قبل ربط الذكاء الاصطناعي بسير العمل في عُمان: صمّم ضوابط الخصوصية
قائمة تطبيقية للشركات العُمانية التي تُدخل مساعداً ذكياً أو أتمتةً تتعامل مع بيانات شخصية: افهم مسار البيانات، وحدد المسؤوليات، واستعد للحالات التشغيلية الفعلية.
قد يسرّع المساعد الذكي عمل خدمة العملاء أو متابعة المبيعات أو معالجة المستندات، لكنه قد يفتح أيضاً مساراً جديداً لجمع بيانات العملاء والموظفين أو قراءتها أو تخزينها أو إرسالها إلى مزود خدمة. في عُمان، يجعل ذلك الخصوصية مسألة تنفيذية منذ جلسة التصميم الأولى، لا صفحة سياسة تُضاف بعد الإطلاق.
يضع قانون حماية البيانات الشخصية ولائحته التنفيذية التزامات على المتحكمين والمعالجين، من بينها سياسة لحماية البيانات الشخصية وسجل لأنشطة المعالجة وضوابط للحماية ونقل البيانات. وتوضح إرشادات الوزارة أيضاً أن بعض فئات البيانات الحساسة الواردة في المادة الخامسة من القانون، مثل البيانات الحيوية والصحية والجينية، تحتاج إلى تصريح قبل معالجتها. لا تتوقف الإجابة على اسم الواجهة أو كونها «ذكاءً اصطناعياً»، بل على البيانات التي تمر فعلياً عبر سير العمل.
ابدأ بسير العمل لا بالنموذج
ارسم مسار طلب حقيقي كاملاً: من أين يدخل، وما البيانات المستخرجة منه، ومن يراجعه، وأي أدوات تستقبله، وما الذي يُحتفظ به. أدرج الملفات المرفوعة وسجل المحادثة والتحليلات وسجلات الأخطاء ووصول فريق الدعم والنسخ الاحتياطية. فقد يبدو أن سير العمل يرسل تعليمة قصيرة فقط، بينما تمر عبره أسماء أو وسائل تواصل أو فواتير أو بيانات موقع أو معرّفات خلال عدة أنظمة.
بعد ذلك، حدّد دور كل جهة عند كل نقطة انتقال. فالمنشأة التي تقرر غرض استخدام البيانات الشخصية ووسيلته ليست في الموضع ذاته لمزوّد يعالجها وفق تعليماتها. يجب أن يظهر هذا الفرق في تصميم المنتج والعقود والصلاحيات وملف الأدلة، لا أن يُخمن عند وصول نموذج شراء.
ابنوا خمسة ضوابط قبل أن تصبح التجربة جزءاً من العمل اليومي
- جرد البيانات: احصروا كل حقل يستقبله سير العمل أو ينشئه أو يخزنه أو يعرضه، وميّزوا الفئات الحساسة، واحذفوا ما لا تحتاجه المهمة.
- الغرض والإشعار: اشرحوا الغرض التشغيلي بلغة واضحة، وحددوا كيف يُبلّغ صاحب البيانات، وراجعوا أساس المعالجة المناسب أو الموافقة عند الحاجة مع مختص مؤهل.
- الصلاحيات والاحتفاظ: اجعلوا طوابير المراجعة والتنزيلات والسجلات وصلاحيات الإدارة مرتبطة بالأدوار، وضعوا مدة احتفاظ محددة بدلاً من حفظ المحادثات والمستندات إلى أجل غير معلوم.
- سجل المزوّدين والنقل: وثّقوا كل مزود للذكاء الاصطناعي والاستضافة والهوية والتحليلات والدعم. وعند خروج البيانات من عُمان، قيّموا ضوابط النقل الواردة في اللائحة ومستوى حماية المعالج الخارجي قبل تشغيل الربط.
- خطة الحوادث: حددوا من يكتشف حادث البيانات ويحتويه ويحققه ويبلّغ عنه. وتذكر الوزارة أن على المتحكم إبلاغها خلال 72 ساعة من علمه باختراق يهدد حقوق أصحاب البيانات، وإبلاغهم خلال المدة ذاتها إذا نتج ضرر جسيم أو خطر مرتفع.
المشكلة غالباً بيانات مخفية لا إجابة خاطئة
تختبر فرق كثيرة قدرة المساعد على تلخيص ملف PDF بدقة، لكنها لا تختبر هل تُنسخ الوثيقة إلى سجل محادثة، أو هل يستطيع فريق دعم خارجي الوصول إليها، أو هل تبقى في سجل تقني. وفجوة أخرى شائعة هي إضافة مربع للموافقة من دون مسار عملي للتعامل مع طلب سحبها أو تصحيح البيانات أو محوها. هذه إخفاقات في تصميم التشغيل؛ فقد يعمل النموذج كما ينبغي بينما لا يعمل النظام المحيط به كما ينبغي.
خطة عملية للأسبوع الأول
اختاروا أتمتة واحدة مقترحة واجمعوا عشرة أمثلة واقعية. ارسموا مسار بياناتها في صفحة واحدة، وصنّفوا الحقول، وسجلوا كل مزوّد، وحددوا نقطة اعتماد بشرية. وفي الأسبوع نفسه، صيغوا نص الإشعار بالخصوصية وقاعدة الاحتفاظ ومالك الاستجابة للحوادث. وأحيلوا أي سؤال يتعلق بالبيانات الحساسة أو النقل أو التصاريح إلى مستشار قانوني أو امتثال مؤهل قبل الاستخدام في الإنتاج. يجب أن تكون النتيجة ملف ضوابط جاهزاً للبناء يمكن للهندسة والعمليات والإدارة مراجعته.
هذه إرشادات عملية لبناء المنتجات وليست استشارة قانونية أو إقراراً بالامتثال. والسؤال المفيد للشركة في عُمان ليس: هل نستخدم الذكاء الاصطناعي؟ بل: هل يستطيع سير العمل المحدد أن يشرح مسار بياناته ومالكيه وضوابطه وخطة التعافي قبل أن يعتمد عليه أشخاص حقيقيون؟
- 01Executive Regulation of the Personal Data Protection Law (Ministerial Decision 34/2024) — Oman National Open Data Portal
- 02Personal Data Protection Law (Royal Decree 6/2022) — Oman National Open Data Portal
