جامع البيانات السري: من يقف حقاً وراء عمليات التحقق في لينكدإن وأوبن إيه آي وغيرها؟ – الصورة: إكسبرت ديجيتال
مسح الوجه للإنترنت: كيف تقوم شركة أمريكية ناشئة غير مرئية بتجميع بياناتنا البيومترية
تسريب شفرة المصدر يكشف: ما يحدث فعلاً لبيانات هويتك على Reddit و Roblox و LinkedIn
يتزايد اليوم عدد مستخدمي الإنترنت الذين يُضطرون لإثبات هويتهم. سواءً كان ذلك للحصول على علامة التوثيق المرغوبة على لينكدإن، أو للوصول إلى نماذج الذكاء الاصطناعي القوية من OpenAI، أو للتحقق من العمر على ريديت، أو للدردشة على روبلوكس، فإنّ إخراج جواز السفر والتقاط صورة فيديو شخصية أصبحا أمراً معتاداً. ولكن بينما يعتقد المستخدمون أنهم يُسلّمون بياناتهم البيومترية الحساسة مباشرةً إلى المنصات المعنية، تعمل قوة خفية في الخفاء: شركة "بيرسونا" الناشئة الأمريكية. مع أكثر من 300 مليون هوية مُوثّقة، أصبحت الشركة، المدعومة من مستثمرين نافذين، البنية التحتية السرية للحياة الرقمية. لكن هذا النظام الذي يبدو مريحاً يخفي عيباً خطيراً: تسريب شفرة مصدرية حساسة، وفترات احتفاظ مشكوك فيها بالبيانات، وعلاقات وثيقة مع السلطات الأمريكية، كل ذلك يُثير مخاوف جدية بشأن خصوصية البيانات. ما الذي يحدث فعلاً لصورنا وهوياتنا؟ ولماذا كانت ديسكورد المنصة الرئيسية الوحيدة التي أوقفت الخدمة بعد احتجاجات المستخدمين الواسعة؟ تحقيق في هياكل الخوادم الخفية لعملاق البيانات.
العمود الفقري الخفي للإنترنت: كيف تستخدم منصات مثل لينكدإن، وريديت، وأوبن إيه آي، وروبلوكس، وغيرها من المنصات، الشخصيات الافتراضية - وماذا يعني ذلك لبياناتك؟
شركة واحدة، 148 ألف عميل، 300 مليون سجل بيانات - ولا يكاد أحد يعرف عنها
عندما يُوثّق مستخدم لينكدإن ملفه الشخصي، يعتقد أنه يتحدث إلى لينكدإن. وعندما يُؤكد مستخدم ريديت عمره، يثق بريديت. وعندما يُظهر لاعب روبلوكس وجهه للكاميرا، يفعل ذلك معتقدًا أن روبلوكس هي الشخص الذي يتفاعل معه. في الواقع، إنها نفس الشركة في كل هذه الحالات: بيرسونا آيدنتيز، وهي شركة ناشئة مقرها سان فرانسيسكو تأسست عام ٢٠١٨، وأصبحت البنية التحتية الفعلية للتحقق من الهوية لقطاعات واسعة من الإنترنت. بحلول عام ٢٠٢٤، أنجزت بيرسونا أكثر من ٣٠٠ مليون عملية تحقق من الهوية، ما ضاعف إيراداتها وقاعدة عملائها. تُشبه المنصات التي تستخدم خدمات بيرسونا شريحةً من الحياة الرقمية الحديثة، ومع ذلك، يبقى اسم بيرسونا مجهولًا تمامًا لمعظم المستخدمين.
ليس هذا من قبيل الصدفة. يعتمد نموذج أعمال شركة بيرسونا عمدًا على التخفي: فبينما تعمل المنصات على بناء علاقات مع المستخدمين وتعزيز ثقتهم، تتولى بيرسونا عملية التحقق الفعلية في الخلفية. وبقيمة سوقية بلغت ملياري دولار أمريكي بعد جولة التمويل من الفئة "د" في أبريل 2025، وبدعم من مستثمرين مثل Founders Fund وRibbit Capital وIndex Ventures، تُعدّ الشركة من بين أهم شركات تكنولوجيا الهوية الخاصة على مستوى العالم. وما يبدو للمستخدمين عملية تحقق سهلة، هو في الواقع بنية تحتية مُركّزة لجمع البيانات تتجاوز بكثير ما هو ضروري للتحقق البسيط من الهوية.
