# قانون حماية البيانات الشخصية العُماني ٢٠٢٢ وأثره على AI.


*ذكاء اصطناعي · سياسات · أبريل ٢٠٢٦ · ٩ دقائق قراءة*


الذكاء الاصطناعي لا يُبنى في فراغ قانوني. قانون حماية البيانات الشخصية العُماني (المرسوم ٦/٢٠٢٢) غيّر طريقة جمع البيانات، تدريب النماذج، ونقلها خارج الحدود. السؤال لم يعد: «هل النموذج دقيق؟» فقط، بل: «هل طريقة بنائه وتشغيله مشروعة؟».

الخطأ الشائع في مشاريع AI ليس تقنياً فقط؛ هو افتراض أن البيانات «متاحة» يعني أنها «قابلة للمعالجة بلا قيود». قانون حماية البيانات الشخصية في عُمان غيّر هذه المعادلة: أعطى لصاحب البيانات حقوقاً واضحة، ووضع التزامات على المتحكم والمعالج، وربط بعض المعالجات بتصاريح محددة [١].

لذلك، أي فريق يبني منتجاً ذكياً في السوق العُماني اليوم يحتاج قراءة القانون كجزء من معمارية المنتج، لا كمرفق قانوني يأتي بعد الإطلاق.


## ما الذي قرره قانون ٢٠٢٢ باختصار.
صدر القانون بالمرسوم السلطاني رقم ٦/٢٠٢٢، ونصّ على إطار عام لمعالجة البيانات الشخصية، مع تعريفات للبيانات، وصاحبها، والمتحكم، والمعالج، وحقوق الأفراد، ومسؤوليات الجهات [١].

ثم جاءت اللائحة التنفيذية (قرار وزاري ٣٤/٢٠٢٤) لتفصيل التطبيق العملي: آليات التصاريح، متطلبات المعالجة، وبعض إجراءات الامتثال التشغيلية التي تؤثر مباشرة على منتجات AI وخطوط البيانات [٢].


## أين يضرب الأثر مشاريع AI مباشرة.
- البيانات التدريبية: لا يكفي أن تكون موجودة؛ يجب أن يكون أساس المعالجة متوافقاً مع القانون وطبيعة الاستخدام [١][٢].
- البيانات الحساسة (مثل الصحية/البيومترية): تحتاج حذراً أعلى وقد تتطلب تصاريح قبل المعالجة في حالات معينة [١][٣].
- الـprompt logs ومحادثات المستخدمين: تعامل قانونياً كبيانات شخصية إذا أمكن ربطها بشخص طبيعي.
- النقل عبر الحدود: إرسال بيانات لخدمة AI خارج عُمان ليس قرار DevOps فقط؛ له التزامات تقييم وضوابط [٣].
- الاستجابة لحقوق الأفراد: طلبات الوصول/التصحيح/الحذف يجب أن تنعكس في بنية النظام وليس في بريد يدوي متأخر.


> في ٢٠٢٦، جودة نموذجك لا تُقاس بالدقة وحدها. تُقاس أيضاً بقدرتك على إثبات كيف جُمعت البيانات، وكيف عولجت، ومن وصل إليها، ولماذا.


## كيف يتغير قرار «نبني أم نشتري API».
عند شراء API خارجي، أهم سؤال ليس فقط latency أو السعر: أين تُعالج البيانات؟ هل تُخزَّن؟ ما سياسة الاستخدام للتدريب اللاحق؟ وهل يمكنك تفعيل إعدادات تمنع الاحتفاظ أو استخدام البيانات لتحسين النموذج العام؟

وعند البناء الداخلي، لا يعني ذلك تلقائياً امتثالاً. الامتثال يحتاج حوكمة وصول، سجلات معالجة، سياسات احتفاظ، وإجراءات واضحة للتعامل مع البلاغات والحقوق.


## خارطة امتثال عملية لفريق المنتج.
أفضل طريقة لتجنب المفاجآت: افصل دورة حياة البيانات إلى مراحل، ثم اربط كل مرحلة بمتطلب قانوني وتشغيلي.

