—·
“Urban governance agents” di smart city makin menjadi sistem operasional. Kepatuhan kini soal auditotorisasi, jejak alat, dan penanganan pengecualian—bukan poster belaka.
Tim kota tidak “menerapkan AI” seperti mengirim pembaruan situs web. Dalam konteks smart city, lapisan AI kian berperilaku seperti operator: menyusun respons pemerintah, meneruskan permintaan warga, serta memakai tool di berbagai platform kota. Solusi “City Intelligent Agent Solution” dari Huawei membingkai tawaran ini sebagai “data-AI convergence” untuk domain termasuk tata kelola dan keselamatan kota—seraya menempatkannya sebagai cara bagi pelanggan membangun “localized AI capabilities”. (Source)
Perubahan ini menggeser cara unit kepatuhan bekerja. Jika sebelumnya model dievaluasi sekali, kini yang harus dikelola adalah rangkaian ujung-ke-ujung: akses data, pemanggilan model, pemanggilan tool (layanan internal), dan aksi akhir. Ketika rantai itu tidak transparan, penegakan berubah menjadi semata tebakan, dan penanganan insiden berlangsung lambat.
Secara operasional, tim smart city perlu berangkat dari asumsi bahwa sistem akan diperlakukan sebagai “AI systems” lintas rezim regulasi yang berbeda—meski dijalankan di platform internal pemerintah. Konsekuensinya: diperlukan fondasi tata kelola yang sama bersama, termasuk siapa yang dapat mengotorisasi tindakan, bukti apa yang tersisa setelah insiden, serta bagaimana berbagi data dikontrakkan dan dicatat.
Pahami “AI Plus” dalam tumpukan kota sebagai persoalan otorisasi sekaligus pembuktian. Luaran pertama mestinya berupa action graph yang bisa diaudit: mengaitkan setiap hasil otomatis dengan mekanisme fallback manusia yang bertanggung jawab, kontrak penggunaan data, dan runtime log.
EU AI Act mulai berlaku pada 1 Agustus 2024 dan menjadi sepenuhnya berlaku pada 2 Agustus 2026, dengan momen “penerapan” lebih awal untuk kewajiban tertentu. (Source) Panduan garis waktu dari Komisi Eropa juga menegaskan bahwa praktik yang dilarang serta kewajiban “AI literacy” berlaku mulai 2 Februari 2025, sementara banyak ketentuan operasional jatuh pada 2 Agustus 2026. (Source)
Bagi praktisi yang mengintegrasikan AI ke layanan munisipal, pertanyaan kuncinya bukan “apakah siap pada 2026?”. Melainkan: apakah dokumentasi dan pemantauan sudah dibentuk seperti bukti kepatuhan untuk kategori spesifik yang masuk dalam sistem. Penegakan bergantung pada apa yang dilakukan sistem dan bagaimana pemakaiannya—bukan pada cara sistem dipasarkan dalam proses pengadaan.
Bahkan untuk model AI general-purpose (GPAI) yang menjadi penopang agent kota, Komisi Eropa telah menyiapkan perangkat dukungan kepatuhan: General-Purpose AI Code of Practice dan panduan terkait mengenai kewajiban serta transparansi. Komisi menggambarkan Code of Practice sebagai alat kepatuhan yang praktis untuk transparansi, kewajiban terkait hak cipta, serta keselamatan dan keamanan. (Source) Secara operasional, ini berarti “model documentation” harus diperlakukan sebagai artefak yang hidup—terhubung dengan penerapan dalam alur kerja smart city.
Petakan sistem AI kota ke kelompok waktu EU AI Act sejak sekarang. Jika agent memanggil tool yang memengaruhi warga—layanan, persetujuan, dan alur kerja yang bersinggungan dengan penegakan—prioritaskan dokumentasi serta kemampuan penelusuran runtime sebelum go-live skala besar pertama, bukan setelah audit mulai.
