في الأول من يناير 2026، بدأ مركز دبي المالي العالمي (DIFC) في تطبيق اللائحة 10 من قانون حماية البيانات الخاص به، وهي أول قاعدة ملزمة في الخليج تعتبر نظام الذكاء الاصطناعي نفسه، وليس فقط البيانات الشخصية التي يعالجها، موضوعا للتنظيم. أي كيان مسجل في DIFC يشغّل "نشاط معالجة عالي الخطورة" عبر نظام مستقل أو شبه مستقل يجب الآن أن يمتلك تقييم أثر موثقا لحماية البيانات، وأن يعيّن مسؤول أنظمة مستقلة، وأن يقدّم عند الطلب دليلا خوارزميا على آليات التدخل البشري. وقبل ذلك بستة عشر يوما، في 16 يناير 2026، أكدت هيئة البيانات السعودية أمرا لا يقل أهمية: صدور 48 قرارا تنفيذيا بحق مؤسسات مخالفة لنظام حماية البيانات الشخصية في المملكة، بغرامات تصل إلى 5 ملايين ريال سعودي عن كل مخالفة، تتضاعف في حال التكرار.

لم يصدر أي من هذين التطورين عن قانون واحد للذكاء الاصطناعي في الشرق الأوسط، لأن مثل هذا القانون غير موجود في المنطقة أصلا. ما هو موجود بدلا من ذلك هو أربع ولايات قضائية تتحرك بسرعات مختلفة وعلى أسس قانونية مختلفة: الإمارات تضيف قواعد خاصة بالذكاء الاصطناعي في المناطق الحرة فوق قانون خصوصية اتحادي لا تزال لائحته التنفيذية غائبة بعد أكثر من أربع سنوات، والسعودية تطبّق قانون البيانات بصرامة مع الاحتفاظ بإطار الذكاء الاصطناعي طوعيا في معظمه، وقطر توجّه الامتثال في مجال الذكاء الاصطناعي عبر قانون بيانات صادر في 2016 وإرشادات غير ملزمة من NCSA، وإسرائيل تعيد صياغة قانون الخصوصية بالكامل في خطوة واحدة وتطبّقه الآن بفعالية.

في 16 أبريل 2026، أطلقت هيئة البيانات والذكاء الاصطناعي السعودية (SDAIA) مبادرة مواءمة الذكاء الاصطناعي في منطقة الشرق الأوسط وشمال أفريقيا بالتعاون مع الإمارات وقطر وعمان، في محاولة لمواءمة الإبلاغ عن الاختراقات ومبادئ النشر الأخلاقي وقواعد تدفق البيانات عبر الحدود، دون دمج القوانين الوطنية في نص واحد. بالنسبة لفريق الامتثال، يعني ذلك متابعة أربع هيئات تنظيمية بأربعة مواقف تطبيقية مختلفة، إلى جانب مشروع تقارب ناشئ لكنه لا يزال غير مكتمل.

من هي الهيئات التنظيمية التي تقود فعليا حوكمة الذكاء الاصطناعي والبيانات في الشرق الأوسط؟

أربع هيئات بأربع مهام مختلفة تماما. في الإمارات، يدير مكتب البيانات الاتحادي المرسوم بقانون اتحادي رقم 45 لسنة 2021 على مستوى البر الرئيسي، في حين يطبّق مفوض حماية البيانات في DIFC اللائحة 10 الخاصة بالذكاء الاصطناعي داخل المنطقة الحرة لمركز دبي المالي العالمي، وتدير سوق أبوظبي العالمي (ADGM) نظاما موازيا بموجب لوائحه الخاصة لحماية البيانات. في السعودية، تتولى هيئة البيانات والذكاء الاصطناعي (SDAIA) في الوقت نفسه تطبيق نظام حماية البيانات الشخصية الملزم عبر لجانها المختصة بمراجعة المخالفات، وتنشر أيضا إطار تبني الذكاء الاصطناعي غير الملزم وإرشادات الذكاء الاصطناعي التوليدي التي أصبحت شرطا متزايدا للفوز بالعقود الحكومية. في قطر، تطبّق إدارة الامتثال وحماية البيانات التابعة للوكالة الوطنية للأمن السيبراني (NCSA) قانون خصوصية البيانات الشخصية، وأصدرت إرشادات أمن الذكاء الاصطناعي لعام 2024، في حين يفرض مصرف قطر المركزي التزامات ملزمة خاصة بالذكاء الاصطناعي على المؤسسات المالية المرخصة. في إسرائيل، تطبّق هيئة حماية الخصوصية قانون حماية الخصوصية المعاد صياغته حديثا وتعامل توجيهاتها الخاصة كقانون ملزم فعليا. معرفة أي من هذه الهيئات الأربع يحكم فعليا نشرا معينا للذكاء الاصطناعي هو تماما نوع السؤال الذي يجب الإجابة عنه ولاية قضائية تلو الأخرى، وهو ما صُمم نظام المراقبة التنظيمية من Obsidian للإجابة عنه بمراجع موثقة ومؤرخة بدلا من انطباع عام حول "تنظيم الذكاء الاصطناعي في الخليج".

