Jelajahi masalah privasi di era AI

Artificial Intelligence Data Governance Security

30 September 2024

Penyusun

Alice Gomstyn

IBM Content Contributor

Alexandra Jonker

Editorial Content Lead

Ini adalah salah satu kebenaran inovasi yang sulit: Seiring kemajuan teknologi, begitu pula risiko menggunakannya.

Sebagai contoh, alat yang meningkatkan pengumpulan dan analisis data juga meningkatkan kemungkinan data pribadi dan informasi sensitif muncul di tempat yang tidak semestinya.

Risiko khusus ini, risiko privasi, sangat lazim di era kecerdasan buatan (AI), karena informasi sensitif dikumpulkan dan digunakan untuk membuat dan fine tuning AI dan machine learning systems. Dan ketika pembuat kebijakan bergegas untuk mengatasi masalah dengan peraturan privasi seputar penggunaan AI, mereka menciptakan tantangan kepatuhan baru bagi bisnis yang menggunakan teknologi AI untuk pengambilan keputusan.

Terlepas dari masalah privasi dan kepatuhan, perusahaan Lanjutkan menerapkan model AI untuk meningkatkan produktivitas dan mendapatkan nilai. Mari kita lihat lebih dekat risiko privasi AI dan perlindungan yang memengaruhi masyarakat dan perdagangan saat ini.

Apa itu privasi AI?

Privasi AI adalah praktik melindungi informasi pribadi atau sensitif yang dikumpulkan, digunakan, dibagikan, atau disimpan oleh AI.

Privasi AI terkait erat dengan privasi data. Privasi data, juga dikenal sebagai privasi informasi, adalah prinsip bahwa seseorang harus memiliki kendali atas data pribadi mereka. Kontrol ini mencakup kemampuan untuk memutuskan bagaimana organisasi mengumpulkan, toko, dan menggunakan data mereka. Tetapi konsep privasi data mendahului AI dan bagaimana orang berpikir tentang privasi data telah berkembang dengan munculnya AI.

“Sepuluh tahun yang lalu, kebanyakan orang berpikir tentang privasi data dalam hal belanja online. Mereka berpikir, ‘Saya tidak tahu apakah saya peduli jika perusahaan-perusahaan ini mengetahui apa yang saya beli dan apa yang saya cari, karena terkadang hal tersebut sangat membantu‘,” Jennifer King, seorang peneliti di Stanford University Institute for Human-Centered Artificial Intelligence, menjelaskan dalam sebuah wawancara yang diunggah ke situs web institut tersebut.1

“Namun kini kita telah melihat perusahaan beralih ke pengumpulan data yang ada di mana-mana yang melatih sistem AI,” ujar King, “yang dapat berdampak besar pada masyarakat, terutama hak-hak sipil kita.”

Memahami risiko privasi AI

Kita sering kali dapat melacak masalah privasi AI pada isu-isu terkait pengumpulan data, keamanan siber, desain model, dan tata kelola. Risiko privasi AI tersebut meliputi:

  • Pengumpulan data sensitif
  • Pengumpulan data tanpa persetujuan
  • Penggunaan data tanpa izin
  • Pengawasan dan bias yang tidak terkendali
  • Eksfiltrasi Data
  • Kebocoran data

Pengumpulan data sensitif

Salah satu alasan AI bisa dibilang menimbulkan risiko privasi data yang lebih besar daripada kemajuan teknologi sebelumnya adalah banyaknya volume informasi yang dimainkan. Terabyte atau petabyte teks, gambar, atau video secara rutin disertakan sebagai data pelatihan, dan sebagian dari data tersebut bersifat sensitif: informasi layanan kesehatan, data pribadi dari situs media sosial, data keuangan pribadi, data biometrik yang digunakan untuk pengenalan wajah, dan banyak lagi. Dengan data yang lebih sensitif dikumpulkan, disimpan di toko, dan ditransmisikan daripada sebelumnya, kemungkinan lebih besar bahwa setidaknya beberapa di antaranya akan diekspos atau diterapkan dengan cara yang melanggar hak privasi.

