Digital Omnibus و ماده 88a(3)(c): اپراتورها در سال 2026 باید چه چیزی را زیر نظر بگیرند
پیشنهاد Digital Omnibus کمیسیون اروپا در تاریخ 19 نوامبر 2025، یک استثنا برای آنالیتیکس سنجش مخاطب در نظر گرفته است. در ادامه میبینید که این متن چه چیزی را تغییر میدهد و چه چیزی را هنوز تغییر نمیدهد.
این یک پژوهش در حوزه حریم خصوصی است، نه مشاوره حقوقی. برای دیدن سلب مسئولیت کامل، به فوتر مراجعه کنید.
خلاصه
- ماده 88a(3)(c) آنالیتیکس مخاطب شخصاول را از الزام رضایت در سطح اتحادیه اروپا مستثنا میکند — یعنی اگر تصویب شود، تمیزترین مسیر حقوقی برای آنالیتیکس بدون بنر در هر 27 کشور عضو خواهد بود.
- این یک پیشنهاد کمیسیون است، نه قانون. هیچ رأی صحن علنی پارلمان اروپا روی COM(2025) 837 برگزار نشده است (رأی صحن علنی 26 مارس 2026 مربوط به پرونده جداگانه Digital Omnibus on AI بود).
- EDPB و EDPS در تاریخ 11 فوریه 2026 نظر مشترک Joint Opinion 2/2026 را صادر کردند و در آن نگرانیهای جدی درباره کاهش حفاظت از افراد و عدم قطعیت حقوقی مطرح شد.
- این پیشنهاد یک جابجایی لایه است، نه یک افزودنی موازی — قواعد کوکی از ePrivacy به GDPR منتقل میشوند؛ بنابراین این دو چارچوب پشت سر هم عمل میکنند، نه در کنار یکدیگر.
- همین امروز برای هر دو سناریو معماری کنید — یک استقرار بدون کوکی، شخصاول و مخصوص استفاده انحصاری کنترلر، هم سختگیرانهترین قواعد فعلی کشورهای عضو را پشت سر میگذارد و هم در صورت تصویب کامل ماده 88a، از همان روز اول واجد شرایط است.
پیشنهادی که همه میخواهند چیزی از آن استنباط کنند
در تاریخ 19 نوامبر 2025 کمیسیون اروپا سند COM(2025) 837 final را منتشر کرد — همان Digital Omnibus — بستهای که شماره پرونده بیننهادی آن 2025/0360(COD) است. EUR-Lex متن یکپارچه را در نشانی eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52025PC0837 قرار داده، و صفحه اختصاصی خود کمیسیون نیز در نشانی digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal در دسترس است. در دل این بسته، یک ماده 88a GDPR پیشنهادی جدید گنجانده شده که — اگر به همین شکل پیشنویس تصویب شود — پرتکرارترین مورد استفاده آنالیتیکس را از الزام رضایت در سطح اتحادیه اروپا مستثنا میکند: ایجاد اطلاعات تجمیعشده درباره استفاده از یک سرویس آنلاین برای سنجش مخاطب آن سرویس، در جایی که این کار را کنترلر همان سرویس آنلاین و صرفاً برای استفاده انحصاری خودش انجام میدهد.
این جمله، در ماده 88a(3)(c) این پیشنهاد، همان چیزی است که هر اپراتور اروپایی خسته از بنرها شش سال منتظر خواندنش بوده است. پیشنهاد قبلی مقررات ePrivacy — همانی که قرار بود قوانین ملی کوکی را هماهنگ کند — سرانجام پس از هشت سال مذاکرات ناکام شورا، در تاریخ 11 فوریه 2025 پس گرفته شد. Digital Omnibus پاسخ کوچکتر، سریعتر و عملگرایانهتر کمیسیون است: اصلاح مستقیم GDPR با یک فهرست محدود از اهداف بدونرضایت و یک سازوکار رد با تنها یک کلیک.
این مطلب، خوانش اپراتور از ماجراست. اینکه متن واقعاً چه میگوید، در مسیر قانونگذاری تا اواسط می 2026 چه جایگاهی دارد، در صورت تصویب کامل چه چیزی را تغییر میدهد، و — از همه مهمتر — چطور همین امروز برای هر دو سناریو طراحی کنید.
