הצפנה ומסחר אלקטרוני - החוק בישראל

בשבוע שעבר הסברנו כי בלא הצפנה לא תתכן פעילות מסחרית מאובטחת באינטרנט, וכי ההצפנה משמשת לשתי מטרות - הסתרת מידע חסוי וזיהוי צדדים לעסקה באמצעות חתימות דיגיטליות.

ישראל נמצאת בחזית הפיתוח בתחומי הקידוד וההצפנה: חברות כדוגמת צ'ק פוינט, מחקר אלגוריתמים, אל-יראו ורבות אחרות, מפתחות מערכות אבטחה וקידוד. ביסוד המערכות הללו נמצאים צפנים. הדין הישראלי כולל הוראות רבות, המחייבות לנקוט צעדים הדרושים לאבטחת מידע או מטילות חיסיון על סוגים של מידע. הוראות מעין אלה הן מצע נוח לדיני הצפנה מודרניים ופתוחים. מפתיע אפוא לגלות שהפיתוח והשימוש בהצפנה בלא היתרים ממערכת הבטחון מהווה עדיין עבירה פלילית לפי החוק הישראלי.

בהרצאה שנשא בתחילת השנה בפני הכנס השנתי של איגוד האינטרנט הישראלי מנה עו"ד ירון להמן מחיפה למעלה ממאה הוראות חוק, המחייבות או מתירות, במפורש או במשתמע, שמירה על סודיות המידע. אלה העיקריות שבהן:

  • סעיף 7(ד) לחוק יסוד: כבוד האדם וחירותו מורה כי "אין פוגעים בסוד שיחו של אדם, בכתביו או ברשומותיו".
  • חוק הגנת הפרטיות כולל פרק שלם שענינו אבטחת הנתונים במאגרי המידע. תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), שהותקנו מכוח החוק, מחייבות, בין השאר, "נקיטת אמצעי אבטחה סבירים, בהתאם לרמת רגישות המידע, שימנעו חדירה מכוונת או מקרית למערכת אל מעבר לתחומי המידע שאושרו למשתמש".
  • כללי לשכת עורכי הדין (אתיקה מקצועית) מורים, כי "עורך דין ישמור בסוד כל דבר שיובא לידיעתו בידי לקוח או מטעמו, תוך כדי מילוי תפקידיו".

למרות קיומו של בסיס משפטי נוח להוראות ליברליות בנושא הצפנה, החוק בישראל אוסר על הפיתוח, הסחר, השימוש וההחזקה של אמצעי הצפנה ללא היתר. מקור האיסור בימים שבהן תכליתה היחידה של ההצפנה היתה צבאית. כך קובע, למשל, סעיף 2 לצו הפיקוח על מצרכים ושירותים (עיסוק באמצעי הצפנה), התשל"ה-1974: "לא יעסוק אדם באמצעי הצפנה אלא על פי רשיון מאת המנהל ובהתאם לתנאי הרשיון."

המנהל הוא מי ששר הבטחון מינה אותו לתפקיד זה (כיום, גורם מקצועי במפקדת קצין קשר ואלקטרוניקה ראשי).

ה"עיסוק" באמצעי הצפנה מוגדר בסעיף 1 לאכרזת הפיקוח על מצרכים ושירותים (עיסוק באמצעי הצפנה), התשל"ה-1974: "עיסוק בפיתוח, בייצור, בהחזקה, בשימוש, ביבוא, בהובלה, בהעברה ממקום למקום או מיד ליד, בהפצה, במכירה או ברכישה של אמצעי הצפנה, של שיטת הצפנה, של מפתח הצפנה, או של רשימה המתייחסת להצפנה, או טיפול בהם בכל דרך אחרת."

הדין מוסיף ומתייחס לייצוא אמצעי הצפנה באותו אופן שבו הוא מתייחס, למשל, למכירת טילים. אלה גם אלה "אמצעי לחימה" בעיניו שייצואם טעון היתר על פי צו הפיקוח על היצוא (ציוד לחימה וידע צבאי), התשל"ז-1977.

הוראות אלה הופכות כל אחד מגולשי האינטרנט לעבריין: הדפדפנים (תוכנות העיון המשמשות לגלישה ב- Web, הממשק הגרפי הפופולארי של הרשת) כוללים טכנולוגיות של הצפנה(SSL), שנועדו לאפשר מסירת פרטים אישיים רגישים, כדוגמת מספרי כרטיס אשראי, בבטחון יחסי. לכן, כל הקונה תקליטור או ספר בחנות מסודרת באינטרנט מבצע "שימוש" באמצעי הצפנה, הטעון כביכול היתר ממי ששר הביטחון מינה לשם כך?

במערכות השלטון בישראל הולכת ומתגבשת ההכרה בדבר הצורך בשינוי החוק. דו"ח ועדת איתן (אז ח"כ, כיום שר המדע) על ישראל בעידן התקשוב, קבע כי יש לאפשר שימוש במוצרי אבטחת מידע המכילים מנגנון הצפנה באורך מפתח של 56 סיביות (זהו אורך המפתח המותר בייצוא בארה"ב. לאחרונה פוצח מפתח בן 56 ביט ב- 39 ימי עבודה של אלפי מחשבים שפעלו במשותף באמצעות האינטרנט. ראה המאמר בשבוע שעבר). עוד קבע הדו"ח הישראלי כי יש לאפשר שימוש ויצוא חופשי של מוצרים המממשים מנגנוני הצפנה כלשהם לצורך זיהוי ואימות, בדיקת מהימנות המידע ומנגנוני אי-הכחשה. ולבסוף המליצה הוועדה להקל על מתן אישורי יצוא למוצרים המכילים מנגנוני הצפנה באורך מפתח גדול מ- 56 סיביות.

מסמך שפורסם לאחרונה באתר של ועדת האינטרנט הממשלתית, ואשר נכתב, בין השאר, על ידי יועצה המשפטי של הוועדה, עו"ד בראיין נייגן, ממליץ גם הוא להתיר באופן גורף שימוש בכל עוצמת הצפנה שהיא לצרכי זיהוי. עם זאת, הוא קובע, יש להבטיח כי לא ניתן יהיה להסב מוצרי זיהוי כאלה למוצרי הצפנת מידע.

"הצפנת המידע עצמו הוא לב העניין" קובע המסמך. "הגורמים המוסמכים צריכים לשקול את שיקולי הבטחון, מול שיקולי קיום מסחר ושימוש אמין ברשת, אל מול חרותו של האדם להגן על צנעתו. ניתן לקבוע אורך תקני למפתח הצפנה, שעבור שימוש בו, יפורסם היתר גורף. את האורך יש לעדכן מפעם לפעם. לחילופין, ניתן לפרסם תקופתית רשימת תוכנות לשימוש ביתי, שההצפנה בהן מותרת."

מכאן ואילך יש לקוות כי השינוי בדין הוא רק עניין של זמן.