٢٣ مايو ٢٠٢٦ تأشير DPI اتصالات الشرق الأوسط

تأشير DPI في الاتصالات بالشرق الأوسط: توازن الخصوصية مع العمليات

TL;DR

الفحص العميق للحُزَم (DPI) في شركات الاتصالات الخليجية والمصرية ليس قضيّة “هل نَستَخدِمه أم لا” — بل “أيّ شريحة منه تُؤَشَّر لأيّ غرض، وتحت أيّ سند قانوني”. القاعدة العملية: البيانات الوصفيّة (metadata) وسجلّات التدفّق (flow records) وأنماط البروتوكولات على مستوى التطبيقات قابلة للتأشير لأغراض جودة الخدمة وكشف الاحتيال دون موافقة فرديّة صريحة، استنادًا إلى المصلحة المشروعة وضرورة تشغيل الشبكة. أمّا محتوى الحمولة (payload) والاستخراج المباشر للبيانات الشخصيّة (PII) فمحظوران تشغيليًا — لا تُدخِلهما إلى خطّ التأشير من الأساس. الاعتراض القانوني (lawful intercept) مسار مُنفَصِل تمامًا تحت أوامر قضائيّة، ولا يَجوز خَلطه مع تعلّم آلي تشغيلي. PDPL السعودي + PDPL الإماراتي + قانون 151/2020 المصري كلّها تَفرِض حدود الغرض والتقليل، وCST (المُعاد تسميتها من CITC) + NTRA + TDRA تُضيف طبقة تنظيمية قطاعية. هذه قراءة عمليّة لفِرَق بيانات الاتصالات — أين تُؤَشِّر، وأين تَتَوَقَّف.

لماذا هذا الموضوع الآن

كلّ مشغّل اتصالات في الشرق الأوسط يَملك اليوم منصّة DPI من نوعٍ ما — سواء كانت Sandvine أو Allot أو حلًّا سياديًا داخليًا. والسبب تشغيلي بحت: شبكات 5G + الشبكات الثابتة المُدمَجة + ازدحام الترفيه المُشَفَّر تَجعَل التصنيف الكلاسيكي على مستوى المنفذ (port-based classification) بلا قيمة عمليّة. لمعرفة أنّ زبونًا يَستَهلِك Netflix مقابل ألعاب سحابيّة مقابل مكالمات WhatsApp، تَحتاج إلى استدلالات على مستوى التطبيق — وهذا هو DPI الحديث.

لكنّ السنتَين الأخيرَتَين غَيَّرتا المشهد القانوني تَغييرًا جوهريًا. PDPL السعودي دَخَل حيّز التنفيذ الكامل في سبتمبر 2024، PDPL الإماراتي يُطَبَّق فعليًا منذ 2023، وقانون حماية البيانات الشخصيّة المصري رقم 151/2020 صَدَرت لائحته التنفيذيّة وبَدَأَت ETA + NTRA في فرض متطلّبات الإخطار. هذا يَعني أنّ بيانات DPI التي كانت تُجمَع وتُؤَشَّر بحرّيّة قبل ثلاث سنوات أصبَحَت اليوم تَحت طبقتَين من الرقابة: قانون حماية البيانات الأفقي، والتنظيم القطاعي للاتصالات. وفِرَق البيانات في شركات الاتصالات تَسألني نفس السؤال في كلّ اجتماع: “ما الذي يُمكِننا تأشيره فعلًا دون أن نَخرُج عن القانون؟”

كتبت هذا المنشور لأرسم الخطّ الذي أَستَخدِمه أنا مع عملاء Annota8 في الاتصالات. ليست استشارة قانونية، وأيّ بائع تأشير يَدَّعي أنّ بإمكانه إعطاءك إجابة قانونيّة نهائيّة دون مستشار محلّي مُرَخَّص يَكذب عليك. لكنّ الخطّ التشغيلي مَعروف، وهذه قراءته.

الفصل الأوّل: ثلاثة مسارات DPI، ليست واحدًا

أكبر خطأ أَراه في فِرَق البيانات الجديدة هو معاملة DPI كصندوق أسود واحد. عمليًا، هناك ثلاثة مسارات مختلفة جذريًا، ولكلّ مسار سند قانوني مختلف:

المسار الأوّل: التعلّم الآلي التشغيلي. الهدف: تصنيف التدفّقات، اكتشاف الأنماط، تحسين جودة الخدمة، التنبؤ بالأعطال. السند: المصلحة المشروعة + ضرورة تشغيل الشبكة. هذا ما يَعنيه عملاء الاتصالات حين يَطلُبون منّا تأشير بيانات DPI — وهو المجال الذي يُمكن العمل فيه بأمان نسبي إذا التُزِم بقواعد التقليل.