ذو صلة بهذا الموضوع:
لينكدإن: 100 مليون ملف تعريف موثق - وما وراءها
كانت لينكدإن من أوائل المنصات الكبرى التي اعتمدت بيرسونا كشريك للتحقق من الحسابات. في ديسمبر 2025، تجاوز عدد الملفات الشخصية الموثقة على المنصة 100 مليون ملف حول العالم، وهو إنجازٌ يُظهر مدى رسوخ بيرسونا في بنية الهوية المهنية على الإنترنت. تُقدّم لينكدإن وعودًا واضحة: يحصل الأعضاء الموثقون، في المتوسط، على 60% مشاهدات إضافية لملفاتهم الشخصية و50% تفاعلًا إضافيًا. كما تُشير التقارير إلى أن صفحات الشركات الموثقة تحظى بـ 10.9 أضعاف المشاهدات و7.7 أضعاف المتابعين. هذه حوافز قوية، وقد أثبتت فعاليتها.
تتم عملية التحقق الفعلية عبر تطبيق LinkedIn. يُطلب من المستخدمين توصيل أجهزتهم بجواز سفر مزود بتقنية NFC، ومسح الشريحة، ثم التقاط صورة سيلفي مباشرة. المعلومات التي يتلقاها LinkedIn محدودة: الاسم كما يظهر في جواز السفر، ونوع جواز السفر، والدولة المُصدرة، ومعرّف مُشفّر، وتأكيد نجاح عملية التحقق. مع ذلك، فإن ما يجمعه تطبيق Persona ويعالجه بعد هذه العملية أوسع بكثير، ولا يُتناول إلا في وثائق LinkedIn مع إشارة موجزة إلى سياسة خصوصية Persona. تشمل الجهات الفرعية المُعتمدة للتحقق من LinkedIn عبر Persona: AWS، وConfluent، وDBT، وElasticsearch، وGoogle Cloud Platform، وMongoDB، وSigma Computing، وSnowflake. لا يتم توفير تخزين البيانات على خوادم أوروبية تضمن الامتثال القانوني للاتحاد الأوروبي.
تُعدّ مسألة حذف البيانات جديرة بالملاحظة بشكل خاص. تؤكد شركة بيرسونا في وثائقها على لينكدإن حذف البيانات بعد التحقق منها، لكنها لا تُحدد إطارًا زمنيًا مُعينًا. في سياق شراكات أخرى، مثل شراكتها مع ديسكورد، تمّ الإقرار بفترة تخزين تصل إلى سبعة أيام، وهو ما يُناقض تصريحات المنصة علنًا. ويكشف الكود المصدري المُسرّب للبنية التحتية الحكومية لشركة بيرسونا أن قوائم بيانات الوجه البيومترية يُمكن تخزينها لمدة تصل إلى ثلاث سنوات، وتحديدًا 1095 يومًا. وتحرص بيرسونا عمدًا على إبقاء ما ينطبق على العملاء التجاريين وما ينطبق على العملاء الحكوميين غامضًا في بياناتها العامة.
ريديت: التحقق من العمر كنقطة انطلاق للتحكم البيومتري
أطلقت منصة Reddit خدمة Persona كجزء من تطبيق قانون السلامة على الإنترنت في المملكة المتحدة، الذي يُلزم بالتحقق من العمر لمنصات الإنترنت. وقد مثّلت المملكة المتحدة حالة اختبارية، حيث تمّت إعادة توجيه المستخدمين الذين يحاولون الوصول إلى محتوى مقيّد بالعمر إلى Persona للتحقق من أعمارهم. في صفحة الأسئلة الشائعة المخصصة على موقع Reddit، توضح Persona أنها تعمل كمعالج بيانات وفقًا لتعليمات Reddit، ولا تجمع سوى تاريخ الميلاد وبيانات الصور، وتحذف جميع المعلومات الأخرى في غضون ثلاثة أيام. يبدو هذا منطقيًا للوهلة الأولى.
