سيادة الذكاء الاصطناعي وفق قانون حماية البيانات الشخصية العُماني: بنية امتثال متكاملة
تخيّل جهةً تنظيميةً عُمانيةً ترغب في نشر نموذج لغوي كبير لمعالجة شكاوى المواطنين. لدى الفريق العتاد، والوثائق، ونموذج عربي مُدقَّق. ترسل الإدارة القانونية سؤالاً واحداً: بموجب المرسوم السلطاني 6/2022، من المتحكّم؟ ما الأساس المشروع؟ أين تقييم الأثر؟ وماذا يحدث حين يطلب مواطن حذف بياناته من النموذج. يتوقّف المشروع ستة أسابيع. هذه هي المحادثة التي تخوضها كلّ مؤسسة عُمانية تُشغّل ذكاءً اصطناعياً على بيانات شخصية، لأنّ قانون حماية البيانات الشخصية أصبح نافذاً بالكامل في 5 فبراير 2026، وتوقّفت الجهة المنظِّمة عن إصدار الإرشادات وبدأت بفرض الغرامات. تستعرض هذه الركيزة القانون، وبند النقل، والأسس المشروعة، وتقييم الأثر، وحقوق أصحاب البيانات، والطبقات القطاعية، وبنية الضوابط الثمانية، وموقف التدقيق.
ما الذي يقوله القانون عن معالجة الذكاء الاصطناعي
قانون حماية البيانات الشخصية، المرسوم السلطاني 6/2022 محايد تقنياً. لا يذكر الذكاء الاصطناعي ولا التعلم الآلي ولا النماذج اللغوية الكبيرة. ما يفعله أنه يُعرِّف البيانات الشخصية تعريفاً واسعاً، ويعرِّف المعالجة تعريفاً واسعاً، ويفرض الالتزامات على من يقرّر سبب وكيفية تلك المعالجة. استدعاء استدلال يأخذ اسم مواطن أو رقم بطاقته أو نص شكواه أو متّجه قياساته الحيوية ويُنتج مخرجاً، هو معالجة بيانات شخصية بلا استثناء. ينطبق القانون على المتحكم والمعالج وأي معالج فرعي في السلسلة.
ثلاث نقاط تعريفية تحسم معظم نقاشات الامتثال للذكاء الاصطناعي في عُمان. أولاً، تشمل "البيانات الشخصية" أي بيانات يمكن من خلالها التعرّف على شخص طبيعي بصورة مباشرة أو غير مباشرة، وهذا يلتقط المُتّجهات (embeddings) وسجلات المُحفِّزات وآثار الاستدلال، لا الأسماء وأرقام البطاقات فقط. ثانياً، تشمل "البيانات الشخصية ذات الطابع الحساس" البيانات الجينية والحيوية والصحية والعِرقية والسياسية والدينية والجنسية والجنائية، وتتطلّب معالجتها تصريحاً من الوزارة بموجب اللائحة التنفيذية. ثالثاً، تُعرَّف "المعالجة" بأنها أي عملية تُجرى على البيانات الشخصية، وهذا يلتقط التدريب والضبط الدقيق والاسترجاع والاستدلال والتسجيل والحذف على حدٍّ سواء.
الالتزامات الرئيسية في القانون هي تلك التي تهمّ مشاريع الذكاء الاصطناعي. تُرسي المادة 5 المبادئ الأساسية (تحديد الغرض، تقليل البيانات، الدقة، السلامة، مدّة الاحتفاظ). تشترط المادة 6 الأساس المشروع. تفرض المادة 13 على المتحكّم واجبات الإخطار والأمن وتقييم الأثر. تُلزِم المادة 19 المتحكّم بتطبيق التدابير الفنية والتنظيمية المناسبة للمخاطر. تحمي المادة 21 حقوق صاحب البيانات. تُنظِّم المادة 23 النقل عبر الحدود وهي البند الذي تتعثّر عنده كلّ مقترحات النماذج اللغوية السحابية. يُظهِر جدول العقوبات المنشور على مدوّنة decree.om الرسمية أنّ مخالفات هذه المواد تستوجب غرامات تبدأ من سقف إداري 2,000 ريال عماني وتصل إلى 500,000 ريال عماني لمخالفات النقل عبر الحدود.
