في 2026年5月10日، دخلت الإرشادات التكميلية للائحة GDPR الصادرة عن المجلس الأوروبي لحماية البيانات（EDPB）حيز النفاذ رسميًا، واشترطت على جميع المواقع المستقلة الخاصة بـB2B الموجهة إلى سوق الاتحاد الأوروبي（بما في ذلك المواقع الرسمية للموردين الصينيين）أن تُعلن بوضوح، ضمن سياسة الخصوصية أو صفحة مستقلة لبيان AI، عن بلدان المصدر الجغرافي لبيانات التدريب المستخدمة في المحتوى التوليدي القائم على AI وكذلك النطاق الزمني لجمع البيانات。 يؤثر هذا البند بشكل مباشر في امتثال المواقع الرسمية لشركات التجارة الخارجية الصينية، ويُشكل بصورة خاصة نقطة امتثال جوهرية للشركات التصديرية التي تعتمد على المواقع المستقلة عبر الإنترنت لتطوير أعمال B2B، وهو ما يستحق اهتمامًا كبيرًا من القطاعات المرتبطة بالتجارة العابرة للحدود، والتسويق الرقمي، وخدمات SaaS، وامتثال سلاسل التوريد。

نظرة عامة على الحدث

قام المجلس الأوروبي لحماية البيانات（EDPB）في 2026年5月10日 بالتنفيذ الرسمي للإرشادات التكميلية للائحة GDPR، موضحًا إدراج واجب الإفصاح عن المصدر الجغرافي لبيانات تدريب المحتوى التوليدي القائم على AI ضمن الإطار الرقابي。 وينطبق ذلك على جميع مواقع B2B التي تقدم سلعًا أو خدمات إلى الشركات داخل الاتحاد الأوروبي، بما في ذلك المواقع المستقلة التي تُدار بواسطة كيانات مسجلة في الصين。 والمتطلبات المحددة هي: يجب، في صفحة ‘سياسة الخصوصية’ أو في صفحة مستقلة مخصصة لبيان AI، توضيح بلدان مصدر بيانات التدريب التي يعتمد عليها المحتوى المُنشأ بواسطة AI（مثل الولايات المتحدة، الهند، الصين وغيرها）والنطاق الزمني المقابل لجمع تلك البيانات（على سبيل المثال ‘2021年1月至2024年6月’）بطريقة واضحة وقابلة للقراءة。 وهذا الشرط لا يسري بأثر رجعي، لكن أي وظائف AI جديدة يتم إطلاقها أو تحديثها اعتبارًا من تاريخ النفاذ يجب أن تمتثل فورًا。

ما القطاعات الفرعية التي ستتأثر

شركات التجارة المباشرة

تعتمد شركات التصدير الصينية العاملة في B2B（مثل معدات الصناعة، والمكونات الإلكترونية، ومصنعي الآلات المخصصة）على نحو واسع على إنشاء مواقع مستقلة خاصة بها للوصول إلى المشترين في الاتحاد الأوروبي。 وإذا كان موقعها الرسمي يستخدم AI لإنشاء أوصاف المنتجات، وملخصات المعايير الفنية، وردود خدمة العملاء متعددة اللغات وغيرها من المحتويات، ولم يفصح عن المصدر الجغرافي لبيانات التدريب، فقد تعتبرها الجهات التنظيمية في دول أعضاء مثل ألمانيا وفرنسا جهة تنطوي على مخاطر امتثال، مما يؤثر بدوره في إجراءات العناية الواجبة والموافقة على الطلبات لدى المشترين。

شركات التصنيع والمعالجة

أما الشركات المصنعة التي تعمل في التصنيع لصالح علامات تجارية خارجية（OEM/ODM），فإذا كان موقعها الرسمي يعرض نصوصًا لفيديوهات خطوط الإنتاج مُولدة بمساعدة AI، أو ملخصات تقارير ESG، أو شروحات شهادات الامتثال وغيرها، فهي أيضًا ضمن نطاق التطبيق。 ويظهر التأثير بشكل أساسي في مرحلة تدقيق الامتثال من جانب المشترين——إذ إن بعض كبار المشترين في الاتحاد الأوروبي قد أدرجوا بالفعل بنود الإفصاح الخاصة بـGDPR AI ضمن ملاحق 《مدونة سلوك الموردين》، وقد يؤدي عدم الامتثال إلى تفعيل إنذارات مبكرة في تقييم تنفيذ العقود。