في الواقع، الوضع أكثر تعقيدًا. أفاد مستخدمو ريديت الذين تحققوا من هوياتهم بعملية تتجاوز مجرد تقدير العمر: فقد جُمعت بياناتٌ تفصيليةٌ، منها مسحٌ ضوئيٌّ لشرائح NFC لجوازات السفر، وصورٌ شخصيةٌ مباشرة، وبياناتٌ بيومتريةٌ سلوكيةٌ دقيقة، كسرعة الكتابة، والتردد، وما إذا كانت المعلومات تُنسخ. اكتشف نشطاء الخصوصية أن شفرة مصدر برنامج Persona، التي حددتها سيليست، كانت تعمل على خادم حكومي مُصرَّح به من قِبل FedRAMP، وتضمنت عمليات تحقق من قوائم مراقبة FinCEN، وقوائم الشخصيات السياسية البارزة، وقوائم العقوبات العالمية. كل هذا يجري بالتوازي مع عمليات التحقق التجارية لريديت ولينكدإن ومنصات أخرى، على نفس البنية التحتية. بعد احتجاجاتٍ واسعةٍ من المستخدمين في المملكة المتحدة، علّق ريديت مؤقتًا التحقق الإجباري من برنامج Persona للمستخدمين الجدد، مع بقاء المستخدمين الذين تم التحقق من هوياتهم مُسجلين في النظام.
OpenAI: أقدم وأكثر العلاقات غموضاً
تُعدّ العلاقة بين OpenAI وPersona بالغة الأهمية، وهي أقدم شراكة بين جميع المنصات الرئيسية. فقد اكتشف باحثو الأمن، من خلال سجلات شفافية الشهادات، أن نظام قائمة مراقبة مخصصًا تحت النطاق openai-watchlistdb.withpersona.com كان نشطًا منذ نوفمبر 2023، أي قبل حوالي 18 شهرًا من إعلان OpenAI رسميًا عن اشتراط التحقق من الهوية للوصول إلى GPT-5 في صيف 2025. وكانت OpenAI قد أضافت بهدوء جملة إلى سياسة الخصوصية الخاصة بها في نوفمبر 2024 تشير إلى التحقق من الهوية والعمر من قِبل مزودي خدمات خارجيين، دون ذكر Persona صراحةً.
في سبتمبر 2024، نشرت منصة Persona نفسها صفحة توضح أن OpenAI تستخدم Persona للتحقق من هوية ملايين المستخدمين شهريًا، حيث يتم التحقق تلقائيًا من أكثر من 99% منهم في الخلفية خلال ثوانٍ. هذا يعني أن عملية التحقق لا تقتصر على المستخدمين الذين يخضعون للتحقق بشكل فعلي، بل هي عملية مستمرة. للوصول إلى واجهة برمجة تطبيقات OpenAI ونماذج مثل GPT-5، يجب على المطورين تقديم هويتهم والتقاط ثلاث صور شخصية (سيلفي) من زوايا مختلفة - يسارًا ويمينًا وأمامًا - لإنشاء ملف تعريف ثلاثي الأبعاد للوجه. وقد قيّمت مؤسسة Forrester Research هذا القرار كرد فعل على الضغوط التنظيمية، والمخاطر الجيوسياسية لإساءة استخدام النماذج، والحاجة إلى التمييز بين عملاء الشركات الشرعيين والجهات المدعومة من الدول. والنتيجة: أي شخص يرغب في استخدام أحدث أدوات الذكاء الاصطناعي مُلزم بتسليم بيانات وجهه إلى بنية تحتية للتحقق مقرها الولايات المتحدة.
روبلوكس: 151 مليون مستخدم يوميًا - ومسح الوجه إلزامي
يُعدّ روبلوكس، من حيث عدد المستخدمين، أبرز عميل لبرنامج بيرسونا. في يناير 2026، فرض روبلوكس التحقق الإلزامي من العمر على جميع المستخدمين الراغبين في استخدام خاصية الدردشة. مع 151 مليون مستخدم نشط يوميًا، يُمثّل هذا إجراءً بيومتريًا إلزاميًا على نطاق غير مسبوق، لا سيما وأنّ نسبة كبيرة من قاعدة المستخدمين تتكون من الأطفال والمراهقين. الآلية بسيطة: على أي شخص يرغب في الدردشة إما تسجيل فيديو سيلفي، يقوم برنامج بيرسونا بتحليله خوارزميًا لتقدير عمره، أو تقديم هوية رسمية.
