digitalMamaID – Menghadapi perkembangan kecerdasan buatan atau artificial intelligence (AI) yang pesat ini, tentu perlu kesadaran adanya risiko penyalahgunaannya. Keamanan data pribadi kita menjadi perhatian utama di tengah geliat inovasi AI.
Rindy selaku Sub Koordinator Kerjasama dan Kelembagaan Pengendalian Data Pribadi (PDP) Kementerian Komunikasi dan Informatika (Kominfo) Republik Indonesia mengungkapkan, sebenarnya AI tidak dirancang untuk memproses data pribadi.
“Apakah AI selalu relate dengan data pribadi? Belum tentu. Ada AI yang tidak membutuhkan data pribadi, seperti prediksi cuaca dan AI yang mengklasifikasikan mana email spam atau bukan,” kata Rindy, dalam Webinar Center for Digital Society (CfDS) bersama KORIKA yang didukung oleh Google Jumat, 05 Desember 2023.
AI yang terkait dengan data pribadi, potensi penggunaannya bisa dari tiga tahap. Pertama, tahap pembuatan. AI dilatih, dimasukkan data-data pribadi untuk memperkuat kecerdasan AI tersebut. Kemudian data pribadi digunakan saat AI diuji sebelum digunakan oleh pengguna. Selanjutnya tahap penerapan, pengguna memasukkan data pribadi untuk dapat digunakan AI dalam membuat keputusan. “Terakhir adalah tahap pengungkapan, data pribadi seseorang terungkap sebagai output dari AI,” ujar Rindy.
Potensi pelanggaran data pribadi
Walau demikian, menurutnya memang ada potensi-potensi AI mengungkapkan data pribadi seseorang. Contohnya aplikasi chat atau AI berbasis teks yang bisa menjawab semua pertanyaan kita tentang data pribadi. Misalnya pengungkapan alamat, email bahkan nomor handphone dan data sensitif lainnya milik seorang public figure. Memang tujuan utamanya bukan untuk memproses data pribadi tapi kemungkinan pengungkapan data pribadi bisa terjadi karena memang pertanyaan yang diajukan pengguna dalam chat atau AI berbasis teks bisa beragam.
“Saya sendiri mencoba mengutak-atik aplikasi ChatGPT. Saya bertanya alamat seorang public figure, dia tidak menjawab. Dia bilang itu konteks Pelindungan Data Pribadi (PDP) dan tidak berani melanggar ketentuan yang ada pada PDP. Jadi saya menyimpulkan ChatGPT sudah membatasi dirinya untuk tidak memproses data pribadi yang berdampak lebih lanjut,” lanjutnya membedakan.
Lebih lanjut lagi ia menjelaskan, ketika merancang AI yang sifatnya umum, kemudian pada saat proses desain ada potensi pengungkapan data pribadi tanpa sengaja. Ada pilihan bagi pengendali atau pengembang AI, apakah tetap melakukan pengungkapan data pribadi, artinya pengendali harus patuh pada Undang-Undang PDP atau membatasi layanannya untuk tidak mengakses data pribadi.
Undang-Undang PDP sendiri merupakan bukti bahwa pemerintah Indonesia sudah sangat serius dengan pengembangan teknologi yang berhubungan dengan data pribadi. Pasal 2 Undang-Undang PDP No. 27 Tahun 2002, menyatakan bahwa ruang lingkup Undang-Undang PDP itu subjek hukumnya ada empat, mulai dari perseorangan/individu, korporasi/swasta, badan publik dan organisasi Internasional. Internasional masuk dalam ruang lingkup PDP karena area Undang-Undang PDP itu sangat luas, dalam wilayah NKRI maupun di luar wilayah NKRI dengan catatan memilki akibat hukum atau mempengaruhi kepentingan negara.
“Jadi ruang lingkup UU PDP itu areanya sangat luas tidak hanya NKRI tapi di luar NKRI juga selama ada data WNI yang diproses di luar wilayah NKRI. Tidak semua aktivitas pemrosesan data pribadi ini masuk UU PDP. Ada pengecualian kalau pemrosesan data pribadi itu dilakukan oleh perseorangan/individu yang tujuannya untuk kegiatan pribadi atau rumah tangganya sendiri, maka tidak masuk dalam ruang lingkup UU PDP,” ungkapnya.
