العودة إلى المدونة
5 دقيقة قراءةLaw & Regulationprivacygdprcompliancearchitecturedata

متى يكون التجزئة (Hash) بيانات شخصية؟ حكم SRB من محكمة العدل الأوروبية وهوية التحليلات

حوّل حكم EDPS ضد SRB من محكمة العدل الأوروبية قابلية التعرّف إلى اختبار نسبي يعتمد على السياق. إليك ما يعنيه ذلك للتحليلات القائمة على التجزئة، ولماذا يصمد التجزئة المملّحة المتجددة يوميًا أمام قراءة المحكمة وأمام قراءة EDPB الأكثر صرامة معًا.

Izac CavalheiroFounder

السؤال الذي يتهرب منه كل مزوّد تحليلات سهل الطرح وصعب الحسم: هل المعرّف الموجود في قاعدة بياناتك بيانات شخصية؟ في 4 سبتمبر 2025 قدّمت محكمة العدل الأوروبية (CJEU) أهم إجابة منذ سنوات، وأعادت صياغة الاختبار بأكمله حول السياق بدلًا من البيانات في حد ذاتها.

ما الذي قرّره فعليًا حكم EDPS ضد SRB

نشأت القضية — EDPS ضد SRB، C-413/23 P — من تسوية Banco Popular. جمع المجلس الموحّد للتسوية (SRB) تعليقات من المساهمين، واستبدل هوية كل كاتب برمز أبجدي رقمي، وأرسل التعليقات المرمَّزة إلى Deloitte بصفتها مقيّمًا مستقلًا. لم يكن لدى Deloitte مفتاح لعكس الرموز ولا أي طريق آخر للوصول إلى الكتّاب.

قضت المحكمة بأن البيانات المستعارة (pseudonymised) ليست تلقائيًا بيانات شخصية لكل طرف يتعامل معها. فكون مجموعة بيانات شخصية يُقيَّم بالنسبة إلى حائزها — من موقع المتلقّي المحدد، مع مراعاة الوسائل التقنية والتنظيمية والقانونية المتاحة له واقعيًا.

هذا هو اختبار قابلية التعرّف النسبية (أو السياقية)، وهو القراءة العملية لعبارة «الوسائل التي يُرجَّح بشكل معقول استخدامها» الواردة في الحيثية 26. فالبيانات التي تكون شخصية في يد المراقب (controller) قد تكون غير شخصية في يد متلقٍّ لا يستطيع حقًا إعادة التعرّف على أي شخص.

التوتر مع EDPB

لم تمنح المحكمة المزوّدين تصريحًا مفتوحًا. فـ إرشادات EDPB رقم 01/2025 بشأن الاستعارة تتبنى خطًا أكثر صرامة عن قصد: تظل البيانات المستعارة بيانات شخصية ما دام أي شخص — المراقب أو طرف ثالث ما — يحتفظ بوسائل إعادة التعرّف. وتقرير EDPB الصادر في فبراير 2026 حول إخفاء الهوية والاستعارة هو المجلس وهو يعالج بالضبط هذه الفجوة بين موقفه وموقف المحكمة.

بالنسبة للمطوّرين، القراءة العملية محافِظة. لا تفترض أن قيمة مجزّأة (hashed) خارج نطاق GDPR لمجرد أن خدمتك أنت لا تستطيع عكسها. السؤال الصحيح هو ما إذا كانت إعادة التعرّف مرجَّحة بشكل معقول لأي حائز للمعلومات الإضافية — وما إذا كانت تلك المعلومات الإضافية لا تزال موجودة أصلًا.

لماذا تفشل معظم تجزئات التحليلات في الاختبار

تجزئة المعرّف ليست إخفاءً للهوية. فـ SHA-256 لعنوان بريد إلكتروني حتمي: العنوان نفسه يُنتج دائمًا الملخّص (digest) نفسه. وأي شخص لديه قائمة بعناوين مرشَّحة يمكنه تجزئتها ومطابقتها. التجزئة مفتاح ثابت وقابل للربط — استعارة في أفضل الأحوال، وبيانات شخصية وفق القراءتين معًا، لأن وسائل إعادة التعرّف متاحة ببساطة.

وينطبق الفخّ نفسه على عنوان IP مجزّأ، أو معرّف جهاز مجزّأ، أو أي ملخّص لمدخل مأخوذ من فضاء صغير قابل للتعداد. الحتمية مع مدخل قابل للتخمين يساويان إعادة التعرّف. تغيّر دالة التجزئة البايتات، لا قابلية الربط.

