کشوربهکشور: نقشهای کاربردی از قواعدِ آنالیتیکسِ بدونکوکیِ اتحادیه اروپا در 2026
یک جدول، یازده حوزهٔ قضایی، یک پاسخِ صریح برای هر خانه. اینکه هر نهاد ناظرِ اتحادیه اروپا (و بریتانیا) امروز دربارهٔ آنالیتیکسِ بدون رضایت چه میگوید — بههمراه ارجاعات.
این پژوهشی در حوزهی حریم خصوصی است، نه مشاورهی حقوقی. برای متن کامل سلب مسئولیت، پاورقی را ببینید.
خلاصه
- یازده حوزهٔ قضایی، چهار ردهٔ سیگنالِ اجرا، دو لنگرگاه. فرانسه سهلگیرترین برای گرداننده است (استثنای Sheet 16)؛ آلمان سختگیرترین (بدون استثنا، فقط سمتسرور).
- برای آلمان پیکربندی کنید؛ بقیهی اتحادیه اروپا روی همان سوار میشود. پیکربندیای که مادهٔ § 25 TDDDG را تاب بیاورد، بنا به ساختار Sheet 16 فرانسه، دستورالعملهای 2021 نهاد Garante ایتالیا، راهنمای AEPD اسپانیا و موضعِ AP هلند را هم تاب میآورد.
- اجرا در 2026 شدیدتر میشود، نه آرامتر — Garante ایتالیا: بیش از 40 بازرسی در نیمهٔ اولِ 2026 با پشتیبانیِ Guardia di Finanza؛ AP هلند: پایشِ 10,000 سایت در سال + بازطبقهبندیِ ردیابیِ آنلاین به «نظارتِ انبوه»؛ CNIL: 475 میلیون یورو جریمهٔ کوکیِ ثبتشده.
- سطلِ
OTHER-EUبهطورِ پیشفرض از سختگیرانهترین مبنا پیروی میکند. گردانندگانی که ترافیکشان از کشورهای عضوِ مدلنشده میآید، معماریِ همترازِ آلمان را مستقر میکنند و به چارچوبِ «عدمِ فعالسازیِ مادهٔ 5(3)» تکیه میکنند. - خانهٔ IR / OTHER-NON-EU قابلِپیکربندی است، نه دارای گواهی. Statnive ادعای انطباق با PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA را بهصورتِ آماده نمیکند — اینها پیکربندیهای مختصِ گردانندهاند که بازبینیِ مشاورِ حقوقیِ محلی را لازم دارند.
چطور این نقشه را بخوانیم
موضعِ 2026 اتحادیه اروپا و بریتانیا دربارهٔ آنالیتیکسِ بدون رضایت یک قاعدهٔ واحد نیست، بلکه چهلتکه است — یازده حوزهٔ قضایی با یازده روشِ متفاوتِ تفسیرِ همان دستورالعملِ ePrivacy و GDPR زیربنایی. این پست، مرجعِ گرداننده است. یک سطر برای هر حوزهٔ قضایی، یک ستون برای هر لایهٔ نظارتی، یک پاسخِ صریح برای هر خانه. پستهای همراهِ این مجموعه — راهنمای عملیِ ستونی، بررسیِ عمیقِ Sheet 16 نهاد CNIL فرانسه، بررسیِ عمیقِ مادهٔ § 25 TDDDG آلمان، پستِ نقطهٔ پایانیِ DSAR، پستِ GPC و حالتِ ترکیبی، و زاویهٔ خبریِ Digital Omnibus — جزئیاتی را پوشش میدهند که این نقشه در یک خط فشردهشان میکند.
پیش از جدول، یادآوریِ قاعدهٔ دولایه. مادهٔ 5(3) ePrivacy بر ذخیره و دسترسیِ روی تجهیزاتِ پایانه حاکم است. مادهٔ 6 GDPR بر مبنای قانونیِ هر پردازشِ بعدیِ دادهٔ شخصی. این دو لایه روی هم سوار میشوند، جایگزینِ هم نمیشوند. طبقِ نظرِ 5/2019 نهاد EDPB و آنگونه که راهنمای آوریلِ 2026 نهاد ICO بریتانیا دربارهٔ فناوریهای ذخیره و دسترسی دوباره تأیید کرد، مادهٔ 5(3) ePrivacy نسبت به GDPR برای هر ذخیره یا دسترسیِ روی تجهیزاتِ پایانه، قانونِ خاص (lex specialis) است. منافعِ مشروعِ مادهٔ 6(1)(f) GDPR نمیتواند جایگزینِ رضایتِ مادهٔ 5(3) ePrivacy شود.
بنابراین موضعِ هر حوزهٔ قضایی دربارهٔ آنالیتیکسِ بدون رضایت، حاصلِ اینهاست: (الف) اینکه آن کشورِ عضو مادهٔ 5(3) ePrivacy را چگونه به قانونِ ملی برگردانده، (ب) اینکه آیا نهاد ناظرِ ملی تفسیرِ مشخصی از استثنای اندازهگیری مخاطب منتشر کرده، و (ج) سابقهٔ اجراییِ نهاد ناظر که نشان میدهد این موضع در عمل چقدر سختگیرانه حفظ میشود.
