خلف شارة التوثيق الزرقاء: من يطّلع على معلوماتك الشخصية؟

يكتشف بعض مستخدمي منصّة LinkedIn الّذين يسعون إلى توثيق هويّاتهم الرّقميّة أنّ عمليّة التّحقّق قد تنطوي على مشاركة بياناتهم الشّخصيّة مع جهاتٍ خارجيّةٍ، من دون أن يكونوا على درايةٍ كاملةٍ بذلك. فبحسب مطوّرٍ يهتمّ بقضايا الخصوصيّة الرّقميّة، قد يتمّ تمرير البيانات الّتي يقدّمها المستخدمون أثناء التّوثيق إلى شركة طرفٍ ثالثٍ يمكنها بدورها مشاركة هذه المعلومات مع جهاتٍ متعدّدةٍ، تتراوح بين الجهات الحكوميّة ووكالات الائتمان الاستهلاكيّ وصولاً إلى شركات المرافق ومزوّدي شبكات الهاتف المحمول. ويطرح هذا الأمر تساؤلاتٍ متزايدةً حول كيفيّة إدارة البيانات الشّخصيّة داخل الأنظمة الرّقميّة الّتي يعتمد عليها ملايين المستخدمين يوميّاً.

وقد كشف عن هذه المسألة الأسبوع الماضي عندما نشر مستخدمٌ على منصّة Mastodon يقيم في زيورخ ويستخدم الاسم المستعار “rogi” تجربته الشّخصيّة مع عمليّة التّوثيق. ويكتب هذا المستخدم في مدوّنةٍ تحمل اسم The Local Stack حول ما يصفه بـ “رأسماليّة المراقبة”، وهو أيضاً مطوّرٌ يعمل على أدواتٍ تركّز على الخصوصيّة ويقدّم استشاراتٍ في مجال حماية البيانات. ويوضّح أنّه بدأ التّجربة بدافعٍ بسيطٍ يتمثّل في الحصول على علامة التّوثيق الزّرقاء في LinkedIn، تلك الّتي تشير إلى أنّ الحساب يعود لشخصٍ حقيقيٍّ.

ووفقاً لما رواه، اتّبع الخطوات الّتي توضّحها المنصّة للحصول على التّوثيق، فقام أوّلاً بمسح جواز سفره ضوئيّاً ثمّ التقط صورة سيلفي، وبعد أقلّ من ثلاث دقائق حصل بالفعل على العلامة الزّرقاء. غير أنّ الأمر لم يتوقّف عند هذا الحدّ؛ فبعد إتمام العمليّة قرّر القيام بخطوةٍ إضافيّةٍ نادراً ما يقوم بها المستخدمون، وهي قراءة سياسة الخصوصيّة وشروط الخدمة. عندها اكتشف أنّ وثيقة الإفصاحات الّتي تمتدّ إلى 34 صفحةً لا تعود في الأصل إلى LinkedIn، بل إلى جهةٍ أخرى تشارك في عمليّة التّحقّق.

ومن هنا يتّضح أنّ المستخدمين الّذين يسعون إلى توثيق حساباتهم يتمّ تحويلهم في الواقع إلى شركة Persona Identities. ومقرّها سان فرانسيسكو. وتوفّر هذه الشّركة منصّةً تكنولوجيّةً متخصّصةً في التّحقّق من الهويّة تستخدمها مواقع مثل LinkedIn لمساعدة المؤسّسات على مكافحة الاحتيال، والامتثال للمتطلّبات التّنظيميّة، وإدارة عمليّات تسجيل المستخدمين الجدد. وبعبارةٍ أخرى، تقف هذه الشّركة كحلقةٍ تقنيّةٍ غير مرئيّةٍ بين المستخدم والمنصّة.

ويشير "rogi" إلى أنّه لم يكن قد سمع باسم Persona من قبل، مضيفاً أنّ معظم المستخدمين على الأرجح لم يسمعوا بها أيضاً. وبرأيه، فإنّ هذا الغياب عن الواجهة ليس مصادفةً، بل جزءٌ من طبيعة عمل هذه الشّركات الّتي تعمل خلف الكواليس وتبقى غير مرئيّةٍ للمستخدم النّهائيّ، رغم دورها المحوريّ في إدارة البيانات.

