Pentingnya Regulasi Perlindungan Data, Upaya Benahi Penyalahgunaan Privasi

Oleh: Siti Hannah Alaydrus

Perlindungan data privasi adalah pekerjaan rumah yang sulit dan panjang, namun tetap harus terus dikampanyekan karena privasi adalah fondasi dari demokrasi.  – Unknown.

Di era digital ini, berbelanja, membayar tagihan, juga registrasi bank bisa dilakukan melalui ponsel. Kita memasuki era dimana platform digital  bertebaran atau pinjaman online  didapat dengan mudah. Kemudahan ini tentu menguntungkan kita semua, namun dilain sisi, praktek pelanggaran data pribadi semakin marak terjadi. Pemasaran sejumlah produk, tawaran kartu kredit, serta modus penipuan diperparah dengan belum adanya perlindungan yang memadai sehingga data diri terekspos secara massal dan rentan disalahgunakan. Perkembangan kemudahan di era digital terus diikuti tanpa adanya payung hukum yang melindungi data diri masyarakat. Apakah hal ini terdengar tidak penting?

Isu Peretasan dan Penyalahgunaan Data Kian Meningkat

Awal Mei lalu, sebanyak  91 Juta data pengguna Tokopedia dilaporkan dijual di dark web, menurut laporan akun Twitter Under the Breach (@underthebreach). Berdasarkan penjelasan Under the Breach, penjual data pengguna Tokopedia tersebut merupakan orang yang meretas 15 juta data pengguna Tokopedia pada Maret 2020. Dengan laporan ini, berarti ada tambahan 76 juta data pengguna Tokopedia yang dimiliki oleh hacker.

Dark net juga disebut dark web, merujuk kepada situs web dan forum online yang terenkripsi sehingga tidak terindeks oleh mesin pencari (search engine) biasa. Untuk mengakses dark web, orang memerlukan browser web khusus yang disebut Tor. Konten dark web tidak terlihat oleh mesin pencari dan situsnya tidak dapat dikunjungi hanya dengan mengetikkan URL ke Google Chrome atau Firefox. Aktivitas pengguna di dalamnya punya reputasi tindak ilegal dan kejahatan.

Melansir dari katadata.id, Tokopedia telah merespons laporan kebocoran data dan mengaku memang ada percobaan pencurian data pribadi pengguna. Tetapi, Tokopedia mengklaim bahwa password pengguna masih berhasil dilindungi. Jauh sebelum Tokopedia, isu peretasan 13 juta akun pengguna Bukalapak juga sempat mencuat setelah adanya klaim dari seorang hacker, namun Bukalapak telah membantah klaim tersebut.

Kembali ke April lalu, sempat mencuat kasus peretasan WhatsApp aktivis dan peneliti kebijakan publik Ravio Patra yang berujung pada penahanan oleh polisi (22/4/2020). Ravio ditahan atas tuduhan menyiarkan berita provokatif atau menghasut untuk berbuat kerusuhan, setelah ada pihak yang meretas aplikasi WhatsApp miliknya dan menyebarkan pesan berantai berisi ajakan untuk menjarah pada 30 April.

Dikutip dari Tempo, Ravio melihat saat diperiksa polisi bahwa berkas yang menjadi dasar penangkapannya berkode A, yang berarti pelaporan dilakukan oleh salah satu anggota polisi. Anehnya, laporan tersebut dibuat pukul 12.30 WIB di hari ia ditangkap, padahal, pesan autentikasi dari WhastApp saat akunnya diretas terkirim pada 12.11. Mustahil laporan polisi dibuat hanya dalam rentan waktu 19 menit. Ini membuat publik berasumsi bahwa peretasan tersebut sengaja dibuat oleh pihak tertentu agar ada alasan untuk menahan Ravio, yang dikenal sebagai pengkritik pemerintah terkait data penanganan COVID-19 dan polemik staf khusus presiden.

Baca juga:  Pengumuman Kelulusan Anggota Baru LPM Suaka 2021

Tak berhenti disitu, dalam beberapa kasus yang berkaitan dengan perusahaan financial technology, data konsumen disebarluaskan dan diperjualbelikan tanpa seizin konsumen.  Menurut penulis, rentetan kasus inilah yang seharusnya memberikan kesadaran kepada publik akan beberapa hal berkaitan dengan regulasi untuk perlindungan data diri.

