Jika Anda sedang membangun atau menerapkan AI di Asia Tenggara, pasti pernah diberi tumpukan “kerangka kerja tata kelola AI” beserta instruksi untuk mematuhinya. Kebanyakan dari kerangka tersebut bersifat sukarela dan tidak ada sanksi yang mengikutinya, tetapi ada juga yang bisa mengakibatkan denda besar.
Kerangka wajib ini mencakup hukum perlindungan data yang sudah ada, regulasi AI baru, serta aturan spesifik industri yang seharusnya sudah Anda kenali. Mengerti perbedaan antara yang sukarela dan yang wajib adalah kunci bagi setiap CTO atau kepala produk. Campur aduk antara keduanya bisa membuang waktu dan uang yang sangat berarti—terutama untuk startup yang umumnya mengandalkan kedua aspek tersebut.
Dari pengalaman sebagai ilmuwan terapan yang membangun sistem AI untuk konteks Asia Tenggara, banyak hal teknis yang sedang diatur oleh para regulator saat ini. Ini termasuk data pelatihan, dokumentasi model, pengujian bias, dan pengawasan penerapan. Sangat penting bagi para pengembang untuk memahami apa yang sebenarnya diminta oleh regulasi ini agar bisa bertindak dengan tepat.
Apa yang Mengandung Sanksi
Banyak regulasi AI, termasuk AI Act Uni Eropa dan Undang-Undang AI Vietnam, menggunakan sistem klasifikasi berbasis risiko yang berlaku luas. Ini mencakup entitas lokal dan asing yang terlibat dalam aktivitas AI.
Contohnya, skor sosial dan identifikasi biometrik real-time di ruang publik dikategorikan sebagai tindakan terlarang baik di UE maupun di Vietnam.
Dibawahnya ada kategori risiko tinggi, yang akan menjadi tempat sebagian besar pengembang AI akan berada. Jika produk Anda menyentuh bidang perekrutan, kredit, kesehatan, pendidikan, atau layanan publik penting lainnya, anggaplah sebagai risiko tinggi secara default.
AI Act Uni Eropa
Regulasi 2024/1689 adalah undang-undang yang mengikat tidak hanya bagi perusahaan di dalam UE, tetapi juga bagi penyedia atau penerapan di luar uni yang output sistem AI-nya digunakan di yurisdiksi mereka. Jika perusahaan Anda berada di Jakarta tetapi klien menggunakan alat Anda di kantor mereka di Berlin, Anda tetap harus patuh.
Sanksi yang dihadapi bukanlah simbolik: hingga 35 juta euro atau 7 persen dari omzet global untuk penggunaan terlarang, dan hingga 15 juta euro atau 3 persen dari omzet global untuk ketidakpatuhan pada risiko tinggi.
Undang-Undang AI Vietnam
Undang-Undang 134/2025 belum banyak dikenal oleh tim pengembang di Asia Tenggara. Majelis Nasional Vietnam mengesahkan undang-undang AI mandiri yang pertama di kawasan ini pada 10 Desember 2025 dan mulai berlaku pada 1 Maret.
Struktur undang-undang ini mengambil banyak logika dari AI Act Uni Eropa: ada kategori terlarang, risiko tinggi, dan risiko rendah, dengan kewajiban terpisah bagi penyedia dan penerapan untuk sistem risiko tinggi.
Sistem yang ada mendapatkan masa transisi 12 hingga 18 bulan tergantung sektor. Jika Anda mengirimkan produk ke Vietnam, inilah rezim regulatif yang berlaku terlebih dahulu.
Hukum Perlindungan Data yang Ada
Anda tidak perlu undang-undang khusus AI untuk diatur ketika sistem Anda memproses informasi pribadi.
Hukum perlindungan data di Singapura, Malaysia, Thailand, dan Vietnam dapat dikenakan sanksi dan semuanya berlaku untuk sistem AI yang memproses data tersebut. Jika model Anda dilatih dengan atau mengambil keputusan tentang individu yang dapat diidentifikasi, maka Anda sudah terpapar risiko.
Regulator Keuangan
Di bidang keuangan, aturan yang ada efektif bersifat wajib bahkan ketika disebut “pedoman.” Otoritas Jasa Keuangan (OJK) telah menetapkan harapan tata kelola AI untuk bank dan perusahaan fintech, termasuk pedoman Tata Kelola AI Perbankan pada April 2025.
Monetary Authority of Singapore juga telah menetapkan harapan risiko AI untuk lembaga keuangan, sementara Bank of Thailand merilis Pedoman Manajemen Risiko AI untuk Penyedia Layanan Keuangan pada September 2025, yang berlaku untuk institusi keuangan dan penyedia pembayaran.
Sukarela, untuk Saat Ini
Dengan sedikit pengecualian, kerangka yang mendominasi pembicaraan saat ini tidak mengikat. Namun, sukarela bukan berarti bisa diabaikan.