تؤكد كل من Roblox وPersona على حذف البيانات والصور البيومترية فورًا بعد تقدير العمر. مع ذلك، لا توجد أي أدلة مستقلة تؤكد هذا الادعاء. تكمن المشكلة الحقيقية في مكان آخر: فتقنية تقدير العمر في Persona، من الناحية التقنية، لا تُعدّ تحققًا من العمر، إذ تعتمد على تقدير العمر بناءً على ملامح الوجه دون التحقق منه بوثيقة رسمية. هذا يعني أن مستخدمي Roblox يخضعون لمسح بيومتري لا يوفر دقة التحقق من الهوية الحقيقية ولا أمان التحقق القائم على الوثائق. في الوقت نفسه، تُنقل البيانات البيومترية إلى بنية تحتية أمريكية، مما يثير مخاوف جدية بشأن اللائحة العامة لحماية البيانات (GDPR) لمستخدمي الاتحاد الأوروبي، وخاصة القاصرين. تخضع البيانات البيومترية للقاصرين لمتطلبات صارمة بموجب المادة 9 بالاقتران مع المادة 8 من اللائحة العامة لحماية البيانات، وهو ما لم تُثبته Roblox علنًا في تطبيقها الحالي.
خبرتنا في الاتحاد الأوروبي وألمانيا في مجال تطوير الأعمال والمبيعات والتسويق
خبرتنا في الاتحاد الأوروبي وألمانيا في مجال تطوير الأعمال والمبيعات والتسويق - الصورة: Xpert.Digital
مجالات التركيز الصناعية: الأعمال التجارية بين الشركات، والتحول الرقمي (من الذكاء الاصطناعي إلى الواقع الممتد)، والهندسة الميكانيكية، والخدمات اللوجستية، والطاقات المتجددة، والصناعة
للمزيد من المعلومات، انقر هنا:
مركز متخصص يقدم رؤى وخبرات:
- منصة معرفية تغطي الاقتصادات العالمية والإقليمية والابتكار والاتجاهات الخاصة بكل صناعة
- مجموعة من التحليلات والرؤى والمعلومات الأساسية من مجالات تركيزنا الرئيسية
- مكانٌ للخبرة والمعلومات حول التطورات الحالية في مجال الأعمال والتكنولوجيا
- مركز للشركات التي تسعى للحصول على معلومات حول الأسواق والتحول الرقمي والابتكارات الصناعية
تسريب بيانات شخصية يكشف عن بنية المراقبة التحتية - ما يحتاج مستخدمو الاتحاد الأوروبي إلى معرفته الآن
ديسكورد: الانسحاب الأكثر علنية وما يكشفه
تُعدّ ديسكورد الشركة الكبرى الوحيدة التي أنهت شراكتها مع بيرسونا علنًا، مُقدّمةً تفسيرًا واضحًا، في لحظة نادرة من الشفافية في هذا القطاع. في يناير 2026، أطلقت ديسكورد خدمة بيرسونا للتحقق من العمر في المملكة المتحدة ضمن برنامج تجريبي غير مُعلن. وعندما أُعلنت الشراكة، أثارت ردود فعل غاضبة من المستخدمين. واعترف ستانيسلاف فيشنفسكي، المدير التقني لديسكورد، بفشل الشركة في التواصل. وتصاعدت الأمور بشكلٍ حادّ عندما كشف باحثو الأمن ليس فقط عن صلة بيرسونا بصندوق مؤسسي بيتر ثيل، بل عثروا أيضًا على صفحة دعم مؤرشفة تُشير إلى احتفاظ بيرسونا بالبيانات لمدة سبعة أيام، وهو ما يُناقض تمامًا تصريحات الشركة السابقة حول الحذف الفوري للبيانات.
