משבר אמון בין ארה"ב ואירופה סביב שימוש בענן?
המאבק על זכות הפרטיות ברשת עולה לזירה הבינלאומית. ניתוח מיוחד
עו"ד אבגי אדמית
| 21/07/2015
בית משפט פדרלי בארה"ב הורה למיקרוסופט לחשוף ולמסור פרטי דואר אלקטרוני ומידע דיגיטלי פרטי אחר לרשות האכיפה, למרות שמידע זה אוחסן בשרתי החברה באירלנד כחלק משירותי ה"ענן" של מיקרוסופט. משמעות הקביעה היא, כי כל נותן שירות בענן לו סניף בארה"ב, מחויב יהיה לשתף פעולה עם הרשויות, לחשוף ולמסור מידע של לקוחותיו. מדרון חלקלק זה, עושי להוביל לחיוב כל נותן שירות ב"ענן" (אפל וגוגל למשל) למסור מידע פרטי של לקוחותיו לפי דרישת מדינה, חרף הימצאות המידע במדינה אחרת, זאת תוך פגיעה בריבונות המדינה ובזכות לפרטיות של המשתמש.
שירות "ענן" הינו שירות מחשוב הניתן למשתמש באמצעות מחשב מרוחק אליו הוא מתחבר דרך רשת האינטרנט או באמצעות קו תקשורת ייעודי. מאפיין זה מאפשר לנותן שירות ה"ענן" במדינה אחת לאחסן את המידע בשרתים ולהשתמש במרכזי מחשבים אשר נמצאים פיזית בכל העולם, בין אם במדינה אחת ובין אם בכמה מדינות. שירות זה מאפשר למשתמש להימנע מהוצאות גדולות של רכישת תשתיות, ציוד ותוכנות ואף מהצורך מלנהל אותם.
מאידך, המשתמש יוצר תלות בנותן השירות, הואיל וכל המידע האישי או העסקי שלו מאוחסן, עובר, נוצר אצל נותן השירות ולמעשה מאבד הוא את שליטתו הבלעדית במידע. מכאן שעל נותני השירותים ב"ענן" חלים חוקים רבים, בעיקרם חוקי הגנת הפרטיות שמטרתם לשמור על המידע של המשתמש מפני חשיפתו, החזקתו, שימוש בו וכד'. ככל הנראה חוקים אלה נסוגים כאשר מדובר ברצון המדינה לקבל מידע אישי של המשתמש כשם שבא לידי ביטוי בפרשת השרת האירי של מיקרוסופט ארה"ב.
בדצמבר 2013 הגישה רשות האכיפה של ארה״ב לבית המשפט הפדרלי, בקשה לצו חיפוש ותפיסת ראיות על מנת לחייב את מיקרוסופט ארה״ב למסור לידיהם תכתובות דוא"ל ומידע דיגיטלי פרטי אחר של לקוח החברה, החשוד לכאורה בעבירה של סחר בסמים, המאוחסנים בשרת של מיקרוסופט הממוקם באירלנד כחלק משירותי הענן של מייקרוסופט.
להפתעתם הרבה של מיקרוסופט, המדינות החברות באיחוד האירופי ואירלנד בפרט, בית המשפט נעתר לבקשת הרשות והוציא צו אשר מחייב את מיקרוסופט למסור את המידע. בית המשפט קיבל את טענת הרשות, כי אין צורך לפנות לאירלנד בכדי לבקש את חשיפת ומסירת המידע הואיל ומיקרוסופט יכולה ב"לחיצת כפתור", ממשרדיה הממוקמים בארה״ב, להעתיק ולמסור את המידע. מיקרוסופט ערערה על מתן הצו וביקשה לבטלו בטענה, כי הואיל ומדובר במידע המאוחסן בשרתים במדינה זרה על הרשות לפנות בערוצים הדיפלומטים המקובלים. בית המשפט דחה את ערעור מיקרוסופט.
בתגובה, הגישה מיקרוסופט ערעור לבית המשפט העליון אשר נדון בימים אלה ממש, אולם הפעם, לאור חשיבות הנושא, הצטרפו לערעור קבוצות רבות של גופים ביניהם חברות הייטק, גופים אקדמאים, כלי תקשורת ועוד, וכצעד חריג הצטרפו לערעור, אירלנד ונציגי פרלמנט האיחוד האירופי (אירלנד הינה חברה באיחוד האירופי) אשר הגישו לבית המשפט את עמדותיהם בנושא.