المسار الثاني: الاعتراض القانوني (lawful intercept). الهدف: تنفيذ أوامر قضائيّة أو طلبات أمنيّة. السند: نصّ تشريعي صريح + أمر قضائي محدّد. هذا المسار لا يَدخُل في خطّ التأشير التجاري إطلاقًا. تَتَعامَل معه فِرَق متخصّصة داخل المشغّل، تحت إشراف وحدة الامتثال، وفي بيئات معزولة عن منصّات MLOps العاديّة. لو تَلَقّيت طلبًا من عميل اتصالات لتأشير بيانات اعتراض قانوني، ارفض. هذا ليس عملنا.

المسار الثالث: إنفاذ السياسات التجاريّة. الهدف: التحكّم في الحزم، الإعلانات السلوكيّة، تَسعير الباقات الديناميكي. هنا تَدخُل المتطلّبات الأَشَدّ صرامة — الموافقة الصريحة في معظم الولايات، الإفصاح المُسبَق، وآليّة الانسحاب. كثير من شركات الاتصالات في المنطقة تَخلِط هذا المسار مع المسار الأوّل في أنظمتها — وهذا يُكَبِّر السطح القانوني بلا داعٍ.

كقاعدة، نَطلُب من العميل تصريحًا مكتوبًا بأنّ البيانات التي يُرسِلها إلينا تَنتَمي للمسار الأوّل حصرًا. هذا يَحمي الطرفَين.

الفصل الثاني: ما يُؤَشَّر بأمان دون موافقة فرديّة

هذه القائمة هي القلب التشغيلي لخطّ DPI صحيح:

سجلّات التدفّق (flow records). خماسي الترويسة (5-tuple): IP المصدر/الوجهة، المنفذ المصدر/الوجهة، البروتوكول. مع طوابع زمنيّة وأحجام حُزَم. هذه بيانات وصفيّة بامتياز — ولا تَكشِف محتوى. تُؤَشَّر بحرّيّة لتدريب نماذج تصنيف التدفّق وكشف الشذوذ.

أنماط البروتوكولات على مستوى التطبيقات. التوقيعات الإحصائيّة لـ HTTPS، QUIC، STUN، DNS-over-HTTPS، WhatsApp، Netflix، إلخ. هنا تَدخُل تقنيّات Encrypted Traffic Classification الحديثة، وهي تَستَدِلّ على نوع التطبيق دون فكّ التشفير. تُؤَشَّر بالعلامة (TikTok مقابل YouTube مقابل Zoom)، ولا تَتَضَمَّن محتوى ولا هويّة المستخدم.

جودة الخدمة وقياسات الأداء. زمن التأخير، الارتعاش (jitter)، فقدان الحُزَم، عرض النطاق الفعلي. تُؤَشَّر مع ربط جغرافي على مستوى الخليّة أو المنطقة — لا على مستوى المشترك الفردي.

أنماط استهلاك مجمَّعة. متوسّط استهلاك خليّة معيّنة بين الساعة 8 و10 مساءً. هذا تجميع — لا يَستَهدِف فردًا.

كلّ ما سبق يُؤَشَّر بثقة بشرط ثلاثة:

حذف معرّفات المشترك قبل خروج البيانات من بيئة المشغّل — لا IMSI، لا MSISDN، لا IP عامّ مَرتَبِط بحساب.
التجميع الجغرافي حدّ أدنى k-anonymity = 50 على مستوى الخليّة الواحدة.
توثيق تقييم الأثر على الخصوصيّة (DPIA) كجزء من تَدفُّق العمل، لا كملحق لاحق.

الفصل الثالث: ما لا يُؤَشَّر — أبدًا — في خطّ تجاري

محتوى الحمولة (payload content). نصّ رسائل، محتوى مكالمات، صور مُتَدَفِّقَة. حتّى لو كانت الحمولة غير مُشَفَّرة (وهذا نادر اليوم)، فإنّ تَأشيرها تجاريًا يَتَجاوَز سند المصلحة المشروعة في كلّ الولايات الخليجيّة والمصريّة. هذه منطقة الاعتراض القانوني — لا منطقة التعلّم الآلي.

استخراج معرّفات شخصيّة (PII extraction). أرقام الهواتف من الحمولة، عناوين البريد، أسماء، أرقام بطاقات. حتّى لو ظَهَرت بالصدفة في DNS query أو HTTP header، يَجِب طَمسها قبل التأشير.

