"הסטטוס של ישראל כ'סטארט-אפ ניישן' הוא בן כמה עשורים, אבל המוניטין שלה בחדשנות היה תמיד תלוי ב-'צד האפל', צד שיותר ויותר קשה להתעלם ממנו. ישראל תפסה תפקיד מרכזי בקנה מידה עולמי במיזוג של טכנולוגיות דיגיטליות חדשות עם תעשיית ביטחון הפנים (HLS)". הציטוט הנ"ל אמנם לקוח מפתיחה של כתבה שפורסמה באתר middleeasteye, שהוא בעל נטייה פוליטית שמאלנית, אך הוא מיטיב לתאר את האופן שבו נתפסת לעיתים ישראל ותעשיית ההייטק שלה בעולם שבו שמות כמו NSO מככבים שוב ושוב בכותרות עסיסיות על פרשיות אפלות בסגנון ג'יימס בונד.
חברת הסייבר הישראלית NSO, שפיתחה מערכת המיועדת לארגוני ביטחון פנים ומשמשת לצורך מעקב אחר פעילות הסמארטפון של נשואי חקירה, סופגת ללא הפסקה אש משפטית ותקשורתית. הן בארה"ב והן בישראל מתנהלים נגד החברה הליכים, כשבעברו השני של המתרס ניצבים מולה פייסבוק העולמית וארגון אמנסטי אינטרנשיונל. אלה טוענים כי כלים שפיתחה משמשים בין השאר לצורך פריצה לחשבונות של פעילי זכויות אדם ומתנגדי משטרים דיקטטוריים. ב-NSO מסירים מעצמם אחריות בטענה שהיא רק מפתחת את הטכנולוגיה ולא אחראית לשימוש בה. לצורך העניין, כמו שיצרנית M16 לא אחראית על מי שנהרג משימוש בנשק שהיא מייצרת.
אולם אלו שמבקרים את NSO סבורים כי קיים הבדל בין העולם הפיזי לטכנולוגי, מכיוון שפיתוח הטכנולוגיה עשוי לחייב מעורבות עמוקה יותר מאשר ייצור נשק פיזי, כמו למשל איתור פרצות אבטחה וחולשות. חלק מהחברות גם מספקות שירותי הדרכה ושירותים נוספים. האחריות על השימוש בטכנולוגיה תעמוד ככל הנראה במרכזם של דיונים מוסריים ומשפטיים בעשור הקרוב, ככל שהטכנולוגיות יילכו וישתפרו, ועד שעולם המשפט יצמצם את הפער.
במצב הנוכחי, "חברות לוקחות סיכון שיום אחד ייקבע שמה שהן עשו היה סיוע לפשעי מלחמה ופשעים נגד האנושות", אומר עו"ד איתי מק, שהגיש עתירה מטעמה אמנסטי אינטרנשיונל לשלול את רישיון היצוא של NSO. "יש כאלה שזה לא מפריע להן ויש כאלה שכן. זה תלוי כנראה גם במבנה התאגידי של חלק מהחברות, לכל אחת יש את המחויבות שלה".
באחרונה נקשר גם שמה של חברת הסייבר סלברייט הישראלית באירועים שליליים. בין לקוחותיה נמנים כוחות המשטרה בהונג קונג, שם יש בשנה האחרונה מחאות על המעורבות הגוברת של סין בטריטוריה וחשש מוחשי לפגיעה בזכויות אדם על ידי השלטונות. בשבוע שעבר שלח עו"ד מק בקשה דחופה לאגף הפיקוח על יצוא ביטחוני (אפ"י) לעצור את היצוא של סלברייט.
"במשך מספר שנים המערכת של חברת סלברייט שימשה באופן לגיטימי את כוחות המשטרה בהונג קונג, בהתאם לצווים משפטיים ולפיקוח בתי המשפט שם", נכתב במכתב של מק. "היצוא של מערכת חברת סלברייט להונג קונג היה צריך להיפסק כבר בתחילת שנת 2019, כאשר החל גל הפגות הענק האחרון, והיה ברור שמתחוללת שם הידרדרות דרמטית. למרבה הצער, הדבר לא נעשה, ועל פי הדיווחים בהונג קונג במהלך השנה האחרונה נעשה שימוש במערכת של חברת סלברייט כדי לפרוץ לכ-4,000 מכשירי פלאפון של אזרחים ופעילים למען הדמוקרטיה - שנעצרו".
