الذكاء الاصطناعي الخفي وفجوة الامتثال التي لا تغلق نفسها

في كل مرة يلصق فيها موظف اسم عميل في ChatGPT، أو يمرّر عقد مورّد عبر DeepL، أو يطلب من Copilot تلخيص صندوق بريده باستخدام حساب مجاني أو غير معتمد، فهو يعمل في الظلام — بأدوات لم تُجِزها الشركة، وببيانات لم تُخوّلها، وتحت أطر قانونية يسيء فهمها. هذا هو الذكاء الاصطناعي الخفي: عادة يومية هادئة باتت واحدة من أشد مخاطر الامتثال استخفافاً بها في أوروبا.

لم أُدرك هذا بوصفي محامياً، بل بوصفي مهندس AI. بعد نحو شهرين من بدء طرح أدوات AI وصياغة الإرشادات والسياسات في العمل، أدركت أن لدينا مشكلة: التوجيهات التي أجهدنا أنفسنا في إيصالها للموظفين كانت تفتقر إلى شيء جوهري. لم يشرح أحد الفرق بين "البيانات السرية" و"البيانات الشخصية"، ولا أهمية هذا الفرق عند استخدام أي من أدوات AI سهلة الوصول، وكيف ينطبق ذلك حتى في سياق العمل بين الشركات B2B. قبل حقبة ChatGPT، كان معظمنا يكتفي بتطبيقات المكتب الاعتيادية لإنجاز عمله اليومي. من الواضح أن هذا تغيّر تغيراً جذرياً.

كان لا بد من إعادة صياغة السياسات. ليس تحديثها — إعادة صياغتها من الأساس. احتجنا إلى لغة محددة تغطي متطلبات GDPR وتقاطعها مع قانون الذكاء الاصطناعي الأوروبي، وأمثلة يمكن للموظفين تطبيقها فعلاً، وتمييزاً واضحاً بين الأدوات التي يمكن استخدامها بحرية وتلك التي تستلزم حسابات مؤسسية معتمدة. ما كشف الفجوة لم يكن تدقيقاً ولا حادثة. كانت طلبات الموافقة. حين بدأ الموظفون يأتون إلينا لمراجعة أدوات AI التي يستخدمونها بالفعل — أو يريدون استخدامها — واعتمادها، ظهر نمط واضح: معظمهم لم يكن لديه أي إطار للتفكير في ما يمكن مشاركته من بيانات ومع أي أدوات. الذكاء الاصطناعي الخفي واقع في معظم الشركات، ويمكنني أن أؤكد لك أن المسؤولية القانونية التي يخلقها لا تُعالَج بالإلحاح الكافي — خاصة مع تكاثر الأدوات المجانية وتنافسها على انتباه الجميع.

واقع الذكاء الاصطناعي الخفي

"الذكاء الاصطناعي الخفي" هو المصطلح المهذّب لهذه الظاهرة. الموظفون في الشركات الأوروبية يستخدمون أدوات AI لا تعلم بها شركاتهم. الأرقام الدقيقة يصعب التحقق منها — لكن النمط في كل مكان. في استطلاع تستشهد به أطر حوكمة AI الكبرى، لدى 28% فقط من المؤسسات سياسات AI رسمية. هذا يعني أن نحو 72% من الشركات لديها موظفون يستخدمون أدوات AI دون قواعد محددة، ودون قائمة أدوات معتمدة، ودون توجيهات حول ما يجوز وما لا يجوز إدخاله في الموجّه.

هذا ليس تهوراً. هذه فجوة في القدرات. الناس يستخدمون أدوات ترفع إنتاجيتهم بشكل ملحوظ، وليس لديهم سبب يدفعهم إلى الاعتقاد بأن "لخّص هذا البريد الإلكتروني من Hans Schmidt حول طلبه" يختلف جوهرياً عن "لخّص هذا البريد الإلكتروني من عميل حول طلب". لكن بموجب GDPR، هذان الموجّهان مختلفان اختلافاً جذرياً من الناحية القانونية. أحدهما يتضمن بيانات شخصية. والآخر لا يتضمنها.

