واجهت ProtonMail، وهي خدمة بريد إلكتروني مستضافة تركز على الاتصالات المشفرة من طرف إلى طرف، انتقادات بعد أن أظهر تقرير للشرطة أن السلطات الفرنسية تمكنت من الحصول على عنوان IP لناشط فرنسي كان يستخدم الخدمة.
وتواصلت الشركة على نطاق واسع بشأن الحادث، مشيرة إلى أنها لا تسجل عناوين IP افتراضيًا وأنها تلتزم فقط باللوائح المحلية – في هذه الحالة القانون السويسري.
وبينما لم تتعاون ProtonMail مع السلطات الفرنسية، أرسلت الشرطة الفرنسية طلبًا إلى الشرطة السويسرية عبر اليوروبول لإجبار الشركة على الحصول على عنوان IP لأحد مستخدميها.
وخلال العام الماضي، استحوذت مجموعة من الأشخاص على عدد قليل من المباني التجارية والشقق في باريس. وكانوا يريدون محاربة المضاربة العقارية و Airbnb والمطاعم الراقية.
بداية القصة
نشرت المجموعة في الأول من شهر سبتمبر مقالاً لخصت فيه تحقيقات الشرطة المختلفة والقضايا القانونية ضد بعض أعضاء المجموعة.
ووفقًا للقصة، أرسلت الشرطة الفرنسية طلب يوروبول إلى ProtonMail من أجل الكشف عن هوية الشخص الذي أنشأ حساب ProtonMail – كانت المجموعة تستخدم عنوان البريد الإلكتروني هذا للتواصل. وتمت مشاركة العنوان أيضًا عبر العديد من المواقع.
وبحسب المعلومات فقد تلقت الشرطة الفرنسية رسالة تحتوي على تفاصيل حول حساب ProtonMail.
ورد المؤسس والرئيس التنفيذي للشركة على ذلك دون ذكر الظروف المحددة لهذه الحالة على وجه الخصوص.
وقال: يجب أن تمتثل الشركة للقانون السويسري. وبمجرد ارتكاب جريمة، يمكن تعليق حماية الخصوصية ونحن مطالبون بموجب القانون السويسري بالرد على الطلبات الواردة من السلطات السويسرية.
وأراد الرئيس التنفيذي للشركة توضيح أن شركته لم تتعاون مع الشرطة الفرنسية ولا اليوروبول. ويبدو أن اليوروبول عمل كقناة اتصال بين السلطات الفرنسية والسلطات السويسرية.
وفي مرحلة ما، تسلمت السلطات السويسرية القضية وأرسلت طلبًا إلى ProtonMail مباشرة. وتشير الشركة إلى هذه الطلبات على أنها طلبات أجنبية تمت الموافقة عليها من قبل السلطات السويسرية في تقرير الشفافية الخاص بها.
ويبدو من المحتمل أن ProtonMail كانت تخضع لأمر قانوني لتأخير تنبيه صاحب الحساب لما يصل إلى ثمانية أشهر، أو تم تزويد الخدمة بمعلومات من قبل السلطات السويسرية مما أدى إلى استنتاج أن تأخير التنبيه ضروري لتجنب خطر الإصابة أو الوفاة أو الضرر الذي لا يمكن إصلاحه لشخص أو أشخاص.
ومن الواضح أن مستوى الشفافية الممنوح للأفراد بموجب القانون السويسري الذي يتطلب إشعارًا إلزاميًا عند طلب بيانات الشخص محدودة للغاية إذا كانت السلطات القانونية نفسها تستطيع منع التنبيهات لفترات طويلة من الزمن.
كما أن الإفصاحات العامة لشركة ProtonMail تسجل ارتفاعًا مقلقًا في طلبات الحصول على البيانات من قبل السلطات السويسرية.
اقرأ أيضًا: آبل أجبرت ProtonMail على تغيير تطبيقه المجاني
ProtonMail تخضع لأمر من السلطات السويسرية
وفقًا لتقرير الشفافية الخاص بها، تلقت الخدمة 13 طلبًا من السلطات السويسرية في عام 2017. ولكن ذلك تضخم إلى 3572 بحلول عام 2020.
كما ارتفع عدد الطلبات الأجنبية إلى السلطات السويسرية التي تمت الموافقة عليها. ولكن ليس بشكل حاد. إذ أبلغت الخدمة عن تلقي 13 طلبًا من هذا القبيل في عام 2017، الذي ارتفع إلى 195 في عام 2020.
وتقول الشركة إنها تمتثل للطلبات القانونية لبيانات المستخدم. ولكن تطعن في الطلبات التي لا تعتقد أنها قانونية.
ووفقًا لسياسة الخصوصية، قد تتضمن المعلومات التي يمكن أن توفرها بشأن حساب المستخدم معلومات الحساب المقدمة من قبل المستخدم (مثل عنوان البريد الإلكتروني) ونشاط الحساب والبيانات الوصفية (مثل المرسل وعناوين البريد الإلكتروني للمستلم وعناوين IP التي نشأت منها الرسائل الواردة وأوقات إرسال الرسائل واستلامها وموضوعات الرسائل وما إلى ذلك) والعدد الإجمالي للرسائل والتخزين المستخدم ووقت تسجيل الدخول الأخير والرسائل غير المشفرة المرسلة من مقدمي الخدمات الخارجيين إلى ProtonMail.
وكمزود بريد إلكتروني مشفر من طرف إلى طرف، لا يمكنه فك تشفير بيانات البريد الإلكتروني. لذلك لا يمكنه تقديم معلومات حول محتويات البريد الإلكتروني، حتى عند تقديم أمر قانوني.
وتشير الشركة في تقرير الشفافية الخاص بها أيضًا إلى طبقة إضافية من جمع البيانات التي قد تكون ملزمة قانونيًا بتنفيذها.
وكتبت الشركة: بالإضافة إلى العناصر المدرجة في سياسة الخصوصية الخاصة بنا، في القضايا الجنائية القصوى، يجوز للخدمة أيضًا مراقبة عناوين IP التي يتم استخدامها للوصول إلى حسابات ProtonMail التي تشارك في أنشطة إجرامية.
وتوفر الخدمة للمستخدمين عنوان Onion، مما يعني أن النشطاء المهتمين بالتتبع يمكنهم الوصول إلى خدمة البريد الإلكتروني المشفرة باستخدام Tor مما يجعل من الصعب تتبع عنوان IP.
نتيجة لذلك فإن الشركة توفر أدوات للمستخدمين لحماية أنفسهم من مراقبة IP. وذلك بالرغم من أنه يمكن تحويل خدمتها في ظروف معينة إلى أداة مراقبة IP بموجب القانون السويسري.
اقرأ أيضًا: أبرز 5 خدمات بريد إلكتروني تدعم التشفير لتأمين مراسلاتك