©️Fanisa/BAL
Dilansir dari Tirto.id, pada Agustus 2019, Lembaga Bantuan Hukum Jakarta menerima ribuan pengaduan masyarakat mengenai penyalahgunaan data pribadi. Kasus yang diadukan bervariasi, mulai dari perundungan, pinjaman uang online, hingga jual beli pekerja seksual di media sosial. Salah satu kasus yang paling menyita perhatian publik adalah penandatanganan Memorandum of Understanding (MoU) yang dilakukan oleh Kementerian Dalam Negeri (Kemendagri) dalam rangka pemberian akses data kependudukan kepada 1.227 lembaga pemerintah dan swasta. Walaupun Kemendagri sudah menyatakan bahwa tidak semua data bisa diakses oleh pihak swasta, tetapi pihak Kemendagri tidak menjelaskan lebih lanjut data apa saja yang tidak bisa diakses.
Menurut Koalisi Advokasi Perlindungan Data Pribadi, pemanfaatan data penduduk untuk kepentingan pembangunan tetap harus menjamin hak setiap orang atas perlindungan data pribadi. Pemanfaatan tersebut tidak boleh mengorbankan perlindungan data pribadi milik masyarakat. Berangkat dari kasus tersebut, BALAIRUNG berkesempatan untuk mewawancarai Damar Juniarto, Direktur Eksekutif Southeast Asia Freedom of Expression Network (SAFEnet), organisasi regional yang berfokus mempertahankan hak digital di Asia Tenggara. Dalam wawancara tersebut, Damar menjelaskan betapa pentingnya perlindungan data pribadi bagi masyarakat.
Apa itu data pribadi?
Pertama kita perlu tahu apa yang dimaksud dengan data untuk publik dan data sensitif. Di Indonesia sudah ada Undang-Undang Administrasi Kependudukan, di situ dirumuskan bahwa data-data yang menyangkut kependudukan sudah ada rinciannya. Data dalam e-KTP kita seperti nama, nama ibu kandung, alamat, agama, sidik jari sampai ke retina mata itu disebut sebagai data kependudukan. Nama itu termasuk data untuk publik. Karena semua orang boleh tahu bahwa Damar Juniarto adalah warga negara Indonesia.
Beda halnya dengan data sensitif, yang menyangkut tentang dirinya dan jika disebarluaskan akan berisiko. Misalnya, nama ibu kandung yang kaitannya dengan pembukaan rekening keuangan. Contoh lain ialah data kesehatan, misalnya nomor BPJS, itu termasuk data sensitif karena ada riwayat data kesehatan. Jadi, yang dianggap perlu dilindungi adalah data-data yang sifatnya sensitif, bukan keseluruhan.
Bagaimana cara negara mengelola data pribadi masyarakat?
Negara mewajibkan setiap warga negara yang sudah berusia 17 tahun untuk menyerahkan data pribadinya dalam pembuatan e-KTP yang nantinya direkam sebagai data kependudukan. UU No. 23 Tahun 2006 tentang Administrasi Kependudukan mengatur bahwa ketika warga negara sudah menyerahkan data, maka negara wajib membuat sistem perlindungan dan penyimpanan agar data tersebut tidak rusak atau disalahgunakan.
Bagaimana perlindungan data pribadi di Indonesia? Apakah sudah ada aturan yang spesifik?
Belum ada. Aturan ini sedang coba dirumuskan oleh pemerintah dalam Rancangan Undang Undang Perlindungan Data Pribadi (RUU PDP). Namun sampai sekarang di internal pemerintah sendiri drafnya belum final.
Saya sempat melihat isinya, rupanya dalam penyusunan RUU PDP ini lebih condong ke pemahaman bahwa data pribadi adalah hak properti seseorang. Artinya, penekanannya pada aspek ekonomi. Dalam rumusannya, misal kalau ketahuan dalam pengumpulan dan pemakaian data tidak sesuai dengan kesepakatan, warga dimungkinkan untuk mengajukan tuntutan kepada pihak yang menyalahgunakan. Jika ada pihak yang terbukti gagal melindungi, maka bisa diberikan sanksi administratif atau sanksi denda karena konsepnya adalah properti.
