البيانات الصحية بين الرقمنة والعولمة: تحديات النقل الدولي وأفق التنظيم القانوني - يحيى الحيمر

 

البيانات الصحية بين الرقمنة والعولمة: تحديات النقل الدولي وأفق التنظيم القانوني

يحيى الحيمر

طالب باحث بسلك الدكتوراه، كلية الحقوق عين الشق جامعة الحسن الثاني -الدار البيضاء-

 

Health data between digitization and globalization: challenges of international transport and the horizon of Legal Regulation

Yahia EL HIMAR

 

تقديم

أضحى النقل الدولي للبيانات الصحية في العقود الأخيرة أحد أهم مفاصل التحول الرقمي في المنظومات الصحية العالمية، بالنظر إلى ما تشكّله البيانات من رافعة أساسية للبحث الطبي والابتكار في مجالات الذكاء الاصطناعي والتشخيص المتقدم والطب الشخصي. ولم يعد بإمكان أي دولة أو مؤسسة بحثية الاكتفاء بالبيانات المتاحة داخل حدودها الوطنية، إذ يستلزم تطوير النماذج العلمية والسريرية التعاون العابر للحدود وتبادل قواعد بيانات واسعة النطاق ومتنوعة جغرافيًا ووراثيًا وسريرياً.

غير أن هذا الانفتاح العلمي يصطدم بمعضلة مركزية تتمثل في حماية الخصوصية وضمان أمن البيانات الحساسة للأفراد، خاصة وأن البيانات الصحية تُعدّ من أكثر الفئات حساسية لما تنطوي عليه من معلومات دقيقة عن الحالات المرضية والتاريخ الطبي والبيانات الجينية، وما قد يترتب على إساءة استخدامها من مخاطر تمييزية أو اقتصادية أو اجتماعية جسيمة.

ومن هنا برز التحدي المزدوج: كيف يمكن للدول والمؤسسات العلمية أن تُتيح تدفّق البيانات الصحية عبر الحدود بما يدعم التطور الطبي، دون أن تُفرّط في خصوصية الأفراد أو تخرق سيادتها الرقمية؟

لقد شكّل هذا السؤال محوراً لعدد من التحولات التشريعية والتنظيمية الكبرى، كما هو الحال مع اللائحة العامة لحماية البيانات الأوروبية (GDPR)، والقرارات القضائية المؤثرة مثل Schrems II، والقواعد المؤسسية الملزمة (BCRs)، والمقاربات المقارنة التي تتخذها دول رائدة مثل المملكة المتحدة واليابان.

وقد أسفر هذا النقاش العالمي عن مشهد قانوني وتقني شديد التعقيد، يجمع بين مقتضيات قانونية صارمة، ومتطلبات تقنية عالية، واعتبارات سيادية وأخلاقية متشابكة.

وتزداد أهمية هذا النقاش بالنسبة للدول النامية، ومنها المغرب، التي تسعى إلى بناء منظومات صحية رقمية متقدمة والانخراط في شبكات البحث الطبي والتجارب السريرية العالمية، لكنها في الوقت ذاته مطالبة بإعادة النظر في قوانينها وآلياتها التنظيمية لضمان حماية فعّالة للبيانات الحساسة وفق معايير دولية متجددة.

لذا بات من الضروري فهم الركائز القانونية والتنظيمية التي تحكم حركة البيانات الصحية عبر الحدود، واستيعاب النماذج الدولية الناجحة، واستخلاص الدروس التي يمكن توظيفها في تطوير السياسة الوطنية.

بناءً على ذلك، يتناول هذا المقال موضوع النقل الدولي للبيانات الصحية من زاويتين تكاملية: زاوية معيارية قانونية تنظيرية، وزاوية مقارنة تطبيقية. فالإشكالية المركزية التي تمت معالجتها هي:

كيف يمكن صياغة نظام قانوني يحقق توازناً فعلياً بين متطلبات حماية البيانات الصحية وضرورات التعاون العلمي والبحثي الدولي، في ظل القيود والتحديات التقنية والقانونية المتزايدة؟

ويتم تناول هذه الإشكالية من خلال تقسيم منهجي إلى مطلبين رئيسيين:

ü       المطلب الأول: معايير النقل الدولي للبيانات الصحية، من خلال تحليل قواعد اللائحة العامة لحماية البيانات الأوروبية (GDPR)، والقواعد المؤسسية الملزمة (BCRs)، والتدابير التكميلية بعد حكم Schrems II، وما نتج عن ذلك من تطور عميق في متطلبات حماية البيانات عند عبور الحدود.

ü       المطلب الثاني: التجارب الأجنبية في الإفصاح الدولي عن المعلومات الصحية، عبر دراسة النموذج البريطاني والنموذج الياباني، لما يميز هذين النظامين من اختلاف في الرؤية والمقاربات، ولما يوفرانه من دروس عملية في صياغة سياسات متوازنة تجمع بين الامتثال القانوني وفعالية التعاون الطبي العالمي.

يهدف هذا التقسيم إلى بناء معالجة أكاديمية متسقة تجمع بين الدقة القانونية والعمق المقارن، وتُمكّن من تقديم قراءة تركيبية تربط بين التوجهات الدولية والرهانات الوطنية، في أفق بلورة سياسة تشريعية مغربية قوية وفعّالة في مجال حماية البيانات الصحية وتدبير نقلها دولياً.

المطلب الأول: معايير النقل الدولي للبيانات الصحية

أصبحت الحاجة إلى تبادل البيانات الصحية بين الدول أمرًا لا غنى عنه لدعم الابتكار في مجالات التشخيص والعلاج والوقاية، غير أن هذا التبادل يصطدم بجملة من القيود القانونية والتنظيمية التي تهدف إلى ضمان عدم المساس بخصوصية الأفراد أو إساءة استخدام معلوماتهم الطبية، ولأجل ذلك، وضعت الأنظمة المقارنة معايير دقيقة وآليات متعددة لضمان النقل الآمن والمتوازن للبيانات، تجمع بين مقتضيات الحماية وضرورات التطوير العلمي.

يتناول هذا المطلب بالتحليل أبرز هذه المعايير كما أرستها اللائحة العامة لحماية البيانات الأوروبية (GDPR) والقواعد المؤسسية الملزمة (BCRs)، إلى جانب ما استقر عليه الاجتهاد القضائي الأوروبي بعد حكم Schrems II، الذي أعاد صياغة مفهوم الضمانات والتدابير التكميلية في عمليات نقل البيانات الحساسة دوليًا، بما في ذلك البيانات الصحية^[1].

الفقرة الأولى: اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR) و القواعد المؤسسية الملزمة BCRs

تعد اللائحة العامة لحماية البيانات^[2] (GDPR) الإطار التشريعي الأوروبي الذي ينظّم جمعَ ومعالجةَ البيانات الشخصية داخل الاتحاد الأوروبي وخارجه عندما تستهدف المعالجةُ أشخاصًا داخل الاتحاد. حلّت محلّ توجيه حماية البيانات^[3] 95/46/EC، ودخلت حيز التنفيذ ماي  2018.

تهدف إلى حماية الحقوق الأساسية للأفراد فيما يتعلق ببياناتهم الشخصية وضمان حرية تداولها ضمن إطار تشريعي موحد بين الدول الأعضاء. وتنصّ اللائحة على مبادئ أساسية في التعامل مع البيانات الشخصية، مثل المشروعية والعدالة والشفافية، وتقليل المعطيات، ودقة البيانات، وتحديد مدة التخزين، وضمان السرية والأمن، إضافةً إلى مبدأ المحاسبة الذي يُلزم الجهات المعالجة بإثبات امتثالها للقواعد.

كما تعزز اللائحة الإجراءات الوقائية من خلال متطلبات مثل التصميم الافتراضي للخصوصية (المادة 25) وتعيين ضابط حماية البيانات، إلى جانب حقوق الأفراد كحق الوصول، والتصحيح، والاعتراض، وحق النسيان. وتفرض اللائحة منظومة متكاملة من المسؤوليات والعقوبات، حيث يمكن أن تصل الغرامات إلى 4% من إجمالي المبيعات العالمية للمؤسسة أو 20 مليون يورو، أيهما أكبر.

