הדפסה

בית המשפט המחוזי בתל אביב - יפו בע"ח 47172-10-18

לפני
כבוד ה שופט בני שגיא

מבקשים

1. זיו צורן
ע"י ב"כ עו"ד ירון גיגי ואביעד לנצ'נר
2. גל דביר
ע"י ב"כ עו"ד דותן דניאלי

נגד

משיבים

מדינת ישראל
ע"י ב"כ עו"ד אסתי שליין וחופית שרים

החלטה

כללי

בפני בקשה לעיון בחומר חקירה ולקבלתו לפי סעיף 74 לחוק סדר הדין הפלילי [נוסח משולב], התשמ"ב-1982 (להלן - חוק סדר הדין הפלילי).

רקע

נגד המבקשים (להלן - הנאשמים) הוגש לבית משפט זה כתב אישום (ת"פ 33991-01-18), אשר מייחס להם מגוון עבירות ובהן פגיעה בפרטיות, זיוף ומחשב, והכל כפי שיפורט להלן.

על פי האמור בכתב האישום המתוקן, נאשם 1 הנו מתכנת מחשבים בהכשרתו ועבד החל מחודש נובמבר 2009 ועד לאמצע חודש אוקטובר 2013 (להלן - התקופה הרלוונטית) כמתכנת מחשבים בצוות פיתוח בחברת BDI קופאס בע"מ (להלן - BDI או החברה), במשרדי החברה בבני ברק.

בתקופה הרלוונטית, BDI החזיקה ברישיון שירות נתוני אשראי, שניתן לה על ידי רשם שירות נתוני אשראי, לפי חוק שירות נתוני אשראי, התשס"ב-2002 (להלן - חוק שירות נתוני אשראי). במסגרת רישיון זה, BDI הייתה רשאית לקבל, לאסוף בשרתיה ולמסור, נתוני אשראי על יחידים לרבות בפעילותם כעוסקים, בדבר אי-פירעון חובות, פשיטות רגל ושיקים ללא כיסוי ממקורות מידע שונים (להלן- מידע שלילי) וזאת מבלי להיזקק להסכמתם. החברה הייתה רשאית למסור את המידע השלילי שנאגר בשרתיה על גבי דו"ח אשראי רק ללקוח עצמו או למי שמסר הצהרה בכתב על כך שהוא מבקש את המידע לאחת מן המטרות המוגדרות.

כמו כן, בתקופה הרלוונטית שימשה החברה כגוף מתאם לקרן לעסקים קטנים - קרן למתן הלוואות בערבות מדינה לעסקים קטנים ובינוניים על ידי הבנקים - לאחר שזכתה במכרז לעניין זה. במסגרת תפקידה, התקבלו אצל BDI בקשות לקבל סיוע מהקרן לעסקים קטנים, שטופלו על ידה לאורך כל התהליך עד לקבלת החלטה סופית אם לאשר את הבקשה באופן מלא, באופן חלקי, או לדחותה.

נאשם 2, שעסק בתקופה הרלוונטית בייעוץ ותיווך להלוואות, ניהל את העסק "גלובל פיננסים", במסגרתו ליווה וסייע ללקוחותיו בהגשת בקשות לקבל הלוואה לקרן לעסקים קטנים.

על פי האישומים הראשון, השני והשלישי, נאשם 2 או מי מטעמו קיבלו מעת לעת, מנאשם 1, מידע ונתונים על עסקים שפנו לקרן לעסקים קטנים בבקשה לסיוע ואודות הטיפול בבקשתם. בנוסף, מחק נאשם 1 את המידע השלילי שנאסף ברבות השנים בחברת BDI על נאשם 2, כך שנוצר בעניינו דו"ח אשראי נקי. לפי הנטען, נאשם 1 ביצע את פעולותיו האסורות תוך שימוש בשם משתמש כללי מסוג Admin, ולא תחת שם המשתמש האישי שלו, ולאחר שהתחבר לשרת החברה בשם sqlback מעמדת מחשב ייעודית אשר הייתה ממוקמת בחדר הסיסטם במשרדי החברה.

