مع بداية فترة الإقفال العام الأخيرة التي بدأت في 14 كانون الثاني/يناير بسبب جائحة كورونا، أطلقت الحكومة اللبنانية موقع covid.pcm.gov.lb لتنظيم الأذونات المتعلقة بالخروج خلال فترة الأقفال العام في لبنان.

يوفّر الموقع خاصية لتقديم الأذونات وهي خدمة ذات منفعة عامة تهدف إلى الحدّ من التخالط وتنظيم خروج المقيمين/ات ودخولهم/ن وتسهيل أعمالهم/ن. ويبدو أنّ القيّمين/ات عليه يتفاعلون مع التعليقات والتوصيات ويحاولون الردّ عليها لتحسين المنصّة. ولكن، ثمّة بعض الأسئلة التي تنبغي الإجابة عليها، ليس أقلّها كيفية حماية بيانات مستخدمي/ات هذا الموقع.

ما هي آلية تقديم الطلب وما المعلومات المطلوبة للحصول على “إذن خروج”؟

يعمل موقع covid.pcm.gov.lb تحت إشراف “إمباكت” (IMPACT)، وهي منصة حكومية إلكترونية تحت اشراف “التفتيش المركزي” التابع بدوره لرئاسة الحكومة اللبنانية. يشير موقع covid.pcm.gov.lb إلى أنّ هناك طريقتَين لتقديم الطلب: الأولى عبر الرسائل النصية (SMS)؛ والثانية عبر الموقع الإلكتروني.

في حين تُعتبَر تكنولوجيا الرسائل النصية (SMS) غير آمنة بالكامل، لكنّها تلبّي طلبات الطبقات الأكثر فقراً والتي قد لا يتوفر لديها الإنترنت مما يخفّف من الفجوة الرقمية.

أمّا الموقع الإلكتروني، فقد أصبح يتلقّى بيانات المستخدمين/ات بطريقة آمنة من بعد تحميل شهادة التوثيق (طبقة المقابس الآمنة SSL Certificate). [ملاحظة: لم يُجرِ فريق “سمكس” أيّ تدقيق تقنيّ يتعلق بأمن المعلومات على هذا الموقع]. 

ففي ليلة إطلاق الموقع، تنبّه المستخدمون/ات إلى أنّه لا يستخدم SSL Certificate، وأبلغوا عن ذلك على “تويتر”. نثني على استجابة مطوّري الموقع ومنصة “إمباكت” من اليوم الأول إلى التنبيهات والإسراع إلى تثبيت SSL Certificate. فطبقة الحماية هذه تسمح للموقع بتشفير البيانات خلال انتقالها عبر الإنترنت بين المستخدم والسيرفرات. ولولا هذه الخاصية، لكان باستطاعة أيّ طرف يتعقّب الشبكة أن يرصد بيانات المستخدمين/ات خلال تقديم “إذن خروج”.

أسئلة حول أمن البيانات والمعلومات

تقول “إمباكت” إنّ منصّة تقديم إذن الخروج تشهد حوالي 320 ألف طلب خروج يومياً. ويشتمل هذا العدد الهائل من الطلبات على بيانات معيّنة تطلبها المنصّة من المستخدمين/ات أهمها:
– الاسم الأول واسم العائلة
– رقم الهاتف
– القضاء

بالإضافة إلى ذلك، قد يجمع الموقع بيانات أخرى مثل البيانات الوصفية (metadata) وعنوان “آي بي” (IP) الذي يمكن أن يكشف الموقع الجغرافي، وبيانات أخرى تتعلّق بنظام التشغيل للهاتف وغيرها من المعلومات. هذه المعلومات والبيانات (اسم المستخدم ورقم هاتفه ومكان السكن وعنوان “آي بي”)  يمكن أن تُجمّع ويُربط فيما بينها من أجل تكوين معرّفات عن المستخدمين/ات.

لذلك، يصبح في غاية الأهمّية أن ينشر موقع covid.pcm.gov.lb سياسة خصوصية وشروط استخدام لكي يشرح للمستخدمين/ات ماهية البيانات التي تجمعها، ويوضح من يتولّى مسؤوليتها، وأين يجمعها، وكيف يعالجها، وغيرها من الأسئلة.

بحسب ملاحظات “المفكرة القانونية“، وهي منظمة غير ربحية للأبحاث القانونية والمناصرة، حول قانون “المعاملات الالكترونية والبيانات ذات الطابع الشخصي” (قانون 81/2018)، فإنّ القانون لا يُطبّق على أشخاص الحقّ العام (مادة 94) لأنّهم معفيون من طلب أي ترخيص لمعالجة بيانات ذات طابع شخصي “كلّ في نطاق صلاحياته”.

ولكن، نسأل عن مدى تطبيق هذه المادة في حال وجود طرف ثالث من القطاع الخاص (Siren Associates و CME)، فدور هذا الطرف ليس واضحاً في تجميع البيانات ذات الطابع الشخصي الناتجة عن هذا الموقع الإلكتروني. وبالتالي، نطالب منصّة “إمباكت” أن تكون واضحة وشفّافةً أكثر عبر نشر سياسة خصوصية وشروط استخدام لموقع covid.pcm.gov.lb تخبر المستخدمين/ات عن مصير بياناتهم/ن من أجل التأسيس لثقة أكبر بالمنصة وموقعها المخصّص لطلبات الخروج، خصوصاً مع تمديد فترة الإغلاق العام الكامل لغاية 8 شباط/فبراير واحتمال فرض فترات إغلاق لاحقاً.

يطرح فريق “سمكس” على المسؤولين عن منصّة “إمباكت” وموقع covid.pcm.gov.lb عدة أسئلة تتعلّق باحترام المنصّة للبيانات ذات الطابع الشخصي:

  • ما هي سياسية الخصوصية وشروط الاستخدام للموقع؟ وكيف يمكن الاطّلاع عليها؟
  • من يستطيع الوصول إلى هذه البيانات وتعديلها ومعالجتها؟ وما هي وظيفتهم/ن تحديداً؟
  • ما هي البيانات التي يجمعها الموقع  – البيانات المعلن عنها وغير المعلن عنها؟
  • ما مصير هذه البيانات بعد انتهاء وظيفة الموقع؟
  • ما هي سياسة حفظ المعلومات والبيانات وما هي مدّة حفظها؟
  • من هي الجهة الرقابية المسؤولة عن المحاسبة؟

نأمل أن تستمر “إمباكت” بإجراء التحسينات اللازمة لحماية بيانات المستخدمين/ات، وكذلك نشر سياسة الخصوصية وشروط الاستخدام لما فيه مصلحة لجميع الأطراف.


كُتبت هذه المقالة بمساهمة من ماريان رحمة، مستشارة قانونية مع “سمكس”.