Ahli IT Soroti Etika AI, Bahaya Hacker, Izin Ambil Foto di Aplikasi FotoYu

Aplikasi FotoYu belakang viral di media sosial, karena menjadi tempat bagi fotografer menjual hasil jepretan . Akan tetapi, ahli IT menyoroti izin fotografer mengambil foto masyarakat di ruang publik, etika penggunaan AI, serta potensi pencurian data.

FotoYu adalah aplikasi marketplace foto berbasis di Indonesia yang menghubungkan kreator foto atau fotografer dengan model maupun subjek foto lewat teknologi pengenalan wajah dan lokasi.

Kreator bisa langsung mengunggah foto ke platform FotoYu. Sedangkan subjek foto, yang disebut sebagai yuser, bisa mengunduh atau download foto dirinya di aplikasi dengan membayar.

Peneliti Keamanan Siber Communication Information System Security Research Center (CISSReC) Pratama Persadha menyoroti penggunaan AI pada aplikasi FotoYu. Marketplace ini menggunakan RoboYu, modul AI berbasis pengenalan wajah dan lokasi yang bertugas membantu pengguna menemukan foto mereka sendiri di kumpulan foto yang diunggah oleh kreator.

Cara mencari foto menggunakan RoboYu di platform FotoYu sebagai berikut:

• Menggunakan face recognition dan analisis data lokasi untuk mencari foto yang kemungkinan memuat foto yuser
• Setelah RoboYu menemukan ‘foto yang diperkirakan kamu’ aplikasi akan meminta konfirmasi dengan notifikasi ‘Is this you?’ atau ‘apakah ini anda?”
• Pengguna bisa memilih ‘yeah’ atau ‘nope’
• Jika pengguna memiliki foto yang sudah dikonfirmasi oleh kamu sendiri, barulah bisa membeli versi tanpa watermark dan mengunduhnya

“Yang membuat FotoYu kontroversial yakni fitur AI di dalamnya yang mampu mengenali wajah seseorang dari ribuan foto, bahkan tanpa sepengetahuan atau izin orang itu. Dalam konteks ini, praktik yang tampak sederhana justru menyingkap persoalan etika dan hukum yang dalam, terutama jika dikaitkan dengan perlindungan data pribadi di Indonesia,” kata Pratama kepada Katadata.co.id, Kamis (30/10).

Dari sisi keamanan siber, bahaya yang mengintai tidak hanya sebatas pelanggaran privasi. Pertama, data wajah yang diunggah ke sistem AI bisa menjadi target empuk bagi peretas, terutama jika penyedia layanan tidak memiliki sistem enkripsi dan kontrol akses yang kuat.

Kebocoran data wajah jauh lebih berbahaya dibanding kebocoran email atau nomor telepon, karena wajah adalah identitas biologis yang tidak bisa diganti.

Kedua, risiko penyalahgunaan oleh pihak ketiga yang memanfaatkan dataset wajah untuk kepentingan komersial, pengenalan wajah massal, atau bahkan pembuatan konten deepfake.

Terakhir, dalam konteks sosial, fenomena itu juga menimbulkan efek psikologis berupa ketidaknyamanan dan rasa diawasi di ruang publik. Seolah setiap aktivitas seseorang dapat direkam, dianalisis, dan dimonetisasi tanpa kendali.

Fotografer Berpotensi Langgar UU PDP

Menurut Pratama, pengumpulan data biometrik berupa wajah di platform seperti FotoYu secara prinsip menyalahi aturan apabila dilakukan tanpa consent atau persetujuan eksplisit dari individu yang difoto.

Merujuk pada UU PDP, wajah merupakan data pribadi spesifik karena dapat digunakan untuk mengidentifikasi seseorang secara unik. Oleh karena itu, setiap bentuk pengambilan, pemrosesan, atau penyimpanan data wajah seharusnya didasarkan pada izin yang sah dari subjek data.

Dalam kasus FotoYu, apabila pengguna atau fotografer mengunggah foto seseorang ke platform AI tanpa persetujuan, maka hal ini berpotensi menjadi pelanggaran terhadap prinsip lawful processing dalam UU PDP.

Penggunaan AI untuk mencocokkan wajah seseorang dengan foto di basis data menambah kompleksitas. Sebab terjadi proses pengolahan data biometrik yang secara eksplisit diatur dan dibatasi dalam undang-undang.

