اعتاد المواطنون في لبنان منذ إنفجار مرفأ بيروت على تلقي اتصالات أو زيارات منزلية من جهات متعددة تطلب منهم معلومات خاصة أو تعبئة إستمارات لأمر معين، وغالبًا ما يتجاوب الناس مع هذه المبادرات على أمل الحصول على استفادة ما في ظل الأزمة الحالية.
مؤخرًا أطلقت وزارة الصحة العامة في تموز 2023 التقييم المتكامل للمغذيات الدقيقة والفيتامينات الأساسية للفئات الأكثر ضعفًا (LIMA) والذي يتم بالتعاون مع اليونيسف ويهدف لفهم معمق للوضع الغذائي الحالي للمواطنين المقيمين في لبنان.
قام مندوبون عن المشروع بزيارة ميدانية لمواطنين من منطقة الأشرفية، لأخذ بعض المعلومات الصحية والغذائية. السؤال عن الهدف من جمع البيانات فاجأ المندوبين. لا يسأل معظم الناس عن ذلك. هل سيستفيد من يعطون معلوماتهم من أي ضمانات صحية أو سيساهمون في بحث علمي ما؟ يجيب المندوبون بالنفي إذ على حد قولهم سيتم اختيار عينة من الاستمارات لكي يجري البحث عليها. اذا لما جمع بيانات أكثر من اللازم؟ هنا لا جواب وتبرير إنهم فقط يملون ما طلب منهم.
وتشمل المعلومات المطلوبة في التقييم الخصائص الديمغرافية للأسرة ومستوى الرفاهية الإجتماعية، وقياسات جسمانية (الطول- الوزن- ومحيط الخصر) وجمع عينات من الدم والبول.
تشكل قضية حفظ البيانات في لبنان خوفا كبيرا لدى المواطنين خاصةً إذا كانت الجهة التي تجمع وتعالج هذه البيانات هي إدارة عامة تابعة للدولة كونها لا يُطبّق عليها قانون المعاملات الالكترونية والبيانات ذات الطابع الشخصي الذي أُقر في العام 2018 وجاء لينظم المعاملات الإلكترونية.
غياب الأجوبة
تُعد البيانات الصحيّة من أكثر المعلومات سريّة وحساسيّة في العالم، فهي بالإضافة لكونها تمس الفرد بشكل مباشر، فإنها تعكس أيضًا الواقع الصحي للدول ومستويات الرعاية فيها، ما يجعلها من أكثر المعلومات المطلوبة في عمليات القرصنة.
وعليه حاول موقع "مهارات نيوز" التواصل مع وزارة الصحة العامة لمعرفة آلية حماية البيانات الشخصية لديها في هذا المشروع وفي غيره، عبر الإتصال بأرقام التواصل على موقع الوزارة ولكن لم يستجب أحد، ثم تم التواصل مع مديرية الوقاية الصحيّة وكان الجواب أن الحديث عن هذا المشروع يتطلب إذنًا رسميًا من وزير الصحة.
تواصل الموقع أخيرًا مع مكتب وزير الصحة عبر إرسال كتابًا رسميًا لاستيضاح بروتوكول حماية البيانات الشخصية في الوزارة، لكن حتى لحظة كتابة هذا التقرير لم نتلقَ أي رد حول الموضوع (رغم إخبارنا أن الأمر يتم العمل عليه).
في المقابل أوضح المكتب الإعلامي لليونيسف في بيروت في حديث لموقع "مهارات نيوز" أن المشروع يستهدف زيارة أكثر من 8000 أسرة مع التأكيد على أن جميع البيانات المؤهلة (الخالية من الأخطاء) سيتم استخدامها في التحليل وليس جزء منها فقط. ويؤكد المكتب أن البيانات المجمّعة في هذا المسح ستكون مجهولة المصدر (بمعنى أنه سيتم حذف المُعرفات الشخصية والخاصة من مجموعة البيانات) وستتم حماية البيانات الشخصية للأفراد بموجب أسلوب السريّة الصارمة المتوافق مع المعايير الأخلاقية للمسح وسياسات وزارة الصحة العامة، لكن هذا الحديث يترافق مع عدم توضيح ماهية هذه السياسات بشكل مفصل واجراءاتها العملية.