נאשמים 2-1 מואשמים בעבירות מידע כוזב או פלט כוזב, לפי סעיף 3(א)(1) לחוק המחשבים, תשנ"ה-1995; זיוף המשפיע על עסקאות, לפי סעיף 419 לחוק העונשין, התשל"ז-1977; פגיעה בפרטיות, לפי סעיף 5 ביחד עם סעיף 2(9) לחוק הגנת הפרטיות, תשמ"א-1981. כמו כן, נאשם 1 מואשם גם בעבירת לקיחת שוחד, לפי סעיף 290 לחוק העונשין; חדירה לחומר מחשב, לפי סעיף 5 לחוק המחשבים; הכללת מידע בדו"ח אשראי והמידע התקבל בעבירה, לפי סעיף 49(א)(5) לחוק שירות נתוני אשראי; ומרמה והפרת אמונים בתאגיד, לפי סעיף 425 לחוק העונשין.

הבקשה והשתלשלות העניינים בה

ביום 21.10.18 הגיש נאשם 1 בקשה לעיון בחומרי חקירה (להלן - הבקשה), הכוללת 7 סוגי חומרים ובהם מאגר הנתונים Personalcheck הרלוונטי ליום העבירה, קבצי ה- security log והעתק שרת ה-IDERA (להלן - שרת האידרה), וזאת מן הטעם שמעשיו הלכאוריים התגלו באמצעות פעולות שונות שבוצעו במאגרים, שרתים ותוכנות אלו.

ביום 14.11.18 הגישה המשיבה (להלן - המדינה או התביעה) את תגובתה לבקשה, ובה ציינה כי החומרים המבוקשים אינם מהווים חומר חקירה ו/או לא מצדיקים זכות עיון בהם, ואלו שכן - הועברו לידי ההגנה או עומדים לעיונה כבר כעת. ביום 4.7.19 הוגשה לבית המשפט עמדת BDI ביחס לבקשה, מתוקף היותה הבעלים של חלק מחומרי החקירה המבוקשים.

ביום 12.5.19 התקיים דיון בבקשה, במסגרתו התקבלו מספר החלטות ביחס למרבית סוגי החומרים שנתבקשו. באשר לשרת האידרה, עליו נסובה החלטה זו, הסכימו הצדדים למתווה שהוצג בפניהם לפיו יימסרו להגנה נתונים שייוצאו מתוך השרת, בטווח של 10 ימים לפני כל אירוע מחיקה.

לאחר שהתברר לתביעה כי יש קושי מהותי ביישום מתווה זה מבחינה טכנולוגית, כפי שיפורט להלן וכעולה מעדות נציג המדינה בדיון שהתקיים לפני ביום 28.10.19, חזרה התביעה לעמדתה הראשונית כפי שהוצגה בתגובתה לבקשה, והיא כי להגנה עומדת זכות העיון בלבד בנתוני השרת.

בטרם נצלול לעומקם של טיעוני הצדדים ולהכרעה בעניין, דומה כי יש להקדיש מספר מילים לשרת האידרה אודותיו נסובה החלטה זו.

על שרת האידרה

המידע אשר חברתBDI אוספת על לקוחותיה, כמפורט בפסקה 2 להחלטה זו, נשמר בשרתי SQL. שרת האידרה - שבו עסקינן - הוא שרת שמכיל אפליקציה רחבה, ומטרתו לנטר את שקורה ברשת (מבחינת עומסים ותנודות) על מנת לטייב את עבודת שרתי ה-SQL. הוא הוגדר על ידי נציג המדינה כ"שרת חי ונושם בעולם אבטחת המידע" [ר' דברי מר פיני כהן, אחראי על תחום החקירות הדיגיטליות ברשות להגנת הפרטיות, מיום 28.10.19 בעמ' 24 לפרוטוקול הדיון (להלן - מומחה המדינה)]. שרת האידרה, אפוא, אינו נועד למעקב אחר פעולות המשתמשים ברשת, ומטרתו לנטר ולסייע לגורמים האחראיים להגדיר את השרתים כך שיפעלו בצורה הטובה ביותר.

ניטור הרשת באמצעות שרת האידרה מתבצע על ידי דגימת מצב הרשת אחת ל-3 דקות. בכל דגימה שכזו "נלכד" כל המידע שהצטבר ב-3 הדקות שחלפו מעת ביצוע הדגימה הקודמת, והוא נשמר ב-data base של השרת. המידע שהצטבר בדגימה מוצג למשתמש (איש הסיסטם מטעם BDI) כ"אירועים", וכל אירוע מופיע במסך כשורה. כל "אירוע" שכזה כולל מידע רב, שאינו רלוונטי בהכרח לחקירה בעניין הנאשמים, אלא למתרחש ברשת כולה.

