Menanti Kesungguhan Negara Menambal Kebocoran Data Pribadi
Meskipun telah disetujui sebagai undang-undang, kehadiran UU PDP nantinya masih membutuhkan kepastian terkait beberapa hal. Salah satunya jaminan agar lembaga pelindungan data bisa bersikap independen.
Kehadiran Undang-Undang Pelindungan Data Pribadi tak serta-merta menyelesaikan masalah kebocoran data warga yang kian hari kian masif. Meski sudah mengatur norma yang menuntut pertanggungjawaban baik secara pidana maupun kelalalain pengendali data, ada lubang besar yang masih tersisa dalam memastikan implementasinya. Independensi dan kewenangan lembaga penyelenggara perlindungan data pribadi masih harus terus dikawal.
Hanya berselang sehari setelah Rapat Paripurna Dewan Perwakilan Rakyat menyetujui Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) disahkan menjadi undang-undang, publik kembali dikejutkan dengan dugaan kebocoran data Kepolisian Daerah Metro Jaya. Sebanyak 2,6 juta data personel Polri dipasarkan di situs daring Breached.to seharga 2.000 dollar AS atau setara Rp 30 juta oleh akun peretas bernama Meki.
Dalam unggahannya pada Rabu (21/9/2022) yang masih aktif hingga Jumat (23/9/2022) malam, Meki menyertakan dua dokumen sampel data serta tangkapan layar sejumlah dokumen yang menampilkan tidak hanya nama, pangkat dan nomor registrasi pokok, jabatan, serta nomor ponsel anggota kepolisian. Ada pula cuplikan daftar riwayat hidup serta dokumen penyelenggaraan kegiatan dan pengadaan salah satu unit kerja Polri.
Tak berhenti di situ, Meki bahkan menyentil Polri karena telah menghabiskan uang untuk membangun situs dan server, tetapi tidak memperhatikan kerentanan sistem keamanannya. Ia pun bermaksud untuk menjual data yang valid dengan harga murah karena kepolisian sudah tidak lagi bekerja dengan benar, malah kerap menyulitkan rakyat miskin.
Baca juga : Siapa Pun Rentan Jadi Peretas Sekaligus Korban ”Bjorka”
Kabar kebocoran tersebut langsung disangkal oleh Kepala Divisi Humas Polri Inspektur Jenderal Dedi Prasetyo. Menurut dia, Direktorat Siber Polda Metro Jaya beserta Divisi Teknologi, Informasi, dan Komunikasi (TIK) Polri telah melakukan asesmen terhadap sistem keamanan siber kepolisian. Hasilnya, tidak ditemukan adanya kebocoran. ”Data bocor itu adalah hoaks,” ujarnya dalam jumpa pers, Jumat.
Dedi menambahkan, yang dipasarkan Meki adalah data usang karena sudah sejak 2016. Selain itu, data tidak berasal dari Polda Metro Jaya, tetapi Polda Kalimantan Tengah. Meski demikian, Polda Metro Jaya akan tetap mendalami pelaku di balik akun Meki. Tidak tertutup kemungkinan pula untuk memidanakannya.
Meski disangkal, aksi Meki menambah panjang deret dugaan kebocoran data, terutama di instansi negara. Setidaknya sejak akhir Agustus lalu, di situs yang sama, akun peretas Bjorka juga memasarkan data pribadi secara bertubi-tubi. Mulai dari 1,3 miliar data registrasi kartu SIM yang berasal dari semua operator telekomunikasi, 105 juta data pemilih yang diklaim berasal dari Komisi Pemilihan Umum, data surat yang dikirimkan kepada Presiden, termasuk dari Badan Intelijen Negara (BIN) yang berlabel rahasia, hingga data pribadi sejumlah pejabat publik.
Dalam laporan Global Data Breach Stats (Surfshark) triwulan III-2022, Indonesia berada di peringkat ketiga dunia sebagai negara yang paling banyak mengalami peretasan data. Sepanjang Juli-September 2022, tercatat ada 12,7 juta aksi peretasan yang terjadi.
Baca juga : Gelombang Peretasan Data Pribadi Sinyal untuk Darurat Kedaulatan Siber
Rentetan peristiwa itu direspons pemerintah dengan membentuk satuan tugas (satgas) yang terdiri atas empat instansi, yakni Kementerian Komunikasi dan Informatika, Badan Siber dan Sandi Negara (BSSN), Polri, dan BIN. Satgas yang dimaksud menyelidiki dan mulai menangkap sejumlah pihak yang terkait dengan Bjorka.
