Data pengguna layanan Internet Indonesia kini bak berada di mulut buaya yang akan diterkam singa. Pemerintah melalui Peraturan Menteri Komunikasi dan Informatika Nomor 5 Tahun 2020 bisa meminta akses terhadap data pengguna yang selama ini berada di tangan penyelenggara sistem elektronik (PSE) untuk alasan “pengawasan”. 

Peraturan yang lahir pada 16 November 2020 dan berlaku mulai 24 Mei 2021 ini mengatur pembatasan hak asasi tertentu seperti hak akses Internet dan hak atas informasi melalui perintah pemutusan akses Internet. Peraturan bernama resmi Penyelenggara Sistem Elektronik (PSE) Lingkup Privat ini juga mengadakan hak dan kewajiban baru seperti kewajiban penyelenggara sistem elektronik memberikan akses data pengguna kepada pemerintah.

Jika PSE tak memberikan akses, sejumlah ancaman menunggu. Salah satunya adalah pemblokiran akses (access blocking) terhadap PSE tersebut. Sejak 24 Mei 2021 lalu, para PSE ini juga sudah harus mendaftarkan diri ke pemerintah agar bisa tetap beroperasi di Indonesia.

Pasal 21 menyebutkan, PSE Lingkup Privat wajib memberikan akses terhadap Sistem Elektronik dan/atau Data Elektronik kepada Kementerian atau Lembaga dalam rangka pengawasan sesuai dengan peraturan perundang-undangan. Hak akses terhadap data pengguna ini bukan untuk penegakan hukum, namun untuk pengawasan berdasarkan kriteria yang juga disusun sendiri oleh instansi pemerintah tertentu.

Kewenangan untuk menerobos hak privasi ini jelas tak sesuai dengan kaidah hukum internasional dan hak asasi manusia. Pembatasan hak asasi manusia, dalam hal ini hak privasi, harusnya berdasarkan hukum (prescribed by law), tujuan yang sah (legitimate aim) dan diperlukan (necessary). 

Berdasarkan hukum artinya harus berupa perintah undang-undang yang dibuat atau dirumuskan bersama parlemen (legislatif) atau putusan pengadilan. Peraturan Menteri bisa mengatur teknis pembatasan hak asasi manusia jika memang ada perintah Undang-undang untuk itu. Dan sejauh ini, Undang-undang Informatika dan Transaksi Elektronik yang menjadi rujukan peraturan ini tidak memerintahkan hal ini. Sementara itu, alasan “pengawasan” untuk menerobos hak asasi ini juga tak bisa dikategorikan sebagai tindakan sah dan diperlukan.

Kewenangan pemerintah untuk mengakses ini bukan hanya menjadi pertanyaan hak asasi manusia atau hukum semata, namun juga menjadi pertanyaan teknis keamanan. Sejauh apa pemerintah bisa menjaga keamanan data ini ketika pertengahan bulan Mei 2021 ini juga, data 279 juta penduduk Indonesia peserta BPJS Kesehatan diduga bocor dan diperjualbelikan di internet. 

Data yang mencakup nomor induk kependudukan, kartu tanda penduduk, nomor telepon, email, nama, alamat, hingga gaji tersebut diduga bocor karena kelemahan sistem di badan pemerintah itu sendiri. Memang polisi telah memanggil pejabat yang bertanggung jawab atas kejadian ini, namun masalah ini menunjukkan sebuah masalah besar dalam perlindungan data pribadi warga negara.

 

Dalam Ancaman Ganda

Data pengguna sendiri selama ini bak berada di mulut buaya. Shoshana Zhuboff (2019) menyebutnya sebagai “surveillance capitalism” atau kapitalisme yang menjadikan pengalaman manusia sebagai bahan mentah untuk diterjemahkan menjadi data perilaku. Data ini diproses oleh kecerdasan mesin menjadi “produk prediksi” yang bisa mengantisipasi apa yang Anda akan lakukan sekarang, nanti, dan kemudian. Salah satu satu pelakunya itu adalah Facebook.

