Kebocoran data yang dialami oleh Tokopedia pada awal Mei lalu membuat sebagian besar data penggunanya rentan disalahgunakan. Sebanyak 91 juta data pribadi diperjualbelikan di dark web seharga $5.000 atau setara dengan 72 juta rupiah. Data yang bocor meliputi nama lengkap, password hash, email, nomor telepon, jenis kelamin, dan tanggal lahir. 

Bermodalkan data pribadi ini, pihak tertentu bisa memanfaatkannya untuk berbagai kepentingan. Mulai dari profiling masyarakat untuk kebutuhan politik, menentukan target iklan di media sosial, hingga kejahatan siber dengan teknik social engineering yang dikombinasikan dengan perangkat lunak jahat (malware), phishing, dan SIM swap.

Kejahatan bermodal data pribadi misalnya pernah menimpa pengusaha infotainment Ilham Bintang. Seseorang yang mengaku sebagai Ilham mendatangi gerai operator telekomunikasi untuk membuat duplikasi kartu SIM. Dengan informasi pribadi milik Ilham, pelaku berhasil mendapatkan kartu SIM baru dan ini membuat kartu SIM milik Ilham asli terblokir. Dengan kartu SIM baru itulah pelaku kemudian menguras dana di rekening korban.

Lembaga pemerintahan juga pernah mengalami kasus pencurian data pribadi: bocornya 1,3 juta data pegawai Kemendikbud yang berisi Nomor Induk Kependudukan, nomor Kartu Keluarga, nama lengkap, tanggal lahir, alamat, hingga nama lengkap orang tua. Namun, alih-alih menginvestigasinya lebih lanjut, Kemendikbud dengan sigap langsung membantahnya

Penyangkalan serupa juga diperlihatkan Polri ketika ada kabar diretasnya Sistem Informasi Personel Polri. Polri justru menuduh itu sebagai berita hoaks. Tuduhan ini diamplifikasi oleh Kominfo melalui situs resmi. Anehnya, Kominfo diam-diam menghapus konten tanpa ada klarifikasi apapun.

Bentuk penyalahgunaan data pribadi salah satunya juga bisa berupa pelanggaran privasi yang sehari-hari sering kita alami: iklan (spam) melalui SMS ke jutaan pengguna berdasarkan lokasi mereka. Dalam praktiknya, penyedia jasa telekomunikasi tidak meminta izin jika mereka memberikan data pengguna ke pihak ketiga. 

 

Bagaimana Pemerintah Menyikapi Masalah Ini?

Bocornya data pengguna Tokopedia, Kemendikbud, dan Polri hanya secuil dari banyaknya kasus kebocoran data yang ada. Daftar ini belum ditambah dengan kerugian individu yang data pribadinya disalahgunakan. Sayangnya, pemerintah tampaknya belum serius melindungi data pribadi warga. Pemerintah malah lebih banyak berfokus pada pemanfaatan data pribadi untuk kepentingan ekonomi.

Misalnya pada awal Juni 2020, Kemendagri menambah kerja sama dengan 13 lembaga dalam pemanfaatan data kependudukan. Dari 13 lembaga, 10 di antaranya merupakan lembaga keuangan seperti perusahaan pembiayaan, fintech, dan bank. Salah satu tujuan dari pemanfaatan data kependudukan ini, sebagaimana dinyatakan oleh Dirjen Dukcapil, adalah demi membantu perusahaan fintech terhindar dari kerugian. Sejumlah pihak mengkhawatirkan pemanfaatan data kependudukan ini rentan disalahgunakan.

Penanganan yang kurang baik dari pemerintah terlihat pada kasus kebocoran data yang menimpa Bukalapak. Pemerintah cenderung menerima begitu saja laporan dari perusahaan tanpa menindaklanjuti kebenaran dari laporan tersebut. Padahal, pemerintah, melalui Badan Siber dan Sandi Negara (BSSN), bisa melakukan evaluasi atas kebocoran data yang terjadi.

Lunaknya sikap pemerintah terjadi pada kasus Tokopedia. Menteri Kominfo, Johnny Plate, memaklumi lamanya investigasi internal Tokopedia yang hingga kini belum merilis hasilnya. Padahal, semakin lama Tokopedia merilis hasil investigasinya, akan semakin rentan pula data pribadi pengguna bisa disalahgunakan.

Ini dimungkinkan karena salah satu data yang bocor adalah password hash. Jika data ini jatuh di tangan peretas yang ahli cracking hash, password pengguna akan diketahui dan dengan mudah akun dapat diambil alih.

Seorang pengguna Twitter mengklaim telah berhasil membuka sebagian password pengguna Tokopedia. Menurutnya, ia melakukannya sebagai peringatan kepada Tokopedia untuk meningkatkan keamanan.

