العودة إلى المدونة
5 دقيقة قراءةprivacygdprcompliancetracking

قانون الكوكيز لم يعد عن الكوكيز: ما تُغطيه المادة 5(3) الآن

وسَّعت إرشادات EDPB رقم 2/2023 قواعد موافقة ePrivacy لتشمل البكسلات وتتبُّع عناوين URL والتعرُّف عبر IP فقط. تؤكد قرارات CNIL وGarante الحديثة القراءة المحايدة تكنولوجياً. إليك ما يتغير للمطورين.

كانت عبارة "قانون الكوكيز" تسمية مضللة دائماً. لم تستخدم المادة 5(3) من توجيه ePrivacy كلمة كوكي قط — بل تتحدث عن "تخزين معلومات، أو الحصول على معلومات مُخزَّنة بالفعل، في المعدات الطرفية للمشترك أو المستخدم". وعلى مدى عقدين، طبَّق المنظمون ذلك النص في معظمه على الكوكيز لأن الكوكيز كانت آلية التخزين المهيمنة. لقد انتهى ذلك العصر.

في أكتوبر 2024، انتهى المجلس الأوروبي لحماية البيانات من وضع الإرشادات 2/2023 بشأن النطاق التقني للمادة 5(3). الإرشادات محايدة تكنولوجياً وتُغطي صراحةً بكسلات التتبع، وتتبع عناوين URL، والتتبع المعتمد على IP فقط، والمُعرِّفات الفريدة. وفي أبريل 2026، ترجمت CNIL الفرنسية وGarante الإيطالية ذلك الإطار إلى إرشادات وطنية ملزمة بشأن تتبع بكسلات البريد الإلكتروني. الاتجاه لا لبس فيه: إذا كانت التقنية تُتيح لخادم قراءة إشارات تعريفية من جهاز زائر، فإن الموافقة مطلوبة، سواء كُتب شيء في المقابل أم لا.

ما تعنيه "الحصول على وصول" الآن

تستند المادة 5(3) إلى مفهومين تشغيليين: التخزين والحصول على وصول. يعامل معظم العمل الامتثالي القائم التخزينَ وحده باعتباره المُحفِّز — إذا لم تضع كوكياً، تفترض أنه لا حاجة للموافقة. ترفض الإرشادات تلك القراءة.

يتحقق الحصول على وصول حين يُوجِّه خادم الجهازَ فعلياً لإرسال قيم. تُطلق بكسل التتبع طلباً تحمل سلسلة استعلامه مُعرِّفات. ويُحدِّد رابط URL فريد مُضمَّن في نشرة بريدية المستلمَ. كما أن عنوان IP، حين يُستخدم لتتبع الجهاز نفسه عبر الجلسات، هو وصول أيضاً — تنبع القيمة من حزمة شبكة الجهاز وتُرسَل في كل طلب.

الآلية هي ما يهم، لا تنسيق الديمومة. تُعامل بصمة مُخزَّنة في قاعدة بيانات من جهة الخادم بشكل مماثل لكوكي مُخزَّن في المتصفح.

لماذا يُعيد ذلك رسم خريطة أدوات التحليلات

تُسوِّق كثير من أدوات التحليلات التي تركز على الخصوصية نفسها على أنها بلا كوكيز، بينما لا تزال تعتمد على أنماط تُغطيها الإرشادات الآن:

  • الكوكيز من جهة الخادم والمُعرِّفات المُقسَّمة بأسلوب CHIPS. نقل الكوكي إلى سياق مُقسَّم أو إلى مخزن من جهة الخادم في النطاق الأول لا يُغيِّر مسألة الوصول. إذا وصل المُعرِّف نفسه إلى خادم التحليلات عبر الزيارات، فلا يزال وصولاً.
  • مُعرِّفات الزائر المُشتقة من IP. الأدوات التي تُجزِّئ IP وتستخدم التجزئة كمُعرِّف ثابت عبر الأيام تحصل على معلومات تنشأ من الجهاز. نصيحة EDPB صريحة: يتطلب ذلك موافقة ما لم يُثبت المُتحكِّم أن IP لم ينشأ من المعدات الطرفية للمستخدم.
  • تتبع الفتح والمشاهدة المعتمد على البكسل. يتطلب قرار CNIL رقم 2026-042 (14 أبريل 2026) وإرشادات Garante في 17 أبريل 2026 موافقة صريحة منفصلة لتتبع الفتح الفردي في البريد الإلكتروني — قبل إرسال البريد.

