الحماية القانونية للبيانات البيو مترية في ضوء الثورة الرقمية – رياض منيدخ

الحماية القانونية للبيانات البيو مترية في ضوء الثورة الرقمية

مقدمة :

​شهد العقدان الأخيران تزايدا غير مسبوق في استخدام البيانات البيومترية كأدوات أساسية لتحديد الهوية والتحقق منها. هذا الاستخدام ممكن وفعال بفضل التقدم الهائل في الذكاء الاصطناعي والثورة الرقمية. تعد البيانات البيومترية، بحكم طبيعتها، مفاتيح غير قابلة للتغيير لهوية الفرد، مما يجعلها أثمن أنواع البيانات وأكثرها حساسية، لارتباطها بالهوية البيولوجية الفريدة للشخص^[1]. في المقابل، يثير جمع ومعالجة وتخزين وتشفير ^[2] هذه البيانات على نطاق واسع إشكاليات قانونية وأخلاقية عميقة تتعلق بالانتهاك المحتمل لـ الحق في الخصوصية، ومخاطر إساءة الاستخدام أو الاختراق. لذا، تتمحور الإشكالية الرئيسية حول: ما مدى كفاية الإطار القانوني الحالي في توفير حماية فعالة للبيانات البيومترية في مواجهة التحديات المتزايدة للثورة الرقمية، وكيف يمكن تحقيق التوازن بين متطلبات الأمن وحقوق الخصوصية الفردية؟

​ المحور الأول: التعريف القانوني للبيانات البيومترية وتحديد شروط معالجتها.

تعد البيانات البيومترية من أكثر فئات البيانات حساسية، لكونها ترتبط بسمات جسدية أو سلوكية فريدة تميز الشخص الطبيعي مثل بصمات الأصابع والوجه والعين والصوت وغيرها، وتُستخرج عادةً بواسطة تقنيات رقمية متقدمة تمكن من تحديد الهوية بدقة عالية.^[3] وبالنظر إلى خطورة هذا النوع من المعطيات وصعوبة تغييره في حال اختراقه، فقد أحاطته التشريعات الحديثة بضمانات صارمة، إذ لا يجوز معالجته إلا بناء على أساس قانوني صريح، وفي مقدّمته الحصول على موافقة واضحة ومباشرة من الشخص المعني، أو لضرورة تقتضيها المصلحة العامة أو متطلبات الأمن أو الأغراض الصحية والطبية وفق ضوابط محددة. كما يجب أن يكون الغرض من جمع البيانات البيومترية مشروعا ومحددا بدقة، وألا تستعمل إلا في حدود الضرورة والتناسب دون توسع أو ربط ببيانات أخرى بشكل يمس بحقوق الأفراد. وتلزم القوانين الجهات المعالجة باعتماد أعلى معايير الأمن والتشفير والحد من الوصول، إضافة إلى احترام حقوق الشخص في الإخبار والوصول وسحب الموافقة وطلب المحو. ولا يسمح بالاحتفاظ بهذه البيانات إلا لمدة لا تتجاوز ما يقتضيه الغرض، مع حظر اتخاذ قرارات آلية مؤثرة على الأفراد استنادا إلى المعالجة البيومترية إلا بضمانات قوية ومراقبة بشرية، وهو ما يعكس الطبيعة الدقيقة لهذه البيانات وأهمية حمايتها في البيئة الرقمية^[4].

المحور الثاني: الإطار التشريعي الدولي والوطني للحماية

​لقد شكلت الجهود التشريعية الدولية نقطة ارتكاز قوية لحماية البيانات البيومترية، حيث أصبح النموذج الأوروبي (GDPR) معيارا دوليا في هذا المجال^[5]. فبالإضافة إلى تشديدها على شروط المعالجة، تلزم اللائحة المؤسسات بتطبيق مبادئ تقنية وقانونية إلزامية مثل الحماية بموجب التصميم (Privacy by Design)، والتي تقتضي دمج معايير حماية الخصوصية في صميم تصميم النظم والتقنيات البيومترية، إلى جانب إجراء تقييم الأثر لحماية البيانات (DPIA) قبل الشروع في أي معالجة تنطوي على مخاطر عالية^[6]. وعلى الصعيد الوطني، استجابت العديد من الدول العربية لهذا التطور بسن قوانين شاملة لحماية البيانات، مثل القانون المصري رقم 151 لسنة 2020^[7]، والقانون المغربي رقم 09-08، والتي تتضمن أحكاما خاصة للبيانات البيومترية ضمن فئة البيانات الحساسة^[8]. كما أن إنشاء سلطات رقابية مستقلة (مثل اللجنة الوطنية لمراقبة حماية المعطيات الشخصية CNDP ^[9]) هو خطوة أساسية لضمان الإشراف الفعال على عمليات المعالجة وتلقي الشكاوى وفرض العقوبات على المخالفين، مما يضمن تفعيل القواعد القانونية على أرض الواقع .كما جاء في الفصل 24 من دستور المملكة المغربية^[10] أن الحق في الحياة الخاصة وحيث إن لكل شخص معطياته ومعلوماته الخاصة يجب حمايتها من الإنتهاك وعدم التلاعب فيها بطريقة غير مشروعة مما يجعل من الفاعل المباشر في هذه الجرائم يعاقب بعقوبات مالية وحبسية وفق ما هو منصوص عليه في قانون 09.08 المتعلق بحماية المعطيات.

