רשתות דייג: שימור נתונים וה'כלי' של השב"כ – על עניין SpaceNet / עמיר כהנא

ביום 20 בספטמבר 2022 נתן בית הדין לצדק של האיחוד האירופי (להלן: בית הדין האירופי) את פסק דינו בעניין SpaceNet‏,[1] שדן בהלימתן של הוראות בחוק הטלקומוניקציה הגרמני (TKG) שמורות לספקי תקשורת לשמור מטאדאטה ללא אבחנה לתקופות מוגדרות, עם הדין האירופי. על רקע העיסוק של הפסיקה האירופית בניואנסים של שימור נתונים ועמדתה העקבית בנושא, מתחדד הצורך ברפורמה בהסדר שחל על איסוף נתוני תקשורת בישראל לתכליות של ביטחון לאומי, ומכוחו מפעיל השב"כ את ה'כלי'. 

שימור נתוני תקשורת היא פרקטיקה בה המדינה מורה לספקי שירותי תקשורת – ספקי אינטרנט, סלולר וטלפוניה – להחזיק במאגרי מידע פנימיים שלהם נתוני תקשורת על אודות הפעילות של המנויים שלהם מעבר לתקופה הנדרשת לאחזקתם לצרכים עסקיים. במקרה בו רשויות המדינה – בדרך כלל סוכנויות הביטחון ואכיפת החוק – יזדקקו לנתוני התקשורת השמורים אצל הספקים, הם יורו להם בצו להמציא אותם. בדרך זו ספקי התקשורת מעבירים לגופי הביטחון והמשטרה נתוני תקשורת רק על בסיס צורך, ובאופן מבוקר יחסית. חרף קיומה של חציצה זו של שימור נתונים בין נתוני התקשורת המצרפיים הלאומיים לבין רשויות המדינה, הפסיקה האירופית גילתה רגישות רבה ביחס למידת ההשפעה של פרקטיקה זו על זכויות יסוד של משתמשים, וזוהי אינה ההחלטה הראשונה שעוסקת בשימור נתוני תקשורת של בית הדין האירופי,[2] שכבר בשנת 2014 ביטל את דירקטיבת שימור הנתונים.[3]

פסק הדין בעניין SpaceNet לא קבע מסמרות במישרין בנוגע לדין הגרמני, אלא ביחס לדירקטיבת הפרטיות האלקטרונית של האיחוד האירופי.[4] לפי הדירקטיבה, עיבוד נתוני תעבורה של תקשורת (traffic data) ונתוני מיקום (location data) מותנה בהתממה (אנונימיזציה) של הנתונים או בהסכמת מושאי המידע (אלא אם המידע נדרש לצרכים עסקיים של חיוב לקוחות).[5] עם זאת, סעיף 15 לדירקטיבה מתיר למדינות חברות באיחוד לאמץ חקיקה המאפשרת לצמצם את תחולתם של סעיפים אם מדובר באמצעי נחוץ, מתאים ומידתי לתכליות של ביטחון לאומי, ביטחון הציבור או אכיפת חוק, שאז מדינות חברות רשאיות לקבוע הוראות בדין המאפשרות שימור נתוני תקשורת לתקופות מוגבלות לתכליות אלו.[6] רגולטור התקשורת הגרמני הפנה לבית הדין האירופי שאילתא ביחס להלימת הוראות סעיף 113b לחוק הטלקומוניקציה הגרמני (TKG) עם הדירקטיבה.[7]

מהחלטת בית הדין האירופי עולה כי ההוראות בחוק הטלקומוניקציה הגרמני המורות לספקי תקשורת לשמור נתוני מיקום ללא אבחנה לתקופה של ארבעה שבועות, הגם שהן לתקופות קצרות מאלו שהיו בדברי חקיקה אחרים שנבחנו בעבר על ידי בית הדין,[8] אינן בהלימה עם הדין האירופי.

