يُعتبر قانون الاتحاد الأوروبي للذكاء الاصطناعي أول قانون شامل في العالم ينظم الذكاء الاصطناعي — وبما يشبه اللائحة العامة لحماية البيانات (GDPR) التي سبقته، فإن تأثيره يمتد بعيدًا جدًّا خارج حدود أوروبا. فإذا كانت شركتك تُطوِّر أو تبيع أو حتى فقط يستخدم الذكاء الاصطناعي، وكان نشاطك مرتبطًا بالسوق الأوروبية بأي شكل من الأشكال، فمن المرجح أن ينطبق هذا القانون عليك. ويشرح لك هذا الدليل القانون بلغة واضحة وعملية.
هذه المقالة تقدِّم معلومات عامة، وليست نصيحة قانونية. ولتحديد التزاماتك المحددة، يُرجى استشارة مختص مؤهل.
أبرز الاستنتاجات
- قانون الاتحاد الأوروبي للذكاء الاصطناعي هو أول قانون شامل للذكاء الاصطناعي، ويتبني نهجًا قائمًا على المخاطر .
- أربع درجات من المخاطر: غير مقبولة (ممنوعة)، عالية الخطورة (قواعد صارمة)، محدودة الخطورة (شفافية)، منخفضة الخطورة جدًّا (حرية كاملة).
- يطبَّق خارج حدود الاتحاد الأوروبي — فتشمل الشركات غير الأوروبية إذا كان لأدائها الذكي تأثيرٌ على السوق الأوروبية.
- يُطبَّق تدريجيًّا، حيث تدخل الالتزامات المختلفة حيز التنفيذ في تواريخ مختلفة.
- والعقوبات صارمة جدًّا — وتتمثل في غرامات كبيرة تستند إلى إجمالي الإيرادات العالمية للشركة.
- ما هو قانون الذكاء الاصطناعي الأوروبي؟
- الدرجات الأربع للمخاطر
- لمن ينطبق هذا القانون؟
- الالتزامات الرئيسية لأنظمة الذكاء الاصطناعي عالية الخطورة
- الذكاء الاصطناعي متعدد الأغراض
- الجدول الزمني والعقوبات
- ما الذي ينبغي على الشركات فعله الآن
- خريطة طريق مرحلية للامتثال للمواعيد النهائية الجديدة للفترة ٢٠٢٦–٢٠٢٨
- الأسئلة الشائعة
- الخلاصة
- مقالات ذات صلة
ما هو قانون الذكاء الاصطناعي الأوروبي؟
قانون الذكاء الاصطناعي الأوروبي هو تشريع صادر عن الاتحاد الأوروبي يضع قواعد لتطوير أنظمة الذكاء الاصطناعي وبيعها واستخدامها. وهدفه ضمان أن يكون الذكاء الاصطناعي المستخدم في الاتحاد الأوروبي آمنًا وشفافًا ويحترم الحقوق الأساسية — مع السماح في الوقت نفسه بالابتكار.
أما سمتُه المميِّزة فهي اعتماده منهجًا أساسه التقييم حسب مستوى المخاطر. إذ لا ينظِّم القانون جميع أنظمة الذكاء الاصطناعي بنفس الطريقة، بل يصنِّفها وفق درجة الخطر الذي قد تشكِّله على الأفراد، ويطبِّق قواعد أكثر صرامةً على الاستخدامات ذات المخاطر الأعلى. فمرشِّح البريد العشوائي (Spam filter) ونظام الذكاء الاصطناعي الذي يفحص طلبات التوظيف لا يُعامَلان معاملةً متساويةً — وهذا بالضبط هو الغرض من هذا التصنيف.
الدرجات الأربع للمخاطر
ينبع كل ما ورد في القانون من هذه الفئات:
| درجة المخاطر | المعاملة | أمثلة |
|---|---|---|
| مخاطر غير مقبولة | ممنوعة تمامًا | التقييم الاجتماعي (Social scoring)، والذكاء الاصطناعي التلاعبِي أو الاستغلالي |
| مخاطر عالية | التزامات صارمة | الذكاء الاصطناعي في مجال التوظيف والائتمان والتعليم والبنية التحتية الحرجة |
| مخاطر محدودة | واجبات الشفافية | روبوتات الدردشة (Chatbots)، والمحتوى المُولَّد بواسطة الذكاء الاصطناعي |
| مخاطر ضئيلة | غير خاضعةٍ للتنظيم بشكلٍ كبير | مرشِّحات البريد العشوائي، والذكاء الاصطناعي في الألعاب، وأدوات التوصية |
مخاطر غير مقبولة — حيث يُحظَر تمامًا مجموعة صغيرة من تطبيقات الذكاء الاصطناعي التي تُعتبر تهديدًا واضحًا لحقوق الأفراد.
