بند نقل البيانات عبر الحدود في قانون حماية البيانات الشخصية العُماني وأثره على الذكاء الاصطناعي

تنتهي كل محادثة شراء للذكاء الاصطناعي في عُمان عند نقطة واحدة. يسأل ضابط الامتثال أين تذهب البيانات حين يُستدعى النموذج، فيتطوّع شخص حول الطاولة بإجابةٍ نصفها تسويق ونصفها أمنية. أما الإجابة الجادّة فتقيم في بند قصير من المرسوم السلطاني 6/2022، وثلاث مواد من لوائحه التنفيذية الصادرة عام 2024. تستعرض هذه المقالة ما تشترطه هذه النصوص فعلياً، وما الذي يعنيه قول «خرجت البيانات من عُمان» في زمن النماذج اللغوية لعام 2026، والموقف الامتثالي الذي ينبغي على المشتري السيادي وضعه على قائمة التحقق قبل توقيع أي عقد.

المرسوم السلطاني 6/2022، قراءة مباشرة لبند النقل عبر الحدود

صدر قانون حماية البيانات الشخصية العُماني بموجب المرسوم السلطاني 6/2022 في 9 فبراير 2022، بفترة انتقالية انتهت في 5 فبراير 2026. وقاعدة النقل عبر الحدود مقتضبة. تُجيز المادة 23 للمتحكم نقل البيانات الشخصية إلى خارج السلطنة «وفقاً للضوابط والإجراءات التي تحدّدها اللائحة»، وتحظر صراحةً النقل إذا جرت معالجة البيانات على نحوٍ مخالف للقانون أو إذا كان النقل مُلحقاً للضرر بصاحبها. وتحفظ المادة 8 للوزارة سلطة وقف أي نقل إلى دولة أخرى أو منظمة دولية. كما أن المادة 23 تخضع صراحةً «للاختصاصات المقرّرة لمركز الدفاع الإلكتروني»، ليصبح المركز هو حارس البوابة للفئات الحساسة.

وتأتي اللوائح التنفيذية لعام 2024 لتُكمل الضوابط. فالمادة 37 تجعل موافقة صاحب البيانات أساساً كافياً للنقل ما لم يمسّ ذلك بالأمن الوطني أو المصالح العليا للدولة. والمادة 38 تُحمّل المتحكم مسؤولية التحقق من أن الجهة المعالِجة الخارجية تتمتع بحماية «لا تقلّ» عن المعيار العُماني. والمادة 39 هي تقييم أثر النقل الذي يجب أن يدعم هذا التحقق. أما البيانات الشخصية الحساسة فتضيف طبقة موافقة فوق ذلك كله. ويُلاحظ التعليق القانوني على لوائح 2024 أن عُمان، خلافاً للاتحاد الأوروبي، لا تنشر قائمةً بـ«ولايات قضائية تتمتع بكفاية الحماية». المتحكم هو من يتحمل عبء التقييم حالةً بحالة وجهةً بجهة.

ماذا يعني «خروج البيانات من عُمان» لاستدعاء نموذج لغوي

بالنسبة لمؤسسةٍ تُشغّل أحمال ذكاء اصطناعي، تستدعي أربعة تدفقات تطبيقَ منطق المادة 23، وأغلب عروض المشتريات لا تعترف إلا بتدفقَين منها.

• حركة الاستدلال. الطلب نفسه، إضافةً إلى أي رسالة نظام، وأي حمولة استدعاء أداة. إذا توجّه الطلب إلى نقطة نهاية أجنبية وضمّ اسم مواطن عُماني، أو رقماً مدنياً، أو رقم حساب، أو واقعة طبية، أو حتى صورة، فهذا نقل عبر الحدود لحظة فتح الاتصال المُشفّر. أما تخزين النقطة الأجنبية للبايتات من عدمه، فمسألة ثانوية.
• سياق الاسترجاع RAG. تستجلب خطوة الاسترجاع المعزِّز للتوليد عادةً من مدوّنة بيانات تحوي بياناتٍ شخصية. وحتى إن كانت المدوّنة على أراضٍ عُمانية، فإن المقاطع المُلحَقة بالطلب وقت الاستدلال تنتقل معه إلى النموذج، فترى النقطة الأجنبية تلك المقاطع.
• بيانات التدريب والمعايرة. شحن بيانات شخصية بكميات كبيرة إلى الخارج لمعايرة نموذج يحمل التزامات المادة 23 ذاتها، مع قلقٍ إضافي هو أن النموذج المُعاير قد يحفظ سجلاتٍ ويُعيد إصدارها لاحقاً.
• القياس عن بُعد وتدفقات الدعم. سجلات التشغيل، وآثار الطلبات، وتقارير الأخطاء، ومقاييس الأداء تُشحن عادةً افتراضياً إلى الولاية القضائية للمورد. وتحوي تلك السجلات شظايا بيانات شخصية بانتظام. وهي أكثر تدفقات النقل عبر الحدود تجاهُلاً في لوحات المتابعة المؤسسية.

أي بنية ذكاء اصطناعي تعامل استدعاء الاستدلال وحده على أنه النقل تكون نصف مبنيّة. الموقف الدفاعي يغطي التدفقات الأربعة، أو يبرّر صراحةً المخاطرة المتبقية في كل واحد منها.

الأُسس المشروعة لنقل البيانات

يفتح القانون عدة طرق عبر المادة 23. ولكلٍّ منها كلفة تشغيلية حقيقية.

