Urgensi Membangun Sistem Proteksi Data Pribadi
Isu penyalahgunaan dan perlindungan data pribadi harus menjadi agenda prioritas pemerintah. Sejumlah kasus peretasan dan pembocoran data pribadi memperlihatkan betapa masalah itu sangat mendesak untuk diselesaikan.
Kasus kebocoran data yang terus berulang menandaskan lemahnya perlindungan identitas pribadi yang bersifat rahasia. Urgensi untuk membangun sistem proteksi yang optimal di tataran teknis dan regulasi menjadi hal penting untuk diperhatikan pemangku kebijakan, termasuk dengan mengesahkan Rancangan Undang-Undang Perlindungan Data Pribadi.
Hanya dalam waktu tak lebih dari enam bulan terakhir, beberapa kasus kebocoran dan penyalahgunaan data pribadi terjadi. Modusnya bermacam-macam, mulai dari pembobolan data secara terang-terangan oleh satu pihak hingga peretasan.
Pada Mei 2020, kasus kebocoran data pengguna aplikasi e-dagang besar di Indonesia menggegerkan publik. Tak kurang dari data milik 91 juta pengguna dan 7 juta pedagang e-commerce Tokopedia beredar bebas di dunia maya. Kebocoran data juga menimpa perusahaan penyedia platform e-dagang lainnya, yaitu Bukalapak. Data milik lebih dari 13 juta pengguna Bukalapak dijual di forum peretas (hacker).
Komunitas Konsumen Indonesia sempat menggugat Tokopedia dan Kementerian Komunikasi dan Informatika senilai Rp 100 miliar. Gugatan dilakukan atas dasar pengaduan yang telah terjadi penguasaan data pribadi milik pengguna tanpa persetujuan. Data pribadi yang dimaksud berupa e-mail (surel), tanggal lahir, jenis kelamin, dan nomor telepon.
Tak kurang dari data milik 91 juta pengguna dan 7 juta pedagang e-commerce Tokopedia beredar bebas di dunia maya.
Kasus kebocoran data pribadi pengguna pernah menimpa pula beberapa platform jasa keuangan digital tekfin hingga operator telepon seluler. Terakhir kali ialah peretasan data pribadi milik pendengung politik Denny Siregar yang cukup mendapat sorotan publik.
Kasus itu bermula saat akun Twitter @opposite6891 mengunggah data pribadi milik Denny di media sosial. Data yang disebarluaskan cukup lengkap, mencakup nama, alamat, NIK, KK, IMEI, OS, hingga jenis perangkat yang digunakan Denny.
Dalam waktu singkat, kicauan soal data pribadi direspons ribuan pengguna Twitter. Sebagai pendengung di media sosial, khususnya Twitter, Denny memang sering beradu kicauan dengan berbagai akun lawan politiknya. Diduga kuat, motif pembocoran data bertujuan memberikan ancaman terhadap yang bersangkutan.
Perkembangan terbaru kasus tersebut mengungkap hal cukup mengejutkan, yakni proses penyelidikan berujung pada penangkapan pelaku yang tak lain karyawan operator seluler Telkomsel. Padahal, operator seluler wajib untuk merahasiakan data atau identitas pelanggannya.
Motif pembobolan data pribadi sebenarnya cukup beragam. Ada yang menggunakannya untuk kepentingan bisnis ataupun penipuan. Berdasarkan catatan kasus yang pernah terjadi, pembobolan data pribadi bertujuan, antara lain, membobol kata sandi, telemarketing, penipuan, pembobolan layanan perbankan atau keuangan, pembuatan akun palsu pinjaman online, dan teror keamanan.
Kebocoran data
Saat ini, publik sedang dihadapkan pada situasi yang rentan terhadap kebocoran data. Berdasarkan data dari Global Digital Reports 2020, jumlah pengguna internet di Indonesia mencapai lebih dari 175 juta orang atau tidak kurang dari 64 persen dari jumlah total penduduk yang data pribadi mereka telah terekam secara digital.
