تخطي إلى المحتوى
أمن-البيانات

ChatGPT والبيانات الشخصية — ما يحتاجه مسؤول الامتثال السعودي

مخاطر إدخال بيانات شخصية في ChatGPT، متطلبات PDPL المحددة، سياسات OpenAI للبيانات، كيف يمنع AI Firewall التسريب، وإجراءات عملية لمسؤولي الامتثال في المنشآت السعودية.

م. ناصر العبدالله 11 دقائق قراءة
ChatGPTPDPLOpenAIالبيانات الشخصية

استخدام ChatGPT في المنشآت السعودية يعرّضها لمخاطر PDPL عبر نقل البيانات للخارج (المادة 29)، تخزينها في خوادم OpenAI، احتمال استخدامها لتدريب نماذج مستقبلية، ومحدودية إمكانية الحذف الفوري. الحل العملي هو AI Firewall يكشف ويحجب البيانات الشخصية قبل إرسالها للنموذج.

الخلاصة السريعة

استخدام ChatGPT داخل المنشآت السعودية بدون ضوابط يعرّضها لثلاثة مخاطر PDPL: مخالفة المادة 29 في النقل العابر للحدود، تخزين بيانات شخصية سعودية في خوادم OpenAI، واحتمال استخدام هذه البيانات لتدريب نماذج مستقبلية مع صعوبة الحذف. الحل العملي هو تقييد الوصول عبر [AI Firewall](/solutions/ai-firewall/) يكشف ويحجب البيانات الشخصية قبل إرسالها، أو اعتماد ChatGPT Enterprise الذي لا يستخدم البيانات للتدريب افتراضياً.

لماذا يختلف ChatGPT عن باقي أدوات AI في سياق PDPL؟

ChatGPT هو النموذج اللغوي الأكثر استخداماً في العالم، ووصلت شعبيته في السوق السعودي إلى مستويات عالية بحسب حجم البحث على الكلمة الجاذبة “chatgpt بالعربي” بنحو 5,400 بحث شهرياً. لكن انتشاره يخلق تحدياً غير مسبوق لمسؤولي الامتثال: أداة يستخدمها الموظفون يومياً، غالباً بدون وعي منهم بالمخاطر النظامية، وقد تحتوي prompts على بيانات شخصية حساسة.

ما يجعل ChatGPT مختلفاً عن أدوات مؤسسية أخرى:

  • سهولة الوصول: متاح عبر المتصفح، لا يحتاج تثبيت، يمكن للموظف استخدامه من جهازه الشخصي.
  • سلوك الموظف غير المراقب: غالبية الموظفين يستخدمونه لمهام عمل دون إبلاغ قسم تكنولوجيا المعلومات.
  • غموض سياسة البيانات: كثير من المستخدمين لا يعرفون أن OpenAI قد تستخدم محادثاتهم لتحسين النماذج.
  • تأثير تراكمي: آلاف الـ prompts يومياً من عشرات الموظفين تعني آلاف عمليات نقل البيانات للخارج.

مخاطر إدخال بيانات شخصية في ChatGPT

المخاطرة الأولى: النقل العابر للحدود بلا ضوابط

كل prompt يُرسل لـ ChatGPT ينتقل من جهاز الموظف في السعودية إلى خوادم OpenAI في الولايات المتحدة وأوروبا. هذا نقل عابر للحدود بالمعنى النظامي في المادة 29 من PDPL. المنشأة التي لا تملك DPA مع OpenAI، ولا تملك ضمانات كافية موثقة، ولا تملك تقييم مخاطر نقل، تكون في مخالفة مباشرة.

المخاطرة الثانية: تخزين البيانات في خوادم خارجية

OpenAI تحتفظ بالبيانات المرسلة لـ ChatGPT لمدة تصل إلى 30 يوماً لأغراض المراجعة الأمنية، وقد تحتفظ بها لفترة أطول في حالات محددة (تحقيقات سوء الاستخدام، التزامات قانونية، نزاعات مالية). هذا يعني أن البيانات الشخصية السعودية تُخزّن في بنية تحتية لا تخضع للسيادة السعودية.

