جلسة العمل الوزارية حول مشروع بطاقة التعريف البيومترية وجواز السفر البيومتري، التي جمعت كلا من وزير الداخلية وكاتب الدولة لدى وزير الشؤون الخارجية والهجرة والتونسيين بالخارج ورئيسة الهيئة الوطنية لحماية المعطيات الشخصية يوم 8 نوفمبر، لم تسبقها لقاءات حوارية أو ورشات عمل مع منظمات المجتمع المدني والخبراء والمختصين.. وتمت الموافقة المبدئية على النسخة الجديدة من مشروع القانون على أن يتم عرضها أمام مجلس وزاري ثم على البرلمان من أجل المصادقة عليها ولم يتم تداول مسودة النص القانوني أو التعرف عليها من قبل عموم التونسيين والتونسيات لتكون موضوعا للنقاش والتداول.
مشروع في نسخة ثالثة لبطاقة التعريف البيومترية وجواز السفر البيومتري، لم يتم نشره أو مناقشته أو حتى التعرف على الخطوط العريضة لمحتوياته، يأتي بعد نسختين تم تداولهما بالنقاش داخل مجلس نواب الشعب وتقديم التخوفات والتحفظات والتعديلات في شأنهما.
نسخة أولى، تم تقديمها في أوت 2016 لمجلس نواب الشعب من قبل وزارة الداخلية بغرض استبدال بطاقة التعريف المعمول بها حاليا ببطاقة تعريف حاملة لشريحة الكترونية. وناقشت لجنة الحقوق والحريات مشروع القانون سنة 2017 مع الاستماع لمختلف الجهات المعنية وتمت المصادقة عليه وإحالته للنقاش في جلسة عامة غير انه تم تأجيل ذلك وإعادته في شهر جويلية من جديد للجنة الحقوق والحريات. وفي شهر جانفي من سنة 2018 اجتمعت اللجنة واعتمدت مقترحات التعديل المتعلقة بحماية المعطيات الشخصية، غير أنه وقبل يوم من إحالته على التصويت في جلسة عامة قامت وزارة الداخلية بسحب مشروع القانون.
ونسخة ثانية، تم تقديمها من قبل رئاسة الحكومة في جوان 2020، واحتوت على مشروعين منفصلين، مشروع خاص ببطاقة التعريف البيومترية ومشروع آخر يتعلق بجواز السفر الالكتروني. وفي جويلية 2021، انطلقت لجنة الحقوق والحريات في نقاش مشاريع القانونين ليتوقف عملها بعد يوم 25 جويلية وإعلان الرئيس قيس سعيد عن تجميد الحكومة وتعليق عمل البرلمان ثم حله.
وعاد الحديث مرة ثالثة عن مشروع القانون الخاص ببطاقة التعريف البيومترية وجواز السفر البيومتري في جانفي 2022 أين أعلنت وزارة الداخلية عن اعتزامها استئناف العمل على إنجاز المشروع والتعجيل في تنفيذه، لتأتي نسخة يوم 8 نوفمبر 2023 كنهاية لهذا المسار.
وامتنعت وزارة الداخلية عن تقديم أي توضيحات في خصوص فحوى مشروع القانون، فلم تتفاعل أو تقدم إجابات عن مراسلة "الصباح" التي أرادت من خلالها الاطلاع إن كانت النسخة الحالية تتمة للنسخ السابقة وهل أخذت بعين الاعتبار التوصيات والتنقيحات المقترحة من قبل منظمات المجتمع وخاصة في ما يتعلق بآلية تخزين المعطيات البيومترية؟
ماهي بطاقة التعريف البيومترية؟
حسب مسودة المشاريع السابقة الخاص ببطاقة التعريف البيومترية. يتعين على كل مواطن تونسي يفوق عمره الـ15 عاما، عوض عن 18 سنة حسب بطاقة التعريف القديمة، أن يقدم لوزارة الداخلية كلا من بصمته وصورته الشخصية وهو ما سيؤدي إلى جمع كل المعطيات الحسّاسة للمواطنين والمواطنات كافة في مكان واحد لغرض التعرف على الأشخاص في إطار الإدارة الإلكترونية. واستنادا لتصريحات مسؤولين في وزارة الداخلية التونسية قاعدة البيانات البيومترية التي سيتم إنشاؤها تهدف الى دحض أي محاولات لاستنساخ بطاقات تعريف مفقودة أو مسروقة.
ويوضح شريف القاضي محلل سياسات بمنظمة "اكسس ناو"، أن البطاقة البيومترية، مثلما يدل اسمها هي متكونة من جزأين، "البيو" وهو المعطى البيولوجي الخاص بكل واحد منا، لا يتكرر، متفرد، على غرار بصمة الوجه أو الإصبع أو العين.. و"مترية" وتعني القياس. وبالتالي فهي بطاقة تعتمد على معطى بيولوجي بغرض تحديد هوية الشخص. ويتم تسجيل المعطي البيولوجي ورقمنته. وانطلاقا منه يقع التعرف على الأفراد. وأشار انه وقبل اعتماد بطاقة التعريف البيومترية سيكون من الضروري المرور بداية بمرحلة تسجيل بياناتنا البيولوجية.
