مؤسسة "AFTE" : خصوصية بيانات العملاء في شركات الاتصالات المصرية .. فوضى
أصدرت مؤسسة حرية الفكر والتعبير تقريراً مفصلاً حول سياسة الخصوصية التي تتبعها عدد من شركات الاتصال في مصر، وإختارت المؤسسة أربع شركات تتبع سياسات مختلفة للخصوصية وهم" فودافون، ورنج، اتصالات مصر، والمصرية للإتصالات"، حيث أن هذه الشركات تقدم الخدمات عشرات الملايين من المصريين.
وأكدت المؤسسة في مقدمة تقريرها، على أن هناك فوضى في التعامل مع البيانات في مصر لا تحكمها قوانين أو لوائح، الأمر الذي جعل المعلومات باتت متاحة الاطلاع عليها من قبل فئات متعددة، لا تقتصر على أجهزة إنفاذ القانون والهيئات الحكومية، بل تمتد إلى كيانات غير حكومية أيضًا.
وأشارت المؤسسة إلى إنه لا يوجد في مصر قانون لحماية البيانات والمعلومات الشخصية ، ما ساهم في اتساع نطاق الحصول على المعلومات الشخصية للمواطنين ضمن تسيير أمور حياتهم اليومية.
وأضافت المؤسسة خلال تقريرها أن شركات الاتصالات تمتلك كمًّا ضخمًا من المعلوات والبيانات الشخصية، ولا تُجمع هذه البيانات عند التعاقد على الخدمة وإمداد الشركات بنسخة من الرقم القومي فقط، بل يمتد جمع البيانات باستمرار أثناء الاستخدام الاعتيادي لخدمات الاتصالات.
وتابع التقرير أنه لا يوجد ما يضمن سرية هذه البيانات، خاصة مع سيطرة الأجهزة الأمنية على قطاع الاتصالات، وانعدام حماية الشركات خصوصية عملائها ما تسبب في انتشار الإفصاح عن البيانات والمعلومات الشخصية من الشركات نفسها ومن وكلائها.
وأردفت المؤسسة أن سرية البيانات والمعلومات الشخصية وخصوصية مستخدمي الاتصالات تُشكِّل أهمية قصوى في ظل ارتباطها بالممارسات اليومية للأفراد وارتباطها بالمعاملات وتسيير الأمور الاعتيادية.
المنهجية:
ركز تقرير مؤسسة حرية الفكر والتعبير على كيفية تعامل شركات الاتصالات الرئيسية في مصر (فودافون، اتصالات، أورنج، وي) مع المعلومات الشخصية والبيانات التي تُجمع عن المستخدمين. وقد اعتمد التقرير على البيانات المنشورة للجمهور على مواقع الوِب الخاصة بالشركات بالإضافة إلى بنود التعاقد الخاصة بكل شركة.
وأضافت المؤسسة في تقريرها،أنه تم وضع مجموعة من المعايير ذات الصلة بحماية البيانات وسياسات الخصوصية، وطُبقت المعايير على الشركات الأربع.
فبالنسبة إلى إمكانية الوصول إلى سياسة الخصوصية، رأتالمنؤسسة في تقريرها ضرورة أن تكون سياسة الخصوصية علانية ومفهومة، وسهل الوصول إليها، بالإضافة إلى التزام الشركات بإبلاغ المستخدمين عن التغيرات التي تطرأ على السياسات المتعلقة بالخصوصية.
أما عن جمع البيانات فقد أكد تقرير المؤسسة على ضرورة الكشف على نوعية البيانات التي تُشاركها الشركات مع أطراف ثالثة والغرض من المشاركة، بالإضافة إلى المدة المُحدَّدة لاحتفاظ الشركات بالبيانات التي تُجمع عن المستخدمين، وآليات تخزينها وحمايتها.
بالإضافة إلى الإعلان عن الإجراءات المُتبعة في حالة طلب جهات حكومية الحصول على بيانات المستخدمين، ضرورة شفافية الشركات في الإتاحة العلانية لطلبات الجهات الحكومية للحصول على معلومات المستخدمين وإبلاغهم بذلك.
أبرز النتائج:
توصلت المؤسسة في تقريرها إلى مجموعة من النتائج حول مصير الخصوصية وسرية المعلومات في شركات الاتصال الأربعة، فقد أت المؤسسة أن كلاً من "فودافون وأورنج واتصالات والمصرية للاتصالات" تحصل على كَمٍّ ضخم من المعلومات الشخصية، دون وجود آليات والتزامات من قِبل الشركات لحمايتها وعدم إفشائها.