نقشه
| حوزهٔ قضایی | اجرای ملیِ ePrivacy | استثنای اندازهگیری مخاطب | سقفِ جریمه | سیگنالِ اجرا |
|---|---|---|---|---|
| فرانسه (CNIL) | مادهٔ 82 قانونِ 78-17 | بله — Sheet n°16 + خودارزیابیِ 4 ژوئیه 2025 + توصیهنامهٔ یکپارچهٔ کوکیِ 16 ژانویه 2026 | تا 4% گردشِ مالیِ جهانی (مادهٔ 83 GDPR) | 475 میلیون یورو جریمهٔ کوکی در 2020 تا 2025؛ جریمهٔ 3.5 میلیون یورویی منتشرشده در 22 ژانویه 2026 (هماهنگ با 16 نهاد ناظرِ اروپایی)؛ برنامهٔ ارزیابیِ قدیمی در 1 ژانویه 2026 بازنشسته شد — رژیمِ خودارزیابی عملیاتی است |
| آلمان (DSK) | مادهٔ § 25 TDDDG | خیر | 300 هزار یورو طبقِ § 28(1) شمارهٔ 13؛ جریمههای GDPR بهموازات | راهنماییِ نسخهٔ 1.2 نوامبر 2024 نهاد DSK: منافعِ مشروع جایگزینِ مادهٔ § 25 نمیشود |
| ایتالیا (Garante) | DLgs. 196/2003 مادهٔ 122 | بله — دستورالعملهای کوکیِ 10 ژوئن 2021 (لازمالاجرا از 10 ژانویه 2022) | تا 4% گردشِ مالیِ جهانی (مادهٔ 83 GDPR) | تصمیمِ 9 ژوئن 2022 در پروندهٔ Caffeina Media که انتقالِ GA از اتحادیه اروپا به آمریکا را ممنوع کرد؛ برنامهٔ بازرسیِ 2026: بیش از 40 بازرسیِ هدفمند در نیمهٔ اولِ 2026 با پشتیبانیِ Guardia di Finanza؛ ایتالیا از نظرِ شمارِ اجرا، دومِ اتحادیه اروپاست |
| اسپانیا (AEPD) | مادهٔ 22.2 LSSI + LOPD-GDD | بله — راهنمای اندازهگیری مخاطب (2024) | جریمههای 30 هزار یورویی کوکی (LOPD-GDD)؛ جریمههای GDPR برای دادهٔ شخصی | راهنمای کوکی در ژوئیه 2023 بهروز شد، اجرا از 11 ژانویه 2024 |
| هلند (AP) | مادهٔ 11.7a قانونِ Telecommunicatiewet | بله — "Analytical cookies … do not require consent if they are used solely for counting visitors" | 900 هزار یورو یا 1 تا 10% گردشِ مالی (مادهٔ 15.4 قانونِ مخابرات) | AP سالانه 10,000 سایت را بهصورتِ خودکار پایش میکند؛ اولویتهای راهبردیِ 2026 تا 2028 ردیابیِ آنلاین را «نظارتِ انبوه» بازطبقهبندی میکنند؛ جریمهٔ 600 هزار یورویی Kruidvat در 16 ژوئیه 2024؛ دورِ هشدار به 50 سازمان در آوریل 2025 |
| بلژیک (APD) | قانونِ 13 ژوئن 2005 | خیر — "audience measuring cookies are not exempt from the consent requirement under the current legal framework" | تا 4% گردشِ مالیِ جهانی (مادهٔ 83 GDPR) | تصمیمِ 85/2022، جریمهٔ 50 هزار یورویی علیه Roularta Media Group؛ برنامهٔ راهبردیِ 2026 تا 2028 نهاد APD/GBA: چرخش به اجرای فعالانه و گسترده |
| ایرلند (DPC) | SI 336/2011 | استثنای منتشرشدهای ندارد | تا 4% گردشِ مالیِ جهانی (مادهٔ 83 GDPR) | یادداشتِ راهنماییِ 2020 با راهنماهای 5/2020 نهاد EDPB همراستاست |
| بریتانیا (ICO) | PECR 2003 (با اصلاحِ DUAA 2025) | خیر — «اولویتِ اجراییِ پایین» برای آنالیتیکسِ اولشخص و کمتهاجم | 17.5 میلیون پوند یا 4% گردشِ مالیِ جهانی | راهنمای فناوریهای ذخیره و دسترسیِ ICO در 29 آوریل 2026 |
| اتریش (DSB) | TKG 2021 § 165 | استثنای مستقلی ندارد | تا 4% گردشِ مالیِ جهانی (مادهٔ 83 GDPR) | تصمیمِ NetDoktor در 22 دسامبر 2021 (پروندهٔ 2021-0.586.257، D155.027) |
| OTHER-EU (19 کشور عضوِ باقیمانده) | اجراهای ملیِ 2002/58/EC | ترکیبی — یادداشتها را ببینید | مختصِ کشورِ عضو | گرداننده باید راهنماییِ مشخصِ نهاد ناظرِ ملی را بررسی کند |
| OTHER-NON-EU (شاملِ IR) | قانونِ ملی اعمال میشود | هیچ استثنای اتحادیه اروپا اعمال نمیشود | مختصِ کشورِ عضو | گرداننده باید با مشاورِ حقوقیِ محلی مشورت کند |
این نقشه جزئیاتِ زیادی را در خانههای واحد فشرده میکند. بخشهای باقیماندهٔ این پست هر سطر را باز میکنند و توضیح میدهند که گردانندهای که در آن حوزهٔ قضایی مستقر میشود چه باید بکند.
فرانسه — سهلگیرترین نهاد ناظرِ اتحادیه اروپا
Sheet n°16 نهاد CNIL، با بهروزرسانیِ خودارزیابیِ 4 ژوئیه 2025 و مهلتِ انطباقِ 1 ژانویه 2026، روبهگردانندهترین استثنای اندازهگیری مخاطب در اتحادیه اروپاست. شرایط، انباشتی و باریکاند: دامنهٔ تکسایت، حداکثر سه نوع رویداد (حضور در صفحه، تعامل با امکانات، زمانبندی)، حذفِ آخرین اوکتتِ IPv4، کاهشِ User-Agent به نسخههای اصلی، ارجاعدهندهٔ فقط-میزبان، بدون بازپخشِ نشست، بدون شناسهٔ میاندامنه، عمرِ 13 ماههٔ ردیاب، نگهداریِ 25 ماههٔ داده، و گرد کردنِ تجمیعها به نزدیکترین مضربِ 10.
سابقهٔ اجراییِ CNIL پر است از پروندههای تجربهی کاربریِ رضایتِ کوکی. 100 میلیون یورو علیه Google (دسامبر 2020)، 150 میلیون یورو علیه Google + 60 میلیون یورو علیه Facebook (ژانویه 2022)، 325 میلیون یورو علیه Google + 150 میلیون یورو علیه Shein (1 سپتامبر 2025). همگی بابتِ نقصِ تجربهی کاربریِ بنرِ رضایت، نه زنجیرهٔ تبلیغاتِ پاییندست.