هذه الحالة من الضبابية في معرفة مصير بياناتنا خاصة عندما يتعلق الأمر بالوزارات أو الإدارات العامة يعود في المقام الأول الى غياب الأطر والمعايير الفعالة لحماية البيانات الشخصية في لبنان وهو عكس ما تنتهجه الدول المتقدمة التي لديها سياسات واضحة فيما يتعلق بحماية البيانات مثل "القانون العام لحماية البيانات" GDPR" المطبق من الإتحاد الأوروبي والذي صدر عام 2016 وبدأ تنفيذه عام 2018، ويعتبر من أفضل القوانين في العالم لحماية البيانات الشخصية والمعلومات ذات الطابع الشخصي، ويعطي هذا القانون المُستخدم الحق في عدة أمور مهمة مثل:
- أخذ موافقة صريحة منه قبل جمع بياناته واستخدامها
- الحق في مسح بياناته الشخصية Right to be forgotten (حسب المادة رقم 17)
- الحق في تلقي البيانات الشخصية المتعلقة به في صيغة شائعة الاستخدام وقابلة للقراءة آليًا (حسب المادة 20)
- ضرورة موافقة الوالدين لمعالجة البيانات الشخصية للأطفال تحت سن 16 عامًا ويجوز للدول الأعضاء أن تحدد بموجب قانونها سنًا أدنى لهذه الأغراض بشرط ألا تقل هذه السن عن 13 عامًا (حسب المادة 8)
بالعودة الى لبنان وبعد طول انتظار استمر لسنوات، تم التوصل في العام 2018 الى اقرار قانون ينظم العمل الإلكتروني، ولكن هذا القانون ورغم بعض إيجابياته ولد مقسوم الظهر نتيجة العديد من الثغرات فيه خاصة تلك المتعلقة بحماية البيانات الشخصية، فما هو هذا القانون وما هي الملاحظات حوله؟
قانون لا يحمي البيانات الشخصية
أقر لبنان في العام 2018 القانون رقم 81، "قانون المعاملات الالكترونية والبيانات ذات الطابع الشخصي" الهادف لتنظيم العمل الإلكتروني، وكان القانون قد بدأ العمل عليه في العام 2004 عندما وضع الخبيرين الفرنسيين البروفسور بيار كتالا والأستاذة فاليري سيداليان مسودته الأولى وتم ترجمته للغة العربية.
القانون الذي شكل نقلة مهمة في بعض الأمور المتعلقة بالتنظيم الإلكتروني كقوننة العقود الالكترونية و التوقيع الإلكتروني وغيرها من الأمور التي كنا بحاجة إليها في ظل العالم الرقمي الذي بتنا نعيش فيه، إلا أنه احتوى على العديد من الثغرات لا سيما في الباب الخامس منه والمتعلق بـ" حماية البيانات ذات الطابع الشخصي".
ومن أخطر الثغرات في القانون والخاصة بحماية البيانات أنه لا يطبق على الإدارات العامة للدولة، ويوضح المحامي طوني مخايل في حديثه لموقع "مهارات نيوز" أن المادة 94 استثنت المعالجات التي يجريها أشخاص الحق العام على البيانات الشخصية كل في نطاق صلاحياته من موجب التصريح عنها وهذا ما يعيق حق الأفراد في الاطلاع على هذه المعالجات وتقييم أثرها بالنسبة إليهم. كما أن الفصل الرابع المتعلق بحق الوصول والتصحيح لا يكفل بشكل واضح حق الأفراد في الوصول الى المعلومات الضرورية المتعلقة بحماية بياناتهم ومعرفة مصيرها الفعلي والمعالجات التي تتم عليها والمخاطر المتعلقة بالخصوصية والاستغلال غير المشروع، فضلا عن حق التصحيح والاعتراض.
ومن ضمن الثغرات أيضًا أن القانون 81 والمأخوذ من النظام الفرنسي لعام 2004 استغرق 14 عامًا لإقراره بعد سنوات طويلة من الدراسة في اللجان النيابية مما جعل أسسه القديمة غير صالحة وغير مواكبة لكل هذا التطور الذي حصل في مجال الانترنت والتكنولوجيا، فضلا عن ازدياد أهمية البيانات في العالم وازدياد الرغبة في السيطرة عليها، الأمر الذي يفرض تعديلات مستمرة على أُسس الحماية.
