كيف تبنى الثقة الرقمية؟

الثلاثاء 27 كانون الأول 2016

بكل أريحية، تناقلت وسائل الإعلام في الأردن معلومات التحصيل الأكاديمي الخاصة بالطالب إبراهيم عبيدات ضمن تغطيات قرار فصله من الجامعة. كان مصدر هذه المعلومات موظف في الجامعة الهاشمية، فتح ملفات الطالب وسرّبها، ابتداء من معدلاته في امتحان الثانوية وعدد الساعات التي قطعها في الجامعة إلى معدله التراكمي على مدى سنوات دراسته في الجامعة.

فُصل عبيدات من الهاشمية على خلفية مشاركته في اعتصامات ضد سياسة الجامعة الجديدة بتحصيل رسوم التسجيل قبل بدء العام الدراسي. هل كان ببال عبيدات أن معلومات تحصيله العلمي والتي تُحفظ في قاعدة بيانات الجامعة مع سجلات آلاف الطلبة الآخرين ستكون أداة تستخدم ضده؟ لم تكن بيانات حساسة أو جدلية أو فاضحة لحياته الشخصية أو توجهاته السياسية، ومع ذلك استطاعت الجامعة أن ترى قيمة في توظيفها في الدفاع عن قرار فصل عبيدات عندما تسنّى لها ذلك.

مرت حادثة تسريب بيانات عبيدات الشخصية ببساطة شديدة. وإلى الآن، لم نسمع أن الجهة التي سرّبت البيانات قد تعرّضت للمحاسبة.

لو كان هذا المصدر في مكان آخر من العالم، لكان باستطاعة الطالب عبيدات مقاضاة الجامعة والمصدر معًا، لخرقهما خصوصيته وتسريب معلوماته. بالاستناد إلى قانون حماية البيانات الذي انتشر في التسعينيات بعد أن سَهُلت عمليات جمع ومعالجة ونقل كميات هائلة من البيانات رقميا. في ١٩٩٠ أصدر المقرر الخاص في الأمم المتحدة المبادئ التوجيهية لتنظيم البيانات الشخصية المحوسبة. تبعت هذه المبادئ التوجيهات الإرشادية لحماية البيانات الرقمية، والتي أصدرها الاتحاد الأوروبي عام ١٩٩٥ كعنصر أساسي من قوانين الخصوصية وحقوق الإنسان. تهدف هذه القوانين إلى حماية حق الفرد بالموافقة على العمليات التي تجريها الجهات الجامعة، سواء خاصة أو عامة، على بياناته. ويهدف أيضا الى إجبار الجهة الجامعة على الإفصاح عن الأطراف الثالثة التي ستشارك معها بياناتك التي بحوزتها، ومحاسبة كل من أساء استخدام بياناتك الشخصية ابتداء من الموظف الذي لديه حرية النفاذ إلى بيانتك في الجهة الجامعة إلى الشركة التي شاركت بياناتك مع جهات أخرى دون موافقتك الصريحة.

في الأردن، ولمواكبة الاقتصاد العالمي وتشجيع شركات التكنولوجيا العالمية على الاستثمار بما يسمى بالحوسبة السحابية (Cloud Computing) عملت وزارة الاتصالات والتكنولوجيا في ٢٠١٤ على تطوير مشروع قانون حماية البيانات. بالإضافة إلى غايات القانون المبدأية المتمثّلة بحماية بيانات المواطنين وحقهم في الخصوصية. دون هذا القانون، لن تستطيع مايكروسفت مثلا أن تبيع خوادم تسجل بيانات مستخدميها للأردن لعدم تواجد بيئة تشريعية توفر نفس ضمانات الأمان والخصوصية التي يطلبها القانون الأمريكي. لذا كانت مايكروسفت ضمن الفريق الذي شارك في إعداد مشروع قانون حماية البيانات حسب تصريح مدير الشؤون المؤسسية في شركة مايكروسوفت في مصر وشمال إفريقيا، أشرف حسن عبد الوهاب في ٢٠١٤.

حادثة الهاشمية ليست الحادثة الأولى التي تعكس فوضى استغلال الشركات أو المؤسسات أو الأفراد لمجموع بيانات المواطنين الشخصية واختراق حرمتها سواء بقصد من المؤسسة الجامعة للبيانات، أو بإهمال منها. يوميا نرى كيف تتاجر شركات الاتصالات ببيانات اتصال عملائها لإيصال دعايات من شركات أو مرشحي انتخابات لهواتفهم. أيضا تنشر دائرة الأحوال المدنية دوريا قوائم أسماء وأرقام الوطنية خاصة بمواطنين، معرّضة هؤلاء للخطر كون الرقم الوطني من أهم مفاتيح تسيير معاملات المواطنين الخاصة. ومن الأمثلة الشهيرة، تهديد النائب يحيى السعود أمام الكاميرا بحرق ٩٠٠٠ بطاقة انتخاب كان قد وضعها مندوبوه أمامه دون أن نعرف إن تم جمعها بموافقة أصحابها أم لا.