برنامهٔ ارزیابیِ قدیمی — مسیرِ پیش از 2026 که در آن CNIL ابزارهای آنالیتیکسِ مشخص را ارزیابی و فهرست میکرد — در 1 ژانویه 2026 بازنشسته میشود. جایگزینِ آن، خودارزیابیِ گرداننده است: ارائهدهنده یک گواهیِ تاریخدار با عباراتِ توصیهشدهٔ CNIL منتشر میکند، و گردانندهای که ابزار را مستقر میکند، پیکربندیِ خود را در برابرِ شرایطِ Sheet 16 مستند میکند.
برای مرورِ کاملِ Sheet 16 و پیکربندیِ Statnive Live که واجدِ شرایط میشود، بررسیِ عمیقِ CNIL را ببینید.
آلمان — قیدِ تعیینکننده
مادهٔ § 25 TDDDG منافعِ مشروع را بهعنوان مبنایی برای ذخیره یا دسترسیِ روی تجهیزاتِ پایانه میبندد. Orientierungshilfe نهاد Datenschutzkonferenz مورخِ 20 نوامبر 2024 (نسخهٔ 1.2) صریح است: یک LIA مادهٔ 6(1)(f) لایهٔ پردازشِ GDPR را پوشش میدهد، اما استثنای مادهٔ § 25 را باز نمیکند. جریمهها تا 300 هزار یورو برای هر تخلف طبقِ § 28(1) شمارهٔ 13؛ جریمههای GDPR طبقِ مادهٔ 83 بهموازات.
تنها معماریِ بدون رضایت در آلمان، معماریای است که در آن هیچ ذخیره یا دسترسیِ روی تجهیزاتِ پایانه رخ نمیدهد — پردازشِ کاملاً سمتسرورِ دادهٔ درخواستِ HTTP که مرورگر بهطور پیشفرض میفرستد. یک LIA مستند باز هم باید برای لایهٔ پردازشِ GDPR روی آن وجود داشته باشد.
برای تحلیلِ کاملِ TDDDG، متنِ عینیِ مادهٔ § 25، بلوکِ آلمانیِ سیاستِ حریم خصوصی و اعتبارسنجِ قاعدهٔ سختِ Statnive Live که مانعِ استقرارهای permissive در آلمان میشود، بررسیِ عمیقِ TDDDG را ببینید.
ایتالیا — دستورالعملهای کوکیِ 2021 نهاد Garante
دستورالعملهای کوکیِ 10 ژوئن 2021 نهاد Garante ایتالیا (لازمالاجرا از 10 ژانویه 2022) یک استثنای کوکیِ تحلیلی را در جایی به رسمیت میشناسند که چهار شرط بهطورِ انباشتی برآورده شوند:
- شناساییِ مستقیمِ بازدیدکننده ناممکن باشد.
- کوکی طوری ساخته شده باشد که همان کوکی بتواند به چند دستگاه مربوط شود (با پوشاندنِ دستِکم آخرین اوکتتِ IPv4 یا کوتاهسازیِ مشابهِ IPv6).
- کوکیها صرفاً برای آمارِ تجمیعیِ تکسایت به کار روند.
- بدون ترکیب با دادههای دیگر و بدون انتقال به اشخاصِ ثالث.
تصمیمِ شمارهٔ 224 مورخِ 9 ژوئن 2022 نهاد Garante علیه Caffeina Media استفاده از Google Analytics را بهدلیلِ انتقالِ غیرقانونی به آمریکا ممنوع کرد. Garante دریافت که قابلیتِ ناشناسسازیِ IP در Google در واقع مستعارسازی بود، نه ناشناسسازی — یافتهای که پیامدهایش بسیار فراتر از Google Analytics، برای هر گردانندهای که به هشِ IP تکیه میکند، اهمیت دارد.
Garante صراحت دارد که منافعِ مشروع مبنایی معتبر برای کوکیها و سازوکارهای ردیابی نیست — موضعی سختگیرانهتر از CNIL. گردانندگانِ ایتالیایی مسیری باریکتر دارند: استثنای کوکی وجود دارد، اما وقتی قاعدهٔ رضایتِ کوکی اعمال شود، نمیتوان به مادهٔ 6(1)(f) استناد کرد تا از آن گریخت.
یک استقرارِ consent-free با حوزهٔ قضاییِ IT در Statnive Live، چهار شرطِ Garante را بنا به ساختار برآورده میکند. معماریِ بدونکوکی، تحلیلِ «کوکی در برابرِ غیرکوکی» را بهکلی دور میزند؛ امضای BLAKE3-HMAC با چرخشِ روزانه همان شناسهٔ سازگار با چنددستگاهی است که شرطِ (2) نهاد Garante لازم میداند.
اسپانیا — راهنمای اندازهگیری مخاطبِ AEPD
راهنمای AEPD دربارهٔ استفاده از کوکیها در ژوئیه 2023 بهروز شد و از 11 ژانویه 2024 اجرا شد. راهنمای پیگیریِ 2024 دربارهٔ کوکیهای اندازهگیری مخاطب از نزدیک با رویکردِ Sheet 16 نهاد CNIL همراستاست: تکسایت، آمارِ تجمیعیِ ناشناس، بدون تطبیقِ متقابل، نگهداریِ حداکثر 25 ماه، عمرِ ردیاب درونِ 13 ماه، و اطلاعرسانی به کاربر الزامی است.
مادهٔ 22.2 LSSI مبنای زیربنایی است. بیشینهٔ جریمهها برای نقضِ کوکی طبقِ LOPD-GDD به 30 هزار یورو میرسد — کمتر از سقفِ مادهٔ 83 GDPR، اما برای لایهٔ پردازشِ دادهٔ شخصی بهموازاتِ آن اعمال میشود.
پیکربندیِ گردانندهٔ اسپانیایی در اساس همان پیکربندیِ گردانندهٔ فرانسوی است، با زبانِ افشای بومیشده. یک استقرارِ Statnive Live در حالتِ consent-free با حوزهٔ قضاییِ ES، راهنمای AEPD را بنا به ساختار برآورده میکند.