​المحور الثالث : التشفير البيو متري

يعد التشفير البيومتري أحد أهم التقنيات الحديثة في مجال حماية البيانات الحساسة، ويعرف أيضا باسم حماية القالب البيومتري، إذ يقوم على دمج السمات البيومترية للفرد مثل بصمات الأصابع، التعرف على الوجه، ومسح قزحية العين مع خوارزميات تشفير متقدمة بهدف رفع مستوى الأمان الرقمي. وتنبع أهميته من كون البيانات البيومترية غير قابلة للتغيير خلافًا لكلمات المرور التقليدية، مما يجعل حمايتها ضرورة قصوى في الأنظمة الحديثة.

يقوم هذا النظام على مبدأ أساسي يتمثل في تشفير البيانات البيومترية قبل تخزينها أو نقلها، بحيث تبقى محمية حتى لو تعرضت قاعدة البيانات للاختراق، لأن البيانات المشفرة لا يمكن قراءتها أو استغلالها دون المفتاح المناسب. ويتم عادة ربط السمات البيومترية بـ مفتاح تشفير أو رمز مميز يستخدم لاحقا في عمليات التحقق من الهوية. وهنا تعمل البصمة أو الوجه بمثابة مفتاح تشفير فريد، لا يمكن تشغيله إلا من طرف الشخص المعني، ما يزيد من فعالية التصديق البيومتري ويحدّ من مخاطر انتحال الهوية^[11].

كما يلعب التشفير البيومتري دورا محوريا في حماية الخصوصية، لأن البيانات الأصلية لا يمكن عكسها أو استرجاعها حتى لو تم الوصول إلى القوالب البيومترية المشفرة، وبالتالي لا يمكن إعادة إنشاء نسخة طبق الأصل من البصمة أو الوجه. وهذا يمنع إساءة الاستخدام ويقلل من احتمالات المساس بحياة الأفراد الرقمية. وتكتسب هذه التقنية أهمية خاصة في القطاعات الحساسة، مثل القطاع المصرفي والمالي، حيث يتطلب الأمر اعتمادا قويا على الهوية الرقمية وإجراءات صارمة لمنع الاحتيال والوصول غير المصرح به.

وقد أصبح التشفير البيومتري اليوم مجالا سريع التطور، تدفعه الحاجة المتزايدة إلى حلول فعالة لمشاكل الأمن المعلوماتي والخصوصية في بيئة تعتمد بشكل متزايد على أنظمة التعرف البيومتري في الهواتف الذكية والخدمات الإلكترونية والمعاملات البنكية. ويتوقع أن يستمر هذا المجال في النمو نظرا لدوره المهم في تحقيق توازن بين الأمان التقني وحماية حقوق الأفراد في العصر الرقمي.^[12]

