ה.3 חיפוש בחומרי ענן באמצעות תפיסה של מחשבים או מכשירים חכמים מהווה פעולה חוץ-טריטוריאלית

התרחבות הזמינות והשימוש של טלפונים ניידים ומכשירים חכמים באחסון מבוסס-ענן מעוררת קושי משפטי בכל הנוגע לסמכותן של רשויות האכיפה לבצע פעולות חדירה או חיפוש במידע המאוחסן מחוץ לשטחה הריבוני של מדינת ישראל.

בשני העשורים האחרונים רווחת במדינות דמוקרטיות התפיסה כי רשויות האכיפה אינן רשאיות לבצע חיפוש בנתונים או במאגרי מידע שלא בשטחן הטריטוריאלי.[7] אמנת בודפשט (2016), שחתומות עליה כ-60 מדינות, קובעת כי לא ניתן לאסוף, לעיין ולהשתמש במידע הנמצא מחוץ לגבולותיה הטריטוריאליים של המדינה אלא אם הגורמים הרלוונטיים במדינה שבה נמצא המידע אישרו זאת (בדרך כלל על ידי MLA – Mutual Legal Assistance). במקביל, השינויים היסודיים באופן שבו מופק ומאוחסן מידע אישי בעידן הרשת הניעו את חקיקת ה-GDPR באיחוד האירופי, אשר בין היתר כוללת איסורים ומגבלות על העברת מידע אל מחוץ לטריטוריית האיחוד (לרבות על גורמים אשר אינם בטריטוריה של האיחוד האירופי, אך מעבדים נתונים של נושאי מידע באיחוד), ובפרט סעיף 48 הקובע כי צו בית משפט זר או החלטה של רשות מנהלית לא יוכרו וייאכפו באופן אוטומטי באיחוד האירופי, אלא אם יינתנו במסגרת MLA.[8]

דוגמה ממחישה למעמדה של המוסכמה הבין-לאומית שחדירה של רשויות אכיפה מדינתיות לנתונים המאוחסנים מחוץ לגבולות המדינה מחייבת הסדרה חקיקתית ספציפית היא ה-CLOUD ACT שחוקקה ארצות הברית בשנת 2018. [9]חוק זה תיקן חקיקה קיימת שאפשרה להוציא צו המחייב חברות טכנולוגיה להעביר לרשויות האכיפה את כל הנתונים המאוחסנים לגבי משתמש מסוים אשר יש עדויות לכך שביצע פשע, וקבע כי ניתן לחייב, בעזרת צו, חברות לספק מידע הנמצא ברשותן או בשליטתן גם אם הנתונים אינם נמצאים בארה"ב, ובמקרים מסוימים גם אם הבקשה נוגדת חוק במדינה אחרת. משרד המשפטים האמריקני דאג להדגיש כי החוק אינו נותן לרשויות האכיפה ולרשויות החוק סמכות חדשה על חברות זרות, אלא נותן מענה למגבלה הטריטוריאלית של פעילות אכיפה מדינתית בנוגע למידע המאוחסן מחוץ לגבולות המדינה.

נדבך נוסף של ה-CLOUD Act מתמודד עם המגבלות היישומיות לבצע הליך MLA עבור כל מקרה שבו רשות חקירה ניגשת למידע המאוחסן בשרתים מרוחקים אגב חיפוש במחשב או בטלפון חכם שנתפסו בטריטוריה. זאת, באמצעות הסמכה ייעודית של הרשות המבצעת לחתום על הסכמים בין-מדינתיים לדרישת נתוני משתמשים משירותי הטכנולוגיה והענן, שיאפשרו למדינה זרה לפנות ישירות לחברה ללא אישור ובדיקה פרטנית של הבקשה כפי שנדרש בהליך MLA. נדבך זה למעשה נשען על הנדבך הראשון, ודורש כי במדינה השנייה יהיה חוק דומה. כלומר, הסכם יכול להיחתם בין המדינות רק אם החוק המקומי קובע כי רשויות האכיפה יכולות לגשת למידע הנמצא מחוץ למדינה (כפי שעושה הנדבך הראשון לגבי ארה"ב).

