Tag Archives: SAFEnet

Melihat Kasus Serangan Siber di Indonesia yang Semakin Meningkat pada Tahun 2020

Teguh Aprianto adalah konsultan keamanan siber yang mendirikan komunitas bernama Ethical Hacker Indonesia pada tahun 2018. Seperti namanya, komunitas tersebut merupakan koalisi para peretas topi putih yang mengidentifikasi kelemahan keamanan pada sistem perusahaan swasta dan lembaga pemerintah sebelum dapat dimanfaatkan oleh pesta jahat.

Sebagai advokat yang konsisten mengawasi keamanan internet, Aprianto telah bertahun-tahun memposting temuannya di Twitter, di mana ia menggunakan akun @secgron. Dia menganalisis pelanggaran data utama di Indonesia, termasuk pelanggaran di mana peretas mencuri hingga 91 juta data pengguna dari raksasa e-commerce Tokopedia.

Namun sejak 5 Agustus, akun Twitter Aprianto telah dibekukan. I pun mengaku tidak tahu menahu mengapa situs tersebut melarangnya untuk melancarkan tweet.

“Saya menyadari ada yang salah ketika saya tidak dapat mengakses akun Twitter saya karena terkunci. Saya mengajukan banding ke Twitter, tetapi tidak ada tanggapan. Saya merasa aneh karena saya tidak melanggar aturan Twitter mana pun. Hal yang sama juga terjadi pada akun Instagram saya, jadi saya hanya bisa mengakses Facebook untuk saat ini,” kata Aprianto kepada KrASIA.

Ini menjadi kali kedua Aprianto kehilangan akses ke akun media sosial miliknya. Pada bulan Juni, akun Twitter-nya juga ditangguhkan selama beberapa hari, tidak lama setelah dia men-tweet serangkaian temuannya di RaidForums, forum pembobolan basis data dan pasar yang digunakan oleh peretas. Secara khusus, Aprianto memperhatikan bahwa pengguna dengan pegangan hojatking mengaku menawarkan akses untuk mengubah, menambah, atau menghapus informasi kepegawaian di database kepolisian Indonesia.

Tweet tersebut menarik perhatian media lokal dan Aprianto ditanyai oleh polisi tentang masalah ini. Tidak butuh waktu lama untuk menyelesaikan masalah tersebut, lalu Aprianto kembali melanjutkan kehidupan seperti biasa.

Atau begitulah pikirnya.

“Saya menyadari bahwa tweet dan kritik saya terlalu keras akhir-akhir ini dan mungkin mengganggu dan menyinggung beberapa orang,” kata peretas itu. Ketika ditanya tentang siapa yang mungkin mengajukan pengaduan yang akan menyebabkan akunnya ditangguhkan, Aprianto tidak menunjukkan apa-apa, tetapi dia mengatakan bahwa dia khawatir beberapa orang menjadi subyek kontroversi setelah mereka memposting tweet kontroversial. “Menurut saya masalah seperti ini sudah cukup umum di Indonesia akhir-akhir ini, jadi sepertinya kita sekarang hidup di era ini [dimana pendapat dibatasi].”

Twitter dapat menangguhkan akun karena beberapa alasan. Paling umum, perusahaan menghapus akses ke akun yang melanggar pedoman komunitasnya, seperti dengan menyebarkan konten yang terkait dengan terorisme, eksploitasi anak, pemujaan kekerasan, atau penjualan barang ilegal atau barang/layanan yang diregulasi.

Selain itu, pemerintah dan lembaga penegak hukum di negara mana pun dapat mengajukan permintaan atau tuntutan hukum untuk melarang konten tertentu atau akun tertentu. Twitter dan Facebook mengeluarkan laporan transparansi secara teratur, menunjukkan jumlah permintaan yang mereka terima dari entitas negara untuk menghapus postingan.

Menurut permintaan penghapusan transparansi di Twitter, dari Juli hingga Desember 2019, platform tersebut menerima lima permintaan dari otoritas Indonesia, yang mengutip jumlah pengguna terdaftar yang luar biasa besar di setiap permintaan, dengan total 42.550 akun. Twitter menetapkan bahwa sekitar 90% dari konten yang dilaporkan tidak melanggar persyaratan layanannya.

“Dari laporan tersebut, kami melihat bahwa pemerintah cukup sering mengirimkan permintaan,” kata Damar Juniarto, direktur eksekutif Safenet, kepada KrASIA. Safenet, atau Freedom of Expression Network Asia Tenggara, adalah mitra resmi Twitter, Google, dan Facebook di Indonesia, yang menjadi penasihat perusahaan-perusahaan ini dan memantau pelanggaran hak digital.

Juniarto mengatakan dirinya sendiri termasuk dalam daftar yang diajukan permintaan pemerintah untuk penghapusan konten dua tahun lalu. Dia langsung mengajukan banding ke Twitter dan berhasil menyelamatkan akunnya.

Safenet berkomunikasi dengan Twitter, Google, dan Facebook untuk memastikan bahwa semua pihak setuju tentang cara menavigasi permintaan pemerintah untuk menghapus konten atau akun: mereka harus mematuhi Deklarasi Hak Asasi Manusia PBB, khususnya terkait kebebasan berbicara. “Kami tentu berharap platform tersebut tetap netral, tidak terpengaruh tekanan politik, dan tetap berpegang pada referensi internasional ini. Kalau ada permintaan khusus karena dianggap pengkhianat dan membahayakan negara, misalnya harus dibuktikan lewat pengadilan, ”kata Juniarto.

Menanggapi pertanyaan KrASIA, Twitter mengatakan akan mengambil tindakan langsung jika mengetahui kasus di mana akun disusupi oleh pihak jahat. Platform tersebut mengatakan bahwa cara paling efektif untuk mencegah akun pengguna diretas adalah dengan mengaktifkan otentikasi dua faktor dan verifikasi penyetelan ulang sandi. Perusahaan merujuk pada Peraturan Twitternya untuk deskripsi keadaan yang dapat menyebabkan penangguhan akun. Pelanggaran berulang atas aturan dapat menyebabkan penangguhan permanen.

