تطبيقات اقتفاء المخالطين في البحرين والكويت من أخطر التطبيقات على الخصوصية (تحقيق استقصائي لمنظمة العفو)

تطبيق اقتفاء المخالطين في البحرين خطر على خصوصية الأفراد
تطبيق اقتفاء المخالطين في البحرين خطر على خصوصية الأفراد

2020-06-17 - 12:24 ص

مرآة البحرين: أظهر تحقيق استقصائي أجرته منظمة العفو الدولية أن تطبيقات اقتفاء المخالطين للمصابين بفيروس كوفيد-19 التي استحدثتها البحرين والكويت والنرويج تُعدّ من أكثر التطبيقات اقتحاماً للخصوصية الشخصية في العالم؛ إذ تنطوي على أخطار تهدد خصوصية وأمن مئات الآلاف من الأشخاص.
فقد قام مختبر الأمن التابع لمنظمة العفو الدولية باستعراض تطبيقات اقتفاء المخالطين في أوروبا والشرق الأوسط وشمال إفريقيا، وشمل ذلك تحليلاً فنياً مفصلاً لأحد عشر تطبيقاً من هذا النوع في الجزائر، والبحرين، وفرنسا، وأيسلندا، وإسرائيل، والكويت، ولبنان، والنرويج، وقطر، وتونس، ودولة الإمارات العربية المتحدة، فكان بعضها يتراوح بين السيء والخطير بالنسبة لحقوق الإنسان.
وتبين أن تطبيق "مجتمع واعي" في البحرين، وتطبيق "شلونك" في الكويت، وتطبيق "سميتاستوب"
"Smittestopp" في النرويج هي من بين أخطر أدوات المراقبة الجماعية التي قامت منظمة العفو الدولية بتقييمها حتى الآن، وأبعثها على القلق؛ إذ تقوم التطبيقات الثلاثة بالاقتفاء الآني أو شبه الآني لمواقع المستخدمين من خلال التحميل المتكرر لإحداثيات النظام العالمي لتحديد المواقع إلى خادم مركزي.
ويوم الاثنين، أعلنت الحكومة النرويجية أنها ستوقف مؤقتًا استخدام تطبيق اقتفاء المخالطين الخاص بها. وجاء هذا القرار قبل ساعات فقط من نشر منظمة العفو الدولية لتحليلها وبعد أن شاركت المنظمة النتائج التي توصلت إليها مع السلطات النرويجية ووكالة حماية البيانات في البلاد في 2 يونيو/حزيران. كما اجتمعت منظمة العفو الدولية برئيس تطوير تطبيق "سميتاستوب" في 10 يونيو/حزيران.
وقال كلادويو غوارنيري، رئيس مختبر الأمن التابع لمنظمة العفو الدولية "إن البحرين والكويت والنرويج استخفّت تماماً بخصوصية الناس باستخدامها أدوات للمراقبة تستبيح هذه الخصوصية إلى أبعد الحدود، وتتجاوز بمراحل ما يمكن تبريره من جهود التصدي لوباء فيروس كوفيد-19".
وأضاف غوارنيري قائلاً: إن التطبيق النرويجي كان منتهكاً للخصوصية إلى حد بعيد وكان قرار إعادة تصميم التطبيق هو الصحيح. نحث الحكومتين البحرينية والكويتية على التوقف فورًا عن استخدام مثل هذه التطبيقات المنتهكة للخصوصية بشكلها الحالي. فما تفعله الحكومتين فعلياً هو بثّ مواقع المستخدمين إلى قاعدة بيانات حكومية بشكل آني - ومن غير المحتمل أن يكون ذلك ضروريًا ومتناسبًا في سياق استجابة الصحة العامة. فيمكن أن تلعب التكنولوجيا دورًا مفيدًا في تطبيقات اقتفاء المخالطين لاحتواء فيروس كوفيد-19، ولكن يجب ألا تكون الخصوصية ضحية أخرى بينما تسارع الحكومات إلى استحداث التطبيقات".
أدوات المراقبة الجماعية
تنتهج تطبيقات اقتفاء المخالطين في البحرين والكويت والنرويج نهجاً مركزياً ينتهك خصوصية الفرد، ويشكل خطراً كبيراً عليها؛ فمثل هذه الأنظمة تلتقط البيانات الخاصة بمواقع الأفراد من خلال النظام العالمي لتحديد المواقع، ثم تنقلها إلى قاعدة بيانات مركزية، وبذلك ترصد تحركات المستخدمين رصداً آنياً.