أما القواعد المؤسسية الملزمة^[4] (BCRs) فهي آلية تنظيمية تم اعتمادها في المادة 47 من اللائحة. وهي عبارة عن قواعد داخلية ملزمة تتبنّاها الشركات متعددة الجنسيات لضمان نقل البيانات الشخصية دولياً داخل المجموعة الواحدة دون الإخلال بمعايير GDPR.

 وتتيح هذه القواعد نقل البيانات إلى فروع أو شركات تابعة خارج الاتحاد الأوروبي حتى في حال غياب قرار ملاءمة، بشرط الحفاظ على معايير الحماية نفسها. وتشمل BCRs ضمانات وحقوقاً للأفراد، وتفرض مبادئ حماية البيانات الأساسية (كالشفافية وجودة البيانات والأمن)، إضافةً إلى آليات التدقيق الداخلي والتدريب والتعامل مع الشكاوى، مع ضمان أن تكون القواعد ملزمة قانوناً لجميع كيانات المجموعة. وبذلك، تشكل BCRs إطاراً متكاملاً للحوكمة الداخلية يعكس التزام المؤسسة بالامتثال لمعايير اللائحة.

تعامل اللائحـــــــــــة البيانات الصحيــــــــــة والوراثيـــــــة باعتبارها فئات حساســـة وفق المادة 9، وتشمـل "البيانات الشخصية المتعلقة بالصحة" و"البيانات الجينية"، ويحظر معالجتها إلا في حالات استثنائية، مثل وجود موافقة صريحة من صاحب البيانات أو لأسباب تتعلـــــــــــــق بالصحة العامة أو البحث العلمـــــــــي، بشرط توفير ضمانات مناسبة مثل التشفير، وإخفاء الهوية، وتقييد الوصول. وتُلزم القواعد المؤسسية المؤسسات بإدراج هذه الضمانات ضمن سياساتها، بحيث تراعي كل عمليات النقل الداخلي مبدأ الحد الأدنى من المعالجة وأمن المعلومات.

بالنسبة للبيانات الجينية، فهي تتمتع بحماية إضافية نظرًا لإمكانية تحديد هوية الأفراد من خلالها. ولذلك، وجب اتخاذ تدابير صارمة قبل نقلها، مثل التشفير المتقدم وإجراءات الموافقة الخاصة، أما البيانات المستخدمة في نظم الذكاء الاصطناعي، فيجب أن تلتزم بمبدأ "الخصوصية حسب التصميم" ، وأن تتيح للأفراد حق الاعتراض على القرارات الآلية الجوهرية^[5].

تشكل المعايير الدولية أدوات مهمة لدعم الامتثال للائحة وحماية البيانات الصحية، من أبرزها معيار ISO/IEC 27701:2019 الخاص بإدارة معلومات الخصوصية، ومعيار ISO/IEC 42001:2023 الخاص بإدارة الذكاء الاصطناعي بشكل مسؤول، ومعيار ISO 31000:2018 لإدارة المخاطر، إضافةً إلى إطار NIST الأمريكي لإدارة مخاطر الذكاء الاصطناعي، وتوصية اليونسكو لأخلاقيات الذكاء الاصطناعي (2021) التي تركز على مبادئ الشفافية والإنصاف والإشراف البشري.يساعد دمج هذه المعايير في القواعد المؤسسية الملزمة على بناء سياسات أكثر صلابة لنقل البيانات الصحية وإدارتها، وتعزيز التوافق بين الامتثال القانوني والتقني^[6].

ومع ذلك، فإن اختلاف التشريعات الوطنية للدول الأعضاء في الاتحاد الأوروبي بشأن معالجة البيانات الصحية يُعدّ أحد أبرز التحديات التي تعيق نقل البيانات عبر الحدود بموجب أحكام اللائحة العامة لحماية البيانات (GDPR) وقواعد الشركات المُلزِمة (BCRs)، إذ يؤدي هذا التباين إلى تفاوت المتطلبات القانونية وصعوبة تحقيق الانسجام التنظيمي بين الأنظمة الوطنية، الأمر الذي ينعكس سلبًا على وتيرة تنفيذ الأبحاث الطبية الدولية، حيث تعثرت العديد من المشاريع البحثية بسبب تعقيدات وإبطاءات الإجراءات المتعلقة بنقل البيانات الصحية الحساسة^[7].

فمن الناحية العملية، يتطلب النقل الآمن للبيانات الصحية تقييمات أثر طويلة وتدابير أمنية متقدمة، وهو ما يستهلك وقتاً وموارد لا تكون متوفرة دائماً للمؤسسات الصغيرة، كما أن إعداد واعتماد القواعد المؤسسية الملزمة عملية معقدة وطويلة تتطلب موافقات رسمية ومتابعة مستمرة لتحديثها بما يتوافق مع التطورات القانونية^[8].

تتداخل اللائحة العامة لحماية البيانات والقواعد المؤسسية الملزمة في نظام معقد لتنظيم نقل البيانات الصحية دولياً، يجمع بين حماية الخصوصية ومتطلبات التعاون العلمي والطبي. ورغم أن كلا النظامين يسعى لتحقيق توازن بين الحماية والابتكار، إلا أن التحديات القانونية، والاختلافات بين الأنظمة، والتطورات القضائية المستمرة تجعل الامتثال الكامل هدفاً صعب المنال. ومع ذلك، فإن توظيف المعايير الدولية وأطر حوكمة الذكاء الاصطناعي يوفر أساساً عملياً لتعزيز الامتثال وتطوير منظومات حماية فعالة في قطاع الصحة العالمي.

الفقرة الثانية: التدابير التكميلية والضمانات المناسبة لنقل البيانات الصحية دوليًا بعد حكم Schrems II

تنص المادة 43 من القانون رقم 09.08 على أنه «لا يجوز لمسؤول عن معالجة أن ينقل معطيات ذات طابع شخصي إلى دولة أجنبية، إلا إذا كانت هذه الدولة تضمن مستوى حماية كافٍ للحياة الخاصة والحريات والحقوق الأساسية للأشخاص إزاء المعالجة التي تخضع لها هذه المعطيات أو قد تخضع لها»، ويُقارب هذا المقتضى ما ورد في المادة 45 من اللائحة العامة لحماية البيانات (GDPR)، التي تشترط اعتراف المفوضية الأوروبية فقط بالدول أو الكيانات التي توفر مستوى حماية كافٍ للبيانات الشخصية، بحيث تُعد هذه الضمانات وسيلة لضمان حماية تعادل ما توفره اللائحة الأوروبية، بغضّ النظر عن الجهة المستقبلة للبيانات.

وقبل صدور حكم "شريمس^[9]" (Schrems)، كانت الدول التي يشملها قرار الكفاية^[10] (Adequacy Decision) بموجب المادة 45 تستفيد من حرية نقل البيانات إليها دون قيود إضافية، في حين كانت الدول غير المشمولة مطالَبة باعتماد آليات قانونية تكميلية تضمن مستوى حماية مماثل لما هو معتمد داخل الاتحاد الأوروبي.

وفي يوليوز 2020، أصدرت محكمة العدل الأوروبية حكمها الشهير في قضية "شريمس الثانية^[11]" (Schrems II)، الذي مثّل منعطفًا جوهريًا في نظام النقل الدولي للبيانات الشخصية، بما في ذلك البيانات الصحية.

