تخطي إلى المحتوى
أمن-البيانات

مكتب إدارة البيانات الوطنية (NDMO): الأدوار والمتطلبات الكاملة

دليل شامل عن مكتب إدارة البيانات الوطنية NDMO في السعودية: الأدوار، السياسات الوطنية السبع، متطلبات التسجيل في NDGP، العلاقة مع PDPL وسدايا، وكيف تؤثر على مشاريع الذكاء الاصطناعي.

م. ناصر العبدالله 12 دقائق قراءة
مكتب إدارة البيانات الوطنيةNDMONDGPسدايا

مكتب إدارة البيانات الوطنية (NDMO) هو الجهة المرجعية الوطنية السعودية لحوكمة البيانات، تابع لسدايا، تأسس 2019، أصدر 7 سياسات وطنية لإدارة البيانات، ويدير المنصة الوطنية NDGP للتسجيل الإلزامي للمتحكمين في البيانات الحساسة.

الخلاصة السريعة

مكتب إدارة البيانات الوطنية (NDMO) هو الجهة المرجعية لحوكمة البيانات في السعودية. تأسس 2019 كأحد الأجهزة التابعة لسدايا. صدرت منه 7 سياسات وطنية شاملة (تصنيف البيانات، حماية البيانات الشخصية، مشاركة المعلومات، حرية المعلومات، حماية بيانات الأطفال، نقل البيانات خارج المملكة، حوكمة البيانات). التسجيل في المنصة الوطنية NDGP إلزامي للمتحكمين في البيانات الحساسة. NDMO يدير العلاقة بين PDPL وسدايا، ويشرف على الانتقال التدريجي للإشراف على حماية البيانات من سدايا إليه. على المنشآت السعودية بناء برنامج حوكمة بيانات يتوافق مع هذه السياسات ويفهم متطلبات التسجيل.

ما هو مكتب إدارة البيانات الوطنية NDMO؟

مكتب إدارة البيانات الوطنية (National Data Management Office - NDMO) هو الجهة المرجعية والتنظيمية الوطنية لكل ما يتعلق بإدارة البيانات في المملكة العربية السعودية. تأسس في عام 2019 بالمرسوم الملكي الذي أسس منظومة سدايا بالكامل، ويعمل تنظيمياً تحت مظلة الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا).

NDMO ليس جهة تفتيش ميداني بالمعنى التقليدي؛ بل هو الجهة التي تضع السياسات الوطنية والمعايير والأدوات الإرشادية التي تحكم كيفية إدارة البيانات في الجهات الحكومية والخاصة. على المنشأة السعودية أن تفهم NDMO كـ”المهندس المعماري” لمنظومة البيانات الوطنية: هو الذي يحدد كيف تُصنَّف البيانات، وكيف تُحمى، وكيف تُشارك، وكيف تُنقل.

المكتب يتبع إدارياً لسدايا لكنه يتمتع بمرونة تنظيمية في وضع السياسات. أهدافه المعلنة تشمل: تطوير الإطار الوطني لإدارة البيانات، حماية خصوصية البيانات الشخصية، تعزيز ثقافة مشاركة البيانات بين الجهات، تمكين التكامل الحكومي، والحفاظ على السيادة الرقمية للبيانات السعودية.

تاريخ NDMO: من التأسيس إلى المرحلة الانتقالية

تطور دور NDMO يمكن فهمه عبر أربع مراحل تاريخية:

2019 — التأسيس. صدر المرسوم الملكي بتأسيس سدايا وثلاثة أجهزة تابعة لها: المركز الوطني للذكاء الاصطناعي (NCAI)، مكتب إدارة البيانات الوطنية (NDMO)، ومركز المعلومات الوطني. في هذه المرحلة، ركز NDMO على بناء الإطار المؤسسي ووضع المخططات الأولى للسياسات.

2020-2022 — بناء السياسات. أصدر NDMO سبع سياسات وطنية شاملة، وكلف فرقاً فنية بإعداد الأدوات الإرشادية والمنصات الوطنية. في هذه المرحلة، أصبح NDMO المرجع التقني لأي سؤال عن حوكمة البيانات في السعودية.

