لشركات المراجعة والمحاماة والخدمات المهنية في السعودية

ما الذي يعنيه واجب السرية المهنية لدى SOCPA لاستخدام الذكاء الاصطناعي على بيانات العملاء؟

دليل إثبات·عربية أولاً·صُنع في السعودية
الإجابة المختصرة

يحمل المحاسبون والمدققون المرخصون من الهيئة السعودية للمحاسبين القانونيين (SOCPA) واجب سرية مهنية تجاه معلومات عملائهم، وهذا الواجب لا يتوقف عند فتح أداة ذكاء اصطناعي. لصق البيانات المالية للعميل في أداة ذكاء اصطناعي عامة يعني تسليم هذه البيانات لطرف ثالث خارج نطاق سيطرة الشركة، وهو أمر لا يتوافق بسهولة مع هذا الواجب. الأسلوب الأكثر أماناً هو التعامل مع الذكاء الاصطناعي كأي إفشاء آخر لطرف ثالث: التحكم في وجهة البيانات الحساسة، والاحتفاظ بدليل على ذلك.

واجب السرية الذي يحمله كل محاسب مرخّص من SOCPA

يحمل المحاسبون والمدققون المرخصون من الهيئة السعودية للمحاسبين القانونيين (SOCPA) واجب سرية مهنية تجاه المعلومات التي يحصلون عليها خلال عملهم مع العملاء، مثل القوائم المالية وورقات العمل وبيانات الرواتب وهياكل الملكية وأي معلومة يشاركها العميل لغرض تدقيق حساباته أو إعداد إقراراته الضريبية. يُعد هذا الواجب من الالتزامات الأساسية لممارسة المهنة بترخيص من SOCPA، جنباً إلى جنب مع الاستقلالية والكفاءة الفنية. وبعبارة عامة، يعني هذا الواجب أن معلومات العميل تُستخدم فقط للغرض الذي شاركها من أجله، ولا تُكشف إلا لمن يحتاجها لأداء العمل، فلا تُشارك أو تُعرض أو تُسلَّم لأطراف خارجية دون علم العميل أو دون أساس مهني واضح لذلك. وُضع هذا الواجب قبل ظهور الذكاء الاصطناعي التوليدي، لكنه لا يتضمن استثناءً له، فهو ينطبق على طريقة تعامل الشركة مع بيانات العميل بشكل عام، بصرف النظر عن الأداة المستخدمة.

لماذا يمثل لصق بيانات العميل في أداة ذكاء اصطناعي عامة مشكلة

عندما يقوم أحد العاملين في الشركة بلصق ميزان مراجعة لعميل، أو مسودة قوائم مالية، أو ورقة عمل، في أداة ذكاء اصطناعي عامة لتوفير الوقت، تخرج معلومات العميل من نطاق سيطرة الشركة وتذهب إلى طرف ثالث لم يوافق العميل عليه أصلاً. وحتى لو وعدت شروط استخدام مزوّد الذكاء الاصطناعي بعدم سوء استخدام البيانات، فإن الشركة لا تعرف بدقة أين تُعالَج البيانات، ولا كم من الوقت تُحفظ، ولا من يمكنه الوصول إليها من طرف المزوّد أو من مقدّمي الخدمة الفرعيين التابعين له. هذا في جوهره إفشاء لطرف ثالث، لا يختلف كثيراً عن إرسال ملفات العميل بالبريد إلى شركة غير ذات صلة. قد يكون ذلك بنية حسنة تماماً، فالمحاسب أراد فقط طريقة أسرع لتلخيص تقرير، لكن النية الحسنة لا تغيّر ما حدث للبيانات فعلياً.

ولهذا السبب فإن السؤال المهم ليس هل الذكاء الاصطناعي جيد أم سيئ. فمعظم الشركات لديها استخدامات مشروعة ومنخفضة الخطورة تماماً للذكاء الاصطناعي، مثل صياغة مذكرة داخلية، أو تلخيص تحديثات تنظيمية عامة، أو كتابة نصوص بريد إلكتروني قياسية. واجب السرية يتعارض فقط مع الجزء الصغير من استخدام الذكاء الاصطناعي الذي يلامس بيانات العميل الفعلية.

الفارق الحقيقي: الاحتفاظ بالسيطرة مقابل التسليم لطرف ثالث

واجب السرية ليس منعاً مطلقاً للتقنية، فالشركات تستخدم بالفعل برامج محاسبة سحابية، والبريد الإلكتروني، ودعم تقني خارجي، وكل ذلك ينطوي على وصول طرف ثالث إلى بيانات العميل بموجب عقد. ما يهم هو هل تحتفظ الشركة بالسيطرة على البيانات وتستطيع تتبع وجهتها، أم أن البيانات خرجت من نطاق سيطرتها دون أي إمكانية لتتبعها أو تقييدها.

سؤالان يستحقان أن يُطرحا قبل أن تلامس أي بيانات عميل أداة ذكاء اصطناعي:

الشركة التي تشغّل الذكاء الاصطناعي على بنية تقنية تملكها وتتحكم فيها، مع سجلات لما حدث، تكون في موقف مختلف جوهرياً عن شركة تلصق ملفات العميل في روبوت محادثة عام دون أي تسجيل ودون عقد يحكم هذا الاستخدام بالتحديد.

خطوات عملية يمكن أن تتخذها شركة مرخّصة من SOCPA

أدلة السرية: تحويل الواجب إلى ممارسة يمكن إثباتها

كان واجب السرية على الدوام أمراً يجب على الشركات الوفاء به بهدوء، وعلى أساس الثقة إلى حد كبير. غيّر الذكاء الاصطناعي هذه المعادلة لأنه أدخل فئة جديدة وسريعة التطور من التعامل مع بيانات طرف ثالث، وهي فئة يسأل العملاء عنها مباشرة بشكل متزايد. الشركات القادرة على إظهار، لكل ملف عمل على حدة لا فقط كسياسة عامة معلنة، ما حدث لبيانات العميل، تكون في موقف أقوى من الشركات التي لا تستطيع سوى التأكيد أن ذلك حدث.