تسجيل البيانات وضرورات التخزين..
كانت الآلية التي سيتم اعتمادها في تسجيل البيانات البيولوجية لعموم التونسيات والتونسيين، من ابرز النقاط الخلافية في المشاريع المقدمة بخصوص بطاقة التعريف البيومترية على امتداد السبع سنوات الماضية. وكشفت مصادر موثوقة أنها كانت وراء سحب القانون في مرحلته الأولى يوما قبل مناقشة القانون في جلسة عامة.
ويفرض المرور الى مرحلة التسجيل تحديد خيار اعتماد آلية التسجيل على الشريحة فقط أو اعتماد التسجيل في الشريحة وقاعدة بيانات في نفس الوقت.
ويقول شريف القاضي "تقنيا آليتا التسجيل مختلفتان وتعتبر من النقاط الخلافية بين منظمات المجتمع المدني والجانب الحكومي خلال طرحهما لمشاريع القانونين السابقين في 2016 و2020.
وكشف القاضي أن لقاء أخيرا عقد سنة 2022، من قبل وزارة الداخلية وسجل حضور منظمات وأمنيين وغابت عنه هيئة حماية المعطيات الشخصية، وتم خلالها تقديم عرض يتبنى آلية اعتماد قاعدة البيانات.
وينبه محلل السياسات بمنظمة "اكسس ناو"، هناك فرق بين بطاقة التعريف البيومترية وجواز السفر البيومتري، فهما وثيقتان مختلفتان وليس لهما نفس الاستعمال. وخلال السنوات الماضية سجل خلط بينهما في التناول.
وفسر، جواز السفر وثيقة اختيارية يقوم المواطن التونسي باستخراجها في مرحلة ما من حياته، في حين أن بطاقة التعريف الوطنية وثيقة إجبارية، كل التونسيين والتونسيات مطالبون في سن الثمانية عشرة عاما باستخراجها، طبقا للقانون عدد 27 لسنة 1993 الذي يقول إن "بطاقة التعريف الوطنية وجوبية بالنسبة إلى المواطنين من كلا الجنسين البالغين من العمر ثماني عشرة سنة على الأقل." وعدم الاستظهار بها يعرض الفرد لخطية مالية "كل المواطنين الملزمين بحمل بطاقة التعريف الوطنية طبقا لأحكام هذا القانون ان يستظهروا بها عند كل طلب من قبل أعوان الأمن الوطني والحرس الوطني، وإلا استهدفوا إلى خطية مالية قدرها خمسة دنانير."
وباعتبار أن المعطى البيومتري معطى خاص وحساس للغاية، فبصمة اليد أو بصمة الوجه هي فريدة ولا يوجد مثال لها في العالم، وتقديم الفرد منا لها لجهة بعينها يجب أن يكون على قاعدة الضرورة القصوى، ولجهة مستأمنة عليها ولا يتم استعمالها لغايات غير معلنة، وتوفر الكثير من الحماية لتلك المعطيات.
خطر التخزين في قاعدة بيانات
ويوضح شريف القاضي أنه بقدر ما تكون المعطيات المجمعة والمخزنة، مهددة بسوء استعمال أو اختراق أو قرصنة، فيجب إدراك أنه لا يمكن تدارك ذلك من قبل أي جهاز أو آلية. وعلى عكس بقية المعطيات الشخصية، لا يمكن تغيير البيانات البيومترية في حال سرقتها أو تسريبها، ولا يمكن جبر الضرر في حال وقوعه. وعندها أي شخص يمكن أن ينتحل صفتك.
ويشدد، إننا في باعتماد بطاقة التعريف البيومترية فنحن بصدد التعامل مع معطيات حساسة جدا، وخاصة إذا كنا سنتجه الى تجميعها كلها في قاعدة بيانات واحدة. وأفاد انه مهما كانت الوسائل الحمائية الأمنية المستعملة من ناحية السلامة المعلوماتية ومن ناحية الخبرات لا يوجد نظام ضمن الأمن السيبرني غير معرض لمشاكل أو اختراقات أو ثغرات الخ...
وأمام أن هذا الاختيار، وهو تخزين كل معطيات التونسيات والتونسيات البيومترية في قاعدة بيانات واحدة، أمر يهم المجتمع ككل والدولة التونسية وسيادتها على معطيات مواطنيها. فمن الضروري أن نطرح سؤال: أن هل الدولة التونسية لها السيطرة على التكنولوجيا من ألفها الى يائها؟ الإجابة ستأخذ بعين الاعتبار انه مهما كان مستوى التشفير ومهما كانت آليات الحماية المعتمدة جميع المنظومات معرضة للاختراق. ولذلك في علاقة بما هو سيبرني نقول إن المعلومة التي لسنا في حاجة ملحة وضرورية لها لا نقوم بتخزينها. وهنا وأمام وجود ولو فرضية واحدة للاختراق أو تسريب المعطيات الخاصة بكل التونسيات والتونسيين، ليس هناك ضرورة لاعتماد منظومة تخزين.