Bagi fotografer, tren ini memang menawarkan kemudahan baru dalam menemukan dan membagikan hasil karya. Akan tetapi, mereka juga memiliki tanggung jawab etis dan hukum yang tidak bisa diabaikan.

“Fotografer profesional seharusnya memahami bahwa hak cipta atas foto tidak serta-merta menghapus hak privasi subjek yang ada di dalamnya,” ujar dia. Tanpa mekanisme persetujuan yang jelas, mereka dapat terjerat pasal-pasal dalam UU PDP yang melarang pengolahan data pribadi tanpa dasar hukum.

Pelanggaran terhadap pasal itu dapat dikenai sanksi administratif berupa teguran, penghentian aktivitas pemrosesan, atau denda hingga miliaran rupiah. Dalam kasus yang lebih berat, seperti penyebaran foto untuk tujuan komersial tanpa izin, pelaku bisa dijerat pidana sesuai Pasal 67 ayat 1 UU PDP, yang mengatur hukuman penjara maksimal lima tahun atau denda hingga Rp 5 miliar.

Direktur Eksekutif ICT Institute Heru Sutadi juga menyoroti proses izin pengambilan gambar. “Di banyak negara biasanya fotografer mengambil foto orang yang sudah memesan terlebih dulu,” kata dia kepada Katadata.co.id, Kamis (30/10).

Senada dengan Pratama, Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya menilai aplikasi FotoYu berpotensi melakukan penyalahgunaan data wajah. “Platform ini punya data exif atau metadata. Mereka itu yang rentan mengeksploitasi,” ujar dia kepada Katadata.co.id, Rabu (29/10).

“Kalau fotografer salah dan sembarangan, misalnya file foto asli dan exif (metadata) ini ditaruh (di aplikasi), sehingga berhasil dicuri atau bisa diakses, maka mereka yang harus tanggung jawab,” Alfons menambahkan.

SAFEnet juga menyoroti alur pemrosesan data di aplikasi FotoYu. “Dari segi mekanisme, sudah sangat diperketat, dengan tahapan verifikasi menggunakan AI RoboYu,” kata SAFEnet melalui X, Rabu (29/10).

“Namun bagaimana jika fotografer tetap mengunggah foto yang memuat orang-orang tanpa izin? Hal ini tentu menimbulkan kekhawatiran terkait privasi individu, terutama dalam menjaga rasa aman saat berada dan beraktivitas di ruang publik,” SAFEnet menambahkan.

Peran Komdigi soal Tren Ambil Foto di Ruang Publik

Pratama menyoroti peran Kementerian Komunikasi dan Digital alias Komdigi, sebagai lembaga yang bertanggung jawab atas pelaksanaan UU PDP. Menurut dia, kementerian perlu memberikan perhatian serius terhadap tren semacam ini.

“Pengawasan terhadap aplikasi berbasis AI yang mengumpulkan data biometrik publik harus diperketat, termasuk dengan mewajibkan penyedia platform untuk menerapkan prinsip privacy by design dan transparansi pengolahan data,” kata Pratama.

Hal senada disampaikan oleh Alfons. “Saya melihat ada kebutuhan pembatasan dari otoritas. Apa kewajiban dari penyedia layanan seperti FotoYu? Sejauh mana? Lalu, apakah bisa jika orang tidak ingin dilacak?” ujar dia.

Katadata.co.id mengonfirmasi kepada Direktur Jenderal Pengawasan Ruang Digital Kementerian Komdigi Alexander Sabar mengenai viral fotografer mengunggah foto pelari di ruang publik dan diunggah ke FotoYu. Namun ia belum berkomentar.

Akan tetapi, dalam keterangan pers, Alex menekankan setiap pemotretan dan publikasi foto harus memperhatikan aspek hukum dan etika pelindungan data pribadi.

“Foto seseorang, terutama yang menampilkan wajah atau ciri khas individu, termasuk kategori data pribadi karena dapat digunakan untuk mengidentifikasi seseorang secara spesifik. Hal ini termasuk data pribadi dan tidak boleh disebarkan tanpa izin,” kata Alex tanpa spesifik mengomentari FotoYu, di Kantor Kementerian Komdigi, Jakarta Pusat, Rabu (29/10).

