מאת: אפרת אומיאל-פדידה, עו"ד L.L.M
גניבת זהות היא סוג של הונאה. תרמית של הצגת זהותו של אדם אחד בזהותו של אדם אחר. אדם המתחזה להיות אדם אחר לצורך שימוש בנכסיו, זהותו, יתרונותיו והטבותיו של האחר. לקורבן עבירת גניבת הזהות עלולים להיגרם נזקים רבים; בתחום הפלילי:גניבת הזהות עלולה לאפשר ביצוע פשע בשם אדם אחר אשר יקשה עליו מאוד להוכיח כי לא הוא ביצע. בתחום האזרחי:פגיעה כלכלית (גניבה של נכסים וכספים), פגיעה בשם הטוב ובמערכות יחסים של האדם עם מכריו.
גניבת הזהות באינטרנט היא תופעה רחבה ומתפתחת, אשר ההשלכות שלה על הפרט חמורות ביותר. בעוד גניבת זהות בעולם הפיזי מתבצעת באמצעות תעודות או שינוי מראה חיצוני פיזי, באינטרנט גניבת הזהות יכולה להתבצע מכל מקום בעולם, כאשר זהותו של המבצע היא חסויה כמעט לחלוטין. נוצר מצב שבו גם לאחר חשיפת העוולה יקשה מאוד על הנפגע למצוא את המעוול ולגרור אותו לדין. עומד הנפגע מול מצב בלתי אפשרי בו מצד אחד נגרם לו נזק ממשי לשמו הטוב, לרכושו ולנכסיו ומצד שני עליו להוכיח את חפותו מול הרשויות כאשר כל הראיות האלקטרוניות מצביעות עליו כחץ. הדילמות הרבות העולות ממקרים של גניבת זהות הן אוניברסאליות ומנסים לפותרן מסביב לעולם בדרכים שונות: באמצעות שינוי בחקיקה, באמצעים טכנולוגיים אשר יאפשרו אבטחת מידע מוגברת, באמצעות אסטרטגיות שיפוטיות כגון אסטרטגיית ההכרעה. האם מצב החקיקה בארץ מאפשר לאזרח להגן על חפותו במקרים של גניבת זהות? בסמינריון זה אנסה להציג דעות ופתרונות, תוך שימת דגש על השינויים העולים ונדרשים בטכנולוגיה, בחקיקה ובדיני הראיות.
היקף התופעה:
מעיון מעמיק בתופעה עולה כי גניבת זהות יכולה להתרחש בכל רגע נתון ולקרות לכל אחד. להלן מספר דוגמאות לסוגי גניבות הזהות האפשריות והדרכים המקובלות לביצוען.
סוגי גניבת הזהות נחלקים למספר תחומים:
א) גניבת זהות פלילית: התחזות לאדם אחר תוך ביצוע פשע.
ב) גניבת זהות כלכלית: שימוש בזהותו של אחר לצורך השגת אשראי ורכישת מוצרים ושירותים.
ג) שיבוט זהות: שימוש במידע של אדם אחר על מנת להשתמש בזהותו בחיי היומיום
ד) גניבת זהות רפואית: שימוש בזהותו של אחר על מנת לקבל שירותי בריאות ותרופות.
ה) גניבת זהות של ילדים: שימוש בזהות של ילד במהלך שנים, בעוד איננו מודע לכך, עד שהוא מגיע לבגרות ומגלה כי נעשה שימוש בשמו ופרטיו.
דרכי ביצוע:
עברייני גניבת הזהות יודעים מהו המידע אותו הם מחפשים והיכן ניתן למצוא אותו. הם משתמשים בטכניקות מגוונות לצורך דליית הנתונים הרלוונטיים ממקורות בהם אנו עושים שימוש יומיומי ללא חשש ואיננו מודעים לסכנה בה אנו מעמידים את עצמינו. להלן מספר דוגמאות לאמצעים לדליית מידע על אדם לצורך שימוש בלתי חוקי בזהותו:
א. נבירה וחיפוש באשפה לצורך מציאת מידע אישי.
ב. דליית מידע מציוד מחשב המשמש לאכסון מידע כגון; מחשבים אישיים, טלפונים סלולריים, דיסק און קי, וכ"ו אשר נזרקו או נמכרו לאחרים.
ג. שימוש במידע אשר פורסם ע"י רשויות ציבוריות כדוגמת רשימות בוחרים.
ד. גניבת כרטיסי אשראי או כספים מחשבונות בנק, תעודות זהות, פספורטים, רישיונות נהיגה וכ"ו בדרך כלל ע"י פריצה לבתים, כייסות או גניבת דואר.
ה. שליפת מידע מהבנק או כרטיסי האשראי תוך שימוש בקורא כרטיסים ידני ליצירת עותק של כרטיס המקורי.
ו. קריאת המידע על כרטיס האשראי ללא מגע, תוך שימוש בטכנולוגית RFID (שימוש בגלי רדיו).
ז. צפיה במשתמשים המקלידים את הסיסמאות שלהם, כרטיסי חיוג, במקומות ציבוריים (גלישה מאחורי הגב).
ח. גניבת מידע ממחשבים תוך שימוש בתוכנות ריגול כגון סוסים טרויאנים, תוכנות מעקב אחרי הקלדה במקשים ועוד.
ט. גלישה וחיפוש ברשתות חברתיות לצורך איסוף מידע על אנשים.
י. הסטת כתובות דוא"ל ודואר רגיל של משתמש לצורך קבלת המידע האישי שלו, חשבונות, כרטיסי אשראי ועוד.
יא. התחזות לצורך יצירת קשר עם אנשי שירות לקוחות, תמיכה טכנית ונציגי חברות במטרה לגרום להם למסור מידע אישי על לקוח.
יב. גניבת צ'קים כדי להשיג מספרי חשבון בנק.
יג. ניחוש מספרי זהות באמצעות שימוש בנתונים שנלקחו מאתרי רשתות חברתיות כדוגמת פייסבוק.
יד. גניבת תמונות מאתרי רשתות חברתיות לצורך שימוש כאמצעי זיהוי.
טו. התחברות עם זרים ברשתות חברתיות על מנת להוציא מהם מידע ופרטים אישיים.
טז. חדירה לרשתות תקשורת ובסיסי נתונים באמצעות האקרים על מנת לאסוף מידע בכמויות גדולות.
יז. שימוש לרעה בגלישת מידע כמו שמות, מספרי זהות ומספרי כרטיסי אשראי שפורסמו בטעות.
יח. פרסום מודעות דרושים פיקטיביות כדי לקבל קורות חיים ומידע על שמו, כתובתו ופרטים נוספים על האדם.
יט. שימוש לרעה של עובדים באפשרות שלהם לגישה לחומר רגיש של המעסיק.
כ. חדירה למאגרים של חברות גדולות אשר מחזיקות מידע רב על אנשים.
כא. פישינג(Phishing): התחזות לארגונים, חברות וחנויות באמצעות דוא"ל, סמס, שיחות טלפון, שאלונים ועוד באמצעות אתר אינטרנט פיקטיבי במטרה לגרום לאדם להכניס שם משתמש וסיסמא לאתר.
כב. השגת טביעת אצבע על מנת להעתיקה ושימוש בסוכריות גומי על מנת לרמות סורקי טביעת אצבע.
גניבת זהות באינטרנט: מבוא
אדם הגונב זהות אחר באינטרנט יכול לבצע זאת במספר שיטות: באמצעות פניה לאדם והצגת עצמו כאחר או באמצעות הצגת נתוני גישה ייחודיים לאדם מסויים באתר אינטרנט ובכך להיחזות להיות אחר המבצע את הפעולה. לכאורה נראה כי מדובר בפשע המושלם. כל המעשים מתרחשים בזירה הוירטואלית והראיות המוחשיות הן פקודות ונתוני מחשב אשר קשה מאוד לעקוב אחריהן או לחפש אחר עקבות הפושע. נתון נוסף אשר מקשה על הראיות הוא כאשר גניבת הזהות מתבצעת על ידי עבריין ממדינה זרה אשר בה חוקי האינטרנט שונים ואינם מגדירים את מעשיו של הגנב כעבירה. לאורך השנים ניסו מדינות רבות מסביב לעולם לפתור את הנושא בדרכים של חקיקה, ענישה מחמירה והקמת גופים שונים אשר מטרתם לגלוש ולבלוש ברשת לצורך איתור עבריינים והבאתם לדין. אולם הנושא המדאיג ביותר לאדם אשר זהותו נגנבה הוא הפחד מפני חוסר יכולתו להוכיח את חפותו ובכך יפול קורבן גם כנושא בעונש על העבירה בעודו חף מפשע.
