سياسة استخدام الذكاء الاصطناعي للمنشآت السعودية وثيقة تشغيلية تحدد القواعد والحدود والأدوات المعتمدة لكل استخدام لـ AI داخل المنشأة. القالب القياسي يتضمن 12 بنداً: الهدف، النطاق، الأدوات المعتمدة، الاستخدام المسموح، الاستخدام الممنوع، حماية البيانات، الإفصاح، الموافقات البشرية، الملكية الفكرية، الحوادث، التدريب، التحديث.
الخلاصة السريعة
سياسة استخدام الذكاء الاصطناعي وثيقة تشغيلية لا غنى عنها لكل منشأة سعودية تستخدم AI. القالب القياسي يتضمن 12 بنداً محدداً يغطي: الهدف والنطاق، الأدوات المعتمدة، الاستخدام المسموح به حسب الدور، الاستخدام الممنوع بشكل قاطع، حماية البيانات وفق [PDPL](https://brightai.site/blog/pdpl-and-ai-saudi/)، الإفصاح عن المخرجات المولدة، الموافقات البشرية للقرارات الحرجة، الملكية الفكرية للمخرجات، إدارة الحوادث، التدريب الإلزامي، آلية التحديث. القالب مُصمم ليُحمَّل ويُعدَّل ويُعتمد خلال أسبوعين، متوافق مع [ضوابط سدايا](https://brightai.site/blog/sdaia-seven-principles-practical-guide/) والإرشادات التوليدية.
لماذا تحتاج المنشأة السعودية سياسة استخدام AI؟
سياسة استخدام الذكاء الاصطناعي هي الوثيقة التشغيلية التي تُترجم إطار الحوكمة إلى قواعد يومية يفهمها الموظف ويطبقها. بدون سياسة واضحة، الموظف لا يعرف: هل يجوز لي استخدام ChatGPT لكتابة تقرير عميل؟ هل يمكنني مشاركة كود مع نموذج لغوي؟ هل أنا مخالف لو استخدمت Gemini على بياناتي الشخصية؟
ثلاثة مخاطر حقيقية تواجه المنشأة بدون سياسة:
-
مخاطر نظامية: موظف يرسل بيانات عميل إلى نموذج خارجي فيخالف المنشأة PDPL بدون علم منه أو علم المنشأة. الغرامة قد تصل إلى 5 مليون ريال + غرامة بيانات حساسة إضافية.
-
مخاطر تنافسية: زميل في شركة منافسة يستخدم AI بكفاءة مع سياسة واضحة، وأنت تخسر ميزة لأن موظفيك يخافون من استخدام AI بدون قواعد واضحة، أو يستخدمونه بدون ضوابط.
-
مخاطر سمعة: نموذج AI يصدر مخرجاً مسيئاً يحمل اسم الشركة (مثلاً: محتوى ينطوي على تمييز، أو قرار منحاز في توظيف)، فيتضرر اسم الشركة بدون أي آلية وقاية أو استجابة.
إطار حوكمة AI يحدد السياسات كأحد أركانه الأربع، لكن سياسة الاستخدام هي أهم وثيقة تشغيلية لأنها الوثيقة التي يقرؤها الموظف فعلاً ويطبقها يومياً.
الفرق بين سياسة AI وسياسة IT التقليدية
سياسة أمن المعلومات التقليدية أو سياسة الاستخدام المقبول (AUP) تغطي حماية الأنظمة والشبكات والبيانات في حالة السكون. هذه السياسات موجودة في كل منشأة، لكنها لا تعرف كيف تتعامل مع:
- نموذج لغوي ينتج نصاً قد يحوي تسريب بيانات
- نموذج رؤية حاسوبية يصدر قراراً منحازاً في التوظيف
- نموذج توليدي ينتج محتوى يتعدى حقوق ملكية فكرية
- نموذج تعلم آلي يتخذ قرارات ائتمان بدون تفسير
الفرق يتضح في الجدول:
| البُعد | سياسة IT التقليدية | سياسة استخدام AI |
|---|---|---|
| حماية البيانات | في حالة السكون وحالة النقل | في حالة السكون والحالة الاستخدام (prompt) |
| الأدوات المغطاة | برمجيات، خوادم، شبكات | نماذج AI، خدمات AI، تكاملات AI |
| الموافقات المطلوبة | للوصول والتغيير | للوصول وللاستخدام وللقرار |
| الإفصاح | غير مشمول | إلزامي عند توليد محتوى |
| اختبار الانحياز | غير مشمول | مشمول للنماذج عالية المخاطر |
| الملكية الفكرية | تراخيص برمجيات | ملكية المخرجات المولدة |
| التحديث | سنوي عادةً | مستمر (مواكبة تغير AI) |
سياسة الاستخدام AI تُدمج عادةً مع سياسة AUP القائمة كملحق أو فصل منفصل. لا تحذف السياسة القديمة، بل أضف لها.
القالب القياسي: 12 بنداً أساسياً
البند 1: الهدف والنطاق
الغرض: تحديد سبب وجود السياسة وما تشمله وما لا تشمله.
النموذج:
تحدد هذه السياسة القواعد والمعايير لاستخدام أدوات الذكاء الاصطناعي (AI) داخل منشأة [اسم المنشأة]، بما يضمن الاستخدام المسؤول والمتوافق مع نظام حماية البيانات الشخصية (PDPL) وضوابط الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) ومتطلبات الأمن السيبراني (NCA ECC) ومعايير [أخرى ذات صلة].
تنطبق هذه السياسة على كل موظف ومتعاقد ومستشار لديه وصول إلى أنظمة المنشأة أو يعمل باسمها، وعلى كل استخدام لـ AI سواء عبر أدوات معتمدة أو أدوات شخصية على أجهزة العمل.
لا تشمل هذه السياسة: أنظمة AI المدمجة في منتجات تجارية يستخدمها الموظف لأغراض شخصية (مثلاً: ترجمة شخصية على الهاتف).
البند 2: التعريفات والمصطلحات
الغرض: تعريف الموظف بمصطلحات AI الأساسية حتى لا يساء فهم السياسة.
المصطلحات الأساسية المطلوبة: الذكاء الاصطناعي، نموذج لغوي كبير (LLM)، ذكاء اصطناعي توليدي (Generative AI)، ذكاء اصطناعي تنبؤي (Predictive AI)، هلوسة (Hallucination)، prompt، PII (بيانات الهوية)، النقل العابر للحدود (Cross-border data transfer)، الموافقة البشرية (Human-in-the-Loop)، الإفصاح (Disclosure)، الانحياز (Bias).
البند 3: الأدوات المعتمدة والأدوات الممنوعة
الغرض: تحديد قائمة الأدوات المسموح بها رسمياً وما يحظر استخدامه.
النموذج:
يعتمد قسم التقنية قائمة رسمية بأدوات AI المسموح باستخدامها في المنشأة. القائمة تُحدَّث ربع سنوياً وتُنشر على [رابط داخلي].
الأدوات المعتمدة حالياً (أمثلة، تُعدَّل بحسب المنشأة):
- ChatGPT Enterprise (مع تعطيل “Improve the model for everyone” في Data Controls)
- Microsoft Copilot for Microsoft 365 (للمستخدمين المرخصين)
- Claude for Work (للحسابات المؤسسية)
- نماذج داخلية معتمدة عبر [منصة BrightAI]
يحظر تماماً استخدام:
- ChatGPT Free، ChatGPT Plus، Claude.ai Free، Gemini Free للبيانات المتعلقة بالعمل.
- أي نموذج AI غير موجود في القائمة الرسمية، حتى لو كان مجانياً أو ذو سمعة طيبة.
- أي تطبيق AI مثبت ذاتياً على جهاز العمل بدون موافقة قسم التقنية.
مخالفة هذه القائمة: مخالفة للنظام الداخلي تُعرّض المخالف لإجراءات تأديبية، وقد تُعرّض المنشأة لغرامات نظامية.
البند 4: الاستخدام المسموح به حسب الدور
الغرض: تحديد ما يجوز لكل دور وظيفي بدون الحاجة لموافقة خاصة.
