Vibe Coding dan GDPR: Kenapa Situs Buatan AI Anda Bisa Melanggar Hukum

Agen coding seperti Claude Code dan Codex melahirkan situs yang berfungsi dalam hitungan jam, tapi diam-diam memasukkan pelanggaran GDPR yang tidak pernah Anda minta: cookie dipasang sebelum persetujuan, data pribadi disimpan selamanya, tanpa cara bagi pengguna untuk menghapusnya. Inilah alasan ini terjadi di setiap agen coding, berapa biayanya, dan skill Claude Code gratis yang memindai proyek Anda untuk masalah GDPR sekaligus memperbaikinya.

Anda mendeskripsikan sebuah aplikasi ke agen coding, ia menulis kodenya, Anda deploy, dan beberapa jam kemudian Anda sudah punya produk nyata yang online. Itulah janji vibe coding, dan sebagian besar waktu janji itu memang ditepati. Situsnya termuat, pendaftaran berjalan, dasbornya terlihat rapi. Semua yang bisa Anda lihat baik-baik saja.

Masalahnya ada pada semua yang tidak bisa Anda lihat. Selagi merangkai fitur-fitur Anda, agen itu juga mengambil puluhan keputusan kecil soal cookie, pelacakan, penyimpanan data, dan hak pengguna. Tidak ada yang menyuruhnya memikirkan hukum, jadi ia tidak memikirkannya. Saat Anda merilis, situs baru yang mengkilap itu mungkin sudah berdiri di atas tumpukan pelanggaran GDPR, dan Anda sama sekali tidak tahu pelanggaran itu ada.

Ini bukan masalah khusus Claude atau Codex. Ini adalah sifat struktural dari cara kerja agen coding, dan berlaku untuk setiap agen tanpa kecuali. Mari kita telusuri persis apa yang salah, berapa biayanya, dan skill Claude Code gratis yang menemukan serta memperbaiki masalah ini sebelum regulator yang melakukannya.

Apa yang diam-diam salah dilakukan agen coding

Agen coding mengoptimalkan satu hal: membuat fitur berfungsi. Minta statistik, ia memasukkan skrip pelacakan. Minta formulir kontak, ia menyimpan setiap kiriman ke dalam tabel. Minta fitur login, ia menyimpan catatan pengguna tanpa batas waktu. Setiap pilihan masuk akal jika berdiri sendiri. Digabungkan, semuanya membentuk daftar baku pelanggaran yang paling sering dijatuhi sanksi oleh regulator.

Inilah yang lolos pada situs hasil vibe coding pada umumnya:

  • Cookie dan pelacak menyala sebelum persetujuan. Statistik, peta tersemat, font, piksel media sosial, dan alat sesi termuat begitu halaman terbuka. Berdasarkan GDPR dan aturan ePrivacy, cookie non-esensial butuh persetujuan yang diberikan lebih dulu secara bebas. Situs yang memasangnya pada tampilan pertama sudah tidak patuh, dan banner cookie yang baru muncul setelah pelacak menyala tidak memperbaiki keadaan.
  • Data pribadi disimpan selamanya. Agen membuat tabel users, tabel submissions, tabel logs, dan tidak pernah menambahkan kebijakan retensi. GDPR mewajibkan Anda menyimpan data pribadi hanya selama benar-benar dibutuhkan. "Selamanya, untuk jaga-jaga" justru persis pelanggaran prinsip pembatasan penyimpanan yang ingin dicegah oleh hukum ini.
  • Tidak ada cara untuk menghapus data Anda. Pengguna punya hak penghapusan, yang dikenal sebagai hak untuk dilupakan. Hampir tidak ada aplikasi hasil vibe coding yang dirilis dengan alur hapus-akun-saya atau prosedur terdokumentasi untuk memenuhi permintaan penghapusan. Data masuk dan tidak ada pintu bertanda keluar.
  • Tidak ada jalur akses atau portabilitas. Orang bisa meminta salinan dari segala yang Anda simpan tentang mereka. Kalau satu-satunya jawaban Anda adalah kueri basis data manual yang belum pernah Anda uji, Anda tidak memenuhi kewajiban akses dan portabilitas.
  • Data pihak ketiga meninggalkan UE diam-diam. Skrip statistik atau font hosted yang Anda tambahkan dalam dua detik itu mungkin mengirim alamat IP dan pengenal ke server di luar UE tanpa mekanisme transfer yang sah.
  • Tidak ada catatan tentang apa yang Anda kumpulkan. GDPR mengharapkan Anda mengetahui dan mendokumentasikan aktivitas pemrosesan Anda. Aplikasi yang alur datanya hanya hidup di riwayat chat agen yang sudah terlupakan tidak punya register sama sekali.