مخاطر عالية — وهي الفئة الأهم من حيث الامتثال. فتواجه أنظمة الذكاء الاصطناعي المستخدمة في المجالات ذات العواقب الجسيمة — مثل قرارات التوظيف، والوصول إلى الائتمان والخدمات الأساسية، والتعليم، وبعض الأنظمة الحرجة — متطلبات صارمة قبل وبعد الاستخدام.
مخاطر محدودة — أما الأنظمة مثل روبوتات الدردشة والمحتوى المُولَّد بواسطة الذكاء الاصطناعي فتخضع لـ واجبات الشفافية : فيجب إبلاغ الأشخاص بأنهم يتفاعلون مع نظام ذكاء اصطناعي، أو بأن المحتوى المقدَّم تم إنشاؤه بواسطة الذكاء الاصطناعي.
مخاطر ضئيلة — وتضم هذه الفئة الغالبية العظمى من تطبيقات الذكاء الاصطناعي، والتي لا تواجه عمليًّا أي التزامات جديدة.
لمن ينطبق هذا القانون؟
وهذا الجزء الذي تغفله العديد من الشركات غالبًا: إن قانون الذكاء الاصطناعي الأوروبي ينطبق خارج حدود الاتحاد الأوروبي. فلا يشترط أن تكون شركتك موجودة في أوروبا كي يشملك هذا القانون.
ويشمل القانون ما يلي:
- المقدِّمون — أي من يطوِّر أنظمة الذكاء الاصطناعي أو يطرحها في السوق الأوروبية.
- المُستخدِمون — أي الشركات التي استخدام أنظمة الذكاء الاصطناعي في عملياتها داخل الاتحاد الأوروبي.
- الشركات غير الأوروبية — فإذا كان نظام الذكاء الاصطناعي الخاص بك مستخدمًا في الاتحاد الأوروبي، أو كانت مخرجاته تُستخدم فيه، فإن القانون قد ينطبق عليك بغض النظر عن مكان تأسيس شركتك.
وبالتالي فإن أي شركة في أي مكان بالعالم تقدِّم منتج ذكاء اصطناعي لعملاء في الاتحاد الأوروبي، أو تستخدم الذكاء الاصطناعي لاتخاذ قرارات تؤثر على أشخاص في الاتحاد الأوروبي، قد تكون ضمن نطاق تطبيق هذا القانون. وهذه هي نفس ظاهرة «أثر بروكسل» التي جعلت اللائحة العامة لحماية البيانات (GDPR) معيارًا عالميًّا.
الالتزامات الرئيسية لأنظمة الذكاء الاصطناعي عالية الخطورة
إذا كان نظام الذكاء الاصطناعي الخاص بك يقع ضمن فئة المخاطر العالية، فتوقع متطلبات مثل:
- إدارة المخاطر — وهي عملية مستمرة لتحديد المخاطر وتقليلها.
- حوكمة البيانات — باستخدام مجموعات بيانات مناسبة ومُدارَة جيدًا، مع الانتباه إلى التحيُّز.
- التوثيق — ويتضمَّن سجلات فنية مفصَّلة تثبت الامتثال للقانون.
- الشفافية — وتوفير معلومات واضحة للأفراد الذين يستخدمون النظام أو يتأثرون به.
- الإشراف البشري — ويجب تصميم النظام بحيث يمكن للبشر الإشراف عليه بشكلٍ فعّال.
- الدقة والمتانة — الأداء والأمان الملائمان.
- حفظ السجلات — التسجيل لتمكين تتبع تشغيل النظام.
لـ منخفض الخطورة في الأنظمة، تتمثل المهمة المركزية في بساطتها: الإفصاح. أخبر المستخدمين بأنهم يتعاملون مع ذكاء اصطناعي، ووَسِّم المحتوى الذي يولّده الذكاء الاصطناعي بوضوح.
