Bocornya data pribadi melalui aplikasi daring dapat dimanfaatkan untuk kepentingan iklan berdasarkan preferensi pengguna. Oleh karena itu, pengusaha harus jadi subyek hukum agar pengelolaan data pribadi bisa dikontrol.
Oleh
Dian Dewi Purnamasari
·5 menit baca
Bocornya data pribadi warga negara secara bertubi-tubi, seolah belum menyadarkan bahwa ada persoalan serius yang harus ditangani. Padahal, di era digitalisasi, data pribadi merupakan komoditas tambang berharga yang bisa dieksploitasi dengan motif ekonomi, politik, hingga serangan ideologi negara. Negara didesak segera hadir melindungi hak privasi warganya.
Baru-baru ini, publik kembali dihebohkan dengan bocornya 1,3 juta data pribadi di aplikasi e-HAC (Electronic Health Alert Card) yang dikelola Kementerian Kesehatan. Aplikasi itu digunakan untuk memantau mobilitas warga selama pandemi Covid-19. Tak berselang lama, nomor induk kependudukan (NIK) Presiden Joko Widodo yang ada di situs Komisi Pemilihan Umum (KPU) dan sertifikat vaksinasinya juga tersebar di dunia maya. Jauh sebelum itu, kebocoran data pribadi juga pernah terjadi di aplikasi Tokopedia, Bukalapak, BPJS Kesehatan, situs KPU RI, dan lain-lain.
Namun, tampaknya komitmen untuk memperbaiki perlindungan data pribadi itu masih setengah hati. Padahal, sejumlah insiden eksploitasi data pribadi yang terjadi di negara-negara maju, berdampak serius. Padahal, mereka sebenarnya telah memiliki regulasi perlindungan privasi yang lebih baik.
Tahun 2018 lalu, misalnya, dunia dihebohkan dengan bocornya 50 juta data pengguna Facebook yang diolah oleh Cambridge Analytica untuk memenangkan Donald Trump dalam pilpres AS 2016. Perusahaan konsultan politik itu juga diduga telah membantu kelompok pro-Brexit sebelum referendum opsi Inggris keluar dari Uni Eropa digelar tahun 2016.
Kekhawatiran itu mengemuka dalam acara bincang-bincang Satu Meja The Forum: ”Data Pribadi Bocor, Salah Siapa?” yang dipandu oleh Wakil Pemimpin Umum Harian Kompas Budiman Tanuredjo, Rabu (8/9/2021) malam. Narasumber yang hadir adalah Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika Samuel A Pangarepan, anggota Komisi I DPR dari Fraksi Golkar Christina Aryani, Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar, dan pakar keamanan siber Alfons Tanujaya.
Perlindungan lemah
Alfons menyebutkan, bocornya data pribadi secara bertubi-tubi menunjukkan bahwa pengelolaan data memang kurang baik. Sebab, tidak semua data yang bocor itu diambil dengan cara meretas. Ada data pribadi seperti kartu tanda penduduk (KTP) yang ditampilkan begitu saja di situs pemerintah. Padahal, menurut dia, data pribadi adalah amanah yang harus dijaga sebaik-baiknya. Sebab, saat terjadi kebocoran, pihak yang paling dirugikan bukanlah pengelola data, tetapi masyarakat.
”Bocornya sertifikat vaksinasi presiden kemarin karena pemilihan kebijakan kredensial yang salah. Untuk menampilkan sertifikat vaksin, yang diperlukan hanya NIK dan nama lengkap. Padahal NIK dan nama lengkap orang Indonesia sudah bocor di mana-mana sehingga data pribadi itu bisa ditampilkan dengan mudah oleh orang yang tidak berhak,” terang Alfons.
Masih ada kekosongan hukum sehingga pengelola data pribadi tidak memiliki kewajiban mengikat untuk menjaga keamanan data yang dikelola.
Christina Aryani mengakui bahwa memang ada sejumlah celah dalam konteks perlindungan data pribadi masyarakat. Masih ada kekosongan hukum sehingga pengelola data pribadi tidak memiliki kewajiban mengikat untuk menjaga keamanan data yang dikelola.
Selama ini, hanya ada peraturan di bawah UU yang mengatur soal kewajiban setiap penyelenggara sistem elektronik untuk menjaga sistem keamanan mereka. Namun, karena hanya aturan di bawah UU, sanksi ketika tidak dijalankan hanya bersifat administratif. Ketiadaan regulasi yang mengikat ini, diperparah dengan standar sistem keamanan digital yang lemah di setiap pengelola data. Baik swasta maupun pemerintah.
”Frekuensi bocornya data ini semakin sering terjadi dan membuat kami bertanya-tanya. Apakah prosedur pengamanan sudah dijalankan dengan penuh kesadaran atau mumpuni, atau masih asal-asalan?” kata Christina.
