חומר רקע
י"ג סיון, תשפ"ב
12
יוני
2022
לכבוד
חברי ועדת החוץ והביטחון
הנדון:
מכירת טכנולוגיהדושימושית למשטרים אוטוריטריים
ד"ר תהילה שוורץ אלטשולר, עו"ד עמיר כהנא,ד"ר רחל ארידור הרשקוביץ
1.
הקדמה:
אנו מבקשים לברך על היוזמה לקיים דיון בנושא 'מכירת נשק למשטרים דיקטטוריים.' מן
הידועות היא ששיקולים הנוגעים לניקיון הכפיים של המשטר המבקש לרכוש נשק ישראלי,
לרבות טכנולוגיה דו שימושית, היו ועודנים, בלשון המעטה, שיקולים משניים של ממשלות
ישראל לדורותיהן בבואן
לאשרעסקאות נשק
עם משטרים מפוקפקים.
אנו נבקש למקד את הדיון בייצוא של טכנולוגיה דו שימושית
למשטרים אוטוריטריים, ובסייבר
התקפי בפרט. ההצדקה המרכזית לייצוא נשק ממשי (בין אם מדובר ב'עוזי' הקלאסי, או בכיפת
1
ברזל בת זמננו)היתה לשמרקווי ייצור וכוח אדם
בתעשייה לעתות מלחמה.
להבדילמרובים או
מערכות טילים מתוחכמות, ל'סייבר התקפי' אין קווי ייצור, ושיקולי שימור התעשייה המקומית
מתאיינים. זאת בפרט, שיכולות דומות מפותחות ככל הנראה על ידי היחידות הרלוונטיות בצבא
ובשירותים החשאיים, ומיקורהחוץ שלהן מעלה שאלות שלנחיצות ואפקטיביות.
הגילויים באמצעי התקשורת בארץ ובעולם לגבי שימושים לרעה בטכנולוגיית איסוף המידע
באמצעות מערכת "פגסוס" של חברת NSO
, ממשיכים להכות גלים
גם שנה לאחר
תחקיר
2
פרוייקט פגסוס'',
שבעקבותיו מצאה את עצמה NSO
ברשימה השחורה של משרד המסחר
1
ר' למשל את דבריו של אריאל שרון "
נגזר
על ישראל לפתח מחקר צבאי וייצור צבאי... לישראל לא היתה
ברירה
אלא לחפש ולמצוא שווקים למוצריה הצבאיים", דב גולדשטיין "ראיון השבוע עם אריאל שרון, שר
הביטחון"
מעריב (
17.12.1982
)
2
פיניאס רוקרט, "הדלפת ענק חושפת את המדינות שהפכו עיתונאים למטרות מעקב -
בסיוע NSO
הישראלית," TheMarker
(
18.7.2021
)
האמריקני, לצד חברות ישראליות נוספות. NSO
איננה החברה היחידה המבקשת לעצמה נתח
מן העוגה היוקרתית של טכנולוגיות מעקב ואיסוף. מומחי משפט בינלאומי טוענים כי אנו על
סיפה של קטסטרופה גלובלית של מעקב טכנולוגי, ולמרבה הצער מדינת ישראל הופכת להיות
פניו של המשבר. זאת,
בשני מרחבים –
ראשית, מול ידידותיה של ישראל
בעולם המערבי
ובכללן האיחוד האירופי והאו''ם
, ושנית,מולתעשיית הטכנולוגיה המקומית והגלובלית.
ב
מרחב הראשון
מתברר כי
מדינת ישראל מפקחת באופן הדוק על יצוא טכנולוגיות ב
יטחוניות
אבל מתייחסת בעיקר לשיקולים צרים של יחסים עם מדינות ספציפיות, ומתעלמת מכך שמי
שמקבלים לידיהם את המערכת עושים בה שימוש לפגיעה בזכויות אדם. נדרש כרגע שידוד
מערכות:
•
התחשבות בשיקולי הגנה עלזכויות אדם בתהליכי קבלת החלטות;
•
הגברת השקיפותשלתהליך
הרישוי;
•
פישוטהרגולציה (רגולציהמסובכת היא מקור להשחתה;)
•
העברת הטיפול בטכנולוגיות דו שימושיות מאחריות משרד הביטחון לאחריות משרד
הכלכלה ושקילת שיקולים יותררחבים שלפגיעה בתעשיית ההיי טק בגלל משבריםכאלה;
•
חובות צינון על בכירי מערכת הביטחון לשעבר לפני שהם מתחילים לייצג חברות מול
משרד הביטחון;
•
יצירת מהלךקו-רגולטורישלשילוב פיקוח עם החלת עקרונותאתיקה על התעשייה.
במרחב השני מתברר כי במקום שבו לא קיימת רגולציה מדינתית או בינלאומית שמטרתה להגן
על זכויות אדם,תיכנס הרגולציה מצד ענקיות הדיגיטל -
באמצעות הגשת תביעות ענק (כמו בין
פייסבוק לNSO), סירוב להנפיק בנסדאק (כמו במקרה של חברת סלברייט,) האשמות פומביות
כמו האשמת קנדירו על ידי מייקרוסופט על כך שפרצה למערכת חלונות,)( הפסקת השקעות
(כמו
במקרה של מייקרוסופט
ואניוויז'ן) והגרוע מכל - ניתוק מהפלטפורמות
כמו שעשתה
אמזון (
AWS
)
לחלק מחשבונות NSO
. בהקשר הזה נדרשת חשיבה
האם ההגנה על זכויות
האדם נדרשת לא רק מצד עצמה אלא כאמצעי הגנה לתעשיית ההייטק, שהיא, כידוע, הקטר
הכלכלישלמדינת ישראל.
יש היגיון רב בפיקוח על יצוא בטחוני, גם טכנולוגי, אבל תכליות הפיקוח צריכות להיות בהירות;
מרחבי הפיקוח צריכים להפוך להיות מהודקים יותר ולא רחבים מידי כפי שהם היום; ומה
שייחשב כטעון פיקוח –
צריך להיות נתון לרגולציה פשוטה יותר, שקופה יותרובהירה יותר.
