EU AI Act dan Apa Artinya bagi Penerapan AI Korporat
EU AI Act adalah regulasi AI komprehensif pertama dari yurisdiksi besar, dan ketentuan-ketentuannya yang paling konsekuensial mulai berlaku pada 2 Agustus 2026. Bagi perusahaan yang menerapkan sistem AI yang menyentuh pasar Eropa atau penduduk UE, lini waktu kepatuhan tidak lagi teoretis. Lini waktu tersebut bersifat operasional.
Regulasi ini mengikuti pendekatan berbasis risiko, mengelompokkan sistem AI ke dalam kategori dengan kewajiban yang berbeda. Memahami di mana penerapan AI Anda jatuh dalam klasifikasi tersebut adalah langkah pertama menuju kepatuhan. Langkah kedua adalah mengenali bahwa Act tersebut memiliki jangkauan ekstrateritorial. Jika sistem AI Anda digunakan di dalam UE atau menghasilkan output yang memengaruhi penduduk UE, Anda berada dalam ruang lingkup terlepas dari di mana kantor pusat perusahaan Anda berada.
Sistem Klasifikasi Risiko
Act ini mendefinisikan empat tingkat risiko: tidak dapat diterima, tinggi, terbatas, dan minimal. Setiap tingkat membawa kewajiban yang berbeda, dan batas-batas di antara mereka menentukan apa yang perlu dilakukan perusahaan.
Sistem AI dengan risiko tidak dapat diterima dilarang sepenuhnya. Kategori ini mencakup sistem social scoring yang digunakan oleh pemerintah, identifikasi biometrik jarak jauh real-time di ruang publik untuk penegakan hukum (dengan pengecualian sempit), AI yang mengeksploitasi kerentanan kelompok tertentu, dan sistem yang memanipulasi perilaku manusia dengan cara yang menyebabkan bahaya. Sebagian besar penerapan AI komersial tidak akan masuk dalam kategori ini, tetapi batas-batasnya layak dipahami karena sanksi untuk salah klasifikasi sangat berat.
Sistem berisiko tinggi membawa beban kepatuhan terberat. Pasal 6 menetapkan dua jalur menuju klasifikasi risiko tinggi. Yang pertama mencakup sistem AI yang digunakan sebagai komponen keselamatan produk yang sudah diatur oleh undang-undang harmonisasi UE yang ada, termasuk perangkat medis, sistem otomotif, komponen keselamatan penerbangan, dan mesin. Jalur kedua mencakup area aplikasi spesifik yang tercantum dalam Annex III di mana AI menimbulkan risiko signifikan terhadap hak-hak fundamental. Termasuk identifikasi dan kategorisasi biometrik, manajemen infrastruktur kritis, akses pendidikan dan pelatihan vokasi, ketenagakerjaan dan manajemen pekerja, akses ke layanan esensial, penegakan hukum, migrasi dan kontrol perbatasan, serta administrasi peradilan.
Sistem dengan risiko terbatas menghadapi kewajiban transparansi. Jika AI Anda menghasilkan konten sintetis (deepfake), berinteraksi langsung dengan orang (chatbot), atau melakukan pengenalan emosi atau kategorisasi biometrik, Anda perlu mengungkapkan bahwa pengguna sedang berinteraksi dengan sistem AI dan memberikan informasi yang relevan tentang cara kerjanya.
Sistem dengan risiko minimal, yang mencakup mayoritas aplikasi AI yang saat ini ada di pasar UE seperti video game berbasis AI dan filter spam, sebagian besar tetap tidak diatur di bawah Act ini.
Apa yang Diperlukan oleh Kepatuhan Risiko Tinggi
Bagi organisasi yang menerapkan sistem AI berisiko tinggi, tenggat waktu Agustus 2026 berarti beberapa persyaratan konkret harus dipenuhi.
Penilaian kesesuaian harus diselesaikan. Ini adalah evaluasi sistematis yang menunjukkan bahwa sistem AI Anda memenuhi persyaratan Act. Untuk beberapa kategori risiko tinggi, penilaian sendiri diperbolehkan. Untuk yang lain, terutama sistem identifikasi biometrik, penilaian pihak ketiga oleh badan yang diberi notifikasi diperlukan.
Dokumentasi teknis harus diselesaikan. Ini mencakup deskripsi terperinci tentang tujuan dan fungsionalitas sistem AI, data yang digunakan untuk pelatihan dan pengujian, metrik akurasi dan kinerja sistem, serta langkah-langkah yang diambil untuk mengatasi risiko. Dokumentasi harus cukup komprehensif bagi regulator untuk mengevaluasi kepatuhan sistem Anda.