Kini Facebook hendak mengintegrasikan WhatsApp, layanan terpopuler di dunia yang dikuasainya sejak 2014, ke dalam ekosistem bisnis data perilaku ini. Integrasi ini membuat data pengguna WhatsApp yang di Indonesia diprediksi lebih dari 68,8 juta pengguna (Business Insider, 2019) itu terhubung ke dalam layanan Facebook. 

Facebook pertama kali mengumumkan langkah ini Januari 2021 dengan rencana penerapan pada 8 Februari 2021. Setelah mendapat banyak kecaman, langkah ini diundur lagi ke 15 Mei 2021. 

Gerakan SaveWhatsApp atau SelamatkanWhatsApp yang diikuti belasan organisasi di dunia telah mengirim surat terbuka kepada pendiri dan CEO Facebook, Mark Zuckerberg, yang intinya meminta pembatalan penerapan kebijakan baru ini. Menurut SaveWhatsApp, rencana baru ini akan terus melanggengkan praktik bisnis eksploitatif Facebook terhadap privasi pengguna “untuk menunjang kepentingan pemasaran dan komersial.” 

Beberapa hari sebelum 15 Mei 2021, WhatsApp kemudian memundurkan lagi rencana yang mengecualikan Uni Eropa dan Inggris ini. Namun setelah dicermati, sebagian pengguna WhatsApp ternyata telah mengadopsi kebijakan baru ini, terutama mereka yang menggunakan Internet di luar Uni Eropa dan Inggris. 

Pengguna di luar Uni Eropa dan Inggris tercakup dalam kebijakan baru yang berbunyi “Kami menggunakan informasi yang kami gunakan dan menyediakan layanan kami, termasuk menyediakan dukungan pelanggan; menyelesaikan pembelian atau transaksi; meningkatkan, memperbaiki, atau mengkustomisasi layanan kami; dan menghubungkan layanan kami (WhatsApp) dengan produk-produk Perusahaan Facebook yang mungkin Anda gunakan.”

Kalimat terakhir yang berisi kata “Facebook” tidak akan Anda temukan dalam kebijakan privasi baru WhatsApp untuk pelanggannya di Uni Eropa. Mengapa wilayah ini bisa dikecualikan? Jawabannya adalah, mereka memiliki regulasi perlindungan data pribadi yang kuat dan kredibel bernama General Data Protection Regulation (GDPR). Regulasi ini kuat karena disusun berdasarkan kaidah prescribed by law sehingga diakui negara-negara anggotanya dan kredibel karena melalui proses legislasi yang bisa dipertanggungjawabkan di pengadilan (judicial scrutiny). Hal ini sesuatu yang belum dimiliki Indonesia.

Di Indonesia, legislasi yang kredibel untuk melindungi pengguna Internet dari terkaman buaya dan singa yang mengintrusi data pribadi haruslah setara undang-undang. Rancangan Undang-undang Perlindungan Data Pribadi (RUU PDP)  diharapkan bisa mengamankan pengguna internet bukan saja dari penerobosan oleh negara namun juga dari komersialisasi dan komodifikasi oleh penyelenggara sistem elektronik. RUU PDP bisa seperti halnya GDPR yang berlaku di Uni Eropa. 

Sayangnya RUU ini masih terkatung-katung pembahasannya. Padahal, anggota Dewan Perwakilan Rakyat yang merumuskan undang-undang juga adalah pengguna Internet yang membutuhkan perlindungan. Hak pribadi mereka juga berada di mulut buaya yang akan diterkam singa, sama seperti pengguna Internet lainnya.

 

 

General Data Protection Regulation. Regulation of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC. Off. Eur. Union 2016, 59, 294.

Peraturan Menteri Komunikasi dan Informatika Nomor 5 Tahun 2020 tentang Penyelenggara Sistem Elektronik (PSE) Lingkup Privat.

Undang-undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.

Vestono, Margherita. 2018. The GDPR Beyond Privacy: Data-Driven Challenges for Social Scientists, Legislators and Policy Makers. Future Internet 10(7).

Zuboff, Shoshana. 2019. The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power. New York: Public Affairs. 2019.