المخاطرة الثالثة: الاستخدام في تدريب النماذج

في إعدادات ChatGPT العادية، OpenAI تستخدم المحادثات لتحسين نماذجها. هذا يعني أن البيانات الشخصية في prompt قد تصبح جزءاً من نموذج مستقبلي. الاستثناء الوحيد هو تعطيل خيار “Improve the model for everyone” في إعدادات Data Controls، لكن كثير من الموظفين لا يعرفون هذا الخيار أو لا يكلفون أنفسهم تعطيله.

المخاطرة الرابعة: محدودية الحذف الفوري

حتى عند طلب حذف البيانات، OpenAI تصف سياسة الحذف بأنها تتم خلال 30 يوماً، مع استثناءات للبيانات المستخدمة في تدريب النماذج (يصعب حذفها من الأوزان)، وللبيانات الخاضعة لـ legal hold. هذا يعني أن البيانات الشخصية السعودية قد تبقى في النظام حتى بعد طلب الحذف.

سياسات OpenAI للبيانات: ما الذي يجب أن يعرفه مسؤول الامتثال؟

ChatGPT العادي (Free / Plus / Pro)

  • جمع البيانات: prompts، مخرجات، أنماط استخدام، معلومات الجهاز، عنوان IP، بيانات المتصفح، معلومات الحساب.
  • التدريب على البيانات: افتراضياً نعم، ما لم يتم تعطيل “Improve the model for everyone”.
  • مدة الاحتفاظ: الحذف خلال 30 يوماً، مع استثناءات.
  • مراقبة المحادثات: OpenAI تستخدم نماذج لمراقبة المحادثات بحثاً عن سوء الاستخدام، وقد يصل المراجعون البشر إلى المحادثات.
  • الإبلاغ عن الحوادث الخطيرة: OpenAI قد تُبلغ جهات إنفاذ القانون في حالات محددة (مثل التخطيط لإيذاء الآخرين).

ChatGPT Enterprise / Business / Edu

  • التدريب على البيانات: لا، افتراضياً لا تستخدم OpenAI بيانات Enterprise لتحسين نماذجها.
  • ملكية البيانات: العميل يملك مدخلاته ومخرجاته (حيث يسمح القانون).
  • مدة الاحتفاظ: يحددها العميل.
  • التشفير: AES-256 في حالة السكون، TLS 1.2+ في النقل.
  • SAML SSO ومصادقة مؤسسية.
  • سجل امتثال SOC 2.

ChatGPT API

  • التدريب على البيانات: لا، افتراضياً لا.
  • مدة الاحتفاظ: OpenAI تحتفظ بالبيانات لمدة 30 يوماً لأغراض المراقبة الأمنية، ثم تحذفها (ما لم يتم طلب خلاف ذلك كتابياً).
  • هذا هو الخيار الأنظم للمنشآت السعودية التي تريد استخدام GPT في معالجة البيانات الشخصية، بشرط وجود ضوابط إضافية على ما يُرسل.

متطلبات PDPL المحددة لاستخدام ChatGPT

المادة 29: النقل العابر للحدود

استخدام ChatGPT في إعداداته الافتراضية يعني نقلاً عابراً للحدود بلا ضوابط كافية. المنشأة السعودية أمام خيارين:

  1. تقييد الاستخدام: منع إرسال أي بيانات شخصية، والاعتماد على AI Firewall يكشف ويحجب.
  2. إبرام اتفاقية DPA مع OpenAI: ChatGPT Enterprise يوفّر DPA، لكن ChatGPT العادي لا يوفرها للمنشآت. OpenAI API يوفّر شروط خدمة قابلة للتطبيق كـ DPA جزئياً.

المادة 5 و6: الأساس النظامي للمعالجة

استخدام ChatGPT لمعالجة بيانات شخصية يحتاج أساساً نظامياً واضحاً. إذا كان الغرض خدمة العملاء، يجب أن يكون لدى المنشأة موافقة أو عقد أو مصلحة مشروعة. مجرد “استخدام ChatGPT لتحسين الخدمة” ليس أساساً نظامياً كافياً.

المادة 18: تقليل البيانات

مبدأ الحد الأدنى يفرض أن يُرسل للنموذج أقل قدر ممكن من البيانات. AI Firewall يطبق هذا المبدأ تلقائياً.

