مصر: بيانات عشرات الآلاف من الطلاب المعرضين للخطر
قد يؤدي تسرب المعلومات الحساسة والخاصة إلى ضرر جسيم
قالت هيومن رايتس ووتش اليوم إن الحكومة المصرية وشركة بريطانية خاصة ، Academic Evaluation Ltd. إن التعرض ينتهك خصوصية الأطفال ، ويعرضهم لخطر الضرر الجسيم ، ويبدو أنه ينتهك قوانين حماية البيانات في كل من مصر والمملكة المتحدة.
تضمنت البيانات الحساسة أكثر من 72000 سجل لأسماء الأطفال ، وتواريخ الميلاد ، والجنس ، وعناوين المنزل ، وعناوين البريد الإلكتروني ، وأرقام الهواتف ، والمدارس التي يلتحقون بها ، ومستوى الصف الدراسي ، وصور الملف الشخصي ، ونسخ جواز السفر أو الهوية الوطنية. تم تركه بدون حماية على شبكة الإنترنت المفتوحة لمدة ثمانية أشهر على الأقل. حددت السجلات 110 أطفال بالاسم على أنهم يعانون من شكل من أشكال الإعاقة.
قالت هاي جونغ هان ، باحثة حقوق الطفل والتكنولوجيا والمدافعة في هيومن رايتس ووتش: “من خلال الكشف عن معلومات الأطفال الخاصة بلا مبالاة ، تعرض الحكومة المصرية والتقييم الأكاديمي الأطفال لخطر التعرض لأذى جسيم”. “لعدة أشهر ، سمحوا لأي شخص لديه اتصال بالإنترنت بمعرفة من هم هؤلاء الأطفال ، وأين يعيشون ويذهبون إلى المدرسة ، وكيفية الاتصال بهم مباشرة.”
كان الأطفال قد خضعوا للاختبار المدرسي المصري (EST) ، والذي تطلبه الجامعات المصرية لطلاب المدارس الثانوية الذين يدرسون في إطار الدبلوم الأمريكي ، وهو منهج ثانوي للغة الإنجليزية في مصر. احتوت البيانات غير المحمية على 356797 ملفًا ، وشملت الأطفال الذين تقدموا بطلب للحصول على EST بين سبتمبر 2020 وديسمبر 2022.
تضمنت البيانات غير المحمية أيضًا أسماء ومواقع الجامعات التي تقدم الطلاب إليها ، ونتائج اختباراتهم ، وما إذا كانوا قد دفعوا رسوم التسجيل في الاختبار. تضمنت السجلات ملاحظات تفصيلية حول الطلاب أخذها المراقب الذي راقب امتحاناتهم ، بما في ذلك مزاعم “السلوك غير الأخلاقي” ، “لن يتوقف عن الكلام ، لقد وجهنا له العديد من التحذيرات وحاول الغش مرات عديدة” و “متأخرًا متأخرًا” . “
إن الكشف عن مثل هذه المعلومات السرية يعرض سلامة هؤلاء الأطفال للخطر. يعرض الأطفال لخطر إساءة استخدام بياناتهم واستغلالها لأضرار جسيمة ، بما في ذلك سرقة الهوية والابتزاز والاستغلال الجنسي ، وقد يكون لها عواقب طويلة المدى تؤثر على فرصهم.
تم تحديد التعرض للبيانات من قبل ناثانيال فرايد ، الشريك المؤسس لشركة Anduin ، وهي شركة برمجيات استخباراتية ، وتم التحقق منها بواسطة هيومن رايتس ووتش. وجد تحليل إضافي أجرته هيومن رايتس ووتش أن الطلاب المتضررين يأتون من جميع المحافظات السبع والعشرين في مصر. عدد صغير – 0.2 بالمائة أو 168 – من دول أخرى: الجزائر ، البحرين ، جزر القمر ، العراق ، الأردن ، الكويت ، لبنان ، ليبيا ، عمان ، فلسطين ، قطر ، المملكة العربية السعودية ، السودان ، سوريا ، أو الإمارات العربية المتحدة.
أنشأت وزارة التعليم المصرية اختبار القبول في سبتمبر 2020 ، بعد أسبوعين من تعليق شركة أمريكية ، هي مجلس الكلية ، إلى أجل غير مسمى إدارة امتحان القبول بالجامعة ، SAT ، في مصر بسبب “حوادث أمنية متكررة للاختبار”. بحلول الوقت الذي تم فيه إدارة EST للمرة الثانية في مارس 2021 ، أعلن وزير التعليم آنذاك طارق شوقي أنه سيكون “الاختبار الوحيد المعترف به للقبول في الجامعات المصرية المحلية” لطلاب الدبلوم الأمريكيين.
في مارس 2022 أو تقريبًا ، وبدون الإعلان ، يبدو أن ملكية الامتحان قد تغيرت من الحكومة المصرية إلى شركة بريطانية ، وهي شركة Egyptian Scholastic Test Ltd. ، التي تأسست عام 2021 وأعيد تسميتها في نوفمبر 2022 باسم Academic Evaluation Ltd.