Misalnya, pengadaan perusahaan semakin banyak yang menuntut pedoman semacam ini. Pembeli dari bank atau pemerintah cenderung akan menanyakan apakah sistem Anda sesuai dengan kerangka sukarela jauh sebelum ada undang-undang yang memerlukannya.
Yang lebih penting, standar sukarela saat ini bisa menjadi teks yang mengikat di masa depan, jadi setiap tim seharusnya mempertimbangkan itu dalam perencanaan mereka.
Apa Arti Risiko Tinggi dalam Praktik
Salah satu perbedaan penting menentukan seberapa besar beban regulasi yang berlaku pada perusahaan Anda: Jika Anda membangun produk di atas model AI yang sudah ada—misalnya, alat perekrutan yang dibangun di atas ChatGPT—beban kepatuhan untuk produk tersebut berada di tangan Anda, bukan di OpenAI. Kebanyakan startup di Asia Tenggara berada dalam posisi ini, bahkan jika mereka tidak pernah melatih model itu sendiri.
Dalam praktiknya, sistem risiko tinggi berdasarkan AI Act Uni Eropa, Undang-Undang AI Vietnam dan rancangan undang-undang yang diusulkan di Indonesia dan Thailand memerlukan proses manajemen risiko yang dijaga sepanjang siklus hidup sistem tersebut.
Ini juga memerlukan catatan tata kelola data yang menunjukkan bahwa data pelatihan Anda relevan dan sudah diuji untuk bias, dokumentasi teknis yang bisa dibaca oleh assessor eksternal, pencatatan otomatis yang disimpan setidaknya selama enam bulan, mekanisme pengawasan manusia yang terdefinisi, dan pemantauan pasca-peluncuran.
Ini adalah paket besar yang harus dibangun ke dalam produk, bukan ditambahkan setelah peluncuran.
Di sinilah gap data regional—kurangnya representasi bahasa, budaya, dan konteks Asia Tenggara dalam data pelatihan AI—berhenti menjadi topik etika dan menjadi masalah kepatuhan. Pasal 10 dari AI Act Uni Eropa mengharuskan data pelatihan, validasi, dan pengujian untuk relevan dan cukup representatif sesuai dengan tujuan yang dimaksud.
Dalam interpretasi saya, jika sistem membuat keputusan tentang pengguna Indonesia, Filipina, atau Vietnam, representasi harus mencakup mereka. Jika model Anda dilatih dengan data yang sebagian besar berasal dari Barat dan berbahasa Inggris, dan Anda tidak bisa mendokumentasikan bagaimana kinerjanya untuk pengguna tersebut, sulit untuk lulus tes representativeness itu.
Upaya dataset regional seperti SEA-VL sangat berarti di sini: Data yang terwakili secara regional dan terdokumentasi semakin menjadi bagian dari bukti kepatuhan. (Catatan: saya adalah salah satu penulis dataset visi-bahasa ini.)
Apa yang Harus Dilakukan dalam 12 Bulan ke Depan
Ada empat langkah yang dapat diambil perusahaan AI di Asia Tenggara:
- Petakan setiap produk AI yang Anda kirimkan berdasarkan tingkat risiko yang diuraikan dalam regulasi yang berlaku. Apa pun yang berhubungan dengan perekrutan, kredit, biometrik, kesehatan, pendidikan, atau layanan publik harus dianggap sebagai risiko tinggi.
- Jika ada output yang mencapai UE, buatlah AI Act UE sebagai lantai yang mengikat dan bangun sesuai dengan persyaratan risiko tingginya. Ini adalah rezim paling ketat yang mungkin Anda hadapi, dan memenuhi persyaratannya umumnya juga memenuhi sistem lainnya.
- Gunakan kerangka Manajemen Risiko AI dari National Institute of Standards and Technology (NIST AI RMF) di AS atau ISO/IEC 42001 sebagai template dokumentasi Anda. Mereka bersifat sukarela, tetapi sejalan dengan persyaratan yang sudah berlaku di Vietnam dan yang sedang disusun di tempat lain.
- Mulai audit trail hari ini. Pastikan Anda mendokumentasikan log risiko, asal-usul data pelatihan, hasil pengujian bias, dan desain pengawasan manusia.
Bagian yang menggembirakan adalah bahwa langkah-langkah ini memberikan penghargaan bagi tim yang membangun dengan hati-hati. Perusahaan AI yang menganggap dokumentasi, asal-usul data, dan pengawasan sebagai pekerjaan rekayasa, bukan sekadar dokumen, akan mampu memenuhi setiap rezim dengan usaha yang kurang lebih sama.
Pemetaannya tidaklah sederhana, tetapi sangat mungkin dibaca, dan membacanya sekarang jauh lebih murah dibandingkan membacanya di saat audit. TECH IN ASIA