מסלברייט נמסר בתגובה כי "בהתאם לנהלי החברה והמדיניות שאנו מיישמים, איננו מגיבים בעניינם של לקוחות ספציפיים או אופן השימוש בטכנולוגיה שלנו. אנו מיישמים נהלים פנימיים קפדניים המכתיבים את האופן בו נעשה שימוש בטכנולוגיה שלנו. איננו מוכרים את הטכנולוגיה שלנו למדינות שנכללות ברשימה השחורה של ארגון FATF -Financial Action Task Force, או כאלה הנמצאות תחת סנקציות של הממשל האמריקני, ממשלת ישראל או הקהיליה הבינלאומית. סלברייט אינה חברת בתחום המעקב ואינה עוסקת בפעילות מעקב".
גם NSO נוקטת בצעדים שיסייעו לה להתמודד עם הביקורת שנמתחת עליה, ולפי החברה, גם למנוע הסתבכויות בעתיד. לטענת החברה, היא היתה מהראשונים בעולם שאימצו את עקרונות האו"ם ויישמו תוכנית לגיבוש רגולציה פנימית, צעדים אותם מוביל עו"ד שמואל סאנריי, היועץ המשפטי של החברה. סאנריי הגיע ל-NSO לאחר 14 שנים בתפקיד היועץ המשפטי של רפא"ל.
הפגנות בהונג קונג. השלטונות נעזרים בטכנולוגיות מעקב כדי לדכאן / צילום: Kin Cheung, Associated Press
בעולם מתחילים להתעורר
החששות כלפי NSO וסלברייט משקפים את ההתנגשות האפשרית בין שימוש בטכנולוגיות שונות להיבטים שקשורים לזכויות אדם, במיוחד לאור השתכללות הטכנולוגיה. "ראיתי המון מקרים של חברות טכנולוגיה שנכנסות ל'שדה מוקשים' ומסתבכות, למשל חברת AnyVision הישראלית", אומר ל"גלובס" ד"ר מתן גוטמן, שהקים חברה שמתעסקת בנושא.
בדוגמה של AnyVision, מיקרוסופט הודיעה כי תממש את ההשקעה שלה בחברה, שמפתחת טכנולוגיית זיהוי פנים שמוטמעת בשטחי יהודה ושומרון. לפי צוות הבדיקה של מיקרוסופט, החברה הגיעה למסקנה כי הטכנולוגיה של החברה לא משמשת למעקב המוני אחר פלסטינים בגדה המערבית, כפי שנטען, אך גם כי הבדיקה הייתה מוגבלת בגלל מגבלות משפטיות. במיקרוסופט הגיעו למסקנה כי החזקת מיעוט לא מאפשרת לה לפקח ברמה מספקת.
"כמומחה לזכויות אדם, התחלתי לראות את התעוררות של הארגונים הבין לאומיים ומדינות המערב - או"ם, OECD, האיחוד האירופי, ארה"ב ובריטניה - בכל הנוגע להתמודד עם טכנולוגיה, זכויות הפרט ואתיקה", הוסיף גוטמן. כדי לסייע לחברות שצריכות ייעוץ בנושא, הקים גוטמן - מרצה מן החוץ במרכז הבינתחומי - את חברת CRT עם אלי מרזל. גוטמן שימש כראש המטה של מרזל, כשהאחרון היה מנכ"ל משרד מבקר המדינה. CRT, ראשי תיבות של Cyber Rights Tech, רוצה לסייע לחברות להימנע מהתנגשות בין שימוש בטכנולוגיה לזכויות אדם, על ידי גיבוש כללי ונהלי עבודה שמותאמים לכללים בינלאומיים.
"אלי ואני שוחחנו הרבה על הסוגיות האלו בשנים האחרונות, והבנו שהאקוסיסטם של טכנולוגיה וחדשנות חייב גם מימד של אחריותיות (Accountability) כלפי - המשקיעים, הלקוחות, העובדים ומעל הכל הציבור הרחב", אמר גוטמן. החברה גם גייסה יועצים מוכרים: השופט יוסף שפירא, מבקר המדינה לשעבר; פרופ' שמואל האוזר, ראש רשות ניירות ערך לשעבר והמשנה לנשיא מכללת קריית אונו; וסלים ג'ובראן, שופט ביהמ"ש העליון והמשנה לנשיאת ביהמ"ש העליון בדימוס.