הבעיה: הרשעת חפים
בראש ובראשונה קיים חסם שיטתי בהרשעות על עבירות גניבת זהות באינטרנט. מאחר וקיימת חוסר הוודאות לגבי חפותו של הנאשם בשל מחסור אמיתי בראיות חפציות. בית המשפט חייב לקבוע לעצמו מדיניות הרשעה על מנת שלא לזכות באופן גורף בכל מקרה של גניבת זהות ובכך לפגוע משמעותית בוודאות המשפט ובתחושת הביטחון בציבור. בסמינריון זה אסקור מספר פתרונות מוצעים על מנת לנסות לפתור את הבעיה, תוך בדיקת יכולתו של החוק הישראלי להגן מפני הרשעת חפים תוך שימוש במחקר השוואתי למצב בארצות שונות מסביב לעולם.
פתרון מוצע א': ההליך שיפוטי
ניתן למנוע הרשעת חפים באמצעות שימוש במודל האנליטי של אסטרטגיית ההכרעה השיפוטית[1]. האסטרטגיה קובעת כי בכל שלב במהלך ההליך השיפוטי כאשר יש לשופט אפשרות לבחור, עליו להעדיף את האפשרות הממזערת סיכוי להרשעת חף. באופן זה כל אבן דרך במהלך המשפט מצמצמת עוד ועוד את הסיכויים והסיכון להרשעת חפים. מאחר ולשם הרשעה בהליך פלילי על התביעה להוכיח אשמה מעבר לספק סביר, כל שנותר לנאשם הוא להוכיח כי התביעה לא עמדה בנטל ההוכחה ואז לא יורשע. אולם לא נראה כי קל הוא הדבר, בייחוד בישראל, לעמוד בנטל הוכחה מסוג זה. מאחר וקיים גם חסם הסתברותי[2] שעל פיו יקשה מאוד לאור התחכום ההולך ומשתכלל בפריצה לנתונים ברשת אינטרנט, המגדיל את ההסתברות להרשעה. כאשר מדובר בפריצה פיזית לבית ושימוש במחשב של אדם אחר, ההסתברות כי לא ניתן יהיה למצוא ראיות כלשהן בזירה היא נמוכה. אולם מה לגבי פריצה לאתר קניות מאובטח כדוגמת אמזון? האם ההסתברות גם כאן זהה? עד כמה אנו מוגנים כיום באתרי אינטרנט מאובטחים? גם על שאלות אלו אשתדל לענות בהמשך.
פתרון מוצע ב': פרשנות רחבה לחקיקה הקיימת
דומה כי עם חקיקתו של חוק המחשבים[3] , נפתרו האתגרים המשפטיים טכנולוגיים איתם מתמודד בית המשפט, אולם למעשה אין כך הדבר. במאמרו "חוק המחשבים והתמודדות המשפט עם האתגר הטכנולוגי "[4] מונה ויקטור בוגנים את הסיבות בעטיין המהלך היה חשוב אם כי לא מספיק וטוען כי נדרש שינוי גישה מהותי ביחס לחקיקה העוסקת בדיני מחשבים ואינטרנט הלוקחת בחשבון את אופיה המיוחד של המדיה: נכון להיום, סעיפי החוק אינם מגדירים מפורשות עבירה של גניבת זהות באינטרנט. וכן, לא נוספו סעיפי חוק ספציפים הדנים בעבירות המבוצעות ברשת האינטרנט.
בפס"ד בעיניין אהוד טננבאום[5] קבע ביהמ"ש :
"תכלית חקיקת חוק המחשבים: העבירות לפי חוק המחשבים נחקקו על רקע ההתגברות של עבריינות המחשבים, והן נועדו להתמודד עם הצורך במתן הגנה לשימוש במחשב, במידע או בתוכנה במקום שהחקיקה העונשית הכללית לא כיסתה תחום ייחודי זה"
סעיף 441 לחוק העונשין[6] מגדיר עבירה של התחזות כאחר:
"441 . התחזות כאדם אחר (תשכ"ו)
המתייצג בכזב כאדם אחר, חי או מת, בכוונה להונות, דינו – מאסר שלוש שנים."
יסודות העבירה דורשים: 1. הצגה בכזב 2. כאדם אחר חי או מת 3. בכוונה להונות.
סעיף 3 לחוק המחשבים אמור להסדיר את הנושא מזווית אחרת של הצגת מידע כוזב
" 3. מידע כוזב או פלט כוזב
(א) העושה אחת מאלה, דינו – מאסר חמש שנים:
(1) מעביר לאחר או מאחסן במחשב מידע כוזב או עושה פעולה לגבי מידע כדי שתוצאתה תהיה מידע כוזב או פלט כוזב;
(ב) בסעיף זה, "מידע כוזב" ו"פלט כוזב" – מידע או פלט שיש בהם כדי להטעות, בהתאם למטרות השימוש בהם."
ואילו סעיפים 4 ו 5 לחוק המחשבים מתייחסים לעבירת חדירה לחומר מחשב, כאשר סעיף 5 הוא סעיף "סל" אשר לתוכו ניתן ליצוק תוכן במידת הצורך:
"4. חדירה לחומר מחשב שלא כדין
החודר שלא כדין לחומר מחשב הנמצא במחשב, דינו – מאסר שלוש שנים; לענין זה, "חדירה לחומר מחשב" – חדירה באמצעות התקשרות או התחברות עם מחשב, או על ידי הפעלתו, אך למעט חדירה לחומר מחשב שהיא האזנה לפי חוק האזנת סתר, התשל"ט-1979.
5. חדירה לחומר מחשב כדי לעבור עבירה אחרת
העושה מעשה האסור לפי סעיף 4 כדי לעבור עבירה על פי כל דין, למעט על פי חוק זה, דינו – מאסר חמש שנים."
לכאורה נראה כי באמצעות פרשנות רחבה ניתן לשייך גם כל עבירת אינטרנט או התחזות באינטרנט לאחד מסעיפי חוק אלו, אולם נושא הגניבה בעייתי יותר מאחר ובאינטרנט הגנב אינו "נוטל ונושא דבר הניתן להיגנב" כהגדרת העבירה[7]. לשון החוק מלאה תיאורים פיזיים אשר אינם מתאימים לעולם הדיגיטלי[8].
במספר פסקי דין דן בית המשפט בשאלה, האם מאחר ולשון החוק אינה מגדירה באופן ברור את יסודות העבירה הדיגיטלית, יש מקום לעבור לפרשנות תכליתית בעבירות אינטרנט ומחשב. בפרשת הרנוי[9] משאירה השופטת דורנר בצריך עיון את השאלה האם שינוי יתרה בחשבון בנק היא גניבה, ובפרשת רום[10] אומר השופט רובינשטיין שיתכן והגיע הזמן לפרשנות תכליתית בעולם הוירטואלי כדי שיכסה מצבים כאלה.
נראה כי לשם יצירת יסודות העבירה בפרשנות רחבה לחקיקה על השופטים לחבר יחדיו סעיפי עבירה מחוקים שונים, אשר מקשים על התביעה להגדיר את סעיפי העבירה בכתב האישום, כמו כן, על השופטים להכריע לגבי הרלוונטיות של סעיפים אלו למקרה העומד בפניהם. אולם החמור מכל הוא, כי העדר חוק מפורש העוסק בענייני האינטרנט ועבירות ספציפיות ברשת האינטרנט, פוגע ביסודות ומהות החקיקה הפלילית והיא: "אין עונשין אלא אם כן מזהירין". הרכבת עבירות לא מפורשות לנושא האינטרנט כטלאי על טלאי, אינה מאפשרת לאזרח להתגונן מפני הרשעה פלילית ולדעת באופן ברור מראש האם המעשים אותם הוא מבצע ברשת האינטרנט הינן ברי עונשין או פליליים. בעיה זו נובעת בין השאר מאופיה המיוחד של רשת האינטרנט המהווה מעין עולם בפני עצמו, הנחזה לרבים מהגולשים בו, כמקום אוטונומי ונייטרלי, אשר בו הכללים וחוקים שונים מן העולם המציאותי וניתן לבצע בו מעשים אשר בעולם פיזי יתכן ומעולם לא היו מבצעים. בפרשת ערוץ 10[11], מעלה השופט דן מור בשלום את רעיון משחק התפקידים ונשף המסכות הקיים באינטרנט . הוא מציג את האינטרנט כעולם ומלואו של משחקי תפקידים שאר בו לעולם לא ניתן לדעת מי נימצא מולך. יש להוכיח מודעות להתנהגות, נסיבות ולתוצאה. אומר שבעולם הוירטואלי לא ניתן להרשיע מאחר ומדובר בתיאטרון מסכות ולכן אין יסוד נפשי באינטרנט ויסוד המודעות לא קיים ולפיכך לא ניתן להרשיע.