Data pribadi harus diperoleh sesuai ketentuan
Senada dengan Rindy, Ardhanti Nurwidya selaku Dewan Pengurus Asosiasi Praktisi Pelindungan Data Indonesia (APPD) menjelaskan mengapa AI dilakukan dengan data pribadi karena AI itu sama seperti manusia, semakin belajar ia semakin pintar. AI itu harus membaca, memahami, melihat banyak sekali data. Semakin data itu berkualitas, semakin tajamlah AI, semakin bagus analisanya dan semakin pintar sebagai suatu teknologi atau suatu tools.
Jika memang menggunakan data pribadi, perolehan data pribadi itu tentunya harus sesuai dengan ketentuan perundang-undangan, sesuai dengan konsep atau prinsip legitimate interest atau sesuai dengan konsen atau kontrak. Jadi harus dilihat bagaimana operator (manusia yang menjalankan AI) mendapatkan data-data tersebut apakah dengan cara-cara legal berdasarkan Undang-Undang PDP, karena di Undang-Undang PDP ada tujuh legal basis, yang memperbolehkan seorang data controller atau operator bisa menggunakan data pribadi.
“Untuk mengatasi potensi kebocoran data. Di privasi itu ada data protection impact assesment, ada privacy by design. Jadi dalam pembentukan suatu AI atau suatu teknologi si operator itu sudah harus memiliki perspektif data pribadi. Data yang diberikan juga harus akurat dan tidak bias. Takutnya data itu diolah dan menjadi analisa yang salah dan bias,” lanjutnya
Contohnya, US ProPublica sebuah Nonprofit News Organisation membentuk suatu software bernama Compas dan ini di back oleh AI dan tujuannya untuk melihat seberapa mungkin seseorang yang sudah melakukan tindak pidana itu akan melakukan tindak pidana lagi. Atau melihat dari perangainya, apa mungkin dia melakukan suatu tindak pidana.
“Ternyata semua orang yang memiliki kulit lebih terang itu selalu dibilang low risk padahal dalam kenyataannya mereka melakukan banyak sekali tindak pidana. Sebaliknya yang berkulit lebih gelap dianggap high risk, padahal belum tentu mereka melakukan tindak pidana hanya dari bentuk mukanya atau warna kulitnya, ini dianalisa oleh suatu sistem. Ini adalah contoh-contoh sifat bias, memang tidak melanggar peraturan tetapi mungkin ketika data training yang diberikan kepada AI itu sifatnya bias atau si operator sendiri memiliki sifat bias,” ungkapnya
Ardhanti pun menambahkan terkadang kita bisa mengobrol dengan generative AI secara responsif dan meminta informasi, AI menjawab dengan informasi yang terkait dengan data pribadi dan sangat lengkap. Hal ini harus kita ketahui, apakah data pribadi ini diberikan kepada AI sebagai bagian dari data training atau diberikan sebagai data-data set yang dikelola atau disimpan, apakah sebetulnya data ini bersifat publik atau non-publik tapi sudah dengan legal basis tertentu atau tidak sama sekali. Karena ada potensi-potensi pelanggaran data pribadi disini.
“Hal ini mungkin memang dibutuhkan karena kita perlu meyakinkan bahwa si AI ini bisa menganalisa sesuatu secara tajam, mahir dan lebih baik. Jika data-data itu dihilangkan sebagian, akhirnya data itu tidak ada konteksnya, jadi tidak berharga, AI jadi tidak mampu menganalisa dan membuat keputusan. AI tidak memiliki pemahaman terkait data mana yang dapat diberikan kepada pengguna dan data mana yang tidak dapat diberikan. Dia bertindak sesuai perintah bukan perasaan. Nah ini yang menjadi salah satu risiko pelanggaran data pribadi di AI,” lanjutnya.
Belum didefinisikan
Dosen Fakultas Hukum Universitas Gadjah Mada (UGM) Alfatika Aunuriella Dini, S.H, M.Kn.,Ph.D memaparkan, secara eksplisit dalam peraturan perundangan Indonesia AI memang belum didefinisikan dengan baik. Belum ada aturan yang secara spesifik yang mengatur tentang AI.
