לא כל כך נעים לראות אתר סגור; זה במיוחד נכון כאשר מדובר על אתר MegaUpload שנסגר בסוף השבוע האחרון על ידי הרשויות הפדראליות בארצות הברית לאחר חשד להפרת זכויות יוצרים שבוצעו על ידי האתר עצמו, וחשוב לזכור את זה: האתר עצמו, שכן החוק בארצות הברית אומר בצורה די ברורה שאתרי אינטרנט לא יהיו אחראים לתוכן הגולשים אם הם הפעילו מדיניות של הודעה והסרה (ראו את סעיף 512 לחוק זכויות היוצרים האמריקאי 00-55902 UMG v. Veoh), או כאשר מדובר על סגירת אתרים בישראל ללא צו שיפוטי.

אבל לעיתים סגירה של אתרים היא משהו הכרחי (ותודה לחץ על ההפניות); בשבוע שעבר הוציאה הרשות למשפט וטכנולוגיה צו לסגירה של מספר אתרים אשר התראחו בשרת אשר ככל הנראה לא שמר על נהלי אבטחת המידע והיה מעורב בפרשת ההאקרים הסעודים האחרונה. אחד המכתבים ששלחה הרשות מצא עצמו, ככל הנראה, לאינטרנט (ביחד עם תגובת החברה המעורבת) ועולה השאלה מה בדיוק הסיבה לסגירת האתרים.

כאמור, הרשות מפרטת באותו מכתב כי ככל הנראה המידע שאוסחן על אותה ספקית אירוח דלף בפרשה, וכי בכך יש חשד להפרה של חובות אבטחת המידע שקיימות על בעל כל מאגר מידע (ובתוך זה גם בעל מאגר מידע שמפעיל אתר אינטרנט). החוק בעניין הזה די סתמי. סעיף 17 לחוק הגנת הפרטיות קובע כי "בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע". החוק עצמו לא מגדיר מהי אבטחה, לא קובע את הסטנדרטים, לא דורש הצפנה ולא אומר שום דבר בעצם לגבי אבטחה.

אבל, רשם מאגרי המידע פרסם מספר הנחיות שמגדירות את הדרך לאבטחת מידע, ובכלל זה הנחיה על אבטחת מידע במיקור חוץ. ההנחיה חלה על מי שלא מנהל בעצמו את מאגר המידע שלו (נניח, אתרי אינטרנט שמחזיקים את מסד הנתונים שלהם אצל ספק האירוח), אבל חושב לזכור שהפרשנות שלה מאפשרת לנו להבין מהי מידת הסבירות של אבטחת המידע.

אבל קודם כל, מהו מאגר מידע? סעיף 7 לחוק הגנת הפרטיות מגדיר מאגר כ"אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב"; המילה "ממוחש" קריטית כאן כיוון שהכלל הוא שהוראות מאגרי המידע לא חלות על מאגרי נייר. מידע, לצורך המאגר מוגדר כ"נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו" ומידע רגיש מוגדר כ""נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו" או "מידע ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, שהוא מידע רגיש".

כלומר, די בכך שמאגר המידע מכיל מידע על מצב כלכלי של אדם או על צנעת אישותו (נניח, מידע על מהם המוצרים שאדם קנה) או מעמדו האישי (נניח, האם הוא נשוי), או אפילו על אישיותו (מיהם החברים שלו) כדי שהוא יוגדר כמאגר מידע בחוק. מאגר כזה, על פי סעיף 8 לחוק הגנת הפרטיות, חייב ברישום אם מתקיימים אחד מהתנאים הבאים: הוא מכיל מידע על יותר מ10,000 אנשים, או שהוא מכיל מידע רגיש (וכמעט כל מאגר הוא כזה), הוא מכיל מידע על אנשים שלא נמסר על ידם, מטעמם או בהסכמתם (נניח, אם מדובר במנוע חיפוש או מאגר נתונים עסקיים), הוא של גוף ציבורי או הוא משמש לדיוור ישיר. בפועל, כמעט כל מאגר חייב ברישום אבל אף מאגר לא נרשם.

לאחר הרישום, והתחלת פעילות המאגר, יש לאבטח את המאגר. אבל כיצד הרשות למשפט, טכנולוגיה ומידע מפרשת את החובה הזו? אם נתרשם מהמכתבים האחרונים, היא רואה את הפרשנות של הוראות מיקור החוץ כקריטריונים לדרך בה צריך לאבטח.  סעיף 3.1.4 להנחיות דן בחובות אבטחת המידע וקובע קודם כל שעל מנהל המאגר להחזיק מסמך אבטחה מחייב. כאשר מדובר על שימוש פנימי, ולא על מדיניות חוץ, המסמך לא צריך להיות שונה ממדיניות הפרטיות, שהיא המסמך שמסביר למי שהמידע מוחזק עליו מה השימושים שנעשים במידע ומהם פריטי המידע שמוחזקים עליו (ובכך מקיימים את חובת היידוע בסעיף 11 לחוק) וכן לאבטח את המידע לפי טיוטאת תקנות אבטחת מידע.

תקנה 2 קובעת כי בעל מאגר יוציא מסמך מחייב שיבהיר (1) מהם פרטי המידע שנשמרים במאגר; (2) מהם המטרות לשימוש במאגר; (3) יפרט האם מידע מהמאגר יוצא מחוץ לגבולות המדינה; (4) האם מחזיק מאגר המידע מעבד את המידע; (5) הסיכונים לפגיעה בשלמות המידע, בחשיפתו של המידע וכיצד הוא מתכנן להתמודד איתם.

לצורך הדוגמא, נדבר על חנות אלקטרונית שמוכרת מוצרי מזון לבעלי חיים; אותה חנות שומרת לא רק את פרטי הקשר של הלקוח אלא גם את רשימת ההזמנות הקודמות שלו. היא מתארחת בשרת שנמצא בארצות הברית וספק התשלומים שלה נמצא בישראל. אותה חברה צריכה להודיע למשתמשיה במדיניות פרטיות על המידע שהיא שומרת, וגם לפרט להם שהמידע מאוחסן בשרת בארצות הברית ועובר לספק התשלומים. היא עוד אמורה לפרט למשתמשיה כי במקרה של דליפה או פריצה, המידע שיחשף הוא אמצעי התשלום שלהם (אם היא שומרת אותם), פרטי הקשר שלהם ואף הרכישות האחרונות.

תקנה 3 קובעת כי על כל בעל מאגר מידע למנות "ממונה על אבטחת מידע" שצריך להיות עצמאי ותלוי רק בבעל המאגר. הממונה אמור להיות גם מי שמקבל תלונות אבל גם מי שמבצע את הבדיקות, ולכן כדי להמנע מניגוד עניינים, ראוי שהממונה לא יהיה מפתח האתר, אלא אדם עצמאי.

הממונה צריך לכתוב נהלי אבטחה (תקנה 4), אשר כוללים את רמת אבטחת המאגר, תיאור של רכיבי המערכת וקביעת הרשאות הגישה (לדוגמא, למנוע מכל אדם שעובד בחנות לראות את היסטורית הרכישות). במאגרים שחלה עליהם רמת אבטחה בינונית ומעלה (מאגרים שמשמשים לדיוור ישיר (רמה בינונית) או שמוגדרים ברמת אבטחה גבוהה (מאגרים גנטיים, מאגרים שמכילים מידע כלכלי, מאגרים שמכילים מידע על דעות פוליטיות, נטיות מיניות או מעשים מיניים, עבר פלילי, נתוני תקשורת (שיחות או ביקור באתרי אינטרנט), מידע ביומטרי)) יש עוד לדאוג שההנחיות יכללו הוראות על רמת האבטחה הפיסית (כלומר הגישה הפיסית לשרת), אבטחת התקשורת והאחסון, גיבויים ושחזורים ובדיקות תקופתיות.

כלומר, נהלי האבטחה לא רק שצריכים להיות מקיפים, אלא במאגרים רגישים יותר (ברמה הבינונית והגבוהה) צריכים לטפל גם באבטחה הפיסית של השרת (לא כל שרת באחסון משותף בסדר) ולבדוק שאין זליגת מידע בין האחסון הזה למאגרים אחרים.

תקנה 5 קובעת כי יש לערוך סקר סיכונים במאגרים ברמה בינונית ונמעלה; כלומר, על בעל המאגר לבדוק את מערכות החומרה ורכיבי התקשורת, לבדוק את ההתקנים הניידים בהם נעשה שימוש ואת מערכות התוכנה שמנהלות את המאגר (נניח, תוכנת הניהול). אבל הוא גם חייב לבחון את התוכנות המשמשות לתקשורת מחוץ למאגר ואת הרכיבים האחרים הדרושים להפעלת המאגר. במאגרים שאינם ברמה בינונית, יש רק לערוך פירוט של הרכיבים, ואין ממש חובה לבחון אותם.

תקנה 6 היא בעצם לב הפרשנות של חובת אבטחת המידע. כלשונה "אחראי המערכות יבטיח כי המערכות המפורטות בתקנה 5(א) יישמרו במקום מוגן, המונע חדירה אליו וכניסה בלי הרשאה והתואם את אופי פעילות המאגר ורגישות המידע בו"; שימו לב, למרות שיש חובה להגן על המאגר מגישה לא מורשית, אין חובה להצפין מידע ובמיוחד אין חובה להצפין מידע בצורה חד-כיווניית (כלומר, להצפין מידע כמו ססמאות, כך שאם המאגר ידלוף אלה לא יוכלו לשמש אנשים אחרים אינה חלק מהחובות כאן); במאגרים ברמה בינונית ומעלה יש גם צורך לתעד את הגישה למאגר. לדעתי האישית, וכדי להקטין את הנזקים האפשריים, עדיף להצפין מידע קודם כל ואם אין צורך במידע אלא רק לאימות שלו (נניח, במספרי תעודת זהות, כתובות דואר אלקטרוני שמשמשות לגישה לאתר או ססמאות) יש להשתמש בהצפנה חד-כיוונית.

תקנה 7 קובעת כי העובדים יודרכו בנוגע למידע הרגיש ונהלי אבטחת המידע, יחתמו על הוראות סודיות ויעברו הדרכות תקופתיות במאגרים ברמה בינונית ומעלה. תקנה 8 ממשיכה כיוון זה וקובעת כי הגישה תעשה רק על ידי עובדים שמורשים לכך (כלומר, עדיף ססמא לכל עובד ולא ססמאת מאסטר או גישה פתוחה למאגר); במאגרים ברמה בינונית ומעלה יש לדאוג לשאף עובד לא תהיה גישה למאגר במלואו אלא אם הדבר חיוני, וכי ביצוע פעולות חיוניות יהיה בשליטה של יותר מעובד אחד.

תקנה 9 ממשיכה את חובות התיעוד והניהול וקובעת כי הפעילות תבוצע רק על ידי עובדים מורשים וכי במאגרים ברמה בינונית או גבוהה יקבעו גם נהלים לגבי אורך הססמאות, החלפתן וכדומה. כמו כן, יש לדאוג כי עובדים שסיימו את עבודתם לא יוכלו להמשיך לגשת למאגר הרגיש.

תקנה 10 קובעת כי במאגרים ברמה בינונית ומעלה יש לערוך תיעוד של הגישה למאגר ושל נסיונות גישה שנכשלו, לשמור את המידע על הגישה לפחות לשנתיים וליידע את העובדים על העניין. תיעוד מסוג זה יכול לסייע בגילוי של שימוש לרעה במאגרי מידע בשירות המדינה (כמו בעשמ 3275/07 שמואל ציילר נ' נציבות שירות המדינה בו עובד במחלקת מיסוי מקרקעין הורשע בשליפת מידע שלא כדין) שכן מערכות ניהול ותיעוד גישה קודם כל ירתיעו את המשתמשים משימוש לרעה אבל גם ישמשו כדרך לגלות את דליפת המידע מאוחר יותר.

תקנה 11 מחייבת את אחראי האבטחה לנהל תיעוד של אירועי אבטחה ובמאגרים ברמה בינונית או גבוהה אף לקבוע נהלים לטיפול באירועי אבטחה.

תקנה 12 קובעת, בקצרה, כי העברה של מידע מחוץ למאגר על התקנים ניידים תעשה רק באופן שמונע שימוש לרעה בהם (כאן דווקא הצפנה נחשבת אמצעי סביר). תקנה זו נובעת, בין היתר, מכך שחדשות לבקרים שומעים אנו על כך שמאגרים שמכילים מידע רפואי נמצאים בזכרונות ניידים שנשכחים במקומות מסוימים, במאגרים ברמה גבוהה או בינונית יש גם לתעד את ההתקנים שנעשה בהם שימוש ולראות היכן נמצא כל אחד מהם, כמו גם להוציא אותם רק באישור של אחראי האבטחה.

תקנה 13 דורשת להפריד, באופן סביר, בין מערכות המידע הרגילות לבין מערכות מחשוב אחרות וכי מאגר המידע לא יחובר לרשת בלי מערכת המונעת גישה בלתי מורשית.

תקנה 14 דנה במיקור החוץ; לכך, כאמור, כבר פרסמה הרשות הנחיות. כשאנחנו מדברים על עולם של מערכות אחסון בענן, שירותי צד ג' שנותנים את ניהול מאגר המידע ועוד, ההנחיות יכולות להיות חשובות יותר ופי כמה. טיוטאת התקנות מדברת על בדיקת נחיצות ההתקשרות במיקור חוץ, כלומר ההנחה היא שאם ניתן לבצע את ניהול המאגר ברמה הפנימית, עדיף לעשות כן על להוציא את ניהול המאגר לגורם חיצוני. לי אישית יש הסתייגויות מהנושא, כי כאשר מדובר בניהול של מאגר מידע רגיש יחסית, עדיף שהוא ינוהל על ידי חברה שמודעת לסיכונים ויודעת לנהל מאגרים נוספים על חנות קטנה שאין לה את הידע. מנגד, מרגע שיותר מדי מידע נצבר במאגר מסוים, הוא הופך להיות יעד לתקיפה (כך היה במתקפת ההאקרים האחרונה, כאשר פרצו לאתר השכן שהתארח ודרכו גנבו, כנראה, את נתוני האשראי של כולם).

תקנה 15 קובעת כי מידע שאינו נחוץ ימחק. לדוגמא, אין צורך לשמור את פרטי כרטיס האשראי לאחר ביצוע החיוב, ולכן יש למחוק אותם. כמו כן, כל מידע שנמחק ימחק בצורה שאינה מאפשרת שחזור שלו, לא סתם באמצעות שליחתו לסל המחזור אלא על ידי השמדה של המידע. סביר להניח שהכוונה היא לכך שקודם כל במקום המידע יכתב מידע ריק וחסר משמעות, ורק לאחר מכן ימחק המידע, וכן שכל המידע הלא נחוץ יוסר מגיבויים קודמים. חשוב לזכור שאי עמידה בהוראה זו אינה שונה מפגיעה באבטחת המידע בכלל.

