ركَّزت المملكة العربية السعودية منذ عام 2020 على أهمية سنّ تشريعات متخصّصة لحماية البيانات وإنفاذها، وأدى تزايد الوعي بحماية بيانات الأفراد وحقوق الوصول للبيانات وملكيتها إلى نشوء تحديات جديدة تؤثر على الشركات داخل المملكة وخارجها. وتماشيًا مع العديد من الأنظمة القانونية في المنطقة، تنص الأحكام العامة للنظام السعودي على حماية خصوصية الأفراد وبياناتهم الشخصية عوضًا عن سنّ تشريعات مخصّصة لمسألة "خصوصية البيانات" أو "حماية البيانات". وتفرض هذه الأنظمة التزامات صارمة على القطاع الخاص تخص كيفية وسبب وتوقيت جمع البيانات الشخصية واستخدامها وتخزينها. وأطلقت الهيئة السعودية للبيانات والذكاء الاصطناعي "سدايا" حملة توعوية وطنية بالتعاون مع عدد من الجهات الحكومية بعنوان "اسأل قبل"؛ للتعريف بنظام حماية البيانات الشخصية، الذي بدأ إنفاذه الخميس 14 سبتمبر 2023، بعد أن صدر بالمرسوم الملكي رقم (م/ 19) وتاريخ 9 صفر 1443ه وصدرت تعديلاته بموجب المرسوم الملكي (م/ 148) وتاريخ 5 رمضان 1444ه، وذلك في إطار جهود سدايا الرامية للتعريف والتوعية بأهمية البيانات الشخصية ودورها في تحسين الخدمات المقدمة لأفراد المجتمع والجهات في المملكة العربية السعودية. ودخل نظام حماية البيانات الشخصية حيز التنفيذ ليوفر آلية قانونية لحماية البيانات الشخصية من الانتهاك، والتعدي، والإفشاء متضمنا عقوبات صارمةً لكل من يحاول استغلال البيانات الشخصية للغير، كما يتضمن إجراءات وقائية لمراحل جمع البيانات ومعالجتها، وتخزينها، واستعمالها، وتمريرها. وتشتمل البيانات الشخصية على العديد من البيانات منها: الصحية والائتمانية والجنائية والصور الفوتوغرافية ونسخ الوثائق الرسمية. "رفع الوعي" وتقوم فكرة الحملة على رفع الوعي بالبيانات الشخصية، وتعزيز الوعي بالمسؤولية المشتركة بين الأفراد والجهات في حمايتها والمحافظة على خصوصية الأفراد المتعلقة بها، وإيضاح الدور الذي تلعبه مشاركة البيانات الشخصية بوعي في تسهيل الخدمات المقدمة للأفراد وتحسين جودتها، بما ينعكس على جودة حياتهم. وترتكز الحملة على خلق التوازن بين محورين رئيسين هما: رفع مستوى وعي الأفراد حول حماية بياناتهم الشخصية، وحقوقهم المتعلقة بها المكفولة لهم في النظام، إضافةً إلى المصالح التي راعاها النظام، وتعزيز وعيهم حول قرار مشاركة البيانات الشخصية بموثوقية. وتسعى الحملة التوعوية بنظام حماية البيانات الشخصية إلى بناء مبدأ الثقة والعمل المشترك بين الجهات والأفراد فيما يتعلق بالتعامل مع البيانات الشخصية، بما يضفي الاستقرار على التعاملات المتعلقة بهذا النوع من البيانات، ويحقق مستهدفات صناعة اقتصاد رقمي قائم على البيانات، وتستهدف الحملة جميع فئات المجتمع في المملكة، بمختلف مستوياتهم التعليمية وأجناسهم وأعمارهم علاوة على الجهات الحكومية والخاصة. وتعريف سياسة حماية البيانات الشخصية: تنطبق أحكام هذه السياسة على جميع الجهات في المملكة، التي تقوم كليا أو جزئياً بمعالجة البيانات الشخصية، وكذلك الجهات الخارجية التي تقوم بمعالجة البيانات الشخصية المتعلقة بالأفراد المقيمين في المملكة والتي تتم عبر شبكة الإنترنت أو أي وسيلة أخرى. ويستثنى من نطاق تطبيق هذه السياسة، جمع البيانات الشخصية من غير صاحبها مباشرة -دون علمه- أومعالجتها لغير الغرض الذي جمعت من أجله أو الإفصاح عنها دون موافقته أو نقلها إلى خارج المملكة. في الأحوال التالية: إذا كانت جهة التحكم جهة حكومية وكان جمع البيانات الشخصية أو معالجتها مطلوباً لتحقيق متطلبات نظامية وفقاً للأنظمة واللوائح والسياسات المعمول بها في ا المملكة أو لاستيفاء متطلبات قضائية أو لتنفيذ التزام بموجب اتفاق تكون المملكة طرفاً فيه. إذا كان جمع البيانات الشخصية أو معالجتها ضرورياً لحماية الصحة أو السلامة العامة أو حماية المصالح الحيوية للأفراد. "خصوصية وحماية" لقد اعتمدت المملكة العربية السعودية أنظمة وسياسات حماية البيانات الشخصية الصارمة من أجل ضمان حماية خصوصية المستخدمين، وتتضمن هذه الأنظمة واللوائح نظام حماية البيانات الشخصية (المرسوم الملكي رقم (م/19) بتاريخ 9/2/1443 ه)، والمبادئ الأساسية لنظام حماية المعلومات الشخصية والمبادئ الأساسية والأحكام العامة لنظام مشاركة البيانات الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي ومكتب إدارة البيانات الوطنية. وتمّ اعتماد نظام حماية البيانات الشخصية بموجب المرسوم الملكي الصادر بتاريخ 16سبتمبر 2021، وذلك إنفاذًا للقرار رقم (98) بتاريخ 4 سبتمبر 2021. وتُعدّ الهيئة السعودية للبيانات والذكاء الاصطناعي الجهة المختصّة بتطبيق أحكام نظام حماية البيانات الشخصية الجديد ولوائحه التنفيذية وذلك لمدة سنتين، في ضوء نقل مهمة الإشراف على تطبيق أحكام النظام ولوائحه التنفيذية إلى مكتب إدارة البيانات الوطنية الذي يمثّل الذراع التنظيمي للهيئة السعودية للبيانات والذكاء الاصطناعي. وحدّد نظام حماية البيانات الشخصية ولوائحه التنفيذية الأساس القانوني لحماية الحقوق المرتبطة بمعالجة البيانات الشخصية لدى جميع الجهات بالمملكة، إلى جانب جميع الجهات القائمة خارج المملكة التي تضطلع بمعالجة البيانات الشخصية الخاصة بالأفراد المقيمين في المملكة باستخدام أي وسيلة، بما يشمل معالجة البيانات الشخصية عبر مواقع الإنترنت. "مبادئ أساسية" وتشمل المبادئ الأساسية لسياسة حماية البيانات ما يلي: مساءلة رئيس الجهة (أو من ينوب عنه) عن سياسات وإجراءات الخصوصية المتبّعة لدى جهة مراقبة البيانات. والشفافية من خلال إشعار الخصوصية الذي يشير إلى الأغراض التي تجمع البيانات الشخصية من أجلها. والاختيار والموافقة المعتمدة من خلال الموافقة الضمنية أو الصريحة فيما يتعلق بجمع البيانات الشخصية واستخدامها والإفصاح عنها قبل جمعها. واقتصار جمع البيانات على الحد الأدنى من البيانات التي تمكِّن من تحقيق الأغراض. والاستخدام والاحتفاظ والإتلاف بشكل صارم للغرض المقصود، والاحتفاظ بالبيانات طالما كان ذلك ضروريًا لتحقيق الأغراض المقصودة أو كما هو مطلوب بموجب الأنظمة واللوائح وإتلافها بأمان، ومنع التسرب، أو الفقدان، أو السرقة، أو سوء الاستخدام أو الوصول غير المصرح به. والوصول إلى البيانات الذي يمكّن أي جهة مالكة للبيانات من خلالها استعراض بياناتها الشخصية وتحديثها وتصحيحها. وقيود الإفصاح عن البيانات المعتمدة من قبل الجهة المالكة للبيانات تُقيّد الجهات الخارجية بالأغراض المنصوص عليها في إشعار الخصوصية. وأمن البيانات من خلال حماية البيانات الشخصية من التسرب، أو التلف، أو الفقدان، أو السرقة، أو سوء الاستخدام، أو التعديل أو الوصول غير المصرح به؛ وفقًا للضوابط الصادرة عن الهيئة الوطنية للأمن السيبراني والسلطات الأخرى ذات الصلة. وجودة البيانات بعد التحقّق من دقتها واكتمالها وتوقيتها. ومراقبة سياسات وإجراءات خصوصية جهة التحكم بالبيانات والامتثال لها، وأي استفسارات وشكاوى ونزاعات متعلقة بالخصوصية. "مجالات ذات صلة" وتغطي