توضيح من التفتيش المركزي حول خصوصية وأمن البيانات على منصّة IMPACT
ظهرت في الآونة الأخيرة مخاوفٌ وتساؤلات كثيرة حول منصّة "IMPACT"، والبوابات المختلفة عليها خاصّةً ‘DAEM’ وهي البوابة الّتي تسجّلت عليها الأسر اللبنانية للاستفادة من برامج المساعدات المختلفة، و’COVAX’ وهي البوابة الّتي تسجّل عليها اللبنانيون للحصول على اللقاح ضدّ وباء كورونا.
في ما يلي، سنتناول أبرز النقاط المثارة للإجابة على التساؤلات المطروحة.
أوّلًا: في ما يتعلّق بصلاحيّات التفتيش المركزي من ناحية مراقبة المنصّة وممارسة والحوكمة الالكترونيّة:
بناءً على المادّة الثانية من المرسوم الاشتراعي رقم 115/59 (إنشاء التفتيش المركزي)، تحدّدت مهام التفتيش المركزي على الوجه التالي:
- مراقبة الادارات والمؤسسات العامة والبلديات بواسطة التفتيش على اختلاف انواعه.
- السعي الى تحسين اساليب العمل الاداري.
- ابداء المشورة للسلطات الادارية عفوا او بناء لطلبها.
- تنسيق الاعمال المشتركة بين عدة ادارات عامة.
- القيام بالدراسات والتحقيقات والاعمال التي تكلفه بها السلطات."
إضافةً إلى ذلك، وبناءً على المرسوم رقم 8889/96 (إحداث دائرة للمعلوماتيّة في التفتيش المركزي)، قدّ تمّ إنشاء دائرة معلوماتيّة في التفتيش المركزي حدّدت مهامها في المادّة الأولى من المرسوم المذكور على النحو التالي:
" - وضع وتنفيذ نظام متكامل للمعلوماتية في التفتيش المركزي لدعم عمل الوحدات فيه، والادارات والمفتشيات العامة التابعة له.
- خزن وتنسيق المعلومات المختلفة واستعادتها لتسهيل عملية تحضير واتخاذ القرارات الملائمة.
- القيام بالاعمال الاحصائية على اختلافها، بالتعاون مع الاجهزة المختصة كل في مجال عمله، التي تساعد في عملية التخطيط والانماء.
- تبادل المعلومات بواسطة الكمبيوتر مع مختلف الادارات ضمن ما يسمح به القانون."
من هنا، يتبيّن أنّ للتفتيش المركزي صلاحيّة تنسيق الأعمال المشتركة بين الإدارات العامّة، وخاصّةً في ما يتعلّق بتجميع وتخزين وتبادل المعلومات في ما بينها، ضمن ما سمح به القانون.
وعليه، خلال أزمة كورونا، أقرّت الحكومة اللبنانية حملة التلقيح ودعت في بياناتها المواطنين التسجيل على بوابة COVAX، وهي إحدى البوابات على منصّة IMPACT. وفي الحالة المذكورة، قررّت الحكومة اللبنانيّة (أي اللجان الوزاريّة) ماهيّة البيانات الّتي ستجمع، والسبب، والآلية. (للاطّلاع على إطلاق حملة التلقيح الوطنية لمكافحة وباء كورونا، يمكنكم الضغط على الرابط التالي: http://pcm.gov.lb/arabic/subpg.aspx?pageid=19329 )
وقد مارس التفتيش المركزي صلاحيّاته القانونيّة في ما يتعلّق بتتبّع عمليّة التسجيل من قبل طالبي اللقاح انفاذاً لبرنامج وزارة الصحّة، ومراقبة تنفيذ خطّة التلقيح الوطنيّة. وعلى هذا النحو، وفقا للقوانين المعمول بها، وخاصّةً النظام الأوروبي العام لحماية البيانات (GDPR)، يكون المتحكّم بالبيانات الشخصيّة على covax.moph.gov.lb هو الحكومة اللبنانية - التي تقرر ما هي البيانات التي يتم جمعها ولماذا وكيف - ممثلة بوزارة الصحّة العامّة، ومعالج البيانات هو وزارة الصحّة العامّة، الّتي تتولّى جمع ومعالجة وتحليل البيانات، وتنفيذ حملة التلقيح. في ما يلعب التفتيش المركزي دور الهيئة الرقابيّة على الإدارات العامّة في تنفيذها لمهامها، وفقًا للصلاحيّات المنوطة به قانونًا والمبيّنة أعلاه.