الذكاء الاصطناعي متعدد الأغراض
كما يتناول القانون أيضًا الذكاء الاصطناعي متعدد الأغراض — أي النماذج الأساسية الكبيرة التي تُشكِّل أساس العديد من المنتجات. ويواجه مقدمو هذه النماذج مجموعةً خاصةً من الالتزامات، بما في ذلك متطلبات الشفافية والتوثيق، مع واجبات إضافية تُفرض على أكثر النماذج قدرةً والتي قد تشكل مخاطر أوسع نطاقًا.
الجدول الزمني والعقوبات
لا يبدأ سريان قانون الذكاء الاصطناعي الأوروبي دفعة واحدة. بل إنه يُطبَّق تدريجيًّا، حيث تصبح الالتزامات المختلفة سارية المفعول في تواريخ مختلفة — فقد سبقت الحظر المفروض على الاستخدامات المحظورة، ثم تبعتها متطلبات الفئات عالية الخطورة وغيرها وفق جدول زمني متدرج. وبما أن التواريخ الدقيقة تعتمد على الفئة، فإن الشركات يجب أن تتحقق من الجدول الزمني الحالي للالتزامات التي تؤثر عليها.
الـ الغرامات جادةٌ عمداً — وهي غرامات كبيرة تُحسب كنسبة مئوية من إجمالي حجم المبيعات السنوي العالمي للشركة العالمي ، مع فرض أعلى الغرامات على أشد الانتهاكات خطورة. وكما هو الحال مع لائحة حماية البيانات العامة (GDPR)، فإن تصميم العقوبة يضمن ألا تستطيع الشركات الكبرى اعتبار الامتثال أمراً اختيارياً.
ما الذي ينبغي على الشركات فعله الآن
قائمة مرجعية عملية للبدء:
- جرِّد أنظمتك القائمة على الذكاء الاصطناعي. اذكر كل نظام ذكاء اصطناعي تقوم بتطويره أو استخدامه والذي يتصل بالاتحاد الأوروبي.
- صنِّف كل نظام منها حسب مستوى المخاطر. وهذا ما يحدد ما إذا كان لا بد من اتخاذ إجراءٍ ما أم لا.
- ركِّز على الأنظمة عالية الخطورة — فهنا تكمن الجهود الحقيقية المطلوبة للامتثال.
- تحقَّق من واجبات الشفافية — فإذا كنت تستخدم روبوتات الدردشة أو تولِّد محتوى عبر الذكاء الاصطناعي، فتأكد من أنك تُبلغ عن ذلك بوضوح.
- عيِّن مسؤولية واضحة. اجعل إدارة الذكاء الاصطناعي مسؤولية شخصٍ محدَّدٍ بوضوح.
- احصل على استشارة خبراء في أي حالة تتعلق بأنظمة عالية الخطورة أو غير واضحة.
بالنسبة لمعظم الشركات، سيقع الجزء الأكبر من استخداماتها للذكاء الاصطناعي ضمن فئتي الخطورة الدنيا أو المنخفضة، وبالتالي لن تتطلب سوى جهدٍ ضئيل. أما الجهد الرئيسي فيتركز على الأنظمة عالية الخطورة — لذا فإن أول مهمة هي ببساطة معرفة أي أنظمتك، إن وُجدت، تندرج تحت هذه الفئة.
