Privacy Statnive Live · Parhum Khoshbakht

Digital Omnibus و ماده 88a(3)(c): اپراتورها در سال 2026 باید چه چیزی را زیر نظر بگیرند

پیشنهاد Digital Omnibus کمیسیون اروپا در تاریخ 19 نوامبر 2025، یک استثنا برای آنالیتیکس سنجش مخاطب در نظر گرفته است. در ادامه می‌بینید که این متن چه چیزی را تغییر می‌دهد و چه چیزی را هنوز تغییر نمی‌دهد.

این یک پژوهش در حوزه حریم خصوصی است، نه مشاوره حقوقی. برای دیدن سلب مسئولیت کامل، به فوتر مراجعه کنید.

خلاصه

  • ماده 88a(3)(c) آنالیتیکس مخاطب شخص‌اول را از الزام رضایت در سطح اتحادیه اروپا مستثنا می‌کند — یعنی اگر تصویب شود، تمیزترین مسیر حقوقی برای آنالیتیکس بدون بنر در هر 27 کشور عضو خواهد بود.
  • این یک پیشنهاد کمیسیون است، نه قانون. هیچ رأی صحن علنی پارلمان اروپا روی COM(2025) 837 برگزار نشده است (رأی صحن علنی 26 مارس 2026 مربوط به پرونده جداگانه Digital Omnibus on AI بود).
  • EDPB و EDPS در تاریخ 11 فوریه 2026 نظر مشترک Joint Opinion 2/2026 را صادر کردند و در آن نگرانی‌های جدی درباره کاهش حفاظت از افراد و عدم قطعیت حقوقی مطرح شد.
  • این پیشنهاد یک جابجایی لایه است، نه یک افزودنی موازی — قواعد کوکی از ePrivacy به GDPR منتقل می‌شوند؛ بنابراین این دو چارچوب پشت سر هم عمل می‌کنند، نه در کنار یکدیگر.
  • همین امروز برای هر دو سناریو معماری کنید — یک استقرار بدون کوکی، شخص‌اول و مخصوص استفاده انحصاری کنترلر، هم سخت‌گیرانه‌ترین قواعد فعلی کشورهای عضو را پشت سر می‌گذارد و هم در صورت تصویب کامل ماده 88a، از همان روز اول واجد شرایط است.

پیشنهادی که همه می‌خواهند چیزی از آن استنباط کنند

در تاریخ 19 نوامبر 2025 کمیسیون اروپا سند COM(2025) 837 final را منتشر کرد — همان Digital Omnibus — بسته‌ای که شماره پرونده بین‌نهادی آن 2025/0360(COD) است. EUR-Lex متن یکپارچه را در نشانی eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52025PC0837 قرار داده، و صفحه اختصاصی خود کمیسیون نیز در نشانی digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal در دسترس است. در دل این بسته، یک ماده 88a GDPR پیشنهادی جدید گنجانده شده که — اگر به همین شکل پیش‌نویس تصویب شود — پرتکرارترین مورد استفاده آنالیتیکس را از الزام رضایت در سطح اتحادیه اروپا مستثنا می‌کند: ایجاد اطلاعات تجمیع‌شده درباره استفاده از یک سرویس آنلاین برای سنجش مخاطب آن سرویس، در جایی که این کار را کنترلر همان سرویس آنلاین و صرفاً برای استفاده انحصاری خودش انجام می‌دهد.

این جمله، در ماده 88a(3)(c) این پیشنهاد، همان چیزی است که هر اپراتور اروپایی خسته از بنرها شش سال منتظر خواندنش بوده است. پیشنهاد قبلی مقررات ePrivacy — همانی که قرار بود قوانین ملی کوکی را هماهنگ کند — سرانجام پس از هشت سال مذاکرات ناکام شورا، در تاریخ 11 فوریه 2025 پس گرفته شد. Digital Omnibus پاسخ کوچک‌تر، سریع‌تر و عمل‌گرایانه‌تر کمیسیون است: اصلاح مستقیم GDPR با یک فهرست محدود از اهداف بدون‌رضایت و یک سازوکار رد با تنها یک کلیک.

این مطلب، خوانش اپراتور از ماجراست. این‌که متن واقعاً چه می‌گوید، در مسیر قانون‌گذاری تا اواسط می 2026 چه جایگاهی دارد، در صورت تصویب کامل چه چیزی را تغییر می‌دهد، و — از همه مهم‌تر — چطور همین امروز برای هر دو سناریو طراحی کنید.

