مراقبة البيع:

تهديدات صناعة "وساطة البيانات" للأمن القومي الأمريكي

12 September 2023


عرض: عبدالله عيسى الشريف

مع نمو صناعة وساطة البيانات في الولايات المتحدة، صارت هنالك مخاطر عديدة تهدد خصوصية المعلومات الشخصية للمواطنين، فضلاً عن الأمن القومي لهذا البلد، ولاسيما مع تزايد المخاوف من استغلال قوى دولية منافسة أخرى لهذه البيانات. ومن ثم، صارت هنالك مطالبات بسد الثغرات التشريعية لحماية البيانات في الولايات المتحدة؛ كي تواكب التطور الحاصل في أكثر من 100 دولة، بما في ذلك دول الاتحاد الأوروبي، وكندا والصين، التي وضعت بالفعل قواعد وطنية لكيفية معالجة المنصات الرقمية للبيانات الشخصية.

في هذا الإطار، تأتي أهمية تقرير الباحثة كيتلين تشين، المعنون بـ: "مراقبة للبيع: العلاقة غير المنظمة بين سماسرة البيانات في الولايات المتحدة والوكالات الحكومية المحلية والأجنبية"، والصادر عن مركز الدراسات الاستراتيجية والدولية في يونيو 2023. إذ تشرح الباحثة كيفية إنشاء الشركات الخاصة مجموعات ضخمة من المعلومات الشخصية، والتي يجمعها وسطاء البيانات ويبيعونها لكيانات القطاعين العام والخاص دون ضمانات مناسبة لحماية الخصوصية والحريات المدنية. ثم تقارن تطورات الخصوصية في الولايات المتحدة، مع تلك الموجودة في الاتحاد الأوروبي، وكندا، والصين، فضلاً عن توضيح دور لوائح خصوصية البيانات الأمريكية في تعزيز الأمن القومي وحقوق الإنسان والمصالح الاقتصادية الأمريكية.

من هم وسطاء البيانات؟

تعمل العديد من المنصات الرقمية على مشاركة معلومات المستخدم التفصيلية مع المعلنين والشركات الخاصة والوكالات الحكومية، من خلال طرف ثالث يُعرف باسم "وسطاء البيانات". ويقوم وسطاء أو سماسرة البيانات بالاستفادة من تجميع المعلومات الشخصية التي يتم الحصول عليها من تطبيقات الأجهزة المحمولة ومتصفحات الويب ومنشورات وسائل التواصل الاجتماعي وكذا اللقطات الصوتية والمرئية، فضلاً عن المحفوظات الحكومية مثل: سجلات الناخبين، أو الإيداعات الضريبية. 

وقد يحصل وسطاء البيانات أيضاً على المعلومات من وسطاء آخرين أو من خلال شراء تطبيقات الأجهزة المحمولة من أجل الحصول على البيانات، وإنشاء شبكة معقدة وغير شفافة لا يمكن للأفراد المتأثرين بها وعامة الناس متابعتها أو تغييرها وتعديلها أو حتى حذفها كليةً. فوفقاً لـشركة "Sensor Tower" للبرمجيات يتفاعل المواطن الأمريكي مع ما يقرب من 50 تطبيقاً للهاتف المحمول لكل جهاز شهرياً، والعديد منها يتتبع التفاصيل مثل: سجل موقع الشخص، وسجلات الاتصالات، والمشتريات، بهدف رسم صورة شاملة لعادات وتفضيلات أسلوب حياة الشخص.

ويؤكد التقرير أنه لا يوجد تعريف قانوني واحد لوسيط البيانات في الولايات المتحدة، مما يمثل تحدياً لتنظيم تفاعلاته مع الوكالات الحكومية، ففي عام 2014 وصفت لجنة التجارة الفدرالية "FTC" وسطاء البيانات بأنهم "شركات تجمع المعلومات الشخصية للمستهلكين، وتعيد بيع هذه المعلومات أو تشاركها مع الآخرين"، ويُعرف قانون خصوصية وحماية البيانات الأمريكية "ADPPA" كيانات الطرف الثالث على أنها تلك "التي يُستمد مصدر دخلها الرئيسي من معالجة أو نقل البيانات المشمولة".

