الذكاء الاصطناعي وحماية البيانات الشخصية في الإمارات: المسؤولية القانونية في العصر الرقمي

مقدمة حول الذكاء الاصطناعي وحماية البيانات الشخصية

يشهد العالم تحولاً نوعياً جذرياً بفعل التطور المتسارع لتقنيات الذكاء الاصطناعي، والتي لم تعد تقتصر على المجالات التقنية البحتة، بل امتدت آثارها إلى مختلف القطاعات المهنية والقانونية والاقتصادية، بما في ذلك مهنة المحاماة. فقد أصبح الذكاء الاصطناعي قادرًا على إجراء الأبحاث القانونية، وصياغة العقود، وتحليل السوابق القضائية، والتنبؤ بالمخاطر القانونية، بل والمساهمة في دعم اتخاذ القرار القانوني.

إلا أن هذا التطور التقني الهائل يثير في المقابل إشكاليات قانونية وأخلاقية معقدة، تتعلق على وجه الخصوص بحماية البيانات الشخصية، والخصوصية الرقمية، وسرية المعلومات، ومدى مسؤولية الجهات التي تستخدم أنظمة الذكاء الاصطناعي أو تطورها، فضلًا عن حدود الاعتماد على الأنظمة المؤتمتة في اتخاذ قرارات قد تؤثر بصورة مباشرة على حقوق الأفراد وحرياتهم.

وفي هذا السياق، برزت الحاجة إلى إيجاد توازن دقيق بين تشجيع الابتكار التقني والاستفادة من قدرات الذكاء الاصطناعي، وبين ضمان حماية الحقوق الأساسية للأفراد، وفي مقدمتها الحق في الخصوصية وحماية البيانات الشخصية.

في دولة الامارات العربية المتحدة، لا تقتصر حماية البيانات الشخصية على التنظيم التشريعي الوارد في المرسوم بقانون اتحادي رقم (45) لسنة 2021 بشأن حماية البيانات الشخصية، بل تستند كذلك إلى حماية دستورية أوسع للحق في الخصوصية والحياة الخاصة، باعتبارها من الحقوق المرتبطة بكرامة الإنسان وحرياته الأساسية. كما كرّس المشرع الاماراتي من خلال تشريعات مكافحة الجرائم الإلكترونية، الحماية الجنائية للبيانات والأنظمة المعلوماتية، بما يعكس توجهًا تشريعيًا متكاملاً نحو حماية الهوية الرقمية والخصوصية في البيئة الإلكترونية.  إذ يُلاحظ بأن المشرّع الإماراتي لم يتعامل مع حماية البيانات الشخصية بوصفها مجرد التزام تقني محدود، بل بوصفها جزءًا من منظومة متكاملة للحوكمة الرقمية وإدارة المخاطر والامتثال الوقائي، بما ينسجم مع التحولات العالمية في الاقتصاد الرقمي وتطبيقات الذكاء الاصطناعي.

الذكاء الاصطناعي ومعالجة البيانات الشخصية

أولًا: الذكاء الاصطناعي ومعالجة البيانات الشخصية:

تعتمد أنظمة الذكاء الاصطناعي الحديثة، ولا سيما تقنيات التعلم الآلي (Machine Learning) والتعلم العميق (Deep Learning)، على تحليل كميات هائلة من البيانات بهدف التدريب واستخلاص الأنماط والتوقعات واتخاذ القرارات. وغالبًا ما تتضمن هذه البيانات معلومات شخصية أو حساسة تتعلق بالأفراد، مثل الأسماء، والصور، والمواقع الجغرافية، والبيانات الصحية أو المالية أو السلوكية.

وقد عرّف المشرّع الإماراتي في المادة الأولى من المرسوم بقانون اتحادي رقم (45) لسنة 2021 البيانات الشخصية بأنها: “أي بيانات تتعلق بشخص طبيعي محدد، أو تتعلق بشخص طبيعي يمكن التعرف عليه بشكل مباشر أو غير مباشر من خلال الربط بين البيانات، من خلال استخدام عناصر التعريف كإسمه، أو صوته، أو صورته، أو رقمه التعريفي، أو المعرف الإلكتروني الخاص به، أو موقعه الجغرافي، أو صفة أو أكثر من صفاته الشكلية أو الفسيولوجية، أو الاقتصادية، أو الثقافية، أو الاجتماعية، وتشمل البيانات الشخصية الحساسة والبيانات الحيوية البيو مترية”.

 ومن هنا، فإن استخدام الذكاء الاصطناعي لا يمكن فصله عن قواعد حماية البيانات الشخصية، خصوصًا عندما تكون الأنظمة المعتمدة قائمة على تحليل بيانات العملاء أو المستخدمين أو المرضى أو المتقاضين.

يُلاحظ من التعريف السابق ان نطاق الحماية في القانون الإماراتي يقتصر – كأصل عام -على بيانات الأشخاص الطبيعيين، ولا يمتد بصورة مباشرة إلى بيانات الشركات أو الأشخاص الاعتباريين، إلا أن الواقع العملي للاقتصاد الرقمي يجعل من الصعب الفصل الكامل بين بيانات الشركات والبيانات الشخصية، خاصة في ظل اعتماد الشركات الحديثة على قواعد بيانات تتضمن معلومات الموظفين والعملاء والمستخدمين والموردين. الأمر الذي يجعل أي اختراق أو إساءة استخدام بيانات الشركات يؤدي بصورة غير مباشرة إلى المساس بالبيانات الشخصية الخاضعة للحماية القانونية.

