الخدماتالتقييمالمصادرمن نحنتواصل معنا
EN
← المصادر
حوكمة البيانات

الذكاء الاصطناعي الخفي انتهاك لنظام حماية البيانات قبل أن يكون مشكلة تقنية

يُنشئ الموظفون الذين يستخدمون أدوات الذكاء الاصطناعي غير المصرح بها أنشطة معالجة بيانات شخصية غير موثقة. ينظر نظام حماية البيانات إلى المنظمة — لا الموظف — باعتبارها المتحكم في البيانات.

7 April 2026

الطبيعة القانونية للذكاء الاصطناعي الخفي في ظل نظام حماية البيانات

الذكاء الاصطناعي الخفي — أي استخدام الموظفين لأدوات وخدمات الذكاء الاصطناعي دون تفويض مؤسسي أو مراجعة من قِبَل الجهات المختصة بالمشتريات أو إشراف موثق — ليس في جوهره مسألةً تتعلق بحوكمة التقنية. فبموجب نظام حماية البيانات الشخصية، هو مسألة امتثال لضوابط معالجة البيانات، وتترتب المسؤولية على المنظمة من اللحظة التي يُدخل فيها موظفٌ بيانات شخصية إلى نظام غير مصرح به.

يُعرّف نظام حماية البيانات "المتحكم في البيانات الشخصية" بأنه الجهة التي تحدد أغراض ووسائل معالجة البيانات الشخصية. فحين يستخدم موظف أداةَ ذكاء اصطناعي استهلاكية لمعالجة سجلات العملاء أو بيانات الموظفين أو أي بيانات شخصية أخرى في إطار أداء عمله، فإن المنظمة هي المتحكم، والموظف يتصرف بوصفه وكيلاً عنها. كون المعالجة وقعت على منصة غير مصرح بها لا يقطع علاقة التحكم، بل يُضاعف المسؤولية بإضافة إخفاق الرقابة إلى نشاط المعالجة غير الموثق.

التزام سجل معالجة البيانات

تُلزم المادة 13 من نظام حماية البيانات ولوائحه التنفيذية المتحكمين بالاحتفاظ بسجل شامل لأنشطة معالجة البيانات الشخصية. يجب أن يوثّق هذا السجل كل نشاط معالجة، والأساس القانوني لها، وفئات أصحاب البيانات والبيانات الشخصية المعنية، والمستلمين أو فئاتهم (بما يشمل المعالجين الخارجيين)، ومدد الاحتفاظ بالبيانات، ومعلومات النقل العابر للحدود حيثما ينطبق.

يُنشئ الذكاء الاصطناعي الخفي أنشطة معالجة غائبة بطبيعتها عن هذا السجل. فالمعالجة تجري عبر خدمة ذكاء اصطناعي تابعة لطرف ثالث، مما يعني أيضاً وجود علاقة معالج غير موثقة. وإن كانت خدمة الذكاء الاصطناعي تلك تخزن المدخلات أو تحتفظ بها أو تستخدمها لأغراض تدريب النماذج، فقد تكون البيانات خاضعة لنقل عابر للحدود دون أساس قانوني موثق. موظف واحد يستخدم أداة ذكاء اصطناعي غير مصرح بها يمكن أن يُنشئ في آنٍ واحد ثلاثة إخفاقات امتثالية متمايزة في ظل نظام حماية البيانات: نشاط معالجة غير مسجل، وعلاقة معالج غير موثقة، ونقل عابر للحدود غير موثق.

مخاطر إخطار الحوادث

يُلزم نظام حماية البيانات المتحكمين بإخطار هيئة البيانات والذكاء الاصطناعي بخروقات البيانات الشخصية في غضون 72 ساعة من الاطلاع على الخرق حيثما كان من المرجح أن يُلحق الخرق ضرراً بأصحاب البيانات. ويُفرز الذكاء الاصطناعي الخفي مشكلة محددة وجسيمة تتعلق بهذا الالتزام: كثيراً ما تعجز المنظمات عن الامتثال لمتطلبات إخطار الخرق في الحوادث التي تطال أنظمة لم تكن تعلم بأنها تُستخدم لمعالجة بيانات شخصية.

