Aplikasi ”PeduliLindungi” Dinilai Berlebihan Mengambil Data Pengguna
Aplikasi PeduliLindungi dinilai berlebihan mengambil data pengguna. Aplikasi tersebut mengakses data geolokasi pengguna hingga mendetail dan diduga juga mengirimkan data ke pihak ketiga.
Oleh
satrio pangarso wisanggeni
·3 menit baca
JAKARTA, KOMPAS — Aplikasi pelacakan kontak Covid-19 buatan pemerintah, PeduliLindungi dinilai terlalu banyak mengambil data pengguna yang tidak penting serta pengolahan data yang tidak transparan.
Ini menjadi temuan dari para peneliti di The Citizen Lab, Munk School of Global Affairs and Public Policy, University of Toronto yang dipublikasikan pada Selasa (21/12/2020) pagi waktu Indonesia.
Dalam hasil penelitian yang berjudul ”Unmasked II: An Analysis of Indonesia and the Philippines’ Government-launched COVID-19 Apps” tersebut diketahui bahwa aplikasi PeduliLindungi versi 2.2.2 mengambil data geolokasi dan menyambungkannya dengan nama, nomor telepon, dan device ID penggunanya.
Data ini tergolong berlebihan dan cenderung berbahaya, dangerous permissions. Bahkan, The Citizen Lab menemukan bahwa data dikirimkan ke dua tujuan. Pertama, ke server milik PeduliLindungi untuk menentukan apakah pengguna berlokasi di zona merah Covid-19. Dan kedua, dikirimkan ke server milik Telkom Indonesia untuk kepentingan analitik.
Peneliti mencatat bahwa data yang dikirimkan ke Telkom Indonesia berisi data geolokasi pengguna, device ID, nama lengkap, dan nomor telepon. Data ini tidak jelas pengolahannya karena kebijakan privasi atau privacy policy yang disampaikan oleh PeduliLindungi tidak menjelaskan mengenai hal ini atau bahkan mengklarifikasi apakah data ini akan digunakan untuk kepentingan periklanan atau tidak.
Peneliti Senior The Citizen Lab Irene Poetranto pada Rabu (23/12/2020) menilai, sebaiknya pemerintah berhenti mengumpulkan analitik atau mengumpulkannya dengan cara yang menjaga privasi, sesuai dengan kebijakan layanan analitik lainnya.
Ia mencontohkan bahwa Google Analytics melarang pengembang untuk mengumpulkan data yang tergolong informasi identitas pribadi.
Namun, jika pemerintah tetap bergeming, menurut dia, langkah yang bisa dilakukan adalah memperbarui kebijakan privasi aplikasi PeduliLindungi untuk menjelaskan secara terbuka bagaimana data yang diambil dari pengguna diolah oleh pihak ketiga.
”Jika pemerintah tidak berhenti mengumpulkan data analitik, sebaiknya memperbarui kebijakan privasi mereka (https://pedulilindungi.id/kebijakan-privasi-data) untuk menjelaskan bahwa data dikirim ke Telkom Indonesia, data mana/apa saja yang dikirim ke Telkom Indonesia, dan bagaimana serta berapa lama serta untuk apa data itu digunakan oleh Telkom Indonesia,” kata Irene kepada Kompas.
Berdasarkan data firma analitik aplikasi Apptopia, PeduliLindungi sudah diunduh sebanyak total 4,2 juta kali di Indonesia dari platform App Store dan Play Store sejak Maret 2020. Communications and Content Manager ApptopiaMadeline Lenahan mengungkapkan melalui surel bahwa dalam 30 hari terakhir, aplikasi ini digunakan setidaknya 44.000 pengguna aktif harian.
Jika pemerintah tidak berhenti mengumpulkan data analitik, sebaiknya memperbarui kebijakan privasi mereka untuk menjelaskan bahwa data dikirim ke Telkom Indonesia, data mana/apa saja yang dikirim ke Telkom Indonesia, dan bagaimana serta berapa lama serta untuk apa data itu digunakan oleh Telkom Indonesia
Direktur Jenderal Aplikasi Informatikan (Aptika) Kementerian Komunikasi dan Informatika Semuel Abrijani Pangerapan menegaskan, pada dasarnya, cara kerja aplikasi PeduliLindungi mirip dengan aplikasi-aplikasi yang dikembangkan oleh negara lain.
Meski demikian, ia masih akan memeriksa kepastian apakah benar PeduliLindungi membagikan informasi ke pihak ketiga.
”Begini, PeduliLindungi secara konsep hampir sama dengan yang ada diterapkan di negara lain. Terkait dengan adanya data yang dikirim ke pihak ketiga, kami harus cek lebih dahulu,” kata Semuel.
Berdasarkan penelitian The Citizen Lab, PeduliLindungi memang mengambil jenis data yang lebih banyak dibandingkan aplikasi serupa. Total, ada lima jenis akses atau permission yang diminta oleh PeduliLindungi yakni, lokasi kasar (coarse location), lokasi mendetail (fine location), kamera, akses penyimpanan eksternal, dan akses penyimpanan internal.
Akses penyimpanan eksternal dan internal ini artinya memungkinan aplikasi untuk melihat foto dan dokumen pribadi milik pengguna pada ponsel.
TraceTogether milik Singapura, misalnya, hanya mengambil data geolokasi. Aplikasi Hamagen milik Israel dan MyTrace milik Malaysia hanya meminta empat akses yakni geolokasi, serta penyimpanan (eksternal dan internal). StopCovid dari Perancis mengambil akses geolokasi dan kamera. Bahkan, Corona-Warn dari Jerman hanya mengambil akses kamera.
Persoalan privasi pada aplikasi PeduliLindungi sudah menjadi sorotan sejak aplikasi ini diluncurkan pada awal masa pandemi. Sejumlah kelompok masyarakat sipil seperti Lembaga Studi dan Advokasi Masyarakat (Elsam) dan Southeast Asia Freedom of Expression Network (SAFENet) telah meminta pemerintah untuk mengatur regulasi pengolahan data pengguna hingga penghapusan data ketika pandemi selesai.
Sebuah undang-undang pelindungan data pribadi yang komprehensif semestinya dapat melindungi kepentingan dan hak privasi masyarakat dalam persoalan semacam ini. Namun, hingga kini RUU PDP belum disahkan meski sudah dibahas di DPR sejak diajukan oleh pemerintah pada Januari 2020.