Kepatuhan di Era LLM: Tumpukan Regulasi Baru untuk Platform AI (ID)

Lima tahun lalu, kewajiban kepatuhan sebuah perusahaan AI muat dalam satu halaman. Kebijakan privasi, syarat layanan, mungkin cookie banner, dan – jika Anda berhati-hati – perjanjian pemrosesan data GDPR. Hanya itu. AI diperlakukan sebagai perangkat lunak, dan perangkat lunak diperlakukan dengan ringan.

Pada April 2026, dunia itu telah hilang.

Sebuah platform AI yang diluncurkan hari ini beroperasi di dalam tumpukan regulasi yang saling tumpang tindih yang mencakup UU AI Uni Eropa, Undang-Undang Layanan Digital, GDPR, aturan khusus sektor (keuangan, kesehatan, pendidikan), kontrol ekspor, mandat verifikasi usia, persyaratan asal konten, dan – semakin meningkat – kewajiban KYC/AML-style yang eksplisit tentang siapa yang dapat mengakses model dan apa yang dapat mereka lakukan dengannya. Peluncuran terbaru Anthropic yang mewajibkan verifikasi paspor dan selfie pada Claude adalah salah satu gejala pergeseran ini. Ini bukan yang terakhir.

Artikel ini memetakan tumpukan kepatuhan yang dihadapi perusahaan AI saat ini, menjelaskan apa yang telah berubah dalam 18 bulan terakhir, dan menyusun arsitektur praktis untuk membangun produk yang dapat bertahan dalam pengawasan regulasi tanpa merusak pengalaman pengembang.

Apa yang Berubah

Empat hal terjadi, kurang lebih bersamaan, antara akhir tahun 2024 dan awal tahun 2026.

Pertama, regulator mengejar ketertinggalan. UU AI Uni Eropa mulai berlaku dengan peluncuran bertahap dimulai Agustus 2024, dengan kewajiban model AI tujuan umum mulai berlaku pada Agustus 2025 dan kewajiban sistem berisiko tinggi mulai berlaku pada Agustus 2026. Inggris mendirikan Institut Keamanan AI dengan perjanjian pengujian formal. Perintah eksekutif AS tentang AI menciptakan ambang pelaporan untuk pelatihan skala besar. Brasil, Jepang, Korea Selatan, Singapura, dan UEA semuanya menerbitkan kerangka kerja AI. Tiongkok sudah mewajibkan verifikasi identitas AI generatif sejak 2023.

Kedua, platform AI menjadi penting secara sistemik. Claude, ChatGPT, Gemini, dan Grok sekarang berada dalam alur kerja puluhan juta karyawan perusahaan dan ratusan juta konsumen. Skala ini memicu kewajiban “platform online yang sangat besar” dari Undang-Undang Layanan Digital di UE, rezim perlindungan konsumen di berbagai yurisdiksi, dan gravitasi umum dari “jika rusak, akan merusak banyak hal.”

Ketiga, vektor penyalahgunaan semakin matang. Penipuan deepfake, kloning suara, phishing otomatis, pembuatan identitas sintetis, distilasi model, ekstraksi hak cipta, pembuatan CSAM, penipuan berbasis agen – semuanya berkembang dari bukti konsep menjadi operasi industri. Setiap regulator sekarang memiliki daftar insiden nyata untuk ditunjukkan saat menulis aturan.

Keempat, industri kehabisan alasan. Selama sebagian besar tahun 2023 dan 2024, perusahaan AI berhasil berargumen bahwa pengaturan diri dan komitmen sukarela sudah cukup. Pada tahun 2026, dengan bukti jelas distilasi skala industri, penipuan deepfake mencapai kerugian miliaran dolar setiap tahun, dan chatbot AI terlibat dalam bunuh diri remaja dan penipuan identitas, argumen itu tidak lagi berlaku.

Hasilnya adalah bahwa kepatuhan AI bukan lagi pemikiran setelah produk. Ini adalah masalah arsitektur, sejajar dengan skalabilitas dan keamanan.

Tumpukan Regulasi di Tahun 2026

Sebuah platform AI yang beroperasi di pasar utama sekarang harus menangani lapisan berikut, secara bersamaan.

