Memastikan Perlindungan Data Pribadi
Indonesia dalam tahap menyusun Rancangan Undang-Undang tentang Perlindungan Data Pribadi. Ada banyak hal yang bisa dipertimbangkan, termasuk pengalaman di negara lain.
Pada Januari 2020, kartu nomor layanan seluler wartawan senior Ilham Bintang dicuri dan diganti baru oleh orang lain. Pelaku juga memanfaatkan data pribadi di kartu nomor layanan selulernya untuk mengakses rekening bank Ilham Bintang, lalu mentransfer dana ke sejumlah rekening dalam 3 jam.
Ilham melaporkan kejahatan yang menimpanya itu ke Polda Metro Jaya.
Kasus kejahatan tersebut biasa dikenal sebagai SIM swap fraud. Kejahatannya berupa menduplikasi nomor layanan seluler seseorang dengan nomor baru agar bisa mendapatkan data penting korban, terutama data perbankan.
Menyikapi kasus itu, pemerintah melalui Kementerian Komunikasi dan Informatika serta Badan Regulasi Telekomunikasi Indonesia (BRTI) segera memanggil seluruh operator telekomunikasi seluler. Pemanggilan itu untuk mengevaluasi parameter standar operasional prosedur verifikasi keabsahan pelanggan ketika ada permintaan penggantian kartu nomor layanan seluler.
Baca juga: Kebutuhan Hukum Pelindungan Data Pribadi
Untuk mencegah kasus serupa terulang, pakar digital forensik, Ruby Alamsyah, menyarankan agar tidak sembarangan mengeklik konten yang dikirim orang tidak dikenal, baik melalui surat elektonik maupun pesan pendek. Masyarakat juga diharapkan tidak memberikan atau mengisi informasi data pribadi, termasuk data kependudukan dan perbankan, kepada siapa pun. Terakhir, masyarakat juga mesti memahami prosedur sistem keamanan siber yang optimal ketika bertransaksi, seperti transaksi melalui aplikasi perbankan.
Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar, yang dihubungi Selasa (4/2/2020), di Jakarta, menyampaikan, melawan kejahatan siber melalui registrasi wajib nomor layanan seluler dengan verifikasi dan validasi data kependudukan adalah mitos. Faktanya, di banyak negara, praktik kebijakan serupa terbukti gagal. Selain SIM swap fraud, masih ada bentuk lain dengan skala lebih kecil, misalnya prank calling, prank SMS, dan SMS gangguan (spam).
Ketika registrasi nomor layanan seluler menggunakan verifikasi dan validasi data kependudukan, berarti ada pengumpulan data pribadi. Situasi ini memunculkan potensi kerawanan kejahatan siber, pencurian, dan penyalahgunaan.
Berdasarkan riset Center for Digital Society Universitas Gadjah Mada Yogyakarta, rata-rata gangguan spam berupa telepon nomor asing mencapai 28 kali per bulan pada 2019. Rata-rata penerimaan spam berupa pesan pendek ada 46 kali per bulan. Lalu, ada 8.389 aduan iklan via surel tanpa persetujuan.
Association of Internet Industry, seperti dikutip The Atlantic, pernah menyebutkan, hampir 90 persen surel yang dikirim ke alamat personal berasal dari sumber komersial. Bahkan, kasus yang sering terjadi, surel komersial itu diperoleh dari sumber yang individu tidak pernah berlangganan.
Privacy Project yang dikerjakan tim jurnalis investigasi The New York Times memegang file berisikan lebih dari 50 miliar ping lokasi yang terlacak dari telepon seluler milik lebih dari 12 juta orang Amerika Serikat ketika mereka bergerak melalui sejumlah kota besar, termasuk Washington DC, New York, San Francisco, dan Los Angeles. Setiap informasi dalam file itu mewakili lokasi tepat dari satu ponsel pintar selama beberapa bulan pada 2016 dan 2017. Data diberikan kepada The New York Times oleh sumber yang meminta untuk tetap anonim karena mereka tidak berwenang membagikannya dan dapat menghadapi hukuman berat karena hal itu.
Data itu tidak datang dari perusahaan telekomunikasi atau perusahaan teknologi raksasa. Tidak juga berasal dari operasi pengawasan pemerintah. The New York Times menyebut, data berasal dari perusahaan data lokasi, satu dari puluhan perusahaan yang diam-diam mengumpulkan pergerakan lokasi menggunakan perangkat lunak di aplikasi ponsel. Hal ini menunjukkan, perusahaan komersial dan lembaga dapat melihat tempat-tempat yang dikunjungi individu setiap saat, dengan siapa bertemu dan menghabiskan malam.
