منذ ما يزيد عن عشر سنوات وأنا أعمل في خدمة الشركات الأجنبية التي تطأ أقدامها أرض الصين، وتحديداً في مدينة شنغهاي التي لا تنام. أتذكر أول شركة أجنبية تعاملت معها، كانت شركة ألمانية متوسطة الحجم في قطاع التصنيع، وكان همهم الأكبر حينها هو "كيف ننقل بيانات التصميم الهندسي إلى خوادمنا في أوروبا دون خرق القانون؟" هذا السؤال، الذي كان يبدو بسيطاً قبل عقد، أصبح اليوم محورياً ومعقداً لدرجة أنه قد يقرر مصير استثمار بأكمله. في عالم اليوم، لم تعد الحوسبة السحابية مجرد خيار تقني، بل أصبحت العمود الفقري للعمليات التجارية. لكن في الصين، وبالأخص في شنغهاي كمركز مالي وتجاري، هذه السحابة ليست مجرد "غيوم عابرة"، بل هي أرض خاضعة للقوانين واللوائح، وقصة الامتثال فيها طويلة ومتشعبة.
الشركات الأجنبية التي تأتي إلى شنغهاي، غالباً ما تكون لديها أنظمتها السحابية الخاصة التي تديرها من سنغافورة أو لندن، وتظن أن هذه الأنظمة ستعمل بنفس الكفاءة فور وصولها. لكنها تفاجأ بسرعة أن القوانين الصينية، ممثلة في قانون الأمن السيبراني وقانون حماية البيانات الشخصية، تفرض عليها وضع البيانات داخل حدود البلاد. الأمر لا يتعلق فقط بمكان تخزين الملفات، بل هو منظومة كاملة من التدقيق، التقييم، نقل البيانات عبر الحدود، والحصول على الموافقات اللازمة. كثيراً ما أقول للعملاء: "شنغهاي ليست مجرد مدينة، إنها بوابة لقوانين معقدة، والامتثال السحابي هو جواز مرورك الآمن عبرها." في هذه المقالة، سأحاول أن أشارككم خلاصة ما تعلمته في هذه الرحلة، ليس من باب التنظير، بل من واقع تجارب يومية مع شركات حاولت أن تسير في هذا الطريق الشائك.
السيادة الرقمية
أول وأهم ما يجب أن يفهمه أي مستثمر أجنبي هو أن الصين تنظر إلى بياناتها الرقمية كما تنظر إلى سيادتها الإقليمية، هذا مفهوم سياسي وقانوني قبل أن يكون تقنياً. قانون الأمن السيبراني الصيني، الذي صدر عام 2017، فرض واجباً صارماً على "مشغلي البنية التحتية للمعلومات الهامة" (CIIOs) بتخزين البيانات مجمّعة داخل البلاد. لكن التحدي الحقيقي يبدأ عندما نحاول تعريف هذه الفئة. هل شركتك التي تدير منصة تسوق إلكتروني في شنغهاي تعتبر جزءاً من البنية التحتية الحيوية؟ الإجابة ليست دائماً واضحة.
أتذكر حالة لشركة أمريكية في قطاع الخدمات اللوجستية، كانت تستخدم نظاماً سحابياً عالمياً لتتبع الشحنات. فريقهم القانوني خلص بسرعة إلى أنهم ليسوا ضمن فئة CIIOs، لذا لا يلزمهم التخزين المحلي. لكنهم فوجئوا عندما طلبت هيئة تنظيم النقل في شنغهاي إثباتاً بأن بيانات الشحنات التي تمر عبر الموانئ الصينية لا تغادر البلاد. الاشتباك بين التصنيف "الرسمي" والتطبيق "العملي" للقانون هو ما يربك الكثيرين. نحن هنا لا نتحدث عن تجنب القانون، بل عن فهم روح القانون. في السنوات الأخيرة، ومع صدور "إجراءات تقييم نقل البيانات عبر الحدود" (Data Cross-Border Transfer Security Assessment)، أصبحت الأمور أكثر وضوحاً، لكنها في المقابل أصبحت أكثر تعقيداً. الشركات أصبحت مطالبة الآن بتقييم كميات البيانات التي تنقلها، نوعها، وحساسيتها، وتقديم هذا التقييم إلى الجهات المختصة.