البيانات الشخصية الحساسة والبيانات البيو مترية:

عرف المشرّع الإماراتي البيانات الشخصية الحساسة بأنها: “أي بيانات تكشف بشكل مباشر أو غير مباشر عن عائلة الشخص الطبيعي أو أصله العرقي أو آرائه السياسية أو الفلسفية أو معتقداته الدينية، أو سجل السوابق الجنائية الخاص به، أو بيانات القياسات الحيوية البيو مترية الخاصة به، أو أي بيانات تتعلق بصحة هذا الشخص وتشمل حالته الجسدية أو النفسية أو الذهنية أو العقلية أو البدنية أو الجينية أو الجنسية، بما في ذلك المعلومات المتعلقة بتوفير خدمات الرعاية الصحية له التي تكشف عن وضعه الصحي”.

كما عرّف البيانات الحيوية البيو مترية بأنها: “ البيانات الشخصية الناتجة عن المعالجة باستخدام تقنية محددة تتعلق بالخصائص الجسدية أو الفسيولوجية أو السلوكية لصاحب البيانات، والتي تسمح بتحديد أو تؤكد التحديد الفريد لصاحب البيانات، مثل صورة الوجه أو بيانات البصمة”.

وتكتسب هذه البيانات حساسية استثنائية لارتباطها المباشر بهوية الإنسان وخصوصيته، ولصعوبة تغييرها أو استبدالها في حال اختراقها أو إساءة استخدامها، بخلاف كلمات المرور أو البيانات التقليدية.

الأساس القانوني لمعالجة البيانات الشخصية:

الأصل في معالجة البيانات الشخصية هو الحصول على موافقة صاحب البيانات. إلا أن المشرّع الإماراتي أجاز في المادة (4) من المرسوم بقانون سالف الذكر، معالجة البيانات دون موافقة صاحبها، واعتبرها مشروعة في حالات استثنائية حددها على النحو الآتي: 

• ان تكون المعالجة ضرورية لحماية المصلحة العامة، 
• ان تكون المعالجة مرتبطة بالبيانات الشخصية التي أصبحت متاحة ومعلومة للكافة بفعل من صاحب البيانات.  
• ان تكون المعالجة ضرورية لإقامة أي من إجراءات المطالبة بالحقوق والدعاوى القانونية او الدفاع عنها او تتعلق بالإجراءات القضائية أو الأمنية، 
• ان تكون المعالجة ضرورية لأغراض الطب المهني او الوقائي من اجل تقييم قدرة الموظفين على العمل او التشخيص الطبي او تقديم الرعاية الصحية او الاجتماعية او العلاج او خدمات التأمين الصحي او إدارة أنظمة وخدمات الرعاية الصحية والأدوية والعقاقير والأجهزة الطبية وفقاً للتشريعات السارية في الدولة.  
• ان تكون المعالجة ضرورية لحماية الصحة العامة (الحماية من الامراض السارية والاوبئة او لأغراض سلامة وجودة الرعاية الصحية والأدوية والعقاقير والأجهزة الطبية وفقاً للتشريعات السارية في الدولة).
• ان تكون المعالجة لأغراض ارشيفية او دراسات علمية وتاريخية واحصائية وفقاً للتشريعات السارية في الدولة. 
• ان تكون المعالجة ضرورية لحماية مصالح صاحب البيانات.
• ان تكون المعالجة ضرورية لأغراض قيام المتحكم او صاحب البيانات بالتزاماته ومباشرة حقوقه المقررة قانوناً في مجال التوظيف او الضمان الاجتماعي او القوانين المعنية بالحماية الاجتماعية وذلك بالقدر الذي يسمح به في تلك القوانين. 
• ان تكون المعالجة ضرورية لتنفيذ عقد يكون صاحب البيانات طرفاً فيه او لاتخاذ إجراءات بناء على طلب صاحب البيانات بهدف ابرام عقد او تعديله او انهائه. 
• ان تكون المعالجة ضرورية لتنفيذ التزامات محددة في قوانين أخرى في الدولة على المتحكم.
• اية حالات أخرى تحددها اللائحة التنفيذية لهذا المرسوم بقانون. 

وتكتسب هذه الاستثناءات أهمية خاصة في بيئة الذكاء الاصطناعي، نظرًا لاعتماد العديد من التطبيقات الذكية على معالجة كميات ضخمة من البيانات لأغراض البحث أو التحليل أو التنبؤ أو الرعاية الصحية أو إدارة المخاطر، وهو ما يجعل مسألة تحديد الأساس القانوني للمعالجة من أكثر المسائل تعقيدًا في الأنظمة الرقمية الحديثة.

ثانيًا: المسؤولية القانونية عن أنظمة الذكاء الاصطناعي:

يعد تحديد المسؤولية القانونية عن القرارات أو النتائج التي تنتجها الأنظمة الذكية، أحد أبرز الإشكالات القانونية الحديثة. فهل تقع المسؤولية على:

• مطور النموذج؟
• مزود النظام؟ 
• المستخدم النهائي؟ 
• أم الجهة التي تعتمد مخرجات النظام لاتخاذ القرار؟ 

وقد عالج قانون الاماراتي هذه المسألة بصورة غير مباشرة من خلال التفرقة ما بين المتحكم والمعالج. 

