Data Pribadi Bukan Komoditas
Jaminan atas keamanan data pribadi di internet amat diperlukan mengingat aktivitas daring di Indonesia kian meningkat. Peraturan terkait keamanan data pribadi ini diharapkan menjadi solusinya.
JAKARTA, KOMPAS — Pandemi Covid-19 telah mendorong akselerasi digital di berbagai sektor. Kerja perkantoran kini mengandalkan rapat virtual. Berbagai produk efektif dipasarkan di daring. Tanpa disadari, berbagai data pribadi turut dibagikan di daring dan berpotensi dimanfaatkan pihak lain.
Platform manajemen media sosial Hootsuite melaporkan, per Januari 2021, tak kurang dari 202 juta orang atau 73 persen penduduk Indonesia menggunakan internet. Jumlah pengguna internet ini naik 15 persen atau bertambah 27 juta pengguna dibandingkan dengan Januari 2020. Data pengguna internet yang berputar di daring pun dipastikan bertambah banyak, baik itu IP address komputer maupun laptop, hingga nama dan akun perbankan jika melakukan transaksi di pasar daring.
Baca juga : Data Pribadi Dijual Bebas
Dengan menggunakan teknologi, data yang tersebar di daring ini dapat dilacak dan digunakan untuk tujuan tertentu. Teknologi pelacakan data dan aktivitas pengguna, seperti Cookie, digunakan sejumlah situs untuk kepentingan pemasaran dan pengembangan produk. Di dunia pemasaran digital, penghimpunan data pribadi hingga mengenali perilaku konsumen melalui bantuan mesin algoritma pun sudah lumrah.
Di satu sisi, penggunaan teknologi ini memudahkan pelaku usaha menjangkau konsumen yang memiliki ketertarikan dengan produknya. Namun, di sisi lain, patut disadari, dengan cara ini data pribadi telah dieksploitasi untuk kepentingan ekonomi dan tak tertutup kemungkinan membahayakan subyek data pribadi tersebut.
Baca juga : Bias Rasial Algoritma Masih Menjadi Persoalan
Namun, peraturan yang melindungi data pribadi secara utuh sampai saat ini belum tersedia. Regulasi penggunaan data pribadi pun masih tersebar di sejumlah undang-undang dan peraturan, seperti Undang-Undang Nomor 24 Tahun 2013 tentang Administrasi Kependudukan serta Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggara Sistem dan Transaksi Elektronik.
Rancangan Undang-Undang Perlindungan Data Pribadi (PDP), yang diharapkan menjadi jawaban bagi perlindungan data pribadi, sejak masuk dalam program legislasi nasional pada awal 2020 hingga kini belum tuntas dibahas di DPR.
Blandina Lintang, peneliti kebebasan berpendapat dan keamanan siber dari Lembaga Studi dan Advokasi Masyarakat (Elsam), mengungkapkan, di era digital, data pribadi tak lagi terbatas nama dan tanggal lahir, melainkan semua data yang dapat merujuk pada satu individu. Sebagai contoh IP address setiap komputer berbeda. Sederetan angka dari IP address itu juga dapat menunjukkan keberadaan seseorang sehingga data tersebut dapat dikategorikan sebagai data pribadi.
”Bahkan, (data pribadi itu) termasuk preferensi personal yang polanya bisa dibaca dengan algoritma platform, termasuk jejak browser (peramban) seperti di Cookie,” jelasnya.
Blandina menyampaikan hal itu dalam diskusi virtual berjudul ”Menyoal Kebocoran Data Pribadi dan Komersialisasi Data untuk Iklan” yang diadakan Elsam bersama Constitutional Law Society Fakultas Hukum Universitas Gadjah Mada, Jumat (5/3/2021) malam. Diskusi itu turut dihadiri Faiz Rahman, dosen Hukum Tata Negara UGM, dan Direktur Eksekutif Elsam Wahyudi Djafar.
Data pribadi itu bagian dari hak privasi yang diakui sebagai HAM (hak asasi manusia). Jadi, menurut saya, (data pribadi) kita bukan komoditas.