בנייר זה נעמוד על הנקודות המרכזיות שלדעתנו ראוי שוועדת החוץ והביטחון של הכנסת תדון
בהן כבר עכשיו, כבסיס לתיקוני חקיקה ולשינויים מוסדיים וארגוניים שיידרשו בהמשך. הנייר
מחולק לשני חלקים –
בחלק הראשון נספק רקע על הסוגיה ובחלק השני נציע
נקודות לדיון.
חלק
ראשון:
רקע
1.
מהי המסגרתהחוקית שבתוכה פועל הפיקוחעלהיצוא שלטכנולוגיותביטחוניות?
חוק הפיקוח על יצואביטחוני, 2007
תשס"ז מסדיר את הפיקוח שלמדינת ישראל על יצוא ציוד
(מוצרים ותוכנות) ביטחוני, על מתן
שירותים
בטחוניים ועל העברת
ידע
ביטחוני. חוק הפיקוח
קובע כי יצוא ביטחוני טעון רישיון מאת הרשות המוסמכת וכי כל פעולת יצוא תתבצע בהתאם
לתנאי הרישיון ."יצוא", לצורך העניין, משמעו "העברה אל מחוץ לישראל, לרבות העברה
לשטחי האחריות האזרחית הפלסטינית, וכן העברה בישראל לנציגות דיפלומטית או קונסולרית
שלמדינת חוץ."
ציוד ביטחוני, כפי שפירטנו לעיל כולל גם ציוד דו שימושי מפוקח, כלומר, ציוד שמופיע
ברשימתוסאנאר ואשר נועד לשימושביטחוני.
הרשות המוסמכת ליישום הוראות חוק הפיקוח היא מנכ"ל משרד הביטחון וראש אגף הפיקוח
על היצוא בטחוני במשרד הביטחון (אפ"י). לפני שהוקם אפ"י, בשנת 2006
, האחריות היתה
של האגף לקידום היצוא הבטחוני (סיב"ט), מה שעורר את הביקורת לגבי כך שמדובר בחתול
השומר על השמנת –
ומעדיף את האינטרס הכלכלישלהיצואעל פנימחוייבויות אחרות.
חוק הפיקוח מורה לשר הביטחון למנות ועדות מייעצות אשר ימליצו לרשות המוסמכת על מתן
רישיונות, הוא קובע את הרכב חברי הועדה לפי תפקידיהם ודורש כי יהיו מאושרים כבעלי
התאמה ב
יטחונית עלפי חוק השב"כ.
לפי החוק, חלה אחריות על מי שמבקש לייצא טכנולוגיות ב
יטחוניות לברר אם יצוא הפריט טעון
רישיון. יצוא ביטחוני בהעדר רישיון חושף את היצואן לסנקציות
פליליות: שלוש שנות מאסר או
קנס ובנסיבות מחמירות חמש שנות מאסר וקנס מוגדל. חוק הפיקוח אינו עוסק רק ביצואן
עצמו ומטיל סנקציות פליליות על נושא משרה בתאגיד שהפר את חובתו לפקח ולעשות כל
הניתן בכדי למנוע יצואביטחוניבהעדר רישיוןבידי התאגיד או בידי עובד מעובדיו.
בשנים האחרונות משרד הביטחון יצר הליך אישור מהיר למכירת כלי סייבר התקפי אשר קיצר
מאוד את משך הזמן לקבלת רישיון יצוא –
משנה לארבעה חודשים. משרד הביטחון גם צמצם
את וההגבלות על מערכות אלו, וכעת חברות סייבר התקפי יכולות לקבל פטור מקבלת רישיון
לשיווק ולמכירה של מוצרים מסוימים למדינות ספציפיות. מדיניות מקילה זו ספגה ביקורת
מהאו"ם ומארגוני זכויות אדם והגנת פרטיות בעולם, הסבורים שעל מדינת ישראל להגביל את
מתן רישיונותהיצוא לכלי סייבר התקפי שעלול להיעשות בהם שימוש לרעה לשם הפרת זכויות
אדם במדינות דיקטטוריות, כמו סעודיה, סין, סודן, מלזיה ואיחוד האמירויות.3
כמו כן, ביוני
2018
הטיל משרד האוצר האמריקאי סנקציות על שתי חברות סייבר ישראליות, Embedi
ו-
ERPScan
, עקב מעורבותן לכאורה בסיוע למתקפות סייבר שביצעה ממשלת רוסיה נגד מוסדות
אמריקנים גדולים.4
2.
מהי טכנולוגיה "דו שימושית?"
טכנולוגיות שיש להן שימושים אזרחיים אך בה בעת גם שימושים צבאיים, נקראות טכנולוגיות
דו שימושיות (
(Dual Use Technologies
.
בעשורים האחרונים השתרשה בעולם התפיסה
שיש לאסדר ולפקח על הפיתוח, ההפצה והייצוא של טכנולוגיות דו שימושיות כאשר השימוש
הצבאי בהן יכול להוות סכנהלשלום העולמי ומנוגדלכלליהמלחמה הבינלאומיים.
בשל כך בהסדר ואסנאר5
, שהוא הסדר בינלאומי משנת 1996
שמיועד להבטחת היציבות
הבינלאומית ושעוסק בפיקוח על סחר ויצוא של אמצעי לחימה קונבנציונליים למדינות סוכנות
וארגוני טרור, נכללה
הקטגוריה
של
"ציוד דו -
שימושי".
על ההסדר חתומות מדינות רבות, אבל
ישראל אינה חתומה עליו בשל אי רצונה להתחייב לפיקוח על נשק גרעיני. עם זאת, מכיוון
שקבלת תנאי ואסנאר מאפשרת הסרת חסמים בסחר באמצעים דו -
שימושיים, מדינת ישראל
מצייתת, באמצעות חקיקה פנימית
–
חוק הפיקוח על יצוא בטחוני6
, לרשימת הציוד הכלולה
בהסכם ולכן זוכה למעמד "מדינה נאמנה" (state(adherent
ביחס להסכם.