هذه السيادة الرقمية تفرض على الشركات الأجنبية إعادة تصميم بنيتها التحتية التقنية. على سبيل المثال، عندما تتعامل مع موردي الخدمات السحابية المحليين مثل Alibaba Cloud أو Tencent Cloud أو Huawei Cloud، يجب أن تتأكد من أن العقود المبرمة معهم تمنحك السيطرة الكاملة على بياناتك، وأنهم ملتزمون بمعايير الامتثال الصينية، خاصة معايير "درجة حماية أمن المعلومات" (Information Security Protection Grades / 등급보호). هذا التعاون ليس مجرد شراء لمساحة تخزينية، بل هو شراكة قانونية وتقنية تتطلب مراجعة مستمرة. لقد رأيت شركات أوروبية تغيّر مزود الخدمة السحابية بالكامل بعد عامين فقط لأن المزود الأصلي لم يكن يمتلك الشهادات المطلوبة لتقديم خدمات لنظام "الدعم الحيوي" للشركة، وهذا مكلف جداً من ناحية الوقت والمال والسمعة.
تدفق البيانات العابر
إذا كانت السيادة الرقمية هي القاعدة، فإن نقل البيانات عبر الحدود هو الاستثناء الذي يخضع لضوابط مشددة. القانون لا يمنع نقل البيانات إلى الخارج بشكل مطلق، لكنه يضع عقبات كبيرة أمامه. وفقاً لـ PI Law (قانون حماية المعلومات الشخصية) الصادر عام 2021، يلزم الحصول على "موافقة منفصلة" (Separate Consent) من الفرد لنقل بياناته الشخصية إلى خارج الصين. هذه الموافقة ليست مجرد علامة في مربع صغير، بل يجب أن تكون واضحة ومحددة حول الغرض من النقل، الفترة الزمنية، الدولة المتلقي، وكيفية حماية البيانات هناك.
من أكثر المواقف المحبطة التي أمر بها، هي عندما تعلن شركة متعددة الجنسيات عن إطلاق نظام جديد للموارد البشرية مقره في سنغافورة، ويكتشف مسؤولو الموارد البشرية أن بيانات الموظفين الصينيين (الرواتب، العناوين، أرقام الهوية) لا يمكن ببساطة إدخالها في هذا النظام دون مسار قانوني واضح. في إحدى الحالات، اقترحت على الشركة استخدام نهج "التجميع المحلي" (Local Aggregation)؛ أي أن تبقى قاعدة البيانات الرئيسية على خادم في شنغهاي، ويتم تصدير نسخ "مجهولة المصدر" (Anonymized) أو "معدلة" (Pseudonymized) إلى السحابة العالمية للتقارير الإحصائية فقط. هذه الحلول الوسطى تتطلب تعاوناً وثيقاً بين فريق تكنولوجيا المعلومات والقانوني في الشركة، وأيضاً مع مستشارين خارجيين ملمّين باللوائح الصينية.
التحدي الآخر هو آلية "تقييم الأمن" التي تطبقها الهيئات الحكومية. بالنسبة للشركات التي تنقل كميات كبيرة من البيانات أو بيانات حساسة، يجب عليها تقديم طلب إلى إدارة الفضاء الإلكتروني الصينية (CAC) لمراجعة وتقييم الخطة. هذه العملية قد تستغرق شهوراً، وتتطلب إعداد وثائق ضخمة وإثباتات على أن الإجراءات الأمنية في البلد المتلقي لا تقل صرامة عنها في الصين. في العام الماضي، تعاونا مع إحدى شركات السيارات الكهربائية الأوروبية التي أرادت نقل بيانات القيادة الذاتية التي تم جمعها في شنغهاي إلى مركزها في ميونيخ. استغرق تجهيز ملف التقييم أكثر من 4 أشهر، ومراجعات لا حصر لها مع فريق الأمن السيبراني لديهم، وفي النهاية حصلنا على الموافقة، لكنها عملية منهكة للغاية. أرى أن التوجه المستقبلي سيكون نحو المزيد من الحلول المبتكرة مثل "الحوسبة الحدودية" (Edge Computing) حيث تتم معالجة البيانات محلياً دون الحاجة لنقلها.
