Apa Bahaya di Balik Pemindaian Iris Mata? Canggih Tapi Berisiko!

ilustrasi teknologi lensa optik (freepik.com/rawpixel.com)

Mengutip The Readable, pemindaian iris adalah teknologi biometrik yang mengidentifikasi individu dengan menganalisis pola unik pada iris mata mereka. Teknologi ini menawarkan tingkat akurasi dan keamanan yang sangat tinggi, bahkan dianggap lebih andal dibandingkan metode biometrik lainnya. Data iris mengandung sekitar 266 fitur yang dapat diidentifikasi. Jumlah ini jauh lebih banyak dibandingkan sidik jari yang hanya memiliki sekitar 40 fitur. Kemungkinan dua individu memiliki pola iris yang sama sangat kecil, yaitu satu banding satu miliar. Bahkan, iris kiri dan kanan seseorang pun memiliki pola yang berbeda. Menariknya, pola iris seseorang tidak berubah seumur hidup. Konsistensi ini memungkinkan sistem biometrik mengenali individu secara andal dari waktu ke waktu.

Namun, di balik kecanggihan tersebut, terdapat sejumlah risiko yang tidak bisa diabaikan. Dalam publikasi berjudul A Study on Iris Localization and Recognition on Mobile Phones yang diterbitkan di jurnal EURASIP tahun 2008, Prof. Park Kang-ryoung dari Universitas Dongguk, Seoul, Korea Selatan menyebutkan bahwa pemindaian iris merupakan metode paling presisi dalam membedakan individu dibandingkan teknologi biometrik lainnya seperti sidik jari, pengenalan wajah, atau pemindaian suara. Alasannya, iris merupakan bagian anatomi manusia yang unik sejak lahir dan tidak mengalami perubahan akibat kondisi lingkungan atau waktu.

Prof. Park juga menyoroti bahwa semakin besar jumlah data iris yang dikumpulkan, semakin besar pula kemungkinan terjadinya kesalahan identifikasi. Ketika sistem mencocokkan data iris dengan database, potensi kemiripan data dapat menyebabkan kebingungan dan misidentifikasi, terutama bila pencocokan tidak dilakukan secara optimal. Saat ini, sistem biometrik seperti pengenalan iris telah menggantikan fitur keamanan tradisional seperti token identifikasi, kata sandi, atau PIN. Berbagai aplikasi mulai dari mobile banking, kartu transportasi, hingga fitur keamanan pada smartphone telah mengadopsi teknologi ini. Hal ini membuat perlindungan informasi pribadi di perangkat seluler menjadi semakin penting.

Smartphone masa kini telah dibekali kamera beresolusi tinggi (megapixel camera) yang mampu menangkap gambar iris secara detail tanpa memerlukan perangkat keras tambahan seperti chip DSP atau lensa zoom besar. Untuk memberikan hasil otentikasi yang optimal, gambar iris harus memiliki diameter setidaknya 100 piksel, sesuai standar kualitas minimum. Bahkan ketika gambar wajah diambil dari jarak sekitar 30–40 cm, wilayah iris tetap dapat tertangkap dengan kualitas piksel yang memadai. Selain itu, sudut pandang kamera pada smartphone modern cenderung lebih luas dibandingkan kamera iris konvensional, dan memiliki kedalaman bidang (Depth of Field) yang lebih besar sehingga gambar iris tetap fokus.

Untuk mengenali iris dari gambar wajah, deteksi wilayah mata menjadi langkah penting. Dalam penelitiannya, Prof. Park mengusulkan metode baru untuk deteksi iris berbasis pantulan spesular pada kornea (corneal specular reflections/SRs). Meski demikian, bagi pengguna yang memakai kacamata, keberadaan pantulan non-kornea pada lensa kacamata dapat menyulitkan proses deteksi SR asli di permukaan kornea. Untuk mengatasi tantangan ini, digunakan pendekatan penerangan ganda on/off secara berurutan (successive on/off dual illuminator scheme) guna meningkatkan akurasi deteksi iris.

