دليل الامتثال لموافقة ملفات تعريف الارتباط بموجب قانون حماية البيانات الشخصية في سريلانكا: القانون رقم 9 لعام 2022 ساري المفعول للناشرين في 2026
أمضت سريلانكا أكثر من عقد في مراحل التشريع قبل أن يُسنَّ قانون حماية البيانات الشخصية رسمياً بوصفه القانون رقم 9 لعام 2022، الذي أجازه Speaker في 19 March 2022. يعتمد القانون البنية الشاملة التي باتت المعيار العالمي منذ GDPR — تحديد الغرض، والأساس القانوني، وحقوق أصحاب البيانات، والمساءلة، وضوابط النقل العابر للحدود، وإخطار الخرق، ومنظم مستقل بصلاحيات العقوبات الإدارية — غير أنه يضمنها في نظام مصمم خصيصاً للواقع التجاري والدستوري لجنوب آسيا. بدأ تطبيق القانون على مراحل اعتباراً من 17 March 2023، مع تفعيل الالتزامات الجوهرية بعد 18 شهراً لاحقاً، وتطبيق أحكام الإنفاذ تدريجياً خلال 2025 وامتداداً إلى 2026. بالنسبة للناشرين وأي كيان يعالج البيانات الشخصية للأفراد في Sri Lanka، فإن الأثر مباشر: لم يعد وضع الموافقة على ملفات تعريف الارتباط الذي كان مقبولاً في ظل النظام القطاعي السابق كافياً، وأي وضع يستوفي متطلبات GDPR سيستوفي متطلبات PDPA فقط إذا تم إعداده مع مراعاة نقاط الاختلاف بين النظامين.
ما الذي يستلزمه PDPA في سريلانكا فعلياً
يُطبَّق PDPA على معالجة البيانات الشخصية لأصحاب البيانات الموجودين في Sri Lanka، بصرف النظر عن موقع المتحكم أو المعالج، وعلى المتحكمين والمعالجين المقيمين في Sri Lanka بصرف النظر عن موقع أصحاب البيانات. يعكس هذا النطاق الإقليمي الممتد المادة الثالثة من GDPR، ويعني أن الناشر الذي لا يوجد له مكتب في Sri Lanka ولكن لديه قراء أو مستخدمو تطبيقات أو عملاء من Sri Lanka يقع ضمن النطاق بشكل مباشر. تُعرَّف البيانات الشخصية تعريفاً واسعاً بأنها أي معلومات تتعلق بشخص طبيعي حي محدد الهوية أو قابل للتعريف، مع معاملة بيانات الفئات الخاصة — بما فيها البيومترية والجينية والمالية والصحية والعرقية والإثنية والمتعلقة بالمعتقدات الدينية أو الآراء السياسية أو السجلات الجنائية — بموجب قواعد أكثر صرامة.
يُنشئ القانون سبعة مبادئ أساسية لحماية البيانات، وستة أسس مشروعة للمعالجة، وحزمة قياسية من حقوق أصحاب البيانات — الوصول والتصحيح والمسح والتقييد والاعتراض وقابلية النقل حيثما كان ذلك ممكناً تقنياً — فضلاً عن هيئة تنظيمية هي Data Protection Authority of Sri Lanka، تملك صلاحية إصدار التوجيهات وفرض عقوبات إدارية تصل إلى LKR 10 مليون لكل خرق، وإحالة المسائل الخطيرة للملاحقة الجنائية.
كيف يُعالج PDPA موافقة ملفات تعريف الارتباط تحديداً
لا يتضمن PDPA نصاً مستقلاً على غرار ePrivacy بشأن ملفات تعريف الارتباط بالطريقة التي تعمل بها توجيهات ePrivacy الأوروبية. بدلاً من ذلك، يُدرج معالجة ملفات تعريف الارتباط ضمن إطار الموافقة العام المشابه لـ GDPR: يجب الحصول على أي معالجة لبيانات شخصية تستند إلى الموافقة كأساس مشروع على أساس فعل إيجابي واضح يُعبر فيه صاحب البيانات عن موافقته، بشكل حر ومحدد ومستنير ولا لبس فيه. وقد أشارت DPA، بما يتسق مع الاتجاه العالمي، إلى أن المربعات المحددة مسبقاً وعبارات الاستمرار في التصفح وبنرات الموافقة المجمعة لا تُعدّ أشكالاً صالحة للموافقة بموجب القانون.
