سياسة الخصوصية
آخر تحديث · 2026-06-17
تمهيد
في صارحني، خصوصيتك ليست شعاراً تسويقياً بل قيد معماري مهندَس في النظام. نشرح هنا — بلغة واضحة لا بحقول قانونية مبهمة — ما البيانات التي نلامسها، ولماذا، وكم نحتفظ بها، وكيف نحميها، وما الحقوق التي يكفلها لك القانون السعودي (نظام حماية البيانات الشخصية PDPL) واللائحة الأوروبية العامة لحماية البيانات (GDPR). القاعدة الفلسفية: أنّ المنصة لا تستطيع تقنياً كشف هوية مرسل الرسائل المجهولة لأصحاب الحسابات، ليس عبر وعد قابل للنقض بل عبر بنية بيانات لا تحتفظ بالربط أصلاً.
١. ما البيانات التي نجمعها
أ. بيانات الحساب: الاسم الظاهر، البريد الإلكتروني، اسم المستخدم، كلمة المرور (مُشفَّرة بـ bcrypt، لا نراها أبداً)، الصورة الرمزية إن رفعتها، البلد المُحدَّد طوعاً. ب. المحتوى الذي تنشره: المنشورات النصية، الصور، التسجيلات الصوتية، إجاباتك على الرسائل المجهولة، مرايا الأسئلة، تعليقاتك، إعجاباتك. ج. البيانات التقنية الضرورية: عنوان IP (محوَّل إلى تجزئة SHA-256 مع مفتاح ملحي لا يمكن عكسه)، نوع الجهاز ونظام التشغيل، الإصدار التطبيقي، الوقت الجغرافي من رأس Cloudflare-IPCountry، رمز اللغة من المتصفح. د. ما لا نجمعه: لا نتتبّع موقعك الجغرافي الدقيق (GPS)، لا نستخدم بصمات الأصابع الرقمية (browser fingerprinting)، لا نقرأ جهات اتصالك، لا نشارك بياناتك مع شبكات إعلانية.
٢. كيف نحمي هوية المرسلين المجهولين
حين يرسل أحدهم رسالة مجهولة عبر رابطك: · اسم مستخدمه لا يُربط بالرسالة في جدول مستلم الرسالة · عنوان IP الأصلي للمرسل يُحوَّل فوراً إلى تجزئة SHA-256 مع مفتاح ملحي (salt) سرّي، والقيمة الأصلية تُتلف ولا تُسجَّل في أي مكان · التجزئة الناتجة لا تكفي لاستعادة الـ IP الأصلي رياضياً، ولكنها تكفي لمنع نفس المرسل من إرسال 200 رسالة في دقيقة · لا يستطيع المستقبِل، ولا أي موظف في صارحني، ولا أي مهندس، الاستعلام عن «من هو هذا المرسل». البنية لا تسمح بذلك. هذا هو الفرق الجوهري بيننا وبين منصّات الرسائل المجهولة التي تُحاكم لإخفاء قدرتها التقنية على الكشف: لدينا قيد رياضي، لا تعهّد تسويقي.
٣. متى نكشف بيانات التتبع
كقاعدة عامة: لا نكشف. الاستثناءات الثلاثة الوحيدة: ١. طلب قانوني موثَّق من سلطة قضائية مختصة في المملكة العربية السعودية، بأمر تفتيش رقمي مكتمل الأركان. ٢. حماية سلامة شخص: تهديد بالقتل، تهديد بإيذاء قاصر، خطر انتحار وشيك. في هذه الحالات نتعاون مع الجهات الأمنية ضمن أضيق الحدود. ٣. حماية أنفسنا قانونياً: لو تعرّضنا لدعوى قضائية مباشرة بصفتنا مشغّل المنصة، يحقّ لنا تقديم البيانات التي نحتفظ بها (وهي محدودة بحكم التصميم) للدفاع عن أنفسنا. في كل حالة كشف، نحتفظ بسجلّ شفّاف يُتاح للمستخدم المعني عند انتهاء الحظر القانوني، ضمن ما يسمّى Warrant Canary policy.
