על רוגלות, בינה מלאכותית ופיקוח אנושי

Getting your Trinity Audio player ready...

אתגרי הביטחון מכניסים אותנו למרוץ של שימוש בכלי סייבר התקפיים, ברוגלות ובאמצעי זיהוי ואיתור המאיימים על חירות הפרט. ישראל, מן המובילות בתחום, צריכה להוביל גם בפיקוח שיבטיח שקיפות ושימוש מושכל

 

בשנים האחרונות אנו עדים למגמה גוברת והולכת של הסתמכות על כלים טכנולוגיים בשירות גורמי אכיפת החוק וכוחות הביטחון. תופעה זו התרחבה על רקע שני מאיצים דרמטיים: ראשית, משבר הקורונה, שהוביל להסתמכות רבה יותר (אם לא הסתמכות-יתר) של חברות אנושיות על טכנולוגיה; שנית, אסון 7 באוקטובר שפגע בבטן הרכה של החברה הישראלית והציב את ביטחון אזרחי המדינה בראש סולם העדיפויות.

טבח 7 באוקטובר הוביל להרס ופגיעה בהיקפים נרחבים, ושינה לחלוטין את המשוואה המאזנת בין ביטחון הציבור לבין חירויות הפרט. אך טבעי הוא שמאז האסון ניכרת תנועה לכיוון קידום צורכי הביטחון, תוך צמצום קידומם של אינטרסים אחרים, ובהם זכויות יסוד כגון חופש הביטוי, חופש התנועה והזכות לפרטיות. נוצרה הסכמה מסוימת להרחבת השימוש באמצעי ביטחון מרחיקי לכת, לרבות אמצעים טכנולוגיים מסוגים שונים, דוגמת מערכות צילום מיוחדות או אפשרות גישה למצלמות של אזרחים בשעת חירום.

למעשה, עוד לפני אסון שמחת תורה חזינו במגמה גוברת של הַשְמָשַת טכנולוגיות בשירות גורמי אכיפת חוק וכוחות הביטחון לשם הפעלת סמכות שלטונית. כך, בין היתר, גורמי אכיפת החוק משתמשים בכלי מעקב ואיסוף דוגמת מערכת "עין הנץ" או מערכת ההכללה בנמל התעופה בן-גוריון (פרופיילינג), המשמשת ליצירת "רשימת הכללה" של חשודים פוטנציאליים (המבוססת על בינה מלאכותית).[1] לפני כשנתיים, עם חשיפתו של תומר גנון מ'כלכליסט' כי משטרת ישראל רכשה והכניסה לשימוש רוגלות בהליך שלא היה גלוי לציבור, התעוררה סערה ציבורית בשאלת הסמכות להטמיע כלי בעל יכולות מרחיקות לכת ללא אסדרה חוקית ובשאלת השפעת הכלים הללו על חירויות היסוד של הפרט.[2] גילוי זה הוביל להקמת צוות בדיקה בהובלת המשנה ליועץ המשפטי לממשלה, עמית מררי.

בעמודים הבאים אתייחס לכמה כלים טכנולוגיים המצויים בשימוש כוחות הביטחון בישראל, ואדון בדרך שבה מבקשת הממשלה לאזן בין האינטרסים השונים שעל כפות המאזניים: הגנה על הביטחון הלאומי, שמירה על הסדר הציבורי, חיזוק המשילות והריבונות באזורי עימות, קידום וביסוס של חדשנות טכנולוגית, שיקולים כלכליים ושיקולי תדמית בינלאומית, וכמובן הגנה על זכויות אדם ובהן גם הזכות לפרטיות. כלי מרכזי באיזון הנדרש הוא הגדרת סמכויות הפיקוח על פיתוחים טכנולוגיים ואופן הכנסתם לשימוש. אציע מנגנון פיקוח בעל שתי רמות שבכוחו לשמש גורם מאזן בין כלל השיקולים והאינטרסים המתעוררים: (א) מנגנון פיקוח בשלב הפיתוח של טכנולוגיות שיש להן יישום ביטחוני; (ב) מנגנון פיקוח פרלמנטרי, בתור אמצעי משלים, לאחר ההכנסה לשימוש של טכנולוגיות בעלות השפעה דרמטית על חירויות הפרט.

איור: מנחם הלברשטט

הסייבר ההתקפי: רוגלות

על רקע התלות האנושית הגוברת בטכנולוגיה, ובמכשירי סלולר בפרט, הפכו רוגלות וכלי סייבר מודיעיניים (או סייבר התקפי) לאמצעי מרכזי בארסנל של גופי ביטחון ואכיפת חוק הנאבקים בטרור ובפשיעה חמורה ומאורגנת. רוגלות מאפשרות לחדור מרחוק ובאופן סמוי למכשיר סלולרי, להפעיל את הפונקציות השונות בו ולשאוב את המידע האצור בתוכו. כשהוא בידיים הנכונות, משמש מידע יקר ערך זה לסיכול התקפות טרור ולמעצר פושעים וגם להתמודדות עם מצבי קיצון דוגמת אסונות רבי נפגעים, אסונות טבע או רעידות אדמה. אך בשנים האחרונות התברר כי היכולות המתקדמות של כלי הסייבר ההתקפי מנוצלות לרעה על ידי מדינות מסוימות כדי לפגוע בפרט באופן בלתי חוקי.

ישראל נחשבת לאחד המוקדים המרכזיים בזירת הסייבר ההתקפי העולמית, והיא ביתן של כמה חברות מתקדמות בתחום. [3]תעשיית הסייבר המודיעיני המקומית מסייעת למצֵב את ישראל כמובילה טכנולוגית; היא משפיעה, לטוב ולרע, על תדמיתה הבינלאומית של המדינה; והיות שהיא הניבה בשיאה מחזור שנתי של כמעט מיליארד דולר, היא גם תורמת למדינה רבות מבחינה כלכלית.[4] מערכת הביטחון הישראלית עודדה את תעשיית הסייבר המודיעיני במשך שנים רבות, ואף נטען כי מינפה אותה כדי לקדם יחסים בינלאומיים עם מדינות אחרות (כפי שנעשה במסגרת הסכמי אברהם, למשל).[5]

עם זאת, ביחסה של המדינה כלפי תעשיית הסייבר ההתקפי מצויה מורכּבוּת מסוימת, כיוון שהמדינה ממלאת כמה תפקידים במגעה עם תעשייה זו. ראשית, המדינה היא הריבון אשר אמור ליצור רגולציה שתאזן בין פיתוח חדשני לבין חירויות הפרט. שנית, היא שומרת הסף המעניקה רישיון ייצוא ושיווק לחברות סייבר ישראליות, במטרה לוודא, בין היתר, שהתעשייה הצבאית לא תפגע ביחסי החוץ של מדינת ישראל. ולבסוף, היא עצמה לקוחה של תעשיית הסייבר המודיעיני שלה.[6]

הכובעים השונים הללו עלולים להקשות על פעולה עניינית של הרגולטור, וזאת לצד החשש מפני תופעת "דלת מסתובבת",[7] כלומר מעבר של בכירים במערכות ציבוריות (ובעיקר רגולטורים) לחברות פרטיות שהן מושא הרגולציה (דהיינו מעבָר מהמפקח למפוקח).[8] ואכן, ברמה המעשית חזינו בשנים האחרונות כיצד בכירי מערכות הביטחון מצטרפים לחברות טכנולוגיה התקפיות,[9] באופן המעורר תהיות לגבי יכולתו של משרד הביטחון לפקח על אותן חברות. ברי אפוא כי מדינת ישראל חייבת להבטיח את יעילות הפיקוח שלה ואת המוניטין שלו באופן שיאפשר את שימור השוק החשוב הזה – הנחוץ לקידום מטרות קריטיות, כמו מאבק בטרור ובפשע המאורגן.

מבין חברות הסייבר ההתקפי הישראליות הפכה חברת NSO עם השנים לסמל של התחום, בשל היותה הראשונה שפעלה בתחום וגם מכיוון שמוצר הדגל שלה – רוגלת פגסוס – נהפך לשם דבר בקרב כל מי שעוסק בתחום, בישראל ובעולם. בשנים האחרונות נשחקה תדמיתה של תעשיית הסייבר ההתקפי, בעקבות גילויים לגבי שימוש לרעה שנעשה בה.[10] בין היתר נטען כי רוגלות שימשו לצורכי מעקב אחַר פעילי זכויות אדם בבחריין ובירדן, נציגי חברה אזרחית בקזחסטן, גורמי אופוזיציה בפולין, סגל דיפלומטי באוגנדה, עיתונאים באל-סלוודור ואף נציגי או"ם. אחת ההאשמות הבולטות היא הטענה כי פגסוס סייעה במימוש המזימה להוציא להורג ללא משפט את העיתונאי ג'מאל חשוקג'י בשגרירות סעודיה בטורקיה, מה שפגע ביחסי החוץ בין כלל המדינות המעורבות.[11] הטענות הללו נתמכו גם בדו"ח מפורט בעניין של דַוָּח האו"ם לענייני הוצאות להורג מחוץ לסמכות השיפוט של מדינות,[12] וכן בדו"ח של מחלקת המדינה האמריקנית בנושא.[13]

חברת NSO, מצידה, משקיעה מאמצים כדי למנוע ניצול לרעה של מוצריה וכדי לשקם את תדמיתה הבינלאומית. למשל, החברה החליטה לאמץ וליישם את עקרונות האו"ם בנוגע לתאגידים וזכויות אדם,[14] כפי שהוצהר בדו"ח השקיפות של החברה.[15] על פניו, מעמד העקרונות איננו מחייב מבחינה משפטית אלא מורה על הדין כפי שעלינו לשאוף לקדֵם אותו (Lex Ferenda), מתוך הבנה שפעילותן של חברות משפיעה באופן ממשי – פעמים רבות לשלילה – על מאזן זכויות האדם בסביבה שהן פועלות בה.[16] בעשותה כן הצטרפה NSO לטרנד שסחף גם חברות ביג-טק כגון גוגל,[17] אפל[18] ומייקרוסופט.[19] אכן ישנה ספקנות טבעית ובריאה באשר לכוונותיהן של חברות המאמצות סטנדרטים מסוג זה, ויש להמתין ולראות אילו מהלכים ממשיים ינקטו חברות סייבר התקפי או מודיעיני בעקבות אימוץ עקרונות אלו ועד כמה תייחס הקהילה הבינלאומית משמעות למגמה זו.

כנקודת מוצא אציין שקיים קושי לייחס לפעילות טכנולוגית "בלתי נראית" אחריות ישירה, או קשר סיבתי ישיר, להפרות מוחשיות של זכויות אדם.[20] ובכל זאת, קבוצת העבודה של האו"ם בנושא אחריות תאגידים לזכויות אדם ציינה במפורש שהעקרונות שהיא מציעה חלים גם על חברות טכנולוגיה.[21] מדובר בצעד המאפשר לחברות טכנולוגיה המעוניינות בכך להגדיל את הלגיטימיות הבינלאומית של פעולותיהן. אך נכון להיום, וחרף מעשים אלו, השיח על השימוש ברוגלות הוא ביקורתי ברובו, ובמקרים רבים קיימת התמקדות יתרה בחברות ישראליות ובמיוחד בחברת NSO.

