—·
Implementasi ALPR sering kali menyerahkan pengelolaan data ke vendor tanpa kejelasan aturan retensi, pengawasan, dan jejak audit dalam dokumen pengadaan.
Kamera jalanan mampu menangkap pelat nomor kendaraan hanya dalam hitungan detik. Namun, hal yang jauh lebih krusial justru terjadi lama setelah data tersebut terbaca: siapa yang menentukan durasi penyimpanan (retensi), siapa yang berhak mengakses rekaman, dan apakah ada pihak yang bisa memverifikasi apa yang sebenarnya dilakukan sistem terhadap data tersebut. Dalam banyak implementasi ALPR (Automatic License Plate Recognition) di smart cities, pertanyaan-pertanyaan krusial mengenai tata kelola ini sering kali hanya dianggap sebagai detail operasional, bukan sebagai klausul kontrak yang mengikat secara hukum.
Celah inilah yang harus menjadi fokus para investigator. Dalam tata kelola smart city, "kotak hitam" yang sebenarnya jarang sekali berupa sensor kamera. Masalah utamanya terletak pada rantai berbagi data yang dimediasi vendor, aturan retensi dan akses yang tersembunyi dalam konfigurasi sistem, serta kesenjangan auditabilitas antara janji dalam dokumen pengadaan dengan aliran data yang terjadi di lapangan.
Artikel ini mengulas aspek krusial dalam tata kelola smart city: bagaimana pemerintah kota di Amerika Serikat menyusun kontrak ALPR dan (sering kali gagal) mengubah tanggung jawab pengelolaan data menjadi sesuatu yang dapat diuji secara berkala. Analisis ini memetakan tiga pola yang terus berulang: (1) berbagi data yang dimediasi vendor, (2) mekanisme retensi dan pengawasan yang buram, serta (3) kesenjangan audit antara bahasa pengadaan dan realitas implementasi. Tujuannya bukan untuk mendebat apakah ALPR itu "baik" atau "buruk", melainkan untuk menilai apakah kontrak kota mampu menghasilkan tata kelola yang tahan banting terhadap audit, respons insiden, dan pengawasan publik.
Pemerintah kota pintar sering kali memublikasikan prinsip-prinsip kebijakan secara rutin. Materi UN-Habitat mengenai smart cities yang berpusat pada manusia menekankan pendekatan yang dirancang demi kepentingan publik, inklusi, dan akuntabilitas—bukan sekadar teknologi. Namun, prinsip saja tidak cukup untuk mengikat sistem. Tata kelola hanya akan efektif jika kontrak, kebijakan, dan konfigurasi teknis dapat diaudit di kemudian hari. (UN-Habitat, International Guidelines)
Dalam implementasi ALPR yang praktis, kamera hanyalah komponen awal dari rantai sosio-teknis yang lebih besar: kamera menghasilkan peristiwa, peristiwa tersebut menjadi catatan, dan catatan tersebut menjadi data yang dapat dicari melalui berbagai penyimpanan dan antarmuka. Laporan "World Smart City Outlook" dari UN-Habitat menegaskan bahwa keberhasilan smart city bergantung pada bagaimana data dikelola dan digunakan, bukan sekadar dikumpulkan. (UN-Habitat, World Smart Cities Outlook 2024; UN-Habitat PDF)
Lantas, ke mana peneliti harus mencari bukti? Tata kelola harus muncul dalam rantai pengadaan sebagai kewajiban yang dapat dipaksakan terkait pengelolaan data: siapa yang boleh mengakses kategori data tertentu, untuk tujuan apa, dan untuk berapa lama. Arahan ini sejalan dengan penekanan NIST pada dimensi sistem siber-fisik dan IoT di kota pintar, di mana kepercayaan, keamanan, dan manajemen risiko siklus hidup menjadi penting karena sistem berinteraksi di berbagai komponen. (NIST)
Anggaplah data governance sebagai hasil kerja (deliverable), bukan sekadar aspirasi. Saat meninjau pengadaan ALPR, mintalah artefak tata kelola yang dapat diuji: jadwal retensi sebagai bagian dari lingkup kontrak, persyaratan kontrol akses disertai bukti, dan persyaratan log audit yang terikat pada peristiwa tertentu. Jika kontrak hanya menggunakan bahasa "upaya terbaik" atau merujuk pada kebijakan vendor yang tidak dilampirkan, hal ini sering kali menandakan "teater tata kelola"—seolah-olah ada pengawasan, padahal tidak bisa diverifikasi.
