Pemerintah berencana wajibkan pengenalan wajah untuk semua registrasi SIM card mulai tahun ini. Namun kebijakan ini menghadapi pertanyaan serius: apakah sudah selaras dengan UU Pelindungan Data Pribadi yang baru saja berlaku penuh?

Kementerian Komunikasi dan Digital (Komdigi) tengah menyusun Peraturan Menteri yang akan mewajibkan registrasi SIM card menggunakan teknologi biometrik pemindai wajah. Direktur Jenderal Ekosistem Digital Komdigi, Edwin Hidayat Abdullah, menargetkan implementasi dimulai tahun ini.

Saat ini, face recognition baru diterapkan untuk e-SIM. Namun pemerintah berencana memberlakukannya secara menyeluruh untuk semua jenis SIM card. Tujuannya: meningkatkan akurasi data pelanggan dan mengatasi maraknya penipuan menggunakan nomor seluler.

Operator seluler seperti Indosat Ooredoo Hutchison, Telkomsel, dan XL Axiata dilaporkan sudah melakukan uji coba dan dinyatakan berhasil.

Belajar dari kasus tiket KAI yang kini juga menerapkan face recognition, ada banyak pertanyaan mengapa butuh teknologi semahal itu untuk sekadar memeriksa tiket penumpang? Ini overkill, biaya investasi alatnya (untuk alat yang aman) tak sebanding dengan penghematannya.

Kali ini, alih-alih membuat artikel yang menjelaskan, kami akan membuat daftar pertanyaan yang belum terjawab. Kita sulit mendapatkan informasi yang detail mengenai latar belakang pengambilan kebijakan ini, mungkin ada informasinya, tapi sulit diakses publik.

UU PDP: Pelindung Data yang Baru Berlaku Penuh

Ironisnya, rencana ini muncul tepat setelah UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) berlaku penuh pada 17 Oktober 2024. UU ini mengadopsi standar internasional, khususnya GDPR Eropa, yang dikenal sangat ketat dalam melindungi data pribadi warga negara.

Dalam Pasal 4 UU PDP, data biometrik—termasuk data wajah—dikategorikan sebagai data pribadi spesifik, yang seharusnya mendapat perlindungan ekstra ketat. Data spesifik lainnya meliputi informasi kesehatan, data genetika, catatan kejahatan, data anak, dan data keuangan pribadi.

Mengapa data biometrik begitu sensitif? Karena tidak seperti kata sandi atau PIN yang bisa diganti, wajah kita bersifat permanen. Sekali data bocor, dampaknya berlangsung seumur hidup.

Lima Pertanyaan Kritis Kesesuaian dengan UU PDP

1. Landasan Hukum Pemrosesan: Persetujuan atau Kepentingan Umum?

Pasal 20 UU PDP mengatur bahwa pemrosesan data pribadi harus memiliki dasar hukum yang jelas. Ada beberapa opsi, tetapi yang paling relevan untuk kebijakan wajib adalah:

• Persetujuan eksplisit dari subjek data pribadi
• Pelaksanaan tugas dalam kepentingan umum atau pelayanan publik

Pertanyaannya: Apakah registrasi SIM card wajib dengan face recognition bisa dikategorikan sebagai “kepentingan umum”? Jika ya, apakah sudah ada analisis mendalam yang membuktikan bahwa manfaat pencegahan kejahatan lebih besar daripada risiko pelanggaran privasi massal?

Jika menggunakan dasar “persetujuan eksplisit”, bagaimana bisa disebut “persetujuan” jika sifatnya wajib? Dalam konteks layanan esensial seperti telekomunikasi, apakah pengguna benar-benar punya pilihan untuk menolak?

2. Hak Subjek Data: Apakah Terpenuhi?

UU PDP memberikan sejumlah hak kepada pemilik data, antara lain:

• Hak mendapatkan informasi tentang kejelasan identitas pengendali data, dasar kepentingan hukum, dan tujuan penggunaan data
• Hak untuk mengakses dan memperoleh salinan data pribadi
• Hak menarik persetujuan
• Hak menghapus atau memusnahkan data pribadi

Dalam kebijakan wajib, bagaimana hak “menarik persetujuan” atau “menghapus data” bisa dijalankan? Apakah warga negara yang menolak pemindaian wajah akan kehilangan akses ke layanan telekomunikasi—yang saat ini hampir sepenting listrik dan air bersih?

