كل المقالات
٢٣ مايو ٢٠٢٦ في المملكة مقابل السيادة في البيانات

في-المملكة لا يساوي سيادي: أساطير إقامة البيانات في 2026

مقدّمة: الخَلْط الذي يَكْلِف الحكومات الخليجيّة عقودًا غير صالحة

كمؤسّس Annota8 وَخَدَمْتُ في الجانبَيْن — بَنَيْت لِجِهات حكوميّة خليجيّة وَتَفَاوَضْت مع مُشْتَرِين أمريكيّين سابقًا — أرى الخَلْط نفسه يَتَكَرَّر. الفريق التقني في وزارة سعوديّة يَكْتُب RFP بِشَرْط: «إقامة البيانات داخل المملكة، شهادة من NDMO، توافق مع PDPL». بائع يُجِيب: «نُوَفِّر منطقة AWS Riyadh، شهاداتنا كلّها سليمة». الصفقة تُغْلَق. بَعْد سنة، تَأْتِي القضيّة: مُوَاطن من بلد آخر يُقَاضِي شركة أمريكيّة في محكمة فيدراليّة أمريكيّة، ويُطْلَب من AWS تَسْلِيم بيانات تتعلّق بالمُتَّهَم — وَهذه البيانات مَوْجُودَة في منطقة الرياض، بِخُصُوصِ مُوَاطن سعودي ثالث.

السؤال القانوني يَصِير: هل تَلْتَزِم AWS بأمر المحكمة الأمريكيّة، أم تَلْتَزِم بِالسياسة السعوديّة المَحَلِّيَّة لِحِمَايَة البيانات؟ الإجابة، وفقًا لِقانون CLOUD Act، هي: AWS تَلْتَزِم بِالأمر الأمريكي. الحكومة السعوديّة قد تَكُون لها سبيل اعتراض، لكنّ السبيل ليس تلقائيًّا، وفي أغلب الحالات لا يَعْلَم العميل بِما حَدَث.

هذا ليس سيناريو افتراضي — هذه ممارسة قانونيّة قائمة منذ 2018. التَّفْصِيل أدناه.

ما الذي يَقُوله US CLOUD Act فعلًا

قانون “Clarifying Lawful Overseas Use of Data Act” مُرِّر في مارس 2018 كَتَعْدِيل على Stored Communications Act الأصلي لعام 1986. الجوهر القانوني في فقرة واحدة:

“A […] provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.”

ترجمة عمليّة: أيّ شركة أمريكيّة تَمْلِك أو تَتَحَكَّم في بيانات — حيثما كانت في العالم — مُلْزَمَة بِتَسْلِيمها لِسُلْطَات أمريكيّة بِأمر قضائي صحيح. الموقع الجغرافي للمَخْدِم لا يُغَيِّر شيئًا.

AWS شركة تابعة لـ Amazon — أمريكيّة. Microsoft Azure — أمريكيّة. Google Cloud — أمريكيّة. Oracle Cloud — أمريكيّة. كلّها خاضعة لـ CLOUD Act على بياناتها العالميّة، بما فيها مناطقها in-Kingdom.

التعديل في 2018 جَاء بَعْد قضيّة Microsoft Corp. v. United States (المعروفة بـ “Microsoft Ireland Case”) التي وَصَلَت إلى المحكمة العُلْيَا الأمريكيّة. مايكروسوفت رَفَضَت تَسْلِيم رسائل بريد إلكتروني مَخْزَّنَة في أيرلندا، الكونغرس مَرَّر CLOUD Act بَعْدها لِيُغْلِق الفجوة، والقضيّة أُلْغِيَت كَ “moot”.

الإطار القانوني السعودي المُقَابِل

في الجانب الآخر، السعوديّة تَمْلُك:

إطار العمل السعودي يَقُول: البيانات المُصَنَّفَة «سرّي» أو «سرّي للغاية» يَجِب أن تَبْقَى على بِنْيَة تَحْتِيَّة سياديّة — وَالسياديّة هنا لا تَعْنِي فقط «داخل المملكة».

ما الذي يَجْعَل بنية تحتيّة «سياديّة» فعلًا

السيادة الحقيقيّة، كَمَا تَعْرِفها أُطُر العمل الأوروبيّة (Gaia-X) والفرنسيّة (SecNumCloud) وَكَمَا تَتَّجِه السعوديّة، تَتَطَلَّب على الأقلّ خمس طبقات:

أولًا: الإقامة الفيزيائيّة — المَخْدِم والبيانات داخل الحدود الوطنيّة. هذه الطبقة هي ما يُقَدِّمه AWS Riyadh و Microsoft Azure UAE North.

