Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) telah resmi disahkan oleh Presiden Republik Indonesia, Joko Widodo. Sebelumnya, UU ini telah ditandatangani oleh Jokowi sejak 17 Oktober lalu. UU PDP resmi disahkan dengan tujuan untuk melindungi data pribadi masyarakat Indonesia agar tidak disalahgunakan oleh pihak tidak bertanggungjawab.
Pada pasal 68 memuat ketentuan pidana bagi masyarakat yang terbukti melakukan pelanggaran data pribadi seperti memalsukan data pribadi untuk kepentingan individu maupun orang lain. Berikut bunyi pasal 68 tersebut, “Yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam Pasal 66 dipidana dengan pidana penjara paling tama 6 (enam) tahun dan/atau pidana denda paling banyak Rp6.000. 000.000,00 (enam miliar rupiah).”
Kemudian pada Pasal 67 ayat 1, memuat sanksi bagi masyarakat yang mengumpulkan data pribadi orang lain dengan maksud mengumpulkan, menguntungkan diri sendiri atau orang lain dan dapat merugikan subjek, maka pelanggar dipidana penjara lima tahun dan/atau denda hingga Rp5 miliar.
Selanjutnya dimuat ayat kedua, bagi masyarakat yang dengan sengaja mengungkapkan data pribadi yang bukan miliknya ke publik, juga dapat dijerat hukuman penjara 4 tahun dan denda paling banyak sejumlah Rp4 miliar.
Lalu dimuat pada ayat 3 Pasal 67, bagi setiap orang yang menggunakan data pribadi bukan miliknya untuk melawan hukum, maka pelaku bisa dipidana penjara setidaknya lima tahun dan/atau denda berkisar Rp5 miliar.
Data yang tidak boleh disebarluaskan terbagi menjadi dua kategori, yaitu data umum dan data spesifik. Data umum yang dimaksud meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, dan status perkawinan. Sedangkan, data spesifik meliputi informasi kesehatan, data biometrik dan genetika, catatan kejahatan, data anak, data keuangan pribadi, serta data lain sesuai peraturan perundang-undangan.
Ketika ekonomi internet menjamur tanpa ‘brankas’ aman yang dikembangkan secara bertahap, hal-hal buruk kerap terjadi, dan pengguna yang kemudian menanggung bebannya. Peretas menemukan target yang rentan keamanan di Indonesia, mencuri kumpulan data pribadi yang semakin besar. Informasi ini kemudian bocor di dark web atau web gelap, forum peretas, dan bahkan platform media sosial. Beberapa disiapkan untuk diunduh dan dimanfaatkan siapa saja, sementara yang lainnya untuk dijual. Informasi konsumen memiliki label harga, dan ada banyak sekali pembeli—perusahaan pemasaran, kampanye pemilu, dan banyak pemberi pinjaman tekfin tanpa izin di negara itu yang menjalankan penipuan dengan memaksakan pinjaman kepada orang-orang tanpa disadari.
Pada bulan Mei, server badan kesehatan dan jaminan sosial Indonesia, BPJS Kesehatan, dibobol. Seorang peretas berhasil menyalin data 279 juta orang Indonesia—mungkin sebagian besar penduduk negara itu ditambah beberapa orang yang sudah meninggal. Pelanggaran data seperti yang dilakukan BPJS dapat menyebabkan segudang konsekuensi yang tidak diinginkan bagi konsumen, mulai dari pencurian identitas hingga aktivitas penipuan kartu kredit. Doddy Darumadi, seorang pengacara di firma hukum Nenggala Aluguro di Jakarta, mengatakan kepada KrASIA bahwa ia telah mewakili banyak klien yang dirugikan dalam kasus terkait pinjaman peer-to-peer ilegal sejak tahun 2017.
Setiap tahun, jumlah kasus meningkat karena platform ilegal yang menawarkan pinjaman instan terus bermunculan. Banyak korban terjerat hutang yang tidak bisa mereka lunasi. Para kreditur umumnya adalah pemberi pinjaman P2P yang memperoleh informasi pengguna secara tidak sah dan kemudian memaksakan pinjaman berbunga tinggi kepada mereka. “Beberapa korban datang kepada saya dan mengatakan mereka menerima uang yang dikirim dari platform fintech bersama dengan tagihan. Platform ini membebankan bunga tinggi dalam jangka waktu pendek. Masalahnya mereka tidak pernah mengajukan atau setuju untuk meminjam uang dari platform ini,” ujar Darumadi kepada KrASIA. Pengacara ini menambahkan bahwa perusahaannya menangani setidaknya 20 kasus baru terkait dengan pemberi pinjaman ilegal setiap minggu.
