Terjebak di layar verifikasi usia, sekarang harus apa?

 (eff.org)
1 poin oleh GN⁺ 2026-01-16 | 2 komentar | Bagikan ke WhatsApp
  • Saat layanan online mewajibkan verifikasi usia (age gate), pengguna dipaksa memilih di tengah risiko terbukanya data pribadi
  • EFF menentang kewajiban hukum semacam ini dan menyajikan panduan respons praktis untuk tetap melindungi hak pengguna semaksimal mungkin bahkan di sistem yang sudah diterapkan
  • Tulisan ini menekankan prinsip minimisasi data serta membandingkan tingkat risiko dan keterbatasan dari tiap metode seperti pengenalan wajah, unggah identitas, dan verifikasi kartu kredit
  • Kebijakan estimasi usia, verifikasi pihak ketiga, dan penyimpanan data di platform besar seperti Meta, Google, dan TikTok dianalisis secara rinci
  • Karena tidak ada metode yang sepenuhnya menjamin privasi, pengguna wajib memberikan informasi seminimal mungkin dan memeriksa prosedur penghapusan data

Realitas dan risiko sistem verifikasi usia

  • EFF menyatakan bahwa age gate dan kewajiban verifikasi usia melanggar kebebasan berekspresi dan perlindungan privasi
    • Undang-undang semacam ini sudah berlaku di banyak negara bagian dan negara, sehingga pengguna diminta memverifikasi usia di berbagai layanan web
    • Dalam proses verifikasi, sudah banyak terjadi kebocoran data sensitif
  • Pengguna harus menilai sendiri apakah akan terus memakai layanan dan bagaimana meminimalkan paparan data pribadi
    • EFF memberikan daftar pertanyaan untuk tiap metode verifikasi: jenis data, siapa yang bisa mengakses, lama penyimpanan, ada tidaknya audit, dan cakupan paparan
  • EFF merekomendasikan prinsip minimisasi data, yakni memberikan informasi sesedikit mungkin
    • Estimasi berbasis pengenalan wajah memiliki akurasi rendah untuk sebagian pengguna, termasuk orang kulit berwarna, transgender, dan penyandang disabilitas
    • Metode ID digital hanya tersedia di sebagian platform dan tetap memiliki risiko paparan informasi

Metode verifikasi usia di platform utama

Meta (Facebook, Instagram, WhatsApp, Messenger, Threads)

  • Meta memperkirakan usia pengguna dari postingan, pesan, dan sinyal lainnya
    • Jika tidak bisa memperkirakan atau menilai pengguna terlalu muda, Meta akan meminta verifikasi
  • Untuk verifikasi dengan pengenalan wajah, foto dikirim ke server Yoti untuk diproses
    • Yoti mengklaim langsung menghapus data, tetapi keberadaan tracker menimbulkan risiko paparan ke pihak ketiga
    • Informasi lokasi bisa bocor lewat detail seperti latar belakang foto, jadi perlu berhati-hati
  • Untuk unggah identitas, Meta dan Yoti sama-sama menjanjikan penyimpanan lalu penghapusan data
    • Meta menyimpan selama 30 hari, Yoti menyatakan menghapus segera
    • Dokumen identitas memuat nama asli, alamat, dan data sensitif lain, sehingga tetap berisiko

Google (Gmail, YouTube)

  • Google memperkirakan usia dari waktu pembuatan akun, riwayat tontonan, dan sinyal lainnya
    • Jika estimasi gagal, pengguna bisa memilih ID, pengenalan wajah, email, kartu kredit, atau ID digital
  • Pengenalan wajah melalui Private ID relatif lebih aman karena diproses di perangkat
    • Namun, pada serangan yang sangat terarah, masih ada kemungkinan gambar dikirim
  • Verifikasi email dilakukan oleh VerifyMy dengan mencocokkan email ke basis data pihak ketiga
    • Daftar pihak ketiga tersebut tidak dipublikasikan
  • Verifikasi kartu kredit diproses lewat Google Payments sehingga relatif lebih aman
    • Ada tagihan kecil yang kemudian dikembalikan, dan kartu bisa diganti
  • ID digital hanya tersedia di wilayah tertentu dan bisa melibatkan komunikasi dengan sistem pemerintah
  • Untuk unggah identitas, Google menyatakan data dihapus setelah verifikasi, tetapi tidak jelas apakah ada audit eksternal

TikTok

  • TikTok melakukan estimasi usia otomatis dari video dan audio yang diunggah
    • Jika dinilai terlalu muda, akun bisa dibatasi atau dihapus, dan banding harus diajukan dalam jangka waktu tertentu
  • Pengenalan wajah lewat Yoti memiliki struktur risiko yang sama seperti pada Meta
  • Verifikasi kartu kredit menggunakan skema tagihan kecil lalu pengembalian dana, tetapi keamanan pemrosesannya tidak jelas
  • Ada juga metode verifikasi kartu orang tua/wali atau foto bersama orang dewasa, namun
    • Hampir tidak ada contoh penerapan nyata dan proses verifikasinya tidak transparan
  • Metode perbandingan identitas + wajah lewat Incode tidak mendukung penghapusan data otomatis
    • TikTok menyatakan akan memulai permintaan penghapusan, tetapi permintaan langsung ke Incode tetap diperlukan
    • Dokumen identitas memuat nama asli, alamat, dan data sensitif lain