ماده 88a(3) چه میگوید
متن کمیسیون یک فهرست بسته از اهدافی را معرفی میکند که پردازش دادههای شخصی بدون رضایت برای آنها مجاز است. زیربند مرتبط برای اپراتورهای آنالیتیکس، 88a(3)(c) است که پردازش را برای این هدف مجاز میداند:
“creating aggregated information about the usage of an online service to measure the audience of such a service, where it is carried out by the controller of that online service solely for its own use”
چهار عبارت اینجا بار حقوقی را به دوش میکشند.
«اطلاعات تجمیعشده» — نه جریانهای رویداد در سطح فرد. شناسههای هر بازدیدکننده، کوکیهای هر نشست و بازپخشهای هر کاربر همچنان به یک مبنای رضایت جداگانه نیاز دارند. این استثنا برای شمارشها، توزیعها، قیفها و تجمیعهای مشابه است.
«مخاطب آن سرویس» — بهطور مشخص سنجش مخاطب، نه تبلیغات رفتاری. این متن شامل بازاریابی مجدد، مدلسازی مخاطبان مشابه، اشتراکگذاری شناسههای شخصثالث، یا هر جریانی که هدف تجاریاش بازاریابی پاییندستی باشد، نمیشود.
«کنترلر همان سرویس آنلاین» — یعنی آنالیتیکس خودِ سایت. اگر کنترل بهصورت مشترک با یک پلتفرم تبلیغاتی باشد، یا اگر فروشنده آنالیتیکس از دادهها برای اهداف خودش استفاده کند، خارج از این استثنا قرار میگیرد.
«صرفاً برای استفاده انحصاری خودش» — آنالیتیکس خودِ اپراتور، نه ابزاری که دادهها را میان مشتریان متعدد جمع میکند یا با یک اکوسیستم شریک به اشتراک میگذارد. این همان عبارتی است که اگر متن دستنخورده باقی بماند، بحث طولانی درباره اینکه آیا Google Analytics 4 با استثنای سنجش مخاطب جور درمیآید یا نه را خاتمه میدهد (موضع فعلی CNIL این است که جور درنمیآید؛ Garante هم در تصمیم 9 ژوئن 2022 خود درباره Caffeina Media به همین نتیجه رسید).
سازوکار رد — ماده 88a(4)
این پیشنهاد فقط آنالیتیکس بدونرضایت را بهطور انتزاعی مجاز نمیکند؛ بلکه تجربه کاربری آن را هم مشخص میکند. ماده 88a(4) پیشنهادی الزام میکند که اپراتورها امکان رد را “in an easy and intelligible manner with a single-click button or equivalent means” فراهم کنند. پس از رد، اپراتور نباید تا حداقل شش ماه دوباره پرسش را مطرح کند. پس از پذیرش (در جایی که رضایت خواسته میشود)، اپراتور نباید در طول دوره اعتبار آن رضایت دوباره پرسش کند.
اثر سیاسی این کار، تبدیل بنر از یک عنصر دائمی به یک تصمیم یکباره برای هر کاربر در هر بازه ششماهه است — و در موارد مشمول استثنا، تبدیل آن به چیزی که شاید اصلاً لازم نباشد از همان ابتدا ظاهر شود.
سیگنالهای سطح مرورگر — ماده 88a(b)
این بسته همچنین یک ماده 88b جدید پیشنهاد میکند که کنترلرها را ملزم میکند به افراد موضوع داده امکان دهند رضایت خود را “through automated and machine-readable means” اعلام یا رد کنند. بهمحض استقرار استانداردهای فنی، کنترلرها باید پس از یک دوره مهلت ششماهه به این سیگنالها احترام بگذارند، و برای اپراتورهایی که این کار را میکنند فرض انطباق در نظر گرفته میشود.
این همان لنگرگاه حقوقی است که مدتها انتظارش را برای Global Privacy Control میکشیدند. اگر 88b به شکل فعلی باقی بماند، سیگنال GPC در حوزههای قضایی اروپا بهطور فرضی الزامآور میشود — موضعی که CCPA پیشتر در کالیفرنیا و چند قانون ایالتی آمریکا اتخاذ کرده، اما اتحادیه اروپا تا کنون آن را به اختیار اپراتور واگذار کرده بود. بند 46 ارائهدهندگان خدمات رسانهای را از الزام به سیگنالهای خودکار مستثنا میکند، و این یک محدودسازی معنادار است.
پرونده کجاست — می 2026
اینجا همان جایی است که مقاله برای اپراتورهایی که منتظر چراغ سبز هستند، کمتر رضایتبخش میشود.