Serangan siber kerap menyasar aktivis dan jurnalis

Beberapa aktivis dan jurnalis Indonesia belakangan ini bermasalah dengan akun media sosialnya. Pada bulan Juli, Indonesia Corruption Watch melaporkan bahwa seseorang mencoba meretas akun Instagram dan Telegram mereka. Beberapa hari lalu, akun Twitter seorang ahli epidemiologi bernama Pandu Riono diretas dan ditangguhkan setelah dia mengkritik penanganan pemerintah terhadap pandemi COVID-19. Situs berita Tempo.co dan Tirto.id juga menjadi korban peretasan awal bulan ini, tidak lama setelah mereka menerbitkan laporan yang berisi kritik terhadap kebijakan pemerintah.

Safenet telah mengevaluasi insiden ini dan menetapkan bahwa mereka dapat dikategorikan sebagai ancaman dunia maya yang ditargetkan, yang mengacu pada upaya terus menerus untuk menyusup ke perangkat dan infrastruktur jaringan. Organisasi tersebut mencatat setidaknya 29 serangan dunia maya yang ditargetkan tahun ini. Enam di antaranya terjadi pada Agustus.

“Kami menemukan ancaman ini menyasar kelompok berisiko seperti jurnalis, akademisi, aktivis antikorupsi, pembela hak asasi manusia, dan lain sebagainya. Serangan ini dilatarbelakangi oleh tujuan politik dan biasanya semakin merajalela ketika ada isu panas yang terjadi, seperti kontroversi RUU Omnibus Law dan krisis COVID-19 saat ini, ”kata Safenet Juniarto, menambahkan bahwa peretasan media sosial adalah yang paling umum. jenis serangan. Omnibus bill dirancang oleh pemerintah Indonesia untuk mengatur berbagai sektor bisnis. Para pendukung mengatakan undang-undang tersebut akan mempermudah berbisnis di Indonesia dan menarik investasi asing yang lebih tinggi. Namun, para kritikus mengatakan itu merusak hak-hak pekerja.

Pelaku di balik pelanggaran tersebut kemungkinan adalah mereka yang tersinggung atau bahkan terkena dampak kritik dari korban. Safenet “mengutuk keras” penyebaran intrusi digital bermotif politik yang berdampak pada keselamatan pribadi para aktivis dan jurnalis. Sayangnya, kasus-kasus seperti itu tidak dipandang sebagai prioritas aparat, kata Juniarto, yang organisasinya mendampingi para korban untuk melaporkan kasus tersebut ke polisi. Investigasi berjalan sangat lambat.

Safenet juga melaporkan kasus-kasus tersebut ke Komnas HAM, karena serangan tersebut melanggar kebebasan berbicara korban.

“Kami berkomunikasi dengan dewan perwakilan rakyat di komisi III yang bertanggung jawab atas masalah hak asasi manusia, hukum, dan perundang-undangan, serta urusan keamanan. Kami juga menghubungi ombudsman Indonesia dan komisi polisi nasional, karena kami berharap dapat menemukan solusi untuk masalah ini. Namun, tampaknya tidak semua orang memahami bahaya serangan siber yang dapat mencederai prinsip demokrasi dan fair governance,” ungkap Juniarto.

Sementara itu, kementerian TI telah meminta publik dan outlet media untuk tidak menuduh pemerintah mengarahkan peretasan ini tanpa mengutip bukti kuat. Dalam sesi diskusi dengan Tempo tentang “membungkam kritik selama pandemi” pada Kamis, Direktur Jenderal Penerapan dan Informasi Kementerian, Semuel Abrijani Pangerapan, mengatakan bahwa pemerintah terbuka untuk membantu menyelesaikan kasus-kasus tersebut dengan mengerahkan ahli forensik digital, selama korban melaporkan pengaduannya.

Sebagian besar pengguna media sosial, seperti Aprianto, percaya bahwa platform yang mereka masuki adalah tempat untuk diskusi terbuka, langsung, dan saling menghormati. “Maksud saya [menggunakan media sosial] adalah untuk mengedukasi masyarakat tentang pentingnya melindungi data dan privasi mereka di internet, serta terus mengingatkan perusahaan dan organisasi agar lebih optimal dalam melindungi data penggunanya,” ujar sang white hat hacker.

“Saya berharap pemerintah akan melakukan sesuatu tentang [serangan siber] ini untuk memastikan setiap orang memiliki kesempatan untuk berbicara dan mengekspresikan diri melalui platform digital.”


Artikel ini pertama kali dirilis oleh KrASIA. Kembali dirilis sebagai bagian dari kerja sama dengan DailySocial

Beware of Private Data Sharing

The government officially submitted the draft of Personal Data Protection Act (PDP Bill) to the Indonesian Parliament. This draft will be discussed immediately after the completion of the Omnibus Law Act.

Based on the draft as of December 2019, the PDP Bill contains 72 articles and 15 chapters governing the definition of personal data, types, ownerships, processing, exceptions, controllers and processors, transmissions, authorized institutions that regulate personal data, and resolution. In addition, it regulates international partnerships and sanctions imposed for misuse of personal data.

While waiting for the regulation to be ratified, whose authority is in the People’s Representative Council (DPR), we need to know more about how to interpret in daily life. What is the impact before and after the regulation for the public?

Understanding the types of data based on the PDP Act draft

Source: Pixabay
Source: Pixabay

The PDP Bill defines personal data as any data about a person, whether identified and can be identified separately or combined with other information, directly or indirectly, electronic and non-electronic systems.

Types of personal data are divided into two, the general and specific data. The general category includes data that can be accessed through public services or listed in official identity. For example, your full name, gender, nationality, religion, and personal data must be combined to make it possible to identify someone.

Meanwhile, specific data is data that is sensitive to the safety and comfort of the life of the owner of personal data, namely health data and information, biometric data, genetic data, sexual orientation, political views, crime records, child data, personal financial data, and/or other data in accordance with statutory provisions. In order to get these data, approval from the owner is necessary.

