مع استمرار انتشار فيروس كورونا (Covid-19) في جميع أنحاء العالم، تلجأ الحكومات إلى تدابير لمراقبة المرضى وتعقّبهم، مما يثير مخاوف تتعلق بالخصوصية. أطلق لبنان، مثل الكثير من البلدان الأخرى، أدوات رقمية للمساعدة في تشخيص انتشار المرض ورصده. لا يبدو أنّ التطبيقات التي أطلقتها وزارة الصحة اللبنانية تجمع البيانات، غير أنّها تتطلّب أذونات (permissions) كثيرة من المستخدمين/ات، الأمر الذي يثير القلق خصوصاً مع ضعف الإطار القانوني اللبناني لحماية البيانات.
عيوب محتملة في أمان التطبيقات
نشرت وزارة الصحة العامة تطبيقين على متجر التطبيقات (Play Store)، وهما يطلبان أذونات غير مبررة: تطبيق يحمل اسم وزارة الصحة العامة (Ministry of Public Health) يوفر للمستخدمين/ات أسعار الأدوية ومواقع الصيدليات كما أضيف إليه حديثاً قسم عن أخبار فيروس كورونا وتشخيص المرض لدى المواطنين؛ وتطبيق آخر باسم “إي هيلث ليبانون” (eHealth Lebanon) يساعد المواطنين/ات في طلب مساعدات من الوزارة عبر تعبئة طلبات مخصصة.
وجدنا أنّ التطبيقين يتطلبان الكثير من الأذونات غير الضرورية، مثل الوصول إلى الكاميرا والميكروفون والموقع الجغرافي، وبعض الأذونات الضرورية لتشغيل خدمات التطبيقات، مثل طلب الوصول إلى مكان تخزين المعلومات (storage) لكي يتمكن مستخدمو التطبيق من تحميل مستندات على التطبيق. يسمح تفعيل كل تلك الأذونات للتطبيقات بجمع معلومات شخصية عن المستخدمين/ات ويفتح الباب أمام المهاجمين للحصول على تلك البيانات بسهولة أو الاستفادة من الأذونات للوصول إلى أجهزة المستخدمين بحد ذاتها. لذلك، يجب أن تحدّ وزارة الصحة من عدد الأذونات اللازمة لتشغيل التطبيقات.
تم تطوير التطبيقين بواسطة شركات خاصة، وبالتالي ينبغي للوزارة أن تنشر اتفاقية مشاركة البيانات وحمايتها المبرمة مع هذه الشركات. التطبيق الذي يحمل اسم الوزارة طوّرته الشركة اللبنانية “أبس تو يو” (Apps2You)؛ أما التطبيق الثاني فلم نتمكن من تحديد الشركة المطوّرة له، ولكن أمكننا تحديد أنّ التطبيقات تستخدم “فاير بايس” (Firebase) وهي خدمة سحابية من “غوغل” لتخزين البيانات. على الرغم من أنّ هذه الخدمة ليست متاحة للعموم، إلّا أنّه ينبغي للوزارة أن توضح كيفية مشاركتها للبيانات مع هذه الشركات، ومكان تخزينها، وكيفية استخدامها، خاصةً أنّ التطبيقات المنشورة باسمها لا تتضمن سياسات خصوصية واضحة بالإضافة إلى ضعف الإطار القانوني لحماية البيانات في لبنان.
سياسات الخصوصية وضعف الإطار القانوني
لكسب ثقة المستخدمين/ات يجب أن تكون التطبيقات التي تطلقها الحكومة شفافة فيما يتعلق بالبيانات وطريقة جمعها وتخزينها والقوانين التي تحكمها. لذلك، على وزارة الصحة وضع حماية المصابين بالفيروس وخصوصيتهم في سُلّم أولوياتها، وتجنّب إساءة استخدام تلك البيانات لمصالح سياسية أو اجتماعية أو شخصية.
تنص سياسة الخصوصية لتطبيق وزارة الصحة على أنّها تطبّق قانون الولايات المتحدة الأميركية للخصوصية بدلاً من الالتزام بالقوانين المحلية. يقع الإطار العام لحماية البيانات في لبنان تحت قانون المعاملات الإلكترونية والبيانات ذات الطابع الشخصي، الذي يوفر حماية ضعيفة للبيانات الشخصية ويعفي البيانات التي تتعامل معها الجهات الحكومية من القيود المفروضة لحماية البيانات. كما يجب أخذ قانون حقوق المرضى والموافقة المستنيرة في الاعتبار، والذي ينص في المادة 12 على أنّ “لكل مريض يتولى العناية به طبيب أو مؤسسة صحية، الحق في أن تُحترم حياته الشخصية وسرية المعلومات المتعلقة بها”. ومن غير الواضح أساساً كيف سيُحاسب قانون الخصوصية الأميريكي، الذي يعاني من مشاكله الخاصة، وزارة الصحة العامة لأنها ليست خاضعة لسلطة القضاء الأميركي.
بالإضافة إلى ذلك، تنصّ سياسة الخصوصية في التطبيق على أنّه يجمع معلومات مثل اسم المستخدم وعنوان البريد الإلكتروني ورقم الهاتف و”تفاصيل أخرى”، لكنها لا توضّح ما طبيعة تلك التفاصيل. تنص سياسة الخصوصية أيضاً على أنّ التطبيق لن يبيع أي معلومات لأطراف ثالثة، وسيتم إبلاغ المستخدمين في حالة حدوث أي خرق، لكنّ القانون اللبناني يمنع المستخدمين من مساءلة التطبيقات في مثل هكذا حوادث. بناءً عليه، وبسبب اللغة الغامضة في سياسة الخصوصية وضعف الإطار القانوني لحماية البيانات في لبنان على وزارة الصحة العامة توضيح آلية حماية بيانات المستخدمين/ات.
توصيات للحكومة اللبنانية ووزارة الصحة العامة لتحسين خصوصية التطبيقات
بينما يتزايد استخدام الحكومات والشركات للتقنيات الرقمية من أجل لتقديم المساعدة في مجال الرعاية الصحية، من الضروري الانتباه إلى الخصوصية الشخصية.ومن الضروري وجود سياسات وقوانين خصوصية قوية تُخضع تلك الشركات للمساءلة، وذلك من أجلكسب ثقة المستخدمين/ات، خاصة وأن مشاركة المعلومات الشخصية مع أطراف أخرى يمكن أن يؤثر سلاً على الحقوق السياسية للمستخدمين، مثل حرية التنقّل والتعبير. كما يؤدي ذلك إلى حماية المستخدمين من أي أنشطة ضارة بشكل أفضل، بما في ذلك القرصنة.
فيما يلي بعض التوصيات التي تستند إلى إرشادات “منظمة الصحة العالمية” (WHO)، ومؤسسة “إلكترونيك فرونتير فاونديشن” (EFF)، واقتراحات فريق “سمكس” التقني، لمساعدة وزارة الصحة العامة والهيئات الحكومية الأخرى على تحسين خصوصية تطبيقاتها:
-مراجعة الممارسات وسياسات الخدمات لتحديد الثغرات التي قد تؤثّر سلباً على الخصوصية وحرية التعبير، أو حيث قد تكون هذه الحقوق معرضة للخطر.
-تقديم الخدمات من دون طلب معلومات تعريف شخصية عن المستخدمين/ات مثل الموقع الجغرافي، فتحديد أمكان الصيدليات لا يتطلب معرفة مواقع المستخدمين!
-يجب أن تتضمن سياسات الخصوصية تاريخ النشر وتاريخ آخر تحديث، والإعلان عن البيانات التي يجمعها كلّ تطبيق.
-تقليل عدد الأشخاص والشركات والمجموعات الذين لديهم حق الوصول إلى البيانات المستخدمين/ات.
منظمة الصحة العالمية:
-تحديد أنظمة لضمان خصوصية بيانات المريض، وملكيتها، والوصول إليها. ومراعاة تلك الأنظمة المعايير القانونية، لذلك يجب الالتزام باللائحة العامة لحماية البيانات للاتحاد الأوروبي (GDPR).
-يجب أن تضمن الإجراءات عدم تعرض المستخدمين/ات لضغوط مثل تقديم معلومات شخصية لا داعي لها. كما يجب الحصول على موافقة واضحة من المستخدمين/ات لاستخدام بياناتهم/ن، ومن ضمن تلك الموافقة إبلاغهم عن “نية الاستمرار في الاتصال بهم/ن، وفي أي فترة زمنية، وحقهم في حذف بيناتهم/ن، أو الانسحاب من التطبيق”.
-تخزين جميع البيانات، بما في ذلك المحتوى الحساس والبيانات الشخصية باستخدام التشفير الشامل على سيرفر آمن “مع وجود بروتوكولات لتدمير البيانات عند انتهاء الحاجة منها”.
-فيما يتعلق بالمعلومات الصحية، توصي منظمة الصحة العالمية بضرورة تأكّد أن الأفراد يعرفون أنّ الرسائل واردة من مرسل موثوق به، مثل حكومة أو مؤسسة صحية، أو عامل في المجال الصحي، أو كيانات معروفة أخرى.
“إلكترونيك فرونتير فاونديشن” (EFF):
– طلب أقل ما يمكن من الأذونات اللازمة لتشغيل التطبيق وتقييد الأذونات الأخرى قدر المستطاع.
– استخدام التشفير (encryption) أثناء نقل المعلومات أو تخزينها، ويتحقق ذلك عبر الإجابة عن الأسئلة التالية: “ما الأدوات التي تستخدمها، ومن يمكنه الوصول للبيانات؟ هل هي محمية؟”
عبد الغني قطايا، مدير المحتوى الرقمي في منظمة “سمكس”. مدرّب آمان رقمي, وصحافي مستقل مهتم بالتكنولوجيا، والاقتصاد، وريادة الأعمال. تابعوه على “تويتر” @kataya_abd.
راغب غندور: مستشار الأمن السيبراني لشركة طيران، ولديه خلفية بحثية في إدارة المخاطر والأزمات. يركز بشكل أساسي على مخاطر الأمن السيبراني والحق في حرية التعبير والخصوصية على الإنترنت.
