الفصل الخامس

حماية البيانات

لم تعد المعلومات قوة فحسب، وإنما أصبحت تجارة كبيرة، وفي السنوات الأخيرة كان قطاع الخدمات هو أسرع جوانب التجارة الدولية نموًّا، حيث يصل إلى ما يزيد عن ثلث التجارة العالمية، ولا يزال مستمرًّا في النمو، ومن الطبيعي معرفة أن اعتماد المجتمعات الصناعية الحديثة على حفظ المعلومات يعد سمة رئيسية لها، وبالطبع يؤدي استخدام أجهزة الكمبيوتر إلى كفاءة كبيرة وسرعة في جمع المعلومات وحفظها واستخدامها واسترجاعها ونقلها.

إن الأعمال الروتينية للمؤسسات الحكومية والخاصة تتطلب تدفقًا مستمرًّا للمعلومات عنا من أجل الإدارة الفعالة لعدد لا يحصى من الخدمات التي تعد جزءًا لا يتجزأ من الحياة المعاصرة، وتقديمُ الخدمات الصحية وخدمات الضمان الاجتماعي والائتمان والتأمين واكتشاف الجرائم ومنعها؛ يفترض توافر كميات كبيرة من البيانات الشخصية، ومن ثم استعداد الأفراد لتقديمها، وعملية حوسبة هذه المعلومات — التي غالبًا ما تكون حساسة للغاية — تزيد من مخاطر سوء استخدامها.

وربما ضياعها، في الواقع، نتيجة للإهمال، فعلى سبيل المثال، مُنيت بريطانيا مؤخرًا بعدد من الفضائح الأمنية؛ ففي عام ٢٠٠٨ فُقدت شريحة ذاكرة تحتوي على معلومات عن آلاف المجرمين، وفي موقف آخر ترك أحد مسئولي مكتب الاستخبارات الخاص بمجلس الوزراء وثائق تخص تنظيم القاعدة في باكستان والموقف الأمني في العراق في أحد القطارات، وفي عام ٢٠٠٧ اعترف وزير الخزانة باختفاء أسطوانات كمبيوتر تحتوي على معلومات شخصية ﻟ ٢٥ ملايين شخص و٧٫٢ ملايين أسرة.

النشأة

شهد فجر تكنولوجيا المعلومات في ستينيات القرن العشرين قلقًا متزايدًا حيال التهديدات الملموسة التي طرحها الجمع والحفظ والاستخدام غير المنضبط للبيانات الشخصية، وأثار الخوف من الأخ الأكبر الذي يراقب الأنشطة الإلكترونية دعوات في العديد من البلدان لوضع قوانين لأنشطة التطفل المحتملة، وصدر أول قانون لحماية البيانات في الأراضي الألمانية في ولاية هيسن عام ١٩٧٠، وتبع ذلك تشريعات وطنية في السويد (١٩٧٣)، والولايات المتحدة (١٩٧٤)، وألمانيا (١٩٧٧)، وفرنسا (١٩٧٨).

ومن هذه الشرنقة الأولية وُلِدت معاهدتان دوليتان رئيسيتان: اتفاقية المجلس الأوروبي عام ١٩٨١ لحماية الأفراد فيما يتعلق بالمعالجة الآلية للبيانات الشخصية، والمبادئ التوجيهية في عام ١٩٨٠ لمنظمة التعاون الاقتصادي والتنمية التي تنظم حماية الخصوصية وتدفق البيانات الشخصية عبر الحدود، وشكلت هذه الوثائق قواعد واضحة تنظم العملية الكاملة لإدارة البيانات الإلكترونية، وكان المبدأ الرئيسي لتشريعات حماية البيانات، منذ صدور المبادئ التوجيهية لمنظمة التعاون الاقتصادي والتنمية، هو المادة التي تنص على أن البيانات المتعلقة بفرد محدد لا ينبغي أن تُجمع في حالة عدم وجود هدف حقيقي وعدم الحصول على موافقة الشخص المعني (انظر الإطار).

وعلى مستوى أعلى في التجريد، فهي تلخص المبدأ الذي أطلقت عليه المحكمة الدستورية الألمانية «تقرير المصير المعلوماتي»، وهو تصور يعبر عن مفهوم ديمقراطي أساسي.

مبادئ منظمة التعاون الاقتصادي والتنمية

مبدأ حدود جمع البيانات

يجب أن يكون هناك حدود لجمع البيانات الشخصية، وأي بيانات من هذا القبيل يجب أن يُحصل عليها بوسائل مشروعة وعادلة، وحيثما يكون مناسبًا، بعلم أو موافقة صاحب البيانات.

مبدأ جودة البيانات

يجب أن تكون البيانات الشخصية على علاقة وثيقة بالأغراض التي جمعت لتستخدم فيها، ووفق ضرورة هذه الأهداف، ويجب أن تكون البيانات الشخصية دقيقة وكاملة ومحدَّثة.

مبدأ تحديد الغرض

يجب أن تُحدد الأغراض التي تُجمع البيانات الشخصية لها في موعد لا يتجاوز وقت جمع البيانات، ويجب أن يقتصر الاستخدام اللاحق على تحقيق هذه الأغراض أو غيرها من الأغراض التي لا تتعارض معها وتُحدد أيضًا في كل مناسبة يتغير فيها الغرض.

مبدأ حدود الاستخدام

يجب ألا يُكشف عن البيانات الشخصية أو تتاح أو تستخدم لأغراض أخرى غير تلك المحددة وفقًا للفقرة ٩ إلا:
  • (أ)

    بموافقة صاحب البيانات، أو

  • (ب)

    بسلطة القانون.

مبدأ الحماية الأمنية

يجب حماية البيانات الشخصية عن طريق ضمانات أمنية معقولة ضد المخاطر، مثل فقدان البيانات أو الدخول غير المصرح به عليها أو تدميرها أو استخدامها أو تعديلها أو الكشف عنها.

مبدأ الانفتاح

يجب أن يكون هناك سياسة عامة من الانفتاح حيال التطورات والممارسات والسياسات المتعلقة بالبيانات الشخصية، يجب أن تكون الوسائل متاحة بسهولة لترسيخ وجود وطبيعة البيانات الشخصية، والأهداف الرئيسية لاستخدامها، وكذلك هوية المتحكم في البيانات ومكان إقامته المعتاد.

