Akhir Maret lalu seorang klien kami — pemilik aplikasi belajar bahasa Inggris untuk anak SD di Jakarta — menelepon dengan suara cemas. "Mas, aplikasi saya kena teguran Komdigi karena tidak ada verifikasi usia. Saya bahkan baru tahu ada PP TUNAS." Aplikasinya tidak besar, hanya 30 ribu pengguna, tapi karena targetnya jelas anak-anak, ia masuk radar lebih cepat dari yang dia kira.

Kalau Anda punya aplikasi, situs web, atau toko online yang sebagian penggunanya berusia di bawah 18 tahun — bahkan kalau itu bukan target utama — Anda perlu membaca tulisan ini sampai habis. PP TUNAS dan Permen Komdigi 9/2026 sudah resmi berlaku, dan penegakannya dimulai dari pemain besar seperti TikTok dan Roblox lalu turun ke platform yang lebih kecil. UMKM digital tidak lagi bisa berasumsi "saya terlalu kecil untuk diawasi".

Disclaimer: Artikel ini disusun untuk tujuan informasi umum dan bukan nasihat hukum. Untuk kasus spesifik, konsultasikan dengan penasihat hukum atau Komdigi langsung.

Apa Itu PP TUNAS dan Permen Komdigi 9/2026

PP TUNAS adalah singkatan dari Peraturan Pemerintah Nomor 17 Tahun 2025 tentang Tata Kelola Penyelenggaraan Sistem Elektronik dalam Pelindungan Anak. Disahkan Presiden pada 28 Maret 2025, regulasi ini menetapkan kerangka besar bahwa setiap penyelenggara sistem elektronik (PSE) di Indonesia bertanggung jawab melindungi anak di ruang digital.

Permen Komdigi 9/2026 adalah aturan teknis turunannya. Diterbitkan dan resmi berlaku sejak 6 Maret 2026, peraturan menteri ini menjelaskan kewajiban operasional yang harus dipenuhi platform digital — mulai dari batas usia, verifikasi pengguna, hingga kontrol orang tua. Penegakan tahap awal dimulai 28 Maret 2026 dengan deaktivasi akun pengguna di bawah 16 tahun pada platform berisiko tinggi seperti YouTube, TikTok, Facebook, Instagram, Threads, X, Bigo Live, dan Roblox.

Kabar baiknya: pemerintah memberi pendekatan bertingkat. Platform besar dengan risiko tinggi diawasi duluan, sementara PSE skala kecil-menengah punya ruang menyesuaikan. Kabar buruknya: tidak ada pengecualian umum untuk UMKM. Kalau platform Anda secara teknis menyimpan data anak atau memungkinkan anak berinteraksi dengan konten/pengguna lain, kewajiban kepatuhan tetap berlaku — hanya skalanya yang menyesuaikan.

Anak-anak menggunakan tablet dengan pengawasan orang tua sesuai aturan PP TUNAS

Apakah Bisnis Anda Termasuk PSE yang Wajib Patuh?

Pertanyaan ini paling sering kami terima dari pemilik UMKM digital. Jawaban singkatnya: lebih luas dari yang Anda kira. PSE menurut aturan ini mencakup hampir semua layanan online yang punya pengguna terdaftar, termasuk:

  • Aplikasi mobile (Android/iOS) yang punya akun pengguna
  • Toko online yang membolehkan pendaftaran sendiri
  • Platform kursus online, e-learning, atau bimbingan belajar
  • Aplikasi game lokal dengan fitur multipemain atau chat
  • Forum, komunitas, atau platform UGC (user-generated content)
  • Marketplace digital berskala kecil

Yang tidak termasuk: situs profil perusahaan biasa tanpa fitur registrasi, blog satu arah tanpa kolom komentar, atau landing page sederhana untuk lead generation. Tapi begitu Anda menambahkan fitur "daftar akun", "kirim pesan", atau "beli barang" — Anda masuk lingkup PSE.