Pergeseran besar dalam banyak program kamera smart city adalah transisi dari pemrosesan data milik kota ke ekosistem yang dimediasi vendor. Ketika sebuah kota membeli "solusi", mereka sering kali membeli pengaturan di mana vendor menjadi pihak yang menghosting, memproses, menormalisasi, dan memperkaya data. Vendor kemudian membagikan hasil olahan tersebut—seperti kecocokan data atau petunjuk investigasi—kembali ke kota atau instansi mitra.
Bahaya tata kelola di sini bersifat struktural: pemerintah kota bisa menjadi konsumen hilir dari pipa data yang tidak mereka miliki sepenuhnya. Studi Forum Ekonomi Dunia (WEF) mengenai berbagi data menekankan bahwa pertukaran data smart city membutuhkan protokol untuk nilai bersama dan penggunaan yang bertanggung jawab—bukan sekadar perjanjian bilateral ad-hoc. Meskipun laporan tersebut tidak secara khusus membahas ALPR, poin intinya tetap relevan: berbagi data memerlukan desain protokol operasional agar tanggung jawab dan izin menjadi eksplisit. (World Economic Forum)
UN-Habitat juga menyuarakan perlunya akuntabilitas, partisipasi, dan perlindungan dalam pengoperasian sistem data. Namun dalam implementasi kamera, perlindungan tersebut sering kali diterapkan di bagian sistem yang sulit diperiksa oleh warga maupun komite pengawasan: dasbor back-end vendor, aturan internal vendor, atau pola akses API mitra.
"Kotak hitam" ini sering kali berada di antarmuka antara layanan vendor dan tata kelola kota. Jika bahasa pengadaan menyebutkan "berbagi data dengan mitra penegak hukum" tanpa merinci dataset mana yang dibagikan, bagaimana data tersebut diminimalkan, dan kontrol apa yang berlaku, maka pemerintah kota secara praktis memiliki kendali yang sangat kecil. Oleh karena itu, tinjauan tingkat investigator harus menganggap artefak pengadaan tidak lengkap kecuali artefak tersebut memetakan input, output, dan izin secara mendetail.
Mulailah dengan menyusun inventaris berbagi data dari kontrak dan lampirannya. Identifikasi setiap kategori data—mulai dari pembacaan pelat mentah, token turunan (misalnya, identitas pelat yang di-hash), metadata (stempel waktu, lokasi kamera), hingga bidang data yang telah diperkaya. Kemudian, verifikasi apakah kontrak merinci kategori mana yang dapat diekspor dan kepada siapa, termasuk batasan yang dapat dipaksakan seperti pembatasan tujuan dan minimisasi data. Tanpa spesifisitas tersebut, berbagi data yang dimediasi vendor hanyalah tata kelola berbasis implikasi, bukan desain.
Retensi adalah titik di mana tata kelola kamera smart city bersentuhan langsung dengan kepercayaan publik. Namun, aturan retensi dapat gagal bahkan ketika kota telah memublikasikan pemberitahuan privasi. Aturan retensi dan penghapusan tidaklah sama dengan penghapusan yang dapat dibuktikan di kemudian hari. Secara kontraktual, "penghapusan" sering kali tidak didefinisikan sebagai hasil yang dapat diaudit.
Materi smart city yang berpusat pada manusia dari UN-Habitat menekankan mekanisme akuntabilitas dan perlindungan yang berfokus pada masyarakat. (UN-Habitat, International Guidelines) Akuntabilitas tersebut hanya menjadi nyata jika mencakup mekanisme verifikasi. Dalam implementasi ALPR, mekanisme ini sering kali absen dari klausul pengadaan dan rencana pengawasan.