Dalam praktik, perintah eksekutif A.S. yang paling sering diasosiasikan dengan “AI governance frameworks” adalah Executive Order 14110 (Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence), yang diterbitkan pada 30 Oktober 2023. (Source) Namun tenggat tata kelola tidak identik dengan tenggat penegakan. Implementasi langsung tersebar di berbagai lembaga, dengan jadwal ditetapkan di dalam perintah tersebut.
NIST menyoroti rincian tata kelola yang krusial: perintah eksekutif dicabut pada 20 Januari 2025. (Source) Bagi praktisi, pencabutan itu mengubah stabilitas asumsi “tunggu penegakan federal”. Perintah eksekutif tetap bisa diperlakukan sebagai pola relevan—misalnya framing risiko, arah pedoman, dan ekspektasi terhadap toolkit—tetapi EO tidak dapat dijadikan jam penegakan yang tak berubah.
Meski demikian, pencabutan tidak berarti “tidak ada apa-apa yang terjadi”. Arsitektur EO 14110 memang dirancang untuk mendorong lembaga menghasilkan keluaran tata kelola yang konkret dan dapat dipakai ulang (pedoman, keterlibatan dengan standar, serta ekspektasi manajemen risiko) yang bisa diadopsi organisasi tanpa menunggu siklus perumusan aturan baru. American Presidency Project memuat ulang ketentuan soal pengembangan pedoman dan standar sekaligus menetapkan tanggung jawab lembaga dalam jendela waktu jumlah-hari yang ditetapkan. (Source) Dibaca secara operasional, relevansi perintah ini lebih sedikit terkait “apa yang akan ditegakkan besok” dan lebih besar terkait “apa yang akan diharapkan oleh peninjau audit”: bukti bahwa manajemen risiko berjalan sistematis di seluruh siklus hidup AI (mulai dari intake dan pengujian hingga pemantauan dan penanganan insiden).
Jangan “mengejar kalender” untuk EO yang sudah dicabut. Bangun paket tata kelola yang kompatibel U.S. berdasarkan manajemen risiko lifecycle ala NIST—serta pastikan log dan catatan keputusan dipetakan secara rapi ke lifecycle tersebut, sehingga bukti tetap terorganisasi bahkan ketika pedoman berkembang.
ISO/IEC 42001 bukan undang-undang, tetapi menawarkan cara yang terstruktur untuk membangun tata kelola yang tahan terhadap audit. ISO mendeskripsikannya sebagai standar sistem manajemen AI pertama di dunia, yang menspesifikasikan persyaratan untuk membangun, menerapkan, memelihara, serta meningkatkan secara berkelanjutan sebuah Artificial Intelligence Management System (AIMS). (Source)
Dua poin praktis paling penting bagi tim smart city. Pertama, framing ISO sebagai sistem manajemen dirancang untuk menghindari “audit theater”. Dokumentasi era pengadaan sering bersifat statis; logika AIMS memaksa adanya loop tata kelola yang berkelanjutan untuk melacak perubahan AI seiring perubahan—terutama saat agent kota menyegarkan model, mengubah rute tool, atau memperbarui feed data. Kedua, karena sistem manajemen ISO bertumpu pada tanggung jawab yang terdokumentasi, kontrol proses, pemantauan, dan perbaikan berkelanjutan, tim dapat memperlakukan evolusi agent sebagai lifecycle operasional yang dikelola, bukan sekadar re-test ad hoc.
Struktur ISO juga membentuk alur kepatuhan yang terukur: memisahkan (a) apa yang direncanakan, (b) apa yang dijalankan, (c) apa yang diperiksa, dan (d) apa yang ditingkatkan. Pemetaan ini langsung relevan untuk sistem smart city yang bersifat agentik, di mana eksekusi tool menjadi sumber varians besar: perubahan prompt, perubahan skema tool, dan perubahan data hulu dapat menghasilkan output berbeda meski identitas “model” tampak sama. Dengan kata lain, AIMS memberi tempat untuk mendokumentasikan tidak hanya perilaku model, tetapi juga kontrol operasional atas akses data, pemanggilan tool, dan pemantauan pasca-penerapan.