فقد قضت المحكمة بـ إبطال "قرار الدرع الخصوصي^[12]" (Privacy Shield) المبرم بين الاتحاد الأوروبي والولايات المتحدة الأمريكية^[13]، معتبرةً أن التشريعات الأمريكية لا توفر مستوى الحماية المكافئ لما تنص عليه المادة 45 من اللائحة العامة لحماية البيانات (GDPR)، وبالتالي لم يعد بالإمكان الاعتراف بالولايات المتحدة كدولة تضمن حماية كافية للبيانات الشخصية. وفي المقابل، أكدت المحكمة صحة استخدام البنود التعاقدية القياسية^[14] (Standard Contractual Clauses – SCCs) كآلية قانونية بديلة وفقًا للمادة 46 من اللائحة، غير أنها اشترطت اتخاذ "تدابير تكميلية" (Supplementary Measures) لضمان سد أي فجوات في الحماية قد تنتج عن القوانين الوطنية للدولة المستقبِلة للبيانات^[15].

إلا أن الحكم، رغم تأكيده على ضرورة هذه التدابير، لم يُحدّد طبيعتها أو أنواعها أو آليات تقييمها، مما خلق حالة من الغموض القانوني والتطبيقي لدى المؤسسات العاملة في مجال نقل البيانات عبر الحدود، وخصوصًا تلك التي تتعامل مع البيانات الحساسة مثل البيانات الصحية، حيث بات لزامًا عليها إجراء تقييمات دقيقة لمستوى الحماية في الدول المستقبلة قبل أي عملية نقل.

كان لهذا الحكم أثرٌ كبير على نقل البيانات الصحية خاصةً. فخلال جائحة كوفيد-19 مثلاً، ازدادت الحاجة لتبادل البيانات الصحية الدولية لدعم البحث الطبي والتجارب السريرية. وقد أشار الباحثون إلى أن التدابير التنظيمية المشدّدة قد تدفع بعض الجهات (مثل CNIL الفرنسية) إلى التوصية بمنع نقل أي بيانات صحية خارج الاتحاد إلا إلى جهات تخضع بالكامل للقانون الأوروبي^[16].

ومع ذلك، أكّد آخرون أن بنود SCC لا تزال أداة قانونية مفيدة لتمكين نقل البيانات الصحية عبر الحدود، مشددين على أهميتها في السياقات المشددة التنظيمية (مثل التجارب السريرية والأبحاث الطبية). وبالفعل، اعتمدت المفوضية الأوروبية صيغاً جديدة للبنود التعاقدية القياسية في يونيو 2021 لتواكب متطلبات اللائحة (بما في ذلك مقاربة تعتمد على مخاطر النقل وإجراء تقييمات أثرية)، وقد وصفها الباحثون بأنها توفر 'ضمانات مناسبة' وحلولاً مرنة تدعم تبادل البيانات الصحية عبر الشراكات الدولية في الأبحاث السريرية^[17].

لذلك، أصبح لزاماً على مُصدّري البيانات في الاتحاد الأوروبي التأكد من اتخاذ التدابير التقنية والتنظيمية الكافية للحفاظ على حماية البيانات عند النقل إلى خارج المنطقة^[18]. ورغم أن الحكم تحدّث عن 'تدابير تكميلية' دون أن يحدّدها، فقد أكّدت تحليلات قانونية أن هذه التدابير ليست إضافات جديدة بقدر ما هي جزء من متطلبات الأمان الأساسية في اللائحة. فالمادة 32 من اللائحة نفسها تفرض على الجهات المعالجة إجراء تقييم للمخاطر وتنفيذ التدابير الفنية والتنظيمية الضرورية (مثل التشفير وإخفاء الهوية) لضمان مستوى أمان مناسب.

وقد وجدت لجنة حماية البيانات الأوروبية  (EDPB) في توصياتها أن التدابير المقترحة كمكمّلات في الواقع تندرج ضمن الممارسات الروتينية المطلوبة أساساً بموجب المادة 32. إذ صنّفت توصياتها عدداً من الإجراءات التقنية والتنظيمية (مثل التشفير وحماية البيانات بتجزئتها) على أنها تدابير تكميلية، لكنها أشارت صراحةً إلى أن التدابير التقنية فقط مثل التشفير الآمن قادرة على منع وصول السلطات الأجنبية إلى البيانات.

وقد قدّمت الهيئة الأوروبية نهجاً منهجياً في توجيهاتها، يقضي أولاً بتوثيق جميع عمليات نقل البيانات وتحديد الأدوات القانونية المستخدمة (الاعتدال أو بنود مناسبة تحت المادة 46 أو استثناءات المادة 49). ثم يجب إجراء ما يعرف بـ«تقييم أثر النقل^[19]» (Transfer Impact Assessment) لتقييم مدى فاعلية الضمانات المعتمدة في ظل قوانين الطرف المستقبِل. إذا تبين من التقييم أن أداة المادة 46 وحدها لا تحقق حماية معادلة، فيجب على المصدر والمستورد معاّ البحث عن تدابير إضافية «تكمل» الحماية، بحيث يُتيح الجمع بينها مستوى حماية مكافئاً للمعايير الأوروبية.

وفي 10 يوليو 2023، اعتمدت المفوضية الأوروبية قرار اعتدال^[20] جديداً يطلق عليه إطار الخصوصية بين الاتحاد الأوروبي والولايات المتحدة^[21] (DPF). حيث أقر بأن الولايات المتحدة أصبحت توفر مستوى حماية «مناسباً» للبيانات المنقولة من الاتحاد الأوروبي إلى شركات أمريكية مشاركة في هذا الإطار. وقد استند هذا القرار إلى تعديل أمريكي أساسي صدر في أكتوبر 2022 (القرار التنفيذي ^[22]14086)، والذي فرض قيوداً جديدة على وصول أجهزة الاستخبارات الأمريكية إلى بيانات الأفراد الأوروبيين، مقيداً ذلك بما هو «مطلوب ونسبي» فقط. كما أنشأت الولايات المتحدة آليتين مستقلتين للتظلم وفض المنازعات بحقوق الأفراد الأوروبيين: الأولى عبر مسؤول لحماية الحريات المدنية داخل مجتمع الاستخبارات^[23] الأمريكية (CLPO) للنظر في الشكاوى، والثانية عبر محكمة جديدة مستقلة^[24] (DPRC) لها سلطة إلزامية على وكالات الاستخبارات لإعادة حقوق الأفراد أو حذف بياناتهم إذا وجدت انتهاكات.

ينطوي DPF على عديد المزايا؛ فهو يبسط المتطلبات القانونية للشركات الأمريكية الراغبة في التعامل مع مؤسسات صحية أوروبية، ويسهل تبادل البيانات الصحية عبر الأطلسي بإطار قانوني موحد. إذ يمكن للمؤسسات الصحية الأوروبية أن تنقل بياناتها إلى نظيراتها الأمريكية المشاركة بثقة أكبر في التزام هذه الأخيرة بمعايير مماثلة GDPR. كما يُنظر إلى الإطار على أنه خطوة نحو مواءمة الأنظمة القانونية، ويحتمل أن يعزز الثقة بين المرضى والشركاء عبر الحدود.

غير أن الإطار الجديد لا يخلو من تحديات ومخاوف قانونية. فبالرغم من إدخال التعهدات والآليات الجديدة، يرى بعض المختصين أنه ما يزال يستند إلى قرارات تنفيذية قابلة للتغيير ولا يحلّ بشكل شامل القضايا الجوهرية التي أدت إلى إبطال الأطر السابقة. فعلى سبيل المثال، لا يزال قانون الاستخبارات الأمريكي (لا سيما القسم 702 منFISA) لم يُعدل، ولا يزال قانونCLOUD Act يجيز وصول السلطات إلى بيانات مخزَّنة في الخارج دون ضوابط إجرائية واضحة. وقد أثارت جهات مثل لجنة حماية البيانات في بافاريا (Bayern DPA) شكوكاً حول مدى تنفيذ الإجراءات التنفيذية الأمريكيّة وضمان التعويضات الفعّالة للأفراد. كما تساءل كثيرون عن مدى استقلالية محكمة المراجعة الجديدة (DPRC)، لا سيما وأن قضاءها تابع لوزارة العدل الأميركية وليس جهة قضائية مستقلة بالكامل ^[25].

