DataGrail: 60% Perangkat Lunak AI Sembunyikan Transfer Data

Menurut laporan yang dirilis pada 1 Juni oleh perusahaan privasi data DataGrail, hampir dua pertiga vendor perangkat lunak bisnis yang mengklaim memiliki kemampuan AI tidak mengungkapkan subprosesor AI pihak ketiga yang menangani data pengguna.

Laporan 2026 Privacy and AI Trends Report menganalisis 2.400 vendor dan menemukan bahwa 63,6% gagal menyebutkan subprosesor dalam dokumen hukum mereka.

Shadow AI: Data Mengalir dalam Rantai Tak Terlihat

Subprosesor adalah model AI pihak ketiga yang diandalkan oleh alat vendor. Sebuah perusahaan mungkin membeli perangkat lunak dari Vendor A, yang kemudian meneruskan data ke model bahasa besar Vendor B, yang mungkin menggunakan Vendor C. Pelanggan hanya menandatangani kontrak dengan A, tidak mengetahui sisanya.

DataGrail menyebut fenomena ini sebagai "shadow AI." Ketika terjadi masalah, perusahaan tidak tahu siapa yang harus dimintai pertanggungjawaban.

Temuan lain: 32,8% sistem AI melakukan setidaknya satu operasi berisiko tinggi. Ditambah dengan ketidaktransparanan subprosesor, perusahaan beroperasi secara buta.

Regulasi Melonjak, Tim Kepatuhan Justru Menyusut

Laporan ini menggambarkan situasi yang kontradiktif. Pada 2025, negara bagian AS mengesahkan 145 undang-undang terkait AI, dengan lebih dari 1.000 RUU lainnya dalam proses. Gugatan class action terkait tracking pixel saja melebihi 1.400 kasus dalam setahun.

Namun tim kepatuhan privasi justru dipangkas. Beberapa tim mengalami pengurangan hingga 33%. Lebih banyak aturan, denda lebih besar, lebih sedikit orang yang menanganinya.

CEO DataGrail Daniel Barber merangkum keadaan privasi pada 2026:

"Jika ada satu kata yang merangkum privasi data di tahun 2026, kata itu adalah 'lebih': lebih banyak regulasi, lebih banyak risiko, lebih banyak tekanan."

42% Perusahaan Hentikan Proyek AI karena Masalah Privasi

Laporan ini juga menemukan bahwa 42% perusahaan menghentikan proyek AI pada 2025, dengan alasan langsung kekhawatiran privasi.

Setelah dua tahun terburu-buru menanamkan AI ke dalam segala hal, banyak perusahaan menyadari bahwa mereka tidak dapat melacak aliran data, mengidentifikasi subprosesor, atau mengikuti regulasi yang semakin ketat. Hampir setengahnya memilih untuk menghentikan proyek.

Angka KunciNilai
Vendor yang tidak mengungkapkan subprosesor AI63,6%
Sistem AI yang melakukan operasi berisiko tinggi32,8%
Proyek AI dihentikan karena masalah privasi pada 202542%
Undang-undang AI negara bagian baru pada 2025145
Pengurangan jumlah tim privasiHingga 33%

Pesan inti laporan ini bukanlah bahwa AI harus dihindari, melainkan bahwa perusahaan harus memahami ke mana data mereka pergi sebelum menggunakan AI. Hal yang tampaknya sepele itu menjadi kewajiban tersembunyi yang besar.

Sumber: CocoLoop; 145 AI laws passed in 2025 and privacy teams aren't catching a break (Help Net Security); DataGrail Privacy and AI Trends Report 2026 (DataGrail)