<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>Schrems II on Arpokrat</title>
    <link>https://arpokrat.com/fa/blog/tags/schrems-ii/</link>
    <description>Recent content in Schrems II on Arpokrat</description>
    <generator>Hugo -- gohugo.io</generator><language>fa</language><lastBuildDate>Fri, 19 Jun 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://arpokrat.com/fa/blog/tags/schrems-ii/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Data Act در برابر CLOUD Act: چه کسی واقعاً داده‌های شما را در فضای ابری کنترل می‌کند؟</title>
      <link>https://arpokrat.com/fa/blog/data-act-vs-cloud-act-digital-sovereignty/</link>
      <pubDate>Fri, 19 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://arpokrat.com/fa/blog/data-act-vs-cloud-act-digital-sovereignty/</guid>
      <description>&lt;p&gt;سال‌ها بود که جهان بر اساس یک فرض ساده عمل می‌کرد: داده‌ها محل اقامت فیزیکی دارند. اگر داده‌ای روی سروری در دوبلین ذخیره بود، تابع قوانین ایرلند و اتحادیه اروپا بود. این فرض در سال ۲۰۱۸ فروریخت، زمانی که ایالات متحده CLOUD Act را تصویب کرد؛ قانونی که به مقامات آمریکایی اجازه می‌دهد به داده‌های تحت کنترل شرکت‌های آمریکایی دسترسی داشته باشند، صرف‌نظر از اینکه این داده‌ها از نظر فیزیکی در کجای جهان ذخیره شده‌اند. چند سال بعد، بروکسل با ابزار حمایتی خود پاسخ داد: Data Act که اکنون به طور کامل قابل اجراست و تلاش می‌کند دسترسی فراسرزمینی مقامات کشورهای ثالث به داده‌های نگهداری‌شده در اتحادیه اروپا را محدود کند.&lt;/p&gt;
&lt;p&gt;در اینجا به آنچه این دو متن واقعاً پیش‌بینی می‌کنند، نقاط تصادم آن‌ها، و دلیل اینکه تنها حمایت واقعاً محکم در برابر این تعارض، ناممکن‌سازی فنی دسترسی است، می‌پردازیم.&lt;/p&gt;
&lt;h2 id=&#34;cloud-act-آمریکایی-دسترسی-مبتنی-بر-کنترل-نه-مکان&#34;&gt;CLOUD Act آمریکایی: دسترسی مبتنی بر کنترل، نه مکان&lt;/h2&gt;
&lt;p&gt;&lt;strong&gt;CLOUD Act&lt;/strong&gt; (&lt;em&gt;Clarifying Lawful Overseas Use of Data Act&lt;/em&gt;)، که در مارس ۲۰۱۸ تصویب شد، قوانین آمریکا را با افزودن ماده &lt;strong&gt;18 U.S. Code § 2713&lt;/strong&gt; اصلاح کرد. این متن هر ارائه‌دهنده خدمات ارتباطات الکترونیکی یا پردازش رایانه‌ای از راه دور را ملزم می‌کند که محتوای ارتباطات یا هر سابقه مرتبط با آن را حفظ، نگهداری یا افشا کند، به محض اینکه این داده‌ها در تصرف، نگهداری یا &lt;strong&gt;کنترل&lt;/strong&gt; آن باشند، &lt;strong&gt;صرف‌نظر از اینکه این داده‌ها در داخل یا خارج از ایالات متحده قرار دارند&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;دقیقاً همین بند آخر است که همه چیز را تغییر می‌دهد. معیار دیگر مکان فیزیکی سرور نیست، بلکه کنترلی است که شرکت مادر بر شعب خود اعمال می‌کند. بنابراین یک شرکت آمریکایی که مراکز داده را در اروپا اداره می‌کند، همچنان تابع احضاریه‌های آمریکایی است، حتی برای داده‌هایی که به طور کامل در خاک اروپا ذخیره شده‌اند.&lt;/p&gt;
