Data Pribadi, Sampai Kapan Tak Terlindungi?
Ilustrasi data pribadi di dunia siber. Foto: Emerging Europe
“Kemudian daripada itu, untuk membentuk suatu Pemerintah Negara Indonesia yang melindungi segenap bangsa Indonesia dan seluruh tumpah darah Indonesia…” (UUD 1945)
Beberapa waktu lalu pada Agustus 2021, beredar temuan yang menyatakan bahwa data pribadi warga negara Indonesia yang tersimpan di layanan Electronic Health Alert Card (eHAC) memiliki celah yang rentan disalahgunakan oleh pihak yang tidak bertanggung jawab untuk mengakses dan membocorkan data tersebut. Terdapat 1,3 juta data pribadi warga yang dilaporkan berisiko bocor dari platform itu oleh tim peneliti keamanan dari VPN Mentor, sebuah penyedia layanan enkripsi data online. Temuan tersebut telah disampaikan kepada lembaga pemerintah terkait, salah satunya Badan Siber dan Sandi Negara (BSSN).
Aplikasi eHAC digunakan untuk menguji dan melacak orang yang hendak bepergian dalam rangka upaya pemerintah Indonesia untuk menggencarkan tracing dan meredam penyebaran virus COVID-19. Meskipun aplikasi tersebut saat ini sudah tidak digunakan dan telah digantikan oleh aplikasi PeduliLindungi, temuan tersebut mengingatkan kita untuk kesekian kalinya, bahwa saat ini perlindungan data pribadi warga negara Indonesia di dunia maya masih tergolong sangat lemah.
Ini pun bukan kali pertama terdapat kasus mengenai kebocoran data pribadi daring di Indonesia. Pada bulan Mei 2021 lalu, sistem Badan Penyelenggara Jaminan Sosial (BPJS) mengalami pembobolan yang mengakibatkan 279 juta data peserta BPJS diakses dan dijual ke forum peretas; data tersebut mencakup nama lengkap, KTP, nomor telepon, dan alamat penduduk. Kejadian ini sangat merugikan bagi warga karena datanya dapat disalahgunakan untuk kejahatan siber, seperti penggunaan pinjaman online yang pembayarannya dibebankan pada korban atau pembobolan rekening bank korban untuk mencuri simpanan mereka secara langsung. Pemerintah pun turut dirugikan karena programnya telah terbukti memiliki ancaman keamanan. Di tengah pandemi yang sangat berdampak terhadap kesejahteraan dan keselamatan warga Indonesia, hal seperti ini seharusnya dapat dihindari atau diatasi agar masyarakat dapat terlindungi oleh negaranya, seperti yang diamanatkan pada Pembukaan UUD 1945.
Lalu, apa yang dilakukan pemerintah Indonesia untuk merespon kasus itu? Kementerian Komunikasi dan Informatika (Kominfo) hanya memblokir situs-situs yang menyebarkan data tersebut. Ibarat ada rumah warga yang dibobol maling melalui jendela yang terbuka, Kemkominfo hanya sekadar mengunci pintu rumah (yang sudah kemalingan!) tersebut dan terkesan berpangku tangan. Mengapa tidak membangun pagar tinggi di sekeliling rumah? Mengapa tidak terlihat ada effort untuk mengejar dan menangkap pelakunya? Apa esensinya kalau cuma memblokir situs? Hanya menciptakan ilusi rasa aman di tengah bahaya yang masih mengancam!
Di era digitalisasi yang terus berkembang pesat, kasus seperti ini seharusnya dapat diantisipasi dari jauh-jauh hari. Sebagai salah satu negara dengan jumlah pengguna internet terbanyak di dunia—196 juta pengguna, menurut data Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) pada tahun 2019—Indonesia memiliki potensi sekaligus risiko yang besar. Baik sektor swasta maupun publik sama-sama telah bergerak menuju penyediaan layanan melalui aplikasi berbasis daring karena berbagai kemudahan yang ditawarkan; dari layanan transportasi umum, online marketplace, sampai administrasi publik, semuanya telah menjadi bagian dari kehidupan sehari-hari kita, khususnya warga Indonesia di wilayah urban dengan tingkat penetrasi internet yang tinggi. Maka dari itu, agar pengguna dapat menjalani kehidupan sehari-hari dengan aman, pengembang sistem harus dapat membangun aplikasi yang menjamin kerahasiaan data penggunanya, sedangkan pemerintah serta DPR harus menyediakan payung hukum yang dapat menjamin perlindungan data tersebut dan mencegah kerugian warga, serta menindak tegas siapapun yang melanggarnya.
