⚡ Jawaban Singkat / Key Takeaways: EU AI Act melarang total delapan praktik AI tertentu dalam kategori unacceptable risk. Sistem yang masuk kategori ini tidak bisa dinegosiasikan, tidak bisa diselamatkan dengan dokumentasi compliance, dan langsung terlarang mulai 2 Februari 2025. Tiga area paling ambigu bagi developer adalah social scoring, real-time biometric surveillance, dan AI manipulatif. Artikel ini memandu kamu melakukan klasifikasi selangkah demi selangkah supaya produkmu tidak masuk jurang larangan permanen.

Satu Fitur yang Bisa Membunuh Seluruh Produkmu

Kamu dan tim engineering sudah enam bulan membangun AI-driven employee engagement platform. Fiturnya keren: analisis mikro-ekspresi wajah saat meeting virtual buat ngukur tingkat stres dan engagement karyawan. Klien enterprise Eropa sudah tanda tangan LoI. Series A tinggal closing. Lalu legal counsel kamu membaca Article 5 EU AI Act sekali lagi. Tiba-tiba rapat berubah jadi sesi audit panik. Fitur andalanmu ternyata masuk kategori unacceptable risk: emotion recognition di tempat kerja. Dilarang total. Bukan soal compliance, bukan soal dokumentasi. Produkmu tidak boleh dijual di pasar Eropa. Sama sekali.

Ini bukan skenario fiksi. EU AI Act tidak hanya mengatur, tapi melarang total praktik AI tertentu. Dan tidak seperti high-risk AI yang masih bisa diselamatkan dengan conformity assessment, unacceptable risk berarti garis keras: tidak bisa masuk pasar EU, tidak bisa dipakai untuk user EU, titik. Denda? Tidak relevan karena produknya sendiri tidak boleh eksis.

Baca dulu checklist timeline lengkap EU AI Act biar kamu paham urutan enforcement-nya sebelum masuk ke detail klasifikasi.

Unacceptable risk: garis merah yang tidak bisa ditawar. Sistemmu langsung terlarang.

Tiga Lapisan Larangan: Bukan Cuma Satu Kategori

Kebanyakan artikel menyederhanakan unacceptable risk sebagai satu daftar. Padahal, Article 5 EU AI Act membaginya ke dalam tiga lapisan larangan yang masing-masing punya logika hukum berbeda. Kalau kamu cuma membaca ringkasan eksekutif, kamu bisa salah mengklasifikasikan produkmu. Ini ketiga lapisan itu:

Lapisan 1: Praktik Manipulatif dan Eksploitatif

Article 5(1)(a) melarang AI yang menggunakan teknik subliminal atau manipulatif untuk mengubah perilaku seseorang secara material, dengan dampak yang merugikan. Kuncinya di sini: sistem tersebut harus disengaja, dan korban tidak bisa membuat keputusan yang terinformasi. Contoh nyata: chatbot yang dirancang untuk mendorong pembelian produk keuangan berbahaya dengan mengeksploitasi cognitive bias pengguna. Atau voice assistant yang menyisipkan perintah suara tersembunyi yang tidak bisa didengar manusia.

Yang sering disalahpahami: dark pattern di UI bukan otomatis masuk unacceptable risk. Kalau manipulasi terjadi di level UX tanpa komponen AI, itu masuk ranah Digital Services Act atau GDPR. Tapi begitu AI-mu yang menganalisis profil psikologis pengguna dan menyesuaikan strategi persuasi secara personal dan otomatis, kamu sudah masuk zona larangan Article 5(1)(a).

Lapisan 2: Eksploitasi Vulnerabilitas

Article 5(1)(b) melarang AI yang mengeksploitasi kerentanan kelompok tertentu berdasarkan usia, disabilitas fisik atau mental. Yang bikin ini rumit: “kerentanan” (vulnerability) tidak didefinisikan secara rigid. Regulator bisa memperluas interpretasi ini ke kelompok lansia, penderita gangguan kognitif, atau bahkan pengguna yang sedang dalam kondisi stres finansial.

Contoh yang sudah jelas: AI-powered game yang menargetkan anak-anak dengan loot box yang dipersonalisasi berdasarkan behavioral analysis. Contoh yang lebih abu-abu: AI marketing yang mendeteksi pengguna sedang dalam kondisi emosional rendah (dari pola interaksi) dan menawarkan produk pinjaman berbunga tinggi. Ini zona yang harus kamu audit sangat hati-hati.

AI yang mengeksploitasi kondisi psikologis pengguna masuk unacceptable risk.

