Jebakan Verifikasi Usia: Pemeriksaan Umur Melemahkan Perlindungan Data Semua Pengguna

 (spectrum.ieee.org)
2 poin oleh GN⁺ 2026-02-24 | 1 komentar | Bagikan ke WhatsApp
  • Di berbagai masyarakat, dorongan untuk memperketat batas usia di media sosial terus menguat, tetapi verifikasi usia yang nyata pada akhirnya menuntut pengumpulan dan penyimpanan data pribadi
  • Platform mengandalkan dua pendekatan, seperti verifikasi berbasis identitas resmi atau estimasi wajah dengan AI, dan dalam proses ini muncul risiko false positive, salah penilaian, serta kebocoran data
  • Perusahaan besar seperti Meta, TikTok, Google, Roblox telah menerapkan beragam sistem estimasi usia, tetapi verifikasi berulang dan malfungsi justru memperbesar ketidaknyamanan pengguna
  • Sistem semacam ini bertentangan dengan prinsip dasar hukum perlindungan data modern (pengumpulan minimal, pembatasan tujuan, pembatasan masa simpan), dan terutama di negara berkembang dapat berujung pada penguatan pengawasan
  • Tulisan ini menyoroti ketiadaan keseimbangan antara perlindungan anak dan perlindungan privasi, serta memperingatkan bahwa verifikasi usia pada akhirnya sedang membentuk ulang struktur identitas dan akses di internet secara keseluruhan

Dilema teknis yang ditimbulkan verifikasi usia

  • Masyarakat semakin memandang media sosial sebagai objek regulasi yang mirip dengan perjudian atau minuman beralkohol, dan mendorong pembatasan penggunaan bagi mereka yang berusia di bawah 13 atau 16 tahun
  • Namun, untuk membuktikan usia sebenarnya diperlukan pengumpulan data identitas pribadi, dan untuk membuktikannya perlu pula penyimpanan data jangka panjang
  • Akibatnya, regulasi usia yang ketat melahirkan kontradiksi struktural yang melemahkan perlindungan privasi

Metode utama verifikasi usia

  • Pertama, verifikasi berbasis identitas resmi: meminta ID yang diterbitkan pemerintah, identitas digital, atau dokumen lain
    • Di beberapa wilayah, remaja tidak memiliki ID atau bentuk digitalnya belum memadai
    • Penyimpanan salinan identitas memunculkan risiko keamanan dan penyalahgunaan
  • Kedua, verifikasi berbasis inferensi: memperkirakan usia melalui perilaku pengguna, sinyal perangkat, atau AI pengenal wajah
    • Terdapat kesalahan probabilistik, sehingga alih-alih akurat sistem ini mengandung kemungkinan salah klasifikasi
  • Dalam praktiknya, kedua metode sering digabungkan, dengan tahapan yang makin ketat dari pelaporan mandiri → estimasi AI → verifikasi identitas resmi

Contoh penerapan di platform utama

  • Meta (Instagram): memperkenalkan estimasi usia wajah berbasis video selfie melalui mitra pihak ketiga
    • Jika dicurigai sebagai anak di bawah umur, akun dapat dibatasi atau dikunci, dan jika mengajukan keberatan diperlukan verifikasi tambahan
  • TikTok: memperkirakan usia lewat analisis video publik
  • Google/YouTube: melakukan estimasi berdasarkan riwayat tontonan dan aktivitas, lalu jika tidak yakin akan meminta identitas resmi atau kartu kredit
  • Roblox: setelah menerapkan sistem estimasi usia AI, muncul kasus perdagangan dan penyalahgunaan akun anak
  • Bagi pengguna, verifikasi usia berubah dari prosedur satu kali menjadi proses verifikasi berulang