وضعت ديسكورد لاحقًا مجموعة جديدة وواضحة من المتطلبات لجميع شركاء التحقق المستقبليين: يجب معالجة البيانات البيومترية بالكامل على جهاز المستخدم، ويجب ألا تغادر الجهاز. لم تستوفِ بيرسونا هذا المعيار صراحةً، وبالتالي تم استبعادها من العقد. يُعد هذا الشرط رائدًا من الناحيتين التقنية وحماية البيانات: فهو يُحدد المعالجة على الجهاز كحد أدنى للتحقق البيومتري من العمر. إن حقيقة عدم مطالبة أي من عملاء بيرسونا الرئيسيين الآخرين بهذا المعيار علنًا تُظهر مدى بُعد هذا القطاع عن هذا المعيار. ومما زاد من الصعوبات، أن ديسكورد واجهت أيضًا اختراقًا منفصلاً للبيانات بالتزامن مع قضية بيرسونا: ففي مزود آخر للتحقق من العمر، تم اختراق وثائق الهوية الرسمية لحوالي 70,000 مستخدم، وهو وضع يُوضح بجلاء المخاطر الهيكلية للاستعانة بمصادر خارجية للتحقق البيومتري من مزودي خدمات خارجيين.
VRChat: التحقق من الهوية في الواقع الافتراضي
قامت منصة الواقع الافتراضي الاجتماعي VRChat، ذات قاعدة المستخدمين الدولية الواسعة، بتطبيق نظام Persona كشريك للتحقق من العمر. ونظرًا لتزايد المتطلبات التنظيمية للمنصات الإلكترونية، لا سيما في المملكة المتحدة والاتحاد الأوروبي، اضطرت VRChat إلى تطبيق نظام للتحقق من العمر. وقع الاختيار على نظام Persona. كان رد فعل المجتمع قويًا، حيث امتلأت منتديات المستخدمين بتحليلات مفصلة لبنية Persona التحتية، وإشارات إلى ارتباطها بصندوق Thiel Founders Fund، ودعوات جماعية لإعادة النظر في تطبيق النظام.
تؤكد منصة VRChat في بياناتها الرسمية أنها لا تتلقى صورًا لوثائق الهوية أو مسحًا ضوئيًا للوجه، بل قيمة تجزئة فقط لتأكيد التحقق. وتدّعي شركة Persona أيضًا أنها لا تتلقى أي معلومات عن هوية المستخدم داخل VRChat. يتوافق هذا مع بنية حماية البيانات الخاصة بشركة Persona، ولكنه من منظور خصوصية البيانات، يُعد حلاً جزئيًا فقط: إذ تمتلك Persona نفسها جميع البيانات البيومترية الخام، بغض النظر عما يتم مشاركته مع المنصة. ويشير المستخدمون الأوروبيون لمجتمع VRChat، بحق، إلى وجود تقنية الهوية الإلكترونية (eID) - التي تُمكّن من التحقق من العمر دون إرسال بيانات بيومترية - كبديل آمن، إلا أن Persona لا تدعمها صراحةً. ومن منظور حماية البيانات الأوروبي، يصعب تبرير هذا الرفض.
أب وورك: عندما يصبح التحقق من الهوية شرطاً أساسياً للوظيفة
في منصة Upwork، أكبر منصة للعمل الحر في العالم، يُعدّ التحقق من الهوية ذا أثر اقتصادي مباشر. يُطلب من العاملين المستقلين التحقق من هويتهم، إما بشكل استباقي عن طريق دفع 35 نقطة Connect (العملة الداخلية للمنصة)، أو بشكل إلزامي عند التقدم بطلبات للحصول على قروض، أو وظائف خاصة بالولايات المتحدة، أو بعد تعليق الحساب. ويُعرّض من لا يُكمل عملية التحقق خلال سبعة أيام نفسه لخطر تعليق حسابه.
هذا الأمر لافت للنظر من عدة جوانب. أولًا، تربط منصة Upwork التحقق البيومتري مباشرةً بالمشاركة الاقتصادية: فكل من يرغب في العمل والحصول على أجر يجب أن يتم التحقق من هويته، ويتم ذلك عبر بنية تحتية أمريكية تابعة لجهة خارجية. بالنسبة للعاملين المستقلين في الاتحاد الأوروبي، يعني هذا نقل بياناتهم البيومترية إلى النظام القانوني الأمريكي، وهو أمر لا يوجد له بديل عملي. ثانيًا، تسمح Upwork بإعادة التحقق بشكل روتيني: إذ يُبلغ المستخدمون عن مطالبتهم بالتحقق من هويتهم عدة مرات، حتى في غياب سبب واضح. ثالثًا، تتسم سياسة Upwork نفسها بالغموض فيما يتعلق بنطاق معالجة البيانات: فالمنصة تصف التحقق بأنه فحص للهوية دون تحديد تدفقات البيانات الدقيقة إلى Persona أو سياسات تخزين البيانات الخاصة بها.