النموذج:
| الدور | استخدام مسموح بدون موافقة | استخدام يحتاج موافقة |
|---|---|---|
| تسويق | أفكار حملات، صياغة محتوى عام، تحسين صياغة نصوص | أي محتوى يحمل اسم المنشأة، صياغة رد رسمي لعميل |
| مبيعات | أبحاث سوق عامة، صياغة رسائل تواصل أولية | تلخيص محادثات عميل حقيقية، عروض أسعار |
| موارد بشرية | صياغة إعلان وظيفة، أسئلة مقابلة | تحليل سيرة ذاتية، تقييم أداء موظف |
| مالية | شرح مفاهيم مالية عامة | معالجة بيانات مالية فعلية، نماذج مالية |
| قانوني | تلخيص مفاهيم قانونية عامة | مراجعة عقد حقيقي، استشارة قانونية |
| تقنية | شرح مفهوم برمجي، مراجعة كود عام | كود منتج، كود يحتوي أسرار |
| خدمة عملاء | صياغة رد أولي، قاعدة معرفة عامة | أي تواصل مع عميل |
| تنفيذ/تشغيل | أتمتة مهام روتينية، تقارير تشغيلية | قرارات تشغيلية حرجة، استجابة حوادث |
البند 5: الاستخدام الممنوع بشكل قاطع
الغرض: تحديد الخطوط الحمراء التي لا يجوز تجاوزها أبداً.
النموذج:
يُحظر تماماً:
- إدخال بيانات شخصية حقيقية (أسماء، أرقام هوية، أرقام جوالات، عناوين بريد) إلى أي نموذج AI غير معتمد أو إلى أدوات AI عامة.
- إدخال معلومات مالية أو صحية أو قانونية سرية إلى نماذج AI عامة.
- استخدام AI لاتخاذ قرار نهائي يؤثر على فرد (توظيف، فصل، ترقية، ائتمان، تأمين، علاج، حكم) بدون مراجعة بشرية موثقة.
- نشر محتوى مولد آلياً باسم المنشأة دون مراجعة بشرية.
- استخدام AI لإنتاج محتوى ينتهك حقوق الملكية الفكرية للغير، أو محتوى مسيء أو تمييزي أو مضلل.
- تجاوز ضوابط AI Firewall المعتمدة، أو محاولة تعطيلها.
- استخدام حسابات AI شخصية على أجهزة العمل، أو العكس.
البند 6: حماية البيانات والامتثال لـ PDPL
الغرض: ربط السياسة بـ PDPL بشكل واضح وقابل للتطبيق.
النموذج:
عند استخدام أدوات AI للبيانات المتعلقة بالعمل:
البيانات العامة فقط افتراضياً: يُسمح بإدخال المعلومات العامة المتاحة للجميع (محتوى موقع، معلومات منشورة، كود عام). أي بيانات أخرى تحتاج مراجعة.
التصنيف قبل الإدخال: يجب تصنيف البيانات قبل إدخالها للنموذج: عامة، داخلية، سرية، سرية للغاية. الفئتان الأخيرتان محظورتان على النماذج العامة.
إخفاء الهوية (Anonymization): قبل إدخال بيانات شخصية، يجب إخفاء الهوية: استبدال الأسماء بأسماء مستعارة، الأرقام بأرقام وهمية، التفاصيل الجغرافية بمناطق عامة.
النقل العابر للحدود: كل إرسال لبيانات إلى نموذج خارج المملكة يحتاج موافقة DPO وتقييم مخاطر نقل. الـ AI Firewall يمنع الإرسال غير المعتمد تلقائياً.
حقوق أصحاب البيانات: يحق للموظف/العميل طلب الوصول للبيانات المُستخدمة في نموذج AI، تصحيحها، أو حذفها. يُبلَّغ قسم الحوكمة في هذه الحالات خلال 24 ساعة.
البند 7: الإفصاح عن المحتوى المولد آلياً
الغرض: ضمان الشفافية في المخرجات الموجهة للعملاء أو الجمهور.
النموذج:
يجب الإفصاح عن استخدام AI في الحالات التالية:
- أي محتوى منشور باسم المنشأة (مقال، فيديو منشور، تغريدة).
- أي تواصل مع عميل أو مستخدم نيابة عن المنشأة.
- أي صورة أو فيديو أو صوت تم توليده جزئياً أو كلياً بـ AI.
طريقة الإفصاح:
- في النص: “هذا المحتوى تم توليده بمساعدة الذكاء الاصطناعي وراجعه فريق [المنشأة].”