Lapisan 3: Social Scoring dan Surveillance Massal

Ini lapisan yang paling sering dibahas tapi juga paling sering disalahpahami. Article 5(1)(c) melarang social scoring oleh otoritas publik yang menilai individu berdasarkan perilaku sosial atau karakteristik kepribadian, menghasilkan perlakuan yang merugikan di luar konteks data awal dikumpulkan. Sementara Article 5(1)(d) sampai (h) melarang berbagai bentuk real-time biometric surveillance di ruang publik untuk penegakan hukum.

Poin kritis yang sering terlewat: social scoring di sektor privat tidak otomatis masuk unacceptable risk. Kalau perusahaan fintech memberikan credit score berdasarkan data transaksi, itu tidak dilarang, tapi masuk kategori high-risk Annex III point 5. Yang dilarang adalah social scoring oleh pemerintah yang mirip sistem kredit sosial ala China. Ini perbedaan fundamental yang harus dipahami compliance officer.

Tapi hati-hati: begitu scoring-mu mempertimbangkan “perilaku sosial” atau “karakteristik kepribadian” yang diprediksi AI, bahkan di sektor privat, batas ke unacceptable risk mulai kabur. Baca lebih detail tentang batas social scoring ini di panduan klasifikasi Annex III kami.

Real-Time Biometric Surveillance: Definisi yang Bikin Tim Legal Pusing

Larangan real-time biometric identification di ruang publik (Article 5(1)(d)) adalah salah satu pasal paling kontroversial. Tapi detail teknisnya sering terlewat. “Real-time” di sini berarti sistem yang menangkap, memproses, dan mengidentifikasi individu tanpa jeda signifikan. Kalau sistemmu hanya merekam footage dan identifikasi dilakukan nanti (post-event forensic analysis), statusnya berbeda.

EU AI Act secara eksplisit menyebut tiga pengecualian narrow untuk real-time biometric identification oleh penegak hukum: (1) pencarian korban penculikan atau human trafficking, (2) pencegahan ancaman teroris yang imminent, (3) identifikasi pelaku kejahatan serius tertentu. Tapi pengecualian ini sangat sempit dan membutuhkan otorisasi judicial terlebih dahulu.

Untuk developer computer vision: kalau model face recognition-mu digunakan oleh klien di Eropa untuk akses kontrol karyawan di gedung kantor, itu bukan unacceptable risk. Tapi kalau klien yang sama menggunakan modelmu untuk memindai wajah di jalan raya secara real-time, itu sudah masuk larangan. Tanggung jawab klasifikasi ada di provider dan deployer bersama-sama.

Biometric surveillance real-time di ruang publik adalah salah satu larangan paling keras di EU AI Act.

Step-by-Step: Klasifikasi Unacceptable Risk dalam 15 Menit

Ambil 15 menit sekarang. Ikuti alur keputusan ini untuk setiap sistem AI yang kamu develop atau deploy. Jangan skip satu langkah pun. Satu false negative bisa berarti larangan produk penuh di 27 negara EU.

Step 1: Apakah AI-mu Melakukan Subconscious Manipulation?

  • Cek apakah sistemmu menggunakan teknik di luar kesadaran pengguna (subliminal audio, hidden visual cues, audio frequencies di luar jangkauan pendengaran sadar).
  • Cek apakah sistemmu secara sengaja mendistorsi perilaku pengguna dengan cara yang menyebabkan kerugian material (fisik, psikologis, atau finansial).
  • Kalau YA pada kedua pertanyaan → Unacceptable Risk. Hentikan development.
  • Kalau tidak yakin, lanjut ke Step 2.

Step 2: Apakah AI-mu Mengeksploitasi Vulnerabilitas Kelompok Tertentu?

  • Apakah target audiens mencakup anak-anak, lansia, atau penyandang disabilitas?
  • Apakah sistemmu menggunakan behavioral profiling untuk mengeksploitasi kondisi psikologis mereka demi keuntungan komersial?
  • Kalau YA → Unacceptable Risk.
  • Kalau target audiens umum tanpa segmentasi berbasis kerentanan, lanjut ke Step 3.

Step 3: Apakah AI-mu Melakukan Social Scoring ala Pemerintah?

  • Apakah entitas yang mengoperasikan sistem adalah otoritas publik atau badan pemerintah?
  • Apakah sistem menilai individu berdasarkan perilaku sosial atau karakteristik kepribadian (bukan sekadar data transaksional atau finansial)?
  • Apakah hasil penilaian menyebabkan perlakuan merugikan di luar konteks data awal dikumpulkan?
  • Kalau YA pada ketiganya → Unacceptable Risk.
  • Kalau kamu perusahaan privat yang melakukan credit scoring biasa, lanjut ke Step 4.

