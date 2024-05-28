Pada bulan November 2023, Badan Perlindungan Privasi California (CPPA) merilis serangkaian rancangan peraturan tentang penggunaan kecerdasan buatan (AI) dan teknologi pengambilan keputusan otomatis (ADMT).
Aturan yang diusulkan masih dalam pengembangan, tetapi organisasi mungkin ingin memperhatikan evolusi mereka. Karena negara bagian ini adalah rumah bagi banyak perusahaan teknologi terbesar di dunia, peraturan AI apa pun yang diadopsi California dapat berdampak jauh melampaui perbatasannya.
Selain itu, pengadilan banding California baru-baru ini memutuskan bahwa CPPA dapat segera memberlakukan peraturan segera setelah peraturan tersebut diselesaikan. Dengan mengikuti perkembangan peraturan ADMT, organisasi dapat memposisikan diri mereka dengan lebih baik untuk mematuhi segera setelah peraturan mulai berlaku.
CPPA masih menerima komentar publik dan meninjau aturan, sehingga peraturan dapat berubah sebelum diadopsi secara resmi. Posting ini didasarkan pada draf terbaru per 9 April 2024.
California Consumer Privacy Act (CCPA), undang-undang privasi data penting California, awalnya tidak membahas penggunaan ADMT secara langsung. Hal itu berubah dengan pengesahan Undang-Undang Hak Privasi California (CPRA) pada tahun 2020, yang mengamendemen CCPA dalam beberapa cara penting.
CPRA menciptakan CPPA, badan pengatur yang menerapkan dan menegakkan aturan CCPA. CPRA juga memberi CPPA wewenang untuk mengeluarkan peraturan mengenai hak konsumen California untuk mengakses informasi tentang, dan memilih keluar dari, keputusan otomatis. CPPA sedang mengerjakan aturan ADMT di bawah otoritas ini.
Seperti CCPA lainnya, rancangan aturan akan berlaku untuk organisasi nirlaba yang melakukan bisnis di California dan memenuhi setidaknya satu dari kriteria berikut:
Selain itu, peraturan yang diusulkan hanya akan berlaku untuk penggunaan AI dan ADMT tertentu: membuat keputusan yang signifikan, membuat profil konsumen secara ekstensif, dan melatih alat ADMT.
Draf saat ini mendefinisikan teknologi pengambilan keputusan otomatis sebagai perangkat lunak atau program apa pun yang memproses data pribadi dan menggunakan komputasi untuk mengeksekusi keputusan, menggantikan pengambilan keputusan oleh manusia, atau secara substansial memfasilitasi pengambilan keputusan oleh manusia. Rancangan tersebut secara khusus mencatat bahwa definisi ini mencakup perangkat lunak dan program “yang berasal dari machine learning, statistik, teknik pemrosesan data lainnya atau kecerdasan buatan.”
Rancangan aturan secara eksplisit menyebutkan beberapa alat yang tidak dihitung sebagai ADMT, termasuk filter spam, spreadsheet, dan firewall. Namun, jika organisasi mencoba menggunakan alat pengecualian ini untuk membuat keputusan otomatis dengan cara yang menghindari peraturan, aturan akan berlaku untuk penggunaan itu.
Rancangan aturan akan berlaku untuk setiap penggunaan ADMT untuk membuat keputusan yang memiliki efek signifikan pada konsumen. Secara umum, keputusan yang signifikan adalah keputusan yang mempengaruhi hak seseorang atau akses terhadap barang, jasa, dan peluang penting.
Misalnya, rancangan aturan tersebut akan mencakup keputusan otomatis yang memengaruhi kemampuan seseorang untuk mendapatkan pekerjaan, bersekolah, menerima perawatan kesehatan, atau memperoleh pinjaman.
Pembuatan profil adalah tindakan memproses informasi pribadi seseorang secara otomatis untuk mengevaluasi, menganalisis, atau memprediksi sifat dan karakteristik mereka, seperti kinerja pekerjaan, minat produk, atau perilaku.
