نقل البيانات الشخصية خارج السعودية يخضع للمادة 29 من نظام PDPL: يُمنع النقل إلا بتوافر 4 شروط تشمل الأمن الوطني وضمانات كافية والحد الأدنى وموافقة الجهة المختصة. يؤثر بشكل مباشر على استخدام Cloud AI والنماذج اللغوية الكبيرة المستضافة في الخارج، ويستوجب ضوابط تقنية مثل AI Firewall.
الخلاصة السريعة
المادة 29 من نظام PDPL تمنع نقل البيانات الشخصية خارج السعودية إلا في حالات محددة (اتفاقية دولية، مصالح المملكة، تنفيذ عقد، أغراض تشغيلية أو بحثية)، وبشروط صارمة تشمل الأمن الوطني والضمانات الكافية والحد الأدنى وموافقة الجهة المختصة. أي استخدام لـ Cloud AI مستضاف في الخارج (Azure/AWS/Google/OpenAI/Anthropic) ينقل بيانات عبر الحدود، ويستوجب ضوابط تقنية مثل AI Firewall لمنع التسريب.
لماذا يُعدّ النقل العابر للحدود ركيزة حساسة في PDPL؟
فكرة السيادة الرقمية هي جوهر المادة 29 من نظام حماية البيانات الشخصية السعودي. النص الأساسي يقول: لا يجوز لجهة التحكم نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة إلا في حالات محددة ووفق ضوابط صارمة. هذا يعني أن البيانات الشخصية لأفراد داخل المملكة لها “منزل” طبيعي هو المملكة، ولا تخرج منه إلا بإذن.
هذا التوجه ينبع من إدراك المشرع السعودي أن البيانات الشخصية باتت مورداً استراتيجياً وأمنياً، وأن نقلها للخارج دون ضوابط قد يعرّض مصالح المملكة وأمنها الوطني ومعلومات مواطنيها للخطر. النظام يطبّق هذا المبدأ بصرامة: أي منشأة تنقل بيانات شخصية خارج المملكة دون تحقق الشروط النظامية تتعرض لعقوبات تصل إلى سنة سجن ومليون ريال غرامة بحسب ما هو مرتبط بالمادة 35 من النظام.
الشروط الأربعة للنقل العابر للحدود وفق المادة 29
المادة 29 تشترط توافر أربعة شروط مجتمعة قبل نقل البيانات:
الشرط الأول: عدم المساس بالأمن الوطني أو المصالح الحيوية
هذا الشرط مطلق ولا يقبل الإعفاء. أي نقل أو إفصاح قد يعرض الأمن الوطني أو مصالح المملكة العليا للخطر ممنوع منعاً باتاً. تقييم هذا الشرط مسؤولية جهة التحكم بالتنسيق مع الجهة المختصة (سدايا) والجهات الأمنية عند الحاجة.
الشرط الثاني: ضمانات كافية لحماية البيانات
يجب أن تكون الجهة المستقبلة (في الخارج) قادرة على تقديم ضمانات كافية للمحافظة على البيانات الشخصية وسريتها، بحيث لا تقل معايير الحماية عن المعايير الواردة في النظام واللوائح السعودية. عملياً، يتحقق هذا الشرط من خلال:
- عقود معالجة بيانات (Data Processing Agreements) واضحة.
- شهادات أمان (مثل ISO 27001، SOC 2).
- تقييم مستوى الحماية في بلد الاستقبال.
- الالتزام بقواعد الشركات الملزمة (BCRs) أو البنود التعاقدية القياسية (SCCs).
الشرط الثالث: الحد الأدنى من البيانات
لا يُنقل إلا القدر الضروري لتحقيق الغرض المحدد. إذا كان الهدف تلخيص شكوى عميل، لا حاجة لإرسال رقم الهوية الوطنية أو كامل العنوان. هذا الشرط يلتقي مع مبدأ تقليل البيانات (Data Minimization) في ممارسات AI الحديثة.
الشرط الرابع: موافقة الجهة المختصة
كل عملية نقل أو إفصاح لجهات خارج المملكة تتطلب موافقة مسبقة من الجهة المختصة، باستثناء بعض الإعفاءات التي تحددها اللائحة. عملياً، يعني هذا أن المنشأة لا تستطيع نقل البيانات بشكل روتيني ثم إبلاغ الجهة المختصة لاحقاً، بل يجب أن تحصل على الموافقة أولاً.