תקנה 16 קובעת כי במאגרים במידת אבטחה בינונית ומעלה יערכו גם בדיקות תקופתיות לבדיקת אבטחת המידע. גם אם אתם לא כאלה, אז כדאי להסתכל על שירותים כמו Kyplex או 6Scan שעורכים בדיקות תקופתיות לאבטחת המידע באתר שלכם, ובודקים אם תיקנתם את עדכוני האבטחה האחרונים.

תקנה 17 דנה בסוגיית הגיבויים, וקובעת שבמאגרים ברמת אבטחה בינונית ומעלה יערכו גיבויים לפחות אחת לשבוע (אני בכל מקרה ממליץ לגבות את המידע תמיד) וכן נהלי התאוששות לפתיחת הגיבויים. במאגרים שמוגדרים ברמת אבטחה גבוהה יש צורך שהגיבוי יהיה אף מחוץ למקום הרגיל של הארגון (כלומר, DRP: אפשרות להתאוששות במקרה אסון).

התקנות עצמן מראות שינוי מהפכני, ואני מקווה שיאומצו, גם אם הן חמורות מאוד. הבעיה עם התקנות היא המסובכות שלהן; לא מדובר בהנחיות קצרות לאבטחה ופרוטוקול אבטחה שיכול לאפשר ייצור של בדיקות אוטומטיות, אלא הן תקנות שמיצרות שוק לאנשי אבטחה. דרישות אלה עשויות להטיל עלויות כלכליות על עסקים קטנים שיהוו חסמים מכניסה לאינטרנט ולסחר אלקטרוני, ומכך צריך להזהר.

החלטת בית הדין לעבודה בנושא ס"ע 233-07-10 וואן מוצרי תוכנה בע"מ נ' יהב ואח' היא מעניינת במיוחד לאור מסקנתו הסופית של בית הדין. צור יהב היה עובד בחברת One אשר עסק בשיווק של מערכות מחשוב מסוימות מאוד, בחודש יוני 2010 הודיע יהב כי הוא מתפטר ועובר לעבוד אצל SmartX, מתחרה של One, אשר התחילה באותה העת לשווק את המוצרים המתחרים. ביום 17.06.2010 שלח צור, ככל הנראה בטעות, הודעת מייל שהיתה אמורה להגיע למעסיקתו החדשה וכותבה למעסיקה הישנה וכללה מצגת ורשימת לקוחות. שלושה ימים לאחר מכן, ביום 20.06.2010, שהיה יום ראשון, התבקש יהב למסור את מחשבו האישי לבדיקה.

בית הדין נדרש לשאלה האם מותר היה לחפש במחשבו האישי של העובד; לצורך כך הוא אזכר שתי החלטות שניתנו על ידי בית הדין לעבודה ונמצאות בערעור (עב 010121/06 טלי איסקוב נ' הממונה על חוק עבודת נשים ו‫עב' 1158/06 רני פישר נ' אפיקי מים) וכן את ההחלטה בנושא של עמר"מ 13028/09 בנימין אליהו נ' עיריית טבריה בה נדונה שאלת החיפוש במחשבו של עובד עירייה; אולם, בית הדין לא אזכר את ההחלטה בה"פ 1529/09 חן בת שבע ואח' נ' יוני בן זאב. חשיבות האזכורים, אולם, לא היתה משמעותית כאשר נכנסים לעומק המקרה. השאלה האם לאפשר חיפוש במחשבו של העובד עלתה, ולהערכתי הוחלטה, בצורה שגויה.

בית המשפט פסק כי יש לאפשר למעסיק לחפש בקבצי המחשב של העובד מסיבה ברורה מאוד: העובד מבין במחשבים. בפסיקתו קבע בית הדין כי כיוון שהעובד נועץ עם עורך דין בטרם מסירת המחשב, ובעקבות מומחיות העובד במחשבים, יש לאפשר את העיון בחומר:

בפרק הזמן בין יום חמישי, שבו התגלה המייל שנשלח לסמרט-איקס, לבין יום א' שבו התקיימה הפגישה עם גולדשטיין, וכן מיום א' בצהריים, מועד הפגישה ועד להחזרת המחשב, היה ליהב די זמן על מנת למחוק קבצים אישיים שלו מהמחשב של וואן. יהב הוא איש מחשבים מנוסה. יש להניח שידע כי החזרת המחשב לוואן משמעה בהכרח שוואן תחדור למחשב על מנת לדעת אילו עוד מסמכים ניסח יהב עבור סמרט-איקס וכן אילו מסמכים נמצאים במחשבו ושייכים לוואן. על פי עדותו של יהב, נפגש לפני מסירת המחשב עם עורך דין. לא מן הנמנע שדנו גם בדרישת וואן להחזיר אליה את המחשב מיידית ובמשמעות הנובעת מכך, לרבות האפשרות שוואן תעיין בקבצים המצויים בו ובאלה שנמחקו.

לו היה מעוניין למנוע מוואן לעיין במחשבו, יש להניח שהיה מוצא את הדרך להודיע זאת לוואן, בין בעת מסירת המחשב ובין בפניה ליפתח קליימן או לארז גולדשטיין. יהב לא עשה כן אלא מסר את המחשב ותו לא. המקרה שבפנינו שונה בתכלית השינוי מזה שנדון בבית המשפט המחוזי [פרשת בנימין אליהו - י.ק]. שם נעשה חיפוש במחשב של העובד, בהסתר, ללא שהעובד ידע שמישהו בודק את המחשב שלו. כאן נמסר המחשב לוואן ביודעין, לאחר היוועצות של יהב עם עורך דין ולאחר שהיתה ליהב שהות למחוק ממנו קבצים אישיים ואף מחק.
הובהר בדיעבד שהיתה הצדקה לבדוק את המחשב, שכן התברר שיהב מחק ממנו גם מסמכים שהיו דרושים לוואן, במסגרת המשא ומתן שלה עם ג'טרו (הדברים יפורטו בהמשך).

כלומר, בית הדין לעבודה פוסק כי ניתן לחפש במחשבו של העובד כיוון שניתנה לעובד ההזדמנות להשמיד נתונים ומידע, וכיוון שהיה יכול לפעול על מנת לא למסור את המחשב. במחשב, לפחות לפי עדותו של יהב, היו נתונים אישיים, תמונות ומידע אישי יקר; כלומר, לא מדובר בקריאת דואר אלקטרוני על ידי המעביד או נסיון אחר לחפש במידע, אלא בהחזקה של מידע אישי שלא בהסכמת העובד.

החלטת בית הדין, כאילו בהבנתו, בפנייתו לייעוץ מקצועי ובמחיקת חומר אישי מהמחשב ניתן לעקוף את דיני הגנת הפרטיות ודיני הקניין, עד כדי כך שניתן לאפשר חיפוש במחשב אישי של אדם אינה עומדת בקנה אחד עם עקרונות חוקתיים. ההחלטה יוצרת גם מדרג נורמטיבי שונה: מי שאינו מנוסה במחשבים, אינו מקבל ייעוץ משפטי ואינו מוחק מידע, יהיה זכאי להגנה. בכך יש כדי להרתיע את ציבור העובדים מלקבל ייעוץ בנוגע לזכויותיהם.

כיוון שמדובר בבקשה לצו זמני, אני רוצה להאמין שבית הדין עוד ישנה את החלטתו ויפסוק בצורה שונה, אולם יש להזהר במקרים מסוג זה מלאפשר לשנות את ההלכה הקיימת על ידי אבחון מיותר. מעבר לכך, בית הדין היה יכול להגיע לתוצאה הזהה על ידי אי מתן החיפוש, כיוון שהוא בעצמו פסק כי המידע היחיד הרלוונטי נשלח כבר בטעות לOne.

לכן, אין אלא לחכות להחלטה בנושא טלי איסקוב בבית הדין הארצי.

[פורסם במקור]

.
האם שימוש בתוכנות הצפנה כמו GPG, TrueCrypt או אפילו סתם תוכנות אחסון שמצפינות את המידע ברשת כמו Dropbox עשוי להיות עבירה פלילית בישראל? מטרת מאמר קצר זה היא לסקור את החקיקה הנוגעת לאמצעי הצפנה בישראל, לבחון מדוע קיימים אותם הסדרים, להסביר כיצד אותם הסדרים אינם עומדים בקנה אחד עם דרישות אבטחת המידע הקיימות נוכח המציאות היום ולהמליץ על שינויים בתחום על מנת לקיים רגולציה על תחום ההצפנה בצורה אתית וראויה.

אכן, ולמרות שהדבר אינו נראה הגיוני, הצפנה היא תחום מוסדר למסחר בישראל. משרד הבטחון השתמש בסמכותו ולאור סיבות היסטוריות הכריז כי: "הצפנה מסחרית, כמו גם טכנולוגיה בתחום זה, נחשבים בקרב מדינות העולם בעלי מאפיינים "דו-שימושיים" (Dual-Use) אשר יש לפקח על העיסוק בהם. מדובר בטכנולוגיות, במוצרים ובידע אשר משמשים ככלל לצורך אזרחי (מסחרי או פרטי) ואולם ניתן לעשות בהם גם שימוש צבאי ובטחוני. החשש הינו כי בידיים הלא הנכונות (מדינות המוכרזות כתומכות בטרור, ארגוני טרור וגורמים פליליים) ינוצלו אמצעי ההצפנה למטרות פסולות". משנת 1974, עת הותקנה אכרזה המציגה את ההצפנה והעיסוק בה כתחום בר-פיקוח, נאסר על אזרחי ישראל להשתמש באמצעי הצפנה כלשהם ללא הסכמת הממשל, וצו הפיקוח שהותקן דרש כי כל העוסק בהצפנה ירשם במשרד הבטחון ויאפשר למשרד הבטחון לערוך חיפושים ובדיקות בחצריו, הדרישה המשיכה אל תוך שנות השמונים והתשעים (ראו סקירה היסטורית באתר של חיים רביה, חלק ראשון, חלק שני, חלק שלישי) עד שבסוף שנות התשעים התחוור למשרד הבטחון כי רוב אזרחי ישראל עוברים על החוק בצורה כזו או אחרת. על מנת לפתור את הבעיה, הוחלט על קיומה של רפורמה זוטא במדיניות הפיקוח על אמצעי הצפנה, שתאפשר את השימוש במספר אמצעים מוכר וידוע ללא כל רגולציה.

1.
לצורך כך, בשנת 1998 תוקן צו הפיקוח על מצרכים ושירותים (תיקון), התשנ"ח – 1998 ונקבע כי למנכ"ל משרד הבטחון ישנה אפשרות להכריז על אמצעי הצפנה כאמצעים חופשיים, אפילו מיוזמתו, ולהכריז כי אין איסור על שימוש באמצעים אלה. נכון להיום, באינדקס האמצעים החופשיים יש כ7,685 אמצעים לרבות Internet Explorer וNetscape Navigator / Communicatior (ללא ציון גרסאות, לפחות בתחילה) אך לא רוב האמצעים החופשיים והאמצעים בקוד פתוח המוכרים לנו. כך, לדוגמא, דפדפן Firefox, למרות שהינו בעל יכולות הצפנה, נעדר מהרשימה; מערכת ההפעלה לינוקס מאוזכרת על ידי רשיון שניתן לRedHat ושלל אפליקציות ללינוקס, אך לא נמצאת שם. דומה שהסיבה לכך היא כי מעולם לא טרח איש לפנות למשרד הבטחון על מנת לאשר את העניין. מאז 2004 לא נדחתה בקשה אחת לקבלת אישור ודומה שעם נתח שוק עולמי של כ-30% לדפדפן Firefox קשה למשרד הבטחון לא לאפשר מיוזמתו את ההסכמה לדפדפנים. אולם, נכון לעכשיו, כל המשתמש בדפדפן שאינו מופיע ברשימת האמצעים החופשיים, הרי שהוא מפר את צו הצופן.

2.
חוסר ההגיון בצו מסוג זה משווע מלא מעט סיבות. העיקרית היא הרציונל מאחורי הצו: החשש כי בידים הלא נכונות ינוצלו אמצעי הצפנה היה נכון אולי בשנת 1974 כאשר צו בדבר הסדר העיסוק באמצעי הצפנה הוצא; אולם, מאז שונתה דרך העבודה והמתודות. מאז 1974 השתנה עולם התוכנה ואמצעי ההצפנה לצורה שבה כל יום, במהלך העבודה הרגיל, אדם מצפין עשרות פעמים: כאשר הוא מתחבר לקריאת דואר אלקטרוני, כאשר הוא מבצע שיחות טלפון, כאשר הוא צופה בטלויזיה; כל פעולה היום מלווה בהצפנה. מנגד, אותם ארגוני טרור שהממשלה מנסה למנוע מהם את השימוש בהצפנה יכולים להסתמך כיום על תוכנות הצפנה בקוד פתוח אשר אין להם אב ואם, ויכולות להגן בצורה טובה יותר מאשר חבילות מסחריות.

3.
אם הרציונאל של משרד הבטחון הוא דומה לרציונאל של ממשלת הודו במאבק מול Blackberry ושל ממשלת גרמניה בנוגע לSkype, כלומר, לקבל גישה למפתחות ההצפנה ולאפשר דלתות אחוריות, הרי שאותו רציונאל פסול ואינו עומד בקנה אחד עם קריטריונים חוקתיים, אולם נראה שלא כך הדבר. בטפסי הבקשה אין כל דרישה לקיומן של דלתות אחוריות, ונכון לעתה אמצעים רבים המופיעים בדיווח ידוע שאינם מכילים דלתות כאלה (בין היתר כיוון שמדובר באמצעי קוד פתוח). אלא שדומה שהארכאיות בבקשות של משרד הבטחון פשוט אינן מסוגלות לקבל את העובדה שישנן תוכנות חופשיות או יצירות ללא אב ואם. כך, לדוגמא, בטופס הבקשה, מלבד קריטריונים רלוונטיים, נדרש הממלא להבהיר מהו שם החברה המספקת את התוכנה (במקרה של תוכנות בקוד פתוח אין כלל אב ואם) וישנה דרישה לדיווח על המכירות.

4.
כלומר, נכון להיום כל אוכלוסית מדינת ישראל עוברת על צו הצופן בצורה כזו או אחרת; מדובר בעבירה פלילית שענישה כלשהיא בצידה, ואשר מונעת מכלכלת ישראל גם להתבסס על אמצעים בקוד פתוח. מעבר לכך, הרציונאל לפיו יש להרחיק ארגוני טרור מאמצעי הצפנה הוא גם לקוי: הרי אותם ארגונים מראש אינם מצייתים לחוק. עוד סוגיה המתעוררת היא בעיית טריטוריאליות החוק: החוק הישראלי חל על אזרחים ישראלים הנמצאים במדינת ישראל, אולם הוא אינו חל על פעולות שבוצעו מחוץ לה. למרות התפיסה הארכאית של משטרת ישראל כי היא יכולה להחיל את החוק גם על פעולות מחוץ לישראל (בש 90861/07 מיכאל גארי קרלטון נ' היחידה הארצית לחקירות הונאה), הרי שברור כי צו הצופן לא יחול על הצפנה שבוצעה מחוץ למדינה ולא ניתן יהיה לחייב שירותי הצפנה זרים שאינם פועלים בישראל לציית לחוק.

