Tantangan Privasi pada Aplikasi Pelacak Orang Terinfeksi Virus Korona
Pemerintah Indonesia mendorong penggunaan aplikasi PeduliLindungi untuk memantau pergerakan pasien Covid-19. Namun, Indonesia masih berhadapan dengan minimnya perlindungan data pribadi.
Akhir Maret 2020, Pemerintah Indonesia meluncurkan aplikasi penelusuran dan pelacakan orang-orang yang terinfeksi Covid-19. Namun, aplikasi PeduliLindungi yang mirip dengan aplikasi TraceTogether di Singapura itu masih menyisakan banyak pertanyaan seputar privasi data pengguna dan efektivitasnya untuk menghentikan pandemi Covid-19.
Peneliti Perkumpulan Lembaga Studi dan Advokasi Masyarakat (Elsam) Alia Yofira Karunian menyebutkan bahwa di Indonesia aplikasi tersebut dibuat Kementerian Komunikasi dan Informatika (Kominfo), Badan Nasional Penanggulangan Bencana (BNPB), dan Kementerian Badan Usaha Milik Negara (BUMN).
Akan tetapi, kewenangan dan peran dari masih-masing lembaga tersebut belum dijelaskan secara gamblang kepada masyarakat umum. Selain itu, tidak disebutkan pula mengenai batasan data apa saja yang dipergunakan. Alia mengungkapkan kekhawatiran itu dalam diskusi daring ”Perlindungan Data Pribadi dalam Aplikasi PeduliLindungi” yang diselenggarakan Perkumpulan Elsam pada Selasa (21/4/2020) malam.
Hadir pula dalam diskusi malam itu peneliti senior The Citizen Lab, bagian dari University of Toronto di Kanada, Irene Poetranto; serta Kepala Subdirektorat Tata Kelola Perlindungan Data Pribadi Ditjen Aplikasi Informatika Kominfo Hendri Sasmita Yuda. Deputi Direktur Riset Elsam Wahyudi Djafar menjadi moderator.
Baca juga: Sistem Karantina untuk Atasi Covid-19 Butuh Pengawasan Ketat
Alia menyebutkan, lembar persetujuan aplikasi PeduliLindungi disebutkan bisa menyimpan nomor telepon dalam format terenkripsi, akses ke Bluetooth, dan akses data lokasi. Hal itu bertujuan memberikan notifikasi bagi pengguna saat ada di zona merah atau keramaian.
Akan tetapi, tutur Alia, saat hendak diunduh, dijelaskan aplikasi itu meminta untuk bisa mengambil foto, mengakses penyimpanan, dan mengakses kontak. Ia menuturkan bahwa dalam hal ini mestinya bisa diidentifikasi apa saja data yang relevan untuk dikumpulkan pemerintah terkait kebutuhan contact tracing. Prinsip minimalisasi data idealnya diadopsi. Pemerintah mestinya hanya boleh mengumpulkan data yang relevan.
Berkaca dari aplikasi TraceTogether di Singapura, data yang dikumpulkan hanya nomor telepon genggam dan identitas-identitas pengguna secara anonim dan acak. Data lokasi dan identitas gawai tidak dikumpulkan aplikasi TraceTogether. Adapun PeduliLindungi, menurut Alia, adalah replika TraceTogether menyusul kode pemrograman yang juga berasal dari pengembang aplikasi itu di Singapura. Ini dimungkinkan karena sifat aplikasi TraceTogether yang open source.
Selain itu, imbuh Alia, pada aplikasi TraceTogether, semua data yang berasal dari identifikasi Bluetooth dikumpulkan secara lokal di perangkat pengguna. Data itu hanya bisa diakses pemerintah saat pengguna yang terinfeksi Covid-19 setuju memberikan data itu kepada Kementerian Kesehatan di Singapura.
”(Aplikasi) Contact tracing (sebagaimana aplikasi PeduliLindungi) harusnya hanya (menelusuri) riwayat perjalanan yang hanya di-share secara anonim dengan menggunakan (teknologi) Bluetooth,” ujar Alia.
Aplikasi tersebut, imbuh Alia, mestinya tidak secara real time mengumpulkan data pengguna. Juga tidak mengumpulkan identas gawai dan penanda waktu saat registrasi.
Ia juga menyebutkan, berdasarkan salah satu riset di Universitas Oxford, Inggris, efektivitas aplikasi tersebut baru akan terjadi tatkala 60 persen dari total populasi menggunakannya. Dalam kasus Indonesia, itu berarti sekitar 164 juta penduduk. Sementara hingga hari itu, jumlah pengunduh aplikasi PeduliLindungi baru sekitar satu juta orang.