2023-2024 — إطلاق المنصات. أطلق NDGP كمنصة وطنية لتسجيل المتحكمين في البيانات، وبدأت المرحلة الانتقالية لإدارة تطبيق نظام PDPL. في هذه المرحلة، انتقلت كثير من المسؤوليات التنفيذية من سدايا إلى NDMO.

2025 وما بعدها — المرحلة الانتقالية الكاملة. بحسب اللائحة التنفيذية لـ PDPL، يتوقع أن تنتقل الإشراف الكامل على حماية البيانات الشخصية من SDAIA إلى NDMO خلال الفترة الانتقالية. هذا يعني أن NDMO سيصبح الجهة المرجعية النهائية لـ PDPL.

السياسات الوطنية السبع لـ NDMO

NDMO أصدر سبع سياسات وطنية، تشكل الإطار المرجعي لإدارة البيانات في السعودية:

السياسةالنطاقالمتطلبات الرئيسية
سياسة تصنيف البياناتكل البيانات في الجهات الحكومية والخاصة4 مستويات: سري للغاية، سري، مقيد، عام
سياسة حماية البيانات الشخصيةمعالجة البيانات الشخصية في كل القطاعاتالأساس النظامي، حقوق أصحاب البيانات، الإفصاح، النقل
سياسة مشاركة المعلوماتتبادل البيانات بين الجهات الحكوميةآليات المشاركة، السجلات، الحوكمة
سياسة حرية المعلوماتحق الجمهور في الوصول للمعلومات العامةآليات الطلب، الاستثناءات، الشفافية
سياسة حماية بيانات الأطفالمعالجة بيانات القاصرينالقيود الخاصة، الموافقات الأبوية، المخاطر
القواعد العامة لنقل البيانات خارج المملكةنقل البيانات الشخصية خارج السعوديةالشروط، الضمانات، الموافقات
سياسة حوكمة البياناتالإطار الشامل لإدارة البيانات كمواردالأدوار، اللجان، الأدوات، الجودة

سياسة تصنيف البيانات: حجر الأساس

سياسة تصنيف البيانات من أهم السياسات لأنها تحدد مستوى الحماية المطلوب لكل نوع من البيانات. التصنيف يتم على أربع مستويات:

1. سري للغاية (Top Secret). بيانات يؤدي إفشاؤها إلى ضرر جسيم بالمصالح الحيوية للمملكة أو بالأمن الوطني. مثال: بيانات البنية التحتية الحرجة، معلومات الاستخبارات، خطط الطوارئ الوطنية. هذا المستوى محظور تماماً من إدخاله في أي نموذج ذكاء اصطناعي عام.

2. سري (Secret). بيانات يؤدي إفشاؤها إلى ضرر كبير بالأمن أو الاقتصاد أو الأفراد. مثال: بيانات صحية تفصيلية، سجلات مالية حساسة، معلومات استخباراتية. هذا المستوى يحتاج إلى بيئات AI مراقبة وموافقات متعددة.

3. مقيد (Restricted). بيانات يؤدي إفشاؤها إلى ضرر محدود. مثال: بيانات شخصية للعملاء، سجلات الموظفين، معلومات مالية غير حساسة. هذا المستوى يحتاج إلى تطبيق PDPL وضوابط NCA ECC.

4. عام (Public). بيانات لا يؤدي إفشاؤها إلى أي ضرر. مثال: الموقع الجغرافي للمنشأة، السيرة الذاتية العامة، التقارير السنوية المنشورة. هذا المستوى يمكن استخدامه في نماذج AI العامة بدون قيود.

متطلبات التسجيل في المنصة الوطنية NDGP

المنصة الوطنية لحوكمة البيانات NDGP هي سجل وطني للمتحكمين والمعالجين للبيانات. التسجيل إلزامي في الحالات التالية:

حالة 1: جهة عامة. كل جهة حكومية في السعودية يجب أن تسجل في NDGP. هذا يشمل الوزارات والهيئات والمؤسسات العامة والشركات المملوكة للدولة.

