Regulasi AI Uni Eropa dan Respons yang Diperlukan bagi Perusahaan Jepang

Pada tanggal 12 Juli 2024 (Reiwa 6), ‘Undang-Undang Regulasi AI (EU AI Act)’ telah diumumkan di Uni Eropa, dan mulai diberlakukan sejak tanggal 1 Agustus tahun yang sama.
Undang-undang ini mengatur penggunaan dan penyediaan sistem AI di wilayah Uni Eropa, dan mulai tahun 2025, perusahaan-perusahaan Jepang juga akan diminta untuk melakukan sejumlah penyesuaian.
Secara spesifik, sama seperti operator situs e-commerce di Jepang yang perlu mematuhi ‘Peraturan Perlindungan Data Umum (GDPR)’ Uni Eropa, perusahaan-perusahaan Jepang yang menyediakan produk atau layanan terkait AI untuk pelanggan di wilayah Uni Eropa juga berpotensi tunduk pada Undang-Undang Regulasi AI Uni Eropa.
Di sini, kami akan menjelaskan tentang klasifikasi risiko sistem AI dan penilaian kesesuaian yang diminta dari para pelaku usaha terkait, serta cara menanggapi regulasi yang diwajibkan oleh undang-undang ini seiring dengan pemberlakuannya.
Prasyarat: Perbedaan antara “Regulasi” dan “Direktif” di Uni Eropa
Sebelum menjelaskan tentang Undang-Undang Regulasi AI itu sendiri, sebagai prasyarat, kita perlu memahami perbedaan antara “Regulasi” dan “Direktif” dalam hukum Uni Eropa.
Pertama-tama, “Regulasi” adalah peraturan yang diterapkan secara langsung kepada negara anggota, perusahaan, dan lainnya di dalam wilayah UE. Hal ini mengakibatkan Regulasi memiliki prioritas atas hukum nasional negara anggota UE dan diterapkan secara seragam di seluruh wilayah UE. Oleh karena itu, ketika Regulasi mulai berlaku, negara anggota UE akan menerapkan isi regulasi yang sama.
Di sisi lain, “Direktif” adalah peraturan yang bertujuan untuk menyesuaikan dan menyatukan isi regulasi antar negara anggota UE. Namun, Direktif pada dasarnya tidak langsung diterapkan kepada negara anggota, melainkan masing-masing negara harus mengganti isi Direktif tersebut ke dalam hukum nasional mereka sendiri. Biasanya, negara anggota harus membuat atau mengubah hukum nasional mereka dalam waktu tiga tahun setelah Direktif diterbitkan di Jurnal Resmi UE.
Sebagai ciri khas dari “Direktif”, negara anggota diberikan diskresi tertentu dalam mengubahnya menjadi hukum nasional, sehingga terdapat perbedaan dalam isi hukum antar negara anggota. Artinya, peraturan yang didasarkan pada “Direktif” tidak sepenuhnya seragam di seluruh wilayah UE, dan mungkin terdapat perbedaan kecil antar negara.
Berdasarkan perbedaan ini, Undang-Undang Regulasi AI ditetapkan sebagai “Regulasi”. Ini berarti bahwa Undang-Undang Regulasi AI diterapkan secara langsung kepada pelaku usaha yang berlokasi di dalam wilayah UE.
Artikel terkait: Wajib Tahu bagi Perusahaan yang Ingin Mengembangkan Bisnis ke Eropa: Poin-Poin Penting tentang Hukum dan Sistem Hukum UE[ja]
Regulasi AI dan Penerapan Ekstrateritorial di Jepang
Apa Itu Penerapan Ekstrateritorial?
“Penerapan ekstrateritorial” merujuk pada situasi di mana undang-undang yang dibuat oleh suatu negara diterapkan juga pada tindakan yang dilakukan di luar wilayah kedaulatan negara tersebut. Penerapan ekstrateritorial diakui karena adanya globalisasi ekonomi dan internasionalisasi aktivitas perusahaan, dengan tujuan untuk memastikan kegiatan ekonomi dunia berjalan secara adil dan tepat.