ماده 88a(3) چه می‌گوید

متن کمیسیون یک فهرست بسته از اهدافی را معرفی می‌کند که پردازش داده‌های شخصی بدون رضایت برای آن‌ها مجاز است. زیربند مرتبط برای اپراتورهای آنالیتیکس، 88a(3)(c) است که پردازش را برای این هدف مجاز می‌داند:

“creating aggregated information about the usage of an online service to measure the audience of such a service, where it is carried out by the controller of that online service solely for its own use”

چهار عبارت اینجا بار حقوقی را به دوش می‌کشند.

«اطلاعات تجمیع‌شده» — نه جریان‌های رویداد در سطح فرد. شناسه‌های هر بازدیدکننده، کوکی‌های هر نشست و بازپخش‌های هر کاربر همچنان به یک مبنای رضایت جداگانه نیاز دارند. این استثنا برای شمارش‌ها، توزیع‌ها، قیف‌ها و تجمیع‌های مشابه است.

«مخاطب آن سرویس» — به‌طور مشخص سنجش مخاطب، نه تبلیغات رفتاری. این متن شامل بازاریابی مجدد، مدل‌سازی مخاطبان مشابه، اشتراک‌گذاری شناسه‌های شخص‌ثالث، یا هر جریانی که هدف تجاری‌اش بازاریابی پایین‌دستی باشد، نمی‌شود.

«کنترلر همان سرویس آنلاین» — یعنی آنالیتیکس خودِ سایت. اگر کنترل به‌صورت مشترک با یک پلتفرم تبلیغاتی باشد، یا اگر فروشنده آنالیتیکس از داده‌ها برای اهداف خودش استفاده کند، خارج از این استثنا قرار می‌گیرد.

«صرفاً برای استفاده انحصاری خودش» — آنالیتیکس خودِ اپراتور، نه ابزاری که داده‌ها را میان مشتریان متعدد جمع می‌کند یا با یک اکوسیستم شریک به اشتراک می‌گذارد. این همان عبارتی است که اگر متن دست‌نخورده باقی بماند، بحث طولانی درباره این‌که آیا Google Analytics 4 با استثنای سنجش مخاطب جور درمی‌آید یا نه را خاتمه می‌دهد (موضع فعلی CNIL این است که جور درنمی‌آید؛ Garante هم در تصمیم 9 ژوئن 2022 خود درباره Caffeina Media به همین نتیجه رسید).

سازوکار رد — ماده 88a(4)

این پیشنهاد فقط آنالیتیکس بدون‌رضایت را به‌طور انتزاعی مجاز نمی‌کند؛ بلکه تجربه کاربری آن را هم مشخص می‌کند. ماده 88a(4) پیشنهادی الزام می‌کند که اپراتورها امکان رد را “in an easy and intelligible manner with a single-click button or equivalent means” فراهم کنند. پس از رد، اپراتور نباید تا حداقل شش ماه دوباره پرسش را مطرح کند. پس از پذیرش (در جایی که رضایت خواسته می‌شود)، اپراتور نباید در طول دوره اعتبار آن رضایت دوباره پرسش کند.

اثر سیاسی این کار، تبدیل بنر از یک عنصر دائمی به یک تصمیم یک‌باره برای هر کاربر در هر بازه شش‌ماهه است — و در موارد مشمول استثنا، تبدیل آن به چیزی که شاید اصلاً لازم نباشد از همان ابتدا ظاهر شود.

سیگنال‌های سطح مرورگر — ماده 88a(b)

این بسته همچنین یک ماده 88b جدید پیشنهاد می‌کند که کنترلرها را ملزم می‌کند به افراد موضوع داده امکان دهند رضایت خود را “through automated and machine-readable means” اعلام یا رد کنند. به‌محض استقرار استانداردهای فنی، کنترلرها باید پس از یک دوره مهلت شش‌ماهه به این سیگنال‌ها احترام بگذارند، و برای اپراتورهایی که این کار را می‌کنند فرض انطباق در نظر گرفته می‌شود.

این همان لنگرگاه حقوقی است که مدت‌ها انتظارش را برای Global Privacy Control می‌کشیدند. اگر 88b به شکل فعلی باقی بماند، سیگنال GPC در حوزه‌های قضایی اروپا به‌طور فرضی الزام‌آور می‌شود — موضعی که CCPA پیش‌تر در کالیفرنیا و چند قانون ایالتی آمریکا اتخاذ کرده، اما اتحادیه اروپا تا کنون آن را به اختیار اپراتور واگذار کرده بود. بند 46 ارائه‌دهندگان خدمات رسانه‌ای را از الزام به سیگنال‌های خودکار مستثنا می‌کند، و این یک محدودسازی معنادار است.

پرونده کجاست — می 2026

اینجا همان جایی است که مقاله برای اپراتورهایی که منتظر چراغ سبز هستند، کمتر رضایت‌بخش می‌شود.