Logo Worldcoin (commons.wikimedia.org/Worldcoin Foundation)

Sedikit kilas balik, pada September 2021, Komisi Perlindungan Informasi Pribadi Korea Selatan (Personal Information Protection Commission/PIPC) merilis Biometric Information Protection Guidelines. Dalam panduan tersebut, PIPC menekankan bahwa jika data biometrik seperti iris mata bocor, individu yang terdampak tidak bisa lagi menggunakan irisnya untuk autentikasi di masa depan. Situasi ini berisiko serius, termasuk potensi penyalahgunaan untuk penipuan keuangan (financial fraud).

Pada tahun 2017, Samsung Electronics juga memperkenalkan teknologi pemindaian iris melalui smartphone Galaxy Note 7 sebagai metode autentikasi tambahan untuk meningkatkan keamanan pengguna. Namun, pada Mei 2017, Chaos Computer Club (CCC), (kelompok peretas terbesar di Eropa) merilis video yang menunjukkan celah keamanan pada sistem tersebut. Dalam demonstrasinya, mereka berhasil membobol sistem pemindaian iris Samsung hanya menggunakan foto iris seseorang dan lensa kontak yang diletakkan di atas gambar tersebut.

Yang terbaru, Worldcoin, proyek mata uang kripto berbasis pemindaian iris yang didirikan oleh CEO OpenAI, Sam Altman, kini telah beroperasi di lebih dari 160 negara. Teknologi perangkat keras dan lunak Worldcoin dikembangkan oleh Tools for Humanity (TFH), perusahaan yang juga mengoperasikan pemindai iris "Orb". Orb memindai iris mata pengguna dan mengonversinya menjadi kode numerik yang disebut "iris code". Kode inilah yang digunakan untuk memverifikasi apakah pengguna adalah manusia atau bot.

Namun, pada 25 September 2024, PIPC Korea Selatan menyatakan bahwa Worldcoin gagal memberikan penjelasan yang jelas tentang tujuan pengumpulan data iris dan informasi pribadi pengguna. Selain itu, Worldcoin tidak memberikan informasi yang akurat terkait alih data pribadi ke luar negeri. Sebagai respons, PIPC menjatuhkan denda sebesar 1,14 miliar won (sekitar 13,62 miliar Rupiah) kepada Worldcoin Foundation dan Tools for Humanity, serta mengeluarkan perintah perbaikan yang mewajibkan Worldcoin untuk tidak menggunakan data pengguna di luar tujuan awal yang telah disampaikan kepada publik.

Investigasi ini dimulai setelah PIPC menerima pengaduan masyarakat terkait pengumpulan data iris dan informasi pribadi oleh Worldcoin. Seorang juru bicara PIPC yang saat itu diwawancarai oleh The Readable pada 24 Oktober 2024 menyatakan, “Kami menerima keluhan dari pengguna bahwa Worldcoin mengumpulkan data iris dan informasi pribadi tanpa penjelasan yang jelas mengenai bagaimana dan untuk tujuan apa data tersebut digunakan.”

Menanggapi hal ini, Worldcoin menyatakan bahwa setelah gambar iris dipindai oleh Orb dan dikonversi menjadi iris code, gambar asli langsung dihapus. Iris code yang telah dienkripsi kemudian disimpan di server perusahaan. Menurut Worldcoin, kode tersebut digunakan untuk mencegah pendaftaran ganda dan penyalahgunaan sistem imbalan kripto.

Namun, PIPC menegaskan bahwa meskipun gambar asli telah dihapus, iris code tetap tergolong informasi sensitif. Oleh karena itu, PIPC merekomendasikan agar Worldcoin meningkatkan transparansi dalam pengumpulan data sensitif dengan menjelaskan secara rinci data apa yang dikumpulkan dan bagaimana data tersebut akan digunakan.

Logo baru Kemkomdigi (sebelumnya Kemkominfo) (golkarpedia.com)

Kementerian Komunikasi dan Digital (Kemkomdigi) mengungkap bahwa layanan Worldcoin di Indonesia dioperasikan menggunakan Tanda Daftar Penyelenggara Sistem Elektronik (TDPSE) atas nama badan hukum yang berbeda, yaitu PT Sandina Abadi Nusantara. Sementara itu, PT Terang Bulan Abadi belum terdaftar secara resmi sebagai penyelenggara sistem elektronik.

