פוסט משותף לבלוגים “יס מיניסטר” ו”עו”ד אחד בהייטק“: האם בקרוב ואטסאפ ודומותיה לא יהיו זמינות יותר בבריטניה? הצעת חוק הבטיחות ברשת שמקדמת הממשלה תדרוש בפועל מאפליקציות מסרים להפסיק את השימוש בהצפנה מקצה-אל-קצה שנועדה לשמירת הפרטיות של המשתמשים. חברות הטכנולוגיה הודיעו שאין בכוונתן ליישר קו עם דרישה כזו לטובתה של בריטניה בלבד, מה שמעמיד בסימן שאלה את עתידן בבריטניה. אחת החברות אתגרה את הממשלה לאכוף עליהן את החוק ולחסום אותן, צעד שעשוי להיות לא פופולרי. כעת הצעת החוק נמצאת בדיון בבית הלורדים וייתכן מאוד ששם יסירו את הסעיף הבעייתי. כשרישי סונאק מתחזק בתוך המפלגה השמרנית, ייתכן שהוא יוכל להתמודד עם דרישות ממורדים במפלגה לשמור על הסעיף | תמונה: מרקו ורץ’
אחת מהצעות החוק המדוברות יותר בקרב הקהילה הטכנולוגית בתקופה האחרונה היא הצעת חוק הבטיחות ברשת (Online Safety Bill) בבריטניה. מדובר בהצעת חוק מקיפה ומעמיקה, אשר נועדה להסדיר את האופן שבו פלטפורמות מטפלות בתוכן לא חוקי או מזיק אשר פורסם על-גבי הפלטפורמה. לטענת ואטסאפ, המשמעות הפרקטית של הצעת החוק הזאת היא שוואטסאפ תיאלץ לבחור מבין אחת משתי אפשרויות גרועות: או להסיר את מנגנון ההצפנה מקצה-אל-קצה שלה, או לעזוב את השוק הבריטי.
מה נכלל בהצעת החוק?
כדי להבין את הסיפור, חשוב (כמו תמיד) להתחיל בהתחלה. הצעת החוק, שפורסמה לראשונה במאי 2021, מבקשת להגביר את הבטיחות של משתמשי האינטרנט בבריטניה, תוך מתן דגש מיוחד לקטינים. הצעת החוק קובעת מבנה משפטי של “Duty of Care” בין הפלטפורמות המקוונות הגדולות לבין המשתמשים שלהן, בצורה אשר גוזרת חובות משפטיות מסוימות על הפלטפורמות. כך למשל, הפלטפורמות תידרשנה לערוך דו”ח פנימי אשר יעריך את רמת הסיכון שנשקפת למשתמשים שלהן, ולקבוע מנגנונים אשר יפחיתו את הסיכון הזה. בנוסף, הפלטפורמות תידרשנה להפעיל מנגנונים שיאפשרו למשתמשים לדווח על תוכן לא חוקי או מזיק, וכן לאפשר למשתמשים לערער על החלטה של הפלטפורמה במקרה שבו הוחלט להסיר או להותיר על כנו תוכן מסוים.
הצעת החוק מחלקת את עולם התוכן שעל הפלטפורמות לשלוש קטגוריות:
- תוכן לא חוקי – הקבוצה הזאת כוללת רשימה סגורה של סוגי תכנים אשר אינם חוקיים כמו למשל תוכן תומך-טרור, תוכן שכולל תוכן מיני ובו מופיעים קטינים, איומים ברצח, תוכן שתומך בהתאבדויות, תוכן שקשור לסמים ועוד.
- תוכן חוקי אבל מזיק לקטינים – סוגי התכנים הללו עוד לא נקבעו במסגרת הצעת החוק, אבל ניתן להניח שמדובר בתכנים כמו בריונות או חרמות.
- תוכן חוקי אבל מזיק למבוגרים – סוגי התכנים הללו עוד לא נקבעו במסגרת הצעת החוק.
כל החובות הללו חלות, לפי הצעת החוק, לא רק על פלטפורמות שמארחות תוכן של משתמשים באופן פומבי (כמו פייסבוק או אינסטגרם או טיק טוק) אלא גם על פלטפורמות שמאפשרות תקשורת של יחיד-אל-יחיד, כמו יישומים להעברת מסרים מידיים (אהמ, ואטסאפ, אהמ).
מה זו הצפנה מקצה-אל-קצה?
