تخطَّ إلى المحتوى
← العودة إلى Insights

سلسلة النماذج المتعددة بنية قانونية، لا مجرد بنية تقنية

طبقة اختيار النموذج واجهة قانونية، لا مجرد قرار يتعلق بالبنية التحتية: فكل قفزة احتياطية تُرسل بيانات المستخدم إلى كيان جديد، خاضع لقانون جديد، وفق سياسة احتفاظ بالبيانات لم يُفصح عنها أحد.

28 يونيو 2026 · Quantum Nexus Ventures FZCO

حين تبني سلسلة احتياطية من نماذج الذكاء الاصطناعي، فأنت لا تتخذ قراراً تقنياً محضاً. بل تتخذ سلسلة من القرارات القانونية، قراراً لكل نموذج في السلسلة، قرارات على الأرجح لا تفصح عنها سياسة الخصوصية لديك، ولا يدرجها جدول اتفاقية معالجة البيانات الخاصة بك، ولم يوافق عليها مستخدموك.

تبدو البنية نظيفة: إذا كان النموذج الأساسي غير متاح أو تجاوز سعته، يُحال الطلب إلى النموذج الثانوي، ثم الثالث. أما البنية القانونية فتبدو مختلفة: تُنقل بيانات المستخدم نفسها إلى ثلاثة كيانات قانونية متمايزة، يخضع كل منها لقانون وطني مختلف، ويعمل كل منها وفق سياسة احتفاظ بالبيانات مختلفة، ويخضع كل منها لنظام مختلف من طلبات الوصول الحكومية.

لا أحد في مجال الذكاء الاصطناعي يتحدث عن هذا.

سلسلة المعالِجين من الباطن

بموجب المادة 28 من اللائحة العامة لحماية البيانات (GDPR)، يجب على المتحكم أن يستعين بالمعالِجين بموجب عقد ملزم (المادة 28(3)) يغطي موضوع المعالجة ومدتها، وطبيعتها والغرض منها، ونوع البيانات الشخصية، وفئات أصحاب البيانات، والتزامات المتحكم وحقوقه. ولا يجوز للمعالِج الاستعانة بمعالِج من الباطن إلا بإذن خطي مسبق من المتحكم (المادة 28(2))، ويجب أن يفرض عليه التزامات حماية البيانات ذاتها بموجب عقد، مع بقائه مسؤولاً مسؤولية كاملة أمام المتحكم (المادة 28(4)). وعندما تضم سلسلتك ثلاثة مزودي نماذج، فكل منهم معالِج أو معالِج من الباطن يجب أن تُدخله السلسلة ضمن عقد من هذا النوع.المصادر: المادة 28 من اللائحة العامة لحماية البيانات

تملك معظم الشركات التي تبني على واجهات برمجة تطبيقات الذكاء الاصطناعي اتفاقية معالجة بيانات (DPA) واحدة: مع المزود الذي تستخدمه أساساً. أما المزودون الاحتياطيون فإما أنهم غير مدرجين على قائمة المعالِجين من الباطن إطلاقاً، أو مدرجون دون وجود اتفاقية معالجة بيانات ملزمة. وحين يُحال الطلب إلى النموذج الثانوي، يكون نقل البيانات غير مصرَّح به تقنياً بموجب اللائحة العامة لحماية البيانات.

وهذا ليس أمراً نظرياً. فقد أصدرت سلطات حماية البيانات غرامات كبيرة بسبب الكشف عن بيانات شخصية لمتلقين دون أساس صحيح، أو نقلها دون ضمانات كافية — غرامة النرويج البالغة 65 مليون كرونة نرويجية ضد Grindr لمشاركتها بيانات مع شركاء إعلانيين دون موافقة صحيحة، وغرامة هيئة حماية البيانات الهولندية البالغة 290 مليون يورو ضد Uber لنقلها بيانات السائقين إلى الولايات المتحدة دون ضمانات كافية بموجب المادة 44. وكون النقل قد جرى آلياً ودون علم المتحكم بحدوثه لا يلغي المسؤولية. بل قد يزيدها.المصادر: قرار Grindr · قرار Uber

إشكالية الاختصاص القضائي

إقامة البيانات والاختصاص القضائي ليسا أمراً واحداً. فقد يُشغّل مزود نموذج خوادمه في فرانكفورت بينما يظل خاضعاً لقوانين دولة تأسيسه. ويكتسب هذا التمييز أهمية بالغة حين تضم السلسلة مزودين مؤسسين في دول لديها قوانين وصول إلى البيانات ذات أثر خارج الحدود.

تنص المادة 7 من قانون الاستخبارات الوطني الصيني (2017، المعدَّل 2018) على أن جميع المنظمات والمواطنين يجب أن «يدعموا ويساعدوا ويتعاونوا مع جهود الاستخبارات الوطنية وفقاً للقانون» — وهو واجب تعاون واسع، وإن كان مقيداً بمعيار «وفقاً للقانون» وبالحمايات الواردة في المادة 8. ويضيف قانون حماية المعلومات الشخصية الصيني (PIPL) نظامه الخاص بنقل البيانات إلى الخارج (المادتان 38 و39). ويسري كلاهما على الشركات المؤسسة في الصين بصرف النظر عن موقع خوادمها.المصادر: قانون الاستخبارات الوطني

لا يوجد قرار كفاية بين الاتحاد الأوروبي والصين. ونقل البيانات الشخصية من مستخدم أوروبي إلى مزود ذكاء اصطناعي صيني — بما في ذلك عبر واجهة برمجة تطبيقات إلى مزود قد تكون خوادمه في أوروبا لكن كيانه الأم صيني — يجب أن يستند إلى أداة نقل بموجب الفصل الخامس من اللائحة العامة لحماية البيانات، وعملياً إلى البنود التعاقدية القياسية (SCC) مدعومة بتقييم أثر النقل وأي تدابير تكميلية ضرورية (والموافقة الصريحة بموجب المادة 49 ليست سوى استثناء ضيق). وخلافاً لعمليات النقل بين الاتحاد الأوروبي والولايات المتحدة، لم تبتّ محكمة العدل للاتحاد الأوروبي (CJEU) في كفاية هذه الضمانات بالنسبة للصين كما فعلت في قضية Schrems II، مما يترك للمصدِّرين مهمة تقييم قانون المراقبة الصيني — بما في ذلك قانون الاستخبارات الوطني — بأنفسهم.المصادر: Schrems II (C-311/18) · توصيات المجلس الأوروبي لحماية البيانات 01/2020

حين تضم سلسلتك مزودين من اختصاصات قضائية متعددة، تصبح كل قفزة بين النماذج عملية نقل عابرة للحدود محتملة. لقد وافق المستخدم على استخدام منصتك. لكنه لم يوافق على كل عملية نقل على حدة.

تتابع الاحتفاظ بالبيانات

لكل مزود في سلسلتك سياسة احتفاظ بالبيانات خاصة به. وحتى لو ادّعى الثلاثة جميعاً أنهم لا يدرّبون على بيانات واجهة برمجة التطبيقات، فإن فترات الاحتفاظ لأغراض التسجيل ومراقبة إساءة الاستخدام وأغراض البنية التحتية تتباين. والطلب الذي يُحال إلى النموذج الثالث قد يُحتفظ به لمدة مختلفة ووفق سياسة مختلفة عن طلب عالجه النموذج الأساسي.

المشكلة العملية أنك لا تستطيع تدقيق ذلك. يمكنك قراءة سياسة الخصوصية. لكنك لا تستطيع تفتيش بنية الاحتفاظ بالبيانات الفعلية. وحين يمارس مستخدم حقه في المحو بموجب المادة 17 من اللائحة العامة لحماية البيانات، يمكنك حذف البيانات من أنظمتك وتقديم طلبات حذف إلى كل مزود. لكنك لا تستطيع التحقق من أن عمليات الحذف تلك قد نُفّذت. ولا تستطيع تقديم دليل على الامتثال.المصادر: المادة 17 من اللائحة العامة لحماية البيانات

فجوة الإفصاح

تُلزم المادتان 13(1)(هـ) و14(1)(هـ) من اللائحة العامة لحماية البيانات المتحكمين بإبلاغ أصحاب البيانات، وقت الجمع، بمتلقي بياناتهم الشخصية — أو على الأقل بفئات المتلقين. وقائمة المعالِجين من الباطن التي تسمّي مزود النموذج الأساسي دون مزوديك الاحتياطيين قائمة منقوصة. وحين يُفعَّل الخيار الاحتياطي، تكون قد نقلت بيانات إلى معالِج لم يُفصح عنه في إشعار الخصوصية.المصادر: المادة 13 · المادة 14

ويكتسب هذا أهمية قصوى حين يكون الخيار الاحتياطي صامتاً: يرسل المستخدم استعلاماً، ويكون النموذج الأساسي غير متاح، فيُعاد توجيه الطلب إلى النموذج الثانوي، ويتلقى المستخدم رداً دون أي إشارة إلى أن مزوداً مختلفاً عالج بياناته. لم يتحقق توقّعه المعقول في لحظة الإرسال.

كيف تبدو بنية الامتثال ذات الحد الأدنى القابل للتطبيق

الحل ليس إلغاء السلاسل الاحتياطية. فلهندسة الموثوقية أسباب مشروعة لها. الحل هو معاملة البنية القانونية للسلسلة بالصرامة ذاتها التي تُعامَل بها بنيتها التقنية.

وهذا يعني: اتفاقية معالجة بيانات موقّعة مع كل مزود في السلسلة قبل معالجة أي بيانات. وقائمة معالِجين من الباطن تعكس السلسلة الفعلية، بما فيها الخيارات الاحتياطية. وإشعار خصوصية يُفصح عن مجموعة المعالِجين المحتملين بالكامل، أو على الأقل عن فئات المعالِجين بحسب الاختصاص القضائي. وآلية تسجيل تدوّن أي مزود عالج كل طلب، حتى يمكن توجيه طلبات المحو بدقة. وتقييم أثر نقل لأي مزود يخضع لقوانين وصول حكومي ذات أثر خارج الحدود.

لا شيء من هذا معقّد تقنياً. التعقيد تنظيمي: فهو يستلزم معاملة طبقة اختيار النموذج كواجهة قانونية، لا مجرد قرار يتعلق بالبنية التحتية.

الفجوة التي تهمّ

استثمرت صناعة الذكاء الاصطناعي بكثافة في شرح ما تفعله النماذج. لكنها لم تستثمر شيئاً يُذكر في توثيق وجهة البيانات حين تُربط النماذج في سلسلة. الأول إشكالية شفافية النماذج. والثاني إشكالية حوكمة البيانات، وهو الذي سيظهر أولاً في التطبيق الرقابي.

السلسلة التي تعالج البيانات بنية قانونية. وينبغي أن تُصمَّم بوصفها كذلك.

هذا مقال رأي وقيادة فكرية. وهو لا يُعدّ استشارة قانونية أو مالية.