الخصوصية الرقمية وحماية البيانات الشخصية: دراسة مقارنة بين القانون الأردني والتشريعات الدولية في ضوء الأمن السيبراني – أحمد إبراهيم بلل – ياسين أحمد القضاة – محمد طه الفليح

 

الخصوصية الرقمية وحماية البيانات الشخصية: دراسة مقارنة بين القانون الأردني والتشريعات الدولية في ضوء الأمن السيبراني

Digital Privacy and Personal Data Protection: A Comparative Study of Jordanian Law and International Legislation in Light of Cybersecurity

د. أحمد إبراهيم بلل

أستاذ مساعد، كلية الحقوق، جامعة الشرق الأوسط، الأردن.

د. ياسين أحمد القضاة

أستاذ مشارك، كلية الحقوق، جامعة الشرق الأوسط، الأردن.

د. محمد طه الفليح

أستاذ مساعد، كلية الحقوق، جامعة الشرق الأوسط، الأردن.

 

هذا البحث منشور في مجلة القانون والأعمال الدولية الإصدار رقم 60 الخاص بشهر أكتوبر/ نونبر 2025
رابط تسجيل الاصدار في DOI

https://doi.org/10.63585/EJTM3163

للنشر و الاستعلام
mforki22@gmail.com
الواتساب 00212687407665

الملخص:

يهدف هذا البحث إلى تحليل الإطار القانوني لحماية البيانات الشخصية في الأردن في ظل الثورة الرقمية، مع التركيز على قانون حماية البيانات الشخصية رقم (24) لسنة 2023، ومقارنته بالنماذج الدولية، وفي مقدمتها اللائحة العامة لحماية البيانات الأوروبية (GDPR). اعتمدت الدراسة المنهج الوصفي لتحليل النصوص القانونية الوطنية، والمنهج التحليلي لتقييم مدى فعاليتها العملية، والمنهج المقارن لاستخلاص أوجه الاتفاق والاختلاف مع التشريعات الدولية والعربية.

أظهرت النتائج أن القانون الأردني يمثل خطوة تشريعية متقدمة في مجال الخصوصية الرقمية، غير أن فعاليته التطبيقية محدودة بسبب غياب آليات رقابية واضحة، وضعف الإجراءات التنفيذية المتعلقة بالبيانات الحساسة. وأوصت الدراسة بتفعيل دور السلطة الرقابية ومنحها صلاحيات التحقيق والجزاء، وتعزيز الوعي المؤسسي والمجتمعي بحق حماية البيانات، ومواءمة التشريعات ذات الصلة مع المعايير الدولية، مع تطوير آليات تنفيذية أكثر دقة وصرامة على غرار النموذج الأوروبي.

تُعد هذه الدراسة إسهامًا علميًا جديدًا في الأدبيات القانونية العربية، من خلال تقديم تحليل حديث ومقارن لتشريع أردني مستحدث يعالج إحدى القضايا الجوهرية المرتبطة بالأمن السيبراني والذكاء الاصطناعي في البيئة الرقمية.

الكلمات المفتاحية: البيانات الشخصية، الحماية القانونية، القانون الأردني، الأمن السيبراني، الذكاء الاصطناعي.

Abstract:

This study analyzes the legal framework for protecting personal data in Jordan in the context of the digital revolution, with a focus on the Personal Data Protection Law No. 24 of 2023, and compares it with international models, particularly the EU General Data Protection Regulation (GDPR). The research employs a descriptive method to examine Jordanian legal provisions, an analytical method to assess their practical effectiveness, and a comparative method to benchmark Jordanian law against international and regional legislations.

The findings indicate that the Jordanian law represents a significant legislative step toward digital privacy; however, its practical effectiveness remains limited due to the absence of robust regulatory mechanisms and insufficient safeguards for sensitive data. The study recommends strengthening the supervisory authority with investigatory and sanctioning powers, enhancing institutional and societal awareness of data protection, aligning related Jordanian laws with international standards, and adopting more rigorous enforcement mechanisms modeled on the GDPR.

This research contributes to Arabic legal scholarship by providing a timely and comparative analysis of a newly enacted legislation, addressing one of the most pressing legal and cybersecurity challenges in the era of artificial intelligence and digital transformation.

Keywords: Personal Data, Legal Protection, Jordanian Law, Cybersecurity, Artificial Intelligence.

المقدمة

يشهد العالم المعاصر ثورة رقمية عميقة غيّرت جذرياً أنماط الحياة اليومية والاقتصادية والاجتماعية، حتى غدا يُطلق على عصرنا “العصر الرقمي”. فقد أدى الانتشار الواسع لتقنيات المعلومات والاتصالات إلى ازدهار المعاملات الإلكترونية وتنامي الاعتماد على المنصات الرقمية في القطاعات المصرفية والتجارية والإدارية. غير أن هذا التطور التقني، على الرغم من مزاياه، أفرز تحديات قانونية وأمنية متزايدة تتعلق بحماية البيانات الشخصية، التي أصبحت عرضة للقرصنة أو التسريب أو الاستغلال غير المشروع، بما يهدد الثقة بالمنظومات الرقمية ويؤثر بصورة مباشرة في الأمن الوطني والاقتصادي للدول (عبيزة، 2023).