والحل موجود حسب محلل السياسات بمنظمة "اكسس ناو". ففي حال اتجهنا الى اعتماد بطاقة التعريف البيومترية يمكن تسجيل المعطيات البيومترية على الشريحة الموجودة على البطاقة فقط دون تخزينها في منظومة تخزين، ويتم التثبت من حامل البطاقة عبر التثبت من مدى تجانس الهوية الموجودة بالشريحة مع البصمة البيومترية التي سيتم اختيارها. وفي نفس الوقت الاكتفاء باعتماد المعطي البيومتري في جواز السفر فقط باعتبار انه يتنزل ضمن ممارسة دولية وتعتمدها منظمة الطيران المدني. ويشير الى أنها طريقة معتمدة في تجارب مقارنة على غرار ألمانيا أين تحتفظ مؤسسات الدولة بالبيانات لمدة 30 يوما فقط ثم يتم فسخها.
تخوفات وتحفظات..
ولاقى المشروع الأول والثاني لبطاقة التعريف البيومترية، تخوفات وتحفظات لدى منظمات المجتمع المدني التونسي والمدافعين على الحقوق والحريات، واعتبروا أنها تحمل تهديدا للمعطيات الشخصية. وصارت في الغرض بيانات موحدة ممضاة من قبل جمعيات ومنظمات دعت الى إلغاء القانون وعدم اعتماد المعطيات البيولوجية في بطاقة التعريف. ونبه شريف القاضي محلل السياسات بمنظمة "اكسس ناو"، الى أن الشيطان يكمن في التفاصيل، وأن حماية المعطيات الشخصية كحق أساسي للإنسان والمواطن هو أهم بكثير من التطور التكنولوجي.
واعتبر أنه في حال كان بالإمكان اعتماد آلية أخرى غير البيومتري للتثبت وإثبات هوية الأفراد، ليس هناك ضرورة لاعتماد المعطى البيومتري. فلا حاجة لاستعمال معطى حساس جدا فقط من أجل مواكبة تكنولوجية.
والنقطة الثانية التي تساءل حولها القاضي، هي في حال وضع قاعدة البيانات وتجميع كل معطيات التونسيين والتونسيات البيومترية، ما هي الجهة التي ستتكفل بتجميع هذه المعطيات؟ ومن له الحق في النفاذ إليها؟ وما هي المدة التي سيتم فيها الاحتفاظ بهذه المعطيات؟ وأين سيتم تخزينها؟ وما هو نوع الشريحة التي سيتم اعتمادها؟ وأشار الى أن مسودات المشاريع السابقة التي تم تقديمها للنقاش لم تحدد أيا منها، مكان حفظ البيانات البيومترية ومدة الاحتفاظ بها والجهات التي يُرخص لها الاطلاع عليها وآليات تأمين قاعدة البيانات. وحتى مع التنصيص على هذه التخوفات من قبل منظمات المجتمع المدني لم تتفاعل أو يصدر عن الهياكل الحكومية المعنية أي رد.
والجانب الثاني الذي يثير التخوفات هو الجانب التشريعي، فبطاقة التعريف البيومترية تقوم على مرجعية تشريعية غير محينة، وهو قانون قديم لحماية المعطيات الشخصية الذي يعود لسنة 2004، لا يحتوي على فصول تهم المعطيات البيومترية أو كل ما هو معطيات الكترونية.. كما لا يتماشى القانون المذكور مع التزامات الدولة التونسية بحماية المعطيات الشخصية، وخاصة منها اتفاقية مجلس أوروبا عدد 108، التي صادقت عليها تونس سنة 2017، وخاصة بحماية الأفراد في ما يتعلق بالية معالجة بيانات الأفراد الشخصية وحمايتها، وتوسع مجالات تدخل هيئة حماية المعطيات الشخصية وتمكينها من سلطة أكبر.
ويذكر شريف القاضي أن المنظومة المعلوماتية التونسية قد تعرضت في عديد المرات لمحاولات اختراق وهجمات إلكترونية، آخرها كان الاستهداف للبنك المركزي التونسي (أهم منظومة بنكية وطنية) ونبهت بعده وزارة تكنولوجيا الاتصال المؤسسات البنكية العامة والخاصة من مخاطر هجمات برمجيات ابتزاز (ransomwares) شكلت خطرا حقيقيا في الهجمة التي استهدفت البنك المركزي.
مشروع مكلف في وضع اقتصادي حرج
تعزم الدولة التونسية اليوم حسب بيان وزارة الداخلية الصادر في 8 نوفمبر 2023، المرور الى بطاقة التعريف البيومترية وجواز السفر البيومتري في اقرب الآجل، إيفاء بالتزامات تونس الدولية، والتي تقضي بالعمل بوثائق سفر قابلة للقراءة الآلية تحمل شريحة تحتوي على بيانات بيومترية بحلول سنة 2024.
