Riset AI bioteknologi mencakup serangkaian aktivitas kompleks, mulai dari identifikasi target molekuler, analisis genomik, hingga pengembangan sistem diagnostik berbasis algoritma. Dalam praktiknya, seluruh aktivitas ini sangat bergantung pada pemrosesan data dalam volume besar dan berkarakter sensitif.
Jenis data yang lazim digunakan meliputi data genomik individu, rekam medis elektronik, biomarker klinis, serta data uji klinis. Karakteristik data tersebut menimbulkan setidaknya tiga tantangan hukum utama yang saling berkaitan.
Lanskap Riset AI Bioteknologi di Indonesia: Konteks dan Tantangan Hukum
Pertama, belum terdapat kejelasan normatif yang sepenuhnya memadai mengenai status data genomik dalam sistem hukum Indonesia. Meskipun UU No. 17 Tahun 2023 tentang Kesehatan telah memberikan pengaturan awal melalui Pasal 338–341, ketentuan tersebut belum mencakup seluruh kompleksitas pemanfaatan data genomik dalam ekosistem riset AI skala besar.
Kedua, riset bioteknologi modern bersifat kolaboratif dan lintas yurisdiksi, sehingga isu transfer data dan spesimen biologis melampaui batas negara menjadi tidak terhindarkan dan memerlukan kerangka pengaturan yang lebih eksplisit.
Ketiga, penggunaan algoritma dalam proses klinis dan pengambilan keputusan medis menimbulkan persoalan kompleks mengenai distribusi tanggung jawab hukum apabila terjadi kesalahan berbasis keluaran AI.
Kerangka Hukum: UU Perlindungan Data Pribadi
Pengaturan utama terkait perlindungan data terdapat dalam Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP), yang merupakan regulasi paling komprehensif di bidang ini.
Klasifikasi Data dalam Riset Biotek
UU PDP membedakan data pribadi ke dalam dua kategori: data pribadi umum dan data pribadi spesifik. Data kesehatan, biometrik, dan genetika secara tegas dikategorikan sebagai data pribadi spesifik yang memerlukan tingkat perlindungan lebih tinggi. Dalam konteks riset AI bioteknologi, hampir seluruh dataset yang digunakan berada dalam kategori ini, sehingga secara inheren memiliki profil risiko hukum yang tinggi.
Dasar Hukum Pemrosesan Data
Pasal 20 UU PDP mengatur enam landasan hukum yang sah untuk pemrosesan data pribadi, yaitu: persetujuan eksplisit subjek data, pemenuhan kewajiban perjanjian, pemenuhan kewajiban hukum pengendali data, perlindungan kepentingan vital subjek data, pelaksanaan tugas dalam kepentingan umum, serta kepentingan sah pengendali data. Penting untuk dicatat bahwa persetujuan bukan satu-satunya dasar hukum yang tersedia — periset memiliki fleksibilitas untuk menyandarkan pemrosesan pada landasan hukum lain yang relevan dengan konteks risetnya.
Dalam praktik riset yang mengikutsertakan manusia sebagai subjek, mekanisme informed consent tetap menjadi instrumen utama. Namun Pasal 26 UU PDP membuka ruang pengecualian terbatas untuk kepentingan riset ilmiah, meski norma ini masih memerlukan penjabaran lebih lanjut dalam regulasi teknis.
Prinsip Pemrosesan Data dan Implikasinya bagi Riset AI
UU PDP mewajibkan pemenuhan sejumlah prinsip fundamental, meliputi pembatasan tujuan (purpose limitation), minimalisasi data (data minimisation), akurasi, serta keamanan dan kerahasiaan. Dalam riset berbasis AI, prinsip-prinsip ini sering berbenturan secara teknis dengan kebutuhan untuk mengumpulkan dataset bervolume besar guna meningkatkan performa dan validitas statistik algoritma — sebuah ketegangan normatif yang belum mendapat penyelesaian eksplisit dalam regulasi.
Hak atas Keputusan Otomatis
Aspek yang sering luput dari analisis adalah Pasal 46 UU PDP yang mengatur hak subjek data untuk tidak menjadi objek keputusan yang diambil semata-mata melalui pemrosesan otomatis apabila keputusan tersebut berdampak signifikan secara hukum. Ketentuan ini langsung relevan dengan penggunaan sistem diagnostik AI dalam konteks klinis, dan berimplikasi pada kewajiban untuk memastikan adanya pengawasan manusiawi (human oversight) dalam setiap keputusan medis berbasis algoritma.