Padahal, sesuai Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, serta Peraturan Menteri Komunikasi dan Informatika Nomor 10 Tahun 2021 tentang Penyelenggara Sistem Elektronik Lingkup Privat, setiap penyelenggara layanan digital wajib memiliki tanda daftar resmi dan bertanggung jawab penuh atas operasional layanan kepada publik. Sebagai tindak lanjut, Kemkomdigi akan segera memanggil PT Terang Bulan Abadi dan PT Sandina Abadi Nusantara untuk memberikan klarifikasi terkait dugaan pelanggaran ketentuan penyelenggaraan sistem elektronik.

“Ketidakpatuhan terhadap kewajiban pendaftaran serta penggunaan identitas badan hukum lain untuk menjalankan layanan digital merupakan pelanggaran serius,” ujar Direktur Jenderal Pengawasan Ruang Digital Kemkomdigi, Alexander Sabar, sebagaimana dikutip IDN Times, Senin (5/5/2025).

Meskipun tergolong teknologi canggih, pemindaian iris mata dapat membawa risiko besar bagi privasi individu jika pengelolaan data biometrik tidak sesuai dengan regulasi yang berlaku. Tanpa pendaftaran resmi dan pengawasan yang ketat, potensi penyalahgunaan data ini bisa menimbulkan bahaya lebih besar bagi penggunanya.

ilustrasi teknologi biometrik menggunakan layar virtual untuk memindai sidik jari (freepik.com/rawpixel.com)

Iris mata merupakan data biometrik yang sangat unik layaknya sidik jari atau DNA. Jika data ini bocor atau disalahgunakan, maka tidak ada cara untuk menggantinya, sebagaimana kita mengganti password (kata sandi). Di sinilah letak ancamannya. Karena bersifat permanen maka pencurian identitas berbasis biometrik dapat menimbulkan risiko serius yang berjangka panjang. Data pribadi seakan menjadi taruhan, dan risiko penyalahgunaannya semakin besar. Sayangnya, tidak semua negara termasuk Indonesia memiliki regulasi yang ketat terkait penggunaan dan perlindungan data biometrik.

Sebagai perbandingan, Otoritas Perlindungan Data Belanda (Autoriteit Persoonsgegevens) mengklasifikasikan sidik jari sebagai data biometrik, merujuk pada Pasal 4 angka 14 dalam Verordening (EU) 2016/679. Dalam regulasi ini, data biometrik digolongkan sebagai kategori khusus data pribadi yang memerlukan perlindungan ekstra ketat, sebagaimana diatur lebih lanjut dalam Pasal 9 Verordening (EU) 2016/679.

Pasal 4 angka 14 mendefinisikan data biometrik sebagai data pribadi yang dihasilkan dari pemrosesan teknis terkait karakteristik fisik, fisiologis, atau perilaku seseorang, yang memungkinkan atau mengonfirmasi identifikasi unik terhadap individu, seperti citra wajah atau data sidik jari. Sementara itu, Pasal 9 melarang pemrosesan data pribadi yang mengungkapkan asal ras atau etnis, pandangan politik, keyakinan agama atau filosofis, keanggotaan serikat pekerja, serta pemrosesan data genetik, biometrik untuk identifikasi unik, data kesehatan, atau data mengenai kehidupan seks atau orientasi seksual seseorang.

Data biometrik sangat sensitif karena pemrosesannya berpotensi mengancam hak dan kebebasan fundamental subjek data. Verordening (EU) 2016/679 hanya mengatur pemrosesan data biometrik untuk tujuan identifikasi seseorang secara eksplisit melalui metode otomatis. Artinya, praktik seperti pemindaian wajah untuk menyesuaikan iklan berdasarkan usia atau jenis kelamin tidak selalu dianggap pelanggaran berat, selama tidak digunakan untuk mengidentifikasi individu secara spesifik dan data tersebut tidak disimpan lebih lama dari yang diperlukan.

Di Indonesia, perlindungan data biometrik diatur oleh Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Pasal 1 ayat (1) UU PDP mengartikan data pribadi sebagai data yang dapat digunakan untuk mengidentifikasi seseorang, baik secara mandiri maupun melalui gabungan data lain, dalam bentuk elektronik maupun non-elektronik. Pasal 4 ayat (2) UU PDP secara tegas menyebutkan bahwa data biometrik termasuk dalam kategori data pribadi bersifat spesifik yang memerlukan perlindungan khusus. UU PDP juga menegaskan bahwa perlindungan data pribadi merupakan bagian dari pemenuhan hak konstitusional warga negara Indonesia atas privasi, sebagaimana diatur dalam Pasal 28G ayat (1) UUD 1945.