ولا تقتصر البيانات الّتي تجمعها Persona على المعلومات الشّخصيّة الأساسيّة مثل الاسم والعنوان وتاريخ الميلاد ووسائل الاتّصال. فإلى جانب ذلك تقوم الشّركة بتحليل ما يعرف بالهندسة الوجهيّة المستخرجة من الصّور، كما تحدّد الموقع الجغرافيّ للمستخدم بدقّةٍ، وتفحص ما يسمّى بالقياسات الحيويّة السّلوكيّة. وتشمل هذه القياسات مؤشّراتٍ مثل لحظات التّردّد أثناء ملء نموذج التّحقّق، إضافةً إلى تحليل ما إذا كانت البيانات قد كتبت يدويّاً أو تمّ إدخالها عبر النّسخ واللّصق.

وتشير سياسة الخصوصيّة الخاصّة بالشّركة إلى أنّ هذه البيانات، بما في ذلك الصّور والمعلومات الشّخصيّة، يمكن مشاركتها مع شبكةٍ عالميّةٍ من الشّركاء. وتشمل هذه الشّبكة مورّدين تقنيّين وجهات إنفاذ القانون إضافةً إلى 17 جهةً معالجةً فرعيّةً تتولّى تحليل البيانات نيابةً عن Persona.

وتتضمّن قائمة هذه الجهات أسماءً بارزةً في قطاع التّكنولوجيا والذّكاء الاصطناعيّ مثل Anthropic وOpenAI وGroqcloud. غير أنّ الرّئيس التّنفيذيّ لشركة Persona، ريك سونغ، ردّ على هذه النّقطة عبر LinkedIn موضّحاً أنّ القائمة الّتي أشار إليها "rogi" تضمّ جميع الجهات الفرعيّة الّتي تتعامل معها Persona عبر مختلف عملائها، وليس بالضّرورة الجهات المستخدمة في عمليّة التّحقّق الخاصّة بـ LinkedIn.

وأضاف سونغ أنّ العملاء هم من يحدّدون المنتجات الّتي يتمّ استخدامها داخل المنصّة، وبناءً على ذلك يتمّ تحديد الجهات الفرعيّة المرتبطة بكلّ خدمةٍ. ووفقاً لتوضيحه، فإنّ الجهات الثّماني المستخدمة فعليّاً في عمليّة التّحقّق تشمل AWS وConfluent وDBT وElastic Search وGoogle Cloud وMongoDB وSigma Computing وSnowflake، مؤكّداً في الوقت نفسه أنّ هذه القائمة لا تتضمّن شركات ذكاءٍ اصطناعيٍّ.

وفي ضوء هذه المعطيات، يرى rogi أنّ المستخدمين الّذين قاموا بالفعل بعمليّة التّوثيق قد يرغبون في اتّخاذ خطواتٍ لحذف البيانات الّتي جمعت عنهم من قبل Persona. أمّا أولئك الّذين لم يقوموا بالتّوثيق بعد، فينصحهم بالتّفكير جيّداً قبل بدء العمليّة. ويقول في هذا السّياق إنّ الشّارة الزّرقاء قد لا تستحقّ الثّمن الّذي يدفعه المستخدم مقابلها، لأنّ علامة التّوثيق في النّهاية مجرّد عنصرٍ بصريٍّ، في حين أنّ البيانات البيومتريّة قد تبقى محفوظةً لفترةٍ طويلةٍ.

ويضيف موضّحاً موقفه: "أنا لا أقول للنّاس تجاهل التّوثيق، بل أدعوهم إلى فهم ما يقدّمونه في المقابل. فالشّركات الّتي تدير العمليّة تدرك تماماً قيمة هذه البيانات، وكذلك المنصّة نفسها. أمّا الشّخص الوحيد الّذي قد لا يعرف التّفاصيل الكاملة فهو المستخدم الّذي يرفع جواز سفره أمام الكاميرا".

من جهته، ردّ الرّئيس التّنفيذيّ لشركة Persona على المخاوف المتعلّقة بالبيانات البيومتريّة، مؤكّداً أنّ هذه البيانات يتمّ حذفها فور انتهاء عمليّة المعالجة. كما أوضح أنّ أيّ بياناتٍ شخصيّةٍ إضافيّةٍ يتمّ الاحتفاظ بها لفترةٍ محدودةٍ لا تتجاوز 30 يوماً قبل حذفها، مشيراً أيضاً إلى أنّ البيانات الّتي تعالجها الشّركة لا تستخدم في تدريب نماذج الذّكاء الاصطناعيّ.