לעומת זאת במחוזי[12] נהפכה החלטה ונקבע כי :
"…וכדי לא להותיר נושא זה ללא כל אמירה, נאמר כי גם בפן העקרוני, השקפתו של בית-משפט קמא עומדת בניגוד לתכלית החקיקה ובניגוד לכל הגיון. כפי שטענה התביעה, לא יתכן כי רשת האינטרנט תהפוך ל"עיר מקלט" לביצוע כל עבירה, רק בשל הווירטואליות והאנונימיות של הדוברים."
פרשנות רחבה נוגדת את עקרונות המשפט הפלילי אשר כמכוון התנהגות ומגן על ערכים, דורש הגדרה ברורה ודווקא פרשנות מצמצמת[13].
פתרון מוצע ג': חקיקה חדשה
הכתיבה העוסקת במשפט וטכנולוגיה מעלה שוב ושוב את מטפורת פיגור החוק אחר הטכנולוגיה.
ג'וזף סומר[14] מציג פיגור כפול. הטכנולוגיה והמשפט משפיעים על, החברה משפיעה על המשפט ועל הטכנולוגיה והקשרים בין משפט לטכנולוגיה מתוּוָכים חברתית. החוק נובע מפיתוח של פרקטיקות חברתיות שנוצרו ע"י הטכנולוגיה האחרונה. לפי סומר עקב כך קיים פיגור כפול בין הטכנולוגיה למשפט מאחר ופרקטיקות חברתיות קודם כל מטמיעות טכנולוגיה ורק אז המשפט מטמיע את הפרקטיקות החברתיות. ע"פ סומר אלו הן הסיבות אשר בעטיין קשה מאד לחזות את השפעת הטכנולוגיה על המשפט. לעומתו רובין פלדמן[15] טוענת כי החוק מטבעו מתפתח וחדשני לא פחות מהטכנולוגיה. החברה עצמה משתנה בהתמדה, לא רק הטכנולוגיה. החוק הוא זה אשר מניע התנהגות וטיעונים משפטיים לעבר אזורים חדשים.
למרות הדעות השונות בספרות ובאקדמיה, מצאו לנכון במדינות רבות בעולם לחוקק חקיקה מגנה ספציפית לעניין עבירות אינטרנט. לעומת זאת בישראל, ניסיונות למהלכי חקיקה אשר יגבילו את הגולשים או יחמירו איתם, גרמו להתמרדות חזקה מקרב קהילת האינטרנט. במקרה של ח"כ ישראל חסון בהצעת "חוק הטוקבקיסטים" שהונחה על שולחן הכנסת ביום 30.10.2006[16], וקראה לבטל את האנונימיות ברשת, בתגובה וכמחאה פרצו גולשי האינטרנט לאתרו האישי של ח"כ חסון והשחיתו אותו.
בעקבות ניסיון זה וניסיונות אחרים, נראה כי כיום אין הכנסת ממהרת להסדיר מדיניות של החמרה ברשת באמצעות חקיקה וההתמודדות עם העבירות השונות נעשית על ידי פרשנות שיפוטית לחוק הקיים.
למרות זאת, מדיניות ההתחמקות מהסדרה פורמלית של הכנסת אינה רצויה. מאחר ולמרות הטענות כי הטכנולוגיה משתנה ללא הרף וכי חקיקה ספציפית לטכנולוגיה זו או אחרת אינה אפקטיבית, נראה כי האינטרנט הוכיח כי הוא "כאן להישאר" ובדומה למחשב שהפך לחלק בלתי נפרד מחיינו גם האינטרנט תופס חלק נכבד בפעילות השגרתית והיומיומית של החברה במאה 21. הקלות הבלתי נסבלת שבה ניתן לבצע עבירות אינטרנט והפגיעות של הגולשים בחשיפתם לאפשרויות ביצוע עבירות נגדם, בשילוב עם התעלמות החקיקה מהסדרת הנושא באופן ספציפי יוצר מצב לא רצוי ולא ראוי בו האזרח עלול להיפגע באופן חמור ואף להיות מורשע בפלילים מבלי שיוכל להסתמך על חוק כלשהו להגנתו ויהיה תלוי כולו לחסדי הפרשנות של בית המשפט.
לכן יש לשאוב דוגמאות מחקיקה כללית וספציפית המקובלת בעולם במדינות הקרובות לשיטת המשפט הישראלית כגון בריטניה וארה"ב ולפתח חקיקה דומה ומתאימה למציאות הישראלית. (אדון בדוגמאות לחקיקה אפשרית בפרק הדן במשפט המשווה).
פתרון מוצע ד': שינוי בדיני הראיות
אפשרות נוספת לשינוי בחקיקה הוא שינוי ברמת דיני הראיות. השינויים יכולים להתבטא בכמה מישורים:
א. דרישה ספציפית בעבירות אינטרנט לחיזוק לצורך הרשעה בדומה להרשעה על סמך עדות יחיד של קטין[17] .
ב. שינוי המשקל הניתן לראיה אינטרנטית תוך דרישה לראיה חפצית כלשהי או דבר מה נוסף מהעולם הפיזי.
מאחר ובעבירות גניבת זהות יתכן כי הפושע מחזיק בידיו את כל המידע הנדרש לשם התחזות לאחר וביצוע פעולות בשמו, יקשה על הנאשם בעבירות מסוג זה להוכיח ברמת הראיות כי לא הוא אשר ביצע את המעשים המיוחסים לו. שינוי הדרישה הראייתית לדבר מה נוסף או דרישה חפצית יכול להוביל להכוונה התנהגותית של העסקים והמוסדות באינטרנט ולעודדם לפתח טכניקות וטכנולוגיות חדשות לזיהוי הגולש באופן חפצי וודאי.
אמנם יתכן כי דרישה מסוג זה עלולה להקשות יתר על המידה על התביעה, אולם היא מאפשרת איזון בין קלות ההרשעה על סמך נתונים וירטואלים בלבד ומשרתת את המטרה להימנע מהרשעה שגויה של חפים מפשע.
פתרון מוצע ה': החמרת הענישה
על פי התיאוריה של ריצ'רד פוזנר בספרו "משפט וספרות"[18] הענישה היא דרך אפקטיבית ביותר למנוע עבירות. על העבירות להיות מרתיעות וחמורות ומצד שני לא לשלול באופן מוחלט את הרצון החופשי ואת האפשרות לשיקום לאחר מעשה. אולם, לקחת בחשבון גם את מבחן ההסתברות להיתפס. אם ההסתברות של אדם להיענש למרות היותו חף מפשע, שווה להסתברות של ענישה עקב היותו אשם הסיכויים כי יבצע עבירה יגדלו.
במאמרן "עבירות מחשב בעשור החולף"[19] מדגישות נעמי אסיא ורחל אלקלעי את החשיבות בהחמרת הענישה תוך ציטוט מתוך פסק הדין בפרשת "האנלייזר":
"השופטת ברלינר היטיבה לציין לעניין הצורך בקביעת נורמת ענישה ראויה, כי:בעולם שבו כל הידע שנצבר, בכל תחום שהוא… מצוי במחשבים, הצורך הראשון במעלה הוא להגן על מאגרי המידע העצומים המצויים במחשבים. אם לא תינתן הגנה שכזו, איש מאתנו לא יוכל לתפקד.