Layanan lain dan prinsip umum

  • Spotify dan OnlyFans memakai Yoti, sementara Quora dan Discord memakai k-ID
  • Tidak ada metode yang sepenuhnya menjamin perlindungan privasi
    • Memberikan data seminimal mungkin, membatasi siapa yang bisa mengakses, dan penghapusan cepat adalah prinsip utama
  • EFF menilai sistem seperti ini melanggar privasi pengguna dan kebebasan berekspresi, dan
    terus mendorong pencabutan kewajiban verifikasi usia di seluruh dunia

Bacaan terkait

2 komentar

 
roxie 2026-01-23

Roblox ini benar-benar terasa seperti lelucon.
 
GN⁺ 2026-01-16
Komentar Hacker News

  • Anak saya baru-baru ini berhenti main Roblox karena prosedur verifikasi usia lewat pengenalan wajah terasa terlalu mencurigakan
    Anak saya dan teman-temannya paham betul bahwa mereka tidak boleh mengunggah foto diri ke internet, jadi mereka pindah ke game lain atau mengunduh foto stok dari internet lalu mengunggahnya sebagai gantinya (katanya ini benar-benar berhasil)
    Cara seperti ini benar-benar keamanan level lelucon. Perusahaan yang menormalisasi anak-anak untuk mengunggah foto pribadi adalah arah yang sangat salah

    • Alasan mengapa ‘normalisasi’ unggah foto seperti ini berbahaya adalah karena pengguna jahat bisa menampilkan pesan seperti “kalau tidak verifikasi ulang, kamu akan kehilangan mata uang game” lalu mengumpulkan foto kartu identitas anak-anak
      Saya takut akan ada korban sebelum para pembuat undang-undang menyadari masalahnya
    • Anak-anak saya juga selalu mengatur tanggal lahir di internet sebagai 1 Januari 1970
    • Tapi di sisi lain, saya juga tidak ingin harus menyerahkan identitas saya sendiri
      Saya pikir anonimitas dan akses dengan nama samaran adalah solusi terbaik
      Melihat UE mendorong verifikasi usia sambil sekaligus ingin berbagi data dengan AS dan kepolisian, saya khawatir data seperti ini akan ‘dinormalisasi’ lewat hukum
    • Saya melihat perusahaan melakukan hal seperti ini bukan sekadar kesalahan, melainkan pilihan yang disengaja untuk mendenormalisasi privasi dan membiasakan pengawasan
    • Pemerintah Inggris tampaknya bergerak untuk memperkuat pengawasan dan pelacakan dengan alasan pembatasan usia
      Sangat berbahaya jika pemerintah meminta perusahaan menyerahkan kartu identitas, foto wajah, dan video, dan pada akhirnya itu hanya akan meningkatkan penipuan dan kebocoran data pribadi serta mengurangi kebebasan

  • Akun Google saya sudah cukup tua, tapi di YouTube tetap terus muncul pop-up verifikasi usia
    Pada akhirnya saya merasa ini bukan sekadar verifikasi usia, melainkan upaya untuk mengumpulkan data wajah
    Kemungkinan besar data seperti ini akan dijual ke pihak ketiga

    • Namun ada juga yang berpendapat, “bukan berarti perusahaan benar-benar menginginkan data wajah, tapi juga tidak punya alasan untuk menolaknya”
      Karena cara termudah untuk mematuhi hukum adalah pengenalan wajah, mereka jadi melakukannya begitu saja
    • Akun saya juga sudah lebih dari 18 tahun, tapi saat mau menonton video FPGA, saya tetap mendapat pop-up verifikasi usia. Jadi umur akun tidak ada hubungannya
    • Saya merasa Google, Apple, dan Meta lebih tertarik memanfaatkan data secara internal daripada menjualnya
    • Tampaknya YouTube bereaksi berlebihan setelah regulasi UE. Saya rasa ini langkah untuk menyembunyikan konten aneh di platform setelah kasus ElsaGate
    • Klaim seperti ini terdengar terlalu paranoid. Kebanyakan hanya sedang mematuhi tuntutan hukum

  • Banyak orang punya kecenderungan untuk tidak bisa begitu saja melepas suatu layanan bahkan setelah layanan itu selesai bagi mereka
    Kalau HN meminta verifikasi identitas, saya akan berhenti memakainya. Begitulah adanya di dunia ini