الاستثناءات المسموحة للنقل العابر للحدود
النظام واللائحة التنفيذية يحددان حالات يمكن فيها النقل دون استيفاء كل الشروط:
الاستثناءات الأساسية (من نص المادة 29)
- تنفيذ التزام بموجب اتفاقية دولية تكون المملكة طرفاً فيها.
- خدمة مصالح المملكة العليا.
- تنفيذ عقد يكون صاحب البيانات الشخصية طرفاً فيه.
- أغراض أخرى تحددها اللائحة التنفيذية.
الاستثناءات التشغيلية (من اللائحة التنفيذية)
اللائحة توسّع الاستثناءات لتشمل:
- العمليات التشغيلية الضرورية للمعالجة المركزية لتمكين جهة التحكم من ممارسة أنشطتها (مثلاً شركة متعددة الجنسيات لديها عمليات مركزية).
- تقديم خدمة أو منفعة لصاحب البيانات الشخصية.
- إجراء البحوث والدراسات العلمية وفق ضوابط محددة.
حالات الضرورة القصوى
- المحافظة على حياة صاحب البيانات خارج المملكة.
- حماية مصالحه الحيوية.
- الوقاية من عدوى مرضية أو فحصها أو معالجتها.
أثر النقل العابر للحدود على Cloud AI والذكاء الاصطناعي
أغلب نماذج AI الحديثة مستضافة في الخارج. عند استخدام نموذج خارجي، المنشأة السعودية تنقل بياناتها الشخصية عبر الحدود بشكل تقني، وهذا يخضع للمادة 29:
Azure (مايكروسوفت)
Azure OpenAI Service له مراكز بيانات في الإمارات وقطر، لكن نموذج AI لا يزال مستضافاً في مناطق قد لا تكون داخل المملكة. استخدام Azure OpenAI من منشأة سعودية يرسل prompt إلى مراكز بيانات مايكروسوفت، وهذا نقل عابر للحدود يحتاج تقييم.
AWS (أمازون)
AWS Bedrock وAmazon SageMaker يقدمان خدمات AI، لكن مراكز البيانات الرئيسية خارج المملكة. النشر في منطقة الشرق الأوسط (me-central-1 في الإمارات) يحقق سيادة إقليمية لكن لا يحقق سيادة وطنية سعودية بالمعنى الصارم للنظام.
Google Cloud
Google Cloud Vertex AI وGemini API يعملان عبر مراكز بيانات عالمية. استخدامهما من منشأة سعودية ينقل البيانات للخارج بشكل تقني.
OpenAI / Anthropic / النماذج المستضافة بالكامل في الخارج
استخدام واجهات ChatGPT API أو Claude API يعني نقل prompt ومخرجات النموذج عبر الحدود، وهذا يخضع لشروط المادة 29.
كيف يساعد AI Firewall في الامتثال لمتطلبات النقل؟
منصة BrightAI تقدم حلاً تقنياً يقلل بشكل مباشر من مخاطر مخالفة المادة 29:
كشف البيانات الشخصية وحجبها قبل النقل. AI Firewall يفحص كل prompt قبل إرساله للنموذج الخارجي، يكشف الأسماء وأرقام الهوية وأرقام الحسابات والبيانات الصحية، ثم يحجبها أو يخفيها تلقائياً. النتيجة: البيانات التي تصل للنموذج الخارجي لا تحتوي بيانات شخصية يمكن ربطها بأفراد، فلا يوجد “نقل لبيانات شخصية” بالمعنى النظامي.
تطبيق مبدأ الحد الأدنى. الشرط الثالث من المادة 29 يُلبّى تلقائياً لأن الجدار يضمن إرسال الحد الأدنى اللازم فقط للمهمة، وليس كل ما كتبه الموظف.
توثيق كل عملية نقل افتراضية. AI Audit Trail يوثق كل عملية فحص وحجب وإخفاء، مع تصنيف درجة الحساسية. هذا التوثيق هو الدليل الذي تطلبه الجهة المختصة عند التدقيق.
تقليل الحاجة لموافقة الجهة المختصة. عندما لا توجد بيانات شخصية فعلية في الـ prompt، المنشأة لا تحتاج موافقة مسبقة لكل عملية نقل. هذا يبسط كثيراً من سير العمل اليومي للموظفين.