אירלנד בעמדתה, טענה כי על פי המשפט הבינלאומי הינה מוכרת כמדינה ריבונית אשר לה יחסים דיפלומטיים עם ארה"ב, על כן, בהתאם לחוק בארה"ב, על בתי המשפט לכבד ריבונות זו ולהימנע מפגיעתה. יתרה מכך, הואיל ובין ארה"ב ואירלנד קיים הסכם הדדי (אמנה) בנושא סיוע הדדי בחקירות פליליות, על ארה"ב לפעול במסגרתה.
נציגי האיחוד האירופי בעמדתם טענו, כי מידע אישי באיחוד האירופי מצוי תחת רגולציה וסטנדרטים "נוקשים" מאלה של ארה"ב שמטרתם לשמור על האוטונומיה של בעל המידע, המשתמש - באיחוד האירופי, סודיות מידע אישי מוגדרת כזכות אדם בסיסית אשר פגיעה בה תיעשה במקרה הקיצוני ביותר. על כן, הואיל וכמו באירלנד, גם בין ארה"ב ובין האיחוד האירופי קיימת אמנה בנושא סיוע משפטי הדדי, עוד משנת 2003, על ארה"ב לנהוג לפיה בכדי לאזן בין פער רגולטורי זה.
לא זו אף זאת, קיום הצו הפוגע בזכות היסוד לסודיות המידע, יפגע אף בחברות אמריקאיות רבות הפועלות באירופה אשר מחזיקות ומנהלות מידע אישי של מיליוני תושבים אירופאים, הואיל והחשש מהקלות שבחשיפת המידע יוביל למשבר אמון בעקבותיו יבקשו מדינות, עסקים ואזרחים באיחוד לתפוס את המידע השייך להם ולהוציאו מחזקת החברות. ועוד נטען, כי על פי הדירקטיבה האירופית לשמירת המידע, מיקרוסופט כלל לא מוסמכת להעביר את המידע למדינה מחוץ לאיחוד האירופי, אלא הדבר אפשרי רק דרך רשויות החוק באירלנד.
חשש האיחוד האירופי בפני משבר אמון אשר יוביל את המדינות החברות בו לנקוט אמצעים כנגד חברות הנותנות שירותים בתחום הענן בכדי למנוע חשיפת המידע בפני מדינות זרות, הינו חשש ממשי אשר התממש זה מכבר במדינות אחדות בעולם כגון רוסיה וברזיל, בהן הוצעו חוקים לפיהם החזקה ואחסון של מידע אישי של תושביהם אפשרי רק בשרתים המצויים בתוך המדינה.
בעידן בו טכנולוגיית ה"ענן" תופסת מקום מרכזי בחיינו ומקיפה את כל תחומי החיים, ולמעשה מקודמת על ידי ענקי הטכנולוגיה אפל, גוגל ומיקרוסופט באמצעות מוצריהם השונים (אשר לעיתים מקשים על המשתמש שלא להירשם או לעשות שימוש בשירותים אלו), מצב דברים בו נותן השירות ב"ענן" "מאבד שליטה" על המידע האישי של המשתמש ונאלץ לחשוף בנקל את המידע לכל מדינה החושקת בו, עלול לרוקן מתוכן את זכות המשתמש לפרטיות, עלול לפגוע בזכות היסוד האוניברסלית, כבוד האדם וחירותו, לגרום לנזקים אישיים ועסקיים למשתמש וכן עלול מלהרתיע משתמשים פוטנציאלים מלעשות שימוש בשירות טכנולוגי מתקדם זה.
ראוי אם כן, כי החלטת בית המשפט העליון בארה"ב בבקשת מיקרוסופט לבטל את הצו תיעשה לאור השיקולים האמורים לעיל. על המשתמש לעשות שימוש מושכל בשירות ה"ענן" תוך הבנה של החובות החלים על נותני שירותי "ענן" בכל הנוגע להחזקה, שימוש, העתקה או שמירה של המידע האישי.