المطلب الثاني: التجارب الأجنبية في الإفصاح الدولي عن المعلومات الصحية

يشكل موضوع الإفصاح الدولي عن المعلومات الصحية إحدى أبرز القضايا التي تواجهها الأنظمة القانونية المعاصرة في ظل تصاعد الاعتماد على البيانات في مجالات البحث الطبي والذكاء الاصطناعي، وتزايد الحاجة إلى تبادلها عبر الحدود لخدمة المصلحة الصحية العامة.

غير أن هذا التبادل يثير في الوقت ذاته إشكاليات معقدة تتعلق بحماية الخصوصية وضمان أمن البيانات، خاصة عندما تختلف مستويات الحماية القانونية بين الدول. ولتجاوز هذه التحديات، اتجهت العديد من التشريعات المقارنة إلى وضع أطر خاصة لتنظيم عمليات نقل البيانات الصحية دولياً، تجمع بين مقتضيات الحماية ومتطلبات التعاون العلمي.

وفي هذا الإطار، يُعنى هذا المطلب بدراسة بعض التجارب الأجنبية الرائدة في هذا المجال، وبخاصة التجربتين البريطانية واليابانية، لما تقدمانه من نماذج مختلفة في مقاربة مسألة الموازنة بين حماية الخصوصية وتيسير تداول البيانات الصحية عبر الحدود، مع استخلاص الدروس التي يمكن أن يستفيد منها المغرب في تطوير نظامه الوطني لحماية المعطيات ذات الطابع الصحي.

الفقرة الأولى: التجربة البريطانية

سعت المملكة المتحدة إلى تعزيز قطاعات الأبحاث في العلوم الصحية والذكاء الاصطناعي من خلال تبني بيئة تنظيمية تشجع على تبادل البيانات الصحية دولياً مع الحفاظ على حقوق الأفراد في الخصوصية. غير أن التوازن بين تسهيل تدفق البيانات وحماية الحقوق لم يتحقق دائماً؛ إذ أسهمت عوامل داخلية كعدم توحيد القوانين ونقص الموارد، وعوامل خارجية مثل تشريعات حفظ البيانات محلياً وتباين المتطلبات القانونية بين الدول، في جعل نقل البيانات الصحية عبر الحدود عملية معقدة ومثقلة بالقيود القانونية.

في هذا الإطار، يُعد قانون السرية^[26] (Confidentiality Law) أحد الأعمدة الجوهرية في النظام القانوني البريطاني، إذ تُعتبر البيانات الصحية من أكثر أنواع المعلومات الشخصية حساسية، وتشمل تفاصيل طبية وسجلات سريرية دقيقة تتطلّب درجات عالية من الحماية القانونية والأخلاقية. ويقرّ القانون بأن المعلومات التي يُفصح عنها الشخص لآخر في إطار علاقة ثقة (مثل علاقة المريض بطبيبه) تُعامل كأسرار مهنية يحظر إفشاؤها دون إذن صريح. هذا الالتزام، المعروف تاريخيًا بـ«واجب السرية» (Duty of Confidentiality)، نشأ في محاكم العدالة الملكية لضمان حماية خصوصية المرضى وتعزيز ثقتهم بمقدّمي الرعاية الصحية. ويُعدّ أي إفشاء لتلك المعلومات دون مبرر قانوني خرقًا للواجب يترتّب عليه مسؤولية مدنية أو جزائية.

ورغم غياب نصّ تشريعي يمنح الأفراد حقًا صريحًا في الخصوصية، فقد أقرّ القضاء البريطاني بدعوى «سوء استخدام المعلومات الخاصة» المتأثرة بالمادة الثامنة من الاتفاقية الأوروبية لحقوق الإنسان التي تكفل الحق في الحياة الخاصة. ويُنظر في هذه الدعوى وفق معيارين:

ü       ما إذا كان للمدعي توقع معقول للخصوصية بشأن البيانات المعنية.

ü       موازنة هذا التوقع مع مصالح أخرى مثل حرية التعبير أو المصلحة العامة.

كما يُلزم قانون حقوق الإنسان^[27] لعام 1998 الجهات الحكومية باحترام الحق في الخصوصية عند التعامل مع البيانات الصحية وعدم انتهاكه إلا لضرورة قانونية واضحة.

أما الإطار الرسمي لنقل البيانات الصحية فيخضع لأحكام اللائحة العامة البريطانية لحماية البيانات^[28]  (UK GDPR) وقانون حماية البيانات^[29] لعام 2018، حيث يتعيّن على كل جهة تنوي نقل بيانات صحية شخصية إلى خارج المملكة المتحدة أن تلتزم بهذه الأنظمة إلى جانب قوانين السرية والخصوصية. وتقوم القاعدة الأساسية على أن أي نقل دولي للبيانات يجب ألا يقلل من مستوى الحماية الممنوح للأفراد داخل المملكة المتحدة. وتشمل الآليات القانونية لذلك:

ü       قرارات الكفاية (Adequacy Decisions)، التي تصدرها الحكومة بعد التأكد من أن الدولة المستقبلة توفر حماية مكافئة.

ü       الضمانات المناسبة (Appropriate Safeguards) مثل الاتفاقيات النموذجية (UK IDTA) أو قواعد الشركات الملزمة (BCRs).

ü       الاستثناءات المحدودة (Article 49) التي تسمح بالنقل في حالات خاصة، مثل الموافقة الصريحة أو الضرورات الصحية أو المصلحة العامة.

ويُلزم القانون الجهات التي تعتمد الضمانات بإجراء تقييم مسبق للمخاطر (Transfer Impact Assessment) للتأكد من أن الحماية في الدولة المستقبلة لا تقل جوهريًا عن معايير المملكة المتحدة. وقد أبرز حكم Schrems II أهمية هذا المبدأ بتأكيده أن الأدوات القانونية وحدها لا تكفي دون ضمانات فعلية تكافئ حماية الاتحاد الأوروبي.

رغم هذا الإطار المتطور، تُوجَّه انتقادات عدّة إلى النظام البريطاني، أبرزها عدم اعترافه بخصوصية الأبحاث العلمية كفئة خاصة من المعالجة، ما يجعل الباحثين خاضعين للشروط العامة الصارمة لنقل البيانات، ويقيد التعاون الدولي في الأبحاث الطبية. كما يواجه نظام قرارات الكفاية انتقادات تتعلق ببطء إجراءات التقييم وقلة عدد الدول المعترف بها (منها الولايات المتحدة، الصين، أستراليا، وجنوب أفريقيا)، مما يُجبر المملكة المتحدة على اللجوء إلى آليات بديلة معقدة. وتبقى قرارات الكفاية نفسها عرضة للطعن القضائي، كما حدث في النزاعات السابقة بين أوروبا والولايات المتحدة^[30].

استجابةً لهذه التحديات، أطلقت الحكومة البريطانية إصلاحات تشريعية لتعزيز تدفقات البيانات الدولية. ففي يناير 2022، أنشأت المجلس الاستشاري الدولي لنقل البيانات^[31] (International Data Transfer Expert Council) لتقديم المشورة بشأن سياسات النقل الآمن. واستنادًا إلى توصياته، قدم البرلمان مشروع قانون حماية البيانات والمعلومات الرقمية^[32] (DPDI Bill) سنة 2023، الذي اقترح اختبارًا جديدًا يسمى اختبار حماية البيانات^[33] (Data Protection Test) يهدف إلى ضمان أن مستوى الحماية في الدولة الثالثة ليس أدنى بدرجة جوهرية من الحماية البريطانية، إضافة إلى توسيع صلاحيات الوزير لاعتماد قرارات كفاية أكثر مرونة.

ورغم عدم إقرار المشروع بعد حلّ البرلمان في صيف 2024، فقد أعيد طرح مضامينه في قانون استخدام البيانات والوصول إليها^[34] (Data Use and Access Bill) في أكتوبر 2024، الذي يسعى إلى جعل النظام البريطاني أكثر مرونة ومواكبًا للتجارة الرقمية.