وهنا تكمن أهمية الاحتفاظ بسجل عند لحظة الاستخدام: ليس وثيقة سياسة تصف النوايا، بل سجلاً فعلياً لكل مرة عولجت فيها بيانات العميل ومكان تلك المعالجة. تقديم هذا النوع من الأدلة عند الطلب هو من أكثر الطرق العملية التي تُظهر بها الشركة حرصها للعميل، أو للشريك الذي يراجع الملف، أو للمراجع المعني بمعايير المهنة، وهو ما يحمي ترخيص الشركة وسمعتها، وليس فقط بيانات العميل.

حماية سرية العميل عند تبني الذكاء الاصطناعي ليست في جوهرها مسألة تنظيمية، بل هي الطريقة التي تحمي بها الشركة ترخيصها، وعلاقاتها مع عملائها، وسمعتها في سوق تمثل فيه ثقة العميل جوهر العمل نفسه.

كيف يساعد إثبات في ذلك

بُني إثبات حول هذا الفارق بالتحديد. يُثبَّت على الأجهزة التي تملكها الشركة بالفعل، ويصنّف كل طلب قبل معالجته للتحقق من وجود بيانات سعودية حساسة فيه، مثل رقم الهوية الوطنية أو الإقامة، ورقم الآيبان، وأرقام ضريبة القيمة المضافة والسجل التجاري، وتفاصيل مالية للعميل، وكلمات مفتاحية حساسة بالعربية والإنجليزية. الطلبات التي تتضمن بيانات حساسة تُحفظ وتُعالَج على أجهزة الشركة نفسها، ولا تُقدَّم أبداً لأي مزوّد ذكاء اصطناعي سحابي. أما الطلبات التي لا تتضمن بيانات حساسة، فيمكن توجيهها إلى أحد نماذج الذكاء الاصطناعي السحابية المتقدمة، مثل Claude أو ChatGPT، باستخدام حساب الشركة نفسها، بحيث لا يُقطَع استخدام الذكاء الاصطناعي في الأعمال اليومية، بل يُحصر الجزء السري منه محلياً فقط.

كل عملية استدلال، محلية أو موجّهة إلى السحابة، تُنتج سجلاً مترابطاً تشفيرياً ومقاوماً للتلاعب، ولا يصل إلى لوحة تحكم المنسّق سوى البيانات الوصفية لهذا السجل، وليس محتوى الطلب أو الرد أبداً، ولا مفاتيح واجهة برمجة التطبيقات السحابية. هذا السجل هو ما يحوّل عبارة "تعاملنا مع بياناتك بعناية" إلى شيء تستطيع الشركة إظهاره فعلياً، لكل ملف عمل على حدة، وهو الجوهر العملي للوفاء بواجب السرية بدلاً من الاقتصار على نيّة الوفاء به.

الأسئلة الشائعة

هل تمنع SOCPA المحاسبين من استخدام أدوات الذكاء الاصطناعي؟
لا، واجب السرية لا يمنع استخدام الذكاء الاصطناعي، لكنه يعني أن على الشركات أن تكون واعية بشأن أي بيانات تدخل أي أداة، وأن تحافظ على بقاء معلومات العميل السرية تحت سيطرة الشركة.
هل يُعد استخدام ChatGPT في أعمال العملاء خرقاً للسرية؟
يعتمد ذلك على ما يُلصق في الأداة، فصياغة بريد إلكتروني عام أمر مختلف تماماً عن لصق ميزان مراجعة لعميل. رفع بيانات مالية قابلة لتحديد هوية العميل إلى أداة ذكاء اصطناعي عامة دون أي وسيلة للتحكم في وجهتها أو تتبعها لا يتوافق بسهولة مع واجب السرية الذي يحمله المحاسب المرخّص من SOCPA.
ما الذي يُعد بيانات عميل بموجب واجب السرية؟
بعبارة عامة، أي معلومة يتم الحصول عليها خلال عمل العميل ولا تكون متاحة للعامة بالفعل، مثل القوائم المالية في صورتها الأولية، وورقات العمل، وبيانات الرواتب والملكية، والمعرّفات الشخصية مثل رقم الهوية الوطنية أو الإقامة أو رقم الآيبان، وأي معلومة أخرى شاركها العميل لغرض ذلك العمل.
هل يمكن للشركة استخدام الذكاء الاصطناعي السحابي على الإطلاق؟
نعم، في الأعمال التي لا تلامس بيانات عميل سرية، كالصياغة الداخلية والبحث العام والمراسلات العامة. التعارض ينحصر في إرسال معلومات سرية للعميل إلى خدمة سحابية لا تستطيع الشركة التحكم فيها أو تتبعها.
كيف تستطيع الشركة إثبات أنها حافظت على سرية بيانات العميل إذا سأل العميل عن ذلك؟
من خلال الاحتفاظ بسجل، عند لحظة استخدام الذكاء الاصطناعي، لما جرت معالجته وأين تمت المعالجة، لا مجرد سياسة مكتوبة. سجل أدلة لكل ملف عمل على حدة يتيح للشركة أن تجيب بدقة، بدلاً من الاعتماد على تأكيد عام.

اعرف أين تقف شركتك — خلال 60 ثانية

أجرِ الفحص الذاتي المجاني لترى مستوى تعرّضك لمخاطر سرية بيانات العملاء فوراً. لا حاجة للتسجيل لرؤية نتيجتك.