- في الصور/الفيديو: علامة مائية مرئية أو ملاحظة في الوصف.
استثناء: لا يحتاج إفصاح عند استخدام AI داخلياً (بين موظف وزميله) في مرحلة عمل غير نهائية.
البند 8: الموافقات البشرية للقرارات المؤثرة
الغرض: منع القرارات الآلية من التأثير على الأفراد بدون مراجعة.
النموذج:
يحتاج كل قرار آلي يؤثر على فرد إلى موافقة بشرية موثقة قبل التنفيذ. يشمل ذلك:
- قرارات التوظيف (فرز سير ذاتية، تقييم، ترقية، فصل).
- قرارات الائتمان (منح، رفض، تسعير).
- قرارات التأمين (تسعير، رفض مطالبة).
- قرارات الرعاية الصحية (تشخيص، علاج، جرعة).
- قرارات تعليمية (قبول، ترقية، تقييم).
آلية الموافقة:
- يصدر النظام توصية آلية مع التحليل والمبررات.
- يُحال القرار إلى مراجع بشري مختص.
- يوقع المراجع البشري قراره في النظام (نعم/لا/يحتاج نقاش).
- تُسجل العملية في AI Audit Trail مع البصمة الرقمية.
- يُبلغ المتأثر بالقرار وحقه في الاعتراض خلال 5 أيام عمل.
البند 9: حقوق الملكية الفكرية
الغرض: حماية المنشأة من مخاطر حقوق الملكية الفكرية.
النموذج:
المخرجات المولدة بـ AI داخل المنشأة:
- الملكية: للمنشأة، بشرط أن يكون الموظف وقت العمل وأن يكون مرتبطاً بالعمل.
- المسؤولية: يتحمل الموظف مسؤولية مراجعة المخرجات للتأكد من عدم انتحال أو تعد على حقوق الغير.
- الاستخدام التجاري: يخضع لشروط مزود النموذج. ChatGPT Enterprise مثلاً يسمح بالاستخدام التجاري الكامل. النماذج المجانية لها قيود.
مسؤوليات الموظف:
- لا ينشر محتوى مولداً بدون التحقق من مصدر المعلومات.
- لا يستخدم اسم شخص حقيقي بدون موافقته.
- لا ينتج محتوى يحاكي عملاً محمياً (شعر، أغنية، كود، تصميم).
- يحتفظ بمسودة prompt الأصلية ومخرج AI للمراجعة عند الحاجة.
البند 10: إدارة الحوادث والاستجابة
الغرض: تحديد آلية الاستجابة عند اكتشاف مشكلة متعلقة بـ AI.
النموذج:
يجب الإبلاغ الفوري لأي حادثة متعلقة بـ AI خلال 24 ساعة من الاكتشاف. تشمل الحوادث:
- تسرب بيانات (سواء عبر prompt أو ناتج عن خطأ النموذج).
- مخرجات مسيئة أو تمييزية أو مضللة نشرت باسم المنشأة.
- اكتشاف انحياز في نموذج له أثر فعلي.
- فشل نموذج في الإنتاج أثر على عميل أو عملية.
- بلاغ من عميل عن مخرج AI غير صحيح.
آلية الإبلاغ:
- إبلاغ ضابط AI المباشر (البريد الإلكتروني: ai-governance@[domain]).
- إبلاغ DPO إذا كان الحادثة متعلقة ببيانات شخصية.
- إبلاغ الأمن السيبراني إذا كان الحادثة متعلقة باختراق.
- توثيق الحادثة في AI Evidence File.
- تحليل السبب الجذري خلال 7 أيام عمل، تطبيق إجراء وقائي، مشاركة التعلم مع الفريق.
حماية المُبلِّغ: لا تُتخذ إجراءات تأديبية ضد موظف يُبلِّغ بحسن نية عن حادثة. الإبلاغ مسؤولية مهنية.
البند 11: التدريب والتوعية الإلزامية
الغرض: ضمان فهم الموظفين للسياسة وتطبيقها.
النموذج:
يخضع كل موظف يستخدم AI في عمله لدورة تدريبية إلزامية:
- عند التعيين: دورة تأسيسية مدتها ساعتان تغطي السياسة والأدوات المعتمدة.
