Artikel ini akan fokus pada perkembangan regulasi utama, serta langkah-langkah praktis yang harus diambil oleh lembaga keuangan dalam lingkungan yang berkembang pesat ini.

Penulis artikel, sumber: Xiao Naiying, Fei Si, Yu Leimin, Penelitian King & Wood Mallesons

AI generatif mempercepat adopsi luas — regulator fokus pada praktik nyata

Seiring dengan terus meningkatnya adopsi kecerdasan buatan generatif ("generatif AI") oleh lembaga keuangan, fokus perhatian regulator beralih dari pernyataan kebijakan prinsipial ke penerapan praktis. Panduan Lembaga Keuangan untuk Kecerdasan Buatan Generatif yang kami rilis pada Januari 2025 [1] telah menunjukkan bahwa lanskap regulasi untuk kecerdasan buatan generatif sedang terbentuk, meskipun pada saat itu kerangka kerjanya masih bersifat prinsipial. [2]

Sejak itu, fokus regulasi telah berpindah dari prinsip makro ke tata kelola operasional. Hong Kong Tiongkok sedang berpindah dari tahap uji coba ke penerapan yang bertanggung jawab, sementara regulasi di daratan semakin rinci, terutama dalam hal tata kelola konten, pemrosesan data, kewajiban pendaftaran, dan regulasi model. Artikel ini akan membahas dinamika regulasi utama serta langkah praktis yang harus diambil oleh lembaga keuangan dalam lingkungan yang cepat berubah ini.

Hong Kong: Dari Uji Coba Menuju Aplikasi Terstruktur

Perkembangan terbaru di Hong Kong menunjukkan bahwa bidang jasa keuangan sedang mendorong penerapan AI generatif dengan cara yang lebih matang dan pragmatis. Fokus regulasi berada pada apakah lembaga keuangan dapat menerapkan teknologi terkait secara bertanggung jawab, terkendali, berfokus pada perlindungan investor, dan mampu melewati tinjauan regulasi.

Laporan yang diterbitkan oleh Otoritas Moneter Hong Kong (“AMH”) pada April 2025 berjudul “Generasi Baru AI: Mendorong Penerapan AI yang Bertanggung Jawab dalam Jasa Keuangan” [3] menunjukkan bahwa pemahaman Hong Kong terhadap AI generatif sedang berubah—75% lembaga keuangan yang disurvei telah menerapkan atau sedang mengembangkan aplikasi AI, dan diprediksi akan mencapai 87% dalam tiga hingga lima tahun mendatang.

Sementara itu, panduan praktis menjadi semakin spesifik. Misalnya, Kantor Komisaris Privasi Data Perorangan Hong Kong pada Maret 2025 merilis Daftar Periksa Panduan Penggunaan AI Generatif oleh Karyawan [4], yang mengubah perhatian terhadap privasi dan tata kelola menjadi langkah-langkah kontrol operasional yang konkret. Daftar periksa tersebut menyarankan penyusunan kebijakan yang jelas mengenai penggunaan alat, input data, penyimpanan dan retensi output, verifikasi, koreksi bias dan pelaporan, watermark dan label, akses perangkat, serta pelaporan insiden.

Pedoman Teknologi dan Aplikasi Kecerdasan Buatan Generatif Hong Kong, yang pertama kali diterbitkan pada April 2025 dan diperbarui pada Desember tahun yang sama oleh Kantor Kebijakan Digital Hong Kong [5], memberikan panduan praktik terbaik lebih lanjut yang menekankan prinsip-prinsip seperti keadilan, transparansi, hak pilihan pengguna, dan koreksi bias. Lembaga keuangan yang menggunakan AI generatif untuk interaksi pelanggan, mesin rekomendasi, dukungan kesesuaian, klasifikasi internal, atau penyaringan risiko harus memandang pedoman ini sebagai bagian penting dari kerangka kepatuhan menyeluruh.

Perkembangan penting lainnya adalah perluasan kerangka regulasi AI generatif di Hong Kong. Seperti yang kami sampaikan dalam artikel Januari 2025, Otoritas Moneter Hong Kong bekerja sama dengan Cyberport pada tahun 2024 untuk meluncurkan GenA.I. Sandbox, yang menyediakan lingkungan terkendali bagi lembaga yang diakui untuk mengembangkan dan menguji kasus penggunaan inovatif AI generatif di perbankan.

