Diterbitkan: 8 April 2024
Kontributor: Matt Kosinski
Undang-Undang Kecerdasan Buatan Uni Eropa, atau Undang-Undang AI UE, adalah undang-undang yang mengatur pengembangan dan penggunaan kecerdasan buatan di Uni Eropa (UE). Undang-undang ini mengambil pendekatan berbasis risiko terhadap regulasi, menerapkan aturan yang berbeda untuk sistem AI sesuai dengan ancaman yang mereka timbulkan terhadap kesehatan, keselamatan, dan hak asasi manusia.
Dianggap sebagai kerangka kerja regulasi komprehensif pertama di dunia untuk aplikasi AI, UU AI UE melarang beberapa penggunaan AI secara langsung dan menerapkan standar keamanan dan transparansi yang ketat untuk yang lainnya.
Undang-undang ini juga menciptakan aturan yang ditargetkan untuk merancang, melatih, dan menerapkan model kecerdasan buatan untuk tujuan umum, seperti model dasar yang mendukung ChatGPT dan Google Gemini.
Denda atas ketidakpatuhan dapat mencapai EUR 35.000.000 atau 7% dari pendapatan tahunan perusahaan di seluruh dunia, mana saja yang lebih tinggi.
Dengan cara yang sama seperti Peraturan Perlindungan Data Umum (GDPR) UE yang mengilhami negara-negara lain untuk mengadopsi undang-undang privasi data, para pakar mengantisipasi Undang-Undang AI UE akan memacu pengembangan tata kelola AI dan standar etika yang lebih kuat di seluruh dunia.
Mendaftar untuk mendapatkan laporan IDC
Undang-Undang AI UE berlaku untuk penyedia, penyebar, importir, dan distributor sistem dan model AI di UE.
Undang-undang ini mendefinisikan sistem AI sebagai sistem yang dapat, dengan tingkat otonomi tertentu, memproses input untuk menghasilkan output yang memengaruhi manusia dan lingkungan. Output yang berpengaruh ini mencakup hal-hal seperti prediksi, keputusan, dan konten.
Dalam bahasa undang-undang, model AI terutama mengacu pada AI tujuan umum (GPAI) yang dapat diadaptasi untuk membangun berbagai sistem AI. Misalnya, model bahasa besar GPT-4 adalah model AI. Chatbot ChatGPT yang dibangun di atas GPT-4 adalah sistem AI.
Istilah penting lainnya dalam UU ini:
Undang-Undang AI UE berlaku untuk orang dan organisasi di luar Eropa jika alat AI mereka, atau hasil dari alat tersebut, digunakan di UE.
Sebagai contoh, katakanlah sebuah perusahaan di Uni Eropa mengirimkan data pelanggan ke pihak ketiga di luar Uni Eropa, dan pihak ketiga tersebut menggunakan AI untuk memproses data pelanggan dan mengirimkan hasilnya kembali ke perusahaan. Karena perusahaan menggunakan output dari sistem AI pihak ketiga di dalam UE, maka pihak ketiga tersebut terikat oleh Undang-Undang AI UE.
Penyedia di luar UE yang menawarkan layanan AI di UE harus menunjuk perwakilan resmi di UE untuk mengoordinasikan upaya kepatuhan atas nama mereka.
Meskipun undang-undang ini memiliki jangkauan yang luas, beberapa penggunaan AI dikecualikan. Ini termasuk:
Undang-Undang AI UE berisi sejumlah aturan yang dimaksudkan untuk mendukung penggunaan dan pengembangan AI yang bertanggung jawab. Beberapa ketentuan yang paling penting termasuk larangan terhadap AI yang berbahaya, standar untuk mengembangkan dan menerapkan AI berisiko tinggi, kewajiban transparansi, dan aturan untuk model tujuan umum.
Perlu dicatat bahwa banyak detail yang lebih baik dari EU AI Act seputar implementasi masih sedang diselesaikan. Misalnya, undang-undang tersebut mencatat bahwa Komisi Eropa akan merilis panduan lebih lanjut tentang persyaratan seperti rencana pemantauan pasca-pasar dan ringkasan data pelatihan.
Undang-Undang AI Uni Eropa memilah sistem AI ke dalam beberapa kategori berdasarkan tingkat risiko. Risiko di sini mengacu pada kemungkinan dan tingkat keparahan potensi bahaya yang dapat ditimbulkan oleh AI terhadap kesehatan, keselamatan, atau hak asasi manusia.
Secara umum, undang-undang tersebut membahas empat kategori risiko AI:
· Risiko yang tidak dapat diterima
· Risiko tinggi
· Risiko terbatas
· Risiko minimal
Aplikasi AI yang menimbulkan tingkat risiko yang tidak dapat diterima dilarang. Undang-Undang AI UE secara eksplisit mencantumkan semua praktik AI yang dilarang, yang meliputi:
Komisi Eropa berhak untuk meninjau kembali dan mengubah daftar ini, sehingga ada kemungkinan lebih banyak lagi penggunaan AI yang akan dilarang di masa depan.
