قوانين التحقق من العمر تبني شبكة مراقبة عالمية
تنتشر قوانين التحقق من العمر في الولايات المتحدة والمملكة المتحدة والبرازيل بهدف معلن هو حماية القاصرين على الإنترنت. لكن تحقيقاً تقنياً مفصلاً أجراه مشروع TBOTE يؤكد أن البنية التحتية المُجمَّعة للامتثال لهذه القوانين تعمل بوصفها شيئاً أوسع بكثير: نظام مراقبة بيومترية عابر للحدود يضم معالجي بيانات غير مُفصَح عنهم، ومصادقة هاتفية صامتة، ووحدات تقارير حكومية مُدمجة مباشرةً في الكود البرمجي.
يستند التحقيق، الذي جرى تحديثه في أبريل 2026، إلى تحليل DNS، وفك تجميع حزم SDK، وسجلات شفافية الشهادات، وسجلات السجل التجاري للشركات، وملفات SEC EDGAR. وجميع المصادر المستشهد بها متاحة للعموم.
نقطة ثيل المحورية: مستثمر واحد، جانبان من خط أنابيب البيانات
يتعلق أحد النتائج الهيكلية المحورية للتحقيق بشخص بيتر ثيل. فقد شارك ثيل في تأسيس شركة Palantir Technologies، التي تبيع تحليلات المراقبة للحكومات والشركات حول العالم. كما أن صندوق رأس المال الاستثماري الخاص به، Founders Fund، هو المستثمر الرئيسي في شركة Persona، وهي شركة متخصصة في التحقق من الهوية تُدمَج حزمة SDK الخاصة بها في منصات تتراوح بين Roblox وRobinhood.
يصف مشروع TBOTE هذا الأمر بأنه نقطة تقاطع بين "الجمع والتحليل": فالمساهم المالي نفسه يستفيد من كلٍّ من التقاط بيانات الهوية البيومترية ومن التحليلات المُنجَزة على تلك البيانات في مرحلة لاحقة. لا يدّعي التحقيق وجود تنسيق بين Persona وPalantir على مستوى المنتج، غير أنه يوثّق هيكل الملكية المشتركة بوصفه حقيقة جوهرية لا يُفصَح عنها للمستخدمين الذين يتفاعلون مع تدفقات التحقق الخاصة بـ Persona.
يُفيد التحقيق بأن الكود المصدري المسرَّب لـ Persona، الذي جرت مراجعته كجزء من التحقيق، يحتوي على 269 فحص تحقق، و43 نوعاً من أنواع التحقق، ووحدات تقارير حكومية مبنية خصيصاً لـ FinCEN وFINTRAC، وهما وحدتا الاستخبارات المالية للولايات المتحدة وكندا على التوالي.
ما كشف عنه التحليل التقني
أسفر فك تجميع حزمة SDK عن نتائج محددة تتجاوز مخاوف الخصوصية المعتادة.
اكتُشف مفتاح تشفير AES مُضمَّن بشكل ثابت في حزمة SDK الخاصة بـ Persona، وقد جرى تدويره في الإصدار 1.15.3 بعد الإفصاح عن هذه الثغرة، مما يشير إلى أن المشكلة قد تأكدت ومعولجت. كما كانت حزمة SDK تفتقر إلى تثبيت الشهادات، وهو إجراء أمني معياري يمنع اعتراض البيانات أثناء النقل عبر هجمات الوسيط.
رُصد تشغيل سبع خدمات تحليلات في آنٍ واحد خلال جلسة تحقق اعتيادية. وقد حُدِّدت شركة Telesign، المملوكة بصورة رئيسية لشركة Proximus، مشغّل الاتصالات البلجيكي المملوك للدولة، بوصفها تُجري مصادقة شبكية صامتة دون إشعار المستخدم. كما وُجد أن التحقق من الهاتف على مستوى شركة الاتصالات يجري عبر Vonage دون علم صريح من المستخدم.
يعتمد مكوّن التعرف على الوجه في نظام Persona على شركة Paravision، التي حلّت في المرتبة الأولى في تقييم دقة المقاييس الحيوية الصادر عن وزارة الأمن الداخلي الأمريكية. ووفقاً للتحقيق، لا تظهر Paravision في صفحة معالجي البيانات الفرعيين المُفصَح عنهم علناً من قِبَل Persona. وقد حدّد مشروع TBOTE 12 معالج بيانات يصفها بأنها غير مُفصَح عنها.
كشف تعداد النطاقات الفرعية لـ withpersona.com عن 197 نطاقاً فرعياً، من بينها 65 بيئة تجريبية كشفت عن خدمات تعلم آلي داخلية، وقاعدة بيانات رسومية حُدِّدت بأنها TigerGraph، وبوابة للوصول إلى AAMVA، وهي رابطة إدارات المركبات الآلية الأمريكية التي تدير بيانات رخص القيادة عبر الولايات الأمريكية.