حالة 2: معالجة بيانات شخصية حساسة. أي منشأة خاصة أو عامة تعالج بيانات شخصية حساسة (صحية، مالية، بيومترية، دينية، جنائية) يجب أن تسجل في NDGP. نطاق “المعالجة الحساسة” يشمل التدريب والاستدلال والنقل.

حالة 3: النشاط الرئيسي قائم على معالجة البيانات. أي منشأة يكون نشاطها التجاري الرئيسي قائم على معالجة البيانات الشخصية (مثل شركات التسويق الرقمي، شركات تحليل البيانات، منصات CRM السحابية) يجب أن تسجل.

عملية التسجيل تمر بأربع مراحل:

  1. إعداد ملف الجهة. تقديم بيانات الجهة، نوع المعالجة، حجم البيانات، فئات أصحاب البيانات، والأساس النظامي للمعالجة.

  2. تعبئة تقييم ذاتي. تحديد ما إذا كانت المنشأة تحتاج تعيين مسؤول حماية بيانات DPO بناءً على نوع وحجم المعالجة. الإجابة بنعم تفتح مسار تعيين DPO في ملف التسجيل.

  3. تعيين ممثل. للقطاع الخاص، يجب تعيين ممثل نظامي عبر منصة مركز الأعمال السعودي Saudi Business Center لمراجعة وتأكيد ملف التسجيل.

  4. المراجعة والإصدار. تراجع SDAIA الملف وتصدر شهادة التسجيل. الشهادة صالحة لمدة محددة، ويُشعر المسجل قبل 30 يوماً من انتهاء الصلاحية.

التسجيل حالياً بدون رسوم. لكن المنشأة التي لا تسجل بينما هي ملزمة تواجه مخاطر تنظيمية عند التدقيق.

متى يجب تعيين مسؤول حماية البيانات (DPO)؟

اللائحة التنفيذية لـ PDPL تشترط تعيين DPO في ثلاث حالات:

  1. معالجة بيانات شخصية واسعة النطاق. أي منشأة تعالج بيانات شخصية بأحجام كبيرة (مثل شركات الاتصالات، البنوك، شركات التأمين الكبرى).
  2. أنشطة المراقبة المنتظمة لأصحاب البيانات. مثل أنظمة المراقبة بالفيديو، تتبع الموقع، تحليل السلوك الرقمي.
  3. معالجة بيانات شخصية حساسة. أي معالجة لبيانات صحية، مالية، بيومترية، أو بيانات أطفال وقاصرين.

تعيين DPO ليس إجراءً شكلياً؛ بل يجب أن يكون شخصاً مؤهلاً (يفضل حاملاً لشهادة معتمدة في حماية البيانات)، له صلاحيات مستقلة، ويقدم تقاريره للإدارة العليا وليس للإدارة التشغيلية. DPO يلعب دوراً محورياً في حالات استخدام AI: يوافق على التصنيف، يراجع تقييمات الأثر DPIA، يتلقى بلاغات الحوادث.

العلاقة بين NDMO ونظام PDPL

PDPL هو نظام حماية البيانات الشخصية الصادر بالمرسوم الملكي رقم م/19 بتاريخ 9/2/1443هـ. NDMO هو الجهة التي ستشرف على تطبيق النظام بعد المرحلة الانتقالية.

في الوقت الحالي (2026)، تمارس سدايا الإشراف المباشر على PDPL، لكن NDMO يضع السياسات والمعايير التي يستخدمها سدايا في الإشراف. على المنشأة التعامل مع الجهتين: NDMO للسياسات، سدايا للتسجيل في NDGP والامتثال المباشر.

أمثلة على الترابط:

  • NDMO يصدر سياسة حماية البيانات الشخصية، سدايا تشرف على تطبيقها عبر NDGP.
  • NDMO يصدر القواعد العامة لنقل البيانات، سدايا تتحقق من الالتزام بها عند الترخيص.
  • NDMO يضع تصنيف البيانات، سدايا تأخذ به في تقييماتها.

