دليل الامتثال للذكاء الاصطناعي في الإمارات: قانون حماية البيانات الشخصية (PDPL) والتعميم 10 لمركز دبي المالي العالمي (DIFC)
ينظّم الذكاء الاصطناعي والبيانات في الإمارات نظامان منفصلان. وتخضع معظم الأعمال لواحد منهما على الأقل — وكثير منها لا يعرف لأيّهما.
يعني نشر الذكاء الاصطناعي في الإمارات العمل ضمن نظامين متمايزين لحماية البيانات: قانون حماية البيانات الشخصية الاتحادي (PDPL، المرسوم بقانون رقم 45/2021) للأعمال في البر الرئيسي، وقانون حماية البيانات في مركز دبي المالي العالمي مع التعميم 10 بشأن المعالجة الآلية للمنشآت العاملة داخل مركز دبي المالي العالمي. والإطاران غير متبادلين — فالعمل داخل DIFC لا يخضع لقانون حماية البيانات الشخصية الاتحادي، والعمل في البر الرئيسي لا تترتب عليه التزامات بموجب التعميم 10 لمركز دبي المالي العالمي. وتعمل كثير من الشركات الصغيرة والمتوسطة في الإمارات عبر الولايتين القضائيتين معاً وتترتب عليها التزامات بموجب كليهما. يرسم هذا الدليل الالتزامات الرئيسية للأعمال التي تنشر نماذج لغوية كبيرة، أو أنظمة الاسترجاع المعزز بالتوليد، أو سير عمل مدعوم بالذكاء الاصطناعي.
ماذا يعني هذا لأعمالك
- حدّد الولاية القضائية (أو الولايات القضائية) المنطبقة على أعمالك — قانون حماية البيانات الشخصية في البر الرئيسي، أو قانون حماية البيانات في DIFC، أو لوائح حماية البيانات في ADGM، أو أكثر من واحدة
- أجرِ تقييم أثر حماية البيانات (DPIA) قبل نشر ذكاء اصطناعي يعالج بيانات شخصية على نطاق واسع أو بطرق مستحدثة
- قدّم إشعارات الشفافية للأفراد الذين يعالج نظام الذكاء الاصطناعي بياناتهم — بما في ذلك الغرض من النظام ومخرجاته وضماناته
- أرسِ أساساً قانونياً لكل فئة من البيانات الشخصية التي يعالجها نظام الذكاء الاصطناعي لديك
- ارسم خرائط تدفقات البيانات العابرة للحدود — فإن انتقلت البيانات بين البر الرئيسي والمناطق الحرة، أو خارج الإمارات، فإن الضمانات مطلوبة
إنفاذ كامل منذ يناير 2026. ثلاثة متطلبات للشفافية، وتقييمات أثر إلزامية مع غرامات موثَّقة.
الرعاية الصحيةسجلات المرضى وبيانات المواعيد والذكاء الاصطناعي السريري بموجب قانون حماية البيانات الشخصية. هل يمكن لعيادتك استخدام ChatGPT مع بيانات المرضى؟
القانونسرية العملاء تلتقي بالذكاء الاصطناعي. التزامات DIFC والبر الرئيسي للمكاتب التي تُشغّل نظام الاسترجاع المعزز بالتوليد على أرشيفات القضايا.
العقاراتهوية المشتري وسجلات المعاملات وبيانات العملاء المحتملين بموجب قانون حماية البيانات الشخصية. ما يجب على شركات الوساطة معرفته.
كيف يعالج الذكاء الاصطناعي المحلي هذه الالتزامات
يعالج النشر المحلي للنموذج اللغوي الكبير أكثر ثغرات الامتثال شيوعاً: مغادرة البيانات لبيئتك. فعندما يعمل النموذج على أجهزتك الخاصة داخل الإمارات، لا تصل استعلامات موظفيك وبيانات عملائك إلى أي واجهة برمجة تطبيقات خارجية. لا نقل عابر للحدود، ولا معالج خارجي تضيفه إلى تقييم أثر حماية البيانات لديك، ولا معالج فرعي سحابي تفصح عنه. وهذا لا يلغي التزامات الامتثال الواقعة عليك — فما زلت بحاجة إلى إشعارات الشفافية وتقييمات أثر حماية البيانات وأساس قانوني — لكنه يزيل أكثر المساحات عرضةً للمخاطر.
