Perdebatan tentang teknologi pengenalan wajah di Indonesia memasuki babak baru ketika pemerintah menyiapkan peta jalan nasional dan regulasi yang lebih mengikat. Setelah terbitnya Surat Edaran etika pemanfaatan AI dari Kementerian Komunikasi dan Digital (Komdigi), arah kebijakan kini bergerak dari sekadar imbauan menuju kerangka yang bisa berlaku lintas lembaga. Di satu sisi, pengenalan wajah menjanjikan layanan publik yang lebih cepat—mulai dari verifikasi akun hingga akses layanan administrasi. Di sisi lain, pertanyaan tentang privasi, keamanan data, dan risiko penyalahgunaan semakin kuat, apalagi ketika wacana identifikasi biometrik untuk pemilik smartphone ikut bergulir dan memantik diskusi pengawasan digital.
Rencana ini tidak lahir di ruang hampa. Pemerintah menyebut pendekatan kolaborasi quadhelix—industri, akademisi, masyarakat sipil, dan pemerintah—sebagai cara merumuskan tata kelola AI yang inklusif, didukung pula oleh kerja sama internasional seperti JICA dan pendampingan konsultan global. Dengan fondasi hukum yang sudah ada (UU ITE, UU Perlindungan Data Pribadi, KUHP, hingga aturan teknis kementerian), Perpres dan peta jalan diposisikan sebagai “jembatan” yang menyatukan standar lintas sektor. Di tengah dorongan kedaulatan digital dan “nasionalisme software”, pertaruhannya jelas: bagaimana Indonesia membangun kebijakan teknologi yang mendorong inovasi, namun tetap menjaga hak warga dan transparansi penggunaan data sensitif.
- Pemerintah menyiapkan dua produk: peta jalan nasional AI dan regulasi bentuk Perpres yang berlaku lintas lembaga.
- Teknologi pengenalan wajah diproyeksikan memperkuat verifikasi layanan digital, termasuk kemungkinan untuk skema identifikasi biometrik pemilik perangkat.
- Privasi dan keamanan data menjadi isu utama: siapa mengelola data wajah, berapa lama disimpan, dan bagaimana mekanisme pengawasan?
- Quadhelix (industri–akademisi–masyarakat sipil–pemerintah) dan dukungan JICA serta BCG disebut memperkuat kualitas penyusunan peta jalan.
- Fondasi hukum seperti UU PDP, UU ITE, dan KUHP menjadi pijakan mitigasi risiko dalam pengembangan AI.
- Wacana nasionalisme software membuka peluang bagi startup lokal sekaligus menuntut standar interoperabilitas dan audit yang ketat.
Peta Jalan Regulasi Pengenalan Wajah di Indonesia: Dari Etika ke Perpres yang Mengikat
Peralihan dari pedoman etika menuju regulasi yang mengikat adalah sinyal bahwa pemerintah melihat AI—termasuk teknologi pengenalan wajah—sebagai infrastruktur strategis, bukan sekadar fitur aplikasi. Surat Edaran etika AI dari Komdigi memberi arah umum: gunakan AI secara bertanggung jawab, hindari bias, dan jaga hak pengguna. Namun, Surat Edaran kerap terbatas pada daya paksa. Karena itu, rencana Peraturan Presiden (Perpres) menjadi langkah berikutnya agar standar dapat berlaku bagi seluruh lembaga, bukan hanya satu sektor atau satu kementerian.
Di lapangan, fragmentasi aturan sering memunculkan celah. Sebuah pemerintah daerah mungkin memasang kamera pengenal wajah untuk keamanan ruang publik, sementara instansi lain menggunakannya untuk autentikasi layanan, tetapi standar persetujuan, masa simpan data, dan mekanisme pengaduan berbeda-beda. Perpres dapat menjadi “payung” yang menyamakan definisi, proses, serta pembagian tanggung jawab antarlembaga. Dengan payung yang sama, pelaku industri juga mendapat kepastian: apa yang boleh, apa yang dilarang, dan apa yang wajib dipenuhi sebelum sistem diluncurkan.
Wakil Menteri Komdigi Nezar Patria pada 2025 menyampaikan bahwa akan ada dua produk: peta jalan nasional dan Perpres. Dalam konteks 2026, pesan itu relevan karena adopsi pengenalan wajah berkembang cepat, terutama di sektor keuangan digital, e-commerce, dan layanan pemerintahan berbasis aplikasi. Perpres yang matang biasanya tidak hanya mengatur teknologi, tetapi juga tata kelola: penilaian risiko, audit, dan kewajiban pelaporan insiden. Jika sebuah sistem mengalami kebocoran template wajah, misalnya, siapa yang harus memberi tahu publik, berapa batas waktunya, dan bentuk pemulihannya?
