لشركات المراجعة والمحاماة والخدمات المهنية في السعودية
ما الذي يعنيه واجب السرية المهنية لدى SOCPA لاستخدام الذكاء الاصطناعي على بيانات العملاء؟
يحمل المحاسبون والمدققون المرخصون من الهيئة السعودية للمحاسبين القانونيين (SOCPA) واجب سرية مهنية تجاه معلومات عملائهم، وهذا الواجب لا يتوقف عند فتح أداة ذكاء اصطناعي. لصق البيانات المالية للعميل في أداة ذكاء اصطناعي عامة يعني تسليم هذه البيانات لطرف ثالث خارج نطاق سيطرة الشركة، وهو أمر لا يتوافق بسهولة مع هذا الواجب. الأسلوب الأكثر أماناً هو التعامل مع الذكاء الاصطناعي كأي إفشاء آخر لطرف ثالث: التحكم في وجهة البيانات الحساسة، والاحتفاظ بدليل على ذلك.
واجب السرية الذي يحمله كل محاسب مرخّص من SOCPA
يحمل المحاسبون والمدققون المرخصون من الهيئة السعودية للمحاسبين القانونيين (SOCPA) واجب سرية مهنية تجاه المعلومات التي يحصلون عليها خلال عملهم مع العملاء، مثل القوائم المالية وورقات العمل وبيانات الرواتب وهياكل الملكية وأي معلومة يشاركها العميل لغرض تدقيق حساباته أو إعداد إقراراته الضريبية. يُعد هذا الواجب من الالتزامات الأساسية لممارسة المهنة بترخيص من SOCPA، جنباً إلى جنب مع الاستقلالية والكفاءة الفنية. وبعبارة عامة، يعني هذا الواجب أن معلومات العميل تُستخدم فقط للغرض الذي شاركها من أجله، ولا تُكشف إلا لمن يحتاجها لأداء العمل، فلا تُشارك أو تُعرض أو تُسلَّم لأطراف خارجية دون علم العميل أو دون أساس مهني واضح لذلك. وُضع هذا الواجب قبل ظهور الذكاء الاصطناعي التوليدي، لكنه لا يتضمن استثناءً له، فهو ينطبق على طريقة تعامل الشركة مع بيانات العميل بشكل عام، بصرف النظر عن الأداة المستخدمة.
لماذا يمثل لصق بيانات العميل في أداة ذكاء اصطناعي عامة مشكلة
عندما يقوم أحد العاملين في الشركة بلصق ميزان مراجعة لعميل، أو مسودة قوائم مالية، أو ورقة عمل، في أداة ذكاء اصطناعي عامة لتوفير الوقت، تخرج معلومات العميل من نطاق سيطرة الشركة وتذهب إلى طرف ثالث لم يوافق العميل عليه أصلاً. وحتى لو وعدت شروط استخدام مزوّد الذكاء الاصطناعي بعدم سوء استخدام البيانات، فإن الشركة لا تعرف بدقة أين تُعالَج البيانات، ولا كم من الوقت تُحفظ، ولا من يمكنه الوصول إليها من طرف المزوّد أو من مقدّمي الخدمة الفرعيين التابعين له. هذا في جوهره إفشاء لطرف ثالث، لا يختلف كثيراً عن إرسال ملفات العميل بالبريد إلى شركة غير ذات صلة. قد يكون ذلك بنية حسنة تماماً، فالمحاسب أراد فقط طريقة أسرع لتلخيص تقرير، لكن النية الحسنة لا تغيّر ما حدث للبيانات فعلياً.
ولهذا السبب فإن السؤال المهم ليس هل الذكاء الاصطناعي جيد أم سيئ. فمعظم الشركات لديها استخدامات مشروعة ومنخفضة الخطورة تماماً للذكاء الاصطناعي، مثل صياغة مذكرة داخلية، أو تلخيص تحديثات تنظيمية عامة، أو كتابة نصوص بريد إلكتروني قياسية. واجب السرية يتعارض فقط مع الجزء الصغير من استخدام الذكاء الاصطناعي الذي يلامس بيانات العميل الفعلية.
الفارق الحقيقي: الاحتفاظ بالسيطرة مقابل التسليم لطرف ثالث
واجب السرية ليس منعاً مطلقاً للتقنية، فالشركات تستخدم بالفعل برامج محاسبة سحابية، والبريد الإلكتروني، ودعم تقني خارجي، وكل ذلك ينطوي على وصول طرف ثالث إلى بيانات العميل بموجب عقد. ما يهم هو هل تحتفظ الشركة بالسيطرة على البيانات وتستطيع تتبع وجهتها، أم أن البيانات خرجت من نطاق سيطرتها دون أي إمكانية لتتبعها أو تقييدها.