المحور الرابع : التحديات القانونية الراهنة في ظل الثورة الرقمية

​تواجه الحماية القانونية للبيانات البيومترية تحديات بنيوية ناجمة عن طبيعة الثورة الرقمية وسرعة تطورها التقني، حيث يعد تحدي المراقبة الجماعية أحد أبرز هذه القضايا. فالاستخدام الحكومي المتزايد لأنظمة التعرف على الوجه في الأماكن العامة، يطرح إشكالية التوازن بين متطلبات الأمن والمخاطر المتعلقة بانتهاك الخصوصية الفردية، ويستدعي تحديداً دقيقا للنطاق الزمني والمكاني لاستخدام هذه التقنيات وفقا لمبدأ الضرورة والتناسب^[13]. علاوة على ذلك، يمثل تحدي الذكاء الاصطناعي والتحيز الخوارزمي خطرا خفياً، إذ يمكن للخوارزميات المعقدة المستخدمة لتحليل البيانات البيومترية أن تؤدي إلى التحيز والتمييز ضد فئات معينة، مما يتطلب تدخلا قانونيا لضمان الشفافية والمساءلة في تصميم واختبار هذه النظم قبل نشرها^[14]. وأخيرا، يبرز تحدي التنظيم العابر للحدود، حيث أن معالجة وتخزين البيانات البيومترية من قبل شركات عالمية في ولايات قضائية مختلفة يثير إشكالية القانون الواجب التطبيق والجهة الرقابية المختصة عند حدوث انتهاك، مما يستوجب مواءمة أكبر بين التشريعات الدولية والوطنية. نجد أيضا من بين التحديات سرقة البيانات البيومترية وتزويرها، لكن مستوى سهولة ذلك يعتمد على قوة التكنولوجيا وإجراءات الحماية المستخدمة. تبدأ عملية التزييف عادة بـ سرقة البيانات البيومترية عبر اختراق قاعدة بيانات أو الحصول على القوالب بطريقة غير مشروعة، وهو أمر تتفاوت صعوبته حسب أمان النظام. وبعد سرقة البيانات، يلجأ المهاجمون إلى تقنيات التزييف لإنشاء بصمات أو وجوه أو قزحيات مزيفة قادرة على خداع أنظمة المصادقة، ويعد تزييف بصمات الأصابع والتعرف على الوجه الأكثر شيوعا، بينما يبقى تزوير قزحية العين أكثر تعقيدا نظرا لدقة نمطها البيولوجي. ورغم وجود هذه المخاطر، فإن احتمالية انتحال الهوية تظل محدودة نسبيا لأنها تعتمد على نوع البيانات الحيوية المستهدفة ومستوى تطور المهاجم وقدراته التقنية، إضافة إلى قوة آليات الأمان التي يعتمدها النظام.^[15]

​ الخلاصة والتوصيات

​أثبتت الثورة الرقمية أن البيانات البيومترية هي حجر الزاوية في الهوية الرقمية، وأن حمايتها لم تعد مسألة خصوصية فردية فحسب، بل هي مسألة أمن قومي واقتصادي ورغم التطور الملحوظ في الأطر القانونية، لا تزال هناك فجوة بين سرعة التطور التكنولوجي وبطء الاستجابة التشريعية.

​التوصيات:

​سن تشريعات محددة: إصدار قوانين خاصة تنظم استخدام التقنيات البيومترية في القطاعين العام والخاص، مع وضع قواعد واضحة ومقيدة لأنظمة المراقبة الجماعية.

​تعزيز الدور الرقابي: تمكين الهيئات الرقابية المستقلة ماليًا وتقنيًا لإجراء تقييمات الأثر بشكل فعال.

​تبني المعايير التقنية القانونية: فرض التزام قانوني باستخدام تقنيات مثل التشفير، والترميز ، لتقليل التعرض للبيانات البيومترية الأصلية.

​إن الهدف النهائي هو تحقيق معادلة صعبة: استغلال الإمكانات الهائلة للتقنيات البيومترية في بناء مجتمعات أكثر أمنًا وكفاءة، دون المساس بالحقوق الأساسية للأفراد في التحكم في هويتهم وخصوصيتهم.

لائحة المراجع

الاتحاد الأوروبي، اللائحة (EU) 2016/679 للبرلمان الأوروبي والمجلس بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية نقل هذه البيانات (اللائحة العامة لحماية البيانات – GDPR)، اعتمدت بتاريخ 27 أبريل 2016، ونُشرت في الجريدة الرسمية للاتحاد الأوروبي L 119/1 بتاريخ 4 ماي 2016، ودخلت حيز التنفيذ في 25 ماي 2018.

الخيري، فواز عبد العزيز حماية البيانات الشخصية والبيومترية في العصر الرقمي: دراسة مقارنة. مركز البحوث والدراسات القانونية. 2023

أبا خليل التعاقد الإلكتروني قي ضوء القانون رقم 53.05 المتعلق بالتبادل الإلكتروني للمعطيات القانونية

رمضان، عمر السعيد. (2021). الحماية القانونية للبيانات الشخصية والبيومترية في التشريع المقارن. دار النهضة العربية.

عمر الموريف الوجيز في قانون الأرشيف شروح في القانون رقم 69.99 والمرسوم التطبيقي

مواقع إلكترونية

التشفير البيومتري وحماية البيانات الشخصية مقال منشور بcontinuum GRC رابط المقال https://continuumgrc.com/ar/biometric-encryption-and-protecting-personal-data/ تاريخ الاطلاع 30/11/2025 على الساعة 23:25

قوانين

مصر، القانون رقم 151 لسنة 2020 بإصدار قانون حماية البيانات الشخصية، الصادر بتاريخ 15 يوليوز 2020، والمنشور بالجريدة الرسمية العدد 28 مكرر (و) بتاريخ 20 يوليوز 2020.

