يعد قانون حماية خصوصية الأطفال على الإنترنت (COPPA) حجر الأساس في حماية بيانات الأطفال دون سن 13 عاماً في الولايات المتحدة. منذ إقراره عام 1998، كان يهدف إلى وضع معايير واضحة لكيفية جمع واستخدام ومشاركة بيانات الأطفال من قبل المواقع الإلكترونية والخدمات الرقمية. ومع التحولات الرقمية الهائلة في العقد الأخير، رأت هيئة التجارة الفيدرالية (FTC) أن الوقت قد حان لإجراء تحديثات جوهرية على هذا القانون، كي يواكب تحديات العصر الرقمي ويحمي الأجيال الجديدة بشكل أفضل.
ويحدد القانون النطاق العمري المستهدف بشكل دقيق، إذ تنطبق جميع متطلبات COPPA على الأطفال الذين لم يبلغوا الثالثة عشرة من العمر. يوُلزم هذا القانون جميع المواقع الإلكترونية والخدمات الرقمية التي تستهدف الأطفال أو تجمع معلومات شخصية من مستخدمين يُعرف أو يُتوقع أنهم دون سن 13 بالحصول على موافقة يمكن التحقق منها من أحد الوالدين قبل جمع أو استخدام أو مشاركة أي بيانات شخصية تخص الطفل. كما يشمل نطاق الحماية المواقع والخدمات الموجهة للأطفال بشكل مباشر، أو تلك التي تعلم فعليًا أن بعض مستخدميها دون سن 13، حتى لو كانت موجهة لجمهور عام. ولا يُشترط على المواقع العامة فحص أعمار جميع المستخدمين، لكن إذا حصلت على “معرفة فعلية” بأن المستخدم طفل دون 13 عامًا، تُطبّق عليها جميع متطلبات القانون فورًا، بما في ذلك الإشعار وطلب الموافقة.
خلفية تاريخية وتطور الحاجة للتغيير
منذ صدور القانون في أكتوبر 1998 ودخوله حيز التنفيذ في أبريل 2000، ثم تعديله بشكل موسع في 2013، ظل COPPA المرجع الأساسي في تنظيم جمع واستخدام بيانات الأطفال. لكن السنوات الأخيرة شهدت تسارعًا في تطور الذكاء الاصطناعي، وانتشار تطبيقات الهواتف الذكية والشبكات الاجتماعية الموجهة للأطفال، إلى جانب تزايد الإعلانات الموجهة وجمع البيانات لأغراض تجارية. هذه التغيرات دفعت FTC إلى إطلاق مراجعة شاملة للقاعدة عام 2019، استغرقت سنوات من النقاش، وجمعت خلالها آلاف الملاحظات من شركات التقنية، منظمات حقوق الطفل، وخبراء القانون.
دوافع التحديث
لم تكن دوافع التحديث شكلية أو تقنية فقط، بل جاءت استجابة لضغوط مجتمعية وتشريعية متزايدة. فمع كل حادثة تسريب بيانات أو استغلال تجاري لبيانات الأطفال، أصبح من الواضح أن القوانين القديمة لم تعد كافية. ركزت الدوافع الرئيسية على حماية الأطفال من جمع البيانات غير الضرورية ، وتعزيز دور الأهل في التحكم بمعلومات أبنائهم، ومواكبة التقنيات الجديدة مثل الذكاء الاصطناعي ، والاستجابة لحوادث تسريب البيانات واستخدامها في أغراض لا تتناسب مع مصلحة الطفل.
التعديلات الجوهرية في قاعدة COPPA لعام 2025
1. موافقة الوالدين المنفصلة
في السابق، كان القانون يطلب من الشركات الحصول على موافقة عامة من أحد الوالدين لجمع أو استخدام أو مشاركة بيانات الأطفال، وغالبًا ما كانت هذه الموافقة تشمل جميع الأغراض، بما فيها مشاركة البيانات مع أطراف ثالثة.
بعد التعديل أصبح من الضروري الحصول على موافقة منفصلة وقابلة للتحقق من أحد الوالدين تحديدًا قبل مشاركة بيانات الأطفال مع أطراف ثالثة لأغراض غير أساسية مثل الإعلانات أو التحليلات. لم يعد بالإمكان ربط استخدام الخدمة بموافقة الوالدين على مشاركة البيانات مع أطراف ثالثة غير ضرورية، بل يجب أن تكون الموافقة محددة وواضحة لكل نوع من أنواع المشاركة.