Salah satu contoh yang membuat konsep ini dikenal luas adalah GDPR (General Data Protection Regulation) Uni Eropa. Di bawah GDPR, bahkan perusahaan yang tidak memiliki basis di Uni Eropa dapat tunduk pada regulasi ini (penerapan ekstrateritorial) jika memenuhi kriteria berikut:
- Menyediakan layanan atau produk kepada individu di dalam wilayah Uni Eropa
- Mengolah informasi pribadi dengan tujuan memantau perilaku individu yang berada di dalam wilayah Uni Eropa
Misalnya, perusahaan di luar Uni Eropa yang mengirim karyawan dalam perjalanan bisnis ke Uni Eropa dan mengolah informasi pribadi terkait selama periode tersebut, dalam panduan tahun 2020 dinyatakan sebagai “tidak tercakup”, namun pada awalnya merupakan kasus yang dibahas terkait penerapan ekstrateritorial.
Penerapan Ekstrateritorial dalam Regulasi AI Uni Eropa
Dalam regulasi AI Uni Eropa, penerapan ekstrateritorial juga diakui untuk perusahaan yang berlokasi di luar Uni Eropa. Berikut adalah subjek dan aktivitas yang termasuk dalam penerapan ini:
- Pemberi (Providers): Pihak yang mengembangkan sistem AI atau model GPAI, yang memasarkan sistem AI atau model GPAI yang dikembangkan, atau yang mengoperasikan sistem AI dengan nama atau merek dagang mereka sendiri
- Pengguna (Users): Pihak yang menggunakan sistem AI di bawah otoritas mereka sendiri (kecuali penggunaan sistem AI untuk kegiatan pribadi dan non-profesional)
- Importir (Importers): Importir yang berlokasi atau didirikan di Uni Eropa yang memasukkan sistem AI dengan nama atau merek dagang dari orang alam atau badan hukum yang didirikan di luar Uni Eropa ke pasar Uni Eropa
- Distributor (Distributers): Orang alam atau badan hukum yang bukan pemberi atau importir, yang menyediakan sistem AI ke pasar Uni Eropa dalam rantai pasokan
Dengan demikian, meskipun perusahaan berlokasi di luar Uni Eropa, jika mereka menyediakan, mengoperasikan, mengimpor, atau menggunakan sistem AI atau model GPAI di dalam Uni Eropa, maka regulasi AI Uni Eropa akan diterapkan secara langsung kepada mereka.
Ciri Khas Regulasi AI Uni Eropa: Pendekatan Berbasis Risiko

Apa Itu Pendekatan Berbasis Risiko
Ciri terbesar dari Undang-Undang Regulasi AI Uni Eropa adalah penerapan “regulasi yang disesuaikan berdasarkan isi dan tingkat risiko” (pendekatan berbasis risiko).
“Pendekatan berbasis risiko” adalah metode yang menyesuaikan kekuatan regulasi berdasarkan isi dan tingkat risiko. Dalam pendekatan ini, keparahan risiko yang mungkin ditimbulkan oleh sistem AI menentukan ketatnya regulasi yang diterapkan pada sistem tersebut.
Secara spesifik, sistem AI yang memiliki risiko tinggi akan dikenakan regulasi yang lebih ketat, sementara sistem dengan risiko rendah akan dikenakan regulasi yang lebih longgar. Hal ini memungkinkan kita untuk menghindari regulasi yang berlebihan terhadap sistem dengan risiko rendah dan sebaliknya, memberikan pengawasan dan manajemen yang tepat terhadap sistem dengan risiko tinggi.
Sistem AI dengan Risiko yang Tidak Dapat Diterima di Jepang
Pertama-tama, sistem AI yang dianggap memiliki risiko yang tidak dapat diterima dianggap sebagai ancaman bagi masyarakat dan pada prinsipnya dilarang di Jepang.
Sebagai contoh, sistem AI yang memanipulasi kognisi atau perilaku pengguna dari kelompok rentan tertentu, seperti mainan yang diaktifkan suara yang mendorong perilaku berbahaya pada anak-anak, termasuk dalam kategori ini. Selain itu, skor sosial yang mengklasifikasikan orang berdasarkan perilaku, status sosial ekonomi, atau karakteristik pribadi juga merupakan subjek larangan. Lebih lanjut, sistem ‘biometric authentication’ yang real-time dan remote, yang menggunakan teknologi pengenalan wajah untuk mengidentifikasi individu dari jarak jauh dengan membandingkan data biometrik manusia dengan database referensi, juga pada prinsipnya dilarang.
Namun, terdapat pengecualian di mana penggunaan sistem-sistem ini dapat diperbolehkan. Secara spesifik, sistem biometric authentication real-time dan remote hanya diizinkan digunakan dalam kasus-kasus serius yang terbatas. Di sisi lain, sistem biometric authentication remote yang digunakan setelah kejadian hanya diizinkan dengan persetujuan pengadilan untuk tujuan penuntutan kejahatan serius.