על מנת לגשת למידע הרב שהצטבר בשרת בעקבות הדגימות, יש לפנות ל-data base של שרת האידרה בדרך של שאלה. לאחר מכן יש לבחור בתאריך מסוים, בדגימה ספציפית, וב"אירוע" אחד - אותו ניתן לייצא החוצה, כך שישמר ויוצג בקובץ אקסל. לא ניתן לייצא בבת אחת פרקי זמן הגדולים מ"אירוע" אחד, כמו דגימה אחת או מספר דגימות. ייצוא החוצה של המתרחש ברשת במשך 3 שעות, לדוגמה, יצריך עבודה רבה - ייצוא נפרד של כל אחד מה"אירועים" שהתקיימו בכל אחת מהדגימות (שהתרחשו אחת ל-3 דקות במסגרת טווח זמן זה).

אם כן, כאשר איש הסיסטם מתבקש לראות מה קרה בארגון בפרק זמן מסוים, עליו לשלוף מה-data base בכל פעם את המידע הרלוונטי לדגימה אחת בלבד, וביכולתו כאמור לייצא החוצה "אירוע" אחד בלבד.

העתק השרת מצוי כעת בידי המדינה.

טענות הצדדים

עובר להגשת הבקשה, העבירה המדינה לידי ההגנה חומרי חקירה שונים ובהם גם תדפיסים שהופקו מתוך שרת האידרה הקשורים לאירועי המחיקה וסווגו כרלוונטיים. לטענת ההגנה, תדפיסים אלו אינם מספיקים ונתונים לביצוע מניפולציות שונות, ולכן יש להעביר לידי ההגנה גם את העתק השרת, בהיותו חומר חקירה, שכן הוא אמצעי טכנולוגי אשר סייע לחוקרים לבסס את הראיות נגד הנאשמים.

כפי שניתן ללמוד מעדותו של מומחה המדינה, קיום המתווה לו הסכימו הצדדים איננו ישים מבחינה מעשית (אם כי כן אפשרי מבחינה טכנית כשלעצמו), שכן ייצוא נתונים בטווח זמנים שכזה יצריך העתקה של מיליוני "אירועים" פרטניים, העתקה שתשחית לריק זמן רב ויקר. לפיכך, ובהינתן עבודה רבה זו, התבצרו התביעה וההגנה בשתי "עמדות קצה" - הראשונה, בה מחזיקה ההגנה, היא שיש להעביר לידי את העתק השרת המתוחם בזמן לתקופה הרלוונטית; השניה, בה מחזיקה התביעה, היא כי יש לאפשר להגנה עיון בלבד בשרת.

לטענת התביעה, יש לדחות בקשה זו ולהסתפק בעיון בלבד בשרת, וזאת מן הטעמים הבאים:

ראשית, וכפי שעולה גם מעמדת BDI, החומרים שבשרת הם קניינה של חברת BDI, והם כוללים סודות מסחריים של החברה ועלולים אף לפגוע בפרטיות ובסודות מסחריים של צדדים שלישיים, הן לקוחות החברה (בנקים, חברות כרטיסי אשראי, חברות תשתית וכיוצא בזה) והן הצרכנים שאודותם המידע התבקש. כך, בשרת קיים מידע רב לגבי מערכות החברה ואופן פעולתן, כמו נתונים המתייחסים לשמות שרתים, משתמשים, שמות מאגרי מידע; וכן מידע אישי ורגיש על לקוחות כמו פרטי זיהוי, ומידע אישי רגיש אודות צרכנים.

שנית, התדפיסים הרלוונטיים כבר הועברו לידי ההגנה. התביעה מצביעה על כך שבחינת התדפיסים מלמדת על הנתונים הרבים המצויים בשרת, ומדגישה כי אין מדובר בנתונים בודדים אלא בנתונים רבים המצטרפים זה לזה וניתנים להצלבה.