Kerangka ini juga perlu menaut pada dasar hukum yang sudah ada. UU Perlindungan Data Pribadi memberi prinsip penting: kejelasan tujuan, minimalisasi, keamanan pemrosesan, hingga hak subjek data. UU ITE dan KUHP menambah lapis penegakan jika terjadi akses ilegal atau penyalahgunaan. Peta jalan lalu berfungsi sebagai kompas implementasi: sektor mana yang diprioritaskan, apa standar teknis yang disarankan, dan bagaimana pemerintah mendorong adopsi yang etis. Banyak negara menerapkan model serupa; salah satu referensi diskusi yang relevan untuk memperkaya perspektif pembaca dapat ditemukan melalui ulasan tentang rencana AI yang bertanggung jawab di berbagai negara.
Untuk menggambarkan dampak kebijakan ini, bayangkan tokoh fiktif bernama Dira, pemilik UMKM yang berjualan lewat platform online. Ia ingin mengaktifkan verifikasi pengenalan wajah untuk mencegah akun diambil alih. Di sisi lain, ia khawatir jika data wajahnya dipakai ulang untuk tujuan lain tanpa persetujuan. Perpres yang jelas akan membantu Dira memahami haknya: kapan harus memberi persetujuan, bagaimana menariknya kembali, dan ke mana mengadu jika terjadi masalah. Pada titik ini, peta jalan tidak boleh berhenti sebagai dokumen; ia harus menurunkan standar operasional yang bisa dipahami publik. Insight akhirnya: regulasi yang baik bukan menghambat inovasi, melainkan membuat inovasi dapat dipercaya.
Tata Kelola dan Pengawasan Digital: Menjaga Privasi dan Keamanan Data Wajah
Ketika pengenalan wajah digunakan untuk autentikasi, yang disimpan bukan sekadar foto. Dalam banyak sistem, data diolah menjadi “template” biometrik—representasi matematis dari ciri wajah. Ini sebabnya isu privasi dan keamanan data menjadi jauh lebih sensitif dibanding kata sandi biasa. Kata sandi bisa diganti; wajah tidak. Maka, regulasi harus memaksa penyelenggara sistem menerapkan perlindungan berlapis, sekaligus memastikan publik paham apa yang terjadi di balik layar.
Salah satu pertanyaan paling penting adalah: kapan pengenalan wajah dianggap perlu? Tanpa prinsip “kebutuhan dan proporsionalitas”, teknologi mudah bergeser menjadi alat pengawasan digital yang berlebihan. Dalam layanan publik, misalnya, verifikasi biometrik mungkin masuk akal untuk mencegah pemalsuan identitas pada transaksi berisiko tinggi. Namun untuk akses layanan berisiko rendah, pendekatan lain seperti OTP, PIN, atau verifikasi dokumen bisa cukup. Peta jalan yang baik akan menempatkan teknologi sesuai konteks, bukan seolah-olah satu solusi untuk semua masalah.
Contoh yang sering dibahas adalah kamera di ruang publik. Sistem dapat berguna untuk mencari orang hilang atau mengidentifikasi pelaku kejahatan berat, tetapi juga berpotensi mengumpulkan data orang yang tidak terkait apa pun. Karena itu, Perpres idealnya mengatur batasan yang tegas: kriteria penggunaan, kewajiban uji dampak, dan pengawasan independen. Ini bukan sekadar persoalan teknis; ini menyangkut rasa aman warga saat berada di ruang kota. Apakah orang tetap merasa bebas berkumpul dan berpendapat jika merasa selalu dipindai?
Dalam praktik tata kelola, beberapa komponen krusial sering menjadi pembeda antara sistem yang aman dan sistem yang berisiko:
- Persetujuan yang bermakna: pengguna tahu tujuan, masa simpan, dan pihak yang menerima data.
- Minimalisasi data: hanya memproses atribut yang diperlukan, bukan mengumpulkan semua yang bisa dikumpulkan.
- Enkripsi dan segmentasi: data biometrik disimpan terenkripsi, dipisah dari data identitas lainnya.
- Audit dan log akses: setiap akses tercatat, dapat diawasi, dan ada sanksi jika disalahgunakan.
- Mekanisme pengaduan: warga bisa melaporkan kesalahan identifikasi atau dugaan penyalahgunaan.