Era digitalisasi menjadikan data termasuk yang bersifat pribadi sebagai komponen yang memiliki nilai kapitalisasi tinggi. Data adalah modal utama untuk menganalisis pasar, bisnis, perilaku, dan target politik.
Hal tersebut membuat keberadaan data begitu krusial sehingga harus dijamin keamanan dan penggunaannya. Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tanggal 1 Desember 2016 mendefinisikan, data pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.
Data adalah modal utama untuk menganalisis pasar, bisnis, perilaku, dan target politik.
Perlindungan terhadap data diri menjadi kebutuhan saat data tersebut sudah masuk dalam sistem digital. Shinta Dewi dalam buku CyberLaw: Perlindungan Privasi Atas Informasi Pribadi Dalam E-Commerce Menurut Hukum Internasional menjelaskan, istilah perlindungan data pribadi pertama kali digunakan di Swedia dan Jerman pada 1970. Ketika itu, perlindungan data pribadi melalui undang-undang perlu dibuat demi alasan keamanan data kependudukan yang sudah disimpan menggunakan komputer. Di Indonesia, upaya perlindungan data pribadi ditegakkan lewat sejumlah regulasi. Namun, beberapa aturan yang telah dibuat dinilai belum efektif meredam peretasan dan penyalahgunaan data pribadi.
Ketiadaan peraturan spesifik yang menjadi payung perlindungan data pribadi membuat persoalan ini sulit diselesaikan. Sinkronisasi substansi dan penerapan aturan data pribadi yang tersebar dalam banyak produk hukum justru menghambat upaya perlindungan data pribadi. Kondisi tersebut menjadi wujud kegagapan pemerintah untuk membangun sistem keamanan data pribadi melalui penguatan teknis dan regulasi.
Perlindungan data saat ini dimuat dalam sejumlah aturan pemerintah, mulai dari Undang-Undang Informasi dan Transaksi Elektronik, peraturan pemerintah, hingga peraturan menteri. Pasal 26 UU Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik mengatur bahwa penggunaan data pribadi dalam media elektronik wajib mendapat persetujuan dari pemiliknya. Dalam pasal ini disebutkan pula bahwa data diri merupakan bagian dari hak pribadi (privacy rights) seseorang.
Hak pribadi memiliki tiga prinsip yang harus dipatuhi. Pertama, hak pribadi merupakan hak untuk bebas dari segala macam gangguan. Kedua, hak untuk dapat berkomunikasi dengan orang lain tanpa ada yang mematai-matai. Ketiga, hak untuk mengawasi akses informasi tentang kehidupan dan data pribadi.
Ketiadaan peraturan spesifik yang menjadi payung perlindungan data pribadi membuat persoalan ini sulit diselesaikan.
Adapun Pasal 14 Peraturan Pemerintah No 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik mengatur perlindungan data pribadi dalam pemrosesan di sistem elektronik. Pemrosesan yang dimaksud dalam aturan ini meliputi perolehan dan pengumpulan, pengolahan, penyimpanan, hingga perbaikan atau pembatuan data pribadi.
Dalam setiap tahapannya, pemrosesan data secara elektronik wajib berpegangan pada prinsip perlindungan data pribadi. Seorang pemilik data, misalnya, wajib mengetahui dan menyetujui segala prosedur pengumpulan data dilakukan dengan sah secara hukum. Pada tahap lain, pemrosesan data, aspek legalitas, dan persetujuan dari pemilik data juga menjadi keharusan.
Sebelumnya, pada 2016, untuk menekan kasus penyalahgunaan data pribadi dalam sistem digital, pemerintah menerbitkan Peraturan Menteri Kominfo No 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Di dalamnya diatur upaya perlindungan data pribadi dalam setiap tahap pemrosesan data mulai dari pengumpulan atau perolehan, pengolahan dan analisis, penyimpanan, penyebarluasan, hingga pemusnahan data.
Untuk memperkuat upaya perlindungan, peraturan menteri ini mengatur hak pemilik data dan kewajiban penyelenggara sistem elektronik, proses penyelesaian sengketa, hingga pemberian sanksi. Meskipun cakupan aturan cukup komprehensif, upaya perlindungan data pribadi
tak akan optimal tanpa penindakan tegas bagi pelanggar aturan.