Kegagalan sistem dan risiko privasi

  • False positive: pengguna dewasa diklasifikasikan sebagai anak di bawah umur sehingga akun terkunci
  • Lolos deteksi: remaja menghindari verifikasi dengan VPN, ID milik orang lain, dan cara lain
  • Dalam proses banding, platform harus menyimpan data biometrik, gambar identitas, dan log dalam jangka panjang, yang secara inheren membawa risiko pelanggaran data
  • Pada skala jutaan pengguna, struktur seperti ini membuat risiko privasi tertanam dalam operasional platform itu sendiri

Benturan dengan hukum perlindungan data

  • Prinsip perlindungan data modern bertumpu pada pengumpulan seminimal mungkin, pembatasan tujuan, dan pembatasan masa simpan
  • Namun verifikasi usia menuntut penyimpanan log, pemeliharaan bukti, dan pemantauan berkelanjutan, sehingga bertentangan dengan prinsip tersebut
  • Otoritas regulator tidak mudah menerima klaim bahwa “data yang dikumpulkan lebih sedikit”, dan perusahaan merespons dengan mengumpulkan lebih banyak data demi menghindari risiko gugatan

Penguatan pengawasan di negara berkembang

  • Brasil: undang-undang perlindungan anak dan remaja (ECA) berdampingan dengan hukum perlindungan data
    • Infrastruktur identitas tidak merata sehingga ketergantungan pada estimasi wajah dan vendor verifikasi pihak ketiga meningkat
  • Nigeria: karena kurangnya identitas resmi, digunakan analisis perilaku, inferensi biometrik, dan layanan verifikasi luar negeri
    • Arus data meluas, kontrol pengguna melemah
  • Semakin rendah kapasitas administratif suatu negara, semakin besar kemungkinan verifikasi usia berujung pada penguatan pengawasan

Lingkaran setan yang diciptakan penegakan regulasi

  • Standar “langkah yang wajar” yang ambigu seiring waktu berubah menjadi langkah yang semakin invasif
  • Pemindaian wajah berulang, pemeriksaan identitas, dan penyimpanan log jangka panjang menjadi prosedur standar yang mengakar
  • Desain yang kurang invasif tersingkir karena dianggap tidak memadai untuk memenuhi tuntutan regulasi
  • Hal ini mirip dengan proses ketika sistem pelacakan pajak penjualan online pada masa lalu mulai menuntut log transaksi berkelanjutan

Pilihan yang dihindari dan masalah struktural

  • Yang dipersoalkan bukan perlindungan anak itu sendiri, melainkan penyangkalan atas adanya trade-off
  • Pembuktian usia yang menjaga privasi (misalnya dengan campur tangan pihak ketiga pemerintah) pun tidak menyelesaikan masalah bagi mereka yang tidak memiliki ID
  • Di beberapa negara, usia penerbitan ID lebih tinggi daripada usia yang diizinkan untuk menggunakan media sosial, sehingga harus memilih antara mengecualikan pengguna yang sah atau melakukan pemantauan menyeluruh
  • Saat ini perusahaan merespons dengan membangun sistem yang memprioritaskan minimalisasi risiko hukum
  • Akibatnya, regulasi batas usia sedang membentuk ulang struktur identitas, privasi, dan akses di seluruh internet

Kesimpulan

  • Jebakan verifikasi usia bukan sekadar kesalahan teknis, melainkan struktur yang tak terhindarkan ketika regulasi mewajibkan penegakan usia dan memperlakukan privasi sebagai hal opsional
  • Kebijakan yang mengatasnamakan perlindungan anak secara kuat justru menyingkap paradoks bahwa sistem perlindungan data untuk semua pengguna menjadi melemah

Bacaan terkait

1 komentar

 
GN⁺ 2026-02-24
Komentar Hacker News

  • Kita tampaknya tidak mau menuntut tanggung jawab orang tua atas konten yang dikonsumsi anak-anak
    Di AS, memberi alkohol, senjata, atau rokok kepada anak di bawah umur bisa dihukum, tetapi di internet tanggung jawab sosial seperti itu tampaknya hilang
    Jika ingin melindungi anak, alih-alih membangun negara pengawasan, kita seharusnya memberi orang tua alat pemantauan yang kuat agar mereka bisa mengendalikan sendiri
    Pada akhirnya, melindungi anak memang peran asli orang tua