وتتكتم الهياكل المعنية على الكلفة العامة التي ستكون لخطوة تغيير بطاقات التعريف وجوازات السفر الحالية بأخرى بيومترية، ويخيم غياب الشفافية على الميزانية المخصصة للمشروع. ففي الوقت الذي أفادت فيه الوزارة في مارس 2021 بأن التكلفة ستكون في حدود الـ45 مليون دينار أفاد شريف القاضي انه وفي ورشة عمل حضرتها منظمة "اكسس ناو" في فيفري 2022، ردت الوزارة عن السؤال بأن المبلغ يقدر حاليا بقرابة 60 مليون دينار. مع التذكير أن مشروع قانون المالية المعروض على اللجان للمناقشة لم يحتو مخصصا ماليا ودعما واضحا لتنفيذ مشروع بطاقات التعريف البيومترية أو جواز السفر البيومتري.
ويثير عدم الشفافية في ما يتعلق بالميزانية التي سيتم رصدها لتنفيذ المشروع المذكور تخوفات مضاعفة لدى المتابعين والمراقبين، فيرون أن اعتزام الدولة ومن ورائها وزارة الداخلية القيام بتنازلات لتطبيق المشروع بالرغم من قلة الموارد والأزمة الاقتصادية التي تمر بها البلاد، فذلك يزيد من حجم المخاوف حول الخطر الذي قد يشكله وتداعيات ذلك على ما المستوى التقني والأمني الموجه لحماية المعطيات الشخصية.
تجارب مقارنة
اتجهت عديد الدول في العالم الى اعتماد بطاقات التعريف وجوازات السفر البيومترية، واختلفت في العموم طريقة تعاملها مع المعطيات الشخصية الخاصة بمواطنيها ومواطناتها. ففي وقت اعتمدت ألمانيا مثلا على الاكتفاء بتخزين المعطيات البيولوجية على شريحة بطاقات التعريف كطريق للحماية وحافظ تعلى خصوصية مواطنيها، اتجهت فرنسا الى توفير أقصى ما يمكن من التكنولوجيا والطاقات والتجهيزات لتأمين قاعدة البيانات الخاصة بتخزين المعطيات. وسبق تلك الخطوة مشاورات وحوارات ونقاشات حول كيفية تخزينها والجهة المشرفة عليها.
وبعيدا عن أوروبا، تأتي تجربة منظومة "اذار" الهندية التي أثارت الكثير من الحبر منذ انطلاقتها، حيث وأمام محدودية الحماية التي وفرتها الدولة الهندية لتأمين قاعدة البيانات الخاصة بتخزين معطيات مواطنيها تعرضت المنظومة الى عديد الاختراقات المتتالية تراوحت بين اختراق من قبل جهاز المخابرات الأمريكية مرورا بشبكات إجرامية وصولا الى الاختراقات لغايات اقتصادية أو سياسية انتخابية.. ليجد الهنديون بسبب "هفوة أمنية" معطياتهم البيومترية عرضة للاختراق والقرصنة عاجزين عن تدارك ذلك بعد أن وضعت الدولة قاعدة بياناتهم في مرمى الاختراق دون حماية.
ومن المهم أن يتم التذكير بأن المشاورات العامة والحوار مع المجتمع المدني والمؤسسات الوطنية والخبراء المعنيين يبقى ضمانا ضروريا ليكون القانون المتعلق بشكل مباشر بالحق في الخصوصية وحماية المعطيات الشخصية، مكرسا للمبادئ الأساسية لحقوق الإنسان وامتثالا لدستور 2022 الذي ينص على أن الدولة “تحمي الحياة الخاصة، وحرمة المسكن، وسرية المراسلات والاتصالات والمعطيات الشخصية.”
ضرب الحق في الخصوصية
الاتجاه نحو تجميع المعطيات البيومترية للتونسيين والتونسيات في منظومة تخزين واحدة، ترى منظمات المجتمع المدني انه من شانه أن يمثل مصدرا لضرب حق أساسي للمواطنين والمواطنات التونسيين وهو الحق في الخصوصية خاصة في ظل حجم الغموض وعدم الشفافية المسجل في تعامل الجانب الرسمي مع مشاريع القوانين المقدمة سلفا. واعتماد بطاقة التعريف البيومترية، مع وضعية قانونية غير محينة وغير مواكبة على الصعيد الأمني والجهة المشرفة غير محددة والية الحماية منقوصة، من شأنه أن يمكن الجهات الحكومية التي تمتلك حق الولوج إلى قاعدة البيانات من تصنيف للمواطنين ومراقبتهم مراقبة شاملة. لتتحول المنظومة الرقمية إلى وسيلة تمسّ بشكل كبير من الحق الأساسي للمواطنين والمواطنات التونسيين في الخصوصية.
