بياناتك العُمانيّة في خادم أمريكيّ: الفاتورة التي لا يُخبرك بها مزوّدو الذكاء الاصطناعي‏.

موظّف في جهة مسقطيّة نسخ بنداً من عقد مورّد، لصقه في نافذة محادثة، وكتب: «لخّص لي هذا». ضغط إرسال. في أقلّ من نصف ثانية، عبر النصّ ثلاث قارّات، ومرّ على أربعة مراكز بيانات، وانتهى في خادم يبعد عن مسقط ثمانية آلاف وستّمئة كيلومتر. الموظّف لا يعرف هذا. معظمنا لا يعرف.

هذا المقال ليس ضدّ الذكاء الاصطناعي. نحن نبنيه. لكنّه محاولة صادقة لقراءة ما يحدث فعلاً لبياناتك حين تضغط «إرسال»، ولِمَ يتحوّل هذا الفعل البسيط إلى قرار قانونيّ قد لا تكون أذنت به.

المشهد الهادئ: ما يحدث الآن، يوميّاً، في مسقط‏.

لا توجد إحصائيّة رسميّة عُمانيّة حول استعمال الذكاء الاصطناعي في أماكن العمل. لكن من تجربتنا مع أكثر من أربعين جهة (مال، حكومة، صحّة، طاقة)، يتكرّر المشهد نفسه: فريق صغير متحمّس يكتشف أنّ ChatGPT يُسرّع عمله. يبدأ الاستعمال فرديّاً. يصبح بعد أشهر ممارسة قسم كامل. نادراً ما يمرّ عبر الأمن السيبرانيّ أو الشؤون القانونيّة.

التقدير المحافظ بناءً على تقييماتنا الميدانيّة: بين ٥٨٪ و٧٢٪ من موظّفي المعرفة في القطاعَين المصرفيّ والحكوميّ يستعملون أداة ذكاء اصطناعي أجنبيّة واحدة على الأقلّ أسبوعيّاً. النسبة تتجاوز ٨٠٪ بين المحامين والمحاسبين. هذه ليست مشكلة الموظّف — هي مشكلة بنية.

• ٦٨٪ يلصقون نصوصاً من وثائق عمل فعليّة، لا أسئلة عامّة.
• ٢٣٪ فقط يعلمون أنّ هذه النصوص تُخزَّن، ولو مؤقّتاً، لدى المزوّد.
• أقلّ من ٥٪ يعلمون تحت أيّ قانون تُخزَّن.

القانون قبل التقنيّة‏.

المرسوم السلطانيّ ٦/٢٠٢٢ بإصدار قانون حماية البيانات الشخصيّة لا يمنع استعمال الخدمات الأجنبيّة. لكنّه يشترط شروطاً جوهريّة. باختصار غير قانونيّ: البيانات الشخصيّة لا تُنقَل خارج السلطنة إلّا بضمانات مكافئة للحماية المحليّة، أو بموافقة صريحة ومحدّدة الغرض من صاحب البيانات، أو في حالات استثنائيّة مُعرَّفة.

هذا يعني، عمليّاً: حين يلصق موظّف بنك في مسقط اسم عميل ورقم حسابه وتفاصيل معاملته في نافذة ChatGPT طلباً لملخّص، لم تُؤخَذ موافقة العميل محدّدة الغرض. لم يُقيَّم المزوّد كـ«ضمان مكافئ». ولم يُوثَّق النقل. ثلاث نقاط ضعف، في فعل واحد، استغرق ثلاث ثوانٍ.

رحلة طلبك: من مسقط إلى أوريغون في ٤٠٠ ميلي ثانية‏.

لنفكّك ما يحدث حين تضغط «إرسال» على سؤال يحتوي نصّاً حسّاساً:

• جهازك → شبكة مؤسّستك (هنا، أنت تتحكّم).
• الخروج عبر مزوّد الإنترنت العُمانيّ ← كابل بحريّ دوليّ. المحتوى تحت TLS، لكنّ بيانات الربط (metadata) مرئيّة.
• موزّع حمل أماميّ لدى المزوّد (Cloudflare أو AWS CloudFront) — غالباً في فرانكفورت أو دبلن.
• الخدمة الأساسيّة: OpenAI تعمل على Microsoft Azure، Anthropic على AWS وGCP. المنطقة الفعليّة عادةً US-West أو US-East.
• تخزين مؤقّت لتحليل السلامة والجودة، لمدّة ٣٠ يوماً وفق السياسة القياسيّة (قد تمتدّ استجابةً لأمرٍ قضائيّ).
• نسخ احتياطيّة ولقطات في منطقة جغرافيّة مختلفة للمرونة (Disaster Recovery).

النتيجة: نصّك الأصليّ — بما فيه اسم العميل، رقم العقد، المبلغ — موجود في سبع نسخ على الأقلّ، في خمس ولايات قضائيّة، لمدّة شهر على الأقلّ. هذا قبل أن نتحدّث عن التدريب.

«Zero-retention»: الخدعة الصغيرة التي يعرفها القليل‏.

نعم، OpenAI وAnthropic يتيحان خطّة «بدون احتفاظ» (zero retention) عبر واجهة برمجيّة مع اتّفاقيّة خاصّة. هذا حقيقيّ. الإشكال: هي مُتاحة للـ Enterprise API فقط، عبر عقدٍ موقَّع، ولا تنطبق على الواجهة العامّة التي يستعملها ٩٥٪ من موظّفيك.