Kewajiban Pengendali Data
Dalam ekosistem riset AI bioteknologi yang melibatkan rumah sakit, perusahaan biotek, perguruan tinggi, dan penyedia infrastruktur teknologi, penentuan siapa yang bertindak sebagai pengendali data (data controller) menjadi krusial dan berpotensi disengketakan. UU PDP juga mengatur kewajiban penunjukan Data Protection Officer, pelaksanaan Data Protection Impact Assessment, serta ketentuan transfer data lintas batas yang mensyaratkan pemenuhan standar perlindungan yang setara.
Baca Juga: Ketentuan Record of Processing Activities dalam UU PDP
Kerangka Hukum: UU Kesehatan
Aspek riset teknologi kesehatan diatur secara komprehensif dalam Undang-Undang Nomor 17 Tahun 2023 tentang Kesehatan.
Pengaturan Riset Teknologi Kesehatan
Pasal 334–336 UU Kesehatan mengatur penyelenggaraan Teknologi Kesehatan, yang secara definitif mencakup segala bentuk alat, produk, dan/atau metode untuk membantu penegakan diagnosis, pencegahan, dan penanganan permasalahan kesehatan — termasuk perangkat keras dan perangkat lunak berbasis AI.
Pasal 335 secara eksplisit mengatur penelitian Teknologi Kesehatan yang mengikutsertakan manusia sebagai subjek, dengan mensyaratkan: pemenuhan kaidah etik, kaidah ilmiah, metodologi ilmiah, izin dari pihak berwenang, serta persetujuan dari pihak yang menjadi subjek penelitian. Ketentuan ini menegaskan bahwa penggunaan algoritma AI sebagai bagian dari metodologi riset harus tunduk pada proses ethical review yang sama ketatnya dengan penelitian klinis konvensional.
Pengaturan Biobank dan Data Genomik
Pasal 338–341 UU Kesehatan merupakan regulasi paling substansial yang tersedia di Indonesia untuk pengaturan data genomik dan biorepositori — suatu aspek yang tidak dapat diabaikan dalam analisis riset AI bioteknologi.
Pasal 338 mewajibkan perolehan persetujuan dari pasien dan/atau donor sebelum pengambilan, penyimpanan jangka panjang, serta pengelolaan spesimen klinik dan materi biologi untuk kepentingan Teknologi Kesehatan, termasuk pelayanan kedokteran presisi. Pasal 339 mengatur bahwa biobank dan biorepositori harus mendapatkan penetapan dari Pemerintah Pusat, wajib menerapkan delapan prinsip penyelenggaraan (keselamatan hayati, kerahasiaan/privasi, akuntabilitas, kemanfaatan, kepentingan umum, penghormatan HAM, etika-hukum-medikolegal, serta sosial budaya), dan diwajibkan menyimpan spesimen serta data di dalam negeri.
Pasal 340 mengatur secara ketat pengalihan dan penggunaan spesimen serta data ke luar wilayah Indonesia, yang hanya dapat dilakukan dalam kondisi tertentu dan harus dilengkapi dengan perjanjian alih material (material transfer agreement) berdasarkan prinsip pembagian manfaat yang adil.
Perlindungan Rekam Medis
Rekam medis merupakan informasi yang wajib dijaga kerahasiaannya berdasarkan UU Kesehatan. Penggunaannya sebagai dataset pelatihan AI harus didasarkan pada persetujuan yang sah dan tidak melanggar kerahasiaan pasien, dengan merujuk pada ketentuan pengecualian yang diatur secara limitatif dalam undang-undang.
Tanggung Jawab Hukum Penyelenggara Riset
Penggunaan AI dalam riset kesehatan tidak mengeliminasi tanggung jawab hukum yang melekat pada penyelenggara riset sebagai subjek hukum. Prinsip ini bertumpu pada argumentasi bahwa AI bukan merupakan subjek hukum dan karenanya tidak dapat menanggung pertanggungjawaban mandiri — tanggung jawab atas keputusan berbasis algoritma tetap berada pada manusia atau institusi yang mendesain, menerapkan, dan mengawasi sistem tersebut.
Kerangka Hukum: UU ITE
Aspek teknologi informasi diatur dalam Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik sebagaimana telah diubah terakhir dengan Undang-Undang Nomor 1 Tahun 2024, yang membawa sejumlah penyempurnaan norma termasuk penghapusan beberapa ketentuan yang dinilai terlalu luas cakupannya.