רשימת הטובין והטכנולוגיות הדו -
שימושיים מתעדכנת בהסדר ואסנאר מידי
שנה בחודש
דצמבר. לפי חוק הפיקוח על יצוא בטחוני הקובע כי
"ציוד דו-
שימושי מפוקח" הוא "ציוד דו-
3
שם;
Offering Software
משה גורלי "בלאק קיוב לא לבד";
כלכליסט (
9.6.2019
); שוקי טאוסיג
מנוולים, חובבנים ובריונים"" העין השביעית (
7.6.2019
.)
4
זיו "חברת הסייבר המסתורית"; יוסי הטוני "ישראל מקלה את ההגבלות על יצוא סייבר התקפי –
וחוטפת
ביקורת" PC
אנשים ומחשבים (
26.8.2019
.)
5 The Wassenaar Arrangement on Export Controls of Conventional Arms and Dual Use
Goods
and
Technologies,
Participating
States,
(Jan.
20,
2016),
http://www.wassenaar.org/participating-states/.
The Wassenaar Arrangement on Export Controls of Conventional Arms and Dual Use Goods
and
Technologies,
Best Practices
for
Effective
Enforcement,
(Dec.
1,
2000),
http://www.wassenaar.org/best-practices-for-effective-enforcement/.
6
חוק הפיקוח על יצוא בטחוני ,
תשס"ז 2007
.
שימושי הכלול ברשימת טובין וטכנולוגיות דו-
שימושיים שנקבעה בידי הסדר ואסנאר, כעדכונה
מזמן לזמן" –
הרשימה המעודכנת
מוחלת
אוטומטית
לתוך החוק מידי שנה.
חלקב: נקודות לדיון
1.
השיקולים שישלשקול בהליךמתן הרישיונות במסגרתחוקהפיקוח
חוק
הפיקוח על היצוא הביטחוני קובע, בפשטות, כי תכליות הפיקוח הן שמירה על הביטחון
הלאומי, יחסי החוץ של המדינה ו"אינטרסים חיוניים" אחרים של המדינה. החוק אינו מזכיר
שיקולים של השלכות הסחר בנשק סייבר התקפי על זכויות אדם במדינות אחרות. החוק אינו
עוסק גם בזכויות אחרות כגון זכויות העיסוק והקניין של היצואנים; שיקולים כלל משקיים כגון
צמצום היקף ההשקעות בתעשיית הסייבר הישראלית ופגיעה בכושר התחרות של חברות
מקומיות בשוק הגלובלי. הסיבה המרכזית לכך היא שחקיקת החוק והקמת אפ"י לא נבעו מרצון
להגן על זכויות האדם נבעו ישירות מדרישה אמריקנית בעקבות פרשת מטוס הפלקון שעסקה
ביצוא טכנולוגיותשל התעשיההאווירית לסין ויצרה משברביחסי ישראל ארצות הברית.
אכן, לאורך השנים השיקולים שנשקלים בהכרעות לגבי אישור על ייצוא טכנולוגיות בטחוניות
הם שיקולי ביטחון (שהנשק לא יגיע בטעות לחיזבאללה) ושיקולי יחסים בין לאומיים של מדינת
ישראל שבהם נכללים שיקולי מלחמות סחר (
למי אפשר למכור בלי להרגיז את האמריקנים),
שיקולי יחסי חוץ של מדינת ישראל (
למי נעניק את "פגסוס" כמתנת ידידות) ושיקולים גיאו
אסטרטגיים (לאיזו מדינה מזרח תיכונית נמכור את המערכת כדי שתשתיק מהומות ויהיה שקט
באזורנו.)
מנגד,
אחת מתכליות הפיקוח הבינלאומי
על יצוא ציוד דו-
שימושי היא מניעת זליגת הטכנולוגיה
לידיהם של משטרים אשר אינם מכבדים עקרונות בסיסיים של זכויות אדם. לכן, לתפיסת
המדינות החברות בהסדר וסאנאר מטרת הפיקוח היא לצמצם את הסיכוי שמוצרי ריגול ומעקב,
יגיעו למשטרים דיקטטוריים או סמכותניים
העלולים לעשות שימוש בכלים אלו לשם פגיעה במי
שהם תופסים כמתנגדי המשטר. יתרה
מזאת,
בשנים האחרונות יש טענות קשות כלפי ישראל
על כך שהיא שותפה בפגיעה בזכויות אדם
בשל יצוא טכנולוגיות ריגול ומעקב וכי עליה לשנות
את משטרהפיקוח שלה.
בנוסף, פעיליזכויות אדם כגון עו"דאיתי מק וארגוניםכגון אמנסטי מגישים עתירות כנגדמנכ"ל
משרד הביטחון וראשי אפ"י בשל אישורים שניתנים למכירת טכנולוגיות למדינות לא
דמוקרטיות. פעולות אלה גורמות לכך שנלקח לפעמים בחשבון השיקול של זכויות אדם, רק כדי
להימנע מן הדיון בערכאות (אף שהדיונים האלה כשלעצמם מתנהלים מאחורי דלתיים סגורות
והמדינה מציגה שם לבית המשפט חומר חסוי בלבד.)
ואולם בעתירה מן השנה שעברה
שהגישו פעילי זכויות אדם נגד משרד הביטחון ובה ביקשו לא לאשר ייצוא של מערכות לפריצת
טלפונים של חברת סלברייט לגוף שכפוף לנשיא רוסיה, קבע בג"צ
כי לא יפעיל ביקורת
שיפוטית אלא במקרים חריגים ביותר. "כבשאר העניינים של יחסי חוץ וביטחון", כתבו
השופטים אלכס שטיין, ענת ברון ודוד מינץ, "שיקול הדעת המצוי בידי רשויות המדינה הינו
7
רחב במיוחד"
.
כלומר, העובדה שבג"ץ איננו מתערב בסוגיות השיקולים והמידתיות של
החלטות בנושאים אלה, יחד עם חוסר השקיפות, מהווים תמריץ שלילי לשקול שיקולים של
זכויות אדם.