הצפנה מקצה לקצה (מוכרת לפעמים גם כ-E2EE) היא שיטת אבטחת מידע. במסגרת השיטה הזו, נתונים מסוימים מוצפנים במקור ומפוענחים רק ביעד. במקרה של מכשירים סלולריים, המשמעות היא שהנתונים מוצפנים לפני שהם יוצאים מהמכשיר של השולח, והם נשארים מוצפנים עד שהם מגיעים למכשיר של הנמען. כך, רק השולח והנמען יכולים לגשת לנתונים. המשמעות היא שגם אם ההודעה יורטה על ידי האקר או צד שלישי אחר במהלך ה”תנועה” שלה בין מכשיר אחד לאחר, אותם צדדים שלישיים לא יוכלו לגשת לתוכן ההודעה.
ואטסאפ מיישמת הצפנה מקצה-אל-קצה באפליקציה שלה. למעשה, וזאת נקודה חשובה, ואטסאפ מיישמת את ההצפנה בצורה כזאת שגם היא עצמה לא יכולה לקרוא את ההודעות של המשתמשים שלה, גם אם היא ממש ממש רוצה. כדי להתגבר על הצפנה יש צורך להחזיק את מפתח ההצפנה. ואטסאפ, ברמת עיצוב המוצר מלכתחילה, לא מחזיקה את מפתחות ההצפנה להודעות של המשתמשים שלה. ההחלטה הטכנולוגית הזאת נועדה, בין היתר, גם להגן ברמה המשפטית על ואטסאפ, כי רשויות אכיפת חוק לא יכולות היום לפנות אליה בבקשה לקבל תוכן של הודעות משתמשים, כי התשובה תהיה פשוט “אין לנו את המידע הזה”. ולמה שוואטסאפ תרצה להימנע מלקבל בקשות כאלה מלכתחילה? כי אז היא עשויה להיות בסיטואציה שהיא מעדיפה אינטרסים של רשויות אכיפת חוק (ואולי לא במדינות דמוקרטיות, ליברליות, מערביות) על פני האינטרסים של המשתמשים שלה. ודי לחכימא ברמיזא…
מה האפשרויות שעומדות בפני ואטסאפ?
אז מה היה לנו עד עכשיו? מצד אחד, ואטסאפ לא יכולה לגשת לתוכן ההודעות של המשתמשים שלה. מצד שני, המחוקק הבריטי רוצה להטיל עליה חובת לנטר את התוכן שמועבר בפלטפורמה שלה, ולפעול להסיר או לטפל בתוכן כזה. כעת מאיימת ואטסאפ שהיא לא תתיישר עם החוק אם לא יתאפשר לוואטסאפ להמשיך את מנגנון ההצפנה מקצה-אל-קצה. הסיבה לכך, לטענת בכירים בוואטסאפ, היא שלא ניתן להחריג מדינה מסוימת מהארכיטקטורה הטכנולוגית של הפלטפורמה כולה. האחראי על ואטסאפ בתוך מטא, ויל קאת’קרט, תיאר את הצעת החוק כחקיקה המדאיגה ביותר שנדונה כעת בעולם המערבי (ייתכן שבישראל יש מי שיחלקו עליו). אבל אם היא לא תתיישר, הדבר יטיל בספק את המשך פעילותה בבריטניה.
ואטסאפ, יצוין, לא עומדת לבדה. בסיגנל (Signal), אפליקציית מסרים נוספת, הבהירו שהם “ילכו” מבריטניה אם החקיקה תעבור כפי שהיא. מטעם האפליקציה Tutanota, שמספקת שירותי מיילינג עם הצפנה מקצה-אל-קצה, שלחו מכתב פתוח לראש הממשלה רישי סונאק, בו הלכו על גישת “נראה אתכם”. החברה, הבהיר המכתב, לא תיישר קו עם דרישות החוק והזמינה את הממשלה לחסום בשטחה את האפליקציה ובכך “ליישר קו עם משטרים טוטליטריים כמו רוסיה, איראן, צפון קוריאה וסין, הידועות בהצבת חומות גדולות (Great Firewall) כדי להגביל את גישת הציבור שלהן לאינטרנט ולשירותים אונליין”. או במילים אחרות, שם מאמינים שהסעיף הזה יהפוך בפועל לאות מתה.