Namun, meskipun sudah ada landasan hukum yang menyatakan bahwa data biometrik harus dilindungi, hingga kini belum ada regulasi turunan yang secara spesifik mengatur mekanisme penggunaan dan pengamanan data biometrik di Indonesia. Akibatnya, perlindungan terhadap data biometrik masih belum maksimal. Ketidakhadiran aturan teknis ini menjadi hambatan dalam upaya menjaga hak konstitusional masyarakat secara menyeluruh, terutama dalam menghadapi praktik digital yang semakin kompleks dan berisiko.

ilustrasi uang (unsplash.com.Mufid Majnun)

Model insentif berupa aset kripto setelah pemindaian iris mata membuka celah eksploitasi terhadap masyarakat awam. Iming-iming “uang mudah” membuat sebagian orang terbuai, tanpa benar-benar memahami risiko jangka panjang dari data pribadi yang mereka serahkan. Aplikasi World App menawarkan imbalan uang tunai mulai dari Rp200 ribu hingga Rp800 ribu.

Godaan uang tunai yang menggiurkan membuat ratusan orang rela mengantre panjang untuk memindai iris mata menggunakan alat khusus bernama Orb. Antrean pun berlangsung mulai pagi hingga malam. Kantor World App di Jalan Juanda dan Jalan Siliwangi, Rawalumbu, Bekasi, hampir tidak pernah sepi setiap hari selama dua bulan terakhir. Fenomena ini menarik perhatian beragam kalangan, mulai dari ibu rumah tangga, ojek online, buruh harian, hingga pelajar yang rela antre hanya untuk menukarkan dan menyerahkan data biometriknya demi kesempatan mendapatkan uang.

Menanggapi hal ini, Ketua Dewan Komisioner Otoritas Jasa Keuangan (OJK), Mahendra Siregar, menyatakan bahwa aplikasi World App belum mengantongi izin operasional di Indonesia dan dinilai berisiko. Karena itu, aktivitasnya akan dihentikan sementara, sebagaimana diberitakan IDN Times, 5 Mei 2025.

Kementerian Komunikasi dan Digital (Kemkomdigi) juga mengimbau masyarakat agar tidak serta-merta menyerahkan data pribadi, terutama data biometrik, kepada layanan digital yang belum jelas legalitas dan pengelolaannya. Jika menemukan aktivitas mencurigakan, masyarakat diminta segera melapor melalui kanal pengaduan resmi pemerintah.

“Kami mengajak masyarakat untuk turut menjaga ruang digital yang aman dan terpercaya bagi seluruh warga negara," ujar Dirjen Pengawasan Ruang Digital Kemkomdigi, Alexander Sabar, dikutip dari IDN Times, 5 Mei 2025.

Kini, kamu sudah mengetahui berbagai risiko yang mengintai di balik pemindaian iris mata yang belakangan ramai diperbincangkan. Jangan sampai hanya karena tergiur iming-iming uang, kamu rela menukar iris matamu demi kepentingan ekonomi sesaat yang belum tentu menjamin keamanan masa depanmu.

Sungguh, ruang tak kasat mata namun sangat nyata itu benar-benar ada dan tidak mengada-ada. Bukan sekadar isapan jempol belaka. Ia adalah tempat di mana data telah menjadi komoditas dan kamu bisa saja menjadi produk tanpa sadar kapan transaksi itu dimulai.

Di era digital yang penuh risiko, data bukan lagi sekadar informasi. Ia adalah mata uang, kekuasaan, dan identitasmu sendiri. Ketika iris mata yang hanya kamu miliki satu-satunya dipindai dan disimpan oleh sistem yang tak dikenal sepenuhnya, maka ada bahaya di balik pemindaian iris mata. Seperti sedang membuka gerbang privasi terdalam kamu, tanpa kunci untuk menutupnya kembali. 

Teknologi memang menjanjikan kemudahan, tetapi bukan berarti kita harus menyerahkan hal pribadi demi keuntungan instan. Menjaga data diri, termasuk data biometrik, adalah bagian dari menjaga martabat dan kedaulatan kita sebagai manusia. Semoga ini bisa menjadi pukulan telak sekaligus ajakan untuk tetap mawas dan awas dalam menjaga privasi data pribadi.