What should be appreciated and fixed

SAFEnet’s Executive Director, Damar Juniarto said, the PDP Bill refers to one of the fundamentals of the 1945 Constitution article 28 paragraph G stated the philosophical basis of personal data protection, the guarantee of citizens’ self-protection.

Therefore, there are three things must be stated the PDP Bill. The right to personal, family, honor, dignity and property protection; the right to security; and the right of protection against the threat of fear to do or not do something.

The assessment he made for the PDP Bill contents was a progressive step in ensuring the certainty of the citizens’ self-protection. “SAFEnet welcomes the presence of the PDP Bill which will soon be discussed at the Commission I of the DPR RI,” Damar said in a written statement.

Source: Pixabay
Source: Pixabay

This bill, he continued, succeeded in formulating the concept of upholding data sovereignty; outline a longer draft of April 2019 in specific personal data; provide recognition of important basic rights in the principle of the right to privacy such as the need for citizen consent in data collection, the right to correction, and the right to withdraw data; emphasized on the time limit while residents withdraw the data; and sanction violations.

On the other hand, the part that needs improvement is the dimming of important issues that have been a public concern, such as profiling issue, illegal tapping by state institutions and corporations, alleged buying and selling of personal data by state institutions and discriminating sanctions against individuals and corporations that committed violation.

“Profiling can only be stopped whether residents raise objections as contained in article 10. Frankly, in SAFEnet’s view, this is not enough. Profiling must be included in specific personal data because it is an important protection against the threat of oneself and protection of the right to do or not do something.”

Illegal tapping, defined as an effort to acquire personal data by planting spyware on smartphone devices, collecting data through an unknown cloud, or applying AI in the form of facial recognition technology.

Discrimination of legal sanctions threatens an injustice feeling of the community for the right to privacy. The ITE Law, which was issued over 10 years ago, has problems with the number of convicted citizens and criminal proceedings during unfair law enforcement and justice.

“Reflection on the implementation of digital law needs to be taken into consideration in determining appropriate legal sanctions for those who commit personal data violations.”

He thought in general, the PDP Bill narrowed the right to privacy to the extent of protecting personal data. Therefore, what should be the scope of this law is reduced to the issue of personal data. Whereas today, data is closely related to the lives of the human owners and when abused will endanger the lives of these people due to the possibility of crime.

“There is a right to security attached to it [PDP bill]. Therefore, it might sound like the PDP bill emphasized personal data definition as merely a commodity. Whereas personal data is not just a commodity, it concerns the virtual human dignity, the PDP Bill must protect the human being involved, not only the data.”

Once passed..

Source: Pixabay
Source: Pixabay

Once the regulation passed, the greatest power you have for companies that collect your data and liability is to request for data removal. On the other side, the greatest right – or perhaps the most competed – is the ability to stop companies from selling your data to other parties, such as advertisers.

Selling data has been the most irritating issue for consumers. The condition does not apply when you consciously enter a photo in your Facebook account or enter your home address in the e-commerce application. Unlike the case, if they cash it, therefore, other companies you’ve never visited create a profile without your knowledge or approval.

The word “sell” does not mean literally in the form of money. When the company gains something or other benefits from your data for others, it can be categorized as selling. Exceptions only apply when the company sends data to “service providers” if the e-commerce site shares your credit card number and processes payments to complete the sale.

Data selling is a very sensitive issue for technology companies, especially giants like Google and Facebook, and the time when the Cambridge Analytica scandal hit Facebook. Data is the new oil.

The PDP bill also applies to office buildings that often request visitor data and photograph faces. This regulation accommodates data collectors to declare their purpose as retrieving data and guarantee its safety. As often the issues of data leak anywhere and anytime.

Global company concern of data security

Last year, Digital Rights Ranking has created a report titled The 2019 Ranking of Digital Rights Corporate Accountability Index, a piece of basic knowledge for everyone on how concerned global technology companies are about the security of their users’ data.

Of the companies surveyed, some are running the business in Indonesia, which considers this report more or less correlated. As it was mentioned from 24 famous global technology and telco, Microsoft ranked the first, followed by Google and Verizon Media. Next, from telco are Telefonica, Vodafone, and AT&T.

Corporate Accountability index

There are 35 indicators for the 24 companies that were evaluated, examined the matter of commitments, policies, and practices that affect freedom of expression and privacy, including corporate governance and accountability mechanisms. This index score represents the extent to which companies meet minimum standards. There are several companies that score above 50 (on a scale of 100).

Overall, there has been some progress, although some issues remain since the Index was released in 2015. Does everyone still lacking basic information about who is controlling their ability to connect, talk online, or access information, or who has the ability to access their personal information in any circumstance.

The government in some countries is quite responsive by issuing various supporting regulations. Whereas the company action to take decisive steps in respecting user rights has not been well conveyed. As a result, most companies still fail to reveal important aspects of how they handle and secure personal data.

“Despite new regulations in the European Union and other countries, most global internet users still lack basic facts about who can access their personal information under what circumstances, and how to control their collection and use. Some companies have been found to disclose more than is required by law,” as stated in the 2019 RDR Index report.

What kind of data collected and how to stop it

Facebook and other technology companies are basically trying to create a data bank, by taking as much user information in one’s profile. The goal is none other, looking for inspiration for what products are and will be needed by consumers, to have it on target when it’s launched.

Fintech applications are more or less similar. Why can they withdraw funds quickly? because there is digital data made accessible by users to be analyzed by smart machines. Before the FSA intervened, they could access various data such as photo galleries, contact lists, SMS, calendars, cameras, microphones, and others that were actually less relevant to the application function.

Source: Pixabay
Source: Pixabay

Usually, there will be pop-up notifications for various access requests that are unknown or explained after downloading. Unfortunately, if one of the access requests is intentionally denied – applicable to the majority of apps – there will be flaws appeared that interfere with the user experience. Eventually, it forces the user to allow all requested access.