Kegagalan tata kelola yang umum biasanya terlihat seperti ini: dokumen pengadaan merinci "kepatuhan privasi" dan "minimisasi data", tetapi durasi retensi sebenarnya ditentukan oleh parameter konfigurasi vendor atau perpanjangan retensi berbasis insiden. Perpanjangan ini sering kali dijelaskan secara naratif, bukan sebagai jadwal yang terukur. Investigator harus berasumsi bahwa vendor akan menawarkan fleksibilitas retensi ("menyimpan data relevan untuk investigasi yang sedang berlangsung") kecuali jika kontrak mengubah fleksibilitas tersebut menjadi kriteria, ambang batas, dan tugas pelaporan yang eksplisit.
Pengawasan dianggap gagal jika kontrak tidak menjawab pertanyaan bukti berikut:
Apa sebenarnya yang dihapus, dan di lapisan mana?
Janji untuk menghapus data setelah X hari mungkin tidak dapat dipaksakan jika kontrak tidak mendefinisikan apakah penghapusan berlaku untuk gambar mentah, hasil OCR, string pelat yang dinormalisasi, pengenal yang di-hash, hasil pencarian, tabel analitik turunan, hingga cadangan data (backup). Karena durasi retensi sering kali berbeda di setiap lapisan, investigator membutuhkan jadwal berdasarkan jenis data, bukan sekadar satu angka tunggal.
Bagaimana "pengecualian" dipicu, dan oleh siapa?
Jika "penangguhan investigasi" (investigation holds) diizinkan, kontrak harus merinci alur kerja permintaan dan persetujuan (misalnya, ID insiden atau kasus), otorisasi berbasis peran, dan berapa lama penangguhan dapat berlangsung sebelum harus diperbarui. Tanpa kriteria dan batas pembaruan, privacy retention menjadi diskresioner tanpa jejak audit.
Bukti apa yang menyatakan kepatuhan?
Penghapusan yang tidak dapat diuji hanyalah sebuah janji. Carilah klausul kontrak yang mewajibkan atestasi penghapusan dengan stempel waktu, log penghapusan yang dihasilkan sistem, atau setidaknya bukti audit yang dapat diekspor oleh vendor saat ada permintaan catatan, audit, atau tinjauan insiden.
Bagaimana kinerja retensi dipantau dan dilaporkan?
Tanpa pelaporan berkala—seperti metrik retensi bulanan, jumlah pengecualian, durasi penangguhan rata-rata, dan jumlah catatan yang dihapus atau disimpan melebihi batas—"pengawasan" hanya menjadi keyakinan internal, bukan proses yang dapat diamati. Irama pelaporan sama pentingnya dengan durasi retensi yang dinyatakan.
Program smart city NIST menyoroti bahwa IoT dan sistem siber-fisik membutuhkan pemikiran siklus hidup dan kepercayaan keamanan, bukan hanya sekadar implementasi. Penghapusan, audit, dan kontrol akses adalah properti siklus hidup: hal-hal tersebut harus tetap ada melalui peningkatan sistem, pergantian vendor, dan peristiwa respons insiden. (NIST)
Sudut pandang investigasi lainnya adalah definisi dari pengawasan itu sendiri. Pengawasan yang hanya ada sebagai deskripsi komite atau janji vendor jarang sekali bisa diuji. Pengawasan yang dapat diuji mencakup pelaporan berkala kepada pemerintah kota (dan badan pengawas), lini masa retensi yang transparan, akses log audit bagi regulator atau auditor independen, dan proses insiden yang terdokumentasi.
Praktisi harus menuntut aturan retensi yang terukur. Dalam peninjauan kontrak, carilah durasi retensi spesifik untuk setiap kategori dan lapisan data, proses penghapusan yang terdokumentasi, aturan perpanjangan retensi termasuk kriteria pemicu, peran pemberi persetujuan, batas pembaruan, serta keterkaitan dengan ID kasus, dan laporan berkala wajib dengan bukti audit.
