tirto.id - Teknologi pengenalan wajah yang diterapkan dalam transportasi publik, seperti pada boarding gate kereta api, menimbulkan kekhawatiran terkait keamanan data di tengah maraknya kasus kebocoran data di Indonesia. Meskipun dianggap efisien dalam mengurangi waktu layanan, banyak penumpang yang mempertanyakan keamanan data biometrik mereka. Ada risiko penyalahgunaan data oleh pihak ketiga, serta potensi diskriminasi dalam penerapan teknologi ini.
Menjelang penerapan Undang-Undang Nomor 27 tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) yang akan berlaku penuh pada Oktober 2024 mendatang, baru-baru ini, untuk kesekian kalinya, dugaan kebocoran data menyembul ke permukaan. Sebanyak 6 juta data Nomor Pokok Wajib Pajak (NPWP) milik masyarakat diklaim diperjualbelikan di Breach Forums.
Tak hanya milik masyarakat sipil, dari jutaan data yang diperjualbelikan itu, data milik sejumlah pejabat publik, yang diklaim milik Presiden Joko Widodo (Jokowi), Menteri Komunikasi dan Informatika (Kominfo), Budi Arie Setiadi, hingga Menteri Keuangan, Sri Mulyani, diduga bocor dalam situs tersebut.
Berita kebocoran data pribadi milik masyarakat memang bukan barang baru di Indonesia. Sepanjang 2019-2020, tercatat sejumlah kasus dugaan kebocoran data yang melibatkan perusahaan e-commerce.
Di tengah maraknya kasus pencurian dan kebocoran data yang menimpa warga Indonesia, teknologi pengumpulan data biometrik, seperti face recognition, menuai sorotan. Dengan teknologi face recognition, perusahaan dapat mengidentifikasi atau mengonfirmasi identitas seseorang hanya dengan menggunakan wajah mereka.
Selama ini, teknologi face recognition digunakan oleh perusahaan untuk layanan-layanan yang berisiko, seperti transaksi keuangan dan perbankan. Namun, sejak akhir tahun 2022 lalu, perusahaan seperti PT Kereta Api Indonesia/KAI (Persero) juga mulai menerapkan teknologi ini untuk kepentingan boarding penumpang kereta api (face recognition boarding gate).
Aturan face recognition yang diterapkan PT KAI ini pun sempat memantik kritik dan perbincangan di media sosial. Sekitar tahun 2023 lalu, sebuah cuitan warganet di X mengungkap keresahan perihal keamanan data pribadi dan nihilnya pemberitahuan soal kebijakan privasi sebelum menyetorkan data.
Satria (26) sebagai pengguna kereta api yang mendaftarkan datanya untuk fasilitas pemindai wajah di KAI, juga menceritakan hal yang sama. Saat mendaftar face recognition di Stasiun Gambir, Jakarta, sekira tahun 2024 ini, ia mengaku tak tahu menahu perihal ketentuan privasinya.
Satria bilang, kendati tak diharuskan oleh petugas, kala hendak menempuh perjalanan Jakarta-Bandung itu, ia merasa registrasi pemindai wajah wajib dilakukan. Tanpa bertanya panjang lebar kepada penjaga di stasiun, ia akhirnya mengunjungi posko pendaftaran face recognition dan proses itu disebut rampung dalam waktu 5 menit.
“Jadi sebenarnya belum ada kayak kontak, ngomong langsung sama si orang petugasnya gitu ya, apakah gue harus mendaftarkan muka gue atau enggak, cuma apa namanya, waktu itu gue lebih mikir, 'ah, biar cepet', gitu, kayaknya emang harus nih,” kisahnya saat bincang-bincang dengan Tirto, Rabu (18/9/2024).
Akibat maraknya kasus kebocoran data di Tanah Air, pekerja di salah satu instansi pemerintah itu sampai tak pikir panjang soal keamanan datanya. Satria justru bertanya-tanya soal seberapa berguna dan berkelanjutan fasilitas semacam ini.
