لسنوات طويلة، سار العالم وفق افتراض بسيط: للبيانات موقع فيزيائي محدد. فإذا كانت مخزّنة على خادم في دبلن، خضعت للقانون الأيرلندي والأوروبي. غير أن هذا الافتراض انهار عام 2018، حين أقرّت الولايات المتحدة قانون CLOUD، الذي يمنح السلطات الأمريكية صلاحية الوصول إلى البيانات التي تتحكم فيها الشركات الأمريكية، بصرف النظر عن المكان الذي تُخزَّن فيه فيزيائياً في أي مكان من العالم. وبعد سنوات، ردّت بروكسل بآلية حماية خاصة بها: قانون البيانات، المطبَّق الآن بالكامل، الذي يسعى إلى تقييد الوصول خارج الإقليم من قِبَل سلطات الدول الثالثة إلى البيانات المحتفظ بها داخل الاتحاد الأوروبي.
إليك ما تنصّ عليه هذه النصوص فعلياً، وأين تتصادم، ولماذا يظل الحماية الوحيدة الصلبة حيال هذا الصراع هي الاستحالة التقنية للوصول.
قانون CLOUD الأمريكي: وصول مبني على السيطرة لا على الموقع
قانون CLOUD (Clarifying Lawful Overseas Use of Data Act)، الذي صدر في مارس 2018، عدّل القانون الأمريكي بإضافة المادة 18 U.S. Code § 2713. يُلزم هذا النص كل مزوّد لخدمات الاتصالات الإلكترونية أو المعالجة الحاسوبية عن بُعد بحفظ أي بيانات أو تأمينها أو الإفصاح عنها، متى كانت في حوزته أو تحت رعايته أو سيطرته، بغض النظر عمّا إذا كانت هذه البيانات داخل الولايات المتحدة أو خارجها.
هذه العبارة الأخيرة تحديداً هي ما يغيّر كل شيء. فالمعيار المعتمد لم يعد الموقع الفيزيائي للخادم، بل السيطرة التي تمارسها الشركة الأم على فروعها. وبالتالي، تظل الشركة الأمريكية التي تشغّل مراكز بيانات في أوروبا خاضعةً للطلبات القضائية الأمريكية، حتى للبيانات المخزّنة كلياً على التراب الأوروبي.
قانون البيانات الأوروبي: حاجز قانوني أمام الوصول خارج الإقليم
اللائحة (EU) 2023/2854، المعروفة بقانون البيانات، دخلت حيّز التنفيذ في 11 يناير 2024 وتُطبَّق بالكامل منذ 12 سبتمبر 2025، مع جدولة بعض الأحكام حتى عامَي 2026 و2027. تُنظّم المادة 32 منه مسألة الوصول الحكومي الدولي إلى البيانات مباشرةً.
يُرسي النص قاعدة واضحة: لا يُعترف بأي قرار أو حكم صادر عن جهة قضائية أو إدارية في دولة ثالثة يُلزم مزوّد خدمات معالجة البيانات بنقل أو إتاحة الوصول إلى بيانات غير شخصية محتفظ بها في الاتحاد الأوروبي ولا ينفَّذ، إلا إذا استند إلى اتفاقية دولية، كمعاهدة التعاون القضائي المتبادل (MLA)، سارية المفعول بين الدولة الطالبة والاتحاد، أو بين تلك الدولة والدولة العضو المعنية.
في غياب مثل هذه الاتفاقية، يتيح المادة 32 مساراً ثانياً لكنه مقيّد بشروط صارمة: لا يمكن تنفيذ القرار الأجنبي إلا إذا اشترط النظام القانوني للدولة الثالثة أن تكون الطلبات مسبّبة ومتناسبة ومحددة بما يكفي، بأن تُثبت مثلاً صلة واضحة بأشخاص أو مخالفات بعينها، وإذا أمكن تقديم اعتراض مسبّب من المستلم إلى رقابة محكمة مختصة في تلك الدولة الثالثة.
تصادم قانوني مباشر
المشكلة آنية: يشترط قانون CLOUD الإفصاح استناداً إلى سيطرة الشركة الأم، دون اشتراطات للتناسب مماثلة لما يقتضيه القانون الأوروبي. وقانون البيانات بالمقابل يربط الاعتراف بمثل هذا الطلب بوجود اتفاقية دولية أو بضمانات إجرائية محددة. ومن ثمّ، تجد الشركة الأمريكية العاملة في أوروبا نفسها — حين تأمرها سلطة أمريكية بتسليم بيانات مستضافة في الاتحاد — عالقةً بين التزامين قانونيين متناقضين: إما الامتثال للأمر الأمريكي بانتهاك قانون الاتحاد، أو الالتزام بقانون البيانات مع تحمّل تبعات الرفض في الولايات المتحدة.
هذا التوتر ليس نظرياً. فقد وثّقته محكمة العدل الأوروبية (CJUE) في قرارين بالغي الأهمية: Schrems I (2015) وSchrems II (2020). ففي حكم Schrems II، قضت المحكمة بأن المراقبة الأمريكية المُجراة بموجب المادة 702 من FISA (Foreign Intelligence Surveillance Act) والأمر التنفيذي 12333 لا تستوفي الضمانات الدنيا التي يتطلبها قانون الاتحاد وفق مبدأ التناسب، ولا يمكن بالتالي اعتبارها مقتصرة على ما هو ضروري بصرامة. كما أشارت المحكمة إلى غياب سبيل انتصاف قضائي فعّال للأفراد المعنيين في الاتحاد، بما يخالف المادة 47 من الميثاق الأوروبي للحقوق الأساسية. وقد أبطل هذا الحكم إطار Privacy Shield الذي كان ينظّم عمليات نقل البيانات بين الاتحاد الأوروبي والولايات المتحدة.
