«البنك العربي» يعرّي عملاءه معلومات شخصية لـ«سلطات خارجية» ندى أيوب الخميس 17 تموز 2025 يطلب «البنك العربي» في بيروت م

«البنك العربي» يعرّي عملاءه: معلومات شخصية لـ«سلطات خارجية»

ندى أيوب
الخميس 17 تموز 2025

يطلب «البنك العربي» في بيروت من عملائه الموافقة على سياسات خصوصية جديدة، تمنح المصرف وكالة مفتوحة للتجسّس على العميل بوسائل متعددة، من ضمنها «داتا» وسائل التواصل، وتتيح تتبّعه جغرافياً، وتحديد علاقته بالأفراد المحيطين به وعناوينهم، وبصمة وجهه وصوته، ومشاركة المعلومات مع جهات داخلية و«سلطات خارجية»، من دون تحديدها

إذا كنت من عملاء «البنك العربي»، احرص على ألا توقّع مستند «إشعار بيانات الخصوصية والموافقة عليه» الذي سيعرضه عليك موظف المصرف كتحديث لـ«سياسات الخصوصية» (policies).

بمجرّد التوقيع، ستمنح المصرف «وكالة مفتوحة» بالتجسّس عليك بوسائل متعددة، لمدة زمنية مفتوحة، ثم مشاركة أو بيع هذه المعلومات إلى جهات داخل لبنان وخارجه، من بينها ما يسميه المصرف «سلطات خارجية» من دون تحديدها، قد تكون أجهزة حكومية، قضائية، أمنية... أو حتى استخباراتية؟

ببساطة: هو اجتياح كلي للفرد يعرّيه ويعرّضه للخطر. علماً أن «البنك العربي» هو بنك أردني وله فروع في الكثير من دول العالم، من بينها فلسطين المحتلة.

فتحت ستار تجميع الـ«داتا» لأغراض الدراسات والتحاليل التجارية، تأخذ مثل هذه الخطوة كهذه أبعاداً سياسية وأمنية وحقوقية، ليس «البنك العربي»، بالتأكيد، غافلاً عنها، ما يطرح تساؤلات كثيرة عن خلفيات هذا «التفييش» الكامل للبنانيين، وما إذا كان خضوعاً لمطالب جهات خارجية تسعى إلى جمع معلومات ضخمة عن شريحة اجتماعية محددة لزيادة الخناق عليها؟ وما هو دور الأميركيين ومؤسساتهم المالية والأمنية؟ ومن يريد للمصارف في لبنان أن تتحول إلى مراكز استخباراتية؟

المعلومات التي يجمعها المصرف بموجب الإشعار (الذي اطّلعت «الأخبار» على نسخةٍ منه) تتخطى تلك المعتادة حول الوضع الاجتماعي، والاسم الكامل، ورقم الهاتف وعنوان السكن... لتطال معلومات عن «الشهود، وأفراد الأسرة، وجهات الاتصال في حالات الطوارئ، والأوصياء»، وتتضمن توقيعاتهم وعناوينهم و«علاقة العميل بهم، وعنوان الـIP للبريد الإلكتروني الذي يُحدّد عبره الموقع الجغرافي للشخص، والصورة المرئية والصوتية الملتقطة عبر كاميرات «CCTV»، وملفات تتبع استخدام الموقع الإلكتروني «COOKIES»، ومعلومات الأمن والحماية (من دون تحديد ما هي المعلومات التي ستُجمع تحت هذا العنوان)، وبيانات حول موقعك الجغرافي، وأجهزة الصراف الآلي التي تستخدمها، والفروع التي تزورها، وتفاصيل المعاملات التي أجراها العميل أو أي من المرتبطين به، بما في ذلك التواريخ والمبالغ والعملات وتفاصيل الدفع والتسديد، إضافة إلى معلومات تصنيف المخاطر مثل تصنيف مخاطر الائتمان حول قدرتك على الائتمان، معلومات التوظيف ومؤهلات المتقدمين للوظائف المحتملين، البيانات المطلوبة للامتثال لمتطلبات مكافحة الجرائم المالية (غسل الأموال، تمويل الإرهاب)، معلومات النزاعات القانونية، معلومات الاتفاقيات والعقود والفواتير والعمولات...».