Data spesifik
Lebih jauh, lanjut Blandina, ada pula data pribadi spesifik. Di beberapa negara, data ini disebut data sensitif, tetapi dalam RUU PDP disebut sebagai data spesifik. Data ini disebut spesifik karena berkaitan dengan kehidupan subyek data secara langsung, seperti data kesehatan, ras dan etnis, pandangan politik, biometrik, serta keanggotaannya di organisasi atau serikat kerja tertentu.
Pelanggaran HAM berat pada 1965 merupakan salah satu contoh pentingnya perlindungan terhadap pandangan politik seseorang. Pada masa itu, sebagian orang bisa mengalami penganiayaan atas dasar tuduhan ia tergabung dalam PKI.
”Data pribadi spesifik ini dipisahkan dari data lainnya karena berkaitan dengan keamanan dan kenyamanan hidup seseorang secara langsung, terutama untuk menjamin perlindungan atas hak asasi manusia,” jelas Blandina.
Baca juga : Kebocoran Data dan Urusan Privasi
Begitu pula big data yang menurut Blandina semakin banyak dikumpulkan secara masif oleh para pihak, baik pihak swasta maupun pemerintah. Untuk peningkatan pelayanan publik dengan digitalisasi, contohnya, data pribadi warga diunggah ke sistem pemerintah dan digunakan untuk pelayanan publik. Data pribadi yang kita unggah untuk aplikasi layanan transportasi juga digunakan untuk pengembangan produk layanan transportasi tersebut.
”Data pribadi itu bagian dari hak privasi yang diakui sebagai HAM (hak asasi manusia). Jadi, menurut saya, (data pribadi) kita bukan komoditas,” ucapnya.
Pada umumnya, aplikasi juga mengajukan lembar persetujuan terkait beberapa hal, seperti menggunakan data pribadi dan aktivitas pengguna di aplikasi, dengan alasan untuk pengembangan pelayanan. Sementara permohonan kesepakatan yang dijabarkan dalam lembar persetujuan itu kerap kali tidak ramah bagi pengguna aplikasi, salah satunya penggunaan bahasa yang terlampau teknis hukum.
Begitu juga perekaman percakapan saat melakukan aduan atau konsultasi ke penyedia jasa atau produk rawan disalahgunakan. ”Seperti merekam percakapan (saat melakukan konsultasi dengan penyedia jasa atau produk), hasil percakapan itu (rawan) digunakan untuk produk lain. Banyak orang tidak sadar akan hal itu,” jelas Blandina.
Sulit dipulihkan
Sementara kebocoran data pribadi pun telah terjadi di situs maupun aplikasi milik pemerintah dan swasta. Sebut saja kebocoran data pemilih dari situs Komisi Pemilihan Umum hingga data pengguna Tokopedia. Data pribadi yang memuat nama sampai alamat lengkap juga diperjualbelikan di media sosial dan pasar daring dengan harga mulai dari puluhan rupiah per data hingga belasan ribu rupiah per data.
Baca juga : Tokopedia Menjamin Data Pribadi Aman
Menurut Blandina, hingga kini belum ada solusi mengatasi kerusakan atau dampak buruk akibat data yang bocor ke publik. Data pemilih yang diduga bocor dari situs KPU, contohnya, subyek data tidak mudah untuk merehabilitasi datanya, seperti mengganti nomor induk kependudukan (NIK) atau mengubah alamat tempat tinggalnya.
”Ketika ada kebocoran data pribadi, damage-nya tak bisa diganti. Begitu juga kebocoran data (pemilih) di KPU, apakah solusinya harus pindah rumah atau NIK diganti, kan, tidak (mungkin). Maka, dampak kebocoran data pribadi itu tidak mudah (diatasi),” jelas Blandina.
Baca juga : Data Pribadi 2,3 Juta Penduduk Indonesia Bocor
Tidak memadai
Faiz Rahman menyampaikan, sejauh ini baru PP Nomor 71 Tahun 2019 tentang Penyelenggara Sistem dan Transaksi Elektronik yang memiliki definisi data pribadi yang sesuai dengan kebutuhan perlindungan bagi data pribadi saat ini. Dalam regulasi itu disebutkan data pribadi adalah setiap data tentang seseorang yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya, baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau non-elektronik.