השופט המר הצטרף לדעת חברתו וטען כי האינטנסיביות, הנועזות, חוסר המעצורים וריבוי העבירות חובקות העולם על פני תקופה ארוכה, הנזקים הישירים והעקיפים, האינטרס הציבורי והחשיבות ההולכת וגוברת בעולם המודרני של מחשב ומאגרי מידע- כל אלה מחייבים הצבת רף ענישה חמור יותר."
מבחינת חומרת הענישה אין העבירה של גניבת מטלטלין, הפוגעת רק ברכושו של האדם, או העבירה של התחזות לאחר הפוגעת בשיקול הדעת של האדם לגבי התקשרות עם גורם זה או אחר, דומות לעבירה של גניבת זהות הפוגעת במהות קיומו של אדם, זהותו, שמו הטוב, ודרך חייו. הפגיעה באדם כאשר זהותו נגנבת היא כה חזקה, כה חמורה וכה מהותית לגבי המשך חייו שעל הענישה לבטא אותה באופן ספציפי ומחמיר ביותר. במקרה של עבירות גניבת זהות ניתן להשוות אותן כמעט לעבירות לרצח או להריגה למרות שהאדם נותר חי, אופיו, וזהותו העצמית "נרצחת" ומושחתת באופן כזה שלעיתים אין הוא יכול עוד לשקמה. ההשלכות הנפשיות ופיזיות העלולות להיגרם לאדם עקב כך דומות לפשעים החמורים ביותר בחברה כדוגמת "אונס" או כפיה שהרי למרות שלאדם עצמו אין חלק פיזי במעשה, "נאנסת" זהותו לבצע מעשים אשר מעולם לא התכוון או חשב לבצע. החמרה בענישה תוביל להרתעה של רבים מן הפושעים פוטנציאליים אשר ביודעם כי העונש המחכה להם על העבירה ישלול את חירותם לשנים רבות יתכן וימנעו מלבצע את המעשים.
פתרון מוצע ו': אמצעים ביומטריים
הפתרון של הגנה באמצעים ביומטריים נסמך על התיאוריות והיישומים של אבטחת מידע ברשת האינטרנט. כיום אבטחת המידע ברשת מבוססת הצפנה באופן כזה אשר בהתרחש מצב שבו כל המידע נופל בידי גורם זר, "אויב" ובלתי רצוי, המידע מוצפן באופן כזה שרק באמצעות מפתח חד ערכי וייחודי ניתן לפענח אותו. באופן זה כל הבסיס הסודי יכול ליפול בידי האויב אולם המידע חסר ערך מכיוון שיהיה חסום ובלתי ניתן לפענוח. היום לדוגמא משתמשים בטכנולוגיית RSA [20] הבנויה על פתרון מתמטי של אלגוריתם פשוט, הידוע לכולם, אולם רק למשתמש ספציפי יש את המפתח הייחודי שלו שאינו ניתן לשכפול או זיוף ובעזרתו הוא יכול להגיע למידע המוצפן. הטכנולוגיה מבוססת על יכולתם המוגבלת של מחשבים כיום למצוא מספרים ראשוניים חדשים. מידע זה הוא מרגיע מחד ומדאיג מאידך מאחר ובכל שלב יכולה האנושות לבצע קפיצה קוונטית בהתפתחות הטכנולוגיה (כפי שקרה לא פעם בעבר) ובמידה ומישהו ימציא מחשב או כל מכשיר אחר שהינו מהיר יותר ובעל יכולות מתקדמות יותר הוא יוכל בקלות לפרוץ את מסכי ההגנה הכלל עולמיים ולהגיע לכל מידע בקלות. מדענים עובדים בימים אלו (אם כי עדיין ללא הצלחה) על מחשב "קוונטי" אשר יוכל לבצע בו זמנית בכמה מימדים חישובים ובדרך זו לפצח צפנים, אשר באמצעות מחשבים רגילים ייקח מאות אלפי שנים לפצחם, תוך שעות ספורות. מצב זה הנראה לנו כרגע כמדע בדיוני אינו כה רחוק מן המציאות ברגע שיתרחש עלול למוטט את כל מערכת ההגנה הדיגיטלית שלנו.
מסיבות אלו ואחרות, נוצרת דרישה לדרך נוספת לזיהוי המשתמש תוך ווידוא חד משמעי של זהותו. האמצעים הפופולאריים כיום לזיהוי מסוג זה הם זיהוי קולי, זיהוי באמצעות טביעת אצבע וזיהוי באמצעות רשתית העין. האחרון מן השלושה נחשב לאמין ביותר אולם הפולשני ביותר.
טביעות אצבע הן הפשוטות ביותר ליישום והן ייחודיות באופן כזה שאפילו לתאומים זהים אין את אותם טביעת אצבע ולכל אצבע ביד יש טביעה אחרת.
כדבריו של השופט עציוני בפרשת יוסף זוהר[21]:
"…בהערת שוליים בספרו של Kenny הוא מביא סטטיסטיקה שלפיה במדגם של מיליון טביעות אצבעות, שנעשו על-ידי משטרת לונדון, לא נמצאו יותר משתי טביעות שהיו זהות ביותר משבעה מאפיינים מתוך אחד-עשר מאפיינים שלפיהם בודקים זהות של טביעות אצבעות (Outlines of Criminal Law, 19th cd., p. 465, 509) "
פענוח טביעות האצבע מבוסס על השוואת 12 מאפיינים שונים בין טביעת אצבע אחת לשנייה. שיטה זו מבוצעת ע"י אלגוריתם שמקודד את התמונה של תביעת האצבע לערך בינארי במחשב, שהינו מוגבל ועלול לייצר ערכים זהים לתביעות אצבע שונות לכן מידת הזיהוי אינה מוחלטת. בנוסף ניתן להעתיק טיעות אצבע באמצעים שונים כגון הטבעה על סוכריות גומי או חומר גמיש ומתעצב כדוגמת פלסטלינה, וכן ניתן לשתול טביעות אצבע על חפץ שיובא ממקום אחר אל הזירה. אולם לרוב, טביעת האצבע אכן מעידה על המצאות בעליה בזירה בה נמצאה. לכן, למרות האפשרות לתוצאות וזיהוי שגוי, ראיית טביעת האצבע נחשבת לחזקה ומשקלה בישראל כשל ראיה ישירה.
חוק המאגר הביומטרי[22] אשר מרעיש בימים אלו את השיח החברתי בישראל נחקק כפיתרון לבעיה הקשה של גניבת זהות ישראלית באמצעות תעודות זהות מזויפות. הדעות באשר ליתרונות החוק מול החסרונות שבו חלוקות. החשש המרכזי הינו לשימוש בלתי נאות בנתוני המאגר בחוסר יכולתה של המדינה להגן עליו באופן מוחלט מלהגיע לידי גורמים שאינם מוסמכים. (למרות הרלוונטיות לנושא אין מקום לדון בסמינריון זה ביתרונות וחסרונות החוק והשלכותיו).
אולם דווקא בשימוש הפרטי, כשאדם רוצה להגן על עצמו מפני גניבת זהות, יכולים אמצעים ביומטריים בשילוב עם אלגוריתמים של הצפנת מידע כגון מפתח ייחודי, להוות פיתרון אמיתי.
חברות מחשבים רבות, זיהו את הפוטנציאל והחלו לשלב במחשבים אישיים מנגנון טכנולוגי לזיהוי באמצעות טביעת אצבע במטרה למנוע מהמחזיקים שלא כדין במחשב להגיע למידע הנמצא בתוכם.
טביעת האצבע מתוכנתת לתוך המחשב על ידי בעליו החוקי ואינה מקושרת למאגר כללי. באופן זה נשמרת פרטיותו של המשתמש ומצד שני מוגנת מפני מעוולים פוטנציאליים. פתרון מסוג זה יכול לפתור את בעיות הקשורות לחדירה למחשב אולם לא בעיות הקשורות לעסקאות והתקשרויות המתרחשות באינטרנט.
לצורך כך הפתרון האידיאלי לדעתי הוא שילוב טכנולוגי בין תעודה ביומטרית ממודרת ובין טכנולוגיה של התאמת טביעת אצבע או רשתית עין. המנגנון יתבצע באופן דומה לזה:
א. פרטי המחזיק בתעודה, טביעת אצבעו או טביעת רשתית עינו ומספר זהות כלשהו (מפתח ייחודי) יצרבו על פני הפס המגנטי של תעודת הזיהוי.