الخطر البنيوي: Harvest Now, Decrypt Later
وراء صراع الولايات القضائية، ثمة تهديد أشد خفاءً يطال البيانات المستضافة في بنى تحتية خاضعة للقانون الأمريكي: الاستراتيجية المعروفة بـHarvest Now, Decrypt Later (HNDL). يقوم مبدؤها على أن تقوم جهة استخباراتية أو جهة حكومية معادية باعتراض البيانات المشفّرة وتخزينها اليوم، انتظاراً لقدرات حوسبة كمية كافية لفكّ تشفيرها في المستقبل.
تحوّل هذه الاستراتيجيةُ كلَّ اعتماد مطوّل على بنية تحتية سحابية أمريكية إلى دين أمني مؤجّل: ما هو سري اليوم قد يصبح مقروءاً بعد عشر أو خمس عشرة سنة، دون أن يحتاج المهاجم إلى أي إجراء إضافي، سوى الوقت والصبر.
لماذا تُشكّل الاستحالة التقنية الضمان الحقيقي الوحيد
يصل التحليل القانوني إلى خلاصة يتقاسمها كثير من خبراء الامتثال: مهما كان إطار قانون البيانات متيناً، فإنه يبقى نصاً يمكن للتوازنات الجيوسياسية والضغوط الدبلوماسية أن تتحايل عليه أو تُؤخّره أو تُعيد تأويله. الحماية الوحيدة التي لا تتوقف على أي تفاوض مستقبلي هي الاستحالة التقنية للتنفيذ.
إن بنية zero knowledge، حيث لا يحتفظ مزوّد الخدمة بحيازة أو رعاية مفاتيح فكّ التشفير قط، تُبطل أي طلب قضائي من الناحية المادية. لا يمكن إجبار أحد على تسليم ما لم يحزه قط.
هذا هو المنطق الذي يهيكل منظومات من قبيل Arpokrat:
- التحييد القضائي: البنية التحتية مستضافة في سويسرا، تحت نظام القانون الفيدرالي لحماية البيانات (LPD/FADP)، خارج نطاق التطبيق المباشر للتوسع خارج الإقليم الخاص بقانون CLOUD
- انعدام الحيازة: تحرم بنية zero knowledge المزوّدَ من أي قدرة على تسليم مفاتيح أو محتويات لم يحزها قط
- تقليص البصمة الهوياتية: بإلغاء اشتراط التسجيل برقم الهاتف أو عنوان البريد الإلكتروني — وهي معرّفات يمكن للمراقبة المستندة إلى المادة 702 من FISA تتبّعها بسهولة — يكفّ المستخدم عن كونه مشتركاً قابلاً للتعرف عليه ليصير مجرد مفتاح تشفيري مجهول الهوية
سلسلة الحيازة لا تتوقف عند تشفير الرسائل
نقطة كثيراً ما تُقلَّل من أهميتها في تحليلات الامتثال: لا يكفي تشفير محتوى الاتصال إذا ظل نظام التشغيل المستخدم — سواء أكان Android أم iOS — يلتقط البيانات الوصفية أو بيانات القياس عن بُعد على مستوى النواة، وإرسالها إلى خوادم خاضعة للولاية القضائية الأمريكية. تستوجب حماية السرية إغلاقاً كاملاً لسلسلة الحيازة، من المحتوى وصولاً إلى البنية التحتية المادية ذاتها.
لهذا السبب بالذات، تستلزم السيادة الرقمية أيضاً تأمّلاً في نظام التشغيل المستخدم، لا في تطبيقات المراسلة فحسب. فالأنظمة المُجرَّدة من برامج غوغل، حيث يمكن تعطيل وحدات كالبلوتوث أو تحديد الموقع عبر GNSS مباشرةً على مستوى النواة، تُزيل ناقلات هجوم فيزيائية لا يستطيع أي تشفير تطبيقي تعويضها.
التشفير ما بعد الكمي: أفق منخرط بالفعل
في مواجهة التهديد الذي تمثّله استراتيجية HNDL، يغدو اعتماد معايير التشفير ما بعد الكمي (PQC) ضرورة لكل من يسعى إلى ضمان سرية البيانات الحساسة على المدى البعيد، سواء أتعلّق الأمر بأسرار الأعمال أم بالمراسلات المهنية أم ببيانات الصحة. فالتشفير الذي يُعدّ متيناً اليوم وفق المعايير الكلاسيكية لا يضمن صموده أمام قدرات الحوسبة الكمية المتوقعة في غضون السنوات الخمس عشرة المقبلة.
يجسّد الصراع بين قانون البيانات وقانون CLOUD حقيقةً أشمل: لم تعد السيادة الرقمية قابلةً للبناء على النصوص القانونية وحدها، مهما بلغت متانتها. فهي تستلزم إغلاق سلسلة الحيازة على كل مستوى، من بروتوكول التشفير إلى ولاية الاستضافة، مروراً بنظام التشغيل ذاته. وهذا النهج القائم على الطبقات، بدلاً من الثقة في إطار تنظيمي وحيد، هو ما يُعرّف اليوم سيادةً رقمية حقيقيةً بالتصميم.
