Apa itu Undang-Undang Kecerdasan Buatan Uni Eropa (UE AI Act)?

Dianggap sebagai kerangka kerja komprehensif pertama di dunia untuk AI, UU AI Uni Eropa melarang beberapa penggunaan AI secara langsung dan menerapkan tata kelola yang ketat, manajemen risiko, dan persyaratan transparansi untuk orang lain.

Undang-undang tersebut juga menetapkan regulasi untuk model kecerdasan buatan tujuan umum, seperti Granite dari IBM dan model dasar sumber terbuka Llama 3 dari Meta.

Besaran denda bervariasi tergantung pada jenis pelanggaran, mulai dari 7,5 juta EUR atau 1,5% dari omzet tahunan global hingga 35 juta EUR atau 7% dari omzet tahunan global.

Sama seperti Peraturan Perlindungan Data Umum (GDPR) Uni Eropa yang telah menginspirasi banyak negara untuk menerapkan undang-undang privasi data , para pakar memperkirakan bahwa UU AI Uni Eropa juga akan mendorong terbentuknya standar tata kelola AI dan etika  di tingkat global.

UU AI Uni Eropa berlaku untuk beberapa operator dalam rantai nilai AI, seperti penyedia, penyebar, importir, distributor, produsen produk, dan perwakilan resmi). Definisi penyedia, penyebar, dan importir di bawah UU AI Uni Eropa penting juga untuk disinggung.

Penyedia adalah orang atau organisasi yang mengembangkan sistem AI atau model AI tujuan umum (GPAI), atau mengembangkannya atas nama mereka, dan yang menempatkannya di pasar atau menerapkan sistem AI dengan nama atau merek dagang mereka.

Undang-undang tersebut secara luas mendefinisikan sistem AI sebagai sistem yang dapat, dengan tingkat otonomi tertentu, memproses input untuk menentukan cara menghasilkan output (seperti prediksi, rekomendasi, keputusan, atau konten) yang dapat memengaruhi lingkungan fisik maupun virtual. Undang-undang ini juga mendefinisikan GPAI sebagai model AI yang memiliki generalitas signifikan mampu secara kompeten melakukan berbagai tugas berbeda dan dapat diintegrasikan ke dalam berbagai sistem atau aplikasi AI hilir. Sebagai contoh, model dasar adalah GPAI; sedangkan chatbot atau alat AI generatif yang dibangun di atas model tersebut merupakan sistem AI.

Deployer adalah orang atau organisasi yang menggunakan sistem AI.Misalnya, organisasi yang menggunakan chatbotlayanan pelanggan AI ketiga untuk menangani pertanyaan akan disebut sebagai deployer.

Importir adalah orang atau organisasi yang berlokasi atau didirikan di UE yang membawa sistem AI milik individu atau perusahaan yang didirikan di luar UE ke pasar UE.

UU AI Uni Eropa juga mencakup penyedia dan distributor di luar UE jika sistem AI mereka, atau output yang dihasilkan, digunakan di dalam wilayah UE.

Contohnya, sebuah perusahaan di UE mengirimkan data ke penyedia AI di luar UE, yang memproses data tersebut menggunakan AI, lalu mengirimkan output kembali ke perusahaan di UE untuk digunakan. Karena hasil dari sistem AI penyedia digunakan di UE, penyedia terikat oleh UU AI Uni Eropa.

Penyedia di luar UE yang menawarkan layanan AI di UE harus menunjuk perwakilan resmi di UE untuk mengoordinasikan upaya kepatuhan atas nama mereka.

Meskipun undang-undang ini memiliki jangkauan yang luas, beberapa penggunaan AI dikecualikan. Penggunaan AI untuk keperluan pribadi serta model dan sistem AI yang digunakan hanya untuk penelitian dan pengembangan ilmiah termasuk dalam kategori yang dikecualikan.

UU AI Uni Eropa mengatur sistem AI berdasarkan tingkat risiko.Risiko di sini mengacu pada kemungkinan dan tingkat keparahan potensi bahaya. Beberapa ketentuan yang paling penting meliputi:

• larangan praktik AI tertentu yang dianggap menimbulkan risiko yang tidak dapat diterima,
  
  
• standar untuk mengembangkan dan menerapkan sistem AI berisiko tinggi tertentu,
  
  
• aturan untuk model AI tujuan umum (GPAI).