البنية التحتية الحكومية الخفية: ما يكشفه تسريب الشفرة المصدرية
إن الجانب المقلق حقًا في بنية شركة بيرسونا التحتية ليس ما تُعلنه الشركة علنًا، بل ما كشفه خطأ عشوائي في الإعدادات. ففي فبراير 2026، اكتشف باحثون أمنيون أن 53 ميجابايت من شفرة المصدر لمنصة بيرسونا الحكومية كانت متاحة للعامة دون أي هجوم أو وصول غير مصرح به. وقد ترك نظام بناء Vite خرائط شفرة المصدر متاحة للجميع، وهو خلل تصميمي كشف البنية الداخلية بأكملها.
تجاوزت نتائج الباحثين التوقعات: 2456 ملفًا مصدريًا توثق 269 عملية تحقق مختلفة. تحتوي المنصة، التي تعمل على بنية تحتية حكومية معتمدة من FedRAMP تحت اسم ONYX، على وحدات متكاملة لتقديم تقارير الأنشطة المشبوهة (SARs) مباشرةً إلى FinCEN، شبكة التحقيقات المالية التابعة لوزارة الخزانة الأمريكية، ونظيرتها الكندية FINTRAC. وتتميز المنصة بقواعد بيانات بيومترية للوجه تُطابق مع قوائم المراقبة، ووحدات التعرف على الوجه للأشخاص ذوي النفوذ السياسي (PEP)، و13 نوعًا مختلفًا من قوائم التتبع، بما في ذلك الوجوه وبصمات المتصفح والمواقع الجغرافية. ويُظهر الكود بوضوح إمكانية تخزين قوائم الوجوه البيومترية لمدة تصل إلى 1095 يومًا، أي ثلاث سنوات. في الوقت نفسه، ظهر نطاق فرعي جديد باسم onyx.withpersona-gov.com في سجلات شفافية الشهادات، وهو مرتبط زمنيًا بأداة Fivecast ONYX، وهي أداة مراقبة مدعومة بالذكاء الاصطناعي كلفت بها إدارة الهجرة والجمارك الأمريكية (ICE) بمبلغ 4.2 مليون دولار، وتُجري تقييمات للمخاطر المتعلقة بوسائل التواصل الاجتماعي والشبكة المظلمة. لم يُثبت بشكل قاطع ما إذا كان هذا التطابق في الاسم مجرد صدفة أم ارتباطًا بنيويًا. لكن المؤكد هو أن البنية التحتية الحكومية لشركة Persona تعمل على نفس الأساس التقني للبنية التحتية التجارية التي تدعم LinkedIn وReddit وOpenAI.
الدور المزدوج لبرنامج FedRAMP وبرنامج Persona
أحد الجوانب التي لا تحظى باهتمام كبير في النقاش العام هو حصول شركة بيرسونا على شهادة FedRAMP. FedRAMP - برنامج إدارة المخاطر والتفويض الفيدرالي - هو النظام الأمريكي لاعتماد أمن الخدمات السحابية للوكالات الفيدرالية. في أكتوبر 2025، حصلت بيرسونا على شهادة FedRAMP Low Impact Authorized، وهي في طريقها للحصول على شهادة FedRAMP Moderate Ready. هذا يعني أن بيرسونا أصبحت الآن مزودًا معتمدًا للبنية التحتية للوكالات الفيدرالية الأمريكية. وبالتالي، فإن المنصة التجارية التي تتحقق من مستخدمي LinkedIn والمنصة الحكومية التي توفر خدمات التحقق من الهوية للوكالات الفيدرالية تندرجان تحت مظلة واحدة - منفصلتان تقنيًا من خلال عمليات النشر، ولكنهما قانونيًا وتنظيميًا ضمن نفس الهيكل المؤسسي.
بالنسبة للمستخدمين الأوروبيين، يُعدّ هذا الأمر بالغ الأهمية لأنه يُضفي بُعدًا جديدًا على مسألة قانون CLOUD. يُلزم قانون CLOUD الشركات الأمريكية بمنح السلطات الأمريكية حق الوصول إلى البيانات عند الطلب، بغض النظر عن موقع الخادم. إن شركةً تُعالج في الوقت نفسه بيانات بيومترية تجارية لملايين المستخدمين حول العالم، وتُعدّ في الوقت نفسه مُزوّدًا مُعتمدًا للبنية التحتية للوكالات الفيدرالية الأمريكية، تُمثّل مزيجًا تتداخل فيه الحدود بين الخدمات التجارية والبنية التحتية الحكومية بشكلٍ هيكلي. هذا ليس مجرد شك، بل هو وصفٌ لنموذج العمل.