נקודה לדיון:
אי אפשר להמשיך עם מסגרת השיקולים הצרה
וחייבים לשקול שיקולי זכויות אדם. הן כי זה ראוי ונכון, והן כי
משברים כאלה פוגעים בכלל התעשיה. יש לשקול להוסיף אותם
לחקיקה עצמה ומכל מקום חובה לתת להם משקל משמעותי
בהחלטותעתידיות.
2.
סיבוכיות, דלתמסתובבתושקיפות
בפיקוחעל יצוא בטחוני
א.
רגולציה מסובכת
היא אחד המתכונים הישירים לכישלון ולהשחתה. לפי חוק הפיקוח
כדי לייצא
טכנולוגיות ביטחוניות צריך לעבור הליך של ארבעה שלבים: קבלת רשיון יצואן
בטחוני; קבלת רשיון מוצר וסיווג בטחוני למוצר; קבלת רשיון שיווק (כלומר רישיון לנהל משא
ומתן עם מדינהכלשהי לגבי המוצר); קבלת רשיון מכירה.
בנוסף, כפי שנכתב לעיל, בהקשרים של טכנולוגיות דו שימושיות מאמצת מדינת ישראל כל
שנה באופן אוטומטי רשימה המתקבלת מכוח מה שמכונה "הסכם וסאנאר", ונדרש ידע מדעי
עצום כדי להבין אותה. זוהי הסיבה שבגללה הקים אחד מיוצאי אפ"י חברה המספקת מנוע
חיפוש לרשימה של וסאנאר. נעיר כי אף מדינה מערבית אחרת –
ובכלל זה ארצות הברית
7 בג"
צ 1942/21
יעל אגמון נ. מנכל משרד הביטחון.
והאיחוד האירופי – אינה
מאמצ
ת את הרשימה באופן אוטומטי ומיידי. החשש הוא שגם במשרד
הביטחון מתקשים להסביר מה משתנה ברשימה כלשנה.
רמת סיבוכיות גבוהה יוצרת זירה שנתונה רק בידי מומחי תוכן מועטים, שכולם משמשים
בתפקידי ייצוג של לקוחות ומגשרים בינם לבין משרד הביטחון. מומחים אחרים, עיתונאים
ובוודאי הציבור הרחב,אינם מסוגלים לקחתחלק במשחק.
נקודה לדיון:
נדרשת התמקדות במה שאכן הכרחי לפקח
עליו, ונכון להניח לרשויות אחרות לעסוק במה שאין הכרח
שמשרד הביטחון יעסוק בו. מה שיישאר בתוך משרד
הביטחון צריך לעבור תהליךשל פישוט התהליך.
ב.
התופעה של "מעבר בטוח"
מגופי רגולציה בטחוניים וממערכת הביטחון בכלל, לייצוג
חברות פרטיותמול מערכת הביטחון היא תופעה מוכרתאבל בעייתית.
כאשר מי שמייצג את
היצואניות
הם בכירי מערכת הביטחון לשעבר שלהם הרגולטורים
הנוכחיים רוחשים כבוד; ואולי גם במוחם של הנוכחיים חולף בדל מחשבה שירצו לעבוד (בשכר
גבוה מאד) באחת החברות לאחר שיפרשו,
מערך כולו נמצא בבעיה. זאת, מבלי לשאול מה
קורה למערכת הביטחון עצמה בגלל ה"מעבר הבטוח" של בכיריה לייצג את חברות
הטכנולוגיה. נדגיש כי בהקשר של הפיקוח על יצוא בטחוני מעורבים, מעבר לאגף לפיקוח על
יצוא בטחוני (אפ"י), גם האגף לסיוע בטחוני (סיב"ט) שאמור לעודד תעשיות ביטחוניות; האגף
הביטחוני –
מדיני; המינהל למחקר, פיתוח אמצעי לחימה ותשתית טכנולוגית (מפא"ת;)
אגף
היועץ המשפטי למערכת הביטחון; ויחידת הממונה על הביטחון במערכת הביטחון (מלמ"ב.)
לכן, המעורבות של כל הגופים האלה מרחיבה מאד את יכולת ההשפעה של בכירים לשעבר
במערכת הביטחון ובצבא עליהם.
בשנות ה-
90
הנהירה של בכירים באוצר וברשויות רגולטוריות אל שוקי התקשורת
והתשתיות הובילה להבנה שמתרחשת תופעה של "רגולטור שבוי", ושעצם אפשרות
המעבר אל התעשייה משפיעה על תהליכי קבלת החלטות בתוך הרשויות. הייתכן שדבר
כזה מתרחש גם בתוך מערכת הביטחון, אבל אנחנו לא יודעים?
נקודה לדיון: ניקוי התופעה של "יד רוחצת יד" הוא תנאי
מוקדם לטיוב הרגולציה; יש לשקול חובות צינון על הופעה
בפני מערכת הביטחון כשמדובר ברגולטורים או בנושא
י
דרגות בכירות במיוחד בצבא ובמערכת הביטחון.
ג.
הפיקוח על הייצוא הבטחוני נעשה מאחורי מסך
של היעדר כפיפות לחוק חופש
המידע ואפילו תוך שימוש בצנזורה הצבאית. כל פניה מצד עיתונאים נענית בתשובה
לקונית שלפיה משרד הביטחון אינו מוסר פרטים אודות מדיניות הייצוא הבטחוני ובכלל זה
אינו מתייחס לרשיונות ספציפיים או לרשומים במרשם הייצוא, וזאת מטעמים ביטחוניים,
מדיניים ואסטרטגיים.
גם דיונים בבתי משפט מתבצעים בדלתיים סגורות וחומרים מוצגים
בפני השופטים תחת חיסיון בטחוני. כך, לא ניתן לדעת אילו טכנולוגיות המערכת מאשרת
למכור, ולמי; מהם השיקולים שנשקלים; מתי החברות משרתות את המדינה ומתי את
עצמן, ומי קובע זאת. גם העירוב בין עבודה עבור מערכת הביטחון וקשרי עבר איתה -
נעשה מאחורי מסך זה.