שלישית, מדובר במאגר מידע רגיש הכולל מידע שנאסף על פי דין על אזרחי המדינה, ולכן על המדינה מוטלת חובה גדולה לנסות ולשמור מידע זה.

רביעית, העתק השרת נתון לעיון ההגנה במשרדי התובעת, וההגנה לא הציגה כל טעם מהותי, מלבד שיקולי נוחות, לכך שהעתקתו חיונית להגנתה, בשונה מעיון בו. לא ברור מדוע הגבלת זכות ההעתקה, שהנה נלווית ומשנית לזכות העיון, כרוכה במקרה זה בפגיעה מהותית בהגנתם של הנאשמים או בזכותם להליך הוגן.

לאור כל האמור לעיל, טוענת התביעה כי יש לצמצם את זכות הנאשמים לקבלת חומר החקירה כך שיוכלו לעיין בו בלבד, וזאת במשרדי היחידה החוקרת. מתן זכות עיון בלבד מאזנת נכונה בין זכויות הנאשמים לבין זכויות ואינטרסים של בעלת המידע וצדדים שלישיים.

לטענת ההגנה, יש לאפשר את העברת העתק השרת לידיהם ואין להסתפק במתן עיון בלבד, וזאת מן הטעם שזכות העיון כוללת גם את זכות ההעתקה, שלא הוגבלה מפורשות בחוק במקרה דנן. יסוד הבקשה אינו בשיקולי נוחות בלבד, ועניין לנו במקרה בו הנוחות היא גם מהות - שכן רק באמצעות העברת החומר לידיה תוכל ההגנה לגבש את הגנתה.

כתימוכין לטענתה ועל מנת להראות שזו לא הועלתה בעלמא, הציגה ההגנה את "קו הגנתה" - והוא רצונה להוכיח כי המניפולציה שבוצעה במאגר הנתונים דרך משתמש ה"אדמין" נעשתה שלא על ידי נאשם 1 (לדוגמא, כשלא היה בעבודה). קו הגנה זה מושתת על מחיקה אחת שנתגלתה בה טביעת אצבע דיגיטלית שאינה קשורה לנאשם 1, המבססת תשתית לקבלת החומרים.

עוד מדגישה ההגנה את היקפה המוגבל של הפגיעה בפרטיות במקרה דנן, שכן לא ניתן לשלוף ישירות מידע על בסיס תעודת זהות, וכן כי היא מוכנה לפעול לצמצום החשש לפגיעה בזכויות צדדים שלישיים בשל האפשרות להצליב נתונים. כך, מציעה לשתול פונקציית "עקוב אחרי" שתאפשר לבדוק את הפעולות שבוצעו, לצלמן ולתעדן בכל דרך אחרת, או אף להצמיד נציג משטרתי למומחה ההגנה בעת עבודתו.

דיון והכרעה

בקשה זו, בדומה לבקשות נוספות, מעוררת את המתח שבין דיני העיון וההעתקה הוותיקים לבין המציאות הטכנולוגית בה החומר הראייתי "משנה צורתו" והופך דיגיטלי. אין בנמצא דינים ייחודיים לראיות דיגיטליות אלו, ולכן נקודת המוצא לפתרון הסוגיה זו עודנה נעוצה בסעיף 74 לחוק סדר הדין הפלילי, שקובע כי:
(א)  (1)  הוגש כתב אישום בפשע או בעוון, רשאים הנאשם וסניגורו, וכן אדם שהסניגור הסמיכו לכך, או, בהסכמת התובע, אדם שהנאשם הסמיכו לכך, לעיין בכל זמן סביר בחומר החקירה וכן ברשימת כל החומר שנאסף או שנרשם בידי הרשות החוקרת, והנוגע לאישום שבידי התובע ולהעתיקו; [...]
      (ב)  נאשם רשאי לבקש, מבית המשפט שאליו הוגש כתב האישום, להורות לתובע להתיר לו לעיין בחומר שהוא, לטענתו, חומר חקירה ולא הועמד לעיונו.

זכות העיון בחומר חקירה מהווה תנאי יסודי להליך הוגן והיא חלק מזכות היסוד של הנאשם לחירות אישית ולפריסת הגנתו בבית המשפט. בבסיס זכות העיון מונחים ארבעה רציונאלים: זכות הנאשם למשפט הוגן, זכות הנאשם לערוך הגנתו ולהיערך כראוי למשפט, חקר האמת וצמצום פערי הכוחות בין התביעה להגנה [בש"פ 8252/13 מדינת ישראל נ' שיינר (23.01.2014)].