فتطبيق "إحتراز" القطري مثلاً قادر، بمحض اختيار القائمين عليه، على تفعيل الاقتفاء الآني لمواقع المستخدمين جميعاً أو لأفراد بعينهم (حتى وقت كتابة هذه السطور، لا تزال هذه الإمكانية غير مشغّلة).
ومن اليسير على السلطات في جميع هذه الدول ربط هذه البيانات الشخصية الحساسة بفرد ما، لأن سلطات قطر والبحرين والكويت تفرض على المستخدمين التسجيل في التطبيق برقم الهوية الشخصية الوطنية، في حين تستوجب سلطات النرويج من المستخدمين التسجيل برقم هاتف صالح.
وثمة أمثلة أخرى من التطبيقات التي قام مختبر الأمن التابع لمنظمة العفو الدولية بتقييمها تنتهج نموذجاً مركزياً، مثل تطبيق "إحمي" التونسي، ولكنها، بدلاً من تسجيل إحداثيات النظام العالمي لتحديد المواقع، تستخدم خاصية استشعار القرب بواسطة البلوتوث في الاقتفاء الآني للمخالطة بين المستخدمين. أما تطبيق "إحتراز" القطري فهو يسجّل ويحمِّل بيانات المخالطة بين الأفراد عن طريق خاصية البلوتوث في هواتفهم، بالإضافة إلى إحداثيات موقع المخالطة لدى النظام العالمي لتحديد المواقع.
وقد اكتُشفت ثغرة أمنية كبرى في تطبيق "إحتراز" القطري من شأنها أن تكشف عن بيانات شخصية حساسة لأكثر من مليون شخص. وكان هذا الأمر مثار قلق بالغ، خاصة وأن استخدام هذا التطبيق أصبح إجبارياً في 22 مايو/أيار. وقامت السلطات القطرية بتصحيح هذا الخطأ بعد أن نبهتها منظمة العفو الدولية إلى اكتشافه في نهاية مايو/أيار. وكان من شأن هذه الثغرة الأمنية في التطبيق أن تضع في متناول المخترقين والمهاجمين على الإنترنت معلومات شخصية حساسة للغاية للمستخدمين، بما في ذلك أسماؤهم، وهويتهم الشخصية الوطنية، وحالتهم الصحية، ومواقع العزل المحددة لهم.
أما تطبيقات اقتفاء المخالطين في بلدان مثل فرنسا وأيسلندا والإمارات العربية المتحدة فهي تستخدم نموذجاً مركزياً، ولكن المعلومات المتعلقة بالمخالطة بين الأجهزة لا يتم تحميلها إلا إذا قرر المستخدمون طوعاً الإبلاغ عن أنفسهم عند إصابتهم بالأعراض أو بناء على طلب السلطات الصحية. ومثل هذا التحميل الطوعي والتوافقي للبيانات يحد على الأقل من خطر المراقبة الجماعية باعتبار أن تلك البيانات لا يتم تحميلها بصورة تلقائية.
أما النموذج المركزي لتطبيق اقتفاء المخالطين في فرنسا فهو مقرون بغياب الشفافية بشأن كيفية تخزين البيانات الأمر الذي يثير تساؤلات عما إذا كان بالإمكان الكشف عن هوية أصحاب هذه البيانات من المستخدمين.
وقال كلاوديو غوارنيري: "يجب على حكومات العالم أن تكف عن استخدام تطبيقات اقتفاء المخالطين المعيبة أو التي تتسم بالانتهاك المفرط لخصوصيات الناس، وتفشل في حماية حقوقهم الإنسانية. ولن يكون لتطبيقات اقتفاء المخالطين دور ناجع في مكافحة وباء فيروس كوفيد-19 ما لم يكن الناس على ثقة ويقين من أنها تصون خصوصياتهم".