נקודה לדיון: שקיפות היא ערך מרכזי בסוגיות של רגולציה. יש לפעול להסרת מסך
ההסתרה מאחורי התעשיה של ייצוא טכנולוגיות ביטחוניות לטובת כללי סודיות
מאוזנים יותר. כללים אלה צריכים לכלול את רשימת היצואנים; רשימת נושאי
המשרה וחברי הדירקטוריונים שלהם; רשימת המוצרים שאין עליהם סיווג בטחוני;
מספר הבקשות שהוגשו ומספר רישיונות הייצוא שניתנו בחתך של בעלי רישיון
יצואן.
ברור לנו לא תהיה שקיפות מלאה בעולמות האלה, והדבר מובן ומוצדק, אבל המצב
הנוכחינוח מידי לשחקנים ורעלאינטרס הציבורי.
3.
המיקום הארגוני של פיקוחעליצוא מוצרים דו שימושיים
כשם שמטרות שונות של רגולציה עומדות לפעמים בסתירה זו לזו, כך גם הרשויות
הרגולטוריות שמיישמות אותה. יותר רשויות משמען יותר מתחים, קונפליקטים ומלחמות
טריטוריה רגולטוריות. כאמור,
בהקשר של הפיקוח על יצוא בטחוני קיימים גופים שונים בתוך
משרד הביטחון ובראשם סיב"ט ואפ"י.
בחוק הפיקוח יש חובה לכלול בוועדות נציגי משרד
החוץ ונתונה גם להם זכות וטו.
כך, למשל, בעקבות הא
ירועים של רצח העם במיאנמר בוטלו
הרישיונות ל
ייצוא לשם.
בנוסף, במשרד הכלכלה קיים אגף הפיקוח על הייצוא, המפקח על מכירת טכנולוגיות דו
שימושיות לגופים אזרחיים, מכוח פקודה מנדטורית -
מכוח פקודת המסחר עם האויב, 1939
.
כך, בעוד שמשרד הביטחון מפקח על מכירה למדינות, ועל כל דבר שיש לו היבט קצה בטחוני,
כולל מכירה לגורמי אכיפת חוק
(משטרה וכיו"ב), מפקח משרד הכלכלה על שאר המוצרים הדו
שימושיים – אלה שמיועדים למשתמשים אזרחיים.
בכל העולם המערבי הייצוא הצבאי מפוקח
על ידי רשויות ביטחון בעוד שהייצוא הדו שימושי מפוקח על ידי רשויות תעשיה ומסחר
אזרחיות, הואיל ומדובר בציוד שהומצא לכתחילה עבור
מרחב אזרחי. בזמן חקיקת חוק הפיקוח,
לא הסכים משרד הביטחון שהפיקוח יעבור לאחריות משרד הכלכלה (אז התמ"ת.)
היקף
האיסור שמטילה הפקודה הינו נרחב מאוד וכולל בפועל כל סוג של פעילות כלכלית עם אויב או
לטובתו. במשרד הכלכלה הוקם אגף הפיקוח על הייצוא אבל הוא משמש בעיקר לנקודת מעבר
לנספחים הכלכליים בין שליחות לשליחות וחסר יציבות ארגונית. לאגף הפיקוח במשרד
הכלכלה אין יכולת אכיפה (אם לא פונים אליהם לקבל רישיון הם לא יכולים לעשות כלום,)
הפרת החוק היא עבירה פלילית אבל אין כלים מנהליים והדבר יוצר כשל אכיפה. מה שמשרד
הכלכלה ניסה לעשות היה להקים ועדת כופר דרך חוק המכס למטרות פיקוח על ייצוא
שבאחריותם ואז ירדו מזה. לגוף במשרד הכלכלה אין יכולת אכיפה מספיק טובה, אבל הוא
ניסה לערב גוף נוסף –
להקים"וועדת כופר" להטלת קנסות על מי שמייצא שלא כדין, דרך חוק
המכס.
גם מערך הסייבר הלאומי הוציא בשנת 2015
צו שבו הוא רוצה לקחת לעצמו סמכויות פיקוח
עלמוצריסייבר שנוגעים לתשתיותקריטיות,מה שגרם למתחבינו לבין אפ"י.
נקודה לדיון: יש צורך בגבולות גזרה
בהירים
בין הגופים ובהעברת הפיקוח על מוצרים דו
שימושיים למשרד הכלכלה.
נדרש חוק חדש במקום פקודת המסחר עם האוייב משנת 1939
שיעביר את הפיקוח על כל
רשימת הציוד הדו שימוש
י
לאגף הפיקוח על הייצוא במשרד הכלכלה ויותיר למשרד
הביטחון לעסוק בציוד לחימה ובטילים. החוק יקבע מסגרת רחבה של שיקולים וביניהם
שיקולי זכויות אדם, מעבר לשיקולי הביטחון והחוץ; יחזק את סמכויות האכיפה של אגף
הפיקוח במשרד הכלכלה ויוסיף גם סמכויות אכיפה מנהליות; יקבע עבור התהליך כללי
שקיפות מאוזנים וברורים; יחייב הנמקה במתן או שלילת רישיונות; ויחזק את המבנה
הארגוני של אגף הפיקוח ואת התקציב שלו.
לא
רצוי
להעביר את סמכויות אפ"י בנוגע לטכנולוגיות דו שימושיות למערך הסייבר
הלאומי,
בשל ה
פטור ממחוייבות
ו
לשקיפות בהיותו גוף
בטחוני
והיעדר סמכויות רגולטוריות
אזרחיות אחרות, עד שייחקקחוק סייבר.
אם יושאר הפיקוח בידי משרד הביטחון יש ליצור הפרדה בין הזרוע המסייעת ליצוא בטחוני
(סיב"ט) ובין הזרוע המפקחת (אפ"י) ולקדם עקרונות של שקיפות ורישום כפי שנכתב
למעלה.
4.
היחס
בין אסד
ר
הכופה ושיקולי אתיקה
רגולציה טובה היא כזאת שכוללת ציווי ושליטה וגם אמצעים רכים יותר ובתוכם עידוד לרגולציה
עצמית. במקרה של פיקוח על יצוא בטחוני, צריכים לדור בכפיפה אחת הרגולציה והאתיקה.