“Nah, tapi yang gue lebih khawatir, kalau ternyata misalnya si KAI-nya via pihak ketiga, entah di mana gitu. Dan kayak itu malah jadi dibagikan, terus nanti malah jadi punya swasta gitu sebenarnya hitungannya. Dan kayak itu 'kan malah rentan jadi komoditas ya,” katanya.
Satria juga mengaku belum terlalu paham akan tujuan diterapkannya pemindai wajah di stasiun. Menurutnya, memindai tiket perjalanan saja sudah cukup.
“Ya mungkin gini, bisa jadi ya. Dengan face [recognition] itu memang ibaratnya kalau tempel kartu itu atau scan QR itu misalnya setengah detik. Tapi face bisa 0,2 [detik] gitu. Dari setengah misalnya jadi setengahnya setengah gitu, seperempatnya doang. Itu mungkin gue masih bisa pertimbangkan ya. Tapi kan kita nggak pernah tahu apa alasan di balik si face recognition ini,” kata Satria.
Masalahnya, fasilitas ini rupanya tak berjalan mulus di stasiun tertentu. Bila (26), yang kerap memanfaatkan moda kereta untuk bepergian Jakarta-Yogyakarta, bercerita kepada Tirto bahwa face recognition di Stasiun Yogyakarta seringkali tak berfungsi.
“Yang di Jogja tuh suka lama gitu ngebaca wajahnya. Jadi kita kayak harus memposisikan diri gitu lah apa maju mundur gerak-gerak gitu. Aku gatau apa karena pemeliharaannya yang buruk, apa dari awal kualitas gadget-nya kurang, apa karena cahaya lorongnya kurang,” ungkapnya lewat pesan WhatsApp, Rabu (18/9/2024).
Sama seperti Satria, Bila pun tak tahu soal kebijakan privasi data tangkapan wajah yang telah disetorkan. Tujuan utama ia mendaftar pemindai wajah hanya satu, fitur ini bakal bikin ia tak perlu mengantre dan membantunya agar tak terlalu repot mengeluarkan dokumen seperti Kartu Tanda Penduduk (KTP).
“Mungkin karena sama sekali nggak kepikiran, aku nggak punya kekhawatiran terkait penyimpanan atau keamanan data. Tapi, ketidak khawatiran ini bisa jadi muncul karena aku nggak percaya aja, emang pemerintah kita punya resource apa buat melindungi data kita? Jadi yaudahlah, yang penting aku cukup terbantu. Terus aku berbaik sangka aja,” katanya.
KAI Pastikan Data Aman dan Akan Dihapus dalam 1 Tahun?
Perlu diketahui, registrasi layanan pemindai wajah di stasiun bisa dilakukan dengan menempelkan KTP elektronik atau e-KTP pada alat e-KTP reader, kemudian menempelkan jari telunjuk kanan atau kiri pada pemindai yang ada di e-KTP reader.
Registrasi layanan face recognition ini juga dapat dilakukan via aplikasi Access by KAI. Caranya, pengguna bisa mengunjungi bagian profil dan memencet opsi “face recognition”.
Namun, tak seperti mekanisme pendaftaran secara luring di stasiun, pengguna yang mendaftar lewat aplikasi terlebih dahulu diberi peringatan soal “syarat dan ketentuan pemindai wajah”. Di situ tertulis bahwa data nama, Nomor Induk Kependudukan (NIK), dan foto akan disimpan pada infrastruktur KAI dan hanya dipergunakan untuk proses boarding menggunakan face recognition gate.
Dalam peringatan itu juga disebut, data pengguna akan disimpan sepanjang penumpang menggunakan layanan kereta api. Jika dalam waktu satu tahun berturut-turut, penumpang tidak menggunakan layanan kereta api, maka data penumpang akan dihapus.
Meski begitu, Peneliti Lembaga Studi dan Advokasi Masyarakat (ELSAM), Parasurama Pamungkas, menilai, persetujuan pengguna semacam ini baru dilakukan KAI. Menurutnya, pada awal perusahaan pelat merah tersebut melakukan pemrosesan data pemindai wajah pada tahun 2022, mereka belum memiliki kebijakan privasi yang jelas.