5.
כך, לדוגמא (ותודה לים מסיקה על הרעיון), שירות Dropbox מספק אחסון מרוחק ומוצפן. מדובר בשירות ציבורי, הזמין לכל תושבי העולם ואינו מחזיק שרתים בישראל. נניח, לצורך העניין, שהוא אפילו חוסם את היכולת לגשת לשירות לישראלים (על מנת להתגבר על המכשול הטכני של טענות המשטרה בעניין מיכאל גארי קרלטון), אולם: אזרח ישראלי (נניח, גלעד שרון, לצורך הויכוח), מאחסן את קבציו האישיים בשירות וניגש אליו באמצעות שרת Proxy המסווה את זהותו. אותו אדם נמצא תחת חקירה, והמשטרה מצווה עליו למסור מסמכים מסוימים (ע"פ 1761/04 גלעד שרון נ' מדינת ישראל) אולם, הוא טוען כי זכותו להמנע מהפללה עצמית עומדת, והוא מסרב למסור את ססמאת הגישה (וראו: על החובה למסור ססמאות מוצפנות). כעת, משנמנעה מהמשטרה היכולת להגיע לחומר החקירה החסוי, שכן, אם שרתי Dropbox היו בישראל, הם היו מבקשים, בין אם על פי חוק ובין אם לא, את הגישה לקבצים בצו בית משפט לפי סעיף 43 לפקודת סדר הדין הפלילי [מעצר וחיפוש], מבקשת המשטרה לאסור את אותו אדם על פי צו הצופן.

6.
הטענה הקלה מבחינת המשטרה, מאותו הרגע, היא שאותו אדם הצפין את החומרים בצורה שאינה מאפשרת את הפענוח (כיוון שהחומר אינו נמצא בישראל, ולא ניתן ליתן צו חיפוש נגד מי שמחזיק אותו) המצפין עבר על החוק. כך, יותר קל להצמיד עבירה של הצפנה שלא כדין מאשר את שאר העבירות (ולעבור על חוק הפיקוח על מוצרים ושירותים). אולם, האם צו הצופן, בפועל, אומר שאנחנו צריכים לזנוח את כל התוכניות שלנו ולעבור לעבוד רק עם יישומים מורשים?

7.
גם צו הצופן, בהיותו צו שינתן על ידי רשות שלטונית, כפוף לעקרונות חוקתיים כמו כל צו אחר שניתן על בסיס חוק פיקוח על מצרכים ושירותים. כך, לדוגמא, בבגץ 4253/02 מר בנימין קריתי – ראש עיריית טבריה נ' מר אליקים רובינשטיין – היועמ"ש הועלתה טענה נגד תוקף צו פיקוח בתחום הבריאות, כאשר באותו המקרה בית המשפט פסק כי, ראשית, היה על העותרים לתקוף את הצו סמוך למועד כניסתו לתוקף (ובהשלכה לצו הצופן, בשנת 1998 לערך) וכי יש לבחון את השלכות הרוחב של הצו, גם אם הוא מגביל את העקרונות החוקתיים:"לענייננו, צו הפיקוח קובע עקרונות חשובים ומהותיים. אם היה מקום לתקוף אותו – הדעת נותנת כי הדבר יעשה סמוך לאחר נתינתו, ולא לאחר שהעקרונות התקבעו והפכו לנורמות מחייבות שלאורם פועלים בתי החולים. מעבר לכך ולגופו של עניין: השגתם המרכזית של העותרים (באשר לתוקפו של צו הפיקוח) נסמכת על החוק המסמיך קרי: חוק הפיקוח על מצרכים ושירותים, תשי"ח-1957, ס"ח 24 (להלן: חוק הפיקוח). סעיף 3 לחוק הפיקוח אומר: "לא ישתמש שר בסמכותו לפי חוק זה, אלא אם היה לו יסוד סביר להניח שהדבר דרוש לקיום פעולה חיונית, למניעת הפקעת שערים וספסרות או למניעת הונאת הציבור".  לטענת העותרים "אין ולא יכול להיות לשר יסוד סביר להניח כי איסור השר"פ חיוני לקיום פעולה חיונית – מתן השר"פ אינו פוגע בכהוא זה בכל פעולה חיונית הניתנת במסגרת בית החולים" (סע' 78 לעתירה). חרף הפסקנות והדווקנות שבה נטענה הטענה – היא אינה משקפת את המצב לאשורו. לשר"פ יש השלכות רוחב שמשמעותן אינה מצטמצמת לאותן שעות שבהן הוא ניתן".

8.
מנגד, ברור כי בתריסר השנים שעברו מאז הוצא צו הצופן השתנתה הדרך בה אנו חושבים על הצפנה למכביר. בשנת 1999 מערכת Deep Crack פרצה את תקן ההצפנה המקובל בעולם, הDES. תקן הAES הוחל בשנת 2001, ופיגועי ה11 בספטמבר 2001 הביאו לרצון נרחב יותר לבחון מהם המסרים המועברים. כח המחשוב בעולם גדל בצורה מעריכית ושיטות הפצת המידע השתנו מקצה לקצה. החובות שהוטלו על מנהלי מאגרי מידע, מנגד, והצעות הרשות למשפט, טכנולוגיה ומידע לתקנות אבטחת המידע בפרט, לא מאפשרות אלא לעבור על החוק.

9.
אם כן, מה על אדם המעוניין לעסוק בהצפנה, או לספק לציבור שירות המכיל רכיב הצפנה בפנים, לעשות? כעקרון, גם אם הוא אינו מפתח התוכנה, אין מניעה כי כל אדם יגיש בקשה להכריז על שירות ההצפנה שלו כאמצעי חופשי על פי צו הצופן. כלומר, במקרה כזה, נניח שאדם מסוים מנהל אתר אינטרנט להיכרויות: עליו גם לרשום מאגר מידע על פי חוק הגנת הפרטיות, וגם, בהנחה שהוא מצפין את הססמאות כדי לשמור על כללי אבטחת מידע להגיש בקשה לרישום אמצעי ההצפנה למשרד הבטחון. כעת, אם מערכת ההפעלה בשרת מכילה רכיבי הצפנה שאינם מוכרים כאמצעים חופשיים, עליו לבקש רשיון גם עבורם. במקרה כזה, די בכך שיתקבל פעם אחת רשיון עבור רכיב כמו OpenSSL להכיר בו כאמצעי חופשי.

10.
אם יש משהו ללמוד ממלחמת הPGP של שנות התשעים הוא שלא משנה מה, מרגע שתוכנה מסוימת שוחררה לאוויר לא ניתן להשיבה. בשנות התשעים ממשלת ארצות הברית רדפה אחרי מפתח של תוכנת PGP: Pretty Good Privacy ששוחחרה תחת רשיון פתוח יחסית. למרות ויכוחי פטנטים עם RSA ולמרות האיסור על הפצת קוד התוכנה מחוץ לארצות הברית כיוון שמדובר באמצעי הצפנה, הצליחו ארכיטקטי PGP (שכיום גם מכיל גרסא מסחרית). מנגד, ובעקבות חוסר אמון וחוקי יצוא מעיקים, אלטרנטיבת הGPG יצאה לאוויר ואיפשרה מעקף של העניין. הכלל, שברור כיום יותר מכל דבר אחר, הוא שאמצעי הצפנה, כמו כל תוכנה אחרת, אינם ניתנים לשליטה מרגע ששוחררו לאוויר העולם. הרציונאל של רשויות שלטוניות לנסות לאסור על שימוש בתוכנה שאין לה בעלים, אין לה משווק ואין לה תומך אינו בנוי לעולם הנוכחי של העדר גבולות ושירותי רשת.

11.
אם כן, מה אמור משרד הבטחון לעשות על מנת להתמודד עם תופעת ההצפנה ולהתמודד עם רצונם של גורמים עוינים להצפין מידע? מתוך נקודת המוצא כי אותו משרד אכן מבין כי העדר זמינות בישראל של תוכנות הצפנה לא יגרום לכך שארגוני טרור לא ישיגו את האמצעים מאתרי אינטרנט זרים, ומתוך הכרה בערך החיובי מאוד של הצפנה עבור האדם הפרטי, אשר משתמש בהצפנה למסחר, משרד הבטחון צריך, להערכתי, לבצע את השינויים הבאים:(1) ראשית, על משרד הבטחון ליתן היתר כללי לאמצעי הצפנה הנמצאים בנחלת הכלל או שוחררו תחת רשיון קוד פתוח; (2) על המשרד לשקול רפורמה שתסיר את ההגבלות על הצפנה כלל ותסיר את המוצר מרשימת המוצרים בפיקוח, תוך הבנה שהזמנים השתנו; (3) עד שרפורמה מסוג זה תכנס לתוקף, על המשרד לזום בצורה אקטיבית הכרזה על אמצעים חופשיים מבלי מעורבות של הציבור ולבטל את דרישת הדיווח השנתי; (4) כמו כן, על המשרד, יחד עם הרשות הממלכתית לאבטחת מידע, לפעול לקידום ההצפנה והטמעת אמצעי הצפנה חזקים יותר בידי גורמים הפגיעים למתקפות טרור וירטואליות.

12.
לסיכום, ככל הנראה לא יוגשו לעולם כתבי אישום נגד ציבור משתמשי פיירפוקס או נגד מי שמשתמש בהצפנה שמקורה בקוד פתוח. הסיבה לכך היא כנראה חוסר הרצון של משרד הבטחון לנמק, מאוחר יותר, מדוע מעולם לא הפעיל את סמכותו לפי סעיף 3ב לצו וקבע מיוזמתו כי התוכנות מהוות אמצעי חופשי, וגם כיוון שעל ידי הגשת כתבי אישום נגד משתמשי פיירפוקס ינותק הקשר הסיבתי בין איסור הצפנה לבין טרור. לכן ברור שקיומו של חוק שאינו נאכף עשוי רק להזיק למדינה, במיוחד כאשר מדובר בחקיקה שנועדה להגן מפני טרור, וכעת לא נעשה בה כל שימוש.

[פורסם במקור בגליון השלושה עשר של Digital Whisper] [פורסם גם כאן]

החלטת בית המשפט המחוזי בעתמ (נצ') 62-10 ד"ר הנריק רוסטוביץ ושות, חברת עורכי דין נ' יצחק שריקי, הממונה על חוק חופש המידע בעיריית עפולה היא מרתקת ומשקפת גישה מלהיבה של בית המשפט למקצוע עריכת הדין, למאגרי מידע, לחירות המידע ולזכות האזרח להעזב בשקט. הבקשה, בבסיסה היא בקשה של משרד עורכי הדין הנריק רוסטוביץ', ממשרדי עורכי הדין הותיקים והמנוסים בתחום דיני הרשויות המקומיות, מיסוי ארנונה וכדומה, לקבל מעיריית עפולה מידע על אודות מיהם בתי העסק הפועלים משטח גדול מ300 מ"ר. לטענת משרד רוסטוביץ', עיריית עפולה התעלמה מהוראות המגבילות את יכולתה לגבות ארנונה וגבתה ארנונה ביתר ממספר עסקים.

עיריית עפולה סירבה לחשוף את המידע, בין היתר בטענה (תמוהה, לפחות לשיטתי) כי משרד רוסטוביץ' עשוי "לקבל את המידע האמור בניסיון להתחקות אחר "לקוחות פוטנציאלים"", וכי זכות התושבים לפרטיות גוברת על זכותו של משרד רוסטוביץ' לקבל את המידע. בקצרה, בית המשפט קיבל את רוב טענת העירייה וקבע כי "העתירה הוגשה מתוך רצון לקבל גישה למידע שיכול לסייע לעותרת בתביעות עתידיות ולא מתוך דאגה כנה לנישומים ערטילאיים או חשש מפעילות לא תקינה של הרשות". כמו כן, דחה בית המשפט את הצעתו של משרד רוסטוביץ' להסדיר את העברת המידע כאשר לנשואי המידע תנתן האפשרות להודיע כי אינם מעוניינים שהמידע על אודותיהם יועבר (סעיף 3.ד לפסק הדין). לבסוף, בית המשפט איפשר את העברת המידע על אודות תאגידים בלבד ולא על בני אנוש, בהסתמך על הוראות סעיף 3 לחוק הגנת הפרטיות הקובעות כי לתאגיד לא תקום זכות לפרטיות.

בעצם, בית המשפט היה יכול להגיע לתוצאה טובה יותר בהסתמך על מספר רציונאליזציות קודמות שכבר איפשרו פגיעה בפרטיות במקרים מסוימים; אם היה בוחר לעשות כן, היה יכול לאפשר גישה למידע סטטיסטי על מנת לחשב את הנזק הכללי מגביית היתר, או היה יכול לדחות את הבקשה בכלל. כך, בעבר, פורסמו כבר הסדרי הטיעון של נישומים במס הכנסה (עע"מ 2398/087 התנועה לחופש המידע נ' מדינת ישראל – רשות המסים) וכן גם במקרה של מאגר עסקאות הנדל"ן שפורסם לאחרונה: בתי המשפט מכירים בזכות הציבור לקבל מידע; אך חשוב יותר מהמידע הפרטני, מידע סטטיסטי מסייע לשקיפות ולתכנון של עתיד נכון יותר.

אכן, רשימת בתי העסק אינה מידע פרטי או אישי, אלא מידע ציבורי: כל אדם יכול לעיין בדפי זהב ולמצוא את רשימת בתי העסק בעפולה (גם אם בקושי מסוים) וכל אדם יכול לעיין בתכניות העירוניות ולקבל את המידע. צבירת המידע לכשעצמה אינה פוגעת בפרטיות במקרה זה בהתחשב במהות השירות (ולעניין הזכות המופחתת לפרטיות של בתי עסק, הן כתאגיד והן שאינם תאגיד השוו את תא (חי') 534-08 חוה קורן ישראלי נ' שי כהן).

על כן, הסיבה לאי העברת המידע לא היתה צריכה להיות הפגיעה בפרטיות של תושבי עפולה, אלא סיבה אחרת.

בית המשפט מתעכב רבות על כך שמשרד רוסטוביץ' מעוניין במידע על מנת לשדל לקוחות חדשים; אלא שהוא להערכתי שוגה כאן ממספר סיבות: משרד רוסטוביץ', כאחד המשרדים הותיקים והמנוסים בתחום הארנונה, יודע שאינו זקוק לרשימה פרטנית של בתי העסק שחויבו, אלא שהוא יכול להגיש תובענה ייצוגית בשמם כאשר די לו בנפגע אחד; בא 2328/99 חגי טיומקין נ' עיריית תל-אביב כבר אישר בית המשפט את מוסד התובענה הייצוגית על גביית יתר במקרים מסוימים, ולכן אם היה מעוניין לפנות בשם כלל בתי העסק בעפולה, די בכך שישדל המשרד לקוח אחד מעפולה על מנת לייצג את כולם. ואכן, במקרה כזה, די היה בקבלת מלוא המידע על אודות השטחים העסקיים והתעריפים על מנת לייצר תחשיב אקטוארי לצורך תובענה ייצוגית.

