APFlow
EN عربي احجز مكالمة
توطين البيانات الامتثال التشريعات

أين يُسمح لذكائكم الاصطناعي أن يعمل: توطين البيانات في دول الخليج

في دول الخليج، يقرر القانون أكثر فأكثر أين يُعالَج ما يخضع للتنظيم من البيانات. لماذا قد يكون إرسالها إلى واجهة ذكاء اصطناعي سحابية نقلاً عابراً للحدود عليكم الدفاع عنه، وكيف تُبقون الذكاء الاصطناعي في الجانب الصحيح.

APFlow
المدونة · يونيو ٢٠٢٦ · ٨ دقائق
Rows of server drive bays with green status lights inside a data center
Photo: Domaintechnik Ledl.net, Unsplash
TL;DR
  • ·معظم أنظمة حماية البيانات في الخليج (السعودية والإمارات والبحرين وقطر وعُمان) تطبَّق حتى على الشركات خارج البلد، وتعدّ نقل البيانات الشخصية إلى الخارج مقيَّداً بشكل افتراضي.
  • ·وفي البنوك والصحة والجهات الحكومية يرتفع السقف. فالبنك المركزي السعودي يتوقع أن تُعالَج بيانات العملاء وتُخزَّن داخل المملكة ما لم يمنح استثناءً، وضوابط الحوسبة السحابية الوطنية تربط مكان التشغيل بتصنيف البيانات.
  • ·واستدعاء واجهة ذكاء اصطناعي سحابية عامة يرسل بياناتكم إلى الخارج، وقد يكون ذلك نقلاً عابراً للحدود عليكم تبريره. أما تشغيل النموذج داخل البلد على بنية تتحكمون بها فيُلغي مسألة النقل من أساسها.

تريدون تشغيل الذكاء الاصطناعي على أهم بياناتكم: سجلات العملاء والملفات المالية والسجلات الطبية وملفات القضايا. وفي الخليج لم يعد السؤال الأصعب هل يستطيع النموذج قراءتها، بل هل يُسمح للنموذج بأن يلمسها هنا. فالقانون يقرر أكثر فأكثر أين يجوز لتلك البيانات أن تُقيم وتُعالَج، واستدعاء واحد لواجهة ذكاء اصطناعي عامة في الخارج قد يضعكم في الجانب الخطأ.

قاعدة واحدة تحت كل نظام بيانات خليجي

أصدرت دول الخليج جميعها نظاماً للبيانات الشخصية: نظام حماية البيانات الشخصية في السعودية، الذي تشرف عليه الهيئة السعودية للبيانات والذكاء الاصطناعي وصار نافذاً بالكامل منذ سبتمبر ٢٠٢٤؛ والمرسوم الاتحادي لحماية البيانات في الإمارات، المطبَّق منذ ٢٠٢٢؛ وقانون البحرين من ٢٠١٨؛ وقانون قطر من ٢٠١٦، وهو الأول في المنطقة؛ وقانون عُمان الذي يصير نافذاً بالكامل في فبراير ٢٠٢٦. أما الكويت فلا قانون شاملاً لديها بعد، وإن كان متوقعاً. وتتكرر فكرتان في هذه الأنظمة كلها. فهي تنطبق حتى على شركة خارج البلد إن عالجت بيانات المقيمين فيه، ونقل البيانات الشخصية إلى خارج البلد مقيَّد ما لم تجتازوا بوابات محددة: الموافقة، أو إثبات أن الجهة المستقبِلة تحمي البيانات بقدر كافٍ، أو ضمانات تعاقدية معتمدة، أو تقييم مخاطر موثّق.

وإن كانت فكرة التوطين نفسها جديدة عليكم، فابدؤوا بالشرح المبسّط في توطين البيانات في الشرق الأوسط وشمال أفريقيا، ثم عودوا إلى هنا للتفاصيل بحسب كل بلد.

البنوك والمستشفيات والحكومة ترفع السقف

تأتي قواعد القطاعات فوق القانون العام وهي أكثر صرامة. ففي السعودية يتوقع البنك المركزي (ساما) أن تُعالَج بيانات عملاء البنوك والمعلومات الاقتصادية المهمة وتُخزَّن داخل المملكة ما لم يمنح استثناءً، ونقل تلك البيانات إلى الخارج يحتاج إذنه. كما تضيف ضوابط الأمن السيبراني للحوسبة السحابية من الهيئة الوطنية للأمن السيبراني متطلبات توطين، وتُلزمكم باتباع تصنيف البيانات الصادر عن مكتب إدارة البيانات الوطنية، الذي يرتب البيانات في أربعة مستويات. لذا فإن إبقاء البيانات داخل البلد، بالنسبة لمؤسسة خاضعة للتنظيم، أقرب إلى الأصل منه إلى الخيار.