التعليمة التي تُصدرها معظم الشركات — "لا تُدخل بيانات سرية في أدوات AI" — تخلط بين فئتين قانونيتين متمايزتين. البيانات السرية تعني الأسرار التجارية والمعلومات الخاصة والأشياء المحمية بموجب العقود أو الاتفاقيات التجارية. البيانات الشخصية تعني أي معلومات تتعلق بشخص طبيعي محدد الهوية أو قابل لتحديد الهوية، وهي محمية بموجب GDPR بصرف النظر عن سريتها. قد يستنتج موظف أن سجل طلبات عميل ليس "سرياً" ويلصقه في موجّه مع اسم العميل، دون أن يعلم أن الاسم وحده يُفعّل إطاراً تنظيمياً مستقلاً تماماً يبدأ معه عداد الإخطار خلال 72 ساعة إذا ساءت الأمور.

قانونان. موجّه AI واحد.

بنى الاتحاد الأوروبي إطارين تنظيميين متداخلين ينطبقان الآن في وقت واحد على استخدام AI في مكان العمل.

لائحة GDPR (2018) قانون حقوق إنسان. تمنح الأفراد السيطرة على بياناتهم الشخصية وتُلزم أي منظمة تعالجها — بصرف النظر عن مكان المعالجة. إذا لصق موظفك في ميونيخ عنوان البريد الإلكتروني لعميل بلجيكي في ChatGPT الذي يعمل على خوادم في فيرجينيا، تنطبق GDPR.

قانون الذكاء الاصطناعي الأوروبي (2024) قانون سلامة منتجات. ينظّم أنظمة AI نفسها — كيفية تصميمها ونشرها ومراقبتها — باستخدام تصنيف مخاطر رباعي المستويات. تقع معظم أدوات AI في مكان العمل ضمن فئتَي "المخاطر الدنيا" أو "المخاطر المحدودة". لكن "المخاطر الدنيا" بموجب قانون AI لا يعني "لا التزام بموجب GDPR". كلا القانونين ينطبقان على الموجّه نفسه، في الوقت نفسه، في كل مرة تُعالَج فيها بيانات شخصية.

المادة 2(7) من قانون AI تجعل هذا صريحاً: يسري "دون الإخلال بـ GDPR". استخدام AI لتحليل بيانات العملاء يُفعّل متطلبات الشفافية في GDPR و التزامات الشفافية في قانون AI. استخدام AI في الموارد البشرية يُفعّل قيود GDPR بموجب المادة 22 على صنع القرار الآلي و التصنيف عالي المخاطر في قانون AI بموجب الملحق III. حتى جداول الإبلاغ عن الحوادث تختلف: 72 ساعة بموجب GDPR، وما يصل إلى 15 يوم عمل بموجب قانون AI.

التزام محو أمية AI بموجب قانون AI ساري المفعول منذ فبراير 2025. الامتثال الكامل للذكاء الاصطناعي عالي المخاطر مطلوب بحلول 2 أغسطس 2026 — بعد خمسة أشهر. معظم الشركات لم تبدأ بعد.

فخ B2B

هذا هو سوء الفهم الذي يُفاجئ شركات B2B في أغلب الأحيان.

تفترض معظم شركات B2B أن GDPR هو في الأساس شاغل موجّه نحو المستهلك. أنت لا تجمع بيانات من مواطنين أفراد؛ أنت تعالج بيانات عن شركات أخرى. GDPR لا يمكن أن ينطبق بنفس الطريقة، أليس كذلك؟

خطأ.

GDPR لا ينظّم العلاقات. ينظّم البيانات المتعلقة بالأشخاص الطبيعيين. السؤال الحاسم ليس ما إذا كانت علاقتك B2B — بل ما إذا كانت البيانات تتعلق بفرد قابل للتعرف عليه.