بالإضافة إلى أن الشركات الأربعة تُشارك بيانات المستخدمين مع أطراف ثالثة، سواء كان ذلك لجهات إنفاذ القانون أو لأغراض السويق أو لأغراض تتعلق بتحصيل الديون.
أما عن شركة المصرية للاتصالات “WE” فإنها لا تُقدِّم أية معلومات عن سياسة الخصوصية سواء عن موقعها الإلكتروني أو عن خدمات الاتصالات التي تقدمها.
كما تقوم جميع الشركات بالاحتفاظ ببيانات ومعلومات المستخدمين إلى أجل غير مسمًّى، ولا توجد أية إجراءات تُمكِّن المستخدمين من معرفة كيفية استخدامها أو التحكم فيها.
وتابعت المؤسسة في تقريرها أن أي من الشركات لا تُقدِّم توضيحًا إلى المستخدمين حول إجراءات الإفصاح عن المعلومات والبيانات الشخصية، باإضافة إلى أنهم لا يقدمون توضيحًا حول الإجراءات ذات الصلة بتأمين البيانات المعلومات الخاصة بالمستخدمين المُخزنة لديهم.
وأكدت المؤسسة في تقريرها على أن فودافون توفِّر سياسة خصوصية واضحة مقارنة بباقي الشركات، على الرغم من كون سياستها لا تتلاءم مع معايير حماية البيانات وخصوصية المستخدمين.
وأشار التقرير إلى أنه لا توجد سياسة خصوصية واضحة لدى شركة أورنج وشركة اتصالات مصر عمَّا يتعلّق بخدمات الاتصالات التي تقدمها، في حين توجد فقط سياسة للخصوصية تتعلق باستخدام موقعهما الإلكتروني.
فيما شركة اتصالات مصر وشركة أورنج، تجبران المستخدمين على الامتثال لبض القواعد والتي من شأنها أن تحد من حرية التعبير وحرية الوصول إلى المعلومات، بالإضافة إلى إختلاف ممارسات شركات الاتصالات مع ما تنشره عن سياساتها للخصوصية.
التنظيم القانوني:
أشارت المؤسسة في تقريرها إلى نص الدستور المصري في المادة 57 على حماية الخصوصية وسرية الاتصالات والمراسلات في مصر: “للحياة الخاصة حرمة، وهي مصونة لا تمس. وللمراسلات البريدية، والبرقية، والإلكترونية، والمحادثات الهاتفية، وغيرها من وسائل الاتصال حرمة، وسريتها مكفولة، ولا تجوز مصادرتها، أو الاطلاع عليها، أو رقابتها إلا بأمر قضائي مسبب، ولمدة محددة، وفي الأحوال لتي يبينها القانون. كما تلتزم الدولة بحماية حق المواطنين في استخدام وسائل الاتصال العامة بكافة أشكالها، ولا يجوز تعطيلها أو وقفها أو حرمان المواطنين منها، بشكل تعسفي، وينظم القانون ذلك.”
وأكدت المؤسسة على أنه بالرغم من ذلك فلا توجد أي من القوانين التي تستعرض حماية الخصوصية وسرية البيانات والمعلومات الشخصية، بل إن ممارسات شركات الاتصالات وبعضًا من سياساتها تجاه الخصوصية وبنود التعاقد معها، وبعض المواد القانونية، مثل: المادة الثانية من قانون مكافحة جرائم تقنية المعلومات، تخالف هذا النص الدستوري.
وأشارت المؤسسة في تقريرها إلى أن قانون تنظيم الاتصاات، الصادر سنة 2003، يُعتبر هو القانون المُنظِّم لقطاع الاتصالات في مصر، إلَّا أن نصوصه لا توفِّر حماية قانونية للبيانات الشخصية لمستخدمي خدمات الاتصالات المصرية بالرغم من أن القانون يذكُر في بعض مواده نصوصًا عامة حول حماية البيانات.
حيث تتناول المادة الرابعة والمادة الخامسة في القانون أهداف الجهاز القومي لتنظيم الاتصالات _الهيئة الحكومية المسؤولة عن إدارة قطاع الاتصالات_ وتذكُر المادة الخامسة في بنودها أن للجهاز “وضع القواعد التي تضمن حماية المستخدمين بما يكفل سرية الاتصالات وتوفير أحدث خدماتها بأنسب الأسعار مع ضمان جودة أداء هذه الخدمات.