أشكال جديدة من المراقبة
بل لقد تم الربط بين تطبيق "مجتمع واعي" في البحرين وبرنامج وطني بثه التلفزيون البحريني اسمه "أنت في البيت؟"، حيث قدم البرنامج مكافآت مادية للأفراد المسجلين في التطبيق الملتزمين بالبقاء في منازلهم أثناء شهر رمضان الماضي. فباستخدام البيانات الشخصية التي تم جمعها من خلال التطبيق، كان البرنامج يختار عشرة أرقام هاتفية عشوائية من أرقام الأفراد المسجلين في التطبيق يومياً باستخدام نظام إلكتروني، وكان القائمون على البرنامج يتصلون بأصحاب هذه الأرقام المسحوبة على الهواء مباشرة للتحقق من أنهم في بيوتهم آنذاك؛ فتقدم مكافأة مالية للملتزمين بالبقاء في بيوتهم. وكان الاشتراك في هذه المسابقة التلفزيونية أمراً إجبارياً أول الأمر إلى أن أضافت هيئة المعلومات والحكومة الإلكترونية في البحرين خاصية تتيح للأفراد المسجلين في تطبيق "مجتمع واعي" إمكانية عدم الاشتراك في البرنامج. كما نشرت السلطات البحرينية على الإنترنت بيانات شخصية حساسة لأفراد يُشتبه في إصابتهم بفيروس كوفيد-19، بما في ذلك حالتهم الصحية، وجنسيتهم، وسنهم، ونوعهم الاجتماعي، وأسفارهم.
وكلا التطبيقين البحريني والكويتي يمكن أن يقترن بسوار مزود بتقنية البلوتوث، يستخدم للتحقق من بقاء المستخدم بالقرب من هاتفه تنفيذاً لتدابير الحجر الصحي. ويقوم التطبيق الكويتي بالتحقق من المسافة بين سوار البلوتوث والهاتف بصفة منتظمة، ثم يحمل بيانات الموقع كل عشر دقائق إلى خادم مركزي.
وتُرسل إلى خادم مركزي بصفة متكرّرة البيانات المتعلقة بمواقع الأفراد وغيرها من المعلومات التشخيصية الإضافية المستقاة من سوار البلوتوث المقترن بتطبيق "مجتمع واعي" البحريني. ومن المفروض على جميع الأفراد المسجلين للحجر الصحي في منازلهم ارتداء السوار، وإلا فقد يعرضون أنفسهم لعقوبات قانونية بموجب قانون الصحة العامة رقم 34 لسنة 2018، من بينها الحبس لمدة لا تقل عن 3 أشهر و/أو غرامة تتراوح بين 1000 دينار بحريني (نحو 2700 دولار) و10 آلاف دينار بحريني (نحو 27000 دولار) أو كلاهما.
إدراج مراعاة خصوصية الإنسان وحقوقه في تصميم التطبيقات
لا مراء في أن تتبع المخالطين للمرضى ركن مهم من أركان التصدي الفعال للوباء، وأن تطبيقات اقتفاء المخالطين يمكن أن تسهم في تحقيق تلك الغاية؛ ولكن لا بد أن تكون تلك التطبيقات مراعية لحقوق الإنسان، ومن بين السبل المؤدية لذلك إدراج جوانب الخصوصية وحماية البيانات الشخصية في صلب التطبيقات لتصبح جزءاً من تصميمها، ومؤدى ذلك ألا تتجاوز البيانات التي يتم جمعها الحد الأدنى الضروري، وأن يتم تخزينها بصورة آمنة.
ويجب أن يكون الغرض الأوحد من وراء جمع كل البيانات هو مكافحة انتشار فيروس كورونا، ولا يجوز استخدام هذه البيانات في أي أغراض أخرى كائنة ما كانت، بما في ذلك تنفيذ القانون والأمن الوطني ومراقبة الهجرة. ولا يجوز كذلك وضع هذه البيانات في متناول أي طرف آخر أو استخدامها في أغراض تجارية. ويحق لكل فرد أن يتخذ قراره بتنزيل تطبيقات اقتفاء المخالطين واستخدامها بمحض إرادته تماماً. وأي بيانات يتم تجميعها يجب أن تظل مجهولة الهوية، حتى حين يتم ضمها إلى مجموعات أخرى من البيانات.
وقال كلاوديو غوارنيري "يجب على الحكومات التي أصدرت تطبيقات مركزية لاقتفاء المخالطين للمرضى، لديها القدرة على الرصد الآني لمواقع المستخدمين، أن تعيد النظر في هذا المسعى؛ فهنالك خيارات أفضل تلبي ضرورة رصد انتشار المرض دون الحاجة لجمع المعلومات الشخصية الحساسة للملايين من الناس على هذا النحو الكاسح.