الامتثال المزدوج
في هذه النقطة، أحب استخدام تعبير "السير على حبلين مشدودين". الشركات الأجنبية العاملة في شنغهاي ليست ملزمة فقط بالقوانين الصينية، بل تبقى خاضعة أيضاً للوائح بلدها الأم، وخاصة فيما يتعلق بحماية البيانات. أشهر مثال بالطبع هو اللائحة العامة لحماية البيانات (GDPR) الأوروبية. التحدي يظهر عندما يتعارض القانونان. على سبيل المثال، القانون الصيني يطلب من الشركات تقديم بيانات المستخدمين للسلطات المحلية عند الطلب، بينما الـ GDPR يمنع الشركات من تسليم البيانات لسلطات خارج الاتحاد الأوروبي دون ضمانات قضائية. هنا تكون الشركة في ورطة حقيقية.
أتذكر شركة أمريكية في قطاع الأدوية كانت تخزن بيانات التجارب السريرية لمرضى صينيين على سحابة مزدوجة (Hybrid Cloud). جزء في شنغهاي، وجزء في الولايات المتحدة. المشكلة نشأت عندما طلب مكتب الرقابة على التجارب السريرية في بكين (NMPA) الوصول إلى البيانات الكاملة للمجموعة الضابطة. لو استجابت الشركة، لخرقت قوانين الخصوصية الأمريكية بشأن بيانات المرضى، ولو رفضت، لخرقت الامتثال للقوانين الصينية. الحل لم يأت من النصوص القانونية وحدها، بل من التفاوض "الظرفي" (Situational) مع الجهتين معاً. قمنا بصياغة اتفاقية "الوصول المشروط" (Conditional Access) حيث سمحت الشركة لمفتش صيني بمشاهدة البيانات على شاشة الكمبيوتر في مكتب شنغهاي، ولكن دون السماح له بنسخها أو نقلها خارج الغرفة. هذا الحل الإبداعي يظهر كيف أن الامتثال في عصر السحابة ليس مجرد تطبيق للقوانين، بل هو فن من فنون التوازن بين الأنظمة القضائية المختلفة.
أيضاً، من التحديات الكبيرة هنا هو مفهوم "الموافقة الواعية" (Informed Consent). الـ GDPR يطلب لغة واضحة وبسيطة للموافقة، بينما القوانين الصينية أضافت طبقة إضافية من "النفعية" (Legitimate Interests) التي تفسرها الجهات الرقابية بشكل واسع. عندما نقوم بتصميم نماذج الموافقة للعملاء في شنغهاي، غالباً ما نضطر إلى إعداد نسختين: واحدة صينية تطابق المعايير المحلية، وأخرى عالمية تطابق الـ GDPR، وهذا يخلق تعقيداً إدارياً وتكاليف إضافية. من وجهة نظري، الحل الأمثل على المدى الطويل هو أن تسعى الشركات متعددة الجنسيات إلى توحيد معيار "الامتثال العالمي" (Global Compliance Standard) يستوعب أعلى درجات الحماية في كل قانون، بدلاً من التعامل مع كل حالة على حدة.
المساءلة التقنية
لا يمكن الحديث عن الامتثال السحابي دون التركيز على الجانب التقني، وهو الجانب الذي غالباً ما يقلل المسؤولون التنفيذيون من شأنه. الكثير منهم يعتقدون أن التعاقد مع مزود سحابي "معتمد" يعني أن كل شيء سيكون على ما يرام. هذه فكرة خاطئة. القانون الصيني، وفي العديد من اللوائح التنفيذية، يلقي بمسؤولية الامتثال على عاتق "مالك البيانات" أي الشركة الأجنبية نفسها، وليس مزود الخدمة. إذا تسربت بيانات، أو تم العثور على ملفات غير مرخصة في السحابة، الغرامة ستكون على الشركة ومسؤوليها، وليس على Alibaba Cloud.