Dalam kesempatan terpisah, pakar epidemiologi dan biostatistik Fakultas Kesehatan Masyarakat Universitas Indonesia, Pandu Riono, mengatakan, fase penularan wabah Covid-19 di Indonesia telah memasuki tahapan community transmission. Hal itu berarti penularan sudah terjadi di tingkat masyarakat karena tidak bisa diketahuinya lagi seseorang itu terinfeksi dari siapa.
Pandu menambahkan, kalau penularannya masih di tingkatan kluster, penelusuran dan pelacakan kontak masih memungkinkan. Misalnya saja, seseorang yang terinfeksi dari kluster sebuah pertemuan di Bogor atau dari kluster manapun. Identifikasi terhadap orang-orang yang menjalin kontak dengan orang yang terinfeksi tersebut masih bisa dilakukan tatkala masih berada di fase kluster.
”Sekarang tidak mungkin lagi (dilakukan) identifikasi,” ujar Pandu.
Teknologi pengintaian
Irene mengatakan, penggunaan teknologi pengintaian dalam menghadapi Covid-19 serupa dengan keinginan berbagai pemerintah di dunia dalam menggunakan teknologi sejenis untuk memerangi terorisme. Teknologi pengintaian juga dipakai saat cara-acara besar seperti Olimpiade dan Piala Dunia.
Secara umum, ada kekhawatiran kebijakan pengintaian gampang diciptakan dan ditingkatkan pada saat terjadinya krisis seperti pandemi, serangan terorisme, dan sebagainya. Akan tetapi, pada saat telah ditetapkan, akan sulit dihapuskan.
Problemnya, imbuh Irene, terkait dengan privasi, efektivitas, inklusivitas, dan keamanan siber. Ia mengatakan bahwa secara umum ada kekhawatiran kebijakan pengintaian gampang diciptakan dan ditingkatkan pada saat terjadinya krisis seperti pandemi, serangan terorisme, dan sebagainya. Akan tetapi, pada saat telah ditetapkan, akan sulit dihapuskan.
Terkait dengan penggunaan kebijakan itu menghadapi wabah Covid-19, mestinya ada tenggat waktu kapan kebijakan itu akan pula berakhir. Misalnya, dengan merujuk pada berakhirnya status pandemi yang dinyatakan WHO.
”Tanpa expiry date (data), akan ada resistansi karena akan mungkin disalahgunakan untuk maksud lain,” kata Irene.
Mengenai efektivitas, Irene menyoroti pentingnya fasilitas memadai yang mengikuti kebijakan contact tracing. Mesti ada infrastruktur kesehatan medis dalam skala besar. Ini termasuk kemampuan untuk melakukan tes massal.
Artikel di laman Straitstimes.com (7/4/2020) menyebutkan, hanya 36 orang dari setiap 1 juta orang dites di Indonesia untuk mengetahui infeksi virus korona baru. Sebagai perbandingan, Singapura mengetes 6.666 orang per 1 juta penduduk dan Malaysia 1.605 orang per 1 juta penduduk. Indonesia hanya di atas Etiopia dengan 16 tes per 1 juta penduduk, Bangladesh (18 orang per sejuta penduduk), dan Nigeria (19 orang per 1 juta penduduk).
Baca juga: Korban Jiwa Terkait Covid-19 di Indonesia Jauh Lebih Besar
Sementara terkait inklusivitas, Irene menyoroti fakta kesenjangan digital. Tidak semua oorang memiliki telepon genggam dengan fasilitas Bluetooth. Selain itu, di telepon genggam dengan sistem operasi tertentu juga ada kemungkinan kegagalan fungsi saat terlalu banyak aplikasi terhubung.
Irene mengatakan bahwa solusinya harus dilakukan dengan mendesak pemerintah untuk transparan dan akuntabel. Ini terkait dengan apa pun teknologi dan kebijakan yang diterapkan. Irene menyebutkan bahwa penting sekali bagi masyarakat sipil untuk melihat tindakan apa yang dilakukan pemerintah. Selain itu, memastikan tidak ada diskriminasi yang dilakukan.
Irene juga mengatakan, di Kanada hingga saat ini belum ada aplikasi contact tracing untuk keperluan penanganan wabah Covid-19. Pasalnya, Kanada memiliki instrumen perlindungan data pribadi komprehensif. Ia mengatakan, ada dua undang-undang perlindungan data pribadi yang berlaku di Kanada.
”Yang pertama untuk yang mengatur para pelaku bisnis, dan yang kedua namanya privacy act, itu yang mengatur pemerintah,” ujar Irene.
