العودة إلى المدونة
5 دقيقة قراءةprivacycompliancetrackingdata

Global Privacy Control أصبح الآن إشارة انسحاب مُلزِمة في عشر ولايات

لم يعد GPC مجرد توصية. بعد تسوية Disney وحملة تفتيش مشتركة بين ثلاث ولايات، أصبح ترويسة Sec-GPC مُلزِمة قانونياً في عشر ولايات أمريكية — والتحليلات بلا كوكيز لا شيء لديها لتحترمه.

يستطيع المتصفح الآن أن يخبر خادمك، في ترويسة HTTP واحدة، بأن الزائر قد اختار الانسحاب من بيع بياناته أو مشاركتها — وفي عشر ولايات أمريكية أنت مُلزَم قانونياً بالامتثال. الإشارة هي Global Privacy Control (GPC)، وبعد عام من إجراءات الإنفاذ توقفت عن كونها مجاملة وأصبحت التزاماً يتعين على المطورين تنفيذه في الكود.

لم تكتب معظم الفِرَق سطراً واحداً من معالجة GPC. تلك الفجوة أصبحت الآن هدفاً للإنفاذ.

ما هي الإشارة في الواقع

GPC هو سطحان يصفان تفضيلاً واحداً. على الشبكة هو ترويسة طلب HTTP:

Sec-GPC: 1

تسمح مواصفة W3C بقيمة واحدة بالضبط — الحرف الحرفي 1. تُرسَل الترويسة مع كل طلب يقوم به المتصفح طالما كان GPC مُفعَّلاً: تحميل الصفحات، استدعاءات API، جلب الصور والسكربتات. لا وجود لـ Sec-GPC: 0؛ غياب الترويسة يعني لا إشارة، لا موافقة.

في JavaScript يُكشَف التفضيل نفسه على navigator:

const optedOut = navigator.globalPrivacyControl === true

تُعيد هذه الخاصية true حين يكون GPC نشطاً، وfalse حين يكون مدعوماً لكنه مُطفأ، وundefined في المتصفحات التي لا تُنفِّذ المواصفة. اكتشاف الترويسة من جهة الخادم وقراءة الخاصية من جهة العميل ليسا قابلين للتبادل: تصل الترويسة قبل تشغيل أي JavaScript، لذا فإن كل ما يجمع البيانات على الحافة يجب أن يقرأ الترويسة.

لماذا أصبحت مُلزِمة

انتقلت آليات الانسحاب الشاملة من اختيارية إلى إلزامية في موجة من قوانين الولايات. كاليفورنيا (CPRA)، وكولورادو، وكونيتيكت، وديلاوير، ومونتانا، ونبراسكا، ونيوهامبشاير، ونيوجيرسي، وأوريغون، وتكساس تطالب الآن المؤسسات الواقعة ضمن النطاق باحترام إشارة تفضيل انسحاب مُعتمَدة، وكل جهة من تلك الجهات التنظيمية صنَّفت GPC على أنها صالحة. اعتباراً من منتصف عام 2025، هذه عشر ولايات عليها واجب قانوني ساري المفعول.

تبع الإنفاذُ القواعدَ. في سبتمبر 2025، أعلنت وكالة حماية الخصوصية في كاليفورنيا، والمدعي العام لكولورادو، والمدعي العام لكونيتيكت عن حملة تحقيق مشتركة استهدفت تحديداً المؤسسات التي تجاهلت إشارات الانسحاب — وأشارت إلى المواقع التي عرضت تأكيداً يبدو ممتثلاً بينما واصلت معالجة البيانات في الخلفية.

في فبراير 2026، توصل المدعي العام لكاليفورنيا إلى تسوية بقيمة 2.75 مليون دولار مع شركة The Walt Disney Company بسبب إخفاقات منهجية في احترام طلبات الانسحاب، وهي أكبر تسوية بموجب CCPA حتى الآن. أرست تسويةُ سيفورا السابقة البالغة 1.2 مليون GPC كإشارة صالحة؛ وأرست Disney أن تجاهلها على نطاق واسع مكلف.

