Catatan dari Lionel: Selamat datang di pos keempat dan terakhir dalam seri Future Insights 2025. Dalam pos ini, Field CTO & Direktur Bisnis Strategis, APAC, Nick Savvides membahas regulasi privasi dan kekuatan-kekuatan yang akan mempengaruhinya di masa depan. Klik untuk membaca pos-pos sebelumnya dalam seri ini. Dua tahun yang lalu, saya memberikan yang pertama dalam serangkaian pembicaraan yang melihat ke depan mengenai dampak geopolitik dan demografi terhadap lanskap keamanan siber global. Salah satu prediksi utama saya adalah bahwa tatanan dunia yang lebih multilateral akan muncul, dengan dampak signifikan bagi keamanan siber. Dari mengonsumsi teknologi hingga membangunnya; dari merekrut pejuang siber hingga mengimplementasikan otomatisasi AI; dari membiayai start-up hingga mematuhi regulasi—semua ini akan menjadi jauh lebih sulit, lebih kompleks, dan lebih mahal. Di sini, saya akan melihat lebih dekat salah satu bagian dari gambaran besar ini: Yaitu, bagaimana pembelahan regulasi privasi global akan mempengaruhi keamanan data. Saya melihat adopsi AI yang mempercepat tren ini, yang akan memimpin perkembangan dan tantangan besar pada tahun 2025. Tren lama, semakin cepat Regulasi privasi bukanlah hal baru, karena sudah ada dalam bentuk atau lainnya selama beberapa dekade. Kami telah memiliki regulasi di tingkat nasional, sub-nasional, dan supra-nasional, yang semuanya mencakup area yang berbeda dan tumpang tindih. Ini selalu menjadi area yang kompleks, tetapi era internet meningkatkan kompleksitas ini ketika regulator berusaha memperbarui regulasi mereka. Kami melihat perubahan signifikan dan pengenalan undang-undang baru di setiap yurisdiksi utama sepanjang tahun 1990-an dan 2000-an. Di beberapa yurisdiksi, kami bahkan memiliki regulasi yang bersaing, biasanya terkait dengan pengumpulan dan penyimpanan, di mana mematuhi satu berarti Anda tidak mematuhi yang lainnya. Pada pertengahan 2010-an, perusahaan kesulitan untuk mempertahankan kepatuhan terhadap berbagai aturan, dan keadaan akan menjadi semakin rumit dengan implikasi ekstra-yurisdiksi dari Regulasi Perlindungan Data Umum Eropa (GDPR), yang memperluas jangkauan regulasi ke siapa saja yang memproses informasi warga negara UE. Beberapa waktu, ada upaya yang terkoordinasi untuk menyederhanakan regulasi, yang bertujuan bukan hanya untuk harmonisasi tetapi lebih pada pengakuan bersama. Ini didasarkan pada bagaimana pengakuan silang telah membantu area yang sangat teratur lainnya, seperti telekomunikasi, elektronik, serta manufaktur pesawat dan otomotif. Diketahui dengan baik bahwa regulasi yang berlebihan memiliki dampak negatif yang signifikan terhadap pertumbuhan ekonomi dan inovasi. Regulator di semua bidang berusaha mencari keseimbangan antara regulasi dan inovasi. Sayangnya, sifat aturan adalah bahwa mereka terus berkembang. Diperlukan guncangan besar dan upaya nyata untuk menyederhanakan dan mengoptimalkannya, dan beberapa waktu saya berharap ini akan terjadi di sini. Namun saat ini ada nexus kekuatan yang bekerja melawan hal ini, di tengah latar belakang bisnis yang mengumpulkan, memproses, dan menyimpan lebih banyak data daripada sebelumnya tetapi juga kini memberi makan model AI yang rakus data. Perluasan dan Pembelahan Regulasi Saya tidak lagi berpikir kita harus berharap terlalu banyak terkait penyederhanaan regulasi. Salah satu alasan utama untuk ini adalah pergeseran geopolitik menuju tatanan dunia multilateral. Prediksi saya di sini adalah bahwa kita akan melihat beberapa penyederhanaan, tetapi itu akan terjadi dalam kluster-kluster, yang disesuaikan dengan kelompok geopolitik negara-negara. Ketika saya mengatakan ini, saya sering ditanya, “Namun