Translator: Abed Kataya
كُتبت هذه المقالة بالتعاون مع "ليست أوثوريتي" (Least Authority)، وهي شركة تكنولوجيا تتخذ من برلين مقراً لها وتلتزم تعزيز الأمن الرقمي وحماية الخصوصية كحقّ أساسي من حقوق الإنسان.
خرج التطبيق الألماني لتعقّب فيروس كورونا إلى العلن أخيراً خلال هذا الأسبوع. وفي حين تسارع الحكومات في مختلف أنحاء العالم إلى اعتماد تطبيقات تعقّب أثر مخالطي مرضى كوفيد-19 في معركتها لمحاربة هذه الجائحة، ترافقت الجهود المبذولة مع نقاشات مهمة بشأن سلامة هذه التكنولوجيا وفعاليتها وضرورتها. أما مقاربة ألمانيا وطريقها نحو تطبيقات تعقّب الأثر فكانت طويلة ومتشعّبة وشابها الكثير من التأخير والتبديل في المسار.
والأن، بعدما أصبح "تطبيق التحذير من كورونا" (Corona-Warn-App) متوفراً للتنزيل على أجهزة المستخدمين، نقدّم لكم هذه الأجوبة عن الأسئلة التي تتعلّق بمواضيع مثل حماية البيانات، والخصوصية، والقوانين التي تحكم التطبيق.
هل يجب عليّ الحصول على التطبيق؟
لا، فتنزيل التطبيق واستخدامه أمران طوعيان. لا يوجد حتى الآن أيّ قانون يحكم التطبيق الذي واجه انتقادات رأت أنّ طبيعته الطوعية يجب أن تكون محمية بموجب القانون. بالإضافة إلى ذلك، قد يؤدي الضغط الاجتماعي أو الضغط الذي يمارسه أرباب العمل إلى الحدّ من حرية الأفراد على اختيار تنزيل التطبيق من عدمه.
هل يجب عليّ تنزيل تطبيق تعقّب أثر جديد في كل مرة أجتاز فيها الحدود بين الدول الأوروبية؟
لا، على الأغلب، فمعظم البلدان الواقعة ضمن منطقة "شنغن" التي يمكن فيها للمواطنين الأوروبيين اجتياز الحدود من دون المرور بالإجراءات الحدودية عمدت إلى التخفيف من قيود السفر. والحكومات الأوروبية التي تستخدم تطبيقات "لامركزية" وافقت على جعل تطبيقاتها لتعقّب الأثر قابلة للتشغيل عبر الحدود، ولكن ليس واضحاً بعد متى سيبدأ تطبيق الأمر. كما أنّ التطبيق الألماني اللامركزي قد لا يكون قابلاً للتشغيل عبر الحدود مع فرنسا مثلاً التي تستخدم نهجاً "مركزياً". ولذلك، سيكون من المفيد التحقق من سياسة تطبيقات تعقّب الأثر في البلد الذي تودّون العبور إليه قبل اجتياز الحدود - ويمكن في هذا الإطار الاستعانة بمنصة "ري أوبن إي يو" (Re-open EU).
ما الفرق بين التطبيقات المركزية وتلك اللامركزية، وما النهج الذي يعمتده التطبيق الألماني؟
مع ازدياد اهتمام الحكومات حول العالم بتكنولوجيا تعقّب الأثر، طرح الباحثون حلولاً مختلفة. ومن الأسئلة المهمة في تصميم أنظمة تعقّب الأثر هو "مركزية" التطبيق أو "لامركزيته"، وفي ما يتعلّق بتطبيقات تعقّب الأثر فإنّ كلا النماذج المركزية واللامركزية تعتمد على السلطة/الهيئة التي تعالج البيانات، بحيث يكمن الفرق في ما تعرفه ولا تعرفه الهيئة (مثل مديرية الصحة العامة). في نموذج التطبيقات المركزية، تعرف الهيئة ما يكفي من المعلومات للاتصال بالأشخاص الذين يمكن أن يكونوا قدّ خالطوا أشخاصاً آخرين تبيّن أنّهم مصابين بالفيروس فيما بعد، وتشمل تلك المعلومات أموراً قد تكون حساسة للغاية مثل العلاقات والارتباطات الشخصية. أمّا في نموذج التطبيقات اللامركزية فتعرف الهيئة فقط معرّفات (identities) المستخدمين الذين بيّن الفحص أنّهم يحملون فيروس كوفيد-19، ويعمد تطبيق تعقّب الأثر إلى مقارنة قائمة معرّفات الأشخاص المصابين بالفيروس مع قائمة معرّفات أولئك الذين خالطوهم واقتربوا منهم، وتجري العملية محلياً على هواتف المسنخدمين.