העדויות על שימוש לרעה – לכאורה – ברוגלות ברחבי העולם יצרו משבר אמון ביחס לתעשיית הסייבר ההתקפי בישראל ואף הובילו למהלכים משפטיים ודיפלומטיים שונים ביחס לטענות לשימוש ברעה בפגסוס.[22] המשבר פגע אנושוּת בתעשיית הסייבר ההתקפי בישראל: התדמית הבינלאומית של המדינה נפגעה והביקורת המצטברת אף הובילה לסגירתן של מרבית החברות הישראליות שפועלות בתחום.[23]

כחלק ממשבר אמון זה גברו הקולות הקוראים לאסור מכירת רוגלות עד שתגובש רגולציה מספקת – וזאת תוך התעלמות מההיבטים החיוביים של השימוש בכלים מסוג זה, ואגב התמקדות בלתי הוגנת בחברות ישראליות (לעומת חברות שמוצאן למשל ברוסיה וסין, שאינן נוטלות כל חלק בשיח על זכויות אדם ואין להן עניין רב בקידום הגנה על חירויות כמו פרטיות, הזכות לחיי משפחה, חופש התנועה וזכויות אחרות). נציבות זכויות האדם של האו״ם ומועצת אירופה קראו לעצור את הייצוא, המכירה וההעברה של טכנולוגיות מעקב עד ליצירת הסדר חוקי בינלאומי מתאים,[24] ולאחרונה גם ארה"ב נכנסה בעובי הקורה. גם השוק הפרטי הגיב: אמזון החליטה לפעול לניתוק חברת NSO משרתי הענן שלה; וחברת אפל וחברת וואטסאפ, שאל מוצריהן פרצה לכאורה רוגלת פגסוס, תבעו את החברה הישראלית.[25]

פגיעה קשה נוספת בתדמיתה של תעשיית הסייבר הישראלית, ושל מדינת ישראל במובן רחב יותר, נבעה מהחלטת האיחוד האירופי להקים ועדת חקירה בנושא השימוש בפגסוס. הדו"ח המסכם של הוועדה, אשר אומץ במאי 2023,[26] פירט את השימושים הבעייתיים ביותר ברוגלה באירופה במדינות דוגמת פולין, הונגריה, יוון, קפריסין וספרד. בהמלצותיה קראה הוועדה לקהילה הבינלאומית לשתף פעולה ולייצר כלים להתמודדות עם שימוש נרחב בכלי סייבר התקפי, הפוגעים בשלטון החוק ומערערים יסודות דמוקרטיים. קביעות מעין אלו מקשות על ניהול יחסים דיפלומטיים המבוססים על אמון, במיוחד כאשר מדובר בידידות ותיקות של ישראל.

בארה"ב, שכאמור החליטה לפעול גם היא נגד תעשיית הסייבר ההתקפי או המודיעיני, הוחלט ב-2021 על הכנסת NSO ל"רשימה השחורה" של מחלקת המסחר.[27] מלבד זאת, אשתקד פרסם הנשיא ג'ו ביידן צו נשיאותי המגביל שימוש של רשויות אמריקניות בכלי סייבר התקפיים.[28] הצו מורה כי גורמי ממשל אמריקניים לא יוכלו לעשות שימוש ברוגלה ששימשה לאיסוף מידע של ממשלת ארה"ב או מידע אישי של אזרחיה, או ברוגלה שהשימוש בה הוביל לפגיעה בזכויות אדם. צעד דרמטי נוסף נעשה ב-5 בפברואר 2024, כאשר מחלקת המדינה האמריקנית הודיעה כי תטיל מגבלות על הנפקת ויזה לארה"ב על אישים שהיו מעורבים בפיתוח, הפצה או שימוש ברוגלות שנוצלו לרעה, וכן על בני משפחותיהם.[29]

על רקע האמור, ניתן לטעון כי ארה"ב החליטה להצטרף לטרנד המתגבר, שהובל עד כה בידי אירופה, השואף להגביל ולצמצם את השימוש ברוגלות (ואולי אף לאוסרו כליל). אלא שחשוב להדגיש כי הגבלות הוויזה המתוכננות, לצד הצו הנשיאותי הנזכר, אינם נוגעים רק לישראל והם חלק ממרוץ החימוש הבין-מעצמתי בין ארה"ב, סין ורוסיה (שלוש מדינות מובילות בתחום). הפער המהותי בין רוגלות המיוצרות בסין וברוסיה ובין אלו המיוצרות בישראל קשור בתפיסת הזכויות של התאגיד. הפער העקרוני בין התאגידים מחליש, הלכה למעשה, את מעמדן התחרותי של חברות הטכנולוגיה המערביות על פני אלו האחרות. ועדיין, אף שלמהלך ישנם ממדים רחבים יותר, החלטתה של ארה"ב משפיעה במידה דרמטית על ישראל, הנחשבת למוקד מרכזי בזירת הסייבר ההתקפי. לכן, במהלך האמריקני טמונות הן פגיעה מיידית, הן אזהרה חמורה במבט קדימה – בעבור מקבלי ההחלטות בישראל ובעבור בכיריהן של חברות סייבר התקפי או מודיעיני.

השימוש לרעה ברוגלות ברחבי העולם העמיד אפוא את מדינת ישראל במקום רגיש. ראשית, היא נושאת באחריות לכניסתן של רוגלות למרחב הגלובלי, שכן משרד הביטחון הוא שומר הסף אשר מעניק את רישיון הייצוא והמכירה – והשיח הבינלאומי אינו מעלים עין מתפקיד זה.[30] יש לזכור כי הפעולה המנהלית האקטיבית של מתן אישור[31] עלולה כשלעצמה להוביל לייחוס אחריותיות לישראל להפָרות שבוצעו באמצעות החברות. עובדה זו מתחדדת לאור דוקטרינות שונות במשפט הבינלאומי, כגון חובת החריצות הנאותה, הנובעת מדיני זכויות האדם. דוקטרינה זו גורסת כי חובתה של מדינה לפעול בחריצות הנאותה כדי למנוע הפרה של זכויות אדם, גם על ידי שחקנים פרטיים, ואם הפרות כאלו בוצעו – לחקור אותן, להעמיד את האשמים לדין ולהעניק סעד לנפגעים.[32] מכוח חובה זו נדרשות מדינות לפעול אקטיבית וליצור מסגרת משפטית שתסייע לוודא שהמגזר הפרטי במדינה איננו מפר התחייבויות בינלאומיות של המדינה – ובהקשר של ייצוא טכנולוגיות התקפיות, אינו מפר זכויות כלכליות, חברתיות[33] פוליטיות ואזרחיות.[34] יש לציין כי חובת החריצות הנאותה היא יחסית ליכולתה של המדינה לפעול בתחום זה.[35] מדריך טאלין, שהוא מסגרת מוצעת לתחולת המשפט הבינלאומי במרחב הסייבר, קובע שלמדינה קיימת חובה למנוע פעילות סייבר המפירה את הדין הבינלאומי משטחה,[36] גם אם מדובר בשחקן לא-מדינתי או פרטי.[37]

היבט נוסף של הסוגייה כרוך בעובדה שמדינת ישראל עצמה היא לקוחה של חברות הסייבר ומשתמשת ברוגלות; ומכאן שככל שמדובר בהפרה של המשפט הבינלאומי, יש בכך כדי להשפיע באופן ישיר על מאזן הזכויות והחובות של ישראל. בתור מעצמת סייבר ומדינה בעלת ידע ומומחיות רבה בתחום, מדינת ישראל אינה יכולה להרשות לעצמה לשבת על הגדר בשעה שהמערב מקדם אסדרה של התחום. אדרבה, עליה ליטול חלק משמעותי בשיח לגבי חוקיות השימוש ברוגלות לאיסוף מידע אישי.

מעורבוּת זו תסייע לישראל ותאפשר לה לעצב את הרגולציה בַּתחום בצורה שתיטיב עם התעשייה. כמובן, עצם קיומם של רגולציה ו"תו תקן" לתחום יגדיל את הלגיטימציה של השימוש בטכנולוגיות אלו בשוק הבינלאומי ויסמן את מדינת ישראל ואת תעשיית הסייבר שלה כטכנולוגיות "טובות". עלינו לזכור כי לפעולות פיקוח ואסדרה נודע ערך רב הן מנקודת המבט של המשפט המקומי (במיוחד בהקשר של דיני הפרטיות והגבלות על הפעלת סמכות שלטונית כופה), הן מנקודת המבט של המשפט הבינלאומי (ובייחוד בהקשר של זכויות אדם, כגון הזכות להליך הוגן, הזכות לחיי משפחה, הזכות לשוויון ועוד).

תעשיית הסייבר ההתקפי הישראלית משפיעה גם בישראל פנימה. זמן לא רב לאחר הגילויים על ניצול לרעה של פגסוס, התעורר חשד כי משטרת ישראל השתמשה אף היא ברוגלה זו (בגרסת תוכנה שכונתה "סייפן") לריגול ולאיסוף מידע וראיות בנוגע לדמויות פוליטיות שונות ופקידים בכירים, אולי אף ללא אישור שיפוטי.[38] בעקבות חשיפת החשד בתחקיר של תומר גנון ב'כלכליסט', התקיים דיון בוועדה לביטחון הפנים של הכנסת,[39] ואף הוקמה ועדת מררי. זו קבעה כי מערכת האזנות רחבת היקף הוכנסה בלי שהובנה לאֲשורה על ידי מקבלי ההחלטות.[40]  אומנם הדו"ח קבע כי המשטרה לא השתמשה במערכת בניגוד לצו שיפוטי,[41] אך הוא בהחלט הציף את הצורך להתמודד עם פערים בחקיקה כיום בעניין שימוש בטכנולוגיות לצורכי אכיפת חוק.[42]

דו"ח הוועדה גם העלה שאלות לגבי אופן שמירת המידע והיקף האצלת הסמכות לביצוע פעולות אכיפת חוק לחברות פרטיות.[43] הדבר מעורר שאלות במובנים של דיני האצלת הסמכות במשפט המנהלי, המטילים חובות מוגברות על האצלת סמכויות המאיימות על זכויות יסוד.[44] בעבר נקבע כי סמכות חקירתית או מעין חקירתית יכולה להתבצע על ידי עובדי ציבור בלבד – לנוכח הצורך בתחולת כללי האתיקה הציבוריים, ובַמָרוּת ובפיקוח הרשות השלטונית.[45]

לאחר אימוץ דו"ח מררי – שזכה לביקורת בשל היותו סלחני-לכאורה כלפי המחדלים שנתגלו – החל רצף דיונים בוועדת החוקה, חוק ומשפט של הכנסת ביחס לפרשה, שבמסגרתם התגלעו מתחים רבים בין חברי הוועדה לבין נציגי המשטרה והפרקליטות, ובקרב נציגי המשטרה והפרקליטות עצמם. דיונים אלו הוכיחו את חשיבותם במובן של שקיפות ציבורית וגם משום שהובילו לגילויים חדשים.[46] למשל, במסגרת הדיונים התברר כי הפרקליטות מבצעת בדיקת עומק באשר לשימוש בראיות הנובעות משימוש ברוגלות ואף החליטה למשוך ראיות שהוגשו במסגרת תיק רצח כפול המתנהל בימים אלו, משום שנשאבו בניגוד לחוק.[47]

בסיום סבב הדיונים קראה ועדת החוקה לממשלה להקים ועדת חקירה ממשלתית או ועדת בדיקה ממשלתית, בראשות שופט, בנושא הפעלת רוגלות על ידי משטרת ישראל.[48] ואכן, בקיץ 2023 הכריז שר המשפטים יריב לוין על הקמת ועדת בדיקה ממשלתית בראשות שופט בדימוס, אשר תבדוק את התנהלות המשטרה, הפרקליטות ומערכות הפיקוח ביחס לפעולות רכש של אמצעי מעקב ואיסוף טכנולוגיים וביחס להפעלתם.[49] אף שהוגשה עתירה נגד הקמת הוועדה,[50] היא החלה את עבודתה באופן רשמי לאחרונה. מדובר במהלך מבורך בעיניי, מאחר שדיוני הוועדה יצרו הזדמנות פז לפתח חשיבה על מדיניות רחבה ומתואמת בעניין השימוש בטכנולוגיות מתקדמות לצורכי אכיפת חוק – במקום להתמקד בתיקוני חקיקה נקודתיים או מהלכים צרים אחרים.