ما يجب على المستخدمين معرفته والقيام به
إن فهم بنية الشخصية يغير طريقة تقييمنا لقرار يبدو بسيطًا: هل يجب عليّ توثيق ملفي الشخصي على لينكدإن؟ تبدو الزيادة بنسبة 60% في مشاهدات الملف الشخصي مغرية. لكن السؤال الحقيقي هو: ما الفائدة التي سأجنيها؟ الإجابة متعددة الجوانب.
أي شخص يُؤكد هويته عبر منصة Persona على LinkedIn أو Reddit أو OpenAI أو Roblox يُسلّم بياناته البيومترية إلى شركة أمريكية مُعتمدة من FedRAMP كمزود للبنية التحتية الحكومية، وتُديرها مؤسسة Founders Fund التابعة لبيتر ثيل، والتي تشترك في نفس الرئيس المؤسس لشركة Palantir، ويكشف تسريب شفرتها المصدرية عن بنية تحتية للمراقبة تتجاوز بكثير مجرد التحقق من الهوية. يتمتع سكان الاتحاد الأوروبي بحق الوصول إلى بياناتهم ومسحها والاعتراض عليها بموجب اللائحة العامة لحماية البيانات (GDPR). يمكن تقديم طلبات حذف البيانات إلى Persona مباشرةً عبر طلب الوصول إلى بيانات صاحب البيانات (DSAR)، إلا أن العديد من المستخدمين أفادوا بأن Persona ترد على هذه الطلبات بردود آلية وغامضة.
بالنسبة للمنصات نفسها، يكمن الدرس في قرار ديسكورد: المعالجة على الجهاز كمعيار، لا كاستثناء. لا يعني التحقق من العمر بالضرورة مرور البيانات البيومترية الخام عبر بنية تحتية لخوادم أمريكية. توجد أنظمة الهوية الإلكترونية الأوروبية، ومحافظ الهوية الوطنية، وهياكل التحقق اللامركزية كبدائل تقنية. إن عدم استخدامها قرار سياسي واقتصادي، وليس ضرورة تقنية.
السؤال الهيكلي: من يقوم ببناء إنترنت الهويات؟
لا يُقدّم هذا التقرير إجابات، بل يُثير تساؤلاً يزداد إلحاحاً: من ينبغي له السيطرة على بنية الهوية على الإنترنت؟ بحلول عام ٢٠٢٦، ستكون الإجابة الفعلية شركة خاصة في سان فرانسيسكو، ممولة من بيتر ثيل، تضطلع بدور مزدوج كمزود تجاري لخدمات التحقق من الهوية (KYC) وبنية تحتية معتمدة من الحكومة الأمريكية. وقد تحققت لينكدإن من ١٠٠ مليون ملف تعريف ضمن هذا النظام. ويتحقق موقع ريديت من الفئات العمرية تحت ضغط بريطاني، وقريباً على مستوى الاتحاد الأوروبي. ويُخضع موقع روبلوكس ١٥١ مليون مستخدم يومياً لفحص الوجه الإلزامي. وتتطلب شركة أوبن إيه آي التحقق البيومتري للوصول إلى أقوى نماذج الذكاء الاصطناعي في العالم.
هذا التركيز ليس حتميًا، بل هو نتاج قرارات السوق التي تُتخذ في ظل رقابة تنظيمية ضعيفة وانعدام الشفافية العامة. يوفر قانون الذكاء الاصطناعي للاتحاد الأوروبي، واللائحة العامة لحماية البيانات، وحزمة الاتحاد الأوروبي الرقمية، الأدوات القانونية اللازمة لتنظيم هذا التركيز وتعزيز البدائل الأوروبية. ما ينقص هو الإرادة السياسية لتنفيذها، والوعي العام بأن مسألة إدارة الصورة العامة ليست تفصيلًا تقنيًا، بل هي قضية جوهرية تتعلق بالديمقراطية في العصر الرقمي.