ثانيًا: الولاية القضائيّة — الكيان القانوني المُشَغِّل خاضع للقانون الوطني فقط، لا قانون أجنبي. هذه الطبقة هي التي تَفْشَل فيها مناطق المُزَوِّدِين العالميّين — لأنّ الكيان الأمّ أمريكي، فالشركة كلّها خاضعة لـ CLOUD Act.

ثالثًا: المِلْكِيَّة — المُسَاهَمَة الغالبة (أو الكاملة) في الكيان المُشَغِّل تَعُود لِمُوَاطنين/كيانات وَطنيّة. هذا يُقَلِّل فُرْصَة ضَغْط أجنبي.

رابعًا: القوّة العاملة — مَن لديه access إلى المَخْدِمات والبيانات؟ إن كان موظّفو AWS الأمريكيّون أو الهنود لديهم admin access إلى المنطقة السعوديّة، حتّى لو فيزيائيًّا في الرياض، فالطبقة مَكْسُورَة. السيادة الحقيقيّة تَتَطَلَّب أن يَكون التَّشْغِيل اليومي بِيَدَيْ مُوَاطنين سعوديّين مُؤَهَّلِين أمنيًّا.

خامسًا: التَّشْفِير والتَّحَكُّم بِالمَفَاتِيح — مَفاتيح التَّشْفِير يَجِب أن تَكون مَحْفُوظَة في HSM داخل المملكة، تَحْت إدارة العميل، بحيث لو وَصَل أمر CLOUD Act إلى AWS، الشركة قَادِرَة على القول صادقة: «نَمْلِك البيانات المُشَفَّرَة، لا نَمْلِك المَفَاتيح».

الطبقات الخمس مُجْتَمَعَة تُنْتِج «سيادي». الطبقة الأولى وحدها تُنْتِج «in-Kingdom». الفرق ضخم.

أين تَفْشَل عروض السحابة العالميّة بدقّة

أَتَنَاوَل أربعة بائعين بصراحة بناءً على وثائقهم العامّة كما هي عام 2026:

AWS Riyadh Region (افتُتِحت 2024): إقامة فيزيائيّة سليمة. الولاية القضائيّة فاشلة (Amazon Inc. أمريكيّة). المِلْكِيَّة فاشلة. القوّة العاملة مُخْتَلَطَة. التَّشْفِير يَدْعَم KMS مع HSM — لكنّ AWS تَحْتَفِظ بنُسَخ نُسْخ احتياطيّة من المَفَاتيح في بعض السيناريوهات. AWS أَعْلَنَت عن “AWS Sovereign Cloud” لِأوروبا 2024-2025، لم تُعْلِن مُكَافِئ للسعوديّة بَعْد.

Microsoft Azure UAE North & KSA (مُتاحة جزئيًّا): نفس الإشكاليّة. Microsoft Inc. أمريكيّة. شراكتها مع G42 في الإمارات أَنْشَأَت طبقة وَسِيطَة، لكنّ G42 لها التزامات أمريكيّة من جهتها (استثمارات Microsoft فيها، اتّفاقيّات تصدير تقنيّ مع واشنطن). السياديّة في هذا الترتيب موضع جدل قانوني جدّي.

Google Cloud (GCP) Doha (افتُتِحت 2023): نفس البنية. Alphabet Inc. أمريكيّة.

Oracle Cloud KSA: نفس البنية. Oracle أمريكيّة.

البائعون الذين يَقْتَرِبون من السياديّة الحقيقيّة هم بائعون مَحَلِّيّون: STC Cloud، Mobily Cloud، NourNet، Salam Cloud — كيانات سعوديّة بمِلْكِيَّة سعوديّة، خاضعة للقانون السعودي فقط، بقوّة عاملة سعوديّة. الفجوة الوحيدة عندهم: نُضْج الخدمة مقارنة بـ AWS. هذه فجوة تَنْغَلِق بسرعة.

ماذا يَعْنِي هذا لِتَدْرِيب AI وَمُؤَسَّسَات RAG

التَّطْبِيق الأخْطَر لِلفَرْق بين in-Kingdom وَسيادي يَظْهَر في ثلاث حالات استخدام AI:

أولًا: بيانات تدريب نموذج أساس (FM). إن كنت تُدَرِّب نموذج LLM سعودي على بيانات حكوميّة مُصَنَّفَة، الـ checkpoints والـ gradients والـ embeddings نفسها تَحْمِل آثار البيانات الأصليّة. تَدْرِيب على AWS in-Kingdom يَعْنِي أنّ ادّعاء «النموذج سيادي» مَخْدُوش — لأنّ AWS تَمْلُك (potentially) القُدْرَة على تَسْلِيم checkpoints.