تا اواسط می 2026، Digital Omnibus یک پیشنهاد کمیسیون است، نه قانون. این پرونده در حال طی کردن رویه عادی قانون‌گذاری با پرونده‌های مشترک در دو کمیته پارلمان اروپاست:

  • کمیته ITRE (صنعت، پژوهش و انرژی)، با گزارشگری Aura Salla (EPP/FI)، و
  • کمیته LIBE (آزادی‌های مدنی، عدالت و امور داخلی)، با گزارشگری Marina Kaljurand (S&D/EE).

کمیته اقتصادی و اجتماعی اروپا نظر خود را در تاریخ 18 مارس 2026 تصویب کرد. بحث‌های گروه کاری شورا ادامه دارد — پرونده WK 3736/2026 INIT مورخ 19 مارس 2026 نشان می‌دهد هیئت‌های هلند، استونی و فنلاند فعالانه درباره دامنه دقیق ماده 88a(3)(c) بحث می‌کنند.

هنوز هیچ رأی صحن علنی پارلمان اروپا روی COM(2025) 837 وجود ندارد. یک رأی صحن علنی که در تاریخ 26 مارس 2026 برگزار شد، موضع مذاکراتی پارلمان درباره پرونده جداگانه Digital Omnibus on AI را تأیید کرد — پیشنهادی متفاوت در همان بسته ساده‌سازی دیجیتال. پرونده داده و حریم خصوصی که موضوع این مطلب است، تا اواسط می 2026 همچنان در مرحله کمیته باقی مانده است. بازه واقع‌بینانه تصویب — با فرض این‌که پرونده در تری‌لاگ گیر نکند — اواخر 2026 تا 2027 است، و لازم‌الاجرا شدن آن احتمالاً 2027 تا 2028. ماده 88a پیشنهادی شش ماه پس از لازم‌الاجرا شدن اعمال می‌شود؛ ماده 88b ظرف بیست‌وچهار ماه.

برای اهداف اپراتور، این یعنی: Digital Omnibus یک نقشه راه است، نه یک مبنای حقوقی فعلی. چیز درستی است که به سمتش طراحی کنید، و چیز درستی است که درباره‌اش با مشتریان ارتباط بگیرید. اما اشتباه است که برای راه‌اندازی سال 2026 یک رویکرد انطباق را روی آن شرط ببندید.

این پرونده با باد مخالف سیاسی جدی هم روبه‌روست.

EDPB و EDPS در تاریخ 11 فوریه 2026 نظر مشترک Joint Opinion 2/2026 را صادر کردند — یک موضع هماهنگ از سوی هیئت حفاظت داده اروپا (که هر 27 مرجع حفاظت داده ملی را در خود جمع می‌کند) و ناظر حفاظت داده اروپا. این نظر مشترک نگرانی‌های جدی مطرح می‌کند که تغییرات پیشنهادی «ممکن است سطح حفاظتی که افراد از آن برخوردارند را به‌طور نامطلوبی تحت تأثیر قرار دهد»، «عدم قطعیت حقوقی» ایجاد کند و «اعمال قانون حفاظت داده را دشوارتر کند». این معتبرترین موضع ممکن یک مرجع حفاظت داده پیش از تری‌لاگ روی این پرونده است. NOYB نیز گزارش V3 خود را در تاریخ 24 فوریه 2026 با تکیه بر این نظر مشترک و زیر عنوان “EU DPAs reject many proposed changes to the GDPR” منتشر کرد.

انتصاب گزارشگر ITRE مورد مناقشه است. هفت سازمان دیده‌بان جامعه مدنی — از جمله Transparency International EU، Corporate Europe Observatory و The Good Lobby — به‌طور مشترک خواستار لغو انتصاب Aura Salla شده‌اند، با استناد به نقش لابی‌گری اجرایی او از می 2020 تا آوریل 2023 در Meta Platforms به‌عنوان یک تعارض منافع احتمالی طبق ماده 3 آیین رفتار پارلمان اروپا. Salla تا می 2026 همچنان گزارشگر منصوب‌شده باقی مانده و این مناقشه حل‌نشده است.

ائتلاف‌های صنعت رسانه استدلال می‌کنند که 88a(3)(c) بیش از حد محدود است. یک بیانیه مشترک اتحادیه پخش اروپا در می 2026 — که egta و دیگر انجمن‌های رسانه‌ای اروپا هم به آن پیوسته‌اند — استدلال می‌کند که استثنای سنجش مخاطب به شکل پیش‌نویس فعلی، سنجش مخاطب شخص‌ثالثِ Joint Industry Committee را که در رسانه‌های اروپا یک رویه استاندارد است کنار می‌گذارد. عبارت «صرفاً برای استفاده انحصاری خودش» کانون لابی‌گری صنعت رسانه برای اصلاح است. بنابراین نبرد سیاسی در هر دو جهت زنده است — مراجع حفاظت داده و سازمان‌های غیردولتی که در برابر بسته گسترده‌تر مقاومت می‌کنند، و ائتلاف‌های صنعت رسانه که برای گسترده‌تر شدن این استثنا فشار می‌آورند.