- سنوياً: دورة تنشيطية مدتها 30 دقيقة تغطي التحديثات.
- عند تحديث السياسة: إقرار إلكتروني بالتحديث خلال 5 أيام عمل.
- إدارات ذات مخاطر عالية (HR، Finance، Legal، Health): دورات متخصصة إضافية.
توثيق التدريب في سجل الموظف الشخصي. عدم إتمام التدريب يُوقف صلاحية الوصول للأدوات المعتمدة.
البند 12: آلية التحديث والمراجعة
الغرض: ضمان بقاء السياسة محدثة مع تطور الأنظمة والأدوات.
النموذج:
تُحدَّث السياسة في الحالات التالية (أيهما أسبق):
- ربع سنوي (كل 3 أشهر): مراجعة روتينية.
- عند صدور تحديث من سدايا أو NDMO.
- عند صدور تحديث لـ PDPL أو لائحته التنفيذية.
- عند إضافة أداة AI جديدة للقائمة المعتمدة.
- عند وقوع حادثة كبيرة تستدعي مراجعة السياسة.
مسؤولية التحديث: ضابط AI. اعتماد التحديث: لجنة حوكمة AI + توقيع المدير التنفيذي. الإعلان عن التحديث: اتصال داخلي + إقرار إلكتروني لجميع الموظفين خلال 7 أيام.
خطوات اعتماد السياسة في 14 يوماً
الأيام 1-3: الصياغة
- تخصيص ضابط AI أو مسؤول للحوكمة.
- استخدام القالب القياسي وتعديله لخصوصيات المنشأة.
- صياغة قائمة الأدوات المعتمدة بناءً على الجرد.
- صياغة جدول الاستخدام المسموح به حسب الدور.
الأيام 4-7: المراجعة
- مراجعة DPO من ناحية حماية البيانات.
- مراجعة CISO من ناحية الأمن السيبراني.
- مراجعة المستشار القانوني من ناحية الامتثال.
- مراجعة ممثلين عن الإدارات للتأكد من واقعية البنود.
الأيام 8-11: الاعتماد
- عرض السياسة على لجنة حوكمة AI.
- توقيع المدير التنفيذي أو من يفوضه.
- تحديد تاريخ السريان (عادةً بعد 14 يوم من الاعتماد للموظفين الحاليين، وفوري للموظفين الجدد).
الأيام 12-14: الإطلاق
- اتصال داخلي يشرح السياسة وأبرز التغييرات.
- تدريب إلزامي للموظفين.
- تفعيل الأدوات التقنية الداعمة.
- فتح قناة للإبلاغ والاستفسار.
تخصيص السياسة حسب حجم المنشأة
منشأة صغيرة (10-50 موظف)
- تبسيط السياسة إلى 5-6 صفحات بدلاً من 12 بنداً مفصلاً.
- ضابط AI بدوام جزئي (شخص واحد من التقنية أو القانوني).
- الأدوات المعتمدة: 2-3 أدوات فقط (مثلاً: ChatGPT Enterprise + Microsoft Copilot).
- التدريب: دورة تأسيسية واحدة لجميع الموظفين.
منشأة متوسطة (50-500 موظف)
- السياسة الكاملة بـ 12 بنداً، حوالي 8-12 صفحة.
- ضابط AI متفرغ أو شبه متفرغ.
- فريق AI Champions في الإدارات الرئيسية.
- التدريب: دورات تأسيسية + تنشيطات ربع سنوية.
منشأة كبيرة (500+ موظف)
- السياسة الكاملة + ملاحق قطاعية (للصحة، المالية، إلخ).
- فريق حوكمة AI كامل (ضابط + مساعدان + لجنة).
- أدوات متخصصة لكل إدارة.
- التدريب: برنامج تدريبي شامل مع تخصصات.
كيف يدعم BrightAI تطبيق السياسة؟
منصة BrightAI للحوكمة تترجم بنود السياسة الـ 12 إلى ضوابط تقنية:
- AI Firewall يفرض البند 3 (الأدوات المعتمدة)، البند 5 (الاستخدام الممنوع)، والبند 6 (حماية البيانات) بشكل آلي.