“Pembuatan profil ekstensif” mengacu pada jenis profil tertentu:
Rancangan aturan akan berlaku untuk penggunaan data pribadi konsumen oleh bisnis untuk melatih alat ADMT tertentu. Secara khusus, aturan akan mencakup pelatihan ADMT yang dapat digunakan untuk membuat keputusan penting, mengidentifikasi orang, menghasilkan deepfake, atau melakukan identifikasi dan pembuatan profil fisik atau biologis.
Sebagai undang-undang California, perlindungan konsumen CCPA hanya meluas ke konsumen yang tinggal di California. Hal yang sama berlaku untuk perlindungan yang diberikan oleh rancangan aturan ADMT.
Meskipun demikian, aturan ini mendefinisikan “konsumen” lebih luas daripada banyak peraturan privasi data lainnya. Selain orang-orang yang berinteraksi dengan bisnis, aturan tersebut mencakup karyawan, siswa, kontraktor independen, dan sekolah dan pelamar pekerjaan.
Rancangan peraturan AI CCPA memiliki tiga persyaratan utama. Organisasi yang menggunakan ADMT yang tercakup harus mengeluarkan pemberitahuan pra-penggunaan kepada konsumen, menawarkan cara untuk memilih keluar dari ADMT, dan menjelaskan bagaimana penggunaan ADMT oleh bisnis memengaruhi konsumen.
Sementara CPPA telah merevisi peraturan sekali dan kemungkinan akan melakukannya lagi sebelum aturan diadopsi secara resmi, persyaratan inti ini muncul dalam setiap draf sejauh ini. Fakta bahwa persyaratan ini bertahan menunjukkan bahwa mereka akan tetap dalam aturan akhir, bahkan jika perincian implementasinya berubah.
Sebelum menggunakan ADMT untuk salah satu tujuan yang tercakup, organisasi harus memberikan pemberitahuan pra-penggunaan kepada konsumen dengan jelas dan mencolok. Pemberitahuan harus merinci dalam bahasa sederhana bagaimana perusahaan menggunakan ADMT dan menjelaskan hak konsumen untuk mengakses informasi lebih lanjut tentang ADMT dan memilih keluar dari proses tersebut.
Perusahaan tidak dapat kembali menggunakan bahasa generik untuk menggambarkan bagaimana menggunakan ADMT, seperti “Kami menggunakan alat otomatis untuk meningkatkan layanan kami.” Sebaliknya, organisasi harus menguraikan penggunaan spesifik.
Pemberitahuan harus mengarahkan konsumen ke informasi tambahan tentang cara kerja ADMT, termasuk logika alat dan bagaimana bisnis menggunakan output. Informasi ini tidak harus ada di isi pemberitahuan. Organisasi dapat memberi konsumen hyperlink atau cara lain untuk mengaksesnya.
Jika bisnis memungkinkan konsumen untuk mengajukan banding atas keputusan otomatis, pemberitahuan pra-penggunaan harus menjelaskan proses banding.
Konsumen memiliki hak untuk memilih keluar dari sebagian besar penggunaan ADMT yang tercakup. Bisnis harus memfasilitasi hak ini dengan memberi konsumen setidaknya dua cara untuk mengirimkan permintaan opt-out.
Setidaknya salah satu metode opt-out harus menggunakan saluran yang sama di mana bisnis terutama berinteraksi dengan konsumen. Misalnya, pengecer digital dapat memiliki formulir web untuk diisi pengguna.
Metode opt-out harus sederhana dan tidak dapat memiliki langkah-langkah asing, seperti mengharuskan pengguna untuk membuat akun.
Setelah menerima permintaan opt-out, bisnis harus berhenti memproses informasi pribadi konsumen menggunakan teknologi pengambilan keputusan otomatis dalam waktu 15 hari. Bisnis tidak dapat lagi menggunakan data konsumen yang sebelumnya diproses. Bisnis juga harus memberi tahu penyedia layanan atau pihak ketiga yang dengannya ia berbagi data pengguna.