شركات خدمات سلاسل التوريد

بالنسبة لمقدمي الخدمات من الأطراف الثالثة الذين يقدمون خدمات اللوجستيات العابرة للحدود، وشهادات الامتثال، وخدمات إنشاء المواقع متعددة اللغات، فإن عملاءهم غالبًا ما يكونون من شركات التجارة الخارجية الصغيرة والمتوسطة。 ويرفع هذا البند بصورة غير مباشرة معايير تسليم خدماتهم: فعلى سبيل المثال، يجب على مزودي خدمات إنشاء المواقع التأكد مما إذا كانت معلومات مصدر بيانات تدريب AI لدى العميل قابلة للتتبع؛ كما يجب على جهات الاستشارات الامتثالية إدراج حقل المصدر الجغرافي ضمن قوالب قوائم التحقق الذاتي الخاصة بـGDPR؛ وإذا استخدم مزودو خدمات الترجمة التحرير اللاحق المدعوم بـAI（PEMT），فعليهم أيضًا توضيح موطن بيانات تدريب النموذج الأساسي。

ما النقاط التي ينبغي على الشركات أو العاملين المعنيين متابعتها، وكيف يجب الاستجابة حاليًا

متابعة الأمثلة الرسمية والأسئلة الشائعة（FAQ）التي سيصدرها EDPB لاحقًا

لا تحدد إرشادات EDPB حاليًا معايير الحكم على “المصدر الجغرافي لبيانات التدريب”（على سبيل المثال: بلد تسجيل مطور النموذج، أو موقع فريق وسم البيانات، أو الدولة التي يقع فيها خادم جمع البيانات الأصلية）。 وينبغي للشركات أن تواصل متابعة الإرشادات العملية التي سينشرها الموقع الرسمي لـEDPB بدءًا من الربع الثاني من 2026، لتجنب ملء البيانات ذاتيًا استنادًا إلى تفسيرات غير موثوقة。

التمييز بين أنواع وظائف AI في الموقع الرسمي، وإعطاء الأولوية لمراجعة وحدات المحتوى ذات الظهور العالي

ليست هناك حاجة إلى تعديل جميع تطبيقات AI بشكل موحد。 فالجدير باهتمام أكبر حاليًا هو الوحدات التي يتعرض لها المستخدمون بشكل متكرر ولها تأثير في القرارات التجارية، مثل: نصوص توصية المنتجات المُنشأة بواسطة AI في الصفحة الرئيسية، وجداول المقارنة الفنية المُنشأة بواسطة AI في صفحات المنتجات، ومكتبات الردود الفورية المدفوعة بـAI في صفحات الاستفسارات。 أما أدوات AI المستخدمة داخليًا في الخلفية（مثل نماذج التنبؤ بالمخزون）فليست ضمن نطاق الإفصاح هذه المرة。

مراجعة بنود سيادة البيانات في اتفاقيات خدمات AI الحالية

إذا كانت الشركة تشتري خدمات AI SaaS من طرف ثالث（مثل أدوات إنشاء النصوص أو تركيب الصور），فيجب الرجوع إلى البنود المتفق عليها في عقد الخدمة بشأن مصدر بيانات التدريب، والحصول على توضيح كتابي من المورد。 بعض مزودي خدمات AI في الخارج لا يفصحون بشكل استباقي عن التوزيع الجغرافي لبيانات تدريب نماذجهم، لذا ينبغي على الشركات إدراج ذلك كأحد الشروط المسبقة لدخول المورد ضمن قائمة الامتثال。

عدم التسرع مؤقتًا في تعديل النص الكامل لسياسة الخصوصية، والبدء أولًا بإنشاء سجلات قابلة للتحقق لتتبع مصدر البيانات