مبدأ مساهمة الفرد

للفرد الحق في:
  • (أ)

    الحصول من المتحكم في البيانات أو غيره على تأكيد بشأن هل المتحكم في البيانات لديه بيانات تتعلق به أو لا.

  • (ب)
    إعلامه بالبيانات المتعلقة به.
    • أولًا: في غضون فترة زمنية معقولة.
    • ثانيًا: بتكلفة ليست مفرطة، إن وجدت.
    • ثالثا: بطريقة معقولة.
    • رابعا: وبصورة واضحة ومفهومة له.
  • (جـ)

    إعلامه بالأسباب إذا رُفض طلب مقدم بموجب الفقرتين (أ) و(ب)، وأن يكون قادرًا على الطعن في هذا الرفض.

  • (د)

    أن يطعن في البيانات المتعلقة به، وإذا قُبل الطعن، يمكنه محو البيانات أو تصحيحها أو إكمالها أو تعديلها.

مبدأ المساءلة

يجب أن يكون المتحكم في البيانات خاضعًا للمساءلة بشأن الامتثال للإجراءات التي تُطبِّق المبادئ المذكورة سابقًا.

المبادئ التوجيهية لمنظمة التعاون الاقتصادي والتنمية
التي تنظم حماية الخصوصية وتدفق البيانات الشخصية
عبر الحدود، الجزء الثاني (اعتمدت في ٢٣ سبتمبر ١٩٨٠)
الالتزام بهذا الهدف، أو بتعبير أدق، فرض تنفيذه (وما يرتبط بذلك من حقوق الوصول والتصحيح) كان مختلطًا في الأربعين نظامًا قضائيًّا، أو نحو ذلك، التي سنت تشريع حماية البيانات، وتعتمد معظم هذه الأنظمة على المعاهدتين الدوليتين المذكورتين سابقًا، وأشارت المادة ١ من اتفاقية المجلس الأوروبي لحماية الأفراد فيما يتعلق بالمعالجة الآلية للبيانات الشخصية إلى أن الغرض منها هو:

في بلد أو إقليم كل طرف ولجميع الأفراد، مهما كانت جنسيتهم أو محل إقامتهم، ضمان احترام حقوقهم وحرياتهم الأساسية، خصوصًا حقهم في الخصوصية، فيما يتعلق بالمعالجة الآلية للبيانات الشخصية المتعلقة بهم («حماية البيانات»).

ولا يمكن المبالغة في التعبير عن أهمية هذه المبادئ، لا سيما مبدأ حدود الاستخدام ومبدأ تحديد الغرض، فهي قواعد حيوية لعملية استخدام معلومات نزيهة، وجنبًا إلى جنب مع مبدأ أنه يجب أن يُحصل على البيانات الشخصية عن طريق وسائل عادلة ومشروعة؛ فإنها توفر إطارًا لحماية استخدام مثل هذه البيانات والكشف عنها، بل أيضًا للحد من الأنشطة التطفلية، مثل اعتراض رسائل البريد الإلكتروني (في مبدأ الحصول على المعلومات بطريقة عادلة)، ويجب استخدام البيانات الشخصية أو الكشف عنها فقط للأغراض التي جمعت البيانات من أجلها أو لبعض الأغراض المتصلة مباشرة بها، إلا إذا وافق صاحب البيانات، وهذا مبدأ رئيسي يقطع شوطًا طويلًا نحو التحكم في إساءة استخدام البيانات الشخصية على شبكة الإنترنت، لكنه يتطلب تجديدًا حيث يوجد بالفعل، وتبنيًا عاجلًا حيث يحدث ذلك بشكل جزئي فقط (أكثر وضوحًا في الولايات المتحدة).

الإيثار هو مجرد دافع جزئي وراء سن تشريعات حماية البيانات، والتكنولوجيا الجديدة للمعلومات تحطم الحدود الدولية؛ فالنقل الدولي للبيانات الشخصية سمة لروتين الحياة التجارية، فالحماية الممنوحة للبيانات الشخصية في الدولة (أ) في عالم رقمي تصبح بلا قيمة عندما تسحب على جهاز كمبيوتر في الدولة (ب) التي لا يوجد فيها قيود على استخدامها، ومن ثم فإن الدول التي لديها قوانين حماية بيانات كثيرًا ما تُحرِّم نقل البيانات إلى البلدان التي ليست لديها هذه القوانين، في الواقع سعى الاتحاد الأوروبي في واحد من مبادئه التوجيهية العديدة سعيًا واضحًا للقضاء على «ملاذات البيانات» تلك، ومن دون تشريع حماية البيانات، تخاطر البلدان باستبعادها من تجارة المعلومات التي تتوسع سريعًا.

مبادئ الاتحاد الأوروبي التوجيهية بشأن معالجة البيانات الشخصية

المادة ٣

(١) يجب تطبيق هذه المبادئ التوجيهية على معالجة البيانات الشخصية كليًّا أو جزئيًّا بالوسائل الأوتوماتيكية، وعلى المعالجة التي تحدث بدون الوسائل الأوتوماتيكية للبيانات الشخصية التي تعد جزءًا من نظام حفظ الملفات أو التي يُرجى منها أن تمثل جزءًا من نظام حفظ الملفات.

(٢) لا يجب تطبيق هذه المبادئ التوجيهية على معالجة البيانات الشخصية: في سياق نشاط يقع خارج نطاق قانون المجتمع … وعلى أي حالة لعمليات المعالجة المتعلقة بالأمن العام والدفاع وأمن الدولة (بما في ذلك المصلحة الاقتصادية للدولة عندما تتعلق عملية المعالجة بأمور أمن الدولة) والأنشطة التي تضطلع بها الدولة في مجالات القانون الجنائي، من قبل الشخص العادي في سياق نشاط شخصي أو منزلي بحت.

المادة ٦

(١) يجب أن تلتزم الدول الأعضاء بأن البيانات الشخصية يجب أن:
  • (أ)

    تُعالج بصورة عادلة وقانونية.

  • (ب)

    تُجمع لأغراض محددة وواضحة وشرعية ولا تُعالج بعد ذلك بطريقة لا تتفق مع تلك الأغراض، والمزيد من المعالجة للبيانات لأغراض تاريخية أو إحصائية أو علمية؛ لن تعتبر متعارضة، شريطة أن تقدم الدول الأعضاء الضمانات المناسبة.

