قالت “هيومن رايتس ووتش” اليوم إن الحكومة المصرية و”أكاديميك أسيسمسنت ليميتيد” (أكاديميك أسيسمسنت)، وهي شركة بريطانية خاصة، كشفتا على الإنترنت لأشهر كميات كبيرة من المعلومات الشخصية الخاصة بعشرات الآلاف من الأطفال. ينتهك ذلك خصوصية الأطفال، ويعرضهم لخطر الأذى الجسيم، ويبدو أنه ينتهك قوانين حماية البيانات في كل من مصر وبريطانيا.
شملت البيانات الحساسة أكثر من 72 ألف سجل تتضمن أسماء الأطفال، وتواريخ ميلادهم، ونوعهم الاجتماعي، وعناوين سكنهم، وعناوين بريدهم الإلكتروني، وأرقام هواتفهم، والمدارس التي يرتادونها، وصفوفهم الدراسية، وصور ملفاتهم الشخصية، ونسخ من جوازات سفرهم أو هويتهم الوطنية. بقيت البيانات متاحة دون حماية على الإنترنت لثمانية أشهر على الأقل. عرّفت السجلات 110 طفلا بالاسم بأن لديهم شكل من أشكال الإعاقة.
قالت هاي جونغ هان، باحثة ومدافعة عن حقوق الأطفال والتكنولوجيا في هيومن رايتس ووتش: “عبر إتاحة معلومات الأطفال الخاصة دون اكتراث، تُخاطر الحكومة المصرية وأكاديميك أسيسمسنت بتعريض الأطفال لضرر جسيم. على مدى أشهر، سمحوا لأي شخص لديه اتصال بالإنترنت بمعرفة من هم هؤلاء الأطفال، وأين يعيشون ويذهبون إلى المدرسة، وكيف يمكن التواصل معهم مباشرة”.
خضع الأطفال لـ امتحان “إيجيبشيان سكولاستيك” (“إي إس تي EST”) المشار إليه فيما بعد بـ الامتحان، والذي تطلبه الجامعات المصرية من طلبة “الدبلومة الأمريكية”، وهو منهاج المرحلة الثانوية باللغة الإنغليزية في مصر. تضمنت البيانات غير المحمية 356,797 ملفا، وشملت الأطفال الذين تقدموا بطلب التقدم للامتحان بين سبتمبر/أيلول 2020 وديسمبر/كانون الأول 2022.
تضمنت البيانات غير المحمية أيضا أسماء ومواقع الجامعات التي تقدم الطلاب بطلبات للالتحاق بها، ونتائج امتحاناتهم، وما إذا كانوا قد دفعوا رسوم التسجيل للامتحان. تضمنت السجلات ملاحظات تفصيلية حول الطلاب أخذها المراقب الذي راقب امتحانهم، بما يشمل مزاعم “سلوك غير أخلاقي”، “لن يسكت، وجّهنا له عدة تحذيرات وحاول الغش عدة مرات”، و “متأخر متأخر متأخر”.
يُهدد انكشاف معلومات سرية كهذه سلامة هؤلاء الأطفال. يُعرّض خطر إساءة استخدام بياناتهم واستغلالها الأطفال لأضرار جسيمة، منها انتحال الشخصية، والابتزاز، والاستغلال الجنسي، وقد تكون له عواقب طويلة المدى تؤثر على الفرص المتاحة لهم.
انكشاف البيانات اكتشفه ناثانيال فرايد، المؤسس المشارك لشركة “أندوين”، وهي شركة برمجيات لحلول الأعمال، وراجعته هيومن رايتس ووتش. وجد تحليل إضافي أجرته هيومن رايتس ووتش أن الطلبة المتضررين ينتمون لجميع محافظات مصر الـ 27. تبيّن أن عدد قليل من الطلاب، 0.2٪ أو 168، كانوا من دول أخرى: الجزائر، البحرين، جزر القمر، العراق، الأردن، الكويت، لبنان، ليبيا، عُمان، فلسطين، قطر، السعودية، السودان، سوريا، أو الإمارات.