    • Kadang saya merasa tidak tahu siapa yang benar-benar berpihak pada kebebasan
      Janji internet sudah runtuh karena newsfeed dan perusahaan-perusahaan raksasa
      Bahkan ada dokumen yang menunjukkan eksekutif Facebook memikirkan cara membuat anak-anak makin kecanduan
      Dalam situasi seperti ini, posisi saya adalah “saya lebih membenci Nanny Zuck daripada negara pengawasan”
    • Saya setuju bahwa orang tua perlu diberi alat yang kuat, tetapi kenyataannya ini terlalu sulit
      Saya sedang perang memblokir YouTube dengan anak usia 7 tahun; dia menembus pemblokiran DNS, memakai proxy, dan sekarang mengakali lewat DNS-over-HTTPS di Firefox
      Akhirnya saya cuma bisa memblokir lewat kebijakan. Alat untuk orang tua terlalu lemah
    • Seperti halnya ada tanggung jawab sosial untuk mencegah penjualan alkohol dan rokok kepada anak, saya juga bertanya-tanya siapa yang harus menghentikan perusahaan jika mereka menjual hal-hal seperti itu di sekolah
    • Dari sudut pandang orang tua, mengontrol akses internet anak secara rinci adalah pertarungan tanpa akhir melawan celah
      Bahkan perangkat yang dibagikan sekolah pun hanya punya kontrol yang lemah, dan anak-anak saling berbagi cara bypass
    • Saya mendukung regulasi internet dan SNS, tetapi menurut saya membebankan semua tanggung jawab kepada orang tua itu tidak realistis
      Sekalipun orang tua secara teknis bisa memblokir, masyarakat secara keseluruhan sudah terjebak dalam keseimbangan Nash
      Semua orang memakai ponsel, jadi kalau tidak ikut, anak akan terisolasi secara sosial
      Pada akhirnya dibutuhkan koordinasi komunitas, dan idealnya itu berupa kerja sama tingkat lokal, meski bukan oleh pemerintah

  • Saya bekerja pada sistem dompet identitas berbasis zero-knowledge proof di Eropa
    Sistem itu hanya mengekstrak atribut “berusia 18 tahun ke atas” dari paspor untuk membuktikan umur secara anonim
    Jika kita mempercayai ID yang diterbitkan pemerintah, verifikasi usia tanpa membuka data pribadi itu mungkin
    Pendekatan ini bisa menjadi solusi realistis bila digabung dengan kebijakan seperti penghapusan akun tidak aktif di EU

    • Tetapi kalau melihat dokumen EU Identity Wallet, struktur nyatanya justru sangat invasif
      Pengguna diberi 30 token yang kedaluwarsa dalam 3 bulan, dan dipaksa memasang GooglePlay Services
      Keberatan soal kemungkinan pelacakan token dan pelanggaran privasi serius sudah diajukan di GitHub, tetapi diabaikan
    • Ada pertanyaan apakah umur bisa dibuktikan tanpa mengirim ID ke server
      Jika hanya diproses di klien, bisa dipalsukan; jika dikirim ke server, maka anonimitas rusak
      Pada akhirnya dibutuhkan attestation dari pemerintah, dan dalam proses itu timbul pelacakan
      Sistem seperti ini pada akhirnya akan mengarah ke pengawasan yang tidak transparan dengan dalih “menghentikan orang jahat”
    • Saya juga penasaran apakah sistem seperti ini bisa diverifikasi secara offline
      Jika pemerintah mengoperasikan DB terpusat, pada akhirnya pengguna tetap bisa dilacak lewat token
    • Zero-knowledge proof memang perbaikan, tetapi masalah kepercayaan tetap ada
      Jika akses web mengharuskan login lewat dompet pemerintah, itu adalah gatekeeping
      Pada praktiknya sistem hanya mengautentikasi perangkat, bukan siapa orang yang ada di depan layar
      Pada akhirnya tetap akan di-bypass seperti era Net Nanny
      Menurut saya AS tidak seharusnya mengikuti model EU seperti ini
    • Beberapa negara sejak awal tampaknya hanya ingin memakai pemindaian wajah untuk tujuan lain, bukan benar-benar peduli pada keamanan