بند النقل عبر الحدود ولماذا يُلغي خيار النماذج السحابية
المادة 23 هي البند الذي يُسقِط بهدوء معظم مقترحات الذكاء الاصطناعي السحابي العام للأعباء العُمانية الحساسة. تُقيّد المادة نقل البيانات الشخصية إلى خارج السلطنة بمعايير تضعها اللائحة التنفيذية. تجعل المادة 37 من اللائحة الصادرة بالقرار الوزاري 34/2024 موافقة صاحب البيانات الشرط الرئيسي، لكنها تضيف شرطين غير قابلَين للتفاوض: ألّا يُخلّ النقل بالأمن الوطني أو المصالح العليا للدولة، وأن يُوفِّر الطرف المستلم حمايةً لا تقلّ عن مستوى القانون نفسه.
بالنسبة للبيانات الشخصية ذات الطابع الحساس، يرتفع السقف. يستلزم تخزين هذه البيانات أو معالجتها خارج عُمان حصول المتحكّم على موافقة من مركز الدفاع السيبراني قبل النقل. هذه هي نقطة الاختناق التشغيلية التي لا يمكن لمقترحات النماذج اللغوية السحابية تخطّيها على نطاق واسع. لا تستطيع شركة سحابية أجنبية تُشغّل خدمة ذكاء اصطناعي إقليمية أن تستوفي اختبار "الأمن الوطني والمصالح العليا" للأعباء الوزارية. ولا يستطيع نقطة استدلال مُدرَّبة في الخارج أن تستوفي اختبار "الحماية لا تقلّ عن القانون" حين يُجيز قانون الدولة الأجنبية وصول أجهزتها الأمنية بصورة قانونية. هذه ليست مشاكل تعاقدية، بل مشاكل اختصاصية.
عقوبة المادة 23 هي الأكبر في القانون. تستوجب المعالجة غير المشروعة للبيانات الشخصية خارج عُمان غرامةً بين 100,000 و500,000 ريال عماني عن كل مخالفة، فضلاً عن التبعات الإدارية وأثر السمعة. يُؤكّد التحليل المهني المنشور على Lexology أنّ الجهة المنظِّمة أرسلت إشارة بالإشراف الفعّال لا بسنة أولى متسامحة. النشر السيادي داخل المؤسسة يُلغي سؤال النقل عبر الحدود بحكم التصميم: إذا كانت البيانات والنموذج والاستدلال والسجلات كلّها داخل محيط المؤسسة، فلا يوجد نقل يستلزم تصريحاً.
الأسس المشروعة للتدريب والاستدلال
كلّ عمل من أعمال معالجة البيانات الشخصية بموجب القانون يحتاج إلى أساس مشروع. يدرج القانون الموافقة، والعقد، والالتزام القانوني، والمصالح الحيوية، والمصلحة العامة، والمصالح المشروعة، بلغة قريبة من المادة 6 من اللائحة العامة الأوروبية. تطرح نشرات الذكاء الاصطناعي ثلاثة أسئلة بشأن الأساس المشروع، يجب الإجابة عليها منفصلةً لا مجتمعةً.
التدريب هو السؤال الأول. إذا كانت المؤسسة تُدقِّق نموذجاً مفتوح الأوزان على مكتبتها الخاصة من البيانات الشخصية (ملفات الموارد البشرية، رسائل العملاء، الملاحظات الطبية)، فالتدريب معالجةٌ بحدّ ذاتها ويحتاج إلى أساس مشروع خاص به. الموافقة نادراً ما تكون الأساس الصحيح للتدريب لأنها قابلة للسحب، والنموذج المُدرَّب لا يمكن إلغاء تدريبه انتقائياً. المصلحة العامة، أو الالتزام القانوني، أو العقد، عادةً ما تكون أكثر ملاءمة للأعباء السيادية. يجب توثيق الأساس المشروع قبل بدء التدريب، لا تعديله لاحقاً.