  • (جـ)

    تكون كافية وغير زائدة ومرتبطة بالأغراض التي جمعت و/أو عولجت من أجلها.

  • (د)

    تكون دقيقة، وعند الضرورة تُحدَّث، ويجب اتخاذ كل الخطوات المنطقية لضمان أن البيانات غير الدقيقة أو غير الكاملة، فيما يخص الأغراض التي جمعت وعولجت من أجلها، تُمسح أو تصحح.

  • (هـ)

    تحفظ بطريقة تسمح بالتعرف على صاحب البيانات لوقت لا يزيد عن الضروري للأغراض التي جُمعت البيانات من أجلها أو التي تُعالج من أجلها، ويتعين على الدول الأعضاء وضع الضمانات المناسبة للبيانات الشخصية المخزنة لفترات أطول للاستخدامات التاريخية أو الإحصائية أو العلمية.

المبادئ التوجيهية للبرلمان والمجلس الأوروبي في ٢٤ أكتوبر ١٩٩٥

أساسيات حماية البيانات

يتمحور أي قانون لحماية البيانات حول مبدأ أنه يجب جمع البيانات الشخصية عن طريق وسائل «مشروعة وعادلة في ظل ظروف الحالة»، وذلك وفقًا لتعبير قانون هونج كونج للبيانات الشخصية (الخصوصية) الصادر في عام ١٩٩٥ الذي سيكون بمنزلة مثال هنا، أما استخدام هذه البيانات والكشف عنها، فيمكن استخدامها أو الكشف عنها للأغراض التي جُمعت من أجلها أو من أجل بعض الأغراض المتصلة بها اتصالًا مباشرًا، إلا أن يوافق صاحب البيانات.

هذه القوانين تدعمها «مبادئ حماية البيانات» الستة التي تعد في الواقع الجزء الرئيسي من الآليات التشريعية، فباختصار يحظر المبدأ الأول جمع البيانات ما لم تُجمع لغرض قانوني يرتبط مباشرة بوظيفة أو نشاط مستخدم البيانات الذي سوف يستخدم البيانات، التي تكون كافية ولكن بلا إفراط فيما يتعلق بهذا الغرض، ويجب جمع البيانات الشخصية فقط من خلال الوسائل المشروعة والعادلة، وهذا يتطلب من مستخدم البيانات إبلاغ صاحب البيانات بالغرض الذي سوف تستخدم البيانات من أجله، وفئات الأشخاص الذين يجوز نقل البيانات لهم، سواء كان تقديم البيانات إجباريًّا أو طوعيًّا لصاحب البيانات، وعواقب الفشل في تقديم البيانات، وأن صاحب البيانات لديه الحق في طلب الوصول إلى البيانات وتصحيحها.

يتطلب المبدأ الثاني من مستخدمي البيانات أن تكون البيانات المحفوظة دقيقة ومحدثة، وإذا كان هناك شك في ذلك، يجب على مستخدم البيانات أن يتوقف عن استخدام البيانات على الفور، ولا ينبغي الإبقاء على البيانات لفترة أطول مما هو ضروري للغرض الذي جمعت من أجله، والمبدأ الثالث ينص على أنه من دون موافقة صاحب البيانات، لا يجب استخدام البيانات الشخصية لأي غرض آخر غير الغرض الذي جمعت لاستخدامها فيه وقت جمعها.

أما المبدأ الرابع فينص على أنه يجب على مستخدمي البيانات اتخاذ إجراءات أمنية مناسبة لحماية البيانات الشخصية، ويجب عليهم ضمان أن تتمتع بحماية وافية ضد الوصول أو المعالجة أو المحو أو الاستخدام غير المصرح به أو العرضي من آخرين يفتقرون صلاحية القيام بذلك، والمبدأ الخامس يتعلق بالإعلان المطلوب تقديمه من مستخدم البيانات حيال نوع البيانات الشخصية التي يملكها، وسياساته وممارساته فيما يتعلق بالتعامل مع البيانات الشخصية، ويتحقق هذا عادة من خلال «بيان الخصوصية» الذي يتضمن تفاصيل عن دقة البيانات، وفترة الاحتفاظ بها، وتأمينها، واستخدامها، فضلًا عن الإجراءات المتخذة بشأن الوصول إلى البيانات وطلبات تصحيح البيانات.

والمبدأ الأخير يتعلق بحق صاحب البيانات في الوصول إلى البيانات الشخصية الخاصة به، وطلب نسخة من البيانات الشخصية التي يحتفظ بها مستخدم البيانات، وإذا اتضح أن البيانات غير دقيقة، فإن الشخص صاحب البيانات لديه الحق في أن يطلب من مستخدم البيانات تصحيحها.

يحق لضحية التطفل أو الكشف غير المصرح به تقديم شكوى إلى مفوض الخصوصية للبيانات الشخصية عن خرق هذه المبادئ، ولدى المفوض القدرة على إصدار «إخطار تنفيذ» لإجبار مستخدم تلك البيانات على الامتثال للقانون، وعدم الامتثال لهذا الإخطار يعد جريمة يعاقب عليها عند الإدانة بالغرامة والسجن لمدة سنتين، وينص القانون أيضًا على الحصول على تعويض، بما في ذلك التعويض عن الأضرار العاطفية.

وثمة عنصر حاسم من القانون يتمثل في السلطة المخولة لمفوض الخصوصية للموافقة على قواعد الممارسة من أجل تقديم «إرشادات عملية» لمستخدمي البيانات وأصحاب البيانات على حد سواء، وتلك الإرشادات التي صدرت حتى الآن من المفوض هي وثائق أساسية نتجت عن مشاورات مفصلة ومطولة مع الجهات المختصة، وعلاوة على ذلك، في حين ينص القانون على أن فشل مستخدم البيانات في التقيد بأي جزء من القانون لا يجوز أن يجعله عرضة للدعاوى المدنية أو الجنائية، فإن الادعاء في مثل هذه المحاكمات بأن مستخدم البيانات قد أخفق في اتباع القوانين يعد دليلًا مقبولًا.