Ada satu cara cepat menguji: kalau di dalam sistem Anda ada data pribadi pengguna yang tersimpan permanen dan ada interaksi antar pengguna (atau antara pengguna dengan konten yang bisa diunggah), aturan ini mengikat. Untuk pengingat tentang dasar perlindungan data pribadi, silakan baca panduan kami soal UU PDP untuk UMKM — keduanya saling melengkapi.

7 Aspek Risiko yang Harus Anda Audit

Permen Komdigi 9/2026 mewajibkan PSE melakukan self-assessment berkala terhadap tujuh aspek risiko platform terhadap anak. Hasil asesmen ini bisa diminta Komdigi sewaktu-waktu, jadi sebaiknya didokumentasikan rapi.

1. Risiko Interaksi dengan Orang Asing

Apakah pengguna anonim bisa mengirim pesan langsung ke pengguna lain? Apakah ada fitur "teman terdekat" atau "obrolan publik"? Platform dengan fitur ini wajib punya pengaturan default yang lebih ketat untuk akun anak.

2. Paparan Konten Berbahaya

Konten kekerasan, pornografi, perjudian, ujaran kebencian, atau materi yang mendorong tindakan menyakiti diri. Platform UGC wajib punya sistem moderasi (manual atau berbasis AI) yang menyaring konten sebelum sampai ke akun anak.

3. Eksploitasi Konsumen Anak

Mekanisme pembelian dalam aplikasi (in-app purchase), iklan yang menyasar anak, sistem hadiah yang memancing anak terus belanja. Komdigi memberi perhatian khusus pada "dark pattern" — desain antarmuka yang memanipulasi anak melakukan pembayaran tanpa sadar.

4. Keamanan Data Pribadi Anak

Apakah data anak (nama, lokasi, foto) dilindungi dengan enkripsi yang setara dengan data orang dewasa? Apakah orang tua bisa meminta penghapusan data anak kapan saja? Standar perlindungan data anak harus lebih tinggi dari standar dewasa.

5. Risiko Kecanduan

Notifikasi tanpa batas, sistem reward harian, infinite scroll, fitur autoplay video. Aturan baru meminta platform berisiko tinggi menyediakan opsi pembatasan waktu pemakaian khusus untuk akun anak.

6. Gangguan Kesehatan Fisik dan Mental

Asesmen ini cukup baru di Indonesia. Pertanyaannya sederhana: apakah penggunaan platform Anda dalam jangka panjang berpotensi menimbulkan dampak negatif terhadap kesehatan mental atau fisik anak — misalnya cyberbullying, gangguan tidur, gangguan postur. Platform wajib mengidentifikasi pola pemakaian berisiko dan memberi peringatan.

7. Risiko Pelanggaran Hak Anak Lainnya

Aspek payung yang menampung risiko spesifik kontekstual: pengumpulan data biometrik anak, pelanggaran privasi keluarga, identifikasi lokasi rumah, hingga risiko penyalahgunaan kontak darurat. Kategori ini dirancang fleksibel agar regulasi tidak ketinggalan zaman.

Kewajiban Konkret yang Harus Anda Penuhi

Setelah memahami aspek risiko, ini langkah operasional yang harus tampak nyata di produk Anda. Kami susun berdasarkan urutan prioritas — yang paling sering diperiksa duluan oleh Komdigi.

1. Cantumkan batas usia minimum yang jelas. Bahasa harus mudah dipahami calon pengguna. Tidak cukup hanya dimasukkan dalam syarat & ketentuan. Tampilkan saat pendaftaran. Batas usia minimum mulai dari 3 tahun, dengan ketentuan akun anak di bawah 13 tahun harus bertipe profil risiko rendah dan butuh persetujuan orang tua.

2. Bangun mekanisme verifikasi usia. Tidak harus secanggih TikTok atau Roblox. Untuk UMKM, beberapa pendekatan yang bisa diterima Komdigi: konfirmasi tanggal lahir + kunci ulang akun bila terdeteksi inkonsistensi, verifikasi nomor HP yang terdaftar atas nama orang dewasa, atau permintaan persetujuan orang tua via email/SMS untuk akun anak. Yang penting: ada upaya teknis dan operasional yang bisa didokumentasikan.