تمت إزالة موقع الاختبار المملوك للحكومة في مارس 2022 واستبداله بواحد ينص على أن “EST مملوكة لشركة Academic Evaluation Ltd. في لندن.” نأت الحكومة المصرية علانية بنفسها عن الامتحان بعد بضعة أشهر ، حيث صرح شوقي أن وزارة التربية “ليس لها علاقة بـ” EST ، التي “تدار من قبل مؤسسة دولية في بريطانيا ، وليس وزارة التربية والتعليم المصرية”.
تتضمن قاعدة البيانات غير المحمية سجلات الأطفال التي جمعتها الحكومة بالإضافة إلى التقييم الأكاديمي ، قبل التغيير الواضح في الملكية وبعده.
ليس من الواضح بالضبط متى أو لماذا أو كيف باعت الحكومة أو نقلت ملكية EST وبيانات طلابها إلى التقييم الأكاديمي. لم تجد هيومن رايتس ووتش أدلة على عملية شراء عامة. كما أنه من غير الواضح سبب قيام الحكومة ببيع أو التخلي عن التفاصيل الشخصية للغاية للأطفال الذين خضعوا للاختبار ، مثل حالة الإعاقة ، والتي ليست ضرورية للشركة لإدارة EST. لم ترد الحكومة المصرية والتقييم الأكاديمي على أسئلة من هيومن رايتس ووتش حول التغيير في الملكية ، أو ما إذا كانت الحكومة قد اشترطت أن التقييم الأكاديمي يجب أن يوفر الحماية للبيانات التي يتم بيعها أو نقلها إليها.
لم ترد وزارة التربية والتعليم المصرية والمجلس القومي لحقوق الإنسان على طلب مكتوب من هيومن رايتس ووتش في فبراير / شباط 2023 لإصلاح الكشف عن البيانات. قال المدير التنفيذي للتقييم الأكاديمي حبيب خليل الصايغ إن الشركة أخذت الأمر على محمل الجد وأنها حققت في الأمر ، لكنها رفضت الإجابة على أسئلة هيومن رايتس ووتش.
تمت استضافة البيانات غير المحمية على Amazon Web Services ، وهي خدمات التخزين السحابية من Amazon. ظلت البيانات متاحة حتى تم إزالتها في 15 مارس / آذار ، بعد أن أخطرت هيومن رايتس ووتش أمازون بانتهاك خصوصية بيانات الأطفال. رفضت أمازون التعليق.
على الرغم من عدم تأكيد الحكومة ولا الشركة ملكية البيانات ، إلا أن التعرض ينتهك خصوصية الأطفال. يبدو أيضًا أنه ينتهك قوانين حماية البيانات في كل من مصر والمملكة المتحدة ، والتي تتطلب من الكيانات التي تتعامل مع بيانات التعريف الشخصية لحمايتها والتأكد من أنها آمنة ، وإخطار الحكومة والمستخدمين المتأثرين على الفور في حالة انتهاك البيانات. .
كما عرّضت الحكومة المصرية الأطفال لخطر الأذى من خلال بيع بيانات التعريف الشخصية الخاصة بهم أو التخلي عنها لطرف ثالث على ما يبدو دون النص على حماية هذه البيانات. لا يبدو أن الحكومة أبلغت الأطفال ببيع بياناتهم أو نقلها ، مما حرمهم من فرصة الاعتراض أو اتخاذ تدابير لحماية خصوصيتهم.
يضمن دستور البلاد الحق في الخصوصية. كما صادقت مصر على اتفاقية الأمم المتحدة لحقوق الطفل ، التي تضمن حق الأطفال في الخصوصية ، وهو أمر حيوي لضمان سلامتهم ، وصلاحياتهم ، وكرامتهم.
يقر قانون حماية البيانات لعام 2020 في مصر بأن الأطفال يستحقون حماية خاصة لخصوصية بياناتهم ولكنه لا يحددها أو يوفرها ، ولم يتم إصدار لوائح تشريعية. علاوة على ذلك ، يفتقر القانون إلى هيئة حكومية يمكنها فرضه: هيئة حماية البيانات التي تم إنشاؤها بموجب القانون لم يتم إنشاؤها بعد ما يقرب من ثلاث سنوات.
يجب على المشرعين تعديل القانون لوضع قواعد شاملة لحماية بيانات الطفل. يجب أن تتطلب هذه الشركات والهيئات الحكومية توفير أعلى مستويات الحماية والأمان لبيانات الأطفال وخصوصيتهم ، وإلزامها تعاقديًا بنفس الشيء مع أي كيان يشاركونه أو ينقلون أو يبيعون بيانات الأطفال إليه. يجب على الحكومة إنشاء هيئة حماية البيانات بشكل عاجل ومنحها التفويض والموارد لحماية خصوصية بيانات الجميع ، بما في ذلك خصوصية الأطفال.
قال هان: “للأطفال الحق في حماية خاصة لخصوصيتهم”. “تحتاج الحكومة المصرية إلى البدء في حماية الأطفال وخصوصية بياناتهم ، وإلزام جميع الجهات الفاعلة قانونًا بفعل الشيء نفسه”.
