Bahaya Pendekatan ā€˜Satu Peraturanā€™ Untuk AI Kerajaan

AI dalam Kerajaan & Sektor Awamā€¢ā€¢By 3L3C

Model ā€˜satu peraturanā€™ untuk AI mungkin nampak kemas, tapi untuk kerajaan ia berbahaya. California jadi amaran; Malaysia perlu kerangka AI yang modular dan berisiko.

AI kerajaantadbir urus AIMyDIGITALbandar pintardasar awamkeselamatan dataregulasi AI
Share:

AI Kerajaan Tak Boleh Guna Satu Peraturan Sahaja

Pada 2024, lebih 1,000 rang undang-undang berkaitan kecerdasan buatan (AI) diperkenalkan di peringkat negeri di Amerika Syarikat. Tahun ini, Presiden Donald Trump bertindak balas dengan idea perintah eksekutif ā€œone-ruleā€ ā€” satu set peraturan persekutuan yang mengatasi undang-undang negeri, termasuk undang-undang AI yang agresif di California seperti Senate Bill 53.

Kenapa cerita politik Amerika ini patut mengganggu tidur penggubal dasar dan CIO sektor awam di Malaysia? Sebab ini cerminan dilema yang kita juga sedang hadapi: adakah peraturan AI untuk kerajaan patut diseragamkan sepenuhnya, atau disesuaikan mengikut konteks sektor, negeri, dan jenis penggunaan seperti bandar pintar, keselamatan negara, kesihatan atau pendidikan?

Dalam siri AI in Government & Public Sector ini, fokusnya jelas: kerajaan Malaysia sedang melabur besar dalam AI di bawah Blueprint Ekonomi Digital Malaysia (MyDIGITAL). Soalnya bukan lagi ā€œnak guna AI atau tidakā€, tetapi ā€œbagaimana nak urus dan kawal AI dengan cara yang selamat, telus dan masih menyokong inovasiā€. Di sinilah pelajaran dari pertarungan antara kerajaan persekutuan AS dan California jadi sangat relevan.

Artikel ini menghuraikan apa yang berlaku di California, kenapa model ā€œsatu peraturan untuk semuaā€ berisiko untuk sektor awam, dan apa yang Malaysia boleh pelajari untuk membina kerangka tadbir urus AI yang lebih halus, bukannya pukul rata.

Apa Sebenarnya Berlaku di California?

Intinya: California cuba bina pagar keselamatan AI sendiri, tetapi perintah eksekutif persekutuan mahu memotong kuasa itu dan ganti dengan satu peraturan nasional.

California antara negeri paling agresif dalam mengawal dan menggunakan AI dalam kerajaan. Beberapa undang-undang utama yang sedang berkuat kuasa:

  • Senate Bill 53 (Transparency in Frontier Artificial Intelligence Act)

    • Wajibkan syarikat yang bangunkan model AI ā€œfrontierā€ (besar dan berisiko tinggi) untuk:
      • Buat pendedahan keselamatan terperinci
      • Laporkan risiko sistemik seperti penyalahgunaan untuk senjata biologi, serangan siber atau manipulasi maklumat besar-besaran
      • Lindungi pemberi maklumat (whistleblower) dalam syarikat AI

  • Assembly Bill 489 ā€“ Tetapkan peraturan untuk sistem AI yang beri nasihat kesihatan, termasuk keperluan ketepatan, pemantauan dan had tanggungjawab.

  • Senate Bill 243 ā€“ Mengawal chatbot companion yang berinteraksi dengan kanak-kanak, termasuk perlindungan emosi dan privasi.

  • AB 621 ā€“ Mengharamkan dan menghukum penyebaran pornografi deepfake.

Industri teknologi membantah hebat, mendakwa undang-undang ini:

  • Bertindih dengan peraturan persekutuan dan antarabangsa
  • Menambah kos pematuhan, terutamanya untuk startup
  • Melemahkan daya saing syarikat AS berbanding pesaing luar

Sebagai tindak balas kepada ā€œseribu satuā€ undang-undang negeri, Rumah Putih menyatakan syarikat tak patut ā€œdipaksa patuh 50 set peraturan berbezaā€ dan mengumumkan rancangan perintah eksekutif yang akan:

  • Mewujudkan satu kerangka persekutuan ā€œone-ruleā€
  • Mencabar atau mengehadkan undang-undang negeri yang bercanggah, termasuk di California
  • Menubuhkan pasukan khas untuk menyemak dan, jika perlu, memfailkan cabaran undang-undang terhadap peraturan negeri

Hakikatnya, ini bukan sekadar pertarungan politik. Ini pertarungan falsafah: adakah AI patut diurus dengan satu set peraturan generik, atau ditala ikut risiko dan konteks?

