الخصوصية على الإنترنت.. لماذا لا تعتبر هويتك الشخصية محمية كما تعتقد؟

الخصوصية على الإنترنت.. لماذا لا تعتبر هويتك الشخصية محمية كما تعتقد؟

مدونة م.محمد طعمة

الثلاثاء، ١٧ يوليو ٢٠١٨

في ظل التطور التكنولوجي الذي نعيشه اليوم والذي يُسهل الوصول إلى بياناتنا الشخصية من خلال استخدام الهواتف الشخصية، أو الحواسيب المتصلة بالإنترنت أو من خلال تتبعنا أثناء استخدام تطبيقات معينة، أصبح من الصعب جدًا على الإنسان أن يحافظ على خصوصيته، فهل حان الوقت لنتخلى عن مبدأ حماية الخصوصية نهائيًا؟
 
أصدرت الحكومة الأسترالية في شهر أغسطس لعام  2016 مجموعة بيانات مجهولة المصدر تضم سجلات الفواتير الطبية بما في ذلك كل وصفة طبية وجراحة لعدد 2.9 مليون شخص دون موافقتهم على ذلك، وكان ذلك انتهاك واضح لمبدأ الخصوصية.
 
تم إزالة الأسماء وغيرها من الميزات التعريفية من السجلات في محاولة لحماية خصوصية هؤلاء الأفراد، ولكن سرعان ما اكتشف فريق بحث من جامعة ملبورن أنه من السهل إعادة التعرف على الأشخاص الذين نُشرت بياناتهم والتعرف على تاريخهم الطبي بالكامل دون موافقتهم، وذلك من خلال مقارنة مجموعة البيانات بالمعلومات الأخرى المتاحة للجمهور مثل تقارير المشاهير الذين لديهم أطفال أو رياضيون يتم إجراء عمليات جراحية لهم، لذلك قامت الحكومة بسحب البيانات من موقعها الإلكتروني، ولكن بعد أن تمكن مستخدمي الإنترنت من تنزيلها 1500 مرة.
 
يعتبر ذلك هو أحد الأمثلة العديدة على نشر المعلومات التي تبدو غير محددة الهوية ولا تضر بالخصوصية ولكنها قد تكون كابوسًا يهدد الخصوصية. و يزداد الأمر سوءًا عندما يقضي الناس مزيدًا من حياتهم عبر الإنترنت، حيث يمكن تتبعهم بكل سهولة من خلال بياناتهم الرقمية والتي يمكن الإستدلال من خلالها على هويتهم،واستغلالها لانتهاك خصوصيتهم بطرق لم يتوقعوها أبدًا.
 
تمكن باحثون ألمان من التعرف على الأشخاص استنادًا إلى أنماط تصفح الويب المجهولة الخاصة بهم. وأظهر باحثون من جامعة كوليدج لندن هذا الأسبوع كيف يمكنهم تحديد مستخدم تويتر على أساس البيانات الوصفية المرتبطة بتغريداتهم، في حين كشف تطبيق بولر Polar لتتبع مستوى اللياقة البدنية عن منازل وحياة الأشخاص الذين يمارسون التمارين في مواقع سرية مثل وكالات الاستخبارات والقواعد العسكرية.
 
قال فانيسا تيج أحد الباحثين في جامعة ملبورن للكشف عن العيوب في البيانات الصحية المفتوحة: “قد يتظاهر البعض أنه من الصعب إعادة التعرف على الأشخاص، ولكن الأمر كان سهلًا جدًا، حيث أن أنواع الأشياء التي قمنا بها يمكن لأي طالب يدرس علوم البيانات في السنة الأولى أن يفعلها”.
 
