أنهت الهيئة الأوروبية لحماية البيانات (EDPB) إرشادات جديدة في 8 يوليو 2026، توضح كيفية تطبيق اللائحة العامة لحماية البيانات (GDPR) على تقنيات البلوكشين. تتناول التوجيهات عدم اليقين التنظيمي المستمر للمنظمات التي تعالج البيانات الشخصية لمقيمين الاتحاد الأوروبي. وأكدت الهيئة أن مشغلي البلوكشين لا يمكنهم تجنب التزامات GDPR ببساطة لأن سجلات البلوكشين غير قابلة للتغيير أو لأن البيانات الشخصية تم تشفيرها أو تجزئتها على السلسلة، موضحة أن المؤسسات تظل مسؤولة عن حماية حقوق أصحاب البيانات بغض النظر عن البنية التقنية. صدرت الإرشادات إلى جانب معايير التمويه المحدثة، مما يعيد تعريف توقعات الامتثال لمشغلي البلوكشين ضمن إطار حماية الخصوصية في الاتحاد الأوروبي الذي بدأ تطبيقه منذ 2018.
أكدت الهيئة أن مشغلي البلوكشين لا يمكنهم تجنب التزامات GDPR ببساطة لأن سجلات البلوكشين غير قابلة للتغيير أو لأن البيانات الشخصية تم تشفيرها أو تجزئتها على السلسلة. ووفقًا للهيئة، تظل المؤسسات مسؤولة عن حماية حقوق أصحاب البيانات بغض النظر عن البنية التقنية التي يختارونها. وأوضحت أن البيانات الشخصية المشفرة أو المجزأة تظل عمومًا خاضعة لـ GDPR لأنها قد تُربط مرة أخرى بشخص يمكن التعرف عليه من خلال عناوين المحافظ، أو قواعد بيانات خارجية، أو مفاتيح فك التشفير، أو التقدمات المستقبلية في التحليل التشفيري. وتؤكد إرشادات التمويه المصاحبة أن البيانات يمكن اعتبارها مجهولة إذا لم يمكن عزلها أو ربطها أو استخدامها لاستنتاج هوية شخص معين.
تناولت الإرشادات ثلاثة نماذج رئيسية للبلوكشين: الشبكات العامة بدون إذن، والبلوكشين الخاصة ذات الإذن، وسلاسل التحالف. ذكرت الهيئة أن البلوكشين الخاصة وسلاسل التحالف عادةً ما تكون أكثر ملاءمة للامتثال لـ GDPR لأنها تسمح لمنظمات يمكن التعرف عليها بوضوح أن تعمل كمتحكمات ومعالجات للبيانات. في المقابل، أشار المنظم إلى أن تخصيص هذه المسؤوليات على الشبكات العامة بدون إذن يظل صعبًا جدًا بسبب الطبيعة اللامركزية لمشاركيها.
أكدت الهيئة أن حق الحذف بموجب GDPR لا يزال ساريًا حتى عندما تجعل التكنولوجيا البلوكشين من الصعب تقنيًا حذف السجلات. ووفقًا للإرشادات، فإن القيود التقنية لا تعفي المؤسسات من الالتزام. نصحت الهيئة الشركات بتحديد ما إذا كانت تقنية البلوكشين ضرورية قبل نشرها، وتجنب تخزين البيانات الشخصية مباشرة على السلسلة قدر الإمكان. وأقرت الهيئة بالمخاطر طويلة الأمد المرتبطة بالتشفير، مشيرة إلى أن التقدمات التكنولوجية، بما في ذلك الحوسبة الكمومية، قد تجعل السجلات المشفرة حاليًا قابلة للقراءة في المستقبل. من المتوقع أن تأخذ المؤسسات في الاعتبار مخاطر إعادة التعريف المستقبلية عند تصميم أنظمة البلوكشين التي تحتفظ بالمعلومات بشكل دائم.
توصي الإرشادات بأن تحتفظ المؤسسات بالبيانات الشخصية خارج السلسلة قدر الإمكان، مع استخدام البلوكشين بشكل رئيسي لتخزين المراجع التشفيرية مع الحفاظ على المعلومات الشخصية القابلة للحذف في قواعد بيانات تقليدية. وفقًا لـ EDPB، يوفر هذا الهيكل أكثر الطرق عملية للامتثال لمتطلبات الحذف بموجب GDPR مع الحفاظ على وظيفة البلوكشين. وإذا لم يكن تجنب تخزين البيانات الشخصية على السلسلة ممكنًا، فقد حددت الهيئة بدائل محدودة، تشمل تشفير البيانات على البلوكشين باستخدام مفاتيح تشفير خارج السلسلة تُدار بشكل آمن ويمكن تدميرها لاحقًا عند تلقي طلب الحذف، أو استخدام بيانات مجزأة مؤمنة بملح سري خارج السلسلة يمكن تدميره أيضًا. أشارت الهيئة إلى أن هذه الطرق قد تكون بدائل عملية للحذف، لكنها لا تحول البيانات الشخصية إلى معلومات مجهولة.