ما «البيانات الشخصية»؟

إن نقطة الانطلاق في أي قانون لحماية البيانات هي مفهوم «البيانات الشخصية»، أو في بعض القوانين «المعلوماتُ الشخصية»، وقد استخدم هذا المصطلح مرات عديدة في هذا الكتاب، ولكن على ماذا يشتمل تحديدًا؟ على الرغم من وجود اختلافات بين القوانين المحلية، فإنها تشترك في مفهوم واسع النطاق إلى حد ما لهذه العبارة، وتستخدم المادة ٢(أ) من المبادئ التوجيهية للاتحاد الأوروبي الصيغة الآتية:

أي معلومات تتعلق بشخص طبيعي محدد أو يمكن تحديده («صاحب البيانات»)، والفرد الذي يمكن تحديده هو الشخص الذي يمكن تعريفه بطريقة مباشرة أو غير مباشرة، ولا سيما من خلال الرجوع إلى رقم هوية أو واحد أو أكثر من العوامل المحددة لهويته المادية أو الفسيولوجية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية.

ولكن ماذا عن البيانات التي تجمعها ملفات سجل المتصفح أو بطاقة تحديد الهوية باستخدام موجات الراديو الموضوعة في المنتجات أو الملابس؟ إنها لا تشير بالضرورة إلى فرد، ولكن نظرًا لأنها تسهل اتخاذ القرارات حول شخص ما، فإنها تستحق الحماية تحت اسم البيانات الشخصية.

على الرغم من أن تعريف البيانات الشخصية في التشريع القائم يتضمن على نحو واضحٍ المعلوماتِ التي من شأن الحصول عليها أو الكشف عنها أن يشكل ما يمكن أن يسمى على نحو صحيح انتهاكًا للخصوصية، فإن مداه الواسع يتجاهل هذه المشكلات، وجهة نظري الخاصة هي أنها — في الأساس — معلومات شخصية أو سرية تتطلب الحماية تحت مسمى الخصوصية، لكن في حين أن المبادئ التوجيهية، والتشريعات المحلية لحماية البيانات، تهمل هذا النوع من المعلومات، فإنها لا تتجاهله تمامًا، كما سنرى.

على الرغم من حقيقة أن أي نظام حماية بيانات يمتد إلى ما وراء المعلومات الخاصة، وإجراءاتها (التي ربما لا مفر منها)، بدلًا من جوهرها وطبيعتها، فإنه يوفر معالم مفيدة لتسوية أكثر فعالية للتحديات، وخاصة تحديات الخصوصية الإلكترونية.

تنص المادة ٢٥ من المبادئ التوجيهية للاتحاد الأوروبي على أن أي نقل للبيانات الشخصية التي تُعالج أو التي ستعالج بعد نقلها يجب أن تحصل على مستوى كافٍ من الحماية من جانب النطاق القضائي الذي ترسل إليه. إن مدى كفاية الحماية يُقيم بالرجوع إلى طبيعة البيانات، والغرض ومدة المعالجة المقترحة، وبلد المنشأ والمقصد النهائي، والنظام العام أو نظام القطاع في الولاية القضائية المعنية، وطبيعة ونطاق الإجراءات الأمنية، وهذا الأمر يمثل خطرًا فوريًّا على مستقبل الأعمال في أكبر سوق في العالم، الولايات المتحدة. سأتحدث عن هذه المشكلة فيما يأتي.

البيانات الحساسة

ثمة أجزاء معينة من المعلومات الشخصية في جوهرها أكثر حساسية من غيرها، ومن ثم تتطلب حماية أقوى، ماذا يمكن أن تكون هذه الأنواع من المعلومات؟ المادة ٨ من المبادئ التوجيهية للاتحاد الأوروبي تتطلب من الدول الأعضاء حظر معالجة البيانات الشخصية «الكاشفة للأصل العرقي، والآراء السياسية، والمعتقدات الدينية أو الفلسفية، والعضوية في النقابات العمالية، ومعالجة البيانات المتعلقة بالصحة أو الحياة الجنسية»، ومع ذلك فإن هذا القيد يخضع لعدد من الاستثناءات بما في ذلك — ما لم يكن التشريع المحلي ينص صراحة على خلاف ذلك — الموافقة المسبقة الواضحة من صاحب البيانات على معالجة مثل هذه البيانات، ويجوز ذلك عند الضرورة من أجل حماية حقوق وواجبات متحكم البيانات في مجال قانون العمل، أو لحماية «المصالح الحيوية» لصاحب البيانات.

تردد صدى ذلك في تشريعات الدول الأوروبية الأخرى، ويصف قانون المملكة المتحدة لحماية البيانات لعام ١٩٩٨ المعلومات بأنها «حساسة» إذا كانت متعلقة بالأصل العرقي لصاحب البيانات، أو آرائه السياسية، أو دينه أو ما شابه ذلك من معتقدات، أو الانتماء إلى النقابات العمالية، أو صحته الجسدية أو العقلية، أو حياته الجنسية، أو جريمة مرتكبة أو أي جريمة مُتهم بها، أو أي محاكمات على أي جريمة مرتكبة أو مُتهم بارتكابها.

إن أي قائمة مثل هذه القائمة تتطلب تفسيرًا واضحًا، فبيانات عن الكاحل الملتوي الذي أُدخلت على إثره المستشفى أقل حساسية على نحو واضح من بيانات إصابتك بفيروس نقص المناعة المكتسب، لكن ينبغي أن يضمن مستوى عادي من الحس السليم التفرقة بين مثل هذه الأمور.

ونظرًا لحساسيتها الشديدة، فإن المحافظة على خصوصية السجلات الطبية أمر حيوي للغاية، وهناك مشكلة متزايدة حيال العدد الكبير من غير العاملين في الخدمات الطبية الذين يمكنهم الوصول إلى بيانات المرضى، فهم ليسوا دائمًا خاضعين لالتزام صارم بواجبات الثقة.

مؤخرًا عاقبت المحكمة الأوروبية لحقوق الإنسان حكومة فنلندا لفشلها في حماية بيانات المريض الطبية التي تحتفظ بها إحدى المستشفيات ضد مخاطر الوصول غير المصرح به، وربط الحكم الصادر بين الحق في الخصوصية بموجب قانون حقوق الإنسان وحماية المعلومات الشخصية، ورأت المحكمة أن المادة ٨ تشمل واجبًا إيجابيًّا بضمان أمن البيانات الشخصية، فنظام حفظ الملفات في المستشفى يخالف القانون الفنلندي الذي يتطلب من المستشفيات تأمين البيانات الشخصية من الوصول غير المصرح به، فقد اشتبهت مقدمة البلاغ، وهي ممرضة في المستشفى كانت تعالج ضد فيروس ضعف المناعة المكتسب، في أن زملاءها في العمل قد اكتشفوا أنها مصابة بفيروس الإيدز من خلال قراءة السجلات الطبية السرية الخاصة بها، وعلى الرغم من أن قواعد المستشفى تحظر الوصول إلى هذه الملفات إلا لأغراض العلاج، فإن سجلات المرضى، في الواقع، كانت في متناول جميع العاملين في المستشفى.

