هذه ترجمة آلية للمستند الأصلي باللغة الإنجليزية. في حال وجود أي تعارض بين هذه الترجمة والنسخة الإنجليزية الأصلية، تُعتمد النسخة الإنجليزية. اقرأ النسخة الإنجليزية الأصلية
ما حجم البيانات التي يخزنها ChatGPT عنك؟ تدقيق تقني
2026-04-02 · Caiioo Team
إذا كنت تستخدم ChatGPT في العمل، فمن المحتمل أن يكون لدى صاحب العمل تساؤلات. وإذا كنت أنت صاحب العمل، فيجب أن تكون لديك تساؤلات بالتأكيد.
هذا تدقيق تقني لما يجمعه OpenAI، ومدة الاحتفاظ به، وما يعنيه ذلك للفرق في الصناعات الخاضعة للتنظيم. سنلقي نظرة أيضاً على كيفية قيام بنية "إحضار مفتاحك الخاص" (BYOK) بتغيير المعادلة تماماً.
ما الذي يخزنه ChatGPT: الصورة الكاملة
تنص وثائق مركز المساعدة الخاصة بشركة OpenAI على أن المحادثات "تُحفظ في حسابك حتى تقوم بحذفها يدويًا". وعندما تقوم بحذف محادثة، يتم "إزالتها من حسابك فورًا وجدولتها للحذف النهائي من أنظمة OpenAI في غضون 30 يومًا" -- ما لم تكن قد تم إلغاء تحديد هويتها بالفعل، أو كان على OpenAI الاحتفاظ بها لالتزامات أمنية أو قانونية.
لكن المحادثات ليست سوى جزء من القصة. تصف سياسة خصوصية OpenAI جمعًا تلقائيًا واسعًا للبيانات:
- بيانات السجل -- عنوان IP، نوع المتصفح وإعداداته، تاريخ ووقت الطلبات، وكيفية تفاعلك مع الخدمات
- بيانات الاستخدام -- أنواع المحتوى الذي تشاهده أو تتفاعل معه، الميزات التي تستخدمها، الإجراءات التي تتخذها، والتعليقات التي ترسلها
- معلومات الجهاز -- اسم الجهاز، نظام التشغيل، معرفات الجهاز، ونوع المتصفح
- معلومات الحساب -- الاسم، تفاصيل الاتصال، معلومات الدفع، وسجل المعاملات
تنشئ هذه البيانات الوصفية ملفًا سلوكيًا مفصلاً لكل مستخدم. حتى لو لم تشارك أبدًا معلومات حساسة في الأوامر، فإن أنماط استخدامك وحدها تكشف عن معلومات هامة حول عملك.
الأمر القضائي الذي غير كل شيء
في مايو 2025، تطلب أمر محكمة فيدرالية (قضية رقم 1:23-cv-11195، S.D.N.Y.) من القاضية أونا تي وانغ في نزاع حقوق الطبع والنشر بين New York Times v. OpenAI من OpenAI "الاحتفاظ بجميع بيانات سجل المخرجات التي كان سيتم حذفها وعزلها" -- إلى أجل غير مسمى. وتم رفض طلب OpenAI لإعادة النظر في 16 مايو 2025.
ما يعنيه هذا من الناحية العملية: حتى لو قمت بحذف محادثاتك، قد تكون OpenAI ملزمة قانونًا بالحفاظ عليها. نافذة الحذف البالغة 30 يومًا الموصوفة في سياسة الخصوصية الخاصة بهم تم تجاوزها بموجب تفويض المحكمة. في يناير 2026، أيد قاضي المحكمة الجزئية سيدني شتاين الأمر، مطالبًا OpenAI بتقديم عينة من 20 مليون سجل مستخدم مجهول الهوية -- أوامر ومخرجات -- كأدلة اكتشاف.
قد تُستخدم محادثاتك لتدريب النماذج المستقبلية
بشكل افتراضي، تُستخدم المحادثات في الخطط الاستهلاكية لتدريب النماذج. تنص وثائق مركز المساعدة الخاصة بشركة OpenAI على ما يلي: "عندما تستخدم خدماتنا للأفراد مثل ChatGPT وCodex وSora، قد نستخدم محتواك لتدريب نماذجنا". يمكنك إلغاء الاشتراك عبر بوابة الخصوصية أو من خلال الإعدادات > عناصر التحكم في البيانات -- ولكن كما تلاحظ OpenAI، "بمجرد إلغاء الاشتراك، لن تُستخدم المحادثات الجديدة لتدريب نماذجنا". أي بيانات تم تقديمها بالفعل تظل في مسار التدريب.