الاستدلال هو السؤال الثاني. كلّ استدعاء استدلال يعالج بيانات شخصية: المُحفِّز، السياق المُسترجع، والمخرج. الأساس المشروع هنا يختلف غالباً عن أساس التدريب. أساس البنك المشروع لتشغيل نموذج فحص الاحتيال هو تنفيذ العقد والالتزام القانوني وفق قواعد البنك المركزي العُماني. أساس الوزارة المشروع لتشغيل نموذج خدمة المواطنين هو المصلحة العامة. أساس مؤسسة الدفاع المشروع يقع تحت استثناء المادة 3 الخاص بالأمن الوطني. التعيين خاصّ بالمؤسسة وبحالة الاستخدام.
التسجيل هو السؤال الثالث، وأكثر ما تنساه المشاريع. سجلات المُحفِّزات والاستجابات بياناتٌ شخصيةٌ حين تُشير إلى أفراد قابلين للتعرّف. التسجيل مشروع بوصفه إجراءً أمنياً وفق المادة 19 وبوصفه جزءاً من التزامات التدقيق، لكن يجب تحديد مدّة الاحتفاظ، وحصر الوصول وفق الدور، وإدراج السجلات ضمن نطاق طلبات حقوق أصحاب البيانات. السجلّ الذي لا يستطيع أحد البحث فيه باسم صاحب البيانات ليس سجلّاً يمكن إنفاذه ضدّ طلب حذف بموجب المادة 21.
بنية تقييم الأثر للذكاء الاصطناعي السيادي
يستلزم القانون ولائحته التنفيذية إجراء تقييم أثر حماية البيانات لعمليات المعالجة التي تشكّل خطراً عالياً على أصحاب البيانات. الذكاء الاصطناعي على البيانات الشخصية هو الحالة المثالية: معالجة واسعة النطاق، قرارات آلية، تقنية جديدة، واحتمال تنميط. تقييم الأثر ليس تمريناً ورقياً. يستطيع منظِّم الوزارة طلب الاطّلاع عليه أثناء التفتيش، وغياب التقييم في حدّ ذاته مخالفة للمادة 13.
تقييم الأثر القابل للدفاع لنشر ذكاء اصطناعي سيادي يحتوي ستّة مكوّنات. وصف عمليات المعالجة بلغة تشغيلية، لا شعارية. تقييم الضرورة والتناسب مع الأساس المشروع. تحديد المخاطر على أصحاب البيانات، بما فيها التحيّز، والهلوسة، وإعادة إنتاج بيانات التدريب، وتسلّل الوظائف، وإعادة التعرّف على المدخلات شبه المُعرَّفة. وصف التدابير الفنية والتنظيمية، مرتبطةً بضوابط الأمن السيبراني للوزارة. قرار المخاطر المتبقّية، مُوقَّعاً من المسؤول التنفيذي المساءَل. جدول مراجعة، عادةً سنوي أو بعد أيّ تغيير جوهري في النموذج أو المكتبة أو حالة الاستخدام.
تقييم الأثر ليس وثيقةً لمرة واحدة. هو أثر حيّ يُديره مسؤول حماية البيانات على مدار دورة حياة النموذج. حين تُحدِّث المؤسسة من نموذج أساسي بحجم 27 مليار معامل إلى 70 مليار، يُراجَع التقييم. حين تُضاف مكتبة ضبط دقيق جديدة، يُراجَع. حين تُمنح صلاحية الوصول لمجموعة مستخدمين جديدة، يُراجَع. كل مراجعة مؤرَّخة، مُوقَّعة، ومُحتفَظ بها. تُسلَّم نشرات حصن مع نموذج تقييم أثر بالعربية والإنجليزية، يرتبط مباشرةً ببنية مواد القانون، يعبّئه مسؤول حماية البيانات في المؤسسة وفق النشر بعينه.
حقوق صاحب البيانات في عصر النماذج اللغوية
يمنح القانون أصحاب البيانات حقوق الوصول، التصحيح، المحو، النقل، والاعتراض على المعالجة، مع إلزام المتحكّم بالردّ خلال 45 يوماً. ترتبط هذه الحقوق بصورة محرجة بالنماذج اللغوية الكبيرة، ولهذا تكون البنية أهمّ من نصّ السياسة.
حقّ الوصول يستلزم من المتحكّم الإفصاح عن البيانات الشخصية المحفوظة وكيفية معالجتها. لنشر نموذج لغوي كبير، يعني ذلك الإفصاح عن فئات مكتبة التدريب، وبيانات الضبط الدقيق، وفهرس الوثائق المسترجعة، وسجلات المُحفِّزات والاستجابات التي تُشير إلى صاحب البيانات. لا يستلزم الإفصاح عن أوزان النموذج، فهي ليست بيانات شخصية في حدّ ذاتها بل مُخرَجاتٌ معالَجة.
حقّ المحو هو الأصعب تشغيلياً. حذف صفّ من قاعدة بيانات أمر تافه. حذف شخص من نموذج مُدقَّق ليس كذلك. البنية القابلة للدفاع هي الإبقاء على البيانات الشخصية في فهرس الاسترجاع وفي مخزن الوثائق، وكلاهما يدعم الحذف على مستوى الصفّ، والإبقاء على معاملات النموذج المُدقَّق مُدرَّبةً على بيانات مجهولة الهوية أو مُجمَّعة كلّما أمكن. إذا وصل طلب حذف إلى بيانات أُدمِجت في أوزان النموذج، يجب على المتحكّم توثيق التعذُّر التقني، وعرض بديل متناسب (تصفية المخرجات، حظر الاستعلام)، وإخطار صاحب البيانات. يتسق ذلك مع توجيهات المجلس الأوروبي لحماية البيانات وهو الموقف المتوقّع من منظِّم الوزارة.
حقّ التفسير، رغم عدم تسميته صراحةً في القانون، يتفرّع عن الحقوق الأوسع في المادة 21 حين يُؤثِّر قرار آلي على صاحب البيانات. النشر القابل للدفاع للنموذج اللغوي يحتفظ بأثر تدقيق لكلّ قرار، يربط المُدخل، وسياق الاسترجاع، وإصدار النموذج، والمخرج، بما يكفي لمراجِع بشري لإعادة بناء سبب إنتاج مخرَج بعينه. النشرات الصندوقية المغلقة تفشل في هذا الاختبار.
الطبقات القطاعية: المصارف، الصحة، الدفاع
القانون أرضية، لا سقف. تُضيف الجهات التنظيمية القطاعية التزامات طبقية يجب أن يستوعبها أيّ نشر سيادي للذكاء الاصطناعي.
في القطاع المصرفي، يُنظِّم البنك المركزي العُماني كيفية تعامل الجهات الخاضعة لرقابته مع بيانات العملاء، وإدارة مخاطر التقنية، والإشراف على الأطراف الثالثة. مصرف سيادي ينشر نموذج تقييم ائتماني أو فحص احتيال، عليه تمرير النشر عبر إطار مخاطر التقنية القائم، وتوثيق النموذج وفق سياسة إدارة مخاطر النماذج، ومعاملة مورّد الذكاء الاصطناعي كطرف ثالث خاضع للتنظيم. ينطبق سقف المادة 23 للنقل عبر الحدود فوق ذلك، وهو سبب بقاء معظم أعباء الذكاء الاصطناعي للمصارف العُمانية محلّياً اليوم.
في القطاع الصحي، تُضيف وزارة الصحة التزامات السلامة السريرية، والسرية المهنية، وموافقة المريض، فوق متطلّب تصريح البيانات الحساسة في القانون. الذكاء الاصطناعي المنشور لمعالجة صور الأشعة، أو تلخيص الملاحظات السريرية، أو صياغة رسائل الخروج، يعالج فئة بيانات تستلزم تصريح بيانات حساسة وملف سلامة سريرية قطاعياً. النشر السيادي داخل المؤسسة ليس خياراً هنا، بل البنية الوحيدة التي تُلبّي القانون وإطار السرية السريرية في آنٍ معاً.
في الدفاع والأمن الداخلي، يسري استثناء الأمن الوطني في المادة 3، لكنه لا يُلغي واجب العناية. تظلّ مؤسسات الدفاع بحاجة إلى توثيق مستويات التصنيف، وتدقيق الوصول، والتأكّد من ألّا تُسرِّب مخرجات الذكاء الاصطناعي سياقاً مصنَّفاً إلى مستخدمين بصلاحيات أقل. الذكاء الاصطناعي السيادي المعزول عن الشبكة هو النمط المعياري، مقروناً بنظام التصنيف القائم في المؤسسة. الاستثناء يُغيِّر الجهة المُشرِفة، لا الضوابط.
بنية امتثال عملية: ثمانية ضوابط
بنية امتثال قابلة للدفاع لنشر ذكاء اصطناعي سيادي تتّسع في ثمانية ضوابط. اقتصر هنا. تجاوز الثمانية إشارة إلى أنّ العمل السياسي فقد الاتصال بواقع الهندسة.
الضابط الأول، سجلّ الأساس المشروع. جدول مُحدَّث، يدرج كلّ عملية معالجة (تدريب، ضبط دقيق، استدلال، تسجيل، تقييم) والمادة المُجيزة لها. المالك: مسؤول حماية البيانات.
الضابط الثاني، جرد البيانات. خريطة لكلّ مجموعة بيانات تلامس النموذج، مع مستوى التصنيف، المصدر، مدّة الاحتفاظ، ومسار الحذف. المالك: مسؤول البيانات.
الضابط الثالث، تقييم الأثر. الوثيقة الحيّة الموصوفة أعلاه. المالك: مسؤول حماية البيانات، بتوقيع المسؤول التنفيذي المساءَل.
الضابط الرابع، عقد المتحكم والمعالج. صكّ مُلزِم بين المؤسسة (المتحكّم) ومورّد الذكاء الاصطناعي (المعالج)، مُتّسقاً مع اللائحة التنفيذية. المالك: الإدارة القانونية، يُجدَّد سنوياً.
الضابط الخامس، مسار حقوق أصحاب البيانات. إجراء موثّق بساعة الـ 45 يوماً للتعامل مع طلبات الوصول والتصحيح والمحو والاعتراض عبر طبقة النموذج اللغوي. المالك: مسؤول حماية البيانات.
الضابط السادس، الأمن والاستجابة للحوادث. مجموعة ضوابط دليل حوكمة الأمن السيبراني الصادر عن MTCIT، مُطبَّقة على أصول الذكاء الاصطناعي، مع قدرة إخطار خرق خلال 72 ساعة. المالك: رئيس أمن المعلومات.
الضابط السابع، الموقف من النقل عبر الحدود. إقرار مكتوب بأنه لا تخرج أيّ بيانات شخصية من عُمان، مدعوماً بضوابط حركة الشبكة الخارجة وبمخططات معمارية. المالك: رئيس البنية التحتية.
الضابط الثامن، الاحتفاظ بسجلّات التدقيق. مخزن سجلات غير قابل للتغيير، مدّة احتفاظ مُحدَّدة وفق تصنيف البيانات، قابل للبحث بمعرّف صاحب البيانات، مُدرَج ضمن نطاق طلبات المادة 21. المالك: رئيس أمن المعلومات.
ثمانية ضوابط، وثمانية ملّاك مُسمَّون، وثمانية أُطُر يستطيع مفتش الوزارة طلب أيٍّ منها بأيّ ترتيب. هذه هي بنية الامتثال. ما يفوق ذلك مسرحٌ.