- قبل الجمع: حدّد الغرض ونوع البيانات الضروري فقط (data minimization عملياً).
- أثناء الجمع: وثّق الأساس القانوني وصياغة الموافقة إن لزم.
- أثناء التدريب/الاستدلال: فعّل ضوابط وصول ومراقبة استخدام.
- قبل النقل الخارجي: نفّذ تقييم حماية وراجع المتطلبات الحدودية.
- بعد الإطلاق: منصة حقوق أصحاب البيانات + خطة بلاغات اختراق/تسريب.


## مخطط التأثير على مسار AI.
*[رسم: FIG. 1 — PDPL IMPACT ACROSS THE AI DATA LIFECYCLE (SIMPLIFIED)]*


## أخطاء نراها كثيراً.
- نسخ قواعد بيانات إنتاج كاملة إلى بيئة اختبار نماذج دون تعمية مناسبة.
- الاعتماد على بند تعاقدي عام دون خرائط تدفق بيانات فعلية.
- جمع بيانات «قد نحتاجها لاحقاً» بدل ما يلزم المهمة فعلاً.
- غياب سجل معالجة واضح يشرح من يعالج ماذا ولماذا.
- تأخير الامتثال إلى ما بعد نجاح المنتج تجارياً، ثم اكتشاف تكلفة التصحيح العالية.


## أسئلة شائعة.
- هل القانون يمنع AI؟ لا. هو ينظم معالجة البيانات الشخصية ويحدد شروطها.
- هل البيانات العامة على الإنترنت مباحة دائماً للتدريب؟ ليست بهذه البساطة؛ يجب مراجعة نطاق الاستثناءات والالتزامات [١].
- هل الشركات الناشئة مستثناة؟ لا يوجد مبدأ عام يقول إن حجم الشركة يعفيها من الالتزام.
- هل يكفي إخفاء الاسم؟ إلغاء التعريف يحتاج معياراً فعلياً؛ إذا بقي الشخص قابلاً للتعريف فالمخاطر القانونية قائمة.
- ما أول خطوة عملية؟ جرد تدفقات البيانات (data map) قبل أي قرار نموذج أو مزود.


## الخلاصة والدعوة.
قانون حماية البيانات الشخصية العُماني ٢٠٢٢ لم يأتِ ليُعطّل الابتكار، بل ليمنع الابتكار العشوائي على حساب الأفراد. الفرق بين منتج AI قابل للتوسع ومنتج مهدد بالتوقف غالباً يبدأ من هندسة الامتثال من اليوم الأول.

قبل تطوير ميزة AI جديدة هذا الأسبوع، اكتب سطراً واحداً في وثيقة المتطلبات: ما البيانات الشخصية المستخدمة؟ وعلى أي أساس قانوني؟ إذا لم تجد جواباً واضحاً، فهذه أول مشكلة يجب حلها.


## المصادر.
[١] المرسوم السلطاني ٦/٢٠٢٢ — قانون حماية البيانات الشخصية. https://qanoon.om/p/2022/rd2022006/

[٢] MTCIT — اللائحة التنفيذية لقانون حماية البيانات الشخصية (قرار ٣٤/٢٠٢٤). https://mtcit.gov.om/library-3/legislations-policies-8/regulations-72/executive-regulations-of-the-personal-data-protection-law-1035

[٣] MTCIT — بوابة حماية البيانات الشخصية (الأسئلة والإرشادات والتصاريح). https://mtcit.gov.om/sectors/governance/personal

[٤] المرسوم السلطاني ٦/٢٠٢٢ (النص الإنجليزي عبر Decree). https://decree.om/2022/rd20220006/

[٥] نقطة — ملاحظات داخلية لمواءمة مشاريع AI مع متطلبات البيانات في السوق العُماني، أبريل ٢٠٢٦ (Nuqta internal compliance notes, April 2026).