إذ عرف “المتحكم” بأنه المنشأة او الشخص الطبيعي الذي لديه بيانات شخصية، وبحكم نشاطه يقوم بتحديد طريقة وأسلوب ومعايير معالجة هذه البيانات الشخصية والغاية من معالجتها، سواء بمفرده أو بالاشتراك مع أشخاص أو منشآت أخرى؛ 

بينما عرف “المعالج”، بأنه المنشأة أو الشخص الطبيعي الذي يعالج البيانات الشخصية نيابة عن المتحكم، وذلك باستخدام أي وسيلة من الوسائل الإلكترونية بما فيها وسيلة المعالجة وغيرها من الوسائل الأخرى، بحيث يقوم بمعالجتها تحت توجيهاته ووفقاً لتعليماته (وتشمل عملية المعالجة جمع البيانات الشخصية، أو تخزينها، أو تسجيلها أو تنظيمها أو تكييفها أو تعديلها، أو تداولها، أو تحويرها، أو استرجاعها، أو تبادلها، أو مشاركتها، أو استعمالها، أو توصيفها، أو الإفصاح عنها عن طريق بثها أو نقلها أو توزيعها أو إتاحتها أو تنسيقها أو دمجها أو تقييدها أو حجبها أو محوها أو إتلافها أو إنشاء نماذج لها). 

بالتالي، فإن الجهة التي تستخدم نظام الذكاء الاصطناعي في معالجة البيانات أو اتخاذ القرارات تبقى مسؤولة قانونًا عن مشروعية تلك المعالجة، حتى وإن استعانت بمزود تقني خارجي.

ويلاحظ ان المشرع الاماراتي، رغم اعترافه بالمعالجة المؤتمتة (اي المعالجة التي تتم باستخدام برنامج أو نظام إلكتروني، يعمل بطريقة آلية وتلقائية إما بشكل مستقل كلياً دون أي تدخل بشري أو بشكل جزئي بإشراف وتدخل بشري محدود)، فإنه لم يمنح أنظمة الذكاء الاصطناعي أي شخصية قانونية مستقلة، الأمر الذي يعني بقاء المسؤولية القانونية مرتبطة بالأشخاص الطبيعيين أو الاعتباريين القائمين على تطوير النظام أو تشغيله أو الاعتماد على مخرجاته. وبالتالي، فإن الذكاء الاصطناعي يُنظر إليه قانونًا باعتباره أداة تقنية، لا فاعلًا قانونيًا مستقلاً.

المسؤولية التنظيمية والتقنية:

يتضح من البناء التشريعي للمرسوم بقانون رقم (45) لسنة 2021، أن المشرّع اتجه نحو تبني نموذج “المسؤولية التنظيمية” (Regulatory Liability)، حيث لم يقتصر على منح الأفراد حقوقًا خاصة، بل أنشأ منظومة رقابية متكاملة قائمة على الالتزام الوقائي والامتثال المسبق والرقابة الإدارية المستمرة وإدارة المخاطر الرقمية. 

فالمشرع الاماراتي حدد ضوابط عدة لمعالجة البيانات الشخصية، بأن تكون المعالجة: 

• بطريقة عادلة، شفافة ومشروعة. 
• ان تكون تلك البيانات قد جمعت لغرض محدد وواضح وألا يتم معالجتها في أي وقت لاحق على نحو يتنافى مع ذلك الغرض (ومع ذلك يجوز معالجتها في حال كان الغرض منها مشابه او متقارب مع الغرض الذي جمعت من اجله البيانات). 
• ان تكون البيانات كافية ومقتصرة على ما هو ضروري وفقاً للغرض الذي من اجله تمت المعالجة. 
• ان تكون البيانات الشخصية دقيقة وصحيحة وان تخضع للتحديث متى اقتضى الامر ذلك. 
• أن تتوفر تدابير وإجراءات لضمان محو أو تصحيح البيانات الشخصية غير الصحيحة. 
• أن تكون البيانات الشخصية محفوظة بشكل آمن بما فيها حمايتها من اي انتهاك أو اختراق أو معالجة غير مشروعة أو غير مصرح بها من خلال وضع واستخدام تدابير وإجراءات تقنية وتنظيمية ملائمة وفق القوانين والتشريعات السارية في هذا الشأن.
• عدم الاحتفاظ بالبيانات الشخصية بعد استنفاد الغرض من معالجتها، ويجوز الإبقاء عليها في حال تم إخفاء هوية صاحب البيانات باستخدام خاصية “آلية إخفاء الهوية”.
• واية ضوابط أخرى تحددها اللائحة التنفيذية لهذا المرسوم بقانون.

اما المادة (7) فألزمت واوجبت على المتحكم اتخاذ الإجراءات والتدابير التقنية والتنظيمية الملائمة لتطبيق المعايير القياسية اللازمة لحماية البيانات الشخصية حفاظاً على سريتها وخصوصيتها، وضمان سلامتها وعدم اختراقها او اتلافها او تغييرها او العبث بها، مع مراعاة طبيعة ونطاق واغراض المعالجة واحتمالية وجود مخاطر على سريتها وخصوصيتها لصاحب البيانات. 

وألزمت المتحكم بتطبيق التدابير الملائمة سواء اثناء تحديد وسائل المعالجة او اثناء المعالجة نفسها، وتشمل هذه التدابير آلية إخفاء البيانات، وتطبيق التدابير التقنية والتنظيمية الملائمة بالنسبة للإعدادات التلقائية، ومسك سجل خاص للبيانات الشخصية ، على أن يتضمن هذا السجل بيانات كل من المتحكم ومسؤول حماية البيانات ، وبيان وصف فئات البيانات الشخصية لديه ، وبيانات الأشخاص المصرح لهم بالوصول إلى البيانات الشخصية ، والمدد الزمنية للمعالجة وقيودها ونطاقها ، وألية محو البيانات الشخصية أو تعديلها أو معالجتها لديه ، والغرض من المعالجة ، وأي بيانات متعلقة بحركة ومعالجة تلك البيانات عبر الحدود ، وبيان الإجراءات التقنية والتنظيمية الخاصة بأمن المعلومات وعمليات المعالجة. على أن يقوم المتحكم بتوفير هذا السجل للمكتب متى ما طلب منه ذلك، وتعيين المعالج الذي يتوفر لديه ضمانات كافية لتطبيق التدابير التقنية والتنظيمية على نحو يضمن استيفاء المعالجة لمتطلبات وقواعد وضوابط المعالجة المنصوص عليها في هذا المرسوم بقانون ولائحته التنفيذية والقرارات الصادرة تنفيذاً له، واخيراً وليس آخراً، يلتزم المتحكم بتزويد المكتب، وبناء على قرار من الجهة القضائية المختصة، بأي معلومات يطلبها تنفيذا لاختصاصاته الواردة في هذا المرسوم بقانون ولائحته التنفيذية.، فضلاً عن أي التزامات أخرى تحددها اللائحة التنفيذية.  

وفي المقابل، نظمت المادة (8) التزامات “المعالج”، حيث الزمته بإجراء المعالجة وتنفيذها وفقاً لتعليمات المتحكم ووفقاً للعقود والاتفاقات المبرمة بينهما التي تحدد على وجه الخصوص نطاق المعالجة وموضوعها وغرضها وطبيعتها ونوع البيانات الشخصية وفئات أصحاب البيانات. كما الزمته بتطبيق الإجراءات والتدابير التقنية والتنظيمية الملائمة لحماية البيانات الشخصية في مرحلة التصميم سواء أثناء تحديد وسائل المعالجة أو أثناء المعالجة نفسها ، على أن تراعى فيها تكلفة تطبيق هذه الإجراءات والتدابير وطبيعة المعالجة ونطاقها وأغراضها، واوجبت عليه إجراء المعالجة وفق الغرض والمدة المحددة لها، ومحو البيانات بعد انقضاء مدة المعالجة أو تسليمها للمتحكم، وعدم القيام بأي عمل من شأنه الإفصاح عن البيانات الشخصية أو نتائج المعالجة إلا في الأحوال المصرح بها قانوناً وحماية وتأمين عملية المعالجة وتأمين الوسائط والأجهزة الإلكترونية المستخدمة في المعالجة وما عليها من بيانات شخصية، ومسك سجل خاص للبيانات الشخصية التي تتم معالجتها نيابة عن المتحكم، على أن يتضمن هذا السجل بيانات كل من المتحكم والمعالج ومسؤول حماية البيانات وبيان وصف فئات البيانات الشخصية لديه ، وبيانات الأشخاص المصرح لهم بالوصول إلى البيانات الشخصية ، والمدد الزمنية للمعالجة وقيودها ونطاقها ، وآلية محو البيانات الشخصية أو تعديلها أو معالجتها لديه ، والغرض من المعالجة ، وأي بيانات متعلقة بحركة ومعالجة تلك البيانات عبر الحدود ، وبيان الإجراءات التقنية والتنظيمية الخاصة بأمن المعلومات وعمليات المعالجة على أن يقوم المعالج بتوفير هذا السجل للمكتب متى ما طُلب منه ذلك . فضلا ً عن الزامه بتوفير كافة الوسائل لإثبات التزامه بتطبيق أحكام هذا المرسوم بقانون عند طلب المتحكم أو المكتب ذلك ، وإجراء المعالجة وتنفيذها طبقاً للقواعد والاشتراطات والضوابط المحددة بهذا المرسوم بقانون ولائحته التنفيذية أو التي يصدر بموجبها تعليمات من المكتب، وفي حال اشترك أكثر من معالج في عملية المعالجة ، يجب أن تنفذ المعالجة وفقاً لعقد أو اتفاق مكتوب يحدد بموجبه بشكل واضح التزاماتهم ومسؤولياتهم وأدوارهم حول عملية المعالجة ، وإلا اعتبروا مسؤولين بالتضامن عن الالتزامات والمسؤوليات الواردة في هذا المرسوم بقانون ولائحته التنفيذية .

ثالثاً: المسؤولية القائمة على المخاطر والحكومة الوقائية:

يلاحظ ان المشرع الإماراتي تبنى بصورة واضحة نموذج “المسؤولية القائمة على المخاطر” (Risk-Based Approach)، وهو اتجاه حديث في تشريعات حماية البيانات والحوكمة الرقمية، يقوم على ان حجم الالتزامات القانونية والتقنية يزداد تبعاً لمدى حساسية البيانات، وطبيعة التكنولوجيا المستخدمة، وحجم المعالجة المؤتمتة، واحتمالية تأثيرها على حقوق الافراد وحرياتهم. 