٤. مدة الاحتفاظ بكل نوع بيانات
بيانات الحساب: طوال نشاطك على المنصة + ٣٠ يوماً بعد طلب الحذف (نافذة استرجاع لو نُدمت). المحتوى المنشور: المحتوى المتبلِّر يبقى دائماً (هذه هي فلسفة التبلور). المحتوى المتلاشي بعد ٢٤ ساعة يُحذف فيزيائياً من قواعد بياناتنا، لا فقط يُخفى. بيانات التتبع (IP hash + جلسات): ٩٠ يوماً ثم تُمحى تلقائياً عبر مهمّة cron ليلية. سجلات النشاط الأمني (محاولات تسجيل دخول مشبوهة، البلاغات): ١٨٠ يوماً ثم تُمحى. بيانات التحليل الإحصائي (أرقام إجمالية بدون هوية): دائمة، ولكن مُجهَّلة كلياً. سجلات الذكاء الاصطناعي (مدخلات/مخرجات نموذج «شخصيتي»): لا تُحفظ بعد التوليد. النموذج لا يتعلّم من بياناتك.
٥. حقوقك بموجب نظام PDPL السعودي وGDPR
بصرف النظر عن مكان إقامتك، يحقّ لك كل ما يلي ويحقّ لك ممارسته مجاناً: · حق الوصول: طلب نسخة كاملة من كل بياناتك التي نحتفظ بها (نسلِّمها خلال ٣٠ يوماً في ملف JSON). · حق التصحيح: تعديل أي بيانات غير دقيقة من إعدادات حسابك مباشرة، أو عبر طلب لـ privacy@sarhny.com. · حق الحذف («حق النسيان»): حذف حسابك وكل محتواه فوراً من إعدادات الحساب، ويُنفَّذ خلال ٣٠ يوماً كحدّ أقصى. · حق التصدير: ملف JSON محمول يحوي حسابك ومنشوراتك المتبلِّرة ومرايا الأسئلة. · حق الاعتراض على المعالجة: في حالات محدودة (الإعلانات الموجَّهة مثلاً، رغم أننا لا نمارسها). · حق تقديم شكوى: إلى الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) إن كنت مقيماً في المملكة، أو إلى أي سلطة حماية بيانات وطنية في دول الاتحاد الأوروبي. التواصل لممارسة هذه الحقوق: privacy@sarhny.com (الرد خلال ٣٠ يوماً كحدّ أقصى).
٦. الكوكيز والتخزين المحلي
نستخدم ملف ارتباط واحد فقط هو ضرورة وظيفية لا أداة تتبّع: · sarhny_refresh — يُبقيك مسجَّلاً بين الزيارات. خصائصه: HttpOnly (JavaScript لا يقرأه)، Secure (لا يُرسَل إلا عبر HTTPS)، SameSite=Lax (لا يُرسَل لمواقع أخرى)، مدته سنة. · تخزين محلّي (localStorage): تفضيلاتك في اللغة، الوضع الداكن، آخر فلتر استخدمته. لا يُرسَل لخوادمنا. · لا نستخدم أي كوكيز طرف ثالث، لا Google Analytics، لا Facebook Pixel، لا أي نص برمجي تتبّع إعلاني. صفر.
٧. الذكاء الاصطناعي وميزة «شخصيتي»
صارحني تقدّم ميزة «شخصيتي»: مقالة شخصية يولّدها الذكاء الاصطناعي من إجاباتك الحقيقية على رسائل مجهولة وصلتك (لا من ملفّك الشخصي ولا من بيانات حسابك). عند طلبك توليد المقالة: · نأخذ آخر ٤٠ إجابة كتبتها علناً · نُرسلها كنص خام إلى نموذج Gemini مع تعليمات مقيَّدة · نستلم النص المقترح ونحفظه في حسابك بصيغة مسوّدة · لا يُنشر النص للعموم إلا بعد ضغطك على «نشر» صراحة · يحقّ لك تعديل النص أو حذفه في أي وقت من إعدادات حسابك النص الأصلي وتعليمات النموذج لا تُستخدم لتدريب أي نموذج. مزوّد الـ AI (Google Gemini) لا يحتفظ بمدخلاتنا بعد إكمال الطلب وفق سياسة Gemini API. لا يحقّ لأي طرف ثالث الاطّلاع على الإجابات المُرسلة للنموذج.