בית הדין קבע כי ככלל, את סעיף 15 לדירקטיבה יש לפרש כאוסר על מדינות האיחוד לקבוע חקיקה המתירה שימור כללי וחסר אבחנה של נתוני תעבורה ומיקום לשם סיכול איומים חמורים לביטחון הציבור וללחימה בפשע חמור. עם זאת, סעיף 15 אינו אוסר על חקיקה המתירה, לתכליות של ביטחון לאומי, להורות לספקי תקשורת אלקטרונית לשמור באופן כללי וחסר אבחנה נתוני תעבורה ומיקום כאשר מתקיים בפועל איום חמור לביטחון הלאומי, או כאשר הוא צפוי, ובתנאי שההחלטה להורות זאת כפופה לביקורת אפקטיבית על ידי ערכאה שיפוטית או גוף מנהלי עצמאי שהחלטותיו מחייבות, ושתקופת השימור לא עולה על מה שנחוץ. כמו כן, בית המשפט קבע כי תחת סעיף 15 מתאפשר שימור נתוני זיהוי באופן חסר אבחנה לתכליות של ביטחון לאומי ומניעת פשע חמור.  שימור חסר אבחנה של כתובת IP לתכליות אלו מוגבל בזמן, ואילו שימור ממוקד (targeted) של נתוני תעבורה ומיקום מותר לתקופה מוגבלת בזמן.[9]

נתוני תקשורת, או מטאדאטה, הם נתונים על אודות התקשורת – הצדדים לה, הזמנים בהם התקיימה, המיקום הגאוגרפי של מכשירי הקצה שנטלו בה חלק, מזהים טכניים שלהם וכל נתון אחר שאינו התוכן של התקשורת עצמה. הגם שמסורתית, נתוני תקשורת נתפסים ככאלו הפוגעים פחות בפרטיות בהשוואה לנתוני התוכן, הרי שבעשורים האחרונים מתגלה שהם מקור מידע מודיעני ערכי ממעלה ראשונה, שפוטנציאל הפגיעה בפרטיות שבצידו הוא רב.[10]

בית המשפט הישראלי מעולם לא נדרש לסוגיית שימור הנתונים, והוראות מפורשת בעניין זה אינן קיימות בחקיקה הישראלית. הדין שותק ביחס לשימור נתוני תקשורת לתכליות של אכיפת חוק,[11] והסדר כזה לא נדרש לתכליות ביטחון לאומי, וזאת בשל 'הכלי'.

'הכלי', הכינוי שנתנה התקשורת למאגר המטאדאטה שצובר שירות הביטחון הכללי מזה כשני עשורים,  נחשף לציבור בכתבה עיתונאית[12] ימים ספורים לאחר שממשלת ישראל החלה להסתייע בו לאיכון נשאים של וירוס הקורונה ושל מי שבא איתם במגע קרוב.[13] מכוח סעיף 11 לחוק השב"כ רשאי ראש הממשלה "לקבוע בכללים [חשאיים][14] כי סוגי מידע המצויים במאגרי מידע של ספק מורשה [למתן שירותי בזק],[15] שיפורטו בכללים, דרושים לשירות לצורך מילוי תפקידיו לפי חוק זה, וכי על בעל הרישיון להעביר מידע מסוגים אלה לידי השירות".[16] ואכן, בעלי רישיון בזק מעבירים מידע זה לידי השב"כ לכל הפחות מאז חקיקת החוק.[17]

המידע המועבר לידי השב"כ הוא "לרבות נתוני תקשורת, ולמעט תוכן שיחה כמשמעו בחוק האזנת סתר."[18] זוהי ההגדרה המרחיבה ביותר של מטאדאטה שניתן להעלות על הדעת. תוכניות דומות לאיסוף מטאדאטה בעולם מוגבלות לאיסוף סוגים מוגדרים של מטאדאטה. לדוגמא, 'תוכנית 215' של הסוכנות האמריקנית לביטחון לאומי, שנחשפה בשנת 2013 על ידי אדוארד סנודן,[19] מוגבלת לאיסוף נתוני תעבורה בלבד (CDR).[20]

הארכיטקטורה של מעקב המונים לתכליות של ביטחון לאומי בישראל, אם כן, כלל לא מחייבת שימור נתונים על ידי בעלי רישיון בזק, מאחר שנתונים אלו עוברים לידי השב"כ תוך ימים ספורים (אם לא פחות מכך) או בזמן אמת. השב"כ פורש את רשת הדייג שלו על כל נתוני התקשורת בישראל, ככל הנראה מתוך גישה לפיה מוטב לשמור על כמה שיותר שחת על מנת שביום פקודה, יימצאו בה המחטים. ואולם, כפי שאנחנו רואים בעניין SpaceNet, מכוח הדין האירופי מתחייבת ארכיטקטורה שונה,  תחתיה לא רק שגישת סוכנויות הביטחון ואכיפת החוק לנתוני תקשורת אצל ספקים אינה חסרת אבחנה וגורפת, אלא שהיא נעשית על בסיס צו ממוקד. לא זו אף זו – הדין האירופי מניח שניתן מבצעית לצמצם את שימור הנתונים מראש בצורה ממוקדת יחסית, וששימור הנתונים יכול להיות לתקופה מוגבלת. 