Halaman ISO juga menyediakan jangkar publikasi yang konkret: ISO mencantumkan ISO/IEC 42001:2023 sebagai entri standar dengan tanggal publikasi pada situs resmi ISO. (Source) Ini penting karena “kepatuhan berdasarkan rujukan” sering menjadi cara kerangka tata kelola diadopsi dalam bahasa pengadaan.
Gunakan ISO 42001 sebagai struktur yang siap untuk audit—namun hanya jika “management system” diterjemahkan menjadi loop bukti runtime agen yang spesifik. Bangun AIMS yang secara eksplisit mengatur (1) otorisasi, (2) kontrak penggunaan data, (3) logging eksekusi tool, dan (4) penanganan pengecualian human-in-the-loop, lalu pastikan setiap perubahan melewati siklus plan/execute/check/improve yang sama (termasuk pemicu reassessment yang didokumentasikan ketika tool atau jalur data berubah).
Pendekatan China terhadap layanan generative AI (yang kian dipakai untuk menggerakkan urban governance agents) menekankan bukti dan akuntabilitas dengan cara yang bisa diubah insinyur menjadi kontrol. Library of Congress menggambarkan “Interim Measures for the Management of Generative Artificial Intelligence (AI) Services” milik China—yang dikeluarkan oleh Cyberspace Administration of China (CAC) dan regulator lain—memuat persyaratan terkait legalitas data, perlindungan data pribadi, keselamatan konten, pelabelan, dan pengawasan. Di samping itu, terdapat mekanisme pelaporan/penilaian keamanan serta akuntabilitas yang ditautkan pada pencatatan dan audit trails. (Source)
Ringkasan regulasi yang lebih rinci untuk ukuran yang sama menekankan pencatatan dan audit trails, ditambah personel bertanggung jawab yang ditetapkan untuk memungkinkan supervisi dan investigasi insiden. (Source) Meski bukan terjemahan resmi dalam bahasa Mandarin, keselarasan dengan deskripsi LOC tampak jelas: langkah-langkah itu ditujukan untuk pengawasan yang dapat ditegakkan, bukan sekadar best practices yang sukarela.
Dari sini lahir dukungan untuk “governance engineering primitives” yang bisa diterapkan tim kota tanpa menunggu templat pengadaan lokal matang:
Solusi “City Intelligent Agent Solution” dari Huawei relevan di sini bukan sebagai hukum, melainkan sebagai sinyal bagaimana vendor menggambarkan kapabilitas agentik: domain tata kelola kota dan keselamatan, “data-AI convergence”, serta pembangunan kapabilitas yang terlokalisasi. (Source) Jika kota mengadakan kemampuan seperti itu, klaim “agentic” perlu diterjemahkan menjadi bukti runtime yang dapat ditegakkan.
Rancang platform AI agent smart city sebagai “evidence factory”. Setiap aksi agent tata kelola otomatis wajib menghasilkan paket artefak yang bisa diverifikasi: peristiwa otorisasi, jejak pemanggilan tool, rujukan kontrak penggunaan data, dan jalur override manusia untuk pengecualian.
Jadwal bertahap EU AI Act bukan rincian akademis. Jadwal ini memaksa tim membuat inventaris sistem dan menyelaraskan siklus dokumentasi serta pengujian ke tanggal yang telah diketahui: mulai berlaku (1 Agustus 2024), berlaku penuh (2 Agustus 2026), serta penerapan lebih awal untuk kewajiban tertentu pada 2 Februari 2025. (Source) Menunggu inventarisasi sampai setahun sebelum berlaku penuh berisiko membangun bukti kepatuhan terlalu telat—terutama ketika pengadaan smart city melibatkan banyak vendor dan “AI systems” hidup dalam arsitektur komposit.
Sumber daya timeline kepatuhan yang disusun dari komunikasi resmi dan interpretasi hukum menegaskan momen-momen yang sama, termasuk tanggal penerapan 2 Februari 2025 untuk kewajiban awal dan 2 Agustus 2026 untuk banyak aturan operasional. (Source) Modus kegagalan operasionalnya sederhana: setelah instrumen yang dibutuhkan hilang, bukti pemanggilan tool tidak bisa direkonstruksi secara retroaktif.