هل تمتلك الإمارات فعلا قانونا ملزما للذكاء الاصطناعي؟

ليس قانونا مستقلا، لكن أداتين ملزمتين تلامسان الذكاء الاصطناعي بشكل غير مباشر. قانون حماية البيانات الشخصية الاتحادي، المرسوم بقانون اتحادي رقم 45 لسنة 2021، دخل حيز التنفيذ في 2 يناير 2022 وينطبق خارج الحدود على أي معالجة لبيانات شخصية لسكان الإمارات، بما فيها البيانات التي تستخدمها أنظمة الذكاء الاصطناعي للتدريب والتوصيف والقرارات المؤتمتة. كان من المفترض صدور لائحته التنفيذية في غضون ستة أشهر من نشر القانون، أي نحو مارس 2022، وحتى منتصف 2026 لم تصدر بعد، مما يترك تفاصيل العقوبات، التي تشير إليها التعليقات القانونية في نطاق يتراوح بين 50,000 و5 ملايين درهم إماراتي عن كل مخالفة، دون جدول قانوني نهائي.

داخل المنطقة الحرة لمركز دبي المالي العالمي، لا توجد هذه الثغرة. اللائحة 10 من قانون حماية البيانات في DIFC، النافذة منذ 2023 والمطبَّقة فعليا منذ 1 يناير 2026، تلزم أي متحكم أو معالج ينشر نظاما مستقلا أو شبه مستقل بإكمال تقييم أثر لحماية البيانات قبل النشر، والاحتفاظ بسجل لأنشطة معالجة الذكاء الاصطناعي، وفي حال المعالجة عالية الخطورة، بتعيين مسؤول أنظمة مستقلة والاحتفاظ بدليل على الخوارزميات التي تفعّل التدخل البشري. شركة تشغّل نفس أداة التصنيف الائتماني المدعومة بالذكاء الاصطناعي من خلال كيان في DIFC وكيان آخر في البر الرئيسي الإماراتي تواجه في الأول متطلبات تقييم الأثر الموثق والمسؤول المنصوص عليها في اللائحة 10، وفي الثاني الالتزامات العامة لقانون حماية البيانات الشخصية الاتحادي الذي لا تزال لائحته التنفيذية معلقة.

هل تطبيق نظام حماية البيانات الشخصية السعودي حقيقي أم لا يزال نظريا في معظمه؟

حقيقي ومتسارع. نظام حماية البيانات الشخصية، الصادر بالمرسوم الملكي رقم م/19 لسنة 2021 والمعدَّل في مارس 2023، دخل حيز التنفيذ الكامل في 14 سبتمبر 2023، بفترة سماح لمدة عام انتهت في 14 سبتمبر 2024. أكدت هيئة البيانات والذكاء الاصطناعي السعودية (SDAIA) في 16 يناير 2026 أن لجانها المختصة بمراجعة المخالفات أصدرت 48 قرارا تنفيذيا خلال العام السابق، شملت جمعا أو معالجة غير قانونية دون سند نظامي صحيح، وإفشاءً غير مصرح به، وضمانات تقنية غير كافية، ورسائل تسويقية دون موافقة، بصفتها أكثر أنواع المخالفات تكرارا. تصل الغرامات الإدارية إلى 5 ملايين ريال سعودي عن كل مخالفة، وتتضاعف إلى 10 ملايين ريال في حال التكرار، بينما يحمل الإفشاء المتعمد للبيانات الشخصية الحساسة عقوبات جزائية مستقلة تصل إلى سنتين سجنا وغرامة قدرها 3 ملايين ريال سعودي. المؤسسات التي يتم إشعارها بمخالفة قد لا يتوفر لها سوى خمسة أيام فقط للرد.

تبقى حوكمة الذكاء الاصطناعي نفسها قانونا أكثر مرونة. إطار تبني الذكاء الاصطناعي وإرشادات الذكاء الاصطناعي التوليدي لعام 2024 الصادرة عن SDAIA غير ملزمة قانونا لمعظم استخدامات القطاع الخاص، لكن الحصول على اعتماد SDAIA وفق هذا الإطار أصبح شرطا متزايدا للفوز بالعقود الحكومية، وقد خصصت السعودية عام 2026 ليكون "عام الذكاء الاصطناعي"، وهي إشارة إلى أن الطبقة الطوعية هي الأكثر ترجيحا للتشدد لاحقا.

مقارنة أنظمة حوكمة الذكاء الاصطناعي والبيانات في الشرق الأوسط، منتصف 2026

الولاية القضائيةقانون البيانات الملزمالقاعدة الملزمة الخاصة بالذكاء الاصطناعيالموقف التطبيقي في 2026
الإمارات (اتحادي)قانون حماية البيانات الشخصية، مرسوم بقانون 45/2021، نافذ منذ 2022، اللائحة التنفيذية لا تزال معلقةلا يوجد على المستوى الاتحاديإرشادات وإجراءات فردية من مكتب البيانات
الإمارات (DIFC)قانون حماية البيانات في DIFCاللائحة 10، مطبَّقة منذ 1 يناير 2026تطبيق فعلي، مع التحقق من متطلبات تقييم الأثر والمسؤول
السعوديةنظام حماية البيانات الشخصية، قابل للتطبيق الكامل منذ سبتمبر 2024لا توجد قاعدة ملزمة؛ إطار تبني الذكاء الاصطناعي طوعيتطبيق فعلي، 48 قرارا مؤكدا حتى يناير 2026
قطرقانون خصوصية البيانات الشخصية رقم 13 لسنة 2016لا توجد قاعدة ملزمة مركزيا؛ قواعد مصرف قطر المركزي تلزم البنوك فقطموجهة بالإرشادات خارج الخدمات المالية
إسرائيلقانون حماية الخصوصية، التعديل 13 من أغسطس 2025لا توجد قاعدة مخصصة؛ مغطاة ضمن واجبات الخصوصية العامةتطبيق فعلي منذ يناير 2026، وتطبيق مسؤول حماية البيانات ساري

ما الذي تتطلبه قطر فعليا من نظام ذكاء اصطناعي يلامس بيانات شخصية؟

الامتثال لقانون البيانات لعام 2016 أولا، والإرشادات الخاصة بالذكاء الاصطناعي ثانيا. قانون خصوصية البيانات الشخصية، النص القطري الأصلي لعام 2016 وأول قانون شامل لحماية البيانات في دول مجلس التعاون الخليجي، يبقى الحد الأدنى الملزم، وتطبّقه إدارة الحوكمة السيبرانية الوطنية والشؤون التأكيدية داخل الوكالة الوطنية للأمن السيبراني (NCSA). إرشادات NCSA الصادرة في فبراير 2024 بشأن التبني والاستخدام الآمن للذكاء الاصطناعي طوعية، لكنها تتناول تحديدا تقليل البيانات وتحديد الغرض وضوابط التحيز وإمكانية التدقيق لأنظمة الذكاء الاصطناعي، وقد حذّرت الوكالة من أن تجاهلها قد يظل يخلق مخاطر بموجب قانون خصوصية البيانات الشخصية الملزم. المجال الوحيد الذي يكون الامتثال فيه للذكاء الاصطناعي ملزما فعلا وليس استشاريا هو الخدمات المالية، حيث تفرض إرشادات الذكاء الاصطناعي الخاصة بمصرف قطر المركزي التزامات ملزمة بالشفافية والموافقة والتعامل مع البيانات على المؤسسات المرخصة، بينما عرضت هيئة قطر للأسواق المالية في مايو 2025 مشروع لوائح للذكاء الاصطناعي من شأنها توسيع نطاق التغطية الملزمة. أما الكيانات المسجلة في مركز قطر للمال، فتخضع لنظام ثالث مختلف، وهو لوائح حماية البيانات الخاصة بمركز قطر للمال لعام 2021، تُضاف فوق أي من قانون خصوصية البيانات الشخصية أو إرشادات NCSA السارية أيضا.

لماذا تحوّل تطبيق قانون الخصوصية في إسرائيل بشكل مفاجئ إلى موقف صارم في 2026؟

لأن قانونا عمره أربعة عقود أُعيدت صياغته دفعة واحدة، وانتهت فترات السماح المرتبطة به الآن. التعديل 13 لقانون حماية الخصوصية لعام 1981 دخل حيز التنفيذ في 14 أغسطس 2025، وقدّم تعيينا إلزاميا لمسؤول حماية البيانات للمؤسسات المستوفية للشروط، وتعريفا أوسع للبيانات الحساسة يشمل المعلومات التي تعالجها أنظمة الذكاء الاصطناعي، وعقوبات مالية إدارية يمكن لهيئة حماية الخصوصية فرضها دون إجراء قضائي مسبق. منحت الهيئة فترة سماح مؤقتة على التزام مسؤول حماية البيانات تحديدا، انتهت في 31 أكتوبر 2025، وبحسب تصريحاتها انتقلت من الإرشاد إلى التطبيق الاستباقي، بما يشمل التدقيق والتحقيقات والإحالات الجزائية، منذ يناير 2026 فصاعدا. يمكن أن تصل العقوبات إلى ملايين الشواقل مع مضاعفات في حالات المعالجة الواسعة أو الحساسة، ويمكن للأفراد المطالبة بتعويضات نظامية تصل إلى 100,000 شيكل إسرائيلي دون حاجة لإثبات ضرر فعلي، وهو سقف أدنى من معظم أنظمة الخصوصية الأخرى في المنطقة.

ما الذي ينبغي على فريق حوكمة الذكاء الاصطناعي والبيانات في الشرق الأوسط القيام به تاليا؟

فصل الكيانات التي تواجه مسارا صارما للتطبيق عن تلك التي لا تزال تعمل وفق إرشادات فقط. كيان في DIFC يشغّل الذكاء الاصطناعي على بيانات شخصية يقع بالفعل داخل نظام مطبَّق فعليا مع التزام موثق بتقييم الأثر؛ وكيان سعودي خارج القطاع المالي يواجه اليوم تطبيقا صارما لنظام حماية البيانات الشخصية لكن إرشادات ذكاء اصطناعي طوعية فقط، في الوقت الحالي؛ وكيان قطري خارج القطاع المصرفي لا يزال يملك مساحة زمنية حقيقية بشأن القواعد الخاصة بالذكاء الاصطناعي حتى وإن كان قانون البيانات الأساسي ملزما بالكامل؛ وأي عملية إسرائيلية تحتاج إلى إجابة فورية عن سؤال مسؤول حماية البيانات، لا على خارطة طريق مستقبلية.

لا شيء من ذلك يتطلب انتظار اكتمال مبادرة مواءمة الذكاء الاصطناعي في منطقة الشرق الأوسط وشمال أفريقيا لمواءمة أربعة أنظمة قانونية لم يكن مقدرا لها أصلا أن تندمج في نظام واحد. تتابع Obsidian مكتب البيانات الإماراتي، ومفوض DIFC، وSDAIA، وNCSA، وهيئة قطر للأسواق المالية، وهيئة حماية الخصوصية الإسرائيلية كمصادر منفصلة من الفئة صفر على مستوى الولاية القضائية والإطار التنظيمي، بحيث يصل موعد نهائي لشهادة اللائحة 10 أو قرار تطبيقي جديد من SDAIA إلى مسؤول الامتثال المناسب في الأسبوع الذي يُنشر فيه. يجيب الرفيق الذكي عن أسئلة عابرة للولايات القضائية مثل "هل يحتاج كياننا في DIFC إلى مسؤول أنظمة مستقلة لهذه الأداة بالتحديد" بمرجع موثق بدلا من انطباع عام، والفرق التي تشغّل مساعدات ذكاء اصطناعي خاصة بها يمكنها ربط نفس البيانات الموثقة عبر MCP من Obsidian. تعرّف على كيفية عمل التغطية الكاملة لحوكمة الذكاء الاصطناعي والبيانات والحوكمة الرقمية على صفحة الخطط المصممة تحديدا لهذا النوع من التعرض التنظيمي المتعدد الجهات.