Hal ini sudah disadari oleh sebagian besar masyarakat Indonesia. Menurut hasil survei Communication & Information System Security Research Center (CISSReC) pada tahun 2017 mengenai tingkat kesadaran masyarakat tentang keamanan informasi, 74% responden memahami dan menyadari bahwa memasukkan data pribadi ke aplikasi atau layanan daring berpotensi mengganggu privasi mereka. Meskipun hanya 19% dari mereka yang menyatakan pernah menjadi korban hacking, 75% menyatakan kekhawatirannya bahwa sewaktu-waktu data pribadi mereka di internet dapat disalahgunakan. Perbankan (54%) dan e-mail (29%) merupakan layanan daring yang dianggap sangat menjaga perlindungan privasi penggunanya, sedangkan hanya 11% yang menganggap media sosial dapat melakukan hal itu, padahal Indonesia merupakan salah satu negara dengan jumlah pengguna media sosial aktif terbanyak di dunia. Terakhir, mengenai regulasi yang mengatur perlindungan data pribadi, 85% responden mengaku tidak mengetahui informasi tentangnya.
Hasil survei tersebut menggambarkan bahwa urgensi dibuat dan ditetapkannya regulasi khusus mengenai perlindungan data sangat tinggi. Mengacu pada pernyataan Blandina Lintang Setianti, peneliti di Lembaga Studi & Advokasi Masyarakat (ELSAM), saat ini sebenarnya terdapat 32 regulasi di tingkat nasional yang berkaitan dengan pengelolaan data, terdistribusi mulai dari KUHP dan UU ITE sampai UU Kesehatan dan UU Perbankan. Namun, ia menilai bahwa kesemuanya tidak sinkron karena masing-masing regulasi memiliki pengaturan perlindungan data sendiri-sendiri, sehingga wajar saja bila masyarakat tidak banyak yang mengetahui tentang regulasi tersebut. Oleh karena itu, diperlukan suatu produk hukum yang dapat memayungi semua isu krusial seputar data pribadi di Indonesia, di antaranya definisi dan ruang lingkup data pribadi, hak-hak pemilik data, prinsip-prinsip perlindungan data pribadi, kelembagaan dan pengawasan independen, sampai penggunaan dan pengecualian.
Jika kita mengacu pada belahan dunia lain, seperti di Uni Eropa, telah terdapat General Data Protection Regulation (GDPR) yang menjadi acuan negara-negara Eropa untuk mengatur proteksi dan privasi data warganya. Sementara itu di Indonesia, sampai hari ini, Rancangan Undang-Undang Perlindungan Data Pribadi (RUU-PDP) yang diharapkan dapat menjadi jawaban atas keresahan tersebut masih belum kunjung disahkan. Padahal, regulasi tersebut pertama kali dijadwalkan untuk rampung pada 2019, tetapi berbagai hambatan membuatnya masih nyangkut di tahap pembahasan. Masalah yang paling menghambat saat ini sebenarnya bukan kurangnya kesadaran di kalangan pembuat kebijakan, tetapi adanya ketidaksesuaian pendapat antara pemerintah (diwakili oleh Kemkominfo) dengan Komisi I DPR-RI mengenai lembaga penyelenggara perlindungan data pribadi.