&lt;h2 id=&#34;data-act-اروپایی-یک-مانع-حقوقی-در-برابر-دسترسی-فراسرزمینی&#34;&gt;Data Act اروپایی: یک مانع حقوقی در برابر دسترسی فراسرزمینی&lt;/h2&gt;
&lt;p&gt;&lt;strong&gt;مقررات (اتحادیه اروپا) 2023/2854&lt;/strong&gt;، موسوم به Data Act، در ۱۱ ژانویه ۲۰۲۴ لازم‌الاجرا شد و از ۱۲ سپتامبر ۲۰۲۵ به طور کامل اعمال می‌شود، با برخی مقررات که تا ۲۰۲۶ و ۲۰۲۷ به صورت تدریجی اجرا می‌شوند. &lt;strong&gt;ماده ۳۲&lt;/strong&gt; آن مستقیماً به موضوع دسترسی بین‌المللی دولت‌ها به داده‌ها می‌پردازد.&lt;/p&gt;
&lt;p&gt;این متن یک قاعده روشن تعیین می‌کند: هر تصمیم یا حکم یک دادگاه یا مقام اداری کشور ثالثی که از ارائه‌دهنده خدمات پردازش داده می‌خواهد داده‌های غیرشخصی نگهداری‌شده در اتحادیه اروپا را منتقل کند یا به آن‌ها دسترسی دهد، &lt;strong&gt;تنها در صورتی به رسمیت شناخته می‌شود و قابل اجراست که مبتنی بر یک توافق بین‌المللی&lt;/strong&gt; باشد، مانند یک معاهده کمک حقوقی متقابل (MLA)، که بین کشور درخواست‌کننده و اتحادیه، یا بین آن کشور و دولت عضو مربوطه، معتبر باشد.&lt;/p&gt;
&lt;p&gt;در غیاب چنین توافقی، ماده ۳۲ راه دومی را پیش‌بینی می‌کند، اما با محدودیت‌های سختگیرانه: تصمیم خارجی تنها در صورتی قابل اجراست که نظام حقوقی کشور ثالث ایجاب کند که درخواست مستدل، متناسب و به اندازه کافی مشخص باشد - برای مثال با ایجاد پیوند روشن با افراد یا جرائم معین - و اگر اعتراض موجه گیرنده بتواند تحت بازرسی دادگاه صالح آن کشور ثالث قرار گیرد.&lt;/p&gt;
&lt;h2 id=&#34;یک-تصادم-حقوقی-مستقیم&#34;&gt;یک تصادم حقوقی مستقیم&lt;/h2&gt;
&lt;p&gt;مشکل فوری است: CLOUD Act افشای اطلاعات را بر اساس کنترل اعمال‌شده توسط شرکت مادر الزامی می‌کند، بدون شرط تناسبی مشابه آنچه قانون اروپایی مطالبه می‌کند. Data Act، برعکس، به رسمیت شناختن چنین درخواستی را مشروط به وجود یک توافق بین‌المللی یا ضمانت‌های رویه‌ای دقیق می‌کند. یک شرکت آمریکایی که در اروپا فعالیت می‌کند و توسط یک مقام آمریکایی ملزم به انتقال داده‌های میزبانی‌شده در اتحادیه است، خود را بین دو تعهد قانونی متناقض می‌یابد: تبعیت از دستور آمریکایی با نقض قوانین اتحادیه، یا رعایت Data Act با در معرض قرار گرفتن در برابر عواقب رد درخواست در ایالات متحده.&lt;/p&gt;