ثانيًا: مَجَامِيع RAG (corpora) — أيّ نَشْر RAG حكومي يَحْمِل وثائق مُصَنَّفَة في vector DB. لو كانت قاعدة بيانات vector على Pinecone (مُسْتَضَافَة على AWS أمريكي حتّى لو الـ replica في in-Kingdom)، أو حتّى على RDS داخل AWS Riyadh، فالنَشْر غير سيادي.

ثالثًا: بيانات عملاء التَّدْرِيب — السكان السعوديّون الذين يَسْتَخْدِمون تطبيقًا حكوميًّا (أبشر، توكلنا، طبيب) يَتْرُكون آثارًا في logs. هذه logs في كثير من الأحيان تَدْخُل عَمَلِيَّات eval وتحسين النموذج. إن كانت تَجْرِي على بِنْيَة تَحْتِيَّة غير سياديّة، فالمواطن السعودي مُعَرَّض لِكَشْف غير قانوني.

أسئلة يَجِب أن يَسْأَلها المُشْتَري الحكومي للبائع

قائمة لِفِرَق المُشْتَرَيات في الجهات السعوديّة (وَالخليجيّة عمومًا) عند تَقْيِيم بائع AI أو سحابي:

  1. تحت أيّ ولاية قضائيّة يَتَسَجَّل الكيان القانوني المُشَغِّل لِهذه الخدمة في السعوديّة؟ هل هو فرع، أم شركة تابعة بِسِجِلّ تجاري سعودي مستقلّ، أم كيان مُشْتَرَك مع MISA؟
  2. مَن يَمْلُك الأغلبيّة في الكيان المُشَغِّل؟ سعوديّون أم كيان أمّ أجنبي؟
  3. هل بياناتنا — حتّى المُشَفَّرَة — يُمْكِن أن تَخْضَع لأمر قضائي أجنبي عبر الكيان الأمّ؟ يُرْجَى الإجابة بـ نعم/لا، لا بِكَلَام تسويقي.
  4. مَن لديه admin access إلى المنطقة السعوديّة؟ ما جنسيّات الـ root operators؟ ما تَصْنِيف الـ security clearance لديهم؟
  5. أين تُحْفَظ مَفَاتيح التَّشْفِير؟ هل يُمْكِنكم تَسْلِيم البيانات بدون المَفَاتيح؟ من يَمْلِك المَفَاتيح فعلًا، أنا (العميل) أم أنتم؟
  6. عند أمر قضائي أجنبي يَطْلُب بيانات سعوديّة، ما عمليّتكم؟ هل تُبَلِّغونني؟ هل تُبَلِّغون SDAIA؟ هل تُقَاوِمون قانونيًّا؟
  7. هل خدمتكم مُعْتَمَدَة من NDMO؟ لِأيّ مستويات تَصْنِيف بيانات (عامّ، مُقَيَّد، سرّي، سرّي للغاية)؟

البائع الذي لا يَسْتَطِيع الإجابة على هذه الأسئلة بِوُضُوح كتابي في عَرْض رسمي ليس مُؤَهَّلًا لِأكثر من المستوى «عامّ».

كيف نَتَوَجَّه إلى هذا في Annota8

نحن لا نَبِيع سحابة. نهدف إلى العمل مع جِهَات حكوميّة سعوديّة وَخليجيّة على بناء بيانات تدريب وَمَجَامِيع RAG على بِنْيَة تَحْتِيَّة سياديّة محتملة — مثل STC، NourNet، Salam، أو مَرَاكز بيانات حكوميّة خاصّة. النموذج التشغيلي الذي نُصَمِّمه يَعْتَمِد على وصول عَبر VPN مُغْلَق إلى بيئة العميل، بِدُون نَقْل بيانات إلى خارج المنطقة. نَعْتَزِم تَوْقِيع DPA يَتَّسِق مع PDPL في كلّ عَقْد، وَالالتزام بِتَصْنِيفات NDMO، وَرَفْض هَيكَلَة تَنْطَوِي على نَقْل عَبَر مُزَوِّد سحابي خاضع لـ CLOUD Act.

ناقش نَشْر AI سيادي فعليًّا → جلسة 30 دقيقة اقرأ صفحة الحلول الحكوميّة السياديّة