ما الذي يجب أن يسأل عنه الشركاء العامون (GPs) قبل تبني الذكاء الاصطناعي الذي يتعامل مع بيانات المستثمرين

أصبح كل برنامج يستخدمه الشريك العام يُشحن الآن مزوداً بالذكاء الاصطناعي. فنظام إدارة علاقات العملاء (CRM) الخاص بجمع التبرعات يحتوي على مساعد للكتابة. وأداة المحاسبة تصنّف المعاملات من تلقاء نفسها. وبوابة المستثمرين تعرض صياغة تحديثات الشركاء المحدودين (LP). معظم ذلك مفيد فعلاً. غير أن وتيرة التبني تجاوزت الأسئلة المطروحة — وتُسدّ هذه الفجوة من خلال محادثة قصيرة مع كل مزوّد.

هذه البيانات هي ما يجعل الأمر جديراً بالتعامل معه بعناية. فالشريك العام الذي يدير صندوقاً يحتفظ ببعض من أكثر المعلومات الشخصية حساسية التي قد تتعامل معها شركة صغيرة على الإطلاق: أرقام الضمان الاجتماعي والأرقام الضريبية للمستثمرين، وأرقام الحسابات المصرفية وأرقام التوجيه المصرفي، والبيانات المالية للمستثمرين المعتمدين، ونسخ من رخص القيادة وجوازات السفر المستمدة من فحوصات اعرف عميلك (KYC)، وكامل سجل التوزيعات لكل شخص ائتمن الشريك العام على رأس ماله. وعندما تعالج ميزة من ميزات الذكاء الاصطناعي أياً من ذلك، يمكن أن تتدفق البيانات عبر أطراف أكثر مما توحي به شاشة تسجيل الدخول — والشريك العام هو المسؤول عن تلك السلسلة.

تقترب إدارة الاستثمار بما يكفي من القطاع المصرفي بحيث تكون المخاطر هنا أعلى منها في معظم القطاعات — ولهذا السبب بالتحديد يصبح الشركاء العامون الذين يتبنون الذكاء الاصطناعي بشكل جيد الآن المشغّلين الموثوقين ضمن فئتهم. يتناول هذا الدليل كيفية القيام بذلك: ما الذي ينبغي فعله، وما الذي ينبغي تجنبه، والأسئلة المحددة التي يجب طرحها على أي مزوّد يحتوي منتجه على ذكاء اصطناعي مدمج.

لماذا تُعدّ بيانات المستثمرين الشخصية (PII) في عمليات الصناديق حالة خاصة

المعلومات التي تحدد هوية الأفراد (PII) هي أي بيانات يمكن أن تحدد شخصاً بعينه، سواء بمفردها أو بالاقتران مع بيانات أخرى. وفي سياق الصناديق، تتمثل العناصر البديهية في الأرقام الضريبية، والتفاصيل المصرفية، والوثائق الصادرة عن الحكومة. لكن العناصر الأقل وضوحاً مهمة أيضاً: اسم المستثمر مقروناً بمبلغ التزامه، أو عنوان بريد إلكتروني مرتبط بجدول توزيعات، أو رقم هاتف مرتبط بإشعار طلب رأس مال (capital call). كل ذلك يمكن أن يحدد هوية شخص ويكشف شيئاً خاصاً عن أوضاعه المالية.

ثلاثة أمور تجعل هذه الفئة حساسة بالنسبة للشركاء العامين تحديداً.

أولاً، البيانات مركّزة وعالية القيمة. فقائمة مستثمري صندوق واحد هي ملف مُحكم يحتوي بالضبط على المعلومات التي يرغب بها سارقو الهوية والمحتالون أكثر من غيرها. ولا توجد بيانات شخصية منخفضة القيمة في وثيقة اكتتاب.