Sebuah pengadaan ALPR mungkin menyertakan bahasa tentang akuntabilitas, transparansi, dan "kepatuhan", tetapi dokumen pengadaan bukanlah sistem itu sendiri. Kesenjangan auditabilitas muncul ketika bahasa pengadaan tidak dibarengi dengan apa yang sebenarnya dicatat (logging), disimpan, dan dipaparkan oleh sistem—serta ketika sistem gagal mendefinisikan apa arti "dapat direkonstruksi" setelah sebuah insiden terjadi.
Dua pertanyaan tata kelola berikut jauh lebih penting daripada kelihatannya:
Dapatkah pemerintah kota merekonstruksi apa yang terjadi pada rekaman ALPR tertentu di kemudian hari?
Bukan sekadar "bisakah kita mengakses data," melainkan apakah rekaman tersebut dapat ditelusuri dari ujung ke ujung: peristiwa pengumpulan → penyerapan (ingestion) → transformasi → lokasi penyimpanan → peristiwa pencarian → pengungkapan (jika ada) → hasil penghapusan (atau perpanjangan retensi).
Dapatkah pemerintah kota membuktikan bahwa perilaku sistem sesuai dengan aturan kontraktual pada saat insiden atau permintaan akses terjadi?
Hal ini memerlukan penghubungan permintaan akses dengan identitas, label tujuan, status otorisasi, dan aturan kontraktual spesifik yang berlaku pada saat itu.
Indikator "kesiapan smart city" terkadang bisa menyesatkan. Indeks dan peringkat mungkin menunjukkan investasi pada sistem "pintar", tetapi jarang menunjukkan apakah retensi, log akses, dan bukti penghapusan sudah sesuai standar audit. Smart Cities Index mengumpulkan dan memeringkat atribut kota yang dapat memberikan konteks, tetapi indeks bukanlah jejak audit dan tidak menggantikan bukti yang terikat pada kontrak pengadaan. (Smart Cities Index)
Diskusi pandangan smart city UN-Habitat yang lebih luas menekankan pada hasil strategis, yang memang penting. Namun, investigator tetap membutuhkan pemetaan konkret dari janji pemerintah kota ke log sistem yang sebenarnya. (UN-Habitat, World Smart Cities Outlook 2024; UN-Habitat PDF)
Terkait makna teknis "auditabilitas" dalam tata kelola, kerangka kerja NIST sangat berguna sebagai batasan investigasi. Sistem smart city bersifat terhubung, siber-fisik, dan saling terkait melalui IoT dan komponen lainnya. Ketika sistem saling terhubung, jejak audit harus mencakup seluruh lapisan. Hal ini memerlukan desain pencatatan (logging) dan aturan retensi untuk log itu sendiri, bukan hanya untuk data kamera yang mendasarinya. (NIST)
Perlakukan auditabilitas sebagai persyaratan dengan kriteria penerimaan, bukan sekadar aspirasi umum. Tanyakan apakah kontrak merinci log audit tingkat peristiwa dan bidang data apa saja yang harus terkandung dalam log tersebut. Minimal, carilah:
Kemudian, verifikasi apakah kontrak mendefinisikan durasi retensi log dan daya tahan retensi log (misalnya, log tetap disimpan meskipun ada peningkatan sistem atau investigasi insiden). Jika kontrak tidak merinci detail tersebut, pemerintah kota mungkin hanya memiliki janji transparansi tanpa kemampuan nyata untuk mengaudit sistem setelah diimplementasikan—atau lebih buruk lagi, log tersedia secara teknis tetapi tidak dapat digunakan secara operasional.
Anda dapat menyelidiki realitas tata kelola tanpa harus menunggu setiap kota memublikasikan pengungkapan yang sempurna. Sumber-sumber tervalid yang tersedia di sini tidak memberikan rincian keputusan dewan kota AS mengenai kontrak ALPR pada Maret 2026. Sebaliknya, "kasus dunia nyata" di sini berfokus pada bukti tata kelola smart city yang terdokumentasi dan pengembangan protokol tata kelola data yang membantu peneliti membangun kerangka kerja audit pengadaan ALPR yang dapat diuji.
