Lina Ghassani Hanum I Staf Kajian FKPH FH UB 2026
Pendahuluan
Pada beberapa tahun terakhir, perkembangan teknologi kecerdasan buatan (Artificial Intelligence, AI) di Indonesia telah mengalami kemajuan yang sangat pesat. Saat ini, teknologi AI telah hadir melalui mesin pencari, chatbot, aplikasi belanja daring, sistem rekomendasi media sosial, layanan kesehatan digital, sampai teknologi pengenalan wajah, yang berperan dalam mendukung inovasi layanan keuangan digital (FinTech) yang memperluas akses dan inklusi keuangan di Indonesia. AI memberikan kemudahan dan efisiensi, namun juga menimbulkan persoalan hukum baru, terutama yang berkaitan dengan perlindungan data pribadi.
Jika data tersebut dikumpulkan tanpa persetujuan yang jelas, digunakan untuk tujuan yang tidak diketahui pengguna, atau disimpan tanpa keamanan yang memadai,inovasi ini dapat berubah menjadi ancaman hukum. Di sinilah pentingnya perlindungan data pribadi. Indonesia sebenarnya sudah memiliki Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi atau UU PDP. Undang-undang ini menjadi landasan penting karena mengatur hak subjek data, kewajiban pengendali dan pemroses data, sanksi administratif, larangan penggunaan data secara melawan hukum, serta ketentuan pidana. Namun, pertanyaan hukumnya belum selesai: apakah UU PDP sudah cukup untuk menghadapi AI yang bergerak cepat, kompleks, dan sering kali tidak transparan? Menurut penulis, UU PDP adalah fondasi yang kuat, tetapi belum cukup sebagai penghalang utama bagi pemanfaatan AI. Indonesia masih memerlukan pengaturan AI yang lebih spesifik, terutama untuk menjawab risiko profilisasi, keputusan otomatis, bias algoritmik, dan tanggung jawab hukum ketika data warga disalahgunakan.
Data Pribadi Adalah Hak, Bukan sekedar Informasi
Banyak orang merasa tidak masalah ketika aplikasi meminta akses lokasi, galeri, mikrofon, atau kontak. Padahal, dalam perspektif hukum, data pribadi melekat pada martabat manusia. Ia bukan sekadar kumpulan angka dan huruf. Ia dapat membuka identitas, kebiasaan, relasi sosial, kondisi ekonomi, bahkan keadaan fisik dan psikologis seseorang. Dasar konstitusionalnya dapat ditarik dari Pasal 28G ayat (1) Undang-Undang Dasar Negara Republik Indonesia Tahun 1945, yang menjamin hak setiap orang atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda. UU PDP kemudian memperjelasnya. Pasal 1 angka 1 UU PDP menyebut data pribadi sebagai data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi, baik secara langsung maupun tidak langsung, melalui sistem elektronik maupun nonelektronik.
UU PDP memiliki peran penting, namun AI menghadirkan risiko baru
UU PDP sudah mencakup prinsip-prinsip penting: pemrosesan data harus memiliki tujuan yang jelas, dilakukan secara terbatas, akurat, aman, dan dapat dipertanggungjawabkan. Pengendali data juga harus menjaga kerahasiaan, mencegah akses tidak sah, dan melaporkan kegagalan perlindungan data paling lambat 3 x 24 jam kepada subjek data dan lembaga yang berwenang. Menariknya, UU PDP sebenarnya telah mengidentifikasi beberapa risiko yang ditimbulkan oleh AI. Pasal 34 mengatur kewajiban untuk melakukan penilaian dampak perlindungan data pribadi jika pemrosesan data berisiko tinggi, termasuk pengambilan keputusan otomatis yang berdampak hukum atau signifikan, pemrosesan data dalam skala besar, pencocokan data, evaluasi atau pemantauan sistematis, serta penggunaan teknologi baru. Namun, ketentuan tersebut masih bersifat umum. AI memerlukan pengaturan yang lebih spesifik. Mengapa demikian? Karena AI dapat membuat keputusan atau rekomendasi yang memengaruhi kehidupan seseorang: siapa yang layak mendapatkan pinjaman, iklan apa yang ditampilkan, konten apa yang terus didorong, bahkan layanan publik apa yang diprioritaskan. Jika algoritmanya bias atau datanya salah, kerugian bisa terjadi tanpa korban mengetahui di mana letak kesalahannya.