ثانياً، العلاقة ائتمانية. فقد وافق الشركاء المحدودون (LPs) على الاستثمار مع شريك عام يثقون به — لا على أن يُعالَج رقمهم الضريبي عبر خدمات لم يُبلَّغوا بها. الثقة هي الأصل على جانبي الطاولة، وحمايتها جزء من الواجب الائتماني.

ثالثاً، الجانب التنظيمي حقيقي حتى وإن بدا بعيداً. فبحسب هيكل الصندوق ومستثمريه والولايات القضائية المعنية، قد يكون الشريك العام معنياً بالتزامات بموجب قوانين الخصوصية مثل GLBA في الولايات المتحدة، والقوانين على مستوى الولايات مثل CCPA، وGDPR لأي مستثمرين أوروبيين. وكثيراً ما يخضع مديرو الصناديق لفحوصات SOC 2 على وجه التحديد لأن عملاءهم بحاجة إلى ضمانات بشأن التعامل مع البيانات. وميزات الذكاء الاصطناعي ليست معفاة من أي من ذلك. فإذا أرسلت أداة ما بيانات المستثمرين الشخصية (PII) إلى نموذج، فإن هذا النقل يخضع لنفس القواعد التي تخضع لها أي معالجة بيانات أخرى.

كيف تتعامل أدوات الذكاء الاصطناعي فعلياً مع بياناتك، ولماذا يهم ذلك

لتدقيق أداة ما، من المفيد معرفة ما يحدث عموماً عندما تعالج ميزة من ميزات الذكاء الاصطناعي البيانات. هناك بضعة أنماط، وهي تنطوي على مخاطر مختلفة جداً.

بعض الأدوات ترسل بياناتك إلى واجهة برمجة التطبيقات (API) لمزوّد نموذج تابع لجهة خارجية لمعالجتها، دون الاحتفاظ بها أو التدريب عليها. وهذا أمر شائع ويمكن القيام به بأمان، لكنه يعني أن بيانات مستثمريك تغادر بيئة المزوّد وتنتقل إلى شركة أخرى. وأنت بحاجة إلى معرفة من هي تلك الشركة وما الذي تنص عليه شروطها.

بعض الأدوات تشغّل النماذج ضمن بنيتها التحتية الخاصة، بحيث لا تغادر البيانات بيئتها أبداً. وهذا يقلل من عدد الأطراف المعنية، وإن كان يلقي بثقل أكبر على المستوى الأمني لذلك المزوّد الواحد.

وبشكل أقل شيوعاً، تستخدم بعض الأدوات بيانات العملاء لتدريب نماذجها أو تحسينها. وهذا هو النمط الذي ينبغي الانتباه إليه بأشد العناية، لأنه قد يعني أن أجزاءً من بيانات مستثمريك تصبح جزءاً من نموذج يتفاعل معه عملاء آخرون. وعادةً ما تستبعد المزوّدات المؤسسية ذات السمعة الطيبة ذلك تعاقدياً، لكن الأدوات الموجهة للمستهلكين والأدوات المجانية كثيراً ما تفعل العكس، بشروط تمنح حقوقاً واسعة لاستخدام المحتوى المقدَّم.

السبب الذي يجعل هذا التمييز مهماً: نادراً ما تكون ميزة الذكاء الاصطناعي قائمة بذاتها. فهي عادةً سلسلة. فبرنامج المزوّد يستدعي مزوّد نموذج، قد يعمل بدوره على مضيف سحابي، قد تكون له معالجاته الفرعية الخاصة. كل حلقة في هذه السلسلة هي موضع يهم فيه التعامل مع البيانات. وتدقيق الأداة يعني فهم السلسلة بأكملها، لا مجرد الشعار على شاشة تسجيل الدخول.

ما الذي ينبغي فعله

الخبر السار هو أن التدقيق أمر مباشر بمجرد أن تعرف ما تسأل عنه. ولا يتطلب أي من هذه الخطوات خلفية أمنية — بل تتطلب نفس الانضباط التشغيلي الذي يطبّقه الشركاء العامون بالفعل في العناية الواجبة تجاه المقرضين واختيار مدير الصندوق.