يمكن للمغرب الاستفادة من التجربة البريطانية في عدة مجالات:

تعزيز الدور الاستشاري الدولي: توسيع صلاحيات اللجنة الوطنية لحماية المعطيات الشخصية لتشمل تقييم الأطر القانونية في الدول الأجنبية، بالتنسيق مع هيئات مثل مجلس حماية البيانات الأوروبي ومنظمة التعاون الاقتصادي والتنمية.

وضع قواعد معيارية خاصة بالأبحاث الصحية: اعتماد شروط تعاقدية معيارية لنقل البيانات الصحية لأغراض البحث العلمي تضمن الخصوصية والأمان.

إعداد نماذج عقود متخصصة: توفير عقود موحدة لعمليات النقل الصحي الدولي مصحوبة بإرشادات قانونية واضحة من اللجنة الوطنية.

إدراج أحكام قانونية صريحة للبحث العلمي: تعديل القانون رقم 09.08 لإضافة نص يسمح بنقل البيانات الصحية لأغراض البحث، بشرط وجود ضمانات تقنية وتنظيمية كالتشفير وحماية البيانات منذ التصميم.

الفقرة الثانية: التجربة اليابانية

يعد قانون حماية المعلومات الشخصية^[35] (APPI) الإطارَ القانوني الرئيسي في اليابان لتنظيم التعامل مع البيانات الشخصية، ويشمل ذلك المعلومات الطبية والصحية، ويسري تطبيق هذا القانون على أي جهة (منشأة طبية أو مقدم خدمة صحية أو شركة تقنيات صحية) تدير قاعدة بيانات معلومات شخصية بغرض تجاري في اليابان، كما يشمل الجهات الأجنبية التي تقدم خدمات أو سلعًا لمقيمين في اليابان حتى لو لم يكن لها وجود فعلي داخل اليابان،يُلزم القانون هذه الجهات بتحديد غرض استخدام البيانات الشخصية والإفصاح عنه، وعدم استخدام البيانات خارج هذا الغرض المُعلن دون موافقة صريحة مسبقة من صاحبها. كما يمنع القانون التعامل مع المعلومات الصحية الحساسة للفرد (مثل التاريخ الطبي أو الحالات المرضية) دون موافقة صريحة من صاحب البيانات^[36].

كما أصدرت اليابان كذلك قانون البنية التحتية الطبية للجيل القادم (NGMIA) لتسهيل استخدام ثانوي للبيانات الصحية في البحث الطبي^[37]، وهو يتيح للمؤسسات الطبية توفير بيانات المرضى غير المُعرفة أو المعروفة بشكل جزئي (مُجهولة أو مشفرة) لأغراض البحث والتطوير، عبر آلية عدم معارضة  وسلسلة من المتطلبات الإدارية (شهادات اعتماد جهات معالجة بيانات طبية). فأمكن بفضله لمؤسسات بحثية وشركات دوائية معتمدة الوصول إلى قواعد بيانات طبية موحدة تمَّ إنشاؤها من قبل معالجات معتمدة للبيانات الصحيّة. ومع ذلك، تجدر الإشارة إلى أن هذا القانون يعالج استخدام البيانات داخليًا في البحث العلمي ولا يحتوي على أحكام خاصة بالنقل الدولي للبيانات، مما يعني أن قواعد الـAPPI العامة تظل سارية على أي مشاركة بيانات صحية إلى الخارج^[38].

فوفقًا لهذا القانون، يُشترط الحصول على موافقة صريحة مسبقة من صاحب البيانات قبل نقل أي بيانات شخصية إلى طرف ثالث خارج اليابان، وعند طلب الموافقة، يجب على المزود الإفصاح لصاحب البيانات عن ملخص لقوانين وحماية المعلومات في الدولة الأجنبية المتلقية، وذكر التدابير الأمنية المطبقة هناك، وأي معلومات إضافية ضرورية لضمان موافقة واعية^[39].

إلا أن هناك استثناءات محدودة لهذه القاعدة، فإذا كان النقل ضروريًا لحماية حياة الفرد أو صحته وكان من الصعب الحصول على موافقته، فيجوز تبادل البيانات دون موافقة مُسبقة، كما يعفى المزود من طلب الموافقة إذا كان المتلقي في دولةٍ يُقرّتها مفوضية حماية البيانات اليابانية بأنها توفر حماية كافية (مثل دول الاتحاد الأوروبي والمملكة المتحدة حالياً)، كما يمكن كذلك للمؤسسات اليابانية والمتلقية الأجنبية الاتفاق على تدابير تضمن الامتثال المتبادل لأحكام الـAPPI (على غرار اعتماد أطر دولية كالـCBPR التابع لمنتدى تعاون آسيا والمحيط الهادئ)، مما يعفيهما من طلب موافقة جديدة. بشكل عام، يظل نقل البيانات الصحية (التي تُعد «خاصة» وحساسة) إلى الخارج خاضعًا لنفس قواعد حماية البيانات الدولية التي حددها الـAPPI، ما يعني أنه يجب استيفاء شروط موافقة صاحب البيانات أو استثناءات القانون للقيام بهذا النقل.

من الأمثلة على كيفية تطبيق هذا القانون، أنه إذا شارك طبيب ياباني نتائج فحوصات أو صورًا طبية لمريض ياباني مع طبيب آخر في مستشفى مختلف داخل اليابان، فإن الـAPPI يتطلب عمومًا موافقة المريض المسبقة لهذه المشاركة كونها نقل لبيانات حساسة إلى طرف ثالث، ومع ذلك، لا يوجد أثر لبنود النقل الدولي هنا لأن جميع الأطراف داخل اليابان، فيلغي ذلك الحاجة لموافقة خاصة بالنقل خارج الدولة.

إذا شارك الطبيب الياباني بيانات مريضه (نتائج فحوصات أو صور) مع طبيب بمستشفى أجنبي، فإن القانون يلزم مؤسسات اليابان بالحصول على موافقة المريض قبل إجراء هذه المشاركة. كما تندرج هذه المشاركة تحت أحكام النقل الدولي بموجب المادة 28 من الـAPPI، فيلزم حينئذٍ أيضًا الحصول على موافقة المريض على نقل بياناته للخارج. ويجب حينها إبلاغه بمعلومات عن نظام حماية البيانات في الدولة الأجنبية والإجراءات المتخذة هناك. وفي حالات الطوارئ (حماية الحياة أو الصحة)، أو إذا كانت الدولة متقدمة بحماية بيانات معادلة (مثل دول الاتحاد الأوروبي والمملكة المتحدة)، أو في حال وجود اتفاق يضمن التوافق مع الـAPPI، قد يسقط شرط الموافقة^[40].

وللقارئ أن يستحضر حالة فرضية مفادها أن طبيبًا يابانيًا يساعد طبيبًا في دولة أخرى في علاج مريض في تلك الدولة، إذا قام الطبيب الياباني بتحليل أو تلقي بيانات صحية حساسة للمريض الأجنبي (مثل صور أشعة من المستشفى الأجنبي)، فيجب عليه الحصول على موافقة المريض على جمع تلك البيانات. ثم إذا أراد الياباني مشاركة نتائج تشخيصه مع الطبيب الأجنبي، فتنطبق عليه نفس قواعد النقل الدولي: يلزم موافقة المريض على مشاركة معلوماته مع الخارج. ومن الملاحظ في هذه الحالة أن مطالبة الطبيب الأجنبي بشرح قوانينه لحصول المريض على «موافقة واعية» أمر غير عملي، مما يبرز كيف أن قوانين الخصوصية قد تشكل عقبة أمام التعاون الطبي الدولي^[41].

أما في حالة تطبيق صحي رقمي، فإن المستخدم يتعاقد (مريض أو عميل صحي) مع مزود خدمة رقمية (X)،  حيث يجب على هذا المزود الحصول على موافقة صريحة من المستخدم عند التسجيل على التطبيق لجمع بياناته الصحية. فإذا استعان المزود بجهة خارجية (Y) لمعالجة البيانات ضمن هدفه الأصلي (مثلاً خدمة استضافة أو تحليل إحصائي)، فيُعد ذلك «تعهيدًا» (outsourcing) ولا يتطلب موافقة إضافية إن كان Y يَستخدم البيانات فقط لتحقيق غرض X. أما إذا أراد الطرف الثالث Y استخدام بيانات المستخدم لأغراض أخرى (مثلاً تدريب ذكاء اصطناعي عام)، فحينها يجب على X الحصول على موافقة منفصلة من المستخدم.