خريطة طريق مرحلية للامتثال للمواعيد النهائية الجديدة للفترة ٢٠٢٦–٢٠٢٨
لم يعد الجدول الزمني يمثل حافة انقطاع واحدة. ففي إطار حزمة التبسيط الرقمية الشاملة (Digital Omnibus)، التي توصل المجلس والبرلمان الأوروبيان إلى اتفاق أولي بشأنها في ٧ مايو ٢٠٢٦، تم تأجيل أشد الالتزامات المفروضة على الأنظمة عالية الخطورة: إذ أصبحت الأنظمة المستقلة المدرجة في المرفق الثالث (مثل التوظيف، وتصنيف الائتمان، والتعليم وما شابه) سارية المفعول ابتداءً من ٢ ديسمبر ٢٠٢٧، بينما تصبح أنظمة الذكاء الاصطناعي المدمَّجة في المنتجات الخاضعة للتنظيم والمذكورة في المرفق الأول (مثل الأجهزة الطبية، والآلات، والمركبات) سارية المفعول ابتداءً من ٢ أغسطس ٢٠٢٨. وهذه فترة راحة، وليست إمهالاً. فقد تم حظر الممارسات المحظورة منذ فبراير ٢٠٢٥؛ وتبدأ تطبيق قواعد الشفافية لأول مرة، وتُطبَّق التزامات الذكاء الاصطناعي متعدد الأغراض (التي دخلت حيز التنفيذ بالفعل منذ أغسطس ٢٠٢٥) مع فرض الغرامات ابتداءً من ٢ أغسطس ٢٠٢٦. وتجدر الإشارة إلى أن هذه التواريخ الجديدة تخضع للاعتماد الرسمي ونشرها في الجريدة الرسمية. وعليه، فاعتبر هذا التأجيل فرصةً لإتمام العمل بشكلٍ سليم، وليس تأجيلاً له.
اعمل على المشكلة في أربع مراحل:
- المرحلة الأولى — الجرد (افعل ذلك الآن). أدرج كل نظام ذكاء اصطناعي تبنيه مؤسستك أو تشترية أو تدمجه. وسجِّل بالنسبة لكلٍّ منها اسم المورِّد والغرض التجاري الذي يخدمه، والبيانات التي يتعامل معها، والأشخاص الذين تؤثر نتائجه عليهم. فبدون إعداد قائمة كاملة بهذه الأنظمة، لا يمكنك تصنيفها أو تخصيص ميزانية لها، كما أن أنظمة الذكاء الاصطناعي غير الرسمية (Shadow AI) المُضمَّنة داخل أدوات البرمجيات كخدمة (SaaS) تُعَدُّ أكثر الثغرات الخفية شيوعًا.
- المرحلة الثانية — التصنيف والفحص الأولي. صنِّف كل نظامٍ وفق مستوى المخاطر المرتبطة به. ويجب إيقاف أي نظام قد يكون محظورًا فورًا (مثل أنظمة التعرُّف على المشاعر في بيئة العمل، أو جمع البيانات دون استهداف لقواعد بيانات التعرُّف على الوجوه)، لأن هذه القواعد سارية بالفعل منذ وقتٍ سابق. وحدِّد جميع الأنظمة عالية الخطورة لإجراء مراجعة أعمق لها.
- المرحلة الثالثة — سد الفجوات (2026–2027). بالنسبة للأنظمة عالية الخطورة، أنشئ الوثائق التقنية المطلوبة، وعملية إدارة المخاطر، وتصميم الإشراف البشري، وسجلات التتبع (Logging)، وأدلّة حوكمة البيانات التي يفرضها القانون. وإذا كنت تُفعِّل نظام طرف ثالث بدلًا من تطوير نظام خاص بك، فإن التزاماتك بموجب المادة 26 تكون أقل صرامةً لكنها حقيقيةٌ؛ لذا يجب أن تحصل على تعليمات المورِّد ووثائق المطابقة الخاصة به بشكلٍ كتابيٍّ وتحتفظ بها.
- المرحلة الرابعة — التشغيل والمراقبة (مستمرٌ). الامتثال ليس إجراءً لمرة واحدة فقط. عيِّن مسؤولين مُسمَّين، واحفظ السجلات، وراقب الأداء باستمرار، وأبلغ عن الحوادث الجسيمة فور وقوعها دون تأخير.
ابدأ بتنفيذ برامج تدريبية في مجال معرفة الذكاء الاصطناعي بالتوازي منذ اليوم الأول — فهي رخيصة التكلفة، ومطلوبة بالفعل من مقدِّمي الخدمات والمستخدمين على حد سواء، كما أن وجود قوة عاملة مدربة هو العامل الحاسم الذي يجعل جميع المراحل الأخرى ناجحة. وإن كنت شركة ناشئة (SME) أو شركة متوسطة الحجم صغيرة، فراقب التبسيطات التي تتضمنها الحزمة الرقمية الشاملة (Omnibus)، والتي تستهدف شركات مثل شركتك بالتحديد، ومن بينها متطلبات أخف في ما يتعلَّق بالتوثيق، ووصول أولوي إلى «البيئات التجريبية التنظيمية» (Regulatory Sandboxes) للاختبار في البيئات الواقعية.