Pada Oktober 2025, Otoritas Moneter Singapura merilis Laporan Sandbox GenA.I. Tahap Pertama [6], yang menunjukkan bahwa manajemen risiko, langkah-langkah anti-penipuan, dan pengalaman pelanggan sebagai tiga bidang pengujian utama, sekaligus mengidentifikasi tantangan teknis dan tata kelola seperti ilusi konten dan kesalahan informasi. Ini menandai pergeseran fokus regulasi dari mendorong inovasi menuju pemahaman bagaimana mengintegrasikan AI generatif secara aman ke dalam operasi perbankan.

Selain itu, fase kedua dari program GenA.I. Sandbox yang diluncurkan pada Oktober tahun yang sama mencerminkan pergeseran signifikan dari pengujian kemampuan AI menuju implementasi yang aman dan andal. MAS memilih 27 kasus penggunaan yang melibatkan 20 bank dan 14 mitra teknologi, dengan penekanan kuat pada tata kelola AI proaktif, deteksi kualitas otomatis, dan simulasi adversarial untuk meningkatkan kemampuan mencegah penipuan deepfake. Ini menandai transisi jelas menuju kesiapan peluncuran, efektivitas kontrol, dan mitigasi risiko yang didorong oleh AI.

Pada Maret 2026, Otoritas Moneter Singapura, bersama dengan Komisi Pengawas Sekuritas dan Perdagangan Berjangka, Otoritas Pengawas Asuransi, dan Otoritas Manajemen Dana Pensiun Wajib, meluncurkan GenA.I. Sandbox++, memperluas kerangka kerja ke sektor sekuritas, aset dan manajemen kekayaan, asuransi, dana pensiun wajib, dan alat pembayaran penyimpanan nilai. Kerangka ini mempertahankan tiga bidang inti—manajemen risiko, anti-penipuan, dan pengalaman pelanggan—sekaligus secara jelas melanjutkan strategi pengawasan “AI melawan AI,” yaitu memanfaatkan AI untuk mengelola risiko terkait AI.

Pada November 2025, Otoritas Moneter Singapura meluncurkan strategi "Fintech 2030", yang mencakup strategi "Artificial Intelligence x Licensed Institutions" yang bertujuan untuk mendorong penerapan luas dan bertanggung jawab atas kecerdasan buatan di sektor keuangan, serta mempromosikan pengembangan infrastruktur bersama dan model industri yang dapat diskalakan. Dari sudut pandang hukum dan regulasi, strategi ini memperkuat pesan penting: tata kelola AI bukan lagi isu inovasi yang terpisah, tetapi harus diintegrasikan ke dalam arsitektur perusahaan, ketahanan bisnis, perlindungan pelanggan, dan kesiapan regulasi.

Pada Maret 2026, Monetary Authority of Singapore mengeluarkan surat edaran kepada semua lembaga yang diakui mengenai model bisnis di bawah transformasi digital[7], menunjukkan bahwa teknologi baru termasuk artificial intelligence agen sedang mempercepat transformasi digital. Surat edaran tersebut menjelaskan harapan Monetary Authority of Singapore terhadap semua lembaga yang diakui—untuk secara aktif mengevaluasi dan menyesuaikan model bisnis jangka panjang mereka guna menghadapi perubahan teknologi. Selain hal-hal lain, surat edaran tersebut menuntut agar dewan direksi setiap lembaga yang diakui mengawasi dan menyetujui rencana strategis resmi mengenai transformasi digital dan digitalisasi keuangan sebelum 9 September 2026. Rencana strategis ini harus mengidentifikasi peluang penyesuaian atau transformasi dalam hal penyediaan produk, model pendapatan, interaksi pelanggan, manajemen risiko, dan operasional. Untuk informasi lebih lanjut mengenai surat edaran transformasi digital Monetary Authority of Singapore, lihat infografis kami.[8]

Tren regulasi Hong Kong terbaru menunjukkan bahwa lembaga keuangan harus membangun kerangka komprehensif yang mencakup data, ketahanan teknologi, tata kelola, dan akuntabilitas, serta mengelola penggunaan AI generatif sepanjang siklus hidupnya dengan cara yang ketat dan dapat diaudit.

Dalam praktiknya, ini mencakup poin-poin berikut:

(Pemisahan skenario aplikasi) Harus secara cermat membedakan berbagai skenario penyebaran. Alat internal, aplikasi pelanggan, alat pemantauan dan pengawasan, kasus dukungan keputusan, dan model pihak ketiga dapat menimbulkan pertimbangan hukum dan risiko yang berbeda; menggolongkannya secara umum sebagai satu kategori “penggunaan AI” mungkin tidak cukup untuk memenuhi persyaratan;

(Titik fokus tata kelola) Lembaga harus memasukkan masalah yang biasanya digambarkan sebagai murni teknis (seperti desain prompt, mekanisme pencarian, pemrosesan output, validasi model, ambang laporan, dan tinjauan manusia) ke dalam cakupan tata kelola;