  • Saya pikir premis tulisannya keliru
    Asumsi bahwa “untuk membuktikan umur, kita harus mengumpulkan data pribadi” justru melegitimasi pengawasan
    Sebaliknya, jika hukum secara tegas melarang pengumpulan data pribadi, alternatif seperti zero-knowledge proof akan berkembang
    Jika sejak awal kita berkata “ini mustahil tanpa melanggar privasi”, akhirnya semuanya akan mengarah ke pelanggaran itu

  • Terlalu sering orang tua memberi anak akun yang tidak terkunci, atau anak memakainya diam-diam
    Bahkan jika itu dipidanakan, hasilnya tidak akan efektif; pada akhirnya yang dibutuhkan adalah perubahan budaya
    Jika perubahan seperti itu terjadi, masalah ini bisa diatasi dengan hanya mengizinkan perangkat berbasis whitelist untuk anak di bawah umur

    • Tetapi sebagai orang tua, saya tidak ingin pemblokiran menyeluruh seperti itu
      Konsep “sesuai usia” sendiri terasa menghina
      Menurut saya, saya harus berbicara dengan anak saya dan membiarkannya belajar menilai sendiri
      Pada akhirnya verifikasi usia hanyalah alat untuk memperkuat kontrol pemerintah dan perusahaan
    • Jika yang dipakai adalah verifikasi ID anonim, anak-anak akan memakai ID teman atau orang tua untuk lolos verifikasi
      Dulu orang bangga bisa membobol pemblokiran konten, jadi percaya mereka sekarang akan patuh begitu saja pada hukum adalah pemikiran yang naif
    • Internet tidak punya batas negara, jadi sekalipun suatu negara membuat undang-undang verifikasi usia, orang masih bisa memutar lewat server negara lain
      Industri porno mungkin akan terdampak, tetapi pemblokiran total tetap mustahil
    • Dalam pengalaman saya, anak cukup logout dari akun YouTube yang dibatasi usia lalu menonton konten tanpa batasan
      Saya jadi bertanya-tanya sebenarnya seperti apa rating konten saat dalam keadaan logout
    • Kita butuh standar agar situs web sendiri menandai rating konten, lalu perangkat memblokir sesuai rating itu

  • Saat dulu membuat aplikasi edukasi anak, saya pernah menghadapi masalah verifikasi usia
    Kami sempat meminta sebagian SSN orang tua atau memakai layanan sertifikasi COPPA, tetapi proses pendaftarannya jadi rumit
    Pada akhirnya ini soal trade-off antara keamanan dan pengalaman pengguna

  • Jika verifikasi usia ingin dilakukan, itu harus diproses di tingkat perangkat
    Orang tua cukup mengatur browser anak ke ‘mode anak di bawah umur’, lalu situs web hanya perlu mengikuti sinyal itu
    Penyedia layanan tidak perlu menyimpan ID

    • Pendekatan ini terdengar cukup masuk akal. Saya penasaran apakah ada bagian yang saya lewatkan

  • Jika tujuannya melindungi anak, ada cara selain verifikasi ID
    Misalnya dengan melarang iklan tertarget atau konten adiktif yang ditujukan pada anak, lalu menghukum eksekutif yang menyetujuinya

    • Tetapi jika begitu, perusahaan justru akan memperkuat verifikasi usia
      Karena mereka harus bisa membedakan anak agar dapat menghindari iklan itu
    • Pada akhirnya, untuk menghindari hukuman mereka akan menerapkan verifikasi ID
    • Perusahaan besar sudah membangun infrastruktur penghindaran tanggung jawab hukum
      Dengan rantai instruksi yang tidak terdokumentasi dan komunikasi internal yang sangat besar, mereka membuat pelacakan tanggung jawab menjadi mustahil
      Dalam struktur seperti ini, hampir mustahil menghukum perusahaan secara nyata
    • Facebook bahkan tidak bisa menghentikan iklan penipuan, jadi terlalu berharap mereka melindungi anak itu tidak realistis