“Makanya saya menuliskannya secara umum, bisa diatur dalam konsep UU ITE dan turunannya PP 71/2019. Lalu ada PERMEN 20/1016 Kominfo kalau itu tentang data pribadi. Lalu ada UU PDP tentunya yang terbaru di tahun 2022. UU Penguatan dan Pengembangan Sektor Keuangan Tahun 2023 karena di dalamnya mengatur juga tentang inovasi teknologi sektor teknologi dan keuangan. Jadi fintech, fintech agregator dan robot trading masuk kedalamnya,” paparnya.
Menurutnya walau belum didefinisikan dengan baik, tetapi jika mengacu pada Standar Kompetensi Kerja Nasional Indonesia bidang AI yang tertera pada Keputusan Menteri Ketenagakerjaan RI no 299 Tahun 2020 dan Lembaga Standarisasi Elektronik China. AI dapat disimpulkan dari segi hukum sebagai hasil invensi, bukan subjek hukum. Bukan suatu subjek tapi objek yang kemudian digunakan oleh manusia dalam rangka membantu aktivitasnya.
“Jika berbicara perkembangan AI di Indonesia, AI itu walau sudah ada dari tahun 1980, bahkan dari tahun 1940. Tapi sayangnya baru booming satu dekade, 10 tahun terakhir yaitu 2013. Dalam UU ITE pun belum secara eksplisit diatur. Harapannya UU ITE dulu ketika dibuat tahun 2008 itu bisa melingkupi segala jenis, inovasi dan perkembangan teknologi termasuk AI. Kira-kira penafsiran AI itu bisa masuk kemana dalam ruang lingkup ITE? Jika kita lihat lagi dalam UU ITE, AI itu termasuk dalam agen elektronik,” paparnya lebih lanjut.
Tak perlu hukum baru
Tika mendorong pemerintah untuk tidak perlu membuat hukum baru, cukup amandemen aturan yang sudah ada. Misalnya saja Undang-Undang Perlindungan Konsumen, aturan ini sudah ada berpuluh-puluh tahun pasti ada yang tidak relevan lagi. Atau Undang-Undang ITE dan perundangan lain untuk dapat mengakomodasi perkembangan teknologi AI. BIsa juga dilihat dari ranah inovasi, yaitu lewat UU Kekayaan Intelektual, UU Hak Cipta, Merk dan Paten.
“Isu hukum AI itu banyak, multifaset tidak hanya satu saja. Tidak hanya di bidang perlindungan data pribadi dan privasi, tapi juga banyak seperti di bidang kekayaan intelektual, lalu isu hukum AI di ranah pidana. Ini harus dikembangkan. Lalu skeptisme, ini banyak sekali yang masih skeptis terutama generasi gen baby boomer. Manusia itu tidak akan tergantikan oleh AI tapi manusia yang tidak dapat memanfaatkan AI itu yang akan tertinggal,” katanya menyimpulkan.
Senada dengan Tika, Ardhanti pun menambahkan, AI ini sebetulnya adalah salah satu teknologi. Teknologi itu banyak sekali di dunia ini ada machine learning, ada internet of things dan lain-lainnya. “UU PDP yang sudah dibuat harusnya sifatnya itu versatile. Jadi mau digunakan oleh teknologi apapun itu prinsipnya, regulasinya itu UU PDP. Tidak perlu pemerintah membuat suatu regulasi khusus untuk teknologi-teknologi yang berbeda. Jadi bagaimanapun teknologinya kita lihatnya UU PDP. Apakah si teknologi ini sudah dijalankan oleh operator sesuai dengan prinsip-prinsip UU PDP,” lanjutnya.
Ardhanti pun berharap pada Surat Edaran (SE) AI dan UU ITE yang sudah diketok. Kominfo memiliki wewenang jika ada risiko-risiko nyata terhadap masyarakat harus dihentikan. Jika sudah kelewatan pengembangannya, mereka bisa menjadi wasit yang adil dan mumpuni.
“Bagaimana AI melihat suatu data pribadi, kalau memang high utility no privacy, jadi kegunaannya banyak tapi tidak dilindungi. Jika high privacy no utility, tidak bisa dipakai sama sekali datanya. Tidak bisa analisa, tidak bisa jadi data set, tidak terlihat apa-apa, privasinya aman. Jadi kenapa penting praktisi itu bekerja dengan pemerintah, supaya kita bisa di tengah-tengah, striking balance. Utility masih ada tapi privacy tetap aman,” katanya menutup diskusi. [*]
