Peraturan Data & AI EdTech: Apa Perlu Disiapkan 2026

Pada hujung 2025, banyak institusi pendidikan sedang “lari pecut” mengejar dua perkara serentak: transformasi digital pembelajaran dan keperluan pematuhan data yang makin ketat. Bila AI masuk ke bilik darjah—daripada tutor pintar, analitik pembelajaran, hingga automasi pentadbiran—risikonya pun naik sama laju.

Agenda peraturan Persekutuan AS bagi Spring 2025 (diumumkan pada September 2025) memberi gambaran jelas: fokus besar ialah keselamatan data, pelaporan insiden siber, privasi rekod pendidikan, dan kebolehcapaian web/aplikasi. Kalau organisasi anda membina atau menggunakan platform pembelajaran digital, LLM untuk sokongan pelajar, atau ekosistem EdTech yang menyentuh data sensitif—ini bukan isu “undang-undang jauh di sana”. Ini peta awal tentang bagaimana piawaian global akan bergerak, dan biasanya, standard besar akan mengalir ke kontrak vendor, audit, dan polisi kampus di mana-mana.

1) Peraturan CUI & NIST 800-171: Kenapa AI di kampus kena ambil berat

Jawapan ringkasnya: bila data diklasifikasikan sebagai sensitif (CUI), sistem AI yang menyimpan atau memprosesnya mesti ikut kawalan keselamatan yang ketat. Dalam agenda ini, satu peraturan penting mensasarkan Disember 2025 untuk memuktamadkan kemas kini Federal Acquisition Regulation (FAR) agar keperluan Controlled Unclassified Information (CUI) digunakan secara seragam dalam kontrak persekutuan.

Untuk dunia pendidikan digital, implikasinya mudah: banyak institusi (atau vendor EdTech mereka) terlibat dengan geran, penyelidikan, kontrak, atau data yang boleh jatuh dalam kategori CUI. Dan bila AI digunakan untuk:

• menganalisis rekod pelajar,
• mengautomasikan sokongan kewangan pelajar,
• membantu penyelidikan,
• atau memproses dokumen pentadbiran,

AI itu sebenarnya sebahagian daripada pipeline data. Jadi, perbincangan CUI bukan lagi “isu IT semata-mata”. Ia isu governans AI.

Apa kaitan NIST SP 800-171 dengan AI & EdTech?

Peraturan CUI merujuk kepada amalan perlindungan yang selari dengan NIST SP 800-171—set kawalan keselamatan untuk melindungi data sensitif dalam sistem bukan persekutuan. Dalam operasi EdTech moden, ini boleh memaksa institusi menilai semula:

• di mana data sensitif disimpan (cloud, on-prem, aplikasi pihak ketiga),
• siapa yang ada akses (termasuk pembekal AI dan sub-pemproses),
• dan bagaimana model AI dilatih atau digunakan (termasuk prompt, log, dan fine-tuning).

Satu ayat yang saya selalu gunakan bila bincang dengan pasukan kampus: “AI tak ‘makan’ data—AI ‘menyentuh’ data, dan itu cukup untuk jadikan ia isu pematuhan.”

Titik panas: tempoh pelaporan insiden

Dalam perbincangan draf peraturan, ada cadangan tempoh pelaporan insiden siber yang sangat singkat (8 jam) berbanding amalan lain (72 jam). Walaupun tarikh akhir dan teks akhir peraturan boleh berubah, mesejnya jelas: pelaporan insiden akan menjadi lebih cepat dan lebih berstruktur.

Untuk AI dalam pendidikan, ini bermaksud anda perlu tahu—dengan cepat—jika berlaku:

• kebocoran data melalui integrasi AI,
• pendedahan API key,
• salah konfigurasi storan dokumen,
• atau penggunaan data sensitif dalam log chat.

2) Pelaporan ancaman & SBOM: Vendor AI bukan boleh “main tutup” lagi

Jawapan terus: institusi perlu mula menuntut ketelusan rantaian perisian daripada vendor EdTech, termasuk alat AI. Agenda menyasarkan peraturan akhir pada Februari 2026 untuk meningkatkan perkongsian maklumat ancaman dan pelaporan insiden antara kerajaan dan kontraktor, termasuk keperluan software bill of materials (SBOM).