השאלה היא קשה: מהם השיקולים ה"קשים" והאתיים שנכון לשקול כשמוכרים מוצר עם
פוטנציאל לשימוש לרעה. הדילמה למי למכור ולמי לא למכור טכנולוגיה מסויימת היא גם של
המדינה וגם של החברות עצמן: יש מי שרוצה להרוויח בכל מחיר ויש מי שחושש מפגיעה
במוניטין או פשוט רוצה לישון טוב בלילה. כיום, היחס בין רגולציה לאתיקה כל כך מגוחך,
ש
נשמעים סיפור
ים
על כך שחברה שיש לה "מנגנון אתיקה" החליטה לא למכור מוצר למדינה
מסויימת בגלל שיקולי אתיקה. משרד הביטחון גילה שהחברה לא מוכרת לאותה מדינה וכעס:
קיבלתם רישיון שיווק, למה לאמכרתם?
פרופ' דייויד קיי, הדווח המיוחד של מועצת זכויות האדם של האו"ם, האשים כמה פעמים את
ישראל בכך שמשטר הפיקוח שלה איננו מהודק ואיננו שקוף; הוא גם האשים את חברת NSO
עצמה בכך שאף שהיא מצהירה על מחוייבותה כלפי ה-
Guiding Principles on Business
and Human Rights
של האו"ם, היא איננה מאפשרת לבדוק זאת בפועל. טענות דומות
השמיע קיי לאחר פרסום 'דו"ח פגסוס' בעתונות העולמית.8
NSO
פרסמה
"דו"ח אתיקה" ביוני
9
2021,ואולםביקורת נמתחה על כךשגםבדו"ח האתיקה לאנמצאו פרטיםמספקים.
נקודה לדיון: גישה רגולטורית נכונה צריכה ליצור מסגרת מקובלת של שיקולי אתיקה בהידברות
עם
התעשיה. למשל, שיקולים כגון אלה שמופיעים בהמלצות דו"ח קיי אובקריטריונים של ארגון
CAUSE – Coalition Against Unlawful Surveillance Export
–
ל"בדיקת נאותות אתית" של
המדינההרוכשתכאשר מתעורר חששלגביכוונותיה.
למשל, עמידה של מדינת היעד בחובות המעוגנות באמנות לזכויות אדם; מצב זכויות האדם של
אזרחי המדינה הרוכשת; עמידה בקריטריונים של קוד ההתנהגות של האיחוד האירופי ליצוא
טכנולוגיות צבאיות; וקיומה של מסגרת משפטית רלוונטית במדינת או ארגון היעד שתבטיח
שהשימושבטכנולוגיה
לאיעשה באופןהפוגע בזכויות אדם.
5.
אנחנובמסלול התנגשותמולאירופה והאו"ם
בשנת 2021
יזם האיחוד האירופי תיקון חקיקה בנושא של פיקוח על יצוא של מוצרים דו שימושי
בדגש על מוצרי ריגול ואיסוף. תיקון החקיקה שאושר בפרלמנט האירופי
נכנס
לתוקף בספטמבר
8
Global spyware such as Pegasus is a threat to
,
Schaake
Marietje
and
Kaye
David
democracy.
Here’s
how
to
stop
it,
Washington
Post,
19.7.2021
-
group
-
nso
-
spyware
-
com/opinions/2021/07/19/pegasus
https://www.washingtonpost.
.
journalism/
-
democracy
-
threat
9
כלכליסט,
כביר,
עומר
למשל,
ראו 31.6.2021
https://www.calcalist.co.il/technology/article/SJMmNM52u
2021
. התיקון מקשיח את כללי הפיקוח על הייצוא, מעלה אתהחשיבות שלפגיעה בזכויות אדם
כשיקול למתןרישיונות ומגדילאת טווח האפשרויותלפיקוח על ייצוא בתוך היבשת.
סיכום של החקיקה האירופיתנמצא בנספחא.
ביולי 2019
פורסם דו"ח מפורט10
הכולל המלצות על ידי פרופ' דייויד קיי, הדווח המיוחד לענייני
חופש ביטוי של מועצת זכויות האדם של האו"ם בנוגע לפיקוח על יצוא טכנולוגיות מעקב.
ההמלצות הנוגעות למדינות כוללות הצעה להטיל מו
רטוריום מיידי על מדינות לייצא, למכור,
להעביר ולהשתמש בכלי מעקב עד שייקבע
משטר בינלאומי בנוגע למסחר בהן. במהלך הזמן
הזה על מדינות להגדיר באופן מדוייק את הטכנולוגיות המדוברות; לדרוש הערכה שקופה של
סיכונים
לזכויות אדם בעסקאות מכירה כאלה; לקיים רישום ציבורי פתוח של כלים, חברות
ולקוחות; ולקיים שימועים פתוחים בנוגע לעסקאותשהשלכותיהן רגישות במיוחד.
סיכום ההמלצות של הדווח המיוחדנמצא בנספח ב.
באוגוסט 2021
, קבוצה מומחי זכויות אדם של האו"ם, ובתוכם הדווחית המיוחדת לענייני חופש
ביטוי, הדווח המיוחד לענייני חופש ההתאגדות והאסיפה, וחברי קבוצת העבודה של האו"ם
לזכוית אדם ותאגידים בינלאומיים, יצאו בקריאה דומה להטלת מורטוריום גלובלי על מכירה
והפצה של טכנולוגיות מעקב.11
נקודה לדיון: פער רחב מידי בין ההסדר הישראלי ויישומו לבין
הנורמות המקובלות בעולם המערבי, עלול להוביל לפגיעה ביכולת
של תעשיית הסייבר המקומית להמשיך לייצא כראוי למדינות
עולם ראשון.
10
first session 24 June−12 July 2019 Agenda item 3 Promotion
-
Human Rights Council Forty
and protection of all human rights, civil, political, economic, social and cultural rights,
including the right to development; Surveillance and human rights Report of the Special
Rapporteur on the promotion and protection of the right to freedom of opinion and
expression; A/HRC/41/35; Recommendations 66.