תחת סעיף 11 הרזה לחוק השב"כ, שהועבר 'מתחת למכ"מ' בין קריאה שנייה ושלישית,[21] התאפשר לשירות הביטחון הכללי לאסוף באין מפריע את נתוני התקשורת שעברו בעורקיהם של ספקי התקשורת הגדולים בישראל – היסטוריית גלישה, היסטוריית שיחות, מיקומים ושעות פעילות – כל אלה נשמרים ללא מגבלת זמן וללא פיקוח חיצוני.[22]

הגם שברמת ההלכה האירופית, ההחלטה בעניין SpaceNet אינה הופכת סדרי עולם אלא מפתחת ומהדקת מסורת פסיקה קיימת ביחס לשימור נתונים, היא מהווה תזכורת עונתית להבדל מהותי בין הגישה האירופית לגישה הישראלית לאיסוף נתוני תקשורת – שבשל היותה גורפת וחסרת אבחנה, אפשרה במהלך הגלים הראשונים של מגפת הקורונה להשתמש ב'כלי' לתכליות החורגות ממטרותיו הסטטוטוריות (ובדיעבד, נוכח השגיאות באיכוני ה'כלי', אפשר שגם אופרטיבית הוא לא היה מתאים לתכליות חורגות אלו מלכתחילה).[23]

להבדיל מההגדרה חובקת-הכל של חוק השב"כ ל'מידע', ההנחיות של בית הדין האירופי לצדק לשימור נתוני תקשורת מדקדקות בניואנסים של שימור מטאדאטה מסוגים שונים: נתוני תעבורה ותקשורת, כתובת IP ונתוני זיהוי. כמו כן, נדגיש כי גם במקום בו הדין האירופי מאפשר שימור גורף של נתוני תקשורת, תחת הלכת SpaceNet, יש לעשות זאת בכפוף לתנאים המצטברים הבאים:(1) איום ממשי ומהותי על הביטחון הלאומי, (2) לתקופת זמן מוגבלת (על בסיס צורך), (3) ובכפוף לביקורת שיפוטית או מנהלית של גוף עצמאי.

אין חולק שאיסוף גורף וחסר אבחנה של נתוני תקשורת פוגע בפרטיות ובזכויות בנות שלה פגיעה שעוצמתה לא פחותה מזו של האזנות סתר.[24] מאגר היסטורי זה של נתוני תקשורת פיתה ומפתה רשויות אחרות במדינה לבקש גישה אליו, ועד השימוש בו לתכליות של איכון נשאי קורונה – כך לפחות כפי שפורסם – השב"כ עמד בפרץ.[25] ואולם, כפי שהודגם בסבב ה'אומיקרון' האחרון, השימוש ב'כלי' לתכליות החורגות מתכליות של ביטחון לאומי הצטרף לארגז הכלים של מקבלי המדיניות,[26] וגם השירות עצמו עשה בו שימוש שנוי במחלוקת על מנת לשלוח סמסים מאיימים לאזרחים ותושבים ערבים בקשר עם מהומות במסגד אל אקצא.[27]

הגם שהנסיבות הישראליות ותמונת האיומים על הביטחון הלאומי בישראל שונים מאלו שבאירופה או בגרמניה גופא, יש מקום לרפורמה בדין הישראלי, כך שיוכנסו בקרות סטטוטוריות מתאימות על השימוש בכלי – למשל, הגבלת תקופת שימור הנתונים במאגר השב"כ עצמו. יתר על כן, נדרש להבטיח כי בדומה לדין האירופי תהא ביקורת אפקטיבית של גוף עצמאי, מקצועי וייעודי על הפרקטיקות הסיגינטיות של ה'כלי': נציב סיגינט לפי המודל הבריטי של נציב סמכויות החקירה (IPCO),[28] שלו סמכות מעין שיפוטית לאישור צווים אקס אנטה וסמכויות פיקוח וביקורת אקס פוסט.[29]

נוכח העתירה של האגודה לזכויות אזרח נגד מתווה השימוש ב'כלי',[30] יש לקוות שחשיפת קיומו של ה'כלי' עם פרוץ הגל הראשון של מגיפת הקורונה בחודש מרץ 2020 תוביל בדיעבד – בדומה לחשיפות של סנודן[31] – לרפורמה שתקרב את הדין החל על איסוף נתוני תקשורת בישראל לתכליות ביטחוניות לדין המשווה, כפי שהוא בא לידי ביטוי זה עתה בפסק הדין בעניין SpaceNet.