3. Penilaian Dampak Perlindungan Data (DPIA): Sudah Dilakukan?

GDPR mewajibkan Data Protection Impact Assessment (DPIA) untuk pemrosesan data biometrik berskala besar karena risikonya yang tinggi. UU PDP, yang mengadopsi prinsip GDPR, seharusnya juga menerapkan standar serupa.

Namun hingga kini, belum ada informasi publik tentang DPIA yang komprehensif untuk kebijakan ini. Penilaian dampak seharusnya mencakup:

• Analisis risiko kebocoran data
• Evaluasi keamanan infrastruktur penyimpanan
• Potensi penyalahgunaan oleh pihak internal maupun eksternal
• Dampak terhadap kelompok rentan (anak, lansia, difabel, pengungsi)

4. Minimalisasi Data dan Proporsionalitas: Apakah Proporsional?

Salah satu asas penting dalam UU PDP adalah minimalisasi data—hanya mengumpulkan data yang benar-benar diperlukan. Pertanyaannya:

Apakah face recognition benar-benar solusi paling proporsional untuk masalah penipuan?

Registrasi SIM card dengan NIK dan KK yang sudah berjalan sejak 2017 sudah cukup untuk identifikasi. Jika masalahnya adalah data NIK palsu atau peminjaman identitas, bukankah solusinya memperbaiki sistem verifikasi NIK dengan Dukcapil, bukan menambah pengawasan biometrik?

Di negara-negara Eropa, tidak ada bukti empiris bahwa registrasi SIM wajib—apalagi dengan biometrik—efektif mengurangi kejahatan. Kriminal selalu menemukan cara, misalnya menggunakan kartu SIM curian atau yang didaftarkan dengan identitas palsu.

5. Keamanan dan Akuntabilitas: Siapa Bertanggung Jawab?

Pasal 3 UU PDP menekankan kewajiban pengendali data pribadi untuk:

• Menjaga kerahasiaan data pribadi
• Mencegah akses tidak sah
• Memiliki sistem keamanan yang memadai

Dalam implementasi pemindaian wajah untuk SIM card:

• Siapa pengendali data utama: Komdigi, operator seluler, atau vendor teknologi?
• Bagaimana mekanisme pengamanan database yang akan menyimpan data wajah puluhan juta bahkan ratusan juta warga Indonesia?
• Apa sanksi konkret jika terjadi kebocoran data?
• Apakah ada mekanisme audit independen berkala?

Indonesia memiliki rekam jejak kebocoran data yang sangat mengkhawatirkan. Data 105 juta pengguna Tokopedia bocor (2020), 279 juta data pemilih KPU bocor (2021), dan berbagai kasus serupa lainnya. Bagaimana meyakinkan publik bahwa data biometrik mereka akan aman?

Di luar soal keboboran, praktik pemanfaatan biometrik juga tak kalah memalukan. Kami pernah mengulas kasus penggunaan pemindaian wajah secara serampangan sehingga orang tak bersalah dianggap sebagai tersangka pelaku kejahatan. Sebuah pelanggaran sangat serius.

Pelajaran dari Eropa: Mengapa GDPR Sangat Ketat

GDPR melarang pemrosesan data biometrik untuk identifikasi unik, kecuali ada kondisi sangat khusus. Mengapa begitu ketat?

Pertama, data biometrik bersifat permanen. Kebocoran kata sandi bisa diatasi dengan mengganti kata sandi. Kebocoran data wajah? Tidak ada solusi.

Kedua, tidak ada bukti efektivitas. Meski beberapa negara anggota UE seperti Bulgaria, Italia, dan Spanyol mewajibkan registrasi SIM prabayar, tidak ada bukti empiris bahwa ini mengurangi kejahatan.