Untuk membantu pembaca melihat relasi kebijakan dan risiko, tabel berikut merangkum contoh area pengawasan dan mitigasinya. Kerangka semacam ini dapat diturunkan dari peta jalan menjadi standar lintas sektor.
Area Risiko |
Contoh Kasus |
Dampak |
Mitigasi dalam Regulasi |
|---|---|---|---|
Kesalahan identifikasi (false match/false non-match) |
Warga ditolak akses layanan karena sistem gagal mengenali |
Diskriminasi layanan, kerugian waktu/biaya |
Prosedur banding, verifikasi alternatif, uji akurasi berkala |
Penyalahgunaan akses internal |
Oknum mengunduh template biometrik |
Kebocoran data sensitif |
Log wajib, pembatasan hak akses, sanksi tegas, audit independen |
Perluasan tujuan (function creep) |
Data untuk autentikasi dipakai untuk profiling |
Pelanggaran privasi, hilangnya kepercayaan |
Batas tujuan, persetujuan ulang, larangan pemrosesan sekunder tanpa dasar hukum |
Keamanan infrastruktur |
Server disusupi, data diekstraksi |
Kerusakan reputasi, risiko kriminal |
Standar keamanan data, enkripsi, uji penetrasi, kewajiban notifikasi insiden |
Di sejumlah kota besar, warga sudah terbiasa dengan CCTV, tetapi pengenalan wajah mengubah sifat pengamatan: dari rekaman pasif menjadi identifikasi aktif. Karena itu, pengawasan kebijakan harus sama modernnya dengan teknologinya. Kuncinya: transparansi, audit, dan kontrol publik. Insight akhirnya: perlindungan privasi bukan “penghambat keamanan”, melainkan syarat agar keamanan tidak berubah menjadi ketakutan.
Perbincangan berikutnya mengarah pada aspek yang paling terasa bagi masyarakat: wacana identifikasi biometrik pemilik smartphone dan integrasinya dengan layanan sehari-hari.
Identifikasi Biometrik Pemilik Smartphone: Integrasi Layanan Publik dan Risiko Ketergantungan Teknologi
Wacana kewajiban identifikasi biometrik bagi pemilik smartphone muncul seiring ambisi memperkuat keamanan ekosistem digital. Logikanya sederhana: jika perangkat terhubung ke identitas yang terverifikasi, penipuan bisa ditekan, akun palsu berkurang, dan layanan publik lebih cepat. Dalam narasi kebijakan, pengenalan wajah diproyeksikan menjadi “kunci” yang memudahkan warga mengakses berbagai layanan—dari verifikasi akun hingga administrasi kependudukan berbasis aplikasi—tanpa berulang kali mengunggah dokumen.
Namun, integrasi masif membawa pertanyaan yang tidak sederhana. Pertama, bagaimana skema persetujuan dan pilihan? Jika biometrik menjadi “wajib”, ruang pilihan warga mengecil. Kedua, siapa pengendali data? Apakah data wajah disimpan di perangkat (on-device) atau terkonsolidasi di server? Perbedaan arsitektur ini menentukan tingkat risiko. Penyimpanan terpusat memudahkan standardisasi, tetapi meningkatkan dampak jika terjadi kebocoran besar. Penyimpanan lokal lebih aman dari kebocoran massal, namun menuntut standar perangkat dan interoperabilitas yang konsisten.
Bayangkan skenario Dira tadi yang juga seorang ibu. Ia ingin mendaftarkan anaknya ke layanan kesehatan berbasis aplikasi. Jika verifikasi wajah mempercepat proses, itu keuntungan nyata. Tetapi jika suatu hari sistem salah mengenali karena pencahayaan buruk atau perubahan wajah, ia bisa terhambat saat butuh layanan cepat. Maka, kebijakan perlu mewajibkan “jalur alternatif” yang manusiawi: petugas verifikasi manual, PIN cadangan, atau dokumen pendukung. Dalam desain layanan publik, teknologi harus membantu, bukan menjadi pintu penghalang.
Aspek lain yang sering luput adalah inklusivitas. Tidak semua warga memiliki perangkat dengan kamera memadai, koneksi stabil, atau literasi digital yang sama. Jika identifikasi biometrik menjadi syarat utama, kelompok rentan bisa terdorong ke pinggir layanan. Peta jalan yang inklusif semestinya memasukkan target pemerataan: pelatihan, dukungan layanan tatap muka, dan standar aksesibilitas. Di sinilah pendekatan lintas sektor—pemerintah, industri, akademisi, masyarakat sipil—menjadi penting agar kebijakan tidak hanya bagus di atas kertas.
