חריגה מהרשאה: על ההרשעה לחדירה לחומר מחשב.

בניגוד לשאלות מתמטיות ופיסיקליות שיכולות להשאר ללא תשובה מאות שנים עד שאדם עם תושיה ועבודה קשה יפתור, את הבעיות והשאלות שיוצר המשפט, בדרך כלל, פותרים מהר יחסית. [ואסביר,] כאשר מחוקקים חוק, הוא בדרך כלל בא לענות על צורך משפטי כלשהוא מהציבור. לדוגמא, חוק הספאם (תיקון 40 לחוק התקשורת) בא למלא חסר שהיה במצב המשפטי, ושינה את המצב. הוא נבחן מהר מאוד, במאות תיקים בבתי משפט נמוכים (וכמה במחוזי), ומהר מאוד בתי המשפט פתרו את כל השאלות שנותרו פתוחות על ידי המחוקק, כמו כיצד נותנים "הסכמה" לשליחת ספאם (נניח ת"ק 19652-07-11 אסף לוטן נ' אחד פלוס אחד דילים ורכישות קבוצתיות בע"מ).

אבל, חוק המחשבים שנחקק ב1995 הותיר שאלה אחת פתוחה במשך 18 שנים שלא קיבלה התייחסות בפסיקה הישראלית. סעיף 4 לחוק אוסר על חדירה למחשב "שלא כדין"; השאלה מהי כניסה "שלא כדין" קיבלה הרבה דיונים שהביאו לאי-ודאות משפטיות ועשרות חוות דעת של עורכי דין, במיוחד במקרה של Exceeding Authorization (חריגה מסמכות); מהם המקרים האלה? דמיינו מצב שבו עובד במשרד פרסום מקבל ססמא לחשבון הפייסבוק הארגוני. יום אחד, אותו עובד מפוטר, ולאחר פיטוריו הוא מתחבר לחשבון הפייסבוק הארגוני כדי לפרסם סטטוס של "המעביד שלי לא שילם לי את המשכורת האחרונה". האם אותו אדם ביצע "חדירה לחומר מחשב"? זו שאלה מסקרנת.

השאלה מסקרנת כי לא מדובר בהאקר שניסה לעקוף אמצעי אבטחה (הגם שבמקרים כאלה יש חריגים, פ 3047/03 מזרחי נ' מדינת ישראל), או כאשר מדובר באדם שקיבל ססמא מחבר ועלה על בעיות אבטחה במערכות של צד שלישי (פ 9497/08 מדינת ישראל נ' הלוי), אלא על אדם שקיבל מהמעסיק שלו שם משתמש וססמא, ולאחר שהמעסיק אמר לו "אתה לא עובד אצלי יותר" השתמש בשם המשתמש והססמא.

כלומר, בפועל, המעסיק שפיטר את העובד היה צריך, ביחד עם פיטורי העובד, לשלול את ההרשאות של העובד מהמחשב. אחרת, עולה השאלה האם הוא הסכים להמשיך לתת לעובד להתחבר (נניח, אם מדובר על חשבון מייל אישי של העובד במקום העבודה). לכן, מסקרן ששאלה כל כך פשוטה, וכל כך ייחודית, לא קיבלה התייחסות בפסיקה הישראלית ב18 השנים שחלפו מאז חוק המחשבים (עד השבוע).

השבוע, בית משפט השלום בירושלים (מפי השופטת מרים חנה לומפ), פסק בנושא הזה (תפ 15473-11-10 מדינת ישראל נ' ניר דורון בן שושן). במקרה הנדון, העובד קיבל הרשאות גישה לרשת, ולאחר סיום עבודתו, התחבר למחשבים של לקוחות המעביד שלו, ומחק או שינה מספר קבצים. בית המשפט, לראשונה, בעצם שואל את השאלה האם מדובר בהתנהגות פלילית, ומשיב בחיוב. לשיטתי, יש בעיתיות קטנה בהחלטה (הגם שהיא ככל הנראה מוצדקת, בנסיבות המקרה).

הסכנה היא השלכות הרוחב של הפסיקה; שמסיטים את חובת הזהירות ואבטחת המידע מהמעסיק לעובד. הבעייתיות נוגעת למקרים הקיצוניים יותר, בהם העובד חודר למידע פרטי שלו עצמו. כלומר, לצורך העניין, עובד שהמעסיק ימשיך להחזיק לו תיבת דואר בארגון, ולא יסגור אותה לאחר סיום עבודתו, וירצה להתחבר אליה, מסתכן בעבירה פלילית על פי חוק המחשבים.

ארון שוורץ, לדוגמא, היה אקטיביסט רשת שהתאבד לאחרונה. הסיבה להתאבדותו? בין היתר, היתה הרדיפה שלו על ידי רשויות אכיפת החוק על כך שהואשם בעבירה דומה: שוורץ התחבר למערכת מחשב והפר את תנאי השימוש שלה. מערכת המחשב היתה מאגר של מאמרים אקדמיים, ששוורץ רצה לשחרר לחופשי מתוך מאגרים. האם זו עוולה אזרחית? יכול להיות שכן. האם שוורץ צריך להיות מואשם בעבירה פלילית? לא, שכן להפרת זכויות יוצרים, לכשעצמה, כשהיא לא מבוצעת בצורה מסחרית, לא אמורה להיות מימד פלילי.

ההשלכות על המקרה שלנו, דווקא הן, יכולות להאיר על מקרים דומים, ולסכן אנשים שרוצים לבצע פעולות מותרות. לדוגמא, האם תנאי השימוש של אתר רשות המסים, אם יאסרו שימוש בזחלנים, יגרמו לכך שמי שיעתיק את החומר (שמותר לו לקבל) באמצעות זחלן, יועמד לדין פלילי?

2 תגובות ל-“חריגה מהרשאה: על ההרשעה לחדירה לחומר מחשב.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *