حماية البيانات والخصوصية في السعودية
تتمحور حماية البيانات والخصوصية في السعودية حول نظام حماية البيانات الشخصية، وإشراف سدايا، وضوابط الأمن السيبراني، وقواعد نقل البيانات عبر الحدود. ويعكس الإطار التحول المتسارع نحو الرقمنة وطموح المملكة في أن تصبح مركزاً إقليمياً لقطاع التقنية والذكاء الاصطناعي والاقتصاد الرقمي.
يمثل نظام حماية البيانات الشخصية، الذي تديره الهيئة السعودية للبيانات والذكاء الاصطناعي، أول تشريع شامل لحماية البيانات في المملكة. يُرسي حقوقاً للأفراد في شأن بياناتهم والتزامات امتثال مؤسسية وقواعد لنقل البيانات عبر الحدود ومتطلبات لتوطين البيانات تُوازي في مجملها المعايير الدولية لحوكمة البيانات.
للشركات العاملة في السوق السعودية أو المخدِّمة له، بات المشهد التنظيمي لحماية البيانات والأمن السيبراني يحمل التزامات امتثال جوهرية وقابلة للتنفيذ، باتت في صميم الوصول إلى السوق وترخيص التشغيل.
نظام حماية البيانات الشخصية
النطاق والتطبيق
يسري نظام حماية البيانات الشخصية على معالجة البيانات الشخصية التي تجري داخل المملكة العربية السعودية وعلى معالجة البيانات الشخصية للمقيمين في المملكة من قِبل كيانات مقرها خارجها. يعني هذا الامتداد خارج الحدود أن الشركات الدولية التي تخدم عملاء سعوديين أو تُعالج بيانات مصدرها المملكة قد تخضع لالتزامات النظام بصرف النظر عن موقع بنيتها التحتية لمعالجة البيانات.
تُعرَّف البيانات الشخصية تعريفاً واسعاً يشمل أي بيانات يمكن أن تُعرّف الشخص الطبيعي بصورة مباشرة أو غير مباشرة. وتخضع البيانات الشخصية الحساسة — التي تشمل البيانات الصحية والجينية والائتمانية والسجلات الجنائية والبيانات الكاشفة عن الأصل العرقي أو القومي وتلك المتعلقة بالمعتقدات الدينية أو السياسية — لحماية معززة وشروط معالجة إضافية.
يسري النظام على كيانات القطاعين العام والخاص، مع استثناءات محددة للبيانات الشخصية المُعالَجة لأغراض شخصية أو عائلية بحتة، والبيانات التي تُعالجها السلطات المختصة لأغراض أمنية وجنائية، والبيانات المُجهَّلة التي لا يمكن إعادة التعريف بصاحبها.
الأسس القانونية للمعالجة
يُقرّ النظام الموافقة بوصفها الأساس القانوني الأساسي لمعالجة البيانات الشخصية. يجب أن تكون الموافقة حرة وخاصة بالغرض ومستنيرة ولا لبس فيها، ويجوز سحبها في أي وقت. كما يُقرّ النظام أسساً قانونية إضافية تشمل تنفيذ عقد وأداء التزام قانوني وحماية المصالح الحيوية وتنفيذ مهمة تخدم المصلحة العامة والمصالح المشروعة للمتحكم، وفق اختبار موازنة في مقابل حقوق صاحب البيانات.
بالنسبة للبيانات الشخصية الحساسة، تكون الأسس القانونية أكثر تقييداً؛ إذ تستلزم معالجة البيانات الحساسة في الغالب موافقة صريحة أو استيفاء شروط محددة مرتبطة بقانون العمل أو الصحة العامة أو المطالبات القانونية أو المصلحة العامة الجوهرية.
حقوق أصحاب البيانات
يمنح النظام أصحاب البيانات مجموعة شاملة من الحقوق يجب على الكيانات أن تكون مستعدة لتيسيرها. وتشمل: الحق في الإعلام بأنشطة معالجة البيانات، والحق في الوصول إلى البيانات الشخصية التي يحتفظ بها المتحكم، والحق في تصحيح البيانات غير الدقيقة، والحق في محو البيانات الشخصية وفق استثناءات قانونية، والحق في قابلية نقل البيانات، والحق في الاعتراض على المعالجة في حالات بعينها.
يتمتع أصحاب البيانات أيضاً بالحق في الإعلام بأي خرق للبيانات يُشكّل خطراً عالياً على حقوقهم، وبحق تقديم شكاوى إلى هيئة البيانات والذكاء الاصطناعي بشأن الانتهاكات المزعومة للنظام.
التزامات الامتثال المؤسسية
يجب على الكيانات التي تُعالج البيانات الشخصية تطبيق إطار امتثال شامل. تشمل الالتزامات الرئيسية: مسك سجلات أنشطة معالجة البيانات، وإجراء تقييمات أثر حماية البيانات للمعالجة عالية المخاطر، وتعيين مسؤول حماية البيانات حيثما اقتضى الأمر، وتطبيق التدابير الأمنية التقنية والتنظيمية المناسبة، وإشعار هيئة البيانات والذكاء الاصطناعي والأفراد المتضررين بخروقات البيانات، وضمان ارتباط معالجي البيانات (الأطراف الثالثة التي تُعالج البيانات نيابةً عن المتحكم) بالتزامات تعاقدية تعكس متطلبات النظام.
يستوجب مبدأ تقليل البيانات جمعها فحسب بالقدر اللازم للغرض المحدد وحفظها للمدة الضرورية لتحقيق ذلك الغرض. وتُوجب التزامات الخصوصية في مرحلة التصميم والخصوصية بشكل افتراضي دمج حماية البيانات في تصميم الأنظمة والعمليات لا إضافتها لاحقاً.
إشراف هيئة البيانات والذكاء الاصطناعي
الدور المؤسسي
تعمل هيئة البيانات والذكاء الاصطناعي السعودية بوصفها الجهة الإشرافية على حماية البيانات في المملكة العربية السعودية. يمتد تفويضها إلى ما هو أبعد من حماية البيانات ليشمل سياسات الذكاء الاصطناعي وحوكمة البيانات وتطوير الاقتصاد القائم على البيانات في المملكة. يعكس هذا التفويض المزدوج إدراك الحكومة بأن حماية البيانات والابتكار القائم على البيانات هدفان متكاملان لا متنافسان.
تتولى هيئة البيانات والذكاء الاصطناعي إصدار اللوائح التنفيذية والتوجيهات ورصد الامتثال بالنظام والتحقيق في الشكاوى وفرض العقوبات على المخالفات. وقد أصدرت الهيئة سلسلة من اللوائح التنفيذية تُقدم توجيهاً تفصيلياً حول متطلبات محددة في النظام، بما فيها نقل البيانات وإدارة الموافقة والإشعار بخروقات البيانات وتقييمات أثر حماية البيانات.
التطبيق والعقوبات
يُقرّ النظام إطاراً للعقوبات يشمل غرامات إدارية تصل إلى 5 ملايين ريال سعودي للمخالفات، مع عقوبات أشد للمخالفات المتكررة أو الجسيمة. وقد تسري العقوبات الجنائية بما فيها السجن على مخالفات بعينها كالكشف غير المصرح به عن البيانات الشخصية الحساسة بقصد الإضرار. وتملك هيئة البيانات والذكاء الاصطناعي صلاحية الأمر بوقف أنشطة معالجة البيانات وحذف البيانات المجموعة في مخالفة للنظام ونشر قرارات التطبيق.
تطورت التوجه التنفيذي من التوجيه الأولي وبناء الوعي خلال المرحلة الانتقالية نحو المراقبة الفاعلة للامتثال والتطبيق. وبات الكيانات التي لم تُطبّق برامج الامتثال بنظام حماية البيانات الشخصية تواجه مخاطر تنظيمية متصاعدة.
نقل البيانات عبر الحدود
قيود النقل
يفرض النظام قيوداً على نقل البيانات الشخصية خارج المملكة العربية السعودية. يُجاز النقل عبر الحدود حيثما يوفر البلد المتلقي مستوى ملائماً من حماية البيانات (وفق ما تُحدده هيئة البيانات والذكاء الاصطناعي) أو في حال توفر ضمانات محددة. ونشرت هيئة البيانات والذكاء الاصطناعي معايير تقييم الملاءمة وحددت آليات تشريع النقل في غياب قرار الملاءمة.
تشمل آليات النقل المسموح بها القواعد الملزمة للمجموعة للتحويلات داخل المجموعة، والبنود التعاقدية القياسية المعتمدة من هيئة البيانات والذكاء الاصطناعي، والموافقة الصريحة لصاحب البيانات وإن خضع الاعتماد على الموافقة وحدها لقيود. كما يجب أن يكون النقل ضرورياً لأحد الأسس القانونية المعترف بها للمعالجة، وأن يُجري المتحكم تقييماً لأثر النقل حيث لم تُقرَّر ملاءمة الولاية القضائية المتلقية.
الانعكاسات العملية
للشركات المتعددة الجنسيات، يحمل إطار النقل عبر الحدود انعكاسات تشغيلية جوهرية. يجب رسم خرائط لتدفقات البيانات بين العمليات المقيمة في المملكة والمقرات الدولية ومقدمي الخدمات والشركات التابعة وتقييمها وتعضيدها بآليات نقل مناسبة. وتستلزم ترتيبات الحوسبة السحابية وإدارة بيانات الموارد البشرية عالمياً وتحليلات بيانات العملاء ومعالجة المدفوعات عبر الحدود جميعها هيكلة دقيقة لضمان الامتثال للنظام.
متطلبات تحديد موقع البيانات
يتضمن النظام أحكام تحديد موقع البيانات التي تشترط تخزين فئات معينة من البيانات الشخصية داخل المملكة العربية السعودية. وتُحدد الفئات المحددة الخاضعة لمتطلبات تحديد الموقع والشروط التي يُمنح بموجبها الاستثناء في اللوائح التنفيذية الصادرة عن هيئة البيانات والذكاء الاصطناعي.
دفعت متطلبات تحديد الموقع استثمارات ضخمة في البنية التحتية لمراكز البيانات السعودية، إذ أقامت شركات الخدمات السحابية العالمية أو وسّعت منشآت مراكز البيانات المحلية لخدمة العملاء الذين يجب عليهم الحفاظ على إقامة البيانات داخل المملكة. ويُفرز تقاطع متطلبات تحديد الموقع مع طموحات المملكة في أن تصبح مركزاً إقليمياً لمراكز البيانات التزامات امتثال وفرصاً تجارية في قطاع البنية التحتية للبيانات.
التنظيم السيبراني
الهيئة الوطنية للأمن السيبراني
الهيئة الوطنية للأمن السيبراني، المؤسسة بمرسوم ملكي عام 2017، هي الجهة الوطنية المسؤولة عن سياسات الأمن السيبراني وتنظيمه والاستجابة للحوادث. يشمل تفويض الهيئة الجهات الحكومية والبنية التحتية الوطنية الحيوية والمنظمات من القطاع الخاص التي تُعدّ عملياتها أساسية للأمن الوطني أو الاستقرار الاقتصادي.
الضوابط الأساسية للأمن السيبراني
أصدرت الهيئة الوطنية للأمن السيبراني الضوابط الأساسية للأمن السيبراني، وهي مجموعة شاملة من متطلبات الأمن السيبراني تسري على جميع الجهات الحكومية ومشغّلي البنية التحتية الحيوية. تغطي هذه الضوابط حوكمة الأمن السيبراني وإدارة الأصول وإدارة الهوية والوصول وحماية المعلومات وأمن الشبكات وأمن التطبيقات وإدارة الحوادث واستمرارية الأعمال.
الامتثال للضوابط الأساسية إلزامي للكيانات الخاضعة لنطاقها، وتُجري الهيئة تقييمات للتحقق من الامتثال. وقد يُفضي عدم الامتثال إلى إجراءات تطبيق تشمل القيود التشغيلية والعقوبات.
الأمن السيبراني القطاعي
إضافة إلى الضوابط الأساسية، تسري لوائح أمن سيبراني قطاعية محددة على المؤسسات المالية (في إطار إطار الأمن السيبراني لساما) ومقدمي الرعاية الصحية ومشغّلي الاتصالات وكيانات قطاع الطاقة. تبني هذه الأطر القطاعية على قاعدة الضوابط الأساسية وتُضيف إليها متطلبات مُصمَّمة وفق ملفات المخاطر المحددة والخصائص التشغيلية لكل قطاع.
إطار الأمن السيبراني للقطاع المالي، الذي تديره ساما، شامل بصفة خاصة، ويغطي حوكمة أمن المعلومات وإدارة مخاطر الأمن السيبراني وعمليات الأمن وإدارة أمن الأطراف الثالثة والإبلاغ عن الحوادث السيبرانية.
حماية البنية التحتية الحيوية
عيّنت الهيئة الوطنية للأمن السيبراني قطاعات البنية التحتية الوطنية الحيوية وأرست متطلبات أمن سيبراني معززة للكيانات العاملة ضمنها. تُراعي عملية التعيين الأثر المحتمل للاضطراب على الأمن الوطني والسلامة العامة والاستقرار الاقتصادي وصحة العامة. ويخضع مشغّلو البنية التحتية الحيوية لرقابة مشددة ومتطلبات إبلاغ مُعززة ومتطلبات للاستجابة للحوادث.
التفاعل مع الأطر التنظيمية الأخرى
تتفاعل التزامات حماية البيانات والأمن السيبراني مع المتطلبات التنظيمية الأخرى عبر أبعاد متعددة. تخضع البيانات المالية لمتطلبات نظام حماية البيانات الشخصية وأطر حوكمة البيانات والأمن السيبراني لساما. وتخضع البيانات الصحية لمتطلبات النظام ولوائح بيانات القطاع الصحي. كما يجب أن تلتزم بيانات التوظيف بمتطلبات النظام وأحكام نظام العمل المتعلقة بخصوصية الموظف.
يستلزم التفاعل بين نظام حماية البيانات الشخصية وتنظيمات البيانات القطاعية تحليلاً دقيقاً لضمان عدم تعارض الامتثال لإطار واحد مع إطار آخر. وقد أشارت هيئة البيانات والذكاء الاصطناعي إلى نيتها إصدار توجيه حول التفاعل بين النظام ولوائح البيانات القطاعية للحدّ من تعقيد الامتثال.
الآفاق المستقبلية
سيواصل المشهد التنظيمي لحماية البيانات والأمن السيبراني في المملكة العربية السعودية تطوره بوتيرة متسارعة. أشارت هيئة البيانات والذكاء الاصطناعي إلى خطط لإصدار لوائح تنفيذية إضافية تتناول الذكاء الاصطناعي وصنع القرار الآلي واستخدام البيانات الشخصية في سياقات التقنيات الناشئة. وتُوسّع الهيئة الوطنية للأمن السيبراني تدريجياً نطاق أطر الأمن السيبراني وتُعمّق قدراتها التطبيقية.
بالنسبة للشركات، الاتجاه واضح: باتت حوكمة البيانات مجالاً امتثالياً بشكل ملموس يتطلب موارد وهياكل حوكمة وقدرات تقنية مخصصة. ويُفرز طموح المملكة في تطوير اقتصاد قائم على البيانات والتحول إلى مركز إقليمي للذكاء الاصطناعي والخدمات الرقمية بيئةً تنظيمية تُعدّ فيها حماية البيانات القوية التزاماً بالامتثال وعاملاً تنافسياً مميِّزاً في آنٍ معاً.
ستكون الشركات التي تستثمر في برامج حماية البيانات والأمن السيبراني الشاملة في وضع أفضل للوصول إلى العقود الحكومية (حيث بات الامتثال شرطاً تحديداً في المشتريات)، وبناء الثقة مع المستهلكين والشركاء التجاريين السعوديين، والتعامل مع المشهد التنظيمي المتطور دون انقطاع. وتزداد تكلفة عدم الامتثال — من غرامات مالية وقيود تشغيلية وأضرار سمعة — بالتوازي مع تطور قدرات هيئة البيانات والذكاء الاصطناعي والهيئة الوطنية للأمن السيبراني في التطبيق.