Masalah Model ā€˜One-Ruleā€™ Untuk AI Kerajaan

Model ā€œsatu peraturan untuk semuaā€ nampak kemas di atas kertas, tetapi gagal menangkap realiti bahawa AI dalam sektor awam tak seragam ā€” risiko dan keutamaan sangat berbeza antara kegunaan.

1. Risiko AI Tak Sama Untuk Semua Guna

AI dalam kerajaan menyentuh pelbagai fungsi kritikal:

  • Bandar pintar ā€“ pengurusan trafik, pengawasan CCTV pintar, pengurusan sisa, lampu jalan pintar
  • Keselamatan negara & keselamatan awam ā€“ analitik video, ramalan jenayah, pemantauan sempadan, intel jenayah siber
  • Kesihatan awam ā€“ triage pesakit, ramalan wabak, chat kesihatan
  • Perkhidmatan barisan hadapan ā€“ chatbots perkhidmatan pelanggan, semakan bantuan, pemprosesan permohonan
  • Identiti digital & kebajikan sosial ā€“ pengesahan identiti, saringan penipuan, pemadanan data rentas agensi

Kalau semua ini terikat pada satu set peraturan generik:

  • Sistem kesihatan yang salah diagnosis dan chatbot yang tersalah jawab soalan pasport mungkin tertakluk kepada tahap kawalan yang sama, sedangkan impak nyawa manusia jelas berbeza.
  • AI keselamatan negara yang boleh tersilap tanda ancaman akan dikawal dengan kerangka sama seperti chatbot FAQ majlis perbandaran.

Realitinya, tahap risiko tak sama, jadi tahap pengawalan pun tak patut sama.

2. Satu Peraturan Boleh Membantutkan Inovasi Tempatan

Dalam konteks Malaysia, kerajaan negeri dan PBT sedang berlumba-lumba bina:

  • Projek bandar pintar di Selangor, Johor, Penang dan lain-lain
  • Inisiatif data raya dan AI untuk pengangkutan awam
  • Sistem analitik untuk banjir dan bencana

Kalau ada satu garis panduan nasional yang terlalu ketat dan tak fleksibel:

  • Pihak berkuasa tempatan mungkin sukar mempilotkan penggunaan AI baru (contoh: penguatkuasaan parkir pintar, analitik CCTV untuk keselamatan komuniti).
  • Universiti dan agensi R&D kerajaan akan terperangkap dalam proses kelulusan yang panjang walaupun projek hanya berskala kecil dan berisiko rendah.

Sebaliknya, kalau terlalu longgar:

  • Risiko penyalahgunaan data warganegara dan kebocoran maklumat sensitif meningkat
  • Kepercayaan awam kepada projek bandar pintar merosot, walaupun teknologinya baik

3. AI Perlukan ā€˜Tadbir Urus Modularā€™, Bukan Satu Saiz

Saya cenderung kepada pandangan ini: AI dalam kerajaan memerlukan kerangka tadbir urus modular ā€” satu rangka asas nasional, tetapi modul tambahan mengikut sektor dan tahap risiko.

Model ā€œone-ruleā€ seperti yang ditolak ke California menafikan keperluan modul ini. Negara seperti Malaysia yang mempunyai perbezaan keupayaan digital antara negeri dan agensi tak boleh mengharapkan satu set peraturan statik sebagai jawapan.

Apa Malaysia Boleh Belajar Dari California

Pelajaran utama daripada California: berani bertindak awal, tetapi sediakan ruang untuk pelarasan ā€” dan jangan takut peraturan yang berbeza untuk AI berisiko tinggi.