3. Sediakan fitur kontrol orang tua. Untuk platform yang memang menyasar atau bisa diakses anak, fitur ini wajib. Bisa berupa dasbor terpisah, tautan permintaan akses, atau menu pengaturan akun anak yang bisa diatur dari akun orang tua.

4. Bangun mekanisme pelaporan. Anak, orang tua, dan wali harus bisa melaporkan konten/perilaku yang mengganggu — dengan jalur yang jelas dan respons dalam waktu wajar (idealnya 3x24 jam untuk pelaporan kategori berat).

5. Dokumentasikan asesmen risiko. Buat dokumen tertulis berisi tujuh aspek risiko di atas dan langkah mitigasi yang Anda ambil untuk masing-masing. Update minimal setahun sekali atau setiap kali Anda merilis fitur baru yang relevan.

6. Siapkan SOP penghapusan data anak. Bila orang tua minta data anak dihapus, Anda harus bisa melakukannya. Idealnya dalam 14 hari kerja. Ini sekaligus menutup kewajiban turunan dari UU PDP.

Pemilik UMKM digital menyusun checklist kepatuhan PP TUNAS di laptop

Sanksi: Apa yang Sebenarnya Bisa Terjadi

Sanksi PP TUNAS bersifat bertingkat. Komdigi tidak langsung mendenda — ada urutan yang biasanya diikuti:

  1. Teguran tertulis pertama. Berisi temuan dan tenggat waktu perbaikan, biasanya 14-30 hari.
  2. Teguran tertulis kedua. Bila teguran pertama tidak direspons. Tenggat lebih singkat.
  3. Denda administratif. Besarannya mengikuti aturan PNBP. Untuk UMKM, biasanya jauh lebih kecil dari headline angka publik, tapi tetap signifikan.
  4. Penghentian sementara layanan. Komdigi bisa memerintahkan pemblokiran akses platform di Indonesia.
  5. Pemutusan akses. Sanksi paling berat — platform dihapus dari toko aplikasi atau diblokir DNS-nya.

Pada April 2026 lalu, Komdigi sudah menjatuhkan sanksi pada Google terkait kepatuhan PP TUNAS sebagai sinyal bahwa aturan ini bukan retorika. Untuk UMKM digital, pelajaran utamanya adalah: teguran pertama itu seperti kartu kuning. Begitu masuk, ekspos publiknya cepat, dan dampaknya ke kepercayaan pengguna bisa lebih mahal dari dendanya sendiri.

Cara Implementasi Praktis untuk UMKM Digital

Banyak klien kami panik saat baca aturan ini, mengira harus membongkar seluruh aplikasi. Padahal, untuk mayoritas UMKM digital, tahapan kepatuhan bisa diselesaikan dalam 2-4 minggu kerja. Ini urutan yang biasanya kami sarankan:

Minggu 1 — Audit dan Dokumentasi. Petakan apakah platform Anda termasuk PSE yang wajib comply. Susun dokumen asesmen 7 aspek risiko. Jangan kerjakan kode dulu — fokus pemetaan supaya tahu apa yang benar-benar perlu diubah.

Minggu 2 — Update Antarmuka Pendaftaran. Tambahkan input tanggal lahir yang wajib (dengan validasi), pop-up persetujuan orang tua untuk usia <13, dan tautan ke kebijakan privasi anak yang jelas. Untuk toko online, ini bisa berarti tambahan satu langkah di proses checkout. Pengguna mungkin sedikit terganggu, tapi dampaknya kecil dibanding risiko sanksi.

Minggu 3 — Bangun Fitur Pelaporan dan Moderasi. Tambahkan tombol "laporkan" di setiap konten/komentar (kalau ada). Setup alamat email pengaduan khusus, atau form pelaporan dengan SLA respons yang jelas. Untuk platform UGC kecil, moderasi manual via dashboard internal sudah cukup.

