سحابة غوغل في المملكة العربية السعودية: مخاوف بشأن خصوصية البيانات في المنطقة

في قرارٍ يهدف إلى توسيع شبكتها العالمية عن طريق إنشاء مناطق سحابية جديدة، أعلنت شركة “غوغل” (Google)، في  كانون الأوّل/ديسمبر 2020، أنَّ “غوغل كلاود” التابعة لها ستُطلِق وتُشغِّل منطقة سحابية في المملكة العربية السعودية. أتى هذا القرار نتيجةَ اتّفاقٍ بين شركة “أرامكو” (Aramco) (شركة النفط السعودية العملاقة) وشركة “غوغل” بعد سنتَيْن من المباحثات. وفي عام 2018، أصدرت الشركتان  مذكّرة تفاهم مبدئية، بحيث تتولّى “أرامكو” تسهيل إنشاء مركز بيانات “غوغل كلاود” في المملكة، بينما تُنشَأ شركة جديدة لتقديم الحلول والخدمات السحابية للمؤسّسات في المنطقة. 

يطرح هذا المشروع مخاوف جدّية بشأن الخصوصية، نظراً إلى سجلّ السعودية السيّئ على صعيد حقوق الإنسان وافتقارها إلى تشريعات فعّالة لحماية البيانات وفقاً للمعايير الدولية.

يزداد الطلب على الحوسبة السحابية (cloud computing) في منطقة الشرق الأوسط وشمال أفريقيا جرّاء الإقبال الكبير على استخدام الهواتف الذكية والإنترنت، ومن ثمّ ازدهار التعليم والتعلُّم عن بُعد والعمل من المنازل بسبب جائحة فيروس كورونا. وفي موازاة ذلك، تشهد المنطقة كذلك زيادةً في التشريعات المتعلّقة بالحوسبة السحابية، مثل “الإطار التنظيمي للحوسبة السحابية” الذي أصدرته السعودية في عام 2018، وقانون الحوسبة السحابية في البحرين لعام 2018، وقانون البيانات في قطر لعام 2016.

هذه الزيادة في الطلب تجذب مقدّمي الخدمات السحابية الذين يسعون إلى التوسُّع في المنطقة، وتحديداً في الأسواق الواعدة، مثل سوق المملكة العربية السعودية حيث يُتوقّع أن يبلغ حجم سوق الحوسبة السحابية 10 مليارات دولار أميركي بحلول العام 2030.

ولكن، يطرح هذا التوسُّع عدّة مخاطر تطال حقوق الإنسان والخصوصية، كما يتّضح من مشروع “غوغل” السحابي في السعودية. فشركة التكنولوجيا العملاقة لا تتعامل بجدّية مع المخاوف المتعلّقة بحقوق الإنسان والتي تُعزى إلى النظام الأوتوقراطي في المملكة والانعكاسات المُحتمَلة المترتّبة على عملياتها السحابية هناك. 

تمتلك السعودية سجلّاً سيئاً في مجال حقوق الإنسان، وقد سُجّلت في هذا السجلّ انتهاكات متعدّدة خلال السنوات الأخيرة، ومنها:

  • قتل المُعارِض جمال خاشقجي خارج نطاق القضاء على يد عملاء للحكومة السعودية، بأمر من وليّ العهد الأمير محمّد بن سلمان
  • اعتقال ناشطات في مجال حقوق المرأة وتعذيبهنّ
  • مراقبة المُعارِضين والنقّاد بطرق غير قانونية وغير شرعية، مثل استخدام برامج تجسّس لرصد أنشطة الناشطين والمُعارِضين واتّصالاتهم، بالإضافة إلى إجراء حملة تجسُّس استهدفت حوالى 6 آلاف حساب على “تويتر” بين أواخر العام 2014 ومطلع العام 2015، بينها حسابات عمر عبد العزيز، وهو صحفي مُعارِض مُقرَّب من خاشقجي
  • إسكات المُعارِضين والناشطين في مجال حقوق الإنسان بطرق شتّى ليس أقلّها الاعتقالات والمحاكمات.

لم تتعامل الشركة بشفافية مع الجمهور ومع مستخدميها لناحية التدابير التي اتّخذتها لتقييم المخاطر الحقوقية المُحتمَلة من عملياتها السحابية في السعودية.

غياب الشفافية هذا يعكس إهمال شركة “غوغل” للعناية الواجبة بحقوق الإنسان، حسبما ورد في “مؤشّر مساءلة الشركات” الصادر عن “مبادرة تصنيف الحقوق الرقمية” للعام 2020، حيث لم تُثبت الشركة اعتماد إجراءات فعّالة للعناية الواجبة بحقوق الإنسان وتقييم الآثار المترتّبة على الجوانب المهمّة من عملياتها.

وبعد خطاب مفتوح من منظّمة “أكسس ناو” (AccessNow) إلى “غوغل” حول مشروعها السحابي في المملكة العربية السعودية، ردّت الشركة الأميركية بأنَّها أجرت “تقييماً حقوقياً مستقلّاً لمنطقة غوغل السحابية في السعودية، واتّخذت خطوات تهدف إلى معالجة المسائل التي كشفت عنها تلك المراجعة”. 