المادة 19: ضوابط الأمن

استخدام نموذج خارجي يحتاج ضوابط أمن على الواجهة (prompt) وعلى المخرج (output). يجب أن لا يُسمح بإرسال البيانات المشفرة أو الموقّعة، ويجب أن تُمنع المخرجات من احتواء بيانات حساسة.

المادة 25 و26: الشفافية لأصحاب البيانات

صاحب البيانات يجب أن يعرف أن بياناته ستُستخدم عبر AI. سياسة الخصوصية يجب أن توضح هذا الاستخدام، وأن تتيح للعميل خيار عدم المشاركة.

كيف يمنع AI Firewall التسريب؟

منصة BrightAI تقدم حلاً تشغيلياً يمنع التسريب قبل وقوعه:

1. كشف بيانات الهوية في الـ prompt. النظام يفحص النص قبل إرساله لـ OpenAI، يكتشف الأسماء وأرقام الهوية وأرقام الحسابات وأرقام الجوال وعناوين البريد والإيميلات وأي بيانات يمكن ربطها بشخص.

2. الحجب أو الإخفاء التلقائي. حسب السياسة المحددة، النظام إما يحجب الـ prompt بالكامل (يمنع إرساله)، أو يخفي البيانات الحساسة (يستبدلها بـ placeholders)، أو يطلب موافقة بشرية قبل الإرسال.

3. التصنيف حسب مستوى الحساسية. بيانات العملاء العاديين تُعامل بشكل مختلف عن البيانات الصحية أو المالية أو بيانات الأطفال.

4. سجل تدقيق كامل. كل عملية فحص، كل قرار حجب أو إخفاء، كل موافقة بشرية، كلها موثقة في AI Audit Trail.

5. تكامل مع سياسات المنشأة. قواعد الحجب قابلة للتخصيص بحسب سياسة المنشأة: ما يُسمح بإرساله، ما يُخفى، ما يُمنع.

6. دعم ChatGPT وأي نموذج خارجي. الجدار يعمل مع OpenAI API، وChatGPT Enterprise API، وAnthropic Claude، وAzure OpenAI، وأي نموذج مستضاف في الخارج.

إجراءات عملية لمسؤول الامتثال السعودي

1. تقييم الوضع الراهن

قبل أي إجراء، اعرف كيف يستخدم فريقك ChatGPT اليوم:

  • كم عدد الموظفين الذين يستخدمونه؟
  • ما أنواع البيانات التي يدخلونها عادةً؟
  • هل يستخدمون ChatGPT العادي أم Enterprise؟
  • هل يعرفون سياسة الشركة تجاهه؟

2. إصدار سياسة استخدام واضحة

وثيقة قصيرة (صفحتين كحد أقصى) توضح:

  • الاستخدامات المسموح بها.
  • الاستخدامات الممنوعة (مثلاً: لا تُدخل بيانات العملاء).
  • الإجراء الموصى به عند الحاجة لمعالجة بيانات (مثلاً: استخدم النموذج الداخلي أو AI Firewall).
  • المسؤول عن متابعة الالتزام.

3. اعتماد ChatGPT Enterprise أو API

إذا كانت المنشأة بحاجة فعلية لاستخدام GPT، الخيار الأكثر امتثالاً هو:

  • ChatGPT Enterprise: لا تدريب، DPA متاح، تشفير، سجل امتثال.
  • OpenAI API: شروط خدمة قابلة للتطبيق، لا تدريب افتراضياً، مرونة في التنفيذ.

مع إبقاء ضوابط إضافية على ما يُرسل.

4. نشر AI Firewall كطبقة وسيطة

أي تكامل تقني بين المنشأة وOpenAI يجب أن يمر عبر AI Firewall. هذا يحقق مبدأ الحد الأدنى بشكل تلقائي، ويوثق كل عملية نقل.

5. تدريب الموظفين

برنامج تدريب قصير (60 دقيقة) يغطي:

  • لماذا ChatGPT خطير على البيانات الشخصية.
  • ما الذي يُسمح بإدخاله وما لا يُسمح.
  • كيفية تعطيل “Improve the model for everyone” في حسابهم الشخصي.
  • ماذا يفعلون عند الحاجة لمعالجة بيانات حقيقية.