UU AI Uni Eropa

Undang-undang AI komprehensif pertama yang berlaku. Kewajiban utama berdasarkan kategori:

• Model AI tujuan umum (GPAI): dokumentasi transparansi, ringkasan data pelatihan, kebijakan hak cipta, dokumentasi teknis tersedia untuk penyebar hilir. Model dengan “risiko sistemik” (dilatih di atas ambang batas 10^25 FLOP) menghadapi kewajiban tambahan: penilaian risiko sistemik, red-teaming, pelaporan insiden serius, perlindungan keamanan siber.
• Sistem AI berisiko tinggi: sistem manajemen risiko, tata kelola data, dokumentasi teknis, pencatatan, pengawasan manusia, persyaratan akurasi dan ketahanan, pemantauan pasca-pasar. Berlaku untuk AI di bidang pekerjaan, kredit, asuransi, pendidikan, infrastruktur penting, penegakan hukum, dan lainnya.
• AI risiko terbatas (chatbot, deepfake): kewajiban transparansi – pengguna harus tahu bahwa mereka berinteraksi dengan AI, dan konten sintetis harus diberi label.
• AI yang dilarang: penilaian sosial, identifikasi biometrik real-time di ruang publik (dengan pengecualian terbatas), pengenalan emosi di tempat kerja/pendidikan, pemolisian prediktif berdasarkan profil saja, pemindaian wajah yang tidak ditargetkan.

Hukuman mencapai 7% dari omzet tahunan global untuk AI yang dilarang, 3% untuk pelanggaran lainnya.

Undang-Undang Layanan Digital (DSA)

Berlaku untuk platform online mana pun yang melayani pengguna UE. Chatbot AI dengan skala signifikan memicu kewajiban “platform online yang sangat besar” (VLOP): penilaian risiko sistemik, audit independen, pelaporan transparansi, akses data peneliti, kewajiban moderasi konten, mekanisme tanggap krisis. Hukuman maksimum: 6% dari omzet global.

GDPR

Masih menjadi rezim privasi dasar untuk produk AI apa pun yang menyentuh data pribadi UE. Titik tekanan spesifik AI:

• Dasar hukum untuk data pelatihan. Scraping konten web publik untuk pelatihan model sedang dalam litigasi aktif di berbagai yurisdiksi UE.
• Hak untuk dihapus. Bagaimana Anda “menghapus” seseorang dari model terlatih? Penegakan aktif atas ini masih berkembang.
• Pengambilan keputusan otomatis (Pasal 22). Dipicu ketika keluaran AI secara material memengaruhi individu. Membutuhkan opsi peninjauan manusia.
• Minimisasi data. Sulit untuk didamaikan dengan pelatihan model dasar pada kumpulan data besar.

EDPB (Dewan Perlindungan Data Eropa) mengeluarkan pendapat pada Desember 2024 yang mengklarifikasi beberapa hal ini, tetapi penegakannya tidak merata di seluruh negara anggota dan aktif.

Aturan Khusus Sektor

AI yang digunakan dalam sektor yang diatur secara otomatis mengambil kewajiban sektor:

• Keuangan: MiFID II, PSD2/PSD3, pedoman EBA tentang AI dalam penilaian kredit, panduan FINRA AI, surat edaran CFPB tentang diskriminasi algoritmik
• Kesehatan: MDR (peraturan perangkat medis UE) untuk AI diagnostik, panduan HIPAA dan FDA di AS
• Pendidikan: undang-undang perlindungan data siswa (FERPA di AS, undang-undang tingkat negara bagian)
• Pekerjaan: Hukum Lokal NYC 144, kategori berisiko tinggi UU AI UE untuk alat perekrutan, panduan EEOC tentang diskriminasi algoritmik
• Asuransi: buletin model NAIC tentang AI, peraturan tingkat negara bagian

Sebuah platform AI yang memungkinkan pelanggan perusahaan untuk diterapkan ke sektor mana pun ini mewarisi sebagian dari kewajiban tersebut.

Kontrol Ekspor

AI bersifat penggunaan ganda. AS telah mengontrol ekspor GPU canggih tertentu sejak 2022, memperluas kontrol ke bobot model di bawah ambang batas kemampuan tertentu, dan mempertahankan pembatasan Daftar Entitas pada akses ke teknologi AI AS oleh aktor asing tertentu. UE memiliki kontrol ekspor atas barang penggunaan ganda termasuk AI di bawah Peraturan Penggunaan Ganda UE. Ini muncul sebagai kewajiban kepatuhan dalam siapa yang dapat Anda jual akses API, pelanggan mana yang lulus penyaringan sanksi, dan model mana yang dapat digunakan di yurisdiksi mana.