وأما إذا كان المزود الرقمي أجنبيًا دون فرع ياباني^[42]، فلا يزال الـAPPI ساريًا إذا كان يتعامل مع بيانات شخص ياباني. فلو جمع المزود الأجنبي بيانات المستخدم الياباني مباشرة، يجب أن يكون قد حصل على موافقة لجمع هذه البيانات، لكن هذا الفعل لا يُعدُّ «نقلًا إلى طرف ثالث» لكونه جمعًا مباشرًا من المصدر. ومع ذلك، إذا كان هناك فرع في اليابان أو خادم بيانات في الخارج، فحينها يعتبر نقل البيانات إلى الشركة الأم الأجنبية نقلًا دوليًا يوجب موافقة المستخدم. وتوضيحا لذلك، إذا نقل فرع ياباني للمنصة الرقمية بيانات المستخدم إلى خوادم الشركة الأم في الخارج، فيلزم الحصول على موافقة المستخدم على هذا النقل.

إذا قام المزوّد باستضافة خادم لتخزين البيانات^[43] (Stor) خارج اليابان وكان هذا الخادم مملوكًا ومُدارًا من قِبله، فإن ذلك لا يُعدّ نقلاً للبيانات إلى طرف ثالث، وبالتالي لا يستلزم الحصول على موافقة إضافية من أصحاب البيانات، وبالمثل، حتى في حال استخدام مزوّد سحابي أجنبي طالما أن هذا المزوّد لا يطّلع فعليًا على محتوى البيانات المخزّنة، فإن العملية لا تُعتبر نقلاً جديدًا للبيانات وفقًا لتفسير القانون.

يظهر إذن كيف يضع الإطار القانوني الياباني حماية الخصوصية كأولوية قصوى على حساب مشاركة البيانات لأغراض حماية الحياة والصحة. فالـAPPI يشترط موافقة صريحة حتى في حالات طبية قد تتطلب سرعة التصرف، مما يضيف عبئًا كبيرًا على مقدمي الرعاية الصحية لتأمين هذه الموافقات والإجراءات الإدارية، وقد نبه مجموعة من الباحثين إلى أن تطبيق مثل هذه القوانين قد يعمل كـ«حاجز غير جمركي» أمام تبادل البيانات الصحية عالميًا. من ذلك، تحميل المادة 18(3) من الـAPPI مقدم الخدمة إثبات وجود حالة طارئة (تهديد للحياة أو الصحة) لتفعيل استثناء الحصول على موافقة المريض، وهذا العبء الإثباتي الصارم قد يثني مقدمي الخدمات عن التعاون الدولي خوفًا من المساءلة القانونية.

من خلال التجربة اليابانية في تنظيم حماية البيانات الصحية، يمكن للمغرب أن يستخلص مجموعة من الدروس الجوهرية لتحقيق توازن فعّال بين حماية الخصوصية وتشجيع البحث العلمي. فقد أظهر النموذج الياباني أن الإفراط في الحماية القانونية — مثل اشتراط الموافقة الصريحة في كل حالة نقل أو مشاركة للبيانات — قد يؤدي عملياً إلى إبطاء التعاون الطبي الدولي ويشكّل عائقاً أمام الابتكار الصحي.

لذلك، يُستحسن أن يتبنّى المشرّع المغربي مقاربة مرنة قائمة على تقييم المخاطر بدلاً من الالتزام الشكلي بالموافقة، مع وضع استثناءات دقيقة تسمح باستخدام البيانات الصحية لأغراض البحث أو الصحة العامة ضمن ضمانات قوية كالتشفير وعدم التعرف المباشر على الهوية. كما يمكن للمغرب أن يستلهم من اليابان فكرة إنشاء إطار قانوني خاص بالبيانات الصحية يُكمّل القانون رقم 09.08، ويمنح اللجنة الوطنية لمراقبة حماية المعطيات سلطة اعتماد الجهات المعالجة ووضع معايير وطنية للأمن والحوكمة.

خاتمة

تكشف الدراسة أن بناء منظومة فعالة لحوكمة البيانات الصحية لا يمكن أن يتحقق إلا من خلال مقاربة شمولية تُدمج بين الجوانب التقنية والقانونية والمؤسساتية. فالخصوصية والموافقة المستنيرة تمثلان أساس الثقة العامة، بينما يشكل الأمن السيبراني والسيادة الرقمية ركيزتي الحماية المستدامة لأي نظام وطني للبيانات الصحية.

وقد أبرزت التجارب المقارنة أن نجاح الدول في هذا المجال يرتكز على وضوح الإطار التشريعي، وتكامل البنية التحتية الرقمية، ووجود هيئات رقابية قوية، وآليات شفافة لنقل البيانات الدولية.ضبط الموافقة المستنيرة على أساسٍ سياقيٍّ قابل للتدرّج بين الموافقة الخاصة والآليات المبنية على تقييم المخاطر، مع شفافية قابلة للتحقق.

كما تظهر هذه الورقة أن تحقيق التوازن بين الانفتاح البحثي وحماية الخصوصية يقتضي مقاربة متعددة المستويات:

ü       إرساء أمن سيبراني طبقيّ يزاوج بين هندسة شبكية مُجزّأة، وتدبير دقيق لحقوق الولوج، وآليات مراقبة داخلية قريبة من مصادر البيانات؛

ü       بناء سيادة رقمية عملية عبر توطين البيانات الصحية الحساسة في بنى وطنية معتمدة، وتفعيل اعتماد مزوّدي السحابة وفق معايير أمنية وتشغيلية واضحة؛

ü       تبنّي أدوات نقل دولي مُحكَمة مثل SCCs أو BCRs مدعومة بتقييمات أثر للنقل وتدابير تكميلية تقنية (التشفير القوي، إخفاء الهوية، وتقليل البيانات).

بناءً على ذلك، يحسن بالمغرب أن بشرع في القيام بما يلي: تحديث القانون 09.08 بنصوص خاصة بالبيانات الصحية والبحث العلمي، وإعداد نماذج عقود معيارية للنقل الدولي مرفقة بإرشادات لتقييم الأثر؛ تمكين اللجنة الوطنية من صلاحيات تقييم أطر الدول المتلقّية وإصدار لوائح قطاعية للصحة؛ تسريع إنشاء سحابة حكومية صحية ومراكز بيانات وطنية، مع خارطة طريق للتصديق والامتثال؛ وتعزيز ثقافة الثقة العامة عبر سياسات إفصاح ومساءلة فعّالة. بهذه الحزمة المتكاملة يمكن للمغرب الجمع بين صرامة الحماية ومرونة الابتكار، وترسيخ مكانته شريكًا موثوقًا في الاقتصاد الصحي الرقمي.

---

[1] عتتاري، عبد العزيز، و جاد المصطفى. "تقرير حول الندوة الوطنية في موضوع 'الحق في الحصول على المعلومة وحماية المعطيات الشخصية بين القانون رقم 13-31 والقانون رقم 09-08' المنعقدة بالمعهد العالي للقضاء بالرباط وذلك بتاريخ 16 أكتوبر 2019." مجلة القانون والأعمال، ع53، 2020، ص. 237-257. مشعل، محمد أحمد سلامة. "الحق في محو البيانات الشخصية: دراسة تحليلية في ضوء لائحة حماية البيانات بالاتحاد الأوروبي GDPR وأحكام المحاكم الأوروبية." مجلة الدراسات القانونية والاقتصادية، مج3، ع2، 2017، ص. 1-293.

[2] الاتحاد الأوروبي. اللائحة العامة لحماية البيانات (General Data Protection Regulation - GDPR). اللائحة (EU) رقم 2016/679 للبرلمان الأوروبي والمجلس، الصادرة في 27 أبريل 2016، والمنشورة في الجريدة الرسمية للاتحاد الأوروبي L 119 بتاريخ 4 مايو 2016، الصفحات 1–88.