Ketika dirumuskan seperti itu, sebetulnya kita kehilangan dua aspek perlindungan data pribadi yang penting, yaitu aspek keamanan secara keseluruhan dan aspek perilaku. Data pribadi bukan hanya sekadar ekonomi tetapi juga pengakuan terhadap keamanan. Karena penyalahgunaan data pribadi bukan hanya untuk kepentingan korporasi atau bisnis, bisa saja penyalahgunaannya untuk kepentingan kejahatan. Misalnya, dipakai untuk mengarahkan serangan terhadap diri seseorang. Maka dari itu seharusnya pengakuan terhadap keamanan dituangkan dalam rumusan RUU PDP.
Lalu yang kedua, aspek perilaku atau aktivitas penggalangan data dalam konteks politik. Misalnya kasus Cambridge Analytica, ketika data pribadi digunakan untuk kepentingan politik. Hal itu juga harusnya dituangkan dalam RUU PDP, karena perlindungan data pribadi harus dibicarakan secara holistis. Keseluruhan aspek dari data pribadi seseorang itu dilindungi dalam RUU PDP.
Bagaimana kronologi penyalahgunaan data dalam kasus Cambridge Analytica?
Kronologi kasus Cambridge Analytica itu ketika pengguna menyerahkan data pribadinya ketika mengikuti sebuah kuis. Pengguna tidak sadar jika data pribadi mereka ternyata disalahgunakan untuk kepentingan mapping, profiling tentang pilihan politik. Inti dari penyerahan data pribadi kepada pihak lain adalah adanya kesadaran untuk menggunakan data sesuai dengan tujuan yang tertulis. Jika tujuan yang tertulis atau syarat dan ketentuannya diubah, dimanipulasi, atau diakali maka sebenarnya ada kemungkinan adanya pelanggaran data pribadi.
Apa risiko yang dapat muncul seiring dengan berkembangnya industri financial technology (fintech) di Indonesia?
Ada dua industri yang berisiko, institusi keuangan dan institusi telekomunikasi. Institusi keuangan merupakan sumber masalahnya. Dulu sebelum ada digital sudah sering ada pesan masuk berupa tawaran untuk pembukaan kredit, apalagi sekarang, semakin tidak karuan.
Dewasa ini, institusi keuangan semakin berkembang. Salah satunya adalah perkembangan financial technology (fintech). Fintech sebagai sebuah terobosan inovasi teknologi yang menyediakan keuangan dalam konteks mikro terhadap masyarakat itu rupanya meminta data terlalu banyak. Dalam praktiknya, fintech tidak mematuhi aturan OJK. Fintech meminta data sampai kepada akses daftar kontak, bahkan ada beberapa aplikasi meminta akses foto dan dokumen.
Hal ini memunculkan persoalan dalam fintech. Ada sekitar seribu aduan yang berkaitan dengan kasus fintech. Aduan itu muncul karena lemahnya sistem verifikasi yang hanya berbekal kartu identitas dan swafoto, seseorang bisa mempunyai akun dan bisa mengajukan pinjaman sampai tiga puluh juta.
Dampaknya para pelaku organised crime menggunakan cara ini untuk membobol pinjaman dari perusahaan. Modusnya dengan menipu orang lain terlebih dahulu melalui giveaway. Pengguna hanya perlu mengirim foto e-KTP dan swafoto dengan memegang e-KTP untuk mendapat hadiah tersebut. Foto lalu digunakan untuk membuka rekening di pinjaman online. Hal ini membuktikan betapa lemahnya sistem verifikasi yang kemudian tidak bisa kita salahkan pada masyarakat karena mereka juga korban. Seharusnya perlu ada tindakan untuk organised crime tersebut.
Lalu, penagihan pembayaran utang yang dilakukan oleh perusahaan fintech biasanya disertai dengan kejahatan dalam bentuk teror. Kenapa mereka bisa melakukan teror? Karena mereka memiliki akses terhadap kontak, mereka bisa mengirim pesan pada kontak di ponsel seseorang dan menekannya untuk menyampaikan kepada yang berutang untuk segera membayar. Dengan adanya akses terhadap galeri mereka dapat menyebar foto dan memanipulasi serta menambahkan kata-kata yang memalukan lewat media sosial.
Hampir seluruh aplikasi memerlukan data pribadi, lantas seberapa rentan data pribadi pengguna dapat disalahgunakan?