(Penyelarasan Kebijakan) Lembaga harus menyelaraskan kebijakan internal mereka dengan istilah dan perhatian yang saat ini terlihat dalam panduan Hong Kong, termasuk penerapan yang bertanggung jawab, keadilan, akurasi, transparansi, privasi, akuntabilitas, dan respons insiden;

(Penyeimbangan regulasi) Institusi harus bersiap menghadapi penyempitan ruang antara dukungan inovasi dan tinjauan regulasi. Meskipun partisipasi dalam sandbox dan interaksi regulasi lainnya dapat mempercepat peluncuran, hal ini juga berarti persyaratan tata kelola yang lebih tinggi; serta

(Komunikasi Regulasi) Partisipasi dalam proyek sandbox dan uji coba harus dianggap sebagai kegiatan persiapan regulasi, bukan hanya peluang inovasi. Sebelum berkomunikasi dengan otoritas regulasi, lembaga harus memastikan tanggung jawab dan otorisasi yang jelas, pengujian dan verifikasi yang terdokumentasi (termasuk kontrol terhadap penyimpangan dan ilusi), tinjauan manusia yang jelas serta kondisi pemicu pelaporan, serta seperangkat dokumen bukti lengkap untuk keperluan tinjauan.

Daratan Tiongkok: Menuju jalur regulasi yang operasional dan berorientasi pada aturan

Kerangka regulasi AI generatif di daratan Tiongkok terus berkembang menuju arah yang lebih operasional, berbasis aturan, dan berorientasi regulasi. Bagi lembaga keuangan, masalah praktis tidak lagi hanya tentang apakah suatu alat AI diizinkan untuk digunakan, tetapi apakah lembaga keuangan dapat membuktikan bahwa kasus penggunaan terkait telah diklasifikasikan dengan tepat, telah didaftarkan bila diperlukan, didukung dengan kontrol data yang sesuai, serta dipantau sepanjang siklus hidupnya.

Ini sangat penting karena batasan regulasi kini menjadi semakin halus. Perkembangan terbaru dalam pelabelan konten yang dihasilkan AI, pendaftaran algoritma dan model, penilaian keamanan, standar nasional, serta tata kelola data di industri keuangan semuanya menunjukkan arah yang sama: kepatuhan AI di daratan Tiongkok semakin menekankan pada penerapan bukti.

Metode Penandaan Konten yang Dihasilkan dan Disintesis oleh Kecerdasan Buatan, yang dikeluarkan secara bersama oleh Kantor Informasi Internet Nasional, Kementerian Industri dan Teknologi Informasi, Kementerian Keamanan Publik, dan Administrasi Radio dan Televisi Nasional, mengubah tingkat transparansi dan perhatian tata kelola yang tinggi menjadi persyaratan penandaan konten dan metadata yang spesifik dan dapat dioperasikan.

Inti dari metode ini adalah sistem pelabelan ganda, yang mengharuskan penerapan simultan:

a) Label eksplisit yang terlihat oleh pengguna; serta

b) Menandai secara implisit dengan menyematkan metadata file untuk mencapai pelacakan.

Metode pelabelan ganda ini mencerminkan harapan regulasi yang jelas, yaitu transparansi kepada pengguna dan kemampuan pelacakan backend untuk regulasi, penegakan hukum, dan akuntabilitas harus berjalan secara paralel. Penting untuk dicatat, pendekatan ini juga memperluas tanggung jawab ke seluruh nilai rantai konten AI. Secara ringkas:

Penyedia layanan generasi konten harus menerapkan pelabelan konten (termasuk pelabelan eksplisit dan implisit) selama tahap generasi konten, memastikan akurasi dan keberlanjutan pelabelan, serta mendukung kemampuan pelacakan dan akuntabilitas ketika konten yang dihasilkan AI mengalami tinjauan atau penyelidikan regulasi;

Platform penyebaran konten harus mengenali, menyimpan, dan menampilkan label yang melekat pada konten yang dihasilkan AI, mencegah dan menangani tindakan penghapusan, pemalsuan, atau penyalahgunaan label secara sengaja, serta bekerja sama dengan otoritas pengawas dalam pengawasan, termasuk pengawasan terkait pelacakan dan keterlacakan konten; serta

Pengguna tidak boleh secara sengaja menghapus, mengubah, menyembunyikan, atau memalsukan tanda yang jelas, tidak boleh secara sengaja mengubah tanda implisit atau penanda teknis, tidak boleh secara menyesatkan menyatakan konten yang dihasilkan AI sebagai karya manusia, dan tidak boleh menggunakan konten sintetis dengan cara yang menghindari pelacakan atau regulasi.

