Catatan dari Lionel: Selamat datang di pos keempat dan terakhir dalam seri Future Insights 2025. Dalam pos ini, Field CTO & Direktur Bisnis Strategis, APAC, Nick Savvides membahas regulasi privasi dan kekuatan-kekuatan yang akan mempengaruhinya di masa depan. Klik untuk membaca pos-pos sebelumnya dalam seri ini.
Dua tahun yang lalu, saya memberikan yang pertama dalam serangkaian pembicaraan yang melihat ke depan mengenai dampak geopolitik dan demografi terhadap lanskap keamanan siber global. Salah satu prediksi utama saya adalah bahwa tatanan dunia yang lebih multilateral akan muncul, dengan dampak signifikan bagi keamanan siber. Dari mengonsumsi teknologi hingga membangunnya; dari merekrut pejuang siber hingga mengimplementasikan otomatisasi AI; dari membiayai start-up hingga mematuhi regulasi—semua ini akan menjadi jauh lebih sulit, lebih kompleks, dan lebih mahal.
Di sini, saya akan melihat lebih dekat salah satu bagian dari gambaran besar ini: Yaitu, bagaimana pembelahan regulasi privasi global akan mempengaruhi keamanan data. Saya melihat adopsi AI yang mempercepat tren ini, yang akan memimpin perkembangan dan tantangan besar pada tahun 2025.
Tren lama, semakin cepat
Regulasi privasi bukanlah hal baru, karena sudah ada dalam bentuk atau lainnya selama beberapa dekade. Kami telah memiliki regulasi di tingkat nasional, sub-nasional, dan supra-nasional, yang semuanya mencakup area yang berbeda dan tumpang tindih.
Ini selalu menjadi area yang kompleks, tetapi era internet meningkatkan kompleksitas ini ketika regulator berusaha memperbarui regulasi mereka. Kami melihat perubahan signifikan dan pengenalan undang-undang baru di setiap yurisdiksi utama sepanjang tahun 1990-an dan 2000-an. Di beberapa yurisdiksi, kami bahkan memiliki regulasi yang bersaing, biasanya terkait dengan pengumpulan dan penyimpanan, di mana mematuhi satu berarti Anda tidak mematuhi yang lainnya.
Pada pertengahan 2010-an, perusahaan kesulitan untuk mempertahankan kepatuhan terhadap berbagai aturan, dan keadaan akan menjadi semakin rumit dengan implikasi ekstra-yurisdiksi dari Regulasi Perlindungan Data Umum Eropa (GDPR), yang memperluas jangkauan regulasi ke siapa saja yang memproses informasi warga negara UE.
Beberapa waktu, ada upaya yang terkoordinasi untuk menyederhanakan regulasi, yang bertujuan bukan hanya untuk harmonisasi tetapi lebih pada pengakuan bersama. Ini didasarkan pada bagaimana pengakuan silang telah membantu area yang sangat teratur lainnya, seperti telekomunikasi, elektronik, serta manufaktur pesawat dan otomotif.
Diketahui dengan baik bahwa regulasi yang berlebihan memiliki dampak negatif yang signifikan terhadap pertumbuhan ekonomi dan inovasi. Regulator di semua bidang berusaha mencari keseimbangan antara regulasi dan inovasi. Sayangnya, sifat aturan adalah bahwa mereka terus berkembang. Diperlukan guncangan besar dan upaya nyata untuk menyederhanakan dan mengoptimalkannya, dan beberapa waktu saya berharap ini akan terjadi di sini.
Namun saat ini ada nexus kekuatan yang bekerja melawan hal ini, di tengah latar belakang bisnis yang mengumpulkan, memproses, dan menyimpan lebih banyak data daripada sebelumnya tetapi juga kini memberi makan model AI yang rakus data.
Perluasan dan Pembelahan Regulasi
Saya tidak lagi berpikir kita harus berharap terlalu banyak terkait penyederhanaan regulasi. Salah satu alasan utama untuk ini adalah pergeseran geopolitik menuju tatanan dunia multilateral.