Dari sisi implementasi, ada pula kebutuhan untuk memisahkan “identifikasi” dan “autentikasi”. Identifikasi berarti sistem mencari “siapa kamu” dalam basis data; autentikasi berarti membuktikan “kamu benar pemilik akun ini”. Autentikasi wajah yang dilakukan di perangkat bisa lebih ramah privasi dibanding identifikasi massal di server. Perpres yang kuat perlu menegaskan batas penggunaan: untuk kasus apa identifikasi boleh dilakukan, dan kapan autentikasi cukup. Ini akan mengurangi dorongan penggunaan teknologi secara berlebihan, sekaligus menjaga efektivitasnya.
Diskusi ini juga menyentuh isu tata kelola vendor dan standar keamanan. Jika negara mendorong integrasi biometrik, penyedia sistem harus lolos uji keamanan, menyediakan dokumentasi, serta mendukung audit. Kalau tidak, negara berisiko terjebak pada ketergantungan teknologi tertentu dan sulit berpindah ketika ditemukan kelemahan. Insight akhirnya: identifikasi biometrik bisa mempercepat layanan, tetapi hanya aman bila hak warga, pilihan alternatif, dan arsitektur perlindungan data dirancang sejak awal.
Ketika integrasi layanan semakin luas, pertanyaan berikutnya mengarah pada bagaimana kebijakan teknologi ini mendorong industri lokal dan agenda kedaulatan digital.
Nasionalisme Software dan Ekosistem Inovasi: Peluang Startup Lokal di Tengah Regulasi Pengenalan Wajah
Isu “nasionalisme software” menguat ketika pemerintah menyusun peta jalan AI dan membahas penggunaan biometrik. Dorongannya sering dikaitkan dengan kedaulatan digital: mengurangi ketergantungan pada teknologi luar, memperkuat rantai pasok, serta memastikan data strategis dikelola sesuai kepentingan nasional. Dalam kerangka ini, regulasi bukan sekadar pagar pembatas, melainkan sinyal pasar. Ketika standar jelas, pelaku usaha dapat membangun produk yang patuh sejak awal—dan itu menciptakan peluang besar bagi startup lokal.
Ambil contoh perusahaan rintisan hipotetis bernama NusantaraID. Mereka ingin mengembangkan modul autentikasi wajah untuk koperasi digital dan layanan pinjaman mikro. Tanpa pedoman nasional, NusantaraID harus menebak-nebak: algoritma apa yang diterima, bagaimana format persetujuan, dan standar keamanan apa yang dianggap cukup. Dengan Perpres dan peta jalan, mereka bisa merancang sistem sesuai kewajiban: enkripsi template, penyimpanan tersegmentasi, serta mekanisme audit. Hasilnya bukan hanya kepatuhan, tetapi juga keunggulan kompetitif karena produk lebih dipercaya.
Meski begitu, nasionalisme software tidak otomatis berarti menutup pintu kolaborasi global. Dukungan JICA dan pendampingan konsultan internasional dalam proses penyusunan menunjukkan bahwa Indonesia memilih jalur pragmatis: belajar dari praktik terbaik sambil membangun kapasitas domestik. Kuncinya adalah transfer pengetahuan, standardisasi, dan penguatan talenta. Peta jalan yang baik harus menuliskan kebutuhan kompetensi: ahli keamanan siber, insinyur machine learning, auditor algoritma, hingga perancang kebijakan publik yang memahami detail teknis.
Regulasi juga dapat menciptakan pasar untuk layanan pendukung: audit model, uji bias, dan sertifikasi keamanan. Di banyak negara, industri “AI assurance” tumbuh karena organisasi perlu bukti kepatuhan. Di Indonesia, peluang ini bisa membuka lapangan kerja baru, termasuk bagi kampus yang membangun laboratorium evaluasi. Pada saat yang sama, masyarakat sipil punya ruang lebih jelas untuk memantau: apakah sistem pengenalan wajah di ruang publik sudah memenuhi prinsip proporsionalitas, atau justru melebar tanpa kontrol.
Untuk membuat pertumbuhan ekosistem tidak timpang, kebijakan perlu membedakan antara pelaku besar dan kecil. Kewajiban keamanan yang sama untuk semua terdengar adil, tetapi bisa memberatkan UMKM digital jika biayanya terlalu tinggi. Solusi yang sering dipakai adalah pendekatan berbasis risiko: semakin sensitif penggunaan dan semakin besar skala pemrosesan, semakin ketat kewajiban audit dan pelaporan. Startup kecil yang hanya melakukan autentikasi lokal bisa punya jalur kepatuhan yang lebih ringan, namun tetap menjaga standar minimal keamanan.
