Regulasi yang Tegas Dibutuhkan
JAKARTA, KOMPAS — Jual-beli data pribadi diduga tidak hanya dilakukan tenaga pemasaran produk perbankan dan asuransi. Sektor ritel kini juga secara masif menghimpun data pribadi konsumennya. Padahal, dari segi regulasi, belum ada perundang-undangan yang benar-benar dapat menjamin keamanan data pribadi.
Pendaftaran kartu kredit bukan satu-satunya pintu masuk menghimpun data pribadi, sekaligus pintu penyalahgunaan data itu untuk dimonetisasi melalui pemasaran produk perbankan. Ada banyak pintu lain untuk menghimpun data pribadi, salah satunya agen kendaraan.
Fredi (53), warga Kelapa Gading, Jakarta Utara, mengatakan, data pribadinya dijual bersama sekian banyak data pribadi lainnya di lapak AH, di Bukalapak. Data pribadi Fredi dimasukkan dalam kelompok pemilik mobil mewah beli tunai. Pengelompokan itu sekaligus menggambarkan taraf ekonomi Fredi yang bisa dianggap mampu.
Data pribadi Fredi yang dijual meliputi nama lengkap, nomor ponsel, dan alamat rumah. Melalui nomor ponsel yang dimuat di data itu, Fredi dihubungi untuk mengonfirmasi kebenaran datanya.
Baca juga: Data Pribadi Dijual Bebas
”Saya memang beberapa kali beli mobil dengan tunai, tetapi itu untuk kantor. Tempat agennya (mobil) di daerah Jakarta. Kalau untuk pribadi, saya tetap beli mobil dengan cara kredit, dan itu pun Innova, mobil biasa,” tutur Fredi.
Diakui Fredi, berbagai macam tawaran produk kerap masuk ke kotak pesan singkat (SMS) di ponselnya, sedangkan tawaran produk lewat telepon bisa mampir ke ponselnya lebih dari lima kali sehari. Namun, ia tak menyangka tawaran-tawaran itu datang karena data pribadinya telah diperjualbelikan. ”Masalahnya, kan, saya tidak pernah menjual data saya,” katanya.
Di sektor ritel, permintaan data pribadi cukup masif dilakukan kasir di sejumlah kafe, restoran, dan toko di pusat perbelanjaan. Data yang diminta meliputi nama dan nomor ponsel. Kerap kali pihak kasir tak memberikan alasan yang jelas terkait dengan permintaan data itu.
Di sektor ritel, permintaan data pribadi cukup masif dilakukan kasir di sejumlah kafe, restoran, dan toko di pusat perbelanjaan.
Penghimpunan data pribadi juga cukup masif dilakukan di toko dan pasar daring, aplikasi pemesanan tiket, serta aplikasi angkutan daring. Pengguna aplikasi memasukkan data pribadinya di aplikasi untuk memperoleh layanan.
VP Corporate Communications Tokopedia Nuraini Razak mengatakan, Tokopedia menindak tegas segala bentuk penyalahgunaan platform Tokopedia dan pelanggaran hukum di Indonesia, termasuk penjualan data pribadi. Saat ini, produk dan toko yang menjual data pribadi di Tokopedia sudah dihapus.
”Tokopedia memiliki kebijakan produk apa saja yang bisa diperjualbelikan. Tim kami senantiasa secara berkala memantau produk-produk di platform kami dan menindak produk-produk yang melanggar aturan,” kata Nuraini melalui keterangan resmi.
Sekretaris Perusahaan PT Bank Mandiri Rohan Hafas mengatakan, berkembang pesatnya sistem belanja dalam jaringan menyebabkan data pribadi rentan beredar. Hal itu belum disadari sepenuhnya oleh masyarakat.
Rohan memberikan contoh, saat pelanggan melakukan transaksi dengan kartu kredit, ada sejumlah toko ataupun pasar daring yang turut meminta nomor card verification value (CVV) yang tercetak di halaman belakang kartu kredit. Sementara tak semua toko atau pasar daring memiliki perlindungan data pelanggan yang baik.
”Masyarakat tak sadar telah bertransaksi di tempat-tempat (toko atau pasar daring) yang keamanannya kurang. Sementara ada online (toko atau pasar daring) yang bagus dan memiliki proteksi yang baik meski belum ada regulator yang mengawasinya. Tapi, kan, ada juga online yang abal-abal,” katanya.
Bukan hanya sektor ritel, Guru Besar Ekonomi Keuangan IPMI International Business School Roy Sembel mengatakan, instansi pemerintah yang menghimpun data pribadi juga rawan sebagai sumber kebocoran data pribadi, seperti Samsat dan juga Direktorat Jenderal Kependudukan dan Catatan Sipil Kementerian Dalam Negeri.