Tidak satu pun dari ini muncul dalam demo. Aplikasinya berjalan sempurna. Lapisan hukumnya sekadar absen, dan tetap absen sampai ada yang mengeluh atau regulator datang mengetuk pintu.

Perbandingan dua kolom berjudul apa yang dirilis versus apa yang dituntut hukum. Kolom kiri mencantumkan apa yang dikirim agen coding dengan tanda centang hijau: autentikasi berfungsi, antarmuka rapi, pembayaran aktif, build bersih. Kolom kanan mencantumkan apa yang dituntut GDPR dengan tanda peringatan merah yang muncul satu per satu: persetujuan sebelum cookie, batas retensi data, hak penghapusan, dasar privasi yang terdokumentasi. Sebuah celah putus-putus membelah bagian tengah untuk menunjukkan ruang senyap antara situs yang berjalan dan situs yang patuh.

Agen mengisi kolom kiri tanpa cela. Kolom kanan adalah bagian yang tidak pernah disuruh ia bangun, jadi kolom itu tetap kosong.

Kenapa setiap agen coding melakukan ini, bukan cuma Claude

Memang menggoda untuk menyalahkan satu alat, tapi penyebabnya jauh lebih dalam. Agen coding belajar dari kode publik, dan sebagian besar kode publik tidak pernah ditulis dengan GDPR dalam pikiran. Ketika sebuah model sudah melihat sepuluh ribu contoh "tambahkan Google Analytics" yang menjatuhkan skripnya langsung ke dalam <head>, itulah pola yang ia reproduksi. Data pelatihan mengkodekan kebiasaan buruk itu, jadi keluarannya mewarisinya.

Ada data keras tentang versi yang lebih luas dari masalah ini. Laporan Keamanan Kode GenAI 2025 dari Veracode menguji keluaran lebih dari 100 model bahasa besar di puluhan tugas coding dan menemukan bahwa 45% kode hasil AI memperkenalkan kerentanan keamanan. Studi yang sama menemukan kode tulisan AI membawa 2,74 kali lebih banyak kerentanan dibanding kode tulisan manusia, dan, yang menarik, model yang lebih baru dan lebih besar tidak menjadi lebih baik. Ini bersifat struktural, bukan bug yang ditambal oleh rilis berikutnya.

Kepatuhan privasi punya bentuk masalah yang sama persis dengan keamanan. Keduanya adalah persyaratan tak terlihat yang dilewati begitu saja oleh tujuan "bikin jalan dulu". Jadi entah Anda mengendalikan Claude Code atau Codex, Antigravity CLI, Cursor, atau agen lain mana pun, Anda terpapar titik buta yang sama. Alatnya berganti, celahnya tidak.

Berapa sebenarnya biaya pelanggaran GDPR

Di sinilah hal ini berhenti menjadi abstrak. Denda GDPR dibatasi pada angka yang lebih tinggi antara 20 juta euro atau 4% dari omzet tahunan dunia, dan regulator sudah mulai memakai ujung atas rentang itu.

Pada tahun 2025 saja, otoritas perlindungan data Prancis, CNIL, menjatuhkan 486 juta euro denda, nyaris sepuluh kali lipat total tahun 2024. Dua keputusan dalam satu hari di bulan September menyumbang sebagian besarnya: 325 juta euro terhadap Google atas kegagalan pada cookie dan transparansi iklan, serta 150 juta euro terhadap Shein atas pelacak yang dipasang tanpa persetujuan. Kategori kesalahan yang persis dikirim agen AI secara default adalah kategori yang sama yang menarik denda berangka sembilan digit.