موقف التدقيق والتقارير
القطعة الأخيرة هي موقف التدقيق. يمنح القانون الوزارة صلاحيات تفتيش واسعة، وقد أشارت الجهة المنظِّمة إلى أنّ التفتيش سيكون سمةً اعتياديةً لمرحلة الإنفاذ لا حدثاً نادراً. المؤسسة التي تنجو من التفتيش هي التي تستطيع إنتاج الأُطُر الثمانية ضمن نافذة قراءة المفتش، بتواريخ تُظهر أنها مُحدَّثة، لا أُنشِئت في ليلةٍ واحدة.
التدقيق الداخلي هو خطّ الدفاع الأول. ينبغي لوظيفة التدقيق الداخلي أخذ عيّنات من أصول الذكاء الاصطناعي سنوياً مقابل الضوابط الثمانية، ورفع النتائج إلى لجنة التدقيق، ومتابعة الإصلاح حتى الإغلاق. ينبغي للتدقيق الخارجي تضمين أصول الذكاء الاصطناعي ضمن دورة تدقيق تقنية المعلومات القائمة في المؤسسة، مع إدراج مسؤول حماية البيانات في اللجنة. تفتيش الوزارة هو الخط الثالث، ولا ينبغي أن يكون المرة الأولى التي تُمارَس فيها الضوابط.
التقارير الصاعدة تهمّ كذلك. تتوقّع مجالس المؤسسات السيادية الآن تقريراً سنوياً لحوكمة الذكاء الاصطناعي يغطّي النماذج النشطة، تدفّقات البيانات، الأسس المشروعة، تقييمات الأثر، الحوادث، والتغييرات. هذه التقارير ليست في القانون نفسه، بل دالّة نُضج حوكمي، وهي ما يفصل المؤسسات التي تُعامل الذكاء الاصطناعي أصلاً مُداراً عن المؤسسات التي تُعامله مشروعاً جانبياً. الفرق ملحوظ من قِبل الجهة المنظِّمة.
إذا كانت مؤسستك تبني نشراً للذكاء الاصطناعي تحت القانون العُماني أو تُقيّمه، وترغب في لقاء مدّته ساعة مُصاغ وفق قطاعك وضوابطك القائمة وحالة استخدامك، فالخطوة التالية اتّصال. راسلنا على [email protected] أو واتساب +968 9889 9100. نأتي إليك في مسقط أو في أيّ مكان في الخليج، حاملين قالب الضوابط الثمانية، وهيكل تقييم الأثر بالعربية والإنجليزية، وخطّة امتثال مكتوبة وفق جدولك. التسعير بحسب الطلب، يُحدَّد للنشر بعينه.
أسئلة شائعة
متى أصبح قانون حماية البيانات الشخصية العُماني نافذاً، وما الذي تغيّر في ذلك التاريخ؟
صدر القانون بالمرسوم السلطاني 6/2022 ودخل حيّز النفاذ في 13 فبراير 2023، وانتهت الفترة الانتقالية في 5 فبراير 2026 بعد التمديد الأخير بموجب القرار الوزاري 6/2025. منذ ذلك التاريخ، تتولّى وزارة النقل والاتصالات وتقنية المعلومات الإشراف الكامل وإنفاذ القانون. يجوز للجهة المنظِّمة تفتيش المتحكمين، وإيقاف عمليات المعالجة، وفرض الغرامات، وإلغاء التصاريح. لم تعد ثمة فترة سماح.
ما الغرامات الفعلية بموجب القانون على المخالفات المرتبطة بالذكاء الاصطناعي؟
الجدول العقابي متدرّج. تصل الغرامات الإدارية لعدم الامتثال إلى 2,000 ريال عماني عن كل مخالفة، إضافة إلى الإنذارات وإيقاف أو إلغاء تصاريح المعالجة. مخالفات المادة 13 المتعلقة بالإخطار وتقييم الأثر تتراوح بين 5,000 و10,000 ريال عماني. مخالفات مبادئ المعالجة الأساسية في المواد 5 و6 و19 و21 تتراوح بين 15,000 و20,000 ريال عماني. أعلى شريحة هي المادة 23 المنظِّمة للنقل عبر الحدود: تتراوح غرامتها بين 100,000 و500,000 ريال عماني عن كل مخالفة. تُضاف عقوبات تكرار المخالفة والمسؤولية الجزائية فوق ذلك.