ويتجلى هذا التوجه بصورة خاصة في المواد 7و10و20و21 من المرسوم بقانون. فكلما زادت مخاطر المعالجة او تعلقت البيانات ببيانات حساسة او بيو مترية او بعمليات تنميط وتحليل مؤتمت، ازدادت في المقابل مسؤوليات المتحكم والمعالج، سواء من حيث الحماية التقنية، او التقييم المسبق للمخاطر، او الرقابة البشرية، او متطلبات الامتثال والحوكمة. 

ومن ثم، فإن المسؤولية القانونية في بيئة الذكاء الاصطناعي لم تعد مسؤولية تقليدية تقوم فقط على وقوع الخطأ أو الضرر، وإنما أصبحت مسؤولية وقائية واستباقية تهدف إلى منع المخاطر قبل وقوعها.

ومن أبرز صور الحوكمة الوقائية التي تبناها القانون الإماراتي “تقييم أثر حماية البيانات الشخصية”(Data Protection Impact Assessment)، إذ ألزمت المادة (21) المتحكم وبالتنسيق مع مسؤول حماية البيانات، وقبل القيام بإجراء المعالجة، ان يقوم بتقييم أثر عمليات المعالجة المقترحة على حماية البيانات الشخصية، وذلك عند استخدام أي من التقنيات الحديثة التي من شأنها ان تشكل خطراً عالياً على الخصوصية وسرية البيانات الشخصية لصاحب البيانات، ويضحى تقييم الأثر هذا ضرورياً في الأحوال التالية:  

• إذا كانت المعالجة تتضمن تقييم ممنهج وشامل للجوانب الشخصية بصاحب البيانات التي تعتمد على المعالجة المؤتمتة بما فيها التنميط والتي لها تبعات قانونية أو التي من شأنها أن تؤثر بشكل جسيم على صاحب البيانات.
• إذا كانت المعالجة ستتم على حجم كبير من البيانات الشخصية الحساسة.

وتكتسب هذه المادة أهمية استثنائية في مجال الذكاء الاصطناعي، لأن معظم تطبيقات AI الحديثة تعتمد بطبيعتها على:

• التحليل المؤتمت، 
• والخوارزميات، 
• والتوقعات الإحصائية، 
• واستخلاص الأنماط السلوكية. 

يكشف ذلك عن أن المشرّع الإماراتي لا ينظر إلى الذكاء الاصطناعي باعتباره مجرد أداة تقنية محايدة، بل باعتباره نشاطًا عالي الخطورة قد يؤثر بصورة مباشرة على الخصوصية، والحقوق الأساسية، والمراكز القانونية للأفراد.

ومن مظاهر التشدد التشريعي في معالجة البيانات الحساسة، أن المادة (10) أوجبت تعيين “مسؤول حماية بيانات”(Data Protection Officer)، في حالات محددة، من بينها:

• إذا كانت المعالجة تتضمن تقييمًا ممنهجًا وشاملًا للبيانات الشخصية الحساسة، بما يشمل التنميط والمعالجة المؤتمتة؛
• إذا كانت المعالجة من شأنها احداث خطر ذو مستوى عالي على سرية وخصوصية البيانات الشخصية لصاحب البيانات نتيجة اعتماد تقنيات جديدة او مرتبطة بحجم البيانات. 
• إذا كانت المعالجة ستتم على حجم كبير من البيانات الشخصية الحساسة. 

وتكشف هذه المادة عن إدراك المشرّع الإماراتي لخطورة الأنظمة الذكية القائمة على التحليل الآلي للبيانات، وضرورة وجود جهة رقابية داخلية مستقلة نسبيًا تشرف على الامتثال والحوكمة الرقمية داخل المؤسسة.

رابعاً: المعالجة المؤتمتة والتنميط الرقمي:

يُعد “التنميط  الرقمي” (Profiling) – الذي هو شكل من أشكال المعالجة المؤتمتة بحيث تتضمن استخدام البيانات الشخصية لتقييم جوانب شخصية معينة ومرتبطة بصاحب البيانات، ومن بينها تعليل أو توقع الجوانب المتعلقة بأدائه أو وضعه المالي، أو صحته أو تفضيلاته الشخصية أو اهتماماته أو سلوكه أو مكانه أو تحركاته أو موثوقيته – من أخطر تطبيقات الذكاء الاصطناعي الحديثة، إذ تعتمد الأنظمة الذكية على تحليل سلوك الافراد وخصائصهم واهتماماتهم وانماطهم الاستهلاكية والقدرات والتفضيلات الشخصية بهدف التنبؤ بالقرارات أو التأثير عليها.

وقد أدرك المشرع الاماراتي خطورة هذا النوع من المعالجة، فنص في المادة (18) على حق صاحب البيانات الحق في الاعتراض على القرارات الناتجة عن المعالجة المؤتمتة والتنميط متى ترتب عليها أثر قانوني أو تأثير جسيم عليه، يستثنى من ذلك حالات حددها المشرع تمنع عليه الاعتراض إذا كانت المعالجة المؤتمتة ضمن شروط التعاقد بين صاحب البيانات والمتحكم، أو في حال كانت المعالجة المؤتمتة ضرورية وفق تشريعات أخرى نافذة في الدولة، او في حال تمت الموافقة المسبقة من صاحب البيانات على المعالجة المؤتمتة وفق الشروط المحددة في المادة (6) من هذا المرسوم بقانون.