هلند — کوکیهای تحلیلی به رضایت نیاز ندارند
نهاد Autoriteit Persoonsgegevens هلند صریح است: «کوکیهای تحلیلی، که دیدی نسبت به عملکردِ یک وبسایت میدهند، اگر صرفاً برای شمارشِ بازدیدکنندگان به کار روند به رضایت نیاز ندارند.» مبنای حقوقی: مادهٔ 11.7a قانونِ Telecommunicatiewet.
سیگنالِ اجراییِ AP تند است. جریمهٔ 600 هزار یورویی علیه AS Watson (Health & Beauty Continental Europe) B.V.، شرکتِ مادرِ Kruidvat، در 16 ژوئیه 2024 بابتِ کوکیهای ردیابی بود که بدون رضایت — از جمله با کادرهای رضایتِ ازپیشتیکخورده — گذاشته شده بودند. بیشینهٔ جریمهها طبقِ مادهٔ 15.4 قانونِ مخابرات به 900 هزار یورو یا 1 تا 10% گردشِ مالی میرسد. AP یک سامانهٔ پویشِ خودکار ساخته که بهطورِ ساختاری سالانه 10,000 وبسایتِ هلندی را پایش میکند — مقیاسی 20 برابرِ تعهدِ پیشینِ 500 سایت. دولتِ هلند سالانه 500 هزار یورو ویژهٔ اجرای کوکی اختصاص داده، با افزایشِ دائمیِ 350 هزار یورو در سال از 2027. در آوریل 2025، AP به 50 سازمان (خردهفروشانِ آنلاین، شرکتهای رسانهای، بیمهگران) دربارهٔ بنرهای گمراهکنندهٔ کوکی هشدار داد؛ تا اواخرِ 2025، سهچهارمِ بیش از 200 وبسایتِ هشداردیده اصلاح کرده بودند. اولویتهای راهبردیِ 2026 تا 2028 نهاد AP ردیابیِ آنلاین را «نظارتِ انبوه» بازطبقهبندی میکنند — یک جابهجاییِ موضعیِ بزرگ که از تشدیدِ مداومِ اجرا خبر میدهد.
هلند در همان خوشهٔ سهلگیرِ فرانسه، ایتالیا و اسپانیا روی خودِ استثنای اندازهگیری مخاطب مینشیند، اما اشتهای اجراییِ AP — بهویژه علیه کادرهای ازپیشتیکخورده و علیه کوکیهای ردیابی که بدون تحلیلِ استثنا مستقر شدهاند — از بالاترینها در اتحادیه اروپاست. یک استقرارِ consent-free با حوزهٔ قضاییِ NL پیشفرضِ امن است؛ یک استقرارِ consent-required باید یک تجربهی کاربریِ «رد» داشته باشد که بهاندازهٔ «پذیرش» آسان باشد.
بلژیک — استثنایی به رسمیت شناخته نشده
راهنماییِ یکپارچهٔ کوکیِ آوریل 2020 و چکلیستِ کوکیِ 20 اکتبر 2023 نهاد APD/GBA بلژیک، استثنای رضایتِ کوکیِ تحلیلی را به رسمیت نمیشناسند: «کوکیهای اندازهگیری مخاطب در چارچوبِ قانونیِ کنونی از الزامِ رضایت معاف نیستند.»
سابقهٔ اجرا: تصمیمِ 85/2022 نهاد APD، Roularta Media Group را بابتِ گذاشتنِ کوکیهای آماری بدون رضایت 50 هزار یورو جریمه کرد. یک تصمیمِ 2019 یک وبسایتِ خبریِ حقوقی را 15 هزار یورو جریمه کرد. هر دو از نظرِ عددِ مطلق کوچکتر از سابقهٔ CNILاند، اما نشان میدهند که APD لایهٔ کوکی را ممیزی میکند و جریمههای مشخص تعیین میکند.
مسیرِ consent-free گردانندهٔ بلژیکی، همان معماریِ فقط-سمتسرور است — همان مبنای آلمان. پیکربندیای که در آلمان تاب میآورد در بلژیک هم تاب میآورد؛ اما یک پیکربندیِ استثنای اندازهگیری مخاطب که برای Sheet 16 تنظیم شده باشد، تاب نمیآورد.
ایرلند — استثنایی منتشر نشده
یادداشتِ راهنماییِ 2020 نهاد Data Protection Commission ایرلند دربارهٔ کوکیها و دیگر فناوریهای ردیابی، برای کوکیهای غیرضروری رضایتِ پذیرشی (opt-in) را لازم میداند و با راهنماهای 5/2020 نهاد EDPB همراستاست. هیچ استثنای منتشرشدهٔ اندازهگیری مخاطبی همارزِ Sheet 16 فرانسه یا موضعِ AP هلند وجود ندارد.
اجرای ایرلندی را بیشتر نقشِ مرجعِ نظارتیِ برونمرزیِ DPC برای کنترلکنندگانِ بزرگِ بینالمللیِ مستقر در ایرلند (Meta، Google، TikTok) شکل میدهد. برای گردانندگانِ داخلیِ ایرلندی، سیگنالِ اجراییِ مختصِ کوکی آرامتر از CNIL، AP یا Garante است. موضعِ پایدار همچنان مبنای فقط-سمتسرور است — نبودِ یک استثنای بهرسمیتشناختهشده یعنی بارِ اثباتِ هر ادعای «بدون رضایت» بر دوشِ خودِ LIA گرداننده و نبودِ ذخیره/دسترسیِ روی تجهیزاتِ پایانه میافتد.
بریتانیا — «اولویتِ اجراییِ پایین» یک استثنای قانونی نیست
نهاد Information Commissioner’s Office بریتانیا راهنمای استفاده از فناوریهای ذخیره و دسترسی خود را در 29 آوریل 2026 پس از دو مشاوره و قانونِ Data (Use and Access) Act 2025 نهایی کرد. مبنای زیربنایی، PECR (مقرراتِ حریم خصوصی و ارتباطاتِ الکترونیکیِ 2003) با اصلاحِ DUAA 2025 است.
