Kebutuhan Berdiri di Tengah Melindungi Data Warga dan Negara

Mengingat kebocoran data telah terjadi di institusi swasta dan pemerintah tentu diharapkan hadir otoritas pengawas perlindungan data yang dapat berdiri di tengah. Otoritas yang dapat mengawasi pengelolaan data di institusi swasta dan pemerintah, yang dapat bersikap adil demi kepentingan pemenuhan hak warga negara atas perlindungan data pribadinya. Selain itu, otoritas yang dapat mengawasi data strategis negara dari praktik eksploitasi pihak lain dan spionase pihak asing yang bisa mengancam keamanan dan persatuan bangsa dan negara.

Perlu diakui, belum semua warga memiliki kesadaran tinggi untuk melindungi data pribadinya. Demi mendapatkan bonus belanja, contohnya, tak sedikit dari kita rela mengisi formulir yang mensyaratkan nama lengkap dan nomor ponsel. Begitu saja data itu diberikan, tanpa bertanya lebih jauh data itu akan digunakan untuk apa saja.

Seorang kawan, pada 2019, cukup tersentak saat menyaksikan nama, nomor ponsel, alamat rumah, hingga nama ibu kandungnya menjadi salah satu dari 1.000-an data yang diperjualbelikan di pasar daring. Data yang khas dihimpun oleh tenaga pemasaran untuk produk keuangan ini dipasarkan dengan nama database. Melihat informasi data yang dijual itu, kawan ini mengaku pernah menyerahkan informasi selengkap pada data tersebut untuk memperoleh layanan kredit.

Beberapa tahun ini berita kebocoran pada data yang dikelola institusi swasta dan pemerintah sudah akrab di telinga kita. Badan Siber dan Sandi Negara (BSSN) menemukan 1,6 miliar lalu lintas data anomali sebagai indikasi peretasan di dalam negeri selama 2021. Jumlah ini tertinggi selama tiga tahun terakhir. Praktik peretasan itu di antaranya menambang data dan menjual data tersebut di pasar gelap daring.

Baca juga: Peretas Mengintai Data Strategis dan Pejabat Negara

Pada 2021, salah satunya terdapat 279 juta data pribadi peserta Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan yang bocor dan hingga kini belum terungkap tersangkanya. BPJS Kesehatan selaku pengelola data juga belum terdengar dikenakan sanksi. Jutaan data itu dijual di akun Kotz di Raid Forums. Di awal 2022, ditemukan lagi 6 juta data pasien dengan keterangan dokumen Centralized Server of Ministry of Health of Indonesia yang berisi informasi terkait dengan nama, tanggal lahir, diagnosis, hingga pemeriksaan klinis dijual di forum daring Raid Forums.

Sebelumnya, selama 2019-2020, kebocoran data kerap kali diwartakan terjadi pada aplikasi belanja daring dan institusi swasta lainnya. Data yang bocor itu baik data pribadi pengguna aplikasi maupun pemilik gerai di pasar daring.

Kebocoran data ini biasanya baru terungkap jika ada laporan masyarakat di media sosial. Data yang bocor itu umumnya dijual di pasar gelap daring. Kini, sudah tidak terhitung jumlah data yang diperjualbelikan.

BSSN juga menemukan terdapat 1,6 juta ancaman serangan terus-menerus tingkat lanjut (advanced persistent threat/APT) selama 2021. Beberapa aktivitas terindikasi dari sejumlah negara tetangga di Asia Tenggara yang kerap kali berkaitan dengan spionase, mengincar rencana strategis dan kebijakan negara. Hal itu termasuk melakukan identifikasi data dan perilaku atau profiling terhadap pejabat negara.

Pada pertengahan September 2021, media asing mengabarkan bahwa 10 jaringan internal lembaga, termasuk Badan Intelijen Negara (BIN), telah diretas. Peretasan ini dikaitkan dengan Mustang Panda, sekelompok peretas dari China yang dikenal dengan aksi spionase dan menargetkan negara-negara di kawasan Asia Tenggara.

Tiadanya lembaga yang memiliki otoritas untuk mengawasi pengelolaan data di tiap institusi menyebabkan belum ada tindakan tegas untuk mengendalikan kebocoran data. Dari berbagai kasus kebocoran data yang ada, pelakunya belum ada yang diungkap. Pengelola data pun belum ada yang dikenakan sanksi. Sanksi terhadap pengelola juga penting diperhatikan karena kebocoran data sangat terkait dengan sistem keamanan pada pengelolaan dan penyimpanan data di daring.