Namun, evaluasi sistem keamanan siber sejumlah instansi yang diduga mengalami kebocoran tidak pernah disampaikan. Alih-alih mengevaluasinya, berulang kali Menteri Koordinator Bidang Politik, Hukum, dan Keamanan Mahfud MD justru mengatakan, tidak ada rahasia negara yang bocor akibat rentetan peristiwa itu.
Kebocoran data tidak hanya menyangkut perbuatan melawan hukum, tetapi justru lebih terkait erat dengan kelalaian instansi pengendali data.
Padahal, merujuk investigasi Kompas pada 2021, kebocoran data di situs pemerintah umumnya terjadi karena kelalaian dalam mengelola sistem keamanan siber. Berdasarkan penilaian kerentanan yang dilakukan terhadap 30 situs pemerintah di level kabupaten/kota, provinsi, dan pusat, hanya tiga situs yang tidak terdeteksi kerentanannya. Adapun 27 situs terdeteksi memiliki kerentanan dengan beragam tingkat sekaligus, mulai dari kritis, tinggi, sedang, hingga rendah. Secara umum, tingkat kerentanan terjadi karena tidak ada pembaruan di server web atau menggunakan server web versi lama (Kompas, 29/10/2021).
Pertanggungjawaban kelalaian
Kepala Departemen Hukum, Teknologi Informasi, Komunikasi, dan Kekayaan Intelektual Universitas Padjadjaran Sinta Dewi Rosadi sepakat, kebocoran data tidak hanya menyangkut perbuatan melawan hukum, tetapi justru lebih terkait erat dengan kelalaian instansi pengendali data. Dalam pengusutan kasus, semestinya ada tuntutan terhadap instansi terkait untuk memaparkan langkah mitigasi untuk mencegah kebocoran. Pemaparan itu bisa jadi penilaian untuk menentukan tingkat pertanggungjawaban setiap instansi.
Baca juga : Dari 1.261 Notifikasi Serangan Siber, Hanya 72 Notifikasi yang Direspons
Selama ini pertanggungjawaban atas kelalaian tidak bisa dituntut karena tidak ada payung hukum terkait. Namun, RUU Pelindungan Data Pribadi (PDP) memberikan norma baru mengenai hal itu. Dalam Pasal 39 Ayat (1) RUU PDP disebutkan, pengendali data wajib mencegah data diakses secara tidak sah. Pencegahan dimaksud dilakukan menggunakan sistem keamanan pada sistem elektronik yang andal, aman, dan bertanggung jawab.
Jika pengendali data gagal mencegah akses ilegal terhadap data yang diproses, maka merujuk Pasal 57 Ayat (2) RUU PDP, mereka bisa dikenai sanksi administratif berupa peringatan tertulis, penghentian sementara pemrosesan data, penghapusan atau pemusnahan data, dan denda administratif. Denda yang dimaksud paling tinggi 2 persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran. Adapun penjatuhan sanksi administratif dilakukan oleh lembaga perlindungan data pribadi.
”Jadi, keberadaan lembaga ini sangat penting karena punya kewenangan menentukan denda, termasuk kalau terjadi kegagalan dalam perlindungan atau kebocoran data,” kata Sinta.
Kekuatan lembaga
Penerapan norma yang ada dalam UU PDP memang masih menunggu pembentukan lembaga penyelenggara pelindungan data pribadi. Posisi lembaga yang sangat krusial sebelumnya menjadi perdebatan yang berakhir kebuntuan pembahasan RUU. Selama dua tahun, pemerintah dan DPR tak menghasilkan titik temu karena perbedaan pendapat ihwal kedudukan lembaga. Pemerintah bersikukuh agar lembaga yang dimaksud berada di bawah Kementerian Kominfo, sedangkan DPR ingin lembaga bersifat independen.
Baca juga : Satgas Perlindungan Data Harus Lakukan Investigasi Menyeluruh
Sebagai jalan tengah, pembentuk UU akhirnya sepakat untuk menyerahkan kewenangan pembentukan lembaga kepada presiden. Lembaga yang dibentuk melalui peraturan presiden itu juga akan bertanggung jawab langsung kepada presiden. Dalam Pasal 59 RUU PDP disebutkan 15 kewenangan lembaga, di antaranya terkait perumusan dan penetapan kebijakan, pengawasan atas kepatuhan pengendali data, penjatuhan sanksi administratif, dan membantu penegak hukum dalam menangani tindak pidana data pribadi.
Menurut Sinta, jalan tengah itu melahirkan kekhawatiran tersendiri akan independensi dan otoritasnya saat berhadapan dengan kasus kebocoran yang terjadi di instansi negara. Lembaga perlindungan data pribadi berpotensi terlibat konflik kepentingan dan tidak tegas dalam menjatuhkan sanksi. ”Karena itu, presiden harus memastikan lembaga ini benar-benar kredibel, tidak bisa diintervensi siapa pun, dan diisi para profesional, baik di bidang keamanan siber, hukum, dan industri,” katanya.