Ketika ada kebocoran data pribadi, damage-nya tak bisa diganti. Begitu juga kebocoran data (pemilih) di KPU, apakah solusinya harus pindah rumah atau NIK diganti, kan, tidak (mungkin).
Menurut Faiz, PP tentang transaksi elektronik ini tampaknya mengadopsi pasal-pasal General Data Protection Regulation, regulasi perlindungan data pribadi yang diterapkan bagi seluruh perusahaan di dunia yang mengolah data penduduk 28 negara yang tergabung dalam Uni Eropa. Di dalam PP itu juga ada pengaturan terkait pengumpulan hingga pemusnahan data.
”Namun, (karena berada) di level PP, sanksi pelanggaran (terkait pengumpulan hingga penggunaan dan pemusnahan data) baru sebatas sanksi administrasi,” kata Faiz.
Sementara UU Nomor 24 Tahun 2013 tentang Administrasi Kependudukan, lanjut Faiz, belum dapat memenuhi tuntutan melindungi subyek data pribadi di era digital. Seperti diatur dalam Pasal 84, UU itu hanya merinci data pribadi yang harus dilindungi adalah keterangan tentang cacat fisik dan/atau mental, sidik jari, iris mata, tanda tangan, dan elemen data lainnya yang merupakan aib seseorang. Padahal, ada beragam informasi dan perilaku pengguna internet di daring yang dapat dikategorikan data pribadi karena data itu berpotensi dimanfaatkan pihak lain untuk kepentingan komersial.
Dari segi hukum positif, menurut Faiz, UU Administrasi Kependudukan memiliki kedudukan yang lebih tinggi dibandingkan dengan PP Penyelenggara Sistem dan Transaksi Elektronik. Selain itu, hal ini berpotensi menimbulkan permasalahan jika ada pihak yang memilih defenisi data pribadi yang menguntungkan pihaknya.
Oleh karena itu, Faiz berpendapat, RUU PDP sangat penting segera disahkan menjadi UU untuk mengatasi dualisme definisi data pribadi pada UU Administrasi Kependudukan serta PP Penyelenggara Sistem dan Transaksi Elektronik. ”RUU PDP jadi salah satu UU yang bisa mengatasi permasalahan ini, termasuk dualisme definisi data pribadi yang ada saat ini. Adanya UU PDP diharapkan dapat mengatasi masalah itu,” jelasnya.
Polisi virtual
Wahyudi Djafar menyampaikan, saat ini isu perlindungan data pribadi tak hanya seputar data pribadi yang bocor dan dimanfaatkan pihak tertentu. Namun, saat ini juga ada polisi virtual yang dioperasikan pemerintah untuk memantau aktivitas warganet. Kondisi ini dengan sendirinya dapat mengancam kebebasan berekspresi dan berpendapat.
”Ini (polisi virtual) juga bagian dari pemantauan terhadap akun-akun media sosial yang memiliki kaitan erat dengan hak privasi pengguna internet. Bagaimana memastikan praktik pemantauan akun medsos itu tidak terjerumus masuk dalam isu mass surveillance (pengawasan massal),” jelasnya.
Baca juga : Polisi Virtual Dikhawatirkan Belenggu Kebebasan Berekspresi
Hadirnya polisi virtual ini, menurut Wahyudi, dapat mengancam pengguna internet. Sebagai dampaknya, pengguna internet harus memikirkan cara mempertahankan reputasi dan martabatnya yang dapat berdampak pada cara mereka mengekspresikan pendapat dan gagasan.
”Ini salah satu hal yang (saling) kelit kelindan satu sama lain. Termasuk apa kemudian dampak yang terjadi ketika data pengguna internet, konsumen, user (pengguna), tidak dilindungi dengan perangkat yang memadai,” jelasnya.
Menurut Wahyudi, di sini dibutuhkan UU PDP yang dapat melindungi hak-hak subyek data. Sejauh ini, Elsam terus mengawal pembahasan RUU PDP di DPR. Sesuai rencana, pembahasan RUU ini dilanjutkan di DPR pada Senin (8/3/2021). ”Elsam terus memantau pembahasan RUU PDP (di DPR),” ujarnya.