Sebagian besar tindakan berkaitan dengan sistem AI berisiko tinggi. Ada dua cara agar sistem dianggap berisiko tinggi berdasarkan Undang-Undang AI UE: jika digunakan dalam produk yang diatur atau secara eksplisit disebut berisiko tinggi.
Produk di beberapa sektor, seperti mainan, peralatan radio, dan peralatan medis, sudah diatur oleh undang-undang Uni Eropa yang sudah ada sebelumnya. Setiap sistem AI yang berfungsi sebagai komponen keselamatan dari produk yang diatur ini, atau yang bertindak sebagai produk yang diatur itu sendiri, secara otomatis dianggap berisiko tinggi.
Undang-undang tersebut juga mencantumkan penggunaan AI tertentu yang selalu dianggap berisiko tinggi. Ini termasuk:
Seperti daftar AI yang dilarang, Komisi Eropa dapat memperbarui daftar ini di masa mendatang.
Penyedia sistem berisiko tinggi harus mengikuti aturan ini:
Jika sistem AI termasuk dalam salah satu kategori berisiko tinggi namun tidak menimbulkan ancaman signifikan terhadap kesehatan, keselamatan, atau hak-hak, penyedia layanan dapat mengesampingkan persyaratan ini. Penyedia harus mendokumentasikan bukti bahwa sistem tersebut tidak menimbulkan risiko, dan regulator dapat menghukum organisasi yang salah mengklasifikasikan sistem.
Sistem AI dengan risiko terbatas adalah sistem yang memenuhi kewajiban transparansi tertentu—aturan yang harus diikuti oleh jenis AI tertentu terlepas dari tingkat risikonya. Aturan-aturan ini meliputi:
Kategori risiko minimal (terkadang disebut 'kategori risiko minimal atau tanpa risiko') mencakup alat AI yang tidak berinteraksi langsung dengan manusia atau yang memiliki dampak material yang sangat kecil ketika berinteraksi. Contohnya termasuk filter spam email dan AI dalam video game. Banyak penggunaan AI umum saat ini termasuk dalam kategori ini.
Sebagian besar peraturan UU AI tidak berlaku untuk AI dengan risiko minimal (meskipun beberapa mungkin perlu memenuhi kewajiban transparansi yang tercantum di atas).
Karena model GPAI sangat mudah beradaptasi, mungkin sulit untuk mengkategorikannya sesuai dengan tingkat risiko. Karena alasan ini, Undang-Undang AI UE menciptakan seperangkat aturan terpisah secara eksplisit untuk GPAI.
Semua penyedia model GPAI harus:
Sebagian besar model GPAI open-source gratis dikecualikan dari dua persyaratan pertama. Mereka hanya perlu mengikuti undang-undang hak cipta dan berbagi ringkasan data pelatihan.
Undang-Undang AI UE menganggap beberapa model GPAI menimbulkan risiko sistemik. Risiko sistemik adalah potensi suatu model untuk menyebabkan kerusakan serius dan luas terhadap kesehatan, keselamatan, atau hak-hak dasar masyarakat.
Di bawah undang-undang tersebut, model dikatakan menimbulkan risiko sistemik jika memiliki "kemampuan berdampak tinggi". Pada dasarnya, ini berarti kemampuan model ini menyamai atau melampaui kemampuan GPAI paling canggih yang tersedia pada saat itu.
Undang-undang tersebut menggunakan sumber daya pelatihan sebagai kriteria utama untuk mengidentifikasi risiko sistemik. Jika jumlah kumulatif daya komputasi yang digunakan untuk melatih model lebih besar dari 1025 floating point operations (FLOP), maka model tersebut dianggap memiliki kemampuan berdampak tinggi dan menimbulkan risiko sistemik.
Komisi Eropa juga dapat mengklasifikasikan sebuah model sebagai risiko sistemik jika mereka menentukan bahwa model tersebut memiliki dampak yang setara dengan kemampuan berisiko tinggi tersebut, meskipun tidak memenuhi ambang batas FLOPs.
Model GPAI yang menimbulkan risiko sistemik—termasuk model sumber terbuka dan gratis—harus memenuhi semua persyaratan sebelumnya ditambah beberapa kewajiban tambahan:
Penyedia model GPAI dapat mencapai kepatuhan dengan mengadopsi kode praktik sukarela, yang saat ini sedang disusun oleh Kantor AI Uni Eropa. Kode tersebut diharapkan selesai dalam waktu sembilan bulan setelah tindakan tersebut berlaku. Penyedia yang tidak mengadopsi kode ini harus membuktikan kepatuhan mereka dengan cara lain.
Penyedia, penyebar, importir, dan distributor secara umum bertanggung jawab untuk memastikan produk AI yang mereka buat, gunakan, atau edarkan sudah sesuai. Mereka harus mendokumentasikan bukti kepatuhan mereka dan membagikannya dengan pihak berwenang atas permintaan. Mereka juga harus berbagi informasi dan bekerja sama satu sama lain untuk memastikan bahwa setiap organisasi dalam rantai pasokan AI dapat mematuhi Undang-Undang AI UE.