تا اواسط می 2026، Digital Omnibus یک پیشنهاد کمیسیون است، نه قانون. این پرونده در حال طی کردن رویه عادی قانونگذاری با پروندههای مشترک در دو کمیته پارلمان اروپاست:
- کمیته ITRE (صنعت، پژوهش و انرژی)، با گزارشگری Aura Salla (EPP/FI)، و
- کمیته LIBE (آزادیهای مدنی، عدالت و امور داخلی)، با گزارشگری Marina Kaljurand (S&D/EE).
کمیته اقتصادی و اجتماعی اروپا نظر خود را در تاریخ 18 مارس 2026 تصویب کرد. بحثهای گروه کاری شورا ادامه دارد — پرونده WK 3736/2026 INIT مورخ 19 مارس 2026 نشان میدهد هیئتهای هلند، استونی و فنلاند فعالانه درباره دامنه دقیق ماده 88a(3)(c) بحث میکنند.
هنوز هیچ رأی صحن علنی پارلمان اروپا روی COM(2025) 837 وجود ندارد. یک رأی صحن علنی که در تاریخ 26 مارس 2026 برگزار شد، موضع مذاکراتی پارلمان درباره پرونده جداگانه Digital Omnibus on AI را تأیید کرد — پیشنهادی متفاوت در همان بسته سادهسازی دیجیتال. پرونده داده و حریم خصوصی که موضوع این مطلب است، تا اواسط می 2026 همچنان در مرحله کمیته باقی مانده است. بازه واقعبینانه تصویب — با فرض اینکه پرونده در تریلاگ گیر نکند — اواخر 2026 تا 2027 است، و لازمالاجرا شدن آن احتمالاً 2027 تا 2028. ماده 88a پیشنهادی شش ماه پس از لازمالاجرا شدن اعمال میشود؛ ماده 88b ظرف بیستوچهار ماه.
برای اهداف اپراتور، این یعنی: Digital Omnibus یک نقشه راه است، نه یک مبنای حقوقی فعلی. چیز درستی است که به سمتش طراحی کنید، و چیز درستی است که دربارهاش با مشتریان ارتباط بگیرید. اما اشتباه است که برای راهاندازی سال 2026 یک رویکرد انطباق را روی آن شرط ببندید.
این پرونده با باد مخالف سیاسی جدی هم روبهروست.
EDPB و EDPS در تاریخ 11 فوریه 2026 نظر مشترک Joint Opinion 2/2026 را صادر کردند — یک موضع هماهنگ از سوی هیئت حفاظت داده اروپا (که هر 27 مرجع حفاظت داده ملی را در خود جمع میکند) و ناظر حفاظت داده اروپا. این نظر مشترک نگرانیهای جدی مطرح میکند که تغییرات پیشنهادی «ممکن است سطح حفاظتی که افراد از آن برخوردارند را بهطور نامطلوبی تحت تأثیر قرار دهد»، «عدم قطعیت حقوقی» ایجاد کند و «اعمال قانون حفاظت داده را دشوارتر کند». این معتبرترین موضع ممکن یک مرجع حفاظت داده پیش از تریلاگ روی این پرونده است. NOYB نیز گزارش V3 خود را در تاریخ 24 فوریه 2026 با تکیه بر این نظر مشترک و زیر عنوان “EU DPAs reject many proposed changes to the GDPR” منتشر کرد.
انتصاب گزارشگر ITRE مورد مناقشه است. هفت سازمان دیدهبان جامعه مدنی — از جمله Transparency International EU، Corporate Europe Observatory و The Good Lobby — بهطور مشترک خواستار لغو انتصاب Aura Salla شدهاند، با استناد به نقش لابیگری اجرایی او از می 2020 تا آوریل 2023 در Meta Platforms بهعنوان یک تعارض منافع احتمالی طبق ماده 3 آیین رفتار پارلمان اروپا. Salla تا می 2026 همچنان گزارشگر منصوبشده باقی مانده و این مناقشه حلنشده است.
ائتلافهای صنعت رسانه استدلال میکنند که 88a(3)(c) بیش از حد محدود است. یک بیانیه مشترک اتحادیه پخش اروپا در می 2026 — که egta و دیگر انجمنهای رسانهای اروپا هم به آن پیوستهاند — استدلال میکند که استثنای سنجش مخاطب به شکل پیشنویس فعلی، سنجش مخاطب شخصثالثِ Joint Industry Committee را که در رسانههای اروپا یک رویه استاندارد است کنار میگذارد. عبارت «صرفاً برای استفاده انحصاری خودش» کانون لابیگری صنعت رسانه برای اصلاح است. بنابراین نبرد سیاسی در هر دو جهت زنده است — مراجع حفاظت داده و سازمانهای غیردولتی که در برابر بسته گستردهتر مقاومت میکنند، و ائتلافهای صنعت رسانه که برای گستردهتر شدن این استثنا فشار میآورند.
چرا این هنوز «پایان بنرهای کوکی» نیست
سه منبع اصطکاک باعث میشوند احتیاط اپراتور همچنان موجه بماند، حتی اگر ماده 88a تقریباً به همان شکل پیشنویس تصویب شود.
اول، این پیشنهاد یک جابجایی لایه است، نه یک افزودنی موازی. بر اساس خوانش Taylor Wessing از این پیشنهاد، “the ePrivacy rules will no longer apply when personal data is being processed. In those situations, only the GDPR will apply. The two frameworks will operate sequentially, not in parallel.” به عبارت سادهتر: برای دسترسی به تجهیزات پایانهای حاوی دادههای شخصی (یعنی اکثریت قریببهاتفاق موارد کوکی، چون بیشتر کوکیها طبق رأی Breyer داده شخصی پردازش میکنند)، ماده 88a GDPR حاکم میشود و ماده 5(3) ePrivacy از اعمال بازمیایستد. برای دسترسی به تجهیزات پایانهای فاقد داده شخصی (یک باقیمانده کوچکتر و کاملاً فنی)، ماده 5(3) ePrivacy از طریق ترانهشهای ملی خود همچنان حاکم میماند (ماده 82 قانون Loi 78-17 در فرانسه، § 25 TDDDG در آلمان، ماده 11.7a قانون Telecommunicatiewet در هلند). اثر عملی برای اپراتور همان شکل است: یک معماری بدون کوکی، شخصاول و سمتسرور هر دو لایه را دور میزند، اما مسیر حقوقی عبور از آنها تغییر میکند.
دوم، پیادهسازی در کشورهای عضو متفاوت خواهد بود. CNIL یک دهه گذشته را صرف تبدیل Sheet n°16 به یک استثنای ملی دقیق با سقفهای عمر مشخص، بازههای نگهداری و الزامات تجمیع کرده است. Garante و AEPD هم نسخههای خودشان را ساختهاند. Digital Omnibus یک کف مشترک در سراسر اتحادیه معرفی میکند؛ اینکه آیا تنظیمکنندههای ملی از مواضع سختگیرانهتر خود عقبنشینی میکنند، حول متن جدید هماهنگ میشوند، یا این استثنا را تنگ تفسیر میکنند، بار واقعی روز اول اپراتور را تعیین میکند.
سوم، مخالفت بلند، هماهنگ و عالیرتبه است. همانطور که بالاتر گفته شد: نظر مشترک EDPB-EDPS با شماره 2/2026 مورخ 11 فوریه 2026، گزارش V3 از NOYB مورخ 24 فوریه 2026، و فراخوان جامعه مدنی برای لغو انتصاب گزارشگر ITRE همگی در برابر بسته گستردهتر قرار دارند. خودِ استثنای سنجش مخاطب از حمایت نسبتاً گسترده مراجع حفاظت داده برخوردار است؛ اینکه آیا پارلمان میتواند مفاد منفرد را جدا کند یا کل بسته را به رأی میگذارد، متن نهایی را شکل خواهد داد. یک رأی به کل بسته همراه با اصلاحات لحظهآخری، برای قطعیت حقوقی بدتر از یک تصویب تمیز ماده 88a است.
اگر 88a(3)(c) دستنخورده تصویب شود، چه چیزی برای اپراتورها تغییر میکند
یک مقایسه ذهنی سریع را در برابر رویکرد فعلی سال 2026 اجرا کنید.