"לא כל אחת יכולה להשקיע כמו פייסבוק"
מרזל, שמשמש כנשיא החברה, אומר כי "ענף ההייטק הפך לחלון ראווה של ישראל בעולם. אנחנו מתרשמים שמנהלי החברות רוצים לעשות טוב. הם לא רוצים שהטכנולוגיה שלהם תהפוך להיות חרב פיפיות עבורם ועבור המוניטין של מדינת ישראל. חברת ענק כמו פייסבוק הקימה לעצמה גוף בקרה לצרכים דומים. זה מהלך שמסמן את הכיוון הכללי, אבל ברור שלא כל חברה יכולה להקצות קרן של 130 מיליון דולר לשם כך, כפי שפייסבוק עשתה לאחרונה".
המטרה היא שכפי שחברות מסתייעות בייעוץ משפטי וחשבונאי, כך הן גם ייעזרו ב-CRT כדי להקטין את החשיפה שלהן לתביעות או לסנקציות בהמשך הדרך. למעשה, גם לארגונים שרוכשים טכנולוגיות יש חובה לוודא כי הן של חברות המכבדות זכויות אדם.
"עצם ההצפה של סוגיית ההשפעות האתיות של חברות הטכנולוגיה, היא סופר נדרשת.
מהזווית של אחריות תאגידית, זו אולי הסוגיה הכבדה ביותר על סדר היום בקשר של עסקים וחברה, והיא לא מספיק מדוברת", אומר מומו מהדב, שמתמחה בנושא של אחריות תאגידית מתוקף תפקידו כמנכ"ל ארגון "מעלה", ואין לו קשר ל-CRT. ארגון מעלה מפרסם מדי שנה את "מדד מעלה לאחריות תאגידית", שמושתת על שאלון מקיף בתחומי חברה, סביבה, אתיקה ושקיפות. "הגישה של מעלה היא שאפריורית הכוונות של רוב החברות, המנהלים, היזמים והמפתחים היא חיובית ומניסיוננו, כשמגיעים יועצים ומצביעים לחברה על הצורך לנהל נושאים שלא מנוהלים, זה מביא להשפעה חיובית".
גוטמן מוסיף כי "המיזם משקף את השינוי הדרמטי המתחולל היום ברגולציה של חברות הטכנולוגיה - מהגנה על מידע ופרטיות (למשל GDPR) להגנה משמעותית על עקרונות רחבים יותר של אתיקה וזכויות אדם. ראו למשל את המתקפה על טכנולוגיות זיהוי הפנים והחשש מאפליה כנגד מיעוטים. בהתאם להנחיות של משרדי משפטים בארה"ב ובבריטניה, חברה שמאמצת תרבות אתית מוכחת הכוללת תוכנית ציות אפקטיביות, יכולה למנוע הליכים פליליים ורגולטוריים נגדה ונגד מנהליה. למעשה, גם לארגונים שרוכשים טכנולוגיות, יש חובה לוודא כי הרכישה התבצעה רק מחברות המכבדות זכויות אדם".
"גם אומרים
"'לא' לעסקאות"
איך תהליך כזה נראה בפועל? הלקוחה הראשונה של CRT היא חברת היא Cobwebs, שמונה כמאה עובדים בישראל, בארה"ב ובסינגפור. Cobwebs מתמחה באיסוף מודיעיני ברשת, משמשת כמעין גוגל מודיעיני שסורק הן את הרשת הגלויה, הן הרשת האפלה ואפילו את רשתות הבלוקצ'יין. המערכת שלה מאפשרת לאתר ולמפות קשרים בין אנשים לצורך חקירות פליליות, ביטחוניות ופיננסיות, והיא מסופקת לגופי ממשל, גופי ביטחון וגופים עסקיים רבים ברחבי העולם.
