Saat ini, di suatu sudut perusahaan Anda, ada karyawan yang menempelkan kontrak pelanggan ke ChatGPT agar "lebih cepat diringkas." Mereka tidak bermaksud jahat. Mereka sedang berusaha membantu dan efisien. Dan tanpa sadar mereka mungkin sedang menyerahkan data rahasia perusahaan Anda ke pihak ketiga, tanpa ada seorang pun yang pernah memutuskan itu boleh dilakukan. Inilah inti sunyi dari risiko privasi data pada alat AI, dan hampir tidak ada UKM yang sudah punya aturan untuk ini.
Alat-alat ini memang benar-benar berguna, dan justru karena itulah persoalan ini mendesak. Tidak ada yang akan berhenti memakainya hanya karena ada kebijakan yang melarang. Jadi jawabannya bukan "larang AI." Jawabannya adalah memahami apa yang sebenarnya terjadi pada teks yang ditempel staf Anda, menentukan data mana yang tidak boleh keluar dari perusahaan, dan memberi semua orang satu aturan yang cukup sederhana untuk diikuti tanpa perlu berpikir panjang.
Mari saya jelaskan risikonya dengan bahasa yang mudah dipahami, lalu saya berikan sistem lampu lalu lintas yang bisa langsung Anda terapkan minggu ini.
Apa yang Sebenarnya Terjadi Saat Anda Menempel Teks
Ketika seorang karyawan menempelkan teks ke alat AI konsumen gratis, ada dua hal yang perlu diperhatikan sebuah bisnis, dan keduanya mudah dipahami.
Data pelatihan. Tergantung alat dan pengaturannya, teks yang Anda kirimkan mungkin dipakai untuk membantu melatih model tersebut. Dalam praktiknya, itu berarti kalimat rahasia Anda tidak lagi murni privat, melainkan sudah diserahkan ke perusahaan luar dengan syarat dan ketentuan yang hampir tidak pernah dibaca siapa pun. Untuk pertanyaan santai, ini tidak masalah. Untuk nomor identitas pelanggan atau kontrak yang sudah ditandatangani, ini adalah pembocoran data yang tidak pernah Anda setujui.
Penyimpanan. Bahkan ketika teks tidak dipakai untuk pelatihan, teks itu seringkali tetap tersimpan di server penyedia layanan untuk jangka waktu tertentu. Artinya data Anda kini berada di luar kendali Anda, tunduk pada standar keamanan perusahaan itu, yurisdiksi perusahaan itu, dan perubahan kebijakan perusahaan itu di masa depan. Jika mereka mengalami kebocoran data, data Anda ikut bocor.
Kedua hal ini tidak membuat alat AI menjadi jahat. Keduanya hanya menjadikan alat AI itu pihak ketiga, dan Anda sudah tahu aturan untuk pihak ketiga: Anda tidak sembarangan menyerahkan data sensitif kepada mereka. Masalahnya hanya karena menempelkan teks terasa privat dan personal, sehingga tidak ada yang menerapkan aturan yang jelas-jelas akan mereka terapkan seandainya file yang sama dikirim lewat email ke orang asing.
Data yang Tidak Boleh Keluar dari Perusahaan Anda
Sebelum menetapkan aturan, Anda harus dulu menentukan apa yang sedang Anda lindungi. Untuk UKM Indonesia pada umumnya, daftar "jangan pernah ditempel" itu singkat dan jelas:
- Data pribadi pelanggan atau staf. Nama yang terkait NIK, alamat, nomor telepon, tanggal lahir, apa pun yang mengidentifikasi orang sungguhan.
- Data keuangan. Detail rekening bank, nomor kartu, angka gaji, laporan keuangan rinci.
- Kontrak dan dokumen hukum. Perjanjian yang sudah ditandatangani, syarat yang masih dinegosiasikan, apa pun yang memuat ketentuan rahasia pihak lain.
- Kredensial dan rahasia sistem. Kata sandi, API key, detail sistem internal.
- Apa pun yang secara kontrak atau hukum wajib Anda lindungi, termasuk data yang tercakup dalam perjanjian kerahasiaan dengan klien.
Kalau data itu akan jadi masalah bila muncul di kotak masuk orang asing, maka data itu juga jadi masalah bila ditempel ke alat AI. Itulah satu-satunya ujian yang perlu Anda pakai.