رأت المحكمة أن حقيقة كون نظام السجلات الطبية في المستشفى غير آمن كانت كافية لجعلها مسئولة عن الكشف غير المبرر عن البيانات الطبية الخاصة بالممرضة.

وعلى نفس المستوى من إثارة القلق يقف فقدان البيانات الحساسة المخزنة على أسطوانات أو شرائح ذاكرة نتيجة للإهمال، فعلى سبيل المثال، في أواخر عام ٢٠٠٨ فُقدت أسطوانات مدمجة تحتوي على معلومات شخصية عن قرابة ١٨٠٠٠ مريض تابع لهيئة الخدمات الصحية الوطنية من مستشفى شمال لندن، واعترفت المستشفى بأنها فقدت الأسطوانات عندما أُرسلت بالبريد عن طريق الخطأ!

إن سجلات مرضى الإيدز، أو أولئك المصابين بفيروس نقص المناعة المكتسب؛ سجلات حساسة للغاية، ومع ذلك فهناك عدد من الحجج التي طرحت لتبرير انتهاك سرية المعلومات الطبية لهؤلاء المرضى، ومن بينها، تحديدًا، أنه من أجل احتواء انتشار المرض قد يكون من الضروري للأطباء الإبلاغ عن الحالات إلى السلطات المعنية بالصحة العامة، في الواقع، في بعض الدول، مرض الإيدز هو مرض يجب التبليغ عنه للسلطات الصحية، ومن ثم هناك واجب قانوني يتعلق بإبلاغ السلطات عند ظهور هذا المرض. إن شرط وجود معلومات دقيقة مهم للغاية إذا أُريد للبحث في أسباب وانتشار الإيدز أن يتم على نحو فعال، ولكن لا يوجد سبب مقنع لعدم كون مثل هذه البيانات سرية، وبالنظر إلى العواقب المؤلمة التي يمكن أن تنتج عن الكشف عنها، ينبغي أن تكون المسئولية على السلطات الصحية لإثبات أن الفوائد تفوق حقوق المرضى في الحفاظ على السرية.

في الواقع، الفشل في توفير حماية كافية لهذه البيانات ربما يتسبب في نتائج عكسية، فكثيرون ببساطة سوف يمتنعون عن إجراء اختبارات الكشف عن الفيروس، وذلك سوف يجفف مصادر المعلومات، وفي الوقت نفسه يسهم إسهامًا غير مباشر في زيادة انتشار المرض.

ولا توحي حالات الفشل الأولية الأخرى في تأمين البيانات الطبية بالثقة في التنفيذ السليم لقانون حماية البيانات، وقد كشفت دراسة أجراها حديثًا اثنان من الأطباء في مستشفى رفيع المستوى بلندن أن ثلاثة أرباع الأطباء يحملون شرائح ذاكرة غير محمية بها بيانات سرية، فعادة ما يحمل أطباء المستشفى شرائح ذاكرة تحتوي على الأسماء والتشخيصات وملفات الأشعة السينية، وتفاصيل العلاج، فمن بين ١٠٠ طبيب وخمسة يعملون في مستشفاهم، يحمل ٩٢ طبيبًا شرائح ذاكرة، منها ٧٩ شريحة تحتوي على معلومات سرية؛ كانت ٥ من تلك الشرائح فقط محمية بكلمات سر.

البيانات الرقمية

يُسهِّل الانتشار الواسع لأجهزة وشبكات الكمبيوتر الحفظ الفوري للبيانات واسترجاعها ونقلها، وهي نقلة كبيرة عن عالم أنظمة الحفظ اليدوية، والأكثر إذهالًا هو أن جهود السيطرة على الإنترنت أو عملياتها أو محتواها باءت بالفشل على نحو واضح، في الواقع حالة الفوضى التي تتسم بها ومقاومتها للقوانين والتشريعات يُتباهى بهما على نطاق واسع باعتبارهما يمثلان مصدر قوتها وجاذبيتها، وبصرف النظر عن مشكلة تحديد الوقت الذي يكون فيه من المعقول أن نتوقع أن تكون محادثات المرء خاصة، فإن طبيعة الاتصالات عن طريق الإنترنت تولد مشكلات وتوقعات مختلفة، ومن ثم فإنها تتطلب حلولًا مختلفة.

وفي حين أن مراقبة أنظمة الهاتف الرقمي (المذكورة في الفصل ١) قد تبدو مشابهة لإرسال واستقبال البريد الإلكتروني، فإن استخدام شبكة الإنترنت يطرح تحديات مستعصية على القوانين والتشريعات، فعلى سبيل المثال، في حين أنه من اليسير مراقبة مكالماتي الهاتفية أو اعتراض رسائلي، فإن ثقافة الإنترنت تشجع مجموعة من الأنشطة التي تمثل مراقبتها فرصًا لا تقاوم لأولئك الذين يرغبون في الإشراف أو السيطرة على البيانات الخاصة والحساسة.

حماية البيانات والخصوصية

fig16
شكل ٥-١: جمع واستخدام البيانات الشخصية يُبرر بدون تردد — وعلى نحو مراوغ في كثير من الأحيان — أنه من أجل المصلحة العامة.1
ولكن يحق لك أن تسأل: ما علاقة حماية البيانات بالخصوصية؟ العلاقة بين الاثنين ليست واضحة بطريقة مباشرة، إنهما متداخلتان بوضوح، بل إن الثانية تمثل — على نحو روتيني — المصلحة التي تحرك الأولى، ولكن — حتى في مجتمعنا المعتمد على المعلومات — ليست دائمًا خصوصية الفرد التي تتعرض لانتهاكات من خلال جمع البيانات الشخصية أو استخدامها أو حفظها أو نقلها، ليس ذلك لمجرد أنه يجري تعريف «البيانات الشخصية» على نطاق واسع في قوانين حماية البيانات بأنها تتضمن معلومات عن «الشخص» ليست بالضرورة «خاصة»، والجواب البسيط هو أنه من أجل حماية هذه الفئة من البيانات، فإن المعلومات ذات الطبيعة الخاصة أو السرية حقًّا تقع في شباك الإنترنت شئنا أم أبينا.