Sistem manajemen kualitas harus tersedia yang mencakup manajemen risiko, tata kelola data, pencatatan, ketentuan transparansi, langkah-langkah pengawasan manusia, persyaratan akurasi dan ketangguhan, serta langkah-langkah keamanan siber.
Mekanisme pengawasan manusia harus dirancang ke dalam sistem. Act mensyaratkan bahwa sistem AI berisiko tinggi dapat diawasi secara efektif oleh orang alami, termasuk kemampuan untuk memahami kemampuan dan keterbatasan sistem, memantau operasinya, dan campur tangan atau menghentikan sistem ketika diperlukan.
Pendaftaran dalam basis data UE untuk sistem AI berisiko tinggi harus diselesaikan, dan tanda CE harus dibubuhkan pada sistem sebelum dapat ditempatkan di pasar.
Model AI Tujuan Umum
Act ini juga menetapkan kewajiban bagi penyedia model AI tujuan umum, yang mencakup model bahasa besar dan model dasar lainnya. Semua penyedia model AI tujuan umum harus memelihara dokumentasi teknis, memberikan informasi kepada deployer hilir, mematuhi hukum hak cipta UE, dan menerbitkan ringkasan yang cukup terperinci dari data pelatihan yang digunakan.
Model AI tujuan umum yang menimbulkan risiko sistemik, didefinisikan sebagai model yang dilatih dengan komputasi kumulatif melebihi 10^25 operasi titik mengambang, menghadapi kewajiban tambahan termasuk evaluasi model, pengujian adversarial, pelacakan dan pelaporan insiden, serta perlindungan keamanan siber yang memadai.
Sanksi dan Penegakan
Struktur sanksi dirancang untuk menarik perhatian. Ketidakpatuhan terhadap praktik AI yang dilarang dapat mengakibatkan denda hingga 35 juta euro atau 7% dari omzet tahunan global, mana yang lebih tinggi. Pelanggaran ketentuan lain membawa denda hingga 15 juta euro atau 3% dari omzet global. Untuk memberikan informasi yang salah kepada otoritas, denda dapat mencapai 7,5 juta euro atau 1% dari omzet global.
Setiap negara anggota UE menunjuk otoritas nasional yang kompeten yang bertanggung jawab atas penegakan. European AI Office, yang didirikan di dalam Komisi Eropa, mengawasi kepatuhan untuk model AI tujuan umum dan mengoordinasikan penegakan di seluruh negara anggota.
Langkah-Langkah Praktis untuk Kepatuhan
Organisasi yang belum mulai mempersiapkan diri harus mulai dengan inventarisasi sistem AI. Dokumentasikan setiap sistem AI yang sedang digunakan atau dalam pengembangan, tujuannya, data yang diprosesnya, dan di mana sistem tersebut diterapkan. Petakan setiap sistem terhadap kriteria klasifikasi risiko untuk menentukan tingkat mana yang sesuai.
Untuk sistem yang memenuhi syarat sebagai berisiko tinggi, mulailah proses penilaian kesesuaian sekarang. Mengembangkan dokumentasi teknis yang diperlukan, mengimplementasikan sistem manajemen kualitas, dan menetapkan mekanisme pengawasan manusia membutuhkan waktu. Menunggu hingga pertengahan 2026 untuk memulai berarti menunggu terlalu lama.
Tinjau perjanjian vendor Anda untuk layanan berbasis AI. Jika Anda menerapkan sistem AI yang disediakan oleh pihak ketiga, Anda mungkin tetap menanggung kewajiban sebagai deployer di bawah Act. Pastikan kontrak Anda menyertakan ketentuan untuk akses ke dokumentasi teknis, kerja sama dalam penilaian kesesuaian, dan kepatuhan terhadap persyaratan transparansi.
Latih tim Anda. Orang-orang yang bertanggung jawab untuk mengembangkan, menerapkan, dan memantau sistem AI perlu memahami kewajiban mereka di bawah Act ini. Ini termasuk tidak hanya engineer AI Anda tetapi juga tim kepatuhan, hukum, dan manajemen risiko Anda.
EU AI Act adalah regulasi terstruktur dengan persyaratan yang ditentukan dan tenggat waktu yang jelas. Organisasi yang mendekatinya secara sistematis, mulai dengan klasifikasi dan menelusuri kewajiban spesifik untuk setiap tingkat risiko, akan menemukan kepatuhan dapat dicapai. Yang memperlakukannya sebagai kekhawatiran masa depan yang samar akan menemukan Agustus 2026 tiba lebih cepat dari yang diharapkan.