Organisasi tidak perlu membiarkan konsumen memilih keluar dari ADMT yang digunakan untuk keselamatan, keamanan, dan pencegahan penipuan. Rancangan aturan tersebut secara khusus menyebutkan penggunaan ADMT untuk deteksi dan merespons insiden keamanan data, mencegah dan menuntut tindakan penipuan dan ilegal, dan memastikan keamanan fisik seseorang.
Di bawah pengecualian banding manusia, organisasi tidak perlu mengaktifkan opt-out jika memungkinkan orang untuk mengajukan banding atas keputusan otomatis kepada peninjau manusia yang memenuhi syarat dengan wewenang untuk membatalkan keputusan tersebut.
Organisasi juga dapat melupakan pilihan keluar untuk penggunaan sempit ADMT tertentu dalam konteks kerja dan sekolah. Penggunaan ini meliputi:
Namun, penggunaan untuk keperluan kerja dan sekolah hanya dikecualikan dari pengecualian jika memenuhi kriteria berikut:
Tak satu pun dari pengecualian ini berlaku untuk iklan perilaku atau pelatihan ADMT. Konsumen selalu dapat memilih keluar dari penggunaan ini.
Konsumen memiliki hak untuk mengakses informasi tentang bagaimana bisnis menggunakan ADMT pada mereka. Organisasi harus memberi konsumen cara mudah untuk meminta informasi ini.
Ketika menanggapi permintaan akses, organisasi harus memberikan rincian seperti alasan menggunakan ADMT, output ADMT mengenai konsumen, dan deskripsi tentang bagaimana bisnis menggunakan output untuk membuat keputusan.
Tanggapan permintaan akses juga harus mencakup informasi tentang bagaimana konsumen dapat menggunakan hak CCPA mereka, seperti mengajukan keluhan atau meminta penghapusan data mereka.
Jika bisnis menggunakan ADMT untuk membuat keputusan signifikan yang berdampak negatif pada konsumen—misalnya, dengan menyebabkan penghentian pekerjaan—bisnis harus mengirim pemberitahuan khusus kepada konsumen tentang hak akses mereka terkait keputusan ini.
Pemberitahuan harus mencakup:
CPPA sedang mengembangkan rancangan peraturan tentang penilaian risiko di samping aturan yang diusulkan tentang AI dan ADMT. Meskipun secara teknis ini adalah dua set aturan yang terpisah, peraturan penilaian risiko akan mempengaruhi bagaimana organisasi menggunakan AI dan ADMT.
Aturan penilaian risiko akan mengharuskan organisasi untuk melakukan penilaian sebelum mereka menggunakan ADMT untuk membuat keputusan penting atau melakukan pembuatan profil ekstensif. Organisasi juga perlu melakukan penilaian sebelum mereka menggunakan informasi pribadi untuk melatih model ADMT atau model AI tertentu.
Penilaian risiko harus mengidentifikasi risiko yang ditimbulkan ADMT kepada konsumen, manfaat potensial bagi organisasi atau pemangku kepentingan lainnya, dan pengamanan untuk mengurangi atau menghilangkan risiko. Organisasi harus menahan diri dari menggunakan AI dan ADMT di mana risikonya lebih besar daripada manfaatnya.
Rancangan aturan California tentang ADMT jauh dari upaya pertama untuk mengatur penggunaan AI dan keputusan otomatis.
Undang-Undang AI Uni Eropa memberlakukan persyaratan ketat pada pengembangan dan penggunaan AI di Eropa.
Di AS, Undang-Undang Privasi Colorado dan Undang-Undang Perlindungan Data Konsumen Virginia memberi konsumen hak untuk memilih tidak memproses informasi pribadi mereka untuk membuat keputusan yang signifikan.
Di tingkat nasional, Presiden Biden menandatangani perintah eksekutif pada Oktober 2023 yang mengarahkan lembaga dan departemen federal untuk membuat standar untuk mengembangkan, menggunakan, dan mengawasi AI di yurisdiksi masing-masing.
Tetapi peraturan ADMT yang diusulkan California menarik lebih banyak perhatian daripada undang-undang negara bagian lainnya karena mereka berpotensi mempengaruhi bagaimana perusahaan berperilaku di luar perbatasan negara bagian.