Perlindungan Sistem Elektronik
Penyelenggara sistem elektronik wajib menjamin keandalan dan keamanan sistem, termasuk dalam pengelolaan platform riset berbasis komputasi awan (cloud computing) yang lazim digunakan dalam analisis data genomik skala besar.
Kewajiban Penyelenggara Sistem Elektronik (PSE)
Berdasarkan Peraturan Pemerintah Nomor 43 Tahun 2023 tentang perubahan atas PP No. 71 Tahun 2019, yang kini disempurnakan melalui PP No. 4 Tahun 2025 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, platform riset berbasis digital yang memenuhi kriteria tertentu dikategorikan sebagai PSE dengan kewajiban registrasi dan pemenuhan standar keamanan sistem. Ketentuan ini berimplikasi langsung bagi operator platform analitik genomik dan basis data klinis berbasis AI.
Analisis Celah Regulasi dan Tumpang Tindih Norma
Kekosongan Hukum yang Tersisa
Meskipun UU Kesehatan telah memberikan pengaturan awal mengenai biobank dan riset Teknologi Kesehatan, sejumlah kekosongan normatif yang material masih tersisa, meliputi:
- Belum adanya standar teknis dan prosedur khusus penggunaan data genomik dalam pelatihan model AI, termasuk tata cara de-identification dan pseudonymisation;
- Tidak adanya kerangka akuntabilitas algoritma yang spesifik, termasuk persyaratan explainability untuk sistem AI yang digunakan dalam pengambilan keputusan klinis;
- Ketiadaan mekanisme sertifikasi atau validasi independen bagi sistem AI diagnostik sebelum diintegrasikan dalam praktik klinis;
- Belum adanya ketentuan yang mengatur pembagian manfaat (benefit sharing) secara komprehensif dalam riset bioteknologi berbasis genomik yang melibatkan data populasi Indonesia.
Tumpang Tindih Regulasi
Terdapat ketegangan normatif antara pengecualian riset yang diatur dalam UU PDP dengan persyaratan persetujuan yang lebih ketat dalam UU Kesehatan. Dalam absennya ketentuan harmonisasi yang jelas, penyelenggara riset menghadapi ketidakpastian hukum mengenai standar mana yang harus diprioritaskan.
Tantangan Harmonisasi Internasional
Ketentuan dalam UU PDP, meskipun telah mengadopsi sejumlah prinsip yang lazim dalam rezim perlindungan data internasional, belum sepenuhnya selaras dengan standar General Data Protection Regulation (GDPR) Uni Eropa, khususnya dalam aspek pengaturan data genetik dan mekanisme automated decision-making. Ketidakselarasan ini dapat menjadi hambatan dalam kolaborasi riset internasional dan akses terhadap pendanaan riset global.
Sebagaimana dicatat oleh Prof. Edmon Makarim, Guru Besar Hukum Teknologi Informasi Universitas Indonesia, perkembangan teknologi berbasis data skala besar menuntut pendekatan regulasi yang adaptif, karena kerangka hukum yang terlalu umum berpotensi tidak mampu menjawab kompleksitas risiko yang ada — suatu perspektif yang relevan dengan tantangan pengaturan AI dalam bioteknologi.
Kesimpulan
Kerangka hukum yang terdiri dari UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi, UU No. 17 Tahun 2023 tentang Kesehatan, dan UU No. 11 Tahun 2008 tentang ITE sebagaimana diubah terakhir dengan UU No. 1 Tahun 2024, pada dasarnya telah membentuk fondasi normatif bagi pengaturan riset AI bioteknologi di Indonesia.
Secara khusus, Pasal 338–341 UU Kesehatan telah memberikan pengaturan in nuce mengenai biobank, biorepositori, dan pembatasan pengiriman spesimen ke luar negeri — suatu kemajuan regulasi yang perlu diakui sekaligus dikembangkan lebih lanjut. Begitu pula Pasal 46 UU PDP yang menyediakan mekanisme perlindungan terhadap keputusan otomatis berbasis algoritma.
Namun demikian, ketiga rezim tersebut masih menyisakan celah signifikan dalam hal standar teknis pemanfaatan data genomik, mekanisme akuntabilitas dan explainability algoritma AI dalam konteks klinis, serta harmonisasi ketentuan lintas negara yang memadai. Pengembangan regulasi yang lebih spesifik, terintegrasi, dan adaptif — idealnya melalui peraturan pemerintah atau peraturan presiden lintas sektor — menjadi kebutuhan mendesak untuk memastikan keseimbangan optimal antara akselerasi inovasi teknologi dan pemenuhan standar perlindungan hukum tertinggi.