כנלמד מלשון הסעיף, לצדה של זכות העיון קבועה גם זכות ההעתקה. עם זאת, הלכה פסוקה היא כי יש להבחין בין זכות העיון לזכות ההעתקה, כך שייתכנו מקרים בהם יתאפשר עיון בלא העתקה [בש"פ 6022/96 מדינת ישראל נ' מזור, פ"ד נד(3) 686 (1996)].

זכות ההעתקה סווגה כזכות הנלווית לזכות העיון, שעיקרה - במרבית המקרים - בשיקולי הנוחות של הנאשם וסניגורו, ולכן ככלל, הגבלתה אינה תפגע בזכות העיון לגופה. עם זאת, הוטעם כי ישנן נסיבות שבהן הגבלת זכות ההעתקה עלולה להשפיע אף מעבר למישור הנוחות, גם על מישור המהות של הגנת הנאשם. כך, ייתכנו מקרים בהם העתקת חומר החקירה עשויה לאפשר לנאשם ולסניגורו לשקוד על הכנת קו ההגנה באופן מעמיק יותר [בש"פ 9169/17 מדינת ישראל נ' פלוני (3.12.2017)].

זכות ההעתקה אינה זכות מוחלטת ויכול שבנסיבות מסוימות יתעורר הצורך לאזנה למול זכויות ואינטרסים אחרים, בין אם של עדים, קורבנות (בעיקר קטינים או קורבנות עבירות מין), המדינה או צדדים שלישיים. ככל שהעתקת חומר החקירה עלולה לפגוע בזכויות ואינטרסים אחרים, יש לבחון את מידת תועלתו להגנת הנאשם. מקום בו איננו מועיל להגנת הנאשם, או שהאפשרות לפגיעה בהגנתו איננה משמעותית, שומה על בית המשפט לבכר את הזכויות והאינטרסים האחרים.

התנגשויות אלו בין שלל הזכויות והאינטרסים, מתרחשות ביתר שאת בכל הנוגע לראיות דיגיטליות (טלפונים סלולריים, מחשבים, מאגרי מידע, שרתים וכיוצא בזה). זאת נוכח מאפייניהן הייחודיים: ראשית, חומרי החקירה הדיגיטליים כוללים לרוב כמות אדירה של ראיות/נתונים, שמספרן רב "כחול הדיגיטאלי על שפת הים הווירטואלית" [ר' בע"ח (מחוזי ת"א) 38030-03-17 אמיר ברמלי נ' מדינת ישראל (16.07.2017) ]; שנית, חומרים אלו כוללים, כמעט תמיד, גם מידע פרטי אודות צדדים שלישיים רבים, שחשיפתו עלול לפגוע בפרטיותם; שלישית, חומר החקירה עשוי להיות קניינו הפרטי של פלוני, כשאותו פלוני - בעל המידע - איננו הנאשם, ולכן חשיפת המידע או העתקתו תפגע בזכותו הקניינית לשלול מאחרים חשיפה אליו.

ומן הכלל אל הפרט - אין חולק כי חלק מהמידע המצוי בשרת האידרה מהווה חומר חקירה, הרלוונטי להגנת הנאשמים. בתוך מכלול הנתונים הקיימים בשרת (שרובם – טכני, וקשור לתפקוד המערכת וניטור השרתים השונים) , מצויים גם נתונים אודות המחיקות שהתבצעו במערכת, בגינן עומד נאשם 1 לדין . טענת ההגנה בדבר קיומו של אדם אחר שביצע את המחיק ות היא טענת ההגנה המרכזית, כך שבדיקת "הכניסות" לשרת האידרה בסמוך ולאחר ביצוע המחיקות עומדת בלב העניין.

גיבוש קו הגנה יסודי ומקיף במקרה דנן מצריך מעבר מעמיק על כמות פריטים זו, מעבר שעתיד לארוך שעות רבות, ולהתבצע משך תקופה בלתי מבוטלת. אין הדבר דומה, למשל, לבקשות העתקת חומרי חקירה שעניינן מסירת קלטות לידי ההגנה, שזמן צפייתן מצטמצם כדי שעות ספורות בלבד.