من يُعدّ المتحكم عند نشر نموذج لغوي كبير داخل المؤسسة؟
المتحكم هو المؤسسة التي تقرّر سبب وكيفية معالجة البيانات الشخصية، حتى لو كان النموذج موَرَّداً من جهة خارجية. تُعدّ حصن ومؤلفو النموذج ومُصنِّع العتاد معالِجين أو معالِجين فرعيين. المتحكم هو من يوقّع اتفاقية المعالجة، ويعيّن مسؤول حماية البيانات، ويقدّم تقييم الأثر، ويُجري تحليل الأساس المشروع، ويستجيب لطلبات أصحاب البيانات. لا يجوز للمتحكم تفويض المسؤولية إلى المورّد. يطابق ذلك الفصل المعتمد في اللائحة العامة الأوروبية ويتسق مع تعريفات القانون العُماني.
ماذا يحدث إذا كان النموذج مُدرَّباً على بيانات شخصية عربية مأخوذة من الإنترنت العام؟
النماذج مفتوحة الأوزان مثل Falcon Arabic وQwen 3.6 وGemma 4 مُدرَّبة على مكتبات عامة كبيرة. لا يطال القانون عمليات التدريب الأجنبية بأثر رجعي، لكنه يطال استخدام المتحكم للنموذج داخل عُمان. الموقف القابل للدفاع هو معاملة النموذج كأداة، وتركيز تحليل الأساس المشروع على عبء الاستدلال: أيّ بيانات شخصية تُغذّى وقت التشغيل، على أيّ أساس، وبأي مدّة احتفاظ، وبأي ضمانات ضد إعادة إنتاج بيانات التدريب. اختبار الحفظ، وتصفية المخرجات، وتسجيل مصدر المحتوى، إجراءات تخفيف معيارية.
كيف يتفاعل قانون حماية البيانات مع توجيهات MTCIT للأمن السيبراني والسياسة الوطنية للذكاء الاصطناعي؟
قانون حماية البيانات هو القانون المظلّة. يضع دليل حوكمة الأمن السيبراني الصادر عن MTCIT خط الأساس الرقابي للمؤسسات الحكومية، ويُستند إليه كمجموعة الضوابط العملية للمادة 19. تضيف السياسة الوطنية للذكاء الاصطناعي والسياسة العامة للاستخدام الآمن والأخلاقي لأنظمة الذكاء الاصطناعي التزامات الشراء وتصنيف المخاطر ودورة الحياة، خاصة للجهات الحكومية. النشر السيادي داخل المؤسسة يفي بالأنظمة الثلاثة بكونه محلّياً ومُحصَّناً وفق ضوابط MTCIT وموثّقاً وفق نموذج السياسة. الوثائق الثلاث تتراكم ولا تتعارض.
ما طول قائمة الامتثال الموثوقة لنشر الذكاء الاصطناعي تحت القانون؟
ثمانية ضوابط تغطي الالتزامات التي تهمّ عملياً: سجلّ الأساس المشروع، جرد البيانات، تقييم الأثر، عقد المتحكم والمعالج، مسار حقوق أصحاب البيانات، الأمن والاستجابة للحوادث، الموقف من النقل عبر الحدود، الاحتفاظ بسجلّات التدقيق. لكلّ ضابط مالك معيّن وأثر معيّن ودورة تحديث معيّنة. الهدف من سقف الثمانية أن يصبح الامتثال قابلاً للتشغيل لا مجرد عرض. تُسلَّم نشرات حصن مع هذه الأُطر الثمانية مُعدّة مسبقاً، جاهزة لمسؤول حماية البيانات في المؤسسة لتعبئتها وفق حالة الاستخدام.