Registrasi SIM CARD dengan face recignition: Mengancam Hak Privasi Warga Negara Di Tengah Preseden Kebocoran Data oleh Negara. 

Pers Rilis 

Kementerian Komunikasi dan Digital (Komdigi) resmi menerbitkan Peraturan Menteri Komunikasi dan Digital Nomor 7 Tahun 2026 Tentang Registrasi Pelanggan Jasa Telekomunikasi Melalui Jaringan Bergerak Seluler (Permenkomdigi 7/2026). Ketentuan Pasal 3 Peraturan ini mewajibkan penggunaan pengenalan wajah (face recognition) sebagai metode verifikasi identitas dalam proses registrasi yang berlaku baik bagi Warga Negara Indonesia maupun Warga Negara Asing (WNA). Pasalnya, kebijakan ini diterbitkan oleh Komdigi di tengah ketidakpastian hukum dan desakan masyarakat karena tidak kunjung diterbitkannya Peraturan Pemerintah (PP) Perlindungan Data Pribadi yang merupakan mandat dari Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). 

Merespon kondisi ini, LBH Pers menyoroti sejumlah hal krusial: 

1.Permenkomdigi 7/2026 Batal Demi Hukum karena hingga saat ini Peraturan Turunan UU PDP belum Diterbitkan.

Face recognition melibatkan pemrosesan data biometrik yang dikategorikan sebagai data pribadi yang bersifat spesifik dan memerlukan standar pelindungan yang ketat. Sebagai aturan teknis, Permen Komdigi No. 7/2026 memang menekankan pengamanan yang bersifat operasional, seperti kewajiban menjaga kerahasiaan data pelanggan, penerapan standar keamanan informasi, dan audit berkala. Namun, UU PDP menempatkan pelindungan data pada standar yang lebih dapat diuji, karena pemrosesan data harus dijalankan secara transparan dan akuntabel, mulai dari langkah teknis-operasional untuk mencegah akses atau pemrosesan tidak sah hingga kewajiban pemberitahuan apabila terjadi kegagalan pelindungan data pribadi paling lambat 3×24 jam. 

Dalam ketentuan Pasal 13 ayat (2) Permen ini mengatur bahwa “data pelanggan yang tidak aktif disimpan paling singkat 3 (tiga) bulan”, sedangkan UU PDP menegaskan penghapusan wajib dilakukan ketika pemicu tertentu terjadi, misalnya data tidak lagi diperlukan untuk tujuan pemrosesan, persetujuan ditarik, ada permintaan subjek data, atau pemrosesan dilakukan secara melawan hukum. Tanpa kepastian penghapusan dan mekanisme respons insiden yang dapat ditelusuri, kewajiban pengumpulan biometrik justru memperbesar permukaan risiko, karena semakin banyak data sensitif tersimpan semakin besar pula konsekuensi ketika terjadi kebocoran atau penyalahgunaan.

Sedangkan hingga saat ini, pembentukan Badan PDP belum dilakukan oleh Presiden dan Peraturan Pemerintah (PP) turunan UU PDP belum juga diterbitkan. Kondisi ini membuat penegakan hukum tidak memiliki kejelasan operasional. Ketidakpastian hukum ini akan menimbulkan potensi data pribadi warga berupa rekaman akumulasi data biometrik dalam skala besar akan menjadi komoditas ilegal yang diperdagangkan dalam ruang siber.  Ketiadaan lembaga otoritatif yang menjalankan fungsi pengawasan dan penegakan hukum seharusnya secara mutatis mutandis membatalkan kebijakan a quo yang diterbitkan oleh Komdigi karena memuat kewajiban pengumpulan data pribadi masyarakat berupa face recognition masyarakat secara masif tanpa memastikan jaminan perlindungan hak privasi masyarakat. 

2. Nihilnya Partisipasi Publik, Ketiadaan Naskah Akademik dan Potensi Massive Surveillance dalam Implementasi Permenkomdigi 7/2026 

Pemerintah mendalilkan penerbitan kebijakan ini merupakan bagian dari upaya memperkuat regulasi sektor telekomunikasi dan melindungi konsumen dari tindakan ilegal. Narasi ini mulai muncul pada awal tahun 2024 oleh Kominfo, karena identitas palsu yang diklaim sering dimanfaatkan dalam kasus penipuan dan kejahatan digital. Akan tetapi Pemerintah sama sekali tidak terlebih dahulu melakukan assesment atau evaluasi pada sistem penyelenggaraan telekomunikasi yang telah dilakukan selama ini. Klaim ini juga LBH Pers nilai kontradiktif dengan fakta adanya legalisasi “praktik jual-beli” data kependudukan kepada swasta sebagaimana diatur dalam ketentuan Pasal 58 UU Adminduk.

Selain itu, pengumpulan data biometrik oleh Penyelenggara Telekomunikasi secara masif juga membuka peluang besar terhadap praktik “mass surveillance” yang dilakukan oleh Negara maupun swasta terhadap aktivitas warga Negara – seperti perangkat apa saja yang digunakan oleh warga Negara secara real-time dan dapat melacak lokasi spesifik seseorang melalui gawai yang menggunakan kartu SIM-Card tersebut. Jika tidak diatur secara ketat- data tersebut juga dapat digunakan sebagai komoditas bisnis yang tidak bertanggungjawab. Padahal data biometrik lainnya seperti face recognition merupakan data sensitif yang memiliki kekhususan dalam perlindungannya. Data biometrik sangat erat kaitannya dengan keselamatan individu, karena menggambarkan karakteristik fisiologis dan perilaku individu.