Lebih lanjut, sebagai pengecualian yang dapat dilaksanakan, kasus-kasus seperti pencarian orang yang mungkin menjadi korban kejahatan, termasuk anak-anak yang hilang, pencegahan ancaman konkret dan mendesak terhadap keamanan kehidupan atau fisik manusia, seperti serangan teror, serta deteksi dan penentuan lokasi pelaku atau tersangka kejahatan serius, dapat diizinkan. Pengecualian-pengecualian ini dikenakan pembatasan ketat yang pada prinsipnya memerlukan persetujuan pengadilan sebelumnya, dan penggunaan sistem AI memerlukan operasi yang hati-hati.
Sistem AI Berisiko Tinggi di Jepang
Selanjutnya, sistem AI yang diklasifikasikan sebagai sistem AI berisiko tinggi adalah sistem AI yang berpotensi memberikan dampak negatif terhadap keselamatan atau hak asasi manusia dasar. Sistem-sistem ini diizinkan untuk digunakan dengan memenuhi persyaratan dan kewajiban tertentu (penilaian kesesuaian).
Sistem AI berisiko tinggi di Jepang dapat dikategorikan menjadi dua kelompok utama. Pertama, sistem AI yang digunakan pada produk yang sesuai dengan hukum keselamatan produk Uni Eropa, yang mencakup contoh seperti mainan, penerbangan, otomotif, perangkat medis, dan lift. Kedua, sistem AI yang wajib terdaftar dalam basis data Uni Eropa dan diklasifikasikan dalam bidang tertentu. Bidang ini meliputi manajemen dan operasi infrastruktur kritis, pendidikan dan pelatihan vokasional, manajemen pekerjaan dan tenaga kerja, akses ke layanan publik dan manfaat yang esensial, penegakan hukum, imigrasi dan suaka, manajemen perbatasan, serta dukungan dalam interpretasi dan aplikasi hukum.
Sistem AI berisiko tinggi di Jepang memerlukan evaluasi sebelum memasuki pasar dan sepanjang siklus hidupnya. Selain itu, hak untuk mengajukan keluhan terkait sistem AI kepada otoritas nasional yang ditunjuk juga diakui.
Secara umum, dapat dikatakan bahwa mesin dan kendaraan yang menjadi prasyarat untuk memastikan keselamatan hidup dan tubuh manusia adalah subjek dari AI berisiko tinggi. Sebagai contoh, AI kendaraan otonom juga dapat termasuk dalam kategori ini, sehingga perusahaan Jepang yang mengembangkan AI kendaraan otonom untuk ekspansi global harus mempertimbangkan dengan hati-hati apakah memenuhi persyaratan sebagai AI berisiko tinggi dan menanggapi dengan tepat.
Sistem AI dengan Risiko Terbatas di Bawah Hukum Jepang
Untuk sistem AI yang memiliki risiko terbatas, risiko terkait transparansi, penipuan, manipulasi, dan pemalsuan identitas dapat diantisipasi. Secara spesifik, chatbot, deepfake, dan AI generatif termasuk dalam kategori ini, dan menurut pandangan Parlemen Uni Eropa, sebagian besar sistem AI yang digunakan saat ini diklasifikasikan ke dalam kategori ini. Contohnya termasuk sistem penerjemah otomatis, konsol game, robot yang menjalankan proses manufaktur berulang, dan bahkan sistem AI seperti ‘Eureka Machine’ juga termasuk di dalamnya.
Meskipun AI generatif tidak diklasifikasikan sebagai berisiko tinggi, tetap diperlukan kepatuhan terhadap persyaratan transparansi dan hukum hak cipta Uni Eropa. Secara spesifik, tindakan berikut ini diperlukan:
- Secara eksplisit mengungkapkan bahwa konten telah dihasilkan oleh AI
- Mendesain model agar tidak menghasilkan konten ilegal
- Mempublikasikan ringkasan data yang dilindungi hak cipta yang digunakan untuk melatih AI
Lebih lanjut, model AI umum yang canggih dan berpengaruh besar seperti ‘GPT-4’ (model GPAI) memerlukan penilaian yang menyeluruh karena berpotensi membawa risiko sistemik. Selain itu, jika terjadi insiden serius, kewajiban untuk melaporkan ke Komisi Eropa diberlakukan. Tambahan lagi, konten yang dihasilkan atau dimodifikasi oleh AI (seperti gambar, audio, video, deepfake) harus secara eksplisit ditandai sebagai hasil produksi AI, sehingga pengguna dapat dengan jelas mengenali konten tersebut.