ב. בבואו להזדהות מול אדם, עסק או מערכת, יעביר האדם את הכרטיס ובמקביל יסרוק במחשבו את טביעת אצבעו ויכניס את המספר הייחודי. רק בשילוב השלושה ניתן יהיה לבצע פעולות באינטרנט.
ג. המערכת לא תשווה את נתוניו עם מאגר ביומטרי גדול ורחב, אלא תשווה באופן ממוחשב רק בין הטביעה אותה קבלה לבין הטביעה המופיעה בכרטיס מבלי שהפרטים הנמצאים בכרטיס יחשפו לצד הבודק. במידה והפרטים ימצאו תואמים ניתן יהיה לבצע את הרכישה או הפעולה המבוקשת.
על הטכנולוגיה המפעילה פתרון זה להיות רגישה מספיק לטביעת האדם כדי לתת מענה גם לאפשרות של זיוף באמצעות גניבת טביעת האצבע כפי שפרטי לעיל.
פתרון מסוג זה פותר את הצורך בקיומו של מאגר ממשלתי רחב של כל האזרחים ובכך אף מונע את דליפתו של המאגר לגורמים לא רצויים.
מחקר השוואתי: פסיקה וחקיקה מסביב לעולם בנושא גניבת זהות באינטרנט.
נושא גניבת הזהות מדאיג מאוד את תושבי מדינות רבות בעולם להלן סקירה של פרשיות אשר התרחשו במדינות השונות ודוגמאות לחקיקה המגנה על אזרחי המדינות מפני גניבת זהות.
ארה"ב:
בארה"ב היקף התופעה רחב מאוד, בשל כך רואים בעבירה זו, עבירה פדראלית חמורה ביותר וקיים חוק ספציפי העוסק בגניבת זהות[23]– The Identity Theft Deterrence Act (2003) [24] . החוק מגדיר את עבירת גניבת הזהות כפשע פדראלי אשר העונש עליה יכול לנוע בין 15-30 שנות מאסר בכלא פדראלי בנוסף לקנסות ובהתאם לחומרת העבירה.
במדינות קליפורניה וויסקונסין הקימו גוף מיוחד כדי לסייע לאזרחים להתמודד עם מקרים של גניבת זהותם. ששמו: המשרד להגנת הפרטיות [25]The Office of Privacy Protection. באתר המשרד קיים מידע רב על הדרכים בהן ניתן להתגונן בפני גניבת זהות וכיצד לפעול במקרה שהתגלתה גניבת זהות.
האתר מפרסם נתונים על היקף התופעה בארה"ב לדוגמא: בשנת 2010 8.1 מליון אמריקאים נפלו קורבן למקרי גניבת זהות, הונאות שנסתכמו בהיקף כספי של 37 בליון דולר (!!).
בנוסף, ניתן למצוא באתר מקרים עדכניים של נאשמים בגניבת זהות לדוגמא אישה אשר גנבה מספרי social security (תעודת הזהות האמריקאית) ובאמצעותם הגישה בקשות לכרטיסי אשראי והלוואות בהיקף של עשרות אלפי דולרים ולאחר כן הגישה בקשות פשיטת רגל בשם "בעלי הכרטיס".
פרשיות גניבת זהות ידועות בארה"ב:
בניגוד לעבריינים רגילים, מהם יש לציבור רתיעה ונטייה להתרחקות, את עברייני גניבת הזהות אופפת הילה מסויימת של הערצה, ויחסה של החברה אליהם הוא כאל גאונים שסרחו. הם נחזים לעיתים לגיבורים, אשר הצליחו לרמות את המערכות הסודיות והמאובטחות ביותר, באמצעות שיטות מתוחכמות וטכנולוגיות. מספר פרשיות בהיסטוריה של ארה"ב, אשר עליהן אף מבוססות עלילותיהם של מספר סרטים הוליוודים מפורסמים, סייעו לבנות תדמית זו.
פרשת פראנק אבגניל Frank William Abagnale– התפרסם בשנות ה 60 כשהיה בן 16 בלבד זייף צ'קים ביותר מ 26 מדינות שונות בסכום של מעל 2.5 מליון דולר. עד הגיעו לגיל 21 עטה על עצמו 8 זהויות שונות בינהם: טייס, עו"ד, רופא ועוד. לאחר שנתפס וריצה 5 שנים בכלא השתחרר והיום הוא יועץ ל FBI ומרצה באקדמיה בנושא גניבת זהות.
פרשת אלברט גונזלסAlbert Gonzalez [26] – עבריין מחשב והאקר, מהידועים בארה"ב. בין השנים 2005-2007 הצליח למכור מעל ל 170 מליון מספרי כרטיסי אשראי וכספומט. תוך שהוא חודר למחשבי תאגידים באמצעות דלתות אחוריות, סוסים טרויאנים ותוכנות פריצה. נתפס במאי 2008 תוך ניסיון לגנוב 5000 כרטיסי אשראי ממסעדת מלון פאר במיאמי. במרץ 2010 לאחר כישלונה של עסקת טיעון נגזרו על גונזלס שני מאסרים של 20 שנה. הוא הגיש ערעור במרץ 2011 על ייצוג בלתי הולם ועדיין אין החלטה סופית בעניינו.
פרשת סאבו Michael John Sabo – סאבו היה זייפן צ'קים ואמן בהתחזות במהלך 30 שנה בין 1960-1990 החליף מעל ל 100 זהויות תוך שהוא מזייף צ'קים, חשבונות משכורות, מניות ואג"חים בהיקף של מעל ל 5 מיליון דולר. בשנת 92 הורשע בעבירות גניבה מרמה וגניבת זהות ונגזרו עליו 12 שנות מאסר. לאחר שהשתחרר ממאסר, החל להרצות בנושא גניבת זהות והיום הוא משמש כדירקטור בארגון בתי הסוהר ויועץ למגזר העסקי בענייני גניבת זהות.
מהגרים לא חוקיים – במאי 2009 קבע בית המשפט העליון בארה"ב[27]כי מהגרים אשר השתמשו במספרי social security מזוייפים לא יעמדו לדין באשמת גניבת זהות אלא אם יוכח כי ידעו שמדובר במספר השייך לאדם אמיתי.
בריטניה:
בבריטניה מוגן המידע ע"י חוק הגנת המידע The Data Protection Act 1998 [28] אשר כולל בתוכו את כל מידע אשר ארגון יכול לאכסן, שמות , ימי הולדת, כתובות, מספרי טלפון ועוד.
חוק הגניבה האנגלי[29] מ 1968 , כולל גם את עבירת גניבת הזהות ובפסיקה בעניין סווארד משנת 1941[30] נקבעה כי עבירת גניבת הזהות היא עבירה חמורה של מרמה אשר יש להחיל עליה עונש מאסר.
כמו כן, בדומה לארה"ב, קיים בבריטניה גוף בשם CIFAS [31] , העוסק במניעת מקרי הונאה. באתרם מתפרסמים נתונים לגבי היקף מקרי גניבת המידע בבריטניה מעל 89 אלף קורבנות גניבת זהות בשנת 2010. וכן גוף ציבורי בשם [32]The National Fraud Authority (NFA) שתפקידו לספק מידע וסיוע לאזרחים בהימנעות ומניעת עבירות מרמה והונאה.
זיהוי ביומטרי: במאי 2010 הודיעה ממשלת בריטניה על ביטול החקיקה להנפקת תעודות זיהוי ביומטריות[33] כצעד ראשון לקיום הבטחת הבחירות להחזיר את חירויות האזרח במדינה. שרת הפנים, תרזה מיי, הודיעה כי בתוך 100 ימים, יוצאו משימוש כרטיסי הזיהוי שכבר הונפקו, ולא יופקו יותר כרטיסים חדשים. במקביל, יושמד מאגר הנתונים האישיים, וכך ייחסכו לבריטניה מיליארדי דולרים בעשר השנים הבאות. "צעד זה הוא הראשון מבין רבים שהממשלה הזו נוקטת, כחלק מכוונתה להקטין את שליטת המדינה באזרחים הגונים ושומרי חוק, ולהחזיר להם את סמכויותיהם".