حدث واحد من أقدم الأمثلة على هذا النوع من انتهاك الخصوصية في عام 1996 عندما أصدرت لجنة تأمين مجموعة ماساتشوستس بيانات مجهولة المصدر تظهر زيارات المستشفى لموظفي الدولة. كما هو الحال مع البيانات الأسترالية، وقامت الدولة بإزالة المعرّفات الواضحة مثل الاسم والعنوان ورقم الضمان الاجتماعي، ثم أكد المحافظ ويليام ويلد للجمهور أن خصوصية المرضى محمية.
 
ولكن لاتانيا سويني Latanya Sweeney – وهي خريجة علوم الكمبيوتر والتي أصبحت فيما بعد مسؤول التكنولوجيا الرئيسي في لجنة التجارة الفيدرالية – أظهرت أن ويلد كان مخطئًا من خلال العثور على سجلاته الطبية في مجموعة البيانات. حيث استخدمت سويني الرمز البريدي وتاريخ الميلاد الخاصين بويلد مأخوذين من قوائم الناخبين، وتمكنت من معرفة أنه زار المستشفى في يوم معين بعد أن انهار خلال حفل عام،وبهذا تمكنت من تعقبه وأرسلت سجلاته الطبية إلى مكتبه.
 
في دراسة أخري  أظهرت سويني أن 87% من سكان الولايات المتحدة يمكن تحديد هويتهم بشكل فريد من خلال تاريخ ميلادهم ونوع جنسهم ورموزهم البريدية المكونة من خمسة أرقام. وقالت في شهادة أمام لجنة الخصوصية في وزارة الأمن الداخلي: “النقطة هي أن البيانات التي قد تبدو مجهولة الهوية ليست بالضرورة أن تكون مجهولة حيث أن التصميم العكسي لها يمكننا من تحديد هويات الأشخاص”.
 
وفي الآونة الأخيرة، أظهر إيف ألكسندر دي مونتجوي وهو باحث في الخصوصية الحاسوبية كيف يمكن تحديد الغالبية العظمى من السكان من الأنماط السلوكية التي كشفت عنها بيانات الموقع من الهواتف المحمولة، وذلك من خلال تحليل قاعدة بيانات الهاتف المحمول للمواقع التقريبية على أساس أقرب برج خلوي من 1.5 مليون شخص على مدار 15 شهرًا، بدون معلومات تعريفية أخرى كان من الممكن تحديد 95% من الأشخاص الذين لديهم أربع نقاط بيانات فقط من الأماكن والتوقيتات، وفي مرات كان من الممكن تحديد حوالي 50% من خلال نقطتين فقط، ويمكن أن تأتي النقاط الأربع من المعلومات المتاحة للجمهور متضمنة عنوان منزل الشخص وعنوان العمل ومشاركات تويتر الموسومة بالمواقع الجغرافية.
 
قال دي مونتجوي: “بيانات الموقع الجغرافي الخاصة بالمستخدم تعتبر كبصمة الإصبع، إنها جزء من المعلومات التي يحتمل أن تكون موجودة عبر مجموعة واسعة من مجموعات البيانات ويمكن استخدامها كمعرف عالمي، لا سيما بالنسبة للسكان العاملين”.
 
وقالت آنا جونستون مديرة شركة سالينجر المتخصصة في مجال الخصوصية: “أنت تنتقل من المنزل إلى العمل والعودة مرة أخرى في أنماط عادية إلى حد ما، ولكن هذا يحمل الكثير من البيانات عنك وعن عملك”.
 
وأوضحت أنه حتى إذا لم تكشف بيانات الموقع عن هوية أحد الأفراد، فلا يزال بإمكانها تعريض مجموعات من الأشخاص للخطر. على سبيل المثال ما حدث عندما أصبحت خريطة عامة صادرة عن تطبيق اللياقة البدنية سترافا Strava عن غير قصد خطراً على الأمن القومي، حيث كشفت عن موقع وتحركات الأشخاص في قواعد عسكرية سرية.
 
في عام 2015  أظهر دي مونتجوي أنه من الممكن التعرف على مالك بطاقة ائتمان من بين ملايين الرسوم مجهولة المصدر بمجرد معرفة عدد قليل من مشتريات ذلك الشخص.
 