العلاقة بين NDMO وسدايا

NDMO وSDAIA يعملان كمنظومة متكاملة. سدايا هي المظلة الوطنية للبيانات والذكاء الاصطناعي، وNDMO هو الذراع التنفيذي لإدارة البيانات. التمييز العملي:

سدايا: تضع الاستراتيجية الوطنية الشاملة للبيانات والذكاء الاصطناعي، تشرف على تطبيق PDPL، ترعى المبادرات الكبرى (مثل تطوير نموذج علام)، وتمثل المملكة في المحافل الدولية.

NDMO: يصدر السياسات التفصيلية لإدارة البيانات، يدير المنصات الوطنية (NDGP، البوابة الوطنية للبيانات المفتوحة)، يضع الإطار الوطني لإدارة البيانات NDMF، ويشرف على تطبيق PDPL في المرحلة الانتقالية.

كيف تؤثر سياسات NDMO على مشاريع الذكاء الاصطناعي؟

مشاريع AI تتأثر بسياسات NDMO بعدة طرق:

1. تصنيف البيانات. قبل تدريب أي نموذج AI، يجب تصنيف بيانات التدريب حسب مستويات NDMO الأربعة. بيانات “سري للغاية” محظورة من أي نموذج AI عام. بيانات “سري” تحتاج بيئات AI مرخصة.

2. الأساس النظامي للمعالجة. كل عملية معالجة بيانات شخصية في AI يجب أن يكون لها أساس نظامي واضح: موافقة، عقد، مصلحة مشروعة، أو ضرورة نظامية. النموذج الذي يعالج بيانات بدون أساس نظامي واضح يعرّض المنشأة لمخاطر PDPL.

3. نقل البيانات خارج المملكة. تدريب نموذج AI على خوادم خارجية (مثل OpenAI أو Google Cloud) قد يكون نقلاً عابراً للحدود يخضع للقواعد العامة لـ NDMO. يجب تقييم المخاطر والضمانات والحصول على الموافقات اللازمة.

4. تسجيل المتحكم. أي منشأة تطور أو تستخدم AI على بيانات شخصية حساسة يجب أن تسجل في NDGP قبل بدء التشغيل، وليس بعده.

5. الإخطار بالاختراق. في حال تسرب بيانات أو اختراق نموذج AI، يجب الإبلاغ خلال 72 ساعة. هذا يشمل اختراق النموذج نفسه إذا كان يحفظ بيانات شخصية.

كيف يدعم BrightAI المنشآت في الامتثال لـ NDMO؟

منصة BrightAI تساعد المنشآت السعودية في التعامل مع متطلبات NDMO من خلال:

  • AI Risk Classification يصنف كل حالة استخدام AI حسب مستويات NDMO الأربعة، ويحدد الضوابط المطلوبة لكل مستوى.
  • AI Firewall يفحص البيانات قبل إدخالها في النماذج، يطبق تصنيف NDMO، يمنع بيانات “سري للغاية” من التسرب، ويسجل محاولات النقل العابر للحدود.
  • AI Audit Trail يوثق كل عملية معالجة ببيانات NDMO: التصنيف، الأساس النظامي، الموافقات، فترة الاحتفاظ. السجل جاهز للتقديم عند التدقيق.
  • AI Evidence File يجمع الأدلة المطلوبة لإثبات الامتثال لـ NDMO في ملف منظم، يقلل زمن الاستجابة عند طلب الجهة المختصة.

ملخص تنفيذي للمديرين

مكتب إدارة البيانات الوطنية (NDMO) هو الجهة المرجعية لإدارة البيانات في السعودية. صدرت منه 7 سياسات وطنية شاملة، وأهمها تصنيف البيانات بأربع مستويات. التسجيل في NDGP إلزامي للمتحكمين في البيانات الحساسة. NDMO يدير العلاقة بين PDPL وسدايا، ويتوقع أن ينتقل إليه الإشراف الكامل على PDPL خلال الفترة الانتقالية.

على المنشأة السعودية بناء برنامج حوكمة بيانات يتوافق مع سياسات NDMO، وتسجيل نفسها في NDGP إذا كانت ملزمة، وتعيين DPO إذا كانت تعالج بيانات حساسة واسعة النطاق. الاستثمار في الامتثال لـ NDMO اليوم يحمي المنشأة من المخاطر النظامية ويسرّع عمليات التدقيق.

