רע"פ 8464/14 מדינת ישראל נ' עזרא

פרטיות וסייבר פשעי מחשב
מאת‏ עו"ד טל קפלן

שותף וחבר בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

אולי יעניין אותך גם

זמן קריאה: 6 דקות
שמור ב"תכנים שלי"
עיון במסמך
(פסק-דין, ביהמ"ש העליון, השופטים רובינשטיין, מלצר ומזוז): בקשות רשות ערעור על פסק-דינו של ביהמ"ש המחוזי בי-ם [ע"פ 30907-03-14], שקיבל חלקית את ערעור המשיב וזיכה אותו מעבירה של חדירה לחומר מחשב, בה הורשע על-ידי ביהמ"ש השלום בירושלים. במוקד הפרשה עומדת פרשנותן הראויה של עבירות מחשב. לפי האישום, המשיב פרסם הודעות באתרים המיועדים להאקרים, אשר בעקבותיהן נשלחו אליו פרטיהם של כרטיסי חיוב וכן של חשבונות בנק ישראליים. המשיב, בין היתר, עשה שימוש בפרטים אלה לצורך העברת כספים מחשבונה של אחת המתלוננות. ביהמ"ש השלום הרשיע את המשיב גם בעבירות של רישום מאגר מידע ושימוש בו ובעבירה של חדירה לחומר מחשב כדי לעבור עבירה אחרת (לפי ס' 5 לחוק המחשבים). ביהמ"ש המחוזי דחה את ערעור המדינה וקיבל חלקית את ערעור המשיב, תוך שקבע שרק חדירה "לקרביו של המחשב" מקימה את יסודות העבירה של חדירה לחומר מחשב כדי לעבור עבירה אחרת. קרי, חדירה ל"שפת המחשב" שאינה קריאה על-ידי בני אדם. המשיב זוכה מעבירה זו, אך העונש נותר על כנו. מכאן בקשות רשות הערעור. נפסק - 