Pengumpulan data tanpa persetujuan

Kontroversi dapat terjadi saat data diperoleh untuk pengembangan AI tanpa persetujuan atau sepengetahuan tegas dari orang-orang yang datanya dikumpulkan. Dalam kasus situs web dan platform, pengguna semakin mengharapkan lebih banyak otonomi atas data mereka sendiri dan lebih banyak transparansi mengenai pengumpulan data. Harapan semacam itu muncul baru-baru ini, ketika situs jejaring profesional LinkedIn menghadapi reaksi keras setelah beberapa pengguna menyadari bahwa mereka secara otomatis memilih untuk mengizinkan data mereka untuk melatih model AI generatif.2

Penggunaan data tanpa izin

Bahkan ketika data dikumpulkan dengan persetujuan individu, risiko privasi tetap ada jika data tersebut digunakan untuk tujuan di luar yang telah diungkapkan sebelumnya. “Kami melihat data seperti resume atau foto yang telah kami bagikan atau unggah untuk satu tujuan digunakan kembali untuk melatih sistem AI, sering kali tanpa sepengetahuan atau persetujuan kami,” kata King. Di California, misalnya, seorang mantan pasien bedah dilaporkan menemukan bahwa foto yang terkait dengan perawatan medisnya telah digunakan dalam kumpulan data pelatihan AI. Pasien menyatakan bahwa ia telah menandatangani formulir persetujuan bagi dokternya untuk mengambil foto-foto tersebut, tetapi tidak untuk dimasukkan ke dalam kumpulan data.3

Pengawasan dan bias yang tidak terkendali

Masalah privasi yang terkait dengan pengawasan yang meluas dan tidak terkendali, baik melalui kamera keamanan di jalan umum atau cookie pelacak di komputer pribadi, sudah muncul jauh sebelum AI berkembang pesat. Tetapi AI dapat memperburuk masalah privasi ini karena model AI digunakan untuk menganalisis data pengawasan. Terkadang, hasil analisis semacam itu dapat merusak, terutama ketika mereka menunjukkan bias. Di bidang penegakan hukum, misalnya, sejumlah penangkapan yang salah terhadap orang kulit berwarna telah dikaitkan dengan pengambilan keputusan yang didukung AI.4

Eksfiltrasi Data

Model AI berisi kumpulan data sensitif yang terbukti sangat menarik bagi penyerang. “[Data] ini berakhir dengan titik sasaran besar yang akan coba dituju seseorang,” Jeff Crume, seorang IBM Security Distinguish Engineer, menjelaskan dalam video Teknologi IBM baru-baru ini (tautan tersebut berada di luar ibm.com). Pelaku kejahatan dapat melakukan eksfiltrasi data (pencurian data) dari aplikasi AI melalui berbagai strategi. Misalnya, dalam serangan injeksi promptperetas menyamarkan input berbahaya sebagai prompt yang sah, memanipulasi sistem AI generatif untuk mengekspos data sensitif. Misalnya, peretas yang menggunakan prompt yang tepat dapat mengelabui asisten virtual yang didukung LLM untuk meneruskan dokumen pribadi.

Kebocoran data

Kebocoran data adalah paparan data sensitif yang tidak disengaja, dan beberapa model AI telah terbukti rentan terhadap pelanggaran data tersebut. Dalam satu contoh yang gempar, ChatGPT, model bahasa besar (LLM) dari OpenAI, menunjukkan kepada beberapa pengguna judul dari riwayat percakapan pengguna lain.5 Risiko juga ada untuk model AI yang kecil dan eksklusif. Sebagai contoh, pertimbangkan sebuah perusahaan layanan kesehatan yang membangun aplikasi diagnostik yang didukung AI internal berdasarkan data pelanggannya. Aplikasi tersebut dapat secara tidak sengaja membocorkan informasi pribadi pelanggan kepada pelanggan lain yang kebetulan menggunakan prompt tertentu. Bahkan berbagi data yang tidak disengaja seperti itu dapat mengakibatkan pelanggaran privasi yang serius.