سؤالان يستحقان أن يُطرحا قبل أن تلامس أي بيانات عميل أداة ذكاء اصطناعي:
- لو سأل العميل بالضبط ما حدث لبياناته، هل تستطيع الشركة أن تجيب بدقة، لا أن تقول "استخدمنا أداة ذكاء اصطناعي معروفة"، بل تحديد أي نظام، وأي خادم، ولأي مدة؟
- إذا كانت البيانات حساسة، مثل بيانات مالية للعميل أو رقم هوية وطنية أو إقامة أو أرقام آيبان أو أرقام ضريبة القيمة المضافة أو السجل التجاري، فهل تتم معالجتها في مكان تتحكم فيه الشركة، أم في مكان لا تتحكم فيه؟
الشركة التي تشغّل الذكاء الاصطناعي على بنية تقنية تملكها وتتحكم فيها، مع سجلات لما حدث، تكون في موقف مختلف جوهرياً عن شركة تلصق ملفات العميل في روبوت محادثة عام دون أي تسجيل ودون عقد يحكم هذا الاستخدام بالتحديد.
خطوات عملية يمكن أن تتخذها شركة مرخّصة من SOCPA
- تصنيف البيانات قبل أن تقترب من أي أداة ذكاء اصطناعي: التمييز بين ما هو حساس فعلاً، مثل البيانات المالية للعميل وورقات العمل والمعرّفات الشخصية، وما ليس حساساً، مثل النصوص التنظيمية العامة والمسودات الإدارية الداخلية.
- الاحتفاظ ببيانات العميل الحساسة على بنية تقنية تتحكم فيها الشركة، محلياً أو في بيئة خاصة تديرها الشركة، بدلاً من لصقها في أدوات ذكاء اصطناعي عامة.
- قصر استخدام أدوات الذكاء الاصطناعي السحابية العامة على الأعمال غير السرية فقط، وجعل ذلك سياسة مكتوبة وواضحة يتدرّب عليها الموظفون، لا مجرد افتراض ضمني.
- الاحتفاظ بسجلات لكيفية استخدام الذكاء الاصطناعي في أعمال العملاء، بحيث تستطيع الشركة، لكل ملف عمل على حدة، إعادة تكوين ما جرت معالجته وأين، إذا سأل العميل أو أحد المراجعين.
- مراجعة شروط تعامل أي مزوّد ذكاء اصطناعي مع البيانات بالطريقة نفسها التي تراجع بها الشركة عقد إسناد خارجي، قبل السماح لأي بيانات عميل بالاقتراب منه.
أدلة السرية: تحويل الواجب إلى ممارسة يمكن إثباتها
كان واجب السرية على الدوام أمراً يجب على الشركات الوفاء به بهدوء، وعلى أساس الثقة إلى حد كبير. غيّر الذكاء الاصطناعي هذه المعادلة لأنه أدخل فئة جديدة وسريعة التطور من التعامل مع بيانات طرف ثالث، وهي فئة يسأل العملاء عنها مباشرة بشكل متزايد. الشركات القادرة على إظهار، لكل ملف عمل على حدة لا فقط كسياسة عامة معلنة، ما حدث لبيانات العميل، تكون في موقف أقوى من الشركات التي لا تستطيع سوى التأكيد أن ذلك حدث.
وهنا تكمن أهمية الاحتفاظ بسجل عند لحظة الاستخدام: ليس وثيقة سياسة تصف النوايا، بل سجلاً فعلياً لكل مرة عولجت فيها بيانات العميل ومكان تلك المعالجة. تقديم هذا النوع من الأدلة عند الطلب هو من أكثر الطرق العملية التي تُظهر بها الشركة حرصها للعميل، أو للشريك الذي يراجع الملف، أو للمراجع المعني بمعايير المهنة، وهو ما يحمي ترخيص الشركة وسمعتها، وليس فقط بيانات العميل.
كيف يساعد إثبات في ذلك
بُني إثبات حول هذا الفارق بالتحديد. يُثبَّت على الأجهزة التي تملكها الشركة بالفعل، ويصنّف كل طلب قبل معالجته للتحقق من وجود بيانات سعودية حساسة فيه، مثل رقم الهوية الوطنية أو الإقامة، ورقم الآيبان، وأرقام ضريبة القيمة المضافة والسجل التجاري، وتفاصيل مالية للعميل، وكلمات مفتاحية حساسة بالعربية والإنجليزية. الطلبات التي تتضمن بيانات حساسة تُحفظ وتُعالَج على أجهزة الشركة نفسها، ولا تُقدَّم أبداً لأي مزوّد ذكاء اصطناعي سحابي. أما الطلبات التي لا تتضمن بيانات حساسة، فيمكن توجيهها إلى أحد نماذج الذكاء الاصطناعي السحابية المتقدمة، مثل Claude أو ChatGPT، باستخدام حساب الشركة نفسها، بحيث لا يُقطَع استخدام الذكاء الاصطناعي في الأعمال اليومية، بل يُحصر الجزء السري منه محلياً فقط.
كل عملية استدلال، محلية أو موجّهة إلى السحابة، تُنتج سجلاً مترابطاً تشفيرياً ومقاوماً للتلاعب، ولا يصل إلى لوحة تحكم المنسّق سوى البيانات الوصفية لهذا السجل، وليس محتوى الطلب أو الرد أبداً، ولا مفاتيح واجهة برمجة التطبيقات السحابية. هذا السجل هو ما يحوّل عبارة "تعاملنا مع بياناتك بعناية" إلى شيء تستطيع الشركة إظهاره فعلياً، لكل ملف عمل على حدة، وهو الجوهر العملي للوفاء بواجب السرية بدلاً من الاقتصار على نيّة الوفاء به.