6. توثيق في سجل المعالجات (ROPA)

ChatGPT أو OpenAI يجب أن يُدرَج كمعالج في سجل أنشطة المعالجة، مع تحديد:

  • فئة البيانات المُعالَجة.
  • الأساس النظامي.
  • الضمانات التعاقدية.
  • مدة الاحتفاظ.
  • ضوابط النقل.

7. المراقبة والتدقيق الدوري

كل ربع سنة، راجع:

  • سجلات AI Audit Trail للبحث عن أنماط غير طبيعية.
  • حجم البيانات المرسلة لـ OpenAI.
  • أي حوادث تسرب.
  • تحديث السياسة حسب التطورات.

جدول مقارنة خيارات ChatGPT للمنشآت السعودية

المعيارChatGPT العاديChatGPT EnterpriseOpenAI API مع AI Firewall
التدريب على بياناتكافتراضياً نعملالا
DPA رسمي مع OpenAIلانعمنعم (شروط الخدمة)
مدة الاحتفاظ30 يوم + استثناءاتيحددها العميلمرنة، قابلة للتخصيص
تشفير البياناتنعمAES-256 + TLS 1.2+يتحكم فيه المنشأة
التحكم في الوصولحساب فرديSAML SSO + صلاحياتيتحكم فيه المنشأة
سجل امتثاللاSOC 2يعتمد على التنفيذ
حجب البيانات الحساسةلالانعم (عبر Firewall)
تكلفة إضافية لإدارة المخاطرعاليةمتوسطةمنخفضة
الأفضل لـالاستخدام الشخصيالاستخدام المؤسسي العامالاستخدام الحساس بالبيانات

الحالات العملية: كيف يتعامل مسؤولو الامتثال مع ChatGPT؟

الحالة 1: شركة استشارات سعودية يستخدم محللوها ChatGPT

المشكلة: المحللون يستخدمون ChatGPT لتلخيص تقارير العميل، ويدرجون أحياناً اسم العميل أو بيانات مالية في الـ prompt.

الحل:

  • اعتماد ChatGPT Enterprise مع DPA.
  • نشر AI Firewall يفحص ويخفي اسم العميل والبيانات المالية قبل الإرسال.
  • تدريب المحللين على الاستخدام الآمن.
  • توثيق في سجل المعالجات كمعالج خارجي.

الحالة 2: بنك سعودي يستخدم ChatGPT لخدمة العملاء

المشكلة: البنك يريد استخدام ChatGPT كمساعد افتراضي لخدمة العملاء، لكن لا يمكن إرسال بيانات العملاء الحساسة.

الحل:

  • نشر نموذج محلي على بنية البنك لمعالجة بيانات العملاء.
  • استخدام ChatGPT Enterprise (بدون بيانات شخصية) للأسئلة العامة.
  • AI Firewall يمنع أي محاولة لإرسال بيانات حساسة.

الحالة 3: شركة رعاية صحية سعودية

المشكلة: أطباء يستخدمون ChatGPT للاستشارة الطبية، ويدرجون أحياناً معلومات المريض.

الحل:

  • منع استخدام ChatGPT العادي تماماً للبيانات الصحية.
  • اعتماد نموذج محلي متخصص للاستشارات الطبية.
  • إن لزم ChatGPT، استخدام ChatGPT Enterprise مع AI Firewall وحظر البيانات الصحية.

الحالة 4: جهة حكومية تستخدم ChatGPT لتحليل المستندات

المشكلة: موظفون يستخدمون ChatGPT لتلخيص مستندات قد تحتوي أسماء مواطنين.

الحل:

  • اعتماد نموذج محلي مُعَد خصيصاً للمستندات الحكومية.
  • في حال عدم توفر نموذج محلي، استخدام AI Firewall يكشف ويحجب الأسماء وأرقام الهوية.