ما الذي يجعل التجزئة قابلة للدفاع عنها فعلًا

هناك خاصيتان تنقلان التجزئة من «بيانات شخصية مستعارة» نحو «غير قابلة لإعادة التعرّف بشكل معقول»: ملح (salt) سري لا يُخزَّن أبدًا بجانب البيانات، ومدخل لا يمكن تخمينه بشكل شامل ولا يبقى عبر الزمن. ونموذج الهوية في Monoid مبني على هذا تحديدًا:

SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

يعيش عنوان IP الخام و User-Agent في ذاكرة الـ Worker فقط للمدة اللازمة لحساب الملخّص؛ ويخزّن D1 التجزئة، لا المدخلات أبدًا. ويُحفظ SALT_SECRET على جانب الخادم ولا يُكتب قط بجوار البيانات، لذا لا يجد هجوم جدول قوس قزح (rainbow table) أو القوة الغاشمة على التجزئات المخزَّنة أي نقطة ارتكاز. ولأن التاريخ مدخل، فإن ملخّص الزائر نفسه يتجدد عند كل منتصف ليل بتوقيت UTC. لا يوجد مفتاح ثابت عابر للأيام يُستخدم في الربط.

مرّر هذا البناء عبر الاختبارين. وفق المعيار النسبي لمحكمة العدل الأوروبية، لا يملك أي متلقٍّ للتجزئات المخزَّنة — بما في ذلك Monoid وهو يستعلم من D1 الخاص به — الوسائل المرجَّحة بشكل معقول لإعادة التعرّف، لأن الملح معزول والمدخل غير قابل للتعداد. ووفق معيار EDPB الأكثر صرامة، معيار «أي شخص»، فإن المعلومات الإضافية اللازمة (عنوان IP الخام، مع User-Agent، مع الملح السري لذلك التاريخ المحدد) لا تُحتفظ في أي مكان بعد انتهاء الطلب. وسائل إعادة التعرّف ليست مقيَّدة فحسب؛ بل تتوقف عن الوجود.

كيف تدقّق منظومتك أنت

يمنحك الحكم قائمة تحقّق ملموسة تنطبق على أي تحليلات تعتمد عليها:

  • هل المدخل المجزّأ قابل للتعداد؟ يمكن تجزئة بريد إلكتروني أو رقم هاتف أو عنوان IP خام ومطابقتها بقائمة مرشَّحين. وإذا كان فضاء المدخلات صغيرًا، فالتجزئة قابلة للعكس عمليًا.
  • هل يوجد ملح سري معزول عن البيانات المخزَّنة؟ التجزئة بلا ملح، أو بملح موجود في المخزن نفسه، لا تقدّم حاجزًا حقيقيًا أمام إعادة التعرّف.
  • هل يبقى المعرّف عبر الجلسات؟ المفتاح الثابت الذي يربط نشاط شخص على مدى أسابيع بيانات شخصية وفق أي قراءة. أما المفتاح الذي يتجدد يوميًا فلا يستطيع تجميع ملف تعريفي.

لم تعلن محكمة العدل الأوروبية الاستعارة ملاذًا آمنًا، وتحرص EDPB على ألا يقرأها أحد كذلك. الموقف الراسخ هو الذي لا يحتاج إلى أي تأويل كي ينتصر: تجزئة مملّحة، متجددة يوميًا، فوق مدخل غير قابل للتعداد، غير قابلة لإعادة التعرّف بشكل معقول من أي أحد، لأن المادة اللازمة لعكسها لم تُحفظ قط.

المصادر

Related posts

5 دقيقة قراءةLaw & Regulation

تحديد مدة التخزين هو جبهة الإنفاذ لعام 2026 في مجال التحليلات

توقّفت الجهات التنظيمية عن السؤال عما إذا جمعت البيانات بشكل قانوني، وبدأت تسأل متى حذفتها. بعد غرامة CNIL البالغة 42 مليون يورو ضد Free وحملة EDPB لفحص الحذف، أصبح الاحتفاظ ببيانات التحليلات هدف التدقيق.

اقرأ المزيد
4 دقيقة قراءةLaw & Regulation

مشروع Digital Omnibus يسعى إلى إعفاء التحليلات من الطرف الأول من شرط الموافقة

يقترح Digital Omnibus الأوروبي الصادر في نوفمبر 2025 إعفاءً من الموافقة لقياس الجمهور من الطرف الأول للاستخدام الداخلي. وهو يصف النموذج الذي تُشغّله التحليلات الخالية من الكوكيز بالفعل.

اقرأ المزيد
5 دقيقة قراءةLaw & Regulation

Consent Mode v2 ونهاية Google Signals في يونيو 2026

في 15 يونيو 2026 يصبح ad_storage أداة التحكم الوحيدة في بيانات الإعلانات داخل منظومة Google. إليك ما تغيّره نهاية Google Signals بالنسبة للمطورين — ولماذا كانت هذه الآلية كلها شيئًا لم تحتج التحليلات الخالية من الكوكيز إلى بنائه قط.

اقرأ المزيد

Comments

Loading comments…