Sebagian besar industri teknologi global berkantor pusat di California, sehingga banyak organisasi yang membuat alat pengambilan keputusan otomatis paling canggih harus mematuhi aturan ini. Perlindungan konsumen hanya meluas ke penduduk California, tetapi organisasi mungkin memberi konsumen di luar California pilihan yang sama demi kesederhanaan.
CCPA asli sering dianggap sebagai versi AS dari Peraturan Perlindungan Data Umum (GDPR) karena meningkatkan standar untuk praktik privasi data secara nasional. Aturan AI dan ADMT baru ini mungkin menghasilkan hasil yang serupa.
Aturannya belum difinalisasi, jadi belum bisa dipastikan. Konon, banyak pengamat memperkirakan bahwa aturan tidak akan berlaku paling cepat hingga pertengahan 2025.
CPPA diperkirakan akan mengadakan rapat dewan lain pada Juli 2024 untuk membahas aturan lebih lanjut. Banyak yang percaya bahwa Dewan CPPA kemungkinan akan memulai proses pembuatan peraturan formal pada pertemuan ini. Jika demikian, agensi akan memiliki satu tahun untuk menyelesaikan aturan, oleh karena itu perkiraan tanggal efektif pertengahan 2025.
Seperti bagian lain dari CCPA, CPPA akan diberdayakan untuk menyelidiki pelanggaran dan mendenda organisasi. Jaksa Agung California juga dapat memungut hukuman perdata untuk ketidakpatuhan.
Organisasi dapat didenda 2.500 USD untuk pelanggaran yang tidak disengaja dan 7.500 USD untuk pelanggaran yang disengaja. Jumlah ini adalah per pelanggaran, dan setiap konsumen yang terkena dampak dianggap sebagai satu pelanggaran. Hukuman dapat dengan cepat meningkat ketika pelanggaran melibatkan banyak konsumen, seperti yang sering mereka lakukan.
Rancangan aturan masih berubah-ubah. CPPA terus meminta komentar publik dan mengadakan diskusi dewan, dan aturan kemungkinan akan berubah lebih jauh sebelum diadopsi.
CPPA telah membuat revisi signifikan terhadap aturan berdasarkan masukan sebelumnya. Sebagai ilustrasi, pasca rapat dewan Desember 2023, badan tersebut menetapkan sejumlah pengecualian baru terhadap hak opt-out serta memperkenalkan batasan terkait praktik profiling fisik dan biologis.
Badan tersebut juga menyesuaikan definisi ADMT untuk membatasi jumlah alat yang akan diterapkan oleh aturan. Sementara rancangan asli mencakup teknologi apa pun yang memfasilitasi pengambilan keputusan manusia, rancangan terbaru hanya berlaku untuk ADMT yang secara substansif memfasilitasi pengambilan keputusan manusia.
Banyak kelompok industri merasa definisi yang diperbarui lebih mencerminkan realitas praktis penggunaan ADMT, sementara pendukung privasi khawatir hal itu menciptakan celah yang dapat dieksploitasi.
Bahkan Dewan CPPA sendiri terbagi tentang bagaimana aturan akhir harus terlihat. Pada rapat bulan Maret 2024, dua anggota dewan menyampaikan kekhawatirannya bahwa rancangan saat ini melampaui kewenangan dewan.
Mengingat bagaimana aturan telah berkembang sejauh ini, persyaratan inti untuk pemberitahuan pra-penggunaan, hak opt-out, dan hak akses memiliki peluang kuat untuk tetap utuh. Namun, organisasi mungkin memiliki pertanyaan yang tersisa seperti:
Apa pun hasilnya, aturan-aturan ini akan memiliki implikasi signifikan terhadap bagaimana AI dan otomatisasi diatur secara nasional—dan bagaimana konsumen dilindungi setelah teknologi yang berkembang pesat ini.
Penafian: Klien bertanggung jawab untuk memastikan kepatuhan terhadap semua hukum dan peraturan yang berlaku. IBM® tidak memberikan nasihat hukum atau menyatakan atau menjamin bahwa layanan atau produknya akan memastikan bahwa klien mematuhi hukum atau peraturan apa pun.