موضعِ عینیِ ICO: «کوکیهای آنالیتیکس در دامنهٔ استثنای «کاملاً ضروری» قرار نمیگیرند. این یعنی باید مردم را از کوکیهای آنالیتیکس آگاه کنید و برای استفادهشان رضایت بگیرید.»
ICO میپذیرد که «نمیتواند امکانِ اقدامِ رسمی را در هیچ حوزهای رد کند، اما این همیشه آنجایی صدق نمیکند که گذاشتنِ یک کوکیِ آنالیتیکسِ اولشخص به سطحِ پایینی از تهاجم و خطرِ کمِ آسیب به افراد میانجامد» — یعنی اولویتِ اجراییِ پایین برای آنالیتیکسِ اولشخصِ کمتهاجم. این یک استثنای قانونی نیست؛ یک کاهشِ اولویتِ اجرایی است که اعلام شده. گردانندگانِ بریتانیایی اگر بنرِ صفر بخواهند، باز هم باید رضایت را پیاده کنند یا به یک پیکربندیِ کاملاًضروری کوچ کنند.
DUAA 2025 استثناهای باریکی افزود (کوکیهای امنیتی، احرازِ سن) اما استثنای آنالیتیکس نساخت. بازبینیِ انطباقِ ژانویهٔ 2025 نهاد ICO روی 1,000 وبسایتِ برترِ بریتانیا — و مکاتباتِ حاصل با 134 سازمان که انتظاراتِ روشنِ نظارتی را تعیین میکرد — تأیید میکند که ICO حتی جایی که اجرای رسمی نادر است، این لایه را ممیزی میکند.
یک استقرارِ consent-free با حوزهٔ قضاییِ UK بر معماریِ فقط-سمتسرور (بدون فعالسازیِ PECR، چون هیچ ذخیره/دسترسیِ روی تجهیزاتِ پایانه نیست) بهعلاوهٔ یک LIA مادهٔ 6(1)(f) GDPR تکیه میکند. گرداننده از مزیتِ اولویتِ اجراییِ پایینِ ICO بهره میبرد، اما قطعیتِ حقوقیای را که یک استثنای بهرسمیتشناختهشده میداد، به دست نمیآورد.
اتریش — NetDoktor و خطِ Schrems-II
تصمیمِ NetDoktor مورخِ 22 دسامبر 2021 نهاد Datenschutzbehörde اتریش (پروندهٔ 2021-0.586.257، D155.027) نخستین تصمیمِ هماهنگشده با NOYB بود که دریافت استفادهٔ یک گرداننده از Google Analytics فصلِ پنجمِ GDPR را نقض کرده، چون نشانیهای IP، شناسههای یکتا و پارامترهای مرورگر بدون تضمینهای کافی به Google در آمریکا منتقل شده بودند. SCCها و تدابیرِ تکمیلیِ Google (از جمله ناشناسسازیِ IP) ناکافی دانسته شدند، چون Google ذیلِ 50 USC § 1881(b)(4) (یعنی FISA 702) ارائهدهندهٔ خدماتِ ارتباطاتِ الکترونیکی به شمار میرود.
هیچ جریمهای اعمال نشد (در آیینِ دادرسیِ اتریش، یافته و هر جریمهٔ بعدی از هم جدایند)، اما این تصمیم رویهای ساخت که تصمیمهای بعدیِ CNIL (10 فوریه 2022) و Garante (9 ژوئن 2022، Caffeina Media) آن را بسط دادند.
اتریش استثنای مستقلِ اندازهگیری مخاطبی همارزِ Sheet 16 فرانسه ندارد. مسیرِ بدون رضایتِ گردانندهٔ اتریشی، معماریِ فقط-سمتسرور بهعلاوهٔ یک LIA مستند است — در اساس همان حالتِ گردانندهٔ آلمانی یا بلژیکی.
سطلِ OTHER-EU — 19 کشور عضوِ باقیمانده
19 کشور عضوِ باقیماندهٔ اتحادیه اروپا اجراهای ملیِ خود از مادهٔ 5(3) ePrivacy را دارند، اما در بیشترِ موارد، هیچ استثنای منتشرشدهٔ اندازهگیری مخاطبی همارزِ چارچوبِ Sheet 16 نهاد CNIL ندارند. مقدارِ حوزهٔ قضاییِ OTHER-EU در Statnive Live، انتخابگرِ گرداننده برای سایتهایی است که ترافیکِ اصلیشان از کشورهای عضوی میآید که در فهرستِ یازدهگانه بهطورِ مشخص مدل نشدهاند.
پیشفرضِ پایدار برای استقرارهای OTHER-EU، حالتِ consent-free با معماریِ فقط-سمتسرور و یک LIA مادهٔ 6(1)(f) مستند است. این پیکربندی هر 27 کشور عضو را تاب میآورد، چون سختگیرانهترین خانهٔ فعلی (مادهٔ § 25 TDDDG آلمان) را برآورده میکند؛ به بهرسمیتشناختهشدنِ هیچ استثنای ملیِ مشخصی وابسته نیست.
گردانندگانی که ترافیکِ چشمگیری از یک حوزهٔ قضاییِ اتحادیه اروپا که در فهرستِ نامبرده نیست دارند، باید راهنماییِ مشخصِ نهاد ناظرِ ملی را بررسی و با مشاورِ حقوقیِ محلی تأیید کنند. این نقشه دقیقاً به این دلیل این 19 حوزهٔ قضایی را در یک خانه فشرده میکند که بارِ انطباقِ گرداننده با سختگیرانهترین خانه محدود میشود — و آن خانهٔ سختگیر هم پیشاپیش با رفتارِ حوزهٔ قضاییِ DE مدل شده است.
سطلِ OTHER-NON-EU — شاملِ ایران (IR)
Statnive Live مقادیرِ IR و OTHER-NON-EU را بهعنوانِ حوزهٔ قضایی عرضه میکند، چون نرمافزار را گردانندگانی با استقرارهای خارج از اتحادیه اروپا هم اجرا میکنند و چون معماریِ بدون رضایت — صرفنظر از حوزهٔ قضایی — مفید و اغلب از نظرِ حقوقی سازگار است. استثناهای اندازهگیری مخاطبِ اتحادیه اروپا بیرون از اتحادیه اروپا و منطقه اقتصادی اروپا اعمال نمیشوند. یک استقرارِ consent-free در یک حوزهٔ قضاییِ غیراتحادیهاروپایی از منظرِ معماریِ حافظِ حریم خصوصی قابلِپیکربندی است، اما ذیلِ قانونِ اتحادیه اروپا معاف نیست، چون قانونِ اتحادیه اروپا اعمال نمیشود.
