منظمة حقوقية تحذر من تعرض عشرات آلاف الطلاب للأذى بسبب الكشف عن معلوماتهم في مصر
الشبكة العربية لمعلومات وأحداث حقوق الإنسان – أدانت “هيومن رايتس ووتش” الكشف عن كم كبير من المعلومات الشخصية الخاصة بعشرات الآلاف من الأطفال عبر الإنترنت في مصر.
واتهمت المنظمة الحكومة المصرية و”أكاديميك أسيسمسنت ليميتيد” (أكاديميك أسيسمسنت)، وهي شركة بريطانية خاصة، بهذا الفعل.
وأكدت هيومن رايتس ووتش أن ذلك ينتهك خصوصية الأطفال، ويعرضهم لخطر الأذى الجسيم، ويبدو أنه ينتهك قوانين حماية البيانات في كل من مصر وبريطانيا.
شملت البيانات الحساسة أكثر من 72 ألف سجل تتضمن أسماء الأطفال، وتواريخ ميلادهم، ونوعهم الاجتماعي.
بالإضافة إلى عناوين سكنهم، وعناوين بريدهم الإلكتروني، وأرقام هواتفهم، والمدارس التي يرتادونها، وصفوفهم الدراسية، وصور ملفاتهم الشخصية، ونسخ من جوازات سفرهم أو هويتهم الوطنية.
بقيت البيانات متاحة دون حماية على الإنترنت لثمانية أشهر على الأقل. عرّفت السجلات 110 طفلا بالاسم بأن لديهم شكل من أشكال الإعاقة.
قالت هاي جونغ هان، باحثة ومدافعة عن حقوق الأطفال والتكنولوجيا في هيومن رايتس ووتش: “عبر إتاحة معلومات الأطفال الخاصة دون اكتراث، تُخاطر الحكومة المصرية وأكاديميك أسيسمسنت بتعريض الأطفال لضرر جسيم”.
وأضافت: “على مدى أشهر، سمحوا لأي شخص لديه اتصال بالإنترنت بمعرفة من هم هؤلاء الأطفال، وأين يعيشون ويذهبون إلى المدرسة، وكيف يمكن التواصل معهم مباشرة”.
خضع الأطفال لـ امتحان “إيجيبشيان سكولاستيك” (“إي إس تي EST”) المشار إليه فيما بعد بـ الامتحان، والذي تطلبه الجامعات المصرية من طلبة “الدبلومة الأمريكية”، وهو منهاج المرحلة الثانوية باللغة الإنغليزية في مصر.
تضمنت البيانات غير المحمية 356,797 ملفا، وشملت الأطفال الذين تقدموا بطلب التقدم للامتحان بين سبتمبر/أيلول 2020 وديسمبر/كانون الأول 2022.
تضمنت البيانات غير المحمية أيضا أسماء ومواقع الجامعات التي تقدم الطلاب بطلبات للالتحاق بها، ونتائج امتحاناتهم، وما إذا كانوا قد دفعوا رسوم التسجيل للامتحان.
تضمنت السجلات ملاحظات تفصيلية حول الطلاب أخذها المراقب الذي راقب امتحانهم، بما يشمل مزاعم “سلوك غير أخلاقي”، “لن يسكت، وجّهنا له عدة تحذيرات وحاول الغش عدة مرات”، و”متأخر متأخر متأخر”.
يُهدد انكشاف معلومات سرية كهذه سلامة هؤلاء الأطفال. يُعرّض خطر إساءة استخدام بياناتهم واستغلالها الأطفال لأضرار جسيمة، منها انتحال الشخصية، والابتزاز، والاستغلال الجنسي، وقد تكون له عواقب طويلة المدى تؤثر على الفرص المتاحة لهم.
انكشاف البيانات اكتشفه ناثانيال فرايد، المؤسس المشارك لشركة “أندوين”، وهي شركة برمجيات لحلول الأعمال، وراجعته هيومن رايتس ووتش.
وجد تحليل إضافي أجرته هيومن رايتس ووتش أن الطلبة المتضررين ينتمون لجميع محافظات مصر الـ 27.
تبيّن أن عدد قليل من الطلاب، 0.2٪ أو 168، كانوا من دول أخرى: الجزائر، البحرين، جزر القمر، العراق، الأردن، الكويت، لبنان، ليبيا، عُمان، فلسطين، قطر، السعودية، السودان، سوريا، أو الإمارات.
أنشأت وزارة التربية والتعليم المصرية امتحان القبولEST في سبتمبر/أيلول 2020، بعد أسبوعين من قيام شركة “كوليدج بورد” الأمريكية بتعليق إجراء امتحان القبول بالجامعات المعروف بـ”سات” في مصر إلى أجل غير مسمى، بسبب “حوادث متكررة تتعلق بتأمين سرية الامتحان”.
بحلول وقت إجراء الامتحان المصري للمرة الثانية في مارس/آذار 2021، أعلن وزير التعليم آنذاك طارق شوقي أنه سيكون “الامتحان الوحيد المعترف به للقبول في الجامعات المصرية المحلية” لطلبة الدبلومة الأمريكية.
في مارس/آذار 2022 أو في حدود هذا التاريخ، ودون إعلان، بدا أن ملكية الامتحان تغيرت، من الحكومة المصرية إلى شركة “إيجيبشن سكولاستيك تيست ليميتيد” البريطانية التي تأسست في 2021 وتغير اسمها في نوفمبر/تشرين الثاني 2022 إلى أكاديميك أسيسمسنت.