Di satu sisi, pemerintah menginginkan posisi lembaga tersebut berada di bawah naungan Kemkominfo, karena perlindungan data pribadi merupakan tanggung jawab pemerintah pada warganya. Di sisi lain, DPR menghendaki lembaga tersebut bersifat independen dan langsung bertanggung jawab pada Presiden, karena jika suatu saat terjadi kasus kebocoran data di lembaga pemerintah, dikhawatirkan akan sulit diberikan sanksi karena posisi hierarkis tersebut. Terlepas dari pengaturan mana yang tepat, semestinya pemerintah bersama DPR dapat menimbang pro-kontra keduanya secara objektif dan cepat, agar masyarakat tidak perlu menunggu terlalu lama lagi untuk dapat memperoleh perlindungan data yang sepantasnya. Harapannya, kita tidak perlu menyaksikan adanya kasus kebocoran data (lagi!) ke depannya untuk bisa tersadar betapa penting dan mendesaknya kebutuhan akan regulasi perlindungan data pribadi.
Meskipun UU PDP nantinya dapat disahkan dan ditegakkan, permasalahan seputar keamanan warganet Indonesia di dunia maya tidak dapat dipastikan akan 100% teratasi. Sebagai contoh, Indonesia juga memerlukan adanya regulasi tentang keamanan dan ketahanan siber untuk menghadapi ancaman cyber warfare di masa yang akan datang. Namun, UU ini setidaknya bisa menjadi fondasi yang kuat bagi Indonesia untuk dapat menciptakan ekosistem digital yang lebih terjamin keamanannya untuk kita semua.
Referensi:
BEM Fasilkom UI. (2020, August 13). Memperingati HAKTEKNAS: Apa Kabar RUU PDP? [Video]. YouTube. https://www.youtube.com/watch?v=tL8tUvWz-AQ
Burhan, F. A. (2021a, June 25). Kebocoran Data BPJS Kesehatan Disebut Bikin Rugi Negara Rp 600 Triliun. Katadata..https://katadata.co.id/desysetyowati/digital/60d58c9c4538a/kebocoran-data-bpjs-kesehatan-disebut-bikin-rugi-negara-rp-600-triliun
Burhan, F. A. (2021b, July 8). Silang Pendapat RUU PDP, Ahli IT Ingin Lembaga Pengawas Independen. Katadata..https://katadata.co.id/intannirmala/digital/60e6dfbb4b74a/silang-pendapat-ruu-pdp-ahli-it-ingin-lembaga-pengawas-independen
CISSReC. (2017, June). Tingkat Kesadaran Masyarakat Tentang Keamanan Informasi. Communication & Information System Security Research Center. https://drive.google.com/file/d/0B9wbYYxDqntzeUZCcVFBRlQwUlE/view?resourcekey=0-025OxO4A9SZZwuH-uP-RIA
Deretan Kasus Bocor Data Penduduk RI dari Server Pemerintah. (2021, September 1). CNN Indonesia. https://www.cnnindonesia.com/teknologi/20210901150749-185-688400/deretan-kasus-bocor-data-penduduk-ri-dari-server-pemerintah
Eloksari, E. A. (2020, November 11). Indonesian internet users hit 196 million, still concentrated in Java: APJII survey. The Jakarta Post. https://www.thejakartapost.com/news/2020/11/11/indonesian-internet-users-hit-196-million-still-concentrated-in-java-apjii-survey.html
General Data Protection Regulation. (2015). Council of the European Union.
Riyanto, G. P. (2021, September 2). Orang Indonesia Hanya Bisa Pasrah Kalau Ada Kebocoran Data. Kompas.Com..https://tekno.kompas.com/read/2021/09/02/13020027/orang-indonesia-hanya-bisa-pasrah-kalau-ada-kebocoran-data?page=all
Suwana, F. (2018, March 2). Indonesia urgently needs personal data protection law. The Conversation. https://theconversation.com/indonesia-urgently-needs-personal-data-protection-law-91929
Widianto, S. (2021, August 31). Indonesia probes suspected data breach on COVID-19 app. Reuters. https://www.reuters.com/technology/indonesia-probes-suspected-data-breach-covid-19-app-2021-08-31
Kenzie Ryvantya adalah mahasiswa Ilmu Politik Universitas Indonesia. Dapat ditemukan di Instagram dan Twitter dengan nama pengguna @kenzie_sr
Tentang Penulis