מעבר לכך, בית המשפט בהבנתו כי משרד רוסטוביץ' עשוי לשדל יוצא מנקודת הנחה כי המשרד יקפוץ מעבר להוראות מפורשות בכללי לשכת עורכי הדין (אתיקה מקצועית) וכן על סעיף 56 ל חוק לשכת עורכי הדין שאוסר על עורכי דין לשדל אדם למסור לידו עבודה מקצועית.

על כן, על פי סיבות אלה לא היתה סיבה לבית המשפט להמנע מהעברת המידע. אלא שהעברת המידע היתה נאסרת ונדחת מסיבה אחרת לגמרי; אשר כלל לא קשורה לסוגיית החיוב בארנונה: סעיף 8(4) לחוק חופש המידע מאפשר לסרב לבקשת חופש מידע כאשר המידע נמצא כבר ומפורסם במקום אחר; מעבר לכך, דווקא סעיף 9(ב)(7) מאפשר לרשות לסרב להעביר מידע ש"הגיע לידי הרשות הציבורית, שאי-גילויו היה תנאי למסירתו, או שגילויו עלול לפגוע בהמשך קבלת המידע". כאן ברור כי איסוף המידע מהתושבים וניהול הצנזוס המקומי נעשה תחת חובת סודיות כלפי התושבים. מעבר לכך, אם תרצה העירייה, תוכל להחתים את התושבים על טופס סודיות בעת איסוף פרטיהם ועל ידי כך לפטור עצמה מהפעם בה משרד עורכי דין יחפש לו לקוחות.

בית המשפט היה יכול לייצר פרזומפציה של סודיות בין רשות מקומית לבין תושביה, לרבות תושביה המאוגדים, ולקבוע כי לאדם המוסר לרשות המקומית מידע על אודות סיווג עסקיו, מצבו הכלכלי ומקום מגוריו ישנה ציפיה סבירה לפרטיות ועל כן לרשות קמה חובה שבחוק שלא לגלות מידע זה אלא אם ויתר נשוא המידע על זכות זו ופרסמה בעצמו (ואז ניתן להחיל את החריג של 8(4) בכל מקרה).

לכן, במקרה המוזר של רוסטוביץ' אפשר היה להגיע לתוצאה טובה יותר, הן מבחינת חופש מידע והן מבחינת פרטיות.

[פורסם במקור]

"מימד הפגיעה בפרטיות הכרוכה בשליפה שלא כדין של פרטים ונתונים אישיים ממאגר מידע ממוחשב בשירות המדינה מעצים את הפגיעה הנובעת מהפרת כללי המשמעת, ומשווה לה מימד של הפרת ערך חוקתי. יתר על כן, בהקשר שלפנינו, הפגיעה בפרטיות אינה מסתכמת בפגיעה באותם פרטים שנעשה שימוש בנתוניהם. היא מגלמת נזק רחב יותר לאינטרס הציבורי בפגיעתה באמון הציבור ברשויות המדינה, האמורות לשמש נאמן הציבור בקבלת מידע ונתונים שחלה עליהם חובת סודיות, ולעשות בהם שימוש אך ורק על-פי המותר מכוח הדין. הפרת חובת הסודיות כאמור, מעבר לפגיעתה בפרטיות האדם שנעשה שימוש בנתוניו האישיים שלא כדין, מערערת את אמינותה של הרשות הציבורית בעיני הציבור, ועלולה לפגוע ביכולתה של הרשות לקבל ולרכז בידיה בעתיד נתונים חיוניים הדרושים לביצוע תפקידה. נזקי ההפרה משתרעים, אפוא, על הפרט ועל הכלל כאחד, וחומרתם רבה". (כב' השופטת אילה פרוקצ'יה, עשמ 3275/07 שמואל ציילר נ' נציבות שירות המדינה)

השלכות הרוחב של פסק הדין בנושא שמואל ציילר הן דווקא מצויינות. ציילר, עובד במס הכנסה, "הועסק כמפקח שומת מקרקעין באגף מס הכנסה ומיסוי מקרקעין במשרד האוצר", והואשם בשליפת מידע ממחשבי רשויות המס על מנת לחקור נישומים שאינם בתחום סמכותו. "לטענתו, הוא שלף מידע ממאגרי המחשב של רשות המס לצורך חשיפת שחיתויות, וכאמצעי להגיע לגביית מס אמת, מתוך דאגתו הכנה לקופת המדינה. כאשר התעורר חשדו לגבי עסקאות מסויימות שבוצעו או ביחס לנישומים מסויימים שנתוניהם העלו סימני שאלה, נהג לערוך בכוחות עצמו בירור פנימי מקדים תוך שימוש במאגרי המחשב" (הציטוטים מתוך פסק הדין, ההדגשות אינן במקור – י.ק)

הייחוד בפסק הדין ציילר הוא ההבנה של בית המשפט בנושא רגישות המידע נמצא במאגרי מידע. בית המשפט מסביר שהשימוש במידע אינו יכול להעשות תוך כדי פגיעה בפרטיות, גם אם המטרה היא ראויה: "עובד ציבור הנתון למערכת כללי משמעת מחייבים אינו אדון לעצמו לחרוג מהם ולהפר אותם, בין אם תכלית ההפרה נועדה לקדם ענין פרטי, ובין אם היא נועדה לקדם אינטרס ציבורי כזה או אחר הנראה בעיני העובד חשוב וראוי".

אולם, הבעיה בפסק הדין ציילר היא התוצאה שלו; על פניו, הפר ציילר זכויות חוקתיות, פגע במידע רגיש והפר כללי משפט, הפך לאדון ולקח את סמכויות המדינה לידיו. ומה ענשו של ציילר? "בגזר הדין הוטלו עליו, על-פי הסדר בין הצדדים, אמצעי משמעת של נזיפה חמורה, וכן הוחלט כי המערער יעזוב מיוזמתו את שירות המדינה ויצא לקצבה עם מלוא זכויותיו. פרישה זו, כך נקבע, תיכנס לתוקף תוך חודש לאחר מתן פסק דינו של בית המשפט העליון על הכרעת הדין, אם יידחה הערעור."

כעת צריך להבין את ההליך המשמעתי: ההליך המשמעתי אכן חמור ואותו עובד סיים את עבודתו במדינה, אך זה לא נענש בסנקציות הפליליות הקבועות בחוק הגנת הפרטיות (וראו תוצאה זהה בעשמ 7797/07 צוריאל מימון נ' נציבות שירות המדינה בו עובד מדינה השתמש לצרכים פרטיים במאגר מידע ולא הוכנס לכלא). הנחיות היועץ המשפטי לממשלה מבהירות כי הליכים משמעתיים אינם מונעים הליכים פליליים, אולם נדמה כי במקרים אלו, חרף ההרשעה בהליך המשמעתי, הנוהג הוא לא להעמיד להליכים פליליים (וראו בג"צ 15/57 יעקב צמוקין נ' בית הדין המשמעתי לעובדי המדינה, עשם 4193/06 משה חי כהן נ' נציבות שירות המדינה). בפועל, הכלל הוא שכל עוד ישנו הליך פלילי, ההליך המשמעתי מוקפא. אולם, כאשר לא נפתח הליך פלילי, יכול להווצר נוהג בו לא יועמדו לדין העבריינים.

כלומר, בפועל מדובר בעובד מדינה מושחת שעשה שימוש במידע שלא כחוק (או במקרה מימון לצרכיו הפרטיים) אך לא יענש במישור הפלילי. למרות שהעונש יכול להגיע למאסר בפועל, מעדיפה המדינה לטאטא את העבירות מתחת לשולחן ולולא היו בוחרים הנאשמים בכלל לערער, אף אדם לא היה מודע לעבירות הפרטיות המתרחשות במדינה.

בפועל, למרות המילים היפות של בית המשפט העליון בנושא ציילר, שעשויים להשליך על הליכי הגנת פרטיות כיום בבתי המשפט, העונש שהוטל על ציילר הינו בדיחה שלא הולמת את חומרת מעשיו, והמדינה יוצאת נשכרת פעמיים: הן בעקבות יכולתה לגבות כספים נוספים ב"זכות" עברתו של ציילר (והשוו רע"פ 5121/98 רפאל יששכרוב נ' בית הדין הצבאי לערעורים) והן ציילר, ששומר על זכויותיו הפנסיוניות ולא נפגע כמעט. אכן, לשופטת פרוקצ'יה לא היתה היכולת להחמיר בענשו של ציילר, אך טוב היה לו היתה מבהירה שראוי כי משטרת ישראל תפתח גם כן בחקירה לאור ההרשעה.

[פורסם במקור]

בבשא (ת"א) 17537/07 ארתור פרנק נ' אולסייל. קום בע"מ נתן בית המשפט צו האוסר על אתרי אינטרנט מסוים לערוך שינויים הנוגעים למכירות פומביות שנערכו על ידיהם. הרקע לאותו צו היה בקשה לאישור תובענה כייצוגית בטענה שאתרי המכירות הפומביות בישראל מעוותים את תוצאות המכירות בצורה שיטתית. באותו המקרה, לתובעים הייצוגיים לא היתה כל דרך להוכיח אחרת אלא על ידי עיון ברשומות ממוחשבות אצל שלל הנתבעות. התובעים הציגו ראיות דיות כדי לקבל את התביעה כייצוגית ובית המשפט נעתר לבקשתם.

אולם, התובעים לא ביקשו "צו אנטון פילר". אותו צו הוא צו הרסני שמשמש כנשק יום הדין ומאפשר לתובע לתפוס את הנכסים שנמצאים אצל הנתבע לפני תחילת ההליך על מנת לבדוק אותם ולמנוע אפשרות שהראיות יועלמו. במידה והיה מתבקש צו כזה, היה על בית המשפט לשקול לא מעט שיקולים חוקתיים כגון זכותם של אתרי המכירות לקניין, סודותיהם המסחריים והאפשרות לפגיעה בחופש העיסוק (בשא (ת"א) 3792/06 ברונו אינטרנשיונל בע"מ נ' יצחק גור) כאשר "צו מעין זה הוא פולשני במהותו, ויש בו משום פגיעה רבה בפרטיותו של אדם. בית הדין ישקול בזהירות רבה אם להיעתר לבקשה למתן צו מסוג זה, והוא יעשה כן רק לאחר שיווכח כי ישנן בפניו ראיות לכך שבחזקת המשיב מצויים מסמכים או חפצים מרשיעים, שיושמדו או ייעלמו לפני שיתקיים דיון במעמד שני הצדדים."

לא רק שצו זה ניתן מבלי שלצד הנפגע ישנה זכות להביא את דבריו בפני בית המשפט, אלא שאותו צו דורש ראיות חזקות על מנת לאפשר לבית המשפט לתת צווים רק במקרים בהם הוא כמעט משוכנע שהנזק שיגרם מאי תפיסת המסמכים גדול מהנזק שיגרם מתפיסתם.

למרות שאני בטוח שכך היה גם בברע (ארצי) 210/08 פלונית נ' פלונית שניתן לפני שלושה חודשים והותר לפרסום כעת, ואני בספק אם ההשלכות של פסק הדין מתירות פסיקה כל כך נרחבת. התובעת בעניין זה היתה אשה בהריון שלא התקבלה לעבודה באחת מחברות כח האדם הגדולות בארץ, ככל הנראה עקב הריונה. התובעת אספה פיסות ראיה רבות, לרבות תכתובות פנימיות של אותה חברת כח אדם, בהן נכתב כי כיוון שהיא בהריון אין להציע לה עבודה. התובעת ביקשה להגיש תביעה ייצוגית כנגד אותה חברת כח אדם, וביקשה לתפוס את מערכות המחשב של הנתבעת על מנת לקבל את המידע ממחשביה לפני שזו תעלימו (כאשר היא תגלה על קיומם של הליכים משפטיים).

בית הדין האזורי לעבודה דחה את בקשתה, אולם בערעור שהגישה לבית הדין הארצי זה נאות לתת לה צו לתפוס את החומר כיוון שזו הציגה ראיות רבות לכאורה לכך שהתקיימה הפליה (ולכן סיכויי התביעה גדולים) וכיוון שרוב הסיכויים שמרגע שיוודע לנתבעת על ההליך, זו תעשה יד אחת על מנת להעלים את המידע. כב' השופטת נילי ארד פוסקת, בצורה מוצדקת לחלוטין כי:

בענייננו, ההפליה הנטענת בקבלת נשים לעבודה מחמת הריון, נוגדת את ערכי היסוד של שיטת המשפט בישראל, ומהווה פגיעה חמורה באינטרס הציבורי, בהיותה מנוגדת לתפיסות יסוד של החברה הישראלית. האינטרס הציבורי של הגנה על נשים בעבודה ועידוד שילובן במעגל העבודה מחייב מיגור התופעה של הפליית נשים בהריון בקבלה לעבודה. שלילת אופציה לעבודה מנשים הרות, כנטען בתביעה, הינה הפליה אסורה ופסולה, מנוגדת לעקרון השוויון ופוגעת בכבוד האדם של אותן הנשים אשר פנו בבקשת עבודה לחברה, והמערערת בכללן.

אולם תוצאה צודקת מצד אחד, והשלכות רוחב מצד שני. לכל החלטה טובה יש אח רע מאוד, האח שמאפשר שימוש באותו פסק דין למטרות פסולות. במקרה שלנו, דווקא להחלטה הזו יכולות להיות השפעה לא קטנה על עב 10126/06 טלי איסקוב נ' הממונה על עבודת נשים. באותו מקרה, כזכור (שנמצא כעת בערעור בפני בית הדין הארצי לעבודה), התיר בית המשפט לחדור לחשבון הדואר האלקטרוני של איסקוב על מנת להצדיק את פיטוריה. החלטה זו, והחלטות דומות עשויות לקבוע כי למרות שתיבות דואר אלקטרוני של עובדים הן אינן נקראות על ידי המעביד ואין לו זכות לחדור גם לתיבות פרטיות, לזה יהיה זכות לתפוס אותן במקרה שהוא חושד כי העובד פועל שלא כשורה.

(חשוב לציין שההחלטה נוגעת לצו אנטון פילר לפי תקנות סדר הדין האזרחי, ולא לפי חוק עוולות מסחריות כמו בפ"ד ברונו אינטרנשיונל, אולם יש להבין את הבעייתיות כאן).

הבעיה היא לא רק במקרים של דיני עבודה כמובן, אלא גם בסכסוכים אזרחיים הקשורים לקניין רוחני או מסחר יום יומי. כאשר כל סכסוך סטנדרטי ילווה בתפיסת המחשבים של צד מסוים (על מנת להוכיח שזה שלח מייל בתאריך ספציפי, לדוגמא, או שהוא לא שלח מייל באותו תאריך), עשויות להגרם פגיעות משמעותיות בפרטיות האזרחים עקב קדושת ההליך המשפטי.

אכן, צו אנטון פילר נועד לסייע לתובע במקום בו לנתבע יש את רוב המידע והוא יכול להעלימו במסגרת ההליך, אולם כפי שראינו כבר בפרשת אילן גור (א 7667/03 נבות נ' גור), הליך גילוי המסמכים בהליך האזרחי יכול להיות קטלני דיו.

