Kasus kebocoran data yang berulang menegaskan lemahnya perlindungan identitas pribadi yang bersifat rahasia. Situasi ini memunculkan urgensi untuk membangun sistem proteksi yang lebih optimal, baik pada tataran teknis maupun regulasi, termasuk melalui pengesahan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) yang hingga kini masih tertunda.

Kasus kebocoran data berulang dalam waktu singkat

Dalam kurun waktu tidak lebih dari enam bulan, beberapa kasus kebocoran dan penyalahgunaan data pribadi mencuat ke publik dengan berbagai modus, mulai dari pembobolan data secara terang-terangan hingga peretasan.

Pada Mei 2020, publik dikejutkan oleh kebocoran data pengguna Tokopedia. Disebutkan, data milik 91 juta pengguna dan 7 juta pedagang e-commerce itu beredar bebas di dunia maya. Kebocoran data juga menimpa platform e-dagang lain, Bukalapak, dengan data lebih dari 13 juta pengguna yang dilaporkan dijual di forum peretas.

Komunitas Konsumen Indonesia sempat menggugat Tokopedia dan Kementerian Komunikasi dan Informatika senilai Rp 100 miliar. Gugatan tersebut didasarkan pada pengaduan adanya penguasaan data pribadi pengguna tanpa persetujuan, meliputi e-mail, tanggal lahir, jenis kelamin, dan nomor telepon.

Kebocoran data pribadi juga pernah menimpa sejumlah platform jasa keuangan digital (tekfin) hingga operator telepon seluler. Salah satu kasus yang belakangan menjadi sorotan adalah peretasan data pribadi milik pendengung politik Denny Siregar.

Kasus itu bermula ketika akun Twitter @opposite6891 mengunggah data pribadi Denny di media sosial. Data yang disebarluaskan mencakup nama, alamat, NIK, KK, IMEI, OS, hingga jenis perangkat yang digunakan. Kicauan tersebut direspons ribuan pengguna Twitter. Dalam perkembangannya, penyelidikan berujung pada penangkapan pelaku yang disebut sebagai karyawan operator seluler Telkomsel, padahal operator seluler berkewajiban merahasiakan data atau identitas pelanggan.

Motif penyalahgunaan data: dari bisnis hingga teror

Motif pembobolan data pribadi dinilai beragam, mulai dari kepentingan bisnis hingga penipuan. Berdasarkan catatan kasus yang pernah terjadi, penyalahgunaan data dapat bertujuan untuk:

• membobol kata sandi,
• telemarketing,
• penipuan,
• pembobolan layanan perbankan atau keuangan,
• pembuatan akun palsu pinjaman online,
• teror keamanan.

Kerentanan di era digital dan nilai ekonomi data

Kerentanan kebocoran data muncul di tengah penetrasi internet yang tinggi. Mengacu Global Digital Reports 2020, jumlah pengguna internet di Indonesia mencapai lebih dari 175 juta orang atau sekitar 64 persen dari total penduduk, sehingga semakin banyak data pribadi yang terekam secara digital.

Di era digitalisasi, data—termasuk data pribadi—dipandang memiliki nilai kapitalisasi tinggi. Data menjadi modal untuk menganalisis pasar, bisnis, perilaku, hingga target politik. Karena itu, keamanan dan penggunaan data dinilai perlu dijamin.

Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 mendefinisikan data pribadi sebagai data perseorangan tertentu yang disimpan, dirawat, dijaga kebenarannya, serta dilindungi kerahasiaannya.

Regulasi sudah ada, tetapi dinilai belum efektif

Upaya perlindungan data pribadi di Indonesia telah diatur dalam sejumlah regulasi, mulai dari Undang-Undang Informasi dan Transaksi Elektronik (UU ITE), peraturan pemerintah, hingga peraturan menteri. Namun, beberapa aturan yang telah dibuat dinilai belum efektif meredam peretasan dan penyalahgunaan data pribadi.