هذا الردّ غير كافٍ لأنَّه لا يوضح التدابير التي اتّخذتها شركة “غوغل” لمعالجة المخاطر المحدّدة. 

علاوةً على ذلك، من حقّ مجتمع المستخدمين/ات أن يسمع من شركة “غوغل”، العضو المؤسّس في “مبادرة الشبكة العالمية” (GNI)، (وهي مبادرة تساعد الشركات على احترام حرّية التعبير وحقوق الخصوصية عند مواجهة ضغوط من الحكومات لتسليم البيانات أو إزالة المحتوى أو تقييد الاتّصالات)، حول ما إذا كانت الشركة ستفي أثناء عملها في المملكة العربية السعودية بالالتزامات التي تعهّدت بها في إطار “مبادرة الشبكة العالمية”.

وما يثير القلق أيضاً بشأن خطط منطقة السحابة الإلكترونية لشركة “غوغل” في المملكة العربية السعودية هو عدم وجود إطار فعّال لحماية البيانات في البلاد.

فعلى الرغم من أنَّ السعودية تعتمد إطاراً تنظيمياً للحوسبة السحابية، إلّا أنَّها ما زالت تفتقر إلى تشريعٍ شامل لحماية البيانات قادرٍ على تزويد المستخدمين/ات بضمانات فعّالة لحماية خصوصية البيانات. وفي حين يُلبّي “الإطار النظيمي للحوسبة السحابية” المعايير المعترف بها دولياً في جوانب معيّنة، غير أنَّه يحتوي أيضاً على بعض الإشكاليات في الأحكام التي ينصّ عليها.

يفرض “الإطار التنظيمي للحوسبة السحابية” في المملكة العربية السعودية على جميع مقدّمي خدمات الحوسبة السحابية الذين “يمارسون التحكّم المباشر أو الفعّال على مراكز البيانات أو أيّ بنية أساسية هامّة أخرى لنظام الحوسبة السحابية المستضافة والمستخدمة في المملكة”، أن يتسجّلوا لدى الهيئة الناظمة لقطاع الاتّصالات في السعودية، أي “هيئة الاتّصالات وتقنية المعلومات” (CITC).

يشمل هذا الإطار بعض الأحكام التي تتماشى مع المعايير الدولية و”اللائحة العامّة لحماية البيانات” (GDPR) الأوروبية، مثل الإبلاغ عن حوادث الأمن السيبراني، في حين يضمّ أحكاماً أخرى خاصّة بالمملكة وقد تُشكِّل تهديداً لخصوصية البيانات. 

على سبيل المثال، يطلب الإطار من مقدّمي خدمات الحوسبة السحابية الإفصاح لـ”هيئة الاتّصالات وتقنية المعلومات” عن المواقع والميزات الرئيسية لمراكز البيانات الخاصّة بهم في المملكة العربية السعودية والبلدان الأجنبية حيث سيُعالجون البيانات من عملاء الخدمة السحابية القائمين في السعودية. كما يوجب عليهم أيضاً “إزالة أو حظر أيّ محتوى غير قانوني وأيّ محتوى مُخالِف للنظام بطلبٍ من الهيئة “(أو أيّ هيئة أخرى مختصّة) إذا شكَّلَ أيّ من محتوى عملائهم على أنظمتهم السحابية انتهاكاً لـ”قانون مكافحة جرائم الإنترنت” لعام 2007، وهو قانون تعسُّفي يجرّم الخطابَ السلمي بموجب أحكام غامضة وغير دقيقة. 

بالتالي، يُعتبَر الوصول إلى البيانات عن طريق مركز بيانات “غوغل كلاود” في السعودية، إلى جانب السجلّ الحقوقي السيّئ للمملكة، مصدرَ قلقٍ كبير. ويعتمد مستوى الخطر على حقوق الإنسان على نوع المؤسّسات التي تستضيف البيانات الخاصّة بعملائها ومستخدميها في السعودية، وقد يُشكِّل خطراً أكبر على مقدّمي خدمات التواصل الاجتماعي/البريد الإلكتروني. 

أرسلنا في منظّمة “سمكس” أسئلةً مباشرة إلى شركة “غوغل” لمعرفة مصير بياناتنا ضمن مركز البيانات الجديد في السعودية، ولم يصلنا أيّ ردّ من “غوغل” على أسئلتنا لغاية الآن. وكنّا في مراسلاتنا التي لم تردّ عليها الشركة عبّرنا عن مخاوفنا بشأن سياسة حماية البيانات التي ستُطبَّق على البيانات المستضافة في السعودية، والأطراف السعودية التي ستتمكّن من الوصول إلى البيانات، وسألنا عن الظروف التي قد تلجأ فيها شركة “غوغل” إلى مشاركة البيانات مع السلطات، وعن نوع التشفير الذي سيُستخدَم لتشفير البيانات، وعن التدابير (إنْ وُجِدَت) التي اعتمدتها الشركة لمعالجة أيّ انتهاك مُحتمَل من جانب الحكومة السعودية. 