Due to the rise of illegal fintech players and victims, user’s smartphone data access is now limited to only cameras, locations, and microphones. All three are permitted by regulators for legal fintech players.

The way to find out what data is requested by the application is quite easy and available for check. On Google Play, try to check at the bottom of the “About this app” section, there is detailed information related to the application. There will be “App permissions,” and choose to “See more.” There will be a clear statement of access to any information requested by the application.

In general, companies will state privacy policies on their sites at the very bottom. It consists of data they take from users, the purpose of use, and its commitment to protecting user privacy from third parties.

Unfortunately, due to the insignificant location, it often passed the user’s sight. The long arrangement with a small size font only creates more reason for users to not take a look and enjoy reading it. Even though the information conveyed is very important.

Gojek

In the Privacy Policy section, they explain the details of data collected directly from users or their mobile devices, every time they use the application or visit a website, and information collected from third parties.

All the information is listed on the Gojek site. Some of these include name, address, date of birth, occupation, telephone number, fax, e-mail, bank account, credit card details, gender, official identification number, biometric information.

In one of its clauses, Gojek opens the opportunity to withdraw data with reasonable notice in writing. The consequence that users receive is that the account is terminated and cannot use applications or services for the future.

Tokopedia

Tokopedia is no different. They collect data submitted independently by users, unlimited data when filling out surveys on behalf of the company, interacting with other users with message features, product discussions, reviews, ratings, detailed transaction data. Continues, real location data such as IP address, Wi-Fi location, geo-location, cookie data, pixel tags, device data used to access the site, and other data obtained from other sources.

On further exploration, users are not given the freedom to remove data. Tokopedia will store information as long as the user account remains active and can carry out removal in accordance with applicable legal regulations.

Source: Pixabay
Source: Pixabay

Bukalapak

Meanwhile, Bukalapak opens the submission of data removal by attaching valid proof of identity and the reason for the request for removal. Bukalapak is to grant the request if it meets the requirements requested by the company.

Following these three applications can give a clear picture that the existence of this PDP bill is so important to give users full control of their data. Indeed, companies have an obligation to protect users if there is potential for fraud, but don’t data owners have more control over it?

Reflecting on global technology companies, some of them provide features that function to close data access utilized by third parties. Facebook and Google have released it, even though the intensity is still doubtful, but now users are given control to restrict access to their data.

Google (including YouTube)

google youtube privacy

Google’s main revenue is advertising. Last year’s advertising revenue from YouTube reached $15 billion, more than the combined advertising revenue from three private TV stations in the U.S., namely ABC, NBC, and Fox. Google claims to operate its ad network internally. However, if you want to stop Google from sharing data with its own division, there is a tool for it. This option is called “Ad personalization.” Simply slide the button to turn off the personalization.

Facebook

Whether this company does or doesn’t sell user data, this social media platform gives third parties access to a number of user information. For example, date of birth and email address. Spotify allows you to register as a user if you register through Facebook.

In order to close the access, you just have to go to the Facebook page. Then go to Settings > Apps and Websites. You will find which third parties can access Facebook data, just click which one will be disconnected.

Twitter

twitterprivacy

Twitter provides options for all users who want to leave custom personalized ads. You do this by going to the Settings and privacy page > Privacy and safety > Personalization and data and the slide button left to turn it off.

Spotify

spotifyprivacy

The music streaming application claims to not so sure whether the way they share data is counted as sales when it refers to regulations in California. However, they provide a tool for users who want to stop Spotify from advertisers by turning off the “Tailored ads” toggle in the Privacy settings page. This tool allows Spotify to use any data from your Facebook account for target ads.


Original article is in Indonesian, translated by Kristin Siagian

Mendalami isi draf RUU PDP dan data-data pribadi apa saja yang diambil perusahaan teknologi

Mawas Diri Berbagi Data Pribadi

Pemerintah resmi menyerahkan draf rancangan Undang Undang Perlindungan Data Pribadi (PDP) kepada DPR RI. RUU ini akan segera dibahas setelah selesai pembahasan RUU Omnibus Law.

Berdasarkan draf per Desember 2019, RUU PDP memuat 72 pasal dan 15 bab mengatur tentang definisi data pribadi, jenis, hak kepemilikan, pemrosesan, pengecualian, pengendali dan prosesor, pengiriman, lembaga berwenang yang mengatur data pribadi, dan penyelesaian sengketa. Selain itu, mengatur kerja sama internasional hingga sanksi yang dikenakan atas penyalahgunaan data pribadi.

Sembari menunggu beleid disahkan, yang kewenangannya ada di DPR, perlu tahu lebih dalam bagaimana menerjemahkannya dalam keseharian. Apa dampak sebelum dan sesudahnya buat masyarakat awam?

Memahami tipe data menurut draf RUU PDP

Sumber : Pixabay
Sumber : Pixabay

Draf RUU PDP mendefinisikan data pribadi adalah setiap data tentang seseorang, baik yang teridentifikasi dan dapat diidentifikasi tersendiri atau dikombinasikan dengan informasi lainnya, secara langsung maupun tidak langsung sistem elektronik dan non elektronik.

Jenis data pribadi terbagi dua, yakni data yang bersifat umum dan spesifik. Masuk kategori umum apabila diakses melalui pelayanan publik atau tercantum dalam identitas resmi. Misalnya, nama lengkap, jenis kelamin, kewarganegaraan, agama, dan data pribadi yang harus dikombinasikan sehingga memungkinkan untuk mengidentifikasi seseorang.

Sementara itu, data spesifik adalah data yang bersifat sensitif terhadap keamanan dan kenyamanan kehidupan pemilik data pribadi, yaitu data dan informasi kesehatan, data biometrik, data genetika, orientasi seksual, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai ketentuan perundang-undangan. Untuk mendapatkan data-data tersebut perlu persetujuan dari pemiliknya.

Yang perlu diapresiasi dan perlu diperbaiki

Menurut Direktur Eksekutif SAFEnet Damar Juniarto, RUU PDP mengacu dalam salah satu dasarnya UUD 1945 pasal 28 ayat G yang memuat dasar filosofis dari muara perlindungan data pribadi, yaitu terjaminnya perlindungan diri warga negara.