كما أن إلغاء الاشتراك لا يغير مدة تخزين بياناتك؛ بل يغير فقط ما إذا كانت تُستخدم لتحسين النماذج أم لا.
المؤسسات مقابل الأفراد: نظام ذو مستويين
تعتمد OpenAI نموذج خصوصية واضحاً من مستويين:
| الأفراد (Free/Plus/Pro) | المؤسسات/التعليم | |
|---|---|---|
| الاحتفاظ بالبيانات | غير محدود (بأمر قضائي) | يتحكم فيه المسؤول |
| استخدام التدريب | نعم افتراضياً (يمكن الإلغاء) | لا تدريب افتراضياً |
| مستثنى من أمر المحكمة؟ | لا | نعم |
| ضوابط المسؤول | لا يوجد | سياسات احتفاظ كاملة |
| الجدول الزمني للحذف | 30 يوماً (عندما يسمح بذلك) | 30 يوماً، قابل للضبط من المسؤول |
بالنسبة للمستخدمين الأفراد، لا توجد طريقة لضمان حذف بياناتك فعلياً. بالنسبة لعملاء المؤسسات، يتحكم مسؤولو مساحة العمل في الاحتفاظ بالبيانات، ولا تُستخدم البيانات للتدريب بشكل افتراضي.
المشكلة بالنسبة للفرق الصغيرة والمتوسطة: تبدأ خطط المؤسسات بحد أدنى كبير للمشتركين. لا يمكن لشركة استشارية مكونة من 10 أشخاص الوصول إلى ضوابط الخصوصية على مستوى المؤسسات.
الامتثال للائحة العامة لحماية البيانات (GDPR): سؤال مفتوح
تثير ممارسات الاحتفاظ غير المحدودة في ChatGPT أسئلة جدية حول الامتثال للائحة GDPR، لا سيما حول مبادئ تقليل البيانات والحد من التخزين. في مارس 2023، أصدرت هيئة حماية البيانات الإيطالية (Garante per la Protezione dei Dati Personali) أمرًا طارئًا بحظر ChatGPT مؤقتًا، مستشهدة بانتهاكات للمواد 5 و6 و8 و13 و25 من GDPR -- بما في ذلك غياب الأساس القانوني لجمع البيانات، وعدم وجود إشعار خصوصية للمستخدمين، وعدم التحقق من العمر. تم رفع الحظر في أبريل 2023 بعد أن نفذت OpenAI تغييرات، لكن المشهد التنظيمي الأوسع لا يزال غير مستقر.
بالنسبة للفرق التي تتعامل مع بيانات العملاء في الصناعات المنظمة -- القانونية، والرعاية الصحية، والخدمات المالية -- فإن استخدام ChatGPT يعني قبول OpenAI كـ معالج بيانات. وهذا يفعل التزامات المادة 28 من GDPR: أنت بحاجة إلى اتفاقية معالجة بيانات (DPA)، وتحتاج إلى توثيق أنشطة المعالجة، وتحتاج إلى التأكد من أن المعالج يلبي متطلباتك الأمنية.
التكلفة الخفية: أعباء الامتثال
عندما يستخدم فريقك ChatGPT، تصبح OpenAI معالج بيانات في سلسلة الامتثال الخاصة بك. وهذا يعني:
- مطلوب اتفاقية معالجة بيانات (DPA) -- تحدد كيفية تعامل OpenAI مع البيانات الشخصية نيابة عنك، وتحدد التدابير الأمنية، وحدود المعالجة الفرعية، وواجبات الإخطار بالاختراق.
- تفعيل التزامات المادة 28 من GDPR -- يجب على المعالجين معالجة البيانات فقط وفقاً لتعليماتك، وضمان السرية، وتنفيذ التدابير الأمنية، والإخطار بالاختراقات، والسماح بعمليات التدقيق.
- يجب أن تشمل مراجعتك الأمنية OpenAI -- كل تقييم لمخاطر الموردين، وكل سؤال تدقيق SOC 2، وكل استبيان أمني للعملاء أصبح لديه الآن تبعية إضافية.
بالنسبة لشركة محاماة أو ممارسة رعاية صحية مكونة من 20 شخصاً، يمكن أن تكون أعباء الامتثال هذه أغلى من الاشتراك نفسه.
ما الذي تغيره بنية BYOK
"إحضار مفتاحك الخاص" (BYOK) هو نمط معماري حيث لا تلمس أداة الذكاء الاصطناعي بياناتك أبداً. بدلاً من ذلك:
- تقدم مفتاح API الخاص بك من مزود الذكاء الاصطناعي (OpenAI، Anthropic، Google، إلخ.)