Terdapat indikasi ketimpangan sanksi terhadap pengendali data dari pemerintah atau badan publik dengan swasta.
Aturan turunan yang menjabarkan kewenangan lembaga juga harus jelas. Tanpa itu, lembaga bisa terjebak menjadi otoritas yang tak bertaji.
Apalagi, kata Sinta, terdapat indikasi ketimpangan sanksi terhadap pengendali data dari pemerintah atau badan publik dengan swasta. Dalam RUU PDP, badan publik hanya diancam sanksi administratif. Sementara itu, instansi swasta bisa dikenai pidana, bahkan diberikan pasal pemberatan yang terkait dengan perampasan keuntungan, pembekuan usaha, hingga penutupan usaha.
”Pasal 70 itu adalah pasal pemberatan untuk korporasi, sedangkan untuk pemerintah tidak jelas. Oleh karena itu, sekali lagi, peran lembaga nantinya menjadi semakin krusial untuk memberikan sanksi pada pengendali data dari instansi pemerintah,” ujarnya.
Wakil Ketua Komisi I DPR dari Fraksi Partai Keadilan Sejahtera Abdul Kharis Almasyhari mengatakan, menyerahkan pembentukan lembaga ke tangan presiden adalah bentuk kompromi yang harus dilakukan agar RUU PDP bisa segera disahkan. Pihaknya tidak bisa memastikan seperti apa nantinya otoritas yang akan dibentuk oleh presiden. Namun, RUU sudah menjabarkan tugas-tugas dan kewenangan lembaga.
”Kita lihat dulu, kita lihat dulu saja (lembaga yang dibentuk presiden), masak baru disahkan sudah ribut,” ujar Kharis.
Kompas telah menghubungi Deputi V Kantor Staf Presiden Jaleswari Pramodhawardani untuk menanyakan konsep lembaga PDP yang akan dibentuk. Namun, hingga Sabtu (24/9/2022) siang, ia tidak membalas pesan singkat yang dikirimkan.
Penguatan internal
Direktur Layanan Konsultasi Keamanan Siber Binder Dijker Otte (BDO) sekaligus co-founder Indonesia Cyber Security Forum (ICSF), Novel Ariyadi, melihat, RUU PDP didasarkan pada filosofi penting, yakni data pribadi merupakan aset yang dimiliki manusia. Pengendali data yang mendapatkan amanah untuk mengelola dan memproses data itu harus melindunginya secara bertanggung jawab, profesional, dan sesuai norma peraturan yang berlaku. ”Mudah-mudahan ini menjadi solusi atas pandemi kebocoran data pribadi yang sangat memprihatinkan beberapa tahun belakangan ini,” ujar Novel.
Kendati demikian, kebocoran data tak bisa serta-merta tuntas dengan kehadiran RUU PDP. Apalagi setelah disetujui dalam Rapat Paripurna DPR, RUU masih menunggu proses pengundangan hingga wajib untuk diimplementasikan.
Baik selama menunggu prosedur tersebut maupun ke depan, kata Novel, setiap pengendali data harus kembali memperhatikan komitmen pimpinan organisasinya dalam mengelola data warga. Penerapan tata kelola data pribadi juga dibutuhkan untuk memastikan perlindungan data selaras dengan tujuan organisasi dan standar perlindungan yang sudah ditetapkan. ”Komponen tata kelola data pribadi yang harus ada yaitu tata kelola data (data governance) dan keamanan siber,” katanya.
Selain itu, pengendali data harus memiliki program perlindungan data pribadi. Mengacu International Association of Privacy Professionals (IAPP), progam yang dimaksud membutuhkan komponen dokumen pernyataan, kebijakan, standar, panduan, dan kendali teknis. Jika program yang dimaksud sudah dirancang dan ditetapkan, pengendali data perlu mengimplementasikannya ke dalam empat siklus.
Pertama, asesmen kondisi keamanan data pribadi yang dikelolanya. Kedua, menetapkan kendali keamanan siber yang didasarkan pada situasi terkini. Ketiga, monitoring terhadap upaya perlindungan data, termasuk memperbaiki berbagai kekurangan untuk peningkatan.
”Terakhir, tahap respons, yakni untuk memenuhi permintaan subyek data terkait berbagai hak mereka yang dijelaskan dalam Pasal 5-15 RUU PDP. Tak hanya itu, tahap ini juga untuk merespons terjadinya kegagalan perlindungan data, seperti diatur pada Pasal 46 Ayat (1-3),” ujar Novel.