Oleh karenanya, ada tiga hal yang harus ada dalam RUU PDP. Hak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda; hak atas rasa aman; dan hak atas perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu.

Penilaian yang ia berikan buat isi RUU PDP ini adalah langkah progresif dalam menjamin kepastian atas perlindungan diri warga negara. “SAFEnet menyambut baik kehadiran RUU PDP yang akan segera dibahas di Komisi I DPR RI,” ujar Damar dalam keterangan tertulis.

Sumber : Pixabay
Sumber : Pixabay

RUU ini, sambungnya, berhasil merumuskan konsep penegakan kedaulatan data; menguraikan daftar lebih panjang dari rancangan April 2019 dalam data pribadi bersifat spesifik; memberikan pengakuan atas hak-hak dasar penting dalam prinsip hak atas privasi seperti perlunya persetujuan warga dalam pengambilan data, hak mengoreksi, dan hak menarik data; mempertegas berapa lama waktu yang harus dilakukan ketika warga menarik datanya; dan memberi sanksi atas pelanggaran.

Di sisi lain, bagian yang perlu diperbaiki, yakni meredupnya isu penting yang selama ini menjadi kecemasan publik, seperti soal profiling, penyadapan illegal oleh lembaga negara dan korporasi, dugaan jual beli data pribadi oleh Lembaga negara, dan diskrimasi sanksi terhadap perseorangan dan korporasi yang melakukan pelanggaran.

Profiling hanya bisa dihentikan bila ada warga yang mengajukan keberatan seperti termuat dalam pasal 10. Terus terang dalam pandangan SAFEnet ini tidak cukup. Profiling harus termasuk dalam data pribadi bersifat spesifik karena itu perlindungan penting dari upaya pengancaman diri seseorang dan perlindungan hak untuk berbuat atau tidak berbuat sesuatu.”

Penyadapan illegal, maksudnya adalah upaya menarik data pribadi dengan menanam spyware di perangkat smartphone, mengumpulkan data lewat cloud yang tidak diketahui keberadaannya, atau penerapan AI dalam bentuk teknologi facial recognition.

Diskriminasi sanksi hukum yang berbeda, mengancam timbulnya rasa keadilan yang diharapkan oleh masyarakat atas hak privasi. UU ITE yang telah disahkan sejak lebih dari 10 tahun lalu, punya persoalan terkait jumlah warga yang dipidana dan proses pidana saat penegakan hukum dan peradilan yang tidak adil.

“Refleksi atas pelaksanaan hukum digital perlu menjadi pertimbangan dalam menentukan sanksi hukum yang tepat bagi mereka yang melakukan pelanggaran data pribadi.”

Dia memandang, secara umum RUU PDP menyempitkan hak privasi menjadi sebatas perlindungan data pribadi saja. Sehingga apa yang seharusnya bisa menjadi ruang lingkup UU ini mengecil pada persoalan data pribadi. Padahal di zaman sekarang, data erat kaitannya dengan hidup manusia pemiliknya dan bila disalahgunakan akan membahayakan hidup orang tersebut karena rentan mengalami kejahatan.

“Ada hak atas rasa aman yang melekat padanya [RUU PDP]. Oleh karenanya, terasa kental dalam RUU PDP bagaimana pemaknaan data pribadi dianggap hanya sekadar komoditas. Padahal data pribadi bukanlah sekadar komoditas, melainkan menyangkut martabat manusia yang virtual tersebut, yang harus dilindungi dalam RUU PDP ini adalah manusianya, bukan sekadar datanya.”

Apabila disahkan..

Sumber : Pixabay
Sumber : Pixabay

Apabila beleid ini disahkan, ada kemampuan terbesar yang bisa Anda lakukan terhadap perusahaan yang mengumpulkan data Anda dan kewajiban buat mereka jika Anda meminta untuk menghapusnya. Di balik itu, hak terbesar –atau mungkin paling diperebutkan– yakni kemampuan untuk menghentikan perusahaan untuk menjual data Anda ke pihak lain, seperti pengiklan.

Menjual data adalah hal yang paling menjengkelkan bagi konsumen. Kondisi ini tidak berlaku ketika Anda secara sadar memasukkan foto di akun Facebook, atau memasukkan alamat rumah di aplikasi e-commerce. Beda halnya, jika mereka menguangkannya, sehingga perusahaan lain yang belum pernah Anda kunjungi membuat profil tanpa sepengetahuan atau persetujuan Anda.

Kata “menjual” secara harfiah bukan berarti harus melulu dalam bentuk uang. Jika perusahaan mendapatkan sesuatu atau manfaat lain dari data Anda untuk orang lain. Ini bisa dikategorikan sebagai penjualan. Pengecualian hanya berlaku ketika perusahaan mengirim data ke “penyedia layanan” jika situs e-commerce membagikan nomor kartu kredit Anda dan memroses pembayaran untuk menyelesaikan penjualan.

Isu menjual data begitu sensitif di mata para perusahaan teknologi, apalagi titan seperti Google dan Facebook, terutama saat skandal Cambridge Analytica menghantam Facebook. Data is the new oil.

RUU PDP juga berlaku untuk gedung perkantoran yang kerap meminta data pengunjung dan memfoto wajah. Beleid ini mengakomodasi pengambil data untuk mendeklarasi apa tujuan mereka mengambil data dan menjamin untuk melindunginya. Sebab sering ada kekhawatiran data bisa bocor di mana saja dan kapan saja.

Kepedulian perusahaan global terhadap keamanan data

Laporan yang dibuat Ranking Digital Rights pada tahun lalu bertajuk The 2019 Ranking Digital Rights Corporate Accountability Index, menjadi dasar pengantar untuk membekali kita semua, seberapa peduli perusahaan teknologi global terhadap keamanan data para penggunanya.

Dari sekian perusahaan yang disurvei, ada beberapa hadir di Indonesia, sehingga lebih kurang laporan ini punya korelasi. Disebutkan dari 24 perusahaan teknologi dan telekomunikasi global tersohor, Microsoft menempati posisi pertama, disusul Google dan Verizon Media. Lalu, dari perusahaan telekomunikasi adalah Telefonica, Vodafone, dan AT&T.

Dari 35 indikator untuk 24 perusahaan yang dievaluasi, memeriksa soal komitmen, kebijakan, dan praktik yang memengaruhi kebebasan berekspresi dan privasi, termasuk tata kelola perusahaan dan mekanisme akuntabilitas. Skor indeks ini mewakili sejauh mana perusahaan memenuhi standar minimum. Ada beberapa perusahaan yang mendapat skor di atas 50 (dari skala 100).

Secara keseluruhan ada beberapa kemajuan, meski tetap menyisakan masalah sejak Indeks ini dirilis pada 2015. Adalah semua orang masih kekurangan informasi dasar tentang siapa yang mengendalikan kemampuan mereka untuk terhubung, berbicara online, atau mengakses informasi, atau yang memiliki kemampuan untuk mengakses informasi pribadi mereka dalam keadaan apa.

Tindakan dari pemerintah di sejumlah negara cukup responsif dengan menerbitkan berbagai regulasi pendukung. Langkah sebaliknya dari perusahaan untuk mengambil langkah tegas belum tersampaikan dengan baik dalam menghormati hak-hak pengguna. Alhasil sebagian besar perusahaan masih gagal mengungkapkan aspek-aspek penting bagaimana mereka menangani dan mengamankan data pribadi.

“Meskipun ada peraturan baru di Uni Eropa dan negara lainnya, sebagian besar pengguna internet di dunia masih kekurangan fakta dasar tentang siapa yang dapat mengakses informasi pribadi mereka dalam keadaan apa, dan bagaimana mengontrol pengumpulan dan penggunaannya. Beberapa perusahaan ditemukan mengungkapkan lebih dari yang dipersyaratkan oleh hokum,” tulis laporan RDR Index 2019.

Data apa saja yang dikumpulkan dan cara menghentikan

Facebook dan perusahaan teknologi lainnya pada dasarnya berupaya untuk membuat bank data, dengan mengambil informasi sebanyak-banyaknya pengguna untuk bisa melihat profil seseorang. Tujuannya tak lain, mencari inspirasi produk apa yang sedang dan bakal dibutuhkan konsumen, agar saat diluncurkan nanti tepat sasaran.

Bagi aplikasi fintech pun kurang lebih mirip. Kenapa mereka bisa mencairkan dana dengan cepat? karena ada data digital yang aksesnya dibuka oleh pengguna untuk dianalisis oleh mesin pintar. Sebelum OJK turun tangan, mereka bisa mengakses berbagai data seperti galeri foto, daftar kontak, SMS, kalender, kamera, mikrofon, dan lainnya yang sebenarnya kurang relevan dengan fungsi aplikasi itu sendiri.

Sumber : Pixabay
Sumber : Pixabay

Setelah mengunduh, biasanya akan muncul pop up notifikasi berbagai permintaan akses yang tanpa diketahui atau dijelaskan mengapa mereka meminta akses tersebut. Celakanya, jika ada salah satu permintaan akses tersebut sengaja ditolak –berlaku untuk mayoritas aplikasi–muncul kecacatan fitur yang menganggu pengalaman pengguna. Akhirnya memaksa pengguna untuk memberikan semua akses yang diminta.

Karena muncul pemain fintech illegal dan korban yang berjatuhan, akhirnya pemberian akses data smartphone pengguna kini dibatasi hanya kamera, lokasi, dan mikrofon. Ketiganya adalah akses yang diperbolehkan oleh regulator buat para buat pemain fintech yang legal.

Cara mengetahui data apa saja yang diminta oleh aplikasi sebenarnya cukup mudah dan bisa dicek sendiri. Di Google Play, di dalam bagian “About this app” coba cek di bagian terbawah ada informasi detail terkait aplikasi tersebut. Akan ada tulisan “App permissions,” lalu pilih “See more.” Di sana akan terpapar jelas akses informasi apa saja yang diminta oleh aplikasi.

Umumnya juga, perusahaan mencantumkan dalam situsnya di bagian paling bawah mengenai kebijakan privasi. Berisi data-data apa saja yang mereka ambil dari pengguna, lalu menjelaskan tujuan penggunaan, dan komitmennya menjaga privasi pengguna dari pihak ketiga.

Sialnya karena diletakkan paling bawah, tidak menjadi sorotan pengguna. Susunannya yang panjang dengan ukuran yang kecil, menambah alasan buat pengguna untuk semakin tidak tertarik untuk membaca sampai selesai. Padahal informasi yang disampaikan begitu penting isinya.

Gojek

Di bagian Kebijakan Privasi mereka menjelaskan rincian data-data yang dikumpulkan langsung dari pengguna atau perangkat selulernya, setiap kali menggunakan aplikasi atau mengunjungi situs web, dan informasi yang dikumpulkan dari pihak ketiga.

Seluruh detail informasi data dicantumkan dalam situs Gojek. Beberapa di antaranya nama, alamat, tanggal lahir, pekerjaan, nomor telepon, faks, e-mail, rekening bank, detail kartu kredit, jenis kelamin, nomor identifikasi resmi, informasi biometrik.

Dalam salah satu klausulnya, Gojek membuka kesempatan untuk menarik data dengan pemberitahuan wajar secara tertulis. Konsekuensi yang diterima pengguna adalah akun dihentikan dan tidak bisa menggunakan aplikasi atau layanan untuk masa depan.

Tokopedia

Tokopedia juga tidak jauh berbeda. Mereka mengumpulkan data-data yang diserahkan secara mandiri oleh pengguna, tidak terbatas data saat mengisi survei atas nama perusahaan, melakukan interaksi dengan pengguna lainnya dengan fitur pesan, diskusi produk, ulasan, rating, data transaksi yang detail. Berlanjut, data lokasi riil seperti alamat IP, lokasi Wi-Fi, geo location, data cookies, pixel tags, data perangkat yang digunakan untuk mengakses situs, dan data lainnya yang diperoleh dari sumber lain.

Saat ditelusuri lebih jauh, pengguna tidak diberi kebebasan untuk untuk menghapus data. Tokopedia akan menyimpan informasi selama akun pengguna tetap aktif dan dapat melakukan penghapusan sesuai dengan ketentuan peraturan hukum yang berlaku.

Sumber : Pixabay
Sumber : Pixabay

Bukalapak

Sementara itu, Bukalapak membuka pengajuan penghapusan data dengan melampirkan bukti diri yang sah dan alasan permintaan penghapusan. Bukalapak akan mengabulkan permintaan tersebut jika memenuhi ketentuan yang diminta perusahaan.

Mencontoh dari tiga aplikasi ini saja bisa memberi gambaran jelas bahwa keberadaan RUU PDP ini begitu penting untuk mengembalikan pengguna kontrol penuh terhadap data mereka. Memang, perusahaan punya kewajiban untuk melindungi pengguna apabila ada potensi penipuan, tapi bukankah pemilik data punya kontrol lebih untuk itu?.

Berkaca pada perusahaan teknologi global, beberapa dari mereka menyediakan fitur yang berfungsi untuk menutup akses data dimanfaatkan oleh pihak ketiga. Facebook dan Google sudah merilisnya, meskipun masih disangsikan intensinya, tapi kini pengguna diberi kontrol untuk membatasi akses data mereka.

Google (termasuk YouTube)

Revenue utama Google adalah iklan. Pendapatan iklan dari YouTube pada tahun lalu mencapai $15 miliar, lebih dari pendapatan iklan gabungan dari tiga stasiun TV swasta di A.S, yakni ABC, NBC, dan Fox. Google mengklaim mengoperasikan jaringan iklannya secara internal. Namun, jika Anda ingin menghentikan Google berbagi data dengan divisinya sendiri, ada tool yang siapkan. Opsi ini disebut “Ad personalization.” Cukup geser slide agar personalisasi tersebut dimatikan.

Facebook

Entah perusahaan ini benar atau tidak menjual data pengguna, platform media sosial ini memberi akses kepada pihak ketiga untuk mengakses sejumlah informasi pengguna. Misalnya, tanggal lahir dan alamat email. Spotify memungkinkan Anda untuk mendaftar sebagai penggunanya, jika mendaftar melalui Facebook.

Untuk menutup akses tersebut, Anda cukup masuk ke laman Facebook. Lalu masuk ke Settings > Apps and Websites. Di dalam situ, Anda akan melihat pihak ketiga mana saja yang bisa mengakses data Facebook, cukup klik mana saja yang akan diputus.

Twitter

Twitter menyediakan opsi buat semua pengguna yang ingin keluar dari iklan yang sudah dipersonalisasi berdasarkan kebiasaan. Caranya dengan masuk ke laman Settings and privacy > Privacy and safety > Personalization and data dan slide tombolnya kekiri untuk mematikannya.

Spotify

Aplikasi streaming musik ini mengaku tidak begitu yakin apakah cara berbagi data yang mereka lakukan apakah dihitung sebagai penjualan, jika mengacu pada regulasi di California. Akan tetapi, mereka menyediakan tool untuk pengguna yang ingin menghentikan Spotify dari pengiklan dengan mematikan toggle “Tailored ads” di dalam laman pengaturan Privasi. Tool ini memungkinkan Spotify untuk menggunakan data apapun dari akun Facebook Anda untuk menargetkan iklan kepada Anda.

Data pribadi punya nilai ekonomi yang tinggi secara agregat. Mengenal dan melindungi data pribadi adalah suatu keharusan

Mengenal dan Menjaga Pentingnya Data Pribadi

Penyalahgunaan data pribadi merupakan keniscayaan dalam arus informasi yang begitu cepat seperti sekarang. Celahnya ada di mana-mana. Sekali tak antisipasi, dampaknya bisa merembet ke mana saja.

Data pribadi merupakan jenis data yang meliputi identitas kependudukan seperti nama lengkap, NIK, tanggal lahir, hingga tempat tinggal. Pasal 6 ayat 3 RUU Perlindungan Data Pribadi menyebut apa yang dimaksud data pribadi mencakup keyakinan, data kesehatan, biometrik, genetika, kehidupan seksualitas, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, keterangan tentang kecacatan fisik dan mental. Meski masih belum disahkan, definisi tersebut memberi gambaran jelas tentang spektrum data pribadi.

Dalam era digital seperti sekarang, data adalah segalanya. Saat seseorang menikmati suatu layanan digital secara gratis, disadari atau tidak, dapat dipastikan mereka membayarnya dengan data.

Cara termudah mengetahui suatu perusahaan digital mengambil data sebagai “ongkos” layanannya adalah dengan mengintip izin aplikasi mereka. Ambil contoh Facebook. Di Google Play terlihat Facebook meminta hampir 40 jenis akses ke ponsel yang hendak mengunduhnya, mulai dari akses mengambil gambar dan video, merekam audio, lokasi akurat, hingga memanggil nomor telepon yang ada di kontak.

Nilai dari Data

Sebelumnya harus dipahami bahwa ada tiga jenis data kita yang dapat dipanen oleh pihak lain dari yakni: data sukarela diberikan, data yang diamati, dan data yang disimpulkan. Seperti namanya, data sukarela adalah data yang diberikan secara sukarela ke platform online, seperti yang kita lakukan saat registrasi ke suatu layanan. Sementara data hasil observasi adalah data yang diambil dari aktivitas online seseorang seperti riwayat peramban serta lokasi GPS. Terakhir, data yang disimpulkan merupakan gabungan dua jenis data sebelumnya.

Ketiga jenis data itu tentu berharga, terutama untuk perusahaan digital yang membutuhkan banyak sekali pasokan data untuk memoles produknya. Laporan The Atlantic menyebutkan data dari satu akun profil seseorang setara US$0,005. Sementara Google dan Facebook dilaporkan dapat memeras keuntungan masing-masing US$5 dan US$20 dari data tiap penggunannya.

Di Indonesia, data pribadi belum dianggap hal penting oleh masyarakat luas. Ini menjadi masalah ketika layanan digital sudah mengepung hampir semua sendi lapisan hidup masyarakat.

Literasi digital ini yang kemudian dimanfaatkan oleh beberapa pihak yang mencuri dan menyalahgunakan data pribadi yang bukan miliknya. Kasus yang ditemukan Hendra Hendrawan (23) dalam sebuah grup Facebook bernama Dream Market Official merupakan contoh bagaimana rentannya data pribadi disalahgunakan.

Hendra menemukan grup itu bebas memperjualbelikan jutaan data pribadi orang-orang dalam NIK dan KK pada 26 Juli lalu. Investigasi Kompas mendapati data pribadi yang diperjualbelikan di kalangan tenaga pemasaran kartu kredit merentang dari Rp300 hingga Rp50.000 per data. Data itu memuat sejumlah informasi dari nama lengkap, alamat, nomor telepon, nama ibu kandung, hingga kemampuan finansial seseorang. Ia lantas melaporkan kejadian ini ke publik dan mendapat respons dari Kementerian Dalam Negeri.

Pada kasus yang berbeda, ada banyak warga yang datanya diambil dan disalahgunakan. LBH Jakarta terakhir mengumumkan ada 5.000 lebih pengaduan terkait penyalahgunaan data pribadi. Kasus yang mereka tangani salah satunya berasal dari pinjaman uang online. Contoh imbas terburuk dari penyalahgunaan data ini adalah pelecehan seksual hingga perundungan.

Koordinator Regional SAFEnet (Southeast Asia Freedom of Expression Network) Damar Juniarto kepada DailySocial menjelaskan, banyaknya kasus penyalahgunaan data pribadi tak lepas dari tingkat literasi digital masyarakat yang masih rendah.

Damar mengatakan, terlepas dari motivasi para pelaku, masyarakat masih kesulitan membedakan mana data yang bisa disebar ke publik dan mana yang tidak. Bahkan hingga saat ini, cukup dengan menelusuri mesin pencari, seseorang bisa menemukan data pribadi seperti NIK dan KK.

Kesulitan serupa juga muncul ketika mengunduh suatu aplikasi tanpa menengok izin akses yang mereka berikan ke pihak aplikasi. Masalahnya, sebanyak dan semengganggu apa pun suatu aplikasi meminta akses ke data penggunanya, permintaan itu bersifat legal jika pengguna menyetujui permintaan saat memasang aplikasi tersebut.

“Misal saat memasang aplikasi, kita wajib mempertimbangkan saat apps minta permission. Saat minta permission untuk akses kamera misalnya, harus dipikir itu perlu atau tidak,” ujar Damar.

Damar menyarankan pengguna media sosial tidak memperlihatkan data-data yang bersifat sensitif baik di bio maupun profil mereka.

Namun potensi penyalahgunaan data tak hanya berasal dari aktivitas online seseorang. Tak sedikit aktivitas offline dapat berakibat pada penyebaran data pribadi kita.

Contoh paling mudah adalah fotokopi KTP yang tercecer. Kerawanan yang sama juga ada ketika permintaan meninggalkan KTP dan nomor telepon ketika hendak memasuki suatu gedung.

“Kalau untuk masuk akses gedung harus wajib kasih KTP enggak masalah. Yang jadi persoalan kalau dia minta data lebih dari itu seperti nomor telepon. Padahal kan enggak ada hubungannya. Itu bisa disiasati dengan mengganti tiga nomor terakhir,” saran Damar.

Menolak Data Digunakan

Ketika data pribadi sudah tersebar ke banyak tangan, tak banyak yang bisa dilakukan. Namun dalam konteks telepon telemarketing yang kerap mengganggu, pengguna bisa meminta. Ini memungkinkan karena ada aturan hukum yang mendukungnya.

Aturan pertama adalah Peraturan Otoritas Jasa Keuangan (POJK) Nomor 1/POJK.7/2013. Aturan itu melarang telepon atau SMS penawaran produk dari bank, lembaga keuangan lain, dan telemarketing freelance yang memakai telepon seluler. Masyarakat dapat mengadu ke OJK di nomor telepon (021) 5006555 jika mendapat telepon atau SMS penawaran produk.

Pasal 17 Undang-undang Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik juga melarang secara tidak langsung marketing. Beleid itu menyatakan informasi pribadi, termasuk nomor telepon, sebagai informasi yang bersifat rahasia. Terakhir, negara sendiri sudah mengakui privasi dalam Pasal 5 ayat (1), Pasal 20, Pasal 28 G ayat (1), Pasal 28 H ayat (4), dan Pasal 28 J UUD 1945.

Pentingnya UU Perlindungan Data Pribadi

Kendati sudah ada beberapa aturan yang mengatur mengenai data, Damar menilai publik tetap membutuhkan aturan khusus yang fokus menangani data yakni UU Perlindungan Data Pribadi (PDP).

Keberadaan UU PDP, menurut Damar, akan memayungi aturan mengenai data yang tersebar di berbagai sektor. Pada akhirnya beleid ini akan memudahkan negara dan masyarakat dalam menangani kasus penyalahgunaan data yang kerap kali dilakukan secara terpisah dan memakan waktu karena butuh koordinasi antarsektor.

“Kalau UU PDP ini muncul, dia akan jadi omnibus law yang memayungi semuanya menjadi lebih kuat,” pungkas Damar.

Sayangnya kebutuhan akan UU PDP ini masih terganjal dalam proses legislasi. Setelah beberapa tahun berbentuk draf, Rancangan UU PDP berhasil masuk daftar prioritas program legislasi nasional di DPR. Namun hingga sekarang ketika masa kerja DPR berakhir, rancangan itu tak kunjung disahkan.