الأسئلة الشائعة
ما هو قانون الذكاء الاصطناعي الأوروبي؟
قانون الذكاء الاصطناعي الأوروبي هو القانون الشامل الذي وضعه الاتحاد الأوروبي لتنظيم الذكاء الاصطناعي — وهو أول قانون من نوعه. ويستخدم هذا القانون نهجاً قائماً على المخاطر، فيصنِّف أنظمة الذكاء الاصطناعي إلى أربعة مستويات (غير مقبولة، عالية الخطورة، محدودة الخطورة، ومنخفضة الخطورة)، ويطبِّق التزامات تتناسب مع درجة الخطر الذي تمثِّله كل منها.
هل ينطبق قانون الذكاء الاصطناعي الأوروبي على الشركات غير التابعة للاتحاد الأوروبي؟
نعم. فالقانون يسري خارج حدود الإقليم. ويمكن أن يشمل شركةً مقرها في أي مكانٍ ما إذا كان نظام الذكاء الاصطناعي الذي تقدمه موجَّهاً إلى سوق الاتحاد الأوروبي، أو مستخدَماً داخل الاتحاد الأوروبي، أو كانت مخرجاته مستخدمةً فيه. وقد تترتب على الشركات في جميع أنحاء العالم التزاماتٌ إذا كان ذكاؤها الاصطناعي يلامس الاتحاد الأوروبي.
ما هي فئات المخاطر في قانون الذكاء الاصطناعي الأوروبي؟
أربع فئات: غير مقبولة الخطورة (محظورة تماماً)، عالية الخطورة (التزامات صارمة، مثل الذكاء الاصطناعي في التوظيف أو منح الائتمان)، محدودة الخطورة (واجبات شفافية، مثل روبوتات الدردشة التي تُصرِّح بأنها تعمل بالذكاء الاصطناعي)، ومنخفضة الخطورة (أغلب تطبيقات الذكاء الاصطناعي، والتي تخضع لتنظيمٍ محدود جداً).
ما هي العقوبات المفروضة على مخالفة قانون الذكاء الاصطناعي الأوروبي؟
العقوبات عبارة عن غرامات كبيرة تُحسب كنسبة مئوية من إجمالي حجم المبيعات السنوي العالمي للشركة، وتُخصص أكبر الغرامات لأكثر الانتهاكات خطورةً، مثل استخدام أنظمة ذكاء اصطناعي محظورة. ويحاكي هذا التصميم نهج لائحة حماية البيانات العامة (GDPR) في جعل عدم الامتثال مكلفاً فعلاً.
ما الذي ينبغي على شركتي فعله للامتثال لقانون الذكاء الاصطناعي الأوروبي؟
ابدأ بجرد جميع أنظمة الذكاء الاصطناعي التي تطورها أو تستخدمها والتي تتصل بالاتحاد الأوروبي، ثم صنِّف كل منها حسب مستوى المخاطر. فمعظمها سيكون منخفض الخطورة ولن يحتاج إلى جهدٍ كبير. وركِّز جهود الامتثال على أي أنظمة عالية الخطورة، وتأكد من الشفافية في حالة روبوتات الدردشة والمحتوى المُنتَج بواسطة الذكاء الاصطناعي، وعيِّن مسؤولية واضحة لإدارة الذكاء الاصطناعي، واستشر الخبراء القانونيين عند الحاجة.
هل تم تأجيل تطبيق قواعد الأنظمة عالية الخطورة حقًّا حتى عام 2027؟
نعم، في معظم الحالات. فقد نقلت الحزمة الرقمية الشاملة (Digital Omnibus) — التي تم الاتفاق المبدئي عليها من قِبل المجلس الأوروبي والبرلمان الأوروبي في ٧ مايو ٢٠٢٦ — موعد بدء تطبيق الالتزامات المتعلقة بالأنظمة عالية الخطورة المدرجة في المرفق الثالث (Annex III) كأنظمة مستقلة إلى ٢ ديسمبر ٢٠٢٧، بينما تم تأجيل تطبيق هذه الالتزامات على أنظمة الذكاء الاصطناعي المدمجة في المنتجات الخاضعة للتنظيم والمذكورة في المرفق الأول (Annex I) إلى ٢ أغسطس ٢٠٢٨. ويخضع هذا التأجيل للإقرار الرسمي، ولا يؤثر إطلاقًا على القواعد المحظورة (التي دخلت حيز التنفيذ في فبراير ٢٠٢٥) أو قواعد الشفافية والذكاء الاصطناعي العام المرتبطة بتاريخ ٢ أغسطس ٢٠٢٦. لذا خطِّط وفقًا لهذه التواريخ الجديدة، لكن لا تَعتبر قائمة المحظورات اختيارية.
