[ad_1]
Melihat ke Depan hingga tahun 2026
Pada tahun 2026, lembaga penegak hukum federal dan negara bagian kemungkinan besar akan mempertahankan sikap agresif dan terus menerapkan hukuman yang signifikan terhadap pelanggaran keamanan siber. Untuk tetap berada di depan ekspektasi peraturan ini, organisasi harus memprioritaskan strategi kepatuhan terintegrasi, penilaian risiko lintas fungsi, dan keterlibatan proaktif dengan standar kecerdasan buatan (AI) dan keamanan siber yang sedang berkembang.
Tren Utama Mulai Tahun 2025
Tahun 2025 menandai tahun yang penting bagi aktivitas regulasi dan penegakan hukum di bidang keamanan siber, privasi, dan tata kelola AI. Regulator seperti Komisi Sekuritas dan Bursa AS (SEC) dan Badan Perlindungan Privasi California (CPPA) memperkenalkan persyaratan baru untuk manajemen risiko pihak ketiga dan pelaporan insiden. Sementara itu, Departemen Layanan Keuangan (DFS) New York mengalami tahun yang sibuk dalam menegakkan peraturan keamanan siber Bagian 500. Tata kelola AI juga muncul sebagai tema yang dominan, dengan diadopsinya peraturan CPPA yang telah lama ditunggu-tunggu yang mengatur penggunaan teknologi pengambilan keputusan otomatis (ADMT), diterbitkannya Rencana Aksi AI oleh Gedung Putih, dan diperkenalkannya serta disahkannya beberapa undang-undang negara bagian yang mengatur penggunaan AI, yang menandakan meningkatnya minat terhadap bidang ini.
Dalam bidang litigasi, gugatan kelompok (class action) penyadapan telepon melalui web dan tuntutan hukum individual diajukan dengan tingkat rekor tertinggi, paling sering berdasarkan California Invasion of Privacy Act (CIPA), dengan teori tanggung jawab yang baru dan diperluas. Khususnya, konsumen sering kali menuduh bahwa situs web mana pun yang dilengkapi perangkat lunak pelacakan pihak ketiga, seperti cookie atau piksel, merupakan “pendaftar” dan/atau “perangkat perangkap dan pelacak” yang melanggar CIPA pasal 638.51 karena perangkat lunak tersebut diduga mengumpulkan informasi seperti alamat IP dan mengungkapkan informasi tersebut kepada pihak ketiga. Pengadilan masih berbeda pendapat mengenai apakah klaim ini dapat dilanjutkan setelah tahap pembelaan dan terus bergulat dengan penerapan CIPA di era internet, sehingga melanggengkan ketidakpastian yang dihadapi perusahaan yang menggunakan teknologi tersebut di situs web mereka. Beberapa pengadilan federal menolak untuk menolak klaim tersebut pada tahap pembelaan, dengan menyatakan bahwa penggugat secara masuk akal menuduh bahwa teknologi pelacakan web adalah pen register atau perangkat perangkap dan pelacak.1 Sebaliknya, keputusan pengadilan negara, seperti Sanchez v.Cars.com Inc. Dan Aviles v.LiveRamp, Inc.telah menafsirkan CIPA pasal 638.51 sebagai tidak berlaku untuk penelusuran web.
Dalam Berita
Rencana Aksi AI
Pada bulan Juli 2025, Kantor Eksekutif Presiden merilisnya Rencana Aksi AIpeta jalan pendekatan pemerintah federal terhadap tata kelola AI yang telah lama dinantikan dan memberikan sejumlah implikasi bagi dunia usaha secara global. Rencana Aksi AI mengidentifikasi lebih dari 90 tindakan kebijakan federal di tiga pilar yang ingin ditangani oleh pemerintahan Trump: (i) mempercepat inovasi AI, (ii) membangun infrastruktur AI Amerika, dan (iii) memimpin diplomasi dan keamanan AI internasional. Di bawah pilar kedua, memperkuat “keamanan siber infrastruktur penting,” mempromosikan “teknologi dan aplikasi AI yang aman sesuai desain,” dan mempromosikan “kapasitas federal yang matang untuk respons terhadap insiden AI” diidentifikasi sebagai tindakan kebijakan yang direkomendasikan.