• الموافقة الصريحة وفق المادة 37. ممكنة لتدفقات العملاء الفردية حيث يمكن إبلاغ صاحب البيانات لحظة الجمع. وصعبة في أحمال الذكاء الاصطناعي بين المؤسسات حين تأتي البيانات الشخصية بالجملة من أطراف ثالثة (موظفو عملاء المؤسسة، طلبة المعاهد الشريكة، مرضى مُحوَّلون من خارجها). كما أن الموافقة لا تُلغي واجب كفاية الحماية في المادة 38.
• الكفاية بقرار من المتحكم. لا تُحدّد لوائح 2024 ولاياتٍ قضائية كافية بالنظام. المتحكم هو من يقرّر، وثيقةً بوثيقة، إن كانت الجهة الأجنبية تتمتع بحماية مكافئة للمعيار العُماني، وهو من يتحمل العبء إن خالفت الوزارة أو القضاء قراره لاحقاً.
• الضمانات التعاقدية. الشروط التعاقدية الموحّدة، واتفاقيات معالجة البيانات، والتعهدات المُلزمة للمعالِج هي حصان العمل. تتسق جيداً مع ما تفعله المؤسسات العُمانية الكبرى أصلاً في عقود السحاب والبرمجيات. لكنها لا تُبطل قانوناً أجنبياً يُلزم المعالِج بالكشف عن البيانات بأمر من دولته الأم.
• القواعد المُلزِمة داخل المجموعة. مفيدة داخل الشركات متعددة الجنسيات للتدفقات بين كياناتها، وأقل صلة بسياقات المشتري السيادي الذي يكون فيه مورد الذكاء الاصطناعي خارجياً.

لا يستعصي أيٌّ من الأربعة. لكنها تتطلّب جميعاً تدقيقاً وتوثيقاً مستمرَّين، ويقع العبء على المتحكم العُماني لا على المورد الأجنبي.

لماذا لا تحلّ ادّعاءات «الاستضافة الإقليمية» لدى مزودي الحوسبة الكبرى المسألة كاملة

تروّج عدة سحابات عامة لتعهدات إقامة بيانات مرتبطة بأقاليم خليجية أو شرق أوسطية. تُعين هذه التعهدات في سرديّة الإقامة، لكنها لا تحسم سؤال النقل عبر الحدود لأحمال الذكاء الاصطناعي. وذلك لثلاثة أسباب.

أولاً، نادراً ما تُحبس طبقة التحكم الخاصة بالذكاء الاصطناعي في الإقليم نفسه الذي تُحبس فيه طبقة التخزين. تبقى أوزان النموذج، ومهام المعايرة، وإدارة الهوية، وإدارة المفاتيح، وأدوات الدعم في الولاية الأم للمورد عادةً، حتى حين يجلس بيان العميل إقليمياً. ثانياً، يتبع امتداد القانون الأجنبي الشركةَ الأم لا مركز البيانات. وقد جسّد حكم محكمة العدل الأوروبية في قضية شريمز الثانية هذه النقطة عملياً في تدفقات الاتحاد الأوروبي إلى الولايات المتحدة، فأبطل اتفاق «درع الخصوصية» لأن وصول الاستخبارات الأمريكية يقوّض الكفاية بصرف النظر عن مكان التخزين الفعلي. والمنطق ذاته ينطبق على مزود سحابة كبرى أجنبي يستضيف بياناتٍ عُمانية: امتداد الولاية القضائية لدولة الشركة الأم، لا موقع الخادم، هو الذي يضع الحد الأدنى للكفاية. ثالثاً، اختبار «حماية لا تقلّ عن المعيار العُماني» في المادة 38 هو التزام شفافية. على المشتري أن يكون قادراً على فحص ضوابط المعالِج الأجنبي واختبارها وإعادة التحقق منها مع الزمن. وتُصعّب عتمة طبقات التحكم الأجنبية الكبيرة اجتياز هذا الاختبار على الورق، وإن كان الواقع التشغيلي قد يكون مقبولاً.

الموقف الامتثالي لمشتري الذكاء الاصطناعي في عُمان

بالنسبة لمشترٍ سيادي، تقود القراءة الأوضح للمادة 23 مع المواد 37 إلى 39 إلى قائمة قصيرة من المتطلبات البنيوية. أن يجري النشر داخل محيط المشتري، أو على الأقل داخل الولاية القضائية العُمانية بلا طبقة تحكم أجنبية. وأن تحلّ النماذج مفتوحة الأوزان محلّ استدعاءات الواجهات البرمجية حتى لا تعبر حركة الاستدلال الحدود. وأن تقيم مفاتيح التشفير على عتاد تتحكم فيه المؤسسة. وأن يكون لكل تدفق متبقٍّ يعبر الحدود تقييم أثر نقل موثّق، مُسوَّغ بالموافقة أو الكفاية أو العقد وفق المادة 39. وأن يكون القياس عن بُعد محلياً أولاً، مع تجهيل أي بيانات دعم قبل تصديرها. مجموع ذلك هو العمود الفقري لـامتثال الذكاء الاصطناعي العُماني بوصفه موقفاً عملياً لا شعاراً.

إن كانت مؤسستك ترسم خارطة طريق ذكائها الاصطناعي على بنود القانون أعلاه، نقدّم لقاءً تعريفياً مدّته ساعة، مفصَّلاً لقطاعك ولفئات بياناتك. راسلنا على [email protected] أو واتساب +968 9889 9100. سنستعرض معك تدفقات النقل في حزمتك، والأُسس المشروعة لكلٍّ منها، وبنيةً قابلة للدفاع تحلّها. الأسعار بحسب الطلب، مُقاسة وفق متطلباتك الخاصة.