ضوابط ومواصفات إدارة البيانات الوطنية وحوكمتها وحماية البيانات الشخصية 15 مجالًا ذي صلة. وتنطبق المعايير على جميع البيانات الحكومية بغض النظر عن الشكل أو النوع، بما يشمل السجلات الورقية، أو رسائل البريد الإلكتروني، أو البيانات المخزنة في شكل إلكتروني، أو التسجيلات الصوتية، أو مقاطع الفيديو، أو الخرائط، أو الصور، أو البرامج النصية أو المستندات المكتوبة بخط اليد أو البيانات المسجلة الأخرى. ولا يخل تطبيق أحكام نظام حماية البيانات الشخصية ولائحته التنفيذية باختصاصات ومهام الهيئة الوطنية للأمن السيبراني باعتبارها هيئة أمنية مختصة بالأمن السيبراني وشؤونه في المملكة. وبالنسبة لأنظمة وتشريعات الأمن السيبراني فيهدف نظام مكافحة جرائم المعلوماتية إلى الحد من الجرائم المعلوماتية بهدف تحديد الجرائم والعقوبات المترتبة عليها، وذلك للمساعدة في تحقيق أمن المعلومات، وحماية المصلحة العامة والأخلاق، وحفظ الحقوق المترتبة على الاستخدام المشروع للحواسيب الآلية والشبكات المعلوماتية وحماية الاقتصاد الوطني. وقد أصدرت الهيئة الوطنية للأمن السيبراني مجموعة من الضوابط والأطر التنظيمية والمبادئ التوجيهية المرتبطة بالأمن السيبراني على المستوى الوطني لرفع مستوى الأمن السيبراني في المملكة سعيًا إلى حماية مصالحها الحيوية وأمنها الوطني وبنيتها التحتية الأساسية وخدماتها الحكومية. وتشمل الضوابط والأطر التنظيمية والمبادئ التوجيهية الصادرة عن الهيئة الوطنية للأمن السيبراني ما يلي: ضوابط الأمن السيبراني لحسابات التواصل الاجتماعي للجهات، الضوابط الأساسية للأمن السيبراني، ضوابط الأمن السيبراني للحوسبة السحابية، ضوابط الأمن السيبراني للعمل عن بعد، ضوابط الأمن السيبراني للأنظمة الحساسة، ضوابط الأمن السيبراني للأنظمة التشغيلية، ضوابط الأمن السيبراني للبيانات، الإطار السعودي لكوادر الأمن السيبراني (سيوف)، المعايير الوطنية للتشفير، الإطار السعودي للتعليم العالي في الأمن السيبراني (سايبر-التعليم)، إرشادات الأمن السيبراني لمستهلكي التجارة الإلكترونية. "السياسات المعلوماتية" وعن تشريعات حرية المعلومات، فيُعد حق الحصول على المعلومات في المملكة العربية السعودية عنصرًا أساسيًا في السياسات المعلوماتية، والتي تؤكد على سياسة حق الحصول على المعلومات ذات الصلة بالمعلومات العامة السرية. ووُضِعت التشريعات بُغية تحديد شروط الأهلية المعنية بالحصول على المعلومات وحق الأفراد في الحصول على المعلومات وفقًا لخمسة شروط، إلى جانب تحديد نوع المعلومات التي يُمكن طلبها والمعلومات المستثناة من ذلك. وهناك خطوات وإجراءات رسمية لطلب الحصول على المعلومات وتحديد المنصات التي يُمكن للمواطنين تقديم الطلب عبرها، إلى جانب توفير معلومات التواصل للجهات ذات العلاقة في حال وجود أي استفسارات تتعلق بسياسة حق الحصول على المعلومات. وتتصل سياسة حرية المعلومات بالمعلومات العامة غير المحمية أو السرية التي تقوم المنصّة بمعالجتها مهما كان مصدرها أو شكلها أو طبيعتها، وتندرج البيانات المفتوحة ضمن فئة المعلومات العامة. ويطلق على عملية توفير البيانات العامة للأفراد بمقابل مادي "حرية المعلومات" أو كما تُعرف باسم "سياسة حق الحصول على المعلومات". وتشريعات حرية المعلومات تحدّد اللوائح المؤقتة لحرية المعلومات الأساس القانوني لحقوق الأفراد في الوصول إلى معلومات القطاع العام والحصول عليها، والتزامات الجهات العامة بجميع طلبات الوصول إلى المعلومات