Aturan Lampu Lalu Lintas yang Bisa Diikuti Seluruh Tim
Kebijakan gagal ketika terlalu panjang. Orang tidak membacanya dan tidak mengingatnya. Jadi padatkan semuanya menjadi tiga warna yang bisa diterapkan siapa pun dalam dua detik.
| Lampu | Arti | Contoh |
|---|---|---|
| Hijau | Aman ditempel bebas | Pertanyaan umum, informasi publik, materi pemasaran tanpa data pribadi, kode tanpa rahasia, contoh yang dianonimkan atau rekaan |
| Kuning | Hanya di alat bisnis resmi dengan kontrol data, tidak pernah di akun konsumen gratis | Draf internal, teks operasional yang tidak sensitif, pertanyaan pelanggan umum dengan identitas sudah dihapus |
| Merah | Tidak boleh ditempel ke alat AI eksternal apa pun | Data pribadi pelanggan, data keuangan, kontrak, kredensial, apa pun yang terikat kewajiban kerahasiaan |
Aturan yang Anda sampaikan ke staf cukup satu kalimat: kalau merah, jangan ditempel; kalau ragu, anggap merah dan tanya dulu.
Kebiasaan praktis yang membuat kategori kuning benar-benar bisa dijalankan adalah anonimisasi. Ajari tim Anda untuk menghapus dulu identitasnya sebelum menempel. "Ringkas kontrak ini untuk pelanggan Budi Santoso, NIK 3204..." diubah menjadi "ringkas kontrak ini untuk seorang pelanggan" dengan ketentuan spesifik yang sudah digeneralisasi. Alatnya tetap membantu. Detail privatnya tidak pernah keluar.
Membuat Aturan Ini Benar-Benar Melekat
Aturan di atas kertas tidak mengubah apa pun. Tiga langkah ini yang membuatnya nyata:
- Pilih alat resmi. Tentukan alat AI mana yang menjadi alat resmi perusahaan Anda, idealnya tingkat bisnis dengan kontrol data yang layak, bukan akun konsumen gratis, sehingga kategori "kuning" punya rumah yang aman.
- Latih sekali, singkat saja. Penjelasan lima belas menit tentang tiga lampu ini jauh lebih efektif daripada kebijakan sepuluh halaman yang tidak pernah dibuka siapa pun. Pakai contoh nyata dari bisnis Anda sendiri.
- Buat aman untuk bertanya. Orang menempelkan hal-hal berisiko ketika mereka takut terlihat lambat. Jadikan "saya cek dulu sebelum menempel" sebagai perilaku yang Anda apresiasi.
Ini bagian dari kebiasaan lebih besar untuk menyeriuskan keamanan dasar, yang kebanyakan bisnis kecil terus menunda sampai ada masalah yang benar-benar terjadi. Kalau itu menggambarkan bisnis Anda, Dasar-Dasar Keamanan Siber yang Sering Dilewatkan Bisnis Kecil dan Dasar Keamanan yang Terus Diabaikan Bisnis Kecil adalah bacaan lanjutan yang pas.
Yang Perlu Anda Lakukan Sekarang
Risiko privasi data pada alat AI bukan alasan untuk melarang alat itu. Ini alasan untuk memberi tim Anda aturan sebelum sebuah insiden yang memberi Anda aturan itu dengan cara yang jauh lebih mahal.
- Pahami bahwa teks yang ditempel bisa disimpan dan, tergantung pengaturan, dipakai untuk pelatihan. Itu adalah pihak ketiga.
- Tentukan daftar "jangan pernah ditempel": data pribadi, data keuangan, kontrak, kredensial, apa pun yang terikat kerahasiaan.
- Terapkan aturan lampu lalu lintas. Hijau bebas mengalir, kuning hanya masuk ke alat resmi dengan identitas terhapus, merah tidak pernah keluar sama sekali.
- Pilih satu alat resmi, latih tim dalam lima belas menit, dan apresiasi kebiasaan bertanya.
Lakukan ini sekarang, selagi biayanya hanya rapat singkat, daripada nanti, ketika biayanya adalah kontrak yang bocor dan telepon yang sangat tidak nyaman.