אי סבירותו של צו הצופן (חלק שני)

לצד שימושיה המסורתיים, הביטחוניים, משמשת ההצפנה בתקשורת המודרנית לקידוד שיחות בטלפונים סלולאריים, לאבטחת מידע הנשלח מדפדפני אינטרנט לאתרים של מסחר אלקטרוני, להגנה על הקניין הרוחני בקבצים, לניהול רשתות וירטואליות המאחדות אתרים מרוחקים באמצעות תשתית אינטרנט, לאימות זהותם של צדדים לחוזים, להגנה על נתונים במחשבים ועוד ועוד. הלכה למעשה, אין לתאר את פעולתה של האינטרנט בלא קידוד והצפנה, ועם זאת הפיתוח, הייצור, הייצוא והשימוש באמצעי הצפנה כפוף לדין אנכרוניסטי, ההופך עשרות ומאות אלפים לעבריינים בעל כורחם ומונע שימוש חופשי באמצעי הצפנה לצרכי אבטחת מידע במערכות מחשב - הכל, מפני שניתן להשתמש בה לתכליות בלתי כשרות. הדבר דומה לאיסור על ייצור סכינים מפני שניתן לפגוע באמצעותם בזולת.

הפיקוח על אמצעי הצפנה בישראל מתבצע מכוחו של צו הפיקוח על מצרכים ושירותים (עיסוק באמצעי הצפנה), התשל"ה-1974. צו זה ידוע כצו הצופן. נלווית אליו אכרזת הפיקוח על אמצעי הצפנה מאותה שנה, שהורתה כי אמצעי הצפנה הם שירות בר פיקוח. הצו והאכרזה הוצאו מכוח חוק הפיקוח על מצרכים ושירותים, התשי"ח- 1957 והעובר על הוראותיהם מבצע איפוא ה עבירה פלילית שעונשה שלוש שנות מאסר. סמכות הפיקוח נתונה מאז שנת 1998 למנכ"ל משרד הביטחון (קודם לכן היה קצין קשר ואלקטרוניקה ראשי ממונה על הנושא), והוא הסמיך את הממונה על פיקוח הייצוא הביטחוני (מפ"י) לטפל בהליכי הרישוי של אמצעי הצפנה.

בעוד שמרבית הדינים במדינות המערב מתמקדים בייצוא אמצעי הצפנה (ראה המאמר בעניין זה מן השבוע שעבר), צו הצופן אוסר גם על פיתוחם, ייצורם, ייצואם, קנייתם ומכירתם - ואף על השימוש בהם - בלא קבלת רישיון מאת המנהל הכללי של משרד הביטחון. המנהל רשאי להוציא אחד משלושה סוגי רשיונות: רשיון כללי החל על כל סוגי השימוש באמצעי הצפנה; רשיון מוגבל העומד בתוקף למשך שנה אחת בלבד וחל רק על סוגים של עיסוק באמצעי הצפנה לאמצעי הצפנה מסוים או למדינות יעד, לפי סוג המשתמש באמצעי ההצפנה או לפי אמת מידה אחרת; ורשיון מיוחד - רשיון לעיסוק מסוים, לרבות עסקה מסוימת באמצעי הצפנה מסוים. עסקה באמצעי חופשי, הוא אמצעי שהמנהל נתן עליו מיוזמתו רשיון כללי או שפירסם כי הוא חופשי בשימוש, פטורה מחובת רישיון.

כדי שאדם יוכל לרכוש ולהשתמש כדין באמצעי הצפנה, עליו לוודא כי חל בו אחת משתי אפשרויות אלה:

  • האחת, כי ניתן רשיון למכור אותו או להעבירו לאותו אדם. זוהי אפשרות שמתקיימת בעיקר באמצעים שפותחו בישראל על ידי חברות מקומיות המצייתות באופן טבעי להוראות צו הצופן. ספק אם ניתן לקיימה באמצעי הצפנה שפותחו בחו"ל (לדוגמה, כאלה המוטמעים במערכות ההפעלה חלונות NT ו- 2000), ולבטח לא ניתן לקיימה כאשר המוכר הוא חברה זרה ומכירת האמצעי מתבצעת באמצעות האינטרנט.