هل الغرامات أقل للشركات الناشئة والمؤسسات الصغيرة؟
نعم، وبشكلٍ فعّال. فالسقف الأعلى للغرامات مرتفعٌ جدًّا: إذ يصل إلى ٣٥ مليون يورو أو ٧٪ من إجمالي الإيرادات السنوية العالمية في حالات الممارسات المحظورة، وإلى ١٥ مليون يورو أو ٣٪ من إجمالي الإيرادات السنوية العالمية في حالات المخالفات المتعلقة بالأنظمة عالية الخطورة. وفي معظم الشركات، يختار الجهة التنظيمية المبلغ الأعلى من هذين الرقمين. لكن الفقرة (٦) من المادة ٩٩ تقلب هذا المبدأ بالنسبة للشركات الصغيرة والمتوسطة (SMEs) والشركات الناشئة: إذ تُحدَّد الغرامة بأقل مبلغٍ من هذين الرقمين. وبالتالي، فإن الشركة الصغيرة ستكون عرضةً لغرامة تتناسب مع نسبةٍ مئويةٍ من إيراداتها المتواضعة، بدلًا من غرامة ثابتة تبلغ عدة ملايين من اليورو.
هل نحن مسؤولون قانونيًّا إذا استخدمنا أداة ذكاء اصطناعي تابعة لطرف ثالث فقط، دون أن نطورها بأنفسنا؟
قد تكون مسؤوليتك قانونية، لكن التزاماتك تكون أضيق نطاقًا. فإذا كنت تُفعِّل فقط نظام ذكاء اصطناعي عالي الخطورة تابعًا لطرف ثالث في مؤسستك، فأنت «مستخدم» (Deployer) وليس «مقدِّم خدمة» (Provider)، وبالتالي تقع على عاتق المورِّد المسؤولية الأساسية عن إجراء تقييم المطابقة، وإعداد الوثائق التقنية، ووضع علامة CE، والتسجيل في الاتحاد الأوروبي. ومع ذلك، تظل التزاماتك المنصوص عليها في المادة ٢٦ سارية المفعول: فيجب عليك استخدام النظام وفقًا لتعليمات المورِّد، وتوفير إشراف بشري مؤهل، والاحتفاظ بالسجلات لمدة لا تقل عن ستة أشهر، ومراقبته، والإبلاغ عن الحوادث الجسيمة، وإخطار الأشخاص المتأثرين، وإجراء تقييم لأثره على الحقوق الأساسية عند الحاجة. وتنبيهٌ مهمٌّ واحدٌ: إذا قمت بتعديل النظام تعديلًا جوهريًّا أو إعادة تسميته على أنه منتج خاص بك، فقد ترث جميع التزامات «مقدِّم الخدمة» بالكامل.
الخلاصة
يُعَد قانون الذكاء الاصطناعي الأوروبي سابقةً تاريخية: فهو أول محاولة شاملة لتنظيم الذكاء الاصطناعي، وعبر نطاقه الإقليمي الواسع، من المرجح أن يصبح مرجعاً عالمياً، تمامًا كما أصبحت لائحة حماية البيانات العامة (GDPR) مرجعاً عالمياً في مجال البيانات.
أما بالنسبة لمعظم الشركات، فإن المهمة العملية قابلة للإدارة. فجرِّد أنظمتك القائمة على الذكاء الاصطناعي، وصنِّفها حسب مستوى المخاطر، وستجد أن الالتزامات الصعبة تنطبق فقط على الاستخدامات عالية الخطورة. والخطأ الذي ينبغي تجنّبه هو افتراض أن القانون لا ينطبق عليك لمجرد أنك لست في أوروبا — فإذا كان ذكاؤك الاصطناعي يصل إلى سوق الاتحاد الأوروبي، فمن المرجح جداً أن ينطبق عليك القانون.