بمعنى آخر، سيكون المصرف قادراً على تحديد الموقع الجغرافي للشخص، ونطاق تحركه المعتاد، مع صورته وبصمته الصوتية، وتحديد المحيطين به، وطبيعة علاقته بهم، وتصنيفهم، وتصنيف أوضاعهم المالية، وتعقّب حركة الأموال بينه وبينهم، ومشاركة كل ذلك مع طرف أو أطراف أخرى.

إذ يرد في الإشعار أنّ بإمكان المصرف مشاركة المعلومات مع «مصرف لبنان، والسلطات الحكومية، ووكالات المراجع الائتمانية، ووكالات منع الاحتيال، والسلطات الخارجية، والشركات التابعة للبنك العربي، ومقدمي الخدمات، والمدققين الخارجيين، البنوك المرسلة، الجهات الرقابية والهيئات الحكومية وأجهزة منع الجرائم، الوكلاء بالنيابة عن البنك، خدمات البريد، شركات المحاماة أو المحامين أو المستشارين القانونيين»، وذلك عبر «اتفاقيات تعاقدية ملزمة بحماية المعلومات»، على أن يتخذ «إجراءات معقولة لمنع فقدان البيانات أو وصولها إلى غير الأشخاص الذين يحتاجونها».

وفي تبريره لطلب هذا الكمّ الضخم من البيانات، ادعى المصرف في إشعاره أنها لأسباب «تتعلّق بخدماته ولأغراض تجارية، مثل إجراء التقييم والتحليل لأغراض إحصائية، ولحماية مصالح المصرف التجارية ولتطوير إستراتيجيات أعماله، ولتحصيل أي ديون مستحقة له، وللوفاء بالمتطلبات الرقابية والتزامات الإبلاغ في ما يتعلق بالحماية من الجرائم المالية».

الخطورة تظهر مجدداً في البند المرتبط بمدة الاحتفاط بالبيانات، إذ لم يذكر مدة محددة لإتلاف البيانات، وترك الأمور مفتوحة.

فقد ورد أن المصرف «يحتفظ بالبيانات طوال مدة تعامل العميل مع البنك، وللمدة اللازمة للامتثال للقوانين والأنظمة المعمول بها.

ويتعهد بالتخلص من البيانات عندما لا تعود هناك حاجة إليها». فمن يقرر متى لا تعود هناك حاجة إليها؟ كما لم يذكر الإشعار أن الأطراف الأخرى التي يشارك معها المصرف بيانات العميل ستتلفها، لكنه لا يشير إلى كيف ومتى أو إلى أي ضمانة بإتلافها فعلاً.

وموافقة الزبون على هذه الاستباحة، تعني أيضاً «احتفاظ المصرف بالحق في تحديث الإشعار ليعكس التغييرات في ممارسات المعلومات لدينا بما يتماشى مع القانون»، أي من دون الحاجة إلى موافقة جديدة من العميل.

يطلب المصرف تتبع عملائه وتحركاتهم جغرافياً مع صورهم وبصماتهم الصوتية وميولهم السياسية ومعلومات عن أفراد أسرهم

ويرد في الإشعار، أن المصرف يجمع البيانات بشكل مباشر من العميل، أو «بشكل غير مباشر من مصادر متعددة، بما في ذلك وكيلك والوسطاء والشركات التابعة للبنك، وملفات تتبع استخدام الموقع الإلكتروني «cookies»، وملفات تعريف الأجهزة، ووسائل التواصل الاجتماعي، والمصادر العامة، وشركاء الأعمال، وخدمات التوظيف، وذلك لفهمك وخدمتك بشكلٍ أفضل، أو لتحقيق مصلحة مشروعة».

الخطورة هنا تكمن في ملفات تعريف الأجهزة، وفي إمكانية سحب كل ما يريد من «داتا» مرتبطة بوسائل التواصل الاجتماعي. أي تشريح الميول السياسية وغير السياسية للشخص، وشبكة علاقاته مع الحسابات الصديقة له، التي يتبعها وتتبعه، وحيال أي مواضيع يتفاعل، ومع من يجري محادثاته.