وأمام هذه التحديات برزت الحاجة إلى إطار قانوني متكامل ومرن قادر على مواكبة التطورات التقنية السريعة، من خلال وضع قواعد واضحة لحماية البيانات الشخصية وتحديد حقوق الأفراد والتزامات المؤسسات. ويُفترض بهذا الإطار أن يوازن بين متطلبات التحول الرقمي من جهة، وصون الحق في الخصوصية من جهة أخرى. ومن ثمّ أصبح التنظيم القانوني لحماية البيانات الشخصية يمثل حجر الزاوية في بناء الثقة بالبيئة الرقمية، ليس فقط عبر التصدي للمخاطر، بل كذلك من خلال تنظيم آليات جمع البيانات ومعالجتها وتداولها، وضمان الالتزام بالمبادئ الجوهرية للشفافية والعدالة.

وفي الأردن، ومع التوسع في البنية التحتية الرقمية والخدمات الإلكترونية، استجاب المشرّع للتحديات من خلال سنّ مجموعة من التشريعات ذات الصلة، أبرزها قانون حماية البيانات الشخصية رقم (24) لسنة 2023، الذي يعد محطة أساسية في تطوير المنظومة القانونية الوطنية. ويمثل صدور هذا القانون خطوة نوعية نحو تعزيز الحوكمة الرقمية والالتزام بالمعايير الدولية في مجال حماية الخصوصية (المشرّع الأردني، 2023أ).

تسعى هذه الدراسة إلى تحليل الإطار القانوني الأردني لحماية البيانات الشخصية في ظل الثورة الرقمية، مع مقارنته بالتجارب الدولية الرائدة مثل اللائحة الأوروبية العامة لحماية البيانات (GDPR)، للكشف عن أوجه القوة والقصور، واقتراح توصيات عملية تسهم في تطوير السياسة التشريعية الأردنية مستقبلاً.

مشكلة الدراسة

تكمن الإشكالية الرئيسة في مدى كفاية وفعالية الإطار التشريعي الأردني في حماية البيانات الشخصية بموجب قانون حماية البيانات رقم (24) لسنة 2023، وذلك في ظل التحولات الرقمية المتسارعة التي فرضت تحديات تقنية وقانونية معقدة تتعلق بجمع البيانات وتخزينها ومعالجتها ونقلها. ومن هنا يطرح التساؤل المحوري:

هل يشكل القانون الأردني لسنة 2023 منظومة قانونية متكاملة وملزمة تحقق الحماية الفعلية للبيانات الشخصية بما ينسجم مع المعايير الدولية، أم أن هناك ثغرات تحدّ من فعاليته؟

أهداف الدراسة

1. تحديد الإطار المفاهيمي للبيانات الشخصية في البيئة الرقمية.
2. تحليل أحكام قانون حماية البيانات الأردني رقم (24) لسنة 2023.
3. مقارنة التشريع الأردني بالنماذج الدولية، خصوصاً اللائحة الأوروبية (GDPR).
4. إبراز الثغرات القانونية واقتراح حلول عملية.

وتكمن القيمة العلمية للدراسة في أنها تقدم معالجة حديثة لتشريع مستجد لم يحظَ بعد بتحليل وافٍ في الأدبيات العربية، مما يسد فجوة بحثية مهمة.

أهمية الدراسة

تنبع أهمية هذه الدراسة من أن موضوع حماية البيانات الشخصية أصبح من أبرز القضايا العالمية في عصر الرقمنة، نظراً لتصاعد المخاطر المرتبطة باستخدام البيانات في الفضاء السيبراني. وتساهم الدراسة في تقييم فعالية المنظومة الأردنية للخصوصية الرقمية ومدى توافقها مع الاتجاهات الدولية، كما تبرز الحاجة إلى تطوير الأطر التشريعية لتعزيز الثقة في المعاملات الإلكترونية وصون الحقوق الرقمية للأفراد.

أسئلة الدراسة

1. ما المقصود بالبيانات الشخصية في البيئة الرقمية؟
2. ما أنواع البيانات الشخصية وخصائصها؟
3. ما أبرز التحديات التي يواجهها الإطار القانوني الأردني في هذا المجال؟
4. كيف عالج المشرّع الأردني صور الاعتداء على البيانات الشخصية؟
5. ما أوجه المقارنة بين القانون الأردني وبعض التجارب الدولية؟

منهجية الدراسة

اعتمدت الدراسة على:

1. المنهج الوصفي: لعرض وتحليل النصوص القانونية الأردنية، خاصة قانون حماية البيانات الشخصية رقم (24) لسنة 2023، إلى جانب قوانين أخرى ذات صلة مثل قانون المعاملات الإلكترونية.
2. المنهج التحليلي: لتقييم مدى فعالية هذه النصوص في مواجهة المخاطر الرقمية وحماية الخصوصية.
3. المنهج المقارن: بمقارنة القانون الأردني مع نماذج دولية، لا سيما النظام الأوروبي، لاستخلاص الممارسات الفضلى وتحديد أوجه القصور.

الدراسات السابقة

1. عبيزة، منيرة (2023): تناولت الحماية القانونية للبيانات الشخصية من الجرائم المعلوماتية في ضوء التشريع الجزائري، مركزة على القصور في معالجة الاعتداءات الحديثة. تميزت بدراسة البعد الجنائي، بينما تركز دراستنا على البعد المدني والتنظيمي.
2. رشاد، سمير سعد (2024): عالج مسألة حماية البيانات الحساسة الناتجة عن الاستدلالات الذكية والذكاء الاصطناعي. ركزت على مجال ضيق تقنيا، بينما تتناول دراستنا الإطار القانوني الأردني بصورة أشمل وأحدث، مع مقارنة أنظمة متعددة.