جدول سيناريوهات النقل العابر للحدود والالتزامات
| السيناريو | نقل بيانات شخصية؟ | يحتاج موافقة الجهة المختصة؟ | يحتاج ضمانات كافية؟ | الحل التقني |
|---|---|---|---|---|
| إرسال prompt لـ OpenAI API يحتوي اسم عميل | نعم | نعم | نعم (DPA + تقييم) | AI Firewall يحجب الاسم |
| إرسال prompt لـ Claude API بدون بيانات شخصية | لا | لا | لا | بدون إجراء إضافي |
| استخدام Azure OpenAI في منطقة الإمارات | نعم | نعم (حسب مستوى البيانات) | نعم | AI Firewall + DPA مع Azure |
| استخدام نموذج محلي مستضاف في المملكة | لا | لا | لا | نشر النموذج محلياً |
| تدريب نموذج على بيانات سعودية ثم تصدير النموذج | يعتمد على البيانات | نعم إن كانت بيانات شخصية | نعم | تجفيف البيانات قبل التصدير |
| مشاركة بيانات مع بائع في الهند للصيانة | نعم | نعم | نعم (DPA + تقييم) | DPA صارم + تقييم BCRs |
الضمانات الكافية: ما المقصود عملياً؟
الشرط الثاني من المادة 29 يطرح سؤالاً عملياً: كيف تثبت المنشأة أن الجهة الخارجية توفر ضمانات كافية؟ عملياً، يتحقق ذلك عبر:
1. البنود التعاقدية القياسية (SCCs)
نموذج تعاقدي معتمد يصدر عن الجهة المختصة، يتضمن بنوداً إلزامية تكفل مستوى مناسباً لحماية البيانات. أي عقد مع مزود خارجي يجب أن يستند إلى هذه البنود أو ما يعادلها.
2. قواعد الشركات الملزمة (BCRs)
إذا كانت الجهة المستقبلة جزءاً من مجموعة شركات متعددة الجنسيات، يمكن تطبيق قواعد داخلية ملزمة تطبق على كل فروع المجموعة. هذا الخيار يحتاج موافقة الجهة المختصة.
3. شهادات الاعتماد
شهادات صادرة من جهات مرخصة من الجهة المختصة تثبت أن الجهة المستقبلة تطبق معايير حماية مكافئة. هذا الخيار مناسب للمنشآت التي تتعامل مع مزودين معتمدين دولياً.
4. تقييم مستوى الحماية في بلد الاستقبال
بعض الدول توفر مستوى حماية لا يقل عن المستوى السعودي بحسب تقييم الجهة المختصة. هذا التقييم يصدر بشكل دوري عن سدايا، وعلى المنشأة مراجعته قبل النقل.
تقييم مخاطر النقل: متى يكون إلزامياً؟
اللائحة التنفيذية تنص على أن تقويم مخاطر النقل إلزامي في حالتين:
- النقل أو الإفصاح وفق الإعفاءات المنصوص عليها في المادة 4 من اللائحة (الاستثناءات التشغيلية).
- نقل بيانات حساسة أو الإفصاح عنها لجهات خارج المملكة بصفة مستمرة أو على نطاق واسع.
ما يجب أن يتضمنه تقييم مخاطر النقل؟
- الغرض من النقل والمسوغ النظامي له.
- وصف لطبيعة النقل: أنشطة المعالجة، النطاق الجغرافي.
- الوسائل والضمانات المتخذة للنقل ومدى كفايتها.
- التدابير للتأكد من الحد الأدنى من البيانات المنقولة.
متى يكون AI المحلي هو الحل الأنسب؟
في بعض الحالات، الحل الأكثر أماناً ليس نقل البيانات مع ضوابط، بل عدم نقلها أصلاً. هذا يتحقق بـ:
نشر نماذج محلية. منصات مثل AI Governance Platform تسمح بنشر نماذج AI محلية على بنية المنشأة، بحيث لا تغادر البيانات المملكة. هذا يحقق سيادة كاملة على البيانات.
استخدام نماذج Edge AI. في بعض حالات الاستخدام، يمكن تشغيل النموذج على جهاز المستخدم أو خادم محلي، فلا حاجة لاتصال خارجي.
التجزئة. تقسيم البيانات إلى أجزاء بحيث الجزء الذي يحتوي البيانات الشخصية يبقى محلياً، والجزء الذي يُرسل للنموذج لا يحتوي إلا بيانات مجهولة أو مُخفاة الهوية.