Mudah saja membaca angka-angka itu dan menganggap regulator hanya mengejar raksasa. Tidak begitu. CNIL menjalankan prosedur yang disederhanakan, ditujukan tepat pada kasus-kasus kecil dan faktual: banner cookie yang tidak patuh, permintaan akses yang diabaikan, kebijakan kata sandi yang lemah. Itulah temuan sehari-hari bagi usaha kecil, dan itu pula yang persis salah pada situs hasil vibe coding. Ukuran perusahaan Anda mengubah besarnya denda, bukan apakah Anda bisa didenda.

Diagram batang vertikal berjudul ke mana denda GDPR jatuh pada 2025. Tiga batang naik dari garis dasar sambil beranimasi: 150 juta euro terhadap Shein atas pelacak yang dipasang tanpa persetujuan, 325 juta euro terhadap Google atas kegagalan cookie dan transparansi, dan batang tertinggi 486 juta euro, total yang dijatuhkan regulator Prancis pada 2025, nyaris sepuluh kali tahun sebelumnya. Sebuah lencana di sudut mencatat batas hukum 20 juta euro atau 4 persen omzet global per pelanggaran.

Denda besar menghantam perusahaan besar, tapi pelanggaran di baliknya, cookie tanpa persetujuan dan transparansi yang absen, adalah pelanggaran yang sama yang dikirim agen coding di situs kecil secara default.

Apa yang sebenarnya dituntut GDPR (dengan bahasa lugas)

Anda tidak perlu menjadi pengacara untuk menutup sebagian besar celahnya. Inti kepatuhan sehari-hari bermuara pada segelintir perilaku konkret yang dimiliki atau tidak dimiliki kode Anda:

  • Persetujuan sebelum cookie non-esensial. Apa pun yang melacak, memprofilkan, atau mengukur tidak boleh berjalan sampai pengguna secara aktif menyetujui. Cookie yang benar-benar diperlukan adalah satu-satunya pengecualian.
  • Dasar hukum untuk setiap data yang Anda kumpulkan. Persetujuan, kontrak, atau kepentingan sah, ditetapkan sebelum Anda menyimpan apa pun, bukan sesudahnya.
  • Minimalisasi data. Kumpulkan hanya yang benar-benar dibutuhkan fitur. Naluri agen untuk mencatat segalanya adalah kebalikan dari ini.
  • Batas retensi. Setiap kategori data pribadi butuh masa hidup yang ditetapkan dan cara untuk menghapusnya saat waktunya habis.
  • Hak subjek data. Akses, perbaikan, penghapusan, dan portabilitas semuanya butuh jalur nyata yang berfungsi, bukan janji di kebijakan privasi.
  • Pemberitahuan privasi yang jelas dan catatan pemrosesan. Orang harus bisa melihat apa yang Anda kumpulkan dan mengapa, dan Anda harus bisa membuktikannya.

Bacakan kembali daftar itu berhadapan dengan bagian tentang apa yang salah dilakukan agen, dan tumpang-tindihnya nyaris sempurna. Kabar baiknya, karena semua ini adalah perilaku konkret di level kode, sebuah alat bisa memindainya.

Solusinya: skill Claude Code gratis yang memindai dan memperbaiki

Inilah bagian yang tidak bisa diberikan oleh checklist manual: satu kali pindai otomatis atas basis kode Anda yang sesungguhnya. Seorang developer bernama Jeremy Longshore merilis skill Claude Code gratis dan open source bernama scanning-for-gdpr-compliance (terdaftar di sejumlah marketplace sebagai GDPR Compliance Scanner) yang melakukan persis itu. Skill ini tinggal di repositori claude-code-plugins-plus dan berjalan sepenuhnya di dalam Claude Code, jadi tidak ada layanan terpisah yang perlu Anda daftari.