وفي حين كان التوجه في مسودة قانون المعاملات الالكترونية والبيانات ذات الطابع الشخصي لإنشاء هيئة مستقلة تشرف على منح التراخيص لجمع ومعالجة البيانات، تم إلغاء الأمر وإناطة مهمة التعامل مع طلبات معالجة البيانات بوزارة الإقتصاد والتجارة، حيث نصت المادة 95 أنه "باستثناء الإعفاءات المنصوص عليها في المادة السابقة، يجب على من يرغب بجمع البيانات ذات الطابع الشخصي ومعالجتها، اعلام وزارة الاقتصاد والتجارة بموجب تصريح وفق الأصول لقاء إيصال.
وعليه يؤكد مخايل على ضرورة إنشاء الهيئة المستقلة لحماية البيانات الشخصية في أي تعديلات قد تطرأ على قانون المعاملات الإلكترونية، ويكون لهذه الهيئة صلاحيات تنفيذية لناحية إلزام كُلًا من الجهات العامة - أشخاص الحق العام والجهات الخاصة باتباع المعايير التي تضعها وتوصي بها، كما أن تمتلك في حال امتناعهم عن التصريح عن معالجة البيانات الحق بفرض العقوبات عليهم.
أزمة بيانات قائمة فاقمها الوضع الإقتصادي
تشرح محللة السياسات العامة في منظمة "سميكس" نجاح عيتاني أن المشكلة الأساسية في موضوع حماية البيانات في لبنان أنه لا يوجد شفافية أو وضوح، فالمواطن وقبل أن يقوم بتعبئة معلوماته على نموذج معين يجب أن تتوفر له إمكانية الإطلاع والموافقة على كيفية حفظ بياناته، ومعرفة طريقة الحفظ، وما هي الخوادم"servers" التي تحفظ البيانات وأماكن تواجدها ومن لديه إمكانية الولوج إليها، فضلا أنه ليس هناك ضمانات للأشخاص الذين قد تُخترق بياناتهم الشخصية أو تُسرّب، وحيث أن القانون 81 لا يشمل المؤسسات العامة يعاني المواطن من فراغ تشريعي وغياب قانون مفصل يمكن أن يبني عليه شكواه.
وتضيف عيتاني أنه عندما تم وضع منصة impact وكانت تطلب من المواطنين تعبئة معلوماتهم للحصول على طلب الخروج في وقت كورونا لم يكن هناك أي تفسير لأسس معالجتها للبيانات وكيفية حفظها. وكان هناك هاجس كبير حول وجود امكانية وصول الجهات المانحة لهذه البيانات وامتلاكهم نسخ عنها وهذا أمر في منتهى الخطورة، ويمكن أن نشهده يتكرر في الفترة القادمة بشكل أكبر حيث أن غالبية الوزارات تعتمد على الدعم الخارجي نتيجة أوضاعها المترديّة".
وحول تأثير الأزمة الإقتصادية على دور الإدارات العامة في حماية البيانات تقول عيتاني: "منذ قبل الأزمة ونحن نعاني من الهشاشة وعدم الوضوح حول مدى حماية بياناتنا، وبطبيعة الحال فإن الأزمة الاقتصادية أثّرت على جميع القطاعات ومنها الوزارات وإدارات الدولة التي باتت غير قادرة على وضع موضوع حفظ البيانات والتحول الرقمي ضمن أولوياتها، فضلا أن المختصين والخبراء في مجال حماية البيانات هم ممن يتقاضون مبالغ كبيرة وهم مطلوبون في سوق العمل، ولا يمكن استبعاد انتقال هؤلاء لأماكن عمل أُخرى تُؤمن لهم رواتب جيدة وترك الوظيفة العامة"، ما يفتح الباب لمحاولات الإختراقات والقرصنة، حيث بات من ينفذ هذه الأعمال على دراية بواقع المؤسسات وهشاشتها.
إذًا فإن استمرار قانون المعاملات الإلكترونية والبيانات ذات الطابع الشخصي بوضعه الحالي دون تعديل أو محاولة إصلاح ما يشوبه من ثغرات، سيفاقم أزمة حماية وحفظ البيانات في لبنان، ويبعدنا أكثر فأكثر عن المعايير العالمية في حفظ البيانات كما هو الحال في العديد من المجالات الأخرى.
TAG : ,معلومات شخصية ,البيانات ,إدارة عامة ,قانون المعاملات الالكترونية ,بيانات ذات الطابع الشخصي ,البيانات الصحية ,وزارة الصحة العامة ,مديرية الوقاية الصحيّة ,الإدارات العامة للدولة ,معالجة البيانات