المبحث الأول: البيانات الشخصية في ظل الثورة الرقمية والتطورات التشريعية

تشكل حماية البيانات الشخصية أحد أبرز تحديات العصر الرقمي، إذ أصبحت الحياة الخاصة للأفراد مهددة نتيجة التوسع غير المسبوق في وسائل جمع وتداول البيانات، سواء من قبل الأفراد أو الجهات الحكومية أو المؤسسات الخاصة. ومع تصاعد حالات انتهاك الخصوصية واستغلال البيانات لأغراض غير مشروعة، بات من الضروري تكريس حماية قانونية فعالة لهذه البيانات في ظل الاستخدام المتزايد للتكنولوجيا والاعتماد الواسع على المنصات الرقمية.

وتتجه الأنظمة القانونية الحديثة، ومن ضمنها التشريع الأردني، نحو إرساء قواعد تشريعية تسعى إلى تحقيق التوازن بين متطلبات التطور الرقمي من جهة، والحفاظ على الحقوق الأساسية للأفراد من جهة أخرى، وفي مقدمتها الحق في الخصوصية. فاحترام الحياة الخاصة يعد ركيزة أساسية من ركائز دولة القانون، كما يشكل مؤشرا على مدى التزام الدول باحترام حقوق الإنسان (الأردن، 2023أ).

وقد كرست معظم التشريعات المقارنة، إضافة إلى المواثيق الدولية، الحماية القانونية للبيانات الشخصية باعتبارها حقا دستوريا، مع وضع ضوابط واضحة لجمعها ومعالجتها وتخزينها واستخدامها، بما ينسجم مع القيم القانونية والأخلاقية. وفي هذا الإطار، يشار إلى أن الشريعة الإسلامية سبقت هذه التشريعات في التأكيد على حرمة الحياة الخاصة، وحرمت التعدي عليها بالتجسس أو تتبع العورات (انظر: القرآن الكريم، الحجرات: 12).

وانطلاقا مما سبق، سيتناول هذا المبحث دراسة البيانات الشخصية في ظل الثورة الرقمية وما رافقها من تطورات تشريعية، وذلك من خلال مطلبين رئيسيين:

• المطلب الأول: ماهية البيانات الشخصية.
• المطلب الثاني: أنواع البيانات الشخصية.

المطلب الأول: ماهية البيانات الشخصية

البيانات في اللغة جمع كلمة “بيان”، ويقصد بها الإيضاح والكشف والإبانة، وقد ورد في تاج اللغة أن البيان هو الإبانة والفصاحة والكشف عن المشكلة (الجوهري، د.ت، ص 2083). كما جاء في لسان العرب لابن منظور أن البيان يعني إظهار المقصود بأبلغ لفظ، ويستمد من الفهم وذكاء القلب واللسان (ابن منظور، د.ت، ص 3860).

أما من الناحية القانونية، فإن البيانات الشخصية التي حمى المشرع خصوصيتها وفرض عقوبات على من يعتدي عليها، لا تنحصر في الحسابات البنكية فقط، بل تشمل – كما في أغلب التشريعات المقارنة – كل ما من شأنه أن يمس شخصية الفرد وهويته، سواء كانت بيانات مدنية أو صورا أو أرقاما أو بطاقات تعريفية أو بيانات إلكترونية أخرى (المرغي، 2017، ص 2).

وقد أقر القانون الفرنسي رقم (7) لسنة 1977، المعدل بالقانون رقم (801) لسنة 2004، حماية خاصة للبيانات الشخصية، حيث نصت المادة الثانية منه على أن البيانات الشخصية هي: “أي معلومات تتعلق بشخص طبيعي محدد هويته بطريقة مباشرة أو غير مباشرة سواء بالرجوع إلى رقمه الشخصي أو أي مؤشر يخصه” (التهامي، 2010، ص 385).

وعرفت اللائحة العامة لحماية البيانات الأوروبية (GDPR) البيانات الشخصية بأنها أي معلومات ترتبط بشخص طبيعي محدد أو قابل للتحديد بشكل مباشر أو غير مباشر، من خلال معرفات مثل الاسم أو رقم الهوية أو بيانات الموقع الجغرافي أو المعرف عبر الإنترنت أو العوامل البيومترية، إضافة إلى السمات الاقتصادية والاجتماعية والثقافية (الاتحاد الأوروبي، 2016).

أما المشرع المصري فقد عرف البيانات الشخصية في المادة (1) من قانون حماية البيانات الشخصية رقم (151) لسنة 2020 بأنها “أي بيانات متعلقة بشخص طبيعي محدد أو يمكن تحديده بشكل مباشر أو غير مباشر، كالاسم أو الصوت أو الصورة أو رقم تعريفي أو محدد للهوية عبر الإنترنت، أو أي بيانات تكشف الهوية النفسية أو الصحية أو الاقتصادية أو الثقافية أو الاجتماعية” (مصر، 2020).

وفي السياق ذاته، يرى الباحثون أن البيانات الشخصية والرقمية المتاحة عبر الإنترنت أو لدى المؤسسات تكشف الكثير عن الأفراد من حيث أفكارهم وعاداتهم وتحركاتهم، وأنه من السهل استغلالها للإضرار بهم أو التأثير على خياراتهم (ميرة، 2020، ص 10).

أما المشرع السعودي فقد عرف البيانات الشخصية بأنها “كل بيان – مهما كان مصدره أو شكله – يؤدي إلى التعرف على الفرد على وجه التحديد، أو يمكن الاستدلال عليه بطريقة مباشرة أو غير مباشرة”، مع ذكر أمثلة كالاسم ورقم الهوية والعنوان وأرقام الاتصال والسجلات الشخصية والصور والحسابات البنكية (المملكة العربية السعودية، 2021).