٨. حماية الأطفال والقاصرين
صارحني منصّة للبالغين ١٨ سنة فأكثر. التسجيل لا يُتاح لمن دون ذلك. سياستنا تجاه القاصرين: · نُغلق فوراً أي حساب يتبيّن أن صاحبه قاصر، ونحذف كل محتواه · نتعاون مع PhotoDNA (Microsoft) لكشف صور الاستغلال · نُبلِّغ المركز الوطني للأطفال المفقودين والمستغَلّين (NCMEC) عند الاكتشاف · نتعاون فوراً مع الجهات الأمنية السعودية في حالات الاستغلال الجنسي للأطفال إن اكتشفت محتوى يتعلّق بقاصر، أبلغ فوراً عبر زر البلاغ، أو على safety@sarhny.com (نراجع خلال ساعتين).
٩. الأمن السيبراني وحماية البيانات
البنية التحتية الأمنية: · تشفير في النقل: TLS 1.3 لكل اتصال، شهادة Cloudflare · تشفير في الحالة الساكنة: قاعدة البيانات مشفّرة بـ AES-256 على القرص · عزل قاعدة البيانات: لا تتعرَّض للإنترنت العام، الوصول فقط عبر الخدمة الداخلية · مفاتيح الذكاء الاصطناعي مُشفّرة بـ Fernet AES-GCM بمفتاح KEK خارج قاعدة البيانات · تجزئة كلمات المرور بـ bcrypt cost=12 (لا نخزِّن كلمة المرور أبداً) · نسخ احتياطية يومية مشفّرة في موقع جغرافي منفصل · مراجعة كود مفتوح المصدر للقطاعات الحرجة إن اكتشفت ثغرة أمنية، أبلغنا فوراً على security@sarhny.com مع وعد بعدم الكشف العلني لمدّة ٩٠ يوماً، وسنردّ خلال ٤٨ ساعة.
١٠. مزوّدو الخدمات الذين نستعين بهم
نختار مزوّدينا بمعيارَين: الجدّية الأمنية والامتثال للائحات حماية البيانات. · الاستضافة: Contabo Cloud VPS (ألمانيا)، الخوادم في الاتحاد الأوروبي، GDPR-compliant · شبكة التوصيل (CDN) وحماية DDoS: Cloudflare · البريد الترويجي والإشعارات: SMTP داخلي على خادمنا (لا نمرّ على SendGrid أو Mailchimp) · إشعارات الجوال: Firebase Cloud Messaging (Google) — يصل اسم المستخدم ونوع الإشعار فقط، لا محتوى · نموذج الذكاء الاصطناعي: Google Gemini API (لا يحتفظ بمدخلاتنا) · متاجر التطبيقات: Apple App Store، Google Play (إحصاءات التحميل فقط) لا نشارك بياناتك مع أي شبكة إعلانية مطلقاً.
١١. النقل الدولي للبيانات
خوادمنا في ألمانيا. لو زرت الموقع من خارج الاتحاد الأوروبي، بياناتك تُنقَل إلى ألمانيا عبر اتصال مشفَّر. ألمانيا تتمتّع بقرار كفاية بموجب GDPR وتلتزم بأعلى معايير حماية البيانات في العالم. إن كنت في المملكة العربية السعودية، يُعتبَر النقل لألمانيا «نقلاً عبر الحدود» بموجب نظام PDPL، ويتم وفق المادة ٢٩ من النظام (مزوّد يلتزم بمستوى حماية مماثل أو أعلى).
١٢. تغييرات السياسة
قد نُحدِّث هذه السياسة من وقت لآخر — مثلاً عند إضافة ميزة جديدة، أو عند صدور تشريع يلزمنا بالتعديل، أو عند تطوير أمني يستحقّ التوثيق. أي تعديل جوهري: · نُعلِنه في إشعار واضح أعلى صفحة الإعدادات لمدة ٣٠ يوماً · نُرسِله للبريد الإلكتروني المسجَّل لكل مستخدم · نُحدِّث تاريخ «آخر تحديث» أعلى هذه الصفحة · نحتفظ بنسخ تاريخية للسياسة قابلة للوصول للمستخدمين الذين يطلبونها
١٣. التواصل والشكاوى
للاستفسارات حول الخصوصية وممارسة حقوقك: privacy@sarhny.com للإبلاغ عن انتهاك أمني: security@sarhny.com لسلامة القاصرين أو حالات الطوارئ: safety@sarhny.com للاستفسارات القانونية العامة: legal@sarhny.com مدّة الرد المُلزِمة: ٣٠ يوماً كحدّ أقصى، نسعى للردّ في غضون ٥ أيام عمل. إن لم تكن راضياً عن ردّنا، يحقّ لك تقديم شكوى رسمية للهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) على sdaia.gov.sa.