لماذا تُعدّ واجهة الذكاء الاصطناعي السحابية نقلاً عليكم الدفاع عنه

حين تستدعون واجهة ذكاء اصطناعي عامة، ينتقل أمركم والبيانات التي بداخله إلى خوادم في بلد آخر وتُعالَج هناك. وهذا في نظر هذه القوانين نقل عابر للحدود. وعندها يلزمكم التوثيق: أساس نظامي، وربما إثبات كفاية الحماية أو شروط تعاقدية معيارية، وللبيانات الحساسة أو واسعة النطاق تقييم مخاطر موثّق. وقد نشرت الجهة المنظِّمة في السعودية دليلاً لتقييم مخاطر النقل من هذا النوع في مطلع ٢٠٢٥. أما أشد البيانات تنظيماً فقد لا تسمح قواعد القطاع بنقلها أصلاً، باستثناء أو بغير استثناء.

SAR 5M
هو سقف العقوبة الواحدة بموجب نظام البيانات في السعودية، ويمكن أن يتضاعف عند تكرار المخالفة. وإساءة استخدام البيانات الشخصية الحساسة عمداً قد تصل عقوبتها إلى السجن سنتين. والمسؤولية تقع على المؤسسة التي تحتفظ بالبيانات، لا على مورّد السحابة وحده.

كيف تُبقون الذكاء الاصطناعي في الجانب الصحيح

  1. 1 صنّفوا البيانات أولاً
    اربطوا كل مجموعة بيانات بفئات جهتكم المنظِّمة. ففي السعودية يستخدم مكتب البيانات الوطني أربعة مستويات، وتستخدم بقية دول الخليج درجات مشابهة. والفئة، لا حالة الاستخدام، هي التي تقرر ما يُسمح به.
  2. 2 ضعوا قاعدة لكل فئة
    كلما ارتفعت الفئة وجب أن تبقى داخل البلد أكثر. فالبيانات العامة والقليلة الحساسية لديها مجال للحركة. أما البيانات السرية والمالية والصحية والشخصية فلا تغادر الحدود عادة.
  3. 3 شغّلوا النموذج حيث تُقيم البيانات
    بالنسبة للفئات الخاضعة للتنظيم، عالِجوا البيانات بنموذج يعمل داخل البلد على بنية تتحكمون بها. وما دام لا شيء يغادر الحدود، فلا يوجد نقل عابر للحدود يستوجب التقييم. وتُوازَن المفاضلات في الذكاء الاصطناعي المحلي مقابل السحابي.
  4. 4 احتفظوا بسجل تدقيق
    يسأل المدققون سؤالاً بسيطاً: إلى أين ذهب هذا السجل، ومن لمسه. فسجّلوا كل وصول وكل إجراء لتستطيعوا الإجابة. وهناك نمط عملي في سجل تدقيق الذكاء الاصطناعي.
  5. 5 وثّقوا القرار
    لكل مسار عمل، دوّنوا الأساس النظامي وفئة البيانات ومكان المعالجة. فهذا الملف هو دفاعكم إن سألت جهة منظِّمة يوماً، وهو يحوّل قلقاً غامضاً إلى ضابط موثّق.

الخليج، بلداً بلداً

السعودية: نظام البيانات الشخصية نافذ ويُطبَّق فعلياً، وفوقه ضوابط القطاع المالي والحوسبة السحابية الوطنية. الإمارات: قانون اتحادي مطبَّق منذ ٢٠٢٢، بينما تدير المناطق المالية الحرة أنظمتها المنفصلة. البحرين: قانون منذ ٢٠١٨ يقيّد النقل إلى الخارج. قطر: الأول في المنطقة، من ٢٠١٦. عُمان: قانون يصير نافذاً بالكامل في فبراير ٢٠٢٦. الكويت: لا قانون شامل بعد، وإن كان متوقعاً، وثمة تنظيم يغطي بيانات الاتصالات. والاتجاه في الدول الست واحد. فمزيد من البيانات يُسحَب إلى داخل البلد، والمسؤولية على المؤسسة التي تحتفظ بها.

الخلاصة

في أنحاء الخليج تتقارب القواعد على غريزة واحدة: أبقوا البيانات الخاضعة للتنظيم، والذكاء الاصطناعي الذي يقرؤها، داخل البلد. وأنظف طريقة لتحقيق ذلك أن تتوقفوا عن نقل البيانات وتجلبوا النموذج إليها بدلاً من ذلك. وقبل الإنتاج، نفّذوا تجربة مُقاسة على مستنداتكم الخاصة لتثبتوا الدقة والتوطين في الخطوة نفسها.

شارك

ضعوا عمليةً واحدة في الإنتاج.

مكالمة من ١٥ دقيقة، ثم تقييم حقيقي لما يستطيع الوكيل تشغيله على خوادمكم.

احجز مكالمة تقييم ←
تابع القراءة
A modern bank vault door
الامتثال

توطين البيانات في الشرق الأوسط وشمال أفريقيا: دليل مبسط للمؤسسات الخاضعة للتشريعات التنظيمية

مايو ٢٠٢٦ · ٦ دقائق
Stacked documents and records
التدقيق

سجلّ تدقيق يقبله المنظّم لقرارات الذكاء الاصطناعي

أبريل ٢٠٢٦ · ٥ دقائق