Pentingnya Menjadi Kritis Saat Belum Ada UU Perlindungan Data Pribadi
Bersikap kritis terhadap setiap pihak yang mengelola data pribadi mendesak untuk dikedepankan. Sikap ini kiranya bisa menumbuhkan kesadaran bahwa kita menaruh harapan besar disahkannya UU Perlindungan Data Pribadi.
JAKARTA, KOMPAS — Setiap tahun kebocoran data pribadi ditemukan pada media sosial, platform digital, institusi pemerintah, dan swasta. Kerusakan yang ditimbulkan dari kebocoran ini pun serius. Dampaknya bisa membahayakan subyek data hingga sulit diketahui di mana rimbanya data itu tersebar.
Bersikap kritis terhadap setiap pihak yang menghimpun dan mengelola data pun mendesak dikedepankan. Adanya sikap ini pula kiranya bisa menumbuhkan kesadaran bersama bahwa kita menaruh harapan besar Rancangan Undang-Undang Perlindungan Data Pribadi yang telah melalui pembahasan di DPR sejak 2019 lalu dapat segera disahkan.
Setidaknya sejak 2018, saat kebocoran jutaan data akun di Facebook terungkap, setiap tahun ada saja pemberitaan terkait kebocoran data pribadi dari media sosial, platform digital, ataupun dari lembaga pemerintah dan swasta. Baru-baru ini diberitakan pula, Clubhouse, media sosial yang belum lama ini disanjung-sanjung warganet sebagai pemecah kejenuhan dalam tradisi berinteraksi di media sosial, data penggunanya dipanen pihak lain.
Baca juga : 1,3 Juta Data Pengguna Clubhouse ”Dipanen”
Jika melihat perilaku warga sehari-hari, rasanya sikap kritis terhadap kerawanan terjadinya kebocoran data pribadi belum sepenuhnya tumbuh. Lihat saja berbagai kemudahan dalam berinteraksi, bertransaksi, termasuk tawaran-tawaran potongan harga, selalu disambut antusias, meskipun harus dipertukarkan dengan data pribadi yang diserahkan kepada penyedia jasa.
Sebagai contoh, dengan dalih memberikan kenyamanan dan keuntungan dalam berbelanja, salah satu pasar swalayan menawarkan keanggotaan secara daring. Pelanggan diminta mendaftar lewat aplikasinya. Tidak ada biaya untuk mendaftar, tetapi pengelola aplikasi secara terbuka meminta persetujuan agar pelanggan bersedia data pribadinya digunakan sehingga pengelola dapat memberikan promosi produk sesuai preferensi pelanggan. Jika tidak menyetujuinya, pelanggan diminta tidak melanjutkan pendaftaran.
Pertanyaannya kemudian, jika permintaan data itu disetujui, apakah data pribadi yang diserahkan hanya digunakan untuk kepentingan promosi pasar swalayan tersebut? Bagaimana kalau data itu juga dioper ke pihak lain untuk kepentingan berbeda? Apakah kita sebagai subyek data bisa mengendalikan data yang telah diserahkan? Tak tersedia jawaban atas pertanyaan-pertanyaan itu di halaman pendaftaran aplikasi.
Ada banyak sekali data pribadi yang diperjualbelikan secara daring ataupun luring. Sebagian besar itu adalah data warga yang mengajukan permohonan untuk memperoleh layanan kartu kredit. Data yang dijual tak hanya memuat nama, nomor ponsel, dan kartu kreditnya.
Lebih ekstrem lagi, hampir dua tahun lalu, salah satu aplikasi layanan transportasi daring pernah menawarkan kemudahan dalam menggunakan dompet digital yang terpasang di aplikasi itu. Syaratnya, pengguna aplikasi harus mengunggah foto wajah sambil menunjukkan halaman KTP yang memuat informasi nomor induk kependudukan (NIK). Padahal, NIK ini merupakan deretan angka yang unik dan tunggal, dan hanya melekat pada seseorang yang terdaftar sebagai penduduk Indonesia.