وإذا ما وضعنا جانباً الشق المتعلّق باهتمامات الفرد ربطاً بسياسات التسويق التجارية، ماذا عن حرية التعبير بكل ما هو متّصل بالأمور السياسية؟

فهل سيصنّف «البنك العربي» العميل الذي ينشر مواقف سياسية مؤيدة للمقاومة مثلاً على أنّه شخص داعم للإرهاب، ويمتنع عن التعاون معه؟

ومن يضمن أنه لن يشارك هذه المعلومة من ضمن كمية بيانات ضخمة مع جهات خارجية معنية برصد وتتبع المؤيدين للمقاومة وفرض عقوبات عليهم، في سياق ما تدعي أنه مكافحة الإرهاب؟

مخالفة للقوانين
ارتكز الفريق القانوني في «البنك العربي»، في بداية نصّ الإشعار، على قانون المعاملات الإلكترونية والبيانات ذات الطابع الشخصي (رقم 81 لسنة 2018)، موحياً أنّه يُجمّع ويعالج المعلومات الحساسة لعملائه استناداً إلى مبادئ هذا القانون.

ورغم أنّ المشرع اللبناني غير المُلمّ بثقافة خصوصية البيانات، وضع قانوناً (81) سيئاً يشرّع انتهاك البيانات الشخصية بدلاً من حمايتها، بإجماع خبراء في المجال، إلا أنّه أرسى بعض المبادئ والضوابط. لكن، حتى هذه، أوغل «البنك العربي» بمخالفتها، مستغلاً جهل الناس بالقانون وبحقوقهم السيادية على بياناتهم.

ناهيك بحشو نص الإشعار بعبارات فضفاضة لا تعني شيئاً على المستوى القانوني، وإنما فقط لإيهام العميل بأن القوانين تسمح بهذه الاستباحة، مثل «نعالج بياناتك للامتثال بالالتزام القانوني وبمتطلبات الرقابة»، و«نعتمد على المصالح المشروعة بناء على تقييمنا بأن المعالجة عادلة ومعقولة».

المحامي بيار خوري، المتخصص في قوانين تكنولوجيا المعلومات، والذي شارك في أعمال اللجنة النيابية التي درست مشروع القانون 81، يؤكّد أنّ «إشعار البنك العربي خرق كبير لخصوصية العملاء»، موضحاً أن «القانون 81، رغم علّاته الكثيرة، فرض تحقق مجموعة مبادئ تبرر تجميع بيانات الأفراد، منها مبدأ الغاية، أي ما هي الغاية التي تدفع جهة محددة (المصرف العربي في هذه الحالة) إلى جمع داتا جزء كبير منها لا حاجة لها بها بالنظر إلى الدور الوظيفي للمصرف». إذ لا يمكن مثلاً أن يكون هناك غاية عملية وظيفية تستدعي تحديد المكان الجغرافي للعملاء، ونطاق تحركهم، وماذا ينشرون على مواقع التواصل، وعلاقتهم بالأقارب وعناوين هؤلاء.

المخالفة الثانية، بحسب خوري، تكمن في أن مشاركة معلومات طرف ثالث، يشير إليها بالإشعار بعبارة «أفراد الأسرة، والأوصياء والوسطاء»، غير ممكنة إلا بعد أخذ موافقة هؤلاء، إذ «لا حق للعميل ولا للمصرف بأن يقررا إن كانت الأطراف الثالثة موافقة على تجميع بيانات عنها».

المخالفة الثالثة، ترتبط بنقل البيانات إلى الخارج. وفيما يؤكد خوري أن النواب شرّعوا قانوناً سيئاً لا يتضمّن ما يمنع صراحة نقل البيانات، وبالتالي عدم المنع يعني السماح، يلفت في المقابل إلى أنّ «القانون يفرض تحديد الجهة التي يجب مشاركة البيانات معها بشكل مفصّل، أي ذكر اسمها»، ولا يمكن التعبير عنها كما ورد في إشعار المصرف بـ«سلطات خارجية أو وكالات ائتمان أو...». كما إن الغموض في العبارات يستتبع السؤال: من هي هذه السلطات: قضائية؟ أمنية؟ مخابراتية؟ وهل هناك تعاون بينها وبين لبنان؟

في الأصل لماذا يعرض المصرف على العميل توقيع الإشعار، طالما أنّ المشرّع اللبناني في المادة 94 من القانون 81، وزّع استثناءات لجهات كثيرة، أي منحها صلاحية جمع بيانات شخصية واستخدامها من دون إذن مسبق من صاحب العلاقة، ومن ضمن الجهات تلك «المعالجات التي يكون موضوعها الزبائن والمتعاملين مع المؤسسات والشركات التجارية... في حدود حاجات ممارسة نشاطاتهم القانونية».