في الواقع، ليس من المستبعد كليًّا الإشارة إلى أن عددًا من مشكلات تحديد الخصوصية التي واجهتنا ربما يمكن حلها على نحو عملي أكثر تحت مظلة حماية البيانات.

فكر في قضيتي بيك والأميرة كارولين اللتين نوقشتا في الفصل الرابع، فقد رأت المحكمة الأوروبية لحقوق الإنسان أنهما واقعتان تحت مظلة المادة ٨ المتعلقة بالخصوصية في الميثاق الأوروبي، كانت المشكلة الأساسية في مشروعية التصوير خلسة في مكان عام، إن قوانين حماية البيانات ليست موضوعة لتوفير حماية شاملة لخصوصية الفرد، ولكنها تشترط — على نحو روتيني — أنه يجب جمع البيانات الشخصية بوسائل مشروعة وعادلة، ومن ثم يتيح هذا التشريع حماية عرضية للخصوصية.

المعضلة الأمريكية

بالرغم من — أو ربما بسبب — ضخامة حجم سوق المعلومات الخاصة بها، فإن الولايات المتحدة قاومت اعتماد تشريعات حماية البيانات وفقًا للمبادئ التوجيهية الأوروبية؛ على الأقل في القطاع الخاص، إن نهج التنظيم الذاتي الخاص بها في تناقض صارخ مع النهج الشامل لنموذج الاتحاد الأوروبي، ويُعزى ذلك جزئيًّا إلى الثقافة السياسية التي تتجنب الهيئات التنظيمية القوية، وهو الوضع الواضح للعيان في سياق الأزمة الائتمانية لعام ٢٠٠٨، فمن الصعب تصور الموافقة على تعيين مفوض خصوصية فيدرالي مستقل.

ولتجنب حرب تجارية مع أوروبا، صممت الولايات المتحدة إطارًا موحيًا بالهدوء، يحمل اسم «الملاذ الآمن»، وقد صُمم هذا البرنامج لإقناع الاتحاد الأوروبي بأن الشركات الأمريكية المصادقة على الخطة سوف تقدم الحماية الكافية للخصوصية على النحو المحدد في الإرشادات التوجيهية لحماية البيانات التابعة للاتحاد الأوروبي (انظر الإطار)، ووافق على هذا الاتفاق الاتحاد الأوروبي في عام ٢٠٠٠.

اجتذب هذا البرنامج عددًا صغيرًا مخيبًا للآمال من الشركات الأمريكية، حيث إنهم لم يرُق لهم الأعباء المتصوَّرة التي يفرضها عليهم، وقد لاحظت المفوضية الأوروبية أن عددًا من الشركات الأمريكية تفشل في الامتثال لهذه المتطلبات، مع أنها ذكرت في سياسة الخصوصية التي تقدمها للجمهور أنها تمتثل للمبادئ السبعة، وبالإضافة إلى ذلك، فإن بيانات الخصوصية هذه عمومًا لا تشمل جميع المبادئ أو أنها تترجمها على نحو غير صحيح.

مبادئ الملاذ الآمن

(١) الإشعار: يجب على المؤسسة إعلام الأفراد بالأغراض التي تجمع المعلومات من أجلها، وكيفية الاتصال بالمؤسسة في حال وجود أي استفسارات أو شكاوى، وأنواع الأطراف الثالثة التي قد تفصح عن المعلومات لها، والخيارات والوسائل التي تقدمها المؤسسة للأفراد من أجل الحد من استخدام المعلومات والإفصاح عنها.

(٢) الاختيار: يجب على المؤسسة أن توفر للأفراد الفرصة لاختيار (عدم قبول) هل ستستخدم المعلومات الشخصية التي يقدمونها أو يكشف عنها لأطراف ثالثة وكيفية ذلك (حينما يتنافى هذا الاستخدام مع الغرض الذي من أجله جمعت أصلًا أو مع أي غرض آخر يُعلم الشخص به بإشعار).

(٣) نقل المعلومات: يحق للمؤسسة كشف المعلومات الشخصية لأطراف ثالثة بما يتفق مع مبادئ الإشعار والاختيار.

(٤) الأمن: يجب على المؤسسات التي تنشئ المعلومات الشخصية أو تصونها أو تستخدمها أو تنشرها أن تتخذ إجراءات معقولة لضمان موثوقيتها في الاستخدام المقصود والاحتياطات المعقولة لحمايتها من الضياع وسوء الاستخدام والوصول غير المصرح به والكشف والتعديل والتدمير.

(٥) سلامة البيانات: تماشيًا مع هذه المبادئ، يحق فقط للمؤسسة معالجة المعلومات الشخصية المرتبطة بالأغراض التي جُمعت لها، وبالقدر اللازم من أجل هذه الأغراض، يجب على المؤسسة أن تتخذ خطوات معقولة لضمان أن البيانات دقيقة وكاملة وحديثة.

(٦) الوصول للمعلومات: يجب أن يكون للأفراد قدرة معقولة على الوصول إلى المعلومات الشخصية التي تمتلكها المؤسسة عنهم، وأن يكونوا قادرين على تصحيح أو تعديل تلك المعلومات إذا كانت غير دقيقة.

(٧) التطبيق: يجب أن تتضمن الحماية الفعالة للخصوصية آليات لضمان الامتثال لمبادئ الملاذ الآمن، وحق الأفراد أصحاب البيانات الذين تأثروا بسبب عدم الامتثال للمبادئ في الشكوى، والعواقب للمؤسسة عندما لا يتم اتباع هذه المبادئ.

ملاذ غير آمن؟

ربما بسبب افتقارها للمواد الحازمة، لا تعدو وثيقة الملاذ الآمن اليوم أن تكون مجرد حبر على ورق، فمعظم المؤسسات التي تستورد البيانات الشخصية في الولايات المتحدة … يبدو ببساطة أنها تتجاهل هذه الوثيقة، وقال لي أحد المستشارين الذي يقدم المشورة لعملاء الشركات في قضايا الخصوصية إنه يوصي بأن يفعلوا ذلك بالضبط، على افتراض أن هناك تراخيًا في التطبيق حتى إن عدم الامتثال لن يسبب أي عقوبات عادة.

