש מצד שוטרים, קיימות ראיות חזקות לכך ששיעורי ההיענות במחקרים נמוכים משיעורי ההיענות האמיתיים. ראו: Roseanna Sommers, Vanessa K. Bohns, The Voluntariness of Voluntary Consent: Consent Searches and the Psychology of Compliance, 128 Yale L. J. (2019).

    [2] רע"פ סיגאוי, לעיל ה"ש 123 ("השאלה העקרונית שהונחה בפנינו היא האם הסכמתו של חשוד מספקת על מנת להסמיך חוקרים לערוך חיפוש בטלפון הנייד – שאלה זו תישאר תיאורטית ולא תשפיע על תוצאות ההליך… לא מן המותר להרהר גם בשאלה האם אין זה ראוי להסדיר את הנושא הספציפי בחקיקה").

    [3] Association of Chief Police Officers, ACPO Good Practice Guide for Computer based Electronic Evidence, March 2012.

    [4] במדינות ניו מקסיקו, יוטה וקליפורניה שבארצות הברית כבר קיימת מדיניות שמחייבת מחיקה או גניזה של נתונים. New Mexico’s Electronic Communications Privacy Act, Section 3.D.2; Utah’s Electronic Information or Data Privacy Act, Section 1.B, 1.D; California’s Electronic Communications Privacy Act, 1546.1(d)(2); בנוסף, מדינת ניו יורק מחייבת גניזה של כל רשומות המעצר של אדם שלא הורשע בפשע. New York Consolidated Laws, Criminal Procedure Law – CPL § 160.50 Order upon termination of criminal action in favor of the accused.

    [5] בשנים האחרונות ניכרת בישראל תופעה בלתי מבוטלת של גישה לא מפוקחת מצד עובדים ברשויות החקירה למאגרי מידע רגישים. ראו: דניאל דולב מי שומר על השומרים? החיפושים הפיראטיים של שוטרים במאגרי המידע של כולנו (שומרים, 10.8.2021) (קישור). לדוגמה של שימוש לרעה ביכולות אלה על ידי שוטרים ראו קישור.

    [6] United States Courts – Wiretapes Reports (link).

    [7] דו"ח מררי, לעיל ה"ש 39, בעמ' 47 ("נוסף על הפירוט בבקשה להיתר לצו האזנת סתר של מאפייני ההאזנה והיקף המידע שצפוי להתקבל במסגרתה, לקיים השתלמויות עתיות במסגרתן הגורמים הטכנולוגיים במשטרת ישראל יציגו לשופטי בתי המשפט המחוזי המוסמכים להתיר האזנות סתר, את כלל הכלים הטכנולוגיים באמצעותם ניתן לבצע האזנת סתר, מאפייניהם, והיקף המידע המתקבל באמצעותם").