Setiap bentuk pemrosesan data pribadi, mulai dari pengambilan, penyimpanan hingga penyebarluasan, harus memiliki dasar hukum yang jelas, misalnya melalui persetujuan eksplisit dari subjek data.

Alexander juga mengingatkan bahwa fotografer wajib menghormati hak cipta dan hak atas citra diri. “Tidak boleh ada pengkomersialan hasil foto tanpa persetujuan dari subjek yang difoto,” katanya.

Alexander Sabar menegaskan masyarakat memiliki hak untuk menggugat pihak yang melanggar atau menyalahgunakan data pribadi sebagaimana diatur dalam UU PDP dan UU Informasi dan Transaksi Elektronik (ITE).

Ke depan, Kementerian Komdigi akan mengundang perwakilan fotografer dan asosiasi profesi seperti Asosiasi Profesi Fotografi Indonesia (APFI), serta Penyelenggara Sistem Elektronik atau PSE terkait untuk memperkuat pemahaman tentang kewajiban hukum dan etika fotografi di ruang digital.

“Kami ingin memastikan para pelaku kreatif memahami batasan hukum dan etika dalam memotret, mengolah, dan menyebarluaskan karya digital. Ini bagian dari tanggung jawab bersama untuk menjaga ruang digital tetap aman dan beradab,” kata Alexander.

Perlindungan Data di Aplikasi FotoYu

FotoYu memastikan perusahaan tidak pernah mencarikan foto dokumentasi untuk yuser. “Yuser-lah yang mengendalikan RoboYu masing-masing untuk mencari foto dokumentasi mereka sendiri,” demikian dikutip dari laman resmi.

Fotoyu menggabungkan beberapa teknologi AI, komputasi awan alias cloud, otomatisasi, ponsel pintar, GPS, teknologi finansial alias fintech, enkripsi, dan crowdsourcing.

“Kami memerlukan persetujuan kamu untuk mengumpulkan ‘pengenal biometrik wajah pribadi kamu’. Kami juga memerlukan persetujuan kamu untuk mengumpulkan data lokasi ponsel,” demikian dikutip.

Data biometrik wajah yuser dan analisis data lokasi dienkripsi oleh setiap RoboYu. Enkripsi hanya dapat dibuka oleh RoboYu yuser, bahkan seluruh staf Fotoyu tidak dapat membacanya kecuali untuk segelintir engineer tingkat atas untuk pemeliharaan.

“Kami akan memusnahkan pengidentifikasi biometrik dan data lokasi kamu atas permintaan atau saat kamu menghapus akun kamu,” demikian dikutip.

FotoYu mengatakan, demi kenyamanan semua orang dan transparansi kreator, semua kreator dan yuser harus mengikuti proses Know Your Customer (KYC) dan verifikasi.

Wajah terverifikasi akan digunakan oleh RoboYu untuk menemukan foto dokumentasi yuser di server FotoYu. Verifikasi wajah menggunakan teknologi AI Anti Spoofing Liveness, untuk memastikan bahwa ‘kamu benar-benar kamu’.

Dengan demikian, mencegah pencurian identitas. Kamu hanya dapat memiliki satu akun di Fotoyu. Sebab, setiap orang memiliki Biometrik Wajah unik yang dikunci RoboYu hanya untuk satu akun, untuk mencegah pencurian identitas.

RoboYu dapat mendeteksi kemungkinan kemiripan wajah dengan yuser baru lainnya. Jika itu terjadi, pengguna hanya perlu memilih satu akun dan menghapus akun yang lain.

Selain itu, ketika fotografer mengambil foto dokumentasi yuser, data lokasi foto dokumentasi juga disimpan dalam metadata foto dokumentasi, yang dapat dicocokkan dengan data lokasi gadget.

Hal itu juga berfungsi mencegah pencurian identitas dengan menggunakan analisis AI. Untuk meningkatkan akurasi sekaligus mencegah pencurian identitas wajah, teknologi pelacak lokasi digunakan pada smartphone yuser.

“Teorinya sederhana, contoh yuser bernama Michael sedang berada di Monas 25 Januari 2022 16.30 sewaktu didokumentasikan oleh fotografer. Jadi, data lokasi di ponsel Michael seharusnya Monas, 25 Januari 2022 16:30 dan juga cocok dengan Metadata Lokasi dari dokumentasi yang diambil oleh Fotografer,” demikian dikutip.