العامة -غير المحمية- التي تنتجها أو تحتفظ بها، بغض النظر عن المصدر أو الشكل أو الطبيعة. ويشمل ذلك: السجلات الورقية، رسائل البريد الإلكتروني أو المعلومات المخزنة على أجهزة الحاسب، أو التسجيلات الصوتية، أو الفيديو، أو الميكروفيش، أو الخرائط، أو الصور الفوتوغرافية، أو الملاحظات المكتوبة بخط اليد أو أي شكل آخر من أشكال المعلومات المسجلة. كما تحدّد اللائحة أدوار ومسؤوليات الهيئة السعودية للبيانات والذكاء الاصطناعي والجهات التابعة لها، بالإضافة إلى التزامات مكتب إدارة البيانات الوطنية، ومركز المعلومات الوطني. وكل فرد يملك الحق في تقديم طلب ومعرفة المعلومات المتعلقة بأنشطة المنصّة، وأيضًا يملك الحق في الاطلاع على المعلومات العامة -غير المحمية- مقابل رسوم مالية. وليس بالضرورة أن يتمتّع مقدّم الطلب بحيثية معينة أو باهتمام معين بهذه المعلومات ليتمكن من الحصول عليها، كما أنه لن يتعرض لأي مساءلة قانونية متعلقة بهذا الحق، ويأتي ذلك تعزيزًا لمنظومة النزاهة والشفافية والمساءلة. وتشمل حقوق الفرد في الحصول على المعلومات ما يلي: الحق في تقديم طلب للحصول على أو الوصول إلى المعلومات غير محمية لدى الجهات العامة، الحق في معرفة سبب رفض طلب الوصول أو الاطلاع على المعلومات المطلوبة. الحق في التظلم من قرار رفض طلب الحصول على المعلومات المطلوبة أو الوصول إليها، أن يتم التعامل مع جميع طلبات الوصول إلى المعلومات العامة أو الحصول عليها على أساس المساواة وعدم التمييز بين الأفراد، أن تكون أي قيود على طلب الاطلاع أو الحصول على المعلومات المحمية التي تتلقاها أو تنتجها أو تتعامل معها المنصّة مبررة بطريقة واضحة وصريحة. وتنطبق السياسة على جميع طلبات الوصول إلى المعلومات "غير المحمية والبيانات المفتوحة" مهما كان مصدرها أو شكلها أو طبيعتها بغرض تحسين أداء وكفاءة العمل والاستفادة من البيانات. "المعلومات المستثناة" أما المعلومات المستثناة التي لا تنطبق أحكام هذه السياسة عليها هي "المعلومات المحمية" مثل: المعلومات التي يؤدي إفشاؤها إلى الإضرار بالأمن القومي للدولة أو سياستها أو مصالحها أو حقوقها، المعلومات التي تتضمن توصيات أو اقتراحات أو استشارات من أجل إصدار تشريع أو قرار حكومي لم يصدر بعد، المعلومات ذات الطبيعة التجارية أو الصناعية أو المالية أو الاقتصادية التي يؤدي الإفصاح عنها إلى تحقيق ربح أو تلاقي خسارة بطريقة غير مشروعة، الأبحاث العلمية أو التقنية، أو الحقوق المشتملة على حق من حقوق الملكية الفكرية التي يؤدي الكشف عنها إلى المساس بحق معنوي، المعلومات المتعلقة بالمناقصات والعطاءات والمزايدات التي يؤدي الإفصاح عنها إلى الإخلال بعدالة المنافسة، المعلومات التي تكون سرية أو شخصية بموجب نظام آخر، أو تتطلب إجراءات نظامية معينة للوصول إليها أو الحصول عليها، المعلومات العسكرية والأمنية. المعلومات والوثائق التي يتم الحصول عليها بمقتضى اتفاق مع دولة أخرى وتصنف على أنها محمية، التحريات والتحقيقات وأعمال الضبط وعمليات التفتيش والمراقبة المتعلقة بجريمة أو مخالفة أو تهديد. " سد الفجوة" وعن سياسات ولوائح البيانات المفتوحة، فالبيانات الحكومية المفتوحة هي البيانات التي يمكن لأي شخص استخدامها دون أي قيود تقنية أو مالية أو قانونية. كما يُمكن إعادة استخدام البيانات المفتوحة وإعادة توزيعها، شريطة مراعاة متطلبات ترخيص البيانات المفتوحة التي بموجبها يتم توزيع هذه البيانات، فضلًا عن كونها تساعد على سد