Selain itu pada Pasal 13 ayat (4) memberikan ruang yang sangat luas bagi pemerintah untuk memperoleh akses data pengguna tanpa menguraikan secara jelas maksud dan tujuan pemrosesan data. Pengaturan secara longgar itu tidak sejalan dengan prinsip pemrosesan data pribadi yang mengharuskan pemrosesan Data Pribadi dilakukan sesuai dengan tujuannya, serta subjek data berhak mendapat memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan Pelindungan Data Pribadi.

3. Pemerintah Menganggap Remeh Insiden Kebocoran Data Pribadi Masyarakat     

Indonesia dalam menghadapi insiden kebocoran data dan gangguan sistem dalam beberapa tahun terakhir. Salah satunya adalah serangan ransomware terhadap Pusat Data Nasional Sementara (PDNS) 2 pada Juni 2024 yang berdampak pada 282 instansi pemerintah, dengan 239 diantaranya mengalami gangguan layanan karena tidak memiliki cadangan data. Dalam konteks tersebut, keterlibatan pihak ketiga dalam pengelolaan infrastruktur data berskala nasional menunjukkan bahwa rantai pengelolaan data dapat menjadi lebih panjang, sehingga titik kerentanan juga semakin beragam. Ditambah lagi, pada tahun yang sama, muncul kasus pencurian 3.000 NIK untuk aktivasi kartu seluler yang menunjukkan bahwa ekosistem registrasi identitas sendiri sudah menjadi target penyalahgunaan. 

Kerentanan yang terlihat dari insiden sistem dan penyalahgunaan identitas itu menjadi semakin relevan, karena Permen Komdigi No. 7/2026 berpotensi akan memperlebar praktik registrasi di lapangan. Peraturan ini mengakui jejaring penjualan kartu perdana yang sangat luas, mencakup distributor, agen, outlet, pelapak, dan/atau perorangan. Pada Pasal 4 dan 5, registrasi juga dapat dilakukan melalui gerai dan dilaksanakan oleh petugas gerai yang ditunjuk, sehingga petugas tersebut memproses NIK dan biometrik pengenalan wajah pelanggan. Dalam hal ini, semakin banyak pihak yang bersentuhan dengan data pribadi yang bersifat spesifik dari seseorang, semakin besar pula peluang terjadinya penyalahgunaan dan kebocoran data.

4. Bentuk Pengabaian terhadap Hak-Hak Fundamental Warga Negara

Pengesahan serta pemberlakuan Permenkomdigi 7/2026 ini menambah daftar panjang pengabaian Negara terhadap berlangsungnya perlindungan terhadap hak-hak fundamental warga negara. Penggunaan data biometrik berbasis face recognition sebagai syarat wajib registrasi kartu SIM secara langsung menggerus hak setiap individu untuk secara bebas menentukan persetujuan atas pemrosesan data biometriknya. Data biometrik bukan sekadar data administratif, ia melekat secara permanen pada tubuh dan identitas seseorang. Untuk itu, kewenangan atas pemrosesan data biometrik sepenuhnya berada pada pemiliknya. Dalam kerangka hak asasi manusia, persetujuan atas pemrosesan data pribadi harus diberikan secara bebas, spesifik, dan tanpa tekanan. Ketika negara menjadikan biometrik sebagai prasyarat mutlak untuk mengakses layanan komunikasi, maka persetujuan tersebut kehilangan sifat sukarela dan berubah menjadi bentuk pemaksaan tidak sah oleh Negara.

Kebijakan ini juga mengabaikan fakta adanya kelompok warga negara yang tidak memiliki perangkat dengan fitur kamera, baik karena keterbatasan ekonomi, maupun karena pilihan pribadi secara merdeka. Dalam konteks tersebut, kewajiban verifikasi wajah justru semakin meminggirkan kelompok masyarakat tertentu dan secara nyata menempatkan negara sebagai pelaku aktif diskriminasi. Kebijakan ini berpotensi melanggar hak atas akses komunikasi dan informasi yang seharusnya inklusif bagi setiap warga negara. Dengan demikian, pemberlakuan kewajiban biometrik untuk registrasi kartu SIM ini bukan semata persoalan teknis administrasi, melainkan cerminan kegagalan negara menempatkan hak privasi, hak atas informasi dan akses komunikasi dalam perumusan kebijakan publik. 

Terhadap catatan tersebut, dengan ini LBH Pers menuntut: 

1. Pemerintah – Komdigi untuk segera mencabut Permenkomdigi 7/2026 sebelum diterbitkannya Peraturan Pemerintah dan Lembaga mandat dari UU PDP;
2. Presiden untuk segera membentuk lembaga PDP karena sudah melewati tenggat waktu yang diamanatkan oleh UU PDP;
3. Komdigi harus segera mempublikasikan dokumen RPP PDP yang terbaru dengan akses terbuka kepada publik, menginformasikan perkembangan tahapan proses pembentukan RPP yang terbaru, membuka akses risalah rapat.

Jakarta, 12 Februari 2026

LBH Pers