كشف المركز الوطني للتعليم الإلكتروني مسودة سياسة خصوصية وحماية بيانات المتعلمين في بيئة التعليم الإلكتروني، التي تهدف إلى تحقيق حماية بيانات المتعلمين من المعالجة غير النظامية أو غير المصرّح بها، والحد من المخاطر المرتبطة بها.
وضعت المسودة إطاراً تنظيمياً شاملاً لعمليات جمع بيانات المتعلمين واستخدامها وتخزينها ونقلها ومشاركتها وحذفها، وضمان أن تكون ممارسات معالجة البيانات عادلة وشفافة ومتناسبة مع الأغراض التعليمية، وألا تُستخدم البيانات لأغراض تسويقية أو تجارية غير مصرح بها.
معايير عالمية
وأوضحت المسودة تنظيم استخدام التقنيات التعليمية والتحليلات التعليمية والذكاء الاصطناعي في معالجة بيانات المتعلمين، مع ضمان التدخل البشري ومنع التحيّز والقرارات الآلية الجائرة، وتعزيز حقوق الخصوصية للمتعلمين، وتمكينهم (وأولياء أمورهم عند الاقتضاء) من ممارسة حقوقهم المتعلقة ببياناتهم، ودعم الجهات التعليمية في بناء بيئة تعليمية رقمية آمنة تحترم الخصوصية، وتتماشى مع الأنظمة الوطنية والمعايير العالمية، مع التزام الجهات التعليمية بتضمين متطلبات هذه السياسة في عقودها واتفاقياتها مع مقدمي الخدمات التقنية والتعليمية، كما يجب على الجهات التعليمية اعتماد نماذج واضحة للحوكمة والامتثال والمتابعة لضمان تطبيق أحكام هذه السياسة وقياس نضج الخصوصية لديها.
مبادئ الاستخدام
وبحسب المسودة، تلتزم الجهات التعليمية والمتحكمون بالبيانات بعدة مبادئ عند استخدام بيانات المتعلمين، ومنها الحد الأدنى من جمع البيانات، وحظر جمع أي بيانات لا تخدم الهدف التعليمي أو الغرض النظامي المصرّح به، والاستخدام العادل (Fair Use)، الذي يمنع استخدام بيانات المتعلمين في الإعلانات أو الأغراض التسويقية أو التجارية أو تحليل السلوك الاستهلاكي، والشفافية، حيث يجب توضيح طريقة جمع البيانات وأغراض استخدامها، وبيان حقوق المتعلم ووسائل ممارستها بلغات وصيغ واضحة ومناسبة للفئة العمرية.
أغراض وضوابط
ويلتزم مقدمو الخدمات التعليمية والتقنية الذين يعالجون بيانات المتعلمين نيابة عن الجهة بالالتزام بعقود معالجة البيانات (DPA) التي تحدد نطاق المعالجة وأغراضها وضوابطها، وألا يتجاوز استخدام البيانات ما هو منصوص عليه، ومنع إعادة استخدام بيانات المتعلمين أو بيعها أو دمجها مع مصادر بيانات أخرى لأغراض تجارية أو تسويقية، وعدم استخدام بيانات المتعلمين لتدريب نماذج ذكاء اصطناعي عامة أو تجارية دون موافقة صريحة من المتحكم بالبيانات، وبما يتفق مع الأنظمة، وتطبيق ضوابط الأمن السيبراني المعتمدة، بما يشمل التشفير، وضبط الوصول، والتحديثات الأمنية الدورية، واستضافة البيانات داخل المملكة متى تطلبت الأنظمة ذلك أو عند النص على ذلك في العقود والاتفاقيات، والإبلاغ الفوري للجهة عن أي حادثة أمنية أو خرق أو تسريب لبيانات المتعلمين، والتعاون في إجراءات الاحتواء والمعالجة.