بهطورِ مشخص دربارهٔ خانهٔ ایران (IR): Statnive Live یک مسیرِ استقرارِ اختصاصی در مرکزدادهی ایران دارد که الزاماتِ قطعِ کاملِ شبکه (air-gap)، نبودِ وابستگی به Cloudflare، نبودِ ACME از داخلِ ایران، فقط NTP ایرانی، وابستگیهای درونبستهشده، صدورِ مجوزِ آفلاینِ Ed25519 و بستهٔ نامدامنهٔ بینالمللیِ .ir / .ایران را مدیریت میکند. معماری همین است که هست — اما چارچوبِ حقوقی، قانونِ ایران است نه قانونِ اتحادیه اروپا. گردانندگانی که به ترافیکِ ایرانی خدمات میدهند باید برای قواعدِ قابلِاعمال با مشاورِ حقوقیِ محلی مشورت کنند.
سطلِ OTHER-NON-EU بقیه را پوشش میدهد: سایتهای آمریکایی ذیلِ CCPA / قوانینِ ایالتی، سایتهای کانادایی ذیلِ PIPEDA، سایتهای استرالیایی ذیلِ Privacy Act، سایتهای برزیلی ذیلِ LGPD، سایتهای هندی ذیلِ DPDP، سایتهای چینی ذیلِ PIPL و جز اینها. Statnive Live ادعای انطباق با PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA را بهصورتِ آماده نمیکند — اینها پیکربندیهای مختصِ گردانندهاند که بازبینیِ مشاورِ حقوقیِ محلی را لازم دارند. معماریِ پیشفرضِ بدون رضایت قابلِپیکربندی است تا ذیلِ همارزهای بسیاری از آن رژیمها واجدِ شرایط شود (بیشترِ حوزههای قضایی، اندازهگیری مخاطبِ اولشخصِ سمتسرور را کمخطر میدانند)، اما موضعِ بازاریابی «قابلِپیکربندی، نه دارای گواهی» است — نه «منطبق» و نه «دارای گواهی».
فهرستِ یازدهگانهٔ Statnive Live چطور روی این نقشه نگاشت میشود
پنلِ سیاستِ سایت یازده مقدار عرضه میکند:
DE— اعتبارسنجِ قاعدهٔ سختpermissiveرا ممنوع میکند؛ پیشفرضconsent-freeباrespect_gpc = true.FR— پیشفرضconsent-free؛ زبانِ گواهیِ Sheet 16 در/legal/privacy-policy/enو/legal/privacy-policy/fr(دومی هنگامی که آینهٔ زبانیِ FR وصل شود) عرضه میشود.IT،ES،NL— پیشفرضconsent-free؛ با استثناهای ملیِ مربوط همراستاست.BE،IE،AT— پیشفرضconsent-freeبا معماریِ فقط-سمتسرور؛ هیچ استثنای ملی به رسمیت شناخته نشده، پس گرداننده به چارچوبِ «عدمِ فعالسازیِ مادهٔ 5(3)» بهعلاوهٔ یک LIA مادهٔ 6(1)(f) تکیه میکند.UK— پیشفرضconsent-freeبا معماریِ فقط-سمتسرور؛ اولویتِ اجراییِ پایینِ ICO از نظرِ قانونی معافیت نمیدهد، اما معماری با پرهیز از ذخیره/دسترسیِ روی تجهیزاتِ پایانه، PECR را تاب میآورد.OTHER-EU— پیشفرضconsent-free؛ همان حالتِBE/IE/AT.IR— مسیرِ استقرارِ مرکزدادهی ایران؛ پیشفرضpermissiveچون قواعدِ رضایتِ اتحادیه اروپا اعمال نمیشوند (اعتبارسنج آن را برای این حوزهٔ قضایی مجاز میداند).OTHER-NON-EU— پیشفرضpermissive؛ مسئولیتِ بازبینیِ مشاورِ حقوقیِ محلی با گرداننده است.
اعتبارسنجِ قاعدهٔ سخت هنگامِ ذخیرهٔ سیاست و نیز هنگامِ بارگذاریِ سیاست در هر درخواستِ دریافت اجرا میشود. ترکیبهای معتبر برای هر حوزهٔ قضایی را اعتبارسنج اعمال میکند، نه عرفِ گرداننده. گردانندگانی که میکوشند یک سایتِ DE را روی حالتِ permissive بگذارند، خطای صریح میگیرند و درخواستشان رد میشود.
نقشه کجا تغییر خواهد کرد
یک فهرستِ کوتاهِ پایش برای گردانندگانی که این پرونده را دنبال میکنند:
- مادهٔ 88a(3)(c) از Digital Omnibus — در صورتِ تصویبِ دستنخورده، استثنای اندازهگیری مخاطب را در هر 27 کشور عضو یکدست میکند. وضعیت تا اواسطِ مه 2026: پیشنهادِ کمیسیون، بدون رأیِ صحنِ علنیِ پارلمان. برای وضعیتِ قانونگذاری، پستِ Digital Omnibus را ببینید.
- Garante ایتالیا — ممکن است پس از Digital Omnibus راهنماییِ تازه منتشر کند. مراقبِ هر بهروزرسانیِ دستورالعملهای کوکیِ 2021 باشید.
- ICO بریتانیا — پیادهسازیِ DUAA 2025 در جریان است. مراقبِ هر باریکتر یا گستردهترشدنِ موضعِ «اولویتِ اجراییِ پایین» باشید.
- فرجامخواهیِ Latombe در CJEU — چارچوبِ حریمِ خصوصیِ دادهٔ اتحادیه اروپا و آمریکا را به چالش میکشد. اگر DPF بیفتد، خطِ Schrems-II باز هم سفتتر میشود؛ معماریِ فقط-اتحادیهاروپای Statnive Live پاسخِ دفاعی است.