Riwayat undang-undang terkait perlindungan privasi

Upaya para pembuat kebijakan untuk mencegah kemajuan teknologi agar tidak membahayakan privasi individu sudah dimulai sejak tahun 1970-an. Namun, pertumbuhan yang cepat dalam pengumpulan data komersial dan penerapan AI menciptakan urgensi baru untuk memberlakukan privasi data. Undang-undang tersebut meliputi:

Peraturan Perlindungan Data Umum Uni Eropa (GDPR)

GDPR menetapkan beberapa prinsip yang harus diikuti oleh pengontrol dan pemroses saat menangani data pribadi. Berdasarkan prinsip pembatasan tujuan, perusahaan harus memiliki tujuan spesifik dan sah untuk setiap data yang mereka kumpulkan. Mereka harus menyampaikan tujuan tersebut kepada pengguna dan hanya mengumpulkan jumlah minimum data yang diperlukan untuk tujuan tersebut.

Perusahaan juga harus menggunakan data secara adil. Mereka harus terus memberikan informasi kepada pengguna tentang pemrosesan data pribadi dan mengikuti aturan perlindungan data. Berdasarkan prinsip pembatasan penyimpanan, perusahaan hanya boleh menyimpan data pribadi sampai tujuannya terpenuhi. Data harus dihapus setelah tidak diperlukan lagi.

Undang-Undang Kecerdasan Buatan (AI) UE

Dianggap sebagai kerangka kerja komprehensif pertama di dunia untuk AI, Undang-Undang AI UE melarang beberapa penggunaan AI secara langsung dan menerapkan tata kelola yang ketat, manajemen risiko, dan persyaratan transparansi untuk orang lain.

Meskipun Undang-Undang AI Uni Eropa tidak secara khusus memiliki praktik yang terpisah dan dilarang tentang privasi AI, undang-undang tersebut memberlakukan pembatasan penggunaan data. Praktik AI yang dilarang meliputi:

  • Pengambilan gambar wajah yang tidak ditargetkan dari internet atau CCTV untuk database pengenalan wajah; dan
  • Penggunaan sistem identifikasi biometrik jarak jauh secara real-time oleh penegak hukum di tempat umum (kecuali ada pengecualian dan diperlukan pra-otorisasi oleh otoritas peradilan atau administratif independen)

Sistem AI berisiko tinggi harus mematuhi persyaratan khusus, seperti mengadopsi praktik tata kelola data yang ketat untuk memastikan bahwa data pelatihan, validasi, dan pengujian memenuhi kriteria kualitas tertentu.

Peraturan Privasi AS

Undang-undang mengenai privasi data mulai berlaku di beberapa yurisdiksi Amerika dalam beberapa tahun terakhir. Contohnya termasuk California Consumer Privacy Act dan Undang-Undang Privasi dan Keamanan Data Texas. Pada bulan Maret 2024, Utah memberlakukan Undang-Undang Kecerdasan Buatan dan Kebijakan, yang dianggap sebagai undang-undang negara bagian utama pertama yang secara khusus mengatur penggunaan AI.

Di tingkat federal, pemerintah AS belum menerapkan undang-undang AI dan privasi data nasional baru. Namun, pada tahun 2022, Kantor Kebijakan Sains dan Teknologi Gedung Putih (OSTP) merilis “Blueprint for an AI Bill of Rights” (Cetak biru untuk RUU Hak AI). Kerangka kerja yang tidak mengikat menggambarkan lima prinsip untuk memandu pengembangan AI, termasuk bagian yang didedikasikan untuk privasi data yang mendorong profesional AI untuk meminta persetujuan individu terkait penggunaan data.