تفصيل إجرائي: تتطلب القاعدة الجديدة من الشركات إجراء تحليل متعدد الخطوات لتحديد ما إذا كان الإفصاح عن بيانات الطفل لطرف ثالث يستدعي موافقة الوالدين المنفصلة. يجب على الشركة أولاً تحديد ما إذا كان الإفصاح مشمولاً باستثناءات العمليات الداخلية أو يُعد “ضرورياً” لتقديم الخدمة. إذا لم يكن كذلك، يجب الحصول على موافقة منفصلة “حرة، محددة” من الأهل، ويجب أن تكون الموافقة فعلية وواضحة، ولا يجوز استخدام أي أساليب مضللة أو خادعة في إجرائات الموافقة.
2.إشعارات وشفافية موسعة
في السابق، كانت الشركات تكتفي غالبًا بذكر “فئات” عامة للأطراف الثالثة في سياسات الخصوصية أو الإشعارات للأهل، دون الحاجة لتسمية كل طرف أو توضيح الغرض من المشاركة بشكل مفصل.
بعد التعديل، الزم القانون الجديد الشركات بذكر كل طرف ثالث ستُشارك معه بيانات الأطفال بشكل صريح في الإشعارات وسياسات الخصوصية، مع توضيح الغرض من كل مشاركة. لم يعد الاكتفاء بذكر “فئات” عامة مقبولاً، بل يجب الإفصاح بدقة وشفافية عن كل جهة والغرض من الإفصاح.
تفصيل إجرائي: يجب الآن أن تتضمن الإشعارات المباشرة للأهل قائمة بكل طرف ثالث ستُشارك معه بيانات الطفل، مع شرح الغرض من كل مشاركة. أي مشاركة مع طرف ثالث غير مذكور في الإشعار تُعد انتهاكًا للقاعدة، ويجب تحديث سياسة الخصوصية عند أي تغيير في قائمة الأطراف الثالثة. كما يجب توضيح أي جمع لمعرّفات دائمة حتى لو كان ضمن الاستثناءات، وتوضيح كيف تمنع الشركة استخدام هذه المعرّفات للتواصل مع الطفل.
3.تعزيز أمن البيانات
في السابق، كان القانون يطلب من الشركات اتخاذ “إجراءات أمنية معقولة” لحماية بيانات الأطفال، دون تفاصيل تقنية أو إدارية دقيقة.
بعد التعديل، فرض القانون على الشركات تنفيذ برامج أمنية مكتوبة، تشمل تقييمات دورية للمخاطر، وتعيين مسؤولين عن أمن البيانات، وتحديث السياسات الأمنية سنوياً أو عند الحاجة. يجب أن تتناسب الإجراءات الأمنية مع حساسية البيانات وحجم الشركة، مع إلزامية الإبلاغ عن أي اختراقات أو حوادث أمنية.
تفصيل إجرائي: أصبحت الشركات مطالبة بوضع برنامج أمني مكتوب خاص بمعلومات الأطفال، يعكس حساسية البيانات وحجم الشركة. يجب تعيين موظف مسؤول عن البرنامج، إجراء تقييمات سنوية للمخاطر، اختبار ومراقبة فعالية الضوابط الأمنية، وتحديث البرنامج سنويًا أو عند الحاجة. كما يجب التأكد من أن أي طرف ثالث يُشارك معه البيانات قادر على حماية سرية وأمن المعلومات، والحصول على ضمانات تعاقدية بذلك.
4.قيود صارمة على الاحتفاظ بالبيانات
في السابق، كان القانون يطلب من الشركات حذف بيانات الأطفال بعد انتهاء الغرض من جمعها، لكن لم تكن هناك متطلبات واضحة حول مدة الاحتفاظ أو وجود سياسات مكتوبة مفصلة.
بعد التعديل، أصبح من الواجب حذف بيانات الأطفال فور انتهاء الغرض من جمعها، مع حظر الاحتفاظ غير المحدود بالبيانات لأي سبب، وضرورة وجود سياسات مكتوبة توضح أغراض الجمع وفترات الحذف بدقة.