Dalam bahasa mudah, SBOM ialah “resit ramuan” perisian—komponen apa yang digunakan, versi apa, datang dari mana. Kenapa ini penting?

• Banyak platform AI/EdTech dibina atas komponen sumber terbuka.
• Risiko supply chain attack meningkat bila komponen tak dipantau.
• Institusi sering jadi mangsa kerana percaya vendor sudah urus semuanya.

Apa yang patut diminta dalam kontrak EdTech/AI (praktikal)

Kalau anda sedang memperbaharui kontrak LMS, platform analitik pembelajaran, atau pembantu AI untuk pelajar, masukkan keperluan berikut:

1. SBOM untuk aplikasi utama dan komponen kritikal.
2. SLA pelaporan insiden (tempoh, format, titik sentuh, dan prosedur eskalasi).
3. Log akses & audit trail yang boleh dieksport untuk forensik.
4. Polisi jelas tentang data latihan model: data institusi tidak digunakan untuk melatih model umum tanpa kebenaran bertulis.
5. Senarai sub-pemproses (subprocessors) dan lokasi pemprosesan data.

Ini bukan sekadar “kerja undang-undang”. Ini cara paling cepat untuk kurangkan risiko sebenar.

3) FERPA & definisi “rekod pendidikan”: AI pembantu pelajar boleh jadi rekod rasmi

Jawapan ringkasnya: bila AI menyimpan perbualan, cadangan, atau keputusan yang berkait dengan pelajar, ia berpotensi jadi sebahagian daripada rekod pendidikan. Agenda menyatakan Jabatan Pendidikan AS menyasar draf peraturan pada Januari 2026 untuk mengemas kini penguatkuasaan FERPA—termasuk memperjelas definisi rekod pendidikan dan peraturan pendedahan maklumat boleh kenal pasti (PII).

Walaupun FERPA ialah konteks AS, isu yang dibawa sangat relevan untuk semua institusi yang serius tentang privasi:

• Adakah transkrip chat AI disimpan?
• Siapa boleh akses?
• Boleh tak pelajar minta salinan atau minta dipadam?
• Bila AI membuat ringkasan prestasi atau risiko keciciran, adakah ia dianggap “rekod” yang mempengaruhi keputusan?

Contoh situasi yang sering terlepas pandang

Bayangkan satu universiti guna AI untuk menyokong kaunseling akademik:

• Pelajar berbual tentang masalah keluarga dan kewangan.
• AI cadangkan pertukaran kursus dan jadual.
• Sistem simpan log untuk “penambahbaikan kualiti”.

Dalam audit privasi, log itu boleh dianggap data sensitif yang perlu kawalan ketat. Lebih-lebih lagi jika ia digunakan untuk membuat keputusan atau dicapai oleh staf tertentu.

Langkah minimum yang patut ada sebelum 2026

• Klasifikasi data untuk semua output AI (ringkasan, skor risiko, cadangan).
• Dasar retensi: berapa lama log disimpan, dan kenapa.
• Mod privasi: matikan penyimpanan perbualan jika tidak perlu.
• Notis kepada pelajar yang jelas: apa data dikumpul, tujuan, dan hak mereka.

4) CIRCIA & pelaporan insiden: Bila pendidikan dianggap “infrastruktur kritikal”

Jawapan terus: kalau pendidikan tinggi dimasukkan sebagai sektor infrastruktur kritikal, pelaporan insiden siber boleh menjadi kewajipan yang lebih formal dan kerap. Peraturan akhir bagi keperluan pelaporan di bawah rangka CIRCIA disasarkan Mei 2026, termasuk laporan insiden dan bayaran tebusan.

Apa yang saya suka (dan pada masa sama risau) tentang arah ini: ia memaksa institusi membina disiplin operasi keselamatan yang lebih matang. Tapi ia juga boleh menambah beban pentadbiran jika definisi “liputan” terlalu luas.

Di mana AI membantu secara realistik

AI keselamatan bukan magic, tapi ia boleh berkesan untuk:

• korelasi log (SIEM) dan pengesanan anomali,
• triage tiket insiden dan automasi respons awal,
• pengelasan insiden mengikut tahap keterukan,
• mempercepat penjanaan laporan awal untuk pihak pengurusan.

