أقرّ مجلس النواب اللبناني، في نهاية شهر أيلول/سبتمبر، “قانون المعاملات الإلكترونية والبيانات ذات الطابع الشخصي“، والذي بدأ العمل عليه منذ عام 2004 بهدف تنظيم التجارة الإلكترونية.
ولكنّ أسُسَ حماية البيانات الشخصية للمواطنين اللبنانيين الواردة في هذا القانون قديمة وغير فعالة، وبرغم تغيير نصّ القانون بين عامَي 2004 و 2018 بقي المضمون على حاله: تسهيل توسّع التجارة الإلكترونية من دون إيلاء أي اهتمام لتأثير هذا التوسّع على حماية البيانات. ولذلك، لا يعبّر القانون اللبناني ولا يعكس قانون “اللائحة العامة لحماية البيانات” (“General Data Protection Regulation “GDPR) الصادر عن الاتحاد الأوروبي والذي يوصف بأنه “قانون الخصوصية الأكثر شمولية في العالم”، ولا يعكس حتى أيّ قانون آخر يتعلق بخصوصية البيانات.
في العام 2004، لم تكن نسبة مستخدمي الإنترنت في لبنان تتخطّى 9%، مقارنة بما هي عليه اليوم حيث تصل إلى 76.1%. كما أنّ منصات التواصل الاجتماعي التي تهيمن على الحياة اليومية في الوقت الحالي لم تكن بهذا الانتشار، ومستخدمو الإنترنت في لبنان لم يكونوا ينتجون كميات ضخمة من البيانات كما يفعلون اليوم. والبيانات الشخصية لم تكن بالأهمية نفسها في العام 2004 (وبالتالي لم تكن تحمل مخاطر الاستغلال نفسها) كما هو عليه اليوم. تُظهِر كلّ هذه العوامل مدى التغيّر الكبير الذي حصل في المنظومة، ورغم ذلك بقي لبنان حتى العام 2017 خارج قائمة الدول التي تملك قوانين لحماية البيانات الشخصية والتي وصل عددها إلى 120 دولة.
يركّز الباب الخامس من قانون المعاملات الإلكترونية على حماية البيانات ذات الطابع الشخصي، ولكنّه يهمل في نهاية المطاف حماية هذه البيانات، وذلك من خلال تركيز الصلاحيات في يد السلطة التنفيذية وعدم توفير الكثير من الضمانات الأساسية المعتمدة في التشريعات العالمية لحماية البيانات.
تركيز الصلاحيات في يد السلطة التنفيذية
حدّد القانون الجديد عملية إشراف بسيطة على معالجة البيانات الشخصية والتي تتضمّن جمع وتخزين وتعديل واستخدام ونشر هذه البيانات. تتركّز الصلاحيات هنا في يد السلطة التنفيذية، حيث أنّ وزارة الاقتصاد والتجارة هي المسؤول الوحيد تقريباً عن التعامل مع طلبات معالجة البيانات. وتنصّ المادة 95 التي تمنح الوزارة هذه الصلاحيات على أنّه “باستثناء الإعفاءات المنصوص عليها في المادة السابقة، يجب على من يرغب بجمع البيانات ذات الطابع الشخصي ومعالجتها إعلام وزارة الاقتصاد والتجارة بموجب تصريح وفق الأصول لقاء إيصال”.
على عكس الدول الأخرى، مثل فرنسا وتونس، التي لديها سلطات لحماية البيانات تتألّف من نواب وجهات قضائية ومختلف الوزارات وأحياناً القطاع الخاص، فإنّ قانون المعاملات الإلكترونية في لبنان يحصر هذه الصلاحيات بوزارة واحدة. ولا تضمّ هذه الهيكلية ضوابط وتوازنات من مجموعة متعددة من المعنيين، ما يزيد من من خطر القرارات التعسفية وإساءة استخدام السلطة وبالتالي يؤدي إلى استغلال البيانات الشخصية للمواطنين اللبنانيين والمقيمين.
لا توضِح اللغة الغامضة المستخدَمة في القانون كيفية مَنْح وزارة الاقتصاد الإذن بمشاركة هذه البيانات. فالمادة 98 تجبر الوزارة على “أن تضع في متناول الجمهور، لاسيما على موقعها على شبكة الإنترنت، لائحة بالمعالجات الممكنة التي استوفت إجراءات الترخيص، أو التصاريح المنصوص عليها في هذا الفصل”. وتكلّف هذه المادة أيضاً الوزارة بتحديد المتطلبات، ما يمنح الوزارة سلطة تحديد “الأشخاص الثالثين أو فئاتهم المخولين الاطلاع على البيانات”. وبدلاً من إصدار تشريعات تقونن الوقت والحالات التي يمكن فيها مشاركة البيانات مع هذه الكيانات، يترك القانون القرار لوزارة الاقتصاد وحدها. كذلك، تسمح المادة 92 بمنح تصاريح “لمعالجة (البيانات الشخصية) بهدف الترويج التجاري” ولكنّها لا تحدد ماهية النشاط الذي يُعتبر “ترويجاً تجارياً”.
