תקנות הסייבר לשעת חירום היו צריכות לעבור חקיקה
תקנות הסייבר החדשות מעניקות למערך הלאומי סמכויות חסרות תקדים - בלי חקיקה, בלי מגבלות ובלי פיקוח פרלמנטרי. מה שנולד כצעד חירום עלול להפוך לנורמה מסוכנת
כנסת ישראל. תמונה: dreamstime
ביוני האחרון אושרו תקנות לשעת חירום שמעניקות סמכויות נרחבות למערך הסייבר הלאומי. על פניו זהו מהלך הכרחי להגנת התשתיות הקריטיות של מדינת ישראל, אלא שמאחורי השם הממלכתי "הגנת סייבר" מסתתר מסמך משפטי שמדלג בקלילות מעל עקרונות יסוד של דמוקרטיה, ממשל תקין והגנה על פרטיות.
האם ישראל זקוקה לחוק סייבר? ודאי שכן. האם יש איום ממשי על תשתיות דיגיטליות במדינה? גם כאן התשובה חיובית. אבל הדרך שנבחרה להסדרת הנושא – באמצעות תקנות חירום, מחוץ לתהליך חקיקה מסודר – מעוררת דאגה לא רק משום שמדובר בעקיפה של הכנסת, אלא בעיקר בגלל התוכן: סמכויות נרחבות שמוענקות לגוף מודיעיני-ממשלתי, כמעט ללא מגבלות וללא פיקוח אפקטיבי.
הסמכות – בידי פקיד במערך
התקנות קובעות שכל גוף שמוגדר כ"נותן שירות דיגיטלי חיוני" – כמו חברות חשמל, מים, סלולר, בנקים או ספקיות אינטרנט ואפילו ספקיות ציוד – חייב לדווח למערך הסייבר הלאומי על כל "אירוע חריג" ולבצע כל הנחיה שיקבל. אפילו אם מדובר בפעולה שפוגעת בזמינות השירות, בחשיפת מידע או בשיתוק מערכות.
הסמכות כלפי הגופים האזרחיים כולה מרוכזת בידיו של פקיד במערך, שפועל מתוקף התקנות עצמן – אין צורך באישור שיפוטי, אין חובת יידוע הציבור, אין שקיפות ואין בקרה בזמן אמת. בית המשפט כן יכול להתערב, אבל רק במקרים מוגבלים ונדירים, ולא בשיקול הדעת המבצעי עצמו.
וזה לא הכול: למערך הסייבר ניתנה גם האפשרות לפרסם פומבית את זהות הגופים שלא עמדו בדרישותיו – כולל שמות, תאריכים, ולעיתים אף פרטי תקיפה או חומרים שהוגדרו "נגועים". מדובר באמצעי חריג שעלול לפגוע בשמו הטוב של ארגון או גוף, לעיתים עוד בטרם הסתיים בירור מקצועי או משפטי.
אין בלמים ואין איזונים
אחת הבעיות המרכזיות בתקנות היא ההיעדר המוחלט של התייחסות לפרטיות. אין אזכור לשמירה על מידע אישי, לא נקבעו כללים לחשיפת פרטים רגישים ואין כל מנגנון שמאזן בין צורכי ביטחון לבין זכויות אזרח בסיסיות. למעשה, המערך מקבל סמכות להיכנס, לדרוש, לנתח ולהכתיב, אבל לא נדרש להסביר כיצד יגן על המידע שהוא אוסף, מה הגבול לפעולתו או מי מפקח עליו בשמנו.
נראה כי המסמך שנכתב לא מאזן בין זכויות. הוא מאמץ דוקטרינה ביטחונית, אולי אפילו צבאית, ומשתיל אותה במציאות אזרחית רגישה. את מקומם של רגולטורים כמו הרשות להגנת הפרטיות תופסים פקידים במערך, שאינם מחויבים למסגרות של משפט מנהלי, זכויות אדם או חופש מידע.
רק במקרים חריגים?
הטענה הרשמית של המערך היא שמדובר בסמכויות שייעשה בהן שימוש "רק במקרים חריגים". אבל אם השימוש בהן נדיר כל כך, מדוע הן נחקקו בתקנות חירום? ואם השימוש בהן ייעשה בפועל, מדוע לא לעגן את הכול בחקיקה מסודרת, תחת פיקוח הכנסת?
הרי צריך לומר את האמת: אנחנו כבר לא בגל ראשון של מלחמת הסייבר, שליווה את מלחמת "חרבות ברזל". עברו כמעט שנתיים מאז תחילת המלחמה והאיומים הדיגיטליים לא צפויים להיעלם. מדובר כבר במציאות מתמשכת, כמעט שגרתית, ולכן אין שום הצדקה להשתמש בכלי חירום. תקנות חירום נועדו למצבים חריגים וקיצוניים שאין להם מענה חקיקתי מידי, ולא כתחליף לחוק או כאמצעי לעקוף את הקושי הפוליטי בהעברת חקיקה רגילה.
חקיקה היא נשמת אפה של מדינה דמוקרטית, ולא נכון להתייחס אליה כמטרד. אם הממשלה סבורה שיש צורך בסמכויות מסוג זה – שתביא חוק, תעמיד אותו לדיון פומבי ותאפשר לבקר, לתקן, להתנגד. כי אחרת, לאט ובשקט, תקנות החירום יהפכו לנורמה, סמכויות יינתנו בלי פיקוח והמשמעות היא מדינה שמגנה על עצמה – אבל שוכחת את מי שהיא נועדה להגן עליו: האזרח.
עו"ד רמי תמם הוא שותף במשרד פטמן ושות' וראש תכנית MBA בסייבר בקריה האקדמית אונו