وعلى المستوى التقني، نطرح السؤال التالي: هل ستُخزّن جميع بيانات الشرق الأوسط في مركز بيانات المملكة العربية السعودية؟ 

في السحابة الرقمية، البيانات هي بياناتك، لكن ليس تماماً. تخضع هذه المعادلة إلى عدّة معايير، فالبيانات موجودة في مكانٍ ما وفي كلّ مكان في آنٍ واحد، ولا يمكننا أن نعرف بالضبط موقع بياناتنا لأنَّ تكرار المخطّطات متاح بين مراكز بيانات مختلفة تابعة لمقدّم الخدمة السحابية. قد تكون بياناتك موجودةً في المملكة العربية السعودية مع نسخة في أوروبا مثلاً، والعكس صحيح.

إذاً، يقوم عمل السحابة على تخزين البيانات ونسخها في كلّ مكان، وحفظها عادةً في أقرب مركز بيانات. لذلك، في حالة مركز بيانات “غوغل كلاود” في السعودية، فإنَّ معظم بيانات عملاء الخدمة السحابية في منطقة الشرق الأوسط وشمال أفريقيا ستدخل في النهاية ضمن مركز البيانات في السعودية. على سبيل المثال، ما هي انعكاسات “اللائحة العامّة لحماية البيانات” الأوروبية على البيانات الأوروبية المُخزَّنة في المملكة العربية السعودية؟

ماذا عن إدارة البيانات؟ تخضع البيانات إلى قانون البلد المُضيف جغرافياً، مثل خضوع البيانات المحفوظة في الاتّحاد الأوروبي إلى “اللائحة العامّة لحماية البيانات” الأوروبية. أمّا في ظلّ انعدام الشفافية مثلما هي الحال مع مركز بيانات “غوغل” في السعودية، يصبح من الصعب جداً تحديد موقع بياناتنا والنسخ التابعة لها والبيانات الوصفية التي يمكن تخزينها، ومَن يملكها، وكيفية استخدامها والاستفادة منها. وفقاً للقوانين والأنظمة المعمول بها في كلّ بلد، قد تكون البيانات متاحة لأطراف خارجية مختلفة (مثل أجهزة إنفاذ القانون بموجب “القانون الوطني لمكافحة الإرهاب” في الولايات المتّحدة، أو ما يُسمّى “باتريوت آكت”). يُعتبَر موقع البيانات السحابية غير واضح إلى حدّ كبير، وقد يكون من الصعب تنفيذ قوانين الخصوصية نظراً لطبيعة هذا التدفّق الغامض والفوري للبيانات عبر الحدود.

من ناحية الملكية، نحن نملك بياناتنا، لكنَّ مقدّم الخدمة السحابية والحاوية المادّية لبياناتنا يمتلكان سيطرة مطلقة عليها. أمّا سيطرتنا على بياناتنا فهي محدودة ويحيط بها دائماً مخاوف بشأن سرقة البيانات/إساءة استخدامها. تُعتبر الحوسبة السحابية بيئة مشتركة تستخدم موارد وبنية تحتية مشتركة. وفي حالة “غوغل كلاود” في السعودية، ستشارك “غوغل” البنية التحتية مع الشركة السعودية “أرامكو”، ما يعني أنّ البيانات قد تُواجِه خطر الإفصاح أو الوصول بشكل غير قانوني وغير شرعي.

ختاماً، ما زال نوع البيانات التي ستُخزّن في مركز بيانات “غوغل كلاود” في المملكة العربية السعودية غير واضح، في وقت تُشير سياسات “غوغل” الحالية إلى الامتثال “للقوانين المناسبة” بشأن طلبات الحكومات لبيانات المستخدمين/ات. وفي حال استمرار “غوغل” في خطّتها لبناء مركز بيانات في المملكة العربية السعودية، قد يحدث أن تصل الكثير من الطلبات الحكومية إلى “غوغل كلاود” وفقاً لـ”القوانين المناسبة”، الأمر الذي قد يُهدِّد خصوصية المواطنين والمقيمين في المنطقة العربية بأكملها، ولا سيّما في ظلِّ نظامٍ قمعي.

وعليه، نُطالب شركة “غوغل” بأن تتصرّف بمسؤولية وأن تُبادِر إلى تنفيذ ما يلي: 

  • التراجع عن إنشاء منطقة سحابية  وتشغيلها في المملكة العربية السعودية، وذلك بسبب سجلّ المملكة السيّئ في مجال حقوق الإنسان، وبسبب المخاطر المُحتمَلة على خصوصية المستخدمين/ات وحقوقهم/هنّ كما أوضحنا أعلاه.

This page is available in a different language English (الإنجليزية) هذه الصفحة متوفرة بلغة مختلفة

ماريان رحمة

ماريان رحمة هي باحثة قانونية ومستشارة قانونية في مجال الحقوق الرقمية. انضمت إلى "سمكس" في العام 2020 كمسؤولة للفريق القانوني. تركّز أبحاثها على التقاطع بين القانون والتكنولوجيا، وهي تحمل إجازة في الحقوق من "جامعة القديس يوسف" في بيروت.