Metode ini lebih lanjut membedakan konten yang telah dikonfirmasi, kemungkinan, dan diduga dihasilkan oleh AI untuk mendukung tata kelola dan regulasi yang tepat. Kategori-kategori ini tidak memberikan kewajiban umum untuk mendeteksi AI kepada platform penyebaran atau pengguna. Sebaliknya, metode ini mengakui adanya tingkat kepastian sumber konten yang berbeda, dan kewajiban penandaan hanya berlaku untuk konten yang telah dikonfirmasi dihasilkan oleh AI yang berasal dari penyedia layanan generasi konten AI yang diatur.

Secara keseluruhan, metode ini menandai peralihan menuju model tata kelola berbasis siklus hidup dan pembagian tanggung jawab, di mana pelabelan konten dan keterlacakan diposisikan sebagai kontrol kepatuhan dasar untuk manajemen risiko konten sintetis dalam kerangka regulasi yang terus berkembang di Tiongkok daratan.

Meskipun operasional semakin memperhatikan pelabelan konten dan jejak yang dapat dilacak, pendaftaran algoritma dan model tetap menjadi pilar utama dalam kerangka regulasi AI di Tiongkok daratan. Meskipun undang-undang dan peraturan terkait belum mengalami revisi besar baru-baru ini, praktik dan implementasi regulasi terus berkembang.

Observasi berikut patut mendapat perhatian khusus dari lembaga keuangan:

1. Pendaftaran algoritma dan pendaftaran model adalah dua proses regulasi yang terpisah namun dapat tumpang tindih. Dalam kondisi tertentu, sebagian penyedia layanan AI generatif mungkin harus memenuhi kewajiban "pendaftaran ganda" yang mencakup tingkat algoritma dan tingkat model.
2. Beberapa aplikasi layanan keuangan menghadapi ketidakpastian regulasi yang lebih besar. Pendekatan regulasi terhadap pendaftaran model yang terkait dengan kasus penggunaan layanan keuangan tertentu masih berkembang. Berdasarkan catatan pendaftaran yang dapat diakses publik, kasus sukses dalam persetujuan algoritma atau model yang secara langsung digunakan untuk fungsi-fungsi seperti penilaian risiko keuangan, keputusan kredit atau pinjaman, atau aktivitas perdagangan berbasis AI, terbatas. Mengingat dampak potensialnya terhadap stabilitas pasar dan perlindungan konsumen, kasus penggunaan semacam ini tampaknya menghadapi pemeriksaan yang lebih ketat.
3. Beberapa kasus penggunaan berorientasi pelanggan memiliki tren pendaftaran yang lebih matang. Informasi pendaftaran yang dapat diakses publik menunjukkan bahwa sejumlah algoritma dan model terkait aplikasi berorientasi pelanggan telah mendapat persetujuan, misalnya layanan pelanggan dan asisten berbasis AI, serta beberapa alat analisis keuangan atau sekuritas yang didukung AI. Perlu dicatat bahwa kasus penggunaan semacam ini biasanya ditandai dengan fungsi generasi konten atau dukungan informasi, bukan aktivitas pengambilan keputusan langsung atau penanggungan risiko.

Aktivitas penegakan hukum terbaru menunjukkan bahwa persetujuan regulasi atau pendaftaran selesai tidak dianggap sebagai hasil akhir atau statis. Bagi lembaga yang menyediakan layanan rekomendasi algoritmik atau layanan AI generatif, harapan berlaku sepanjang siklus hidup sistem. Ketika terjadi kondisi pemicu hukum atau regulasi (misalnya, perubahan penggunaan, perubahan fungsi model, perubahan sumber data, perubahan cakupan pengguna atau saluran penyebaran), lembaga mungkin perlu melakukan penilaian keamanan tambahan sesuai kebijaksanaan, memperbarui pendaftaran yang ada, atau secara proaktif berkomunikasi dengan otoritas regulasi.

Tren ini diperkuat oleh inisiatif penegakan hukum yang lebih luas. Pada April 2025, Kantor Informasi Internet Nasional meluncurkan kampanye nasional selama tiga bulan bernama "Jernih·Pemberantasan Penyalahgunaan Teknologi AI", di mana otoritas regulator mengambil tindakan terhadap sejumlah besar produk AI dan konten terkait yang tidak sesuai. Hal ini jelas menunjukkan bahwa kepatuhan AI kini telah tertanam secara kuat dalam aktivitas penegakan regulasi rutin, bukan lagi dianggap sebagai masalah eksceptional atau transisional. Kegagalan untuk mempertahankan kepatuhan berkelanjutan dapat meningkatkan eksposur terhadap risiko seperti panggilan regulasi, peringatan resmi, perintah perbaikan, sanksi administratif, serta risiko reputasi terkait.