Skill ini membaca proyek Anda layaknya seorang auditor privasi. Ia memeriksa alur data, lokasi penyimpanan, aktivitas pemrosesan, mekanisme persetujuan, kebijakan retensi, kontrol akses, dan cara Anda menangani hak subjek data. Lalu ia melakukan tiga hal yang penting:

  1. Ia mendeteksi. Pemeriksaan berbasis aturan menandai pola-pola di atas: pelacak yang menyala sebelum persetujuan, data pribadi tanpa batas retensi, jalur penghapusan yang absen, pemrosesan yang tidak terdokumentasi.
  2. Ia mengklasifikasi berdasarkan tingkat keparahan. Temuan kembali dengan skor dan prioritas, sehingga pelacak yang membocorkan pengenal mengungguli baris yang hilang di pemberitahuan privasi Anda. Anda memperbaiki yang berbahaya lebih dulu alih-alih tenggelam dalam daftar datar.
  3. Ia memperbaiki di dalam kode Anda. Karena berjalan di dalam agen, ia tidak sekadar menghasilkan laporan yang harus Anda tindak lanjuti nanti. Ia bisa menerapkan perubahan yang direkomendasikan secara langsung, mengubah "Anda punya masalah di sini" menjadi suntingan nyata pada pemindaian yang sama.

Memasangnya cukup satu baris. Dengan marketplace plugin, Anda menambahkan sumbernya lalu memasang skill:

/plugin marketplace add jeremylongshore/claude-code-plugins-plus

Lalu picu pemindaian dengan bahasa biasa. Skill ini merespons frasa seperti:

scan GDPR compliance
check data privacy
validate GDPR

Anda juga bisa memasangnya dengan menaruh folder skill ke dalam direktori .claude/skills/ proyek Anda, cara standar Claude Code menemukan skill. Apa pun jalannya, pemindaian berjalan atas repositori Anda yang nyata, bukan checklist yang abstrak.

Diagram pipeline kiri ke kanan berjudul pindai, klasifikasi, perbaiki. Sebuah kotak berlabel basis kode Anda mengalir ke kotak berlabel skill GDPR memindai, yang mengalir ke tumpukan tiga tingkat keparahan berlabel kritis, tinggi, dan sedang yang menyala berurutan, lalu mengalir ke kotak berlabel perbaikan diterapkan di kode, dan berakhir di kotak hijau berlabel lebih dekat ke patuh. Sebuah penanda kecil bergerak menyusuri jalur untuk menunjukkan sebuah proyek melintasi alur kerja.

Basis kode masuk, temuan terprioritas di tengah, suntingan kode nyata keluar. Loop yang sama yang sudah Anda pakai untuk fitur, kini diarahkan ke kepatuhan.

Satu kata peringatan yang jujur, karena di sinilah kepercayaan dibangun: pemindaian bukanlah lampu hijau hukum. Skill ini menangkap pelanggaran mekanis di level kode yang menyusun sebagian besar risiko sehari-hari, soal cookie, retensi, alur penghapusan yang absen, dan membawa Anda jauh lebih dekat ke patuh dalam hitungan menit. Ia tidak menggantikan pengacara perlindungan data untuk hal-hal sensitif, untuk Penilaian Dampak Perlindungan Data, atau untuk pemrosesan data kesehatan. Anggaplah ia sebagai pemindaian teknis pertama yang menyingkirkan pelanggaran yang jelas, lalu hadirkan tinjauan manusia untuk kasus-kasus pelik.

Kenapa ini makin sulit saat Anda menjalankan armada agen

Satu developer dengan satu agen punya satu basis kode untuk dijaga kejujurannya. Begitu Anda menjalankan beberapa agen secara paralel, masing-masing mengirim fitur ke produk yang sama, luas permukaan untuk pelanggaran senyap pun berlipat. Satu agen menambahkan skrip statistik, yang lain memunculkan tabel logging, yang ketiga menyambungkan widget pihak ketiga, dan tidak ada satu manusia pun yang pernah meninjau implikasi privasi dari keseluruhannya.

Ini alasan yang sama yang membuat konteks dan konsistensi sulit dijaga dalam skala besar, sebuah tema yang terus kami singgung entah topiknya menjalankan agen coding secara paralel atau vibe coding tanpa kewalahan. Bentuk solusinya sama: jadikan standar itu bagian dari setup bersama alih-alih sesuatu yang Anda ingat untuk diperiksa di akhir.