- بهرسمیتشناختنِ EinwV (آلمان) — مسیرِ بهرسمیتشناختنِ آییننامهٔ مدیریتِ رضایت ممکن است به PIMSهای بهرسمیتشناختهشده گسترش یابد که تجربهی کاربریِ رضایت را برای استقرارهای
consent-requiredساده میکنند. - گزارشهای بازرسیِ نهادهای ناظرِ ملی — جاروبِ 1,000 سایتیِ نهاد ناظرِ هامبورگ، پایشِ 500 سایتیِ AP، و برنامهٔ ممیزیِ CNIL — همگی بهصورتِ دورهای منتشر میشوند و ممکن است سیگنالِ اولویتِ اجرا را در هر حوزهٔ قضایی جابهجا کنند.
این نقشه یک فیلدِ updatedDate دارد — برای نسخهای از نقشه که میخوانید، به همان برچسبِ زمانی رجوع کنید. ما با هر تغییرِ بنیادی در هر خانه، نقشه را دوباره منتشر میکنیم.
این نقشه چه چیزی به گرداننده میدهد
نتیجهٔ عملیِ گرداننده از مراجعه به این نقشه:
- یک مرجعِ تکصفحهای برای 11 حوزهٔ قضایی که فهرستِ Statnive Live مدل میکند، با اجرای ملیِ زیربنایی، موضعِ استثنای اندازهگیری مخاطب، سقفِ جریمه و سیگنالِ اجرا، هر کدام در یک خط.
- یک درختِ تصمیمِ پیکربندی. برای آلمان پیکربندی کنید؛ پیکربندی بقیهٔ اتحادیه اروپا را تاب میآورد. برای حوزهٔ قضاییِ اصلیِ گرداننده پیکربندی کنید؛ آن تصمیم و LIA پشتیبانش را مستند کنید.
- یک چکلیستِ پیش از استقرار. برای هر حوزهٔ قضایی که گرداننده در آن ترافیک دارد: کدام استثنای نهاد ناظرِ ملی اعمال میشود (اگر اصلاً اعمال شود)، زبانِ افشا باید چه شکلی باشد، و پیکربندی کجا اعمال میشود (اعتبارسنجِ قاعدهٔ سختِ Statnive Live بیشترِ کار را انجام میدهد).
- یک چارچوبِ سازگار با آینده. وقتی Digital Omnibus از پارلمان عبور میکند، گرداننده میتواند این نقشه را در کنارِ وضعیتِ قانونگذاری دوباره بخواند و بهمحضِ تثبیتِ استثنا، پیکربندی را بهروز کند.
آنچه این نقشه نمیدهد: مشاورهی حقوقی برای هر استقرارِ خاص. این نقشه نقطهی شروعِ گرداننده است؛ LIA، سیاستِ حریم خصوصی، بازبینیِ DPA و مشورتِ مشاورِ حقوقی برای هر حوزهٔ قضایی، کارِ پایانیِ گردانندهاند.
چه بکنید و از چه بگذرید
| بکنید | نکنید |
|---|---|
| برای سختگیرانهترین خانهای که ترافیک دارید — معمولاً آلمان — پیکربندی کنید و بگذارید بقیهٔ اتحادیه اروپا روی همان سوار شود. | 27 پیکربندیِ جداگانه برای هر کشور عضو اجرا کنید. مبنای سختگیر بنا به ساختار بقیه را در خود میگیرد. |
| یک ارزیابیِ منافعِ مشروع طبقِ راهنماهای 1/2024 نهاد EDPB که مبنای مادهٔ 6(1)(f) GDPR را پوشش دهد مستند کنید. | در آلمان به منافعِ مشروع بهجای رضایتِ مادهٔ § 25 TDDDG تکیه کنید — DSK این مسیر را صراحتاً بسته است. |
| نگهداری را به سقفِ 25 ماههٔ CNIL محدود کنید، حتی بیرون از فرانسه — این کار بنا به ترکیب، سقفِ هر کشور عضوِ دیگر را هم برآورده میکند. | نگهداریِ بیپایان اجرا کنید. کمینهسازیِ دادهٔ مادهٔ 5(1)(e) + تمرکزِ شفافیتِ 2026 نهاد EDPB، هر دو در همهٔ خانهها اعمال میشوند. |
| برای گردانندگانِ هلندی: سامانهٔ پویشِ خودکارِ AP اکنون به 10,000 سایت در سال میرسد. تجربهی کاربریِ بنر را درست کنید. | موضعِ AP هلند را یک سیگنالِ نرم تلقی کنید. دورِ هشدارِ آوریل 2025 + بازطبقهبندیِ «نظارتِ انبوه» در 2026 تا 2028 یعنی اجرا در حالِ تشدید است. |
| در سطلِ OTHER-NON-EU: موضعِ مختصِ حوزهٔ قضاییِ خود را صریح بیان کنید؛ با مشاورِ حقوقیِ محلی مشورت کنید؛ «قابلِپیکربندی، نه دارای گواهی» را علامت بزنید. | ادعای انطباق با PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA را بهصورتِ آماده کنید. Statnive این کار را نمیکند، و موضعِ بازاریابی باید همین را بازتاب دهد. |
حرفِ آخر
نقشهٔ 2026 اتحادیه اروپا از آنالیتیکسِ بدون رضایت چهلتکه است — یازده خانه که فهرستِ حوزههای قضاییِ Statnive Live مدلشان میکند، با هفت موضعِ نظارتیِ متمایز و چهار ردهٔ سیگنالِ اجرا. فرانسه سهلگیرترین برای گرداننده است. آلمان سختگیرترین و قیدِ تعیینکننده برای هر استقرارِ سراسرِ اروپایی است. بقیهٔ خانههای اتحادیه اروپا و منطقه اقتصادی اروپا میانِ این دو لنگرگاه، با اختلافهای مختصِ نهاد ناظرِ ملی، قرار میگیرند.
