Menanti Langkah Penegakan Hukum Kebocoran Data
Ketiadaan otoritas independen pengawas perlindungan data pribadi diyakini menyulitkan penegakan hukum kasus kebocoran data, termasuk yang melibatkan badan publik. Apalagi, badan publik berperan sebagai regulator dan PSE.
Semua pihak, baik pengendali data maupun pihak lain yang terkait data hasil registrasi prabayar nomor layanan telekomunikasi seluler, diminta bahu-membahu menjaga data pribadi warga dari potensi serangan siber. Demi menjaga kepentingan seluruh masyarakat, kewaspadaan terhadap kebocoran data pribadi perlu menjadi perhatian semua pihak.
Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika (Kemenkominfo) Semuel Abrijani Pangerapan menegaskan hal itu pada konferensi pers tentang dugaan kebocoran data pendaftaran kartu SIM telepon Indonesia, Senin (5/9/2022), di Jakarta.
Konferensi pers itu diadakan seusai Kemenkominfo menggelar rapat koordinasi dengan semua operator telekomunikasi seluler, Badan Siber dan Sandi Negara, Direktorat Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri, serta Direktorat Tindak Pidana Siber Bareskrim Polri.
”Kami sangat serius menangani kasus ini. Kami tadi telah berkoordinasi dan minta segera melakukan investigasi. Kalau memang ada kebocoran segera diberi tahu kepada masyarakat, siapa yang berdampak, sehingga masyarakat bisa tahu dan berhati-hati bagaimana untuk mengantisipasi,” katanya.
Setiap orang yang memperoleh data pribadi secara tidak sah, tanpa sepengetahuan pemilik dan pengendali data, termasuk dalam kategori unsur pidana.
Dalam kesempatan yang sama, Semuel menegaskan bahwa setiap orang yang memperoleh data pribadi secara tidak sah, tanpa sepengetahuan pemilik dan pengendali data, termasuk dalam kategori unsur pidana. Namun, tidak disampaikan kapan hasil investigasi bersama itu akan selesai. Dia hanya menyebut pelaku peretas kemungkinan akan dikenai pidana, sementara penyelenggara sistem elektronik (PSE) privat kemungkinan akan menerima sanksi administratif.
Ia menambahkan, dalam Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) disebutkan, apabila PSE privat mengalami kebocoran data pribadi pelanggannya, PSE privat tersebut akan dikenai denda administratif hingga 2 persen dari pendapatan. Namun, Semuel tidak menyebutkan apakah sanksi yang sama itu akan diberlakukan kepada PSE publik atau tidak.
Baca juga : Panja Pastikan RUU PDP Pertegas Pihak yang Bertanggung Jawab pada Kebocoran Data
Sulit
Saat dihubungi pada Selasa (6/9/2022) di Jakarta, Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar berpendapat, agar adil, RUU PDP memang sebaiknya memasukkan sanksi yang sama bagi PSE privat dan publik yang mengalami kasus kebocoran data pribadi. Badan publik PSE publik, misalnya, dikenai sanksi administrasi dan denda berupa pemotongan anggaran.
Dalam konteks kasus dugaan kebocoran data pribadi yang menimpa PSE publik belakangan ini, termasuk kasus registrasi prabayar layanan telekomunikasi, Wahyudi berpendapat, keberadaan otoritas independen pengawas perlindungan data pribadi semakin dibutuhkan, bukan hanya urusan sanksi. Jika tidak, penegakan hukum kasus kebocoran akan tetap sulit.
”Ibaratnya, pemain yang juga berperan sebagai wasit. Apakah mungkin, badan publik/instansi pemerintahan yang berperan sebagai regulator, pengawas, dan pengendali data akan memberikan sanksi kepada dirinya sendiri tatkala terbukti mengalami kebocoran data?” ujar Wahyudi.
Dia menjelaskan, dalam konteks kasus dugaan kebocoran data registrasi prabayar layanan telekomunikasi seluler, masyarakat perlu menelaah kebijakan registrasi lima tahun lalu. Kebijakan wajib registrasi dengan verifikasi dan validasi data tunggal kependudukan berasal dari Kemenkominfo. Pada saat itu, Kemenkominfo mengatakan kebijakan tersebut dinilai tepat mengurangi tingkat beli-pakai-buang nomor, sekaligus juga menekan tindak kejahatan memakai nomor ponsel.
Apakah mungkin, badan publik/instansi pemerintahan yang berperan sebagai regulator, pengawas, dan pengendali data akan memberikan sanksi kepada dirinya sendiri tatkala terbukti mengalami kebocoran data?
Sesuai Pasal 169 Peraturan Menkominfo Nomor 5 Tahun 2021 tentang Penyelenggaraan Telekomunikasi, operator telekomunikasi seluler wajib menyampaikan laporan data pelanggan prabayar dan pascabayar layanan telekomunikasi seluler yang aktif setiap tiga bulan sekali kepada Kemenkominfo. Data yang dimaksud berupa identitas pelanggan yang melakukan registrasi dan nomor ponsel.
Kemudian, Pasal 170 Peraturan Menkominfo No 5/2021 menyebutkan, untuk mendukung kebenaran laporan data pelanggan aktif, penyelenggara jasa telekomunikasi wajib menyediakan pusat data pelanggan aktif yang secara real time terhubung dengan sistem monitoring registrasi kementerian.
Artinya, Wahyudi berpendapat, Kemenkominfo dalam hal itu bertindak sebagai pengendali dan melakukan pemrosesan data. Di sisi lain, operator telekomunikasi seluler juga mengumpulkan dan memproses data pengguna.
