Di tengah pesatnya perkembangan teknologi digital dan kecerdasan buatan, data biometrik kini menjadi komponen krusial dalam berbagai sistem identifikasi dan autentikasi. Data biometrik seperti sidik jari, iris mata, dan DNA digunakan secara luas di sektor kesehatan, keuangan, maupun pemerintahan dan merepresentasikan identitas biologis unik tiap manusia yang tidak dapat direplikasi. Sifatnya yang tidak tergantikan dan digunakan untuk mengakses sistem yang bersifat sensitif menjadikan perlindungan terhadap data biometrik sebagai hal yang sangat penting dan tidak dapat diabaikan.
Namun, meningkatnya penggunaan data biometrik juga diiringi oleh risiko komersialisasi dan penyalahgunaan, terutama di era digital dan AI saat ini. Salah satu kasus yang sempat menjadi sorotan publik adalah praktik pengumpulan dan penjualan data retina oleh penyedia layanan Worldcoin di Bekasi, Jawa Barat, beberapa waktu lalu. Fenomena ini menimbulkan kekhawatiran serius terkait dengan privasi dan keamanan informasi pribadi. Mayoritas masyarakat tidak memahami bahwa data retina menjadi bagian penting dari identitas dirinya dan menyangkut akan data sensitif. Risiko yang akan muncul pun bukan hanya tentang pelanggaran privasi, tetapi juga potensi pencurian identitas dan penyalahgunaan akses terhadap layanan penting.
Apa Sebenarnya Data Biometrik dan Apa Saja yang Termasuk di Dalamnya?
Dilansir dari laman Gerbang Perlindungan Data Pribadi Indonesia, data biometrik didefinisikan sebagai jenis data pribadi yang didapat dari sebuah proses pengenalan secara fisik, fisiologis, dan karakteristik perilaku seseorang, di mana hal-hal tersebut dapat mengidentifikasikan keunikan seseorang. General Data Protection Regulation (GDPR) yang mengatur terkait dengan data protection dan data privacy pada negara-negara yang tergabung dalam kawasan ekonomi Uni Eropa mendefinisikan data biometrik sebagai:
“Personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as a facial images or dactyloscopic data.”
Berbeda dengan data pribadi biasa, seperti nama atau alamat, data biometrik bersifat non-replikasi dan permanen. Artinya, sekali direkam, data ini tidak bisa diubah atau diganti seperti kata sandi atau PIN. Jenis-jenis data biometrik meliputi:
- Sidik jari: Pola unik pada ujung jari yang digunakan dalam sistem keamanan dan identifikasi.
- Iris dan retina mata: Pola mikroskopis pada bagian mata yang sangat sulit dipalsukan dan digunakan dalam sistem autentikasi tingkat tinggi.
- DNA: Informasi genetik yang merepresentasikan identitas biologis seseorang secara menyeluruh.
- Pola wajah (facial recognition): Digunakan dalam sistem pengenalan wajah untuk membuka perangkat atau mengakses layanan.
- Suara dan pola bicara: Digunakan dalam sistem verifikasi suara, terutama dalam layanan perbankan dan asisten virtual.
Karakteristik utama dari data biometrik adalah keunikannya. Bahkan, saudara kembar identik memiliki pola iris dan sidik jari yang berbeda. Sifat data biometrik yang tidak bisa diganti menjadikannya sangat berharga, tetapi rentan terhadap penyalahgunaan.
Lalu, Mengapa Informasi Iris dan Retina Tidak Boleh Diperjualbelikan dan Harus Dilindungi?
Iris dan retina mata termasuk dalam kategori data biometrik tingkat tinggi. Teknologi pemindaian iris digunakan dalam berbagai sistem keamanan, mulai dari imigrasi bandara hingga autentikasi transaksi keuangan. Namun, keunggulan ini juga membawa risiko besar jika data tersebut jatuh ke tangan yang salah. Hal inilah yang sempat terjadi dan menggegerkan publik di Indonesia pada Mei 2025 lalu, di mana masyarakat di Bekasi, Jawa Barat menerima kompensasi finansial dengan menyerahkan data iris dan retina mereka kepada layanan identitas Worldcoin dan World ID.
Worldcoin adalah proyek identitas digital global berbasis teknologi blockchain yang dikembangkan oleh CEO OpenAI untuk menciptakan sistem verifikasi identitas yang bisa membedakan manusia asli atau AI. Pemerintah melalui Kominfo kemudian membekukan sementara operasional layanan tersebut karena kekhawatiran atas pelanggaran privasi dan potensi penyalahgunaan data biometrik. Data biometrik iris dan retina memiliki karakteristik penting, di antaranya:
- Unik dan tidak bisa dipalsukan: Pola iris tidak berubah seumur hidup dan tidak ada dua orang yang memiliki pola yang sama.