“Ketika pertama diterapkan [pada tahun 2022] belum ada privacy policy-nya, belum ada skema penanganan, skema perlindungan yang maksimal yang menunjukkan bahwa sebenarnya fitur ini diberikan tanpa ada basis persiapan yang jelas,” tutur Parasurama ketika dihubungi Tirto, Kamis (19/9/2024).
Di sisi lain, Vice President Public Relations KAI, Anne Purba, telah memastikan pihaknya sudah mengimplementasikan Sistem Manajemen Keamanan Informasi berstandar internasional ISO 27001 tentang Standardisasi Manajemen Keamanan Informasi. Ia juga mengonfirmasi soal masa penyimpanan data selama satu tahun.
“Pelanggan KAI tidak perlu khawatir karena saat ini KAI juga telah mengimplementasikan ISO 27001:2013 sebagai standarisasi Sistem Manajemen Keamanan Informasi di KAI. Standarisasi keamanan ini juga secara berkala dilakukan audit oleh auditor independen untuk memastikan keamanan dalam penerapannya,” katanya lewat keterangan tertulis, Rabu (18/9/2024).
Anne juga menegaskan bahwa KAI tidak pernah memaksakan penggunaan fasilitas face recognition kepada pelanggan. Ia menyebut pihaknya selalu menyediakan proses boarding menggunakan KTP/tiket secara manual.
“Tidak ada stasiun yang sepenuhnya menerapkan face recognition boarding gate. KAI selalu menyediakan proses boarding melalui pengecekan Kartu Identitas seperti KTP dan scan tiket perjalanan,” imbuhnya.
Ketika ditanya perihal penyimpanan data dilakukan mandiri atau dengan menunjuk pihak ketiga, Anne hanya menjawab “sudah ada ISO-nya”.
Lebih jauh, Anne menyebut kehadiran face recognition boarding gate ditujukan untuk mempermudah pelanggan KA jarak jauh yang ingin naik kereta api. Hal ini dikatakan sejalan dengan peningkatan volume penumpang sehingga sangat efektif dan efisien dari sisi waktu pelayanan.
Selain itu, face recognition ini juga disebut Anne selaras dengan program Sustainability & Digital Transformation yang dapat mengurangi penggunaan kertas. Anne bilang, bahkan selama pandemi COVID-19, sistem ini bisa membantu mengurangi kontak fisik untuk memperkecil penyebaran virus.
“Face recognition ini bagian dari transformasi digital yang bertujuan untuk peningkatan pelayanan dan kenyamanan dengan efisien efektif yang sangat mendukung sustainability program (mengurangi penggunaan kertas). Bisa dibayangkan saat ini KAI melayani hampir 1,3 juta penumpang/hari baik jarak jauh dan perkotaan juga [KA] bandara,” katanya.
Anne menyampaikan, saat ini fasilitas face recognition boarding gate tersedia di 19 stasiun, termasuk Stasiun Gambir, Stasiun Bekasi, Stasiun Bandung, Stasiun Yogyakarta, Stasiun Solo Balapan, Stasiun Madiun, Stasiun Surabaya Pasarturi, dan Stasiun Medan.
Adapun penumpang kereta yang telah melakukan pendaftaran pemindai wajah berhak mengajukan penghapusan data melalui aplikasi Access by KAI atau melalui petugas customer service di stasiun.
Inovasi Face Recognition KAI Merupakan “Lompatan Keliru”
Menyoal langkah KAI untuk mengumpulkan data-data biometrik seperti face recognition, Parasurama dari ELSAM menggarisbawahi, data biometrik milik masyarakat tersebut sebenarnya sudah terekam oleh pemerintah melalui Kependudukan dan Catatan Sipil (Dukcapil) dalam proses perekaman e-KTP.
“Apa yang dilakukan PT KAI sebenarnya jadi lompatan yang keliru. Karena ada masalah soal autentifikasi terkait dengan data-data yang sudah ada. Tapi kemudian, mereka menambah lagi data-data baru yang mereka kumpulkan lewat perekaman wajah,” tuturnya.