 

Minimnya Perlindungan Data Pribadi

Kerjasama antara Kemendagri dengan 13 lembaga tersebut berlandaskan dua perangkat hukum: UU Nomor 24 Tahun 2013 tentang Administrasi Kependudukan dan Permendagri No. 61 Tahun 2015. Regulasi yang terakhir disebut mempertegas posisi pemerintah sebagai pengendali data pribadi masyarakat. Dengan kata lain, masyarakat kehilangan hak atas data pribadinya

Menurut regulasi internasional, pemilik data pribadi seharusnya memiliki hak-hak yang harus dilindungi, terutama oleh pemerintah. Setidaknya terdapat tujuh hak dari pemilik data yang harus dilindungi:

Pertama, hak atas informasi. Pemilik data harus mengetahui bagaimana data pribadi akan diolah, termasuk ketika dimanfaatkan oleh pihak ketiga. Penyelenggara data harus menginformasikan seluruh kerjasama pengelolaan data.

Kedua, hak untuk mengakses. Pemilik data dapat mengajukan permintaan akses dan salinan atas data pribadi miliknya kepada penyelenggara data. 

Ketiga, hak untuk menolak. Pengolah data harus memberikan penjelasan kepada pemilik data sebelum memproses pengolahan data. Pemilik data memiliki hak untuk menolak pengolahan data selama tidak berkaitan dengan tujuan awal pengumpulan data.

Keempat, pemilik data memiliki hak untuk meralat, memblokir, dan menghapus jika data pribadi sudah tidak akurat.

Kelima, hak atas pemindahan data. Pemilik data berhak meminta data pribadi yang telah diproses dari penyelenggara data dalam format yang dapat dibaca semua perangkat.

Keenam, hak atas pemulihan yang efektif. Jika data tidak diproses sesuai hukum yang berlaku, pemilik data berhak menempuh proses hukum yang adil.

Ketujuh, hak mendapat kompensasi. Setiap pemilik data yang dilanggar hak-haknya akan mendapatkan kompensasi atas kerugian yang terjadi, baik kerugian materiil maupun non-materiil.

Sayangnya, regulasi di Indonesia yang mengatur perlindungan atas hak pemilik data masih belum memadai. Misalnya Permenkominfo Nomor 20 Tahun 2016 yang mengatur bahwa pengawasan atas perlindungan data pribadi dilaksanakan oleh menteri. Padahal, pemerintah di sisi yang lain juga bertindak sebagai penyelenggara data. Hal ini berpotensi menimbulkan konflik kepentingan karena pemerintah bertindak sebagai regulator sekaligus pengawas.

Dalam tataran undang-undang, studi dari ELSAM menunjukkan setidaknya terdapat 30 undang-undang yang berkaitan dengan data pribadi. Namun, prinsip dan rumusannya saling tumpah tindih sehingga terjadi kekaburan ruang lingkup data pribadi yang harus dilindungi. Misalnya UU Pemilu memperbolehkan partai politik mengakses salinan Daftar Pemilih Tetap (DPT) yang berisi data pribadi. Padahal regulasi ini bertentangan dengan UU Administrasi Kependudukan yang mengharuskan data pribadi dijaga kerahasiaannya.

Tumpang tindih regulasi perlindungan data pribadi diharapkan dapat diselesaikan melalui RUU Perlindungan Data Pribadi (PDP) yang sudah masuk dalam proses pembahasan. Dengan adanya RUU ini, berbagai ketentuan yang bertentangan dapat dihapuskan. Namun RUU PDP ini masih menyisakan celah hukum, misalnya belum ada pasal yang mengatur pembentukan lembaga independen dan tugas pengawasan masih dipegang oleh pemerintah. 

 

Mempelajari General Data Protection Regulation (GDPR).

Berkaca dari berbagai kasus di atas, Indonesia perlu mempelajari beberapa prinsip yang diterapkan oleh negara-negara Uni Eropa. Prinsip-prinsip tersebut tertuang di dalam General Data Protection Regulation (GDPR). Beberapa dari prinsip tersebut dapat diterapkan di Indonesia, misalnya prinsip transparansi.

Menurut Berend van der Eijk, prinsip transparansi ini memberikan hak kepada pemilik data untuk mengelola data pribadi mereka, termasuk hak untuk menghapusnya. Perusahaan sebagai penyelenggara sistem elektronik juga harus menjelaskan bagaimana data tersebut digunakan. 

Hal lainnya yang dapat diterapkan di Indonesia adalah pembentukan lembaga independen. Dalam pasal 51 GDPR, setiap negara Uni Eropa harus membentuk lembaga independen yang memantau penerapan regulasi ini. Penerapan soal ini bisa dilihat misalnya dalam kasus kebocoran 500 ribu data penumpang British Airways, di mana lembaga independen di Inggris, Information Commissioner's Office, mengancam akan memberikan denda sebesar 183 juta Poundsterling.