&lt;p&gt;این تنش نظری نیست. دیوان دادگستری اتحادیه اروپا (CJEU) آن را در دو تصمیم مهم مستند کرده است: &lt;strong&gt;Schrems I&lt;/strong&gt; (2015) و &lt;strong&gt;Schrems II&lt;/strong&gt; (2020). در حکم Schrems II، دیوان دادگستری اتحادیه اروپا حکم داد که نظارت آمریکایی انجام‌شده بر اساس &lt;strong&gt;بخش ۷۰۲ FISA&lt;/strong&gt; (&lt;em&gt;Foreign Intelligence Surveillance Act&lt;/em&gt;) و &lt;strong&gt;فرمان اجرایی ۱۲۳۳۳&lt;/strong&gt; حداقل ضمانت‌های مورد نیاز قانون اتحادیه را بر اساس اصل تناسب رعایت نمی‌کند و بنابراین نمی‌توان آن را محدود به آنچه کاملاً ضروری است تلقی کرد. دادگاه همچنین فقدان راه جبران قضایی مؤثر برای افراد مربوطه در اتحادیه را تشخیص داد که ناقض ماده ۴۷ منشور حقوق اساسی است. این تصمیم چارچوب Privacy Shield را که تا آن زمان انتقال داده بین اتحادیه اروپا و ایالات متحده را سازماندهی می‌کرد، باطل اعلام کرد.&lt;/p&gt;
&lt;h2 id=&#34;خطر-ساختاری-harvest-now-decrypt-later&#34;&gt;خطر ساختاری: Harvest Now, Decrypt Later&lt;/h2&gt;
&lt;p&gt;فراتر از تعارض صلاحیت‌ها، تهدیدی موذیانه‌تر بر داده‌های میزبانی‌شده در زیرساخت‌های تابع قوانین آمریکایی سایه افکنده است: استراتژی موسوم به &lt;a href=&#34;https://arpokrat.com/fa/blog/harvest-now-decrypt-later-hndl-zero-knowledge/&#34;&gt;&lt;strong&gt;Harvest Now, Decrypt Later&lt;/strong&gt;&lt;/a&gt;
 (HNDL). این اصل برای یک سرویس اطلاعاتی یا بازیگر دولتی خصمانه عبارت است از رهگیری و ذخیره‌سازی داده‌های رمزگذاری‌شده از همین امروز، در انتظار توانایی‌های محاسبات کوانتومی کافی برای رمزگشایی آن‌ها در آینده.&lt;/p&gt;
&lt;p&gt;این استراتژی هر وابستگی طولانی‌مدت به زیرساخت ابری آمریکایی را به یک بدهی امنیتی معوق تبدیل می‌کند: آنچه امروز محرمانه است ممکن است در ده یا پانزده سال دیگر قابل خواندن شود، بدون اینکه هیچ اقدام اضافی از سوی مهاجم لازم باشد، فقط زمان و صبر.&lt;/p&gt;
&lt;h2 id=&#34;چرا-تنها-ناممکنسازی-فنی-یک-ضمانت-واقعی-است&#34;&gt;چرا تنها ناممکن‌سازی فنی یک ضمانت واقعی است&lt;/h2&gt;
&lt;p&gt;تحلیل حقوقی به نتیجه‌ای مشترک می‌رسد که بسیاری از متخصصان انطباق به آن رسیده‌اند: هر چقدر هم چارچوب قانونی Data Act محکم باشد، همچنان متنی است که توازن قوای ژئوپولیتیک و فشارهای دیپلماتیک می‌توانند آن را دور بزنند، به تعویق بیندازند یا تفسیر مجدد کنند. تنها حمایتی که به هیچ مذاکره آینده‌ای وابسته نیست، &lt;strong&gt;ناممکن‌سازی فنی اجرا&lt;/strong&gt; است.&lt;/p&gt;
&lt;p&gt;یک معماری &lt;strong&gt;zero knowledge&lt;/strong&gt;، که در آن ارائه‌دهنده خدمات هیچ‌گاه در تصرف یا نگهداری کلیدهای رمزگشایی نیست، یک احضاریه را از نظر مادی بی‌اثر می‌کند. نمی‌توان کسی را مجبور کرد چیزی را که هرگز در اختیار ندارد تحویل دهد.&lt;/p&gt;
