لشركات المراجعة والمحاماة والخدمات المهنية في السعودية

كيف تثبت لعميلك أن بياناته لم تخرج من مكتبك عند استخدام الذكاء الاصطناعي؟

دليل إثبات·عربية أولاً·صُنع في السعودية
الإجابة المختصرة

الوعد الشفهي ليس دليلاً — الدليل الحقيقي هو سجل لكل طلب ذكاء اصطناعي على حدة يوضح كيف تم تصنيفه، وأين تمت معالجته، وأن البيانات الحساسة لم تخرج أبداً من أجهزة مكتبك.

يجب أن يكون هذا السجل مقاوماً للتلاعب ومترابطاً تشفيرياً بحيث يمكن اكتشاف أي تعديل لاحق، ثم يُلخَّص في تقرير يمكن تقديمه للعميل. هذا يثبت الحرص المهني بدليل موضوعي — وليس شهادة قانونية.

لماذا لا تكفي عبارة «احتفظنا بها داخل المكتب» لإرضاء العميل أو الجهة التنظيمية

تستخدم مكاتب التدقيق والمحاسبة والمحاماة السعودية أدوات الذكاء الاصطناعي بشكل متزايد لصياغة المذكرات، وتلخيص الملفات، والإجابة عن استفسارات تتعلق ببيانات العملاء الحية. وعندما يسأل عميل واعٍ — بنك، أو مكتب عائلي، أو شركة مُدرجة — «هل تم إرسال أي من بياناتنا إلى خدمة ذكاء اصطناعي خارجية؟»، فإن تطمين الشريك الشفهي لا يكفي كإجابة. العملاء الذين يفهمون المخاطر يريدون أن يروا كيف عالج المكتب معلوماتهم فعلياً، لا أن يسمعوا وعداً بذلك فقط.

هذه ليست مسألة تنظيمية في المقام الأول، بل مسألة ثقة. سمعة المكتب في الحفاظ على السرية هي أحد أهم أصوله — إن لم تكن أهمها — وفي بيئة يطرح فيها العملاء أصلاً أسئلة دقيقة حول الذكاء الاصطناعي السحابي، تصبح عبارة «ثق بنا» إجابة ضعيفة مقارنة بمكتب يستطيع تقديم سجل فعلي. ويعزز إطار حماية البيانات في المملكة — نظام حماية البيانات الشخصية (PDPL) وتوجيهات مكتب إدارة البيانات الوطنية (NDMO) — هذا التوقع من خلال التركيز على الطريقة التي تُعالَج بها البيانات الشخصية فعلياً، لا على التطمينات بعد وقوع الأمر — لكن الضغط الأساسي هنا تجاري في جوهره قبل أن يكون تنظيمياً.

كيف يبدو الدليل الحقيقي: أدلة على مستوى كل طلب ذكاء اصطناعي على حدة

يبدأ الدليل على مستوى الطلب الفردي الموجّه للذكاء الاصطناعي، لا على مستوى المكتب ككل. في كل مرة يُرسل أحد في المكتب استفساراً إلى نظام ذكاء اصطناعي، يجب أن تُنتج هذه الواقعة المفردة دليلها الخاص — وهذا ما تعنيه عبارة «أدلة على مستوى كل طلب على حدة». وبدلاً من تصريح إجمالي واحد يغطي أشهراً من العمل، يحتفظ المكتب بسجل لكل استفسار، لحظة حدوثه.

سجل موثوق لكل طلب على حدة يجب أن يوثّق:

لاحظ ما يُستثنى عمداً: لا يحتاج السجل نفسه لاحتواء بيانات العميل الفعلية أو محتوى رد الذكاء الاصطناعي ليكون دليلاً مفيداً. فالبيانات الوصفية عن كيفية معالجة الطلب هي ما يُثبت العملية؛ أما المحتوى نفسه فيبقى حيث كان دائماً — على أنظمة المكتب.

لماذا يجب أن يكون السجل مقاوماً للتلاعب، لا مجرد ملف سجلّات عادي

ملف السجلّات العادي يسهل تعديله أو حذفه أو إعادة توليده بصمت بعد وقوع الأمر — وهذا يعني أنه، بمفرده، لا يتفوق كثيراً على تصريح شفهي كدليل. فإذا استطاع المكتب إنتاج سجل «نظيف» بعد شكوى من عميل، فإن هذا السجل لا يثبت شيئاً يُذكر.

