Buta Data Itu Mahal: Memahami BSUID Agar Bisnis Tak Jadi Sandera Asing
Ex Tech Journalist to Martech, Startup to Enterprise. Stock Market Enthusiast. Was viral at 2017, 1st man that use bitcoin as marriage dowry.
·waktu baca 7 menit
Tulisan dari Fajar Widi tidak mewakili pandangan dari redaksi kumparan
PerbesarBayangkan WhatsApp adalah sebuah negara digital di mana selama ini setiap pengunjung diwajibkan membawa "KTP" —yakni nomor telepon Anda.
Mulai tahun 2026, papan nama itu akan diganti dengan topeng-topeng unik bernama username.
Namun, di balik topeng tersebut, Meta menyematkan kode rahasia bernama BSUID, sebuah "sidik jari digital" yang hanya bisa dibaca oleh pemilik toko, tentu dengan seijin "Mark Zuckerberg".
BSUID tampak seperti jubah gaib yang melindungi nomor telepon dari mata asing, ia sebenarnya adalah jangkar permanen yang mengikat jejak konsumsi kita ke dalam ekosistem global Meta.
Analogi Sederhana
Jadi begini analoginya: dulu nomor hape itu udah kaya "KTP". Anda bisa menggunakan "KTP" ini untuk masuk ke mana aja. Ke Bank untuk pinjam modal usaha, ke online shop untuk beli perlengkapan, ke travel company untuk jalan-jalan ke luar negeri via login nomor Hape.
Nomor Hape ini sangat sakral. Karena identitas Anda berlaku universal terhadap Toko A atau Toko B. Toko A dan Toko B sebelumnya tahu bahwa nomo hape ini milik Anda. Itu dulu.
Sekarang META seakan bilang, "Eh bahaya loh Anda bawa-bawa KTP. Sini biar kami saja yang mengamankan "KTP" nya. Bahaya kali jika nanti ada orang jahat yang memanfaatkan nomor Hape Anda. Tenang nomor Hape Anda aman.
"Nanti kalau Anda belanja ke toko A, kami kasih nomor khusus ke toko A, kalau Anda ke Toko B, juga akan kami kasih nomor khusus ke toko B. Intinya data Anda aman."
Sekilas terdengar keren ya? Data kita sangat terjaga karena si Toko A dan Toko B tidak tahu siapa kita tanpa seijin META. Namun sebagai pemilik bisnis, kita jadi buta data. Betul?
Perspektif Pemilik Toko
Sekarang bayangkan kita sebagai pemilik Toko. Jelas kita bakal kesusahan karena kita jadi tidak tahu siapa konsumen kita, tanpa seijin META.
Dalam bisnis menurut keyakinan saya, kita harus tahu siapa konsumen kita.
Dulu jika kita sebagai pemilik Toko Online, jika WA sedang error kita tinggal call konsumen kita, "Kak maaf WA lagi error, nanti barang saya kirim ya," selesai.
Pada tahun 2026 ini kita nanti jadi tidak bisa menelpon konsumen kita, karena kontaknya dikuasai META. Jadi kita harus call ke META nya, ditengah konsumen kita yang nungguin barang kita. Eh tapi, META udah punya AI untuk menggantikan mbak-mbak Customer Care. Jadi nanti semua masalah akan di-handle oleh META AI.
Sadar atau tidak, Telkom Group saat ini sudah berencana untuk mengintegrasikan model AI Llama buatan META ke dalam chatbot pelanggan entreprise WhatsApp. Veronika, chatbot legendaris Telkomsel yang sudah ada lebih dulu di WhatsApp nantinya segera didukung oleh Llama guna menghadirkan interkasi pengguna yang lebih personal.
Jadi selamat untuk para bebisnis, Anda kini resmi menyewa data pelanggan Anda sendiri pada Mark Zuckerberg. Telat bayar sewa? Bye pelanggan.
BSUID dan Pergeseran Paradigma Identitas
Perubahan ini terjadi karena makhluk halus yang bernama BSUID.
Business-Scoped User ID (BSUID) adalah pengenal backend baru yang dirancang untuk mendukung transisi WhatsApp menuju ekosistem berbasis username.
Secara teknis, BSUID merupakan string alfa-numerik unik hingga 256 karakter yang dihasilkan secara otomatis untuk mengidentifikasi pasangan unik antara portofolio bisnis dan pengguna WhatsApp.
Berbeda dengan nomor telepon yang bersifat global dan statis di seluruh platform, BSUID bersifat "scoped" atau terbatas pada cakupan bisnis tertentu.
Artinya, seorang pengguna yang sama akan memiliki BSUID yang berbeda ketika berinteraksi dengan dua portofolio bisnis yang berbeda, meskipun kedua bisnis tersebut menggunakan platform WhatsApp yang sama. Ingat cerita yang saya tulis di atas soal Toko A dan Toko B.
Mekanisme ini dirancang untuk mencegah profil silang (cross-profiling) antar bisnis yang tidak terafiliasi, yang secara teori meningkatkan privasi pengguna.
Namun, bagi penyedia layanan pihak ketiga dan pengembang CRM, hal ini menciptakan tantangan integrasi yang signifikan.