الأثر العملي هو نفس الوضع الذي يحافظ عليه الناشرون العاملون في EEA: لا يجوز وضع ملفات تعريف الارتباط وأي تقنيات تخزين ووصول مماثلة غير الضرورية تحديداً لتقديم الخدمة قبل أن يوافق المستخدم عليها صراحةً. يمكن وضع ملفات تعريف الارتباط الضرورية تحديداً — معرفات الجلسة ومحتويات العربة ورموز الأمان وملفات تعريف الارتباط لتوازن الحمل — دون موافقة لأنها تندرج ضمن أساس المصلحة المشروعة المرتبط بالخدمة التي طلبها المستخدم بنشاط. أما كل ما عدا ذلك، بما فيه التحليلات والإعلانات والتخصيص واختبارات A/B وإعادة تشغيل الجلسة وأي وسم من طرف ثالث، فيستلزم موافقة مسبقة.
أوجه اختلاف PDPA عن GDPR
ثلاثة اختلافات مهمة على مستوى طبقة التكامل. أولاً، لا تتضمن قائمة الأسس المشروعة في PDPA أساس المصلحة المشروعة المستقل بالصيغة التي يعتمد عليها الناشرون الأوروبيون في معالجة قياس الإعلانات — بل يتضمن القانون أساساً للمصلحة العامة وأساساً للالتزام القانوني يقابلان المادة السادسة من GDPR، غير أن نظيره للمصلحة المشروعة أضيق نطاقاً ويستلزم اختبار موازنة موثقاً يودع في سجل معالجة المتحكم ويتاح للـ DPA عند الطلب. ثانياً، تشترط قواعد النقل العابر للحدود في PDPA أن تحدد DPA الولايات القضائية المقصد، وتستلزم عمليات النقل إلى الولايات غير المحددة إما موافقة صريحة أو ضمانات تعاقدية تعتمدها DPA أو أحد الاستثناءات الضيقة. ثالثاً، الجدول الزمني لإخطار الخرق في PDPA أقصر للخروقات عالية المخاطر وأطول للخروقات منخفضة المخاطر مقارنةً بقاعدة GDPR الثابتة لـ 72 ساعة — يجب على المتحكمين الإخطار دون تأخير لا مسوغ له وفي حدود نافذة زمنية شددتها توجيهات DPA خلال فترة البدء التدريجي.
ما الذي يبدو عليه بانر ملفات تعريف الارتباط المتوافق بموجب PDPA
تتقاطع المتطلبات التقنية مع ما تنتجه كل CMP حديثة بالفعل، ولكن يجب أن تعكس التسميات وسجل الموافقة الخصوصيات السريلانكية. يجب أن يقدم البانر في الطبقة الأولى للمستخدم خياراً حقيقياً — قبول، رفض، إدارة — حيث يكون خيار الرفض بارزاً على الأقل بقدر خيار القبول. الموافقة المجمعة محظورة، لذا يجب أن تتيح الطبقة الثانية الاشتراك بحسب الفئة بحد أدنى يشمل التحليلات والإعلانات وأي معالجة تعتمد على النقل العابر للحدود. يجب أن تكون الفئات افتراضياً في وضع إيقاف تشغيل؛ ويجب ألا يُحمَّل البانر أي وسم حتى يفعله المستخدم بنشاط.
يجب أن يحدد إشعار الخصوصية المرتبط بالبانر المتحكمَ وفئات البيانات الشخصية المجمعة والأساس القانوني لكل غرض معالجة وفترة الاحتفاظ بالبيانات وفئات المتلقين بما فيهم المعالجون الفرعيون العاملون خارج Sri Lanka وحقوق صاحب البيانات بموجب PDPA وتفاصيل الاتصال بـ DPA للشكاوى. الإشعار الذي يستوفي معيار المادة 13 من GDPR سيتداخل إلى حد بعيد، ولكن يجب إضافة سطري جهة اتصال DPA وولاية قضاء النقل العابر للحدود صراحةً.