פרשת סייפן מעידה על חשיבות הגברת הפיקוח על הטמעתן של טכנולוגיות חדשות בשימוש משטרת ישראל. חשיבות זו מתחדדת על רקע הפיתוי הרב להשתמש בטכנולוגיות כאלו באקלים רגיש מבחינה פוליטית וביטחונית, כמצוי במחוזותינו.[51] בכל הנוגע לפיקוח על רוגלות, נראה שהמערך הנוכחי בישראל אינו מספּק – לפחות במבחן התוצאה. הרגולטור העיקרי המפקח על שוק הסייבר ההתקפי הוא משרד הביטחון, המופקד על מתן רישיון שיווק וייצוא של מוצרים אלה. אך יכולת הפיקוח של משרד הביטחון מוגבלת – הן משום היותו, באותה שעה, גם צרכן שלהם, הן מחמת הקִרבה בין העוסקים בתחום, קרבה מהסוג שכינינו לעיל "הדלת המסתובבת". מלבד זאת, מערך הפיקוח הנוכחי מאפשר בחינה של טכנולוגיות רק לאחר שפותחו, כלומר בשלב שבו קשה לחולל בהן שינויים מהותיים. ככלל ניתן לומר שטרם נוצר מנגנון רגולטורי היכול להתמודד עם המורכבוּת של תעשייה זו, הכרוכה בתהליכי פיתוח ארוכים ובתהליכים שיש בהם ביזור אינהרנטי ואינם תלויים במיקומים פיזיים.

זיהוי: "עין הנץ"

מערכת נוספת המעוררת דאגה בקרב הציבור היא מערכת "עין הנץ", הרותמת יכולות של טכנולוגיית זיהוי פנים לצורכי אכיפה ומשתמשת באלגוריתם המסוגל לזַהות אדם (או לאַמת את זהותו) – או לוחית רישוי במקרה של המערכת המדוברת – בהתבסס על תמונה או סרטון וידיאו, באופן אוטומטי או אוטומטי למחצה. [52]מערכת עין הנץ מבוססת על מערך מצלמות המותקנות בכבישים ברחבי הארץ ועוקבות, מצלמות ומזהות – באופן אוטומטי ובכל שעות היממה – לוחיות רישוי באמצעות טכנולוגיות עיבוד תמונה מתקדמות (Automatic License Plate Reader).[53]

זה שנים רבות שיחידות שונות במשטרת ישראל (ביניהן יחידת מג"ב, אגף התנועה ואגף המבצעים) משתמשות במערכת עין הנץ. כחלק מן השימוש במערכת מתַפעלת המשטרה מאגר מידע הכולל רשימת כלי רכב שנגנבו או הורדו מהכביש וצילומי וידיאו ותמונות סטילס שנאספו באמצעות המצלמות הפרוסות ברחבי הארץ – לרבות תמונות הרכב, מספר לוחית הרישוי ותמונות תקריב של הנוסעים שבהן נראים פניהם בבירור.[54] עוד לפני הסדרתה של המערכת בחוק, נעשה שימוש בראיות מהמאגר שנוצר בעזרתה.[55]

לצד היתרונות הגלומים בשימוש במערכת זו, נלווים לו סיכונים שיש לתת עליהם את הדעת. החשש הראשון נוגע לשגיאות ולכּשלים של אמצעי הזיהוי. ביצוע כושל של המערכת עלול להביא לזיהוי שגוי, להטריד אזרחים תמימים ולהחמיץ זיהוי חשודים.[56] חשש זה בא לידי ביטוי בבריטניה, שבה נמצא כי שיעור התראות השווא כתוצאה משימוש במערכת לזיהוי פנים במרחב הציבורי עמד על כ-90% (!).[57]

החשש השני נוגע להיבטי מעקב טכנולוגי ופגיעה בפרטיות. השימוש בעין הנץ צפוי להוביל לאגירת מידע אישי באופן שעשוי לשמש למעקב אחר האנשים המתועדים גם לצורך מטרות שלא נקבעו או הובהרו מראש – למשל נטייה מינית או הרגלי צריכה – תוך הפרה של הזכות החוקתית לפרטיות,[58] שהיא "מהחשובה שבזכויות האדם" ו"אחת מהחירויות המעצבות את אופיו של המשטר בישראל כמשטר דמוקרטי".[59]

החשש השלישי קשור בסיכון של דליפת מידע ביומטרי מהמאגר של מערכת עין הנץ, מידע שעלול להביא לשימוש לרעה בכלים ויכולות בידי גורמים לא מורשים, ללא פיקוח ובקרה אפקטיביים.[60] מדובר בחשש רחב יותר בנוגע למאגרים ביומטריים המנוהלים בישראל, שהועלה הן על ידי הממונה על היישומים הביומטריים במערך הסייבר הלאומי,[61] הן על ידי מבקר המדינה.[62]

שלושת החששות הללו עלולים לייצר אפקט מצנן כלפי התנהגות הפרט; כלומר יש יסוד של ממש לחשוש שבעקבות שימוש לרעה במערכת זו (כפי שעלה ביחס לטכנולוגיות מעקב אחרות, למשל השימוש בכלי השב"כ בזמן משבר הקורונה),[63] אזרחים יימנעו מפעולות תקינות לחלוטין במרחב הציבורי ויוותרו מראש על חירויות יסוד – כגון חופש התנועה או חופש המחאה – בשל תחושת משטוּר וחשש ממעקב תמידי.

כדי להתמודד עם חששות אלה גובשה הצעת חוק שתשמש מסגרת משפטית להפעלתן של מערכות צילום מיוחדות, וביניהן מערכת עין הנץ. הצעת החוק נכנסה לספר החוקים בראשית 2024, במסגרת תיקון מס' 40 לפקודת המשטרה.[64] החוק תוחם את השימוש במערכות צילום מיוחדות ומציע איזון בין ההגנה על הפרטיות לבין האינטרס הציבורי במניעת עבירות וגילויָן. התיקון קובע רשימה סגורה של תכליות המצדיקות הצבת מערכת צילום מיוחדת. בין התכליות הללו מצויים איתור נעדר שיש חשש לשלומו; מניעה, סיכול או גילוי של עבירות פשע או עבירות שעלולות לסכן את שלומו או ביטחונו של אדם, את שלום הציבור או את ביטחון המדינה; וגילוי מעורבים בביצוע עבירות.[65] עוד קובע התיקון כי אחת לשלוש שנים תיבחן מחדש הצבתה של כל אחת מן המערכות שהוצבו.[66] התיקון אף קובע מגבלות באשר לשימוש טכנולוגי בדיעבד במאגר הנתונים ובכלל זאת הוראות המגבילות את פרק הזמן שבו ניתן לשמור תיעוד במאגר. הוא גם קובע רשימה סגורה של תכליות שרק לשם הגשמתן ניתן להשתמש במאגר.[67] התיקון מוסיף ומעגן חובת דיווח, אחת לשנה, ליועץ המשפטי לממשלה לגבי נתוני פעילות המערכות (כגון מספר המערכות שהופעלו ופירוט המקרים שבהם נעשה בהן שימוש לשם טיפול באירוע המסכן חיים או אירוע שיש בו סכנה לביטחון המדינה).[68]

אף שמדובר במהלך חשוב ומבורך, דומה כי התיקון איננו כולל מענה לשני סיכונים מרכזיים הכרוכים בטכנולוגיה מסוג זה.

הראשון נוגע לאבטחת המידע. כאמור, המידע שנאסף ממערכת עין הנץ כולל תמונות ומיקום מדויק של כמעט כל עוברי הדרך בישראל – אך, כפי שנלמד מהביקורת המתמשכת על ניהול המאגרים הביומטריים באחריות מדינת ישראל, עד הֵנה לא ננקטו פעולות לשמירה אפקטיבית על מידע מסוג זה. למשל, בדיווחו של הממונה על היישומים הביומטריים משנת 2022 הועלו בעיות מהותיות הנוגעות לניהול מידע ביומטרי בישראל, בפרט ביחס לאי-היערכות לפקיעת הוראת השעה המסדירה את ניהול המאגרים הביומטריים בישראל וביחס לפגם בכיול מערכת ההשוואה הביומטרית. מלבד זאת ציין הממונה את רמת האבטחה הלקויה של מאגרי מידע אישי וביומטרי בישראל.[69]

יש להבהיר: אבטחת מידע בישראל איננה עניין תיאורטי. אתרי הממשלה, כמו גם אתרים של חברות פרטיות, נתונים לסיכון מתמיד של תקיפות סייבר וניסיונות גנֵבת מידע מצד שחקנים זדוניים (פליליים וגם ממדינות אויב ובפרט איראן). במלחמת חרבות ברזל היינו עדים לניסיונות רבים (שנכשלו) לתקוף אתרים של שירותים פיננסיים כגון בנקים ואף אתרי ממשלה. ניתוח של חברת צ'ק פוינט תיעד גם ניסיונות תקיפה של אתרי צה"ל ורשות הנמלים. בדו"ח החברה צוין כי כמות תקיפות הסייבר נגד אתרים ישראליים עלתה בכמעט 20% וניסיונות התקיפה של אתרים ציבוריים-ממשלתיים עלו בכ-50%.[70] זירת לחימה זו זכתה לתשומת לב מועטה יחסית ויש בה סכנה של ממש לפרטיות ולביטחון העורף במדינת ישראל.[71]

הסיכון השני נוגע לפיקוח על השימוש במידע והעברתו לגופים ממלכתיים אחרים. קיים חשש כי המידע שנאסף על ידי המערכת ישמש למטרות זרות או יועבר לגופים אחרים שלא לצורך מימוש היעדים שלשמם נאסף. אומנם החוק מגביל את השימושים המותרים של מידע זה, וכן מציב מנגנון העברת מידע, אך מדובר בסוגיה רגישה הדורשת רמה גבוהה יותר של פיקוח שיוודא שהשימושים הבלעדיים במידע זה תואמים את דרישות החוק; בפרט במקרה של העברת מידע ממאגר אחד לאחר. לשם כך יש צורך במנגנון פיקוח מוגבר ומקיף שיופקד על אופן איסוף המידע, על שמירתו ומחיקתו ועל השימוש בו והעברתו.