چرا این هنوز «پایان بنرهای کوکی» نیست

سه منبع اصطکاک باعث می‌شوند احتیاط اپراتور همچنان موجه بماند، حتی اگر ماده 88a تقریباً به همان شکل پیش‌نویس تصویب شود.

اول، این پیشنهاد یک جابجایی لایه است، نه یک افزودنی موازی. بر اساس خوانش Taylor Wessing از این پیشنهاد، “the ePrivacy rules will no longer apply when personal data is being processed. In those situations, only the GDPR will apply. The two frameworks will operate sequentially, not in parallel.” به عبارت ساده‌تر: برای دسترسی به تجهیزات پایانه‌ای حاوی داده‌های شخصی (یعنی اکثریت قریب‌به‌اتفاق موارد کوکی، چون بیشتر کوکی‌ها طبق رأی Breyer داده شخصی پردازش می‌کنند)، ماده 88a GDPR حاکم می‌شود و ماده 5(3) ePrivacy از اعمال بازمی‌ایستد. برای دسترسی به تجهیزات پایانه‌ای فاقد داده شخصی (یک باقی‌مانده کوچک‌تر و کاملاً فنی)، ماده 5(3) ePrivacy از طریق ترانهش‌های ملی خود همچنان حاکم می‌ماند (ماده 82 قانون Loi 78-17 در فرانسه، § 25 TDDDG در آلمان، ماده 11.7a قانون Telecommunicatiewet در هلند). اثر عملی برای اپراتور همان شکل است: یک معماری بدون کوکی، شخص‌اول و سمت‌سرور هر دو لایه را دور می‌زند، اما مسیر حقوقی عبور از آن‌ها تغییر می‌کند.

دوم، پیاده‌سازی در کشورهای عضو متفاوت خواهد بود. CNIL یک دهه گذشته را صرف تبدیل Sheet n°16 به یک استثنای ملی دقیق با سقف‌های عمر مشخص، بازه‌های نگهداری و الزامات تجمیع کرده است. Garante و AEPD هم نسخه‌های خودشان را ساخته‌اند. Digital Omnibus یک کف مشترک در سراسر اتحادیه معرفی می‌کند؛ این‌که آیا تنظیم‌کننده‌های ملی از مواضع سخت‌گیرانه‌تر خود عقب‌نشینی می‌کنند، حول متن جدید هماهنگ می‌شوند، یا این استثنا را تنگ تفسیر می‌کنند، بار واقعی روز اول اپراتور را تعیین می‌کند.

سوم، مخالفت بلند، هماهنگ و عالی‌رتبه است. همان‌طور که بالاتر گفته شد: نظر مشترک EDPB-EDPS با شماره 2/2026 مورخ 11 فوریه 2026، گزارش V3 از NOYB مورخ 24 فوریه 2026، و فراخوان جامعه مدنی برای لغو انتصاب گزارشگر ITRE همگی در برابر بسته گسترده‌تر قرار دارند. خودِ استثنای سنجش مخاطب از حمایت نسبتاً گسترده مراجع حفاظت داده برخوردار است؛ این‌که آیا پارلمان می‌تواند مفاد منفرد را جدا کند یا کل بسته را به رأی می‌گذارد، متن نهایی را شکل خواهد داد. یک رأی به کل بسته همراه با اصلاحات لحظه‌آخری، برای قطعیت حقوقی بدتر از یک تصویب تمیز ماده 88a است.

اگر 88a(3)(c) دست‌نخورده تصویب شود، چه چیزی برای اپراتورها تغییر می‌کند

یک مقایسه ذهنی سریع را در برابر رویکرد فعلی سال 2026 اجرا کنید.