Selain pelabelan konten, pendaftaran, dan penilaian keamanan, batasan regulasi yang lebih luas terhadap AI generatif di daratan Tiongkok terus memperluas cakupan dan tingkat ketelitiannya. Alat dan inisiatif regulasi terbaru menunjukkan bahwa otoritas regulasi secara bertahap memperluas fokus mereka dari keamanan konten dan kepatuhan teknis menuju dampak perilaku, tata kelola etika, dan manajemen risiko berbasis skenario, terutama dalam situasi berisiko tinggi.

Salah satu dimensi penting dari evolusi ini adalah meningkatnya interaksi antara tata kelola AI generatif dan kerangka tinjauan etika teknologi dengan persyaratan perlindungan informasi pribadi di bawah Undang-Undang Perlindungan Informasi Pribadi. Meskipun kedua sistem ini bukanlah hal baru, penerapannya dalam kasus penggunaan AI menjadi semakin terlihat dan operasional. Secara khusus, ketika sistem AI melibatkan pemrosesan informasi pribadi, keputusan otomatis, atau fungsi yang berpotensi berdampak signifikan terhadap hak individu, otoritas regulasi semakin mengharapkan lembaga tidak hanya mengevaluasi legalitas dan keamanan, tetapi juga keadilan, kejelasan, serta risiko etika.

Peraturan Sementara tentang Tinjauan Etika dan Layanan Teknologi Kecerdasan Buatan, yang dikeluarkan secara bersama oleh beberapa departemen pada April 2026, menunjukkan bahwa beberapa pengembangan dan aplikasi AI berisiko tinggi—terutama yang melibatkan data pribadi sensitif, intervensi perilaku, atau dampak sosial skala besar—mungkin memerlukan tinjauan etika terstruktur atau evaluasi ahli dalam kerangka kepatuhan yang lebih luas. Kebutuhan akan tinjauan semacam ini akan bergantung pada kasus penggunaan spesifik, data yang terlibat, dan lingkungan penyebaran, dan harus dievaluasi secara kasus per kasus.

Bagi lembaga keuangan, dampak kepatuhan langsung dari pendekatan ini mungkin terbatas. Namun, sebagai sinyal arah regulasi, perkembangan ini memiliki signifikansi penting. Hal ini menunjukkan bahwa regulasi AI di daratan Tiongkok sedang berpindah dari kewajiban umum menuju persyaratan berbasis skenario, berbasis fungsi, dan berorientasi pada dampak pengguna, di mana tata kelola AI generatif semakin diharapkan untuk melampaui ketahanan teknis dan meluas ke desain interaksi manusia-mesin, langkah-langkah jaminan, dan mekanisme pembaruan.

Selain langkah hukum dan administratif resmi, standar nasional memainkan peran yang semakin penting dalam membentuk harapan kepatuhan praktik AI. Di bidang AI generatif, otoritas regulasi telah menerbitkan sejumlah standar nasional yang memberikan panduan mengenai evaluasi keamanan pembelajaran mesin, pelabelan konten sintetis, keamanan data pelatihan, dan persyaratan layanan dasar. Standar nasional lebih lanjut terkait keamanan AI model sebagai layanan, evaluasi kemampuan operasi siklus hidup yang aman, dan aplikasi AI berbasis agen sedang disusun.

Standar nasional ini berfungsi sebagai ukuran regulasi, memberikan panduan kepada lembaga regulasi tentang cara mengevaluasi secara praktis kelayakan langkah-langkah keamanan, pengaturan tata kelola, dan kontrol operasional. Seiring berjalannya waktu, mereka dapat memainkan pengaruh yang semakin penting di bidang regulasi dan penegakan hukum, membentuk harapan terhadap apa yang dianggap sebagai langkah-langkah "tepat" untuk sistem AI.