דומה שלא בכדי הסכימה המשיבה ב"גלגול הראשון" לאפשר להגנה לקבל לרשותה את מלוא הנתונים האצורים בשרת בטווח זמנים של 10 ימים לפני כל אירוע מחיקה, הסכמה שמשמעותה – חשיפת ההגנה לאלפי נתונים מהסוג שכעת, לשיטתה, אין לאפשר להגנה להעתיק. אציין כי בהודעת המשיבה מיום 30.5.19, הטעם היחיד שפורט המצדיק שינוי המתווה המוסכם היה נעוץ בשעות העבודה של היחידה החוקרת שנאמד על ידי המשיבה ב"עשרות שעות אם לא למעלה מכך".

זאת ועוד, לא שוכנעתי בדבר עומקה של הפגיעה האפשרית הנטענת ב- BDI ובצדדים שלישיים . מדובר בשרת המתוחם בזמן, המוגבל לשנים 2013-2010. בהתאם, הוא כולל מידע ישן שרובו המכריע טכני , וניתן להניח שברובו כבר אינו רלוונטי. המידע האישי המצוי בשרת (לצד הנתונים הטכניים הרבים המצויים בו) לא ניתן להשגה בנקל ו"לא ניתן להקיש שאילתא לשלוף מידע פרטי" (עמ' 22 לפרוטוקול הדיון). השגתו כרוכה בשליפת נתונים רבים והצלבתם, בדרך של ביצוע פעולות מורכבות, וממילא - השגתו אפשרית גם בדרך של עיון בשרת האידרה במשרדי התביעה, עיון לו מסכימה המדינה. גם אם ניתן להניח כי פעילות מורכבת לשליפת נתונים אישיים היא אפשרית, נראה כי מידת הפגיעה הפוטנציאלית בפרטיות היא מצומצמת מאוד, שכן עסקינן במידע שהנו מוגבל בהיקפו ומצטמצם כדי מידע אודות אי-פירעון חובות, פשיטות רגל ושיקים ללא כיסוי, וגם הוא, כאמור, ישן ולא עדכני.

לאור כל האמור לעיל, ובהתחשב בנסיבותיו הייחודיות של תיק זה, הגעתי לידי מסקנה כי בשקלול האינטרסים והזכויות השונים המצויים בפניי, ידן של זכויות הנאשמים נמצאות על העליונה, גם ביחס לזכות ההעתקה. בנסיבות המקרה הנוכחי אין די בזכות העיון, ויש לחייב את המדינה לאפשר העתקת השרת. המדובר בחומר שהוא חיוני להגנת הנאשמים במובן המצדיק קבלת העתקו, ומניעת העתקה תפגע, בנסיבות העניין, בזכותם להתגונן.

ואולם, מתוך מטרה למנוע את זליגת העתק השרת החוצה ומתוך רצון להגן על זכויות BDI והצדדים השלישיים, ראיתי להורות על מספר תנאים ומגבלות, העולים בקנה אחד עם הצעות ההגנה השונות שהועלו במסגרת הדיונים (להרחבה בנושא ראו גם נמרוד קוזלובסקי המחשב וההליך המשפטי: ראיות אלקטרוניות וסדרי דין 146-147):
העתק שרת לא ייחשף או יועבר לידי מי שאיננו נאשם 1, המומחה מטעם ההגנה או חלק מצוות ההגנה - על הנאשם והמומחה מטעם ההגנה לחתום, כל אחד, על ערבות בסך 100,000 ₪ לצורך הבטחת תנאי זה;
העתק השרת יישמר בכספת, למעט בזמן ביצוע הבדיקות - באחריות ב"כ הנאשם;
על ההגנה ליתן הודעה לתביעה, כ-10 ימים מראש, בדבר מיקום הבדיקות ומועד עריכתן, באופן שיאפשר לתביעה לשלוח נציג מטעמה, לו תחפוץ בכך;
בתום שלב שמיעת הראיות, יושב העתק השרת לתביעה.

החלטה זו תיכנס לתוקף ביום 1.2.20.

המזכירות תשלח העתק ההחלטה לצדדים.

ניתנה היום , 19 ינואר 2020, בהעדר הצדדים.