ريم سوودي
تونس-الصباح
جلسة العمل الوزارية حول مشروع بطاقة التعريف البيومترية وجواز السفر البيومتري، التي جمعت كلا من وزير الداخلية وكاتب الدولة لدى وزير الشؤون الخارجية والهجرة والتونسيين بالخارج ورئيسة الهيئة الوطنية لحماية المعطيات الشخصية يوم 8 نوفمبر، لم تسبقها لقاءات حوارية أو ورشات عمل مع منظمات المجتمع المدني والخبراء والمختصين.. وتمت الموافقة المبدئية على النسخة الجديدة من مشروع القانون على أن يتم عرضها أمام مجلس وزاري ثم على البرلمان من أجل المصادقة عليها ولم يتم تداول مسودة النص القانوني أو التعرف عليها من قبل عموم التونسيين والتونسيات لتكون موضوعا للنقاش والتداول.
مشروع في نسخة ثالثة لبطاقة التعريف البيومترية وجواز السفر البيومتري، لم يتم نشره أو مناقشته أو حتى التعرف على الخطوط العريضة لمحتوياته، يأتي بعد نسختين تم تداولهما بالنقاش داخل مجلس نواب الشعب وتقديم التخوفات والتحفظات والتعديلات في شأنهما.
نسخة أولى، تم تقديمها في أوت 2016 لمجلس نواب الشعب من قبل وزارة الداخلية بغرض استبدال بطاقة التعريف المعمول بها حاليا ببطاقة تعريف حاملة لشريحة الكترونية. وناقشت لجنة الحقوق والحريات مشروع القانون سنة 2017 مع الاستماع لمختلف الجهات المعنية وتمت المصادقة عليه وإحالته للنقاش في جلسة عامة غير انه تم تأجيل ذلك وإعادته في شهر جويلية من جديد للجنة الحقوق والحريات. وفي شهر جانفي من سنة 2018 اجتمعت اللجنة واعتمدت مقترحات التعديل المتعلقة بحماية المعطيات الشخصية، غير أنه وقبل يوم من إحالته على التصويت في جلسة عامة قامت وزارة الداخلية بسحب مشروع القانون.
ونسخة ثانية، تم تقديمها من قبل رئاسة الحكومة في جوان 2020، واحتوت على مشروعين منفصلين، مشروع خاص ببطاقة التعريف البيومترية ومشروع آخر يتعلق بجواز السفر الالكتروني. وفي جويلية 2021، انطلقت لجنة الحقوق والحريات في نقاش مشاريع القانونين ليتوقف عملها بعد يوم 25 جويلية وإعلان الرئيس قيس سعيد عن تجميد الحكومة وتعليق عمل البرلمان ثم حله.
وعاد الحديث مرة ثالثة عن مشروع القانون الخاص ببطاقة التعريف البيومترية وجواز السفر البيومتري في جانفي 2022 أين أعلنت وزارة الداخلية عن اعتزامها استئناف العمل على إنجاز المشروع والتعجيل في تنفيذه، لتأتي نسخة يوم 8 نوفمبر 2023 كنهاية لهذا المسار.
وامتنعت وزارة الداخلية عن تقديم أي توضيحات في خصوص فحوى مشروع القانون، فلم تتفاعل أو تقدم إجابات عن مراسلة "الصباح" التي أرادت من خلالها الاطلاع إن كانت النسخة الحالية تتمة للنسخ السابقة وهل أخذت بعين الاعتبار التوصيات والتنقيحات المقترحة من قبل منظمات المجتمع وخاصة في ما يتعلق بآلية تخزين المعطيات البيومترية؟
ماهي بطاقة التعريف البيومترية؟
حسب مسودة المشاريع السابقة الخاص ببطاقة التعريف البيومترية. يتعين على كل مواطن تونسي يفوق عمره الـ15 عاما، عوض عن 18 سنة حسب بطاقة التعريف القديمة، أن يقدم لوزارة الداخلية كلا من بصمته وصورته الشخصية وهو ما سيؤدي إلى جمع كل المعطيات الحسّاسة للمواطنين والمواطنات كافة في مكان واحد لغرض التعرف على الأشخاص في إطار الإدارة الإلكترونية. واستنادا لتصريحات مسؤولين في وزارة الداخلية التونسية قاعدة البيانات البيومترية التي سيتم إنشاؤها تهدف الى دحض أي محاولات لاستنساخ بطاقات تعريف مفقودة أو مسروقة.
ويوضح شريف القاضي محلل سياسات بمنظمة "اكسس ناو"، أن البطاقة البيومترية، مثلما يدل اسمها هي متكونة من جزأين، "البيو" وهو المعطى البيولوجي الخاص بكل واحد منا، لا يتكرر، متفرد، على غرار بصمة الوجه أو الإصبع أو العين.. و"مترية" وتعني القياس. وبالتالي فهي بطاقة تعتمد على معطى بيولوجي بغرض تحديد هوية الشخص. ويتم تسجيل المعطي البيولوجي ورقمنته. وانطلاقا منه يقع التعرف على الأفراد. وأشار انه وقبل اعتماد بطاقة التعريف البيومترية سيكون من الضروري المرور بداية بمرحلة تسجيل بياناتنا البيولوجية.