Dampak serius
Dampak kerusakan dari data yang bocor ini secara nyata dapat kita lihat pada kebocoran data pemegang kartu kredit. Investigasi Kompas pada Mei 2019 lalu telah mengungkap, ada banyak sekali data pribadi yang diperjualbelikan secara daring ataupun luring. Sebagian besar adalah data warga yang mengajukan permohonan untuk memperoleh layanan kartu kredit. Data yang dijual tak hanya memuat nama, nomor ponsel, dan kartu kreditnya. Data itu juga memuat alamat domisili, nama orangtua, hingga ada pula yang memuat saldo tabungan.
Baca juga : Data Pribadi Dijual Bebas
Paling murah data itu ada yang dijual seharga Rp 0,1 hingga Rp 16 per data. Data yang dilengkapi dengan informasi saldo tabungan dari tiap subyek data menjadi data yang paling mahal dijual, setidaknya Rp 1 juta untuk 50 data. Biasanya data ini diperjualbelikan terbatas di kalangan tenaga pemasaran, terutama untuk produk keuangan.
Respons warga yang ditemukan data pribadinya diperjualbelikan itu nyaris seragam. Umumnya mereka kaget. Kemudian mereka baru menyadari bahwa banyaknya tenaga pemasaran menghubungi lewat telepon untuk menawarkan berbagai macam produk jasa keuangan akibat datanya telah dijual bebas.
Data yang telah dijual bebas itu pada akhirnya mustahil untuk ditarik kembali dan direhabilitasi. Sebab, data itu telah diedarkan dari tangan ke tangan, hingga dijual bebas di pasar daring. Pembeli data itu pun beragam, tak terbatas tenaga pemasaran produk keuangan, tetapi juga pelaku kejahatan. Sementara hingga saat ini tidak ada otoritas yang mampu menarik kembali dan merehabilitasi data warga yang telanjur dijual bebas.
Kasus pembobolan rekening yang menimpa jurnalis senior Ilham Bintang merupakan salah satu contoh dari dampak serius kebocoran dan dijual bebasnya data pribadi. Berdasarkan penyidikan Polda Metro Jaya pada Februari 2020 lalu, pembobolan itu berpangkal dari daftar data pribadi yang dimiliki pelaku. Berangkat dari data itu, pelaku dapat menguasai nomor ponsel Ilham dengan mengganti kartu SIM nomor tersebut. Tujuan pelaku menguasai nomor itu agar bisa mengakses rekening bank Ilham melalui mobile banking.
Bahkan, belakangan ada saja warga yang membagikan pengalamannya di medsos bahwa data pribadinya telah digunakan pihak lain untuk pengajuan kredit. Hal itu baru diketahui saat rekam jejak kredit yang menggunakan data pribadinya muncul dalam laporan Otoritas Jasa Keuangan.
Baca juga : Awas, Data Pribadi Disalahgunakan untuk Pengajuan Pinjaman Daring!
Sementara di lembaga pemerintahan, ribuan data pemilih pun bocor dari situs Komisi Pemilihan Umum. Ke mana rimbanya data itu sekarang tersebar, dan dikuasai oleh siapa saja data itu, membutuhkan usaha lebih untuk melacaknya.
Sebaliknya, otoritas dapat langsung menggunakan data kependudukan kita yang tercatat di Direktorat Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri untuk dijadikan dasar pendataan pemilih. Untuk memperoleh hak politik, kita sebagai subyek data pun harus memvalidasi data yang disodorkan petugas dari KPU.
Dari proses penghimpunan data pribadi oleh sektor swasta ataupun pemerintah ini tampak bahwa data yang dihimpun oleh salah satu pihak dapat digunakan pihak lain. Dari penghimpunan data untuk memperoleh layanan kartu kredit, contohnya, terbukti data yang dikumpulkan tersebar pula kepada pihak lain untuk pemasaran produk keuangan lainnya, seperti asuransi.