Pemberian sanksi dalam peraturan ini masih bersifat administratif dan belum memadai untuk memberikan efek jera bagi pelanggar perlindungan data pribadi. Sanksi administrasi yang dimaksud, antara lain, peringatan lisan, peringatan tertulis, penghentian sementara kegiatan, dan pengumuman dalam situs daring.
Pada tahun yang sama, Otoritas Jasa Keuangan (OJK) menerbitkan Peraturan OJK Nomor 77/POJK.01/2016 tentang Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi. Aturan ini merupakan respons atas maraknya penyalahgunaan data pribadi dalam transaksi keuangan secara elektronik.
Peraturan OJK itu mewajibkan penyelenggara layanan jasa peminjaman keuangan untuk menjaga kerahasiaan dan melindungi data pribadi pengguna. Penyelenggara jasa keuangan wajib memastikan adanya proses verifikasi, autentifikasi, dan validasi dalam mengakses dan pemanfaatan data pribadi pengguna layanan.
RUU PDP
Melihat kondisi tersebut, tak berlebihan jika dikatakan upaya negara memberikan perlindungan terhadap data pribadi belum optimal. Upaya perlindungan tak bisa dilakukan tanpa penguatan regulasi yang komprehensif.
Pengesahan Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi (PDP) yang hingga kini masih tertunda turut menimbulkan pertanyaan besar bagi keseriusan negara untuk mewujudkan perlindungan data.
Catatan Dewan Teknologi Informasi dan Komunikasi Nasional, aturan untuk rencana pembuatan undang-undang terkait perlindungan data sudah dimulai sejak 2012. Pada saat itu, proses analisis hukum dengan perlindungan data pribadi yang melibatkan para ahli hukum, praktisi IT, hingga YLKI dan LSM telah dimulai.
Setahun setelahnya, sejumlah diskusi publik, seminar, dan pengumpulan substansi sebagai naskah awal akademik juga dilakukan. Tahun 2014, penyusunan naskah akademik selesai dilakukan dan pembahasan RUU PDP terus dilakukan bahkan mengajukannya dalam Prolegnas dan RPJMN 2015-2019.
Tahun 2015, proses pembahasannya sebagai RUU di tingkat legislatif dilakukan dengan membentuk panitia antar-kementerian. Namun, proses pembahasan lanjutan dan harmonisasi draf RUU oleh dewan belum juga berujung pada pengesahan. Hingga 2019, pembahasan kembali menguat dengan dorongan beberapa kasus kebocoran dan penyalahgunaan data pribadi.
Bahkan, ketika itu, Kominfo berjanji akan mendorong pembahasan dan pengesahan RUU PDP pada awal 2020. Namun, hingga satu semester berlalu di 2020, pengesahan RUU PDP belum dilakukan. Mencuatnya rentetan kasus, mulai dari kebocoran data pribadi oleh e-commerce Tokopedia dan Bukalapak, serta layanan tekfin dan kasus terkait Denny Siregar kembali mempertegas sorotan publik pada RUU PDP tersebut.
Hingga saat ini, Komisi I DPR mengaku masih terdapat beberapa hal yang perlu disempurnakan dalam RUU PDP. Hal tersebut sejalan dengan pandangan beberapa ahli yang menilai RUU PDP secara garis besar masih rancu dalam menerjemahkan konteks ancaman sanksi hingga terkait pihak penegak dan pelaksana. Di sejumlah negara yang telah menerapkan aturan perlindungan data pribadi, dibentuk regulator independen untuk melakukan pengawasan dan pengendalian.
Ketegasan penindakan praktik penyalahgunaan dan perlindungan data pribadi sudah semestinya menjadi prioritas pemerintah. Kita berharap kehadiran Undang-Undang PDP nantinya secara tegas memproteksi data pribadi di ruang digital hingga meredam kebocoran dan penyalahgunaan. (LITBANG KOMPAS)