يمكن أن يشتمل كلّ من النظامين المركزي واللامركزي على مشاكل في الخصوصية، غير أنّ الخطير في النظام المركزي أنّه يفترض أنّ هناك هيئة مركزية واحدة يمكن الوثوق بها للحفاظ على أمان كميات هائلة من البيانات وعدم إساءة استخدامها، ولكن غالباً ما تُساء هذه الأمانة حسبما رأينا مراراً وتكراراً. في المقابل، لا يُرجّح للنماذج اللامركزية المصنوعة بعناية أن تلحق الضرر بالحريات المدنية، وقد اتّخذت "مؤسسة التخوم الرقمية" (Electronic Frontier Foundation) موقفاً واضحاً ضدّ استخدام الأنظمة المركزية لتعقّب أثر مخالطي مرضى كورونا.
عمد الكثير من الحكومات في الاتحاد الأوروبي، بداية، بما في ذلك الحكومة الألمانية، إلى الاعتماد على النهج المركزي قبل أن تتحوّل نحو النظام اللامركزي بعد الانتقادات التي أطلقها باحثون ومنظمات غير حكومية للحقوق الرقمية. و"تطبيق التحذير من كورونا" الألماني يقوم على إطار العمل اللامركزي الذي طوّرته شركتا "آبل" (Apple) و"غوغل" (Google)، وهو خيار غير مثالي لكنّه يراعي الخصوصية أكثر من غيره.
كيف يعمل التطبيق؟
يهدف "تطبيق التحذير من كورونا" إلى إبلاغ المستخدمين في حال خالطوا مستخدمين آخرين بيّن الفحص أنّهم يحملون الفيروس، على افتراض أنّ الكثير من الناس يمتلكون هواتف ذكية ومعظمهم يحمل هذه الهواتف أينما ذهبوا. كما يستفيد تطبيق تعقّب الأثر من تكنولوجيا البلوتوث الموجودة في معظم الهواتف وتسمح بمشاركة البيانات عبر مسافات قصيرة.
أُنشئ التطبيق الألماني على نظام "إشعارات التعرّض لفيروس كورونا" من "آبل" و"غوغل"، وهو نظام يسمح للهواتف بتبادل إشارات بلوتوث قصيرة تحمل أرقام تعريف عشوائية، بحيث يشارك كل هاتف رقم التعريف الخاص به كلّ خمس دقائق تقريباً ويخزّن أرقام التعريف التي تصدرها الأجهزة الأخرى القريبة. وتستخدم الهواتف مفتايح عشوائية يومياً لإنشاء أرقام تعريف جديدة كل بضع دقائق وتخزّنها محلّياً (على جهاز المستدم نفسه) لمدة 14 يوماً.
عندما يكون الأشخاص الذين يضعون التطبيق على هواتفهم قرب بعضهم البعض لفترة من الوقت، تتبادل الهواتف معرّفاتهم بحيث يخزّن كلّ منها معرّفات الآخر. بالإضافة إلى ذلك، تخزّن الهواتف بيانات تفيد في تقييم إصابة المستخدمين بالعدوى، مثل التاريخ، والوقت، ومدّة المخالطة ، وقوة الإشارة.