بالإضافة إلى ذلك، فإنّ وزارة الاقتصاد والتجارة غير مستعدّة حالياً لإدارة طلبات معالجة البيانات الشخصية. فقد قال مصدر موثوق لـ”سمكس” إنّ الوزارة لم توظّف أحداً من أجل تنفيذ هذه التدابير، ولم تخطّط للتعامل مع هذه الطلبات خلال السنوات السابقة التي كان فيها القانون مسودة، كما أنّها لا تملك خططاً عاجلة لإنشاء موقع إلكتروني ليتمكّن الناس من البدء بتقديم هذه الطلبات. وبالتالي، تكشف قلة التحضيرات من قبل الوزارة خطر وضع الصلاحيات والسلطة بين يدي وزارة واحدة، بل حتى حصر هذه السلطة بالجهات التنفيذية.
يسمح القانون لعدد من الوزارات الأخرى بالإشراف على عمية معالجة البيانات الشخصية، أبرزها وزارتي الداخلية والدفاع، إلّا أنّه إشراف محدود وخطير على هذه العملية. تمنح المادة 97 الوزارتين صلاحية منح التراخيص لأيّ بيانات متعلقة بـ”الأمن الخارجي والداخلي للدولة”، من دون تعريف المصطلحـ علماً أنّ وزارة الداخلية معروفة بسوء إدارتها للبيانات الشخصية (نشرت وزارة الداخلية قوائم الناخبين وبياناتهم علناً خلال الانتخابات النيابية الأخيرة).
بالإضافة إلى ذلك، فإنّ المادة 103 التي تعطي وضعاً خاصاً للبيانات المتعلّقة “بأمن الدولة الداخلي والخارجي”، تنصّ على أنّه “لا يمكن إطلاع صاحب البيانات ذات الطابع الشخصي على بياناته موضوع المعالجة إذا كان ذلك يعرّض غاياتها أو أمن الدولة الداخلي أو الخارجي للخطر”. والمادة 97 تمنح الصلاحية لوزارة العدل بإعطاء التراخيص للبيانات المتعلقة “بالدعاوى القضائية بمختلف أنواعها”، وتعطي وزارة الصحة الصلاحية باتخاذ الإجراءات في “الحالات الصحية أو بالهوية الجينية أو بالحياة الجنسية للأشخاص”.
كلّ هذه الأحكام تسمح لأيّ شركة خاصة تملك علاقات جيدة مع إحدى هذه الوزارات بالوصول إلى بيانات شخصية حساسة جداً، حسبما يقول لـ”سمكس” الخبير القانوني في مجالات تكنولوجيا المعلومات والاتصالات وحماية المستهلك، وعضو اللجنة النيابية لدراسة مشروع القانون، بيار خوري.
نقص الإجراءات الوقائية
تُعتبر قواعد جمع البيانات في المادة 87 غامضة ومبهمة، فهذه المادة لا تتطلّب أن يكون هناك هدف معين لعملية جمع البيانات أو أن تكون عملية جمع البيانات متناسبةً مع الهدف، ولكنّها تنصّ على أنّ عملية الجمع لا يجب أن “تتجاوز الأهداف المعلنة”وأن تكون “بأمانة ولأهدافٍ مشروعة ومحددة وصريحة”، وذلك من دون تعريف هذه الأهداف.
وبدلاً من تعداد القانون للحالات التي يمكن فيها معالجة البيانات الشخصية وذكره الحالات التي تتطلب رخصة أو تصريحاً، يعرض القانون لائحة بالحالات التي لا تتطلّب رخصة أو تصريحاً. لا توجب المادة 94 التقدّم “بتصريح أو طلب أيّ ترخيص لمعالجة بيانات ذات طابع شخصي”، من جهاتٍ مثل “الطلاب والتلاميذ من قبل المؤسسات التربوية” أو “أعضاء في المؤسسات والشركات التجارية والنقابات والجمعيات وأصحاب المهن الحرة”. وبالتالي، لا يتمتع الأفراد الذين يندرجون ضمن هذه الفئة بحماية الضمانات الضعيفة أصلاً في هذا القانون، كما أنّ هذا الأخير لا يجبر المؤسسات المعفاة من التصريح على إبلاغ الأفراد بجمع بياناتهم أو طلب الموافقة.