النمط المشترك هو مُعرِّف ثابت يبقى عبر الزيارات أو الجلسات أو الرسائل. مهما كانت طبقة التخزين، يُنشئ التعرُّض التنظيمي نفسه ككوكي.

الاختبار التقني للتجميع الممتثل

تترك الإرشادات ممراً ضيقاً: إشارات إجمالية لا تنحل فيها أي قيمة يُخزِّنها الخادم إلى جهاز محدد عبر الزمن. يحمل طلب إلى نقطة نهاية تجميع قيماً تقع في ثلاث فئات:

1. Transport-layer values (IP, User-Agent) the server cannot avoid receiving
2. Contextual values (path, referrer domain, country derived from IP)
3. Derived values the server chooses to produce and store

الفئة 1 لا مفر منها في TCP/HTTP. السؤال هو كيف تبدو الفئة 3. إذا كانت قيمة مُشتقة مُعرِّفاً دائماً — حتى لو كانت مُجزَّأة، وحتى لو كانت مُملَّحة — فهي وصول. إذا كانت قيمة مُشتقة تُعاد ضبطها ضمن نافذة محددة ولا يمكن ربطها عبر النوافذ، فإن تحليل EDPB يُعاملها كإجمالية.

تجزئة الزائر اليومية في Monoid هندَست لاجتياز هذا الاختبار:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

يُستخدم IP وUser-Agent في الذاكرة فقط لحساب التجزئة ثم يُتلفان. مدخل التاريخ يعني أن الزائر نفسه يُنتج تجزئة مختلفة غداً — لا يوجد مُعرِّف عبر الأيام للحصول على وصول إليه، بحكم البناء. ضمن يوم واحد، تُزيل التجزئة تكرار الزائر للأعداد الإجمالية؛ وعبر الأيام، لا يوجد شيء يُمكن لخصم أو منظِّم إعادة بنائه.

الترويسات التي تهم على نقطة نهاية التجميع

تحمل ترويستا HTTP معظم سطح الخصوصية على مُجمِّع حافة من النطاق الأول وينبغي ضبطهما بتدقيق.

Referrer-Policy: strict-origin-when-cross-origin هي الإعداد الافتراضي الحديث في Chrome وترسل الأصل فقط على الطلبات عبر الأصول. تجنب unsafe-url وno-referrer-when-downgrade — كلاهما يُسرِّب معلومات المسار دون داعٍ.

ينبغي أن يرفض Permissions-Policy صراحةً ميزات لا يحتاجها مُتتبِّع التحليلات:

Permissions-Policy: geolocation=(), microphone=(), camera=(),
  payment=(), usb=(), interest-cohort=()

مُتتبِّع لا يستطيع طلب الموقع أو الصوت أو مستشعرات الجهاز لا يمكن إجباره على فعل ذلك بواسطة نص خارجي مُخترَق يتشارك الصفحة.

ما ينبغي للمطورين تدقيقه هذا الربع

ثلاثة أسئلة تُحرك التدقيق إلى الأمام:

  1. هل تسمح أي قيمة يُخزِّنها خادم التحليلات بتحديد الزائر نفسه عبر نافذة 25 ساعة؟ إن كان نعم، فإن النشر يتطلب على الأرجح الآن موافقة المادة 5(3).
  2. هل تُستخدم مُعرِّفات البكسل وURL في البريد الإلكتروني المعاملاتي أو التسويقي؟ بموجب إرشادات CNIL وGarante، يتطلب تتبع الفتح الفردي موافقة منفصلة صريحة قبل إرسال البريد.
  3. هل تُعيِّن نقطة نهاية التجميع Referrer-Policy صارمة وPermissions-Policy رافضة افتراضياً؟

سؤال "لافتة الكوكيز" يقع في نهاية مجرى سؤال أبسط: هل يُنتج نموذج البيانات أصلاً مُعرِّفاً عبر الجلسات. حين يكون الجواب لا، فإن كامل آلية المادة 5(3) — الموافقة والسحب وسجلات المعالجة — لا تنشط، لأن المُحفِّز التقني للائحة لم يُسحب أبداً.