القياسات الحيويّة الصوتيّة (voice biometrics) دون موافقة صريحة. هذا قسم يَخلِط فيه كثير من فِرَق الاتصالات الإقليميّة. تَأشير بصمة صوتيّة لمشترك بهدف “التَحَقّق من الهويّة” أو “كشف الاحتيال” يَتَطَلَّب موافقة صريحة مَكتوبة في PDPL السعودي والإماراتي — لأنّها بيانات شخصيّة حسّاسة بنصّ صريح. لا تُؤَشِّر بيانات صوتيّة لمكالمات مراكز الاتصال دون التَأَكّد من أنّ المشترك وَافَق على التسجيل والاستخدام التحليلي معًا، وأنّ الموافقة تُغَطّي تحديدًا الاستخدامات المُشتَقَّة (تدريب نماذج، تحسين IVR، كشف احتيال). هذا تَفصيل مَسؤول كثير من القرارات الفاشلة.

ربط هويّة المشترك ببيانات DPI لأغراض إعلانيّة. هذا قَرار سياسة شركة، لكنّ القاعدة العملية: لا تُدخِله في خطّ التأشير. أبقِه في مسار مُنفَصِل تمامًا، مع موافقة صريحة، وفي قاعدة بيانات مَعزولة.

الفصل الرابع: الطبقة التنظيميّة القطاعية

PDPL أفقي — يَنطَبِق على كلّ القطاعات. لكنّ الاتصالات لها طبقة إضافيّة:

السعوديّة — CST (Communications, Space & Technology Commission). أُعيدَت التسمية من CITC في 2023، وهذه نقطة كثيرًا ما تَختَلِط في المراجع القديمة. CST تَفرِض متطلّبات إضافيّة على المشغّلين فيما يَخصّ احتفاظ البيانات (data retention) والإبلاغ عن الحوادث. أيّ خطّ تأشير يَجِب أن يَتَوَافَق مع سياسات CST الخاصّة بأمن المعلومات للاتصالات، إضافةً إلى PDPL.

الإمارات — TDRA (Telecommunications and Digital Government Regulatory Authority). أَصدَرَت إرشادات أمن سيبراني للاتصالات تُحَدِّد فئات البيانات الحرجة. التأشير الذي يَتَضَمَّن استخراج بيانات من الشبكة يَدخُل ضمن نطاق TDRA Standards for Information Assurance، وكلّ خطّ تأشير عابر للحدود يَحتاج إلى تقييم أثر إضافي.

مصر — NTRA (National Telecom Regulatory Authority). بَعد قانون 151/2020 والتعديلات اللاحقة، NTRA تَطلُب من المشغّلين توثيق تَدفّقات البيانات خارج البلاد، خاصّةً إذا كان التأشير سيَتِمّ لدى مزوّد دولي. هذا يَعني أنّ نقل بيانات DPI من مشغّل مصري إلى مزوّد تأشير في دولة ثالثة يَستَدعي موافقة مُسبَقَة وتقييم كَفاية حماية.

العملاء الخليجيّون والمصريّون يَسألون كثيرًا عن إمكانيّة العمل من القاهرة على بياناتهم. الإجابة العمليّة: ممكن، لكن بشرط تَوقيع اتفاقيّة نقل بيانات (DTA) تَتَضَمَّن أحكام التقليل، آليّات الإلغاء، وإفصاح Annota8 كمعالج بالنيابة. وأَفضِّل العمل داخل بيئة العميل (on-premise أو VPC مُخَصَّص) كلّما أَمكَن، لا نقل البيانات.

الفصل الخامس: ماذا يَعني هذا لتصميم خطّ التأشير

هذه الترجمة العمليّة على فِرَق التشغيل:

1. الفصل عند المصدر. نَطلُب من العميل الفصل بين بيانات DPI الوصفيّة وبيانات الحمولة قبل أن تَصِل إلى منصّة التأشير. إذا وَصَلَت حمولات إلى منصّتنا بالخطأ، نَرفُض المعالجة ونُبَلِّغ.

2. مَخطَّط تأشير محدود الغرض. كلّ مَهمّة تَأشير في خطّ DPI تَحمِل علامة غرض صريحة — تصنيف تدفّق، كشف احتيال، تحسين جودة خدمة. لا يُسمَح بإعادة استخدام نفس التأشيرات لأغراض أخرى دون تَوقيع تعديل عقدي صريح.

3. حدّ أدنى k-anonymity على مخرجات المُؤَشِّرين. قبل أن يَرى المُؤَشِّر البَشري الدفعة، تَمُرّ ببوّابة تجميع تَضمَن ألّا تكون أيّ سمة قابلة لإعادة التَعَرُّف.

