Data Dipakai untuk Kejahatan
JAKARTA, KOMPAS — Data pribadi yang diperjualbelikan secara bebas dapat dijadikan bekal untuk melacak perilaku pemilik data lewat akun media sosial. Tak hanya empuk sebagai sasaran pemasaran produk, pemilik data semakin rawan sebagai target kejahatan.
Dari penelusuran Kompas, sebagian pemilik kartu kredit yang data pribadinya diperjualbelikan dapat dikonfirmasi. Mereka umumnya nasabah dengan batas kredit di atas Rp 50 juta.
Di dalam daftar data pribadi yang diperjualbelikan, mereka dihimpun dalam kelompok nasabah kartu kredit prioritas. Pengelompokan itu membuat mereka menjadi sasaran empuk pemasaran, sekaligus penipuan.
Ayu (48), manajer di salah satu perusahaan di Jakarta Pusat, data pribadinya ditemukan dijual secara daring bersama sekian banyak data pribadi lainnya di Tokopedia dan Bukalapak.
Dari informasi yang dimuat dalam data yang diperjualbelikan tersebut diketahui bahwa itu merupakan data Ayu saat mendaftar sebagai nasabah kartu kredit salah satu bank swasta pada 2002. Ayu mengaku tawaran berbagai macam produk perbankan dan produk lainnya baru mulai gencar masuk ke nomor ponselnya pada 2010.
”Hampir setiap hari ponsel saya masuk (panggilan) telepon dan SMS yang isinya berbagai macam penawaran produk,” ucapnya.
Hal yang mengkhawatirkan dari berbagai macam penawaran itu, menurut Ayu, adalah penawaran airsoft gun yang dikirimkan lewat SMS. Ayu mencurigai pengirim pesan singkat itu mengetahui hobinya menembak.
”Yang saya heran, kok sampai nawarin airsoft gun. Kok bisa tahu saya ini hobi menembak,” ujarnya.
DS (23), tenaga pemasaran lewat hubungan telepon atau telemarketing untuk produk asuransi yang terafiliasi dengan bank di Jakarta, mengungkapkan, data pribadi dibutuhkan untuk memasarkan produk perbankan. Latar belakang pemilik data juga sangat membantu untuk menentukan prioritas pemasaran.
Data pribadi yang diketahui baru memiliki kartu kredit merupakan data bagus. Umumnya pemilik data itu lebih terbuka dan mau menerima promosi produk asuransi. Namun, data bagus seperti itu jumlahnya terbatas.
”Biasanya pihak bank hanya memberikan kami 7-8 data bagus per hari. Sementara data yang enggak bagus itu jumlahnya bisa sampai ratusan, bahkan ribuan,” kata DS, Sabtu (30/3/2019).
Bagi DS, calon nasabah yang masuk dalam kategori data jelek atau tidak bagus umumnya telah memiliki kartu kredit dalam jangka waktu lebih dari 3 tahun. Umumnya mereka juga sudah kerap memperoleh tawaran produk perbankan, termasuk penipuan oleh pihak tertentu yang mengatasnamakan bank. Akibatnya, mereka lebih sering menolak berbagai macam penawaran.
Selama 3 tahun menggeluti profesi tenaga pemasaran telemarketing untuk asuransi di dua bank yang terafiliasi dan satu perusahaan asuransi, DS mengaku tak mengetahui persis asal-usul data pribadi tersebut. DS hanya mengetahui data itu dipasok oleh bank atau perusahaan tempatnya bekerja.
Baca juga: Data Pribadi Dijual Bebas
Saat bekerja di perusahaan asuransi, diakui DS, data pribadi yang dia peroleh diketahui berisi data nasabah dari berbagai macam bank. ”Yang di perusahaan asuransi itu, data (pribadi) yang saya peroleh itu adalah data nasabah dari berbagai macam bank. Tetapi, saya tidak tahu dari mana data itu datang,” katanya.
Kompas pun menemukan data pribadi diperjualbelikan di kalangan tenaga pemasaran perbankan hingga pasar daring, dengan harga Rp 1 per data hingga Rp 20.000 per data. Data itu berisi nama lengkap, nomor ponsel, hingga alamat rumah dan nama ibu. Data itu kemudian dikelompokkan atas beberapa kategori, salah satunya kelompok nasabah kartu kredit prioritas.