השופט א' רובינשטיין - 
  • המשפט רודף אחר ההתקדמות הטכנולוגית, ואינו משיג. בפנינו חוק מהמאה הקודמת (1995). עברו רק 20 שנה אך בתחום זה הן כמעט נצח. חוק זה עודנו חל על תחום אבטחת המידע, שנדמה כי עוברת עליו מהפכה מתמדת, חדשות לבקרים. מחשבים מהווים חלק בלתי נפרד ממרקם החיים האנושי המודרני. כל שחלק ניכר יותר מפעילות חיינו מתנהל באמצעות מחשב, כך יש לראות את החדירה אליו ביתר חומרה. אין מדובר ב"ריאקציה" המבקשת לבלום את מהפכת המחשוב. מהפכה זו לא תוכל לצעוד קדימה ללא הגנה משפטית הולמת. 
  • עסקינן בעבירה הקבועה בסעיף 4 לחוק המחשבים. המחוקק בחר בתיאור הפעולה האסורה באמצעות שימוש במונח הקשור לעולם המושגים הגשמי - "חדירה". לכך יתרונות וחסרונות. מחד, קל לקבל מושג כללי לגבי הנורמה המוגנת בחוק, אך מנגד ההבנה לוקה בחסר. אלא הן אבני הבנין שעה שיש להעמיד פרשנות ראויה לעבירה. 
  • מדובר במעין "עבירה נגזרת". קרי, המחוקק מבקש להפליל את ההתנהגות הלא רצויה עוד בטרם התגבשותה המלאה. מדובר בעבירה מסוג Mala Prohibita, האוסרת על התנהגויות "שלא טמון בהם פגם מוסרי אינהרנטי האמור להיות נהיר לכל אדם", אלא נועדה למנוע התנהגות לא מוסרית עתידית. עבירות הניתנות לביצוע באמצעות מחשב נעות במנעד שבקצהו האחד דברים של מה בכך, ובקצהו השני שיתוק תשתיות המדינה באופן המהווה סכנה אסטרטגית ממשית.
  • יש לקבל את הדעה הרווחת בקרב המלומדים, לפיה יש לפרש את המונח "חדירה" פרשנות מרחיבה. פרשנות נאמנה לתכלית החוק מחייבת הגדרה כללית ל"חדירה", כך שכל מידע "הנכנס" למחשב - בין שנוצר על-ידי מחשב אחר ובין שנוצר כתוצאה מפעילות המשתמש במחשב - מקים את הדרישה ההתנהגותית בעבירה. באשר לפרשנות המונח "שלא כדין", דומה כי הפרשנות הראויה למונח היא שימוש במחשב בהיעדר הסכמת בעליו. 
  • עקיפת מכשול טכנולוגי בהחלט עשויה להיות בעלת משמעות לעניין קיומה של הסכמה לשימוש במחשב. התגברות על מכשול טכנולוגי חמורה יותר מחדירה "פשוטה". המסקנה המתבקשת היא החמרת הדין במקרה הראשון ולא מתן חסינות גורפת במקרה השני. קשה להלום את הצעת המלומדים להפליל רק את מי שעקף מכשול טכנולוגי. בית ללא מנעול אינו הפקר וכך הדין גם במחשב.
  • מובן כי במקרים שבהם נעשה הדבר באופן תמים ללא כוונה פלילית, כפי שיתכן שיארע בסביבת העבודה, לא ייכללו בגדר האמור, בראש ובראשונה כיוון שבעל המחשב ש"נחדר" לא יראה זאת כחדירה שלא כדין ולא יתלונן. ביהמ"ש ער לכך שהפרשנות המוצעת כוללת בגדרה גם מעשים של מה בכך, אך זה טבען של עבירות האוסרות התנהגות שגרתית בנסיבות מסוימות.
  • פוטנציאל הנזק העצום הכרוך בעבירות מחשב מחייב אותנו לדבוק בפרשנות המרחיבה ולתור אחר דרכים לצמצום הבעייתיות הכרוכה בה. זאת ניתן לעשות באמצעות שימוש בשכל הישר, לרבות בסייג זוטי דברים המעוגן בסעיף 34יז לחוק העונשין. חזקה על גורמי מערך התביעה שידעו להבחין בין עיקר לתפל; אם חלילה ייכשלו בכך - ישתמשו בתי המשפט באמת המידה שלהם וישפטו צדק.
  • המשיב זוכה בביהמ"ש המחוזי מן העבירה, תוך שנקבע כי לא חדר לשפת קריאת מחשב - "קרביו של המחשב", אלא עשה שימוש "חיצוני" בלבד שאינו מקים את יסודות העבירה. דעת השופט שונה. יסוד החדירה מתקבל בעצם קבלת מידע במחשב. אין הבחנה לעניין זה אם הגיע המידע ממחשב נפרד או מאדם המשתמש במחשב הנחדר. המשיב קיים את יסוד החדירה כשהזין את פרטי חשבון הבנק של המתלוננת, וודאי כשהורה למחשב להעביר כספים מחשבון זה.
  • משמעותן של פעולה אלה היא העברת מידע מעזרא לקוד הבינארי, המהווה שפת קריאת מחשב. מעשיו של עזרא נעשו "שלא כדין", שכן המתלוננת לא הסכימה להעברת כספים מחשבונה. חדירתו של עזרא חמורה במיוחד, שכן נעשתה תוך עקיפת מכשול טכנולוגי - בדמות דרישת פרטי חשבון וסיסמה, ולשם קיומה של עבירה אחרת - גניבה. מדובר במקרה "קל" שאינו מאתגר את פרשנות החוק. יש להרשיע את עזרא בעבירה של חדירה לחומר מחשב כדי לעבור עבירה אחרת.