تفصيل إجرائي: يحظر التعديل الجديد الاحتفاظ ببيانات الأطفال إلى أجل غير مسمى. يجب أن تكون هناك سياسات علنية للاحتفاظ والحذف، ويجب حذف البيانات بمجرد انتهاء الغرض من جمعها. أثار هذا الحظر نقاشًا داخل FTC حول مدى صرامته، لكن تم التأكيد على أن الهدف هو منع استخدام بيانات الأطفال في تطوير الذكاء الاصطناعي أو الاحتفاظ بها دون داعٍ، مع مراعاة ألا يؤدي ذلك لإزعاج المستخدمين الكبار الذين يرغبون في الاحتفاظ بذكرياتهم الرقمية.
5. تعزيز الشفافية والرقابة في برامج Safe Harbor
ما هي برامج Safe Harbor ؟ برامج Safe Harbor في سياق قانون حماية خصوصية الأطفال على الإنترنت (COPPA) هي آلية تنظيمية تتيح للمنظمات أو الجهات المتخصصة في مجال حماية خصوصية الأطفال على الإنترنت وضع إرشادات ذاتية للامتثال لمتطلبات القانون، بشرط أن تحصل هذه الإرشادات على موافقة رسمية من هيئة التجارة الفيدرالية الأمريكية (FTC). إذا التزمت الشركات بهذه الإرشادات المعتمدة ضمن برنامج Safe Harbor، تُعتبر ملتزمة بقانون COPPA وتخضع لمراجعة الجهة التي تدير البرنامج بدلاً من الرقابة المباشرة من هيئة التجارة الفيدرالية. تهدف هذه البرامج إلى توفير إطار رقابي ذاتي فعال مع استمرار حق اللجنة في مراقبة الأداء وسحب الاعتماد عند الحاجة .
في السابق، كانت برامج Safe Harbor المعتمدة من FTC تتمتع بمرونة كبيرة في الإفصاح عن أعضائها وسياساتها، ولم تكن هناك متطلبات صارمة للنشر العلني أو التقارير التفصيلية.
بعد التعديل، ألزم القانون هذه البرامج بنشر قوائم الأعضاء علناً خلال 90 يوماً من النشر الرسمي، وتقديم تقارير مفصلة عن الشكاوى والانتهاكات سنوياً، مع مراجعة شاملة لسياسات الأمان والخصوصية لدى الأعضاء. كما أصبح مطلوبًا من برامج Safe Harbor إجراء تدقيقات أمنية دورية والإفصاح عن أي إجراءات تأديبية بحق الأعضاء في تقارير سنوية تُرفع إلى FTC، مما يرفع من مستوى الشفافية والمساءلة في هذه البرامج.
تفصيل إضافي: الآن، يجب على برامج Safe Harbor إجراء مراجعة شاملة لسياسات الأعضاء في الخصوصية والأمن،و تقديم جميع الشكاوى الواردة إلى FTC بشكل دوري، ونشر قائمة بجميع الأعضاء والمنتجات المعتمدة على موقع البرنامج. لا يُطلب منهم الإبلاغ عن المشكلات التقنية البسيطة التي تم حلها سريعًا، لكن يجب الإفصاح عن أي إجراءات تأديبية رسمية. إذا لم تعالج الشركة المخالفة بسرعة أو رفضت الامتثال، يمكن سحب شهادة Safe Harbor منها وإبلاغ الـ FTC لاتخاذ إجراءات رسمية.
بالإضافة للتعديلات هناك متطلبات جديدة للمواقع التي تستهدف الأطفال جزئياً
تعريف جديد للمواقع التي تستهدف الأطفال جزئياً: سابقًا، لم تكن هناك متطلبات واضحة للمواقع أو الخدمات التي تستهدف الأطفال جزئياً. بعد التعديل، باتت هذه المواقع ملزمة بالتحقق من العمر بطريقة محايدة قبل جمع أي بيانات شخصية، مع استثناءات محدودة. ويمكن للشركات اختيار طرق مبتكرة للتحقق من العمر، ولا يُشترط الاعتماد فقط على التصريح الذاتي من المستخدمين.
طرق تحقق جديدة ومتقدمة: في النسخة السابقة، كانت طرق التحقق من الأهلية العمرية محدودة وغالباً تقليدية. أما بعد التعديل، سمح القانون بطرق تحقق جديدة مثل المصادقة المعتمدة على المعرفة، أو التحقق من الهوية الحكومية مع تقنية التعرف على الوجه، أو طرق نصية متقدمة، مع التأكيد على مرونة الشركات في اختيار الآلية الأنسب.