  • Tujuan sebuah sistem terlihat dari hasil yang ditimbulkannya
    Dalam arus verifikasi usia saat ini, inti masalahnya adalah pelemahan perlindungan data
    Melihat pemerintah-pemerintah Barat bergerak serempak, target sebenarnya tampak seperti penghapusan anonimitas online
    Perlindungan anak hanyalah dalih, sedangkan tujuan nyatanya adalah kontrol politik dan pengelolaan arus informasi

    • Ada juga motif keuntungan di sini
      Perusahaan verifikasi usia melobi agar sistem ini diwajibkan, lalu menghasilkan uang dari pelanggaran privasi
    • Tentu saja, tidak semua hasil sistem bisa dianggap sebagai niat yang disengaja
      Bisa juga ini sekadar pelaksanaan yang tidak kompeten
    • Tetapi banyak diskusi terlalu fokus pada solusi teknis, dan mengabaikan masalah struktur kekuasaan
    • Seperti kata Adam Smith, “orang-orang dari industri yang sama kalau berkumpul pada akhirnya akan menyusun konspirasi yang merugikan kepentingan publik
    • Namun melihat semua hasil sebagai konspirasi juga berlebihan
      Tetap ada jarak yang tak terhindarkan antara rancangan dan pelaksanaan

  • Kita membutuhkan cara untuk menyimpan informasi identitas dan usia terenkripsi di perangkat pribadi, sementara layanan memverifikasi secara kriptografis informasi itu
    Misalnya iPhone membuktikan ke DoorDash bahwa penggunanya “berusia 21 tahun ke atas”, seperti Face ID
    Masalahnya adalah seberapa cepat infrastruktur kripto yang terstandarisasi seperti ini diadopsi dan apakah perusahaan akan dipercaya

    • Tetapi tujuan sebenarnya bukan verifikasi usia, melainkan penghapusan anonimitas
      Meminimalkan informasi identitas justru bertolak belakang dengan tujuan mereka
    • Standar ISO/IEC 18013-5 memungkinkan mobile driving licence (mDL) membuktikan hanya usia
    • Kartu identitas elektronik Jerman juga terhubung ke aplikasi lewat NFC, sehingga hanya memverifikasi usia tanpa membuka informasi lain
    • Saya berharap sistem seperti ini cepat diadopsi
      Seperti yang saya tulis di posting blog saya, ini bisa memungkinkan SNS yang berpusat pada manusia tanpa bot
    • Tetapi ada juga yang berpendapat “anggap saja semua orang sebagai orang dewasa”
      Internet pada dasarnya adalah jaringan yang tak bisa dikendalikan, jadi pendekatan yang realistis adalah mencegah anak mengaksesnya
      Berbahaya jika dengan dalih “melindungi anak” kita malah menciptakan masyarakat kontrol informasi

  • Klaim bahwa “untuk verifikasi, data harus disimpan permanen” itu salah
    Pihak ketiga seperti iDIN(idin.nl) cukup memeriksa usia lalu meninggalkan penanda “18+”

    • Tetapi sangat mungkin informasi identitas tetap terbuka, disimpan, dan disalahgunakan
      Sekalipun pemerintah atau perusahaan berniat baik, mereka tidak punya kekuatan untuk mencegahnya
    • Tidak ada cara untuk membuktikan bahwa perusahaan benar-benar tidak menyimpan data
      Karena itu satu-satunya solusi adalah struktur di mana data tidak pernah keluar dari perangkat
    • Namun dalam verifikasi hukum, pendekatan seperti ini tidak diakui sebagai bukti
      Karena tidak ada cara untuk membuktikan bahwa platform benar-benar telah memeriksa usia