الذكاء الاصطناعي لا يكتفي بجمع بياناتك، بل يعيد تفسيرها وبناء نسخة رقمية منك قد تعرفك أكثر مما تعرف نفسك — وهنا تبدأ أزمة الخصوصية الحقيقية.
في يناير 2025، وقّعت هيئة التجارة الفيدرالية الأمريكية اتفاقية إلزامية مع شركة General Motors تمنعها من بيع بيانات السلوك القيادي لملايين الركاب إلى شركات التأمين. نظام OnStar كان يجمع موقع السيارة وسرعتها وطريقة قيادتها، ويُحوّل هذه البيانات إلى شركات تستخدمها في تحديد أسعار البوليصة. لم يعلم أصحاب السيارات بذلك. ولم يوافقوا عليه. والجهة التي نفّذت التحليل لم تكن بشراً يفحصون ملفات، بل نماذج تنبؤية تعمل باستمرار في الخلفية.
هذه القضية تُجسّد المشكلة القانونية الأعمق التي يُفرزها الذكاء الاصطناعي في علاقته بالخصوصية. ليس التهديد في جمع البيانات ذاته، فهذا قديم. التهديد في أن الذكاء الاصطناعي يُعيد تعريف ما هي “البيانات الشخصية” وما هو “الضرر” وما هي “الموافقة”، وكل هذه المفاهيم هي حجر الأساس في قانون الخصوصية الحديث.
أين تقع الفجوة بين القانون والتقنية؟
قانون الخصوصية التقليدي في كل نسخه يقوم على ثلاثة مبادئ: الموافقة المستنيرة، والغرض المحدد، وحق صاحب البيانات في الوصول والحذف. هذه المبادئ وُضعت في عالم كانت فيه البيانات مُجمَّعة بشكل واعٍ ومحدد. نموذج استمارة، سجل طبي، ملف بنكي.
نماذج الذكاء الاصطناعي تكسر هذا الإطار من ثلاثة اتجاهات في آنٍ واحد.
الأول هو مشكلة الاستنتاج. النموذج لا يجمع فقط ما أفصحت عنه، بل يُنتج استنتاجات عنك لم تُفصح عنها قط. من بيانات تصفحك قد يستنتج توجهاتك السياسية. من أنماط نومك قد يستنتج حالتك النفسية. من مشترياتك قد يستنتج حملك قبل أن تُخبر أحداً به، وهو ما وثّقته دراسة Target الأمريكية الشهيرة. هذه الاستنتاجات ليست “بيانات مُعطاة” في المفهوم التقليدي لقانون الخصوصية، وهي ليست “بيانات مجمّعة” يمكن إخفاء هويتها بسهولة.
الثاني هو مشكلة الحذف. خلافٌ قانوني حقيقي ونشط يتعلق بما إذا كان حذف بيانات المستخدم من قاعدة البيانات كافياً إذا ظلت هذه البيانات مُضمَّنة في الأوزان المُدرَّبة للنموذج اللغوي. الحق في النسيان، وهو مبدأ راسخ في المادة السابعة عشرة من لائحة GDPR، يصطدم بحقيقة تقنية: النموذج الذي تعلّم على بياناتك لا “ينسى” بمعنى قابل للتطبيق القانوني. يمكن حذف السجل من قاعدة البيانات، لكن التأثير الذي تركه على المعاملات الرياضية للنموذج يبقى مدمجاً في طبقاته بطريقة لا تُستخرَج بشكل انتقائي. هذه ليست حجة فلسفية، بل عقبة تقنية موثقة تُضعف حقوقاً قانونية موجودة على الورق.
الثالث هو مشكلة القرار الخوارزمي. نماذج الذكاء الاصطناعي تُقرّر اليوم من يحصل على قرض، ومن يُقبَل للتوظيف، وما هي أسعار تأمينه الصحي، وما إذا كان يستحق المنحة الدراسية. هذه قرارات ذات آثار قانونية وحياتية مباشرة. لكنها تجري داخل نماذج لا يستطيع المتضرر الاطلاع على منطقها الداخلي أو الطعن فيه بصورة فعّالة، لأن “الشفافية” في مفهومها القانوني تعني القدرة على فهم السبب، وليس مجرد الإعلام بوجود نظام.