Jika anda sasarkan pematuhan pelaporan yang cepat, automasi ini yang banyak menyelamatkan masa.

5) Kebolehcapaian WCAG 2.1 AA: AI tak boleh “meminggirkan” pelajar OKU

Jawapan paling jelas: platform pembelajaran digital dan aplikasi mudah alih mesti boleh diakses—dan AI UI/UX juga tertakluk. Peraturan kebolehcapaian web dan aplikasi mudah alih (berasaskan WCAG 2.1 Level AA) menetapkan tarikh pematuhan berbeza:

• 24/04/2026 untuk organisasi di bawah bidang kuasa populasi 50,000 atau lebih
• 26/04/2027 untuk populasi bawah 50,000

Walaupun institusi anda bukan entiti kerajaan tempatan, trend ini akan “mengalir” ke amalan terbaik industri, kriteria perolehan, dan jangkaan pengguna.

Isu kebolehcapaian yang kerap muncul bila tambah AI

• Komponen chat widget yang tak mesra pembaca skrin.
• Kontras warna rendah pada papan pemuka analitik.
• Kandungan yang dijana AI (ringkasan, nota) tidak berstruktur, menyukarkan navigasi.
• Video AI dengan sari kata yang tak tepat.

Solusi yang praktikal: masukkan kebolehcapaian sebagai kriteria penerimaan (acceptance criteria) dalam projek AI/EdTech, bukan semakan hujung projek.

Pelan tindakan 90 hari: “AI readiness” yang selari dengan pematuhan

Jawapan yang boleh terus dibuat: mulakan dengan inventori, kawalan data, dan kontrak vendor. Ini pelan 90 hari yang saya anggap paling berbaloi untuk kebanyakan institusi.

1. Bina inventori AI & EdTech

   • Senaraikan semua alat AI: rasmi dan “shadow AI”.
   • Nyatakan data apa yang masuk/keluar.

2. Petakan data sensitif & titik integrasi

   • PII, data kewangan, data kesihatan, data penyelidikan.
   • Kenal pasti log, sandaran, dan storan fail.

3. Tetapkan polisi minimum untuk penggunaan AI

   • Larang input data sensitif ke AI umum tanpa kelulusan.
   • Wajibkan akaun institusi, MFA, dan pengurusan identiti.

4. Semak kontrak vendor (atau templat RFP)

   • SBOM, pelaporan insiden, sub-pemproses, retensi log.
   • Klausa “data tidak digunakan untuk latihan model umum”.

5. Latih pasukan secara fokus (bukan ceramah umum)

   • Bengkel 60 minit untuk pensyarah: apa boleh/apa tak boleh.
   • Drill insiden untuk IT & keselamatan: siapa buat apa dalam 72 jam.

Jika anda hanya sempat buat satu perkara minggu ini: matikan penyimpanan log perbualan AI yang tak perlu, dan tulis dasar retensi yang ringkas tapi tegas.

Apa langkah seterusnya untuk institusi yang serius tentang AI dalam pendidikan?

Peraturan yang muncul dalam 2025–2026 memberi isyarat mudah: AI dalam pendidikan akan dinilai melalui lensa keselamatan, privasi, dan akses saksama. Institusi yang menang bukan yang guna AI paling banyak—tapi yang boleh buktikan AI mereka selamat, patuh, dan tidak menafikan hak pelajar.

Dalam siri “AI dalam Pendidikan dan EdTech”, saya melihat satu pola: bila pematuhan dijadikan “projek tambahan”, AI akan melambat. Bila pematuhan dijadikan “cara kerja”, AI jadi lebih pantas untuk diskalakan.

Jika tarikh akhir 2026 nampak jauh, itu sebenarnya perangkap. Projek keselamatan data, pengurusan vendor, dan kebolehcapaian ambil masa—lebih-lebih lagi bila melibatkan perubahan proses dan budaya. Jadi, alat AI apa yang organisasi anda patut hentikan, ubah suai, atau kukuhkan sebelum 24/04/2026 tiba?