الفجوة بين الحكومات والمواطنين، تحقيقًا لمبدأ الشفافية وتمكينًا للمواطنين القائمين في المملكة من الوصول إلى قاعدة كبيرة من البيانات الحكومية، أطلقت المملكة السياسات واللوائح الإرشادية ذات الصلة. وتُعد الهيئة السعودية للبيانات والذكاء الاصطناعي الجهة الوطنية المنظّمة للبيانات في المملكة العربية السعودية، حيث طوّرت سدايا إطار عمل حوكمة البيانات الوطنية لوضع السياسات واللوائح المطلوبة لتصنيف البيانات، ومشاركتها، وخصوصيتها، وحرية المعلومات، والبيانات المفتوحة، وغيرها تحسبًا للتشريعات اللازمة. واللوائح المؤقتة للبيانات المفتوحة: تحدّد اللوائح المؤقتة للبيانات المفتوحة الأساس القانوني والالتزامات لجميع البيانات والمعلومات العامة التي تنتجها الجهات العامة بغض النظر عن المصدر أو الشكل أو الطبيعة. كما تعين الأسس القانونية والحد الأدنى من المعايير للوكالات الحكومية لنشر مجموعات البيانات الخاصة بها. وتبيّن اللائحة المؤقتة للبيانات المفتوحة أدوار ومسؤوليات الهيئة السعودية للبيانات والذكاء الاصطناعي وجهاتها الفرعية، ومكتب إدارة البيانات الوطنية ومركز المعلومات الوطني. وجميع الجهات الحكومية الأخرى التي لديها التزامات فيما يتعلق بوضع خطط البيانات المفتوحة وتحديدها ونشرها وصيانتها وتتبع الأداء والامتثال، لوائح وسياسات التشغيل البيني للبيانات واستجابت الحكومة إلى ضرورة وضع إطار التشغيل البيني رسميًا منذ عام 2006، كجزء من الاستراتيجية الرقمية الوطنية الأولى للحكومة السعودية. "التشغيل البيني" وجرى العمل على تطوير إطار التشغيل البيني واعتماده، حيث يتضمن تعريفًا للبيانات المشتركة والمعايير التقنية، وإطار يسّر للتشغيل البيني، ويهدف إلى دعم الوزارات والجهات الحكومية لتبادل البيانات وتقديم الخدمات عن طريق البنية التحتية المشتركة للتكامل. وأدت جهود تيسير تقديم الخدمات الإلكترونية، وتوفير المزايا الفنية المنسّقة إلى تمكين قابلية التشغيل لخطط التحوّل الرقمي ذات الأولوية. وتركّز الخطط الحالية للتشغيل البيني على ما يلي: تحديد معايير البيانات المشتركة البيانات على المستويين التشغيلي والمنطقي، ووصف مخططات البيانات الهياكل المستخدمة في الربط بين الأنظمة، تحديد معايير البيانات الوصفية الخصائص والقواميس المستخدمة لتصنيف وفهرسة المحتوى الإلكتروني، ضمان المعايير والسياسات التقنية لفاعلية التشغيل البيني على المستوى التقني، وشمولية معايير الاتصال والربط ومعايير التكامل والمعايير الأمنية، لا تشكّل عملية تطوير إطار التشغيل البيني نشاطًا لمرة واحدة، ولكنها مبادرة مستمرة تستدعي بذل جهود متواصلة. ويتضمن التحوّل الرقمي مواصفات مُفصّلة، مثل: المواصفات المتعلقة بالبيانات والبيانات الوصفية والمعايير التقنية. ويُعرّف الإطار هياكل البيانات المشتركة وعناصر البيانات بكونها ضرورية لضمان التكامل السلس بين الأنظمة ومشاركة البيانات على مستوى جميع الجهات الحكومية. وتُعد وثيقة معايير قابلية التشغيل البيني الوطنية في غاية الأهمية لأنها توفّر الإرشادات وتعريفات هياكل البيانات اللازمة لضمان التشغيل البيني، والتكامل، وقابلية النقل للأنظمة، وإمكانية إعادة استخدامها. كما وتوضّح المعايير واللوائح التنظيمية التي تمكِّن الجهات من مشاركة الخدمات والاستفادة منها من خلال البنية التحتية التقنية الحكومية، وتزيل أوجه الغموض وعدم الاتساق في استخدام البيانات من خلال تفويض مجموعة من عناصر البيانات وهياكل البيانات للتكامل.