Seni Bersikap Bodo Amat pada Privasi: Jerat Hukum Upload Dokumen ke AI

kumparan.com
4 jam lalu
Cover Berita

Pada era semakin berkembanganya kemampuan Generative Artificial Intelligence (“Generative AI”), ada satu hal yang hampir setiap orang sudah pernah lakukan, yaitu mengunggah dokumen, foto diri sendiri maupun orang lain ke dalam Generative AI seperti ChatGPT atau Gemini. Generative AI milik X, Grok, bahkan dapat dengan mudahnya menjawab konteks, membuat gambar, hingga mencari unggahan lama di X hanya dengan melakukan tag pada kolom balasan. Dalam hitungan detik, menit, pekerjaan yang diharapkan diselesaikan oleh Generative AI tersebut dan efisiensi pun tercapai.

Walau demikian, dibalik seluruh kemudahan tersebut, terdapat suatu aspek penting yang sering kali tidak terjamah oleh pengguna, hal tersebut adalah berkaitan dengan legitimasi dari apa yang diunggah ke Generative AI tersebut. Mengirimkan lampiran ke dalam Generative AI bukanlah sekadar menitipkan dokumen, melainkan menyerahkan data kepada pihak ketiga yang sering kali cara kerjanya belum dipahami sepenuhnya.

Menjadi pertanyaan sederhana, apakah ketika menekan tombol upload untuk dikerjakan selanjutnya oleh Generative AI, data tersebut masih dimiliki oleh orang yang mengunggah atau sudah menjadi milik Generative AI tersebut? Apakah kita harus bersikap “bodo amat” terhadap tindakan tersebut?

Bagaimana Generative AI Bekerja

Berbeda dengan menyimpan file pada Google Drive atau Hard Disk, Generative AI tidak menyimpan dokumen dalam folder yang bisa dihapus kapan saja.

Microsoft dalam web-nya menjelaskan bahwa Generative AI menggunakan teknik pembelajaran mesin tingkat lanjut untuk menganalisis kumpulan data besar dan menghasilkan konten baru berdasarkan konteks, gaya, struktur, dan nada dari data asli. Saat membuat konten, model AI menarik pola dari data untuk menghasilkan keluaran yang sering kali tidak dapat dibedakan dari materi yang dibuat manusia, baik berupa teks, gambar, kode, maupun musik.

Berdasarkan tinjauan teknis, saat dokumen diunggah ke layanan Generative AI, data tersebut sering kali dipecah, dianalisis, dan dijadikan bahan latihan (training data) untuk memperpintar model Generative AI tersebut. Informasi rahasia perusahaan bisa saja terkonversi menjadi bobot parameter (weights) dalam ingatan Generative AI. ChatGPT dalam web-nya mengakui bahwa apa yang diunggah oleh pengguna dijadikan model untuk ChatGPT tersebut belajar.

Ini menciptakan konflik fatal dengan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”). UU PDP menjamin hak Subjek Data Pribadi untuk dapat menuntut penghapusan data (Right to Erasure). Namun, dalam konteks Generative AI, menghapus data yang sudah "dipelajari" oleh model adalah hal yang nyaris mustahil secara teknis.

Siapa yang Bertanggung Jawab?

Kekeliruan terbesar pengguna awam adalah menganggap bahwa jika terjadi kebocoran, itu adalah salah penyedia Generative AI (OpenAI/Google/Grok). Padahal, menurut konstruksi UU PDP, justru pengguna yang bertanggung jawab. Dalam ekosistem ini, posisi hukumnya jelas:

  1. Pengendali Data Pribadi: Adalah yang mengunggah dokumen tersebut ke dalam Generative AI. Pengunggah dokumen tersebut yang menentukan tujuan mengapa data itu diunggah ke Generative AI.

  2. Prosesor Data Pribadi: Adalah penyedia platform Generative AI yang memproses Data Pribadi atas instruksi pengunggah.

Jika pengguna Generative AI adalah seorang HRD yang mengunggah CV pelamar, atau pengacara yang mengunggah dokumen klien ke ChatGPT atau Gemini atau Generative AI lainnya tanpa mematikan pengaturan untuk tidak membuat data tersebut dapat diakses untuk dilatih, maka HRD atau pengacara tersebut bertindak sebagai Pengendali Data Pribadi. Jika Data Pribadi itu bocor atau disalahgunakan untuk melatih AI tanpa izin Subjek Data Pribadi (pihak asli yang mengirimkan dokumen kepada HRD atau pengacara tersebut), Maka HRD atau pengacara tersebut yang akan diseret ke meja hijau ketika terjadi masalah, bukan Sam Altman atau Sundar Pichai.