الاستجابة التشريعية: قوانين مُدرَّجة في عالم شبكي
الاتحاد الأوروبي يقف في طليعة التشريع بمنطقين متكاملين. الأول هو GDPR الذي يفرض الأساس القانوني لكل معالجة ويمنح الأفراد حق الاعتراض على القرارات الآلية بموجب المادة الثانية والعشرين. الثاني هو لائحة الذكاء الاصطناعي الأوروبية التي دخلت مراحل تطبيقها في 2025 وتُنشئ تصنيفاً للمخاطر يُغيّر طبيعة الالتزامات. التطبيق الكامل في أغسطس 2026 يحظر ثماني ممارسات غير مقبولة تشمل المراقبة البيومترية غير المحددة الهدف واستخراج بيانات الوجه من الإنترنت، فيما تُلزم الأنظمة عالية الخطورة في التوظيف وتطبيق القانون والبنية التحتية الحرجة بإجراء تقييمات مخاطر وصيانة سجلات النشاط وضمان الرقابة البشرية. عدم الامتثال يُثير غرامات تصل إلى 7% من رقم الأعمال السنوي العالمي.
المشكلة التطبيقية مع هذا النموذج أن الغرامات وحدها لا تصنع ردعاً حين يكون المنتج كافياً للاستمرار رغمها. دفعت Meta غرامة بـ 1.2 مليار يورو في 2023 بسبب نقل بيانات الأوروبيين إلى الولايات المتحدة، وواصلت نموذجها الأعمال. الغرامة تكلفة إنتاج، لا ردعاً فعلياً.
الولايات المتحدة تسير في مسار مختلف بنيوياً. وتيرة التبني التكنولوجي تتجاوز الأطر القانونية والحوكمة وإدارة المخاطر. في الوقت ذاته يتصاعد تركيز المنظمين والمدّعين ورجال الأعمال على كيفية جمع البيانات الشخصية واستخدامها ومراقبتها وحمايتها.
على المستوى الفيدرالي غياب شبه تام لتشريع خاص بالذكاء الاصطناعي والخصوصية. لكن على مستوى الولايات النشاط مكثف. كاليفورنيا فرضت أكبر غرامة CCPA حتى الآن في 2025، فيما ستبدأ لوائح تقنيات القرار الآلي التابعة لـ CPPA في التطبيق في يناير 2027 مما يجعل 2026 عاماً تحضيرياً حاسماً. قانون الذكاء الاصطناعي في كولورادو يدخل حيز التنفيذ في 2026 ويُنشئ التزامات على المطورين والمشغّلين للحيلولة دون التمييز الخوارزمي.
لكن هذا النشاط الولائي ذاته أفرز معضلة تطبيقية: في ديسمبر 2025 أصدر الرئيس ترامب أمراً تنفيذياً يهدف لوقف “المزيج غير المتسق” من قوانين الذكاء الاصطناعي الولائية التي “تُهدد الابتكار”، مع إنشاء وزارة العدل فرقة عمل للطعن في التنظيمات الولائية المُعتبَرة عائقاً أمام هيمنة أمريكا في الذكاء الاصطناعي. بمعنى آخر: الحكومة الفيدرالية الأمريكية تُعلن صراحةً أنها على استعداد لتقليص الحماية الخصوصية إذا تعارضت مع الأولوية الاستراتيجية للتفوق التقني.
القضايا التي تُحدد الحدود
أبلغ مثال على الفجوة بين القانون والتقنية في هذا الملف تحديداً هو ما رسّخه قانون BIPA الإيلينوي للبيانات البيومترية. أكبر تسوية لانتهاك الخصوصية في الذكاء الاصطناعي حتى الآن: 650 مليون دولار دفعتها Meta بسبب جمعها هندسة الوجه من مستخدمي إيلينوي دون موافقة. لكن هذا الحكم جاء نتيجة قانون ولائي صدر في 2008 لأسباب لا علاقة لها بالذكاء الاصطناعي التوليدي، وتطبيقه ممكن فقط لأن المدّعين في إيلينوي يستطيعون إثبات انتهاك النص الحرفي للقانون دون إثبات ضرر فعلي. هذا استثناء نادر. في معظم الولايات القضائية، لا قانون بيومتريات مشابه، ولا مبدأ مماثل.
استخدمت IBM ما يزيد على مليون صورة من منصة Flickr المنشورة علناً لتدريب نماذج التعرف على الوجه دون علم أصحابها أو موافقتهم. القضية ساعدت على ترسيخ مبدأ أن كون الصورة متاحة للعموم لا يُنشئ أساساً قانونياً لمعالجتها في تدريب الذكاء الاصطناعي. لكن ترسيخ المبدأ لم يُنتج ملاحقة قانونية ناجحة لأن الإطار الأمريكي يفتقر لقاعدة تشريعية فيدرالية تُلزم بالموافقة في سياق التدريب.
هذه الهوّة بين المبدأ القانوني المُرسَّخ والإطار التشريعي الغائب هي ما يجعل قانون الخصوصية في مواجهة الذكاء الاصطناعي يبدو أحياناً كقضاء يُصدر أحكاماً بموجب قوانين كُتبت لعالم آخر.
واقع قوانين الخصوصية في العالم العربي
الإطار التشريعي العربي لحماية البيانات في حالة نضج متفاوتة، وهو في مجمله موجود على الورق لكنه غير مُختبَر في مواجهة الذكاء الاصطناعي.
المملكة العربية السعودية أصدرت نظام حماية البيانات الشخصية PDPL وبدأ تطبيقه في سبتمبر 2024، مع هيئة البيانات والذكاء الاصطناعي SDAIA جهةً تنظيمية. النظام يُلزم بموافقة مسبقة لنقل البيانات عبر الحدود ويُقدّم أولوية لتخزين البيانات محلياً. الإمارات تعمل بنموذج طبقي يجمع بين القانون الاتحادي لحماية البيانات والأطر المستقلة في المناطق الحرة المالية كـ DIFC وADGM. وحتى يناير 2026 لا يوجد تشريع اتحادي شامل للذكاء الاصطناعي، بل قوانين أفقية وقطاعية تُعالج المخاطر عبر أطر حماية البيانات والأمن السيبراني والقوانين القطاعية. والأردن بدأ تطبيق قانون حماية البيانات الشخصية في مارس 2025 بنهج يُوفّر التزامات محددة على المتحكمين والمعالجين.
المشكلة ليست في غياب هذه القوانين، بل في هندستها. كلها صِيغت في مرحلة ما قبل الذكاء الاصطناعي التوليدي، وتفتقر إلى ثلاثة مكونات جوهرية: أولاً حكم صريح على الاستنتاجات المُشتقَّة وما إذا كانت “بيانات شخصية” تستحق الحماية الكاملة. ثانياً إطار لاشتراطات الشفافية في القرارات الخوارزمية التي تمس حقوق الأفراد. ثالثاً آلية لتطبيق “الحق في النسيان” في سياق النماذج المُدرَّبة على بيانات شخصية، وهو السؤال الذي لم تُجبه حتى لائحة GDPR بشكل مُرضٍ تقنياً.
علاوة على ذلك، كثير من هذه القوانين مُستنسَخة جزئياً من نموذج GDPR دون التكييف مع خصوصيات المنطقة، مما يُنتج قواعد مُستوردة تعمل في سياقات مؤسسية وتنظيمية مختلفة. السعودية تُلزم بالموافقة المسبقة لنقل البيانات عبر الحدود، لكن مراكز البيانات لكبرى شركات الذكاء الاصطناعي العالمية لا تقع في المنطقة، مما يعني أن معظم البيانات التي يُدخلها المستخدم العربي في ChatGPT أو Claude أو Gemini تُعالَج في بنية تحتية أمريكية أو أوروبية تخضع لقانون تلك الدول لا لقانون بلد المستخدم. القانون موجود لكنه يفتقر إلى ذراع تطبيقي فعّال في هذه الحالة بالذات.
التوتر الحقيقي: بين المثالي والممكن تطبيقه
الحل المثالي قانونياً يقتضي: نقل عبء الإثبات إلى الشركات المُعالِجة لا الأفراد، وتوسيع تعريف “البيانات الشخصية” ليشمل الاستنتاجات المُشتقَّة، وإلزامية شفافية القرار الخوارزمي بمعنى يتجاوز الإخطار الشكلي. هذا ما يُوصي به معظم الفقه القانوني المعاصر في هذا الملف.
الواقع التطبيقي أعقد. الشفافية الكاملة في النموذج الخوارزمي قد تعني الكشف عن أسرار تجارية. نقل عبء الإثبات بالكامل قد يُجمّد تطوير تقنيات ذات نفع عام في الصحة والتعليم والأمن. وتعريف موسّع للبيانات الشخصية قد يُنتج التزامات تفوق قدرة معظم الشركات المتوسطة.
الخطوط بين الخصوصية والأمن السيبراني والذكاء الاصطناعي ستواصل التشابك، مما يُعرّض المنظمات التي تُعالج هذه التخصصات بشكل منفصل لمخاطر تنظيمية متصاعدة. هذا التشابك ذاته هو ما يجعل الإجابة التشريعية صعبة، لأن قانون الخصوصية تقليدياً يحمي الفرد من الدولة والشركات. الذكاء الاصطناعي يُفرز سيناريوهات حيث الشركة تحمي الفرد من الشركة الأخرى، أو حيث الدولة تعتمد النموذج ذاته في خدمات عامة.
موقف صريح: الخصوصية أمام الذكاء الاصطناعي حق يستحق الإنفاق عليه
أُؤمن بأن الإطار القانوني السائد يُخفق في حماية الخصوصية أمام الذكاء الاصطناعي لسبب بنيوي: هو يُحمّل الفرد مسؤولية حماية حقه في مواجهة منظومات تقنية صُمّمت بعناية لاستخراج هذه البيانات. شروط الخدمة “الموافق عليها” لا يقرأها 98% من المستخدمين، ولو قرأها مئة منهم لن يفهم أغلبهم ماذا تعني “معالجة مشروعة” أو “تحليل إحصائي مُجمَّع” أو “نقل للشركاء”.
الإصلاح التشريعي الأجدى يقوم على نقل مركز الثقل من “موافقة الفرد” إلى “إثبات المشروعية من الشركة”، ومن “الحق في الشكوى” إلى “الالتزام بالتصميم الآمن للخصوصية”. هذا ما يُحاول قانون الذكاء الاصطناعي الأوروبي تحقيقه في الأنظمة عالية الخطورة، وهو بالضبط ما تقاومه الشركات الكبرى بقوة اللوبي التشريعي.
المنطقة العربية أمام فرصة نادرة: قوانينها حديثة نسبياً وقابلة للتحديث دون الحاجة لتفكيك إرث تشريعي متراكم. تكييف هذه القوانين لتشمل الاستنتاجات المُشتقَّة والقرار الخوارزمي يمكن أن يحدث بتعديلات لوائح تنفيذية لا بتشريع جديد كامل. لكن هذا التحديث يحتاج كفاءة تقنية في الأجهزة التنظيمية وفهماً للفجوة الفعلية بين القانون والتقنية، وهو ما لا يزال يفتقره كثير من هذه الأجهزة.
الأسئلة التي تظل معلقة فوق هذا الملف بأسره ليست قانونية في جوهرها: ماذا يعني أن تمتلك بيانات “تخصك” حين يكون تأثيرها موزعاً على نماذج تخدم ملايين غيرك؟ وكيف يُنظَّم حق لا يمكن مُشاهدة انتهاكه إلا بعد وقوع الضرر؟ القانون الجيد لا يُجيب على هذين السؤالين فحسب، بل يجعل التساؤل عنهما ممكناً دون انتظار ضحية.
FAQ أسئلة شائعة
هل الذكاء الاصطناعي ينتهك الخصوصية؟
نعم، خاصة من خلال تحليل البيانات واستخراج استنتاجات غير معلنة.
هل يمكن حذف بياناتك من نماذج الذكاء الاصطناعي؟
تقنيًا صعب، لأن البيانات تبقى ضمن النموذج بعد التدريب.