كيف تدعم BrightAI المنشآت في الامتثال للمادة 29؟
منصة BrightAI تقدم منظومة متكاملة لإدارة مخاطر النقل العابر للحدود:
- AI Firewall يكشف ويحجب البيانات الشخصية قبل إرسالها للنماذج الخارجية، ما يقلل بشكل جذري من نطاق عمليات النقل الخاضعة للمادة 29.
- AI Audit Trail يوثق كل عملية نقل افتراضية ببيانات ووقت ومستخدم وغرض، ما يبني ملف التدقيق المطلوب من الجهة المختصة.
- AI Evidence File يجمع تقييمات مخاطر النقل والضمانات التعاقدية في ملف منظم.
- Continuous AI Governance يراقب بشكل مستمر أي تغيير في أنماط النقل ويطلق تنبيهات عند انتهاك السياسات.
لمزيد من المعلومات يمكن زيارة صفحة منصة الحوكمة أو طلب استشارة متخصصة.
ملخص تنفيذي
المادة 29 من نظام PDPL تضع 4 شروط صارمة لنقل البيانات الشخصية خارج المملكة: عدم المساس بالأمن الوطني، ضمانات كافية، الحد الأدنى من البيانات، وموافقة الجهة المختصة. في حالة مشاريع AI، كل استخدام لنموذج مستضاف في الخارج يعني نقلاً عابراً للحدود بشكل تقني، يحتاج تقييم كل حالة على حدة.
الاستراتيجية الذكية للمنشآت السعودية تجمع بين: تقييم مخاطر النقل قبل التشغيل، اعتماد بنود تعاقدية قياسية، استخدام AI Firewall لمنع تسرب البيانات الحساسة، وتوثيق كل عملية نقل في سجل تدقيق. في حالات الاستخدام الحساسة، الحل الأمثل هو نشر النموذج محلياً أو استخدام نماذج مُخفاة الهوية.
أسئلة شائعة حول النقل العابر للحدود
هل استخدام ChatGPT من السعودية يخضع للمادة 29؟
نعم، كل prompt يُرسل لـ OpenAI ينقل البيانات عبر الحدود تقنياً. إذا كان الـ prompt يحتوي بيانات شخصية سعودية، المنشأة تتحمل مسؤولية تقييم النقل وفق المادة 29. الحل العملي هو منع إرسال البيانات الشخصية أصلاً عبر جدار حماية AI يكشف ويحجب هذه البيانات قبل الإرسال.
هل موافقة الجهة المختصة مطلوبة لكل عملية نقل على حدة؟
لا، الجهة المختصة يمكنها إعفاء المنشأة من شرط الموافقة المسبقة في بعض الحالات (مثل الإعفاءات التشغيلية الواردة في المادة 4 من اللائحة)، أو منح موافقة عامة لنوع معين من النقل. لكن الإعفاءات محددة ولا تشمل النقل الروتيني لبيانات حساسة.
هل بيانات Cloud في الإمارات تعتبر نقلاً عابراً للحدود؟
نعم، حتى لو كانت المنطقة الجغرافية قريبة، بمجرد أن تغادر البيانات الحدود الجغرافية للمملكة العربية السعودية، فإنها تخضع للمادة 29. لا يوجد استثناء إقليمي في النظام.
ماذا لو استخدمت نموذج AI محلي على خادم في المملكة؟
إذا كانت البنية التحتية والبيانات والنموذج كلها داخل المملكة، فلا يوجد نقل عابر للحدود بالمعنى النظامي، ولا تنطبق المادة 29. هذا هو الحل الأكثر أماناً للمنشآت التي تتعامل مع بيانات حساسة.
كيف أعرف إن كانت الجهة الخارجية توفر “ضمانات كافية”؟
تقيم الجهة المختصة يصدر بشكل دوري ويحدّد الدول التي توفر مستوى حماية مكافئ. في غياب هذا التقييم، المنشأة تتحقق عبر: DPA مفصل، شهادات أمان دولية، تقييم مستوى الحماية في بلد الاستقبال، وموافقة الجهة المختصة على النقل.
روابط ذات صلة:
- الدليل الشامل لتطبيق PDPL مع الذكاء الاصطناعي — المرجع الكامل للمنشآت السعودية
- كيف يساعد PDPL الشركات على استخدام AI بأمان — تحليل المخاطر والحلول
- ضوابط الأمن السيبراني ومتطلباتها للشركات السعودية — متطلبات NCA ECC المتعلقة بالنقل
- جدار حماية الذكاء الاصطناعي — الحل التقني لمنع تسرب البيانات