Data pribadi diperjualbelikan di kalangan tenaga pemasaran perbankan hingga pasar daring, dengan harga Rp 1 per data hingga Rp 20.000 per data.
Sebagian pemilik kartu kredit yang data pribadinya diperjualbelikan dan dapat dikonfirmasi Kompas umumnya nasabah dengan batas kredit di atas Rp 50 juta. Di dalam daftar data pribadi yang diperjualbelikan, mereka dihimpun dalam kelompok nasabah kartu kredit prioritas. Pengelompokan itu membuat mereka menjadi sasaran empuk pemasaran, sekaligus penipuan.
Harus ditindak
Pakar teknologi informasi Onno W Purbo mengungkapkan, peredaran data pribadi yang memuat nama lengkap dan nomor ponsel harus ditindak tegas oleh aparat penegak hukum. Sebab, cukup dengan nama lengkap dan nomor ponsel, profil pemilik data itu dapat dilacak dan diidentifikasi lewat data sekunder yang terekam di akun media sosialnya.
”Data ini (data pribadi yang diperjualbelikan) menjadi satu referensi. Kemudian bisa mapping (memetakan). Kan, kita bisa cari namanya di Twitter, Facebook, untuk profiling (melacak dan mengidentifikasi profilnya). Jadi, dia (pelaku) mengambil data sekunder lain yang terbuka di internet yang terkait nama-nama (di data pribadi yang diperjualbelikan) itu sehingga bisa profiling,” papar Onno.
Dukungan informasi dari data sekunder itu mempermudah dalam menentukan jenis produk yang cocok dipasarkan kepada pemilik data, termasuk modus kejahatan yang bisa dilakukan. ”Jadi, itu (identifikasi profil atau profiling) dipakai untuk semua, untuk iklan, termasuk untuk kejahatan,” ujar Onno.
Digunakan kejahatan
Steve Martha, Direktur Eksekutif Asosiasi Kartu Kredit Indonesia, mengungkapkan, data pribadi kini tak hanya digunakan untuk memasarkan produk, baik melalui telepon maupun surat elektronik. Hal terburuk, data itu juga digunakan untuk penipuan.
Menurut dia, maraknya kasus penipuan dengan modus meminta one time password (OTP) atau kode rahasia kartu kredit berangkat dari data pribadi yang diperjualbelikan. Dengan menggunakan data pribadi, pelaku kejahatan dapat meyakinkan korban bahwa dia adalah petugas bank.
”Penjahat mencoba mencuri OTP dengan cara menipu nasabah. Seolah-olah petugas bank, dengan membacakan nomor kartu (yang ada di data pribadi yang diperjualbelikan). Akibatnya, korban secara tidak langsung percaya dan mengira bahwa yang menghubungi adalah bank,” tuturnya.
Pada 2016, Subdit Cyber Crime Polda Metro Jaya pun sudah dua kali mengungkap penjualan data pribadi untuk pembobolan kartu kredit. Kerugian yang ditimbulkan dari dua kasus itu mencapai lebih dari Rp 5 miliar.
Baca juga: Dari Alamat hingga Nama Ibu Kandung
Pada 2018, Polda Metro Jaya kembali mengungkap penjualan data pribadi oleh IS, pemilik situs www.temanmarketing.com. Namun, hingga kini, situs itu belum ditutup oleh Kementerian Komunikasi dan Informatika. Data pribadi di situs itu dapat dibeli seharga Rp 350.000 untuk sekitar 21.000 data pribadi.
IS pun dijerat pidana terkait dengan tindakannya menjual data pribadi. IS dikenakan pidana yang sama dengan tiga tersangka pembobol kartu kredit yang menggunakan data pribadi dari www.temanmarketing.com, yakni Pasal 378 Kitab Undang-Undang Hukum Pidana (KUHP) tentang Penipuan.
Kepala Bidang Humas Polda Metro Jaya Komisaris Besar Argo Yuwono menuturkan, sejauh ini, kepolisian dapat mengungkap jual-beli data pribadi berkat laporan masyarakat. Pengungkapan jual-beli data itu hanya dapat dilakukan selama masyarakat aktif melaporkannya ke kepolisian.