Sejalan dengan langkah khusus AI, pengawasan industri keuangan di Tiongkok daratan semakin memperkuat harapan terkait tata kelola data dan model, yang secara langsung memengaruhi penerapan AI generatif. Secara khusus:

a) Persyaratan keamanan data dan tata kelola siklus hidup data semakin diperketat. Peraturan Manajemen Keamanan Data di Bidang Bisnis Bank Rakyat Tiongkok yang dikeluarkan oleh Bank Rakyat Tiongkok pada 1 Mei 2025 mewajibkan lembaga keuangan untuk menerapkan klasifikasi dan tingkatan data, membangun dan memperbarui daftar data secara berkala, mengidentifikasi data pribadi, sensitif, dan penting, menetapkan tanggung jawab internal, serta mengambil langkah-langkah manajemen keamanan data sepanjang siklus hidup; serta

b) Tata kelola model dan pengawasan terpusat kini menjadi prioritas regulasi. Pada Desember 2025, Administrasi Negara untuk Pengawasan Keuangan merilis "Rencana Implementasi Pengembangan Digital Keuangan Berkualitas Tinggi untuk Sektor Perbankan dan Asuransi", yang mendorong lembaga untuk membangun platform manajemen AI dan model tingkat perusahaan guna mendukung pengembangan, peluncuran, dan pemantauan terpusat model.

Secara keseluruhan, tren regulasi ini menunjukkan bahwa penerapan AI di industri keuangan semakin diharapkan untuk disertai dengan tata kelola berbasis model siklus hidup terstruktur, titik intervensi manusia yang jelas, serta pengawasan yang diperkuat terhadap pemasok dan penyedia teknologi outsourching. Oleh karena itu, kepatuhan AI di Tiongkok daratan semakin sejalan dengan norma kontrol industri keuangan yang telah mapan, dengan penekanan yang semakin besar pada kedewasaan tata kelola, kualitas dokumentasi, dan kesiapan regulasi.

Perkembangan terbaru menunjukkan bahwa Tiongkok daratan sedang memperdalam implementasi regulasi AI. Konsep makro seperti keamanan, transparansi, dan penggunaan data yang bertanggung jawab tetap penting, tetapi tekanan regulasi semakin terfokus pada bagaimana lembaga secara praktis mencatat, membuktikan, dan mengoperasionalkan konsep-konsep tersebut.

Bagi lembaga keuangan, penerapan AI di daratan Tiongkok harus didukung oleh tata kelola terstruktur, kontrol siklus hidup, dan dokumentasi yang dapat dipertanggungjawabkan. Lembaga keuangan yang mengintegrasikan analisis dokumentasi, tata kelola data, penilaian keamanan, manajemen risiko model, dan pengawasan pemasok ke dalam desain dan operasi sistem AI sejak awal akan lebih mampu memperluas penerapan AI secara bertanggung jawab.

Perspektif Global: Pemantauan, Konsentrasi, dan Ketergantungan

Di luar Hong Kong dan Tiongkok daratan, laporan Financial Stability Board berjudul “Monitoring AI Adoption in the Financial Sector and Associated Vulnerabilities” yang diterbitkan pada Oktober 2025 menekankan bahwa AI dalam sektor keuangan bukan hanya masalah perilaku atau teknis, tetapi juga masalah stabilitas keuangan. Laporan ini secara khusus menyoroti kecepatan perkembangan model AI, ketergantungan yang semakin meningkat terhadap penyedia pihak ketiga, serta rantai pasokan yang terus berkembang, serta kebutuhan otoritas untuk memantau penerapan, mengisi kesenjangan data, dan memahami kerentanan terkait ketergantungan pihak ketiga dan risiko konsentrasi. Implikasi bagi institusi adalah bahwa tata kelola AI harus melampaui kebijakan etika dan dokumentasi model, serta mencakup pengoutsourcingan, ketahanan operasional, dan risiko ekosistem. Contohnya: ketergantungan pada sejumlah kecil penyedia model dasar, platform cloud, pemasok data, dan lapisan integrasi AI; keterbatasan visibilitas terhadap sumber data pelatihan dan siklus pembaruan model; serta risiko gangguan oleh satu penyedia, perubahan model, atau insiden keamanan yang secara bersamaan memengaruhi banyak institusi.

Perhatian regulasi dapat meluas dari output model tunggal ke lingkungan kontrol yang lebih luas, termasuk hak kontrak dan audit, manajemen perubahan dan kontrol rilis, kelangsungan bisnis dan perencanaan alternatif, portabilitas data, pelaporan insiden, serta pemantauan berkelanjutan terhadap kinerja pihak ketiga dan eksposur konsentrasi.

Dampak praktis terhadap lembaga keuangan

Kerangka regulasi saat ini tidak menghasilkan daftar universal tunggal. Harapan hukum dan regulasi akan bervariasi tergantung pada industri, model bisnis, kasus penggunaan, jejak operasional, dan desain penyebaran. Meskipun demikian, perkembangan terbaru menunjukkan sejumlah agenda praktis yang sekarang seharusnya dipertimbangkan oleh banyak lembaga keuangan.