- AI Audit Trail يفرض البند 8 (الموافقات البشرية)، البند 9 (حقوق الملكية)، والبند 10 (إدارة الحوادث) عبر التوثيق.
- Human Approval Layer يفرض البند 8 تلقائياً في القرارات عالية المخاطر.
- AI Evidence File يُجمِّع الأدلة المطلوبة للبند 10 عند التدقيق.
- Compliance Packs تربط السياسة بأنظمة PDPL وسدايا وNCA ECC بشكل مباشر.
ملخص تنفيذي للمديرين
سياسة استخدام AI هي الوثيقة التشغيلية الأكثر أهمية في برنامج حوكمة الذكاء الاصطناعي. بدونها، الإطار يبقى نظرياً. القالب القياسي الـ12 بنداً يوفر تغطية شاملة: من الهدف والنطاق إلى آلية التحديث. السياسة قابلة للتخصيص خلال 14 يوماً، ومتوافقة مع PDPL وسدايا، وتُنفَّذ عبر أدوات BrightAI. كل منشأة سعودية تستخدم AI تحتاج هذه السياسة، وكل تأخير في اعتمادها يضاعف المخاطر النظامية والسمعية.
أسئلة شائعة حول سياسة استخدام الذكاء الاصطناعي
كم بنداً يجب أن تتضمنها سياسة استخدام AI؟
لا يوجد رقم محدد، لكن الخبرة العملية للمنشآت السعودية الناجحة تشير إلى 10-15 بنداً كحد مثالي. أقل من 7 بنود يعني ثغرات، أكثر من 20 بنداً يعني موظف لن يقرؤها. القالب القياسي الـ12 بنداً يوازن بين الشمولية والعملية.
هل سياسة استخدام AI كافية بدون إطار حوكمة؟
لا، السياسة جزء من الإطار وليست بديلاً عنه. الإطار يحتوي 4 ركائز (السياسات، الأدوار، الأدوات، القياس)، والسياسة تغطي ركناً واحداً. المنشأة تحتاج أيضاً: ضابط AI، أدوات تقنية (AI Firewall)، ومؤشرات قياس.
هل يجب أن تكون السياسة موثقة رسمياً من محامٍ؟
نعم و لا. نعم: يجب أن تراجعها الدائرة القانونية في المنشأة للتأكد من عدم التعارض مع سياسات أخرى والتزامات نظامية. لا: ليس من الضروري توثيقها من محامٍ خارجي إلا في المنشآت عالية التنظيم (صحة، بنوك) أو عند حالات خاصة.
كيف أمنع الموظفين من استخدام أدوات AI غير معتمدة؟
الوقاية تحتاج 3 طبقات: (1) الثقافة: توعية لماذا القائمة المعتمدة مهمة وما مخاطر الأدوات غير المعتمدة، (2) السياسة: حظر واضح مع عواقب محددة في البند 3 والقسم التأديبي، (3) التقنية: AI Firewall على مستوى الشبكة يمنع الوصول لأدوات غير معتمدة. الثقافة وحدها لا تكفي، السياسة وحدها لا تكفي، التقنية وحدها لا تكفي. الثلاث معاً تغطي الفجوات.
كم مرة يجب تحديث سياسة استخدام AI؟
الحد الأدنى: ربع سنوي (كل 3 أشهر). المثالي: عند أي تحديث نظامي (سدايا، PDPL، NCA) أو عند إضافة أداة جديدة. في الواقع، المنشآت الناضجة تُحدَّث سياستها 2-4 مرات في السنة. تحديث السياسة ليس حدثاً كبيراً، هو تعديل بنود فردية ومراجعة وتوقيع.
روابط ذات صلة:
- حوكمة الذكاء الاصطناعي في السعودية: كيف تبدأ الشركات بدون تعقيد؟ — الدليل الشامل للحوكمة في المنشآت السعودية
- إطار حوكمة الذكاء الاصطناعي للمنشآت السعودية — الركائز الأربع للإطار
- حوكمة الذكاء الاصطناعي التوليدي: كيف تختلف عن الحوكمة التقليدية — تحديات GenAI الفريدة
- إرشادات سدايا للذكاء الاصطناعي التوليدي — الإطار التطبيقي الرسمي
- منصة BrightAI للحوكمة — تطبيق السياسة عملياً