الحصول على موافقة
وأكدت المسودة أنه لا يجوز مشاركة بيانات المتعلمين إلا في الحالات الآتية: وجود أساس نظامي أو متطلب تشريعي يجيز المشاركة، والحصول على موافقة صريحة من المتعلم أو ولي أمره (في حال كونه قاصراً)، عند عدم وجود أساس نظامي كافٍ، والمشاركة لأغراض بحثية أو إحصائية أو تحسين جودة التعليم، مع الالتزام بضوابط تجريد الهوية وإخفائها، وعند مشاركة بيانات المتعلمين، يجب الالتزام بمشاركة الحد الأدنى من البيانات اللازمة لغرض المشاركة، وتطبيق التشفير أثناء نقل البيانات بين الأنظمة والجهات، وإخفاء أو تجريد الهوية –متى كان ذلك ممكناً– عند الاستخدام البحثي أو الإحصائي، ومنع الطرف الثالث من إعادة استخدام البيانات لأي غرض آخر، أو دمجها مع مصادر بيانات خارجية، أو الاحتفاظ بها بعد انتهاء الغرض، إلا وفق ما يجيزه العقد والنظام.
The National Center for E-Learning has revealed a draft policy for the privacy and protection of learners' data in the e-learning environment, aimed at achieving the protection of learners' data from unauthorized or irregular processing and minimizing associated risks.
The draft establishes a comprehensive regulatory framework for the collection, use, storage, transfer, sharing, and deletion of learners' data, ensuring that data processing practices are fair, transparent, and proportionate to educational purposes, and that data is not used for unauthorized marketing or commercial purposes.
Global Standards
The draft clarifies the regulation of the use of educational technologies, educational analytics, and artificial intelligence in processing learners' data, ensuring human intervention and preventing bias and unfair automated decisions, enhancing learners' privacy rights, and enabling them (and their guardians when applicable) to exercise their rights regarding their data. It also supports educational entities in building a secure digital learning environment that respects privacy and aligns with national regulations and global standards, with a commitment from educational entities to incorporate the requirements of this policy into their contracts and agreements with technical and educational service providers. Educational entities must also adopt clear governance, compliance, and monitoring models to ensure the implementation of this policy's provisions and measure their privacy maturity.
Usage Principles
According to the draft, educational entities and data controllers commit to several principles when using learners' data, including the minimum data collection, prohibiting the collection of any data that does not serve the educational purpose or the authorized regulatory purpose, fair use, which prevents the use of learners' data for advertising, marketing, or commercial purposes, or consumer behavior analysis, and transparency, where the method of data collection and its purposes must be clarified, along with stating the learner's rights and how to exercise them in clear and appropriate languages and formats for the age group.
Purposes and Controls
Educational and technical service providers processing learners' data on behalf of the entity are required to adhere to data processing agreements (DPA) that define the scope, purposes, and controls of processing, ensuring that the use of data does not exceed what is stipulated. They must prevent the reuse of learners' data, selling it, or merging it with other data sources for commercial or marketing purposes, and not use learners' data to train general or commercial artificial intelligence models without explicit consent from the data controller, in accordance with regulations. They must apply approved cybersecurity controls, including encryption, access controls, periodic security updates, and hosting data within the Kingdom when required by regulations or specified in contracts and agreements, and immediately report any security incidents, breaches, or leaks of learners' data to the entity, cooperating in containment and remediation procedures.
Obtaining Consent
The draft emphasizes that learners' data may only be shared in the following cases: when there is a legal basis or legislative requirement permitting sharing, obtaining explicit consent from the learner or their guardian (if they are a minor) when there is no sufficient legal basis, and sharing for research, statistical, or educational quality improvement purposes, while adhering to identity anonymization and masking controls. When sharing learners' data, the minimum necessary data for the purpose of sharing must be adhered to, and encryption must be applied during data transfer between systems and entities, with identity masking or anonymization—when possible—during research or statistical use, and preventing third parties from reusing the data for any other purpose, merging it with external data sources, or retaining it after the purpose has been fulfilled, except as permitted by the contract and regulations.