Persetujuan Pengguna Sering Hanya Formalitas
Dalam praktik sehari-hari, pengguna sering hanya menekan tombol “setuju” agar bisa segera memakai aplikasi. Jarang sekali pengguna membaca kebijakan privasi yang panjang, teknis, dan sulit dipahami. Persetujuan akhirnya berubah menjadi ritual digital: cepat diklik, tetapi tidak benar-benar dipahami. Padahal, prinsip perlindungan data menuntut persetujuan yang bebas, spesifik, terinformasi, dan tegas. Jika perusahaan mengambil data pengguna untuk satu layanan, lalu data itu dipakai lagi untuk melatih AI atau dibagikan kepada pihak ketiga tanpa penjelasan memadai, maka ada masalah hukum. Persetujuan tidak boleh menjadi selimut yang menutup semua bentuk pemrosesan data. Di sinilah posisi pengguna lemah. Perusahaan teknologi memiliki informasi, modal, dan sistem. Pengguna hanya punya pilihan sempit: menerima syarat layanan atau tidak memakai layanan sama sekali. Relasi yang tidak seimbang ini harus dikoreksi oleh hukum. Negara tidak boleh hanya menyerahkan perlindungan privasi kepada pilihan individual pengguna.
Dari etika menuju kewajiban hukum Saat ini
Indonesia memiliki Surat Edaran Menteri Komunikasi dan Informatika Nomor 9 Tahun 2023 tentang Etika Kecerdasan Artifisial. Surat ini memberikan panduan nilai, etika, dan kontrol bagi bisnis dan penyelenggara sistem elektronik yang menggunakan AI. Pemerintah juga sedang menyusun rancangan peraturan presiden tentang Peta Jalan Kecerdasan Artifisial Nasional 2026-2029 dan Etika Kecerdasan Artifisial. Namun, regulasi AI tidak boleh hanya tentang “inovasi” dan “transformasi digital”. Regulasi harus melindungi warga negara. Pertama, transparansi. Pengguna harus tahu data apa yang dikumpulkan, untuk apa, berapa lama disimpan, apakah digunakan untuk melatih AI, dan kepada siapa data dibagikan. Kedua, pengawasan manusia. Keputusan penting tidak boleh sepenuhnya diserahkan kepada mesin. Ketiga, audit dan penilaian risiko. Sistem AI yang memproses data pribadi harus diuji untuk keamanan, akurasi, bias, dan dampaknya pada hak asasi manusia. Keempat, pertanggungjawaban hukum. Jika ada kebocoran data, penyalahgunaan profil, diskriminasi algoritmik, atau kerugian dari keputusan otomatis, harus jelas siapa yang bertanggung jawab: pengembang, penyelenggara sistem, pengendali data, prosesor data, atau pihak lain yang mendapat manfaat dari sistem tersebut. Dengan pendekatan ini, regulasi AI tidak akan menghambat inovasi. Sebaliknya, aturan yang jelas akan membangun kepercayaan publik. Teknologi yang dipercaya masyarakat akan lebih mudah berkembang daripada teknologi yang dianggap tidak jelas dan tidak bertanggung jawab.
Penutup
Berdasarkan uraian di atas, dapat disimpulkan bahwa AI di Indonesia memberikan manfaat besar bagi layanan digital, tetapi juga menimbulkan risiko terhadap perlindungan data pribadi, terutama jika data dikumpulkan tanpa persetujuan yang jelas, digunakan secara tidak transparan, atau diproses melalui keputusan otomatis yang merugikan pengguna. UU PDP telah menjadi dasar penting dalam melindungi hak subjek data, namun belum cukup untuk menjawab persoalan khusus AI seperti transparansi algoritma, bias, audit risiko, dan pertanggungjawaban hukum. Karena itu, Indonesia memerlukan pengaturan AI yang lebih spesifik agar inovasi tetap berkembang tanpa mengorbankan hak privasi dan martabat manusia.
Daftar Pustaka
Kementerian Komunikasi dan Digital. “Atur Tata Kelola Pemanfaatan AI, Pemerintah Siapkan Perpres.” Siaran Pers, 17 Juli 2025.
Kementerian Komunikasi dan Digital. “Telaah untuk Pertanyaan Regulasi Kecerdasan Artifisial.” JDIH Kemkomdigi.
Kolaborasi Riset dan Inovasi Industri Kecerdasan Artifisial Indonesia (KORIKA). Strategi Nasional Kecerdasan Artifisial Indonesia 2020–2045. Jakarta: KORIKA, 2020.
Republik Indonesia. Kementerian Komunikasi dan Informatika. Surat Edaran Menteri Komunikasi dan Informatika Nomor 9 Tahun 2023 tentang Etika Kecerdasan Artifisial. Jakarta: Kementerian Komunikasi dan Informatika, 2023.
Republik Indonesia. Undang-Undang Dasar Negara Republik Indonesia Tahun 1945.
Republik Indonesia. Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi. Lembaran Negara Republik Indonesia Tahun 2022 Nomor 196, Tambahan Lembaran Negara Nomor 6820.
