Tren 'Badai Salju' Bikin Heboh di Internet: Risiko Kebocoran Data Wajah Sudah Sangat Mengkhawatirkan

Memberikan data pribadi kepada pihak ketiga

Menurut Asosiasi Keamanan Siber Nasional, tren pembuatan foto "salju" menggunakan kecerdasan buatan (AI) sedang marak di media sosial, mengubah ribuan swafoto Vietnam menjadi adegan romantis layaknya poster film Korea. Namun, di balik foto-foto gemerlap tersebut terdapat risiko kebocoran data biometrik: Foto potret wajah penuh ditransfer ke platform, aplikasi, dan server dengan asal dan kebijakan penyimpanan yang tidak jelas. Tanpa kewaspadaan dan peraturan perlindungan data yang ketat, tren yang menyenangkan ini dapat membuka jalan bagi deepfake, peniruan identitas, pemerasan, serta konsekuensi keamanan dan sosial yang tak terduga.

Tren "AI snowstorm" menarik karena kecepatannya dan hasilnya yang memukau: Hanya dengan beberapa langkah mengunggah foto dan memilih efek, pengguna akan langsung menerima foto olahan dengan latar belakang bersalju, pencahayaan, dan riasan digital. Namun, layanan AI seringkali membutuhkan foto asli berkualitas tinggi, sudut wajah yang jelas, pencahayaan yang baik, serta kriteria yang sempurna untuk pengenalan wajah dan pelatihan model. Foto potret bukan sekadar "sebuah foto" melainkan data biometrik, yang dapat mengidentifikasi, memverifikasi subjek, atau digunakan kembali untuk membuat konten palsu.

Di Vietnam, sebagian besar pengguna yang menggunakan aplikasi ini seringkali tidak membaca syarat penggunaan atau kebijakan privasi dengan saksama. Mereka membagikan foto pribadi dengan tujuan "bersenang-senang, bereksperimen" atau karena ingin "mengikuti tren" untuk meningkatkan interaksi di media sosial. Sementara itu, istilah yang samar seperti "platform dapat menggunakan, menyimpan, dan meningkatkan layanan dengan menggunakan data pengguna" memungkinkan platform untuk mengumpulkan dan mentransfer data ke gudang pelatihan AI atau mitra pihak ketiga, yang merupakan organisasi di luar negeri dengan peraturan privasi yang berbeda. Setelah data meninggalkan perangkat dan berada di server, pengguna hampir kehilangan kendali: Foto dapat disalin, didistribusikan, dijual di pasar gelap, atau digunakan sebagai data pelatihan untuk membuat serangkaian deepfake yang menargetkan kelompok populasi yang sama.

Risiko yang ada dan bentuk serangan yang umum: Mulai dari penggunaan foto hingga video palsu berisi pidato dan klip sensitif untuk tujuan pemerasan, hingga menerobos mekanisme autentikasi foto di beberapa sistem eKYC yang lemah untuk membuka rekening ilegal. Meskipun bank-bank besar telah menerapkan beberapa lapis autentikasi, banyak sistem dan layanan daring masih rentan terhadap foto palsu yang dihasilkan oleh AI. Dengan data wajah yang berkualitas, pelaku kejahatan dapat menggabungkan teknologi suara untuk membuat video yang "berbicara" dengan karakter palsu tersebut.

Catatan

Untuk mengurangi risiko dari tren AI, tindakan yang diperlukan: Tanggung jawab platform, kesadaran pengguna, dan kerangka hukum yang jelas. Pada tingkat individu, pengguna harus berhati-hati: Jangan mengunggah foto wajah asli ke aplikasi dan layanan yang tidak diketahui asalnya atau tanpa identitas hukum yang transparan; prioritaskan pengujian efek melalui perangkat luring (pemrosesan hanya di perangkat) atau gunakan foto yang diedit sebagian (misalnya, memotong bingkai, menutupi mata) jika Anda masih ingin mencoba tren ini. Jika Anda pernah mengunggah foto ke platform yang tidak tepercaya, pengguna perlu memeriksa dan mencabut akses jika layanan mendukungnya, menghapus foto dari album, atau menghubungi administrator untuk meminta penghapusan data.

Di sisi penyedia layanan AI, perlu ada transparansi maksimal mengenai mekanisme pengumpulan, penyimpanan, dan pembagian data. Platform harus mempublikasikan kebijakan penyimpanan mereka: apakah gambar asli disimpan, di server negara mana, apakah data digunakan untuk melatih model atau dijual ke pihak ketiga, dan periode penyimpanan. Jika data digunakan untuk pelatihan, bisnis harus memberikan opsi "opt-in" yang jelas kepada pengguna, alih-alih persetujuan standar. Pada saat yang sama, perlu diterapkan mekanisme teknis untuk menghapus data sepenuhnya ketika pengguna meminta ("hak untuk dilupakan") dan langkah-langkah keamanan seperti enkripsi dan kontrol akses yang ketat.

Keputusan 13/2023/ND-CP tentang perlindungan data pribadi adalah dokumen hukum pertama yang secara tegas mendefinisikan: Data biometrik, termasuk citra wajah, termasuk dalam kelompok data pribadi sensitif dan harus dilindungi pada tingkat tertinggi. Berdasarkan peraturan, organisasi pemroses data harus transparan mengenai tujuan pengumpulan, memiliki persetujuan yang jelas dari subjek data, tidak boleh mentransfer data ke luar negeri tanpa memastikan standar keamanan, dan harus memiliki mekanisme untuk menghapus data atas permintaan pengguna.

Namun, sebagian besar aplikasi AI yang sedang tren saat ini tidak memiliki server di Vietnam, tidak memiliki persyaratan yang transparan, dan tidak menyediakan mekanisme penarikan data. Hal ini menimbulkan kebutuhan mendesak bagi badan pengelola: untuk memperkuat inspeksi, pengawasan, dan memberikan panduan yang lebih rinci bagi platform AI lintas batas, terutama dalam konteks jumlah data biometrik penduduk Vietnam yang terus meningkat dan menyebar ke lingkungan digital dengan kecepatan yang belum pernah terjadi sebelumnya.

Tren yang dihasilkan AI menawarkan kemudahan dan kesenangan instan, tetapi dapat berdampak jangka panjang jika pengguna tidak membekali diri dengan pengetahuan. Di era data, setiap gambar wajah merupakan aset digital yang berharga dan berisiko yang perlu dilindungi seperti rekening bank atau kartu identitas. Pengguna harus tetap waspada untuk menghindari gelombang kebocoran data biometrik yang dapat berdampak luas.