ولتأكيد أهمية معالجة أسلوب عمل وسطاء البيانات، أعرب ثلاثة من أعضاء مجلس الشيوخ في عام 2022 عن مخاوفهم من أن شركات كـ"BetterHelp وTalkspace" قد شاركت معلومات حساسة عن الصحة العقلية يمكنها بسهولة تحديد هوية الأفراد، واستنتاج أين يعيش شخص ما أو ينام بناءً على أنماط حركته. حيث يقوم وسطاء البيانات ببناء نماذج خوارزمية تُمكنهم من استنتاج المعلومات أو التنبؤ بها؛ مثل: الصحة، والشؤون المالية، والعرق، والدين، والهوية الجنسية، والتوجه الجنسي، والحالة العائلية. 

ويرى التقرير أنه من دون اللوائح الفدرالية؛ فلا يمكن للأمريكيين التحكم في كيفية تعامل وسطاء البيانات مع معلوماتهم الشخصية، خاصةً وأن شركات الطرف الأول لا تكشف عادةً عن هويات الأطراف الثالثة التي يشاركونها هذه المعلومات أو كيف يمكن للاستنتاجات الخوارزمية أن تعلم القرارات التي يمكن أن تؤثر في حياة الناس وخصوصياتهم.

مخاطر على الخصوصية:

يجادل التقرير بأن وسطاء البيانات التابعين لجهات خارجية يشكلون مخاطر على خصوصية الأفراد؛ فقد ساعد أولئك الوسطاء شركات التأمين الصحي على التنبؤ بأمراض الصحة البدنية والعقلية من خلال تحليل نقاط البيانات المتباينة مثل: التعليم، والعمر، والعرق، والحالة الاجتماعية، فضلاً عن الوصول إلى معلومات الاتصال التي يمكن أن تحدد مستخدمي تطبيقات الصحة العقلية المحمولة، ولذا تتسبب انتهاكات الخصوصية من قِبل وسطاء البيانات في حدوث عواقب للأمريكيين، من حيث الأذى النفسي، والعاطفي، والمالي، والجسدي. 

على الجانب الآخر يمكن لوسطاء البيانات القيام بمجموعة متنوعة من الوظائف لكلٍ من المؤسسات العامة والخاصة، والتي من المُحتمل أن تكون مفيدة للقرارات المتعلقة بالتوظيف، أو درجات الائتمان والمخاطر، والتأمين الصحي، والتوعية السياسية. وبغض النظر عن الهدف من هذه المراقبة الرقمية، فإنه يوجد بعض الغموض الأخلاقي في أي عقد توقعه الوكالات الحكومية الأمريكية مع وسطاء البيانات، لأن العقود الحكومية الأمريكية تغذي النمو السريع للصناعة التي تواجه الحد الأدنى من القيود القانونية على جمع البيانات ومعالجتها وتخزينها ومشاركتها، فضلاً عن أن الخوارزميات القائمة على السمات الشخصية تستخلص أحياناً استنتاجات غير دقيقة يمكن أن تؤثر بشكل كبير في حياة الناس. 

تهديدات الأمن القومي:

يؤدي الافتقار العام للشفافية إلى صعوبة قياس مدى تعاون وسطاء البيانات الأمريكيين مع الحكومات الأجنبية، بما في ذلك روسيا والصين. ففي عام 2020 صرَّح مدير المركز الوطني لمكافحة التجسس والأمن الأمريكي بأن الصين واحدة من أبرز جامعي البيانات الشخصية على مستوى العالم، باستخدام الوسائل القانونية وغير القانونية. فعلى الرغم من أن الحكومات الأجنبية، مثل الصين، ليس لديها ولاية قضائية قانونية على معظم الأمريكيين على أراضيها، فإنها لا تزال قادرة على الاستفادة من المراقبة الرقمية في كل مكان بما في ذلك ما يقدمه وسطاء البيانات الأمريكيون.

على الجانب الآخر، ففي الانتخابات الرئاسية الأمريكية لعام 2016، اشترت وكالة أبحاث الإنترنت "IRA" المرتبطة بروسيا حوالي 3 آلاف إعلان سياسي، فضلاً عن تحميل 80 ألف منشور على الفيسبوك باستخدام هويات أمريكية مسروقة، ووصلت إلى عشرات الملايين من المستخدمين الأمريكيين، لتثبيط إقبال الناخبين.