***
עו"ד אדמית אבגי, בעלת משרד עו"ד AI-LAW, מתמחה במשפט טכנולוגיה, סייבר ומידע, מייצגת ונותנת שירותים משפטיים כוללניים ליחידים, יזמים וחברות. עו"ד אדמית הינה חוקרת משפט הסייבר באוניברסיטאות תל אביב וחיפה ובעלת ניסיון טכנולוגי בתחום הסייבר בין היתר מתוקף עבודתה בחברת RSA כאנליסטית וחוקרת הונאות באינטרנט
המאבק על זכות הפרטיות ברשת עולה לזירה הבינלאומית. ניתוח מיוחד
בית משפט פדרלי בארה"ב הורה למיקרוסופט לחשוף ולמסור פרטי דואר אלקטרוני ומידע דיגיטלי פרטי אחר לרשות האכיפה, למרות שמידע זה אוחסן בשרתי החברה באירלנד כחלק משירותי ה"ענן" של מיקרוסופט. משמעות הקביעה היא, כי כל נותן שירות בענן לו סניף בארה"ב, מחויב יהיה לשתף פעולה עם הרשויות, לחשוף ולמסור מידע של לקוחותיו. מדרון חלקלק זה, עושי להוביל לחיוב כל נותן שירות ב"ענן" (אפל וגוגל למשל) למסור מידע פרטי של לקוחותיו לפי דרישת מדינה, חרף הימצאות המידע במדינה אחרת, זאת תוך פגיעה בריבונות המדינה ובזכות לפרטיות של המשתמש.
שירות "ענן" הינו שירות מחשוב הניתן למשתמש באמצעות מחשב מרוחק אליו הוא מתחבר דרך רשת האינטרנט או באמצעות קו תקשורת ייעודי. מאפיין זה מאפשר לנותן שירות ה"ענן" במדינה אחת לאחסן את המידע בשרתים ולהשתמש במרכזי מחשבים אשר נמצאים פיזית בכל העולם, בין אם במדינה אחת ובין אם בכמה מדינות. שירות זה מאפשר למשתמש להימנע מהוצאות גדולות של רכישת תשתיות, ציוד ותוכנות ואף מהצורך מלנהל אותם.
מאידך, המשתמש יוצר תלות בנותן השירות, הואיל וכל המידע האישי או העסקי שלו מאוחסן, עובר, נוצר אצל נותן השירות ולמעשה מאבד הוא את שליטתו הבלעדית במידע. מכאן שעל נותני השירותים ב"ענן" חלים חוקים רבים, בעיקרם חוקי הגנת הפרטיות שמטרתם לשמור על המידע של המשתמש מפני חשיפתו, החזקתו, שימוש בו וכד'. ככל הנראה חוקים אלה נסוגים כאשר מדובר ברצון המדינה לקבל מידע אישי של המשתמש כשם שבא לידי ביטוי בפרשת השרת האירי של מיקרוסופט ארה"ב.
בדצמבר 2013 הגישה רשות האכיפה של ארה״ב לבית המשפט הפדרלי, בקשה לצו חיפוש ותפיסת ראיות על מנת לחייב את מיקרוסופט ארה״ב למסור לידיהם תכתובות דוא"ל ומידע דיגיטלי פרטי אחר של לקוח החברה, החשוד לכאורה בעבירה של סחר בסמים, המאוחסנים בשרת של מיקרוסופט הממוקם באירלנד כחלק משירותי הענן של מייקרוסופט.
להפתעתם הרבה של מיקרוסופט, המדינות החברות באיחוד האירופי ואירלנד בפרט, בית המשפט נעתר לבקשת הרשות והוציא צו אשר מחייב את מיקרוסופט למסור את המידע. בית המשפט קיבל את טענת הרשות, כי אין צורך לפנות לאירלנד בכדי לבקש את חשיפת ומסירת המידע הואיל ומיקרוסופט יכולה ב"לחיצת כפתור", ממשרדיה הממוקמים בארה״ב, להעתיק ולמסור את המידע. מיקרוסופט ערערה על מתן הצו וביקשה לבטלו בטענה, כי הואיל ומדובר במידע המאוחסן בשרתים במדינה זרה על הרשות לפנות בערוצים הדיפלומטים המקובלים. בית המשפט דחה את ערעור מיקרוסופט.
בתגובה, הגישה מיקרוסופט ערעור לבית המשפט העליון אשר נדון בימים אלה ממש, אולם הפעם, לאור חשיבות הנושא, הצטרפו לערעור קבוצות רבות של גופים ביניהם חברות הייטק, גופים אקדמאים, כלי תקשורת ועוד, וכצעד חריג הצטרפו לערעור, אירלנד ונציגי פרלמנט האיחוד האירופי (אירלנד הינה חברה באיחוד האירופי) אשר הגישו לבית המשפט את עמדותיהם בנושא.
