חדירת הממשלה לפרטיות שלנו מתרחבת ללא פיקוח והגבלה

כשאדוארד סנודן הדליף ב-2013 שורת מסמכים חשאיים של ה-NSA, הוכה העולם בתדהמה. המסמכים חשפו מערך ריגול רחב וחובק עולם, שכלל איסוף מידע בכמויות עצומות, לפעמים ישירות מגופי תקשורת, ושיתופי פעולה בינלאומיים בין ארגונים חשאיים שונים להחלפת מידע על אזרחים. החשיפה עוררה סערה תקשורתית רחבה, והיוותה זרז למהלכי חקיקה שונים שנועדו לשפר את פרטיות האזרחים, הן מול הממשל אבל גם מול חברות מסחריות. ובישראל? לא כל כך. כאן, מעט מאוד השתנה ועוד פחות מזה ידוע על הפעילות של גופי ביון בכל הנוגע לאיסוף מידע על אזרחים.

מחקר חדש שערכו המכון הישראלי לדמוקרטיה והמרכז להגנת הסייבר באוניברסיטה העברית מיפה את תמונת המצב המקומית והעלה לא מעט ממצאים מדאיגים, ובהם מאגרי מידע ממשלתיים של גופי מודיעין וחקירה שגדלים בקצב קבוע וללא שום פיקוח, חקיקה מיושנת שלא עודכנה מאז שנות ה-70 ובתי משפט נטולי שיניים שמאשרים כמעט כל בקשה שמגיעה לשולחנם.

"ישראל מפגרת אחרי רוב העולם המערבי בהסדרת גישה של גופי מודיעין למטא-דאטה", אמר לכלכליסט פרופ' יובל שני, סגן נשיא למחקר במכון הישראלי לדמוקרטיה, שכתב את המחקר ביחד עם עו"ד עמיר כהנא, חוקר במכון. "כל המהפכה הדיגיטלית באה לביטוי מאוד מוגבל בחקיקה הישראלית. נוצר מצב שהיכולת של גופי ביטחון לאסוף מידע קפצה בצורה עצומה אבל סמכוית הפיקוח וההגבלות כמעט שלא השתנו, נשארו בעיקר במוד של האזנות לשיחות טלפון. נוצר פער עצום בין היכולות הטכנולוגיות להגבלות".

המחקר מיפה כמה ליקויים מרכזיים בהתייחסות של מדינת ישראל לאיסוף מידע על ידי גופי ביטחון ומודיעין. ראשית, חוסר רגולציה בסוגיות מרכזיות. בין השאר, אין בחוק איסור על איסוף מידע מאסיבי, או הגבלה על התקופה שבה ניתן לשמור מידע שנאסף. אין רגולציה של פעילויות כריית מידע כהצלבה בין מאגר מידע שונים לצורך חילוץ תובנות.

החוק לא עוסק גם באיסוף מאסיבי של מידע גלוי, למשל כזה שמפורסם ברשתות חברתיות. "מעקב המוני אחר פעילות אינדיווידואלית גלויה של משתמשים ברשתות חברתיות, לרבות ניתוחו באמצעים ממוכנים, עלול להביא לפגיעה של ממש בפרטיות", נכתב במחקר. "הגם שגופים פרטיים מפעילים פרקטיקות דומות למטרות מסחריות, הכוח העדיף של המדינה עלול גם לגרום פגיעה חריפה יותר בפרטיות וגם להביא להשלכות מעשיות חמורות יותר לתוצרי המודיעין הגלוי".

לדברי שני, שמכהן גם כיו"ר הוועדה לזכויות אדם באו"ם, מדובר במצב יוצא דופן לעומת מדינות אחרות: "במקומות אחרים יש הגבלות חריפת על איסוף מידע מאסיבי, וכשיש דברים כאלו אז יש תקופת שמירה, הגבלה על משך הזמן שבו מותר לשמור את המידע. למשל, מקובל בעולם שישה חודשים עד שנתיים. בישראל אין הגבלה של ממש, לפחות לא בחוקים הגלויים, כי חלק מהחקיקה היא בתקנות סודיות. גם הפיקוח מאוד מאוד רופף. יש סוגים מסוימים של מידע שצריכים אישור מיניסטיריאלי, מטא-דאטה לא צריך אישור כזה ויש רק פיקוח רופף בדיעבד של היועמ"ש".

לכך מצטרפים כללים חשאיים והיעדר שקיפות בפעילותם של גופים שונים, ובראשם השב"כ. ארגון הביון מבצע פעילויות ברשתות תקשורת, כאשר החוק מקנה לממשה שיקול דעת רחב בקביעת הכללים שמסדירים את פעילותו.

במקביל, מספר מאגרי המידע שמשמשים למעקב נמצא בגידול קבוע, ולא תמיד על ידי גופי מודיעין. "ברור שלשב"כ יש מאגר מידע, זה לא מוכחש, ויש כנראה פרקטיקה של חברות תקשורת להעביר מידע לצורך אחסון", אמר שני. "זה בשונה מהמודל של ארה"ב שבו החברות עצמן מאחסנות את המידע. אנחנו לא יודעם את זה בוודאות כי ההתנהלות בתחום לא שקופה. יש כמובן לצבא מאגרי מידע, והיה אפילו פרסום שהם אספו פרטי תקשורת של פוליטיקאים. זה קורה מתחת לרדאר כי לגורמים ביטחוניים יש פטור מחוק חופש המידע וחוק מאגרי מידע לא חל עליהם.