وبالمقارنة بين التعريفين الأردني والسعودي، يتضح أن المشرع الأردني اعتمد نهج التعداد الوصفي المفتوح، مما يمنح تعريفا مرنا يستوعب مستجدات التكنولوجيا، بينما ركز المشرع السعودي على الوضوح النصي والتحديد الدقيق، ما يوفر يقينا قانونيا فوريا لكنه قد يفتقر إلى المرونة الكافية لمواجهة أنماط البيانات الجديدة.

ويرى الباحث أن البيانات الشخصية لا تقتصر على المعلومات المدنية أو الإدارية، بل تشمل أيضا الأبعاد المعنوية للفرد مثل المعتقدات والاتجاهات والعادات، بما يجعل حماية هذه البيانات امتدادا طبيعيا للحق في الخصوصية وكرامة الإنسان. فالسيادة على البيانات الشخصية حق أصيل للفرد، ولا يجوز استغلالها أو استخدامها دون رضاه، خاصة مع توسع استخدام البيانات في البيئات الرقمية وشبكات التواصل.

المطلب الثاني: أنواع البيانات الشخصية

تمثل البيانات الشخصية في العصر الرقمي ثروة معلوماتية ذات قيمة قانونية واقتصادية كبيرة، وهو ما استدعى من المشرعين ضرورة تصنيفها إلى أنواع محددة لضمان تقديم الحماية المناسبة لكل فئة بحسب درجة حساسيتها وخطورة إفشائها أو إساءة استخدامها. ويأتي هذا التصنيف استجابة للتوسع الكبير في استخدام البيانات الشخصية في شتى المجالات الحكومية والتجارية والرقمية، وما يرافق ذلك من مخاطر تهدد الحق في الخصوصية وحرمة الحياة الخاصة للأفراد.

إن التمييز بين أنواع البيانات الشخصية يعد أمرا جوهريا في أي إطار قانوني يسعى إلى تنظيم معالجتها، إذ تختلف الحقوق والالتزامات القانونية المرتبطة بكل نوع، كما تختلف الإجراءات والضمانات الواجب توافرها لحمايتها. وقد اتجهت أغلب التشريعات الحديثة، ومنها قانون حماية البيانات الشخصية الأردني رقم (24) لسنة 2023، إلى تقسيم البيانات إلى نوعين رئيسيين: البيانات العادية والبيانات الحساسة، وذلك بناء على معيار درجة الخصوصية والضرر المحتمل الناجم عن معالجتها أو إفشائها.

أولا: البيانات الشخصية العادية

تشير البيانات العادية إلى المعلومات المتعلقة بشخص طبيعي محدد أو قابل للتحديد بطريقة مباشرة أو غير مباشرة، والتي تكشف عادة طوعا في سياق التعاملات اليومية لأغراض خدمية أو إدارية أو تجارية. ومن أمثلتها: الاسم الكامل، تاريخ الميلاد، الجنس، رقم الهاتف، العنوان، البريد الإلكتروني، رقم الهوية، والحالة الاجتماعية.

وتكمن أهمية هذه البيانات في أنها المدخل الأساسي للتواصل مع الأفراد والتعرف على هويتهم، وغالبا ما تستخدم في مجالات مثل التوظيف أو التسجيل في الخدمات أو المعاملات البنكية. ورغم أنها لا تصنف باعتبارها حساسة، إلا أن كشفها أو استخدامها دون موافقة الشخص قد يؤدي إلى انتهاك خصوصيته، مما يبرر توفير الحماية القانونية لها.

وقد توسعت بعض التشريعات الحديثة في مفهوم البيانات العادية لتشمل عناصر إضافية مثل عنوان بروتوكول الإنترنت (IP)، الصور الشخصية، الصوت، التوقيع، وأنماط السلوك الرقمي، باعتبار أن هذه العناصر قد تفضي إلى تحديد هوية الشخص بشكل غير مباشر (الهيتي، 2016، ص 401؛ سامح، 2011، ص 389-396).

ثانيا: البيانات الشخصية الحساسة

البيانات الحساسة هي الفئة التي تتميز بدرجة عالية من الخصوصية، ويترتب على معالجتها أو إفشائها مخاطر جسيمة قد تمس كرامة الفرد أو تعرضه للتمييز أو الضرر الاجتماعي والقانوني. ووفقا للمادة (2) من قانون حماية البيانات الشخصية الأردني لسنة 2023، تشمل هذه البيانات: الأصل أو العرق، الآراء والانتماءات السياسية، المعتقدات الدينية أو الفلسفية، الوضع الصحي أو النفسي أو الجسدي، البيانات الجينية أو البيومترية، الوضع المالي، العضوية النقابية، والسوابق القضائية (الأردن، 2023أ).

وتحظر التشريعات عادة معالجة هذه البيانات إلا بموجب مبررات قانونية واضحة أو موافقة صريحة من صاحبها. وقد نصت اللائحة الأوروبية العامة لحماية البيانات (GDPR) في مادتها التاسعة على حظر معالجة البيانات الحساسة إلا في حالات استثنائية محددة (الاتحاد الأوروبي، 2016).

وقد ذهب بعض الفقه إلى تقسيم البيانات الحساسة إلى درجات متفاوتة من الخطورة:

• بيانات شديدة الحساسية: كالبيانات الصحية والجينية والانتماءات السياسية والدينية.
• بيانات حساسة عامة: مثل الوضع المالي أو الحالة الاجتماعية.
• بيانات محايدة قد تكتسب حساسية عند ربطها ببيانات أخرى، مثل الصور أو التسجيلات الصوتية (أبو الليل، 2004، ص 1014).