Sistem AI dengan Risiko Minimal di Jepang
Terakhir, untuk sistem AI yang memiliki risiko minimal di Jepang, tidak ada regulasi khusus yang diberlakukan. Contoh konkret dari sistem ini termasuk filter spam dan sistem rekomendasi. Dalam kategori ini, bukan regulasi yang ditekankan, melainkan pengembangan dan kepatuhan terhadap kode etik yang didorong.
Persyaratan dan Kewajiban untuk Sistem AI Berisiko Tinggi di Jepang

Kewajiban Penyedia, Pengguna, Importir, dan Penjual
Sebagaimana dibedakan di atas, sistem AI berisiko tinggi di Jepang, karena tingkat risikonya yang signifikan, dikenakan regulasi yang sangat ketat, dan penyedia serta pengguna memiliki kewajiban-kewajiban spesifik yang harus dipenuhi.
Pertama-tama, penyedia, pengguna, importir, dan penjual diwajibkan untuk membangun sistem manajemen risiko (Pasal 9). Ini berarti mereka harus mengidentifikasi risiko yang ada dalam sistem AI berisiko tinggi, mengelolanya dengan tepat, dan mendokumentasikan serta memelihara sistem tersebut. Selain itu, dalam hal tata kelola data (Pasal 10), mereka diharuskan menggunakan set data pelatihan, validasi, dan pengujian yang memenuhi standar kualitas. Hal ini penting karena kualitas dan keandalan data harus dikelola dengan ketat bahkan pada tahap pengembangan sistem AI.
Lebih lanjut, mereka juga diwajibkan untuk membuat dokumentasi teknis (Pasal 11). Dokumentasi teknis ini harus mencakup informasi yang diperlukan untuk membuktikan bahwa sistem AI berisiko tinggi mematuhi persyaratan regulasi, dan harus disiapkan untuk dapat diserahkan kepada otoritas yang berwenang di negara anggota atau lembaga sertifikasi pihak ketiga. Selain itu, desain dan pengembangan fungsi log yang merekam kejadian secara otomatis selama sistem AI beroperasi juga diperlukan (Pasal 12). Sistem AI berisiko tinggi juga harus didaftarkan dalam database yang dikelola oleh Uni Eropa sebelum dipasarkan, dan penyedia bertanggung jawab untuk menyiapkan dan memelihara sistem manajemen kualitas serta mendokumentasikannya.
Kewajiban Penyedia
Penyedia di Jepang memiliki kewajiban untuk menyimpan dokumentasi teknis, dokumen sistem manajemen kualitas, persetujuan atau keputusan dari lembaga sertifikasi pihak ketiga, dan dokumen terkait lainnya selama 10 tahun setelah produk masuk pasar atau mulai dioperasikan. Mereka harus menyimpan dokumen tersebut dan menyerahkannya atas permintaan dari otoritas domestik yang berwenang. Dengan demikian, penyedia bertanggung jawab untuk memelihara kualitas dan keamanan sistem AI dalam jangka panjang dan memastikan transparansi.
Kewajiban Pengguna
Di sisi lain, pengguna juga memiliki kewajiban spesifik yang berkaitan dengan penggunaan sistem AI berisiko tinggi. Pengguna diwajibkan untuk menyimpan log yang dihasilkan secara otomatis oleh sistem AI berisiko tinggi untuk periode yang sesuai dengan tujuan yang dimaksudkan dari sistem AI tersebut, kecuali ada ketentuan khusus dalam hukum Uni Eropa atau hukum negara anggota. Secara spesifik, mereka diwajibkan untuk menyimpan log setidaknya selama enam bulan.
Selain itu, jika sistem AI berisiko tinggi akan dioperasikan atau digunakan di tempat kerja, pengguna yang merupakan pemberi kerja diwajibkan untuk memberitahukan kepada perwakilan karyawan dan karyawan yang terpengaruh tentang penggunaan sistem tersebut sebelumnya. Ini ditetapkan dari perspektif perlindungan hak pekerja dan memastikan transparansi.
Dengan demikian, sistem AI berisiko tinggi di Jepang menetapkan persyaratan dan kewajiban yang ketat baik untuk penyedia maupun pengguna. Terutama dalam kasus penanganan teknologi AI canggih seperti perangkat medis atau sistem kendaraan otomatis, mungkin diperlukan evaluasi kesesuaian dan pemeriksaan oleh lembaga sertifikasi pihak ketiga, dengan mempertimbangkan konsistensi dengan kerangka regulasi yang ada, sehingga para pelaku usaha harus bertindak dengan hati-hati dan terencana.