  • השניה היא שהאמצעי הוכרז כאמצעי חופשי - עד כה פורסמו ברשומות שלוש רשימות של אמצעים כאלה. הן מעידות יותר מכל על פירוש דווקני ביותר של צו הצופן, שלפיו תוכנות לכיווץ קבצים מסוג ZIP הן אמצעי הצפנה (הצו מאשר את השימוש בחלק קטן ביותר מהתוכנות הללו למרות שקובץ שכווץ באחת מהן יכול להיפתח בכל אחת אחרת); דפדפני אינטרנט אף הם אמצעי הצפנה (הצו מאשר את השימוש בנפוצים שבדפדפנים אך לא בכולם), וגם טלפונים סלולאריים מדגמים מסוימים (ומה עם האחרים?). יתרה מזאת, יש יסוד סביר להניח כי אמצעי חופשי הוא אמצעי שמערכת הביטחון יכולה ויודעת כיצד לפצחו, ולפיכך השימוש בו אינו בטוח די צרכו. ולבסוף, ברור בעליל שקצב הפירסום וההכרזה על אמצעים חופשיים אינו יכול להדביק כלל ועיקר את שפע התוכנות והמכשירים שכוללים אמצעי הצפנה כחלק בלתי נפרד מהם.

התוצאה המצטברת היא שחלק ניכר מהרוכשים אמצעי הצפנה לשימושים לגיטימיים, כדוגמת אבטחת מידע, צריכים לבקש רשיון לעשות כן.

לעומתם, המבקש לעסוק באמצעי הצפנה צריך לקבל רישיון לכך עם התחלת עבודתו. זוהי מגבלה חמורה על חופש העיסוק, המעוגן בחוק יסוד. החוק מורה בין השאר כי כל רשות מרשויות השלטון חייבת לכבד את חופש העיסוק של האזרח. לנוכח העובדה שהמגבלה על פיתוח וייצור אמצעי הצפנה אינה מבחינה בין סוגים של אמצעי הצפנה, עצמתם והשימושים המיועדים בהם, יש יסוד לכאורה לתוקפה בטענה כי אינה מיועד לתכלית ראויה או שהיקפה עולה על הנדרש. אלא שהוראות בחיקוק שהיו בתוקף אלמלא חוק יסוד: חופש העיסוק, תעמודנה בתוקפן עוד למעלה משנתיים. עד אז ניתן לכאורה רק לפרשן ברוח הוראות החוק.

תהליכי הרישוי של אמצעי הצפנה שכבר פותחו בעייתיים עוד יותר. המבקש לקבל רישוי לאמצעי הצפנה צריך להמציא למפ"י גרסה עובדת של התוכנה, חומר ותיעוד נלווה לה - וגם את קבצי המקור של התוכנה! קבצי המקור חושפים בפני מערכת הביטחון את האלגוריתם שבייסוד מערכת ההצפנה, והם בבחינת סוד מסחרי ומקצועי כמוס של מפתחיו. הדעת לא מעלה שייחשף מכל סיבה אחרת. צו הצופן כשלעצמו אינו מחייב למוסרו, אלא שזוהי דרישה של הסמכות המאשרת. בהיעדר הסמכה מפורשת לדרוש את קבצי המקור, חוקיות הדרישה אינה ברורה ויש יסוד לטעון כי אינה עולה בקנה אחד עם הוראות חוק יסוד: כבוד אדם האוסרות פגיעה בקניינו של אדם. כך או אחרת, לנוכח החובה להמציא את קבצי המקור, אין פלא שחברות תוכנה ישראליות המבקשות לייצא אמצעי הצפנה לחו"ל נתקלות לעתים מזומנות בחשש כי באמצעים שפיתחו חבויה "דלת אחורית" סודית המאפשרת לרשויות הבטחון בישראל לחדור דרכם אל הארגון.

לשבחה של מערכת הבטחון ייאמר שהיא מודעת לצורך בשינוי הוראות צו הצופן. היא החלה בתהליך השינוי לפני כשנה ומחצה, עם התיקון בהוראות הצו, וממשיכה אותו בעצם הימים הללו עם פרסומה של מדיניות חדשה בנושא ייצוא אמצעי הצפנה. השינוי איטי ומתנהל עקב בצד אגודל. מדיניות הייצוא החדשה מדגישה כי אינה משנה את הוראות הצו, אך קובעת כי עקרונית יתקבל רשיון לייצא אמצעי הצפנה לגופים לא ממשלתיים בלא מגבלה על אורך מפתח ההצפנה (דהיינו על עוצמתה). דווקא מדיניות זו מעוררת תמיהה קשה: אם ניתן לייצא אמצעי הצפנה בלא מגבלה, מדוע לא ניתן להשתמש בהם לתכליות חוקיות בלא מגבלה כשלהי. אכן, זוהי מכשלה מהותית בדרכה של הליברליזציה באמצעי הצפנה בישראל - חברות בעלות אינטרסים מסחריים מקדמות אותה, וקולם של חסידי הגנת הפרטיות כמעט ואינו נשמע. התוצאה היא סתירה מהותית בין החובה המוטלת בחוק לאבטח מידע, לבין חסימת האפשרות להשתמש באמצעי האבטחה העיקרי, ההצפנה.