• info@companyname.com — جهة اتصال عامة للشركة، ليست بيانات شخصية
• hans.schmidt@installer.de — تُحدّد هوية Hans Schmidt، بيانات شخصية بالكامل
• "Schmidt Solar GmbH" — بيانات شخصية، لأنها تحتوي على اسم المالك
• تفاصيل الاتصال بمقاول مستقل — بيانات شخصية، لأن أصحاب الأعمال الفردية أشخاص طبيعيون

أنظمة CRM في شركات B2B مكتظة بالبيانات الشخصية تقريباً. قوائم جهات اتصال المبيعات، وعناوين البريد الإلكتروني المباشرة، وأرقام الهاتف المحمول، والمسميات الوظيفية المقترنة بالأسماء — كل ذلك بيانات شخصية، وكل ذلك يخضع لـ GDPR، وكل ذلك بالضبط هو المحتوى الذي يلصقه الموظفون اعتيادياً في أدوات AI لصياغة المراسلات أو تلخيص سجل الحسابات. وهذا مسموح به ضمن حدود إذا كانت أداة AI تمتلك جميع الشهادات الصحيحة وحازت موافقة قسم الامتثال في شركتك.

ما يتطلبه "الامتثال" فعلاً

إذا كان موظفوك يستخدمون أدوات AI في العمل، فهذا ما تتطلبه GDPR فعلاً — لا ما تظن معظم الشركات أنها تتطلبه.

اتفاقيات معالجة البيانات مع كل مزود AI. النسخ المجانية والاستهلاكية من ChatGPT وClaude وأدوات مماثلة لا تمتلك العقود القانونية التي تشترطها GDPR. استخدام النسخة المجانية من ChatGPT لأي غرض تجاري يتضمن بيانات شخصية مخالفة للامتثال. نقطة. غُرّمت OpenAI بـ 15 مليون يورو من قِبل الـ Garante الإيطالي في ديسمبر 2024 بسبب إخفاقات في الشفافية والأساس القانوني تحديداً. الغرامة كانت على OpenAI. لكنها نجمت عن سلوك على مستوى المستخدم — نوع السلوك الحادث داخل شركتك اليوم.

فقط المستويات المؤسسية، مع اتفاقيات DPA موثّقة، للبيانات الشخصية. اتفاقية DPA (اتفاقية معالجة البيانات) ليست الصورة الكاملة. بالنسبة للمزودين الأمريكيين كـ OpenAI وAnthropic، تحتاج أيضاً إلى آلية نقل بيانات دولية — البنود التعاقدية القياسية أو شهادة إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة — والتزام تعاقدي بأن بيانات العملاء لن تُستخدم لتدريب النماذج.

تقييم أثر حماية البيانات (DPIA) لكل حالة استخدام AI. تشترط المادة 35 إجراءه عندما تكون المعالجة "مرجّحة أن تفضي إلى مخاطر عالية". استخدام أدوات AI مع البيانات الشخصية يستوفي هذا العتبة في الغالب — التكنولوجيا المبتكرة عامل مخاطرة، وتستوفي معظم عمليات النشر معيارَين على الأقل من المعايير الثمانية للـ EDPB. هذا ليس اختيارياً.

عداد 72 ساعة. لصق البيانات الشخصية في أداة AI غير مصرّح بها — أي أي أداة مجانية أو على مستوى المستهلك — خرق بيانات محتمل بموجب المادة 4(12) من GDPR. تملك الشركة 72 ساعة لإخطار الجهة الرقابية بمجرد علمها بالأمر. حادثة سامسونج، التي كشف فيها مهندسون كود مصدر سري بلصقه في ChatGPT، أصبحت قصة تحذيرية تحديداً لأن الكشف كان فورياً ولا رجعة فيه. البيانات الشخصية تعمل بالطريقة نفسها.

الفحص الواقعي للأقسام

المخاطر ليست موحّدة في أنحاء المنظمة. مكان جلوسك يحدد الالتزامات المنطبقة عليك.

الموارد البشرية تواجه أشد القواعد صرامة. AI لاتخاذ قرارات التوظيف — فرز السير الذاتية، وتصنيف المتقدمين، وتقييم الأداء — مصنّف صراحةً بوصفه عالي المخاطر بموجب الملحق III من قانون AI الأوروبي. موافقة الموظفين في ألمانيا غير صالحة في العادة بسبب اختلال موازين القوى في علاقات العمل؛ تحتاج إلى ضرورة تعاقدية موثّقة أو اتفاقية مجلس عمّال (Betriebsvereinbarung).