لا يعرّف القانون الموافقة بوضوح ولا يوفّر الحق في سحب هذه الموافقة، الأمر الذي يتعارض مع الحماية المنصوص عليها في قانون “اللائحة العامة لحماية البيانات” الأوروبي. فالمادة 94 من قانون المعاملات الإلكترونية اللبناني تحظر على أيّ شخص الاعتراض على جمع البيانات إذا سبق وأبدى موافقة مسبقة، من دون تحديد ما إذا كان ينبغي أن تكون الموافقة ضمنية أو صريحة. وهذا الغموض يمكن أن يؤدي إلى إضعاف حماية البيانات حيث يمكن للشركات أن تُدرِج تصريح استخدام البيانات ضمن شروط الخدمة من دون أن ينتبه إليها المستهلك.
من جهةٍ ثانية، لا تتضمّن الأحكام المتعلقة بمسؤولي معالجة البيانات أيّ قواعد تنظيمية أو تفسيرات واضحة، فالقانون لا يحدّد كيفية اختيار المسؤولين ولا يضع مدونة سلوك للالتزام بها، وذلك بعكس المادة 40 من “اللائحة العامة لحماية البيانات” التي تنصّ على هيئة مراقبة لإنفاذ مدونات السلوك. بالإضافة إلى ذلك، لا توجد أيّ مادة تطلب من المسؤولين إبلاغ الأفراد إذا كان هناك خرق للبيانات، ما قد يؤدي إلى إساءة استخدام السلطة أكثر. وفي حين تسمح المادة 100 للمسؤولين بالاعتراض على “الطلبات ذات الطابع التعسفي”من دون تحديد ما المقصود بـ”الطابع التعسفي”، فإنّ القيود التي تفرضها تقلّل من حق الوصول والتصحيح، وذلك لأنّ مسؤولي معالجة البيانات قد يحددون صلاحية الطلبات على أساس شروط غامضة.
توصيات
يجب على مجلس النواب اللبناني تعديل القانون على ضوء “اللائحة العامة لحماية البيانات” الأوروبية وغيرها من التشريعات الجديدة لحماية البيانات، من أجل ضمان حماية البيانات الشخصية.
وقبل كل شيء، ينبغي أن ينصّ القانون المعدل على إنشاء سلطة بيانات مستقلة، على غرار “الهيئة الوطنية للحوسبة والحريات” (CNIL) في فرنسا، و“الهيئة الوطنية لحماية المعطيات الشخصية” (INPDP) في تونس، مع صلاحيات محدودة للإشراف على معالجة البيانات الشخصية. وفي لبنان، يجب على أن لا توضع أيّ من هذه الصلاحيات بيد وزارة الاتصالات و”أوجيرو” اللتين تديران احتكارات في قطاعات تُعتبر البيانات الشخصية فيها سلعة ثمينة.
علاوة على ذلك، ينبغي لمجلس النواب أن يعدّل هذا القانون لتحديد جميع الحالات التي تتطلب فيها معالجة البيانات الشخصية تصاريح، وذلك بدلاً من ذكر الحالات التي لا تتطلب فيها معالجة البيانات تصاريح، بما يضمن حماية بيانات المواطنين والمقيمين. كما يجب أن تأخذ التعديلات بعين الاعتبار الحالات المنصوص عليها في “اللائحة العامة لحماية البيانات”، مع توضيح اختيار مسؤولي معالجة البيانات ومسؤولياتهم وإعطاء الأشخاص الذين تُجمع بياناتهم حقّ الامتناع عن ذلك.
خلاصة
مع إقرار الاتحاد الأوروبي “للائحة العامة لحماية البيانات” (GDPR) فإنّه لا يوجد أيّ سبب للحكومة اللبنانية لتبنّي قانون غير مطابق للمواصفات، فشِل في حماية البيانات الشخصية للمواطنين اللبنانيين والمقيمين بطرق عديدة. وفي بلدٍ تُستَغَلّ فيه البيانات الشخصية، سواء من خلال نشر السجلات الانتخابية أو تسريب أرقام لوحات السيارات أو حتى بيع بيانات أصحاب الأرقام الهاتفية، يجب على الحكومة التركيز على تبني قانون عملي وشامل لحماية البيانات يحفظ الخصوصية.
تُعتبر حماية البيانات الشخصية حالياً أكثر أهمية من أيّ وقت مضى، خصوصاً مع مواصلة الحكومة اللبنانية جمع المزيد من البيانات، سواء مع استخدام جوازات السفر البيومترية أو تصاريح الإقامة أو الخطط لتسجيل أرقام “الهوية الدولية للأجهزة المتنقلة” (IMEI).
يقول خوري مازحاً إنّ قانون المعاملات الإلكترونية الذي صدر مؤخراً يجب أن يوصف بـ”الجيد، والسيئ، والبشع”، إلى أنّ هذا القانون يركّز أكثر على التجارة الإلكترونية وتسجيل المواقع الإلكترونية وحماية البيانات.