التحديات العملية والتنظيمية والتأثيرات المتوقعة
بالرغم من أن هذه التعديلات تهدف إلى حماية الأطفال، إلا أنها تفرض على الشركات تحديات عملية وتنظيمية كبيرة. فمن جهة، أصبح على الشركات تحديث سياسات الخصوصية باستمرار وطلب موافقات منفصلة وقابلة للتحقق من أحد الوالدين عند إضافة أي طرف ثالث جديد، ما يزيد من تعقيد العمليات الإدارية والتقنية. كما تواجه الشركات الصغيرة أو الناشئة نفس الصعوبات في تطبيق متطلبات التحقق الأمني ما قد يرفع التكاليف التشغيلية.
من المتوقع أن تدفع هذه التعديلات الشركات الكبرى مثل Google وMeta وTikTok إلى مراجعة سياساتها وخدماتها الموجهة للأطفال، تطوير أنظمة أكثر صرامة للحصول على موافقات منفصلة وقابلة للتحقق من أحد الوالدين، وتحديث سياسات الاحتفاظ بالبيانات والتعامل مع الأطراف الثالثة.
أما الأهل، فسيحظون بتحكم أكبر وشفافية أوضح حول كيفية استخدام بيانات أبنائهم، وسيقل تعرض الأطفال للإعلانات الموجهة وجمع البيانات غير الضروري. وعلى المستوى العالمي، قد تدفع هذه التعديلات بعض الدول الأخرى لتبني تشريعات مماثلة، خاصة مع وجود شركات عالمية تستهدف السوق الأمريكي.
ويُقصد بذلك أن تعديلات COPPA تلزم أي شركة عالمية تقدم خدمات أو تطبيقات للأطفال في الولايات المتحدة بالامتثال الكامل لمتطلبات القانون، بغض النظر عن مكان تأسيس الشركة أو مقرها الرئيسي. لهذا، فإن أثر هذه التعديلات يمتد خارج الولايات المتحدة ويؤثر على السياسات والإجراءات التنظيمية للشركات الدولية التي تستهدف السوق الأمريكي.
الجدول الزمني للتنفيذ
· 22 أبريل 2025: نشر التعديلات في السجل الفيدرالي.
· 23يونيو 2025: بدء سريان التعديلات (بعد 60 يوماً من النشر الرسمي).
· 22 أبريل 2026: انتهاء فترة الامتثال الكاملة لمعظم الشركات.
· برامج Safe Harbor: نشر قوائم الأعضاء خلال 90 يوماً، وتقديم إرشادات وتقارير محدثة خلال 6 أشهر من النشر الرسمي.
ومع اقتراب دخول التعديلات حيز التنفيذ، يجب على الشركات البدء فورًا في مراجعة سياساتها وأنظمتها الداخلية لضمان الامتثال الكامل للمتطلبات الجديدة وتجنب المخاطر التنظيمية.
نقاط التقارب بين COPPA و حماية بيانات الأطفال ومن في حكمهم في نظام حماية البينات الشخصية PDPL
توجد نقاط تقارب جوهرية بين تعديلات COPPA الأمريكية وسياسة حماية بيانات الأطفال في المملكة العربية السعودية، من أبرزها:
موافقة الولي: يشترط كلا النظامين الحصول على موافقة يمكن التحقق منها من ولي الأمر أو الوصي القانوني قبل جمع أو معالجة بيانات الطفل. في نظام حماية البيانات الشخصية PDPL، يمتد هذا الالتزام لكل من لم يبلغ 18 عامًا، بينما يطبق COPPA على من هم دون 13 عامًا فقط.
إشعار الولي وخيارات التحكم: يلزم النظامان بإشعار ولي الأمر بالغرض من جمع البيانات وتوضيح كيفية استخدامها، مع توفير خيارات واضحة للتحكم في معالجة بيانات الطفل.
تقييد الغرض والحد الأدنى من البيانات: يقتصر جمع بيانات الطفل في كلا النظامين على الحد الأدنى الضروري لتحقيق الغرض المشروع، ولا يجوز جمع بيانات إضافية لا تخدم هذا الغرض.
حق الوصول والتصحيح والحذف: يمنح كل من النظام السعودي وCOPPA ولي الأمر حق الوصول إلى بيانات الطفل وطلب تصحيحها أو حذفها، مع توفير آلية واضحة لممارسة هذه الحقوق.