في مارس/آذار 2022 أو في حدود هذا التاريخ، ودون إعلان، بدا أن ملكية الامتحان تغيرت، من الحكومة المصرية إلى شركة “إيجيبشن سكولاستيك تيست ليميتيد” البريطانية التي تأسست في 2021 وتغير اسمها في نوفمبر/تشرين الثاني 2022 إلى أكاديميك أسيسمسنت.
أُزيل الموقع الإلكتروني للامتحان والذي تملكه الحكومة في مارس/آذار 2022 واستُبدل بموقع يشير إلى أن “الامتحان المصري مملوك لشركة أكاديميك أسيسمسنت في لندن”. نأت الحكومة المصرية بنفسها عن الامتحان علنا بعد بضعة أشهر، حيث صرح شوقي أن الوزارة “لا علاقة لها” بالامتحان الذي “تديره مؤسسة دولية مقرها بريطانيا، وليس وزارة التربية والتعليم المصرية”.
تتضمن قاعدة البيانات غير المحمية سجلات الأطفال التي جمعتها كل من الحكومة وأكاديميك أسيسمسنت، قبل التغيير الواضح في الملكية وبعده.
ليس من الواضح بالضبط متى أو لماذا أو كيف باعت الحكومة أو نقلت ملكية الامتحان وبيانات طلابه إلى أكاديميك أسيسمسنت. لم تجد هيومن رايتس ووتش أدلة على طرح مناقصة شراء عامة. ليس واضحا أيضا السبب الذي دفع الحكومة إلى بيع أو تسريب التفاصيل الشخصية الحساسة الخاصة بالأطفال الذين تقدموا للامتحان، مثل حالة الإعاقة، والتي ليست ضرورية للشركة لتدير الامتحان. لم ترد الحكومة المصرية ولا أكاديميك أسيسمسنت على أسئلة هيومن رايتس ووتش حول تغيير الملكية، أو ما إذا كانت الحكومة قد اشترطت أن توفر أكاديميك أسيسمسنت الحماية للبيانات التي بيعت أو نُقلت إليها.
لم ترُد وزارة التربية والتعليم المصرية ولا “المجلس القومي لحقوق الإنسان” على طلب مكتوب من هيومن رايتس ووتش في فبراير/شباط 2023 لإصلاح انكشاف البيانات. قال المدير التنفيذي لـ أكاديميك أسيسمسنت حبيب خليل الصايغ إن الشركة أخذت الأمر على محمل الجد وأجرت تحقيقا، لكنه رفض الإجابة على أسئلة هيومن رايتس ووتش.
البيانات غير المحمية مستضافة على خوادم ” ويب أمازون سيرفيسز”، وهي خدمات التخزين السحابية التابعة لـ “أمازون”. ظلت البيانات متاحة حتى إزالتها في 15 مارس/آذار، بعدما أبلغت هيومن رايتس ووتش أمازون بانتهاك خصوصية بيانات الأطفال. رفضت أمازون التعليق.
رغم عدم تأكيد الحكومة أو الشركة لملكية البيانات، فإن انكشافها ينتهك خصوصية الأطفال. يبدو أن ذلك ينتهك أيضا قوانين حماية البيانات في مصر وبريطانيا، والتي تشترط على الهيئات التي تتعامل مع بيانات تعريف شخصية حمايتها وضمان أمانها، وإخطار الحكومة والمستخدمين المتأثرين فورا في حالة خرق البيانات.
قالت هان: “للأطفال الحق في تدابير حماية خاصة لخصوصيتهم. يتعيّن على الحكومة المصرية أن تبدأ في حماية الأطفال وخصوصية بياناتهم، وإلزام جميع الجهات الفاعلة بفعل الشيء نفسه بالقانون”.