Undang-undang AI New York
Pada bulan Januari 2025, Undang-undang AI New York (Senate Bill S1169A) diperkenalkan di Senat New York. Undang-undang ini berfokus pada mengatasi diskriminasi algoritmik dengan mengatur dan membatasi penggunaan sistem AI tertentu dan memberikan hak kepada konsumen untuk memilih tidak ikut pengambilan keputusan otomatis atau mengajukan banding atas hasilnya. Selain itu, “sistem AI berisiko tinggi” harus menjalani audit independen. Penegakan hukum akan diizinkan oleh Jaksa Agung New York, dengan denda uang perdata hingga $20.000 per pelanggaran. Ini juga berisi hak tindakan pribadi. Setelah RUU tersebut disahkan di Majelis, RUU tersebut dikembalikan ke Senat dan dirujuk ke Komite Internet dan Teknologi Senat, yang sekarang masih menunggu keputusan.
Perubahan Peraturan SP
Pada bulan Desember 2025, amandemen Peraturan SEC SP mulai berlaku. Berdasarkan amandemen ini, entitas yang lebih besar harus membuat rencana respons insiden tertulis, memberi tahu pelanggan tentang pelanggaran data, menerapkan pengawasan penyedia layanan tambahan, dan memenuhi persyaratan pencatatan baru. Semua institusi lain yang tercakup harus mematuhinya paling lambat tanggal 3 Juni 2026.
Peraturan ADMT CPPA
Pada bulan September 2025, CPPA mengadopsi pembaruan terhadap peraturannyayang menambahkan persyaratan bagi bisnis yang diatur untuk menyelesaikan audit keamanan siber tahunan serta melakukan penilaian risiko untuk aktivitas pemrosesan data tertentu, termasuk periklanan bertarget dan pemrosesan informasi pribadi yang sensitif. Peraturan yang diperbarui ini juga memberi konsumen hak-hak baru yang memengaruhi penggunaan ADMT oleh bisnis untuk membuat keputusan “signifikan” tertentu yang memengaruhi konsumen — termasuk hak untuk menerima pemberitahuan sebelum penggunaan, opsi untuk tidak ikut serta, dan penjelasan logika keputusan. ADMT mencakup “teknologi apa pun yang memproses informasi pribadi dan menggunakan komputasi untuk menggantikan pengambilan keputusan manusia atau secara substansial menggantikan pengambilan keputusan manusia.” Bagian dari peraturan yang diperbarui mengenai penilaian risiko mulai berlaku pada tanggal 1 Januari 2026, dan pembaruan lainnya mulai berlaku pada berbagai tanggal pada tahun 2027 dan 2028.
Hukum AI Texas
Pada bulan Juni 2025, Texas memberlakukan Undang-Undang Tata Kelola Kecerdasan Buatan yang Bertanggung Jawab di Texas (TRAIGA). Undang-undang tersebut secara luas mendefinisikan sistem AI sebagai “penggunaan pembelajaran mesin dan teknologi terkait yang menggunakan data untuk melatih model statistik dengan tujuan memungkinkan sistem komputer melakukan tugas yang biasanya terkait dengan kecerdasan atau persepsi manusia” dan mencakup ketentuan yang ditujukan untuk perlindungan konsumen, seperti larangan menggunakan data biometrik untuk mengidentifikasi seseorang tanpa izin. TRAIGA juga membentuk Texas AI Council, sebuah badan beranggotakan tujuh orang yang terdiri dari para ahli di bidang sistem AI, privasi dan keamanan data, serta etika teknologi. Dewan AI bertugas mengidentifikasi hambatan terhadap inovasi AI dan memberikan nasihat mengenai undang-undang di masa depan. Otoritas penegakan TRAIGA dialokasikan secara eksklusif kepada jaksa agung Texas, dan denda uang perdata berkisar antara $10.000 hingga $200.000 per pelanggaran.
Ikhtisar Penegakan Hukum tahun 2025
DFS New York Selesai Dengan PayPal Inc.
