Otoritas melarang penyelenggara aplikasi mengakses data pribadi tanpa persetujuan. Perlindungan mesti dimulai dari konsumen.
Pada Juli 2018, jagat media sosial diramaikan oleh keluhan salah seorang warganet atas penagihan pinjaman Rupiah Plus yang dinilai menyalahgunakan data pribadi nasabah. Tim penagih dari penyedia aplikasi pinjam-meminjam uang berbasis teknologi informasi itu dianggap meneror dengan menghubungi sejumlah nama yang tersimpan di daftar kontak ponsel pintar nasabah. Tujuannya agar nama-nama di daftar kontak itu mau membantu melunasi keterlambatan bayar nasabah. Kenyataannya, tidak semua kontak yang dihubungi mengetahui pinjaman itu.
Kasus Rupiah Plus pun terungkap. Perusahaan sempat mendapat teguran dan sanksi administratif dari Otoritas Jasa Keuangan (OJK). Asosiasi Fintech Indonesia (Aftech) menyikapi perkara itu dengan menerbitkan Pedoman Perilaku Pemberian Layanan Pinjam-Meminjam Uang Berbasis Teknologi Informasi Secara Bertanggung Jawab. Di pokok ketiga, penerapan prinsip itikad baik, Aftech tegas menolak praktik pengumpulan, penyimpanan, dan penggunaan data pribadi yang dilakukan tanpa persetujuan nasabah.
Lima bulan kemudian, Lembaga Bantuan Hukum (LBH) Jakarta mengeluarkan pernyataan telah menerima pengaduan buruknya layanan pinjam-meminjam uang berbasis teknologi informasi dari 283 orang. Salah seorang pengadu di antaranya mengaku telat bayar dan tim penagih sampai menghubungi daftar kontak. Perkara Rupiah Plus kembali terulang.
Dalam keterangan pers tanggal 12 Desember 2018, OJK menegaskan telah melarang penyelenggara aplikasi legal mengakses daftar kontak seluler, berkas gambar, dan informasi pribadi dari ponsel pintar nasabah. Penyelenggara pun wajib memenuhi segala ketentuan Peraturan OJK (POJK) Nomor 77/2016 dan POJK Nomor 18/2018 tentang Perlindungan Konsumen Sektor Jasa Keuangan.
Menurut sejumlah sumber, data pribadi nasabah yang tersimpan di ponsel pintar dipakai sebagai bahan mengukur tingkat kelayakan kredit yang akan menentukan besaran bunga dan risiko. Oleh karena itu, waktu pemrosesan pengajuan pinjaman begitu cepat. Terkesan mudah sehingga memikat masyarakat untuk mencoba. Tidak ada klaim kebenaran sampai sejauh ini.
Baca ketentuan
Ketika jadi pengguna aplikasi di ponsel pintar, konsumen dibawa pada kenyataan bahwa sejatinya harus mengikuti segala ketentuan yang diajukan pemilik aplikasi, bahkan sejak menginstal. Agar bisa segera memakai, pengelola aplikasi menyodorkan pertanyaan yang mengarahkan sehingga konsumen cuma dapat mengiyakan. Konsumen pun malah hampir tidak pernah membaca informasi syarat dan ketentuan. Kasus di industri teknologi finansial peminjaman belakangan, jika direnungkan, membawa pada realitas kelemahan tersebut.
Kekurangperhatian konsumen terhadap perlindungan data pribadi atau ancaman kejahatan siber terjadi di banyak negara, di negara maju sekalipun. Studi Cyber Aware Perception Gap di Inggris menyebutkan, 72 persen pelanggan percaya bahwa perusahaan bertanggung jawab menyediakan alat untuk melindungi privasi, keamanan, dan reputasi mereka. Karyawan bisnis juga meyakini bahwa keamanan siber adalah tanggung jawab organisasi.
Berbagai media massa di barat ambil bagian meningkatkan literasi digital kepada konsumen. The Washington Post, misalnya. Melalui artikel Hands Off My Data! 15 Default Privacy Settings You Should Change Right Now, kolumnis teknologi Geoffrey A Fowler mengajak pembaca (konsumen) mengulik makna memasang status “default” di penjelasan syarat dan ketentuan aplikasi. Dia menyarankan agar konsumen mengubah status “default” sehingga bisa menghentikan pemilik aplikasi mengumpulkan begitu banyak data konsumen.
Direktur Kebijakan Digital Dewan Konsumen Norwegia Finn Lützow-Holm Myrstad, saat berbicara di panggung TED akhir Oktober 2018 menyebutkan, konsumen rata-rata harus membaca lebih dari 250.000 kata syarat dan ketentuan aplikasi. Selain itu, ruang lingkupnya panjang dan kalimatnya rumit. Bagi kebanyakan orang, ini adalah tugas yang mustahil. Akibatnya, konsumen memberikan kebebasan kepada aplikasi seluler untuk melakukan hampir apa pun yang diinginkan.
Pada Maret 2016, Dewan Konsumen Norwegia merilis laporan studi berjudul Appfail:Threats to Consumer in Mobile Apps. Dewan meriset sekitar 20 aplikasi mobile, baik buatan lokal Norwegia maupun raksasa teknologi global dengan tujuan mengetahui sejauh mana aplikasi menjunjung kewajiban menjaga privasi dan hak-hak konsumen.
Temuannya mengejutkan, yaitu beberapa aplikasi memperlakukan data pribadi sebagai nonpribadi. Akibatnya, ada kemungkinan peningkatan data pribadi yang sedang diproses dan digunakan bertentangan dengan tuntutan peraturan privasi. Delapan aplikasi membatasi kemampuan pengguna untuk menarik persetujuan untuk memproses data pribadi dengan tidak mengizinkan penghapusan akun.
Sejak Mei 2018, Uni Eropa memberlakukan Peraturan Perlindungan Data Umum Eropa (GDPR) yang semangatnya sama. Perusahaan aplikasi yang memproses data pribadi harus memastikan proses itu sah secara hukum, adil, dan transparan. Perusahaan baru bisa memproses jika ada persetujuan konsumen. Dengan demikian, tidak akan lagi dapat meminta konsumen mencentang kotak setelah serangkaian syarat dan ketentuan panjang yang kebanyakan orang tidak pernah baca.
Artinya, negara punya peran kuat melindungi konsumen. Dengan hasil studi tahun 2016 itu, Norwegia terus mengkampanyekan aplikasi dengan model bisnis lebih transparan dan ramah ke konsumen. Norwegia mendorong perusahaan aplikasi membuat info syarat dan ketentuan lebih supel ke pengguna. Indonesia bisa mencontohnya.
Ambisi melindungi data pribadi konsumen tidak sekadar melalui ketentuan klasifikasi data serta penempatan pusat data. Hal mendesak adalah menguatkan posisi konsumen untuk menentukan urusan pengumpulan, penyimpanan, dan pemprosesan data di berbagai sektor industri.
Kampanye literasi digital dapat dimulai dari hal sederhana, yakni penyadaran posisi data pribadi konsumen sendiri. Sekarang tak cuma perusahaan aplikasi. Korporasi di industri tradisional pun mengincar data privasi kita.