Compliance 9 دقيقة قراءة
ENAR

التعرف على الوجوه + PDPL: ما يمكنك وما لا يمكنك فعله في المملكة العربية السعودية

التعرف على الوجه بموجب قانون حماية البيانات الشخصية السعودي مسموح به ولكنه مقيد. يترجم هذا الدليل القانون إلى قواعد هندسية عملية - عندما تحتاج إلى موافقة صريحة، وما يمكن اعتباره بيانات بيومترية من فئة خاصة، واختبار المصلحة المشروعة، والقواعد العابرة للحدود التي تعوق عمليات النشر السعودية.

F
FI Tech Editorial Privacy & Compliance Practice
٢١ يناير ٢٠٢٦
face recognitionPDPLSaudi Arabiabiometricdata protectioncomplianceSDAIA
PDPL compliance dashboard showing face recognition lawful basis register and consent records

<جانبا الطبقة = "tldr">
TL;DR. يُسمح بالتعرف على الوجه في المملكة العربية السعودية بموجب قانون PDPL، ولكن البيانات البيومترية هي فئة خاصة والشريط أعلى من البيانات الشخصية العامة. الموقف الذي يمكن الدفاع عنه: الموافقة الصريحة للموظفين في معظم أماكن العمل؛ المصلحة المشروعة مع اختبار موثق للتحكم في الوصول الضروري للسلامة؛ تقييم تأثير حماية البيانات الموثق (DPIA)؛ معالجة المقيمين في المملكة العربية السعودية؛ والاحتفاظ الافتراضي لمدة 30 يومًا ما لم يتم تبرير فترة أطول. "مطابقة الوجه بالكاميرا الذكية" الجاهزة للاستخدام بدون عناصر التحكم هذه ستفشل في فحص SDAIA.

ماذا يقول PDPL عن البيانات البيومترية

يتعامل قانون حماية البيانات الشخصية مع البيانات البيومترية - بما في ذلك قوالب الوجه ومتجهات الوجه - كفئة خاصة تتطلب حماية أقوى من البيانات الشخصية العادية. وقد نصت اللائحة التنفيذية (الصادرة عن سدايا) على ما يلي:

  • الأساس القانوني — الموافقة الصريحة هي الخيار الافتراضي؛ ولا يجوز تحقيق المصلحة المشروعة إلا بمبرر موثق. 2. متطلبات حماية البيانات الشخصية — يؤدي التعرف على الوجه إلى إجراء تقييم إلزامي لأثر حماية البيانات. 3. القواعد عبر الحدود — تعد البيانات البيومترية من بين الفئات الأكثر التزامًا بقواعد المادة 29 عبر الحدود. 4. الاحتفاظ — يجب أن يكون الحد الأدنى الضروري؛ ستفشل المواقف الافتراضية لـ "الاحتفاظ إلى الأبد".

قم بالارتساء في مسرد مصطلحات PDPL وقائمة التحقق من تحليلات فيديو امتثال PDPL.

ما يمكنك فعله — ثلاث حالات استخدام مسموح بها


  • التحكم في الوصول إلى مكان العمل من خلال موافقة صريحة وموثقة من الموظف وطريقة بديلة (شارة أو رقم تعريف شخصي) لأولئك الذين يرفضون. 2. الوصول إلى الموقع عالي الأمان من خلال اختبار موثق للمصلحة المشروعة، وغالبًا ما يكون مقترنًا بالموافقة. شائع في أرامكو والمواقع العسكرية المجاورة لها. 3. تنبيه السلامة — التعرف على الموظفين المعتمدين المحددين في المناطق المحظورة، مرة أخرى من خلال اختبار المصلحة المشروعة وDPIA.

للحصول على الحل الأساسي، راجع حل التعرف على الوجه وحل التحكم في الوصول.

ما لا يمكنك فعله — ثلاثة أخطاء شائعة


  • التعرف السري المستمر على الوجوه للعملاء في أماكن البيع بالتجزئة العامة بدون بنية تحتية للموافقة. لا يمكن الدفاع عنه بموجب 2026 PDPL.

