الخصوصيّة من تلك الكلمات التي مَلَّسها كثرة الاستعمال. لكلّ تطبيق سياسة خصوصيّة. وكلّ سياسة خصوصيّة تقول إنّنا نهتمّ. وأغلبها يعني نهتمّ، إلى أن يصبح الاهتمام مزعجاً.
هذا المقال ليس سياسة خصوصيّة. هو قائمة بالخيارات التي اتّخذناها قبل أن نحتاج إلى كتابة واحدة — الخيارات التي تحدّد ماهيّة خزانة Mademoiselle الذكيّة، وما تستطيع فعله، وما لا تستطيعه، ولو حتّى عَرَضاً.
الإطار: الخزانة سطح خاصّ
لدى Mademoiselle ثلاثة أسطح أساسيّة. الاستوديو هو مسار تجربة قصّات الشعر والإطلالات بالذكاء الاصطناعي. حجز الصالون نقطة تماسّ في السوق. والخزانة هي السجلّ الشخصيّ لخزانة ملابس المستخدمة وللإطلالات التي أعجبتها.
الأوّلان قريبان من العامّ. النساء يشاركن النتائج. والنساء يقيّمن الصالونات. أمّا الثالث — الخزانة — فلا. الخزانة شيء حميم، كدُرج غرفة النوم أو علبة المجوهرات. وكونها تعيش على خادم لا يغيّر من طبيعتها شيئاً.
الخزانة ليست قناة تسويق. نعاملها كما نعامل محتويات الطاولة الجانبيّة بجوار السرير — لا يحقّ لنا أن ننظر فيها أبداً، وعلينا أن نحفظها بأمان، ولكِ أن تُفرغيها تماماً يوم تقرّرين الرحيل.
تلك الجملة هي الإطار لكلّ ما يأتي بعدها.
تشفير عند التخزين
كلّ عنصر في الخزانة — صورة قطعة علويّة، نتيجة إطلالة، ملاحظة ملحقة بقطعة — مشفَّر عند التخزين في تخزيننا الكائنيّ. المفاتيح مخصَّصة لكلّ مستخدمة، تُدوَّر وفق جدول، وتُدار في نظام إدارة مفاتيح لا تستطيع خوادم تطبيقنا القراءة منه مباشرة.
ماذا يعني هذا عمليّاً: قرص مسروق، أو حاوية تخزين مُهيَّأة بإهمال، أو متدرّب غاضب بحوزته كلمة مرور قاعدة البيانات — لا واحد من هذه المسارات يُسرّب الصور. الصور غير قابلة للقراءة من دون المفتاح، والمفتاح محفوظ في مكان لا تطاله قاعدة البيانات.
لا تدريب للنماذج على صور المستخدمات
هذا هو التعهّد الذي يفاجئ الناس أكثر من غيره، لأنّ منتجات كثيرة تفعل عكسه بصمت.
لا تستعمل Mademoiselle صور السيلفي، ولا ما ترفعينه إلى الخزانة، ولا النتائج المولّدة، لتدريب نماذج الذكاء الاصطناعي. لا مجمَّعةً. لا منزوعةَ الهويّة. لا للضبط الدقيق. لا لمجموعات التقييم. مسار البيانات أحاديّ الاتّجاه: مدخلاتكِ تدخل في توليد، والنتيجة تعود إليكِ، والنسخ العاملة تُتلَف حين تنتهي صلاحيّة الذاكرة المؤقّتة.
لماذا يهمّ هذا: بمجرّد دخول صورة في مجموعة تدريب، تصبح، بمعنى مجرّد لكنّه حقيقيّ، جزءاً من النموذج. لا تستطيعين سحبها لاحقاً. لا تستطيعين أن تطلبي من النموذج أن ينساها. والطريق الوحيد لإبقاء هذا الباب مغلقاً هو ألّا تفتحيه أبداً. نحن لم نفتحه قطّ.
كلفة هذا الخيار حقيقيّة. تتحسّن نماذجنا أبطأ ممّا لو كنّا نستثمر بيانات المستخدمات. نقبل المقايضة. نفضّل أن نبني منتجاً أبطأ في تحسّنه نقف خلفه، على منتج أسرع تحسّناً أساسُه استعارة صامتة.
الحذف الحقيقيّ شلّال، لا علامة
أغلب التطبيقات تحذف حذفاً ناعماً. تضع على السطر علامة deleted = true وتترك البيانات في مكانها — غالباً إلى الأبد، أحياناً بلا حدّ زمنيّ، وكثيراً عبر نسخ احتياطيّة لا يستطيع أحد في الشركة أن يحصيها بالكامل.
اتّخذنا خياراً معماريّاً مبكراً: حين تحذفين في Mademoiselle، يمتدّ الحذف كالشلّال. يُحذف ملفّ الصورة الأصليّ من التخزين الكائنيّ. وتُحذف كلّ نتيجة مشتقّة — النسخ بالذكاء الاصطناعي، والصور المصغّرة، وقصاصات بطاقة المشاركة — من حاويتها الخاصّة. ويُحذف كلّ سطر في قاعدة البيانات يشير إلى الصورة بفعل امتداد المفتاح الأجنبيّ. ويُبطَل كلّ مدخل ذاكرة مؤقّتة، وكلّ ذاكرة طرفيّة في شبكة التوزيع. وتُقلَّم لقطات النسخ الاحتياطيّ الأقدم من ٣٠ يوماً ضمن نافذة متحرّكة.