Menurut saya, peluangnya menjadi rata, siapapun bisa jadi korban penyalahgunaan. Jika warga menyadari bahwa mereka memiliki hak atas perlindungan data pribadi, maka mereka bisa memberi batasan pada penggunaan aplikasi. Ketika ada aplikasi yang meminta data pribadi, mereka punya peluang yang sama karena belum ada perlindungan tentang data pribadi. Jadi kuncinya adalah masyarakat tahu bahwa mereka bisa ditipu dengan aplikasi. Tantangannya adalah mereka siap atau tidak untuk menyuarakan keberatan tentang permintaan data yang terlalu banyak.
Dalam kasus transportasi online, ada dua data yang sering bocor, yaitu data geolokasi dan nomor telepon. Hal ini biasanya menjadi keluhan, karena dari dua data tersebut membuat seseorang biasanya mendapat ancaman pada saat dia memberi rating rendah pada driver. Karena nomor telepon dan geolokasinya bocor. Memang secara sistem pihak penyedia aplikasi tidak memikirkan konsep keamanan yang seharusnya menjadi hak seseorang. Dalam kasus tersebut, jika sudah ada aturan yang diberlakukan konsumen dapat mengajukan tuntutan.
Seberapa besar akses yang dimiliki pemerintah untuk melakukan penyadapan terhadap gawai yang dimiliki warga?
Keamanan itu aspeknya kan harus holistis. Maka titik tekannya di banyak negara adalah keamanan individu menjadi yang lebih utama di atas keamanan negara. Tetapi di banyak negara terutama negara yang tidak demokratis seperti Tiongkok dan Iran, persoalan keamanan individu itu tidak diakui. Justru yang diutamakan ialah keamanan negara. Di Indonesia untungnya tidak begitu, kita negara yang demokratis. Namun, Indonesia memiliki tendensi menjadi negara yang tidak demokratis.
Negara berhak untuk mementingkan keamanan negara di atas keamanan individu. Namun, ada prasyaratnya. Misalnya dalam melakukan penyadapan, prasyarat utamanya ialah orang yang akan disadap telah melakukan suatu tindak pidana. Apabila tidak memenuhi prasyarat itu dan tidak ada mekanisme penetapan pengadilan, maka penyadapan tidak boleh dilakukan. Kita butuh perlindungan dari praktik-praktik penyadapan itu. Hanya saja dalam konteks Indonesia, peraturan tentang penyadapan belum menjadi satu, belum ada aturan yang spesifik tentang penyadapan.
Menurut Anda, bagaimana kesadaran masyarakat Indonesia mengenai pentingnya data pribadi?
Itu yang saya khawatirkan, tidak semua orang sadar punya hak untuk mendapat perlindungan data pribadi. Edukasi perlu dilakukan baik oleh negara, akademisi, media, kelompok teknologi juga bisnis dan korporasi. Semua sektor yang bergerak dalam bidang internet telekomunikasi harus terus melakukan sosialisasi tentang pentingnya perlindungan data pribadi.
Tidak semua orang sadar tentang pentingnya menjaga privasi, misal saat kita membagi lokasi di internet. Orang tidak sadar bahwa yang bisa melihat itu bukan hanya teman-teman saja. Namun, sistem pun dapat melihat dan mencatat segala informasi yang kita bagikan termasuk lokasi kita. Faktanya bahkan masih banyak pengguna gawai yang tidak tahu tentang hal ini.
Tantangan apa yang dihadapi Indonesia dalam upaya melindungi data pribadi di era digital?
Tantangan di era sekarang ini lebih kompleks, dulu privasi adalah sesuatu yang inheren. Ketika sudah masuk dalam dunia digital justru sebaliknya, privasi tidak datang dengan sendiri. Maka upaya untuk melindungi data pribadi harus didorong.
Tantangan yang paling besar di era digital adalah bagaimana setiap orang paham untuk tidak ceroboh menaruh data yang sensitif di publik. Oleh karena itu, perlu ada sistem untuk melindunginya. Itulah yang menjadi kritik dalam kondisi sekarang ini.
Penulis: Afnan Karenina Gandhi, Syifa Hazimah Hana Aisyi, Isabella (Magang)
Penyunting: M Rizqi Akbar