אם כן, טוב עשה המחוקק כאשר קידם אסדרה חוקית של המערכת, אך אין די בכך ועדיין יש לחשוש כי שימוש במערכות צילום מיוחדות יוביל לאפקט מצנן ביחס להתנהגות הפרט – במיוחד כאשר מביאים בחשבון שמדובר במגמה נרחבת ולא באמצעי יחיד אשר מוכנס לשימוש בוואקום. ואומנם ניתן לטפל בחשש זה באמצעות תיקונים ממוקדים; למשל, להגדיר בצורה קונקרטית יותר את תכליות איסוף המידע באמצעות מצלמות מיוחדות והשימוש בו; לפרֵט כיצד להגן על מידע (למשל באמצעות הצפנה); לקבוע נהלים ברורים בנושא העברת מידע ממאגר אחד למשנהו; ולדרוש את מחיקת המידע לאחר השימוש בו באופן אוטומטי ולא לאחר תקופות זמן משתנות המוגדרות בחוק (הארוכה ביותר היא כשנתיים). תיקונים ממוקדים ממין זה יצמצמו את אפשרות השימוש לרעה במערכות אלו ויגבילו את הכנסתן לזירות חדשות.

בינה מלאכותית ורשימות הכללה (פרופיילינג)

כלי טכנולוגי נוסף המצוי בידי משטרת ישראל וחשוב להביאו בחשבון הוא מערכת מבוססת-בינה-מלאכותית לאיתור חשודים בנתב"ג. מערכת זו בונה פרופיל עברייני, מייצרת רשימת חשודים המכונה "רשימת הכללה", ומנסה לאתֵר חשודים לעיכוב בין הנכנסים לישראל.[72] כאשר אדם מסומן בידי המערכת, הוא יעוכב עם הגעתו לנתב"ג על ידי שוטר ויעבור חיפוש פיזי או באמצעות מכונת שיקוף – גם אם אין מידע מודיעיני שלפיו מדובר באדם שעבר על החוק.[73]

הקריטריונים שעל פיהם פועלת המערכת אינם ידועים והם יכולים להיות מגוונים – למשל מקום מגורים, תחום עיסוק או מוצא אתני. כמו כן, לא ברור מהיכן נשאב המידע האישי המנותח בידי המערכת ובפרט אם מדובר במידע שניתנה הסכמה להעברתו ואם הוא מועבר ממאגרים ממשלתיים בלבד או גם ממאגרים פרטיים. עוד קשה לדעת כיצד המערכת מקבלת החלטות ביחס לנתונים שבפניה. במסגרת תופעה זו, הקרויה "הקופסה השחורה" (Black-Box), המידע המוזן למערכת ידוע, והוא הדין לתוצאה שאליה הגיעה המערכת – אך דרך פעולתה של המערכת הפנימית אינה ידועה למי שמושפע ממנה ופעמים אף אינה ניתנת להבנה כל עיקר.[74]

השימוש במערכת מסוג זה בנתב"ג מעלה אתגרים שונים.

ראשית, קשה לקבל מצב שבו אלגוריתם מקבל החלטה על בסיס נתונים שאינם ידועים, באמצעות הליך קבלת החלטות שאינו גלוי לציבור ומבלי להסביר מדוע אדם – לעיתים נורמטיבי לחלוטין – צריך להיות מעוכב. לשם השוואה, בטיוטת החוק בנושא בינה מלאכותית שהוגשה לאיחוד האירופי ביולי 2023 הוצעה חקיקה נוקשה ביחס למערכות הפועלות על בסיס בינה מלאכותית עם סיכון גבוה (כגון המערכת הנזכרת לאיתור חשודים המשמשת את משטרת ישראל) והוגדרו חובות דוגמת פיקוח אנושי, בקרת איכות, שמירת מידע, הסברתיות, חובת דיווח ועוד.[75]

שנית, קיים חשש של הסתמכות-יתר על המערכת בקבלת ההחלטות, ללא מעורבוּת אנושית מספקת או יכולת לקבל הסבר על אופן גיבוש המסקנות לגבי חשוד פלוני.[76] הטיות פסולות ודעות קדומות חברתיות, למשל גזענות, באות לידי ביטוי במסגרת קבלת החלטות אוטומטית או מבוססת-אלגוריתם, מכיוון שהמתכנת "מוריש" תכונות לקוד שהוא כותב.[77] על רקע זה, מתחדד הצורך בהסברתיות ("שקיפות" אלגוריתמית) ביחס לקבלת החלטות המבוססת על בינה מלאכותית.[78] בהתאם, מתעוררת השאלה לגבי הצורך במיסוד זכות אדם שלפיה הפרט יהיה זכאי לכך שהחלטות משמעותיות לגביו יתקבלו על ידי בן אנוש.[79]

לבסוף, אומנם המערכת מבוססת על בינה מלאכותית לצורך ביצוע חישובים והיסקים ברמת אוטומציה גבוהה, אך ההיגיון העומד בבסיסה הוא ההיגיון של שיטת הפרופיילינג – והיא מוליכה אותו כמה צעדים קדימה, באמצעות יכולתה לשקלל נתונים רבים ולהחליט מהר יותר (לעומת בן אנוש). גם אם יכולת ההערכה הסטטיסטית של המערכת מדויקת ויעילה משל בני אנוש, טרם הוכח מבחינה מחקרית כי יש טעם או ערך בקבלת החלטות בצורה זו. אדרבה, למעשה הוכח כי קבלת החלטות על בסיס פרופיילינג היא לא יעילה מבחינה מבצעית,[80] ונתגלה כי נודעות לה השפעות שליליות ארוכות טווח ברמה החברתית (תחושת ניכור, אובדן אמון במערכת אכיפת החוק, וכתוצאה מכך היעדר נכונוּת לשתף פעולה עם השלטונות, דבר המקשה על התמודדות יעילה עם פשיעה).[81]

לשם המחשה, לאחרונה התנהל הליך בבית המשפט סביב השימוש במערכת איתור חשודים בנתב"ג ושיטת הפרופיילינג. אדם נעצר משום שהופיע ברשימת ההכללה של המערכת, ולאחר שנמצאו עליו סמים בלתי חוקיים, נפתח נגדו הליך פלילי. אולם כאשר סנגורו ביקש לקבל עותק מחומרי החקירה הקשורים למערכת ההכללה, השיבה המדינה כי על החומרים חל חיסיון. לאחר שהוגשה עתירה נגד החיסיון הנטען, החליט בית המשפט המחוזי מרכז-לוד לקבל את הבקשה ולאשר לנאשם לעיין בחומר החקירה הנוגע למערכת ולהעתיקו. בהחלטתו הביע בית המשפט ביקורת על קיומה של מערכת הפועלת לפי פרמטרים לא ידועים והפעלתה עשויה לפגוע בכמה זכויות יסוד – במיוחד בזכות לפרטיות ובערך השוויון. למעשה כבר בעתירות קודמות שבמסגרתן נידונה שיטת הפרופיילינג בבית המשפט העליון, קיבל בית המשפט, גם אם בלשון רפה, את העמדה שלפיה הבחנה סמויה יכולה גם היא לפגוע בשוויון.[82]

הרחבת השימוש במלחמת חרבות ברזל

סקרנו עד כה את שלוש המערכות העיקריות המשמשות את מערכות הביטחון וכרוכות בסייבר התקפי, בזיהוי על בסיס בינה מלאכותית וברשימות הכללה. עמדנו גם על הבעיות שהוליד השימוש במערכות אלו, גם בימים שבהם שיקולי ביטחון לא עמדו תמיד בראש סדרי העדיפויות הציבוריים. אך מאז אסון 7 באוקטובר, אשר פגע אנושוּת בביטחון המדינה ובתחושת הביטחון האישי של אזרחי ישראל, נעשו כמה צעדים, ביניהם צעדי חקיקה, כדי לשפר ולחזק את כוחות הביטחון, בין היתר ביחס לטכנולוגיות מעקב וצילום. נסקור שלושה מן החשובים שבהם.

ראשית, הותקנו תקנות שעת חירום המרחיבות את סמכותם של צה"ל ושב"כ לחדור למצלמה המותקנת במחשב.[83] בחסות המלחמה העבירה הממשלה שינוי דרמטי ביכולתו של השב"כ לגשת לחומרי מחשב מבלי שבעלי המחשב יֵדעו על כך.[84] התקנות מעניקות לשב"כ ולצה"ל סמכות לחדור למצלמות במרחב הציבורי. לאחר הטבח הנורא ברור מדוע ישנו רצון להעניק סמכות זו לכוחות הביטחון, אולם גם כעת חשוב להקפיד על המגבלות והתנאים הנדרשים כדי לצמצם את הפגיעה באזרחים.

לתקנות כמה ליקויים מרכזיים.

(א) הן אינן מחייבות את גופי הביטחון לפנות תחילה לבעל המצלמה. כמובן, במקרה של אירוע מתגלגל אין מקום לחובת הודעה, אבל חשוב להגביל את זכות הגישה הייחודית הזו לנסיבות המצדיקות אותה.

(ב) יש למנוע את האפשרות של מדרון תלול שישחַק עד דק את הזכות לפרטיות בישראל (או מה שנותר ממנה לאחר משבר הקורונה). חשש זה נובע מכך שההסמכה בחוק מנוסחת בצורה רחבה מאוד, ולמעשה מאפשרת להשתמש בסמכות לפי התקנות לאורך כל תקופת המלחמה, בלי להבטיח שהדבר ייעשה רק במקרי קיצון המצדיקים זאת. לשם השוואה, בתקופת משבר הקורונה ניתנה הסמכה לביצוע איכוני שב"כ, למטרה ברורה וחשובה, אולם שב"כ המשיך להשתמש בכלי זה גם לאחר מכן – למטרות אחרות. עלינו לוודא כי סמכויות מרחיקות לכת שכאלו יהיו שמורות למקרים חריגים.

(ג) מנגנון הפיקוח הקבוע הוא הודעה ליועץ המשפטי לממשלה על היקף החדירות שנעשו, בדומה למנגנון בחוק האזנות סתר; אלא שהמידע שנדרש למסור הוא לקוני ואיננו יכול להצביע על מגמות או בעייתיות אפשרית ביישום הסמכות. חשוב להקים מנגנוני פיקוח פנימיים שיוודאו כי הנהלים מיושמים בצורה תקינה.