احصر أين تتدفق البيانات الشخصية (PII) بالفعل. قبل تقييم أي ميزة جديدة للذكاء الاصطناعي، اعرف أيٌّ من أدواتك الحالية يتعامل بالفعل مع بيانات المستثمرين الشخصية وكيف. معظم الشركاء العامين يُفاجَؤون بالإجابة. فنظام إدارة علاقات العملاء (CRM)، وأداة التوقيع الإلكتروني، ونظام المحاسبة، والبوابة المصرفية، وبرنامج معدّ الإقرارات الضريبية كلها تحتفظ بأجزاء منها. ولا يمكنك حوكمة ما لم ترسم خريطته.

اقرأ شروط معالجة البيانات، وتحديداً بند الذكاء الاصطناعي. ينشر المزوّدون على نحو متزايد ملحقاً لمعالجة البيانات (DPA)، وبشكل منفصل، شروطاً تغطي ميزات الذكاء الاصطناعي. ابحث عن الجملة التي تنص على ما إذا كانت بياناتك تُستخدم لتدريب النماذج. وإذا لم تتمكن من العثور على تلك الجملة، فإن غيابها بحد ذاته جواب، وينبغي أن تسأل المزوّد مباشرةً كتابةً.

اطلب قائمة المعالجين الفرعيين. يحتفظ أي مزوّد جادّ في مجال الأعمال بين الشركات (B2B) بقائمة بالأطراف الخارجية التي يشارك معها البيانات، بما في ذلك مزوّدو النماذج والمضيفون السحابيون. اطلبها. فالقائمة تخبرك بمن هو فعلاً في السلسلة وتتيح لك التحقق مما إذا كانت تلك الأطراف نفسها ذات سمعة طيبة.

اشترط تقليل البيانات إلى أدنى حد. أكثر البيانات الشخصية أماناً هي تلك التي لا يراها الذكاء الاصطناعي أبداً. فضّل الأدوات التي تتيح لك التحكم في البيانات التي يمكن لميزة ما الوصول إليها، والتي تحجب أو ترمّز الحقول الحساسة قبل المعالجة، والتي تبقي ميزات الذكاء الاصطناعي محصورة في المهمة بدلاً من منحها وصولاً شاملاً إلى كامل قاعدة بيانات مستثمريك.

تحقق من خط الأساس الأمني. بالنسبة لأي شيء قريب من القطاع المصرفي، يكاد تقرير SOC 2 Type II أن يكون شرطاً أساسياً. اطلبه. وينبغي أن يكون التشفير أثناء النقل وأثناء التخزين أمراً قياسياً. وبالنسبة للمستثمرين الأوروبيين، تأكد من أن المزوّد قادر على دعم التزامات GDPR، بما في ذلك إقامة البيانات (data residency) إن كان ذلك ذا صلة.

أبقِ عنصراً بشرياً في الحلقة في أي شيء يحرّك الأموال أو يصل إلى المستثمرين. لا بأس في الانطلاق من مسودة ذكاء اصطناعي لتحديث الشركاء المحدودين (LP). أما التحويل المصرفي الذي يبادر به الذكاء الاصطناعي فهو فئة مختلفة من المخاطر. وكلما اقتربت الميزة من تحريك الأموال أو التواصل الخارجي، وجب أن يراجعها شخص قبل أن يصبح أي شيء نهائياً.

وثّق ذلك كتابةً مع مستثمريك وفي سياساتك الخاصة. حدّث سياسة الخصوصية لديك ومراسلاتك مع الشركاء المحدودين (LP) لتعكس كيفية استخدامك الفعلي للذكاء الاصطناعي وما الحمايات المعتمدة. فالمستثمرون يسألون على نحو متزايد. والقدرة على الإجابة بوضوح ميزة تنافسية في جمع التبرعات.