11 Spyware scandal: UN experts call for moratorium on sale of ‘life threatening’ surveillance
tech, UN Media Center (12.8.2021) https://www.ohchr.org/en/press-
releases/2021/08/spyware-scandal-un-experts-call-moratorium-sale-life-
threatening?LangID=E&NewsID=27379
נספחא: ההסדר האירופיהחדשלפיקוחעל יצוא מוצרים דושימושיים
התקנות האירופיות לפיקוח על ייצוא, תיווך, עזרה טכנית, שינוע והעברה של
מוצרים
דו
שימושיים12
להלן:(
תקנותיצואמוצרים דו שימושיים)
נכנסו ל
תוקף בחודש ספטמבר 2021
.
תקנות יצוא מוצרים דו שימושיים מחילות משטר של אישורים על ייצוא מוצרים דו שימושיים
מהסוגים המנויים
ברשימה שבתוספת הראשונה לתקנות,13
ובנסיבות מסוימות גם על מוצרים
שאינם מנויים בה.14
משטר האישורים חל גם על תיווך בעסקאות רכש של מוצרים דו
שימושיים, על שינועם, או על מתן תמיכה טכנית בנוגע אליהם15
–
אם נעשה בהם שימוש
בקשר לפיתוח, הפעלה, תחזוקה, אחסנה, זיהוי או הפצה של נשק לא
קונבנציונלי; שימוש
לתכלית צבאית אם אחת מהמדינות המתקשרות נתונה תחת אמברגו; או אם נעשה בהם
שימוש כרכיבים או חלקים במוצרים צבאיים המוגדרים ברשימות של מדינות חברות בתור
שכאלה.16
אישורים יכולים להיות פרטניים (אישור שניתן ליצואן ספציפי לייצא מוצר דו שימושי ספציפי,
אחד או יותר, למדינה ספציפית) או גלובליים (אישור שניתן ליצואן ספציפי ביחס
לקטגוריה
של
פריטים דו שימושיים לייצא למדינה או מדינות יעד מוגדרות), ואז אלו
יינתנו
על ידי הרשות
הלאומית המוסמכת, ויהיו תקפים למשך שנתיים.17
כמו כן, תחת התקנות ניתן לייצא מוצרים
דו שימושיים מסוימים בכפוף לעמידה בתנאי אישור אירופאים כלליים,18
או בכפוף לעמידה
בתנאי אישור לאומיים כלליים.19
12
2021/821, 2021 O.J. (L 206) 1, 1
Regulation (EU)
13
2021/821, Art 3(1), 2021 O.J. (L 206) 1, 1
Regulation (EU)
14
ר' לדוגמא 1 1, 206) (L O.J. 2021 5,
-
2021/821, Art 4
Regulation (EU)
15
8, 2021 O.J. (L 206) 1, 1
-
2021/821, Art 6
(EU)
Regulation
16
2021/821, Art 4(1), 2021 O.J. (L 206) 1, 1
Regulation (EU)
17
2021/821, Art 12, 2021 O.J. (L 206) 1, 1
Regulation (EU)
18
ר' חלקים A
עד H
לתוספת השנייה לתקנות יצוא מוצרים דו שימושיים.
19
ר' ס' 12(6)
לתקנות,
וכן חלק C
שבתוספת השלישית לתקנות יצוא מוצרים דו שימושיים.
כאשר הרשויות המוסמכות של מדינות חברות שוקלות אם לאשר או לדחות בקשות
לאישורים
גלובליים עליהן להביא בחשבון, בין השאר,20
(
1
) התחייבויות בין לאומיות של האיחוד ושל
מדינות חברות, ובפרט בקשר עם משטרי הפצת נשק בין לאומיים ואמנות בינלאומיות
רלוונטיות; (2
) התחייבויות תחת סנקציות שהוטלו על ידי מועצת אירופה או על ידי מועצת
הביטחון של האומות המאוחדות; (3) היבטים של מדיניות חוץ וביטחון, לרבות העקרונות
האירופיים לייצוא טכנולוגיה וציוד צבאיים,21
ובתוכם העמדה לפיה לא יינתן רישיון ייצוא כאשר
יש סיכון ברור שייעשה שימוש בטכנולוגיה או בציוד לדיכוי פנימי או להפרות הדין ההומניטרי
22
הבינלאומי;
(
4
שיקולים ביחס לשימוש הקצה שייעשה במוצר; וכן,) (5
)
הטמעת תוכנית ציות
פנימית (Program Compliance Internal
על ידי המייצא.)23
התוספת הראשונה לתקנות מכילה רשימה של מוצרים דו שימושיים שייצואם חייב באישור,24
25
ובתוכם ניתן למנות מערכות מחשב ייעודית לתוכנות חדירה (software intrusion
,)
תוכנות
27
ייעודיות לחדירה,26
טכנולוגיות לפיתוח של תוכנות חדירה,
וכן מערכות מעקב במרשתת (
IP
28
Network CommunicationsSurveillancesystems
.)
התקנות אינן מגדירות מהי 'תוכנת חדירה', אך הן מגדירות מוצרי מעקב סייבר ( Cyber
Surveillance Items
)
כ'מוצרים דו שימושיים שעוצבו במיוחד על מנת לאפשר מעקב חשאי
אחר אנשים באמצעות ניטור, חילוץ, איסוף או ניתוח נתונים ממערכות מידע ותקשורת
20
2021/821, Art 15(1), 2021 O.J. (L 206) 1, 1
Regulation (EU)
21
Common Position 2008/944/CFSP
22
Common Position 2008/944/CFSP Art. 2(a)
23
1, 1
2021/821, Art 15(2), 2021 O.J. (L 206)
Regulation (EU)
24
2021/821, Art 3(1), 2021 O.J. (L 206) 1, 1
Regulation (EU)
25
2021/821, Annex I, Item 4A005, 2021 O.J. (L 206) 1, 1
Regulation (EU)
.
התקנות אינן מגדירות
מהי 'תוכנת חדירה.'