KYC, AML, dan Kontrol Akses

Tambahan terbaru ke tumpukan, dan yang paling tidak siap untuk dihadapi oleh sebagian besar perusahaan AI. Pendorong:

• Kebijakan Penskalaan Bertanggung Jawab dari lab perbatasan sendiri (ASL-3 dan di atasnya memerlukan KYC)
• Pertahanan serangan distilasi (lihat pengungkapan Anthropic Februari 2026)
• Penyaringan kontrol ekspor (memerlukan pelanggan yang teridentifikasi)
• Pencegahan penyalahgunaan (CSAM, peningkatan senjata, penipuan)
• Konvergensi regulasi dengan fintech (infrastruktur AI semakin diperlakukan sebagai infrastruktur keuangan)

Hasil praktisnya adalah bahwa platform AI membangun program KYC – verifikasi identitas, penyaringan sanksi, pemeriksaan kepemilikan yang menguntungkan, pemantauan aktivitas mencurigakan – yang sangat mirip dengan yang sudah dijalankan oleh fintech dan bursa kripto.

Verifikasi Usia

Dengan cepat menjadi wajib di pasar utama. Undang-Undang Keamanan Online Inggris, implementasi negara anggota UE tentang age-gating konten, undang-undang tingkat negara bagian AS (Utah, Louisiana, Texas dan lainnya), dan kebijakan platform seperti persyaratan Apple App Store semuanya mendorong ke arah yang sama: produk dengan konten dewasa, layanan keuangan, elemen desain adiktif, atau risiko signifikan bagi anak di bawah umur harus memverifikasi usia.

Untuk chatbot AI, ini terwujud sebagai akses yang dibatasi usia ke kemampuan tertentu, perlindungan di sekitar interaksi anak di bawah umur, dan – di beberapa yurisdiksi – larangan perilaku model tertentu di hadapan pengguna di bawah umur.

Asal dan Pembubuhan Tanda Air Konten

UU AI Uni Eropa mewajibkan konten sintetis untuk diberi label. Perintah eksekutif AS tentang AI meminta NIST untuk mengembangkan standar autentikasi konten. Spesifikasi C2PA (Koalisi Asal dan Keaslian Konten) menjadi standar industri de facto. Platform AI yang menghasilkan gambar, audio, dan video diharapkan untuk menyematkan sinyal asal kriptografi dalam keluaran.

Arsitektur Kepatuhan yang Berfungsi

Jika Anda membangun produk AI pada tahun 2026, tumpukan kepatuhan di atas dapat terasa melumpuhkan. Itu tidak harus. Wawasan intinya: kepatuhan untuk AI adalah masalah arsitektur, bukan masalah kebijakan. Kebijakan tertulis, pemberitahuan privasi, dan DPA diperlukan tetapi jauh dari cukup. Kontrol harus dihubungkan ke produk.

Berikut arsitektur minimum yang berfungsi untuk platform AI modern.

Lapisan Identitas dan Akses

Setiap pengguna, setiap sesi, setiap panggilan API mengalir melalui lapisan yang mengetahui:

• Siapa pengguna itu (tingkat verifikasi)
• Di mana mereka berada (yurisdiksi)
• Apa tingkat akses yang mereka miliki (gratis, berbayar, perusahaan, capability-gated)
• Seperti apa profil risiko mereka (perilaku, historis, perangkat)

Ini adalah lapisan yang sama yang menangani KYC, penyaringan AML, pemeriksaan sanksi, verifikasi usia, dan penyaringan kontrol ekspor. Bangun sekali, hubungkan ke setiap permukaan produk.

Komponen teknis:

• Verifikasi dokumen dengan deteksi kelangsungan hidup pada peningkatan tingkatan
• Penyaringan sanksi, PEP, media yang merugikan saat pembuatan akun
• Pencitraan perangkat dan pemantauan perilaku untuk penilaian risiko berkelanjutan
• Pemantauan berkelanjutan dengan pemicu verifikasi ulang

Didit adalah salah satu penyedia yang dibangun untuk bentuk ini – bayar per pemeriksaan, cakupan global, verifikasi cepat, API asli AI.