Pasal 26 UU Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik mengatur bahwa penggunaan data pribadi dalam media elektronik wajib mendapat persetujuan pemilik data. Pasal tersebut juga menyebut data diri sebagai bagian dari hak pribadi (privacy rights) seseorang, dengan tiga prinsip:

• hak untuk bebas dari gangguan,
• hak berkomunikasi tanpa dimatai-matai,
• hak mengawasi akses informasi tentang kehidupan dan data pribadi.

Selain itu, Pasal 14 Peraturan Pemerintah No 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik mengatur perlindungan data pribadi dalam pemrosesan di sistem elektronik, mencakup perolehan dan pengumpulan, pengolahan, penyimpanan, hingga perbaikan atau pembaruan data. Dalam setiap tahap, pemrosesan data wajib berpegang pada prinsip perlindungan data pribadi, termasuk aspek legalitas dan persetujuan pemilik data.

Pemerintah juga menerbitkan Peraturan Menteri Kominfo No 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Aturan ini memuat perlindungan data dalam setiap tahap pemrosesan, hak pemilik data, kewajiban penyelenggara sistem elektronik, penyelesaian sengketa, hingga sanksi. Namun, sanksi yang diatur masih bersifat administratif, seperti peringatan lisan, peringatan tertulis, penghentian sementara kegiatan, dan pengumuman di situs daring, sehingga dinilai belum memadai untuk memberikan efek jera.

Di sektor keuangan, Otoritas Jasa Keuangan menerbitkan Peraturan OJK Nomor 77/POJK.01/2016 tentang Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi. Aturan ini mewajibkan penyelenggara menjaga kerahasiaan dan melindungi data pribadi pengguna, termasuk memastikan proses verifikasi, autentifikasi, dan validasi dalam akses serta pemanfaatan data.

RUU PDP yang tertunda dan kebutuhan payung hukum khusus

Ketiadaan peraturan spesifik yang menjadi payung perlindungan data pribadi disebut membuat persoalan ini sulit diselesaikan. Substansi dan penerapan aturan yang tersebar dalam banyak produk hukum juga dinilai menghambat upaya perlindungan data pribadi.

Catatan Dewan Teknologi Informasi dan Komunikasi Nasional menyebut rencana pembuatan undang-undang terkait perlindungan data sudah dimulai sejak 2012 melalui analisis hukum yang melibatkan ahli hukum, praktisi IT, YLKI, dan LSM. Pada 2013 dilakukan diskusi publik, seminar, serta pengumpulan substansi naskah akademik. Naskah akademik disebut selesai pada 2014, dan pembahasan RUU PDP terus berjalan serta diajukan dalam Prolegnas dan RPJMN 2015–2019.

Pada 2015, pembahasan di tingkat legislatif dilakukan dengan membentuk panitia antar-kementerian. Namun, proses pembahasan lanjutan dan harmonisasi draf belum berujung pengesahan. Dorongan pembahasan kembali menguat pada 2019 seiring munculnya kasus kebocoran dan penyalahgunaan data.

Kominfo sempat berjanji mendorong pembahasan dan pengesahan RUU PDP pada awal 2020. Namun, hingga satu semester berlalu pada 2020, pengesahan belum dilakukan. Rentetan kasus, termasuk kebocoran data Tokopedia dan Bukalapak, kasus pada layanan tekfin, serta peretasan data yang terkait Denny Siregar, kembali menambah sorotan publik terhadap RUU tersebut.

Komisi I DPR menyatakan masih ada sejumlah hal yang perlu disempurnakan dalam RUU PDP. Sejumlah ahli juga menilai RUU PDP masih rancu, termasuk dalam menerjemahkan konteks ancaman sanksi serta penentuan pihak penegak dan pelaksana. Di sejumlah negara yang telah menerapkan aturan perlindungan data pribadi, pengawasan dan pengendalian dilakukan oleh regulator independen.

Prioritas penindakan dan penguatan sistem

Di tengah meningkatnya risiko kebocoran dan penyalahgunaan data, ketegasan penindakan serta penguatan sistem perlindungan data pribadi dinilai perlu menjadi prioritas. Harapannya, kehadiran Undang-Undang PDP dapat mempertegas proteksi data pribadi di ruang digital dan menekan praktik kebocoran serta penyalahgunaan.