أعلنت سلطة مركز دبي المالي العالمي (DIFC Authority) عن انتهاء فترة الاستشارة العامة اليوم، الجمعة 18 يوليو 2026، بشأن ورقة الاستشارة رقم 3 لعام 2026 (Consultation Paper No. 3 of 2026) التي تحمل تعديلات جوهرية على لوائح حماية البيانات في المركز (DIFC Data Protection Regulations). التعديل يمسّ مباشرةً كل شركة داخل DIFC تعالج بيانات شخصية عبر أنظمة الذكاء الاصطناعي، ويرسم لأول مرة طريقًا رسميًا للاعتماد والشهادات المعترف بها من المفوض.
ما الذي تقترحه سلطة DIFC
طُرحت الورقة للتشاور العام في 18 يونيو 2026، لمدة ثلاثين يومًا. الهدف المُعلن: مواءمة الإطار التنظيمي لحماية البيانات مع التطور المتسارع لأنظمة الذكاء الاصطناعي داخل المركز، مع الحفاظ على وضوح القواعد وقابليتها للتطبيق العملي. المحاور الرئيسية ثلاثة: تعزيز المادة 10، استحداث المادة 11، وتوضيح دور مسؤول الأنظمة المستقلة (Autonomous Systems Officer — ASO).
في تصريحه بمناسبة إطلاق الاستشارة، قال جاك فيسر (Jacques Visser)، المستشار القانوني الأول لسلطة DIFC:
"DIFC is pleased to launch this consultation on the proposed amendments to the DIFC Data Protection Regulations. As the use of AI and data-driven systems continues to develop, it is important that the regulatory framework remains practical, clear and able to respond to the way these technologies are being used."
ما يقوله فيسر بلغة عملية: المنظّم لن يجمّد قواعده. سيتحرّك مع التقنية، لا خلفها. وهذه إشارة تصل بوضوح إلى مجالس إدارة الشركات المالية التقنية والبنوك ومزوّدي خدمات البيانات داخل المركز.
المادة 10: الاختصاص الأصلي للذكاء الاصطناعي في التطبيق
المادة 10 في صيغتها المعدّلة تشدّد التوقعات المتعلقة بـ«التطوير الآمن والأخلاقي وحماية الخصوصية بحكم التصميم في اختصاص قضائي أصلي للذكاء الاصطناعي» (safe, ethical and privacy by design in an AI-native jurisdiction). المصطلح الأخير — AI-native jurisdiction — ليس شعارًا تسويقيًا. هو موقف تشريعي يُلزم مطوّري ومشغّلي أنظمة الذكاء الاصطناعي التي تعالج بيانات شخصية بأن يبنوا الحماية داخل بنية النظام، لا حولها.
عمليًا، هذا يعني أن مبدأ «الخصوصية بحكم التصميم» يتحوّل من التزام مبدئي إلى معيار قابل للتدقيق: مراجعة معمارية النموذج، تقييم أثر المعالجة على الأفراد، ضوابط تقليل البيانات المُدخَلة، وتوثيق قرارات التطوير وسجلات التدريب. الشركات التي تكتفي بسياسة خصوصية معلّقة على الموقع ستجد نفسها خارج المعيار المطلوب.
المادة 11: الاعتماد والشهادات
هذه هي الإضافة الأبرز في الورقة. المادة 11 الجديدة تمنح مفوض حماية البيانات (Commissioner) صلاحية الاعتراف الرسمي بأُطر الاعتماد والشهادات (accreditation and certification frameworks). للمرة الأولى، يحصل السوق على قناة تنظيمية معلنة لإثبات الامتثال عبر شهادة معترف بها من المفوض نفسه، لا مجرد تدقيق داخلي أو شهادة عامة.
القيمة العملية لهذه المادة كبيرة. الشركات المالية التقنية والبنوك ومزوّدو خدمات البيانات في DIFC كانوا يعتمدون سابقًا على تدقيقات داخلية أو شهادات دولية عامة، مثل ISO/IEC 27001 لأمن المعلومات وISO/IEC 42001 لإدارة الذكاء الاصطناعي. المادة 11 تفتح احتمال ظهور إطار خاص بـ DIFC، أو ترتيبات اعتراف متبادل مع أُطر دولية، تُترجَم إلى ميزة تنافسية موثّقة عند التعامل مع العملاء المؤسسيين والجهات الرقابية في ولايات قضائية أخرى.
