Bayangkan sebuah startup fintech di Jakarta mengirimkan transaksi nasabah ke model bahasa besar lewat layanan 'relay AI' berbasis di Shenzhen. Tidak ada kontrak pemrosesan data, tidak ada sertifikasi keamanan, hanya API key dan janji 'respons cepat'. Dua minggu kemudian, laporan internal menunjukkan 12.000 catatan percakapan pelanggan muncul di forum dark web — bukan karena serangan siber, tapi karena server relay itu menyimpan data mentah tanpa enkripsi end-to-end.
Server Tanpa Sertifikasi, Data Tanpa Perlindungan
Otoritas siber China baru-baru ini menerbitkan peringatan resmi terhadap puluhan operator platform relay AI. Menurut TechInAsia, pihak berwenang menemukan bahwa sebagian besar platform tersebut menyimpan data pengguna secara permanen di server milik mereka sendiri, tanpa enkripsi memadai dan tanpa izin operasional sebagai penyedia layanan pemrosesan data pribadi. Yang lebih mengkhawatirkan: banyak operator tidak memiliki sertifikasi keamanan siber nasional (seperti klasifikasi keamanan tingkat tiga atau 'Level 3 Cybersecurity Protection') yang wajib diterapkan untuk layanan yang menangani data sensitif.
Relay platform ini bukan model AI itu sendiri, melainkan jembatan teknis — semacam 'proxy cerdas' yang meneruskan permintaan dari aplikasi lokal ke model asing (misalnya Qwen atau DeepSeek), lalu mengembalikan hasilnya. Namun dalam prosesnya, banyak operator menyimpan log interaksi, prompt pengguna, bahkan potongan dokumen input seperti KTP atau slip gaji — semua dalam format teks biasa. Tidak ada mekanisme otomatis untuk penghapusan setelah respons dikirim, apalagi audit log akses manusia.
Baca juga: SpaceX Capai $18,7 Miliar di 2025 — Tapi Jalan ke $1 Triliun Bukan Soal Roket Saja
Startup Indonesia Jadi 'Early Adopter' Tanpa Audit
Di Indonesia, tren penggunaan relay platform AI melesat sejak awal 2024. Berdasarkan data Asosiasi E-Commerce Indonesia (iDEA), lebih dari 270 startup telah mengintegrasikan layanan relay AI dari penyedia China dan Singapura untuk fitur chatbot layanan pelanggan, analisis dokumen kredit, dan generasi laporan internal. Mayoritas memilih solusi ini karena harga 40–60% lebih murah dibanding layanan serupa dari AWS Bedrock atau Azure AI — dan tanpa proses onboarding panjang.
Namun, tidak satu pun dari 270 startup itu yang wajib melaporkan penggunaan layanan eksternal ke Otoritas Jasa Keuangan (OJK) atau Komisi Informasi Publik (KIP), meski sebagian besar menangani data pribadi nasabah. UU Perlindungan Data Pribadi (UU PDP) No. 27/2022 memang mengatur kewajiban pengendali data, tetapi pasal 22 ayat (3) masih membiarkan celah: tidak ada sanksi administratif spesifik bagi pengguna layanan cloud lintas batas yang gagal melakukan due diligence teknis terhadap mitra pemrosesan data.
Baca juga: EU Gelontorkan 10 Miliar Euro untuk Pabrik AI — Tapi Indonesia Masih Impor Model
Padahal, praktik serupa pernah memicu krisis di masa lalu. Pada 2018, sebuah platform e-commerce lokal mengandalkan layanan OCR asing berbasis di Malaysia untuk verifikasi identitas. Saat server mitra diretas, 450.000 foto KTP bocor — dan tidak ada pelaku yang diproses hukum karena perjanjian kerja sama tidak mencantumkan klausul tanggung jawab bersama atas keamanan data. Kasus itu menjadi salah satu pemicu lahirnya draft UU PDP, namun implementasi pengawasan terhadap rantai layanan teknologi masih lemah.
Yang justru terjadi hari ini adalah inversi dari skenario 2018: bukan hanya data disimpan di luar negeri, tapi juga dioperasikan oleh entitas tanpa lisensi pemrosesan data, tanpa transparansi arsitektur keamanan, dan tanpa jalur audit yang bisa diverifikasi oleh tim IT lokal. Seorang chief technology officer di startup healthtech Bandung mengakui bahwa timnya baru menyadari risiko ini setelah membaca peringatan otoritas China — bukan dari audit internal atau panduan Kemenkominfo.
Dilansir TechInAsia, beberapa operator relay di Shenzhen bahkan mengklaim 'zero logging' dalam dokumentasi publik, padahal temuan inspeksi menunjukkan adanya folder tersembunyi berisi rekaman audio percakapan pelanggan dan cache file PDF berlabel 'ID_VERIFICATION'. Ini bukan soal niat buruk, tapi soal desain sistem yang mengutamakan kecepatan respons di atas prinsip privacy by design.
mirip dengan era awal cloud computing 2012–2015, ketika banyak UMKM Indonesia beralih ke hosting murah di AS dan Singapura — lalu terkejut saat data mereka digunakan untuk pelatihan model iklan tanpa persetujuan. Kali ini, ancamannya lebih halus: bukan penyalahgunaan data untuk komersialisasi, tapi kebocoran struktural akibat infrastruktur yang dibangun tanpa dasar perlindungan data sebagai fondasi teknis.