Pedoman internasional UN-Habitat tentang smart cities yang berpusat pada manusia menempatkan akuntabilitas dan perlindungan sebagai inti dari desain kota pintar, bukan sekadar pelengkap kepatuhan. Hasilnya adalah standar tata kelola yang dapat digunakan kota untuk menyusun kontrak, kebijakan privasi, dan model pengawasan. Lini masa di sini adalah publikasi dan adopsi berkelanjutan melalui program UN-Habitat. (UN-Habitat, International Guidelines)
Untuk tata kelola ALPR, investigator dapat menggunakan pedoman ini sebagai tolok ukur apakah bahasa pengadaan menanamkan akuntabilitas yang dapat dipaksakan secara hukum. Jika bahasa pengadaan merujuk pada "inovasi yang bertanggung jawab" tanpa memetakannya ke mekanisme pengawasan dan perlindungan yang nyata, kemungkinan besar hal itu gagal memenuhi standar tata kelola yang berpusat pada manusia.
Dokumen PBB yang dikatalogkan sebagai "k2402479" memberikan kerangka tata kelola yang relevan bagi sistem perkotaan dan akuntabilitas. Meskipun bukan artefak kontrak ALPR, orientasi tata kelola yang didokumentasikan membantu peneliti mengidentifikasi apa yang seharusnya dicakup oleh "tata kelola perkotaan": sistem, tanggung jawab, dan pengawasan. (UN PDF)
Mengapa ini penting bagi tata kelola kamera: Tata kelola data ALPR tidak boleh dianggap sebagai masalah teknis semata. Tata kelola adalah tentang pembagian tanggung jawab di antara para aktor. Ketika bahasa pengadaan melimpahkan tanggung jawab secara samar kepada "operasional vendor", hal itu merusak prinsip akuntabilitas.
Beralihlah dari teori ke investigasi dengan metode yang dapat diulang. Perangkat di bawah ini dirancang untuk menyingkap tiga pola tata kelola dalam artefak kontrak yang konkret, sekaligus menghindari jebakan perdebatan tentang "tujuan penggunaan" sembari mengabaikan apa yang sebenarnya dilakukan oleh sistem yang terpasang.
Ekstrak setiap klausul yang menyebutkan "berbagi" (sharing), "integrasi", "mitra", "federasi", "pertukaran", atau "API". Kemudian identifikasi apakah kontrak tersebut merinci kategori data, penerima, tujuan, dan kontrol teknis. Gunakan lampiran jika tersedia. Jika kontrak menyatakan vendor akan "memungkinkan" berbagi data tanpa menyebutkan kontrolnya, anggap itu sebagai celah.
Pendekatan ini selaras dengan pemikiran protokol berbagi data smart city dari World Economic Forum, yang mendorong protokol untuk memperjelas tanggung jawab dan izin dalam pengaturan data bernilai bersama. (World Economic Forum)
Buat matriks untuk setiap kategori data (pembacaan mentah, pengenal turunan, metadata) dengan kolom untuk durasi retensi, proses penghapusan, kondisi pengecualian, dan pelaporan. Prioritaskan untuk melihat apakah ada kondisi pengecualian (misalnya, penangguhan investigasi) dan apakah perpanjangan tersebut memerlukan otorisasi serta dilaporkan.
Hal ini konsisten dengan penekanan UN-Habitat pada perlindungan yang berpusat pada manusia dan akuntabilitas dalam operasional smart city. (UN-Habitat, International Guidelines)
Definisikan "auditabilitas" dalam istilah kontrak: log tingkat peristiwa untuk akses dan pencarian, retensi log, ekspor log, dan independensi tinjauan audit (audit internal kota atau auditor eksternal). Kemudian verifikasi apakah kontrak menyediakan hal-hal ini sebagai hasil kerja spesifik atau hanya janji umum. Kerangka kerja smart city NIST mendukung kepercayaan siklus hidup dan keamanan di seluruh sistem yang saling terhubung, yang mengimplikasikan adanya persistensi log dan bukti. (NIST)
Setelah menggunakan perangkat ini, jangan berhenti pada pertanyaan "apakah kota memiliki kebijakan privasi." Tarik bahasa pengadaan ke dalam peta bukti. Kemudian cari ketidaksesuaian: klausul yang menjanjikan minimisasi data tanpa jadwal retensi yang terukur, bahasa berbagi vendor tanpa rincian penerima, dan klausul pengawasan tanpa hasil kerja log audit. Ketidaksesuaian itulah yang disebut sebagai kesenjangan auditabilitas.
