كشفت أزمة انتشار فيروس "كورونا" والجهود الحكومية للحد من انتشاره، معضلة حقوقية وقانونية مرتبطة بانتهاك الخصوصية الذي سببته تطبيقات التعقّب الالكتروني، ما دفع بدول كثيرة في العالم الى اطلاق ورشة تشريعية الى جانب إجراءات وتدابير عاجلة للحدّ من هذه المعضلة.
وأعلنت شركتا"آبل" و"غوغل" تحديث خاصية البلوتوث في أنظمة تشغيلهما حتى توائم متطلبات تطبيقات تتبع الفيروس المعتمدة على الخاصيّة. وبدءاً من منتصف مايو/أيار الماضي، تمكنت الأجهزة من تشغيل البلوتوث في خلفية النظام دون الحاجة لإزالة قفل الجهاز وتعريضه لتلصص الآخرين أو إنهاك بطاريته.
والحال ان هذه التقنية، تسغني فيها الحكومات عن تقنية تحديد الموقع الجغرافي، وتشبه الى حد بعيد ما تبنته الحكومة السنغافورية لجهة التخلي عن بيانات موقع الهاتف (GPS) لتتبع المكان الجغرافي المحدد، والاعتماد على "البلوتوث" لقياس تقارب الأشخاص من بعضهم البعض. تتواصل الهواتف عبر البلوتوث إذا كانت على بُعد متر ونصف، مما يجعل البلوتوث مؤشرًا أدق لقياس المخالطة من الـGPS .
وبدأ العمل لتعميم هذه التقنية عبر مشروع بدأت ألمانيا بالعمل عليه وتتبناها جميع حكومات الاتحاد الأوروبي. اجتمع فريق مكون من 150 خبيراً لتطوير مشروع سُمي بـ"تطبيق تتبع المقاربة الحافظ للخصوصية والعابر لأوروبا" أو PEPP-PT .
وتعتمد هذه التقنية على مبدأ أساسي: ليس من المهم أن تعرف هوية من خالطت وتفاصيل تحركاته، بل أن تعرف أنك خالطت مصابا بغض النظر عن هويته لفترة تعرضك للإصابة. وخلافاً لتطبيق الحكومة السنغافورية، لا يُعرّف السلطات بهوية أصحابه.
يمسح التطبيق عبر البلوتوث الهواتف الموجودة حوله باستمرار، فإذا بقي أحدها بقرب الجهاز مدة 15 دقيقة، يُنتج التطبيق هوية مميزة للهاتفين لا للأشخاص،وتخزن على كلا الهاتفين. إذا أصيب أحد أصحاب الهاتفين، وتطوع بالتبليغ عبر التطبيق، يرسل التطبيق الهوية المميزة للهاتف المصاب إلى قاعدة بيانات مركزية تنفذ إليها السلطات الصحية، تقوم بتنبيه أصحاب جميع الهواتف التي كانت على مقربة من هاتف الشخص المُصاب بأنهم خالطوا مُصابا وعليهم عزل أنفسهم، دون الكشف عن هوية المصاب.
نقص في التشريع
ويبرز عدم الاهتمام بحماية البيانات الشخصية في البلدان العربية بشكل واضح في معظم تطبيقات التعقب الالكتروني، حيث لا توجد لدى الكثير من هذه التطبيقات سياسة خصوصية واضحة تحمي المستخدمين من مشاركة معلوماتهم الشخصية مع اطراف اخرى.
واشارت الصحافية المتخصصة في تقاطعات الالتكنولوجيا والسياسة في مجلة "حبر" الاردنية ريم المصري لـ"مجلة مهارات" الى ان هناك نقصاً في المنظومة التشريعية لحماية البيانات الشخصية وحماية الخصوصية في معظم الدول العربية، وفي حال وُجِدت هذه المنظومة لا توجد معايير او هيئات رقابية تحفظ حقوق الافراد في الخصوصية وبحماية بيناتهم الشخصية.
يُنظر الى هذه المقاربة على أنها حلّ لمشكلة الخصوصية والبيانات الشخصية وتأكيد لاحترامها. فقد أثبتت التطبيقات التي اعتُمدت في دول كثيرة حول العالم، نقصاً في حماية البيانات الشخصية، رغم ان العهد الدولي الخاص بالحقوق المدنية والسياسية يحمي الحق في الخصوصية وحرية التعبير في الفترات غير الطارئة، لكنه يسمح للدول بتقييد هذه الحقوق في حالات محددة ومحدودة كمواجهة فيروس كورونا لتحقيق "هدف مشروع".