[3] الاتحاد الأوروبي. توجيه 95/46/EC للبرلمان الأوروبي والمجلس بشأن حماية الأفراد فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات. الجريدة الرسمية للاتحاد الأوروبي L 281، الصادرة في 23 نوفمبر 1995، الصفحات 31–50.

[4] الاتحاد الأوروبي. القواعد المؤسسية الملزمة (Binding Corporate Rules - BCRs) كآلية لنقل البيانات الشخصية خارج الاتحاد الأوروبي وفقًا للائحة العامة لحماية البيانات (GDPR). المادة 47 من اللائحة (EU) رقم 2016/679 الصادرة عن البرلمان والمجلس الأوروبيين في 27 أبريل 2016، الجريدة الرسمية للاتحاد الأوروبي، L 119، 4 مايو 2016، الصفحات 1–88.

[5] راشد، طارق جمعة السيد. "الحماية القانونية للحق في خصوصية البيانات الجينية: دراسة تحليلية مقارنة." المجلة القانونية، مج8، ع12، 2020، ص. 3907–4022.

[6] International Organization for Standardization. ISO 31000:2018—Risk Management: Guidelines. ISO, 2018. International Organization for Standardization and International Electrotechnical Commission. ISO/IEC 27701:2019—Security Techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for Privacy Information Management — Requirements and Guidelines. ISO, 2019. United Nations Educational, Scientific and Cultural Organization (UNESCO). Recommendation on the Ethics of Artificial Intelligence. UNESCO, 2021. National Institute of Standards and Technology (NIST). Artificial Intelligence Risk Management Framework (AI RMF 1.0). U.S. Department of Commerce, 2023. International Organization for Standardization and International Electrotechnical Commission. ISO/IEC 42001:2023—Information Technology — Artificial Intelligence — Management System. ISO, 2023.

[7] Compagnucci, Marcelo Corrales, Mark Fenwick, and Helena Haapio. “Unlocking the Potential of Binding Corporate Rules (BCRs) in Health Data Transfers.” International Transfers of Health Data, edited by Marcelo Corrales Compagnucci and Mark Fenwick, Springer, 2024.p.41-53.

[8] Ibid.

[9] Court of Justice of the European Union (CJEU). Maximillian Schrems v. Data Protection Commissioner (Schrems I), Case C-362/14. Judgment of 6 October 2015, ECLI:EU:C:2015:650.

[10] هو قرار تصدره المفوضية الأوروبية (European Commission) تُقِرّ فيه بأن دولةً غير عضو في الاتحاد الأوروبي — أو إقليمًا أو منظمة دولية معينة — توفّر مستوى من الحماية للبيانات الشخصية يعادل تقريبًا ذلك المضمون في الاتحاد الأوروبي.

[11] Court of Justice of the European Union (CJEU). Data Protection Commissioner v. Facebook Ireland Ltd and Maximillian Schrems (Schrems II), Case C-311/18. Judgment of 16 July 2020, ECLI:EU:C:2020:559.

[12] آلية Privacy Shield كانت ترتكز على قرار كفاية أصدرته European Commission في 12 يوليو 2016 (Decision 2016/1250) باعتبار أن الولايات المتحدة توفر مستوى «كافٍ» من حماية البيانات الشخصية للمواطنين الأوروبيين عند نقلها إلى كيانات أمريكية. لكن في 16 يوليو 2020، أبطلت محكمة العدل الأوروبية هذا القرار باعتباره لا يوفر حماية كافية لمواطني الاتحاد الأوروبي وخاصة فيما يتعلّق بمسائل الرقابة الاستخباراتية الأمريكية والحقّ في الطعن القضائي.

[13] Court of Justice of the European Union (CJEU). Data Protection Commissioner v. Facebook Ireland Ltd and Maximilian Schrems (Schrems II), Case C-311/18. Judgment of 16 July 2020, ECLI:EU:C:2020:559.

[14] البنود التعاقدية القياسية (SCCs) هي نصوص قانونية معتمدة من المفوضية الأوروبية، تُضاف إلى العقود المبرمة بين الجهة المصدِّرة للبيانات (داخل الاتحاد الأوروبي) والجهة المستقبِلة للبيانات (خارج الاتحاد)، بهدف ضمان أن نقل البيانات يتم وفق معايير حماية مكافئة لتلك المطبقة داخل الاتحاد الأوروبي بموجب اللائحة العامة لحماية البيانات (GDPR).

[15] التدابير التكميلية (Supplementary Measures) هي  إجراءات إضافية تُطبَّق عند نقل البيانات الشخصية إلى دول لا تتمتع بقرار كفاية، وتهدف إلى سد الثغرات الناتجة عن القوانين المحلية لتلك الدول التي قد تسمح بالوصول الحكومي إلى البيانات أو تقيد حقوق الأفراد. في سياق اللائحة العامة لحماية البيانات (GDPR) وحكم Schrems II (2020)، يُقصد بـ التدابير التكميلية (Supplementary Measures) مجموعة من الإجراءات القانونية أو التقنية أو التنظيمية التي يجب أن تُتخذ بالإضافة إلى البنود التعاقدية القياسية (SCCs)، لضمان أن نقل البيانات الشخصية إلى دولة خارج الاتحاد الأوروبي يوفّر مستوى حماية يعادل ما يكفله قانون الاتحاد الأوروبي.

[16] Compagnucci, Marcelo Corrales, Mark Fenwick, and Helena Haapio. Op.Cit. p.49 et s.

[17] Ibid.

[18] European Data Protection Board (EDPB). Recommendations 01/2020 on Measures That Supplement Transfer Tools to Ensure Compliance with the EU Level of Protection of Personal Data. Final Version, 18 June 2021. Brussels: EDPB, 2021.

[19] تقييم أثر النقل (Transfer Impact Assessment – TIA) هو تحليل منهجي يجريه مُصدّر البيانات لتقييم ما إذا كانت الدولة المستقبِلة للبيانات الشخصية تضمن مستوى حماية مكافئ لذلك المنصوص عليه في الاتحاد الأوروبي، وذلك قبل استخدام أدوات النقل المنصوص عليها في المادة 46 من اللائحة العامة لحماية البيانات (GDPR) مثل البنود التعاقدية القياسية (SCCs) أو القواعد المؤسسية الملزمة (BCRs).

[20] القرار المشار إليه هو "قرار الكفاية" (Adequacy Decision) الذي اعتمدته المفوضية الأوروبية في 10 يوليو 2023 بموجب المادة 45 من اللائحة العامة لحماية البيانات (GDPR)، ويُعرف باسم إطار الخصوصية بين الاتحاد الأوروبي والولايات المتحدة (Data Privacy Framework – DPF).  يمنح هذا القرار الشركات الأمريكية المدرجة في آلية DPF الحق في استقبال البيانات الشخصية من الاتحاد الأوروبي دون الحاجة إلى ضمانات إضافية، بشرط التزامها الصارم بمبادئ الخصوصية المعتمدة في الإطار.

European Commission. Commission Implementing Decision of 10 July 2023 Pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the Adequacy of the Protection Provided by the EU–U.S. Data Privacy Framework. Official Journal of the European Union, L 180, 17 July 2023, pp. 1–83.

[21] U.S. Department of Commerce and European Commission. EU–U.S. Data Privacy Framework (DPF). Adopted 10 July 2023. U.S. Department of Commerce, 2023. Available at https://www.dataprivacyframework.gov  (تاريخ الولوج 15/10/2025)

[22] United States. Executive Order 14086 of October 7, 2022: Enhancing Safeguards for United States Signals Intelligence Activities. Federal Register, vol. 87, no. 198, 14 Oct. 2022, pp. 62283–62288.  https://www.federalregister.gov/d/2022-22468 (تاريخ الولوج 15/10/2025)

[23] يضطلع مسؤول حماية الحريات المدنية (CLPO) بدور استقبال الشكاوى المقدَّمة من الأفراد غير الأمريكيين بشأن معالجة بياناتهم من قِبل وكالات الاستخبارات الأمريكية، والتحقيق فيها وتقديم توصيات ملزمة، وذلك تنفيذًا للمرسوم التنفيذي رقم 14086 الصادر في 7 أكتوبر 2022.