Pengungkapan di hilir

Penegakan hukum pada umumnya baru dilakukan di hilir. Salah satunya kasus pembajakan mobile banking milik wartawan senior Ilham Bintang. Pelaku dapat menguras saldo di rekening mobile banking itu hingga Rp 300 juta. Pada kasus ini terungkap bahwa para pelaku yang berjumlah delapan orang mengakses data pribadi Ilham secara ilegal. Modusnya dengan mengganti kartu SIM telepon seluler korban di gerai penyedia layanan telekomunikasi saat korban menonaktifkan kartu ponselnya.

Para pelaku itu bisa memperoleh data Ilham dari daftar data pribadi nasabah layanan keuangan. Pada 2019, Kompas pun bisa memperoleh daftar data tersebut dengan mudah dari pasar daring dan tenaga pemasaran. Kumpulan data pribadi itu memuat informasi nama, nomor kartu kredit, nomor ponsel, hingga alamat.

Baca juga: Foto Dibajak untuk Menipu, hingga Tiba-tiba Ditagih Membayar Utang

Lama sebelum DPR membahas RUU PDP, Uni Eropa telah memiliki Regulasi Perlindungan Data Uni Eropa atau European Union General Data Protection Regulation (EU GDPR). Regulasi itu mengharuskan pembentukan otoritas pengawas independen untuk perlindungan data pribadi.

Berdasarkan kajian Lembaga Studi dan Advokasi Masyarakat (Elsam), EU GDPR menekankan independensi otoritas pengawas (supervisory authority) agar lembaga otoritas ini dapat melaksanakan tugas-tugas dan menjalankan kekuasaan mereka dengan kemandirian penuh. Hal itu merupakan komponen penting dari perlindungan orang perorangan sehubungan dengan pemrosesan data pribadi mereka.

Oleh karena itu, negara-negara di Uni Eropa wajib menetapkan satu atau lebih otoritas publik yang independen sebagai otoritas pengawas yang bertanggung jawab untuk memantau penerapan hukum perlindungan data, untuk melindungi hak-hak dasar dan kebebasan orang perorangan dalam kaitannya dengan pemrosesan dan untuk memfasilitasi transfer data lintas batas (cross border data flows). Otoritas pengawas harus berkontribusi pada penerapan yang konsisten dari peraturan perlindungan data.

Negara tetangga Filipina juga sudah lebih dahulu memiliki Komisi Privasi Nasional (National Privacy Commission) yang secara eksplisit disebut independen. Komisi ini memiliki tugas mengelola dan mengimplementasikan ketentuan UU Privasi Data dan untuk memantau dan memastikan kepatuhan negara dengan standar internasional yang ditetapkan untuk perlindungan data.

Lain halnya UU Perlindungan Data Pribadi milik Malaysia, hanya mengawasi sektor swasta. Badan-badan pemerintah Malaysia tidak tunduk pada undang-undang itu. Namun, undang-undang ini tetap membentuk sebuah otoritas perlindungan data. Pengangkatan dan pertanggungjawaban komisionernya ditunjuk, dilantik, dan bertanggung jawab kepada menteri. Selain itu, menteri dapat memberikan perintah umum yang konsisten dengan ketentuan undang-undang sehubungan dengan pelaksanaan fungsi dan wewenang komisioner.

Tidak memihak

Beberapa tahun sebelum RUU PDP dibahas di DPR, Badan Pembinaan Hukum Nasional (BPHN), Kementerian Hukum dan Hak Asasi Manusia telah melakukan kajian akademik RUU PDP pada 2016-2017. Badan ini melihat, ketidakberpihakan komisi pengawas untuk perlindungan data pribadi adalah faktor penting. Hal ini mengingat hanya badan tersebut yang benar-benar berada di tengah-tengah industri dan pemerintah. Peran badan pengawas akan sangat tergantung dari kemandirian dan ketidakberpihakan dan keefektifannya dalam bekerja.

Jerman, misalnya, Federal Commissioner for Data Protection and Freedom of Information (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit/BfDI) secara sukses memonitor pematuhan terhadap perlindungan data, baik oleh badan publik maupun juga penyedia jasa pos dan telekomunikasi.