bukankah itu tetap baik, jika itu mengurangi beban kepatuhan?” Masalah besar adalah bahwa saya percaya akan ada kekurangan pengakuan silang yang dipaksakan dan pengenalan perbedaan yang disengaja antara kluster-kluster ini. Gesekan dan kompleksitas akan dirancang sedemikian rupa. Saya juga percaya kita akan melihat regulasi yang sangat bertentangan, di mana apa yang diwajibkan di satu yurisdiksi secara eksplisit dilarang di yurisdiksi lain. Misalnya, perusahaan mungkin dipaksa untuk mengumpulkan beberapa informasi di satu yurisdiksi tetapi dilarang untuk mengumpulkannya sama sekali di yurisdiksi lain. Beberapa informasi yang dikumpulkan mungkin diperbolehkan untuk tujuan tertentu di satu yurisdiksi tetapi dilarang untuk tujuan yang sama di yurisdiksi lain. Perusahaan yang beroperasi di berbagai yurisdiksi pasar ini perlu mengetahui kewajiban mereka, kepada regulator mana, kepada pengguna mana, data mana yang dimaksud, di mana data tersebut disimpan, bagaimana data ini digunakan ke depannya, dan bagaimana data ini dikelola sepanjang siklus hidupnya. Semua ini terdengar mahal dan rumit, karena memang demikian. Ini kemungkinan akan menghasilkan infrastruktur dan layanan yang duplikat, masalah kepatuhan yang lebih besar, risiko residual yang signifikan, dan banyak kebijakan serta prosedur yang beroperasi di dalam organisasi. Revolusi AI Diskusi ini tidak akan lengkap tanpa membahas AI. Kita memiliki bisnis yang berlomba-lomba menggunakannya, dan pemerintah yang berlomba-lomba mengaturnya. AI telah menangkap imajinasi tidak hanya para pencipta, tetapi juga regulator. Kita masih sangat awal dalam era AI generatif dan pengalihan pengambilan keputusan ke AI, tetapi regulator bergerak cepat. Kami telah melihat regulasi baru yang signifikan dan regulasi yang diusulkan terkait dengan AI. Sayangnya bagi inovasi, kami juga melihat regulasi di beberapa yurisdiksi yang berkisar dari agak berlebihan hingga sangat memberatkan. Beberapa minggu yang lalu, saya diundang untuk berkontribusi dalam sebuah panel di GovWare yang membahas pertimbangan keamanan data saat mengadopsi AI. Sekarang, GovWare adalah konferensi keamanan siber terbesar di Asia-Pasifik, dengan lebih dari 13.000 peserta. Mungkin tidak perlu dikatakan lagi, tetapi lantai pameran yang besar benar-benar dipenuhi dengan huruf-huruf “AI.” Meskipun semuanya itu, saya masih tidak berpikir kita sudah mencapai puncak hype AI. Panel tersebut diadakan pada hari kedua konferensi, dan peserta sudah dibanjiri dengan konten dan pesan tentang AI. Anda mungkin berpikir audiens akan bosan dengan topik tersebut, tetapi mereka tidak bisa mendapatkan cukup. Setelah percakapan yang luas, kami dibombardir dengan pertanyaan, bukan tentang teknologi AI, tetapi tentang tata kelola dan keamanan, dengan fokus nyata pada bagaimana mengelola semua data yang dibutuhkan AI. Dan inilah yang membawa kita ke masalah multilateral. Volume data yang sangat besar diperlukan agar AI dapat efektif, produktif, dan generatif. Ini menjadi masalah ketika data ini tidak hanya dilindungi oleh regulasi privasi data yang terpecah dan bertentangan, tetapi juga oleh regulasi AI. Kita menghadapi prospek organisasi hanya dapat menggunakan AI dengan data yang dikumpulkan di yurisdiksi tertentu. Karya turunan—output generatif—dan hasil bisnis mungkin harus berbeda di yurisdiksi yang berbeda. Data yang tercampur yang mungkin dapat diakses oleh manusia mungkin tidak diizinkan untuk AI. Lebih buruk lagi, apa yang terjadi pada model yang didasarkan pada data, di mana izin untuk digunakan oleh AI dapat dicabut oleh subjek data kapan saja? Ini bukan hanya pertimbangan desain; ini adalah pertimbangan operasional…