Minggu 4 — Dokumen dan Komunikasi. Update privacy policy, syarat & ketentuan, dan halaman "tentang kami" agar mencerminkan komitmen perlindungan anak. Buat satu halaman ringkas khusus orang tua yang menjelaskan fitur kontrol dan hak mereka. Halaman ini sering dijadikan bukti kepatuhan saat audit.

Total biaya untuk UMKM dengan satu aplikasi sederhana: sekitar Rp 8-25 juta kalau pakai jasa pengembang lokal, atau Rp 0-3 juta kalau Anda kerjakan sendiri pakai template kebijakan dan modifikasi UI minimal. Bandingkan dengan potensi denda dan risiko reputasi — investasi ini hampir selalu worth it.

Yang Sering Ditanyakan UMKM

"Aplikasi saya tidak menyasar anak. Apakah tetap kena?" Tergantung. Kalau Anda secara teknis tidak punya mekanisme yang menutup akses untuk anak, dan ada kemungkinan anak mendaftar sendiri, Anda tetap perlu penuhi minimal: pernyataan batas usia di T&C dan mekanisme penghapusan akun bila ditemukan akun anak. Risiko kepatuhannya lebih ringan daripada platform yang aktif menyasar anak.

"Saya hanya jualan di marketplace seperti Shopee/Tokopedia. Apa kena?" Tidak langsung — kewajiban PSE dipikul oleh marketplace itu sendiri. Tapi kalau Anda punya toko online sendiri (bukan menumpang marketplace), Anda yang jadi PSE.

"Game saya offline tanpa multipemain. Apakah tetap kena?" Kalau benar offline tanpa registrasi akun dan tanpa pengumpulan data pribadi, kewajibannya minimal. Tapi cek ulang: apakah ada SDK iklan, analytics, atau in-app purchase yang mengumpulkan data?

"Bagaimana kalau pengguna anak bohong soal usia?" Komdigi memahami ini. Yang dinilai adalah upaya wajar yang Anda lakukan, bukan kesempurnaan absolut. Punya verifikasi tanggal lahir + sistem flagging anomali sudah cukup untuk membuktikan iktikad baik.

"Saya pakai jasa pembuat aplikasi luar negeri. Siapa yang bertanggung jawab?" Pemilik usaha (Anda) yang bertanggung jawab kepatuhan, bukan vendor pengembang. Pastikan kontrak dengan vendor mencantumkan kewajiban kepatuhan PP TUNAS sebagai bagian dari deliverable.

Mulai dari Mana Hari Ini

Kalau Anda baca tulisan ini sampai sini dan masih merasa kewalahan, ambil tiga langkah ini dulu sebelum tutup laptop:

  1. Cek halaman pendaftaran Anda — apakah ada input tanggal lahir? Kalau tidak ada, itu prioritas pertama.
  2. Buka privacy policy Anda — apakah ada bagian yang menyebut perlindungan anak? Kalau tidak, tambahkan paragraf singkat.
  3. Cek mekanisme penghapusan akun — apakah pengguna (atau orang tua) bisa minta hapus akun dengan mudah? Kalau tidak, buat alur sederhana.

Tiga langkah ini saja sudah menutup 60% risiko teguran tahap awal. Sisanya bisa dikerjakan bertahap dalam beberapa minggu ke depan.

Kalau Anda butuh bantuan audit kepatuhan, modifikasi UI pendaftaran, atau setup mekanisme pelaporan untuk aplikasi/website Anda, tim Wardigi siap membantu — dari pemetaan risiko sampai implementasi teknis. Konsultasi awal gratis. Kami sudah membantu beberapa klien UMKM digital menyelesaikan tahapan kepatuhan PP TUNAS dalam 3-4 minggu, dan akan senang berbagi pengalamannya.

Yang paling penting: jangan tunggu surat teguran datang dulu baru bertindak. Aturan ini sudah berlaku, penegakannya sudah dimulai dari pemain besar, dan UMKM digital pasti masuk daftar berikutnya. Lebih baik invest waktu beberapa minggu sekarang daripada menanggung biaya perbaikan darurat plus risiko reputasi nanti.