بعد حصوله على أسماء ومواقع المحلات التجارية التي تمت فيها عمليات الشراء، والتواريخ التقريبية ومبالغ الشراء، تمكن دي مونتجوي من التعرف على 94% من الأشخاص من خلال النظر إلى ثلاث عمليات شراء فقط. وهذا يعني أن شخصًا ما يمكنه العثور على صورة إنستاجرام التي تتناول فيها القهوة مع الأصدقاء، وتغريدة عن عملية شراء حديثة وإيصال قديم، وسيكون بإمكانه مطابقته مع سجل الشراء بالكامل.
 
وقد أظهر مونتجوي وآخرون مرارًا وتكرارًا أنه من غير الممكن ببساطة إخفاء البيانات المتعلقة بالأفراد بغض النظر عن مدى تأمين هذه البيانات، ربما كان ذلك قد نجح في الماضي، لكنه لم يعد يفيد الآن.
 
من الصعب جدًا للأفراد القيام بشيء لحماية أنفسهم من هذا النوع من اختراق الخصوصية:
 
قال أرفيند نارايانان أستاذ علوم الكمبيوتر في جامعة برينستون: “بمجرد أن تحصل إحدى الجهات على بياناتنا، فإنها تعمل على تخزينها إلى الأبد، فهناك شركات تتخصص في جمع البيانات عنا من مصادر مختلفة لإنشاء ملفات افتراضية وإنشاء تطبيقات لاستخراج البيانات للتأثير علينا بطرق مختلفة”.
 
من الممكن تقليل مسار التنقل الرقمي الفردي عن طريق الدفع نقدًا فقط والتخلص من الهاتف المحمول، ولكن هذا ليس حلاً عمليًا في الوقت الحالي.
 
قال الباحث الأمني كريس فيكري: “إذا كنت تريد أن تكون عضوًا فاعلًا في المجتمع، فلن تكون لديك القدرة على تقييد كمية البيانات التي يتم الحصول عليها منك إلى مستوى معين”.
 
كما أنه يجعل من الصعب للغاية على الفرد إعطاء الموافقة المسبقة حول طريقة جمع بياناته من خلال أي تطبيق أو خدمة، كما أن الوعود التي تقدمها الشركات بعدم مشاركة معلومات التعريف الشخصية لا معنى لها عندما يكون من السهل إعادة تحديد شخص ما.
 
وقال دي مونتجوي: “الأمر ينبع من التنظيم الجيد والتنفيذ السليم، مضيفاً أن اللائحة العامة لحماية البيانات GDPR هي خطوة في الاتجاه الصحيح”.
 
وقال جونستون: “أحد أوجه القصور في قانون الخصوصية هو أنه يدفع الكثير من المسؤولية إلى المستهلك في بيئة ليست مجهزة بشكل جيد لفهم المخاطر، لذلك ينبغي دفع المزيد من المسؤولية القانونية إلى المسؤولين عن حماية هذه البيانات، مثل الحكومات والباحثين والشركات”.
 
لا يزالدي مونتجوي متفائلاً حيث يشير إلى الإمكانات الهائلة لمجال البيانات الضخمة  Big Data، خاصةً فيما يتعلق بالأبحاث الطبية والعلوم الاجتماعية.
 
يقترح أنه بدلاً من إطلاق مجموعات كبيرة من البيانات، ينبغي على الباحثين والحكومات تطوير واجهات تسمح للآخرين بطرح الأسئلة على البيانات دون الوصول إلى الملفات المُخزنة على الخوادم.
 
حيث قال: “الفكرة هي عدم فقدان السيطرة على البيانات ولكن هي ضمان عدم الكشف عن هويتها، حماية الخصوصية ليس أمر مستحيل، نحن في حاجة إلى معرفة الطرق الصحيحة للوصول إليها فقط”.