أُزيل الموقع الإلكتروني للامتحان والذي تملكه الحكومة في مارس/آذار 2022 واستُبدل بموقع يشير إلى أن “الامتحان المصري مملوك لشركة أكاديميك أسيسمسنت في لندن”.
نأت الحكومة المصرية بنفسها عن الامتحان علنا بعد بضعة أشهر، حيث صرح شوقي أن الوزارة “لا علاقة لها” بالامتحان الذي “تديره مؤسسة دولية مقرها بريطانيا، وليس وزارة التربية والتعليم المصرية”.
تتضمن قاعدة البيانات غير المحمية سجلات الأطفال التي جمعتها كل من الحكومة وأكاديميك أسيسمسنت، قبل التغيير الواضح في الملكية وبعده.
ليس من الواضح بالضبط متى أو لماذا أو كيف باعت الحكومة أو نقلت ملكية الامتحان وبيانات طلابه إلى أكاديميك أسيسمسنت. لم تجد هيومن رايتس ووتش أدلة على طرح مناقصة شراء عامة.
ليس واضحا أيضا السبب الذي دفع الحكومة إلى بيع أو تسريب التفاصيل الشخصية الحساسة الخاصة بالأطفال الذين تقدموا للامتحان، مثل حالة الإعاقة، والتي ليست ضرورية للشركة لتدير الامتحان.
لم ترد الحكومة المصرية ولا أكاديميك أسيسمسنت على أسئلة هيومن رايتس ووتش حول تغيير الملكية، أو ما إذا كانت الحكومة قد اشترطت أن توفر أكاديميك أسيسمسنت الحماية للبيانات التي بيعت أو نُقلت إليها.
لم ترُد وزارة التربية والتعليم المصرية ولا “المجلس القومي لحقوق الإنسان” على طلب مكتوب من هيومن رايتس ووتش في فبراير/شباط 2023 لإصلاح انكشاف البيانات.
قال المدير التنفيذي لـ أكاديميك أسيسمسنت حبيب خليل الصايغ إن الشركة أخذت الأمر على محمل الجد وأجرت تحقيقا، لكنه رفض الإجابة على أسئلة هيومن رايتس ووتش.
البيانات غير المحمية مستضافة على خوادم ” ويب أمازون سيرفيسز”، وهي خدمات التخزين السحابية التابعة لـ “أمازون”.
ظلت البيانات متاحة حتى إزالتها في 15 مارس/آذار، بعدما أبلغت هيومن رايتس ووتش أمازون بانتهاك خصوصية بيانات الأطفال. رفضت أمازون التعليق.
رغم عدم تأكيد الحكومة أو الشركة لملكية البيانات، فإن انكشافها ينتهك خصوصية الأطفال.
يبدو أن ذلك ينتهك أيضا قوانين حماية البيانات في مصر وبريطانيا، والتي تشترط على الهيئات التي تتعامل مع بيانات تعريف شخصية حمايتها وضمان أمانها، وإخطار الحكومة والمستخدمين المتأثرين فورا في حالة خرق البيانات.
عرّضت الحكومة المصرية الأطفال أيضا لخطر الأذى عندما باعت أو نقلت بياناتهم التعريفية الشخصية لطرف ثالث فيما يبدو دون اشتراط حمايتها. لا يبدو أن الحكومة أبلغت الأطفال ببيع بياناتهم أو نقلها، فحرمتهم من فرصة الاعتراض أو اتخاذ تدابير لحماية خصوصيتهم.
يضمن دستور البلاد الحق في الخصوصية. صادقت مصر أيضا على “اتفاقية الأمم المتحدة لحقوق الطفل”، والتي تضمن حق الأطفال في الخصوصية، وهو أمر حيوي لضمان سلامتهم ومصلحتهم وكرامتهم.
يقر قانون حماية البيانات الشخصية لسنة 2020 في مصر بأن الأطفال يستحقون حماية خاصة لخصوصية بياناتهم لكنه لا يحددها أو يوفرها، ولم تُصدر أي لوائح تنفيذية.
علاوة على ذلك، يفتقر القانون إلى هيئة حكومية يمكنها إنفاذه: مركز حماية البيانات الشخصية الذي نص القانون على إنشائه لم يُبصر النور حتى الآن بعد قرابة ثلاث سنوات من صدور القانون.
طالبت هيومن رايتس ووتش المشرعين بتعديل القانون لوضع قواعد شاملة لحماية بيانات الطفل بحيث تفرض على الشركات والهيئات الحكومية توفير أعلى مستويات الحماية والأمان لبيانات الأطفال وخصوصيتهم.
ودعت المنظمة إلى أن يُلزموا بذلك تعاقديا أي كيان يشاركونه البيانات، أو ينقلونها إليها، أو يبيعونها له.
وناشدت الحكومة بالتعجيل بإنشاء مركز حماية البيانات الشخصية ومنحه التفويض والموارد لحماية خصوصية بيانات الجميع، منها بيانات الأطفال.
قالت هان: “للأطفال الحق في تدابير حماية خاصة لخصوصيتهم. يتعيّن على الحكومة المصرية أن تبدأ في حماية الأطفال وخصوصية بياناتهم، وإلزام جميع الجهات الفاعلة بفعل الشيء نفسه بالقانون”.