Data kependudukan pun digunakan untuk kepentingan pendataan pemilih oleh KPU. Padahal, saat menyerahkan data pribadi untuk memperoleh KTP, sama sekali tak tersedia lembar persetujuan penggunaan data tersebut untuk kepentingan lain di kemudian hari. Kita hanya mengetahui saat petugas KPU meminta validasi data sebagai salah satu cara agar kita bisa menggunakan hak pilih.
Demikian pula yang terjadi saat kita menggunakan aplikasi, media sosial, ataupun situs-situs yang memasang mesin pelacak, seperti cookies. Dengan persetujuan atau tanpa persetujuan, entitas di dunia maya ini dapat melacak data pribadi kita, termasuk alamat IP dari komputer atau gawai yang digunakan, dan aktivitas kita di dalamnya. Data itu dijadikan acuan untuk menampilkan iklan produk sesuai preferensi pengguna.
Itu belum termasuk pihak lain yang bisa menambang data pemilik akun di sejumlah media sosial. Kebocoran data pemilik akun Facebook pada 2018 dan Clubhouse belum lama ini, contohnya, itu pun terjadi karena ada pihak lain yang menambang data para pemilik akun di medsos tersebut dengan menggunakan mesin. Data akun itu pun dijual secara gelap.
Menurut layanan gratis pengecekan akun yang mengalami kebocoran, Haveibeenpwned.com, disebutkan ada 509 juta akun Facebook yang bocor. Jumlah ini menempati 20 persen total jumlah akun Facebook. Selain itu, situs ini juga melaporkan kebocoran 13 juta data yang terjadi di Bukalapak pada 2019, kebocoran 1 juta data di Lazada pada 2020, serta kebocoran data di sejumlah platform dan situs lain.
Jerman
Untuk mengendalikan kebocoran data ini, mungkin kita bisa berkaca dan belajar kepada Jerman, yang sejak tahun 1970-an sudah memiliki regulasi perlindungan data pribadi. Regulasi itu tak lahir begitu saja, tetapi melalui tingginya kesadaran publik untuk melindungi data pribadi.
Berangkat dari Negara Bagian Hesse di Jerman Barat, regulasi perlindungan data pribadi itu dilahirkan pada 1970. Lahirnya regulasi itu tak lain adalah sebagai respons terhadap tindakan kepolisian di Jerman Timur yang bertindak sangat mengontrol terhadap warganya.
Dalam salah satu artikel Time edisi 2018 berjudul ”The GDPR is Just the Latest Sample of Europe’s Caution on Privacy Rights. That Outlook Has a Disturbing History” disebutkan, polisi rahasia Jerman Timur yang kala itu dikenal sebagai Stasi memiliki kontrol yang besar terhadap warganya. Mereka sampai bisa menyortir surat warga, menggeledah apartemen warga, termasuk kamar tidur dan kamar mandinya, dan menyiksa warga yang dicurigai. Anggota kepolisian itu juga bisa menyimpan data tentang segala hal, mulai dari teman hingga kebiasaan seksual warganya.
Lahirnya regulasi perlindungan data pribadi di Hesse itu kemudian diikuti oleh UU Perlindungan Data Federal atau Federal Data Protection Act tahun 1977 di Jerman Barat yang dirancang untuk melindungi warga dari penyalahgunaan data warga selama dalam penyimpanan, transmisi, modifikasi, hingga penghapusan. Kemudian pada 1983, Mahkamah Konstitusi Federal menyatakan hak ”penentuan nasib sendiri atas data pribadi” sebagai hak fundamental.
Mereka sampai bisa menyortir surat warga, menggeledah apartemen warga, termasuk kamar tidur dan kamar mandinya, dan menyiksa warga yang dicurigai. Anggota kepolisian itu juga bisa menyimpan data tentang segala hal, mulai dari teman hingga kebiasaan seksual warganya.