ويؤكد التقرير أنه طالما استمر عمل وسيط البيانات بهذا الشكل، فسيبقى من المستحيل فعلياً منع هذه المعلومات من الوقوع في أيدي قوى أجنبية معادية، وأنه على الرغم من أن الحكومات الأجنبية قد تصل إلى المعلومات من خلال العديد من القنوات، فإن تنامي صناعة الوساطة في البيانات يوسع ويعجل جهود المراقبة على نطاق أوسع، وهذا ما يسلط الضوء على أهمية تحديث قوانين الخصوصية للحد من جمع البيانات الخارجية وتخفيف المخاطر على الخصوصية والحقوق المدنية والقيم الديمقراطية.

ثغرات تشريعية أمريكية:

لدى الولايات المتحدة العشرات من القوانين الفدرالية وقوانين الولايات التي تتناول كيفية حماية الشركات الخاصة للمعلومات الشخصية، لكنها لم تخضع لتحديثات مهمة منذ عقود وتخلفت عن التقدم التكنولوجي. فضلاً عن أن العديد من قوانين حماية البيانات التجارية الأمريكية تخص قطاعات وأنواعاً معينة من الشركات فقط، مما يترك كيانات أخرى غير خاضعة للتنظيم في معالجة مجموعة واسعة من المعلومات الشخصية الحساسة ومشاركتها وتخزينها؛ مثل: وسطاء البيانات، والمنصات الرقمية، وتطبيقات الأجهزة المحمولة.

وعلى الرغم من أنه يمكن للجنة التجارة الفدرالية الأمريكية أن تتصرف ضد الشركات، بما في ذلك وسطاء البيانات، الذين ينخرطون في أعمال أو ممارسات خادعة عبر الاقتصاد الأمريكي، فإن هناك حدوداً لسلطتها التنفيذية، فضلاً عن الشركات التي تنخرط في نشاط مخادع أو تحرف سياسات الخصوصية الخاصة بها، مما أدى إلى نظام "الإشعار والموافقة"، حيث تطلب الشركات من المستخدمين النقر على "أوافق" لجمع البيانات من أجل الوصول إلى الخدمات الأساسية، وكذا فإن التركيز على الإشعار والموافقة يمكن أن يحفز الشركات على نشر لغة غامضة تعد بحماية خصوصية قليلة أو معدومة، أي الحد الأدنى من الخصوصية. 

فعلى سبيل المثال، يمنع قانون خصوصية الاتصالات الإلكترونية لعام 1986 أنواعاً معينة من الشركات؛ مثل: شركات الهاتف ومقدمي خدمات الإنترنت، من الكشف طوعياً عن محتوى الاتصالات والبيانات الوصفية الأمريكية إلى الوكالات الحكومية الأمريكية دون أمر من المحكمة أو أمر استدعاء. ومع ذلك فإن هذا القانون لا ينطبق على وسطاء البيانات أو مطوري التطبيقات التابعين لجهات خارجية، والذين لم يكونوا موجودين إلى حدٍ كبير في عام 1986، مما يترك ثغرات، حيث يمكن لشركات الهاتف بيع المعلومات الشخصية إلى وسطاء البيانات الذين يمكنهم بدورهم البيع للوكالات الحكومية خارج الإطار القانوني. 

نظام الحماية في أوروبا والصين:

يرى التقرير أنه من الصعب الحفاظ على الثقة العالمية إذا كانت العديد من الحكومات الأجنبية تُصّعد أنشطتها الاستخباراتية، خاصةً وأن التقدم في جمع البيانات أدى إلى تفاقم التوترات الجيوسياسية. فقد سنت معظم الاقتصاديات الكبيرة مثل الاتحاد الأوروبي وكندا والصين قوانين وطنية تنظم كيفية قيام منصات التكنولوجيا بجمع المعلومات الشخصية ومعالجتها ومشاركتها.

فبالنسبة للاتحاد الأوروبي، تتم القيود المفروضة على سوق وساطة البيانات تحت إشراف عام للائحة العامة لحماية البيانات، فبموجب تلك اللائحة "GDPR" يواجه وسطاء البيانات قيوداً قانونية أكثر صرامة في الاتحاد الأوروبي مقارنةً بالولايات المتحدة لأن متطلبات الشفافية باللائحة تُعرِّض وسطاء البيانات في الاتحاد الأوروبي لتكاليف امتثال أعلى مما يجعل الصناعة أكثر خطورة وأقل ربحية مما هي عليه بالولايات المتحدة. وتُقدر سوق وساطة البيانات بالاتحاد الأوروبي بحوالي 116 مليار دولار مقارنةً بسوق الولايات المتحدة التي تزيد عن 200 مليار دولار في عام 2018.