معافیت رضایت در سطح اتحادیه اروپا برای آنالیتیکس تجمیع‌شده شخص‌اول. یک پیکربندی واحد به‌طور هم‌زمان فرانسه، آلمان، ایتالیا، اسپانیا، هلند و باقی کشورهای عضو را راضی می‌کند — بدون نیاز به آزمون استثنای ملی هر کدام. Sheet 16 هفت‌نکته‌ای CNIL، راهنمای سنجش مخاطب AEPD، دستورالعمل‌های کوکی Garante مورخ 10 ژوئن 2021 و موضع AP درباره کوکی‌های تحلیلی همگی زیر یک قاعده سطح اتحادیه اروپا قرار می‌گیرند که سخت‌گیرانه‌تر است و حتی از خط فعلی ICO بریتانیا هم سخت‌گیرانه‌تر. از آن‌جایی که ماده 88a یک جابجایی لایه است — قواعد کوکی برای هر مورد داده شخصی از ePrivacy به GDPR منتقل می‌شوند — مانع § 25 TDDDG آلمان مبنی بر «بدون رضایت بدون ضرورت اکید»، برای کوکی‌های داده شخصی، با قاعده جدید ماده 88a GDPR جایگزین می‌شود. لایه باقی‌مانده و بسیار محدودتر ماده 5(3) ePrivacy همچنان دسترسی به تجهیزات پایانه‌ای کاملاً فاقد داده شخصی را پوشش می‌دهد، اما این در عمل یک دسته باریک است.

رد تبدیل به یک انصراف شش‌ماهه می‌شود، نه یک اصطکاک در هر نشست. قاعده «رد با یک کلیک، بدون پرسش مجدد تا شش ماه» در ماده 88a(4)، تجربه کاربری رضایت را به یک تصمیم یک‌بار در هر نیم‌سال تبدیل می‌کند. برای اپراتورهایی که اکنون در هر نشست دوباره پرسش را مطرح می‌کنند چون CMP آن‌ها به‌طور پیش‌فرض عمر کوکی را 30 روز در نظر می‌گیرد، این یک پیروزی معنادار در تجربه کاربری است.

سیگنال‌های سطح مرورگر (GPC) به‌طور فرضی الزام‌آور می‌شوند. ماده 88b برای کنترلرهایی که به سیگنال‌های رضایت ماشین‌خوان احترام می‌گذارند، فرض انطباق در نظر می‌گیرد. حرکت منطقی اپراتور این است که به‌جای انتظار برای تصویب استانداردها، همین حالا به GPC احترام بگذارد.

نبرد TCF در IAB Europe باریک‌تر می‌شود. اگر سنجش مخاطب تجمیع‌شده به یک رشته TC نیاز نداشته باشد، سطح مناقشه TCF کوچک می‌شود (مناقشه‌ای که پیش‌تر رأی IAB Europe دیوان دادگستری اتحادیه اروپا، پرونده C-604/22 مورخ 7 مارس 2024 را به همراه داشته است). اپراتورهایی که فقط بر آنالیتیکس مخاطبِ مبتنی بر منافع مشروع تکیه می‌کنند، یک مبنای تمیز GDPR بدون درگیری با IAB-TCF به دست می‌آورند.

اما چه چیزی تغییر نمی‌کند: لایه «ذخیره و دسترسی روی تجهیزات پایانه‌ای» ماده 5(3) ePrivacy برای کوکی‌ها و localStorage؛ رابطه پردازنده ماده 28 برای هر ارائه‌دهنده آنالیتیکس SaaS؛ ساعت اعلام نقض ماده 33؛ ماشه DPIA در ماده 35 برای پردازش پرریسک؛ و حقوق موضوع داده در مواد 15/17 — همگی همچنان بالای این استثنای جدید بدون‌رضایت اعمال می‌شوند.

همین امروز برای هر دو سناریو طراحی کنید

موضع استوار اپراتور همین حالا این است که پیکربندی‌ای طراحی کند که هم از پازل فعلی سال 2026 و هم از متن پیشنهادی Digital Omnibus جان سالم به در ببرد، تا روزی که ماده 88a اعمال شود، هیچ‌چیز در پشته آنالیتیکس نیاز به تغییر نداشته باشد.

پیکربندی‌ای که از هر دو جان سالم به در می‌برد:

  • بدون کوکی، بدون localStorage، بدون اثر انگشت مرورگر. امروز مانع ضرورت اکید آلمان را برآورده می‌کند (چون اصلاً هیچ ذخیره یا دسترسی روی تجهیزات پایانه‌ای رخ نمی‌دهد)؛ پس از جابجایی لایه نیز همین معماری، ماده 88a GDPR را برای هر پردازش داده شخصی باقی‌مانده برآورده می‌کند.
  • جمع‌آوری داده شخص‌اول روی دامنه خودِ اپراتور. با شرط شخص‌اول Sheet 16 از CNIL همسو است؛ با عبارت «کنترلر همان سرویس آنلاین» در ماده 88a(3)(c) همسو است.
  • تجمیع‌های انباشته، نه جریان‌های رویداد فردی. با توصیه CNIL برای تجمیع تا نزدیک‌ترین مضرب 10 همسو است و با عبارت «اطلاعات تجمیع‌شده» در ماده 88a(3)(c).
  • بدون انباشت داده میان مشتریان. با ممنوعیت Sheet 16 از CNIL درباره اشتراک‌گذاری داده خام همسو است؛ با عبارت «صرفاً برای استفاده انحصاری خودش» همسو است.
  • احترام به GPC و DNT در لایه دریافت. با ماده 88b پیشنهادی و عبارت «ابزارهای خودکار و ماشین‌خوان» همسو است — و اگر تنظیم‌کننده‌ای امروز بپرسد، به اپراتور یک پاسخ معتبر «ما همین حالا به سیگنال‌های مرورگر احترام می‌گذاریم» می‌دهد.
  • نگهداری محدود. سقف 25 ماهه CNIL سخت‌گیرانه‌ترین مانع فعلی اروپاست؛ ماده 88a سقف نگهداری را مستقیماً مشخص نمی‌کند، اما اصل محدودیت ذخیره‌سازی در ماده 5(1)(e) از GDPR همچنان اعمال می‌شود. طراحی بر اساس سقف CNIL همین حالا گسترده‌ترین سازگاری رو به جلو را به شما می‌دهد.
  • یک ارزیابی منافع مشروع مستند طبق ماده 6(1)(f). از آن‌جایی که لایه ذخیره/دسترسی (ماده 5(3) ePrivacy) دور زده می‌شود و اپراتور شناسه‌های مستعار (یک IP، یک شناسه کوکی هش‌شده) را پردازش می‌کند، مبنای ماده 6 از GDPR هم امروز و احتمالاً فردا یک پرسش زنده باقی می‌ماند. آزمون سه‌مرحله‌ای دستورالعمل‌های 1/2024 از EDPB (شناسایی منافع ← ضرورت ← توازن) قالب پایداری برای این کار است.

این همان معماری‌ای است که Statnive Live به‌طور پیش‌فرض ارائه می‌دهد. پیش‌تنظیم سیاست‌سایت consent-free آن، کوکی‌ها و localStorage را خاموش می‌کند، هش‌های بازدیدکننده BLAKE3-HMAC با چرخش روزانه را مشتق می‌کند که هنگام چرخش نمک خودشان را از بین می‌برند، IPها را سمت‌سرور کوتاه می‌کند، User-Agentها را به نسخه‌های اصلی کاهش می‌دهد و فقط بخش هاست ارجاع‌دهنده را ذخیره می‌کند. پیش‌تنظیم hybrid آن، یک مسیر ارتقای سمت‌سرور را برای اپراتورهایی اضافه می‌کند که ابتدا آنالیتیکس تجمیعی ناشناس می‌خواهند و سپس بعد از این‌که بازدیدکننده بنر را می‌پذیرد، انتساب کامل — الگویی که گوگل در مارس 2024 با نام «Consent Mode v2» عرضه کرد، اما در Statnive Live به‌جای اعتماد سمت‌کلاینت با اعمال سمت‌سرور ارائه می‌شود.

شمارش یازده‌حوزه‌ای enum سیاست‌سایت که Statnive Live در معرض دید می‌گذارد — DE، FR، IT، ES، NL، BE، IE، UK، OTHER-EU، IR، OTHER-NON-EU — یک اعتبارسنج با قاعده سخت دارد که اپراتورهای آلمانی را از انتخاب حالت permissive (که § 25 TDDDG آن را ممنوع می‌کند) و از انتخاب consent-required بدون یک یکپارچه‌سازی رضایت فعال بازمی‌دارد. همین enum به‌خوبی به دنیای آینده ماده 88a نگاشت می‌شود: هر سلولی که امروز به consent-free می‌رسد همچنان اعمال می‌شود؛ بنابراین بار اپراتور تغییر نمی‌کند.

در طول 2026 و 2027 چه چیزی را زیر نظر بگیرید

یک فهرست کوتاه برای اپراتورهایی که این پرونده را دنبال می‌کنند:

  1. حل‌وفصل مناقشه گزارشگری Salla. این‌که آیا هماهنگ‌کنندگان ITRE به فراخوان جامعه مدنی برای لغو پاسخ می‌دهند — و این‌که یک جایگزینی، نقش تفویض‌شده پیش‌نویس، یا نتیجه بدون‌تغییر رخ می‌دهد — فضای سیاسی این پرونده را شکل می‌دهد.
  2. گزارش‌های گزارشگر پارلمان از ITRE و LIBE. این‌ها موضع تری‌لاگ را شکل می‌دهند. Aura Salla (EPP) و Marina Kaljurand (S&D) خط‌مبناهای سیاسی متفاوتی دارند و استثنای سنجش مخاطب ممکن است از هر دو سو اصلاحاتی را جذب کند. لابی‌گری صنعت رسانه استدلال می‌کند که 88a(3)(c) بیش از حد محدود است (سنجش شخص‌ثالثِ Joint Industry Committee را کنار می‌گذارد)؛ سازمان‌های غیردولتی حریم خصوصی با دامنه باریک فعلی راحت‌ترند.
  3. بحث‌های گروه کاری شورا درباره دامنه ماده 88a(3)(c). سند کاری WK 3736/2026 INIT نشان می‌دهد که هیئت‌های هلند، استونی و فنلاند در حال کاوش این هستند که «صرفاً برای استفاده انحصاری خودش» در عمل چه معنایی دارد. ببینید که آیا شورا آن را تنگ‌تر یا گسترده‌تر می‌کند.
  4. موضع‌گیری بعدی EDPB و EDPS. نظر مشترک Joint Opinion 2/2026 مورخ 11 فوریه 2026 معتبرترین موضع ممکن یک مرجع حفاظت داده پیش از تری‌لاگ است. هر پیگیری بعدی — نظر تکمیلی، بیانیه‌های مراجع حفاظت داده ملی منفرد، یا یک متن جایگزین هماهنگ — سیگنال قدرتمندی خواهد بود.
  5. گزارش V4 از NOYB و راهبرد دعاوی. گزارش V3 مورخ 24 فوریه 2026 نسخه‌های V1 و V2 را با تفسیر صریح درباره نظر مشترک تکمیل می‌کند. NOYB با خودِ استثنای سنجش مخاطب مخالفت نکرده، اما ممکن است پیاده‌سازی آن را به چالش بکشد: درگیری‌های به‌سبک رشته TC، رابط‌های رد با الگوی تاریک، یا اپراتورهایی که سنجش مخاطب را با بازاریابی مجدد در هم می‌آمیزند.
  6. پیش‌دستی تنظیم‌کننده‌های ملی. CNIL، Garante و AEPD ممکن است پیش از تصویب راهنما منتشر کنند و نشان دهند هر کدام چگونه ماده 88a را در نظم حقوقی ملی خود می‌خوانند. به‌ویژه CNIL را زیر نظر بگیرید؛ راهنمای خودارزیابی سنجش مخاطب آن پس از 1 ژانویه 2026، اپراتورمحورترین خوانش هر تنظیم‌کننده اتحادیه اروپاست و معمولاً اولین جایی است که به‌روزرسانی می‌شود.
  7. تقویم تری‌لاگ. اگر این پرونده در اواخر 2026 وارد تری‌لاگ شود، مراقب اصلاحات بنیادی روی ماده 88a(3)(c) باشید. تجربه گذشته با مقررات ePrivacy نشان می‌دهد که تمیزترین متن خروجی از کمیسیون، اغلب تا زمانی که شورا و پارلمان به توافق برسند رقیق می‌شود.

چه کاری انجام دهید و از چه کاری بگذرید

انجام دهیدانجام ندهید
ماده 88a(3)(c) را به‌عنوان یک نقشه راه در نظر بگیرید — معماری امروز را طوری طراحی کنید که اگر متن دست‌نخورده تصویب شد، از همان روز اول واجد شرایط باشد.ماده 88a(3)(c) را یک مبنای حقوقی فعلی نپندارید. این یک پیشنهاد کمیسیون است؛ پارلمان رأی نداده است.
طوری معماری کنید که سخت‌گیرانه‌ترین رژیم فعلی کشورهای عضو (§ 25 TDDDG در آلمان) را برآورده کند تا پیکربندی با آینده سازگار باشد.برای آزادانه‌ترین متن آینده نسازید و در تری‌لاگ کشف نکنید که شورا این استثنا را باریک کرده است.
وقتی پرونده حرکت کرد، نظر مشترک Joint Opinion 2/2026 از EDPB-EDPS را در کنار آن دوباره بخوانید — موضع مراجع حفاظت داده دامنه نهایی را شکل می‌دهد.این استثنا را طوری استناد نکنید که انگار قانون قطعی است. هر اشاره به ماده 88a باید عبارت «پیشنهاد، بدون رأی صحن علنی پارلمان» را به همراه داشته باشد.
روی هر صفحه به‌روزرسانی نظارتی، تاریخ بازیابی را مهر کنید تا خوانندگان بدانند کدام نسخه را می‌خوانند.رأی 26 مارس 2026 پارلمان درباره Digital Omnibus on AI را با COM(2025) 837 در هم نیامیزید — این‌ها پرونده‌های جداگانه‌ای هستند.
برای رصد تغییرات وضعیت COM(2025) 837، در Legislative Train Schedule مشترک شوید.راه‌اندازی یک محصول را روی جدول زمانی تصویب Omnibus شرط نبندید. لازم‌الاجرا شدن واقع‌بینانه آن 2027 تا 2028 است.