Lapisan Keamanan Konten

Penyaringan input, penyaringan output, deteksi penyalahgunaan, pemindaian CSAM, perlindungan hak cipta, dan sinyal asal konten. Ini adalah tempat keselamatan model bertemu dengan kewajiban peraturan. Kemampuan spesifik:

• Klasifikasi prompt untuk kategori penyalahgunaan (CSAM, peningkatan senjata, penipuan, menyakiti diri sendiri)
• Klasifikasi keluaran yang cocok dengan kategori yang sama
• Pencocokan hash terhadap konten buruk yang diketahui (NCMEC, basis data hak cipta)
• Pembubuhan tanda air dan asal C2PA untuk media yang dihasilkan
• Set regresi red-team untuk jailbreak yang diketahui

Lapisan Audit dan Pelaporan

Regulator semakin membutuhkan pelaporan terstruktur. Bangun infrastruktur log audit untuk mendukungnya sejak hari pertama:

• Setiap keputusan dengan dampak material dicatat dengan input, output, versi model, prompt, dan tingkatan pengguna
• Alur pelaporan insiden yang terhubung ke eskalasi internal dan pengajuan regulasi eksternal
• Pembuatan laporan transparansi (metrik agregat, anonim tentang bendera, larangan, penolakan)
• Infrastruktur akses penelitian untuk permintaan akses data gaya DSA
• Paket bukti yang siap ekspor untuk kerangka kerja kepatuhan tertentu (dokumentasi teknis UU AI UE, ISO 42001, SOC 2)

Perutean Yurisdiksi

Aturan yang berbeda berlaku di tempat yang berbeda. Satu basis kode harus menangani:

• Pengguna UE di bawah GDPR, UU AI UE, DSA
• Pengguna Inggris di bawah UK GDPR, Undang-Undang Keamanan Online, regulasi AI Inggris
• Pengguna AS di bawah tambalan tingkat negara bagian (CCPA/CPRA California, undang-undang AI Utah, Undang-Undang AI Colorado, Hukum Lokal NY 144)
• Pengguna Brasil di bawah LGPD dan undang-undang AI yang akan datang
• Pengguna Tiongkok di bawah aturan AI generatif CAC

Lapisan kepatuhan merutekan permintaan, menegakkan batasan yurisdiksi, dan menangani residensi data. Ini bukan pilihan untuk platform global.

Lapisan Tata Kelola Model

Khusus untuk lab perbatasan, tetapi semakin untuk perusahaan mana pun yang dibangun di atas model:

• Kartu model dengan asal data pelatihan, hasil evaluasi, keterbatasan yang diketahui
• Laporan red-team untuk model risiko sistemik
• Respons insiden untuk kegagalan perilaku model
• Kontrol versi untuk model yang digunakan dalam konteks yang diatur
• Dokumentasi penyebar hilir (kewajiban transparansi UU AI UE mengalir melalui rantai pasokan)

Kesalahan Umum, dan Cara Menghindarinya

Memperlakukan Kepatuhan sebagai Dokumen Kebijakan

Kesalahan paling mahal. Pemberitahuan privasi yang ditulis dengan indah tidak melakukan apa pun jika produk tidak menegakkan aturan yang dijelaskan di dalamnya. Bangun penegakan ke dalam arsitektur, lalu gambarkan dalam kebijakan – bukan sebaliknya.

Menganggap Pernyataan Diri Sendiri Cukup

“Pengguna harus berusia di atas 18” dalam syarat layanan Anda tidak memenuhi mandat verifikasi usia. “Pengguna tidak boleh menggunakan produk kami untuk tujuan ilegal” tidak memenuhi kewajiban pencegahan CSAM. Anda membutuhkan verifikasi, bukan pernyataan.

Menunggu Kejelasan Regulasi

Regulasi tidak menjadi kurang ketat seiring waktu. Setiap putaran klarifikasi telah memperketat kewajiban, bukan melonggarkannya. Membangun untuk UU AI UE 2025 hari ini berarti sudah tertinggal untuk ketentuan berisiko tinggi 2026. Bangun untuk interpretasi yang lebih ketat.

Menyimpan Data Biometrik dan Identitas Sendiri

Ini adalah bisnis kustodian khusus dan diatur. Jika Anda bukan vendor KYC, jangan menjadi satu secara tidak sengaja. Gunakan penyedia khusus (Persona, Onfido, Didit) untuk data identitas, dan tetap berada di sisi yang benar dari garis pengontrol/prosesor data.