أسئلة شائعة حول مكتب إدارة البيانات الوطنية NDMO

ما الفرق بين NDMO وسدايا؟

سدايا هي الهيئة الوطنية الشاملة للبيانات والذكاء الاصطناعي، ترأسها الإدارة العليا للمملكة. NDMO هو مكتب تابع لسدايا، متخصص في حوكمة البيانات. سدايا تضع الاستراتيجية الوطنية وتشرف على PDPL، بينما NDMO يصدر السياسات التفصيلية ويدير المنصات الوطنية مثل NDGP. على المنشأة التعامل مع الجهتين: NDMO للسياسات، سدايا للإشراف والتسجيل.

متى يجب التسجيل في NDGP؟

التسجيل في المنصة الوطنية لحوكمة البيانات NDGP إلزامي في ثلاث حالات: (1) أي جهة حكومية، (2) أي منشأة تعالج بيانات شخصية حساسة (صحية، مالية، بيومترية)، (3) أي منشأة يكون نشاطها الرئيسي قائم على معالجة البيانات الشخصية داخل المملكة. التسجيل عبر الإنترنت وبدون رسوم، ويُصدر SDAIA شهادة التسجيل بعد المراجعة. الشهادة صالحة لمدة محددة، ويُشعر المسجل قبل 30 يوماً من انتهاء الصلاحية.

ما هي مستويات تصنيف البيانات في NDMO؟

سياسة تصنيف البيانات في NDMO تحدد أربعة مستويات: (1) سري للغاية: بيانات يؤدي إفشاؤها إلى ضرر جسيم بالمصالح الحيوية (محظور من AI العام)، (2) سري: بيانات يؤدي إفشاؤها إلى ضرر كبير (يحتاج بيئات AI مرخصة)، (3) مقيد: بيانات يؤدي إفشاؤها إلى ضرر محدود (يحتاج PDPL + NCA ECC)، (4) عام: بيانات لا يؤدي إفشاؤها إلى ضرر (يمكن استخدامه في AI العام بدون قيود).

ما هي العلاقة بين NDMO ونظام PDPL؟

NDMO يصدر السياسات التفصيلية لإدارة البيانات الشخصية، وسدايا تشرف على تطبيق PDPL في المرحلة الانتقالية الحالية. بعد اكتمال المرحلة الانتقالية، يتوقع أن ينتقل الإشراف الكامل على PDPL إلى NDMO. حالياً المنشأة تتعامل مع الجهتين: NDMO للسياسات، سدايا للتسجيل والامتثال المباشر.

هل يجب تعيين مسؤول حماية بيانات DPO؟

نعم، في ثلاث حالات بحسب اللائحة التنفيذية لـ PDPL: (1) معالجة بيانات شخصية واسعة النطاق، (2) أنشطة المراقبة المنتظمة لأصحاب البيانات، (3) معالجة بيانات شخصية حساسة. DPO يجب أن يكون شخصاً مؤهلاً، له صلاحيات مستقلة، ويقدم تقاريره للإدارة العليا. DPO ضروري خصوصاً في مشاريع AI لأنه يوافق على التصنيف، يراجع DPIA، ويتلقى بلاغات الحوادث.

كم رسوم التسجيل في NDGP؟

التسجيل في المنصة الوطنية لحوكمة البيانات NDGP مجاني حالياً بدون رسوم. لكن المنشأة التي لا تسجل بينما هي ملزمة تواجه مخاطر تنظيمية وعقوبات عند التدقيق. التسجيل عبر الإنترنت، ويُصدر SDAIA شهادة التسجيل بعد المراجعة التي قد تستغرق أسابيع.


روابط ذات صلة:

استكشف أعمق

محتوى ذو صلة

جدار حماية AIسجل التدقيقتصنيف مخاطر AIمركز الأمان

شاهد حوكمة AI وهي تعمل على حالاتك الفعلية

احجز جلسة تعريفية لمراجعة احتياج منشأتك ومسار التطبيق المناسب.

احجز ديمو