Itu DFS New York mengumumkan pada bulan Januari 2025 itu dimasukkan ke dalam perintah persetujuan dengan PayPal Inc., di mana PayPal setuju untuk membayar denda sebesar $2 juta untuk menyelesaikan tuduhan bahwa PayPal gagal menggunakan personel yang memenuhi syarat untuk mengelola fungsi-fungsi utama keamanan siber, memastikan penerapan kebijakan dan prosedur keamanan siber yang tepat, dan menggunakan kontrol yang efektif untuk melindungi dari akses tidak sah, yang mengakibatkan informasi sensitif pelanggan terekspos kepada penjahat siber pada tahun 2022.
DFS New York Selesai Dengan Healthplex Inc.
Itu DFS New York mengumumkan pada bulan Agustus 2025 itu dimasukkan ke dalam perintah persetujuan dengan Healthplex Inc., agen asuransi berlisensi dan adjuster independen, untuk membayar denda uang perdata sebesar $2 juta. Sebagai bagian dari penyelesaian, Healthplex telah setuju untuk menyewa auditor independen untuk memeriksa kecukupan kontrol otentikasi multi-faktor (MFA).
DFS New York Menyelesaikan Dengan Delapan Perusahaan Asuransi Mobil
Itu DFS New York mengumumkan pada bulan Oktober 2025 bahwa mereka akan mendapatkan denda lebih dari $19 juta dari delapan perusahaan asuransi mobil atas “kontrol keamanan siber yang tidak memadai” yang memungkinkan peretas mengekstrak informasi pribadi non-publik (NPI). Perintah persetujuan tersebut memerlukan audit komprehensif terhadap sistem informasi yang menyimpan atau memberikan akses ke NPI dan penggunaan MFA secara berkelanjutan.
FTC Selesai Dengan GoDaddy Inc.
Itu Komisi Perdagangan Federal (FTC) mengumumkan pada bulan Mei 2025 itu menyelesaikan pesanan dengan GoDaddy Inc., menyelesaikan tuduhan bahwa penyedia hosting web menyesatkan konsumen karena gagal menerapkan perlindungan keamanan data, yang menyebabkan beberapa pelanggaran data. Berdasarkan perintah tersebut, GoDaddy dilarang membuat pernyataan keliru tentang keamanannya dan sejauh mana GoDaddy mematuhi berbagai program privasi atau keamanan; diharuskan untuk menetapkan dan melaksanakan program keamanan informasi yang komprehensif; dan diwajibkan untuk menyewa penilai pihak ketiga yang independen untuk melakukan peninjauan terhadap program tersebut.
SEC Menolak Kasus Pengungkapan Cyber Terhadap SolarWinds dan CISO
Pada bulan November 2025, SEC mengumumkan kesepakatan untuk memberhentikandengan prasangka, kasusnya terhadap SolarWinds Corporation dan chief information security officer (CISO) karena diduga menipu investor dengan membuat pernyataan dan kelalaian yang menyesatkan tentang kekuatan praktik dan risiko keamanan siber perusahaan sambil mengetahui kerentanan serius dan kelemahan keamanan internal. Khususnya, SEC tidak memberikan penjelasan atas pemecatan tersebut. Kasus ini – yang dimulai pada bulan Oktober 2023 – bersifat unik karena kasus ini secara langsung menargetkan CISO, memperluas tanggung jawab pengungkapan hingga mencakup pengungkapan risiko keamanan siber, dan menggunakan komunikasi internal sebagai bukti bahwa SolarWinds dan CISO menyadari kelemahan keamanan tersebut.
Catatan kaki
1. Misalnya, Riganian dkk v. LiveRamp Holdings, Inc.791 F. Sup. 3d 1075 (ND Kal. 2025) dan Fregosa v.Mashable, Inc.25-CV-01094-CRB, 2025 WL 2886399, at *3 (ND Cal. 9 Okt 2025). ↩
Isi artikel ini dimaksudkan untuk memberikan panduan umum mengenai pokok bahasan. Nasihat spesialis harus dicari mengenai keadaan spesifik Anda.