4. تَدريب المُؤَشِّرين على الإبلاغ عن الانكشاف. إذا رَأى المُؤَشِّر معرّفًا شخصيًا في الدفعة — رقم هاتف، عنوان بريد، اسم — يَجِب إيقاف الدفعة فورًا والإبلاغ. هذا جزء من التَدريب التَأسيسي لأيّ فريق يَعمَل على بيانات اتصالات.

5. مراجعة دوريّة للأغراض. كلّ ستّة أشهر نُراجِع مع العميل: هل ما زال الغرض الأصلي قائمًا؟ هل أُضيفَت استخدامات جديدة؟ هل تَغَيَّرت اللائحة؟ التَأشير الذي كان مَشروعًا في 2024 قد يَكون مَشكوكًا فيه في 2026.

أين تَنتَهي مسؤوليّتي وتَبدَأ مسؤوليّة المستشار القانوني

أَكتُب هذا كرئيس Annota8 الذي يَتَعامَل يوميًا مع فِرَق بيانات الاتصالات. ما سَبَق هو القراءة العمليّة التي أَستَخدِمها أنا في تصميم خطوط التأشير. لكنّ التَفسير النهائي لـ PDPL أو لِما تَطلُبه CST في حالة بعينها يَحتاج مستشارًا قانونيًا محلّيًا مُرَخَّصًا. لو كنت رئيس بيانات في شركة اتصالات تَقرَأ هذا، فالخطوة التالية المعقولة هي: تقييم أثر على الخصوصيّة (DPIA) مَكتوب لكلّ خطّ تأشير DPI لديك، مع توقيع المستشار القانوني الداخلي. ليست هذه ورقة تَستَطيع تأجيلها — هي شرط الاستمرار التشغيلي.

من جهتنا في Annota8، نَدخُل دورة المُحادَثَة مع التزام مَكتوب بقواعد التقليل، تَدريب المُؤَشِّرين، وتَوثيق الأغراض. ولا نَأخذ مَشاريع تَتَضَمَّن حمولات أو ربط هويّة — حتّى لو كان الميزانيّة جذّابة. هذا ليس تَطَهُّرًا أخلاقيًا، بل حسابات مَخاطر طويلة المدى. عقد واحد يَنكَشِف فيه أنّ مُزوّدًا تَجاوَز خطّ التَقليل يَكفي لإنهاء العلاقة مع المُشَغِّل ومع المُنَظِّم في وقت واحد.

ربط مع بقيّة المنظومة

لتوسيع القراءة من هذا المنشور:

منهجيّتنا الكاملة في DPI لشبكات الاتصالات وتعلّم آلي تَفصِل خطّ الأنابيب الذي نَستَخدِمه عمليًا.
نَظرة أوسع على حلول الاتصالات في Annota8، بما فيها مراكز الاتصال والـ IVR.
الأساس القانوني الذي نَبني عليه — الامتثال لـ PDPL السعودي.
مصطلحات تَقنيّة للقارئ غير المتخصّص — المعجم.
إذا كنت قائد ذكاء اصطناعي لمراكز اتصال اتصالات الشرق الأوسط، أو قائد ذكاء اصطناعي صوتي للهجة المصريّة في الاتصالات — هذان الملفّان يَتَناوَلان حالات استخدام مُجاوِرَة بنفس قواعد الخصوصيّة.

كلمة أخيرة: شركات الاتصالات الإقليميّة لديها قدرة هائلة على بناء نماذج تَشغيليّة قويّة على بيانات DPI الوصفيّة. الفجوة ليست في القدرة، بل في الانضباط — رَسم الخطّ قبل أن يَفرِضه المُنَظِّم. الذين يَرسُمونه بأنفسهم اليوم سيَجدون أنفسهم في 2027 يَتَنافَسون من مَوقع، لا من مَوقع دفاع.

تحدّث إلى فريق DPI لدينا اقرأ منهجيّتنا في DPI

Annota8 في مرحلة مبكرة من التشغيل ولا تحمل شهادات اعتماد رسمية في الامتثال. التصريحات حول النهج التنظيمي تعكس النية التصميمية الداخلية لا الحالة المعتمدة. استعن بمستشار قانوني محلي مؤهل لأي مسعى تجاري نشط.