كما ألزمت المادة ذاتها المتحكم بإدخال “العنصر البشري” في مراجعة هذه القرارات المؤتمتة متى طلب صاحب البيانات ذلك. وتكتسب هذه الضمانة أهمية استثنائية في عصر الذكاء الاصطناعي، لأنها تعكس رفض المشرع لفكرة “الهيمنة المطلقة للخوارزميات”، ويظهر ذلك بوضوح في أنظمة التقييم الائتماني والتوظيف والتأمين، والتحليل السلوكي وأنظمة التنبؤ بالمخاطر. 

قضية SCHUFA والتنميط المؤتمت:

وفي السياق المقارن، يكتسب حكم محكمة العدل الأوروبية في قضية (SCHUFA Holding AG) الصادر بتاريخ 7 ديسمبر 2023، أهمية خاصة في مجال التنميط والقرارات المؤتمتة. 

وقد تناولت القضية شركة خاصة المانية تدعى شركة ” SCHUFA ” تقوم بتقديم معلومات عن الجدارة الائتمانية للأشخاص باستخدام خوارزميات لتحليل البيانات الشخصية، وإنتاج او اعداد “قيمة احتمالية” للأفراد تعتمد عليها البنوك بصورة جوهرية في منح القروض او رفضها. 

وبناء عليه، تم رفض طلب منح قرض لأحد العملاء (OQ)بعد ان نقلت الشركة المذكورة معلومات سلبية عنها إلى المقرض. طلبت (OQ) من الشركة المذكورة تزويدها ببياناتها الشخصية وحذف بعض البيانات غير الصحيحة، واستجابت SCHUFA جزئياً، لكنها رفضت الكشف عن العناصر المستخدمة في احتساب التقييم وأوزانها بحجة السرية التجارية.

وعلى هذ الأساس، قدمتOQ شكوى إلى هيئة حماية البيانات في هيسن، لكن الهيئة رفضتها، فطعنت OQ أمام المحكمة الإدارية في فيسبادن، التي أشارت إلى أهمية تحديد ما إذا كان إنشاء “القيمة الاحتمالية” بحد ذاته يشكل قراراً فردياً مؤتمتاً بموجب المادة 22 (1) من اللائحة (الاتحاد الأوروبي) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس بتاريخ 27 أبريل 2016 بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية انتقال هذه البيانات، وإلغاء التوجيه 95/46/EC (اللائحة العامة لحماية البيانات GDPR)، وأوضحت أن:

• القيمة الاحتمالية غالباً ما تحدد ما إذا كان الشخص سيحصل على عقد أو قرض، 
• وإذا لم يُعتبر هذا التقييم قراراً مؤتمتاً، ستنشأ فجوة في الحماية القانونية، 
• لأن شركة SCHUFA لن تكون ملزمة بالإفصاح الكامل، 
• والمقرض لن يمتلك المعلومات الكافية لتقديمها. 

الأسئلة المحالة إلى المحكمة الأوروبية:

السؤال الأول: هل يشكل الإنشاء المؤتمت لقيمة احتمالية تتعلق بقدرة الشخص على سداد قرض مستقبلاً “قراراً فردياً مؤتمتاً” بموجب المادة 22(1)، عندما يعتمد الطرف الثالث اعتماداً كبيراً على هذه القيمة لاتخاذ قراره التعاقدي؟

السؤال الثاني: إذا كانت الإجابة بالنفي، فهل تمنع المواد 6 و22 تشريعاً وطنياً يسمح باستخدام هذا التقييم بشروط معينة؟

قرار المحكمة: المقبولية

رفضت المحكمة دفوع SCHUFA بعدم قبول الإحالة، وقررت أن المحكمة الوطنية مختصة وأن الأسئلة المحالة ذات صلة حقيقية بالنزاع.

حيثيات المحكمة بشأن السؤال الأول:

أوضحت المحكمة أن تطبيق المادة 22 يتطلب:

1. وجود “قرار”،  
2. أن يكون القرار قائماً حصرياً على المعالجة المؤتمتة، 
3. وأن ينتج آثاراً قانونية أو تأثيراً جوهرياً مماثلاً.

واعتبرت المحكمة أن مفهوم “القرار” واسع ويشمل الأعمال التي تؤثر بشكل جوهري على الأفراد، بما في ذلك احتساب الجدارة الائتمانية في صورة قيمة احتمالية.  وأكدت المحكمة أن نشاط SCHUFA يشكل “تنميطاً، إذ رأت ان البنوك تعتمد بشكل كبير على التقييم الاحتمالي، والنتيجة المنخفضة تؤدي غالباً إلى رفض القرض، وبالتالي فإن هذا التقييم يؤثر بشكل جوهري على الشخص. وعليه، فإن إنشاء هذه القيمة الاحتمالية يشكل بحد ذاته “قراراً فردياً مؤتمتاً” بموجب المادة 22(1)، مؤكدة بأن هذا التفسير ضروري لمنع التحايل على المادة 22 وتجنب وجود فجوة في الحماية القانونية، موضحة بأن القرارات المؤتمتة محظورة ما لم ينطبق أحد الاستثناءات المنصوص عليها في المادة 22(2)، وأن القوانين الوطنية التي تسمح بها يجب أن توفر ضمانات مناسبة، وتحترم المادتين 5 و6 من اللائحة. 