Prediksi saya di sini adalah bahwa kita akan melihat beberapa penyederhanaan, tetapi itu akan terjadi dalam kluster-kluster, yang disesuaikan dengan kelompok geopolitik negara-negara. Ketika saya mengatakan ini, saya sering ditanya, “Namun bukankah itu tetap baik, jika itu mengurangi beban kepatuhan?” Masalah besar adalah bahwa saya percaya akan ada kekurangan pengakuan silang yang dipaksakan dan pengenalan perbedaan yang disengaja antara kluster-kluster ini. Gesekan dan kompleksitas akan dirancang sedemikian rupa.
Saya juga percaya kita akan melihat regulasi yang sangat bertentangan, di mana apa yang diwajibkan di satu yurisdiksi secara eksplisit dilarang di yurisdiksi lain. Misalnya, perusahaan mungkin dipaksa untuk mengumpulkan beberapa informasi di satu yurisdiksi tetapi dilarang untuk mengumpulkannya sama sekali di yurisdiksi lain. Beberapa informasi yang dikumpulkan mungkin diperbolehkan untuk tujuan tertentu di satu yurisdiksi tetapi dilarang untuk tujuan yang sama di yurisdiksi lain.
Perusahaan yang beroperasi di berbagai yurisdiksi pasar ini perlu mengetahui kewajiban mereka, kepada regulator mana, kepada pengguna mana, data mana yang dimaksud, di mana data tersebut disimpan, bagaimana data ini digunakan ke depannya, dan bagaimana data ini dikelola sepanjang siklus hidupnya.
Semua ini terdengar mahal dan rumit, karena memang demikian. Ini kemungkinan akan menghasilkan infrastruktur dan layanan yang duplikat, masalah kepatuhan yang lebih besar, risiko residual yang signifikan, dan banyak kebijakan serta prosedur yang beroperasi di dalam organisasi.
Revolusi AI
Diskusi ini tidak akan lengkap tanpa membahas AI. Kita memiliki bisnis yang berlomba-lomba menggunakannya, dan pemerintah yang berlomba-lomba mengaturnya. AI telah menangkap imajinasi tidak hanya para pencipta, tetapi juga regulator.
Kita masih sangat awal dalam era AI generatif dan pengalihan pengambilan keputusan ke AI, tetapi regulator bergerak cepat. Kami telah melihat regulasi baru yang signifikan dan regulasi yang diusulkan terkait dengan AI. Sayangnya bagi inovasi, kami juga melihat regulasi di beberapa yurisdiksi yang berkisar dari agak berlebihan hingga sangat memberatkan.
Beberapa minggu yang lalu, saya diundang untuk berkontribusi dalam sebuah panel di GovWare yang membahas pertimbangan keamanan data saat mengadopsi AI. Sekarang, GovWare adalah konferensi keamanan siber terbesar di Asia-Pasifik, dengan lebih dari 13.000 peserta. Mungkin tidak perlu dikatakan lagi, tetapi lantai pameran yang besar benar-benar dipenuhi dengan huruf-huruf “AI.” Meskipun semuanya itu, saya masih tidak berpikir kita sudah mencapai puncak hype AI.
Panel tersebut diadakan pada hari kedua konferensi, dan peserta sudah dibanjiri dengan konten dan pesan tentang AI. Anda mungkin berpikir audiens akan bosan dengan topik tersebut, tetapi mereka tidak bisa mendapatkan cukup. Setelah percakapan yang luas, kami dibombardir dengan pertanyaan, bukan tentang teknologi AI, tetapi tentang tata kelola dan keamanan, dengan fokus nyata pada bagaimana mengelola semua data yang dibutuhkan AI.
Dan inilah yang membawa kita ke masalah multilateral. Volume data yang sangat besar diperlukan agar AI dapat efektif, produktif, dan generatif.
Ini menjadi masalah ketika data ini tidak hanya dilindungi oleh regulasi privasi data yang terpecah dan bertentangan, tetapi juga oleh regulasi AI.