جي بي رول، من كتاب «الخصوصية في خطر»
(أكسفورد يونيفرستي برس، ٢٠٠٧)، صفحة ١٣٨

هناك قصور كبير في تنفيذ سياسة «الملاذ الآمن» يتمثل في عدم وجود آلية لتنفيذ الشكاوى من تلك الشركات التي اعتمدت هذا النظام.

حماية البيانات الشخصية على الإنترنت

المستقبل على الأبواب. إن العالم الرقمي الذي أنشأناه سيضم قريبًا شبكة ألياف بصرية تحمل — في شكل أجزاء رقمية — عددًا لانهائيًّا تقريبًا من القنوات التليفزيونية، وأعمال التسوق من المنزل والأعمال المصرفية وألعاب الفيديو وبرامج الترفيه التفاعلية وقواعد البيانات الحاسوبية والمعاملات التجارية، وشبكة الاتصالات عريضة النطاق هذه ستربط المنازل والشركات والمدارس بعدد هائل من مصادر المعلومات، وعندما تتحول المعلومات الشخصية إلى شكل أجزاء رقمية، فإن تعرِّضها لسوء الاستخدام، وخاصة على شبكة الإنترنت، أمر بديهي.

لقد أنتجنا شبكة اتصالات سلكية ولاسلكية متعددة الوظائف تربط جميع الشبكات الموجودة التي كانت في السابق منفصلة، وعلاوة على ذلك، ما كان في الماضي أجهزةً أحادية الوظيفة، غير قابلة للتحرك، وكبيرة الحجم، أصبح الآن أجهزة متعددة الوظائف، ومحمولة، وصغيرة الحجم: إن جهاز آي فون الخاص بي يتيح لي الفرصة لإرسال واستقبال البريد الإلكتروني والشراء والبيع ومشاهدة التليفزيون وقراءة الصحف، وما شابه ذلك.

إن قدرة أجهزة الكمبيوتر تنمو بسرعة مذهلة؛ فوفقًا لما يسمى ﺑ «قانون مور»، تتضاعف قدرة جهاز الكمبيوتر كل ١٨ شهرًا، ولا يتأثر سعره، وبعبارة أخرى، بعد فترة ١٥ عامًا، فإن قدرات المعالجة والحفظ الخاصة بأجهزتنا ستزيد ١٠٠٠ مرة.

الهوية وإخفاء الهوية

إخفاء الهوية — كما ناقشناه في الفصل الأول — قيمة مهمة، ولكنها ليست بالضرورة إخفاء الهوية المطلق الذي أسعى إليه، بدلًا من ذلك هي تعبر عما يسميه إيف بوليه، مدير مركز بحوث معالجة المعلومات والقانون، «عدم إمكانية تحديد الهوية» فيما يتعلق برسالتي إلى شخص معين، وربما ينبغي أن يستبدل «عدم إمكانية تحديد الهوية» أو «الهوية المستعارة» بمفهوم إخفاء الهوية، ولا يمكن بالطبع لهذا الحق أن يكون مطلقًا، فيجب تحقيق توازن مع متطلبات الأمن القومي والدفاع وكشف الجريمة والمقاضاة عليها، وهذا ممكن من خلال استخدام «الهويات المستعارة» التي يُقدمها للأفراد مقدمو الخدمات المتخصصة الذين قد يحتاجون إلى الكشف عن هوية المستخدم الفعلية عندما يتطلب القانون ذلك.

إن الحسابات التقليدية تهمل — على نحو مفهوم — قيمة وأهمية إخفاء الهوية كسمة من سمات «الخصوصية الجديدة»، ويعتبر عدم استقرار هذا الموضوع من الأفكار الرئيسية في فترة ما بعد الحداثة، وتبدو شبكة الإنترنت كشهادة حية على أفكار غياب الحقيقة العالمية الموحدة، ومصادفة وتعددية الذات التي تظهر في كتابات رموز ما بعد الحداثة مثل جاك لاكان.

إن السلاسة التي تتميز بها الهوية على الإنترنت تعد من عوامل الجذب الرئيسية، ولكن قد يكون هناك ضغط متزايد من أجل تحديد المرسِل، لا سيما لأغراض تجارية، ومن المرجح أن تنمو أهمية التوثيق الرقمي حيث يجرى مزيد من الأعمال التجارية عبر الإنترنت.

مستقبل حماية البيانات

إن نظام حماية البيانات الحالي المذكور آنفًا لا يعد دواء شافيًا، فهو غير مجهز للتعامل مع العدد الذي لا يحصى من التحديات التي تواجه الخصوصية من خلال الإنترنت والتقدم التكنولوجي في مجال تحديد الهوية باستخدام موجات الراديو، ونظام تحديد المواقع، والهاتف المحمول، وما شابه ذلك، ووصف بوليه هذه التطورات وصفًا رائعًا، حيث يقدم مجموعة جديدة من المبادئ لإدارة هذه التطورات المثيرة للقلق كثيرًا.

فالانتشار الواسع، وتعدد الوظائف في بيئات خدمة الاتصالات الإلكترونية، فضلًا عن قدراتها التفاعلية، والطابع الدولي لمنتجي الشبكات والخدمات والمعدات، وعدم وجود شفافية في وظائف الشبكة ووحداتها الطرفية؛ يهدد الخصوصية على الإنترنت، ووفقًا لذلك يقترح بوليه عددًا من مبادئ القرن الحادي والعشرين التي تتضمن مبدأ التشفير وإخفاء الهوية القابل للعكس، وهو أمر بالغ الأهمية في توفير الحماية ضد الوصول إلى محتوى اتصالاتنا، وقد أصبحت برمجيات التشفير ميسورة التكلفة لمستخدم الكمبيوتر العادي.

ثمة مبدأ آخر يشير إلى تشجيع التوجهات التكنولوجية بما يتفق مع تحسين وضع الأشخاص المحميين من الناحية القانونية، وربما يتطلب ذلك من البرمجيات والأجهزة أن توفر الأدوات اللازمة للامتثال بقواعد حماية البيانات، ويجب أن تشمل ميزات الحماية القصوى كمعيار عام.

وهذا الالتزام أيضًا ينطبق على أولئك الذين يعالجون البيانات الشخصية لاختيار التكنولوجيا الأكثر ملاءمة لتقليل الخطر الذي يهدد الخصوصية إلى أدنى درجة ممكنة، يجب تشجيع ودعم تطوير تقنيات تعزيز الخصوصية، المذكورة في الفصل الأول، ووضع الشهادات التطوعية ونظم الاعتماد، وإتاحة تقنيات تعزيز الخصوصية بأسعار معقولة.