- وتجدر الإشارة إلى أنّ سياسات الخصوصيّة وأمن البيانات قد تمّ تقديرها ايجابياً عند معادلة شهادة اللقاح اللبنانية بالشهادة الصادرة عن الاتحاد الاوروبي الخاصة بالتلقيح ضدّ وباء كورونا.
للاطّلاع على قرار المفوضية الأوروبية المتعلّق بمعادلة شهادات كوفيد-19 الصادرة عن لبنان بشهادة كوفيد الصادرة عن الاتحاد الأوروبي، الرجاء زيارة الموقع التالي: https://www.eeas.europa.eu/delegations/lebanon/eu-digital-covid-certificate-european-commission-adopts-equivalence-decision_en
أمّا في ما يتعلّق ببوّابة ‘DAEM’، وإضافةً إلى القوانين المبيّنة أعلاه، فقد كُرّس الدور الّذي يلعبه التفتيش المركزي من ناحية القيام بالرقابة اللازمة على عمل الادارات واللجان المتفرّعة التي تتولى تنفيذ برنامج البطاقة التمويلية وفق المعايير التنفيذية المحدّدة من الحكومة اللبنانيّة في القرار الوزاري المتعلّق بآلية تطبيق القانون رقم 230/21 الذّي أقرّ البطاقة التمويليّة.
فأقرّ مجلس النواب القانون رقم 230 تاريخ 16 تموز 2021 (البطاقة التمويلية الالكترونية وفتح اعتماد إضافي استثنائي لتمويلها)، حدّدت المادّة الخامسة منه أنّ آلية التسجيل للاستفادة من البطاقة التمويليّة والمعايير "توضع بقرار مشترك من قبل لجنة برئاسة رئيس مجلس الوزراء ووزراء المالية والشؤون الاجتماعية والاقتصاد والتجارة بالتشاور مع الجهات المعينة".
وصدر عن اللجنة المذكورة أعلاه، القرار رقم 5/ق م تاريخ 30/9/2021 (تحديد آلية ومعايير تطبيق القانون رقم 230 الصادر في 16 تموز 2021)، اعتمدت في المادّة الثانية عشر منه المنصّة الرقابيّة IMPACT في التفتيش المركزي كمنصّة يتمّ إنشاء عليها بوابة الكترونية خاصّة بالبطاقة التمويلية، تدير هذه البوّابة اللجنة الوزاريّة ممثّلة بوزارة الشؤون الإجتماعيّة. كما كلّف القرار نفسه في المادّة 16 منه التفتيش المركزي بالمهام التالية:
" 1- الاشراف والرقابة على الشركة المتخصصة المكلّفة بانشاء وتشغيل البوابة الالكترونية للبطاقة التمويلية وفقًا لمقررات اللجنة،
- القيام بالرقابة اللازمة على عمل الادارات واللجان المتفرّعة التي تتولى تنفيذ برنامج البطاقة التمويلية وفق المعايير التنفيذية المحددة من اللجنة،
- إجراء الاشراف والرقابة الكاملة على جميع الأنشطة التي تجرى على المنصة،
- نشر تقارير تفصيلية دورية للجنة وتقارير اجمالية شهرية باللغتين العربية والإنكليزية، تكون متاحة للعموم، وذلك لتسليط الضوء على التقدم والتطّور في تنفيذ البرنامج والتزامه بالقوانين المرعية الإجراء والمعايير الدولية والمبادئ التوجيهية،
- مراقبة حسن حفظ ملكية البرنامج بالنيابة عن الحكومة اللبنانية، وعلى هذا النحو، حيازة شفرة المصدر (source code) الخاصة به من الشركة المذكورة،
- يقوم بمراقبة، ادارة وتنفيذ الآليات مع مراعاة الاحترام التام للقوانين المحلية المرعية الإجراء والمعايير الدولية والممارسات الفضلى من أجل ضمان أعلى معايير حماية البيانات والخصوصية، إضافةً إلى ضمان تطابقها مع مبادئ الحوكمة الخمسة (الإنصاف، والشفافية، والمساءلة، والخصوصية والأمن). “
بناءً على ما ورد أعلاه، يكون التفتيش المركزي، ضمن صلاحيّاته المحدّدة قانونًا المتمثّلة بتنسيق الأعمال المشتركة بين مختلف الإدارات العامّة والقيام بالأعمال الّتي تكلّفه بها السلطات مع الاستفادة من صلاحيّاته في تسهيل العمل الإداري من خلال الوسائل المعلوماتيّة المتاحة له، يقوم بما كلّفته به اللجنة الوزاريّة بالقرار رقم 5/ ق م وهو الإشراف على البوابة الالكترونية DAEM، الّتي يتمّ عليها تسجيل الأسر، إلى جانب ممارسة الرقابة على الآلية وضمان حماية البيانات واحترام معايير الحوكمة الالكترونية.
