Ketika siap membangun atau menerapkan AI di Asia Tenggara, banyak yang mungkin sudah pernah menerima tumpukan “kerangka tata kelola AI” dan diberitahu untuk mematuhi. Kebanyakan kerangka tersebut bersifat sukarela dan tidak ada sanksi, tetapi ada juga yang bisa mengakibatkan denda besar.
Kerangka yang bersifat wajib mencakup undang-undang perlindungan data yang ada, regulasi AI yang baru, serta aturan spesifik industri yang seharusnya sudah dikenali. Mengetahui perbedaan antara yang bersifat sukarela dan wajib sangat penting bagi CTO atau pemimpin produk. Mencampuradukkan keduanya hanya akan membuang waktu dan uang berharga yang tidak dimiliki oleh banyak startup.
Dalam pengalaman sebagai ilmuwan terapan yang membangun sistem AI untuk konteks Asia Tenggara, banyak waktu dihabiskan untuk memahami aspek teknis yang kini tengah diatur oleh regulator, seperti data pelatihan, dokumentasi model, pengujian bias, dan pengawasan penerapan. Bagi pengembang, penting untuk memahami apa yang diminta oleh regulasi agar dapat beradaptasi dengan baik.
Apa yang Menimbulkan Sanksi
Banyak regulasi AI, termasuk Undang-Undang AI Uni Eropa dan Undang-Undang AI Vietnam, menggunakan sistem klasifikasi berbasis risiko. Ini mencakup entitas lokal dan asing yang terlibat dalam kegiatan AI.
Contohnya, penilaian sosial dan identifikasi biometrik langsung di ruang publik dianggap sebagai praktik terlarang di UE dan Vietnam.
Di bawah kategori ini ada tingkat risiko tinggi, yang menjadi tempat kebanyakan pembangun AI berada. Jika produk Anda menyentuh aspek perekrutan, penilaian kredit, perawatan kesehatan, pendidikan, atau layanan publik penting, maka anggaplah sebagai risiko tinggi secara default.
Undang-Undang AI UE
Regulasi 2024/1689 adalah undang-undang yang mengikat, tidak hanya untuk perusahaan di dalam UE tetapi juga bagi penyedia atau pemasar di luar uni yang output sistem AI-nya digunakan di wilayah hukum tersebut. Jika perusahaan Anda berada di Jakarta tetapi klien menggunakan alat Anda di kantor mereka di Berlin, maka Anda tetap terikat.
Sanksi bukan dalam bentuk simbolis: hingga 35 juta euro atau 7 persen dari omset global untuk penggunaan yang terlarang, dan hingga 15 juta euro atau 3 persen dari omset global untuk ketidakpatuhan risiko tinggi.
Undang-Undang AI Vietnam
Undang-Undang 134/2025 sangat penting meskipun banyak tim pengembang yang tidak mengetahuinya. Majelis Nasional Vietnam mengesahkan undang-undang AI pertama yang komprehensif di daerah tersebut pada 10 Desember 2025, dan mulai berlaku pada 1 Maret.
Struktur undang-undang ini banyak mengambil logika dari Undang-Undang AI UE: ada kategori terlarang, risiko tinggi, dan risiko rendah, dengan kewajiban terpisah untuk penyedia dan penerap pada sistem risiko tinggi.
Sistem yang sudah ada akan mendapat waktu transisi 12 hingga 18 bulan tergantung sektor. Jika Anda memasarkan produk ke Vietnam, maka ini adalah rezim regulasi yang berlaku terlebih dahulu.
Undang-Undang Perlindungan Data yang Ada
Anda tidak memerlukan undang-undang khusus tentang AI untuk diatur ketika sistem Anda mengolah informasi pribadi.
Undang-undang perlindungan data di Singapura, Malaysia, Thailand, dan Vietnam memiliki sanksi, dan semuanya berlaku untuk sistem AI yang memproses data semacam itu. Jika model Anda melatih atau mengambil keputusan tentang individu yang dapat diidentifikasi, maka Anda berisiko.
Regulator Keuangan
Di bidang keuangan, aturan ini pada dasarnya bersifat wajib walaupun labelnya mengatakan “pedoman.” Otoritas Jasa Keuangan (OJK) Indonesia telah mengeluarkan ekspektasi tata kelola AI bagi bank dan perusahaan fintech, termasuk pedoman Tata Kelola AI perbankan pada April 2025.
Otoritas Moneter Singapura telah menetapkan ekspektasi risiko AI untuk lembaga keuangan, sementara Bank Thailand (BoT) merilis Pedoman Manajemen Risiko AI untuk Penyedia Layanan Keuangan pada September 2025, yang berlaku untuk lembaga keuangan dan penyedia pembayaran.