במקרה של פלונית, בפני בית המשפט היו די ראיות כדי לנהל תובענה ולא היה צורך במחשבי הנתבעת על מנת להוכיח זאת. המידע שהתבקש נועד כדי לאפשר תובענה ייצוגית, כלומר להגן על אינטרס ראוי אחר מאשר זה של התובעת עצמה. טוב היה עושה בית הדין הארצי לעבודה אם היה מגביל את הצו דיו כדי לאפשר לתובעת לקבל את המידע, אך למנוע מצב בו העניין היה פוגע בקניינה של הנתבעת; במקרה הזה, כיוון שאפליה מסוג זה לעבודה היא גם עבירה פלילית, ראוי היה שמשטרת ישראל (על אגף עבירות המחשב המפואר שלה) היתה עושה נאמנה את עבודת התפיסה, במסגרת הליך פלילי, כשהתובענה הייצוגית נלוות אליה.

"לכל כניסה לתיבת דואר אישית, הנושאת כתובת עם שם העובד בלבד ולקבצים אישיים שלו, נדרשת הסכמה מפורשת מצד העובד, ואם ביקש זאת העובד, יעשה הדבר בנוכחותו." זה הסעיף מתוך ההסכם הקיבוצי הנוגע לזכויות העובד לפרטיות במקום העבודה שנחתם בשבוע שעבר בין ההסתדרות לארגוני המעסיקים; מטרת ההסכם היתה להסדיר את הדיסוננס המשפטי שנוצר מאז פסק הדין עב 010121/06 טלי איסקוב נ’ הממונה על חוק עבודת נשים ו‫עב’ 1158/06 רני פישר נ’ אפיקי מים. המחלוקת היתה האם ניתן לאפשר למעביד לעיין בהודעות הדואר האלקטרוני של עובדיו.

בעוד שניתן לחשוב כי ההסכם שנחתם מדבר על כניסה לתיבות דואר פרטיות שאינן קשורות לעבודה (קרי: הוטמייל, ג'ימייל וכו'), הפרשנות הנכונה היא תיבת דואר אישית תחת הדומיין של מקום העבודה ולא כניסה לתיבות דואר פרטיות.

הסכם זה מעגן את זכותו של המעסיק, לאחר קבלת הסכמה מפורשת מהעובד (כלומר, לכל חיפוש ולא הסכמה שבהסכם ההעסקה) לבצע חיפוש בתיבת דואר ספציפית המיועדת לעובד ונושאת את שמו (כלומר avi@company.com לעומת accounting@company.com שמיועדת לבעלי פונקציה ספציפית בחברה). בהסכם כלל לא מדובר על כתובות דואר רשת.

עו"ד אביב אילון מסביר לynet מה דעתו על הנושא ומוצא את הפתרון הטכנולוגי (הוא גורס שעל העובד להצפין את התקשורת מהמעסיק):

בנוסף ההסכם מאפשר לעובד להיות נוכח בעת כניסת המעביד למידע הפרטי של העובד. משמעותה האופרטיבית של האבחנה ברורה למדי – על העובד להקים מתחם פרטי במחשבו הכולל תיבת דואר פרטית וספריות המכילות רק את קבציו הפרטיים. בעניין זה הייתי אף אומר כי לעובדים בעלי גישה לאינטרנט אין כל צורך בהקמת מתחם פרטי במחשבם. קיימים ברשת מספר רב של שירותים מקוונים המספקים את כל צרכי העובד לשמירת המידע הפרטי שלו מחוץ להישג יד המעביד.

אני חולק על קביעתו של עו"ד אילון; לדידי, כלל אין למעביד זכות לגשת לתיבת הדואר הפרטית של העובד אלא רק לתיבת הדואר האישית שלו; ואסביר: יש להבדיל בין תיבת דואר אישית לפרטית. בעוד שתיבת דואר אישית היא תיבה שהמעביד נותן לעובד תחת שמו שמטרתה עבודה (כמו טלפון אישי שניתן מהמעביד בדיוק), ולכן למעביד הזכות הקניינית לקרוא אותה (כיוון שהיא רכושו האישי, כמו שנפסק בעב 010121/06 טלי איסקוב נ’ הממונה על חוק עבודת נשים); לעומת זאת, תיבת דואר פרטית היא תיבה שאינה קשורה למעביד היא קניינו של העובד ולה אסור להכנס כלל וכלל (ואסור למעביד לבקש את הססמא, ראו Boucher v. State); ההבדל הוא בין Personal mailbox לPrivate mailbox וראוי שיהיה ברור.

ההבדל בין תיבת דואר אישית לפרטית נהיה ברור יותר כאשר ישנו חוק ספציפי שאוסר על חדירה לחומר המחשב (לפי הוראות חוק המחשבים), כיוון שלמעביד אין זכות חוקית בדין לחדור לתיבת הדואר של הפרטית של העובד [והסכם בשוק הפרטי אינו יכול להפר את הוראות החוק]. במקרה הזה ראוי להקיש מטלפונים שניתנים לעובד: בעוד שלטלפון הניתן ממקום העבודה [טלפון אישי] מותר למעביד לקבל את פירוט השיחות בתור מי שמשלם על אותן שיחות (ובמקרים חריגים, במיוחד לאור ההסכם, גם לשמור את תוכן השיחה), לטלפון הפרטי של העובד [זה שנמצא בביתו או זה שנרכש בכספו של העובד] אסור למעביד לצותת ואסור לו לבקש פירוט שיחות.

נותרת רק השאלה של "הסכמה במפורש" של העובד לחדור לתיבה האישית שלו במסגרת חוזה העבודה (שכן לפרטית אסור בכל מקרה), במקרה זה ברור שלא מדובר על תנאי שניתן ליישם במסגרת הסכם ההעסקה כאשר כתוב כי "לכל כניסה לתיבת דואר אישית, הנושאת כתובת עם שם העובד בלבד ולקבצים אישיים שלו, נדרשת הסכמה מפורשת מצד העובד, ואם ביקש זאת העובד, יעשה הדבר בנוכחותו."

כלומר, דרושה הסכמה לכל כניסה ולא מדובר על מצב בו ניתן לחייב עובד מראש להסכים לכניסה גורפת.

לכן, ההסכם עצמו, למרות שנראה לאחרים אחרת בקריאה ראשונה, עושה חסד עם העובדים ועשוי להניב לנו מציאות חדשה, בה הפרטיות במקום העבודה מוכרת.

הפוסט המובא כאן הועבר כהרצאה למתנדבי עמותת אשנ"ב בתאריך 31.12.2007.

האינטרנט משתרעת על גבי מרחבים וירטואליים רבים. היא יכולה לשמש אותנו לעבודה, להכיר את המשפחה הקרובה שלנו ולדבר איתה, לחלוק חוויות, להכיר אנשים חדשים ועוד. אולם, הרשת גם יכולה לשמש כדי לשנוא ולהפיץ שנאה. החלל הוירטואלי לא שונה בהרבה מהחלל האמיתי שלנו.

אין תופעות ייחודית לאינטרנט שלא היו יכולות לבוא לידי ביטוי גם בלעדיה, במקרה הרע התופעות מתקיימות בקלות יתרה בגלל הרשת. לדוגמא, אנונימיות תמיד הייתה קיימת; תמיד היו אנשים ששלחו מכתבי אהבה לאהובות בעילום שם ותמיד מכתבי כופר נכתבו באמצעות אותיות גזורות וללא זיהוי השולח. אנו עומדים, בהרצאה קצרה זו, לצאת לטיול קצר בו נדבר על דברים שחלקם לא נעימים, מפני שבני אדם הם יצורים אמוציונאליים מאוד.

בעיה ראשונה בתקשורת האינטרנטית היא אמון; כששולחים דואר אלקטרוני אין ודאות שהאדם שמקבל אותו הוא האדם שאתם שולחים אליו ואין ודאות שהשולח הוא מי שהוא טוען שהוא. אתם שולחים לכתובת, כתובת המייצגת איזשהו אדם שבחר לקחת לעצמו את הכתובת הזו. הוא בד"כ יושב עליה, אבל האם אתם בטוחים שזה באמת שלו? הרי לא בדקתם לו תעודת זהות.

שיחה בין בני אדם מבוססת על איזושהי מידה של אמון. אנחנו מאמינים שכשאנחנו מקבלים מייל מאדם מסוים הוא באמת שלח אותו. אנחנו מאמינים שכשאנחנו משוחחים עם מישהו בצ'ט זה אותו בן אדם שהוא טוען שהוא, בעיקר כי אין לנו יכולת לזהות אותו בצורה אחרת. אם אנחנו פותחים בלוג, לדוגמא, אף אחד לא דורש מכם להזדהות, וגם אם ידרשו מכם להזדהות, לאיש אין ערובה כי אתם אותם אנשים שאתם טוענים שאתם, בדיוק כמו שאיש לא ידרוש מכם תעודת זהות בדייט ראשון או בעת שאתם נפגשים בכנס מקצועי.

[בהערת אגב ניתן להזכיר כי לדוגמא, ניתןו לפתוח לא רק בלוגים בעילום שם, ולא רק בלוגים בשמך אלא גם בלוגים בהם אתה מתחזה לאדם אחר; לדוגמא, הבלוג של סטיב ג'ובס המזויף נפתח על ידי דניאל ליונס, עורך במגזין פורבס. ליונס יצא מהארון רק לאחר שהציעו לו לכתוב ספר תחת שמו הבדוי, תוך שדחו את כישורי הכתיבה שלו בשמו האמיתי]

אותנטיקציה, היכולת לזהות, קיימת באינטרנט כמו בחיים האמיתיים אולם אנשים בוחרים שלא להשתמש בה. חוק חתימה אלקטרונית חוקק בישראל עוד בשנת 2001, וקבע כי ניתן יהיה להשתמש במנגנוני הצפנה על מנת לאמת זהות משתמשים באמצעות הרשת ולבצע פעולות שדרשו אימות (ומאמר של עו"ד חיים רביה על העדר יישום החוק). אולם, הדרישות הרבות שהוטלו על גורמים מאושרים וריבוי קשיים גרמו לכך שלא יהיה ניתן ליישם את החוק בגלל עלויות גבוהות. הבעיה היא, שבעוד שאתם משלמים בסופרמרקט או בכל מקום אחר בלי שידרשו מכם להזדהות כלל, באינטרנט הנחת המוצא היא שאי הזדהותכם מובילה לסכנות.

כשהרשת היתה עוד בחיתוליה, הראשונים שהתחברו הוגדרו כחנונים של מחשבים ונפגשו דרך המסך בשעות הקטנות של הלילה, היו ברובם סטודנטים או כאלה שהיו להם אחים גדולים או חברים בעלי חשבון באוניברסיטה שסיפקה את הקישוריות לרשת. רוב הפעילות באינטרנט הייתה למטרות מחקר. הם לא הכירו אחד את השני, אלא רק באמצעות כינויים. בישראל עד שנת 95 היה צריך רשיון לאינטרנט. כשגלשתי בשנת 92, השתמשתי בכינוי וכך גם רוב חברי. ועד היום אנשים ממשיכים להשתמש בכינויים. יש להניח שלחלקכם יש בלוגים בהם כותבים בעילום שם, מזדהים בשם פרטי, או בשם משפחה בלבד. האנונימיות מאפשרת שיחות בין אחד לשני, מאפשרת חשיפה של שחיתויות, גילוי של מקרים איומים. אנונימיות מאפשרת בעצם הכול. כולנו מחוברים לאותה רשת, אף אחד מאתנו לא מזוהה. אם כך אז מה הבעיה? הבעיה היא, שבני אדם הם לא יצורים נחמדים.

[וכדאי לקרוא את הסקירה של שוקי גלילי על תור הזהב של תקופת הBBSים כהקדמה והסבר על התקופה, כמו גם את כתבתה של דנה פאר]

ג'ייק בייקר כתב סיפורי זימה קצרים והפיץ אותם בקבוצות דיון בשרתי Usenet [הסבר בעברית על Usenet משנות התשעים, קצת על האבולוציה הטכנולוגית של Usenet]. בייקר כתב סיפורים שכוללו אלימות ומין ומשחרר אותם בקבוצת הדיון sex.stories, קבוצה שנועדה לפרסום סיפורי סקס קצרים בסך הכל. מעשה זה לא היה משהו חריג במיוחד, אולם, בקצה אחר של העולם, במוסקבה ישבה נערה וקראה את הסיפורים. אותה נערה הרגישה מבוהלת ופנתה לאביה, שהיה במקרה פרופסור. במקרה אותו ג'ייק בייקר למד אצל פרופסור אחר, חבר של אבי הילדה. לפי כתובת המייל הצליחו להגיע אליו והחלו בהליכים משפטיים כנגדו על הטרדה. [מתוך Code של לורנס לסיג]

השאלה היתה בעצם מדוע ג'ייק בייקר עשה זאת, והתשובה או הלקח היא האנונימיות. כשיש יכולת לכתוב באנונימיות, אפשר לכתוב סיפורי זימה, דבר שלא היית עושה אם היית מזוהה בקרב חברייך [גל מור על חוק הטוקבקים, על פתרונות להשמצה ברשת ועל ה'סכנות' מאותן השמצות, כרמל ויסמן על תרבות הטוקבק ועל אנונימיות יחסית]. במציאות הלא-וירטואלית, קשה לאדם ללכת לשכנים ולהגיד להם את המילים הכי נועזות שהוא מכיר, אבל אם הוא יושב וכותב כשהקורא הכי קרוב אליו נמצא בצד השני של המדינה (ואולי אפילו בכל המרחב האינטרנטי לא היו מחוברים יותר מאלפיים אנשים כמו בתחילת שנות התשעים) אפשר להיות די בטוח שאף אחד לא יקרא את סיפור הזימה. האנונימיות קשורה לא רק לכך שאיש לא יודע מי אתה, היא גם קשורה לכמות האנשים שקוראים את הטקסט וזהותם. [שימו לב לדוגמא לבלוגרית שמסבירה את דעותיה על כך שמכרים קוראים את הבלוג שלה]

מדוע חשוב להבין שלאינטרנט מחוברים כל כך הרבה אנשים? כיוון שבני נוער, לדוגמא, לא מרגישים מחויבות כלפי טקסטים שהם כותבים [תוצאות המחקר בישראבלוג מתוך הסמינריונית שלי]. בני נוער לא מניחים שמישהו קורא אותם בכלל, ולכן הביטוי שלהם מוגזם ונטול גבולות (בצורה יחסית). אם צעיר חושב שאיש לא יקרא ולא יושפע מהטקסט שלו, הוא כותב בצורה חופשית יותר. לפעמים כותבים באינטרנט דברים לא נעימים. אבל אם לא תכתוב אותם, אולי אתה עלול לעשות משהו אחר. זה עלה ממחקר על מתאבדות. [למצוא הערת שוליים]

היתרון שלנו כישראלים, שרוב המחלוקות לא יהיו באנגלית ולא על סיפורי זימה באנגלית [על תופעת הזנב הארוך בעברית ומדוע בישראל אין זנב ארוך, ודעתו המלומדת של אורי ברוכין] אלא קשורות איכשהוא לשפת הקודש; המחלוקות בישראל יתרחשו בעברית, ויוגבלו לנזק שיכול להגרם לישראלים בעברית. בסך הכל, ביצת הגולשים בישראל היא קטנה יחסית ובמדינתנו הקטנטונת ניתן לפנות למשטרה או להגיע לכל גולש בשניים-שלושה צעדים. בניגוד לתופעות הבינמדינתיות של האינטרנט, דווקא בעברית יש לנו יתרון ענק: כל עוד המטריד הוא לא במקרה מארגנטינה אבל מטריד בעברית ניתן יהיה לקבל צו הטרדה מאיימת וניתן יהיה לפנות לערכאות משפטיות [ראו, לדוגמא, את בש"א 185147/03 ליבני אנת נ' ברק נעמה ואח']

ישראבלוג, לדוגמא, הוא אתר הבלוגים המוביל בישראל. חלק ניכר מהבלוגים שנכתבים בישראבלוג, כמו גם בתפוז נכתבים כשהמחבר שומר על אלמוניותו היחסית [עפרי אילני, "אמא עופי לי מהבלוג", 'מאזינה ברקע', "אנונימיות או הזדהות", אבינועם בן-זאב, "היש הפומבי שלה פוצע לו את האינטימיות"]; אולם, הדרך לטפל בבעיות של הטרדה, אפילו אם הן בבלוגים, אינה בהכרח דרך משפטית. הטרדה במרחב הוירטואלי לא שונה מהטרדה במרחב הרגיל והיא נוצרת מאותן סיבות ועשויה לגרום לאותם נזקים; לא משנה אם שולחים לאדם מיילים מאיימים, מפיצים קללות בפורום של הכתה שלו, בפורום הסגור של המסלול באוניברסיטה, או שסתם כותבים לו על הגב בשיעור – זו אותה בריונות [גל מור על מחקר שנערך על בריונות ברשת].