وعلى هذا النحو، وفقا للقوانين المعمول بها، وخاصّةً النظام الأوروبي العام لحماية البيانات (GDPR)، يكون المتحكّم بالبيانات الشخصيّة على daem.impact.gov.lb هو الحكومة اللبنانية - التي تقرر ما هي البيانات التي يتم جمعها ولماذا وكيف - ممثلة بوزارة الشؤون الإجتماعيّة. فيما يلعب التفتيش المركزي دور الهيئة الرقابيّة على الإدارات العامّة في تنفيذها لمهامها، وفقًا للصلاحيّات المنوطة به قانونًا والمبيّنة أعلاه.
ثانيًا: في ما يتعلّق بالبيانات المطلوبة وتخزينها وملكيّتها:
- في ما يتعلّق بالمعلومات المطلوبة:
كما تمّ تفصيله أعلاه، إنّ البيانات المطلوبة على بوّابتي DAEM وCOVAX حدّدتها الحكومة اللبنانيّة (وهي المتحكّم بالبيانات الشخصيّة) أي اللجان الوزارية المختصّة وهذا من أجل تمكّن الوزارات المختصّة (وهي معالج البيانات) من تنفيذ عمليّة معالجة البيانات الآلية (وزارة الصحّة العامّة في ما يتعلّق بتنفيذ حملة التلقيح الوطنيّة ووزارة الشؤون الإجتماعيّة فيما يتعلّق بتنفيذ برنامج المساعدات الماليّة).
- في ما يتعلّق بملكيّة البيانات وتخزينها:
إنّ ملكيّة البيانات تعود للدولة اللبنانية، ممثّلة بمجلس الوزراء، وفقاً للمادة ١٤ من القرار رقم ٥ ق م تاريخ ٣٠/٩/٢٠٢١ المذكور اعلاه. وتتمّ استضافتها على أجهزة وخوادم لدى هيئة أوجيرو، تحت رقابة التفتيش المركزي، الّذي بدوره كهيئة رقابيّة، يسهر على ضمان تطبيق معايير الحوكمة وحماية وأمن المعلومات.
- في ما يتعلّق بآلية تقديم الشكاوى:
أمّا بالنسبة لآلية الشكوى أو المحاسبة في حال وجود أي خروقات لسريّة أو أمن البيانات، أو حتّى تساؤلات عن كيفيّة معالجة البيانات من قبل الوزارات المختصّة، فكما هو محدّد في سياستي الخصوصيّة، للمواطن حقّ الاعتراض أمام مسؤول معالجة البيانات، أو تقديم شكوى أمام ادارة التفتيش المركزي كونه الجهاز الرقابي الّذي يتولّى التحقيق ومحاسبة المسؤولين عن الخروقات.
إضافةً إلى ذلك، في ما يتعلّق بتنفيذ حملة التلقيح ضدّ وباء كورونا، يمكن للمواطنين الاتّصال على الخطّ الساخن الخاصّ بوزارة الصحّة العامّة (1214) وهي الجهة المنفّذة الّتي تدير بوّابة COVAX لتصحيح بياناتهم أو استرجاعها أو تقديم شكوى. وفي ما يتعلّق ببوّابة دعم، فقد أتيح للمواطنين الاتّصال بالخط الساخن الخاصّ بمركز تلقي الشكاوى في التفتيش المركزي (1747) لتقديم الشكاوى أو طلب تصحيح البيانات، ويحال هذا الأخير إلى الجهات المعنية وتوضع التقارير بمقترحات الخطوات اللازمة لمعالجة مسبباتها وتصويب اساليب التنفيذ ومتابعة نتائجها وتحديد المسؤوليات عند الاقتضاء.