Diskusi nasionalisme software juga menyentuh interoperabilitas. Jika setiap instansi memakai format template biometrik yang berbeda dan tertutup, warga bisa terjebak dalam banyak sistem yang tidak saling terhubung, sementara pengawasan menjadi rumit. Karena itu, peta jalan sebaiknya mempromosikan standar terbuka yang aman, tanpa mengorbankan perlindungan data. Insight akhirnya: kedaulatan digital bukan sekadar “produk lokal”, melainkan ekosistem yang transparan, aman, dan mampu diaudit.
Quadhelix dan Implementasi Lintas Sektor: Dari Dokumen Peta Jalan ke Praktik yang Bisa Diawasi
Penyusunan peta jalan AI yang melibatkan quadhelix—industri, akademisi, masyarakat sipil, dan pemerintah—mengirim pesan bahwa tata kelola tidak bisa dikerjakan sepihak. Masing-masing pihak membawa lensa berbeda. Industri memahami kebutuhan pasar dan tantangan operasional. Akademisi menilai metodologi, bias, dan validitas klaim akurasi. Masyarakat sipil mengangkat perspektif hak warga, dampak sosial, serta kelompok rentan. Pemerintah menata tujuan nasional, sinkronisasi antarlembaga, dan penegakan. Jika empat elemen ini benar-benar bekerja bersama, peta jalan tidak berhenti sebagai dokumen strategi, tetapi menjadi mekanisme kontrol sosial yang nyata.
Dalam implementasi regulasi pengenalan wajah, koordinasi lintas sektor biasanya menghadapi tiga ujian: konsistensi standar, kesiapan sumber daya, dan akuntabilitas. Konsistensi berarti definisi dan persyaratan tidak berubah-ubah antarinstansi. Kesiapan sumber daya berarti petugas dan auditor memahami sistem, bukan hanya mengandalkan vendor. Akuntabilitas berarti selalu ada pihak yang dapat dimintai pertanggungjawaban jika terjadi insiden—bukan saling lempar tanggung jawab antara operator, pengembang, dan pemilik kebijakan.
Agar peta jalan mudah diawasi publik, indikator implementasi perlu dibuat terukur. Misalnya, berapa instansi yang sudah melakukan penilaian dampak perlindungan data sebelum memakai pengenalan wajah? Berapa sistem yang telah diaudit independen? Berapa insiden keamanan yang dilaporkan dan ditangani? Ketika indikator diumumkan secara berkala, kepercayaan meningkat karena warga melihat proses, bukan sekadar janji. Ini juga memperbaiki kualitas belanja teknologi pemerintah: vendor terdorong memenuhi standar karena kinerjanya dapat dibandingkan.
Contoh sederhana bisa terjadi di layanan perizinan usaha daerah. Jika pemerintah daerah memakai pengenalan wajah untuk login pelaku usaha, mereka perlu memastikan akses tidak mempersulit. Dengan quadhelix, kampus lokal bisa menguji bias sistem pada berbagai kondisi cahaya dan variasi perangkat, sementara komunitas warga menguji alur persetujuan: apakah cukup jelas, apakah ada pilihan non-biometrik, dan apakah kebijakan retensi datanya diumumkan. Hasil evaluasi kemudian dibawa ke forum pemerintah untuk perbaikan. Model seperti ini membuat pengawasan digital tidak selalu berarti memantau warga; sebaliknya, warga ikut memantau sistem.
Fondasi hukum yang disebut pemerintah—UU ITE, UU PDP, KUHP, serta aturan teknis—membantu menutup celah penegakan. Namun, penegakan memerlukan prosedur yang realistis: investigasi forensik, standar bukti, dan koordinasi antarpenegak hukum serta regulator. Peta jalan bisa memetakan siapa melakukan apa, termasuk pembagian peran antara pembina sistem elektronik, otoritas perlindungan data, dan aparat penegak hukum dalam kasus kebocoran.
Yang sering terlupakan adalah komunikasi publik. Teknologi biometrik mudah memicu ketakutan jika pemerintah dan penyelenggara layanan tidak menjelaskan secara sederhana: data apa yang diambil, bagaimana diamankan, dan apa hak warga. Komunikasi yang jujur—termasuk mengakui keterbatasan sistem—justru membuat kebijakan lebih tahan kritik. Insight akhirnya: keberhasilan peta jalan diukur dari praktik yang transparan dan dapat diuji, bukan dari seberapa tebal dokumennya.