Tak hanya soal itu, Parasurama pun menyoroti adanya potensi diskriminasi dari kebijakan penggunaan face recognition sebagai salah salah satu syarat dalam penggunaan transportasi publik.
“Karena teknologi ini juga bias. Tidak kemudian inklusif terhadap semua jenis kulit, semua jenis rambut, semua jenis mata sehingga mestinya jangan sampai ada kebijakan untuk mewajibkan seluruh penumpang menggunakan face recognition,” imbuhnya.
Dalam konteks KAI misalnya, meski kebijakan face recognition bukan menjadi syarat dan kewajiban utama untuk melakukan boarding, ia melihat ada diskriminasi pelayanan antara penumpang yang menggunakan face recognition dan yang masih manual menggunakan KTP.
“Face recognition diletakkan di pintu utama, sementara yang menggunakan KTP diletakkan di pintu yang agak jauh dari pintu utama. Nah ini, kan jadi satu soal juga karena seolah-olah memaksa masyarakat menggunakan face recognition dan memberikan datanya ke PT KAI,” kata Parasurama.
Senada, Direktur Eksekutif ICT Institute, Heru Sutadi, pun berpendapat langkah penerapan face recognition di transportasi publik tak terlalu penting. Di tengah pengesahan UU PDP, menurut Heru, pengendali data yang memproses data spesifik seperti pemindai wajah tak boleh sembarangan dan mesti punya dasar yang jelas.
“Apa hak dari penyelenggara layanan terkait dengan kereta api tersebut, kemudian meminta data masyarakat untuk face recognition gitu ya, kan harus ada alasannya. Apakah tidak ada metode lain misalnya gitu ya,” katanya lewat perbincangan Zoom, Rabu (18/9/2024).
Heru menyinggung soal penggunaan fitur face recognition di lingkungan perbankan yang punya tujuan jelas dan menjadi bagian dari prinsip know your customer (mengenal nasabah). Hal itu tercantum dalam Peraturan Bank Indonesia Nomor 3/10/PBI/2001 tentang Penerapan Prinsip Mengenal Nasabah (Know Your Customer Principles) (“PBI 3/2001”) dan perubahannya.
“Jadi, kalau alasannya yang jelas misal saya mau misalnya mendaftar perbankan gitu ya, perbankan itu kan sekarang digital gitu kan, difoto diri kita, kemudian juga difoto misalnya KTP kita, itu memang ada undang-undangnya, mereka ada aturannya bahwa mereka harus know your customer. Jadi, secara aturan mereka memang memiliki kewajiban untuk mengenal nasabahnya siapa,” sambung Heru.
Heru menyatakan, dalam konteks itu fitur face recognition masih bisa diterima karena memang secara undang-undang dibutuhkan.
“Tapi kan kayak layanan transportasi kan nggak perlu know your customer. Kita cukup KTP segala macam kan bisa. Bahkan [data] KTP juga harus diperlakukan dengan baik,” katanya.
Seperti disebutkan Heru, penggunaan data biometrik memang lazim digunakan di industri perbankan. Bank Central Asia (BCA), misalnya, sejak tahun 2022 lalu telah menerapkan fitur biometrik yang bisa menggantikan Password atau PIN (Personal Identification Number) untuk dapat masuk ke layanan bank daring via ponsel atau mobile banking.
EVP Corporate Communication and Social Responsibility BCA, Hera F. Haryn, menyebut penggunaan fitur biometrik dalam layanan perbankan perusahaannya ditujukan untuk memberikan tambahan akses keamanan dan fleksibilitas dalam melakukan transaksi keuangan.
Meski begitu, fitur biometrik tersebut bukanlah suatu syarat dan kewajiban satu-satunya untuk dapat masuk ke layanan mobile banking. Menurut Hera, nasabah memiliki pilihan untuk mengaktifkan atau menonaktifkan fitur tersebut.