Saat Jerman Barat dan Jerman Timur bersatu pada 1990, semua warga Jerman berhak atas hak menentukan nasib atas data pribadinya. Hak tersebut menjadi landasan saat Uni Eropa terbentuk. Hal ini dilengkapi dengan peraturan perlindungan data pribadi di Uni Eropa terkait pemrosesan dan pemindahan data pribadi yang tertuang dalam Directive 95/46/EC pada 1995. Sikap berhati-hati terhadap privasi pun menjadi norma Eropa.
Baca juga : Data Pribadi Bukan Komoditas
Adanya regulasi perlindungan data pribadi ini membuat Pengadilan Uni Eropa pada 2014 mampu memerintahkan Google mematuhi permintaan warga Uni Eropa untuk menghapus data yang tidak memadai dan tidak relevan. Sejak itu, Google telah menerima 655.000 permintaan untuk menghapus sekitar 2,5 juta tautan dan memenuhi 43,3 persen dari permintaan tersebut.
Tahun 2018, masyarakat Uni Eropa kembali memperbarui regulasi perlindungan data pribadi dengan melahirkan Europe Union General Data Protection Regulation atau dikenal dengan EU GDPR. Regulasi sebelumnya, Directive 95/46/EC, pun tidak lagi berlaku.
Pengalaman sejarah
Dalam artikel di Time ini, ahli hukum di Pusat Studi Hukum Eropa di Columbia Law School, Anu Bradford, pun mengingatkan, GDPR bukan sekadar pembaruan atas regulasi sebelumnya. Dalam makna lebih luas, GDPR lahir dari bagaimana data pribadi telah disalahgunakan, tidak hanya hari ini, tetapi juga masa lalu.
Apa yang diungkapkan Bradford rasanya tak berlebihan bahwa sesungguhnya penyalahgunaan data pribadi telah terjadi sejak di masa lalu. Dalam konteks Indonesia, penyalahgunaan data pribadi ini salah satunya melahirkan pelanggaran berat terhadap hak asasi manusia pada 1965.
Pandangan politik seseorang menjadi dasar alasan untuk pihak lain melakukan kekerasan. Bentuknya, penganiayaan dan pembunuhan terhadap warga yang terbukti ataupun sebatas tuduhan berafiliasi terhadap Partai Komunis Indonesia, tanpa melalui mekanisme peradilan.
Di masa sekarang, dengan alasan mengendalikan penyebaran ujaran kebencian dan berita bohong, hadir polisi siber yang mengawasi gerak-gerik dan aktivitas warga di internet.
Meskipun tak sama persis dengan Jerman, penyalahgunaan data pribadi juga pernah kita alami di masa lalu. Permasalahannya, apakah kita akan memetiknya sebagai pelajaran atau tidak.
Terlebih di masa pandemi Covid-19, akselerasi internet terjadi di setiap lini. Platform manajemen media sosial Hootsuite melaporkan, per Januari 2021, tak kurang dari 202 juta orang atau 73 persen penduduk Indonesia menggunakan internet. Jumlah pengguna internet ini naik 15 persen atau bertambah 27 juta pengguna dibandingkan Januari 2020.
Baca juga : Cukup Isi yang Perlu, Hindari Data Pribadi di Media Sosial ”Dipanen”
Mungkin kita bisa memulai dengan mengasah daya kritis dalam merespons setiap tawaran di platform ataupun media sosial yang mengharuskan pendaftaran dengan data pribadi. Mulai dari mengenali cara platform, media sosial, termasuk berbagai situs di daring, mengelola dan mempergunakan data pribadi kita. Hal terpenting pula yang harus dikenali adalah dampak jika data itu bocor dan telanjur diperjualbelikan.
Dengan mengenali proses penghimpunan data dan dampak kebocoran data ini, kita pun akan mengenali dunia gelap di balik kehidupan di dunia daring. Bukan hanya bersorak dan gegap gempita saat media sosial model baru muncul, tetapi juga skeptis dalam merespons kehadirannya. Bukan mustahil, lambat laun kita pun akan menyadari betapa pentingnya kehadiran UU Perlindungan Data Pribadi, dan bersama-sama mendorong agar rancangannya bisa segera disahkan.