  • تصدير قالب الوجه عبر الحدود إلى مركز بيانات البائع في الخارج دون وجود آلية المادة 29.

  • "فقط في حالة" الاحتفاظ لأجل غير مسمى لمتجهات الوجه. يجب أن يرتبط الاحتفاظ لغرض موثق.

يعتبر اقتراح البائع الذي يتطلب أيًا من هؤلاء الثلاثة علامة حمراء.

تقييم حماية البيانات (DPIA) – ما يتوقعه المدققون

يحتوي قانون 2026 DPIA الذي يمكن الدفاع عنه للتعرف على الوجوه على ما يلي:

  • مواصفات الغرض — ما هي نتائج الأعمال التي يتيحها النظام. 2. اختبار الضرورة — سبب ضرورة التعرف على الوجه مقابل البدائل (الشارة، رقم التعريف الشخصي، بصمة الإصبع). 3. اختبار التناسب — النطاق، والاحتفاظ، وضوابط الوصول. 4. سجل المخاطر — خطر التحيز، ومخاطر المطابقة الخاطئة، ومخاطر زحف الوظيفة. 5. خطة التخفيف — الحد الأدنى من البيانات الضرورية، ومعالجة المقيمين في المملكة العربية السعودية، وجدول الاحتفاظ. 6. تسجيل خروج DPO مع المُوقع المسمى.

يتم إرساء هذا في نظرة عامة على الثقة/الامتثال ونظرة عامة على الأمان.

القواعد العابرة للحدود بموجب المادة 29

وألزمت المادة (29) تصدير البيانات الشخصية – وخاصة البيانات البيومترية – إلى خارج المملكة. ثلاثة أنماط مسموح بها في عام 2026:

  • لا يوجد نقل. يتم تخزين قوالب الوجه ومعالجتها بالكامل داخل مناطق [موضع البيانات] (/trust/data-residency) المرخصة من قبل CST. الافتراضي الذي يمكن الدفاع عنه.

  • قرار الملاءمة — لدى بلد الوجهة قرار كفاية من SDAIA. قليلون مؤهلون في عام 2026.

  • ضمانات محددة — موافقة صريحة، أو ضمانات تعاقدية، أو ضرورة محددة بموجب استثناءات المادة 29.

لمزيد من التفاصيل، راجع إجابة تحليلات الفيديو الخاصة بامتثال PDPL.

مراقبة الموظفين — غطاء قانون العمل

PDPL ليس القيد الوحيد. وتتطرق مراقبة الموظفين أيضًا إلى:

  • قانون العمل السعودي — يجب أن تكون المراقبة متناسبة ومفصح عنها.

  • ضوابط الأمن السيبراني الأساسية لـ NCA — راجع مسرد NCA-ECC.

  • القواعد القطاعية — تضع أرامكو وسابك ومؤسسات التشغيل الأخرى أدلة الصحة والسلامة والبيئة الخاصة بمقاوليها في الأعلى.

يجمع الموقف الذي يمكن الدفاع عنه بين موافقة الموظف الصريحة والغرض الموثق ومسار إلغاء الاشتراك الواضح الذي لا يعاقب العامل.

مخاطر التحيز والمطابقة الخاطئة

تُظهر أنظمة القياسات الحيوية تباينًا في الأداء الديموغرافي. تتنوع القوى العاملة في قطاع البناء في المملكة العربية السعودية بشكل غير عادي - من جنوب آسيا، وشمال أفريقيا، والفلبين، ومواطن سعودي. بائع درجة 2026:

  • يكشف عن الدقة/الاستدعاء الديموغرافي في مجموعة التحقق المعلقة.

  • تتبع الانجراف أسبوعيًا، مع تشغيل عملية إعادة التدريب تحت الحد التشغيلي.