  • באשר לעבירה של רישום מאגר מידע ושימוש בו - דומה כי חוק הגנת הפרטיות לא נועד מעיקרא לטיפול במצבים דוגמת זה, וניסיון להחילו "בכוח" על הסיטואציה אינו עולה בקנה אחד עם יסודות דיני העונשין והוא מאולץ. כך למשל, ביחס לסעיף 8(ב) לחוק, הרי עזרא השתמש בנתונים שברשותו בדיוק לשם המטרה שלשמה נאספו - גניבת כספים. יש בכך כדי להמחיש את הדיסוננס בין תכלית העבירה למעשיו של עזרא. האם יכול היה כל עיקר לרשום את הנתונים שאסף כמאגר מידע? התשובה כך נראה - ברורה (ראו סעיף 10(א)(1) לחוק): מאגרי מידע "פליליים" לא יירשמו וממילא לא יפוקחו על-ידי הרשם.
  • האם מדובר במאגר מידע נוכח החריג בסעיף 7 לחוק הגנת הפרטיות? הכניסה לחריג בהגדרת "מאגר מידע" מותנית בעמידה בשני תנאים מצטברים - "אישי" ו"שאינו למטרות עסק". אין חולק כי עזרא החזיק בנתונים לשימושו האישי והצדדים חלוקים האם עשה זאת "למטרת עסק". דרך כלל, כשהמחוקק משתמש במונח "עסק", כוונתו לפעילות עסקית בעלת אופי קבוע ומחזורי. ספק גדול אם פעילותו של עזרא, שהשתמש בנתונים שבידו פעמים בודדות לצורך גניבות מזדמנות, נכנסת להגדרה זו, הגם שמטרתה היתה עשיית רווחים. יש לזכותו את עזרא מעבירה של רישום מאגר מידע ושימוש בו.
השופט מ' מזוז - 
  • שותף לתוצאה אליה הגיע השופט רובינשטיין ולעיקר נימוקיו. אין מקום לקבל את הפרשנות הצרה לפיה העבירה של חדירה לחומר מחשב שלא כדין מוגבלת רק למקרים של חדירה ל"שפת המכונה" של המחשב. תכליתו של החוק בהגנה על ערכים חברתיים ואין נפקא מינה באשר לאמצעי הטכני בו נעשית הפגיעה בערכים אלה. אין היגיון להגביל את עבירת החדירה למחשב רק למקרים של חדירה לחומר מחשב המובע בשפת מכונה, להבדיל מביטויה של שפה זו בשפת ממשק המשתמש באמצעות שפת תוכנה זו או אחרת.
  • השופט מזוז אינו סבור כי העבירה היא מסוג של Mala Prohibita. חדירה למחשב הזולת כמוה כחדירה ללא רשות (התפרצות) לבית מגורים של הזולת. כל בר דעת מבין כי כניסה שלא ברשות לנכס הזולת אינה מותרת, גם במנותק מהתכלית (העבריינית או הקונדסית) לשמה מבוצעת החדירה.
  • ההפללה של עצם החדירה לחומר מחשב, ללא דרישת הוכחת תכלית עבריינית, נובעת הן מהקושי להוכיח את מטרת החדירה מקום שטרם בוצעה העבירה הנלווית, והן מהנזק הפוטנציאלי העצום העלול להיגרם באמצעות חדירה למחשב. אלה מחייבים ומצדיקים הפללה של עצם החדירה הבלתי מורשית לחומר מחשב, בנפרד מהעבירות של חדירה לחומר מחשב לשם ביצוע עבירה אחרת, נוספת. העבירה מתבצעת כאשר החדירה היא "שלא כדין", ללא הרשאה של בעל המחשב או ללא סמכות חוקית.
  • לאופן החדירה לחומר מחשב ולאמצעים שננקטו כדי לאפשר זאת יש משקל וחשיבות הן לגבי עצם ההחלטה אם לפתוח בחקירה או להעמיד לדין, כמו גם כנסיבה לחומרה או לקולה בגזירת העונש, אך אין אלה רלבנטיים לעצם פליליות המעשה. אין מקום לחשש בדבר "תחולת יתר" של הנורמה הפלילית. לחשש זה יש מענה בשיקול הדעת המסור לרשויות, כמו גם בסייג לאחריות פלילית של "זוטי דברים".
  • השופט מזוז מסכים לתוצאה אליה הגיע השופט רובינשטיין ביחס לזיכוי מהעבירה של מאגר המידע. עם זאת, עשויים להיות מקרים של החזקת "מאגר מידע" לא חוקי שלא "לשימוש אישי", אלא לצורך מכירת שירותים לצרכנים לכאורה לגיטימיים, שייכנסו לגדר העבירה של "מנהל, מחזיק או משתמש במאגר מידע בניגוד להוראות סעיף 8" (סעיף 31א לחוק הגנת הפרטיות). כך למשל, מקום בו קובץ מידע של מרשם האוכלוסין הגיע לידיים פרטיות שלא כדין ונעשה בו שימוש למכירת שירותי מידע לצרכנים עסקיים. במקרים כאלה לא מתקיים הסייג הכפול בהגדרת "מאגר מידע".
עדכון: ביום 15.2.2016 דחתה הנשיאה מ' נאור את בקשתו של עזרא כי יתקיים דיון נוסף בפסק-דינו של בית המשפט העליון לעיל [דנ"פ 965/16 עזרא נ' מדינת ישראל].