Baca juga: Dahulukan Kepentingan Rakyat dalam Pembahasan RUU Perlindungan Data Pribadi

Lebih jauh, Badan Pembinaan Hukum Nasional (BPHN) menilai RUU PDP tidak secara signifikan akan menimbulkan beban terhadap keuangan negara, terutama untuk pembentukan komisi pengawas untuk perlindungan data pribadi atau yang kini dikenal sebagai otoritas pengawas perlindungan data. Namun, potensi beban ini dapat dihilangkan dengan mengintegrasikan Komisi PDP pada komisi yang telah ada, dalam hal ini Komisi Informasi. Beban keuangan negara hanya muncul dalam hal penyesuaian sistem informasi yang ada di instansi atau lembaga pemerintah.

Menurut penilaian BPHN, RUU PDP akan membentuk tata kelola perlindungan data pribadi penduduk dan sekaligus melindungi hak-hak dasar warga negara. Sebagai contoh, UU No 24 Tahun 2013 tentang Administrasi Kependudukan merupakan kebijakan pemerintah untuk menghimpun seluruh data dan informasi setiap penduduk dengan memberikan nomor induk kependudukan sekaligus diberikan perlindungan atas data dan informasi pribadi. Namun, tidak ada penjabaran lebih lanjut terkait dengan perlindungan data yang dijanjikan.

Demikian pula berbagai peraturan perundang-undangan yang memberikan hak kepada pengelola data untuk melakukan penghimpunan data dan informasi penduduk, tidak diberikan pengaturan yang mewajibkan pengelola untuk melindungi data dan informasi pelanggan yang telah diserahkannya.

Sementara itu, RUU PDP belum secara eksplisit menyebutkan pihak yang akan bertugas sebagai pengawas perlindungan data. Hanya pada Pasal 58 Ayat 1 dalam RUU itu disebutkan bahwa pemerintah berperan dalam mewujudkan penyelenggaraan perlindungan data pribadi sesuai dengan ketentuan undang-undang ini. Selanjutnya pada Ayat 2, penyelenggaraan pelindungan data pribadi sebagaimana dimaksud pada Ayat (1) dilaksanakan oleh menteri. Ayat 3, ketentuan mengenai penyelenggaraan perlindungan data pribadi sebagaimana dimaksud pada Ayat (2) diatur dalam peraturan pemerintah.

Hanya dari Rapat Kerja RUU PDP, pemerintah melalui Kementerian Komunikasi dan Informatika menyampaikan keinginannya agar otoritas pengawas perlindungan data berada di bawahnya. Sebaliknya, DPR, senafas dengan kajian BPHN, menginginkan agar otoritas pengawas perlindungan data itu berdiri independen, tidak memihak.

Karena pemerintah bergeming, DPR kini mencari jalan tengah agar RUU PDP dapat segera disahkan. Jalan tengah itu adalah menawarkan opsi agar otoritas itu dapat diserahkan kepada BSSN yang selama ini mengawasi lalu lintas data sehingga berada langsung di bawah Presiden. Namun, tawaran itu belum disampaikan secara formal di rapat Panitia Kerja RUU PDP. Adapun pembahasan RUU PDP di Masa Persidangan IV 2021-2022 saat ini belum dilanjutkan.

Perlindungan optimal

Sejauh ini pengaturan privasi dan perlindungan data pribadi di Indonesia tidak dapat ditemukan dalam satu peraturan. Menurut kajian BPHN, para sarjana di Indonesia selalu merujuk pada Pasal 28 G Undang-Undang Dasar Negara Republik Indonesia 1945 sebagai pedoman untuk membuat peraturan yang lebih khusus tentang perlindungan data pribadi. Pasal itu menyatakan, setiap orang berhak atas perlindungan atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.

Berdasarkan ketentuan tersebut, UUD 1945 tidak secara eksplisit menyebut mengenai privasi dan perlindungan data pribadi. Ketentuan ini hanya menjelaskan perlindungan hak asasi manusia. Adapun pengaturan privasi tersebar di lebih dari 10 undang-undang, di antaranya UU No 10/1998 tentang Perbankan, UU No 36/1999 tentang Telekomunikasi, dan UU No 39/1999 tentang Hak Asasi Manusia. Karena itu, dibutuhkan hadirnya UU PDP sehingga dapat memberikan perlindungan optimal terhadap data pribadi dan privasi warga.

Mengingat sudah banyak data pribadi warga yang dijual bebas di pasar gelap internet, sudah sepatutnya pembahasan RUU PDP dapat segera dituntaskan. Alih-alih mengedepankan ego sektoral, jaminan perlindungan yang maksimal terhadap data pribadi warga, termasuk data strategis negara, kiranya dapat diutamakan.