ما الذي ينبغي تجنبه

لا تلصق بيانات المستثمرين الشخصية (PII) في أدوات الذكاء الاصطناعي العامة الموجهة للمستهلكين. روبوت الدردشة المجاني هو المكان الأكثر شيوعاً الذي تنتهي إليه بيانات المستثمرين خارج الأنظمة المتعاقَد عليها. فإسقاط وثيقة اكتتاب أو جدول توزيعات في مساعد بمستوى المستهلك من أجل "تنظيفه" قد يعني أن تلك البيانات يُحتفظ بها أو تُستخدم للتدريب بموجب شروط لم يقرأها أحد. أبقِ بيانات المستثمرين الشخصية داخل أنظمة الأعمال المدقَّقة والمتعاقَد عليها.

لا تفترض أن شعار مؤسسة معروفة يعني شروط بيانات بمستوى مؤسسي. فقد يكون لدى مزوّد معروف مع ذلك مستوى مجاني أو منخفض بشروط بيانات متساهلة. وغالباً ما تكون الحمايات موجودة في الخطة المدفوعة أو في العقد المتفاوَض عليه. تأكد من أي الشروط ينطبق على الخطة التي تستخدمها فعلاً.

لا تتعامل مع عبارة "نحن نستخدم الذكاء الاصطناعي" كميزة تستحق الاحتفاء دون السؤال عن الكيفية. فالمزوّد الذي يسوّق الذكاء الاصطناعي بكثافة لكنه لا يستطيع تفسير أين تذهب البيانات يخبرك بشيء ما. أما المزوّدون الجيدون فيجدون الإجابة عن هذه الأسئلة سهلة لأنهم قد أنجزوا العمل بالفعل.

لا تدع الذكاء الاصطناعي الخفي يتراكم. فعندما يتبنى أفراد الفريق كل على حدة أدوات الذكاء الاصطناعي الخاصة بهم دون مراجعة، ينتهي الأمر بالصندوق إلى بيانات مستثمرين مبعثرة عبر خدمات لا يتتبعها أحد. قرروا كمؤسسة أي الأدوات معتمدة لأي البيانات.

لا تبالغ في الانكفاء نحو عدم فعل أي شيء. فالفشل المعاكس حقيقي أيضاً. ورفض كل ذكاء اصطناعي لتجنب مسألة البيانات يجعل الشريك العام أبطأ وأكثر اعتماداً على العمل اليدوي من أقرانه الذين تبنّوه بعناية. والهدف هو التبني المحكوم، حيث تُستخدم الميزات المفيدة وتُحمى البيانات في الوقت نفسه.

قائمة تحقق عملية لتدقيق البرامج المدمجة بالذكاء الاصطناعي

عند تقييم أداة تحتوي على ميزات ذكاء اصطناعي، اعمل على هذه الأسئلة مع المزوّد. واحصل على الإجابات كتابةً حيثما أمكن.

1. ما البيانات التي تصل إليها ميزة الذكاء الاصطناعي، وهل يمكننا تقييد نطاقها؟
2. هل تُرسَل بياناتنا إلى مزوّد نموذج تابع لجهة خارجية، وإن كان الأمر كذلك، فمن هو؟
3. هل تُستخدم بياناتنا في أي وقت لتدريب أي نموذج أو تحسينه؟ (أنت بحاجة إلى رفض واضح، منصوص عليه في العقد.)
4. هل يُحتفظ بالبيانات بعد المعالجة؟ ولأي مدة، وهل يمكننا اشتراط حذفها؟
5. من هم معالجوكم الفرعيون، وهل يمكننا الاطلاع على القائمة الحالية؟
6. هل لديكم تقرير SOC 2 Type II، وهل يمكننا مراجعته؟
7. هل تُشفَّر البيانات أثناء النقل وأثناء التخزين؟
8. هل يمكنكم دعم متطلبات GDPR وإقامة البيانات (data residency) لمستثمرينا الأوروبيين؟
9. ماذا يحدث لبياناتنا إذا غادرنا؟ كيف تُعاد أو تُتلَف؟
10. هل هناك خطوة مراجعة بشرية لأي إجراء يقوم به الذكاء الاصطناعي ويحرّك الأموال أو يتواصل مع المستثمرين؟

المزوّد الذي يجيب عن هذه الأسئلة بسهولة هو على الأرجح مزوّد يمكنك أن تأتمنه على بيانات المستثمرين. أما المزوّد الذي يراوغ أو يماطل أو يتعامل مع هذه الأسئلة على أنها غير معتادة فإنه يبيّن لك الجواب في صورة مختلفة.