سحب الموافقة: يتيح النظامان للأهل سحب الموافقة على معالجة بيانات الطفل في أي وقت، مع التزام الجهات بحذف البيانات عند انتهاء الغرض أو سحب الموافقة.
الاختلافات بين نظام حماية البيانات الشخصية السعودي (PDPL) و قانون COPPA الأمريكي في مجال حماية بيانات الأطفال
النطاق العمري للحماية
في نظام حماية البيانات الشخصية السعودي، لا يوجد نص صريح في النظام الأساسي يحدد سن الطفل، بل يحيل النظام في مسائل الأهلية إلى الأنظمة السعودية ذات العلاقة مثل نظام حماية الطفل، الذي يعرّف الطفل بأنه من لم يتجاوز 18 عامًا. هذا يعني أن الحماية في المملكة تمتد لتشمل جميع القُصّر حتى سن 18 عامًا. في المقابل، يقتصر نطاق الحماية في قانون COPPA الأمريكي على الأطفال دون سن 13 عامًا فقط، حيث تقتصر جميع الالتزامات والمتطلبات التنظيمية على هذه الفئة العمرية دون غيرها.
موافقة الولي الشرعي
يشترط نظام حماية البيانات الشخصية السعودي الحصول على موافقة صاحب البيانات أو من يمثله نظامًا، أي الولي الشرعي، عند معالجة بيانات ناقص أو عديم الأهلية، وهو ما يشمل القُصّر بحسب الأنظمة السعودية ذات العلاقة. هذا الشرط يضمن أن أي معالجة لبيانات الطفل لا تتم إلا بعد تحقق الجهة من موافقة الولي النظامية. أما في قانون COPPA، فيُلزم بالحصول على موافقة أحد الوالدين يمكن التحقق منها للأطفال دون 13 عامًا فقط، وذلك قبل جمع أو استخدام أو الكشف عن معلوماتهم الشخصية لأي غرض كان.
الشفافية والإشعار
يفرض نظام حماية البيانات الشخصية السعودي على الجهات إشعار صاحب البيانات أو وليه بالغرض من جمع البيانات، مع توضيح كيفية استخدامها وتوفير وسيلة للوصول إلى البيانات وطلب تصحيحها أو إتلافها. هذا الإشعار يجب أن يكون واضحًا وسهل الفهم، ويُمكّن الولي أو صاحب البيانات من ممارسة حقوقه بشكل فعّال. في المقابل، يفرض COPPA متطلبات شفافية وإشعار موسعة للأهل، حيث تلزم الشركات بتسمية جميع الأطراف الثالثة والغرض من مشاركة البيانات بشكل صريح بعد التحديثات الأخيرة، ما يمنح الأهل سيطرة أكبر على بيانات أبنائهم.
تقييد جمع البيانات والغرض المشروع
يشترط النظام السعودي أن يكون جمع البيانات للغرض المشروع فقط، وألا يتم الاحتفاظ بها بعد انتهاء الحاجة إليها، مع تمكين صاحب البيانات أو وليه من طلب الإتلاف في أي وقت. هذا يضمن أن بيانات الطفل لا تُستخدم إلا فيما يخدم مصلحته المشروعة ولا تُخزن دون داعٍ. أما في COPPA، فيتم تقييد جمع البيانات للغرض المصرح به فقط، مع إلزام الشركات بحذف البيانات بعد انتهاء الحاجة، كما يُشترط في النظامين وجود سياسات مكتوبة للاحتفاظ والحذف لضمان عدم الاحتفاظ ببيانات الأطفال بشكل غير مبرر أو لفترات طويلة.
الخاتمة:
إن هذا التقارب في الأنظمة يعكس إدراكًا عالميًا متناميًا بأن الطفل ليس مجرد مستخدم عادي للإنترنت، بل هو صاحب حق أساسي في الأمان الرقمي والخصوصية. ومع استمرار تطور البيئة الرقمية، تبرز أهمية هذه الأنظمة في بناء مستقبل أكثر أمانًا ووعيًا للأطفال، وترسيخ ثقة المجتمع في عالم رقمي تحكمه المسؤولية والإنسانية. سواء في المملكة العربية السعودية أو في الولايات المتحدة، فإن حماية خصوصية الأطفال لم تعد مجرد خيار تنظيمي، بل أصبحت التزامًا أصيلًا في صلب الأنظمة الرقمية المعاصرة.
You Might Also Like