إن تعرضت أداة ذكاء اصطناعي استهلاكية لخرق بيانات أو حادث أمني يكشف البيانات الشخصية التي أدخلها موظف إلى تلك الأداة، فربما لا تعلم المنظمة بالحادث عبر قنوات رصدها المعتادة. فلا علاقة تعاقدية تربطها بالمورد تُفضي إلى إخطار بالحادث، ولا سجلات بالبيانات المُرسَلة، وإجراءات الاستجابة للحوادث لديها على الأرجح لا تأخذ في الحسبان الذكاء الاصطناعي الخفي باعتباره سطحاً محتملاً للخرق. والنتيجة أن المنظمة ستتجاوز على الأرجح نافذة الإخطار البالغة 72 ساعة، مضيفةً إخفاق الإخطار إلى انتهاك المعالجة الأصلي.

ما يجب أن تتضمنه سياسة الاستخدام المقبول للذكاء الاصطناعي

سياسة الاستخدام المقبول للذكاء الاصطناعي ضابط ضروري لمخاطر الذكاء الاصطناعي الخفي لكنه غير كافٍ وحده. كي تكون فعّالة ضمن إطار امتثال نظام حماية البيانات، يجب أن تتناول السياسة بتحديد ما يلي:

  • نطاق الحظر: نص صريح يقضي بعدم جواز إدخال البيانات الشخصية — بما تشمل بيانات العملاء والموظفين وأي معلومات تتعلق بأشخاص طبيعيين محددي الهوية أو قابلين لتحديدها — في أي أداة أو خدمة ذكاء اصطناعي لم تخضع لعملية مراجعة المشتريات وحماية البيانات المعتمدة في المنظمة.
  • تعريف الأدوات المعتمدة: قائمة محدَّثة بأدوات الذكاء الاصطناعي التي جرى تقييمها واعتمادها وتوثيقها بوصفها معالجين في سجل معالجة البيانات، مع فئات البيانات والأغراض المعتمدة لكل أداة.
  • التزام الإبلاغ: آلية تُمكّن الموظفين من الإبلاغ عن أدوات الذكاء الاصطناعي التي يعلمون باستخدامها خارج القائمة المعتمدة، وعملية لتقييمها بسرعة ثم اعتمادها أو حظرها.
  • التبعات: نص صريح يُقرر أن الاستخدام غير المصرح به لأدوات الذكاء الاصطناعي مع البيانات الشخصية يُشكّل انتهاكاً لضوابط التعامل مع البيانات، مع تحديد التبعات ضمن إطار السياسة التأديبية وسياسة حماية البيانات.
  • التدريب: تدريب موثق يكفل إدراك الموظفين لفئات المعلومات التي تُشكّل بيانات شخصية بموجب نظام حماية البيانات، ولأسباب تعريضهم المنظمةَ للمخاطر القانونية جراء إدخال تلك البيانات في أنظمة غير مصرح بها.

فجوة الحوكمة التي يكشف عنها الذكاء الاصطناعي الخفي

الذكاء الاصطناعي الخفي عَرَضٌ لفجوة في الحوكمة لا سببٌ لها. حين يلجأ الموظفون إلى أدوات ذكاء اصطناعي غير مصرح بها، يكون ذلك في الغالب لأن المنظمة لم تُوفر أدوات مصرح بها تلبي احتياجاتهم الإنتاجية، أو لأن عملية اعتماد الأدوات الجديدة بالغة البطء أو الغموض بحيث يجد الموظفون طريقاً للتحايل عليها. معالجة الذكاء الاصطناعي الخفي من خلال الحظر المحض — دون توفير مسار مصرح به يمكن التعامل معه لاعتماد أدوات الذكاء الاصطناعي — هو نهج تطبيق يصنع مظهر الامتثال دون جوهره.

المقاربة المتوافقة مع نظام حماية البيانات في التعامل مع الذكاء الاصطناعي الخفي تستلزم ثلاثة عناصر تعمل معاً: حظرٌ محدد ومُبلَّغ به، ومسارٌ مصرح به يسهل الوصول إليه وسريع بصورة معقولة، وسجلُ معالجة بيانات يُحدَّث بصفة نشطة ويعكس واقع أدوات الذكاء الاصطناعي المستخدمة فعلياً داخل المنظمة.

الخطوة التالية

افهم مستوى تعرضك على مستوى البنود.

احصل على تقييم جاهزية الذكاء الاصطناعي المجاني — 15 دقيقة، نتائج فورية، مرتبطة بنظام حماية البيانات وNCA ECC-2:2024 وهيئة البيانات.

ابدأ التقييم