  • يوفر مسار تجاوز يدويًا بحيث يظل بإمكان العامل الذي تم رفضه خطأً الدخول من خلال عملية تحقق ثانوية.

وبدون ذلك، سيؤدي أول حادث تطابق خاطئ في النظام إلى انهيار الثقة.

الاحتفاظ – كيف سيبدو عام 2026

جدول الاحتفاظ الذي يمكن الدفاع عنه:

| فئة البيانات | الاحتفاظ |
|------------|-----------|
| قالب الوجه المباشر (الوصول النشط) | بينما يستمر التوظيف / الوصول |
| سجل المباراة (بيانات تعريف الحدث) | 30 يومًا افتراضيًا، و90 يومًا إذا كانت مرتبطة بالحادث |
| وجه النسخ الاحتياطي ناقلات | لا شيء — أعد التسجيل إذا لزم الأمر |
| أرشيف صور الوجه | لم يتم الاحتفاظ بها بعد الالتحاق |

الارتساء في وضعية إقامة البيانات.

مرشح اختيار البائع

ثلاثة مرشحات تقطع قائمة المرشحين:

  • تم تأكيد معالجة المقيم السعودي كتابيًا.

  • تم تقديم نموذج DPIA كجزء من الاقتراح، وليس كوظيفة إضافية قابلة للفوترة.

  • الإفصاح عن التحيز والأداء الديموغرافي مع الاقتراح.

للحصول على عرض أوسع للمشتريات، راجع القائمة المختصرة لأفضل 10 منصات ودليل بائعي الذكاء الاصطناعي السعودي الصنع من IKTVA.

ما يمكن توقعه في فحص SDAIA

عادةً ما يبحث فحص SDAIA لعام 2026 لنشر ميزة التعرف على الوجوه عن:

  • سجل الأساس القانوني موقع من DPO.

  • DPIA في الملف، مع اسم الموقع.

  • سجلات الموافقة (حيثما ينطبق ذلك) مع الطوابع الزمنية.

  • تم تطبيق جدول الاحتفاظ - فحص عشوائي للعينة.

  • توثيق الموقف عبر الحدود.

  • خطة الاستجابة لحوادث الخروقات البيومترية.

إذا كان أيًا من هذه العناصر مفقودًا، فتوقع صدور أمر إصلاح خلال مهلة زمنية تتراوح بين 30 و90 يومًا [VERIFY-SME].

أخطاء النشر الشائعة


  • تخطي DPIA — وضع الفشل الأكثر شيوعًا.

  • لا توجد طريقة بديلة — لا يمكن للعمال رفض التسجيل الوجهي.

  • المعالجة عبر الحدود بدون آلية المادة 29.

  • الاحتفاظ لأجل غير مسمى — لا تُعد كلمة "للأبد" فترة احتفاظ.

الخطوات التالية

إذا كنت تقوم بفحص نطاق نشر ميزة التعرف على الوجه في المملكة العربية السعودية أو تدقيقها، فابدأ بـ حل التعرف على الوجه، وحل التحكم في الوصول وقائمة التحقق من امتثال PDPL. قم بإسناد ترافقي إلى إدخال مسرد PDPL ونظرة عامة على الثقة/الامتثال.

احجز مكالمة لتحديد النطاق من جانب الخصوصية وسنقوم بإعداد نموذج حماية حماية البيانات (DPIA) وسجل الأساس القانوني المخصص للنشر الخاص بك في غضون 10 أيام عمل.

React to this article

مقالات ذات صلة

Saudi data centre rack diagram annotated with PDPL data path checkpoints
Compliance

قائمة مراجعة الامتثال لتحليلات الفيديو PDPL للمؤسسات في المملكة العربية السعودية

٤ أبريل ٢٠٢٦

هل أنت مستعد لتحويل عملياتك؟

اكتشف كيف يمكن لـ Future Intelligence مساعدتك في الاستفادة من تقنية الطائرات بدون طيار والذكاء الاصطناعي لمشاريعك.

طلب عرض توضيحي مقالات أخرى