تسجيل البيانات وضرورات التخزين..
كانت الآلية التي سيتم اعتمادها في تسجيل البيانات البيولوجية لعموم التونسيات والتونسيين، من ابرز النقاط الخلافية في المشاريع المقدمة بخصوص بطاقة التعريف البيومترية على امتداد السبع سنوات الماضية. وكشفت مصادر موثوقة أنها كانت وراء سحب القانون في مرحلته الأولى يوما قبل مناقشة القانون في جلسة عامة.
ويفرض المرور الى مرحلة التسجيل تحديد خيار اعتماد آلية التسجيل على الشريحة فقط أو اعتماد التسجيل في الشريحة وقاعدة بيانات في نفس الوقت.
ويقول شريف القاضي "تقنيا آليتا التسجيل مختلفتان وتعتبر من النقاط الخلافية بين منظمات المجتمع المدني والجانب الحكومي خلال طرحهما لمشاريع القانونين السابقين في 2016 و2020.
وكشف القاضي أن لقاء أخيرا عقد سنة 2022، من قبل وزارة الداخلية وسجل حضور منظمات وأمنيين وغابت عنه هيئة حماية المعطيات الشخصية، وتم خلالها تقديم عرض يتبنى آلية اعتماد قاعدة البيانات.
وينبه محلل السياسات بمنظمة "اكسس ناو"، هناك فرق بين بطاقة التعريف البيومترية وجواز السفر البيومتري، فهما وثيقتان مختلفتان وليس لهما نفس الاستعمال. وخلال السنوات الماضية سجل خلط بينهما في التناول.
وفسر، جواز السفر وثيقة اختيارية يقوم المواطن التونسي باستخراجها في مرحلة ما من حياته، في حين أن بطاقة التعريف الوطنية وثيقة إجبارية، كل التونسيين والتونسيات مطالبون في سن الثمانية عشرة عاما باستخراجها، طبقا للقانون عدد 27 لسنة 1993 الذي يقول إن "بطاقة التعريف الوطنية وجوبية بالنسبة إلى المواطنين من كلا الجنسين البالغين من العمر ثماني عشرة سنة على الأقل." وعدم الاستظهار بها يعرض الفرد لخطية مالية "كل المواطنين الملزمين بحمل بطاقة التعريف الوطنية طبقا لأحكام هذا القانون ان يستظهروا بها عند كل طلب من قبل أعوان الأمن الوطني والحرس الوطني، وإلا استهدفوا إلى خطية مالية قدرها خمسة دنانير."
وباعتبار أن المعطى البيومتري معطى خاص وحساس للغاية، فبصمة اليد أو بصمة الوجه هي فريدة ولا يوجد مثال لها في العالم، وتقديم الفرد منا لها لجهة بعينها يجب أن يكون على قاعدة الضرورة القصوى، ولجهة مستأمنة عليها ولا يتم استعمالها لغايات غير معلنة، وتوفر الكثير من الحماية لتلك المعطيات.
خطر التخزين في قاعدة بيانات
ويوضح شريف القاضي أنه بقدر ما تكون المعطيات المجمعة والمخزنة، مهددة بسوء استعمال أو اختراق أو قرصنة، فيجب إدراك أنه لا يمكن تدارك ذلك من قبل أي جهاز أو آلية. وعلى عكس بقية المعطيات الشخصية، لا يمكن تغيير البيانات البيومترية في حال سرقتها أو تسريبها، ولا يمكن جبر الضرر في حال وقوعه. وعندها أي شخص يمكن أن ينتحل صفتك.
ويشدد، إننا في باعتماد بطاقة التعريف البيومترية فنحن بصدد التعامل مع معطيات حساسة جدا، وخاصة إذا كنا سنتجه الى تجميعها كلها في قاعدة بيانات واحدة. وأفاد انه مهما كانت الوسائل الحمائية الأمنية المستعملة من ناحية السلامة المعلوماتية ومن ناحية الخبرات لا يوجد نظام ضمن الأمن السيبرني غير معرض لمشاكل أو اختراقات أو ثغرات الخ...
وأمام أن هذا الاختيار، وهو تخزين كل معطيات التونسيات والتونسيات البيومترية في قاعدة بيانات واحدة، أمر يهم المجتمع ككل والدولة التونسية وسيادتها على معطيات مواطنيها. فمن الضروري أن نطرح سؤال: أن هل الدولة التونسية لها السيطرة على التكنولوجيا من ألفها الى يائها؟ الإجابة ستأخذ بعين الاعتبار انه مهما كان مستوى التشفير ومهما كانت آليات الحماية المعتمدة جميع المنظومات معرضة للاختراق. ولذلك في علاقة بما هو سيبرني نقول إن المعلومة التي لسنا في حاجة ملحة وضرورية لها لا نقوم بتخزينها. وهنا وأمام وجود ولو فرضية واحدة للاختراق أو تسريب المعطيات الخاصة بكل التونسيات والتونسيين، ليس هناك ضرورة لاعتماد منظومة تخزين.