במערכת הפוליטית
ההצעה סיימה בינואר את הדיונים בבית הנבחרים ועברה לבית הלורדים. אמנם גם שם הצעת החוק עברה בקריאה שנייה (מקבילה לקריאה הראשונה בישראל) ב-1 בפברואר, אבל שלושה לורדים משלוש מפלגות שונות (שמרנים, לייבור וליברל-דמוקרטים) העלו בדיון על הקריאה השנייה את הצורך להגן על הצפנת קצה-אל-קצה. איש לא קם כדי להגן על הסעיף בנוסחו הנוכחי. מאחר שבסך הכל נראה שיש הסכמה חוצת מפלגות בבית הלורדים, ניתן לצפות שבשלב הוועדה אליו נכנסת ההצעה בימים אלו, הלורדים יתקנו את הסעיף בהתאם. למעשה, ב-Tutanota בונים בדיוק על זה. זו גם הנחה סבירה: הלורדים ידועים בכך שבגלל שהמינוי שלהם הוא לכל החיים הם לא ממש שמים על המשמעת הסיעתית וממררים לא פעם את חייה של הממשלה. מנגד, הלורדים יכולים לעכב חקיקה רק עד שנה, אבל לפעמים זה מספיק כדי לגרום לממשלה להתפשר.
האם הלורדים יצליחו לייאש את הממשלה גם הפעם? לשם כך צריך להבהיר את המצב הפוליטי. ראשית, הצעת חוק הבטיחות ברשת מופיעה במצע הבחירות השמרני מ-2019, כך שהשמרנים יתקשו לנטוש אותה עכשיו בלי לחטוף אש. זו לא ישראל בה מצע הוא המלצה שלא טורחים לקרוא ולא מדובר בהבטחה לא להעלות מסים שהופרה אבל היה ניתן לתרץ בכך שהקורונה שינתה את המשחק. מאז 2019 לא היה גיים צ’יינג’ר שיצדיק את זניחת חקיקת הבטיחות ברשת. עם זאת, המצע לא כולל הבטחה מפורשת לחקיקה שתחריב אפשרות להצפנה מקצה-אל-קצה, מה שכן משאיר מרווח. כאן אנחנו מגיעים לסעיף השני, והוא שהחקיקה הזו החלה תחת בוריס ג’ונסון, אבל בינתיים סונאק הוא ראש הממשלה והוא לפני הכל פרגמטיסט (וגם הוא כנראה מרגיש פחות קשור אישית לחקיקה הזו).
שלישית, סונאק מצליח לייצב את מעמדו בתוך המפלגה השמרנית. בינואר מורדים במפלגה עוד הצליחו לכפות עליו להכניס להצעת החוק תיקון שיאפשר להשית עונשי מאסר על מנהלי חברות הטכנולוגיה שלא יתיישרו עם החוק, שבועות לא רבים אחרי שנאלץ להתמודד עם מרידות אחרות במפלגה. אבל בינתיים נראה שסונאק התחזק, לאחר שבוריס ג’ונסון וליז טראס כשלו מלגייס יותר מעשרים חברי מפלגה נוספים להצביע נגד התיקונים להסדרי הברקזיט בצפון אירלנד (מתווה וינדזור), וזה למרות שהם קיבלו תנאים מפנקים למרד משמעותי בהרבה. לכן, ייתכן מאוד שאם אכן הלורדים יפילו את הסעיף הזה ובבית הנבחרים ינסו להחזירו באיומי מרד, סונאק ירגיש יותר בטוח לתת למרד הזה לעבור, בטח כשהוא צריך לבחור בין האופציה הזו לבין לעשות צעד שחברות הטכנולוגיה מתארות כתואם משטרים טוטליטריים ולחסום את החברות הסוררות.
אז מה יקרה בסוף?
יש כאן שלוש אפשרויות. הראשונה היא שהלורדים יתקנו את הסעיף הזה למשהו שיאפשר את המשך השימוש בהצפנה מקצה-אל-קצה ובית הנבחרים ישאיר את הסעיף המתוקן על כנו. אין דרמה. השנייה היא שהסעיף הבעייתי יעבור כלשונו, בין אם בגלל שבית הלורדים יתעצל ובין אם בגלל שבית הנבחרים יתעקש להחזיר את הסעיף, אבל תתקבל החלטה מודעת ברשויות שלא לאכוף אותו באופן שיצריך את חברות הטכנולוגיה להסתלק מבריטניה או להיחסם בה. זה יאפשר את המשך המצב הקיים אבל הממשלה תצטייר כבדיחה לקול צהלות האופוזיציה. השלישית היא שהסעיף יעבור והממשלה תחליט להיכנס בכל הכוח בחברות הטכנולוגיה. כאן תיתכן פגיעה מורגשת ומידית באזרחי בריטניה, שיגלו שחלק מאפליקציות המסרים שלהם לא זמינות יותר, מה שעלול לעלות למפלגה השמרנית אפילו יותר, בטח כשיש פחות משנתיים לבחירות.
סונאק ללא ספק מעדיף את האפשרות הראשונה. השאלה היא אם מפלגתו תאפשר לו להגיע אליה, ואם היא תנסה להתנגד כיצד הוא יגיב.