Langkah-langkah Sementara China untuk Administrasi Layanan AI Generatif

China adalah salah satu negara pertama yang memberlakukan peraturan AI. Pada tahun 2023, Tiongkok mengeluarkan Tindakan Sementara untuk Administrasi Layanan Kecerdasan Buatan Generatif. Berdasarkan undang-undang tersebut, penyediaan dan penggunaan layanan AI generatif harus “menghormati hak dan kepentingan yang sah dari orang lain” dan diharuskan untuk “tidak membahayakan kesehatan fisik dan mental orang lain, serta tidak melanggar hak citra diri, hak reputasi, hak kehormatan, hak privasi, dan hak informasi pribadi orang lain”.6

Desain 3D bola yang menggelinding di lintasan

Berita + Insight AI terbaru 


Insight dan berita yang dikurasi oleh para ahli tentang AI, cloud, dan lainnya di Buletin Think mingguan. 

Berlangganan hari ini

Praktik terbaik privasi AI

Organisasi dapat merancang pendekatan privasi AI untuk membantu mematuhi peraturan dan membangun kepercayaan dengan para pemangku kepentingan mereka.7 Rekomendasi dari OSTP meliputi:

  • Melakukan penilaian risiko
  • Membatasi pengumpulan data
  • Mendapatkan dan mengonfirmasi persetujuan
  • Mengikuti praktik keamanan terbaik
  • Memberikan perlindungan lebih untuk data dari domain sensitif
  • Melaporkan pengumpulan dan penyimpanan data

Melakukan penilaian risiko

Risiko privasi harus dinilai dan ditangani sepanjang siklus hidup pengembangan sistem AI. Risiko ini mungkin termasuk kemungkinan bahaya bagi mereka yang bukan pengguna sistem tetapi informasi pribadinya dapat disimpulkan melalui analisis data lanjutan.

Membatasi pengumpulan data

Organisasi harus membatasi pengumpulan data pelatihan hanya pada apa yang dapat dikumpulkan secara sah dan digunakan “sesuai dengan harapan orang-orang yang memiliki data tersebut”. Selain minimalisasi data tersebut, perusahaan juga harus menetapkan jadwal untuk penyimpanan data, dengan tujuan menghapus data sesegera mungkin.

Mendapatkan persetujuan eksplisit

Organisasi harus menyediakan ke publik mekanisme untuk “persetujuan, akses, dan kontrol” atas data mereka. Persetujuan harus diperoleh kembali jika contoh penggunaan yang mendorong pengumpulan data berubah.

Mengikuti praktik keamanan terbaik

Organisasi yang menggunakan AI harus mengikuti praktik terbaik keamanan untuk menghindari kebocoran data dan metadata. Praktik tersebut mungkin mencakup penggunaan kriptografi, anonimisasi, dan mekanisme kontrol akses.

Memberikan perlindungan lebih untuk data dari domain sensitif

Data dari domain tertentu harus tunduk pada perlindungan ekstra dan hanya digunakan dalam “konteks yang didefinisikan secara sempit”. “Domain sensitif” ini termasuk kesehatan, pekerjaan, pendidikan, peradilan pidana, dan keuangan pribadi. Data yang dihasilkan oleh atau tentang anak-anak juga dianggap sensitif, meskipun tidak termasuk dalam salah satu domain yang terdaftar.

Melaporkan pengumpulan dan penyimpanan data

Organisasi harus menanggapi permintaan individu yang menanyakan data mana yang digunakan dalam sistem AI. Organisasi juga harus secara proaktif memberikan laporan ringkasan umum kepada publik tentang bagaimana data digunakan, diakses, dan disimpan. Mengenai data dari domain sensitif, organisasi juga harus melaporkan kelalaian atau pelanggaran keamanan yang menyebabkan kebocoran data.

Alat dan program tata kelola data dapat membantu bisnis mengikuti rekomendasi OSTP dan praktik terbaik privasi AI lainnya. Perusahaan dapat menerapkan alat perangkat lunak untuk:

  • Melakukan penilaian risiko privasi pada model yang mereka gunakan
  • Buat dasbor dengan informasi tentang aset data dan status penilaian privasi
  • Aktifkan manajemen masalah privasi, termasuk kolaborasi antara pemilik privasi dan pemilik data
  • Tingkatkan privasi data melalui pendekatan seperti menganonimkan data pelatihan, mengenkripsi data, dan meminimalkan data yang digunakan oleh machine learning (Pelajari lebih lanjut di sini.)