- Digunakan dalam sistem keamanan tinggi: Termasuk akses militer, perbankan, dan identifikasi pasien di rumah sakit.
- Tidak bisa diganti: Jika data ini bocor, individu tidak bisa mengganti “iris” seperti mengganti password.
- Berisiko disalahgunakan untuk pelacakan dan pengawasan: Teknologi pengenalan iris memungkinkan pelacakan real-time tanpa sepengetahuan individu.
Penyalahgunaan data biometrik seperti ini tidak hanya melanggar privasi, tetapi juga membuka celah bagi pencurian identitas, diskriminasi medis, dan pelanggaran hak asasi manusia.
Baca juga: Pentingnya Perlindungan Data Kesehatan Pribadi
Regulasi Perlindungan Data Biometrik dalam Undang-Undang Perlindungan Data Pribadi
Indonesia telah menetapkan Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (“UU PDP”) sebagai payung hukum utama dalam menjaga keamanan data pribadi, termasuk data biometrik. Data biometrik termasuk ke dalam data pribadi yang bersifat spesifik, sebagaimana diatur dalam Pasal 4 ayat (2) huruf b UU PDP. Data biometrik didefinisikan sebagai:
“Data yang berkaitan dengan fisik, fisiologis, atau karakteristik perilaku individu yang memungkinkan identifikasi unik terhadap individu, seperti gambar wajah atau data daktiloskopi. Data biometrik juga menjelaskan pada sifat keunikan dan/atau karakteristik seseorang yang harus dijaga dan dirawat, termasuk namun tidak terbatas pada rekam sidik jari, retina mata, dan sampel DNA.”
Sebagai data yang bersifat spesifik dan sensitif, artinya membuat perlakuan terhadap data biometrik harus memenuhi standar perlindungan yang lebih ketat dibandingkan data umum. Untuk itu, Pasal 20 ayat (2) UU PDP mewajibkan pengendali data untuk memperoleh persetujuan eksplisit dari subjek data sebelum memproses data pribadi spesifik, termasuk biometrik. Sementara Pasal 21 mengatur bahwa subjek data harus diberi informasi lengkap mengenai:
- legalitas dari pemrosesan Data Pribadi;
- tujuan pemrosesan Data Pribadi;
- jenis dan relevansi Data Pribadi yang akan diproses;
- jangka waktu retensi dokumen yang memuat Data Pribadi;
- rincian mengenai informasi yang dikumpulkan;
- jangka waktu pemrosesan Data Pribadi; dan
- hak Subjek Data Pribadi.
Melihat karakteristiknya yang unik, tidak dapat diganti, dan digunakan dalam berbagai sistem vital, data biometrik jelas memerlukan perlindungan yang jauh lebih ketat dibandingkan data pribadi biasa. Risiko penyalahgunaan, seperti pencurian identitas, pelacakan tanpa izin, hingga eksploitasi komersial, menjadi ancaman nyata di era digital yang semakin kompleks. Oleh karena itu, regulasi seperti UU PDP hadir sebagai instrumen penting untuk memastikan bahwa pemrosesan data biometrik dilakukan secara sah, transparan, dan berlandaskan persetujuan eksplisit dari pemilik data. Ketentuan dalam Pasal 20 dan 21 UU PDP menegaskan bahwa hak subjek data harus dijaga secara menyeluruh, mulai dari pemberian informasi hingga pengendalian atas jangka waktu dan tujuan pemrosesan.
Ke depannya, perlindungan data biometrik tidak hanya bergantung pada regulasi, tetapi juga pada literasi digital masyarakat dan komitmen etis dari penyedia layanan. Edukasi publik mengenai nilai dan risiko data biometrik perlu diperkuat, agar masyarakat tidak mudah tergoda oleh iming-iming kompensasi tanpa memahami konsekuensinya. Di sisi lain, pelaku industri wajib menerapkan prinsip kehati-hatian dan akuntabilitas dalam setiap proses pengumpulan dan pemanfaatan data. Melalui sinergi antara hukum, teknologi, dan kesadaran masyarakat, kita dapat memastikan bahwa identitas biologis setiap individu tetap aman, terjaga, dan dihormati sepenuhnya.***
Baca juga: Menelisik Keamanan Data Pribadi Pasien di Era Digital Melalui Rekam Medis Elektronik
Daftar Hukum:
- Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (“UU PDP”)
Referensi:
- Data Biometrik. Gerbang Perlindungan Data Pribadi. (Diakses pada 6 September 2025 pukul 13.02 WIB).
- Apa Itu Worldcoin? Proyek Kripto yang Dibekukan Sementara oleh Komdigi. Katadata. (Diakses pada 6 September 2025 pukul 13.17 WIB).
- Jadi Data Biometrik, Pahami Bahaya Jual-Beli Informasi Iris dan Retina Mata. Kontan. (Diakses pada 6 September 2025 pukul 14.08 WIB).