Memperlakukan Keamanan dan Kepatuhan sebagai Terpisah

Itu adalah fungsi yang sama, dengan audiens yang berbeda. Program red-team Anda adalah bagian dari dokumentasi risiko sistemik UU AI UE. Pengklasifikasi CSAM Anda adalah bagian dari kewajiban DSA. Penyaringan sanksi Anda adalah bagian dari postur kontrol ekspor. Tata kelola terpadu efisien. Tata kelola yang terisolasi menjamin kesenjangan.

Meremehkan Biaya Kepatuhan Penjualan Perusahaan

Pelanggan perusahaan akan menuntut bukti – SOC 2 Tipe II, ISO 27001, ISO 42001 (khusus AI), perjanjian pemrosesan data, daftar subprosesor, bukti residensi data yurisdiksi. Tidak membangun ini di tahun pertama akan menghabiskan biaya kesepakatan perusahaan di tahun kedua.

Apa yang Terlihat Baik di Tahun 2026

Platform AI yang dirancang dengan baik pada tahun 2026 memiliki, setidaknya:

• Verifikasi identitas berbasis risiko yang terhubung ke setiap batas tingkatan dan kemampuan
• Penyaringan sanksi dan kontrol ekspor saat pembuatan akun dan secara berkala
• Verifikasi usia di permukaan mana pun di mana anak di bawah umur menghadapi risiko material
• Infrastruktur keamanan konten – penyaringan input, penyaringan output, pemindaian CSAM, pembubuhan tanda air
• Log audit dan pelaporan transparansi yang mampu memberi makan pengajuan peraturan tanpa rekayasa heroik
• Perutean yurisdiksi dan kontrol residensi data
• Fungsi keselamatan dan tata kelola yang melaporkan ke kepemimpinan, terintegrasi dengan produk dan teknik, bukan ditambahkan
• Tata kelola model terdokumentasi – kartu, evaluasi, laporan red-team, respons insiden
• Due diligence vendor pada setiap model, alat, dan penyedia data dalam tumpukan
• Pemantauan aktif untuk pola penyalahgunaan – distilasi, penipuan, scraping, peniruan

Ini adalah investasi rekayasa yang signifikan. Ini juga tidak dapat dinegosiasikan untuk perusahaan AI mana pun yang ingin beroperasi dalam skala besar di pasar yang diatur.

Tumpukan Kepatuhan Adalah Produknya

Insting bagi pembangun AI adalah memperlakukan kepatuhan sebagai overhead – pajak yang Anda bayar untuk mengirimkan “produk Anda yang sebenarnya”. Pada tahun 2026, pembingkaian itu salah. Tumpukan kepatuhan semakin menjadi bagian dari produk. Pelanggan perusahaan memilih vendor berdasarkan postur kepatuhan. Regulator membatasi akses ke pasar berdasarkan bukti kepatuhan. Pengguna mempercayai platform yang menunjukkan pekerjaan mereka.

Perusahaan AI yang memenangkan lima tahun berikutnya adalah mereka yang memperlakukan tumpukan kepatuhan seperti perusahaan infrastruktur memperlakukan uptime: sebagai masalah rekayasa kelas satu, dengan investasi, alat, dan perhatian kepemimpinan yang sesuai.

Peluncuran senyap Anthropic tentang verifikasi paspor dan selfie pada Claude bukanlah anomali. Ini adalah pratinjau. Setiap platform AI utama akan berakhir di tempat yang sama, baik melalui adopsi sukarela atau paksaan peraturan. Perusahaan yang datang lebih dulu, dan melakukannya dengan baik, akan mendapatkan keunggulan yang tahan lama. Yang menunggu akan menghabiskan separuh dekade berikutnya untuk melakukan retrofit di bawah tekanan.

Kepatuhan bukanlah musuh inovasi AI. Penyalahgunaan yang tidak terkendali, model yang tidak transparan, dan ketidakpastian peraturan adalah. Membangun tumpukan yang dijelaskan di atas adalah bagaimana industri mendapatkan hak untuk terus membangun generasi kemampuan berikutnya.

---

Didit membangun verifikasi identitas, penyaringan AML, dan infrastruktur kepatuhan untuk produk asli AI. 220+ negara, 14.000+ jenis dokumen, $0,30 per verifikasi, tanpa minimum. Mulai secara gratis atau hubungi tim.