הסדרת העיסוק בהצפנה בחקיקת-משנה אינה ראויה. על ישראל להסדיר את השימוש באמצעי הצפנה בחקיקה ראשית - זוהי אחת ממסקנותיו העיקריות של דו"ח שענינו "לוחמה בטרור בזירת המידע", שחיברו תלמידי הסדנה הרב-תחומית במשפט וטכנולוגיה בפקולטה למשפטים באוניברסיטת חיפה. הסדנה נערכה בהנחייתם של ד"ר ניבה אלקין-קורן וד"ר מיכאל בירנהק.
הצפנה היא כלי עיקרי באבטחת מידע באינטרנט. בעולם המקוון היא משמשת למטרות אזרחיות מובהקות, כדוגמת הסתרת התקשורת בין דפדפנים לאתרי מסחר אלקטרוני ולזיהוי וחתימה אלקטרונית. עם זאת, קיים חשש מוצק שתשמש טרוריסטים להעברת מידע מוצפן על תוכניותיהם לפגיעה במדינה ובאזרחיה.
במבט ראשון, אומר הדו"ח, נראה שהמציאות הטכנולוגית ניצחה את הרגולציה: הצפנה קיימת באינטרנט והיא זמינה לכל דורש. לעתים קרובות היא זמינה בחינם. גבולות לאומיים אינם מהווים עוד מחסום של ממש לתפוצתה. האם יש עוד טעם בהסדרתה? הדו"ח סבור שכן: גם אם מוצרי הצפנה זמינים לטרוריסטים, אין בכך הצדקה להקל עליהם. בהתמודדות מול הטרור, חשוב שמערכת הביטחון תדע מהי הטכנולוגיה המצויה בידי טרוריסטים, אם בכלל. באופן זה ייקל על המדינה להיערך לסיכול הטרור. ככל שלמדינה יש "דלת אחורית" במוצרי הצפנה, קרי מפתח-על המאפשר לה לחדור מבעד להצפנה, הרי שנגישותה למידע הטרוריסטי גבוהה בהרבה. זאת ועוד - ככל שיוגבל יצרן מוצר ההצפנה במתן תמיכה טכנית, יקשה על הטרוריסטי להשתמש במוצריו.
חריגה מסמכות
עם זאת, אומר הדו"ח, שיקולי הביטחון אינם לבדם ויש לאזנם מול שיקולים אחרים, כדוגמת ההגנה על הפרטיות וחירות הדיבור.
בישראל מוסדרת ההצפנה באמצעות צווים שהוצאו מכוח חוק הפיקוח על מצרכים ושירותים, התשי"ח-1957: צו הפיקוח על מצרכים ושירותים (עיסוק באמצעי הצפנה), תשל"ד-1974 ("צו הצופן") ואכרזת הפיקוח על מצרכים ושירותים (עיסוק באמצעי הצפנה), תשל"ד-1974. חוק הפיקוח נועד לסייע לממשלה בהסדרת המצב הכלכלי במשק המדינה בשעת חירום, תוך הגנה על האזרח מפני חוסר הוגנות הבאה לידי ביטוי בשעת חירום בתופעות כדוגמת שוק שחור, ספסרות והאמרת מחירים. הצווים שעניינם הצפנה חורגים לכאורה ממטרת החוק. זהו טעם ראשון לכך שיש להסדיר את הסוגיה בחקיקה ראשית נפרדת, שלא תחסה בצל החוק הכלכלי. טעם נוסף לכך הוא הפרדת רשויות וקיום ביקורת של ממש על פעולות הרשות המבצעת באמצעות ועדה מתאימה של הכנסת.
מערכת הביטחון בישראל ממונה על הסדרת העיסוק באמצעי הצפנה מכוח צו הצופן. בשנים האחרונות פעלה לאיטה לליברליזציה של ההסדרה - הן באמצעות תיקון הצו בשנת 1998 והן באמצעות הכרזות על מדיניות ליברלית אף יותר מזו שבצו המתוקן. דו"ח הסדנה ללוחמה בטרור בזירת המידע קורא להמשך מגמת הליברליזציה ולעיצוב המסגרת החוקית ברוח זו.