معافیت رضایت در سطح اتحادیه اروپا برای آنالیتیکس تجمیعشده شخصاول. یک پیکربندی واحد بهطور همزمان فرانسه، آلمان، ایتالیا، اسپانیا، هلند و باقی کشورهای عضو را راضی میکند — بدون نیاز به آزمون استثنای ملی هر کدام. Sheet 16 هفتنکتهای CNIL، راهنمای سنجش مخاطب AEPD، دستورالعملهای کوکی Garante مورخ 10 ژوئن 2021 و موضع AP درباره کوکیهای تحلیلی همگی زیر یک قاعده سطح اتحادیه اروپا قرار میگیرند که سختگیرانهتر است و حتی از خط فعلی ICO بریتانیا هم سختگیرانهتر. از آنجایی که ماده 88a یک جابجایی لایه است — قواعد کوکی برای هر مورد داده شخصی از ePrivacy به GDPR منتقل میشوند — مانع § 25 TDDDG آلمان مبنی بر «بدون رضایت بدون ضرورت اکید»، برای کوکیهای داده شخصی، با قاعده جدید ماده 88a GDPR جایگزین میشود. لایه باقیمانده و بسیار محدودتر ماده 5(3) ePrivacy همچنان دسترسی به تجهیزات پایانهای کاملاً فاقد داده شخصی را پوشش میدهد، اما این در عمل یک دسته باریک است.
رد تبدیل به یک انصراف ششماهه میشود، نه یک اصطکاک در هر نشست. قاعده «رد با یک کلیک، بدون پرسش مجدد تا شش ماه» در ماده 88a(4)، تجربه کاربری رضایت را به یک تصمیم یکبار در هر نیمسال تبدیل میکند. برای اپراتورهایی که اکنون در هر نشست دوباره پرسش را مطرح میکنند چون CMP آنها بهطور پیشفرض عمر کوکی را 30 روز در نظر میگیرد، این یک پیروزی معنادار در تجربه کاربری است.
سیگنالهای سطح مرورگر (GPC) بهطور فرضی الزامآور میشوند. ماده 88b برای کنترلرهایی که به سیگنالهای رضایت ماشینخوان احترام میگذارند، فرض انطباق در نظر میگیرد. حرکت منطقی اپراتور این است که بهجای انتظار برای تصویب استانداردها، همین حالا به GPC احترام بگذارد.
نبرد TCF در IAB Europe باریکتر میشود. اگر سنجش مخاطب تجمیعشده به یک رشته TC نیاز نداشته باشد، سطح مناقشه TCF کوچک میشود (مناقشهای که پیشتر رأی IAB Europe دیوان دادگستری اتحادیه اروپا، پرونده C-604/22 مورخ 7 مارس 2024 را به همراه داشته است). اپراتورهایی که فقط بر آنالیتیکس مخاطبِ مبتنی بر منافع مشروع تکیه میکنند، یک مبنای تمیز GDPR بدون درگیری با IAB-TCF به دست میآورند.
اما چه چیزی تغییر نمیکند: لایه «ذخیره و دسترسی روی تجهیزات پایانهای» ماده 5(3) ePrivacy برای کوکیها و localStorage؛ رابطه پردازنده ماده 28 برای هر ارائهدهنده آنالیتیکس SaaS؛ ساعت اعلام نقض ماده 33؛ ماشه DPIA در ماده 35 برای پردازش پرریسک؛ و حقوق موضوع داده در مواد 15/17 — همگی همچنان بالای این استثنای جدید بدونرضایت اعمال میشوند.
همین امروز برای هر دو سناریو طراحی کنید
موضع استوار اپراتور همین حالا این است که پیکربندیای طراحی کند که هم از پازل فعلی سال 2026 و هم از متن پیشنهادی Digital Omnibus جان سالم به در ببرد، تا روزی که ماده 88a اعمال شود، هیچچیز در پشته آنالیتیکس نیاز به تغییر نداشته باشد.
پیکربندیای که از هر دو جان سالم به در میبرد:
- بدون کوکی، بدون localStorage، بدون اثر انگشت مرورگر. امروز مانع ضرورت اکید آلمان را برآورده میکند (چون اصلاً هیچ ذخیره یا دسترسی روی تجهیزات پایانهای رخ نمیدهد)؛ پس از جابجایی لایه نیز همین معماری، ماده 88a GDPR را برای هر پردازش داده شخصی باقیمانده برآورده میکند.
- جمعآوری داده شخصاول روی دامنه خودِ اپراتور. با شرط شخصاول Sheet 16 از CNIL همسو است؛ با عبارت «کنترلر همان سرویس آنلاین» در ماده 88a(3)(c) همسو است.
- تجمیعهای انباشته، نه جریانهای رویداد فردی. با توصیه CNIL برای تجمیع تا نزدیکترین مضرب 10 همسو است و با عبارت «اطلاعات تجمیعشده» در ماده 88a(3)(c).
- بدون انباشت داده میان مشتریان. با ممنوعیت Sheet 16 از CNIL درباره اشتراکگذاری داده خام همسو است؛ با عبارت «صرفاً برای استفاده انحصاری خودش» همسو است.