United States, Office of the Director of National Intelligence (ODNI). Civil Liberties Protection Officer (CLPO): Implementation of Executive Order 14086. ODNI, Washington, D.C., 2023. Available at https://www.dni.gov/index.php/civil-liberties-protection-officer (تاريخ الولوج 15/10/2025)

[24] أنشئت محكمة مراجعة حماية البيانات (DPRC) كآلية طعن مستقلة للنظر في قرارات CLPO، وتتمتع بصلاحيات ملزمة على وكالات الاستخبارات الأمريكية لإصدار أوامر تصحيح أو حذف البيانات عند ثبوت انتهاك الحقوق.

United States. Data Protection Review Court (DPRC) under Executive Order 14086: Enhancing Safeguards for United States Signals Intelligence Activities. Federal Register, vol. 87, no. 198, 14 Oct. 2022, pp. 62283–62288.

[25] ينظّم القسم 702 من FISA عمليات جمع المعلومات من غير المواطنين الأمريكيين خارج الولايات المتحدة، وقد أثار انتقادات بسبب نطاق المراقبة الواسع الذي يشمل البيانات المنتقلة من مزودي الخدمات الإلكترونية.

United States. Foreign Intelligence Surveillance Act of 1978 (FISA), Section 702. 50 U.S.C. §1881a. Enacted 19 Oct. 1978; amended by the FISA Amendments Act of 2008. Public Law 95-511.

أما قانون السحابة الأمريكي (CLOUD Act) فيجيز للسلطات الأمريكية الوصول إلى بيانات إلكترونية تخزَّن خارج الولايات المتحدة من قِبل مزودي الخدمة الأمريكيين، مما يثير قضايا تتعلق بالسيادة وحماية البيانات عبر الحدود.

United States. Clarifying Lawful Overseas Use of Data Act (CLOUD Act). Enacted 23 Mar. 2018, Pub. L. No. 115-141, div. V, 132 Stat. 1214. U.S. Congress.

بينما أصدرت اللجنة الإقليمية لحماية البيانات في ولاية بافاريا (BayLDA) توجيهات تقنية وقانونية بعد حكم Schrems II، أشارت فيها إلى المخاطر المستمرة المرتبطة بتطبيق القوانين الأمريكية مثل FISA و CLOUD Act.

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA). Guidance on International Data Transfers after Schrems II. Bavaria, Germany, 2021.

وبخصوص محكمة مراجعة حماية البيانات (DPRC) فقد أُنشئت بموجب القرار التنفيذي 14086 لتوفير آلية طعن للأفراد غير الأمريكيين بشأن جمع بياناتهم من قبل أجهزة الاستخبارات، لكنها تظل هيئة إدارية تابعة لوزارة العدل الأمريكية وليست سلطة قضائية مستقلة تمامًا.

United States. Data Protection Review Court (DPRC). Established under Executive Order 14086 of October 7, 2022: Enhancing Safeguards for United States Signals Intelligence Activities. Federal Register, vol. 87, no. 198, 14 Oct. 2022, pp. 62283-62288.

[26] United Kingdom. Census (Confidentiality) Act 1991, c. 6. Enacted 7 March 1991. Legislation.gov.uk. (تاريخ الولوج 15/10/2025)

[27] يهدف قانون حقوق الإنسان لعام 1998 (Human Rights Act 1998) إلى إدماج أحكام الاتفاقية الأوروبية لحقوق الإنسان (ECHR) في القانون الوطني البريطاني.

United Kingdom. Human Rights Act 1998, c. 42. Enacted 9 November 1998. Legislation.gov.uk, The National Archives.

https://www.legislation.gov.uk/ukpga/1998/42  (تاريخ الولوج 15/10/2025)

[28] تم اعتماد اللائحة العامة البريطانية لحماية البيانات بعد خروج بريطانيا من الاتحاد الأوروبي، وهي نسخة معدلة من اللائحة الأوروبية (GDPR) تضمن استمرارية الحماية للبيانات الشخصية داخل المملكة المتحدة وتنظم نقلها خارجها.

United Kingdom. United Kingdom General Data Protection Regulation (UK GDPR). Retained Regulation (EU) 2016/679 as amended by the Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019. Legislation.gov.uk, The National Archives, 2021. https://www.legislation.gov.uk/eur/2016/679  (تاريخ الولوج 15/10/2025)

[29] يشكل قانون حماية البيانات 2018 الإطار القانوني الوطني المكمل لـ UK GDPR، وينظم المعالجة المشروعة للبيانات الحساسة بما فيها البيانات الصحية، ويحدّد صلاحيات مفوضية المعلومات البريطانية (ICO).

United Kingdom. Data Protection Act 2018, c. 12. Enacted 23 May 2018. Legislation.gov.uk, The National Archives.

https://www.legislation.gov.uk/ukpga/2018/12  (تاريخ الولوج 15/10/2025)

[30] Dove, Edward S. “International Health Data Transfers in the United Kingdom: The Legal Framework.” International Transfers of Health Data, edited by Marcelo Corrales Compagnucci and Mark Fenwick, Springer, 2024. Perspectives in Law, Business and Innovation.pp.57-81.

[31] United Kingdom, Department for Digital, Culture, Media and Sport (DCMS). International Data Transfer Expert Council: Terms of Reference. Government of the United Kingdom, Jan. 2022. https://www.gov.uk/government/groups/international-data-transfer-expert-council (تاريخ الولوج 15/10/2025)

[32] United Kingdom, Parliament. Data Protection and Digital Information (No. 2) Bill 2023. Bill 265, 2022–23 Session, introduced 8 March 2023. UK Parliament Publications and Records. https://bills.parliament.uk/bills/3322   (تاريخ الولوج 15/10/2025)

[33] United Kingdom, Department for Science, Innovation and Technology (DSIT). Data: A New Direction – Government Response to Consultation. DSIT, June 2022. https://www.gov.uk/government/consultations/data-a-new-direction (تاريخ الولوج 15/10/2025)

[34] United Kingdom, Department for Science, Innovation and Technology (DSIT). Data Use and Access Bill 2024. Presented to Parliament, Oct. 2024. UK Government Publications and Records. London: HM Government, 2024.

[35] Japan. Act on the Protection of Personal Information (APPI). Act No. 57 of 30 May 2003, amended by Act No. 51 of 2020. Personal Information Protection Commission (PPC), Government of Japan. English version available at https://www.ppc.go.jp/en/legal/ (تاريخ الولوج 15/10/2025)

[36] Teramoto, S., N. Nakashima, Y. Kasai, and S. Murakami. “Legal Regulations and Outlook on Cross-Border Sharing of Medical and Health Data: A Japanese Legal Perspective.” International Transfers of Health Data, edited by Marcelo Corrales Compagnucci and Mark Fenwick, Springer, 2024. Pp.101-139.

[37] Japan. Next Generation Medical Infrastructure Act (NGMIA). Act No. 44 of 12 May 2017. Ministry of Health, Labour and Welfare (MHLW), Government of Japan. English summary available at https://www.mhlw.go.jp/english/  (تاريخ الولوج 15/10/2025)

[38] Ibid.

[39] Ibid.

[40] Ibid. p109.

[41] Ibid.

[42] Ibid.

[43] في هذا السياق، يشير المصطلح “Stor” إلى Storage أي خدمة التخزين أو خادم التخزين (Storage Server)، وغالبًا ما يُستخدم اختصارًا في الوثائق التقنية أو القانونية عند الحديث عن استضافة البيانات (Data Storage).

من أجل تحميل هذا المقال كاملا - إضغط هنا أو أسفله

 من أجل تحميل العدد 26  - إضغط هنا أو أسفله