وفي رأي خوري، حتى وإن كان المصرف قد تجاوز هذا «الاستثناء السيئ» الذي يسمح له بجمع بعض البيانات، وأراد أخذ موافقة العميل للقول إن سياسات الخصوصية لديه متوافقة مع «اللائحة العامة لحماية البيانات» (GDPR- General Data Protection Regulation) الصادرة عن الاتحاد الأوروبي، والتي توصف بأنها «قانون الخصوصية الأكثر شمولية في العالم»، إلا أن «الإشعار خالف الـ GDPR التي تنص على أنّ موافقة العميل المسبقة وحدها ليست كافية لجمع بياناته واستخدامها ومشاركتها».

كما خالفها عندما قرر جمع المعلومات من مصادر متعددة مثل وسائل التواصل وغيرها، بينما تتحدث (GDPR) عن جمع المعلومات حصراً من الشخص المعني. كذلك خالفها في ما يتعلق بالطرف الثالث الذي سيشاركه المصرف أو يبيعه الـ«داتا». إذ تفرض GDPR أن يكون هذا الطرف مُحدّداً، وأن يمنح صاحب العلاقة الموافقة، مع تحديد مدة الاحتفاظ بالـ«داتا».

ولفت خوري إلى مشروع قانون لحماية البيانات ذات الطابع الشخصي، بدأ بإعداده بالتعاون مع وزير العدل السابق هنري خوري، ويستكمل العمل عليه مع الوزير عادل نصّار، بهدف إلغاء الباب الخامس من القانون 81 المتعلق بالبيانات الشخصية، والذي شرّع انتهاكها في أكثر من مفصل.

تحايل على العملاء
مقابل التشريح الكامل للعميل، يمنحه المصرف في إشعار الخصوصية بعض الحقوق المشروطة. إذ يمكن للعميل طلب التحقّق من المعلومات الشخصية التي يعالجها المصرف، وتزويده بتفاصيل محدّدة بشأن أنشطة المُعالجة والاستفسار عن أي تحليل لبياناته.

كما يمكنه طلب تزويده بنسخة عن البيانات التي جمعها البنك مباشرة أو غير مباشرة، والسؤال عن الأطراف التي وصلتها معلوماته، وتصحيح المعلومات أو محوها إذا كانت غير صحيحة، ولكن هذه الحقوق مقيّدة بعبارة واردة في الإشعار «إن تلبيتنا لطلباتك قد تكون مقيدة، في ظروف معينة، وفقاً للقانون».

يحاول المصرف إخلاء مسؤوليته تجاه العميل، مع إدراكه أن قوانين متخصصة بهذا الشكل، لا يفقه بها جميع العملاء، ويعزز هذا الجهل غياب ثقافة الخصوصية بشكل عام في بلادنا. بمعنى أوضح، من يشرح حدود القانون للعميل، وما إذا كان المصرف يطبّقه أم يخرقه، ومن خاض معركة رأي عام بوجه انتهاكات الخصوصية التي أرساها القانون 81 الذي يعتمد عليه حيناً «البنك العربي» في إشعاره، ويخرقه أحياناً أخرى؟

مدير «برنامج الإعلام ومشروع حوكمة الإنترنت» في جمعية «Smex»، عبد قطايا، يرى في خطوة المصرف «تحايلاً على العملاء، عبر استغلال العبارات الفضفاضة من جهة، وجهل الناس بأبعاد هذا الإشعار الذي لا حدود له». ويشير إلى أنّ «هناك لجوءاً واضحاً إلى صياغة شروط ووضع إطار علاقاتي تعاقدي مع الزبائن تحكمه سياسات المصرف أو المؤسسة التي تجبر المتعامل معها على التنازل عن حقوقٍ سيادية على بياناته، وحتى في هذه الحالة على حركته الجسدية».