- احترام به GPC و DNT در لایه دریافت. با ماده 88b پیشنهادی و عبارت «ابزارهای خودکار و ماشینخوان» همسو است — و اگر تنظیمکنندهای امروز بپرسد، به اپراتور یک پاسخ معتبر «ما همین حالا به سیگنالهای مرورگر احترام میگذاریم» میدهد.
- نگهداری محدود. سقف 25 ماهه CNIL سختگیرانهترین مانع فعلی اروپاست؛ ماده 88a سقف نگهداری را مستقیماً مشخص نمیکند، اما اصل محدودیت ذخیرهسازی در ماده 5(1)(e) از GDPR همچنان اعمال میشود. طراحی بر اساس سقف CNIL همین حالا گستردهترین سازگاری رو به جلو را به شما میدهد.
- یک ارزیابی منافع مشروع مستند طبق ماده 6(1)(f). از آنجایی که لایه ذخیره/دسترسی (ماده 5(3) ePrivacy) دور زده میشود و اپراتور شناسههای مستعار (یک IP، یک شناسه کوکی هششده) را پردازش میکند، مبنای ماده 6 از GDPR هم امروز و احتمالاً فردا یک پرسش زنده باقی میماند. آزمون سهمرحلهای دستورالعملهای 1/2024 از EDPB (شناسایی منافع ← ضرورت ← توازن) قالب پایداری برای این کار است.
این همان معماریای است که Statnive Live بهطور پیشفرض ارائه میدهد. پیشتنظیم سیاستسایت consent-free آن، کوکیها و localStorage را خاموش میکند، هشهای بازدیدکننده BLAKE3-HMAC با چرخش روزانه را مشتق میکند که هنگام چرخش نمک خودشان را از بین میبرند، IPها را سمتسرور کوتاه میکند، User-Agentها را به نسخههای اصلی کاهش میدهد و فقط بخش هاست ارجاعدهنده را ذخیره میکند. پیشتنظیم hybrid آن، یک مسیر ارتقای سمتسرور را برای اپراتورهایی اضافه میکند که ابتدا آنالیتیکس تجمیعی ناشناس میخواهند و سپس بعد از اینکه بازدیدکننده بنر را میپذیرد، انتساب کامل — الگویی که گوگل در مارس 2024 با نام «Consent Mode v2» عرضه کرد، اما در Statnive Live بهجای اعتماد سمتکلاینت با اعمال سمتسرور ارائه میشود.
شمارش یازدهحوزهای enum سیاستسایت که Statnive Live در معرض دید میگذارد — DE، FR، IT، ES، NL، BE، IE، UK، OTHER-EU، IR، OTHER-NON-EU — یک اعتبارسنج با قاعده سخت دارد که اپراتورهای آلمانی را از انتخاب حالت permissive (که § 25 TDDDG آن را ممنوع میکند) و از انتخاب consent-required بدون یک یکپارچهسازی رضایت فعال بازمیدارد. همین enum بهخوبی به دنیای آینده ماده 88a نگاشت میشود: هر سلولی که امروز به consent-free میرسد همچنان اعمال میشود؛ بنابراین بار اپراتور تغییر نمیکند.
در طول 2026 و 2027 چه چیزی را زیر نظر بگیرید
یک فهرست کوتاه برای اپراتورهایی که این پرونده را دنبال میکنند:
- حلوفصل مناقشه گزارشگری Salla. اینکه آیا هماهنگکنندگان ITRE به فراخوان جامعه مدنی برای لغو پاسخ میدهند — و اینکه یک جایگزینی، نقش تفویضشده پیشنویس، یا نتیجه بدونتغییر رخ میدهد — فضای سیاسی این پرونده را شکل میدهد.
- گزارشهای گزارشگر پارلمان از ITRE و LIBE. اینها موضع تریلاگ را شکل میدهند. Aura Salla (EPP) و Marina Kaljurand (S&D) خطمبناهای سیاسی متفاوتی دارند و استثنای سنجش مخاطب ممکن است از هر دو سو اصلاحاتی را جذب کند. لابیگری صنعت رسانه استدلال میکند که 88a(3)(c) بیش از حد محدود است (سنجش شخصثالثِ Joint Industry Committee را کنار میگذارد)؛ سازمانهای غیردولتی حریم خصوصی با دامنه باریک فعلی راحتترند.