جمع‌بندی برای اپراتور

ماده 88a(3)(c) اپراتورپسندترین متن درباره اصلاح کوکی اتحادیه اروپا از سال 2018 است. اگر دست‌نخورده تصویب شود، پازل انطباق سنجش مخاطب کشور‌به‌کشور را بازنشسته می‌کند و آن را با یک قاعده واحد در سراسر اتحادیه جایگزین می‌کند. اما این هم یک پیشنهاد است، نه قانون؛ این پرونده هنوز رأی صحن علنی پارلمان را ندیده است؛ تصویب آن بعید است پیش از 2027 رخ دهد؛ و لایه تجهیزات پایانه‌ای ماده 5(3) ePrivacy همچنان در کنار آن اعمال می‌شود.

موضع استوار این است که همین امروز هم‌زمان برای سخت‌گیرانه‌ترین رژیم فعلی (بخش 25 TDDDG در آلمان) و برای استثنای پیشنهادی معماری کنید — تا چه Digital Omnibus دست‌نخورده تصویب شود، چه رقیق‌شده تصویب شود و چه گیر کند، پشته آنالیتیکس اپراتور بدون تغییر به کار خود ادامه دهد. این همان چیزی است که ما Statnive Live را برای آن ساختیم: پیکربندی‌ای که به تصویب Digital Omnibus وابسته نیست، اما اگر تصویب شود از همان روز اول آماده است تا واجد شرایط شود.

برای دیدن راهنمای عملی عمیق‌تر پشت هر استثنای کشورهای عضو — Sheet 16 از CNIL فرانسه، محدودیت سمت‌سرور-فقط § 25 TDDDG آلمان، و نقشه کشور‌به‌کشور — به مطالب پیوندخورده در این مجموعه مراجعه کنید. برای دیدن معماری کاملی که متن کمیسیون به اپراتور اجازه می‌دهد رویش استاندارد شود، راهنمای جامع آنالیتیکس بدون رضایت اتحادیه اروپا در 2026 همان مطلب ستونی است.


این یک پژوهش در حوزه حریم خصوصی است، نه مشاوره حقوقی. پیکربندی‌های توصیف‌شده، زمانی که طبق یک ارزیابی منافع مشروع مستند و خودارزیابی مرتبط هر کشور مستقر شوند، تحت راهنمای تنظیم‌کننده واجد شرایط هستند. هر مشتری Statnive همچنان کنترلر داده باقی می‌ماند و مسئولیت پیکربندی و DPIA خود را بر عهده دارد. پیش از انتشار، با مشاور حقوقی واجد شرایط در حوزه قضایی خود مشورت کنید.

وضعیت ارجاعات نظارتی تا تاریخ 13 می 2026: Digital Omnibus COM(2025) 837 final — پیشنهاد کمیسیون مورخ 19 نوامبر 2025؛ پرونده‌های مشترک در ITRE (گزارشگر Aura Salla EPP/FI — هفت سازمان جامعه مدنی تا فوریه 2026 انتصابش را به مناقشه کشیده‌اند) و LIBE (گزارشگر Marina Kaljurand S&D/EE)؛ نظر EESC مصوب 18 مارس 2026؛ پرونده گروه کاری شورا WK 3736/2026 INIT مورخ 19 مارس 2026؛ نظر مشترک EDPB-EDPS با شماره 2/2026 مورخ 11 فوریه 2026 که نگرانی‌هایی درباره حفاظت از افراد و قطعیت حقوقی مطرح می‌کند؛ گزارش V3 از NOYB مورخ 24 فوریه 2026؛ بیانیه مشترک انجمن‌های رسانه‌ای اروپا در می 2026 (88a(3)(c) بیش از حد محدود)؛ هیچ رأی صحن علنی پارلمان اروپا روی COM(2025) 837 (رأی صحن علنی 26 مارس 2026 مربوط به پرونده جداگانه Digital Omnibus on AI بود). دستورالعمل ePrivacy با شماره 2002/58/EC که 2009/136/EC آن را اصلاح کرده — لازم‌الاجرا؛ طبق پیشنهاد Digital Omnibus، لایه قاعده‌کوکی برای موارد داده شخصی به ماده 88a از GDPR منتقل می‌شود. دستورالعمل‌های EDPB با شماره 2/2023 نسخه 2.0 مورخ 7 اکتبر 2024 و دستورالعمل‌های EDPB با شماره 1/2024 مورخ 8 اکتبر 2024 — لازم‌الاجرا. رأی دیوان دادگستری اتحادیه اروپا در پرونده C-621/22 KNLTB (ECLI:EU:C:2024:857) — مصوب 4 اکتبر 2024. کمیسیون پیشنهاد قبلی مقررات ePrivacy را در تاریخ 11 فوریه 2025 پس گرفت.

Get Statnive Free