שוודיה:
מקרי גניבת הזהות בשוודיה יחסית מועטים, בשל שיטת עבודה ייחודית של זיהוי מסמכים ממשלתי,
Swedish identity documents , ע"פ שיטה זו כל מסמך עובר אישור דרך מאגרי המידע הממשלתיים לצורך בדיקת אמיתותו. החובה לאמת את המסמכים חלה על המקבל ובמקרה של גניבת זהות מבנק או גניבה באמצעות כרטיס אשראי יחויבו החנות או הבנק לשאת בנזקים ולשפות את הלקוח.
צרפת:
אדם המורשע בעבירה של גניבת זהות ירצה עד ל 5 שנות מאסר וישלם קנס עד גובה 75,000 יורו.
קנדה:
בקנדה עבירת גניבת זהות מעוגנת בשני סעיפים[34] בחוק העונשין הקנדי. הסעיפים מתארים את העבירה באופן ממצה וענייני ולכן אביא את תוכנם בתרגום חופשי:
" 402.2 המבצע עבירה ביודעין, שימוש או נטילת זהותו או פרטי זהותו של אדם אחר, בנסיבות המובילות למסקנה שהשימוש במידע נועד לצורך ביצוע עבירה הכוללת ביסודותיה אחד מאלה: מרמה, הונאה, שקר או תרמית, דינו 5 שנות מאסר. "
" 403 המבצע עבירת התחזות לאדם אחר חי או מת,
א. בכוונה להשיג יתרון לעצמו או לאדם אחר
ב. בכוונה להשיג כל רכוש או נכס או התעניינות ברכוש או נכס
ג. בכוונה למנוע את האדם שלו התחזה או לאדם אחר מלהשיג יתרון עליו
ד. בכוונה להימנע ממעצר או הבאה לדין או על מנת לפגוע או לשבש הליך המשפטי.
דינו מאסר עשר שנים. "
פסיקה בישראל
להלן דוגמאות לפסיקה בישראל הנושקת לנושאי גניבת הזהות. מפסקי דין אלו ניתן ללמוד על הדרך שבה מנתח בית המשפט את העבירות , על חומרת העונשים המוטלים על האשמים ועל מגמת ההחמרה בעונש ההולכת ומתרחבת עם השנים.
פרשת מרשם האוכלסין[35]: לפני כחודש הודיעה הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים כי הצליחה לפענח את הפרשה שהסעירה את המדינה לפני חמש שנים ומהווה אחת מהסיבות בעטיין קיימים חששות והתנגדויות לחוק הביומטרי. בשנת 2006 נגנב מאגר מרשם האוכלסין, המכיל שמות, תעודות זהות, וכתובות של כל אזרחי המדינה, ע"י עובד משרד הפנים והודלף למתכנת אשר יצר ממנו תוכנה בשם "אגרון", אותה מכר בתשלום ברשת. מתכנת אחר הצליח לפרוץ את התוכנה ובשנת 2007 הפיץ אותה בחינם ברשת לכל דורש, תוך שהוא מסווה את עקבותיו באופן מחוכם ע"י שימוש בשרתי אינטרנט קפה באופן המקשה על המעקב אחר משתמשים. החשודים יועמדו ככל הנראה לדין ומעניין יהיה לעקוב אחר פסיקת בית המשפט בסוגיה זו.
בפרשת יעל זר ציון [36] – טענה אישה כי אחותה זייפה את חתימתה לגבי חיובים הקשורים לעסק שלה. השופטים קבעו כי: "אין די בכך שאדם יטען כי חתימתו זוייפה, נהפוך הוא – כאשר אדם טוען טענה מהסוג הנ"ל, לא כל שכן טענה של "גניבת זהות" עליו להכבד ולהעלות את כל גירסתו". נקבע כי המבקשת לא עמדה בנטל ההוכחה כי לא ידעה על הזיוף ידעה ועל העובדה שאחותה עושה שימוש בשמה ו/או בחשבון הבנק שנפתח על ידה לצורך כך, וגם אם לא ידעה – וודאי עצמה עיניים.
פרשת הגניבה מבנק הדואר[37] – הנאשמים התקינו בארון התקשורת שבסוכנות בנק הדואר הוד הכרמל נתב אלחוטי שאיפשר להם להתחבר לרשת המחשבים של הבנק, משולחן ששכרו במשרד סמוך. באמצעות חיבור זה העבירו הנאשמים לחשבונות של אחרים, סך 237,865 ש"ח, ואלה התבקשו למשכו במזומן. נגזרו עליהם 30 חודשי מאסר מתוכם 14 בפועל.
פרשת יוסף דיין[38]– הנאשם, ביצע מעשי מרמה וגניבה מורכבים באמצעות רשת האינטרנט.
תוכניתו הייתה להונות בנקים, בעיקר את בנק לאומי, על ידי חדירה שלא כדין באמצעות האינטרנט לחשבונות של לקוחות הבנק ומתן הוראה להעברת סכומי כסף מתוך החשבונות הנ"ל לחשבונות אחרים. החדירה לחשבונות הנ"ל נעשתה תוך שימוש בנתוני הכניסה האישיים לחשבונות ("שם משתמש" ו-"סיסמה"), נתונים אותם אספו הנאשם והאחרים מבעוד מועד, אם בדרך של השתלת תוכנת "סוס טרויאני" למחשבי הלקוחות שבאמצעותה התאפשרה קריאה והעתקה של נתוני הכניסה לחשבון בכל אימת שהלקוח הקישם במחשבו, ואם בדרך אחרת. נגזרו עליו 40 חודשי מאסר בפועל וקנס 10,000 ₪.
פרשת ערוץ 10[39]– במסגרת כתבות תחקיר התחזו תחקירניות של הערוץ לילדות קטינות באתרי צ'ט ברשת במטרה לצוד פדופילים ולאחר מכן קבעו עמם בדירה לצורך "תפיסתם על חם". במסגרת הכתבה הוגשו מספר כתבי אישום אשר רק אחד מהם הגיע לכדי הרשעה לאחר שבבימ"ש השלום זוכה פלוני ע"י השופט דן מור, הורשע בערעור במחוזי[40].
פרשת טננבאום (האנלייזר) [41] – האקר שחדר למערכות מחשבים, בין השאר של ה-FBI, ועשה לאתר DEFACING שינה את פני האתר, העתיק סיסמאות, הכניס טראפ-דור (תוכנה שמאפשרת לו לחדור שנית). טען כי עשה זאת לצורך הוכחה כי המערכת אינה מאובטחת מספיק. נגזרו עליו 18 חודשי מאסר בפועל.
פרשת הבנק למסחר (אתי אלון)[42] – אתי אלון, עובדת בכירה בבנק למסחר מעלה במשך חמש שנים בכספי הבנק בהיקף של מעל ל270 מליון ₪. באמצעות פתיחת חשבונות ללקוחות פיקטיביים והעמדת הלוואות כנגדם. מעילותיה הביאו בסופו של דבר להתמוטטות הבנק. נגזרו עליה 17 שנות מאסר בפועל וקנס בסך 5 מליון ש"ח.
פרשת נסיוב[43] – הנאשם הכיר נשים באתר היכרויות באינטרנט, הציג עצמו בפניהן בזהויות בדויות, טען בפניהן טענות כוזבות בכוונה להונות אותן ולקבל מהן כספים וכאשר מי מהן לא השתכנעה, איים עליה בפגיעה בה ובבני משפחתה. הנאשם הורשע במסכת רחבה של מעשי הונאה, טענות כזב ומרמה. הוא גם לא בחל באיומים לצורך סחיטת קורבנותיו. כל אלה הניבו לו שלל מרמה וסחיטה בסכום כולל של מאות אלפי שקלים. הוא פגע בקורבנותיו, נשים תמימות שנוצלו על ידו לאחר היכרות באמצעות האינטרנט, וקיבל מידיהן את סכומי הכסף הניכרים, תוך שהעמידן, בסופו של עניין, ככלי ריק ובמצב כלכלי קשה. נגזרו עליו 40 חודשי מאסר בפועל ופיצוי עונשי של הקורבנות בסך כולל של 22,000 ₪ אשר יחולק בין כולם. (כאשר בפועל לקח מקורבנותיו מאות אלפי שקלים).
