امتثال PDPL لبيانات تدريب الذكاء الاصطناعي — الدليل التشغيلي
لماذا PDPL مهمّ لبيانات تدريب الذكاء الاصطناعي
قانون حماية البيانات الشخصية السعودي (PDPL، مرسوم ملكي M/19 لعام 2021، لوائح تنفيذية 2023) يحكم معالجة البيانات الشخصية للمقيمين في KSA. خلافًا للعديد من أنظمة الخصوصية، PDPL ينطبق خارج الإقليم — شركة أمريكية تعالج بيانات مقيم سعودي خاضعة لـ PDPL.
لبيانات تدريب الذكاء الاصطناعي تحديدًا:
- المجموعات التدريبية تشمل غالبًا بيانات شخصية (أسماء، وجوه، أصوات، عناوين، إشارات سلوكية)
- كادر التأشير يعالج البيانات الشخصية كجزء من الوسم
- النموذج المُدَرَّب قد ينتج مخرجات تكشف بيانات شخصية مجدّدًا
- سير عمل الشراء قد يتضمّن نقل بيانات عبر الحدود
PDPL لديه رأي في كل الأربعة.
الأبعاد التشغيلية الستّة لـ PDPL
1. إقامة البيانات
اللوائح التنفيذية لـ PDPL تحدّد فئات من البيانات الشخصية يجب أن تبقى داخل المملكة للمعالجة:
- بيانات الصحّة
- بيانات وراثية
- بيانات حيوية
- بيانات حكومية / مواطن حسّاسة
- فئات أخرى لكل تسمية SDAIA
لمجموعات بيانات تدريب الذكاء الاصطناعي التي تحتوي على هذه الفئات، خطّ أنابيب التأشير يجب أن يعمل داخل المملكة — إمّا في منطقة سحابية KSA أو داخل الموقع في مرفق العميل السعودي.
تضمين تشغيلي: منصّات التأشير SaaS المُسْتَضافَة في الولايات المتحدة لا يمكن أن تعالج هذه الفئات بشكل قانوني.
2. المادة 27 — إخطار خرق خلال 72 ساعة
المادة 27 من PDPL تتطلّب إخطار SDAIA + أصحاب البيانات المتأثّرين خلال 72 ساعة من الوعي بخرق البيانات الشخصية. هذا متطابق تشغيليًا مع ساعة المادة 33 من GDPR التي مدتها 72 ساعة.
لخطوط أنابيب التأشير، يشمل “الخرق”:
- الوصول غير المصرَّح به لمجموعات البيانات المُؤَشَّرَة
- عضو كادر يستخرج بيانات تدريب العميل
- ضوابط وصول مُكَوَّنَة بشكل خاطئ تكشف البيانات
- حوادث أمن المعالج الفرعي
تضمين تشغيلي: منصّة التأشير يجب أن يكون لها:
- كشف وصول شاذّ في الوقت الفعلي
- كتاب تشغيل استجابة حوادث بأدوار مناوبة مسمّاة
- قالب إخطار مُتَوَائِم مسبقًا مع محتوى SDAIA المطلوب
- SLA تصعيد داخلي 24 ساعة لترك هامش ضمن ساعة الـ 72 الخارجية
3. تتبّع الأساس القانوني
PDPL يتطلّب أن ترتكز معالجة البيانات الشخصية على أساس قانوني: موافقة، ضرورة تعاقدية، التزام قانوني، مصالح حيوية، مصلحة عامّة، أو مصلحة مشروعة.
لبيانات تدريب الذكاء الاصطناعي، السؤال القانوني يصبح:
- على أيّ أساس جَمَع المُجَمِّع الأصلي هذه البيانات؟
- على أيّ أساس تستخدمها شركة الذكاء الاصطناعي للتدريب؟
- هل تمّ توثيق الأساس القانوني على مستوى مجموعة البيانات؟
تضمين تشغيلي: منصّة التأشير يجب أن تتتبّع الأساس القانوني لكل مجموعة بيانات. المجموعات المختلطة (موافقة + مصلحة مشروعة عبر مصادر مختلفة) تتطلّب تتبّع أساس لكل سجل، ليس فقط لكل مجموعة بيانات.