Jerat Hukum Lintas Negara dan Sanksi Mengerikan

Masalah semakin pelik ketika kita bicara soal lokasi server. Mayoritas server Generative AI raksasa berada di luar wilayah Indonesia. Saat Anda mengunggah dokumen dari Indonesia, sejatinya sedang terjadi Transfer Data Pribadi Lintas Batas Negara (Cross-Border Data Transfer).

Pasal 56 UU PDP mensyaratkan bahwa Transfer Data Pribadi Lintas Batas Negara hanya boleh dilakukan jika:

  1. Negara tujuan memiliki tingkat pelindungan data yang setara atau lebih tinggi dari Indonesia

  2. Jika angka 1 tersebut tidak tercapai, maka Pengendali Data Pribadi wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat.

  3. Jika angka 2 tersebut juga tidak tercapai, maka Pengendali Data Pribadi wajib mendapatkan persetujuan Subjek Data Pribadi.

Tanpa instrumen perlindungan yang memadai terkait dengan transfer Data Pribadi, tindakan mengunggah dokumen sensitif ke server asing adalah pelanggaran hukum jika berdasarkan pada Pasal 56 UU PDP.

Risikonya tidak main-main. UU PDP memberikan ancaman sanksi denda administratif hingga 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran. Bayangkan jika suatu perusahaan harus kehilangan 2% omzet hanya karena kelalaian ingin "kerja cepat" menggunakan bantuan Generative AI.

Kategori “Risiko Tinggi” di Depan Mata

Selain UU PDP, lampu kuning kini menyala lebih terang dengan beredarnya Draf Rancangan Peraturan Presiden tentang Etika Kecerdasan Artifisial dan Surat Edaran Menteri Komunikasi dan Informatika Nomor 9 Tahun 2023 tentang Etika Kecerdasan Artifisial. Pemerintah mulai memetakan Generative AI bukan sekadar alat bantu, tapi entitas yang memiliki klasifikasi risiko.

Dalam draf tersebut, penggunaan Generative AI dikategorikan menjadi risiko rendah, tinggi, dan tidak dapat diterima. Perhatikan ini: jika dokumen yang diunggah ke ChatGPT atau Copilot memuat data spesifik seperti rekam medis, data biometrik, data anak, atau profil keuangan yang berdampak pada kelayakan kredit, aktivitas tersebut diklasifikasikan sebagai Risiko Tinggi.

Implikasinya? Aktivitas merangkum laporan medis klien atau data nasabah di Generative AI kini dapat menempatkan perusahaan tempat bekerja dalam sorotan regulator sebagai penyelenggara aktivitas berisiko tinggi yang menuntut pengawasan ketat dan mitigasi berlapis.

Apa yang Harus Dilakukan?

Hukum di Indonesia, melalui UU PDP, Rancangan Peraturan Pemerintah tentang Pelindungan Data Pribadi, dan Draf Rancangan Peraturan Presiden tentang Etika Kecerdasan Artifisial, telah memaksa kita untuk tidak lagi bersikap “bodo amat” terhadap tindakan kita dalam menggunakan Generative AI.

Sebagai langkah mitigasi, maka dapat dilakukan:

  1. Melarang penggunaan Generative AI untuk pemrosesan data internal yang sensitif.

  2. Melakukan Klasifikasi Risiko Mandiri: Cek apakah dokumen yang biasa diunggah mengandung unsur "Risiko Tinggi" (kesehatan, keuangan, anak) sesuai Draf Rancangan Peraturan Presiden tentang Etika Kecerdasan Artifisial.

  3. Melakukan Data Masking: Samarkan identitas sensitif sebelum dokumen diunggah.

Kompleksitas persinggungan antara teknologi AI, UU PDP, dan Rancangan Perpres Etika ini tentu memerlukan penelaahan yang spesifik pada tiap model bisnis. Kepatuhan aspek hukum menjadi krusial, terutama bagi korporasi untuk memitigasi risiko di kemudian hari.


Artikel Asli

Lanjut baca:

thumb
Pengamat Pertanian Bahas Kenaikan Harga Pangan Saat Ramadan, Soroti Infrastruktur Distribusi
• 9 jam lalukompas.tv
thumb
Belasan Anak Terlibat Perang Sarung Digelandang ke Mapolresta Surakarta
• 16 jam lalumetrotvnews.com
thumb
Pemerintah Tambah 426.840 Tabung Tiap Bulan, Masyarakat Diimbau Tak Perlu Risau LPG Langka
• 12 jam laluharianfajar
thumb
Video: Mari Elka Sebut 2 Sektor Yang Bisa Menggerakkan Ekonomi Lokal
• 19 jam lalucnbcindonesia.com
thumb
Ribuan Huntara di Sumatera Selesai, Danantara Akan Bangun Huntap
• 3 jam laluwartaekonomi.co.id
Berhasil disimpan.