פרשת איימן חטיב[44]– הנאשם שוהה בלתי חוקי, הזדהה בשם חטיב קוטיבה באמצעות תעודת זהות מזוייפת הנושאת את פרטיו של חטיב קוטיבה ואת תמונתו של הנאשם, כעוסק שתחום עיסוקו שיפוצים בנייה ושירותי כח אדם, ובפני הבריות לרבות לקוחותיו כחטיב קוטיבה בכוונה להונות ולרמות אותם. ביולי 2010 על עבירות של גניבת זהות ועבירות מע"מ נגזרו עליו מאסר של 4 שנים וקנס בגובה 100,000 ₪.
ממצאים ומסקנות
נראה כי במרבית מדינות העולם המערביות ניסו לתת מענה ופתרון לבעיית גניבת הזהות המתפשטת למימדי פשיעה שלא היו מוכרים עד היום. נראה כי החקיקה במדינות אלו נוטה להחמיר עם גנבי הזהות, אולם מצד שני, בניגוד לעבריינים ופשעים בעבירות אחרות, עבריינים מוצלחים מסוג זה זוכים להילה של הערצה על שהצליחו להונות את המערכות המוגנות ביותר בעולם בהיקפים כה משמעותיים. לא פעם קרה כי עבריינים מסוג זה הופכים ליועצים ולמומחים בנושא גניבת זהות ואבטחת מידע עם תום ריצוי ענשם והשתחררותם מן הכלא.
למרות כי נראה שהיקף התופעה כיום בישראל אינו רחב, חשוב שלא לשקוט על השמרים ולצפות את העתיד שבו עבירות מסוג זה יתפשטו גם לישראל בהיקפים נרחבים. לצורך כך יש לנקוט באמצעים אותם פרטתי אם באמצעות חקיקה מתאימה, ענישה, פרשנות משפטית של החוק הקיים ואיזון באמצעות דיני הראיות על מנת להימנע ממקרים בהם נאשם חף מפשע מורשע בשל אי יכולתו להוכיח ראייתית את חפותו. בנוסף פיתוח פתרונות טכנולוגיים המאפשרים זיהוי ביומטרי בשילוב עם סיסמא ייחודית ואבטחת מידע יכולים לסייע מאוד בהקטנת הסיכון וכן לסייע לנאשם אשר זהותו נגנבה להוכיח את חפותו.
סיכום
עבירת גניבת הזהות היא עבירה חמורה הפוגעת בלב ליבה של זכות היסוד של האדם לאוטונומיה על גופו וחייו. הפגיעה באדם אשר זהותו נגנבה ונעשה בה שימוש לצורך ביצוע עבירות ופשעים היא מן החמורות שיש. הליך השיקום של אדם כזה את חייו הינו לעיתים בלתי אפשרי מאחר והפגיעה אינה רק במעשה עצמו אלא אף בשמו הטוב, תדמיתו וכל הלך חייו.
החקיקה הקיימת בישראל אינה מתאימה כיום להתמודדות עם תופעות גניבת הזהות בהיקפים הקיימים במדינות אחרות בעולם. על רשויות החוק והאכיפה להתכונן וללמוד את הנושא ממדינות אחרות בעולם וליישם חקיקה ואכיפה מתאימה בנושא גניבת הזהות באינטרנט על מנת להגן על תושבי המדינה ואזרחיה.
ימים יגידו האם יישומו של החוק הביומטרי סייע או החמיר את התפשטות התופעה. מאחר ובמידה ויזלגו הנתונים מן המערכת, כפי שכבר קרה בפרשת מרשם האוכלוסין, תעמוד המדינה בפני בעיה מדאיגה וסבוכה, שעדיין לא התמודדו או ראו כמותה באף מדינה בעולם, מאחר ומדובר בנתונים האישיים, הייחודיים והחד פעמיים ביותר של האדם, אשר בהגיעם לידיים הלא נכונות עלולות להמיט אסון על אזרחים רבים חפים מפשע.
נספח א':
הצעת חוק גניבת זהות באינטרנט
מציעה: אפרת אומיאל-פדידה (במסגרת סמינריון דיני ראיות בנושא "גניבת זהות באינטרנט")
פרשנות החוק על פי תכליתו להגן על קורבנות אשר זהותם נגנבה ובוצעו פעולות המהוות עבירה תחת שמם או זהותם ללא ידיעתם. תוך איזון בין דרישה ראייתית והשתת נטל ההוכחה על הקורבן כי לא ידע שעשו שימוש בזהותו.
1. גניבת זהות מהי:
(א) אדם יחשב כגונב זהות אם הוא –
(1) מציג את עצמו בפני אדם או חבר בני אדם כמישהו אחר, תוך שימוש בזהותו, תמונתו, נתוניו ופרטיו המזהים, סיסמאותיו, אמצעים ביומטרים לזהותו או בכל דרך אחרת, לצורך ביצוע עבירה, במרמה או בניגוד להוראות כל דין.
(2) חודר למחשב, אתר אינטרנט או כל סוג של חשבון אישי דיגיטלי, שהכניסה אליו מלווה בהזדהות באמצעות סיסמא, אמצעים ביומטריים או כל דרך מאובטחת אחרת, לצורך פניה או ביצוע פעולה, תוך יצירת מצג שווא והתחזות לאדם אחר, לצורך ביצוע עבירה.
(ב) לענין גניבת זהות –
(1) "הזדהות" – לרבות התחזות–
(א) בתחבולה;
(ב) בהפחדה;
(ג) ניסיון להתחזות;
(ג) מעביר לאחר או מאחסן במחשב מידע כוזב או עושה פעולה לגבי מידע כדי שתוצאתה תהיה מידע כוזב או פלט כוזב לגבי זהותו של אדם אחר;
(ד) כותב תוכנה, מעביר תוכנה לאחר או מאחסן תוכנה במחשב, כדי שתוצאת השימוש בה תהיה מידע
כוזב או פלט כוזב לגבי זהותו של אדם אחר, או מפעיל מחשב תוך כדי שימוש בזהות אדם אחר כאמור.
2. דין הגונב זהות
א. הגונב זהות לצורך ביצוע עבירות מסוג חטא:
דינו – מאסר שלוש שנים, והוא אם לא נקבע לעבירה עונש אחר מחמת נסיבותיה או מחמת טיב העבירה ועוצמת הפגיעה בקורבן.
ב. הגונב זהות לצורך ביצוע עבירות מסוג עוון:
דינו – מאסר חמש שנים, והוא אם לא נקבע לעבירה עונש אחר מחמת נסיבותיה או מחמת טיב העבירה ועוצמת הפגיעה בקורבן.
ג. הגונב זהות לצורך ביצוע עבירות מסוג פשע:
דינו – מאסר עשר שנים, והוא אם לא נקבע לעבירה עונש אחר מחמת נסיבותיה או מחמת טיב העבירה ועוצמת הפגיעה בקורבן.
3. ראיות:
א. נטל ההוכחה על הקורבן למעשה גניבת הזהות כי לא ידע על השימוש בזהותו לצורך ביצוע העבירה
ב. על התביעה להוכיח מעל לספק סביר כי הנאשם הוא מבצע העבירה תוך הצגת ראיית חיזוק או דבר מה נוסף מן העולם הפיזי הקושרת את הנאשם לעבירה באופן שיש בו מעל לספק סביר.
ביבליוגרפיה
חקיקה:
- חוק המחשבים, התשנ"ה-1995
- סעיף 383 א (1) לחוק העונשין, התשל"ז-1977
- חוק הגנת הפרטיות, תשמ"א-1981
- חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התשס"ט-2009, ס"ח 2217 מיום 15.12.2009
- הצעת חוק הכללת אמצעי זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התשס"ט-2008, ה"ח הממשלה 408 מיום 27.10.2008
- הצעת חוק הכללת אמצעי זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע כפי שהונחה על שולחן הכנסת ב-11.5.09, באתר הכנסת
- הצעת החוק: http://my.ynet.co.il./pic/computers/link.pdf נדלה 11.11.2011
- סעיף 55 לפקודת הראיות [נוסח חדש], התשל"א-1971.
- חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התשס"ט-2009
§ חוק העונשין, התשל"ז-1977
חקיקה בחו"ל:
פסיקה: (במידה ולא צויין אחרת, פורסם בנבו)
- § עפ (ת"א)71227/01 מדינת ישראל – פרקליטות מחוז מרכז נ' אהוד בן צבי טננבאום תשסא (2) 595
- רע"פ 11066/03 מ"י נ' רום, תק-על 07(2) 2635 (2007)
- ת"פ 8371-07 מ.י. פרקליטות מחוז ת"א – פלילי נ' פלוני)2010(
- ע"פ 28059-03-10 מדינת ישראל נ' פלוני (לא פורסם)
- ע"פ 161/77 זוהר נ' מדינת ישראל, פ"ד לב(1) 326
- תט (ת"א) 19638-02-11 יעל זר-ציון נ' מקומונים בשרון בע"מ
- בשפ 1037/05 מדינת ישראל נ' דוד שטרנברג
- תפ (ת"א) 7859/07 מדינת ישראל נ' דיין יוסף
- ת"פ 8371-07 מ.י. פרקליטות מחוז ת"א – פלילי נ' פלוני
- ע"פ 28059-03-10 מדינת ישראל נ' פלוני
- מדינת ישראל נ' אלון, תק-מח 2003) 3215 ,3160 (1))
- תפ (ת"א) 40287/07 מדינת ישראל נ' אדוראד נסימוב
- מת 20831-06-09 מדינת ישראל נגד איימן חטיב (עציר) ע"פ 232/93
- ע"פ 232/93 הרנוי נ' מדינת ישראל, פ"ד מז(5) 787 (1993)
- U.S. v. Albert Gonzalez, 08-CR-10223, case (the TJ Maxx case)
- R v Seward(2005) EWCA Crim 1941
מאמרים וספרות:
- § דורון מנשה, שיקול דעת עובדתי, חופש הוכחה ותיזות בדבר מקצועיות השפיטה, הפרקליט | כרך מג (תשנ"ז), 083
- דורון מנשה, ״שתיקת החפים״ – עיון מחודש בהלכת מילשטיין, 66, הארת הדין | ה (תשס"ט)
- ויקטור בוגנים "חוק המחשבים והתמודדות המשפט עם האתגר הטכנולוגי" שערי משפט ד 283, 287-285 (2006) (אתגרים משפטיים).
- אסף הרדוף, הפשע המקוון פרק רביעי: הפללה באינטרנט על גבולות הדין הפלילי (הוצאת נבו, 2010).
- נמרוד קוזלובסקי, המחשב וההליך המשפטי – ראיות אלקטרוניות וסדרי-דין (תשס"א).
- ויקטור בוגנים, "חוק המחשבים והתמודדות המשפט עם האתגר הטכנולוגי" שערי משפט ד 283, 287-285 (2006) (אתגרים משפטיים).
- אברהם טננבוים, "השלכות רשת האינטרנט על המשפט המהותי" שערי משפט א(2) 133, 141-135 (1997)
- מיכאל בירנהק, "משפט המכונה: אבטחת מידע וחוק המחשבים" שערי משפט ד 315, 324-318 (2006)
- מיכאל בירנהק, "שליטה והסכמה: הבסיס העיוני של הזכות לפרטיות" משפט וממשל יא 9 (2007)
- מיכאל בירנהק,(מרחב פרטי) הזכות לפרטיות בין משפט לטכנולוגיה (תשע"א), פרק י: ארגז כלים להגנת פרטיות במידע, 245
- מיגל דויטש, "חוק המחשבים במבחן העתים – זווית המבט של מציע החוק" שערי משפט ד (2) 257, 273-266 (2006) (הצגת שאלות ביחס לחוק המחשבים).
- מרים גור אריה, התחזות לדמות פיקטיבית – התראות כאחר או מירמה, משפטים | כרך ה תשל"ג-תשל"ד,( 673)
- עו"ד ג'מאל זנגריה, DNA בשירות החוק, דין שווה, לשכת עורכי הדין מחוז צפון, גיליון מס' 14 (פברואר 2011)
- בועז סנג'רו, "פרשנות מרחיבה בפלילים?!" עלי משפט ג 165 (2003)
- נעמי אסיא ורחל אלקלעי, "עבירות מחשב בעשור החולף" שערי משפט ד (2) 397, 400-399, 407-406 (2006)
- סיימון סינג, "סודות ההצפנה", הוצאת פרוזה, ידיעות אחרונות 2004
- Joseph H. Sommer “Against Cyberlaw ” 15 Berkeley Tech. L. J. 1145
- Robin Feldman, Historic Perspectives on Law & Science, 2009 Stan. Tech. L. Rev. 1 (2009)
- Richard Posner, Law and Literature (revised & enlarged edition, Harvard University Press, 1998/2002)
- http://www.haaretz.co.il/news/world/1.1204013 נדלה 19.11.11
- http://www.ynet.co.il/articles/0,7340,L-4138213,00.html נדלה 19.11.11
- עו"ד חים רביה, ראיות אלקטרוניות 6.4.2003 http://www.law.co.il/articles/evidence/2003/04/06/215/ נדלה 1.10.2011
קישורים:
[1] ראה בהרחבה: דורון מנשה, שיקול דעת עובדתי, חופש הוכחה ותיזות בדבר מקצועיות השפיטה, הפרקליט | כרך מג (תשנ"ז), 083
[2] לדיון מורחב בתיאוריית ההסתברות להרשעת חפים: דורון מנשה, ״שתיקת החפים״ – עיון מחודש בהלכת מילשטיין הארת הדין | ה (תשס"ט), 66
[3] חוק המחשבים, התשנ"ה-1995
[7] סעיף 383 א (1) לחוק העונשין, התשל"ז-1977
[8] ראה פרשנות רחבה לנושא: אסף הרדוף הפשע המקוון פרק רביעי: הפללה באינטרנט על גבולות הדין הפלילי (הוצאת נבו,
2010).
[9] ע"פ 232/93 הרנוי נ' מדינת ישראל, פ"ד מז(5) 787 (1993)
[11] ת"פ 8371-07 מ.י. פרקליטות מחוז ת"א – פלילי נ' פלוני)2010(
[12] ע"פ 28059-03-10 מדינת ישראל נ' פלוני (לא פורסם)
[14] Joseph H. Sommer “Against Cyberlaw ” 15 Berkeley Tech. L. J. 1145
[17] סעיף 55 לפקודת הראיות [נוסח חדש], התשל"א-1971.
Richard Posner, Law and Literature (revised & enlarged edition, Harvard University Press, 1998/2002) [18]
[19] נעמי אסיא ורחל אלקלעי "עבירות מחשב בעשור החולף" שערי משפט ד (2) 397, 400-399, 407-406 (2006)
[20] הסבר מפורט על טכנולוגיית ה RSA: סיימון סינג, "סודות ההצפנה", הוצאת פרוזה, ידיעות אחרונות 2004
[21] ע"פ 161/77 זוהר נ' מדינת ישראל, פ"ד לב(1) 326
[22] חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התשס"ט-2009
[23] The Identity Theft Deterrence Act (2003)[ITADA] amended U.S. Code Title 18, § 1028 ("Fraud related to activity in connection with identification documents, authentication features, and information")
[26] U.S. v. Albert Gonzalez, 08-CR-10223, case (the TJ Maxx case)
[30] R v Seward (2005) EWCA Crim 1941
CIFAS – The UK's Fraud Prevention Service http://www.cifas.org.uk [31] נדלה 19.11.11
[34] section 402.2 of the Criminal Code of Canada, וגם section 403 of the Criminal Code of Canada,
[36] תט (ת"א) 19638-02-11 יעל זר-ציון נ' מקומונים בשרון בע"מ
[37] בשפ 1037/05 מדינת ישראל נ' דוד שטרנברג
[38] תפ (ת"א) 7859/07 מדינת ישראל נ' דיין יוסף
[39] ת"פ 8371-07 מ.י. פרקליטות מחוז ת"א – פלילי נ' פלוני
[40] ע"פ 28059-03-10 מדינת ישראל נ' פלוני
[41] ע"פ (מחוזי-ת"א) 71227/01 מ"י נ' טננבאום, תק-מח 02(2) 1540 (2002)
[42] תפ (ת"א) 40182/02 מדינת ישראל נ' אלון אתי
[43] תפ (ת"א) 40287/07 מדינת ישראל נ' אדוראד נסימוב
[44] מת 20831-06-09 מדינת ישראל נגד איימן חטיב (עציר)
