- كان Surfshark هو برنامج VPN الوحيد الذي رد بشكل شامل على TechRadar DSAR
- شارك المزود تقريرًا تفصيليًا بجميع المعلومات التي يحملها
- على الرغم من كونها مفيدة للشفافية، إلا أن كمية البيانات تثير تساؤلات
عندما اختبرنا كيفية تعامل أفضل خدمات VPN في العالم مع التزاماتها بموجب القانون العام لحماية البيانات (GDPR)، كانت Surfshark هي الخدمة الوحيدة التي تفي بوعودها بالكامل. وبينما كانت الاستجابة بمثابة انتصار للشفافية، فقد كشفت أيضًا عن كمية مذهلة من البيانات المحفوظة.
بموجب المادة 15 من اللائحة العامة لحماية البيانات، يحق للمستخدمين إصدار طلب الوصول إلى موضوع البيانات (DSAR) لأي شركة تعمل في المملكة المتحدة أو الاتحاد الأوروبي.
وهذه الشركات ملزمة قانونًا بتقديم استجابة “شاملة وفي الوقت المناسب”. لقد استوفى Surfshark هذا المعيار بشكل مثير للإعجاب، حيث استجاب بعد أربع ساعات فقط من تقديم طلبنا في 5 يناير 2026.
يستمر المقال أدناه
قدم المزود تقريرًا شاملاً يوضح بالتفصيل المعلومات التي يحتفظ بها على حسابنا. وبينما كنا سعداء بكفاءة الاستجابة ووضوحها، فإن عمق البيانات الهائل يثير تساؤلات كبيرة.
ما هي البيانات التي يجمعها Surfshark؟
من تقرير Surfshark's DSAR، يمكننا أن نرى أن المزود يحتفظ بالبيانات التالية حول مستخدميه:
- معرف المستخدم: وهو عبارة عن معرّف فريد عالمي (UUID) دائم يربط كل خدمة (Surfshark VPN، وAlternative ID، وSurfshark Antivirus، وIncognito) معًا.
- ملف تعريف الجهاز: يعرف الموفر نوع الجهاز الذي تستخدمه (Windows، وMac، وما إلى ذلك) وما إذا كان لديك حماية 2FA نشطة أم لا.
- التوقيع المالي: يقوم Surfshark بتخزين سجل كامل لـ “معرف الدافع” والبريد الإلكتروني الخاص بالدفع. تتضمن التفاصيل أيضًا المبلغ المدفوع، وحالة الدفع، وما إذا كنت قد استخدمت قسيمة، والعملة الخاصة بك.
- الاشتراكات: تمتلك الشركة أيضًا سجلاً حافلًا بجميع اشتراكاتك – سواء كانت نشطة أو ملغاة أو منتهية الصلاحية – وخدماتك المشتركة مع تواريخ الإنشاء وانتهاء الصلاحية.
- تاريخ البرامج الضارة: هذه قائمة بكل التهديدات التي اكتشفها تطبيق Surfshark Antivirus على جهازك، بما في ذلك اسم البرنامج الضار ونوع التهديد والجهاز الذي تم حظره فيه وبلد المستخدم.
- تذكرة الدعم: يقوم الموفر أيضًا بتسجيل جميع تذاكر الدعم التي أصدرها المستخدم وترتبط برقم وتاريخ مرجعي.
ما تكشفه البيانات
ذكرت Surfshark في تقريرها أنها تعالج بيانات المستخدم فقط “لأغراض محددة ومحددة بوضوح”. ويشمل ذلك تقديم الخدمات والتحليلات ودعم العملاء والامتثال للمتطلبات القانونية والمحاسبية.
على الرغم من أن هذه الممارسات لا يبدو أنها تنتهك سياسة الخصوصية الخاصة بـ Surfshark، إلا أن التفاصيل الدقيقة للبيانات المقدمة تثير عدة نقاط قلق للمستخدم المهتم بالخصوصية.
1. الدليل الورقي لمكافحة الفيروسات
وكان الاكتشاف الأكثر إثارة للدهشة هو قسم “سجلات البرامج الضارة لمكافحة الفيروسات”. لا يوضح التقرير أن لديك اشتراك أمان نشطًا فحسب، بل يسرد الأسماء المحددة للبرامج الضارة المكتشفة على جهازك، والجهاز المستخدم أثناء الاكتشاف، وموقعك على مستوى الدولة في ذلك الوقت.
على الرغم من أن هذا قد لا يعرض سرية هويتك على الفور، إلا أنه يثير سؤالًا مهمًا: لماذا يقوم مزود VPN بتخزين سجل مركزي لإصابات جهازك المحلي؟ في نموذج يتمحور حول الخصوصية حقًا، يتوقع المرء أن يتم مسح هذه البيانات مباشرة بعد انتهاء الجلسة.
وقال متحدث باسم الشركة إن تخزين هذه المعلومات كان مفيدًا للعائلات التي تستخدم المنتج. وفي رد مكتوب لـ TechRadar قالت الشركة:
“نظرًا لأن العديد من مستخدمينا يديرون الأمان لأسرهم بأكملها ضمن حساب واحد، فإن مركزية هذه البيانات ستسمح لهم بمراقبة التهديدات عبر جميع أجهزتهم من لوحة تحكم واحدة.