الإضافة إلى وضع نظام لتلقي شكاوى المستخدمين والتحقيق فيها والعمل على متابعتها مع شركات مقدمي الخدمة.” وفي سياق مُقارب، تذكُر المادة الثالثة عشرة أن لمجلس إدارة الجهاز القومي لتنظيم الاتصالات أن يتخذ القرارات لتحقيق أهداف الجهاز، بما في ذلك “وضع قواعد وشروط مَنح التراخيص الخاصة بإنشاء البنية الأساسية لشبكات الاتصالات… بما يضمن حقوق المستخدمين وخاصة حقهم في ضمان السرية التامة طبقًا للقانون، وبما لا يمس بالأمن القومي والمصالح العليا للدولة ومعايير التخطيط العمراني والمعايير الصحية والبيئية التي يصدر بها قرارات من الوزراء المعنيين ورؤساء الجهات المعنية”.
وتُحدد المادة الخامسة والعشرون التزامات إعطاء التراخيص لمقدمي خدما الاتصالات ومنها “ضمان سرية الاتصالات والمكالمات الخاصة بعملاء المرخص له ووضع القواعد اللازمة للتأكد من ذلك”، وعلى الرغم من وجود المواد السابق ذكرها فإن الواقع الفعلي لممارسات أجهزة الدولة وشركات الاتصالات المختلفة والجهاز نفسه لا يُطبَّق فيه ذلك في اللوائح التنظيمية والممارسات المختلفة.
وتابعت المؤسسة في تقريرها، تُقنن المادة الثانية من قانون مكافحة جرائم تقنية المعلومات المراقبة الشاملة على الاتصالات في مصر، حيث تُلزم شركات الاتصالات بحفظ وتخزين بيانات استخدا العملاء، لمدة 180 يومًا. وتشمل البيانات التي تُمكِّن من التعرُّف على المستخدم، والبيانات المتعلقة بمحتوى ومضمون النظام المعلوماتي، وتلك المتعلقة بحركة الاستخدام وبالأجهزة المُستخدمة. ما يعني أنه سيكون لدى مقدمي خدمات الاتصالات بيانات توضِّح كل الممارسات التي يقوم بها المستخدم، فعلى سبيل المثال المكالمات الهاتفية والرسائل النصية، وكل البيانات المتعلقة بهما والمواقع التي يزورها، والتطبيقات المستخدمة على الهواتف الذكية والحواسيب.
إضافة إلى ذلك، يُلزم القانون شركات الاتصالات بالالتزام بأي “بيانات أخرى يصدر بتحديدها قرار” عن مجلس إدارة الجهاز القومي لتنظيم الاتصالات. ما يعني أنه يمكن لاحقًا إلزام مقدمي خدمات الاتصالات بجمع والاحتفاظ ببيانات غير منصوص عليها في القانون، بمجرد صدور قرار إداري عن الجهاز القومي لتنظيم الاتصالات.
وتعطي المادة الحق لجهات الأمن القومي للاطلاع على هذه البيانات، وتُلزم مقدمي خدمات الاتصالات أن يوفروا الإمكانيات الفنية لذلك. ويُعرِّف القانون جهات الأمن القومي على أنها تشمل: “رئاسة الجمهورية، القوات المسلحة، وزارة الداخلية، المخابرات العامة، وهيئة الرقابة الإدارية”.
وفي نهاية التقرير أصدرت مؤسسة حرية الفكر والتعبير مجموعة من التوصيات لضمان الخصوصية وسرية البيانات والمعلومات، حيث أوصت مؤسسة حرية الفكر والتعبير شركات الاتصالات العاملة ف مصر بوضع سياسات للخصوصية بطريقة تسهل الوصول إلى العملاء وواضحة ودقيقة في التعريفات والصياغات وملائمة للمعايير ذات الصلة بحماية البيانات والخصوصية، وبضرورة أن تنطبق على جميع الخدمات التي تقدمها إلى العملاء.
كما أوصت المؤسسة في تقريرها، شركات الاتصالات في مصر بعدم التدخل في المحتوى الذي ينتجه/أو يصل إليه المستخدمون، وعدم وضع شروط ذات صلة بنوعية المحتوى سواء كان ذلك لأسباب أخلاقية أو دينية أو سياسية.
كما أوصت المؤسسة الحكومة المصرية بإصدار قانون لحماية البيانات الشخصية يتناسب مع المعايير الدولية لحقوق الإنسان ويضع حماية الخصوصية كأولوية، دون استخام مصطلحات واسعة أو تدخُّل من قبل الأجهزة الأمنية.
واختتمت المؤسسة تقريرها بوصاية الحكومة المصرية بإلغاء قانون مكافحة جرائم تقنية المعلومات، وتعديل قانون تنظيم الاتصالات بما يضمن حماية حق المستخدمين في الخصوصية وحرية التعبير.