كيف يعرف التطبيق أنّني أصبت بالفيروس؟
عندما يبيّن الفحص المخبري أنّ شخصاً ما مصاب بفيروس كوفيد-19، يمكنه إبلاغ النتيجة لتطبيق "التحذير من كورونا" من دون أن يكون مجبراً على ذلك. وفي هذه الحالة، بعد الحصول على موافقة الشخص المصاب لمشاركة البيانات، يرسل التطبيق كلّ المفاتيح اليومية التي استخدمها خلال الأيام الأربعة عشر الماضية إلى سيرفر محدّد، بما يتيح معرفة ما إذا كانت مخزّنة على أجهزة مستخدمين آخرين لإرسال تنبيه لهم
يقوم كلّ هاتف يحمل التطبيق بتنزيل قائمة معرّفات المستخدمين الذين تبيّنت إصابتهم بالفيروس، ومن ثمّ يقارن التطبيق هذه القائمة مع قائمة الأجهزة التي التقاها خلال الأسبوعين الأخيرين. لا تحصل عملية المطابقة هذه على سيرفر مركزي بل بطريقة لامركزية باستخدام هواتف المستخدمين. بالإضافة إلى ذلك، لا يمكن للمستخدمين أن يطّلعوا على المعرّفات المحدّدة المرتبطة بالشخص المصاب، بل يُقال لهم إنّهم قد خالطوا شخصاً غير محدّد تبيّن أنّه يحمل فيروس كوفيد-19، ويعرفون اليوم الذي اختلطوا فيه بالشخص المصاب من دون أن يعرفوا الوقت بالتحديد بما يساعد على حماية هوية الشخص.
وبعدما يتأكّد التطبيق أنّ صاحب الهاتف قد خالط شخصاً مصاباً، يعمد مباشرة إلى تقييم خطر إصابة المستخدم بالكوفيد-19 مستفيداً من بيانات تاريخ الاختلاط ومدّته، و قوة إشارة البلوتوث بين جهاز المستخدم وجهاز الشخص الذي خالطه. وبعد تحديد العوامل التي قد تشير إلى تعرّض المستخدم للفيروس بحسب تقييم هيئة الصجة العامة، يخبر التطبيق المستخدم بأنّه قد يكون مصاباً بالعدوى.
لا يُلزَم المستخدمون باتّخاذ أيّة تدابير محدّدة بعد إبلاغهم بخطر إصابتهم بالفيروس، ولا يتوجّب عليهم إبلاغ السلطات الصحية المحلية بعامل الخطر لديهم، وتُترك حرية التصرّف لهم بناءً على درجة المخاطرة (مثل طلب إجراء فحص مخبري أو قضاء فترة من الحجر المنزلي الإرادي) أو تجاهل النتيجة.
هل يحصل التطبيق على اسمي؟
لا، تماشياً مع القانون العام لحماية البيانات (GDPR) الأوروبي، لا يطلب التطبيق إلا القليل من البيانات الشخصية من المستخدم. ولا ينبغي للمستخدمين مشاركة البيانات إلّا في حالات تتعلق بالوظائف التالية:
- الموافقة على استخدام إطار عمل "إشعارات التعرّض لفيروس كورونا"، وهي الواجهة البرمجية التي طوّرها كلّ من "آبل" و"غوغل" والتي تسمح للتطبيق أن يمكّن الهواتف العاملة بنظامي "آي أو إس" من "آبل" و"أندرويد" من "غوغل" بالتواصل.
- أرقام مصادقة التعاملات (TAN) الذي يمكّن المستخدمين من توثيق نتائج الفحوص المخبرية الخاصة بهم.
- الموافقة على تحميل المفاتيح اليومية التي يمكن استخدامها لتوليد معرّفات الجهاز (بعد أن يقدّم المستخدم نتيجة اختبار إيجابية تفيد بإصابته بالفيروس).
كيف يُفترض أن أستفيد من معرفتي بأنّني كنت قريباً من شخص مصاب، في حين لا يمكنني الخضوع للفحص المخبري على أيّة حال؟
لقد تحسّن الوضع في ألمانيا عمّا كان عليه في الأشهر الأولى لانتشار الوباء حيث كان من الصعب إجراء فحص مخبري للتحقّ من الإصاابة بمرض كوفيد-19. يجب على الأشخاص الذين يريدون إجراء فحص مخبري أن يتصلوا بمستشفى محلّي أو طبيب عام أو مختبر طبي، كما تعهّدت ألمانيا بتعزيز قدرات إجراء الفحص المخبري للأشخاص الذين لا تظهر عليهم عوارض الفيروس. وبالنسبة إلى التطبيق، فهو عندما يخبر المستخدمين بخطر إصابتهم بالفيروس يعرض لهم كذلك معلومات الاتصال بالسلطات المحلية ومعلومات إضافية حول الخطوات التي يمكن اتخاذها.
ماذا لو زوّد البعض التطبيق بمعلومات كاذبة؟
لتجنّب قيام بعض المستخدمين بتزويد التطبيق بنتائج اختبار خاطئة، يطلب التطبيق من المرضى تأكيد صحة نتيجة الفحص المخبري الخاصة بهم، وذلك عن طريق أرقام مصادقة التعاملات (TAN) أو رمز استجابة سريعة (QR code). ويعمد التطبيق بعد ذلك إلى تحميل قائمة المعرّفات التي اختلط المستخدم بها خلال الأيام الأربعة عشر الماضية بعد تأكيد صحة نتائج الفحص.
قد تشكّل تقنية البلوتوث التي يستند إليها التطبيق مصدراً محتملاً آخر للمعلومات الخاطئة، فهي لم تُصمّم لدعم جهود تعقّب الأثر، ولذلك من الممكن أن يشتمل الأمر على نتائج إيجابية أو سلبية أو منقوصة.
هل تُحفظ المعلومات بصيغة مجهولة فعلاً؟
أجل، ستُحفظ البيانات بصيغة مجهولة (anonymized)، ما يعني أنّ معلوماتك الشخصية لن تُشارَك مع الأجهزة النقالة التي تقترب منها وتخالطها، ولكنّ هذا لا يعني بالضرور ضمان مجهولية هوية الجميع بالمطلق وفي كل السياقات والأوضاع.
على سبيل المثال، في حال لم تغادر منزلك في الأيام الأربعة عشر الماضية ولم يزرك إلا شخص واحد خلال هذه الفترة، ثمّ وصلك إشعار بأنّك كنت من مخالطي شخص تبيّنت إصابته بالفيروس، يمكنك الاستنتاج بأنّ الشخص الذي زارك هو المصاب.
كيف تُحمى هذه البيانات؟
تُخزّن البيانات التي يجمعها التطبيق على جهازك المحمول، وتُشفّر البيانات داخل التطبيق وفقاً لأفضل الممارسات في القطاع. كما تتضمّن البيانات المخزّنة مفتاحاً واحداً يتغير كل يوم يُستخدم في توليد المعرّفات التي يبثّها التطبيق.
عندما تُؤكّد نتيجة الاختبار الإيجابية، يشارك التطبيق المفاتيح المخزّنة في جهاز المصاب لأربعة عشر يوماً مع السيرفر طوعياً، ومن ثمّ تُرسَل هذه المفاتيح إلى كلّ جهاز يستخدم التطبيق. تستخدم هذه الأجهزة المفاتيح لتحديد معرّفات الجهاز العشوائية الخاصة بالمستخدم المصاب قبل أن تقارنها بقوائم الاتصال المحلية على جهاز المستخدم. وبعد ذلك، تقوم الأجهزة التي تحمل إشارات مطابقة بإخبار أصحابها أنّهم كانوا قريبين من شخص تبيّنت إصابته بالكوفيد-19.
هل تستطيع الحكومة الوصول إلى هذه البيانات؟
لا، فوفقاً لتصميم "تطبيق التحذير من كورونا"، ينبغي ألّا تصل الحكومة إلى سجلّ جهات الاتصال المخزّن على جهازك. تعمد الأجهزة المحمولة إلى تحميل مفاتيحها اليومية (مفاتيح التعرّض المؤقتة" Temporary Exposure Keys)، في حين تنزّلها الأجهزة المحمولة الأخرى لتستنبط مفاتيح لا تتجاوز مدّتها 10 دقائق ("معرّفات التقارب العشوائية" Rotating Proximity Identifiers) وتقارنها مع جهات الاتصال المسجّلة لديها. وهذا يعني أنّ السيرفر وأيّ جهة تشغّله (مثل الحكومة) لا يمكنها استنتاج خريطة قوائم الاتصال الخاصة بك أو بالآخرين (المعلومات التي تخوّلها معرفة الشخص الذي اختلطت معه والتحليل الذي يفسّر ارتباط الأمور ببعضها البعض). وما تفعله التطبيقات هو تحميل المفاتيح فقط من أجهزة المستخدمين الذين تتبيّن إصابتهم بالفيروس وليس سجلات الاتصال ذاتها.
تفترض هذه العملية أنّ الأجهزة المحمولة تعمل بالطريقة نفسها المذكورة في وثائق "غوغل" و"آبل". وفي حين يزعم "تطبيق التحذير من كورونا" أنّه لا يأخذ من الجهاز إلّا بيانات حول إصدار البروتوكول الذي يستخدمه وقوة الإشارة، ليس مستحيلاً للتطبيق الذي يكون مثبتاً على جهازك أن يرفع بيانات إضافية.
هل سيُستخدم التطبيق لتتبّعي أو هل يمكن ذلك؟
يهدف التطبيق إلى دعم عملية تعقّب سلاسل العدوى وليس الوصول إلى موقع المستخدم الجغرافي أو تتبّعه، كما يبدو أنّ المطورين يمتنعون عن استخدام أدوات التحليل والقياس عن بعد لجمع أقلّ قدر ممكن من البيانات الشخصية. في حين قد يكون ممكناً لبرمجيات أخرى أن تتعرّف على بعض المعلومات من البيانات التي يبثّها التطبيق، لا يُرجّح أن يُستخدَم التطبيق كآلية فعالة لتتبّع المواقع الجغرافية، خصوصاً إذا ما قارنّا الأمر مع الممرّات الرقمية الأخرى التي تتركها أجهزتنا. ومع ذلك، تبقى هناك مخاطر ينبغي أخذها بعين الاعتبار.
هل التطبيق مفتوح المصدر؟
أجل، الرموز البرمجية الخاصة بهذا التطبيق متاحة على منصة "غيت هاب" (GitHub) المخصّصة لنشر برمجيات مفتوحة المصدر. وفي حين يمكن لناشر التطبيق أن يستخدم نسخة معدّلة من الرموز البرمجية لجمع المزيد من البيانات الشخصية، لا يُرجّح أن يمرّ هذا التلاعب من دون أن يلاحظه أحد خلال التدقيق في التطبيق الألماني.
ما عدد التطبيقات على تلك المنصّة؟
إلى جانب "تطبيق التحذير من كورونا"، يوجد أيضاً تطبيق "التبرّع بالبيانات" الذي أطلقه "معهد روبرت كوخ"، وهو المؤسسة الألمانية المسؤولة عن الكشف عن الأمراض ومكافحتها والوقاية منها. يسمح التطبيق للمستخدمين أن يشاركوا طوعياً بياناتهم البيومترية المجمّعة بواسطة الأجهزة القابلة للارتداء مثل "فت بت" (FitBit). وقد تعرّض التطبيق للانتقادات بسبب الغموض في الضمانات المقدّمة لحماية البيانات والخصوصية، وحذّرت "مؤسسة التخوم الرقمية" (EFF) بدورها من العواقب السلبية المرتبطة باستخدام الأجهزة القابلة للارتداء لمكافحة فيروس كوفيد-19.
هل سيُزال التطبيق بعد "انتهاء" الأزمة؟
لم تعلن الحكومة الألمانية بعد عن أيّ معايير أو جدول زمني لإزالة التطبيق، غير أنّ النقّاد يدعون إلى وضع تاريخ انتهاء صلاحية للتطبيق. من جهة أخرى، التزمت شركتا "أبل" و"غوغل" علناً بإيقاف نظامهما لإشعارات التعرّض لفيروس كورونا في حال انتفت الحاجة إليه بحسب المنطقة. ويترك التطبيق للمستخدمين الحرية بإلغاء أو تفعيل ميزة تسجيل التعرّض للفيروس التي تمكّن الهواتف من تلقّي المعرّفات المؤقتة للمستخدمين الآخرين. كما يستطيع المستخدمون إزالة التطبيق عن هواتفهم في حال شعروا أنّهم لم يعودا بحاجة إليه. من المعروف أنّ الحكومات غالباً ما تتشبّث بالسلطات الجديدة التي تحصل عليها خلال الأزمات، ولذلك من المهم أن تعمد الحكومة إلى توضيح جدولها الزمني لهذه التكنولوجيا.