שנית, לאחרונה אומצה הוראת שעה העוסקת בהתמודדות עם תקיפות סייבר במגזר השירותים הדיגיטליים ומעניקה סמכויות מרחיקות לכת לגורמי השלטון גם כלפי המגזר הפרטי כאשר עולה חשש מתקיפת סייבר בישראל.[85] אף שמדובר בהוראת שעה, זהו שינוי דרמטי: תזכיר החוק מבקש להקים מנגנון שיאפשר לגופי מודיעין מדינתיים להתריע בפני חברות פרטיות המספקות שירותים דיגיטליים לציבור על אודות חשש לתקיפת סייבר חמורה נגדן, ואף להנחותן אם הן מתקשות להתמודד עם המתקפה בכוחות עצמן. מטרת החוק המוצע חשובה וראויה ביותר, וכפי שראינו היא נועדה להתמודד עם צורך של ממש, שהרי בעידן הנוכחי למידע אישי יש ערך כלכלי רב, ערך אסטרטגי ולפעמים גם ערך צבאי. עם זאת, חשוב לוודא שהמהלך מבוסס על עקרונות מקובלים של שיתופי פעולה בין גופי שלטון לשוק הפרטי, באופן שיהיה בר-יישום, בר-קיימה ובעל פוטנציאל לחיזוק היחסים בין השחקנים השונים. למשל, חשוב לשמור על עקרונות של הדדיות וחלוקת סיכונים ראויה בין המדינה לשוק הפרטי, במטרה להימנע מפגיעה במרקם היחסים שבין גופי השלטון בישראל לבין השוק הטכנולוגי. הדבר התבטא בניסיונות לשינויי חקיקה שונים לאורך השנים, שלא בשלו.[86]

ולבסוף, קודמה הצעה לתיקון חוק השב"כ המעניקה לשב"כ סמכויות מרחיקות לכת שמנגנוני פיקוח מועטים בצידן.[87] אמת נכון הדבר כי ראוי שכל שינוי בעבודת השב"כ ייעשה על פי חוק, וראוי ורצוי שחוק שגילו למעלה מעשרים שנה – שבמהלכן השתנה עולם המודיעין, הביטחון והפרטיות במידה דרמטית – יעודכן ויתוקף; אולם תזכיר החוק מרחיב את סמכויות השב"כ באופן חסר תקדים, ללא מנגנוני הגנה מספקים ובזמן מלחמה קיומית. בנסיבות מורכבות כאלו, נראה כי המסגרת המוצעת בעייתית במובן של הגנה על שלטון החוק וחיזוק אמון הציבור.[88] חשוב להתבונן במקרים קודמים שבהם הורחבו סמכויות גופי הביטחון, ובפרט השב"כ; למשל, כאשר הוסמך השירות להפעיל את ה"כלי" כדי לאכן את מכשירי הטלפון הסלולרי של אזרחי ישראל לשם המאבק במגפת הקורונה. כאשר בחן בית המשפט העליון את הפגיעה בפרטיות הכרוכה בהפעלת סמכות זו של שב"כ, אל מול התכלית הראויה של הגנה על בריאות הציבור, הוא מצא כי הפעלת הסמכות לביצוע האיכון לא עמדה במגבלות החוק (ובפרט בדרישת המידתיות) ולפיכך היה בה פגם חוקתי.[89]

לסיכום, אנו עומדים בפני הרחבה והעמקה של השימוש בטכנולוגיות שמטרתן לאפשר לגורמי אכיפת החוק להגשים את ייעודם. אין ספק, הסמכות שניתנת לגופי הביטחון יכולה להגביר את הביטחון האישי שלנו ולהעניק מקור נוסף, לעיתים חשוב מאוד, לשמירה על חיי הישראלים – בוודאי במקרי קיצון כמו אירועי 7 באוקטובר. אך בל נשכח: יש להיזהר מהפרזה ולאזן את הטכנולוגיות הללו באמצעי פיקוח מתאימים, שהלוא עוד בטרם הורחבו הסמכויות בעקבות המלחמה, נתגלו בעיות מערכתיות בנושא, החל בשימוש של משטרת ישראל ברוגלות ללא אסדרה חוקית מספקת ועד לפגמים בניהול המאגרים הביומטריים בישראל (פגמים שלא מנעו הרחבה של איסוף הנתונים הביומטריים שנעשתה לאחרונה).[90]

אי אפשר לקבל מצב שבו מנגנוני פיקוח שלא הוכיחו את עצמם יופקדו על הפיקוח גם בהמשך, כאשר שלל סמכויות בלתי מבוקרות רק הורחבו והועמקו – למרות הפגיעה הקשה באמון במדינה מאז אסון 7 באוקטובר.[91] דווקא בנסיבות אלו נדרש להגדיל את אמון הציבור בגופים שאמורים לפקח על כוחות הביטחון – ובפרט הכנסת – ולחזק את סמכויותיהם.[92] הפתרון שאציג להלן יתייחס לצורך לחזק את רשויות השלטון בבואן לפקח על הטמעת כלים טכנולוגיים חדשים תוך קידום שקיפות ושיקום אמון הציבור.

פיקוח: מצוי ורצוי

השימוש בכלים טכנולוגיים מתקדמים על ידי כוחות הביטחון בישראל מעורר אפוא אתגרים ניכרים ומעלה שאלות הנוגעות לפגיעה בחירויות הפרט ללא כל הסמכה חוקית, וכן חששות בדבר ניצול לרעה של האמצעים הללו בידי הרשויות. המצב הקיים מתאפיין בחוסר שקיפות מצד רשויות האכיפה בכל הנוגע להיקף השימוש בטכנולוגיות אלו ולמהות ההכשרה של מפעיליהן, וכן באי-בהירות לגבי מנגנוני הפיקוח על השימוש בהן. מצב זה מביא בין היתר לערעור אמון הציבור במדינה.

הטכנולוגיות שנסקרו לעיל מציגות יכולות מבצעיות מרחיקות לכת. להבדיל מחיפוש או האזנת סתר, רוגלות אינן מוגבלות לאיסוף מידע חד-ממדי וביכולתן לגשת לכלל המידע שזמין במכשיר, גם אם חומר זה הופק או נצבר לפני שנים רבות. אף מערכת איתור החשודים בנתב"ג מציגה יכולות מבצעיות מיוחדות, שכן ביכולתה לבצע עיבוד רב של נתונים בזמן קצר – כזה המקשה על פיקוח אנושי יעיל בזמן אמת. כלי סייבר למעקב ואיסוף דוגמת אלו שנידונו לעיל מאופיינים ביכולת מרחיקת לכת לאסוף מידע מסוגים שונים, מעבר למה שנדרש לצורך חקירה קונקרטי, והדבר מעמיד אתגרים בהקשר של יכולת ההגנה על מידע אישי ושל מניעת שימוש לרעה במידע. לעניין רמת האבטחה, חשוב לזכור כי במקרים רבים מדובר במידע רגיש דוגמת נתוני מיקום, תמונות, סרטונים או זיהוי פנים (כלומר מידע ביומטרי רגיש במיוחד). כמפורט לעיל, ישנן בעיות הנוגעות לאופן ניהול המידע האישי המצוי במאגרי המדינה: העברת תמונות בין גופים שלא על פי חוק, בעיות אבטחת מידע ועוד.

בבואנו לבחון את יכולת הפיקוח של בתי המשפט, עלינו להביט בנתונים. למשל, צווי האזנת סתר זוכים לאישור נרחב-יחסית מצד בתי המשפט. לדוגמה, בשנת 2020, מתוך 3,692 בקשות שהוגשו לבית המשפט נדחו רק 26, דהיינו כ-0.7% מכלל הבקשות.[93] מגמה זו החריפה בשנת 2021, שבה אישרו בתי המשפט למשטרה 3,350 בקשות להאזנת סתר מתוך 3,359 בקשות – כלומר רק 0.3% מהבקשות נדחו.[94] בהנחה שחלק מהצווים הללו אישרו שימוש ברוגלות לאיסוף מידע אישי, הנתונים מעידים על פוטנציאל הפגיעה העצום בחירויות הפרט, וזאת טרם הסכנה המצויה בשימוש-יתר ברוגלה ובניגוד לצו (כפי שנתגלה שאכן אירע).

בכל הנוגע להגנה על הפרטיות, מסורת ישראל היא מן האדנים המשפטיים-מוסריים החשובים, אם לא הראשון שבהם, להגנה על זכות זו וליציקתה לכלים מוגדרים. הדבר בא לידי ביטוי בין היתר בפרשנותו של רש"י לדברי בלעם "מַה טֹּבוּ אֹהָלֶיךָ יַעֲקֹב מִשְׁכְּנֹתֶיךָ יִשְׂרָאֵל" (במדבר כ"ד, ה), שלפיה מיקום פתח האוהל במחנה ישראל במדבר נעשה כך שתימנע פגיעה בפרטיות. מסר דומה עולה מן המשנה בהקשר של מיקום חלונות הפונים לחצר משותפת: "לא יפתח לחצר השותפין פתח כנגד פתח וחלון כנגד חלון. היה [פתחו או חלונו] קטן – לא יעשנו גדול; אחד – לא יעשנו שניים",[95] וכן ברעיונות דוגמת "היזק ראייה" (הנזק שנגרם בעטיה של האפשרות להביט למרחב האישי של אדם) או "היזק שמיעה" (נזק שנוצר משמיעת דברי אדם).[96]

נושא ההכשרה חשוב אף הוא. ברור כי עצם השימוש בטכנולוגיות מתקדמות דורש מומחיות והכשרה מיוחדת של מפעיליהן, אך לא ידוע מהן ההכשרות שמקבלים מפעילי הטכנולוגיות הללו ומהו היחס בין ההיבט הטכני של ההדרכה ובין שיקולים אתיים ומשפטיים. מעבר לכך, לא ברור אם קיימים מנגנוני פיקוח פנימיים שתפקידם לעקוב אחר השימוש בטכנולוגיות לאיסוף מידע לאחר הכנסתן לשימוש. חשיבות רבה נודעת בהקשרים הללו להגדלת האוריינות הטכנולוגית של השופטים והיועצים המשפטיים, הנדרשים פעמים רבות לאשר וללוות את מתן הצווים, כדי שיבינו את השלכות הטכנולוגיה הזו לאשורן.[97]

כדי להתמודד עם האתגר שמציבות הטכנולוגיות, אני מציע לא להסתפק בחקיקה אלא להשקיע בפיקוח באמצעות מיסוּד שני מנגנונים: (א) מנגנון פיקוח בשלב הייצור, השימוש או המכירה של הכלים הטכנולוגיים; (ב) מנגנון פיקוח עיתי על ידי הכנסת.

מנגנוני הפיקוח המוצעים אינם מבקשים – וגם אינם יכולים – להחליף את הצורך בחקיקה סדורה בהמשך הדרך. הם מבקשים לייצר מנגנון משלים שיקדֵם שיקולים חשובים בעוד המחוקק מחליט כיצד ואימתי נכון לקדם רגולציה. הבחירה להתמקד בפיקוח נובעת מהבנת המורכּבוּת הכרוכה בקידום חקיקה בתחום הטכנולוגי באופן כללי, ובעת הנוכחית בפרט. מלבד זאת, פיקוח יכול לייצר חוכמה מצטברת אשר תשמש את המחוקק בבואו לקדם חקיקה, תוך שמירה על חופש פעולה מבצעי נחוץ בעבור גופי אכיפת חוק.

א. פיקוח בשלבי הפיתוח

ברמה הנורמטיבית, יש חשיבות עצומה לפיקוח על שימוש בטכנולוגיות מעקב שמובילות לאיסוף מידע רחב על כמות אזרחים גדולה.[98] למשל, איסוף גורף ורחב היקף של מידע (bulk collection), ללא מנגנונים רציניים לפיקוח, מפר זכויות יסוד דוגמת הזכות לפרטיות, הזכות להליך הוגן והזכות לשוויון בפני החוק.[99] מומחים שונים הדגישו את חשיבותם של מנגנוני פיקוח שונים כדי למנוע ניצול לרעה של מערכות מעקב,[100] למשל מנגנון אישור מקדים, מערכות פיקוח בין-מוסדיות, מנגנוני חשיפת שחיתויות ועוד.[101] במילים אחרות, לקיומם של מנגנוני פיקוח יעילים נודעת חשיבות מכרעת גם לעניין קביעת עצם חוקיות השימוש במערכת.

