World App Belum Terdaftar PSE, Simpan Data Mata Pengguna RI Bisa Langgar UU PDP
kumparanTECH May 06, 2025 01:20 AM
Pakar keamanan siber, Pratama Persadha, menyebut langkah Kementerian Komunikasi dan Digital (Komdigi) membekukan sementara operasi Tanda Daftar Penyelenggara Sistem Elektronik (TDPSE) Worldcoin dan WorldID, layanan yang dinaungi World App, adalah bagian dari tindakan preventif untuk mengamankan data masyarakat Indonesia. Penyelenggara WorldID, PT Terang Bulan Abadi, belum memiliki TDPSE dan terdaftar sebagai Penyelenggara Sistem Elektronik (PSE), sementara Worldcoin justru memakai izin atas nama badan hukum lain.
Dengan entitas yang belum jelas, pengumpulan data biometrik warga Indonesia yang dilakukan oleh WorldID dan Worldcoin berisiko melanggar Undang-Undang Perlindungan Data Pribadi (UU PDP). Warga yang menyerahkan data iris matanya pun berpotensi kehilangan perlindungan hukum atas data pribadinya.
Proyek Worldcoin dan sistem identitas digitalnya, WorldID, belakangan menjadi perbincangan publik usia seorang warga Bekasi mengaku menerima bayaran Rp 800 ribu setelah data retinanya direkam.
Dengan menjadikan pemindaian iris mata sebagai pondasi utama dari proses verifikasi identitas, proyek ini membawa pendekatan berbeda dari kebanyakan sistem digital saat ini. Namun, penggunaan data biometrik yang sangat sensitif menimbulkan pertanyaan tentang keamanan sistem dan perlindungan terhadap hak privasi individu.
World App mengeklaim data biometrik yang diambil melalui perangkat bernama Orb itu tidak disimpan secara permanen. Perusahaan menyatakan pemindaian iris ini digunakan untuk menciptakan kode unik atau hash yang tidak dapat dibalik menjadi gambar iris asli, dan hanya hash inilah yang disimpan untuk menghindari duplikasi identitas.
Namun, secara teknis, masih terdapat celah yang perlu diperhatikan.
“Keamanan suatu sistem tidak hanya bergantung pada pernyataan perusahaan, melainkan pada transparansi arsitektur teknologi, audit independen, serta penegakan hukum yang ketat," kata pria yang menjabat sebagai Chairman di lembaga Communication and Information System Security Research Center (CISSReC) kepada kumparanTECH, Senin (5/5).
"Tanpa adanya sistem audit yang kuat dan keterbukaan teknologi yang digunakan, sulit untuk benar-benar memastikan bahwa data biometrik tersebut tidak disimpan, ditransmisikan, atau diproses di luar pengetahuan pengguna."
Perbesar
Pratama Pershada di acara dialog. Foto: Jofie Yordan/kumparan
Sementara dari sisi regulasi, Pratama menekankan bahwa pengambilan data biometrik oleh World App harus sesuai dengan aturan Undang-Undang Perlindungan Data Pribadi (UU PDP) di Indonesia. Menurut UU PDP, data biometrik, termasuk data retina atau iris, dikategorikan sebagai data pribadi yang bersifat spesifik, dan oleh karenanya memerlukan perlindungan ekstra serta proses persetujuan eksplisit dari pemilik data.
Aktivitas pengumpulan data biometrik juga harus disertai pemberitahuan yang jelas dan lengkap, termasuk tujuan pengumpulan, bagaimana data akan digunakan, kepada siapa akan dibagikan, serta bagaimana hak-hak subjek data dijamin. Jika proses registrasi World App tidak memberikan transparansi atau tidak memperoleh persetujuan eksplisit yang memenuhi standar UU PDP, aktivitasnya dapat dianggap melanggar ketentuan hukum di Indonesia.
"Dalam situasi seperti itu, subjek data yaitu warga negara Indonesia yang menyerahkan iris matanya berisiko kehilangan perlindungan hukum atas data pribadinya,” jelas Pratama.
Perbesar
Pemandangan bola mata, perangkat pemindai data biometrik yang digunakan untuk memindai iris mata orang-orang dengan imbalan mata uang kripto Worldcoin, diambil di Buenos Aires (22/3/2024). Foto: Juan Mabromata/AFP
Komdigi Harus Awasi Bisnis WorldID dan Worldcoin, Evaluasi dan Audit Independen
PT Terang Bulan Abadi, sebagai entitas yang menaungi layanan digital WorldID, ternyata tidak terdaftar sebagai PSE. Perusahaan itu tidak memiliki TDPSE yang diwajibkan undang-undang. Sementara itu, Worldcoin tercatat menggunakan TDPSE atas nama badan hukum lain, yaitu PT Sandina Abadi Nusantara.
"Pembekuan ini merupakan langkah preventif untuk mencegah potensi risiko terhadap masyarakat. Kami juga akan memanggil PT. Terang Bulan Abadi untuk klarifikasi resmi dalam waktu dekat,” kata Direktur Jenderal Pengawasan Ruang Digital Komdigi, Alexander Sabar, dalam keterangan tertulis, Minggu (4/5).
Mengingat risiko yang dapat ditimbulkan, Pratama mengatakan langkah Komdigi membekukan aktivitas World App di Indonesia patut dilihat sebagai tindakan preventif yang bertanggung jawab. Keputusan ini menunjukkan bahwa negara hadir dalam melindungi kepentingan masyarakat dari potensi penyalahgunaan data sensitif.
Ke depan, kata Pratama, pemerintah perlu membuat mekanisme yang lebih transparan dan akuntabel sebelum sistem macam World App dapat beroperasi di Indonesia. Langkah ini bukan hanya untuk menegakan hukum di Indonesia, tapi juga membangun kepercayaan publik terhadap teknologi yang menyentuh aspek fundamental dari identitas manusia.
“Pemerintah perlu melakukan evaluasi menyeluruh terhadap setiap platform yang menghimpun data biometrik, serta mengembangkan kerangka kerja pengawasan dan audit independen yang bisa memastikan bahwa prinsip-prinsip privasi dan perlindungan data benar-benar dijalankan, bukan sekadar klaim," papar Pratama. "Tanpa langkah-langkah tersebut, sangat mungkin publik akan kembali menjadi korban dari eksploitasi data dalam skala global, dengan dampak jangka panjang yang tidak disadari pada saat ini."
Perbesar