הדרך הטובה ביותר לנהוג נגד אותה בריונות היא כמו שאתם מסבירים לילדים שלכם איך להתמודד עם בריון בכיתה [יריב חבוט, "כנסו כנסו בו!"]. הפתרונות המשפטיים לא יעזרו לילד בסכנה אלא במקרה הטוב, פתרון משפטי יגרום לכך שנפגע יהיה זכאי לקבל איזשהו צו שאיתו הוא יוכל, אולי, לקבל את סיוע רשויות החוק להגן על עצמו. הצו הזה יהיה טוב ויפה על הנייר, אבל לא יעזור כאשר המבנה האינהרנטי של הרשת מוביל לאנונימיות: וזו נקודה חשובה שצריך להבין.

כל אחד יכול באינטרנט להיות דמות פיקטיבית ויכול להמציא לעצמו זהות [שרון גפן, "On The Internet, no one knows you're not a god"], . יש לכך יתרונות ויש גם חסרונות. בני אדם נותנים יותר ויותר פרטים אמיתיים ברשתות חברתיות ומוותרים על האנונימיות לטובת הנוחות [גל מור, "מתפשטים בקפה", ליאור הנר, "עצור! הזדהה", מעיין כהן, "לגלוש זה כמו לשבת בשירותים מזכוכית", ריקי כהן, "להתראות אנונימיות, שלום קידום עצמי"] . ב-Facebook מוחקים פרופילים שלא מכילים שמות אמיתיים ותמונות אמיתיות או שמיועדים לקדם מטרות מסחריות [גדי שמשון, "הסליחה משאול פרחים, בנותיו וכל גורמי השיווק של דפי זהב", עידו קינן, "מבזק: פייסבוק סגרו את הפרופיל של שאול ופרחיו", שרון גפן, "הגן נעול ואני בחוץ"] . אולם, פרופיל פיקטיבי יכול להפתח תחת כל שם; אותו פרופיל יכול להיות מאוד פעיל ברשת החברתית ומחוצה לה ולצור מוניטין, יכול להראות תמונות "שלו" שהופצו באינטרט, אותו פרופיל יכול "להתחיל" עם בחורה, לפתות אותה, לקחת הביתה ולאנוס אותה. כשהבחורה תתלונן, היא תתלונן על אותו שם פיקטיבי שמעולם לא היה קיים, והמשטרה תמצא את עצמה במבוי סתום.

[בהערת אגב, לפני זמן מה אישה הציעה את לגברים במכרז באינטרנט לקיים עמה יחסי מין, ולאחר שנכנסה להריון ככל הנראה מאחד מהם, ביקשה מבית המשפט לחשוף את פרטי הגולשים שזכו במכרז, כיוון שזו לא ידעה את זהותם, Dave Graham, "Internet Sex auction sparks paternity row"]

מיכאל בירנהק מציג תפיסה מעניינת של פרטיות ומגדיר את הפרטיות כשליטה של אדם בפרטים המופיעים עליו [מיכאל בירנהק, "שליטה והסכמה - הבסיס העיוני של הזכות לפרטיות"]; המאמר המרתק של בירנהק טוען, בקצרה כי כל עוד לאדם יש שליטה על המידע שהוא מפיץ ושאנשים אחרים יפיצו עליו, נשמרת זכותו לפרטיות. כשמישהו אחר חושף פרטים על אותו אדם מבלי שהוא יסכים, אז פרטיותו נפגעת.

"ההצדקות – ובמיוחד אלה שבמעגל הראשון, שבמרכזו האדם – מסבירות באופן החזק ביותר את ההגדרה בדבר הפרטיות כשליטה. הפרטיות כשליטה היא ציר משותף לכל מעגלי ההצדקות. השליטה שונה מאדם לאדם ומהקשר להקשר. תחום השליטה של המרחב האוטונומי ועוצמתו אינם נתונו אובייקטיבי שיש לגלותו, אלא תוצר של קביעה נורמטיבית: מה אנו רוצים שהמתחם הזה יקיף." (שם, עמ' 73)

לדוגמא, אם פלונית מגלה כי מכר מחו"ל איתר את כל פרטיה, לרבות מספר הטלפון שלה כיוון שפרטיה פורסמו באתר של מכללה בה היא מלמדת, לאחר שפרטיה הושארו שם ללא הסכמתה וידיעתה, אזי פרטיותה נפגעה. זו לא ביקשה לחשוף את הפרטים שם ולא שלטה במידע. אולם, הפרת הפרטיות משנית בלבד; הבעיה האמיתית היא לא שאותו מכר מצא את הפרטים, אלא שמרגע שהפרטים הופיעו – גם אם ימחקו, לא ייעלמו הם מהרשת. מרגע שמידע 'דלף' לרשת, הוא לא ניתן להסרה כמעט.מישהו יכול לקחת אותו, לעבד אותו, לשמור אותו במחשב שלו.

אולם יש לזכור כי סיוע לנפגעים באמצעות אתרים ופורומי סיוע הוא דבר מוגבל יחסית; למנהלי אתרים ומנהלי פורומים ישנה גם חובת דיווח במקרים מסוימים. יש לזכור כי מנהל הפורום חייב בחובת סודיות כלפי הכותבים בפורום וכן אסור לו, במיוחד בפורומים סגורים הנוגעים לסוגיות מקצועיות, לספר על הנעשה באותם פורומים. אולם, במקרים מסוימים יהיה על מנהל הפורום חובה (או אחריות) להעביר את המידע לרשויות מוסמכות. אותה אחריות אמורה לקום מכח חוק לא תעמוד על דם רעך (חוק השומרוני הטוב) [וראו את דעתו של דר' מרדכי הלפרין]. החוק עצמו מכיר בפניה לרשויות המדינה (מגן דוד אדום, כיבוי אש, משטרת ישראל) כמתן סיוע, ובמקרים בהם ישנה סכנה מיידית לחיים, על מנהל הפורום עצמו לפנות, על אף הפרטיות, ולחשוף את הפרטים אצלו על מנת לסייע למי שנמצא באותה סכנת חיים. גם העברה כזו של מידע פרטי על אותו אדם (נניח, כתובת הIP שלו או כתובת המייל שלו) למשטרה צריכה להתבצע רק לאחר שנשאל אותו אדם אם הוא פנה כבר לקבלת עזרה.

יש סיכוי שיהיו לא מעט מקרים בהם פניה לרשויות המוסמכות תסתיים בכך שיתברר שזה היה לא יותר ממעשה קונדס [שרית פרקול, "מתאבדים"], לא מעט אנשים ישקרו, רובנו משקרים בצורה כלשהי בחיים. לכן צריך לשאול את המפרסם קודם כל אם פנו לרשויות: רווחה, משטרה. יש לשאול את המפרסם אם הוא לא מעוניין לפנות לגורמים שיכולים לעזור לו יותר מפורום של תמיכה. בפורומים רבים יכתבו אנשים שפרסמו תמונות עירום שלהם, הטיפול הוא לאו דווקא באמצעות המשטרה, אלא יש לערוך בקרת נזקים, כפי שמוסבר בטקסט קצר זה.

הדרך היחידה לשלוט בפרטיות, היא לחנך אנשים איזה מידע למסור ובעיקר איזה מידע לא למסור [אורי מיכאל, "40% מהילדים מוסרים פרטים ברשת", נמרוד צוק, "למי איכפת מפרטיות בפייסבוק?"]. כל אחד רשאי לבחור את המידע שהוא מוסר בעצמו. באינטרנט אין סודות; דבר ממה שמופיע במידע הדיגיטלי לא מוגן באמת במאה אחוז. אפשר להגיע לכל מקום בו מידע נשמר. לגנוב מהשרת, להוציא מה-hard disk, לגלות סיסמא, לשכנע למסור סיסמא. אנשים נותנים סיסמאות לקרובים להם. הבעיה העיקרית באבטחת מידע היא בני האדם [רוני שני, "מחקר: הסיסמה הנפוצה ביותר היא 123456"]. רובנו משתמשים באותה סיסמא לאותם אתרים: לאימייל, לחשבונות, לרשתות חברתיות, לגלובס. גם כשמשתמשים בסיסמאות שונות, רוב הסיכויים שהסיסמאות הן: שמות הילדים, תאריכי לידה, מספרי זהות ו/או טלפון. בדיוק מה שאסור [שי אדירם, "סיסמה בבקשה". רובנו עושים זאת כדי לא לשכוח את הסיסמאות. לזאת מודעים גם אנשים המיומנים בלדוג מידע.

כיום בני אדם כמעט ואינם מודעים לפרטיות שלהם; רוב בני האדם מאמינים שאם ילחשו פרט מה באמצע קהל אף אחד לא ישמע אותם ואפילו נוטים להאמין שאם יקיימו שיחת טלפון אינטימית במיוחד ברכבת או בכל מקום בישראבלוג, לדוגמא, יש קהילה של בלוגריות אנורקטיות שכותבות איך הן מקיאות בשירותים, כותבות את השם פרטי, לפעמים גם אות ראשונה של שם משפחה וגם תמונות. רוב הסיכויים שאלו עדיין יהנו מאנונימיות יחסית ולא ימצאו למרות כל הפרטים האלו. [אדר שלו, "2,000 גולשים קוראים לסגור בלוגים פרו-אנורקטיים", אילנה תמיר, "תגובה לחותמי העצומה בעד סגירת בלוגים של אנורקסיות"]

במקורותינו, אדם הולך לעיר זרה כדי שלא יגלו אותו כשהוא עושה מעשה מביש. אבל מה קורה כששני אנשים מאותה עיר הולכים לאותה עיר זרה? האם הם ידברו על זה אח"כ? לא. אותה תופעה מתרחשת באינטרנט: כשאם לילדה אנורקטית בת 16 תגלה את הבלוג שלה, זו תמיד תוכל לטעון שהבלוג נכתב בצחוק על מנת לקבל תשומת לב; השחרור של הרשת מאפשר אנונימיות והתחזות, ומי שמכיר את האדם שכותב לא בהכרח יחשוף אותו כדי לא להחשף בעצמו.

נכון שאנחנו בוחרים לחיות עם הסיכון לטובת הנוחות הקטנה כדי שנוכל לשלם חשבונות מדי פעם. אבל הבעיה מתחילה כאשר מידע דומה 'דולף' החוצה. [צ'יפ וולטר, "האם אפשר להגן על הפרטיות שלנו באמצעים טכנולוגיים?"] לרוב האנשים אין מה להסתיר, רוב האנשים לא בוגדים בבני הזוג ולא מנהלים חיים כפולים. אולם לכל אחד יש את הפרט הקטן שהוא לא היה רוצה שאחרים יידעו. מה קורה כשמתגלים פרטים לא באופן וולונטרי? נניח ופרצו למאגר המידע של קופת חולים שמכיל את כל התיק הרפואי שלנו, מתחילה השאלה איך עושים בקרת נזקים?

מסתבר שככל הנראה הטוב ביותר זה לעשות מרגע שמידע דלף לרשת הוא לא לקשר לשם, לא להראות את זה, והכי טוב – פשוט להתעלם. יותר מזה: לדאוג שיהיו 40 דברים נוספים, אוהדים יותר. כשיש כ"כ הרבה מידע באינטרנט, האפשרות שדווקא יגיעו לשם קטנה [Clickwise, "שימוש בSEO לניהול מוניטין"]

כיום מצלמות דיגיטליות הן דבר זמין להחריד; לכן עולה השאלה מה קורה כשמפרסמים תמונות של תלמיד במצב מביך ללא הסכמתו? כל עוד התמונה צולמה ברשות הרבים, פרסומה אינו עבירה על החוק [יהונתן קלינגר, "הזכות לפרטיות ציבורית: שאלות קשות ליובל שטייניץ", בש"א 7499/04 יגאל עמיר נ' ערוץ 10, א 50324/05 אמיתי יגאל נ' ynet]. הבעיה היא שתמונות מביכות רבות יכולות להמצא ברשות הרבים. אולם, גם אם צולמה תמונה בניגוד לחוק, מרגע שהיא הגיעה לאינטרנט, אין כמעט שליטה על ההמצאות שלה [שני מזרחי ואח', "צו איסור פירוורד"]. אם לדוגמא תחפשו ברשתות שיתוף הקבצים את המונח "חברה לשעבר" יצוצו לא מעט תמונות וסרטונים נקמניים [שרון רופא-אופיר, "נעצר לאחר שאיים להפיץ תמונות עירום של חברתו",קריות באינטרנט, "חשד: הפיץ תמונות עירום של חבחרתו לשעבר"].

אנשים רבים כותבים בשם בדוי וחלקם מאד לא רוצים להיחשף, בין היתר בגלל הנזקים שיגרם לשמם ולפרנסתם. ביום האחרון של שנת 2005 צצה דמות שקראה לעצמה Velvet Underground שכתבה על מאחורי הקלעים של עולם התקשורת. רבים ניסו לחשוף אותה, ניסו ולא הצליחו [גל מור, "בלוגרית חדשה מכה בעולם העיתונות", גיא ריילי, "תעלומה ושמה ולווט אנדרגראונד"]. הניסיון להתחקות אחרי אנשים שכותבים בשמות בדויים, לפגוע בפרטיות שלהם, תמיד קיים. גם גולשים שמתהדרים באנונימיות יחסית וכותבים תחת פסבדונים עשויים להחשף מתישהוא; זו התנהגות אנושית לנסות לחשוף את פרטי הכותבים תמיד. ולווט המשיכה לכתוב ולעקוץ עד שלבסוף אחרי חצי שנה, היא חשפה את עצמה, כי אף אחד לא הצליח [גל מור, "נחשפה הבלוגרית ולווט אנדרגראונד"] לא אחרי שNRG הכתירו אותה כאשת השנה באינטרנט [תומר ליכטש, "ולווט אחת ובלמים אין לה"].