وأحد الأهداف المشروعة هو حماية الصحة العامة، لكن حتى عند حماية الصحة العامة يجب على الدول ضمان القيود التي ينص عليها القانون. اي على الدول ان تقتصر كسر القيود المرتبطة بحماية البيانات الشخصية وحرية التعبير بشكل ضيق ومتناسب مع السعي وراء الهدف المشروع.
في السياق، أكد مسؤول المحتوى الرقمي في منظمة "سميكس" عبد قطايا ان معظم الدولة العربية تتمتع بقوانين مرتبطة بالجرائم الالكترونية، وتستخدم معظمها للتضييق على حرية التعبير على الانترنت، لكن لا توجد قوانين تحمي البيانات الشخصية والخصوصية الا فيما ندر.
أبرز قوانين حماية البيانات الشخصية في الدول العربية
المغرب
أقرّت المغرب قانون حماية المعطيات ذات الطابع الشخصي رقم 08-09 الصادر في 18 شباط 2009. ويهدف القانون الى حماية الهوية والحقوق والحياة الخاصة لكل ما من شأنه أن يمسّ بها عبر استخدام المعلومات.
ويحدد القانون الجهات التي لها الحق في الوصول الى قواعد البيانات التي تتضمن المعطيات الشخصية، وعمليات معالجة البيانات، وامكانية تقديم طلب لتصحيح المعلومات الخاطئة أو مسح المعلومات التي انتهت صلاحيتها أو التي تم تحقيق الغاية من معالجتها.
وقد أحدث القانون لجنة وطنية لمراقبة حماية المعطيات ذات الطابع الشخصي بمقتضى القانون 08-09 الصادر في 18 شباط 2009.
تضطلع اللجنة بمهمة التحقق من أن عمليات معالجة المعطيات الشخصية تتم بشكل قانوني وأنها لا تمسّ بالحياة الخاصة أو بحقوق الإنسان الأساسية أو بالحريات. لكن هنالك العديد من المآخذ على طريقة تشكيل اللجنة الذي يعود الى الملك والسلطات المغربية، مما يؤثر على عمل واستقلالية هذه اللجنة.
مصر
في 24 فبراير/شباط 2020، اصدر مجلس النواب قانون حماية البيانات الشخصية في مصر. ويُجرم القانون جمع البيانات الشخصية بطرق غير مشروعة أو بدون موافقة أصحابها، كما يُجرّم معالجتها بطرق تدليسية أو غير مطابقة للأغراض المُصرح بها من قبل صاحب البيانات. كذلك، ينظم القانون نقل ومعالجة البيانات عبر الحدود لدعم الاقتصاد بما يسهم في حماية الاستثمارات والأعمال.
وأكد المشرعون انه يتواكب مع المعيار العالمي الخاص بحماية البيانات الشخصية، وهو اللائحة العامة لحماية البيانات الشخصية(GDPR).
ووجّهت انتقادات عدة الى هذا القانون أبرزها: تضمن القانون مادة حول انشاء جهاز حماية البيانات الشخصية من ممثلين لوزارة الدفاع والداخلية والمخابرات والرقابة الإدارية، حيث ان هناك تخوفات من سيطرة الأجهزة الأمنية على قاعدة البيانات ومراقبتها.
كذلك، ركز القانون على تشديد العقوبات والغرامات على انتهاك او اختراق قضية البيانات الشخصية من دون التركيز بشكل موسع على كيفية حماية هذه البيانات.
الاردن
في الاردن لا يوجد قانون لحماية البيانات الشخصية، لكن هناك مشروع قانون لحماية البيانات ذات الطابع الشخصي صادر في 2020، ينتظر موافقة البرلمان الاردني عليه.
يلزم القانون إنشاء مجلس حماية البيانات الشخصية. ولأول مرة يتم إدراج مفهوم حق النسيان للبيانات الشخصية. كما ميّز القانون بين البيانات الشخصية والبيانات الشخصية الحساسة، معتبرأن الأخيرة تتضمن مخاطر أو تمييزا بالنسبة إلى حماية الحياة الخاصة للشخص كأن تبين الأصل العرقي أو الآراء والانتماءات السياسية أو المعتقدات الدينية أو أي بيانات تتعلق بحالته الصحية أو الجسدية أو العقلية أو الاقتصادية أو انتماءاته الحزبية أو سجله الجرمي.
كما سيتم بموجب المشروع إنشاء وحدة لحماية البيانات الشخصية في وزارة الاقتصاد الرقمي والريادة.
وفرض مشروع القانون عقوبات على القيام بنقل أو تبادل البيانات الشخصية داخل أو خارج المملكة بغير الأسباب التي جاءت المسودة على ذكرها أو دون الحصول على موافقة الشخص المعني أو من خالف أحكام واردة في مسودة المشروع.