المبيعات وCRM المصدر الأكثر شيوعاً للمخالفات، لأن بيانات CRM شخصية بالكامل تقريباً. العادة الأكثر أماناً استخدام عناصر نائبة في الموجّهات وملء الأسماء الحقيقية يدوياً، أو توفير أداة إخفاء هوية — لكن هذا يستلزم أن يفهم الموظفون لماذا، لا أن يمتثلوا فحسب لقاعدة أُعطيت لهم دون سياق.

اللوجستيات أقل وضوحاً لكنها لا تُستثنى. بيانات التسليم المرتبطة بالمستلمين المسمّيين، ومعلومات الاتصال المستخدمة في التوزيع — كلها بيانات شخصية تخضع للقواعد نفسها.

تقنية المعلومات تتحمل مسؤولية رصد الذكاء الاصطناعي الخفي. صون قائمة الأدوات المعتمدة، والتحقق من وجود اتفاقيات DPA المؤسسية، وتحديد استخدام AI غير المصرّح به — كل هذه التزامات تقنية المعلومات، وليست نظرية.

ما تعلّمته فعلاً

دخلت هذا المجال بوصفي مهندس AI. كنت أفهم التكنولوجيا. لم أفهم أن كل قرار نشر كان في الوقت نفسه قراراً قانونياً، وأن الإطار القانوني أكثر تعقيداً من الإطار التقني.

ما وجدته لم يكن أن اللوائح غير معقولة. هي ليست كذلك. وُجدت لأن البيانات الشخصية التي تعالجها أنظمة AI على نطاق واسع — دون رقابة، دون أساس قانوني، دون علم الأشخاص المعنيين — لها عواقب حقيقية على أشخاص حقيقيين. اللوائح تحاول حل مشكلة حقيقية أؤيدها تأييداً كاملاً.

ما وجدته هو أن الهوّة بين ما تتطلبه اللوائح وما تعرفه الشركات فعلاً هائلة. ليست فشلاً في النية. هي فشل في الترجمة — بين النص القانوني والسلوك العملي، بين أطر الامتثال والأدوات التي يستخدمها الموظفون فعلاً في مشهد يتغير بسرعة كبيرة جداً.

ما أسهم جزئياً: الابتعاد عن التوجيهات الموحّدة وبناء أمثلة خاصة بكل قسم — ما يمكن للموارد البشرية فعله، وما يمكن للمبيعات فعله، وما يمكن للوجستيات فعله، وما لا ينبغي لأي منها فعله مع أي أدوات.

ومع ذلك. حتى مع وجود إرشادات أوضح، وأمثلة محددة لكل قسم، وبدائل معتمدة، يظل إيصال هذا بوضوح كافٍ لاستيعابه من قِبل الجميع تحدياً قائماً. تغيير السلوك أبطأ من تغيير السياسة. تلك الهوّة — بين ما تقوله السياسة وما يفعله موظف فعلاً في ضغط ظهيرة يوم ثلاثاء مزدحم — هي حيث تكمن المسؤولية الحقيقية.

المفارقة أن أدوات AI يمكنها المساعدة في سد هذه الهوّة. Copilot نفسه الذي يخلق مخاطر الامتثال يمكنه المساعدة في توثيق DPIA. Claude نفسه الذي يستخدمه الموظفون لملخصات الاجتماعات يمكنه المساعدة في صياغة إشعار الخصوصية الذي يُعلمهم بكيفية معالجة بياناتهم. لكن فقط إذا فهم أحد ما في المنظمة كلا الجانبين بما يكفي لاستخدام هذه الأدوات بطريقة متوافقة مع اللوائح.

الذكاء الاصطناعي الخفي في جوهره ليس مشكلة تقنية. الأدوات ليست خطرة. الجهل هو الخطر.

ومع اقتراب أغسطس 2026 على بُعد خمسة أشهر، النافذة لسد هذه الهوّة تضيق.

يستند هذا المقال إلى عمل بناء أطر حوكمة AI لشركة ألمانية متوسطة الحجم تعمل في أربع دول في الاتحاد الأوروبي. المواد المصدرية تشمل تحليلاً تفصيلياً لـ GDPR وقانون AI الأوروبي، وإرشادات خاصة بكل قسم، وخارطة طريق عملية للامتثال طُوِّرت لسيناريوهات النشر الفعلية.