Step 4: Apakah AI-mu Melakukan Real-Time Biometric Identification di Ruang Publik?

  • Apakah sistemmu menangkap data biometrik (wajah, iris, gait, suara) secara real-time?
  • Apakah lokasi penangkapan adalah ruang publik yang dapat diakses umum (jalan, taman, stasiun, mal)?
  • Apakah tujuannya untuk penegakan hukum (law enforcement)?
  • Kalau YA pada ketiganya → Unacceptable Risk, kecuali memenuhi tiga pengecualian sempit.
  • Kalau sistemmu untuk akses kontrol privat (kantor, pabrik), ini bukan unacceptable risk. Lanjut ke Step 5.

Step 5: Apakah AI-mu Melakukan Kategorisasi Biometrik Sensitif?

  • Apakah sistemmu mengkategorikan individu berdasarkan ras, orientasi politik, agama, orientasi seksual, atau afiliasi serikat pekerja?
  • Apakah kategorisasi ini menggunakan data biometrik?
  • Kalau YA pada keduanya → Kemungkinan Unacceptable Risk, cek Article 5(1)(f).
  • Kalau tidak, lanjut ke Step 6.

Step 6: Apakah AI-mu Melakukan Emotion Recognition di Tempat Kerja atau Pendidikan?

  • Apakah sistemmu mendeteksi emosi (afeksi, mood, tingkat stres) dari data biometrik atau behavioral?
  • Apakah deployment-nya di workplace atau institusi pendidikan?
  • Apakah tujuannya bukan untuk alasan medis atau keselamatan?
  • Kalau YA pada semuanya → Unacceptable Risk.
  • Ini salah satu larangan yang paling sering mengejutkan startup HR tech.
Enam langkah klasifikasi unacceptable risk. Jangan skip satu pun.

Emotion Recognition di Kantor: Larangan yang Paling Sering Mengejutkan

Dari semua poin di Article 5, larangan emotion recognition di workplace dan pendidikan adalah yang paling sering mengejutkan developer AI. Banyak startup HR tech dan edtech yang sudah membangun fitur ini, mengira hanya perlu compliance biasa. Faktanya, EU AI Act melarangnya total kecuali untuk keperluan medis atau keselamatan.

Yang harus kamu audit: apakah produkmu punya fitur yang membaca mikro-ekspresi wajah karyawan di Zoom meeting? Menganalisis nada suara customer service agent buat menghitung “engagement score”? Memonitor gelombang otak pelajar lewat EEG headband untuk mengukur fokus belajar? Kalau iya, dan fitur ini diekspos ke pasar EU, kamu punya masalah serius.

Pengecualiannya sangat sempit. Emotion recognition yang diizinkan: sistem untuk mendeteksi kelelahan pilot pesawat (keselamatan penerbangan), sistem untuk mendeteksi depresi klinis di setting healthcare (medis). Di luar itu, larangan berlaku penuh. Ini membuat banyak pitch deck startup HR tech yang menonjolkan “AI-powered employee sentiment analysis” menjadi tidak viable untuk pasar Eropa.

Jebakan Klasifikasi yang Bikin Produkmu Kena Larangan Ganda

Satu kesalahan mahal yang sering terjadi: tim compliance menganggap klasifikasi AI Act bersifat eksklusif. Padahal, satu sistem bisa masuk beberapa kategori sekaligus. Real-time biometric identification di ruang publik yang juga melakukan profiling berbasis ras, ditambah komponen emotion recognition. Satu produk, tiga larangan.

Ini bukan skenario akademis. Banyak sistem computer vision yang menggabungkan face detection, emotion analysis, dan demographic categorization dalam satu pipeline. Di EU AI Act, setiap lapisan harus diklasifikasikan secara terpisah. Kalau satu layer masuk unacceptable risk, seluruh sistem bisa kena larangan, meskipun layer lainnya harmless.

Strategi mitigasinya: unbundling. Pisahkan modul yang berpotensi unacceptable dari produk utama. Jangan mengemas semuanya sebagai satu produk monolitik. Ini bukan solusi sempurna, tapi bisa membatasi blast radius kalau satu modul kena klasifikasi larangan.

Timeline Enforcement: Kapan Larangan Ini Mulai Berlaku?

Unacceptable risk practices adalah gelombang pertama enforcement EU AI Act. Deadline-nya 2 Februari 2025, yang berarti sudah berlaku. Kalau produkmu saat ini mengandung fitur yang masuk kategori ini dan tersedia di pasar EU, kamu sudah melanggar. Tidak ada masa transisi tambahan untuk kategori ini.