- في ما يتعلّق بأمن البيانات:
- تخزين البيانات والنسخ الاحتياطي: في ما يتعلق بتخزين البيانات، كما تمّ ذكره أعلاه، تتمّ استضافة البيانات على خوادم مؤسّسة أوجيرو، مع نظام التعافي من الكوارث (Disaster recovery). كما يتم حفظ نسخة احتياطيّة من البيانات في نفس النظام البيئي في أوجيرو ووفقًا لمعايير حماية وأمن البيانات نفسها.
كما تمّ تثبيت إدارة الوصول المتميّز (PAM - Privileged Access Management) وجدار الحماية (Firewall) مع كلمة مرور مشتركة بين أوجيرو والتفتيش المركزي. يسمح هذا الإجراء السيبراني بتسجيل عمليات نشاط المستخدمين كافة وهم لا قدرة لهم على إيقاف تشغيله.
- الوصول القائم على الأدوار (Role-based access): تمّ وضع نهج يحصر حقّ الوصول إلى المعلومات بالمستخدمين المصرح لهم حصرًا، بناءً على دورهم داخل المؤسّسات المختلفة، وذلك تحت رقابة التفتيش المركزي ووفقًا لسياسات إدارة وصول المستخدمين (User Access Management Policies) وضعت وفق أرفع المعايير الدوليّة، لضمان أمن وخصوصيّة البيانات. وقد حُدّدت الأطراف الثلاثة الّتي لديها حقّ الوصول إلى البيانات الشخصيّة في سياسات الخصوصيّة المنشورة على بوّابات COVAX وDAEM.
مع الإشارة إلى أنّه لا يمكن للمبرمجين الوصول إلى البيانات الشخصيّة تحت أي ظرفٍ كان، فيقومون بالبرمجة على بيئةٍ مختلفة شبيهة بالبيئة الّتي يتمّ عليها نشر البرنامج، ويخضع كود البرمجة إلى اختبارات عديدة في البيئة الموازية قبل نشره على البيئة المخصّصة.
بالإضافة إلى ذلك، دولة رئيس مجلس الوزراء قد تعاقد مع شركة POTECH، وهي شركة متخصّصة في تدقيق الأمن السيبراني، وهي تقوم بالتدقيق الأمني السيبراني الواسع والشامل على منصّة IMPACT، تغطي مراجعة البنية التحتية في أوجيرو، مراجعة DevOps، مراجعة البرمجة، ومراجعة سير العملية وحقوق الوصول إلى قواعد البيانات. وقد يكفل ذلك تطبيق جميع المعايير الدولية والممارسات الفضلى، ومعايير الأمن السيبراني اللازمة.
بناءً على ما تمّ بيانه أعلاه،
يكون التفتيش المركزي وعبر منصة IMPACT قد قام بممارسة الرقابة على آليات تنفيذ الحملة الوطنيّة للقاح وتوزيع المساعدات، المحدّدتين من قبل اللجان الوزارية المختصّة، ويمارس صلاحيّاته القانونيّة والواجبات المنوطة به من قبل الحكومة اللبنانيّة. كما يسهر التفتيش المركزي على ضمان حماية خصوصيّة البيانات وأمنها، على خوادم أوجيرو، وفق أرفع معايير الحوكمة الالكترونية العالميّة. ووفقا لما تمّ بيانه أعلاه، تقوم الوزارات المختصّة بتنفيذ البرامج المحدّدة تحت رقابة التفتيش المركزي والتي يعززها سماع صوت المواطنين وتحليل شكاواهم واستفساراتهم، واسنادها الى المراجع المختصة لمعالجتها ومن ثم تبليغهم بالنتيجة إضافة الى إعداد تقارير دورية تلحظ اقتراحات وتوصيات، مما ادى الى ضبط ايقاع حسن تنفيذ البرنامج لايصاله الى خواتيم صحيحة وخالية من اي شوائب مع تطبيق مبادىء الحوكمة، مما شكل نموذجا يجب ان يحتذى به وتعميمه في العمل مع كافة الوزارات والادارات والمؤسسات العامة، نموذجا فريدا من نوعه يساهم في مكافحة الفساد وارساء قواعد الحكم الرشيد.
للاطّلاع على سيّاسات الخصوصيّة الّتي تعكس جميع المعلومات المبيّنة أعلاه، الرجاء زيارة الروابط التالية:
Covax: https://covax.moph.gov.lb/impactmobile/assets/docs/COVAX_Privacy_Policy.pdf
DAEM: https://daem.impact.gov.lb/citizenmobile/assets/docs/privacy_policy.pdf
فيسبوك
إنستجرام
يوتيوب
تويتر