Penyedia dan deployer juga harus memastikan bahwa anggota staf atau pihak lain yang bekerja dengan AI atas nama organisasi memiliki literasi AI yang diperlukan untuk menangani AI secara bertanggung jawab.
Di luar persyaratan umum ini, masing-masing pihak mempunyai kewajiban spesifiknya sendiri.
Importir dan distributor harus memastikan bahwa sistem dan model AI yang mereka edarkan mematuhi Undang-Undang AI UE.
Importir atau distributor dianggap sebagai penyedia AI jika mereka mencantumkan nama atau merek dagangnya sendiri pada suatu produk atau melakukan perubahan substansial pada produk tersebut. Dalam hal ini, importir atau distributor harus memikul semua tanggung jawab penyedia yang diuraikan dalam undang-undang.
Penegakan undang-undang tersebut akan dibagi antara beberapa badan yang berbeda.
Di tingkat Uni Eropa, Komisi Eropa telah membentuk Kantor AI untuk membantu mengoordinasikan penerapan yang konsisten dari undang-undang tersebut di seluruh negara anggota. Kantor AI juga akan secara langsung menegakkan peraturan GPAI, dengan kemampuan untuk mendenda organisasi dan memaksa tindakan perbaikan.
Masing-masing negara anggota akan menunjuk otoritas kompeten nasional untuk menegakkan semua peraturan non-GPAI. Undang-undang ini mengharuskan setiap negara untuk membentuk dua otoritas yang berbeda: otoritas pengawasan pasar dan otoritas pemberitahuan.
Otoritas pengawasan pasar memastikan bahwa organisasi mematuhi Undang-Undang AI UE. Mereka dapat mendengar keluhan dari konsumen, menyelidiki pelanggaran, dan mendenda organisasi.
Otoritas pemberitahuan mengawasi pihak ketiga yang melakukan penilaian kesesuaian untuk produk AI berisiko tinggi baru.
Jika melakukan praktik AI yang dilarang, organisasi dapat didenda hingga EUR 35.000.000 atau 7% dari omset di seluruh dunia, mana saja yang lebih tinggi.
Untuk pelanggaran lainnya, termasuk pelanggaran aturan GPAI, organisasi dapat didenda hingga EUR 15.000.000 atau 3% dari omset di seluruh dunia, mana saja yang lebih tinggi.
Karena memberikan informasi yang tidak benar atau menyesatkan kepada pihak berwenang, organisasi dapat didenda hingga EUR 7.500.000 atau 1% dari omset, mana yang lebih tinggi.
Khususnya, Undang-Undang AI UE memiliki aturan yang berbeda untuk mendenda startup dan organisasi kecil lainnya. Untuk bisnis ini, denda yang dikenakan adalah yang lebih rendah dari dua jumlah yang mungkin. Hal ini sejalan dengan upaya umum undang-undang untuk memastikan bahwa persyaratan tidak terlalu berat sehingga mengunci bisnis yang lebih kecil dari pasar AI.
Parlemen Eropa menyetujui Undang-Undang AI UE pada 13 Maret 2024. Dewan Eropa akan menyelesaikan putaran terakhir pemeriksaan, dan undang-undang tersebut akan mulai berlaku 20 hari setelah publikasi di Jurnal Resmi Uni Eropa. Pengamat memperkirakan ini akan terjadi pada Mei 2024.
Undang-undang ini baru akan berlaku sepenuhnya tahun 2026, dengan ketentuan berbeda yang berlaku secara bertahap dari waktu ke waktu:
Terapkan dan sematkan AI dengan mudah di seluruh bisnis Anda, kelola semua sumber data, dan percepat alur kerja AI yang bertanggung jawab—semuanya dalam satu platform
Menyederhanakan tata kelola data, manajemen risiko, dan kepatuhan terhadap peraturan dengan IBM OpenPages — platform GRC yang sangat dapat ditingkatkan, didukung AI, dan terpadu.
Buku elektronik terbaru kami menguraikan fondasi utama tata kelola AI dan membagikan kerangka kerja tata kelola AI terperinci yang dapat Anda terapkan di organisasi Anda.
Jelajahi potensi transformatif AI yang Bertanggung Jawab untuk organisasi Anda dan pelajari tentang faktor pendorong penting di balik penerapan praktik AI yang etis.
Bergabunglah dalam diskusi tentang mengapa bisnis perlu memprioritaskan tata kelola AI untuk menerapkan AI yang bertanggung jawab.
Pelajari bagaimana tata kelola data memastikan perusahaan mendapatkan hasil maksimal dari aset data mereka.
AI yang dapat dijelaskan sangat penting bagi organisasi dalam membangun kepercayaan dan keyakinan saat menerapkan model AI ke dalam produksi.
Etika AI adalah bidang multidisiplin yang mempelajari cara mengoptimalkan dampak menguntungkan dari AI sekaligus mengurangi risiko dan hasil yang merugikan. Baca tentang pendekatan IBM terhadap etika AI.