DULU, risiko identitas warga dimulai dari permintaan sederhana: “kirim foto KTP.”
Kini, permintaan itu berkembang menjadi paket yang jauh lebih lengkap: foto KTP, swafoto sambil memegang KTP, liveness check, bahkan rekaman video.
Dari sisi verifikasi, ini tampak seperti kemajuan. Namun, dari sisi perlindungan data pribadi, semakin berisiko.
Sebab, yang dikumpulkan bukan lagi sekadar identitas administratif, melainkan juga hubungan langsung antara dokumen identitas dan wajah pemiliknya.
Dalam beberapa proses, data itu bahkan diperkuat dengan jejak biometrik yang melekat pada tubuh dan sulit diganti ketika bocor.
KTP bisa diperbarui dalam batas tertentu. Namun, wajah dan sidik jari tidak bisa diganti semudah mengganti kartu.
Kegaduhan yang Seharusnya DiantisipasiKegaduhan soal fotokopi e-KTP beberapa waktu terakhir seharusnya dibaca dari sudut itu.
Ditjen Dukcapil sempat menyampaikan bahwa e-KTP tidak lagi perlu difotokopi karena sudah memiliki chip dan dapat dibaca melalui card reader.
Namun, setelah muncul beragam tafsir, Dukcapil meluruskan bahwa e-KTP tetap merupakan identitas resmi dan fotokopinya masih dapat digunakan sepanjang sesuai kebutuhan pelayanan dan dilakukan secara bertanggung jawab.
Dukcapil juga menyampaikan permohonan maaf karena informasi sebelumnya dinilai belum cukup jelas.
Justru di titik itulah persoalan utamanya terlihat. Perdebatan publik seakan berhenti pada pertanyaan boleh atau tidak boleh memfotokopi KTP.
Padahal, pertanyaan yang lebih mendasar adalah mengapa begitu banyak layanan merasa perlu menyimpan salinan identitas warga, bahkan ketika kebutuhan awalnya hanya memastikan bahwa seseorang benar-benar orang yang dimaksud.
Masalah KTP bukan hanya masalah administrasi kependudukan. Ia sudah menjadi infrastruktur verifikasi lintas sektor.
Karena itu, sebelum melontarkan pesan kebijakan ke ruang publik, pemerintah seharusnya melakukan penilaian dampak, setidaknya dalam bentuk Regulatory Impact Analysis sederhana.
Pertanyaannya bukan hanya apakah fotokopi KTP masih relevan, melainkan siapa saja yang selama ini meminta KTP, untuk tujuan apa, apakah salinan benar-benar diperlukan, dan siapa yang boleh meminta foto KTP atau swafoto sambil memegang KTP.
Pertanyaan terakhir ini penting. Kemendagri seharusnya tidak hanya menjelaskan apakah e-KTP boleh difotokopi atau tidak.
Baca juga: Ironi Dominasi Kebenaran dalam Lomba Cerdas Cermat Pilar Kebangsaan
Yang lebih mendesak adalah mengatur siapa saja yang berhak meminta salinan KTP, foto KTP, atau swafoto sambil memegang KTP.
Tidak semua layanan memiliki tingkat risiko yang sama. Bank dan fintech mungkin membutuhkan verifikasi lebih ketat karena terkait transaksi keuangan dan pencegahan penyalahgunaan identitas.
Namun, apakah kebutuhan yang sama juga berlaku untuk gedung perkantoran, hotel, penyelenggara tes, layanan pelanggan, pemasangan internet, atau proses rekrutmen tahap awal?
KTP tertanam dalam banyak rantai layanan pihak ketiga.
Di bandara, identitas penumpang dapat diperiksa sejak masuk terminal, saat check-in, sebelum area pemeriksaan keamanan, menjelang boarding, bahkan kembali dicocokkan saat memasuki pesawat.
Di hotel, KTP digunakan untuk validasi tamu. Di gedung perkantoran, kartu identitas diminta atas nama keamanan.
Jika praktik fotokopi atau pencatatan manual ingin dikurangi, desain penggantinya harus jelas: apakah cukup diperlihatkan, dibaca dengan card reader, diverifikasi melalui sistem, atau hanya dicocokkan tanpa disimpan.
Tanpa batas yang jelas, setiap lembaga akan membuat standar sendiri.
Ada yang cukup melihat KTP, ada yang memfotokopi, ada yang memotret, ada yang meminta swafoto, bahkan ada yang menyimpan dokumen itu melalui vendor.
Akibatnya, warga tidak pernah benar-benar tahu apakah permintaan tersebut sah, berlebihan, atau sekadar kebiasaan administratif yang dibiarkan.
Arsip Identitas di Mana-manaPengalaman sehari-hari menunjukkan bahwa persoalan ini tidak jauh dari warga.
Dalam tes bahasa Inggris daring, misalnya, peserta dapat diminta mengunggah KTP sekaligus melakukan swafoto dengan KTP.
Dalam layanan pelanggan, termasuk aktivasi atau pemasangan TV kabel, pola serupa juga dapat muncul sebagai bagian dari validasi pelanggan.
Praktik ini mungkin dimaksudkan untuk memastikan bahwa pengguna layanan adalah orang yang benar.
Namun, di balik kemudahan itu, ada pertanyaan yang jarang dijawab: apakah foto KTP dan wajah itu hanya diverifikasi, atau ikut disimpan? Jika disimpan, sampai kapan, oleh siapa, dan untuk tujuan apa?
Karena permintaan seperti itu terjadi di banyak tempat, data identitas warga akhirnya ikut tersebar ke banyak ruang penyimpanan.
Ada yang tersimpan di sistem resmi lembaga, ada yang masuk ke server vendor, ada yang tersimpan di formulir daring, ada pula yang mungkin hanya berada di folder komputer, kotak masuk surel, atau aplikasi percakapan petugas.
Di titik ini, risiko tidak lagi hanya berasal dari satu kebocoran besar, tetapi dari banyak arsip kecil yang tidak selalu terlihat, tidak selalu diaudit, dan tidak selalu jelas kapan dihapus.