يوثّق التحقيق أيضاً تشغيل LinkedIn لأربعة مزودي تحقق هوية منفصلين في آنٍ واحد، إلى جانب ما يصفه بحزمة مراقبة صينية موازية في ملف APK الأندرويد ذاته، تشمل تكامل نظام تسجيل الائتمان الاجتماعي Sesame Credit، ومصادقة شركة الاتصالات ShanYan، ومعرّفات الأجهزة الحكومية.
وقد وُجد أن Roblox، المنصة التي تضم شريحة واسعة من المستخدمين الأطفال، تضمّ حزمة Persona SDK الكاملة بما فيها وظيفة قراءة جوازات السفر عبر NFC، داخل تدفق تحقق لا يستطيع المستخدمون الخروج منه دون إتمامه وفقاً لما أفاد به التحقيق.
ما يعنيه هذا بالنسبة لك
لا يؤكد تحقيق مشروع TBOTE أن التحقق من العمر في حد ذاته أمر غير مشروع. بل إن حجته أكثر تحديداً: فالبنية التحتية المبنية لتنفيذ التحقق من العمر تمتلك قدرات تقنية وهياكل ملكية تمتد إلى ما هو أبعد بكثير من أي حالة استخدام منفردة للتحقق من السن.
بالنسبة للمستخدمين العاديين على الإنترنت، يعني هذا أن الامتثال لطلب التحقق من العمر على منصة ألعاب أو شبكة اجتماعية أو موقع محتوى للبالغين قد ينطوي على معالجة بيانات بيومترية من قِبَل أطراف ثالثة متعددة غير مُفصَح عنها، ومصادقة على مستوى شركة الاتصالات دون إشعار مرئي، وتدفق بيانات إلى أنظمة ذات وظائف إعداد تقارير حكومية.
تخلق التفويضات التشريعية في أكثر من 25 ولاية أمريكية، وفي البرازيل والمملكة المتحدة، ما يسميه التحقيق "سوقاً إلزامية" لهذه الخدمات. وتشير الدراسة إلى أن Meta أنفقت 26.3 مليون دولار على الضغط التشريعي المرتبط بهذا القانون. وتُحدَّد قاعدة بيانات Serpro البرازيلية، التي تحتفظ بسجلات تخص نحو 220 مليون مواطن برازيلي، بوصفها جزءاً من البيئة التحتية التي تعمل ضمنها هذه الأنظمة للتحقق.
يُشار إلى تقاطع التحقق من الهوية مع البنية التحتية لعملاء الذكاء الاصطناعي بوصفه مصدر قلق ناشئ. يرى التحقيق أن التحقق من الهوية يجري تأهيله ليكون شرطاً مسبقاً للمشاركة في المعاملات الآلية على الإنترنت بشكل أعم، لا مجرد المحتوى المقيّد بالسن.
خطوات عملية يمكن اتخاذها
يمكن للقراء الراغبين في فهم مدى تعرضهم لهذه البنية التحتية اتخاذ عدة خطوات عملية.
أولاً، راجع سياسات الخصوصية والإفصاحات المتعلقة بمعالجي البيانات الفرعيين لأي منصة طلبت منك إتمام عملية التحقق من الهوية. ولاحظ ما إذا كان مزودو التعرف على الوجه وخدمات مصادقة شركات الاتصالات مدرجين فيها.
ثانياً، كن على دراية بأن "التحقق من العمر" على منصة ما لا يعني أن بياناتك تبقى حصراً لدى تلك المنصة. فالتحقق القائم على حزمة SDK يوجّه البيانات عبر أنظمة هوية تابعة لجهات خارجية، لكل منها ممارساتها الخاصة في الاحتفاظ بالبيانات ومشاركتها.
ثالثاً، تابع التطورات التشريعية في نطاق ولايتك القضائية. فالقوانين التي تشترط التحقق من العمر تُفرز التزامات قانونية على المنصات، مما يدفع بدوره إلى اعتماد البنية التحتية الموصوفة في هذا التحقيق. ومعرفة ما تفرضه ولايتك أو دولتك أمر ضروري لفهم البيانات التي قد تضطر إلى تقديمها لاستخدام خدمات معينة على الإنترنت.
التحقيق الكامل لمشروع TBOTE، بما يشمل منهجيته ووثائقه المصدرية، متاح للعموم. وتمثّل نتائجه واحداً من أكثر التحليلات العامة تفصيلاً من الناحية التقنية لصناعة التحقق من العمر حتى الآن، والأسئلة التي يطرحها بشأن الإفصاح وتدفقات البيانات وتضارب المصالح الهيكلية يُرجَّح أن يواصل المنظمون والصحفيون والباحثون في مجال الخصوصية دراستها.