وعلى الرغم من أن اللائحة العامة لحماية البيانات لا تنطبق بشكلٍ مباشر على معظم عمليات إنفاذ القانون والاستخبارات، فإنها لا تزال تتطلب من وسطاء البيانات أن يكون لديهم مبرر قانوني لبيع المعلومات الشخصية للوكالات الحكومية، على عكس نظام الولايات المتحدة الذي يضع القليل من القيود الصارمة على هؤلاء الوسطاء.

وقد اعتبرت المفوضية الأوروبية مستوى كندا لحماية البيانات، وليس مستوى الولايات المتحدة، "مكافئاً بشكل أساسي" لمستوى الاتحاد الأوروبي، مما يسمح بنقل البيانات عبر الحدود بين كندا والاتحاد الأوروبي بدرجة أكبر من اليقين القانوني. 

أما في الصين، فيعتمد جهاز المراقبة بشكلٍ كبير على الشركات الخاصة التي تجمع وتعالج المعلومات الشخصية من الأفراد الصينيين وغير الصينيين، وتقنن العديد من القوانين هذه العلاقة؛ مما يمنح الصين سيطرة واسعة على مخزن شركات المعلومات الخاضع لولايتها القضائية. 

واستجابة للمخاوف بشأن توطين البيانات في الصين وقوانين الأمن القومي، فقد قامت الولايات المتحدة وكندا ودول أخرى بحظر تطبيق التيك توك "TikTok" على الأجهزة التي أصدرتها الحكومة، خشيةً من الوصول إلى معلومات حول الأفراد الأمريكيين الذين تقوم تطبيقات الهاتف المحمول، وتحديداً التيك توك بنقلها أو تخزينها داخل الحدود الصينية، لأنهم استشهدوا بقانون المخابرات الوطنية الصيني لعام 2017 الذي يطلب من الأفراد والمنظمات "دعم عمل استخبارات الدولة والمساعدة والتعاون معه وفقاً للقانون". أضف لذلك، قانون الأمن السيبراني الصيني الذي يطلب من منصات الإنترنت التي تعمل داخل الحدود الوطنية مساعدة سلطات إنفاذ القانون في تحديد المحتوى "الذي يعّرض الأمن القومي والمصالح الوطنية للخطر"، ولذا فقط توقفت بعض منصات التكنولوجيا الأمريكية عن العمل في الصين بعد أن صار القانون سارياً في عام 2017.

ويقارن التقرير بين الوضع في الولايات المتحدة والصين، فيرى أنه في حين أن متطلبات الإجراءات القانونية الأمريكية بموجب التعديل الرابع وقانون خصوصية الاتصالات الإلكترونية قديمة، إلا أنها توفر حماية أقوى للحريات المدنية مما تتبعه الوكالات الحكومية الصينية عند إجبار الشركات الخاصة على الحصول على البيانات الشخصية. 

ختاماً، تشتمل صناعة الوساطة في البيانات الأمريكية على مخاطر متعددة على الخصوصية والأمن القومي، وبما يتطلب أهمية وجود نهج شامل لكبح عمليات نقل البيانات، لأنه من دون قواعد عامة حول كيفية قيام جميع تطبيقات الأجهزة المحمولة ووسطاء البيانات في الولايات المتحدة بنقل المعلومات الشخصية الحساسة، لن يمنع بشكل فعَّال تسرب البيانات إلى الحكومات الأجنبية. 

لذلك، تحتاج الولايات المتحدة إلى استراتيجية متعددة الأوجه، تقوم على أهمية فرض حدود على كيفية معالجة جميع الشركات الأمريكية للمعلومات الشخصية، وأن تضع حواجز حماية على معاملات الحكومة الأمريكية مع وسطاء البيانات، فضلاً عن ضرورة أن تفرض قيوداً على الغرض من نقل البيانات داخل وخارج الولايات المتحدة، وفي الوقت نفسه تحمي تدفقات البيانات عبر الحدود، بالإضافة إلى العمل على تحسن الشفافية من خلال منح المنظمين والأفراد سيطرة أكبر على المعلومات الشخصية، بكل ما يرتبط بذلك من مراعاة التوازن بين حماية المعلومات المتاحة للجمهور، وتدفق البيانات عبر الحدود.

المصدر:

Caitlin Chin, Surveillance for Sale: The Underregulated Relationship between U.S. Data Brokers and Domestic and Foreign Government Agencies, CSIS, JUNE 2023.