دور ASO — إيضاح جديد
مسؤول الأنظمة المستقلة (ASO) دور نشأ في DIFC ضمن الإطار الأول لتنظيم الأنظمة المستقلة. ورقة الاستشارة الحالية لا تُنشئ الدور، بل تُحدّد ملامحه بدقة أكبر: متطلبات الشهادة، حدود المسؤولية، والعلاقة مع مفوض حماية البيانات ومع مسؤول حماية البيانات (Data Protection Officer — DPO) الكلاسيكي.
الفارق بين ASO و DPO يستحق التوضيح. مسؤول حماية البيانات ينظر إلى دورة حياة البيانات الشخصية: جمع، معالجة، تخزين، حذف. مسؤول الأنظمة المستقلة ينظر إلى سلوك النظام نفسه: قراراته الآلية، تحيّزاته، حالات الفشل، ومدى قابليته للتفسير. في شركة تشغّل نماذج ذكاء اصطناعي مؤثرة على قرارات العملاء — تسعير، منح ائتمان، توصية منتجات — الدوران مكمّلان لا بديلان.
ما الذي يجب أن تفعله شركات DIFC الآن
تاريخ سريان التعديلات لم يُعلن بعد. لكن المشهد التشريعي واضح المعالم، والتحضير الجاد يستغرق أسابيع، لا أيامًا. النقاط العملية للفِرَق القانونية وفِرَق الامتثال:
- جرد أنظمة الذكاء الاصطناعي: حصر شامل لكل نموذج ونظام يعالج بيانات شخصية داخل الشركة، بما في ذلك أدوات SaaS الخارجية ومساعدو الذكاء الاصطناعي المدمجون في سير العمل اليومي.
- تقييم أثر حماية البيانات (DPIA): مراجعة أو إعداد تقييمات محدّثة تعكس متطلبات «الخصوصية بحكم التصميم» في صيغتها المعزّزة، مع توثيق واضح للمخاطر وتدابير التخفيف.
- هيكلة الأدوار: تحديد ما إذا كانت الشركة بحاجة إلى ASO مستقل، أو دمج المهام مع مسؤول حماية البيانات الحالي، مع توثيق منطق القرار للرجوع إليه عند التدقيق.
- خارطة الاعتماد: دراسة الأُطر الدولية القائمة (ISO/IEC 42001 لإدارة الذكاء الاصطناعي مثالاً) لتقييم أيّها يُرجَّح أن يعترف به المفوض لاحقًا ضمن المادة 11.
- مراجعة العقود: بنود مشاركة البيانات مع مزوّدي نماذج الذكاء الاصطناعي تحتاج إعادة صياغة لتعكس المسؤولية عن الامتثال داخل DIFC، خصوصًا عند نقل البيانات خارج المركز أو عبر واجهات API.
مركز دبي المالي العالمي يضم اليوم أكثر من 46,000 شركة، وهو أكبر مركز مالي في منطقة الشرق الأوسط وشمال أفريقيا وجنوب آسيا (MENASA). اختصاصه القضائي قائم على القانون العام الأنجلوسكسوني (Common Law)، ومنظّمه المستقل لحماية البيانات — مفوض حماية البيانات في DIFC — يعمل خارج نطاق قانون حماية البيانات الشخصية الاتحادي (Federal PDPL). لذلك، الامتثال داخل المركز مسار مستقل يحتاج قراءة قانونية دقيقة، لا نسخًا من ترتيبات الجهات الاتحادية.
المصادر والخطوات التالية
النص الكامل لورقة الاستشارة وآلية تقديم الملاحظات متاحان على الصفحة الرسمية للمركز: difc.com — DIFC Consultation on Amended Data Protection Regulations. بعد اليوم، تدخل الورقة مرحلة معالجة الملاحظات المستلمة، وتصدر السلطة النص النهائي المعتمد، يليه إعلان تاريخ السريان الرسمي.
فريق Garant Business Consultancy يتابع تطورات الاستشارة عن كثب، ويعمل مع عملاء المركز على تجهيز خرائط الامتثال قبل صدور النص النهائي. للاستفسار حول تقييم أثر التعديلات على شركة بعينها، أو لإعداد جرد أنظمة الذكاء الاصطناعي وتحديث تقييمات DPIA، يمكن التواصل مع فريق حماية البيانات وتنظيم المراكز المالية.