الحل هو بنية مترابطة تشفيرياً: يُحسب البصمة التشفيرية لكل سجل بحيث تتضمن بصمة السجل الذي يسبقه. وأي تعديل أو حذف لأي إدخال يجعل كل البصمات اللاحقة له غير متطابقة، فيصبح التلاعب قابلاً للاكتشاف بدلاً من أن يبقى مخفياً. هذا ما تعنيه عبارة «مقاوم للتلاعب» في الممارسة العملية — فهي لا تتطلب توقيع كل سجل بشكل فردي، وهي ليست نفس الادعاء بوجود توقيع قانوني. إنها تعني فقط أن تسلسل السجلات متماسك داخلياً، وأن أي انقطاع في هذا التماسك يظهر للعِيان عند الفحص.

المقاومة للتلاعب ليست نفس الشيء مثل «موقَّع» أو «معتمد بالكامل». السلسلة المترابطة تشفيرياً تُظهر أن مجموعة من السجلات لم تُعدَّل بعد وقوعها. وهي بمفردها لا تجعل هذه السجلات شهادة قانونية بالامتثال — فذلك يبقى مرهوناً بسياسات المكتب الخاصة، ومراجعة قانونية، وحيثما كان ذلك مناسباً، تقييم رسمي مقابل نظام حماية البيانات الشخصية يقوم به مقيّم مؤهل.

ماذا يجب أن يتضمنه تقرير ضمان سرية العميل

السجلات الفردية هي الدليل الخام؛ أما العميل أو الجهة التنظيمية فيريدان ملخصاً قابلاً للقراءة. يجب أن يتضمن تقرير ضمان السرية المبني على أدلة كل طلب على حدة:

الخطوات العملية لإعداد هذا التقرير

إعداد هذا النوع من الأدلة ليس مستنداً يُنتَج مرة واحدة؛ بل هو نتيجة طبيعية لطريقة إدارة المكتب اليومية لاستخدام الذكاء الاصطناعي. عملياً، يحتاج المكتب إلى:

  1. وضع خطوة تصنيف أمام كل طلب ذكاء اصطناعي، قبل أن يصل إلى أي نموذج، محلياً أو سحابياً.
  2. تحديد فئات البيانات الحساسة ذات الصلة بعمل العملاء السعوديين — الهوية الوطنية أو الإقامة، الآيبان، ضريبة القيمة المضافة والسجل التجاري، البيانات المالية للعميل، ومصطلحات مشابهة بالعربية والإنجليزية.
  3. تسجيل تصنيف كل طلب وموضع معالجته وحالة خروجه تلقائياً، دون الاعتماد على تقارير ذاتية من الموظفين.
  4. تخزين هذه السجلات في تسلسل مترابط تشفيرياً، والتحقق الدوري من عدم انقطاع السلسلة.
  5. إصدار تقرير ضمان سرية لكل تكليف أو فترة تقرير، لا فقط عندما يطلبه العميل.
  6. مشاركة التقرير بشكل استباقي كجزء من التواصل مع العميل — فالمكتب الذي يقدّم هذا الدليل من دون طلب يعكس ثقة أكبر من المكتب الذي لا يُصدره إلا تحت الضغط.

ما الذي يثبته هذا فعلاً — وكيف تقوم به إثبات

من المهم أن تكون واضحاً بشأن حدود هذا الدليل. فالسجل المترابط تشفيرياً على مستوى كل طلب يثبت أن للمكتب عملية منضبطة وقابلة للتدقيق لتصنيف طلبات الذكاء الاصطناعي وتوجيهها، ويقدّم دليلاً موضوعياً على أن البيانات الحساسة بقيت على أنظمة المكتب نفسها. لكنه ليس ضمانة قانونية، وليس بديلاً عن شهادة رسمية بالامتثال لنظام حماية البيانات الشخصية، والتي تتطلب دائماً مستشاراً قانونياً للمكتب ومقيّماً مؤهلاً. ما يفعله هذا الدليل هو استبدال وعد لا يمكن التحقق منه بشيء يمكن للعميل أو الجهة التنظيمية فحصه فعلياً.