القانون رقم 09.08 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي، الصادر بالظهير الشريف رقم 1.09.15 بتاريخ 22 صفر 1430 (18 فبراير 2009)، الجريدة الرسمية عدد 5714 بتاريخ 27 فبراير 2009.

المملكة المغربية، دستور 2011، الصادر بتنفيذه بظهير شريف رقم 1.11.91 بتاريخ 29 يوليوز 2011، والمنشور في الجريدة الرسمية عدد 5964 مكرر بتاريخ 30 يوليوز 2011

Article 29 Data Protection Working Party (WP29). (2013). Opinion 02/2013 on the use of biometric data in the processing of personal data. European Commission

1. الاتحاد الأوروبي، اللائحة (EU) 2016/679 للبرلمان الأوروبي والمجلس بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية نقل هذه البيانات (اللائحة العامة لحماية البيانات – GDPR)، اعتمدت بتاريخ 27 أبريل 2016، ونُشرت في الجريدة الرسمية للاتحاد الأوروبي L 119/1 بتاريخ 4 ماي 2016، ودخلت حيز التنفيذ في 25 ماي 2018. ↑
2. التشفير هو عبارة عن ممارسة حماية المعلومات باستخدام الخوارزميات المشفرة وعلامات التجزئة وعرفه الفقهاء أيضا بأن التشفير هو طريقة لتشفير البيانات بحيث لا يفهمها إلا الأطراف المصرح لها . أما من الناحية التقنية، فهو عملية تحويل نص عادي مقروء إلى نص غير مفهوم، يُعرف أيضًا بالنص المشفر. ↑
3. الخيري، فواز عبد العزيز حماية البيانات الشخصية والبيومترية في العصر الرقمي: دراسة مقارنة. مركز البحوث والدراسات القانونية. 2023 ↑
4. أبا خليل التعاقد الإلكتروني قي ضوء القانون رقم 53.05 المتعلق بالتبادل الإلكتروني للمعطيات القانونية ↑
5. الاتحاد الأوروبي، اللائحة (EU) 2016/679 م.س ↑
6. رمضان، عمر السعيد. (2021). الحماية القانونية للبيانات الشخصية والبيومترية في التشريع المقارن. دار النهضة العربية. ↑
7. مصر، القانون رقم 151 لسنة 2020 بإصدار قانون حماية البيانات الشخصية، الصادر بتاريخ 15 يوليوز 2020، والمنشور بالجريدة الرسمية العدد 28 مكرر (و) بتاريخ 20 يوليوز 2020. ↑
8. القانون رقم 09.08 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي، الصادر بالظهير الشريف رقم 1.09.15 بتاريخ 22 صفر 1430 (18 فبراير 2009)، الجريدة الرسمية عدد 5714 بتاريخ 27 فبراير 2009 ↑
9. تم التنصيص على اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي في الباب الرابع من القانون 09.08 بموجب المادة27 إلى المادة 31

   تضطلع اللجنة الوطنية لحماية المعطيات ذات الطابع الشخصي  بمهمة إخبار وتحسيس الأفراد والهيئات العمومية والمؤسسات الخاصة. لهذه الغاية، فهي تسهر على: اطلاع الأفراد على الحقوق التي يمنحهم إياها الإطار القانوني الجديد في ما يتعلق بمعالجة المعطيات الشخصية بالمغرب. ↑

10. المملكة المغربية، دستور 2011، الصادر بتنفيذه بظهير شريف رقم 1.11.91 بتاريخ 29 يوليوز 2011، والمنشور في الجريدة الرسمية عدد 5964 مكرر بتاريخ 30 يوليوز 2011. ↑
11. عمر الموريف الوجيز في قانون الأرشيف شروح في القانون رقم 69.99 والمرسوم التطبيقي ↑
12. التشفير البيومتري وحماية البيانات الشخصية مقال منشور بcontinuum GRC رابط المقال https://continuumgrc.com/ar/biometric-encryption-and-protecting-personal-data/ تاريخ الاطلاع 30/11/2025 على الساعة 23:25 ↑
13. Article 29 Data Protection Working Party (WP29). (2013). Opinion 02/2013 on the use of biometric data in the processing of personal data. European Commission ↑
14. رمضان، عمر السعيد الحماية القانونية للبيانات الشخصية م.س ↑
15. ↑