من يفتش منصات التفتيش المركزي في لبنان؟

عندما أطلق “التفتيش المركزي” في لبنان منصة “إمباكت” فقد عالج مشكلة، وأثار مشكلة أخرى. ففي حين ساعدت “إمباكت” على إدارة أزمة كورونا وغيرها، بقيت تساؤلات كثيرة حول البيانات التي جمعتها هذه المنصة ودور “التفتيش المركزي”: من يفتش في معالجة “التفتيش المركزي” لهذه البيانات؟ وما مدى وصول الأطراف الثالثة إلى هذا الكم الهائل من بيانات المواطنين والمقيمين؟

منذ أن أصبح إطلاق المنصات رائجاً في لبنان مع بداية أزمة كورونا، تابعنا في “سمكس” هذه المنصات من جوانبها المختلفة التقنية والقانونية والسياساتية، وأوصلنا علناً النتائج التي توصلنا إليها إلى الجهات المعنية بما فيها “التفتيش المركزي” ووزارة الصحة ووزارة الشؤون الاجتماعية، وغيرها.

أخذت هذه الجهات غير مرّة بملاحظاتنا، مثل نشر “التفتيش المركزي” لسياسة الخصوصية لمنصة لموقع covid.pcm.gov.lb لتنظيم الأذونات المتعلقة بالخروج خلال فترة الإقفال العام في لبنان.

على سبيل المثال، في تحليلنا لمنصة التسجيل للتلقيح من إمباكت، تبين لنا عدة مخاوف أمنية حول أمن البيانات ومكان حفظها (في ألمانيا سابقاً) ومكان حفظ النسخ الاحتياطية والاستضافة المشتركة لمواقع الويب وغيرها.

ولكن في كل مرة كانت وزارة الصحة اللبنانية أو “التفتيش المركزي” يطلقان منصة ما، كنا نعاود إجراء تحليل تقني وسياساتي ونشاركهما النتائج، ما يدل على أنّ أمن البيانات وحماية الخصوصية لم يكونا في صميم خطة إعداد هذه المنصات. مثلاً، في منصة GrabAJab من وزارة الصحة، وجدنا أنّها تشتمل على ثغرات خطيرة، قبل أن تُقفل لاحقاً.

ثمّ أطلقت منصة “إمباكت” التابعة للتفتيش المركزي فيما بعد منصة “دعم” (daem.impact.gov.lb) التي سجّل عليها آلاف الأسر وأدخلوا بيانات شخصية ودقيقة جداً عن أوضاعهم المالية والعائلية والاجتماعية، مثل أرقام لوحات السيّارات وإثبات الملكية، وصور الوجه الواضحة، ومعلوماتهم/ن المصرفيّة! وبالمثل، بيّن تحليلنا أنّه بالرغم من التحديثات الأمنية التي أجراها “التفتيش المركزي” والفريق العامل معه على منصة “دعم”، بقيت بعض خدمات “إمباكت” على مزود استضافة ألماني (بعض المواقع لا تزال على LeaseWeb)، الأمر الذي يثير تساؤلات بخصوص مكان تخزين البيانات الشخصية، علماً أنّ “إمباكت” توضح أنّ ملكية البيانات تعود إلى الدولة اللبنانية.

أكّد “التفتيش المركزي” في ردّ على “سمكس” أنّ دوره في جمع البيانات ومعالجتها “قانوني” وأنّ البيانات المطلوبة لمنصة “دعم” جاءت وفق قرار مجلس الوزراء في حينه، وأنّه يحق للمواطنين “الاعتراض أمام مسؤول معالجة البيانات في “التفتيش المركزي، أو تقديم شكوى أمام إدارة التفتيش المركزي”. 

ومع ذلك، لم يعلن “التفتيش المركزي” (بعد) ولم يجب على أسئلتنا الأخيرة حول الجهة الرسميّة اللبنانية التي تحتفظ بالبيانات، والأطراف الثالثة الرسمية وغير الرسمية التي يمكنها الوصول إليها (منظمات، أجهزة أمنية، جهات مانحة، وغيرهم)، والسبب الذي يجعلها مخوّلة بذلك، ولماذا لا يزال خادم (server) البريد الخاصّ بمنصّة “إمباكت” على مُزوِّد الاستضافة الألماني.

ولذلك، نطالب في “سمكس”، ونسعى، إلى أن يكون للبنان قانون شامل للخصوصية، بغية تعميم ممارسات حماية الخصوصية والبيانات الشخصية وقوننتها، بدلاً من أن تستند إلى قوانين خارجيّة.

آخر تحديث: 2 شباط/فبراير 2023: وضعنا عبارة “بقيت بعض خدمات إمباكت على مزود استضافة ألماني” بدلاً من تحديد الخدمة لتجنّب أيّ التباس، فالهدف ليس خدمة معينة بحدّ ذاتها بل نريد توضيحاً من “إمباكت” حول ارتباط الخدمات أيّاً كانت بمزود الاستضافة الألماني.