ونرى أن التعامل مع هذه الفئة يتطلب أعلى درجات الحذر، إذ أن أي انتهاك لها قد يترتب عليه نتائج خطيرة تهدد الحياة الخاصة والأمن الشخصي والاجتماعي، وهو ما يبرر تشديد الرقابة القانونية وضمان وجود آليات فعالة للامتثال.

المبحث الثاني: التحديات الرقمية التي تواجه البيانات الشخصية وآليات الحماية القانونية لها

شهد العالم خلال العقود الأخيرة ثورة رقمية متسارعة أسهمت في توسيع نطاق استخدام التكنولوجيا في جميع مناحي الحياة، وبالأخص في مجالات جمع البيانات الشخصية وتخزينها ومعالجتها وتداولها. هذا التحول، رغم ما يتيحه من فرص اقتصادية وتنموية، أفرز تحديات غير مسبوقة على صعيد حماية خصوصية الأفراد وضمان سلامة بياناتهم. فقد أضحت البيانات عرضة لصور متعددة من الاعتداءات والانتهاكات التي تمس الحقوق الأساسية للأشخاص، لا سيما في ظل ضعف الوعي المجتمعي بالمخاطر الرقمية وسهولة الوصول إلى المعلومات عبر الوسائل التقنية الحديثة.

ومن هنا برزت الحاجة إلى تدخل المشرع الوطني لوضع إطار قانوني متكامل يضمن الحماية الفعالة للبيانات الشخصية، ويوازن بين متطلبات التطور التكنولوجي من جهة، وصون الحقوق والحريات الأساسية من جهة أخرى. ويكتسب هذا التدخل أهميته بالنظر إلى أن الاعتداء على البيانات الشخصية لا يقتصر أثره على الأفراد فحسب، بل يمتد ليهدد الأمن الاقتصادي والاجتماعي، وربما الأمن القومي للدولة.

وانطلاقا من ذلك، يتناول هذا المبحث محورين أساسيين:

• المطلب الأول: أبرز صور الاعتداءات الرقمية التي تتعرض لها البيانات الشخصية والمخاطر الناجمة عنها.
• المطلب الثاني: الأسس والآليات القانونية التي أقرتها التشريعات الوطنية والدولية لمواجهة هذه التحديات وضمان حماية البيانات الشخصية.

المطلب الأول: صور الاعتداءات على البيانات الشخصية والمخاطر المترتبة عليها

تعد البيانات الشخصية في العصر الرقمي هدفا متزايدا لمختلف أشكال الاعتداءات الإلكترونية، نتيجة الاعتماد المتنامي على الإنترنت والأجهزة الذكية في المعاملات اليومية، من بطاقات الدفع الإلكترونية إلى الهوية الرقمية ووسائل التواصل الاجتماعي. ويترتب على هذه الاعتداءات مخاطر جسيمة تهدد الحق في الخصوصية وتمس سلامة الحياة الخاصة للأفراد (صالح، 2007، ص 44؛ جبور، 2016، ص 100).

أولا: المخاطر العامة التي تهدد البيانات الشخصية

يمكن تصنيف المخاطر التي تتعرض لها البيانات الشخصية إلى ثلاثة مستويات رئيسية:

1. مخاطر متعلقة بنوع البيانات: كالمعلومات السياسية أو الصحية أو الدينية أو السلوكية. فإذا ما جمعت أو استخدمت دون سند مشروع، فإنها تمثل انتهاكا صارخا للحياة الخاصة.
2. مخاطر متصلة بالتقنيات المستخدمة: مثل سهولة القرصنة الإلكترونية، صعوبة ممارسة “حق النسيان” في مواجهة البيانات الرقمية، أو تشويه السمعة باستخدام البطاقات والمعلومات الرقمية.
3. مخاطر متعلقة بغايات المعالجة: حيث قد يبدأ جمع البيانات لغرض مشروع، ثم تستخدم لاحقا لأغراض غير مشروعة كالابتزاز أو الضغط السياسي، خاصة في مواجهة الشخصيات العامة (موسى، 2005، ص 210).

ثانيا: أبرز صور الاعتداءات الرقمية

تتنوع صور الاعتداءات على البيانات الشخصية، ومن أبرزها:

• سرقة البيانات الشخصية: وتشمل اختراق الحسابات وكلمات المرور أو سرقة بيانات البطاقات الائتمانية، سواء عبر القرصنة أو عبر الأجهزة المادية (عدنان، 2013، ص 35).
• التشهير بالبيانات الشخصية: ويتمثل في نشر معلومات حساسة على الإنترنت بما يضر بسمعة الأفراد أو حياتهم الخاصة، كما حدث في بعض الوقائع الدولية.
• المعالجة غير المشروعة للبيانات: وتتمثل في جمع البيانات أو معالجتها دون إذن من صاحبها، أو استخدامها في غير الأغراض المخصصة لها (حسين، 2022، ص 65).

ثالثا: الموقف التشريعي الأردني

يشكل قانون حماية البيانات الشخصية الأردني رقم (24) لسنة 2023 الإطار الناظم للتعامل مع البيانات الشخصية. وقد عالج المشرع صورا متعددة من الاعتداءات، منها:

• السرقة: وإن لم يرد نص صريح يجرم سرقة البيانات، فقد اشترط القانون في المادة (4) موافقة مسبقة من صاحب البيانات لجمعها أو معالجتها، ما يشكل حماية ضمنية ضد الاستيلاء غير المشروع.
• التشهير: نصت المادة (14) على مبدأ الأمان والحماية، والمادة (21) على عقوبات صريحة لمن ينشر أو يفشي بيانات شخصية دون إذن.
• المعالجة غير المشروعة: حظر القانون في المادة (8) جمع البيانات أو معالجتها دون موافقة صريحة، وأوجب في المادة (10) الحصول على ترخيص في الحالات التي تنطوي على مخاطر خاصة بالحقوق والحريات.