“Melalui fitur ‘masuk dengan biometrik’ nasabah dapat mengakses layanan myBCA dengan memanfaatkan teknologi pemindai biometrik, baik itu sidik jari maupun pemindai wajah (face recognition) bawaan handphone, tanpa perlu input manual password BCA ID,” kata Hera kepada Tirto melalui keterangan tertulis, Kamis (19/9/2024).
Lebih lanjut, Hera memastikan dalam rangka pengumpulan data biometrik ini perusahaannya patuh pada kebijakan pemerintah, regulator dan otoritas termasuk mematuhi implementasi dari Undang-Undang Perlindungan Data Pribadi.
Berkaitan dengan isu keamanan data biometrik yang dikumpulkan, ia juga memastikan bahwa BCA saat ini menggunakan pengamanan berlapis dari perangkat keamanan yang terus diperbaharui dan andal, baik di sistem komputer, jaringan, aplikasi, maupun data.
“Hal ini dibuktikan dengan diraihnya sejumlah sertifikat, seperti ISO 27001 untuk penerapan standarisasi sistem manajemen keamanan informasi, ISO 20000:1-2018 terkait service management system of data center dan IT operation management, hingga Threat, Vulnerability, and Risk Assessment (TVRA) untuk pusat data,” kata Hera.
Data Biometrik dalam UU PDP: Potensi Risiko Tinggi
Persoalan pengumpulan data biometrik seperti face recognition bak dua mata pisau. Meski fitur itu disebut bisa meningkatkan efisiensi waktu, hal itu juga sarat akan masalah privasi.
Mengacu pada penjelasan Pasal 4 ayat (2) UU PDP, data biometrik adalah data yang berkaitan dengan fisik, fisiologis, atau karakteristik perilaku individu yang memungkinkan identifikasi unik terhadap individu, seperti gambar wajah atau data daktiloskopi.
Data biometrik sendiri masuk dalam kategori data pribadi yang bersifat “spesifik”, yaitu data pribadi yang apabila dalam pemrosesannya dapat mengakibatkan dampak lebih besar kepada subjek data pribadi, antara lain tindakan diskriminasi dan kerugian yang lebih besar bagi subjek data pribadi.
Oleh karenanya, dalam UU PDP, data spesifik juga tergolong dalam data pribadi yang memiliki potensi risiko tinggi. Pasal 34 ayat (1) UU PDP berbunyi, “Pengendali data pribadi wajib melakukan penilaian dampak perlindungan data pribadi dalam hal pemrosesan data pribadi memiliki potensi risiko tinggi terhadap subjek data pribadi”.
Adapun pelanggaran terhadap pasal 34 ayat (1) akan dikenai sanksi administratif berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, dan/atau denda administratif paling tinggi 2 persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.
Chairman Lembaga Riset Keamanan Siber CISSReC, Pratama Persadha, mengamini data biometrik seperti face recognition akan memiliki risiko dan dampak yang lebih besar jika mengalami kebocoran. Dampak tersebut dapat berupa tindakan diskriminasi dan kerugian yang lebih besar.
“Dengan risiko yang tinggi, pemrosesan data pribadi spesifik yang dilakukan oleh KAI serta perbankan terkait data biometrik ini harus sesuai dengan prinsip perlindungan data pribadi, yaitu dilakukan secara terbatas, sah, transparan, serta dilakukan sesuai tujuan, dilakukan dengan menjamin hak subjek data pribadi,” ujar Pratama saat dihubungi Tirto, Kamis (19/9/2024).
Lebih lanjut, Pratama mengungkap, dari sisi keamanan siber, sistem biometrik memiliki beberapa celah kerawanan yang berisiko tinggi. Pertama, potensi serangan manipulasi atau mengubah data dalam sistem pengenalan wajah, yang dapat mengakibatkan hasil identifikasi yang salah atau bahkan memungkinkan akses ilegal.
Selanjutnya, ada juga potensi serangan Denial of Service (DoS) yang ditujukan untuk menghancurkan ketersediaan sistem biometrik, dengan cara membanjiri server atau jaringan dengan lalu lintas yang tidak sah, yang mengakibatkan penurunan kinerja atau bahkan kegagalan sistem.