من منظور التحليل، يتركز اهتمام الجهات التنظيمية على “ما إذا كان بالإمكان إثبات أن المعلومات المعبأة صحيحة وقابلة للتحقق”، وليس فقط على وجود الحقول في الصفحة。 والفهم الأنسب للشركات في الوقت الراهن هو: البدء في حصر داخلي لقائمة استخدامات محتوى AI، وتجميع أدوات AI المستخدمة في كل وحدة، وأرقام الإصدارات، وأسماء مزودي الخدمات، ووثائق الشرح المتاحة الخاصة بالنطاق الجغرافي لبيانات التدريب، لتشكيل ملف أساسي لتتبع المصدر، يكون مرجعًا للتحديثات اللاحقة على الصفحات。

رأي المحرر / ملاحظات القطاع

من الواضح أن هذا البند ليس تعديلًا على النص القانوني للائحة GDPR، بل هو تفسير موسع من EDPB لـ“مبدأ الشفافية” استنادًا إلى المواد 5、13、14 السارية، ويُعد إجراءً تفصيليًا على مستوى التنفيذ الرقابي。 وهو أشبه بإشارة هيكلية——توضح أن الاتحاد الأوروبي يمدد حوكمة AI تدريجيًا من مرحلة “مساءلة الخوارزميات” إلى مرحلة “شفافية سلسلة توريد البيانات”。 وحتى الآن، لم تظهر حالات عقوبات موجهة إلى هذا البند تحديدًا، إلا أن ولاية بافاريا في ألمانيا واللجنة الوطنية الفرنسية للمعلوماتية والحريات（CNIL）قد أدرجتا بالفعل “امتثال الإفصاح عن AI في مواقع B2B” كبند مستقل ضمن قوائم أولويات الإنفاذ لعام 2026。 وما يحتاج القطاع إلى متابعته باستمرار هو: ما إذا كانت الجهات التنظيمية في الدول الأعضاء ستربط هذا الإفصاح بتحديد الأنظمة عالية المخاطر في 《قانون الذكاء الاصطناعي للاتحاد الأوروبي》（AI Act），وكذلك ما إذا كان المشترون سيعتبرونه بُعدًا جديدًا في تصنيف ESG للموردين。

الخلاصة： يشير هذا البند إلى أن تركيز الاتحاد الأوروبي الرقابي على تطبيقات AI يمتد من جانب المستخدم النهائي（B2C）إلى جانب المعاملات التجارية（B2B）。 ولا تكمن أهميته القطاعية في ضغط العقوبات الفوري، بل في إدراج السمات الجغرافية للبيانات رسميًا ضمن البنية التحتية الأساسية للامتثال في التجارة الرقمية العابرة للحدود。 والفهم الأنسب له حاليًا هو: أنه متطلب اعتيادي ينبغي إدراجه ضمن قائمة الفحص السنوي للامتثال، وليس أزمة طارئة مفاجئة。 وينبغي للشركات أن تدفع الاستعدادات وفق مبادئ “القابلية للتحقق، والقابلية للتتبع، وتقسيم السيناريوهات”، مع تجنب المبالغة في رد الفعل، وفي الوقت نفسه عدم تجاهل اتجاهه المؤسسي طويل الأمد。

توضيح مصدر المعلومات：
المصدر الرئيسي： 《Guidelines 02/2026 on GDPR Transparency Obligations for Generative AI in B2B Contexts》 المنشورة على الموقع الرسمي للمجلس الأوروبي لحماية البيانات（EDPB），وتاريخ النفاذ 2026年5月10日。
الأجزاء التي ما تزال قيد المتابعة المستمرة： ما إذا كان EDPB سيصدر قواعد تنفيذية مُلزمة لتعريف “المصدر الجغرافي”； وما إذا كانت الجهات التنظيمية في الدول الأعضاء مثل ألمانيا وفرنسا ستصدر قواعد إنفاذ مكملة أو حالات عقوبات نموذجية。