1. (Governance dan Pengawasan) Dewan direksi dan manajemen puncak harus memastikan adanya akuntabilitas, jalur pelaporan, dan kerangka persetujuan yang jelas untuk kasus penggunaan AI yang signifikan;
2. (Evaluasi kasus penggunaan) Institusi harus memastikan bahwa kasus penggunaan dengan dampak besar menerima tinjauan hukum, kepatuhan, risiko model, dan teknis yang diperkuat;
3. (Data dan Privasi) Prompt, proses pencarian, dan pelatihan harus ditinjau sejalan dengan tata kelola data dan kewajiban kerahasiaan yang lebih luas;
4. (Transparansi dan pemrosesan output) Lembaga harus meninjau apakah pengungkapan kepada pelanggan, panduan karyawan, pelabelan output, dan proses kontrol kualitas sesuai tujuannya;
5. (Risiko pihak ketiga dan outsource) Due diligence pemasok, pengendalian kontrak, perencanaan alternatif, dan pemantauan berkelanjutan harus diperkuat; serta
6. (Pengujian, pemantauan, dan pelaporan insiden) Jadwal pengujian, pencatatan, pemantauan model, dan pelaporan insiden harus sebanding dengan kasus penggunaan.

Penerapan AI generatif tunggal dapat melibatkan berbagai aspek seperti data pribadi, kerahasiaan perbankan, kekayaan intelektual, komunikasi pelanggan, validasi model, ketahanan operasional, pengoutsourcingan, dan penyimpanan catatan. Oleh karena itu, menyerahkan masalah-masalah ini kepada satu tim inovasi atau teknologi saja biasanya tidak cukup.

Pengawasan manusia juga sangat penting. Untuk kasus penggunaan berisiko tinggi, penyebutan umum tentang “siklus partisipasi manusia” mungkin tidak meyakinkan, kecuali lembaga dapat menjelaskan kapan audit diperlukan, siapa yang bertanggung jawab untuk audit, apa yang harus diperiksa oleh auditor, bagaimana audit dicatat, dan kapan trigger atas atau penangguhan diaktifkan.

Observasi Praktik Tata Kelola AI oleh Lembaga Keuangan Global

Berdasarkan tinjauan selektif dan tidak komprehensif terhadap praktik tata kelola AI di lembaga keuangan global tertentu, kami membuat pengamatan umum berikut. Harap dicatat bahwa pengamatan ini bersifat tingkat tinggi dan bersifat ilustratif. Tidak ada pendekatan satu ukuran untuk semua dalam tata kelola AI; kerangka setiap lembaga keuangan biasanya mencerminkan pertimbangan komprehensif terhadap berbagai faktor, termasuk peraturan dan ekspektasi regulasi yang berlaku di yurisdiksi terkait, struktur organisasi, preferensi risiko, tahap kedewasaan teknologi, serta sifat penggunaan AI.

Struktur tata kelola tiga lapisan sedang terbentuk secara umum: banyak lembaga mengadopsi model tata kelola “tiga garis pertahanan/tiga lapisan” yang disesuaikan untuk AI. Di tingkat operasional, kasus penggunaan AI biasanya diajukan dan dikembangkan oleh berbagai departemen bisnis secara terdesentralisasi. Di tingkat menengah, lembaga biasanya membentuk komite lintas fungsi (seperti Komite Tata Kelola AI atau Dewan AI Bertanggung Jawab), yang terdiri dari perwakilan senior dari tim risiko, kepatuhan, data, teknologi, dan bisnis, yang bertanggung jawab untuk meninjau, menyetujui, dan memantau kasus penggunaan AI. Di tingkat tertinggi, dewan direksi atau komite setingkat dewan (biasanya komite risiko atau teknologi yang sudah ada, bukan dewan AI khusus baru yang dibentuk di tingkat dewan) mempertahankan pengawasan akhir atas strategi, risiko, dan tata kelola AI.

Lembaga biasanya tidak menganggap tata kelola AI sebagai kerangka terpisah: sebaliknya, AI biasanya diintegrasikan ke dalam struktur tata kelola yang sudah ada, khususnya kerangka manajemen risiko model, risiko operasional, tata kelola teknologi, dan tata kelola data. Banyak lembaga memandang model AI sebagai perluasan dari kerangka risiko model, sehingga model tersebut tunduk pada proses verifikasi, pemantauan, dan tinjauan berkala yang serupa dengan model tradisional, sekaligus menyesuaikan proses-proses ini untuk mengatasi risiko khas AI, seperti interpretabilitas, bias, dan model drift.