تسلط الإرشادات الضوء على التحديات المرتبطة بالنقل الدولي للبيانات على الشبكات العامة. نظرًا لأن المعاملات تتكرر تلقائيًا عبر عقد متعددة تقع في دول مختلفة، قد تنقل المؤسسات البيانات الشخصية بشكل غير مقصود خارج الاتحاد الأوروبي دون التدابير الوقائية المطلوبة بموجب GDPR. حذرت EDPB من أن تلبية متطلبات النقل الدولي على الشبكات العامة بدون إذن قد يكون صعبًا جدًا بسبب عدم القدرة على التعرف على أو التعاقد مع مشغلي العقد المجهولين. كما تناولت الهيئة العقود الذكية، موضحة أن اتخاذ القرارات التلقائية عبر البلوكشين قد يثير المادة 22 من GDPR عندما تؤدي القرارات إلى آثار قانونية أو ذات تأثير مماثل على الأفراد. قد تحتاج المؤسسات التي تستخدم العقود الذكية للخدمات المالية، والتحقق من الهوية، والإقراض، والتأمين، وإدارة الوصول إلى تقديم شفافية بشأن المعالجة الآلية مع ضمان فرص الأفراد المعنيين لطلب مراجعة بشرية.
تؤثر الإرشادات على مجموعة واسعة من القطاعات التي تستخدم تقنية البلوكشين، بما في ذلك المؤسسات المالية، ومقدمو الرعاية الصحية، ومنصات سلسلة التوريد، وأمناء الأصول الرقمية، وأسواق NFT، ومقدمو الأصول المرمزة. قد تتطلب عمليات البلوكشين الحالية التي تحتوي على بيانات شخصية تعديلات تقنية، أو إعادة تصميم معمارية، أو الانتقال إلى التخزين خارج السلسلة لتحسين الامتثال. شددت EDPB على أن الإرشادات لا تفرض التزامات قانونية جديدة، بل توضح متطلبات GDPR التي كانت سارية منذ 2018، مما يعني أن المؤسسات التي تعالج البيانات الشخصية على شبكات البلوكشين يجب أن تراجع أنظمتها الحالية دون تأخير. وعلى الرغم من أن المنظم استند إلى ملاحظات أصحاب المصلحة خلال المشاورات العامة، إلا أنه رفض الطلبات باستثناء شبكات البلوكشين العامة من الالتزامات المتعلقة بالمتحكمين أو لتخفيف معايير التمويه، مما يعزز إطار الامتثال الأكثر صرامة لمعالجة البيانات على أساس البلوكشين عبر الاتحاد الأوروبي.
ماذا أنهت EDPB في 8 يوليو 2026؟
أنهت EDPB إرشادات جديدة توضح كيف تنطبق اللائحة العامة لحماية البيانات (GDPR) على تقنيات البلوكشين. صدرت الإرشادات إلى جانب معايير التمويه المحدثة وتتناول كيفية التزام المؤسسات التي تعالج البيانات الشخصية لمقيمين الاتحاد الأوروبي بقواعد الخصوصية في الاتحاد.
لماذا تؤكد EDPB أن عدم قابلية التغيير في البلوكشين لا يعفي من التزامات GDPR؟
أكدت EDPB أن مشغلي البلوكشين لا يمكنهم تجنب التزامات GDPR ببساطة لأن سجلات البلوكشين غير قابلة للتغيير أو لأن البيانات الشخصية تم تشفيرها أو تجزئتها على السلسلة. ووفقًا للهيئة، تظل المؤسسات مسؤولة عن حماية حقوق أصحاب البيانات بغض النظر عن البنية التقنية التي يختارونها.
كيف توصي EDPB المؤسسات بمعالجة البيانات الشخصية على البلوكشين؟
توصي الإرشادات بأن تحتفظ المؤسسات بالبيانات الشخصية خارج السلسلة قدر الإمكان، مع استخدام البلوكشين بشكل رئيسي لتخزين المراجع التشفيرية مع الحفاظ على المعلومات الشخصية القابلة للحذف في قواعد بيانات تقليدية. وتعتبر هذه الهيكلة أكثر الطرق عملية للامتثال لمتطلبات الحذف بموجب GDPR مع الحفاظ على وظيفة البلوكشين.
أخبار ذات صلة
سيعيد الاتحاد الأوروبي فتح لائحة قواعد MiCA في عام 2027 لتنظيم مُصدري العملات المستقرة غير الأوروبيين
المفوضية الأوروبية تطلب تعليقات على تعديلات MiCA لتشمل التوكنية
كندا تعزز الرقابة على العملات الرقمية من خلال الإطار الفيدرالي للعملات المستقرة وتقارير CARF
SEC تعلن عن مقترح الملاذ الآمن للعملات الرقمية المتوقع في يوليو 2026
SEC تضيف ثلاثة مشاريع لوضع قواعد للعملات الرقمية إلى جدولها التنظيمي لعام 2026