البحرين
دخل قانون حماية البيانات ذات الطابع الشخصي حيّز التنفيذ في البحرين في أغسطس/آب 2019، وقد اصدر ملك البحرين المرسوم رقم 78 لسنة 2019 بتحديد وزارة العدل والشؤون الإسلامية والأوقاف كالجهة الإدارية والهيئة المستقلة المسؤولة عن تولي المهام والصلاحيات المقررة لهيئة حماية البيانات الشخصية تطبيق القانون.
وما يؤخذ على القانون ان الطابع التجاري غالب عليه، خصوصاً فيما يرتبط بسياسة الخصوصية وحماية البيانات لدى الشركات، اما تعامل السلطات الرسمية مع القانون واليات الرقابة عليها لحسن تطبيقه وكيفية معالجة وحماية البيانات الشخصية، فهي غير واضحة.
وبالرغم من ذلك، قدم القانون عملية إعادة نظر جادة وبالغة الأهمية بكيفية التعاطي مع البيانات الشخصية على المستوى التنظيمي في البحرين.
لبنان
أقر مجلس النواب اللبناني، في نهاية شهر أيلول 2019 قانون المعاملات الإلكترونية والبيانات ذات الطابع الشخصي، والذي بدأ العمل عليه منذ عام 2004 بهدف تنظيم التجارة الإلكترونية.
وتعتبر أسس حماية البيانات الشخصية للمواطنين اللبنانيين الواردة في هذا القانون قديمة وغير فعّالة بحسب مسؤول المحتوى الرقمي في منظمة سميكس عبد قطايا. ورغم تغيير نص القانون بين عامَي 2004 و2018 بقي المضمون على حاله: تسهيل توسّع التجارة الإلكترونية من دون إيلاء أي اهتمام لتأثير هذا التوسّع على حماية البيانات. ولذلك، لا يعبر القانون اللبناني ولا يعكس قانون "اللائحة العامة لحماية البيانات" General Data Protection Regulation “GDPR الصادر عن الاتحاد الأوروبي والذي يوصف بأنه "قانون الخصوصية الأكثر شمولية في العالم"، ولا يعكس حتى أي قانون آخر يتعلق بخصوصية البيانات.
حدّد القانون الجديد عملية إشراف بسيطة على معالجة البيانات الشخصية، والتي تتضمّن جمع وتخزين وتعديل واستخدام ونشر هذه البيانات. تتركز الصلاحيات فيها بيد السلطة التنفيذية، حيث أن وزارة الاقتصاد والتجارة هي المسؤول الوحيد تقريباً عن التعامل مع طلبات معالجة البيانات.
على عكس الدول الأخرى، مثل فرنسا وتونس، التي لديها سلطات لحماية البيانات تتألف من نواب وجهات قضائية ومختلف الوزارات وأحياناً القطاع الخاص، فإن قانون المعاملات الإلكترونية في لبنان يحصر هذه الصلاحيات بوزارة الاقتصاد.
يسمح القانون ايضاً لعدد من الوزارات الأخرى بالإشراف على عملية معالجة البيانات الشخصية، أبرزها وزارتا الداخلية والدفاع، إلا أنه إشراف محدود وخطير على هذه العملية. تمنح المادة 97 الوزارتين صلاحية منح التراخيص لأي بيانات متعلقة بـ"الأمن الخارجي والداخلي للدولة".
وتعطي المادة 103 وضعاً خاصاً للبيانات المتعلقة “"بأمن الدولة الداخلي والخارجي"، تنص على أنّه "لا يمكن إطلاع صاحب البيانات ذات الطابع الشخصي على بياناته موضوع المعالجة إذا كان ذلك يعرّض غاياتها أو أمن الدولة الداخلي أو الخارجي للخطر".
كذلك، تمنح المادة 97 الصلاحية لوزارة العدل بإعطاء التراخيص للبيانات المتعلقة "بالدعاوى القضائية بمختلف أنواعها"، وتعطي وزارة الصحة الصلاحية باتخاذ الإجراءات في "الحالات الصحية أو بالهوية الجينية أو بالحياة الجنسية للأشخاص".
واشارت صيادي انه برغم محاولات تطوير قوانين حماية البيانات في بعض الدول العربية، الا ان معظم هذه القوانين لا تتماشى مع متطلبات التقنية الحالية.
وبالتالي، تعتبر ازمة فايروس كورونا فرصة لمراجعة قوانين حماية البيانات الشخصية وتطويرها لصالح المستخدمين، واعطائها الاولوية مثلها مثل الاجراءات الاخرى الغير مرتبطة بالعالم الرقمي بمكافحة الفقر.