&lt;p&gt;این منطقی است که اکوسیستم‌هایی مانند &lt;strong&gt;Arpokrat&lt;/strong&gt; را شکل می‌دهد:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;خنثی‌سازی صلاحیت قضایی&lt;/strong&gt;: زیرساخت در سوئیس میزبانی می‌شود، تحت رژیم قانون فدرال حفاظت از داده‌ها (LPD/FADP)، خارج از حوزه اعمال مستقیم فراسرزمینی CLOUD Act&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;فقدان نگهداری&lt;/strong&gt;: معماری zero knowledge به ارائه‌دهنده هیچ توانایی برای تحویل کلیدها یا محتواهایی که هرگز در اختیار ندارد نمی‌دهد&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;کاهش ردپای هویتی&lt;/strong&gt;: با حذف الزام ثبت‌نام از طریق شماره تلفن یا آدرس ایمیل - شناسه‌هایی که نظارت مبتنی بر بخش ۷۰۲ FISA می‌تواند به راحتی آن‌ها را ردیابی کند - کاربر از یک مشترک قابل شناسایی به یک کلید رمزنگاری ناشناس تبدیل می‌شود&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;زنجیره-نگهداری-در-رمزگذاری-پیامها-متوقف-نمیشود&#34;&gt;زنجیره نگهداری در رمزگذاری پیام‌ها متوقف نمی‌شود&lt;/h2&gt;
&lt;p&gt;نکته‌ای که اغلب در تحلیل‌های انطباق دست‌کم گرفته می‌شود این است: رمزگذاری محتوای یک ارتباط کافی نیست اگر سیستم عامل زیربنایی - چه Android باشد چه iOS - به جمع‌آوری ابرداده یا تله‌متری در سطح هسته، با مقصد سرورهایی تحت صلاحیت آمریکا، ادامه دهد. حمایت از محرمانگی مستلزم بستن کامل زنجیره نگهداری است، از محتوا تا خود زیرساخت سخت‌افزاری.&lt;/p&gt;
&lt;p&gt;به همین دلیل است که حاکمیت دیجیتال مستلزم تأمل درباره سیستم عامل مورد استفاده نیز هست، نه فقط برنامه‌های پیام‌رسان. سیستم‌های بدون گوگل، که در آن‌ها ماژول‌هایی مانند بلوتوث یا موقعیت‌یابی GNSS می‌توانند مستقیماً در سطح هسته غیرفعال شوند، بردارهای حمله فیزیکی را که هیچ رمزگذاری در سطح برنامه نمی‌تواند جبران کند، حذف می‌کنند.&lt;/p&gt;
&lt;h2 id=&#34;رمزنگاری-پس-از-کوانتوم-افقی-که-اکنون-در-پیش-است&#34;&gt;رمزنگاری پس از کوانتوم، افقی که اکنون در پیش است&lt;/h2&gt;
&lt;p&gt;در برابر تهدیدی که استراتژی HNDL نشان می‌دهد، اتخاذ استانداردهای رمزنگاری پس از کوانتوم (PQC) برای هر کسی که می‌خواهد محرمانگی داده‌های حساس را در بلندمدت تضمین کند، ضرورتی اجتناب‌ناپذیر است - چه اسرار تجاری باشد، چه مکاتبات حرفه‌ای یا داده‌های بهداشتی. رمزگذاری‌ای که امروز بر اساس استانداردهای کلاسیک محکم تلقی می‌شود، تضمین نمی‌کند که در برابر توانایی‌های محاسبات کوانتومی مورد انتظار در پانزده سال آینده مقاومت کند.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;تعارض بین Data Act و CLOUD Act یک واقعیت گسترده‌تر را نشان می‌دهد: حاکمیت دیجیتال دیگر نمی‌تواند صرفاً بر متون قانونی بنا شود، هر چقدر هم محکم باشند. این امر مستلزم بستن زنجیره نگهداری در هر سطحی است، از پروتکل رمزگذاری تا صلاحیت میزبانی، از جمله خود سیستم عامل. این رویکرد لایه‌ای، به جای اعتماد به یک چارچوب نظارتی واحد، است که امروز حاکمیت دیجیتال واقعی بر اساس طراحی را تعریف می‌کند.&lt;/p&gt;
</description>
    </item>
  </channel>
</rss>