Distillation Attack pada Layanan AI Berbasis API dalam Perspektif Hukum Indonesia
Keywords:
distillation attack, UU ITE, UU PDPAbstract
Distillation attack atau model extraction attack adalah pola pengambilan “fungsi” model AI yang dilakukan melalui kueri berulang pada antarmuka prediksi (misalnya API), dengan cara mengumpulkan keluaran model dan mengubahnya menjadi data pelatihan untuk model substitusi. Dalam layanan AI berbasis teks, risiko hukumnya tidak hanya menyangkut nilai ekonomi model, tetapi juga kemungkinan keluaran atau log layanan memuat Data Pribadi atau setidaknya membuat orang dapat diidentifikasi. Artikel ini menguji dua jalur: penerapan Pasal 65 UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) ketika perbuatan ekstraksi berhubungan dengan perolehan/pengumpulan, pengungkapan, atau penggunaan Data Pribadi secara melawan hukum; serta relevansi UU ITE setelah perubahan melalui UU No. 1 Tahun 2024 ketika perbuatan dilakukan “tanpa hak” dan menimbulkan kerugian materiel. Pembanding Uni Eropa digunakan untuk menata cara membaca keluaran dan log sebagai data pribadi menurut GDPR dan untuk melihat arah tata kelola penyedia general-purpose AI models (GPAI) menurut EU AI Act.
Downloads
References
Peter Mahmud Marzuki, Penelitian Hukum, edisi revisi (Jakarta: Kencana, 2017).
Ronny Hanitijo Soemitro, Metodologi Penelitian Hukum dan Jurimetri (Jakarta: Ghalia Indonesia, 1990).
Florian Tramèr, Fan Zhang, Ari Juels, Michael K. Reiter, dan Thomas Ristenpart, “Stealing Machine Learning Models via Prediction APIs,” Proceedings of the 25th USENIX Security Symposium (2016): 601–618.
Omkhar M. Orekondy, Bernt Schiele, dan Mario Fritz, “Knockoff Nets: Stealing Functionality of Black-Box Models,” Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition (CVPR) (2019): 4954–4963.
Matthew Jagielski, Nicholas Carlini, David Berthelot, Alex Kurakin, dan Nicolas Papernot, “High Accuracy and High Fidelity Extraction of Neural Networks,” Proceedings of the 29th USENIX Security Symposium (2020).
Reza Shokri, Marco Stronati, Congzheng Song, dan Vitaly Shmatikov, “Membership Inference Attacks Against Machine Learning Models,” 2017 IEEE Symposium on Security and Privacy (2017): 3–18.
Matt Fredrikson, Somesh Jha, dan Thomas Ristenpart, “Model Inversion Attacks that Exploit Confidence Information and Basic Countermeasures,” Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security (2015): 1322–1333.
Nicholas Carlini et al., “Extracting Training Data from Large Language Models,” Proceedings of the 30th USENIX Security Symposium (2021).
Ranti Fauza Mayana, Tisni Santika, dan Zahra Cintana, “Rahasia Dagang sebagai Non-Registrable Intellectual Property dalam Perspektif Penjaminan Kekayaan Intelektual,” Padjadjaran Law Review 13, no. 2 (2025).
OpenEvidence Inc. v. Pathway Medical, Inc. and Louis Mullie, Complaint, Case No. 1:25-cv-10471 (D. Mass. filed Feb. 26, 2025).
European Commission, AI Act Service Desk, “Article 53: Obligations for providers of general-purpose AI models,” https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-53.
Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi.
Undang-Undang Republik Indonesia Nomor 1 Tahun 2024 tentang Perubahan Kedua atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.
European Union, Regulation (EU) 2016/679 (General Data Protection Regulation), Article 4 (Definitions), https://gdpr-info.eu/art-4-gdpr/.
European Union, Regulation (EU) 2024/1689 (Artificial Intelligence Act), Official Journal of the European Union, 12 July 2024.
Published
Issue
Section
License
Copyright (c) 2026 Recht: Journal of Legal Studies
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