Instansi pemerintah yang menghimpun data pribadi juga rawan sebagai sumber kebocoran data pribadi.
”Semua institusi yang berinteraksi intensif, dan ada proses pengumpulan data, itu rawan sebagai sumber kebocoran data pribadi,” ujarnya.
Baca juga: Dari Alamat hingga Nama Ibu Kandung
Pemerintah sebenarnya telah menyiapkan Rancangan Undang-Undang tentang Perlindungan Data Pribadi sejak 2016. Sejak 2017 dilakukan harmonisasi RUU dengan melibatkan banyak kementerian dan lembaga terkait. Namun, hingga kini RUU masih dilakukan harmonisasi di Kementerian Hukum dan HAM karena pembahasannya cukup panjang.
Di DPR, RUU Perlindungan Data Pribadi telah masuk Program Legislasi Nasional 2015-2019. Namun, menurut Wakil Ketua Komisi I DPR Satya Widya Yudha, DPR masih menunggu draf RUU diserahkan pemerintah. ”Pemerintah selama satu tahun terakhir beralasan sedang harmonisasi dengan Kementerian Dalam Negeri terkait dengan UU Adminduk. Pemerintah berjanji draf RUU diserahkan Maret,” ujarnya.
Saat ini, menurut Satya, semua fraksi menyadari pentingnya RUU perlindungan data pribadi. Kesadaran itu menguat terutama sejak terjadi kebocoran data pribadi di Facebook pada tahun lalu. Oleh karena itu, Komisi I mendesak pemerintah segera menyelesaikan draf RUU itu sehingga dapat dibahas segera. ”Dengan demikian, RUU itu dapat segera disahkan sebelum anggota DPR periode 2014-2019 berakhir masa tugasnya,” ujarnya.
Hasil pemetaan Lembaga Studi dan Advokasi Masyarakat (Elsam), ditemukan aturan terkait dengan perlindungan data pribadi di sejumlah pasal di 30 UU, salah satunya UU Perbankan dan Transaksi Elektronik.
Namun, menurut Deputi Direktur Riset Elsam Wahyudi Djafar, dari sekian banyak pasal itu belum ada yang mengatur terkait dengan sanksi pidana bagi orang yang memperjualbelikan data pribadi. Dalam Pasal 26 Ayat 2 Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik, pemilik data bahkan hanya dapat mengajukan gugatan ganti rugi melalui mekanisme perdata jika menemukan data pribadinya dijual.
Baca juga: Ganti Nomor Sampai Kena Tipu
”Sementara pengendali data yang merupakan penyelenggara sistem elektronik, jika terbukti memindahtangankan data pribadi tanpa izin pemilik data, maka sanksinya hanya administratif. Dengan model aturan dan sanksi yang demikian, tentu daya ikatnya kurang kuat,” katanya.
Menjadi kian bermasalah lagi, lanjut Wahyudi, karena ada tumpang tindih antar-aturan yang ada, misalkan antara UU ITE dan UU No 23/2006 tentang Administrasi Kependudukan. Ini terjadi karena masing-masing UU belum mengacu pada prinsip dan standar perlindungan data pribadi yang sama.
”Oleh karena itu, mendesak adanya UU terkait dengan perlindungan data pribadi yang komprehensif,” ucapnya.
Komisioner Komnas HAM, Amiruddin Al Rahab, mengingatkan, jika di masa mendatang perlindungan data pribadi tak berjalan baik, maka itu dapat membahayakan keamanan negara. Ia memberikan contoh layanan pembelian makanan di aplikasi ojek daring. Menurut dia, data terkait dengan jumlah dan jenis pemesanan makanan lewat aplikasi itu sudah cukup untuk memetakan jenis kebutuhan makanan di dalam negeri. Jika hal itu tak diwaspadai, data itu bisa digunakan pihak tertentu untuk memonopoli salah satu bahan makanan.
Baca juga: Data Dipakai untuk Kejahatan
Selanjutnya ancaman paling ekstrem dari lemahnya perlindungan data pribadi, lanjut Amiruddin, adalah proxy war. Ancaman itu adalah upaya kerja politik untuk menyerang negara lain dengan cara memengaruhi orang per orang dengan melancarkan propaganda tertentu.
Hal itu dapat terjadi karena dukungan kemajuan teknologi informasi yang telah membuat orang semakin individual sehingga orang semakin mudah dipengaruhi lewat informasi yang disebarkan di media sosial dan daring.
”Yang disasar itu orangnya, sebagai sasaran propaganda. Dalam bahasa kerennya orang sebut proxy war. Itulah sebabnya masing-masing negara sekarang mulai cemas, bagaimana melindungi (data pribadi) warga negaranya karena informasi sudah tidak bisa dibendung,” tuturnya.