“وبهذه الطريقة، سنكون قادرين على توفير الرؤية اللازمة للمستخدمين لتحديد المخاطر الأمنية ومعالجتها، مما يضمن بقاء أسرهم محمية بغض النظر عن الجهاز الذي يستخدمونه.”
2. تخزين الهوية الدائمة
لقد ظهر عنوان بريدنا الإلكتروني الحقيقي بشكل متكرر في جميع أنحاء التقرير، حيث كان بمثابة الخيط المشترك الذي يربط معرف الدافع (المالي) ومعرف المستخدم (الفني) في ملف تعريف موحد واحد.
مرة أخرى، يتماشى هذا مع سياسة Surfshark، ولكنه يعني أنه يظل من الممكن التعرف على المستخدمين في حالة حدوث خرق للبيانات.
لقد تحركت بعض شبكات VPN بالفعل للتخفيف من هذه المخاطر. على سبيل المثال، قام المزود السويدي Mullvad بإلغاء الاشتراكات المتكررة لتجنب الاحتفاظ بمثل هذه البيانات، في حين تسمح Windscribe بإنشاء حساب بدون عنوان بريد إلكتروني بالكامل.
وقالت الشركة إنه ليس لديها خطط للسماح بحسابات بدون عناوين بريد إلكتروني، رغم أنها قالت إنها تدرس باستمرار “المزيد من النماذج سريعة الزوال”.
وقالت إن الاحتفاظ بعنوان بريد إلكتروني “أمر ضروري لتوفير تجربة اشتراك شفافة” وأن نهج الشركة “مصمم لتحقيق التوازن بين خصوصية المستخدم وأمان الحساب الضروري والتواصل الاستباقي ودعم العملاء الفعال”.
3. مدة الاحتفاظ سبع سنوات
غالبًا ما ترتبط الخصوصية بكونها “عابرة” – ولا تترك أي أثر. ومع ذلك، يُظهر نظام DSAR الخاص بـ Surfshark استمرارًا مسجلاً.
من خلال الاحتفاظ بسجلات المدفوعات ورموز الخصم المحددة (مثل COMEBACK_70) لأكثر من سبع سنوات، يحتفظ Surfshark برابط دائم بين حسابك البنكي الحقيقي وشخصيتك الرقمية.
وفي عصر الهجمات السيبرانية المتطورة، علينا أن نسأل: هل من الضروري تخزين مثل هذه المعرفات الحساسة لمدة تقرب من عقد من الزمن؟ بالنسبة للكثيرين، فإن خطر التسرب يفوق الراحة.
ردًا على هذه النتائج، قال متحدث باسم الشركة إن تخزين معلومات الدفع “يعد بشكل صارم مسألة امتثال لمكافحة غسيل الأموال، ومنع الاحتيال، والتزامات المحاسبة القانونية”.
وأضافوا: “نهجنا الحالي مصمم لتحقيق التوازن بين خصوصية المستخدم وأمان الحساب الضروري والتواصل الاستباقي والدعم الفعال للعملاء”.
4. التنميط الآلي
يتضمن التقرير إفصاحًا إلزاميًا بخصوص “اتخاذ القرار الآلي”. يعترف Surfshark باستخدام “كميات محدودة من المعلومات الشخصية” لتقييم سلوكيات معينة للمستخدم.
في حين أن هذا مطلب وظيفي شائع لشركات التكنولوجيا الحديثة، إلا أنه يتلاءم بشكل غير مريح مع التسويق “بدون سجلات”. يلجأ معظم مستخدمي VPN إلى هذه الأدوات على وجه التحديد لتجنب تصنيفهم بواسطة شركات التكنولوجيا الكبرى.
في حين أن جمع البيانات يمكن أن يساعد في تحسين المنتج، فإننا نعتقد أن هذا يجب أن يكون “اشتراكًا” اختياريًا وليس حالة افتراضية لشركة خصوصية.
وقال Surfshark إن اتخاذ القرار الآلي تم استخدامه “لتقييم أهلية المستخدم للحصول على خصومات الاشتراك”. ومع ذلك، نظرًا لتصميمها الخالي من السجلات، تعتمد هذه العمليات على معلومات اشتراك محدودة جدًا – مثل طول الاشتراك ونوع الخطة.
الحكم النهائي
إن انتقال Surfshark إلى هولندا والتزامها الواضح بالامتثال للقانون العام لحماية البيانات (GDPR) يجعلها واحدة من أكثر شبكات VPN شفافية وخضوعًا للمساءلة في السوق.
ومع ذلك، نتوقع أن تعمل الشبكات الافتراضية الخاصة على مبدأ “تقليل البيانات” – حيث تجمع فقط الحد الأدنى المطلوب لتقديم الخدمة. يبدو أن تخزين قائمة مركزية لعدوى البرامج الضارة المحلية للمستخدم لسنوات يتجاوز هذا الحد الأدنى.
إذا قرر مقدم الخدمة تسجيل تفاصيل غير ضرورية مثل سجل الإصابة بجهاز الكمبيوتر الخاص بك اليوم، فإن ذلك يشكل سابقة مثيرة للقلق لما قد يختار تسجيله غدًا.
لقد تواصلنا مع Surfshark للتوضيح وسنقوم بتحديث هذه المقالة بمجرد تلقي الرد.
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
التعليقات