نمط التكامل الذي يجتاز مراجعة DPA
يتكون التطبيق المرجعي من أربعة أجزاء متحركة. الأول هو CMP تدعم الاشتراك حسب الفئة مع إيقاف التشغيل الافتراضي وتعرض خيار المستخدم عبر سلسلة موافقة منظمة يمكن للناشر تخزينها في سجل موافقة. الثاني هو طبقة تحميل الوسم — عادةً مدير وسم من جانب الخادم أو بوابة برمجية أصلية لـ CMP — تطبق بدقة حالة الموافقة قبل السماح بوضع أي ملف تعريف ارتباط غير ضروري. الثالث هو سجل موافقة من جانب الخادم يسجل لكل حدث موافقة خيار المستخدم لكل فئة والطابع الزمني وإصدار بانر الموافقة وعنوان IP (مبتوراً أو مجزأً إذا قرر المتحكم أن ذلك يحقق تحليل التقليل من البيانات) والفئات التي منحت في مقابل الفئات المرفوضة. الرابع هو مسار سحب الموافقة السهل على الأقل بقدر منح الموافقة الأصلية — رابط دائم لإعادة فتح البانر في التذييل هو النمط الذي أقرته DPA ضمنياً بالإحالة إلى أفضل الممارسات الدولية.
- وسوم التحليلات يجب تحميلها فقط بعد منح فئة التحليلات؛ يدعم كل من Google Analytics 4 وAdobe Analytics وMatomo وAmplitude وMixpanel تكويناً مشروطاً بالموافقة يمنع أي كتابة لملفات تعريف الارتباط قبل فتح البوابة.
- وسوم الإعلانات — Google Ads وMeta Pixel وTikTok Pixel وLinkedIn Insight ومقدمو العروض الرأسية البرنامجية — يجب أن تخضع لنفس البوابة وأن يرد ذكر الولاية القضائية المقصد لكل شريك إعلانات ينقل البيانات خارج Sri Lanka في إشعار الخصوصية.
- أدوات إعادة تشغيل الجلسة وخرائط الحرارة — Hotjar وMicrosoft Clarity وFullStory — يجب أن تقع خلف بوابة منفصلة وأكثر صرامة لأن DPA، تماشياً مع EDPB، أشارت إلى أن تصيير حقول الإدخال فئة تستلزم موافقة صريحة ومحددة.
- يجب أن تكون إفصاحات النقل العابر للحدود محددة لكل ولاية قضاء متلقٍّ، وليست عامة. وقد أشارت DPA إلى أن عبارة تعالج البيانات من قبل مزودي الخدمة على مستوى العالم ليست إفصاحاً كافياً.
وضع التحقق والتدقيق لعام 2026
يجب أن تجتاز أي تجهيزات سريلانكية قابلة للدفاع عنها في 2026 أربعة اختبارات. أولاً، يجب ألا تنتج جلسة متصفح نظيفة يُخدَّم منها عنوان IP سريلانكي أي ملف تعريف ارتباط غير ضروري قبل اتخاذ أي إجراء على البانر. ثانياً، يجب أن يؤدي مسار رفض الكل إلى نفس الوضع الذي تفضي إليه الجلسة التي لا يُتخذ فيها أي إجراء — لا وسوم تحليلات، ولا وسوم إعلانات، ولا نصوص إعادة تشغيل الجلسة، فقط المجموعة الضرورية تحديداً. ثالثاً، يجب أن ينتج مسار قبول الكل الوسوم التي وافق عليها المستخدم ويجب أن يتضمن سجل الموافقة السجل المقابل. رابعاً، يجب أن يوقف مسار سحب الموافقة فوراً أي إطلاق وسم إضافي وتنتهي صلاحية ملفات تعريف الارتباط المضبوطة خلال الجلسة التي تم فيها الموافقة وتشغل أي إشارات حذف أو إلغاء اشتراك تستلزمها الشركاء المتلقون.
متطلب سجل التدقيق هو ما يميز PDPA بشكل أبرز في 2026. أصدرت DPA توجيهات تشير فيها إلى أنه ينبغي للمتحكمين أن يكونوا قادرين على تقديم، عند الطلب، سجل الموافقة المحدد الذي خوّل أي نشاط معالجة معين. وهذا يعني أن سجل الموافقة يجب أن يكون قابلاً للاستعلام بمعرف المستخدم أو معرف الجلسة، ومحتفظاً به للمدة التي وثقها المتحكم في جدول الاحتفاظ، وقابلاً للتصدير بتنسيق منظم. CMP معدة بشكل صحيح مع سجل من جانب الخادم، مقترنة بطبقة تحميل وسم تطبق حالة الموافقة وإشعار خصوصية يسمي كل وجهة نقل عابرة للحدود، هي ما يحوّل PDPA السريلانكي من مجهول تنظيمي إلى ركيزة قابلة للدفاع عنها ضمن الوضع العالمي للموافقة للناشر.