Sistem AI yang tidak termasuk dalam salah satu kategori risiko dalam UU AI Uni Eropa tidak tunduk pada persyaratan berdasarkan undang-undang (ini sering dijuluki kategori 'risiko minimal'), meskipun beberapa mungkin perlu memenuhi kewajiban transparansi dan mereka harus mematuhi undang-undang lain yang ada. Contoh bisa termasuk filter spam email dan video game. Banyak penggunaan AI umum saat ini termasuk dalam kategori ini.

Perlu dicatat bahwa banyak detail yang lebih baik dari UU AI Uni Eropa seputar implementasi masih sedang diselesaikan. Misalnya, undang-undang menetapkan bahwa Komisi Eropa akan menerbitkan panduan tambahan mengenai persyaratan, seperti rencana pemantauan pascapasar dan ringkasan data pelatihan.

UU AI Uni Eropa secara eksplisit mencantumkan praktik AI terlarang tertentu yang dianggap menimbulkan tingkat risiko yang tidak dapat diterima. Misalnya, mengembangkan atau menggunakan sistem AI yang dengan sengaja memanipulasi orang untuk membuat pilihan berbahaya yang seharusnya tidak mereka lakukan, dianggap sebagai tindakan yang menimbulkan risiko yang tidak dapat diterima bagi pengguna, dan merupakan praktik AI yang dilarang.

Komisi UE memiliki wewenang untuk memperbarui daftar praktik terlarang dalam undang-undang tersebut, sehingga di masa mendatang, lebih banyak praktik AI dapat masuk dalam daftar larangan.

 Daftar sebagian praktik AI yang dilarang pada saat artikel ini diterbitkan meliputi:

• Sistem penilaian sosial—sistem yang mengevaluasi atau mengklasifikasikan individu berdasarkan perilaku sosial mereka—yang mengarah pada perlakuan yang merugikan atau tidak menguntungkan dalam konteks sosial yang tidak terkait dengan pengumpulan data asli dan tidak dapat dibenarkan atau tidak proporsional dengan tingkat keparahan perilaku
  
  
• Sistem pengenalan emosi di lingkungan kerja dan institusi pendidikan dilarang, kecuali jika digunakan untuk keperluan medis atau keselamatan
  
  
• AI digunakan untuk mengeksploitasi kerentanan orang (misalnya kerentanan karena usia atau disabilitas)
  
  
• Pengumpulan gambar wajah secara acak dari internet atau rekaman closed-circuit television (CCTV) untuk membangun basis data pengenalan wajah
  
  
• Sistem identifikasi biometrik yang mengidentifikasi individu berdasarkan karakteristik sensitif
  
  
• Aplikasi kebijakan prediktif khusus
  
  
• Penggunaan sistem identifikasi biometrik jarak jauh secara real-time oleh penegak hukum di tempat umum (kecuali ada pengecualian dan diperlukan pra-otorisasi oleh otoritas peradilan atau administratif independen).

Sistem AI dianggap berisiko tinggi berdasarkan UU AI Uni Eropa jika mereka adalah produk, atau komponen keamanan suatu produk, yang diatur berdasarkan undang-undang UE tertentu yang dirujuk oleh undang-undang tersebut, seperti keamanan mainan dan undang-undang perangkat medis diagnostik in vitro.

Undang-undang tersebut juga mencantumkan penggunaan spesifik yang umumnya dianggap berisiko tinggi, termasuk sistem AI yang digunakan:

• dalam konteks pekerjaan, seperti yang digunakan untuk merekrut kandidat, mengevaluasi calon pekerja, dan membuat keputusan promosi
  
  
• dalam perangkat medis tertentu
  
  
• dalam konteks pendidikan dan pelatihan kejuruan tertentu
  
  
• dalam proses peradilan dan demokrasi seperti sistem yang dimaksudkan untuk mempengaruhi hasil pemilu
  
  
• untuk menentukan akses ke layanan swasta atau publik yang penting, termasuk sistem yang menilai kelayakan untuk tunjangan publik dan mengevaluasi nilai kredit.
  