Menurut dia, aspek perlindungan data pribadi di Kanada cukup ketat. Bahkan, sekalipun sudah cukup banyak permintaan agar Pemerintah Kanada menciptakan atau menggunakan aplikasi contact tracing, sejauh ini proses tersebut masih dilakukan secara manual.
Hal itu dilakukan oleh otoritas kesehatan dan mahasiswa fakultas kedokteran secara manual. Caranya dengan bertanya lewat telepon kepada siapa-siapa saja yang menjalin kontak atau bersentuhan dengan orang-orang yang berdasarkan tes diketahui positif Covid-19.
Sementara tatkala ditanyai kapankah Rancangan Undang-Undang Perlindungan Data Pribadi disahkan, Hendri mengatakan bahwa hal itu tidak dikaitkan kondisi pandemi. Targetnya masih sama karena RUU tersebut merupakan prioritas di tahun 2020 sehingga mesti diselesaikan pada Desember 2020.
Sementara terkait aplikasi PeduliLindungi, dia mengatakan, ketentuan privasinya akan diperbaiki. Hendri mengatakan, dirinya tidak mewakili gugus tugas yang menghasilkan aplikasi tersebut. Akan tetapi, ia menjelaskan bahwa beberapa masukan akan menjadi pertimbangan.
Selain kebijakan privasi, menurut dia, juga mesti ada pedoman pemrosesan pengaturan bagi masing-masing pihak. Kedua hal ini mesti sejalan. Termasuk juga ketika sudah usai masa pandemi terkait dengan penghapusan data.
Pihak-pihak mana saja, imbuh Hendri, yang harus menyimpan dan boleh membuka. Ini dinilai harus muncul dalam perjanjian antarpara pihak yang mungkin disebut sebagai pengendali, prosesor, dan sebagainya.
Ujian kredibilitas
Pendiri dan Ketua Communication Information System Security Research Center Pratama Persadha, saat dihubungi pada Selasa (21/4), mengatakan, pandemi Covid-19 menguji sejauh mana kredibilitas negara menggunakan data warga. Hal ini terkait aplikasi pelacakan dan pemeriksaan rute perjalanan yang cermat untuk mendeteksi keberadaan orang-orang dengan status orang dalam pemantauan, pasien dalam pengawasan, maupun positif Covid-19.
Dia menilai, sejauh ini hampir tidak ada eksploitasi data menyusul input data oleh masyarakat di aplikasi PeduliLindungi. Akan tetapi, memang perlu ditelusuri apakah data tersebut dikumpulkan ke peladen pusat ataukah di lokasi lain. Bila di masa depan data ini akan dipakai kembali, ia mengatakan, mestinya harus ada izin terlebih dahulu dari masyarakat. Dengan pengawasan Komisi Informasi Publik dan DPR, mestinya negara tidak mudah menyalahgunakan data.
Pratama menyebutkan, aplikasi semacam itu kurang efektif membantu melakukan penelusuran. Ia membandingkannya dengan aplikasi pelacakan di China yang berbasis tiket perjalanan. Data tiket disinkronkan dengan data pasien Covid-19. Ini membuat orang-orang bisa mengetahui apakah mereka pernah satu pesawat, satu kereta, atau satu hotel dengan orang yang positif Covid-19.
Ia menyebutkan bahwa di China memang tidak mengenal privasi data. Bahkan, pemerintahnya menggunakan data masyarakat bisa tanpa izin. Menggunakan data masyarakat tanpa izin itu menjadi persoalan di Indonesia dan negara lain. Di Eropa, imbuh Pratama, isu privasi data membuat langkah pelacakan tidak bisa secepat yang dilakukan di China dengan aplikasi dimaksud.
Sosiolog Universitas Indonesia, Imam B Prasodjo, mengatakan perdebatan antara hak-hak individual dan hak-hak kolektif merupakan perdebatan yang cukup lama. Apa yang disebut sebagai hak pribadi juga beragam.
Pertanyaannya adalah seberapa jauh rahasia dan hak-hak pribadi itu bisa tidak dibuka secara keseluruhan atau disalahgunakan untuk keperluan lain. Imam menyebutkan regulator harus memberikan jaminan dan pada saat yang sama memberikan perlindungan bagi orang yang menyerahkan informasi pribadinya.
Imam menambahkan, kesadaran masyarakat Indonesia terkait hak-hak pribadi tidak setinggi masyarakat di dunia Barat. Masyarakat Indonesia berbasis lebih komunal.
”Jadi, collective rights itu dalam keadaan tertentu bisa mendapatkan perhatian lebih utama,” kata Imam.
Di tengah berbagai tantangan itu, harus ada upaya-upaya untuk memproteksi penyalahgunaan data pribadi di tengah relatif permisif dan kurang pedulinya sebagian masyarakat Indonesia terhadap data pribadi.