Mulai sekarang dengan inventaris “living” sistem AI di dalam alur tata kelola kota, lalu hubungkan setiap sistem dengan rencana logging berdasarkan pemetaan kategorinya. Tanpa itu, “dokumentasi kepatuhan” akan berubah menjadi sesuatu yang dipahami seakan-akan sama dengan “bukti kepatuhan”.
Halaman NIST yang menyatakan EO 14110 dicabut pada 20 Januari 2025 memberi pelajaran tata kelola: perintah eksekutif bisa lenyap, tetapi kontrol rekayasa tidak harus ikut menghilang. (Source) Jika tumpukan tata kelola kota bergantung sepenuhnya pada framing eksekutif, kota berada dalam posisi rentan.
Sementara itu, NIST AI Risk Management Framework (AI RMF 1.0) dirilis pada 26 Januari 2023—sebelum EO—sehingga dapat bertahan melewati perubahan tersebut. NIST mendeskripsikan AI RMF 1.0 sebagai kerangka untuk membantu organisasi mengelola risiko di seluruh siklus hidup AI. (Source) Ini mendukung pendekatan yang praktis: sejajarkan artefak tata kelola internal dengan manajemen risiko ala NIST, agar sistem tetap dapat dikelola meski sinyal dari tingkat eksekutif bergeser.
Perlakukan tata kelola eksekutif sebagai sinyal kebijakan, bukan ketergantungan rekayasa. Terapkan kontrol lifecycle yang stabil dan jaga agar bukti konsisten untuk keperluan audit.
Ringkasan Library of Congress tentang interim measures generative AI China menyoroti fitur akuntabilitas, termasuk pencatatan dan audit trails yang dimaksudkan agar supervisi serta investigasi insiden bisa dilakukan. (Source) Persyaratan ini berpadanan langsung dengan “authorization auditability” dan “model/tool audit logs” dalam platform agent smart city.
Untuk merekayasa pencatatan yang benar-benar mendukung supervisi, fokus pada tiga sifat: (1) kelengkapan di seluruh rantai keputusan agent (bukan hanya jawaban akhir), (2) konsistensi supaya log dapat diputar ulang untuk merekonstruksi apa yang terjadi, dan (3) keterkaitan sehingga peninjau bisa menelusuri dari insiden ke keputusan otorisasi spesifik, peristiwa akses data, pemanggilan tool, serta versi model/tool. Jika platform agent menulis log teks bebas tetapi tidak bisa mengikatnya pada action IDs, catatan otorisasi, dan metadata pemanggilan tool, maka kepatuhan bisa terjadi secara bentuk—namun gagal pada maksud “investigation readiness”.
Bangun audit trails sebagai keluaran utama dari runtime agent. Jangan menganggap log sebagai sekadar tambahan yang dibuang untuk debugging—penegakan tata kelola bergantung pada investigasi insiden, bukan kenyamanan pengembang.
Pengumuman Huawei atas City Intelligent Agent Solution bukan instrumen hukum, tetapi menunjukkan bagaimana vendor menggambarkan penerapan agentik dalam konteks pemerintahan dan layanan publik. Pengumuman tersebut memosisikan solusinya pada peningkatan “intelligence” lintas tata kelola kota, keselamatan kota, dan pembangunan ekonomi perkotaan, serta membingkainya sebagai pemberdayaan pembangunan kapabilitas AI yang terlokalisasi. (Source)
Ketika vendor membingkai solusi agent sebagai kapabilitas operasional tata kelola kota, praktisi perlu memperlakukan pengadaan sebagai momen menuntut primitif bukti: batas otorisasi, jejak pemanggilan tool, penomoran versi model, rujukan kontrak penggunaan data, dan alur kerja penanganan pengecualian manusia. Tanpa itu, kota berisiko membeli otomatisasi tanpa tata kelola.