  
• dalam manajemen infrastruktur penting (misalnya, pasokan air, gas, dan listrik, dan sebagainya)
  
  
• dalam sistem identifikasi biometrik apa pun yang tidak dilarang, kecuali jika sistem tersebut bertujuan utama untuk memverifikasi identitas seseorang (misalnya, pemindai sidik jari yang digunakan untuk mengakses aplikasi perbankan).

Pengecualian dapat diberikan untuk sistem dalam daftar ini jika sistem AI tersebut tidak menimbulkan ancaman yang berarti terhadap kesehatan, keselamatan, atau hak individu.Undang-undang ini menetapkan satu atau lebih kriteria yang harus dipenuhi sebelum pengecualian dapat diberlakukan (seperti ketika sistem AI dirancang untuk menjalankan tugas prosedural yang terbatas). Jika menggunakan pengecualian ini, penyedia harus mendokumentasikan penilaian bahwa sistem tersebut bukan berisiko tinggi. Regulator berhak meminta dan meninjau dokumen penilaian tersebut. Pengecualian tidak berlaku untuk sistem AI yang secara otomatis memproses data pribadi untuk menilai atau memprediksi aspek kehidupan seseorang, seperti preferensi produk (profiling), karena selalu dianggap berisiko tinggi.

Seperti daftar praktik AI yang dilarang, Komisi Uni Eropa kemungkinan akan memperbarui daftar sistem AI berisiko tinggi di masa mendatang.

Sistem AI yang berisiko tinggi harus mematuhi persyaratan khusus. Beberapa contohnya antara lain:

• Mengimplementasikan sistem manajemen risiko berkelanjutan untuk memantau AI selama siklus hidupnya. Misalnya, penyedia diharapkan mengurangi risiko yang dapat diperkirakan secara wajar akibat penggunaan sistem mereka.
  
  
• Menerapkan tata kelola data yang ketat untuk memastikan data pelatihan, validasi, dan pengujian memenuhi standar kualitas tertentu. Misalnya, harus ada tata kelola yang mengatur proses pengumpulan data, sumber data, serta langkah-langkah untuk mencegah dan mengurangi bias.
  
  
• Memelihara dokumentasi teknis yang komprehensif dengan informasi spesifik, seperti spesifikasi desain sistem, kemampuan, batasan, dan upaya kepatuhan terhadap peraturan.

Ada kewajiban transparansi tambahan untuk jenis AI tertentu. Sebagai contoh:

• Sistem AI yang berinteraksi langsung dengan individu harus dirancang agar pengguna mengetahui bahwa mereka berinteraksi dengan AI, kecuali jika hal tersebut sudah jelas dari konteksnya. Misalnya, chatbot harus secara eksplisit menginformasikan pengguna bahwa mereka berkomunikasi dengan chatbot.
   
• Sistem AI yang menghasilkan teks, gambar, atau konten tertentu lainnya harus menggunakan format yang dapat dibaca mesin untuk menandai output sebagai hasil atau manipulasi AI. Ini termasuk, misalnya, AI yang menghasilkan deepfake—gambar atau video yang diubah untuk menunjukkan seseorang melakukan atau mengatakan sesuatu yang tidak mereka lakukan atau katakan.

Kami menyoroti beberapa kewajiban utama bagi—penyedia dan pelaksana—sistem AI berisiko tinggi dalam rantai nilai AI berikut ini.

Penyedia sistem AI berisiko tinggi harus mematuhi persyaratan termasuk:

• Memastikan bahwa sistem AI berisiko tinggi memenuhi persyaratan yang ditetapkan dalam undang-undang yang berlaku. Misalnya, menerapkan sistem manajemen risiko yang berkelanjutan.
  
  
• Memiliki sistem manajemen mutu.
  
  
• Menerapkan rencana pemantauan pascapasar untuk memantau kinerja sistem AI dan memastikan kepatuhan yang berkelanjutan sepanjang siklus hidup sistem.

Deployer sistem AI berisiko tinggi akan memiliki kewajiban termasuk:

• Mengambil langkah-langkah teknis dan organisasi yang tepat untuk memastikan mereka menggunakan sistem tersebut sesuai dengan petunjuk penggunaannya.
  