אירלנד בעמדתה, טענה כי על פי המשפט הבינלאומי הינה מוכרת כמדינה ריבונית אשר לה יחסים דיפלומטיים עם ארה"ב, על כן, בהתאם לחוק בארה"ב, על בתי המשפט לכבד ריבונות זו ולהימנע מפגיעתה. יתרה מכך, הואיל ובין ארה"ב ואירלנד קיים הסכם הדדי (אמנה) בנושא סיוע הדדי בחקירות פליליות, על ארה"ב לפעול במסגרתה.
נציגי האיחוד האירופי בעמדתם טענו, כי מידע אישי באיחוד האירופי מצוי תחת רגולציה וסטנדרטים "נוקשים" מאלה של ארה"ב שמטרתם לשמור על האוטונומיה של בעל המידע, המשתמש - באיחוד האירופי, סודיות מידע אישי מוגדרת כזכות אדם בסיסית אשר פגיעה בה תיעשה במקרה הקיצוני ביותר. על כן, הואיל וכמו באירלנד, גם בין ארה"ב ובין האיחוד האירופי קיימת אמנה בנושא סיוע משפטי הדדי, עוד משנת 2003, על ארה"ב לנהוג לפיה בכדי לאזן בין פער רגולטורי זה.
לא זו אף זאת, קיום הצו הפוגע בזכות היסוד לסודיות המידע, יפגע אף בחברות אמריקאיות רבות הפועלות באירופה אשר מחזיקות ומנהלות מידע אישי של מיליוני תושבים אירופאים, הואיל והחשש מהקלות שבחשיפת המידע יוביל למשבר אמון בעקבותיו יבקשו מדינות, עסקים ואזרחים באיחוד לתפוס את המידע השייך להם ולהוציאו מחזקת החברות. ועוד נטען, כי על פי הדירקטיבה האירופית לשמירת המידע, מיקרוסופט כלל לא מוסמכת להעביר את המידע למדינה מחוץ לאיחוד האירופי, אלא הדבר אפשרי רק דרך רשויות החוק באירלנד.
חשש האיחוד האירופי בפני משבר אמון אשר יוביל את המדינות החברות בו לנקוט אמצעים כנגד חברות הנותנות שירותים בתחום הענן בכדי למנוע חשיפת המידע בפני מדינות זרות, הינו חשש ממשי אשר התממש זה מכבר במדינות אחדות בעולם כגון רוסיה וברזיל, בהן הוצעו חוקים לפיהם החזקה ואחסון של מידע אישי של תושביהם אפשרי רק בשרתים המצויים בתוך המדינה.
בעידן בו טכנולוגיית ה"ענן" תופסת מקום מרכזי בחיינו ומקיפה את כל תחומי החיים, ולמעשה מקודמת על ידי ענקי הטכנולוגיה אפל, גוגל ומיקרוסופט באמצעות מוצריהם השונים (אשר לעיתים מקשים על המשתמש שלא להירשם או לעשות שימוש בשירותים אלו), מצב דברים בו נותן השירות ב"ענן" "מאבד שליטה" על המידע האישי של המשתמש ונאלץ לחשוף בנקל את המידע לכל מדינה החושקת בו, עלול לרוקן מתוכן את זכות המשתמש לפרטיות, עלול לפגוע בזכות היסוד האוניברסלית, כבוד האדם וחירותו, לגרום לנזקים אישיים ועסקיים למשתמש וכן עלול מלהרתיע משתמשים פוטנציאלים מלעשות שימוש בשירות טכנולוגי מתקדם זה.
ראוי אם כן, כי החלטת בית המשפט העליון בארה"ב בבקשת מיקרוסופט לבטל את הצו תיעשה לאור השיקולים האמורים לעיל. על המשתמש לעשות שימוש מושכל בשירות ה"ענן" תוך הבנה של החובות החלים על נותני שירותי "ענן" בכל הנוגע להחזקה, שימוש, העתקה או שמירה של המידע האישי.
***
עו"ד אדמית אבגי, בעלת משרד עו"ד AI-LAW, מתמחה במשפט טכנולוגיה, סייבר ומידע, מייצגת ונותנת שירותים משפטיים כוללניים ליחידים, יזמים וחברות. עו"ד אדמית הינה חוקרת משפט הסייבר באוניברסיטאות תל אביב וחיפה ובעלת ניסיון טכנולוגי בתחום הסייבר בין היתר מתוקף עבודתה בחברת RSA כאנליסטית וחוקרת הונאות באינטרנט