Sukarela, untuk Sekarang
Dengan beberapa pengecualian, kerangka yang banyak dibahas tidak bersifat mengikat. Namun, sukarela bukan berarti bisa diabaikan.
Misalnya, pengadaan perusahaan semakin meminta pedoman semacam itu. Seorang pembeli bank atau pemerintah akan bertanya apakah sistem Anda sejalan dengan kerangka sukarela jauh sebelum ada undang-undang yang memerlukannya.
Yang lebih penting, standar sukarela saat ini bisa jadi akan menjadi teks yang mengikat di masa depan, yang harus diperhitungkan dalam perencanaan.
Apa Arti Risiko Tinggi dalam Praktik
Salah satu perbedaan penting dalam menentukan seberapa besar beban regulasi yang berlaku bagi perusahaan Anda: Jika Anda membangun produk di atas model AI yang sudah ada, seperti alat perekrutan yang dibangun di atas ChatGPT misalnya, beban kepatuhan untuk produk tersebut adalah milik Anda, bukan OpenAI. Sebagian besar startup di Asia Tenggara berada dalam posisi ini, bahkan jika mereka belum pernah melatih model sendiri.
Dalam praktiknya, sistem risiko tinggi sesuai dengan Undang-Undang AI EU, Undang-Undang AI Vietnam, dan rancangan undang-undang yang diusulkan di Indonesia dan Thailand memerlukan proses manajemen risiko yang dipelihara sepanjang siklus hidup sistem.
Ini juga memerlukan catatan tata kelola data yang menunjukkan data pelatihan Anda relevan dan diuji untuk bias, dokumentasi teknis yang dapat dibaca oleh penilai eksternal, logging otomatis yang disimpan setidaknya selama enam bulan, mekanisme pengawasan manusia yang didefinisikan, dan pemantauan pasca-pasar setelah peluncuran.
Itu adalah bundel besar yang harus dibangun ke dalam produk, bukan hanya dipasang setelah peluncuran.
Di sinilah kesenjangan data regional – kurangnya representasi bahasa, budaya, dan konteks Asia Tenggara dalam data pelatihan AI – bukan lagi hanya menjadi isu etika, tetapi menjelma menjadi masalah kepatuhan. Pasal 10 dari Undang-Undang AI UE mengharuskan data pelatihan, validasi, dan pengujian bersifat relevan dan cukup representatif sesuai dengan tujuan yang dimaksudkan.
Menurut saya, jika sistem membuat keputusan tentang pengguna Indonesia, Filipina, atau Vietnam, representativitas harus menjangkau mereka. Jika model Anda dilatih dengan data yang sebagian besar berasal dari dunia Barat dan berbahasa Inggris, serta Anda tidak dapat mendokumentasikan bagaimana cara kerjanya untuk pengguna tersebut, maka ujian representativitas akan sulit untuk lulus.
Upaya dataset regional seperti SEA-VL menjadi penting di sini karena data yang terdokumen, dan representatif secara regional kini menjadi bagian dari apa yang terlihat sebagai bukti kepatuhan.
Apa yang Harus Dilakukan dalam 12 Bulan ke Depan
Ada empat langkah yang bisa diambil perusahaan AI di Asia Tenggara:
- Petakan setiap produk AI yang Anda kirimkan terhadap tingkat risiko yang diuraikan dalam regulasi yang berlaku. Apa pun yang berkaitan dengan perekrutan, kredit, biometrik, kesehatan, pendidikan, atau layanan publik harus diperlakukan sebagai risiko tinggi.
- Jika output Anda mencapai UE, jadikan Undang-Undang AI UE sebagai dasar yang mengikat dan bangun sesuai dengan persyaratan risiko tingginya. Ini adalah rezim paling ketat yang kemungkinan Anda hadapi, dan memenuhinya umumnya akan memenuhi syarat untuk sistem lainnya.
- Gunakan Kerangka Manajemen Risiko AI dari National Institute of Standards and Technology (NIST AI RMF) atau ISO/IEC 42001 sebagai template dokumentasi. Mereka bersifat sukarela, tetapi sangat sesuai dengan persyaratan yang sudah berlaku di Vietnam dan sedang dirancang di tempat lain.
- Mulailah membuat jejak audit sekarang. Pastikan Anda mendokumentasikan log risiko, asal data pelatihan, hasil pengujian bias, dan desain pengawasan manusia.
Bagian baiknya adalah langkah-langkah ini akan memberikan keuntungan bagi tim yang membangun dengan hati-hati. Perusahaan AI yang memperlakukan dokumentasi, asal data, dan pengawasan sebagai pekerjaan teknik, alih-alih sekadar tugas administratif, akan dapat memenuhi semua rezim dengan upaya yang kurang lebih sama.
Pemetaan ini bukan hal yang sederhana, tetapi dapat dibaca, dan membacanya sekarang jauh lebih murah daripada setelah audit.