رابعا: الموقف التشريعي السعودي

أما النظام السعودي لحماية البيانات الشخصية فقد جاء أكثر تفصيلا، حيث نص على صور محددة للاعتداءات، ومنها:

• التسريب: المادة (20) توجب على الجهة المعالجة إخطار الجهة المختصة عند وقوع أي تسريب للبيانات.
• المعالجة غير المشروعة: المواد (6) و(26) تحظر المعالجة دون موافقة صريحة إلا في حالات استثنائية محددة.
• الإفصاح أو النشر غير المشروع: المواد (8–15) تحظر أي اطلاع أو إفصاح دون تصريح قانوني.
• الاحتفاظ غير المبرر: المادة (28) تلزم بإتلاف البيانات بعد انتهاء الغرض من جمعها.
• مخالفة مبادئ الخصوصية عند الجمع: المادة (23) تحظر جمع البيانات بأساليب ملتوية أو قسرية.

خامسا: المقارنة بين النهجين الأردني والسعودي

• من حيث صور الاعتداء: المشرع الأردني اكتفى بضمانات عامة قائمة على مبدأ الموافقة والشرعية، بينما المشرع السعودي نص صراحة على صور الاعتداء (التسريب، الاحتفاظ، النشر غير المشروع)، ما يمنح التطبيق القضائي وضوحا أكبر.
• من حيث آليات المعالجة: القانون الأردني ركز على الموافقة المسبقة والعقوبات الجنائية، لكنه لم يحدد إجراءات عملية للإبلاغ عن الاختراقات أو تسريب البيانات. في المقابل، النظام السعودي تبنى نهجا وقائيا أكثر دقة من خلال إلزام الإخطار والتنظيم المفصل للاحتفاظ والإتلاف.

يتضح أن القانون الأردني يوفر أساسا حمائيا جيدا للبيانات الشخصية من خلال مبادئ عامة كالموافقة الصريحة والشرعية في المعالجة، إلا أنه يفتقر إلى التفصيل في بعض الجوانب الإجرائية مثل الإبلاغ والوقاية العملية. بينما يتميز النظام السعودي بنصوص تفصيلية أكثر صرامة وحداثة، تعزز من التطبيق الفعلي وتسد الثغرات العملية في حماية البيانات.

المطلب الثاني: آليات الحماية القانونية للبيانات الشخصية

تعد حماية البيانات الشخصية إحدى الركائز الجوهرية في صون الحقوق والحريات الأساسية داخل البيئة الرقمية. وقد ازدادت أهميتها مع التطور التكنولوجي المتسارع والاعتماد الواسع على الوسائل الإلكترونية في جمع البيانات ومعالجتها وتخزينها وتداولها. وتنقسم هذه الحماية إلى نوعين متكاملين: الحماية الإجرائية والحماية الموضوعية (مسياد، 2021، ص 84؛ طه، 2019، ص 88؛ فتيحة، 2020، ص 96)

أولا: الحماية الإجرائية للبيانات الشخصية

تشمل الحماية الإجرائية مجموعة من التدابير الفنية والتنظيمية التي تهدف إلى ضمان سلامة البيانات وخصوصيتها، ابتداء من جمعها مرورا بمعالجتها وتخزينها، وانتهاء بحذفها أو أرشفتها. ومن أبرز هذه التدابير:

• الموافقة الصريحة المسبقة من صاحب البيانات على المعالجة، مع تحديد الغرض منها بدقة.
• التشفير وتقنيات الأمان السيبراني لحماية البيانات من الاختراق أو التلف.
• آليات الرقابة والاستجابة السريعة في حال وقوع خرق أمني (القاضي، 2015، ص 97).

على الصعيد الدولي، كرست اللائحة العامة لحماية البيانات الأوروبية (GDPR) مبدأ الحماية الإجرائية من خلال إلزام المؤسسات بالشفافية والإخطار في حالة تسريب البيانات. أما على المستوى الوطني، فقد أرسى قانون حماية البيانات الشخصية الأردني رقم (24) لسنة 2023 آليات إجرائية توازن بين حرية تداول المعلومات وحماية الخصوصية، مستندا إلى الدعم التقني للأمن السيبراني.

وفي المقابل، جاء النظام السعودي لحماية البيانات الشخصية أكثر تفصيلا، حيث نص على:

• إلزامية موافقة صاحب البيانات مع حقه في الرجوع عنها (مادتان 5 و6).
• تمكينه من الاطلاع والتصحيح والإلغاء (مادة 4).
• اعتماد سياسة خصوصية شفافة (مادة 22).
• الإخطار الفوري في حالة تسريب البيانات (مادة 20).
• تحديد فترة زمنية للاحتفاظ بالبيانات (مادة 28).
• فرض تدابير تقنية وإدارية صارمة للحماية (مادة 29).

ويظهر ذلك أن النموذج الأردني يركز على الطابع العام والشامل للحماية عبر الأمن السيبراني، بينما يوفر النموذج السعودي ضمانات أكثر دقة وإجرائية، تمنح الأفراد والجهات المعالجة حقوقا واضحة وآليات محددة للتطبيق العملي.

ثانيا: الحماية الموضوعية للبيانات الشخصية

ترتكز الحماية الموضوعية على المبادئ القانونية التي تنظم مضمون الحق في حماية البيانات، مثل الحق في الموافقة، والاطلاع، والتصحيح، والتقييد، والنسيان. وقد تبنت هذه المبادئ عدة أطر دولية، أبرزها: اتفاقية مجلس أوروبا رقم (108)، توجيه الاتحاد الأوروبي رقم EC/95/46، واللائحة الأوروبية GDPR لعام 2016.