وهكذا، قررت المحكمة في منطوق حكمها: “إن الإنشاء المؤتمت، من قبل وكالة معلومات ائتمانية، لقيمة احتمالية تعتمد على بيانات شخصية وتتعلق بقدرة شخص على الوفاء بالتزاماته المالية مستقبلاً، يشكل “قراراً فردياً مؤتمتاً” بموجب المادة 22(1) من اللائحة العامة لحماية البيانات، متى كان الطرف الثالث الذي تُنقل إليه تلك القيمة يعتمد عليها بشكل كبير في إبرام أو تنفيذ أو إنهاء العلاقة التعاقدية مع ذلك الشخص.

خامساً: الامن السيبراني وحماية البيانات: 

لا يمكن فصل حماية البيانات الشخصية عن الامن السيبراني، خصوصاً في ظل اعتماد أنظمة الذكاء الاصطناعي على الحوسبة السحابية، وقواعد البيانات الضخمة، والبنى الرقمية المترابطة. 

وقد ألزم المشرّع الإماراتي المتحكم والمعالج باتخاذ تدابير تقنية وتنظيمية مناسبة لحماية البيانات، بما يشمل التشفير، وإخفاء الهوية، واختبار الأنظمة، وضمان مرونة أنظمة المعالجة، وإمكانية استرجاع البيانات. 

كما ألزمت المادة (9) المتحكم بالإبلاغ عن أي اختراق أو مساس أو خرق للبيانات الشخصية، متى كان من شأنه المساس بخصوصية أو أمن البيانات الشخصية. 

وتزداد تعقيدات المسؤولية القانونية في بيئة الذكاء الاصطناعي مع انتقال البيانات الشخصية عبر الحدود، خاصة في ظل اعتماد العديد من الأنظمة الذكية على الخوادم الخارجية، والحوسبة السحابية، ومزودي الخدمات العالميين.

لذلك نظم المشرّع الإماراتي في المادتين (22) و(23) مسألة نقل البيانات الشخصية خارج الدولة، واشترط وجود مستوى حماية ملائم، أو توفير ضمانات قانونية وتعاقدية تكفل حماية البيانات وحقوق أصحابها. 

سادساً: الحق في النسيان والخصوصية الرقمية:

يُعد “الحق في النسيان” من أبرز الحقوق الرقمية الحديثة التي ظهرت استجابة للتطور الهائل في البيئة الرقمية ومحركات البحث والأنظمة الذكية.

من أبرز التطورات القضائية العالمية في هذا المجال الحكم الصادر عن Court of Justice of the European Union في قضية Google Spain SL v AEPD and Mario Costeja González، والذي أرست فيه المحكمة مبدأ “الحق في النسيان”.

تدور وقائع القضية (عام 2010) إلى شكوى تقدم بها أحد مواطني اسبانيا ويدعى ماريو كوستيجا غونزاليس إلى الوكالة الاسبانية لحماية البيانات ضد احد الصحف وشركة Google Spain وشركة Google Inc، حال ان البحث باسمه في محرك البحث Google Search يؤدي إلى ظهور روابط لصحيفة قديمة تعود لعام 1998 تتحدث عن عرض ممتلكاته بالمزاد العلني المرتبط بإجراءات حجز لتحصيل ديون الضمان الاجتماعي، بحيث أوضح أن تلك الإجراءات قد انتهت منذ سنوات طويلة، وأن الإشارة إليها أصبحت غير ذات صلة إطلاقاً، وبقاء تلك المعلومات متاحاً للعامة بعد سنوات طويلة بما يضر بسمعته وحياته الخاصة دون مبرر، طالباً إزالة أو تعديل الصفحات بحيث لا تظهر بياناته الشخصية؛ وإلزام Google بإزالة البيانات من نتائج البحث ومنع الوصول إليها مستقبلاً.

بتاريخ 30 يوليو 2010، أصدرت هيئة حماية البيانات الاسبانية قراراً رفضت فيه الطلب الموجه إلى الصحيفة، معتبرة ان النشر كان مشروعاً لأنه تم بأمر من وزارة العمل والشؤون الاجتماعية، لكنها قبلت الطلب ضد Google Spain وGoogle Inc، وأمرت بإزالة البيانات ومنع الوصول إليها مستقبلاً، ورأت الهيئة أن مشغلي محركات البحث يقومون بجمع البيانات، وتسجيلها، وتنظيمها، وتخزينها، واسترجاعها، وإتاحتها للمستخدمين، ويخضعون لتشريعات حماية البيانات الاوروبية لأنهم يقومون بمعالجة بيانات شخصية ويحددون وسائل وأغراض المعالجة. وكل ذلك يدخل ضمن مفهوم المعالجة وفق المادة (2) من التوجيه الأوروبي، وأكدت المحكمة أن مجرد كون البيانات منشورة مسبقاً على الإنترنت، فإن ذلك لا ينفي وصف ” المعالجة”. كما اكدت بأن مشغل محرك البحث متحكماً بالبيانات واعتبرت بأن شركة Google تحدد وسائل واغراض المعالجة وتتحكم بطريقة عرض النتائج ودورها يتخطى مجرد الوساطة التقنية، لأنها تجعل البيانات أكثر انتشاراً وأسهل وصولاً. 

حاولت شركة “جوجل” الأميركية ان تدفع بعدم اختصاص القضاء الاسباني، إلا ان المحكمة رفضت هذا المنطق، مؤكدة بأن وجود فرع أو شركة تابعة لـ Google داخل إسبانيا يحقق شرط “المنشأة” الوارد في المادة 4/1 (أ) من التوجيه، وذلك لأن Google Spain كانت تروج وتبيع الإعلانات المرتبطة بمحرك البحث، وهذه الأنشطة مرتبطة ارتباطاً لا ينفصم عن عمل محرك البحث وبالتالي فإن معالجة البيانات تتم “في إطار أنشطة منشأة داخل دولة عضو”. 