Wahyudi Djafar mengungkapkan, untuk menghadirkan perlindungan privasi yang handal ada empat aspek yang harus dipenuhi oleh pemerintah. Pertama adalah melindungi privasi dengan hukum (privacy by law), mendesain sistem keamanan digital (privasi by design), meningkatkan kesadaran masyarakat terhadap privasi data (privacy by norm), hingga mengatur regulasi untuk pasar (privacy by market). Permasalahannya di Indonesia, keempat aspek ini semuanya lemah. Padahal, industri telah banyak mengelola data pribadi masyarakat yang tidak jelas pertanggungjawabannya.
”Padahal bocornya data pribadi melalui bisnis aplikasi daring itu dapat dimanfaatkan untuk rekayasa sosial misalnya kepentingan iklan berdasarkan preferensi pengguna. Oleh karena itu, pengusaha harus menjadi subyek hukum agar pengelolaan data pribadi itu bisa dikontrol,” terang Wahyudi.
Studi Elsam juga menyebutkan bahwa ada dugaan eksploitasi data pribadi untuk keperluan kampanye pemilu 2019 dan pilkada 2020. Semakin lama, penggunaan data pribadi untuk kepentingan politik diprediksi akan semakin membesar.
Menurut Wahyudi, dampak kebocoran data pribadi saat ini sebenarnya sudah tidak terbatas pada kerugian ekonomi misalnya pengurasan rekening dan penyalahgunaan kartu kredit seseorang. Setelah program vaksinasi Covid-19, data kesehatan seseorang bisa disalahgunakan, misalnya untuk mengambil jatah vaksin orang lain.
Studi Elsam juga menyebutkan bahwa ada dugaan eksploitasi data pribadi untuk keperluan kampanye Pemilu 2019 dan Pilkada 2020. Semakin lama, penggunaan data pribadi untuk kepentingan politik diprediksi akan semakin membesar. Sehingga, regulasi untuk mengatur pengelolaan data pribadi seperti Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) sangat mendesak untuk segera disahkan.
Akselerasi pembahasan
Samuel Pangarepan mengatakan, setiap terjadi kebocoran data pribadi, pemerintah selalu melakukan investigasi. Investigasi dilakukan untuk melacak di mana kelemahan sehingga terjadi kebocoran. Apakah dari sistem keamanan yang kurang andal sehingga rentan terserang virus. Atau dari pemilik data sendiri yang lalai menjaga data pribadinya. Selain menginvestigasi, Kemenkominfo juga melakukan pengawasan kepada para pengelola data pribadi. Hasil investigasi Kemenkominfo akan dikirimkan kepada pengelola data agar memperbaiki kekurangan.
”Permasalahannya, aturan yang ada sekarang belum memberikan sanksi hukum, tetapi baru administratif. Sehingga tidak ada aturan hukum mengikat kepada para pengelola data,” kata Samuel.
DPR dan pemerintah juga sepakat, dengan situasi kebocoran data yang semakin marak, kebutuhan terhadap RUU PDP semakin meningkat. Sebab, dengan RUU PDP pengelola data akan memiliki kewajiban untuk menjaga data pribadi agar tidak mudah bocor. Selain itu, pemilik data pribadi juga memiliki hak untuk menyetujui data pribadi mana saja yang bisa dieksploitasi untuk kepentingan lain. Jika tak patuh, sanksi hukum baik denda maupun pidana pun menanti.
”RUU PDP telah menjadi prioritas dari pemerintah dan DPR untuk segera diselesaikan. Walaupun masih ada beberapa hal yang deadlock (buntu) seperti badan otoritas pengawas independen, kami berharap dapat diselesaikan dengan duduk bersama,” kata Samuel.
Christina Aryani membenarkan bahwa komitmen DPR dan pemerintah sama, yaitu segera menyelesaikan pembahasan dan mengesahkan RUU PDP. Daftar Inventarisasi Masalah (DIM) RUU PDP sudah selesai sekitar 40 persen pembahasan sejak Panitia Kerja (Panja) dibentuk September 2020. Dia berharap kebuntuan pembahasan dapat segera diselesaikan sehingga RUU PDP dapat segera disahkan.
Data termasuk data pribadi kini disebut sebagai uranium yang diperebutkan untuk ditambang demi kepentingan tertentu. Analogi itu dicetuskan oleh Peter Lewis, Direktur Pusat The Australia Institute’s Centre for Responsible Technology. Alasannya, karena informasi pribadi dianggap mudah dipegang, berbahaya untuk digunakan, dan sulit dihapuskan secara aman. Pembuat undang-undang didesak untuk segera menelurkan regulasi yang melindungi hak privasi warga, sebagaimana amanat konstitusi.