Bom Waktu New Normal Tanpa UU Perlindungan Data Pribadi

BERLIN, GERMANY - DECEMBER 27: A particpant checks a circuit board next to an oscilloscope on the first day of the 28th Chaos Communication Congress (28C3) - Behind Enemy Lines computer hacker conference on December 27, 2011 in Berlin, Germany. The Chaos Computer Club is Europes biggest network of computer hackers and its annual congress draws up to 3,000 participants. (Photo by Adam Berry/Getty Images) — Bom Waktu New Normal Tanpa UU Perlindungan Data Pribadi (Foto: GettyImages)

Jakarta -

Sebagai pengguna setia Tokopedia, kali ini kami dikecewakan. Data breach memang suatu keniscayaan, tidak ada sistem yang 100% aman. Namun ketika informasi kebobolan itu didapat dari pihak lain, tidak ada informasi detail dari Tokopedia mengenai kejadian tersebut kepada pemilik data, ini sudah kelewatan.

Ya, CEO Tokopedia telah mengakui kebobolan itu [Link 1]. Ya, ada email dari Tokopedia yang meminta kita mengubah password. Tapi, tidak ada permintaan maaf. Tidak ada informasi apakah akun kita termasuk dan tidak ada detail informasi data pribadi apa saja yang dicuri.

Padahal tidak hanya email dan password yang ada dalam data tersebut. Rafi Ramzy menyebutkan bermacam jenis data pribadi lainnya yang tercuri [Link 2]. Data tersebut bisa dimanfaatkan penjahat untuk melakukan serangan social engineering: phishing, spear phishing, vishing, smishing, atau sekedar social media mining. Memang tidak semua data tercuri valid, namun tetap saja mudah untuk dipilah mana data matang yang bisa lebih lanjut di-monetize.

Foto: (Rafy Ramzy)

Tak hanya kasus Tokopedia, kasus lain yang tak kalah mengkhawatirkan adalah telanjangnya data DPT yang diunggah situs-situs KPU-D [Link 3] dan bocornya data pengguna Bukalapak maupun Lion Group tahun lalu. Ini adalah bom waktu. Di masa pandemi dan New Normal ini, ketergantungan masyarakat kepada layanan digital untuk mengurangi physical distancing meningkat drastis.

Tanpa adanya UU Perlindungan Data Pribadi yang memadai, niscaya akan terjadi unsecure and untrusted ekosistem yang berimbas pada kerugian ekonomi dan sosial.

SCROLL TO CONTINUE WITH CONTENT

RUU PDP

Pembahasan RUU Perlindungan Data Pribadi saat ini telah sampai ke DPR, dimulai dari naskah akademik yang disusun tim FH UNPAD di tahun 2014. Lama sekali. Mungkin karena dari sisi investasi dan bisnis, perlindungan data pribadi ini tidak seksi. Isinya cuma kewajiban dan denda, extra cost and legal risks without direct benefit.

RUU PDP kini diampu oleh Kementerian Kominfo. Dalam perjalanannya, RUU PDP banyak mengalami perubahan karena banyaknya masukan, penyesuaian, dan harmonisasi. Tak bisa dipungkiri, jika kita baca detail RUU PDP, ruh dan semangat yang diemban mengadopsi prinsip-prinsip perlindungan data pribadi versi General Data Protection Regulation (GDPR) Uni Eropa: menargetkan korporasi yang sering melakukan pelanggaran perlindungan data pribadi. Ini celah hukum yang belum ada aturannya di Indonesia.

Jika melihat data Drone Emprit Akademi yang bekerja sama dengan UII, publik ternyata kurang menaruh perhatian terhadap isu #RUUPDP dan #DataPribadi. Padahal kalau dipikir, perlindungan data pribadi ini bersifat umum, general, sama perlakuannya.

Tidak ada flag yg mengidentifikasikan ini data pribadi VIP atau VVIP, atau ada perlindungan khusus kepadanya. Kalau sudah bobol, data yang dicuri itu semuanya. Mau presiden, menteri, anggota dewan yang terhormat, pejabat BUMN, mantan pejabat, masyarakat luas, tidak ada bedanya.

Ingat serangan pencurian data terhadap institusi kesehatan Singapura? Ternyata target pencuri adalah data kesehatan PM Singapura yang ada di dalamnya.

Selain itu, mayoritas data pribadi adalah data statis. Data pribadi umum dan spesifik seperti nama, alamat, jenis kelamin, kenegaraan, NIK, agama, biometrik, genetika, anak, dan nomor rekening bank, jarang berubah. Data tersebut jika sekali tercuri maka selamanya akan dapat diperjualbelikan di internet, dimanfaatkan untuk kejahatan sampai kapan pun.

Pidana Penjara

Draft RUU PDP terakhir setidaknya mengatur 6 (enam) jenis perbuatan pidana terkait pengamanan dan perlindungan data pribadi, yang berpotensi overlapping dengan undang-undang lain seperti KUHP dan UU ITE.

Pasal pemalsuan misalnya, delik pokoknya beririsan dengan pasal pemalsuan dalam KUHP dan pasal terkait Illegal Forgery yang ada dalam UU ITE (Pasal 35). Demikian juga pasal terkait larangan jual beli data pribadi yang dalam penerapannya sebetulnya masih bisa menggunakan pasal 32 ayat (2) UU ITE.

Kita ingat kasus pemalsuan data pribadi Ilham Bintang. Polisi menggunakan pasal-pasal dalam UU ITE, KUHP, dan UU TPPU untuk menjerat pelaku. Artinya, tidak ada kekosongan hukum di sini, yang harus dimunculkan pada undang-undang baru.