את המניע להתקשרות ולתהליך שעברה החברה עם CRT תיאר נשיא Cobwebs Technologies עמרי טימיאנקר: "העולם הווירטואלי הוא מערב פרוע שבו משתמשים עושים ככל העולה על רוחם. השליטה במידע והאכיפה של סוגיות של זכויות אדם נמצאות בידיים של חברות טכנולוגיה, באופן שייצר משבר אמון בין האזרחים לבין הממשלות וגופי האכיפה. לכן, שמנו לנו למטרה לצמצם בכוחות עצמנו את הפגיעה בזכות לפרטיות עקב שימוש במוצרים שלנו. בתהליך עם CRT חודדו נהלים ותורה שבעל פה הפכה לתורה שבכתב עם קריטריונים ברורים. התהליך נגע בכל ממדי הפעילות שלנו - פיתוח, שיווק ומכירה, התקשרות חוזית וממשל תאגידי".
נשיא קובוובס, עמרי טימיאנקר / צילום: כדיה לוי, גלובס
"בסוף, מאיפה כל הסקנדלים מגיעים? מבחירת לקוח ומתהליך המכירה. לכן הוספנו שימוש במדדים בינלאומיים שבוחנים שחיתות, דמוקרטיה וחירות במדינות בעולם. קבענו רף שאם מדינה מקבלת ציון נמוך ממנו, דרוש אישור מנכ"ל כדי למכור לה. לפני כן לא היינו חושבים על הדברים האלו, וכעת אנחנו מכנסים פעם בשבועיים ועדה שדנה בנושאים הללו וגם אומרת ‘לא' לעסקאות. זה לא דבר פשוט, אבל זה מאוד חשוב בגלל פוטנציאל הנזק. בסוף אנחנו מנהלים סיכונים", הוסיף טימיאנקר.
ב-NSO אמנם ממשיכים לספוג ביקורת, אבל בחברה מספרים כי שילבו מדדים בינלאומיים ומנגנוני בקרה גם בתהליך המכירה וגם כשהמוצר נמצא בשימוש אצל הלקוח. לדברי היועץ המשפטי של NSO, בחברה אף שואפים להפוך את הפעילות שלהם בתחום לסטנדרט בתעשייה. "זה משהו שכל חברה שפועלת בתחום הזה חייבת לחרוט על דגלה כדי להיות שחקנית בשוק", אמר עו"ד סאנריי, "לאור העבודה והחשיבה שהשקענו בשביל לגבש תוכנית פעילה חיה ונושמת, היינו רוצים לרתום את הגורמים המתאימים שיסייעו להפוך את הדבר הזה לסטנדרט שיוכר בתקינה בינלאומית".
"לא עושה מספיק"
"את הנושא של מה שמכונה משפט רך (שם כללי למגוון כלים משפטיים במשפט הבינלאומי שאינם בעלי תוקף מחייב) אנחנו מכירים כבר מתאגידים בינלאומיים בחו"ל. למשל' בחברות נפט או תרופות. אבל בהקשר של יצוא ביטחוני זו התפתחות מעניינת", אומר עו"ד איתי מק, שמתמחה במה שהוא מכנה "חזית סחר הנשק של ישראל".
לדעתו של מק, העובדה שמיזם CRT קם מראה שיש חוסר אמון באגף במשרד הביטחון ובבתי המשפט. "זה אומר שהחלטות של בתי המשפט בתיקים והרישיונות שהחברות הללו מקבלות, הן לא משהו שמספיק כדי להגן עלינו בחו"ל, וזו התפתחות מעניינת".
לדבריו, הבעיה היא ש"החקיקה הישראלית מתייחסת רק למקרים שבהם מוטל אמברגו על ידי מועצת הביטחון של האו"ם, אך זה אירוע נדיר. אני טוען שגם אם אין אמברגו, צריך לבדוק אם ארה"ב ואירופה אוסרות על מכירה למדינה, כמו בבורמה. ניתן גם לבדוק מה מצב זכויות האדם לפי תחקירים של ארגונים שונים.