"למשרד לעניינים אסטרטגיים יש מאגר בנושא BDS. יש מידע שאפשר לאסוף שזמין באופן חופשי ברשת, וביטוח לאומי רוצה להקים מאגר שיהיה מבוסס עליו. כל נושא הצבא פרוץ גם בכיוון אחר, כי בשטחים אין שום הסדרה ואפשר לעשות מה שרוצים לגבי מידע ומטא-דאטה".

היכן הביקורת המשפטית?

במדינות רבות בתי משפט אמורים להוות מחסום בפני מעקב בלתי מבוקר, ואולם בישראל הביקורת השיפוטית חלקית ביותר. רשויות ביטחון פטורות מפנייה לבית משפט לצורך ביצוע האזנת סתר, ויכולות להסתפק באישור שר ממונה ובמקרים דחופים באישור בדיעבד. החוק גם פוטר סוגים מסוימים של האזנות סתר מדרישה להיתר כלשהו, וייתכן שמאפשר איסוף מידע גלוי מרשתות חברתיות בלי צורך לפנות לבית המשפט.

גם במקרים שבהם יש צורך בצו בית משפט, אין כמעט קושי לקבלו. "כמעט כל הבקשות מאושרות", אמר שני. "אבל כמובן יכול להיות שבקשות גרועות לא מוגשות בכלל ויכול להיות שהצו שניתן מגביל את היקף הבקשה. ודאי שפיקוח חלקי עדיף מהיעדר פיקוח. שנית, יש גידול דרמטי במספר הבקשות, במיוחד בקשות למטא-דאטה. זה נותן תמונה חשובה לפענוח פשעים, אבל זה אומר שלרושיות יש הרבה יותר גישה למטא-דאטה ושכבר היום הפרטיות מאוד נשחקה. זה רק בצד הגלוי, בצד הביטחון הדברים בסדרי גודל אחרים לגמרי".

לצד בתי המשפט, פועלת בישראל הרשות להגנת הפרטיות במשרד המשפטים, גוף שמסדיר, מפקח ואוכף על פי חוק הגנת הפרטיות, חוק שירות נתוני אשראי וחוק חתימה אלקטרונית. עם זאת בשל הפטורים שבחוק הגנת הפרטיות אין הרשות מפקחת הלכה למעשה על פעילות מעקב מקוון של רשויות הביטחון ואכיפת החוק. כתוצאה, הביקורת השיפוטית והמעין-שיפוטית על פעילות של מעקב אחר רשתות תקשורת היא ריאקטיבית, והתגובה שלה מוגבלת לבקשות או לצווים קונקרטיים. ביקורת כזו אינה מטפלת במקרים שהרשויות נמנעו בהם מלבקש צווים מתאימים בגלל היעדר חובה חוקית לעשות כן או בשל פרשנות מצמצמת של החובה הקיימת.

התוצאות של המצב הקיים עלולות להיות חמורות במיוחד: "יכול להיות שבידי גורם ממשלתי יש מאגר מידע מטורף של כל תושבי ישראל. יכולים לדעת איפה הייתה בכל יום ובכל שעה ב-20 השנה האחרונות. עם מי דיברת, מתי ואיפה. זה מיפוי מאוד משמעותי של החיים, והשאלה היא האם אנחנו רוצים שלמדינה יהיו את הדברים האלה. עצם הפרצה קוראת לגנב, במיוחד בעולם שבו הדברים האלה דולפים. הנחת העבודה היא שאם יש מאגר מידע ,אפשר לפרוץ אותו ולקחת ממנו מידע. כשיצרת את הדבר הזה יצרת סיכון מיותר לפרטיות של כל התושבים, כי לא כל המידע שם חשוב לאינטרס הביטחוני. זו תגובה מפורזת של איסוף מידע שאין קשר בינו לצורכי ביטחון".

צורך בגוף מפקח חדש

הפיתרון שמציעים שני וכהנא לא כרוך בעצירת פעולות איסוף המידע לצורכי ביטחון. "אנחנו לא נגד הרעיון שיהיו מאגרי מידע ושיהיה איסוף ממוקד של מטא-דאטה, ואפשר גם לאפשר איסוף גורף. אותנו מטריד בעיקר הפיקוח, גם מראש וגם בדיעבד, איך עושים ולכמה זמן. ההסדר כיום לא מאוזן. זה לא שאין צורך באיסוף מידע, אבל צריך לעשות את זה בצורה שמכבדת את הזכות לפרטיות ומונעת ניצול לרעה".

לצורך כך מציעים שני וכהנא להסדיר בחוק סוגיות כמו היקף הסמכויות של גופי ביטחון וגופי אכיפת חוק, לאסור על איסור גורף אלא אם יש בכך למטרה צרה ומפורטת, לקבוע הוראות לגבי תקופת שימור הנתונים, ולהסדיר פעילויות כמו הצלבת מאגרי מידע, איסוף מידע מפלטפורמות כמו גוגל ופייסבוק ויירוט של נתוני תקשורת. במקביל הם מציעים להסיר את החשאיות על כללים שמסדירים את איסוף המידע של השב"כ מחברות תקשורת, ולפרסם דיווחים שנתיים על היקף שימוש השב"כ במסכויותיו.

בצד הפיקוח, מציעים החוקרים להקים רשות פיקוח עצמאית, על בסיס מודל שקיים בבריטניה. "בריטניה עשתה בשנים האחרונות רפורמה גורפת", אמר שני. "הקימו נציבות שעוסקת בסמכויות חקירה ומאשרת את עצם איסוף המידע, נקודתי או גורף, ומפקחת על התחום. מדובר בגוף מקצועי שזו המומחיות שלו, יש שם קציני מודיעין לשעבר ואנשים שמבינים את הטכנולוגיה, ושיכולים לתת היתרים בצורה הרבה יותר מדויקת".