پیکربندیای که آلمان را برآورده میکند، بنا به ترکیب بقیهٔ اتحادیه اروپا را هم برآورده میکند. پیکربندیای که Sheet 16 فرانسه را برآورده میکند، فرانسه، ایتالیا، اسپانیا و هلند را بهتمیزی پوشش میدهد، اما باز هم برای ترافیکِ آلمانی به معماریِ همترازِ آلمان نیاز دارد. استقرارِ پایدار، سختگیرانهترین مبنا با بومیسازیهای مختصِ هر حوزهٔ قضایی روی آن است — که دقیقاً همان چیزی است که ماتریسِ فهرستِ یازدهگانهٔ حوزهٔ قضایی + چهار حالتِ رضایتِ Statnive Live عرضه میکند.
برای چارچوبِ گستردهتر، راهنمای عملیِ ستونی مرجعِ اصلی است. برای بررسیهای عمیقِ مختصِ کشور، پستهای Sheet 16 نهاد CNIL و مادهٔ § 25 TDDDG، فرانسه و آلمان را گامبهگام پوشش میدهند. برای فرایندهای روزِ اولِ گرداننده — نقاطِ پایانیِ DSAR، GPC و حالتِ ترکیبی — پستهای پیوندشده سطحِ فنی را پوشش میدهند. برای زاویهٔ خبریِ قانونگذاری، پستِ Digital Omnibus پرونده را در مسیرِ پارلمان دنبال میکند.
اگر چیزی در این نقشه نادرست است، ارجاعاتِ بالا همان نشانیهاییاند که باید با آنها سنجید. ما با هر تغییرِ بنیادی در هر خانه نقشه را بهروز میکنیم — برچسبِ updatedDate در بالا نسخهای را که میخوانید نشان میدهد.
این پژوهشی در حوزهی حریم خصوصی است، نه مشاورهی حقوقی. این نقشه آزمونهای شرطِانباشتی را در خانههای واحد فشرده میکند. هر مشتریِ Statnive همچنان کنترلکنندهٔ داده باقی میماند و مسئولِ پیکربندی و تحلیلِ مختصِ هر حوزهٔ قضاییِ خودش است. خانههای IR و OTHER-NON-EU قابلِپیکربندیاند، نه دارای گواهی — Statnive ادعای انطباق با PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA را نمیکند. پیش از انتشار، با مشاورِ حقوقیِ واجدِ صلاحیت در هر حوزهٔ قضایی همسنجی کنید.
وضعیتِ ارجاعاتِ مقرراتی تا 13 مه 2026: Sheet n°16 نهاد CNIL + بهروزرسانیِ 4 ژوئیه 2025 + توصیهنامهٔ یکپارچهٔ کوکیِ 16 ژانویه 2026 + توصیهنامهٔ پیکسلهای ردیابیِ 14 آوریل 2026؛ برنامهٔ ارزیابیِ قدیمی در 1 ژانویه 2026 بازنشسته شد؛ جریمهٔ 3.5 میلیون یورویی منتشرشده در 22 ژانویه 2026 (FR)؛ مادهٔ § 25 TDDDG + Orientierungshilfe نسخهٔ 1.2 نهاد DSK مورخِ 20 نوامبر 2024 (تا مه 2026 همچنان عملیاتی)؛ اجرای مداومِ 2024 تا 2026 نهادهای BayLDA / NRW / برلین / هامبورگ (DE)؛ دستورالعملهای کوکیِ Garante مورخِ 10 ژوئن 2021 لازمالاجرا از 10 ژانویه 2022 + تصمیمِ شمارهٔ 224 مورخِ 9 ژوئن 2022 + برنامهٔ بازرسیِ 2026 (بیش از 40 بازرسیِ هدفمند در نیمهٔ اولِ 2026، Guardia di Finanza) (IT)؛ راهنمای کوکیِ AEPD (ژوئیه 2023، اجرا از 11 ژانویه 2024) + راهنمای اندازهگیری مخاطبِ AEPD (2024) (ES)؛ موضعِ کوکیِ Autoriteit Persoonsgegevens + مادهٔ 11.7a قانونِ Telecommunicatiewet + جریمهٔ 600 هزار یورویی Kruidvat مورخِ 16 ژوئیه 2024 + پایشِ 10,000 سایت در سالِ AP + موضعگیریِ «نظارتِ انبوه» در 2026 تا 2028 + دورِ هشدار به 50 سازمان در آوریل 2025 (NL)؛ راهنماییِ کوکیِ APD آوریل 2020 + تصمیمِ 85/2022 + برنامهٔ راهبردیِ 2026 تا 2028 نهاد APD/GBA (BE)؛ یادداشتِ راهنماییِ DPC (2020) (IE)؛ راهنمای فناوریهای ذخیره و دسترسیِ ICO مورخِ 29 آوریل 2026 + DUAA 2025 (UK)؛ تصمیمِ NetDoktor نهاد DSB مورخِ 22 دسامبر 2021 (AT). مادهٔ § 7025(c)(6) از CCPA لازمالاجرا از 1 ژانویه 2026 — نمایشِ قابلِدیدِ احترام به GPC الزامی است (فراگیر برای خانهٔ OTHER-NON-EU). Digital Omnibus یعنی COM(2025) 837 final — پیشنهادِ کمیسیون در 19 نوامبر 2025، بدونِ رأیِ صحنِ علنیِ پارلمانِ اروپا روی COM(2025) 837 تا 13 مه 2026. نظرِ مشترکِ EDPB-EDPS شمارهی 2/2026 مورخِ 11 فوریه 2026؛ راهنماهای 2/2023 نهاد EDPB نسخهٔ 2.0 مورخِ 7 اکتبر 2024؛ راهنماهای 1/2024 نهاد EDPB مورخِ 8 اکتبر 2024؛ پیشنویسِ راهنماهای 01/2025 نهاد EDPB دربارهٔ مستعارسازی (تیمِ سریع، تکمیل را برای تابستانِ 2026 هدف گرفته)؛ نظرِ 5/2019 نهاد EDPB. تمرکزِ چارچوبِ اجرای هماهنگِ 2026 نهاد EDPB: شفافیت + تعهداتِ اطلاعرسانی (فراگیر).