Ketiga, risiko eksklusi sosial. Kelompok rentan—pengungsi, tunawisma, korban kekerasan dalam rumah tangga yang melarikan diri—bisa kehilangan akses komunikasi jika tidak punya dokumen identitas lengkap.

Keempat, menciptakan infrastruktur pengawasan massa. Data biometrik yang terpusat menciptakan honeypot—target empuk bagi peretas dan pemerintah otoriter di masa depan.

Benturan Norma: UU PDP vs Kebijakan Sektoral

Yang menarik, di Indonesia terjadi semacam benturan antara semangat perlindungan data dalam UU PDP dengan kebijakan sektoral yang cenderung lebih pro-pengawasan.

UU PDP yang baru berlaku penuh seharusnya menjadi payung hukum tertinggi untuk segala kebijakan yang melibatkan pemrosesan data pribadi, termasuk di sektor telekomunikasi. Namun implementasinya tampak kurang sinkron.

Pertanyaan mendasarnya: Apakah Peraturan Menteri yang sedang disusun Komdigi sudah melalui kajian harmonisasi dengan UU PDP? Apakah ada koordinasi dengan lembaga pengawas independen yang diamanatkan UU PDP?

Rekomendasi: Transparansi dan Partisipasi Publik

Sebelum kebijakan face recognition untuk registrasi SIM card diluncurkan, setidaknya ada beberapa hal yang harus dilakukan:

1. Publikasi DPIA yang Komprehensif

Pemerintah harus mempublikasikan penilaian dampak perlindungan data yang detail, termasuk analisis risiko dan manfaat. Ini bukan dokumen internal, tetapi harus dibuka untuk scrutiny publik.

2. Konsultasi Publik yang Bermakna

Kebijakan yang memengaruhi puluhan juta warga tidak bisa diputuskan secara teknokratis. Harus ada konsultasi publik yang melibatkan aktivis digital rights, akademisi, dan masyarakat sipil.

3. Harmonisasi dengan UU PDP

Peraturan Menteri harus secara eksplisit menunjukkan kesesuaiannya dengan setiap pasal relevan dalam UU PDP, termasuk justifikasi mengapa data biometrik diperlukan dan bagaimana hak-hak subjek data akan dilindungi.

4. Mekanisme Opt-Out dan Alternatif

Jika tetap akan diimplementasikan, harus ada mekanisme opt-out untuk kelompok tertentu dan alternatif non-biometrik bagi yang menolak, tanpa diskriminasi akses layanan.

5. Audit Independen Berkala

Infrastruktur penyimpanan data biometrik harus diaudit oleh pihak independen secara berkala dan hasilnya dipublikasikan.

Kesimpulan: Proporsional, jangan FOMO

Keinginan pemerintah untuk mengatasi penipuan daring dapat dipahami. Namun solusi yang diambil harus proporsional, efektif, dan—yang terpenting—sesuai dengan hukum yang kita miliki sendiri.

UU Pelindungan Data Pribadi yang baru saja berlaku penuh bukan sekadar dokumen simbolis. Ini adalah komitmen Indonesia untuk menghormati hak konstitusional warga negara atas privasi dan pelindungan diri pribadi sebagaimana dijamin Pasal 28G UUD 1945.

Rencana implementasi face recognition untuk registrasi SIM card menghadapi pertanyaan serius tentang kesesuaiannya dengan UU PDP—dari landasan hukum pemrosesan, pemenuhan hak subjek data, proporsionalitas, hingga mekanisme pengamanan.

Yang dibutuhkan sekarang bukan buru-buru implementasi, tetapi transparansi, dialog publik, dan jaminan bahwa setiap kebijakan yang menyentuh data pribadi warga negara benar-benar mematuhi standar perlindungan data yang sudah kita tetapkan sendiri.

Jika Eropa dengan segala infrastruktur teknologinya masih sangat hati-hati dengan data biometrik, mengapa Indonesia—yang memiliki rekam jejak kebocoran data yang buruk—justru bergerak lebih agresif? Apakah ini cuma karena FOMO? Atau bisnis belaka?