סעיף 36 לפרוטוקול הראשון של אמנת ז'נבה מחייב לערוך בדיקת חוקיות לנשק או לטכנולוגיה שיש לה יישום ביטחוני טרם השימוש בהם או רכישתם (בין ממדינה, בין מחברה פרטית).[102] מקובל לומר כי הדרישה מכוח סעיף 36 חלה גם על כלי סייבר התקפיים שביכולתם לחדור למערכות מחשב, סלולרי, מכשירי "האינטרנט של הדברים" ועוד.[103] אומנם מדינת ישראל לא התחייבה מבחינה רשמית לאמנת ז'נבה, אך היא מקיימת מנגנוני בדיקה דומים בכל הנוגע לכלי נשק (כמו מדינות נוספות שאינן מחויבות לאמנה באופן רשמי, ובכללן ארה"ב).

כיום, טכנולוגיות נבחנות רק בשלב מאוחר, ובמועד זה ישנו קושי טכני וכלכלי לערוך שינויים מהותיים במאפייני הטכנולוגיה. לכן ראוי למסֵד מנגנון פיקוח משלים לזה הפועל במסגרת משרד הביטחון, אשר יבחן את הטכנולוגיה עוד בטרם מתן רישיון השימוש, השיווק או הייצוא ותוך התחשבות בכמה תחומים: כלכלה, ביטחון, אתיקה, משפט ועוד. בפרט, מיסוד מנגנון פיקוח ברוח סעיף 36 ייצר תמריץ להגביר את הציות לנורמות חוקיות, ובמיוחד זכויות אדם, באופן שלא יפגע במפתחים בצורה אנושה מבחינה כלכלית, שכן ההתאמות הנדרשות ייעשו עוד לפני שיושקעו כספים בפיתוח מתקדם. מנגנון מסוג זה יוכל גם ליצור תחושת שותפות בין תעשיית הטכנולוגיה בישראל לבין המדינה.

המקרים שתוארו בחלקו הראשון של המאמר מלמדים על חשיבות הגבּרת הפיקוח על כלים טכנולוגיים לאיסוף מידע אישי, במיוחד כאלו שלהם יישום ביטחוני. מלבד אמנת ז'נבה שהוזכרה לעיל, קיימת חובה חוקית לבצע הערכה מקדימה של חוקיות הכלים הטכנולוגיים מכוח דיני זכויות האדם הבינלאומיים, ובפרט בראי האמנה בדבר זכויות אזרחיות ומדיניות[104] שאליה הצטרפה מדינת ישראל בשנת 1991. בדו"ח המקיף האחרון שכתב על טכנולוגיות מעקב[105] כָּלל הדַוָּח המיוחד של האו"ם לענייני חופש הביטוי קריאה לאמץ סטנדרטים מעקרונות האו"ם למחויבות תאגידים לזכויות אדם, כאשר מעניקים רישיון לטכנולוגיות שכאלו – והמלצתו עולה בקנה אחד עם ההצעה המתוארת לעיל.[106]

מנגנון פיקוח מוקדם ישלים את מערך הפיקוח על ייצוא ביטחוני של משרד הביטחון ויוכל להביא בחשבון נקודות מבט רחבות מאלו שבהן מתמקד אגף הפיקוח הביטחוני. למשל, ניתן יהיה לשקול היבטים כלכליים, אתיים, משפטיים וכמובן גם ביטחוניים. חשוב שמערך זה יכלול גורמי מקצוע המתמחים בטכנולוגיות אלו, בעלי הבנה עמוקה של יכולותיהן והמגבלות הישימות שניתן להטיל עליהן, לצד מומחים במישור האתי, המשפטי והחברתי. מומלץ עוד להעניק למערך מעמד סטטוטורי ועצמאי וסמכויות מחייבות, שיאפשרו לו לבצע את משימת הפיקוח וההסדרה באופן מיטבי. לבסוף, מומלץ לקבוע את מעמדו של המערך כך שיהיה בלתי תלוי באגף האחראי על ייצוא, באמצעות הכפפתו ישירות לשר הביטחון או לגוף אחר דוגמת הרשות להגנת הפרטיות או ועדת כנסת רלוונטית, על מנת להימנע מניגודי עניינים.

ב. פיקוח פרלמנטרי קבוע

פיקוח פרלמנטרי על הממשלה הוא מאבני היסוד של כל מבנה דמוקרטי באשר הוא. לא רק שהוא מסמיך את רשויות השלטון להפעיל סמכות אלא שהוא גם מייצר מבנה של פיקוח בין-מוסדי הדדי ונמשך. בישראל הפיקוח הפרלמנטרי הוא חלקי, בעל אופי רך במרביתו וחסר אפקטיביות – בשל מגבלות מוסדיות, ארגוניות, פרוצדורליות ותרבותיות – וממילא ישנו צורך עקרוני לחזקו. חשוב לוודא כי יתקיים פיקוח פרלמנטרי של ממש בהקשר של כלי סייבר למעקב ואיסוף, פיקוח אשר ימנע ניצול לרעה של סמכות שלטונית וישמש גם – כך יש לקוות – שדה לדיון ציבורי מעמיק באשר לגבולות הראויים של השימוש בכלים אלה.[107]

למשל, ניתן להקים ועדת משנה שתעסוק בתחום, תחת ועדת חוקה או ועדת המדע והטכנולוגיה. לחלופין, ניתן לפקח על התחום במסגרת אחת הוועדות הקבועות של הכנסת, כפי שנהגה לאחרונה ועדת חוקה ביחס לפרשת סייפן, הרוגלה שנכנסה לשימוש משטרת ישראל. אפשרות אחרת היא לקיים מנגנון דיווח לוועדת חוץ וביטחון, שבה הנושא עולה לדיון מעת לעת.[108] המנגנון המוצע לא יחשוף מידע מסווג, אך יאפשר לחברי הכנסת ליצור דיון ציבורי מושכל במדיניות ובהשלכותיה ולכל הפחות יהפוך חלק מאמות המידה הנשקלות לציבוריות.[109] מדיניות זו תדור בכפיפה אחת עם המלצות דַוָּח האו"ם בדו"ח המיוחד על טכנולוגיות מעקב.[110]

עומס העבודה המוטל על חברי הכנסת בישראל כבד מאוד. עליהם לחלק את זמנם בין כמה ועדות, להשתתף בהצבעות, שאילתות והצעות לדיון מהיר וליזום חקיקה פרטית. ועדיין, ישנה חשיבות לפיקוח בעל אופי קבוע, שלא יהיה תלוי בגילוי עיתונאי כזה או אחר ויהיה פתוח ושקוף ככל הניתן. שקיפות היא כלי חשוב לחיזוק אמון הציבור ברשויות המדינה בהפעילן סמכות שלטונית המשפיעה על חירויות הפרט שלנו. במסגרת פיקוח פרלמנטרי יעיל אפשר יהיה לבחון, לדוגמה (א) ביחס לאילו חשדות נעשה שימוש בכלים אלה; (ב) כיצד מתבצע האיזון בין היכולות המתקדמות של הרוגלות לבין הצורך להגביל את החקירה לצרכים קונקרטיים; (ג) מהם שיעורי ההצלחה של הכלים שהוכנסו לשימוש ומהו המחיר ששולם על הצלחתם, במובן של חירויות הפרט; (ד) אילו הכשרות מתבצעות למפעילי רוגלות ומהו המקום של שיקולים אתיים ומשפטיים במהלכן.

מן הראוי לשקול את היקפי הפיקוח הראויים והזירות המתאימות לכך (למשל, ועדת חוץ וביטחון בכל הנוגע לשב"כ ולצה"ל, ועדת חוקה בכל הנוגע למשטרת ישראל ועוד) ולמסד מנגנוני פיקוח קבועים. הללו יאפשרו למחוקק לצבור מומחיות רלוונטית בתחום, יקַדמו שיח ציבורי פתוח ויעודדו שקיפות, אחריות וודאות בבואה של מדינת ישראל להפעיל סמכות שלטונית כופה באמצעים טכנולוגיים מרחיקי לכת.

אם כן, מנגנוני הפיקוח המוצעים מבקשים להתוות את הדרך לשימוש אחראי בכלי סייבר למעקב ואיסוף, תוך הצבת מגבלות על ניצול לרעה של כלים אלו ושל מאגרי מידע אישי שמאפשרים את עבודתם, ותוך מיסוד מנגנונים שיקדמו שקיפות, דיון ציבורי ושוויון בפני החוק. עמידה על שיקולים אלו, יש לקוות, תאפשר למָרֵב את ההנאה מיכולות טכנולוגיות, יכולות שהן מצרך חשוב בעבור גורמי אכיפת חוק, תוך שמירה על ערכי יסוד של החברה הישראלית, שיקום אמון הציבור לאחר 7 באוקטובר ושיפור תדמיתה הבינלאומית של המדינה.


ד"ר טל מימרן הוא ראש תוכנית במכון תכלית, חבר סגל במכללה האקדמית צפת והמנהל האקדמי של הפורום למשפט בינלאומי באוניברסיטה העברית בירושלים. המחבר מודה לעו"ד עדן פרבר ולמר ליאור וינשטיין על סיועם החשוב בכתיבת המאמר.


תמונה ראשית: באדיבות לע"מ


[1] לאלו יש להוסיף את דבר רכישתה לכאורה של תוכנה המאפשרת לאתֵר מיקום ומסלול תנועה של משתמשי סלולר על ידי משטרת ישראל (מחברת הסייבר הישראלית "רייזון"), ללא בחינה מקדימה או אישור של הייעוץ המשפטי לממשלה, בניגוד להמלצת ועדת מררי. ראו תומר גנון, "בניגוד להנחיות מררי: המשטרה רכשה תוכנת מעקב חדשה ללא אישור היועמשי"ת", כלכליסט, 28.5.2023.

[2] הנ"ל, "חברת NSO בשירות משטרת ישראל: פריצות לטלפון של אזרחים ללא פיקוח או בקרה", כלכליסט, 18.1.2022.

[3] לדוגמה, ישראל היא ביתן של החברות "סאיטו" (שנקראה בעבר "קנדירו"), "אינטלקסה", NSO ועוד.

[4] בשנת 2020 עמד היקף הייצוא הביטחוני על כ-8 מיליארד דולרים, ובשנת 2021 טיפס לשיא של 11.5 מיליארד דולרים. כ-10% מסכום זה מבוססים על טכנולוגיות סייבר. ראו מערכת אתר משרד הביטחון, "חוזי הייצוא הביטחוני ב-2020: 8.3 מיליארד דולר", אתר משרד הביטחון, 1.6.2021; מערכת אתר משרד הביטחון, "2021: שנת שיא בייצוא הביטחוני של ישראל", אתר משרד הביטחון, 12.4.2022.

[5] דורון פלדמן, "הסכמי אברהם: הממד הקיברנטי", צומת המזרח התיכון, 11 (2021).

[6] ראו דין וחשבון הצוות לבדיקת האזנות סתר לתקשורת בין מחשבים, ירושלים, 2022 (להלן: דו"ח מררי); תומר גנון, "בניגוד להנחיות מררי".