من الأمور التي أحرص دائماً على شرحها للعملاء هي ضرورة تطبيق مبدأ "الحد الأدنى من البيانات" (Data Minimization) في التصميم السحابي. لا تقم بتحميل كل شيء إلى السحابة لمجرد أن المساحة متاحة. في إحدى الحالات مع شركة تجزئة بريطانية، اكتشفنا أثناء مراجعة الامتثال أن فريقهم التقني قام بتحميل نسخ احتياطية كاملة لسجلات المبيعات منذ عام 2005، متضمنة تفاصيل بطاقات الائتمان المشفرة، لكن النقطة لم تكن في التشفير، بل في أن هذه البيانات لم تكن مطلوبة قانونياً لأغراض العمل في الصين. حذف هذه الملفات كان جزءاً من خطة العلاج، لكنه كشف فجوة في الإدارة الداخلية.
أيضاً، موضوع التشفير (Encryption) محوري. بينما تشجع القوانين الصينية على التشفير، إلا أنها تتطلب أيضاً "المفاتيح" (Keys) أو إمكانية فك التشفير للجهات الرقابية في حالات التحقيق. هذا يتضارب مع بعض معايير التشفير من طرف إلى طرف (End-to-End Encryption) التي تستخدمها شركات عالمية مثل WhatsApp أو Signal. الشركات الأجنبية التي تستخدم تشفيراً مالكاً (Proprietary Encryption) يجب أن تتأكد من وجود آلية "باب خلفي رسمي" (Legal Backdoor) أو إجراءات للكشف عن البيانات بشكل قانوني. أنا شخصياً لا أعتقد أن الأمر يتعلق بالاختراق الأمني، بل بالشفافية. هذه النقطة تثير الكثير من النقاشات الحادة مع الفرق القانونية للعملاء، لكنها حقيقة يجب التعامل معها بواقعية، وليس بتجاهلها.
الحلول المبتكرة
بعد سنوات من العمل في هذا المجال، أستطيع القول أن أفضل الشركات هي تلك التي تنظر إلى الامتثال ليس كعقبة، بل كمحرك للابتكار. الحاجة إلى الامتثال للقوانين الصينية دفعت العديد من مزودي الخدمات السحابية المحليين إلى تطوير منتجات فريدة من نوعها. على سبيل المثال، تقنية "السحابة السيادية" (Sovereign Cloud) التي تقدمها بعض الشركات الصينية تسمح للشركات الأجنبية بالحصول على بيئة سحابية مستقلة تماماً داخل حدود شنغهاي، مع ضمانات تعاقدية بأن البيانات لا يمكن الوصول إليها من قبل أي طرف ثالث بما في ذلك الدولة، إلا بأمر قضائي. هذا النوع من المنتجات لم يكن موجوداً قبل خمس سنوات، وهو دليل على أن السوق يتحرك لتلبية احتياجات الامتثال المعقدة.
أيضاً، أصبح "التدقيق الذاتي المستمر" (Continuous Self-Audit) جزءاً لا يتجزأ من العمليات اليومية للشركات الذكية. بدلاً من انتظار التفتيش الحكومي، تقوم هذه الشركات بتركيب أدوات مراقبة داخلية تكتشف تلقائياً أي مخالفة محتملة، مثل محاولة وصول غير مصرح به إلى قاعدة بيانات تحتوي على معلومات شخصية. أذكر أن شركة ألمانية كانت تستخدم نظاماً ذكياً لرصد "تسرب البيانات" (Data Leakage Prevention) يعمل على مستوى السحابة، وكان يرسل تنبيهاً فورياً إلى مدير الامتثال كلما حاول أحد الموظفين في ألمانيا نسخ بيانات العملاء الصينيين إلى قرص خارجي. هذه الاستباقية توفر على الشركة ملايين اليوانات من الغرامات المحتملة.
أخيراً، أود أن أذكر أن التعاون مع الجهات التنظيمية المحلية ليس عدائياً كما يتصور البعض. في شنغهاي بالتحديد، لاحظت توجهاً إيجابياً نحو "التوجيه الاستشاري" (Advisory Guidance) بدلاً من "العقاب الفوري". العديد من الشركات التي اقترفت أخطاء غير مقصودة في بداية رحلتها السحابية، تمكنت من تصحيح أوضاعها بعد التواصل مع الإدارة المحلية للفضاء الإلكتروني وتقديم خطة علاج مقبولة. هذا يعني أن الصدق والشفافية هما أفضل سياسة. ما يزعج الجهات الرقابية أكثر هو محاولة الإخفاء أو التلاعب، وليس الخطأ نفسه. إذا كنت مديراً لشركة أجنبية، فأنصحك بأن تستثمر في بناء علاقة عمل جيدة مع المستشارين القانونيين والمحليين الذين يفهمون هذه الديناميكية.