Kita menghadapi prospek organisasi hanya dapat menggunakan AI dengan data yang dikumpulkan di yurisdiksi tertentu. Karya turunan—output generatif—dan hasil bisnis mungkin harus berbeda di yurisdiksi yang berbeda. Data yang tercampur yang mungkin dapat diakses oleh manusia mungkin tidak diizinkan untuk AI.
Lebih buruk lagi, apa yang terjadi pada model yang didasarkan pada data, di mana izin untuk digunakan oleh AI dapat dicabut oleh subjek data kapan saja?
Ini bukan hanya pertimbangan desain; ini adalah pertimbangan operasional dan berkelanjutan.
AI telah menjadi proksi untuk tujuan strategis geopolitik, dan saya memperkirakan bahwa tantangan saat ini terkait akses ke semikonduktor, alat AI, dan perangkat lunak akan merembes ke dalam lingkungan perlindungan data.
Kita Tidak Bisa Menyerah Pada Regulasi Privasi Data
Setelah membaca semua itu, mudah untuk mengatakan bahwa kita semua hanya akan berjuang: Beberapa akan dibobol, beberapa akan melanggar hukum, beberapa akan menerima denda besar, dan beberapa akan menghabiskan bertahun-tahun di pengadilan. Dan meskipun ada sedikit kebenaran dalam hal ini, ada hal-hal yang bisa kita lakukan untuk mempersiapkan diri.
Sebuah rumus yang selalu membantu saya di bidang ini adalah dengan mengajukan dan menjawab dua pertanyaan:
“Apakah saya penjaga yang baik untuk data yang saya pegang?” “Apakah saya melakukan apa yang diharapkan dari saya untuk melindungi data?” Pertanyaan-pertanyaan ini masih sangat berharga hari ini, bahkan dalam dunia multilateral. Biasanya, pada tingkat regulator individu, ketika sesuatu terjadi salah, regulator dan otoritas yang wajar akan mengukur Anda berdasarkan pertanyaan-pertanyaan ini dan menggunakannya untuk menentukan tindakan lanjutan.
Saya sengaja memilih kata “penjaga” karena banyak hal yang mengikuti dari itu. Untuk menjadi penjaga yang baik, Anda harus tahu data apa yang Anda pegang, di mana letaknya, apa yang diatur oleh regulasi dan siapa yang memiliki akses ke dalamnya. Dari perlindungan mengikuti pengamatan dan kontrol penggunaan data.
Ini adalah awal yang baik, tetapi tatanan multilateral menuntut agar kita juga memprioritaskan efisiensi. Ini mungkin mengejutkan dengan begitu banyak pertimbangan lainnya untuk dipilih, tetapi saya percaya efisiensi akan menjadi kunci untuk kelangsungan semuanya.
Organisasi harus mengadopsi teknologi yang akan memungkinkan mereka untuk menskalakan praktik keamanan dan privasi data mereka untuk mencakup lingkungan kompleks ini. Jika ini tidak terjadi, program-program ini akan runtuh untuk menangani yurisdiksi inti mereka, dan yang lainnya akan jatuh ke pinggir jalan. Dulu hal ini mungkin disayangkan, tetapi sekarang bisa menjadi bencana.
Dari efisiensi mengalirlah alat, memberdayakan karyawan pengguna akhir untuk dengan cepat mengidentifikasi regulasi mana yang berlaku pada data yang mereka gunakan. Ini harus dipadukan dengan program pendidikan yang diperbarui untuk meningkatkan pemahaman dan pengelolaan data oleh pengguna.
Meskipun beberapa mungkin tidak setuju dengan tesis saya di sini, saya rasa kita semua dapat setuju bahwa masalah keamanan data, privasi, dan regulasi hanya akan semakin besar dan lebih menantang. Tugas kita adalah mengidentifikasi dan menerapkan solusi yang akan mencegah masalah ini berkembang tak terkendali.