Ketiga, ada potensi serangan man-in-the-middle yang dapat menyebabkan penyusup mengakses, mengubah, atau mencuri data saat berpindah antara perangkat dan server serta mengancam integritas hasil identifikasi biometrik.
Terakhir, ada pula kemungkinan serangan adversarial yang bertujuan untuk memanipulasi biometrik sehingga sistem pengenalan wajah atau sidik jari akan memberikan hasil yang salah atau gagal mengenali wajah serta sidik jari yang seharusnya dikenali.
“Oleh karena itu, baik KAI maupun perbankan, perlu menyiapkan sistem pengelolaan data pribadi yang baik serta terlindungi dengan sistem keamanan yang baik pula. Termasuk di dalamnya sistem/mekanisme untuk bisa menghapus data atau memusnahkan data sesuai yang diamanatkan oleh UU PDP,” tutur Pratama.
Perlunya Explicit Consent & Penilaian Dampak Perlindungan Data Pribadi
Peneliti Elsam Parasurama Pamungkas juga menyebut ada beberapa hal yang harus diperhatikan oleh perusahaan selaku pengendali data pribadi dalam rangka pengumpulan data biometrik dari masyarakat sebagai subjek data.
“Pertama, perusahaan itu harus memiliki dulu privacy policy maupun privacy notice. Untuk memastikan bahwa data yang dikumpulkan itu sesuai dengan tujuan yang disepakati oleh subjek data,” katanya.
Kedua, dalam memproses data yang sifatnya sensitif atau spesifik, perusahaan juga harus meminta persetujuan secara terang-terangan atau explicit consent kepada subjek data.
Parasurama menjelaskan, explicit consent yang dimaksud adalah adanya persetujuan secara spesifik dan eksplisit yang secara langsung diungkapkan dari subjek data untuk memproses data-data tersebut. Sederhananya, explicit consent memuat kata persetujuan yang dinyatakan oleh pemilik data.
“Walaupun dalam konteks undang-undang PDP tidak kemudian dibedakan antara consent dan explicit consent. Kalau consent biasa dia ketika kita misalnya di satu platform hanya men-checklist aja,” terang Parasurama.
Hal itu dikarenakan, seperti yang telah dibahas, data biometrik berpotensi menimbulkan resiko yang lebih besar manakala terjadi kebocoran. Explicit consent menjaga risiko pemrosesan data sensitif yang berkaitan dengan kepentingan dan hak pemilik data.
Selanjutnya, menurut Parasurama, perusahaan sebagai pengendali data pribadi juga wajib melakukan Data Protection Impact Assessment (DPIA) atau Penilaian Dampak Perlindungan Data Pribadi. Sebagai konteks, DPIA merupakan salah salah satu instrumen yang diatur dalam UU PDP.
Pasal 34 ayat (1) dalam UU PDP menyebut DPIA dilakukan untuk mengevaluasi potensi risiko yang timbul dari suatu pemrosesan data pribadi, serta upaya atau langkah yang harus dilakukan untuk memitigasi risiko, termasuk terhadap hak subjek data pribadi dan mematuhi UU PDP.
“Kalau terjadi kebocoran maka pengendali itu wajib memastikan bahwa seluruh rantai pemrosesannya aman bagi subjek data, salah satunya melalui Data Protection Impact Assessment (DPIA),” lanjut Parasurama.
Terakhir, Parasurama menjelaskan, perusahaan sebagai pengendali data pribadi juga wajib melakukan perekaman. Artinya, setiap pemrosesan data yang dilakukan oleh pengendali harus mampu direkam dan dibuktikan agar ketika ada satu kegagalan maka itu akan jadi basis bukti untuk melihat sejauh mana pelanggaran tersebut terjadi.
==
Bila pembaca memiliki saran, ide, tanggapan, maupun bantahan terhadap klaim Periksa Fakta dan Decode, pembaca dapat mengirimkannya ke email factcheck@tirto.id.
Editor: Farida Susanty