Platform Fintech yang beroperasi tanpa lisensi yang tepat membangun basis penggunanya dengan mengambil data dari peretas dan pialang data, yang menjual informasi pribadi dengan harga yang cukup rendah. Rincian kartu kredit seseorang dikenakan biaya USD 6–20. ID dengan nama lengkap, tanggal lahir, email, dan nomor ponsel dikenakan biaya USD 0,5–10. Selfie dengan dokumen pendukung untuk verifikasi visual memiliki label harga yang lebih tinggi yaitu USD 40–60, menurut data yang dikumpulkan oleh Kaspersky.
Keamanan siber yang buruk sebagian besar harus disalahkan atas aliran bebas data pribadi di kalangan ini. Sebagian besar pelanggaran di Indonesia baru terungkap setelah peretas menjual hasil panen mereka di situs komunitas peretas Raid Forums, yang ada di web terbuka. Belum lama ini, Kementerian TI Indonesia memblokir situs tersebut, tetapi masih mudah diakses dengan alat yang tepat. Meski begitu, ada banyak informasi pribadi yang dijual di area yang kurang terlihat di internet. Seorang aktivis keamanan siber dengan nama panggilan “Dendi Zuckergates,” yang ikut mendirikan komunitas online untuk penggemar IT bernama Orang Siber Indonesia, mengatakan sebenarnya ada lebih banyak pelanggaran data yang melibatkan orang Indonesia daripada yang diberitakan di media.
“Setelah kasus BPJS, server beberapa kantor catatan sipil seperti Bogor dan Bekasi [kota-kota di Indonesia] diretas, dan orang-orang menjual dataset yang berisi jutaan informasi pribadi dari server-server itu di Forum Raid. Biasanya, hanya setengahnya yang asli, sedangkan sisanya palsu. Peretas melakukan ini untuk mendongkrak harga,” kata Zuckergates kepada KrASIA. “Pembelian data biasanya menggunakan cryptocurrency seperti bitcoin, sehingga aman dan tidak dapat dilacak.”
Keamanan siber yang buruk di Indonesia berarti bisnis besar bagi peretas yang menjarah server untuk kumpulan data yang dapat dijual kembali ke perusahaan pemasaran, kampanye politik, dan bahkan pemberi pinjaman tekfin ilegal. Foto oleh Clint Patterson di Unsplash.
Membangun bisnis dan memenangkan pemilu dengan data pribadi
Seperti banyak perdagangan gelap, praktisi tunggal dapat bekerja sama untuk mengumpulkan sumber daya dan membentuk operasi yang lebih besar. “Selain peretas atau penjual perorangan, juga banyak sindikat yang menjual data pribadi. Mereka terdiri dari beberapa anggota dengan pekerjaan yang berbeda. Ada yang bertugas meretas sistem, ada yang bertugas di bagian penjualan, ada yang bertugas membeli data dari beberapa situs untuk dijual kembali, dan sebagainya,” sebut Zuckergates.
Mereka yang membeli data curian dapat menggunakannya untuk berbagai tujuan. Terkadang, informasi pribadi dibeli oleh perusahaan pemasaran yang memiliki spesialisasi dalam kampanye spam; yang lain membelinya untuk meningkatkan tingkat keberhasilan saat mereka mengidentifikasi tanda penipuan. Terkadang, ada juga dimensi politik. Data yang bocor sering dibeli oleh lembaga-lembaga menjelang pemilu untuk menjangkau masyarakat melalui SMS atas nama kandidat, kata Zuckergates.
Kementerian TI telah menetapkan seperangkat aturan mengenai penggunaan pesan teks oleh kampanye politik. Agensi tidak dapat meminta informasi atau identitas pengguna dari penyedia telekomunikasi atau pihak lain untuk kampanye yang ditargetkan. Selain itu, lembaga dilarang mengirim siaran SMS atau spam selama “minggu tenang” sebelum hari pemungutan suara, meskipun pengawas pemilu Indonesia telah menemukan pelanggaran.
Meskipun demikian, platform fintech ilegal tampaknya menjadi salah satu wadah terbesar pialang data pasar gelap.
“Platform [fintech] ilegal menjangkau calon korban dengan mengirimi mereka pesan melalui SMS atau WhatsApp,” kata Darumadi. Penipuan yang mungkin gagal di belahan dunia lain masih menjadi korban polos di beberapa pasar negara berkembang seperti Indonesia karena tingkat literasi digital dan keuangan yang umumnya lebih rendah. Beberapa orang mengklik tautan dalam pesan yang mereka terima, yang mengarah ke penginstalan aplikasi dan menanyakan informasi pribadi mereka. Dengan cara ini, platform mendapatkan akses ke informasi korban, seperti informasi kontak dan gaji mereka. “Para penagih utang akan mengintimidasi korban dengan terus-menerus menelepon nomor-nomor yang ada di daftar kontak korban, meminta mereka membayar utang dengan kasar, atau bahkan mengancam akan menyebarkan data pribadi korban di internet,” tambah pengacara.
Otoritas keuangan Indonesia OJK terus mengimbau masyarakat untuk berhati-hati dalam memilih platform fintech, mengingat banyaknya aplikasi yang beroperasi tanpa izin di tanah air. Hingga April 2021, OJK telah memblokir 3.198 pemberi pinjaman P2P ilegal, tetapi yang baru terus muncul untuk menggantikannya.
Meskipun Darumadi tidak yakin bagaimana pemberi pinjaman P2P ilegal memperoleh informasi kontak korbannya, tidak perlu banyak menggali terlalu dalam untuk menemukan data pribadi yang dijual di Indonesia. Seorang pengguna Twitter yang menggunakan “pinjollaknat” mengumpulkan beberapa informasi dan tweet tentang pemberi pinjaman ilegal di negara ini. Ada lusinan broker yang mengatakan bahwa mereka memiliki kluster data ID e-nasional Indonesia untuk diperdagangkan, sehingga sangat mudah dan murah bagi operator fintech ilegal untuk membangun basis pengguna yang tidak sah. Langkah selanjutnya adalah memaksakan pinjaman kepada individu yang tidak tahu, menuntut pembayaran bunga tinggi, dan mungkin menghancurkan fondasi keuangan dan nilai kredit mereka dalam prosesnya.
Apakah penjarahan ini dapat dihentikan?
Raket pembayaran pinjaman paksa oleh platform fintech muncul lima tahun lalu dan telah meningkat sejak saat itu. Sudah banyak yang mengadukan hal ini ke Media Konsumen yang menerbitkan laporan dari konsumen yang dirugikan. Inilah faktanya: ketika aset digital tersebar di banyak platform, konsumen berada dalam posisi yang rentan. Ada 47 kasus pencurian data pada tahun 2017, menurut catatan kepolisian Indonesia. Jumlah itu meningkat menjadi 88 kasus pada 2018 dan kemudian menjadi 143 pada 2019. Tahun lalu, setidaknya ada tujuh kasus pelanggaran data yang melibatkan institusi besar. Serangan-serangan ini meningkat, namun hanya sedikit upaya yang dilakukan untuk membalikkan keadaan.
DPR RI saat ini sedang mengkaji rancangan undang-undang tentang perlindungan data pribadi. Meski begitu, undang-undang pokok yang mengatur perlindungan data termasuk dalam undang-undang informasi dan transaksi elektronik (UU ITE), yang mencakup hukuman bagi pihak yang mencuri atau menyebarkan data pribadi orang lain tanpa persetujuan mereka, seperti fintech lender ilegal.
Peretas yang mengakses sistem komputer tanpa izin dapat dihukum delapan tahun penjara dan denda Rp800 juta (USD 56.000). Sementara itu, mereka yang dengan sengaja mendistribusikan dokumen digital tanpa izin pemiliknya untuk tujuan pemerasan dan intimidasi dapat dipenjara hingga enam tahun dan denda Rp1 miliar (USD 70.000).
Polisi siber Indonesia secara berkala mengingatkan masyarakat untuk berhati-hati dalam memberikan data pribadi kepada pihak lain untuk menghindari penyalahgunaan, seperti menghasilkan pinjaman yang tidak diminta atau bahkan pengambilalihan rekening pribadi yang menyimpan saldo tunai. Namun, karena kebocoran data menjadi hal yang biasa dan investigasi resmi tidak menghadirkan solusi, warga dibiarkan dengan cara mereka sendiri untuk mencegah atau menanggapi tindakan kriminal. Hal paling efektif yang dapat dilakukan orang adalah memantau akun mereka dan bereaksi dengan cepat jika mereka menemukan transfer tunai yang tidak biasa.
“Jika Anda melihat aktivitas mencurigakan seperti transaksi misterius, atau jika Anda diteror oleh pemberi pinjaman ilegal, Anda dapat melaporkannya ke polisi cyber untuk tindakan segera. Konsumen harus ekstra hati-hati dalam mengirimkan data pribadi seperti e-KTP dan selfie di platform digital,” kata Darumadi.
Sementara kebocoran informasi 279 juta orang baru-baru ini? Polisi siber Indonesia dan Badan Siber dan Enkripsi Nasional sedang menyelidiki insiden tersebut, tetapi jika melihat referensi dari kasus-kasus sebelumnya, tidak akan ada kesimpulan yang dirilis dalam waktu dekat.
– Artikel ini pertama kali dirilis oleh KrASIA. Kembali dirilis dalam bahasa Indonesia sebagai bagian dari kerja sama dengan DailySocial
Coordinating minister for maritime affairs, Luhut Binsar Pandjaitan initiates an idea to improve the Health Facilities Information System (BPJS Kesehatan) performance, in terms of premium collection. It is for China’s tech giant, Ping An, to support efficiency in the technology system.
He said Ping An would do at least two things for the BPJS Kesehatan, to evaluate the information system and fix the crack. From his statement, Ping An is said to offer the collaboration first.
“They didn’t sell hardware, only software used in 282 cities in China. One of the most efficient companies in China,” he said as quoted by CNN Indonesia.
Ping An is the biggest insurance company in China with market capitalization reached up to $220 billion. It’s a subsidiary of PA Group, a financial holding includes insurance, banking, and investment.
The helping hand aims to solve some issues on BPJS Kesehatan, such as outstanding payment and increasing financial deficit.
Per June 30th, 2019, the collectibility rate has reached 94.04% from Non-Wage Workers (NWW) and 89.03 from registered citizens in the region. In fact, the deficit number is increasing, from Rp1.9 trillion in 2014 to Rp19.4 trillion in 2018. Outstanding payment and the small amount of premium considered as the fundamental issue.
The risk of foreign access
Ping An involvement in the HFIS’ IT system improvement draws negative feedback, in terms of data sovereignty. Timboel Siregar from BPJS Watch seen this collaboration as a possibility for the foreign party to access citizen’s data.
“If it includes foreign party, the big data might be accessed by them. This is very risky related to our national security. They will have Indonesia’s health statistic data, including armies and police officers,’ he said in the official release.
BPJS Kesehatan’s Principal Director, Fachmi Idris once said the company owns the biggest data in Indonesia. A sample might work for the utilizing method. Researchers, academics, even the BPJS Kesehatan itself capable of using the data for the policymaking in the national health insurance program.
The government has realized the significance of medical records. It’s stated under Article 6 paragraph 3 on Personal Data Protection Bill which includes medical records in terms of personal data. For the record, BPJS Kesehatan members have reached 222.5 million. Therefore, there are at least 222.5 million personal data sets and health data belonging to participants.
He also added on the idea to improve the IT system is not a solution for public compliance to pay the premium on time. He afraid this could be an opportunity for Ping An to get into BPJS Kesehatan data which is a lot more sensitive.
“In terms of premium, there should be regulations, it’s not about the system. Let’s say we have good IT but weak regulation, there will be no difference,” he said.
Iqbal Anas Ma’ruf, BPJS Kesehatan’s PR confirmed the potential data management by Ping An in the collaboration. However, he also guarantees the plan is still on exploration.
“There will be follow-up because we’re all under regulation, it’s too early to go that far,” he said.
– Original article is in Indonesian, translated by Kristin Siagian
Menteri Koordinator Kemaritiman Luhut Binsar Pandjaitan melempar usulan untuk memperbaiki performa BPJS Kesehatan, khususnya dalam penagihan iuran. Luhut menyarankan raksasa asuransi asal Tiongkok, Ping An, akan membantu sistem teknologi BPJS Kesehatan agar lebih efisien.
Menurut Luhut, Ping An setidaknya akan melakukan dua hal dengan BPJS Kesehatan yakni mengevaluasi sistem teknologi informasi dan memperbaiki celah sistem tersebut. Dari penuturan Luhut diketahui pihak Ping An yang menawarkan diri untuk membantu BPJS Kesehatan.
“Mereka tidak jualan hardware, hanya software yang sudah dipakai 282 kota di Tiongkok. Salah satu perusahaan yang paling efisien di Tiongkok,” ucap Luhut seperti diwartakan CNN Indonesia.
Ping An adalah perusahaan asuransi terbesar di Tiongkok dengan kapitalisasi pasar mencapai hampir $220 miliar. Ia merupakan anak perusahaan dari PA, sebuah holding jasa keuangan yang meliputi asuransi, perbankan, hingga investasi.
Uluran tangan Ping An ditujukan untuk menyelesaikan sejumlah masalah yang membelit BPJS Kesehatan seperti tunggakan iuran peserta dan defisit keuangan yang terus membengkak.
Data per 30 Juni 2019 diketahui kolektibilitas iuran mencapai 94,04 persen dari kelompok Pekerja Bukan Penerima Upah (PBPU) dan 89,03 persen dari penduduk yang didaftarkan pemerintah daerah. Adapun defisit yang diderita oleh BPJS Kesehatan terus meningkat, dari Rp1,9 triliun pada 2014 hingga Rp19,4 triliun pada 2018. Tunggakan iuran peserta dan besaran iuran peserta yang terlalu kecil ditengarai penyebab utama besarnya defisit BPJS Kesehatan.
Berisiko diakses pihak asing
Wacana pelibatan Ping An dalam pembenahan sistem TI dari BPJS Kesehatan mengundang kritik, terutama dalam hal kedaulatan data pribadi masyarakat. Timboel Siregar dari BPJS Watch memandang rencana kerja sama itu memungkinkan data masyarakat yang terhimpun dalam sistem BPJS Kesehatan diakses pihak asing.
“Kalau ada pihak asing yang ikut terlibat maka data besar tersebut akan berpotensi terakses oleh pihak asing. Ini sangat berbahaya karena terkait dengan ketahanan bangsa kita. Nanti asing akan mendapat data statistik kondisi kesehatan rakyat Indonesia termasuk data tentang TNI dan Polri kita yang sakit,” ujar Timboel dalam keterangan resminya.
Direktur Utama BPJS Kesehatan Fachmi Idris pernah menyampaikan bahwa pihaknya merupakan pemilik data kesehatan terbesar di Indonesia. Data sampel dapat menjadi metode pemanfaatan data tersebut. Peneliti, akademisi, maupun BPJS Kesehatan sendiri dapat menggunakan data sampel tersebut yang nantinya dapat digunakan untuk pengambilan kebijakan dalam program jaminan kesehatan nasional.
Pemerintah sebenarnya sudah menyadari pentingnya data kesehatan. Hal ini tertuang dalam Pasal 6 ayat 3 RUU Perlindungan Data Pribadi yang memasukkan data kesehatan ke dalam kategori data pribadi. Sebagai catatan, jumlah peserta BPJS Kesehatan berjumlah 222,5 juta jiwa. Dengan demikian bisa disimpulkan setidaknya ada 222,5 juta set data pribadi dan data kesehatan milik peserta.
Timboel melanjutkan bahwa usulan memperbaiki sistem TI BPJS Kesehatan bukan solusi untuk kepatuhan dalam membayar iuran yang masih rendah. Ia khawatir dari perbaikan sistem teknologi, Ping An dapat menjamah data peserta BPJS yang sifatnya lebih sensitif.
“Soal penagihan iuran itu sebenarnya kan tinggal dilakukan penegakan hukum, bukan masalah TI-nya. Kalaupun TI bagus, tapi penegakkan hukum lemah, ya sama seperti ini,” imbuh Timboel.
Humas BPJS Kesehatan Iqbal Anas Ma’ruf mengamini bahwa ada potensi pengolahan data oleh Ping An dalam rencana kerja sama mereka. Akan tetapi ia meyakinkan bahwa rencana tersebut masih berusia dini dan masih terus mereka pelajari.
“Itu tentu perlu tindak lanjut lebih dalam karena kita tunduk pada regulasi yang mengatur, tapi ini kan baru permulaan belum sampai dalam seperti itu,” pungkas Iqbal.
Penyalahgunaan data pribadi merupakan keniscayaan dalam arus informasi yang begitu cepat seperti sekarang. Celahnya ada di mana-mana. Sekali tak antisipasi, dampaknya bisa merembet ke mana saja.
Data pribadi merupakan jenis data yang meliputi identitas kependudukan seperti nama lengkap, NIK, tanggal lahir, hingga tempat tinggal. Pasal 6 ayat 3 RUU Perlindungan Data Pribadi menyebut apa yang dimaksud data pribadi mencakup keyakinan, data kesehatan, biometrik, genetika, kehidupan seksualitas, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, keterangan tentang kecacatan fisik dan mental. Meski masih belum disahkan, definisi tersebut memberi gambaran jelas tentang spektrum data pribadi.
Dalam era digital seperti sekarang, data adalah segalanya. Saat seseorang menikmati suatu layanan digital secara gratis, disadari atau tidak, dapat dipastikan mereka membayarnya dengan data.
Cara termudah mengetahui suatu perusahaan digital mengambil data sebagai “ongkos” layanannya adalah dengan mengintip izin aplikasi mereka. Ambil contoh Facebook. Di Google Play terlihat Facebook meminta hampir 40 jenis akses ke ponsel yang hendak mengunduhnya, mulai dari akses mengambil gambar dan video, merekam audio, lokasi akurat, hingga memanggil nomor telepon yang ada di kontak.
Nilai dari Data
Sebelumnya harus dipahami bahwa ada tiga jenis data kita yang dapat dipanen oleh pihak lain dari yakni: data sukarela diberikan, data yang diamati, dan data yang disimpulkan. Seperti namanya, data sukarela adalah data yang diberikan secara sukarela ke platform online, seperti yang kita lakukan saat registrasi ke suatu layanan. Sementara data hasil observasi adalah data yang diambil dari aktivitas online seseorang seperti riwayat peramban serta lokasi GPS. Terakhir, data yang disimpulkan merupakan gabungan dua jenis data sebelumnya.
Ketiga jenis data itu tentu berharga, terutama untuk perusahaan digital yang membutuhkan banyak sekali pasokan data untuk memoles produknya. Laporan The Atlantic menyebutkan data dari satu akun profil seseorang setara US$0,005. Sementara Google dan Facebook dilaporkan dapat memeras keuntungan masing-masing US$5 dan US$20 dari data tiap penggunannya.
Di Indonesia, data pribadi belum dianggap hal penting oleh masyarakat luas. Ini menjadi masalah ketika layanan digital sudah mengepung hampir semua sendi lapisan hidup masyarakat.
Literasi digital ini yang kemudian dimanfaatkan oleh beberapa pihak yang mencuri dan menyalahgunakan data pribadi yang bukan miliknya. Kasus yang ditemukan Hendra Hendrawan (23) dalam sebuah grup Facebook bernama Dream Market Official merupakan contoh bagaimana rentannya data pribadi disalahgunakan.
Hendra menemukan grup itu bebas memperjualbelikan jutaan data pribadi orang-orang dalam NIK dan KK pada 26 Juli lalu. Investigasi Kompas mendapati data pribadi yang diperjualbelikan di kalangan tenaga pemasaran kartu kredit merentang dari Rp300 hingga Rp50.000 per data. Data itu memuat sejumlah informasi dari nama lengkap, alamat, nomor telepon, nama ibu kandung, hingga kemampuan finansial seseorang. Ia lantas melaporkan kejadian ini ke publik dan mendapat respons dari Kementerian Dalam Negeri.
Pada kasus yang berbeda, ada banyak warga yang datanya diambil dan disalahgunakan. LBH Jakarta terakhir mengumumkan ada 5.000 lebih pengaduan terkait penyalahgunaan data pribadi. Kasus yang mereka tangani salah satunya berasal dari pinjaman uang online. Contoh imbas terburuk dari penyalahgunaan data ini adalah pelecehan seksual hingga perundungan.
Koordinator Regional SAFEnet (Southeast Asia Freedom of Expression Network) Damar Juniarto kepada DailySocial menjelaskan, banyaknya kasus penyalahgunaan data pribadi tak lepas dari tingkat literasi digital masyarakat yang masih rendah.
Damar mengatakan, terlepas dari motivasi para pelaku, masyarakat masih kesulitan membedakan mana data yang bisa disebar ke publik dan mana yang tidak. Bahkan hingga saat ini, cukup dengan menelusuri mesin pencari, seseorang bisa menemukan data pribadi seperti NIK dan KK.
Kesulitan serupa juga muncul ketika mengunduh suatu aplikasi tanpa menengok izin akses yang mereka berikan ke pihak aplikasi. Masalahnya, sebanyak dan semengganggu apa pun suatu aplikasi meminta akses ke data penggunanya, permintaan itu bersifat legal jika pengguna menyetujui permintaan saat memasang aplikasi tersebut.
“Misal saat memasang aplikasi, kita wajib mempertimbangkan saat apps minta permission. Saat minta permission untuk akses kamera misalnya, harus dipikir itu perlu atau tidak,” ujar Damar.
Damar menyarankan pengguna media sosial tidak memperlihatkan data-data yang bersifat sensitif baik di bio maupun profil mereka.
Namun potensi penyalahgunaan data tak hanya berasal dari aktivitas online seseorang. Tak sedikit aktivitas offline dapat berakibat pada penyebaran data pribadi kita.
Contoh paling mudah adalah fotokopi KTP yang tercecer. Kerawanan yang sama juga ada ketika permintaan meninggalkan KTP dan nomor telepon ketika hendak memasuki suatu gedung.
“Kalau untuk masuk akses gedung harus wajib kasih KTP enggak masalah. Yang jadi persoalan kalau dia minta data lebih dari itu seperti nomor telepon. Padahal kan enggak ada hubungannya. Itu bisa disiasati dengan mengganti tiga nomor terakhir,” saran Damar.
Menolak Data Digunakan
Ketika data pribadi sudah tersebar ke banyak tangan, tak banyak yang bisa dilakukan. Namun dalam konteks telepon telemarketing yang kerap mengganggu, pengguna bisa meminta. Ini memungkinkan karena ada aturan hukum yang mendukungnya.
Aturan pertama adalah Peraturan Otoritas Jasa Keuangan (POJK) Nomor 1/POJK.7/2013. Aturan itu melarang telepon atau SMS penawaran produk dari bank, lembaga keuangan lain, dan telemarketing freelance yang memakai telepon seluler. Masyarakat dapat mengadu ke OJK di nomor telepon (021) 5006555 jika mendapat telepon atau SMS penawaran produk.
Pasal 17 Undang-undang Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik juga melarang secara tidak langsung marketing. Beleid itu menyatakan informasi pribadi, termasuk nomor telepon, sebagai informasi yang bersifat rahasia. Terakhir, negara sendiri sudah mengakui privasi dalam Pasal 5 ayat (1), Pasal 20, Pasal 28 G ayat (1), Pasal 28 H ayat (4), dan Pasal 28 J UUD 1945.
Pentingnya UU Perlindungan Data Pribadi
Kendati sudah ada beberapa aturan yang mengatur mengenai data, Damar menilai publik tetap membutuhkan aturan khusus yang fokus menangani data yakni UU Perlindungan Data Pribadi (PDP).
Keberadaan UU PDP, menurut Damar, akan memayungi aturan mengenai data yang tersebar di berbagai sektor. Pada akhirnya beleid ini akan memudahkan negara dan masyarakat dalam menangani kasus penyalahgunaan data yang kerap kali dilakukan secara terpisah dan memakan waktu karena butuh koordinasi antarsektor.
“Kalau UU PDP ini muncul, dia akan jadi omnibus law yang memayungi semuanya menjadi lebih kuat,” pungkas Damar.
Sayangnya kebutuhan akan UU PDP ini masih terganjal dalam proses legislasi. Setelah beberapa tahun berbentuk draf, Rancangan UU PDP berhasil masuk daftar prioritas program legislasi nasional di DPR. Namun hingga sekarang ketika masa kerja DPR berakhir, rancangan itu tak kunjung disahkan.