تونس
اصدرت تونس قانون حماية البيانات الشخصية في العام 2004، يهدف هذا القانون إلى ضمان حق كل شخص في حماية معطياته الشخصية ويضبط الشروط والإجراءات الواجب احترامها في إطار معالجة تلك المعطيات.
بالرغم من انشاء هيئة البيانات الشخصية للاشراف على تطبيق القانون، الا ان مسؤولة المناصرة في منظمة Access Now امنة صيادي أكدت ان قانون حماية البيانات التونسي الصادر في العام 2004 غير محدث ولا يلحظ تطبيقات التعقب الالكتروني.
سطحية الاعلام
وقعت أكثر من مئة مؤسسة حقوقية ومدنية، بينها "منظمة الخصوصية الدولية" و"منظمة العفو الدولية" و"هيومن رايتس ووتش" على بيان دعا الحكومات لعدم استغلال تتبّع الوباء للدخول في حقبة جديدة من الرقابة الشاملة.
وهناك عدة اجراءات يمكن ان تأخذها الحكومات لحماية خصوصية المستخدمين لتطبيقات التعقّب الالكتروني لفيروس كورونا، من هذه الاجراءات طلب الاذونات لدى تنزيل هذه التطبيقات يجب ان يكون بحده الادنى اللازم لتعقب المخالطين للمصاب بالفيروس.
كذلك، يجب اطلاع المستخدم بشكل شفاف حول كيفية حفظ ومعالجة البيانات الشخصية التي يجمعها التطبيق، وعدم استخدام هذه البيانات بعد انتهاء ازمة كورونا. واذا تم تشغيل التطبيق عبر طرف ثالث اي شركة خاصة، يجب إلزامها بعدم بيع البيانات الشخصية للأغراض التجارية، اضافة الى وضع سياسة خصوصية يمكن للمستخدم الاطلاع عليها لدى تنزيل التطبيق.
كما يجب ان يكون تحميل التطبيق بشكل اختياري وليس اجبارياً. وهذه التوصيات من عدة توصيات طالبت بها منظمة Access Now، بحسب ما يقول صيادي.
في المقابل، قالت صيادي ان المنظمات الحقوقية التي تهتم بالحقوق الرقمية ليست ضد تطبيقات التعقب الالكتروني كفكرة عامة. لكن، يجب اتباع توصيات معينة للمحافظة على خصوصية المستخدمين، التي ترتبط بحماية البيانات الشخصية. وبالتالي، فهي جزء من حقوق الانسان.
توصيات
توصيات "إلكترونيك فرونتير فاونديشن"(EFF):
- طلب أقل ما يمكن من الأذونات اللازمة لتشغيل التطبيق وتقييد الأذونات الأخرى قدر المستطاع.
- استخدام التشفير (encryption) أثناء نقل المعلومات أو تخزينها، ويتحقق ذلك عبر الإجابة عن الأسئلة التالية: "ما الأدوات التي تستخدمها، ومن يمكنه الوصول للبيانات؟ هل هي محمية؟".
- يجب أن يكون الهدف إعلام المخالط. ولا ينبغي أن يكون الهدف من التطبيق توصيل المعلومات تلقائيًا إلى الحكومة أو أي شخص آخر حول المعلومات الصحية أو البيانات الشخصية للأفراد.
أوصت "منظمة الصحة العالمية" بـ:
- تحديد أنظمة لضمان خصوصية بيانات المريض، وملكيتها، والوصول إليها. ومراعاة تلك الأنظمة المعايير القانونية، لذلك يجب الالتزام باللائحة العامة لحماية البيانات للاتحاد الأوروبي (GDPR).
- يجب أن تضمن الإجراءات عدم تعرض المستخدمين/ات لضغوط مثل تقديم معلومات شخصية لا داعي لها. كما يجب الحصول على موافقة واضحة من المستخدمين/ات لاستخدام بياناتهم/ن، ومن ضمن تلك الموافقة إبلاغهم عن “نية الاستمرار في الاتصال بهم/ن، وفي أي فترة زمنية، وحقهم في حذف بيناتهم/ن، أو الانسحاب من التطبيق”.
- تخزين جميع البيانات، بما في ذلك المحتوى الحساس والبيانات الشخصية باستخدام التشفير الشامل على سيرفر آمن “مع وجود بروتوكولات لتدمير البيانات عند انتهاء الحاجة منها".
- فيما يتعلق بالمعلومات الصحيّة، توصي "منظمة الصحة العالمية" بضرورة التأكّد أن الأفراد يعرفون أنّ الرسائل واردة من مرسل موثوق به، مثل حكومة أو مؤسسة صحية، أو عامل في المجال الصحي، أو كيانات معروفة أخرى.