Tata kelola metadata gambar berbasis persetujuan 2025 — Privasi & kepercayaan

Konteks

Gambar membawa data pribadi, lokasi, dan atribusi. 2025 menuntut tata kelola otomatis berpusat pada persetujuan. Panduan ini menyatukan operasi dan implementasi untuk aturan yang dapat diulang.

Prinsip

1. Minimasi data (yang perlu saja)
2. Persetujuan eksplisit (cakupan, turunan, penggunaan ulang)
3. Observabilitas (jejak dan log perubahan)

Pola implementasi

• Analisis EXIF/IPTC/XMP saat ingesta dan normalisasi ke matriks kebijakan.
• Putuskan hapus/simpan/ganti tepat sebelum publik.
• Perkuat CSP di klien dan batasi cache offline.

Matriks kebijakan (contoh)

• Sensitif (GPS/wajah/ID perangkat): hapus default; simpan bila ada persetujuan.
• Hak (pembuat/lisensi): simpan default; tampilkan di UI.
• Kontak/URL pembuat: tampilkan dengan persetujuan dan tujuan terbatas.

Contoh pipeline Next.js

import exifr from 'exifr';

export async function sanitize(buffer: ArrayBuffer) {
  const meta = await exifr.parse(buffer, { iptc: true, xmp: true });
  const allowGps = false;
  return { ok: true, redacted: !allowGps, meta };
}

Integrasi CMP

• TCF v2 atau sinyal kustom di server diterapkan ke pemrosesan.
• Contoh: “tanpa lokasi” → hapus GPS/heading/putar waktu.

type Consent = { gps: boolean; aiTraining: boolean; credit: boolean };
function decidePolicy(consent: Consent) {
  return { removeGps: !consent.gps, allowAiTraining: consent.aiTraining, showCredit: consent.credit } as const;
}

Penyimpanan & retensi

• Original terenkripsi (WORM).
• Publik hanya turunan tersanitasi; TTL CDN 7–30 hari.
• Retensi per kelas (iklan: 1 thn; arsip: 5–10 thn).

Audit & insiden

• Sampling bulanan; tiket otomatis untuk deviasi.
• Insiden: SLA 24–72 jam, purge publik→CDN→backup.
• Log ber‑hash tahan manipulasi.

type AuditLog = { inputSha256: string; outputSha256: string; removedFields: string[]; actor: string; timestamp: string };

Pipeline berbasis event

1. Unggah → antrean
2. Sanitasi → rewrite → validasi
3. Klasifikasi → label hak/persetujuan
4. Publikasi → URL bertanda tangan → CDN; tampilkan kredit di UI
5. Audit → log → dasbor

Menampilkan kredit di UI

function Credit({ xmp }: { xmp?: { creator?: string; license?: string } }) {
  if (!xmp) return null;
  return (
    <figcaption className="mt-2 text-xs text-muted-foreground">
      {(xmp.creator && `© ${xmp.creator}`) || ''}
      {xmp.license && (<>
        {' '}· Lisensi: <a href={xmp.license} target="_blank" rel="noreferrer noopener">{xmp.license}</a>
      </>)}
    </figcaption>
  );
}

Keamanan & privasi

• Hapus thumbnail EXIF tersemat.
• URL bertanda tangan/token pendek untuk batasi hotlink.
• CSP/Referrer‑Policy untuk hindari kebocoran URL metadata.

Checklist

• [ ] Dokumentasi minimasi data
• [ ] Skema persetujuan & UI
• [ ] Sanitasi otomatis
• [ ] Simpan/temukan log audit
• [ ] Tampilkan kredit/hak di UI
• [ ] Kebijakan backup/penghapusan

FAQ

• T: Hapus semua metadata?

  • J: Tidak. Simpan hak/kredit; hapus data sensitif (GPS, dll.).

• T: Aset lama?

  • J: Audit batch → sanitasi otomatis → review diff.

• T: Penarikan persetujuan?

  • J: Telusuri via ID; purge publik/CDN/backup; catat SLA.

• T: Metadata gambar AI?

  • J: Prompt/log sensitif. Hapus di publik; simpan internal untuk audit.

• T: CDN menghapus ICC/metadata

  • J: Optimizer sering menghapus default. Pilih profil yang menyimpan/menyuntik ulang yang perlu (hak/lisensi).