ينبغي أن تعمل الأجهزة بشفافية، فيجب أن يمتلك المستخدمون السيطرة الكاملة على البيانات المرسلة والمستقبلة، على سبيل المثال ينبغي أن يكونوا قادرين على التأكد بسهولة من أحاديثهم على أجهزة الكمبيوتر الخاصة بهم، وما الملفات التي اسْتُلمت، والغرض منها، ومن المرسلون لها والمتلقون. إن أي شخص حاول منع النوافذ المنبثقة سيعرف مدى صعوبة هذه العملية ومدى الإحباط الذي يصاحبها، ولا يمكن تفسير نسيان تفعيل قامع ملفات سجل المتصفح على أنه موافقة مطلقة بتثبيتها على الكمبيوتر.

إن حياتنا على الإنترنت تتطلب حماية تُعادل قوانين حماية المستهلك التي نتمتع بها في العالم المادي، لماذا يُتوقع من متصفحي الإنترنت تحمل جمع وتسجيل معلوماتهم الشخصية، ورسائل البريد الإلكتروني الدعائية، والوصول المتفاوت إلى الخدمات، وما شابه ذلك؟ يمكن لتشريع حماية المستهلك على الإنترنت أن يفتح الباب أمام مجموعة من الخدمات، بما في ذلك تحديد واجبات مقدمي خدمات الإنترنت، ومحركات البحث، وقواعد البيانات، فضلًا عن اتخاذ إجراءات لمنع المنافسة والممارسات التجارية غير المشروعة، وعلاوة على ذلك، كما يقول بوليه، لماذا لا تتجاوز المسئولية الإنتاجية على الأجهزة والبرامج ما وراء الأضرار المادية والمالية لتشمل انتهاك معايير حماية البيانات؟
fig17
شكل ٥-٢: لاقت مقترحات الحكومة البريطانية بوضع قاعدة بيانات مركزية للبصمات وغيرها من البيانات الشخصية معارضة كبيرة.2

لقد ولَّد ظهور ويب ٢٫٠ انفجارًا هائلًا في مواقع الشبكات الاجتماعية مثل فيسبوك وماي سبيس، ومواقع تبادل ملفات الفيديو مثل يوتيوب، وموقع فليكر لتبادل الصور، وويكيبيديا؛ الموسوعة الإلكترونية التي يكتبها مستخدموها، وبالطبع هناك عواقب ستتكبدها الخصوصية، ربما يكون أعضاء الشبكات الاجتماعية ينعمون بجهلهم بالنتائج المترتبة على نشر معلوماتهم الشخصية على نطاق واسع، وبطبيعة الحال، ينبغي على مقدمي الخدمات إطلاعهم على كيفية تقييد الوصول إلى هذه البيانات، فيجب عليهم تقديم خيار عرض البيانات الشخصية العامة، وخيار إدخال البيانات الحساسة، ويحتاج المستخدمون معرفة وجود حماية ضئيلة أو معدومة حيال نسخ بياناتهم الشخصية، وهل هذه البيانات ترتبط بهم أو بالآخرين.

هناك أخطار أخرى تحيط بالخصوصية، على سبيل المثال يتيح موقع فيسبوك للمستخدمين إضافة أدوات إلى حساباتهم الشخصية وممارسة الألعاب مع تطبيقات طرف ثالث دون مغادرة موقع فيسبوك، ولكن هذا الأمر يولد مشكلات تتعلق بالخصوصية، فعندما يثبت المستخدم تطبيق خاص بفيسبوك، فإن التطبيق يمكن أن يطلع على أي شيء يطلع عليه المستخدم، وربما يطلب ذلك التطبيق معلومات عن المستخدم، وعن أصدقائه، وأعضاء شبكته، وليس هناك شيء يمكنه إيقاف مالك التطبيق من جمع هذه المعلومات الشخصية والاطلاع عليها وإساءة استخدامها.

إن شروط اتفاقية استخدام فيسبوك تحث مطوري التطبيقات على الامتناع عن القيام بذلك، ولكن لا يملك موقع فيسبوك أي وسيلة لكشفهم أو لمنعهم عن الانخراط في هذه الأنشطة، وبسبب ضغوط من جانب مفوض الخصوصية الكندي جرى حديثًا تعديل سياسة الحفاظ على الخصوصية الخاصة بالموقع بحيث لا يمكن للتطبيقات الوصول إلى المعلومات الشخصية لحسابات أصدقاء المستخدمين دون الحصول على إذن صريح من كل صديق، وبوجه عام يَعتبر المستخدمون ملفاتهم الشخصية على مواقع الشبكات الاجتماعية بمنزلة شكل من أشكال التعبير عن الذات، ولكنها ذات قيمة تجارية لشركات التسويق، ومواقع الشبكات المتنافسة، ولصوص الهوية.

إن عملية التنقيب في البيانات لها آثار خطيرة على الخصوصية؛ فهي تكشف معلومات لم تكن لتظهر لولا هذه العملية، إنها عملية تحليل للبيانات من وجهات نظر مختلفة، وتلخيصها في معلومات يمكن استخدامها لزيادة الدخل أو خفض التكاليف أو كليهما، وتسمح برمجيات التنقيب في المعلومات للمستخدمين بتحليل البيانات من وجهات نظر متعددة، وتصنيفها، وتقييم العلاقات المحددة، بعبارة أخرى فإنها تبحث عن الأنماط أو الارتباطات بين العديد من المجالات في قواعد البيانات العلائقية الكبيرة.

على الرغم من قيمته الكبيرة للغاية في السياقات التجارية، أو الطبية، أو العلمية، فإن التنقيب في البيانات يمثل خطرًا كبيرًا على الخصوصية، ففي حالة عدم وجود أنماط، فإن أجزاء البيانات الخام لا قيمة لها إلى حد بعيد، ولكن عندما يكشف التنقيب في البيانات نمطًا من السلوك الذي قد يكون غير ضار إذا لم يُكتشف، فإن المخاطر التي تواجه الخصوصية تصبح واضحة على الفور.

هوامش

(1) © Sidney Harris/CartoonStock.com.
(2) © Privacy International.

جميع الحقوق محفوظة لمؤسسة هنداوي © ٢٠٢٢