- تنتقل الاستعلامات مباشرة من جهازك إلى المزود -- الأداة ليست وسيطاً أبداً
- الأداة لا تخزن شيئاً -- لا محادثات، لا بيانات وصفية، لا ملفات سلوكية
- لا يلزم وجود DPA مع بائع الأداة -- لأنها ليست معالج بيانات
الاختلاف في تدفق البيانات جوهري:
| ChatGPT (مستضاف سحابياً) | بنية BYOK | |
|---|---|---|
| مسار البيانات | أنت > خوادم OpenAI > النموذج > OpenAI > أنت | أنت > API المزود مباشرة > أنت |
| الوسيط | OpenAI تعالج جميع الاستعلامات | لا يوجد -- مكالمات API مباشرة |
| رؤية البيانات | المنصة تسجل وترى جميع الاستعلامات | المزود يرى مكالمة API فقط |
| التخزين | على خوادم OpenAI، للأبد | الجهاز المحلي فقط |
| بائع الأداة كمعالج؟ | نعم | لا |
مع BYOK، تكون علاقة الامتثال الخاصة بك فقط مع مزود الذكاء الاصطناعي الذي تختاره، وفقاً للشروط التي تتفاوض عليها مباشرة. الأداة نفسها غير مرئية لسلسلة الامتثال الخاصة بك.
ماذا يعني هذا لفريقك
وجد استطلاع أجري عام 2026 لـ 2600 متخصص في الخصوصية والأمن أن 64% قلقون بشأن مشاركة البيانات الحساسة عن غير قصد من خلال أدوات الذكاء الاصطناعي التوليدي -- ومع ذلك يعترف نصفهم تقريباً بإدخال بيانات شخصية أو غير عامة على أي حال. الفجوة بين القلق والسلوك هي المكان الذي تعيش فيه المخاطر.
إذا كنت مسؤولاً عن حوكمة الذكاء الاصطناعي في مؤسستك، فإليك الأسئلة التي يجب طرحها:
- هل أداة الذكاء الاصطناعي الخاصة بك هي معالج بيانات؟ إذا كانت الإجابة بنعم، فأنت بحاجة إلى DPA، ووثائق امتثال، وتقييم مستمر لمخاطر الموردين.
- أين توجد بيانات المحادثة؟ الاستضافة السحابية تعني خوادم البائع. BYOK مع التخزين المحلي أولاً يعني أجهزتك.
- هل يمكنك ضمان الحذف؟ مع الاحتفاظ بأمر قضائي من ChatGPT، فإن الإجابة هي حالياً لا للخطط الاستهلاكية.
- هل لدى فريقك أدوات متسقة؟ الاشتراكات الفردية لـ 20 شخصاً تعني 20 علاقة امتثال منفصلة.
- ما هي التكلفة الإجمالية؟ لا تشمل رسوم الاشتراك فحسب، بل تشمل أيضاً أعباء الامتثال، والتفاوض على DPA، ووقت تقييم مخاطر الموردين.
الخلاصة
تعد ChatGPT أداة قوية. وهي أيضًا معالج بيانات يحتفظ بمحادثاتك إلى أجل غير مسمى، ويستخدمها للتدريب بشكل افتراضي، وتعمل بموجب أمر قضائي يلغي سياسات الحذف الخاصة بها.
بالنسبة للأفراد، قد تكون هذه المقايضات مقبولة. أما بالنسبة للفرق التي تتعامل مع معلومات العميل السرية، أو بيانات المرضى، أو السجلات المالية، أو المعلومات التنافسية، فهي تمثل مخاطرة حقيقية.
تزيل بنية BYOK (أحضر مفتاحك الخاص) مزود الأداة من معادلة الامتثال تمامًا. بياناتك لا تلمس أي وسيط أبدًا. لا حاجة لاتفاقية معالجة البيانات (DPA). لا توجد التزامات بموجب المادة 28 من القانون العام لحماية البيانات (GDPR) مع مزود الأداة. لا يوجد احتفاظ غير محدود لمحادثات فريقك على خوادم طرف ثالث.
الخيار ليس بين الذكاء الاصطناعي وعدم وجوده. بل هو بين ذكاء اصطناعي مع حوكمة وذكاء اصطناعي بدونها.
يستخدم Caiioo بنية BYOK مع تخزين محلي أولاً. محادثاتك لا تلمس خوادمنا أبدًا. تعرف على المزيد حول بنية الخصوصية لدينا أو ابدأ مجانًا.