[7] הילה גולדשמיד, "סייבר התקפי: בין יצוא בטחוני לייבוא אכיפתי", פורום עיוני משפט (תגוביות משפט), מו, 20.1.2022, עמ' 4.

[8] להסבר נוסף ראו רועי שפירא, "דלתות מסתובבות ומידת האפקטיביות של תקופת צינון", מחקרי משפט, לד (2021), עמ' 4.

[9] ראו למשל יסמין יבלונקו "מהשב"כ ל-NSO: מינוי נוסף של איש ביטחון לחברת הסייבר התקפי", גלובס, 18.2.2020; אסף גלעד, "כולן רוצות להיות NSO: למרות הביקורת, תעשיית הסייבר ההתקפי מתפוצצת ובכירי אמ״ן מתברגים בצמרתה", גלובס, 13.8.2021.

[10] ראו למשל עומר כביר, "סיטיזן לאב: פגסוס ריגלה אחר עיתונאים ופעילי זכויות אדם במקסיקו עד 2021", כלכליסט, 3.10.2022.

[11] Dana Priest, "A UAE agency put Pegasus spyware on phone of Jamal Khashoggi’s wife months before his murder, new forensics show", The Washington Post, 21.12.2021.

[12] Investigation of Accountability for And Prevention of Intentional State Killings of Human Rights Defenders, Journalists and Prominent Dissidents (Special Rapporteur on Extrajudicial, Summary or Arbitrary Executions), 2019, p. 3, A/HRC/41/36.

[13] Assessing the Saudi Government's Role in the Killing of Jamal Khashoggi, Office of the Director of National Intelligence, 2021.

[14] Guiding Principles on Business and Human Rights: Implementing the United Nations "Protect, Respect and Remedy" Framework, United nations human rights office of the high commissioner, 2011.

[15] Human Rights Policy (NSO group) (https://www.nsogroup.com/governance/human-rights-policy/ ).

[16] שם, עקרונות  11–15.

[17]Human Rights (Google) (https://about.google/human-rights/).

[18] Apple Supplier Code of Conduct And Supplier Responsibility Standards (Apple) (https://www.apple.com/supplier-responsibility/pdf/Apple-Supplier-Code-of-Conduct-and-Supplier-Responsibility-Standards.pdf ).

[19] Microsoft Global Human Rights Statement (Microsoft) (https://www.microsoft.com/en-us/corporate-responsibility/human-rights-statement?activetab=pivot_1%3aprimaryr5).

[20] גולדשמיד, "סייבר התקפי".

[21] "Business, human rights and conflict-affected regions: towards heightened action", 21.7.2020, para. 99 A/75/212.

[22] למשל, הפרלמנט האירופי הקים ועדת חקירה המתמקדת בהשפעתן של פגסוס וטכנולוגיות מעקב דומות על זכויות יסוד, וחברת NSO הוכנסה לרשימה השחורה של מחלקת המסחר האמריקנית. לבסוף, חברות טכנולוגיה מובילות בעולם (בפרט אפל ומטא) תובעות את NSO בשל שימוש לרעה ופריצה למערכותיהן. על כך – להלן.

[23] עומר כביר, "הסייבר הישראלי מצטמק: מ-18 ל-6 יצרניות רוגלה בתוך שנה", כלכליסט, 19.4.2023.

[24]  Council of Europe, "Pegasus spyware and its impact on human rights", COE, 20.6.2022.

[25] ראו למשל WhatsApp v. NSO Group, et. al, No. 4:19-cv-7123 (N.D. Cal. 29.10.2019); Apple Inc. v. NSO Group Technologies Limited No. 3:21-cv-09078 (N.D. Cal. 23.11.2021)24. בתביעות שהגישו אפל וואטסאפ נטען לפריצה למערכת התוכנה בכ-1,400 מקרים. בקצרה, הטענות נגד NSO מתבססות על הפרת תנאי השימוש של הפלטפורמה, האוסרים שימושים אלימים ולא-חוקיים בה. נטען כי NSO ערכה הנדסה הפוכה (reverse-engineering) במטרה לפרוץ לשרתי הפלטפורמה והדבר יצר עוולת הונאת מחשב, הפרת חוזה והסגת גבול. תביעתה של אפל מבוססת על כך שמוצריה של NSO ניצלו את מוצרי אפל, פגעו במשתמשיה ופגעו בעסק שלה, מעשים העולים לכדי עוולות מחשב, הפרת חוזה, עשיית עושר שלא במשפט, והפרת תנאי השימוש של המוצרים השונים של אפל.

[26]Committee of Inquiry to investigate the use of Pegasus and equivalent surveillance spyware, European Parliament, Draft Report of the Investigation of Alleged Contraventions and Maladministration in the Application of Union law in Relation to the Use of Pegasus and Equivalent Surveillance Spyware (2022/2077(INI)), 28.11.2022.

[27] חברות ישראליות נוספות הוכנסו לרשימה זו, כגון אינטלקסה וסאיטו (קנדירו). ראו Jacob Magid, "Malicious activities: US blacklists Israel’s NSO Group and Candiru spyware firms", Times of Israel, 3.11.2021; Assaf Gilead, "Biden administration bans spyware cos Intellexa and Cytrox", Globes, 18.7.2023.

[28] "Fact Sheet: President Biden Signs Executive Order to Prohibit U.S. Government Use of Commercial Spyware that Poses Risks to National Security", The White House, 27.3.2023.

[29] Antony J. Blinken, Announcement of a Visa Restriction Policy to Promote Accountability for the Misuse of Commercial Spyware, Press Statement, U.S. Department of State, 5.2.2024.

[30] ראו בהמשך פירוט קריאותיהם של מומחים באו"ם לישראל לקחת אחריות. כן ראו ידיעות עיתונאיות המתייחסות לפרשת פגסוס כ"חברת סייבר התקפי ישראלית". למשל: "Massive data leak reveals Israeli NSO Group’s spyware used to target activists, journalists and political leaders globally", Amnesty International, 19.7.2021; Stephanie Kirchgaessner, "Israeli spyware company NSO Group placed on US blacklist", The Guardian, 3.11.2021.

[31] ברוך ברכה, משפט מנהלי, תל-אביב: נבו, 1987, כרך א, עמ' 61.

[32] Antonio Coco and Jean-Baptiste Maillart, "The Conflict with Islamic State: A Critical Review of International Legal Issues", Annyssa Bellal (ed.), The War Report: Armed Conflict In 2014, 2015, p. 408.

[33] General Comment No 24 (2017) on State Obligations under the International Covenant on Economic, Social and Cultural Rights in the Context of Business Activities, para. 16.

[34] שם, הערה כללית 31, פס' 8.

[35] Nicholas Tsagourias, "Self-Defence against Non-state Actors: The Interaction between Self-Defence as a Primary Rule and Self-Defence as a Secondary Rule", Leiden Journal of International Law, 29 (2016), p. 817.

[36] Tallinn Manual 2.0, rule 6. לשון העיקרון היא שמדינות חייבות לפעול בחריצות נאותה: "must exercise due diligence in not allowing its territory". יש לציין כי מדובר במדריך שאיננו מחייב מבחינה משפטית והוא משמש כ"דין רך".

[37] סקירה של עמדות המדינות השונות בעולם ראו אצל Talita Dias and Antonio Coco, Cyber Due Diligence in International Law, 2022, pp.127–130.

[38] גנון, "חברת NSO בשירות משטרת ישראל" (לעיל הערה 2).

[39] פרוטוקול מס' 55 מישיבת הוועדה לביטחון פנים, הכנסת ה-24 (24.1.2022).

 [40]דו"ח מררי, עמ' 56. לאחר שדו"ח מררי פורסם למדנו כי הרוגלה שנרכשה היא תוכנה ייחודית שהותאמה בעבור משטרת ישראל וקרויה "סייפן" והיא הוכנסה לשימוש מבלי שהמשטרה, הפרקליטות או בתי המשפט הפנימו את יכולותיה מרחיקות הלכת מבחינה טכנית.

[41] שם, עמ' 4 ו-32. לביקורת על דו"ח מררי, ראו רועי פלד "שתי הערות ושתי טענות בעקבות קריאה בדוח מררי" ICON-S-IL Blog (9.10.2022).

[42] פרוטוקול מס' 224 מישיבת ועדת החוקה, חוק ומשפט (1.3.2022).

[43] דו"ח מררי, עמ' 4.

[44] בג"ץ 2605-05 המרכז האקדמי למשפט ולעסקים, חטיבת זכויות האדם נ' שר האוצר, פסקה 15 לפסק דינה של השופטת פרוקצ'יה, פ"ד סג(2) 545 (להלן: עניין הפרטת בתי הסוהר).

[45] 4855/02 מדינת ישראל נ' בורוביץ, פ"ד נט(6) 45, 776, 833; עניין הפרטת בתי הסוהר.

[46] Tal Mimran and Lior Weinstein, "A Path Forward for Israel Following the NSO Scandal", Lawfare, 12,6.2023.

[47] חן מענית, "הפרקליטות משכה ראיות מתיק רצח כי הושגו ראיות על ידי שימוש ברוגלות שלא כדין", הארץ, 5.6.2023.

[48] מתן וסרמן, "ועדת החוקה לממשלה: הקימו ועדת חקירה על פרשת פגסוס ו-NSO", מעריב, 13.6.2023.

[49] אברהם בלוך, "בעקבות פרשת פגסוס: לוין הודיע על הקמת ועדת בדיקה ממשלתית", מעריב, 20.7.2023.

[50] יובל אראל, "בג"ץ יכריע: עתירה ראשונה נגד ועדת פגסוס שהקים השר לוין", חדשות N12, 30.8.2023.

[51] ראו בעניין זה למשל טל מימרן וליאור וינשטיין, "הממשלה מפקירה את הפרטיות", העין השביעית, 29.10.2022; בג"ץ 2109/20 עו"ד שחר בן מאיר נ' ראש הממשלה (נבו 26.4.2020).

[52] מערך הסייבר הלאומי, היחידה להזדהות וליישומים ביומטריים, זיהוי פנים במרחב הציבורי בישראל עקרונות למדיניות וקריאה לאסדרה, יולי 2021, עמ' 4 (להלן: דו"ח מערך הסייבר הלאומי).

[53] רועי גולדשמידט, "השימוש בטכנולוגיות זיהוי וניטור במרחב הציבורי", ירושלים: מרכז המחקר והמידע של הכנסת, 2020 (להלן: דו"ח מרכז המחקר והמידע של הכנסת), עמ' 7; ראו גם עתירת האגודה לזכויות האזרח בישראל כנגד שימוש המשטרה במערכת עין הנץ (בג"ץ 641/21), פסקאות 16 ו-19.

[54] שם.

[55] ראו הדוגמאות הבאות (מני רבות): מ"ת (מחוזי חי') 46950-01-23 מדינת ישראל נ' עאשור (נבו 28.2.2023); מ"ת (שלום ב"ש) 48373-01-23 מדינת ישראל נ' לטייף (נבו 19.2.2023); מ"ת 44808-05-20 (מחוזי ב"ש) מדינת ישראל נ' קטיפאן (נבו 10.6.2020); מ"ת (שלום חי') 5518-09-20 מדינת ישראל נ' חטיב (נבו 15.10.2020); מ"ת (שלום ב"ש) 57000-02-23 מדינת ישראל נ' שטרית (10.5.2023).