والحل موجود حسب محلل السياسات بمنظمة "اكسس ناو". ففي حال اتجهنا الى اعتماد بطاقة التعريف البيومترية يمكن تسجيل المعطيات البيومترية على الشريحة الموجودة على البطاقة فقط دون تخزينها في منظومة تخزين، ويتم التثبت من حامل البطاقة عبر التثبت من مدى تجانس الهوية الموجودة بالشريحة مع البصمة البيومترية التي سيتم اختيارها. وفي نفس الوقت الاكتفاء باعتماد المعطي البيومتري في جواز السفر فقط باعتبار انه يتنزل ضمن ممارسة دولية وتعتمدها منظمة الطيران المدني. ويشير الى أنها طريقة معتمدة في تجارب مقارنة على غرار ألمانيا أين تحتفظ مؤسسات الدولة بالبيانات لمدة 30 يوما فقط ثم يتم فسخها.
تخوفات وتحفظات..
ولاقى المشروع الأول والثاني لبطاقة التعريف البيومترية، تخوفات وتحفظات لدى منظمات المجتمع المدني التونسي والمدافعين على الحقوق والحريات، واعتبروا أنها تحمل تهديدا للمعطيات الشخصية. وصارت في الغرض بيانات موحدة ممضاة من قبل جمعيات ومنظمات دعت الى إلغاء القانون وعدم اعتماد المعطيات البيولوجية في بطاقة التعريف. ونبه شريف القاضي محلل السياسات بمنظمة "اكسس ناو"، الى أن الشيطان يكمن في التفاصيل، وأن حماية المعطيات الشخصية كحق أساسي للإنسان والمواطن هو أهم بكثير من التطور التكنولوجي.
واعتبر أنه في حال كان بالإمكان اعتماد آلية أخرى غير البيومتري للتثبت وإثبات هوية الأفراد، ليس هناك ضرورة لاعتماد المعطى البيومتري. فلا حاجة لاستعمال معطى حساس جدا فقط من أجل مواكبة تكنولوجية.
والنقطة الثانية التي تساءل حولها القاضي، هي في حال وضع قاعدة البيانات وتجميع كل معطيات التونسيين والتونسيات البيومترية، ما هي الجهة التي ستتكفل بتجميع هذه المعطيات؟ ومن له الحق في النفاذ إليها؟ وما هي المدة التي سيتم فيها الاحتفاظ بهذه المعطيات؟ وأين سيتم تخزينها؟ وما هو نوع الشريحة التي سيتم اعتمادها؟ وأشار الى أن مسودات المشاريع السابقة التي تم تقديمها للنقاش لم تحدد أيا منها، مكان حفظ البيانات البيومترية ومدة الاحتفاظ بها والجهات التي يُرخص لها الاطلاع عليها وآليات تأمين قاعدة البيانات. وحتى مع التنصيص على هذه التخوفات من قبل منظمات المجتمع المدني لم تتفاعل أو يصدر عن الهياكل الحكومية المعنية أي رد.
والجانب الثاني الذي يثير التخوفات هو الجانب التشريعي، فبطاقة التعريف البيومترية تقوم على مرجعية تشريعية غير محينة، وهو قانون قديم لحماية المعطيات الشخصية الذي يعود لسنة 2004، لا يحتوي على فصول تهم المعطيات البيومترية أو كل ما هو معطيات الكترونية.. كما لا يتماشى القانون المذكور مع التزامات الدولة التونسية بحماية المعطيات الشخصية، وخاصة منها اتفاقية مجلس أوروبا عدد 108، التي صادقت عليها تونس سنة 2017، وخاصة بحماية الأفراد في ما يتعلق بالية معالجة بيانات الأفراد الشخصية وحمايتها، وتوسع مجالات تدخل هيئة حماية المعطيات الشخصية وتمكينها من سلطة أكبر.
ويذكر شريف القاضي أن المنظومة المعلوماتية التونسية قد تعرضت في عديد المرات لمحاولات اختراق وهجمات إلكترونية، آخرها كان الاستهداف للبنك المركزي التونسي (أهم منظومة بنكية وطنية) ونبهت بعده وزارة تكنولوجيا الاتصال المؤسسات البنكية العامة والخاصة من مخاطر هجمات برمجيات ابتزاز (ransomwares) شكلت خطرا حقيقيا في الهجمة التي استهدفت البنك المركزي.
مشروع مكلف في وضع اقتصادي حرج
تعزم الدولة التونسية اليوم حسب بيان وزارة الداخلية الصادر في 8 نوفمبر 2023، المرور الى بطاقة التعريف البيومترية وجواز السفر البيومتري في اقرب الآجل، إيفاء بالتزامات تونس الدولية، والتي تقضي بالعمل بوثائق سفر قابلة للقراءة الآلية تحمل شريحة تحتوي على بيانات بيومترية بحلول سنة 2024.