עו"ד מק גם סבור כי ייתכן שקיים דיסוננס בין מה ש-CRT רוצים לעשות לבין האופן שבו היצוא הביטחוני עובד בפועל. "יש שוני בין חברות עסקיות ישראליות בתחום הביטחוני לבין חברות אמריקאיות ואירופיות. חברות ישראליות שרוצות לקבל רישיונות ועבודה, תלויות ביישום המדיניות של משרדי הביטחון והחוץ. אם במסגרת היחסים של ישראל עם מדינה מסוימת יש לישראל רצון לתת סיוע בתחום הסייבר והמעקב, אז החברות הפרטיות הן אלה שיבואו ויספקו את השירות. אם חברה ישראלית תבוא ותגיד שהיא לא מעוניינת לעבוד במקום מסוים, זה עלול לפגוע בה במקומות שהיא כן תרצה לעבוד, כי במשרד הביטחון עלולים להעדיף לעבוד עם חברות שכן מוכנות לעזור".
ממשרד הביטחון נמסר בתגובה כי "מדיניות הפיקוח על היצוא הביטחוני בישראל נתונה לבחינה מתמדת של הדרגים הבכירים במשרד הביטחון ומשרד החוץ, ונמצאת תחת פיקוח של הכנסת ובתי המשפט. בכל בקשה לרישיון יצוא ביטחוני נלקחים בחשבון שיקולים רבים, בהם סוגיית השמירה על זכויות אדם, החלטות מועצת הביטחון של האו"ם וכן שיקולים מדיניים וביטחוניים. אגף הפיקוח על הייצוא הביטחוני (אפ"י) במשרד הביטחון פועל בשיתוף פעולה הדוק עם גופי פיקוח בעולם ונחשב למוביל בתחום".
האם האחריות היא של החברות עצמן או של הרגולטור?
בחברת CRT צופים כי בעתיד הלא רחוק, הגנה על זכויות אדם תהפוך לרגולציה מחייבת, כפי שקרה בחוקי הפרטיות. אם כך, האם לא הגיוני להטיל רגולציה על החברות הישראליות, שקיים חשש מפני שימוש שלילי בטכנולוגיה שלהן? היועצים של CRT, שלהם היכרות קרובה עם המגזר הציבורי, סבורים שלא. לדברי פרופ' שמואל האוזר, "תמיד אפשר לחשוב על עוד גוף רגולטורי. יש לכך יתרון אם אותו גוף מתמקצע בנושא, אבל לעיתים יש לגוף חדש אג'נדה. גם בניגוד למה שחושבים, רגולטורים לא אוהבים להכניס את ראש לחברות ולהגיד 'בוא נטיל עליכם עוד חוקים'".
מבקר המדינה לשעבר, יוסף שפירא אמר כי "מצאה חן בעיניי הפתיחות של Cobwebs לתקן את הליקויים שמצאנו. גם בביקורת המדינה היה לנו אגף מיוחד שנקרא אגף למעקב אחר תיקון ליקויים. גוף שנכנס לעובדות עצמן ובודק כיצד הליקויים תוקנו, האם זה מספיק או שצריך להמשיך בתהליך. מה שאנו עושים כאן זה בעצם כמו דוח ביקורת עם תיקון ליקויים, ובלי הנחות, למרות שזה עסק פרטי".
ואילו השופט העליון לשעבר ג'ובראן אמר "היעדרה של חקיקה מפורשת בתחום מסוים, אין משמעותה עולם פרוץ ללא חוקים. פעילותן של חברות טכנולוגיה תיבחן לפי עקרונות משפט כלליים כמו תום לב, הגינות, זכויות אדם, פרטיות, תקנת הציבור וכו'. המסר הוא ברור: 'מנהלים, יזמים, ומשקיעים - אל תמתינו לתביעה או לחקירה הרגולטורית. כי ייתכן וזה יהיה מאוחר מדי. נקטו בגישה פרו-אקטיבית של רגולציה עצמית'".
חברת CRT
מסייעת לחברות להימנע מהתנגשות בין שימוש בטכנולוגיה לזכויות אדם על ידי גיבוש כללי ונהלי עבודה שמותאמים לכללים בינלאומיים ● הוקמה בסוף 2019 על ידי אלי מרזל וד"ר מתן גוטמן, לשעבר מנכ"ל משרד מבקר המדינה וראש המטה (בהתאמה) ● לחברה
מייעצים בכירים לשעבר במגזר הציבורי: השופט יוסף שפירא, ששימש כמבקר המדינה; סלים ג'ובראן, לשעבר המשנה לנשיאת ביהמ"ש העליון ושמואל האוזר, לשעבר יו"ר רשות ני"ע ● החברה לא גייסה הון חיצוני