Masukkan persyaratan logging dan otorisasi ke dalam kriteria penerimaan pengadaan—atau bersiap menghadapi kemungkinan memperoleh agent yang berjalan, tetapi tak bisa dikelola.
Tim smart city membutuhkan kontrol yang bekerja lintas rezim hukum tanpa berpura-pura bahwa rezim tersebut identik. Dalam tumpang tindih operasional dari jadwal terstruktur EU AI Act, pola manajemen risiko U.S., struktur sistem manajemen ISO 42001, serta pendekatan akuntabilitas generative AI milik China, tumpang tindih itu dapat diringkas menjadi empat primitif bukti.
Definisikan “siapa dapat melakukan apa” untuk setiap kelas aksi yang bisa dipicu oleh agent. Catat peristiwa otorisasi dengan identitas pengguna, identitas sistem, rujukan aturan kebijakan, serta timestamp. Untuk pemanggilan tool, tangkap pemetaan antara kelas aksi dan endpoint tool. Ini menyempitkan jarak tata kelola antara “yang disarankan agent” dan “yang benar-benar dieksekusi sistem”.
Untuk setiap eksekusi agent, simpan catatan terstruktur:
Pendekatan ini mendukung tenggat penegakan karena menyediakan bukti sebelum bukti itu dibutuhkan.
Setiap dataset atau antarmuka berbagi data yang disentuh agent harus memiliki pernyataan tujuan, aturan retensi, serta audit trail akses. Rekayasa tata kelola di sini adalah soal kontrak antartim, bukan sekadar izin teknis.
Tetapkan pemicu saat otomatisasi berhenti dan gerbang keputusan manusia aktif, termasuk klasifikasi berketidakpastian tinggi, tindakan administratif berdampak tinggi, atau setiap kasus yang cocok dengan kebijakan keselamatan. Pastikan pengecualian itu tetap dicatat agar sistem dapat dibuktikan berperilaku sesuai kebijakan.
Terapkan empat primitif ini sebagai fitur platform, bukan pekerjaan proyek yang dibuat khusus. Jika auditabilitas otorisasi, jejak tool, kontrak penggunaan data, serta penanganan pengecualian merupakan keluaran platform, setiap agent AI smart city baru dapat memenuhi kewajiban kepatuhan dengan risiko inkremental yang lebih kecil.
Pada 2 Agustus 2026, tenggat penerapan luas EU AI Act akan memusatkan ekspektasi kepatuhan pada dokumentasi operasional dan bukti. (Source) Pada saat yang sama, ISO 42001 (dipublikasikan sebagai ISO/IEC 42001:2023) menyediakan baseline sistem manajemen yang bisa dirujuk tim pengadaan sebagai model operasi tata kelola internal. (Source) Di U.S., pencabutan EO 14110 pada 2025 menunjukkan volatilitas, tetapi panduan manajemen risiko yang tahan lama dari NIST, yakni AI RMF 1.0, dirilis pada 2023. (Source; Source)
Buat prakiraan dengan garis waktu yang praktis: dari sekarang hingga akhir 2026, kota yang mampu menskalakan tata kelola urban berbasis agent secara aman adalah yang memperlakukan audit trails, peristiwa otorisasi, serta kontrak penggunaan data sebagai “platform outputs”. Pada 2027, tim pengadaan dan integrasi kemungkinan akan menuntut artefak bukti sebagai kriteria penerimaan—sejalan dengan bagaimana pencatatan keamanan kini diperlakukan sebagai infrastruktur standar, bukan proyek khusus.
Rekomendasi yang konkret: otoritas kota (termasuk unit pengadaan) perlu mewajibkan klausa “evidence-by-design” untuk setiap pengadaan urban governance agent, dengan meminta:
Negosiasikan evidence-by-design sebelum siklus peningkatan platform agent berikutnya—karena jika menunggu sampai setelah integrasi selesai, bukti yang seharusnya bisa dibangun akan terlambat: barulah terlihat bahwa log belum di-instrumentasikan dan otorisasi yang seharusnya dibuktikan ternyata tidak benar-benar ditegakkan.