- بحثهای گروه کاری شورا درباره دامنه ماده 88a(3)(c). سند کاری WK 3736/2026 INIT نشان میدهد که هیئتهای هلند، استونی و فنلاند در حال کاوش این هستند که «صرفاً برای استفاده انحصاری خودش» در عمل چه معنایی دارد. ببینید که آیا شورا آن را تنگتر یا گستردهتر میکند.
- موضعگیری بعدی EDPB و EDPS. نظر مشترک Joint Opinion 2/2026 مورخ 11 فوریه 2026 معتبرترین موضع ممکن یک مرجع حفاظت داده پیش از تریلاگ است. هر پیگیری بعدی — نظر تکمیلی، بیانیههای مراجع حفاظت داده ملی منفرد، یا یک متن جایگزین هماهنگ — سیگنال قدرتمندی خواهد بود.
- گزارش V4 از NOYB و راهبرد دعاوی. گزارش V3 مورخ 24 فوریه 2026 نسخههای V1 و V2 را با تفسیر صریح درباره نظر مشترک تکمیل میکند. NOYB با خودِ استثنای سنجش مخاطب مخالفت نکرده، اما ممکن است پیادهسازی آن را به چالش بکشد: درگیریهای بهسبک رشته TC، رابطهای رد با الگوی تاریک، یا اپراتورهایی که سنجش مخاطب را با بازاریابی مجدد در هم میآمیزند.
- پیشدستی تنظیمکنندههای ملی. CNIL، Garante و AEPD ممکن است پیش از تصویب راهنما منتشر کنند و نشان دهند هر کدام چگونه ماده 88a را در نظم حقوقی ملی خود میخوانند. بهویژه CNIL را زیر نظر بگیرید؛ راهنمای خودارزیابی سنجش مخاطب آن پس از 1 ژانویه 2026، اپراتورمحورترین خوانش هر تنظیمکننده اتحادیه اروپاست و معمولاً اولین جایی است که بهروزرسانی میشود.
- تقویم تریلاگ. اگر این پرونده در اواخر 2026 وارد تریلاگ شود، مراقب اصلاحات بنیادی روی ماده 88a(3)(c) باشید. تجربه گذشته با مقررات ePrivacy نشان میدهد که تمیزترین متن خروجی از کمیسیون، اغلب تا زمانی که شورا و پارلمان به توافق برسند رقیق میشود.
چه کاری انجام دهید و از چه کاری بگذرید
| انجام دهید | انجام ندهید |
|---|---|
| ماده 88a(3)(c) را بهعنوان یک نقشه راه در نظر بگیرید — معماری امروز را طوری طراحی کنید که اگر متن دستنخورده تصویب شد، از همان روز اول واجد شرایط باشد. | ماده 88a(3)(c) را یک مبنای حقوقی فعلی نپندارید. این یک پیشنهاد کمیسیون است؛ پارلمان رأی نداده است. |
| طوری معماری کنید که سختگیرانهترین رژیم فعلی کشورهای عضو (§ 25 TDDDG در آلمان) را برآورده کند تا پیکربندی با آینده سازگار باشد. | برای آزادانهترین متن آینده نسازید و در تریلاگ کشف نکنید که شورا این استثنا را باریک کرده است. |
| وقتی پرونده حرکت کرد، نظر مشترک Joint Opinion 2/2026 از EDPB-EDPS را در کنار آن دوباره بخوانید — موضع مراجع حفاظت داده دامنه نهایی را شکل میدهد. | این استثنا را طوری استناد نکنید که انگار قانون قطعی است. هر اشاره به ماده 88a باید عبارت «پیشنهاد، بدون رأی صحن علنی پارلمان» را به همراه داشته باشد. |
| روی هر صفحه بهروزرسانی نظارتی، تاریخ بازیابی را مهر کنید تا خوانندگان بدانند کدام نسخه را میخوانند. | رأی 26 مارس 2026 پارلمان درباره Digital Omnibus on AI را با COM(2025) 837 در هم نیامیزید — اینها پروندههای جداگانهای هستند. |
| برای رصد تغییرات وضعیت COM(2025) 837، در Legislative Train Schedule مشترک شوید. | راهاندازی یک محصول را روی جدول زمانی تصویب Omnibus شرط نبندید. لازمالاجرا شدن واقعبینانه آن 2027 تا 2028 است. |
جمعبندی برای اپراتور
ماده 88a(3)(c) اپراتورپسندترین متن درباره اصلاح کوکی اتحادیه اروپا از سال 2018 است. اگر دستنخورده تصویب شود، پازل انطباق سنجش مخاطب کشوربهکشور را بازنشسته میکند و آن را با یک قاعده واحد در سراسر اتحادیه جایگزین میکند. اما این هم یک پیشنهاد است، نه قانون؛ این پرونده هنوز رأی صحن علنی پارلمان را ندیده است؛ تصویب آن بعید است پیش از 2027 رخ دهد؛ و لایه تجهیزات پایانهای ماده 5(3) ePrivacy همچنان در کنار آن اعمال میشود.