الأخطر: حتّى في خطّة الـ zero-retention، البيانات تمرّ عبر البنية التحتيّة قبل أن تُحذف. التشفير أثناء النقل موجود، لكنّ الـ prompt يُفكّ تشفيره لحظة معالجته في ذاكرة الـ GPU. هذا ليس ثغرة — هو التصميم نفسه.

كلّ بريد تُلخّصه، كلّ عقد تستخرج منه بنداً، كلّ رسالة عميل تترجمها — تترك أثراً في نظامٍ قانونيّ ليس نظامك.

CLOUD Act بلا زخرفة‏.

في ٢٠١٨ أصدرت الولايات المتّحدة قانون CLOUD Act. جوهره جملة واحدة: الشركات الأمريكيّة مُلزَمة بتسليم البيانات التي تحت سيطرتها لجهات إنفاذ القانون الأمريكيّة، بغضّ النظر عن موقع الخادم. خادم Microsoft في دبلن؟ يخضع. خادم AWS في البحرين؟ يخضع. أيّ خدمة مُقدَّمة من كيان أمريكيّ، تخضع.

هذا لا يعني أنّ الحكومة الأمريكيّة تقرأ بيانات كلّ شركة عُمانيّة. يعني أنّ القناة القانونيّة موجودة، بلا إطار تعاونٍ قضائيّ مع السلطنة. وحين تُوقَّع مذكّرة، المزوّد قد لا يستطيع إبلاغك — أمر الكتمان مرافقٌ افتراضيّاً في أغلب الحالات.

ثلاث حوادث، درس واحد‏.

الخيط المشترك: ليس هجوماً خبيثاً، بل موظّف صالح يحاول إنجاز عمله أسرع. القانون لا يُميّز بين النيّتَين — العقوبة على المؤسّسة، لا على الموظّف.

• Samsung (٢٠٢٣): مهندسون لصقوا شيفرة مصدريّة سرّيّة في ChatGPT لمراجعتها. الشركة منعت الأداة داخليّاً خلال أسبوع، وأعلنت بناء بديل داخليّ.
• بنك أوروبيّ (٢٠٢٤): تسريب بيانات ١١٠٠ عميل عبر أداة ترجمة سحابيّة في خطّ الدعم. الغرامة التنظيميّة: ٣٫٢ مليون يورو.
• وزارة أوروبيّة (٢٠٢٥): تحقيق داخليّ كشف أنّ ٤٠٪ من مذكّرات مجلس الوزراء مرّت عبر أدوات ذكاء اصطناعي عامّة خلال عام. القرار: حظر فوريّ، ومنصّة داخليّة في ستّة أشهر.

ليس «امنعوا». بل «تدرّجوا»‏.

رأيٌ صريح: الحظر لا يعمل. الموظّف الذي يجد الأداة تُوفّر عليه ساعتَين يوميّاً سيجد طريقةً حولها. الحلّ المستدام هو تقديم بديلٍ داخليّ أفضل، أو على الأقلّ مكافئ. ثلاثة مستويات نضج:

• الشهر الأوّل — بوّابة مركزيّة: كلّ استعمال للذكاء الاصطناعي يمرّ عبر واجهة داخليّة تُنقّي البيانات الشخصيّة قبل إرسالها للمزوّد الأجنبيّ (data redaction gateway). تقنيّة ناضجة، تُركَّب في أسبوعَين، تُغطّي ٧٠٪ من الحالات.
• الشهور ٢-٣ — نموذج مُستضاف محليّاً: نماذج مفتوحة المصدر (Qwen، Jais، Llama) على عتاد داخل السلطنة، للمهامّ الحسّاسة (عقود، بيانات عملاء، شيفرة). تكلفة أعلى، سيادة كاملة.
• الشهور ٤-٦ — ضبط دقيق على سياقك: النموذج المحلّيّ يتعلّم لغة مؤسّستك ومصطلحاتها. الجودة ترتفع فوق الأدوات العامّة في المجال المتخصّص، لأنّك أعطيته ما لا يملكه غيره: بياناتك.

السؤال الذي يجب أن يُطرح في كلّ اجتماع مجلس إدارة عُمانيّ هذا العام‏.

ليس: «هل نستعمل الذكاء الاصطناعي؟». أنتم تستعملونه أصلاً، سواء اعترفتم أم لا. السؤال الصحيح:

«من المسؤول، بالاسم، عن معرفة أين تذهب كلّ جملة تخرج من مؤسّستنا إلى نموذج ذكاء اصطناعي؟ وما الإجراء حين تتسرّب؟»

إن لم يكن هناك جوابٌ خلال أسبوع، فأنت تعرف من أين يبدأ العمل.

خلاصة‏.

السيادة الرقميّة ليست شعاراً وطنيّاً. هي عقدٌ بينك وبين من ائتمنك على بياناته. حين يسأل عميلك غداً: «أين ذهب عقدي؟»، إجابة «في سحابةٍ ما، في مكانٍ ما» لم تعد مقبولة. الإجابة الصحيحة واحدة: أعرف، وأستطيع أن أُريَك.