Peningkatan kepedulian terhadap prinsip "AI yang Bertanggung Jawab" internal: Banyak lembaga telah menetapkan prinsip atau standar tata kelola AI internal sebagai persyaratan dasar untuk semua penggunaan AI. Meskipun istilahnya berbeda, prinsip-prinsip ini umumnya sepakat pada tema-tema umum berikut:

• Kesetaraan dan menghindari hasil bias atau diskriminatif;
• Transparansi dan interpretabilitas output dan batasan model;
• Tata kelola data, kerahasiaan, dan perlindungan privasi; serta
• Continuous testing, monitoring, and model performance validation.

Prinsip-prinsip ini semakin dioperasionalisasi melalui kebijakan internal, kerangka kontrol, dan alur kerja persetujuan, bukan hanya tetap pada pernyataan deklaratif semata.

Tata kelola lintas fungsi adalah fitur inti: tata kelola AI jarang terbatas pada satu fungsi saja. Institusi biasanya melibatkan berbagai pemangku kepentingan dari tim data, teknologi, hukum, kepatuhan, risiko, dan bisnis. Komite tata kelola AI khusus atau pusat keunggulan sering digunakan untuk mengoordinasikan fungsi-fungsi ini, menyusun standar bersama, dan memastikan konsistensi di antara berbagai kasus penggunaan. Di beberapa institusi, fungsi AI terpusat menyusun kebijakan dan alat seluruh perusahaan, sementara departemen bisnis tetap bertanggung jawab atas implementasi.

Komite persetujuan berdasarkan contoh tidak memiliki pendekatan seragam: meskipun sebagian institusi membentuk komite resmi untuk meninjau kasus penggunaan AI tertentu, institusi lain mengandalkan proses persetujuan yang sudah ada (seperti komite risiko model atau forum perubahan teknis). Di institusi global besar, cenderung mengintegrasikan AI ke dalam infrastruktur tata kelola yang sudah ada, daripada menciptakan lembaga persetujuan baru, yang mencerminkan bahwa risiko AI harus dikelola sebagai bagian dari kerangka risiko perusahaan yang lebih luas.

Tata kelola siklus hidup semakin mendapat perhatian: Tata kelola AI tidak terbatas pada persetujuan awal. Lembaga semakin menekankan kontrol siklus hidup end-to-end, termasuk:

• Klasifikasi kasus dan tingkat risiko;
• Pengujian dan verifikasi sebelum deployment;
• Pemantauan kinerja berkelanjutan dan deteksi drift;
• Ambang batas intervensi manual dan pelaporan yang jelas; serta
• Proses tinjauan berkala, pelatihan ulang, dan pensiun.

Ini mencerminkan pergeseran yang lebih luas dari kontrol statis menuju pengawasan berkelanjutan.

Pengawasan manusia tetap menjadi mekanisme kontrol inti: berbagai lembaga secara umum menyadari bahwa pengawasan manusia sangat penting, terutama untuk kasus penggunaan berisiko tinggi. Namun, kerangka yang lebih matang telah melampaui konsep umum "siklus partisipasi manusia", berusaha menentukan secara lebih tepat kapan audit diperlukan, siapa yang bertanggung jawab untuk audit, standar apa yang harus diterapkan, serta bagaimana cara mencatat dan membuktikan hal tersebut.

Tata kelola data dan interpretabilitas model adalah bidang prioritas: berbagai lembaga secara umum menekankan tantangan terkait kualitas data, sumber, dan kontrol akses, serta interpretabilitas model kompleks. Hal ini sering dianggap sebagai masalah tata kelola inti, bukan semata pertimbangan teknis, terutama dalam lingkungan jasa keuangan yang diatur di mana interpretabilitas dan auditabilitas terkait erat dengan harapan regulasi.

Kerangka tata kelola terus berkembang seiring dengan penggunaan dan harapan regulasi: sebagian besar institusi masih terus mengembangkan kerangka tata kelola AI mereka. Seiring perluasan penggunaan AI—terutama di bidang interaksi pelanggan, dukungan pengambilan keputusan, dan manajemen risiko—kerangka tata kelola sedang disempurnakan untuk mengatasi risiko baru, perkembangan regulasi, dan pelajaran operasional. Oleh karena itu, tata kelola AI harus dipandang sebagai disiplin dinamis dan terus berkembang, bukan kerangka yang tetap.

Secara keseluruhan, pengamatan ini menunjukkan bahwa dunia sedang menuju konsensus dalam kerangka tata kelola AI yang terintegrasi, berbasis prinsip, dan berorientasi siklus hidup, yang berakar pada infrastruktur risiko dan kendali yang ada, tetapi semakin disesuaikan untuk mengatasi karakteristik dan risiko unik dari sistem AI.

Dalam artikel ini, "Hong Kong" merujuk pada Wilayah Administratif Khusus Hong Kong Republik Rakyat Tiongkok.