גם האיחוד האירופי פרסם בשנת 2018 הצעת חקיקה דומה במאפייניה, מתוך הכרה בצורך לעדכן את האסדרה המסורתית של גישה לראיות אלקטרוניות בעניינים פליליים.[10] ההצעה עדיין לא התקבלה, אך היא מציעה חוקים להסדרת היכולת של מדינה לדרוש מידע מתאגיד אשר פועל באיחוד באופן ישיר, ללא קשר למיקום הפיזי של המידע. הצעת החוק מקווה לשפר את ההעברה הבטוחה של ראיות אלקטרוניות אשר מוחזקות אצל ספקי שירות שנמצאים במדינה אחרת, לצורך חקירות פליליות. הרגולציה קובעת מסגרת של צווי בקשות מידע אשר תאפשר לבתי משפט ולרשויות אכיפת חוק לקבל גישה לראיות אלקטרוניות ישירות מספקיות שירות במדינות אחרות באיחוד האירופי. הרגולציה קובעת גם מסגרת של צווי שימור אשר תאפשר לרשויות שיפוטיות לבקש מספקיות שירות במדינות אחרות לשמר מידע מסוים.

על רקע זה, הפרקטיקה הקיימת בישראל שלפיה חדירה לחומר מחשב האגור מחוץ לישראל יכולה להיעשות ללא הסמכה מפורשת בחקיקה, אלא על בסיס היתר של פרקליטות המדינה,[11] אינה עולה בקנה אחד עם עקרון הטריטוריאליות ועם ההכרה של מדינות דמוקרטיות בצורך לעדכון החקיקה הראשית של דיני החיפושים לעידן מחשוב הענן הנוכחי, שבו כמעט כל חיפוש במחשב או במכשיר חכם שנתפס בישראל כרוך בגישה לנתונים שמאוחסנים מחוץ לגבולות המדינה.[12]

עם חתימה, נציין סוגיית הסמכות לעריכת חיפוש בחומר מחשב בדרך של חדירה לשרתים מרחוקים התעוררה בהליך הפלילי כנגד הנאשמים בפרשת טלגרס, אשר נכון לפרסום סקירה זו עדיין תלוי ועומד בפני בית המשפט.[13]

מקורות

[7] Robert J. Currie, Cross-Border Evidence Gathering in Transnational Criminal Investigation: Is the Microsoft Ireland Case the “Next Frontier”?, The Canadian Yearbook of International Law 54 (2017). לעיגון תפיסה זו בדין הישראלי ראו למשל ע"פ 7230-96 פלוני נ' מדינת ישראל (1997) ("עקרון הפתיחה הכללי הוא, כידוע, שדיני העונשין תופשים בתחומיה הטריטוריאליים של המדינה"); חוק עזרה משפטית בין מדינות, התשנ"ח-1998 (קובע מסלול ייעודי לחיקור דין או איסוף ראיות מחוץ למדינת ישראל).

[8] ה-GDPR מחריג מתחולתו את רוב המקרים של העברת מידע מטעם גופי אכיפה, להבדיל מהעברת מידע לגופי אכיפה מחברות התקשורת.

[9] Clarifying Lawful Overseas Use of Data Act (2018).

[10] European Production and Preservation Orders for electronic evidence in criminal matters (link).

[11] ראו להלן הפרק ד.2.א ונספח ב. למסגרת הנורמטיבית הבינלאומית העוסקת בפשעי מחשב וחדירה לשרתים מרוחקים, ראו האמנה הבינלאומית על פשעי מחשב (Convention on Cybercrime), שאליה הצטרפה מדינת ישראל בשנת 2016.

[12] בארה"ב ובאיחוד האירופי, ראו פסקאות לעיל. באנגליה, ועדת החוק (Law Com No 396- search warrants) קבעה שהמסגרת הנוכחית של צווי חיפוש לא יועדה ואינה מותאמת למאפייניו הייחודיים של מידע אלקטרוני. הוועדה ממליצה לשנות את הוראות צו החיפוש כך שכאשר מחפשים מידע אלקטרוני, מכשירים אלקטרוניים יוכלו להיות היעד של הצו רק כל עוד הנתונים עומדים בתנאים שבחוק הנוגעים לחומר היעד. בנוסף, הוועדה מציעה להוסיף צו נוסף (מעבר לצו החיפוש למכשיר) אשר יציין מהו המידע הספציפי אשר מבוקש על המכשיר. בכלל זה, הוועדה מדגישה כי רפורמה חקיקתית נדרשת בשל אופיים של נתונים אלקטרוניים, אשר מיקומם עשוי להיות לא יציב או לא ידוע, ומדגישה כי על היכולות של רשויות האכיפה, על שלטון החוק ועל זכויות הנחקרים, יש צורך בשינוי החקיקה הקיימת.

[13] תפ"ח (מחוזי מרכז) 42209-04-19‏ ‏ מדינת ישראל נ' סילבר. לטענות ההגנה בעניין זה ותגובת הפרקליטות ראו: דניאל דולב "המסלול העוקף שמאפשר למשטרה לחטט לחשודים בענן" N12 (4.10.2022) (קישור).