Direktorat Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri memiliki nota kesepahaman dengan operator dalam konteks pemakaian NIK dan nomor KK sebagai verifikasi identitas seseorang dinyatakan valid. Ini berarti Direktorat Jenderal Kependudukan dan Pencatatan Sipil Kemendagri juga melakukan pengumpulan data.
”Mereka itu berada dalam kapasitas sama, yakni sebagai joint controller atau pengendali data gabungan. Artinya, mereka melakukan pemrosesan data pribadi dengan kapasitas masing-masing. Maka, ketika terjadi kasus dugaan kebocoran data hasil registrasi, masing-masing semestinya bisa dimintai pertanggungjawaban, tetapi tetap harus melalui investigasi dulu,” tuturnya.
Acuan hukum yang bisa dipakai adalah Peraturan Menkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, Peraturan Pemerintah (PP) Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, serta Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik.
Peraturan Menkominfo No 20/2016 dan PP No 71/2019 telah memuat sanksi apabila terjadi kebocoran data pribadi baik di PSE privat maupun PSE publik. Sanksi itu, antara lain, meliputi peringatan lisan, peringatan tertulis, penghentian sementara, dan pengumuman di laman.
”Investigasi harus terus dijalankan agar tahu letak kebocoran. Permasalahannya kemudian ada di hasil. Seandainya hasilnya benar membuktikan kesalahan ada di PSE publik (pemerintah), sejauh mana hasil ini bisa ditegakkan secara hukum?” kata Wahyudi.
Investigasi harus terus dijalankan agar tahu letak kebocoran. Permasalahannya kemudian ada di hasil. Seandainya hasilnya benar membuktikan kesalahan ada di PSE publik (pemerintah), sejauh mana hasil ini bisa ditegakkan secara hukum?
Kepala Bidang Advokasi Lembaga Bantuan Hukum (LBH) Jakarta Charlie Albajili saat dihubungi terpisah berpandangan senada. Oleh karena itu, dia sependapat dengan Wahyudi agar substansi otoritas independen pengawas perlindungan data pribadi dalam RUU PDP diperjuangkan DPR. Jangan sampai otoritas pengawas berada di bawah instansi pemerintah tertentu atau di bawah presiden sebab akan semakin rentan disalahgunakan.
”Kasus kebocoran data pribadi marak terjadi, termasuk dari badan layanan publik pemerintahan. Bukan hanya dugaan kebocoran data hasil registrasi, tetapi juga dugaan data aplikasi PeduliLindungi tidak dienkripsi. Ini menunjukkan pemerintah tidak serius memandang, memperlakukan, ataupun melindungi data pribadi,” ujar Charlie.
Menurut dia, LBH Jakarta telah mengimbau warga — yang merasa jadi korban rentetan dugaan kebocoran data pribadi mulai dari Telkom IndiHome sampai hasil registrasi prabayar layanan telekomunikasi seluler — untuk melakukan pemeriksaan data lewat Periksadata.com. Setelah itu, warga bisa mengajukan gugatan.
”Namun, memang perlu ahli untuk membuktikan kerugian. Proses warga sebagai subyek data menggugat ini memang panjang dan butuh usaha ekstra. Ini memang langkah yang (hanya) bisa ditempuh warga sekarang,” tutur Charlie.
Di Indonesia, upaya warga menggugat PSE yang terbukti mengalami kebocoran data pribadi pernah terjadi. Komunitas Konsumen Indonesia, misalnya, menggugat Menkominfo dan Tokopedia karena gagal melindungi 90 juta data pribadi pemilik akun yang telah dicuri dan dijual di pasar gelap pada tahun 2020. Namun, upaya ini tidak berlangsung lancar.
Selama proses investigasi berlangsung, anggota forum Breached.to bernama Bjorka — yang membocorkan dan menjual data hasil registrasi prabayar layanan telekomunikasi — sempat mengirim pesan balasan ke Kemenkominfo. Bunyinya, ”My Message to Indonesian Government: Stop being an idiot”.
Pesan ini menanggapi pernyataan Semuel pada saat konferensi pers Senin. ”(Pesan untuk hacker) Ya, kalau bisa jangan nyerang, lah. Karena tiap kali kebocoran data, yang dirugikan ya masyarakat. Kan, itu perbuatan ilegal access,” kata Semuel.
Kasus kebocoran data ini jika digabungkan dengan data kebocoran lain bisa jadi data profil lengkap untuk dasar melakukan tindak kriminal.
Chairman Communication and Information System Security Research Center Pratama Persadha memandang, untuk kondisi sekarang, pengenaan sanksi hukum atas kasus kebocoran data pribadi hanya bisa memakai Peraturan Menkominfo No 20/2016. PSE publik yang terbukti mengalami kebocoran data bisa dikenai sanksi sesuai peraturan menkominfo itu.
”Namun, realisasi biasanya mentok diumumkan saja. Memang (harus) menunggu RUU PDP beserta aturan turunannya lekas disahkan. Otoritas independen pengawas perlindungan data pribadi yang akan menentukan sebuah kebocoran data apakah PSE publik bersalah atau tidak, hingga pengecekan menyeluruh sistem sesuai standar keamanan UU PDP atau tidak,” ujar Pratama.
Dia menambahkan, keberadaan RUU PDP sudah sangat mendesak. Kasus kebocoran data ini jika digabungkan dengan data kebocoran lain bisa jadi data profil lengkap untuk dasar melakukan tindak kriminal. Lagi-lagi, warga sebagai subyek data yang akan kembali dirugikan.
Baca juga : Kebocoran Data Berpotensi Bahayakan Pelanggan