”Laporan kasus terkait dengan data pribadi di 2018 ada 17 laporan, sudah diselesaikan 14 kasus. Pada 2019, ada 1 laporan dan saat ini masih dalam proses. Jika ada yang merasa akun dan data pribadinya diambil dan merasa dirugikan, silakan laporan, nanti kami baru lihat unsurnya (pelanggarannya). Kalau selama ini tak dirugikan, kami, kan, tak tahu,” ujar Argo.
Masih lemah
Namun, hingga saat ini, menurut Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar, belum ada sanksi pidana terkait dengan praktik jual-beli data pribadi. Pihak yang dijual data pribadinya pun hanya dapat mengajukan gugatan ganti rugi melalui mekanisme perdata.
Dari segi regulasi, lanjut Wahyudi, sebenarnya ada larangan data pribadi dibagikan tanpa izin pemilik data, yakni diatur dalam Pasal 26 Ayat 1 Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik. Hal itu diatur lebih rinci di dalam Peraturan Pemerintah Nomor 82 Tahun 2012 dan Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016.
”Jika terjadi pemindahtanganan data pribadi tanpa izin, maka yang bisa dilakukan pemilik data hanya gugatan ganti rugi melalui mekanisme perdata, seperti diatur dalam Pasal 26 Ayat 2 UU ITE. Namun, mekanisme perdata ini tak pernah dipergunakan karena sulit sekali (bagi pemilik data) untuk membuktikan adanya kebocoran atau jual-beli data,” ujarnya.
Hilang kepercayaan
Jika jual-beli data ini tak ditangani secara serius, Ketua Indonesian Cyber Security Forum Ardi Sutedja mengingatkan, hal itu dapat berdampak buruk terhadap perlindungan diri pribadi warga sipil. Salah satu dampak terburuk jual-beli data adalah pencurian identitas atau identity theft, yang tujuannya menciptakan diri dengan menggunakan data pribadi orang lain.
”Ketika dia sudah menguasai data pribadi kita, maka dia bisa menciptakan dirinya dengan menggunakan identitas kita. Dia bisa pinjam uang ke bank dengan menggunakan data kita. Kita baru tahu data kita disalahgunakan setelah bank menagih karena kreditnya macet. Yang tanggung jawab, kan, kita,” katanya.
Pada akhirnya, menurut Ardi, jika jual-beli data pribadi itu tak terbendung, maka akan dapat memicu kehilangan kepercayaan publik terhadap sistem keamanan negara, salah satunya terhadap perbankan.
Ardi mencontohkan pencurian data pribadi di dunia yang sudah terbukti adalah di Facebook. Ada 50 juta data akun di media sosial itu dicuri oleh Cambridge Analytica. Data yang dicuri itu meliputi data perilaku pemilik akun yang terekam di Facebook, mulai dari perilaku sehari-hari hingga dukungan politiknya.
”Dampaknya (jual-beli data pribadi) tidak hanya terhadap pribadi, tetapi juga terhadap sistem. Industri bisa kolaps. Kalau ini diketahui dalam skala masif seperti Facebook, maka lihat saja, saham Facebook, kan, melorot,” ujarnya.
Ahli ekonomi keuangan IPMI International Business School, Roy Sembel, pun menyampaikan hal serupa. Menurut dia, jika jual-beli data pribadi khususnya di lingkungan perbankan tak dikendalikan, maka itu dapat berdampak buruk terhadap bisnis perbankan. Apalagi, sekarang data pribadi semakin mudah diperoleh sehingga perlu ada pemahaman bersama terkait dengan dampak buruk dari jual-beli data pribadi ini.
”Ini (jual-beli data pribadi) bisa menyebabkan kepercayaan terhadap perbankan menjadi rendah. Kalau (kepercayaan) jadi rendah, meskipun teknisnya (pengoperasian bank) baik, maka transaksi tak akan jalan,” katanya.
Jika jual-beli data pribadi khususnya di lingkungan perbankan tak dikendalikan, maka itu dapat berdampak buruk terhadap bisnis perbankan.
Direktur Jaringan dan Layanan PT Bank Rakyat Indonesia (Persero) Tbk Osbal Saragi belum meyakini sepenuhnya ada banyak data nasabah kartu kredit yang diperjualbelikan. Namun, jika memang itu terjadi, maka menurut dia hal itu sangat merugikan pihak nasabah dan juga bank.