Seiring perkembangan undang-undang AI dan privasi data, solusi teknologi yang muncul dapat memungkinkan bisnis untuk mengikuti perubahan peraturan dan bersiap jika regulator meminta audit. Solusi inovatif mengotomatiskan identifikasi perubahan peraturan dan konversi menjadi kebijakan yang dapat ditegakkan.

Catatan kaki

1 Privacy in an AI Era: How Do We Protect Our Personal Information?” Stanford University Institute of Human-Centered Artificial Intelligence. 18 Maret 2024.

2 LinkedIn Is Quietly Training AI on Your Data—Here's How to Stop It.” PCMag. 18 September 2024.

3Artist finds private medical record photos in popular AI training data set.” Ars Technica. 21 September 2022.

4When Artificial Intelligence Gets It Wrong.” Proyek Innocence. 19 September 2023.

5 OpenAI CEO admits a bug allowed some ChatGPT users to see others’ conversation titles.” CNBC. 17 April 2023.

6 Interim Measures for the Administration of Generative Artificial Intelligence Services, Administrasi Dunia Siber Tiongkok. 13 Juli 2023.

7Blueprint for an AI Privacy Bill of Rights.” Kantor Kebijakan Sains dan Teknologi Gedung Putih. Diakses pada 19 September 2024.

Laporan Biaya Pelanggaran Data 2024

Biaya pelanggaran data telah mencapai rekor tertinggi baru. Dapatkan wawasan penting untuk membantu tim keamanan dan TI Anda mengelola risiko dengan lebih baik dan membatasi potensi kerugian.

Sumber daya

Keamanan siber di era AI generatif

Pelajari cara mengelola tantangan dan memanfaatkan ketahanan AI generatif dalam keamanan siber.

Laporan Lanskap Ancaman IBM X-Force Cloud 2024

Pahami ancaman terbaru dan perkuat pertahanan cloud Anda dengan Laporan lingkungan Ancaman IBM X-Force Cloud.
Apa yang dimaksud dengan keamanan data?

Ketahui bagaimana keamanan data membantu melindungi informasi digital dari akses yang tidak sah, kerusakan, atau pencurian di seluruh siklus hidupnya.
Apa yang dimaksud dengan serangan siber?

Serangan siber adalah upaya yang disengaja untuk mencuri, mengekspos, mengubah, melumpuhkan, atau menghancurkan data, aplikasi, atau aset lainnya melalui akses yang tidak sah.
IBM X-Force Threat Intelligence Index 2024

Dapatkan wawasan untuk mempersiapkan dan merespons serangan siber dengan lebih cepat dan efektif dengan IBM X-Force Threat Intelligence Index.
Blog security intelligence

Selalu ikuti perkembangan tren dan berita terbaru tentang keamanan.
Solusi terkait
Solusi keamanan perusahaan

Transformasikan program keamanan Anda dengan solusi dari penyedia keamanan perusahaan terbesar

 Jelajahi solusi keamanan siber
Layanan keamanan siber

Transformasikan bisnis Anda dan kelola risiko dengan konsultasi keamanan siber, cloud, dan layanan keamanan terkelola.

         Jelajahi layanan keamanan siber
    Keamanan siber dengan kecerdasan buatan (AI)

    Tingkatkan kecepatan, akurasi, dan produktivitas tim keamanan dengan solusi keamanan siber yang didukung AI.

         Jelajahi keamanan siber AI
    Ambil langkah selanjutnya

    Baik Anda memerlukan solusi keamanan data, manajemen titik akhir, maupun solusi manajemen identitas dan akses (IAM), pakar kami siap untuk bekerja bersama Anda demi mencapai postur keamanan yang kuat. Mentransformasi bisnis Anda dan mengelola risiko bersama pemimpin industri global dalam konsultasi keamanan siber, cloud, dan layanan keamanan terkelola.

         Jelajahi solusi keamanan siber Temukan layanan keamanan siber