4. حقوق صاحب البيانات
PDPL يمنح المقيمين في KSA حقوقًا في:
- إبلاغهم بشأن المعالجة
- الوصول إلى بياناتهم الشخصية
- تصحيح الأخطاء
- طلب الحذف
- الاعتراض على المعالجة
- سحب الموافقة
لبيانات تدريب الذكاء الاصطناعي، أسئلة الحقوق تصبح:
- هل يمكنك تحديد جميع السجلات المتعلّقة بصاحب بيانات محدّد ضمن مجموعة التدريب؟
- هل يمكنك حذفها عند الطلب؟
- هل يمكنك نشر الحذف لاحقًا (اعتبارات إعادة تدريب النموذج)؟
- هل يمكنك تقديم نسخة قابلة للنقل؟
تضمين تشغيلي: منصّة التأشير يجب أن تدعم:
- بحث بمعرّف الموضوع عبر جميع مجموعات البيانات المُؤَشَّرَة
- ظهور جماعي لجميع المحتوى المُؤَشَّر المُشار إلى موضوع
- تحرير / حذف / تصدير جماعي مع سجل تدقيق
5. إدارة المعالج الفرعي
PDPL يتطلّب أن يضمن المُتَحَكِّمون في البيانات حماية مكافئة من المعالجين الفرعيين. لبيانات تدريب الذكاء الاصطناعي، المعالجون الفرعيون يشملون عادةً:
- بائع منصّة التأشير
- كادر التأشير
- البنية التحتية السحابية (الـ hyperscaler)
- الأدوات الداعمة
تضمين تشغيلي: بائعو التأشير يجب أن:
- يحافظوا على قائمة كاملة بالمعالجين الفرعيين
- يخطروا العملاء بالتغييرات مسبقًا
- يقدّموا حق اعتراض العميل لكل شروط DPA
- يمرّروا التزامات PDPL إلى المعالجين الفرعيين عبر عقد مكتوب
6. النقل عبر الحدود
PDPL أكثر صرامة من GDPR في النقل عبر الحدود. الموضع الافتراضي: البيانات الشخصية للمقيمين في KSA تبقى داخل المملكة. الاستثناءات تتطلّب أساسًا قانونيًا محدّدًا + آليات موافقة SDAIA.
تضمين تشغيلي: إذا كان سير عمل التأشير يتضمّن أيّ بيانات تعبر الحدود السعودية (كادر خارج KSA، بنية تحتية خارج KSA، دعم العملاء خارج KSA)، آلية النقل عبر الحدود يجب أن تكون موثّقة + قانونية.
كيف يبدو التشغيل الجيّد لـ PDPL
خطّ أنابيب تدريب ذكاء اصطناعي مُتَوَائِم مع PDPL يشمل:
- نشر داخل المملكة — منطقة سحابية KSA أو داخل الموقع للفئات المنظَّمَة
- سير عمل إخطار خرق 72 ساعة — كتاب تشغيل + مناوبة + قالب
- تتبّع الأساس القانوني لكل مجموعة بيانات — مفروض في طبقة منصّة التأشير
- سير عمل حقوق صاحب البيانات — بحث، ظهور، تحرير، حذف، تصدير، تدقيق
- إفصاح المعالج الفرعي + حقوق اعتراض — شروط DPA معيارية
- توثيق النقل عبر الحدود — حيث ينطبق
- DPO مُعَيَّن + قابل للاتّصال — متطلّب المادة 32
- DPIA للمعالجة عالية المخاطر — موصى به حتى حيث ليس إلزاميًا
إذا كان بائعك الحالي يقدّم أقلّ من 5 من هذه، فأنت في عرضة PDPL.
أين يقع Annota8
Annota8 بُنِيَت حول PDPL منذ اليوم الأوّل. صفحة الامتثال PDPL تفصّل الوضع الكامل. أبرز النقاط:
- استئجار سيادي KSA + خيارات داخل الموقع
- سير عمل إخطار خرق 72 ساعة مبنيّ
- تتبّع أساس قانوني لكل مجموعة بيانات معياري
- سير عمل حقوق صاحب البيانات تشغيلي
- قائمة معالجين فرعيين + حق اعتراض في DPA المعياري
- DPO مُعَيَّن، قابل للاتّصال
- دعم DPIA للمعالجة عالية المخاطر
- كيان KSA (Annota8 AI LLC، CR 7053890286) مرخّص MISA للشراء داخل المملكة
PDPL تشغيلي. ليس مربّع تأشير. ليس خريطة طريق.
PDPL مقابل GDPR — أيّهما ينطبق على حملك للذكاء الاصطناعي؟
كلاهما يمكن أن ينطبق معًا. مصفوفة قرار سريعة:
| موضوع البيانات | موقع المعالجة | PDPL ينطبق؟ | GDPR ينطبق؟ |
|---|---|---|---|
| مقيم KSA | KSA | نعم | لا |
| مقيم KSA | EU | نعم | ربّما |
| مقيم EU | KSA | ربّما | نعم |
| مقيم EU | EU | لا | نعم |
لمجموعات تدريب ذكاء اصطناعي متعدّدة الولايات، كلا النظامين ينطبقان على أصحاب البيانات المعنيين. منصّة التأشير يجب أن تدعم كليهما.