Banyak yang khawatir, jika tidak jelas batasannya, akan seperti UU ITE yang lama. Ingat kasus Prita? Ketika komplen akan layanan menjadi tuntutan hukum? Nah, bagaimana hakim mengukur pelanggaran perlindungan data pribadi yang akan dikenakan pidana penjara 7 tahun atau denda 70 milyar rupiah?

Perlindungan Data Pribadi di Sektor Publik

Problematika lain mengenai persamaan perlakuan perlindungan data pribadi oleh sektor publik dan swasta. Serangan siber sangat sering terjadi di situs pemerintah. Penelitian ICSF (Indonesia Cyber Security Forum) di tahun 2018 menyebutkan adanya 3.000 serangan defacing dalam setahun ke domain .go.id, sementara dari 184 situs pemerintah daerah, hanya sepersembilannya menggunakan https kuat pada halaman login aplikasi.

RUU PDP dirasa masih belum tegas memaksa pemerintah untuk meningkatkan keamanan layanan publik dengan ancaman sanksi, padahal konsekuensi jika terjadi data breach-nya luar biasa. Bagaimana dengan negara lain?

ICO Inggris bisa menghukum pegawai pemerintah yang bersalah mengelola data pribadi. CDPC Siprus saat ini menyelidiki kasus kebocoran data di Kementerian Tenaga Kerja. KZLD Bulgaria berani mendenda Kementerian Dalam Negeri-nya akibat pengiriman data pribadi ke negara lain yang tidak sesuai aturan.

Kemudian muncul komentar mengenai pasal pengecualian. Jika tidak ada pengawasan, hal ini dapat mengancam prinsip netralitas data pribadi. Data pribadi tidak boleh dimanfaatkan siapa pun untuk mengancam kebebasan berpendapat warga negaranya. Ini akan merusak prinsip-prinsip dasar demokrasi Pancasila, dimana kebebasan berserikat, berkumpul, dan mengeluarkan pendapat dijamin oleh UUD 1945.

Sudah ada kasus dimana beberapa akun anonim melakukan persekusi dan ancaman kepada pihak lain dengan menyebutkan atau menyebarkan data pribadi korbannya. Hal ini menjadi preseden buruk bagi demokrasi dan di sinilah pentingnya komisi independen PDP.

Komisi Independen

Ketiadaannya komisi/lembaga independen perlindungan data pribadi di RUU PDP menjadi diskusi di ICLC (Indonesia Cyber Law Community). Dalam konsep GDPR, komisi/lembaga ini dapat disetarakan dengan Data Protection Authorities (DPA).

Komisi/lembaga ini penting untuk menegakkan aturan main dan membuat panduan detail penerapan tata kelola perlindungan data pribadi. Komisi/lembaga ini nantinya akan menentukan apakah ada kelalaian atau pelanggaran dalam pengelolaan data pribadi oleh perseorangan, badan hukum, termasuk oleh institusi negara.

Selain itu, salah satu tugasnya adalah memastikan adanya perlindungan data pribadi dalam penerapan Klausula Baku di Kontrak Elektronik sesuai pasal 47 PP 71/2019.

Berdasarkan UU Perlindungan Konsumen, Klausula Baku adalah setiap ketentuan yang ditetapkan secara sepihak oleh pelaku usaha yang mengikat dan wajib dipenuhi oleh konsumen. Tentu posisi konsumen menjadi lemah, namun klausula ini dibutuhkan pelaku usaha agar usahanya dapat berlangsung dengan cepat dan sederhana.

Masih ingat kasus pinjol ilegal? Korban terjebak dengan pinjaman mudah berbunga tinggi, dengan jaminan data pribadinya. Sah sesuai hukum perikatan, karena sudah menyetujui kontrak elektronik. Namun, apakah adil dan etis praktek bisnis seperti itu? Patut diduga ada itikad buruk dari salah satu pihak yang menyusun Klausula Baku dalam Kontrak Elektronik tersebut.

Komisi/lembaga independen PDP dapat dibentuk khusus, atau belajar dari Information Commissioner Office Inggris, merupakan Komisi Informasi dengan perluasan kewenangan dalam perlindungan data pribadi.

PDP yang Lebih Baik

Sudah banyak kasus penipuan dan pelanggaran data pribadi, bahkan Jeanny dari LBH Jakarta menemukan fakta bahwa data pribadi diperjualbelikan dengan harga murah. Apalagi jika informasi kebocoran DPT KPU benar adanya, tentu akan menjadi bencana identitas nasional. Siapa pun bisa menjadi siapa saja dengan data pribadi curian. Sementara dalam kondisi New Normal dan pandemi seperti ini, tidak mungkin selalu memastikannya melalui pertemuan fisik.

Indonesia yang termasuk tertinggal dibandingkan negara-negara tetangganya hendaknya mengambil pelajaran sehingga dapat merumuskan UU PDP yang lebih baik, mencegah meledaknya bom waktu ketidakamanan ekosistem digital.

Jangan mengulang kesalahan UU ITE lama, perkuat perlindungan data pribadi di sektor publik, bentuk komisi/lembaga independen, dan atur klausula baku yang menjadi dasar hukum perikatan antara penyedia layanan dan pelanggannya.

Semoga ikhtiar selama lebih dari 6 tahun ini terbayar dengan tata kelola perlindungan data pribadi yang lebih baik.

*) Satriyo Wibowo, S.T., MBA, M.H., IPM, CERG, CCISO adalah sekretaris Indonesia Cyber Security Forum dan anggota Indonesia Cyber Law Community, penasehat manajemen risiko dan keamanan siber di pemerintahan dan organisasi bisnis.
*)Teguh Arifiyadi, S.H. M.H. CEH., CHFI adalah Chairman dan Founder Indonesia Cyber Law Community