היו, כמו ולווט, לא מעט דמויות שהיו מפורסמות דיו וניסו לכתוב בלוג תחת שם בדוי. בלוגר שקרא לעצמו "הרווק" וכתב בישראבלוג תיעד דייטים ומפגשים עם בחורות בצורה אובססיביות למחצה. הבלוגר תיעד עשרות מקרים בהם קיים יחסי מין עם בחורות; הוא שמר על הפרטיות, הפנים מוסתרות ומטושטשות, שלו וגם שלהן. אולם, אחת הבחורות שיצאה עמו רצתה להתנקם בו ואיימה כי אם לא יחדול לכתוב את הבלוג, זו. צילמה תמונה וחשפה את שמו. בלוג שהיה מאוד פעיל, נסגר רק בגלל החשיפה. הכיף שלו נעלם משנעלמה האנונימיות. [ראו גם: יהונתן קלינגר, "רווקים חשופים: האם ראוי להגן על אנונימיות?", דנה פאר "איומים בישראבלוג"]

תיאורטית, עם הכלי המשפטי הנכון ועילה ראויה נוכל לחשוף כל מי שנמצא ברשת; השאלה האם זה באמת עוזר לנו להשיג את מטרתנו. לדוגמה פ"ד פורן [א 7830/00 בורוכוב נ' פורן]. ארנון בורוכוב, בחור חרש שמתקשר באמצעות האינטרנט מסתובב בפורומים ומתקשר עם אנשים. פורן היה מנהל הפורום לחרשים באתר אורט; אחרי הרבה מאוד דיונים והרבה מאוד שיחות חמות, מישהו החליט לעשות לבורוכוב אאוטינג ובורוכוב החליט לתבוע את פורן כמנהל הפורום. ביהמ"ש דן בשאלה האם אאוטינג הוא פגיעה בפרטיות:

"השאלה היא, כלום יש בין הגולשים באינטרנט חובה חוזית מכללא לשמור על סודיותם של אלו שבוחרים להסתתר תחת זהות בדויה. בתיק זה שבפני לא הובאו כל ראיות לכל הסכם משתמע שכזה. סברתה של גולשת אלמונית, בדבר מה שראוי לדעתה, איננה ראיה להסכמה מכללא בין כלל הגולשים ברשת. אך לדידי, גם כענין שבמדיניות, אין זה ראוי לקבוע כל הסכמה מכללא לסודיות כאמור.
עולם האינטרנט מסמל, אולי יותר מכל, את החופש והאנרכיה. רבים מתחומיו כלל אינם בהישג ידו של המשפט – ולא כענין שבשפיטות, אלא כענין של קצב התקדמות המשפט. בלשונו של השופט חשין, בהקדמה לספרו של קוזלובסקי, על המחשב וההליך המשפטי: "צורות חיים חדשות אלו של המחשב והאינטרנט טרם ירדנו לחיקרן, טרם הגענו אל תחתית הבור… החילונו נעים במהירות האור בעוד שגופנו בכרכרה וזרימת מחשבתנו כמהירות הכרכרה". אך בה במידה, רבים מתחומיו של עולם האינטרנט פרוצים לכל עבר מבחינה מעשית – וזאת משום תכונת האנונימיות שלו. ראובן יכול לגלוש כשמעון, גבר יכול כאשה, מבוגר כילד." (שם)

פסק הדין בנושא פורן דן באחריות של מנהל פורום בלשון הרע; ביהמ"ש טען דווקא שהאינטרס הציבורי הוא לחשוף אנשים שכותבים בשמות בדויים, למנוע התחזות. למרות שבית המשפט קבע שאאוטינג אינו לשון הרע או פגיעה בפרטיות של בורוכוב, אני נוטה לחשוב שיש אפשרות אחרת לראות את פסק הדין. בקהילה הספציפית לפורן ובורוכוב אנשים נפגעו, פרסום זהותו של בורוכוב הסירה את מסכת האנונימיות שהוא ניסה להשיג, וככזה הוא איבד שליטה בזכותו.

לפסק הדין עצמו יש השלכה נוספת, והיא אחריותו של מנהל פורום לתכנים פוגעניים. אכן, חוק מסחר אלקטרוני שעתיד להחקק בישראל קובע הסדרים בנושא בצורה דומה מאוד להסדר המוצע בפסק הדין:

"המודל הראוי בעיני הוא זה המאזן בין חופש הביטוי לבין השם הטוב וכבוד האדם, זה שמביא בחשבון את המאפיינים המיוחדים של האינטרנט ואת תפקיד הספק במערכת הזו, וזה שנותן משקל גם לשיקולים מוסריים – שמי שיודע על דבר עוולה לא ישב מנגד, כשיש בידיו למנוע זאת מבלי להכנס לסיכונים מיוחדים. כן ראוי להשאיר אלמנט של גמישות ביישום המודל הזה, כדי לאפשר ליישם אותו גם על התפתחויות חדשות בתחום האינטרנט – והרי כאן קצב החדשנות הוא כמהירות האור.
לכן הייתי סבור, כי ראוי לחייב את ספק שירותי האינטרנט בגין פרסום פוגע שנעשה ע"י צד ג' במסגרת אותם שירותים שנותן הספק – רק אם וכאשר הצד הנפגע מתלונן על כך בפני הספק ודורש במפורש את הסרת הפרסום הפוגע ; ורק אם הפרסום אכן פוגע ואסור על-פניו ; ורק כאשר יש לספק יכולת למנוע זאת באופן סביר.
זהו מבחן משולש ומצטבר – של ידיעה בפועל, ושל ודאות הפגיעה, ושל אפשרות מניעתה."

עניין זה מאוד חשוב, לנושא כתיבת תגובות פוגעניות בבלוג ובפורומים. נניח מישהו כתב תגובה המשמיצה פלוני בבלוג של אלמוני. הדבר הראשון שצריך לעשות לפנות לאלמוני ולבקש ממנו למחוק התגובה הפוגעת. אם החבר לא מחק את התגובה ולא העביר לי את הפרטים של הכותב, הוא ישא באחריות.

פגיעה בפרטיות, אולם, אינה הדרך היחידה להטריד ברשת. ישנה עוולה נוספת, הקרויה הטרדה מאיימת. הטרדה מאיימת, בניגוד לסתם הטרדה, מצאה את ביטויה חוק חדש יחסית, חוק מניעת הטרדה מאיימת, ומאפשרת לכל מי שנפגע ומרגיש איום לשלוות חייו, לפרטיותו, לחירותו ולגופו לפנות לבית המשפט ולקבל צו שיאסור על הצד השני להטריד. החוק אמנם נועד להגן במקרים של בעלים מכים וסוגיות של סכסוכי שכנים שגובלים באלימות, אך גם באינטרנט הוא מצא ביטוי.

אפריים הלפרין הוא אדם שכעס על שימושה של רוני אלוני-סדובניק בסמל המדינה במסמכים של עמותה שהקימה כדי לקדם חינוך חילוני. אלוני-סדובניק מתנגדת להכללת מוסדות תורניים במפעל ההזנה בשם עמותתה, "נציבות קבילות ילדים ונוער". הלפרין הרגיש מאוד פגוע ופנה לרשם העמותות בבקשה לחקור את העמותה. רשם העמותות מסר להלפרין כי אין לו מקום לחקירה, אבל הותיר אותו חופשי לפעול בדרכים אחרות. הלפרין כתב תגובה לטור של סדובניק. התגובה נחזית להיות בשם ילד מסכן מבית"ר עילית שלא מקבל אוכל בגלל בג"צ מפעל ההזנה [בג"צ 8133/05 עיריית בית"ר עילית נ' שרת החינוך והתרבות] שקבע כי על מנת להכנס לתחומי מפעל ההזנה יש לקיים יום חינוך ארוך. סדובניק פנתה לביהמ"ש ובקשה צו שיאסור על הלפרין להטרידה ולצור עמה קשר [בש"א 170662/07 אלוני-סדובניק נ' הלפרין]. לאחר הגשת הבקשה נסגר אתר האינטרנט של סדובניק והדיון הפך לתיאורטי למחצה. למרות זאת, לא נתנו לסדובניק צו להרחקת הלפרין מהאינטרנט אלא נפסק כי אסור להלפרין להטריד את סדובניק באמצעי כלשהוא ואין עליו להכנס לאתר האינטרנט שלה.

צו הטרדה מאיימת הוא פתרון קל לשימוש על ידי האזרח ואינו דורש, בדרך כלל, שכירת עורך דין. כל שנדרש הוא למלא טופס קצר שניתן להשיג בבתי המשפט או להוריד לבד מהאינטרנט, ולאחר הגשת הבקשה בית המשפט דן מיידית ובודק אם להוציא צו. אם בית המשפט השתכנע, הוא נותן בו במקום צו שאוסר על הטרדה, צו שמחייב מרחק כלשהו בין המתלוננת למטריד ואפילו לאסור על המטריד להחזיק נשק.החוק נועד להגן על מתלוננים במקרים של אלימות במשפחה וסכסוכים בין שכנים; החשוב הוא שלא מדובר בדיון פלילי, אולם הפרת הצו גוררת סנקציה של מעצר.

אולם, הטרדה מאיימת יכולה להיות גם אם השכן שלך יושב בכניסה לבית עם פטיש וסתם מזמזם; לכן, כשמדובר על הטרדה מאיימת באינטרנט, המצב שונה מעט.

אם נחזור לבעייתיות בפסק הדין בנושא פורן, אזי בורוכוב, המתלונן, היה יכול לפנות לבית המשפט לבקש צו שיאסור על הטרדתו בפורום ולבקש מפלונים לעשות כן (כמו בבש"א 185147/03 ליבני אנת נ' ברק נעמה ואח'). בורכוב היה יכול לעשות זאת גם במקרה אחר בו תבע גולש [בש"א 64981/04 בורוכוב נ' נוימן] על השוואה בינו לבין דמות קומית אחרת, היה יכול לבקש צו למניעת ההטרדה (שעוצר את הבעיה) ולא לפנות לסעד כספי (שלא פותר את הבעיה, אלא רק ממתיק את הנזק).

מהטרדה מאיימת להטרדה באמצעי תקשורת: הטרדה באמצעי תקשורת היא שימוש במתקן בזק בצורה שיש בה להטריד את האזרח. מדובר בעבירה פלילית המעוגנת בחוק התקשורת; פסק הדין המנחה הוא רע"פ 10462/03 הראר נ' מדינת ישראל. הלינור הראר שלחה מספר פקסים מטרידים אשר מאיימים על מקבלם, וכן ביצעה מספר שיחות טלפון שהיה בהן כדי להטריד. כב' השופט אליקים רובינשטיין סקר את ההלכות המקבילות ואת פרשנות הסעיף בצורה מבריקה וקבע כי ההטרדה באמצעי תקשורת מורכבת משני נדבכים, התוכן המטריד והאופי המטריד של ההתקשרות יחדיו קובעים את מהות ההטרדה. לא עברה חצי שנה מהרשעתה של הראר, וזו פנתה לבית המשפט לתביעות קטנות כנגד חברת פלא-פון; לדבריה, משלוח בלתי פוסק של הודעות זבל בSMS היה בו כדי להטריד אותה. בית המשפט פסק, בדרך של פשרה, פסק בית המשפט לתביעות קטנות בתל-אביב לטובתה [תק 8235/05 הראר נ' פלאפון תקשורת)]. כלומר, כאשר תוכן ההודעה עצמו מאיים, אז העבירה של איומים יכולה לקום לכשעצמה; אולם כאשר אין אלא שליחה חוזרת של מסרים אלקטרוניים, או התנשפות בטלפון, אז העבירה של "הטרדה באמצעי תקשורת" יכולה לקום בעצמה ללא כל תוכן במסר. לדוגמא, התנשפויות בטלפון או שיחת טלפון באמצע הלילה עשויים להחשב כהטרדה, כמו גם משלוח מסר אלקטרוני שאומר "אני יודע מה עשית בקיץ האחרון".

לגבי הטרדה של קטינים: חשוב להבין שרק חלק קטן מאוד מההטרדות המיניות שקטינים חווים אכן מתקיים ברשת [אהוד קינן, "דיון: מדוע לא תופסים פדופילים ברשת", אהוד קינן, "מעצר הפדופילים: האם האינטרנט כל כך מסוכן?"] ומתוך 4,600 תיקים על עבירות מין בקטינים, רק כ-29 היו קשורים לביצוע באינטרנט. כלומר, אפילו שרוב עבירות המין לא מדווחות, ההטרדה המינית באינטרנט, יש להבין, היא תופעה שולית יחסית. הפתרון הטוב ביותר הוא לחנך את הילדים לא למסור פרטים אישיים.

עוד דרך לטפל בביטויים פוגעניים היא באמצעות דיני לשון הרע. חוק איסור לשון הרע מטיל סנקציה כספית על פרסום דבר שעשוי להשפיל אדם בעיני הבריות או לעשותו מטרה לבוז או לעג מצדם (סעיף 1 לחוק). אכן, בית משפט רשאי גם לאסור על המשך פרסום לשון הרע וכן לחייב פרסום הכחשה, אך זה אינו רשאי לחייב את הנתבע לפרסם התנצלות [ולפסיקה, שלדעתי שגויה בעקבות חיוב של נתבעים לפרסם 'התנצלות', ראו את א' 3148/03 גולן נ' גולדשטיין ואח'] אולם, גם על מנת להשיג את הסעד הכספי הקבוע בחוק איסור לשון הרע, יש למצוא את זהות הגולש. כיוון שרוב הגולשים מצויים במצב של אנונימיות יחסית (אם לא כותבים תחת כינוי מלא), ישנו הליך "חשיפת פרטי גולשים" שנקבע במספר פסקי דין [הלכת יעקב סבו (הפ 541/97 סבו נ' ידיעות אינטרנט) והלכת רמי מור (בר"ע 850/06 מור נ' ידיעות אינטרנט]

אם נסתכל על פסק הדין בנושא סבו, אזי דובר על חבר מועצה בקריית אונו שראה עצמו מועמד לראשות העיר; סבו גלש בפורום קריית אונו באתר ynet. באותו פורום כתב גם גולש תחת הכינוי צחי200 והאשים את סבו בחריגות בניה, תוך שהוא קורא לסבו לבוא ולענות לטענות נגדו אולם סבו לא עשה כן אלא בחר בדרך המשפטית. סבו פנה לבית המשפט וביקש לקבל את פרטי הגולש מאתר ynet. בית המשפט דחה את בקשתו של סבו לאחר שביצע איזון חוקתי בין זכותו של צחי200 לאנונימיות לבין זכותו של סבו לשם טוב. הקביעה היתה כי כל עוד הביטוי אינו פלילי בצורה מובהקת, אין זכות לחשיפת פרטי הגולש.