الأسئلة الشائعة
- هل ينطبق قانون حماية البيانات الشخصية على عملي في دبي؟
- إذا كان عملك مسجلاً في البر الرئيسي للإمارات (وليس في منطقة حرة مالية مثل DIFC أو ADGM)، فإن قانون حماية البيانات الشخصية الاتحادي (PDPL، المرسوم بقانون رقم 45/2021) ينطبق عليك. أما المنشآت المسجلة في DIFC وADGM فتعمل ضمن أنظمة حماية بيانات منفصلة خاصة بها وتُعفى من قانون حماية البيانات الشخصية الاتحادي — لكن قد تترتب عليها التزامات موازية بموجب قانون حماية البيانات في DIFC رقم 5/2020 أو لوائح حماية البيانات في ADGM.
- ما تقييم أثر حماية البيانات ومتى أحتاج إليه؟
- تقييم أثر حماية البيانات (DPIA) هو تقييم موثَّق للمخاطر يبيّن كيف يؤثر نشاط معالجة ما في خصوصية الأفراد. وبموجب المادة 21 من قانون حماية البيانات الشخصية، يكون تقييم أثر حماية البيانات مطلوباً عندما تنطوي المعالجة على تقنيات جديدة يُرجَّح أن تنشئ مخاطر عالية، أو على تقييم آلي منهجي لجوانب شخصية — وهو ما يغطي بالتفسير معظم عمليات نشر النماذج اللغوية الكبيرة وأنظمة الاسترجاع المعزز بالتوليد. وبموجب قانون DIFC (المعدَّل في يوليو 2025)، يؤدي عدم إجراء تقييم أثر حماية البيانات الإلزامي إلى غرامة قصوى قدرها 50,000 دولار أمريكي بموجب المادة 20 من قانون حماية البيانات في مركز دبي المالي العالمي (بعد رفعها من 20,000 دولار بموجب تعديل يوليو 2025).
- هل يمكن لعمل إماراتي استخدام ChatGPT أو Azure OpenAI مع بيانات العملاء؟
- فقط مع وجود ضمانات مناسبة. فإرسال البيانات الشخصية للعملاء إلى مزود ذكاء اصطناعي سحابي يُنشئ نقلاً عابراً للحدود (إذ تجري المعالجة على خوادم خارج الإمارات) ويضيف معالجاً خارجياً إلى تقييم أثر حماية البيانات لديك. وبالنسبة للفئات الحساسة — البيانات الصحية للمرضى، والسجلات المالية، والملفات القانونية — يكون ملف المخاطر أعلى بكثير. ويُلغي النشر المحلي هذا النقل بالكامل. ملاحظة: حتى مطلع عام 2026، لم تنشر هيئة حماية البيانات الإماراتية قائمة رسمية بالدول ذات المستوى الملائم لحماية البيانات، مما يعني أن المنظمات ملزمة باستخدام البنود التعاقدية النموذجية أو قواعد الشركات الملزمة أو الموافقة الصريحة أو أي آلية أخرى مدرجة في المواد 22–23 من قانون حماية البيانات الشخصية لتبرير أي نقل عابر للحدود.
- ما الفرق بين قانون حماية البيانات الشخصية في البر الرئيسي والتعميم 10 لمركز دبي المالي العالمي؟
- ينطبق قانون حماية البيانات الشخصية الاتحادي (المرسوم بقانون رقم 45/2021) في عموم البر الرئيسي للإمارات ويضع التزامات عامة لحماية البيانات الشخصية، تشمل الأساس القانوني وحقوق أصحاب البيانات وتقييمات أثر حماية البيانات للمعالجة العالية المخاطر. أما التعميم 10 لمركز دبي المالي العالمي بشأن المعالجة الآلية فهو ملحق خاص بالذكاء الاصطناعي لقانون حماية البيانات في DIFC رقم 5/2020، دخل الإنفاذ الكامل منذ يناير 2026، ويتطلب إشعارات شفافية محددة لأنظمة الذكاء الاصطناعي ويفرض تقييمات أثر حماية البيانات للذكاء الاصطناعي العالي المخاطر — مع غرامة قصوى قدرها 50,000 دولار أمريكي عن عدم إجراء تقييم أثر حماية البيانات بموجب المادة 20 (قانون تعديل DIFC، يوليو 2025).