Pertama, ketiadaan payung hukum perlindungan data pribadi menjadi penyebab lemahnya posisi pengguna. Konsumen tak bisa berharap banyak untuk kompensasi melainkan hanya bisa mengetahui saja bahwa datanya telah bocor. Kedua, lembaga negara juga berpotensi menjadi pihak yang memanipulasi data, alih-alih menjadi lembaga yang menjamin perlindungan keamanan data. Ketiga, kekosongan aturan mengakibatkan tidak adanya proses penyelesaian sengketa yang mumpuni dan cukup dari semua kasus, baik dalam penyalahgunaan personal maupun kebocoran data dengan keterlibatan jutaan data. Pun kasus yang menimpa Ravio bisa menimpa siapa saja dan kapan saja.

RUU yang Belum DibahasMenjaga Privasi Belum Populer di Indonesia

Menurut Sutawan Chanprasert, pendiri organisasi hak asasi manusia DigitalReach di Bangkok yang meneliti tentang data privacy di Asia Tenggara, belum ada negara di Asia Tenggara yang menerapkan alur regulasi perlindungan data pribadi seketat Eropa. Dimana semua diatur dalam General Data Protection Regulation (GDPR) dengan beberapa hak pengguna, antara lain hak untuk mendapatkan informasi; hak untuk mengakses; hak atas penghapusan data; hak pembatasan data; hak portabilitas seperti penggandaan data; dan hak untuk menghindari pengambilan keputusan secara otomatis. Namun, negara seperti Singapura, Malaysia, dan Filipina sudah punya payung hukum serta alur regulasi yang benar-benar melindungi data diri masyarakat.

Dikutip dari suaramerdeka.com,  Indonesia berada pada ranking 41 di Global Cybersecurity Index yang dirilis oleh International Telecommunication Union (ITU), jauh tertinggal dari negara-negara ASEAN seperti Singapura, Malaysia, dan Thailand. Indonesia juga belum mempunyai progress pembahasan RUU Siber. Juga, Undang-Undang tentang Perlindungan Data Pribadi baru sekedar rancangan oleh Kementerian Komunikasi dan Informasi (Kominfo) dan diambil alih oleh Dewan Perwakilan Rakyat (DPR). Namun RUU ini belum juga dibahas oleh DPR meskipun sudah masuk dalam daftar Program Legislatif Nasional (Prolegnas) 2019.

Melansir dari elsam.or.id, Indonesia punya 30 regulasi yang memiliki keterkaitan dengan pengumpulan dan pengelolaan data pribadi, termasuk penyadapan. Kewenangan tersebut dilakukan untuk berbagai macam bidang, seperti media telekomunikasi, pertahanan dan keamanan, penegakan hukum, kesehatan, kependudukan, perdagangan, serta perekonomian. Tapi tidak seluruhnya memberikan perlindungan hukum yang nyata dengan prosedur yang jelas.

Misalnya, dalam bidang perbankan, pengakuan kewajiban perlindungan data nasabah ditemukan dalam UU Perbankan dan UU Perbankan Syariah. Setelah kehadiran UU Otoritas Jasa Keuangan, kewajiban Bank Indonesia untuk melindungi data nasabah digantikan oleh lembaga independen OJK. Tapi UU tersebut belum menjelaskan mekanisme pemulihan jika terjadi pelanggaran. Hal itu juga belum diatur dalam UU Perlindungan Konsumen, yang seharusnya mengakomodasi kerugian konsumen dalam hal kebocoran data.

Demikian pula dalam konteks data pribadi secara viral di Internet. Undang-Undang tentang Informasi dan Transaksi Elektronik (UU ITE) sebagai salah satu regulasi hukum Internet juga belum memberikan perlindungan data pribadi. Pasal 26 UU ITE memberikan gambaran umum mengenai persyaratan persetujuan pemilik data dalam segala akses data pribadi di media elektronik, tapi tidak mengatur secara jelas mengenai mekanisme internal yang harus dilakukan pengumpul data dan tindakan setelah terjadinya pelanggaran.

Gambaran di atas menunjukkan bahwa Indonesia masih absen dalam perlindungan data pribadi. Dampaknya, mekanisme pengumpulan dan pengelolaan data yang dilakukan oleh swasta ataupun negara tidak memiliki kepastian hukum dan berpotensi membuka ruang kesewenang-wenangan. Alhasil, warga kembali dirugikan karena data privasinya tidak dapat dilindungi diiringi praktik pelanggaran privasi dan penyalahgunaan data semakin tak terkendali.

Pentingya Regulasi yang Partisipatif, Bukan Ancam Privasi

Dimulai dari data untuk kepentingan registrasi sampai dengan data perilaku kita selama berselancar diberbagai platform digital, semua terekam dengan jelas. Dari berbagai data yang dimiliki perusahaan, muncul istilah Artificial Inteligence (AI) atau kemampuan sistem untuk menganalisis data, menentukan arah tindakan (decision making) serta mencari peluang untuk mencapai tujuan tertentu. Dari sinilah algoritma nantinya dipakai untuk menawarkan produk atau jasa akan muncul berdasarkan apa yang kita klik dan cari di marketplace maupun media sosial atau disebut clickstreaming.

Saat kita terkoneksi degan jaringan internet, memang tidak bisa dipastikan semua aktivitas kita aman. Setiap sistem memiliki celah dan tidak ada yang sempurna. Pun ketika perusahaan dan pemerintah punya akses pada data, apapun bisa terjadi dan bisa dimanipulasi. Oleh karena itu penting bagi kita untuk tahu hak atas privasi data, hak untuk memiliki kontrol data kita sendiri, juga hak untuk mendapat keamanan dan perlindungan baik dari perusahaan maupun pemerintah sebagai pembuat kebijakan.

Berbagai kasus peretasan, pun isu-isu kebocoran data yang mencuat belakangan ini, bisa menjadi titik kesadaran pentingnya perlindungan data pribadi. Sayangnya, menurut penulis, selama ini gagasan ideal perlindungan data sebagai hak asasi manusia itu terbentur oleh lajur kapital. Secara ekonomi, data pribadi memiliki nilai jual tinggi yang mampu memutar roda perekonomian global. Dalam The Digital Person: Technology and Privacy in the Information Age 101 karya Daniel J. Solove, transaksi jual-beli data konsumen ditaksir hingga US$ 3 miliar pada 2006. Dampaknya, industri bank data berkembang sangat pesat, yang justru menafikan perlindungan privasi seseorang.

Perusahaan raksasa seperti Facebook dan Google mengambil keuntungan dari iklan di internet yang diambil berdasarkan data pribadi yang sudah dimonetisasi sesuai dengan mekanisme yang mereka buat. Karenanya, data pribadi pengguna akan terus menerus dikapitalisasi agar lebih banyak orang yang terpengaruh dan mau bertransaksi. Selain mengancam hak asasi individu, adanya akses data global sebesar itu bisa mempengaruhi demokrasi.

Perlindungan data pribadi menjadi penting karena mereproduksi kebebasan warga dalam berekspresi. Keberanian warga dalam mengekspresikan gagasan akan terlaksana apabila dirinya telah memperoleh jaminan perlindungan privasinya. Jika monetisasi data pribadi terus dinormalisasi, maka aktivis, pengkritik pemerintah dan komunitas marginal lainnya akan jadi yang paling kena dampaknya. Media sosial dan model yang dibikin oleh perusahaan dengan algoritmanya terbukti bisa mempengaruhi demokrasi karena konten dan data bisa dimanipulasi pihak tertentu yang punya kuasa untuk membuka akses big data tersebut.

Baca Juga: Kajian RUU Perlindungan Data Pribadi dalam Perspektif HAM

Hal itu jelas menjadi ancaman nyata, mengingat arus pemanfaatan teknologi tak lagi dapat dibendung. Ini termasuk kegiatan pengumpulan data pribadi secara massal, baik online maupun offline, melalui media sosial, catatan kependudukan, kesehatan, perekonomian, hingga penegakan hukum. Dalam konteks inilah peran negara diperlukan dengan membuat undang-undang untuk menjamin perlindungan data privasi masyarakat.

Lembaga Studi & Advokasi Masyarakat  (elsam.or.id), salah satu lembaga yang terus gencar mendesak agar pemerintah segera mengesahkan RUU Perlindungan Data Pribadi yang dapat dengan ideal mengatur hak dan kewajiban antara penyedia layanan dengan konsumen, untuk memperjelas tujuan penggunaan data pribadi dan data apa saja yang boleh diakses oleh penyedia layanan terkait transaksi. Perusahaan diharapkan agar transparan, memberitahukan penggunanya, serta menjelaskan langkah-langkah yang akan perusahaan tersebut lakukan untuk memitigasi risiko.

Jika RUU PDP dilegislasi, pengendali data wajib menyampaikan pemberitahuan secara tertulis, dengan tanpa bertele-tele kepada pemilik data dan instansi pengawas jika terjadi data breach atau kegagalan perlindungan data pribadi. Pengguna harus diberikan langkah-langkah jelas. Misalnya agar mengubah password, melapor jika kehilangan akses, menggunakan two factor authentication, waspada pada email atau SMS phising, juga menghubungi lembaga keuangan jika penyalahgunaan data keuangan terjadi.

Siti Hannah Alaydrus, Mahasiswa jurusan Manajemen Keuangan Syariah semester  4 UIN Sunan Gunung Djati Bandung

Leave a Reply

Your email address will not be published. Required fields are marked *