هذه هي المشكلة المحددة التي صُممت خدمة Evidence Trace في إثبات لحلها. تُصنّف إثبات كل استفسار قبل معالجته، وتحتفظ بأي استفسار يُصنَّف حساساً على أجهزة المكتب نفسها كضمانة صارمة — دون أن تعرضه أبداً على أي مزوّد سحابي — وتُنتج سجلاً مترابطاً تشفيرياً ومقاوماً للتلاعب لكل عملية استدلال على حدة. ولا تتم مشاركة أي شيء مع لوحة تحكم المنسّق سوى البيانات الوصفية عن كيفية معالجة كل طلب؛ أما محتوى الاستفسارات ومفاتيح واجهات برمجة التطبيقات السحابية فلا تخرج مطلقاً من جهاز المكتب. ويتجمّع هذا الدليل في تقرير ضمان سرية العميل ثنائي اللغة، المرتبط بنظام حماية البيانات الشخصية ومكتب إدارة البيانات الوطنية، والذي يمكن للمكتب تسليمه مباشرة لعميله أو للجهة التنظيمية.

الأسئلة الشائعة

هل السجل المترابط تشفيرياً هو نفسه التوقيع الرقمي؟
لا. السلسلة المترابطة تشفيرياً تجعل التلاعب قابلاً للاكتشاف من خلال ربط بصمة كل سجل ببصمة السجل الذي يسبقه، لكنها لا تتضمن توقيع كل سجل بشكل فردي كما يفعل التوقيع الرقمي. الأداتان تخدمان غرضين مختلفين، وخدمة Evidence Trace في إثبات تصف سجلاتها بأنها مقاومة للتلاعب فقط، لا موقَّعة.
هل يحل تقرير ضمان سرية العميل محل الشهادة الرسمية بالامتثال لنظام حماية البيانات الشخصية؟
لا. فهو دليل موضوعي على كيفية تصنيف طلبات الذكاء الاصطناعي ومعالجتها، وهو يدعم عملية الحصول على شهادة الامتثال، لكن التوافق الرسمي مع نظام حماية البيانات الشخصية يُثبَت من خلال مستشار المكتب القانوني ومقيّم مؤهل، لا من خلال التقرير بمفرده.
ماذا لو كان مكتبنا لا يستخدم الذكاء الاصطناعي على بيانات حساسة للعملاء على الإطلاق؟
يبقى هذا الدليل مفيداً، لأن التصنيف — لا الافتراض — هو ما يحدد إن كان الاستفسار حساساً أم لا. والتقرير الذي يُظهر أن الاستفسارات الروتينية صُنِّفت ووُجِّهت بشكل صحيح هو جزء من الدليل بذاته، إلى جانب إثبات أن أي شيء حساس بقي على أجهزة المكتب.
هل يمكن تقديم هذا الدليل لجهة تنظيمية، لا للعميل فقط؟
نعم. تقرير ضمان السرية المبني على أدلة كل طلب على حدة والمرتبط بمبادئ نظام حماية البيانات الشخصية ومكتب إدارة البيانات الوطنية مصمَّم ليكون مقروءاً من جهة اتصال داخلية عند العميل ومن جهة تنظيمية أو تدقيق خارجية على حد سواء.
ماذا يحدث إذا عدّل أحدهم سجلاً أو حذفه بعد وقوعه؟
بما أن بصمة كل سجل تعتمد على بصمة السجل الذي يسبقه، فإن تعديل أو حذف أي إدخال يقطع السلسلة من تلك النقطة فصاعداً. وأي شخص يتحقق من السلسلة لاحقاً سيرى هذا الانقطاع، وهذا ما يجعل السجل مقاوماً للتلاعب بدلاً من أن يكون مجرد ملف يمكن تعديله بصمت.

اعرف أين تقف شركتك — خلال 60 ثانية

أجرِ الفحص الذاتي المجاني لترى مستوى تعرّضك لمخاطر سرية بيانات العملاء فوراً. لا حاجة للتسجيل لرؤية نتيجتك.