Bahkan ketika tata kelola tampak berantakan, jangkar kuantitatif membantu mengukur seberapa luas adopsi smart city terjadi—dan bagaimana "kecerdasan" kota tersebut diukur.
World Smart Cities Outlook dari UN-Habitat memberikan lensa makro pada kemajuan dan pertimbangan smart city. Meskipun tidak spesifik untuk ALPR, laporan ini memberikan kerangka kuantitatif yang membantu peneliti memahami konteks perilaku kota dan kecepatan adopsi teknologi. (UN-Habitat PDF)
Pekerjaan NIST di bidang smart city juga berada dalam ekosistem nasional yang membangun keamanan siber-fisik dan IoT, memperkuat fakta bahwa implementasi smart city semakin saling bergantung dan memerlukan pemikiran keamanan serta akuntabilitas sistemik. (NIST)
Terakhir, gunakan sumber pembandingan (benchmarking) kota secara hati-hati. Indeks smart city dapat memberikan metrik komparatif yang terstandarisasi, tetapi tidak boleh dianggap sebagai bukti retensi privasi atau auditabilitas. (Smart Cities Index)
Jika dewan kota mempertimbangkan kontrak ALPR secara bertanggung jawab, catatan rapat tersebut seharusnya memungkinkan pembaca untuk merekonstruksi empat mekanisme tata kelola:
Artinya, dokumen dewan kota harus mencakup jadwal retensi, peran vendor, kontrol akses, dan ekspektasi bukti audit—bukan sekadar jaminan bahwa privasi "dihormati". Ketika catatan dewan kota tampak dangkal, hal itu sering kali mengisyaratkan bahwa bahasa pengadaan tidak terikat pada hasil tata kelola yang dapat diuji. Hal ini sejalan dengan pendekatan tata kelola yang dianjurkan dalam materi UN-Habitat, yang menekankan perlindungan dan akuntabilitas daripada adopsi yang mengutamakan teknologi semata. (UN-Habitat, International Guidelines)
Implementasi kamera smart city kemungkinan besar tidak akan berhenti. Yang akan berubah adalah bahasa pengadaannya. Seiring waktu, kontrak harus bergerak menuju tata kelola berbasis bukti: durasi retensi data yang lebih jelas, persyaratan akses dan pencatatan yang lebih rinci, serta kewajiban pengawasan vendor yang lebih formal.
Prediksi ini mengikuti tren tata kelola yang lebih luas yang disoroti oleh pandangan UN-Habitat dan pedoman yang berpusat pada manusia. (UN-Habitat, World Smart Cities Outlook 2024; UN-Habitat, International Guidelines) Hal ini juga selaras dengan kerangka kerja sistem NIST yang memperlakukan kepercayaan smart city sebagai tantangan keamanan siklus hidup. (NIST)
Rekomendasi kebijakan konkret yang muncul dari logika ini adalah: penasihat hukum kota dan kantor pengadaan harus mengadopsi templat lampiran tata kelola data ALPR standar yang mewajibkan (1) jadwal retensi berdasarkan kategori data, (2) daftar penerima data yang dirinci dengan pembatasan tujuan, dan (3) hasil kerja log audit dengan format retensi dan ekspor yang jelas.
Ujian praktisnya sederhana: jika kontrak vendor tidak dapat digunakan untuk merekonstruksi apa yang terjadi pada rekaman ALPR beberapa bulan kemudian, maka pemerintah kota tersebut sebenarnya tidak sedang membeli sistem kamera pintar—mereka sedang membeli rantai pasokan data yang tidak dapat diaudit.