26
2021/821, Annex I, Item 4D005, 2021 O.J. (L 206) 1, 1
Regulation (EU)
27
2021/821, Annex I, Item 4E001, 2021 O.J. (L 206) 1, 1
Regulation (EU)
28
2021/821, Annex I, Item 5A001(j), 2021 O.J. (L 206) 1, 1
Regulation (EU)
אלקטרונית.'29
התקנות מורות כי בנסיבות מסוימות, מוצרי מעקב סייבר כאמור יהיו חייבים
30
באישור גם אםאינם מנויים בתוספת
הראשונה.
בכפוף להודעה של הרשות המוסמכת לפיה מוצרי מעקב סייבר (שאינם מנויים בתוספת
הראשונה) ישמשו במדינת היעד לדיכוי פנימי, לפגיעה חמורה בזכויות אדם או להפרה חמורה
של הדין ההומניטרי הבינלאומי, היצואן שלהם יהיה חייב באישור ייצוא.31
אם בעקבות בדיקת
נאותות נודע ליצואן כי מוצרי מעקב סייבר עשויים לשמש למטרות אלו במדינת היעד, עליו
ליידע את הרשות המוסמכת וזו תקבע אם נדרש אישור ייצוא.32
תקנות יצוא מוצרים דו
שימושיים מאפשרות למדינות החברות לקבוע בחקיקה לאומית דרישת אישור ייצוא במקרים
בהם ליצואן ישנו חשד שמוצרי מעקב סייבר אלו עשויים לשמש למטרות אלו.33
במסגרת
הדיווחים השנתיים של הנציבות האירופית לפרלמנט האירופי ולמועצה האירופית על יישום
התקנות, תהיה התייחסות מיוחדת לאישורי ייצוא של מוצרימעקב סייבר.34
29
2021/821, Art. 2(20), 2021 O.J. (L 206) 1, 1
Regulation (EU)
30
משכך, חרף העמימות הפרשנית הנובע מהעדר הגדרה ל'תוכנות החדירה' המנויות בתוספת הראשונה,
זיהוי מוצר דו שימושי כ'מוצר מעקב סייבר' עשוי להחיל עליו דרישה לאישור גם אם הוא לא תואם את
הקטגוריות שבתוספת הראשונה.ר' 1 1, 206) (L O.J. 2021 5(1), Art. 2021/821, (EU) Regulation
31
5(1), 2021 O.J. (L 206) 1, 1
2021/821, Art.
Regulation (EU)
32
2021/821, Art. 5(2), 2021 O.J. (L 206) 1, 1
Regulation (EU)
33
2021/821, Art. 5(3), 2021 O.J. (L 206) 1, 1
Regulation (EU)
34
2021/821, Art. 26(2), 2021 O.J. (L 206) 1, 1
Regulation (EU)
נספח ב: המלצות הדווח המיוחד של האו"ם לגבי פיקוח על יצוא טכנולוגיות מעקב ואיסוף דו
שימושיות, משנת 35
2019
For States:
(a) States should impose an immediate moratorium on the export, sale, transfer,
use or servicing of privately developed surveillance tools until a human rights-
compliant safeguards regime is in place;
(b) States that purchase or use surveillance technologies (“purchasing States”)
should ensure that domestic laws permit their use only in accordance with the
human rights standards of legality, necessity and legitimacy of objectives, and
establish legal mechanisms of redress consistent with their obligation to provide
victimsof surveillance-related abuseswith aneffective remedy;
(c) Purchasing States should also establish mechanisms that ensure public or
community approval, oversight and control of the purchase of surveillance
technologies;
(d) States that export or permit the export of surveillance technologies
(“exporting States”) should ensure that the relevant government agencies solicit
public input and conduct multi-stakeholder consultations when they are
processing applications for export licences. All records pertaining to export
licences should be stored and made available to the greatest extent possible.
35
ession 24 June−12 July 2019 Agenda item 3 Promotion
first s
-
Human Rights Council Forty
and protection of all human rights, civil, political, economic, social and cultural rights,
including the right to development; Surveillance and human rights Report of the Special
Rapporteur on the promotion and protection of the right to freedom of opinion and
expression; A/HRC/41/35; Recommendations 66.
They should also establish safe harbours for security research and exempt
encryption items from export control restrictions;
(e) Exporting States should join the Wassenaar Arrangement and abide by its
rules and standards to the extent that these are consistent with international
human rights law;
(f) States participating in the Wassenaar Arrangement should develop a
framework by which the licensing of any technology would be conditional upon a
national human rights review and companies’ compliance with the Guiding
Principleson Business andHuman Rights.
Such a framework could be developed through a specially established human
rights working group. Additionally, they should set clear and enforceable
guidelines on transparency and accountability with respect to licensing decisions,
surveillance-related human rights abuses and the treatment of digital
vulnerabilities.
For companies:
(a) Private surveillance companies should publicly affirm their responsibility to
respect freedom of expression, privacy and related human rights, and integrate
human rights due diligence processes from the earliest stages of product
development and throughout their operations. These processes should establish
human rights by design, regular consultations with civil society (particularly
groups at risk of surveillance), and robust transparency reporting on business
activities that have an impacton human rights;
(b) Companies should also put in place robust safeguards to ensure that any use
of their products or services is compliant with human rights standards. These
safeguards include contractual clauses that prohibit the customization, targeting,
servicing or other use that violates international human rights law, technical
design features to flag, prevent or mitigate misuse, and human rights audits and
verification processes;
(c) When companies detect misuses of their products and services to commit
human rights abuses, they should promptly report them to the relevant
domestic, regional or international oversight bodies. They should also establish
effective grievance and remedial mechanisms that enable victims of surveillance-
related human rights abuses to submit complaints and seek redress. 68. For the
United Nations: the Organization, particularly the Human Rights Council, should
create a working group or cross-mandate task force to monitor and provide
recommendations on trends in, and individual cases of, human rights abuses
facilitated by digital surveillance.
For all stakeholders: States, the private sector, civil society and other relevant
stakeholders should establish co-regulatory initiatives that develop rights-based
standards of conduct for the private surveillance industry and implement these
standards through independent audits, and learning and policy initiatives.