”Pihak bank dirugikan karena ada potensi customer distrust, yaitu ketidakpercayaan nasabah kepada bank. Ini menimbulkan risiko reputasi bagi bank,” ujarnya melalui pesan di aplikasi Whatsapp.
Chief Executive Officer Citibank NA Indonesia Batara Sianturi pun menyampaikan, jika memang benar data nasabah itu diperjualbelikan, maka itu bisa menjadi masukan bagi regulator, baik Otoritas Jasa Keuangan maupun BI. ”Supaya kita bisa kasih masukan (kepada regulator) supaya antar-bank juga bisa kerja sama lebih baik (mengatasi jual-beli data pribadi),” ujarnya.
Juru Bicara OJK Sekar Putih Djarot mengatakan, berdasarkan aturan di POJK 1/POJK.07/2013 tentang Perlindungan Konsumen di Sektor Jasa Keuangan, pelaku usaha jasa keuangan (PUJK) wajib menjaga data nasabah dan dilarang menyebarkan data nasabah tanpa persetujuan pemilik data.
Selain itu, PUJK harus menertibkan pemanfaatan agen pemasaran produk keuangan, mulai dari pemilihan agen, tidak menggunakan data yang sumbernya tidak jelas, dan dilarang memperjualbelikan data.
Nasabah juga wajib untuk berhati-hati menyebarkan data pribadi, seperti jangan pernah share data, termasuk jika ada pihak yang mengaku pegawai dari bank yang meminta password kartu ATM-nya.
”PUJK dan atau pihak yang terbukti melanggar ketentuan POJK Perlindungan Konsumen dapat dikenakan sanksi administratif antara lain berupa peringatan tertulis, denda, pembatasan kegiatan usaha, pembekuan kegiatan usaha, dan cabut izin usaha,” kata Sekar.
Menurut dia, nasabah yang merasa dirugikan dalam kasus jual-beli data nasabah dapat melaporkan ke OJK via konsumen@ojk.go.id atau melalui Kontak OJK 157 dengan menyampaikan kronologi permasalahannya. Sesuai ketentuannya, dari laporan tersebut, OJK akan melakukan penelusuran kepada bank dan konsumen terkait.
Baca juga : Ganti Nomor Sampai Kena Tipu
Menurut mantan Ketua Komisi Informasi Pusat Periode 2013-2016 Abdulhamid Dipopramono, UU tentang perlindungan data pribadi sudah sangat dibutuhkan saat ini. Dengan maraknya pencurian data pribadi, masyarakat butuh perlindungan dengan payung hukum yang jelas.
”Urgensinya sudah sangat mendesak. Semua orang bisa dan sudah menjadi korban. Sekarang jika terjadi tidak ada mekanisme untuk menghukum pelaku. Ini yang harus diperjelas,” katanya tegas.
Pencurian data ini sudah sangat berbahaya. Sebab, data pribadi sangat mudah tersebar di era sekarang. Mulai dari pendaftaran nomor telepon, kartu kredit, hingga kartu tanda penduduk elektronik yang membutuhkan kelengkapan data pribadi.
Pencurian data ini sudah sangat berbahaya. Sebab, data pribadi sangat mudah tersebar di era sekarang
Selama ini, perlindungan data pribadi hanya berpegangan pada Pasal 17 UU No 14/2008. Pasal itu menegaskan pelarangan memperjualbelikan data pribadi. Akan tetapi, belum ada mekanisme hukum yang mengatur sanksi dan hukuman bagi pelaku.
Abdul menuturkan, Kementerian Komunikasi dan Informatika sebenarnya sudah memiliki draf UU yang mengatur pembaruan perlindungan data pribadi. Draf itu sudah matang sejak tahun lalu.
”Saya sering diundang untuk memberikan masukan. Sudah matang draf itu. Tetapi, tidak tahu mengapa satu tahun belakangan ini belum selesai juga. Seharusnya pemerintah lebih proaktif,” ucapnya.
Dengan adanya UU baru, masyarakat bisa lebih tenang menghadapi pencurian data pribadi. Mereka bisa menuntut pelaku untuk hukuman pidana ataupun penggantian ganti rugi berupa uang.