עמיר כהנא הוא חוקר במרכז לערכים ולמוסדות דמוקרטיים שבמכון הישראלי לדמוקרטיה ועמית מחקר במרכז פדרמן לחקר הסייבר באוניברסיטה העברית, התוכנית לסייבר ומשפט.

אזכור מוצע: עמיר כהנא "רשתות דייג: שימור נתונים וה'כלי' של השב"כ – על עניין SpaceNet‏" ICON-S-IL Blog‏ (22.11.2022).


[1]  Joined Cases C‑793/19 and C‑794/19 Bundesrepublik Deutschland v. SpaceNet AG (Sept. 20, 2022)  (להלן: עניין SpaceNet).

[2]  ראו, למשל, Joined Cases C‑293/12 and C‑594/12, Digital Rights Ireland v. Minister for Communications, Marine and Natural Resources 2014 E.C.R. I-238; Joined Cases C-203/15 and C-698/15, Tele2 Sverige AB v. Post- och telestyrelsen (21.12.2016); Case C-623/17, Privacy International v. Secretary of State for Foreign and Commonwealth Affairs (Oct. 10, 2020); Joined Cases C-511/18, C-512/18 and C-520/18, La Quadrature du Net v. Premier Ministre (6.10.2020).

[3]  ראו עניין Digital Rights Ireland, שם.

[4]  Directive 2002/58/EC of 12 July 2002 on the Processing of Personal Data and the Protection of Privacy in the Electronic Communications Sector, as Amended by Council Directive 2006/24/EC and Council Directive 2009/136/EC, 2002 O.J. (L 201) 37 (להלן: דירקטיבת הפרטיות האלקטרונית).

[5]  ס' 6 ו-9 לדירקטיבת הפרטיות האלקטרונית.

[6]  ס' 15 לדירקטיבת הפרטיות האלקטרונית.

[7]  ראו בעניין זה עמיר כהנא ויובל שני רגולציה של מעקב מקוון בדין הישראלי ובדין המשווה 202–207 (2019) (להלן: כהנא ושני רגולציה).

[8] ראו עניין La Quadrature du Net ועניין Privacy International, לעיל ה"ש 2. כמו כן, ראו עמיר כהנא "המטאטא יאה לנו – 'הכלי' של השב"כ והחלטת הנאותות האירופיתאתר משפט ועסקים (29.3.2021).

[9]  עניין SpaceNet, לעיל ה"ש 1, בפס' 132.

[10]  בדו"ח וועדת המודיעין והביטחון הפרלמנטרית הבריטית (ISC) מחודש מרץ 2015, צוין כי סוכנות התקשורת הממשלתית (GCHQ) סבורה כי במסגרת החומר המופק מאיסוף חסר אבחנה (bulk collection), הנתונים הנלווים לנתוני התוכן, כלומר ה-metadata, הינם בעלי ערך משמעותי יותר מנתוני התוכן עצמם. Intelligence and Security Committee of Parliament, Privacy and Security: A Modern And Transparent Legal Framework, 2015, HC-1075 (UK); European Commission For Democracy Through Law, Report On The Democratic Oversight Of Signals Intelligence Agencies, Para. 48 (15.12.2015); Parliamentary Joint Committee on Intelligence and Security, Review of the Mandatory Data Retention Regime, submission 29 by the Law Council of Australia, Par. 71 (18.7.2019).

[11]  ראו כהנא ושני רגולציה, לעיל ה"ש 7, בעמ' 255–256.

[12]  רונן ברגמן ועידו שברצטוך "'הכלי', מאגר המידע הסודי של השב"כ, אוסף נתונים על כל אזרחי מדינת ישראל ויודע: איפה הייתם, עם מי דיברתם, ומתי עשיתם את זה" ידיעות אחרונות (25.3.2020) .

[13]  תקנות שעת חירום (הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש), התש"ף-2020.

[14]  ס' 22(א) לחוק שירות הביטחון הכללי, התשס"ב-2002 (להלן: חוק השב"כ).

[15]  ראו ס' 11(א) לחוק השב"כ, ס' 1 לחוק התקשורת (בזק ושידורים), התשמ"ב-1982.

[16]  ס' 11(ב) לחוק השב"כ.

[17]  על הנספחים הסודיים המסדירים העברת נתוני תקשורת לשב"כ, ראו כהנא ושני רגולציה, לעיל ה"ש 7, בעמ' 53. כן ראו ס' 13 לחוק התקשורת (בזק ושידורים).