Pertukaran
Ada pula praktik doxing. Secara umum, doxing adalah memublikasikan informasi pribadi orang lain dalam bentuk apa pun dan situasi apa pun, dengan memanfaatkan platform apa pun.
Sebagai contoh, penyebaran informasi pribadi seseorang yang dikaitkan dengan perusahaan BUMN oleh pemilik akun Twitter @digeeembok.
Tidak bisa dimungkiri, pada era yang serba memungkinkan layanan diakses melalui internet, data—termasuk data pribadi—semakin mudah dipertukarkan. Praktik penyalahgunaan atau kejahatan data pribadi semakin rawan. Sejauh mana masyarakat menyadari hal tersebut?
Direktur Jenderal Aplikasi dan Informatika Kementerian Komunikasi dan Informatika Semuel Abrijani Pangerapan, pekan lalu, di Jakarta, menyampaikan, masih banyak pengguna internet di Indonesia yang belum sadar hak privasi data. Dia mencontohkan, cukup banyak pengguna internet mengumbar foto kartu keluarga. Masih banyak juga masyarakat yang tidak kritis mempertanyakan penggunaan data pribadi di kartu tanda penduduk (KTP).
”Apakah perlu item data pribadi yang termuat di KTP harus sebanyak itu? Item yang tercantum bagian data pribadi harus dilindungi,” katanya.
Praktik lain adalah berbelanja di laman pemasaran. Ada konsekuensi berupa data pribadi konsumen, seperti alamat tempat tinggal, nomor layanan seluler, dan rekening perbankan, dipertukarkan. Pertukaran bisa terjadi mulai dari tingkat mitra pedagang, perbankan, hingga logistik.
Semuel menegaskan, literasi hak privasi data yang melibatkan pemerintah, swasta, dan komunitas masyarakat perlu digiatkan. Penekanan literasi, pertama-tama membangun kesadaran bahwa internet seperti ruang kaca yang siapa pun bisa melihat dan akan selalu ada jejak digitalnya.
Hak atas privasi
Sejak 1988, Komite Hak Asasi Manusia melihat hukum perlindungan data sebagai bagian penting untuk menjaga hak atas privasi sebagaimana diakui dalam Pasal 17 Kovenan Internasional tentang Hak-hak Sipil dan Politik (ICCPR). Isinya, pengumpulan dan penyimpanan informasi pribadi di komputer, bank data, dan peralatan lain, baik oleh badan publik maupun pribadi atau lembaga swasta, harus diatur hukum. Setiap orang berhak mengetahui data apa saja yang disimpan dan untuk tujuan apa.
Setiap orang juga harus dapat memastikan badan publik atau pribadi atau lembaga swasta mana saja yang mengendalikan atau dapat mengendalikan berkas mereka. Jika berkas telah dikumpulkan atau diolah secara berlawanan dengan ketentuan hukum, setiap orang memiliki hak untuk meminta perbaikan atau penghapusan.
Secara sederhana, data pribadi adalah setiap informasi yang membuat seseorang dapat diidentifikasi dan dikenali sebagai individu.
Dalam regulasi perlindungan data (general data protection regulation/GDPR) Uni Eropa yang berlaku 25 Mei 2018, definisi data pribadi adalah setiap informasi terkait seseorang (subyek data) yang membuatnya dapat dikenali secara langsung ataupun tidak langsung, terutama dengan merujuk sebuah tanda pengenal, seperti nama, nomor identitas, data lokasi, data pengenal dalam jaringan, atau pada satu faktor atau lebih tentang identitas fisik, psikologis, genetik, mental, ekonomi, atau sosial orang tersebut.
Data pribadi warga Uni Eropa, termasuk data pada perangkat orang lain, harus diperoleh secara sah, adil, dan transparan sesuai prinsip-prinsip GDPR. Hal ini menyiratkan persetujuan penuh. Perusahaan juga perlu memberi akses ke data pribadi mereka. Bahkan, dalam beberapa kasus, perusahaan bisa menghapus data sesuai permintaan individu.
Perusahaan yang memproses data pribadi harus memastikan data diperoleh secara sah, adil, dan transparan. Pemrosesan data dikatakan sah jika memenuhi sejumlah persyaratan, antara lain pengguna telah menyetujui, ada kontrak, dan sesuai regulasi Uni Eropa atau hukum nasional.
Definisi serta prinsip-prinsip GDPR tersebut diadopsi kebanyakan negara di luar kawasan Uni Eropa yang sekarang mempunyai Undang-Undang (UU) Perlindungan Data Pribadi. Sampai saat ini, setidaknya sudah ada 132 negara memiliki UU Perlindungan Data Pribadi.
Kini, Indonesia tengah dalam langkah menuju perlindungan data pribadi. Berbagai hal itu mesti dipertimbangkan.