وقد تقدمت وزارة الداخلية يوم 5 أوت 2016 لمجلس نواب الشعب بمشروع قانون تعويض بطاقات التعريف الوطنية الحالية بالبطاقات البيومترية، وقد ألحت الوزارة على سرعة النظر في القانون ونقاشه لتتم المصادقة عليه والبدء في تنفيذ المشروع القاضي بتغيير بطاقات التعريف الوطنية إلى بطاقات بيومترية حاملة لشريحة إلكترونية، تتضمن معلومات عن صاحبها.

⬇︎ PDF

تندرج المعطيات الخاصة التي تتضمنها بطاقة التعريف البيومترية ضمن المعطيات الشخصية التي يضمنها الدستور في فصله 24، أي في باب الحقوق والحريات الذي يعد ركنا أساسيا في كل الدساتير. وبالقدر الذي تكتسي فيه هذه الحريات أهمية لأنها متعلقة بالمواطنة بشكل مباشر، فإن الجهات الرسمية لم تول الاهتمام اللازم للمسألة عند تمريرها لنص القانون فقد تم ذلك دون العودة إلى الهيئات الدستورية أو تشريك منظمات المجتمع المدني.

مشروع أحادي الجانب

فعند تقديم وزارة الداخلية صياغة المشروع الأولية للمجلس الوزاري سنة 2014، أثناء تولي مهدي جمعة رئاسة الحكومة، لم تقم بعرض نص القانون على الاستشارة مع الأطراف المعنية، خاصة منظمات المجتمع المدني الناشطة في مجال تأمين المعطيات الشخصية والسلامة المعلوماتية. وتمت إحالة مشروع القانون من المجلس الوزاري إلى مجلس نواب الشعب في صيغة مبهمة وغير واضحة ولا تحتوي التوضيحات اللازمة المتعلقة بطبيعة المعطيات والجِهة الحافظة لها وآليات تأمينها من الاختراق وكيفية التصرف فيها.

هذه المعطيات أكدتها بعض جمعيات المجتمع المدني مثل جمعية بوصلة و”Access now” ومركز الكواكبي للانتقال الديمقراطي، ونصت في اجتماعها المذكور أعلاه أن مشروع قانون وزارة الداخلية “له مقاربة أمنية صرفة ولا يعطي اعتبارا للخصوصية كحق دستوري”.

وقد ورد في الفصل 2 مكرر لمشروع القانون الذي اقترحته وزارة الداخلية إشارة إلى كل الجهات المخول لها الاطلاع على البيانات المضمنة في الشريحة الإلكترونية إلا المواطن نفسه حامل الهوية. و”يترتب عن هذا الفصل أنه في حالة وقوع خطأ في البطاقة (في الفئة الدموية مثلا) فإن إصلاحه مستحيل ويمكن أن يتضرر المواطن من ذلك” حسب ما أكدته وفاء بن حسين رئيسة جمعية Access now لـنواة. وتجدر الإشارة إلى أن المواطن الذي يحاول الدخول لمعرفة بياناته أو فك شفرة الشريحة أو تغيير مكانها يُعاقب بـ5 سنوات سجن.

ويشير تقرير صادر عن جمعية Access now التي تُعنى بالأمن المعلوماتي في العديد من دول العالم، من بينها تونس، أن البطاقة البيومترية تعد آلية ناجعة للتأمين والتحكم الأمثل في الخدمات المقدمة للمواطن دون عناء، لكن نقص التأمين وترك هذه المعطيات عرضة لاحتمالات الاختراق والتوظيف يعد أمرا مناقضا للحقوق الأساسية المتعلقة بحماية المعطيات الشخصية.

هيئة الحماية مرتبكة

قال السيد شوقي قداس، رئيس الهيئة الوطنية لحماية المعطيات الشخصية لـنواة أن :

وزارة الداخلية تمارس نوعا من الترفع والتجاهل لما دأبت عليه الوزارات عند طرح مشاريع القوانين وهو القيام باستشارة للهيئات الدستورية أو شبه الدستورية والمجتمع المدني والمتخصصين كي يكون مشروع القانون تشاركيا وتفاعليا. وزارة الداخلية لا تعترف بهذه الممارسة الديمقراطية.

وأضاف قداس بأنه أقنع وزارة الداخلية بصعوبة حتى يتم تغيير بطاقة التعريف إلى بيومترية عبر قانون يصادق عليه مجلس نواب الشعب عوض أن يكون أمرا ترتيبيا، مشيرا إلى أنه “كان من المقرر أن يكون التغيير مجرد أمر ترتيبي صادر عن وزير الداخلية لأن المسألة متعلقة باختصاص تقني لدى الوزارة حسب رواية الداخلية”.

ورغم تصريحات رئيسها المناوئة لمقاربة وزارة الداخلية فإن الهيئة الوطنية لحماية المعطيات الشخصية لم تصدرـ إلى حد كتابة هذه الأسطر- بيانا أو موقفا رسميا بخصوص بطاقة التعريف البيومترية. وفي هذا السياق أكد رئيس الهيئة الوطنية لحماية المعطيات الشخصية أن “تلكؤ أعضاء الهيئة وتفضيلهم لتأجيل الحديث في مسألة البطاقة الجديدة إلى ما بعد الجلسة العامة للمجلس حول الموضوع وصعوبة جمع أعضاء الهيئة في اجتماع، كلها عوامل تضع اللجنة المسؤولة عن حماية المعطيات الشخصية في صف خلفي يضعف الدور المناط بعهدتها”.

من سيؤمن المعطيات؟

إن حماية المعطيات الشخصية التي سوف تتضمنها الشريحة الالكترونية لبطاقة التعريف البيومترية الجديدة مهمة تواجهها العديد من الصعوبات في الوقت الحالي، من بينها أن تونس لا تمتلك آليات دستورية واضحة تسمح بحماية المعطيات الشخصية، ومن ذلك أن الهيئة الوطنية لحماية المعطيات الشخصية هي أساسا هيئة غير دستورية بالرغم من تعلق مجال نشاطها بأحد الحقوق الرئيسية. وفي تصريحات سابقة، نبه شوقي قداس إلى أن “تجاوزات عديدة حصلت في قضايا تتعلق بالمعطيات الشخصية قامت الهيئة برصدها، وقد صدرت هذه التجاوزات عن وزارة الداخلية وأطراف أخرى كالمصحات الخاصة”.

علاوة على هذا فإن المعطيات الشخصية سيجري النفاذ إليها عبر خطوتين: تتمثل الأولى في فتح الشريحة عبر اسم مستخدم وكلمة سر، ليُرسل ذلك لاحقا إلى قاعدة حفظ البيانات في مكان آخر، الأمر الذي يعزز فرضية الاختراق والعبث بتلك المعطيات ولما لا تسريبها لجهات لها مصلحة في ذلك.

فمثلا كلما اقتنى حريف ما أي منتوج ودفع الثمن ببطاقته البنكية فإن البيانات ستبقى مسجلة في منظومة الحسابات وفيها اسم الحريف ورقم حسابه البنكي والمنتوج الذي اشتراه وثمنه ورقم المعاملة، وهذا ما يمكن أن يكوّن قاعدة بيانات يمكن التصرف فيها من بعد. كما يمكن أن تتم عملية اختراق لقاعدة البيانات المتعلقة بالمواطنين والمسجلة لدى مصالح وزارة الداخلية وفي هذه الحالة يعد الاختراق خطرا حقيقيا. وفي هذا السياق أكد رئيس الهيئة الوطنية لحماية المعطيات الشخصية أن وزارة الداخلية “ليست الجهة التي يمكن أن نثق فيها في حفظ أسرار ومعطيات المواطنين لأنها تتحفظ على آليات تلك الحماية وربما لا تملكها”.

يطرح هذا التصريح عددا من الأسئلة الأخرى التي تتعلق بمنظومة الحماية: من هي الجهة التي ستتحكم في قاعدة البيانات؟ من له السلطة على حمايتها؟ كيف يمكن تأمينها من الاختراق؟ هل لوزارة الداخلية الحق في النفاذ إلى كل المعطيات المتعلقة بالمواطن: أمراضه، حسابه البنكي، عائلته، فصيلة دمه، أبناؤه، إخوته، عناوينه، تعاملاته، الدول التي سافر إليها، الخطايا المالية، السوابق العدلية… هل يمكن لأعوان الأمن الاطلاع على هذه البيانات بسهولة في حالات الإيقاف العادية مثل حملات التثبت من الهوية؟

وتشير بعض المعطيات إلى أن الشركة التي تتعامل معها وزارة الداخلية في ما يخص بطاقات التعريف Gemalto لا تحظى بالثقة المطلوبة حتى تكون في مستوى تأمين شرائح غير قابلة للاختراق، إذ سبق أن تم اختراقها من قبل أجهزة التنصت الاستخباراتية البريطانية والأمريكية والتجسس على المكالمات الهاتفية التابعة للشرائح الالكترونية للشركة المذكورة.

وينتظر جميع المعنيين بهذا القانون ما يمكن أن يقوم به النواب في هذه الإشكالية، خاصة وأن الاتجاه العام ذاهب نحو تمرير القانون دون نقاش متين وجدي للثغرات المطروحة، الأمر الذي يطرح على المجتمع المدني مزيد التحرك والضغط في اتجاه إعادة مشروع القانون إلى مرحلة المقترح والقيام باستشارة موسعة في الغرض.