[18] ס' 11(א) לחוק השב"כ.

[19]  Glenn Greenwald & Ewen MacAskill, Boundless Informant: the NSA's secret tool to track global surveillance data, The Guardian (11.6.2013).

[20]  50 U.S.C. § 1861(k)(3) (2018). ראו גם עמיר כהנא ויובל שני פיקוח על מעקב מקוון בישראל 13, 15 ה"ש 16 (2020) (להלן: כהנא ושני פיקוח).

[21]  אבי דיכטר, דברים שנשא בכנס בנושא עשור לחוק השב"כ, "לימודי משפטים: כנס בנושא עשור לחוק השב"כ" יוטיוב (18:45) (28.3.2012). בדיון בועדה המשותפת לחוק השב"כ, נציגי השירות י' המליצו שלא להעביר את הנוסח המוצע של הסעיף להערות של לשכת עורכי הדין וארגוני זכויות אדם, מחשש לחשיפת יכולות. "אנחנו פה על גבול של החשאי ורצוי לשמור את הדברים בסוד…" פרוטוקול מס' 2 של ישיבת הועדה המשותפת לועדת החוץ והביטחון ולוועדת החוק, חוק ומשפט לחוק השב"כ, הכנסת ה-15, 59 (30.12.2001). דברים דומים נאמרו גם בישיבה העוקבת. יו"ר הועדה דוד מגן ציין כי על מנת "לא לעורר דובים מתרדמתם", הסעיף לא יישלח לגורמים מחוץ לוועדה. ראו פרוטוקול מס' 3 של ישיבת הועדה המשותפת לועדת החוץ והביטחון ולוועדת החוקה, חוק ומשפט לחוק השב"כ, הכנסת ה-15, 28 (3.1.2002).

[22]  Amir Cahane, Israel’s SIGINT Oversight Ecosystem: COVID-19 Secret Location Tracking as a Test Case, 19 U.N.H. L. Rev. 45 (2021).

[23]  בג"ץ 6732/20 האגודה לזכויות האזרח בישראל נ' הכנסת, פסק הדין של השופט עמית (אר"ש 1.3.2021).

[24]  Daragh Murray & Pete Fussey, Bulk Surveillance in the Digital Age: Rethinking the Human Rights Law Approach to Bulk Monitoring of Communications Data, 52 Isr. L. Rev.  31 (2019).

[25]  ברגמן ושברצטוך, לעיל ה"ש 12; ראו גם מבקר המדינה דו"ח ביקורת על פרשת "מסמך הרפז" 24–25 (2012).

[26]  בג"ץ 8196/21 האגודה לזכויות האזרח בישראל נ' הממשלה (אר"ש 2.12.2021). כמו כן, כבר במהלך משחק המלחמה 'אומגה' שניהלה הממשלה בחודש נובמבר 2021, בו תירגלה הממשלה תרחיש של התפרצות וריאנט דמיוני ואלים במיוחד של נגיף הקורונה, עלה השימוש ב'כלי' השב"כ במתווה הפעלה מצומצם. פרוטוקול ישיבה 51 של ועדת החוץ והביטחון, הכנסת ה-24, 23 (30.11.2021).

[27]  בג"ץ 5312/22 האגודה לזכויות האזרח בישראל נ' שירות הביטחון הכללי (עתירה מיום 8.8.2022).

[28]  על המודל הבריטי ראו כהנא ושני פיקוח, לעיל ה"ש 20, בעמ' 120–137.

[29] ראו גם עמיר כהנא "'אני, האח הגדול, יודע מה עשית בקיץ האחרון': על פסק הדין בעניין Big Brother Watch v. UK‏" ‏ICON-S-IL Blog‏‏ (25.7.2021). על המודל המוצע ראו בהרחבה אצל כהנא ושני פיקוח, לעיל ה"ש 20, בעמ' 248–258.

[30]  בג"ץ 3659/22 האגודה לזכויות האזרח בישראל נ' ראש שירות הביטחון הכללי (עתירה מיום 25.5.2022).

[31]  עמיר כהנא "הרגע הסנודני (המוחמץ) של ישראל? בעקבות הגילויים האחרונים על איסוף מטאדאטה על ידי השב"כ" אתר משפט ועסקים (13.4.2020).

להשאיר תגובה

היכנס באמצעות אחת השיטות האלה כדי לפרסם את התגובה שלך:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s

בלוג בוורדפרס.קום. ערכת עיצוב: Baskerville 2 של Anders Noren.

למעלה ↑

%d בלוגרים אהבו את זה: