The Closing Window
Redakt: الامتثال العملي لقانون GDPR لفرق AI image
Photo by Clarissa Watson on Unsplash

Redakt: الامتثال العملي لقانون GDPR لفرق AI

AI Insights
🇩🇪 Deutsch 🇲🇽 Español 🇺🇸 English 🇨🇳 中文
View as Markdown

ملخص

إخبار الموظفين "لا تدخلوا بيانات شخصية في أدوات AI" لا يجدي نفعاً دون منحهم وسيلة للامتثال. Redakt هو أداة مفتوحة المصدر لإخفاء هوية PII مبنية على Microsoft Presidio تقع بين موظفيك وأدوات AI التي يستخدمونها. الصق النص، واحصل على نسخة مجهولة الهوية بعناصر نائبة. الصق رد الـ AI مرة أخرى، واسترجع القيم الأصلية. الخادم لا يخزن PII أبداً. يعمل على بنيتك التحتية، داخل شبكتك. لا حاجة لاتفاقيات معالجة بيانات إضافية. الأداة مجانية، والكود مفتوح.

في وقت سابق من هذا الشهر كتبت عن الـ AI الخفي وفجوة الامتثال حيث ناقشت كيف أن الموظفين الذين يستخدمون أدوات AI غير معتمدة مع بيانات شخصية يخلقون مسؤولية قانونية صامتة بموجب GDPR في جميع أنحاء أوروبا، وكيف أن الفجوة بين ما يتطلبه القانون وما تفعله الشركات فعلياً تتسع كل يوم.

الاستجابة أوضحت شيئاً واحداً: الناس يعرفون أن لديهم مشكلة. التدابير الحالية تبدو وكأننا جميعاً نلعب لعبة ضرب الخُلد.

النصيحة التي انتهت بها تلك المقالة كانت صادقة لكنها غير مكتملة. إرشادات خاصة بكل قسم، قوائم أدوات معتمدة، تواصل أوضح — كلها ضرورية، وكلها غير كافية. لأنه حتى مع سياسات مثالية، لا تزال تواجه نفس المشكلة الجوهرية: موظف يجلس أمام ChatGPT مع فقرة نصية تحتوي على اسم العميل وبريده الإلكتروني وتاريخ طلباته، ولا توجد طريقة عملية لتجريدها قبل الضغط على Enter.

لذلك بنيت شيئاً.

أداة أفضل من السياسة

مندوب مبيعات يلصق اسم العميل وبريده الإلكتروني وتاريخ طلباته في الإصدار المجاني من ChatGPT، باستخدام حساب شخصي، لصياغة بريد متابعة. بعد ثلاثين ثانية يحصل على نتيجة مصقولة. يرسلها ولا يفكر فيها مرة أخرى. تلك الثلاثون ثانية أنشأت للتو خرقاً محتملاً للبيانات بموجب المادة 4(12) من GDPR: بيانات شخصية أُرسلت إلى طرف ثالث بدون DPA، بدون أساس قانوني، وبدون علم صاحب البيانات. ساعة الإخطار ذات الـ 72 ساعة تبدأ بالعد بمجرد أن تعلم الشركة.

مندوب المبيعات ليس متهوراً. إنه يفعل ما تخبره به كل مدونة إنتاجية. لا ألومه. ضغط تبني AI حقيقي. المشكلة ليست في الدافع. بل في أن "فقط أخفِ الهوية أولاً" نصيحة بلا آلية تنفيذ.

ماذا يعني "إخفاء الهوية" لشخص ليس متخصصاً في حماية البيانات؟ البحث يدوياً عن كل اسم واستبداله بـ "شخص أ"؟ لا يمكنك حل مشكلة سلوكية بوثيقة سياسات. تحلها بأداة.

تقديم Redakt

Redakt هو تطبيق ويب مفتوح المصدر وواجهة REST API لاكتشاف وإخفاء هوية PII في النصوص قبل وصولها إلى أداة AI. يغلف Microsoft Presidio، إطار عمل Microsoft المُثبت لاكتشاف PII، ويضيف سير عمل عملي مصمم تحديداً للسيناريو أعلاه.

إليك كيف يعمل:

1. الصق نصك. يأخذ الموظف النص الذي يريد إرساله إلى أداة AI ويلصقه في واجهة Redakt.

2. يكتشف Redakt ويستبدل PII. الأسماء تصبح <PERSON_1>، عناوين البريد الإلكتروني تصبح <EMAIL_1>، أرقام الهاتف تصبح <PHONE_1>. كل نوع كيان يحصل على عنصر نائب مرقم يحافظ على بنية ومعنى النص الأصلي.

3. انسخ النص المجهول إلى أداة AI. النسخة المنظفة تذهب إلى ChatGPT أو Claude أو DeepL أو أي أداة يفضلها الموظف. يولّد الـ AI استجابته باستخدام العناصر النائبة.

4. الصق رد الـ AI مرة أخرى في Redakt. يعود الرد مع <PERSON_1> و<EMAIL_1> سليمَين. يستعيد Redakt القيم الأصلية عبر إلغاء إخفاء الهوية ويحصل الموظف على نتيجة نهائية مخصصة.

الربط بين العناصر النائبة والقيم الحقيقية يعيش في جلسة المتصفح. لا يلمس الخادم أبداً. الخادم يعالج النص، يكتشف PII، يُرجع النتائج، وينسى. عديم الحالة بالتصميم.

أداة الامتثال متوافقة بذاتها

كل قرار معماري في Redakt اتُخذ لتقليل عبء الامتثال للأداة نفسها.

لا PII في حالة السكون. الخادم لا يخزن بيانات شخصية أبداً. يعالج النص في الذاكرة ويتخلص منه. هذا يعني أن Redakt لا يصبح نظاماً آخر تحتاج لكتابة سياسة خصوصية له.

لا حاجة لاتفاقية DPA إضافية. لأن Redakt يعمل على بنيتك التحتية ولا يحتفظ بالبيانات، لا تحتاج إلى اتفاقية معالجة بيانات مع أي طرف لاستخدامه. قارن ذلك بإرسال نفس البيانات إلى خدمة إخفاء هوية سحابية، والتي ستتطلب بحد ذاتها DPA وآليات نقل دولي وكل نفس أعباء الامتثال التي تحاول تجنبها.

نشر داخلي للمؤسسة. أمر docker compose up واحد وتحصل على المجموعة الكاملة تعمل داخل شبكتك. بياناتك لا تغادر بنيتك التحتية أبداً. لا مخاوف بشأن النقل عبر الحدود. لا معالجة من طرف ثالث.

REST API للأتمتة. نفس قدرات إخفاء الهوية المتاحة عبر واجهة الويب مكشوفة كنقاط نهاية API. يمكن لعملاء AI وسير العمل المؤتمت استدعاء Redakt برمجياً. هذا مهم مع انتقال الشركات من استخدام أدوات AI الفردي نحو سير عمل وكلاء AI حيث تُنشأ الطلبات وتُرسل بدون تدخل بشري.

مبني على Presidio. هذه ليست لعبة regex. يجمع Microsoft Presidio بين مطابقة الأنماط (لـ PII المهيكلة مثل عناوين البريد الإلكتروني وأرقام IBAN والمعرفات الضريبية)، والتعرف على الكيانات المسماة المبني على NLP (لأسماء الأشخاص والمواقع والمنظمات)، والتقييم السياقي (الكلمات المحيطة مثل "email" أو "phone" تعزز ثقة الاكتشاف). يأتي مع 13 معرّفاً خاصاً بألمانيا: Steueridentifikationsnummer وReisepass وPersonalausweis وKFZ-Kennzeichen والمزيد. لجمهور أوروبي، هذه التغطية مهمة.

هذا ليس سحراً

اكتشاف PII ليس مثالياً. لا يوجد نظام يلتقط 100% من البيانات الشخصية. PII المعتمدة على السياق — عنوان شارع لا يطابق نمطاً معروفاً، لقب، معرّف غير مباشر — يمكن أن تمر. Redakt يميل نحو الإفراط في الاكتشاف (تحديد شيء ليس PII أفضل من تفويت شيء هو كذلك)، لكنه طبقة حماية وليس ضماناً.

هذا لا يجعل أدوات AI المجانية متوافقة. حتى مع نص مجهول الهوية، استخدام أدوات الإصدار المجاني لأغراض العمل يثير أسئلة امتثال أخرى (شروط الخدمة، سياسات الاحتفاظ بالبيانات، غياب ضوابط المؤسسات). Redakt يقلل مخاطر البيانات الشخصية، لكن الإعداد المثالي يبقى: أدوات بمستوى المؤسسات مع اتفاقيات DPA مناسبة، بالإضافة إلى إخفاء الهوية كطبقة دفاع في العمق.

التبني السلوكي لا يزال الجزء الأصعب. الأداة موجودة. جعل كل موظف يستخدمها قبل كل طلب هو تحدي إدارة تغيير، وليس تحدياً تقنياً. لكن وجود أداة ملموسة وسهلة الاستخدام يجعل تلك المحادثة أكثر عملية بكثير من "فقط كن حذراً مع البيانات الشخصية."

طريق إلى الأمام

الامتثال لا يتعلق بتقييد استخدام AI. كل لائحة عملت من خلالها كمهندس AI لها نفس المنطق الأساسي: يمكنك استخدام هذه الأدوات، لكنك تحتاج إلى حماية الأشخاص الذين تعالج بياناتهم. هذا ليس طلباً غير معقول. إنه الحد الأدنى.

الكود على GitHub. المقالة السابقة عن الـ AI الخفي وفجوة الامتثال تقدم السياق التنظيمي الكامل. Redakt أداة واحدة لجزء واحد من تلك المشكلة. هي مفتوحة المصدر لأن أدوات الامتثال لا ينبغي أن تكون مركز ربح، بل ينبغي أن تكون بنية تحتية.

Powered by Buttondown.