    • Tapi ada yang bilang, “itu bukan sekadar soal hobi”
      Misalnya, kalau gereja atau taman kanak-kanak hanya mengumumkan sesuatu lewat WhatsApp atau Facebook, orang yang tidak memakainya akan sama sekali tidak bisa mengakses informasi
    • Sebaliknya, saya berpikir semua konten web seharusnya bisa disalin dengan bebas
      Dulu kita bisa mandiri dengan alat seperti HyperCard atau FileMaker, tapi sekarang yang tersisa hanya kapitalisme pengawasan
      Kini di era AI, penyalinan situs web dan otomatisasi menjadi mungkin, jadi perusahaan monopoli tidak akan bisa lagi memakai strategi ‘memburukkan layanan (en-shittification)’
    • Banyak orang sebenarnya tidak punya resistensi apa pun terhadap menyerahkan privasi

  • Kekhawatiran terbesar saya adalah saya tidak bisa tahu apakah informasi saya disimpan dengan aman
    Dulu saya pernah menerima pemberitahuan kebocoran data atas nama bayi saya. Katanya subkontraktor rumah sakit kehilangan informasinya
    Artinya, data pribadinya sudah bocor bahkan sebelum anak itu belajar bicara
    Kalau perusahaan yang tidak pernah bertransaksi langsung dengan saya bisa kehilangan informasi saya, maka verifikasi identitas online pada dasarnya berbahaya
    Tulisan terkait: Your ID online and offline

    • Pada akhirnya, semua informasi ‘pribadi’ yang diunggah ke internet suatu hari akan menjadi publik
      Saya tidak bisa percaya pada pernyataan seperti “disimpan sementara lalu dihapus”
      Bahkan pada 2026 nanti kita pun belum tentu tahu pasti bagaimana kata sandi disimpan, apalagi bagaimana foto dikelola
    • Selain itu, kalau situs phishing dibuat mirip halaman verifikasi asli, begitu salah memasukkan data, risikonya besar untuk dicuri

  • Saya pikir verifikasi usia pada akhirnya adalah arus yang tak terhindarkan
    Seperti saat masuk bar atau klub harus menunjukkan identitas, ini juga akan diterima secara alami di internet
    Jadi yang penting adalah bagaimana implementasinya
    Misalnya, ada cara seperti memeriksa identitas di toko lalu memberikan token berbentuk gift card, atau membuktikan hanya usia lewat token anonim yang diterbitkan pemerintah
    EFF mengatakan sebagian pengguna akan kesulitan memakai teknologi seperti ini, tapi saya penasaran seberapa besar proporsinya

  • Saya cukup terkejut EFF tidak menyebut penghindaran lewat VPN

    • Tapi tidak pantas bagi kelompok aktivis untuk menyarankan, “hindari saja masalahnya”
    • Lagi pula Cloudflare menguasai sebagian besar internet, jadi sulit mengakses hanya dengan VPN
    • Penggunaan VPN justru bisa membuat akun ditandai sebagai akun mencurigakan
    • “Ya sudah, menyerah saja” bukan solusi
    • Pada akhirnya, kalau tiap negara menerapkan undang-undang verifikasi usia, VPN juga akan jadi tidak efektif, dan saat itu kita harus meninggalkan internet atau mencari jaringan alternatif

  • Secara prinsip saya tidak pernah menerima banner cookie
    Saya memblokir semuanya dengan uBlock Origin. Kalau verifikasi usia diterapkan, saya berniat merespons dengan cara serupa

    • Tapi kalau situs memblokir akses tanpa verifikasi, pemblokiran saja tidak akan cukup
    • Banner cookie hanyalah pemberitahuan sederhana, sedangkan verifikasi usia adalah gerbang yang benar-benar memblokir akses
    • Mengabaikan banner pada praktiknya sama saja dengan menyetujui semua pelacakan

  • Saya pikir layanan verifikasi identitas yang ramah privasi bisa menjadi peluang bisnis
    Situs pihak ketiga hanya memverifikasi usia, tanpa bisa mengetahui identitas sebenarnya

    • Sistem e-ID Swiss pernah diusulkan dengan pendekatan seperti ini
    • Penyedia akses internet juga bisa mewakili verifikasi usia di tingkat rumah tangga atau perusahaan
      Misalnya, segmen IPv6 dibedakan berdasarkan batasan usia, lalu verifikasi ditangani di tingkat jaringan
    • Pihak ketiga tidak perlu tahu identitas sebenarnya. Diskusi terkait: HN thread
    • Sebaliknya, saya malah berharap ada bisnis legal yang memberikan ID palsu kepada layanan yang tidak perlu meminta identitas
    • Ide seperti ini menarik, tapi sulit untuk dikomersialkan dan mendapatkan efek jaringan, dan pada akhirnya tampaknya hanya mungkin jika vendor besar seperti Apple atau Google yang turun tangan

  • Menurut saya, teknologi yang memperkirakan usia dari wajah, seberapa pun majunya, tetaplah teknologi tipu-tipu (snake oil)
    Upaya untuk memasangkan nama dan wajah itu sendiri sudah terasa mencurigakan

  • Awalnya saya mengira tulisan ini membahas masalah pencarian kerja bagi orang yang lebih tua, jadi saya mengkliknya

    • Saya juga sempat salah paham begitu pada awalnya