Jadwal Tahapan Penerapan Undang-Undang Regulasi AI di Jepang

Undang-Undang Regulasi AI di Uni Eropa ditetapkan dengan jadwal penerapan yang bertahap dari pengumuman hingga penerapan. Hal ini mengharuskan para pelaku usaha untuk mempersiapkan dan merespons sesuai dengan setiap tahapan yang ada.
Pada tanggal 12 Juli 2024, Undang-Undang Regulasi AI diumumkan di lembaran negara dan mulai diberlakukan pada tanggal 1 Agustus tahun yang sama. Pada tahap ini, pelaku usaha diharuskan untuk pertama-tama memeriksa dan mempertimbangkan isi regulasi tersebut.
Kemudian pada tanggal 2 Februari 2025, pasal-pasal mengenai ‘Ketentuan Umum’ dan ‘Sistem AI dengan Risiko yang Tidak Dapat Diterima’ akan mulai diberlakukan. Jika pelaku usaha menangani sistem AI dengan risiko yang tidak dapat diterima, mereka harus segera menghentikan penanganan tersebut.
Selanjutnya, pada tanggal 2 Mei 2025, norma praktik (Codes of Practice) untuk penyedia model AI umum (GPAI) akan dipublikasikan. Pelaku usaha harus merespons berdasarkan norma praktik ini.
Setelah itu, pada tanggal 2 Agustus 2025, pasal-pasal mengenai ‘Model GPAI’ dan ‘Sanksi’ akan mulai diberlakukan, dan setiap negara anggota akan menunjuk otoritas yang berwenang. Pada tahap ini, penyedia model GPAI harus mematuhi peraturan terkait.
Pada tanggal 2 Februari 2026, pedoman mengenai metode implementasi sistem AI berdasarkan Undang-Undang Regulasi AI akan dipublikasikan. Bersamaan dengan itu, pemantauan pasca-pemasaran untuk sistem AI berisiko tinggi akan diwajibkan, dan diperlukan sistem yang dapat merespons ini.
Lebih lanjut, pada tanggal 2 Agustus 2026, pasal-pasal mengenai ‘Sistem AI Berisiko Tinggi’ yang tercantum dalam Lampiran III akan mulai diberlakukan. Pada titik ini, negara anggota harus mendirikan sandbox regulasi AI dan memastikan kepatuhan terhadap sistem AI berisiko tinggi yang relevan.
Akhirnya, pada tanggal 2 Agustus 2027, pasal-pasal mengenai ‘Sistem AI Berisiko Tinggi’ yang tercantum dalam Lampiran I akan mulai diberlakukan. Ini mengharuskan sistem AI yang ditentukan dalam Lampiran I untuk mematuhi peraturan tersebut.
Dengan demikian, Undang-Undang Regulasi AI akan diberlakukan secara bertahap selama beberapa tahun, dengan regulasi yang diterapkan secara bertahap sesuai dengan tingkat risiko. Pelaku usaha harus memahami dengan tepat setiap periode penerapan dan maju dengan respons yang sesuai untuk sistem AI yang relevan.
Artikel terkait: Bagaimana Status dan Prospek Undang-Undang Regulasi AI di Uni Eropa? Dampaknya terhadap Perusahaan Jepang Juga Dijelaskan[ja]
Panduan Tindakan Hukum oleh Kantor Kami
Kantor Hukum Monolith adalah firma hukum yang memiliki pengalaman luas dalam IT, khususnya internet dan hukum. Kami menggabungkan keahlian di kedua bidang ini untuk memberikan layanan hukum yang unik dan efektif.
Bisnis AI mengandung banyak risiko hukum, dan dukungan dari pengacara yang ahli dalam masalah hukum AI menjadi sangat penting. Kantor kami, dengan tim yang terdiri dari pengacara yang menguasai AI dan tim teknis seperti insinyur, menyediakan dukungan hukum tingkat lanjut untuk bisnis AI termasuk ChatGPT, seperti pembuatan kontrak, penilaian keabsahan model bisnis, perlindungan hak kekayaan intelektual, dan penanganan privasi. Detail lebih lanjut dapat Anda temukan dalam artikel di bawah ini.
Bidang layanan Kantor Hukum Monolith: Hukum AI (seperti ChatGPT dan lainnya)[ja]
Category: IT