[56] דו"ח מערך הסייבר הלאומי, עמ' 8.

[57] Chris Fox, "Face Recognition police tools 'staggeringly inaccurate'", BBC, 15.5.2018.

[58] סעיף 7 לחוק יסוד: כבוד האדם וחירותו; דו"ח מרכז המחקר והמידע של הכנסת, עמ' 19.

[59] דנ"פ 1062/21 אוריך נ' מדינת ישראל, פס' 48 לפסק דינה של הנשיאה חיות (נבו 11.1.2022); ע"פ 1302/92 מדינת ישראל נ' נחמיאס, פ"ד מט(3) 309, 353 (1995); בג"ץ 3809/08 האגודה לזכויות האזרח נ' משטרת ישראל, פסקה 7 לפסק דינה של הנשיאה ביניש (נבו 28.5.2012). ראו גם דברי השופטת דפנה ברק-ארז ברע"א 2558/16 פלונית נ' קצין התגמולים, פסקה 43 לפסק דינה (נבו 5.11.2017): "עצם פעולת המעקב, אותה התחקות אחר אדם בלא ידיעתו, תוך חדירה למרחב האישי-פרטי שלו, מהווה פגיעה באוטונומיה של הפרט ואף בכבודו".

[60] דו"ח מערך הסייבר הלאומי, עמ' 8–9; דו"ח מרכז המחקר והמידע של הכנסת, עמ' 20–21.

[61] דו"ח הממונה על היישומים הביומטריים – דו"ח פיקוח מס' 12, הממונה על היישומים הביומטריים במערך הסייבר הלאומי, 18.5.2022.

[62] מבקר המדינה, היבטים בהסדרת השימוש במאגרים ביומטריים, דוח שנתי 70ב (4.5.2020).

[63] ראו בג"ץ 6732/20 האגודה לזכויות האזרח נ' הכנסת, פסקה 5 לפסק דינה של השופטת ברון (נבו 1.3.2021). שם קבעה השופטת ברון כי עצם האפשרות של השימוש באיכוני השב"כ לצורך איתור חולי קורונה ואנשים שבאו עימם במגע יוצרת תחושת מעקב ואפקט של "משטור" ולכך השלכות על הפרט.

[64] הצעת חוק לתיקון פקודת המשטרה (מס' 40) (מערכות צילום מיוחדות), התשפ"ג–2023.

[65] שם, סעיף 10י.

[66] שם, סעיף 10י.

[67] שם, סעיף 10יג.

[68] שם, סעיף 10כא.

[69] דו"ח הממונה על היישומים הביומטריים.

[70] Check Point Research, "The Iron Swords War – Cyber Perspectives from the First 10 Days of the War in Israel", Check Point, 18.10.2023.

[71] לניתוח הסוגיה בראי המשפט הבינלאומי ראו Tal Mimran, "Israel – Hamas 2023 Symposium – Cyberspace: The Hidden Aspect Of The Conflict", Articles of War, 30.11.2023.

[72] תומר גנון, "האלגוריתם שיעצור אתכם בנחיתה בנתב"ג", כלכליסט, 10.11.2022.

[73] ראו לשם השוואה בג"ץ 4797/07 האגודה לזכויות האזרח נ' רשות שדות התעופה (החלטה מיום 22.5.2012).

[74] Yavar Bathaee, "The Artificial Intelligence Black Box and the Failure of Intent and Causation", Harvard Journal of Law & Technology, 31 (2018), pp. 893, 901.

[75] גל דהן, "הצעת הרגולציה של האיחוד האירופי בתחום הבינה המלאכותית Artificial Intelligence Act", מכון תכלית, יולי 2023, עמ' 3–5.

[76] Zana Bucinca, Maja Barbara Malaya and Krzysztof Z. Gajos, "To Trust to Think: Cognitive Forcing Functions Can Reduce Overreliance on AI in AI-assisted Decision-making", Proceedings of the ACM on Human-Computer Interaction, 5.CSCW1 (2021), pp. 4–5.

[77] ראו למשל גדי פרל, "האלגוריתם של המשטרה בנתב"ג חייב להיות שקוף לציבור", כלכליסט, 15.12.2022. כפי שמציין פרל, "תוכנה היא יציר סובייקטיבי שמשקף את הערכים של המתכנת ואת המידע שהזינו לתוך התוכנה … לענייננו – תוכנה שלמדה משוטר איך לאכוף, רק תטמיע את הדפוסים של השוטר. אם הוא היה גזען, גם היא תהיה".

[78] Jessica Fjeld et al., Principled Artificial Intelligence: Mapping Consensus in Ethical and Rights-based Approaches to Principles for AI, Berkman Klein Center for Internet & Society, 2020.

[79] Yuval Shany, "The case for a new right to a human decision under international human rights law" (2023).

[80] Badi Hasisi, Yoram Magalioth and Liav Orgad, "Ethnic Profiling in Airport Screening: Lessons from Israel 1968–2010", American Law and Economics Review, 14 (2002), pp. 517–560. ראו גם Nicola G.Persico and Petra Todd, "Passenger Profiling, Imperfect Screening, and Airport Security", American Economic Review, 95 (2005), pp. 127–131.

[81] ראו למשל Bernard E. Harcourt, "The Shaping of Chance: Actuarial Models and Criminal Profiling at the Turn of the Twenty-First Century", The University of Chicago Law Review, 70 (2003), pp. 105–128.

[82] בג"ץ 4797/07 האגודה לזכויות האזרח בישראל נ' רשות שדות התעופה, פסקה 13 לפסק דינו של הנשיא גרוניס (נבו 10.3.2015).

[83] תקנות שעת חירום (חרבות ברזל) (הסמכת שירות הביטחון הכללי לביצוע פעולה בחומר מחשב המשמש להפעלת מצלמה נייחת), התשפ"ד–2023.

[84] טל מימרן, "בחסות המלחמה: תקנות חירום חדשות מאפשרות לכוחות הביטחון לחדור למצלמות, ללא הגבלות ופיקוח מתאימים", העין השביעית, 29.10.2023.

[85] חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה – חרבות ברזל), התשפ"ד–2023.

[86] שינויים מוצעים אלו היו מושא לביקורת. ראו Deborah Housen-Couriel, Tal Mimran and Yuval Shany, "Israel’s Version of Moving Fast and Breaking Things: The New Cybersecurity Bill", Lawfare, 7.5.2021.

[87] תזכיר חוק שירות הביטחון הכללי, התשפ"ד–2023.

[88] ראו גם מרדכי קרמניצר, "דווקא אחרי הכישלון ב-7 באוקטובר, שב"כ לוקח לעצמו עוד סמכויות – רק כי הוא יכול", הארץ, 13.12.2023.

[89] בג"ץ 6732/20 האגודה לזכויות האזרח נ' הכנסת (נבו 1.3.2021).

[90] להרחבה ראו טל מימרן, "התייחסות מכון תכלית לוועדת חוק, חוקה ומשפט: תזכיר חוק הכללת אמצעי זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התשפ"ג–2023", 29.5.2023.

[91] למשל, במדד הדמוקרטיה האחרון של המכון הישראלי לדמוקרטיה ניתן לראות ירידה באמון הציבור בכנסת ובממשלה. ראו תמר הרמן ואחרים, מדד הדמוקרטיה הישראלית 2023, ירושלים: המכון הישראלי לדמוקרטיה, 2023, עמ' 86–87.

[92] בל יוסף, "חוסר איזונים ובלמים בין רשויות השלטון: חשיבותו של פיקוח פרלמנטרי", רשות הרבים, 31.12.2023.

[93] יהושוע (ג'וש) בריינר, "בכירים במשטרה: שופטים שמאשרים האזנה לא יודעים באיזה כלי המשטרה תשתמש", הארץ, 19.1.2022.

[94] צבי זרחיה ותומר גנון, "היקף השימוש ברוגלות הוסתר גם בדיווחי האזנות סתר לשנת 2021", כלכליסט, 20.6.2022.

[95] משנה, בבא בתרא ג', ז.

[96] להרחבה ראו נחום רקובר, ההגנה על צנעת הפרט, ספריית המשפט העברי, משרד המשפטים ומורשת המשפט בישראל, תשס"ו. זמין באתר 'דעת'.

[97] הצורך בהגברת האוריינות הטכנולוגית נידון גם בדו"ח מררי, עמ' 67–68.

[98]Szabó And Vissy V. Hungary 37138/14 para. 86–89 (ECtHR, 12 January 2016) .

[99] Big Brother Watch v the United Kingdom [gc] 58170/13 and others, para. 424–427 (ECtHR, 25 May 2021).

[100] The Right to Privacy in the Digital Age: Report of the Office of the United Nations High Commissioner for Human Rights, U.N. Doc A/HRC/27/37 (June 30, 2014).

[101] Joseph A. Cannataci, Draft Legal Instrument on Government-led Surveillance and Privacy §3(3) (10.1.2018).

[102] §36 Protocol additional to the Geneva Conventions of 12 August 1949, and relating to the Protection of Victims of International Armed Conflicts (Protocol I) (1977), 1125 U.N.T.S. 3.

[103] לדיון באשר להיקף תחולת הסעיף ראו William H. Boothby, Weapons and the Law of Armed Conflict, Oxford University Press, 2009, p. 4.

[104] International Covenant on Civil and Political Rights (entered into force 23 March 1976).

[105] Human Rights Council Forty-first session 24 June−12 July 2019 Agenda item 3 Promotion and protection of all human rights, civil, political, economic, social and cultural rights, including the right to development; Surveillance and human rights Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression; A/HRC/41/35; Recommendations 66. (להלן: "המלצות דווח האו"ם בדו"ח המיוחד על טכנולוגיות מעקב").

[106] שם, Recommendation 66(f).

[107] נוסף על כך ראוי לשקול לבסס מנגנון דיווח מקיף יותר לוועדת חוץ וביטחון על עסקאות מכירה של רוגלות, לצד התייעצות עם גורמים מייעצים דוגמת מערך הסייבר הלאומי והרשות להגנת הפרטיות, במטרה לחזק את אמון הציבור.

[108] הודעת הכנסת, "יו"ר ועדת החוץ והביטחון, ח"כ בן ברק: יש לפקח על הייצוא הביטחוני בצורה הדוקה יותר", 13.6.2022.

[109] תהילה שוורץ אלטשולר, עמיר כהנא, רחל ארידור הרשקוביץ, "מכירת טכנולוגיה דו-שימושית למשטרים אוטוריטריים" (מוגש לועדת חוץ וביטחון) 2 (12.6.2022), עמ' 10.

[110] המלצות דווח האו"ם בדו"ח המיוחד על טכנולוגיות מעקב, 66(d).

עוד ב'השילוח'

בזכות אישה אחת
סכנה: צבא בלי רוח לחימה
לצעוד בטוב אל הזִקנה

ביקורת

קרא עוד

קלאסיקה עברית

קרא עוד

ביטחון ואסטרטגיה

קרא עוד

כלכלה וחברה

קרא עוד

חוק ומשפט

קרא עוד

ציונות והיסטוריה

קרא עוד
רכישת מנוי arrow

כתיבת תגובה