1. Ketelusan & Pendedahan Risiko Untuk AI ā€˜Frontierā€™

SB 53 menekankan tiga perkara yang Malaysia patut tiru untuk projek AI kerajaan berskala besar:

  1. Laporan risiko terperinci untuk model AI besar yang digunakan dalam:
    • keselamatan negara
    • infrastruktur kritikal (tenaga, air, pengangkutan)
    • kesihatan awam

  1. Pelan mitigasi yang terdokumen ā€“ bukan sekadar polisi di atas kertas, tetapi:

    • siapa tanggungjawab semak model
    • berapa kerap ia diaudit
    • apa ambang untuk hentikan sistem (kill switch) jika berlaku kegagalan

  2. Perlindungan pemberi maklumat di dalam vendor teknologi dan agensi kerajaan supaya staf teknikal boleh melaporkan risiko tanpa takut dihukum.

Dalam konteks MyDIGITAL, projek seperti identiti digital, data raya kerajaan dan pusat data nasional akan semakin bergantung kepada AI. Ketelusan tahap ini bukan ā€œnice to haveā€ ā€“ ini asas membina kepercayaan awam.

2. Peraturan Berbeza Untuk Kegunaan Berisiko Tinggi

California tak layan semua AI sama rata. Chatbot yang berbual dengan kanak-kanak dilindungi melalui SB 243; deepfake lucah pula diharamkan melalui AB 621.

Bagi Malaysia, pendekatan serupa boleh dibina di atas dasar sedia ada:

  • AI untuk pengawasan & keselamatan ā€“ perlukan standard lebih ketat tentang:

    • pemadanan wajah (facial recognition)
    • tempoh penyimpanan data
    • siapa boleh akses data mentah

  • AI dalam kesihatan awam ā€“ perlu garis panduan jelas tentang:

    • peranan doktor manusia sebagai ā€œhuman-in-the-loopā€
    • pengesahan klinikal model sebelum digunakan meluas

  • AI dalam pendidikan ā€“ contohnya tutor digital untuk pelajar:

    • kawalan kandungan
    • pemantauan bias bahasa dan budaya

Pendek kata, risiko tinggi ā†’ kawalan tinggi. Risiko rendah ā†’ lebih fleksibel, fokus kepada inovasi dan eksperimen.

3. Seimbangkan Pusat (Persekutuan) dan Negeri

Isunya di Amerika ialah pertembungan kuasa: persekutuan lawan negeri. Di Malaysia, struktur perundangan berbeza, tetapi prinsipnya sama:

  • Kerajaan Persekutuan patut:

    • Tetapkan kerangka asas tadbir urus AI sektor awam
    • Jelaskan prinsip seperti hak privasi, akauntabiliti, ketelusan, keselamatan data
    • Mewujudkan AI Governance Council rentas agensi

  • Kerajaan Negeri & PBT patut:

    • Ada ruang menyesuaikan garis panduan untuk konteks setempat (contoh: projek bandar pintar, pengangkutan bandar, keselamatan komuniti)
    • Boleh melaksanakan pilot project sandbox di bawah pengawasan kerangka nasional

California menunjukkan apa akan terjadi bila negeri bergerak cepat tetapi pusat cuba ā€œpatahkan sayapā€ dengan satu peraturan pukal. Untuk Malaysia, isunya bukan konflik kuasa, tetapi mengelak dari terlalu memusatkan keputusan sehingga negeri dan PBT hanya jadi pelaksana tanpa suara.

Rangka Kerja Praktikal Untuk Agensi Kerajaan Malaysia

Bagaimana agensi kerajaan atau GLC boleh guna pelajaran ini sekarang, tanpa tunggu undang-undang baru?

Berikut rangka kerja praktikal yang saya syorkan, selari dengan semangat MyDIGITAL:

1. Kategori Risiko AI Dalaman

Klasifikasikan setiap projek AI kerajaan kepada sekurang-kurangnya tiga tahap:

  1. Risiko Tinggi ā€“ Menjejaskan nyawa, keselamatan negara, hak asasi atau keputusan kewangan kritikal
    Contoh: sistem saringan bantuan sosial, AI pengawasan, AI kesihatan.

  2. Risiko Sederhana ā€“ Menjejaskan pengalaman pengguna dan reputasi agensi, tetapi tak libatkan nyawa
    Contoh: chatbot portal kerajaan, sistem pemarkahan aduan, analitik trafik.

  3. Risiko Rendah ā€“ Ujian dalaman, automasi pejabat, analitik statistik tanpa data sensitif individu.

Setiap kategori perlu set kawalan berbeza ā€“ jangan pukul rata.

2. Minimum Guardrail Untuk Setiap Tahap

Sebagai panduan ringkas:

  • Untuk risiko tinggi:

    • Penilaian impak AI (AI Impact Assessment) wajib sebelum go-live
    • Audit bebas berkala
    • Mekanisme rayuan manusia untuk pengguna yang terkesan
    • Penerangan jelas hak pengguna dan cara mencabar keputusan

  • Untuk risiko sederhana:

    • Dokumentasi model dan data latihan asas
    • Polisi privasi yang mudah difahami rakyat
    • Pemantauan prestasi dan laporan insiden dalaman

  • Untuk risiko rendah:

    • Garis panduan etika dalaman
    • Semakan keselamatan data asas

3. Tubuhkan Jawatankuasa Tadbir Urus AI

Setiap kementerian atau kerajaan negeri yang serius dengan AI patut ada sekurang-kurangnya:

  • Wakil IT/data
  • Wakil undang-undang/perundangan
  • Wakil operasi (business owner)
  • Wakil perlindungan data (DPO) jika ada

Peranan mereka:

  • Meluluskan projek AI baru berdasarkan kategori risiko
  • Memantau insiden dan aduan
  • Menjadi penghubung dengan garis panduan nasional (bila dilancarkan)

4. Tarik Penglibatan Orang Awam

California menekankan perlindungan pengguna; Malaysia juga perlu beri ruang pemegang taruh bercakap:

  • Sesi libat urus awam untuk projek AI bandar pintar besar
  • Laporan berkala ringkas tentang penggunaan AI dalam agensi (tanpa butiran rahsia)
  • Saluran aduan khusus berkaitan AI

Kepercayaan tidak datang automatik hanya kerana projek dilabel ā€œMyDIGITALā€ atau ā€œbandar pintarā€. Ia dibina melalui ketelusan dan ruang maklum balas.

Kenapa Sektor Awam Malaysia Tak Mampu Guna Pendekatan ā€˜One-Ruleā€™

Realitinya, Malaysia berada di persimpangan penting: pelaburan AI sektor awam semakin besar, tekanan untuk bergerak pantas semakin kuat, dan rakyat semakin sensitif terhadap isu privasi dan bias algoritma.

Cerita California vs perintah eksekutif Trump tunjukkan dua perkara:

  1. Kalau terlalu bergantung kepada satu peraturan pusat yang generik, negeri dan agensi hilang keupayaan menyesuaikan diri dengan realiti lapangan.
  2. Kalau tiada kerangka pusat langsung, setiap agensi mungkin buat cara sendiri, menyebabkan kekeliruan, pertindihan kos, dan risiko tak terkawal.

Malaysia perlukan jalan tengah yang lebih matang:

  • Kerangka nasional AI sektor awam yang jelas, tetapi tak terlalu terperinci hingga membunuh inovasi.
  • Panduan sektoral (kesihatan, pendidikan, keselamatan, bandar pintar) yang mengiktiraf perbezaan risiko.
  • Ruang sandbox terkawal supaya negeri, PBT dan agensi boleh mencuba penyelesaian AI baru dengan kawalan minimum tetapi masih bertanggungjawab.

Kalau anda di:

  • Kementerian / agensi pusat ā€“ jadikan isu tadbir urus AI ini agenda rasmi 2026, bukan hanya projek teknikal di bahagian IT.
  • Kerajaan negeri / PBT ā€“ mula cipta polisi dalaman AI sendiri yang sejajar dengan prinsip nasional, walaupun rangka undang-undang formal belum siap.
  • Vendor teknologi / integrator ā€“ jangan tunggu disuruh; hadirkan diri sebagai rakan strategik yang bawa amalan terbaik tadbir urus AI, bukan hanya jual sistem.

AI akan menjadi tulang belakang banyak fungsi kerajaan di Malaysia. Soalannya, adakah kita mahu tadbir urus yang hidup, modular dan disesuaikan, atau memilih jalan mudah ā€œsatu peraturan untuk semuaā€ yang akhirnya menjerat diri sendiri?

Pilihan itu sedang dibuat sekarang, sama ada kita sedar atau tidak.