المسار محسوم. يطالب قانون كاليفورنيا Opt Me Out Act (AB 566)، المُوقَّع في أكتوبر 2025، بأن تُوفِّر المتصفحات نفسها عنصر تحكم مدمجاً بإشارة الانسحاب بحلول 1 يناير 2027. حركة مرور GPC لن تتزايد إلا من هنا.

ما يتطلبه احترامها

بالنسبة لمنظومة تحليلات أو إعلانات تبيع البيانات أو تشاركها، فإن التنفيذ عمل حقيقي. يجب أن تكتشف الترويسة على الحافة قبل أن يُطلَق أي تتبُّع، وتمنع مشاركة البيانات لذلك الطلب، و — بموجب لوائح CCPA السارية منذ 1 يناير 2026 — أن تكون قادراً على إثبات أن الإشارة قد عُولِجت لا أنها مجرد استُقبِلت.

if request.headers["Sec-GPC"] == "1":
    # do not sell or share; do not load ad/attribution tags
    # log that the signal was honored

الجزء الصعب ليس عبارة if. إنه تدقيق كل وسم وبكسل وسكربت تحويل على الصفحة، والتأكد من توقُّف كل منها، وتقديم الأدلة عند الطلب. يُحمِّل موقع نموذجي أطرافاً ثالثة ذات صلة بالانسحاب لا يتحكم بها بالكامل، وهو بالضبط السطح الذي سبرته الحملة متعددة الولايات.

لماذا تقف التحليلات بلا كوكيز خارج المسألة

GPC هو انسحاب من بيع أو مشاركة المعلومات الشخصية لأغراض الإعلانات المُوجَّهة. لا ينشأ الالتزام إلا إذا كنت تفعل شيئاً يستطيع الزائر الانسحاب منه.

أداة التتبع التي تضع الخصوصية أولاً لا تبيع البيانات ولا تشاركها، ولا تبني ملفات تعريف عبر المواقع، ولا تُخزِّن أي مُعرِّف شخصي من الأساس. لا توجد بورصة إعلانات لاحقة ولا طرف ثالث يجب منعه. صُمِّم التجزئة اليومية للزائر تحديداً بحيث لا يوجد مُعرِّف ثابت يمكن مشاركته:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

يُقرأ عنوان IP وUser-Agent في الذاكرة فقط، ويُستخدمان لحساب التجزئة، ثم يُتلَفان. مدخل التاريخ يجعل التجزئة تتدوَّر كل يوم، لذا لا توجد هوية عبر الجلسات يمكن بيعها حتى من حيث المبدأ. تستقبل نقطة النهاية /collect طلباً، وتشتق عدّاً مُجمَّعاً، ولا تحتفظ بأي شيء يعود إلى شخص بعينه.

هذا لا يُعفيك من قراءة Sec-GPC بحُسن نية: احترام إشارة لا تملك تقنياً أي بيانات للتصرف بناءً عليها أمرٌ زهيد ويُظهِر النية. لكنه يعني أن الجزء المكلف من الامتثال لـ GPC — الجزء الذي أخطأت فيه Disney — لا ينطبق أبداً. لا يوجد بيع بيانات يجب إيقافه لأن البنية لم تُنتج قط بيانات قابلة للبيع.

النمط عبر النظامين كليهما

يبدو نموذج الاتحاد الأوروبي القائم على الموافقة-قبل-التتبُّع ونموذج الولايات المتحدة القائم على الانسحاب-عند-الإشارة متعارضَين، وهما كذلك إجرائياً. لكنهما يلتقيان عند الحقيقة التقنية نفسها: كلا النظامين يُنظِّم إنشاء مُعرِّف دائم مرتبط بشخص وحركته. يطلب GDPR موافقة قبل أن تضع واحداً؛ ويسمح قانون الولاية للمتصفح بإلغاء بيعه لاحقاً.

النظام الذي لا يسكُّ أبداً مُعرِّفاً عبر الجلسات يُجيب عن السؤالين بالطريقة نفسها. لا شيء لدى لافتة الموافقة لتقيِّده، ولا شيء لدى إشارة الانسحاب لتُنفِّذه — لأن الكائن الخاضع للتنظيم لم يُبنَ قط.