Di AgentsRoom, kokpit multi-agen, skill dan aturan yang Anda konfigurasi sekali berlaku untuk setiap agen di ruangan, lintas Claude Code, Codex, dan provider lain yang Anda kendalikan dari satu tempat. Sambungkan satu pemindaian kepatuhan ke alur kerja Anda sekali saja dan setiap agen mewarisinya, alih-alih berharap masing-masing secara mandiri mengingat aturan yang tak pernah diajarkan kepadanya. Disiplin yang menjaga satu sesi tetap bersih adalah yang menjaga seluruh armada dari urusan dengan regulator.

Checklist kepatuhan praktis untuk situs buatan AI

Sebelum Anda menganggap situs buatan AI mana pun selesai, ujilah dengan daftar ini. Sebagian besar akan ditangkap oleh scanner, tapi mengetahui apa yang Anda cari membuat laporannya mudah dibaca:

  • Tidak ada cookie atau pelacak non-esensial yang menyala sebelum pengguna menyetujui.
  • Setiap penyimpanan data pribadi punya periode retensi yang ditetapkan dan mekanisme penghapusan.
  • Pengguna bisa meminta dan menerima salinan data mereka.
  • Pengguna bisa menghapus akun mereka dan datanya dihapus.
  • Pemberitahuan privasi menjelaskan apa yang Anda kumpulkan, mengapa, dan atas dasar hukum apa.
  • Skrip pihak ketiga dan transfer data ke luar UE punya mekanisme yang sah.
  • Anda bisa menghasilkan catatan aktivitas pemrosesan Anda jika diminta.

Kalau Anda tidak bisa mencentang setiap kotak, situs buatan AI Anda membawa risiko GDPR, dan satu keluhan saja sudah cukup untuk memunculkannya.

Intinya

Vibe coding benar-benar cepat, dan kecepatan itulah jebakannya. Agen mengisi semua yang bisa Anda lihat dan melewati semua yang tidak bisa Anda lihat, yang justru tepat tempat GDPR berdiam. Cookie sebelum persetujuan, data disimpan selamanya, tanpa cara untuk menghapusnya: ini bukan kasus tepi yang eksotis, ini adalah keluaran default dari setiap agen coding, dan ini adalah kegagalan yang sama yang didenda regulator hingga ratusan juta euro pada 2025.

Solusinya bukan berhenti memakai agen. Solusinya adalah menambahkan pemindaian yang hilang itu. Jalankan skill gratis scanning-for-gdpr-compliance atas proyek Anda, biarkan ia mengklasifikasi dan memperbaiki pelanggaran yang jelas, lalu mintalah manusia meninjau sisanya. Beberapa menit memindai jauh lebih murah daripada menemukan celah itu lewat surat dari regulator.

Membangun dengan lebih dari satu agen? Unduh AgentsRoom untuk mengendalikan Claude Code, Codex, dan lainnya dari satu kokpit, lihat apa yang didukung masing-masing di matriks kompatibilitas provider, dan baca cara menjaga ritme tetap cepat di vibe coding tanpa kewalahan.

Unduh AgentsRoom

Jalankan agen AI Anda (Claude, Codex, Antigravity CLI, OpenCode, Aider) di semua proyek Anda, dari satu jendela.

GratisUnduh AgentsRoom

Aplikasi pendamping: pantau agen Anda saat bepergian

Unduh di
App Store
Dapatkan di
Google Play

Gunakan Claude, Codex, Antigravity CLI, atau penyedia AI lainnya.

Dapatkan ekstensi
Chrome Web Store

Kirim bug dan permintaan langsung ke backlog publik Anda.

Sekilas AgentsRoom dalam aksi.

Beberapa proyek
Multi-penyedia
Beberapa agen
Status langsung
File diff & commit
Pendamping mobile
Pratinjau langsung
Tim agen
Otomatisasi browser
Dev berbasis backlog
Pustaka prompt
Pustaka skill
Lihat semua fitur