בין השיקולים המנחים לקביעת המדיניות הנאותה מונה הדו"ח שיקולים ביטחוניים, שיקולים כלכליים, ושיקולים שמתחום זכויות האדם:
רגולציה מכל שהוא בנושא ההצפנה אינה מועילה מבחינה הכלכלית, סבורים המחברים. השוק פועל בצורה טובה יותר כשוק כלכלי בלא התערבות. סחר אלקטרוני, שהוא מכשיר כלכלי יעל ורצוי, ייפגע באופן ישיר וייאבד את יעילותו אם תטיל המדינה הגבלות רחבות בנושא הצפנה. כך גם תפגע ההגנה על הפרטיות ("הצפנה ומערכות הצפנה מהוות מעין דלתות ומנעולים בסביבה הדיגיטלית, המגנים על יותר ויותר מידע אישי, תכתובות דואר אלקטרוני, מסחר אלקטרוני ואלמנטים נוספים אשר ניתן להסיק מהם מידע הנחשב בגדר רשות הפרט"). הפגיעה בפרטיות אפשרית בשני אופנים - פגיעה ישירה המתרחשת בעת התערבות ופענוח הצפנות ("חדירה מבעד לאותן דלתות ומנעולים", כלשון הדו"ח) ופגיעה עקיפה - עצם השליטה על אמצעי ההצפנה וקיומה של דלת אחורית יוצרים הרתעה בקרב הציבורי ועלולים להוות גורם מצנן אשר ירתיע אנשים משימוש במאגרי מידע דיגטליים, שירותים מקוונים ועוד. הדו"ח ממליץ אפוא לנהוג כך -
בכל הנוגע לפגיעה ישירה - לצמצם את המטרה שלשמה מותרת הפגיעה בפרטיות לסיכול טרור בלבד ולא להשגת ראיות לאחר התרחשות האירוע, אלא אם יש חשש להישנות מעשי הטרור. במלים אחרות, לדעת מחברי הדו"ח פשיעה "רגילה" אינה מצדיקה פיצוח אמצעי הצפנה. מעבר לכך, יש לקבוע מנגנון של ביקורת שיפוטית מוקדמת, בדומה להסדר הקיים באשר להאזנות סתר: רשות שתבקש לחדור מבעד ל"דלת אחורית" באמצעי הצפנה או לפצח הצפנה תפנה לביהמ"ש לפני הביצוע ובית המשפט יוכל לשקול את הצורך במעשה מול הפגיעה הצפויה ממנו.
דלתות אחוריות
לגבי הפגיעה העקיפה - "יש להגדיר את מידת ההתערבות של המדינה בייצור ובייבוא של אמצעים טכנולוגיים, ובכך לקבוע עד כמה ניתנת לה האפשרות להשיג נגישות ל"דלתות אחוריות". ככל שההסדר הכללי בנוגע להצפנה יהיה מצומצם יותר, בהיר ומפורש יותר, תצטמצם ממילא הפגיעה העקיפה בפרטיות".
רגולציה של הצפנה עלולה לפגוע גם בחופש הביטוי וביותר ממובן אחד - ראשית, ההצפנה עצמה היא ביטוי ולכן ראויה להגנה. גישה זו מושתת על פסיקה מארצות-הברית. שנית, בהעדר יכולת הצפנה חזקה עלולים משתמשי מערכות מחשב להימנע מביטוי מחשש שפרטיות תפגע. לאור העובדה שחופש הביטוי בישראל מוכר כזכות-יסוד, מחברי הדו"ח סבורים כי ההגבלה על חופש הביטוי תבחן לאור מבחן הוודאות הקרובה לפגיעה.
ולבסוף, הסדרת הצפנה פוגעת בחופש העיסוק. כאן ממליץ הדו"ח להבחין ככל הניתן בין השימושים השונים של המוצר: "יש להכיר בקיומה של קשת מצבים, כאשר בקבצה האחד מוצרים המשמשים רק לשימושים מסחריים ואין להם שימוש ביטחוני, ובהקצה האחר מוצרים שיש להם שימושים ביטחוניים בלבד ואין להם שימושים אזרחיים". אלה האחרונים יהיו פטורים מהסדרה בכלל. כך למשל מוצרים לאימות חתימות דיגיטליות. לעומת זאת, אין קושי ברגולציה של מוצרים שייעודם בטחוני מובהק. בנוסף ממליץ הדו"ח לפטור לגמרי מוצרים, שלפי טיבם וטבעם משמשים למטרות פרטיות בלבד. כדי להשיג את המטרות הבטחוניות שביסוד ההסדרה, אפשר להגביל את הייצוא של מוצרים שהשימוש בהם קרוב יותר לקצה הבטחוני, סבורים המחברים. בעניין אחרון זה נראה שהדו"ח נתפס להסדר לא-מעשי: קשה להבחין בין השימושים השונים של אמצעי הצפנה. מוצר שתכליתו אזרחית מובהקת יכול לשמש גם למטרות אסורות. ההסדר המוצע ייצור בנקודה זו אי-ודאות.
מטרידה גם העובדה שאין בדו"ח שלילה מפורשת של החובה לקבל רישיון לשימוש באמצעי הצפנה (להבדיל מפיתוח, ייצור, ייבוא וייצוא של אמצעים כאלה) וכן התייחסותו לקיומן של "דלתות אחוריות". תעשיית הטכנולוגיה בארצות-הברית התנגדה, לדוגמה, בתקיפות לניסיון לחייבה להפקיד בידי המימשל האמריקני את המפתחות לדלתות מעין אלה.
הדו"ח בנושא "לוחמה בטרור בזירת המידע" הוא מסמך מעמיק ומרתק. בכל הנוגע להצפנה, זהו מהמסמכים המרשימים שנכתבו ופורסמו בישראל. גם אם מסקנותיו ראויות בנקודות כאלה ואחרות לביקורת, אין בכך כדי לגרוע מחשיבותו. משרד הביטחון מודיע בשנתיים האחרונות שאכן הוא יוזם את הסדרת ההצפנה בחקיקה ראשית. ראוי שהדו"ח יהיה לנגד עיניו בגבשו את ההסדר שיביא לאישור הכנסת.
דברי החקיקה הנזכרים במאמר וכן מאמרים נוספים בנושא הצפנה בדין הישראלי מצויים במדור "חתימה אלקטרונית" באתר law.co.il של כותב המדור.