وهو ما يقود، في رأيه، إلى تسليط الضوء على تقصير الدولة كجهةٍ ناظمة، لم تشرّع قانوناً يحمي اللبنانيين، وهي في الأصل لم تُنجز المراسيم التطبيقية للقانون الحالي. وبالتالي، ليست هناك من جهةٍ تراقب عمل المؤسسات والجهات التي تجمّع الـ«داتا».

قانونياً، يفترض أن تكون هذه الصلاحية لهيئة مستقلة ذات طابع قضائي، في حين أنّ جلَّ ما ذكره القانون 81 هو إرسال تصريح إلى وزارة الاقتصاد، تعلمها به الجهة التي تنوي جمع بيانات شخصية، أنها ستقوم بذلك، وتنشره الوزارة على موقعها الإلكتروني، من دون أن يكون لها أي دور رقابي على عملية التجميع.

وفي هذا السياق، علمت «الأخبار» أنه منذ إقرار القانون عام 2018، لم يتعدَّ عدد الجهات التي صرّحت لوزارة الاقتصاد بأنها تجمع بيانات شخصية عدد أصابع اليد الواحدة.

الخارجية الأميركية: نُريد حساباتكم على وسائل التواصل
في 11 تموز الحالي، أصدرت وزارة الخارجية الأميركية قراراً تُلزم بموجبه جميع المتقدّمين للحصول على تأشيرة F أو M لغير المهاجرين، تعديل إعدادات الخصوصية على جميع حساباتهم على مواقع التواصل الاجتماعي، إلى «عامة»، أي (Public)، لـ«تسهيل عملية التدقيق اللازمة لإثبات هويتهم وأهليّتهم لدخول الولايات المتحدة».

ومع أن عملية التدقيق في هواتف المهاجرين ليست جديدة، لكنها كانت تحصل لدى وصول المسافر إلى الولايات المتحدة، وقبل السماح له بالإقامة في البلاد.

أما عمليات البحث في الحسابات على مواقع التواصل الاجتماعي لمعرفة الميول السياسية ومواقف الشخص الراغب بالسفر إلى أميركا، فكانت تقتصر على الذين جعلوا حساباتهم (Public)، ولم تكن السلطات قادرة على مراقبة ما ينشره أصحاب الحسابات المحجوبة إلا عن الأصدقاء الافتراضيين.

لذلك، يأتي قرار الخارجية الأميركية ليقونن عملية «التفييش» تلك، ويختصر الطريق قبل منح التأشيرات.

في العمق، تحوّل الإدارة الأميركية وسائل التواصل الاجتماعي إلى وسيلة لـ«التفييش» والرقابة، وجزءٍ من مظاهر المجتمع الرقابي الذي تفرضه التكنولوجيا في حياتنا اليومية، وتجعل كل ما نبوح به على وسائل التواصل مؤثّراً ليس فقط في حياتنا اليومية السياسية والمهنية، بل له تبعات أمنية علينا.

وهو إعادة لرسم النُّظم والمعايير الأساسية لحرية التعبير على وسائل التواصل الاجتماعي، وبالتالي تحوّلها إلى سجنٍ رقابي قد يكون أكبر مركز رقابي تديره أميركا في العالم اسمه «ميتا»، وعلى كل من ينتسب إليه الخضوع للرقابة الأميركية وللمعايير التي ترسمها «الإمبراطورية» للتعبير عن الرأي، ومن لا يتّسق مع هذه المعايير سيكون خارج أميركا، ولن يقف الأمر عند حدود حجب التأشيرة عنه، بل سيجري تصنيفه وفق معايير محدّدة أميركياً.

في هذا السياق، هل يصبح من الطبيعي أن يُدرج بند جمع «داتا» وسائل التواصل الخاصة بالأفراد ضمن سياسات الخصوصية المعتمدة في المصارف؟ ومن سيتبع «البنك العربي» في هذا المسار، وسط تأكيد أكثر من مصرفٍ كبيرٍ أن هذه المصارف غير معنيّة بهذه السياسات.