وتتكتم الهياكل المعنية على الكلفة العامة التي ستكون لخطوة تغيير بطاقات التعريف وجوازات السفر الحالية بأخرى بيومترية، ويخيم غياب الشفافية على الميزانية المخصصة للمشروع. ففي الوقت الذي أفادت فيه الوزارة في مارس 2021 بأن التكلفة ستكون في حدود الـ45 مليون دينار أفاد شريف القاضي انه وفي ورشة عمل حضرتها منظمة "اكسس ناو" في فيفري 2022، ردت الوزارة عن السؤال بأن المبلغ يقدر حاليا بقرابة 60 مليون دينار. مع التذكير أن مشروع قانون المالية المعروض على اللجان للمناقشة لم يحتو مخصصا ماليا ودعما واضحا لتنفيذ مشروع بطاقات التعريف البيومترية أو جواز السفر البيومتري.
ويثير عدم الشفافية في ما يتعلق بالميزانية التي سيتم رصدها لتنفيذ المشروع المذكور تخوفات مضاعفة لدى المتابعين والمراقبين، فيرون أن اعتزام الدولة ومن ورائها وزارة الداخلية القيام بتنازلات لتطبيق المشروع بالرغم من قلة الموارد والأزمة الاقتصادية التي تمر بها البلاد، فذلك يزيد من حجم المخاوف حول الخطر الذي قد يشكله وتداعيات ذلك على ما المستوى التقني والأمني الموجه لحماية المعطيات الشخصية.
تجارب مقارنة
اتجهت عديد الدول في العالم الى اعتماد بطاقات التعريف وجوازات السفر البيومترية، واختلفت في العموم طريقة تعاملها مع المعطيات الشخصية الخاصة بمواطنيها ومواطناتها. ففي وقت اعتمدت ألمانيا مثلا على الاكتفاء بتخزين المعطيات البيولوجية على شريحة بطاقات التعريف كطريق للحماية وحافظ تعلى خصوصية مواطنيها، اتجهت فرنسا الى توفير أقصى ما يمكن من التكنولوجيا والطاقات والتجهيزات لتأمين قاعدة البيانات الخاصة بتخزين المعطيات. وسبق تلك الخطوة مشاورات وحوارات ونقاشات حول كيفية تخزينها والجهة المشرفة عليها.
وبعيدا عن أوروبا، تأتي تجربة منظومة "اذار" الهندية التي أثارت الكثير من الحبر منذ انطلاقتها، حيث وأمام محدودية الحماية التي وفرتها الدولة الهندية لتأمين قاعدة البيانات الخاصة بتخزين معطيات مواطنيها تعرضت المنظومة الى عديد الاختراقات المتتالية تراوحت بين اختراق من قبل جهاز المخابرات الأمريكية مرورا بشبكات إجرامية وصولا الى الاختراقات لغايات اقتصادية أو سياسية انتخابية.. ليجد الهنديون بسبب "هفوة أمنية" معطياتهم البيومترية عرضة للاختراق والقرصنة عاجزين عن تدارك ذلك بعد أن وضعت الدولة قاعدة بياناتهم في مرمى الاختراق دون حماية.
ومن المهم أن يتم التذكير بأن المشاورات العامة والحوار مع المجتمع المدني والمؤسسات الوطنية والخبراء المعنيين يبقى ضمانا ضروريا ليكون القانون المتعلق بشكل مباشر بالحق في الخصوصية وحماية المعطيات الشخصية، مكرسا للمبادئ الأساسية لحقوق الإنسان وامتثالا لدستور 2022 الذي ينص على أن الدولة “تحمي الحياة الخاصة، وحرمة المسكن، وسرية المراسلات والاتصالات والمعطيات الشخصية.”
ضرب الحق في الخصوصية
الاتجاه نحو تجميع المعطيات البيومترية للتونسيين والتونسيات في منظومة تخزين واحدة، ترى منظمات المجتمع المدني انه من شانه أن يمثل مصدرا لضرب حق أساسي للمواطنين والمواطنات التونسيين وهو الحق في الخصوصية خاصة في ظل حجم الغموض وعدم الشفافية المسجل في تعامل الجانب الرسمي مع مشاريع القوانين المقدمة سلفا. واعتماد بطاقة التعريف البيومترية، مع وضعية قانونية غير محينة وغير مواكبة على الصعيد الأمني والجهة المشرفة غير محددة والية الحماية منقوصة، من شأنه أن يمكن الجهات الحكومية التي تمتلك حق الولوج إلى قاعدة البيانات من تصنيف للمواطنين ومراقبتهم مراقبة شاملة. لتتحول المنظومة الرقمية إلى وسيلة تمسّ بشكل كبير من الحق الأساسي للمواطنين والمواطنات التونسيين في الخصوصية.