Ini berbeda dengan high-risk AI yang deadline-nya Agustus 2026, atau GPAI model yang Agustus 2025. Larangan unacceptable risk adalah yang paling awal dan paling keras. Tidak ada conformity assessment, tidak ada notified body, tidak ada kesempatan perbaikan. Larangan langsung berlaku dan produk harus ditarik dari pasar.

Sumber resmi: EU AI Act Article 5 full text dan European Commission AI Policy.

Apa yang Harus Kamu Lakukan Minggu Ini

Berikut action plan konkret, bukan teori. Lakukan dalam urutan ini:

  1. Inventory semua sistem AI yang kamu develop atau deploy. Catat setiap fitur, data input, output, dan use case deployment.
  2. Jalankan 6-step classification di atas untuk setiap sistem. Libatkan ML engineer, product manager, dan legal counsel dalam sesi yang sama. Jangan lakukan sendiri-sendiri.
  3. Identifikasi fitur flagged. Kalau ada yang masuk unacceptable risk, segera lakukan review arsitektur: apakah fitur itu essential? Bisa di-unbundle? Bisa dimatikan untuk user EU saja?
  4. Dokumentasikan justifikasi untuk setiap sistem yang kamu klaim bukan unacceptable risk. Kalau nanti ada audit, kamu butuh paper trail.
  5. Pantau perkembangan RTS (Regulatory Technical Standards) dari EU AI Office yang akan memperjelas definisi teknis dari pasal-pasal ini.

Jangan anggap remeh. Kalau produkmu sudah live dan ada fitur unacceptable risk, tarik sekarang lebih murah daripada dipaksa tarik oleh regulator dengan publisitas negatif. Baca juga: bagaimana fine-tuning bisa mengubah statusmu jadi provider dengan beban compliance penuh.

FAQ: Unacceptable Risk AI EU AI Act

Apa beda unacceptable risk dengan high-risk AI di EU AI Act?

Unacceptable risk (Article 5) adalah praktik AI yang dilarang total. Tidak bisa diselamatkan dengan dokumentasi, conformity assessment, atau risk management apapun. Produknya tidak boleh ada di pasar EU. High-risk AI (Article 6 + Annex III) boleh digunakan, tapi wajib memenuhi persyaratan compliance penuh termasuk human oversight, technical documentation, dan conformity assessment. Kalau unacceptable risk adalah garis keras, high-risk adalah jalur compliance yang ketat tapi masih bisa dilalui.

Apakah social scoring oleh perusahaan swasta juga termasuk unacceptable risk?

Tidak otomatis. Social scoring yang dilarang di Article 5(1)(c) adalah yang dilakukan oleh otoritas publik dan menilai individu berdasarkan perilaku sosial atau karakteristik kepribadian. Credit scoring oleh bank swasta, reputasi e-commerce seller, atau driver rating di ride-hailing tidak masuk unacceptable risk. Tapi praktik ini bisa masuk high-risk Annex III point 5 kalau digunakan untuk akses ke layanan esensial. Kuncinya: siapa yang melakukan scoring dan untuk tujuan apa.

Kalau AI saya hanya menganalisis emosi dari teks, bukan dari wajah, apakah tetap kena larangan emotion recognition?

Tergantung. EU AI Act mendefinisikan emotion recognition system sebagai sistem AI yang mengenali atau menyimpulkan emosi atau intensi individu dari data biometrik. Text-based sentiment analysis tidak selalu menggunakan data biometrik, jadi berpotensi tidak masuk definisi ini. Tapi kalau sistemmu mengombinasikan text analysis dengan voice tone analysis (yang adalah data biometrik), maka sudah masuk scope. Perlu legal opinion spesifik untuk arsitektur sistemmu.

Apakah startup di luar Eropa bisa kena larangan unacceptable risk?

Ya. Seperti GDPR, EU AI Act punya extraterritorial reach. Kalau output AI-mu digunakan di pasar EU atau mempengaruhi individu di wilayah EU, larangan tetap berlaku meskipun server dan kantormu di luar Eropa. Bedanya dengan high-risk: untuk unacceptable risk, tidak ada pengecualian sama sekali. Produk tidak boleh menyentuh pasar EU dalam bentuk apapun.

Artificial Intelligence, Keamanan, Tips
Tagged in:
, , , , , , ,

About the Author

Dzul Qurnain

Suka nonton Anime, ngoding dan bagi-bagi tips kalau tahu.. Oh iya, suka baca ( tapi yang menarik menurutku aja)... Praktisi WordPress, web development, SEO, dan server administration yang membagikan tutorial teknis dan catatan implementasi nyata.

View All Articles