المصادر، الحدود، وإخلاء المسؤولية

هذا المقال تعليق تحريري من فريق Annota8 مبني على مصادر عامة كانت متاحة وقت الكتابة. تم التحقق من الوقائع المحدّدة (التنظيمات، الأسعار، إصدارات النماذج، أسماء الجهات، أحجام السوق، الإعلانات) مقابل المصدر الأصلي للجهة المنظِّمة أو إعلان المورّد أو البيان الصحفي الرسمي أو الورقة المُحكَّمة عند الإمكان. المصادر العامة تتغيّر باستمرار — تتعدّل الأنظمة، وتتغيّر الأسعار، وتغيّر الشركات اسمها التجاري أو توجّهها، وتتجاوز إصدارات النماذج بعضها بعضًا — ولهذا:

تحقّق من أي حقيقة حسّاسة للوقت مع المصدر الأصلي قبل التصرّف بناءً عليها. مواقع الجهات المنظِّمة (SDAIA، NCA، SAMA، MHRSD، CMA، MISA، ETA، NTRA، CST، TDRA، DFSA، FSRA، QFMA، CBB، BNM، ZATCA)، وإعلانات الموردين (Anthropic، OpenAI، Google، Microsoft، AWS، Nvidia، AMD، Qualcomm، Groq، Cisco، MBZUAI، SDAIA، QCRI، AIC Egypt، TII، G42، Inception، Cerebras، Aramco، HUMAIN، PIF، NEOM، SNB)، والأوراق المُحكَّمة هي المرجع النهائي.
الأرقام المعروضة في هذا المقال — نطاقات الأجور، تقديرات الإنتاجية، نسب الرموز (tokens)، أحجام السوق، أحجام الصفقات — هي تقديرات عمل أو أرقام صناعية تأشيرية، وليست بيانات مالكية مكشوفة. عند الاستشهاد بمصدر محدّد، يُنصَح بقراءته مباشرة. وحيث لا يُذكَر مصدر، فالرقم تقدير المؤلف من خبرته التشغيلية ويُعامَل على أنه توضيحي.
لا يُعدّ هذا المقال استشارة قانونية أو ضريبية أو مالية أو طبية أو تنظيمية أو شرائية أو استثمارية. أي تعامل يمسّ هذه المجالات يتطلّب مستشارًا قانونيًا محليًا مُرخَّصًا وخبراء مجال مؤهَّلين ورأيًا قانونيًا مكتوبًا. قراءة هذا المقال ليست بديلًا.
لا تقدّم Annota8 أي تعهّد أو ضمان بأن أي حقيقة في هذا المقال محدَّثة في وقت قراءته. Annota8 غير مسؤولة عن أي قرار يُتَّخذ بناءً على هذا المحتوى.

أرسل التصحيحات أو روابط المصادر أو الاعتراضات على الوقائع إلى [email protected] — التصحيحات تُطبَّق فورًا.

القيود وإخلاء المسؤوليّة

قيود هذا التحليل. يَعكِس هذا المقال قراءة Annota8 للأدلّة المتاحة علنًا حتّى تاريخ آخر تعديل له. مواقع المورّدين، الأطر التنظيميّة، أرقام المقاييس ونطاق البرامج يمكن أن تتغيّر دون إشعار. حيث تُذكر نطاقات عدديّة، تلك الأرقام قابلة للتحقّق من المصدر المرتبط في قسم المراجع داخل المقال — لم تُعِد Annota8 إجراء المقاييس بنفسها ما لم يُذكر ذلك صراحةً في المقال.

الموقف القانوني والخصوصيّة. Annota8 شركة عمليّات بيانات ذكاء اصطناعي في مرحلة مبكّرة في إطلاق ناعم. لا نَملِك حاليًّا شهادة SOC 2، أو ISO 27001، أو شهادة PDPL، أو أيّ شهادة أمن أو خصوصيّة من طرف ثالث. نُصمِّم وَفقًا لمبادئ PDPL ونَقدِر على توقيع DPA مَبنيّة على نموذج SCC الأوروبي. الموقف التوافقي المحدّد لارتباطك متاح عند الطلب من [email protected].

لا شيء في هذا المقال يُمثِّل استشارة قانونيّة أو ضريبيّة أو استثماريّة. الاستشهادات التنظيميّة يجب التحقّق منها مع مستشار قانوني في ولايتك القضائيّة. أسماء المورّدين المذكورة في هذا المقال مرجَّعة كسياق مشهد صناعي فحسب — Annota8 لا تَدَّعِي ادّعاءً تنافسيًّا للمنتج، ولا علاقة عملاء، ولا أيّ ارتباط آخر مع أيّ من المنصّات المذكورة، ما لم يُذكر ذلك صراحةً.

تواصَل مع الفريق:[email protected] · annota8.ai