الأهمية في هذا الحكم القضائي انه أرسى مبدأ قضائياً يمنح الافراد سلطة أكبر على بياناتهم الشخصية في مواجهة عمالقة التكنولوجيا وهو “الحق في النسيان”، إذ أكد أن لصاحب البيانات الحق في طلب إزالة الروابط من نتائج البحث عندما تصبح المعلومات غير ملائمة، أو غير ذات صلة، أو قديمة، أو مفرطة مقارنة بالغرض الذي جُمعت من أجله، حتى لو كانت المعلومات صحيحة، أو منشورة بشكل قانوني، أو ما تزال موجودة في الموقع الأصلي.

وبالتالي، اكدت المحكمة ضرورة الموازنة بين حق الفرد في الخصوصية وحماية البيانات وحق الجمهور في الوصول إلى المعلومات، لكنها قررت ان حقوق الفرد في الخصوصية المنصوص عنها في المادتين 7و8 من ميثاق الحقوق الأساسية، تتغلب كقاعدة أساسية وعامة على المصلحة الاقتصادية لمحرك البحث ومصلحة الجمهور في الوصول إلى المعلومات، إلا إذا للشخص دور عام او مصلحة عامة تبرر استمرار ظهور المعلومات.   

وبهذا الحكم، لم يعد المستخدم مجرد “منتج” في الفضاء الرقمي، بل استعاد جزءاً من السيطرة على هويته الرقمية. القرار يلزم محركات البحث الآن بالنظر في طلبات الأفراد لإزالة الروابط المسيئة أو القديمة، وهو ما مهد الطريق لاحقاً لظهور قوانين أكثر صرامة مثل “اللائحة العامة لحماية البيانات (GDPR)”.

سابعاً: الذكاء الاصطناعي ومهنة المحاماة: 

أصبح الذكاء الاصطناعي اليوم جزءًا متزايد الأهمية من البيئة القانونية الحديثة، حيث دخل في البحث القانوني، وصياغة العقود، وتحليل المخاطر، ومراجعة المستندات، وإدارة القضايا، والتنبؤ بالنتائج القضائية. 

إلا أن الذكاء الاصطناعي – رغم قدراته المتقدمة – لا يستطيع أن يحل بصورة كاملة محل المحامي، لأن العمل القانوني لا يقوم فقط على معالجة المعلومات بل كذلك على التقدير القانوني، والاعتبارات الأخلاقية، وفهم الوقائع الإنسانية، وإدارة العلاقة مع العميل، واستراتيجية التقاضي. 

ومن ثم، فإن مستقبل المحاماة لا يتمثل في استبدال المحامي بالذكاء الاصطناعي، بل في “المحامي القادر على استخدام الذكاء الاصطناعي بصورة فعالة وآمنة وأخلاقية”. 

ومن ثم، فإن استخدام أنظمة الذكاء الاصطناعي في تحليل الملفات القضائية أو العقود أو المراسلات القانونية يفرض ضرورة التحقق من:

• أماكن معالجة البيانات، 
• وآليات تخزينها، 
• وحدود استخدامها، 
• وإمكانية انتقالها عبر الحدود،
• تجنبًا لأي خرق للسر المهني أو انتهاك لخصوصية الموكلين. 

كما أن الاعتراف القضائي بحجية الأدلة الإلكترونية والرسائل الرقمية والبريد الإلكتروني يفتح المجال مستقبلًا لاستخدام مخرجات أنظمة الذكاء الاصطناعي كوسائل دعم إثبات أو قرائن فنية، وإن كانت لا تزال تخضع للسلطة التقديرية للمحكمة ولا ترقى – في الوقت الراهن- إلى مرتبة الدليل القاطع المستقل.

في الختام، 

أظهرت التجارب العالمية أن الامتثال القانوني وحده لم يعد كافيًا لمواجهة تحديات الذكاء الاصطناعي، بل أصبحت الحاجة ملحة إلى تطوير نماذج الحوكمة الرقمية، وأطر الأخلاقيات التقنية، وإدارة المخاطر الخوارزمية. فالقانون لا يستطيع دائمًا مواكبة السرعة الهائلة للتطور التقني، خصوصًا في ظل غموض الخوارزميات، وصعوبة تفسير القرارات المؤتمتة، والتحديات المرتبطة بالتحيز والتمييز. 

ولذلك برزت عالميًا مفاهيم:

• AI Governance، 
• Explainability، 
• Fairness، 
• Human Oversight، 
• Ethical AI. 

ويُلاحظ أن القانون الإماراتي – رغم حداثته – يتضمن بصورة ضمنية العديد من هذه المبادئ، من خلال: الحوكمة الوقائية، وتقييم الأثر، والرقابة البشرية، وإدارة المخاطر، وحماية الخصوصية. 

والتحديات المرتبطة بالذكاء الاصطناعي لم تعد تقتصر على الامتثال القانوني التقليدي، بل أصبحت تستدعي تطوير نماذج متقدمة للحوكمة الرقمية والأخلاقيات التقنية، بما يضمن تحقيق التوازن بين الابتكار، وحماية الكرامة الإنسانية، والحقوق الأساسية للأفراد. 

د. غادة فايق