جدل حول توثيق الهوية عبر Persona على LinkedIn
أثارت تقارير حديثة حول شريك التحقق من الهوية التابع لـ LinkedIn جدلاً واسعاً حول حماية البيانات وطرق استخدامها. تُطرح أسئلة حول مدى الالتزام بسياسات الخصوصية وكيفية معالجة البيانات المطابقة لطلبات التوثيق داخل النظام الإيكولوجي للشركة.
وفق تقرير نشره The Local Stack، راجع باحث أمني شروط الخدمة والملاحظات الإجرائية لشركة Persona واكتشف أن المنصة تجمع نطاقاً واسعاً من البيانات استناداً إلى مستندات الهوية التي يرفعها المستخدمون لغرض التحقق. أورد التقرير أن الصحفي الذي أجرى التجربة استخدم صورة جواز سفره بهدف الحصول على شارة التوثيق عبر Persona، وبعد رفع المستند طور النظام مطابقة نقاط بيانات واستخراج مجموعة كبيرة من المعلومات.
وشملت البيانات التي تم جمعها الاسم الكامل، القياسات الهندسية للوجه، بيانات NFC المستخرجة من الجواز، رقم الهوية الوطنية، البريد الإلكتروني، رقم الهاتف، عنوان IP، الموقع الجغرافي، وغيرها من المعلومات الحساسة.
إلى جانب ذلك، أجرى Persona تدقيقاً خلفياً شاملاً وفق تقارير المطابقة مع قواعد بيانات حكومية، ووكالات تقارير ائتمانية، وشركات مرافق عامة، وقواعد بيانات العناوين البريدية، إضافة إلى مصادر أخرى. ويُعد هذا التدقيق خطوة متقدمة للتحقق من الهوية، لكن النقطة المثارة كانت كيفية استخدام هذه البيانات لاحقاً وإمكانية مشاركتها مع أطراف أخرى.
التقرير أشار إلى أن المعلومات التي جُمعت أصبحت متاحة لما يصل إلى 17 جهة معالجة فرعية، وهي أطراف ثالثة متعاقدة يمكنها الوصول إلى البيانات ضمن منظومة العمل الخاصة بالشركة. وفقاً لما ورد، فإن مشاركة هذه البيانات مع هذا العدد من الشركاء تفتح الباب نظرياً أمام احتمالات استخدام غير واضح أو غير معلن للمعلومات الشخصية، ما أثار تساؤلات واسعة حول مستوى حماية الخصوصية.
في المقابل، نفى الرئيس التنفيذي لشركة Persona، Rick Song، هذه الادعاءات عبر منشور على LinkedIn، موضحاً أن الشركة لا تعالج بيانات المستخدمين لأي غرض آخر غير تأكيد الهوية، وأنها لا تستخدم أي بيانات شخصية في تدريب أنظمة الذكاء الاصطناعي، كما تُحذف البيانات البيومترية فور انتهاء المعالجة وتُحذف بقية البيانات خلال مدة لا تتجاوز 30 يوماً. كما أشار إلى أن قائمة الجهات الفرعية الواردة في وثائق Persona قد تكون مضللة، لأن العملاء يحددون المنتجات أو الخدمات المستخدمة في عملية التحقق، وهو ما يحدد الجهات الفرعية التي يمكنها الوصول إلى البيانات، مؤكدًا أن Persona لا تشارك البيانات مع طرف غير معتمد.
تداعيات الأزمة على شركاء Persona بدأت تظهر؛ فقد قررت منصة Discord إنهاء تجربتها مع Persona كشريك للتحقق من الهوية، استجابةً للمخاوف المثارة، وذكر تقارير بأن شركاء آخرين يطالبون الشركة بتوضيحات أكثر تفصيلًا حول آليات مشاركة البيانات مع الشركاء الموسعين. في ظل وجود نحو 100 مليون مستخدم على LinkedIn قاموا بتوثيق معلومات حساباتهم، فإن القضية تحمل أبعاد واسعة حتى إن لم يتم تطبيق المعالجة على جميع المستخدمين عبر Persona. يبقى سؤال الأمان والشفافية في إدارة البيانات وحدود الاستخدام مطروحاً بقوة مع تزايد أهمية الخصوصية الرقمية عالمياً.