كيف ينعكس هذا في إدارة الاستثمار وإدارة الصناديق

السبب في أن هذه الأسئلة تكون أوقع في عمليات الصناديق منها، مثلاً، في أداة تسويق، هو أن البيانات والأموال تقع في الأنظمة نفسها. فأي ميزة ذكاء اصطناعي تُضاف في أي موضع من المنظومة ترث التعرّض البياني لذلك الترتيب بأكمله.

معظم منظومات التقنية لدى الجهات الراعية تتألف من أربعة إلى ستة مزوّدين غير مترابطين — جمع التبرعات في مكان، والخدمات المصرفية في مكان آخر، والتوزيعات في جدول بيانات، وسجلات المستثمرين في نظام إدارة علاقات العملاء (CRM). كل اتصال بين هذه الأنظمة هو نقطة تسليم تتحرك فيها البيانات الشخصية (PII)، وكل عملية تسليم هي أمر يستوجب الحوكمة. الشركاء العامون الذين نعمل معهم على Covercy One يديرون جمع التبرعات وسجلات المستثمرين والخدمات المصرفية والتوزيعات على منصة واحدة تكون فيها الخدمات المصرفية والمدفوعات أصيلةً لا مضافةً لاحقاً. وقلّة الأنظمة التي تحتفظ ببيانات المستثمرين الشخصية تعني عدداً أقل من المزوّدين للتدقيق فيهم، وعدداً أقل من قوائم المعالجين الفرعيين للبحث عنها، وعدداً أقل من سلاسل الأطراف للمساءلة عنها. وهذا لا يلغي الحاجة إلى طرح الأسئلة الواردة في هذه التدوينة — بل يقلّص عدد المزوّدين الذين يتعين عليك طرحها عليهم.

والمبدأ نفسه يشكّل كيفية بنائنا للذكاء الاصطناعي داخل المنصة. Neo، الشريك العام المساعد المدعوم بالذكاء الاصطناعي داخل Covercy One، يعمل في البيئة المحكومة نفسها التي تحتفظ بالبيانات بالفعل — في ظل ضوابط SOC 2 نفسها، والتشفير نفسه، والأذونات نفسها. ولا يستطيع Neo أن يرى إلا ما يستطيع المستخدم الذي يستدعيه أن يراه. ولا تطول سلسلة الأطراف عند تشغيل الذكاء الاصطناعي. هذا هو المعيار الذي نرى أن على كل ميزة ذكاء اصطناعي في عمليات الصناديق أن تستوفيه.

الذكاء الاصطناعي في عمليات الصناديق جدير بالتبني، والشركات التي تتبناه بعناية ستتحرك أسرع من تلك التي إما تتجاهله أو تستخدمه باستهتار. والعامل الحاسم هو ما إذا كان الشريك العام يتعامل مع بيانات المستثمرين باعتبارها المسؤولية الائتمانية التي هي عليها فعلاً، ويطرح على المزوّد الأسئلة التي تتطلبها تلك المسؤولية. فالأدوات التي تستحق بيانات مستثمريك ستكون لديها إجابات جيدة جاهزة.

اطّلع على كيفية تعامل Neo مع الذكاء الاصطناعي داخل منصة تحتفظ بالفعل بسجلات مستثمريك وخدماتك المصرفية وتوزيعاتك في ظل مجموعة واحدة من الحمايات ←