Sebelum adanya BSUID, nomor telepon bertindak sebagai kunci primer (primary key) yang konsisten di semua sistem. Dengan adanya BSUID, bisnis harus menyesuaikan database mereka untuk menyimpan identifier yang bersifat dinamis dan spesifik untuk platform META.
Berdasar dokumen yang saya pelajari dari META, proses regenerasi BSUID terjadi secara otomatis apabila seorang pengguna mengubah nomor telepon mereka.
Hal ini akan memicu pesan status sistem melalui webhook kepada bisnis, yang memungkinkan sistem CRM untuk memperbarui catatan identitas tanpa kehilangan riwayat percakapan.
WhatsApp telah menetapkan tenggat waktu yang ketat bagi bisnis untuk menyesuaikan sistem mereka dengan arsitektur baru ini, yaitu pada Juni 2026.
Selama masa transisi, WhatsApp menerapkan kebijakan "jendela 30 hari", di mana nomor telepon pengguna masih akan dibagikan dalam respons API selama 30 hari setelah interaksi terakhir, untuk memberikan waktu bagi bisnis melakukan pemetaan identitas dari nomor telepon ke BSUID.
Di sini hati kecil saya berujar, "Ya kali mas-mas penjual bakmi, pecel lele, harus paham apa itu WhatsApp API dan Webhook? Ya mungkin inilah saatnya UMKM kita bergerak maju.
Kedaulatan Data dalam Kerangka Regulasi Indonesia (UU PDP)
Bagi seorang marketing technologist seperti saya, kedaulatan data bukan sekadar kepatuhan hukum, tetapi merupakan fondasi kepercayaan konsumen.
Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) menandai pergeseran besar dalam cara perusahaan digital harus beroperasi di wilayah kedaulatan Indonesia.
UU PDP secara tegas membedakan peran antara Pengendali Data Pribadi (Data Controller) dan Prosesor Data Pribadi (Data Processor).
Dalam konteks WhatsApp Cloud API, bisnis yang menggunakan layanan tersebut bertindak sebagai Pengendali Data, sedangkan Meta bertindak sebagai Prosesor Data.
Ini berarti tanggung jawab hukum atas penggunaan data konsumen tetap berada pada bisnis, meskipun pemrosesan teknisnya dilakukan oleh infrastruktur Meta.
Untuk memenuhi persyaratan lokalisasi data, Meta telah memperkenalkan fitur "Cloud API Local Storage". Per April 2025, Indonesia secara resmi menjadi salah satu lokasi yang didukung untuk penyimpanan data lokal.
Fitur ini memungkinkan bisnis untuk menyimpan "data-at-rest" (pesan teks, media, dan template yang tersimpan) di pusat data yang berlokasi di dalam wilayah Indonesia. Detail bisa cek di sini: https://developers.facebook.com/documentation/business-messaging/whatsapp/local-storage/
Namun, perlu dicatat bahwa pemrosesan "data-in-use" (data yang sedang transit atau diproses secara aktif) tetap dapat terjadi di pusat data global Meta di luar negeri untuk durasi hingga 60-90 menit guna memastikan reliabilitas transmisi.
Di Indonesia, infrastruktur pendukung untuk layanan Cloud ini sering kali melibatkan penyedia pusat data lokal kelas atas seperti NEX Data Center yang memiliki sertifikasi Tier-III dan kepatuhan ISO.
Pendaftaran sebagai Penyelenggara Sistem Elektronik (PSE) di Kominfo juga menjadi syarat mutlak bagi operasional layanan digital asing seperti WhatsApp agar tetap dapat beroperasi secara legal di Indonesia. Sebelum menjadi banker, 2020 saya pun melakukan pendaftaran PSE Kominfo untuk urusan startup bisnis yang bahkan bergerak di Web 3. Jadi ini adalah syarat mutlak bagi tech bisnis di Indonesia utuk patuh terhadap regulasi.
Penutup: Mencoba Berpikir Kritis Terhadap Kedaulatan Data
Perubahan ini bukan sekadar pembaruan fitur teknis, melainkan sebuah rekayasa ulang struktural terhadap cara data konsumen dikelola, dimiliki, dan dikomersialkan dalam ekosistem META.
WhatsApp, yang telah berkembang dari sekadar aplikasi pesan instan menjadi pilar utama ekonomi digital global.
Perubahan ini secara langsung menyentuh aspek kedaulatan data, terutama dalam konteks hukum Indonesia yang semakin ketat melalui Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP)
Implementasi BSUID menciptakan lapisan abstraksi identitas yang memungkinkan bisnis untuk tetap terhubung dengan pelanggan tanpa harus memiliki akses langsung ke nomor telepon pribadi mereka, asalkan pengguna telah mengadopsi fitur username.
Namun, di balik janji privasi ini, terdapat implikasi mendalam mengenai kedaulatan data konsumen. Dalam model bisnis baru ini, kontrol atas "kunci" identitas bergeser dari tangan pengguna dan bisnis lokal ke dalam infrastruktur Meta yang bersifat lintas batas.
Di tengah arus perdagangan data lintas batas, kita harus memastikan bahwa pagar hukum negara cukup kuat agar "tanah" tempat kita berinteraksi tidak sepenuhnya menjadi milik asing, di mana kita hanya menjadi tamu di rumah sendiri.