موضع استوار این است که همین امروز همزمان برای سختگیرانهترین رژیم فعلی (بخش 25 TDDDG در آلمان) و برای استثنای پیشنهادی معماری کنید — تا چه Digital Omnibus دستنخورده تصویب شود، چه رقیقشده تصویب شود و چه گیر کند، پشته آنالیتیکس اپراتور بدون تغییر به کار خود ادامه دهد. این همان چیزی است که ما Statnive Live را برای آن ساختیم: پیکربندیای که به تصویب Digital Omnibus وابسته نیست، اما اگر تصویب شود از همان روز اول آماده است تا واجد شرایط شود.
برای دیدن راهنمای عملی عمیقتر پشت هر استثنای کشورهای عضو — Sheet 16 از CNIL فرانسه، محدودیت سمتسرور-فقط § 25 TDDDG آلمان، و نقشه کشوربهکشور — به مطالب پیوندخورده در این مجموعه مراجعه کنید. برای دیدن معماری کاملی که متن کمیسیون به اپراتور اجازه میدهد رویش استاندارد شود، راهنمای جامع آنالیتیکس بدون رضایت اتحادیه اروپا در 2026 همان مطلب ستونی است.
این یک پژوهش در حوزه حریم خصوصی است، نه مشاوره حقوقی. پیکربندیهای توصیفشده، زمانی که طبق یک ارزیابی منافع مشروع مستند و خودارزیابی مرتبط هر کشور مستقر شوند، تحت راهنمای تنظیمکننده واجد شرایط هستند. هر مشتری Statnive همچنان کنترلر داده باقی میماند و مسئولیت پیکربندی و DPIA خود را بر عهده دارد. پیش از انتشار، با مشاور حقوقی واجد شرایط در حوزه قضایی خود مشورت کنید.
وضعیت ارجاعات نظارتی تا تاریخ 13 می 2026: Digital Omnibus COM(2025) 837 final — پیشنهاد کمیسیون مورخ 19 نوامبر 2025؛ پروندههای مشترک در ITRE (گزارشگر Aura Salla EPP/FI — هفت سازمان جامعه مدنی تا فوریه 2026 انتصابش را به مناقشه کشیدهاند) و LIBE (گزارشگر Marina Kaljurand S&D/EE)؛ نظر EESC مصوب 18 مارس 2026؛ پرونده گروه کاری شورا WK 3736/2026 INIT مورخ 19 مارس 2026؛ نظر مشترک EDPB-EDPS با شماره 2/2026 مورخ 11 فوریه 2026 که نگرانیهایی درباره حفاظت از افراد و قطعیت حقوقی مطرح میکند؛ گزارش V3 از NOYB مورخ 24 فوریه 2026؛ بیانیه مشترک انجمنهای رسانهای اروپا در می 2026 (88a(3)(c) بیش از حد محدود)؛ هیچ رأی صحن علنی پارلمان اروپا روی COM(2025) 837 (رأی صحن علنی 26 مارس 2026 مربوط به پرونده جداگانه Digital Omnibus on AI بود). دستورالعمل ePrivacy با شماره 2002/58/EC که 2009/136/EC آن را اصلاح کرده — لازمالاجرا؛ طبق پیشنهاد Digital Omnibus، لایه قاعدهکوکی برای موارد داده شخصی به ماده 88a از GDPR منتقل میشود. دستورالعملهای EDPB با شماره 2/2023 نسخه 2.0 مورخ 7 اکتبر 2024 و دستورالعملهای EDPB با شماره 1/2024 مورخ 8 اکتبر 2024 — لازمالاجرا. رأی دیوان دادگستری اتحادیه اروپا در پرونده C-621/22 KNLTB (ECLI:EU:C:2024:857) — مصوب 4 اکتبر 2024. کمیسیون پیشنهاد قبلی مقررات ePrivacy را در تاریخ 11 فوریه 2025 پس گرفت.