  
• Menyimpan log sistem AI yang dibuat secara otomatis, sejauh log tersebut berada di bawah kendali mereka, selama periode tertentu.
  
  
• Penyedia yang menggunakan sistem AI berisiko tinggi untuk layanan penting—seperti lembaga pemerintah atau organisasi swasta yang menyediakan layanan publik—harus melakukan penilaian dampak terhadap hak dasar sebelum pertama kali menggunakannya.

UU AI Uni Eropa menciptakan aturan terpisah untuk model AI tujuan umum (GPAI).Penyedia model GPAI akan memiliki kewajiban termasuk yang berikut ini:

• Menetapkan kebijakan untuk menghormati undang-undang hak cipta UE.
  
  
• Menulis dan membuat ringkasan terperinci dari kumpulan data pelatihan yang tersedia untuk umum.

Jika model GPAI diklasifikasikan sebagai menimbulkan risiko sistemik, penyedia akan memiliki kewajiban tambahan. Risiko sistemik adalah risiko yang khusus untuk kemampuan model GPAI berdampak tinggi yang berdampak signifikan pada pasar UE karena jangkauannya atau karena efek negatif aktual atau yang dapat diduga sebelumnya pada kesehatan publik, keselamatan, keamanan publik, hak-hak fundamental, atau masyarakat secara keseluruhan, yang dapat disebarkan dalam skala besar di seluruh rantai nilai. Undang-undang ini menjadikan sumber daya pelatihan sebagai salah satu kriteria untuk mengidentifikasi risiko sistemik—jika total daya komputasi yang digunakan untuk melatih model melebihi 10^25 operasi titik mengambang (FLOP), model tersebut dianggap memiliki kemampuan berdampak tinggi dan berpotensi menimbulkan risiko sistemik. Komisi Uni Eropa juga dapat mengklasifikasikan suatu model sebagai model yang menimbulkan risiko sistemik.

Penyedia model GPAI yang memiliki risiko sistemik, termasuk model sumber terbuka yang gratis, harus memenuhi beberapa kewajiban tambahan, misalnya:

• Mendokumentasikan dan melaporkan insiden serius kepada Kantor AI Uni Eropa serta regulator nasional yang berwenang.
  
  
• Menerapkan keamanan siber yang memadai untuk melindungi model dan infrastruktur fisiknya.

Organisasi yang melanggar praktik AI yang dilarang dapat dikenai denda hingga 35.000.000 EUR atau 7% dari omzet tahunan global, tergantung mana yang lebih besar.

Untuk sebagian besar pelanggaran lainnya, termasuk ketidakpatuhan terhadap persyaratan bagi sistem AI berisiko tinggi, organisasi dapat dikenakan denda hingga 15.000.000 EUR atau 3% dari total pendapatan tahunan global, tergantung mana yang lebih besar.

Penyediaan informasi yang tidak benar, tidak lengkap, atau menyesatkan kepada pihak berwenang dapat menyebabkan organisasi didenda hingga 7.500.000 EUR atau 1% dari omzet tahunan di seluruh dunia, mana saja yang lebih tinggi.

Khususnya, UU AI Uni Eropa memiliki aturan yang berbeda untuk mendenda start-up dan organisasi kecil dan menengah. Untuk bisnis ini, denda yang dikenakan adalah yang paling rendah dari dua jumlah yang ditentukan di atas.

Undang-undang ini mulai berlaku pada 1 Agustus 2024, dengan ketentuan yang diterapkan secara bertahap.Beberapa tanggal yang paling penting antara lain:

• Mulai 2 Februari 2025, larangan terhadap praktik AI yang akan mulai berlaku.
  
  
• Dari 2 Agustus 2025, aturan AI untuk tujuan umum akan berlaku untuk model GPAI baru. Penyedia model GPAI yang telah dipasarkan sebelum tanggal 2 Agustus 2025 memiliki waktu hingga tanggal 2 Agustus 2027 untuk mematuhinya.
  
  
• Mulai 2 Agustus 2026, aturan untuk sistem AI berisiko tinggi akan diberlakukan.
  
  
• Mulai 2 Agustus 2027, aturan untuk sistem AI yang merupakan produk atau komponen keselamatan produk yang diatur berdasarkan undang-undang UE tertentu, akan berlaku.