قانون حماية البيانات هو مفتاح كل المواطنين لمواجهة انتهاكات الجهات الجامعة للبيانات واستغلالها دون الأغراض التي أعلنت عنها، سواء أكانت شركات خاصة أو مؤسسات حكومية أو مؤسسات مجتمع مدني أو مراكز بحوث. في غايات مشروع القانون الذي طرحته، مؤخّرًا، وزارة الاتصالات للاستشارة العامة في أول شهر تشرين الثاني حتى الثاني من كانون الثاني القادم، نقرأ أن هدف القانون أولا، «توفير الحماية القانونية للبيانات الشخصية للأشخاص الطبيعيين من قبل الجهات الخاضعة لأحكام القانون» وثانيًا، «تعزيز الثقة في البيئة الرقمية وتطبيقاتها المختلفة».

قد تكون النظرة الأولى على مشروع القانون مريحة، كون هذه الغايات تتوافق مع الغايات التي تتبناها قوانين والتوجيهات العالمية حول حماية البيانات. لكن يُغْفل مشروع القانون المطروح في الأردن أحد أهم العناصر التي تطلبها جميع هذه القوانين لتحقيق غاياتها: الاستقلال الكامل للمجلس المفوّض بالنظر إلى شكاوى المواطنين لانتهاكات الجهات الجامعة لبياناتهم. يطلب مثلا قانون حماية البيانات الشخصية للأشخاص الطبيعيين الخاص بالاتحاد الأوروبي أن تكون الجهة الرقابية على القانون مستقلة استقلالا تاما لضمان حقوق أصحاب البيانات. وأن تكون مستقلة استقلالا تاما عن أي مؤثرات خارجية. وألّا تسعى لأخذ أي تعليمات من أي جهة خارجية وأن يكون الأعضاء متفرّغين لا يشغلون أي منصب آخر خلال مدة عملهم بالمجلس، وأن تكون لديهم المؤهلات الكافية في مجال حماية البيانات الشخصية.

أما مشروع القانون الذي تطرحه وزارة الاتصالات، فيترأس المجلس وزير الاتصالات وتكنولوجيا المعلومات، وخمسة من أعضائه الأحد عشر هم أمناء وزارات الداخلية والعدل والثقافة والإعلام ووزارة الاتصالات، واثنان رؤساء مؤسسات حكومية مثل مدير عام مركز تكنولوجيا المعلومات الوطني والرئيس التنفيذي لهيئة تنظيم قطاع الاتصالات. وحتى عندما يحاول مشروع القانون شمل أعضاءٍ من خارج القطاع الحكومي يقوم مجلس الوزراء بتعيين أخر عضوين من ذوي الاختصاص بتنسيب من وزارة الاتصالات.

كيف للمواطنين في الأردن ضمان حماية حقهم في خصوصية بياناتهم من كل الجهات الجامعة للبيانات من خلال مجلس فيه تضارب مصالح بنيوي؟

يفصّل قانون حماية البيانات الأوروبي شروط استقلالية المجلس. حتى وإن عُيّن مفوض المجلس من قبل جهة حكومية، كما في مشروع القانون الأردني، فإن ضمانات استقلاليته في القانون الأوروبي تكمن أولا، بمنح المفوض أو المؤسسات المستقلة المعتبرة مثل نقابة المحامين والمجلس القضائي ونقابة الصحفيين صلاحية تعيين أعضاء المجلس بعيدا عن الجهات الحكومية. وثانيا باستقلالية قراراته وآليات عمله من الجهات الحكومة. ولأن المفوض ذو صلاحيات قضائية في فرض عقوبات على الجهات المخالفة، اشترط النموذج الآيسلندي، مثلا، أن يكون رئيس المجلس ونائبه محامون مؤهلون لمنصب قضاة. أما مشروع القانون الأردني فيُخضع مجلس حماية البيانات لولاية وزارة الاتصالات التي من أحد أكبر أهدافها تنمية قطاع التكنولوجيا الممثل بشركات من مصلحتها جمع أكبر قدر من البيانات الشخصية وليس بالضرورة حماية حق صاحب البيانات. تَمثّل هذا الانحياز بسماح الوزارة لمشاركة شركات خاصة في وضع مشروع قانون حماية البيانات. كما التضارب في المصالح في الانحياز الصارخ في تشكيلة أعضاء المجلس للجهات الحكومية (٨ من أصل ١١عضوًا).

تدرك المؤسسات والأشخاص تنامي القيمة السياسية والتجارية لقواعد البيانات الشخصية. من خلال هذه القواعد، تبني الشركات استراتيجيتها التسويقية وأجهزة الدولة آليات عملها. تهافت الجهات المختلفة على جمع وتحليل البيانات وتداولها بين الجهات الحكومية والخاصة يتطلب بشكل أساسي أن يكون المجلس المسؤول عن حماية بيانات المواطنين وتلقي الشكاوى على مسافة واحدة من جميع الجهات الجامعة للبيانات. لا يعني هذا أن عدم استقلالية مجلس حماية البيانات هي المأخذ الوحيد على قانون حماية البيانات. بل ملاحظاتنا شملت أيضًا إغفال مشروع القانون لعمليات معالجة البيانات الرقمية التي تتنامى في العصر الحالي، وعدم مواءمة آلية تسجيل الشكاوى للمعاقين. إلا أن الحجر الأساسي في تنفيذ أي من غايات القانون وآلياته يبدأ باستقلالية المجلس المسؤول عن حماية البيانات. هكذا تبنى الثقة الرقمية.

للاطلاع على الملاحظات التي أرسلتها حبر، كجزء من فريق رد على القانون حماية، يمكنكم الضغط على هذا الرابط. وكما يمكنكم لاطلاع على مسودة القانون أدناه.