استشراف المستقبل
مع ازدياد الاعتماد على الذكاء الاصطناعي التوليدي (Gen AI) وإنترنت الأشياء (IoT)، من المتوقع أن تتشدد القوانين الصينية في مجال الامتثال السحابي، وليس أن تتساهل. أتوقع أن نرى قوانين جديدة قريباً تركز على "بيانات التدريب" (Training Data) الخاصة بنماذج الذكاء الاصطناعي، والتي تعتبر حالياً في منطقة رمادية. الشركات التي تدرب نماذجها على بيانات صينية، خاصة في قطاعات مثل الصحة أو التمويل، ستواجه مطالب صارمة بشأن شفافية الخوارزميات ومصادر البيانات.
على الجانب الآخر، أظن أن الصين ستستمر في تطوير بنيتها التحتية السحابية المحلية لتصبح أكثر جاذبية للشركات الأجنبية. التنافس بين عمالقة التكنولوجيا الصينيين سيؤدي إلى انخفاض الأسعار وارتفاع معايير الخدمة، مما قد يجعل خيار "السحابة المحلية" (Local Cloud) مغرياً جداً من الناحية الاقتصادية، حتى لو لم تكن هناك متطلبات امتثال صارمة. بالنسبة للمستثمرين الأذكياء، أرى أن التوجه المستقبلي هو نحو "الهندسة السحابية ثنائية القطب" (Dual-Pillar Cloud Engineering) حيث يكون لديك مركز بيانات رئيسي في شنغهاي لجميع العمليات المحلية، ومركز بيانات ثانوي في هونغ كونغ أو سنغافورة ليكون بمثابة بوابة عالمية، مع وجود جدار ناري قانوني قوي بينهما.
في الختام، أود أن أقول إن الامتثال للحوسبة السحابية في شنغهاي ليس سباقاً نحو النهاية، بل هو رحلة مستمرة من التعلم والتكيف. الشركات التي ستنجح هي تلك التي تتعامل مع هذه القوانين بحكمة ومرونة، وتستثمر في بناء أنظمتها وفقاً للمعايير المحلية منذ اليوم الأول. قد يكون الطريق شاقاً، لكنه في النهاية يضمن الاستقرار والأمان لاستثمارك في هذه السوق الواعدة.
خلاصة من جياشي
في شركة جياشي للضرائب والمحاسبة، ننظر إلى الامتثال السحابي باعتباره أحد الركائز الأساسية لنجاح أي شركة أجنبية في شنغهاي. من خلال خبرتنا التي تمتد لأكثر من عقد في خدمة هذه الشركات، نرى أن التحدي الأكبر لا يكمن في تعقيد القوانين بحد ذاتها، بل في غياب التنسيق بين الفرق التقنية والقانونية والإدارية داخل الشركة الأم. غالباً ما نجد أن القرارات الاستراتيجية المتعلقة بالسحابة تُتخذ في المقر الرئيسي دون فهم كافٍ للواقع التشغيلي في الصين، مما يؤدي إلى إعادة هيكلة مكلفة لاحقاً. نهجنا في جياشي هو بناء إطار عمل متكامل يبدأ من لحظة التخطيط للدخول إلى السوق، ويمر بتصميم الحلول السحابية واختيار المزودين، وصولاً إلى المراجعة الدورية للامتثال. نحن لا نقدم استشارات قانونية فقط، بل نعمل كجسر بين متطلبات الأعمال العالمية واللوائح المحلية، لضمان أن تكون رحلة العميل في شنغهاي سلسة وآمنة. نؤمن بأن الاستثمار في الامتثال مبكراً هو أقل كلفة بكثير من معالجة المخالفات لاحقاً، وأن الشركة التي تتعامل مع هذا الملف بجدية تضع نفسها على طريق النمو المستدام في واحدة من أكثر الأسواق ديناميكية في العالم.