في الأردن، كرس قانون حماية البيانات الشخصية رقم (24) لسنة 2023 هذه المبادئ، إذ نصت المادة (4/ب) على ضرورة أن تكون الموافقة واضحة، محددة، ومحررة بلغة بسيطة، مع بطلان أي موافقة مبنية على التضليل أو التغيير غير المصرح به (الشمري، 2023، ص 106). كما أجاز المشرع معالجة البيانات دون موافقة في حالات استثنائية، مثل الضرورات القانونية، حماية المصالح الحيوية، منع الجرائم أو كشفها، أو لأغراض البحث العلمي (المادة 9).

أما التشريع الجزائري، من خلال القانون 18-07، فقد تبنى آليات أكثر صرامة عبر:

• التصريح المسبق: عادي أو مبسط بحسب طبيعة المعالجة.
• الترخيص المسبق: إلزامي في الحالات الحساسة أو عالية الخطورة.
• تحديد صفة “المسؤول عن المعالجة” و”المعالج من الباطن”، مع إلزامهما بمبادئ المشروعية وتقليل البيانات وحذفها بعد تحقق الغرض (مشتة وبن عبيد، 2021، ص 682).

أما على المستوى الأوروبي، فقد جاءت الحماية الموضوعية أشمل، حيث نصت اللائحة GDPR على حقوق موسعة مثل: الحق في النسيان، نقل البيانات، رفض المعالجة، وإلزام المؤسسات بمبدأ التناسب في أي استثناء.

المقارنة والخلاصة

• في الأردن: يقوم النهج التشريعي على مبدأ الموافقة الصريحة كأساس للمعالجة، مع السماح بالاستثناءات لحالات الضرورة أو العقود أو البحث العلمي. غير أن القانون لم يضع آليات دقيقة للرقابة أو لتحديد مسؤوليات الجهات المعالجة، مما يترك فراغا عمليا في التطبيق.
• في الجزائر: اعتمد المشرع آليات أكثر صرامة، من خلال التصريح والترخيص المسبقين، مع تحديد مسؤوليات دقيقة، ما يوفر ضمانات أقوى.
• في أوروبا (GDPR): تم تقنين حماية موسعة للأفراد مع آليات رقابية صارمة، ما يجعل النموذج الأوروبي الأكثر شمولا وحداثة.

وبناء عليه، يمكن القول إن القانون الأردني يتماشى مع المعايير الدولية من حيث المبدأ، لكنه يحتاج إلى تطوير آليات أكثر تحديدا على غرار التشريع الجزائري والنموذج الأوروبي، لضمان حماية فعلية وفعالة للبيانات في مواجهة التحديات الرقمية.

ويؤكد الباحث أن الاستثناءات على الحماية الموضوعية يجب تفسيرها تفسيرا ضيقا، وألا تستخدم إلا بقدر ما تقتضيه المصلحة العامة، بما يحقق التوازن بين حماية الخصوصية الفردية ومتطلبات النظام العام.

الخاتمة

يتضح من خلال هذه الدراسة أن الثورة الرقمية فرضت واقعا جديدا يهدد البيانات الشخصية بصورة غير مسبوقة، سواء من حيث الكم الهائل للبيانات المتداولة أو من حيث الوسائل التقنية المستعملة في معالجتها. وقد أبرز البحث أن الإطار القانوني الأردني، المتمثل في قانون حماية البيانات الشخصية رقم (24) لسنة 2023، يشكل خطوة إيجابية نحو تعزيز الخصوصية الرقمية، لما قرره من مبادئ ومعايير قانونية تستند إلى النماذج الدولية الرائدة، خاصة فيما يتعلق بالموافقة المسبقة، وتحديد أغراض المعالجة، وتكريس الضمانات التقنية والإجرائية، إلا أن الفجوة التشريعية والعملية لا تزال قائمة، خصوصا فيما يتعلق بتفعيل دور السلطة الرقابية المختصة، وتوسيع نطاق الوعي القانوني لدى المؤسسات والأفراد على حد سواء.

النتائج

1. أظهرت الدراسة أن قانون حماية البيانات الشخصية الأردني رقم (24) لسنة 2023 يمثل خطوة تشريعية مهمة نحو بناء منظومة قانونية لحماية الخصوصية الرقمية، إلا أن فعاليته العملية تبقى محدودة بسبب غياب آليات رقابية واضحة، ونقص الإجراءات التنفيذية الملزمة.
2. تبين أن البيانات الشخصية الحساسة تواجه تحديات متزايدة في البيئة الرقمية، نتيجة ضعف الضوابط التي تنظم كيفية معالجتها وتداولها، مما يعرض الأفراد لمخاطر انتهاك خصوصيتهم.
3. بينت المقارنة مع التشريعات الدولية وجود قصور في القانون الأردني من حيث تفصيل الحقوق الممنوحة للأفراد، والافتقار إلى بعض الضمانات التقنية والتنظيمية التي اعتمدتها التشريعات المقارنة، مثل النظام الأوروبي والجزائري.
4. خلصت الدراسة إلى أن ضعف الوعي المؤسسي والمجتمعي بأهمية حماية البيانات الشخصية يقلل من الأثر العملي للتشريعات، ويحد من فعاليتها، خصوصا مع تزايد الاعتماد على المنصات الإلكترونية في مختلف مجالات الحياة.