والنتيجة أنّ الحذف في Mademoiselle يعني ما تعنيه الكلمة. لا إخفاء. لا أرشفة. اختفاء.
لا متتبّعات طرف ثالث في مسار الاستوديو
الاستوديو — حيث ترفعين صورة، وتولّدين نتيجة، وترين وجهكِ على إطلالة جديدة — هو أكثر أسطحنا حساسيّة. وهو أيضاً السطح الأرجح، في نسخة أقلّ تأنّياً من هذا المنتج، أن يُحمَّل ببكسلات تسويق، ونصوص اختبار A/B، وأدوات تسجيل للجلسة، وحزم تحليلات.
اتّخذنا قرار إبقائها جميعاً في الخارج. يعمل الاستوديو على شيفرة الطرف الأوّل فقط. لا يوجد Meta Pixel يراقبكِ وأنتِ تجرّبين غرّة جديدة. لا توجد أداة تسجيل للجلسة تسجّل ترّدداتكِ. لا توجد شبكة إعلانيّة تربط نتيجتكِ بمعرّف حملة.
أمّا صفحات التسويق — الصفحة الرئيسيّة، والمجلّة التي تقرئينها الآن، ودليل الصالونات — فمختلفة. قد تحمل تلك تحليلات خفيفة من الطرف الأوّل لنعرف كم شخصاً زارنا. لكنّها لا تحمل أبداً أدوات تسجيل للجلسة أو متتبّعات إعلانيّة. الاستوديو غرفة محكمة الإغلاق.
المبادئ، بصراحة
هذه هي القائمة، منتزعةً من النصّ، إن أردتِ مشاركتها.
- لا ندرّب النماذج على صوركِ. أبداً، في أيّ مكان، بأيّ شكل.
- نشفّر محتويات الخزانة عند التخزين، بمفاتيح خاصّة بكلّ مستخدمة.
- نعامل الحذف كشلّال، لا كعلامة حذف ناعم.
- نُبقي نصوص الطرف الثالث خارج الاستوديو، نقطة على السطر.
- نسجّل من دون تسريب — سجلّات الطلبات لا تحتوي على بايتات صور، ولا مخرجات توليد، ولا محتوى يعرّف المستخدمة بأكثر ممّا يلزم لتتبّع الأخطاء، وتُقادَم هذه السجلّات خلال ١٤ يوماً.
- لا نبيع البيانات أبداً، لأنّنا لا نملك بيانات نبيعها. الخزانة لكِ.
المنتج حصيلة قيوده. القيود المذكورة هنا ليست ثمن مزاولة العمل — هي العمل ذاته.
ما نطلبه في المقابل
نطلب أن تخبرينا حين يبدو شيء ما في غير محلّه. الخصوصيّة ليست خاصّيّة جامدة. القائمة أعلاه لقطة لقرارات اتُّخِذت حتّى تاريخ اليوم. وكلّما أضفنا ميزات، احتجنا إلى إعادة التفاوض على المقايضات. المبادئ أعلاه أرضيّتنا. وسنكون شفّافين بشأن أيّ شيء يهدّد هذه الأرضيّة قبل أن يُطلَق، لا بعده.
الخزانة لكِ وحدكِ. نحن من بناها. ولسنا من يحقّ له أن ينظر في داخلها.
أسئلة متكرّرة
هل تدرّبون نماذج الذكاء الاصطناعي على صوري؟
لا. لا يُستعمل أيٌّ من صور السيلفي، أو عناصر الخزانة، أو نتائج التجربة المولّدة، لتدريب أيّ نموذج على الإطلاق. يجري توليد الصور على مدخلات خاصّة بكلّ جلسة، تُتلَف بعد اكتمال التوليد وانتهاء صلاحيّة النتيجة المخزّنة مؤقّتاً.
ماذا يفعل الحذف فعلاً؟
يمتدّ كالشلّال. حين تحذفين صورة، يُحذف الملفّ الأصليّ، وكلّ نتيجة مشتقّة منه، وكلّ مفتاح ذاكرة مؤقّتة، وكلّ سطر في قاعدة البيانات يشير إليه، وكلّ لقطة نسخ احتياطيّ أقدم من ٣٠ يوماً. نحن لا نحذف حذفاً ناعماً، ولا نؤرشف. يوم تطلبين، تختفي البيانات.
هل هناك متتبّعات طرف ثالث على الموقع؟
ليس في مسار الاستوديو، حيث تعيش الصور والنتائج. قد تتضمّن صفحات التسويق تحليلات من الطرف الأوّل. أمّا الاستوديو نفسه فيعمل من دون أيّ نصوص طرف ثالث، أو بكسلات إعلانيّة، أو أدوات تسجيل للجلسة.