כך אמרה כב' השופטת מיכל אגמון-גונן:

הכותב מעלה אמנם חשדות, אך במרבית המקרים (ומדובר, כזכור בשלושה או לכל היתר ארבעה פרסומים) מזכיר כי מדובר בחשדות ומעשים שבוצעו לכאורה. הכותב גם מזמין את המבקש, עו"ד סבו להגיב ולהפריך את הדברים. מה קל יותר היה מאשר להפנות את הכותב להיתר הבניה, אם היה כזה בידי עו"ד סבו לפני בניית הפרגולה. יש לציין כי עו"ד סבו, על אף שהצהיר בתצהירו (בסעיף 19) כי לא ביצע עבירות בניה, לא הצהיר ולא צירף כל ראיה לפיה היה לו היתר לבניית הפרגולה קודם שבנה אותה. יש לציין כי הכותב לא טען שעו"ד סבו ביצע עבירות בניה באופן כללי, אלא התייחס לבניית פרגולה. מה קל יותר מלהפריך טענה זו? לו כך היה מצהיר ומוכיח, היה ברור יותר כי אכן מדובר בלשון הרע.

בנוסף, כאמור, היה על המבקש לעשות ניסיון, קודם לפניה לבית המשפט, לפנות לגולש באותו פורום ולהעמידו על כוונתו להגיש נגדו תביעה ולבקש ממנו לחשוף את עצמו. יתכן וצחי200 היה אכן חושף את עצמו. עו"ד סבו לא טרח לעשות כן, על אף, שכאמור, בכל הפרסומים חוזר הגולש וקורא לעו"ד סבו להתייחס לטענותיו ולהשיב לשאלותיו, בין השאר בדבר בניית פרגולה בלתי חוקית.

באינטרנט תמיד יהיו אנשים כעוסים. לכל אדם יש את המקטרגים והמסנגרים שלו ולא משנה מה יקרה, תמיד ימצאו דברים שליליים על אדם; חשוב להבהיר שנקיטה בהליכים משפטיים עשויה רק להציף את אותם התכנים (איש לא ידע על קיומו של פורום קריית אונו, לדוגמא, לפני פסק הדין בנושא סבו). אולם, הפתרון הטוב ביותר כאשר נכתבים דברי לשון הרע ברשת הוא לנסות לבקש את ההסרה ממנהל האתר, אם זה לא הסכים (וכל עוד הדברים אינם פליליים בצורה מובהקת), ראוי להותיר תגובה במקום ולסיים את הדיון בצורה זו; הפתרון הטוב ביותר להתמודדות עם דברי שקר הוא הצפת האמת [וראו גם דעה אחרת מצד גל מור, "האחריות של קשת"].

אפקט מצנן: עד כה הסברתי את דעתי מדוע מתן צווים שיפוטיים לא יסייע תמיד לנפגע לטהר את שמו, אולם חשוב להבין כי לביטול האנונימיות מצד אחד, ולהסרת פרסומים שעשויים להיות מוגנים על ידי חופש הביטוי, יש גם משמעות אחרת [מיכאל בירנהק, "אנונימיות גורלית", יהונתן קלינגר, "המדרון החלקלק של חשיפת גולשים"]. המשמעות הנוספת היא כי אם אתרי אינטרנט יסירו תכנים רבים בנקל ישר לאחר קבלת בקשות ואיומים בתביעה בלשון הרע, אז אותו חופש ביטוי שמאפשר הן לנפגע והן לפוגע להתבטא נפגם [ראו גם יהונתן קלינגר, "תחילה ויקיפדיה תתבע"]. כלומר, נקיטת איומים בתביעת לשון הרע כאסטרטגיה לניקוי המוניטין ברשת יכולה לפגוע בחופש הביטוי וכן לפגוע במאיים כיוון שעצם האיום בתביעת לשון הרע יתפרסם גם כן.

בקשת צו למניעת חופש ביטוי של אדם מסוים או להסרת תכנים בצורה של התערבות מדינתית (ולא בקשה, ולא איום, מאותו אדם להסיר את התכנים) היא מוצא אחרון כאשר כלו כל הקיצים להסדרת הנושא וכן לא ניתן לאתר את אותו האדם על מנת להשיג פיצוי כספי.

חשוב לזכור שכל בעיה ש"מתרחשת באינטרנט" נובעת מהחיים האמיתיים. לפני ההטרדה באינטרנט יכלה להתרחש איזושהי שיחה/בעיה בביה"ס, מתיחות בין שני תלמידים. כדי לשמור על כבודם של אנשים, להגן עליהם, לשמור על הפרטיות שלהם, יש להפעיל שיקול דעת. האינטרנט אינה ייחודית: אינטרנט, טלפון, עיתון, נייר, פתק ברחוב, כולם מאפיינים של החיים האנושיים.

בע"פ 3027/90 מודיעים נ' מדינת ישראל נדונה שאלה מעניינת מאוד. מכונית עברה ברמזור אדום וצולמה על ידי מצלמה אלקטרונית. לא היתה מחלוקת שהמכונית עברה באור אדום, ולא היתה מחלוקת שהמכונית היתה בבעלות חברת מודיעים. הבעיה היתה כאשר לא היה ברור מי בן האנוש שנהג באותה מכונית. בית המשפט דן בשאלה האם ניתן להטיל אחריות פלילית על החברה שבבעלותה הרכב וקבע לבסוף:

כאשר לבעל הרכב מספר ניכר של כלי רכב, יש הנחה כי בעל הרכב יודע מיהו הנוהג וצריך לדעת לזהותו. עליו לשמור על זהות הנוהג, ואם הוא נמנע מכך, רואים אותו עצמו, כאילו נהג ברכב. אחריות זו היא אחריות פלילית-אישית-מוחלטת. היא אישית, שכן הבעלים נמצא אחראי בגין מחדליו באי-ידיעה על דבר זהותו של הנוהג ובאי-שמירת רישומים בעניין זה. אכן, הבעלים משתחרר מאחריותו דווקא כאשר בידו לזהות את הנוהג בפועל, גם אם נוהג זה הוא עובד או שלוח. האחריות אינה מבוססת – כפי שהאחריות השילוחית מבוססת – על יחס משפטי, הנראה למשפט כרלבנטי, בין הבעלים לבין מי שנוהג בפועל.

אבל כידוע לכולנו, הבלוג הזה לא מדבר בהכרח על דיני תעבורה, אלא על סוג אחר של תעבורה. אפי פוקס מציע, במסגרת ביקורת על חוק הטוקבקים של ישראל חסון ליישם את הליך תביעות ג'ון דו בישראל. תביעות ג'ון דו הן תביעות בהן הנתבע אינו מזוהה אלא עוטה מסכה, בתביעות ג'ון דו ניתן לפתוח בהליך משפטי גם כאשר הנתבע אינו ידוע, ולנהל את אותו הליך כשבסופו של ההליך יחשפו את זהותו של האלמוני.

הבעיה עם הליך כזה היא שהוא חריג לכלל ההמצאה, שקובע כי הליך משפטי מתחיל מהיום בו הנתבע קיבל בפועל את מסמכי התביעה וקיבל את הזכות להגיש את מסמכי ההגנה שלו. (וראו את החריג ברע"א 1415/04 סרביאן נ' סרביאן). עוד בעיה עם אימוץ התהליך היא מציאת כתובת הIP.

לא מעט פעמים תגובות שמכילות לשון הרע נכתבות מכתובות IP של ארגונים גדולים או גופים שמאפשרים גישה לאינטרנט ממקומות שונים. כך לדוגמא, כל סטודנט באוניבריטת ת"א יכול לכתוב תגובה בכל בלוג ולגרום לכך שצו חשיפת פרטים שינתן לפי הלכת יעקב סבו (הפ 541/97 סבו נ' ידיעות אינטרנט) או הלכת רמי מור (בר"ע 850/06 מור נ' ידיעות אינטרנט) יגיע אל אותו מוסד. והמוסד? האם הוא יכול ללכת אל הכותבים?

לא תמיד ניתן להשיג את פרטי הגולש הספציפי; ובמקרים רבים הגעה אל אותו מוסד עשויה להציב את התובע בפני שוקת שבורה שעשויה לשכנע תובעים פלונים לאמץ גישה דומה מאוד לגישה בהלכת מודיעים. גישה כזו, כמובן, עשויה להיות הרסנית כלפי שיתופיות ברשת וניהול הרשאות. עסקים רבים בהם מחוברים שלושה-ארבעה עובדים שונים יאלצו לרכוש מערכות ונתבים מתוחכמים רק כדי לנטר אחרי עובדיהם, וכתוצאה מכך להטיל עלויות על המערכת במקום בו אותן עלויות הן משמעותיות ביח לנזק המינורי שנגרם.

כדי להגיע למצב בו בלוגרים לא ימצאו את עצמם מאויימים בתביעות חדשות לבקרים וכן למנוע מצב בו בעלי שררה וגישה לאמצעים משפטיים יפעילו את אותה שררה על מנת לדכא את אלו שיוצאים נגדם, צריך להגיע להסכמה אחת, ברורה וקיימת לגבי אחריות תכנים ברשת. אותה הסכמה צריכה לצאת מנקודת הנחה שמי שמעוניין לכתוב תכנים אנונימיים ברשת תמיד ימצא את הדרך לעשות זאת.

בהרצאה שנשאתי לפני מספר שבועות הסברתי לאורחים כי למרות שהציגו אותי בתור יהונתן קלינגר מעולם לא ביקשו ממני להזדהות באמצעות תעודת זהות בכדי להעביר את ההרצאה, מעולם לא וידאו כי אני אכן אותו קלינגר נטען ומעולם לא נבדק כי אותו קלינגר הוא אכן עורך דין. באינטרנט, כולנו יודעים, מדיניות ואמינות של גולשים נבנת על סמך התנהגות ארוכת ימים. לכן, אמינות של מגיב רנדומאלי כזה או אחר אינה רלוונטית ולא יקרה שום דבר אם אותה תגובה פשוט תמחק, בהנחה שהיא נמחקה בהזדמנות הראשונה שאמרו שהיא פוגענית.

פורסם במקור בבלוג 2jk.org

"ססמא, כמו צירוף מספרים, נמצאת בתודעתו (mind) של החשוד ולכן היא עדות הנמצאת מעבר לאפשרות החקירה של חבר המושבים במשפט" (Boucher v. State, United States District Court for the District of Vermont, 2007 WL 4246473)

לפני מספר חודשים, עת דנתי בחוקתיות של חוק נתוני תקשורת, הבאתי בפני ועדת החוקה, חוק ומשפט של הכנסת מסמך המסביר מדוע מסירת נתוני תקשורת (שהם זרועו הארוכה על שיחו של אדם) מהווים חלק ממחשבותיו ועל כן מוגנים על ידי חסיון ההפללה העצמית. הועדה חלקה על דעתי ומסיבותיה בחרה לקדם את החוק כמו שהוא.

לאחרונה, כפי שפורסם בבלוג Volokh Conspiracy, בית משפט בארצות הברית נטה לקבל גישה יחסית דומה לגישתי ופסק כי אדם אינו מחויב למסור את ססמאותיו לשלטונות בעת חיפוש במחשבו שכן ססמא, כמו מחשבה, מוגנת מפני חדירה שלא כחוק לראשו של אדם.

סבסטיאן בושר חצה את הגבול בין קנדה לארצות הברית בחודש דצמבר 2006 עם מחשבו הנייד. מידע מודיעיני כלשהוא הביא את משטרת הגבולות לחשוד כי במחשבו של בושר מוחזקת תועבת קטינים, שאחזקתה והצפיה בה אסורה על פי חוק. בושר נעצר, ולאחר שהובהר לו כי זכותו לא לשתף פעולה עם הרשויות החוקרות פתח את מחשבו והזין ססמא על מנת לגשת לכונן קשיח שהכיל תועבת קטינים. לאחר שסגר את מחשבו, פג המועד בו הססמא היתה זמינה ולכשנדרשו רשויות החקירה לבחון את מחשבו לא היו מסוגלים לגשת לכונן הקשיח שהכיל את המידע.

רשויות החקירה פנו לבית המשפט, במסגרת החקירה, בכדי לחייב את בושר למסור את הססמא למחשב ולהציג בפני חבר המושבעים את התמונות שאוחסנו על המחשב (ונצפו כבר על ידי החוקרים) אולם זה טען כי זכותו למניעת הפללה עצמית חוסה על פרטים אלו ועל כן לא הסכים למסור את הססמא. בית המשפט (בערכאה נמוכה) פסק כי מסירת פרטים אלו תהיה פגיעה בזכותו להפללה עצמית ועל כן הכיר בזכותו לא למסור פרטים אלו.

חשיבותו של פסק הדין שנראה פשטני לכשעצמו היא עצומה. פסק הדין קובע, בעצם, מבלי לשים לב אולי, כי הצפנה היא זכות חוקתית ושבפועל כל מידע מוצפן יהיה חסוי תחת הגנה זו. המשמעות עשויה להיות רחבה יותר כאשר ההצפנה מגנה, לדוגמא, על כל נתוני התקשורת שלך או אפילו על כלל המידע השמור באתר אינטרנט שבחזקת אדם אחר. כל עוד לאף אדם מלבדך אין גישה לאותו המידע, המצב המשפטי הינו כי אינך מחויב למסור אותו אם זה מוגן בססמא.

מצב זה עשוי להיות הפוך, אולי, למצב בו עמד גלעד שרון כאשר נדרש לחשוף פרטים באותו מקרה ( ע"פ 1761/04 גלעד שרון נ' מדינת ישראל) בו נחשד בהונאה ובית המשפט פסק כי:

כך למשל, מקבלים לקוחות הבנקים מידע שוטף על פעולות בחשבונותיהם, דרך האינטרנט ובאמצעות שימוש בסיסמא מזהה שמאפשרת להם ולהם בלבד, נגישות מיידית אל המידע וכן את הנפקתו המיידית בצורה של מסמך. בצורה דומה, מנויים בני אדם על חשבונות דואר אלקטרוני שניתן להגיע אליהם, באמצעות סיסמא, דרך כל מחשב המחובר לאינטרנט, בכל מקום ברחבי העולם, להדפיסם ולקבל את המידע בדרך של מסמך. התפתחויות אלה מחלישות במידה רבה את הקשר בין הנגישות או הזמינות של חפץ לבין החזקתו הפיזית

הרעיון בו הגנת מידע בססמא הופך את אותו מידע לחלק מהמידע המוחזק בידך הוא לוגי מכל כיוון. השימוש בטכנולוגיה על מנת להרחיב את יריעתו של אדם הוא שימוש טבעי כמו חיפוש, אחסנה ושמירה של מידע. התפישה לפיה המידע הוא לא רק קניינו של אדם אלא גם המשך של מוחו, ומוגן מפני חדירה למחשבה, היא תפישה נכונה וצודקת יותר מכל.