كيف يدعم BrightAI مسؤولي الامتثال في إدارة مخاطر ChatGPT؟

منصة BrightAI تقدم منظومة متكاملة:

  • AI Firewall يكشف ويحجب البيانات الشخصية قبل إرسالها لأي نموذج خارجي، بما فيه ChatGPT.
  • AI Audit Trail يوثق كل محاولة استخدام وكل عملية حجب وإخفاء.
  • AI Evidence File يجمع أدلة الامتثال في ملف منظم، يشمل تقييم مخاطر ChatGPT كمعالج خارجي.
  • Continuous AI Governance يراقب أنماط الاستخدام ويطلق تنبيهات عند رصد مخاطر جديدة.

لمزيد من المعلومات يمكن زيارة صفحة الحلول أو طلب استشارة متخصصة.

ملخص تنفيذي لمسؤول الامتثال

ChatGPT أداة قوية لكنها تحمل مخاطر جدية على المنشآت السعودية الخاضعة لـ PDPL. المخاطر لا تنبع من الأداة نفسها، بل من الطريقة التي يستخدمها بها الموظفون. الحل ليس حظر الأداة (فهذا غير واقعي)، بل وضع ضوابط تقنية وتنظيمية:

  • اعتماد ChatGPT Enterprise أو API مع DPA.
  • نشر AI Firewall كطبقة وسيطة تكشف وتحجب البيانات الحساسة.
  • إصدار سياسة استخدام واضحة ومختصرة.
  • تدريب الموظفين على الاستخدام الآمن.
  • توثيق ChatGPT كمعالج خارجي في سجل المعالجات.
  • مراقبة دورية ومحاسبة على الالتزام.

هذه المنظومة تحمي المنشأة من مخالفات PDPL (خاصة المادة 29) وفي نفس الوقت تتيح للموظفين استخدام أداة AI قوية لرفع إنتاجيتهم.

أسئلة شائعة حول ChatGPT و PDPL

هل استخدام ChatGPT ممنوع في المنشآت السعودية الخاضعة لـ PDPL؟

لا، استخدام ChatGPT ليس ممنوعاً في حد ذاته. الممنوع هو استخدامه بطريقة تنتهك PDPL، خاصة عبر إرسال بيانات شخصية سعودية للخارج دون ضوابط. الاستخدام المسموح به هو عبر ChatGPT Enterprise مع DPA، أو OpenAI API، مع AI Firewall لمنع تسرب البيانات.

هل بيانات ChatGPT تُستخدم فعلاً لتدريب النماذج؟

نعم، في ChatGPT العادي (Free وPlus وPro) الإعداد الافتراضي يسمح لـ OpenAI باستخدام المحادثات لتحسين النماذج. يجب تعطيل “Improve the model for everyone” من Data Controls يدوياً. ChatGPT Enterprise وOpenAI API لا يستخدمان البيانات للتدريب افتراضياً.

كم مدة احتفاظ OpenAI بالمحادثات؟

تصل إلى 30 يوماً في الحالات العادية، مع استثناءات للبيانات التي تخضع لـ legal hold أو تحقيقات سوء الاستخدام أو النزاعات المالية. في ChatGPT Enterprise، العميل يحدد مدة الاحتفاظ بنفسه.

هل يمكن حذف البيانات من نماذج GPT المدربة؟

لا يمكن حذف البيانات من أوزان النموذج المدرب بعد استخدامها في التدريب. الحذف يمسح السجل النصي لكن التأثير على النموذج يبقى. هذا أحد أخطر جوانب استخدام ChatGPT للبيانات الشخصية، ويعزز أهمية منع البيانات الشخصية من الوصول للنموذج أصلاً.

هل يكفي ChatGPT Enterprise وحده لتحقيق الامتثال لـ PDPL؟

لا، ChatGPT Enterprise يغطي جانب DPA وعدم التدريب والتشفير، لكنه لا يمنع الموظف من إدخال بيانات شخصية في prompt. الحل الكامل يحتاج ChatGPT Enterprise + AI Firewall + سياسة استخدام + تدريب الموظفين.


روابط ذات صلة:

استكشف أعمق

محتوى ذو صلة

جدار حماية AIسجل التدقيقتصنيف مخاطر AIمركز الأمان

شاهد حوكمة AI وهي تعمل على حالاتك الفعلية

احجز جلسة تعريفية لمراجعة احتياج منشأتك ومسار التطبيق المناسب.

احجز ديمو