التوصيات

1. تفعيل دور السلطة الرقابية المنصوص عليها في قانون حماية البيانات الشخصية الأردني، ومنحها الصلاحيات الفنية والإدارية اللازمة للإشراف والتفتيش والتحقيق وضمان الامتثال، مع وضع آليات تنفيذية وعقابية فعالة.
2. إطلاق برامج وطنية شاملة للتوعية القانونية والرقمية حول الحق في حماية البيانات الشخصية، تستهدف الأفراد والمؤسسات على حد سواء، بمشاركة الجهات الحكومية والمجتمع المدني لتعزيز ثقافة الخصوصية.
3. إعادة النظر في بعض نصوص القانون الأردني، ومواءمتها مع المعايير الدولية، ولا سيما فيما يتعلق بالحقوق الرقمية المستحدثة، مع إدراج مفهوم “البيانات المستنتجة” وسبل حمايتها.
4. تعزيز التعاون الدولي في مجال حماية البيانات الشخصية، من خلال الاستفادة من التجارب التشريعية المتقدمة، وإبرام اتفاقيات ثنائية ومتعددة الأطراف تضمن التبادل الآمن للبيانات، مع مراعاة متطلبات السيادة الرقمية والأمن الوطني.

قائمة المراجع

أولا: الكتب

• الجوهري، إ. ب. ح. (1990). تاج اللغة وصحاح العربية (ج1). القاهرة: دار الكتب.
• الجعافرة، ر. (2022). قانون حماية البيانات الشخصية في الأردن. المجلة العلمية للنشر العلمي، (50)، 100.
• الشمري، ف. (2023). الإطار القانوني لحماية البيانات الشخصية في المملكة العربية السعودية. مجلة البحوث الفقهية والقانونية، (43)، 106.
• المراغي، أ. ع. (2017). الجريمة الإلكترونية ودور القانون الجنائي في الحد منها. القاهرة: المركز القومي للإصدارات القانونية.
• جبور، م. ا. (2016). السبارنية هاجس العصر. بيروت: المركز العربي للبحوث القانونية والقضائية.
• موسى، م. م. (2005). المراقبة الإلكترونية عبر الإنترنت. مصر: دار الكتب القانونية.

ثانيا: الأبحاث والمقالات العلمية

• أبو الليل، إ. د. (2004). التعاقد عبر وسائل الاتصال الحديثة. في أعمال مؤتمر القانون والكمبيوتر والإنترنت (المجلد الثالث، ط3، ص 1014). جامعة الإمارات العربية المتحدة.
• مشتة، ن.، و بن عبيد، إ. (2021). الحماية القانونية للمعطيات الشخصية في ظل القانون 18-07. المجلة الجزائرية للحقوق والعلوم السياسية، 6(1)، 682.
• الهيتي، م. ح. (2016). البحث عن حماية جنائية للبيانات والمعلومات الشخصية الاسمية المخزنة في الحاسب الآلي. مجلة كلية الشريعة والقانون، الإمارات، (27)، 401.
• طه، ع. (2019). الحماية القانونية للأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وتداولها. مجلة كلية الحقوق للبحوث القانونية والاقتصادية، (2)، 88.
• القاضي، ر. (2015). مكافحة الجرائم المعلوماتية في التشريعات المقارنة وفي ضوء الاتفاقيات والمواثيق الدولية. القاهرة: دار النهضة العربية.
• فتيحة، خ. (2020). حماية البيانات الشخصية كآلية لحماية الحق في الخصوصية من قبل السلطة الوطنية. مجلة الحقوق والعلوم الإنسانية، 13(4)، 96.
• حسين، ف. س. (2022). الحماية المدنية للبيانات الشخصية لمستخدمي مواقع التواصل الاجتماعي: دراسة مقارنة. القاهرة: دار وليد.
• مسياد، أ. (2021). آليات حماية المعطيات ذات الطابع الشخصي. مجلة الباحث في العلوم القانونية والسياسية، (5)، 84.
• مروة، ص. ز. (2007). الحماية القانونية للبيانات الشخصية عبر الإنترنت. بدون ناشر.
• عبد الواحد، س. (2011). الحماية القانونية للبيانات الشخصية: دراسة في القانون الغربي. مجلة الحقوق، الكويت، 35(3)، 389–396.
• عدنان، س. (2013). انتهاك حرمة الحياة الخاصة عبر الإنترنت: دراسة مقارنة. مجلة جامعة دمشق للعلوم الاقتصادية والقانونية، 29(3)، 35.

ثالثا: الرسائل الجامعية

• ميرة، و بشيري، ك. (2020). المسؤولية المدنية عن انتهاك حق الخصوصية في المجال الرقمي [رسالة ماجستير، جامعة عبد الرحمن ميرة–بجاية].
• التهامي، ع. و. س. (2010). الحماية القانونية للبيانات الشخصية: دراسة مقارنة في القانون الفرنسي [رسالة ماجستير، جامعة الزقازيق].

رابعا: القوانين واللوائح

• قانون حماية البيانات الشخصية الأردني رقم 24 لسنة 2023، صادر بتاريخ 17 سبتمبر 2023، ويبدأ العمل به في 17 مارس 2024. الجريدة الرسمية الأردنية.
• قانون حماية البيانات الشخصية المصري رقم 151 لسنة 2020. الجريدة الرسمية المصرية، العدد 28 مكرر (هـ)، يوليو 2020.
• اللائحة العامة لحماية البيانات (GDPR) رقم 679 لسنة 2016، الصادرة في 27 أبريل 2016، ودخلت حيز النفاذ في 25 مايو 2018. الجريدة الرسمية للاتحاد الأوروبي.
• نظام معاملة البيانات في الإنتربول. (2011). المادة (1). اعتمدته الجمعية العامة للإنتربول.